正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
391、在软件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能: A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
394、以下关于直接附加存储(DirectAttachedStorage,DAS)说法错误的是:
A.DAS能够在服务器物理位置比较分散的情况下实现大容量存储,是一种常用的数据存储方法
B.DAS实现了操作系统与数据的分离,存取性能较高并且实施简单
C.DAS的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取
D.较网络附加存储(NetworkAttachedStorage,NAS),DAS节省硬盘空间,数据非常集中,便于对数据进行管理和备份 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
395、某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是_______?
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用https
B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
396、针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式:
A.攻击者利用软件存在逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B.攻击者利用软件脚本使用多重嵌套查询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通了IDC人员,将某软件运行服务器的网线拔掉导致无法访问 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
397、以下哪个选项不是防火墙提供的安全功能? A.IP地址欺骗防护 B.NAT
C.访问控制
D.SQL注入攻击防护 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
398、以下关于可信计算说法错误的是:
A.可信的主要目的是要建立起主动防御的信息安全保障体系
B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念
C.可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信
D.可信计算平台出现后会取代传统的安全防护体系和方法 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
399、应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是? A.安装最新的数据库软件安全补丁 B.对存储的敏感数据进行安全加密
C.不使用管理员权限直接连接数据库系统
D.定期对数据库服务器进行重启以确保数据库运行良好 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
400、对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:
A.在使用来自外部的移动介质前,需要进行安全扫描 B.限制用户对管理员权限的使用
C.开放所有端口和服务,充分使用系统资源 D.不要从不可信来源下载或执行应用程序 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
401、安全专家在对某网站进行安全部署时,调整了Apache的运行权限,从root权限降低为nobody用户,以下操作的主要目的是: A.为了提高Apache软件运行效率 B.为了提高Apache软件的可靠性
C.为了避免攻击者通过Apache获得root权限 D.为了减少Apache上存在的漏洞 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
402、传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的?
A.相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B.TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机
C.TCP协议具有流量控制.数据校验.超时重发.接收确认等机制,因此TCP协议能完全替代IP协议
D.TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
403、以下关于UDP协议的说法,哪个是错误的?
A.UDP具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击
B.UDP协议包头中包含了源端口号和目的端口号,因此UDP可通过端口号将数据包送达正确的程序
C.相比TCP协议,UDP协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据
D.UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
404、近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?
A.加强网站源代码的安全性 B.对网络客户端进行安全评估
C.协调运营商对域名解析服务器进行加固 D.在网站的网络出口部署应用级防火墙 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
424、关于源代码审核,描述正确的是()
A.源代码审核过程遵循信息安全保障技术框架模型,在执行时应一步一步严格执行
B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具 C.源代码审核如果想要有效率高,则主要要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
445、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求 正确答案:D
所在章:信息安全管理
知识点:信息安全管理知识点
476、以下关于“最小特权”安全管理原则理解正确的是: A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 正确答案:C
所在章:信息安全管理
知识点:信息安全管理知识点
526、信息系统安全保护等级为3级的系统,应当()年进行一次等级测评。 A.0.5 B.1 C.2 D.3
正确答案:B
所在章:信息安全管理
知识点:信息安全管理知识点
545、在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段? A.背景建立 B.风险评估 C.风险处理 D.批准监督 正确答案:C
所在章:信息安全管理
知识点:信息安全管理知识点
552、下列对于信息安全保障深度防御模型的说法错误的是:
A.信息安全外部环境:信息安全保障是组织机构安全,国家安全的一个总要组成部分,因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下
B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统
C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分
D.信息安全技术方案:“从外而内,自下而上,形成边界到端的防护能力” 正确答案:D
所在章:信息安全管理
知识点:信息安全管理知识点
553、信息系统的业务特性应该从哪里获取? A.机构的使命
B.机构的战略背景和战略目标 C.机构的业务内容和业务流程 D.机构的组织结构和管理制度 正确答案:C
所在章:信息安全管理
知识点:信息安全管理知识点
555、以下哪些是需要在信息安全策略中进行描述的: A.组织信息系统安全架构 B.信息安全工作的基本原则 C.组织信息安全技术参数 D.组织信息安全实施手段 正确答案:A
所在章:信息安全管理
知识点:信息安全管理知识点
572、美国的关键信息基础设施(criticalInformationInfrastructure,CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括: A.这些行业都关系到国计民生,对经济运行和国家安全影响深远
