PAGEPAGE1一、單選題1.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的（）A、小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自教給李強就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請升級郵件服務(wù)軟件答案：C2.（）通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。A、AccessVPNB、IntranetVPNC、ExtranetVPND、InternetVPN答案：B3.關(guān)于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實踐要素B、管理體系（ManagementSystems）是為達到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護體系和加強人員的安全意識等內(nèi)容答案：A4.與瀏覽器兼容性測試不需要考慮的問題是（）A、軟件是否可以在不同的J2EE中運行B、不同的瀏覽器是否可以提供合適的安全設(shè)置C、腳本和插件是否適用于不同的瀏覽器D、符合最新HTML版本的頁面能否在瀏覽器中正確顯示答案：B5.關(guān)于信息安全策略文件的評審以下說法不正確的是哪個？A、信息安全策略應(yīng)由專人負責(zé)制定、評審。B、信息安全策略評審每年應(yīng)進行兩次，上半年、下半年各進行一次。C、在信息安全策略文件的評審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D、在信息安全策略文件的評審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。答案：B6.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成功的重要基礎(chǔ)。某單位在實施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險評估準(zhǔn)備階段B、風(fēng)險要素識別階段C、風(fēng)險分析D、風(fēng)險結(jié)果判定階段答案：B7.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO，請你指出存在問題的是哪個總結(jié)？（）A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報、確定應(yīng)急事件優(yōu)先級應(yīng)急響應(yīng)啟動實施、應(yīng)急響應(yīng)時間后期運維、更新現(xiàn)在應(yīng)急預(yù)案五個階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分類依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，分為7個基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)答案：A解析：“無需進行應(yīng)急演練工作”錯誤8.下面哪一種是最安全和最經(jīng)濟的方法，對于在一個小規(guī)模到一個中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A、虛擬專用網(wǎng)B、專線C、租用線路D、綜合服務(wù)數(shù)字網(wǎng).答案：A9.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準(zhǔn)備－>檢測－〉遏制－〉根除－〉恢復(fù)－〉跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是（）。A、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風(fēng)險，實施針對風(fēng)險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟答案：C解析：關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁。10.以下對Kerberos協(xié)議過程說法正確的是：A、協(xié)議可以分為兩個步驟：一是用戶身份鑒別；二是獲取請求服務(wù)B、協(xié)助可以分為兩個步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)C、協(xié)議可以分為三個步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)答案：D11.GB/T18336＜＜信息技術(shù)安全性評估準(zhǔn)則>>（CC）是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護輪廓（ProtectionProfile,PP）和安全目標(biāo)（SecurityTarget,ST）的評估準(zhǔn)則,提出了評估保證級（EvaluationAssuranceLevel,EAL）,其評估保證級共分為（）個遞增的評估保證等級A、4B、5C、6D、7答案：D12.某公司正在進行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中哪個最應(yīng)該引起關(guān)注（）A、由于有限的測試時間窗，僅僅測試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時間里陸續(xù)單獨測試B、在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗C、在開啟備份站點之前關(guān)閉和保護原生產(chǎn)站點的過程比計劃需要多得多的時間D、每年都是由相同的員工執(zhí)行此測試，由于所有的參與者都很熟悉每一個恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)計劃（DRP）文檔答案：D13.設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙答案：C解析：安全領(lǐng)域一般選擇經(jīng)過檢驗的、成熟、安全的技術(shù)方案,一般不選最新的。14.關(guān)于軟件安全開發(fā)生命周期（SDL），下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本答案：C15.（）第23條規(guī)定存儲、處理國家機秘密的計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）,按照（）實行分級保護,（）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)（）后方可投入使用。A、《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B、《國家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格C、《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D、《安全保密法》;涉密程度,涉密信息系統(tǒng);保密設(shè)施;檢查合格答案：A16.了數(shù)據(jù)傳輸時不發(fā)生數(shù)據(jù)截獲和信息泄密，采取了加密機制。這種做法體現(xiàn)了信息安全的____屬性。A、保密性B、完整性C、可靠性D、可用性答案：A17.一個備份站點包括電線、空調(diào)和地板，但不包括計算機和通訊設(shè)備，那么它屬于A、冷站B、溫站C、直線站點D、鏡像站點答案：A18.關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的？A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認機構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B、國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)C、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D、行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止答案：B19.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件答案：D解析：參考P147頁安全事件定級。20.公鑰密碼的應(yīng)用不包括：A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認證碼D、身份認證答案：C21.在人力資源審計期間，安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A、為兩部門起草一份服務(wù)水平協(xié)議B、向高級管理層報告存在未被書面簽訂的協(xié)議C、向兩部門確認協(xié)議的內(nèi)容D、推遲審計直到協(xié)議成為書面文檔答案：C22.