PAGEPAGE1一、單選題1.防止擅自使用資料檔案的最有效的預(yù)防方法是:A、自動化的檔案訪問入口B、磁帶庫管理C、使用訪問控制軟件答案：C2.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯誤的是A、各國普遍將國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的中重點(diǎn)B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進(jìn)計劃等文件C、各國普遍加強(qiáng)國際交流和對話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)，安全監(jiān)管和安全測評答案：C3.一般網(wǎng)絡(luò)設(shè)備上的SNMP默認(rèn)可讀團(tuán)體字符串是：A、PUBLICB、CISCOC、DEFAULTD、PRIVATE答案：A4.為了保障網(wǎng)絡(luò)安全,維護(hù)網(wǎng)絡(luò)安全空間主權(quán)和國家安全、社會公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展,加強(qiáng)在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理,2015年6月,第十二屆全國人大常委會第十五次會議初次審議了一部法律草案,并與7月6日起在網(wǎng)上全文公布,向社會公開征求意見,這部法律草案是（）A、《中華人民共和國保守國家秘密法（草案）》B、《中華人民共和國網(wǎng)絡(luò)安全法（草案）》C、《中華人民共和國國家安全法（草案）》D、《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》答案：B5.以下關(guān)于ISMS內(nèi)部審核報告的描述不正確的選項是？A、內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報告中必須包含對不符合性項的改良建議C、內(nèi)審報告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報告內(nèi)容。D、內(nèi)審報告中必須包括對糾正預(yù)防措施實(shí)施情況的跟蹤答案：D6.密碼是一種用來混淆的技術(shù)，使用者希望正常的（可識別的）信息轉(zhuǎn)變?yōu)闊o法識別的信息。但這種無法識別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊一個公司網(wǎng)站的賬號，小剛使用一個安全一點(diǎn)的密碼，請問以下選項中哪個密碼是最安全（）A、使用和與用戶名相同的口令B、選擇可以在任何字典或語言中找到的口令C、選擇任何和個人信息有關(guān)的口令D、采取數(shù)字，字母和特殊符號混合并且易于記憶答案：D解析：常識問題7.管理層應(yīng)該表現(xiàn)對（），程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承包方人員都了解其（）角色和職責(zé)，并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計劃，并定期組織信息安全（）.組織要建立正式的（），確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀(jì)律處理過程要規(guī)定（），考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素，以及相關(guān)法律、業(yè)務(wù)合同和其他因素。A、信息安全:信息安全政策:教育和培訓(xùn)，紀(jì)律處理過程:分級的響應(yīng)B、信息安全政策:信息安全；教育和培訓(xùn):紀(jì)律處理過程；分級的響應(yīng)C、信息安全政策:教育和培訓(xùn):信息安全:紀(jì)律處理過程；分級的響應(yīng)D、信息安全政策；紀(jì)律處理過程；信息安全:教育和培訓(xùn):分級的響應(yīng)答案：B8.有關(guān)能力成熟度模型（CMM）錯誤的理解是A、CMM的基本思想是,因?yàn)閱栴}是由技術(shù)落后引起的,所以新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM的思想來源于項目管理和質(zhì)量管理C、CMM是一種衡量工程實(shí)施能力的方法,是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的,它基于這樣一個假設(shè),即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”答案：A9.違反國家規(guī)定，對計算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機(jī)信息系統(tǒng)不能正常運(yùn)行的，處（）日以下拘留。A、5B、15C、20D、30答案：A10.實(shí)施信息系統(tǒng)訪問控制首先需要進(jìn)行如下哪一項工作？A、信息系統(tǒng)資產(chǎn)分類B、信息系統(tǒng)資產(chǎn)標(biāo)識C、創(chuàng)建訪問控制列表D、梳理信息系統(tǒng)相關(guān)信息資產(chǎn)答案：D11.關(guān)于信息安全管理體系（InformationSecurityManagementSystems，ISMS），下面描述錯誤的是（）。A、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個組織整體管理體系的組成部分B、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實(shí)踐要素C、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識等內(nèi)容D、管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用答案：C解析：雖然信息安全管理體系建設(shè)回提出一些技術(shù)要求，但是并沒有完整的要求構(gòu)建技術(shù)防護(hù)體系。12.下面哪一項不是ISMSPlan階段的工作？A、定義ISMS方針B、實(shí)施信息安全風(fēng)險評估C、實(shí)施信息安全培訓(xùn)D、定義ISMS范圍答案：C13.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進(jìn)計劃等文件C、各國普遍加強(qiáng)國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評答案：C14.美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology,NIST）隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計算機(jī)安全的指南文檔。下面哪個文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology-Securitytechniques-Informtionsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology-OpenSystems-TheDirectory:AuthenticationFramcwork》C、SP800-37《GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》D、RFC2402《IPAuthenticatHeader》答案：C15.在網(wǎng)絡(luò)安全體系構(gòu)成要素中“響應(yīng)”指的是（）。A、環(huán)境響應(yīng)和技術(shù)響應(yīng)B、一般響應(yīng)和應(yīng)急響應(yīng)C、系統(tǒng)響應(yīng)和網(wǎng)絡(luò)響應(yīng)D、硬件響應(yīng)和軟件響應(yīng)答案：B16.為了預(yù)防邏輯炸彈，項目經(jīng)理采取的最有效的措施應(yīng)該是A、對每日提交的新代碼進(jìn)行人工審計B、代碼安全掃描C、安全意識教育D、安全編碼培訓(xùn)教育答案：A17.某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議,該系統(tǒng)運(yùn)行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進(jìn)行了篡改,安全專家提出使用Http下載代替FTP功能以解決以上問題,該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的（）A、程序員在進(jìn)行安全需求分析時,沒有分析出OA系統(tǒng)開發(fā)的安全需求B、程序員在軟件設(shè)計時,沒遵循降低攻擊面的原則,設(shè)計了不安全的功能C、程序員在軟件編碼時,缺乏足夠的經(jīng)驗(yàn),編寫了不安全的代碼D、程序員在進(jìn)行軟件測試時,沒有針對軟件安全需求進(jìn)行安全測試答案：B18.