网络安全考试D.docx

网络安全考试D 1. 小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行，比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的是( ) A. 可以建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查 B. 可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化 C．可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心 D．可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的ISO9001认证(正确答案) 2. 随着“互联网”概念的普及，越来越多的新兴住宅小区引入了“智能楼宇”的理念，某物业为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用，稳定、高效，计划通过网络冗余配置的是()。 A、接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响。 B、核心层、汇聚层的设备和重要的接入层设备均应双机设备。(正确答案) C、规划网络IP 地址，制定网络 IP 地址分配策略 D、保证网络带宽和网络设备的业务处理能力具务冗余空间，满足业务高峰期和业务发展需求 3. 小陈自学了风评的相关国家准则后，将风险的公式用图形来表示，下面 F1，F2，F3，F4 分别代表某种计算函数，四张图中，那个计算关系正确[单选题] A B C(正确答案) D 4. 在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机，下列选项中部署位置正确的是() A. 内网主机——交换机——防火墙——外网(正确答案) B. 防火墙——内网主机——交换机——外网 C. 内网主机——防火墙——交换机——外网 D. 防火墙——交换机——内网主机——外网 5. 下列关于软件安全开发中的 BSI(Build Security In)系列模型说法错误的是() A、BIS 含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外 B、软件安全的三根支柱是风险管理、软件安全触点和安全测试(正确答案) C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式 D、BSI 系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分 6. 访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在 Windows2000 以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对 windows 操作系统访问控制实现方法的理解错误的是() A、ACL 只能由管理员进行管理(正确答案) B、ACL 是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的 SID C、访问令牌存储着用户的SID，组信息和分配给用户的权限 D、通过授权管理器，可以实现基于角色的访问控制 7. 在现实的异构网络环境中，越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos 协议不仅能在域内进行认证，也支持跨域认证，下图显示的是 Kerberos 协议实现跨域认证的 7 个步骤，其中有几个步骤出现错误， 图中错误的描述正确的是：( )[单选题] A. 步骤 1 和步骤 2 发生错误 B. 步骤 3 和步骤 4 发生错误(正确答案) C. 步骤 5 和步骤 6 发生错误 D. 步骤 5 和步骤 6 发生错误 8. 某黑客通过分析和整理某报社记者小张的博客，找到一些有用的信息，通过伪装的新闻线索，诱使其执行木马程序，从而控制了小张的电脑，并以她的电脑为攻击的端口，使报社的局域网全部感染木马病毒，为防范此类社会工程学攻击， 报社不需要做的是() A、加强信息安全意识培训，提高安全防范能力，了解各种社会工程学攻击方法，防止受到此类攻击 B、建立相应的安全相应应对措施，当员工受到社会工程学的攻击，应当及时报告 C、教育员工注重个人隐私保护 D、减少系统对外服务的端口数量，修改服务旗标(正确答案) 9. 2016 年 9 月，一位安全研究人员在Google Cloud IP 上通过扫描，发现了完整的美国路易斯安邦州 290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码，以防止攻击者利用以上信息进行()攻击。 A、默认口令 B、字典(正确答案) C、暴力 D、XSS 10. 下图中描述网络动态安全的 P2DR 模型，这个模型经常使用图形的形式来表达的下图空白处应填()[单选题] A