PAGEPAGE1一、單選題1.Windows操作系統(tǒng)中可顯示或修改任意訪問控制列表的命令是A、ipconfigB、caclsC、tasklistD、systeminfo答案：B2.GaryMoGrow博士及其合作都提出軟件安全應(yīng)由三根支柱來支撐，這三個(gè)支柱是（）A、測(cè)代碼審核，風(fēng)險(xiǎn)分析和滲透測(cè)試B、應(yīng)用風(fēng)險(xiǎn)管理，軟件安全接觸點(diǎn)和安全知識(shí)C、威脅建模，滲透測(cè)試和軟件安全接觸點(diǎn)D、威脅建模，測(cè)代碼審核和模模糊測(cè)試答案：B3.電子認(rèn)證服務(wù)提供者簽發(fā)認(rèn)證證書內(nèi)容不必須包括以下哪一項(xiàng)：A、電子認(rèn)證服務(wù)提供者名稱，證書持有人名稱B、證書序列號(hào)，證書有效期C、證書使用范圍D、電子認(rèn)證服務(wù)提供者的電子簽名答案：C4.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議（ARP）欺騙的根源之一?A、ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議答案：D5.32.信息安全風(fēng)險(xiǎn)評(píng)估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國(guó)信辦[2006]5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是？A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用答案：D6.以下關(guān)于SMTP和POP3協(xié)議的說法哪個(gè)是錯(cuò)誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D、SMTP和POP3協(xié)議由于協(xié)議簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件答案：A7.91.信息安全事件的分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》，信息安全事件分為7個(gè)基本類別,描述正確的A、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。B、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。C、網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。答案：B8.信息的存在及傳播方式A、存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B、記憶在人的大腦里C、通過網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D、通過投影儀顯示答案：D9.可信計(jì)算技術(shù)不能：A、確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊B、確保密鑰操作和存儲(chǔ)的安全C、確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性D、使計(jì)算機(jī)具有更高的穩(wěn)定性答案：D10.自2004年1月起,國(guó)內(nèi)各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí),必須經(jīng)由以下哪個(gè)組織提出工作意見,協(xié)調(diào)一致后由該組織申報(bào)。A、全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC485）B、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）C、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)答案：B11.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁、只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題B、相信來自陌生人的郵件，好奇打開郵件附件C、開著電腦離開，就像離開家卻忘記關(guān)燈那樣D、及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁答案：D12.信息系統(tǒng)建設(shè)完成后。（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)，進(jìn)行測(cè)評(píng)合格后方可投入使用。A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上答案：A13.以下關(guān)于軟件安全問題對(duì)應(yīng)關(guān)系錯(cuò)誤的是?（）A、缺點(diǎn)（Defect）一軟件實(shí)現(xiàn)和設(shè)計(jì)上的弱點(diǎn)B、缺陷（Bug）一實(shí)現(xiàn)級(jí)上的軟件問題C、瑕疵（Flaw）一種更深層次、設(shè)計(jì)層面的的問題D、故障（Failure）一由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn)，是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)答案：D14.以下哪一項(xiàng)是基于一個(gè)大的整數(shù)很難分解成兩個(gè)素?cái)?shù)因數(shù)？A、ECCB、RSAC、DESD、D-H答案：B15.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前，Hadoop并不存在安全認(rèn)證一說。默認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)，纂改分布式存儲(chǔ)的數(shù)據(jù)，偽裝成NameNode或者TaskTracker接受任務(wù)等。在Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題，Kerberos的認(rèn)證過程不包括（）A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)答案：C16.關(guān)于微軟的SDL原則，棄用不正確的函數(shù)屬于哪個(gè)階段A、規(guī)劃B、設(shè)計(jì)C、實(shí)施D、測(cè)試答案：C17.某黑客通過分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒，為防范此類社會(huì)工程學(xué)攻擊，報(bào)社不需要做的是A、加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力，了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告C、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)答案：D18.公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭(zhēng)議。下面說法哪個(gè)是錯(cuò)誤的：A、乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所部署的加密針對(duì)性不足，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求答案：A19.企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是：A、限制物理訪問計(jì)算設(shè)備B、檢查事務(wù)和應(yīng)用日志C、雇用新IT員工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會(huì)話答案：B20.下面哪類命令是CISCO限制接口流量的？A、RATE-LIMITB、privilegeC、AAAD、LOOPBACK答案：A21.安全保障階段中將信息安全體系歸結(jié)為四個(gè)主要環(huán)節(jié)，下列____是正確的。A、策略、保護(hù)、響應(yīng)、恢復(fù)B、加密、認(rèn)證、保護(hù)、檢測(cè)C、策略、網(wǎng)絡(luò)攻防、密碼學(xué)、備份D、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)答案：D22.小李在使用web掃描器對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描時(shí)發(fā)現(xiàn)，某一個(gè)主機(jī)開放了25和110端口，此主機(jī)最有可能是什么？A、文件服務(wù)器B、郵件服務(wù)器C、WEB服務(wù)器D、DNS服務(wù)器答案：B23.信息資產(chǎn)面臨的主要威脅來源主要包括A、自然災(zāi)害B、系統(tǒng)故障C、內(nèi)部人員操作失誤D、以上都包括答案：D24.某公司正在對(duì)一臺(tái)關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行風(fēng)險(xiǎn)評(píng)估：該服務(wù)器價(jià)值138000元，針對(duì)某個(gè)特定威脅的暴露因子（EF）是45%，該威脅的年度發(fā)生率（ARO）為每10年發(fā)生1次。根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值（ALE）是多少？A、1800元B、62100元C、140000元D、6210元答案：D25.