第頁nisp二級練習(xí)試題附答案1.系統(tǒng)安全工程-能力成熟度模型(SystemsSecurityengineering-Capabilitymaturitmodel,SSE-CMM)定義的包含評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是()A、風(fēng)險(xiǎn)過程B、工程過程C、保證過程D、評估過程【正確答案】：A2.在實(shí)施信息安全風(fēng)險(xiǎn)評估時(shí),需要對資產(chǎn)的價(jià)值進(jìn)行識別、分類和賦值,關(guān)于資產(chǎn)價(jià)值的評估,以下選項(xiàng)中正確的是()A、資產(chǎn)的價(jià)值指采購費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無法估計(jì)【正確答案】：C3.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法,Windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略,關(guān)于這兩個(gè)策略說明錯(cuò)誤的是()A、密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進(jìn)行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊,能有效的保護(hù)所有系統(tǒng)用戶被口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶,無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊【正確答案】：D4.在信息安全管理過程中,背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的()A、背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn),以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)B、背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值,同時(shí)確認(rèn)已有的安全措C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信息系統(tǒng)的【正確答案】：B解析：

目標(biāo)和特性施,形成需要保護(hù)的資產(chǎn)清單安全要求報(bào)告5.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源是軟件無法響應(yīng)正常請求的一種攻擊方式,在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅,以下哪個(gè)不是需要考慮的攻擊方式:()A、攻擊者利用軟件存在邏輯錯(cuò)誤,通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán),CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重嵌套査詢,在數(shù)據(jù)最大時(shí)會導(dǎo)致查詢效率低,通過發(fā)送大量的査詢導(dǎo)致數(shù)據(jù)C、攻擊者利用軟件不自動釋放連接的問題,通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù),導(dǎo)致并發(fā)連接數(shù)耗盡而D、攻擊者買通了IDC人員,將某軟件運(yùn)行服務(wù)器的網(wǎng)線撥掉導(dǎo)致無法訪問【正確答案】：D解析：

庫響應(yīng)緩慢無法訪問6.在信息系統(tǒng)中,訪向控制是重要的安全功能之一。它的任務(wù)是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪何權(quán)限進(jìn)行管理,防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項(xiàng)中,對主體、客體和訪問權(quán)服的描述中錯(cuò)誤的是()A、對文件進(jìn)行操作的用戶是一種主體B、主體可以接收客體的信息和數(shù)據(jù),也可能改變客體相關(guān)的信息C、訪向權(quán)限是指主體對客體所允許的操作D、對目錄的訪問權(quán)展可分為讀、寫和柜絕訪問【正確答案】：D7.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù),它是識別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正常使用,從而檢測出入侵行為。下面說法錯(cuò)誤的是()A、在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測,是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

種手段向管理員報(bào)警8.王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí),發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)重要資產(chǎn):資產(chǎn)A1和資產(chǎn)A2其中資產(chǎn)A1面臨兩個(gè)主要威脅,威脅T1和威脅T2而資產(chǎn)A2面臨個(gè)主要威脅,威脅『39威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性;脆弱性V和脆弱性V2威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性,脆弱性V3、脆弱性V4和脆弱性V5威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性;脆弱性Vδ和脆弱性V7根據(jù)上述條件,請問:使用相乘法時(shí),應(yīng)該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值()A、2B、3C、5D、6【正確答案】：C9.從歷史演進(jìn)來看,信息安全的發(fā)展經(jīng)歷了多個(gè)階段。其中,有一個(gè)階段的特點(diǎn)是:網(wǎng)絡(luò)信息系統(tǒng)逐步形成,信息安全注重保護(hù)信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問,開始使用防火墻、防病毒PKI和VPN等安全產(chǎn)品。這個(gè)階段是()A、通信安全階段B、計(jì)算機(jī)安全階C、信息系統(tǒng)安全階段D、信息安全保障階段【正確答案】：C10.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)()A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù),開發(fā)相應(yīng)的軟件和硬件,將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù),管理和商務(wù)等方面,是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B11.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第部分:簡介和一般模型》(GBT202741-2006)中描述了信息系統(tǒng)安全保障模型,下面對這個(gè)模型理解錯(cuò)誤的是()A、該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被B、該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)的動態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全C、該模型強(qiáng)調(diào)綜合保障的觀念,即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來D、模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心,基干IATF模型改進(jìn),在其基礎(chǔ)上增加了人員要【正確答案】：D解析：

破壞,從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的過程實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)素,強(qiáng)調(diào)信息安全的自主性12.某攻擊者想通過遠(yuǎn)程控制軟件潛伏在某監(jiān)控方的Unix系統(tǒng)的計(jì)算機(jī)中,如果攻擊者打算長時(shí)間地遠(yuǎn)程監(jiān)控某服務(wù)器上的存儲的敏感數(shù)據(jù),必須要能夠清除在監(jiān)控方計(jì)算機(jī)中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方査看己的系統(tǒng)日志的時(shí)候,就會發(fā)現(xiàn)被監(jiān)控以及訪問的痕跡。不屬于清除痕跡的方法是()A、竊取root權(quán)限修改wtmp/wtmpxutmpx和Q1astro三個(gè)主要日志文件B、采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能C、保留攻擊時(shí)產(chǎn)生的臨時(shí)文件D、修改登錄日志,偽造成功的登錄日志,增加審計(jì)難度【正確答案】：C13.2003年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個(gè)文件,從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國發(fā)布的文件()A、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)B、《國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》(國令[2008]54號)C、《國家信息安全戰(zhàn)略報(bào)告》(國信[2005]2號)D、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)[2012123號)【正確答案】：B14.關(guān)于信息安全管理,下面理解片面的是()A、信息安全管理是組織整體管理的重要、固有組成部分,它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程,不是一成不變的C、在信息安全建設(shè)中,技術(shù)是基礎(chǔ),管理是拔高,及有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則,是我國加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C15.從系統(tǒng)工程的角度來處理信息安全問題,以下說法錯(cuò)誤的是:()A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn),建立一組平衡的安全需求,融合各種工程學(xué)科的努力將此安B、系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋,證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求,或C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法,是一種使用面向開發(fā)的D、系統(tǒng)安全工程能力成熟度模型(SSE-CMD是在原有能力成熟度模型(CM的基礎(chǔ)上。通過對安全工作過程【正確答案】：C解析：

