安全測(cè)試模擬題中級(jí)卷附有答案

WEB安全測(cè)試模擬題-中級(jí)-A卷[復(fù)制]一、單選題[填空題]_________________________________1.以下哪一種DataBackup方式在時(shí)間上最快?[單選題]*A.增量DataBackup(正確答案)B.差異DataBackupC.完全DataBackupD.磁盤(pán)鏡像2.下面哪項(xiàng)不是Electromagneticradiationleakage防護(hù)手段?[單選題]*A.紅黑電源B.屏蔽機(jī)房C.視頻干擾器D.防靜電服(正確答案)3.下面哪類(lèi)惡意程序可以不接觸任何介質(zhì)，自主傳播?[單選題]*A.木馬B.病毒C.蠕蟲(chóng)(正確答案)D.釣魚(yú)程序4.下面那類(lèi)設(shè)備常用于風(fēng)險(xiǎn)分析?[單選題]*A.FirewallB.IDSC.漏洞掃描器(正確答案)D.UTM5.Windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是:[單選題]*A.Regsvr32B.Regegit(正確答案)C.Regedit.mscD.Regedit.mmc6.安裝活動(dòng)目錄時(shí)會(huì)同時(shí)創(chuàng)建DNS的主要區(qū)域，區(qū)域記錄不全會(huì)導(dǎo)致目錄服務(wù)異常，可通過(guò)重啟Windows的（）來(lái)重寫(xiě)DNS區(qū)域?[單選題]*A.Server服務(wù)B.NetLogon服務(wù)(正確答案)C.Messenger服務(wù)D.NetworkDDE服務(wù)7.關(guān)閉Windows網(wǎng)絡(luò)共享功能需要關(guān)閉（）服務(wù)?[單選題]*A.Server(正確答案)B.WorkstationC.ServiceLayerD.TerminalServices8.AD中的組策略不可以應(yīng)用到[單選題]*A.域B.OUC.站點(diǎn)D.組(正確答案)9.EFSencryption文件系統(tǒng)使用的encryption技術(shù)是（）。[單選題]*A.DESB.3DESC.IDEAD.RSA(正確答案)10.下列哪種IDS將最有可能對(duì)正常網(wǎng)絡(luò)活動(dòng)產(chǎn)生錯(cuò)誤警報(bào)?[單選題]*A.基于統(tǒng)計(jì)(正確答案)B.基于數(shù)字SignatureC.神經(jīng)網(wǎng)絡(luò)D.基于主機(jī)11.一個(gè)長(zhǎng)期的雇員具有很強(qiáng)的技術(shù)背景和管理經(jīng)驗(yàn)，申請(qǐng)審計(jì)部門(mén)的一個(gè)職位。是否聘用他，應(yīng)基于個(gè)人的經(jīng)驗(yàn)和____?[單選題]*A.服務(wù)年限的長(zhǎng)短，因?yàn)檫@將有助于確保技術(shù)能力。B.年齡，（年紀(jì)太大的話(huà)）在審計(jì)技術(shù)培訓(xùn)時(shí)可能不切實(shí)際。C.信息系統(tǒng)知識(shí)，因?yàn)檫@將加強(qiáng)審計(jì)的可信度D.能力，作為信息系統(tǒng)審計(jì)師，將獨(dú)立于現(xiàn)有的信息系統(tǒng)(正確答案)12.一個(gè)組織使用ERP，下列哪個(gè)是有效的訪問(wèn)控制?[單選題]*A.用戶(hù)級(jí)權(quán)限B.基于角色(正確答案)C.細(xì)粒度D.自主訪問(wèn)控制13.下列哪一項(xiàng)是預(yù)防CC攻擊的有效手段?[單選題]*A、刪除可能存在CC攻擊的頁(yè)面B、提高服務(wù)器性能C、限制單個(gè)IP地址每秒訪問(wèn)服務(wù)器的次數(shù)(正確答案)D、使用IDS設(shè)備14.18.下列針對(duì)Windows主機(jī)安全說(shuō)法最準(zhǔn)確的是[單選題]*A、系統(tǒng)重新安裝后最安全B、系統(tǒng)安裝了防病毒和Firewall就安全了C、把管理員密碼長(zhǎng)度修改的比較復(fù)雜安全D、經(jīng)過(guò)專(zhuān)業(yè)的安全服務(wù)人員根據(jù)業(yè)務(wù)系統(tǒng)的需要進(jìn)行評(píng)估，然后根據(jù)評(píng)估結(jié)果進(jìn)行安全加固后比較安全(正確答案)15.下列哪一項(xiàng)安全機(jī)制是一個(gè)抽象機(jī)，不但確保主體擁有必要的訪問(wèn)權(quán)限，而且確保對(duì)客體不會(huì)有未經(jīng)授權(quán)的訪問(wèn)以及破壞性的修改行為?[單選題]*A．安全核心B．可信計(jì)算基C．引用監(jiān)視器(正確答案)D．安全域16.下列對(duì)安全審計(jì)涉及的基本要素說(shuō)法正確的是[單選題]*A、安全審計(jì)可分為實(shí)時(shí)入侵安全審計(jì)和事后審計(jì)檢測(cè)兩種B、安全審的基本要素是控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試(正確答案)C、安全審的基本要素是控制目標(biāo)、安全漏洞、控制措施和檢測(cè)D、安全審計(jì)可分為控制措施和檢測(cè)控制17.下列對(duì)安全審計(jì)描述最完整的是[單選題]*A、安全審計(jì)系統(tǒng)可以對(duì)所有明文數(shù)據(jù)進(jìn)行審計(jì)(正確答案)B、安全審計(jì)只能審計(jì)網(wǎng)站系統(tǒng)C、安全審計(jì)可以審計(jì)數(shù)據(jù)庫(kù)D、安全審計(jì)可以審計(jì)網(wǎng)站論壇18.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí)，Informationsecurityprofessionals注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本原因，他應(yīng)該首先檢查:[單選題]*A．災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B．