安全測試模擬題中級卷附有答案

WEB安全測試模擬題-中級-A卷[復(fù)制]一、單選題[填空題]_________________________________1.以下哪一種DataBackup方式在時(shí)間上最快?[單選題]*A.增量DataBackup(正確答案)B.差異DataBackupC.完全DataBackupD.磁盤鏡像2.下面哪項(xiàng)不是Electromagneticradiationleakage防護(hù)手段?[單選題]*A.紅黑電源B.屏蔽機(jī)房C.視頻干擾器D.防靜電服(正確答案)3.下面哪類惡意程序可以不接觸任何介質(zhì)，自主傳播?[單選題]*A.木馬B.病毒C.蠕蟲(正確答案)D.釣魚程序4.下面那類設(shè)備常用于風(fēng)險(xiǎn)分析?[單選題]*A.FirewallB.IDSC.漏洞掃描器(正確答案)D.UTM5.Windows操作系統(tǒng)的注冊表運(yùn)行命令是:[單選題]*A.Regsvr32B.Regegit(正確答案)C.Regedit.mscD.Regedit.mmc6.安裝活動目錄時(shí)會同時(shí)創(chuàng)建DNS的主要區(qū)域，區(qū)域記錄不全會導(dǎo)致目錄服務(wù)異常，可通過重啟Windows的（）來重寫DNS區(qū)域?[單選題]*A.Server服務(wù)B.NetLogon服務(wù)(正確答案)C.Messenger服務(wù)D.NetworkDDE服務(wù)7.關(guān)閉Windows網(wǎng)絡(luò)共享功能需要關(guān)閉（）服務(wù)?[單選題]*A.Server(正確答案)B.WorkstationC.ServiceLayerD.TerminalServices8.AD中的組策略不可以應(yīng)用到[單選題]*A.域B.OUC.站點(diǎn)D.組(正確答案)9.EFSencryption文件系統(tǒng)使用的encryption技術(shù)是（）。[單選題]*A.DESB.3DESC.IDEAD.RSA(正確答案)10.下列哪種IDS將最有可能對正常網(wǎng)絡(luò)活動產(chǎn)生錯(cuò)誤警報(bào)?[單選題]*A.基于統(tǒng)計(jì)(正確答案)B.基于數(shù)字SignatureC.神經(jīng)網(wǎng)絡(luò)D.基于主機(jī)11.一個(gè)長期的雇員具有很強(qiáng)的技術(shù)背景和管理經(jīng)驗(yàn)，申請審計(jì)部門的一個(gè)職位。是否聘用他，應(yīng)基于個(gè)人的經(jīng)驗(yàn)和____?[單選題]*A.服務(wù)年限的長短，因?yàn)檫@將有助于確保技術(shù)能力。B.年齡，（年紀(jì)太大的話）在審計(jì)技術(shù)培訓(xùn)時(shí)可能不切實(shí)際。C.信息系統(tǒng)知識，因?yàn)檫@將加強(qiáng)審計(jì)的可信度D.能力，作為信息系統(tǒng)審計(jì)師，將獨(dú)立于現(xiàn)有的信息系統(tǒng)(正確答案)12.一個(gè)組織使用ERP，下列哪個(gè)是有效的訪問控制?[單選題]*A.用戶級權(quán)限B.基于角色(正確答案)C.細(xì)粒度D.自主訪問控制13.下列哪一項(xiàng)是預(yù)防CC攻擊的有效手段?[單選題]*A、刪除可能存在CC攻擊的頁面B、提高服務(wù)器性能C、限制單個(gè)IP地址每秒訪問服務(wù)器的次數(shù)(正確答案)D、使用IDS設(shè)備14.18.下列針對Windows主機(jī)安全說法最準(zhǔn)確的是[單選題]*A、系統(tǒng)重新安裝后最安全B、系統(tǒng)安裝了防病毒和Firewall就安全了C、把管理員密碼長度修改的比較復(fù)雜安全D、經(jīng)過專業(yè)的安全服務(wù)人員根據(jù)業(yè)務(wù)系統(tǒng)的需要進(jìn)行評估，然后根據(jù)評估結(jié)果進(jìn)行安全加固后比較安全(正確答案)15.下列哪一項(xiàng)安全機(jī)制是一個(gè)抽象機(jī)，不但確保主體擁有必要的訪問權(quán)限，而且確保對客體不會有未經(jīng)授權(quán)的訪問以及破壞性的修改行為?[單選題]*A．安全核心B．可信計(jì)算基C．引用監(jiān)視器(正確答案)D．安全域16.下列對安全審計(jì)涉及的基本要素說法正確的是[單選題]*A、安全審計(jì)可分為實(shí)時(shí)入侵安全審計(jì)和事后審計(jì)檢測兩種B、安全審的基本要素是控制目標(biāo)、安全漏洞、控制措施和控制測試(正確答案)C、安全審的基本要素是控制目標(biāo)、安全漏洞、控制措施和檢測D、安全審計(jì)可分為控制措施和檢測控制17.下列對安全審計(jì)描述最完整的是[單選題]*A、安全審計(jì)系統(tǒng)可以對所有明文數(shù)據(jù)進(jìn)行審計(jì)(正確答案)B、安全審計(jì)只能審計(jì)網(wǎng)站系統(tǒng)C、安全審計(jì)可以審計(jì)數(shù)據(jù)庫D、安全審計(jì)可以審計(jì)網(wǎng)站論壇18.某公司在執(zhí)行災(zāi)難恢復(fù)測試時(shí)，Informationsecurityprofessionals注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本原因，他應(yīng)該首先檢查:[單選題]*A．災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B．災(zāi)難恢復(fù)測試計(jì)劃C．災(zāi)難恢復(fù)計(jì)劃(DRP)D．主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件(正確答案)19.