PAGEPAGE1一、單選題1.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來(lái)電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開(kāi)郵件，我著急收個(gè)郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿(mǎn)足了來(lái)電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請(qǐng)問(wèn)以下說(shuō)法哪個(gè)是正確的（）A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來(lái)親自教給李強(qiáng)就不會(huì)發(fā)生這個(gè)問(wèn)題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請(qǐng)購(gòu)買(mǎi)新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒(méi)按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件答案：C2.（）通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。A、AccessVPNB、IntranetVPNC、ExtranetVPND、InternetVPN答案：B3.關(guān)于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯(cuò)誤的是（）A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素B、管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容答案：A4.與瀏覽器兼容性測(cè)試不需要考慮的問(wèn)題是（）A、軟件是否可以在不同的J2EE中運(yùn)行B、不同的瀏覽器是否可以提供合適的安全設(shè)置C、腳本和插件是否適用于不同的瀏覽器D、符合最新HTML版本的頁(yè)面能否在瀏覽器中正確顯示答案：B5.關(guān)于信息安全策略文件的評(píng)審以下說(shuō)法不正確的是哪個(gè)？A、信息安全策略應(yīng)由專(zhuān)人負(fù)責(zé)制定、評(píng)審。B、信息安全策略評(píng)審每年應(yīng)進(jìn)行兩次，上半年、下半年各進(jìn)行一次。C、在信息安全策略文件的評(píng)審過(guò)程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D、在信息安全策略文件的評(píng)審過(guò)程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。答案：B6.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識(shí)別階段C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定階段答案：B7.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)？（）A、公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案五個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基本環(huán)境類(lèi)、業(yè)務(wù)系統(tǒng)、安全事件類(lèi)、安全事件類(lèi)和其他類(lèi)，基本覆蓋了各類(lèi)應(yīng)急事件類(lèi)型D、公司應(yīng)急預(yù)案對(duì)事件分類(lèi)依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南》，分為7個(gè)基本類(lèi)別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)答案：A解析：“無(wú)需進(jìn)行應(yīng)急演練工作”錯(cuò)誤8.下面哪一種是最安全和最經(jīng)濟(jì)的方法，對(duì)于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過(guò)互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A、虛擬專(zhuān)用網(wǎng)B、專(zhuān)線C、租用線路D、綜合服務(wù)數(shù)字網(wǎng).答案：A9.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備－>檢測(cè)－〉遏制－〉根除－〉恢復(fù)－〉跟蹤總結(jié)。請(qǐng)問(wèn)下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤的是（）。A、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念?lèi)別和級(jí)別不同而完全不同。常見(jiàn)的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中最關(guān)鍵的步驟答案：C解析：關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁(yè)。10.以下對(duì)Kerberos協(xié)議過(guò)程說(shuō)法正確的是：A、協(xié)議可以分為兩個(gè)步驟：一是用戶(hù)身份鑒別；二是獲取請(qǐng)求服務(wù)B、協(xié)助可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)C、協(xié)議可以分為三個(gè)步驟：一是用戶(hù)身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)答案：D11.GB/T18336＜＜信息技術(shù)安全性評(píng)估準(zhǔn)則>>（CC）是測(cè)評(píng)標(biāo)準(zhǔn)類(lèi)中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護(hù)輪廓（ProtectionProfile,PP）和安全目標(biāo)（SecurityTarget,ST）的評(píng)估準(zhǔn)則,提出了評(píng)估保證級(jí)（EvaluationAssuranceLevel,EAL）,其評(píng)估保證級(jí)共分為（）個(gè)遞增的評(píng)估保證等級(jí)A、4B、5C、6D、7答案：D12.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注（）A、由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B、在測(cè)試的過(guò)程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒(méi)有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔答案：D13.設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的:A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益,在滿(mǎn)足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過(guò)程中不斷完善成熟,精益求精,實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶(hù)管理和文化的可接受性,減少系統(tǒng)方案實(shí)施障礙答案：C解析：安全領(lǐng)域一般選擇經(jīng)過(guò)檢驗(yàn)的、成熟、安全的技術(shù)方案,一般不選最新的。14.關(guān)于軟件安全開(kāi)發(fā)生命周期（SDL），下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本答案：C15.（）第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng)）,按照（）實(shí)行分級(jí)保護(hù),（）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)（）后方可投入使用。A、《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B、《國(guó)家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格C、《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D、《安全保密法》;涉密程度,涉密信息系統(tǒng);保密設(shè)施;檢查合格答案：A16.了數(shù)據(jù)傳輸時(shí)不發(fā)生數(shù)據(jù)截獲和信息泄密，采取了加密機(jī)制。這種做法體現(xiàn)了信息安全的____屬性。A、保密性B、完整性C、可靠性D、可用性答案：A17.一個(gè)備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于A、冷站B、溫站C、直線站點(diǎn)D、鏡像站點(diǎn)答案：A18.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的？A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B、國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)組織通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)C、行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)D、行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定，并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)和國(guó)務(wù)院有關(guān)行政主管部門(mén)備案，在公布國(guó)家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止答案：B19.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級(jí)別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件答案：D解析：參考P147頁(yè)安全事件定級(jí)。20.