單項(xiàng)選擇題

Kerberos協(xié)議是常用的集中訪問(wèn)控制協(xié)議,通過(guò)可信第三方的認(rèn)證服務(wù),減輕應(yīng)用服務(wù)器的負(fù)擔(dān)。Kerberos的運(yùn)行環(huán)境由秘鑰分發(fā)中心(KDC)、應(yīng)用服務(wù)器和客戶端三個(gè)部分組成。其中,KDC分為認(rèn)證服務(wù)AS和票據(jù)授權(quán)服務(wù)TGS兩部分。下圖展示了Kerberos協(xié)議的三個(gè)階段,分別為(1)kerberos獲得服務(wù)許可票據(jù),(2),kerberos獲得服務(wù),(3)kerberos獲得票據(jù)許可票據(jù)。下列選項(xiàng)中,對(duì)這三個(gè)階段的排序正確的是()

A.(1)→(2)→(3)
B.(3)→(2)→(1)
C.(2)→(1)→(3)
D.(3)→(1)→(2)


您可能感興趣的試卷

你可能感興趣的試題

1.單項(xiàng)選擇題下面對(duì)“零日(zero-day)漏洞”的理解中,正確的是()。

A.指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來(lái)遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限
B.指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞,該漏洞被“震網(wǎng)”病毒所利用,用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施
C.指一類漏洞,即特別好被利用,一旦成功利用該類漏洞,可以在1天內(nèi)完成攻擊,且成功達(dá)到攻擊目標(biāo)
D.指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來(lái)說(shuō),那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞

2.單項(xiàng)選擇題小華在某電子商務(wù)公司工作,某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí),發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RP0(恢復(fù)點(diǎn)目標(biāo))指標(biāo)為3小時(shí),請(qǐng)問(wèn)意味著()。

A.該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應(yīng)在3小時(shí)內(nèi)到位,完成問(wèn)題定位和應(yīng)急處理工作
B.該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應(yīng)在3小時(shí)內(nèi)完成應(yīng)急處理工作,并恢復(fù)對(duì)外運(yùn)行
C.若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災(zāi)難恢復(fù)工作后,系統(tǒng)至少能提供3小時(shí)的緊急業(yè)務(wù)服務(wù)能力
D.若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災(zāi)難恢復(fù)工作后,系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)

3.單項(xiàng)選擇題隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來(lái)越突出,而與此同時(shí),發(fā)生的信息安全事件也越來(lái)越多。綜合分析信息安全問(wèn)題產(chǎn)生的根源,下面描述正確的是()。

A.信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來(lái)越重要,同時(shí)自身在開(kāi)發(fā)、部署和使用過(guò)程中存在的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問(wèn)題的根本所在
B.信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來(lái)越廣泛,接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能遭受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問(wèn)題
C.信息安全問(wèn)題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面兩個(gè)方面分析,因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性,同時(shí)外部又有威脅源,從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風(fēng)險(xiǎn),需從內(nèi)外因同時(shí)著手
D.信息安全問(wèn)題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用,內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內(nèi)部工作人員通過(guò)遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此,對(duì)人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)

4.單項(xiàng)選擇題某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站IOP流量上升了250%,盡管網(wǎng)站沒(méi)有發(fā)現(xiàn)任何的性能下降或其他問(wèn)題,但為了安全起見(jiàn),他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施,作為主管負(fù)責(zé)人,請(qǐng)選擇有效的針對(duì)此問(wèn)題的應(yīng)對(duì)措施()

A.在防火墻上設(shè)置策略,阻止所有的ICMP流量進(jìn)入(關(guān)掉ping)
B.刪除服務(wù)器上的ping.exe程序
C.增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊
D.增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來(lái)臨的拒絕服務(wù)攻擊

5.單項(xiàng)選擇題關(guān)于信息安全保障技術(shù)框架( Information Assurance Technical Framework,IATF),下面描述錯(cuò)誤的是()。