全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)方法進(jìn)行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測量的先進(jìn)學(xué)科16.小王是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的學(xué)生,最近因?yàn)樯∪毕藥滋眯畔踩n程,這幾次課的內(nèi)容是自主訪問控制與強(qiáng)制訪問控制,為了趕上課程進(jìn)度,他向同班的小李借來課堂筆記,進(jìn)行自學(xué)。而小李在聽課時(shí)由于經(jīng)常走神,所以筆記中會出現(xiàn)一些錯(cuò)誤。下列選項(xiàng)是小李筆記中關(guān)于強(qiáng)制訪問控制模型的內(nèi)容,其中出現(xiàn)錯(cuò)誤的選項(xiàng)是()A、強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性,系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪B、安全屬性是強(qiáng)制性的規(guī)定,它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定,不能隨意修改C、系統(tǒng)通過比較客體玫主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個(gè)用戶執(zhí)行訪問控制的過程和措施【正確答案】：D解析：

問某個(gè)客體17.開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾,這種現(xiàn)象稱作()A、軟件工程B、軟件周期C、軟件危機(jī)D、軟件產(chǎn)生【正確答案】：C18.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SEE-CMM)中的基本實(shí)施(BasePractices,BP),正確的理解是:()A、BP不限定于特定的方法或工具,不同的業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料、實(shí)踐和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過程區(qū)域(ProcessAreas,PE、的強(qiáng)制項(xiàng)【正確答案】：A19.我國依照信息系統(tǒng)的重要程度、安全事件造成的系統(tǒng)損失以及帶來的社會影響等因素,將信息安全事件分為若干個(gè)級別,其中,能夠?qū)μ貏e重要的信息系統(tǒng)產(chǎn)生特別嚴(yán)重影響或破壞的信息安全事件,如使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失,如造成系統(tǒng)大面積癱瘓,使其喪失業(yè)務(wù)處理能力,或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞的,應(yīng)屬于哪一級信息安全事件()A、I級B、皿級C、W級D、特別級【正確答案】：A20.超文本傳輸協(xié)議(HypertextTransferProtocolHTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議,下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議,具備用戶鑒別和通信數(shù)據(jù)加密等功能()A、HTTP1.0協(xié)議B、HTTP1.1協(xié)議C、HTTPS協(xié)議D、HTTPD協(xié)議【正確答案】：C21.SO27002(nformationtechnology-SecurtiyTechniques-codeofpracticeforinformationmanagement)是重要的信息安全管理標(biāo)準(zhǔn)之一,下圖是關(guān)于其演進(jìn)變化示意圖,途中括號空白處應(yīng)填寫?()A、B.7799.1.3B、IS017799C、NSTSP800-17【正確答案】：B解析：

CAS/NZS4630BS7799管理措施，BS7799.2信息安全要求-ISO27001BS7799管理措施-BS7799.1->ISO17799->ISO2700222.S09001-2000標(biāo)準(zhǔn)鼓勵(lì)在制定、實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)對采用的過程方法,通過滿足顧客要求增進(jìn)顧客滿意,下圖是關(guān)于過程方法示意圖,空白處應(yīng)填寫()A、策略B、管理者C、組織D、活動【正確答案】：D23.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后,認(rèn)識到信息安全風(fēng)險(xiǎn)評估分為自評估和檢査評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo),其中描述錯(cuò)誤的是()A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實(shí)施完整的風(fēng)險(xiǎn)評估過程;也可在自評估的基礎(chǔ)上,對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)B、檢査評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢査評估可以由上級管理部門組織,并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢査評估是通過行政手段加強(qiáng)信息安全管理的重要措施,具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

容實(shí)施抽樣評估24.某單位門戶網(wǎng)站發(fā)完成后,測試人員使用模糊測試進(jìn)行安全性測試,以下關(guān)于模糊試過程的說法正確的是()A、模擬正常用戶輸入行為,生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因,必要時(shí)需要測試人員手工重現(xiàn)并分析【正確答案】：D25.在某次信息安全應(yīng)急響應(yīng)過程中,小王正在實(shí)施如下措施:消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請問按照PDCER-應(yīng)急響應(yīng)方法這些工作應(yīng)處于以下哪個(gè)階段()A、準(zhǔn)備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D26.國家科學(xué)技術(shù)秘密的密級分為絕密級、機(jī)密級、密級,以下娜塊屬于絕密級的描述?()A、處于國際先進(jìn)水平、并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的B、能夠局部及應(yīng)國家防制和治安實(shí)力的C、我國獨(dú)有不要自己條件因素制約.能體現(xiàn)民族特色的精華,并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D、國際領(lǐng)先.并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】：D27.關(guān)于密鑰管理,下列說法錯(cuò)誤的是()A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密,而應(yīng)基于密鑰的安全性B、在網(wǎng)絡(luò)通信過程中通信雙方可利用diffie-hellman協(xié)議商出會話密鑰【正確答案】：B解析：

B保密通信過程中,通信方使用之前用過的會話鑰建立會話,不影響通信安全C密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新撤銷等生命周期過程的每一個(gè)環(huán)節(jié)28.實(shí)體身份鑒別的方法多種多樣,且隨著技術(shù)的進(jìn)步,鑒別方法的強(qiáng)度不斷提高,常見的方法有利用口令鑒別、令牌鑒別、指紋鑒別等。如圖,小王在登錄某移動支付平臺時(shí),首先需要通過指紋對用戶身份進(jìn)行鑒別。通過鑒別后,他才能作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等()A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見的鑒別方法【正確答案】：C29.信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個(gè)控制目標(biāo),為了實(shí)現(xiàn)對組織內(nèi)部信息安全的有效管理,應(yīng)該實(shí)施常規(guī)的控制措施,不包括哪些選項(xiàng)()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C、與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識別、處理外部各方協(xié)議中的安全問題【正確答案】：D30.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivateNetwork,IpsecVPN)時(shí),以下說法正確的是()A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IpsecVPN網(wǎng)絡(luò)時(shí),需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段,來減少IpsecD、報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AE、可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗31.在Windows系統(tǒng)中,存在默認(rèn)共享功能,方便了局域網(wǎng)用戶使用,但對個(gè)人用戶來說存安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng),網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí),需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中,不能關(guān)閉默認(rèn)共享的操作是()A、HKEYLOCALMACHINE\SYSTEM\Currentcontrolset\Services\lenmanserver\paraneters項(xiàng)中的B、將“HKEYLOCALmachinesystemcurrentcontrolset\Services\lenmanserver\paraneters"項(xiàng)中的C、HKEYLOCALMACHINE\SYSTEM\CurrentcontrolsetServices\lenmanserver\paraneters"IAutosharewks"項(xiàng)D、在命令窗口中輸入命令,刪除C盤默認(rèn)共享:netshareC/del【正確答案】：A解析：