中國(guó)信息安全測(cè)評(píng)中心對(duì)CISP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書有效期內(nèi)，應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)：A、為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)B、在信息安全公司從事保安工作C、在公開場(chǎng)合宣講安全知識(shí)D、在學(xué)校講解信息安全課程答案：B26.下列哪一項(xiàng)信息不包含在X.509規(guī)定的數(shù)字證書中？A、證書有效期B、證書持有者的公鑰C、證書頒發(fā)機(jī)構(gòu)的簽名D、證書頒發(fā)機(jī)構(gòu)的私鑰答案：D27.一個(gè)備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于A、冷站B、溫站C、直線站點(diǎn)D、鏡像站點(diǎn)答案：A28.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅？A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D29.安全評(píng)估人員正為某個(gè)醫(yī)療機(jī)構(gòu)的生產(chǎn)和測(cè)試環(huán)境進(jìn)行評(píng)估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測(cè)試環(huán)境測(cè)試，這種情況下存在哪種最有可能的潛在風(fēng)險(xiǎn)？A、測(cè)試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測(cè)試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測(cè)試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測(cè)試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機(jī)密性答案：D30.463.下面對(duì)過國(guó)家秘密定級(jí)和范圍的描述，哪項(xiàng)不符合《保守國(guó)家秘密法》要求（）A、國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部分分別會(huì)問外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定B、B.各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)C、C.對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)，然后報(bào)國(guó)家保密工作部分確定D、D.對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，由國(guó)家保密工作部分，省，自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經(jīng)國(guó)務(wù)院批準(zhǔn)的較大的時(shí)的保密工作部分或者國(guó)家保密工作部門審定的機(jī)關(guān)確定答案：C31.防火墻能夠____。（）A、防范惡意的知情者B、防范通過它的惡意連接C、防備新的網(wǎng)絡(luò)安全問題D、完全防止傳送已被病毒感染的軟件和文件答案：B32.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實(shí)施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請(qǐng)問，按照PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）A、準(zhǔn)備階段B、檢測(cè)階段C、遏制階段D、根除階段答案：D33.鑒別是用戶進(jìn)入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)時(shí),和密碼就是對(duì)用戶身份進(jìn)行鑒別。鑒別通過,即可以實(shí)現(xiàn)兩的連接。例如,一個(gè)用戶被服務(wù)器鑒別通過后,則被服務(wù)器用戶,才可以進(jìn)行后續(xù)訪問。鑒別是對(duì)信息的一項(xiàng)安全屬性該屬性屬于下列選項(xiàng)中的（）A、保密性B、可用性C、真實(shí)性D、完整性答案：C34.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題。對(duì)于網(wǎng)站的這個(gè)問題原因分析及解決措施，最正確的說法應(yīng)該是？A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷，通過對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可答案：C35.51.數(shù)據(jù)庫是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng)，它存儲(chǔ)的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點(diǎn)出發(fā)建立的，按定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲(chǔ)。其結(jié)構(gòu)基干數(shù)據(jù)間的自然聯(lián)系，從而可提供一切必要的存取路徑，且數(shù)據(jù)不再針對(duì)某應(yīng)用，而是面向全組織，具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的系統(tǒng)，毫無疑問會(huì)成為信息安全的重點(diǎn)防護(hù)對(duì)象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲(chǔ)和安全訪問，對(duì)數(shù)據(jù)庫安全要求不包括下列（）A、向所有用戶提供可靠的信息服務(wù)B、B.拒絕執(zhí)行不正確的數(shù)據(jù)操作C、C.拒絕非法用戶對(duì)數(shù)據(jù)庫的訪問D、D.能跟蹤記錄，以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等答案：A36.下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型,這個(gè)模型經(jīng)常使用圖形的形式來表達(dá)的下圖空白處應(yīng)填（）（）A、策略B、方針C、人員D、項(xiàng)目答案：A37.計(jì)算機(jī)網(wǎng)絡(luò)是地理上分散的多臺(tái)（）遵循約定的通信協(xié)議，通過軟硬件互聯(lián)的系統(tǒng)。A、計(jì)算機(jī)B、主從計(jì)算機(jī)C、自主計(jì)算機(jī)D、數(shù)字設(shè)備答案：C38.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單41位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定答案：B解析：風(fēng)險(xiǎn)評(píng)估包括四個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、風(fēng)險(xiǎn)要素識(shí)別階段、風(fēng)險(xiǎn)分析階段和風(fēng)險(xiǎn)結(jié)果判定階段。其中評(píng)估方案、工具、團(tuán)隊(duì)、人員、計(jì)劃、準(zhǔn)則都屬于準(zhǔn)備階段；資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施識(shí)別都屬于要素識(shí)別階段。39.ZigBee主要的信息安全服務(wù)為（）、（）、（）、（）。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實(shí)現(xiàn)訪問控制，設(shè)備必須在ACL中維護(hù)一個(gè)（），表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享，或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、command以及數(shù)據(jù)載荷。數(shù)據(jù)（）主要是利用消息完整性校驗(yàn)碼保證沒有密鑰的節(jié)點(diǎn)不會(huì)修改傳輸中的消息，進(jìn)一步確認(rèn)消息來自一個(gè)知道（）的節(jié)點(diǎn)。A、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護(hù)；設(shè)備列表；完整性:密鑰B、訪問控制、加密、完整性、序列抗重播保護(hù)；設(shè)備列表；完整性；密鑰C、訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護(hù)；列表:完整性:密鑰D、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播；列表；完整性:密鑰答案：A40.對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝（）,運(yùn)行系統(tǒng)要化安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼,不安裝開發(fā)代碼和（）,應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員,根據(jù)合適的（）,進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新;必要時(shí)在管理者批準(zhǔn)情況下,僅為了支持目的才授予供應(yīng)商物理或邏輯訪問權(quán),并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能安裝何種類型的軟件,組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針,宜使用（）。