赞
踩
1.信息安全应急响应计划的制定是一个周而复始的、持续改进的过程,以下哪个阶段不在其中?[1分]D.
D.**应急响应计划的废弃与存档**
** **
2./etc/passwd文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录是校对用户登录名、加密的口令数据项、用户ID.(UID.)、默认的用户分组ID.(GID.)、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的pA.sswD.文件后,发现每个用户的加密的口令数据项都显示 为’x’。下列选项中,对此现象的解释正确的是()[1分]C.
C.**加密口令被转移到了另一个文件里**
** **
3.鉴别是用户进入系统的第一道安全防线。用户登录系统时,输入用户名和密码就是对用户身份进行鉴别,鉴别通过,即可以实现两个实体之间的连接。例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问。鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的( C. )。[1分]
C.**真实性**
** **
4.虚拟专用网络(VPN)通常是指在公共网络中利用隧道技术,建立一个临时的、安全的网络,这里的字母P的正确解释是( C. )[1分]
C.PrivA.te**,私有的、专有的**
** **
5.某电子商务网络架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后删除操作才能生效。这种设计是遵循了以下哪个原则:[1分]A.
A. 权限分离原则
** **
6.随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多,综合分析信息安全问题产生的根源,下面描述正确的是( C.)。[1分]
C.**信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手**
** **
7.某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别,但入侵检测技术不能实现以下哪种功能(C. )。[1分]
C.**防止IP地址欺骗**
** **
8.某单位计划在今年开发一套办公自动化(OA.)系统,将集团公司各地的机构通过互联网进行协同办公。在OA.系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?[1分]C.
C.**要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞**
** **
9.实体身份鉴别一般依据以下三种基本情况或这三种情况的组合:实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于使用基于实体特征的鉴别方法是(D. )。[1分]
D.**通过扫描和识别用户的脸部信息来鉴别**
** **
10.某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:[1分]A.
A.**在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)**
** **
11.在使用系统安全工程—能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:[1分]D.
D.**测量单位是公共特征(Common FeAtures,CF)**
** **
12.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A.公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:[1分]D.
D.**需求说明书**
** **
13.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:[1分]A.
A.**审核实施投资计划**
** **
14.在工程实施阶段,监管机构承建合同,安全设计方案、实施方案、实施记录,国家地方标准和技术文件,对信息化工程进行安全检查,以验证项目是否实现了项目设计目标和安全等要求。[1分]D.
D.**符合性**
15.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(D.efeC.ts/KLOC.)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是( C. )。[1分]
C.0.49
** **
16.我国标准《信息系统灾难恢复规范》(GB/T 20988-2007)指出,依据具备的灾难恢复资源程度的不同,灾难恢复能力可分为6个等级。其中,要求“数据零丢失和远程集群支持”的能力等级是(D. )。[1分]
D.**第6级**
** **
17.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:[1分]D.
D.**网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题**
** **
18.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法。下面的描述中,错误的是( B. )。[1分]
B.**定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析**
** **
19.小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”。请问,这种处理方法的主要目的是(D. )。[1分]
D.**最小化反馈信息**
** **
20.2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件(B. )。[1分]
B.**《国家网络安全综合计划(CNCI)》(国令[2008]54号)**
** **
21.微软SD.L将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于()的安全活动。[1分]B.
B.**设计(Design)阶段**
** **
22.以下关于威胁建模流程步骤说法不正确的是:[1分]D.
D.**识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞。**
** **
23.自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。[1分]B.
B.**全国信息安全标准化技术委员会(TC.260)**
** **
24.信息安全工程作为信息安全保障的重要组成部分,主要是为了解决:[1分]C.
C.**信息系统生命周期的过程安全问题**
** **
25.某单位需要开发一个网站,为了确保开发出安全的软件,软件开发商进行了OA.系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法,以下哪个属于修改设计消除威胁的做法:[1分]D.
