cisp题（6）

22. 某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System，IDS)产品，需要购买防火墙，以下做法应当

优先考虑的是：

A．选购当前技术最先进的防火墙即可

B．选购任意一款品牌防火墙

C．任意选购一款价格合适的防火墙产品

D．选购一款同已有安全产品联动的防火墙

答案：D

解释：在技术条件允许情况下，可以实现 IDS 和 FW 的联动。

23.在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身

份鉴别、数据完整性服务?

A.网络层

B．表示层

C．会话层

D．物理层

答案：A

解释：网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。

24. 某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认

才能在系统上执行，该设计是遵循了软件安全哪项原则

A.最小权限

B.权限分离

C．不信任

D．纵深防御

答案：B

解释：权限分离是将一个较大的权限分离为多个子权限组合操作来实现。

25. 以下关于互联网协议安全(Internet Protocol Security，IPSec)协议说法错误的是：

A．在传送模式中，保护的是 IP 负载。

B．验证头协议(Authentication Header，AH)和 IP 封装安全载荷协议(Encapsulating Security Payload，ESP)

都能以传输模式和隧道模式工作。

C．在隧道模式中，保护的是整个互联网协议 IP 包，包括 IP 头。

D．IPSec 仅能保证传输数据的可认证性和保密性。

答案：D

解释：IPSEC 可以提供身份鉴别、保密性、完整性、抗抵赖、访问控制服务。

26. 某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE 是微软 SDL 中提

出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是 STRIDE 中欺骗类的威

胁，以下威胁中哪个可以归入此类威胁?

A．网站竞争对手可能雇佣攻击者实施 DDoS 攻击，降低网站访问速度

B．网站使用 http 协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，如购买的商品金额等

C．网站使用 http 协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改

D．网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登

录修改用户订单等信息

答案：D

解释：A 属于可用性；B 保密性；C 属于完整性。