CISP練習(xí)試題附答案1.基于TCP的主機在進行一次TCP連接時需要進行三次握手。請求通信的主機A要與另一臺主機B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接要求，B收到后，回復(fù)一個ACK/SYN確認(rèn)請求給A主機。然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機，使目標(biāo)主機發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機會等一段時間后才會放棄這個連接等待，因此大量虛假SYN包同時發(fā)送到目標(biāo)主機時，目標(biāo)主機上就會有大量的連接請求等待確認(rèn)，當(dāng)這些未釋放的連接請求數(shù)量超過目標(biāo)主機的資源限制時，正常的連接請求就不能被目標(biāo)主機接受。這種SYNFlood攻擊屬于（）A.拒絕服務(wù)攻擊DOS攻擊(正確答案)B.分布式拒絕服務(wù)攻擊DDOS攻擊C.緩沖區(qū)溢出攻擊D.SQL注入攻擊答案解析：

SYNFlood屬于DoS攻擊的一種拒絕服務(wù)攻擊DoS(DenialofService)：使系統(tǒng)過于忙碌而不能執(zhí)行有用的業(yè)務(wù)并且占盡關(guān)鍵系統(tǒng)資源。它是基于這樣的思想：用數(shù)據(jù)包淹沒本地系統(tǒng)，以打擾或嚴(yán)重阻止捆綁本地的服務(wù)響應(yīng)外來合法的請求，甚至使本地系統(tǒng)崩潰。實現(xiàn)Dos攻擊，常見的方式有：TCPSYN泛洪(SYNFlood)，ping泛洪(ping-Flood)，UDP泛洪(UDP-Flood)，分片炸彈(fragmentationbombs)，緩沖區(qū)溢出(bufferoverflow)和ICMP路由重定向炸彈(ICMProuteingredirectbomb)。2.某汽車保險公司有龐大的信貸數(shù)據(jù)，基于這些可信的不可篡改的數(shù)據(jù)，公司希望利用區(qū)塊鏈的技術(shù)，根據(jù)預(yù)先定義好的規(guī)則和條款，自動控制保險的理賠。這一功能主要利用了的區(qū)塊鏈的（）技術(shù)特點A.分布式賬本B.非對稱加密和授權(quán)技術(shù)C.共識機制D.智能合約(正確答案)答案解析：

智能合約:是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機協(xié)議。智能合約允許在沒有第三方的情況下進行可信交易，這些交易可追蹤且不可逆轉(zhuǎn)區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式。區(qū)塊鏈（Blockchain），是比特幣的一個重要概念，它本質(zhì)上是一個去中心化的數(shù)據(jù)庫，同時作為比特幣的底層技術(shù)，是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊，每一個數(shù)據(jù)塊中包含了一批次比特幣網(wǎng)絡(luò)交易的信息，用于驗證其信息的有效性（防偽）和生成下一個區(qū)塊?？梢杂脜^(qū)塊鏈的一些領(lǐng)域可以是：智能合約證券交易電子商務(wù)物聯(lián)網(wǎng)社交通訊文件存儲存在性證明身份驗證股權(quán)眾籌3.IPv4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡(luò)方便地進行互聯(lián)互通，僅僅依靠IP頭部校驗和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活,透明的安全服務(wù)保護TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機密性,有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性,下列選項中說法錯誤的是（）A.對于IPv4,Ipsec是可選的,對于1Pv6,Ipsec是強制實施的B.Ipsec協(xié)議提供對IP及其上層協(xié)議的保護C.Ipsec是一個單獨的協(xié)議(正確答案)D.Ipsec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制答案解析：

互聯(lián)網(wǎng)安全協(xié)議:是一個協(xié)議包，通過對IP協(xié)議的分組進行加密和認(rèn)證來保護IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議簇（一些相互關(guān)聯(lián)的協(xié)議的集合）。IPSec主要由以下協(xié)議組成：一、認(rèn)證頭（AH），為IP數(shù)據(jù)報提供無連接數(shù)據(jù)完整性、消息認(rèn)證以及防重放攻擊保護；二、封裝安全載荷（ESP），提供機密性、數(shù)據(jù)源認(rèn)證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機密性；三、安全關(guān)聯(lián)（SA），提供算法和數(shù)據(jù)包，提供AH、ESP操作所需的參數(shù)。四、密鑰協(xié)議（IKE），提供對稱密碼的鑰匙的生存和交換。4.下面對“零日(Zeroday)漏洞”的理解中,正確的是（）A.指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機權(quán)限B.指一個特定的漏洞,特指在2010年被發(fā)現(xiàn)出來的一種漏洞,該漏洞被“震網(wǎng)”病毒所利用,用來攻擊基礎(chǔ)設(shè)施C.指一類漏洞,即特別好被利用,一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊,且成功達到攻擊目標(biāo)D.指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來說那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公開、還不存在安全補丁的漏洞都是零日漏洞(正確答案)答案解析：

“零日漏洞”(zero-day)又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。2022年9月，《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告》公布，報告顯示，美國國家安全局（NSA）“特定入侵行動辦公室”（OfficeofTailoredAccessOperation，簡稱TAO）利用其網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò)設(shè)備等，持續(xù)擴大網(wǎng)絡(luò)攻擊和范圍。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后，安裝NOPEN木馬程序（詳見有關(guān)研究報告），控制了大批跳板機。5.有關(guān)項目管理,錯誤的理解是（）A.項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理學(xué)科B.項目管理是運用系統(tǒng)的觀點、方法和理論,對項目涉及的全部工作進行有效地管理,不受項目資源的約束(正確答案)C.項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風(fēng)險、采購、集成的管理D.項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用答案解析：

項目管理者在有限的資源約束下，運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效管理6.規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)。某單位在實施風(fēng)險評估時,形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險評估實施的各個階段中,該《風(fēng)險評估方案》應(yīng)是如下（）中的輸出結(jié)果A.風(fēng)險評估準(zhǔn)備階段(正確答案)B.風(fēng)險要素識別階段C.風(fēng)險分析階段D.風(fēng)險結(jié)果判定階段【解析】《風(fēng)險評估方案》屬于風(fēng)險評估準(zhǔn)備階段的輸出文檔7.下圖是使用CC標(biāo)準(zhǔn)進行信息安全評估的基本過程在圖（1）-（3）處填入構(gòu)成評估相關(guān)要素的主要因素，下列選項中正確的是（）A.（1）評估方法學(xué)（2）最終評估結(jié)果（3）批準(zhǔn)、認(rèn)證(正確答案)B.（1）評估方法學(xué)（2）認(rèn)證過程（3）最終評估結(jié)果C.（1）評估合理性（2）最終評估結(jié)果（3）批準(zhǔn)、認(rèn)證D.（1）評估合理性（2）認(rèn)證過程（3）最終評估結(jié)果答案解析：

教材P236原圖8.Myers在1979年提出了一個重要觀點，使用人工和自動化的手段來運行或者測試某個系統(tǒng)的過程，其目的在于是否滿足規(guī)定的需求或是弄清預(yù)期結(jié)果與實際結(jié)果之間的差異，那么他認(rèn)為軟件測試目的是（）。A.證明程序正確B.驗證程序無錯誤C.改正程序錯誤D.查找程序錯誤(正確答案)答案解析：

