第頁(yè)【cisp】練習(xí)卷附答案1.物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理數(shù)據(jù)的載體,其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中,對(duì)設(shè)施安全的保障的描述正確的是()。A、安全區(qū)域不僅包含物理區(qū)域,還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問(wèn)控制機(jī)制C、由于傳統(tǒng)門鎖容易被破解,因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備,后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等【正確答案】：B解析：

A物理安全包括信息系統(tǒng)所在物理區(qū)域,但不包含軟件區(qū)域,C“進(jìn)展采用門鎖方式”錯(cuò)誤,D數(shù)字式控制錄像設(shè)備屬于后端設(shè)備,B描述了物理安全措施。2.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項(xiàng)目招標(biāo)開(kāi)始到項(xiàng)目的驗(yàn)收結(jié)束，在投資計(jì)劃階段沒(méi)有監(jiān)理。3.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】：D解析：

在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。4.管理層應(yīng)該表現(xiàn)對(duì)(),程序和控制措施的支持,并以身作則。管理職責(zé)要確保雇員和承包方人員都了()角色和職責(zé),并遵守相應(yīng)的條款和條件。組織要建立信息安全意識(shí)計(jì)劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過(guò)程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素。A、信息安全:信息安全政策:教育和培訓(xùn);紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)B、信息安全政策:信息安全:教育和培訓(xùn):紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)C、信息安全政策:教育和培訓(xùn):信息安全;紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)D、信息安全政策:紀(jì)律處理過(guò)程信息安全;教育和培訓(xùn):分級(jí)的響應(yīng)【正確答案】：B解析：

P107頁(yè)5.殺毒軟件一般是通過(guò)對(duì)代碼與特征庫(kù)中的特征碼進(jìn)行比對(duì),判斷這個(gè)文件是否是為惡意代碼,如果是則進(jìn)女聯(lián)系到病毒庫(kù)中對(duì)該病毒的描述,從而確認(rèn)其行為,達(dá)到分析的目

的。下列對(duì)惡意代碼靜態(tài)分析的說(shuō)法中,錯(cuò)誤的是()A、靜態(tài)分析不需要實(shí)際執(zhí)行惡意代碼,它通過(guò)對(duì)其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制B、靜態(tài)分析通過(guò)查找惡意代碼二進(jìn)制程序中嵌入的可疑字符串,如:文件名稱、URL地址、域名、調(diào)用函數(shù)等來(lái)進(jìn)行分析判斷C、靜態(tài)分析檢測(cè)系統(tǒng)函數(shù)的運(yùn)行狀態(tài),數(shù)據(jù)流轉(zhuǎn)換過(guò)程,能判別出惡意代碼行為和正常軟件操作D、靜態(tài)分析方法可以分析惡意代碼的所有執(zhí)行路徑,但是隨著程序復(fù)雜度的提高,冗余路徑增多,會(huì)出現(xiàn)分析效率很低的情況【正確答案】：C解析：

無(wú)法檢測(cè)運(yùn)行狀態(tài)，P371。6.內(nèi)容安全是我國(guó)信息安全保障工作中的一個(gè)重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來(lái)的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越越受到重視,以下哪個(gè)描述不屬于內(nèi)容安全的范疇()A、某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì),對(duì)向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核,確保無(wú)侵犯版權(quán)行為后才能在網(wǎng)站好進(jìn)行發(fā)布B、某網(wǎng)站采取了技術(shù)措施,限制對(duì)同一P地址對(duì)網(wǎng)站的并發(fā)連接,避免爬蟲通過(guò)大量的訪問(wèn)采集網(wǎng)站發(fā)布數(shù)據(jù)C、某論壇根據(jù)相關(guān)法律要求,進(jìn)行了大量的關(guān)鍵詞過(guò)濾,使用戶無(wú)法發(fā)布包含被過(guò)濾關(guān)鍵詞的相關(guān)內(nèi)容D、某論壇根據(jù)國(guó)家相關(guān)法律要求,為了保證用戶信息泄露,對(duì)所有用戶信息,包括用戶名、密碼、身份證號(hào)等都進(jìn)行了加密的存儲(chǔ)【正確答案】：D7.終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TERMINALAccessControllerAccess-Control

System,TACACS),在認(rèn)證過(guò)程中，客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器，包的內(nèi)容包括執(zhí)

行的認(rèn)證類型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開(kāi)始時(shí)使用一個(gè)，序列號(hào)永遠(yuǎn)為().服務(wù)器收到START包以后，回送一個(gè)REPLY包，表示認(rèn)證繼續(xù)還是結(jié)束。A、0B、1C、2D、4【正確答案】：B8.基于對(duì)()的信任,當(dāng)一個(gè)請(qǐng)求或命令來(lái)自一個(gè)“權(quán)威”人士時(shí),這個(gè)請(qǐng)求就可能被毫不懷疑的()。在()中,攻擊者偽裝成“公安部門”人員要求受害者對(duì)權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試,要求()等。A、權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B、權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C、執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D、執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼【正確答案】：A9.某公司在討論如何確認(rèn)已有的安全措施,對(duì)于確認(rèn)已有這全措施,下列選項(xiàng)中近期內(nèi)述不正確的是()A、對(duì)有效的安全措施繼續(xù)保持,以避免不必要的工作和費(fèi)用,防止安全措施的重復(fù)實(shí)施B、安全措施主要有預(yù)防性、檢測(cè)性和糾正性三種C、安全措施的確認(rèn)應(yīng)評(píng)估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅D、對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾貌活櫋菊_答案】：D解析：

常識(shí)性錯(cuò)誤。10.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪問(wèn)，影響到了與公司有業(yè)務(wù)往來(lái)部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z20986-2007《信息安全事件分級(jí)分類指南》，該事件的準(zhǔn)確分類和定級(jí)應(yīng)該是()A、有害程序事件特別重大事件(Ⅰ級(jí))B、信息破壞事件重大事件(Ⅱ級(jí))C、有害程序事件較大事件(Ⅲ級(jí))D、信息破壞事件一般事件(Ⅳ級(jí))【正確答案】：C解析：

木馬病毒為有害程序事件，系統(tǒng)數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪問(wèn)屬于較大事件(III級(jí))11.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動(dòng)存儲(chǔ)進(jìn)行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內(nèi)部傳播，作為信息化負(fù)責(zé)人，你應(yīng)采取以下哪項(xiàng)策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個(gè)可以查殺到該病毒的軟件進(jìn)行重新部署B(yǎng)、向企業(yè)內(nèi)部的計(jì)算機(jī)下發(fā)策略，關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟的自動(dòng)播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動(dòng)硬盤這類的移動(dòng)存儲(chǔ)介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來(lái)自互聯(lián)網(wǎng)的病毒進(jìn)入企業(yè)內(nèi)部【正確答案】：B解析：

