1、強化練習卷A一、單選題（共100分）1.信息安全風險管理是基于（）的信息安全管理，也就是，始終以（）為主線進行信息安全的管理，應根據(jù)實際（）的不同來理解信息安全風險管理的側(cè)重點，及（）選擇的范圍和對象重點應有所不同。AA.風險；風險；信息系統(tǒng)；風險管理B.風險：風險；風險管理；信息系統(tǒng)C.風險管理；信息系統(tǒng)；風險；風險D.風險管理；風險；風險；信息系統(tǒng)2 .下面對國家秘密定級和范圍的描述中，哪項不符合保守國家秘密法要求：CA.國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān)規(guī)定B.各級國家機關(guān)、單位對所產(chǎn)生的國家秘密事項，應當按照國家秘密及其密級具體

2、范圍的規(guī)定確定密級C.對是否屬于國家機密和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門確定D.對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關(guān)確定。3 .信息安全標準化工作是我國信息安全保障工作的重要組成部分，是保護國家利益，促進產(chǎn)業(yè)發(fā)展的重要手段之一。關(guān)于我國信息安全標準化工作，下面選項中正確的是（A）A.我國是在國家質(zhì)量監(jiān)督檢驗總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設有專業(yè)技術(shù)委員會。

3、B.因事關(guān)國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，切實有效地保護國家利益和安全。C.我國歸口信息安全方面標準的是“全國信息安全標準化技術(shù)委員會”，為加強有關(guān)工作，2016年在其下設立“大數(shù)據(jù)安全特別工作組”D.信息安全標準化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設施技術(shù)選進性、可靠性和一致性。4 .為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布關(guān)于信息安全等級保護工作的實施意見（公通字200466號），對等級保護工作的開展提供宏觀指導和約束。明確了等級保護工作的基

4、本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關(guān)于該文件，下面理解正確的是（A）A.該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件B.該文件適用于2004年的等級保護工作。其內(nèi)容不能約束到2005年及之后的工作C.該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位5 .一個信息管理系統(tǒng)通常會對用戶進行分組并實施控制。例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的成績，學生只能查看自己的分數(shù)，而教務管理人員能夠?qū)x課信息等內(nèi)容進行修改，下列選項中，對訪問控制的作用理解錯誤的是（C）A.對經(jīng)過身份鑒

5、別后的合法用戶提供所有服務B.拒絕非法用戶的非授權(quán)訪問請求C.在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進行管理D.防止對信息的非授權(quán)篡改和濫用6 .安全管理體系，國際上有標準（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013）,而我國發(fā)布了信息技術(shù)信息安全管理體系要求（GB/T22080-2008）.請問，這兩個標準的關(guān)系是（A）A.IDT（等同采用），此國家標準等同于該國際標準，僅有或沒有編輯性修改B.EQV（等效采用），此國家標準等效于該國家標準，技術(shù)上只有很小差異C.A

6、EQ（等效采用），此國家標準不等效于該國家標準D.沒有采用與否的關(guān)系，兩者之間版本不同，不應直接比較7 .“CC標準是測評標準類的重要標準，從該標準的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案（C）A.評估對象（TOEB.保護輪廊（PP）C.安全目標（ST）D.評估保證級（EAL）8 .分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（C）A.分組密碼算法要求輸入明文按組分成固定長度的塊B.分組密碼算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱為序列密碼算法D.常見的DESIDEA

7、算法都屬于分組密碼算法9 .密碼學是網(wǎng)絡安全的基礎(chǔ)，但網(wǎng)絡安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡安全的一個重要組成部分。下面描述中，錯誤的是（A）A.在實際應用中，密碼協(xié)議應按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式B.密碼協(xié)議定義了兩方或多方之間為完成某項任務而制定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行C.根據(jù)密碼協(xié)議應用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D.密碼協(xié)議（cryptographicprotocol），有時也稱安全協(xié)議（secuHtyprot