公鑰密碼的應(yīng)用不包括：A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證答案：C21.在人力資源審計(jì)期間，安全管理體系內(nèi)審員被告知在IT部門(mén)和人力資源部門(mén)中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A、為兩部門(mén)起草一份服務(wù)水平協(xié)議B、向高級(jí)管理層報(bào)告存在未被書(shū)面簽訂的協(xié)議C、向兩部門(mén)確認(rèn)協(xié)議的內(nèi)容D、推遲審計(jì)直到協(xié)議成為書(shū)面文檔答案：C22.如果恢復(fù)時(shí)間目標(biāo)增加，則A、災(zāi)難容忍度增加B、恢復(fù)成本增加C、不能使用冷備援計(jì)算機(jī)中心D、數(shù)據(jù)備份頻率增加答案：A23.某銀行信息系統(tǒng)為了滿(mǎn)足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全標(biāo)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D.該銀行整體安全策略答案：C24.下面各種方法,哪個(gè)是制定災(zāi)難恢復(fù)策略必須最先評(píng)估的A、所有的威脅可以被完全移除B、一個(gè)可以實(shí)現(xiàn)的成本效益,內(nèi)置的復(fù)原C、恢復(fù)時(shí)間可以?xún)?yōu)化D、恢復(fù)成本可以最小化答案：B25.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲(chóng)C、系統(tǒng)設(shè)計(jì)缺陷D、保安工作不得力答案：B26.84.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定答案：B27.以下哪一種備份方式再恢復(fù)時(shí)間上最快？A、增量備份B、差異備份C、完全備份D、磁盤(pán)備份答案：B28.二十世紀(jì)二十年代，德國(guó)發(fā)明家亞瑟·謝爾比烏斯（ArthurScherbius）發(fā)明了Engmia密碼機(jī)。按照密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（“TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開(kāi)始了對(duì)密碼學(xué)的科學(xué)探索B、古典密碼階段。這一階段的密碼專(zhuān)家常?？恐庇X(jué)和技巧來(lái)設(shè)計(jì)密碼，而不是憑借推理和證明，常用的密碼運(yùn)算方法包括替代方法和置換方法C、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼算法開(kāi)始應(yīng)用于非機(jī)密單位和商業(yè)場(chǎng)合D、近代密碼發(fā)展階段。這一階段開(kāi)始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備答案：D29.關(guān)于信息安全策略的說(shuō)法中，下面說(shuō)法正確的是:A、信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)B、信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)C、信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為基礎(chǔ)D、在信息系統(tǒng)尚未建設(shè)完成之前，無(wú)法確定信息安全策略答案：C30.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個(gè)組件。以下說(shuō)法錯(cuò)誤的是？A、EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Window7環(huán)境下）D、EFS加密過(guò)程對(duì)用戶(hù)透明，EFS加密的用戶(hù)驗(yàn)證過(guò)程是在登錄Windows時(shí)進(jìn)行的答案：C31.功能測(cè)試不能實(shí)現(xiàn)以下哪個(gè)功能（）A、漏洞B、補(bǔ)丁C、口令策略D、全網(wǎng)訪問(wèn)控制策略答案：D32.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從或脅能力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國(guó)家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是A、喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂(lè)型黑客B、實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C、搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)D、鞏固戰(zhàn)略?xún)?yōu)勢(shì)，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)答案：B33.下列安全控制措施的分類(lèi)中,哪個(gè)分類(lèi)是正確的（P-預(yù)防性的,D-檢測(cè)性的以及,C-糾正性的控制）:網(wǎng)絡(luò)防火墻;RAID級(jí)別3;銀行賬單的監(jiān)督復(fù)審;分配計(jì)算機(jī)用戶(hù)標(biāo)識(shí);交易日志;A、P,P,C,D,andC;B、D,C,C,D,andD;C、P,C,D,P,andDD、P,D,P,P,andC;答案：C34.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是:A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南B、系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋?zhuān)C明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)C、系統(tǒng)安全工程能力成熟度模型（SSECM）是種衡量安全工程實(shí)踐能力的方法，是一種使用面向開(kāi)發(fā)的方法D、系統(tǒng)安全工程能力成熟度模型（SSECM）是在原有能力成熟度模型（CM）的基礎(chǔ)上。通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的.成熟的.可測(cè)量的先進(jìn)學(xué)科答案：D35.以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利A、應(yīng)急委員會(huì)B、各部門(mén)C、管理層D、外部專(zhuān)家答案：C36.關(guān)于linux下的用戶(hù)和組，以下描述不正確的是。A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶(hù)”B、系統(tǒng)中的每一個(gè)用戶(hù)都必須至少屬于一個(gè)用戶(hù)組C、用戶(hù)和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶(hù)，一個(gè)用戶(hù)不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶(hù)，無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限答案：C37.下面哪一個(gè)機(jī)構(gòu)不屬于美國(guó)信息安全保障管理部門(mén)？A、國(guó)土安全部。B、國(guó)防部。C、國(guó)家基礎(chǔ)設(shè)施顧問(wèn)委員會(huì)。D、國(guó)家標(biāo)準(zhǔn)技術(shù)研究所。答案：C38.關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，下列說(shuō)法不正確的是：A、數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來(lái)解決，當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來(lái)進(jìn)行修復(fù)B、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤(pán)上保存起來(lái)，是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用，可以用來(lái)進(jìn)行事物故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱(chēng)為提交答案：D39.某公司在測(cè)試災(zāi)難恢復(fù)計(jì)劃時(shí)是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運(yùn)營(yíng)所必要的關(guān)鍵數(shù)據(jù)沒(méi)有被保留,可能由于什么沒(méi)有明確導(dǎo)致的?A、服務(wù)中斷的時(shí)間間隔B、目標(biāo)恢復(fù)時(shí)間（RTO）C、服務(wù)交付目標(biāo)D、目標(biāo)恢復(fù)點(diǎn)（RPO）答案：D40.Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來(lái)表示,對(duì)于文件名為test的一個(gè)文件,屬于admin組中user用戶(hù),以下哪個(gè)是該文件正確的模式表示?A、-rwxr-xr-x3useradmin1024Sep1311:58testB、drwxr-xr-x3useradmin1024Sep1311:58testC、-rwxr-xr-x3adminuser1024Sep1311:58testD、drwxr-xr-x3adminuser1024Sep1311:58test答案：A解析：題目考核的是linux系統(tǒng)的權(quán)限表達(dá)格式。41.對(duì)于人員管理的描述錯(cuò)誤的是____。（）A、人員管理是安全管理的重要環(huán)節(jié)B、安全授權(quán)不是人員管理的手段C、安全教育是人員管理的有力手段D、人員管理時(shí)，安全審查是必須的答案：B42.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)要素識(shí)別階段輸出的文檔A、《風(fēng)險(xiǎn)評(píng)估方案》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、范圍、目標(biāo)、評(píng)估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、資產(chǎn)分類(lèi)標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容答案：D43.Linux系統(tǒng)中常用數(shù)字來(lái)表示文件的訪問(wèn)權(quán)限，假設(shè)某文件的訪問(wèn)限制使用了755來(lái)表示，則下面哪項(xiàng)是正確的？