CISO官方模拟题一.docx

1、CISO官方模拟题一CISO 模拟题一一、单选题。 (共 100题,共 100 分,每题 1分)1.以下关于安全套接层协议( Secure Sockets Layer,SS)L 说法错误的是：a、 SSL协议位于TCP/IP协议层和应用协议之间b、 SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输c、 SSL是一种可靠的端到端的安全服务协议d、 SSL是设计用来保护操作系统的最佳答案是 :d2.部署互联网协议安全虚拟专用网( Internet Protocol Security Virtual Private Network, IPsecVPN)时,以下说法正确的是：a、

2、配置MD5安全算法可以提供可靠地数据加密b、 配置AES算法可以提供可靠的数据完整性验证c、 部署Ipsec VPN网络时，需要考虑 IP地址的规划，尽量在分支节点使用可以聚合的 IP地址段，来减少IPsec安全关联(Security Authentication ， SA)资源的消耗d、 报文验证头协议(Authentication Header， AH)可以提供数据机密性最佳答案是 :c3.某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问 的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种：a、强制访问控制 b、基于角色的访问控制 c、

3、自主访问控制 d、基于任务的访问控制最佳答案是 :c4.某移动智能终端支持通过指纹识别解锁系统的功能， 与传统的基于口令的鉴别技术相比， 关于此种鉴别技术说法不正确的是：a、 所选择的特征(指纹)便于收集、测量和比较b、 每个人所拥有的指纹都是独一无二的c、 指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题d、 此类系统一般由用户指纹信息采集和指纹信息识别两部分组成最佳答案是 :c5.为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡 +短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法 ?a、 实体“所知”以及实体“所有”的鉴别方法b、 实体“所有

4、”以及实体“特征”的鉴别方法c、 实体“所知”以及实体“特征”的鉴别方法d、 实体“所有”以及实体“行为”的鉴别方法最佳答案是 :a6.以下场景描述了基于角色的访问控制模型 (Role-based Access Control. RBAC)根据组织的业务要求或管理要求，在业务系统中设置若干岗位 .职位或分工，管理员负责将权限 (不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC模型，下列说法错误的是：a、 当用户请求访问某资源时， 如果其操作权限不在用户当前被激活角色的授权范围内， 访问请求将被拒绝b、 业务系统中的岗位职位或者分工，可对应 RBAC模型中的角色c、 通过角色，可

5、实现对信息资源访问的控制d、 RBAC模型不能实现多级安全中的访问控制最佳答案是 :d7.关于 Kerberos 认证协议，以下说法错误的是：a、 只要用户拿到了认证服务器（ AS）发送的票据许可票据（TGT）并且该TGT没有过期， 就可以使用该TGT通过票据授权服务器（TGS完成到任一个服务器的认证而不必重新输入 密码b、 认证服务器（AS）和票据授权服务器（TGS是集中式管理，容易形成瓶颈，系统的性能和安 全也严重依赖于 AS和TGS的性能和安全c、 该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段， 仅支持服务器对用户的单向认证d、 该协议是一种基于对称密码算法

6、的网络认证协议，随用户数量增加，密钥管理较复杂 最佳答案是 :c8传输控制协议（TCP是传输层协议，以下关于 TCP协议的说法，哪个是正确的 ？a、 相比传输层的另外一个协议 UDP, TCP既提供传输可靠性，还同时具有更高的效率，因 此具有广泛的用途b、 TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确 的主机c、 TCP协议具有流量控制数据校验超时重发.接收确认等机制，因此 TCP协议能完全替代IP协议d、 TCP协议虽然高可靠，但是相比 UDP协议机制过于复杂，传输效率要比 UDP低最佳答案是 :d9.S公司在全国有20个分支机构，总部有10台服务器.2

