我的NISP二级之路-03

一.ISMS

二.IP

三.http

四.防火墙

五.文件

解析

六.攻击

解析

七.风险管理工程

八.信息系统安全保护等级

九.我国信息安全保障

一.ISMS

1.文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是：

A．组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文

档是组织的工作标准，也是ISMS审核的依据

B．组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制

C.组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容

D．层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立

答案：B

解释：信息安全管理体系运行记录需要保护和控制。

2.关于信息安全管理体系（Information Security Management Systems,ISMS）,描述错误的是（）。

A．信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素

B．管理体系（Management Systems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C．概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分

D．同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容

答案：A

解释：完成安全目标所用各类安全措施的体系。

3.若一个组织声称自己的ISMS符合ISO/TEC27001或GB22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项（）

A、信息安全方针、信息安全组织、资产管理

B、人力资源安全、物理和环境安全、通信和操作管理

C、访问控制、信息系统获取、开发和维护、符合性

D、规划与建立ISMS

答案：D

解释：“规划与建立ISMS”属于ISMS的工作阶段，不属于措施。

4.若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现，不包括哪一项

A．物理安全边界、物理入口控制

B．办公室、房间和设施的安全保护。外部和环境威胁的安全防护

C. 在安全区域工作。公共访问、交接区安全

D．人力资源安全

答案：D

二.IP

1.主机A 向主机B发出的数据采用AH或ESP的传输模式对经过互联网的数据流量进行保护时，主机A和主机B 的IP地址在应该在下列哪个范围?

A．10．0．0．0～10．255．255．255

B．172．16．0．0～172．31．255．255

C、192．168．0．0～192．168．255．255

D. 不在上述范围内

答案：D

解释：采用传输模式则没有地址转换，那么A、B主机应为公有地址。

2.如图所示，主机A向主机B发出的数据采用AH或者ESP的传输模式对流量进行保护时，主机A和主机B的IP地址在应该在下列哪个范围？

A.10.0.0.0~10.255.255.255

B.172.16.0.0~172.31.255.255

C.192.168.0.0~192.168.255.255

D.不在上述范围内

答案：D

解析

当采用 AH（认证头）或 ESP（封装安全载荷）传输模式时，保护的是端到端的流量，此时 IP 地址应该是公网 IP 地址。

而选项 A（10.0.0.0 - 10.255.255.255 ）、B（172.16.0.0 - 172.31.255.255 ）、C（192.168.0.0 - 192.168.255.255 ）均属于私有 IP 地址段。私有 IP 地址用于内部网络，不能直接在公网上使用。所以主机 A 和主机 B 的 IP 地址不在上述范围内，答案选 D。

三.http

1.某电子商务网站最近发生了一起安全事件，出现了一个价值1000 元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000 元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是?

A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https

B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施

C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决

D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

答案：A

解释：根据题干是采用HTTP的协议导致的，则答案为A。

四.防火墙

功能:

访问控制：依据设定规则，对进出网络的数据包（基于 IP、端口、协议等）筛选，允许或禁止特定流量，管控网络访问。
地址转换（NAT）：实现私有与公网 IP 转换，隐藏内部网络拓扑和 IP 细节，提升安全性。
安全防护：抵御 IP 欺骗等常见网络攻击，充当屏障防范外部非法入侵，但对复杂应用层攻击防护较弱。
审计日志：记录网络流量相关信息，便于管理员分析网络状况、排查故障、发现安全威胁。
集中管理：支持统一配置安全策略，还可进行用户身份等认证管理，提高管理效率与策略一致性。
增强保密：防止内部敏感信息外泄，避免攻击者利用其发动攻击。
VPN 支持：部分防火墙可构建 VPN，实现远程安全接入或分支间安全互联。

1.以下哪个选项不是防火墙提供的安全功能?

