PAGEPAGE1一、單選題1.目前，很多行業(yè)用戶在進行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評，關于信息安全產(chǎn)品測評的意義，下列說法中不正確的是A、有助于建立和實施信息安全產(chǎn)品的市場準入制度B、對用戶采購信息安全產(chǎn)品，設計、建設、使用和管理安全的信息系統(tǒng)提供科學公正的專業(yè)指導C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務的組織提供嚴格的規(guī)范引導和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境答案：D2.以下哪一項不在數(shù)字證書數(shù)據(jù)的組成中?（）A、版本信息B、有效使用期限C、簽名算法D、版權信息答案：D3.以下關于RBAC模型的說法正確的是A、該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權限B、一個用戶必項扮演并激活某種角色,才能對一個對象進行訪問或執(zhí)行某種摸作C、在該模型中,每個用戶只能有一個角色D、在該模型中,權限與用戶關聯(lián),用戶與角色關聯(lián)答案：B4.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性測試的優(yōu)勢A、滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多答案：A5.以下有關信息安全方面的業(yè)務連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務連續(xù)性管理就是要保障企業(yè)關鍵業(yè)務在遭受重大災難/破壞時，能夠及時恢復，保障企業(yè)業(yè)務持續(xù)運營B、企業(yè)在業(yè)務連續(xù)性建設項目一個重要任務就是識別企業(yè)關鍵的、核心業(yè)務C、業(yè)務連續(xù)性計劃文檔要隨著業(yè)務的外部環(huán)境的變化，及時修訂連續(xù)性計劃文檔D、信息安全方面的業(yè)務連續(xù)性管理只與IT部門相關，與其他業(yè)務部門人員無須參入答案：D6.降低企業(yè)所面臨的信息安全風險的手段，以下說法不正確的是？A、通過良好的系統(tǒng)設計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷B、通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；C、建立必要的安全制度和部署必要的技術手段，防范黑客和惡意軟件的攻擊D、通過業(yè)務外包的方式，轉(zhuǎn)嫁所有的安全風險責任答案：D7.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在最好階段分析系統(tǒng)運行過程中可能存在的攻擊,請問以下中,哪一項不能降低該系統(tǒng)的受攻擊面（）A、遠程用戶或頻繁運行身份認證B、遠程用戶訪問需要管理員權限C、關閉不必要的系統(tǒng)服務D、當用戶訪問其賬戶采用嚴格的身份認證規(guī)則答案：B8.某單位在一次信息安全風險管理活動中，風險評估報告提出服務器A的FTP服務存在高風險漏洞。隨后該單位在風險處理時選擇了關閉FTP服務的處理措施。請問該措施屬于哪種風險處理方式？A、風險降低B、風險規(guī)避C、風險轉(zhuǎn)移D、風險接受答案：B9.以下哪一項不是建筑物的自動化訪問審計系統(tǒng)記錄的日志的內(nèi)容：A、出入的原因B、出入的時間C、出入口的位置D、是否成功進入答案：A10.國家頂級域名是（）。A、netB、comC、cnD、以上答案都不對答案：C11.小華在某電子商務公司工作，某天他在查看信息系統(tǒng)設計文檔時，發(fā)現(xiàn)其中標注該信息系統(tǒng)的RPO（恢復點目標）指標為3小時。請問這意味著（）A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應在3小時內(nèi)到位，完成問題定位和應急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應在3小時內(nèi)完整應急處理工作并恢復對外運行C、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災難恢復工作后，系統(tǒng)至少能提供3小時的緊急業(yè)務服務能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災難恢復工作后，系統(tǒng)至多能丟失3小時的業(yè)務數(shù)據(jù)答案：D解析：是指災難發(fā)生后，容災系統(tǒng)能把數(shù)據(jù)恢復到災難發(fā)生前時間的數(shù)據(jù)?？珊唵蔚拿枋鰹樵O施能容忍的最大數(shù)據(jù)丟失量。12.IP欺騙（IPSpoof）是發(fā)生在TCP/IP協(xié)議中______層的問題A、網(wǎng)絡接口層B、互聯(lián)網(wǎng)網(wǎng)絡層C、傳輸層D、應用層答案：B13.下面哪一個機構(gòu)不屬于美國信息安全保障管理部門？A、國土安全部。B、國防部。C、國家基礎設施參謀委員會。D、國家標準技術研究所。答案：C14.當前，應用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應用軟件漏洞成因無關：A、傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B、開發(fā)人員對信息安全知識掌握不足C、相比操作系統(tǒng)而言，應用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D、應用軟件的功能越來越多，軟件越來越復雜，更容易出現(xiàn)漏洞答案：C15.windows文件系統(tǒng)權限管理作用訪問控制列表（AccessControlList.ACL）機制,以下哪個說法是錯誤的:A、安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機制需要NTFS文件格式的支持B、由于windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權限,為了作用上的便利,Windows上的ACL存在默認設置安全性不高的問題C、windows的ACL機制中,文件和文件夾的權限是與主體進行關聯(lián)的,即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性,在實際使用中可以為每一個文件設定獨立的用戶的權限答案：C16.以下關于數(shù)字簽名說法正確的是？A、數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關系的數(shù)字信息B、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C、數(shù)字簽名一般采用對稱加密機制D、數(shù)字簽名能夠解決篡改、偽造等安全性問題答案：D17.以下關于Windows系統(tǒng)的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性答案：D解析：SecurityAccountsManager只有system賬號才能訪問。18.以下哪種為丟棄廢舊磁帶前的最正確處理方式？A、復寫磁帶B、初始化磁帶卷標C、對磁帶進行消磁D、刪除磁帶答案：C19.常見的訪問控制模型包括自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型等，下面描述中錯誤的是（）A、從安全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型，強制訪問控制模型和基于角色的訪問控制模型B、自主訪問控制是一種廣泛應用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權利訪問他們的資源，具有較好的易用性和可擴展性C、強制訪問控制模型要求主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔任的角色來決定用戶在系統(tǒng)中的訪問權限，該模型便于實施授權管理和安全約束，容易實現(xiàn)最小特權，職責分離等各種安全策略答案：A解析：三個模型安全性沒有橫向?qū)Ρ?，進行安全性比較是錯誤的，只是三種模型應用場景不同。20.以下關于“最小特權”安全管理原則理解正確的是：A、組織機構(gòu)內(nèi)的敏感崗位不能由一個人長期負責B、對重要的工作進行分解，分配給不同人員完成C、一個人有且僅有其執(zhí)行崗位所足夠的許可和權限D(zhuǎn)、防止員工由一個崗位變動到另一個崗位，累積越來越多的權限答案：C21.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小。