8、ocol）,是使用密碼學完成某項特定的任務并滿足安全需求，其目的是提供安全服務10 .美國計算機協(xié)會（ACM宣布將2015年的AC帔授予給WhitfieldDiffie和Wartfield下面哪項工作是他們的貢獻（C）。A.發(fā)明并第一個使用C語言B.第一個發(fā)表了對稱密碼算法思想C.第一個發(fā)表了非對稱密碼算法思想D.第一個研制出防火墻11 .公鑰基礎(chǔ)設施（PublicKeyInfrastructure,PKI）引入數(shù)字證書的概念，用來表示用戶的身份。下圖簡要地描述了終端實體（用戶）從認證權(quán)威機構(gòu)CA申請、撤銷和更新數(shù)字證書的流程。請為中間框空白處選擇合適當選項（B）A.證書庫B.RAC.0CSP

9、D.CRL12 .隨著計算機在商業(yè)和民用領(lǐng)域的應用，安全需要變得越發(fā)重要，基于角色的訪問控制（RBA。逐漸成為安全領(lǐng)域的一個研究熱點，RBAC模型可以分為RBAC0,RBAC1,RBAO2RBAC訓種，它們之間存在著相互包含的關(guān)系，下列選項中對這四種類型之間的關(guān)系描述錯誤的是（C）。A. RBAC第基本模型，其它三個模型均包含RBAC0B. RBAC施RBAC0勺基礎(chǔ)上加入了角色等級的概念C. RBAC左RBAC1勺基礎(chǔ)上力口入了約束的概念D. RBAC3吉合了RBAC麗RBAC2同時具備角色等級和約束13 .為防范網(wǎng)絡欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證

10、”模式進行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？（A）A.實體“所知”以及實體“所有”的鑒別方法B.實體“所有”以及實體“特征”的鑒別方法C.實體“所知”以及實體“特征”的鑒別方法D.實體“所有”以及實體“行為”的鑒別方法14 .信息可以以各種形式存在。他可以打印成寫在紙上，以（）、用郵寄或者電子手段傳輸、是現(xiàn)在膠片上成用（）。無論信息以什么形式存在，用哪種方式存儲成共享，都宜對它進行適當?shù)乇Ｗo，（）是保護信息免受各種威脅的損害，以確保業(yè)務（），業(yè)務風險最小化，投資回報和（）【AA.語言表達；電子方式存儲；信息安全；連續(xù)性；商業(yè)機遇最大化B.電子方式存儲；語言表達；連續(xù)性；信息安全；

11、商業(yè)機遇最大化C.電子方式存儲；聯(lián)系性；語言表達；信息安全；商業(yè)機遇最大化D.電子方式存儲；語言表達；信息安全；連續(xù)性；商業(yè)機遇最大化15.防火墻作為一種重要的網(wǎng)絡安全防護設備，廣泛的應用于各種商業(yè)和民用網(wǎng)絡中,以下哪個選項是防火墻不具備的功能（C）A.對出入網(wǎng)絡的訪問行為進行管理和控制B.過濾出入網(wǎng)絡的數(shù)據(jù)，強化安全策略C.評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件完整性，識別已知的攻擊行為D.隱藏內(nèi)部網(wǎng)絡細節(jié)16 .強制訪問控制是指主體和客體有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定-個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種類型，如，BLR

12、Biba、Clark-Willson和ChineseWall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)，以下四種對BLP模型的描述中，正確的是（B）A.BLP模型用于保證系統(tǒng)信息的完整性B.BLP模型的規(guī)矩是“向下讀，向上寫”C.BLP的自主要求策略中，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體和客體的訪問D.BLP的強制安全策略使用一個訪問控制矩陣表示17 .根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（B）寫讀密秘(NUC,US)機密|NUCtn®NUC,US）A.可讀可寫B(tài).可讀不可寫C.可寫不可讀D.不可讀不可寫18 .在信息系統(tǒng)中，訪問控制

13、是重要的安全功能之一。他的任務是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)限進行管理，防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類，通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項中，對主體、客體和訪問權(quán)限的描述中錯誤的是（D）A.對文件進行操作的用戶是一種主體B.主體可以接受客體的信息和數(shù)據(jù)，也可能改變客體相關(guān)的信息C.訪問權(quán)限是指主體對客體所允許的操作D.對目錄的訪問權(quán)可分為讀、寫和拒絕訪問19.小趙是某大學計算機科學與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設計思路。如果想要為一個存在大量用戶的信

14、息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（A）A.訪問控制列表（ACLB.能力表（CL）C. BLP模型D. Biba模型20 .強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLRBiba、Clark-Willson和Chines-Wall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（B）A. BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向

