信息安全工程师综合练习（试卷六）

1.在TCP 三次握手中，对于报文SYN(seq=b,ack=a+1)，下列说法正确的有？( )（0.52分）
- A.对序号为b 的数据包进行确认
- B.对序号为a+1 的数据包进行确认
- C.下一个希望收到的数据包的序号为b
- D.下一个希望收到的数据包的序号为a+1
- 标准答案：D
2.下列关于USG防火墙的域间包过滤策略Policy，说法正确的是？( )（0.52分）
- A.域间包过滤Policy 按照排列顺序匹配，排列在前的优先匹配
- B.域间包过滤Policy 按照ID 号码大小匹配，号码小的优先匹配
- C.域间包过滤Policy 按照ID 号码大小匹配，号码大的优先匹配
- D.域间包过滤策略按照序号大小自动排列，当改变排列顺序，号码也跟着改变
- 标准答案：A
3.如下访问控制列表的含义是：( )[USG(或Eudemon)] acl number 3100[USG(或Eudemon)-acl-3100] rule deny icmp source 10.1.10.10 0.0.255.255 destination any icmp-type host-unreachable（0.52分）
- A.规则序列号是3100，禁止到10.1.10.10 主机的所有主机不可达报文
- B.规则序列号是3100，禁止到10.1.0.0/16 网段的所有主机不可达报文
- C.规则序列号是3100，禁止从10.1.0.0/16 网段来的所有主机不可达报文
- D.规则序列号是3100，禁止从10.1.10.10 主机来的所有主机不可达报文
- 标准答案：C
4.以下哪个技术是最优地解决某些应用业务中断问题（如某Oracle 数据库应用因超期无数据流导致连接中断）？( )（0.52分）
- A.配置某业务长连接
- B.配置默认会话老化时间
- C.优化包过滤规则
- D.开启分片缓存
- 标准答案：A
5. 在生成系统帐号时，系统管理员应该分配给合法用户一个( )，用户在第一次登录时应更改口令。（0.52分）
- A.唯一的口令
- B.登录的位置
- C.使用的说明
- D.系统的规则
- 标准答案：A
6.以下哪个IKE 交换模式不能提供身份保护功能？( )（0.52分）
- A.主模式
- B.野蛮模式
- C.快速模式
- D.被动模式
- 标准答案：B
7.安全审计跟踪是( ).（0.52分）
- A.安全审计系统检测并追踪安全事件的过程
- B.安全审计系统收集易于安全审计的数据
- C.人利用日志信息进行安全事件分析和追溯的过程
- D.对计算机系统中的某种行为的详尽跟踪和观察
- 标准答案：A
8.在传输模式IPSec 应用情况中，以下哪个区域数据报文可受到加密安全保护？( )（0.52分）
- A.网络层及上层数据报文
- B.原IP 报文头
- C.新IP 报文头
- D.传输层及上层数据报文
- 标准答案：D
9.下述关于安全扫描和安全扫描系统的描述错误的是( ).（0.52分）
- A.安全扫描在企业部署安全策略中处于非常重要地位
- B.安全扫描系统可用于管理和维护信息安全设备的安全
- C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
- D.安全扫描系统是把双刃剑
- 标准答案：B
10.在配置ACL 时需要使用到反掩码，请选出下列关于反掩码说法正确的选项。( )（0.52分）
- A.反掩码中取0 的位，表示网段中对应位需要进行匹配比较
- B.反掩码中取1 的位，表示网段中对应位需要进行匹配比较
- C.反掩码不能全取值为0
- D.反掩码不能全取值为1
- 标准答案：A
11.为了使出差移动用户能访问企业内部文件服务器，可以采用以下哪个最优SSL VPN 功能来实现？( )（0.52分）
- A.Web 代理
- B.文件共享
- C.端口转发
- D.网络扩展
- 标准答案：B
12.防火墙能够( )（0.52分）
- A.防范恶意的知情者
- B.防范通过它的恶意连接
- C.防备新的网络安全问题
- D.完全防止传送已被病毒感染的软件和文件
- 标准答案：B
13. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的 ( )（0.52分）
- A.强制保护级
- B.监督保护级
- C.指导保护级
- D.自主保护级
- 标准答案：A
14.在防火墙中，detect ftp 命令配置在哪个模式下？( )（0.52分）
- A.系统模式
- B.接口模式
- C.域模式
