網(wǎng)絡安全考試卷

1.系統(tǒng)安全工程不包含以下哪個過程類：答案：（）.

A、工程過程類

B、組織過程類

C、管理過程類（正確答案）

D、項目過程類

2.下列哪一項是虛斗專用網(wǎng)絡（VPN）的安全功能？答案：（）.

A、驗證，訪問控制和密碼

B、隧道，防火墻和撥號

C、加密，鑒別和密鑰管理（正確答案）

D、壓縮，解密和密碼

3.下述選項中對于“風險管理”的描述正確的是：答案：（）.

A、安全必須是完美無缺、面面俱到的

B、最完備的信息安全策略就是最優(yōu)的風險管理對策

C、在應對信息安全風險時，要從經(jīng)濟、技術、管理的可行性和有效性上做出

權衡和取舍（正確答案）

D、防范不足就會造成損失

E、防范過多就可以避免損失

4.信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標

是：答案：（）.

A、避免系統(tǒng)軟硬件的損傷

B、監(jiān)視系統(tǒng)用戶和維護人員的行為

C、保護組織的信息資產(chǎn)（正確答案）

D、給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準確記錄

5.一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后，就可以對組織層面的規(guī)

范的定義？答案：（）.

A、2級一一計劃和跟蹤

B、3級一一充分定義（正確答案）

C、4級——量化控制

D、5級一一持續(xù)改進

6.在某個攻擊中，由于系統(tǒng)用戶或系統(tǒng)管理員主動泄露，使得攻擊者可以訪問

系統(tǒng)資源的行為被稱作：答案：（）.

A、社會工程（正確答案）

B、非法竊取

C、電子欺騙

D、電子竊聽

7.以下關于windowsSAM（安全賬號管理器）的說法錯誤的是：答案：（）.

A、安全賬號管理器(SAM)具體表現(xiàn)就是先SystemRoot%system32configsam

B、安全賬號管理器(SAM)存儲的賬號信息是存儲在注冊表中

C、安全賬號管理器(SAM)存儲的賬號信息對administrator和system是可

讀和可寫的（正確答案）

D、安全賬號管理器(SAM)是windows的用戶數(shù)據(jù)庫，系統(tǒng)遠程通過

SecurAccountsManager服務進行訪問和操作

8.在UNIX系統(tǒng)中輸入命令"Is-altest”顯示如下"-rwxr-xr-x3rcol

root1024Sep131158test”對它的含義解釋錯誤的是：答案：（）.

A、這是一個文件，而不是目錄

B、文件的擁有者可以對這個文件進行讀、寫和執(zhí)行的操作

C、文件所屬組的成員有可以讀它，也可以執(zhí)行它

D、其它所有用戶只可以執(zhí)行它（正確答案）

9.在PDCA模型中，ACT（處置）環(huán)節(jié)的信息安全管理活動是：答案：（）.

A、建立環(huán)境

B、實施風險處理計劃

C、持續(xù)的監(jiān)視與評審風險

D、持續(xù)改進信息安全管理過程（正確答案）

10.Windows系統(tǒng)下，哪項不是有效進行共享安全的防護措施？答案：（）.

A、使用netshare127.0.0.1/delete命令，刪除系統(tǒng)中的等管理共享,

并重啟系統(tǒng)（正確答案）

B、確保所有的共享都有高強度的密碼防護

C、禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊

表鍵值

D、安裝軟件防火墻阻止外部對共享目錄的連接

11.我國信息安全標準化技術委員會（TC260）目前下屬6個工作組，其中負責

信息安全管理的小組是：答案：（）.

A、WG1

B、WG7（正確答案）

C、WG3

D.WG5

12.以下哪個攻擊步驟是IP欺騙（IPSpoof）系列攻擊中最關鍵和難度最高

的？答案：（）.

A、對被冒充的主機進行拒絕服務攻擊，使其無法對目標主機進行響應

B、與目標主機進行會話，猜測目標主機的序號規(guī)則（正確答案）

C、冒充受信主機想目標主機發(fā)送數(shù)據(jù)包，欺騙目標主機

D、I句目標主機發(fā)送指令，進行會話操作

13.觸犯新刑法285條規(guī)定的非法侵入計算機系統(tǒng)罪可判處答案：（）.

