試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷5)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：?jiǎn)雾?xiàng)選擇題，共94題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.宏病毒是一種專(zhuān)門(mén)感染微軟office格式文件的病毒，下列A)*.exeB)*.docC)*.xlsD)*.ppt答案:B解析:[單選題]2.惡意代碼問(wèn)題,不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失,而且使國(guó)家的安全面臨著嚴(yán)重威脅。目前國(guó)際上一些發(fā)達(dá)國(guó)家(如美國(guó),德國(guó),日本等)均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長(zhǎng)期的研究,并取得了一定的成功。程序員小張想開(kāi)發(fā)一款?lèi)阂獯a的檢測(cè)軟件,經(jīng)過(guò)相關(guān)準(zhǔn)備后,他在如下選項(xiàng)中選擇了一個(gè)最正確的代碼的檢測(cè)思路進(jìn)行了軟件開(kāi)發(fā),你認(rèn)為是哪一個(gè)()A)簡(jiǎn)單運(yùn)行B)發(fā)送者身份判斷C)禁止未識(shí)別軟件運(yùn)行D)特征碼掃描答案:D解析:[單選題]3.銀行A、B分別用自己的信息系統(tǒng)為用戶紀(jì)錄賬戶余額，第三方支付C負(fù)責(zé)銀行A和B的的交易管控與備份，若銀行A的客戶與銀行B的客戶發(fā)生糾紛，C作為唯一的掌控性交易信息的第三方，與任何一方X通，都不能維護(hù)客戶的合法利益。為解決類(lèi)似問(wèn)題，他們采用了私有鏈技術(shù)構(gòu)建僅有A、B、C三方X護(hù)的半公開(kāi)網(wǎng)絡(luò)，私有鏈的XXXX于（）A)任何個(gè)體或者團(tuán)體都可以發(fā)送交易B)獨(dú)享該區(qū)塊鏈的寫(xiě)入權(quán)限C)交易能夠獲得該區(qū)塊鏈的有效確認(rèn)D)任何人都可以參與其共享過(guò)程答案:C解析:[單選題]4.下列選項(xiàng)中,對(duì)圖中出現(xiàn)的錯(cuò)誤描述正確的是()A)步驟1和2發(fā)生錯(cuò)誤,應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB)步驟3和4發(fā)生錯(cuò)誤,應(yīng)該本地TGS請(qǐng)求并獲得遠(yuǎn)程TGTC)步驟5和6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD)步驟5和6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程TGT答案:B解析:[單選題]5.一般來(lái)說(shuō)，個(gè)人計(jì)算機(jī)中的防病毒軟件無(wú)法防御以下哪類(lèi)威脅？A)WORD.病毒B)D.D.OS攻擊C)電子郵件病毒D)木馬答案:B解析:[單選題]6.下列技術(shù)不能使網(wǎng)頁(yè)被篡改后能夠自動(dòng)恢復(fù)的是____。A)A限制管理員的權(quán)限B)B輪詢檢測(cè)C)C事件觸發(fā)技術(shù)D)D核心內(nèi)嵌技術(shù)答案:A解析:[單選題]7.在信息系統(tǒng)中，訪問(wèn)控制是重要的安全功能之一。他的任務(wù)是在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行管理，防止對(duì)信息的非授權(quán)篡改和濫用。訪問(wèn)控制模型將實(shí)體劃分為主體和客體兩類(lèi)，通過(guò)對(duì)主體身份的識(shí)別來(lái)限制其對(duì)客體的訪問(wèn)權(quán)限。下列選項(xiàng)中，對(duì)主體、客體和訪問(wèn)權(quán)限的描述中錯(cuò)誤的是？A)對(duì)文件進(jìn)行操作的用戶是一種主體B)主體可以接受客體的信息和數(shù)據(jù)，也可能改變客體相關(guān)的信息C)訪問(wèn)權(quán)限是指主體對(duì)客體所允許的操作D)對(duì)目錄的訪問(wèn)權(quán)可分為讀、寫(xiě)和拒絕訪問(wèn)答案:D解析:[單選題]8.如果只能使用口令遠(yuǎn)程認(rèn)證,以下哪種方案安全性最好?A)高質(zhì)量靜態(tài)口令,散列保護(hù)傳輸B)高質(zhì)量靜態(tài)口令,固定密鑰加密保護(hù)傳輸C)動(dòng)態(tài)隨機(jī)口令,明文傳輸D)高質(zhì)量靜態(tài)口令,增加隨機(jī)值,明文傳輸答案:C解析:[單選題]9.在風(fēng)險(xiǎn)管理中,殘余風(fēng)險(xiǎn)是指實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn),關(guān)于殘余風(fēng)險(xiǎn),下面描述錯(cuò)誤的是()A)風(fēng)險(xiǎn)處理措施確定以后,應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單,并獲得管理層對(duì)殘余風(fēng)險(xiǎn)的書(shū)面批準(zhǔn),這也是風(fēng)險(xiǎn)管理中的一個(gè)重要過(guò)程B)管理層確認(rèn)接收殘余風(fēng)險(xiǎn),是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn),并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后,組織能夠且承擔(dān)引發(fā)的后果C)接收殘余風(fēng)險(xiǎn),則表明沒(méi)有必要防范和加固所有的安全漏洞,也沒(méi)有必要無(wú)限制的提高安全保護(hù)措施的強(qiáng)度,對(duì)安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的限制D)如果殘余風(fēng)險(xiǎn)沒(méi)有降低到可接受的級(jí)別,則只能被動(dòng)的選擇接受風(fēng)險(xiǎn),即對(duì)風(fēng)險(xiǎn)不進(jìn)行下一步的處理措施,接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果。答案:D解析:[單選題]10.小陳自學(xué)了風(fēng)評(píng)的相關(guān)國(guó)家準(zhǔn)則后,將風(fēng)險(xiǎn)的公式用圖形來(lái)表示,下面F1,F2,F3,F4分別代表某種計(jì)算函數(shù),四張圖中,那個(gè)計(jì)算關(guān)系正確A)style="width:auto;"class="fr-ficfr-filfr-dib">B)style="width:auto;"class="fr-ficfr-filfr-dib">C)style="width:auto;"class="fr-ficfr-filfr-dib">D)style="width:auto;"class="fr-ficfr-filfr-dib">答案:C解析:[單選題]11.在對(duì)Linux系統(tǒng)中Dir目錄及其子目錄進(jìn)行權(quán)限權(quán)限統(tǒng)一調(diào)整時(shí)所使用的命令是什么?A)rm-fr-755/DirB)ls-755/DirC)ChmoD755/DirD)ChmoD-R755/Dir答案:D解析:[單選題]12.63.GaryMcGraw博士及其合作者提出軟件安全應(yīng)由三根支柱來(lái)支撐，這三個(gè)支柱是（）。