15、上讀，向下寫”B. BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C. BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D. BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”21 .訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制，他們具有不同的特點和應用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權(quán)原則和職責分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（C）。A.自主訪問控制B.強制訪問控制C.基于角色的訪問控制D.以上選項都可以22 .Kerberos協(xié)議是常用的集中訪問控

16、制協(xié)議，通過可信第三方的認證服務，減輕應用服務器和負擔。Kerberos的運行環(huán)境由密鑰分發(fā)中心（KDC）、應用服務器和客戶端三個部分組成。其中，KDC分為認證服務器AS和票據(jù)授權(quán)服務器TGS兩部分。下圖展示了Kerberos協(xié)議的三個階段，分別為（1）Kerberos獲得服務許可票據(jù)，（2）Kerberos獲得服務，（3）Kerberos獲得票據(jù)許可票據(jù)。下列選項中對這三個階段的排序正確的是（D）tcv總UWA. （1）（2）（3）B. （3）一（2）一（1）C. （2）一（1）一（3）D. （3）一（1）一（2）23 .關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WP彈DWPA2勺區(qū)別，下面描述正確的

17、是（D）A. WPA有線局域安全協(xié)議，而WPA/無線局域網(wǎng)協(xié)議B. WPA1適用于中國的無線局域安全協(xié)議，而WPA斯用于全世界的無線局域網(wǎng)協(xié)議C. WP殷有使用密碼算法對接入進行認證，而WPA就用了密碼算法對接入進行認證D. WPA!依照802.11i標準草案制定的，而WPA21依照802.11i正式標準制定的24 .隨著高校業(yè)務資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的重要信息暴露在越來越多的威脅中。去年，某個本科生院網(wǎng)站遭遇SQL群注入（MassSQLInjection）攻擊，網(wǎng)站發(fā)布的

18、重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測防火墻，其原因不包括（C）A.狀態(tài)檢測防火墻可以應用會話信息決定過濾規(guī)則B.狀態(tài)檢測防火墻具有記錄通過每個包的詳細信息能力C.狀態(tài)檢測防火墻過濾規(guī)則與應用層無關(guān)，相比于包過濾防火墻更易安裝和使用D.狀態(tài)檢測防火墻結(jié)合網(wǎng)絡配置和安全規(guī)定做出接納、拒絕、身份認證或報警等處理動作25 .下列哪個選項不屬于反向安全隔離裝置的安全功能：（D）A.簽名驗證B.內(nèi)容過濾C.有效性檢查D.木馬檢測26 .異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯

19、誤的是（B）A.在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B.實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生C.異常入侵檢測可以通過獲得的網(wǎng)絡運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為27 .某集團公司的計算機網(wǎng)絡中心內(nèi)具有公司最重要的設備和信息數(shù)據(jù)。網(wǎng)絡曾在一段時間內(nèi)依然遭受了幾次不小的破壞和干擾，雖然有防火墻，但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡安全公司為該集團部署基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）,將IDS部署在防

20、火墻后，以進行二次防御。那么NIDS不會在（）區(qū)域部署。（D）A.DMZB.內(nèi)網(wǎng)主干C.內(nèi)網(wǎng)關(guān)鍵子網(wǎng)D.外網(wǎng)入口28 .入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說法錯誤的是（A）。A.對用戶知識要求高、配置、操作和管理使用過于簡單，容易遭到攻擊B.入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負擔很重C.入侵檢測系統(tǒng)在應對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響D.警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)29 .物理安全是一個非常關(guān)鍵的領(lǐng)域，包括環(huán)境安全。設施安全與傳輸安全。其中，信息系統(tǒng)的設施作為直接存儲、處理數(shù)據(jù)的載體，其安全性對信息系統(tǒng)至關(guān)重要。

21、下列選項中，對設置安全的保障措施的描述正確的是（B）A.安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B.建立安全區(qū)域需要建立安全屏蔽及訪問控制機制C.由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進行邊界保護D.閉路電視監(jiān)控系統(tǒng)的前端設備包括攝像機、數(shù)字式控制錄像設備，后端設備包括中央控制設備，監(jiān)視器等。30 .小王是某通信運營商公司的網(wǎng)絡按武安架構(gòu)師，為該公司推出的一項新型通信系統(tǒng)項目做安全架構(gòu)規(guī)劃，項目客戶要求對他們的大型電子商務網(wǎng)絡進行安全域的劃分，化解為小區(qū)域的安全保護，每個邏輯區(qū)域有各自的安全訪問控制和邊界控制策略，以實現(xiàn)大規(guī)模電子商務系統(tǒng)的信息保護。小王對信息系統(tǒng)安全域（保護