- D.域间模式
- 标准答案：D
15. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的( ).（0.52分）
- A.强制保护级
- B.监督保护级
- C.指导保护级
- D.自主保护级
- 标准答案：C
16. 根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS7799中与此有关的一个重要方面就是 ( )（0.52分）
- A.访问控制
- B.业务连续性
- C.信息系统获取、开发与维护
- D.组织与人员
- 标准答案：C
17. 根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行( ).（0.52分）
- A.逻辑隔离
- B.物理隔离
- C.安装防火墙
- D.VLAN划分
- 标准答案：B
18.对于人员管理的描述错误的是 ( ).（0.52分）
- A.人员管理是安全管理的重要环节
- B.安全授权不是人员管理的手段
- C.安全教育是人员管理的有力手段
- D.人员管理时，安全审查是必须的
- 标准答案：B
19.下列关于防火墙的错误说法是 ( ).（0.52分）
- A.防火墙工作在网络层
- B.对IP数据包进行分析和过滤
- C.重要的边界保护机制
- D.部署防火墙，就解决了网络安全问题
- 标准答案：D
20.公钥密码基础设施PKI解决了信息系统中的( )问题。（0.52分）
- A.身份信任
- B.权限管理
- C.安全审计
- D.加密
- 标准答案：A
21.使用一对一或者多对多方式的NAT 转换（非PAT），当所有外部IP 地址均被使用（使用NAT 技术访问互联网应用场景），后续的内网用户如需上网将会发生什么情况？( )（0.52分）
- A.挤掉前一个用户，强制进行NAT 转换上网
- B.后续的内网用户将不能上网
- C.自动把NAT 切换成PAT 后上网
- D.将报文同步到其他NAT 转换设备进行NAT 转换
- 标准答案：B
22.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是( )（0.52分）
- A.防火墙隔离
- B.安装安全补丁程序
- C.专用病毒查杀工具
- D.部署网络入侵检测系统
- 标准答案：B
23.在安全评估过程中，采取( )手段，可以模拟黑客入侵过程，检测系统安全脆弱。（0.52分）
- A.问卷调查
- B.人员访谈
- C.渗透性测试
- D.手工检查
- 标准答案：C
24.对非军事DMZ而言，正确的解释是( )（0.52分）
- A.DMZ是一个真正可信的网络部分
- B.DMZ网络访问控制策略决定允许或禁止进入DMZ通信
- C.允许外部用户访问DMZ系统上合适的服务
- D.以上3项都是
- 标准答案：C
25.为了降低风险，不建议使用的Internet服务是( )。（0.52分）
- A.Web服务
- B.外部访问内部系统
- C.内部访问Internet
- D.FTP服务
- 标准答案：B
26.对攻击可能性的分析在很大程度上带有( ).（0.52分）
- A.客观性
- B.主观性
- C.盲目性
- D.上面3项都不是
- 标准答案：B
27.关于信息安全的说法错误的是( )。（0.52分）
- A.包括技术和管理两个主要方面
- B.策略是信息安全的基础
- C.采取充分措施，可以实现绝对安全
- D.保密性、完整性和可用性是信息安全的目标
- 标准答案：C
28. 建立计算机及其网络设备的物理环境，必须要满足《建筑与建筑群综合布线系统工程设计规范》的要求，计算机机房的室温应保持在( )（0.52分）
- A.10℃至25℃之间
- B.15℃至30℃之间
- C.8℃至20℃之间
- D.10℃至28℃之间
- 标准答案：A
29.IPSec需要使用一个称为（）的信令协议来建立两台主机之间的逻辑连接。（0.52分）
- A.AH认证头部协议
- B.SA安全关联组协议
- C.PGP隐私
- D.TLS传输安全协议
- 标准答案：B
30.下列哪个节点在UE开机附着过程中为其分配IP地址（）（0.52分）
- A.eNodeB
- B.MME
- C.P-GW
- D.S-GW
- 标准答案：C
31.链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行加密保护，其处理的对象是( )。（0.52分）
- A.比特流
- B.IP数据包
- C.数据帧
- D.应用数据
- 标准答案：C