A)A．源代碼審核、風(fēng)險(xiǎn)分析和滲透測(cè)試B)B．應(yīng)用風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)C)C．威脅建模、滲透測(cè)試和軟件安全接觸點(diǎn)D)D．威脅建模、源代碼審核和模糊測(cè)試答案:B解析:[單選題]13.394.小陳自學(xué)了信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)國(guó)家標(biāo)準(zhǔn)后,將風(fēng)險(xiǎn)計(jì)算的有關(guān)公式使用圖形來(lái)表示,下面四個(gè)圖中F1、F2、F3、F4分別代表某種計(jì)算函數(shù)。四張圖中,計(jì)算關(guān)系表達(dá)正確的是:F3A)F1B)F2C)F3D)F4答案:C解析:[單選題]14.CISP職業(yè)道德包括誠(chéng)實(shí)守信，遵紀(jì)守法，主要有()。A)不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠(chéng)信原則的行為；不利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件B)熱愛(ài)信息安全工作崗位，充分認(rèn)識(shí)信息安全專(zhuān)業(yè)工作的責(zé)任和使命:為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險(xiǎn)做出應(yīng)有的努力和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地做出應(yīng)對(duì)信息安全問(wèn)題的建議和幫助C)自覺(jué)維護(hù)國(guó)家信息安全，拒絕并抵制泄露國(guó)家秘密和破壞國(guó)家信息基礎(chǔ)設(shè)施的行為；自覺(jué)維護(hù)網(wǎng)絡(luò)社會(huì)安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會(huì)和諧的行為；自覺(jué)維護(hù)公眾信息安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個(gè)人隱私的行為D)通過(guò)持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識(shí)；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實(shí)踐能力；以CISP身份為榮，積極參與各種證后活動(dòng)，避免任何損害CISP聲譽(yù)形象的行為答案:A解析:[單選題]15.28.攻擊者通過(guò)向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上ARP緩存，形成一個(gè)錯(cuò)誤的IP地址<->MAC地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)送數(shù)據(jù)時(shí)封裝錯(cuò)誤的MAC地址。欺騙攻擊過(guò)程如下圖示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過(guò)程()A)ARPB)IPC)DNSD)SN答案:A解析:[單選題]16.共計(jì)（），（），主要內(nèi)容包括：網(wǎng)絡(luò)空間主權(quán)原則，網(wǎng)絡(luò)運(yùn)行安全制度、（）、網(wǎng)絡(luò)信息保障制度、（）、等級(jí)保護(hù)制度、（）等。A)9章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測(cè)預(yù)警制度；網(wǎng)絡(luò)安全審查制度B)8章；79條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測(cè)預(yù)警制度；網(wǎng)絡(luò)安全審查制度C)8章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測(cè)預(yù)警制度；網(wǎng)絡(luò)安全審查制度D)7章；79條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測(cè)預(yù)警制度；網(wǎng)絡(luò)安全審查制度答案:D解析:[單選題]17.分析針對(duì)Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問(wèn)題的，就是說(shuō)攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯(cuò)誤的是（）A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯(cuò)誤的訪問(wèn)控制答案:B解析:[單選題]18.23.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（）A)信息安全管理體系（ISMS）B)信息安全等級(jí)保護(hù)C)NISTSP800D)ISO270000系列答案:B解析:[單選題]19.25.關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程描述不正確的是()A)基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低B)應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的C)一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段D)一種校廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)色響應(yīng)管理過(guò)程分為準(zhǔn)備、檢刻、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段，這6個(gè)階段的響應(yīng)方法一定能確保事件處理的成功答案:D解析:[單選題]20.以下對(duì)Windows賬號(hào)的描述，正確的是A)Windows系統(tǒng)是采用SID（安全標(biāo)識(shí)符）來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限B)Windows系統(tǒng)是采用用戶名來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限C)Windows系統(tǒng)默認(rèn)會(huì)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都不允許改名和刪除D)Windows系統(tǒng)默認(rèn)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都可以改名和刪除答案:A解析:[單選題]21.下面哪一項(xiàng)最好地描述了風(fēng)險(xiǎn)分析的目的?A)識(shí)別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B)識(shí)別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C)識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)D)識(shí)別同責(zé)任義務(wù)有直接關(guān)系的威脅答案:C解析:[單選題]22.