假設單位機房的總價值為400萬元人民幣，暴露系數(shù)（ExposureFactor,EF）是25%，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.2，那么小王計算的年度預期損失（AnnualizedLossExpectancy，ALE）應該是（）。A、100萬元人民幣B、180萬元人民幣C、400萬元人民幣D、20萬元人民幣答案：D解析：年度預期損失=總價值*暴露系數(shù)*年度發(fā)生率即400*25%*0.2=20萬元22.當用戶輸入的數(shù)據(jù)被一個解釋器當作命令或查詢語句的一部分執(zhí)行時,就會產(chǎn)生哪種類型的漏洞?A、緩沖區(qū)溢出B、設計錯誤C、信息泄露D、代碼注入答案：D23.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對人們生產(chǎn)生活造成了嚴重影響，DDos攻擊的主要目的是破壞系統(tǒng)的（）A、保密性B、可用性C、不可否認性D、抗抵賴性答案：B24.小趙是某大學計算機科學與技術專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）A、訪問控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型答案：A25.以下關于軟件安全測試說法正確的選項是？A、軟件安全測試就是黑盒測試。B、測試是經(jīng)常采用的安全測試方法之一。C、軟件安全測試關注的是軟件的功能。D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題。答案：B26.信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發(fā)布，最初目的是為保障美國政府和工業(yè)的信息基礎設施安全提供技術指南，其中，提出需要防護的三類“焦點區(qū)域”是：A、網(wǎng)絡和基礎設施、區(qū)域邊界、重要服務器B、網(wǎng)絡和基礎設施、區(qū)域邊界、計算環(huán)境C、網(wǎng)絡、機房環(huán)境、網(wǎng)絡接口、計算環(huán)境D、網(wǎng)絡、機房環(huán)境、網(wǎng)絡接口、重要服務器答案：B解析：網(wǎng)絡和基礎設施、區(qū)域邊界、計算環(huán)境、支撐性基礎設施。27.以下關于項目的含義，理解錯誤的是A、項目是為達到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結(jié)束日期由項目的領導者根據(jù)項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體（Specific）、可測量（Measurable）、需相關方的一致同意（Agreeto）、現(xiàn)（Realistic）、有一定的時限（Time-oriented）答案：B28.打電話詐騙密碼屬于________攻擊方式。A、木馬B、社會工程學C、電話系統(tǒng)漏洞D、拒絕服務答案：B29.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，下面總結(jié)錯誤的是A、各國普遍將國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施作為信息安全保障的中重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流和對話，均同意建立一致的安全保障系統(tǒng)，強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標準規(guī)范建設，重視應急響應，安全監(jiān)管和安全測評答案：C30.某IT公司針對信息安全事件件已經(jīng)建立了完善的預案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年的應急預案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO,請你指出存在問題的是哪個總結(jié)？A、公司自身擁有優(yōu)秀的技術人員，系統(tǒng)也是自己開發(fā)的。無需進行應急演練工作，因此今年的僅制定了應急演練相關流程及文檔，為了不影響業(yè)務，應急演練工作不舉行B、公司制定的應急演練流程包括應急事件通報、確定應急事件優(yōu)先級、應急響應啟動實施、應急響應時間后期運維、更新現(xiàn)有應急預案五個階段，流程完善可用C、公司應急預案包括了基礎環(huán)境類、業(yè)務系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應急事件類型D、公司應急預案對事件分類依據(jù)GB/Z20986一2007《信息安全技術信安全技術信息安全事件分類分級指南》，分為7個基本類別，預案符合國家相關標準答案：A31.在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中,數(shù)據(jù)W和數(shù)據(jù)X在一個興趣沖突域中,數(shù)據(jù)Y和數(shù)據(jù)Z在另一個信息興趣沖突域中,那么可以確定一個新注冊的用戶:（）。A、只有訪問了W之后,才可以訪問XB、只有訪問了W之后,才可以訪問Y和Z中的一個C、無論是否訪問W,都只能訪問Y和Z中的一個D、無論是否訪問W,都不能訪問Y和Z答案：C32.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力，關于ISMS，下面描述錯誤的是（）。A、在組織中，應由信息技術責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求B、組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應其體，具備可行性C、組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內(nèi)，應包括全體員工，同時，也應傳達到客戶、合作伙伴和供應商等外部各方D、組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘余風險答案：A33.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS答案：D34.ISO/IBC27001《信息技術安全技術信息安全管理體系要求》的內(nèi)容是基于A、BS7799-1《信息安全實施細則》B、B.BS7799-2《信息安全管理體系規(guī)范》C、信息技術安全評估準則（簡稱ITSEC、D、信息技術安全評估通用標準（簡稱CC）答案：B35.____是PKI體系中最基本的元素，PKI系統(tǒng)所有的安全操作都是通過該機制采實現(xiàn)的。（）A、SSLB、IARA）C、RA）D、數(shù)字證書答案：D36.2016年9月，一位安全研究人員GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安那州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、政黨代碼、電話號碼以及最后一次投票及投票歷史等詳細信息。安全研究員建議當?shù)孛癖娂皶r修改與個人信息相關的用戶名和密碼，以防止攻擊者利用以上信息進行（）攻擊。A、默認口令B、字典C、暴力D、XSS答案：B37.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS答案：D38.以下哪種風險被定義為合理的風險？A、最小的風險B、可接收風險C、殘余風險D、總風險答案：B39.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務?A、加密B、數(shù)字簽名C、訪問控制D、路由控制。答案：B40.目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關于信息安全產(chǎn)品測評的意義,下列說法中不正確的是A、有助于建立和實施信息安全產(chǎn)品的市場準入制度B、對用戶采購信息安全產(chǎn)品,設計、建設、使用和管理安全的信息系統(tǒng)提供科學公正的專業(yè)指導C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務的組織提供嚴格的規(guī)范引導和質(zhì)量監(jiān)督D、打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境答案：D41.