我的NISP二級之路-03

一.ISMS

二.IP

三.http

四.防火墻

五.文件

解析

六.攻擊

解析

七.風險管理工程

八.信息系統安全保護等級

九.我國信息安全保障

一.ISMS

? ? ? ? 1.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是：

A．組織內的信息安全方針文件、信息安全規章制度文件、信息安全相關操作規范文件等文

檔是組織的工作標準，也是ISMS審核的依據

B．組織內的業務系統日志文件、風險評估報告等文檔是對上一級文件的執行和記錄，對這些記錄不需要保護和控制

C.組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發布日期、編寫人、審批人、主要修訂等內容

D．層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立

答案：B

解釋：信息安全管理體系運行記錄需要保護和控制。

? ? ? ? 2.關于信息安全管理體系（Information Security Management Systems,ISMS）,描述錯誤的是（）。

A．信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構、方針、活動、職責及相關實踐要素

B．管理體系（Management Systems）是為達到組織目標的策略、程序、指南和相關資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領域的應用

C．概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分

D．同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構，健全信息安全管理制度、構建信息安全技術防護體系和加強人員的安全意識等內容

答案：A

解釋：完成安全目標所用各類安全措施的體系。

????????3.若一個組織聲稱自己的ISMS符合ISO/TEC27001或GB22080標準要求，其信息安全控制措施通常在以下方面實施常規控制，不包括哪一項（）

A、信息安全方針、信息安全組織、資產管理

B、人力資源安全、物理和環境安全、通信和操作管理

C、訪問控制、信息系統獲取、開發和維護、符合性

D、規劃與建立ISMS

答案：D

解釋：“規劃與建立ISMS”屬于ISMS的工作階段，不屬于措施。

? ? ? ? 4.若一個組織聲稱自己的ISMS符合ISO/IEC 27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環境安全方面實施常規控制。物理和環境安全領域包括安全區域和設備安全兩個控制目標。安全區域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區域內并受到相應保護。該目標可以通過以下控制措施來實現，不包括哪一項

? A．物理安全邊界、物理入口控制

? B．辦公室、房間和設施的安全保護。外部和環境威脅的安全防護

? C. 在安全區域工作。公共訪問、交接區安全

? D．人力資源安全

答案：D

二.IP

? ? ? ? 1.主機A 向主機B發出的數據采用AH或ESP的傳輸模式對經過互聯網的數據流量進行保護時，主機A和主機B 的IP地址在應該在下列哪個范圍?

A．10．0．0．0～10．255．255．255

B．172．16．0．0～172．31．255．255

C、192．168．0．0～192．168．255．255

D. 不在上述范圍內

答案：D

解釋：采用傳輸模式則沒有地址轉換，那么A、B主機應為公有地址。

? ? ? ? 2.如圖所示，主機A向主機B發出的數據采用AH或者ESP的傳輸模式對流量進行保護時，主機A和主機B的IP地址在應該在下列哪個范圍？

A.10.0.0.0~10.255.255.255?????

B.172.16.0.0~172.31.255.255

C.192.168.0.0~192.168.255.255?

D.不在上述范圍內

答案：D

解析

當采用 AH（認證頭）或 ESP（封裝安全載荷）傳輸模式時，保護的是端到端的流量，此時 IP 地址應該是公網 IP 地址。

而選項 A（10.0.0.0 - 10.255.255.255 ）、B（172.16.0.0 - 172.31.255.255 ）、C（192.168.0.0 - 192.168.255.255 ）均屬于私有 IP 地址段。私有 IP 地址用于內部網絡，不能直接在公網上使用。所以主機 A 和主機 B 的 IP 地址不在上述范圍內，答案選 D。

三.http

? ? ? ? 1.某電子商務網站最近發生了一起安全事件，出現了一個價值1000 元的商品用1元被買走的情況，經分析是由于設計時出于性能考慮，在瀏覽時使用Http協議，攻擊者通過偽造數據包使得向購物車添加商品的價格被修改．利用此漏洞，攻擊者將價值1000 元的商品以1元添加到購物車中，而付款時又沒有驗證的環節，導致以上問題，對于網站的這個問題原因分析及解決措施。最正確的說法應該是?

