注冊(cè)信息安全專業(yè)人員考試計(jì)算環(huán)境安全

注冊(cè)信息安全專業(yè)人員考試計(jì)算環(huán)境安全1、訪問控制是對(duì)用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）A、ACL只能由管理員進(jìn)行管理(正確答案)B、ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問對(duì)象的用戶和級(jí)的SIDC、訪問令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制2、某黑客通過分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒，為防范此類社會(huì)工程學(xué)攻擊，報(bào)社不需要做的是（）A、加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力，了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告C、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)(正確答案)3、2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國(guó)路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊(cè)日期與編號(hào)、正黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行（）攻擊。（）A、默認(rèn)口令B、字典(正確答案)C、暴力D、XSS4、某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動(dòng)訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊(正確答案)C、SQL注入攻擊D、緩沖區(qū)溢出攻擊5、下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)您仔細(xì)分析該圖，下面分析推理正確的是（）

A、安全測(cè)試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、D、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是Windows系統(tǒng)(正確答案)6、某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長(zhǎng)期駐留在受害者的計(jì)算機(jī)中，通過修改注冊(cè)表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無用的是（）A、不下載、不執(zhí)行、不接收來歷不明的軟件和文件B、不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C、使用共享文件夾(正確答案)D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件7.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問題，以下說法正確的是（）A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測(cè)試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施(正確答案)D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響8、某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計(jì)是遵循了發(fā)下哪個(gè)原則（）A、權(quán)限分離原則(正確答案)B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則9、張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問這個(gè)目錄，管理員在某次維護(hù)中無意將zhang這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登錄系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來的個(gè)人文件夾，原因是（）A、任何一個(gè)新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件(正確答案)B、Windows7不認(rèn)為新建立的用戶zhang與原來用戶zhang是同一個(gè)用戶，因此無權(quán)訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會(huì)繼承原來用戶的權(quán)限，之所以無權(quán)訪問是因?yàn)槲募A經(jīng)過了加密10、以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制（SecurityAccountsManager）的說法哪個(gè)是正確的：（）A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性(正確答案)11、Windows文件系統(tǒng)權(quán)限管理訪問控制列表（AccessControlList，ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的（）A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS，因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中(正確答案)D、由于ACL具有很好的靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立用戶的權(quán)限12、數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫中的信息(正確答案)C、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分13、Linux系統(tǒng)的安全設(shè)置中，對(duì)文件的權(quán)限操作是一項(xiàng)關(guān)鍵操作。通過對(duì)文件權(quán)限的設(shè)置，能夠保障不同用戶的個(gè)人隱私和系統(tǒng)安全。文件fib.c的文件屬性信息如下圖所示，小張想要修改其文件權(quán)限，為文件主增加執(zhí)行權(quán)限，并刪除組外其他用戶的寫權(quán)限，那么以下操作中正確的是（）

A.#chmodu+x,a-wfib.cB.#chmodug+x,o-wfib.cC.#chmod764fib.c(正確答案)D.#chmod467fib.c14、Windows系統(tǒng)下，哪項(xiàng)不是有效進(jìn)行共享安全的防護(hù)措施？（）A、使用netshare\\\c$/delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)(正確答案)B、確保所有的共享都有高強(qiáng)度的密碼防護(hù)C、禁止通過“空會(huì)話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊(cè)表鍵值D、安裝軟件防火墻阻止外面對(duì)共享目錄的連接15、以下對(duì)Windows賬號(hào)的描述，正確的是（）A、Windows系統(tǒng)是采用SID（安全標(biāo)識(shí)符）來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限(正確答案)B、Windows系統(tǒng)是采用用戶名來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限C、Windows系統(tǒng)默認(rèn)會(huì)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都不允許改名和刪除D、Windows系統(tǒng)默認(rèn)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都可以改名和刪除16、以下對(duì)Windows系統(tǒng)的服務(wù)描述，正確的是（）A、Windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、Windows服務(wù)的運(yùn)行不需要用戶的交互登陸(正確答案)C、Windows服務(wù)都是隨系統(tǒng)啟動(dòng)而啟動(dòng)，無需用戶進(jìn)行干預(yù)D、Windows服務(wù)都需要用戶進(jìn)行登陸后，以登錄用戶的權(quán)限進(jìn)行啟動(dòng)17、以下關(guān)于windowsSAM(安全賬號(hào)管理器)的說法錯(cuò)誤的是（）A、安全賬號(hào)管理器(SAM)具體表現(xiàn)是是：%SystemRoot%\system32\config\samB、安全賬號(hào)管理器(SAM)存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中C、安全賬號(hào)管理器(SAM)存儲(chǔ)的賬號(hào)信息administrator和system是可讀和可寫的(正確答案)D、安全賬號(hào)管理器(SAM)是windows的用戶數(shù)據(jù)庫系統(tǒng)進(jìn)程通過SecurityAccountsManager服務(wù)進(jìn)行訪問和操作18、社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最脆弱的環(huán)節(jié)，即“人”這個(gè)環(huán)節(jié)上。