“關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟的自動(dòng)播放功能”可以防止移動(dòng)存儲(chǔ)介質(zhì)插入電腦后自動(dòng)打開(kāi)，導(dǎo)致病毒被執(zhí)行。12.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本【正確答案】：C解析：

設(shè)計(jì)階段是發(fā)現(xiàn)和改正問(wèn)題的最佳階段。13.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang,張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問(wèn)這個(gè)目錄，管理員在某次維護(hù)中無(wú)意將zhang這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登陸系統(tǒng)后，發(fā)現(xiàn)無(wú)法訪問(wèn)他原來(lái)的個(gè)人文件夾，原因是()A、任何一個(gè)新建用戶都需要經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)中的文件B、windows不認(rèn)為新建立的用戶zhang與原來(lái)的用戶zhang是同一個(gè)用戶，因此無(wú)權(quán)訪問(wèn)C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來(lái)用戶的文件夾，因此無(wú)法訪問(wèn)D、新建的用戶zhang會(huì)繼承原來(lái)用戶的權(quán)限，之所以無(wú)權(quán)訪問(wèn)時(shí)因?yàn)槲募A經(jīng)過(guò)了加密【正確答案】：B解析：

用戶的真正標(biāo)識(shí)是SID，系統(tǒng)根據(jù)SID來(lái)判斷是否是同一個(gè)用戶，新建用戶名雖然相

同，但是SID不同，所以系統(tǒng)認(rèn)為不是同一個(gè)用戶。14.下列關(guān)于計(jì)算機(jī)病毒感染能力的說(shuō)法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。15.自2004年1月起，國(guó)內(nèi)各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)由以下哪個(gè)組織提出工作意見(jiàn)，協(xié)調(diào)一致后由該組織申報(bào)。A、全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)B、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)C、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)【正確答案】：B16.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度(Defects/KLOC)來(lái)衡量軟件的安全性。假設(shè)某個(gè)軟件共有296萬(wàn)行源代碼，總共被檢測(cè)出145個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是()。A、49B、0.49C、0.00049D、0.049【正確答案】：B解析：

千行代碼缺陷率=缺陷數(shù)/(代碼行數(shù)/1000)17.在以下標(biāo)準(zhǔn)中,屬于推薦性國(guó)家標(biāo)準(zhǔn)的是A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正確答案】：A解析：

A為國(guó)標(biāo)推薦標(biāo)準(zhǔn);B為國(guó)標(biāo)強(qiáng)制標(biāo)準(zhǔn);C為地方標(biāo)準(zhǔn);D為國(guó)標(biāo)指導(dǎo)標(biāo)準(zhǔn)。18.以下關(guān)于代替密碼的說(shuō)法正確的是：A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個(gè)bit異或D、明文根據(jù)密鑰作移位【正確答案】：A19.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問(wèn)控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是()。A、BLP模型Biba模型C、能力表(CL)D、訪問(wèn)控制列表(ACL)【正確答案】：D解析：

目前Wiondows和linux操作系統(tǒng)使用的都是ACL，訪問(wèn)控制表(ACL)是在每個(gè)文件下面附著一個(gè)客戶權(quán)限表，正常情況下一個(gè)系統(tǒng)客戶數(shù)再多也不會(huì)有文件的數(shù)量多，所以選D；而B(niǎo)LP模型、Biba模型屬于強(qiáng)制訪問(wèn)控制模型，與題干不符。P307頁(yè)。20.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁(yè)時(shí)總導(dǎo)致病毒感染系統(tǒng)，

為了解決這一問(wèn)題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一條不太適合推廣，你認(rèn)為是哪條措施()A、采購(gòu)防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對(duì)所有瀏覽網(wǎng)頁(yè)進(jìn)行檢測(cè)，阻止網(wǎng)頁(yè)中的病毒進(jìn)入內(nèi)網(wǎng)B、組織對(duì)員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)C、采購(gòu)并統(tǒng)一部署企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)，確保每臺(tái)計(jì)算機(jī)都具備有效的病毒檢測(cè)和查殺能力D、制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器【正確答案】：D解析：

更換瀏覽器并不能防范病毒感染系統(tǒng)，而且很多軟件和應(yīng)用與微軟IE瀏覽器做了適配，強(qiáng)制更換Chrome瀏覽器不適合推廣。21.風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用愿理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是：A、風(fēng)險(xiǎn)評(píng)估與管理工具B、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C、風(fēng)險(xiǎn)評(píng)估輔助工具D、環(huán)境風(fēng)險(xiǎn)評(píng)估工具【正確答案】：D解析：

通常情況下信息安全風(fēng)險(xiǎn)評(píng)估工具不包括環(huán)境評(píng)估工具。22.建立并完善()是有效應(yīng)對(duì)社會(huì)工程攻擊的方法,通過(guò)()的建立,使得信息系統(tǒng)用戶需要遵循()來(lái)實(shí)施某些操作,從而在一定程度上降低社會(huì)工程學(xué)的影響。例如對(duì)于用戶密碼的修改,由于相應(yīng)管理制度的要求,()需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行,那么來(lái)自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行(),因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。A、信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會(huì)工程學(xué)攻擊B、信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會(huì)工程學(xué)攻擊C、安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會(huì)工程學(xué)攻擊D、信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會(huì)工程學(xué)攻擊【正確答案】：A23.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟，有關(guān)安全要素，請(qǐng)選擇一個(gè)最合適的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性【正確答案】：B解析：

風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。24.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過(guò)程D、監(jiān)理組織安全實(shí)施【正確答案】：D解析：

監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過(guò)程、控制和管理手段。25.自主訪問(wèn)控制模型（DAC）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便D、ACL管理或增加客體比較方便【正確答案】：D解析：

P307頁(yè)26.在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問(wèn)日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志【正確答案】：B27.超文本傳輸協(xié)議(HyperTextTransferProtocol，HTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議。下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能()。A、HTTPD協(xié)議B、HTTP1.0協(xié)議C、HTTPS協(xié)議D、HTTP1.1協(xié)議【正確答案】：C解析：

HTTPS協(xié)議，是以安全為目標(biāo)的HTTP通道，在HTTP的基礎(chǔ)上通過(guò)傳輸加密和身份認(rèn)證保證了傳輸過(guò)程的安全性。28.下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題（）A、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來(lái)考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝?！菊_答案】：C解析：