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露;整體性損失或其他信息安全事件或違反（）。A、控制規(guī)程;編譯程序;管理授權(quán);最小特權(quán)方針;知識(shí)產(chǎn)權(quán)B、編譯程序;控制規(guī)程;管理授權(quán);最小特權(quán)方針;知識(shí)產(chǎn)權(quán)C、控制規(guī)程;管理授權(quán);編譯程序;最小特權(quán)方針;知識(shí)產(chǎn)權(quán)D、控制規(guī)程;最小特權(quán)方針;編譯程序;管理授權(quán);知識(shí)產(chǎn)權(quán)答案：A41.小張新購入了一臺(tái)安裝了Windows操作系統(tǒng)的筆記本電腦。為了提升操作系統(tǒng)的安全性，小張?jiān)赪indows系統(tǒng)中的“本地安全策略”中，配置了四類安全策略：賬號(hào)策略、本地策略、公鑰策略和IP策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中？A、關(guān)閉不必要的服務(wù)B、制定操作系統(tǒng)安全策略C、關(guān)閉不必要的端口D、開啟審核策略答案：D42.Internet上很多軟件的簽名認(rèn)證都來自_______公司。A、BaltimoreB、EntrustC、SunD、VeriSign答案：D43.在以下標(biāo)準(zhǔn)中，屬于推薦性國(guó)家標(biāo)準(zhǔn)的是？A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X答案：A44.為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過程的說法不正確的是？A、由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試答案：D45.作為單位新上任的CS0，你組織了一次本單位的安全評(píng)估工作以了解單位安全現(xiàn)狀。在漏洞掃描報(bào)告發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對(duì)內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個(gè)漏洞，對(duì)比上一年度的漏洞掃描報(bào)告，發(fā)現(xiàn)這個(gè)已經(jīng)報(bào)告出來，經(jīng)詢問安全管理員得知，這個(gè)業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉，因此無法修復(fù)。對(duì)于這個(gè)問題處理（）A、向公司管理層提出此問題，要求立即立項(xiàng)重新開發(fā)此業(yè)務(wù)系統(tǒng)，避免單位中存在這樣的安全風(fēng)險(xiǎn)B、既然此問題不是新發(fā)現(xiàn)的問題，之前已經(jīng)存在，因此與自己無關(guān)，可以不予理會(huì)C、讓安全管理人員重新評(píng)估此漏洞存在的安全風(fēng)險(xiǎn)并給出進(jìn)一步的防護(hù)措施后再考慮如何處理D、讓安全管理員找出驗(yàn)收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼，自己修改解決這個(gè)漏洞答案：C解析：C項(xiàng)更為合適一些。46.在加固數(shù)據(jù)庫時(shí),以下哪個(gè)是數(shù)據(jù)庫加固最需要考慮的？A、修改默認(rèn)配置B、標(biāo)準(zhǔn)數(shù)據(jù)庫所有的表空間C、存儲(chǔ)數(shù)據(jù)被加密D、修改數(shù)據(jù)庫服務(wù)的服務(wù)端口答案：A47.下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是？A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案：D48.隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時(shí)，發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是（）。A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時(shí)自身在開發(fā)、部署和使用過程中存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛，接觸信息系統(tǒng)的人越多，信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此，對(duì)人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)D、信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性，同時(shí)外部又有威脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風(fēng)險(xiǎn)，需從內(nèi)外因同時(shí)著手答案：D解析：從根源來說，信息安全問題可以歸因于內(nèi)因和外因兩個(gè)方面。P3頁。49.某集團(tuán)公同的計(jì)算機(jī)網(wǎng)絡(luò)中心具有公司最要的設(shè)備和信息數(shù)據(jù)。網(wǎng)絡(luò)曾在段時(shí)間內(nèi)依然遭受了幾次不小的破壞和干擾，雖然有防火墻，但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡(luò)安全公司為該集團(tuán)部署基于網(wǎng)絡(luò)的入侵檢車系統(tǒng)（NIDS））將NIDS不會(huì)在（）區(qū)域部署。A、DMZB、內(nèi)網(wǎng)主干C、內(nèi)網(wǎng)關(guān)鍵子網(wǎng)D、外網(wǎng)入口答案：D50.“如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會(huì)受到影響”，這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的？A、星型B、樹型C、環(huán)型D、復(fù)合型答案：A51.我國(guó)規(guī)定商用密碼產(chǎn)品的研發(fā)、制造、銷售和使用采取?？毓芾?，必須經(jīng)過審批，所依據(jù)的是：A、商用密碼管理?xiàng)l例B、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例C、計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定D、中華人民共和國(guó)保密法答案：A52.“CC”標(biāo)準(zhǔn)是測(cè)評(píng)標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項(xiàng)內(nèi)容是針對(duì)具體的被測(cè)評(píng)對(duì)象，描述了該對(duì)象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實(shí)現(xiàn)方案（）A、評(píng)估對(duì)象（TOE）B、保護(hù)輪廊（PP）C、安全目標(biāo)（ST）D、評(píng)估保證級(jí)（EAL）答案：C53.入侵檢測(cè)系統(tǒng)有其技術(shù)優(yōu)越性但也有其局眼性，下列說法錯(cuò)誤的是（）。A、對(duì)用戶知識(shí)要求高.配置.操作和管理使用過于簡(jiǎn)單，容易遭到攻擊B、入侵檢測(cè)系統(tǒng)會(huì)產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重C、入侵檢測(cè)系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)可能會(huì)被抑制或者受到影響D、警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)答案：A54.下列哪一項(xiàng)與數(shù)據(jù)庫的安全有直接關(guān)系？A、訪問控制的粒度B、數(shù)據(jù)庫的大小C、關(guān)系表中屬性的數(shù)量D、關(guān)系表中元組的數(shù)量答案：A55.安全審計(jì)跟蹤是____。（）A、安全審計(jì)系統(tǒng)檢測(cè)并追蹤安全事件的過程B、安全審計(jì)系統(tǒng)收集易于安全審計(jì)的數(shù)據(jù)C、人利用日志信息進(jìn)行安全事件分析和追溯的過程D、對(duì)計(jì)算機(jī)系統(tǒng)中的某種行為的詳盡跟蹤和觀察答案：A56.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一答案：C解析：C是片面的，應(yīng)為技管并重，P83頁。57.計(jì)劃是組織根據(jù)環(huán)境的需要和自身的特點(diǎn)，確定組織在一定時(shí)期內(nèi)的目標(biāo)，并通過計(jì)劃的編制、執(zhí)行和監(jiān)督來協(xié)調(diào)、組織各類資源以順利達(dá)到預(yù)期目標(biāo)的過程。計(jì)劃編制的步驟流程如下圖所示，則空白方框處應(yīng)該填寫的步驟為（）A、估計(jì)潛在的災(zāi)難事件、選擇計(jì)劃策略B、估計(jì)潛在的災(zāi)難事件、制定計(jì)劃策略C、選擇計(jì)劃策略、估計(jì)潛在的災(zāi)難事件D、制定計(jì)劃策略、估計(jì)潛在的災(zāi)難事件答案：B58.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure，Cn）包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失。答案：C59.