[单选题]以下关于在UNIX系统里启动与关闭服务的说法不正确的是?()A . 在UNIX系统中,服务可以通过inetd进程来启动B . 通过在/etc/inetD.conf文件中注释关闭正在运行的服务C . 通过改变脚本名称的方式禁用脚本启动的服务D . 在UNIX系统中,服务可以通过启动脚本来启动
[单选题]对于Linux审计说法错误的是?()A . Linux系统支持细粒度的审计操作B . Linux系统可以使用自带的软件发送审计日志到SOC平台C . Linux系统一般使用auditd进程产生日志文件D . Linux在secure日志中登陆成功日志和审计日志是一个文件
[单选题]一名攻击者试图通过暴力攻击来获取下列哪一项信息?()A . 加密密钥B . 加密算法C . 公钥D . 密文
[单选题]下列哪种病毒能对计算机硬件产生破坏?()A . CIHB . CODEREDC . 维金D . 熊猫烧香
[单选题]不受限制的访问生产系统程序的权限将授予以下哪些人?()A . 审计师B . 不可授予任何人C . 系统的属主。D . 只有维护程序员
[单选题]下列哪类访问控制模型是基于安全标签实现的?()A . 自主访问控制B . 强制访问控制C . 基于规则的访问控制D . 基于身份的访问控制
[单选题]测试人员与开发人员交互测试发现的过程中,开发人员最关注的什么?()A . bug的数量B . bug的严重程度C . bug的复现过程D . bug修复的可行性
[单选题]从业务角度出发,最大的风险可能发生在那个阶段()A . 立项可行性分析阶段B . 系统需求分析阶段C . 架构设计和编码阶段D . 投产上线阶段
[单选题]下列对跨站脚本攻击(XSS)的解释最准确的一项是:()A . 引诱用户点击虚假网络链接的一种攻击方法B . 构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C . 一种很强大的木马攻击手段D . 将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的
[单选题]下列哪一项关于Bell-LaPadula模型特点的描述是错误的?()A . 强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱。B . 既定义了主体对客体的访问,也说明了主体对主体的访问。因此,它适用于网络系统。C . 它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点。D . 比起那些较新的模型而言,Bell-LaPadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系。
[单选题]电子商务交易必须具备抗抵赖性,目的在于防止()。A . 一个实体假装成另一个实体B . 参与此交易的一方否认曾经发生过此次交易C . 他人对数据进行非授权的修改、破坏D . 信息从被监视的通信过程中泄漏出去
[单选题]“可信计算基(TCB)”不包括:()A . 执行安全策略的所有硬件B . 执行安全策略的软件C . 执行安全策略的程序组件D . 执行安全策略的人
[单选题]OSI的第五层是:()A . 会话层B . 传输层C . 网络层D . 表示层
[单选题]CC中的评估保证级4级(EAL3)对应TCSEC和ITSEC的哪个级别?()A . "对应TCSECB1级,对应ITSECE4级"B . "对应TCSECC2级,对应ITSECE4级"C . "对应TCSECB1级,对应ITSECE3级"D . "对应TCSECC2级,对应ITSECE2级"
[单选题]下列信息系统安全说法正确的是:()A . 加固所有的服务器和网络设备就可以保证网络的安全B . 只要资金允许就可以实现绝对的安全C . 断开所有的服务可以保证信息系统的安全D . 信息系统安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略
[单选题]下列哪一项是DOS攻击的一个实例?()A . SQL注入B . IPSpoofC . Smurf攻击D . 字典破解
[单选题]Linux文件系统采用的是树型结构,在根目录下默认存在var目录,它的的功用是?()A . 公用的临时文件存储点B . 系统提供这个目录是让用户临时挂载其他的文件系统C . 某些大文件的溢出区D . 最庞大的目录,要用到的应用程序和文件几乎都在这个目录
[单选题]下列哪项是多级安全策略的必要组成部分?()A . 主体、客体的敏感标签和自主访问控制。B . 客体敏感标签和强制访问控制。C . 主体的安全凭证、客体的安全标签和强制访问控制。D . 主体、客体的敏感标签和对其“系统高安全模式”的评价
[单选题]以下发现属于Linux系统严重威胁的是什么?()A . 发现不明的SUID可执行文件B . 发现应用的配置文件被管理员变更C . 发现有恶意程序在实时的攻击系统D . 发现防护程序收集了很多黑客攻击的源地址
[单选题]从分析方式上入侵检测技术可以分为:()A .基于标志检测技术、基于状态检测技术B .基于异常检测技术、基于流量检测技术C .基于误用检测技术、基于异常检测技术D .基于标志检测技术、基于误用检测技术
[单选题]单点登录系统主要的关切是什么?()A . 密码一旦泄露,最大程度的非授权访问将可能发生。B . 将增加用户的访问权限。C . 用户的密码太难记。D . 安全管理员的工作量会增加。
[单选题]Kerberos依赖什么加密方式?()A . ElGamal密码加密B . 秘密密钥加密。C . Blowfish加密。D . 公钥加密。
[单选题]下列对于Rootkit技术的解释不准确的是:()A . Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具B . Rootkit是一种危害大、传播范围广的蠕虫C . Rootkit和系统底层技术结合十分紧密D . Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程
[单选题]组织实施了灾难恢复计划。下列哪些步骤应下一步执行?()A . 取得高级管理人员认可B . 确定的业务需求C . 进行纸面测试D . 进行系统还原测试
[单选题]在自主访问环境中,以下哪个实体可以将信息访问权授予给其他人?()A . 经理B . 集团负责人C . 安全经理D . 数据所有者
[单选题]下列对“信息安全风险”的描述正确的是:()A . 是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险B . 是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C . 是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D . 是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险
[单选题]在Linux操作系统中,为了授权用户具有管理员的某些个性需求的权限所采取的措施是什么?()A . 告诉其他用户root密码B . 将普通用户加入到管理员组C . 使用visudo命令授权用户的个性需求D . 创建单独的虚拟账户
[单选题]下面安全套接字层协议(SSL)的说法错误的是?()A . 它是一种基于web应用的安全协议B . 由于SSL是内嵌在浏览器中的,无需安全客户端软件,所以相对于IPSec更简单易用C . SSL与IPSec一样都工作在网络层D . SSL可以提供身份认证、加密和完整性校验的功能
[单选题]下面关于访问控制模型的说法不正确的是:()A . DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。B . DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。访问许可必须被显式地赋予访问者。C . 在MAC这种模型里,管理员管理访问控制。管理员制定策略,策略定义了哪个主体能访问哪个对象。但用户可以改变它。D . RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象
[单选题]那种测试结果对开发人员的影响最大()A . 单元测试和集成测试B . 系统测试C . 验收测试D . 渗透测试