7、00个用户终端，每个分支机构都有一台服务器 100个左右用户终端， 通过专网进行互联互通。 公司招标的网络设计方案中， 四 家集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给 S公司选出设计最合理的一个：a、 总部使用服务器 .用户终端统一作用 10.0.1.X.各分支机构服务器和用户终端使用192.168.2.X192.168.20.Xb、 总部使用服务器使用 10.0.1.111.用户终端使用10.0.1.12212，分支机构IP地址随意确 定即可c、 总部服务器使用10.0.1.X.用户终端根据部门划分使用 10.0.2.X每个分支机构分配两个 A类地址段，一个用做服务器地

8、址段 另外一个做用户终端地址段d、 因为通过互联网连接，访问的是互联网地址，内部地址经 NAT映射，因此IP地址无需 特别规划，各机构自行决定即可最佳答案是 :c10.以下关于 Windows系统账号存储管理机制 SAM（Security Accounts Manager）的说法哪个是正确的：a、 存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性b、 存储在注册表中的账号数据只有 administrator账户才有权访问，具有较高的安全性c、 存续在册表中的账号数据任何用户都可以直接访问，灵活方便d、 存储在注册表中的账号数据有只有 System账户才能访问，具有较高的安全性最

9、佳答案是 :d11.由于发生了一起针对服务器的口令暴力破解攻击， 管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁定计数器 5 分钟， 账户锁定时间 10 分钟， 账户锁定阀值 3 次无效登录，以下关于以上策略设置后的说法哪个是正确的：a、 设置账户锁定策略后， 攻击者无法再进行口令暴力破解， 所有输错了密码的用户就会被锁住b、 如果正常用户不小心输错了 3次密码，那么该用户就会被锁定 10分钟，10分钟内即使输入正确的密码，也无法登录系统c、 如果正常用户不小心连续输入错误密码 3次，那么该用户账号就被锁定 5分钟，5分钟内即使提交了正确的密码也无法登

10、录系统d、 攻击者在进行口令破解时，只要连续输错 3次密码，该用户就被锁定 10分钟，而正常 用户登录不受影响最佳答案是 :b12.关于数据库恢复技术，下列说法不正确的是：a、 数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决， 当数据库中数 据被破坏时，可以利用冗余数据来进行修复b、 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存 起来，是数据库恢复中采用的基本技术c、 日志文件在数据库恢复中起着非常重要的作用， 可以用来进行事务故障恢复和系统故障 恢复，并协助后备副本进行介质故障恢复d、 计算机系统发生故障导致数据未储存到固定存储器上， 利用日志文

11、件中故障发生的数据 值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交最佳答案是 :d13.安全的运行环境是软件安全的基础， 操作系统安全配置是确保运行环境安全必不可少的 工作，某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作，其中哪项 设置不利于提高运行环境安全 ?a、 操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b、 为了方便进行数据备份，安装 Windows操作系统时只使用一个分区所有数据和操作系 统都存放在 C 盘c、 操作系统上部署防病毒软件，以对抗病毒的威胁d、 将默认的管理员账号 Administrator改名，

12、降低口令暴力破解攻击的发生可能 最佳答案是 :b14.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略， 以下不属于数据库防护策略的是 ?a、 安装最新的数据库软件安全补丁b、 对存储的敏感数据进行安全加密c、 不使用管理员权限直接连接数据库系统d、 定期对数据库服务器进行重启以确保数据库运行良好最佳答案是 :d15.数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全， 以下关于数据库常用的安全策略理解不正确的是：a、 最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使 得这些信息恰好能够完成用户的工作b、 最大共享策

13、略，在保证数据库的完整性 .保密性和可用性的前提下，最大程度地共享数 据库中的信息c、 粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需 要选择最小粒度d、按内容存取控制策略，不同权限的用户访问数据库的不同部分最佳答案是 :b16.安全专家在对某网站进行安全部署时，调整了 Apache的运行权限，从root权限降低为nobody 用户，以下操作的主要目的是：a、 为了提高Apache软件运行效率b、 为了提高 Apache软件的可靠性c、 为了避免攻击者通过 Apache获得root权限d、 为了减少Apache上存在的漏洞最佳答案是 :c17.数据在进行传输前，需