如果恢復(fù)時間目標(biāo)增加，則A、災(zāi)難容忍度增加B、恢復(fù)成本增加C、不能使用冷備援計算機中心D、數(shù)據(jù)備份頻率增加答案：A23.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D.該銀行整體安全策略答案：C24.下面各種方法,哪個是制定災(zāi)難恢復(fù)策略必須最先評估的A、所有的威脅可以被完全移除B、一個可以實現(xiàn)的成本效益,內(nèi)置的復(fù)原C、恢復(fù)時間可以優(yōu)化D、恢復(fù)成本可以最小化答案：B25.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲C、系統(tǒng)設(shè)計缺陷D、保安工作不得力答案：B26.84.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險評估準(zhǔn)備B、風(fēng)險要素識別C、風(fēng)險分析D、風(fēng)險結(jié)果判定答案：B27.以下哪一種備份方式再恢復(fù)時間上最快？A、增量備份B、差異備份C、完全備份D、磁盤備份答案：B28.二十世紀二十年代，德國發(fā)明家亞瑟·謝爾比烏斯（ArthurScherbius）發(fā)明了Engmia密碼機。按照密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于（）A、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（“TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索B、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和置換方法C、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時，眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合D、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備答案：D29.關(guān)于信息安全策略的說法中，下面說法正確的是:A、信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)B、信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)為基礎(chǔ)C、信息安全策略是以信息系統(tǒng)風(fēng)險管理為基礎(chǔ)D、在信息系統(tǒng)尚未建設(shè)完成之前，無法確定信息安全策略答案：C30.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個組件。以下說法錯誤的是？A、EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Window7環(huán)境下）D、EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登錄Windows時進行的答案：C31.功能測試不能實現(xiàn)以下哪個功能（）A、漏洞B、補丁C、口令策略D、全網(wǎng)訪問控制策略答案：D32.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從或脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙C、搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)D、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標(biāo)破壞的信息作戰(zhàn)部隊答案：B33.下列安全控制措施的分類中,哪個分類是正確的（P-預(yù)防性的,D-檢測性的以及,C-糾正性的控制）:網(wǎng)絡(luò)防火墻;RAID級別3;銀行賬單的監(jiān)督復(fù)審;分配計算機用戶標(biāo)識;交易日志;A、P,P,C,D,andC;B、D,C,C,D,andD;C、P,C,D,P,andDD、P,D,P,P,andC;答案：C34.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是:A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南B、系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)C、系統(tǒng)安全工程能力成熟度模型（SSECM）是種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法D、系統(tǒng)安全工程能力成熟度模型（SSECM）是在原有能力成熟度模型（CM）的基礎(chǔ)上。通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的.成熟的.可測量的先進學(xué)科答案：D35.以下誰具有批準(zhǔn)應(yīng)急響應(yīng)計劃的權(quán)利A、應(yīng)急委員會B、各部門C、管理層D、外部專家答案：C36.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限答案：C37.下面哪一個機構(gòu)不屬于美國信息安全保障管理部門？A、國土安全部。B、國防部。C、國家基礎(chǔ)設(shè)施顧問委員會。D、國家標(biāo)準(zhǔn)技術(shù)研究所。答案：C38.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：A、數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復(fù)B、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進行事物故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進行介質(zhì)故障恢復(fù)D、計算機系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交答案：D39.某公司在測試災(zāi)難恢復(fù)計劃時是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運營所必要的關(guān)鍵數(shù)據(jù)沒有被保留,可能由于什么沒有明確導(dǎo)致的?A、服務(wù)中斷的時間間隔B、目標(biāo)恢復(fù)時間（RTO）C、服務(wù)交付目標(biāo)D、目標(biāo)恢復(fù)點（RPO）答案：D40.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示,對于文件名為test的一個文件,屬于admin組中user用戶,以下哪個是該文件正確的模式表示?A、-rwxr-xr-x3useradmin1024Sep1311:58testB、drwxr-xr-x3useradmin1024Sep1311:58testC、-rwxr-xr-x3adminuser1024Sep1311:58testD、drwxr-xr-x3adminuser1024Sep1311:58test答案：A解析：題目考核的是linux系統(tǒng)的權(quán)限表達格式。41.對于人員管理的描述錯誤的是____。（）A、人員管理是安全管理的重要環(huán)節(jié)B、安全授權(quán)不是人員管理的手段C、安全教育是人員管理的有力手段D、人員管理時，安全審查是必須的答案：B42.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。某單位在實施風(fēng)險評估時，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風(fēng)險評估中風(fēng)險要素識別階段輸出的文檔A、《風(fēng)險評估方案》，主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費預(yù)算和進度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容答案：D43.Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面哪項是正確的？A、這個文件可以被任何用戶讀和寫B(tài)、這個可以被任何用戶讀和執(zhí)行C、這個文件可以被任何用戶寫和執(zhí)行D、這個文件不可以被所有用戶寫和執(zhí)行答案：B44.信息安全風(fēng)險管理是基于（）的信息安全管理,也就是,始終以（）為主線進行信息安全的管理。應(yīng)根據(jù)實際（）的不同來理解信息安全風(fēng)險管理的側(cè)重點,即（）選擇的范圍和對象重點應(yīng)有所不同。