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶隱私保護(hù),以下關(guān)于用戶隱私保護(hù)的說(shuō)法錯(cuò)誤的是()A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí),給客戶選擇是否允許C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D)確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)答案:C解析:客戶的私人信息都是隱私數(shù)據(jù)而不僅僅是用戶名和密碼。[單選題]23.關(guān)閉WinD.ows網(wǎng)絡(luò)共享功能需要關(guān)閉以下哪項(xiàng)服務(wù)？A)SERVERB)WORKSTA.TIONC)SERVIC.ELA.YERD)TERMINA.LSERVIC.ES答案:A解析:[單選題]24.你來(lái)到服務(wù)器機(jī)房股比的一間辦公室，發(fā)現(xiàn)窗戶壞了，由于這不是你的辦公室，你要求在這里辦公的員工請(qǐng)維修工來(lái)把窗戶修好，你離開(kāi)后，沒(méi)有再過(guò)問(wèn)這扇窗戶的事情。這件事情的結(jié)果對(duì)與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響？A)如果窗戶被修好，威脅真正出現(xiàn)的問(wèn)題性會(huì)增加B)如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變C)如果窗戶沒(méi)有被修好，威脅真正出現(xiàn)的可能性會(huì)下降D)如果窗戶沒(méi)有被修好，威脅真正出現(xiàn)的可能性會(huì)增加答案:B解析:[單選題]25.下列關(guān)于啟發(fā)式病毒掃描技術(shù)的描述中錯(cuò)誤的是____。A)A啟發(fā)式病毒掃描技術(shù)是基于人工智能領(lǐng)域的啟發(fā)式搜索技術(shù)B)B啟發(fā)式病毒掃描技術(shù)不依賴(lài)于特征代碼來(lái)識(shí)別計(jì)算機(jī)病毒C)C啟發(fā)式病毒掃描技術(shù)不會(huì)產(chǎn)生誤報(bào)，但可能會(huì)產(chǎn)生漏報(bào)D)D啟發(fā)式病毒掃描技術(shù)能夠發(fā)現(xiàn)一些應(yīng)用了已有機(jī)制或行為方式的病毒答案:C解析:[單選題]26.50.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是（）A)殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來(lái)說(shuō)，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘發(fā)新的安全事件C)實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D)信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)答案:D解析:[單選題]27.作為信息中心的主任，你發(fā)現(xiàn)沒(méi)有足夠的人力資源保證將數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員的崗位分配給兩個(gè)不同的人擔(dān)任，這種情況造成了一定的安全風(fēng)險(xiǎn)。這時(shí)你應(yīng)當(dāng)怎么做？A)抱怨且無(wú)能為力B)向上級(jí)報(bào)告該情況，等待增派人手C)通過(guò)部署審計(jì)措施和定期審查來(lái)降低風(fēng)險(xiǎn)D)由于增加人力會(huì)造成新的人力成本，所以接受該風(fēng)險(xiǎn)答案:C解析:[單選題]28.34.對(duì)系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯(cuò)誤的是：A)系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營(yíng)管理進(jìn)行研究B)系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論C)系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法D)系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法答案:C解析:[單選題]29.下列軟件開(kāi)發(fā)模型中，支持需求不明確，特別是大型軟件系統(tǒng)的開(kāi)發(fā)，并支持多種軟件開(kāi)發(fā)方法的模型是().A)原型模型B)瀑布模型C)噴泉模型D)螺旋模型答案:D解析:[單選題]30.IPV4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依拿IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和,IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計(jì)目標(biāo)是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性,下列選項(xiàng)中說(shuō)法錯(cuò)誤的是()A)對(duì)于IPv4,IPSec是可選的,對(duì)于IPv6,IPSec是強(qiáng)制實(shí)施的。B)IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C)IPSec是一個(gè)單獨(dú)的協(xié)議。D)ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制答案:C解析:[單選題]31.關(guān)于XSS漏洞分類(lèi)說(shuō)法錯(cuò)誤的是A)存儲(chǔ)型XSSB)反射型XSSC)擴(kuò)展性XSSD)DOM型XSS答案:C解析:[單選題]32.88.訪問(wèn)控制是對(duì)用戶或用戶訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）A)ACL只能由管理員進(jìn)行管理B)ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和級(jí)的SIDC)訪問(wèn)令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn))通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制答案:A解析:[單選題]33.近幾年，無(wú)線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個(gè)領(lǐng)域。而無(wú)線信道是一個(gè)開(kāi)放性信道，它在賦予無(wú)線用戶通信自由的同時(shí)也給無(wú)線通信網(wǎng)絡(luò)帶來(lái)一些不安全因素。下列選項(xiàng)中，對(duì)無(wú)線通信技術(shù)的安全特點(diǎn)描述正確的是（）A)無(wú)線通道是一個(gè)開(kāi)放性通道，任何具有適當(dāng)無(wú)線設(shè)備的人均可以通過(guò)搭線竊聽(tīng)而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過(guò)傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C)對(duì)于無(wú)線局域網(wǎng)絡(luò)和無(wú)線個(gè)人區(qū)域網(wǎng)絡(luò)來(lái)說(shuō)，它們的通信內(nèi)容更容易被竊聽(tīng)D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容答案:C解析:[單選題]34.