根據(jù)《信息安全等級保護(hù)管理辦法》、《關(guān)于開展信息安全等級保護(hù)測評體系建設(shè)試點(diǎn)工作的通知》（公信安[2009]812號）、關(guān)于推動信息安全等級保護(hù)（）建設(shè)和開展（）工作的通知（公信安[2010]303號）等文件,由公安部（）對等級保護(hù)測評機(jī)構(gòu)管理,接受測評機(jī)構(gòu)的申請、考核和定期（）,對不具備能力的測評機(jī)構(gòu)則（）。A、測評體系;等級測評;等級保護(hù)評估中心;能力驗(yàn)證;取消授權(quán)B、等級測評;測評體系;等級保護(hù)評估中心;能力驗(yàn)證;取消授權(quán)C、測評體系;等級保護(hù)評估中心;能力驗(yàn)證;等級測評;取消授權(quán)D、測評體系;等級保護(hù)評估中心;等級測評;能力驗(yàn)證;取消授權(quán)答案：A19.用來為網(wǎng)絡(luò)中的主機(jī)自動分配IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、WINS服務(wù)器地址的網(wǎng)絡(luò)協(xié)議是：A、RPB、IGMPC、IC.MPD、D.HC.P答案：D20.在信息安全管理過程中,背景建立是實(shí)施工作的第一步。下面哪項理解是錯誤的（）。A、背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn),以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值,同時確認(rèn)已有的安全措施,形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描述報告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信息系統(tǒng)的安全要求報告答案：B21.定期對系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時進(jìn)行恢復(fù)。該機(jī)制時為了滿足信息安全的（）屬性。A、真實(shí)性B、完整性C、不可否認(rèn)性D、可用性答案：D22.我國標(biāo)準(zhǔn)《信息安全風(fēng)險管理指南》（CB/Z24364）給出了信息安全風(fēng)險管理的內(nèi)容和過程?？梢杂孟聢D來表示，圖中空白處應(yīng)該填寫（）A、風(fēng)險計算B、風(fēng)險評估C、風(fēng)險預(yù)測D、風(fēng)險處理答案：D23.小王在學(xué)習(xí)定量風(fēng)險評估?法后，決定試著為單位機(jī)房計算火災(zāi)的風(fēng)險大小。假設(shè)單位機(jī)房的總價值為400萬元人民幣，暴露系數(shù)（ExposureFactor,EF）是25%，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.2，那么小王計算的年度預(yù)期損失（AnnualizedLossExpectancy，ALE）應(yīng)該是A、400萬元人民幣B、20萬元人民幣C、100萬元人民幣D、180萬元人民幣答案：B24.以下關(guān)于數(shù)字簽名說法正確的是A、數(shù)字簽名是在所有傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B、數(shù)字簽名能解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C、數(shù)字簽名一般采用對稱加密機(jī)制D、數(shù)字簽名能解決算改，偽造等安全性問題答案：D25.社會工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時間流逝最終都會失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的答案：A26.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應(yīng)該分類、分級B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險很小D、信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生答案：C27.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對此漏洞修補(bǔ)的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）A、由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞，為了避免安全風(fēng)險，應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C、對于重要的服務(wù)，應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D、對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級答案：C28.下列哪個是能執(zhí)行系統(tǒng)命令的存儲過程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread答案：C29.小華在某電子商務(wù)公司工作,某天他在查看信息系統(tǒng)設(shè)計文檔時,發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RPO（恢復(fù)點(diǎn)目標(biāo)）指標(biāo)為3小時.請問這意味著:.A、若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災(zāi)難恢復(fù)工作后,系統(tǒng)至多能丟失3小時的業(yè)務(wù)數(shù)據(jù)B、若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災(zāi)難恢復(fù)工作后,系統(tǒng)運(yùn)行3小時后能恢復(fù)全部數(shù)據(jù)C、該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應(yīng)在3小時內(nèi)完成應(yīng)急處理工作,并恢復(fù)對外運(yùn)行D、該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應(yīng)在3小時內(nèi)到位,完成問題定位和應(yīng)急處理工作答案：A解析：RPO是指在業(yè)務(wù)恢復(fù)后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度,這個程度使用時間作為衡量指標(biāo).如：RPO=0,說明數(shù)據(jù)是實(shí)時備份,不會出現(xiàn)數(shù)據(jù)丟失的情況.30.為了實(shí)現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容？A、完整性約束條件B、完整性檢查機(jī)制C、完整性修復(fù)機(jī)制D、違約處理機(jī)制答案：D31.關(guān)于標(biāo)準(zhǔn),下面哪項理解是錯誤的:.A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件.標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn).同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時,應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)C、國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn).同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時,應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定,并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案,在公布國家標(biāo)準(zhǔn)之后,該地方標(biāo)準(zhǔn)即應(yīng)廢止答案：C解析：國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn),同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)32.為了預(yù)防計算機(jī)病毒，應(yīng)采取的正確措施是（）。A、每天都對計算機(jī)硬盤和軟件進(jìn)行格式化B、不用盜版軟件和來歷不明的軟盤C、不同任何人交流D、不玩任何計算機(jī)游戲答案：B33.有關(guān)項目管理，錯誤的理解是：A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學(xué)B、項目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對項目涉及的全部工作進(jìn)行有效地管理，不受項目資源的約束C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風(fēng)險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實(shí)踐應(yīng)用答案：B解析：項目管理受項目資源的約束。