A、三年以下有期徒刑或拘役（正確答案）

B、1000元罰款

C、三年以上五年以下有期徒刑

D、10000元罰款

14.13027002sITIL和COBIT在IT管理內(nèi)容上各有優(yōu)勢、但側(cè)重點不同，其

各自重點分別在于：答案：（）.

A、IT安全控制、IT過程管理和IT控制和度量評價（正確答案）

B、IT過程管理、IT安全控制和IT控制和度量評價

C、關系表中屬性的數(shù)量

D、關系表中元組的數(shù)量

20.以下哪一項不是應用層防火墻的特點？答案：().

A、更有效的阻止應用層攻擊

B、工作在0SI模型的第七層

C、速度快且對用戶透明(正確答案)

D、比較容易進行審計

21.WPA2包含下列哪個協(xié)議標準的所有安全特性？答案：().

A、IEEE802.11(B).

B、IEEE802.11(C).

C、IEEE

D、IEEE802.Ui(正確答案)

22.時間戳的引入主要是為了防止數(shù)據(jù)的答案：().

A、死鎖

丟失

C、重放(正確答案)

D、擁塞

23.根據(jù)SSE-CMM信息安全工程過程可以劃分為三個階段，其中確立安全的置

信度，并且把這樣的置信度傳遞給顧客答案：().

A、保證過程(正確答案)

B、風險過程

C、工程和保證過程

D、安全工程過程

24.下面對PDCA模型的解釋不正確的是：答案：().

A、通過規(guī)劃、實施、檢查和處置的工作程序不斷改進對系統(tǒng)的管理活動

B、是一種可以應用于信息安全管理活動持續(xù)改進的有效實踐方法

C、也被稱為“戴明環(huán)”

D、適用于對組織整體活動的優(yōu)化，不適合單個的過程以及個人(正確答案)

25.以下哪項是對抗ARP欺騙有效的手段？答案：（）.

A、使用靜態(tài)的ARP緩存（正確答案）

B、在網(wǎng)絡上阻止ARP報文的發(fā)送

C、安裝殺毒軟件并更新到最新的病毒庫

D、使用Linux系統(tǒng)提高安全

26.下面對于信息安全事件分級的說法正確的是？答案：（）.

A、對信息安全事件的分級可以參考信息系統(tǒng)的重要程度、系統(tǒng)遭受的損失大

小和應急成本三個要素

B、判斷信息系統(tǒng)和重要程度主要考慮其用戶的數(shù)量

C、根據(jù)信息安全事件的分級考慮要是，將信息安全事件劃分為：特別重大事

件、重大事件、較大事件和一般事件四個級別（正確答案）

D、信息安全事件分級可以完全由用戶自行完成

27.以下關于Linux超級權限的說明，不正確的是：答案：（）.

A、一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應用，不需要root用戶

來操作完成

B、普通用戶可以通過su和sudo來獲得系統(tǒng)的超級權限

C、對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才

能進行（正確答案）

D、root是系統(tǒng)的超級用戶，無論是否為義件和程序的所有者都具有訪問權限

28.信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一

項安全策略文檔中不包含的內(nèi)容：答案：（）.

A、說明信息安全對組織的重要程度

B、介紹需要符合的法律法規(guī)耍求

C、信息安全技術產(chǎn)品的選型范圍（正確答案）

D、信息安全管理責任的定義

29.以下哪個不是SDL的思想之一？答案：（）.

A、SDL是持續(xù)改進的過程，通過持續(xù)改進和優(yōu)化以適用各種安全變化，追求

最優(yōu)效果

B、SDL要將安全思想和意識嵌入到軟件團隊和企業(yè)文化中

C、SDL要實現(xiàn)安全的可度量性

D、SDL是對傳統(tǒng)軟件開發(fā)過程的重要補充，隹于完善傳統(tǒng)軟件開發(fā)中的不足

（正確答案）

30.組成IPSec的主要安全協(xié)議不包括以下哪一項？答案：（）.

A、ESP

B、DSS（正確答案）

C、IKE

D、AH

31.依據(jù)國家標準GB/T20274《信息系統(tǒng)安全保障評估框架》，在信息系統(tǒng)安

全目標中，評估對象包不哪些內(nèi)容？答案：（）.

