搜索
101.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?A.软件在Linux下按照时,设定运行时使用nobody用户运行实例B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限D.为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误&102.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识C.要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞&D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验103.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法?A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低&B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同104.某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析B.为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险C.日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志D.只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间&105.如图1所示,主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址在应该在下列哪个范围?A.10.0.0.0~10.255.255.255B.172.16.0.0~172.31.255.255C、192.168.0.0~192.168.255.255D.不在上述范围内106.某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是?A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用httpsB.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可107.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式:A.攻击者利用软件存在逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%B.攻击者利用软件脚本使用多重嵌套查询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问D.攻击者买通了IDC人员,将某软件运行服务器的网线拔掉导致无法访问108.以下哪个选项不是防火墙提供的安全功能?A.IP地址欺骗防护B.NATC.访问控制D.SQL注入攻击防护109.以下关于可信计算说法错误的是:A.可信的主要目的是要建立起主动防御的信息安全保障体系B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D.可信计算平台出现后会取代传统的安全防护体系和方法110.Linux系统对文件的权限是以模式位的形式来表示,对于文件名为test的一个文件,属于admin组中user用户,以下哪个是该文件正确的模式表示?A.rwxr-xr-3useradmin1024Sep1311:58testB.drwxr-xr-x3useradmin1024Sep1311:58testC.rwxr-xr-x3adminuser1024Sep1311:58testD.drwxr-xr-x3adminuser1024Sep1311:58test111.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A.httpd.confB.srLconfC.access.confD.inetd.conf112.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?A.安装最新的数据库软件安全补丁B.对存储的敏感数据进行安全加密C.不使用管理员权限直接连接数据库系统D.定期对数据库服务器进行重启以确保数据库运行良好113.下列哪项内容描述的是缓冲区溢出漏洞?A.通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令B.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D.信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷114.对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:A.在使用来自外部的移动介质前,需要进行安全扫描B.限制用户对管理员权限的使用C.开放所有端口和服务,充分使用系统资源D.不要从不可信来源下载或执行应用程序115.安全专家在对某网站进行安全部署时,调整了Apache的运行权限,从root权限降低为nobody用户,以下操作的主要目的是:A.为了提高Apache软件运行效率B.为了提高Apache软件的可靠性C.为了避免攻击者通过Apache获得root权限D.为了减少Apache上存在的漏洞116.下列关于计算机病毒感染能力的说法不正确的是:A.能将自身代码注入到引导区B.能将自身代码注入到扇区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码117.以下哪个是恶意代码采用的隐藏技术:A.文件隐藏B.进程隐藏C.网络连接隐藏D.以上都是118.通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:A.Land攻击B.Smurf攻击C.PingofDeath攻击D.ICMPFlood119.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A.LandB.UDPFloodC.SmurfD.teardrop120.传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的?A.相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途B.TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机C.TCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此TCP协议能完全替代IP协议D.TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低121.以下关于UDP协议的说法,哪个是错误的?A.UDP具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击B.UDP协议包头中包含了源端口号和目的端口号,因此UDP可通过端口号将数据包送达正确的程序C.相比TCP协议,UDP协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据D.UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据123.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?A.加强网站源代码的安全性B.对网络客户端进行安全评估C.协调运营商对域名解析服务器进行加固D.在网站的网络出口部署应用级防火墙124.关于源代码审核,下列说法正确的是:A.人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处C.使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核D.源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处125.在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:A.建立环境B.实施风险处理计划C.持续的监视与评审风险D.持续改进信息安全管理过程126.信息系统的业务特性应该从哪里获取?A.机构的使命B.机构的战略背景和战略目标C.机构的业务内容和业务流程D.机构的组织结构和管理制度34127.在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?A.背景建立B.风险评估C.风险处理D.批准监督128.以下关于“最小特权”安全管理原则理解正确的是:A.组织机构内的敏感岗位不能由一个人长期负责B.对重要的工作进行分解,分配给不同人员完成C.一个人有且仅有其执行岗位所足够的许可和权限D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限129.以下哪一项不属于常见的风险评估与管理工具:A.基于信息安全标准的风险评估与管理工具B.基于知识的风险评估与管理工具C.基于模型的风险评估与管理工具D.基于经验的风险评估与管理工具130.以下说法正确的是:A.验收测试是由承建方和用户按照用户使用手册执行软件验收B.软件测试的目的是为了验证软件功能是否正确c.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见D.软件测试计划开始于软件设计阶段,完成于软件开发阶段131.信息系统安全保护等级为3级的系统,应当()年进行一次等级测评?A.0.5B.1C.2D.335132.国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?A.处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的B.能够局部反应国家防御和治安实力的C.我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工