50.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性较高的系统。强制访问控制模型有多种类型,如 BLP、Biba、Clark-Willson 和 ChineseWall 等。小李自学了 BLP 模型,并对该模型的特点进行了总结。以下 4 钟对 BLP 模型的描述中,正确的是( ):
A. BLP 模型用于保证系统信息的机密性,规则是”向上读,向下写”
B. BLP 模型用于保证系统信息的机密性,规则是”向下读,向上写”
C. BLP 模型用于保证系统信息的完整性,规则是”向上读,向下写”
D. BLP 模型用于保证系统信息的完整性,规则是”向下读,向上写”
解析:解析:BLP 模型保证机密性,向下读,向上写;Biba 保障完整性,向上读向下写。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e012.html
点击查看答案
87.( )在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的( )。例如攻击者要伪装成某个大型集团公司总部的( ),那么他需要了解这个大型集团公司所处行业的一些行规或者 ( )、公司规则制度、组织架构等信息,甚至包括集团公司中相关人员的绰号等等。
A. 攻击者;所需要的信息;系统管理员;基础;内部约定
B. 所需要的信息;基础;攻击者;系统管理员;内部约定
C. 攻击者;所需要的信息:基础;系统管理员;内部约定
D. 所需要的信息;攻击者;基础;系统管理员;内部约定
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-fd08-c0ba-f2840f59e004.html
点击查看答案
48.某项目组进行风险评估时由于时间有限,决定采用基于知识的分析方法,使用基于知识的分析方法进行风险评估,最重要的在于评估信息的采集,该项目组对信息源进行了讨论,以下说法中不可行的是()
A. 可以通过对当前的信息安全策略和相关文档进行复查采集评估信息
B. 可以通过进行实施考察的方式采集评估信息
C. 可以通过建立模型的方法采集评估信息
D. 可以制作问卷,进行调查
解析:解析:基于知识的风险评估方法和基于模型的风险评估方法是并列关系
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-01b8-c0ba-f2840f59e016.html
点击查看答案
4.在密码学的 Kerchhof 假设中,密码系统的安全性仅依赖于_______。
解析:解析:柯克霍夫原则:密码系统的安全性依赖于密钥而不依赖于算法。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b4f8-c0ba-f2840f59e003.html
点击查看答案
93.目前应用面临的威胁越来越多,越来越难发现。对应用系统潜在的威胁目前还没有统一的分类,但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对,请问是下面哪一项 ()
A. 数据访问权限
B. 伪造身份
C. 钓鱼攻击
D. 远程渗透
解析:解析:BCD 都是常见的威胁方式,A 项至少一种数据访问控制方式。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e011.html
点击查看答案
85.某政府机构委托开发商开发了一个 OA 系统。其中公交分发功能使用了FTP 协议,该系统运行过程中被攻击者通过 FTP 对 OA 系统中的脚本文件进行了篡改,安全专家提出使用Http 下载代替 FTP 功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的()
A. 程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求
B. 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C. 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D. 程序员在进行软件测试时,没有针对软件安全需求进行安全测试
解析:解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e009.html
点击查看答案
21.近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?
A. 加强网站源代码的安全性
B. 对网络客户端进行安全评估
C. 协调运营商对域名解析服务器进行加固
D. 在网站的网络出口部署应用级防火墙
解析:解析:协调运营商对域名解析服务器进行加固是 DNS 防护的主要手段。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c5a0-c0ba-f2840f59e005.html
点击查看答案
100.灾备指标是指信息安全系统的容灾抗毁能力, 主要包括四个具体指标:恢复时间目标( ).恢复点目标( )降级操作目标( ) 和网络恢复目标( ) ,小华准备为其工作的信息系统拟定恢复点目标 RPO-O,以下描述中, 正确的是() 。
A. RPO-O,相当于没有任何数据丢失, 但需要进行业务恢复处理,覆盖原有信息
B. RPO-O, 相当于所有数据全部丢失, 需要进行业务恢复处理。修复数据丢失
C. RPO-O,相当于部分数据丢失, 需要进行业务恢复处理, 修复数据丢失
D. RPO-O,相当于没有任何数据丢失, 且不需要进行业务恢复处理
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-fd08-c0ba-f2840f59e011.html
点击查看答案
75.关于对信息安全事件进行分类分级管理的原因描述不正确的是 ()
A. 信息安全事件的种类很多,严重程度不尽相同,其响应和处理方法也应各不相同
B. 信息安全事件实行分类和分级管理,是有效防范和响应信息安全事件的基础
C. 能够使事前准备,事中应对和事后处理的各项相关工作更具针对性和有效性
D. 我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和”千年虫”问题的解决,关于网络安全应急响应的起步最早。
解析:解析:D 项不是信息安全事件进行分类分级管理的原因,P146 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e019.html
点击查看答案
3.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A. 操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B. 为了方便进行数据备份,安装 Windows 操作系统时只使用一个分区 C,所有数据和操作系统都存放在 C 盘
C. 操作系统上部署防病毒软件,以对抗病毒的威胁
D. 将默认的管理员账号 Administrator 改名,降低口令暴力破解攻击的发生可能
解析:解析:操作系统和应用安全装应分开不同磁盘部署。
https://www.shititong.cn/cha-kan/shiti/0005fc54-6893-d320-c0ba-f2840f59e002.html
点击查看答案