课后练习-计算环境安全.pdf

保密注册信息安全专业人员考试章节练习题

注册信息安全专业人员考试

章节练习题

（计算环境安全）

1.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000以后的操作系

统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令

牌和授权管理器来实现访问控制功能。以下选项中，对windows操作系统访问控制实现方法的理解错误的

是（）

A、ACL只能由管理员进行管理

B、ACL是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户

的SID，组信息和分配给用户的权限

D、通过授权管理器，可以实现基于角色的访问控制

2.某黑客通过分析和整理某报社记者小张的博客，找到一些有用的信息，通过伪装的新闻线索，诱使其执行

木马程序，从而控制了小张的电脑，并以她的电脑为攻击的端口，使报社的局域网全部感染木马病毒，为

防范此类社会工程学攻击，报社不需要做的是（）

A、加强信息安全意识培训，提高安全防范能力，了解各种社会工程学攻击方法，防止受到此类攻击

B、建立相应的安全相应应对措施，当员工受到社会工程学的攻击，应当及时报告C、教育员工注重个人隐

私保护

D、减少系统对外服务的端口数量，修改服务旗标

3.2016年9月，一位安全研究人员在GoogleCloudIP上通过扫描，发现了完整的美国路易斯安邦州290

万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与

编号、正党代名和密码，以防止攻击者利用以上信息进行（）攻击。

A、默认口令B、字典

C、暴力D、XSS

4.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本，会将他的浏览器定向到旅游网

站，旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站，但旅游网站已经截获了

他的社交网络信息（还有他的好友们的信息），于是犯罪分子便可以躲藏在社交网站的广告后面，截获用户

的个人信息了，这种向Web页面插入恶意html代码的攻击方式称为（）

A.分布式拒绝服务攻击

B、跨站脚本攻击

C、SQL注入攻击

D、缓冲区溢出攻击

5.下图是安全测试人员连接某远程主机时的操作界面，请您仔细分析该图，下面分析推理正确的是（）

-1-

保密注册信息安全专业人员考试章节练习题

A.安全测试人员链接了远程服务器的220端口

B.B.安全测试人员的本地操作系统是Linux

C.远程服务器开启了FTP服务，使用的服务器软件名FTPSｅｒｖｅｒ

D.D.远程服务器的操作系统是ｗｉｎｄｏｗｓ系统

6.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析发现此外挂是一个典型的木马后门，使黑

客能够获得受害者电脑的访问权，该后门程序为了达到长期驻留在受害者的计算机中，通过修改注册表启

动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击，以下做法无用的是（）

A、不下载、不执行、不接收来历不明的软件和文件

B、不随意打开来历不明的邮件，不浏览不健康不正规的网站

C、使用共享文件夹

D、安装反病毒软件和防火墙，安装专门的木马防范软件

7.关于补丁安装时应注意的问题，以下说法正确的是

A.在补丁安装部署之前不需要进行测试，因为补丁发布之前厂商已经经过了测试

B.补丁的获取有严格的标准,必须在厂商的官网上获取

C.信息系统打补丁时需要做好备份和相应的应急措施

D．补丁安装部署时关闭和重启系统不会产生影响

8.某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要由审核员进行审核后

该删除操作才能生效，这种设计是遵循了发下哪个原则

A．权限分离原则

B．最小的特权原则

C．保护最薄弱环节的原则

D．纵深防御的原则

9.张主任的计算机使用Windows7操作系统，他常登陆的用户名为zhang，张主任给他个人文件夹设置了

权限为只有zhang这个用户有权访问这个目录，管理员在某次维护中无意将zhang这个用户删除了，随后

又重新建了一个用户名为zhang，张主任使用zhang这个用户