A．IP地址欺骗防护

B．NAT

C．访问控制

D．SQL注入攻击防护

答案：D

解释：题干中针对的是传统防火墙，而SQL注入防护是WAF的主要功能。

WAF 即 Web 应用防火墙，也叫网站应用级入侵防御系统。它通过执行针对 HTTP/HTTPS 的安全策略，专门为 Web 应用提供保护，弥补传统防火墙等对 Web 应用攻击防护不足的问题

2.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能（）。

A．检测并分析用户和系统的活动

B．核查系统的配置漏洞，评估系统关键资源和数据文件的完整性

C．防止IP地址欺骗

D．识别违反安全策略的用户活动

答案：C

解释：入侵检测技术是发现安全攻击，不能防止IP欺骗。

3.在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机，下列选项中部署位置正确的是（）

内网主机——交换机——防火墙——外网
防火墙——内网主机——交换机——外网
内网主机——防火墙——交换机——外网
防火墙——交换机——内网主机——外网

答案：A

4.防火墙是网络信息系统建设中常采用的一类产品，它在内外网隔离方面的作用是（）。

A.既能物理隔离，又能逻辑隔离

B.能物理隔离，但不能逻辑隔离

C.不能物理隔离，但是能逻辑隔离

D.不能物理隔离，也不能逻辑隔离

答案：C

五.linux系统

在 Linux 系统中，文件和目录的权限分为读（Read）、写（Write）和执行（Execute）三种，以下是对它们的详细解释：

读权限（r）
- 文件：具有读权限的用户可以查看文件的内容，例如使用 cat、more 或 less 等命令来读取文件的文本信息。
- 目录：用户能够列出目录中的文件和子目录名称，使用 ls 命令时可以看到目录下的内容列表。
写权限（w）
- 文件：允许用户修改文件的内容，可以对文件进行编辑、添加或删除数据等操作。例如使用文本编辑器打开文件并保存修改。
- 目录：用户可以在该目录下创建新的文件和子目录，也可以删除目录中的文件和子目录，还能对目录中的文件进行重命名操作。
执行权限（x）
- 文件：如果文件是可执行程序（如二进制程序或脚本），具有执行权限的用户可以运行该程序。对于脚本文件，需要同时具有读和执行权限才能正常运行，因为执行脚本时需要读取脚本内容。
- 目录：用户可以进入该目录，即使用 cd 命令切换到该目录下。同时，在执行一些需要遍历目录的操作时，如查找文件或递归访问子目录，也需要对目录具有执行权限。

1.Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin 组中user用户，以下哪个是该文件正确的模式表示?

A. - rwx r-x r-x 3 user admin 1024 Sep 13 11：58 test

B. d rwx r-x r-x 3 user admin 1024 Sep 13 11：58 test

C．- rwx r-x r-x 3 admin user 1024 Sep 13 11：58 test

D．d rwx r-x r-x 3 admin user1024 Sep 13 11：58 test

答案：A

解析

首先，文件类型以第一个字符表示，“-” 表示普通文件，“d” 表示目录。本题中明确是文件，所以排除 B 和 D 选项，它们以 “d” 开头，代表目录。
其次，文件权限的表示中，紧跟文件类型字符后的三组字符分别表示文件所有者、所属组以及其他用户的权限。“rwx” 表示读、写、执行权限，“r - x” 表示读和执行权限。本题中文件属于 admin 组中的 user 用户，所以用户（所有者）是 user，所属组是 admin，C 选项中把用户和所属组写反了，也不正确。
最后，模式位后面的数字 “3” 表示硬链接数，“1024” 表示文件大小，“Sep 13 11:58” 表示文件的最后修改时间，“test” 是文件名，这些信息在 A 选项中的排列顺序和表示都是正确的。

2.某linux系统由于root口令过于简单，被攻击者猜解后获得了root口令，发现被攻击后，管理员更改了root口令，并请安全专家对系统进行检测，在系统中发现有一个文件的权限如下 -r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh请问以下描述哪个是正确的：