下列選項(xiàng)中,與面向構(gòu)件提供者的構(gòu)件測(cè)試目標(biāo)無(wú)關(guān)的是().A)檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量B)檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C)盡可能多地揭示構(gòu)件錯(cuò)誤D)驗(yàn)證構(gòu)件的功能、接口、行為和性能答案:A解析:[單選題]35.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式:用戶登錄時(shí),認(rèn)證服務(wù)器(AuthenticationServer,AS)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶,用戶用某種單向算法將自己的口令、種子密鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令,并發(fā)送給AS,AS用同樣的方法計(jì)算后,驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份A)口令序列B)時(shí)間同步C)挑戰(zhàn)/應(yīng)答D)靜態(tài)口令答案:C解析:題干描述的是C的解釋。[單選題]36.60.在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記錄、國(guó)家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對(duì)信息化工程進(jìn)行（）安全檢查，以驗(yàn)證項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級(jí)要求。A)功能性B)可用性C)保障性D)符合性答案:D解析:[單選題]37.某公司正在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，在決定信息資產(chǎn)的分類(lèi)與分級(jí)時(shí)，誰(shuí)負(fù)有最終責(zé)任？A)部門(mén)經(jīng)理B)高級(jí)管理層C)信息資產(chǎn)所有者D)最終用戶答案:C解析:[單選題]38.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是？A)傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B)傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C)互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D)互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案:B解析:[單選題]39.下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型，這個(gè)模型經(jīng)常使用圖形的形式來(lái)表達(dá)的下圖空白處應(yīng)填A(yù))策略B)方針C)人員D)項(xiàng)目答案:B解析:[單選題]40.在軟件保障成熟度模型（SoftwareAssuranceMaturityMode，SAMM）中規(guī)定了軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能？A)治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng)B)構(gòu)造，主要是在開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng)C)驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng)D)購(gòu)置，主要是購(gòu)買(mǎi)第三方商業(yè)軟件或者采用開(kāi)源組件的相關(guān)管理過(guò)程與活動(dòng)答案:D解析:教材P400，治理、構(gòu)造、驗(yàn)證、部署[單選題]41.2008年1月2日,美國(guó)發(fā)布第54號(hào)總統(tǒng)令,建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(ComprehensiveNationalCybersecurityInitiative,CNCI)。CNCI計(jì)劃建立三道防線:第一道防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對(duì)各類(lèi)威脅;第三道防線,強(qiáng)化未來(lái)安全環(huán)境.從以上內(nèi)容,我們可以看出以下哪種分析是正確的:A)CNCI是以風(fēng)險(xiǎn)為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B)從CNCI可以看出,威脅主要是來(lái)自外部的,而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D)CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn),而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障答案:A解析:CNCI第一個(gè)防線針對(duì)漏洞進(jìn)行風(fēng)險(xiǎn)控制,第二個(gè)防線針對(duì)威脅進(jìn)行風(fēng)險(xiǎn)控制,總體的目標(biāo)是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。B、C、D答案均無(wú)法從題干反應(yīng)。[單選題]42.74.以下關(guān)于開(kāi)展軟件安全開(kāi)發(fā)必要性描述錯(cuò)誤的是？（）A)軟件應(yīng)用越來(lái)越廣泛B)軟件應(yīng)用場(chǎng)景越來(lái)越不安全C)軟件安全問(wèn)題普遍存在D)以上都不是答案:D解析:[單選題]43.定義ISMS范圍時(shí),下列哪項(xiàng)不是考慮的重點(diǎn)A)組織現(xiàn)有的部門(mén)B)信息資產(chǎn)的數(shù)量與分布C)信息技術(shù)的應(yīng)用區(qū)域D)IT人員數(shù)量答案:D解析:[單選題]44.某網(wǎng)盤(pán)被發(fā)現(xiàn)暴露了大量私人信息，通過(guò)第三方網(wǎng)盤(pán)搜索引擎可查詢到該網(wǎng)盤(pán)用戶的大量照片、通訊錄。該網(wǎng)盤(pán)建議用戶使用?加密分享?功能，以避免消息泄露，?加密分享?可以采用以下哪些算法(）A)MD5算法，SHA-1算法B)DSA算法，RSA算法C)SHA-1算法，SM2算法D)RSA算法，SM2算法答案:D解析:[單選題]45.下列哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)?A)試運(yùn)行B)紙面測(cè)試C)單元D)系統(tǒng)答案:B解析:[單選題]46.76.