PAGEPAGE1一、單選題1.由于信息系統(tǒng)的復(fù)雜性，因此需要一個(gè)通用的框架對其進(jìn)行解構(gòu)和描述，然后再基于此框架討論信息系統(tǒng)的（）。在IATF中，將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個(gè)焦點(diǎn)領(lǐng)域：（）：區(qū)域邊界即本地計(jì)算環(huán)境的外緣；（）；支持性基礎(chǔ)設(shè)施，在深度防御技術(shù)方案中推薦（）原則、（）原則。A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；多點(diǎn)防御；分層防御B、安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；多點(diǎn)防御；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；分層防御C、安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御D、本地的計(jì)算環(huán)境；安全保護(hù)問題；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御答案：C解析：參考P29頁，IATF4個(gè)焦點(diǎn)領(lǐng)域。2.（）第二十三條規(guī)定存儲(chǔ)、處理國家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照（）實(shí)行分級(jí)保護(hù).（）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行:三同步.涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)（）后,方可投入使用.A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格答案：A解析：《保密法》第二十三條規(guī)定存儲(chǔ)、處理國家秘密的計(jì)算機(jī)信息系統(tǒng):以下簡稱涉密信息系統(tǒng)按照涉密程度實(shí)行分級(jí)保護(hù).涉密信息系統(tǒng)應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備.保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行:三同步.涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)檢查合格后,方可投入使用.3.下列對垮站腳本攻擊（XSS）描述正確的是:A、XSS攻擊指的是惡意攻擊者往WEB頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中WEB里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的.B、XSS攻擊是DDOS攻擊的一種變種C、XSS.攻擊就是CC攻擊D、XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問請求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的答案：A4.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險(xiǎn)評估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識(shí)別階段C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定階段答案：B5.以下哪種做法是正確的“職責(zé)分離”做法？A、程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺(tái)C、控制臺(tái)操作員可以操作磁帶和硬盤D、磁帶操作員可以使用系統(tǒng)控制臺(tái)答案：A6.無線網(wǎng)絡(luò)安全實(shí)施技術(shù)規(guī)范的服務(wù)集標(biāo)識(shí)符（SSID）最多可以有（）個(gè)字符？A、16B、128C、64D、32答案：D7.操作系統(tǒng)安全技術(shù)主要包括（）、訪問控制、文件系統(tǒng)安全、安全審計(jì)等方面。數(shù)據(jù)庫安全技術(shù)包括數(shù)據(jù)庫的安全特性和（），數(shù)據(jù)庫完整性要求和（），以及數(shù)據(jù)庫（）、安全監(jiān)控和安全審計(jì)等。A、備份恢復(fù)；身份鑒別；安全功能；安全防護(hù)B、身份鑒別；安全功能；安全防護(hù)；備份恢復(fù)C、身份鑒別；安全功能；備份恢復(fù)；安全防護(hù)D、身份鑒別；備份恢復(fù)；安全功能；安全防護(hù)答案：B8.下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：A、確保采購／定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D、確保信息系統(tǒng)的使用已得到授權(quán)答案：B9.信息的存在及傳播方式A、存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B、記憶在人的大腦里C、通過網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D、通過投影儀顯示答案：D10.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法，Windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)誤的是：（）。A、密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進(jìn)行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效的保護(hù)所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊答案：D11.計(jì)劃是組織根據(jù)環(huán)境的需要和自身的特點(diǎn)，確定組織在一定時(shí)期內(nèi)的目標(biāo)，并通過計(jì)劃的編制、執(zhí)行和監(jiān)督來協(xié)調(diào)、組織各類資源以順利達(dá)到預(yù)期目標(biāo)的過程。計(jì)劃編制的步驟流程如下圖所示，則空白方框處應(yīng)該填寫的步驟為（）A、估計(jì)潛在的災(zāi)難事件、選擇計(jì)劃策略B、估計(jì)潛在的災(zāi)難事件、制定計(jì)劃策略C、選擇計(jì)劃策略、估計(jì)潛在的災(zāi)難事件D、制定計(jì)劃策略、估計(jì)潛在的災(zāi)難事件答案：B12.評估IT風(fēng)險(xiǎn)被很好的到達(dá)，可以通過：A、評估IT資產(chǎn)和IT項(xiàng)目總共的威脅B、用公司的以前的真的損失經(jīng)驗(yàn)來決定現(xiàn)在的弱點(diǎn)和威脅C、審查可比較的組織出版的損失數(shù)據(jù)D、一句審計(jì)拔高審查IT控制弱點(diǎn)答案：A13.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制,以下哪個(gè)選項(xiàng)的內(nèi)容不屬于常規(guī)控制措施的范圍:.A、安全事件管理、供應(yīng)商關(guān)系、業(yè)務(wù)安全性審計(jì)B、信息安全方針、信息安全組織、資產(chǎn)管理C、安全采購、開發(fā)與維護(hù)、合規(guī)性D、人力資源安全、物理和環(huán)境安全、通信安全答案：C解析：ISO27001信息安全管理體系包含了14個(gè)控制域A5：信息安全策略A6：信息安全組織A7：人力資源安全A8：資產(chǎn)管理A9：訪問控制A10：密碼學(xué)A11：物理和環(huán)境安全A12：操作安全A13：通訊安全A14：系統(tǒng)的獲取、開發(fā)及維護(hù)A15：供應(yīng)商關(guān)系A(chǔ)16：信息安全事件管理A17：業(yè)務(wù)連續(xù)性管理的信息安全方面A18：符合性14.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素答案：B15.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯(cuò)誤的是____。（）A、安全掃描在企業(yè)部署安全策略中處于非常重要地位B、安全掃描系統(tǒng)可用于管理和維護(hù)信息安全設(shè)備的安全C、安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補(bǔ)性D、安全掃描系統(tǒng)是把雙刃劍答案：B16.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測、（）和自適應(yīng)填充“安全間隙”為循環(huán)來提高（）A、漏洞監(jiān)測：控制和對抗：動(dòng)態(tài)性：網(wǎng)絡(luò)安全B、動(dòng)態(tài)性：控制和對抗：漏洞監(jiān)測：網(wǎng)絡(luò)安全C、控制和對抗：漏洞監(jiān)測：動(dòng)態(tài)性：網(wǎng)絡(luò)安全D、控制和對抗：動(dòng)態(tài)性：漏洞監(jiān)測：網(wǎng)絡(luò)安全答案：D17.以下哪一項(xiàng)不是常見威脅對應(yīng)的消減措施：A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限答案：C18.以下不是接入控制的功能的是_______A、阻止非法用戶進(jìn)入系統(tǒng)B、組織非合法人瀏覽信息C、允許合法用戶人進(jìn)入系統(tǒng)D、使合法人按其權(quán)限進(jìn)行各種信息活動(dòng)答案：B19.396.