災(zāi)難恢復(fù)測(cè)試計(jì)劃C．災(zāi)難恢復(fù)計(jì)劃(DRP)D．主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件(正確答案)19.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò):[單選題]*A．服務(wù)水平目標(biāo)(SLO)B．恢復(fù)時(shí)間目標(biāo)(RTO)C．恢復(fù)點(diǎn)目標(biāo)(RPO)(正確答案)D．停用的最大可接受程度(MAO)20.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問(wèn)題中的哪個(gè)最應(yīng)該引起關(guān)注:[單選題]*A．由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B．在測(cè)試過(guò)程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C．在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間D．每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒(méi)有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔(正確答案)二、多選題[填空題]_________________________________1.Computerinformationsystemsecurity的目標(biāo)包括（）*A.信息機(jī)密性(正確答案)B.信息完整性(正確答案)C.服務(wù)可用性(正確答案)D.可審查性(正確答案)2.Computerinformationsystemsecurity保護(hù)的目標(biāo)是要保護(hù)計(jì)算機(jī)信息系統(tǒng)的（）*A.實(shí)體安全(正確答案)B.運(yùn)行安全(正確答案)C.Informationsecurity(正確答案)D.人員安全(正確答案)3.Computerinformationsystemsecurity包括（）*A.系統(tǒng)風(fēng)險(xiǎn)管理(正確答案)B.審計(jì)跟蹤(正確答案)C.備份與恢復(fù)(正確答案)D.電磁信息泄漏4.Computerinformationsystemsecurityprotection的措施包括（）*A.安全法規(guī)(正確答案)B.安全管理(正確答案)C.組織建設(shè)D.制度建設(shè)5.Computerinformationsystemsecuritymanagement包括（）*A.組織建設(shè)(正確答案)B.事前檢查C.制度建設(shè)(正確答案)D.人員意識(shí)(正確答案)6.Publicinformationnetworksecuritysupervision工作的性質(zhì)（）*A.是公安工作的一個(gè)重要組成部分(正確答案)B.是預(yù)防各種危害的重要手段(正確答案)C.是行政管理的重要手段(正確答案)D.是打擊犯罪的重要手段(正確答案)7.Publicinformationnetworksecuritysupervision工作的一般原則（）*A.預(yù)防與打擊相結(jié)合的原則(正確答案)B.專(zhuān)門(mén)機(jī)關(guān)監(jiān)管與社會(huì)力量相結(jié)合的原則(正確答案)C.糾正與制裁相結(jié)合的原則(正確答案)D.教育和處罰相結(jié)合的原則(正確答案)8.Informationsecurityofficer應(yīng)具備的條件:（）*A.具有一定的計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)技術(shù)知識(shí)(正確答案)B.經(jīng)過(guò)計(jì)算機(jī)安全員培訓(xùn)，并考試合格(正確答案)C.具有大本以上學(xué)歷D.無(wú)違法犯罪記錄(正確答案)9.OS應(yīng)當(dāng)提供哪些安全保障（）*A.驗(yàn)證(Authentication)(正確答案)B.授權(quán)(Authorization)(正確答案)C.數(shù)據(jù)保密性(DataConfidentiality)(正確答案)D.數(shù)據(jù)一致性(DataIntegrity)(正確答案)E.數(shù)據(jù)的不可否認(rèn)性(DataNonrepudiation)(正確答案)10.WindowsOS的"域"控制機(jī)制具備哪些安全特性（）*A.用戶(hù)身份驗(yàn)證(正確答案)B.訪問(wèn)控制(正確答案)C.審計(jì)(Log)(正確答案)D.數(shù)據(jù)通訊的加密11.從系統(tǒng)整體看，Securityvulnerabilities包括哪些方面（）*A.技術(shù)因素(正確答案)B.人的因素(正確答案)C.規(guī)劃，策略和執(zhí)行過(guò)程(正確答案)12.從系統(tǒng)整體看，下述那些問(wèn)題屬于系統(tǒng)Securityvulnerabilities（）*A.產(chǎn)品缺少安全功能(正確答案)B.產(chǎn)品有Bugs(正確答案)C.缺少足夠的安全知識(shí)(正確答案)D.人為錯(cuò)誤(正確答案)E.缺少針對(duì)安全的系統(tǒng)設(shè)計(jì)(正確答案)13.應(yīng)對(duì)操作系統(tǒng)Securityvulnerabilities的基本方法是什么（）*A.對(duì)默認(rèn)安裝進(jìn)行必要的調(diào)整(正確答案)B.給所有用戶(hù)設(shè)置嚴(yán)格的口令(正確答案)C.及時(shí)安裝最新的安全補(bǔ)丁(正確答案)D.更換到另一種操作系統(tǒng)14.造成操作系統(tǒng)Securityvulnerabilities的原因（）*A.不安全的編程語(yǔ)言(正確答案)B.不安全的編程習(xí)慣(正確答案)C.考慮不周的架構(gòu)設(shè)計(jì)(正確答案)15.