D.**在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤**
** **
26.安全多用途互联网邮件扩展(SecureMultipurpose Internet Mail Extension,S/MIME)是指一种保障邮件安全的技术,下面描述错误的是( C. )。[1分]
C.S/MIME**采用了邮件防火墙技术**
** **
27.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:[1分]A.
A.**信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充**
** **
28.关于信息安全管理体系的作用,下面理解错误的是( )。[1分]B.
B.**对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入**
** **
29.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下拟采取的安全措施中,哪一项不能降低该系统的受攻击面:[1分]B.
B.**远程用户访问时具有管理员权限**
** **
30.“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案( C. )。[1分]
C.**安全目标(ST)**
** **
31.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(BAse PrACtiCes,BP),正确的理解是:[1分]A.
A.BP**不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法**
** **
32.2005年,RFC4301(Request for Comments 4301:Security architecturefor the Internet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPseC系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务。请问此类RFC.系列标准建议是由下面哪个组织发布的( D. )。[1分]
D.Internet**工程任务组(Internet Engineering Task Force,IETF)**
** **
33.美国国家标准与技术研究院(NA.tionA.l Institute of Standards And. Technology,NIST)隶属美国商务部,NIST发布的很多关于计算机安全的指南文档。下面哪个文档是由NIST发布的( C. )。[1分]
C.SP 800-37**《Guidefor Applying the Risk Management Framework to Federal Information Systems》**
** **
34.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是( C.)。[1分]
C.**应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作:安全事件发生时正确指挥、事件发生后全面总结**
** **
35.信息安全等级保护分级要求,第三级适用正确的是:[1分]B.
B.**适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害**
** **
36.以下哪一项不是常见威胁对应的消减措施:[1分]C.
C.**为了防止发送方否认曾经发送过的消息,收发双发可以使用消息验证码来防止抵赖**
** **
37.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司装备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是(A. )。[1分]
A.**要求开发人员采用敏捷开发模型进行开发**
** **
38.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是( B. )。[1分]
B.**规避风险**
** **
39.在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是( C. )。[1分]
C.**动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令**
** **
40.强制访控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。强制访问控制模型有多种类型,如B.LP、B.iB.A.、C.lA.rk-Willson和C.hineseWA.ll等。小李自学了B.LP模型,并对该模型的特点进行了总结,以下4种对BLP模型的描述中,正确的是(B. )。[1分]
B.BLP**模型用于保证系统信息的机密性,规则是“向下读,向上写”**
** **
41.有关系统安全工程—能力成熟度模型(SSE-CMM),错误的理解是:[1分]C.
C.**基于SSE-C.MM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施**
** **
42.系统安全工程—能力成熟度模型(Systems Security Engineering-Caapability maturity model,SSE-CMM)定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是:[1分]A.
A.**风险过程**
** **
43.下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的(A. )。[1分]
A.**设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息**
** **
44.以下关于灾难恢复的数据备份和理解,说法正确的是:[1分]C.
C.**数据备份按数据类型划分可以划分为系统数据备份和用户数据备份**
45.PDCA循环又叫戴明环,是管理学常用的一种模型。关于PDCA四个字母,下面理解错误的是( D. )。[1分]
D.A**是Aim,指瞄准问题,抓住安全事件的核心,确定责任**
** **
46.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。关于我国信息安全标准化工作,下面选项中描述错误的是( B.)。[1分]
B.**因事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制订标准,切实有效地保护国家利益和安全**
** **
47.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是(A. )。[1分]
A.**从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型**
** **
48.私有IP地址是一段保留IP地址。只使用在局域网中,无法在Internet上使用。关于私有地址,下面描述正确的是(C. )。[1分]
C.A**类、B类和C类地址中都可以设置私有地址**
** **
49.以下关于软件安全测试说法正确的是?[1分]B.
B.Fuzz**测试是经常采用的安全测试方法之一。**
** **
50.随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切,越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系,提高组织的信息安全管理能力。关于ISMS下面描述错误的是( A. )。[1分]
A.**在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指向并提供总体纲领,明确总体要求**
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图: 学到http和https抓包后能读懂它在说什么就行。
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。