前言
本篇主要对CISP教材第九章《计算环境安全》的一些习题进行讲解,包括20道题,这里只是部分习题,针对第九章可能会多写几章的内容,如果我发布的这些习题里面没有你想找的那道题,你也可以直接私信我,我加载文章中。
习题部分
第一题
Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件用自己的软件名和版本号发给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施?()
A、不选择Windows平台,应选择在Linux平台下安装使用
B、安装后,修改配置文件httpd.conf中的有关参数 ✅
C、安装后,删除Apache HTTP Server源码
D、从正确的官方网站下载Apache HTTP Server,并安装使用
💖解析💖
Apache
作为一款常用的网站信息发布中间件,在发布网站信息的时候,可能会将自己的软件名(Apache)以及版本号返回给用户的客户端(浏览器)。
如果一个黑客看到你的中间件的名称和版本,那么它有可能会去寻找对应的版本是否存在漏洞,然后尝试利用漏洞对你的服务器进行攻击,比如这样搜:
中间件版本信息泄露一般出现在什么位置呢?
-
我们可以通过浏览器的Dev tools(F12),刷新网页查看,如下图,查到了某个网站的中间件为 nginx。
-
访问一个不存在的页面,尝试一下,也看到了中间件信息,虽然没有返回版本号,但是还可以继续通过其他方式去查找,比如扫描啥的。
1️⃣ A选项所说的更换系统,把windows服务器替换为linux服务器,这个纯属是胡说八道的一个选项了,如果你感冒了,待在家里是感冒的,去了单位也是感冒的。
一个软件的配置不当导致的信息泄露,是不可能你换个系统就能改变的,除非linux有什么强制性的配置要求,导致软件不得不改变自身的默认配置。
2️⃣ C选项说删了中间件的源代码,先不说有没有源代码的问题,一个软件自带的任何文件可能都是有用的,除了那些说明性文件和可再生文件。
3️⃣ D选项说从官网下载正确版本,这个。。。,我们下载中间件肯定一开始就是从官网下的啊,如果不是管的话,不怕别人种马、挂后门嘛。。
第二题
安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension, S/MIME )是指一种保障邮件安全的技术,下面描述错误的是()
A、S/MIME 采用了非对称密码学机制
B、S/MIME支持数字证书
C、S/MIME采用了邮件防火墙技术 ✅
D、S/MIME支持用户身份认证和邮件加密
💖解析💖
这道题其实很好理解了,一开始有各种邮件的时候,安全措施是很差的,邮件在中间可能会被黑客拦截下来,查看其中的内容,而且还有可能会改掉其中的内容,简单说一下。
比如A给B发邮件,说请给我的账户123456打100块钱,急用,C把这封邮件拦截下来以后,把账户改成456789,B哪知道啊,就把钱转过去了,因为这个时候邮件是明文传输的,后来发现存在安全隐患,就出现了加密传输。
然后发展了一段,A发现自己的邮箱里乱七八糟的啥邮件都有,什么招聘的,找水泥工的,找小姐姐的,这咋办呢,这显然都是垃圾邮件啊,更有甚者会垃圾邮件洪水攻击,就是一下子给你发100000000封邮件
邮件服务器也懵逼啊,你更懵逼,删都删不完,然后就发展出了反抗垃圾邮件的玩意儿,叫反垃圾邮件防火墙、反垃圾邮件网关什么的,一大堆的设备,然后这群设备商就给各个企业卖设备了。
你思考一下啊,S/MIME 是一个邮件协议,一个协议自己能做防火墙了,你让设备厂商喝西北风吗?这种技术就是有的话,肯定也会有缺陷的,邮件加密、反垃圾邮件、监控、防泄密你全干了,我干啥去呢?
