赞
踩
1.信息安全应急响应计划的制定是一个周而复始的、持续改进的过程,以下哪个阶段不在其中?[1分]D.
**D.**应急响应计划的废弃与存档
**
**
2./etc/passwd文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录是校对用户登录名、加密的口令数据项、用户ID.(UID.)、默认的用户分组ID.(GID.)、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的pA.sswD.文件后,发现每个用户的加密的口令数据项都显示 为’x’。下列选项中,对此现象的解释正确的是()[1分]C.
**C.**加密口令被转移到了另一个文件里
**
**
3.鉴别是用户进入系统的第一道安全防线。用户登录系统时,输入用户名和密码就是对用户身份进行鉴别,鉴别通过,即可以实现两个实体之间的连接。例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问。鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的( C. )。[1分]
**C.**真实性
**
**
4.虚拟专用网络(VPN)通常是指在公共网络中利用隧道技术,建立一个临时的、安全的网络,这里的字母P的正确解释是( C. )[1分]
C.PrivA.te**,私有的、专有的**
**
**
5.某电子商务网络架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后删除操作才能生效。这种设计是遵循了以下哪个原则:[1分]A.
A. 权限分离原则
**
**
6.随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多,综合分析信息安全问题产生的根源,下面描述正确的是( C.)。[1分]
**C.**信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手
**
**
7.某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别,但入侵检测技术不能实现以下哪种功能(C. )。[1分]
**C.**防止IP地址欺骗
**
**
8.某单位计划在今年开发一套办公自动化(OA.)系统,将集团公司各地的机构通过互联网进行协同办公。在OA.系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?[1分]C.
**C.**要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞
**
**
9.实体身份鉴别一般依据以下三种基本情况或这三种情况的组合:实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于使用基于实体特征的鉴别方法是(D. )。[1分]
**D.**通过扫描和识别用户的脸部信息来鉴别
**
**
10.某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:[1分]A.
**A.**在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)
**
**
11.在使用系统安全工程—能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:[1分]D.
**D.**测量单位是公共特征(Common FeAtures,CF)
**
**
12.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A.公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:[1分]D.
**D.**需求说明书
**
**
13.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:[1分]A.
**A.**审核实施投资计划
**
**
14.在工程实施阶段,监管机构承建合同,安全设计方案、实施方案、实施记录,国家地方标准和技术文件,对信息化工程进行安全检查,以验证项目是否实现了项目设计目标和安全等要求。[1分]D.
**D.**符合性
15.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(D.efeC.ts/KLOC.)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是( C. )。[1分]
C.0.49
**
**
16.我国标准《信息系统灾难恢复规范》(GB/T 20988-2007)指出,依据具备的灾难恢复资源程度的不同,灾难恢复能力可分为6个等级。其中,要求“数据零丢失和远程集群支持”的能力等级是(D. )。[1分]
**D.**第6级
**
**
17.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:[1分]D.
**D.**网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
**
**
18.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法。下面的描述中,错误的是( B. )。[1分]
**B.**定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
**
**
19.小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”。请问,这种处理方法的主要目的是(D. )。[1分]
**D.**最小化反馈信息
**
**
20.2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件(B. )。[1分]
B.****《国家网络安全综合计划(CNCI)》(国令[2008]54号)
**
**
21.微软SD.L将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于()的安全活动。[1分]B.
**B.**设计(Design)阶段
**
**
22.以下关于威胁建模流程步骤说法不正确的是:[1分]D.
**D.**识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞。
**
**
23.自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。[1分]B.
**B.**全国信息安全标准化技术委员会(TC.260)
**
**
24.信息安全工程作为信息安全保障的重要组成部分,主要是为了解决:[1分]C.
**C.**信息系统生命周期的过程安全问题
**
**
25.某单位需要开发一个网站,为了确保开发出安全的软件,软件开发商进行了OA.系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法,以下哪个属于修改设计消除威胁的做法:[1分]D.
