试题通
试题通
APP下载
首页
>
IT互联网
>
注册信息安全专业人员试题
试题通
搜索
注册信息安全专业人员试题
题目内容
(
单选题
)
3.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?

A、 软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例

B、 软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库

C、 软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限

D、 为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行错误

答案:D

解析:解析:SYSTEM 权限是最大权限,违反了最小特权的原则。

试题通
注册信息安全专业人员试题
试题通
38.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000 以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对 windows操作系统访问控制实现方法的理解错误的是()
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e006.html
点击查看题目
4.下列哪一些对信息安全漏洞的描述是错误的?
https://www.shititong.cn/cha-kan/shiti/0005fc54-6893-d320-c0ba-f2840f59e003.html
点击查看题目
43.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e00b.html
点击查看题目
89.以下属于哪一种认证实现方式:用户登录时,认证服务器( )产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子密钥和随机数混合计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后,验证比较两个口令即可验证用户身份
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ea8-c0ba-f2840f59e001.html
点击查看题目
45.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-01b8-c0ba-f2840f59e013.html
点击查看题目
68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以适应需求,基于角色的访问控制 ( ) 逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是 () 。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e012.html
点击查看题目
47.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作 ( )
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b8e0-c0ba-f2840f59e018.html
点击查看题目
60.如下图所示,Alice 用 Bob 的密钥加密明文,将密文发送给 Bob,Bob 再用自己的私钥解密,恢复出明文以下说法正确的是:()
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e013.html
点击查看题目
23.关于标准,下面哪项理解是错误的()。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a1-fdd0-c0ba-f2840f59e016.html
点击查看题目
19.PKI 的主要理论基础是 () 。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b4f8-c0ba-f2840f59e012.html
点击查看题目
首页
>
IT互联网
>
注册信息安全专业人员试题
题目内容
(
单选题
)
手机预览
试题通
注册信息安全专业人员试题

3.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?

A、 软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例

B、 软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库

C、 软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限

D、 为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行错误

答案:D

解析:解析:SYSTEM 权限是最大权限,违反了最小特权的原则。

试题通
试题通
注册信息安全专业人员试题
相关题目
38.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000 以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对 windows操作系统访问控制实现方法的理解错误的是()

A.  ACL 只能由管理员进行管理

B.  ACL 是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的 SID

C.  访问令牌存储着用户的 SID,组信息和分配给用户的权限

D.  通过授权管理器,可以实现基于角色的访问控制

https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e006.html
点击查看答案
4.下列哪一些对信息安全漏洞的描述是错误的?

A.  漏洞是存在于信息系统的某种缺陷。

B.  漏洞存在于一定的环境中,寄生在一定的客体上(如 TOE 中、过程中等)。

C.  具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。

D.  漏洞都是人为故意引入的一种信息系统的弱点

解析:解析:漏洞是”人为故意或非故意引入的弱点”,漏洞可能是无意的有些甚至就是设计缺陷引起的。

https://www.shititong.cn/cha-kan/shiti/0005fc54-6893-d320-c0ba-f2840f59e003.html
点击查看答案
43.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项

A.  物理安全边界、物理入口控制

B.  办公室、房间和设施的安全保护。外部和环境威胁的安全防护

C.  在安全区域工作。公共访问、交接区安全

D.  人力资源安全

解析:解析:D 和物理环境安全无关。

https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e00b.html
点击查看答案
89.以下属于哪一种认证实现方式:用户登录时,认证服务器( )产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子密钥和随机数混合计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后,验证比较两个口令即可验证用户身份

A.  口令序列

B.  时间同步

C.  挑战/应答

D.  静态口令

解析:解析:题干描述的是 C 的解释。

https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ea8-c0ba-f2840f59e001.html
点击查看答案
45.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()

