信息安全等级测评师模拟试卷(二)有答案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全等级测评师测试

一、单选题(16分)中卫科技

1、下列命令中错误的是。( C )

A、PASS_MAX_DAYS 30 #登录密码有效期30天

B、PASS_MIN_DAYS 2 #登录密码最短修改时间2天

C、FALL_DELAY 10 #登录错误时等待10分钟

D、FALLLOG_ENAB YES #登录错误记录到日志

2、Windows操作系统可以通过配置来对登录进行限制。(C )

A、系统环境变量

B、通过ip地址

C、账户锁定策略

D、读写保护

3、Windows安装完成后,默认情况下会产生两个账号,分别是管理员账

号和。( C )

A、本地账号

B、域账号

C、来宾账号

D、局部账号

4、有编辑/etc/passad文件能力的攻击者可以通过把UID变为就可

以作为特权用户。( B )

A、-1

B、0

C、 1

D、 2

5、敏感标记是由的安全管理员进行设置的,通过对设置敏感

标记,决定主体以何种权限对客体进行操作,实现强制访问控制。

( C )

A、强制性重要信息资源

B、强认证一般信息资源

C、强认证重要信息资源

D、强制性一般信息资源

6、发现入侵的最简单最直接的方法是去看和。(B )

A、审计记录系统文件

B、系统记录安全审计文件

C、系统记录系统文件

D、审计记录安全审计文件

7.windows和linux操作系统用户密码最长使用期限推荐配置为(C )A.30天60天 B. 60天90天

C. 70天90天

D. 50天70天

8.Windows操作系统中,本地登录权限对用户组不开放。( D ) A.Guest B.Administartors ers D.Everyone

二、多选题(27分)

1、下列Linux说法中正确的是。( B C )

A、对于配置文件权限值不能大于664

B、使用“ls-l文件名”命令,查看重要文件和目录权限设置是否合理

C、对于可执行文件的权限值不能大于755

D、dr-xr--rw-;用数字表示为523

2、对于账户的管理合理的是。(BD )

A、留有不使用的账户,供以后查询

B、删除过期的账户

C、为了便于管理,多人可共享同一个账户

D、应禁用默认账户

3、Windows系统中的审计日志包括。(ABC )

A、系统日志

B、安全日志

C、应用程序日志

D、用户日志

4、unix/linux系统中的密码信息保存在/etc/passwd或/etc/shadow文件中,

信息包含的内容有。(BCD )

A、最近使用过的密码

B、用户可以再次改变密码必须经过的最小周期

C、密码最近的改变时间

D、密码有效的最大天数

5、系统资源概念是指等软硬件资源。(AC D )

A、CPU

B、网络地址

C、存储空间

D、传输带宽

6. 信息安全等级保护制度的原则是(ABDE )

A.指导监督,重点保护

B.依照标准,自行保护

C.行业配合,优先保护

D.明确责任,共同保护

E.同步建设,动态调整

7、信息系统定级为三级的特点是(BD )

A. 对国家安全造成严重损害

B. 对社会秩序和公共利益造成严重损害

C. 对公民、法人和组织的合法权益造成特别严重损害

D. 基本要求中增加了异地备份

8、下列说法中正确的是(BC )

A. 三级以上的信息系统建成完成后,信息系统运营使用单位应到公安机

关进行备案。

B. 在安全评估过程中,采用渗透性测试手段,检测系统脆弱性

C. 信息系统的等级应由业务信息系统和服务系统的较高者决定

D. 信息保密性可分为秘密和机密两个等级。

9、我国之所以实行信息安全保护制度,是因为(ABCD )

A. 我国的信息安全保障工作基础还很薄弱

B. 基础信息网络和重要信息系统安全隐患严重

C. 来自境内外敌对势力的入侵、攻击、破坏越来越严重

D.国际上通行的做法

三、判断题(7分)

1、Linux是一个支持单用户、多进程、多线程,实时性较好的功能强大而

稳定的操作系统。(×)

2、shadow文件是不能被普通用户读取的,只有超级用户才有权读取。

(√)

3、Windows XP账号使用密码对访问者进行身份验证。密码是区分大小写

的字符串,最多可包含16个字符。字母有的有效字符是数字、字母、中文和符号。(×)

4、在Oracle数据库系统中,查看标签创建情况:select*from dba_sa_labels。

(√)

5、访问控制是安全防范和保护的主要策略,它不仅应用于网络层面,同样

也适用于主机层面。(√)

6. 防恶意代码攻击应遵循“木桶原理”,为了统一管理,主机防恶意代码

产品和网络防恶意代码产品应使用统一的代码库,以保证同时更新。

(×)

7.windows操作系统的用户SID是全球唯一的,而用户名可以相同。Linux

操作系统的UID必须是唯一的,GID可以相同。(×)

四、简答题(50分,每题10分)

1、身份认证的信息主要有哪几类?并每项列举不少于2个的事例。

答:身份认证的信息可分为以下几类:

1)用户知道的信息,如个人标识、口令等。

2)用户所持有的证件,如门卡、智能卡、硬件令牌等。

3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。

2、数字证书的含义,分类和主要用途,所采用的密码体制?

答:1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。

2)从证书的用途来看,数字证书可分为签名证书和加密证书。

3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;

加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。

4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。

3、试解释SQL注入攻击的原理,以及它产生的不利影响。

答:SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。

SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入

相关文档
最新文档