軟件測試的目的就是找出程序中存在的的錯誤9.風(fēng)險，在GB/T22801中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標(biāo)可能有很多不同的方面，如財務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等;目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。ISO/IEC13335-1中揭示了風(fēng)險各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險對組織產(chǎn)生的影響？（）A.組織應(yīng)該根據(jù)風(fēng)險建立相應(yīng)的保護要求，通過構(gòu)架防護措施降低風(fēng)險對組織產(chǎn)生的影響。(正確答案)B.加強防護措施，降低風(fēng)險。C.減少威脅和脆弱點，降低風(fēng)險。D.減少資產(chǎn)降低風(fēng)險。答案解析：

風(fēng)險是從全方位考慮的,而不是簡單的加強保護措施一種方式,可以通過風(fēng)險要素各個方面降低風(fēng)險10.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）A.喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B.實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙(正確答案)C.搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)D.鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標(biāo)破壞的信息作戰(zhàn)部隊11.信息安全事件的分類方法有很多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，信息安全事件分7個基本類別，描述正確的是（）A.有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。(正確答案)B.網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。C.網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。D.網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。12.關(guān)于源代碼審核，下列說法正確的是（）。A.源代碼審核往往需要大量的時間，采用人工審核費事費力，但可以通過多人并行審核來彌補這個缺點。B.源代碼審核工具應(yīng)當(dāng)以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能。C.使用源代碼審核工具自動化執(zhí)行代碼檢查和分析，能夠極大提高軟件可靠性并節(jié)省軟件開發(fā)和測試的成本，已經(jīng)取代人工審核方式。D.源代碼審核是指無需運行被測代碼，僅對源代碼檢查分析，檢測并報告源代碼中可能隱藏的錯誤和缺陷。(正確答案)答案解析：

源代碼審計是指無需運行被測代碼,僅通過分析或者檢查源程序的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性,找出代碼隱藏的錯誤和缺陷13.國務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則（）。A.統(tǒng)籌規(guī)劃B.分級建設(shè)(正確答案)C.資源共享D.平戰(zhàn)結(jié)合答案解析：

籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合是《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》主要原則14.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質(zhì)等。請問，按照PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段（）。A.準(zhǔn)備階段B.檢測階段C.遏制階段D.根除階段(正確答案)答案解析：

以上這些都屬于根除階段的常用方法15.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是（）。A.身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源B.安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問C.剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問D.機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等(正確答案)答案解析：

D答案屬于物理安全，不屬于應(yīng)用安全16.安全領(lǐng)域是由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項描述是錯誤的（）。A.安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)(正確答案)B.安全域劃分能把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題C.以安全域為基礎(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段，從而使同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護D.安全域邊界是安全事件發(fā)生時的抑制點，以安全域為基礎(chǔ)，可以對網(wǎng)絡(luò)和系統(tǒng)進行安全檢查和評估，因此安全域劃分和保護也是網(wǎng)絡(luò)防攻擊的有效防護方式答案解析：

安全域和物理位置有關(guān)系17.根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是：（）A.信息安全風(fēng)險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估互相結(jié)合、互為補充(正確答案)B.信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實效”的原則開展C.信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D.開展信息安全風(fēng)險評估工作應(yīng)加強信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)答案解析：

應(yīng)該以自評估為主18.信息安全組織的管理涉及內(nèi)部和外部各方兩個控制目標(biāo)。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理，應(yīng)該實施常規(guī)的控制措施，不包括哪些選項（）。A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B.信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C.與特定利益集團的聯(lián)系、信息安全的獨立評審D.與外部各方相關(guān)風(fēng)險的識別、處理外部各方協(xié)議中的安全問題.(正確答案)答案解析：

D答案屬于外部各方，不屬于內(nèi)部19.以下哪一項不是信息系統(tǒng)集成項目的特點：（）A.信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點B.系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程。(正確答案)C.信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分布實施”。D.信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程。答案解析：

信息系統(tǒng)中要選擇適合自己組織的產(chǎn)品和技術(shù)20.關(guān)于SMTP和POP3的說法哪個是錯誤的是（）A.是一種基于ASCII的編碼請求/響應(yīng)的模式的協(xié)議B.明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C.缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D.協(xié)議過于簡單，易用性更高，更容易實現(xiàn)遠(yuǎn)程管理郵件(正確答案)答案解析：

SMTP不能實現(xiàn)遠(yuǎn)程管理郵件21.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對系統(tǒng)進行劃分，不屬于正確劃分級別的是：（）A.特別重要信息系統(tǒng)B.重要信息系統(tǒng)C.一般信息系統(tǒng)D.關(guān)鍵信息系統(tǒng)(正確答案)22.風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A,T,V）=R(L(T,V)，F(xiàn)(Ia,Va))以下關(guān)于上式各項說明錯誤的是：（）A.R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B.L表示威脅利用資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C.F表示安全事件發(fā)生后造成的損失D.Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)（應(yīng)為脆弱性）的嚴(yán)重程度.(正確答案)答案解析：

教材257頁原話Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度23.實體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于使用基于實體特征的鑒別方法的是（）。A.將登錄口令設(shè)置為出生日期B.通過詢問和核對用戶的個人隱私信息來鑒別C.使用系統(tǒng)定制的，在本系統(tǒng)專用的IC卡進行鑒別D.通過掃描和識別用戶的臉部信息來鑒別(正確答案)24.訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制，它們具有不同的特點和應(yīng)用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（）。A.自主訪問控制B.強制訪問控制C.基于角色的訪問控制(正確答案)D.以上選項都可以

【解析】RBAC可實現(xiàn)最小特權(quán)、職責(zé)分離等，DAC和MAC只能實現(xiàn)部分功能Bell-LaPadula模型(BLP)是一種狀態(tài)機模型，用于在政府和軍事應(yīng)用中實施訪問控制。BLP當(dāng)初設(shè)計出來用于規(guī)范美國國防部的多級安全(MLS)策略。采用BLP模型的系統(tǒng)之所以被稱為多級安全系統(tǒng)，是因為使用這個系統(tǒng)的用戶具有不同的許可，而且系統(tǒng)處理的數(shù)據(jù)也具有不同的分類。BLP數(shù)據(jù)和用戶安全等級被劃分為以下安全等級公開（Unclassified）受限（Restricted）秘密（Confidential）機密（Secret）高密（TopSecret）BLP模型側(cè)重于數(shù)據(jù)的保密性和對機密信息的受控訪問，如果主體對對象的所有訪問模式符合安全策略，則該系統(tǒng)的狀態(tài)被定義為“安全”。為了確定是否允許特定的訪問模式，系統(tǒng)需要將主體(subject)的許可權(quán)與對象(object)的等級（更確切地說，數(shù)據(jù)等級和數(shù)據(jù)分隔的組合所構(gòu)成的安全級別）進行比較。BLP具有三種安全屬性：簡單安全屬性(SimpleSecurityProperty)：規(guī)定給定安全級別的主體無法讀取更高安全級別的對象。*屬性(starProperty)：規(guī)定給定安全級別的主體無法寫入任何更低安全級別的對象。自主安全屬性(DiscretionarySecurityProperty)：使用訪問矩陣來規(guī)定自主訪問控制。