ABD與安全無(wú)關(guān)。29.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶隱私保護(hù),以下關(guān)于用戶隱私保護(hù)的說(shuō)法錯(cuò)誤的是()A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí),給客戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

客戶的私人信息都是隱私數(shù)據(jù)而不僅僅是用戶名和密碼。30.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A、某網(wǎng)站在訪問(wèn)量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作B、在提款過(guò)程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的賬戶余額進(jìn)行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無(wú)法查看。【正確答案】：B解析：

沖正是為系統(tǒng)認(rèn)為可能交易失敗時(shí)采取的補(bǔ)救手法。即一筆交易在終端已經(jīng)置為成功標(biāo)志，但是發(fā)送到主機(jī)的賬務(wù)交易包沒(méi)有得到響應(yīng)，即終端交易超時(shí)，所以不確定該筆交易是否在主機(jī)端也成功完成，為了確保用戶的利益，終端重新向主機(jī)發(fā)送請(qǐng)求，請(qǐng)求取消該筆交易的流水，如果主機(jī)端已經(jīng)交易成功，則回滾交易，否則不處理，然后將處理結(jié)果返回給終端。本題中A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施，是Clark-Wilson模型的應(yīng)用，解決數(shù)據(jù)變化過(guò)程的完整性。31.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理風(fēng)險(xiǎn)，請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置的方法是()A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

放棄高風(fēng)險(xiǎn)模塊的功能，屬于風(fēng)險(xiǎn)規(guī)避。32.COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）是國(guó)際專業(yè)協(xié)會(huì)ISACA為信息技術(shù)（IT）管理和IT治理創(chuàng)建的良好實(shí)踐框架。COBIT提供了一套可實(shí)施的“信息技術(shù)控制”并圍繞IT相關(guān)流程和推動(dòng)因素的邏輯框架進(jìn)行組織。COBIT模型如圖所示，按照流程，請(qǐng)問(wèn)，COBIT組件包括（）、()、（）、（）、（）、等部分。A、流程描述、框架、控制目標(biāo)、管理指南、成熟度模型B、框架、流程描述、管理目標(biāo)、控制目標(biāo)、成熟度模型C、框架、流程描述、控制目標(biāo)、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標(biāo)、成熟度模型【正確答案】：C33.以下對(duì)于信息安全事件理解錯(cuò)誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件B、對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D解析：

安全事件無(wú)法杜絕。34.風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含：A、過(guò)程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、溝通咨詢各層面的相關(guān)人員，提高風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)?！菊_答案】：D解析：

D答案屬于溝通咨詢工作，ABC屬于風(fēng)險(xiǎn)管理的監(jiān)控審查工作。風(fēng)險(xiǎn)管理過(guò)程包括背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督，以及溝通咨詢和監(jiān)控審查。35.信息可以以多種形式存在。它可以打印寫在紙上、以()、用郵寄或電子手段

傳遞、呈現(xiàn)在膠片上或用()。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都宜對(duì)它進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。()是保護(hù)信息受各種威脅的損害，以確保業(yè)務(wù)()，業(yè)務(wù)

風(fēng)險(xiǎn)最小化，投資回報(bào)和()。A、語(yǔ)言表達(dá)；電子方式存儲(chǔ)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化B、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；連續(xù)性；信息安全；商業(yè)機(jī)遇最大化C、電子方式存儲(chǔ)；連續(xù)性；語(yǔ)言表達(dá)；信息安全；商業(yè)機(jī)遇最大化D、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化【正確答案】：D36.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。()和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的形式。標(biāo)記應(yīng)易于辨認(rèn),規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo),并考慮到信息被訪問(wèn)的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲(chǔ)和()A、敏感性;物理標(biāo)簽;資產(chǎn)的價(jià)值;信息資產(chǎn);交換規(guī)程B、敏感性;信息資產(chǎn);資產(chǎn)的價(jià)值;物理標(biāo)簽;交換規(guī)程C、資產(chǎn)的價(jià)值;敏感性;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程D、敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)物理標(biāo)簽；交換規(guī)程【正確答案】：D解析：

來(lái)源于27002標(biāo)準(zhǔn)的原文37.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是不推薦使用的方法：A、禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I／O設(shè)備B、對(duì)不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D、用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件【正確答案】：D解析：

快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件不能防止信息泄露?？焖俑袷交皇莿h除了文件索引，并沒(méi)有真正的刪除文件，可以通過(guò)工具進(jìn)行恢復(fù)。38.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BasePractices，BP)，正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒(méi)有經(jīng)過(guò)測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】：C解析：

A錯(cuò)誤，BP是基于最佳的工程過(guò)程實(shí)踐；B錯(cuò)誤，BP是經(jīng)過(guò)測(cè)試的；D錯(cuò)誤，一項(xiàng)BP和其他的BP是不重復(fù)。39.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒(méi)有主動(dòng)訪問(wèn)該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息

(還有他的好友們的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了。這種向Web頁(yè)面插入惡意html代碼的攻擊方式稱為()A、SQL注入攻擊B、緩沖區(qū)溢出攻擊C、分布式拒絕服務(wù)攻擊D、跨站腳本攻擊【正確答案】：D解析：

跨站腳本是由于網(wǎng)頁(yè)支持腳本的執(zhí)行，而程序員又沒(méi)有對(duì)用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格控制，使得攻擊者可以向Web頁(yè)面插入惡意HTML代碼，當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)，嵌入其中的HTML代碼會(huì)被執(zhí)行，從而實(shí)現(xiàn)攻擊者的特殊目的。40.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中,關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是()A、殘余風(fēng)險(xiǎn)是采取了安全措施后,仍然可能存在的風(fēng)險(xiǎn),一般來(lái)說(shuō),是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)理,它會(huì)隨著時(shí)間的推移而發(fā)生變化,可能會(huì)在將來(lái)誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí),應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn),以最小的殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)【正確答案】：A41.一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個(gè)選項(xiàng)決定的()。A、加密和解密算法B、解密算法C、密鑰D、加密算法【正確答案】：C解析：

系統(tǒng)的保密性不依賴于加密體制和算法的保密,而依賴于密。P271頁(yè)。42.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說(shuō)法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文件的執(zhí)行和記錄，對(duì)這些記錄不需要保護(hù)和控制C、組織在每份文件的首頁(yè)，加上文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果建立【正確答案】：B解析：

信息安全管理體系運(yùn)行記錄需要保護(hù)和控制。43.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是()。A、要求開(kāi)發(fā)人員采用瀑布模型進(jìn)行開(kāi)發(fā)B、要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題D、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則【正確答案】：A解析：