**D.**在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤
**
**
26.安全多用途互联网邮件扩展(SecureMultipurpose Internet Mail Extension,S/MIME)是指一种保障邮件安全的技术,下面描述错误的是( C. )。[1分]
C.S/MIME****采用了邮件防火墙技术
**
**
27.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:[1分]A.
**A.**信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充
**
**
28.关于信息安全管理体系的作用,下面理解错误的是( )。[1分]B.
**B.**对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
**
**
29.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下拟采取的安全措施中,哪一项不能降低该系统的受攻击面:[1分]B.
**B.**远程用户访问时具有管理员权限
**
**
30.“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案( C. )。[1分]
**C.**安全目标(ST)
**
**
31.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(BAse PrACtiCes,BP),正确的理解是:[1分]A.
A.BP****不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法
**
**
32.2005年,RFC4301(Request for Comments 4301:Security architecturefor the Internet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPseC系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务。请问此类RFC.系列标准建议是由下面哪个组织发布的( D. )。[1分]
D.Internet****工程任务组(Internet Engineering Task Force,IETF)
**
**
33.美国国家标准与技术研究院(NA.tionA.l Institute of Standards And. Technology,NIST)隶属美国商务部,NIST发布的很多关于计算机安全的指南文档。下面哪个文档是由NIST发布的( C. )。[1分]
C.SP 800-37**《Guidefor Applying the Risk Management Framework to Federal Information Systems》**
**
**
34.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是( C.)。[1分]
**C.**应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作:安全事件发生时正确指挥、事件发生后全面总结
**
**
35.信息安全等级保护分级要求,第三级适用正确的是:[1分]B.
**B.**适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
**
**
36.以下哪一项不是常见威胁对应的消减措施:[1分]C.
**C.**为了防止发送方否认曾经发送过的消息,收发双发可以使用消息验证码来防止抵赖
**
**
37.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司装备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是(A. )。[1分]
**A.**要求开发人员采用敏捷开发模型进行开发
**
**
38.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是( B. )。[1分]
**B.**规避风险
**
**
39.在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是( C. )。[1分]
**C.**动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
**
**
40.强制访控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。强制访问控制模型有多种类型,如B.LP、B.iB.A.、C.lA.rk-Willson和C.hineseWA.ll等。小李自学了B.LP模型,并对该模型的特点进行了总结,以下4种对BLP模型的描述中,正确的是(B. )。[1分]
B.BLP****模型用于保证系统信息的机密性,规则是“向下读,向上写”
**
**
41.有关系统安全工程—能力成熟度模型(SSE-CMM),错误的理解是:[1分]C.
**C.**基于SSE-C.MM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
**
**
42.系统安全工程—能力成熟度模型(Systems Security Engineering-Caapability maturity model,SSE-CMM)定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是:[1分]A.
**A.**风险过程
**
**
43.下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的(A. )。[1分]
**A.**设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息
**
**
44.以下关于灾难恢复的数据备份和理解,说法正确的是:[1分]C.
**C.**数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
45.PDCA循环又叫戴明环,是管理学常用的一种模型。关于PDCA四个字母,下面理解错误的是( D. )。[1分]
D.A****是Aim,指瞄准问题,抓住安全事件的核心,确定责任
**
**
46.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。关于我国信息安全标准化工作,下面选项中描述错误的是( B.)。[1分]
**B.**因事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制订标准,切实有效地保护国家利益和安全
**
**
47.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是(A. )。[1分]
**A.**从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型
**
**
48.私有IP地址是一段保留IP地址。只使用在局域网中,无法在Internet上使用。关于私有地址,下面描述正确的是(C. )。[1分]
C.A****类、B类和C类地址中都可以设置私有地址
**
**
49.以下关于软件安全测试说法正确的是?[1分]B.
B.Fuzz****测试是经常采用的安全测试方法之一。
**
**
50.随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切,越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系,提高组织的信息安全管理能力。关于ISMS下面描述错误的是( A. )。[1分]
**A.**在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指向并提供总体纲领,明确总体要求
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。