32.防火墙把网络划分为几个不同的区域，一般把对外提供网络服务的设备（如WWW服务器、FTP服务器）放置于( )区域。（0.52分）
- A.信任网络
- B.非信任网络
- C.半信任网络
- D.DMZ（非军事化区）
- 标准答案：D
33.在构建信息安全管理体系中，应建立起一套动态闭环的管理流程，这套流程指的是( ).（0.52分）
- A.评估-响应-防护-评估
- B.检测-分析-防护-检测
- C.评估-防护-响应-评估
- D.检测-评估-防护-检测
- 标准答案：A
34.某商业银行在A地新增一家机构，根据《计算机信息安全保护等级划分准则》，其新成立机构的信息安全保护等级属于( )（0.52分）
- A.用户自主保护级
- B.系统审计保护级
- C.结构化保护级
- D.安全标记保护级
- 标准答案：D
35.防止用户被冒名所欺骗的方法是：（）（0.52分）
- A.对信息源发方进行身份验证
- B.进行数据加密
- C.对访问网络的流量进行过滤和保护
- D.采用防火墙
- 标准答案：A
36.SQL Server不提供字段粒度的访问控制。( )（0.52分）
- 正确
  错误
- 标准答案：错误
37.数据库加密适宜采用公开密钥密码系统。( )（0.52分）
- 正确
  错误
- 标准答案：正确
38.Httpd.conf是Web服务器的主配置文件，由管理员进行配置，Srm.conf是Web服务器的资源配置文件，Access.conf是设置访问权限文件。( )（0.52分）
- 正确
  错误
- 标准答案：正确
39.UNIX／Linux系统中查看进程信息的who命令用于显示登录到系统的用户情况，与w命令不同的是，who命令功能更加强大，who命令是w命令的一个增强版。( )（0.52分）
- 正确
  错误
- 标准答案：错误
40.GRE VPN 本身不具有提供对数据进行完整性验证和保密性传输能力。( )（0.52分）
- 正确
  错误
- 标准答案：正确
41.不能向防火墙Local 安全区域添加任何接口，即防火墙接口本身就属于Local 安全区域( )（0.52分）
- 正确
  错误
- 标准答案：正确
42.在域间包过滤中，防火墙数据流的入方向（Inbound）是指数据由高安全区域向低安全区域传输的方向。( )（0.52分）
- 正确
  错误
- 标准答案：错误
43.代理防火墙需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。( )（0.52分）
- 正确
  错误
- 标准答案：正确
44.在WLAN 配置中，如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。( )（0.52分）
- 正确
  错误
- 标准答案：正确
45.IKE 协议是建立在由Internet 安全联盟和密钥管理协议ISAKMP 定义的框架上。它能够为IPSec 提供自动协商交换密钥、建立安全联盟的服务，以简化IPSec 的使用和管理。( )（0.52分）
- 正确
  错误
- 标准答案：正确
46.对称加密算法与非对称加密算法主要区别在于算法不同，但都是用同一个密钥对信息进行加密与解密。( )（0.52分）
- 正确
  错误
- 标准答案：错误
47.状态检测防火墙可以检测TCP 协议，但不能检测UDP，因为UDP 是面对无连接的协议。( )（0.52分）
- 正确
  错误
- 标准答案：错误
48.特征代码技术是检测已知计算机病毒的最简单、代价最小的技术。( )（0.52分）
- 正确
  错误
- 标准答案：正确
49.在安全模式下木马程序不能启动。( ) （0.52分）
- 正确
  错误
- 标准答案：错误
50.计算机病毒可能在用户打开“txt”文件时被启动。( )（0.52分）
- 正确
  错误
- 标准答案：正确
51.隔离网闸采用的是物理隔离技术。( )（0.52分）
- 正确
  错误
- 标准答案：正确
52.x-scan能够进行端口扫描。( )（0.52分）
- 正确
  错误
- 标准答案：正确
53.防火墙提供的透明工作模式，是指防火墙工作在数据链路层，类似于一个网桥。因此，不需要用户对网络的拓扑做出任何调整就可以把防火墙接入网络。( )（0.52分）
- 正确
  错误
- 标准答案：正确
54.网络地址端口转换(NAPT)把内部地址映射到外部网络的一个IP地址的不同端口上。( )（0.52分）
- 正确
  错误
- 标准答案：正确