瀑布模型是一種開(kāi)發(fā)模型與安全防護(hù)無(wú)關(guān)，有些題目可能會(huì)把瀑布模型換成其他不設(shè)計(jì)安全的模型，例如敏捷開(kāi)發(fā)模型等。44.在新的信息系統(tǒng)或增強(qiáng)已有()業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。信息安全的系統(tǒng)要求與實(shí)施安全的過(guò)程宜在信息系統(tǒng)項(xiàng)目的早期階段被集成，在早期如設(shè)計(jì)階段引入控制措施的更高效和節(jié)省。如果購(gòu)買產(chǎn)品，則宜遵循一個(gè)正式的()過(guò)程。通過(guò)()訪問(wèn)的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動(dòng)、合同爭(zhēng)端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估并進(jìn)行適當(dāng)?shù)目刂?，包括?yàn)證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ龋Ｗo(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的()。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的()。A、披露和修改；信息系統(tǒng)；測(cè)試和獲?。还簿W(wǎng)路；復(fù)制或重播B、信息系統(tǒng)；測(cè)試和獲?。慌逗托薷?；公共網(wǎng)路；復(fù)制或重播C、信息系統(tǒng)；測(cè)試和獲?。还簿W(wǎng)路；披露和修改；復(fù)制或重播D、信息系統(tǒng)；公共網(wǎng)路；測(cè)試和獲?。慌逗托薷?；復(fù)制或重播【正確答案】：C45.1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定()管理體系要求與()要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的()，它可以作為一個(gè)正式認(rèn)證方案的()。BS7799-1與BS7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及()的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：A46.信息安全等級(jí)保護(hù)要求中，第三級(jí)適用的正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一般損害C、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害D、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害【正確答案】：B解析：

題目中B為等級(jí)保護(hù)三級(jí)，該考點(diǎn)為等級(jí)保護(hù)定級(jí)指南。47.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，有五個(gè)方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來(lái)描述信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，圖中空白處應(yīng)填寫？()

A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評(píng)估【正確答案】：C48.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過(guò)失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無(wú)需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A49.現(xiàn)如今的時(shí)代是信息的時(shí)代，每天都會(huì)有大量的信息流通或交互，但自從斯諾登曝光美國(guó)政府的“棱鏡”計(jì)劃之后，信息安全問(wèn)題也成為了每個(gè)人乃至整個(gè)國(guó)家所不得不重視的問(wèn)題，而網(wǎng)絡(luò)信息對(duì)抗技術(shù)與電子信息對(duì)抗技術(shù)也成為了這個(gè)問(wèn)題的核心。某公司為有效對(duì)抗信息收集和分析，讓該公司一位網(wǎng)絡(luò)工程師提出可行的參考建議，在該網(wǎng)絡(luò)工程師的建議中，錯(cuò)誤的是()A、通過(guò)信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集的風(fēng)險(xiǎn)B、發(fā)布信息應(yīng)采取最小原則，所有不是必要的信息都不發(fā)布C、重點(diǎn)單位應(yīng)建立信息發(fā)布審查機(jī)制，對(duì)發(fā)布的信息進(jìn)行審核，避免敏感信息的泄露D、增加系統(tǒng)中對(duì)外服務(wù)的端口數(shù)量，提高會(huì)話效率【正確答案】：D解析：

增加對(duì)外服務(wù)端口數(shù)量會(huì)有助于攻擊者進(jìn)行信息收集50.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動(dòng)是：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A51.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》(國(guó)信辦(2006)5號(hào))中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是()。A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充C、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長(zhǎng)期使用D、自評(píng)估和檢查評(píng)估是相互排斥的，無(wú)特殊理由單位均應(yīng)選擇檢查評(píng)估，以保證安全效果【正確答案】：A解析：

信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。52.甲公司打算制作網(wǎng)絡(luò)連續(xù)時(shí)所需要的插件的規(guī)格尺寸、引腳數(shù)量和線序情況，甲公司將這個(gè)任務(wù)委托了乙公司，那么乙公司的設(shè)計(jì)員應(yīng)該了解OSI參考模型中的哪一層()A、數(shù)據(jù)鏈路層B、會(huì)話層C、物理層D、傳輸層【正確答案】：C解析：

物理層規(guī)定通信設(shè)備的機(jī)械的、電氣的、功能的和過(guò)程的特性，用以建立、維護(hù)和拆除物理鏈路連接，這些特性包括網(wǎng)絡(luò)連接時(shí)所需接插件的規(guī)格尺寸、引腳數(shù)量等，P329頁(yè)53.Linux系統(tǒng)的安全設(shè)置中，對(duì)文件的權(quán)限操作是一項(xiàng)關(guān)鍵操作。通過(guò)對(duì)文件權(quán)限的設(shè)置，能夠保障不同用戶的個(gè)人隱私和系統(tǒng)安全。文件fiB.c的文件屬性信息如下圖所示，小張想要修改其文件權(quán)限，為文件主增加執(zhí)行權(quán)限，并刪除組外其他用戶的寫權(quán)限，那么以下操作中正確的是（）A、#chmodu+x,a-wfiB.cB、#chmodug+x,o-wfiB.cC、#chmod764fiB.cD、#chmod467fiB.c【正確答案】：C54.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢(shì)說(shuō)明，那個(gè)是正確的A、Https協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B、Https使用的端口和http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會(huì)話過(guò)程中不傳輸用戶名和密碼，因此具有較高的【正確答案】：A解析：

HTTPS具有數(shù)據(jù)加密機(jī)制，HTTPS使用443端口，HTTP使用80端口，HTTPS協(xié)議完全可以獨(dú)立運(yùn)行，傳輸加密后的用戶名和密碼。55.TCP/IP協(xié)議就Internet最基本的協(xié)議，也是Internet構(gòu)成的基礎(chǔ)，

TCP/IP通常被認(rèn)為就是一個(gè)N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的功能，這里N應(yīng)等于()A、4B、5C、6D、7【正確答案】：A解析：

OSI7層和TCP/IP四層56.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測(cè)控制設(shè)備：A、是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ埽蟾嗟拈_(kāi)銷B、是必須的，可以為預(yù)防控制的功效提供檢測(cè)C、是可選的，可以實(shí)現(xiàn)深度防御D、在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制功能已經(jīng)足夠【正確答案】：C57.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊【正確答案】：D解析：

D屬于社會(huì)工程學(xué)攻擊。58.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于。A、明文B、密文C、密鑰D、信道【正確答案】：C解析：

