nisp二级——————后续慢慢更新

2023-11-06 23:20
文章标签 更新 二级 后续 慢慢 nisp

本文主要是介绍nisp二级——————后续慢慢更新,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织 机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是 ()
A.定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风 险分析结果,以度量风险的可能性和缺失量
B.定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应 使用定量风险分析,而不应选择定性风险分析
C.定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析 结果和风险评估团队的素质、经验和知识技能密切相关
D.定性风险分析更具主观性,而定量风险分析更具客观性
解析:定性判断趋势,定量决定细节。
B选项太绝对,实际工作中一般会使用定性跟定量相结合的方式而不是只选择顶性风险分析
2.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是( )
A.信息安全风险评估分自评估、检查评估两形式,应以检查评估为主,自评 估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实 效‘的原则开展
C.信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
解析:A
自评估:是指电脑系统自带的、运营中的、或者单位自行发起的风险评估;
检查评估:是指国家及系统管理部门遵循法律法规对网络安全实施的风险评估。
通常,信息安全风险评估是以自评估为主,而自评估与检查评估相辅相成,遵循严密组织、规范操作、科学有效的原则。
3.某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令 的鉴别技术相比,关于此种鉴别技术说法不正确的是
A.所选择的特征(指纹)便于收集、测量和比较
B.每个人所拥有的指纹都是独一无二的
C.指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成
解析:C
太过绝对,指纹识别系统存在安全威胁问题同时存在错误拒绝率和错误接受率的问题
4.在密码学的 Kerchhof 假设中,密码系统的安全性仅依赖于_______。
A.明文 B.密文 C.密钥 D.信道
解析:c
密码系统的安全性依赖于密钥而不依赖于算法
5.关于 linux 下的用户和组,以下描述不正确的是
A.在 linux 中,每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于 多个组
D.root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
解析:c
一个用户可以属于多个组,一个组内也可以有多个用户
6.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的 昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻 击?
A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击
解析:D
7.SARSA 模型包括(),它是一个(),它在第一层从安全的角度定义了 ()。模型的每一层在抽象方面逐层减少,细节逐层增加,因此,它的层级都是 建在其他层之上的,从策略逐渐到技术和解决方案的()。其思路上创新提出了 一个包括战略、概念、设计、实施、度量和审计层次的( )
A.五层;业务需求;分层模型;实施实践;安全链条
B.六层;分层模型;业务需求;实施实践;安全链条
C.五层;分层模型;业务需求;实施实践;安全链条
D.六层;分层模型;实施实践;业务需求;安全链条
解析:B
SAESA分为六层,他在第一层从安全角度定义了业务需求
8.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析,发现 此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程 序为了达到长期驻留在受害都的计算机中,通过修改注册表启动项来达到后门程 序随受害者计算机系统启动而启动,这防范此类木马后门的攻击,以下做法无用 的是()
A.不下载,不执行、不接收不来历明的软件
B.不随意打开来历不明的邮件,不浏览不健康不正规的网站
C.使用共享文件夹
D.安装反病毒软件和防火墙,安装专门的木马防治软件
解析:这道题不需要解析
9.GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》 指出,建立信息安全管理体系应参照 PDCA 模型进行,即信息安全管理体系应包 括建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程, 并在这些过程中应实施若干活动,请选出以下描述错误的选项()
A.“制定 ISMS 方针”是建产 ISMS 阶段工作内容
B.“实施培训和意识教育计划“是实施和运行 ISMS 阶段工作内容
C.“进行有效性测量”是监视和评审 ISMS 阶段工作内容
D.“实施内部审核”是保护和改进 ISMS 阶段工作内容
解析:D
“实施内部审核”是监视和评审阶段的工作内容
10.终端访问控制器访问控制系统(Terminal Access Controller Access-Control System,TACACS)由 RFC1492 定义,标准的 TACACS 协议只认证 用户是否可以登录系统,目前已经很少使用,TACACS+协议由 Cisco 公司提出, 主要应用于 Ciso 公司的产品中,运行与 TCP 协议之上。TACACS+协议分为()两 个不同的过程
A.认证和授权
B.加密和认证
C.数字签名和认证
D.访问控制和加密
解析:A
TACACS+的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。
11.从 Linux 内核 2.1 版开始,实现了基于权能的特权管理机制,实现了对 超级用户的特权分割,打破了 UNIX/LINUX 操作系统中超级用户/普通用户的概 念,提高了操作系统的安全性。下列选项中,对特权管理机制的理解错误的是()。
