CISP必须练习题100题（三）含解析.pdf

注册信息安全专业人员考试 模拟考试试卷 （三） （答题时间：90 分钟 数量：100 题 通过分数：70 分 题型：单选题，将正确答案写在题号前面） 软件安全开发 1．最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以 下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个? A．软件在Linux 下按照时，设定运行时使用nobody 用户运行实例 B．软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据 库备份操作员账号连接数据库 C．软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用 户账号连接数据库，该账号仅对日志表拥有权限 D.为了保证软件在 Windows 下能稳定的运行，设定运行权限为 system，确保系统运 行正常，不会因为权限不足产生运行错误 答案：D 软件安全开发 2．某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研 讨时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发 完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应 在软件安全开发阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家， 请选择对软件开发安全投入的准确说法? A．信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比 软件运行后的费用要低 B．软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员 进行代码修订更简单，因此费用更低 C．双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线 后再解决问题费用更低 D．双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问 题，解决的代价相同 答案：A 密码学应用 3．主机A 向主机B 发出的数据采用AH 或ESP 的传输模式对流量进行保护时，主机A 和主机B 的IP 地址在应该在下列哪个范围? A．10．0．0．0～10．255．255．255 B．172．16．0．0～172．31．255．255 C、192．168．0．0～192．168．255．255 D. 不在上述范围内 答案：D 解释：传输模式下不更换原有的 IP 包头，隧道模式需要新的 IP 包头（将原 IP 包头 进行封装）。 软件安全开 4．某电子商务网站最近发生了一起安全事件，出现了一个价值 1000 元的商品用 1 元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http 协议，攻 击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价 值1000 元的商品以1 元添加到购物车中，而付款时又没有验证的环节，导致以上问 题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是? A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题， 应对全网站进行安全改造，所有的访问都强制要求使用https B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位， 没有找到该威胁并采取相应的消减措施 C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商 品价格验证就可以解决 D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可 答案：A 软件安全开发 5．针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻 击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式： A．攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU 资源占用始终100％ B．攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过 发送大量的查询导致数据库响应缓慢 C．攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数， 导致并发连接数耗尽而无法访问 D.攻击者买通了IDC 人员，将某软件运行服务器的网线拔掉导致无法访问 答案：D 网络安全 6．以下哪个选项不是防火墙提供的安全功能? A．IP 地址欺骗防护 B．NAT C．访问控制 D．SQL 注入攻击防护 答案：D 操作系统安全 7．以下关于可信计算说法错误的是： A．可信的主要目的是要建立起主动防御的信息安全保障体系 B．可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念 C．可信的整体框架包含终端可信、终端应用可信、操