以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述A、應基于法律法規(guī)和用戶需求，進行需求分析和風險評估，從信息系統(tǒng)建設的開始就綜合信息系統(tǒng)安全保障的考慮B、應充分調(diào)研信息安全技術發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術產(chǎn)品C、應在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實落實D、應詳細規(guī)定系統(tǒng)驗收測試中有關系統(tǒng)安全性測試的內(nèi)容答案：A42.Hadoop是目前廣泛應用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前，Hadoop并不存在安全認證一說。默認集群內(nèi)所有的節(jié)點都是可靠的，值得信賴的。用戶與服務器進行交互時并不需要進行驗證。導致存在惡意用戶偽裝成真正的用戶或者服務器入侵到Hadoop集群上，惡意的提交作業(yè)，纂改分布式存儲的數(shù)據(jù)，偽裝成NameNode或者TaskTracker接受任務等。在Hadoop2.0中引入了Kerberos機制來解決用戶到服務器的認證問題，Kerberos的認證過程不包括（）A、獲得票據(jù)許可票據(jù)B、獲得服務許可票據(jù)C、獲得密鑰分配中心的管理權限D(zhuǎn)、獲得服務答案：C43.某單位計劃在今年開發(fā)一套辦公自動化（OA、系統(tǒng)，將集團公司各地的機構(gòu)通過互聯(lián)網(wǎng)進行協(xié)同辦公，在OA系統(tǒng)的設計方案評審會上，提出了不少安全開發(fā)的建議，作為安全專家，請指出大家提的建議中不太合適的一條?A、對軟件開發(fā)商提出安全相關要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞D、要求軟件開發(fā)商對軟件進行模塊化設計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對輸入數(shù)據(jù)進行校驗答案：C44.為了預防計算機病毒，應采取的正確措施是（）。A、每天都對計算機硬盤和軟件進行格式化B、不用盜版軟件和來歷不明的軟盤C、不同任何人交流D、不玩任何計算機游戲答案：B45.信息安全需求獲取的主要手段A、信息安全風險評估B、領導的指示C、信息安全技術D、信息安全產(chǎn)品答案：A46.信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行，下面哪項包括非典型的安全協(xié)調(diào)應包括的人員？A、管理人員、用戶、應用設計人員B、系統(tǒng)運維人員、內(nèi)部審計人員、安全專員C、內(nèi)部審計人員、安全專員、領域?qū)＜褼、應用設計人員、內(nèi)部審計人員、離職人員答案：D47.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應當購買并部署下面哪個設備（），可以提高對此類威脅的防護能力。A、安全路由器B、網(wǎng)絡審計系統(tǒng)C、網(wǎng)頁防篡改系統(tǒng)D、虛擬專用網(wǎng)系統(tǒng)答案：C48.以下關于代替密碼的說法正確的是:A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個bit異或D、明文根據(jù)密鑰作移位答案：A49.linux系統(tǒng)中如何禁止按Control-Alt-Delete關閉計算機（）A、把系統(tǒng)中“/sys/inittab”文件中的對應一行注釋掉B、把系統(tǒng)中“/sysconf/inittab”文件中的對應一行注釋掉C、把系統(tǒng)中“/sysnet/inittab”文件中的對應一行注釋掉D、把系統(tǒng)中“/sysconf/init”文件中的對應一行注釋掉答案：B50.84.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基礎，某單位在實施風險評估時，形成了《待評估信息系統(tǒng)相關設備及資產(chǎn)清單》。在風險評估實施的各個階段中，該《待評估信息系統(tǒng)相關設備及資產(chǎn)清單》應是如下（）中的輸出結(jié)果。A、風險評估準備B、風險要素識別C、風險分析D、風險結(jié)果判定答案：B51.風險評估相關政策，目前主要有（）。（國信辦[2006]5號）。主要內(nèi)容包括分析信息系統(tǒng)資產(chǎn)的（），評估信息系統(tǒng)面臨的（）、存在的（）、已有的安全措施和殘余風險的影響等、兩類信息系統(tǒng)的（）、涉密信息系統(tǒng)參照“分級保護”、非涉密信息系統(tǒng)參照“等級保護”。A、《關于開展信息安全風險評估工作的意見》；重要程度；安全威脅；脆弱性；工作開展B、《關于開展風險評估工作的意見》；安全威脅；重要程度；脆弱性；工作開展C、《關于開展風險評估工作的意見》；重要程度；安全威脅；脆弱性；工作開展D、《關于開展信息安全風險評估工作的意見》；脆弱性；重要程度；安全威脅；工作開展答案：A52.關于信息安全管理，說法錯誤的是：A、信息安全管理是管理者為實現(xiàn)信息安全目標（信息資產(chǎn)的CIA等特性以及業(yè)務運作的持續(xù)）而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方針策略標準規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術性的努力。C、實現(xiàn)信息安全，技術和產(chǎn)品是基礎，管理是關鍵。D、信息安全管理是人員、技術、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程。答案：D53.如果你作為甲方負責監(jiān)管一個信息安全工程項目的實施，當乙方提出一項工程變更時你最應當關注的是：A、變更的流程是否符合預先的規(guī)定B、變更是否會對項目進度造成拖延C、變更的原因和造成的影響D、變更后是否進行了準確地記錄答案：C54.電子公告服務提供者應當記錄在電子公告服務系統(tǒng)中發(fā)布的信息內(nèi)容及其發(fā)布時間、互聯(lián)網(wǎng)地址或者域名。記錄備份應當保存（）日。A、90B、60C、30D、10答案：B55.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是A、軟件安全開發(fā)生命周期較長、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應當盡早在軟件開發(fā)的需求和設計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要在組織第三方進行安全性測試答案：B56.9）具有行政法律責任強制力的安全管理規(guī)定和安全制度包括:（1）.安全事件（包括安全事故）報告制度（2）.安全等級保護制度（3）.信息系統(tǒng)安全監(jiān)控（4）.安全專用產(chǎn)品銷售許可證制度？A、1,2,3B、2,3C、2,3,4D、1,2,3答案：C57.某項目的主要內(nèi)容為建造A類機房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機房設計規(guī)范》（GB50174-2008）的相關要求，對承建單位的施工設計方案進行審核，以下關于監(jiān)理單位給出的審核意見錯誤的是？A、在異地建立備份機房，設計時應與主要機房等級相同B、由于高端小型機發(fā)熱量大，因此采用活動地板下送風，上回風的方式C、因機房屬于A級主機房，因此設計方案中應考慮配備柴油發(fā)電機，當市電發(fā)生故障時，所配備的柴油發(fā)電機應能承擔全部負荷的需要D、A級主機房應設置自動噴水滅火系統(tǒng)答案：D58.有關系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：A、GP是涉及過程的管理、測量和制度化方面的活動B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動C、在工程實施時，GP應該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力答案：B解析：GP適用于域維中所有PA活動。59.以下哪一項是用于CC的評估級別？A、EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7B、A1，B1，B2，B3，C2，C1，DC、E0，E1，E2，E3，E4，E5，E6D、AD0，AD1，AD2，AD3，AD4，AD5，AD6答案：A60.在某信息系統(tǒng)的設計中，用戶登錄過程是這樣的：（1）用戶通過HTTP協(xié)議訪問信息系統(tǒng)；（2）用戶在登錄頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成?？梢钥闯?，這個鑒別過程屬于（）。A、雙向鑒別B、三向鑒別C、第三方鑒別D、單向鑒別答案：D解析：參考登陸網(wǎng)頁系統(tǒng)，屬于單向鑒別。61.個人問責不包括以下哪一項？