A、風(fēng)險;風(fēng)險;信息系統(tǒng):風(fēng)險管理B、風(fēng)險;風(fēng)險;風(fēng)險管理;信息系統(tǒng)C、風(fēng)險管理;信息系統(tǒng);風(fēng)險;風(fēng)險D、風(fēng)險管理;風(fēng)險;風(fēng)險;信息系統(tǒng)答案：A45.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物,從安全角度看,下面哪項是不好的操作習(xí)慣:A、使用專用上網(wǎng)購物用計算機,安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件,包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中,設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時,設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)答案：A解析：安裝好軟件后應(yīng)及時對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級,以增加操作系統(tǒng)的安全性46.信息安全風(fēng)險管理的對象不包括如下哪項A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境答案：C47.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時，以下說法正確的是（）A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報文驗證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機密性答案：C48.108.為保障信息系統(tǒng)的安全,某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對性的信息安全保障方案,并將編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報告,關(guān)于此項工作,下面說法錯誤的是（）A、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫B(tài)、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)C、信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估報告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫答案：A49.下面哪個組合不是是信息資產(chǎn)A、硬件、軟件、文檔資料B、關(guān)鍵人員C、組織提供的信息服務(wù)D、桌子、椅子答案：D50.一個公司解雇了一個數(shù)據(jù)庫管理員,并且解雇時立刻取消了數(shù)據(jù)庫管理員對公司所有系統(tǒng)的訪問權(quán),但是數(shù)據(jù)管理員威脅說數(shù)據(jù)庫在兩個月內(nèi)將被刪除，除非公司付他一大筆錢。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫？A、放置病毒B、蠕蟲感染C、DoS攻擊D、邏輯炸彈攻擊答案：D51.我國正式公布了電子簽名法，數(shù)字簽名機制用于實現(xiàn)____需求。（）A、抗否認B、保密性C、完整性D、可用性答案：A52.下面對自由訪問控制〔DAC〕描述正確的選項是A、比較強制訪問控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用答案：D53.TCP/IP協(xié)議的4層概念模型是（）A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層答案：A54.某單位在實施信息安全風(fēng)險評估后，形成了若干文擋，下面（）中的文擋不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費預(yù)算和進度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》。主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容答案：C解析：《已有安全措施列表》屬于風(fēng)險要素識別階段。55.通過以下哪個命令可以查看本機端口和外部連接狀況（）A、netstat-anB、netconn-anC、netport-aD、netstat-all答案：A56.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（）。A、身份鑒別是授權(quán)控制的基礎(chǔ)B、身份鑒別一般不用提供雙向的認證C、目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D、數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制答案：B57.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項？A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS答案：D58.信息安全是國家安全的重要組成部分,綜合研究當(dāng)前世界各國信息安全保障工作,總結(jié)錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點B、各國普遍重視戰(zhàn)略規(guī)劃工作,逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流與對話,均同意建立一致的安全保障系統(tǒng),強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè),重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評答案：C59.管理體系審計員進行通信訪問控制審查，首先應(yīng)該關(guān)注：A、維護使用各種系統(tǒng)資源的訪問日志B、在用戶訪問系統(tǒng)資源之前的授權(quán)和認證C、通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護D、確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力.答案：D60.chmod744test命令執(zhí)行的結(jié)果是：A、test文件的所有者具有執(zhí)行讀寫權(quán)限，文件所屬的組合其它用戶有讀的權(quán)限B、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀的權(quán)限C、test文件的所有者具有執(zhí)行讀和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀的權(quán)限D(zhuǎn)、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀和寫的權(quán)限答案：B61.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制答案：C62.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關(guān)于這兩者，下面描述錯誤的是A、內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議的形式進行C、內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應(yīng)當(dāng)按照一定的周期實施D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象答案：A63.在密碼學(xué)的Kerchhof假設(shè)中,密碼系統(tǒng)的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道答案：C64.以下關(guān)于直接附加存儲（DirectAttachedStorage，DAS）說法錯誤的是A、DAS能夠在服務(wù)器物理位置比較分散的情況下實現(xiàn)大容量存儲．是一種常用的數(shù)據(jù)存儲方法B、DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單C、DAS的缺點在于對服務(wù)器依賴性強，當(dāng)服務(wù)器發(fā)生故障時，連接在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲（NetworkAttachedStorage，NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進行管理和備份答案：D65.下列關(guān)于防火墻的錯誤說法是____。