发布时间 : 星期日 文章CISP试题及答案-五套题- 更新完毕开始阅读115b4600b4daa58da0114aa2
C. RSA& D AES
58. 目前对MD5,SHA1算法的攻击是指:
A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要
B. 对于一个已知的消息摘要,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要。
C.对于一个已知的消息摘要,能够恢复其原始消息
D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。 59 DSA算法不提供以下哪种服务? A. 数据完整性 B. 加密& C. 数字签名 D. 认证
60.关于PKI/CA证书,下面哪一种说法是错误的: A. 证书上具有证书授权中心的数字签名 B. 证书上列有证书拥有者的基本信息 C. 证书上列有证书拥有者的公开密钥 D. 证书上列有证书拥有者的秘密密钥&
61 认证中心(CA)的核心职责是_________? A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单
D. 撤销用户的证书
62 下列哪一项是虚拟专用网络(VPN)的安全功能? A. 验证,访问控制和密码 B. 隧道,防火墙和拨号 C. 加密,鉴别和密钥管理 D. 压缩,解密和密码
63 以下对Kerberos协议过程说法正确的是:
A. 协议可以分为两个步骤:一是用户身份鉴别:二是获取请求服务 B. 协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D. 协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务
64 在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务? A. 网络层 B. 表示层 C. 会话层 D. 物理层
65 以下哪种无线加密标准的安全性最弱? A .Wep B Wpa
C Wpa2 D Wapi
66.Linux系统的用户信息保存在passwd中,某用户条目
backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是: A. backup账号没有设置登录密码&
B. backup账号的默认主目录是/var/backups C. Backup账号登录后使用的shell是、bin/sh D. Backup账号是无法进行登录
67 以下关于lixun超级权限的说明,不正确的是:
A. 一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成 B. 普通用户可以通过su和sudo来获得系统的超级权限
C. 对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行 D. Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限 68 在WINDOWS操作系统中,欲限制用户无效登录的次数,应当怎么做? A. 在“本地安全设置”中对“密码策略”进行设置 B. 在“本地安全设置”中对“账户锁定策略”进行设置 C. 在“本地安全设置”中对“审核策略”进行设置
D. 在“本地安全设置”中对“用户权利指派”进行设置 69.以下对WINDOWS系统日志的描述错误的是:
A. windows系统默认的由三个日志,系统日志,应用程序日志,安全日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障。
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等 70 以下关于windows SAM(安全账户管理器)的说法错误的是: A. 安全账户管理器(SAM)具体表现就 是%SystemRoot%\\system32\\config\\sam
B. 安全账户管理器(SAM)存储的账号信息是存储在注册表中
C. 安全账户管理器(SAM)存储的账号信息对administrator和system是可读和可写的 D. 安全账户管理器(SAM)是windows的用户数据库,系统进程通过Security Accounts Manager服务进行访问和操作
71 在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则? A.纵深防御原则 B.最小权限原则 C.职责分离原则 D.安全性与便利性平衡原则 78.数据库事务日志的用途是: A. 事务处理 B.数据恢复 C.完整性约束 D.保密性控制
79. 下面对于cookie的说法错误的是:
A. cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息。 B. cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C.通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗
D.防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法。
80. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚步将被解释执行,这是哪种类型的漏洞? A. 缓冲区溢出 B. sql注入 C.设计错误 D.跨站脚本
81. 通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A. 明文形式存在
B.服务器加密后的密文形式存在 C.hash运算后的消息摘要值存在 D.用户自己加密后的密文形式存在
82.下列对跨站脚本攻击(XSS)的描述正确的是:
A. XSS攻击指的是恶意攻击者往WED页面里插入恶意代码,当用户浏览浏览该页之时,嵌入其中WEB里面的代码会执行,从而达到恶意攻击用户的特殊目的 B.XSS攻击时DDOS攻击的一种变种 C.XSS攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的 83 下列哪种技术不是恶意代码的生产技术? A. 反跟踪技术、 B. 加密技术 C. 模糊变换技术 D. 自动解压缩技术
84 当用户输入的数据被一个解释器当做命令或查询语句的一部分执行时,就会产生哪种类型的漏洞? A. 缓冲区溢出 B. 设计错误 C. 信息泄露 D. 代码注入
85 Smurf 利用下列哪种协议进行攻击? A. ICMP B. IGMP C. TCP D. UDP
86.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击? A. 重放攻击 B. Smurf攻击 C.字典攻击 D.中间人攻击
87 渗透性测试的第一步是: A. 信息收集
B. 漏洞分析与目标选定 C. 拒绝服务攻击
D. 尝试漏洞利用
88 软件安全开发中软件安全需求分析阶段的主要目的是: A. 确定软件的攻击面,根据攻击面制定软件安全防护策略 B. 确定软件在计划运行环境中运行的最低安全要求 C. 确定安全质量标准,实施安全和隐私风险评估 D. 确定开发团队关键里程碑和交付成果
89.管理者何时可以根据风险分析结果对已识别的风险部采取措施? A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受
90 以下关于风险管理的描述不正确的是:
A风险的4种控制方法有:降低风险/转嫁风险/规避风险/接受风险 B信息安全风险管理是否成功在于风险是否被切实消除了
C组织应依据信息安全方针和组织要求的安全保证程度来确定需要处理的信息安全风险 D信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别、控制、降低或转移的过程
91如果你作为甲方负责监管一个信息安全工程项目的实施,当乙方提出一项工程变更时你最应当关注的是:
A. 变更的流程是否符合预先的规定 B. 变更是否项目进度造成拖延 C. 变更的原因和造成的影响
D. 变更后是否进行了准确的记录
92 应当如可理解信息安全管理体系中的“信息安全策略”? A为了达到如何保护标准而提出的一系列建议
B为了定义访问控制需求而产生出来的一些通用性指引 C组织高层对信息安全工作意图的正式表达 D一种分阶段的安全处理结果
93 以下关于“最小特权”安全管理原则理解正确的是: A. 组织机构内的敏感岗位不能由一个人长期负责 B. 对重要的工作进行分解,分配给不同人员完成 C. 一个人有且仅有其执行岗位所足够的许可和权限
D. 防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
94 作为一个组织中的信息系统普通用户,以下哪一项不是必须了解的? A. 谁负责信息安全管理制度的制度和发布 B. 谁负责监督信息安全制度的执行
C. 信息系统发生灾难后,进行恢复的整体工作流程 D. 如果违反了安全制度可能会受到的惩戒措施 95 职责分离是信息安全管理的一个基本概念,其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?