nisp二级——————后续慢慢更新

1．不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织 机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是 （）
A.定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风 险分析结果，以度量风险的可能性和缺失量
B.定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应 使用定量风险分析，而不应选择定性风险分析
C.定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析 结果和风险评估团队的素质、经验和知识技能密切相关
D.定性风险分析更具主观性，而定量风险分析更具客观性
解析：定性判断趋势，定量决定细节。
B选项太绝对，实际工作中一般会使用定性跟定量相结合的方式而不是只选择顶性风险分析
2．根据《关于开展信息安全风险评估工作的意见》的规定，错误的是( )
A.信息安全风险评估分自评估、检查评估两形式，应以检查评估为主，自评 估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实 效‘的原则开展
C.信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
解析：A
自评估：是指电脑系统自带的、运营中的、或者单位自行发起的风险评估；
检查评估：是指国家及系统管理部门遵循法律法规对网络安全实施的风险评估。
通常，信息安全风险评估是以自评估为主，而自评估与检查评估相辅相成，遵循严密组织、规范操作、科学有效的原则。
3．某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令 的鉴别技术相比，关于此种鉴别技术说法不正确的是
A.所选择的特征（指纹）便于收集、测量和比较
B.每个人所拥有的指纹都是独一无二的
C.指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题
D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成
解析：C
太过绝对，指纹识别系统存在安全威胁问题同时存在错误拒绝率和错误接受率的问题
4．在密码学的 Kerchhof 假设中，密码系统的安全性仅依赖于_______。
A.明文 B.密文 C.密钥 D.信道
解析：c
密码系统的安全性依赖于密钥而不依赖于算法
5．关于 linux 下的用户和组，以下描述不正确的是
A.在 linux 中，每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于 多个组
D.root 是系统的超级用户，无论是否文件和程序的所有者都具有访问权限
解析：c
一个用户可以属于多个组，一个组内也可以有多个用户
6．张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的 昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻 击?
A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击
解析：D
7．SARSA 模型包括（），它是一个（），它在第一层从安全的角度定义了 （）。模型的每一层在抽象方面逐层减少，细节逐层增加，因此，它的层级都是 建在其他层之上的，从策略逐渐到技术和解决方案的（）。其思路上创新提出了 一个包括战略、概念、设计、实施、度量和审计层次的（ ）
A.五层；业务需求；分层模型；实施实践；安全链条
B.六层；分层模型；业务需求；实施实践；安全链条
C.五层；分层模型；业务需求；实施实践；安全链条
D.六层；分层模型；实施实践；业务需求；安全链条
解析：B
SAESA分为六层，他在第一层从安全角度定义了业务需求
8．某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析，发现 此外挂是一个典型的木马后门，使黑客能够获得受害者电脑的访问权，该后门程 序为了达到长期驻留在受害都的计算机中，通过修改注册表启动项来达到后门程 序随受害者计算机系统启动而启动，这防范此类木马后门的攻击，以下做法无用 的是（）
A.不下载，不执行、不接收不来历明的软件
B.不随意打开来历不明的邮件，不浏览不健康不正规的网站
C.使用共享文件夹
D.安装反病毒软件和防火墙，安装专门的木马防治软件
解析：这道题不需要解析
9．GB／T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》 指出，建立信息安全管理体系应参照 PDCA 模型进行，即信息安全管理体系应包 括建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程， 并在这些过程中应实施若干活动，请选出以下描述错误的选项（）
A.“制定 ISMS 方针”是建产 ISMS 阶段工作内容
B.“实施培训和意识教育计划“是实施和运行 ISMS 阶段工作内容
C.“进行有效性测量”是监视和评审 ISMS 阶段工作内容
D.“实施内部审核”是保护和改进 ISMS 阶段工作内容
解析：D
“实施内部审核”是监视和评审阶段的工作内容
10．终端访问控制器访问控制系统（Terminal Access Controller Access-Control System,TACACS）由 RFC1492 定义，标准的 TACACS 协议只认证 用户是否可以登录系统，目前已经很少使用，TACACS+协议由 Cisco 公司提出， 主要应用于 Ciso 公司的产品中，运行与 TCP 协议之上。TACACS+协议分为（）两 个不同的过程
A.认证和授权
B.加密和认证
C.数字签名和认证
D.访问控制和加密
解析：A
TACACS+的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。
11．从 Linux 内核 2.1 版开始，实现了基于权能的特权管理机制，实现了对 超级用户的特权分割，打破了 UNIX/LINUX 操作系统中超级用户/普通用户的概 念，提高了操作系统的安全性。下列选项中，对特权管理机制的理解错误的是（）。
A.进程可以放弃自己的某些权能