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》（GB/T20274.1-2006）后,繪制了一張簡化的信息系統(tǒng)安全保障模型圖,如下所示。請為圖中括號(hào)空白處選擇合適的選項(xiàng):A、安全保障（方針和組織）B、B.安全防護(hù)（技術(shù)和管理）C、C.深度防御（策略、防護(hù)、檢測、響應(yīng)）D、D.保障要素（管理、工程、技術(shù)、人員）答案：D20.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是A、由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價(jià)值在于可以測試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試答案：D21.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以（）、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用（）。無論信息以什么形式存在,用哪種方法存儲(chǔ)或共享,都宜對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。（）是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)（）,業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和（）。A、語言表達(dá);電子方式存儲(chǔ);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化B、電子方式存儲(chǔ);語言表達(dá);連續(xù)性;信息安全;商業(yè)機(jī)遇最大化C、電子方式存儲(chǔ);連續(xù)性,語言表達(dá);信息安全;商業(yè)機(jī)遇最大化D、電子方式存儲(chǔ);語言表達(dá);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化答案：D22.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在____向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)報(bào)告。（）A、8小時(shí)內(nèi)B、12小時(shí)內(nèi)C、24小時(shí)內(nèi)D、48小時(shí)內(nèi)答案：C23.如果可能最應(yīng)該得到第一個(gè)應(yīng)急事件通知的小組是A、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組D、應(yīng)急響應(yīng)實(shí)施小組答案：B24.在信息安全管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的（）。A、背景建立的依據(jù)是國家.地區(qū)或行業(yè)的相關(guān)政策.法律.法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命.信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn).面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo).業(yè)務(wù)特性.管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告答案：B25.在Windos7中，通過控制面板（管理工具-本地安全策略-安全設(shè)置-賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間答案：D26.30.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯(cuò)誤的是？A、從安全性等級(jí)來看，這三個(gè)模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型B、自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權(quán)訪問它們的資源，具有較好的易用性和擴(kuò)展性C、強(qiáng)制訪問控制模型要求主題和客體都一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略答案：A27.安全掃描可以____。（）A、彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題B、彌補(bǔ)由于協(xié)議本身而產(chǎn)生的問題C、彌補(bǔ)防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題D、掃描檢測所有的數(shù)據(jù)包攻擊，分析所有的數(shù)據(jù)流答案：C28.下面哪一個(gè)是定義深度防御安全原則的例子？A、使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B、在主機(jī)上使用防火墻和邏輯訪問控制來控制進(jìn)入網(wǎng)絡(luò)的流量C、在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D、使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量答案：A29.下面哪一種是最安全和最經(jīng)濟(jì)的方法,對于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)?A、虛擬專用網(wǎng)B、專線C、租用線路D、綜合服務(wù)數(shù)字網(wǎng)。答案：A30.某攻擊者想通過遠(yuǎn)程控制軟件潛伏在某監(jiān)控下的UNIX系統(tǒng)的計(jì)算機(jī)中，如果攻擊者打算長時(shí)間地遠(yuǎn)程監(jiān)控某服務(wù)器上的存儲(chǔ)的敏感數(shù)據(jù)，必須要能夠清除在監(jiān)控?計(jì)算機(jī)中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方查看自己的系統(tǒng)日志的時(shí)候，就會(huì)發(fā)現(xiàn)被監(jiān)控以及訪問的痕跡。不屬于清除痕跡的方法A、采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能B、竊取root權(quán)限修改wtmp/wtmpx、utmp/utmpx和lastlog三個(gè)主要日志文件C、保留攻擊時(shí)產(chǎn)生的臨時(shí)文件D、修改登錄日志，偽造成功的登錄日志，增加審計(jì)難度答案：C31.關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的是（）A、指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整.不丟項(xiàng)B、指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空.唯一且不重復(fù)C、指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍.數(shù)值精度等約束D、指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新.插入或刪除記錄時(shí)，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以答案：B32.在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）。A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量、計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要收，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確信息安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確答案：D33.應(yīng)急響應(yīng)流程一般順序是A、信息安全事件通告、信息安全事件評估、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置B、信息安全事件評估、信息安全事件通告、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置C、應(yīng)急啟動(dòng)、應(yīng)急處置、信息安全事件評估、信息安全事件通告、后期處置D、信息安全事件評估、應(yīng)急啟動(dòng)、信息安全事件通告、應(yīng)急處置和后期處置答案：A34.某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房,監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-2008）的相關(guān)要求,對承建單位的施工設(shè)計(jì)方案進(jìn)行審核,以下關(guān)于監(jiān)理單位給出的審核意見錯(cuò)誤的是:A、在異地建立備份機(jī)房時(shí),設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級(jí)相同B、由于高端小型機(jī)發(fā)熱量大,因此采用活動(dòng)地板上送風(fēng),下回風(fēng)的方式C、因機(jī)房屬于A級(jí)主機(jī)房,因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī),當(dāng)市電發(fā)生故障時(shí),所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要D、A級(jí)主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)答案：B35.