為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過:[單選題]*A．服務(wù)水平目標(biāo)(SLO)B．恢復(fù)時(shí)間目標(biāo)(RTO)C．恢復(fù)點(diǎn)目標(biāo)(RPO)(正確答案)D．停用的最大可接受程度(MAO)20.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中的哪個(gè)最應(yīng)該引起關(guān)注:[單選題]*A．由于有限的測試時(shí)間窗，僅僅測試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測試B．在測試過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗C．在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D．每年都是由相同的員工執(zhí)行此測試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔(正確答案)二、多選題[填空題]_________________________________1.Computerinformationsystemsecurity的目標(biāo)包括（）*A.信息機(jī)密性(正確答案)B.信息完整性(正確答案)C.服務(wù)可用性(正確答案)D.可審查性(正確答案)2.Computerinformationsystemsecurity保護(hù)的目標(biāo)是要保護(hù)計(jì)算機(jī)信息系統(tǒng)的（）*A.實(shí)體安全(正確答案)B.運(yùn)行安全(正確答案)C.Informationsecurity(正確答案)D.人員安全(正確答案)3.Computerinformationsystemsecurity包括（）*A.系統(tǒng)風(fēng)險(xiǎn)管理(正確答案)B.審計(jì)跟蹤(正確答案)C.備份與恢復(fù)(正確答案)D.電磁信息泄漏4.Computerinformationsystemsecurityprotection的措施包括（）*A.安全法規(guī)(正確答案)B.安全管理(正確答案)C.組織建設(shè)D.制度建設(shè)5.Computerinformationsystemsecuritymanagement包括（）*A.組織建設(shè)(正確答案)B.事前檢查C.制度建設(shè)(正確答案)D.人員意識(正確答案)6.Publicinformationnetworksecuritysupervision工作的性質(zhì)（）*A.是公安工作的一個(gè)重要組成部分(正確答案)B.是預(yù)防各種危害的重要手段(正確答案)C.是行政管理的重要手段(正確答案)D.是打擊犯罪的重要手段(正確答案)7.Publicinformationnetworksecuritysupervision工作的一般原則（）*A.預(yù)防與打擊相結(jié)合的原則(正確答案)B.專門機(jī)關(guān)監(jiān)管與社會力量相結(jié)合的原則(正確答案)C.糾正與制裁相結(jié)合的原則(正確答案)D.教育和處罰相結(jié)合的原則(正確答案)8.Informationsecurityofficer應(yīng)具備的條件:（）*A.具有一定的計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)技術(shù)知識(正確答案)B.經(jīng)過計(jì)算機(jī)安全員培訓(xùn)，并考試合格(正確答案)C.具有大本以上學(xué)歷D.無違法犯罪記錄(正確答案)9.OS應(yīng)當(dāng)提供哪些安全保障（）*A.驗(yàn)證(Authentication)(正確答案)B.授權(quán)(Authorization)(正確答案)C.數(shù)據(jù)保密性(DataConfidentiality)(正確答案)D.數(shù)據(jù)一致性(DataIntegrity)(正確答案)E.數(shù)據(jù)的不可否認(rèn)性(DataNonrepudiation)(正確答案)10.WindowsOS的"域"控制機(jī)制具備哪些安全特性（）*A.用戶身份驗(yàn)證(正確答案)B.訪問控制(正確答案)C.審計(jì)(Log)(正確答案)D.數(shù)據(jù)通訊的加密11.從系統(tǒng)整體看，Securityvulnerabilities包括哪些方面（）*A.技術(shù)因素(正確答案)B.人的因素(正確答案)C.規(guī)劃，策略和執(zhí)行過程(正確答案)12.從系統(tǒng)整體看，下述那些問題屬于系統(tǒng)Securityvulnerabilities（）*A.產(chǎn)品缺少安全功能(正確答案)B.產(chǎn)品有Bugs(正確答案)C.缺少足夠的安全知識(正確答案)D.人為錯(cuò)誤(正確答案)E.缺少針對安全的系統(tǒng)設(shè)計(jì)(正確答案)13.應(yīng)對操作系統(tǒng)Securityvulnerabilities的基本方法是什么（）*A.對默認(rèn)安裝進(jìn)行必要的調(diào)整(正確答案)B.給所有用戶設(shè)置嚴(yán)格的口令(正確答案)C.及時(shí)安裝最新的安全補(bǔ)丁(正確答案)D.更換到另一種操作系統(tǒng)14.造成操作系統(tǒng)Securityvulnerabilities的原因（）*A.不安全的編程語言(正確答案)B.不安全的編程習(xí)慣(正確答案)C.考慮不周的架構(gòu)設(shè)計(jì)(正確答案)15.