14、要由协议栈自上而下对数据进行封装， TCP IP 协议中，数据封装的顺序是：a、 传输层、网络接口层、互联网络层b、 传输层、互联网络层、网络接口层c、 互联网络层、传输层、网络接口层d、 互联网络层、网络接口层、传输层最佳答案是 :b18.某政府机构委托开发商开发了一个 0A系统，其中有一个公文分发，公文通知等为 WORD文档，厂商在进行系统设计时使用了 FTP来对公文进行分发，以下说法不正确的是a、 FTP协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得 FTP密 码，从而威胁 OA系统b、 FTP协议需要进行验证才能访问在，攻击者可以利用 FTP进行口令的暴力破解c、

15、FTP协议已经是不太使用的协议，可能与新版本的浏览器存在兼容性问题d、 FTP应用需要安装服务器端软件，软件存在漏洞可能会影响到 OA系统的安全最佳答案是 :c19.以下关于SMTP和POP3协议的说法哪个是错误的：a、 SMTP和POP3协议是一种基于 ASCI I编码的请求/响应模式的协议b、 SMTP和POP3协议明文传输数据，因此存在数据泄漏的可能c、 SMTP和 POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题d、 SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件最佳答案是 :a20.某公司在互联网区域新建了一个 WEB 网站，为了保护该网站主页安全性，尤

16、其是不能 让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）a、负载均衡设备 b、网页防篡改系统 c、网络防病毒系统 d、网络审计系统最佳答案是 :b21.小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第 二天他收到了一封来自电器城提示他中奖的邮件上， 查看该后他按照提示操作， 纳中奖税款 后并没有得到中奖奖金， 再打电话询问电器城才得知电器城并没有开的活动， 根据上面的描 述，由此可以推断的是（）a、 小陈在电器城登记个人信息时，应当使用加密手段b、 小陈遭受了钓鱼攻击，钱被骗走了c、 小陈的计算机中了木马，被远程控制d、 小陈购买的凌波微步是智能凌波微步

17、 ，能够自己上网最佳答案是 :b22.安全多用途互联网邮件扩展（ Secure Multipurpose In ternet Mail Exte nsio n ， SMIME）是指a、 SMIME 采用了非对称密码学机制b、SMIME支持数字证书 c、SMIME采用了邮件防火墙技术d、SMIME支持用户身份认证和邮件加密最佳答案是 :c23.小王在某 Web 软件公司工作，她在工作中主要负责对互联网信息服务（ InternetIn formation Services， IIS）软件进行安全配置，这是属于（ ）方面的安全工作。a、Web服务支撑软件 b、Web应用程序 c、Web浏览器 d、通

18、信协议最佳答案是 :a24.为增强 Web应用程序的安全性，某软件开发经理决定加强 Web软件安全开发培训，下面哪项内容要在他的考虑范围内 ?a、 关于网站身份签别技术方面安全知识的培训b、 针对OpenSSL心脏出血漏洞方面安全知识的培训c、 针对SQL注入漏洞的安全编程培训d、 关于ARM系统漏洞挖掘方面安全知识的培训最佳答案是 :c25.关于恶意代码，以下说法错误的是：a、 从传播范围来看，恶意代码呈现多平台传播的特征。b、 按照运行平台，恶意代码可以分为网络传播型病毒 文件传播型病毒。c、 不感染的依附性恶意代码无法单独执行d、 为了对目标系统实施攻击和破坏活动， 传播途径是恶意代码赖

19、以生存和繁殖的基本条件 最佳答案是 :d26.以下可能存在 sql 注入攻击的部分是：a、get请求参数 b、post请求参数 c、cookie值 d、以上均有可能最佳答案是 :d27.某公司已有漏洞扫描和入侵检测系统 （Intrusien Detection System , IDS）产品，需要购买防火墙，以下做法应当优先考虑的是：a、 选购当前技术最先进的防火墙即可b、 选购任意一款品牌防火墙c、 任意选购一款价格合适的防火墙产品d、 选购一款同已有安全产品联动的防火墙最佳答案是 :d28.某网站管理员小邓在流量监测中发现近期网站的入站 ICMP 流量上升了 250%，尽管网站 没有发现任