在信息安全管理的實(shí)施過程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評過過程、確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確答案：D解析：D不屬于管理者的職責(zé)。36.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化答案：B37.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是（）A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對應(yīng)資產(chǎn)的嚴(yán)重程度答案：D解析：Ia資產(chǎn)A的價(jià)值；Va資產(chǎn)A的脆弱性38.信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一項(xiàng)不是信息安全策略文檔中必須包含的內(nèi)容：A、說明信息安全對組織的重要程度B、介紹需要符合的法律法規(guī)要求C、信息安全技術(shù)產(chǎn)品的選型范圍D、信息安全管理責(zé)任的定義答案：C39.下列關(guān)于servicepassword-encryption命令的說法中哪項(xiàng)正確A、servicepassword-encryption命令應(yīng)在特權(quán)執(zhí)行模式提示符下輸入B、servicepassword-encryption命令只加密控制臺(tái)與VTY端口的口令C、servicepassword-encryption命令對運(yùn)行配置中先前未加密的所有口令進(jìn)D、若要查看通過servicepassword-encryption命令加密的口令，可輸入noservicepassword-encryption命令答案：C40.文檔體系建設(shè)是信息安全管理體系（ISMS）建設(shè)的直接體現(xiàn)，下列說法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評估報(bào)告等文檔是對上一級(jí)文件的執(zhí)行和記錄，對這些記錄不需要保護(hù)和控制C、組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評估的結(jié)果建立答案：B41.以下哪些不是設(shè)備資產(chǎn)：A、機(jī)房設(shè)施B、周邊設(shè)施C、管理終端D、操作系統(tǒng)答案：D42.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的人站ICMP流量上升了250%盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但是為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了相應(yīng)措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止說有的ICMP流量進(jìn)入（關(guān)掉ping）B、刪除服務(wù)器上的ping.exe程序C、增加寬帶以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊答案：A43.某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，按照規(guī)范形成了若干文檔，其中，（）中的文檔應(yīng)屬于風(fēng)險(xiǎn)評估中“風(fēng)險(xiǎn)要素識(shí)別”階段輸出的文檔A、《風(fēng)險(xiǎn)評估方法》，主要包括本次風(fēng)險(xiǎn)評估的目的、范圍、目標(biāo)，評估步驟，經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評估方法和測試評估工具等內(nèi)容C、《風(fēng)險(xiǎn)評估準(zhǔn)則要求》，主要包括現(xiàn)有風(fēng)險(xiǎn)評估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法，資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》，主要經(jīng)驗(yàn)檢查確認(rèn)后的已有技術(shù)和管理方面安全措施等內(nèi)容答案：D44.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、訪問控制列表（ACL）答案：D解析：目前Wiondows和linux操作系統(tǒng)使用的都是ACL，訪問控制表（ACL）是在每個(gè)文件下面附著一個(gè)客戶權(quán)限表，正常情況下一個(gè)系統(tǒng)客戶數(shù)再多也不會(huì)有文件的數(shù)量多，所以選D；而BLP模型、Biba模型屬于強(qiáng)制訪問控制模型，與題干不符。45.安全管理評估工具通常不包括A、調(diào)查問卷B、檢查列表C、訪談提綱D、漏洞掃描答案：D46.對操作系統(tǒng)軟件安裝方面應(yīng)建立安裝（），運(yùn)行系統(tǒng)要僅安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼，不安裝開發(fā)代碼和（），應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員，根據(jù)合適的（），進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新；必要時(shí)在管理者批準(zhǔn)的情況下，僅為了支持目的，才授予供應(yīng)商物理或運(yùn)輯訪問權(quán)。并且要監(jiān)督供應(yīng)商的活動(dòng)。對于用戶能安裝何種類型的軟件，組織宜定義井強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用（）。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)政胞弱性，進(jìn)而導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反（）。A、控制規(guī)程；編譯程序；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)B、編譯程序；控制規(guī)程；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)C、控制規(guī)程；管理授權(quán)；編譯程序；最小特權(quán)方針，知識(shí)產(chǎn)權(quán)D、控制規(guī)程；最小特權(quán)方針；編譯程序；管理授權(quán)；知識(shí)產(chǎn)權(quán)答案：A47.人員入職過程中，以下做法不正確的是？A、入職中簽署勞動(dòng)合同及保密協(xié)議。B、分配工作需要的最低權(quán)限。C、允許訪問企業(yè)所有的信息資產(chǎn)。D、進(jìn)行安全意思培訓(xùn)。答案：C48.分布式拒絕服務(wù)（DistributedDenialofServiceDDOS）攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力,一般來說。DDOS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（）A、保密性B、完整性C、可用性D、真實(shí)性答案：C49.在編寫目錄掃描工具時(shí)哪種請求可以增加掃描速度A、getB、headC、postD、put答案：B50.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺(tái)個(gè)人計(jì)算機(jī)，這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這10個(gè)互聯(lián)網(wǎng)地址集中起來使用，當(dāng)任意一臺(tái)個(gè)人計(jì)算機(jī)開機(jī)并連接網(wǎng)絡(luò)時(shí)，管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí)，管理中心將該地為收回，并重新設(shè)置為未分配?？梢姡灰瑫r(shí)打開的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每臺(tái)個(gè)人計(jì)算機(jī)可以獲取一個(gè)IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是（）A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址答案：B51.在《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中，根據(jù)___要素，X災(zāi)難恢復(fù)等級(jí)劃分為___X.A、7；6B、8；7C、7；7D、8；6答案：A52.某公司在執(zhí)行災(zāi)難恢復(fù)測試時(shí).信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測試計(jì)劃C、災(zāi)難恢復(fù)計(jì)劃（DRP）D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件答案：A53.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評估實(shí)施流程,下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）A、《風(fēng)險(xiǎn)評估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》答案：B54.在PDR安全模型中最核心的組件是____。