40.2016 年 9 月,一位安全研究人员在 Google Cloud IP 上通过扫描,发现了完整的美国路易斯安邦州 290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码,以防止攻击者利用以上信息进行()攻击。
A. 默认口令
B. 字典
C. 暴力
D. XSS
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e008.html
点击查看答案
90.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是 ()
A. 降低风险
B. 规避风险
C. 放弃风险
D. 转移风险
解析:解析:放弃高风险模块的功能,属于风险规避。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e00e.html
点击查看答案
80.2006 年 5 月 8 日电,中共中央办公厅、国务院办公厅印发了《2006-2020 年国家信息化发展战略》。全文分() 部分共计约 15000 余字。对国内外的信息化发展做了宏观分析,对我国信息化发展指导思想和战略目标标准要阐述,对我国() 发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的() ,当前我国信息安全保障工作逐步加强。制定并实施了() ,初步建立了信息安全管理体制和()。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
A. 5 个; 信息化; 基本形势;国家安全战略; 工作机制
B. 6 个;信息化;基本形势;国家信息安全战略; 工作机制
C. 7 个;信息化;基本形势;国家安全战略; 工作机制
D. 8 个;信息化;基本形势;国家信息安全战略; 工作机制
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f920-c0ba-f2840f59e018.html
点击查看答案
38.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000 以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对 windows操作系统访问控制实现方法的理解错误的是()
A. ACL 只能由管理员进行管理
B. ACL 是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的 SID
C. 访问令牌存储着用户的 SID,组信息和分配给用户的权限
D. 通过授权管理器,可以实现基于角色的访问控制
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e006.html
点击查看答案
47.某贸易公司的 OA 系统由于存在系统漏洞,被攻击者上传了木马病毒并删除了系统中的数据,由于系统备份是每周六进行一次, 事件发生时间为周三,因此导致该公司三个工作日的数据丢失并使得 OA 系统在随后两天内无法访问,影响到了与公司有业务往来部分公司业务。在事故处理报告中, 根据 GB/Z 20986-2007 《信息安全事件分级分类指南》, 该事件的准确分类和定级应该是()
A. 有害程序事件特别重大事件( Ⅰ级)
B. 信息破坏事件重大事件( Ⅱ级)
C. 有害程序事件较大事件(Ⅲ级)
D. 信息破坏事件一般事件(Ⅳ级)
解析:解析:木马病毒为有害程序事件,系统数据丢失并使得 OA 系统在随后两天内无法访问属于较大事件(III 级)
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f538-c0ba-f2840f59e00f.html
点击查看答案
67.自主访问控制( )是应用很广泛的访问控制方法,常用于多种商业系统中。以下对DAC 模型的理解中,存在错误的是()
A. 在 DAC 模型中,资源的所有者可以规定谁有权访问它们的资源
B. DAC 是一种对单个用户执行访问控制的过程和措施
C. DAC 可为用户提供灵活调整的安全策略,具有较好的易用性可扩展性,可以抵御特洛伊木马的攻击
D. 在 DAC 中,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
解析:解析:DAC 不能抵御特洛伊木马攻击,P306 页
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e00f.html
点击查看答案
70.某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期内述不正确的是( )
A. 对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施
B. 安全措施主要有预防性、检测性和纠正性三种
C. 安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁
D. 对确认为不适当的安全措施可以置不顾
解析:解析:常识性错误。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e012.html
点击查看答案
60.有关系统工程的特点,以下错误的是 ()
A. 系统工程研究问题一般采用先决定整体框架,后进入详细设计的程序
B. 系统工程的基本特点,是需要把研究对象结构为多个组织部分分别独立研究
C. 系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系
D. 系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法
解析:解析:”分别独立研究”错误,系统工程的目的是实现总体效果最优,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e00a.html
点击查看答案
78.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式 ( )
A. 攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU 资源占用始终 100%
B. 攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C. 攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D. 攻击者买通 IDC 人员,将某软件运行服务器的网线拔掉导致无法访问
解析:解析:ABC 都是从软件领域考虑解决,D 项一般不是拒绝服务攻击采用的方式。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e002.html
点击查看答案
30.实施灾难恢复计划之后,组织的灾难前和灾难后运营成本将:
A. 降低
B. 不变(保持相同)
C. 提高
D. 提高或降低(取决于业务的性质)
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-42f0-c0ba-f2840f59e01b.html
点击查看答案