A、這個(gè)文件可以被任何用戶(hù)讀和寫(xiě)B(tài)、這個(gè)可以被任何用戶(hù)讀和執(zhí)行C、這個(gè)文件可以被任何用戶(hù)寫(xiě)和執(zhí)行D、這個(gè)文件不可以被所有用戶(hù)寫(xiě)和執(zhí)行答案：B44.信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理,也就是,始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即（）選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)答案：A45.金女士經(jīng)常通過(guò)計(jì)算機(jī)在互聯(lián)網(wǎng)上購(gòu)物,從安全角度看,下面哪項(xiàng)是不好的操作習(xí)慣:A、使用專(zhuān)用上網(wǎng)購(gòu)物用計(jì)算機(jī),安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級(jí)B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件,包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中,設(shè)置只能下載和安裝經(jīng)過(guò)簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí),設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)答案：A解析：安裝好軟件后應(yīng)及時(shí)對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級(jí),以增加操作系統(tǒng)的安全性46.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境答案：C47.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專(zhuān)用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時(shí)，以下說(shuō)法正確的是（）A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來(lái)減少I(mǎi)Psec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機(jī)密性答案：C48.108.為保障信息系統(tǒng)的安全,某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對(duì)性的信息安全保障方案,并將編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報(bào)告,關(guān)于此項(xiàng)工作,下面說(shuō)法錯(cuò)誤的是（）A、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)B(tài)、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開(kāi)編寫(xiě)答案：A49.下面哪個(gè)組合不是是信息資產(chǎn)A、硬件、軟件、文檔資料B、關(guān)鍵人員C、組織提供的信息服務(wù)D、桌子、椅子答案：D50.一個(gè)公司解雇了一個(gè)數(shù)據(jù)庫(kù)管理員,并且解雇時(shí)立刻取消了數(shù)據(jù)庫(kù)管理員對(duì)公司所有系統(tǒng)的訪問(wèn)權(quán),但是數(shù)據(jù)管理員威脅說(shuō)數(shù)據(jù)庫(kù)在兩個(gè)月內(nèi)將被刪除，除非公司付他一大筆錢(qián)。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫(kù)？A、放置病毒B、蠕蟲(chóng)感染C、DoS攻擊D、邏輯炸彈攻擊答案：D51.我國(guó)正式公布了電子簽名法，數(shù)字簽名機(jī)制用于實(shí)現(xiàn)____需求。（）A、抗否認(rèn)B、保密性C、完整性D、可用性答案：A52.下面對(duì)自由訪問(wèn)控制〔DAC〕描述正確的選項(xiàng)是A、比較強(qiáng)制訪問(wèn)控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用答案：D53.TCP/IP協(xié)議的4層概念模型是（）A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會(huì)話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層答案：A54.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文擋，下面（）中的文擋不應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》。主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、資產(chǎn)分類(lèi)標(biāo)準(zhǔn)、資產(chǎn)分類(lèi)準(zhǔn)則等內(nèi)容答案：C解析：《已有安全措施列表》屬于風(fēng)險(xiǎn)要素識(shí)別階段。55.通過(guò)以下哪個(gè)命令可以查看本機(jī)端口和外部連接狀況（）A、netstat-anB、netconn-anC、netport-aD、netstat-all答案：A56.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（）。A、身份鑒別是授權(quán)控制的基礎(chǔ)B、身份鑒別一般不用提供雙向的認(rèn)證C、目前一般采用基于對(duì)稱(chēng)密鑰加密或公開(kāi)密鑰加密的方法D、數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制答案：B57.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)？A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS答案：D58.信息安全是國(guó)家安全的重要組成部分,綜合研究當(dāng)前世界各國(guó)信息安全保障工作,總結(jié)錯(cuò)誤的是（）A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作,逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話,均同意建立一致的安全保障系統(tǒng),強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè),重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)答案：C59.管理體系審計(jì)員進(jìn)行通信訪問(wèn)控制審查，首先應(yīng)該關(guān)注：A、維護(hù)使用各種系統(tǒng)資源的訪問(wèn)日志B、在用戶(hù)訪問(wèn)系統(tǒng)資源之前的授權(quán)和認(rèn)證C、通過(guò)加密或其他方式對(duì)存儲(chǔ)在服務(wù)器上數(shù)據(jù)的充分保護(hù)D、確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力.答案：D60.chmod744test命令執(zhí)行的結(jié)果是：A、test文件的所有者具有執(zhí)行讀寫(xiě)權(quán)限，文件所屬的組合其它用戶(hù)有讀的權(quán)限B、test文件的所有者具有執(zhí)行讀寫(xiě)和執(zhí)行權(quán)限，文件所屬的組和其它用戶(hù)有讀的權(quán)限C、test文件的所有者具有執(zhí)行讀和執(zhí)行權(quán)限，文件所屬的組和其它用戶(hù)有讀的權(quán)限D(zhuǎn)、test文件的所有者具有執(zhí)行讀寫(xiě)和執(zhí)行權(quán)限，文件所屬的組和其它用戶(hù)有讀和寫(xiě)的權(quán)限答案：B61.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問(wèn)制定訪問(wèn)策略，針對(duì)每個(gè)用戶(hù)指明能夠訪問(wèn)的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問(wèn)。該訪問(wèn)控制策略屬于以下哪一種A、強(qiáng)制訪問(wèn)控制B、基于角色的訪問(wèn)控制C、自主訪問(wèn)控制D、基于任務(wù)的訪問(wèn)控制答案：C62.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述錯(cuò)誤的是A、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理評(píng)審會(huì)議的形式進(jìn)行C、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評(píng)審中，這些文件是被審對(duì)象答案：A63.在密碼學(xué)的Kerchhof假設(shè)中,密碼系統(tǒng)的安全性?xún)H依賴(lài)于_______。A、明文B、密文C、密鑰D、信道答案：C64.以下關(guān)于直接附加存儲(chǔ)（DirectAttachedStorage，DAS）說(shuō)法錯(cuò)誤的是A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)．是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴(lài)性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)（NetworkAttachedStorage，NAS），DAS節(jié)省硬盤(pán)空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份答案：D65.下列關(guān)于防火墻的錯(cuò)誤說(shuō)法是____。（）A、防火墻工作在網(wǎng)絡(luò)層B、對(duì)IP數(shù)據(jù)包進(jìn)行分析和過(guò)濾C、重要的邊界保護(hù)機(jī)制D、部署防火墻，就解決了網(wǎng)絡(luò)安全問(wèn)題答案：D66.