在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，有關(guān)保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST），錯(cuò)誤的是A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)答案：C60.小王在對(duì)某公司的信息系統(tǒng)進(jìn)風(fēng)風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是A、轉(zhuǎn)移風(fēng)險(xiǎn)B、降低風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)答案：D61.以下哪項(xiàng)是組織中為了完成信息安全目標(biāo)，針對(duì)信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)？A、反應(yīng)業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng)；B、來自所有級(jí)別管理者的可視化的支持與承諾；C、提供適當(dāng)?shù)囊庾R(shí)、教育與培訓(xùn)D、以上所有答案：D62.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測(cè)、（）和自適應(yīng)填充“安全間隙”為循環(huán)來提高（）A、漏洞監(jiān)測(cè)：控制和對(duì)抗：動(dòng)態(tài)性：網(wǎng)絡(luò)安全B、動(dòng)態(tài)性：控制和對(duì)抗：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全C、控制和對(duì)抗：漏洞監(jiān)測(cè)：動(dòng)態(tài)性：網(wǎng)絡(luò)安全D、控制和對(duì)抗：動(dòng)態(tài)性：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全答案：D63.以下等級(jí)保護(hù)建設(shè)工程中，需要強(qiáng)調(diào)的原則？A、自主定級(jí)、自主保護(hù)B、同步實(shí)施、定級(jí)備案C、借鑒其它安全建設(shè)的機(jī)構(gòu)的方案來設(shè)計(jì)方案D、不需要測(cè)評(píng)，。。。。答案：A64.某Linux系統(tǒng)由于root口令過于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1testtest10704Apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，是test用戶使用的shell，test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell，但test用戶無權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root，test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門程序，可由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test答案：C65.信息安全管理最關(guān)注的是？A、外部惡意攻擊B、病毒對(duì)PC的影響C、內(nèi)部惡意攻擊D、病毒對(duì)網(wǎng)絡(luò)的影響答案：C66.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后,因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高,他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是（）。A、放棄風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、降低風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)答案：B解析：風(fēng)險(xiǎn)規(guī)避:在某些情形下,變更、延緩或停止某種服務(wù)或業(yè)務(wù)功能,可能是合適的方法。根據(jù)題干“建議放棄這個(gè)功能模塊”判斷為風(fēng)險(xiǎn)規(guī)避。P143頁。67.在你對(duì)終端計(jì)算機(jī)進(jìn)行Ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包含中初始TTL值是不同的，TTL是IP協(xié)議包中的一個(gè)信，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長(zhǎng)而應(yīng)被丟棄。（簡(jiǎn)而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個(gè)路由器）根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL值，可以大致判斷（）A、內(nèi)存容量B、操作系統(tǒng)的類型C、對(duì)方物理位置D、對(duì)方的MAC地址答案：B68.下列四項(xiàng)中不屬于計(jì)算機(jī)病毒特征的是____。（）A、潛伏性B、傳染性C、免疫性D、破壞性答案：C69.應(yīng)急響應(yīng)時(shí)信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是（）A、信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事業(yè)發(fā)生后的應(yīng)對(duì)措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn):具體高技術(shù)復(fù)雜性與專業(yè)性.強(qiáng)突發(fā)性.對(duì)知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)時(shí)組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部分工作:安全事件發(fā)生時(shí)正確指揮.事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性答案：C70.入侵檢測(cè)技術(shù)可以分為誤用檢測(cè)和____兩大類。（）A、病毒檢測(cè)B、詳細(xì)檢測(cè)C、異常檢測(cè)D、漏洞檢測(cè)答案：C71.當(dāng)審核一個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，某IS審計(jì)師觀察到這個(gè)被審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個(gè)特性在這里被證明？A、防止B、減輕C、恢復(fù)D、響應(yīng)答案：B72./etc/passw文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黒客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個(gè)用戶的加密口令數(shù)據(jù)項(xiàng)都顯示為‘x’。下列選項(xiàng)中，對(duì)此現(xiàn)象的解釋正確的是（）A、黒客竊取的passwd文件是假的B、加密口令被轉(zhuǎn)移到了另一個(gè)文件里C、這些賬戶都被禁用了D、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘x’答案：B73.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)（IntrusienDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是A、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價(jià)格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻答案：D74.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個(gè)主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性；脆弱性V6和脆弱性V7.根據(jù)上述條件，請(qǐng)問：使用相乘法時(shí)，應(yīng)該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值？A、2B、3C、5D、6答案：C75.Linux文件系統(tǒng)采用的是樹型結(jié)構(gòu)，在根目錄下默認(rèn)存在var目錄，它的的功用是？A、公用的臨時(shí)文件存儲(chǔ)點(diǎn)B、系統(tǒng)提供這個(gè)目錄是讓用戶臨時(shí)掛載其他的文件系統(tǒng)C、某些大文件的溢出區(qū)D、最龐大的目錄，要用到的應(yīng)用程序和文件幾乎都在這個(gè)目錄答案：C76.為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過程的說法不正確的是（）。A、由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試C、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況D、滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟答案：B解析：在正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試可能會(huì)影響系統(tǒng)正常運(yùn)行。77.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過程，包括五個(gè)方面:起源、方式、途徑、受體和后果。他畫了下面這張圖來描述信息安全風(fēng)險(xiǎn)的構(gòu)成過程，圖中括號(hào)空白處應(yīng)該填寫（）A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評(píng)估答案：C78.