A.进程可以放弃自己的某些权能
B.普通用户及其 shell 没有任何权能,而超级用户及其 shell 在系统启动之 初拥有全部权能
C.当普通用户的某些操作设计特权操作时,仍然通过 setuid 实现
D.系统管理员可以剥夺和恢复超级用户的某些权能
解析:root为超级用户是最高权限系统管理员不能剥夺和恢复超级用户的某些权能
12.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护 数据库的安全。以下关于数据库常用的安全策略理解不正确的是()。
A.粒度最小策略,将数据库中的数据项进行划分,粒度越小,安全级别越高, 在实际中需要选择最小粒度
B.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最 小的特权,使得这些信息恰好能够完成用户的工作 C.按内容存取控制策略,不同权限的用户访问数据库的不同部分 D.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大 程度地共享数据库中的信息
解析:最小化权限原则。数据库管理员仅仅分配帐号的足够使用权限。比如,如果一个用户只需要进行数据库的查询工作,那么这个用户使用的权限就只能局限于select语句,而不能有delete、update等语句的使用权限。权限的扩散以及超越应用范围的访问是访问控制的一大威胁。
13.《信息安全保障技术框架》(Information Assurance Technical Framework,IATF)是由()发布的。 A.中国 B.美国 C.欧盟 D.俄罗斯
解析:B
14.小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应 聘时,面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要 为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间 和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()。
A.BLP 模型
B.Biba 模型
C.能力表(CL)
D.访问控制列表(ACL)
解析:D
现在windows和linux都是使用的acl
15.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部 分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式 来处理该风险。请问这种风险处置的方法是()。
A.放弃风险
B.规避风险
C.降低风险
D.转移风险
解析:B
风险规避:在某些情况下,变更、延续或停止某种服务或者业务功能,可能是最合适的方法
16.小张新购入了一台安装了 Windows 操作系统的笔记本电脑。为了提升操 作系统的安全性,小张在 Windows 系统中的“本地安全策略”中,配置了四类安 全策略:账号策略、本地策略、公钥策略和 IP 安全策略。那么该操作属于操作 系统安全配置内容中的()。
A.关闭不必要的端口
B.关闭不必要的服务
C.查看日志记录
D.制定安全策略
解析:D
17.某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址, 但是该网络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。 为解决公司员工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当 任意一台个人计算机开机并连接网络时,管理中心从这 10 个地址中任意取出一 个尚未分配的 IP 地址分配给这个人的计算机。他关机时,管理中心将该地址收 回,并重新设置为未分配。可见,只要同时打开的个人计算机数量少于或等于可 供分配的 IP 地址,那么,每台个人计算机可以获取一个 IP 地址,并实现与互联 网的连接。该公司使用的 IP 地址规划方式是()。
A.静态 NAT 分配地址
B.端口 NAT 分配地址
C.静态分配地址
D.动态分配地址
解析:D
动态IP地址指的是在需要的时候才进行IP地址分配的方式
“只要同时打开的个人计算机数量少于或等于可供分配的IP地址,那么每台个人计算机可以获取一个IP地址”
18.Kerberos 协议是常用的集中访问控制协议,通过可信第三方的认证服 务,减轻应用服务器的负担。Kerberos 的运行环境由密钥分发中心(KDC)、应 用服务器和客户端三个部分组成。其中,KDC 分为认证服务器 AS 和票据授权服 务器 TGS 两部分。下图展示了 Kerberos 协议的三个阶段,分别为(1)Kerberos 获得服务许可票据,(2)Kerberos 获得服务,(3)Kerberos 获得票据许可票 据。下列选项中,对这三个阶段的排序正确的是()。
在这里插入图片描述
A.(1)→(2)→(3)
B.(2)→(1)→(3)
C.(3)→(2)→(1)
D.(3)→(1)→(2)
解析:
分为三个阶段:1.获得票据许可票据
2.获得服务许可票据
3.获得服务
19.PKI 的主要理论基础是()。
A.摘要算法
B.对称密码算法
C.量子密码
D.公钥密码算法
解析:D
PKI(公钥基础设施)
20. 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评 估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进 行客观的评估。通过信息系统安全保障评估所搜集的(客观证据),向信息系统 的所有相关方提供信息系统的(安全保障工作)能够实现其安全保障策略,能够 将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的 评估对象是(信息系统),信息系统不仅包含了仅讨论技术的信息技术系统,还 包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一 个动态持续的过程,涉及信息系统整个(生命周期),因此信息系统安全保障的 评估也应该提供一种(动态持续)的信心
在这里插入图片描述
A.客观证据;安全保障工作;动态持续;信息系统;生命周期
B.安全保障工作;客观证据;信息系统;生命周期;动态持续
C.客观证据;安全保障工作;信息系统;生命周期;动态持续 D.客观证据;安全保障工作;生命周期;信息系统;动态持续