A．该文件是一个正常文件，test用户使用的shell,test不能读该文件，只能执行

B．该文件是一个正常文件，是test用户使用的shell,但test用户无权执行该文件

C．该文件是一个后门程序，该文件被执行时，运行身份root ,test用户间接获得了root 权限

D．该文件是一个后门程序，由于所有者是test，因此运行这个文件时文件执行权限为test

答案：C

解释：根据题干则答案为C。

解析：

文件类型和基本权限分析：
- 首先，根据文件权限表示的第一个字符 “-”，可以确定该文件是一个普通文件（如果是 “d” 则表示目录）。
- 紧跟 “-” 后面的权限字符分为三组，“r-s--x--x”。第一组 “r-s” 表示文件所有者（这里是 test 用户）的权限。“r” 代表读权限，“s” 表示设置了 setuid 位（当文件具有 setuid 权限时，文件所有者是 root 且设置了 setuid 位，那么其他用户执行该文件时，会以 root 的权限来运行该文件），原本这里正常的执行权限 “x” 被 “s” 替代，说明这个文件在执行时权限特殊。“--x” 表示文件所属组（tdst 组）的权限，只有执行权限。最后一组 “--x” 表示其他用户的权限，同样只有执行权限。
选项分析：
- A 选项：说 test 不能读该文件，只能执行。但从权限 “r-s” 可知，test 用户是有读权限的，所以 A 选项错误。
- B 选项：说 test 用户无权执行该文件，而实际上 “r-s” 中 “s” 替代了执行权限 “x”，且后面两组权限中都有执行权限 “x”，说明 test 用户是可以执行该文件的，B 选项错误。
- C 选项：由于该文件设置了 setuid 位，且所有者虽然是 test，但结合前面分析的 setuid 权限特性，当该文件被执行时，运行身份是 root（因为是设置了 setuid 位且原所有者可能是 root，这里从攻击者获得 root 权限并可能做了权限修改等情况推测），那么 test 用户执行这个文件时就间接获得了 root 权限，这种情况很可能是攻击者放置的后门程序，以便后续继续获取 root 权限，C 选项正确。
- D 选项：该文件设置了 setuid 位，执行时运行身份不是 test 用户本身的权限，而是以 root 权限（根据 setuid 的特性）来运行，所以 D 选项错误。

3.Apache Web服务器的配置文件一般位于/usr／local／apache／conf目录，其中用来控制用户访问Apache目录的配置文件是：

A. httpd.conf

B．srL conf

C．access．conf

D．Inet.conf

答案：A

解析

选项 A：httpd.conf是 Apache Web 服务器的主配置文件，用于配置服务器的整体运行参数，如服务器启动参数、模块加载、虚拟主机配置等
选项 B：ssl.conf主要用于配置 Apache 服务器的 SSL/TLS 相关设置，以实现安全的 HTTPS 连接，与控制用户访问目录的功能无关。
选项 C：access.conf这个配置文件主要用于控制用户对 Apache 服务器上目录的访问权限，例如可以设置哪些 IP 地址或用户能够访问特定的目录。
选项 D：Inet.conf不是 Apache Web 服务器的标准配置文件，与 Apache 的目录访问控制无关。

4.下图是安全测试人员连接某远程主机时的操作界面，请您仔细分析该图，下面分析推理正确的是（）

A.安全测试人员链接了远程服务器的220端口

B.安全测试人员的本地操作系统是Linux

C.远程服务器开启了FTP服务，使用的服务器软件名FTP Sｅｒｖｅｒ

D.远程服务器的操作系统是ｗｉｎｄｏｗｓ系统

答案：D

5.Linux系统的安全设置中，对文件的权限操作是一项关键操作。通过对文件权限的设置，能够保障不同用户的个人隐私和系统安全。文件fib.c的文件属性信息如下图所示，小张想要修改其文件权限，为文件主增加执行权限，并删除组外其他用户的写权限，那么以下操作中正确的是（）

A.#chmod u+x, a-w fib.c

B.#chmod ug+x, o-w fib.c

C.#chmod 764 fib.c

D.#chmod 467 fib.c

答案：C

六.攻击

1.通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：

A．Land攻击

B．Smurf 攻击

C．Ping of Death 攻击

D. ICMP Flood

答案：D

解析

选项 A：Land 攻击是一种通过向目标主机发送源地址和目标地址均为目标主机 IP 地址的欺骗性数据包，导致目标主机陷入自我循环响应，从而消耗系统资源的攻击方式，与 ICMP 回应请求无关。
选项 B：Smurf 攻击是利用 ICMP 协议的特性，通过向一个子网的广播地址发送 ICMP 回应请求数据包，且源地址伪装成被攻击目标的地址，使得子网中的所有主机都向被攻击目标发送 ICMP 回应数据包，形成流量洪泛，达到攻击目的。它与直接向被攻击者发送大量 ICMP 回应请求的攻击方式不同。
选项 C：Ping of Death 攻击是通过发送超过规定大小的 ICMP 数据包（通常是将数据包大小设置超过 65536 字节），导致目标主机在处理该数据包时出现缓冲区溢出等问题，进而使系统崩溃或出现异常，并非通过大量 ICMP 回应请求消耗资源。
选项 D：ICMP Flood 攻击就是通过向被攻击者发送大量的 ICMP 回应请求，消耗被攻击者的资源来进行响应，直至被攻击者无法处理有效的网络信息流，符合题目描述。