嚴(yán)格的Passwordpolicy應(yīng)當(dāng)包含哪些要素（）*A.滿足一定的長度，比如4位以上B.同時(shí)包含數(shù)字，字母和特殊字符(正確答案)C.系統(tǒng)強(qiáng)制要求定期更改口令(正確答案)D.用戶可以設(shè)置空口令(正確答案)16.Computersecuritycases包括以下幾個(gè)方面（）*A.重要安全技術(shù)的采用(正確答案)B.安全標(biāo)準(zhǔn)的貫徹(正確答案)C.安全制度措施的建設(shè)與實(shí)施(正確答案)D.重大安全隱患、違法違規(guī)的發(fā)現(xiàn)，事故的發(fā)生(正確答案)17.Computersecuritycases包括以下幾個(gè)內(nèi)容（）*A.違反國家法律的行為(正確答案)B.違反國家法規(guī)的行為(正確答案)C.危及、危害計(jì)算機(jī)信息系統(tǒng)安全的事件(正確答案)D.計(jì)算機(jī)硬件常見機(jī)械故障18.重大Computersecurityaccident可由_____受理（）*A.案發(fā)地市級公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(正確答案)B.案發(fā)地當(dāng)?shù)乜h級（區(qū)、市）公安機(jī)關(guān)治安部門C.案發(fā)地當(dāng)?shù)乜h級（區(qū)、市）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(正確答案)D.案發(fā)地當(dāng)?shù)毓才沙鏊?9.Siteinvestigation主要包括以下幾個(gè)環(huán)節(jié)_____（）*A.對遭受破壞的計(jì)算機(jī)信息系統(tǒng)的軟硬件的描述及被破壞程度(正確答案)B.現(xiàn)場現(xiàn)有電子數(shù)據(jù)的復(fù)制和修復(fù)(正確答案)C.電子痕跡的發(fā)現(xiàn)和提取，證據(jù)的固定與保全(正確答案)D.現(xiàn)場采集和扣押與事故或案件有關(guān)的物品(正確答案)20.Computersecurityaccident原因的認(rèn)定和計(jì)算機(jī)案件的數(shù)據(jù)鑒定,____（）*A.是一項(xiàng)專業(yè)性較強(qiáng)的技術(shù)工作(正確答案)B.必要時(shí)可進(jìn)行相關(guān)的驗(yàn)證或偵查實(shí)驗(yàn)(正確答案)C.可聘請有關(guān)方面的專家，組成專家鑒定組進(jìn)行分析鑒定(正確答案)D.可以由發(fā)生事故或計(jì)算機(jī)案件的單位出具鑒定報(bào)告三、判斷題[填空題]_________________________________1.一個(gè)用戶忘記了自己的rootpassword，正常情況下，那就只有重裝系統(tǒng)后重設(shè)password的方法了[單選題]*答案:錯(cuò)誤(正確答案)2.BufferOverflow只會引起棧錯(cuò)誤，不會造成太嚴(yán)重的后果。[單選題]*答案:錯(cuò)誤(正確答案)3.堆溢出和棧溢出在本質(zhì)上是一樣的，都是由于執(zhí)行拷貝操作時(shí)沒有對拷貝長度做限制[單選題]*答案:正確(正確答案)4.BufferOverflow只會出現(xiàn)在Windows平臺，Linux平臺不會出現(xiàn)[單選題]*答案:錯(cuò)誤(正確答案)5.Formatstringvulnerability是一種可以寫內(nèi)存的loophole[單選題]*答案:正確(正確答案)6.Singlebyteoverflow，由于僅溢出了一個(gè)字節(jié)，所以不算是安全loophole[單選題]*答案:錯(cuò)誤(正確答案)7.禁止使用Activityscript可以防范IE執(zhí)行本地任意程序。[單選題]*答案:正確(正確答案)8.WindowsOS中用戶登錄域的口令是以明文方式傳輸?shù)摹單選題]*答案:錯(cuò)誤(正確答案)9.計(jì)算機(jī)信息系統(tǒng)的安全威脅同時(shí)來自內(nèi)、外兩個(gè)方面。[單選題]*答案:正確(正確答案)10.只要將strcpy函數(shù)替換為strncpy函數(shù)，就不會引起緩沖區(qū)溢出loophole了[單選題]*答案:錯(cuò)誤(正確答案)11.置換PasswordEncryption方法重新對字母進(jìn)行排序，但是并不偽裝明文。[單選題]*答案:錯(cuò)誤(正確答案)12.MS01-033是一種遠(yuǎn)程溢出型Attackloophole[單選題]*答案:正確(正確答案)13.TCPFIN掃描可以掃描WindowOS、UNIXOS等操作系統(tǒng)[單選題]*答案:錯(cuò)誤(正確答案)14.TCPSYN是半連接掃描，優(yōu)點(diǎn)是不需要超級用戶進(jìn)行系統(tǒng)調(diào)用，缺點(diǎn)是掃描中留下的日志比較多[單選題]*答案:錯(cuò)誤(正確答案)15.可以通過Banner獲得服務(wù)版本信息或操作系統(tǒng)類型[單選題]*答案:正確(正確答案)16.轉(zhuǎn)置PasswordEncryption方法保留了明文符號的順序，但是將明文偽裝起來。[單選題]*答案:錯(cuò)誤(正確答案)17.現(xiàn)代Password體制把Algorithm和Key分開，只需要保證密鑰的保密性就行了，Algorithm是可以公開的。[單選題]*答案:正確(正確答案)18.Securityaudit與Safetyassessment的兩大重要課題，也是計(jì)算機(jī)網(wǎng)絡(luò)安全的核心內(nèi)容，securityaudit側(cè)重于場景再現(xiàn)、取證分析，Safetyassessment側(cè)重于位于綢繆、防患未然。