（）A、策略B、保護(hù)措施C、檢測措施D、響應(yīng)措施答案：A55.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B56.風(fēng)險(xiǎn)評估的過程包括（）、（）、（）和（）四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中,風(fēng)險(xiǎn)評估建立階段的輸出,形成本階段的最終輸出《風(fēng)險(xiǎn)評估報(bào)告》,此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。（）風(fēng)險(xiǎn)評估的四個(gè)階段。A、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別;風(fēng)險(xiǎn)分析;監(jiān)控審查;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢B、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別;監(jiān)控審查;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢C、風(fēng)險(xiǎn)評估準(zhǔn)備;監(jiān)控審查;風(fēng)險(xiǎn)要素識(shí)別;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢D、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別:風(fēng)險(xiǎn)分析:風(fēng)險(xiǎn)結(jié)果判定監(jiān)控審查,溝通咨詢答案：D57.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A、某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作B、在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看答案：B58.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡（如智能卡）完成身份鑒別答案：D59.在許多組織機(jī)構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：A、缺少安全性管理B、缺少故障管理C、缺少風(fēng)險(xiǎn)分析D、缺少技術(shù)控制機(jī)制答案：A60.下面對信息安全漏洞的理解中，錯(cuò)誤的是（）A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開發(fā)、部署或維護(hù)階段，由于設(shè)計(jì)、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟(jì)損失D、由于人類思維能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的答案：B61.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請你指出存在問題的是哪個(gè)總結(jié)？（）A、公司自身擁有優(yōu)勢的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案5個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分裂依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》，分為7個(gè)基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)答案：A62.26.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)。關(guān)于這兩者，下面描述錯(cuò)誤的是？A、內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿Γ捕紤?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理審評會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象答案：C63./etc/passw文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黒客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個(gè)用戶的加密口令數(shù)據(jù)項(xiàng)都顯示為‘x’。下列選項(xiàng)中，對此現(xiàn)象的解釋正確的是（）A、黒客竊取的passwd文件是假的B、加密口令被轉(zhuǎn)移到了另一個(gè)文件里C、這些賬戶都被禁用了D、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘x’答案：B64.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個(gè)用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制答案：C65.以下對于安全套接層（SSL）的說法正確的是:A、主要是使用對稱密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性B、可以在網(wǎng)絡(luò)層建立VPNC、主要適用于點(diǎn)對點(diǎn)之間的信息傳輸，常用WEBSERVER方式D、包含三個(gè)主要協(xié)議：AH.ESP.IKE答案：C66.以下哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）?A、試運(yùn)行B、紙面測試C、單元D、系統(tǒng)答案：B67.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos）描述正確的是：A、該協(xié)議使用非對稱密鑰加密機(jī)制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境答案：C解析：密鑰分發(fā)中心由認(rèn)證服務(wù)器和票據(jù)授權(quán)服務(wù)器組成。68.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議AWPA和2WPA2的區(qū)別，下面描述正確的是（）A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證DD、WPPAA照是依照i802.11i標(biāo)準(zhǔn)草案制定的，而WWPPAA22照是依照i802.11i正式標(biāo)準(zhǔn)制定的答案：D69.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd．confB、srLconfC、access．ConfD、inetd．Conf答案：A70.攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時(shí)候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（）。A、中間人攻擊B、口令猜測器和字典攻擊C、強(qiáng)力攻擊D、回放攻擊答案：D71.下面哪個(gè)文檔是由Nist發(fā)布的（）A、ISO-27001B、X.509iTUC、SP800-37D、RFC2402答案：C72.組織應(yīng)依照已確定的訪同控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織的訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對系統(tǒng)和應(yīng)用的訪間。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和（）時(shí)，宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具用程序的使用，應(yīng)加以限制并（）。對程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問生嚴(yán)格控制，以防引入非授權(quán)功能、避免無意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對于程序源代碼的保存，以通過這種代碼的中央存儲(chǔ)控制來實(shí)現(xiàn)，更好的是放在（）中。A、應(yīng)用系統(tǒng)；身份驗(yàn)證；嚴(yán)格控制；保密性；源程序庫B、身份驗(yàn)證；應(yīng)用系統(tǒng)；嚴(yán)格控制；保密性；源程序庫C、應(yīng)用系統(tǒng)；嚴(yán)格控制；身份驗(yàn)證；保密性；源程序庫D、應(yīng)用系統(tǒng)；保密性；身份驗(yàn)證；嚴(yán)格控制；源程序庫答案：A73.某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-2008）的相關(guān)要求，對承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯(cuò)誤的是：A、在異地建立備份機(jī)房，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級(jí)相同B、由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板下送風(fēng)，上回風(fēng)的方式C、因機(jī)房屬于A級(jí)主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要D、A級(jí)主機(jī)房應(yīng)設(shè)置自動(dòng)噴水滅火系統(tǒng)答案：D74.