20、何的性能下降或其他问题， 但为了安全起见， 他仍然向主管领导提出了应对措施， 作为主管负责人，请选择有效的针对此问题的应对措施：a、 在防火墙上设置策略，阻止所有的 ICMP流量进入（关掉ping）b、 删除服务器上的 ping.exe程序c、 增加带宽以应对可能的拒绝服务攻击d、 增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是 :a29.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想， 在有限资源前提下实现软件安全最优防护， 避免防范不足带来的直接损失， 也需要关注过度防范造成的间接损 失，在以下软件安全开发策略中，不符合软件安全保障思想的是：a、在软件立项时考虑到软件安全

21、相关费用， 经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实b、 在软件安全设计时， 邀请软件安全开发专家对软件架构设计进行评审， 及时发现架构设 计中存在的安全不足c、 确保对软编码人员进行安全培训， 使开发人员了解安全编码基本原则和方法， 确保开发人员编写出安全的代码d、 在软件上线前对软件进行全面安全性测试，包括源代码分析 .模糊测试.渗透测试，未经 以上测试的软件不允许上线运行最佳答案是 :d30.在软件保障成熟度模型 （Software Assuranee Maturity Mode ， SAMM）中，规定了软件开发 过程中的核心业务功能，下列哪个选项不属于核心业务功能：

22、a、 治理，主要是管理软件开发的过程和活动b、 构造，主要是在开发项目中确定目标并开发软件的过程与活动c、 验证，主要是测试和验证软件的过程与活动d、 购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动最佳答案是 :d31.由于频繁出现软件运行时被黑客远程攻击获取数据的现象， 某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（ ）a、 要求所有的开发人员参加软件安全开发知识培训b、 要求增加软件源代码审核环节，加强对软件代码的安全性审查c、 要求统一采用 Windows8系统进行开发，不能采用之前的 Windows版本d、 要求邀请专业队伍进行第三

23、方安全性测试，尽量从多角度发现软件安全问题最佳答案是 :c32.微软提出了 STRIDE模型，其中R是Repudiation（抵赖）的缩写，关于此项错误的是 ：a、 某用户在登录系统并下载数据后，却声称“我没有下载过数据 ”软件R威胁b、 某用户在网络通信中传输完数据后， 却声称“这些数据不是我传输的” 威胁也属于R威 胁。c、 对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术d、 对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术 最佳答案是 ：d33.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目 开发人员决定用户登陆时如果用户名或口令输入错误

24、， 给用户返回 “用户名或口令输入错误” 信息， 输入错误达到三次， 将暂时禁止登录该账户， 请问以上安全设计遵循的是哪项安全设 计原则：a、最少共享机制原则 b、经济机制原则 c、不信任原则 d、默认故障处理保护原则最佳答案是 ：c34.以下哪一项不是常见威胁对应的消减措施：a、 假冒攻击可以采用身份认证机制来防范b、 为了防止传输的信息被篡改，收发双方可以使用单向 Hash函数来验证数据的完整性c、 为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖d、 为了防止用户提升权限，可以采用访问控制表的方式来管理权限 最佳答案是 ：c35.为了保障系统安全，某单位需要对其跨

25、地区大型网络实时应用系统进行渗透测试，以下 关于渗透测试过程的说法不正确的是a、 由于在实际渗透测试过程中存在不可预知的风险， 所以测试前要提醒用户进行系统和数 据备份，以便出现问题时可以及时恢复系统和数据b、 渗透测试从“逆向”的角度出发，测试软件系统的安全性 其价值在于可以测试软件在 实际系统中运行时的安全状况c、 渗透测试应当经过方案制定 .信息收集漏洞利用完成渗透测试报告等步骤d、 为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试 最佳答案是 :d36.信息安全工程作为信息安全保障的重要组成部门，主要是为了解决 :a、 信息系统的技术架构安全问题b、 信息系统

