CISP试题及答案-三套题 下载本文

务器的认证而不必重新输入密码

D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全

29. 以下对单点登录技术描述不正确的是:

A.单点登录技术实质是安全凭证在多个用户之间的传递或共享

B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用 C.单点登录不仅方便用户使用,而且也便于管理 D.使用单点登录技术能简化应用系统的开发

30. 下列对标识和鉴别的作用说法不正确的是: A. 它们是数据源认证的两个因素

B. 在审计追踪记录时,它们提供与某一活动关联的确知身份 C. 标识与鉴别无法数据完整性机制结合起来使用

D. 作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份

31. 下面哪一项不属于集中访问控制管理技术? A. RADIUS B. TEMPEST C. TACACS D. Diameter

32. 安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用? A.辅助辨识和分析未经授权的活动或攻击 B.对与已建立的安全策略的一致性进行核查 C.及时阻断违反安全策略的致性的访问 D.帮助发现需要改进的安全控制措施

33. 下列对蜜网关键技术描述不正确的是:

A. 数据捕获技术能够检测并审计黑客的所有行为数据

B. 数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图

C. 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全 D. 通过数据控制、捕获和分析,能对活动进行监视、分析和阻止

34. 以下哪种无线加密标准中哪一项的安全性最弱? A.Wep B.wpa C. wpa2 D.wapi

35. 路由器的标准访问控制列表以什么作为判别条件? A. 数据包的大小 B. 数据包的源地址

C. 数据包的端口号 D. 数据包的目的地址

36. 通常在设计VLAN时,以下哪一项不是VIAN规划方法? A.基于交换机端口 B.基于网络层协议 C.基于MAC地址 D.基于数字证书

37. 防火墙中网络地址转换(MAT)的主要作用是: A.提供代理服务 B.隐藏内部网络地址 C.进行入侵检测 D.防止病毒入侵

38. 哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连接的能力?

A.包过滤防火墙 B.状态检测防火墙 C.应用网关防火墙 D.以上都不能

39. 以下哪一项不属于入侵检测系统的功能? A.监视网络上的通信数据流 B.捕捉可疑的网络活动 C.提供安全审计报告 D.过滤非法的数据包

40.下面哪一项不是通用IDS模型的组成部分: A.传感器 B.过滤器 C.分析器 D.管理器

41.windows操作系统中,令人欲限制用户无效登录的次数,应当怎么做? A.在”本地安全设置”中对”密码策略”进行设置

B. 在”本地安全设置”中对”用户锁定策略”进行设置 C. 在”本地安全设置”中对”审核策略”进行设置

D. 在”本地安全设置”中对”用户权利措施”进行设置

42.下列哪一项与数据库的安全的直接关系? A.访问控制的程度 B.数据库的大小

C.关系表中属性的数量 D.关系表中元组的数量

43.Apache Web 服务器的配置文件一般位于/ /local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是: A.httqd.conf B.srm.conf C.access.conf D.inetd.conf

44.关于计算机病毒具有的感染能力不正确的是: A.能将自身代码注入到引导区

B. 能将自身代码注入到限区中的文件镜像 C. 能将自身代码注入文本文件中并执行

D. 能将自身代码注入到文档或模板的宏中代码

45.蠕虫的特性不包括: A.文件寄生 B.拒绝服务 C.传播快 D.隐蔽性好

46.关于网页中的恶意代码,下列说法错误的是: A.网页中的恶意代码只能通过IE浏览器发挥作用 B. 网页中的恶意代码可以修改系统注册表 C. 网页中的恶意代码可以修改系统文件

D. 网页中的恶意代码可以窃取用户的机密文件

47.当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?

A.缓冲区溢出 B.设计错误 C.信息泄露 D.代码注入

48.下列哪一项不是信息安全漏洞的载体? A.网络协议 B.操作系统 C.应用系统 D.业务数据

49.攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创建一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝服务.这种攻击称为之为:

A.Land攻击 B.Smurf攻击

C.Ping of Death攻击 D.ICMP Flood

50. 以下哪个攻击步骤是IP欺骗(IP SPoof)系列攻击中最关键和难度最高的? A.对被冒充的主机进行拒绝服务,使其无法对目标主机进行响应 B.与目标主机进行会话,猜测目标主机的序号规则 C.冒充受信主机想目标主机发送数据包,欺骗目标主机 D.向目标主机发送指令,进行会话操作

51.以下针对Land攻击的描述,哪个是正确的?

A.Land是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络

B. Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务

C. Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃

D. Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃

52.下列对垮站脚本攻击(XSS)描述正确的是:

A. XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的. B. XSS攻击是DDOS攻击的一种变种 C .XSS.攻击就是CC攻击

D. XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的

53.下列哪一项不属于FUZZ测试的特性? A.主要针对软件漏洞或可靠性错误进行测试. B.采用大量测试用例进行激励响应测试 C.一种试探性测试方法,没有任何依据&

D.利用构造畸形的输入数据引发被测试目标产生异常

54.对攻击面(Attack surface)的正确定义是:

A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低 B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大

C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大

D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大

55.以下哪个不是软件安全需求分析阶段的主要任务? A.确定团队负责人和安全顾问