（）A、防火墻工作在網(wǎng)絡(luò)層B、對IP數(shù)據(jù)包進行分析和過濾C、重要的邊界保護機制D、部署防火墻，就解決了網(wǎng)絡(luò)安全問題答案：D66.下列哪項是系統(tǒng)問責(zé)時不需要的？A、認證B、鑒定C、授權(quán)D、審計答案：C67.關(guān)于信息安全的說法錯誤的是____。（）A、包括技術(shù)和管理兩個主要方面B、策略是信息安全的基礎(chǔ)C、采取充分措施，可以實現(xiàn)絕對安全D、保密性、完整性和可用性是信息安全的目標(biāo)答案：C68.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告。關(guān)于此項工作，下面說法錯誤的是（）。A、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)B、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫C、信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫答案：D解析：信息安全需求報告不應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫，而應(yīng)該依據(jù)現(xiàn)有安全現(xiàn)狀，痛點以及客戶需求來寫。69.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是？A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D、WPA是依照802.111標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.111正式標(biāo)準(zhǔn)制定的答案：D70.主體和客體是訪問控制模型中常用的概念，下面描述錯誤的是？A、主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關(guān)信息或數(shù)據(jù)B、客體也是一種實體，是操作的對象，是被規(guī)定需要保護的資源C、主體是動作的實施者，比如人、進程或設(shè)備等均是主體，這些對象不能被當(dāng)作客體使用D、一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨立運行答案：C71.如下圖所示,兩份文件包含了不同的內(nèi)容,卻擁有相同的SHA-1數(shù)字簽名A,這違背了安全的哈希函數(shù)（）性質(zhì)。A、單向性;B、弱抗碰撞性;C、強抗碰撞性;D、機密性;答案：C解析：該題目是違背了強抗碰撞性,P282頁。72.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個具體指標(biāo)：恢復(fù)時間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點目標(biāo)（RecoveryPointObjective,RPO）降級操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO），小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒有任何數(shù)據(jù)丟失，但需要進行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分數(shù)據(jù)丟失，需要進行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒有任何數(shù)據(jù)丟失，且不需要進行業(yè)務(wù)恢復(fù)處理答案：A73.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁、只關(guān)注外來的威脅，無視企業(yè)內(nèi)部人員的問題B、相信來自陌生人的郵件，好奇打開郵件附件C、開著電腦離開，就像離開家卻忘記關(guān)燈那樣D、及時更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補丁答案：D74.數(shù)據(jù)備份常用的方式主要有：完全備份、增量備份和（）。A、邏輯備份B、按需備份C、差分備份D、物理備份答案：C75.以下屬于哪一種認證實現(xiàn)方式：用戶登錄時，認證服務(wù)器（AuthenticationServer，AS）產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS,AS用同樣的防腐計算后，驗證比較兩個口令即可驗證用戶身份。A、口令序列B、時間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令答案：C76.要安全瀏覽網(wǎng)頁，不應(yīng)該（）。A、定期清理瀏覽器緩存和上網(wǎng)歷史記錄B、禁止使用ActiveX控件和Java腳本C、定期清理瀏覽器CookiesD、在他人計算機上使用“自動登錄”和“記住密碼”功能答案：D77.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進行認證，也支持跨域認證，下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認證的7個步驟，其中有幾個步驟出現(xiàn)錯誤，圖中錯誤的描述正確的是A、步驟1和步驟2發(fā)生錯誤，應(yīng)該向本地AS請求并獲得遠程TGTB、步驟3和步驟4發(fā)生錯誤，應(yīng)該向本地TGS請求并獲得遠程TGTC、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程AS請求并獲得遠程TGTD、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程TGS請求并獲得遠程TGT答案：B78.下面哪類命令是CISCO限制接口流量的？A、RATE-LIMITB、privilegeC、AAAD、LOOPBACK答案：A79.以下哪個選項不是信息安全需求較為常見的來源？A、法律法規(guī)與合同條約的要求B、組織的原則、目標(biāo)和規(guī)定C、風(fēng)險評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞的預(yù)警答案：D80.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP_cmdshe11刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站涉及違反了以下哪些原則：A、權(quán)限分離原則B、最小特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B81.某網(wǎng)站為了開發(fā)的便利,使用SA鏈接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞,導(dǎo)致攻擊者利用內(nèi)置存儲過程XP.cmctstell刪除了系統(tǒng)中的一個重要文件,在進行問題分析時,作為安全專家,你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則:A、權(quán)限分離原則B、最小特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B82.信息安全管理體系（informationSecurityManagementSystem.ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關(guān)于這兩者，下面描述錯誤的是（）A、內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應(yīng)當(dāng)按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議的形式進行C、內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)D、組織的信息安全方針，信息目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評審中，這些文件是被審對象答案：C83.下面哪個功能屬于操作系統(tǒng)中的安全功能A、控制用戶的作業(yè)排序和運行B、對計算機用戶訪問系統(tǒng)和資源情況進行記錄C、保護系統(tǒng)程序和作業(yè)，禁止不合要求的對程序和數(shù)據(jù)的訪問D、實現(xiàn)主機和外設(shè)的并行處理以及異常情況的處理答案：C84.如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題，下面哪個選項是合適的補償性控制？A、限制物理訪問計算機設(shè)備B、檢查應(yīng)用及事務(wù)處理日志C、在聘請IT人員之前進行背景檢查D、在不活動的特定時間后，鎖定用戶會話答案：B85.信息安全管理體系ISMS要求建立過程體系，該過程體系是如下（）基礎(chǔ)上構(gòu)建的A、IATFB、P2DRC、PDCERFD、PDCA答案：D86.