A、信息系統(tǒng)管理體系、技術體系、業(yè)務體系

B、信息系統(tǒng)整體、信息系統(tǒng)安全管理，信息系統(tǒng)安全技術和信息系統(tǒng)安全工

程（正確答案）

C、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術和信息系統(tǒng)安全工程

D、信息系統(tǒng)組織機構、管理制度、資產(chǎn)

32.以下關于“最小特權”安全管理原則理解正確的是：答案：（）.

A、組織機構內(nèi)的敏感崗位不能由一個人長期負責

B、對重要的工作進行分解，分配給不同人員完成

C、一個人有且僅有其執(zhí)行崗位所足夠的許可和權限（正確答案）

D、防止員工由一個崗位變動到另一個崗位，累積越來越多的權限

33.下面哪一項不是IDS的主要功能：答案：（）.

A、監(jiān)控和分析用戶和系統(tǒng)活動

B、統(tǒng)一分析異?；顒幽Ｊ?/p>

C、對被破壞的數(shù)據(jù)進行修復（正確答案）

D、識別活動模式以反映已知攻擊

34.ISSE《信息系統(tǒng)安全工程》是美國發(fā)布的IATF3.0版本中提出的設計和實

施信息系統(tǒng)。答案：（）.

A、安全工程方法（正確答案）

B、安全工程框架

C、安全工程體系結(jié)構

D、安全工程標準

35.下面哪一項為系統(tǒng)安全工程能力成熟度模型提供評估方法：答案：。.

A、ISSE

B、SSAM（正確答案）

C、SSR

D、CEM

36.下列關于kerckhofff準則的說法正確的是：答案：（）.

A、保持算法的秘密性比保持密鑰的秘密性要困難得多

B、密鑰一旦泄漏，也可以方便的更換

C、在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應保證安全（正確答案）

D、公開的算法能夠經(jīng)過更嚴格的安全性分析

37.以下哪一項不是1IS服務器支持的訪問控制過濾類型？答案：（）.

A、網(wǎng)絡地址訪問控制

B、web服務器許可

C、NTFS許可

D、異常行為過濾（正確答案）

38.我國信息系統(tǒng)安全等級保護工作環(huán)境依次是：答案：（）.

A、定級-檢查-建設整改-等級測評-備案

B、等級測評-建設整改-監(jiān)督檢查

C、定級-備案-建設整改-等級測評-監(jiān)督檢查（正確答案）

D、定級-等級測評-備案-建設整改-監(jiān)督檢查

39.完整性檢查和控制的防范對象是，防止它們進入數(shù)據(jù)庫答案：（）.

A、不合語義的數(shù)據(jù)，不正確的數(shù)據(jù)（正確答案）

B、非法用戶

C、非法操作

D、非法授權

40.根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的安全保護等級由哪

兩個定級要素決定？答案：（）.

A、威脅、脆弱性

B、系統(tǒng)價值、風險

C、信息安全、系統(tǒng)服務安全

D、受侵害的客體、對客體造成侵害的程度業(yè)務（正確答案）

41.關于信息安全保障管理體系建設所需要重點考慮的因素，下列說法錯誤的

是：答案：（）.

A、國家、上級機關的相關政策法規(guī)要求

B、組織的業(yè)務使命

C、信息系統(tǒng)面臨的風險

I）、項目的經(jīng)費預算（正確答案）

42.對信息技術保障框架的內(nèi)涵和特點（IATF）理解不正確的是答案：（）.

A、基于PDCA思想閡建攻防一體化安全體系（正確答案）

B、對信息系統(tǒng)進行多層防護

C、IATF描述了保護領域的安全需求和相應的可選擇措施

D、它體現(xiàn)了分層、深度、強健性的防御特點

43.當備份一個應用程序系統(tǒng)的數(shù)據(jù)時，以下哪一項是應該首先考慮的關鍵性

問題？答案：（）.

A、什么時候進行備份？

B、在哪里進行備份。

C、怎樣存儲備份？

D、需要備份哪些數(shù)據(jù)？（正確答案）

44.在風險管理準備階段“建立背景”（對象確立）過程中不應該做的是：答

案：（）.