34.LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個目錄A、programfilesB、windowsC、systemvolumeinformationD、TEMP答案：B35.對于信息安全管理，風(fēng)險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A、信息資產(chǎn)被過度保護(hù)B、不考慮資產(chǎn)的價值，基本水平的保護(hù)都會被實(shí)施C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、對所有信息資產(chǎn)保護(hù)都投入相同的資源答案：C36.風(fēng)險分析階段的主要工作就是（）。A、判斷安全事件造成的損失對單位組織的影響B(tài)、完成風(fēng)險的分析和計算C、完成風(fēng)險的分析D、完成風(fēng)險的分析和計算，綜合安全事件所作用的信息資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對單位組織的影響，即安全風(fēng)險答案：D37.小李在學(xué)習(xí)信息安全管理體系的有關(guān)知識后,按照自己的理解畫了一張圖來描述安全管理過程,但是他存在一個空白處未填寫,請幫他選擇一個最合適的選項（）保持和改進(jìn)ISMS→規(guī)劃和建立ISMS→（）→監(jiān)視和評審ISMS→監(jiān)控和反饋ISMSA、實(shí)施和執(zhí)行ISMSB、執(zhí)行和檢查ISMSC、溝通和咨詢ISMS答案：B38.在完成了大部分策略的編制工作后，需要對其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為____。（）A、可接受使用策略AUPB、安全方針C、適用性聲明D、操作規(guī)范答案：A39.風(fēng)險評估的過程包括（）、（）、（）和（）四個階段。在信息安全風(fēng)險管理過程中,風(fēng)險評估建立階段的輸出,形成本階段的最終輸出《風(fēng)險評估報告》,此文檔為風(fēng)險處理活動提供輸入。（）風(fēng)險評估的四個階段。A、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;風(fēng)險分析;監(jiān)控審查;風(fēng)險結(jié)果判定;溝通咨詢B、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;監(jiān)控審查;風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢C、風(fēng)險評估準(zhǔn)備;監(jiān)控審查;風(fēng)險要素識別;風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢D、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別:風(fēng)險分析:風(fēng)險結(jié)果判定監(jiān)控審查,溝通咨詢答案：D40.小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點(diǎn)中錯誤的是哪項：A、風(fēng)險評估方法包括：定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B、定性風(fēng)險分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實(shí)現(xiàn)對風(fēng)險各要素的度量數(shù)值化答案：B41.安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于____措施。（）A、保護(hù)B、檢測C、響應(yīng)D、恢復(fù)答案：B42.授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管答案：C43.及時審查系統(tǒng)訪問審計記錄是以下哪種基本安全功能？A、威懾。B、躲避。C、預(yù)防。D、檢測。答案：D44.公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗(yàn)，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個是錯誤的（）A、乙對信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險評估，所部署的加密針對性不足，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險，與甲方共同確定網(wǎng)站安全需求答案：A45.關(guān)于向DNS服務(wù)器提交動態(tài)DNS更新，針對下列配置，描述正確的說法為：/etc/named.confOptions{Directory“/var/named”;Allow-update/24;};A、允許向本DNS服務(wù)器進(jìn)行區(qū)域傳輸?shù)闹鳈C(jī)IP列表為“/24”B、允許向本DNS服務(wù)器進(jìn)行域名遞歸查詢的主機(jī)IP列表“/24”C、允許向本DNS服務(wù)器提交動態(tài)DNS更新的主機(jī)IP列表“/24”D、缺省時為拒絕所有主機(jī)的動態(tài)DNS更新提交。答案：C46.對一項應(yīng)用的控制進(jìn)行了檢查,將會評估A、該應(yīng)用在滿足業(yè)務(wù)流程上的效率B、任何被發(fā)現(xiàn)風(fēng)險影響C、業(yè)務(wù)流程服務(wù)的應(yīng)用D、應(yīng)用程序的優(yōu)化答案：B47.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄,其中用來控制用戶訪問Apache目錄的配置文件是:保密A、httpd.confB、srLconfC、access.confD、Inet.conf答案：A48.IKE協(xié)議由（）協(xié)議混合而成。A、ISAKMP、Oakley、SKEMEB、AH、ESPC、L2TP、GRED、以上皆不是答案：A49.組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式A、電話B、電子郵件C、人員D、公司OA答案：A50.（）第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照（）實(shí)行分級保護(hù)。（）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格答案：A解析：《保密法》第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照涉密程度實(shí)行分級保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使用。51.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題答案：D52.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）.請問，這兩個標(biāo)準(zhǔn)的關(guān)系是？A、IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較答案：A53.PPTP和L2TP最適合于（）。A、局域網(wǎng)B、企業(yè)內(nèi)部虛擬網(wǎng)C、企業(yè)擴(kuò)展虛擬網(wǎng)D、遠(yuǎn)程訪問虛擬專用網(wǎng)答案：D54.為了不斷完善一個組織的信息安全管理，應(yīng)對組織的信息安全管理方法及實(shí)施情況進(jìn)行獨(dú)立評審，這種獨(dú)立評審。A、必須按固定的時間間隔來進(jìn)行B、應(yīng)當(dāng)由信息系統(tǒng)的運(yùn)行維護(hù)人員發(fā)起C、可以由內(nèi)部審核部門或?qū)I(yè)的第三方機(jī)構(gòu)來實(shí)施D、結(jié)束后，評審者應(yīng)組織針對不符合安全策略的問題設(shè)計和實(shí)施糾正措施答案：C55.以下關(guān)于開展軟件安全開發(fā)必要性描述錯誤的是？（）A、軟件應(yīng)用越來越廣泛B、軟件應(yīng)用場景越來越不安全C、軟件安全問題普遍存在D、以上都不是答案：D56.構(gòu)成風(fēng)險的關(guān)鍵因素有哪些？A、人，財，物B、技術(shù)，管理和操作C、資產(chǎn)，威脅和弱點(diǎn)D、資產(chǎn)，可能性和嚴(yán)重性答案：C57.PDR模型是第一個從時間關(guān)系描述一個信息系統(tǒng)是否安全的模型，PDR模型中的P，D，R代表分別代表（）。A、保護(hù)檢測響應(yīng)B、策略檢測響應(yīng)C、策略檢測恢復(fù)D、保護(hù)檢測恢復(fù)答案：A58.訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項中，對Windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯誤的是（）A、ACL只能由管理員進(jìn)行管理B、ACL是對象安全描述符的基本組成部分，它包括有權(quán)訪問對象的用戶和組的SIDC、訪問令牌存儲著用戶的SID、組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制答案：A59.PKI支持的服務(wù)不包括（）。A、非對稱密鑰技術(shù)及證書管理B、目錄服務(wù)C、對稱密鑰的產(chǎn)生和分發(fā)D、訪問控制服務(wù)答案：D60.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureNultipurposeInternetMailPxtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（）A、S/MIME采用了非對稱密碼學(xué)機(jī)制B、S/MIME支持?jǐn)?shù)字證書C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶身份認(rèn)證和郵件加密答案：C61.國際聯(lián)網(wǎng)采用（）制定的技術(shù)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、資費(fèi)政策，以利于提高服務(wù)質(zhì)量和水平。A、企業(yè)統(tǒng)一B、單位統(tǒng)一C、國家統(tǒng)一D、省統(tǒng)一答案：C62.實(shí)現(xiàn)源的不可否認(rèn)業(yè)務(wù)中，第三方既看不到原數(shù)據(jù)，又節(jié)省了通信資源的是_______A、源的數(shù)字簽字B、可信賴第三方的數(shù)字簽字C、可信賴第三方對消息的雜湊值進(jìn)行簽字D、可信賴第三方的持證答案：C63.以下哪一項不是我國信息安全保障工作的主要目標(biāo)：A、保障和促進(jìn)信息化發(fā)展B、維護(hù)企業(yè)與公民的合法權(quán)益C、構(gòu)建高效的信息傳播權(quán)益D、保護(hù)互聯(lián)網(wǎng)知識產(chǎn)權(quán)答案：C64.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制，資產(chǎn)管理包括對資產(chǎn)負(fù)責(zé)和信息分類兩個控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級別的保護(hù)，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)負(fù)責(zé)人C、資產(chǎn)的可接受使用D、分類指南、信息的標(biāo)記和處理答案：D65.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中答案：C66.下面對自由訪問控制（DAC）描述正確的是A、比較強(qiáng)制訪問控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用答案：D67.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是（）A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)答案：B解析：自評估由本級單位發(fā)起，檢查評估由被評估組織的上級管理機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，P247頁。68.不能有效減少收到垃圾郵件數(shù)量的方法是（）。A、盡量不要在公共場合留下自己的電子郵件地址B、采用垃圾郵件過濾器C、安裝入侵檢測工具D、收到垃圾郵件后向有關(guān)部門舉報答案：C69.基于TCP的主機(jī)在進(jìn)行一次TCP連接時簡要進(jìn)行三次握手,請求通信的主機(jī)A要與另一臺主機(jī)B建立連接時,A需要先發(fā)一個SYN數(shù)據(jù)包向B主機(jī)提出連接請示,B收到后,回復(fù)一個ACK/SYN確認(rèn)請示給A主機(jī),然后A再次回應(yīng)ACK數(shù)據(jù)包,確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī),使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下,目標(biāo)主機(jī)會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標(biāo)主機(jī)時,目標(biāo)主機(jī)上就會有大量的連接請示等待確認(rèn),當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機(jī)的資源限制時。正常的連接請示就不能被目標(biāo)主機(jī)接受,這種SYNFlood攻擊屬于（）A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊答案：A70.以下哪種做法是正確的“職責(zé)別離”做法？A、程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺C、控制臺操作員可以操作磁帶和硬盤D、磁帶操作員可以使用系統(tǒng)控制臺答案：A71.32.信息安全風(fēng)險評估師信息安全風(fēng)險管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）中，指出了風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項中描述錯誤的是？A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險評估C、信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充D、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并堅持使用答案：D72.Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob。Bob再用自己的私鑰解密,恢復(fù)出明文。以下說法正確的是:A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制答案：D73.在業(yè)務(wù)持續(xù)性方面，如果要求不能丟失數(shù)據(jù)，則：A、RT0為B、RPO為OC、RTO和RPO都為OD、RTO、RPO沒有關(guān)系答案：B74.下面對信息安全漏洞的理解中，錯誤的是A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實(shí)現(xiàn)、配置、維護(hù)和使?等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護(hù)階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很多的經(jīng)濟(jì)損失D、由于人類思維誰能力、計算機(jī)計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的答案：B75.以下關(guān)于國內(nèi)信息化發(fā)展的描述，錯誤的是（）。A、從20世紀(jì)90年代開始，我國把信息化提到了國家戰(zhàn)略高度。B、成為聯(lián)合國衛(wèi)星導(dǎo)航委員會認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)是由我國自主研制的。C、我國農(nóng)村寬帶人口普及率與城市的差距在最近三年來持續(xù)拉大。D、經(jīng)過多年的發(fā)展，截至2013年底，我國在全球整體的信息與計算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。答案：D76.在提供給一個外部代理商訪問信息處理設(shè)施前,一個組織應(yīng)該怎么做?A、外部代理商的處理應(yīng)該接受一個來自獨(dú)立代理進(jìn)行的I5審計。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來自外部代理商的任何訪問必須限制在?；饏^(qū)（DMZ）D、該組織應(yīng)該進(jìn)行風(fēng)險評估,并制定和實(shí)施適當(dāng)?shù)目刂?。答案：D77.內(nèi)部審核的最主要目的是A、檢查信息安全控制措施的執(zhí)行情況B、檢查系統(tǒng)安全漏洞C、檢查信息安全管理體系的有效性D、檢查人員安全意識答案：A78.以下哪項是ISMS文件的作用?A、是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客觀證據(jù)--為滿足相關(guān)方要求,以及持續(xù)改進(jìn)提供依據(jù)D、以上所有答案：D79.黑客造成的主要危害是A、破壞系統(tǒng)、竊取信息及偽造信息B、攻擊系統(tǒng)、獲取信息及假冒信息C、進(jìn)入系統(tǒng)、損毀信息及謠傳信息D、進(jìn)入系統(tǒng)，獲取信息及偽造信息答案：A80.