下列哪項(xiàng)是系統(tǒng)問(wèn)責(zé)時(shí)不需要的？A、認(rèn)證B、鑒定C、授權(quán)D、審計(jì)答案：C67.關(guān)于信息安全的說(shuō)法錯(cuò)誤的是____。（）A、包括技術(shù)和管理兩個(gè)主要方面B、策略是信息安全的基礎(chǔ)C、采取充分措施，可以實(shí)現(xiàn)絕對(duì)安全D、保密性、完整性和可用性是信息安全的目標(biāo)答案：C68.為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告。關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是（）。A、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)B、信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開(kāi)編寫(xiě)C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)答案：D解析：信息安全需求報(bào)告不應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)，而應(yīng)該依據(jù)現(xiàn)有安全現(xiàn)狀，痛點(diǎn)以及客戶(hù)需求來(lái)寫(xiě)。69.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是？A、WPA是有線局域安全協(xié)議，而WPA2是無(wú)線局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議，而WPA2適用于全世界的無(wú)線局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D、WPA是依照802.111標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.111正式標(biāo)準(zhǔn)制定的答案：D70.主體和客體是訪問(wèn)控制模型中常用的概念，下面描述錯(cuò)誤的是？A、主體是訪問(wèn)的發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù)B、客體也是一種實(shí)體，是操作的對(duì)象，是被規(guī)定需要保護(hù)的資源C、主體是動(dòng)作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對(duì)象不能被當(dāng)作客體使用D、一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行答案：C71.如下圖所示,兩份文件包含了不同的內(nèi)容,卻擁有相同的SHA-1數(shù)字簽名A,這違背了安全的哈希函數(shù)（）性質(zhì)。A、單向性;B、弱抗碰撞性;C、強(qiáng)抗碰撞性;D、機(jī)密性;答案：C解析：該題目是違背了強(qiáng)抗碰撞性,P282頁(yè)。72.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）降級(jí)操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO），小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理答案：A73.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁、只關(guān)注外來(lái)的威脅，無(wú)視企業(yè)內(nèi)部人員的問(wèn)題B、相信來(lái)自陌生人的郵件，好奇打開(kāi)郵件附件C、開(kāi)著電腦離開(kāi)，就像離開(kāi)家卻忘記關(guān)燈那樣D、及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁答案：D74.數(shù)據(jù)備份常用的方式主要有：完全備份、增量備份和（）。A、邏輯備份B、按需備份C、差分備份D、物理備份答案：C75.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶(hù)登錄時(shí)，認(rèn)證服務(wù)器（AuthenticationServer，AS）產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶(hù)，用戶(hù)用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS,AS用同樣的防腐計(jì)算后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶(hù)身份。A、口令序列B、時(shí)間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令答案：C76.要安全瀏覽網(wǎng)頁(yè)，不應(yīng)該（）。A、定期清理瀏覽器緩存和上網(wǎng)歷史記錄B、禁止使用ActiveX控件和Java腳本C、定期清理瀏覽器CookiesD、在他人計(jì)算機(jī)上使用“自動(dòng)登錄”和“記住密碼”功能答案：D77.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來(lái)越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是A、步驟1和步驟2發(fā)生錯(cuò)誤，應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB、步驟3和步驟4發(fā)生錯(cuò)誤，應(yīng)該向本地TGS請(qǐng)求并獲得遠(yuǎn)程TGTC、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程TGT答案：B78.下面哪類(lèi)命令是CISCO限制接口流量的？A、RATE-LIMITB、privilegeC、AAAD、LOOPBACK答案：A79.以下哪個(gè)選項(xiàng)不是信息安全需求較為常見(jiàn)的來(lái)源？A、法律法規(guī)與合同條約的要求B、組織的原則、目標(biāo)和規(guī)定C、風(fēng)險(xiǎn)評(píng)估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞的預(yù)警答案：D80.某網(wǎng)站為了開(kāi)發(fā)的便利，使用SA連接數(shù)據(jù)庫(kù)，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過(guò)程XP_cmdshe11刪除了系統(tǒng)中的一個(gè)重要文件，在進(jìn)行問(wèn)題分析時(shí)，作為安全專(zhuān)家，你應(yīng)該指出該網(wǎng)站涉及違反了以下哪些原則：A、權(quán)限分離原則B、最小特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B81.某網(wǎng)站為了開(kāi)發(fā)的便利,使用SA鏈接數(shù)據(jù)庫(kù),由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞,導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過(guò)程XP.cmctstell刪除了系統(tǒng)中的一個(gè)重要文件,在進(jìn)行問(wèn)題分析時(shí),作為安全專(zhuān)家,你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則:A、權(quán)限分離原則B、最小特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B82.信息安全管理體系（informationSecurityManagementSystem.ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述錯(cuò)誤的是（）A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿Γ捕紤?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理評(píng)審會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針，信息目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評(píng)審中，這些文件是被審對(duì)象答案：C83.下面哪個(gè)功能屬于操作系統(tǒng)中的安全功能A、控制用戶(hù)的作業(yè)排序和運(yùn)行B、對(duì)計(jì)算機(jī)用戶(hù)訪問(wèn)系統(tǒng)和資源情況進(jìn)行記錄C、保護(hù)系統(tǒng)程序和作業(yè)，禁止不合要求的對(duì)程序和數(shù)據(jù)的訪問(wèn)D、實(shí)現(xiàn)主機(jī)和外設(shè)的并行處理以及異常情況的處理答案：C84.如果出現(xiàn)IT人員和最終用戶(hù)職責(zé)分工的問(wèn)題，下面哪個(gè)選項(xiàng)是合適的補(bǔ)償性控制？A、限制物理訪問(wèn)計(jì)算機(jī)設(shè)備B、檢查應(yīng)用及事務(wù)處理日志C、在聘請(qǐng)IT人員之前進(jìn)行背景檢查D、在不活動(dòng)的特定時(shí)間后，鎖定用戶(hù)會(huì)話答案：B85.信息安全管理體系ISMS要求建立過(guò)程體系，該過(guò)程體系是如下（）基礎(chǔ)上構(gòu)建的A、IATFB、P2DRC、PDCERFD、PDCA答案：D86.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問(wèn)控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用答案：B87.國(guó)家對(duì)信息安全建設(shè)非常重視，如國(guó)家信息化領(lǐng)導(dǎo)小組在（）中確定要求，“信息安全建設(shè)是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門(mén)在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用。”國(guó)家發(fā)展改革委所下發(fā)的（）要求；電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問(wèn)題，提供安全專(zhuān)項(xiàng)資金，信息安全風(fēng)險(xiǎn)評(píng)估結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。