NISP一级二级题库练习题六卷.pdf

练习题第六卷

1．在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，

以下哪一层提供了保密性、身份鉴别、数据完整性服务?

A.网络层

B.表示层

C.会话层

D.物理层

答案：A

解析：网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。

2．某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是windows，在

进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效

应对攻击者获得系统权限后对日志进行修改的策略是：

A.网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服

务器中

B.严格设置Web日志权限，只有系统权限才能进行读和写等操作

C.对日志属性进行调整，加大日志文件大小、延长覆盖时间、设置记录更多信息等

D.使用独立的分区用于存储日志，并且保留足够大的日志空间

答案：A

3．安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可

少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪

项设置不利于提高运行环境安全?

A.操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞

B.为了方便进行数据备份，安装Windows操作系统时只使用一个分区C，所有数据和操作系

统都存放在C盘

C.操作系统上部署防病毒软件，以对抗病毒的威胁

D.将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能

答案：B

解析：操作系统和应用安全装应分开不同磁盘部署。

4．下列哪一些对信息安全漏洞的描述是错误的?

A.漏洞是存在于信息系统的某种缺陷。

B.漏洞存在于一定的环境中，寄生在一定的客体上(如TOE中、过程中等)。

C.具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给

信息系统安全带来威胁和损失。

D.漏洞都是人为故意引入的一种信息系统的弱点

答案：D

解析：漏洞是“人为故意或非故意引入的弱点”，漏洞可能是无意的有些甚至就是设计缺陷

引起的。

5．为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，

下面哪项内容不在考虑范围内

A.关于网站身份鉴别技术方面安全知识的培训

B.针对OpenSSL心脏出血漏洞方面安全知识的培训

C.针对SQL注入漏洞的安全编程培训

D.关于ARM系统漏洞挖掘方面安全知识的培训

答案：D

解析：D属于ARM系统，不属于WEB安全领域。

6．关于源代码审核，描述正确的是

A.源代码审核过程遵循信息安全保障技术框架模型(IATF)，在执行时应一步一步严格执行

B.源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具

C.源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，

需要人的脑袋来判断

D.源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试

答案：B

解析：A错误，因为IATF不用于代码审核；C错误，因为人工和攻击相结合；D错误，安全

测试由需求确定。

7．微软提出了STRIDE模型，其中R是Repudiation(抵赖)的缩写，此项错误的是

A.某用户在登录系统并下载数据后，却声称“我没有下载过数据软件R威胁

B.某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于R威

胁。

C.对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术

D.对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术

答案：D

解析：R-抵赖是无法通过过滤、流控和隐私保护实现的，R-抵赖的实现方式包括数字签名、

安全审计、第三方公证。

8．如下图所示，两份文件包含了不同的内容，却拥有相同的SHA-1数字签名a,这违

背了安全的哈希函数（）性质。

A．单向性;

B．弱抗碰撞性;

C．强抗碰撞性;

D．机密性;

答案：C

解析：该题目是违背了强抗碰撞性，P282页。

9．在PDR模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）

模型，即策略-保护-检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策

略实施的。在PPDR模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通

信策略、身份认证测录、备