A、分析系統(tǒng)的體系結(jié)構

B、分析系統(tǒng)的安全環(huán)境

C、實施風險計算（正確答案）

D、調(diào)查系統(tǒng)的技術特性

45.以下對于windows系統(tǒng)的服務描述，正確的是：答案：（）.

A、windows服務必須是一個獨立的可執(zhí)行程序

B、windows服務的運行不需要用戶的交互登錄（正確答案）

C、windows服務都是隨系統(tǒng)啟動而祈禱，無需用戶進行干預

D、windows服務都需要用戶進行登錄后，以登錄用戶的權限進行啟動

46.hash算法的碰撞是指：答案：（）.

A、兩個不同的消息，得到相同的消息摘要（正確答案）

B、兩個相同的消息，得到不同的消息摘要

C、消息摘要和消息的長度相同

D、消息摘要比消息長度更長

47.下列關于防火墻的主要功能包括：答案：（）.

A、訪問控制（正確答案）

B、內(nèi)容控制

C、數(shù)據(jù)加密

D、直殺病毒

48.以下對SSE-CMM描述正確的是：答案：（）.

A、它是指信息安全工程能力成熟模型

B、它是指系統(tǒng)安全工程能力成熟模型（正確答案）

C、它是指系統(tǒng)安全技術能力成熟模型

D、它是指信息安全技術能力成熟模型

49.下面哪一項內(nèi)容更準確地描述了網(wǎng)絡接口層（即數(shù)據(jù)鏈路層）可能存在的

安全攻擊？答案：（）.

A、ARP欺騙、分片攻擊、synflood等

B、ARP欺騙、macflooding,嗅探等（正確答案）

C、死亡之ping、macflooding、嗅探等

D、IP源地址欺騙、ARP欺騙，嗅探等

50.以下針對SDL需求分析的描述最準確的是：答案：（）.

A、通過安全需求分析，確定軟件安全需要的安全標準和相關要求（正確答案）

B、通過安全需求分析，確定軟件安全需要的安全技術和工作流程

C、通過安全需求分析，確定軟件安全需要的安全標準和安全管理

D、通過安全需求分析，確定軟件安全需要的安全技術和安全管理

51.簡單包過濾防火墻主要工作在答案：（）.

A、鏈路層/網(wǎng)絡層

B、網(wǎng)絡層/傳輸層

C、應用層（正確答案）

D、會話層

52.ISO7498-2開放系統(tǒng)安全互聯(lián)體系架構模型描述了信息系統(tǒng)安全架構的層

面，實現(xiàn)機制和安全服務，以下哪一項不是該模型涉及的安全機制？答案：（）.

A、鑒別（正確答案）

B、數(shù)字簽名

C、訪問控制

D、路由控制

53,下列哪項不是SSE-CMM模型中工程過程的過程區(qū)域？答案：（）.

A、明確安全需求

B、評估影響（正確答案）

C、提供安全輸入

D、協(xié)調(diào)安全

54.使用最廣泛的兩種消息認證方法是：答案：（）.

A、對稱加密算法法和非對稱加密算法

B、AES和DES

C、RSA和ECDS（A）.

D、消息認證碼和散列函數(shù)（正確答案）

55.依據(jù)GB/T24364-2009《信息安全技術信息安全應急響應計劃規(guī)范》，應

急響應方法論的響應過程的第二步是答案：（）.

A、準備

B、確認（正確答案）

C、遏制

D、根除

56.全面構建我國信息安全人才體系是國家政策、組織機構信息安全保障建設

和信息安全有關人員自身職業(yè)發(fā)展三方面的共同要求，“加快信息安全人才培養(yǎng)，

增強全民信息安全意識”的指導精神，是以下哪一個國家政策文件提出的？答案：

（）.

A、《國家信息化領導小組關于加強信息安全保障工作的意見》（正確答案）

B、《信息安全等級保護管理辦法》

C、《中華人民共和國計算機信息系統(tǒng)安全保護條例》

D、《關于加強政府信息系統(tǒng)安全和保密管理工作的通知》

57.某公司正在進行信息安全風險評估，在決定信息資產(chǎn)的分類與分級時，誰

負責任？答案：（）.

A、部門經(jīng)理

B、高級管理層

C、資產(chǎn)所有者（正確答案）

D、最終用戶

58.殺毒軟件報告發(fā)現(xiàn)病毒Macro.Melissa,有該病毒名稱可以推斷出病毒類型

是答案：（）.