在我國(guó)2017年正式發(fā)布的（）中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！毙畔踩こ叹褪且鉀Q信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題。A、《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》；《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《網(wǎng)絡(luò)安全法》B、《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》；《網(wǎng)絡(luò)安全法》C、《網(wǎng)絡(luò)安全法》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)>>;＜＜關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》D、《網(wǎng)絡(luò)安全法》；《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》；《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》答案：A88.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。答案：C89.以下無(wú)線加密標(biāo)準(zhǔn)中哪一種安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P答案：A90.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)針對(duì)可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對(duì)策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應(yīng)急響應(yīng)工作流程圖中,空白方框中從右到左依次填入的是（）A、應(yīng)急響應(yīng)專(zhuān)家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組B、應(yīng)急響應(yīng)專(zhuān)家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專(zhuān)家小組、應(yīng)急響應(yīng)實(shí)施小組。應(yīng)急響應(yīng)日常運(yùn)行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專(zhuān)家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組答案：A91.哪一項(xiàng)不是管理層承諾完成的？A、確定組織的總體安全目標(biāo)B、購(gòu)買(mǎi)性能良好的信息安全產(chǎn)品C、推動(dòng)安全意識(shí)教育D、評(píng)審安全策略的有效性答案：B92.域名注冊(cè)信息可在哪里找到？A、路由器B、DNS記錄C、Whois數(shù)據(jù)庫(kù)D、MIBs庫(kù)答案：C93.在信息系統(tǒng)的設(shè)計(jì)階段必須做以下工作除了：A、決定使用哪些安全控制措施B、對(duì)設(shè)計(jì)方案的安全性進(jìn)行評(píng)估C、開(kāi)發(fā)信息系統(tǒng)的運(yùn)行維護(hù)手冊(cè)D、開(kāi)發(fā)測(cè)試、驗(yàn)收和認(rèn)可方案答案：C94.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議AWPA和2WPA2的區(qū)別，下面描述正確的是（）A、WPA是有線局域安全協(xié)議，而WPA2是無(wú)線局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議，而WPA2適用于全世界的無(wú)線局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證DD、WPPAA照是依照i802.11i標(biāo)準(zhǔn)草案制定的，而WWPPAA22照是依照i802.11i正式標(biāo)準(zhǔn)制定的答案：D95.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單41位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定答案：B解析：風(fēng)險(xiǎn)評(píng)估包括四個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、風(fēng)險(xiǎn)要素識(shí)別階段、風(fēng)險(xiǎn)分析階段和風(fēng)險(xiǎn)結(jié)果判定階段。其中評(píng)估方案、工具、團(tuán)隊(duì)、人員、計(jì)劃、準(zhǔn)則都屬于準(zhǔn)備階段；資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施識(shí)別都屬于要素識(shí)別階段。96.在安全人員的幫助下，對(duì)數(shù)據(jù)提供訪問(wèn)權(quán)的責(zé)任在于：A、數(shù)據(jù)所有者.B、程序員C、系統(tǒng)分析師.D、庫(kù)管員答案：A97.以下哪項(xiàng)是正確的信息安全保障發(fā)展歷史順序？A、通信安全→電腦安全→信息系統(tǒng)安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障B、通信安全→信息安全保障→電腦安全→信息系統(tǒng)安全→網(wǎng)絡(luò)空間安全/信息安全保障C、電腦安全→通信安全→信息系統(tǒng)安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障D、通信安全→信息系統(tǒng)安全→電腦安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障答案：A98.關(guān)于我國(guó)信息安全保障的基本原則，下列說(shuō)法中不正確的是：A、要與過(guò)接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息化安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國(guó)家信息安全保障中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用答案：A99.在Windos7中，通過(guò)控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶(hù)策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置A、密碼必須符合復(fù)雜性要求B、密碼長(zhǎng)度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間答案：D100.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng),應(yīng)當(dāng)（）年進(jìn)行一次等級(jí)測(cè)評(píng)?A、0.5B、1C、2D、3答案：B101.從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類(lèi)，截獲攻擊是針對(duì)（）的攻擊。A、機(jī)密性B、可用性C、完整性D、真實(shí)性答案：A102.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的____的安全。（）A、計(jì)算機(jī)B、計(jì)算機(jī)軟件系統(tǒng)C、計(jì)算機(jī)信息系統(tǒng)D、計(jì)算機(jī)操作人員答案：C103.為保障信息系統(tǒng)的安全,某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對(duì)性的信息安全保障方案,并將編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報(bào)告,關(guān)于此項(xiàng)工作,下面說(shuō)法錯(cuò)誤的是（）A、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)B(tài)、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開(kāi)編寫(xiě)答案：A104.關(guān)于監(jiān)理過(guò)程中成本控制,下列說(shuō)法中正確的是?A、成本只要不超過(guò)預(yù)計(jì)的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實(shí)現(xiàn),監(jiān)理單位只能記錄實(shí)際開(kāi)銷(xiāo)D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成答案：D105.微軟提出了STRIDE模型，其中Repudation（抵賴(lài)）的縮寫(xiě)，關(guān)于此項(xiàng)安全要求，下面描述錯(cuò)誤的是（）A、某用戶(hù)在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱(chēng)“我沒(méi)有下載過(guò)數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B、解決R威脅，可以選擇使用抗抵賴(lài)性服務(wù)技術(shù)來(lái)解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C、R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高D、解決R威脅，也應(yīng)按照確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來(lái)進(jìn)行答案：C106.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity,IPsec）協(xié)議說(shuō)法錯(cuò)誤的是:A、在傳送模式中,保護(hù)的是IP負(fù)載B、驗(yàn)證頭協(xié)議（AuthenticationHead,AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload,ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中,保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol,IP）包,包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性答案：D107.