22、對象）的劃分不需要考慮的是（D）A.業(yè)務系統(tǒng)邏輯和應用關(guān)聯(lián)性，業(yè)務系統(tǒng)是否需要對外連接B.安全要求的相似性，可用性、保密性和完整性的要求是否類似C.現(xiàn)有網(wǎng)絡結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機房等D.數(shù)據(jù)庫的安全維護31.某銀行有5臺交換機連接了大量交易機構(gòu)的網(wǎng)路（如圖所示），在基于以太網(wǎng)的通信中，計算機A需要與計算機B通信，A必須先廣播“ARP請求信息”，獲取計算機B的物理地址。沒到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡服務速度極其緩慢。銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當其中一臺交換機收到ARP青求后，會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口，ARP青求會被轉(zhuǎn)發(fā)到網(wǎng)絡中的所有客戶機上。為降低網(wǎng)絡的帶寬消耗，將廣播流限制在固定

23、區(qū)域內(nèi)，可以采用的技術(shù)是（A）A.VLAMa分B.動態(tài)分配地址C.為路由交換設備修改默認口令D.設立入侵防御系統(tǒng)32 .在Windos7中，通過控制面板（管理工具一一本地安全策略一一安全設置一一賬戶策略）可以進入操作系統(tǒng)的密碼策略設置界面，下面哪項內(nèi)容不能在該界面進行設置（D）A.密碼必須符合復雜性要求B.密碼長度最小值C.強制密碼歷史D.賬號鎖定時間33 .Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設某文件的訪問限制使用了755來表示，則下面哪項是正確的（B）A.這個文件可以被任何用戶讀和寫B(tài).這個可以被任何用戶讀和執(zhí)行C.這個文件可以被任何用戶寫和執(zhí)行D.這個文件不可以被所有用戶寫和

24、執(zhí)行34 .操作系統(tǒng)用于管理計算機資源，控制整個系統(tǒng)運行，是計算機軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應的安全配置接口。小王新買了一臺計算機，開機后首先對自帶的Windows操作系統(tǒng)進行配置。他的主要操作有：（1）關(guān)閉不必要的服務和端口；（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補??；（4）關(guān)閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯誤的是（D）A.操作（1）,應該關(guān)閉不必要的服務和所有端口B.操作（2）,在“本地安全策略”中不應該配置公鑰策略，而應該配置私鑰策略

25、C.操作（3）,備份敏感文件會導致這些文件遭到竊取的幾率增加D.操作（4）,應該開啟審核策略35 .在Windows系統(tǒng)中，存在默認共享功能，方便了局域網(wǎng)用戶使用，但對個人用戶來說存安全風險。如果電腦聯(lián)網(wǎng)，網(wǎng)絡上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計算機上進行安全設置時，需要關(guān)閉默認共享。下列選項中，不能關(guān)閉默認共享的操作是（A）A.將“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserparaneters”項中的"Autodisconnect”項鍵值改為0B.將“HKEY_LOCA

26、L_MACHINESYSTEMCurrentControlSetServiceslenmanserparaneters”項中的"AutoShareServer”項鍵值改為0C.將“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserparaneters”項中的"AutoShareWkS項鍵值改為0D.在命令窗口中輸入命令，刪除C盤默認共享：netshareC$/del36 .從Linux內(nèi)核2.1版開始，實現(xiàn)了基于權(quán)能的特權(quán)管理機制，實現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用

27、戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機制的理解錯誤的是（D）A.普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能B.系統(tǒng)管理員可以剝奪和恢復超級用戶的某些權(quán)能C.進程可以放棄自己的某些權(quán)能D.當普通用戶的某些操作涉及特權(quán)操作時，仍然通過setuid實現(xiàn)37 .Linux系統(tǒng)的安全設置中，對文件的權(quán)限操作是一項關(guān)鍵操作。通過對文件權(quán)限的設置，能夠保障不同用戶的個人隱私和系統(tǒng)安全。文件fib.c的文件屬性信息如下圖所示，小張想要修改其文件權(quán)限，為文件主增加執(zhí)行權(quán)限，并刪除組外其他用戶的寫權(quán)限，那么以下操作中正確的是（C）-rw-rw-rw-