在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的：A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用答案：B87.國家對信息安全建設(shè)非常重視，如國家信息化領(lǐng)導(dǎo)小組在（）中確定要求，“信息安全建設(shè)是信息化的有機組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運行維護費用?！眹野l(fā)展改革委所下發(fā)的（）要求；電子政務(wù)工程建設(shè)項目必須同步考慮安全問題，提供安全專項資金，信息安全風(fēng)險評估結(jié)論是項目驗收的重要依據(jù)。在我國2017年正式發(fā)布的（）中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！毙畔踩こ叹褪且鉀Q信息系統(tǒng)生命周期的“過程安全”問題。A、《關(guān)于加強信息安全保障工作的意見》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》；《網(wǎng)絡(luò)安全法》B、《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》；《網(wǎng)絡(luò)安全法》C、《網(wǎng)絡(luò)安全法》；《關(guān)于加強信息安全保障工作的意見>>;＜＜關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》D、《網(wǎng)絡(luò)安全法》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》答案：A88.以下哪一項對安全風(fēng)險的描述是準(zhǔn)確的？A、安全風(fēng)險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實。C、安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險是指資產(chǎn)的脆弱性被威脅利用的情形。答案：C89.以下無線加密標(biāo)準(zhǔn)中哪一種安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P答案：A90.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預(yù)先制定的行動計劃或應(yīng)急對策。應(yīng)急預(yù)案的實施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應(yīng)急響應(yīng)工作流程圖中,空白方框中從右到左依次填入的是（）A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組。應(yīng)急響應(yīng)日常運行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運行小組、應(yīng)急響應(yīng)實施小組答案：A91.哪一項不是管理層承諾完成的？A、確定組織的總體安全目標(biāo)B、購買性能良好的信息安全產(chǎn)品C、推動安全意識教育D、評審安全策略的有效性答案：B92.域名注冊信息可在哪里找到？A、路由器B、DNS記錄C、Whois數(shù)據(jù)庫D、MIBs庫答案：C93.在信息系統(tǒng)的設(shè)計階段必須做以下工作除了：A、決定使用哪些安全控制措施B、對設(shè)計方案的安全性進行評估C、開發(fā)信息系統(tǒng)的運行維護手冊D、開發(fā)測試、驗收和認可方案答案：C94.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議AWPA和2WPA2的區(qū)別，下面描述正確的是（）A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證DD、WPPAA照是依照i802.11i標(biāo)準(zhǔn)草案制定的，而WWPPAA22照是依照i802.11i正式標(biāo)準(zhǔn)制定的答案：D95.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成功的重要基礎(chǔ)。某單41位在實施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風(fēng)險評估準(zhǔn)備B、風(fēng)險要素識別C、風(fēng)險分析D、風(fēng)險結(jié)果判定答案：B解析：風(fēng)險評估包括四個階段：風(fēng)險評估準(zhǔn)備階段、風(fēng)險要素識別階段、風(fēng)險分析階段和風(fēng)險結(jié)果判定階段。其中評估方案、工具、團隊、人員、計劃、準(zhǔn)則都屬于準(zhǔn)備階段；資產(chǎn)識別、威脅識別、脆弱性識別、安全措施識別都屬于要素識別階段。96.在安全人員的幫助下，對數(shù)據(jù)提供訪問權(quán)的責(zé)任在于：A、數(shù)據(jù)所有者.B、程序員C、系統(tǒng)分析師.D、庫管員答案：A97.以下哪項是正確的信息安全保障發(fā)展歷史順序？A、通信安全→電腦安全→信息系統(tǒng)安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障B、通信安全→信息安全保障→電腦安全→信息系統(tǒng)安全→網(wǎng)絡(luò)空間安全/信息安全保障C、電腦安全→通信安全→信息系統(tǒng)安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障D、通信安全→信息系統(tǒng)安全→電腦安全→信息安全保障→網(wǎng)絡(luò)空間安全/信息安全保障答案：A98.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A、要與過接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息化安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D、在國家信息安全保障中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用答案：A99.在Windos7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進行設(shè)置A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強制密碼歷史D、賬號鎖定時間答案：D100.信息系統(tǒng)安全保護等級為3級的系統(tǒng),應(yīng)當(dāng)（）年進行一次等級測評?A、0.5B、1C、2D、3答案：B101.從安全屬性對各種網(wǎng)絡(luò)攻擊進行分類，截獲攻擊是針對（）的攻擊。A、機密性B、可用性C、完整性D、真實性答案：A102.《計算機信息系統(tǒng)安全保護條例》規(guī)定，計算機信息系統(tǒng)的安全保護工作，重點維護國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的____的安全。（）A、計算機B、計算機軟件系統(tǒng)C、計算機信息系統(tǒng)D、計算機操作人員答案：C103.為保障信息系統(tǒng)的安全,某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對性的信息安全保障方案,并將編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報告,關(guān)于此項工作,下面說法錯誤的是（）A、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫B(tài)、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)C、信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估報告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫答案：A104.關(guān)于監(jiān)理過程中成本控制,下列說法中正確的是?A、成本只要不超過預(yù)計的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實現(xiàn),監(jiān)理單位只能記錄實際開銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項目保質(zhì)按期完成答案：D105.