A、訪問規(guī)則。B、策略與程序。C、審計跟蹤。D、唯一身份標識符。答案：B62.較低的恢復時間目標（恢復時間目標）的會有如下結(jié)果：A、更高的容災B、成本較高C、更長的中斷時間D、更多許可的數(shù)據(jù)丟失答案：B63.關于對信息安全事件進行分類分級管理的原因描述不正確的是（）A、信息安全事件的種類很多，嚴重程度各不相同，其影響和處理方式也各不相同B、對信息安全事件進行分類和分級管理，是有效防范和影響信息安全事件的基礎C、能夠使事前準備，事中應對和事后處理的各項相關工作更其針對性和有效性D、我國早期的計算機安全事件的應急響應工作主要包括計算機的病毒防范和“千年蟲”問題的解決，關于網(wǎng)絡安全應急響應的起步最早答案：D64.下面關于訪問控制模型的說法不正確的是：A、DAC模型中主體對它所屬的對象和運行的程序有全部的控制權B、DAC實現(xiàn)提供了一個基于“need-to-know”的訪問授權的方法，默認拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個主體能訪問哪個對象。但用戶可以改變它。D、RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設置對象為某個類型，主體具有相應的角色就可以訪問它。答案：C65.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程XP_cmdshe11刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應該指出該網(wǎng)站涉及違反了以下哪些原則：A、權限分離原則B、最小特權原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B66.某電子商務網(wǎng)站在開發(fā)設計時，使用了威脅建模方法來分折電子商務網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?A、網(wǎng)站競爭對手可能雇傭攻擊者實施rooS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D67.一個組織的災難恢復（DR，disasterrecovery）策略的變更時將公司的關鍵任務應用的恢復點目標（RPO）被縮短了，下述哪個是該變更的最顯著風險？A、現(xiàn)有的DR計劃沒有更新以符合新的RPOB、小組沒有基于新的RPO進行培訓C、備份沒有以足夠的頻率進行以實現(xiàn)新的RPOD、該計劃沒有基于新的RPO進行測試答案：C68.91.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設計訪問控制方法，他們在討論中就應該采用自主訪問控制還是強制訪問控制產(chǎn)生了分歧。小本認為應該采用自主訪問控制的方法，他的觀點主要有；（1）自主訪問控制方式，可為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；（2）自主訪問控制可以抵御木馬程序的攻擊。小劉認為應該采用強制訪問控制的方法，他的觀點主要有；（3）強制訪問控制中，只有文件的擁有者可以修改文件的安全屬性，因此安全性較高；（4）強制訪問控制能夠保護敏感信息。以上四個觀點中，只有一個觀點是正確的，它是（）.A、觀點（1）B、B.觀點（2）C、C.觀點（3）D、D.觀點（4）答案：D69.隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式A、利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B、利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URLC、利用即時通訊軟件發(fā)送指向惡意地址的二維碼D、利用即時通訊發(fā)送攜帶惡意代碼的JPG圖片答案：C70.一項功能可以不由認證中心CA完成？A、撤銷和中止用戶的證書B、產(chǎn)生并分布CA的公鑰C、在請求實體和它的公鑰間建立鏈接D、發(fā)放并分發(fā)用戶的證書答案：C71.一個組織的災難恢復（DR，disasterrecovery）策略的變更時將公司的關鍵任務應用的恢復點目標（RPO）被縮短了，下述哪個是該變更的最顯著風險？A、現(xiàn)有的DR計劃沒有更新以符合新的RPOB、DR小組沒有基于新的RPO進行培訓C、備份沒有以足夠的頻率進行以實現(xiàn)新的RPOD、該計劃沒有基于新的RPO進行測試答案：C72.某網(wǎng)站管理員小鄧在流量監(jiān)測發(fā)現(xiàn)近期網(wǎng)站的入站TCMP流量上升了解到50%，盡管網(wǎng)站沒有發(fā)現(xiàn)任體的性能下降或其他問題，但為了安全起見，他仍向主管領導提出應對措施，作為主管負責人，請選擇有效的針對對此問題應對措施：A、在防火墻上設置策略，阻止所有的ICMP流量進入（關掉ping）B、刪除服務器上的ping.exe程序C、增加帶寬以應對可能的拒絕服務攻擊D、增加網(wǎng)站服務以應該即將來臨的拒絕服務攻擊答案：A73.下列崗位哪個在招聘前最需要進行背景調(diào)查？A、采購人員B、銷售人員C、財務總監(jiān)D、行政人員答案：C74.以下哪些不是《國家網(wǎng)絡安全空間戰(zhàn)略》中產(chǎn)生的我國網(wǎng)絡空間當前任務？A、捍衛(wèi)網(wǎng)絡空間主權B、保護關鍵信息基礎設施C、提升網(wǎng)絡空間防護能力D、阻斷與國外網(wǎng)絡連接答案：D75.當審核一個組織的業(yè)務連續(xù)性計劃時，某IS審計師觀察到這個被審計組織的數(shù)據(jù)和軟件文件被周期性的進行了備份。有效性計劃哪一個特性在這里被證明？A、防止B、減輕C、恢復D、響應答案：B76.信息安全管理最關注的是？A、外部惡意攻擊B、病毒對PC的影響C、內(nèi)部惡意攻擊D、病毒對網(wǎng)絡的影響答案：C77.關于信息安全策略文件以下說法不正確的選項是哪個？A、信息安全策略文件應由管理者批準、發(fā)布。B、信息安全策略文件并傳達給所有職工和外部相關方。C、信息安全策略文件必須打印成紙質(zhì)文件進行分發(fā)。D、信息安全策略文件應說明管理承諾，并提出組織的管理信息安全的方法。答案：C78.信息安全風險評估是信息安全管理體系建立的基礎，以下說法中錯誤的是？A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是安全風險評估；B、風險評估可以對信息資產(chǎn)進行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估；C、風險評估可以確定需要實施的具體安全控制措施；D、風險評估的結(jié)果應進行相應的風險處置，本質(zhì)上，風險處置的最佳集合就是信息安全管理體系的控制措施集合。答案：C79.以下關于威脅建模流程步驟說法不正確的是（）。A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險C、消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，也可能不是惡意的，威脅就是漏洞答案：D解析：識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，威脅是一種不希望發(fā)生、對資產(chǎn)目標有害的事件。從本質(zhì)上看，威脅是潛在事件，它可能是惡意的，也可能不是惡意的。因此，威脅并不等于漏洞。P404頁。80.下列哪一個是國家推薦標準A、GB/T18020-1999B、SJ/T30003-93C、ISO/IEC15408D、GA243-2000答案：A81.下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的?A、完整性控制的需求是基于風險分析的結(jié)果B、控制已經(jīng)過了測試C、安全控制規(guī)范是基于風險分析的結(jié)果D、控制是在可重復的基礎上被測試的答案：D82.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對一個組織的安全工程能力成熟度進行測量時，正確的理解是：A、測量單位是基本實施（BasePractices，BP）B、測量單位是通用實施（GenericPractices，GP）C、測量單位是過程區(qū)域（ProcessAreas，PA）D、測量單位是公共特征（CommonFeatures，CF）答案：A83.某電子商務網(wǎng)站最近發(fā)生了一起安全事件,出現(xiàn)了一個價值1000元的商品用1元被買走的情況,經(jīng)分析是由于設計時出于性能考慮,在瀏覽時使用Http協(xié)議,攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改.利用此漏洞,攻擊者將價值1000元的商品以1元添加到購物車中,而付款時又沒有驗證的環(huán)節(jié),導致以上問題,對于網(wǎng)站的這個問題原因分析及解決措施。