28、1zhangusers315Jul2011:55fib.cA. #chmodu+x,a-wfib.cB. #chmodug+x,o-wfib.cC. #chmod764fib.cD. #chmod467fib.c38 .隨著時代的發(fā)展，有很多偉人都為通信事業(yè)的發(fā)展貢獻出自己力量，根據(jù)常識可知以下哪項是正確的？（時間緊，本題老師暫忽略?。〢. 19世紀中期以后，隨著電磁技術(shù)的發(fā)展，誕生了筆記本電腦，信領(lǐng)域產(chǎn)生了根本性的飛躍，開始了為類通信新時代B. 1837年，美國人費曼發(fā)明了電報機，可將信息轉(zhuǎn)換成電脈沖傳向目的地，再轉(zhuǎn)換為原來的信息，從而實現(xiàn)了長途電報通信C. 1875年，貝爾（Bell）發(fā)明

29、了電話機。1878年在相距300公里的波士頓和紐約之間進行了首次長途電話實驗，獲得了成功D. 1906年美國物理學家摩斯發(fā)明出無線電廣播。法國人克拉維爾建立了英法第一條商用無線電線路，推動了無線電技術(shù)的進一步發(fā)展39 .關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：（A）A.要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標準和通行做法，堅持管理與技術(shù)并重B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C.在信息安全保障建設的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D.在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用40 .軟件安

30、全設計和開發(fā)中應考慮用戶隱私保護，以下關(guān)于用戶隱私保護的說法錯誤的是？（C）A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B.當用戶的數(shù)據(jù)由于某種原因要被使用時，給客戶選擇是否允許C.用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)41 .關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設計的重要內(nèi)容，下面關(guān)于“實體完整性”的描述正確白是（B）A.指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項B.指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復C.指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度

31、等約束D.指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以42 .數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：（B）A.傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B.傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)路接口層C.互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D.互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層43 .安全多用途互聯(lián)網(wǎng)郵件擴展（SecureMultipurposeInternetMailPxtension,S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（C）A. S/MIME采用了非對稱密碼學機制B. S/MIME支持數(shù)

32、字證書C. S/MIME采用了郵件防火墻技術(shù)D. S/MIME支持用戶身份認證和郵件加密44 .ApacheHTTPServer（簡稱Apache）是一個開放源碼的Web服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下哪種措施（B）A.不選擇Windows平臺，應選擇在Linux平臺下安裝使用B.安裝后，修改配置文件http.conf中的有關(guān)參數(shù)C.安裝后，刪除ApscheHTTPServer源碼D.從正確的官方網(wǎng)站下載ApecheHTTPServer,并安裝使用45 .InternetExplorer,簡稱IE,是微軟公

33、司推出的一款WebJ覽器，IE中有很多安全設置選項，用來設置安全上網(wǎng)環(huán)境和保護用戶隱私數(shù)據(jù)。以下哪項不是IE中的安全配置項目（C）A.設置Cookie安全，允許用戶根據(jù)自己安全策略要求者、設置Cookie策略，包括從阻止所有Cookie到接受所有Cookie,用戶也可以選擇刪除已經(jīng)保存過的CookieB.禁用自動完成和密碼記憶功能，通過設置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁止IE自動記憶表單中的用戶名和口令信息C.設置每個連接的最大請求數(shù)，修改MuKeepActivEcquests,如果同時請求數(shù)達到閾值就不再響應新的請求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用D.為網(wǎng)站設置

34、適當?shù)臑g覽器安全級別，用戶可以將各個不同的網(wǎng)站劃分到Internet、本地Internet、受信任的站點、受限制的站點等不同安全區(qū)域中，以采取不同的安全訪問策略46 .下面對“零日（zero-day）漏洞”的理解中，正確的是（D）A.指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B.指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設施C.指一類漏洞，即特別好被被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目標D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些

35、已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補丁的漏洞都是零日漏洞47 .為達到預期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯誤的是（C）A.隱藏惡意代碼進程，即將惡意代碼進程隱藏起來，或者改名和使用系統(tǒng)進程名，以更好的躲避檢測，迷惑用戶和安全檢測人員B.隱藏惡意代碼的網(wǎng)絡行為，復用通用的網(wǎng)絡端口，以躲避網(wǎng)絡行為檢測和網(wǎng)絡監(jiān)控C.隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進制代碼，以躲避用戶和安全檢測人員D.隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOO岐術(shù)、以躲避系統(tǒng)文件檢查和清除48 .某網(wǎng)絡管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站