嚴(yán)格的Passwordpolicy應(yīng)當(dāng)包含哪些要素（）*A.滿(mǎn)足一定的長(zhǎng)度，比如4位以上B.同時(shí)包含數(shù)字，字母和特殊字符(正確答案)C.系統(tǒng)強(qiáng)制要求定期更改口令(正確答案)D.用戶(hù)可以設(shè)置空口令(正確答案)16.Computersecuritycases包括以下幾個(gè)方面（）*A.重要安全技術(shù)的采用(正確答案)B.安全標(biāo)準(zhǔn)的貫徹(正確答案)C.安全制度措施的建設(shè)與實(shí)施(正確答案)D.重大安全隱患、違法違規(guī)的發(fā)現(xiàn)，事故的發(fā)生(正確答案)17.Computersecuritycases包括以下幾個(gè)內(nèi)容（）*A.違反國(guó)家法律的行為(正確答案)B.違反國(guó)家法規(guī)的行為(正確答案)C.危及、危害計(jì)算機(jī)信息系統(tǒng)安全的事件(正確答案)D.計(jì)算機(jī)硬件常見(jiàn)機(jī)械故障18.重大Computersecurityaccident可由_____受理（）*A.案發(fā)地市級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)(正確答案)B.案發(fā)地當(dāng)?shù)乜h級(jí)（區(qū)、市）公安機(jī)關(guān)治安部門(mén)C.案發(fā)地當(dāng)?shù)乜h級(jí)（區(qū)、市）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)(正確答案)D.案發(fā)地當(dāng)?shù)毓才沙鏊?9.Siteinvestigation主要包括以下幾個(gè)環(huán)節(jié)_____（）*A.對(duì)遭受破壞的計(jì)算機(jī)信息系統(tǒng)的軟硬件的描述及被破壞程度(正確答案)B.現(xiàn)場(chǎng)現(xiàn)有電子數(shù)據(jù)的復(fù)制和修復(fù)(正確答案)C.電子痕跡的發(fā)現(xiàn)和提取，證據(jù)的固定與保全(正確答案)D.現(xiàn)場(chǎng)采集和扣押與事故或案件有關(guān)的物品(正確答案)20.Computersecurityaccident原因的認(rèn)定和計(jì)算機(jī)案件的數(shù)據(jù)鑒定,____（）*A.是一項(xiàng)專(zhuān)業(yè)性較強(qiáng)的技術(shù)工作(正確答案)B.必要時(shí)可進(jìn)行相關(guān)的驗(yàn)證或偵查實(shí)驗(yàn)(正確答案)C.可聘請(qǐng)有關(guān)方面的專(zhuān)家，組成專(zhuān)家鑒定組進(jìn)行分析鑒定(正確答案)D.可以由發(fā)生事故或計(jì)算機(jī)案件的單位出具鑒定報(bào)告三、判斷題[填空題]_________________________________1.一個(gè)用戶(hù)忘記了自己的rootpassword，正常情況下，那就只有重裝系統(tǒng)后重設(shè)password的方法了[單選題]*答案:錯(cuò)誤(正確答案)2.BufferOverflow只會(huì)引起棧錯(cuò)誤，不會(huì)造成太嚴(yán)重的后果。[單選題]*答案:錯(cuò)誤(正確答案)3.堆溢出和棧溢出在本質(zhì)上是一樣的，都是由于執(zhí)行拷貝操作時(shí)沒(méi)有對(duì)拷貝長(zhǎng)度做限制[單選題]*答案:正確(正確答案)4.BufferOverflow只會(huì)出現(xiàn)在Windows平臺(tái)，Linux平臺(tái)不會(huì)出現(xiàn)[單選題]*答案:錯(cuò)誤(正確答案)5.Formatstringvulnerability是一種可以寫(xiě)內(nèi)存的loophole[單選題]*答案:正確(正確答案)6.Singlebyteoverflow，由于僅溢出了一個(gè)字節(jié)，所以不算是安全loophole[單選題]*答案:錯(cuò)誤(正確答案)7.禁止使用Activityscript可以防范IE執(zhí)行本地任意程序。[單選題]*答案:正確(正確答案)8.WindowsOS中用戶(hù)登錄域的口令是以明文方式傳輸?shù)摹單選題]*答案:錯(cuò)誤(正確答案)9.計(jì)算機(jī)信息系統(tǒng)的安全威脅同時(shí)來(lái)自?xún)?nèi)、外兩個(gè)方面。[單選題]*答案:正確(正確答案)10.只要將strcpy函數(shù)替換為strncpy函數(shù)，就不會(huì)引起緩沖區(qū)溢出loophole了[單選題]*答案:錯(cuò)誤(正確答案)11.置換PasswordEncryption方法重新對(duì)字母進(jìn)行排序，但是并不偽裝明文。[單選題]*答案:錯(cuò)誤(正確答案)12.MS01-033是一種遠(yuǎn)程溢出型Attackloophole[單選題]*答案:正確(正確答案)13.TCPFIN掃描可以?huà)呙鑇indowOS、UNIXOS等操作系統(tǒng)[單選題]*答案:錯(cuò)誤(正確答案)14.TCPSYN是半連接掃描，優(yōu)點(diǎn)是不需要超級(jí)用戶(hù)進(jìn)行系統(tǒng)調(diào)用，缺點(diǎn)是掃描中留下的日志比較多[單選題]*答案:錯(cuò)誤(正確答案)15.可以通過(guò)Banner獲得服務(wù)版本信息或操作系統(tǒng)類(lèi)型[單選題]*答案:正確(正確答案)16.轉(zhuǎn)置PasswordEncryption方法保留了明文符號(hào)的順序，但是將明文偽裝起來(lái)。[單選題]*答案:錯(cuò)誤(正確答案)17.現(xiàn)代Password體制把Algorithm和Key分開(kāi)，只需要保證密鑰的保密性就行了，Algorithm是可以公開(kāi)的。[單選題]*答案:正確(正確答案)18.Securityaudit與Safetyassessment的兩大重要課題，也是計(jì)算機(jī)網(wǎng)絡(luò)安全的核心內(nèi)容，securityaudit側(cè)重于場(chǎng)景再現(xiàn)、取證分析，Safetyassessment側(cè)重于位于綢繆、防患未然。