高级软件人才培训专家-CISP-4练习题四卷资源-CSDN文库

版权申诉

112 浏览量 2024-03-10 13:24:04 上传评论收藏 456KB PDF 举报

### 高级软件人才培训专家-CISP-4练习题四卷知识点详解 #### 1. Windows 系统管理权限 **知识点**: 在 Windows 系统中，管理权限最高的组是 **administrator** 组。 - **解析**: 在 Windows 操作系统中，**administrator** 组拥有最高级别的权限，能够执行几乎所有的系统管理任务。这意味着该组成员可以进行系统配置更改、安装软件、修改安全策略等操作。相比之下，其他组如 **Everyone**、**PowerUsers** 和 **Users** 等具有较低级别的权限。 #### 2. Kerckhoffs 准则 **知识点**: Kerckhoffs 准则指出密码系统的安全性应该基于密钥而非算法的秘密性。 - **解析**: Kerckhoffs 准则强调，即使密码算法被广泛知晓，只要密钥保持秘密，密码系统仍然是安全的。这意味着： - **选项 C**: “在一个密码系统中，密码算法是可以公开的，密钥应保证安全” 正确。 - **解释**: 密码算法的公开能够让更多的安全专家对其进行审查，从而发现潜在的漏洞，提高整体的安全性。 #### 3. Windows XP 日志文件 **知识点**: 在 Windows XP 中，可以通过事件查看器查看四种主要的日志文件。 - **解析**: 这些日志文件包括： - **应用程序日志**: 记录应用程序的错误和警告信息。 - **安全性日志**: 记录与系统安全相关的事件，例如登录尝试。 - **系统日志**: 记录操作系统本身的错误和警告。 - **IE 日志**: 记录 Internet Explorer 浏览器的活动情况。 #### 4. 操作系统安全基础 **知识点**: 操作系统安全的基础在于安全安装、安全配置和安全管理三个方面。 - **解析**: 操作系统安全涉及多个层面： - **安全安装**: 包括选择安全的安装选项、更新最新的安全补丁等。 - **安全配置**: 如关闭不必要的服务、限制用户的权限等。 - **安全管理**: 包括定期审计系统状态、监控异常活动等。 #### 5. 数字签名 **知识点**: 信息发送者使用自己的私钥进行数字签名。 - **解析**: 在数字签名的过程中，发送者使用自己的私钥对消息进行加密，接收者则使用发送者的公钥来验证签名的真实性。这确保了消息的完整性和来源的真实性。 #### 6. MAC 与散列函数的区别 **知识点**: MAC 和散列函数虽然都有消息验证的功能，但它们之间存在显著差异。 - **解析**: - **MAC** (消息认证码) 需要密钥参与运算，输出长度不固定。 - **散列函数** 的输出长度是固定的，并且不需要密钥。 - **选项 C**: “MAC 和散列函数都不需要密钥” 是错误的，因为 MAC 需要密钥。 #### 7. 密码复杂度 **知识点**: 随机生成的字母组合是最难记忆的密码类型。 - **解析**: 与其他几种方法（如基于生日或配偶名字的密码）相比，完全随机生成的字母组合由于缺乏任何逻辑或意义，因此记忆起来更加困难。 #### 8. HTTPS 与 HTTP 的对比 **知识点**: HTTPS 相对于 HTTP 的优势在于其提供了数据加密功能，提高了通信的安全性。 - **解析**: HTTPS 通过 SSL/TLS 协议对传输的数据进行加密，防止中间人攻击或数据监听等安全威胁。此外，HTTPS 使用的是 443 端口，而 HTTP 使用的是 80 端口。 #### 9. 信息系统安全保障方案设计 **知识点**: 设计信息系统安全保障方案时，不应盲目采用最新技术。 - **解析**: 安全领域倾向于使用经过时间考验和广泛验证的技术方案，而不是追求最新技术。这是因为新技术可能存在未被发现的安全漏洞。 #### 10. Windows 文件系统权限管理 **知识点**: Windows 文件系统的权限管理通过 ACL 实现，但这些权限信息并非存储在用户数据库中。 - **解析**: 在 Windows 中，文件和文件夹的权限信息实际上存储在文件或文件夹的元数据中，而非用户数据库中。这意味着每当你创建一个新文件或文件夹时，都可以独立地为其分配权限。 #### 11. 我国信息安全保障基本原则 **知识点**: 在制定我国信息安全保障政策时，首先应遵循国家标准。 - **解析**: 尽管国际标准和技术经验值得借鉴，但在具体实践中应优先考虑符合我国国情和法律法规的要求。 #### 12. 信息安全风险评估形式 **知识点**: 在信息安全风险评估中，检查评估不同于自评估。 - **解析**: 检查评估通常由第三方机构或监管机构执行，以确保评估结果的客观性和准确性。而自评估则是组织内部自行完成的风险评估过程。