A、文件型

B、引導型

C、目錄型

D、宏病毒（正確答案）

59.通過向被攻擊者發(fā)送大量的ICMP回應請求，消耗被攻擊者的資源來進行

響應，直至被攻擊者再也無法處理有效的網(wǎng)絡信息流時，這種攻擊稱之為：答案：

A、Land攻擊

B、Smurf攻擊

C、PingofDeath攻擊

D、ICMPFloo（D）.（正確答案）

60.根據(jù)災難恢復演練的深度不同，可以將演練分為三個級別，這三個級別按

演練深度由低到高的順序正確的是：答案：（）.

A、系統(tǒng)級演練、業(yè)務級演練、應用級演練

B、系統(tǒng)級演練、應用級演練、業(yè)務級演練（正確答案）

C、業(yè)務級演練、應用級演練、系統(tǒng)級演練

D、業(yè)務級演練、系統(tǒng)級演練、應用級演練

61.下列哪些選擇不屬于NIDS的常見技術？答案：（）.

A、協(xié)議分析

B、零拷貝

C、SYNCookie（正確答案）

D、IP碎片重組

62.下列對自主訪問控制說法不正確的是：答案：（）.

A、自主訪問控制允許客體決定主體對該客體的訪問權限（正確答案）

B、自主訪問控制具有較好的靈活性和可擴展性

C、自主訪問控制可以方便地調(diào)整安全策略

D、自主訪問控制安全性不高，常用于商業(yè)系統(tǒng)

63.下列對風險分析方法的描述正確的是：答案：（）.

A、定量分析比定性分析方法使用的工具更多

B、定性分析比定量分析方法使用的工具更多（正確答案）

C、同一組織只用使用一種方法進行評估

D、符合組織要求的風險評估方法就是最優(yōu)方法

64.信息發(fā)送者使用進行數(shù)字簽名答案：＜）.

A、己方的私鑰（正確答案）

B、己方的公鑰

C、對方的私鑰

D、對方的公鑰

65.公鑰密碼的應用不包括：答案：（）.

A、數(shù)字簽名

B、非安全信道的密鑰交換

C、消息認證碼（正確答案）

D、身份認證

66.以下那種情形下最合適使用同步數(shù)據(jù)備份策略？答案：（）.

A、對災難的承受能力高

B、恢復時間目標（RTO）長

C、恢復點目標（RPO）短（正確答案）

D、恢復點目標（RPO）長

67.下列對常見強制訪問控制模型說法不正確的是：答案：（）.

A、BLP模型影響了許多其他訪問控制模型的發(fā)展

B、Clark-Wilson模型是一種以事物處理為基本操作的完整性模型

C、ChineseWall模型是一個只考慮完整性的安全策略模型（正確答案）

D、Biba模型是一種在數(shù)字上與BLP模型對偶的完整性保護模型

68.“配置管理”是系統(tǒng)工程的重要概念，他在軟件工程和信息安全工程中得

到廣泛應用下面對“配置管理”解釋最準確的是？答案：（）.

A、配置管理的本質(zhì)是變更流程管理

B、配置管理是一個對系統(tǒng)（包括軟件、硬件、文檔、測試設備、開發(fā)維護設

備）所有變化進行控制的過程（正確答案）

C、配置管理是對信息系統(tǒng)的技術參數(shù)進行管理

D、管理配置是對系統(tǒng)基線和源代碼的版本進行管理

69.下面對于SSE-Q1M保證過程的說法錯誤的是：答案：（）.

A、保證是指安全需求得到滿足的可信任程度

B、信任程度來自于對安全工程過程結(jié)果質(zhì)量的判斷

C、自驗證與證實安全的主要手段包括觀察、論證、分析和測試

D、PA“建立保證論據(jù)”為PA”驗證與證實安全”提供了證據(jù)支持（正確答案）

70.以下對Kerberos協(xié)議過程說法正確的是：答案：（）.