微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關(guān)于此項安全要求，下面描述錯誤的是（）A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B、解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強認證、數(shù)字簽名、安全審計等技術(shù)措施C、R威脅是STRIDE六種威脅中第三嚴重的威脅，比D威脅和E威脅的嚴重程度更高D、解決R威脅，也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行答案：C106.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity,IPsec）協(xié)議說法錯誤的是:A、在傳送模式中,保護的是IP負載B、驗證頭協(xié)議（AuthenticationHead,AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload,ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中,保護的是整個互聯(lián)網(wǎng)協(xié)議（InternetProtocol,IP）包,包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性答案：D107.下列對網(wǎng)絡(luò)認證協(xié)議（Kerberos）描述正確的是:A、該協(xié)議使用非對稱密鑰加密機制B、密鑰分發(fā)中心由認證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時鐘基本同步的環(huán)境答案：B108.傳輸線路是信息發(fā)送設(shè)備和接受設(shè)備之間的物理通路，針對傳輸線路的攻擊是攻擊者常用的方式，不同傳輸介質(zhì)具有不同的安全特性。同軸電纜、雙絞線和光纖是廣泛使用的有線傳輸介質(zhì).下列選項中，對有線傳輸介質(zhì)的描述正確的是（）。A、同軸電纜顯著的特征是頻帶較寬，其中高端的頻帶最大可達到100GHzB、在雙經(jīng)線外包裹一層金屬屏蔽層，可解決抗干擾能力差的問題C、由于光在塑料的保護套中傳輸損耗非常低，因此光纖可用于長距離的信息傳遞D、光纖通信傳輸具有高帶寬、信號衰減小、無電磁干擾、不易被竊聽、成本低康等特點答案：B109.降低企業(yè)所面臨的信息安全風(fēng)險的手段，以下說法不正確的是？A、通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷B、通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險責(zé)任答案：D110.為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法?A、實體“所知”以及實體“所有”的鑒別方法B、實體“所有”以及實體“特征”的鑒別方法C、實體“所知”以及實體“特征”的鑒別方法D、實體“所有”以及實體“行為”的鑒別方法答案：A111.下列____不屬于物理安全控制措施。（）A、門鎖B、警衛(wèi)C、口令D、圍墻答案：C112.以下哪個模型主要用于醫(yī)療資料的保護？A、Chinesewall模型B、BIBA模型C、Clark－Wilson模型D、BMA模型答案：D113.信息安全是通過實施一組合適的（）而達到的,包括策略、過程、規(guī)程、（）以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進包含這些控制措施的（）過程,以確保滿足該組織的特定安全和（）。這個過程宜與其他業(yè)務(wù)（）聯(lián)合進行。A、信息安全管理;控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);管理過程B、組織結(jié)構(gòu);控制措施;信息安全管理;業(yè)務(wù)目標(biāo);管理過程C、控制措施;組織結(jié)構(gòu);信息安全管理;業(yè)務(wù)目標(biāo);管理過程D、控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);信息安全管理;管理過程答案：C解析：P103頁114.發(fā)現(xiàn)個人電腦感染病毒，斷開網(wǎng)絡(luò)的目的是（）A、影響上網(wǎng)速度B、擔(dān)心數(shù)據(jù)被泄露電腦被損壞C、控制病毒向外傳播D、防止計算機被病毒進一步感染答案：B115.下面哪個命令可以打印Linux下的所有進程信息A、ls-dB、ls-lC、suD、ps-ef答案：D116.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責(zé)和信息分類兩個控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級別的保護，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類指南，信息的標(biāo)記和處理答案：D117.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時,使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅.STRIDE是微軟SDL中提出的威脅建模方法,將威脅分為六類,為每一類威脅提供了標(biāo)準(zhǔn)的消減措施,Spoofing是STRIDE中欺騙類的威脅,以下威脅中哪個可以歸入此類威脅（）.A、網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊,降低網(wǎng)站訪問速度B、網(wǎng)站使用用戶名、密碼進行登錄驗證,攻擊者可能會利用弱口令或其他方式獲得用戶密碼,以該用戶身份登錄修改用戶訂單等信息C、網(wǎng)站使用使用http協(xié)議進行瀏覽等操作,無法確認數(shù)據(jù)與用戶發(fā)出的是否一致,可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用使用http協(xié)議進行瀏覽等操作,未對數(shù)據(jù)進行加密,可能導(dǎo)致用戶傳輸信息泄露,例如購買的商品金額等答案：B解析：A屬于拒絕服務(wù)威脅；C屬于篡改威脅；D屬于信息泄露威脅.P405頁118.黑客通常實施攻擊的步驟是什么？（）A、遠程攻擊、本地攻擊、物理攻擊B、踩點、掃描、獲取訪問權(quán)、提升權(quán)限、安裝后門、清除痕跡C、拒絕服務(wù)攻擊、掃描、獲取控制器、清除痕跡D、掃描、拒絕服務(wù)攻擊、獲取控制權(quán)、安裝后門、嗅探答案：B119.某集團公司根據(jù)業(yè)務(wù)需要，在各地分支機構(gòu)部署前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務(wù)器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施?A、由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進行分析B、為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險C、日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置讓前置機不記錄日志D、只允許特定的IP地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間答案：D120.國務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分級建設(shè)C、資源共享D、平戰(zhàn)結(jié)合答案：B121.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的（）A、要充分符合信息安全需求并且實際可行B、要充分考慮成本收益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本C、要使用當(dāng)前最新的技術(shù)和成本最高的設(shè)備，從而保障信息系統(tǒng)的絕對安全D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙答案：C122.公安部網(wǎng)絡(luò)違法案件舉報網(wǎng)站的網(wǎng)址是____。（）A、B、C、D、答案：C123.以下哪一項不是應(yīng)用層防火墻的特點？A、更有效的阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對用戶透明D、比較容易進行審計答案：C124.授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管答案：C125.關(guān)于防火墻和VPN的使用，下面說法不正確的是____。（）A、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨立B、配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)C、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)D、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴答案：B126.