下列對(duì)網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos）描述正確的是:A、該協(xié)議使用非對(duì)稱(chēng)密鑰加密機(jī)制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶(hù)機(jī)三個(gè)部分組成C、該協(xié)議完成身份鑒別后將獲取用戶(hù)票據(jù)許可票據(jù)D、使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境答案：B108.傳輸線路是信息發(fā)送設(shè)備和接受設(shè)備之間的物理通路，針對(duì)傳輸線路的攻擊是攻擊者常用的方式，不同傳輸介質(zhì)具有不同的安全特性。同軸電纜、雙絞線和光纖是廣泛使用的有線傳輸介質(zhì).下列選項(xiàng)中，對(duì)有線傳輸介質(zhì)的描述正確的是（）。A、同軸電纜顯著的特征是頻帶較寬，其中高端的頻帶最大可達(dá)到100GHzB、在雙經(jīng)線外包裹一層金屬屏蔽層，可解決抗干擾能力差的問(wèn)題C、由于光在塑料的保護(hù)套中傳輸損耗非常低，因此光纖可用于長(zhǎng)距離的信息傳遞D、光纖通信傳輸具有高帶寬、信號(hào)衰減小、無(wú)電磁干擾、不易被竊聽(tīng)、成本低康等特點(diǎn)答案：B109.降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的手段，以下說(shuō)法不正確的是？A、通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷B、通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)責(zé)任答案：D110.為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶(hù)安全登錄,然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法答案：A111.下列____不屬于物理安全控制措施。（）A、門(mén)鎖B、警衛(wèi)C、口令D、圍墻答案：C112.以下哪個(gè)模型主要用于醫(yī)療資料的保護(hù)？A、Chinesewall模型B、BIBA模型C、Clark－Wilson模型D、BMA模型答案：D113.信息安全是通過(guò)實(shí)施一組合適的（）而達(dá)到的,包括策略、過(guò)程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的（）過(guò)程,以確保滿(mǎn)足該組織的特定安全和（）。這個(gè)過(guò)程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A、信息安全管理;控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);管理過(guò)程B、組織結(jié)構(gòu);控制措施;信息安全管理;業(yè)務(wù)目標(biāo);管理過(guò)程C、控制措施;組織結(jié)構(gòu);信息安全管理;業(yè)務(wù)目標(biāo);管理過(guò)程D、控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);信息安全管理;管理過(guò)程答案：C解析：P103頁(yè)114.發(fā)現(xiàn)個(gè)人電腦感染病毒，斷開(kāi)網(wǎng)絡(luò)的目的是（）A、影響上網(wǎng)速度B、擔(dān)心數(shù)據(jù)被泄露電腦被損壞C、控制病毒向外傳播D、防止計(jì)算機(jī)被病毒進(jìn)一步感染答案：B115.下面哪個(gè)命令可以打印Linux下的所有進(jìn)程信息A、ls-dB、ls-lC、suD、ps-ef答案：D116.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類(lèi)兩個(gè)控制目標(biāo)。信息分類(lèi)控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù)，通常采取以下哪項(xiàng)控制措施（）A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類(lèi)指南，信息的標(biāo)記和處理答案：D117.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí),使用了威脅建模方法來(lái)分析電子商務(wù)網(wǎng)站所面臨的威脅.STRIDE是微軟SDL中提出的威脅建模方法,將威脅分為六類(lèi),為每一類(lèi)威脅提供了標(biāo)準(zhǔn)的消減措施,Spoofing是STRIDE中欺騙類(lèi)的威脅,以下威脅中哪個(gè)可以歸入此類(lèi)威脅（）.A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊,降低網(wǎng)站訪問(wèn)速度B、網(wǎng)站使用用戶(hù)名、密碼進(jìn)行登錄驗(yàn)證,攻擊者可能會(huì)利用弱口令或其他方式獲得用戶(hù)密碼,以該用戶(hù)身份登錄修改用戶(hù)訂單等信息C、網(wǎng)站使用使用http協(xié)議進(jìn)行瀏覽等操作,無(wú)法確認(rèn)數(shù)據(jù)與用戶(hù)發(fā)出的是否一致,可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用使用http協(xié)議進(jìn)行瀏覽等操作,未對(duì)數(shù)據(jù)進(jìn)行加密,可能導(dǎo)致用戶(hù)傳輸信息泄露,例如購(gòu)買(mǎi)的商品金額等答案：B解析：A屬于拒絕服務(wù)威脅；C屬于篡改威脅；D屬于信息泄露威脅.P405頁(yè)118.黑客通常實(shí)施攻擊的步驟是什么？（）A、遠(yuǎn)程攻擊、本地攻擊、物理攻擊B、踩點(diǎn)、掃描、獲取訪問(wèn)權(quán)、提升權(quán)限、安裝后門(mén)、清除痕跡C、拒絕服務(wù)攻擊、掃描、獲取控制器、清除痕跡D、掃描、拒絕服務(wù)攻擊、獲取控制權(quán)、安裝后門(mén)、嗅探答案：B119.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開(kāi)放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會(huì)帶來(lái)一定的安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間答案：D120.國(guó)務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國(guó)在災(zāi)備工作原則，下面哪項(xiàng)不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分級(jí)建設(shè)C、資源共享D、平戰(zhàn)結(jié)合答案：B121.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的（）A、要充分符合信息安全需求并且實(shí)際可行B、要充分考慮成本收益，在滿(mǎn)足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要使用當(dāng)前最新的技術(shù)和成本最高的設(shè)備，從而保障信息系統(tǒng)的絕對(duì)安全D、要充分考慮用戶(hù)管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙答案：C122.公安部網(wǎng)絡(luò)違法案件舉報(bào)網(wǎng)站的網(wǎng)址是____。（）A、B、C、D、答案：C123.以下哪一項(xiàng)不是應(yīng)用層防火墻的特點(diǎn)？A、更有效的阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對(duì)用戶(hù)透明D、比較容易進(jìn)行審計(jì)答案：C124.授權(quán)訪問(wèn)信息資產(chǎn)的責(zé)任人應(yīng)該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管答案：C125.關(guān)于防火墻和VPN的使用，下面說(shuō)法不正確的是____。（）A、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨(dú)立B、配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)C、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)D、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴(lài)答案：B126.組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和（）功能的訪問(wèn)。對(duì)訪問(wèn)的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求,訪問(wèn)控制策略還要與組織訪問(wèn)策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶(hù)身份。在需要強(qiáng)認(rèn)證和（）時(shí),宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并（）。對(duì)程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說(shuō)明書(shū)、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問(wèn)宜嚴(yán)格控制,以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存,可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn),更好的是放在（）中。A、應(yīng)用系統(tǒng);身份驗(yàn)證;嚴(yán)格控制;保密性;源程序庫(kù)B、身份驗(yàn)證;應(yīng)用系統(tǒng);嚴(yán)格控制;保密性;源程序庫(kù)C、應(yīng)用系統(tǒng);嚴(yán)格控制;身份驗(yàn)證;保密性;源程序庫(kù)D、應(yīng)用系統(tǒng);保密性;身份驗(yàn)證;嚴(yán)格控制;源程序庫(kù)答案：A解析：教材第112頁(yè)9.4.5表格之下的所有部分,到118頁(yè)的最上面一段127.