资源推荐

资源详情

资源评论

练习题第四卷

1．在 Windows 系统中，管理权限最高的组是：

A.everyone

B.administrator

C.powerusers

D.users

答案；B

解析：超级管理员组 administrator

2．下列关于 kerckhof 准则的说法正确的是：

A.保持算法的秘密性比保持密钥的秘密性要困难的多

B.密钥一旦泄漏，也可以方便的更换

C.在一个密码系统中，密码算法是可以公开的，密钥应保证安全

D.公开的算法能够经过更严格的安全性分析

答案；C

解析：柯克霍夫原则：密码系统的安全性依赖于密钥而不依赖于算法。

3．在 Windows XP 中用事件查看器查看日志文件，可看到的日志包括？

A.用户访问日志、安全性日志、系统日志和 IE 日志

B.应用程序日志、安全性日志、系统日志和 IE 日志

C.网络攻击日志、安全性日志、记账日志和 IE 日志

D.网络链接日志、安全性日志、服务日志和 IE 日志

答案；B

解析：

4．操作系统安全的基础是建立在：

A.安全安装

B.安全配置

C.安全管理

D.以上都对

答案；D

解析：

5．信息发送者使用__________进行数字签名。

A.己方的私钥

B.己方的公钥

C.对方的私钥

D.对方的公钥

答案；A

解析：私钥加密，公钥解密，公钥私钥成对出现。

6．以下列出了 mac 和散列函数的相似性,哪一项说法是错误的？

A.MAC 和散列函数都是用于提供消息认证

B.MAC 的输出值不是固定长度的，而散列函数的输出值是固定长度的

C.MAC 和散列函数都不需要密钥

D.MAC 和散列函数都不属于非对称加密算法

答案；C

解析：(1)MAC：消息验证、完整性校验、抗重放攻击；输出不固定的；MAC 需密钥；不是非

对称。(2)哈希：消息验证、完整性校验；输出是固定的；不需要密钥；不是非对称。

7．下面哪种方法产生的密码是最难记忆的？

A.将用户的生日倒转或是重排

B.将用户的年薪倒转或是重排

C.将用户配偶的名字倒转或是重排

D.用户随机给出的字母

答案；D

解析：随机的最难记

8．以下关于 https 协议 http 协议相比的优势说明，那个是正确的

A.Https 协议对传输的数据进行加密，可以避免嗅探等攻击行为

B.Https 使用的端口和 http 不同，让攻击者不容易找到端口，具有较高的安全性

C.Https 协议是 http 协议的补充，不能独立运行，因此需要更高的系统性能

D.Https 协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的

答案：A

解析：HTTPS 具有数据加密机制，HTTPS 使用 443 端口，HTTP 使用 80 端口，HTTPS 协议完全

可以独立运行，传输加密后的用户名和密码。

9．设计信息系统安全保障方案时，以下哪个做法是错误的：

A.要充分切合信息安全需求并且实际可行

B.要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本

C.要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求

D.要充分考虑用户管理和文化的可接受性，减少系统方案实施障碍

答案；C

解析：安全领域一般选择经过检验的、成熟、安全的技术方案，一般不选最新的。

10．Windows 文件系统权限管理访问控制列表（Access Control List，ACL）机制，以

下哪个说法是错误的：

A.安装 Windows 系统时要确保文件格式使用的是 NTFS，因为 Windows 的 ACL 机制需要 NTFS

文件格式的支持

B.由于 Windows 操作系统自身有大量的文件和目录，因此很难对每个文件和目录设置严格的

访问权限，为了使用上的便利，Windows 上的 ACL 存在默认设置安全性不高的问题

C.Windows 的 ACL 机制中，文件和文件夹的权限是与主体进行关联的，即文件夹和文件的访

问权限信息是写在用户数据库中

D.由于 ACL 具有很好的灵活性，在实际使用中可以为每一个文件设定独立用户的权限

答案；C

解析：C 项，与客体进行关联，用户的权限写在文件夹和文件的数据库中。

11．关于我国信息安全保障的基本原则，下列说法中不正确的是：

A.要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理

与技术并重

B.信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方

C.在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点