[單選題]*答案:正確(正確答案)19.Loophole是指任何可以造成破壞系統(tǒng)或信息的弱點(diǎn)。[單選題]*答案:正確(正確答案)20.解決Sharedfolder的安全隱患應(yīng)該卸載Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享。[單選題]*答案:正確(正確答案)WEB安全測試模擬題-中級-B卷[填空題]_________________________________一、單選題[填空題]_________________________________21.為了優(yōu)化組織的業(yè)務(wù)持續(xù)計(jì)劃（BCP），信息安全專業(yè)人員應(yīng)該建議執(zhí)行業(yè)務(wù)影響分析（）來確定:*A．能為組織產(chǎn)生最大財(cái)務(wù)價(jià)值，因而需要最先恢復(fù)的業(yè)務(wù)流程(正確答案)B.為保證與組織業(yè)務(wù)戰(zhàn)略相一致，業(yè)務(wù)流程恢復(fù)的優(yōu)先級和順序(正確答案)C.在災(zāi)難中能保證組織生存而必須恢復(fù)的業(yè)務(wù)流程D.能夠在最短的時(shí)間內(nèi)恢復(fù)最多系統(tǒng)的業(yè)務(wù)流程恢復(fù)順序答案:C22.當(dāng)一個(gè)關(guān)鍵文件服務(wù)器的存儲增長沒有被合理管理時(shí)，以下哪一項(xiàng)是最大的風(fēng)險(xiǎn)?[單選題]*A．備份時(shí)間會穩(wěn)定增長B．備份成本會快速增長C．存儲成本會快速增長D．服務(wù)器恢復(fù)工作不能滿足恢復(fù)時(shí)間目標(biāo)（RTO）的要求(正確答案)23.在CMM標(biāo)準(zhǔn)中，哪一個(gè)等級表明組織在軟件開發(fā)過程中已經(jīng)建立了定量的質(zhì)量指標(biāo)?[單選題]*A．可重復(fù)級B．已定義級C．已管理級(正確答案)D．優(yōu)化級24.在軟件開發(fā)過程中，為了讓程序內(nèi)部接口錯(cuò)誤能夠被盡早發(fā)現(xiàn)，下列哪一種測試方法是最有效的?[單選題]*A．自底向上測試B．白盒測試C．自頂向下測試(正確答案)D．黑盒測試25.在ISO27001:2013中，制定風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該在PDCA的哪個(gè)階段進(jìn)行?[單選題]*A．PlanB．Do(正確答案)C．CheckD．Act26.在通用準(zhǔn)則（）中，是按照下列哪一類評測等級對產(chǎn)品進(jìn)行評測的?*A．PPB．EPLC．EAL(正確答案)D．TCB答案:C27.在可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級別?[單選題]*A．C2B．C1C．B2D．B1(正確答案)28.Clark-Wilson模型可以滿足所有三個(gè)完整性安全目標(biāo)，哪一個(gè)是錯(cuò)誤的:[單選題]*A．防止授權(quán)用戶不適當(dāng)?shù)男薷腂．防止非授權(quán)用戶進(jìn)行篡改C．維持內(nèi)部和外部的一致性D．保障數(shù)據(jù)和程序安全(正確答案)29.下列信息系統(tǒng)安全說法正確的是:[單選題]*A．加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全B．只要資金允許就可以實(shí)現(xiàn)絕對的安全C．?dāng)嚅_所有的服務(wù)可以保證信息系統(tǒng)的安全D．信息系統(tǒng)安全狀態(tài)會隨著業(yè)務(wù)系統(tǒng)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)不同的業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略(正確答案)30.在linux系統(tǒng)中用哪個(gè)命令可以查看文件和目錄，顯示文件的屬性:[單選題]*A.catB.mkdirC.lsD.ls–l(正確答案)31.在linux系統(tǒng)中磁盤分區(qū)用哪個(gè)命令:[單選題]*A.fdisk(正確答案)B.mvC.mountD.df32.Linux系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows系統(tǒng)的哪個(gè)文件夾:[單選題]*A.ProgramFilesB.Windows(正確答案)C.SystemvolumeinformationD.TEMP33.在linux系統(tǒng)中擁有最高級別權(quán)限的用戶是:[單選題]*A.root(正確答案)B.administratorC.mailD.nobody34.如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個(gè)服務(wù):[單選題]*A.DHCPB.NFSC.SAMBA(正確答案)D.SSH35.下面關(guān)于IIS錯(cuò)誤的描述正確的是?[單選題]*A.401—找不到文件B.403—禁止訪問(正確答案)C.404—權(quán)限問題D.500—系統(tǒng)錯(cuò)誤36.以下哪一種入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡(luò)中流量和事件的整體模式，并建立一個(gè)數(shù)據(jù)庫?[單選題]*A.基于特征庫的B.基于神經(jīng)網(wǎng)絡(luò)的(正確答案)C.