CISP试题及答案-7套题详解 下载本文

A 传输模式、安全壳模式 B 传输模式、隧道模式 C 隧道模式 、ESP模式

D 安全壳模式、AH模式

31、组成IPSEC的主要安全协议不包括以下哪一项: A 、 ESP B、 DSS C 、 IKE D、 AH 32、在UNIX系统中输入命令“LS-al test”显示如下;

-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对他的含义解释错误的是:

A、这是一个文件,而不是目录

B、文件的拥有者可以对这个文件读、写和执行的操作 C、文件所属组的成员有可以读它,也可以执行它 D、其他所有用户只可以执行它

33、计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?

A 分配网络端口号(如ftp服务对应21端口) B 利用MAC地址 C 使用子网掩码 D 利用PKI/CA

34、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache 目录的配置文件是:

A httpd.conf B srm.conf C inetd.conf D access.conf

35、下面哪一项是操作系统中可信通路(trust path)机制的实例? A Window系统中ALT+CTRL+DEL B root在Linux系统上具有绝对的权限 C 以root身份作任何事情都要谨慎

D 控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置

36、以下对Windows服务的说法错误的是( )

A 为了提升系统的安全性管理员应尽量关闭不需要的服务 B Windows服务只有在用户成功登录系统后才能运行

C 可以作为独立的进程运行或以DLL的形式依附在Svchost.exe D windows服务通常是以管理员的身份运行的

37、以下哪一项不是IIS服务器支持的访问控制过滤类型?

A 网络地址访问控制 B web服务器许可 C NTFS许可 D 异常行为过滤

38、下列哪一项与数据库的安全有直接关系?

A 访问控制的粒度 B 数据库的大小 C 关系表中属性的数量 D 关系表中元组的数量

39、下列哪一组Oracle数据库的默认用户名和默认口令?

A 用户名: “Scott”;口令:“tiger” B 用户名: “Sa”;口令:“nullr” C 用户名: “root”;口令:“null” D 用户名: “admin”;口令:“null” 40、关于数据库安全的说法错误的是?

A 数据库系统的安全性很大程度上依赖于DBMS的安全机制

B 许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件

C 为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段

D 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 42、下面关于计算机恶意代码发展趋势的说法错误的是:

A 木马和病毒盗窃日益猖獗 B 利用病毒犯罪的组织性和趋利性增加

C综合利用多种编程新技术、对抗性不断增加 D 复合型病毒减少,而自我保护功能增加

43、关于网页中的恶意代码,下列说法错误的是:

A 网页中的恶意代码只能通过IE浏览器发挥作用 B 网页中恶意代码可以修改系统注册表 C 网页中的恶意代码可以修改系统文件

D 网页中的恶意代码可以窃取用户的机密性文件 44、下面对于“电子邮件炸弹”的解释最准确的是: A 邮件正文中包含的恶意网站链接 B 邮件附件中具有强破坏性的病毒

C 社会工程的一种方式,具有恐吓内容的邮件

D 在短时间内发送大量邮件软件,可以造成目标邮箱爆满 45、以下哪一项是常见Web站点脆弱性扫描工具: A Sniffer B Nmap C Appscan D LC 46、下面哪一项不是安全编程的原则 A 尽可能使用高级语言进行编程 B 尽可能让程序只实现需要的功能 C 不要信任用户输入的数据

D 尽可能考虑到意外的情况,并设计妥善的处理方法 47、黑客进行攻击的最后一个步骤是:

A 侦查与信息收集 B 漏洞分析与目标选定 C 获取系统权限扫战场、清楚证据

48、下面哪一项是缓冲溢出的危害?

A 可能导致shellcode的执行而非法获取权限,破坏系统的保密性 B 执行shellcode后可能进行非法控制,破坏系统的完整性 C 可能导致拒绝服务攻击,破坏系统的可用性 D 以上都是

打 D

49、以下哪一项是DOS攻击的一个实例

A SQL注入 B IP Spoof C Smurf攻击 D 字典破解 50、以下对于蠕虫病毒的错误说法是() A 通常蠕虫的传播无需用户的操作

B 蠕虫病毒的主要危害体现在对数据保密的破坏 C 蠕虫的工作原理与病毒相似,除了没有感染文件

D 是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统 51、以下哪一项不是跨站脚本攻击?

A 给网站挂马 B 盗取COOKIE C 伪造页面信息 D 暴力破解密码

52.对能力成熟度模型解释最准确的是?

A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。 B. 它通过严格考察工程成果来判断工程能力。

C.它与统计过程控制的理论出发点不同,所以应用于不同领域。 D.它是随着信息安全的发展而诞生的重要概念。

53.一个单位在处理一台储存过高密级信息的计算机是首先应该做什么? A.将硬盘的每一个比特写成“O” B.将硬盘彻底毁坏 C.选择秘密信息进行删除 D.进行低级格式化

60.变更控制是信息系统运行管理的重要的内容,在变更控制的过程中: A.应该尽量追求效率,而没有任何的程序和核查的阻碍。

B.应该将重点放在风险发生后的纠正措施上。 C.应该很好的定义和实施风险规避的措施。

D.如果是公司领导要求的,对变更过程不需要追踪和审查

61.在信息系统的开发和维护过程中,以下哪一种做法是不应该被赞成的 A.在购买软件包后,依靠本单位的技术力量对软件包进行修改,加强代码的安全性。

B.当操作系统变更后,对业务应用系统进行测试和评审。 C.在需要是对操作文档和用户守则进行适当的修改。 D.在安装委外开发的软件前进行恶意代码检测。

62.对于信息系统访问控制说法错误的是?

A.应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。

B.网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决

C.做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任

D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施

63.对程序源代码进行访问控制管理时,以下那种做法是错误的? A.若有可能,在实际生产系统中不保留源程序库。 B.对源程序库的访问进行严格的审计

C.技术支持人员应可以不受限制的访问源程序 D.对源程序库的拷贝应受到严格的控制规程的制约

64. 目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是? A.数据库系统庞大会提高管理成本 B.数据库系统庞大会降低管理效率