這些社會(huì)工程黑客在某黑客大會(huì)上成功攻入世界五百強(qiáng)公司，其中一名自稱是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安全工程部門的合約雇員，在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其他信息，包括：操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵件及瀏覽器。為對(duì)抗此類信息收集和分析，公司需要做的是（）A、通過信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息最小化原則(正確答案)B、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C、關(guān)閉不必要的服務(wù)，部署防火墻、IDS等措施D、系統(tǒng)安全管理員使用漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)19、Windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是（）A、Regsvr32B、Regedit(正確答案)C、Regedit.mscD、Regedit.mmc20、視窗操作系統(tǒng)（Windows）從哪個(gè)版本開始引入安全中心的概念？（）A、WinNTSP6B、Win2000SP4C、WinXPSP2(正確答案)D、Win2003SP121、在Windows文件系統(tǒng)中，（）支持文件加密。（）A、FAT16B、B、NTFS(正確答案)C、C、FAT32D、D、EXT322、相比FAT文件系統(tǒng)，以下那個(gè)不是NTFS所具有的優(yōu)勢(shì)？（）A、NTFS使用事務(wù)日志自動(dòng)記錄所有文件和文件夾更新，當(dāng)出現(xiàn)系統(tǒng)損壞引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作。B、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C、對(duì)于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率。D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下的EXT3文件格式。(正確答案)23、WindowsNT提供的分布式安全環(huán)境又被稱為（）A、域（Domain）(正確答案)B、工作組C、對(duì)等網(wǎng)D、安全網(wǎng)24、在Windows系統(tǒng)中，管理權(quán)限最高的組是（）A、everyoneB、administrators(正確答案)C、powerusersD、users25、Windows系統(tǒng)下，可通過運(yùn)行（）命令打開Windows管理控制臺(tái)。（）A、regeditB、cmdC、mmc(正確答案)D、mfc26、下圖是某單位對(duì)其主網(wǎng)站一天流量的監(jiān)測(cè)圖，如果該網(wǎng)站當(dāng)天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。（）

A、跨站腳本攻擊B、TCP會(huì)話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊(正確答案)27、在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是（）A、netshowB、netstat(正確答案)C、ipconfigD、Netview28、在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？（）A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志(正確答案)C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志29、操作系統(tǒng)安全的基礎(chǔ)是建立在（）A、安全安裝B、安全配置C、安全管理D、以上都對(duì)(正確答案)30、windows文件系統(tǒng)權(quán)限管理作用訪問控制列表（AccessControlList.ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的（）A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS,因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了作用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、windows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中(正確答案)D、由于ACL具有很好的靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立的用戶的權(quán)限31、面哪種方法產(chǎn)生的密碼是最難記憶的？（）A、將用戶的生日倒轉(zhuǎn)或是重排B、將用戶的年薪倒轉(zhuǎn)或是重排C、將用戶配偶的名字倒轉(zhuǎn)或是重排D、用戶隨機(jī)給出的字母(正確答案)32、針對(duì)軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式（）A、攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100％B、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問(正確答案)33、Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來表示，對(duì)于文件名為test的一個(gè)文件，屬于admin組中user用戶，以下哪個(gè)是該文件正確的模式表示?（）A、-rwxr-xr-x3useradmin1024Sep1311：58test(正確答案)B、drwxr-xr-x3useradmin1024Sep1311：58testC、-rwxr-xr-x3adminuser1024Sep1311：58testD、drwxrxr-x3adminuser1024Sep1311：58test34、ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是（）A、httpd.conf(正確答案)B、srLconfC、access．confD、Inet.conf35、應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是?（）A、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁B、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對(duì)數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好(正確答案)36、下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?（）A、通過把SQL命令插入到web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上(正確答案)D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷37、對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說法錯(cuò)誤的是（）A、在使用來自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對(duì)管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源(正確答案)D、不要從不可信來源下載或執(zhí)行應(yīng)用程序38、安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是（）A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權(quán)限(正確答案)D、為了減少Apache上存在的漏洞39、下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是（）A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行(正確答案)D、能將自身代碼注入到文檔或模板的宏中代碼40、以下哪個(gè)是惡意代碼采用的隱藏技術(shù)（）A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是(正確答案)41、近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生，防范這種攻擊比較有效的方法是?