我的NISP二级之路-04
目录
一.信息安全管理
二.信息系统生命周期
三.风险评估
四.协议
五.BSI模型
六.风险处理
七.主体与客体
八.RPO与PTO
九.Bell - LaPedula 模型
解析
十.Windows
记背:
一.信息安全管理
1.关于信息安全管理,说法错误的是:
A.信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。
B.信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。
C.实现信息安全,技术和产品是基础,管理是关键。
D.信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程。
答案:D
解释:信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个动态过程。
2.以下哪个选项不是信息安全需求的来源?
A.法律法规与合同条约的要求
B.组织的原则、目标和规定
C.风险评估的结果
D.安全架构和安全厂商发布的病毒、漏洞预警
答案:D
解释:安全需求来源于内部驱动,D是外部参考要素,不属于信息安全需求的主要来源。
二.信息系统生命周期
1.下列关于信息系统生命周期中安全需求说法不准确的是:
A.明确安全总体方针,确保安全总体方针源自业务期望
B.描述所涉及系统的安全现状,提交明确的安全需求文档
C.向相关组织和领导人宣贯风险评估准则
D.对系统规划中安全实现的可能性进行充分分析和论证
答案:C
解释:C属于风险评估阶段,不属于题干中的安全需求阶段。
三.风险评估
1.小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:
1.风险评估工作形式包括:自评估和检查评估;
2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;
3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;
4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼.
请问小张的所述论点中错误的是哪项:
A.第一个观点
B.第二个观点
C.第三个观点
D.第四个观点
答案:D
解释:正确的做法为“自评估”和“检查评估”相互结合和互为补充。
2.小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训,一次培训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项:
A.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
B.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
C.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化
答案:B
解释:定性分析不能靠直觉、不能随意。
3.风险评估工具的使用在一定程度上解决了手动评佑的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用愿理,风险评估工具可以为以下几类,其中错误的是:
A.风险评估与管理工具
B.系统基础平台风险评估工具
C.风险评估辅助工具
D.环境风险评估工具
答案:D
解释:通常情况下信息安全风险评估工具不包括环境评估工具。
4.为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
A.自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B.自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
C.自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D.周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
答案:C
解释:自评估可以委托社会风险评估服务机构来实施。
5.信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D.自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
答案:A
解释:A为正确答案。
6.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
A.风险评估准备阶段
B.风险要素识别阶段
C.风险分析阶段
D.风险结果判定阶段
答案:A
解释:《风险评估方案》属于风险评估准备阶段的结果。
7.规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单41位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下()
A.风险评估准备 B.风险要素识别
C.风险分析 D.风险结果判定
答案:B
解释:风险要素包括资产、威胁、脆弱性、安全措施。
8.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()。
A.识别面临的风险并赋值 B.识别存在的脆弱性并赋值
C.制定安全措施实施计划 D.检查安全措施有效性
答案:B
解释:风险要素包括资产、威胁、脆弱性、安全措施。
9.某单位在实施信息安全风险评估后,形成了若干文挡,下面( )中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。
A.《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
B.《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
C.《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D.《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容
答案:C
解释:风险要素包括资产、威胁、脆弱性、安全措施。
四.协议
1.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
A.SSH B.HTTP C.FTP D.SMTP
答案:A
解释:SSH具备数据加密保护的功能。
2.由于Internet的安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于或依附于传输层的安全协议是()
A. PP2P B. L2TP
C. SSL D. IPSec
答案:C
- A 选项 PP2P:PP2P(Point - to - Point Protocol over Ethernet ,以太网承载的点对点协议 )主要用于在以太网网络上建立点对点连接,它工作在数据链路层,主要功能是实现链路建立、认证、压缩等,并非传输层安全协议。
- B 选项 L2TP:L2TP(Layer 2 Tunneling Protocol ,第二层隧道协议 )是一种基于 PPP 的二层隧道协议,用于在不同网络之间建立隧道,工作在数据链路层,主要用于构建虚拟专用网络(VPN),不是传输层安全协议。
