61.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了 Nessus 工具来扫描和发现数据库服务器的漏洞,根据风险管理的相关理论,他这个是扫描活动属于下面哪一个阶段的工作()
A. 风险分析
B. 风险要素识别
C. 风险结果判定
D. 风险处理
解析:解析:漏洞扫描属于风险要素的脆弱性要素识别,风险要素包括资产、威胁、脆弱性、安全措施。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ac0-c0ba-f2840f59e002.html
点击查看答案
66.软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的是()
A. 告诉用户需要收集什么数据及搜集到的数据会如何被使用
B. 当用户的数据由于某种原因要被使用时,给客户选择是否允许
C. 用户提交的用户名和密码属于隐私数据,其他都不是
D. 确保数据的使用符合国家、地方、行业的相关法律法规
解析:解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e00e.html
点击查看答案
46.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息) ,于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了。这种向Web 页面插入恶意html代码的攻击方式称为 ()
A. SQL 注入攻击
B. 缓冲区溢出攻击
C. 分布式拒绝服务攻击
D. 跨站脚本攻击
解析:解析:跨站脚本是由于网页支持脚本的执行,而程序员又没有对用户输入的数据进行严格控制,使得攻击者可以向Web 页面插入恶意 HTML 代码,当用户浏览网页时,嵌入其中的 HTML 代码会被执行,从而实现攻击者的特殊目的。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b8e0-c0ba-f2840f59e017.html
点击查看答案
9.在 PDR 模型的基础上,发展成为了( )模型,即策略-保护-检测-响应。模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。在 PPDR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的()调整到风险最低的状态,包括恢复系统功能和数据,启动备份系统等。启动备份系统等。其主要方法包括:关闭服务、跟踪、反击、消除影响等。
A. 评估与执行;访问控制;安全状态;安全性
B. 评估与执行;安全状态;访问控制;安全性
C. 访问控制;评估与执行;安全状态;安全性
D. 安全状态,评估与执行;访问控制;安全性
https://www.shititong.cn/cha-kan/shiti/0005fc54-6893-d320-c0ba-f2840f59e008.html
点击查看答案
3.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A. 软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例
B. 软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C. 软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
D. 为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行错误
解析:解析:SYSTEM 权限是最大权限,违反了最小特权的原则。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c1b8-c0ba-f2840f59e002.html
点击查看答案
31.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:
A. 涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
B. 非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行
C. 可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
D. 此通知不要求将”信息安全风险评估”作为电子政务项目验收的重要内容
解析:解析:根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c5a0-c0ba-f2840f59e00f.html
点击查看答案
89.进入 21 世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:
A. 与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B. 美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
C. 各国普遍重视信息安全事件的应急响应和处理
D. 在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系
解析:解析:美国已经设立中央政府级的专门机构。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-cd70-c0ba-f2840f59e015.html
点击查看答案
84.以下系统工程说法错误的是:
A. 系统工程是基本理论的技术实现
B. 系统工程是一种对所有系统都具有普遍意义的科学方法
C. 系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
D. 系统工程是一种方法论
解析:解析:系统工程是方法论,不是技术实现。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ac0-c0ba-f2840f59e019.html
点击查看答案
95.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好地描述了星或 (•-) 完整性原则? ()
A. Bell-LaPadula 模型中的不允许向下写
B. Bell-LaPadula 模型中的不允许向上读
C. Biba 模型中的不允许向上写
D. Biba 模型中的不允许向下读
解析:解析:BLP 模型保障机密性,上写下度,Biba 模型保障完整性,上读下写,C 向上写会破坏完整性。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e013.html
点击查看答案
61.Apache HIIP Server(简称Apache)是一个开放源代码Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施 ()
A. 不选择 Windows 平台下安装使用
B. 安装后,修改配置文件 http.cenf 中的有关参数
C. 安装后,删除 Apache HTTP Server 源码
D. 从正确的官方网站下载 Apache HTTP Server,并安装使用
解析:解析:修改配置参数是可行的。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e00b.html
点击查看答案
