习题整理5_24new.docVIP

一、模拟题目I 1 CMM域维从宏观到微观，主要包括： 基本实践----过程区----过程类 2 人员隔离最可能不需要的？C A 归还公司物品 B 注销帐号 C 陪同离开 3 SSE-CMM 级别排序从低到高为：(注意四个选项将进行调整顺序，一定记住顺序) 共分5个能力级别：非正式执行级、计划跟踪级、充分定义级、量化控制级、持续改进级acacs+ 7 哪个不是IPSEC协议族的？D A AH B ESP C IKE D ldap 8灾难恢复等级分几个等级，几个要素？ 七要素，六个等级 注意： 灾难恢复等级：分6级，七要素：灾难恢复预案、运行维护支持、技术支持、备用基础设施、备用网络系统、备用数据处理系统、数据备份系统。每级均要求：灾难恢复预案。 9 在《重要信息系统灾难恢复指南》中的第一级中，要求多长时间做一次完全备份？ A 一周 B 一天 10 CISP考试按照什么为标准？ 考纲 11 信息安全保障理解题目 积极防御、综合防范的方针，全面提高信息安全防护能力 遵循的原则。。。。。 安全保障工作主要包括。。。 白皮教材P3 12 信息安全发展的几个阶段，以下正确的是？（考理解，考顺序） 通信安全、计算机安全、信息安全系统安全、信息安全保障 13 /etc/service 作用 标准端口和服务的对应管理system/manager sys/change_on_install测试scott/tiger 永远不要信任用户输入，对用户输入数据做有效性检查 必须考虑意外情况并进行处理 不要试图在发现错误之后继续执行 尽可能使用安全函数进行编程 小心、认真、细致地编程 17 RBAC描述错误的是 C A 角色的变动比个体变动小 B 按部门岗位划分 C 因为数据库管理不方便，不用 18 遵守相同访问控制策略的集合 B A ACL B 安全域 19 TCSEC描述错误的是 A A 把保证和功能分开 20 第一个分开功能要求和保证要求的是 ITSEC 21 SSL、IPSEC比较错误的是 A A 都在网络层 22 XSS是一种什么样的攻击？ 简称跨站脚本攻击，指恶意攻击者往页面里插入恶意HTML代码，嵌入其中的WEB HTML则执行恶意目的。 23 SQL注入 防火墙不能对SQL注入漏洞进行有效防范 SQL注入是利用的SQL语法，未对输入的语句做严格的处理 24 Cobit和ITIL的区别 Cobit是美国ISACA协会提供的一个IT审计和治理框架，提出了IT控制的目标，包括4个域，34个控制目标，还是数百个详细的控制目标。组织可以根据整个框架在风险评估的基础上实现与业务战略的吻合、提交IT价值、优化IT资源的目的。ITIL是关于IT服务管理的一套知识库，主要是IT的运行维方面，可以说是信息中心的ERP系统。ITIL是Information Technology Infrastructure Library的缩写，为了应对行业不断增长地对IT服务的要求，提供IT管理最佳实践，由英国商务部开发。ITIL融合全球最佳实践，是IT部门用于计划、研发、实施和运维的高质量的服务准则，是目前全球IT服务领域最受认可的系统而实用的结构化方法。全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT服务的效率和沟通，大量的成功实践表明实施ITSM可以提高IT部门营运效率25-300%。Cookie记录着用户的帐户ID、密码之类的信息，如果在网上传递，通常使用的是MD5方法加密。这样经过加密处理后的信息，即使被网络上一些别有用心的人截获，也看不懂，因为他看到的只是一些无意义的字母和数字。然而，现在遇到的问题是，截获Cookie的人不需要知道这些字符串的含义，他们只要把别人的Cookie向服务器提交，并且能够通过验证，他们就可以冒充受害人的身份，登陆网站。这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞，并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的，例如，编写验证程序使用的语言可能存在漏洞。而且要获得别人Cookie是很容易的，用支持Cookie的语言编写一小段代码就可以实现，只要把这段代码放到网络里，那么所有人的Cookie都能够被收集。如果一个论坛允许HTML代码或者允许使用Flash标签就可以利用这些技术收集Cookie的代码放到论坛里，然后给帖子取一个吸引人的主题，写上有趣的内容，很快就可以收集到大量的Cookie。在论坛上，有许多人的密码就被这种方法盗去的。至于如何防范，目前还没有特效药，我们也只能使用通常的防护方法，不要在