“Autodisconnect"項(xiàng)鍵值改為0Autoshareserver"項(xiàng)鍵值改為0鍵值改為032.在信息系統(tǒng)中,訪問控制是重要的安全功能之一。他的任務(wù)是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)限進(jìn)行管理,防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項(xiàng)中,對主體、客體和訪問權(quán)限的描述中錯(cuò)誤的是()A、對文件進(jìn)行操作的用戶是一種主體B、主體可以接受客體的信息和數(shù)據(jù),也可能改變客體相關(guān)的信息C、訪問權(quán)限是指主體對客體所允許的操作D、對目錄的訪問權(quán)可分為讀、寫和拒絕訪問【正確答案】：D33.操作系統(tǒng)用于管理計(jì)算機(jī)資源,控制整個(gè)系統(tǒng)運(yùn)行,是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計(jì)算機(jī),開機(jī)后首先對自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有:(1)關(guān)閉不必要的服務(wù)和端口;(2)在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和iP安全策略(3)備份敏感文件,禁止建立空連接,下載最新補(bǔ)丁;(4)關(guān)閉審核策略,開啟口令策略,開啟賬號策略。這些操作中錯(cuò)誤的是()A、操作(1),應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作(2),在“本地安全策略”中不應(yīng)該配置公鑰策略,而應(yīng)該配置私鑰策略C、操作(3),備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加D、操作(4),應(yīng)該開啟審核策略【正確答案】：D34.下面對零日(zero-day)漏洞的理解中,正確的是()A、指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞精指在200被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電C、指一類漏洞,特別好被利用,一且成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達(dá)到攻擊目標(biāo)D、一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被兒人發(fā)現(xiàn),但是還未公開、還不【正確答案】：D解析：

站基礎(chǔ)設(shè)施存在安全補(bǔ)丁的漏洞都是零日漏洞35.隨著互聯(lián)網(wǎng)+概念的普及,越來越多的新興住宅小區(qū)引入了智能樓宇”的理念,某物業(yè)為提供高檔次的服務(wù),防止網(wǎng)絡(luò)主線路出現(xiàn)故障,保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用、穩(wěn)定、高效,計(jì)劃通過網(wǎng)絡(luò)冗余配置確?！敝悄軜怯睢毕到y(tǒng)的正常運(yùn)轉(zhuǎn),下列選項(xiàng)中不屬于冗余配置的是()A、接入互聯(lián)網(wǎng)時(shí),同時(shí)采用不同電信運(yùn)葦商線路,相互備份且互不影響B(tài)、核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)熱備C、規(guī)劃網(wǎng)絡(luò)IP地址,制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要【正確答案】：C36.小李在上網(wǎng)時(shí)不小心點(diǎn)開了假冒某銀行的釣魚網(wǎng)站,誤輸入了銀行賬號與密碼損失上千元,他的操作如右圖所示,他所受到的攻擊是()ARP欺騙B、DNS欺騙C、IP欺騙D、TCP會話【正確答案】：B37.某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求前置機(jī)開發(fā)日志共享,有總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄,根據(jù)降低攻擊面的原則,應(yīng)采取哪項(xiàng)處理措施()A、由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略,會帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志,對日志共享設(shè)置,對日志共享設(shè)置訪問密碼且限定訪問的時(shí)間【正確答案】：D38.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議機(jī)自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:()A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B39.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是()A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B40.以下哪一項(xiàng)不是常見威脅對應(yīng)的消減措施:()A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息,收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴D、為了防止用戶提升權(quán)限,可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C41.ApacheHTTPServer(簡稱Apache)是一個(gè)開放源碼的Web服務(wù)運(yùn)行平臺,在使用過程中,該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)采取以下哪種措施()A、不選擇Windows平臺,應(yīng)選擇在Linux平臺下安裝使用B、安裝后,修改配置文件httpC、conf中的有關(guān)參數(shù)D、安裝后,刪除ApscheHTTPServer源碼E、從正確的官方網(wǎng)站下載ApecheHTTPServer,并安裝使用【正確答案】：B42.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段,為了保證用戶賬戶的安全,項(xiàng)目開發(fā)人員決定用戶登錄時(shí)如用戶名或口令輸入錯(cuò)誤,給用戶返回用戶名或口令輸入錯(cuò)誤”信息,輸入錯(cuò)誤達(dá)到三次,將暫時(shí)禁止登錄該賬戶,請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則:()A、最小共享機(jī)制原則B、經(jīng)濟(jì)機(jī)制原理C、不信任原則D、默認(rèn)故障處理保護(hù)原則【正確答案】：C43.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件,對于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧,開發(fā)部門認(rèn)為開發(fā)階段無需投入,軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決,比前期安全投入要成本更低:信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入,后期解決代價(jià)太大,雙方爭執(zhí)不下,作為信息安全專家,請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法?()A、信息中心的考慮是正確的,在軟件立項(xiàng)投入解決軟件安全問題,總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開發(fā)部門的說法是正確的,因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在,安排人員進(jìn)行代碼修訂更簡單,因此C、雙方的說法都正確,需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D、雙方的說法都錯(cuò)誤,軟件安全問題在任何時(shí)候投入解決都可以,只要是一樣的問題,解決的代價(jià)相同【正確答案】：A解析：

費(fèi)用更低44.以下行為不屬于違反國家保密規(guī)定的行為:()A、將涉密計(jì)算機(jī)、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、通過普通郵政等無保密措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家秘密D、以不正當(dāng)手段獲取商業(yè)秘密【正確答案】：D45.2008年1月2日,美國發(fā)布第54號總統(tǒng)令,建立國家網(wǎng)絡(luò)安全綜合計(jì)劃(ComprehensiveNationalCybersecurityInitative,CNcI)。CNCI計(jì)劃建立三道防線:第一道防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對各類威脅;第三道防線,強(qiáng)化未來安全環(huán)境。從以上內(nèi)容,我們可以看出以下哪種分析是正確的:()A、CNCI是以風(fēng)險(xiǎn)為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修D(zhuǎn)、CNCI徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn),而是追求所有【正確答案】：A解析：

修補(bǔ)補(bǔ)網(wǎng)絡(luò)和系統(tǒng)的全面安全保障46.在某信息系統(tǒng)的設(shè)計(jì)中,用戶登錄過程是這樣的(1)用戶通過HTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢査用戶名和密碼的正確性,如果正確,則鑒別完成?？梢钥闯?這個(gè)鑒別過程屬于()A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A47.信息安全管理體系(nformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動。關(guān)于這兩者,下面描述錯(cuò)誤的是()A、內(nèi)部審核和管理審評都很重要,都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?也都應(yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式,而管理評審的實(shí)施方式多采用召開管理審評會C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組,而管理評審的實(shí)施主體是由國家政策指定的第三方技D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核準(zhǔn)使用,但在管理評審中,【正確答案】：C解析：