D.在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方

的作用。

答案；A

解析：我国信息安全保障首先要遵循国家标准。

12．某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息

安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成

如下四条报告给单位领导，其中描述错误的是（）

A.检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对

关键环节或重点内容实施抽样评估

B.检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进

行检查和评测

C.检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施

D.检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点

答案；B

解析：自评估由本级单位发起，检查评估由被评估组织的上级管理机关或业务主管机关发起，

P247 页。

13．关于信息安全管理，下面理解片面的是（）

A.信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保

障

B.信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的

C.信息安全建设中，技术是基础，管理是拔高，即有效的管理依赖于良好的技术基础

D.坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一

答案；C

解析：C 是片面的，应为技管并重，P83 页。

14．为了进一步提供信息安全的保障能力和防护水平，保障和促进信息化建设的健康发

展，公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66

号），对等级保护工作的开展提供宏观指导和约束，明确了等级保护工作哟的基本内容、工

作要求和实施计划，以及各部门工作职责分工等。关于该文件，下面理解正确的是（）

A.该文件是一个由部委发布的政策性文件，不属于法律文件

B.该文件适用于 2004 年的等级保护工作，其内容不能约束到 2005 年及之后的工作

C.该文件是一个总体性指导文件，规定所有信息系统都要纳入等级保护定级范围

D.该文件适用范围为发文的这四个部门，不适用于其他部门和企业等单位

答案；A

解析：

15．下面有关软件安全问题的描述中，哪项应是由于软件设计缺陷引起的（）

A.设计了三层 WEB 架构，但是软件存在 SQL 注入漏洞，导致被黑客攻击后直接访问数据库

B.使用 C 语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏

洞

C.设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击

获取到用户隐私数据

D.使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻

击后能破解并得到明文数据

答案；C

解析：

16．通过对称密码算法进行安全消息传输的必要条件是：

A.在安全的传输信道上进行通信

B.通讯双方通过某种方式，安全且秘密地共享密钥

C.通讯双方使用不公开的加密算法

D.通讯双方将传输的信息夹杂在无用信息中传输并提取

答案；B

解析：

17．Windows 系统下，哪项不是有效进行共享安全的防护措施？

A.使用 netshare\\127.0.0.1\c$/delete 命令，删除系统中的 c$等管理共享，并重启系统

B.确保所有的共享都有高强度的密码防护

C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值

D.安装软件防火墙阻止外面对共享目录的连接

答案；A

解析：

18．以下对 Windows 账号的描述，正确的是：

A.Windows 系统是采用 SID（安全标识符）来标识用户对文件或文件夹的权限

B.Windows 系统是采用用户名来标识用户对文件或文件夹的权限

C.Windows 系统默认会生成 administrator 和 guest 两个账号，两个账号都不允许改名和删

除

D.Windows 系统默认生成 administrator 和 guest 两个账号，两个账号都可以改名和删除

答案；A

解析：guest 可以改名和删除，administrator 不可以。

