信息安全等级测评师模拟试卷(二)有答案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级测评师测试
一、单选题(16分)中卫科技
1、下列命令中错误的是。( C )
A、PASS_MAX_DAYS 30 #登录密码有效期30天
B、PASS_MIN_DAYS 2 #登录密码最短修改时间2天
C、FALL_DELAY 10 #登录错误时等待10分钟
D、FALLLOG_ENAB YES #登录错误记录到日志
2、Windows操作系统可以通过配置来对登录进行限制。(C )
A、系统环境变量
B、通过ip地址
C、账户锁定策略
D、读写保护
3、Windows安装完成后,默认情况下会产生两个账号,分别是管理员账
号和。( C )
A、本地账号
B、域账号
C、来宾账号
D、局部账号
4、有编辑/etc/passad文件能力的攻击者可以通过把UID变为就可
以作为特权用户。( B )
A、-1
B、0
C、 1
D、 2
5、敏感标记是由的安全管理员进行设置的,通过对设置敏感
标记,决定主体以何种权限对客体进行操作,实现强制访问控制。
( C )
A、强制性重要信息资源
B、强认证一般信息资源
C、强认证重要信息资源
D、强制性一般信息资源
6、发现入侵的最简单最直接的方法是去看和。(B )
A、审计记录系统文件
B、系统记录安全审计文件
C、系统记录系统文件
D、审计记录安全审计文件
7.windows和linux操作系统用户密码最长使用期限推荐配置为(C )A.30天60天 B. 60天90天
C. 70天90天
D. 50天70天
8.Windows操作系统中,本地登录权限对用户组不开放。( D ) A.Guest B.Administartors ers D.Everyone
二、多选题(27分)
1、下列Linux说法中正确的是。( B C )
A、对于配置文件权限值不能大于664
B、使用“ls-l文件名”命令,查看重要文件和目录权限设置是否合理
C、对于可执行文件的权限值不能大于755
D、dr-xr--rw-;用数字表示为523
2、对于账户的管理合理的是。(BD )
A、留有不使用的账户,供以后查询
B、删除过期的账户
C、为了便于管理,多人可共享同一个账户
D、应禁用默认账户
3、Windows系统中的审计日志包括。(ABC )
A、系统日志
B、安全日志
C、应用程序日志
D、用户日志
4、unix/linux系统中的密码信息保存在/etc/passwd或/etc/shadow文件中,
信息包含的内容有。(BCD )
A、最近使用过的密码
B、用户可以再次改变密码必须经过的最小周期
C、密码最近的改变时间
D、密码有效的最大天数
5、系统资源概念是指等软硬件资源。(AC D )
A、CPU
B、网络地址
C、存储空间
D、传输带宽
6. 信息安全等级保护制度的原则是(ABDE )
A.指导监督,重点保护
B.依照标准,自行保护
C.行业配合,优先保护
D.明确责任,共同保护
E.同步建设,动态调整
7、信息系统定级为三级的特点是(BD )
A. 对国家安全造成严重损害
B. 对社会秩序和公共利益造成严重损害
C. 对公民、法人和组织的合法权益造成特别严重损害
D. 基本要求中增加了异地备份
8、下列说法中正确的是(BC )
A. 三级以上的信息系统建成完成后,信息系统运营使用单位应到公安机
关进行备案。
B. 在安全评估过程中,采用渗透性测试手段,检测系统脆弱性
C. 信息系统的等级应由业务信息系统和服务系统的较高者决定
D. 信息保密性可分为秘密和机密两个等级。
9、我国之所以实行信息安全保护制度,是因为(ABCD )
A. 我国的信息安全保障工作基础还很薄弱
B. 基础信息网络和重要信息系统安全隐患严重
C. 来自境内外敌对势力的入侵、攻击、破坏越来越严重
D.国际上通行的做法
三、判断题(7分)
1、Linux是一个支持单用户、多进程、多线程,实时性较好的功能强大而
稳定的操作系统。(×)
2、shadow文件是不能被普通用户读取的,只有超级用户才有权读取。
(√)
3、Windows XP账号使用密码对访问者进行身份验证。密码是区分大小写
的字符串,最多可包含16个字符。字母有的有效字符是数字、字母、中文和符号。(×)
4、在Oracle数据库系统中,查看标签创建情况:select*from dba_sa_labels。
(√)
5、访问控制是安全防范和保护的主要策略,它不仅应用于网络层面,同样
也适用于主机层面。(√)
6. 防恶意代码攻击应遵循“木桶原理”,为了统一管理,主机防恶意代码
产品和网络防恶意代码产品应使用统一的代码库,以保证同时更新。
(×)
7.windows操作系统的用户SID是全球唯一的,而用户名可以相同。Linux
操作系统的UID必须是唯一的,GID可以相同。(×)
四、简答题(50分,每题10分)
1、身份认证的信息主要有哪几类?并每项列举不少于2个的事例。
答:身份认证的信息可分为以下几类:
1)用户知道的信息,如个人标识、口令等。
2)用户所持有的证件,如门卡、智能卡、硬件令牌等。
3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。
2、数字证书的含义,分类和主要用途,所采用的密码体制?
答:1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
2)从证书的用途来看,数字证书可分为签名证书和加密证书。
3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;
加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。
3、试解释SQL注入攻击的原理,以及它产生的不利影响。
答:SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。
SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入