Biba模型是K.J.Biba在1977年提出的完整性訪問控制模型，也是一種強制訪問控制模型。Biba模型解決了系統(tǒng)內(nèi)數(shù)據(jù)的完整性問題。它不關(guān)心安全級別和機密性。Biba模型用完整性級別來防止數(shù)據(jù)從任何完整性級別流到較高的完整性級別中。信息在系統(tǒng)中只能自上而下流動。Biba通過3條主要規(guī)則來提供這種保護：簡單完整性公理：主體不能從較低完整性級別讀取數(shù)據(jù)（被稱為“不能向下讀”）。完整性公理：主體不能向位于較高完整性級別的客體寫數(shù)據(jù)（被稱為“不能向上寫”）。調(diào)用屬性：主體不能請求（調(diào)用）完整性級別更高的主體的服務(wù)。25.某網(wǎng)站為了開發(fā)的便利，使用SA連接接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP_cmdshell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：（）A.權(quán)限分離原則B.最小特權(quán)原則(正確答案)C.保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則答案解析：

SA為SQLServer的管理員,所以違反了最小特權(quán)原則26.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》（公通字【2004】66號），對等級保護工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）。A.該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件(正確答案)B.該文件適用于2004年的等級保護工作，其內(nèi)容不能約束到2005年及以后的工作C.該文件是一個總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位答案解析：

法律只能有中國最高權(quán)利機構(gòu)制定27.殘余風(fēng)險是風(fēng)險管理中的一個重要概念。在信息安全風(fēng)險管理中，關(guān)于殘余風(fēng)險描述錯誤的是（）A.殘余風(fēng)險是采取了安全措施后，仍然可能存在的風(fēng)險；一般來說，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險B.殘余風(fēng)險應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C.實施風(fēng)險處理時，應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險的存在和可能造成的后果D.信息安全風(fēng)險處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險，以最小殘余風(fēng)險值作為風(fēng)險管理效果評估指標(biāo)(正確答案)答案解析：

風(fēng)險管理的目標(biāo)是以可接受風(fēng)險為目標(biāo)28.由于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說法錯誤的是（）。A.科克霍夫在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰B.在保密通信過程中，通信雙方可以一直使用之前用過的會話密鑰，不影響安全性(正確答案)C.密鑰管理需要在安全策略的指導(dǎo)下處理密鑰生命周期的整個過程，包括生產(chǎn)、存儲、備份、分配、更新、撤銷等D.在保密通信過程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰進行保密通信答案解析：

會話密鑰(sessionkey)在會話期間使用,會話終止后會話密鑰將不再使用29.關(guān)于惡意代碼的守護進程的功能，以下說法正確的是（）。A.隱藏惡意代碼B.加大檢測難度C.傳播惡意代碼D.監(jiān)視惡意代碼主體程序是否正常(正確答案)答案解析：

時候進程作用就是守護惡意代碼主進程的狀態(tài)30.為推動和規(guī)范我國信息安全等級保護工作,我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)可以依照等級保護工作的工作階段分級.下面四個標(biāo)準(zhǔn)中,（）規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及登記變更等內(nèi)容：A.GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B.GB/T22240-2020《信息系統(tǒng)安全保護等級定級指南》(正確答案)C.GB/T《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》D.GB/T《信息系統(tǒng)安全管理要求》答案解析：

GB/T22240為等級保護定級指南31.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中錯誤的是（）A.在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式(正確答案)B.密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而制定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D.密碼協(xié)議（cryptographicprotocol），有時也稱安全協(xié)議（securityprotocol），是使用密碼x學(xué)完成某項特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)。答案解析：

密碼協(xié)議中必須明確每個處理方式32.降低風(fēng)險（或減低風(fēng)險）是指通過對面臨風(fēng)險的資產(chǎn)采取保護措施的方式來降低風(fēng)險，下面哪個措施不屬于降低風(fēng)險的措施（）。A.減少威脅源，采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B.簽訂外包服務(wù)合同，將有技術(shù)難點、存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(正確答案)C.減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D.減少脆弱性，及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性答案解析：

B屬于轉(zhuǎn)移風(fēng)險33.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法？（）A.實體“所知”以及實體“所有”的鑒別方法(正確答案)B.實體“所有”以及實體“特征”的鑒別方法C.實體“所知”以及實體“特征”的鑒別方法D.實體“所有”以及實體“行為”的鑒別方法答案解析：

安全登錄是實體所知,智能卡+短信認(rèn)證屬于實體所有34.信息安全標(biāo)準(zhǔn)化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據(jù)，同時也是保護國家利益、促進產(chǎn)業(yè)發(fā)展的重要手段之一。關(guān)于我國信息安全標(biāo)準(zhǔn)化工作，下面選項中描述錯誤的是（）A.我國是在國家質(zhì)量監(jiān)督檢驗檢疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會統(tǒng)一管理全國標(biāo)準(zhǔn)化工作，下設(shè)有專業(yè)技術(shù)委員會.B.因事關(guān)國家安全利益，信息安全因此不能和國際標(biāo)準(zhǔn)相同，而是要通過本國組織和專家制定標(biāo)準(zhǔn)，確實有效地保護國家利益和安全(正確答案)C.我國歸口信息安全方面標(biāo)準(zhǔn)的是“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”，為加強相關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D.信息安全標(biāo)準(zhǔn)化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進性、可靠性和一致性答案解析：

國家標(biāo)準(zhǔn)對于國際標(biāo)準(zhǔn)的采用主要有兩種,IDT(等同采用)和MOD(修改采用)35.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時間維、邏輯維和知識維組成。有關(guān)此模型，錯誤的是（）A.霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架B.時間維表示系統(tǒng)工程活動從開始到結(jié)束按時間順序排列的全過程C.邏輯維的七個步驟與時間維的七個階段嚴(yán)格對應(yīng)，即時間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(正確答案)D.知識維列舉可能需要運用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會科學(xué)和藝術(shù)等各種知識和技能【解析】邏輯維的七個步驟對應(yīng)時間維的每個階段36.P2DR模型是一個用于描述網(wǎng)絡(luò)動態(tài)安全的模型，這個模型經(jīng)常使用圖形的形式來形象表達，如下圖所示：請問圖中空白處應(yīng)填寫是（）A.執(zhí)行（do）B.檢測（detection）(正確答案)C.數(shù)據(jù)（data）D.持續(xù)（direction）37.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險評估流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（）A.《風(fēng)險評估方案》B.《需要保護的資產(chǎn)清單》(正確答案)C.《風(fēng)險計算報告》D.《風(fēng)險程度等級列表》答案解析：

《需要保護的資產(chǎn)清單》屬于風(fēng)險要素識別階段的輸出文檔38.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為6類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，spoofing（欺騙、假冒）是STRIDE中欺騙類的威脅。以下威脅中哪個可以歸入此類威脅（）A.網(wǎng)站競爭對手可能雇傭攻擊者實施DDOS攻擊，降低網(wǎng)站訪問速度；B.網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等；C.網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D.網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等(正確答案)答案解析：

1.偽裝身份（Spoofingidentity），對應(yīng)安全認(rèn)證（鑒權(quán)）2.篡改數(shù)據(jù)（Tamperingwithdata），對應(yīng)數(shù)據(jù)完整性3.抵賴（Repudiation），對應(yīng)不可抵賴性4.信息泄露（Informationdisclosure），對應(yīng)機密性5.拒絕服務(wù)（Denialofservice），對應(yīng)可用性6.提升權(quán)限（Elevationofprivilege），對應(yīng)授權(quán)39.一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成，而其安全性是由下列哪個選項決定的（）A.加密算法B.解密算法C.加密和解密算法D.密鑰(正確答案)答案解析：