最正確的說法應該是?A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導致的,為了避免再發(fā)生類似的闖題,應對全網(wǎng)站進行安全改造,所有的訪問都強制要求使用httpsB、該問題產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等相關工作或工作不到位,沒有找到該威脅并采取相應的消減措施C、該問題的產(chǎn)生是由于編碼缺陷,通過對網(wǎng)站進行修改,在進行訂單付款時進行商品價格驗證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題,應報警要求尋求警察介入,嚴懲攻擊者即可答案：A84.當客戶需要訪問組織信息資產(chǎn)時，下面正確的做法是？A、應向其傳達信息安全要求及應注意的信息安全問題。B、盡量配合客戶訪問信息資產(chǎn)。C、不允許客戶訪問組織信息資產(chǎn)。D、不加干涉，由客戶自己訪問信息資產(chǎn)。答案：A85.以下關于直接附加存儲（DirectAttachedStorage,DAS）說法錯誤的是:A、DAS能夠在服務器物理位置比較分散的情況下實現(xiàn)大容量存儲.是一種常用的數(shù)據(jù)存儲方法B、DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離,存取性能較高并且實施簡單C、DAS的缺點在于對服務器依賴性強,當服務器發(fā)生故障時,連接在服務器上的存儲設備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡附加存儲（NetworkAttachedStorage,NAS）,DAS節(jié)省硬盤空間,數(shù)據(jù)非常集中,便于對數(shù)據(jù)進行管理和備份答案：D86.在未受保護的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？A、弱點B、威脅C、可能性D、影響答案：A87.依據(jù)信息系統(tǒng)安全保障模型,以下那個不是安全保證對象A、機密性B、管理C、過程D、人員答案：A88.下面國家秘密定級和范圍的描述中,哪項不符合《保守國家秘密法》要求？A、國家秘密機密級的具體范圍,由國家保密工作部門分別會同外交、公安、國家安全和其他有關機關規(guī)定B、各級國家機關、單位對所產(chǎn)生的國家秘密事項，應當按照國家秘密及其密級具體范圍的規(guī)定確定密級C、對是否屬于國家秘密和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后上報國家保密工作部門確定D、對是否屬于國家秘密和屬于何種密級不明確的事項,由國家保密工作部門,省、自治區(qū)答案：C89.監(jiān)視惡意代碼主體程序是否正常的技術是?A、進程守護B、備份文件C、超級權限D(zhuǎn)、HOOK技術答案：A90.下面對“零日（Zero-day）漏洞”的理解中，正確的是？A、指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎設施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目的D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未被公開、還不存在安全補丁的漏洞都是零日漏洞答案：D91.關于標準，下面哪項理解是錯誤的（）。A、標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認機構(gòu)批準，共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B、國際標準是由國家標準組織通過并公開發(fā)布的標準。同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突時，應以國際標準條款為準C、行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術要求而制定的標準。同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準D、行業(yè)標準由省、自治區(qū)、直轄市標準化行政主管部門制定，并報國務院標準化行政主管部門和國務院有關行政主管部門備案，在公布國家標準之后，該地方標準即應廢止答案：B92.以下關于項目的含義，理解錯誤的是：A、項目是為達到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結(jié)束日期由項目的領導者根據(jù)項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體（Specific）、可測量（Measurable）、需相關方的一致同意（Agreeto）、現(xiàn)實（Realistic）、有一定的時限（Time-oriented）答案：B93.功能測試不能實現(xiàn)以下哪個功能（）A、漏洞B、補丁C、口令策略D、全網(wǎng)訪問控制策略答案：D94.數(shù)據(jù)在進行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進行封裝,TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B、傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層C、互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層答案：B95.下面哪項是信息安全管理體系中CHECK〔檢查〕中的工作內(nèi)容？A、按照計劃的時間間隔進行風險評估的評審B、實施所選擇的控制措施C、采取合適的糾正和預防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓D、確保改良到達了預期目標答案：A96.關于計算機取證描述不正確的是？A、計算機取證是使用先進的技術和工具，按照標準規(guī)程全部地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的相關證據(jù)的活動。B、取證的目的包括，通過證據(jù)查找肇事者，通過證據(jù)推斷犯罪過程，通過證據(jù)判斷受害者損失程度及收據(jù)證據(jù)提供法律支持C、電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲電子化資料及物品。對于電子證據(jù)，取證工作主要圍繞兩個方面進行，證據(jù)的獲取和證據(jù)的保護D、計算機取證的過程可以分為準備、保護、提取、分析和提交5個步驟答案：D97.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統(tǒng)的技術架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運行維護的安全管理問題答案：C98.數(shù)據(jù)在進行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進行封裝.TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是（）.A、傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B、傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層C、互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層答案：B解析：自上而下順序為傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層.99.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生，防范這種攻擊比較有效的方法是?A、加強網(wǎng)站源代碼的安全性B、對網(wǎng)絡客戶端進行安全評估C、協(xié)調(diào)運營商對域名解析服務器進行加固D、在網(wǎng)站的網(wǎng)絡出口部署應用級防火墻答案：C100.某政府機構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議,該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改,安全專家提出使用Http下載代替FTP功能以解決以上問題,該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的（）A、程序員在進行安全需求分析時,沒有分析出OA系統(tǒng)開發(fā)的安全需求B、程序員在軟件設計時,沒遵循降低攻擊面的原則,設計了不安全的功能C、程序員在軟件編碼時,缺乏足夠的經(jīng)驗,編寫了不安全的代碼D、程序員在進行軟件測試時,沒有針對軟件安全需求進行安全測試答案：B101.