信息安全風(fēng)險值應(yīng)該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度答案：A81.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣答案：A82.下列哪一項不屬于Fuzz測試的特性？A、主要針對軟件漏洞或可靠性錯誤進(jìn)行測試B、采用大量測試用例進(jìn)行激勵、響應(yīng)測試C、一種試探性測試方法，沒有任何理論依據(jù)D、利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常答案：C83.以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl.RBAC、：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限（不同類別和級別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A、當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級安全中的訪問控制答案：D84.信息風(fēng)險主要指那些？（）A、信息存儲安全B、信息傳輸安全C、信息訪問安全D、以上都正確答案：D85.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅？A、網(wǎng)站競爭對手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D86.由于頻繁出現(xiàn)軟件運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？A、要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)。B、要求所有的開發(fā)人員參加軟件安全意識培訓(xùn)。C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則。D、要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題。答案：A87.信息安全風(fēng)險管理的對象不包括如下哪項A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境答案：C88.以下有關(guān)訪問控制的描述不正確的是A、口令是最常見的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B、系統(tǒng)管理員在給用戶分配訪問權(quán)限時，應(yīng)該遵循“最小特權(quán)原則”，即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C、單點(diǎn)登錄系統(tǒng)（一次登錄/驗(yàn)證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風(fēng)險；D、雙因子認(rèn)證（又稱強(qiáng)認(rèn)證）就是一個系統(tǒng)需要兩道密碼才能進(jìn)入；答案：D89.3）下面關(guān)于信息安全系統(tǒng)保障模型的說法不正確的是？A、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分，簡介和一般模型》（GB/T202741：2008）中的信息系統(tǒng)安全保障模型的風(fēng)險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進(jìn)行改動和量化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要確保信息系統(tǒng)的保密性，完整性和可用性，單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入答案：D90.在數(shù)據(jù)鏈路層中MAC子層主要實(shí)現(xiàn)的功能是A、介質(zhì)訪問控制B、物理地址識別C、通信協(xié)議產(chǎn)生D、數(shù)據(jù)編碼答案：A91.按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級、自主保護(hù)、按照要求向公安機(jī)關(guān)備案即可，可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)答案：B92.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級、機(jī)房的建造和機(jī)房的裝修等答案：D解析：機(jī)房與設(shè)施安全屬于物理安全，不屬于應(yīng)用安全93.信息安全審核是指通過審查、測試、評審等手段，檢驗(yàn)風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個工作一般由誰完成？A、機(jī)構(gòu)內(nèi)部人員B、外部專業(yè)機(jī)構(gòu)C、獨(dú)立第三方機(jī)構(gòu)D、以上皆可答案：D94.不是計算機(jī)病毒所具有的特點(diǎn)____。（）A、傳染性B、破壞性C、潛伏性D、可預(yù)見性答案：D95.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項？A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS答案：D96.CISP職業(yè)道德包括誠實(shí)守信，遵紀(jì)守法，主要有（）、（）、（）。A、不通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、弄虛作假等違反誠信原則的行為；不利用個人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件；B、熱愛信息安全工作崗位和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)的提出應(yīng)對信息安全問題的建設(shè)和幫助；C、自覺維護(hù)國家信息安全，拒絕并抵制泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為；自覺維護(hù)網(wǎng)絡(luò)社會安全，拒絕并抵制通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為；自覺維護(hù)公眾信息安全，拒絕并抵制通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為；D、通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升安全實(shí)踐能力，以CISP身份為榮，積極參與各種證后活動，避免任何損害CISP聲譽(yù)形象的行為答案：A97.WINDOWS系統(tǒng)，下列哪個命令可以列舉本地所有用戶列表A、netuserB、netviewC、netnameD、netaccounts答案：A98.關(guān)于風(fēng)臉評估準(zhǔn)備階段工作內(nèi)容敘途錯誤的是：A、制訂風(fēng)險評估方案，確定風(fēng)險評估的實(shí)施方案.包括風(fēng)險評估的工作過程、活動、子活動、每項活動的輸入和輸出結(jié)果B、選擇風(fēng)險評估方法和工具，從現(xiàn)有風(fēng)險評估方法和工具庫匯總選擇合適的風(fēng)險評估方法和工具C、制訂組織機(jī)構(gòu)自己的風(fēng)臉評估準(zhǔn)則，相關(guān)準(zhǔn)則可以不需要得到被評估方的認(rèn)可D、風(fēng)臉評估方案應(yīng)獲得管理決策層的認(rèn)可、批準(zhǔn)和支持答案：C99.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法,它將應(yīng)急響應(yīng)分成六個階段。其中,主要執(zhí)行如下工作應(yīng)在哪一個階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾規(guī)則,拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號等（）A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測階段答案：B100.IS090012000標(biāo)準(zhǔn)跪在制定.實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時采用過程方法，通過滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫（）A、策略B、管理者C、組織D、活動答案：D101.某系統(tǒng)被攻擊者入侵,初步懷疑為管理員存在弱口令,攻擊者從遠(yuǎn)程終端以管理員身份登錄進(jìn)行系統(tǒng)進(jìn)行了相應(yīng)的破壞,驗(yàn)證此事應(yīng)查看.（）A、系統(tǒng)日志B、應(yīng)用程序日志C、安全日志D、IIS日志答案：C102.