A.  TCSEC 标准

B.  CC 标准

C.  FC 标准

D.  ITSEC 标准

解析:解析:TCSEC 标准(可信计算机系统评估标准)是美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求,在 2005 年最初被公布的国际标准《通用准则(CC)》所取代,《信息技术安全性评估准则》是我国在 2008 年等同采用《ISO/IEC15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。标准定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(Common Criteria,CC);FC 上美国 1991 年制定了一个《联邦(最低安全要求)评估准则》,但由于其不完备性,未能推行;ITSEC(InformationTechnology Security Evaluation Criteria,信息技术安全评估标准)是评估产品和系统中计算机安全性的一套结构化的标准。于 1990 年 5 月首先在法国,德国,荷兰和英国出版,后来主要在一些欧洲国家使用。

https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-01b8-c0ba-f2840f59e013.html
点击查看答案
68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以适应需求,基于角色的访问控制 ( ) 逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是 () 。

A.  RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0

B.  RBAC1 在 RBAC0 的基础上,加入了角色等级的概念

C.  RBAC2 在 RBAC1 的基础上,加入了约束的概念

D.  RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束

解析:解析:RBAC2 在 RBAC0 的基础上,加入了约束的概念,P313 页

https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e012.html
点击查看答案
47.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作 ( )

A.  确认已有的安全措施并赋值

B.  脆弱性识别并赋值

C.  威胁识别并赋值

D.  资产识别并赋值

解析:解析:依据资产列表逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值,属于 C 威胁识别并赋值。

https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b8e0-c0ba-f2840f59e018.html
点击查看答案
60.如下图所示,Alice 用 Bob 的密钥加密明文,将密文发送给 Bob,Bob 再用自己的私钥解密,恢复出明文以下说法正确的是:()

A.  此密码体制为对称密码体制

B.  此密码体制为私钥密码体制

C.  此密码体制为单钥密码体制

D.  此密码体制为公钥密码体制

解析:解析:公钥密码地址:公钥加密私钥解密,私钥加密,公钥解密,公私钥成对出现。

https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e013.html
点击查看答案
23.关于标准,下面哪项理解是错误的()。

A.  标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件。标准是标准化活动的重要成果

B.  行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准

C.  国际标准是由国际标准化组织通过并公开发布的标准。同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准

D.  地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止

解析:解析:国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国家标准条款为准。

https://www.shititong.cn/cha-kan/shiti/0005fc54-66a1-fdd0-c0ba-f2840f59e016.html
点击查看答案
19.PKI 的主要理论基础是 () 。

A.  摘要算法

B.  对称密码算法

C.  量子密码

D.  公钥密码算法

解析:解析:PKI (公钥基础设施) ,也称公开密钥基础设施。P286 页。

https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b4f8-c0ba-f2840f59e012.html
点击查看答案
试题通app下载
类似热门题库
https://www.shititong.cn/cha-kan/tikulist/CA3D68B019C0000194C76E20BC0A2C80.html
通信专业应知应会题库(最终版)
https://www.shititong.cn/cha-kan/tikulist/CAB4420D5AA000018D431F401D84ACB0.html
大数据技术理论题库
https://www.shititong.cn/cha-kan/tikulist/CAA99730D7E000013DDE121015B01074.html
2024参考题库理论知识
https://www.shititong.cn/cha-kan/tikulist/CAA75BB971200001FD6BFB6016C06C30.html
计算机知识练习题库
https://www.shititong.cn/cha-kan/tikulist/CAA7546405D00001B13F25C0457C4440.html
java考试必备题库最终版本
https://www.shititong.cn/cha-kan/tikulist/CAA5186EBFF00001BC1E157E98715120.html
物联网技术与应用题库
https://www.shititong.cn/cha-kan/tikulist/CA90D5227B20000192EB1B93FC3B1A7F.html
HCNA-Security知识练习复习题库
https://www.shititong.cn/cha-kan/tikulist/CA8FD05068900001CEDABC106FB629C0.html
大学信息技术基础_复习资料
https://www.shititong.cn/cha-kan/tikulist/CA8F96E878400001D33C724019308480.html
网上培训练习题库
https://www.shititong.cn/cha-kan/tikulist/CA8C985CCB0000018FC21C40C3F029D0.html
网络理论测试答案
智能导入
最新题库
举报
试题通小程序
试题通app下载
©2016-2023.南通佰易网络科技有限公司
苏ICP备16028519号-2 苏公网安备32061102000302