議的形式進(jìn)行術(shù)服務(wù)機(jī)構(gòu)這些文件是被審對象48.下列我國哪一個(gè)政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則?()A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條列》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D、《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作意見》【正確答案】：C49.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù),下列說法不正確的是()A、數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決,當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時(shí),可以B、數(shù)據(jù)庫管理員定期地將整個(gè)數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個(gè)磁盤上保存起來是數(shù)據(jù)庫恢復(fù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用,可以用來進(jìn)行事物故障恢復(fù)和系統(tǒng)故障恢復(fù),并協(xié)助后備D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上,利用日志文件中故障發(fā)生前數(shù)據(jù)的值,將數(shù)據(jù)庫恢【正確答案】：D解析：

利用冗余數(shù)據(jù)來進(jìn)行修復(fù)中采用的基本技術(shù)副本進(jìn)行介質(zhì)故障恢復(fù)復(fù)到故障發(fā)生前的完整狀態(tài),這一對事務(wù)的操作稱為提交50.某網(wǎng)站為了更好向用戶提供服務(wù),在新版本設(shè)計(jì)時(shí)提供了用戶快捷登陸功能,用戶如果使用上次的IP地址進(jìn)行訪問,就可以無需驗(yàn)證直接登錄,該功能推出后,導(dǎo)致大量用戶賬號被盜用,關(guān)于以上問題的說法正確的是()A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼導(dǎo)致攻擊面增大,產(chǎn)生此安B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致,使用了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加,導(dǎo)致網(wǎng)絡(luò)攻擊面增大,產(chǎn)生此安全問D、網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素,設(shè)計(jì)了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此安全問【正確答案】：D解析：

全問題題51.信息安全等級保護(hù)分級要求,第三級適用正確的是()A、適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權(quán)益有一定影響,但不危害國B、適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后,C、適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后會對國家安全、D、適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞【正確答案】：B解析：

家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害后,會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重52.關(guān)于計(jì)算機(jī)取證描述不正確的是()A、計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具,按照標(biāo)準(zhǔn)規(guī)程全面地檢査計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯B、取證的目的包括:通過證據(jù)査找肇事者、通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害者損失程度及收集C、電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品。對于電子證據(jù),取D、計(jì)算機(jī)取證的過程可以分為準(zhǔn)備、保護(hù)、提取、分析和提交5個(gè)步驟【正確答案】：C解析：

罪的相關(guān)證據(jù)的活動證據(jù)提供法律支持證工作主要圍繞兩方面進(jìn)行:證據(jù)的獲取和證據(jù)的保護(hù)53.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性,但也有其局限性,下列說法錯(cuò)誤的是()A、對用戶知識要求高,配置、操作和管理使用過于簡單,容易遭到攻擊B、高虛警率,入侵檢測系統(tǒng)會產(chǎn)生大的警告消息和可疑的入慢行為記錄,用戶處理負(fù)擔(dān)很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時(shí),對其他數(shù)據(jù)的檢測可能會被抑制成者受到影響D、警告消息記承如果不完整,可能無法與入侵行為關(guān)聯(lián)【正確答案】：A54.對信息安全事件的分級參考下列三個(gè)要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進(jìn)行劃分,不屬于正確劃分級別的是()A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D55.某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過了威脅建模和攻擊面分析,在開發(fā)時(shí)要求程序員編寫安全的代碼,但是在部署時(shí)由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份,為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題,以下哪種測試方式是最佳的測試方式()A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試【正確答案】：C56.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了三層WEB架構(gòu),但是軟件存在SL注入漏洞,導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時(shí),采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得【正確答案】：C解析：

數(shù)據(jù)到明文數(shù)據(jù)57.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用【正確答案】：D58.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng),他常登陸的用戶名為zhang,張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問這個(gè)目錄,管理員在某次維護(hù)中無意將zhang這個(gè)用戶刪除了,隨后又重新建了一個(gè)用戶名為zhang,張主任使用zhang這個(gè)用戶登錄系統(tǒng)后,發(fā)現(xiàn)無法訪問他原來的個(gè)人文件夾,原因是()A、任何一個(gè)新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件B、Windows7不認(rèn)為新建立的用戶zhang與原來的用戶zhang是同一個(gè)用戶,因此無權(quán)訪C、用戶被刪除后,該用戶創(chuàng)建的文件夾也會自動刪除,新建用戶找不到原來用戶的文件夾,因此無法訪問D、新建的用戶zhang會繼承原來用戶的權(quán)限,之所以無權(quán)訪問是因?yàn)槲募A經(jīng)過了加密【正確答案】：A59.某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)通過公開招標(biāo)選擇M公司為承建單位并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作,目前各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)M公司已經(jīng)提交了驗(yàn)收申請監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審査在以下所提交的文檔中哪一項(xiàng)屬于開發(fā)類文檔()A、項(xiàng)目計(jì)劃B、質(zhì)量控制計(jì)劃C、評審報(bào)告D、需求說明書【正確答案】：D60.某軟件在設(shè)計(jì)時(shí),有三種用戶訪問模式,分別是僅管理員可訪問,所有合法用戶可訪問和允許匿名訪問請問采用這三種訪問模式時(shí),攻擊面最高的是()A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名訪問D、三種方式都一樣【正確答案】：C61.安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域,下面哪項(xiàng)描述是錯(cuò)誤的()A、安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù),和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)B、安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護(hù)問題C、以安全域?yàn)榛A(chǔ),可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段,從而使同一安全域D、安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn),以安全域?yàn)榛A(chǔ),可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢査【正確答案】：A解析：

內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)和評估,因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式62.下列選項(xiàng)中,對圖中出現(xiàn)的錯(cuò)誤描述正確的是()A、步驟1和2發(fā)生錯(cuò)誤,B.步驟3和4發(fā)生錯(cuò)誤C、步驟5和6發(fā)生錯(cuò)誤D、步驟5和6發(fā)生錯(cuò)誤【正確答案】：B63.恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩個(gè)值能否為零,正確的選項(xiàng)是()A、RT0可以為0,RPO也可以為0B、RT0可以為0,RPO不可以為C、RT0不可以為0,但RPO可以為0D、RT0不可以為0,RP0也不可以為【正確答案】：A64.關(guān)于信息安全保障技術(shù)框架(InformationAssuranceTehnicalFrameworkat-),下面描述錯(cuò)誤的是()A、IATF最初由美國國家安全局(NSB、發(fā)布,后來由國際標(biāo)準(zhǔn)化組織(IS0)轉(zhuǎn)化為國際標(biāo)準(zhǔn),供各個(gè)國家信息系C、IATF是一個(gè)通用框架,可以用到多種應(yīng)用場景中,通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述,然D、IATF提出了深度防御的戰(zhàn)略思想,并提供一個(gè)框架進(jìn)行多層保護(hù),以此防范信息系統(tǒng)面臨的各種威脅E、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面,也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障【正確答案】：A解析：