36、的入站ICM啪量上升250煙管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導提出了應對措施，作為主管負責人，請選擇有效的針對此問題的應對措施：（A）A.在防火墻上設置策略，阻止所有的ICM啪量進入（關(guān)掉ping）B.刪除服務器上的ping.exe程序C.增加帶寬以應對可能的拒絕服務攻擊D.增加網(wǎng)站服務以應對即將來臨的拒絕服務攻擊49 .對于信息安全風險評估，下列選項中正確的是（B）A.風險評估是需要實施一次就可以B.風險評估應該根據(jù)變化了的情況定期或不定期的適時地進行C.風險評估不需要形成文件化評估結(jié)果報告D.風險評估僅對網(wǎng)絡做定期的掃描就行50 .對于信息安全風險評估

37、，下列選項中正確的是（B）A.風險評估是需要實施一次就可以B.風險評估應該根據(jù)變化了的情況定期或不定期的適時地進行C.風險評估不需要形成文件化評估結(jié)果報告D.風險評估僅對網(wǎng)絡做定期的掃描就行51 .關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是（D）A.ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARPS存中，從而起到冒充主機的目的B.單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARPS存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D.徹底解決ARP欺

38、騙的方法是避免使用ARPB議和ARPS存，直接采用IP地址和其他主機進行連接52.在軟件保障成熟度模型（SoftwareAssuranceMaturityMode,SAMM中規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能：（D）A.治理，主要是管理軟件開發(fā)的過程和活動B.構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程與活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動53 .軟件存在漏洞和缺陷是不可避免的，實踐中嘗試用軟件缺陷密度（Defects/KLOC）來衡量軟件的安全性。假設某個軟件共有29.6萬行源

39、代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是（C）A. 0.00049B. 0.049C. 0.49D. 4954 .某網(wǎng)站在設計時經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在Web目錄下導致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題，以下哪種測試方式是最佳的測試方式：（C）A.模糊測試B.源代碼測試C.滲透測試D.軟件功能測試55 .基于對（）的信任，當一個請求成命令來自一個“權(quán)威”人士時，這個請求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門”人員。要求受害者轉(zhuǎn)到賬所謂“安全賬戶”就是利用了受害

40、者對權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者只能操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進行一次系統(tǒng)測試，要求（）等。AA.權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡攻擊；更改密碼B.權(quán)威；執(zhí)行；網(wǎng)絡攻擊；電信詐騙，更改密碼C.執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡攻擊；更改密碼D.執(zhí)行；權(quán)威；網(wǎng)絡攻擊；電信詐騙；更改密碼A)56 .下面有關(guān)軟件安全問題的描述中，哪項不是由于軟件設計缺陷引起的（A.設計了用戶權(quán)限分級機制和最小特權(quán)原則，導致軟件在發(fā)布運行后，系統(tǒng)管理員不能查看系統(tǒng)審計信息B.設計了采用不加鹽（SALT白SSHA-1算法對用戶口令進行加密存儲，導致軟件在發(fā)布運

41、行后，不同的用戶如使用了相同的口令會得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C.設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D.設計了采用自行設計的加密算法對網(wǎng)絡傳輸數(shù)據(jù)進行保護，導致軟件在發(fā)布運行后，被攻擊對手截獲網(wǎng)絡數(shù)據(jù)并破解后得到明文57 .某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登錄時如用戶名或口令輸入錯誤，給用戶返回“用戶名或口令輸入錯誤”信息，輸入錯誤達到三次，將暫時禁止登錄該賬戶，請問以上安全設計遵循的是哪項安全設計原則：（C）A.最小共享機制原則B.經(jīng)濟機制原則C.不信任

42、原則D.默認故障處理保護原則58 .信息安全風險評估是針對事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進行識別、評價的過程，下列選項中不屬于風險評估要素的是（D）A.資產(chǎn)B.脆弱性C.威脅D.安全需求59 .小王在學習信息安全管理體系相關(guān)知識之后，對于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是（B）A.信息安全管理體系的建立應參照國際國內(nèi)有關(guān)標準實施，因為這些標準是標準化組織在總結(jié)研究了很多實際的或潛在的問題后，制定的能共同的和重復使用的規(guī)則B.信息安全管理體系的建立應基于最新的信息安全技術(shù)，因為這是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預防控制為主的