这篇关于nisp二级——————后续慢慢更新的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/359676

相关文章

poj3468(线段树成段更新模板题)

题意:包括两个操作:1、将[a.b]上的数字加上v;2、查询区间[a,b]上的和 下面的介绍是下解题思路: 首先介绍  lazy-tag思想:用一个变量记录每一个线段树节点的变化值,当这部分线段的一致性被破坏我们就将这个变化值传递给子区间,大大增加了线段树的效率。 比如现在需要对[a,b]区间值进行加c操作,那么就从根节点[1,n]开始调用update函数进行操作,如果刚好执行到一个子节点,

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

hdu1689(线段树成段更新)

两种操作:1、set区间[a,b]上数字为v;2、查询[ 1 , n ]上的sum 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#include<queue>#include<set>#include<map>#include<stdio.h>#include<stdl

hdu 1754 I Hate It(线段树,单点更新,区间最值)

题意是求一个线段中的最大数。 线段树的模板题,试用了一下交大的模板。效率有点略低。 代码: #include <stdio.h>#include <string.h>#define TREE_SIZE (1 << (20))//const int TREE_SIZE = 200000 + 10;int max(int a, int b){return a > b ? a :

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/

GIS图形库更新2024.8.4-9.9

更多精彩内容请访问 dt.sim3d.cn ,关注公众号【sky的数孪技术】,技术交流、源码下载请添加微信:digital_twin123 Cesium 本期发布了1.121 版本。重大新闻,Cesium被Bentley收购。 ✨ 功能和改进 默认启用 MSAA,采样 4 次。若要关闭 MSAA,则可以设置scene.msaaSamples = 1。但是通过比较,发现并没有多大改善。

JavaFX应用更新检测功能(在线自动更新方案)

JavaFX开发的桌面应用属于C端,一般来说需要版本检测和自动更新功能,这里记录一下一种版本检测和自动更新的方法。 1. 整体方案 JavaFX.应用版本检测、自动更新主要涉及一下步骤: 读取本地应用版本拉取远程版本并比较两个版本如果需要升级,那么拉取更新历史弹出升级控制窗口用户选择升级时,拉取升级包解压,重启应用用户选择忽略时,本地版本标志为忽略版本用户选择取消时,隐藏升级控制窗口 2.

记录每次更新到仓库 —— Git 学习笔记 10

记录每次更新到仓库 文章目录 文件的状态三个区域检查当前文件状态跟踪新文件取消跟踪(un-tracking)文件重新跟踪(re-tracking)文件暂存已修改文件忽略某些文件查看已暂存和未暂存的修改提交更新跳过暂存区删除文件移动文件参考资料 咱们接着很多天以前的 取得Git仓库 这篇文章继续说。 文件的状态 不管是通过哪种方法,现在我们已经有了一个仓库,并从这个仓

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法   消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法 [转载]原地址:http://blog.csdn.net/x605940745/article/details/17911115 消除SDK更新时的“

BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。 鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。 一、“大灰狼”的伪装 以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不