基于統(tǒng)計(jì)(信息)的D.基于主機(jī)的37.當(dāng)實(shí)施IT治理時(shí)，決定實(shí)施對象的優(yōu)先級時(shí),下列哪一項(xiàng)是最重要的考慮因素?[單選題]*A.過程成熟度B.性能指標(biāo)C.商業(yè)風(fēng)險(xiǎn)(正確答案)D.保證報(bào)告38.可用性和IT服務(wù)的可持續(xù)性的最佳實(shí)踐應(yīng)該是:[單選題]*A.使費(fèi)用減到最小與災(zāi)難恢復(fù)相結(jié)合B.提供足夠的能力滿足業(yè)務(wù)需求C.提供合理的擔(dān)保滿足對客戶的責(zé)任(正確答案)D.及時(shí)地生成性能報(bào)告39.下列措施中哪項(xiàng)不是登錄訪問控制措施?[單選題]*A.審計(jì)登錄者信息(正確答案)B.密碼失效時(shí)間C.密碼長度D.登錄失敗次數(shù)限制40.下列項(xiàng)目中，哪個(gè)是專門用于用戶身份識別的?[單選題]*A.PIN.(正確答案)B.電話號碼C.IP地址D.MAC地址二、多選題[填空題]_________________________________21.在Emergencyresponse方面,政府有關(guān)部門的職責(zé)是（）。*A.網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)增大時(shí),采取信息報(bào)送、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息評估、向社會預(yù)警等措施(正確答案)B.按照規(guī)定程序及權(quán)限對網(wǎng)絡(luò)運(yùn)營者法定代表人進(jìn)行約談(正確答案)C.建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度D.制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織演練22.Password破解Securitydefensemeasures包括（）。*A.設(shè)置“好”的Password(正確答案)B.系統(tǒng)及應(yīng)用安全策略(正確答案)C.隨機(jī)驗(yàn)證碼(正確答案)D.Password管理策略(正確答案)23.socialengineering利用的人性弱點(diǎn)包括（）。*A.信任權(quán)威(正確答案)B.信任共同愛好(正確答案)C.期望守信(正確答案)D.期望社會認(rèn)可(正確答案)24.socialengineering直接用于攻擊的表現(xiàn)有（）。*A.利用同情、內(nèi)疚和脅迫(正確答案)B.口令破解中的socialengineering利用C.正面攻擊(直接索取)(正確答案)D.網(wǎng)絡(luò)攻擊中的socialengineering利用25.下列選項(xiàng)中,屬于socialengineering在安全意識培訓(xùn)方面進(jìn)行防御的措施是（）。*A.構(gòu)建完善的技術(shù)防御體系B.知道什么是socialengineering攻擊(正確答案)C.知道socialengineering攻擊利用什么(正確答案)D.有效的安全管理體系和操作26.關(guān)于Stack,下列表述正確的是（）。*A.一段連續(xù)分配的內(nèi)存空間(正確答案)B.特點(diǎn)是FIFOC.Stack生長方向與內(nèi)存地址方向相反(正確答案)D.Stack生長方向與內(nèi)存地址方向相同27.OS安全配置對抗DNSSpoofing的措施包括（）。*A.關(guān)閉DNS服務(wù)遞歸功能(正確答案)B.限制域名服務(wù)器作出響應(yīng)的地址(正確答案)C.限制發(fā)出請求的地址(正確答案)D.限制域名服務(wù)器作出響應(yīng)的遞歸請求地址(正確答案)28.BackDoor的作用包括（）。*A.方便下次直接進(jìn)入(正確答案)B.監(jiān)視用戶所有隱私(正確答案)C.監(jiān)視用戶所有行為(正確答案)D.完全控制用戶主機(jī)(正確答案)29.BackDoorTrojanhorse種類包括（）。*A.特洛伊Trojanhorse(正確答案)B.RootKit(正確答案)C.腳本BackDoor(正確答案)D.隱藏賬號(正確答案)30.Logging分析重點(diǎn)包括（）。*A.源IP(正確答案)B.請求方法(正確答案)C.請求鏈接(正確答案)D.狀態(tài)代碼(正確答案)31.目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料包括（）。*A.域名(正確答案)B.網(wǎng)絡(luò)拓?fù)?正確答案)C.操作系統(tǒng)(正確答案)D.應(yīng)用軟件(正確答案)32.Whois可以查詢到的信息包括（）。*A.域名所有者(正確答案)B.域名及IP地址對應(yīng)信息(正確答案)C.域名注冊、到期日期D(正確答案).域名所使用的DNSServers33.PortScanning的掃描方式主要包括（）。*A.全掃描(正確答案)B.半打開掃描(正確答案)C.隱秘掃描(正確答案)D.NESSUS34.Securityvulnerabilities信息及攻擊工具獲取的途徑包括（）。*A.NESSUSB.Securityvulnerabilities庫(正確答案)C.QQ群(正確答案)D.論壇等交互應(yīng)用(正確答案)35.informationgathering與分析工具包括（）。*A.網(wǎng)絡(luò)設(shè)備Securityvulnerabilities掃描器(正確答案)B.集成化的Securityvulnerabilities掃描器(正確答案)C.