你好好的加你的密,不然你就别叫 S/MIME,我给你起个信命:叶赫那拉·欠个登
呗。
第三题
相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?()
A、NTFS使用事务日志自动记录所有文件夹和文件的更新。当出现系统损坏和电源故障等问题时,或引起操作失败后,系统能利用日志文件重新恢复未成功的操作
B、NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限
C、对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率
D、相比FAT文件系统,NTFS文件系统能有效的兼容Linux下的EXT2文件格式 ✅
💖解析💖
如果你有一个苹果笔记本的话,那么你一定经历过一件事,你把你自己的U盘插上去,发现文件只能拖出来,不能存进去。
我们称之为:Linux系统对NTFS文件系统格式只具备只读功能,因为Linux支持多种文件格式,什么EXT2、EXT、巴拉巴拉巴拉,但是不兼容NTFS。
我为啥说苹果笔记本呢,因为它和Linux大差不差,都基于UNIX,辅助记忆,辅助记忆。
另外你可以去查一下,NTFS支持各种windows系统,唯独没说Linux。
第四题
某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows。在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是?()
A、网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中 ✅
B、严格设置Web日志权限,只有系统权限才能进行读和写等操作
C、对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D、使用独立的分区用于存储日志,并且保留足够大的日志空间
💖解析💖
一个黑客,黑进了你的服务器,一定会想办法删光所有操作日志的,他会删除中间件的日志,服务器操作系统日志,数据库操作日志等各种他所途经的地方,因为落下一个,可能都会被你报警后抓到,然后请去喝茶。
啥是日志?就是你进来以后都干啥了,日志都会给你记下来,就好像你们单位门口保卫室大爷那个小本本,记了今天都谁、哪个车进了单位。但是黑客可以删啊,进你们院子里的人可以撕了大爷的小本本啊。
别说什么权限问题,如果黑客提权成为最高权限了呢?所以你不能只把日志存一份儿啊,你得把日志送出去,送给谁?专门的审计设备,就是题目里说的 syslog服务器(system log,系统日志),或者是日志审计设备。
拿你们单位来说,每来一个人,大爷不光记在他的小本本上了,还打电话告诉保卫科的老大,谁谁谁来了,保卫科的老大也记在了他的小本本上,这样,进了院子的人,撕了门卫大爷的小本本,是没有用的,因为他也没想到,大爷这么前卫,知道日志要本地备份+异地备份满足180天了。。。
B/C/D这几个选项完全无用,B说设置权限,不好意思黑客能提权啊。C说加大日志大小,好家伙,门卫大爷为了怕自己的本子被撕掉,把本子弄厚了,尺寸也变大了,A8变A4,无非就是撕起来用力点而已嘛,D说用独立分区存储,这不就相当于门卫大爷把小本本不放在自己屋子,放在另一个屋子了么,不一样被撕掉么。。。我说老铁?
第五题
安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作。某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?()
A、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B、为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘 ✅
C、操作系统上部署防病毒软件,以对抗病毒的威胁
D、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
💖解析💖
送分题啊,老铁,运行环境的安全,意思就是那个选项能让产品运行出问题呗?A选项是必须做的啊,如果你有了可利用漏洞,别人分分钟黑进来,C如果不装杀毒软件的话,铁铁的别人穿了木马你的电脑也不知道啊,D这个是必须要做的啊,网络安全等级保护2.0标准里面对于系统默认用户名,是必须得改掉的啊。
只有这个傻傻的B选项,你就分一个区,别说运行产品了,咱说你自己的电脑如果按时更新系统、聊微信、存文档,是不是都会有存储空间不够的那天啊?软件产品部署在只有一个盘的windows系统上,windows系统本身就比较臃肿了,它自己动不动添加点缓存、补丁、更新包,你100GB的C盘也会很快就满了的。
第六题
关于linux下的用户和组,以下描述不正确的是?()