A．該問題的產生是由于使用了不安全的協議導致的，為了避免再發生類似的闖題，應對全網站進行安全改造，所有的訪問都強制要求使用https

B．該問題的產生是由于網站開發前沒有進行如威脅建模等相關工作或工作不到位，沒有找到該威脅并采取相應的消減措施

C．該問題的產生是由于編碼缺陷，通過對網站進行修改，在進行訂單付款時進行商品價格驗證就可以解決

D．該問題的產生不是網站的問題，應報警要求尋求警察介入，嚴懲攻擊者即可

答案：A

解釋：根據題干是采用HTTP的協議導致的，則答案為A。

四.防火墻

功能:

訪問控制：依據設定規則，對進出網絡的數據包（基于 IP、端口、協議等）篩選，允許或禁止特定流量，管控網絡訪問。
地址轉換（NAT）：實現私有與公網 IP 轉換，隱藏內部網絡拓撲和 IP 細節，提升安全性。
安全防護：抵御 IP 欺騙等常見網絡攻擊，充當屏障防范外部非法入侵，但對復雜應用層攻擊防護較弱。
審計日志：記錄網絡流量相關信息，便于管理員分析網絡狀況、排查故障、發現安全威脅。
集中管理：支持統一配置安全策略，還可進行用戶身份等認證管理，提高管理效率與策略一致性。
增強保密：防止內部敏感信息外泄，避免攻擊者利用其發動攻擊。
VPN 支持：部分防火墻可構建 VPN，實現遠程安全接入或分支間安全互聯。

? ? ? ? 1.以下哪個選項不是防火墻提供的安全功能?

A．IP地址欺騙防護

B．NAT

C．訪問控制

D．SQL注入攻擊防護

答案：D

解釋：題干中針對的是傳統防火墻，而SQL注入防護是WAF的主要功能。

WAF 即 Web 應用防火墻，也叫網站應用級入侵防御系統。它通過執行針對 HTTP/HTTPS 的安全策略，專門為 Web 應用提供保護，彌補傳統防火墻等對 Web 應用攻擊防護不足的問題

? ? ? ? 2.某網絡安全公司基于網絡的實時入侵檢測技術，動態監測來自于外部網絡和內部網絡的所有訪問行為。當檢測到來自內外網絡針對或通過防火墻的攻擊行為，會及時響應，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統的抗攻擊能力，更有效地保護了網絡資源，提高了防御體系級別。但入侵檢測技術不能實現以下哪種功能（）。