專業(yè)web掃描軟件(正確答案)D.DBSecurityvulnerabilities掃描器(正確答案)36.informationgathering與分析的過程包括（）。*A.informationgathering(正確答案)B.目標(biāo)分析(正確答案)C.實(shí)施攻擊(正確答案)D.打掃戰(zhàn)場(正確答案)37.計(jì)算機(jī)時(shí)代的Securitythreats包括（）。*A.非法訪問(正確答案)B.惡意代碼(正確答案)C.脆弱口令(正確答案)D.破解38.VonNeumann模式的計(jì)算機(jī)包括（）。*A.顯示器(正確答案)B.輸入與輸出設(shè)備(正確答案)C.FPUD.存儲器(正確答案)39.Informationsecurity的安全措施包括（）。*A.Firewall(正確答案)B.防Networkvirus(正確答案)C.NESSUSD.入侵檢測(正確答案)40.Informationsecurity包括（）。*A.技術(shù)保障(正確答案)B.管理保障(正確答案)C.人員培訓(xùn)保障(正確答案)D.法律法規(guī)保障(正確答案)三、判斷題[填空題]_________________________________21.只要選擇一種最安全的操作系統(tǒng)，整個(gè)系統(tǒng)就可以保障安全。[單選題]*答案:錯(cuò)誤(正確答案)22.Screensaver的Password是需要分大小寫的。[單選題]*答案:正確(正確答案)23.Password學(xué)的基本規(guī)則是，你必須讓Password分析者知道Encryption和解密所使用的方法。[單選題]*答案:正確(正確答案)24.Socialengineering，冒充合法用戶發(fā)送郵件或打電話給管理人員，以騙取用戶口令和其他信息;垃圾搜索:Attacker通過搜索被攻擊者的廢棄物，得到與系統(tǒng)有關(guān)的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的Attack對象。[單選題]*答案:正確(正確答案)25.安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息Encryption策略和Networksecuritymanagement策略。[單選題]*答案:正確(正確答案)26.Securityaudit就是日志的記錄。[單選題]*答案:錯(cuò)誤(正確答案)27.Windows域(Domain)中的用戶帳號和口令信息存儲在"域控制器"中[單選題]*答案:正確(正確答案)28.在設(shè)計(jì)系統(tǒng)安全策略時(shí)要首先評估可能受到的安全威脅[單選題]*答案:正確(正確答案)29.為提高工作效率，外單位人員可以隨意接入公司內(nèi)網(wǎng)。[單選題]*答案:錯(cuò)誤(正確答案)30.指令和數(shù)據(jù)均以八進(jìn)制形式存儲于同一個(gè)安全存儲器中。[單選題]*答案:錯(cuò)誤(正確答案)31.安全數(shù)據(jù)庫是一種將數(shù)據(jù)庫看作是一張二維表的形式存入數(shù)據(jù)庫。[單選題]*答案:錯(cuò)誤(正確答案)32.數(shù)據(jù)安全管理是指對數(shù)據(jù)的分類、組織、編碼、存儲、檢索和維護(hù)。[單選題]*答案:錯(cuò)誤(正確答案)33.用于網(wǎng)管的安全OS是一個(gè)與各專業(yè)網(wǎng)管垂直（平行）的OS。[單選題]*答案:錯(cuò)誤(正確答案)34.Securitydomain是具有相同或接近的安全需求，相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的結(jié)合，一個(gè)Securitydomain可以被劃分為安全子域。[單選題]*答案:正確(正確答案)35.根據(jù)信息系統(tǒng)等級保護(hù)的要求，信息系統(tǒng)的保護(hù)等級分為6級。[單選題]*答案:錯(cuò)誤(正確答案)36.Informationsafety研究所涉及的領(lǐng)域相當(dāng)廣泛。從信息的層次來看，包括信息的來源、去向，內(nèi)容的真實(shí)無誤及保證信息的完整性，信息不會被非法泄漏擴(kuò)算保證新的保密性，信息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行為而保證信息的不可否認(rèn)性。[單選題]*答案:正確(正確答案)37.安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息Encryption策略和網(wǎng)絡(luò)安全管理策略。[單選題]*答案:正確(正確答案)38.系統(tǒng)安全的責(zé)任在于IT技術(shù)人員，最終用戶不需要了解安全問題[單選題]*答案:錯(cuò)誤(正確答案)39.路由協(xié)議如果沒有Authentication功能，就可以偽造路由信息，導(dǎo)致路由表混亂，從而使網(wǎng)絡(luò)癱瘓。[單選題]*答案:正確(正確答案)40.主動Attack包括分析通信流，監(jiān)視未被保護(hù)的通信，解密弱Encryption通道，獲取鑒別信息（如口令）。[單選題]*答案:錯(cuò)誤(正確答案)WEB安全測試模擬題-中級-C卷[填空題]_________________________________一、單選題[填空題]_________________________________41.Bell-LaPadula安全模型主要關(guān)注安全的哪個(gè)方面?[單選題]*A.可審計(jì)B.完整性C.機(jī)密性(正確答案)D.可用性42.下面哪類控制模型是基于安全標(biāo)簽實(shí)現(xiàn)的?