26、组成部门的组件安全问题c、 信息系统生命周期的过程安全问题d、 信息系统运行维护的安全管理问题 最佳答案是 :c37.系统工程的模型之一霍尔三维结构模型由时间维，逻辑维和知识维组成，有关此模型， 错误的是：a、 霍尔三维结构体系形象地描述了系统工程研究的框架b、 时间维表示系统工程活动从开始到结束按时间顺序排列的全过程c、 逻辑维的七个步骤与时间维的七个阶段严格对应， 即时间维第一阶段应执行逻辑维步骤 的活动，时间维第二阶段应执行逻辑维第二步骤的活动d、 知识维利率可能需要运用的工程，医学，建筑，商业，法律，管理，社会科学和艺术等 多种知识和技能最佳答案是 :c38.有关质量管理，错误的理解是

27、：a、 质量管理是与指挥和控制组织质量相关的一系列相互协调的活动， 是为了实现质量目标 而进行的所有管理性质的活动b、 规范质量管理体系相关活动的标准是 ISO 9000系列标准c、 质量管理体系将资源与结果结合，以结果管理方法进行系统的管理d、 质量管理体系从机构，程序，过程和总结四个方面进行规范来提升质量 最佳答案是 :c39.以下关于项目的含义，理解错误的是：a、 项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供独特 的产品、服务或成果而进行的一次性努力。b、 项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。c、 项目资源指完成项目所需要的人、

28、财、物等。d、 项目目标要遵守 SMART原则，即项目的目标要求具体 (Specific)、可测量(Measurable)、 需相关方的一致同意 (Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。 最佳答案是 :b40.以下哪一项不是信息系统集成项目的特点：a、 信息系统集成项目要以满足客户和用户的需求为根本出发点。b、 系统集成就是选择最好的产品和技术， 开发相应的软件和硬件，将其集成到信息系统的 过程。c、 信息系统集成项目的指导方法是“总体规划，分步实施” 。d、 信息系统集成包含技术，管理和商务等方面，是一项综合性的系统工程。 最佳答案是 :

29、b41.某项目的主要内容为建造 A 类机房，监理单位需要根据电子信息系统机房设计规范(GB50174-2008)的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出 的审核意见错误的是：a、 在异地建立备份机房时，设计时应与主用机房等级相同b、 由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式c、 因机房属于 A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴油发电机应能承担全部负荷的需要d、 A级主机房应设置洁净气体灭火系统最佳答案是 :b42.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统， 通过公开招标选择 M 公司为

30、承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前，各个 应用系统均已完成开发， M 公司已经提交了验收申请，监理公司需要对 A 公司提交的软件 配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档：a、项目计划书 b、质量控制计划 c、评审报告 d、需求说明书最佳答案是 :d43.系统安全工程 -能力成熟度模型 (Systems Security Engineoring-Capability maturity model ，SSE-CMM定义的包含评估威胁.评估脆弱牲评估影响和评估安全风险的基本过程领域是：a、风险过程 b、工程过程 c、保证过程 d、评估过程最佳答案是

31、:a44.在使用系统安全工程-能力成熟度模型(SSE-CMM对一个组织的安全工程能力成熟度进 行测量时，有关测量结果，错误理解的是：a、 如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时， 则这个 组织过程的能力成熟度未达到此级别b、 如果该组织某个过程区域 (Process Areas PA具备了定义标准过程、 执行已定义的过程，两个公共特征，则此工程区域的能力成熟度级别达到 3 级充分定义级c、 如果某个过程区域(Prpcess Areas PA )包含的4个基本措施(Base Practices, BP执行此BP时执行了 3个BP此过程区域的能力成熟度级别为 0d、 组织在不同的过程区域能力成熟度可能处于不同的级别上最佳答案是 :b45.以下关于信息安全工程说法正确的是：a、 信息化建设中系统功能的实现是最重要的b、 信息化建设可以先实施系统，然后对系统进行安全加固c、 信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息