cisp试题及答案(1)
-
以下发现属于Linux系统严重威胁的是什么?
- A.发现不明的SUID可执行文件
- B.发现应用的配置文件被管理员变更
- C.发现有恶意程序在实时的攻击系统
- D.发现防护程序收集了很多黑客攻击的源地址
-
以下哪项行为可能使用嗅探泄露系统的管理员密码?
- A.使用root用户访问FTP程序
- B.使用root用户连接SSH服务
- C.使用root进行SCP文件传输
- D.在本地使用root用户登录
-
以下描述中不属于SSH用途的为?
- A.用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境
- B.用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输
- C.进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性
- D.SCP远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障
-
以下不属于Linux安全加固的内容是什么?
- A.配置iptables
- B.配置Tcpwapper
- C.启用Selinux
- D.修改root的UID
-
对于Linux的安全加固项说法错误的是哪项?
- A.使用uname-a确认其内核是否有漏洞
- B.检查系统是否有重复的UID用户
- C.查看login.defs文件对于密码的限制
- D.查看hosts文件确保Tcpwapper生效
-
对于Linux审计说法错误的是?
- A.Linux系统支持细粒度的审计操作
- B.Linux系统可以使用自带的软件发送审计日志到SOC平台
- C.Linux系统一般使用auditd进程产生日志文件
- D.Linux在secure日志中登陆成功日志和审计日志是一个文件
-
当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?
- A.个人防火墙
- B.防病毒软件
- C.入侵检测系统
- D.虚拟局域网设置
-
对于Linux操作系统中shadow文件说法不正确的是?
- A.shadow文件可以指定用户的目录
- B.shadow文件中定义了密码的使用期限
- C.读取shadow文件能够发现秘钥的加密方法
- D.shadow文件对于任何人是不可以读取的
-
以下关于软件安全测试说法正确的是?
- A.软件安全测试就是黑盒测试
- B.Fuzz测试是经常采用的安全测试方法之一
- C.软件安全测试关注的是软件的功能
- D.软件安全测试可以发现软件中产生的所有安全问题
-
作为信息安全管理人员,你认为变更管理过程最重要的是?
- A.变更过程要留痕
- B.变更申请与上线提出要经过审批
- C.变更过程要坚持环境分离和人员分离原则
- D.变更要与容灾预案同步
-
如果恶意开发人员想在代码中隐藏逻辑炸弹,什么预防方式最有效?
- A.源代码周期性安全扫描
- B.源代码人工审计
- C.渗透测试
- D.对系统的运行情况进行不间断监测记录
-
测试人员与开发人员交互测试发现的过程中,开发人员最关注的什么?
- A.bug的数量
- B.bug的严重程度
- C.bug的复现过程
- D.bug修复的可行性
-
安全开发制度中,QA最关注的的制度是
- A.系统后评价规定
- B.可行性分析与需求分析规定
- C.安全开发流程的定义、交付物和交付物衡量标准
- D.需求变更规定
-
项目经理欲提高信息系统安全性,他首先要做的工作是
- A.考虑安全开发需要什么样的资源与预算
- B.考虑安全开发在开发生命周期各阶段应开展哪些工作
- C.对开发团队进行信息安全培训
- D.购买一定的安全工具,如代码扫描工具等
-
输入参数过滤可以预防以下哪些攻击
- A.SQL注入、跨站脚本、缓冲区溢出
- B.SQL注入、跨站脚本、DNS毒药
- C.SQL注入、跨站请求伪造、网络窃听
- D.跨站请求伪造、跨站脚本、DNS毒药
-
以下哪项机制与数据处理完整性相关
- A.数据库事务完整性机制
- B.数据库自动备份复制机制
- C.双机并行处理,并相互验证
- D.加密算法
-
面向对象的开发方法中,以下哪些机制对安全有帮助
- A.封装
- B.多态
- C.继承
- D.重载
-
对系统安全需求进行评审,以下那类人不适合参与
- A.系统分析员
- B.业务代表
- C.安全专家
- D.合规代表
-
负责授权访问业务系统的职责应该属于:
- A.数据拥有者
- B.安全管理员
- C.IT安全经理
- D.请求者的直接上司
-
开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为
- A.瀑布模型
- B.净室模型
- C.XP模型
- D.迭代模型
-
以下哪项活动对安全编码没有帮助
- A.代码审计
- B.安全编码规范
- C.编码培训
- D.代码版本管理
-
为了预防逻辑炸弹,项目经理采取的最有效的措施应该是
- A.对每日提交的新代码进行人工审计
- B.代码安全扫描
- C.安全意识教育
- D.安全编码培训教育
-
对缓冲区溢出攻击预防没有帮助的做法包括
- A.输入参数过滤,安全编译选项
- B.操作系统安全机制、禁止使用禁用API
- C.安全编码教育
- D.渗透测试
-
从业务角度出发,最大的风险可能发生在那个阶段
- A.立项可行性分析阶段
- B.系统需求分析阶段
- C.架构设计和编码阶段
- D.投产上线阶段
-
那种测试结果对开发人员的影响最大
- A.单元测试和集成测试
- B.系统测试
- C.验收测试
- D.渗透测试
-
下面对自由访问控制(DAC)描述正确的是
- A.比较强制访问控制而言不太灵活
- B.基于安全标签
- C.关注信息流
- D.在商业环境中广泛使用
-
下列哪项是系统问责时不需要的?