信息安全風(fēng)險管理是基于（）的信息安全管理,也就是,始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來理解信息安全風(fēng)險管理的側(cè)重點(diǎn),即（）選擇的范圍和對象重點(diǎn)應(yīng)有所不同。A、風(fēng)險;風(fēng)險;信息系統(tǒng):風(fēng)險管理B、風(fēng)險;風(fēng)險;風(fēng)險管理;信息系統(tǒng)C、風(fēng)險管理;信息系統(tǒng);風(fēng)險;風(fēng)險D、風(fēng)險管理;風(fēng)險;風(fēng)險;信息系統(tǒng)答案：A103.以下關(guān)于項目的含義，理解錯誤的是：A、項目是為達(dá)到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機(jī)確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標(biāo)要遵守SMART原則，即項目的目標(biāo)要求具體（Specific）、可測量（Measurable）、需相關(guān)方的一致同意（Agreeto）、現(xiàn)實(shí)（Realistic）、有一定的時限（Time-oriented）答案：B104.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的（）A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自教給李強(qiáng)就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請升級郵件服務(wù)軟件答案：C105.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段,為了保證用戶帳戶安全,項目開發(fā)人員決定用戶登錄時除了用戶名口令認(rèn)證方式外,還加入基于數(shù)字證書的身份認(rèn)證功能,同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中,請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則:A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則答案：C106.下列關(guān)于計算機(jī)病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼答案：C107.在GB／T18336《信息技術(shù)安全性評估準(zhǔn)則》中，有關(guān)保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST），錯誤的是A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)答案：C108.組織應(yīng)開發(fā)和實(shí)施使用（）來保護(hù)信息的策略，基于風(fēng)險評估，宜確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量。當(dāng)實(shí)施組織的（）時，宜考慮我國應(yīng)用密碼技術(shù)的規(guī)定和限制，以及（）跨越國界時的問題。組織應(yīng)開發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實(shí)際效果選擇加密算法、密鑰長度和使用習(xí)慣。適合的（）要求密鑰在生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備宜進(jìn)行（）。A、加密控制措施；加密信息；密碼策略；密鑰管理；物理保護(hù)B、加密控制措施；密碼策略；密鑰管理；加密信息；物理保護(hù)C、加密控制措施；密碼策略；加密信息；密鑰管理；物理保護(hù)D、加密控制措施；物理保護(hù)；密碼策略；加密信息；密鑰管理答案：C109.口令是驗(yàn)證用戶身份的最常用手段，以下哪一種口令的潛在風(fēng)險影響范圍最大？A、長期沒有修改的口令B、過短的口令C、兩個人公用的口令D、設(shè)備供應(yīng)商提供的默認(rèn)口令答案：D110.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中,為了保證數(shù)據(jù)安全,應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略,以下不屬于數(shù)據(jù)庫防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁B、對存儲的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好答案：D111.量子密碼學(xué)的理論基礎(chǔ)是______A、量子力學(xué)B、數(shù)學(xué)C、傳統(tǒng)密碼學(xué)D、天體物理學(xué)答案：A112.CISP職業(yè)道德包括誠實(shí)守信，遵紀(jì)守法，主要有（）、（）、（）。A、不通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、弄虛作假等違反誠信原則的行為；不利用個人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件；B、熱愛信息安全工作崗位和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)的提出應(yīng)對信息安全問、的建設(shè)和幫助；C、自覺維護(hù)國家信息安全，拒絕并抵制泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為；自覺維護(hù)網(wǎng)絡(luò)社會安全，拒絕并抵制通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為；自覺維護(hù)公眾信息安全，拒絕并抵制通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為；D、通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升安全實(shí)踐能力，以CISP身份為榮，積極參與各種證后活動，避免任何損害CISP聲譽(yù)形象的行為。答案：A113.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫答案：B114.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作：由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件答案：D115.以下對Windows賬號的描述,正確的是:A、Windows系統(tǒng)是采用SID（安全標(biāo)識符）來標(biāo)識用戶對文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C、Windows系統(tǒng)默認(rèn)會生成administrator和guest兩個賬號,兩個賬號都不允許改名和刪除D、Windows系統(tǒng)默認(rèn)生成administrator和guest兩個賬號,兩個賬號都可以改名和刪除答案：A解析：guest可以改名和刪除,administrator不可以。116.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則答案：C117.信息是流動的，在信息的流動過程中必須能夠識別所有可能途徑的（）與（）；而對于信息本身而言，信息的敏感性的定義是對信息保護(hù)的（）和（），信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時性和信息的交互場景，這使得風(fēng)險管理變得復(fù)雜和不可預(yù)測。A、基礎(chǔ)；依據(jù);載體;環(huán)境;永久性;風(fēng)險管理B、基礎(chǔ);依據(jù);載體;環(huán)境;風(fēng)險管理;永久性C、載體;環(huán)境;風(fēng)險管理;永久性;基礎(chǔ);依據(jù)D、載體;環(huán)境;基礎(chǔ);依據(jù);風(fēng)險管理;永久性答案：D118.容災(zāi)的目的和實(shí)質(zhì)是____。A、A數(shù)據(jù)備份B、B心理安慰C、C保持信息系統(tǒng)的業(yè)務(wù)持續(xù)性D、D系統(tǒng)的有益補(bǔ)充答案：C119.組織中對于每個獨(dú)立流程都有對應(yīng)的業(yè)務(wù)連續(xù)性計劃，但缺乏全面的業(yè)務(wù)連續(xù)性計劃，應(yīng)采取下面哪一項行動？A、建議建立全面的業(yè)務(wù)連續(xù)性計劃B、確認(rèn)所有的業(yè)務(wù)連續(xù)性計劃是否相容C、接受已有業(yè)務(wù)連續(xù)性計劃D、建議建立單獨(dú)的業(yè)務(wù)連續(xù)性計劃答案：B120.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是（）。