統(tǒng)建設(shè)參考使用后再以此框架討論信息系統(tǒng)的安全保護(hù)問題問題65.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評估性能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí),形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中,該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下()中的輸出結(jié)果。()A、風(fēng)險(xiǎn)評估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段【正確答案】：A66.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制,他們具有不同的特點(diǎn)和應(yīng)用場景。如果需要選擇一個(gè)訪問控制方法,要求能夠支持最小特權(quán)原則和職責(zé)分離原則,而且在不同的系統(tǒng)配置下可以具有不同的安全控制,那么在下列選項(xiàng)中,能夠滿足以上要求的選項(xiàng)是()A、自主訪問控制B、強(qiáng)制訪問控制C、基于角色的訪問控制D、以上選項(xiàng)都可以【正確答案】：C67.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)以下說法最恰當(dāng)?shù)氖?)A、組織為避所有業(yè)務(wù)功能因重大事件而中斷,減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷,減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷,減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程D、組織為避免信息系統(tǒng)功能因各種事件而中斷,減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過程【正確答案】：B68.異常入侵檢測系統(tǒng)常用的一種技術(shù),它是識別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正常使用,從而檢測出入侵行為。下面說法錯(cuò)誤的是()A、在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、異常入侵檢測,是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手段向管理D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

員報(bào)警69.GBT22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出,建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行,即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行SMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程,并在這些過程中應(yīng)實(shí)施若干活動。請選出以下描述錯(cuò)誤的選項(xiàng)()A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“實(shí)施培訓(xùn)和意識教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C、“進(jìn)行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容【正確答案】：D70.下面四款安全測試軟件中,主要用于WEB安全掃描的是()A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner【正確答案】：B71.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全。其中,屬于或依附于傳輸層的安全協(xié)議是()A、PP2PB、L2TPC、SSLD、IPSEC【正確答案】：C72.應(yīng)急響應(yīng)是信息事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性,事先制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)管理過程分為6個(gè)階段為準(zhǔn)備一檢測-遏制-根除-恢復(fù)-跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是()A、確定重要資產(chǎn)和風(fēng)險(xiǎn),實(shí)施針對風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測階段,首先要進(jìn)行監(jiān)測、報(bào)告及信息收集C、遏制措施可能會因?yàn)槭录念悇e和級別不同而完全不同,常見的遏制措施有:完全關(guān)閉所有系統(tǒng)拔掉網(wǎng)線D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟,順次恢復(fù)相關(guān)的系統(tǒng)?！菊_答案】：C73.某單位計(jì)劃在今年開發(fā)一套辦公自化(OA)系統(tǒng),將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公,在OA系統(tǒng)的設(shè)計(jì)方案評審會上,提出了不少安全開發(fā)的建議,作為安全專家,請指出大家提供的建議中不太合適的一條()A、對軟件開發(fā)商提出安全相關(guān)要求,確保軟件開發(fā)商對安全足夠的重視,投入資源解決軟件安全問題B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn),是開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言,避免產(chǎn)生SQL注入漏洞D、要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計(jì),各模塊明確輸入和輸出數(shù)據(jù)格式,并在使用前對輸入數(shù)據(jù)進(jìn)行?！菊_答案】：C解析：

驗(yàn)74.以下關(guān)于UDP協(xié)議的說法,哪個(gè)是錯(cuò)誤的?()A、UDP具有簡單高效的特點(diǎn),常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊B、UDP協(xié)議包頭中包含了源端口號和目的端口號,因此UDP可通過端口號將數(shù)據(jù)包送達(dá)正確的程序C、相比TCP協(xié)議,UDP協(xié)議的系統(tǒng)開銷更小,因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D、UDP協(xié)議不僅具有流量控制,超時(shí)重發(fā)機(jī)制,還能提供加密等服務(wù),因此常用來傳輸如視頻會話這類需要【正確答案】：D解析：

隱私保護(hù)的數(shù)據(jù)75.王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí),根據(jù)任務(wù)安排,他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞,根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論,他這個(gè)掃描活動屬于下面哪個(gè)階段的工作()A、風(fēng)險(xiǎn)分析B、風(fēng)險(xiǎn)要素識C、風(fēng)險(xiǎn)結(jié)果判定D、風(fēng)險(xiǎn)處理【正確答案】：B76.以下關(guān)于模糊測試過程的說法正確的是()A、模糊測試的效果與覆蓋能力,與輸入樣本選擇不相關(guān)B、通過異常樣本重視異常,人工分析異常原因,判斷是否為潛在的安全漏洞,如果是安全漏洞,就需要進(jìn)一步C、對于可能產(chǎn)生的大量異常報(bào)告,需要人工全部分析異常報(bào)告【正確答案】：C解析：

B為保障安全測試的效果和自動化過程,關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄,系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試分析其危害性、影響范圍和修復(fù)建議77.《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework,IATF)是由哪個(gè)下面哪個(gè)國家發(fā)布的()A中國A、美國B、俄羅斯C、歐盟【正確答案】：B78.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生,在前往一家大型企業(yè)應(yīng)聘時(shí),面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能,在以下選項(xiàng)中,從時(shí)間和資源消耗的角度,下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是()A、訪問控制列表(ACL)B、能力表(CL)C、BLP模型D、Biba模型【正確答案】：A79.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯(cuò)誤的是()A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遇制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個(gè)級別:特別重大事件(I級)、重大事件(II【正確答案】：B解析：

級)、較大事件(II1級)和一般事件(IV級)80.把瀑布模型和專家系統(tǒng)結(jié)合在一起在開發(fā)的各個(gè)階段上都利用相應(yīng)的專家系統(tǒng)來幫助軟件人員完成開發(fā)工作。()A、原型模型B、螺旋模型C、基于知識的智能模型D、噴泉模型【正確答案】：C81.在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()A、制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履D、建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評估過程,確保信息安全風(fēng)險(xiǎn)評估技術(shù)【正確答案】：D解析：