科克霍夫準(zhǔn)則40.以下關(guān)于威脅建模流程步驟說法不正確的是（）A.威脅建模主要流程包括四步，確定建對象、識別威脅、評估威脅和消減威脅B.評估威脅是對威脅進行分析，評估被利用和擊發(fā)生的率，了解被攻擊后資產(chǎn)的受模后果，并計算風(fēng)險C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計直接消除成脅，或設(shè)計采用技術(shù)手段來消減威脅D.識別威脅是發(fā)現(xiàn)組件或進程存在的威驗，它可能是故意的，也可能不是故意的，威脅就是漏洞(正確答案)答案解析：

威脅是外因，漏洞是內(nèi)因，兩者不等同41.“統(tǒng)一威脅管理”是將防病毒、入侵檢測和防火墻等安全需求統(tǒng)一管理，日前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為（）A.UTM(正確答案)B.FWC.IDSD.SOC42.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險管理工作時，發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn):資產(chǎn)A1和資產(chǎn)A2;其中資產(chǎn)A1面臨兩個主要威脅:威脅T1和威脅T2;而資產(chǎn)A2面臨一個主要威脅:威脅T3;威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性:脆弱性V1和脆弱性V2;威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性:脆弱性V6和脆弱性V7.根據(jù)上述條件，請問:使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風(fēng)險值（）A.2B.3C.5(正確答案)D.643.PKI的主要理論基礎(chǔ)是（）A.對稱密碼算法B.公鑰密碼算法(正確答案)C.量子密碼D.摘要算法44.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶帳戶的安全，項目開發(fā)人員決定用戶登錄時如果用戶名或口令輸入錯誤，給用戶返回“用戶名成口令輸入錯誤”信息，輸入錯誤達到三次，將暫時禁止登錄該帳戶，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則（）A.最少共享機制原則B.經(jīng)濟機制原則C.不信任原則(正確答案)D.默認(rèn)故障處理保護原則答案解析：

連續(xù)輸錯屬于不信任原則45.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是（）A.ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機的目的B.單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，需要人工更新緩存D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接(正確答案)【解析】ARP不能禁用ARP（AddressResolutionProtocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的網(wǎng)絡(luò)層，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。ARP病毒攻擊是局域網(wǎng)最常見的一種攻擊方式。由于TCP/IP協(xié)議存在的一些漏洞給ARP病毒有進行欺騙攻擊的機會，ARP利用TCP/IP協(xié)議的漏洞進行欺騙攻擊，現(xiàn)已嚴(yán)重影響到人們正常上網(wǎng)和通信安全。當(dāng)局域網(wǎng)內(nèi)的計算機遭到ARP的攻擊時，它就會持續(xù)地向局域網(wǎng)內(nèi)所有的計算機及網(wǎng)絡(luò)通信設(shè)備發(fā)送大量的ARP欺騙數(shù)據(jù)包，如果不及時處理，便會造成網(wǎng)絡(luò)通道阻塞、網(wǎng)絡(luò)設(shè)備的承載過重、網(wǎng)絡(luò)的通訊質(zhì)量不佳等情況。46.小張新購入了一臺安裝了Windows操作系統(tǒng)的筆記本電腦，為了提升操作系統(tǒng)的安全性，小張在Window系統(tǒng)中的“本地安全策略”中，配置了四類安全策略:賬號策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的（）A.關(guān)閉不必要的服務(wù)B.制定操作系統(tǒng)安全策略(正確答案)C.關(guān)閉不必要的端口D.開啟審核策略答案解析：

小張的操作屬于制定安全策略47.為保障信息系統(tǒng)安全，某經(jīng)商公司服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A.信息安全需求報告應(yīng)該根據(jù)公司服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫(正確答案)B.信息安全需求描述報告設(shè)計是信息安全保障方案的前提和依據(jù)C.信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果和關(guān)于政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D.信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)，管理和工程等方面需要展開編寫答案解析：