柯克霍夫原則：密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。59.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理該風(fēng)險(xiǎn)。請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置的方法是()。A、放棄風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、降低風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

風(fēng)險(xiǎn)規(guī)避：在某些情形下，變更、延緩或停止某種服務(wù)或業(yè)務(wù)功能，可能是合適的方法。根據(jù)題干“建議放棄這個(gè)功能模塊”判斷為風(fēng)險(xiǎn)規(guī)避。P143頁(yè)。60.風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，其中，明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)的文檔是()A、《風(fēng)險(xiǎn)評(píng)估方案》B、《風(fēng)險(xiǎn)評(píng)估程序》C、《資產(chǎn)識(shí)別清單》D、《風(fēng)險(xiǎn)評(píng)估報(bào)告》【正確答案】：B解析：

P260頁(yè)61.安全審計(jì)是一種很常見(jiàn)的安全控制措施，它在信息全保障系統(tǒng)中，屬于()措施。A、保護(hù)B、檢測(cè)C、響應(yīng)D、恢復(fù)【正確答案】：B62.在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。某公司準(zhǔn)備部署一臺(tái)防火墻來(lái)保護(hù)內(nèi)網(wǎng)主機(jī)，下列選項(xiàng)中部署位置正確的是()A、內(nèi)網(wǎng)主機(jī)——交換機(jī)——防火墻——外網(wǎng)B、防火墻——內(nèi)網(wǎng)主機(jī)——交換機(jī)——外網(wǎng)C、內(nèi)網(wǎng)主機(jī)——防火墻——交換機(jī)——外網(wǎng)D、防火墻——交換機(jī)——內(nèi)網(wǎng)主機(jī)——外網(wǎng)【正確答案】：A解析：

防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)邊界。63.以下對(duì)Windows賬號(hào)的描述，正確的是：A、Windows系統(tǒng)是采用SID（安全標(biāo)識(shí)符）來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限C、Windows系統(tǒng)默認(rèn)會(huì)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都不允許改名和刪除D、Windows系統(tǒng)默認(rèn)生成administrator和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都可以改名和刪除【正確答案】：A解析：

guest可以改名和刪除，administrator不可以。64.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計(jì)是遵循了發(fā)下哪個(gè)原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A65.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A解析：

題目中安全登錄會(huì)涉及到賬號(hào)密碼為實(shí)體所知，智能卡和短信是實(shí)體所有。66.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制【正確答案】：D解析：

RBAC模型能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制。67.入侵檢測(cè)系統(tǒng)有其技術(shù)優(yōu)越性，但也有局限性，下列說(shuō)法錯(cuò)誤的是()A、對(duì)用戶知識(shí)要求高，配置、操作和管理使用過(guò)于簡(jiǎn)單，容易遭到攻擊B、高虛頻率，入侵檢測(cè)系統(tǒng)會(huì)產(chǎn)生大量的警告信息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重C、入侵檢測(cè)系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)可能會(huì)被控制或者受到影響D、警告消息記錄如果不完整，可能無(wú)法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

“配置、操作和管理使用過(guò)于簡(jiǎn)單，容易遭到攻擊”錯(cuò)誤。68.以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是：A、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系B、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法【正確答案】：D解析：

可信計(jì)算平臺(tái)出現(xiàn)后不會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法。69.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()。A、密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議,其目的是提供安全服務(wù)B、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人C、在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式D、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解協(xié)議,且按步驟執(zhí)行【正確答案】：C解析：

“不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式”錯(cuò)誤70.在入侵檢測(cè)（IDS）的運(yùn)行中，最常見(jiàn)的問(wèn)題是：()A、誤報(bào)檢測(cè)B、接收陷阱消息C、誤拒絕率D、拒絕服務(wù)攻擊【正確答案】：A解析：

P35471.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估事件的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)【正確答案】：D解析：

D描述的是安全事件發(fā)生以后，不是應(yīng)急響應(yīng)的準(zhǔn)備。72.方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T-T25058-2010-《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等。其中《等級(jí)保護(hù)實(shí)施指南》原以()政策文件方式發(fā)布,后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對(duì)如何開(kāi)展()做了詳細(xì)規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等。其中在()工作期間還發(fā)布過(guò)《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》等文件,后經(jīng)過(guò)修改以《等級(jí)保

護(hù)測(cè)評(píng)要求》發(fā)布。這些標(biāo)準(zhǔn)主要對(duì)如何開(kāi)展()工作做出了()A、公安部；等級(jí)保護(hù)試點(diǎn)；等級(jí)保護(hù)工作；等級(jí)保護(hù)測(cè)評(píng)；詳細(xì)規(guī)定.B、公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)試點(diǎn)；等級(jí)保護(hù)測(cè)評(píng)；詳細(xì)規(guī)定C、公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)測(cè)評(píng)；等級(jí)保護(hù)試點(diǎn)；詳細(xì)規(guī)定D、公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)試點(diǎn)；詳細(xì)規(guī)定；等級(jí)保護(hù)測(cè)評(píng)【正確答案】：B73.選擇信息系統(tǒng)部署的場(chǎng)地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保護(hù)很大程度上取決與場(chǎng)地的安全性，一個(gè)部署在高風(fēng)險(xiǎn)場(chǎng)所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性的。為了保護(hù)環(huán)境安全，在下列選項(xiàng)中，公司在選址時(shí)最不應(yīng)該選址的場(chǎng)地是()A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D74.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說(shuō)法正確的是：A、此密碼體制為對(duì)稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：

題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對(duì)于公鑰而言，則為非對(duì)稱密碼體制，非對(duì)稱密碼體制又稱為公鑰密碼體制。75.下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法，哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法()。A、基于知識(shí)的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D76.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過(guò)部署安全控制措施消滅了風(fēng)險(xiǎn)B、是否可以抵抗大部分風(fēng)險(xiǎn)C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)【正確答案】：D解析：