行法律責(zé)任和持續(xù)改進(jìn)的重要性選擇合理、計(jì)算正確82.軟件存在洞和缺陷是不可避免的,實(shí)踐中常使用軟件缺陷密度(Defects/KLOC)來衡量軟件的安全性,假設(shè)某個(gè)軟件共有296萬行源代碼,總共被檢測出145個(gè)缺陷,則可以計(jì)算出其軟件缺陷密度值是()A、0.00049B、0.049C、0.49D、49【正確答案】：B83.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí),有關(guān)測量結(jié)果,錯(cuò)誤的理解是()A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備某一個(gè)特定級別的部分公共特征時(shí),則這個(gè)組織在這個(gè)過B、如果該組織某個(gè)過程區(qū)域(ProcessAreas,PC、具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個(gè)公共特D、如果某個(gè)過程區(qū)域(ProcessAreas,PE、包含4個(gè)基本實(shí)施(BasePractices,BP),執(zhí)行此PA時(shí)執(zhí)了3個(gè)BP,則此F、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上【正確答案】：B解析：

程區(qū)域的能力成熟度未達(dá)到此級征,則過程區(qū)域的能力成熟度級別達(dá)到3級“充分定義級”過程區(qū)域的能力成熟度級別為084.若一個(gè)組織聲稱自己的ISMS符合SO/=C27001或GBT22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制,人力資源安全劃分為3個(gè)控制階段,不包括哪一項(xiàng)()A、任用之前B、任用中C、任用終止或變化D、任用公示【正確答案】：D85.關(guān)于Kerberos認(rèn)證協(xié)議,以下說法錯(cuò)誤的是()A、只要用戶拿到了認(rèn)證服務(wù)器(AS)發(fā)送的票據(jù)許可票據(jù)(TGT)并且該TGT沒有過期,就可以使用該TGT通B、認(rèn)證服務(wù)器(AS)和票據(jù)授權(quán)服務(wù)器(TGS)是集中式管理,容易形成瓶頸,系統(tǒng)的性能和安全也嚴(yán)重依賴于ASC、該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三個(gè)階段,僅支持服務(wù)器對用D、該協(xié)議是一種基于對稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議,隨用戶數(shù)量增加,密鑰管理較復(fù)雜【正確答案】：C解析：

過票據(jù)授權(quán)服務(wù)器(TGS)完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼和TS的性能和安全戶的單向認(rèn)證86.在inux系統(tǒng)中,下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A、用戶名B、用戶口令C、用戶主目錄D、用戶登錄后使用的SHEL【正確答案】：B87.一個(gè)信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實(shí)施訪問控制。例如,在一個(gè)學(xué)校的教務(wù)系統(tǒng)中,教師能夠錄入學(xué)生的考試成績,學(xué)生只能査看自己的分?jǐn)?shù),而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中,對訪問控制的作用的理解錯(cuò)誤的是()A、經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B、拒絕非法用戶的非授權(quán)訪問請求C、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)進(jìn)行管理D、防止對信息的非授權(quán)篡改和濫用【正確答案】：A88.letc/passwd文件是Unxlinux安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID(UID)、默認(rèn)的用戶分組ID(GID)、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后,發(fā)現(xiàn)每個(gè)用戶的加密的口令數(shù)據(jù)項(xiàng)都顯示為x。下列選項(xiàng)中,對此現(xiàn)象的解釋正確的是()A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為'xC、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶都被禁用了【正確答案】：C89.某單位在一次信息安全風(fēng)險(xiǎn)管理活動中,風(fēng)險(xiǎn)評估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施。請問該措施屬于哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：B90.關(guān)于我國信息安全保障的基本原則,下列說法中不正確的是()A、要與國際接軌,積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作,遵循國際標(biāo)準(zhǔn)和通行做法,堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系,不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中,既要統(tǒng)籌規(guī)劃,又要突出重點(diǎn)D、在國家信息安全保障工作中,要充分發(fā)揮國家、企業(yè)和個(gè)人的積極性,不能忽視任何一方的作用?！菊_答案】：A91.實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合:實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是()A、將登錄口令設(shè)置為出生日期B、通過詢問和核對用戶的個(gè)人隱私信息來鑒C、使用系統(tǒng)定制的、在本系統(tǒng)專用的Ic卡進(jìn)行鑒別D、通過掃臉和識別用戶的臉部信息來鑒別【正確答案】：D92.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,該文件中指出了我國在災(zāi)備工作原則,下面哪項(xiàng)不屬于該工作原則()A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B93.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù),建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是()A、speciall-purpose,特定的、專用用途的B、Proprietary,專有的、專賣的C、Private,私有的、專有的D、specific,特種的、具體的【正確答案】：C94.GB/T20984-2007《信息安全技術(shù)信息安全義批詳選規(guī)范》、對10個(gè)()進(jìn)行了定義闡述其相關(guān)關(guān)系,規(guī)定了()的原理和()規(guī)定了風(fēng)險(xiǎn)評估實(shí)施的7個(gè)階段的具體方法和要求,規(guī)定了針對信息系統(tǒng)()5個(gè)階段風(fēng)險(xiǎn)評估的常見(),給出了風(fēng)險(xiǎn)評估的一般計(jì)算方法和相關(guān)工具建議。()A、風(fēng)險(xiǎn)要素;風(fēng)險(xiǎn)評估;實(shí)施流程;生命周期;工作形式B、風(fēng)險(xiǎn)要素;實(shí)施流程;風(fēng)險(xiǎn)評估;生命周期:工作形式CC、風(fēng)險(xiǎn)要素;生命周期:風(fēng)險(xiǎn)評估;實(shí)施流程;工作形式DD、風(fēng)險(xiǎn)要素;工作形式;風(fēng)險(xiǎn)評估;實(shí)施流程:生命周期【正確答案】：A95.某公司中標(biāo)了某項(xiàng)軟件開發(fā)項(xiàng)目后,在公司內(nèi)部研討項(xiàng)目任務(wù)時(shí),項(xiàng)目組認(rèn)為之前在VPN技術(shù)方面積累不夠,導(dǎo)致在該項(xiàng)目中難以及時(shí)完成VPN功能模塊,為解決該問題,公司高層決定接受該項(xiàng)目任務(wù),同時(shí)將該VPN功能模塊以合同形式委托另外一家安全公司完成,要求其在指定時(shí)間內(nèi)按照任務(wù)需求書完成工作,否則承擔(dān)相應(yīng)責(zé)任。在該案例中公司高層采用哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、鳳險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：C96.根據(jù)我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn),有些信息系統(tǒng)只需要自主定級、自主保護(hù),按照要向公安機(jī)關(guān)備案即可,可以不需向上級或主管部門來測評和檢査,此類信息系統(tǒng)應(yīng)屬于()A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：C97.對《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)運(yùn)行安全生產(chǎn)影響的攻擊行為主要是對以下那個(gè)信息安全屬性造成影響?()A、保密性B、完整性C、可用性D、不可抵賴性【正確答案】：C98.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則,某應(yīng)用程序在設(shè)計(jì)時(shí),設(shè)計(jì)人員給出了以下四種策略,其中有一個(gè)違反了最小特權(quán)的原則,作為評審專家,請指出是哪一個(gè)?()A、軟件在Alinux下按照時(shí),設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù),在備份模塊運(yùn)行時(shí),以數(shù)據(jù)庫備份操作員賬號連接數(shù)C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息,使用了一個(gè)日志用戶賬號連接數(shù)據(jù)庫,該賬D、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行,設(shè)定運(yùn)行權(quán)限為system,確保系統(tǒng)運(yùn)行正常,不會因?yàn)闄?quán)限不【正確答案】：D解析：