2.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击

A．Land B．UDP Flood C．Smurf D.Teardrop

答案：D

解析

选项 A：Land 攻击通过向目标主机发送源地址和目标地址均为目标主机 IP 地址的欺骗性数据包，使目标主机陷入自我循环响应，消耗系统资源，会造成流量异常，属于流量型拒绝服务攻击。
选项 B：UDP Flood 攻击是利用 UDP 协议的无连接特性，向目标主机发送大量的 UDP 数据包，导致目标主机忙于处理这些数据包而无法正常提供服务，会产生大量流量，属于流量型拒绝服务攻击。
选项 C：Smurf 攻击利用 ICMP 协议，向子网广播地址发送伪装源地址为被攻击目标的 ICMP 回应请求数据包，使子网内所有主机向被攻击目标发送回应数据包，形成流量洪泛，属于流量型拒绝服务攻击。
选项 D：Teardrop 攻击是通过发送畸形的 IP 分片数据包，使目标主机在重组数据包时出现错误，导致系统崩溃或挂起，它主要是利用了系统在处理数据包分片时的漏洞，而不是通过大量流量来攻击，不属于流量型拒绝服务攻击

3.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?

A．加强网站源代码的安全性

B．对网络客户端进行安全评估

C. 协调运营商对域名解析服务器进行加固

D．在网站的网络出口部署应用级防火墙

答案：C

解释：协调运营商对域名解析服务器进行加固是DNS防护的主要手段。

4.2016年9月，一位安全研究人员在Google Cloud IP上通过扫描，发现了完整的美国路易斯安邦州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码，以防止攻击者利用以上信息进行（）攻击。

A、默认口令 B、字典

C、暴力 D、XSS

答案：B

5.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本，会将他的浏览器定向到旅游网站，旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站，但旅游网站已经截获了他的社交网络信息（还有他的好友们的信息），于是犯罪分子便可以躲藏在社交网站的广告后面，截获用户的个人信息了，这种向Web页面插入恶意html代码的攻击方式称为（）

A.分布式拒绝服务攻击

B、跨站脚本攻击

C、SQL注入攻击

D、缓冲区溢出攻击

答案：B

七.风险管理工程

信息系统风险管理通常包括以下主要过程：

背景建立：确定信息系统的边界、识别相关资产、明确组织的风险管理目标和策略等，为后续工作提供基础。
风险评估：识别信息系统面临的各种风险，分析风险发生的可能性和影响程度，评价风险等级。
风险处理：根据风险评估结果，选择和实施合适的风险处理措施，如风险规避、降低、转移或接受等，包括安全产品选择和控制措施的实施。
批准监督：对风险管理过程的结果进行审批，监督风险处理措施的执行情况，确保风险管理工作有效，必要时对风险管理过程进行调整和改进。

1,在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段?

A．背景建立 B．风险评估 C．风险处理 D．批准监督

答案：C

解释：“安全产品选择”是为了进行风险处理。

2.王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他使用了Nessus工具来扫描和发现数据库服务器的漏洞，根据风险管理的相关理论，他这个是扫描活动属于下面哪一个阶段的工作（）

A、风险分析 B、风险要素识别 C、风险结果判定 D、风险处理

答案：B

解释：漏洞扫描属于风险要素的脆弱性要素识别，风险要素包括资产、威胁、脆弱性、安全措施。

八.信息系统安全保护等级

一级（自主保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。无需备案，对测评周期无要求，不过也有建议每两年进行一次等保测评。
二级（指导保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。需在公安部门备案，建议每两年测评一次。
三级（监督保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。需在公安部门备案，每年测评一次。
四级（强制保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。需在公安部门备案，每半年测评一次。
五级（专控保护级）：信息系统受到破坏后，会对国家安全造成特别严重损害。需在公安部门备案，依据特殊安全需求进行测评

1.信息系统安全保护等级为3级的系统，应当()年进行一次等级测评?

A．0．5 B.1 C．2 D．3

答案：B

解释：等级保护三级系统一年测评一次，四级系统每半年测评一次。