信息安全等級測評師模擬試卷二-有答案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息安全等級測評師測試一、單選題 （16分） 中衛(wèi)科技 1、下列命令中錯誤的是 。（ C ） A、PASS_MAX_DAYS 30 #登錄密碼有效期30天 B、PASS_MIN_DAYS 2 #登錄密碼最短修改時間2天 C、FALL_DELAY 10 #登錄錯誤時等待10分鐘（秒） D、FALLLOG_ENAB YES #登錄錯誤記錄到日志 2、Windows操作系統(tǒng)可以通過配置 來對登錄進行限制。（ C ） A、系統(tǒng)環(huán)境變量 B、通過ip地址 C、賬戶鎖定策略 D、讀寫保護3、 Windows安裝完成后，默認(rèn)情況下會產(chǎn)生兩個賬號，分別是管理員賬 號和 。（ C ）a

2、dministrator和guest兩個A、本地賬號 B、域賬號 C、來賓賬號 D、局部賬號 4、有編輯/etc/passad文件能力的攻擊者可以通過把UID變?yōu)?就可 以作為特權(quán)用戶。（ B ）應(yīng)該是/etc/passwd文件，題目寫錯了。A、 -1 B、 0 C、 1 D、 25、敏感標(biāo)記是由 的安全管理員進行設(shè)置的，通過對 設(shè)置敏感 標(biāo)記，決定主體以何種權(quán)限對客體進行操作，實現(xiàn)強制訪問控制。 （ C ） A、強制性 重要信息資源 B、強認(rèn)證 一般信息資源 C、強認(rèn)證 重要信息資源 D、強制性 一般信息資源 6、發(fā)現(xiàn)入侵的最簡單最直接的方法是去看 和 。（ B ） A、審計記錄 系統(tǒng)文件

3、B、系統(tǒng)記錄 安全審計文件 C、系統(tǒng)記錄 系統(tǒng)文件 D、審計記錄 安全審計文件7. windows和linux操作系統(tǒng)用戶密碼最長使用期限推薦配置為 （ C ）A30天 60天 B. 60天 90天C. 70天 90天 D. 50天 70天8Windows操作系統(tǒng)中，本地登錄權(quán)限對 用戶組不開放。( D )AGuest B.Administartors C.Users D.Everyone二、多選題（27分） 1、下列Linux說法中正確的是 。（ B C ） A、對于配置文件權(quán)限值不能大于664 -應(yīng)該是644 - rw - r- - r - -最好是600. B、使用“l(fā)s-l文件名”命令

4、，查看重要文件和目錄權(quán)限設(shè)置是否合理 C、對于可執(zhí)行文件的權(quán)限值不能大于755 D、dr-xr-rw-；用數(shù)字表示為523-應(yīng)該是546 2、對于賬戶的管理合理的是 。（ BD ） A、留有不使用的賬戶，供以后查詢 B、刪除過期的賬戶 C、為了便于管理，多人可共享同一個賬戶 D、應(yīng)禁用默認(rèn)賬戶 3、Windows系統(tǒng)中的審計日志包括 。（ ABC ）A、系統(tǒng)日志 B、安全日志 C、應(yīng)用程序日志 D、用戶日志 4、unix/linux系統(tǒng)中的密碼信息保存在/etc/passwd或/etc/shadow文件中， 信息包含的內(nèi)容有 。（ BCD ）A、最近使用過的密碼 B、用戶可以再次改變密碼必須經(jīng)

5、過的最小周期 C、密碼最近的改變時間 D、密碼有效的最大天數(shù) -這三條都是在shadow文件里記錄的。 5、系統(tǒng)資源概念是指 等軟硬件資源。（ ACD ） A、CPU B、網(wǎng)絡(luò)地址 C、存儲空間 D、傳輸帶寬 6. 信息安全等級保護制度的原則是（ ABDE ） A.指導(dǎo)監(jiān)督，重點保護 B.依照標(biāo)準(zhǔn)，自行保護 C.行業(yè)配合，優(yōu)先保護 D.明確責(zé)任，共同保護 E.同步建設(shè)，動態(tài)調(diào)整 7、 信息系統(tǒng)定級為三級的特點是（ BD ） A. 對國家安全造成嚴(yán)重損害 B. 對社會秩序和公共利益造成嚴(yán)重損害 C. 對公民、法人和組織的合法權(quán)益造成特別嚴(yán)重損害 D. 基本要求中增加了異地備份8、 下列說法中正確