[單選題]*A.自主訪問控制B.強(qiáng)制訪問控制(正確答案)C.基于規(guī)則的訪問控制D.基于身份的訪問控制43.下面哪個(gè)角色對數(shù)據(jù)的安全負(fù)責(zé)?[單選題]*A.數(shù)據(jù)擁有者B.數(shù)據(jù)監(jiān)管人員(正確答案)C.用戶D.安全管理員44.系統(tǒng)本身的，可以被黑客利用的安全弱點(diǎn)，被稱為[單選題]*A.脆弱性(正確答案)B.風(fēng)險(xiǎn)C.威脅D.弱點(diǎn)45.系統(tǒng)的弱點(diǎn)被黑客利用的可能性，被稱為[單選題]*A.風(fēng)險(xiǎn)(正確答案)B.殘留風(fēng)險(xiǎn)C.暴露D.幾率46.下列哪一項(xiàng)準(zhǔn)確地描述了可信計(jì)算基（TCB）?[單選題]*A．TCB只作用于固件（Firmware）B．TCB描述了一個(gè)系統(tǒng)提供的安全級別C．TCB描述了一個(gè)系統(tǒng)內(nèi)部的保護(hù)機(jī)制(正確答案)D．TCB通過安全標(biāo)簽來表示數(shù)據(jù)的敏感性47.安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪一項(xiàng)最好地描述了安全模型中的“簡單安全規(guī)則”?[單選題]*A．Biba模型中的不允許向上寫B(tài)．Biba模型中的不允許向下讀C．Bell-LaPadula模型中的不允許向下寫D．Bell-LaPadula模型中的不允許向上讀(正確答案)48.為了防止授權(quán)用戶不會對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，需要實(shí)施對數(shù)據(jù)的完整性保護(hù)，下列哪一項(xiàng)最好地描述了星或（*-）完整性原則?[單選題]*A．Bell-LaPadula模型中的不允許向下寫B(tài)．Bell-LaPadula模型中的不允許向上讀C．Biba模型中的不允許向上寫(正確答案)D．Biba模型中的不允許向下讀49.某公司的業(yè)務(wù)部門用戶需要訪問業(yè)務(wù)數(shù)據(jù)，這些用戶不能直接訪問業(yè)務(wù)數(shù)據(jù)，而只能通過外部程序來操作業(yè)務(wù)數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分?[單選題]*A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型(正確答案)50.作為一名信息安全專業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問控制策略。由于該公司的人員流動性較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來確定對信息資源的訪問權(quán)限，最應(yīng)該采用下列哪一種訪問控制模型?[單選題]*A．自主訪問控制（DAC）B．強(qiáng)制訪問控制（MAC）C．基于角色訪問控制（RBAC）(正確答案)D．最小特權(quán)（LeastPrivilege）51.下列哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互?[單選題]*A．強(qiáng)制訪問控制（MAC）B．集中式訪問控制（DecentralizedAccessControl）C．分布式訪問控制（DistributedAccessControl）D．自主訪問控制（DAC）(正確答案)52.下列哪種類型的IDS能夠監(jiān)控網(wǎng)絡(luò)流量中的行為特征，并能夠創(chuàng)建新的數(shù)據(jù)庫?[單選題]*A．基于特征的IDSB．基于神經(jīng)網(wǎng)絡(luò)的IDS(正確答案)C．基于統(tǒng)計(jì)的IDSD．基于主機(jī)的IDS53.訪問控制模型應(yīng)遵循下列哪一項(xiàng)邏輯流程?[單選題]*A．識別，授權(quán)，認(rèn)證B．授權(quán)，識別，認(rèn)證C．識別，認(rèn)證，授權(quán)(正確答案)D．認(rèn)證，識別，授權(quán)54.在對生物識別技術(shù)中的錯(cuò)誤拒絕率（FRR）和錯(cuò)誤接收率（FAR）的定義中，下列哪一項(xiàng)的描述是最準(zhǔn)確的?[單選題]*A．FAR屬于類型I錯(cuò)誤，F(xiàn)RR屬于類型II錯(cuò)誤B．FAR是指授權(quán)用戶被錯(cuò)誤拒絕的比率，F(xiàn)RR屬于類型I錯(cuò)誤C．FRR屬于類型I錯(cuò)誤，F(xiàn)AR是指冒充者被拒絕的次數(shù)D．FRR是指授權(quán)用戶被錯(cuò)誤拒絕的比率，F(xiàn)AR屬于類型II錯(cuò)誤(正確答案)55.某單位在評估生物識別系統(tǒng)時(shí)，對安全性提出了非常高的要求。據(jù)此判斷，下列哪一項(xiàng)技術(shù)指標(biāo)對于該單位來說是最重要的?[單選題]*A．錯(cuò)誤接收率（FAR）(正確答案)B．平均錯(cuò)誤率（EER）C．錯(cuò)誤拒絕率（FRR）D．錯(cuò)誤識別率（FIR）56.下列哪種方法最能夠滿足雙因子認(rèn)證的需求?[單選題]*A．智能卡和用戶PIN(正確答案)B．用戶ID與密碼C．虹膜掃描和指紋掃描D．磁卡和用戶PIN57.在Kerberos結(jié)構(gòu)中，下列哪一項(xiàng)會引起單點(diǎn)故障?[單選題]*A．E-Mail服務(wù)器B．客戶工作站C．應(yīng)用服務(wù)器D．密鑰分發(fā)中心（KDC）(正確答案)58.