“統(tǒng)一威脅管理”是將防病毒,入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理,目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類(lèi)安全設(shè)備,這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱(chēng)為（）A、UTMB、FWC、IDSD、SOC答案：A128.隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺(tái)，上面承載了越來(lái)越多的核心業(yè)務(wù)。Web的開(kāi)放性帶來(lái)豐富資源、高效率、新工作方式的同時(shí)，也使機(jī)構(gòu)的重要信息暴露在越來(lái)越多的威脅中。去年，某高校本科生院網(wǎng)站遭遇SQL群注入（MassSQLInjection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測(cè)防火墻，其原因不包括（）A、狀態(tài)監(jiān)測(cè)防火墻具有記錄通過(guò)每個(gè)包的詳細(xì)信息能力B、狀態(tài)監(jiān)測(cè)防火墻過(guò)濾規(guī)則與應(yīng)用層無(wú)關(guān)，相比于包過(guò)濾防火墻更易安裝和使用C、狀態(tài)監(jiān)測(cè)防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動(dòng)作D、狀態(tài)監(jiān)測(cè)防火墻可以應(yīng)用會(huì)話信息決定過(guò)濾規(guī)則答案：B129.在加固數(shù)據(jù)庫(kù)時(shí),以下哪個(gè)是數(shù)據(jù)庫(kù)加固最需要考慮的？A、修改默認(rèn)配置B、標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)所有的表空間C、存儲(chǔ)數(shù)據(jù)被加密D、修改數(shù)據(jù)庫(kù)服務(wù)的服務(wù)端口答案：A130.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素答案：B131.安全掃描可以____。（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來(lái)的問(wèn)題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問(wèn)題C、彌補(bǔ)防火墻對(duì)內(nèi)網(wǎng)安全威脅檢測(cè)不足的問(wèn)題D、掃描檢測(cè)所有的數(shù)據(jù)包攻擊，分析所有的數(shù)據(jù)流答案：C132.關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是？A、對(duì)內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查B、對(duì)內(nèi)而言，是一個(gè)光花錢(qián)不掙錢(qián)的事情，需要組織通過(guò)其他方面收入來(lái)彌補(bǔ)投入C、對(duì)外而言，有助于使各利益相關(guān)方對(duì)組織充滿(mǎn)信心D、對(duì)外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任答案：B133.目前，很多行業(yè)用戶(hù)在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過(guò)安全測(cè)評(píng)，關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義，下列說(shuō)法中不正確的是A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶(hù)采購(gòu)信息安全產(chǎn)品，設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專(zhuān)業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境答案：D134.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門(mén)科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且在信息充分多的情況下它會(huì)失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的答案：A135.以下哪種無(wú)線加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？A、WepB、wpaC、wpa2D、wapi答案：A136.應(yīng)急響應(yīng)時(shí)信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是？A、信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事業(yè)發(fā)生后的應(yīng)對(duì)措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具體高技術(shù)復(fù)雜性與專(zhuān)業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴(lài)性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)時(shí)組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部分工作：安全事件發(fā)生時(shí)正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲(chóng)病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性答案：D137.信息保障技術(shù)框架（IATF）是美國(guó)國(guó)家安全局（NSA）制定的，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，關(guān)于IATF的說(shuō)法錯(cuò)誤的是？A、IATF的代表理論為“深度防御”。B、IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，從多種不同的角度對(duì)信息系統(tǒng)進(jìn)行防護(hù)。C、IATF關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施三個(gè)信息安全保障領(lǐng)域。D、IATF論述了系統(tǒng)工程、系統(tǒng)采購(gòu)、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周期支持等過(guò)程。答案：C138.在一家企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中,什么情況被宣布為一個(gè)危機(jī)沒(méi)有被定義。這一點(diǎn)關(guān)系到的主要風(fēng)險(xiǎn)是:A、對(duì)這種情況的評(píng)估可能會(huì)延遲B、災(zāi)難恢復(fù)計(jì)劃的執(zhí)行可能會(huì)被影響C、團(tuán)隊(duì)通知可能不會(huì)發(fā)生D、對(duì)潛在危機(jī)的識(shí)別可能會(huì)無(wú)效答案：B139.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B140.68.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯(cuò)誤的是（）A、IATF最初由美國(guó)國(guó)家安全局（NSA）發(fā)布，后來(lái)由國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，供各個(gè)國(guó)家信息系統(tǒng)建設(shè)參考使用B、B.IATF是一個(gè)通用框架，可以用到多種應(yīng)用場(chǎng)景中，通過(guò)對(duì)復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問(wèn)題C、C.IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說(shuō)討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問(wèn)題答案：A141.以下哪一個(gè)數(shù)據(jù)傳輸方式難以通過(guò)網(wǎng)絡(luò)竊聽(tīng)獲取信息？A、FTP傳輸文件B、TELNET進(jìn)行遠(yuǎn)程管理C、URL以HTTPS開(kāi)頭的網(wǎng)頁(yè)內(nèi)容D、經(jīng)過(guò)TACACS+認(rèn)證和授權(quán)后建立的連接答案：C142.下面WAPI描述不正確的是:A、安全機(jī)制由WAI和WPI兩部分組成B、WAl實(shí)現(xiàn)對(duì)用戶(hù)身份的鑒別C、WPI實(shí)現(xiàn)對(duì)傳輸?shù)臄?shù)據(jù)加密D、WAI實(shí)現(xiàn)對(duì)傳輸?shù)臄?shù)據(jù)加密答案：D143.風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中資產(chǎn)識(shí)別的依據(jù)是什么A、依據(jù)資產(chǎn)分類(lèi)分級(jí)的標(biāo)準(zhǔn)B、依據(jù)資產(chǎn)調(diào)查的結(jié)果C、依據(jù)人員訪談的結(jié)果D、依據(jù)技術(shù)人員提供的資產(chǎn)清單答案：A144.隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切，越來(lái)越多的組織開(kāi)始嘗試使用參考ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯(cuò)誤的是（）A、在組織中，應(yīng)有信息技術(shù)責(zé)任部門(mén)（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體、具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)客戶(hù)、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受和相關(guān)殘余風(fēng)險(xiǎn)答案：A145.