NISP一级二级题库练习题五卷.pdf

练习题第五卷

1．信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早

将网络安全上长升为国家安全战略，并制定相关战略计划。

A.中国

B.俄罗斯

C.美国

D.英国

答案：C

解析：

2．信息安全标准化工作是我国信息安全保障工作的重要组成部分之一，也是政府进行

宏观管理的重要依据，同时也是保护国家利益，促进产业发展的重要手段之一，关于我国标

准化工作，下面选项中描述错误的是（）

A.我国是在国家质量监督检验疫总局管理下，由国家标准化管理委员会统一管理全国标准化

工作，下设有专业技术委员会

B.事关国家安全利益，信息安全因此不能和国际标准相同，而是要通过本国组织和专家制定

标准，切实有效地保护国家利益和安全

C.我国归口信息安全方面标准是“全国信息安全标准化技术委员会”，为加强有关工作，2016

在其下设立“大数据安全特别工作组”

D.信息安全标准化工作是解决信息安全问题的重要技术支撑，其主要作业突出体现在能够确

保有关产品、设施的技术先进性、可靠性和一致性

答案：B

解析：信息安全的标准可以和国际标准相同，也可以不相同。包括同等采用方式和等效采用

方式等。

3．最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下

四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?

A.软件在Linux下按照时，设定运行时使用nobody用户运行实例

B.软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操

作员账号连接数据库

C.软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连

接数据库，该账号仅对日志表拥有权限

D.为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，

不会因为权限不足产生运行错误

答案：D

解析：SYSTEM权限是最大权限，违反了最小特权的原则。

4．某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元

被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过

伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000元的商

品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问

题原因分析及解决措施。最正确的说法应该是?

A.该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网

站进行安全改造，所有的访问都强制要求使用https

B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到

该威胁并采取相应的消减措施

C.该问题产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证

就可以解决

D.该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

答案：A

解析：根据题干是采用HTTP的协议（明文传输）导致的，则答案为A。

5．以下哪个选项不是防火墙提供的安全功能?

A.IP地址欺骗防护

B.NAT

C.访问控制

D.SQL注入攻击防护

答案：D

解析：题干中针对的是传统防火墙或者说网络防火墙，ABC都是传统防火墙能提供的服务，

而SQL注入防护是WAF的主要功能。

6．以下关于可信计算说法错误的是：

A.可信的主要目的是要建立起主动防御的信息安全保障体系

B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念

C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交

易等应用系统可信

D.可信计算平台出现后会取代传统的安全防护体系和方法

答案：D

解析：可信计算平台出现后不会取代传统的安全防护体系和方法。

7．Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，

属于admin组中user用户，以下哪个是该文件正确的模式表示?

A.-rwxr-xr-x3useradmin1024Sep1311：58test

B.drwxr-xr-x3useradmin1024Sep1311：58test

C.-rwxr-xr-x3adminuser1024Sep1311：58test

D.drwxr-xr-x3adminuser1024Sep1311