- A.认证
- B.鉴定
- C.授权
- D.审计
-
信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是
- A.ISMS是一个遵循PDCA模式的动态发展的体系
- B.ISMS是一个文件化、系统化的体系
- C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
- D.ISMS应该是一步到位的,应该解决所有的信息安全问题
-
有关Kerberos说法下列哪项是正确的?
- A.它利用公钥加密技术
- B.它依靠对称密码技术
- C.它是第二方的认证系统
- D.票据授予之后将加密数据,但以明文方式交换密码
-
下列哪项是多级安全策略的必要组成部分?
- A.主体、客体的敏感标签和自主访问控制
- B.客体敏感标签和强制访问控制
- C.主体的安全凭证、客体的安全标签和强制访问控制
- D.主体、客体的敏感标签和对其“系统高安全模式”的评价
-
在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?
- A.外部代理商的处理应该接受一个来自独立代理进行的IS审计
- B.外部代理商的员工必须接受该组织的安全程序的培训
- C.来自外部代理商的任何访问必须限制在停火区(DMZ)
- D.该组织应该进行风险评估,并制定和实施适当的控制
-
下列哪项不是Kerberos密钥分发服务(KDS)的一部分?
- A.Kerberos票证授予服务器(TGS)
- B.Kerberos身份验证服务器(KAS)
- C.存放用户名和密码的数据库
- D.Kerberos票证吊销服务器(TRS)
-
下列哪项是系统问责所需要的?
- A.授权
- B.多人共用同一帐号
- C.审计机制
- D.系统设计的形式化验证
-
Kerberos依赖什么加密方式?
- A.ElGamal密码加密
- B.秘密密钥加密
- C.Blowfish加密
- D.公钥加密
-
下列关于Kerberos的描述,哪一项是正确的?
- A.埃及神话中的有三个头的狗
- B.安全模型
- C.远程身份验证拨入用户服务器
- D.一个值得信赖的第三方认证协议
-
及时审查系统访问审计记录是以下哪种基本安全功能?
- A.威慑
- B.规避
- C.预防
- D.检测
-
个人问责不包括下列哪一项?
- A.访问规则
- B.策略与程序
- C.审计跟踪
- D.唯一身份标识符
-
下列哪一项体现了适当的职责分离?
- A.磁带操作员被允许使用系统控制台
- B.操作员是不允许修改系统时间
- C.允许程序员使用系统控制台
- D.控制台操作员被允许装载磁带和磁盘
-
实施逻辑访问安全时,以下哪项不是逻辑访问?
- A.用户ID
- B.访问配置文件
- C.员工胸牌
- D.密码
-
处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?
- A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化
- B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化
- C.在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取
- D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎
-
以下哪一种身份验证机制为移动用户带来验证问题?
- A.可重复使用的密码机制
- B.一次性口令机制
- C.挑战响应机制
- D.基于IP地址的机制
-
银行柜员的访问控制策略实施以下的哪一种?
- A.基于角色的策略
- B.基于身份的策略
- C.基于用户的策略
- D.基于规则政策
-
防范密码嗅探攻击计算机系统的控制措施包括下列哪一项?
- A.静态和重复使用的密码
- B.加密和重复使用的密码
- C.一次性密码和加密
- D.静态和一次性密码
-
组织允许外部通过互联网访问组织的局域网之前,首先要考虑实施以下哪项措施?
- A.保护调制解调器池
- B.考虑适当的身份验证方式
- C.为用户提供账户使用信息
- D.实施工作站锁定机制
-
Kerberos可以防止以下哪种攻击?
- A.隧道攻击
- B.重放攻击
- C.破坏性攻击
- D.处理攻击
-
单点登录系统主要的关切是什么?
- A.密码一旦泄露,最大程度的非授权访问将可能发生
- B.将增加用户的访问权限
- C.用户的密码太难记
- D.安全管理员的工作量会增加
-
在自主访问环境中,以下哪个实体可以将信息访问权授予给其他人?
- A.经理
- B.集团负责人
- C.安全经理
- D.数据所有者
-
一个组织已经创建了一个策略来定义用户禁止访问的网站类型。哪个是最有效的技术来达成这个策略?
- A.状态检测防火墙
- B.网页内容过滤
- C.网页缓存服务器
- D.代理服务器
-
不受限制的访问生产系统程序的权限将授予以下哪些人?
- A.审计师
- B.不可授予任何人
- C.系统的属主
- D.只有维护程序员
-
当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:
- A.满足并超过行业安全标准
- B.同意可以接受外部安全审查
- C.其服务和经验有很好的市场声誉
- D.符合组织的安全策略