一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒有數(shù)據(jù)損失，恢復(fù)時(shí)間目標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？A、一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來的熱站B、多區(qū)域異步更新的分布式數(shù)據(jù)庫系統(tǒng)C、一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站D、一個(gè)同步過程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來的混站答案：D75.下面對“零日（zero-day）漏洞”的理解中，正確的是？A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案：D76.Windows系統(tǒng)的用戶帳號(hào)有兩種基本類型，分別是全局帳號(hào)和____。A、A本地帳號(hào)B、B域帳號(hào)C、C來賓帳號(hào)D、D局部帳號(hào)答案：A77.在新的信息系統(tǒng)或增強(qiáng)已有（）的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安全控制措施的要求。信息安全的系統(tǒng)要求與實(shí)施安全的過程宜在信息系統(tǒng)項(xiàng)目的早期階段被集成，在早期如設(shè)計(jì)階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個(gè)正式的（）過程。通過（）訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動(dòng)、合同爭端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評估并進(jìn)行適當(dāng)?shù)目刂疲?yàn)證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的（）。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的（）。A、披露和修改；信息系統(tǒng)；測試和獲?。还簿W(wǎng)絡(luò)；復(fù)制或重播B、信息系統(tǒng)；測試和獲??；披露和修改；公共網(wǎng)絡(luò)；復(fù)制或重播C、信息系統(tǒng)；測試和獲?。还簿W(wǎng)絡(luò)；披露和修改；復(fù)制或重播D、信息系統(tǒng)；公共網(wǎng)絡(luò)；測試和獲?。慌逗托薷?；復(fù)制或重播答案：C78.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，以下哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素？該提供商：A、滿足并超過行業(yè)安全標(biāo)準(zhǔn)B、同意可以接受外部安全審查C、其服務(wù)和經(jīng)驗(yàn)有很好的市場聲譽(yù)D、符合組織的安全策略答案：D79.小王在對某公司的信息系統(tǒng)進(jìn)風(fēng)風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請問這種風(fēng)險(xiǎn)處置的方法是A、轉(zhuǎn)移風(fēng)險(xiǎn)B、降低風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、規(guī)避風(fēng)險(xiǎn)答案：D80.那種測試結(jié)果對開發(fā)人員的影響最大A、單元測試和集成測試B、系統(tǒng)測試C、驗(yàn)收測試D、滲透測試答案：C81.網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（）。A、用戶的方便性B、管理的復(fù)雜性C、對現(xiàn)有系統(tǒng)的影響及對不同平臺(tái)的支持D、上面3項(xiàng)都是答案：D82.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）.請問，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是（）A、IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較答案：D83.下列哪一些對信息安全漏洞的描述是錯(cuò)誤的？A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上（如TOE中、過程中等）。C、具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)答案：D84.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲C、系統(tǒng)設(shè)計(jì)缺陷D、保安工作不得力答案：B85.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)（）A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS答案：D86.以下關(guān)于信息系統(tǒng)安全建設(shè)整改工作工作方法說法中不正確的是：（）A、突出重要系統(tǒng)，涉及所有等級(jí),試點(diǎn)示范，行業(yè)推廣，國家強(qiáng)制執(zhí)行。B、利用信息安全等級(jí)保護(hù)綜合工作平臺(tái)使等級(jí)保護(hù)工作常態(tài)化。C、管理制度建設(shè)和技術(shù)措施建設(shè)同步或分步實(shí)施。D、加固改造缺什么補(bǔ)什么也可以進(jìn)行總體安全建設(shè)整改規(guī)劃答案：A87.打電話詐騙密碼屬于________攻擊方式。A、木馬B、社會(huì)工程學(xué)C、電話系統(tǒng)漏洞D、拒絕服務(wù)答案：B88.Windows服務(wù)說法錯(cuò)誤的是（）A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在SvchostC、Windows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運(yùn)行D、Windows服務(wù)通常是以管理員的身份運(yùn)行的答案：C89.50.系統(tǒng)安全工程-能力成熟度模型（SystemsSecurityEngineering-Capabilitymaturitymodel，SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是：A、風(fēng)險(xiǎn)過程B、評估過程C、工程過程D、保證過程答案：A90.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）降級(jí)操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO），小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理答案：A91.在信息系統(tǒng)的設(shè)計(jì)階段必須做以下工作除了：A、決定使用哪些安全控制措施B、對設(shè)計(jì)方案的安全性進(jìn)行評估C、開發(fā)信息系統(tǒng)的運(yùn)行維護(hù)手冊D、開發(fā)測試、驗(yàn)收和認(rèn)可方案答案：C92.IT工程建設(shè)與IT安全工程建設(shè)脫節(jié)是眾多安全風(fēng)險(xiǎn)涌現(xiàn)的根源，同時(shí)安全風(fēng)險(xiǎn)也越來越多地體現(xiàn)在應(yīng)用層。因此迫切需要加強(qiáng)對開發(fā)階段的安全考慮，特別是要加強(qiáng)對數(shù)據(jù)安全性的考慮，以下哪項(xiàng)工作是在IT項(xiàng)目的開發(fā)階段不需要重點(diǎn)考慮的安全因素？A、操作系統(tǒng)的安全加固B、輸入數(shù)據(jù)的校驗(yàn)C、數(shù)據(jù)處理過程控制D、輸出數(shù)據(jù)的驗(yàn)證答案：A93.防火墻提供的接入模式不包括_______A、網(wǎng)關(guān)模式B、透明模式C、混合模式D、旁路接入模式答案：D94.22.信息安全標(biāo)準(zhǔn)化工作是我國信息安全保障工作的重要組成部分之一，也是政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一。關(guān)于我國信息安全標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是（）。A、因事關(guān)國家安全利益，信息安全因此不能和國際標(biāo)準(zhǔn)相同，而是要通過本國組織和專家制訂標(biāo)準(zhǔn)，切實(shí)有效地保護(hù)國家利益和安全B、信息安全標(biāo)準(zhǔn)化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性C、我國是在國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國標(biāo)準(zhǔn)化工作，下設(shè)有專業(yè)技術(shù)委員會(huì)D、我國歸口信息安全方面標(biāo)準(zhǔn)的是“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”，為加強(qiáng)有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”答案：A95.Internet上很多軟件的簽名認(rèn)證都來自_______公司。A、BaltimoreB、EntrustC、SunD、VeriSign答案：D96.