在下列哪一項(xiàng)訪問控制技術(shù)中，數(shù)據(jù)庫是基于數(shù)據(jù)的敏感性來決定誰能夠訪問數(shù)據(jù)?[單選題]*A．基于角色訪問控制B．基于內(nèi)容訪問控制(正確答案)C．基于上下文訪問控制D．自主訪問控制59.數(shù)據(jù)庫管理員在檢查數(shù)據(jù)庫時(shí)發(fā)現(xiàn)數(shù)據(jù)庫的性能不理想，他準(zhǔn)備通過對部分?jǐn)?shù)據(jù)表實(shí)施去除規(guī)范化（denormanization）操作來提高數(shù)據(jù)庫性能，這樣做將增加下列哪項(xiàng)風(fēng)險(xiǎn)?[單選題]*A．訪問的不一致B．死鎖C．對數(shù)據(jù)的非授權(quán)訪問D．?dāng)?shù)據(jù)完整性的損害(正確答案)60.下列哪一項(xiàng)不是一種預(yù)防性物理控制?[單選題]*A．安全警衛(wèi)B．警犬C．訪問登記表(正確答案)D．圍欄二、多選題[填空題]_________________________________41.對于Informationsecurity特征,下列說法正確的有（）。*A.Informationsecurity是一個(gè)系統(tǒng)的安全(正確答案)B.Informationsecurity是一個(gè)動態(tài)的安全(正確答案)C.Informationsecurity是一個(gè)無邊界的安全(正確答案)D.Informationsecurity是一個(gè)非傳統(tǒng)的安全(正確答案)42.Informationsecurity的對象包括有（）。*A.目標(biāo)(正確答案)B.規(guī)則(正確答案)C.組織(正確答案)D.人員(正確答案)43.實(shí)施Informationsecurity,需要保證（）反映業(yè)務(wù)目標(biāo)。*A.安全策略(正確答案)B.目標(biāo)(正確答案)C.活動(正確答案)D.安全執(zhí)行44.實(shí)施Informationsecurity,需要有一種與組織文化保持一致的（）Informationsecurity的途徑。*A.實(shí)施(正確答案)B.維護(hù)(正確答案)C.監(jiān)督(正確答案)D.改進(jìn)(正確答案)45.實(shí)施Informationsecurity的關(guān)鍵成功因素包括（）。*A.向所有管理者和員工有效地推廣安全意識(正確答案)B.向所有管理者、員工及其他伙伴方分發(fā)Informationsecurity策略、指南和標(biāo)準(zhǔn)(正確答案)C.為Informationsecurity管理活動提供資金支持(正確答案)D.提供適當(dāng)?shù)呐嘤?xùn)和教育(正確答案)46.Nationalsecurity組成要素包括（）。*A.Informationsecurity(正確答案)B.政治安全(正確答案)C.經(jīng)濟(jì)安全(正確答案)D.文化安全(正確答案)47.下列屬于assets的有（）。*A.信息(正確答案)B.信息載體(正確答案)C.人員(正確答案)D.公司的形象與名譽(yù)(正確答案)48.Securitythreats的特征包括（）。*A.不確定性(正確答案)B.確定性C.客觀性(正確答案)D.主觀性49.Managerisk的方法,具體包括（）。*A.行政方法(正確答案)B.技術(shù)方法(正確答案)C.管理方法(正確答案)D.法律方法(正確答案)50.Managerisk的基本概念包括（）。*A.資產(chǎn)(正確答案)B.脆弱性(正確答案)C.Securitythreats(正確答案)D.控制措施(正確答案)51.PDCA循環(huán)的內(nèi)容包括（）。*A.計(jì)劃(正確答案)B.實(shí)施(正確答案)C.檢查(正確答案)D.行動(正確答案)52.Informationsecurity實(shí)施細(xì)則中,安全方針的具體內(nèi)容包括（）。*A.分派責(zé)任(正確答案)B.約定Informationsecurity管理的范圍(正確答案)C.對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明(正確答案)D.對報(bào)告可疑安全事件的過程進(jìn)行說明(正確答案)53.Informationsecurity實(shí)施細(xì)則中,Informationsecurity內(nèi)部組織的具體工作包括（）。*A.Informationsecurity的管理承諾(正確答案)B.Informationsecurity協(xié)調(diào)(正確答案)C.Informationsecurity職責(zé)的分配(正確答案)D.信息處理設(shè)備的授權(quán)過程(正確答案)54.Informationsecurity事件分類包括（）。*A.一般事件(正確答案)B.較大事件(正確答案)C.重大事件(正確答案)D.特別重大事件(正確答案)55.Informationsecurity災(zāi)難恢復(fù)建設(shè)流程包括（）。*A.目標(biāo)及需求(正確答案)B.策略及方案(正確答案)C.演練與測評(正確答案)D.維護(hù)、審核、更新(正確答案)56.重要Informationsecurity管理過程中的技術(shù)管理要素包括（）。*A.災(zāi)難恢復(fù)預(yù)案(正確答案)B.運(yùn)行維護(hù)管理能力(正確答案)C.技術(shù)支持能力(正確答案)D.備用網(wǎng)絡(luò)系統(tǒng)(正確答案)57.Sitesafety要考慮的因素有（）*A.場地選址(正確答案)B.場地防火(正確答案)C.場地防水防潮(正確答案)D.場地溫度控制(正確答案)E.場地電源供應(yīng)(正確答案)58.6