- C 选项 SSL:SSL(Secure Sockets Layer ,安全套接层 )及其后续版本 TLS(Transport Layer Security ,传输层安全 ),依附于传输层,在传输层与应用层之间提供加密通信、身份认证等安全服务,保障数据在传输过程中的安全性,属于传输层相关的安全协议 。
- D 选项 IPSec:IPSec(IP Security ,IP 安全协议 )工作在网络层,为 IP 数据包提供安全服务,包括认证、加密等功能,可用于构建 VPN 等安全网络连接,并非传输层安全协议。 所以答案是 C
五.BSI模型
1.Gary McGraw 博士及其合作者提出软件安全BSI模型应由三根支柱来支撑,这三个支柱是( )。
A. 源代码审核、风险分析和渗透测试
B. 风险管理、安全接触点和安全知识
C. 威胁建模、渗透测试和软件安全接触点
D. 威胁建模、源代码审核和模糊测试
答案:B
解释:BSI的模型包括风险管理、安全接触点和安全知识。
2.下列关于软件安全开发中的BSI(Build Security In)系列模型说法错误的是()
A、BIS含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
B、软件安全的三根支柱是风险管理、软件安全触点和安全测试
C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
D、BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分
答案:B
六.风险处理
1.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是()
A、降低风险 B、规避风险 C、放弃风险 D、转移风险
答案:B
解释:风险处理方式包括降低、规避、接受和转移四种方式。
2.我国标准《信息安全风险管理指南》(GB/Z24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写()
A.风险计算 B.风险评价
C.风险预测 D.风险处理
答案:D
3.风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A.识别面临的风险并赋值
B.识别存在的脆弱性并赋值
C.制定安全措施实施计划
D.检查安全措施有效性
答案:B
七.主体与客体
1.小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制与强制访问控制,为了赶上课程进度,他向同班的小李借来课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是()
A、强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B、安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意修改
C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D、它是一种对单个用户执行访问控制的过程控制措施
答案:D
2.下图排序你认为那个是正确的:
A. 1是主体,2是客体,3是实施,4是决策
B.1是客体,2是主体3是决策,4是实施
C.1实施,2是客体3是主题,4是决策
D.1是主体,2是实施3是客体,4是决策
答案:D
八.RPO与PTO
1.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO(恢复点目标)指标为3小时。请问这意味着()
A、该信息系统发生重大安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作
B、该信息系统发生重大安全事件后,工作人员应在3小时内完整应急处理工作并恢复对外运行
C、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力
D、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据
答案:D
2.恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中的重要概念,关于这两个值能否为零,正确的选项是()
A.RTO可以为0,RPO也可以为0
B.RTO可以为0,RPO不可以为0
C.RTO不可以为0,但RPO可以为0
D.RTO不可以为0,RPO也不可以为0
答案:A
解释:RTO可以为0,RPO也可以为0。
九.Bell - LaPedula 模型
- 根据Bell-LaPedula模型安全策略,下图中写和读操作正确的是( )
A.可读可写 B.可读不可写
C.可写不可读 D.不可读不可写
答案:B
解析
在 Bell - LaPedula 模型中,有两个重要的安全属性:
- 简单安全特性(Simple Security Property):主体只能读安全级别低于或等于它自己安全级别的客体,即 “向下读” 。
- 特性(Star - Property):主体只能写安全级别高于或等于它自己安全级别的客体,即 “向上写” 。
从图中可以看到,主体的安全级别是 {NUC, US} ,客体的安全级别是 {NUC} 。
- 读操作:客体安全级别 {NUC} 低于主体安全级别 {NUC, US},根据 “向下读” 原则,主体可以读取客体,读操作正确。
- 写操作:客体安全级别 {NUC} 低于主体安全级别 {NUC, US} ,根据 “向上写” 原则,主体不能向该客体写入,写操作错误。
十.Windows
1.张主任的计算机使用Windows7操作系统,他常登陆的用户名为zhang,张主任给他个人文件夹设置了权限为只有zhang这个用户有权访问这个目录,管理员在某次维护中无意将zhang这个用户删除了,随后又重新建了一个用户名为zhang,张主任使用zhang这个用户登录系统后,发现无法访问他原来的个人文件夹,原因是:
A.任何一个新建用户都需要经过授权才能访问系统中的文件
B.Windows7不认为新建立的用户zhang与原来用户zhang是同一个用户,因此无权访问
C.用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问
D.新建的用户zhang会继承原来用户的权限,之所以无权访问是因为文件夹经过了加密
答案:A
2.以下关于Windows系统的账号存储管理机制(Security Accounts Manager)的说法哪个是正确的:
A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性
答案:D
3.Windows文件系统权限管理访问控制列表(Access Control List,ACL)机制,以下哪个说法是错误的:
A.安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件格式的支持
B.由于Windows操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题
C. Windows的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D.由于ACL具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限
答案:C
4.Windows系统下,哪项不是有效进行共享安全的防护措施?