A．檢測并分析用戶和系統的活動

B．核查系統的配置漏洞，評估系統關鍵資源和數據文件的完整性

C．防止IP地址欺騙

D．識別違反安全策略的用戶活動

答案：C

解釋：入侵檢測技術是發現安全攻擊，不能防止IP欺騙。

? ? ? ? 3.在網絡信息系統建設中部署防火墻，往往用于提高內部網絡的安全防護能力。某公司準備部署一臺防火墻來保護內網主機，下列選項中部署位置正確的是（）

內網主機——交換機——防火墻——外網
防火墻——內網主機——交換機——外網
內網主機——防火墻——交換機——外網
防火墻——交換機——內網主機——外網

答案：A

? ? ? ? 4.防火墻是網絡信息系統建設中常采用的一類產品，它在內外網隔離方面的作用是（）。

A.既能物理隔離，又能邏輯隔離

B.能物理隔離，但不能邏輯隔離

C.不能物理隔離，但是能邏輯隔離

D.不能物理隔離，也不能邏輯隔離

答案：C

五.linux系統

在 Linux 系統中，文件和目錄的權限分為讀（Read）、寫（Write）和執行（Execute）三種，以下是對它們的詳細解釋：

讀權限（r）
- 文件：具有讀權限的用戶可以查看文件的內容，例如使用?cat、more?或?less?等命令來讀取文件的文本信息。
- 目錄：用戶能夠列出目錄中的文件和子目錄名稱，使用?ls?命令時可以看到目錄下的內容列表。
寫權限（w）
- 文件：允許用戶修改文件的內容，可以對文件進行編輯、添加或刪除數據等操作。例如使用文本編輯器打開文件并保存修改。
- 目錄：用戶可以在該目錄下創建新的文件和子目錄，也可以刪除目錄中的文件和子目錄，還能對目錄中的文件進行重命名操作。
執行權限（x）
- 文件：如果文件是可執行程序（如二進制程序或腳本），具有執行權限的用戶可以運行該程序。對于腳本文件，需要同時具有讀和執行權限才能正常運行，因為執行腳本時需要讀取腳本內容。
- 目錄：用戶可以進入該目錄，即使用?cd?命令切換到該目錄下。同時，在執行一些需要遍歷目錄的操作時，如查找文件或遞歸訪問子目錄，也需要對目錄具有執行權限。

? ? ? ?

???????? 1.Linux系統對文件的權限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin 組中user用戶，以下哪個是該文件正確的模式表示?

A. - rwx r-x r-x 3 user admin 1024 Sep 13 11：58 test

B. d rwx r-x r-x 3 user admin 1024 Sep 13 11：58 test

C．- rwx r-x r-x 3 admin user 1024 Sep 13 11：58 test

D．d rwx r-x r-x 3 admin user1024 Sep 13 11：58 test

答案：A

解析

首先，文件類型以第一個字符表示，“-” 表示普通文件，“d” 表示目錄。本題中明確是文件，所以排除 B 和 D 選項，它們以 “d” 開頭，代表目錄。
其次，文件權限的表示中，緊跟文件類型字符后的三組字符分別表示文件所有者、所屬組以及其他用戶的權限。“rwx” 表示讀、寫、執行權限，“r - x” 表示讀和執行權限。本題中文件屬于 admin 組中的 user 用戶，所以用戶（所有者）是 user，所屬組是 admin，C 選項中把用戶和所屬組寫反了，也不正確。
最后，模式位后面的數字 “3” 表示硬鏈接數，“1024” 表示文件大小，“Sep 13 11:58” 表示文件的最后修改時間，“test” 是文件名，這些信息在 A 選項中的排列順序和表示都是正確的。

? ? ? ? 2.某linux系統由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發現被攻擊后，管理員更改了root口令，并請安全專家對系統進行檢測，在系統中發現有一個文件的權限如下 -r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh請問以下描述哪個是正確的：

A．該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執行

B．該文件是一個正常文件，是test用戶使用的shell,但test用戶無權執行該文件

C．該文件是一個后門程序，該文件被執行時，運行身份root ,test用戶間接獲得了root 權限

D．該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執行權限為test

答案：C

解釋：根據題干則答案為C。

解析：

文件類型和基本權限分析：
- 首先，根據文件權限表示的第一個字符 “-”，可以確定該文件是一個普通文件（如果是 “d” 則表示目錄）。
- 緊跟 “-” 后面的權限字符分為三組，“r-s--x--x”。第一組 “r-s” 表示文件所有者（這里是 test 用戶）的權限。“r” 代表讀權限，“s” 表示設置了 setuid 位（當文件具有 setuid 權限時，文件所有者是 root 且設置了 setuid 位，那么其他用戶執行該文件時，會以 root 的權限來運行該文件），原本這里正常的執行權限 “x” 被 “s” 替代，說明這個文件在執行時權限特殊。“--x” 表示文件所屬組（tdst 組）的權限，只有執行權限。最后一組 “--x” 表示其他用戶的權限，同樣只有執行權限。
選項分析：
- A 選項：說 test 不能讀該文件，只能執行。但從權限 “r-s” 可知，test 用戶是有讀權限的，所以 A 選項錯誤。
- B 選項：說 test 用戶無權執行該文件，而實際上 “r-s” 中 “s” 替代了執行權限 “x”，且后面兩組權限中都有執行權限 “x”，說明 test 用戶是可以執行該文件的，B 選項錯誤。
- C 選項：由于該文件設置了 setuid 位，且所有者雖然是 test，但結合前面分析的 setuid 權限特性，當該文件被執行時，運行身份是 root（因為是設置了 setuid 位且原所有者可能是 root，這里從攻擊者獲得 root 權限并可能做了權限修改等情況推測），那么 test 用戶執行這個文件時就間接獲得了 root 權限，這種情況很可能是攻擊者放置的后門程序，以便后續繼續獲取 root 權限，C 選項正確。
- D 選項：該文件設置了 setuid 位，執行時運行身份不是 test 用戶本身的權限，而是以 root 權限（根據 setuid 的特性）來運行，所以 D 選項錯誤。