某軟件在設(shè)計(jì)時(shí),有三種用戶(hù)訪問(wèn)模式,分別是僅管理員可訪問(wèn)、所有合法用戶(hù)可訪問(wèn)和允許匿名訪問(wèn)）采用這三種訪問(wèn)模式時(shí),攻擊面最高的是（）。A、僅管理員可訪問(wèn)B、所有合法用戶(hù)可訪問(wèn)C、允許匿名D、三種方式一樣答案：C146.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：A解析：B錯(cuò)誤，應(yīng)該是抽樣評(píng)估；C錯(cuò)誤，應(yīng)該其描述的是差距分析；D錯(cuò)誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。147.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的選項(xiàng)是？A、準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B、開(kāi)發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量。C、提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D、強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性。答案：D148.以下關(guān)于直接附加存儲(chǔ)（DirectAttachedStorage,DAS）說(shuō)法錯(cuò)誤的是:A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ).是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離,存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴(lài)性強(qiáng),當(dāng)服務(wù)器發(fā)生故障時(shí),連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)（NetworkAttachedStorage,NAS）,DAS節(jié)省硬盤(pán)空間,數(shù)據(jù)非常集中,便于對(duì)數(shù)據(jù)進(jìn)行管理和備份答案：D149.某項(xiàng)目組進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)由于時(shí)間有限，決定采用基于知識(shí)的分析方法，使用基于知識(shí)的分析方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，最重要的在于評(píng)估信息的采集，該項(xiàng)目組對(duì)信息源進(jìn)行了討論，以下說(shuō)法中不可行的是（）A、可以通過(guò)對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查采集評(píng)估信息B、可以通過(guò)進(jìn)行實(shí)施考察的方式采集評(píng)估信息C、可以通過(guò)建立模型的方法采集評(píng)估信息D、可以制作問(wèn)卷，進(jìn)行調(diào)查答案：C解析：基于知識(shí)的風(fēng)險(xiǎn)評(píng)估方法和基于模型的風(fēng)險(xiǎn)評(píng)估方法是并列關(guān)系150.在信息安全管理日常工作中，需要與哪些機(jī)構(gòu)保持聯(lián)系？A、政府部門(mén)B、監(jiān)管部門(mén)C、外部專(zhuān)家D、以上都是答案：D151.SQLServer支持兩種身份驗(yàn)證模式,即Windows身份驗(yàn)證模式和混合模式。SQLServer的混全模式是指:當(dāng)網(wǎng)絡(luò)用戶(hù)嘗試接到SQLServer數(shù)據(jù)庫(kù)時(shí),（）A、Windows獲取用戶(hù)輸入的用戶(hù)和密碼,并提交給SQLServe進(jìn)行身份驗(yàn)證,并決定用戶(hù)的數(shù)據(jù)庫(kù)訪權(quán)限B、SQLServe根據(jù)用戶(hù)輸入的用戶(hù)和密碼,并提交給Windows進(jìn)行身份驗(yàn)證,并決定用戶(hù)的數(shù)據(jù)庫(kù)訪權(quán)限C、SQLServe根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶(hù)的網(wǎng)絡(luò)安全屬性,對(duì)用戶(hù)進(jìn)行身份驗(yàn)證,并決定用戶(hù)的數(shù)據(jù)庫(kù)訪權(quán)限D(zhuǎn)、登錄到本地Windows的用戶(hù)均可無(wú)限制訪問(wèn)SQLServe數(shù)據(jù)庫(kù)答案：C152.下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類(lèi)漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類(lèi)漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案：D解析：零日漏洞：剛被發(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞153.ISO／IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于A、BS7799-1《信息安全實(shí)施細(xì)則》B、BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則（簡(jiǎn)稱(chēng)ITSEC、D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（簡(jiǎn)稱(chēng)CC）答案：B154.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)（IntrusienDetectionSystem，IDS）產(chǎn)品，需要購(gòu)買(mǎi)防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻答案：D155.電子郵件客戶(hù)端通常需要用協(xié)議來(lái)發(fā)送郵件。A、僅SMTPB、僅POPC、SMTP和POPD、以上都不正確答案：A156.下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國(guó)家秘密法》要求A、國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部門(mén)分別會(huì)同外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定。B、各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)。C、對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)，然后報(bào)國(guó)家保密工作部門(mén)確定。D、對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，由國(guó)家保密工作部門(mén)，省、自治區(qū)、直轄市的保密工作部門(mén)，省、自治區(qū)政府所在地的市和經(jīng)國(guó)務(wù)院批準(zhǔn)的較大的市的保密工作部門(mén)或者國(guó)家保密工作部門(mén)審定的機(jī)關(guān)確定。答案：C157.基于生物特征的鑒別系統(tǒng)一般使用哪個(gè)參數(shù)來(lái)判斷系統(tǒng)的準(zhǔn)確度？A、錯(cuò)誤拒絕率B、錯(cuò)誤監(jiān)測(cè)率C、交叉錯(cuò)判率D、錯(cuò)誤接受率答案：C158.下列關(guān)于信息系統(tǒng)生命周期中安全需求說(shuō)法不準(zhǔn)確的是A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評(píng)估準(zhǔn)則D、對(duì)系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證答案：C159.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中辦發(fā)[2003]27號(hào)明確了我國(guó)信息安全保障工作的（）、加強(qiáng)信息安全保障工作的（）、需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是，它標(biāo)志著我國(guó)信息安全保障工作有了（）、我國(guó)最近十余年的信息安全保障工作都是圍繞此政策性文件來(lái)（）的、促進(jìn)了我國(guó)（）的各項(xiàng)工作。A、方針和總體要求；主要原則；總體綱領(lǐng)；展開(kāi)和推進(jìn)；信息安全保障建設(shè)B、總體要求；總體綱領(lǐng)；主要原則；展開(kāi)；信息安全保障建設(shè)C、方針；主要原則；總體綱領(lǐng)；展開(kāi)和推進(jìn)；信息安全保障建設(shè)D、總體要求；主要原則；總體綱領(lǐng)；展開(kāi)；信息安全保障建設(shè)答案：A解析：27號(hào)文標(biāo)志著我國(guó)信息安全保障工作有了總體綱領(lǐng)。160.WINDOWS系統(tǒng)，下列哪個(gè)命令可以列舉本地所有用戶(hù)列表A、netuserB、netviewC、netnameD、netaccounts答案：A161.某銀行有5臺(tái)交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò)（如圖所示）。在基于以太網(wǎng)的通信中，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信，A必須先廣播ARP請(qǐng)求信息。獲取計(jì)算機(jī)B的物理地址，每到月底時(shí)用戶(hù)發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢，銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺(tái)交換機(jī)收到ARP請(qǐng)求后，會(huì)轉(zhuǎn)發(fā)給接收端口以外的其他所有端口，ARP請(qǐng)求會(huì)被發(fā)到網(wǎng)絡(luò)中的所有客戶(hù)上，為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是（）A、VLAN劃分B、動(dòng)態(tài)分配地址C、為路由交換設(shè)備修改默認(rèn)令D、設(shè)立入侵防御系統(tǒng)答案：A162.以下有關(guān)訪問(wèn)控制矩陣中行和列中元素的描述正確的是：A、行中放用戶(hù)名，列中放對(duì)象名B、行中放程序名，列中放用戶(hù)名C、列中放用戶(hù)名，行