（）A、加強(qiáng)網(wǎng)站源代碼的安全性B、對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估C、協(xié)調(diào)運(yùn)營(yíng)商對(duì)域名解析服務(wù)器進(jìn)行加固(正確答案)D、在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)防火墻42、在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測(cè)人員，你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題（）A、SSH(正確答案)B、HTTPC、FTPD、SMTP43、某linux系統(tǒng)由于root口令過于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的（）A、該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限(正確答案)D、該文件是一個(gè)后門程序，由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test44、某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問題的說法正確的是（）A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題(正確答案)D、網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題45、為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過程的說法不正確的是（）A、由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試(正確答案)46、提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容?（）A、不在Windows下安裝Apache，只在Linux和Unix下安裝(正確答案)B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行D、積極了解Apache的安全通告，并及時(shí)下載和更新47、某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程xp_cmdshell刪除了系統(tǒng)中一個(gè)重要文件，在進(jìn)行問題分析時(shí)，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則（）A、權(quán)限分離原則B、最小特權(quán)原則(正確答案)C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則48、口令破解是針對(duì)系統(tǒng)進(jìn)行攻擊的常用方法，Windows系統(tǒng)安全策略中應(yīng)對(duì)口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)誤的是（）A、密碼策略的主要作用是通過策略避免用戶生成弱口令及對(duì)用戶的口令使用進(jìn)行管控B、密碼策略對(duì)系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對(duì)口令暴力破解攻擊，能有效的保護(hù)所有系統(tǒng)用戶被口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對(duì)口令暴力破解攻擊(正確答案)49、以下關(guān)于PGP(PrettyGoodPrivacy)軟件敘述錯(cuò)誤的是（）A、PGP可以實(shí)現(xiàn)對(duì)郵件的加密、簽名和認(rèn)證B、PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮C、PGP可以對(duì)郵件進(jìn)行分段和重組D、PGP采用SHA算法加密郵件(正確答案)50、入侵防御系統(tǒng)(IPS)是繼入侵檢測(cè)系統(tǒng)(IDS)后發(fā)展期出來的一項(xiàng)新的安全技術(shù)，它與IDS有著許多不同點(diǎn)，請(qǐng)指出下列哪一項(xiàng)描述不符合IPS的特點(diǎn)?（）A、串接到網(wǎng)絡(luò)線路中B、對(duì)異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點(diǎn)故障D、不會(huì)影響網(wǎng)絡(luò)性能(正確答案)51、相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)?（）A、NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等闖題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C、對(duì)于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式(正確答案)52、某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是（）A、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中(正確答案)B、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長(zhǎng)日志覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間53、關(guān)于linux下的用戶和組，以下描述不正確的是（）A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都具有訪問權(quán)限(正確答案)54.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?（）A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤(正確答案)C、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅D、將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能55、在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象，授權(quán)子系統(tǒng)就越靈活?（）A、粒度越小(正確答案)B、約束越細(xì)致C、范圍越大D、約束范圍大56.賬號(hào)鎖定策略中對(duì)超過一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?（）A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解(正確答案)D、緩沖區(qū)溢出攻擊57、以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?（）A、ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議(正確答案)58、張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?（）A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊(正確答案)59、以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是不推薦使用的方法（）A、禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I/O設(shè)備B、對(duì)不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D、用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件(正確答案)60、在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的（）A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施(正確答案)C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用61、為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)不是日志必需具備的特征。（）A、統(tǒng)一而精確地的時(shí)間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問源、訪問目標(biāo)和訪問活動(dòng)等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取(正確答案)62、以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢(shì)說明，那個(gè)是正確的（）A、Https協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為(正確答案)B、Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會(huì)話過程中不傳輸用戶名和密碼，因此具有較高的63、金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項(xiàng)是不好的習(xí)慣（）A、使用專用上網(wǎng)購物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件，應(yīng)用軟件進(jìn)行升級(jí)(正確答案)B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)64、以下Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccoumtsManager）的說法哪個(gè)是正確的是（）A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有System賬號(hào)才能訪問，具有較高的安全性(正確答案)65、關(guān)于惡意代碼，以下說法錯(cuò)誤的是（）A、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B、按照運(yùn)行平臺(tái)，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。