A、協(xié)議可以分為兩個步驟：一是用戶身份鑒別，二是獲取請求服務

B、協(xié)議可以分為兩個步驟：一是獲得票據(jù)許可票據(jù)，二是獲取請求服務

C、協(xié)議可以分為三個步驟：一是用戶身份鑒別，二是獲得票據(jù)許可票據(jù)，三

是獲得服務許可票據(jù)

D、協(xié)議可以分為三個步驟：一是獲得票據(jù)許可票據(jù)，二是獲得服務許可票

據(jù)，三是獲得服務（正確答案）

71.依據(jù)信息系統(tǒng)安全保證評估框架，確定安全保障需求考慮的因素不包括下

面哪一方面？答案：（）.

A、法規(guī)政策的要求

B、系統(tǒng)的價值（正確答案）

C、系統(tǒng)要對抗的威脅

I）、系統(tǒng)的技術構成

72.ApacheWeb服務器的配置文件一般位于/usr/local/apache/conf目錄，

其中用來控制用戶訪問Apache目錄的配置文件是：答案：（）.

A^httpd.conf

B、srm.conf

C、access,conf（正確答案）

D、inetd.conf

73.下列哪一項功能可以不由認證中心CA完成？答案：（）.

A、撤消和中止用戶的證書

B、產(chǎn)生并分發(fā)CA的公鑰

C、在請求實體和它的公鑰間建立連接（正確答案）

D、發(fā)放并分發(fā)用戶的證書

74.在一個有充分控制的信息處理計算中心中，下面哪項任務可以由同一個人

執(zhí)行？答案：（）.

A、安全管理和變更管理（正確答案）

B、計算機操作和系統(tǒng)開發(fā)

C、系統(tǒng)開發(fā)和變更管理

D、系統(tǒng)開發(fā)和系統(tǒng)維護

75.以下關于RBAC模型的說法正確的是：答案：（）.

A、該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權限

B、如果采用了RBAC模型，那么一個用戶必須扮演并激活某種角色，才能對一

個對象進行訪問或執(zhí)行某種操作（正確答案）

C、在該模型中，每個用戶只能有一個角色

D、在該模型中，權限與用戶關聯(lián)，用戶與角色關聯(lián)

76.信息安全工程監(jiān)理工程師不需要做的工作是：答案：（）.

A、編寫驗收測試方案（正確答案）

B、審核驗收測試方案

C、監(jiān)督驗收測試過程

I）、市核驗收測試報告

77.下列對審計系統(tǒng)基本組成描述正確的是：答案：（）.

A、審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志處理

B、審計系統(tǒng)一般包含兩個部分：日志記錄和日志處理

C、審計系統(tǒng)一般包含兩個部分：日志記錄和日志分析

D、審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志報告（正確答案）

78.從分析方法上入侵檢測分為哪兩種類型答案：（）.

A、異常檢測、網(wǎng)絡檢測

B、誤用檢測、異常檢測（正確答案）

C、主機檢測、網(wǎng)絡檢測

D、網(wǎng)絡檢測、誤用檢測

79.下列哪種處置方法屬于轉(zhuǎn)移風險？答案：（）.

A、部署綜合安全審II系統(tǒng)

B、對網(wǎng)絡行為進行實時監(jiān)控

C、制訂完善的制度體系

D、聘用第三方專業(yè)公司提供維護外包服務（正確答案）

80.以下對單點登錄技術描述不正確的是：答案：().

A、單點登錄技術實質(zhì)是安全憑證在多個用戶之間的傳遞或共享(正確答案)

B、使用單點登錄技術用戶只需要登錄時進行一次注冊，就可以訪問多個應用

C、單點登錄不僅方便用戶使用，而且也便于管理

D、使用單點登錄技術簡化應用系統(tǒng)的開發(fā)

81.下面有關我信息安全管理體制的說法錯誤的是：答案：().

A、目前我國的信息安全保障工作是相關部門各司其職、相互配合、齊抓共管

的局面

B、我國的信息安全保障工作綜合利用法律、管理和技術的手段

C、我國的信息安全管理應堅持及時檢測、快速響應、綜合治理的方針

D、我國對于信息安全責任的原則是誰主管、選負責(正確答案)

E、誰經(jīng)營、誰負責

82.以下對PDCA循環(huán)特點描述不正確的是：答案：().