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程,下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》答案：B79.下列對(duì)于訪向控制模型分類說法正確的是:A、BLP模型和biba模型都是強(qiáng)制訪問控制模型B、biba模型和ChineseWall模型都是完整性模型C、訪問控制矩陣不屬于自主訪問控制模型D、基于角色的訪問控制屬于強(qiáng)制訪問控制答案：A80.隨著信息安全涉及的范圍越來越廣，各個(gè)組織對(duì)信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯(cuò)誤的是（）A、在組織中，應(yīng)有信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體、具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)客戶、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受和相關(guān)殘余風(fēng)險(xiǎn)答案：A81.RDP的端口號(hào)為（）A、3389B、23C、22D、443答案：A82.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡（如智能卡）完成身份鑒別答案：D83.某公司開發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不能傳送到對(duì)方，關(guān)于此案例，可以推斷的是（）A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題答案：B解析：題干描述的是完整性。84.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），目的是為保障政府和工業(yè)的（）提供了（）。信息安全保障技術(shù)框架的一個(gè)核心思想是（）。深度防御戰(zhàn)略的三個(gè)核心要素：（）、技術(shù)和運(yùn)行（亦稱為操作）。A、信息基礎(chǔ)設(shè)施；深度防御；技術(shù)指南；人員B、技術(shù)指南；信息基礎(chǔ)設(shè)施；深度防御；人員C、信息基礎(chǔ)設(shè)施；技術(shù)指南；人員；深度防御D、信息基礎(chǔ)設(shè)施；技術(shù)指南；深度防御；人員答案：D解析：P28頁85.SSL產(chǎn)生會(huì)話密鑰的方式是（）。A、從密鑰管理數(shù)據(jù)庫中請(qǐng)求獲得B、每一臺(tái)客戶機(jī)分配一個(gè)密鑰的方式C、隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D、由服務(wù)器產(chǎn)生并分配給客戶機(jī)答案：C86.下列安全控制措施的分類中，哪個(gè)分類是正確的（p-預(yù)防性的，D-檢測(cè)性的以及C-糾正性的控制）1、網(wǎng)絡(luò)防火墻2、RAID級(jí)別33、銀行賬單的監(jiān)督復(fù)審4、分配計(jì)算機(jī)用戶標(biāo)識(shí)5、交易日志A、p,p,C,d,andCB、d,C,c,d,andDC、p，C,d,p,andDD、p,d,p,p,andC答案：C87.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，我國(guó)有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤的是？A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評(píng)估方案和評(píng)估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來實(shí)施D、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行答案：C88.組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采?。ǎ?當(dāng)供應(yīng)商提供的服務(wù)，包括對(duì)（）方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理A、供應(yīng)商；服務(wù)管理；信息安全；合適的措施；信息安全B、服務(wù)管理；供應(yīng)商；信息安全；合適的措施；信息安全C、供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全D、供應(yīng)商；合適的措施；服務(wù)管理；信息安全；信息安全答案：A89.以下哪個(gè)不是數(shù)據(jù)恢復(fù)軟件（）。A、FinalDataB、RecoverMyFilesC、EasyRecoveryD、OfficePasswordRemove答案：D90.有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯(cuò)誤的是A、系統(tǒng)工程研究問題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計(jì)的程序B、系統(tǒng)工程的基本特點(diǎn)，是需要把研究對(duì)象解構(gòu)為多個(gè)組成部分分別獨(dú)立研究C、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作，根據(jù)研究問題涉及到的學(xué)科和專業(yè)范圍，組成一個(gè)知識(shí)結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo)，采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法答案：B91.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是答案：D92.在新的信息系統(tǒng)或增強(qiáng)已有（）的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。信息安全的系統(tǒng)要求與實(shí)施安全的過程宜在信息系統(tǒng)項(xiàng)目的早期階段被集成，在早期如設(shè)計(jì)階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個(gè)正式的（）過程。通過（）訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動(dòng)、合同爭(zhēng)端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估并進(jìn)行適當(dāng)?shù)目刂疲?yàn)證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的（）。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的（）。A、披露和修改；信息系統(tǒng)；測(cè)試和獲??；公共網(wǎng)絡(luò)；復(fù)制或重播B、信息系統(tǒng)；測(cè)試和獲?。慌逗托薷模还簿W(wǎng)絡(luò)；復(fù)制或重播C、信息系統(tǒng)；測(cè)試和獲?。还簿W(wǎng)絡(luò)；披露和修改；復(fù)制或重播D、信息系統(tǒng)；公共網(wǎng)絡(luò)；測(cè)試和獲取；披露和修改；復(fù)制或重播答案：C93.從風(fēng)險(xiǎn)管理的角度，以下哪種方法不可?。緼、接受風(fēng)險(xiǎn)B、分散風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、拖延風(fēng)險(xiǎn)答案：D94.《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》規(guī)定，未建立安全保護(hù)管理制度的，采取安全技術(shù)保護(hù)措施，由公安機(jī)關(guān)（），給予（），還可（）；在規(guī)定的限期內(nèi)未改正的，對(duì)單位的主管負(fù)責(zé)人員和其他直接責(zé)任人員可（）A、責(zé)令限期改正警告沒收違法所得并處罰款B、通報(bào)批評(píng)警告沒收違法所得并處罰款C、通報(bào)批評(píng)拘留沒收違法所得并處罰款D、責(zé)令限期改正警告沒收違法所得并處拘留答案：A95.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）以下說法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個(gè)控制過程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)建立的一個(gè)控制過程答案：B96.SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域：A、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài)、評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)C、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全答案：C97.在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，有關(guān)保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST），錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)答案：C98.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識(shí)別的主要過程使用圖形來表示，如下圖所示，請(qǐng)為圖中空白框處選擇一個(gè)最合適的選項(xiàng)（）A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性答案：B99.