[單選題]*答案:正確(正確答案)19.Loophole是指任何可以造成破壞系統(tǒng)或信息的弱點(diǎn)。[單選題]*答案:正確(正確答案)20.解決Sharedfolder的安全隱患應(yīng)該卸載Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享。[單選題]*答案:正確(正確答案)WEB安全測(cè)試模擬題-中級(jí)-B卷[填空題]_________________________________一、單選題[填空題]_________________________________21.為了優(yōu)化組織的業(yè)務(wù)持續(xù)計(jì)劃（BCP），信息安全專(zhuān)業(yè)人員應(yīng)該建議執(zhí)行業(yè)務(wù)影響分析（）來(lái)確定:*A．能為組織產(chǎn)生最大財(cái)務(wù)價(jià)值，因而需要最先恢復(fù)的業(yè)務(wù)流程(正確答案)B.為保證與組織業(yè)務(wù)戰(zhàn)略相一致，業(yè)務(wù)流程恢復(fù)的優(yōu)先級(jí)和順序(正確答案)C.在災(zāi)難中能保證組織生存而必須恢復(fù)的業(yè)務(wù)流程D.能夠在最短的時(shí)間內(nèi)恢復(fù)最多系統(tǒng)的業(yè)務(wù)流程恢復(fù)順序答案:C22.當(dāng)一個(gè)關(guān)鍵文件服務(wù)器的存儲(chǔ)增長(zhǎng)沒(méi)有被合理管理時(shí)，以下哪一項(xiàng)是最大的風(fēng)險(xiǎn)?[單選題]*A．備份時(shí)間會(huì)穩(wěn)定增長(zhǎng)B．備份成本會(huì)快速增長(zhǎng)C．存儲(chǔ)成本會(huì)快速增長(zhǎng)D．服務(wù)器恢復(fù)工作不能滿(mǎn)足恢復(fù)時(shí)間目標(biāo)（RTO）的要求(正確答案)23.在CMM標(biāo)準(zhǔn)中，哪一個(gè)等級(jí)表明組織在軟件開(kāi)發(fā)過(guò)程中已經(jīng)建立了定量的質(zhì)量指標(biāo)?[單選題]*A．可重復(fù)級(jí)B．已定義級(jí)C．已管理級(jí)(正確答案)D．優(yōu)化級(jí)24.在軟件開(kāi)發(fā)過(guò)程中，為了讓程序內(nèi)部接口錯(cuò)誤能夠被盡早發(fā)現(xiàn)，下列哪一種測(cè)試方法是最有效的?[單選題]*A．自底向上測(cè)試B．白盒測(cè)試C．自頂向下測(cè)試(正確答案)D．黑盒測(cè)試25.在ISO27001:2013中，制定風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該在PDCA的哪個(gè)階段進(jìn)行?[單選題]*A．PlanB．Do(正確答案)C．CheckD．Act26.在通用準(zhǔn)則（）中，是按照下列哪一類(lèi)評(píng)測(cè)等級(jí)對(duì)產(chǎn)品進(jìn)行評(píng)測(cè)的?*A．PPB．EPLC．EAL(正確答案)D．TCB答案:C27.在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）中，下列哪一項(xiàng)是滿(mǎn)足強(qiáng)制保護(hù)要求的最低級(jí)別?[單選題]*A．C2B．C1C．B2D．B1(正確答案)28.Clark-Wilson模型可以滿(mǎn)足所有三個(gè)完整性安全目標(biāo)，哪一個(gè)是錯(cuò)誤的:[單選題]*A．防止授權(quán)用戶(hù)不適當(dāng)?shù)男薷腂．防止非授權(quán)用戶(hù)進(jìn)行篡改C．維持內(nèi)部和外部的一致性D．保障數(shù)據(jù)和程序安全(正確答案)29.下列信息系統(tǒng)安全說(shuō)法正確的是:[單選題]*A．加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全B．只要資金允許就可以實(shí)現(xiàn)絕對(duì)的安全C．?dāng)嚅_(kāi)所有的服務(wù)可以保證信息系統(tǒng)的安全D．信息系統(tǒng)安全狀態(tài)會(huì)隨著業(yè)務(wù)系統(tǒng)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)不同的業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略(正確答案)30.在linux系統(tǒng)中用哪個(gè)命令可以查看文件和目錄，顯示文件的屬性:[單選題]*A.catB.mkdirC.lsD.ls–l(正確答案)31.在linux系統(tǒng)中磁盤(pán)分區(qū)用哪個(gè)命令:[單選題]*A.fdisk(正確答案)B.mvC.mountD.df32.Linux系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows系統(tǒng)的哪個(gè)文件夾:[單選題]*A.ProgramFilesB.Windows(正確答案)C.SystemvolumeinformationD.TEMP33.在linux系統(tǒng)中擁有最高級(jí)別權(quán)限的用戶(hù)是:[單選題]*A.root(正確答案)B.administratorC.mailD.nobody34.如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開(kāi)啟哪個(gè)服務(wù):[單選題]*A.DHCPB.NFSC.SAMBA(正確答案)D.SSH35.下面關(guān)于IIS錯(cuò)誤的描述正確的是?[單選題]*A.401—找不到文件B.403—禁止訪問(wèn)(正確答案)C.404—權(quán)限問(wèn)題D.500—系統(tǒng)錯(cuò)誤36.以下哪一種入侵檢測(cè)系統(tǒng)監(jiān)控網(wǎng)絡(luò)中流量和事件的整體模式，并建立一個(gè)數(shù)據(jù)庫(kù)?[單選題]*A.基于特征庫(kù)的B.