55.虚拟专用网(Virtual Private Network)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过隧道（通道）连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络。( )（0.52分）
- 正确
  错误
- 标准答案：正确
56.IPSEC 安全协议AH 和ESP 的区别在于AH 能实现数据加密，ESP 支持的数据验证范围更广。( )（0.52分）
- 正确
  错误
- 标准答案：错误
57.状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。( )（0.52分）
- 正确
  错误
- 标准答案：正确
58.包过滤防火墙不检查会话状态也不分析数据内容，安全性不能得到充分保障。( )（0.52分）
- 正确
  错误
- 标准答案：正确
59.对称加密算法和非对称加密算法对密钥的分发方式比较类似，都是通过把密钥发送给接收方进行信息的加解密，发送方法可采用E-mail 等方式。( )（0.52分）
- 正确
  错误
- 标准答案：错误
60.域间包过滤的匹配原则为：先查找域间Policy，如果没有匹配的策略，不会再查找域间其它策略，而是直接将数据包丢弃，拒绝通过。( )（0.52分）
- 正确
  错误
- 标准答案：错误
61.包过滤防火墙在应用层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。( )（0.52分）
- 正确
  错误
- 标准答案：错误
62.路由器收到数据报文时，若没有找到匹配的具体路由条目时，可按默认路由表进行转发。( )（0.52分）
- 正确
  错误
- 标准答案：正确
63.在同一种加密算法条件下，密钥长度越长需破解的成本也就越高。( )（0.52分）
- 正确
  错误
- 标准答案：正确
64.不管在什么情况下？USG防火墙的2 个接口之间数据包流动均必须经过域间包过滤处理？( )（0.52分）
- 正确
  错误
- 标准答案：错误
65.在某些场景下，既要对源IP 地址进行转换，又要对目的IP 地址进行转换，被称为双向NAT。（）（0.52分）
- 正确
  错误
- 标准答案：正确
66.GRE Tunnel 两端设备若配置了识别关键字，那么识别关键字必须一致才能通过验证。( )（0.52分）
- 正确
  错误
- 标准答案：正确
67.高级ACL 的匹配，可以通过源IP 地址、目的IP 地址、源MAC 地址、目的MAC 地址、协议等维度来进行流量匹配。( )（0.52分）
- 正确
  错误
- 标准答案：错误
68.对于状态检测防火墙，如果TCP 报文不是首包，将不会进行域间包过滤检查。( )（0.52分）
- 正确
  错误
- 标准答案：正确
69.VPN 隧道技术是指通过加密算法（如DES、3DES）来实现数据在网络中传输不被截取。( )（0.52分）
- 正确
  错误
- 标准答案：错误
70.写出如何在USG防火墙配置L2TP？（2.6分）
- 答：
- 标准答案：
71.有哪些生物特征可以作为身份认证的依据，这种认证的过程是怎样的？（2.6分）
- 答：
- 标准答案：
72.访问控制有几种常用的实现方法？它们各有什么特点？（2.6分）
- 答：
- 标准答案：
73.解释什么是数字水印？（2.6分）
- 答：
- 标准答案：
74.简述欺骗攻击的种类及其原理？（2.6分）
- 答：
- 标准答案：
75.举例配置防火墙NAT 技术，实现企业内部用户访问internet？（2.6分）
- 答：
- 标准答案：
76.请你利用认证技术设计两套系统，一套用于实现商品的真伪查询，另一套用于防止电脑彩票伪造问题？（2.6分）
- 答：
- 标准答案：
77.什么是网络蠕虫？它的传播途径是什么？（2.6分）
- 答：
- 标准答案：
78.什么是证书链？根CA证书由谁签发？（2.6分）
- 答：
- 标准答案：
79.有哪两种主要的存储口令的方式，各是如何实现口令验证的？（2.6分）
- 答：
- 标准答案：
80.列举并解释ISO/OSI中定义的5种标准的安全服务？（2.6分）
- 答：
- 标准答案：
81.请解释5种“非法访问”攻击方式的含义？（2.6分）
- 答：
- 标准答案：
82.请解释5种“窃取机密攻击”方式的含义？（2.6分）
- 答：
- 标准答案：
83.试述RAID 0、RAID 1、RAID 3、RAID 5方案。（2.6分）
- 答：
- 标准答案：
84.利用智能卡进行的双因素的认证方式的原理是什么？（2.6分）
- 答：
- 标准答案：