數(shù)字簽名技術，在接收端，采用（）進行簽名驗證。A、發(fā)送者的公鑰B、發(fā)送者的私鑰C、接收者的公鑰D、接收者的私鑰答案：A102.攻擊是指借助于客戶機/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。（）A、緩沖區(qū)溢出攻擊B、拒絕服務C、分布式拒絕服務D、口令攻擊答案：C103.信息保障技術框架（IATF）是美國國家安全局（NSA）制定的，為保護美國政府和工業(yè)界的信息與信息技術設施提供技術指南，關于IATF的說法錯誤的是？A、IATF的代表理論為“深度防御”。B、IATF強調(diào)人、技術、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進行防護。C、IATF關注本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡和基礎設施三個信息安全保障領域。D、IATF論述了系統(tǒng)工程、系統(tǒng)采購、風險管理、認證和鑒定以及生命周期支持等過程。答案：C104.以下關于互聯(lián)網(wǎng)協(xié)議安全:InternetProtocolSecurity，IPSec協(xié)議說法錯誤的是A、在傳送模式中，保護的是IP負載B、驗證頭協(xié)議:AuthenticationHeader，AH和IP封裝安全載荷協(xié)議:EncapsulatingSecurityPayload，ESP都能以傳輸模式和隧道模式工作C、在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭D、IPSec僅能保證傳輸數(shù)據(jù)的可認證性和保密性答案：D解析：IPSEC可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務105.為了能夠合理.有序地處理安全事件，應事件制定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應急響應分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）A、培訓階段B、文檔階段C、報告階段D、檢測階段答案：A106.微軟提出了stride模型，其中R是（Repudiation抵賴）的縮寫，關于此項安全要素，下面說法錯誤的是？A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅為R威脅B、某用戶在網(wǎng)絡通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?，軟件系統(tǒng)中的這種威脅為R威脅C、對于R威脅，可以選擇使用如強認證、數(shù)字簽名、安全審計等技術措施來解決D、對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術措施來解決答案：D107.《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定，互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的法人和其他組織（包括跨省、自治區(qū)、直轄市聯(lián)網(wǎng)的單位和所屬的分支機構(gòu)），應當自網(wǎng)絡正式聯(lián)通之日起____日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機關指定的受理機關辦理備案手續(xù)。（）A、7B、10C、15D、30答案：D108.密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰？A、、散列算法B、、隨機數(shù)生成算法C、、對稱密鑰算法D、、非對稱密鑰算法答案：C109.根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的安全保護等級由哪兩個定級要素決定：A、威脅、脆弱性B、系統(tǒng)價值、風險C、信息安全、系統(tǒng)服務安全D、受侵害的客體、對客體造成侵害的程度業(yè)務答案：D110.下述關于安全掃描和安全掃描系統(tǒng)的描述錯誤的是____。（）A、安全掃描在企業(yè)部署安全策略中處于非常重要地位B、安全掃描系統(tǒng)可用于管理和維護信息安全設備的安全C、安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補性D、安全掃描系統(tǒng)是把雙刃劍答案：B111.FTP（文件傳輸協(xié)議，F(xiàn)ileTransferProtocol，簡稱FFP）服務、SMTP（簡單郵件傳輸協(xié)議，SimpleMailTransferProtocol，簡稱SMTP）服務、HTTP（超文本傳輸協(xié)議，HyperTextTransportProtocol，簡稱HTTP）、HTTPS（加密并通過安全端口傳輸?shù)牧硪环NHTTP）服務分別對應的端口是____。A、A（25-21-80-554）B、B（21-25-80-443）C、C（21-110-80-554）D、D（21-25-443-554）答案：B112.以下針對Land攻擊的描述,哪個是正確的?A、Land是一種針對網(wǎng)絡進行攻擊的方式,通過IP欺騙的方式向目標主機發(fā)送欺騙性數(shù)據(jù)報文,導致目標主機無法訪問網(wǎng)絡B、Land是一種針對網(wǎng)絡進行攻擊的方式,通過向主機發(fā)送偽造的源地址為目標主機自身的連接請求,導致目標主機處理錯誤形成拒絕服務C、Land攻擊是一種利用協(xié)議漏洞進行攻擊的方式,通過發(fā)送定制的錯誤的數(shù)據(jù)包使主機系統(tǒng)處理錯誤而崩潰D、Land是一種利用系統(tǒng)漏洞進行攻擊的方式,通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導致系統(tǒng)崩潰答案：B113.當組織將客戶信用審查系統(tǒng)外包給第三方服務提供商時，下列哪一項是信息安全專業(yè)人士最重要的考慮因素？該提供商：A、滿足并超過行業(yè)安全標準B、同意可以接受外部安全審查C、其服務和經(jīng)驗有很好的市場聲譽D、符合組織的安全策略答案：D114.在軟件開發(fā)過程中,高質(zhì)量軟件產(chǎn)生的過程與每一個環(huán)節(jié)都息息相關。那么在軟件可維護性中哪兩項是相互矛盾的A、可修改性和可理解性B、可測試性和可理解性C、效率和可修改性D、可理解性和可讀性答案：C115.隨著（）的增加，信息系統(tǒng)的安全風險降低A、威脅B、脆弱性C、資產(chǎn)的重要度D、控制措施答案：D116.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制，例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務部門的管理人員能夠?qū)φn程信息、學生的選課信息等內(nèi)容進行修改，下列選項中，對訪問控制的作用的理解錯誤的是？A、對經(jīng)過身份鑒別后的合法用戶提供所有服務B、拒絕非法用戶的非授權訪問請求C、在用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權進行管理D、防止對信息的非授權篡改和濫用答案：A117.windows文件系統(tǒng)權限管理使用訪問控制列表（AccessControlList.ACL）機制,以下哪個說法是錯誤的:A、安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權限,為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C、Windows的ACL機制中,文件和文件夾的權限是主體進行關聯(lián)的,即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性,在實際使用中可以為每一個文件設定獨立用戶的權限答案：C118.如果只能使用口令遠程認證，以下哪種方案安全性最好？A、高質(zhì)量靜態(tài)口令，散列保護傳輸B、高質(zhì)量靜態(tài)口令，固定密鑰加密保護傳輸C、動態(tài)隨機口令，明文傳輸D、高質(zhì)量靜態(tài)口令，增加隨機值，明文傳輸答案：C119.小陳學習了有關信息安全管理體系的內(nèi)容后,認為組織建立信息安全管理體系并持續(xù)運行,比起簡單地實施信息安全管理,有更大的作用,他總結(jié)了四個方面的作用,其中總結(jié)錯誤的是（）A、可以建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有章可循,有據(jù)可查B、可以強化員工的信息安全意識,建立良好的安全作業(yè)習慣,培育組織的信息安全企業(yè)文化C、可以增強客戶、業(yè)務伙伴、投資人對該組織保障其業(yè)務平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理,提高安全防護效果,使組織通過國際標準化組織的ISO9001認證答案：D120.