由于病毒攻擊、非法侵入等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作:由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)絡(luò)中斷,屬于以下哪種級(jí)別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件答案：D97.91.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計(jì)訪問控制方法，他們在討論中就應(yīng)該采用自主訪問控制還是強(qiáng)制訪問控制產(chǎn)生了分歧。小本認(rèn)為應(yīng)該采用自主訪問控制的方法，他的觀點(diǎn)主要有；（1）自主訪問控制方式，可為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；（2）自主訪問控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問控制的方法，他的觀點(diǎn)主要有；（3）強(qiáng)制訪問控制中，只有文件的擁有者可以修改文件的安全屬性，因此安全性較高；（4）強(qiáng)制訪問控制能夠保護(hù)敏感信息。以上四個(gè)觀點(diǎn)中，只有一個(gè)觀點(diǎn)是正確的，它是（）.A、觀點(diǎn)（1）B、B.觀點(diǎn)（2）C、C.觀點(diǎn)（3）D、D.觀點(diǎn)（4）答案：D98.信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理,也就是,始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即（）選擇的范圍和對象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)答案：A99.RDP的端口號(hào)為（）A、3389B、23C、22D、443答案：A100.在UNIX系統(tǒng)中，當(dāng)用ls命令列出文件屬性時(shí)，如果顯示-rwxrwxrwx，意思是（）A、前三位rwx表示文件屬主的訪問權(quán)限；中間三位rwx表示文件同組用戶的訪問權(quán)限；后三位rwx表示其他用戶的訪問權(quán)限B、前三位rwx表示文件同組用戶的訪問權(quán)限；中間三位rwx表示文件屬主的訪問權(quán)限；后三位rwx表示其他用戶的訪問權(quán)限C、前三位rwx:表示文件同域用戶的訪問權(quán)限；中間三位rwx表示文件屬主的訪問權(quán)限；后三位rwx:表示其他用戶的訪問權(quán)限D(zhuǎn)、前三位rwx表示文件屬主的訪問權(quán)限；第二個(gè)rwx表示文件同組用戶的訪問權(quán)限；后三位rwx表示同域用戶的訪問權(quán)限答案：A101.過濾王服務(wù)端上網(wǎng)日志需保存（）天以上A、7B、15C、30D、60答案：D102.以下關(guān)于信息安全工程說法正確的是A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B、信息化建設(shè)可以先實(shí)施系統(tǒng),而后對系統(tǒng)進(jìn)行安全加固C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全,在建設(shè)階段要同步實(shí)施信息安全建設(shè)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)答案：C103.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是二項(xiàng)重要的管理活動(dòng)。關(guān)于這二者，下面描述錯(cuò)誤的是（）A、內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理審評會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)的ISMS文件等，在內(nèi)部審計(jì)中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象答案：C104.Redis數(shù)據(jù)庫的默認(rèn)端口是哪個(gè)A、3306B、1433C、1521D、6379答案：D105.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)（）A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)B、針對OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C、針對SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)答案：D106.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯(cuò)誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個(gè)國家信息系統(tǒng)建設(shè)參考使用B、IATF是一個(gè)通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題答案：A107.在制定一個(gè)正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素將是？A、成立一個(gè)審查委員會(huì)B、建立一個(gè)安全部門C、向執(zhí)行層發(fā)起人提供有效支持D、選擇一個(gè)安全流程的所有者答案：C108.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析（BIA）時(shí)的步驟是：1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程；2.開發(fā)恢復(fù)優(yōu)先級(jí)；3.標(biāo)識(shí)關(guān)鍵的H資源；4.表示中斷影響和允許的中斷時(shí)間A、1-3-4-2B、1-3-2-4C、1-2-3-4D、1-4-3-2答案：A109.下面哪一個(gè)情景屬于身份鑒別（）過程？A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C、用戶使用加密軟件對自己編寫的office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D、某個(gè)人嘗試登錄到你的計(jì)算機(jī)中，但是口令輸入的不對，系統(tǒng)提示口令錯(cuò)誤，并將這次失敗的登錄過程記錄在系統(tǒng)日志中答案：A110.一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手，如何控制這個(gè)風(fēng)險(xiǎn)A、開除這名職員B、限制這名職員訪問敏感信息C、刪除敏感信息D、將此職員送公安部門答案：B111.59.某公司中標(biāo)了某項(xiàng)軟件開發(fā)項(xiàng)目后，在公司內(nèi)部研討項(xiàng)目任務(wù)時(shí)，項(xiàng)目組認(rèn)為之前在VPN技術(shù)方面積累不夠，導(dǎo)致在該項(xiàng)目中難以及時(shí)完成VPN功能模塊，為解決該問題，公司高層決定接受該項(xiàng)目任務(wù)，同時(shí)將該VPN功能模塊以合同形式委托另外一家安全公司完成，要求其在指定時(shí)間內(nèi)按照任務(wù)需求書完成工作，否則承擔(dān)相應(yīng)責(zé)任。在該案例中公司高層采用哪種風(fēng)險(xiǎn)處理方式A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受答案：C112.以下劃Kerberos協(xié)議過程說法正確的是:A、協(xié)議可以分為兩個(gè)步驟:一是用戶身份鑒別;二是獲取請求服務(wù)B、協(xié)議可以分為兩個(gè)步驟:一是獲得票據(jù)許可票據(jù);二是獲取請求服務(wù)C、協(xié)議可以分為三個(gè)步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù):三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟:一是獲得票據(jù)許可票據(jù);二是獲得服務(wù)許可票據(jù):三是獲得服務(wù)答案：D113.Windows操作系統(tǒng)中可顯示或修改任意訪問控制列表的命令是A、ipconfigB、caclsC、tasklistD、systeminfo答案：B114.對業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問的責(zé)任屬于：A、數(shù)據(jù)所有者B、安全管理員C、IT安全經(jīng)理D、申請人的直線主管答案：A115.當(dāng)一個(gè)發(fā)往目的地的主機(jī)IP包經(jīng)過多個(gè)路由器轉(zhuǎn)發(fā)時(shí)，以下說法正確的是（）A、當(dāng)IP包在每跳段中傳輸時(shí)，目的地址改為下一個(gè)路由器的IP地址。B、當(dāng)一個(gè)路由器將IP包分發(fā)到廣域網(wǎng)WA.N時(shí)，目的的IP地址經(jīng)常發(fā)生改變。C、目的的IP地址將永遠(yuǎn)是第一個(gè)路由器的IP地址。D、目的的IP地址固定不變答案：D116.關(guān)于災(zāi)難恢復(fù)計(jì)劃錯(cuò)誤的說法是____。（）A、應(yīng)考慮各種意外情況B、制定詳細(xì)的應(yīng)對處理辦法C、建立框架性指導(dǎo)原則，不必關(guān)注于細(xì)節(jié)D、正式發(fā)布前，要進(jìn)行討論和評審答案：C117.