安全需求報告根據(jù)合規(guī)性、業(yè)務(wù)系統(tǒng)使命和風(fēng)險評估結(jié)果來撰寫48.某銀行有5臺交換機連接了大量交易機構(gòu)的網(wǎng)絡(luò)(如圖所示)在基于以太網(wǎng)的通信中，計算機A需要與計算機B通信，A必須先廣播“ARP請求信息“，獲取計算機B的物理地址。每到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢，銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺交換機收到ARP請求后，會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口,ARP請求會被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機上，為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是（）A.VLAN劃分(正確答案)B.動態(tài)分配地址C.為路由交換設(shè)備修改默認(rèn)口令D.設(shè)立入侵防御系統(tǒng)49.國家科學(xué)技術(shù)秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密的描述（）A.處于國際先進水平，并且有軍事用速或者對經(jīng)濟建設(shè)具有重要影響的B.能夠局部反應(yīng)國家防御和治安實力的C.我國獨有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會或經(jīng)濟效益辭顯著的傳統(tǒng)工藝D.國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟建設(shè)具有特別重大影響的(正確答案)50.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（）A.任用之前B.任用中C.任用終止或變化D.任用公示(正確答案)51.社會工程學(xué)定位在計算機信息安全工作鏈的一個最重要的環(huán)節(jié)，即“人”這個環(huán)節(jié)上，這些社會工程黑客在某黑客大會上成功收入世界五百強公司，其中一名自稱為是CSO雜志做安全調(diào)查，半小時內(nèi)，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其他信息，包括，操作系統(tǒng)，服務(wù)包，殺毒軟件，電子郵件及瀏覽器。為對執(zhí)此類信息收集和分析，公司需要做的是（）A.通過信息安全意識培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險，發(fā)布信息采取最小化原則(正確答案)B.減少系統(tǒng)對外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C.關(guān)閉不必要的服務(wù)，部署防火墻，IDS等措施D.系統(tǒng)安全管理員使用漏銅掃描軟件對系統(tǒng)進行安全審計【解析】應(yīng)對社會工程學(xué)最有效的方法就是進行安全意識培訓(xùn)社會工程學(xué)（SocialEngineering，又被翻譯為：社交工程學(xué)）在上世紀(jì)60年代左右作為正式的學(xué)科出現(xiàn)，廣義社會工程學(xué)的定義是：建立理論并通過利用自然的、社會的和制度上的途徑來逐步地解決各種復(fù)雜的社會問題，經(jīng)過多年的應(yīng)用發(fā)展，社會工程學(xué)逐漸產(chǎn)生出了分支學(xué)科，如公安社會工程學(xué)（簡稱公安社工學(xué)）和網(wǎng)絡(luò)社會工程學(xué)。社工常見手段：1.熟人好說話這是社會工程師中使用最為廣泛的方法，原理大致是這樣的，社會工程師首先通過各種手段(包括偽裝)成為你經(jīng)常接觸到的同學(xué)、同事、好友等，然后，逐漸，他所偽裝的這個身份，被你的公司其他同事認(rèn)可了，這樣，社會工程師會經(jīng)常來訪你所在的公司，并最終贏得了任何人的信賴。于是，社會工程師就可以在你所在的公司中獲得很多權(quán)限來實施他們的某些計劃。例如訪問那些本不應(yīng)該允許的辦公區(qū)域或機密區(qū)域，或者下班后還能進入辦公室等等。2.偽造相似的信息背景當(dāng)你開始接觸到一些人，他們看起來很熟悉你所在的組織內(nèi)部情況，他們擁有一些未公開的信息時，你就會很容易把他們當(dāng)成了自己人。所以，當(dāng)有陌生人以公司或員工名義進入你所在的辦公室時，他們也很容易獲得通行許可。但是在當(dāng)今的這個社會，從各種社交網(wǎng)絡(luò)，有目的性、針對性獲得特定的個人信息實在太容易不過了。所以，我建議，如果再有任何人聲稱對某位同事、特別是上級領(lǐng)導(dǎo)非常熟悉的話，可以讓該員工在指定區(qū)域等待便是，不要隨便給予任何許可。3.偽裝成新人打入內(nèi)部如果希望非常確定地獲取公司某些機密信息，社會工程師還可以偽裝成一名前來求職的陌生人，從而讓自己成為公司的“自己人”。這也是每個新員工應(yīng)聘都必須經(jīng)過公司背景審查階段的原因之一。當(dāng)然，還是有些社會工程師做得瞞天過海，所以，在新員工的工作環(huán)境中也應(yīng)有所限制，這聽起來有些嚴(yán)酷，但是必須給每位新員工一段時間來證明，他們對寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此，優(yōu)秀的社會工程師都通曉這套公司的工作流程，所以在完全獲得公司層面的信任后，才會真正實施展開他們的目標(biāo)計劃。4.利用面試機會同樣，很多的重要信息，往往都會在面試時的交流中泄露出去，精通社會工程學(xué)的黑客會抓住這點并利用，無需為了獲取這點信息而專門去上一天班，就可以通過參加面試，獲得公司的一些重要信息。所以，建議，公司需要確保面試過程中，給出的一些信息沒有包含公司機密資料，盡量以保障公司核心機密而做出一些面試標(biāo)準(zhǔn)。5.惡人無禁忌這可能聽起來有些違背直覺，但確實會有奏效。普通人一般對表現(xiàn)出憤怒和兇惡的人，往往會選擇避而遠(yuǎn)之，當(dāng)看到前面有人手持手機大聲爭吵，或憤怒地咒罵不停，很多人都會選擇避開他們，并且遠(yuǎn)離他們。事實上，大多數(shù)人都可能會這樣選擇，從而，為社會工程師讓出了一條通向公司內(nèi)部和核心數(shù)據(jù)的通道。不要被這種伎倆欺騙了。一旦你們看到類似的事情發(fā)生，通知保安處理就好。6.他懂我就像我肚里的蛔蟲一個經(jīng)驗豐富的社會工程師是精于讀懂他人肢體語言并加以利用。他可能和你同時出現(xiàn)一個音樂會上，和你一樣對某個節(jié)段異常欣賞，和你交流時總能給予你適當(dāng)?shù)姆答?，讓你從?nèi)心上感覺好像遇到了知己!你和他之間開始建立了一個雙向開放的紐帶，慢慢地，他就開始影響著你，進而利用你去獲取你所在公司的一切對于他來說有利用價值的機密信息。聽起來就像一個間諜故事，但事實上，這種畫面經(jīng)常會發(fā)生在我們身上，切勿掉以輕心。7.美人計我們的老祖宗早就提到過美人計的厲害，但是，很多時候，大多數(shù)人是無法抵抗這一招的。就像我們在電影上、電視劇中的夢幻情節(jié)，忽然在某天，有一位帥哥(或美女)突然要約你出去，期間，你們倆就一見投緣，談笑甚歡，更美妙的是，見面之后，一次次約會接踵而來，直到她可以像討論吃飯一樣，不費精力就能輕而易舉從你的口中，套出了公司的機密信息。我并非要摒絕你的浪漫情緣，但是，天上不會掉餡餅，請警惕那些問出不該問的問題的人。8.外來的和尚會念經(jīng)這種事情已經(jīng)在發(fā)生了。一個社會工程攻擊者經(jīng)常會扮演成某個技術(shù)顧問，在完成某些顧問工作的同時，他們還獲取了你的個人信息。對于技術(shù)顧問來說，尤為如此。你必須對這些技術(shù)顧問進行審查同時也要確保不會給他們有任何泄露機密的可乘之機。切忌僅僅因為某些人有能力幫助你解決服務(wù)器或網(wǎng)絡(luò)問題，就隨意輕信他人，并不意味著他們不會借此來創(chuàng)建一個后門程序，或是直接拷貝你電腦上的一切機密數(shù)據(jù)。所以，關(guān)鍵還是審查、審查、再審查。9.善良是善良者的墓志銘這種方法簡單而又如此常見。社會工程師會等待機會，等待他們眼中的目標(biāo)員工用自己的密碼開門進入時，緊隨他們的身后，進入公司。他們很巧妙的做法，就是扛著沉重的箱子，并以此要求他們眼中的目標(biāo)員工為他們扶住門把。善良的員工一般會在門口幫助他們。然后，社會工程師就可以開始實施自己的任務(wù)。10.來一場技術(shù)交流吧電影《Hackers》有這樣一幕——Dade(也叫ZeroCool)打給一家公司，并說服一個職員給他調(diào)制解調(diào)器數(shù)量，這里面的談話就是他主要的滲透工作，那名倒霉的員工自然會告訴他任何需要知道的機密信息。這就是一次普通的社工攻擊，當(dāng)毫無防范意識的員工，遇到了精心準(zhǔn)備、精心偽裝的黑客，人們大都會因為沒有應(yīng)對社會工程攻擊的經(jīng)驗，從而泄露給社會工程師想要的任何的一切機密資料。52.在軟件保障成熟度模型（SoftwareAssuranceMaturityModeSAMM）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能（）A.治理，主要是管理軟件開發(fā)的過程和活動B.構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程與活動D.購置，主要是購買第三方商業(yè)軟件或者采用開組件的相關(guān)管理過程與活動(正確答案)【解析】治理、構(gòu)造、驗證、部署是SAMM提供的核心業(yè)務(wù)功能53.實體身份簽別的樣，且隨著技術(shù)的進步鑒別方法的強度不斷提高，常見的方法有利用口令鑒別、令牌鑒別、指紋鑒別等，小王在登陸某移動支付平臺時，首先需要通過指紋對用戶身份進行鑒別。通過鑒別后，他才能作為合法用戶使用自己的戶進行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項中的（）A.實體所知的鑒別方法B.實體所有的鑒別方法C.實體特征的鑒別方法(正確答案)D.實體所見的鑒別方法【解析】指紋鑒別屬于實體特征54.在某信息系統(tǒng)的設(shè)計中，用戶登錄過程是這樣的(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng)，(2)用戶在登錄頁，面輸入用戶名和口令:(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成，可以看出，這個鑒別過程屬于（）A.單向鑒別(正確答案)B.雙向鑒別C.三向簽別D.第三方鑒別答案解析：

題干屬于服務(wù)器只驗證客戶端,所以是單向55.自主訪問控制模型（）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細(xì)表的方法來表示訪問控制柜庫，通常使用由客體指向的鏈表來儲存數(shù)據(jù)，下面選項中正確的是（D）*A.ACL是Bell-Lapadula模式的一種具體實現(xiàn)(正確答案)B.ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便。C.ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便(正確答案)D.ACL在增加客體時:增加相關(guān)的訪問控制權(quán)限比較簡單(正確答案)答案解析：