判斷風(fēng)險(xiǎn)控制的標(biāo)準(zhǔn)是風(fēng)險(xiǎn)是否控制在接受范圍內(nèi)。77.關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是()。A、對(duì)內(nèi)而言，是一個(gè)光花錢不掙錢的事情，需要組織通過(guò)其他方面收入來(lái)彌補(bǔ)投入對(duì)外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任B、對(duì)外而言，有助于使各利益相關(guān)方對(duì)組織充滿信心C、對(duì)內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查【正確答案】：A78.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。79.隨著計(jì)算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來(lái)越多樣化，自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制難以適應(yīng)需求，基于角色的訪問(wèn)控制(RBAC)逐漸成為安全領(lǐng)域的一個(gè)研究熱點(diǎn)。RBAC模型可以分為RBAC0、RBAC1、RBAC2和RBAC3四種類型，它們之間存在相互包含關(guān)系。下列選項(xiàng)中，對(duì)它們之間的關(guān)系描述錯(cuò)誤的是()。A、RBACO是基于模型，RBAC1、RBAC2和RBAC3都包含RBAC0B、RBAC1在RBAC0的基礎(chǔ)上，加入了角色等級(jí)的概念C、RBAC2在RBAC1的基礎(chǔ)上，加入了約束的概念D、RBAC3結(jié)合RBAC1和RBAC2，同時(shí)具備角色等級(jí)和約束【正確答案】：C解析：

RBAC2在RBAC0的基礎(chǔ)上，加入了約束的概念，P313頁(yè)80.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，以下哪個(gè)選項(xiàng)的內(nèi)容不屬于常規(guī)控制措施的范圍()A、安全事件管理、供應(yīng)商關(guān)系、業(yè)務(wù)安全性審計(jì)B、信息安全方針、信息安全組織、資產(chǎn)管理C、安全采購(gòu)、開(kāi)發(fā)與維護(hù)、合規(guī)性D、人力資源安全、物理和環(huán)境安全、通信安全【正確答案】：A解析：

ISO27001信息安全管理體系包含了14個(gè)控制域詳見(jiàn)P103頁(yè)，沒(méi)有業(yè)務(wù)安全性審計(jì)81.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶帳戶的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則()A、縱深防御原則B、最少共享機(jī)制原則C、職責(zé)分離原則D、最小特權(quán)原則【正確答案】：A解析：

縱深防御原則：軟件應(yīng)該設(shè)置多重安全措施(戶名口令認(rèn)證方，基于數(shù)字證書的身份認(rèn)證，用戶口令使用SMA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中)，并充分利用操作系統(tǒng)提供的安全防護(hù)機(jī)制，形成縱深防御體系，以降低攻擊者成功攻擊的幾率和危害。P409。82.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問(wèn)制定訪問(wèn)策略，針對(duì)每個(gè)用戶指明能夠訪問(wèn)的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問(wèn)。該訪問(wèn)控制策略屬于以下哪一種：A、強(qiáng)制訪問(wèn)控制B、基于角色的訪問(wèn)控制C、自主訪問(wèn)控制D、基于任務(wù)的訪問(wèn)控制【正確答案】：C解析：

“針對(duì)每個(gè)用戶指明”83.某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過(guò)程中被攻擊者通過(guò)FTP對(duì)OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問(wèn)題，該安全問(wèn)題的產(chǎn)生主要是在哪個(gè)階段產(chǎn)生的()A、程序員在進(jìn)行安全需求分析時(shí)，沒(méi)有分析出OA系統(tǒng)開(kāi)發(fā)的安全需求B、程序員在軟件設(shè)計(jì)時(shí)，沒(méi)遵循降低攻擊面的原則，設(shè)計(jì)了不安全的功能C、程序員在軟件編碼時(shí)，缺乏足夠的經(jīng)驗(yàn)，編寫了不安全的代碼D、程序員在進(jìn)行軟件測(cè)試時(shí)，沒(méi)有針對(duì)軟件安全需求進(jìn)行安全測(cè)試【正確答案】：B解析：

FTP功能本身沒(méi)有問(wèn)題，但是不太安全容易被攻擊，所以選B。84.小李在檢查公司對(duì)外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒(méi)有找到資源、數(shù)據(jù)庫(kù)連接錯(cuò)誤、寫臨時(shí)文件錯(cuò)誤等問(wèn)題時(shí)，會(huì)將詳細(xì)的錯(cuò)誤原因在結(jié)果頁(yè)面上顯示出來(lái)。從安全角度考慮，小李決定修改代碼，將詳細(xì)的錯(cuò)誤原因都隱藏起來(lái)，在頁(yè)面上僅僅告知用戶“抱歉，發(fā)生內(nèi)部錯(cuò)誤！”。請(qǐng)問(wèn)，這種處理方法的主要目的是()。A、最小化反饋信息B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、避免緩沖區(qū)溢出【正確答案】：A解析：

最小化反饋是指在程序內(nèi)部處理時(shí)，盡量將少的信息反饋到運(yùn)行界面，即避免給予不可靠用戶過(guò)多信息，防止不可靠用戶據(jù)此猜測(cè)軟件程序的運(yùn)行處理機(jī)制。P413頁(yè)。85.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是：A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯(cuò)誤，應(yīng)該是抽樣評(píng)估；C錯(cuò)誤，應(yīng)該其描述的是差距分析；D錯(cuò)誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。86.為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法是：（）A、文件映像處理B、電子鏈接C、硬盤鏡像D、熱備中心配置【正確答案】：D87.信息安全管理體系（informationSecurityManagementSystem.簡(jiǎn)稱ISMS）的實(shí)施和運(yùn)行ISMS階段，是ISMS過(guò)程模型的實(shí)施階段（Do），下面給出了一些活動(dòng)①制定風(fēng)險(xiǎn)處理計(jì)劃②實(shí)施風(fēng)險(xiǎn)處理計(jì)劃③開(kāi)發(fā)有效性測(cè)量程序④實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃⑤管理ISMS的運(yùn)行⑥管理ISMS的資源⑦執(zhí)行檢測(cè)事態(tài)和響應(yīng)事件的程序⑧實(shí)施內(nèi)部審核⑨實(shí)施風(fēng)險(xiǎn)再評(píng)估選的活動(dòng)，選項(xiàng)（）描述了在此階段組織應(yīng)進(jìn)行的活動(dòng)。A、①②③④⑤⑥B、①②③④⑤⑥⑦C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨【正確答案】：B解析：

管理體系包括PDCA（Plan-Do-Check-Act）四個(gè)階段，題干中1-7的工作都屬于管理體系的實(shí)施階段（D-Do），而8和9屬于檢查階段（C-Check）。88.關(guān)于信息安全管理體系(InformationSecurityManagementSystems，ISMS)，下面描述錯(cuò)誤的是()。A、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分B、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素C、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容D、管理體系(ManagementSystems)是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用【正確答案】：C解析：