B.普通用户及其 shell 没有任何权能，而超级用户及其 shell 在系统启动之 初拥有全部权能
C.当普通用户的某些操作设计特权操作时，仍然通过 setuid 实现
D.系统管理员可以剥夺和恢复超级用户的某些权能
解析：root为超级用户是最高权限系统管理员不能剥夺和恢复超级用户的某些权能
12．数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护 数据库的安全。以下关于数据库常用的安全策略理解不正确的是（）。
A.粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高， 在实际中需要选择最小粒度
B.最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最 小的特权，使得这些信息恰好能够完成用户的工作 C.按内容存取控制策略，不同权限的用户访问数据库的不同部分 D.最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大 程度地共享数据库中的信息
解析：最小化权限原则。数据库管理员仅仅分配帐号的足够使用权限。比如，如果一个用户只需要进行数据库的查询工作，那么这个用户使用的权限就只能局限于select语句，而不能有delete、update等语句的使用权限。权限的扩散以及超越应用范围的访问是访问控制的一大威胁。
13．《信息安全保障技术框架》（Information Assurance Technical Framework，IATF）是由（）发布的。 A.中国 B.美国 C.欧盟 D.俄罗斯
解析：B
14．小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应 聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要 为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间 和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。
A.BLP 模型
B.Biba 模型
C.能力表（CL）
D.访问控制列表（ACL）
解析：D
现在windows和linux都是使用的acl
15．小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部 分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式 来处理该风险。请问这种风险处置的方法是（）。
A.放弃风险
B.规避风险
C.降低风险
D.转移风险
解析：B
风险规避：在某些情况下，变更、延续或停止某种服务或者业务功能，可能是最合适的方法
16．小张新购入了一台安装了 Windows 操作系统的笔记本电脑。为了提升操 作系统的安全性，小张在 Windows 系统中的“本地安全策略”中，配置了四类安 全策略：账号策略、本地策略、公钥策略和 IP 安全策略。那么该操作属于操作 系统安全配置内容中的（）。
A.关闭不必要的端口
B.关闭不必要的服务
C.查看日志记录
D.制定安全策略
解析：D
17．某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址， 但是该网络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。 为解决公司员工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当 任意一台个人计算机开机并连接网络时，管理中心从这 10 个地址中任意取出一 个尚未分配的 IP 地址分配给这个人的计算机。他关机时，管理中心将该地址收 回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可 供分配的 IP 地址，那么，每台个人计算机可以获取一个 IP 地址，并实现与互联 网的连接。该公司使用的 IP 地址规划方式是（）。
A.静态 NAT 分配地址
B.端口 NAT 分配地址
C.静态分配地址
D.动态分配地址
解析：D
动态IP地址指的是在需要的时候才进行IP地址分配的方式
“只要同时打开的个人计算机数量少于或等于可供分配的IP地址，那么每台个人计算机可以获取一个IP地址”
18．Kerberos 协议是常用的集中访问控制协议，通过可信第三方的认证服 务，减轻应用服务器的负担。Kerberos 的运行环境由密钥分发中心（KDC）、应 用服务器和客户端三个部分组成。其中，KDC 分为认证服务器 AS 和票据授权服 务器 TGS 两部分。下图展示了 Kerberos 协议的三个阶段，分别为（1）Kerberos 获得服务许可票据，（2）Kerberos 获得服务，（3）Kerberos 获得票据许可票 据。下列选项中，对这三个阶段的排序正确的是（）。

A.（1）→（2）→（3）
B.（2）→（1）→（3）
C.（3）→（2）→（1）
D.（3）→（1）→（2）
解析：
分为三个阶段：1.获得票据许可票据
2.获得服务许可票据
3.获得服务
19．PKI 的主要理论基础是（）。
A.摘要算法
B.对称密码算法
C.量子密码
D.公钥密码算法
解析：D
PKI（公钥基础设施）
20． 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评 估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进 行客观的评估。通过信息系统安全保障评估所搜集的（客观证据），向信息系统 的所有相关方提供信息系统的（安全保障工作）能够实现其安全保障策略，能够 将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的 评估对象是（信息系统），信息系统不仅包含了仅讨论技术的信息技术系统，还 包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一 个动态持续的过程，涉及信息系统整个（生命周期），因此信息系统安全保障的 评估也应该提供一种（动态持续）的信心

A.客观证据；安全保障工作；动态持续；信息系统；生命周期
B.安全保障工作；客观证据；信息系统；生命周期；动态持续
C.客观证据；安全保障工作；信息系统；生命周期；动态持续 D.客观证据；安全保障工作；生命周期；信息系统；动态持续