基于神經(jīng)網(wǎng)絡(luò)的(正確答案)C.基于統(tǒng)計(jì)(信息)的D.基于主機(jī)的37.當(dāng)實(shí)施IT治理時(shí)，決定實(shí)施對(duì)象的優(yōu)先級(jí)時(shí),下列哪一項(xiàng)是最重要的考慮因素?[單選題]*A.過(guò)程成熟度B.性能指標(biāo)C.商業(yè)風(fēng)險(xiǎn)(正確答案)D.保證報(bào)告38.可用性和IT服務(wù)的可持續(xù)性的最佳實(shí)踐應(yīng)該是:[單選題]*A.使費(fèi)用減到最小與災(zāi)難恢復(fù)相結(jié)合B.提供足夠的能力滿(mǎn)足業(yè)務(wù)需求C.提供合理的擔(dān)保滿(mǎn)足對(duì)客戶(hù)的責(zé)任(正確答案)D.及時(shí)地生成性能報(bào)告39.下列措施中哪項(xiàng)不是登錄訪問(wèn)控制措施?[單選題]*A.審計(jì)登錄者信息(正確答案)B.密碼失效時(shí)間C.密碼長(zhǎng)度D.登錄失敗次數(shù)限制40.下列項(xiàng)目中，哪個(gè)是專(zhuān)門(mén)用于用戶(hù)身份識(shí)別的?[單選題]*A.PIN.(正確答案)B.電話(huà)號(hào)碼C.IP地址D.MAC地址二、多選題[填空題]_________________________________21.在Emergencyresponse方面,政府有關(guān)部門(mén)的職責(zé)是（）。*A.網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)增大時(shí),采取信息報(bào)送、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息評(píng)估、向社會(huì)預(yù)警等措施(正確答案)B.按照規(guī)定程序及權(quán)限對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者法定代表人進(jìn)行約談(正確答案)C.建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度D.制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織演練22.Password破解Securitydefensemeasures包括（）。*A.設(shè)置“好”的Password(正確答案)B.系統(tǒng)及應(yīng)用安全策略(正確答案)C.隨機(jī)驗(yàn)證碼(正確答案)D.Password管理策略(正確答案)23.socialengineering利用的人性弱點(diǎn)包括（）。*A.信任權(quán)威(正確答案)B.信任共同愛(ài)好(正確答案)C.期望守信(正確答案)D.期望社會(huì)認(rèn)可(正確答案)24.socialengineering直接用于攻擊的表現(xiàn)有（）。*A.利用同情、內(nèi)疚和脅迫(正確答案)B.口令破解中的socialengineering利用C.正面攻擊(直接索取)(正確答案)D.網(wǎng)絡(luò)攻擊中的socialengineering利用25.下列選項(xiàng)中,屬于socialengineering在安全意識(shí)培訓(xùn)方面進(jìn)行防御的措施是（）。*A.構(gòu)建完善的技術(shù)防御體系B.知道什么是socialengineering攻擊(正確答案)C.知道socialengineering攻擊利用什么(正確答案)D.有效的安全管理體系和操作26.關(guān)于Stack,下列表述正確的是（）。*A.一段連續(xù)分配的內(nèi)存空間(正確答案)B.特點(diǎn)是FIFOC.Stack生長(zhǎng)方向與內(nèi)存地址方向相反(正確答案)D.Stack生長(zhǎng)方向與內(nèi)存地址方向相同27.OS安全配置對(duì)抗DNSSpoofing的措施包括（）。*A.關(guān)閉DNS服務(wù)遞歸功能(正確答案)B.限制域名服務(wù)器作出響應(yīng)的地址(正確答案)C.限制發(fā)出請(qǐng)求的地址(正確答案)D.限制域名服務(wù)器作出響應(yīng)的遞歸請(qǐng)求地址(正確答案)28.BackDoor的作用包括（）。*A.方便下次直接進(jìn)入(正確答案)B.監(jiān)視用戶(hù)所有隱私(正確答案)C.監(jiān)視用戶(hù)所有行為(正確答案)D.完全控制用戶(hù)主機(jī)(正確答案)29.BackDoorTrojanhorse種類(lèi)包括（）。*A.特洛伊Trojanhorse(正確答案)B.RootKit(正確答案)C.腳本BackDoor(正確答案)D.隱藏賬號(hào)(正確答案)30.Logging分析重點(diǎn)包括（）。*A.源IP(正確答案)B.請(qǐng)求方法(正確答案)C.請(qǐng)求鏈接(正確答案)D.狀態(tài)代碼(正確答案)31.目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料包括（）。*A.域名(正確答案)B.網(wǎng)絡(luò)拓?fù)?正確答案)C.操作系統(tǒng)(正確答案)D.應(yīng)用軟件(正確答案)32.Whois可以查詢(xún)到的信息包括（）。*A.域名所有者(正確答案)B.域名及IP地址對(duì)應(yīng)信息(正確答案)C.域名注冊(cè)、到期日期D(正確答案).域名所使用的DNSServers33.PortScanning的掃描方式主要包括（）。*A.全掃描(正確答案)B.半打開(kāi)掃描(正確答案)C.隱秘掃描(正確答案)D.NESSUS34.Securityvulnerabilities信息及攻擊工具獲取的途徑包括（）。*A.NESSUSB.Securityvulnerabilities庫(kù)(正確答案)C.QQ群(正確答案)D.論壇等交互應(yīng)用(正確答案)35.informationgathering與分析工具包括（）。*A.網(wǎng)絡(luò)設(shè)備Securityvulnerabilities掃描器(正確答案)B.集成化的Securityvulnerabilities掃描器(正確答案)C.