組織應(yīng)依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務(wù)應(yīng)用要求,訪問控制策略還要與組織訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認證和（）時,宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具和程序的使用,應(yīng)加以限制并（）。對程序源代碼和相關(guān)事項（例如設(shè)計、說明書、驗證計劃和確認計劃）的訪問宜嚴格控制,以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的（）。對于程序源代碼的保存,可以通過這種代碼的中央存儲控制來實現(xiàn),更好的是放在（）中。A、應(yīng)用系統(tǒng);身份驗證;嚴格控制;保密性;源程序庫B、身份驗證;應(yīng)用系統(tǒng);嚴格控制;保密性;源程序庫C、應(yīng)用系統(tǒng);嚴格控制;身份驗證;保密性;源程序庫D、應(yīng)用系統(tǒng);保密性;身份驗證;嚴格控制;源程序庫答案：A解析：教材第112頁9.4.5表格之下的所有部分,到118頁的最上面一段127.“統(tǒng)一威脅管理”是將防病毒,入侵檢測和防火墻等安全需求統(tǒng)一管理,目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備,這里“統(tǒng)一威脅管理”常常被簡稱為（）A、UTMB、FWC、IDSD、SOC答案：A128.隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的重要信息暴露在越來越多的威脅中。去年，某高校本科生院網(wǎng)站遭遇SQL群注入（MassSQLInjection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測防火墻，其原因不包括（）A、狀態(tài)監(jiān)測防火墻具有記錄通過每個包的詳細信息能力B、狀態(tài)監(jiān)測防火墻過濾規(guī)則與應(yīng)用層無關(guān)，相比于包過濾防火墻更易安裝和使用C、狀態(tài)監(jiān)測防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認證或報警等處理動作D、狀態(tài)監(jiān)測防火墻可以應(yīng)用會話信息決定過濾規(guī)則答案：B129.在加固數(shù)據(jù)庫時,以下哪個是數(shù)據(jù)庫加固最需要考慮的？A、修改默認配置B、標(biāo)準(zhǔn)數(shù)據(jù)庫所有的表空間C、存儲數(shù)據(jù)被加密D、修改數(shù)據(jù)庫服務(wù)的服務(wù)端口答案：A130.以下關(guān)于安全控制措施的選擇，哪一個選項是錯誤的?A、維護成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計成本的實施C、應(yīng)考慮控制措施的成本效益D、在計算整體控制成本的時候，應(yīng)考慮多方面的因素答案：B131.安全掃描可以____。（）A、彌補由于認證機制薄弱帶來的問題B、彌補由于協(xié)議本身而產(chǎn)生的問題C、彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊，分析所有的數(shù)據(jù)流答案：C132.關(guān)于信息安全管理體系的作用，下面理解錯誤的是？A、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補投入C、對外而言，有助于使各利益相關(guān)方對組織充滿信心D、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任答案：B133.目前，很多行業(yè)用戶在進行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評，關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是A、有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B、對用戶采購信息安全產(chǎn)品，設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境答案：D134.社會工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因為它不能總是重復(fù)合成功，并且在信息充分多的情況下它會失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時間流逝最終都會失效，因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會工程學(xué)利用的是人性的“弱點”，而人性是（）,這使得它幾乎是永遠有效的（）A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的答案：A135.以下哪種無線加密標(biāo)準(zhǔn)中哪一項的安全性最弱？A、WepB、wpaC、wpa2D、wapi答案：A136.應(yīng)急響應(yīng)時信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是？A、信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事業(yè)發(fā)生后的應(yīng)對措施B、應(yīng)急響應(yīng)工作有其鮮明的特點：具體高技術(shù)復(fù)雜性與專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)時組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性答案：D137.信息保障技術(shù)框架（IATF）是美國國家安全局（NSA）制定的，為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，關(guān)于IATF的說法錯誤的是？A、IATF的代表理論為“深度防御”。B、IATF強調(diào)人、技術(shù)、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進行防護。C、IATF關(guān)注本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施三個信息安全保障領(lǐng)域。D、IATF論述了系統(tǒng)工程、系統(tǒng)采購、風(fēng)險管理、認證和鑒定以及生命周期支持等過程。答案：C138.在一家企業(yè)的業(yè)務(wù)持續(xù)性計劃中,什么情況被宣布為一個危機沒有被定義。這一點關(guān)系到的主要風(fēng)險是:A、對這種情況的評估可能會延遲B、災(zāi)難恢復(fù)計劃的執(zhí)行可能會被影響C、團隊通知可能不會發(fā)生D、對潛在危機的識別可能會無效答案：B139.數(shù)據(jù)在進行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B140.68.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個國家信息系統(tǒng)建設(shè)參考使用B、B.IATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C、C.IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D、強調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運行維護的信息安全保障問題答案：A141.以下哪一個數(shù)據(jù)傳輸方式難以通過網(wǎng)絡(luò)竊聽獲取信息？A、FTP傳輸文件B、TELNET進行遠程管理C、URL以HTTPS開頭的網(wǎng)頁內(nèi)容D、經(jīng)過TACACS+認證和授權(quán)后建立的連接答案：C142.下面WAPI描述不正確的是:A、安全機制由WAI和WPI兩部分組成B、WAl實現(xiàn)對用戶身份的鑒別C、WPI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密D、WAI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密答案：D143.風(fēng)險評估實施過程中資產(chǎn)識別的依據(jù)是什么A、依據(jù)資產(chǎn)分類分級的標(biāo)準(zhǔn)B、依據(jù)資產(chǎn)調(diào)查的結(jié)果C、依據(jù)人員訪談的結(jié)果D、依據(jù)技術(shù)人員提供的資產(chǎn)清單答案：A144.