ACL用在大量用戶的情況下,所以ACL在增加主體時比較簡單56.某單位在實施信息安全風(fēng)險評估后，形成了若干文檔，下面（）中的檔不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。A.《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的意義、范圍、目標(biāo)、組織結(jié)構(gòu)，角色及職責(zé)，經(jīng)費預(yù)算“和進度安排內(nèi)容B.《風(fēng)險評估方法和工具表》，主要包括擬用的風(fēng)險評估方法和測試估工等內(nèi)容C.《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)D.《風(fēng)險評估準(zhǔn)側(cè)要求》，主要報告風(fēng)險評估風(fēng)險評估參考標(biāo)準(zhǔn)，采用的風(fēng)險分析方法，風(fēng)險計算方法，資產(chǎn)分類標(biāo)準(zhǔn)，要產(chǎn)分類準(zhǔn)則等內(nèi)容57.由于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常要的環(huán)節(jié)，下列關(guān)于密鑰管理說法錯誤的是（）A.科克霍夫在在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴與秘鑰。B.在保密通信過程中，通信雙方可以一直使用之前用過的會話秘鑰，不影響安全性(正確答案)C.密陰管理要在安全策略的指導(dǎo)下處理秘鑰生命周期的整個過程，包括產(chǎn)生，存儲、備份、分配、更新、等D.在保密通信過程中，通信雙方也可利用Dirfle-IEmalm協(xié)協(xié)商出會話秘鑰進行保密通信?！窘馕觥繒捗荑€(sessionkey)在會話期間使用,會話終止后會話密鑰將不再使用58.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是（）A.應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所的準(zhǔn)備、以及在事件發(fā)生所采取的措施B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、快復(fù)、報告和跟蹤6個階段(正確答案)C.對信息安全事件的分級主要參考信息系統(tǒng)的要程度、系統(tǒng)損失和社會影響三方重因素D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級），重大事件（II級），較大事件(III級)和一般事件(IV級)【解析】應(yīng)急響應(yīng)分為準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)6個階段59.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制，例如，一個學(xué)校的務(wù)系統(tǒng)中、教師夠錄生的考試績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)門的管理人員能夠?qū)φn程信息、學(xué)生的選請等內(nèi)容進行修改，下列選項中，對訪問控制的作用的理解錯誤的是（）A.對經(jīng)過身份別后的合法用戶提供所有服務(wù)(正確答案)B..拒絕非法用戶的非授權(quán)訪問請求C.在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進行管理D.防止對信息的非授權(quán)慕改和用答案解析：

A違反了最小特權(quán)原則60.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是（）：A.模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B.數(shù)據(jù)處理點，數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C.監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D.深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析(正確答案)【解析】模糊測試（Fuzzing），是一種通過向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件漏洞的方法。在模糊測試中，用隨機壞數(shù)據(jù)（也稱做fuzz）攻擊一個程序，然后等著觀察哪里遭到了破壞。模糊測試的技巧在于，它是不符合邏輯的：自動模糊測試不去猜測哪個數(shù)據(jù)會導(dǎo)致破壞（就像人工測試員那樣），而是將盡可能多的雜亂數(shù)據(jù)投入程序中。由這個測試驗證過的失敗模式通常對程序員來說是個徹底的震撼，因為任何按邏輯思考的人都不會想到這種失敗。模糊測試是一項簡單的技術(shù)，但它卻能揭示出程序中的重要bug。它能夠驗證出現(xiàn)實世界中的錯誤模式并在您的軟件發(fā)貨前對潛在的應(yīng)當(dāng)被堵塞的攻擊渠道進行提示。61.小王學(xué)習(xí)了災(zāi)難備份的有關(guān)知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識，小王對這三種備份方式進行了對比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是（）。A.完全備份、增量備份、差異備份B.完全備份、差異備份、增量備份(正確答案)C.增量備份、差異備份、完全備份D.差異備份、增量備份、完全備份答案解析：

由于完全備份只要恢復(fù)一個文件就可以了，所以最快，其次是差異備份，增量備份需要恢復(fù)大量的備份文件，所以最慢1、完全備份（FullBackup）備份全部選中的文件夾，并不依賴文件的存檔屬性來確定備份那些文件。在備份過程中，任何現(xiàn)有的標(biāo)記都被清除，每個文件都被標(biāo)記為已備份。換言之，清除存檔屬性。完全備份就是指對某一個時間點上的所有數(shù)據(jù)或應(yīng)用進行的一個完全拷貝。實際應(yīng)用中就是用一盤磁帶對整個系統(tǒng)進行完全備份，包括其中的系統(tǒng)和所有數(shù)據(jù)。這種備份方式最大的好處就是只要用一盤磁帶，就可以恢復(fù)丟失的數(shù)據(jù)。因此大大加快了系統(tǒng)或數(shù)據(jù)的恢復(fù)時間。然而它的不足之處在于，各個全備份磁帶中的備份數(shù)據(jù)存在大量的重復(fù)信息；另外，由于每次需要備份的數(shù)據(jù)量相當(dāng)大，因此備份所需時間較長。2、差異備份（DifferentialBackup）備份自上一次完全備份之后有變化的數(shù)據(jù)。差異備份過程中，只備份有標(biāo)記的那些選中的文件和文件夾。它不清除標(biāo)記，也即備份后不標(biāo)記為已備份文件。換言之，不清除存檔屬性。差異備份是指在一次全備份后到進行差異備份的這段時間內(nèi)，對那些增加或者修改文件的備份。在進行恢復(fù)時，我們只需對第一次全備份和最后一次差異備份進行恢復(fù)。舉例來說，在星期一，網(wǎng)絡(luò)管理員按慣例進行系統(tǒng)完全備份；在星期二，假設(shè)系統(tǒng)內(nèi)只多了一個資產(chǎn)清單，于是管理員只需將這份資產(chǎn)清單一并備份下來即可；在星期三，系統(tǒng)內(nèi)又多了一份產(chǎn)品目錄，于是管理員不僅要將這份目錄，還要連同星期二的那份資產(chǎn)清單一并備份下來。如果在星期四系統(tǒng)內(nèi)有多了一張工資表，那么星期四需要備份的內(nèi)容就是：工資表+產(chǎn)品目錄+資產(chǎn)清單。差異備份在避免了另外兩種備份策略缺陷的同時，又具備了它們各自的優(yōu)點。首先，它具有了增量備份需要時間短、節(jié)省磁盤空間的優(yōu)勢；其次，它又具有了全備份恢復(fù)所需磁帶少、恢復(fù)時間短的特點。系統(tǒng)管理員只需要兩盤磁帶，即全備份磁帶與災(zāi)難發(fā)生前一天的差異備份磁帶，就可以將系統(tǒng)恢復(fù)。3、增量備份（IncrementalBackup）備份自上一次備份（包含完全備份、差異備份、增量備份）之后有變化的數(shù)據(jù)。增量備份過程中，只備份有標(biāo)記的選中的文件和文件夾，它清除標(biāo)記，既：備份后標(biāo)記文件，換言之，清除存檔屬性。62.在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)X在一個興趣沖突，數(shù)據(jù)Y和Z在另一個信息興趣沖突域中，那么可以確定一個新注冊的用戶（）A.只有訪問了W之后，才可以訪問XB.只有訪問了W之后，才可以訪問Y和Z中的一個C.無論是否訪問W，都只能訪問Y和Z中的一個(正確答案)D.無論是否訪問W,都不能訪問Y或Z63.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是（）A.要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)(正確答案)B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C.在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D.在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用答案解析：