A、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便B、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便C、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單D、ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)答案：C121.（）第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照（）實(shí)行分級保護(hù)。（）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)（）后,方可投入使用。A、《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B、《安全保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格C、《國家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D、《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格答案：A解析：《保密法》第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照涉密程度實(shí)行分級保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)檢查合格后,方可投入使用。P57頁。122.以下代碼容易觸發(fā)什么漏洞（）＜?php$$username=$$_GET["name"];Echo"歡迎您,".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代碼注入答案：A123.國務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分級建設(shè)C、資源共享D、平戰(zhàn)結(jié)合答案：B124.小張在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時候，小張主要負(fù)責(zé)講解風(fēng)險評估工作形式。小張認(rèn)為：1.風(fēng)險評估工作形式包括：自評估和檢查評估；2.自評估是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險評估；3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險評估；4.對信息系統(tǒng)的風(fēng)險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼。請問小張的所述論點(diǎn)中錯誤的是哪項A、第一個觀點(diǎn)B、第四個觀點(diǎn)C、第三個觀點(diǎn)D、第二個觀點(diǎn)答案：B125.計算機(jī)取證的合法原則是：A、計算機(jī)取證的目的是獲取證據(jù)，因此首先必須確保證據(jù)獲取再履行相關(guān)法律手續(xù)B、計算機(jī)取證在任何時候都必須保證符合相關(guān)法律法規(guī)C、計算機(jī)取證只能由執(zhí)法機(jī)構(gòu)才能執(zhí)行，以確保其合法性D、計算機(jī)取證必須獲得執(zhí)法機(jī)關(guān)的授權(quán)才可進(jìn)行以確保合法性原則答案：C126.數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是（）。A、多一道加密工序使密文更難破譯B、提高密文的計算速度C、縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度D、保證密文能正確還原成明文答案：C127.自主訪問控制與強(qiáng)制訪問控制相比具有以下哪一個優(yōu)點(diǎn)？A、具有較高的安全性B、控制粒度較大C、配置效率不高D、具有較強(qiáng)的靈活性答案：D128.強(qiáng)制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強(qiáng)制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學(xué)了BLP模型，并對該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B129.某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標(biāo)選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作,目前,各個應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗(yàn)收申請,監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔:A、項目計劃書B、質(zhì)量控制計劃C、評審報告D、需求說明書答案：D130.PKI的主要理論基礎(chǔ)是（）。A、對稱密碼算法B、公鑰密碼算法C、量子密碼D、摘要算法答案：B131.BS7799這個標(biāo)準(zhǔn)是由下面哪個機(jī)構(gòu)研發(fā)出來的？A、美國標(biāo)準(zhǔn)協(xié)會B、英國標(biāo)準(zhǔn)協(xié)會C、中國標(biāo)準(zhǔn)協(xié)會D、國際標(biāo)準(zhǔn)協(xié)會答案：B132.以下關(guān)于VPN說法正確的是（）A、VPN指的是用戶自己租用線路,和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B、VPN不能做到信息認(rèn)證和身份認(rèn)證C、VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接D、VPN只能提供身份不能提供加密數(shù)據(jù)的功能答案：C133.信息安全應(yīng)急響應(yīng)計劃的制定是一個周而復(fù)始、持續(xù)改進(jìn)的過程，以下哪個階段不在其中？A、應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定;B、編制應(yīng)急響應(yīng)計劃文檔；C、應(yīng)急響應(yīng)計劃的測試、部訓(xùn)、演練和維護(hù)D、應(yīng)急響應(yīng)計劃的廢棄與存檔答案：D134.小趙是某大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應(yīng)該采取的最合適的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、訪問控制列表（ACL）答案：D解析：目前Wiondows和linux操作系統(tǒng)使用的都是ACL，訪問控制表（ACL）是在每個文件下面附著一個客戶權(quán)限表，正常情況下一個系統(tǒng)客戶數(shù)再多也不會有文件的數(shù)量多，所以選D；而BLP模型、Biba模型屬于強(qiáng)制訪問控制模型，與題干不符。135.評估IT風(fēng)險被很好的到達(dá)，可以通過：A、評估IT資產(chǎn)和IT項目總共的威脅B、用公司的以前的真的損失經(jīng)驗(yàn)來決定現(xiàn)在的弱點(diǎn)和威脅C、審查可比較的組織出版的損失數(shù)據(jù)D、一句審計拔高審查IT控制弱點(diǎn)答案：A136.對信息安全的理解，正確的是A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實(shí)現(xiàn)的B、通過信息安全保障措施，確保信息不被丟失C、通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財務(wù)信息的完整性D、通過技術(shù)保障措施，確保信息系統(tǒng)及財務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性答案：A137.在ISO／IEC17799中，防止惡意軟件的目的就是為了保護(hù)軟件和信息的____。（）A、安全性B、完整性C、穩(wěn)定性D、有效性答案：B138.在實(shí)施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是？A、資產(chǎn)的價值指采購費(fèi)用B、資產(chǎn)的價值指維護(hù)費(fèi)用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計答案：C139.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝,TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B140.人員入職過程中，以下做法不正確的是？A、入職中簽署勞動合同及保密協(xié)議。B、分配工作需要的最低權(quán)限。C、允許訪問企業(yè)所有的信息資產(chǎn)。D、進(jìn)行安全意思培訓(xùn)。答案：C141.安全專家在對某網(wǎng)站進(jìn)行安全部署時，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權(quán)限D(zhuǎn)、為了減少Apache上存在的漏洞答案：C解析：避免攻擊者通過Apache獲得root權(quán)限。