PAGEPAGE1一、單選題1.管理體系審計員進行通信訪問控制審查，首先應(yīng)該關(guān)注：A、維護使用各種系統(tǒng)資源的訪問日志B、在用戶訪問系統(tǒng)資源之前的授權(quán)和認證C、通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護D、確定是否可以利用終端系統(tǒng)資源的責任制和能力.答案：D2.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理答案：D3.以下關(guān)于代替密碼的說法正確的是:A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個bit異或D、明文根據(jù)密鑰作移位答案：A4.評估BCP時，以下哪一項應(yīng)當最被關(guān)注：A、災(zāi)難等級基于受損功能的范圍，而不是持續(xù)時間B、低級別災(zāi)難和軟件事件之間的區(qū)別不清晰C、總體BCP被文檔化，但詳細恢復(fù)步驟沒有規(guī)定D、宣布災(zāi)難的職責沒有被識別答案：D5.傳統(tǒng)的文件型病毒以計算機操作系統(tǒng)作為攻擊對象，而現(xiàn)在越來越多的網(wǎng)絡(luò)蠕蟲病毒將攻擊范圍擴大到了____等重要網(wǎng)絡(luò)資源。（）A、網(wǎng)絡(luò)帶寬B、數(shù)據(jù)包C、防火墻D、LINUX答案：A6.以下關(guān)于ISMS內(nèi)部審核報告的描述不正確的是？A、內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報告中必須包含對不符合性項的改進建議C、內(nèi)審報告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實報告內(nèi)容。D、內(nèi)審報告中必須包括對糾正預(yù)防措施實施情況的跟蹤答案：D7.以下關(guān)于風險評估的描述不正確的是？A、作為風險評估的要素之一，威脅發(fā)生的可能需要被評估B、作為風險評估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評估C、風險評估是風險管理的第一步D、風險評估是風險管理的最終結(jié)果答案：D8.有關(guān)質(zhì)量管理，錯誤的是：A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系相互協(xié)調(diào)的活動，是為了實現(xiàn)質(zhì)量目標，而進行的所有管理性質(zhì)的活動B、規(guī)范質(zhì)量管理體系相關(guān)活動的標準是ISO9000系列標準C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進行系統(tǒng)的管理D、質(zhì)量管理體系從機構(gòu)、程序、過程和總結(jié)四個方面進行規(guī)范來提升質(zhì)量答案：C9.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包括對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)負責人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理答案：D10.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是（）A、ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機的目的B、單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊C、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接答案：D11.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程中和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是？A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標記，在應(yīng)用系統(tǒng)層面對主體和客體進行標記，主體不能隨便更改權(quán)限，增加訪問控制的力度，限制非法訪問C、剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩存區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩存區(qū)中的信息被非授權(quán)的訪問D、機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件。包括機房環(huán)境，機房安全等級、機房的建造和機房的裝修等答案：D12.68.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標準化組織（ISO）轉(zhuǎn)化為國際標準，供各個國家信息系統(tǒng)建設(shè)參考使用B、B.IATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C、C.IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D、強調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運行維護的信息安全保障問題答案：A13.在一份業(yè)務(wù)持續(xù)計劃，下列發(fā)現(xiàn)中哪一項是最重要的？A、不可用的交互PBX系統(tǒng)B、骨干網(wǎng)備份的缺失C、用戶PC機缺乏備份機制D、門禁系統(tǒng)的失效答案：B14.“CC”標準是測評標準類的重要標準，從該標準的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案（）A、評估對象（TOE）B、保護輪廊（PP）C、安全目標（ST）D、評估保證級（EAL）答案：C15.2006年5月8日電，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全文分（）部分共計約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標標準要闡述，對我國（）發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的（），當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（）?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護水平明顯提高，互聯(lián)網(wǎng)信息安全管理進一步加強。A、5個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制B、6個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制C、7個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制D、8個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制答案：B16.關(guān)于ARP欺騙原理和防范措施,下面理解錯誤的是（）.A、ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文,使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機的目的B、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存C、單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實施攻擊D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機進行連接答案：D解析：如果不使用ARP協(xié)議可能會造成網(wǎng)絡(luò)無法正常運行,因此不能避免使用該協(xié)議.17.