A.使用netshare\\127.0.0.1\c$/delete命令,删除系统中的c$等管理共享,并重启系统
B.确保所有的共享都有高强度的密码防护
C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D.安装软件防火墙阻止外面对共享目录的连接
答案:A
5.以下对Windows账号的描述,正确的是:
A.Windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
B.Windows系统是采用用户名来标识用户对文件或文件夹的权限
C.Windows系统默认会生成administrator和guest两个账号,两个账号都不允许改名和删除
D.Windows系统默认生成administrator和guest两个账号,两个账号都可以改名和删除
答案:A
6.以下对Windows系统的服务描述,正确的是:
A.Windows服务必须是一个独立的可执行程序
B.Windows服务的运行不需要用户的交互登陆
C.Windows服务都是随系统启动而启动,无需用户进行干预
D.Windows服务都需要用户进行登陆后,以登录用户的权限进行启动
答案:B
7.以下关于windowsSAM(安全账号管理器)的说法错误的是:
A、安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B、安全账号管理器(SAM)存储的账号信息是存储在注册表中
C、安全账号管理器(SAM)存储的账号信息administrator和system是可读和可写的
D、安全账号管理器(SAM)是windows的用户数据库系统进程通过Security Accounts Manager服务进行访问和操作
答案:C
8.Windows操作系统的注册表运行命令是:
A.Regsvr32 B.Regedit
C.Regedit.msc D.Regedit.mmc
答案:B
9.视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?
A.WinNT SP6 B.Win2000 SP4
C.WinXP SP2 D.Win2003 SP1
答案:C
10.在Windows文件系统中,_______支持文件加密。
A.FAT16 B.NTFS C.FAT32 D.EXT3
答案:B
11.相比FAT文件系统,以下那个不是NTFS所具有的优势?
A、NTFS使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。
B、NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限
C、对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率。
D、相比FAT文件系统,NTFS文件系统能有效的兼容linux下的EXT3文件格式。
答案:D
12.Windows NT提供的分布式安全环境又被称为:
A、域(Domain) B、工作组
C、对等网 D、安全网
答案:A
13.在Windows系统中,管理权限最高的组是:
A.everyone B.administrators
C.powerusers D.users
答案:B
14.Windows系统下,可通过运行_______命令打开Windows管理控制台。
A.regedit B.cmd C.mmc D.mfc
答案:C
15.在window系统中用于显示本机各网络端口详细情况的命令是:
A.netshow B.netstat
C.ipconfig D.Netview
答案:B
16.在Windows XP中用事件查看器查看日志文件,可看到的日志包括?
A.用户访问日志、安全性日志、系统日志和IE日志
B.应用程序日志、安全性日志、系统日志和IE日志
C.网络攻击日志、安全性日志、记账日志和IE日志
D.网络链接日志、安全性日志、服务日志和IE日志
答案:B
17.windows文件系统权限管理作用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:
A.安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件格式的支持
B.由于windows操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了作用上的便利,Windows上的ACL存在默认设置安全性不高的问题
C.windows的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D.由于ACL具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限答案:C
答案:C
记背:
1.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
A、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
B、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展
C、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性
D实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍
答案:B
解释:工业和信息化部牵头成立“国家网络应急中心”。
2.为某航空公司的订票系统设计业务连续性计划时,最适用于异地数据转移/备份的方法是:
A.文件映像处理
B.电子链接
C.硬盘镜像
D.热备援中心配置
答案:D
3.PKI的主要理论基础是()。
A.对称密码算法
B.公钥密码算法
C.量子密码
D.摘要算法
答案:B
4.ISO27002(Information technology-Security techniques0Codeofpratice for inforeation security managcacnt)是重要的信息安全管理标准之一,下图是关于其演进变化示意图,图中括号空白处应填写()
A.BS 7799.1.3 B.ISO 17799
C.AS/NZS 4630 D.NIST SP 800-37
答案:B
5.某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)后,绘制了一张简化的信息系统安全保障模型图,如下所示。请为图中括号空白处选择合适的选项()
A.安全保障(方针和组织)
B.安全防护(技术和管理)
C.深度防御(策略、防护、检测、响应)
D.保障要素(管理、工程、技术、人员)
答案:D
6.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效,已经替代DES成为新的据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?
A.64bit B.128bit C.192bit D.256bit
答案:A
7.基于TCP的主机在进行一次TCP连接时简要进行三次握手,请求通信的主机A要与另一台主机B建立连接时,A需要先发一个SYN数据包向B主机提出连接请示,B收到后,回复一个ACK/SYN确认请示给A主机,然后A再次回应ACK数据包,确认连接请求。攻击通过伪造带有虚假源地址的SYN包给目标主机,使目标主机发送的ACK/SYN包得不到确认。一般情况下,目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假SYN包同时发送到目标主机时,目标主机上就会有大量的连接请示等待确认,当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受,这种SYN Flood攻击属于()
A、拒绝服务攻击 B、分布式拒绝服务攻击
C、缓冲区溢出攻击 D、SQL注入攻击
答案:A