系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）定義的包含評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是：A、風(fēng)險(xiǎn)過程B、工程過程C、保證過程D、評(píng)估過程答案：A解析：風(fēng)險(xiǎn)過程包括評(píng)估影響、評(píng)估威脅、評(píng)估脆弱性和評(píng)估安全風(fēng)險(xiǎn)。100.以下哪個(gè)不可以作為ISMS管理評(píng)審的輸入A、ISMS審計(jì)和評(píng)審的結(jié)果B、來自利益伙伴的反饋C、某個(gè)信息安全項(xiàng)目的技術(shù)方案D、預(yù)防和糾正措施的狀態(tài)答案：C101.下列選項(xiàng)中，與面向構(gòu)件提供者的構(gòu)件測(cè)試目標(biāo)無關(guān)的是（）.A、檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量B、檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C、盡可能多地揭示構(gòu)件錯(cuò)誤D、驗(yàn)證構(gòu)件的功能、接口、行為和性能答案：A102.（）通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。A、AccessVPNB、IntranetVPNC、ExtranetVPND、InternetVPN答案：B103.常見密碼系統(tǒng)包含的元素是：A、明文、密文、信道、加密算法、解密算法B、明文、摘要、信道、加密算法、解密算C、明文、密文、密鑰、加密算法、解密算法D、消息、密文、信道、加密算法、解密算法答案：C104.關(guān)于我國(guó)信息安全保障的基本原則，下列說法中不正確的是:A、要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用答案：A105.下列哪種處置方法屬于轉(zhuǎn)移風(fēng)險(xiǎn)？A、部署綜合安全審計(jì)系統(tǒng)B、對(duì)網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控C、制訂完善的制度體系D、聘用第三方專業(yè)公司提供維護(hù)外包服務(wù)答案：D106.對(duì)《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)運(yùn)行安全生產(chǎn)影響的攻擊行為主要是對(duì)以下那個(gè)信息安全屬性造成影響？（）A、保密性B、完整性C、可用性D、不可抵賴性答案：C107.關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是（）。A、能夠使事前準(zhǔn)備、事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性。B、對(duì)信息安全事件進(jìn)行分類和分級(jí)管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)。C、我國(guó)早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。D、信息安全事件的種類很多，嚴(yán)重程度也不盡相同，其響應(yīng)和處理方式也應(yīng)各不相同。答案：C108.某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長(zhǎng)期駐留在受害者的計(jì)算機(jī)中，通過修改注冊(cè)表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無用的是（）A、不下載、不執(zhí)行、不接收來歷不明的軟件和文件B、不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C、使用共享文件夾D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件答案：C109.操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺(tái)計(jì)算機(jī)，開機(jī)后首先對(duì)自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號(hào)策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)??；（4）關(guān)閉審核策略，開啟口令策略，開啟賬號(hào)策略。這些操作中錯(cuò)誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開始審核策略答案：D110.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解,說法正確的是（）。A、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同,災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)B、使用差分備份,數(shù)據(jù)恢復(fù)時(shí)只需最后一次的標(biāo)準(zhǔn)備份與差分備份,如果每天都有大量數(shù)據(jù)變化,差分備份工作非常費(fèi)時(shí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為操作系統(tǒng)備份和數(shù)據(jù)庫備份D、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件答案：B解析：A依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同,災(zāi)難恢復(fù)能力分為6個(gè)等級(jí);C:數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和業(yè)務(wù)數(shù)據(jù)備份;D差分備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件。111.以下windows服務(wù)的說法錯(cuò)誤的是A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeC、windows服務(wù)只有在用戶成功登陸系統(tǒng)后才能運(yùn)行D、windows服務(wù)通常是以管理員的身份運(yùn)行的答案：C112.在一份業(yè)務(wù)持續(xù)計(jì)劃，下列發(fā)現(xiàn)中哪一項(xiàng)是最重要的？A、不可用的交互PBX系統(tǒng)B、骨干網(wǎng)備份的缺失C、用戶PC機(jī)缺乏備份機(jī)制D、門禁系統(tǒng)的失效答案：B113.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是:A、傳輸層.網(wǎng)絡(luò)接口層.互聯(lián)網(wǎng)絡(luò)層B、傳輸層.互聯(lián)網(wǎng)絡(luò)層.網(wǎng)路接口層C、互聯(lián)網(wǎng)絡(luò)層.傳輸層.網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層.網(wǎng)絡(luò)接口層.傳輸層答案：C114.為增強(qiáng)WEB應(yīng)用程序的安全性，某開發(fā)經(jīng)理決定加強(qiáng)WEB軟件安全開發(fā)策略，下面哪些內(nèi)容不需要在他考慮的范圍內(nèi)？A、關(guān)于網(wǎng)站身份鑒別技術(shù)和安全加固的培訓(xùn)B、針對(duì)OPENSSL心臟滴血方面的安全培訓(xùn)C、針對(duì)SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞的安全知識(shí)培訓(xùn)答案：D115.以下關(guān)于直接附加存儲(chǔ)（DirectAttachedStorage，DAS）說法錯(cuò)誤的是A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)．是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)（NetworkAttachedStorage，NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份答案：D116.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施rooS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D117.以下對(duì)Kerberos協(xié)議過程說法正確的是：A、協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù)B、協(xié)助可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)C、協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)答案：D118.安全評(píng)估人員正為某個(gè)醫(yī)療機(jī)構(gòu)的生產(chǎn)和測(cè)試環(huán)境進(jìn)行評(píng)估。在訪談中,注意到生產(chǎn)數(shù)據(jù)被用于測(cè)試環(huán)境測(cè)試,這種情況下存在哪種最有可能的潛在風(fēng)險(xiǎn)?A、測(cè)試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測(cè)試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測(cè)試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測(cè)試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機(jī)密性答案：D119.