? ? ? ? 3.Apache Web服務器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：

A. httpd.conf

B．srL conf

C．access．conf

D．Inet.conf

答案：A

解析

選項 A：httpd.conf是 Apache Web 服務器的主配置文件，用于配置服務器的整體運行參數，如服務器啟動參數、模塊加載、虛擬主機配置等
選項 B：ssl.conf主要用于配置 Apache 服務器的 SSL/TLS 相關設置，以實現安全的 HTTPS 連接，與控制用戶訪問目錄的功能無關。
選項 C：access.conf這個配置文件主要用于控制用戶對 Apache 服務器上目錄的訪問權限，例如可以設置哪些 IP 地址或用戶能夠訪問特定的目錄。
選項 D：Inet.conf不是 Apache Web 服務器的標準配置文件，與 Apache 的目錄訪問控制無關。

? ? ? ? 4.下圖是安全測試人員連接某遠程主機時的操作界面，請您仔細分析該圖，下面分析推理正確的是（）

A.安全測試人員鏈接了遠程服務器的220端口

B.安全測試人員的本地操作系統是Linux

C.遠程服務器開啟了FTP服務，使用的服務器軟件名FTP Sｅｒｖｅｒ

D.遠程服務器的操作系統是ｗｉｎｄｏｗｓ系統

答案：D

? ? ? ? 5.Linux系統的安全設置中，對文件的權限操作是一項關鍵操作。通過對文件權限的設置，能夠保障不同用戶的個人隱私和系統安全。文件fib.c的文件屬性信息如下圖所示，小張想要修改其文件權限，為文件主增加執行權限，并刪除組外其他用戶的寫權限，那么以下操作中正確的是（）

A.#chmod u+x, a-w fib.c

B.#chmod ug+x, o-w fib.c

C.#chmod 764 fib.c

D.#chmod 467 fib.c

答案：C

六.攻擊

? ? ? ? 1.通過向被攻擊者發送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網絡信息流時，這種攻擊稱之為：

A．Land攻擊

B．Smurf 攻擊

C．Ping of Death 攻擊

D. ICMP Flood

答案：D

解析

選項 A：Land 攻擊是一種通過向目標主機發送源地址和目標地址均為目標主機 IP 地址的欺騙性數據包，導致目標主機陷入自我循環響應，從而消耗系統資源的攻擊方式，與 ICMP 回應請求無關。
選項 B：Smurf 攻擊是利用 ICMP 協議的特性，通過向一個子網的廣播地址發送 ICMP 回應請求數據包，且源地址偽裝成被攻擊目標的地址，使得子網中的所有主機都向被攻擊目標發送 ICMP 回應數據包，形成流量洪泛，達到攻擊目的。它與直接向被攻擊者發送大量 ICMP 回應請求的攻擊方式不同。
選項 C：Ping of Death 攻擊是通過發送超過規定大小的 ICMP 數據包（通常是將數據包大小設置超過 65536 字節），導致目標主機在處理該數據包時出現緩沖區溢出等問題，進而使系統崩潰或出現異常，并非通過大量 ICMP 回應請求消耗資源。
選項 D：ICMP Flood 攻擊就是通過向被攻擊者發送大量的 ICMP 回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者無法處理有效的網絡信息流，符合題目描述。