A、在linux中,每一个文件和程序都归属于一个特定的“用户”
B、系统中的每一个用户都必须至少属于一个用户组
C、用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组 ✅
D、root是系统的超级用户,无论是否是文件和程序的所有者,它都具有必要的访问权限
💖解析💖
一个用户不能属于多个组这个一看就错了。。 我作为一个员工,虽然某些国标不允许,但是背地里我可以既是系统管理员,又是用户管理员,又是审计管理员,又是安全管理员,每个组都有着不同的权限,但是我可以一个人全都干了,单位为了省钱没办法。
顺便补一嘴,D选项是对的,root啥都能干,所以等级保护标准2.0有一项要求是 用户必须仅具备必要权限,root用户要严格管理,不能乱用。
虽然标准要求root必须重命名,但是root如果真的重命名了,会引发很多软件的问题,因为很多软件默认Linux是root用户,国内的产品还好说,国外的人家可以不听你的等保要求。
第七题
Linux系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root账户、使用网络防火墙和文件权限操作共10个方面来完成。小张在学习了Linux系统安全的相关知识后,尝试为自己计算机上的Linux系统进行安全配置。下列选项是他的部分操作,其中不合理的是?( )
A、编辑文件/etc/passwd,检查文件中用户ID,禁用所有ID=0的用户 ✅
B、编辑文件/etc/ssh/sshd _config, 将Permit RootLogin设置为no
C、编辑文件/etc/pam.d/system~auth,设置auth required pam tally. so onerr=fail deny=6 unlock_time=300
D、编辑文件/etc/profile, 设置TWOUT=600
💖解析💖
B选项设置了不允许root远程登录,没问题,防止自己的Linux服务器被远程爆破密码。
C选项配置了登录失败6次锁定用户,没毛病,防止暴力破解的。
D选项配置了超时时间,意思是超过指定时间没有操作的话,系统就锁定界面,再次操作需要重新登陆,选项有毛病,profile文件里面的超时参数是:TMOUT,意思是 timeout,超时,答案写错字了。
A选项问题出在了禁用root的方式可能有点钱妥当。
第八题
在账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?()
A、分布式拒绝服务攻击(DDoS)
B、病毒传染
C、口令暴力破解 ✅
D、缓冲区溢出攻击
💖解析💖
送分题哈,账号锁定策略是啥意思,我告诉你啊,你家入户门那个非常高级漂亮的指纹解锁,你多用几次脚指头,他肯定会说,密码输入多次错误,已锁定,请稍后尝试。这就是为了防止有一个人在你出差的时候,一直尝试各种指纹解你家的锁。所有的网站、APP、软件,一定大部分都有密码输入一定次数就锁定密码的,不然哪能让你一直试下去。。。
就像上面说的,,你不知道密码,你就一直试,你可真的是太暴力了。。所以答案是口令(密码)暴力破解。
第九题
以下哪一项在防止数据介质被滥用时是不推荐使用的方法?()
A、禁用主机的CD驱动、USB接口等I/O设备
B、对不再使用的硬盘进行严格的数据清除
C、将不再使用的纸质文件用碎纸机粉碎
D、用快速格式化删除存储介质中的保密文件 ✅
💖解析💖
先说啥是数据介质,介质么,就是传播一个东西所借助的另一个东西,比如声音传播的介质大多数是空气,除非你在水里说话唱歌,那就变成水了。数据介质就是所有存数据以便传播出去的玩意儿,比如U盘、光盘、硬盘、A4、A5、A6、A7、A啥都行的纸。
那你怎么保证你存信息的东西不会被人滥用呢。B和D的区别在于,B消灭的是再也不会用的,D是我不管是啥,只要你存了,我就格儿。A呢,是你拿到你们领导的盘你也查不到自己的电脑上,因为你的电脑U口等一些列可能乱读数据的口都被网管禁掉了,那你说,我解开不就行了,U口加密前面有BIOS的密码挡着,再有你的所有行为都有日志记录,查到你身上你会很难受。
你会说,我把盘装兜里带走,这题可没说你能偷。C 这玩意儿,很多单位都有碎纸机,为了防止泄密,确实是碎纸再扔。。
第十题
为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征?()
A、统一而精确地的时间
B、全面覆盖系统资产
C、包括访问源、访问目标和访问活动等重要信息
D、可以让系统的所有用户方便的读取 ✅
💖解析💖
读一遍就知道答案了,日志信息,我举个例子,有一个人偷了你的东西,警察要破案,肯定得知道:失窃时间、失窃人姓名、失窃人身份证、失窃人手机号、失窃物品、物品价值、失窃物品发票、失窃地点、失窃地点周围监控、监控中小偷特征、身高、体型、发型、年龄预估。。。。