某項(xiàng)目的主要內(nèi)容為建造A類(lèi)機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-2008）的相關(guān)要求，對(duì)承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見(jiàn)錯(cuò)誤的是（）A)在異地建立備份機(jī)房，設(shè)計(jì)時(shí)應(yīng)與主要機(jī)房等級(jí)相同B)由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板下送風(fēng)，上回風(fēng)的方式C)因機(jī)房屬于A級(jí)主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要D)A級(jí)主機(jī)房應(yīng)設(shè)置自動(dòng)噴水滅火系統(tǒng)答案:D解析:[單選題]47.小張?jiān)谝粋€(gè)不知名的網(wǎng)站上下載了魯大師并進(jìn)行了安裝，電腦安全軟件提示該軟件有惡意捆綁，小張?bào)@出一身冷汗，因?yàn)樗缾阂獯a終隨之進(jìn)入系統(tǒng)后會(huì)對(duì)他的系統(tǒng)信息安全造成極大的威脅，那么惡意代碼的軟件部署常見(jiàn)的實(shí)現(xiàn)方式不包括（）A)攻擊者在獲得系統(tǒng)的上傳權(quán)限后，將惡意部署到目標(biāo)系統(tǒng)B)惡意代碼自身就是軟件的一部分，隨軟件部署傳播C)內(nèi)鑲在軟件中，當(dāng)文件被執(zhí)行時(shí)進(jìn)入目標(biāo)系統(tǒng)D)惡意代碼通過(guò)網(wǎng)上激活答案:D解析:?惡意代碼通過(guò)網(wǎng)上激活?錯(cuò)誤，一些惡意代碼一經(jīng)下載就可以自動(dòng)激活運(yùn)行。[單選題]48.97.下列關(guān)于測(cè)試方法的敘述中不正確的是（）A)從某種角度上講，白盒測(cè)試與黑盒測(cè)試都屬于動(dòng)態(tài)測(cè)試B)功能測(cè)試屬于黑盒測(cè)試C)結(jié)構(gòu)測(cè)試屬于白盒測(cè)試D)對(duì)功能的測(cè)試通常是要考慮程序的內(nèi)部結(jié)構(gòu)的答案:D解析:[單選題]49.如下圖所示,兩份文件包含了不同的內(nèi)容,卻擁有相同的SHA-1數(shù)字簽名A,這違背了安全的哈希函數(shù)()性質(zhì)。class="fr-ficfr-dibcursor-hover"A)單向性;B)弱抗碰撞性;C)強(qiáng)抗碰撞性;D)機(jī)密性;答案:C解析:該題目是違背了強(qiáng)抗碰撞性,P282頁(yè)。[單選題]50.()第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng)),按照()實(shí)行分級(jí)保護(hù),()應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)()后方可投入使用。A)《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B)《國(guó)家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格C)《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D)《安全保密法》;涉密程度,涉密信息系統(tǒng);保密設(shè)施;檢查合格答案:A解析:[單選題]51.根據(jù)Bell-Lapadula模型安全策略,下圖中寫(xiě)和讀操作正確的是:A)可讀可寫(xiě)B(tài))可讀不可寫(xiě)C)可寫(xiě)不可讀D)不可讀不可寫(xiě)答案:B解析:[單選題]52.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來(lái)說(shuō)，DDoS攻擊的主要的是破壞目標(biāo)系統(tǒng)的A)保密性B)完整性C)可用性D)真實(shí)性答案:C解析:[單選題]53.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成六個(gè)階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段：關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過(guò)濾規(guī)則，拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號(hào)等A)準(zhǔn)備階段B)遏制階段C)根除階段D)檢測(cè)階段答案:B解析:典型特征：關(guān)閉系統(tǒng)屬于遏制階段[單選題]54.CC標(biāo)準(zhǔn)是計(jì)算機(jī)安全認(rèn)證的國(guó)際標(biāo)準(zhǔn)（ISO/IEC15408）。CC標(biāo)準(zhǔn)中四個(gè)關(guān)鍵概念，分別為T(mén)OE、PP、ST、EAL，它們的含義分別是A)保護(hù)輪廓；安全目標(biāo)；評(píng)估對(duì)象；評(píng)估保證級(jí)B)保護(hù)輪廓；評(píng)估對(duì)象；評(píng)估保證級(jí)；安全目標(biāo)C)評(píng)估對(duì)象；保護(hù)輪廓；安全目標(biāo)；評(píng)估保證級(jí)D)評(píng)估對(duì)象；保護(hù)輪廓；評(píng)估保證級(jí)；安全目標(biāo)答案:C解析:[單選題]55.關(guān)于源代碼審核,下列說(shuō)法正確的是:A)人工審核源代碼審校的效率低,但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)B)源代碼審核通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障,從而定位可能導(dǎo)致安全弱點(diǎn)的薄弱之處C)使用工具進(jìn)行源代碼審核,速度快,準(zhǔn)確率高,已經(jīng)取代了傳統(tǒng)的人工審核D)源代碼審核是對(duì)源代碼檢查分析,檢測(cè)并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處答案:D解析:D為源代碼審核工作內(nèi)容描述。[單選題]56.72.在某信息系統(tǒng)采用的訪問(wèn)控制策略中，如果可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)對(duì)個(gè)體實(shí)施控制，且各級(jí)領(lǐng)導(dǎo)可以同時(shí)修改它的訪問(wèn)控制表，那么該系統(tǒng)的訪問(wèn)控制模型采用的是自主訪問(wèn)控制機(jī)制的訪問(wèn)許可模式是（）。A)自由型B)有主型C)樹(shù)狀型D)等級(jí)性答案:D解析:[單選題]57.37.軟件的可維護(hù)性可用七個(gè)質(zhì)量特性來(lái)衡量，分別是:可理解性、可測(cè)試性、可修改性、可靠性、可移植性、可使用性和效率。對(duì)于不同類(lèi)型的維護(hù)，這些側(cè)重點(diǎn)也是不同的。在可維護(hù)性的特性中相互促進(jìn)的是(）A)可理解性和可測(cè)試性B)效率和可移植性C)C效率和可修改性D)效率和可理解性答案:A解析:[單選題]58.重啟IIS的命令是A)iisrestartB)iisresetC)iisrebootD)iisshutdown答案:A解析:[單選題]59.下面有關(guān)我國(guó)信息安全管理體制的說(shuō)法錯(cuò)誤的是？