19．以下关于代替密码的说法正确的是：

A.明文根据密钥被不同的密文字母代替

B.明文字母不变，仅仅是位置根据密钥发生改变

C.明文和密钥的每个 bit 异或

D.明文根据密钥作移位

答案；A

解析：

20．AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效，已经替代 DES 成为

新的据加密标准。其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥

长度？

A.64bit

B.128bit

C.192bit

D.256bit

答案；A

解析：AES 密钥长度由 128 位、192 位、256 位三种。

21．以下对 Windows 系统的服务描述，正确的是：

A.Windows 服务必须是一个独立的可执行程序

B.Windows 服务的运行不需要用户的交互登陆

C.Windows 服务都是随系统启动而启动，无需用户进行干预

D.Windows 服务都需要用户进行登陆后，以登录用户的权限进行启动

答案；B

解析：

22．Alice 有一个消息 M 通过密钥 K2 生成一个密文 E（K2，M）然后用 K1 生成一个 MAC

为 C（K1，E（K2，M）），Alice 将密文和 MAC 发送给 Bob，Bob 用密钥 K1 和密文生成一个

MAC 并和 Alice 的 MAC 比较，假如相同再用 K2 解密 Alice 发送的密文，这个过程可以提供

什么安全服务？

A.仅提供数字签名

B.仅提供保密性

C.仅提供不可否认性

D.保密性和消息完整性

答案；D

解析：密文 E（K2，M）保障保密性，消息验证码 MAC 为 C（K1，E（K2，M））保障完整性。

23．以下关于 windowsSAM(安全账号管理器)的说法错误的是:

A.安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam

B.安全账号管理器(SAM)存储的账号信息是存储在注册表中

C.安全账号管理器(SAM)存储的账号信息 administrator 和 system 是可读和可写的

D.安全账号管理器(SAM)是 windows 的用户数据库系统进程通过 Security Accounts Manager

服务进行访问和操作

答案；C

解析：SAM 文件只有 system 可读和可写的

24．常见密码系统包含的元素是：

A.明文，密文，信道，加密算法，解密算法

B.明文，摘要，信道，加密算法，解密算法

C.明文，密文，密钥，加密算法，解密算法

D.消息，密文，信道，加密算法，解密算法

答案；C

剩余23页未读，继续阅读

评论收藏

内容反馈

版权申诉

xiaoli8748_软件开发

粉丝: 1w+
资源: 1436

高级软件人才培训专家-CISP-4练习题四卷

CISP全套考试题目带答案

CISP试题及复习资料.pdf

CISP课程课件以及考试模拟题（zhenti）

高级软件人才培训专家-CISP-5练习题五卷

高级软件人才培训专家-CISP-6练习题六卷

高级软件人才培训专家-CISP-3练习题三卷

高级软件人才培训专家-CISP-2练习题二卷

精品推荐-CISP信息安全工程师培训课件全套（共23章）.zip

51CTO下载-CNITSEC-CISP培训

51CTO下载-CNITSEC-CISP培训4

精品课件-CISP注册信息安全专业人员考试认证培训课件PPT全套（10章）.zip

CISP-DSG培训课件

考试类精品--CISP-PTE 考试环境源码.zip

cisp习题 cisp习题 cisp习题 最新

最新CISP教材--CISP0204网络安全

51CTO下载-CNITSEC-CISP培训2

51CTO下载-CNITSEC-CISP培训7

51CTO下载-CNITSEC-CISP培训5

51CTO下载-CNITSEC-CISP培训6

51CTO下载-CNITSEC-CISP培训8

51CTO下载-CNITSEC-CISP培训3

CISP_PTE练习题docker环境

最新版CISP教材-- CISP0202密码学应用

全国注册渗透测试专家（CISP-PTS）官方培训PPT资料。

CISP-信息安全练习题-2020

CISP-2-UNIX安全管理-CISP-2-Windows系统安全_2007-CISP-2-网络与通信安全_2007

【推荐】渗透测试工程师（CISP-PTE）认证培训课件资料合集（18份）.zip

最新CISP教材--CISP0203访问控制

CISP-PTE培训PPT讲义.zip

7CISP-练习题.doc

最新资源

cisp习题 cisp习题 cisp习题最新