总之,日志信息肯定越详细越好,覆盖面越广越好,但是你不能把这所有的资料让你们小区每个人都看见,因为日志信息在等级保护标准2.0里面有要求,只有具有日志审计权限的【审计管理员】才能去看,其他人一概不行。
第十一题
随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码利用即时通讯进行传播的方式?()
A、利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件
B、利用即时通讯软件发送指向恶意网页的URL
C、利用即时通讯软件发送指向恶意地址的二维码
D、利用即时通讯发送携带恶意代码的TXT文档 ✅
💖解析💖
首先,恶意代码传输出去以后,它得能运行起来,才能叫恶意代码,如果不能运行,别人也看不懂,那就是一堆乱七八糟的字母和数字,A、B、C都能运行起来,但是D选项,别人就算是打开了,那也就是个文本文档,文本文档。。。。你传给别人,别人只能看到一大堆的文字,你就算给txt改个后缀,改成vbs、reg都行。
第十二题
金女士经常通过计算机在互联网上购物。从安全角度看,下面哪项是不好的习惯?()
A、使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级 ✅
B、为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
C、在IE的配置中,设置只能下载和安装经过签名的,安全的ActiveX控件
D、在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据
💖解析💖
送分的题,读一下就知道BD一定对了,C选项,如果一个网站给你发送一个ActiveX控件,没经过签名,它可能会存在恶意行为,到最后导致你的银行卡空空如也,A选项最过分的事情是不升级,不升级的话,万一存在漏洞被利用,结果也会是银行卡空空以空空。
第十三题
操作系统是作为一个支撑软件,提供给你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理系统,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计不周而留下的破绽,都给网络安全留下隐患。某公司的网络维护工程师为实现该公司操作系统的安全目标,按书中所学建立了对应的安全机制,这些机制不包括?()
A、标识与鉴别
B、访问控制
C、权限管理
D、网络云盘存取保护 ✅
💖解析💖
这道题里面,网络维护工程师想要实现的是操作系统的安全目标,是操作系统自身的事情,A/B/C三个选项都是与操作系统中的每个配置息息相关的,而D选项的网络云盘存取保护,是网络云盘的事情,你在你家装监控、装大门、装红外防盗系统、装门禁,管的都是你家的事情,和你家邻居的存储无关。
第十四题
某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备?()
A、安全路由器
B、网络审计系统
C、网页防篡改系统 ✅
D、虚拟专用网(Virtual Private Network,VPN)系统
💖解析💖
网页被黑客修改了,也就是非法篡改,所以你要防篡改就行了。A选项的安全路由器就是一个附带了部分安全功能的控制能不能联网、往哪里联网的路由器而已,B选项属于收集各个设备审计日志,对所有日志进行统一的汇总、分析和报告的日志设备,D选项的VPN不用解释了吧,大多是外网联内网用的。
第十五题
口令破解是针对系统进行攻击的常用方法,Windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略。关于这两个策略说明错误的是?()
A、密码策略主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控
B、密码策略对系统中所有的用户都有效
C、账户锁定策略的主要作用是应对口令暴力破解攻击,能有效地保护所有系统用户应对口令暴力破解攻击
D、账户锁定策略只适用于普通用户,无法保护管理员administrator 账户应对口令暴力破解攻击 ✅
💖解析💖
windows系统下面的安全策略对所有用户都生效的,这个没什么解释的,天子犯法与庶民同罪,所以系统内的安全规则是针对所有用户的,如果账户锁定策略对Administrator无效的话,那黑客不是直接去爆破你的administrator了么,我爆破你普通用户也没啥用,还得提权。
第十六题
由于发生了一起针对服务器的口令暴力破解的攻击,管理员决定设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:1、账户锁定阀值3次无效登陆;2、账户锁定时间10分钟;3、复位账户锁定计数器5分钟。以下关于以上策略设置后的说法哪个是正确的?