雖然信息安全管理體系建設(shè)回提出一些技術(shù)要求，但是并沒(méi)有完整的要求構(gòu)建技術(shù)防護(hù)體系。89.以下關(guān)于Windows操作系統(tǒng)身份標(biāo)識(shí)與鑒別,說(shuō)法不正確的是()。A、Windows操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了SMB鑒別機(jī)制、LM鑒別機(jī)制、NTLM鑒別機(jī)制、Kerberos鑒別體系等階段B、完整的安全標(biāo)識(shí)符(SID)包括用戶和組的安全描述,48比特的身份特權(quán)、修訂版本和可變的驗(yàn)證值C、本地安全授權(quán)機(jī)構(gòu)(LSA)生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標(biāo)識(shí)符(SID)D、用戶對(duì)鑒別信息的操作,如更改密碼等都通過(guò)一個(gè)以Administrator權(quán)限運(yùn)行的服務(wù)“SecurityAccountsManager”來(lái)實(shí)現(xiàn)【正確答案】：D解析：

用戶對(duì)鑒別信息的操作,如更改密碼等都通過(guò)一個(gè)以system權(quán)限運(yùn)行的服務(wù)“SecurityAccountsManager”來(lái)實(shí)現(xiàn)。P357頁(yè)。90.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他使用了Nessus工具來(lái)掃描和發(fā)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)器的漏洞，根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論，他這個(gè)是掃描活動(dòng)屬于下面哪一個(gè)階段的工作()A、風(fēng)險(xiǎn)分析B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)結(jié)果判定D、風(fēng)險(xiǎn)處理【正確答案】：B解析：

漏洞掃描屬于風(fēng)險(xiǎn)要素的脆弱性要素識(shí)別，風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。91.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用【正確答案】：B解析：

項(xiàng)目管理受項(xiàng)目資源的約束。92.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是()A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng)，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問(wèn)題。B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期(SDL)最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D、軟件的安全測(cè)試也很重要，考試到程序員的專業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒(méi)有必要再組織第三方進(jìn)行安全性測(cè)試。【正確答案】：B解析：

A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計(jì)階段。C-SDL最大的特點(diǎn)是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測(cè)試是必要的軟件安全測(cè)試類型。93.國(guó)家對(duì)信息安全建設(shè)非常重視，如國(guó)家信息化領(lǐng)導(dǎo)小組在()中確定要求，“信息安全建設(shè)是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用?！眹?guó)家發(fā)展改革委所下發(fā)的()要求；電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問(wèn)題，提供安全專項(xiàng)資金，信息安全風(fēng)險(xiǎn)評(píng)估結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。在我國(guó)2017年正式發(fā)布的()中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！毙畔踩こ叹褪且鉀Q信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題。A、《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》；《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《網(wǎng)絡(luò)安全法》B、《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》；《網(wǎng)絡(luò)安全法》C、《網(wǎng)絡(luò)安全法》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)>>;D、《網(wǎng)絡(luò)安全法》；《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》【正確答案】：A94.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是：A、資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)【正確答案】：D解析：

安全措施既包括技術(shù)層面，也包括管理層面。95.強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體，具有較高的安全性，適用于專用或?qū)Π踩暂^高的系統(tǒng)。強(qiáng)制訪問(wèn)控制模型有多種類型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自學(xué)了BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4鐘對(duì)BLP模型的描述中，正確的是():A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”【正確答案】：B解析：

BLP模型保證機(jī)密性，向下讀，向上寫；Biba保障完整性，向上讀向下寫。96.1993年至1996年，歐美六國(guó)和美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個(gè)供歐美各國(guó)通用的信息安全評(píng)估標(biāo)準(zhǔn)，簡(jiǎn)稱CC標(biāo)準(zhǔn)，該安全評(píng)估標(biāo)準(zhǔn)的全稱為()A、《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》B、《信息技術(shù)安全評(píng)估準(zhǔn)則》C、《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》D、《信息技術(shù)安全通用評(píng)估準(zhǔn)則》【正確答案】：D97.組織建立業(yè)務(wù)連續(xù)性計(jì)劃（BCP)的作用包括：A、在遭遇災(zāi)難事件時(shí)，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性，完整性和一致性；B、提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí)，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；D、以上都是?！菊_答案】：D98.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是()。A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

TCP/IP協(xié)議模型自上而下分別是:應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層99.關(guān)于微軟的SDL原則,棄用不安全的函數(shù)屬于哪個(gè)階段?()A、規(guī)則B、計(jì)劃C、實(shí)現(xiàn)D、測(cè)試【正確答案】：C解析：

棄用不安全函數(shù)屬于編碼實(shí)現(xiàn)階段的工作,P398頁(yè)。100.下列關(guān)于測(cè)試方法的敘述中不正確的是()A、從某種角度上講,白盒測(cè)試與墨盒測(cè)試都屬于動(dòng)態(tài)測(cè)試B、功能測(cè)試屬于黑盒測(cè)試C、結(jié)構(gòu)測(cè)試屬于白盒測(cè)試D、對(duì)功能的測(cè)試通常是要考慮程序的內(nèi)部結(jié)構(gòu)的【正確答案】：D解析：

白盒測(cè)試是在程序員十分了解程序的前提下,對(duì)程序的邏輯結(jié)構(gòu)進(jìn)行的測(cè)試。而黑盒測(cè)試則將程序視為一個(gè)黑盒子,僅僅是測(cè)試人員提供輸入數(shù)據(jù),觀察輸出數(shù)據(jù),并不了解程序是如何運(yùn)行的,結(jié)構(gòu)測(cè)試屬于白盒測(cè)試,關(guān)注的是如何選擇合適的程序或子程序路徑來(lái)執(zhí)行有效的檢查。功能測(cè)試則屬于黑盒測(cè)試,對(duì)功能的測(cè)試通常通過(guò)提供輸入數(shù)據(jù),檢查實(shí)際輸出的結(jié)果,很少考慮程序的內(nèi)部結(jié)構(gòu)。101.在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí)，組織的()和實(shí)施方法(如信息安全的控制目標(biāo)、控制措施、方針、過(guò)程和規(guī)程)應(yīng)()。獨(dú)立評(píng)審宜由管理者啟動(dòng)，由獨(dú)立被評(píng)審范圍的人員執(zhí)行，例如內(nèi)部審核部、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員宜具備適當(dāng)?shù)?)。管理人員宜對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行()。為了日常評(píng)審的效率，可以考慮使用自動(dòng)測(cè)量和()。評(píng)審結(jié)果和管理人員采取的糾正措施宜被記錄，且這些記錄宜予以維護(hù)。A、信息安全管理；獨(dú)立審查；報(bào)告工具；技能和經(jīng)驗(yàn)；定期評(píng)審B、信息安全管理；技能和經(jīng)驗(yàn)；獨(dú)立審查；定期評(píng)審；報(bào)告工具C、獨(dú)立審查；信息安全管理；技能和經(jīng)驗(yàn)；定期評(píng)審；報(bào)告工具D、信息安全管理；獨(dú)立審查；技能和經(jīng)驗(yàn)；定期評(píng)審；報(bào)告工具【正確答案】：D102.小張新購(gòu)入了一臺(tái)安裝了Windows操作系統(tǒng)的筆記本電腦。為了提升操作系統(tǒng)的安全性，小張?jiān)赪indows系統(tǒng)中的“本地安全策略”中，配置了四類安全策略：賬號(hào)策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的()。A、關(guān)閉不必要的端口B、關(guān)閉不必要的服務(wù)C、查看日志記錄D、制定安全策略【正確答案】：D解析：