(正確答案)C、不感染的依附性惡意代碼無法單獨(dú)執(zhí)行D、為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞活動(dòng)，傳播途徑是惡意代碼賴以生存和繁殖的基本條件66、某單位對(duì)其主網(wǎng)站的一天訪問流量監(jiān)測(cè)，顯示該網(wǎng)站在當(dāng)天17：00到20：00間受到了攻擊（流量暴增10倍），則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會(huì)話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊(正確答案)67、口令破解是針對(duì)系統(tǒng)進(jìn)行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對(duì)口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)誤的是（）A、密碼策略主要作用是通過策略避免擁護(hù)生成弱口令及對(duì)用戶的口令使用進(jìn)行管控B、密碼策略對(duì)系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對(duì)口令暴力破解攻擊，能有效地保護(hù)所有系統(tǒng)用戶應(yīng)對(duì)口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對(duì)口令暴力破解攻擊(正確答案)68、windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的（）A、安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的(正確答案)D、由于ACL具有很好靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立擁護(hù)的權(quán)限69、由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置帳戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下（）

復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘賬戶鎖定時(shí)間10分鐘賬戶鎖定閥值3次無效登陸以下關(guān)于以上策略設(shè)置后的說法哪個(gè)是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的擁護(hù)就會(huì)被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)(正確答案)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該擁護(hù)帳號(hào)被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響70、關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是（）A、數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)B、數(shù)據(jù)庫管理員定期地將整個(gè)數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個(gè)磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交(正確答案)71、數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息(正確答案)C、粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分72、應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等(正確答案)73、ApacheHttpServer（簡(jiǎn)稱Apache）是一個(gè)開放源碼的WEB服務(wù)運(yùn)行平臺(tái)，在使用過程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息,應(yīng)當(dāng)采取以下那種措施（）A、安裝后，修改訪問控制配置文件B、安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)(正確答案)C、安裝后，刪除ApacheHttpServer源碼D、從正確的官方網(wǎng)站下載ApacheHttpServer，并安裝使用74、下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊,且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞(正確答案)75、某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處的李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩膩先幫我把密改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強(qiáng)發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請(qǐng)問下淚說法哪個(gè)是正確的（）A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題B、事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作(正確答案)D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)郵件服務(wù)軟件76、下面四款安全測(cè)試軟件中，主要用于Web安全掃描的是（）A、CiscoAduitingToolsB、AcunetixWebVulnerabilityScanner(正確答案)C、NMAPD、ISSDatabaseScanner77、某集團(tuán)公司根據(jù)業(yè)務(wù)需求，在各地分支機(jī)構(gòu)部屬前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)種提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施？（）A、由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會(huì)帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問密碼且限定訪問的時(shí)間(正確答案)78、某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程XP.cmctstell刪除了系統(tǒng)中的一個(gè)重要文件，在進(jìn)行問題分析時(shí)，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則（）A、權(quán)限分離原則B、最小特權(quán)原則(正確答案)C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則79、與瀏覽器兼容性測(cè)試不需要考慮的間題是（）A、軟件是否可以在不同的J2EE中運(yùn)行(正確答案)B、不同的瀏覽器是否可以提供合適的安全設(shè)置C、腳本和插是否適用于不同的瀏覧器D、符合最新HTML版本的頁面能否在瀏覽器中正確顯示80、SQLServer支持兩種身份驗(yàn)證模式，即Windows身份驗(yàn)證模式和混合模式.SQLServer的混全模式是指:當(dāng)網(wǎng)絡(luò)用戶嘗試接到SOLServer數(shù)據(jù)庫時(shí)，（）

A、Windows獲取用戶輸入的用戶和密碼，并提交給SQLServe進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限B、SQLServe根據(jù)用戶輸入的用戶和密碼，并提交給Windows進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限C、SQLServe根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性，對(duì)用戶進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限(正確答案)D、登錄到本地Windows的用戶均可無限制訪問SQLServe數(shù)據(jù)庫81、怎樣安全上網(wǎng)不中毒，現(xiàn)在是網(wǎng)絡(luò)時(shí)代了。上網(wǎng)是每個(gè)人都會(huì)做的事，但網(wǎng)絡(luò)病毒一直是比較頭疼的、電腦中毒也比較麻頒.某員工為了防止在上網(wǎng)時(shí)中毒使用了影子系統(tǒng)。他認(rèn)為惡代碼會(huì)通過以下方式傳播，但有一項(xiàng)是安全的，請(qǐng)問是（）A、網(wǎng)頁掛馬B、利用即時(shí)通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中C、Google認(rèn)證過的插件(正確答案)D、垃圾郵件82、惡意代碼經(jīng)過20多年的發(fā)展，破壞性、種類和感染性都得到增強(qiáng).隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹碓酱?小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中防病毒軟件通過對(duì)有毒件的檢測(cè)將軟件行為與惡意代碼行為模型進(jìn)行匹配，判斷出該軟件存在惡意代碼，這種方式屬于（）A簡(jiǎn)單運(yùn)行B、行為檢測(cè)(正確答案)C特征數(shù)據(jù)匹配D、特征碼掃描83、惡意軟件抗分析技術(shù)的發(fā)展，惡意件廣泛使用了加売、加密、混淆等抗分析技術(shù)，對(duì)惡意軟件的分析難度越來越大.對(duì)惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。小趙通過查閱