專(zhuān)業(yè)web掃描軟件(正確答案)D.DBSecurityvulnerabilities掃描器(正確答案)36.informationgathering與分析的過(guò)程包括（）。*A.informationgathering(正確答案)B.目標(biāo)分析(正確答案)C.實(shí)施攻擊(正確答案)D.打掃戰(zhàn)場(chǎng)(正確答案)37.計(jì)算機(jī)時(shí)代的Securitythreats包括（）。*A.非法訪問(wèn)(正確答案)B.惡意代碼(正確答案)C.脆弱口令(正確答案)D.破解38.VonNeumann模式的計(jì)算機(jī)包括（）。*A.顯示器(正確答案)B.輸入與輸出設(shè)備(正確答案)C.FPUD.存儲(chǔ)器(正確答案)39.Informationsecurity的安全措施包括（）。*A.Firewall(正確答案)B.防Networkvirus(正確答案)C.NESSUSD.入侵檢測(cè)(正確答案)40.Informationsecurity包括（）。*A.技術(shù)保障(正確答案)B.管理保障(正確答案)C.人員培訓(xùn)保障(正確答案)D.法律法規(guī)保障(正確答案)三、判斷題[填空題]_________________________________21.只要選擇一種最安全的操作系統(tǒng)，整個(gè)系統(tǒng)就可以保障安全。[單選題]*答案:錯(cuò)誤(正確答案)22.Screensaver的Password是需要分大小寫(xiě)的。[單選題]*答案:正確(正確答案)23.Password學(xué)的基本規(guī)則是，你必須讓Password分析者知道Encryption和解密所使用的方法。[單選題]*答案:正確(正確答案)24.Socialengineering，冒充合法用戶(hù)發(fā)送郵件或打電話(huà)給管理人員，以騙取用戶(hù)口令和其他信息;垃圾搜索:Attacker通過(guò)搜索被攻擊者的廢棄物，得到與系統(tǒng)有關(guān)的信息，如果用戶(hù)將口令寫(xiě)在紙上又隨便丟棄，則很容易成為垃圾搜索的Attack對(duì)象。[單選題]*答案:正確(正確答案)25.安全管理從范疇上講，涉及物理安全策略、訪問(wèn)控制策略、信息Encryption策略和Networksecuritymanagement策略。[單選題]*答案:正確(正確答案)26.Securityaudit就是日志的記錄。[單選題]*答案:錯(cuò)誤(正確答案)27.Windows域(Domain)中的用戶(hù)帳號(hào)和口令信息存儲(chǔ)在"域控制器"中[單選題]*答案:正確(正確答案)28.在設(shè)計(jì)系統(tǒng)安全策略時(shí)要首先評(píng)估可能受到的安全威脅[單選題]*答案:正確(正確答案)29.為提高工作效率，外單位人員可以隨意接入公司內(nèi)網(wǎng)。[單選題]*答案:錯(cuò)誤(正確答案)30.指令和數(shù)據(jù)均以八進(jìn)制形式存儲(chǔ)于同一個(gè)安全存儲(chǔ)器中。[單選題]*答案:錯(cuò)誤(正確答案)31.安全數(shù)據(jù)庫(kù)是一種將數(shù)據(jù)庫(kù)看作是一張二維表的形式存入數(shù)據(jù)庫(kù)。[單選題]*答案:錯(cuò)誤(正確答案)32.數(shù)據(jù)安全管理是指對(duì)數(shù)據(jù)的分類(lèi)、組織、編碼、存儲(chǔ)、檢索和維護(hù)。[單選題]*答案:錯(cuò)誤(正確答案)33.用于網(wǎng)管的安全OS是一個(gè)與各專(zhuān)業(yè)網(wǎng)管垂直（平行）的OS。[單選題]*答案:錯(cuò)誤(正確答案)34.Securitydomain是具有相同或接近的安全需求，相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的結(jié)合，一個(gè)Securitydomain可以被劃分為安全子域。[單選題]*答案:正確(正確答案)35.根據(jù)信息系統(tǒng)等級(jí)保護(hù)的要求，信息系統(tǒng)的保護(hù)等級(jí)分為6級(jí)。[單選題]*答案:錯(cuò)誤(正確答案)36.Informationsafety研究所涉及的領(lǐng)域相當(dāng)廣泛。從信息的層次來(lái)看，包括信息的來(lái)源、去向，內(nèi)容的真實(shí)無(wú)誤及保證信息的完整性，信息不會(huì)被非法泄漏擴(kuò)算保證新的保密性，信息的發(fā)送和接收者無(wú)法否認(rèn)自己所做過(guò)的操作行為而保證信息的不可否認(rèn)性。[單選題]*答案:正確(正確答案)37.安全管理從范疇上講，涉及物理安全策略、訪問(wèn)控制策略、信息Encryption策略和網(wǎng)絡(luò)安全管理策略。[單選題]*答案:正確(正確答案)38.系統(tǒng)安全的責(zé)任在于IT技術(shù)人員，最終用戶(hù)不需要了解安全問(wèn)題[單選題]*答案:錯(cuò)誤(正確答案)39.路由協(xié)議如果沒(méi)有Authentication功能，就可以偽造路由信息，導(dǎo)致路由表混亂，從而使網(wǎng)絡(luò)癱瘓。[單選題]*答案:正確(正確答案)40.主動(dòng)Attack包括分析通信流，監(jiān)視未被保護(hù)的通信，解密弱Encryption通道，獲取鑒別信息（如口令）。[單選題]*答案:錯(cuò)誤(正確答案)WEB安全測(cè)試模擬題-中級(jí)-C卷[填空題]_________________________________一、單選題[填空題]_________________________________41.Bell-LaPadula安全模型主要關(guān)注安全的哪個(gè)方面?[單選題]*A.可審計(jì)B.完整性C.機(jī)密性(正確答案)D.可用性42.下面哪類(lèi)控制模型是基于安全標(biāo)簽實(shí)現(xiàn)的?[單選題]*A.自主訪問(wèn)控制B.強(qiáng)制訪問(wèn)控制(正確答案)C.基于規(guī)則的訪問(wèn)控制D.基于身份的訪問(wèn)控制43.