CISP官方信息安全技术章节练习二

最佳答案是:c

33. 以下哪一项不应被看做防火墙的主要功能?

a、协议过滤 b、包交换 c、访问控制规则的实现 d、审计能力的扩展 最佳答案是:b

34. 用来为网络中的主机自动分配IP地址、子网掩码、默认网关、WINS服务器地址的网络协议是？

a、ARP b、IGMP c、ICMP d、DHCP 最佳答案是:d

35. 下列对于网络认证协议（Kerberos）描述正确的是： a、该协议使用非对称密钥加密机制

b、密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成 c、该协议完成身份鉴别后将获取用户票据许可票据 d、使用该协议不需要时钟基本同步的环境 最佳答案是:c

36. 下面哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？ a、强制访问控制（MAC） b、集中式访问控制（Decentralized Access control） c、分布式访问控制（Distributed Access control） d、自主访问控制（DAC） 最佳答案是:d

37. 下面对于访问控制模型分类的说法正确的是： a、BLP模型和Biba模型都是强制访问控制模型 b、Biba模型和Chinese Wall模型都是完整性模型 c、访问控制矩阵不属于自主访问控制模型 d、基于角色的访问控制属于强制访问控制 最佳答案是:a

38. 以下哪一项不是工作在网络第二层的隧道协议？ a、VTP b、L2F c、PPTP d、L2TP 最佳答案是:a

39. 目前对消息摘要算法（MD5），安全哈希算法（SHA1）的攻击是指？ a、能够构造出两个不同的消息，这两个消息产生了相同的消息摘要

b、对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要 c、对于一个已知的消息摘要，能够恢复其原始消息

d、对于一个已知的消息，能够构造出一个不同的消息摘要，也能通过验证 最佳答案是:a

40. 下列描述中，关于摘要算法描述错误的是 a、消息摘要算法的主要特征是运算过程不需要密钥，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要

b、消息摘要算法将一个随机长度的信息生成一个固定长度的信息摘要

c、为了保证消息摘要算法安全，必须保证其密钥不被攻击方获取，否则所加密的数据将被破解，造成信息泄密

d、消息摘要算法的一个特点是：输入任何微小的变动都将引起加密结果的很大改变 最佳答案是:c

41. 在RSA算法中，公钥为PU=｛e，n｝，私钥为PR=｛d，n｝，下列关于e，d，n，的说法正确的是:

a、收发双方均已知n b、收发双方均已知d c、由e和n可以很容易地确定d d、只有接收方已知e 最佳答案是:a

42. 以下哪一种非对称加密算法的速度最快？

a、RSA b、ECC c、Blowfish d、IDEA 最佳答案是:b

43. 近代密码学比古典密码学本质上的进步是什么？ a、保密是基于密钥而不是密码算法

b、采用了非对称密钥算法 c、加密的效率大幅提升 d、虚拟专用网络（VPN）的应用

最佳答案是:a

44. 拒绝服务攻击损害了下列哪一种信息安全的特性?

a、完整性 b、可用性 c、机密性 d、可靠性 最佳答案是:b

45. 杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断出病毒类型是：___。 a、文件型 b、引导型 c、目录型 d、宏病毒 最佳答案是:d

46. 哪一个最能保证来自互联网internet的交易事务的保密性？

a、数字签名 b、数字加密标准（DES） c、虚拟专用网（VPN） d、公钥加密（Public Key encryption） 最佳答案是:d

47. IS审计师报告指出企业资源计划（ERP）系统的财务模块应用运行很慢，是因为审计痕迹在一些敏感的表格上被激活。供应商已经要求关闭这些交易表的审计痕迹且限定只对成功和不成功登录系统进行审计。如果这个建议被采纳，以下哪个是最大的威胁？ a、 访问敏感数据未被记录

b、 不能保证系统日志的完整性 c、 不能保证财务数据的完整性 d、 可能发生欺诈 最佳答案是:c

48. 下面哪一项内容更准确地描述了网络接口层(即数据链路层)可能存在的安全攻击? a、ARP欺骗，分片攻击，synflood等 b、ARP欺骗，macfloodin，嗅探等 c、死亡之ping，macf1ooding，嗅探等 d、IP源地址欺骗，ARP欺骗，嗅探等 最佳答案是:b