A、设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错密码的用户就会被锁住
B、如果正常用户不小心输错了3次密码,那么该账户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统 ✅
C、如果正常用户不小心连续输入错误密码3次,那么该用户帐号将被锁定5分钟,5分钟内即使提交了正确密码,也无法登录系统
D、攻击者在进行口令破解时,只要连续输错3次密码,该账户就被锁定10分钟,而正常用户登陆将不受影响
💖解析💖
这个管理员配置的意思就是:用户如果在5分钟内输入密码错误3次的话,锁定10分钟。没什么可讲解的。
第十七题
加密文件系统(Encrypting File System, EFS)是Windows操作系统的一个组件,以下说法错误的是?()
A、EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B、EFS 以公钥加密为基础,并利用了Windows系统中的CryptoAPI 体系结构
C、EFS加密系统适用于NTFS文件系统和FAT32文件系统(在Windows环境下) ✅
D、EFS加密过程对用户透明,EFS加密的用户验证过程是在登陆windows 时进行的
💖解析💖
这个直接记住就行,不行的话自己去实践一下,把自己的U盘格式化并把文件系统转换成FAT32格式,然后去选择加密,你会发现提示不支持的,因为EFS加密不支持FAT32。
过程:
1、右键文件夹,选择属性
2、点击【常规】里面的【高级】
这个功能使用要谨慎,以前我遇见过一个医院的客户,他的所有文件都勾住了这个选项,然后有一天他重装了一个系统,紧接着发现D/E/F三个盘的文件,全都无权访问了。
第十八题
在Linux系统中,下列哪项内容不包含在/etc/passwd文件中?()
A、用户名
B、用户口令明文 ✅
C、用户主目录
D、用户登录后使用的 SHELL
💖解析💖
首先,Linux系统里面,用户的密码以加密的形式存储在/etc/shadow里面,其次,密码怎么可能明文存储。。。那不成了高危系统了么
第十九题
某攻击者想通过远程控制软件潜伏在某被攻击方的UNIX系统的计算机中,如果攻击者打算长时间地远程监控某被攻击方的服务器上存储的敏感数据,必须要能够清除在监控方计算机中存在的系统日志。否则当某被攻击方查看自己的系统日志的时候,就会发现被攻击以及访向的痕迹。不属于清除痕迹的方法是?()。
A、窃取root权限修改wtmp/wtmpx、utmp/utmpx和lastlog三个主要日志文件
B、采用干扰手段影响系统防火墙的审计功能
C、保留攻击时产生的临时文件 ✅
D、修改登录日志,伪造成功的登录日志,增加审计难度
💖解析💖
A,修改日志文件,很显然,全都改了,就不会被发现了呗。B,干扰系统防火墙生成日志,或者给他乱搞。D,直接修改日志,增加审计难度,也不容易被一眼秒到。
C选项稍微过分了一些,这是怕不能被及时发现,赶紧弄点东西留下好快点被发现。
第二十题
组织内人力资源部门开发了一套系统,用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有员工都可以登录系统完成相关需要员工配合的工作,以下哪项技术可以保证数据的保密性?()
A、SSL加密 ✅
B、双因子认证
C、加密会话cookie
D、IP地址校验
💖解析💖
她说的关键词是数据的保密性
,数据的保密性,就两个过程中需要保密,1、传输的时候得加密,2、存储的时候得加密。
1️⃣ A选项的SSL加密,是传输加密,也就是HTTPS所需要的一个玩意儿。
2️⃣ B选项说的双因子认证,对数据的保密无效,只是把进你家的一道门变成了两道门,也就是说登录的时候输入了用户名密码以后,还需要输入手机验证码/动态令牌之类的东西。
3️⃣ C选项的加密回话cookie和你存在服务器里面来回传输的个人重要信息无关。
4️⃣ D选项的IP地址校验只是确保访问这个系统的人,是被允许的人。