A)目前我國(guó)的信息安全保障工作是相關(guān)部門(mén)各司其職、相互配合、齊抓共管的局面B)我國(guó)的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C)我國(guó)的信息安全管理應(yīng)堅(jiān)持及時(shí)檢測(cè)、快速響應(yīng)、綜合治理的方針D)我國(guó)對(duì)于信息安全責(zé)任的原則是誰(shuí)主管、誰(shuí)負(fù)責(zé)；誰(shuí)經(jīng)營(yíng)、誰(shuí)負(fù)責(zé)答案:B解析:[單選題]60.下列關(guān)于在接入點(diǎn)上啟用開(kāi)放式身份驗(yàn)證的陳述，哪一項(xiàng)是正確的A)不需要身份驗(yàn)證B)使用64位加密算法C)需要使用身份驗(yàn)證服務(wù)器D)需要共同商定的密碼答案:A解析:[單選題]61.組織應(yīng)開(kāi)發(fā)和實(shí)施使用()來(lái)保護(hù)信息的策略,基于風(fēng)險(xiǎn)評(píng)估,應(yīng)確定需要的保護(hù)級(jí)別,并考慮需要的加密算法的類(lèi)型、強(qiáng)度和質(zhì)量。當(dāng)選擇實(shí)施組織的()時(shí),應(yīng)考慮我國(guó)應(yīng)用密碼技術(shù)的規(guī)定和限制,以及()跨越國(guó)界時(shí)的問(wèn)題。組織開(kāi)發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求,包括密鑰的生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷(xiāo)毀。宜根據(jù)最好的實(shí)際效果選擇加密算法、密鑰長(zhǎng)度和使用習(xí)慣。適合的()要求密鑰在生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷(xiāo)毀過(guò)程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外,秘密和私有密鑰需要防范非授權(quán)的泄露。用來(lái)生成、存儲(chǔ)和歸檔密鑰的設(shè)備應(yīng)進(jìn)行()。A)加密控制措施;加密信息;密碼策略;密鑰管理;物理保護(hù)B)加密控制措施;密碼策略;密鑰管理;加密信息;物理保護(hù)C)加密控制措施;密碼策略;加密信息;密鑰管理:物理保護(hù)D)加密控制措施;物理保護(hù);密碼策略;加密信息;密鑰管理答案:C解析:P112頁(yè)[單選題]62.Linux文件系統(tǒng)采用的是樹(shù)型結(jié)構(gòu),在根目錄下默認(rèn)存在vAr目錄,它的的功用是?A)公用的臨時(shí)文件存儲(chǔ)點(diǎn)B)系統(tǒng)提供這個(gè)目錄是讓用戶臨時(shí)掛載其他的文件系統(tǒng)C)某些大文件的溢出區(qū)D)最龐大的目錄,要用到的應(yīng)用程序和文件幾乎都在這個(gè)目錄答案:C解析:[單選題]63.以下那些不是《國(guó)家網(wǎng)絡(luò)安全空間戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)安全當(dāng)前任務(wù)？()A)捍衛(wèi)網(wǎng)絡(luò)安全主權(quán)B)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C)提升網(wǎng)絡(luò)安全防護(hù)能力D)阻斷與國(guó)外網(wǎng)絡(luò)連接答案:D解析:[單選題]64.關(guān)于《網(wǎng)絡(luò)安全法》域外適用效力的理解,以下哪項(xiàng)是錯(cuò)誤的()A)對(duì)于來(lái)自境外的違法信息我國(guó)可以加以阻斷傳播B)對(duì)于來(lái)自境外的網(wǎng)絡(luò)安全威脅我國(guó)可以組織技術(shù)力量進(jìn)行監(jiān)測(cè)、防御和處置C)對(duì)于來(lái)自境外的網(wǎng)絡(luò)攻擊我國(guó)可以追究其法律責(zé)任D)當(dāng)前對(duì)于境外的網(wǎng)絡(luò)攻擊,我國(guó)只能通過(guò)向來(lái)源國(guó)采取抗議答案:D解析:對(duì)境外的機(jī)構(gòu)、組織、個(gè)人從事攻擊、侵入、干擾、破壞等危害中華人民共和國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施活動(dòng),造成嚴(yán)重后果的,依法追究法律責(zé)任。P55頁(yè)。[單選題]65.關(guān)于計(jì)算機(jī)取證描述不正確的是()。A)取證的目的包括:通過(guò)證據(jù)查找肇事者、通過(guò)證據(jù)推斷犯罪過(guò)程、通過(guò)證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持B)計(jì)算機(jī)取證的過(guò)程可以分為準(zhǔn)備、保護(hù)、提取、分析和提交5個(gè)步驟C)電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品。對(duì)于電子證據(jù),取證工作主要圍繞兩方面進(jìn)行:證據(jù)的獲取和證據(jù)的保護(hù)D)計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具,按照標(biāo)準(zhǔn)規(guī)程全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)的活動(dòng)答案:C解析:對(duì)于電子證據(jù),取證工作主要圍繞兩方面進(jìn)行:證據(jù)的獲取和證據(jù)的分析。P151頁(yè)。[單選題]66.下列有關(guān)通配符掩碼的說(shuō)法中哪項(xiàng)正確A)將子網(wǎng)掩碼取反碼必定能得到通配符掩碼B)通配符掩碼中以"1"標(biāo)識(shí)網(wǎng)絡(luò)或子網(wǎng)位C)通配符掩碼和子網(wǎng)掩碼執(zhí)行相同的功能D)在通配符掩碼中碰到"0"時(shí)，必須檢查IP地址位答案:D解析:[單選題]67.18.訪問(wèn)控制方法可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制，他們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問(wèn)控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項(xiàng)中，能夠滿足以上要求的選項(xiàng)是（）。A)自主訪問(wèn)控制B)強(qiáng)制訪問(wèn)控制C)基于角色的訪問(wèn)控制D)以上選項(xiàng)都可以答案:C解析:[單選題]68.組織信息應(yīng)按照其特殊要求、價(jià)值、對(duì)泄漏或篡改的（）和關(guān)鍵性予以分類(lèi)，信息資產(chǎn)的所有者應(yīng)對(duì)其分類(lèi)負(fù)責(zé)。分類(lèi)的結(jié)果表明了（），該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類(lèi)，標(biāo)記的規(guī)程需要涵蓋物理和電子格式的（）。分來(lái)信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要素。（）和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的格式。標(biāo)記應(yīng)易于辨認(rèn)，進(jìn)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo)，并考慮到信息被訪問(wèn)的方式和介質(zhì)類(lèi)型的處理方式。