49. 信息系统不能满足用户需求的最常见的原因是：

a、用户需求频繁变动 b、对用户需求增长的预测不准确 c、硬件系统限制了并发用户的数目 d、定义系统时用户参与不够 最佳答案是:d

50. UDP协议和TCP协议对应于ISO/OSI模型的哪一层?

a、链路层 b、传输层 c、会话层 d、表示层 最佳答案是:b

51. 下列哪个不是软件缺陷（漏洞）的来源？

a、对软件需求分析中缺乏对安全需求.安全质量的定义，导致软件设计中缺乏与安全需求对应的安全功能与安全策略。 b、对软件设计中缺乏安全方面的考虑，设计了不安全或没有很好的权限与能力限制的功能，或者缺乏对应安全需求的安全功能.安全策略设计。

c、软件的代码编制过程中，由于开发人员对安全缺乏理解及相关知识，或者失误，导致了错误的逻辑或者为对数据进行过滤和检查，或者对自身权限的限制。

d、在软件的测试过程中，由于开发测试人员缺乏对安全使用软件的理解，使用了非常规的操作方法，导致了错误的逻辑或突破了权限的限制。 最佳答案是:d

52. 黑客进行攻击的最后一个步骤是:

a、侦查与信息收集 b、漏洞分析与目标选定 c、获取系统权限 d、打扫战场.清除证据 最佳答案是:d

53. 相比FAT文件系统，以下那个不是NTFS所具有的优势？ a、NTFS使用事务日志自动记录所有文件和文件夹更新，当出现系统损坏引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。

b、NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限 c、对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率。

d、相比FAT文件系统，NTFS文件系统能有效的兼容linux下的EXT32文件格式。 最佳答案是:d

54. 下面哪一项不是VPN协议标准：

a、L2TP b、IPSec c、TACACS+ d、PPTP 最佳答案是:c

55. 公钥基础设施中不包括以下哪一项？

a、CRL b、RA c、IKE d、CA 最佳答案是:c

56. 公共密钥体系（PKI）的某一组成要素的主要功能是管理证书生命周期，包括证书目录维护，证书废止列表维护和证书发布这个要素是：

a、 证书机构（CA） b、 数字签名 c、 证书实践声明 d、 注册机构（RA） 最佳答案是:d

57. 路由器进行数据转发，需要解析以下哪个数据包信息？

a、IP包头 b、以太网包头 c、TCP包头 d、DUP包头 最佳答案是:a

58. 下列哪一种密钥生命周期最短？

a、公钥 b、私钥 c、会话密钥 d、秘密密钥 最佳答案是:c

59. 通过网页上的钓鱼攻击来获取密码的方式，实质上是一种：________。

a、社会工程学攻击 b、密码分析学 c、旁路攻击 d、暴力破解攻击 最佳答案是:a

60. 下列哪种技术不是恶意代码的生存技术？

a、反跟踪技术 b、加密技术 c、模糊变换技术 d、自动解压缩技术 最佳答案是:d

61. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。这是那种类型的漏洞？

a、缓冲区溢出 b、SQL注入 c、设计错误 d、跨站脚本 最佳答案是:d

62. 在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？ a、纵深防御原则 b、最小权限原则 c、职责分离原则 d、安全性与便利性平衡原则

最佳答案是:b

63. 有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作：

a、异常检测 b、特征检测 c、差距分析 d、比对分析 最佳答案是:a

64. WAPI采用的是什么加密算法？

a、我国自主研发的公开密钥体制的椭圆曲线密码算法 b、国际上通用的商用加密标准

c、国家密码管理委员会办公室批准的流加密标准 d、国际通行的哈希算法 最佳答案是:a

65. 数字签名是使用__________。

a、己方的私钥 b、己方的公钥 c、对方的私钥 d、对方的公钥 最佳答案是:a

66. 下面哪一项不属于集中访问控制管理技术？

a、RADIUS b、TEMPEST c、TACACS d、Diameter 最佳答案是:b

67. 一家B2C电子商务网站的信息安全程序要求能够监测和预防黑客的活动，一时有可疑行为即警示系统管理员。下面的哪个系统组件可以实现这个目标？

a、入侵监测系统（IDS） b、防火墙 c、路由器 d、不对称加密 最佳答案是:a

68. 哪种鉴别技术是利用密钥生成一个固定长度的短数据块，并将该数据块附加到消息之后以便接收方对消息进行验证？

a、消息鉴别码 b、数字签名 c、身份认证码 d、散列码 最佳答案是:a

69. 以下哪一项对HVACR的解释是正确的？ a、电磁泄露防护技术的总称

b、物理访问控制的总称 c、一种生物识别技术 d、供热.通风.空调，和冰箱等环境支持系统的简称 最佳答案是:d

70. 在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？ a、当信息安全事件的负面影响扩展到本组织以外时 b、只要发生了安全事件就应当公告

c、只有公众的生命财产安全受到巨大危害时才公告 d、当信息安全事件平息后 最佳答案是:a

71. 一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向那一个部门报案？ a、公安部公共信息网络安全监察及其各地相应部门 b、国家计算机网络与信息安全管理中心