美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology,NIST）隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的（）A、ISO27001《Informationtechnology_Securitytechniques_Informtionsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology_OpenSystems_TheDirectory:AuthenticationFramcwork》C、SP800-37《GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》D、RFC2402《IPAuthenticatHeader》答案：C118.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式：A、攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100％B、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問答案：D119.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全.其中,屬于或依附于傳輸層的安全協(xié)議是（）.A、IPSecB、PP2PC、L2TPD、SSL答案：D解析：IPSec（Internet協(xié)議安全性）是主要的互聯(lián)網(wǎng)絡(luò)層安全通信協(xié)議,有效解決了在互聯(lián)網(wǎng)絡(luò)層上存在的安全問題；網(wǎng)絡(luò)接口層安全協(xié)議主要有PP2P、L2TP等,PP2P、L2TP協(xié)議通過建立專用通信鏈路,在主機(jī)或路由器之間提供安全保證；傳輸層安全通信協(xié)議主要有SSL和TLS等協(xié)議,根據(jù)傳輸層的特點(diǎn),傳輸層的安全主要在端到端實(shí)現(xiàn),可以提供基于進(jìn)程到進(jìn)程的安全通信120.PKI的主要組成不包括（）。A、證書授權(quán)CAB、SSLC、注冊授權(quán)RAD、證書存儲(chǔ)庫CR答案：B121.在某個(gè)信息系統(tǒng)實(shí)施案例中，A單位（甲方）允許B公司（乙方）在甲方的測試天南地北中開發(fā)和部署業(yè)務(wù)系統(tǒng)，同時(shí)為防范風(fēng)險(xiǎn)，A單位在和B公司簽訂合同中，制定有關(guān)條款，明確了如果由于B公司操作原因引起的設(shè)備損壞，則B公司需按價(jià)賠償?？梢钥闯觯撡r償條款應(yīng)用了風(fēng)險(xiǎn)管理中（）的風(fēng)險(xiǎn)處置措施。A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、拒絕風(fēng)險(xiǎn)答案：C122.在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記錄、國家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對信息化工程進(jìn)行（）安全檢查，以驗(yàn)證項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級(jí)要求。A、功能性B、可用性C、保障性D、符合性答案：D123.隨著信息安全涉及的范圍越來越廣,各個(gè)組織對信息安全管理的需求越來越迫切,越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系,提高組織的信息安全管理能力。關(guān)于ISMS,下面描述錯(cuò)誤的是（）。A、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定,信息安全管理目標(biāo)應(yīng)明確、可度量,風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體,具備可行性B、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn),決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則,并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi),應(yīng)包括全體員工,同時(shí),也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方D、在組織中,應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針,為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求答案：D解析：方針應(yīng)由組織的管理層頒布。124.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是:A、傳輸層.網(wǎng)絡(luò)接口層.互聯(lián)網(wǎng)絡(luò)層B、傳輸層.互聯(lián)網(wǎng)絡(luò)層.網(wǎng)路接口層C、互聯(lián)網(wǎng)絡(luò)層.傳輸層.網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層.網(wǎng)絡(luò)接口層.傳輸層答案：C125.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是A、步驟1和步驟2發(fā)生錯(cuò)誤，應(yīng)該向本地AS請求并獲得遠(yuǎn)程TGTB、步驟3和步驟4發(fā)生錯(cuò)誤，應(yīng)該向本地TGS請求并獲得遠(yuǎn)程TGTC、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程AS請求并獲得遠(yuǎn)程TGTD、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程TGS請求并獲得遠(yuǎn)程TGT答案：B126.206.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中的哪項(xiàng)原則?A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御答案：B127.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)【2003】27號(hào)明確了我國信息安全保障工作的（）,加強(qiáng)信息安全保障工作的（）,需要重點(diǎn)加強(qiáng)的信息安全保障工作,27號(hào)文的重大意義是,安標(biāo)志著我國信息安全保障工作有了（）,我國最近十余年的信息安全保障工作都是圍繞此政策性文件而（）的,滲透了我國（）的各項(xiàng)工作。A、方針;主要原則;總體綱領(lǐng);展開和推進(jìn);信息安全保障建設(shè)B、總體要求;總體綱領(lǐng);主要原則;展開;信息安全保障建設(shè)C、方針和總體要求;主要原則;總體綱領(lǐng);展開和推進(jìn);信息安全保障建設(shè)D、總體要求;主要原則;總體綱領(lǐng);展開;信息安全保障建設(shè)答案：D128.哪一項(xiàng)不是業(yè)務(wù)影響分析（BIA）的工作內(nèi)容A、確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)B、確定公司的關(guān)鍵系統(tǒng)和業(yè)務(wù)C、確定業(yè)務(wù)面臨風(fēng)險(xiǎn)時(shí)的潛在損失和影響D、確定支持公司運(yùn)行的關(guān)鍵系統(tǒng)答案：C129.通過以下哪個(gè)命令可以查看本機(jī)端口和外部連接狀況（）A、netstat-anB、netconn-anC、netport-aD、netstat-all答案：A130.關(guān)于我國信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說法不正確：A、2001-2002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國信息安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)B、2003-2005年是逐步展開和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號(hào)文件）并頒布了國家信息安全戰(zhàn)略C、2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成功D、2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐答案：C131.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全。其中,屬于或依附于傳輸層的安全協(xié)議是（）。A、IPSecB、PP2PC、L2TPD、SSL答案：D解析：IPSec工作在網(wǎng)絡(luò)層,PP2P和L2TP工作在數(shù)據(jù)鏈路層,SSL工作在傳輸層。P338頁。132.下列哪個(gè)是能執(zhí)行系統(tǒng)命令的存儲(chǔ)過程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread答案：C133.在進(jìn)行應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用答案：B134.有關(guān)危害國家秘密安全的行為包括（）A、嚴(yán)重違反保密規(guī)定行為，定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為，定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、但不包括保密行政管理部門的工作人員的違法行為答案：A135.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng),應(yīng)當(dāng)（）年進(jìn)行一次等級(jí)測評?A、0.5B、1C、2D、3答案：B136.