142.PKI管理對象不包括（）。A、ID和口令B、證書C、密鑰D、證書撤消答案：A143.一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實(shí)施訪問控制。例如，在一個學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項中，對訪問控制的作用的理解錯誤的是（）。A、對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理C、拒絕非法用戶的非授權(quán)訪問請求D、防止對信息的非授權(quán)篡改和濫用答案：A解析：訪問控制的核心：允許合法用戶的授權(quán)訪問，防止非法用戶的訪問和合法用戶的越權(quán)訪問。。P304頁。144.關(guān)于軟件安全開發(fā)生命周期（SDL），下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本答案：C145.在制定一個正式的企業(yè)安全計劃時，最關(guān)鍵的成功因素將是？A、成立一個審查委員會B、建立一個安全部門C、向執(zhí)行層發(fā)起人提供有效支持D、選擇一個安全流程的所有者答案：C146.常用的混合加密（HybridEncryption）方案指的是:A、使用對稱加密進(jìn)行通信數(shù)據(jù)加密，使用公鑰加密進(jìn)行會話密鑰協(xié)商B、使用公鑰加密進(jìn)行通信數(shù)據(jù)加密，使用對稱加密進(jìn)行會話密鑰協(xié)商C、少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)則使用對稱加密D、大量數(shù)據(jù)使用公鑰加密，少量數(shù)據(jù)則使用對稱加密答案：A147.小李在上網(wǎng)時不小心點(diǎn)開了假冒某銀行的釣魚網(wǎng)站，誤輸入了銀行賬號與密碼損失上千元，他的操作如右圖所示，他所受到的攻擊是（）A、ARP欺騙B、DNS欺騙C、IP欺騙D、TCP會話答案：B148.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個重要組成部分,因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。答案：D149.微軟提出了stride模型，其中R是（Repudiation抵賴）的縮寫，關(guān)于此項安全要素，下面說法錯誤的是？A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅為R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?，軟件系統(tǒng)中的這種威脅為R威脅C、對于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計等技術(shù)措施來解決D、對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)措施來解決答案：D150.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn),不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全答案：D151.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是:A、有助于建立和實(shí)施信息安全產(chǎn)品的市場準(zhǔn)入制度B、對用戶采購信息安全產(chǎn)品，設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境答案：D152.關(guān)于ARP欺騙原理和防范措施,下面理解錯誤的是（）A、ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯誤的ARP應(yīng)答報文。使得受害者主機(jī)將錯誤的硬件地址映射關(guān)系存到ARP緩存中,從而起到冒充主機(jī)的目的B、單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實(shí)施攻擊C、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的APP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機(jī)進(jìn)行連接答案：D153.降低風(fēng)險（或減低風(fēng)險）是指通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險，下面哪個措施不屬于降低風(fēng)險的措施？A、減少危險源。采用法律的手段制裁計算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制危險源的動機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險C、減低危險能力。采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性。及時給系統(tǒng)打補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性答案：B154.如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接受者，這種情況屬于哪一種攻擊？A、重放攻擊B、Smurt攻擊C、字典攻擊D、中間人攻擊答案：D155.小李既屬于“一般用戶”組，又屬于“高級用戶”組，現(xiàn)要訪問“工作文檔”目錄，已知“一般用戶”組對于此文件夾的操作權(quán)限是“只讀”，“高級用戶”組對此文件夾的操作權(quán)限是“可寫”，那么小李現(xiàn)在可對“工作文檔”目錄進(jìn)行什么操作？A、僅可讀B、僅可寫C、既可讀又可寫D、權(quán)限沖突，無法做任何操作答案：C156.以下關(guān)于安全控制措施的選擇，哪一個選項是錯誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計算整體控制成本的時候，應(yīng)考慮多方面的因素答案：B157.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:A、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型）（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進(jìn)行改動和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入答案：D158.關(guān)于惡意代碼的守護(hù)進(jìn)程的功能，以下說法正確的是（）A、加大檢測難度B、隱藏惡意代碼C、監(jiān)視惡意代碼主體程序是否正常D、傳播惡意代碼答案：C159.一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過程?A、數(shù)據(jù)B、信息流C、活動D、模塊答案：C160.數(shù)位物件識別號（Digital0bjectIdentifier,簡稱DOI）是一套識別數(shù)位資源的機(jī)制，涵括的對象有視頻、報告或書籍等等。它既有一套為資源命名的機(jī)制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個典型的DOI識別號，10.1006/jmbi.1998.2354，下列選項錯誤的是（）A、“10.1006”是前級，由國際數(shù)位物件識別號基金會確定B、“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C、“1006是注冊代理機(jī)構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機(jī)構(gòu)D、后綴部分為:jmbi.1998.2354，由資源發(fā)行者自行指定，用于區(qū)分一個單獨(dú)的數(shù)字資料，不具有唯一性答案：D161.Smurf利用下列哪種協(xié)議進(jìn)行攻擊？A、ICMPB、IGMPC、TCPD、UDP答案：A162.以下關(guān)于國內(nèi)信息化發(fā)展的描述，錯誤的是（）。A、經(jīng)過多年的發(fā)展，截至2013年底，我國在全球整體的信息與計算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。B、我國農(nóng)村寬帶人口普及率與城市的差距在最近三年來持續(xù)拉大。C、成為聯(lián)合國衛(wèi)星導(dǎo)航委員會認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)是由我國自主研制的。D、從20世紀(jì)90年代開始，我國把信息化提到了國家戰(zhàn)略高度答案：A163.90.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯誤的是A、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體，具備可行性C、組織的信息安全目標(biāo)、信息安全方