據(jù)庫號僅對日志表擁有權(quán)限足產(chǎn)生運(yùn)行錯(cuò)誤99.隨著互聯(lián)網(wǎng)”概念的普及,越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念,某物業(yè)為提供高檔次的服務(wù),防止網(wǎng)絡(luò)主線路出現(xiàn)故障,保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用,穩(wěn)定、高效,計(jì)劃通過網(wǎng)絡(luò)冗余配置的是()A、接入互聯(lián)網(wǎng)時(shí),同時(shí)采用不同電信運(yùn)營商線路,相互備份且互不影響。B、核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)設(shè)備。C、規(guī)劃網(wǎng)絡(luò)IP地址,制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具務(wù)冗余空間,滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求【正確答案】：B100.為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡?短信證模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法?()A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A101.微軟提出了STRIDE(6種威脅）三模型,其中,R是Repudiation(抵賴)的締寫,關(guān)于此項(xiàng)安全要求,下面描述錯(cuò)誤的是()A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后,卻聲稱“我沒有下載過數(shù)據(jù)”,軟件系統(tǒng)中的這種威脅就屬于R威脅B、解決R威脅,可以選擇使用抗抵賴性服務(wù)技術(shù)來解決,如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C、R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅,比D威脅和E威脅的嚴(yán)重程度更高D、解決R威脅,也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個(gè)步驟來進(jìn)行【正確答案】：C102.某單位開發(fā)了個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測評機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線前,項(xiàng)目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測試的優(yōu)勢?()A、滲透測試以攻擊者的思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)等運(yùn)行維護(hù)所產(chǎn)生的漏洞B、滲透測試使用人工進(jìn)行測試,不依賴軟件,因此測試更準(zhǔn)洞更多酒滲透測試中必須要査C、滲透測試必須査看看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

滲透測試是用軟件代替人工的一種測試方法,因此測試效更高103.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的總要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選項(xiàng)最合適的是:()A、通用布纜系統(tǒng)工程B、電子設(shè)備機(jī)房系統(tǒng)工程C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用【正確答案】：D104.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯(cuò)誤的是()A、BIS含義是指將安全內(nèi)建到軟件開發(fā)過程中,而不是可有可無,更不是游離于軟件開發(fā)生命周期之外B、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全測試C、軟件安全觸點(diǎn)是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法,它提供了從不同角度保障安全的行為D、BSⅠ系列模型強(qiáng)調(diào)應(yīng)該使用工程化的方法來保證軟件安全,即在整個(gè)軟件開發(fā)生命周期中都要確保將安【正確答案】：B解析：

方式全作為軟件的一個(gè)有機(jī)組成部分105.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BasePractices,BP),正確的理解是()A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項(xiàng)BP是用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP重疊【正確答案】：C106.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后,認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行,比起簡單地實(shí)施信息安全管理,有更大的作用,他總結(jié)了四個(gè)方面的作用,其中總結(jié)錯(cuò)誤的是()A、可以建立起文檔化的信息安全管理規(guī)范,實(shí)現(xiàn)有“法”可依,有章可循,有據(jù)可査B、可以強(qiáng)化員工的信息安全意識,建立良好的安全作業(yè)習(xí)慣,培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理,提高安全防護(hù)效果,使組織通過國際標(biāo)準(zhǔn)化組織的IS09001認(rèn)證【正確答案】：D107.Kerberos協(xié)議是一種集中訪問控制協(xié)議,他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,為用戶提供安全的單點(diǎn)登錄服務(wù)。單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證,便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源,而不在需要其他的認(rèn)證過程,實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項(xiàng)中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰【正確答案】：A108.微軟提出了striderrepudiation(抵賴)的縮寫R,關(guān)于此項(xiàng)安全要求,下面說法錯(cuò)誤的是()A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后,卻聲稱“我沒有下載過數(shù)據(jù)”,軟件系統(tǒng)中的這種威脅屬于R成脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后,卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?軟件系統(tǒng)中的這種威脅屬于R威C、對于R成脅,可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名,安全審計(jì)等技術(shù)措施來解決D、對于R威脅,可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)措施來解決【正確答案】：D解析：

脅109.隨著信息技術(shù)的不斷發(fā)展信息系統(tǒng)的重要性也越來越突出,而與此同時(shí),發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源,下面描述正確的是()A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要,同時(shí)自身在開發(fā)、部署和使用過程中存在B、信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者信息系統(tǒng)應(yīng)用越來越廣泛,接觸信息系統(tǒng)C、信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析,因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性,同時(shí)外部又有威D、信息安全問題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用,內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)【正確答案】：C解析：

的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問題的根本所在的人越多,信息系統(tǒng)越可能受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題脅源,從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風(fēng)險(xiǎn),需從內(nèi)外因同時(shí)著手生,但最重要的還是人的因素,外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此,對人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)110.金女土經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物,從安全角度看,下面哪項(xiàng)是不好的操作習(xí)慣()A、使用專用上網(wǎng)購物用計(jì)算機(jī),安裝好軟件后不要對該計(jì)算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件,包括病毒査殺、安全檢査和安全加固方面的軟件C、在IE的配置中,設(shè)置只能下載和安裝經(jīng)過簽名的、安全的Active控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí),設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)【正確答案】：A111.我國信息安全保障工作先后經(jīng)歷了啟動、逐步展開和積極推進(jìn),以及深化落實(shí)三個(gè)階段,我國信息安全保障各階段說法不正確的是()A、2001年,國家信息化領(lǐng)導(dǎo)小組重組,網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立,我國信息安全保障工作正式啟動B、2003年,中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實(shí)階段C、在深化落實(shí)階段,信息安全法律法規(guī)、標(biāo)準(zhǔn)化,信息安全基礎(chǔ)設(shè)施建設(shè),以及信息安全等級保護(hù)和風(fēng)險(xiǎn)評估【正確答案】：C解析：