信息安全我們也要有自主的方式64.小張是一名CISP人員。某天他聽到小李說某電商平臺在“雙十一”節(jié)期間某款平板電腦如果輸入1111，購買產(chǎn)品的單價就會變?yōu)?元。請問以下哪項行為符合作為CISP的職業(yè)道德（）A.按照小李的說法嘗試，發(fā)現(xiàn)成功后立即付款購買B.在微博上將該信息發(fā)布C.對該電商平臺進行一次滲透測試，查找所有可能的漏洞D.打電話或發(fā)郵件告知該電商平臺存在錯誤(正確答案)65.社會工程學(xué)是()與()結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因為它不能總是重復(fù)和成功，并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的()，隨著時間流逝最終都會失效，因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會工程學(xué)利用的是人性的“弱點”，而人性是()，這使得它幾乎可以說是永遠(yuǎn)有效的（）。A.網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式(正確答案)B.網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C.網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式；攻擊方式D.網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的66.一般地，IP分配會首先把整個網(wǎng)絡(luò)根據(jù)地域、區(qū)域。每個子區(qū)域從它的上一級區(qū)域里獲取IP地址段，這種分配方法為什么分配方法（）A.自頂向下(正確答案)B.自下向上C.自左向右D.自右向左67.入侵檢測系統(tǒng)（IntrusionDetectionSysytem,IDS）是用于發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或違反安全策略行為的設(shè)備。在入侵檢測中有這樣一種方法，任何的正常行為都是有一定的規(guī)律的并且可以通過分析這些行為產(chǎn)生的日志信息（假定日志信息足夠安全）總結(jié)出這些規(guī)律。而入侵和濫用行為則通常和正常的行為存在嚴(yán)重的差異，通過檢查這些差異就可以檢測這些入侵，請問該入侵檢測方法為（）A.基于異常的入侵檢測(正確答案)B.基于誤用的入侵檢測C.基于自治代理技術(shù)D.自適應(yīng)模型生成特性的入侵檢測【解析】異常檢測技術(shù)是設(shè)置正常的數(shù)據(jù)流模式,誤用檢測技術(shù)是設(shè)置攻擊的數(shù)據(jù)流模式異常檢測模型（AnomalyDetection）首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。誤用檢測模型（MisuseDetection）收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)檢測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵，誤用檢測模型也稱為特征檢測（Signature-baseddetection）。IDS產(chǎn)品采用的是旁路部署方式，一般直接通過交換機的監(jiān)聽口進行網(wǎng)絡(luò)報文采樣，或者在需要監(jiān)聽的網(wǎng)絡(luò)線路上放置偵聽設(shè)備（如分光器）。每臺交換機上只能監(jiān)聽到和該交換機直連的主機間的流量和通過該交換機發(fā)往其他交換機的流量，部署在其他交換機下的主機間的流量無法被監(jiān)聽68.CC標(biāo)準(zhǔn)是計算機安全認(rèn)證的國際標(biāo)準(zhǔn)（ISO/IEC15408）.CC標(biāo)準(zhǔn)中四個關(guān)鍵概念，分別為TOE、PP、ST、EAL，它們的含義分別是（）A.保護輪廓；安全目標(biāo)；評估對象；評估保證級B.保護輪廓；評估對象；評估保證級；安全目標(biāo)C.評估對象；保護輪廓；安全目標(biāo)；評估保證級(正確答案)D.評估對象；保護輪廓；評估保證級；安全目標(biāo)69.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件（）。A.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)【2003】27號）B.《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》（國令【2008】54號）(正確答案)C.《國家信息安全戰(zhàn)略報告》（國信【2005】2號）D.《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)【2012】23號）70.以下行為不屬于違反國家保密規(guī)定的行為：（）A.將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.通過普通郵政等無保密措施的渠道傳遞國家秘密載體C.在私人交往中涉及國家秘密D.以不正當(dāng)手段獲取商業(yè)秘密(正確答案)答案解析：

商密不屬于國密71.根據(jù)《信息安全等級保護管理辦法》、《關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知》（公信安【2009】812號），關(guān)于推動信息安全等級保護()建設(shè)和開展()工作的通知（公信安【2010】303號）等文件，由公安部()對等級保護測評機構(gòu)管理，接受測評機構(gòu)的申請、考核和定期()，對不具備能力的測評機構(gòu)則（）A.等級測評；測評體系；等級保護評估中心；能力驗證；取消授權(quán)B.測評體系；等級保護評估中心；等級測評；能力驗證；取消授權(quán)C.測評體系；等級測評；等級保護評估中心；能力驗證；取消授權(quán)(正確答案)D.測評體系；等級保護評估中心；能力驗證；等級評估；取消授權(quán)72.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，按照規(guī)范成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風(fēng)險評估中“風(fēng)險要素識別“階段輸出的文檔。A.《風(fēng)險評估方案》，主要包括本次風(fēng)險評估的目的，范圍，目標(biāo)，評估步驟，經(jīng)費預(yù)算和進度安排等內(nèi)容。B.《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C.《風(fēng)險評估準(zhǔn)側(cè)要求》，主要包括現(xiàn)有風(fēng)險評估參考標(biāo)準(zhǔn)，采用的風(fēng)險分析方法，要產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容。D.《已有安全措施列表》，主要包括經(jīng)驗查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)【解析】73.某購物網(wǎng)站開發(fā)項目過需要分析進入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項且開發(fā)人員決定用戶登錄時除了用戶名口令認(rèn)證方式外、還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計的是哪項安全設(shè)計原則（）A.小原最小特權(quán)原則B.職責(zé)分離原則C.縱深防御原則(正確答案)D.最少共享機制原則【解析】根據(jù)《信息安全工程師教程（第2版）》的描述，縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全防護措施有機組合起來，針對保護對象，部署合適的安全措施，形成多道保護線，各安全防護措施能夠相互支持和補救，盡可能地阻斷攻擊者的威脅。74.以下哪個是國際信息安全標(biāo)準(zhǔn)化組織的簡稱（）A.ANSTB.ISO(正確答案)C.IEEED.NIST75.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設(shè)計階段分析系統(tǒng)運行過程中可能存在的攻擊，請問以下擬采取的安全措施中，哪一項不能降低該系統(tǒng)的受攻擊面（）A.遠(yuǎn)程用戶訪問需進行身份認(rèn)證B.遠(yuǎn)程用戶訪問時具有管理員權(quán)限(正確答案)C.關(guān)閉服務(wù)器端不必要的系統(tǒng)服務(wù)D.當(dāng)用戶訪問其賬戶信息時使用嚴(yán)格的身份認(rèn)證機制答案解析：