? ? ? ? 2.以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊

A．Land????? B．UDP Flood????? C．Smurf????? D.Teardrop

答案：D

解析

選項 A：Land 攻擊通過向目標主機發送源地址和目標地址均為目標主機 IP 地址的欺騙性數據包，使目標主機陷入自我循環響應，消耗系統資源，會造成流量異常，屬于流量型拒絕服務攻擊。
選項 B：UDP Flood 攻擊是利用 UDP 協議的無連接特性，向目標主機發送大量的 UDP 數據包，導致目標主機忙于處理這些數據包而無法正常提供服務，會產生大量流量，屬于流量型拒絕服務攻擊。
選項 C：Smurf 攻擊利用 ICMP 協議，向子網廣播地址發送偽裝源地址為被攻擊目標的 ICMP 回應請求數據包，使子網內所有主機向被攻擊目標發送回應數據包，形成流量洪泛，屬于流量型拒絕服務攻擊。
選項 D：Teardrop 攻擊是通過發送畸形的 IP 分片數據包，使目標主機在重組數據包時出現錯誤，導致系統崩潰或掛起，它主要是利用了系統在處理數據包分片時的漏洞，而不是通過大量流量來攻擊，不屬于流量型拒絕服務攻擊

? ? ? ? 3.近年來利用DNS劫持攻擊大型網站惡性攻擊事件時有發生，防范這種攻擊比較有效的方法是?

A．加強網站源代碼的安全性

B．對網絡客戶端進行安全評估

C. 協調運營商對域名解析服務器進行加固

D．在網站的網絡出口部署應用級防火墻

答案：C

解釋：協調運營商對域名解析服務器進行加固是DNS防護的主要手段。

? ? ? ? 4.2016年9月，一位安全研究人員在Google Cloud IP上通過掃描，發現了完整的美國路易斯安邦州290萬選民數據庫。這套數據庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態、注冊日期與編號、正黨代名和密碼，以防止攻擊者利用以上信息進行（）攻擊。

A、默認口令???? ???????????????????????B、字典

C、暴力??????? ????????????????????????D、XSS

答案：B

? ? ? ? 5.某社交網站的用戶點擊了該網站上的一個廣告。該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網站，旅游網站則獲得了他的社交網絡信息。雖然該用戶沒有主動訪問該旅游網站，但旅游網站已經截獲了他的社交網絡信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網站的廣告后面，截獲用戶的個人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）

A.分布式拒絕服務攻擊

B、跨站腳本攻擊

C、SQL注入攻擊

D、緩沖區溢出攻擊

答案：B

七.風險管理工程

信息系統風險管理通常包括以下主要過程：

背景建立：確定信息系統的邊界、識別相關資產、明確組織的風險管理目標和策略等，為后續工作提供基礎。
風險評估：識別信息系統面臨的各種風險，分析風險發生的可能性和影響程度，評價風險等級。
風險處理：根據風險評估結果，選擇和實施合適的風險處理措施，如風險規避、降低、轉移或接受等，包括安全產品選擇和控制措施的實施。
批準監督：對風險管理過程的結果進行審批，監督風險處理措施的執行情況，確保風險管理工作有效，必要時對風險管理過程進行調整和改進。

? ? ? ? 1,在信息系統設計階段，“安全產品選擇”處于風險管理過程的哪個階段?

A．背景建立?????? B．風險評估??????? C．風險處理??????? D．批準監督

答案：C

解釋：“安全產品選擇”是為了進行風險處理。

? ? ? ? 2.王工是某單位的系統管理員，他在某次參加了單位組織的風險管理工作時，根據任務安排，他使用了Nessus工具來掃描和發現數據庫服務器的漏洞，根據風險管理的相關理論，他這個是掃描活動屬于下面哪一個階段的工作（）

A、風險分析????? B、風險要素識別???????? C、風險結果判定?????? D、風險處理

答案：B

解釋：漏洞掃描屬于風險要素的脆弱性要素識別，風險要素包括資產、威脅、脆弱性、安全措施。

八.信息系統安全保護等級

一級（自主保護級）：信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。無需備案，對測評周期無要求，不過也有建議每兩年進行一次等保測評。
二級（指導保護級）：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。需在公安部門備案，建議每兩年測評一次。
三級（監督保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。需在公安部門備案，每年測評一次。
四級（強制保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。需在公安部門備案，每半年測評一次。
五級（專控保護級）：信息系統受到破壞后，會對國家安全造成特別嚴重損害。需在公安部門備案，依據特殊安全需求進行測評

? ? ? ? 1.信息系統安全保護等級為3級的系統，應當()年進行一次等級測評?

A．0．5???? B.1????? C．2????? D．3

答案：B

解釋：等級保護三級系統一年測評一次，四級系統每半年測評一次。