小東在自己的筆記本上發(fā)現(xiàn)如下記錄:不同操作系統(tǒng)的IP協(xié)議棧實(shí)現(xiàn)之間存在細(xì)微的差別,通過這些差別,可以區(qū)分出目標(biāo)操作系統(tǒng)的類型及版本。但他忘了寫上這種方法的名字,請(qǐng)問這種方法叫（）A、TCP/IP協(xié)議棧指紋識(shí)別法B、正向地址答案說明C、間接交付D、分組交付答案：A120.當(dāng)曾經(jīng)用于存放機(jī)密資料的PC在公開市場(chǎng)出售時(shí)A、對(duì)磁盤進(jìn)行消磁B、n對(duì)磁盤低級(jí)格式化C、刪除數(shù)據(jù)D、對(duì)磁盤重整答案：A121.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure，CII）包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括？A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失答案：C122.在確定威脅的可能性時(shí)，可以不考慮以下哪個(gè)？A、威脅源B、潛在弱點(diǎn)C、現(xiàn)有控制措施D、攻擊所產(chǎn)生的負(fù)面影響答案：D123.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長(zhǎng)度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長(zhǎng)度？A、64bitB、128bitC、192bitD、256bit答案：A解析：AES密鑰長(zhǎng)度由128位、192位、256位三種。124.北京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是：A、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個(gè)能力級(jí)別。當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過程域中的基本實(shí)踐時(shí)，該過程域的過程能力是0級(jí)。B、達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過程，每次執(zhí)行的結(jié)果質(zhì)量必須相同。C、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了3個(gè)風(fēng)險(xiǎn)過程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響。D、SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性。答案：A125.模糊測(cè)試，也稱Fuzz測(cè)試，是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法。下面描述正確的是？A、模糊測(cè)試本質(zhì)上屬于墨盒測(cè)試B、模糊測(cè)試本質(zhì)上屬于白盒測(cè)試C、模糊測(cè)試又是屬于墨盒測(cè)試，又是屬于白盒測(cè)試，取決于其使用的測(cè)試方法D、模糊測(cè)試既不屬于墨盒測(cè)試，也不屬于白盒測(cè)試答案：C126.在人力資源審計(jì)期間,安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么?A、為兩部門起草一份服務(wù)水平協(xié)議B、向高級(jí)管理層報(bào)告存在未被書面簽訂的協(xié)議C、向兩部門確認(rèn)協(xié)議的內(nèi)容D、推遲審計(jì)直到協(xié)議成為書面文檔答案：C127.信息安全管理措施不包括：A、安全策略B、物理和環(huán)境安全C、訪問控制D、安全范圍答案：D128.某公司的在實(shí)施一個(gè)DRP項(xiàng)目,項(xiàng)目按照計(jì)劃完成后。聘請(qǐng)了專家團(tuán)隊(duì)進(jìn)行評(píng)審，評(píng)審過程中發(fā)現(xiàn)了幾個(gè)方而的問題,以下哪個(gè)代表最大的風(fēng)險(xiǎn)A、沒有執(zhí)行DRP測(cè)試B、災(zāi)難恢復(fù)策略沒有使用熱站進(jìn)行恢復(fù)C、進(jìn)行了BIA，但其結(jié)果沒有被使用D、災(zāi)難恢復(fù)經(jīng)理近期離開了公司答案：C129.信息安全管理體系（簡(jiǎn)稱ISMS）的內(nèi)部審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述錯(cuò)誤的是？A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也是?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式采用公開管理評(píng)審會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評(píng)審中，這些文件是被審對(duì)象答案：C130.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是由中華人民共和國(guó)____第147號(hào)發(fā)布的。（）A、國(guó)務(wù)院令B、全國(guó)人民代表大會(huì)令C、公安部令D、國(guó)家安全部令答案：A131.關(guān)于信息保障技術(shù)框架（IATF），下列哪種說法是錯(cuò)誤的？A、IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；B、IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C、IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來保障信息系統(tǒng)的安全；D、IATF強(qiáng)調(diào)的是以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全答案：D132.下列操作中可以禁用Cisco設(shè)備的路由重定向功能的操作是？A、Router（config-if）#noipredirectsB、Router（config-if）#noipmask-replyC、Router（config-if）#noipdirected-broadcastD、Router（config-if）#noipproxy-arp答案：A133.下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？A、資產(chǎn)及其價(jià)值B、數(shù)據(jù)安全C、威脅D、控制措施答案：B134.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估時(shí)間的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)答案：D135.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素答案：B136.下面哪一個(gè)描術(shù)錯(cuò)誤的A、ＴCＰ是面向連接可靠的傳輸控制協(xié)議B、UDP是無連接用戶數(shù)據(jù)報(bào)協(xié)議C、UDP相比TCP的優(yōu)點(diǎn)是速度快D、TCP/IP協(xié)議本身具有安全特性答案：D137.以下哪一種備份方式再恢復(fù)時(shí)間上最快？A、增量備份B、差異備份C、完全備份D、磁盤備份答案：B138.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是（）A、基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低B、應(yīng)急響應(yīng)方法和過程并不是唯一的C、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段D、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)答案：D139.在Windows7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼長(zhǎng)度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間答案：D140.數(shù)據(jù)流圖是用來表示系統(tǒng)的功能的工具,表示系統(tǒng)的邏輯模型,描述了數(shù)據(jù)流在系統(tǒng)中流動(dòng)的情況;它是一種功能模型,是常用的進(jìn)行軟件需求分析的圖形工具,其基本圖形符號(hào)是（）A、輸入、輸出、外部實(shí)體和加工B、變換、加工、數(shù)據(jù)流和存儲(chǔ)C、加工數(shù)據(jù)流、數(shù)據(jù)存儲(chǔ)和外部實(shí)體D、變換、數(shù)據(jù)存儲(chǔ)、加工和數(shù)據(jù)流答案：C141.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等，下面描述中錯(cuò)誤的是（）A、從安全性等級(jí)來看，這三個(gè)模型安全性從低到高的排序是自主訪問控制模型，強(qiáng)制訪問控制模型和基于角色的訪問控制模型B、自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權(quán)利訪問他們的資源，具有較好的易用性和可擴(kuò)展性C、強(qiáng)制訪問控制模型要求主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體，該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)，職責(zé)分離等各種安全策略答案：A解析：三個(gè)模型安全性沒有橫向?qū)Ρ龋M(jìn)行安全性比較是錯(cuò)誤的，只是三種模型應(yīng)用場(chǎng)景不同。