A、按順序進行，周而復始，不斷循環(huán)

B、組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層

地解決問題

C、每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次PDCA

循環(huán)

D、可以由任何一個階段開始，周而復始，不斷循環(huán)(正確答案)

83.下列SQL語句給出關系型數(shù)據(jù)庫中的那一類完整性約束條件？CREATE

TABLEStudent(idCHAR(8).SnameCHAR(20)NOTNULL,SageSMALLINT,

PRIMARYKEY(id));答案：().

A、實體完整性(正確答案)

B、二維表完整性

C、參照完整性

D、自定義完整性

84.CC標準是目前國際通行的信息技術產(chǎn)品安全性評價規(guī)范，關于其先進性說

法錯誤的是：答案：().

A、它基于保護輪廓和安全目標提出安全需求，具有靈活性和合理性

B、它基于功能要求和保證要求進行安全評估，能夠?qū)崿F(xiàn)分級評估目標

C、它不僅考慮了保密性評估要求，還考慮了完整性和可用性多方面安全要求

D、它劃分為A、B、C、D四個等級，實現(xiàn)分級別的安全性測評（正確答案）

85.在SSE-CMM中對工程過程能力的評價分為三個層次，由宏觀到微觀依次

是：答案：（）.

A、能力級別-公共特征（CF）-通用實踐（GP）（正確答案）

B、能力級別-通用實踐（GP）-公共特征（CF）

C、通用實踐（GP）-能力級別-公共特征（CF）

D、公共特征（CF）-能力級別-通用實踐（GP）

86.以下關于ISO/IEC27001標準說法不正確的是：答案：（）.

A、本標準可被內(nèi)部和外部相關方用于一致性評估，審核的重點就是組織信息

安全的現(xiàn)狀，對部署的信息安全控制是好的還是壞的做出評判（正確答案）

B、本標準采用一種過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進

一個組織的ISMS

C、目前國際標準化組織推出的四個管理體系標準：質(zhì)量管理體系、職業(yè)健康

安全管理體系、環(huán)境管理體系、信息安全管理體系，都采用了相同的方法，即

PDCA模型

D、本標注注重監(jiān)視和評審，因為監(jiān)視和評審是持續(xù)改進的基礎。如果缺乏對

執(zhí)行情況和有效性的測量，改進就成了“無的放矢”

87.當員工或外單位的工作人員離開組織或崗位變化時，必須進行以下的管理

程序除了：答案：（）.

A、明確此人不再具有以前的職責

B、確保歸還應當歸還的資產(chǎn)

C、確保屬丁以前職責的訪問權限被撤銷

D、安全管理員陪同此人離開工作場所（正確答案）

88.下面對WAPI描述不正確的是：答案：（）.

A、安全機制由WAI和WPI兩部分組成

B.WAI實現(xiàn)對用戶身份的鑒別

C、WPI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密

D、WAI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密（正確答案）

89.風險是需要保護的（）發(fā)生損失的可能性，它是（）和（）綜合結(jié)果答

案：（）.

A、資產(chǎn)，攻擊目標，威脅事件

B、設備，威脅，漏洞

C、資產(chǎn)，威脅，漏洞（正確答案）

D、以上都不對

90.以下哪一項不是我國與信息安全有關的國家法律？答案：（）.

A、《信息安全等級保護管理辦法》（正確答案）

B、《中華人民共和國保守國家秘密法》

C、《中華人民共和國刑法》

D、《中華人民共和國國家安全法》

91.以下哪個可能沒有違法破壞計算機信息系統(tǒng)罪？答案：（）.

A、非法修改計算機的應用程序造成亞種損失

B、某人制作病毒，他人利用此病毒造成危害

C、秘密篡改計算機中的數(shù)據(jù)，以掩蓋自己的非法入侵行為

D、利用計算機進行貪污受賄（正確答案）

92.下列哪項不是安全管理方面的標準？答案：（）.

A、ISO27001

B、ISO13335

C、GB/T22080

D、GB/T18336（正確答案）

93.以下對丁非集中訪問控制中“域”說法正確的是：答案：（）.

A、每個域的訪問控制與其它域的訪問控制相互關聯(lián)

B、跨域訪問不一定需要建立信任關系

C、域中的信任必須是雙向的

D、域是一個共享同一安全策略的主體和客體的集合（正確答案）

94.以下哪一項都不是PKI/