下面哪個(gè)角色對(duì)數(shù)據(jù)的安全負(fù)責(zé)?[單選題]*A.數(shù)據(jù)擁有者B.數(shù)據(jù)監(jiān)管人員(正確答案)C.用戶(hù)D.安全管理員44.系統(tǒng)本身的，可以被黑客利用的安全弱點(diǎn)，被稱(chēng)為[單選題]*A.脆弱性(正確答案)B.風(fēng)險(xiǎn)C.威脅D.弱點(diǎn)45.系統(tǒng)的弱點(diǎn)被黑客利用的可能性，被稱(chēng)為[單選題]*A.風(fēng)險(xiǎn)(正確答案)B.殘留風(fēng)險(xiǎn)C.暴露D.幾率46.下列哪一項(xiàng)準(zhǔn)確地描述了可信計(jì)算基（TCB）?[單選題]*A．TCB只作用于固件（Firmware）B．TCB描述了一個(gè)系統(tǒng)提供的安全級(jí)別C．TCB描述了一個(gè)系統(tǒng)內(nèi)部的保護(hù)機(jī)制(正確答案)D．TCB通過(guò)安全標(biāo)簽來(lái)表示數(shù)據(jù)的敏感性47.安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪一項(xiàng)最好地描述了安全模型中的“簡(jiǎn)單安全規(guī)則”?[單選題]*A．Biba模型中的不允許向上寫(xiě)B(tài)．Biba模型中的不允許向下讀C．Bell-LaPadula模型中的不允許向下寫(xiě)D．Bell-LaPadula模型中的不允許向上讀(正確答案)48.為了防止授權(quán)用戶(hù)不會(huì)對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，需要實(shí)施對(duì)數(shù)據(jù)的完整性保護(hù)，下列哪一項(xiàng)最好地描述了星或（*-）完整性原則?[單選題]*A．Bell-LaPadula模型中的不允許向下寫(xiě)B(tài)．Bell-LaPadula模型中的不允許向上讀C．Biba模型中的不允許向上寫(xiě)(正確答案)D．Biba模型中的不允許向下讀49.某公司的業(yè)務(wù)部門(mén)用戶(hù)需要訪問(wèn)業(yè)務(wù)數(shù)據(jù)，這些用戶(hù)不能直接訪問(wèn)業(yè)務(wù)數(shù)據(jù)，而只能通過(guò)外部程序來(lái)操作業(yè)務(wù)數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分?[單選題]*A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型(正確答案)50.作為一名信息安全專(zhuān)業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問(wèn)控制策略。由于該公司的人員流動(dòng)性較大，你準(zhǔn)備根據(jù)用戶(hù)所屬的組以及在公司中的職責(zé)來(lái)確定對(duì)信息資源的訪問(wèn)權(quán)限，最應(yīng)該采用下列哪一種訪問(wèn)控制模型?[單選題]*A．自主訪問(wèn)控制（DAC）B．強(qiáng)制訪問(wèn)控制（MAC）C．基于角色訪問(wèn)控制（RBAC）(正確答案)D．最小特權(quán)（LeastPrivilege）51.下列哪一種訪問(wèn)控制模型是通過(guò)訪問(wèn)控制矩陣來(lái)控制主體與客體之間的交互?[單選題]*A．強(qiáng)制訪問(wèn)控制（MAC）B．集中式訪問(wèn)控制（DecentralizedAccessControl）C．分布式訪問(wèn)控制（DistributedAccessControl）D．自主訪問(wèn)控制（DAC）(正確答案)52.下列哪種類(lèi)型的IDS能夠監(jiān)控網(wǎng)絡(luò)流量中的行為特征，并能夠創(chuàng)建新的數(shù)據(jù)庫(kù)?[單選題]*A．基于特征的IDSB．基于神經(jīng)網(wǎng)絡(luò)的IDS(正確答案)C．基于統(tǒng)計(jì)的IDSD．基于主機(jī)的IDS53.訪問(wèn)控制模型應(yīng)遵循下列哪一項(xiàng)邏輯流程?[單選題]*A．識(shí)別，授權(quán)，認(rèn)證B．授權(quán)，識(shí)別，認(rèn)證C．識(shí)別，認(rèn)證，授權(quán)(正確答案)D．認(rèn)證，識(shí)別，授權(quán)54.在對(duì)生物識(shí)別技術(shù)中的錯(cuò)誤拒絕率（FRR）和錯(cuò)誤接收率（FAR）的定義中，下列哪一項(xiàng)的描述是最準(zhǔn)確的?[單選題]*A．FAR屬于類(lèi)型I錯(cuò)誤，F(xiàn)RR屬于類(lèi)型II錯(cuò)誤B．FAR是指授權(quán)用戶(hù)被錯(cuò)誤拒絕的比率，F(xiàn)RR屬于類(lèi)型I錯(cuò)誤C．FRR屬于類(lèi)型I錯(cuò)誤，F(xiàn)AR是指冒充者被拒絕的次數(shù)D．FRR是指授權(quán)用戶(hù)被錯(cuò)誤拒絕的比率，F(xiàn)AR屬于類(lèi)型II錯(cuò)誤(正確答案)55.某單位在評(píng)估生物識(shí)別系統(tǒng)時(shí)，對(duì)安全性提出了非常高的要求。據(jù)此判斷，下列哪一項(xiàng)技術(shù)指標(biāo)對(duì)于該單位來(lái)說(shuō)是最重要的?[單選題]*A．錯(cuò)誤接收率（FAR）(正確答案)B．平均錯(cuò)誤率（EER）C．錯(cuò)誤拒絕率（FRR）D．錯(cuò)誤識(shí)別率（FIR）56.下列哪種方法最能夠滿(mǎn)足雙因子認(rèn)證的需求?[單選題]*A．智能卡和用戶(hù)PIN(正確答案)B．用戶(hù)ID與密碼C．虹膜掃描和指紋掃描D．磁卡和用戶(hù)PIN57.在Kerberos結(jié)構(gòu)中，下列哪一項(xiàng)會(huì)引起單點(diǎn)故障?[單選題]*A．E-Mail服務(wù)器B．客戶(hù)工作站C．應(yīng)用服務(wù)器D．密鑰分發(fā)中心（KDC）(正確答案)58.