A.IATF最初由美國(guó)國(guó)家安全局(NSA)發(fā)布,后來(lái)由國(guó)際標(biāo)準(zhǔn)化組織(IS0)轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn),供各個(gè)國(guó)家信息系統(tǒng)建設(shè)參考使用
B.IATF是一個(gè)通用框架,可以用到多種應(yīng)用場(chǎng)景中,通過(guò)對(duì)復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述,然后再以此框架討論信息系統(tǒng)的安全保護(hù)問(wèn)題
C.IATF提出了深度防御的戰(zhàn)略思想,并提供一個(gè)框架進(jìn)行多層保護(hù),以此防范信息系統(tǒng)面臨的各種威脅
D.強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面,也就是說(shuō)討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問(wèn)題

最新試題

組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和()功能的訪問(wèn)。對(duì)訪問(wèn)的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求,訪問(wèn)控制策略還要與組織訪問(wèn)策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和()時(shí),宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并()。對(duì)程序源代碼和相關(guān)事項(xiàng)(例如設(shè)計(jì)、說(shuō)明書(shū)、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃)的訪問(wèn)宜嚴(yán)格控制,以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的()。對(duì)于程序源代碼的保存,可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn),更好的是放在()中。

題型:?jiǎn)雾?xiàng)選擇題

分析針對(duì)Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問(wèn)題的,就是說(shuō)攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)Web應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯(cuò)誤的是()。

題型:?jiǎn)雾?xiàng)選擇題

組織應(yīng)定期監(jiān)控、審查、審計(jì)()服務(wù),確保協(xié)議中的信息安全條款和條件被遵守,信息安全事件和問(wèn)題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或()團(tuán)隊(duì)。另外,組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是()要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí),宜采取()。當(dāng)供應(yīng)商提供的服務(wù),包括對(duì)()方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí),應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理。

題型:?jiǎn)雾?xiàng)選擇題

在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的?()

題型:?jiǎn)雾?xiàng)選擇題

在某信息系統(tǒng)采用的訪問(wèn)控制策略中,如果可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)對(duì)客體實(shí)施控制,且各級(jí)領(lǐng)導(dǎo)可以同時(shí)修改它的訪問(wèn)控制表,那么該系統(tǒng)的訪問(wèn)控制模型采用的自主訪問(wèn)控制機(jī)制的訪問(wèn)許可模式是()。

題型:?jiǎn)雾?xiàng)選擇題

某單位在進(jìn)行內(nèi)部安全評(píng)估時(shí),安全員小張使用了單位采購(gòu)的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報(bào)告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞,然而此報(bào)告在內(nèi)部審計(jì)時(shí)被質(zhì)疑,原因在于小張使用的漏洞掃描軟件采購(gòu)于三年前,服務(wù)已經(jīng)過(guò)期,漏洞庫(kù)是半年前最后一次更新的。關(guān)于內(nèi)部審計(jì)人員對(duì)這份報(bào)告的說(shuō)法正確的是()。

題型:?jiǎn)雾?xiàng)選擇題

終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TERMINAL Access Controller Access-Control System,TACACS),在認(rèn)證過(guò)程中,客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開(kāi)始時(shí)使用一個(gè),序列號(hào)永遠(yuǎn)為()。服務(wù)器收到START包以后,回送一個(gè)REPLY包,表示認(rèn)證繼續(xù)還是結(jié)束。

題型:?jiǎn)雾?xiàng)選擇題

某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃,提出了四個(gè)培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)。作為主管領(lǐng)導(dǎo),以下選項(xiàng)中正確的是()。

題型:?jiǎn)雾?xiàng)選擇題

下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法,哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法?()

題型:?jiǎn)雾?xiàng)選擇題

與PDR模型相比,P2DR模型則更強(qiáng)調(diào)(),即強(qiáng)調(diào)系統(tǒng)安全的(),并且以安全檢測(cè)、()和自適應(yīng)填充“安全間隙“為循環(huán)來(lái)提高()。

題型:?jiǎn)雾?xiàng)選擇題