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門程序，由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test答案：D解析：根據(jù)題干則答案為C。137.滲透測試作為網(wǎng)絡(luò)安全評估的一部分A、提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B、在不需要警告所有組織的管理層的情況下執(zhí)行C、找到存在的能夠獲得未授權(quán)訪問的漏洞D、在網(wǎng)絡(luò)邊界上執(zhí)行不會(huì)破壞信息資產(chǎn)答案：C138.小張是信息安全風(fēng)險(xiǎn)管理方面的專家,被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評估,已知:核心機(jī)房的總價(jià)價(jià)值一百萬,災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四（24%）,歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次,請問小張最后得到的年度預(yù)期損失為多少?A、24萬B、0.09萬C、37.5萬D、9萬答案：D139.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺(tái)個(gè)人計(jì)算機(jī)，這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這10個(gè)互聯(lián)網(wǎng)地址集中起來使用，當(dāng)任意一臺(tái)個(gè)人計(jì)算機(jī)開機(jī)并連接網(wǎng)絡(luò)時(shí)，管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí)，管理中心將該地為收回，并重新設(shè)置為未分配?？梢?，只要同時(shí)打開的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每臺(tái)個(gè)人計(jì)算機(jī)可以獲取一個(gè)IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是（）A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址答案：B140.我國黨和政府一直重視信息安全工作,我國信息安全保障工作也取得了明顯成效,關(guān)于我國信息安全實(shí)踐工作,下面說法錯(cuò)誤的是（）A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè),成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”制訂和發(fā)布了大批信息安全技術(shù),管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作,確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動(dòng)了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級(jí)保護(hù)工作,研究制定了多個(gè)有關(guān)信息安全等級(jí)保護(hù)的規(guī)范和標(biāo)準(zhǔn),重點(diǎn)保障了關(guān)系國定安全,經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全性D實(shí)施了信息安全風(fēng)險(xiǎn)評估工作,探索了風(fēng)險(xiǎn)評估工作的基本規(guī)律和方法,檢驗(yàn)并修改完善了有關(guān)標(biāo)準(zhǔn),培養(yǎng)和鍛煉了人才隊(duì)伍答案：B141.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題，以下描述錯(cuò)誤的是A、信息系統(tǒng)的開發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題，不僅僅要考慮提供一個(gè)安全的開發(fā)環(huán)境，同時(shí)還要考慮開發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D、運(yùn)營系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險(xiǎn)答案：C142.隨著信息安全涉及的范圍越來越廣，各個(gè)組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯(cuò)誤的是A、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方B、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)C、在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求D、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性答案：C143.計(jì)算機(jī)病毒最本質(zhì)的特性是____。（）A、寄生性B、潛伏性C、破壞性D、攻擊性答案：C144.容災(zāi)項(xiàng)目實(shí)施過程的分析階段，需要_______進(jìn)行。A、災(zāi)難分析B、業(yè)務(wù)環(huán)境分析C、當(dāng)前業(yè)務(wù)狀況分析D、以上均正確答案：D145.下面哪一種是最安全和最經(jīng)濟(jì)的方法，對于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A、虛擬專用網(wǎng)B、專線C、租用線路D、綜合服務(wù)數(shù)字網(wǎng).答案：A146.關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是A、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查B、對內(nèi)而言，是一個(gè)光花錢不掙錢的事情，需要組織通過其他方面收入來彌補(bǔ)投入C、對外而言，有助于使各利益相關(guān)方對組織充滿信心D、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任答案：B147.對于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的是?A、為了信息資產(chǎn)更加安全,禁止外部組織人員訪問信息資產(chǎn)。B、應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護(hù)。C、訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。D、應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求。答案：A148.以下關(guān)于VPN說法正確的是（）A、VPN指的是用戶自己租用線路,和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B、VPN不能做到信息認(rèn)證和身份認(rèn)證C、VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D、VPN只能提供身份不能提供加密數(shù)據(jù)的功能答案：C149.從風(fēng)險(xiǎn)管理的角度，以下哪種方法不可取？A、接受風(fēng)險(xiǎn)B、分散風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、拖延風(fēng)險(xiǎn)答案：D150.以下哪一項(xiàng)是DOS攻擊的一個(gè)實(shí)例A、SQL注入B、IPSoofC、Smurf攻擊D、字典破解答案：C151.機(jī)密性服務(wù)提供信息的保密，機(jī)密性服務(wù)包括（）。A、文件機(jī)密性B、信息傳輸機(jī)密性C、通信流的機(jī)密性D、以上3項(xiàng)都是答案：D152.在你對遠(yuǎn)端計(jì)算機(jī)進(jìn)行ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL是IP協(xié)議包中的一個(gè)值，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長而應(yīng)被丟棄，（簡而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)超過了多少個(gè)路由器）根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL，可以大致判斷（）A、內(nèi)存容量B、操作系統(tǒng)的類型C、對方物理位置D、對方的MAC地址答案：B153.依據(jù)信息系統(tǒng)安全保障模型,以下那個(gè)不是安全保證對象A、機(jī)密性B、管理C、過程D、人員答案：A154.在Windos7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼歷史C、強(qiáng)制長度最小值D、賬號(hào)鎖定時(shí)間答案：D155.下列哪一項(xiàng)最好地描述了哈希算法、數(shù)字簽名和對稱密鑰算法分別提供的功能？A、身份鑒別和完整性，完整性，機(jī)密性和完整性B、完整性，身份鑒別和完整性，機(jī)密性和可用性C、完整性，身份鑒別和完整性，機(jī)密性D、完整性和機(jī)密性，完整性，機(jī)密性答案：C156.Windows文件系統(tǒng)權(quán)限管理訪問控制列表（AccessControlList，ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的：A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS，因?yàn)閃ind