43、思想C.信息安全管理體系應強調(diào)全過程和動態(tài)控制的思想，因為安全問題是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會一成不變的，不可能建設永遠安全的系統(tǒng)D.信息安全管理體系應體現(xiàn)科學性和全面性的特點，因為要對信息安全管理設計的方方面面實施較為均衡的管理，避免遺漏某些方面而導致組織的整體信息安全水平過低60 .ISO9001-2000標準跪在制定、實施質(zhì)量管理體系以及改進其有效性時采用過程方法,通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應填寫（D）A.策略B.管理者C.組織D.活動61 .ISO27002（Informationtechnology-Securitytechniqu

44、es0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理標準之一，下圖是關(guān)于其演進變化示意圖，圖中括號空白處應填寫（B）A. BS7799.1.3B. ISO17799C. AS/NZS4630D. NISTSP800-3762 .王明買了一個新的藍牙耳機，但王明聽說使用藍牙設備有一定的安全威脅，于是王明找到了在藍牙技術(shù)有所了解的王紅，希望王紅能夠給自己一點建議，以下哪一條建議不可?。–）A.再選擇使用藍牙設備時，應考慮設備的技術(shù)實現(xiàn)及設置是否舉辦防止上述安全威脅的能力B.選擇使用功能合適的設備而不是功能盡可能多的設備，盡量關(guān)閉不使

45、用的服務及功能C.如果藍牙設備丟失，最好不要做任何操作、D.在配對時使用隨機生成的密鑰，不使用時設置不可被其他藍牙設備發(fā)現(xiàn)63 .在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應有職責的是（D）A.制定并頒布信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領(lǐng)，明確總體要求B.確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可實施C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D.建立健全信息安全制度，明確

46、安全風險管理作用，實施信息安全風險評估過程，確保信息安全風險評估技術(shù)選擇合理、計算正確64 .風險處理是依據(jù)（）。選擇和實施合適的安全措施。風險處理的目的是為了將（）始終控制在可接受的范圍內(nèi)。風險處理的方式主要有（）、（）、（）和（）四種方式【C】A.風險，風險評估的結(jié)果，降低，規(guī)避，轉(zhuǎn)移，接受B.風險評估的結(jié)果，風險，降低，規(guī)避，轉(zhuǎn)移，接受C.風險評估，風險，降低，規(guī)避，轉(zhuǎn)移，接受D.風險，風險評估，降低，規(guī)避，轉(zhuǎn)移，接受65.我國標準信息安全風險管理指南（GB/Z24364）給出了信息安全風險管理的內(nèi)批準監(jiān)督溝通咨詢?nèi)莺瓦^程，可以用下圖來表示。圖中空白處應該填寫（D）監(jiān)控審查A.風險計算B

47、.風險評價C.風險預測D.風險處理66 .在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的（B）A.背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準，以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務目標和特性B.背景建立階段應識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時確認已有的安全措施，形成需要保護的資產(chǎn)清單C.背景建立階段應調(diào)查信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報告D.背景建立階段應分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告67 .降低風險（或減低風險）是指通過對面臨風險的資

48、產(chǎn)采取保護措施的方式來降低風險，下面哪個措施不屬于降低風險的措施（B）A.減少威脅源。采用法律的手段制按計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B.簽訂外包服務合同。將有技術(shù)難點、存在實現(xiàn)風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險C.減少脆弱性。及時給系統(tǒng)補丁，關(guān)閉無用的網(wǎng)絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性68 .某單位在一次信息安全風險管理活動中，風險評估報告提出服務器A的FTP服務存在高風險漏洞。隨后該單位在風險處理時選擇了關(guān)閉FTP服務的處理措施。請問該措施屬于哪種風險處理方式（B）A.風險降低B.風險規(guī)避C.風險轉(zhuǎn)移