該操作是指：配置了四類安全策略：賬號(hào)策略、本地策略、公鑰策略和IP安全策略103.如圖所示，主體S對(duì)客體01有讀（R）權(quán)限，對(duì)客體02有讀（R）、寫（W）權(quán)限。該圖所示的訪問(wèn)控制實(shí)現(xiàn)方法是：（）A、訪問(wèn)控制表（ACL）B、訪問(wèn)控制矩陣C、能力表（CL）D、前綴表（Profiles）【正確答案】：C解析：

P307104.2016年9月，一位安全研究人員在GoogleCloudIP上通過(guò)掃描，發(fā)現(xiàn)了完整的美國(guó)路易斯安邦州290萬(wàn)選民數(shù)據(jù)庫(kù)。這套數(shù)據(jù)庫(kù)中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊(cè)日期與編號(hào)、正黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行（）攻擊。A、默認(rèn)口令B、字典C、暴力D、XSS【正確答案】：B105.為了能夠合理、有序地處理安全事件，應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種廣泛使用的方法，

其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容()。A、檢測(cè)階段B、培訓(xùn)階段C、文檔階段D、報(bào)告階段【正確答案】：A解析：

一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備->檢測(cè)->遏制->根除->恢復(fù)->跟蹤總結(jié)。P152頁(yè)。106.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備->檢測(cè)->遏制->根除->恢復(fù)->跟蹤總結(jié)。請(qǐng)問(wèn)下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤的是()。A、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見(jiàn)的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中最關(guān)鍵的步驟【正確答案】：C解析：

關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁(yè)。107.社會(huì)工程學(xué)是()與()結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的()，隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是(),這使得它幾乎是永遠(yuǎn)有效的()。A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的【正確答案】：A108.即使最好用的安全產(chǎn)品也存在()。結(jié)果,在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。一種有效的對(duì)策是在敵手和它的目標(biāo)之間配備多種()。每一種機(jī)制都應(yīng)包括()兩種手段。A、安全缺陷;安全機(jī)制;外邊和內(nèi)部B、安全機(jī)制;安全缺陷;保護(hù)和檢測(cè)C、安全缺陷;安全機(jī)制;保護(hù)和檢測(cè)D、安全缺陷;保護(hù)和檢測(cè);安全機(jī)制【正確答案】：C109.在軟件項(xiàng)目開(kāi)發(fā)過(guò)程中,評(píng)估軟件項(xiàng)目風(fēng)險(xiǎn)時(shí),()與風(fēng)險(xiǎn)無(wú)關(guān)。A、高級(jí)管理人員是否正式承諾支持該項(xiàng)目B、開(kāi)發(fā)人員和用戶是否充分理解系統(tǒng)的需求C、最終用戶是否同意部署已開(kāi)發(fā)的系統(tǒng)D、開(kāi)發(fā)需求的資金是否能按時(shí)到位【正確答案】：C解析：

ABD都對(duì)項(xiàng)目風(fēng)險(xiǎn)有一定影響,C項(xiàng)是否同意部署在開(kāi)發(fā)完成以后。110.以下關(guān)于VPN說(shuō)法正確的是()A、VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B、VPN不能做到信息認(rèn)證和身份認(rèn)證C、VPN指的是用戶通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D、VPN只能提供身份認(rèn)證，不能提供數(shù)據(jù)加密傳輸?shù)墓δ堋菊_答案】：C解析：

VPN和公共網(wǎng)絡(luò)是邏輯隔離的關(guān)系，可以進(jìn)行信息認(rèn)證，身份認(rèn)證，數(shù)據(jù)加密(例如：

IPsecVPN)，111.PKI的主要理論基礎(chǔ)是()。A、摘要算法B、對(duì)稱密碼算法C、量子密碼D、公鑰密碼算法【正確答案】：D解析：

PKI(公鑰基礎(chǔ)設(shè)施)，也稱公開(kāi)密鑰基礎(chǔ)設(shè)施。P286頁(yè)。112.訪問(wèn)控制方法可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色訪問(wèn)控制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問(wèn)控制模型，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在(1)自主訪問(wèn)控

制，(2)強(qiáng)制訪問(wèn)控制，(3)基于角色的訪問(wèn)控制(4)基于規(guī)則的訪問(wèn)控制中，能夠滿

足以上要求的選項(xiàng)有()A、只有(1)(2)B、只有(2)(3)C、只有(3)(4)D、只有(4)【正確答案】：C解析：

支持最小特權(quán)原則和職責(zé)分離原則，只有基于角色的訪問(wèn)控制滿足，所以排除A和

D，基于強(qiáng)制訪問(wèn)控制不滿足，所以排除B。113.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可

少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪

項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)

C，所有數(shù)據(jù)和操作系

統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅D、將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能【正確答案】：B解析：

操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開(kāi)不同磁盤部署。114.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說(shuō)法正確的是()。A、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)B、使用差分備份，數(shù)據(jù)恢復(fù)時(shí)只需最后一次的標(biāo)準(zhǔn)備份與差分備份，如果每天都有大量數(shù)據(jù)變化，差分備份工作非常費(fèi)時(shí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為操作系統(tǒng)備份和數(shù)據(jù)庫(kù)備份D、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件【正確答案】：B解析：

A依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為6個(gè)等級(jí)；C：數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和業(yè)務(wù)數(shù)據(jù)備份；D差分備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件。115.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是：A、httpdconfB、srlconfC、access．confD、Inet.conf【正確答案】：A解析：

根據(jù)題干本題選擇A。116.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)【正確答案】：C解析：

TACACS+是AAA權(quán)限控制系統(tǒng)，不屬于VPN。117.通過(guò)對(duì)稱密碼算法進(jìn)行安全消息傳輸?shù)谋?/p>