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯誤的是（）A、在組織中，應(yīng)有信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體、具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達客戶、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認接受和相關(guān)殘余風(fēng)險答案：A145.某軟件在設(shè)計時,有三種用戶訪問模式,分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問）采用這三種訪問模式時,攻擊面最高的是（）。A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名D、三種方式一樣答案：C146.對信息安全風(fēng)險評估要素理解正確的是A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：A解析：B錯誤，應(yīng)該是抽樣評估；C錯誤，應(yīng)該其描述的是差距分析；D錯誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。147.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的選項是？A、準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B、開發(fā)出一套安全性評估準(zhǔn)則，和關(guān)鍵的描述變量。C、提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次。D、強調(diào)了風(fēng)險評估的重要性。答案：D148.以下關(guān)于直接附加存儲（DirectAttachedStorage,DAS）說法錯誤的是:A、DAS能夠在服務(wù)器物理位置比較分散的情況下實現(xiàn)大容量存儲.是一種常用的數(shù)據(jù)存儲方法B、DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離,存取性能較高并且實施簡單C、DAS的缺點在于對服務(wù)器依賴性強,當(dāng)服務(wù)器發(fā)生故障時,連接在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲（NetworkAttachedStorage,NAS）,DAS節(jié)省硬盤空間,數(shù)據(jù)非常集中,便于對數(shù)據(jù)進行管理和備份答案：D149.某項目組進行風(fēng)險評估時由于時間有限，決定采用基于知識的分析方法，使用基于知識的分析方法進行風(fēng)險評估，最重要的在于評估信息的采集，該項目組對信息源進行了討論，以下說法中不可行的是（）A、可以通過對當(dāng)前的信息安全策略和相關(guān)文檔進行復(fù)查采集評估信息B、可以通過進行實施考察的方式采集評估信息C、可以通過建立模型的方法采集評估信息D、可以制作問卷，進行調(diào)查答案：C解析：基于知識的風(fēng)險評估方法和基于模型的風(fēng)險評估方法是并列關(guān)系150.在信息安全管理日常工作中，需要與哪些機構(gòu)保持聯(lián)系？A、政府部門B、監(jiān)管部門C、外部專家D、以上都是答案：D151.SQLServer支持兩種身份驗證模式,即Windows身份驗證模式和混合模式。SQLServer的混全模式是指:當(dāng)網(wǎng)絡(luò)用戶嘗試接到SQLServer數(shù)據(jù)庫時,（）A、Windows獲取用戶輸入的用戶和密碼,并提交給SQLServe進行身份驗證,并決定用戶的數(shù)據(jù)庫訪權(quán)限B、SQLServe根據(jù)用戶輸入的用戶和密碼,并提交給Windows進行身份驗證,并決定用戶的數(shù)據(jù)庫訪權(quán)限C、SQLServe根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性,對用戶進行身份驗證,并決定用戶的數(shù)據(jù)庫訪權(quán)限D(zhuǎn)、登錄到本地Windows的用戶均可無限制訪問SQLServe數(shù)據(jù)庫答案：C152.下面對“零日（zero-day）漏洞”的理解中，正確的是A、指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補丁的漏洞都是零日漏洞答案：D解析：零日漏洞：剛被發(fā)現(xiàn)還未打補丁就被利用的漏洞153.ISO／IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于A、BS7799-1《信息安全實施細則》B、BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準(zhǔn)則（簡稱ITSEC、D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)（簡稱CC）答案：B154.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusienDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購當(dāng)前技術(shù)最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻答案：D155.電子郵件客戶端通常需要用協(xié)議來發(fā)送郵件。A、僅SMTPB、僅POPC、SMTP和POPD、以上都不正確答案：A156.下面對國家秘密定級和范圍的描述中，哪項不符合《保守國家秘密法》要求A、國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān)規(guī)定。B、各級國家機關(guān)、單位對所產(chǎn)生的國家秘密事項，應(yīng)當(dāng)按照國家秘密及其密級具體范圍的規(guī)定確定密級。C、對是否屬于國家秘密和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門確定。D、對是否屬于國家秘密和屬于何種密級不明確的事項，由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機關(guān)確定。答案：C157.基于生物特征的鑒別系統(tǒng)一般使用哪個參數(shù)來判斷系統(tǒng)的準(zhǔn)確度？A、錯誤拒絕率B、錯誤監(jiān)測率C、交叉錯判率D、錯誤接受率答案：C158.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險評估準(zhǔn)則D、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證答案：C159.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》中辦發(fā)[2003]27號明確了我國信息安全保障工作的（）、加強信息安全保障工作的（）、需要重點加強的信息安全保障工作。27號文的重大意義是，它標(biāo)志著我國信息安全保障工作有了（）、我國最近十余年的信息安全保障工作都是圍繞此政策性文件來（）的、促進了我國（）的各項工作。A、方針和總體要求；主要原則；總體綱領(lǐng)；展開和推進；信息安全保障建設(shè)B、總體要求；總體綱領(lǐng)；主要原則；展開；信息安全保障建設(shè)C、方針；主要原則；總體綱領(lǐng)；展開和推進；信息安全保障建設(shè)D、總體要求；主要原則；總體綱領(lǐng)；展開；信息安全保障建設(shè)答案：A解析：27號文標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)。160.WINDOWS系統(tǒng)，下列哪個命令可以列舉本地所有用戶列表A、netuserB、netviewC、netnameD、netaccounts答案：A161.某銀行有5臺交換機連接了大量交易機構(gòu)的網(wǎng)絡(luò)（如圖所示）。在基于以太網(wǎng)的通信中，計算機A需要與計算機B通信，A必須先廣播ARP請求信息。獲取計算機B的物理地址，每到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢，銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺交換機收到ARP請求后，會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口，ARP請求會被發(fā)到網(wǎng)絡(luò)中的所有客戶上，為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是（）A、VLAN劃分B、動態(tài)分配地址C、為路由交換設(shè)備修改默認令D、設(shè)立入侵防御系統(tǒng)答案：A162.以下有關(guān)訪問控制矩陣中行和列中元素的描述正確的是：A、行中放用戶名，列中放對象名B、行中放程序名，列中放用戶名C、列中放用戶名，行