B2003年7月,國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)27號文件),明確了“積極防御、綜合防范”的國家信息安全保障工作方針取得了新進(jìn)展112.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(criticalnformationnfrastructure,CI)包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等,美國政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全,其主要原因不包括()A、這些行業(yè)都關(guān)系到國計(jì)民生,對經(jīng)濟(jì)運(yùn)行和國家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患,而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件,會造成廣泛而嚴(yán)重的損失【正確答案】：C113.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時(shí),發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)廬連接錯(cuò)誤、寫臨時(shí)文件錯(cuò)誤等問題時(shí),會將詳細(xì)的錯(cuò)誤原因在結(jié)果頁面上顯示出來,從安全角度考慮,小李決定修改代碼,將詳細(xì)的錯(cuò)誤原因都隱藏起來,在頁面上僅僅告知用戶“抱歉,發(fā)生內(nèi)部錯(cuò)誤請問這種處理方法的主要目的是()A、避免緩沖區(qū)溢出B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、最小化反饋信息【正確答案】：D114.為達(dá)到預(yù)期的攻擊目的,惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法,下面理解錯(cuò)誤的是()A、隱藏惡意代碼進(jìn)程,即將惡意代碼進(jìn)程隱藏起來,或者改名和使用系統(tǒng)進(jìn)程名,以更好的躲避檢測,迷惑用戶B、隱藏惡意代碼的網(wǎng)絡(luò)行為,復(fù)用通用的網(wǎng)絡(luò)端口,以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控C、隱藏惡意代碼的源代碼,刪除或加密源代碼,僅留下加密后的二進(jìn)制代碼,以躲避用戶和安全檢測人員D、隱藏惡意代碼的文件,通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢査和清除【正確答案】：C解析：

和安全檢測人員115.公司甲做了很多政府網(wǎng)站安全項(xiàng)目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí),借鑒以前項(xiàng)目經(jīng)驗(yàn),為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施,但用戶提出不需要這些加密措施,理由是影響了網(wǎng)站性能,使用戶訪問量受限。雙方引起爭議。下面說法哪個(gè)是錯(cuò)誤的()A、乙對信息安全不重視,低估了黑客能力,不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評估,所部屬的加密針對性不足,造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn),與甲共同確定網(wǎng)站安全需求【正確答案】：A116.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?()A、結(jié)構(gòu)的開放性,即功能和保證要求都可以在具體的“保戶輪廊”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性,即給出通用的表達(dá)表示C、獨(dú)立性,它強(qiáng)調(diào)講安全的功能和保證分離D、實(shí)用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中【正確答案】：C117.具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括()1>安全事件(包括安全事故)報(bào)告制度2>安全等級保護(hù)制度3>信息系統(tǒng)安全監(jiān)控4>安全專用產(chǎn)品銷售許可證制度A、1.2.4B、2,3C、1,2,3,4D、1,2,3【正確答案】：A118.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()A在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式A、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解B、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全C、密碼協(xié)議(cryptographicprotoco1),有時(shí)也稱安全協(xié)議(securityprotoco1)是使用密碼學(xué)完成某項(xiàng)特定的任【正確答案】：A解析：

協(xié)議,且按步驟執(zhí)行不信任的人務(wù)并滿足安全需求,其目的是提供安全服務(wù)119.模糊測試,也稱Fzz測試,是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法。下面描述正確的是()A、模糊測試本質(zhì)上屬于黑盒測試B、模糊測試本質(zhì)上屬于白盒測試C、模糊測試有時(shí)屬于黑盒測試,有時(shí)屬于白盒測試,取決于其使用的測試方法D、模糊測試既不屬于黑盒測試,也不屬于白盒測試【正確答案】：A120.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的()A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實(shí)施障礙【正確答案】：C121.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目?？傮w目標(biāo)就是用交換式水平布線,由大型的交換機(jī)和路由器連通幾個(gè)主要的工作區(qū)域,在各個(gè)區(qū)域建立通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心。其中對交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一,和路由器的安全配置,操作錯(cuò)誤的是()A、保持當(dāng)前版本的操作系統(tǒng),不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁B、控制交換機(jī)的物理訪問端口,關(guān)閉空閑的物理端口C、帶外管理交換機(jī),如果不能實(shí)現(xiàn)的話,就可以利用單獨(dú)的VLAN號進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù),關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)【正確答案】：A122.信息安全管理體系(ISMS)的建設(shè)和實(shí)施是一個(gè)組織的戰(zhàn)略性舉措。若一個(gè)組織聲稱自己的ISKS符合1SO/IBC27001或心BT22080標(biāo)準(zhǔn)要求,則需實(shí)施準(zhǔn)要求,則需實(shí)施以下ISMS建設(shè)的各項(xiàng)工作,哪不屬于ISMS建設(shè)的工作()A、規(guī)劃與建立ISMSB、實(shí)施和運(yùn)行ISMSC、監(jiān)視和評審ISMSD、保持和審核ISMS【正確答案】：D123.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯(cuò)誤的是()A、從安全性等級來看,這三個(gè)模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型和基于角B、自主訪問控制是一種廣泛應(yīng)用的方法,資源的所有者(往往也是創(chuàng)建者)可以規(guī)定誰有權(quán)訪問它們的資源,C、強(qiáng)制訪問控制模型要求主題和客體都一個(gè)固定的安全屬性,系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限,該模型【正確答案】：A解析：

色的訪問控制模型具有較好的易用性和擴(kuò)展性訪問某個(gè)客體。該模型具有一定的抗悉意程序攻擊能力,適用于專用或安全性要求較高的系統(tǒng)便于實(shí)施授權(quán)管理和安全約束,容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略124.GBT1836《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護(hù)輪廊ProtectionProffile,PP)和安全目標(biāo)(SecurityTarget,ST)的評估準(zhǔn)則,提出了評估保證級(EvaluationAssuranceLevel,EAL),其評估保證級共分為()個(gè)遞增的評估保證等級。()A、4B、5C、6D、7【正確答案】：D125.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段,為了保證用戶帳戶安全,項(xiàng)目開發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外,還加入基于數(shù)字證書的身份認(rèn)證功能,同時(shí)用戶口令使用SHA一1算法加密后存放在后臺數(shù)據(jù)庫中,請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則:()A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D