某信息安全公司的團隊對某款名為“紅包快搶”的外掛進行分析,發(fā)現(xiàn)此外掛是一個典型的木馬后門,使黑客能夠獲得受害者電腦的訪問權.該后門程序為了達到長期駐留在受害者的計算機中,通過修改注冊表啟動項來達到后門程序隨受害者計算機系統(tǒng)啟動而啟動.為防范此類木馬后門的攻擊,以下做法無用的是:.A、不隨意打開來歷不明的郵件,不瀏覽不健康不正規(guī)的網(wǎng)站B、不下載、不執(zhí)行、不接收來歷不明的軟件或文件C、修改用戶名和口令D、安裝反病毒軟件和防火墻,安裝專門的木馬防治軟件答案：C解析：修改用戶名和口令不能防范此類攻擊.121.業(yè)務系統(tǒng)運行中異常錯誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應該讓更多的錯誤更詳細的顯示出來C、捕獲錯誤，并拋出前臺顯示D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息答案：D122.用戶身份鑒別是通過____完成的。（）A、口令驗證B、審計策略C、存取控制D、查詢功能答案：A123.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是？A、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B124.有關系統(tǒng)工程的特點，以下錯誤的是A、系統(tǒng)工程研究問題一般采用先決定整體框架，后進入詳細設計的程序B、系統(tǒng)工程的基本特點，是需要把研究對象解構(gòu)為多個組成部分分別獨立研究C、系統(tǒng)工程研究強調(diào)多學科協(xié)作，根據(jù)研究問題涉及到的學科和專業(yè)范圍，組成一個知識結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導，采取的理論和方法是綜合集成各學科、各領域的理論和方法答案：B125.下列對跨站腳本攻擊（XSS）的描述正確的是：A、XSS攻擊指的是惡意攻擊在WEB頁面里插入惡意代碼，當用戶瀏覽該頁面時嵌入其中WEB頁面的代碼會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的B、XSS攻擊是DOOS攻擊的一種變種C、XSS攻擊就是CC攻擊D、XSS攻擊就是利用被控制的機器不斷地向被攻擊網(wǎng)站發(fā)送訪問請求，迫使HS連接X超出限制，當CPU耗盡，那么網(wǎng)站也就被攻擊垮了，從而達到攻擊的目的。答案：A126.分片攻擊問題發(fā)生在？A、數(shù)據(jù)包被發(fā)送時B、數(shù)據(jù)包在傳輸過程中C、數(shù)據(jù)包被接收時D、數(shù)據(jù)包中的數(shù)據(jù)進行重組時答案：D127.數(shù)位物件識別號（Digital0bjectIdentifier,簡稱DOI）是一套識別數(shù)位資源的機制，涵括的對象有視頻、報告或書籍等等。它既有一套為資源命名的機制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個典型的DOI識別號，10.1006/jmbi.1998.2354，下列選項錯誤的是（）A、“10.1006”是前級，由國際數(shù)位物件識別號基金會確定B、“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術的系統(tǒng)區(qū)分開C、“1006是注冊代理機構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機構(gòu)D、后綴部分為:jmbi.1998.2354，由資源發(fā)行者自行指定，用于區(qū)分一個單獨的數(shù)字資料，不具有唯一性答案：D128.以下SQL語句建立的數(shù)據(jù)庫對象是:CREATEVICEPatientsForDoctorsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123A、表B、視圖C、存儲過程D、觸發(fā)器答案：B129.安全漏洞產(chǎn)生的原因不包括以下哪一點A、軟件系統(tǒng)市場出現(xiàn)信息不對稱現(xiàn)象B、軟件系統(tǒng)代碼的復雜性C、攻擊者的惡意利用D、復雜異構(gòu)的網(wǎng)絡環(huán)境答案：C130.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是二項重要的管理活動。關于這二者，下面描述錯誤的是（）A、內(nèi)部審核和管理審評都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理審評會議的形式進行C、內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策制定的第三方技術服務機構(gòu)D、組織的信息安全方針、信息安全目標和有關的ISMS文件等，在內(nèi)部審計中作為審核準使用，但在管理評審中，這些文件是被審對象答案：C131.ISO27002中描述的11個信息安全管理控制領域不包括：A、信息安全組織B、資產(chǎn)管理C、內(nèi)容安全D、人力資源安全答案：C132.在TCP中的六個控制位哪一個是用來請求結(jié)束會話的A、SYNB、ACKC、FIND、RST答案：C133.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能,與傳統(tǒng)的基于口令的鑒別技術相比,關于此種鑒別技術說法不正確的是:A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人獨有的,指紋識別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成答案：C134.在軟件項目開發(fā)過程中，評估軟件項目風險時，（）與風險無關。A、高級管理人員是否正式承諾支持該項目B、開發(fā)人員和用戶是否充分理解系統(tǒng)的需求C、最終用戶是否同意部署已開發(fā)的系統(tǒng)D、升發(fā)需變的資金是否能按時到位答案：C135.在提高阿帕奇系統(tǒng)（ApacheServer）系統(tǒng)安全性時,下面哪項措施不屬于安全配置內(nèi)容（）?A、不在Windows下安裝Apache,只在Linux和Unix下安裝B、安裝Apache時,只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運行Apache,而是采用權限受限的專用用戶賬號來運行D、積極了解Apache的安全通告,并及時下載和更新答案：A136.在軟件保障成熟度模型:SoftwareAssuranceMaturityMode，SAMM中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能A、治理，主要是管理軟件開發(fā)的過程和活動B、構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C、驗證，主要是測試和驗證軟件的過程與活動D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動答案：D解析：SAMM模型四個部分是治理、構(gòu)造、驗證和部署137.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關于ISMS，下面描述錯誤的是（）。A、在組織中，應由信息技術責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求B、組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體，具備可行性C、組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘余風險D、組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內(nèi)，應包括全體員工，同時，也應傳達到客戶、合作伙伴和供應商等外部各方答案：A138.對口令進行安全性管理和使用，最終是為了____。（）A、口令不被攻擊者非法獲得B、防止攻擊者非法獲得訪問和操作權限C、保證用戶帳戶的安全性D、規(guī)范用戶操作行為答案：B139.在某次信息安全應急響應過程中,小王正在實施如下措施:消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質(zhì)等。請問,按照PDCERF應急響應方法,這些工作應處于以下哪個階段（）A、準備階段B、檢測階段C、遏制階段D、根除階段答案：D140.