6、的是（ BC ）A. 三級以上的信息系統(tǒng)建成完成后，信息系統(tǒng)運營使用單位應(yīng)到公安機 關(guān)進行備案。B. 在安全評估過程中，采用滲透性測試手段，檢測系統(tǒng)脆弱性C. 信息系統(tǒng)的等級應(yīng)由業(yè)務(wù)信息系統(tǒng)和服務(wù)系統(tǒng)的較高者決定D. 信息保密性可分為秘密和機密兩個等級。9、 我國之所以實行信息安全保護制度，是因為（ ABCD ）A. 我國的信息安全保障工作基礎(chǔ)還很薄弱B. 基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重C. 來自境內(nèi)外敵對勢力的入侵、攻擊、破壞越來越嚴(yán)重D.國際上通行的做法三、判斷題（7分） 1、Linux是一個支持單用戶、多進程、多線程，實時性較好的功能強大而 穩(wěn)定的操作系統(tǒng)。（ × ）多

7、用戶2、 shadow文件是不能被普通用戶讀取的，只有超級用戶才有權(quán)讀取。（ ）3、 Windows XP賬號使用密碼對訪問者進行身份驗證。密碼是區(qū)分大小寫的字符串，最多可包含16個字符。字母有的有效字符是數(shù)字、字母、中文和符號。（ × ）4、 在Oracle數(shù)據(jù)庫系統(tǒng)中，查看標(biāo)簽創(chuàng)建情況：select*from dba_sa_labels。（ ）5、 訪問控制是安全防范和保護的主要策略，它不僅應(yīng)用于網(wǎng)絡(luò)層面，同樣也適用于主機層面。（ ） 6. 防惡意代碼攻擊應(yīng)遵循“木桶原理”，為了統(tǒng)一管理，主機防惡意代碼產(chǎn)品和網(wǎng)絡(luò)防惡意代碼產(chǎn)品應(yīng)使用統(tǒng)一的代碼庫，以保證同時更新。（ ×

8、）7. windows操作系統(tǒng)的用戶SID是全球唯一的，而用戶名可以相同。Linux操作系統(tǒng)的UID必須是唯一的，GID可以相同。 （ × ） 四、簡答題（50分，每題10分） 1、身份認(rèn)證的信息主要有哪幾類？并每項列舉不少于2個的事例。答：身份認(rèn)證的信息可分為以下幾類：1）用戶知道的信息，如個人標(biāo)識、口令等。2）用戶所持有的證件，如門卡、智能卡、硬件令牌等。3）用戶所特有的特征，指紋、虹膜、視網(wǎng)膜掃描結(jié)果等。 2、數(shù)字證書的含義，分類和主要用途，所采用的密碼體制？答：1）數(shù)字證書是由認(rèn)證中心生成并經(jīng)認(rèn)證中心數(shù)字簽名的，標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的

9、身份。2）從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。3）簽名證書主要用于對用戶信息進行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對用戶傳送信息進行加密，以保證信息的真實性和完整性。4）數(shù)字證書采用非對稱密鑰體制。即利用一對互相匹配的私鑰/公鑰進行加密、解密。其中私鑰用于進行解密和簽名；公鑰用于加密和驗證簽名。3、試解釋SQL注入攻擊的原理，以及它產(chǎn)生的不利影響。答：SQL注入攻擊的原理是從客戶端提交特殊的代碼，Web應(yīng)用程序如果沒做嚴(yán)格的檢查就將其形成SQL命令發(fā)送給數(shù)據(jù)庫，從數(shù)據(jù)庫返回的信息中，攻擊者可以獲得程序及服務(wù)器的信息，從而進一步獲得其他資料。 SQL注入攻擊可以獲取W

10、eb應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)的信息，還可以通過SQL注入攻擊竊取敏感數(shù)據(jù)，篡改數(shù)據(jù)，破壞數(shù)據(jù)，甚至以數(shù)據(jù)庫系統(tǒng)為橋梁進一步入侵服務(wù)器操作系統(tǒng)，從而帶來更為巨大的破壞。4、 入侵威脅有哪幾種？入侵行為有哪幾種？造成入侵威脅的入侵行為主要是哪兩種，各自的含義是什么？答：1、入侵威脅可分為： 2、入侵行為可分為： 3、主要入侵行為： 1）外部滲透 1）物理入侵 1）系統(tǒng)入侵 2）內(nèi)部滲透 2）系統(tǒng)入侵 2）遠程入侵 3）不法行為 3）遠程入侵4、1）系統(tǒng)入侵是指入侵者在擁有系統(tǒng)的一個低級帳號權(quán)限下進行的破壞活動；2）遠程入侵是指入侵者通過網(wǎng)絡(luò)滲透到一個系統(tǒng)中。 5、系統(tǒng)定級的一般流程是什么？ 答：1、確定作為定級對象的信息系統(tǒng)； 2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；根據(jù)不同的受害客體，從各個方面綜合評定業(yè)務(wù)信息安全被破壞對課題的侵害程度。根據(jù)業(yè)務(wù)