組織要建立與信息分類(lèi)一致的資產(chǎn)處理、加工、存儲(chǔ)和（）。A)敏感性；數(shù)據(jù)標(biāo)簽；資產(chǎn)的價(jià)值；信息資產(chǎn)；交換線程B)敏感性；信息資產(chǎn)；資產(chǎn)的價(jià)值；物理標(biāo)簽；交換線程C)資產(chǎn)的價(jià)值；敏感性；信息資產(chǎn)；物理標(biāo)簽；交換線程D)敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)；物理標(biāo)簽；交換線程答案:D解析:[單選題]69.代表了當(dāng)災(zāi)難發(fā)生后，數(shù)據(jù)的恢復(fù)時(shí)間的指標(biāo)是____。A)ARPOB)BRTOC)CNROD)DSDO答案:B解析:[單選題]70.我國(guó)等級(jí)保護(hù)政策發(fā)展的正確順序是().①等級(jí)保護(hù)相關(guān)政策文件頒布②計(jì)算機(jī)系統(tǒng)安全保護(hù)等級(jí)劃分思想提出③等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)發(fā)布④網(wǎng)絡(luò)安全法將等級(jí)保護(hù)制度作為基本國(guó)策⑤等級(jí)保護(hù)工作試點(diǎn)A)①②③④⑤B)②⑤①③④C)①②④③⑤D)②③①⑤④答案:D解析:[單選題]71.以下對(duì)Kerberos協(xié)議過(guò)程說(shuō)法正確的是：（）A)協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù)B)協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)C)協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D)協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)答案:D解析:[單選題]72.世界上首例通過(guò)網(wǎng)絡(luò)攻擊癱瘓物理核設(shè)施的事件是？A)巴基斯坦核電站震蕩波事件B)以色列核電站沖擊波事件C)伊朗核電站震蕩波事件D)伊朗核電站震網(wǎng)（STUXNET）事件答案:D解析:[單選題]73.SSE-CMM將工程過(guò)程區(qū)域分為三類(lèi)，即風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、和保證過(guò)程，下面對(duì)于保證過(guò)程的說(shuō)法錯(cuò)誤的是：A)保證是指安全需求得到滿足的可信任程度B)信任程度來(lái)自于對(duì)安全工程過(guò)程結(jié)果質(zhì)量的判斷C)自驗(yàn)證與證實(shí)安全的主要手段包括觀察、論證、分析和測(cè)試D)PA?建立保證論據(jù)?為PA?驗(yàn)證與證實(shí)安全?提供了證據(jù)支持答案:D解析:[單選題]74.下列哪些措施不是有效的緩沖區(qū)溢出的防護(hù)措施？A)使用標(biāo)準(zhǔn)的C.語(yǔ)言字符串庫(kù)進(jìn)行操作B)嚴(yán)格驗(yàn)證輸入字符串的長(zhǎng)度C)過(guò)濾不合規(guī)則的字符D)使用第三方安全的字符串庫(kù)操作答案:C解析:[單選題]75.在正常情況下,應(yīng)急響應(yīng)計(jì)劃培訓(xùn)應(yīng)該至少多久一次A)1年B)2年C)半年D)5年答案:A解析:[單選題]76.根據(jù)PPDR模型：A)一個(gè)信息系統(tǒng)的安全保障體系應(yīng)當(dāng)以人為核心、防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的、動(dòng)態(tài)的循環(huán)B)判斷一個(gè)系統(tǒng)的安全保障能力，主要是安全策略的科學(xué)性與合理性，以及安全策略的落實(shí)情況C)如果安全防護(hù)時(shí)間小于檢測(cè)時(shí)間加響應(yīng)時(shí)間，則該系統(tǒng)一定是不安全的D)如果一個(gè)系統(tǒng)的安全防護(hù)時(shí)間為0，則系統(tǒng)的安全性取決于暴露時(shí)間答案:D解析:[單選題]77.iptables中默認(rèn)的表名是____。A)AfilterB)BfirewallC)CnatD)Dmangle答案:A解析:[單選題]78.下列行為允許的有____。A)A未經(jīng)授權(quán)利用他人的計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件B)B將采用在線自動(dòng)收集、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售、共享、交換或者向通過(guò)上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件C)C未經(jīng)互聯(lián)網(wǎng)電子郵件接收者明確伺意，向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件D)D愛(ài)選包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件時(shí)，在互聯(lián)網(wǎng)電子郵件標(biāo)題信息前部注明?廣告?或者?AD'?字樣答案:D解析:[單選題]79.訪問(wèn)控制是對(duì)用戶或用戶訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中,訪問(wèn)控制是一種雙重機(jī)制,它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可,通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中,對(duì)windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是()A)ACL只能由管理員進(jìn)行管理B)ACL是對(duì)象安全描述的基本組成部分,它包括有權(quán)訪問(wèn)對(duì)象的用戶和級(jí)的SIDC)訪問(wèn)令牌存儲(chǔ)著用戶的SID,組信息和分配給用戶的權(quán)限D(zhuǎn))通過(guò)授權(quán)管理器,可以實(shí)現(xiàn)基于角色的訪問(wèn)控制答案:A解析:[單選題]80.隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來(lái)越突出,而與此同時(shí),發(fā)生的信息安全事件也越來(lái)越多。綜合分析信息安全問(wèn)題產(chǎn)生的根源,下面描述正確的是()。