142.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則？A、風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力答案：C143.40.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)），對(duì)等級(jí)保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是？A、該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級(jí)保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍D、該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位答案：A144.有關(guān)質(zhì)量管理，錯(cuò)誤的理解是（）A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B、規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D、質(zhì)量管理體系從機(jī)構(gòu)，程序、過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量答案：C145.組織應(yīng)開發(fā)和實(shí)施使用（）來保護(hù)信息的策略，基于風(fēng)險(xiǎn)評(píng)估，宜確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量，當(dāng)實(shí)施組織的（）時(shí)，宜考慮我國(guó)應(yīng)用密碼技術(shù)的規(guī)定和限制，以及（）跨越國(guó)界時(shí)的問題。組織應(yīng)開發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實(shí)際效果選擇加密算法、密鑰長(zhǎng)度和使用習(xí)慣。適合（）要求密鑰在生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷毀過程中的安全宜保護(hù)所有的密鑰免遭修改和丟失。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲(chǔ)和歸檔密鑰的設(shè)備宜進(jìn)行（）A、加密控制措施；加密信息；密碼策略；密鑰管理；物理保護(hù)B、加密控制措施；密碼策略；密鑰管理；加密信息；物理保護(hù)C、加密控制措施；密碼策略；加密信息；密鑰管理；物理保護(hù)D、加密控制措施；物理保護(hù)；密碼策略；加密信息；密鑰管理答案：C146.以下對(duì)“信息安全風(fēng)險(xiǎn)”的描述正確的是A、是來自外部的威脅利用了系統(tǒng)自身存在脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn)B、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn)C、是來自外部的威脅利用了系統(tǒng)自身存在的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn)D、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn)答案：A147.為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過程的說法不正確的是A、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況B、由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)C、滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試答案：D148.2006年5月8日電,中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》。全文分（）部分共計(jì)約15000余字。對(duì)國(guó)內(nèi)外的信息化發(fā)展做了宏觀分析,對(duì)我國(guó)信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標(biāo)標(biāo)準(zhǔn)要闡述,對(duì)我國(guó)（）發(fā)展的重點(diǎn)、行動(dòng)計(jì)劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國(guó)信息化發(fā)展的（）,當(dāng)前我國(guó)信息安全保障工作逐步加強(qiáng)。制定并實(shí)施了（）,初步建立了信息安全管理體制和（）?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高,互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。A、5個(gè);信息化;基本形勢(shì);國(guó)家安全戰(zhàn)略;工作機(jī)制B、6個(gè);信息化;基本形勢(shì);國(guó)家信息安全戰(zhàn)略;工作機(jī)制C、7個(gè);信息化;基本形勢(shì);國(guó)家安全戰(zhàn)略;工作機(jī)制D、8個(gè);信息化;基本形勢(shì);國(guó)家信息安全戰(zhàn)略;工作機(jī)制答案：D149.在windowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志答案：B150.關(guān)于微軟的SDL原則，棄用不正確的函數(shù)屬于哪個(gè)階段A、規(guī)劃B、設(shè)計(jì)C、實(shí)施D、測(cè)試答案：C151.以下可能存在SQL注入攻擊的部分是？A、GET請(qǐng)求參數(shù)B、POST請(qǐng)求參數(shù)C、COOKIE值D、以上均有可能答案：D152.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時(shí)，應(yīng)與哪個(gè)部門取得聯(lián)系？A、監(jiān)管機(jī)構(gòu)B、重要客戶C、供給商D、政府部門答案：D153.《信息安全保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）是由哪個(gè)下面哪個(gè)國(guó)家發(fā)布的（）。A、美國(guó)B、歐盟C、中國(guó)D、俄羅斯答案：A154.災(zāi)難恢復(fù)計(jì)劃或者業(yè)務(wù)連續(xù)性計(jì)劃關(guān)注的是信息資產(chǎn)的____屬性。（）A、可用性B、真實(shí)性C、完整性D、保密性答案：A155.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用。A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上答案：B156.20.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（）A、信息安全管理體系（ISMS）B、NISTSP800C、信息安全等級(jí)保護(hù)D、ISO270000系列答案：C157.Hadop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前，Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)，篡改分布式存儲(chǔ)的數(shù)據(jù)，偽裝成NameNo或者TaskTracker接受任務(wù)等。在Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題，Kerber的認(rèn)證過程不包括（）A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)答案：C158.在對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行驗(yàn)證時(shí)，以下哪項(xiàng)最為重要A、數(shù)據(jù)備份準(zhǔn)時(shí)執(zhí)行B、備份站點(diǎn)已簽訂合約，并且在需要時(shí)可以使用C、人員安全計(jì)劃部署適當(dāng)D、保險(xiǎn)答案：C159.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過程重要考慮的主要因素？A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金觸行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略答案：C160.強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體，具有較高的安全性，適用于專用或?qū)Π踩暂^高的系統(tǒng)。強(qiáng)制訪問控制模型有多種類型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自學(xué)了BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4鐘對(duì)BLP模型的描述中，正確的是（）：A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B解析：BLP模型保證機(jī)密性，向下讀，向上寫；Biba保障完整性，向上讀向下寫。161.64.關(guān)于信息安全管理體系（InformationSecurityManagementSystems，ISMS），下面描述錯(cuò)誤的是A、管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用B、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組