49、D.風險接受69 .16.在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度與重視我國信息安全人才隊伍的培養(yǎng)和建設。在一下關(guān)于我國人才培養(yǎng)工作的描述中，錯誤的是（C）A.在國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)（2003）27號），針對信息安全人才建設與培養(yǎng)工作提出了“加快信息安全人才培養(yǎng)，增強全民信息安全意識”的指導精神B.2015年，為加快網(wǎng)絡空間安全高層次人才培養(yǎng)，經(jīng)報道國務院學位委員會批準，國務院學位委員會、教育部決定在“工學”門類下增設“網(wǎng)絡空間安全”一級學科，這對于我國網(wǎng)絡信息安全人才成體系化，規(guī)?；?，系統(tǒng)化培養(yǎng)起到積極的推動作用。C.經(jīng)過十余年的發(fā)

50、展，我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化。每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多，基本能同社會實際需求相匹配；同時，高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識更全面，因而社會化培養(yǎng)應重點放在非安全專業(yè)人才培養(yǎng)上D.除正規(guī)大學教育外，我國信息安全非學歷教育已基本形成了以各種認證為核心，輔以各種職業(yè)技能培訓的信心安全人才培訓體系，包括“注冊信息安全專業(yè)人員（CISP）”資質(zhì)認證和一些大型企業(yè)的信息安全資質(zhì)認證70 .信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡與信息安全協(xié)調(diào)小組發(fā)布的關(guān)于開展信息安全風險評估工作的意見（國信辦20065號）中，風險評估分為自評估和檢查評估兩種形式

51、，并對兩種工作形勢提出了有關(guān)工作原則和要求。下面選項中描述正確的是（A）A.信息安全風險評估應以自評估為主，自評估和檢查評估相互結(jié)合、互為補充B.信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C.自評估和檢查評估時相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D.自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果71 .以下行為不屬于違反國家保密規(guī)定的行為：（D）A.將涉密計算機、涉密存儲設備接入互聯(lián)網(wǎng)及其它公共信息平臺B.通過普通郵政等無保密措施的渠道傳遞國家秘密載體C.在私人交往中涉及國家秘密D.以不正當手段獲取商業(yè)秘密72.小

52、陳自學了信息安全風險評估的相關(guān)國家標準后，將風險計算的有關(guān)公式使用圖形來表示，下面四個圖中F1、F2、F3、F4分別代表某種計算函數(shù)。四張圖中，計算關(guān)系表達正確的是（C）威脅出現(xiàn)的頻率J/安全事件發(fā)生的F1».可能性:資產(chǎn)價值八/A./,，一威脅出現(xiàn)的頻率,安全事件造成的飛4.損失:脆弱性嚴重程度.D.J73.風險分析是風險評估工作中的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風險大小，其中風險計算矩陣如下圖所示。請為圖中括號空白處選擇合適的內(nèi)容（D）安全事件發(fā)生可能性12345()13691216258111518367131721471

53、11620235914202325A,安全資產(chǎn)價值大小等級B.脆弱性嚴重程度等級C.安全風險隱患嚴重等級D.安全事件造成損失大小74.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2;其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2;而資產(chǎn)A2面臨一個主要威脅，威脅T3;威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2;威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3k脆弱性V4和脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性；脆弱性V6和脆弱性V7.根據(jù)上述條件，請問：使用相乘法時，應該為資

54、產(chǎn)A1計算幾個風險值（C）A. 2B. 3C. 5D.675 .信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者，下面描述錯誤的是（C）A.內(nèi)部審核和管理審評都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B.內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理審評會議的形式進行C.內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務機構(gòu)D.組織的信息安全方針、信息安全目標和有關(guān)ISMS文

55、件等，在內(nèi)部審核中作為審核準使用，但在管理評審中，這些文件是被審對象76 .隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開文&嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS,下面描述錯誤的是（A）A.在組織中，應有信息技術(shù)責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領(lǐng)，明確總體要求B.組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體、具備可行性C.組織的信息安全目標、信息安全方針和要求應傳達

56、到全組織范圍內(nèi)，應包括全體員工，同時，也應傳達客戶、合作伙伴和供應商等外部各方D.組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受和相關(guān)殘余風險77 .在風險管理中，殘余風險是指在實施了新的或增強的安全措施后還剩下的風險，關(guān)于殘余風險，下面描述錯誤的是（D）A.風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程B.管理層確認接受殘余風險，是對風險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風險，并理解在風險一旦變?yōu)楝F(xiàn)實后，組織能夠且必須承擔引發(fā)的后果C.接受殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制地提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術(shù)的等因素的