A)信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來(lái)越重要,同時(shí)自身在開(kāi)發(fā)、部署和使用過(guò)程中存在的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問(wèn)題的根本所在B)信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來(lái)越廣泛,接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能遭受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問(wèn)題C)信息安全問(wèn)題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用,內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內(nèi)部工作人員通過(guò)遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此,對(duì)人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)D)信息安全問(wèn)題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析,因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性,同時(shí)外部又有威脅源,從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風(fēng)險(xiǎn),需從內(nèi)外因同時(shí)著手答案:D解析:從根源來(lái)說(shuō),信息安全問(wèn)題可以歸因于內(nèi)因和外因兩個(gè)方面。P3頁(yè)。[單選題]81.GB／T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評(píng)審ISMS、保持和改進(jìn)ISMS等過(guò)程，并在這些過(guò)程中應(yīng)實(shí)施若干活動(dòng)，請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)（）A)?制定ISMS方針?是建產(chǎn)ISMS階段工作內(nèi)容B)?實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃?是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C)?進(jìn)行有效性測(cè)量?是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容D)?實(shí)施內(nèi)部審核?是保護(hù)和改進(jìn)ISMS階段工作內(nèi)容答案:D解析:?實(shí)施內(nèi)部審核?是監(jiān)視和評(píng)審階段的工作內(nèi)容。P98頁(yè)[單選題]82.下面____不可能存在于基于網(wǎng)絡(luò)的漏洞掃描器中。A)A漏洞數(shù)據(jù)庫(kù)模塊B)B掃描引擎模塊C)C當(dāng)前活動(dòng)的掃描知識(shí)庫(kù)模塊D)D阻斷規(guī)則設(shè)置模塊答案:D解析:[單選題]83.公鑰基礎(chǔ)設(shè)施(PublicKeyinfrastructure,PKI)引入數(shù)字證書(shū)的概念,用來(lái)表示用戶的身份。下圖簡(jiǎn)要地描述了終端實(shí)體(用戶)從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤銷(xiāo)和更新數(shù)字證書(shū)的流程。請(qǐng)為中間框空白處選擇合適當(dāng)選項(xiàng):A)證書(shū)庫(kù)B)RAC)OCSPD)CRL庫(kù)答案:B解析:[單選題]84.在工程實(shí)施階段，以下哪一項(xiàng)不屬于監(jiān)理機(jī)構(gòu)的監(jiān)理重點(diǎn)()A)督促承建單位嚴(yán)格按照經(jīng)審批的實(shí)施方案進(jìn)行施工B)審查承建單位施工人員的身份與資格C)部署工程實(shí)施人員安全管理措施D)督促承建單位嚴(yán)格遵守業(yè)主單位相關(guān)安全管理規(guī)定答案:C解析:[單選題]85.物聯(lián)網(wǎng)就是物物相連的網(wǎng)絡(luò)，物聯(lián)網(wǎng)的核心和基礎(chǔ)仍然是____，是在其基礎(chǔ)上的延伸和擴(kuò)展的網(wǎng)絡(luò)。A)城域網(wǎng)B)互聯(lián)網(wǎng)C)局域網(wǎng)D)內(nèi)部辦公網(wǎng)答案:B解析:[單選題]86.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl.RBAC):根據(jù)組織的業(yè)務(wù)要求或管理要求,在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工,管理員負(fù)責(zé)將權(quán)限(不同類(lèi)別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型,下列說(shuō)法錯(cuò)誤的是:A)當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí),如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi),訪問(wèn)將被拒絕B)業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工,可對(duì)應(yīng)RBAC模型中的角色C)通過(guò)角色,可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制D)RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制答案:D解析:RBAC模型能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制。[單選題]87.在信息安全保障工作中人才是非常重要的因素,近年來(lái),我國(guó)一直調(diào)試重視我國(guó)信自成安全人才隊(duì)伍培養(yǎng)建設(shè)。在以下關(guān)于我國(guó)關(guān)于人才培養(yǎng)工作的描述中,錯(cuò)誤的是()。A)在《中國(guó)信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的中意見(jiàn)》(中辦發(fā)[2003]27號(hào))中,針對(duì)信息安全人才建設(shè)與培養(yǎng)工作提出了?加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強(qiáng)全民信息安全意識(shí)?的指導(dǎo)精神B)2015年,為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng),經(jīng)報(bào)國(guó)務(wù)院學(xué)位委員會(huì)批準(zhǔn),國(guó)務(wù)院學(xué)位委員會(huì)、教育部決定?工學(xué)?門(mén)類(lèi)下增設(shè)?網(wǎng)絡(luò)空間安全?一級(jí)學(xué)科,這對(duì)于我國(guó)網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)培養(yǎng)到積極的推到作用C)經(jīng)過(guò)十余年的發(fā)展,我國(guó)信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息全從人員的數(shù)量較多,能同社會(huì)實(shí)際需求相匹配;同時(shí),高效信息安全專(zhuān)業(yè)畢業(yè)人才的合能力要求高、知識(shí)更全面,因面社會(huì)化培養(yǎng)重點(diǎn)放在非安全專(zhuān)業(yè)人才培養(yǎng)上D)除正規(guī)大學(xué)教育外,我國(guó)信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)休系,包括?注冊(cè)信息安全專(zhuān)業(yè)人員(CISP)?資質(zhì)認(rèn)證和一些