在下列哪一項(xiàng)訪問(wèn)控制技術(shù)中，數(shù)據(jù)庫(kù)是基于數(shù)據(jù)的敏感性來(lái)決定誰(shuí)能夠訪問(wèn)數(shù)據(jù)?[單選題]*A．基于角色訪問(wèn)控制B．基于內(nèi)容訪問(wèn)控制(正確答案)C．基于上下文訪問(wèn)控制D．自主訪問(wèn)控制59.數(shù)據(jù)庫(kù)管理員在檢查數(shù)據(jù)庫(kù)時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)的性能不理想，他準(zhǔn)備通過(guò)對(duì)部分?jǐn)?shù)據(jù)表實(shí)施去除規(guī)范化（denormanization）操作來(lái)提高數(shù)據(jù)庫(kù)性能，這樣做將增加下列哪項(xiàng)風(fēng)險(xiǎn)?[單選題]*A．訪問(wèn)的不一致B．死鎖C．對(duì)數(shù)據(jù)的非授權(quán)訪問(wèn)D．?dāng)?shù)據(jù)完整性的損害(正確答案)60.下列哪一項(xiàng)不是一種預(yù)防性物理控制?[單選題]*A．安全警衛(wèi)B．警犬C．訪問(wèn)登記表(正確答案)D．圍欄二、多選題[填空題]_________________________________41.對(duì)于Informationsecurity特征,下列說(shuō)法正確的有（）。*A.Informationsecurity是一個(gè)系統(tǒng)的安全(正確答案)B.Informationsecurity是一個(gè)動(dòng)態(tài)的安全(正確答案)C.Informationsecurity是一個(gè)無(wú)邊界的安全(正確答案)D.Informationsecurity是一個(gè)非傳統(tǒng)的安全(正確答案)42.Informationsecurity的對(duì)象包括有（）。*A.目標(biāo)(正確答案)B.規(guī)則(正確答案)C.組織(正確答案)D.人員(正確答案)43.實(shí)施Informationsecurity,需要保證（）反映業(yè)務(wù)目標(biāo)。*A.安全策略(正確答案)B.目標(biāo)(正確答案)C.活動(dòng)(正確答案)D.安全執(zhí)行44.實(shí)施Informationsecurity,需要有一種與組織文化保持一致的（）Informationsecurity的途徑。*A.實(shí)施(正確答案)B.維護(hù)(正確答案)C.監(jiān)督(正確答案)D.改進(jìn)(正確答案)45.實(shí)施Informationsecurity的關(guān)鍵成功因素包括（）。*A.向所有管理者和員工有效地推廣安全意識(shí)(正確答案)B.向所有管理者、員工及其他伙伴方分發(fā)Informationsecurity策略、指南和標(biāo)準(zhǔn)(正確答案)C.為Informationsecurity管理活動(dòng)提供資金支持(正確答案)D.提供適當(dāng)?shù)呐嘤?xùn)和教育(正確答案)46.Nationalsecurity組成要素包括（）。*A.Informationsecurity(正確答案)B.政治安全(正確答案)C.經(jīng)濟(jì)安全(正確答案)D.文化安全(正確答案)47.下列屬于assets的有（）。*A.信息(正確答案)B.信息載體(正確答案)C.人員(正確答案)D.公司的形象與名譽(yù)(正確答案)48.Securitythreats的特征包括（）。*A.不確定性(正確答案)B.確定性C.客觀性(正確答案)D.主觀性49.Managerisk的方法,具體包括（）。*A.行政方法(正確答案)B.技術(shù)方法(正確答案)C.管理方法(正確答案)D.法律方法(正確答案)50.Managerisk的基本概念包括（）。*A.資產(chǎn)(正確答案)B.脆弱性(正確答案)C.Securitythreats(正確答案)D.控制措施(正確答案)51.PDCA循環(huán)的內(nèi)容包括（）。*A.計(jì)劃(正確答案)B.實(shí)施(正確答案)C.檢查(正確答案)D.行動(dòng)(正確答案)52.Informationsecurity實(shí)施細(xì)則中,安全方針的具體內(nèi)容包括（）。*A.分派責(zé)任(正確答案)B.約定Informationsecurity管理的范圍(正確答案)C.對(duì)特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說(shuō)明(正確答案)D.對(duì)報(bào)告可疑安全事件的過(guò)程進(jìn)行說(shuō)明(正確答案)53.Informationsecurity實(shí)施細(xì)則中,Informationsecurity內(nèi)部組織的具體工作包括（）。*A.Informationsecurity的管理承諾(正確答案)B.Informationsecurity協(xié)調(diào)(正確答案)C.Informationsecurity職責(zé)的分配(正確答案)D.信息處理設(shè)備的授權(quán)過(guò)程(正確答案)54.Informationsecurity事件分類(lèi)包括（）。*A.一般事件(正確答案)B.較大事件(正確答案)C.重大事件(正確答案)D.特別重大事件(正確答案)55.Informationsecurity災(zāi)難恢復(fù)建設(shè)流程包括（）。*A.目標(biāo)及需求(正確答案)B.策略及方案(正確答案)C.演練與測(cè)評(píng)(正確答案)D.維護(hù)、審核、更新(正確答案)56.重要Informationsecurity管理過(guò)程中的技術(shù)管理要素包括（）。*A.災(zāi)難恢復(fù)預(yù)案(正確答案)B.運(yùn)行維護(hù)管理能力(正確答案)C.技術(shù)支持能力(正確答案)D.備用網(wǎng)絡(luò)系統(tǒng)(正確答案)57.Sitesafety要考慮的因素有（）*A.場(chǎng)地選址(正確答案)B.場(chǎng)地防火(正確答案)C.場(chǎng)地防水防潮(正確答案)D.場(chǎng)地溫度控制(正確答案)E.場(chǎng)地電源供應(yīng)(正確答案)58.6