指導和標準信息安全管理的所有活動的文件叫做？A、過程B、安全目標C、安全策略D、安全范圍答案：C141.在數(shù)據(jù)鏈路層中MAC子層主要實現(xiàn)的功能是A、介質(zhì)訪問控制B、物理地址識別C、通信協(xié)議產(chǎn)生D、數(shù)據(jù)編碼答案：A142.降低風險的控制措施有很多，下面哪一個不屬于降低風險的措施？A、在網(wǎng)絡上部署防火墻B、對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)進行加密C、制定機房安全管理制度D、購買物理場所的財產(chǎn)保險答案：D143.下列哪類證件不得作為有效身份證件登記上網(wǎng)（）A、駕駛證B、戶口本C、護照D、暫住證答案：B144.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務部門的管理人員能夠?qū)φn程信息、學生的選課信息等內(nèi)容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是（）。A、對經(jīng)過身份鑒別后的合法用戶提供所有服務B、在用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權進行管理C、拒絕非法用戶的非授權訪問請求D、防止對信息的非授權篡改和濫用答案：A解析：訪問控制的核心：允許合法用戶的授權訪問，防止非法用戶的訪問和合法用戶的越權訪問。。P304頁。145.管理者何時可以根據(jù)風險分析結(jié)果對已識別的風險不采取措施？A、當必須的安全對策的成本高出實際風險的可能造成的潛在費用時B、當風險減輕方法提高業(yè)務生產(chǎn)力時C、當引起風險發(fā)生的情況不在部門控制范圍之內(nèi)時D、不可接受答案：A146.hash算法的碰撞是指:A、兩個不同的消息，得到相同的消息摘要B、兩個相同的消息，得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長答案：A147.防止擅自使用資料檔案的最有效的預防方法是:A、自動化的檔案訪問入口B、磁帶庫管理C、使用訪問控制軟件答案：C148.身份認證中的證書由__________A、政府機構(gòu)發(fā)行B、銀行發(fā)行C、企業(yè)團體或行業(yè)協(xié)會發(fā)行D、認證授權機構(gòu)發(fā)行答案：A149.以下哪一個是ITU的數(shù)字證書標準A、SSLB、SHTTPC、x.509D、SOCKS答案：A150.Kerberos協(xié)議是一種集中訪問控制協(xié)議，它能在復雜的網(wǎng)絡環(huán)境中，為用戶提供安全的單點登錄服務，單點登錄是指用戶在網(wǎng)絡中進行一次身份認證，便可以訪問其授權的所有網(wǎng)絡資源，而不再需要請他的身份認證過程，實質(zhì)是消息M在多個應用系統(tǒng)之間的傳遞或共享。其中，消息M是一下選項中的A、安全憑證B、用戶名C、加密密鑰D、會話密鑰答案：A151.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡與信息安全協(xié)調(diào)小組發(fā)布的《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形勢提出了有關工作原則和要求。下面選項中描述正確的是（）A、信息安全風險評估應以自評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C、自評估和檢查評估時相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果答案：A152.常用的混合加密（HybridEncryption）方案指的是:A、使用對稱加密進行通信數(shù)據(jù)加密，使用公鑰加密進行會話密鑰協(xié)商B、使用公鑰加密進行通信數(shù)據(jù)加密，使用對稱加密進行會話密鑰協(xié)商C、少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)則使用對稱加密D、大量數(shù)據(jù)使用公鑰加密，少量數(shù)據(jù)則使用對稱加密答案：A153.下面WAPI描述不正確的是:A、安全機制由WAI和WPI兩部分組成B、WAl實現(xiàn)對用戶身份的鑒別C、WPI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密D、WAI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密答案：D154.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如,在一個學校的教務系統(tǒng)中,教師能夠錄入學生的考試成績,學生只能查看自己的分數(shù),而學校教務部門的管理人員能夠?qū)φn程信息、學生的選課信息等內(nèi)容進行修改。下列選項中,對訪問控制的作用的理解錯誤的是（）。A、對經(jīng)過身份鑒別后的合法用戶提供所有服務B、在用戶對系統(tǒng)資源提供最大限度共享的基礎上,對用戶的訪問權進行管理C、拒絕非法用戶的非授權訪問請求D、防止對信息的非授權篡改和濫用答案：A解析：訪問控制的核心:允許合法用戶的授權訪問,防止非法用戶的訪問和合法用戶的越權訪問。。P304頁。155.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和Chines-Wall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B156.某單位開發(fā)了個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯等運行維護所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法，因此測試效更高C、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試必須查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多答案：A157.當采取了安全控制措施后，剩余風險____可接受風險的時候，說明風險管理是有效的。A、等于B、大于C、小于D、不等于答案：C158.防火墻提供的接入模式不包括_______A、網(wǎng)關模式B、透明模式C、混合模式D、旁路接入模式答案：D159.在以下標準中，屬于推薦性國家標準的是？A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X答案：A160.下列____不屬于物理安全控制措施。（）A、門鎖B、警衛(wèi)C、口令D、圍墻答案：C161.GaryMoGrow博士及其合作都提出軟件安全應由三根支柱來支撐，這三個支柱是（）A、測代碼審核，風險分析和滲透測試B、應用風險管理，軟件安全接觸點和安全知識C、威脅建模，滲透測試和軟件安全接觸點D、威脅建模，測代碼審核和模模糊測試答案：B162.某個新成立的互聯(lián)網(wǎng)金融公司擁有10個與互聯(lián)網(wǎng)直接連接的IP地址,但是該網(wǎng)絡內(nèi)有15臺個人計算機,這些個人計算機不會同時開機并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題,公司決定將這10個互聯(lián)網(wǎng)地址集中起來使用,當任意一臺個人計算機開機并連接網(wǎng)絡時,管理中心從這10個地址中任意取出一個尚未分配的IP地址分配給這個人的計算機。他關機時,管理中心將該地址收回,并重新設置為未分配?？梢?只要同時打開的個人計算機數(shù)量少于或等于可供分配的IP地址,那么,每臺個人計算機可以獲取一個IP地址,并實現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是（）。A、靜態(tài)NAT分配地址B、端口NAT分配地址C、靜態(tài)分配地址D、動態(tài)分配地址答案：D解析：動態(tài)IP地址（DynamicIP）指的是在需要的時候才進行IP地址分配的方式,“只要同時打開的個人計算機數(shù)量少于或等于可供分配的IP地址,那么,每臺個人計算機可以獲取一個IP地址”顯然屬于動態(tài)分配地址。163.在入侵檢測（IDS）的運行中,最常見的問題是:（）A、誤報檢測B、接收陷阱消息C、誤拒絕率D、拒絕服務攻擊答案：A164.以下哪個模型主要用于醫(yī)療資料的保護？A、Chinesewall模型B、BIBA模型C、Clark－Wilson模型D、BMA模型答案：D165.為了降低風險，不建議使用的Internet服務是（）。A、Web服務B、外部訪問內(nèi)部系統(tǒng)C、內(nèi)部訪問InternetD、FTP服務答案：D166.傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是