違反了最小特權(quán)，增大了攻擊面76.信息系統(tǒng)建設(shè)完成后。（）的信息系統(tǒng)的運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機構(gòu)，進行測評合格后方可投入使用。A.二級以上(正確答案)B.三級以上C.四級以上D.五級以上【解析】二級及以上系統(tǒng)需要測評的77.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項開發(fā)一個業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法（）A.信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經(jīng)費投入比軟件運行后的費用要低(正確答案)B.軟件開發(fā)部門的說法是正確的，因為軟件發(fā)現(xiàn)問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低C.雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費用更低D.雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同【解析】安全投入越早,后期成本越低78.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全保障工作的主要原則（）A.《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》B.《中華人民共和國計算機信息系統(tǒng)安全保護條例》C.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(正確答案)D.《關(guān)于開展信息安全風(fēng)險評估工作的意見》答案解析：

27號文《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》是我們安全工作的主要原則79.由于頻繁出現(xiàn)軟件運行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）A.要求開發(fā)人員采用瀑布開發(fā)模型進行開發(fā)(正確答案)B.要求所有的開發(fā)人員參加軟件安全意識培訓(xùn)C.要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D.要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題【解析】開發(fā)模型是一個開發(fā)流程,和安全沒有關(guān)系80.訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡(luò)上的域資源進行授權(quán)的一種機制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實現(xiàn)訪問控制功能。以下選項中，對Windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）A.ACL只能由管理員進行管理(正確答案)B.ACL是對象安全描述符的基本組成部分，它包括有權(quán)訪問對象的用戶和組的SIDC.訪問令牌存儲著用戶的SID、組信息和分配給用戶的權(quán)限D(zhuǎn).通過授權(quán)管理器，可以實現(xiàn)基于角色的訪問控制答案解析：

ACL有DATAOWNER管理81.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）A.最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息C.粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度(正確答案)D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分答案解析：

粒度最小會影響效率,應(yīng)該是根據(jù)業(yè)務(wù)需求采用最合適的粒度82.信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個控制目標(biāo)。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理，應(yīng)該實施常規(guī)的控制措施，不包括哪些選項（）A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B.信息處理實施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C.與特定利益集團的聯(lián)系、信息安全的獨立評審D.與外部各方相關(guān)風(fēng)險的識別，處理外部各方協(xié)議中的安全問題(正確答案)83.與PDR模型相比，P2DR模型則更強調(diào)()，既強調(diào)系統(tǒng)安全的()，并且以安全檢測、()和自適應(yīng)填充“安全間隙”為循環(huán)來提高（）A.漏銅檢測；控制和對抗；動態(tài)性；網(wǎng)絡(luò)安全B.動態(tài)性；控制和對抗；漏洞監(jiān)測；網(wǎng)絡(luò)安全C.控制和對抗；漏洞監(jiān)測；動態(tài)性；網(wǎng)絡(luò)安全D.控制和對抗；動態(tài)性；漏洞監(jiān)測；網(wǎng)絡(luò)安全(正確答案)84.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁時總導(dǎo)致病毒感染系統(tǒng)，為了解決這一問題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，，老王根據(jù)多年的信息安全管理經(jīng)驗，認(rèn)為其中一條不太適合推廣，你認(rèn)為是哪條措施（）A.采購防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實現(xiàn)對所有預(yù)覽網(wǎng)頁進行檢測，阻止網(wǎng)頁中的病毒進入網(wǎng)頁B.采購并統(tǒng)一部屬企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進行病毒庫升級，確保每臺計算機都具備有效的病毒檢測和查殺能力C.制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器(正確答案)D.組織對員工進行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識。85.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏補丁，安全運維人員給出了針對此批漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）A.由于本次發(fā)布的數(shù)個漏洞都屬于高危漏潤，為了避免安全風(fēng)險，應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補丁B.本次發(fā)布的漏銅目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危險，所以可以先不做處理C.對于重要的服務(wù)，應(yīng)在測試壞境中安裝并確認(rèn)補丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署(正確答案)D.對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補丁，用戶終端計算機由于沒有重要數(shù)據(jù)，由終端自行升級。86.關(guān)于對信息安全事件進行分類分級管理的原因描述不正確的是（）A.信息安全事件的種類很多，嚴(yán)重程度也不盡相同，其響應(yīng)和處理方式也應(yīng)各不相同B.對信息安全事件進行分類和分級管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C.能夠使事前準(zhǔn)備、事中應(yīng)對和事后處理的各項相關(guān)工作更具針對性和有效性D.我國早期的計算機安全實踐的應(yīng)急響應(yīng)工作主要括計算機病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早(正確答案)答案解析：

中國肯定不是網(wǎng)絡(luò)安全應(yīng)急起步最早的87.有關(guān)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)，錯誤的理解是（）A.SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B.SSE-CMM可以使安全工程成為一個確定的，成熱的和可度量的科目C.基于SSE-CMM的工程是獨立工程，與軟件工程，硬件工程，通信工程等分別規(guī)劃實施(正確答案)D.SSE-CMM覆蓋整個組織的活動，包括管理，組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動【解析】SSE-CMM不是獨立工程,要和其他工程高度結(jié)合88.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是（）A.基于戰(zhàn)響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組在事件發(fā)生時阻由混的發(fā)生成是在混亂狀態(tài)中迅速該復(fù)控制，將損失和負(fù)面影響降至最低B.應(yīng)急響應(yīng)方法和過程并不是唯一的C.一種被廣為接受的應(yīng)象響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測、遏制、根除，恢復(fù)和跟蹤總結(jié)6個階段D.一種被廣為接受的成急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備，檢測，遏制、根除、恢復(fù)和跟蹤總結(jié)6個階段，這6個階的響應(yīng)方法一定確保事件處理的成功(正確答案)答案解析：

任務(wù)的方法和流程都不能保證安全事件一定處理成功89.小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次增訓(xùn)的時候，小李主要負(fù)責(zé)培訓(xùn)講解風(fēng)險評估方法，請問小李的所述論點中錯誤的是哪項（）A.風(fēng)險評估方法包括，定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B.定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性(正確答案)C.定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D.定量風(fēng)險分新技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實現(xiàn)對風(fēng)險各要素的度量數(shù)值化答案解析：

定性風(fēng)險分析具有主觀性而不是隨意性90.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測統(tǒng)到來自內(nèi)外網(wǎng)絡(luò)對防火墻的抗攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能（）A.檢測并分析用戶和系統(tǒng)的活動B.核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C.防止IP地址欺騙(正確答案)D..識別違反安全策略的用戶活動答案解析：

IDS不能防止IP地址欺騙91.Kerberos協(xié)議是一種集中訪問控制協(xié)議，它能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點登錄服務(wù)，單點登錄是指用戶在網(wǎng)絡(luò)中進行一次身份認(rèn)證，便可以訪間其授權(quán)的所有網(wǎng)絡(luò)資源，而不再需要其他的身份認(rèn)證過程，實質(zhì)是消息M在多個應(yīng)用系統(tǒng)之間的傳遞或共享。其中，消息M是指以下選項中的（）A.安全憑證(正確答案)B.用戶名C.加密密鑰D.會話密鑰92.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考IS027001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力，關(guān)于ISMS，下面描述錯誤的是（）A.在組織中，應(yīng)由信息技術(shù)責(zé)任部門(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求(正確答案)B.組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體，具備可行性C.組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達到客戶、合作伙件和供應(yīng)商等外部各方D.組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險答案解析：

方針政策是組織的決策層制定頒布的93.有關(guān)能力成熟度模型(CMM),錯誤的理解是（）A.CMM的基本思想是，因為問題是由技術(shù)落后引起的，