下列對于訪向控制模型分類說法正確的是:A、BLP模型和biba模型都是強制訪問控制模型B、biba模型和ChineseWall模型都是完整性模型C、訪問控制矩陣不屬于自主訪問控制模型D、基于角色的訪問控制屬于強制訪問控制答案：A18.下圖是安全測試人員連接某遠程主機時的操作界面，請仔細分析該圖，下面選項中推斷正確的是（）C:\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主機的連接。C:DocumentsandSettings\lyxjaowei>.A、安全測試人員連接了遠程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠程服務(wù)開啟了FTP服務(wù)，使用的服務(wù)器軟件名為FTPServerD、遠程服務(wù)器的操作系統(tǒng)是Windows答案：D19.以下SQL語句建立的數(shù)據(jù)庫對象是:A、表B、視圖C、存儲過程D、觸發(fā)器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123答案：B20.不屬于數(shù)據(jù)庫加密方式的是（）？A、硬件/軟件加密B、庫內(nèi)加密C、專用中間件加密D、庫外加密答案：C21.以下哪項不是網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點:A、不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)源；B、與操作系統(tǒng)無關(guān)；C、實時監(jiān)視和檢測網(wǎng)絡(luò)攻擊或者濫用D、可以分析加密數(shù)據(jù)答案：D22.在進行人員的職責定義時，在信息安全方面應(yīng)考慮什么因素？A、人員的背景、資質(zhì)的可靠性B、人員需要履行的信息安全職責C、人員的工作能力D、人員溝通、協(xié)調(diào)能力答案：B23.下面哪項屬于軟件開發(fā)安全方面的問題？A、軟件部署時對所選用的服務(wù)器性能不高，導(dǎo)致軟件執(zhí)行效率低B、應(yīng)用軟件未考慮多線程技術(shù)，在對多用戶服務(wù)時按序排對提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所有數(shù)據(jù)D、軟件受許可證（LICENSE）限制，不能在多臺電腦上安裝答案：C24.下面對于CC的“評估保證級”（EAL）的說法最準確的是：A、代表著不同的訪問控制強度B、描述了對抗安全威脅的能力級別C、是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對安全行為和安全功能的不同要求D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度答案：D25.Redis數(shù)據(jù)庫的默認端口是哪個A、3306B、1433C、1521D、6379答案：D26.業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯誤更詳細的顯示出來C、捕獲錯誤，并拋出前臺顯示D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息答案：D27.構(gòu)成風險的關(guān)鍵因素有哪些？A、人，財，物B、技術(shù)，管理和操作C、資產(chǎn)，威脅和弱點D、資產(chǎn)，可能性和嚴重性答案：C28.信息系統(tǒng)審核員應(yīng)該預(yù)期誰來授權(quán)對生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？A、流程所有者B、系統(tǒng)管理員C、安全管理員D、數(shù)據(jù)所有者答案：D29.下列哪項是用于降低風險的機制A、安全和控制實踐B、財產(chǎn)和責任保險C、審計與認證D、合同和服務(wù)水平協(xié)議答案：A30.密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰？A、、散列算法B、、隨機數(shù)生成算法C、、對稱密鑰算法D、、非對稱密鑰算法答案：C31.下列關(guān)于kerckhof準則的說法正確的是:A、保持算法的秘密性比保持密鑰的秘密性要困難的多B、密鑰一旦泄漏,也可以方便的更換C、在一個密碼系統(tǒng)中,密碼算法是可以公開的,密鑰應(yīng)保證安全D、公開的算法能夠經(jīng)過更嚴格的安全性分析答案：C32.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn),服務(wù)器上開放了以下幾個應(yīng)用,除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題,作為一名檢測人員,你需要告訴用戶對應(yīng)用進行安全整改以外解決明文傳輸數(shù)據(jù)的問題,以下哪個應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題:A、SSHB、HTTPC、FTPD、SMTP答案：A33.根據(jù)《關(guān)于開展信息安全風險評估工作的意見》的規(guī)定,錯誤的是（）A、信息安全風險評估分自評估、檢查評估兩形式,應(yīng)以檢查評估為主,自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效‘的原則開展C、信息安全風險評估應(yīng)管貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風險評估工作應(yīng)加強信息安全風險評估工作的組織領(lǐng)導(dǎo)答案：A解析：自評為主,檢查為輔34.以下對跨站腳本攻擊（XSS）的解釋最準確的一項是：A、引誘用戶點擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進行非法的訪問C、一種很強大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁中，從而達到惡意的目的答案：D35.下面哪一項不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標準：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC、C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點對點隧道協(xié)議（PPTP）答案：C36.下面哪項屬于軟件開發(fā)安全方面的問題A、軟件部署時對所選用的服務(wù)器性能不高，導(dǎo)致軟件執(zhí)行效率低B、應(yīng)用軟件未考慮多線程技術(shù)，在對多用戶服務(wù)時按序排對提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所有數(shù)據(jù)D、軟件受許可證（LICENSE）限制，不能在多臺電腦上安裝答案：C37.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進行認證，也支持跨域認證，下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認證的7個步驟，其中有幾個步驟出現(xiàn)錯誤，圖中錯誤的描述正確的是A、步驟1和步驟2發(fā)生錯誤，應(yīng)該向本地AS請求并獲得遠程TGTB、步驟3和步驟4發(fā)生錯誤，應(yīng)該向本地TGS請求并獲得遠程TGTC、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程AS請求并獲得遠程TGTD、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程TGS請求并獲得遠程TGT答案：B38.屬于操作系統(tǒng)自身的安全漏洞的是：（）。A、操作系統(tǒng)自身存在的“后門”B、QQ木馬病毒C、管理員賬戶設(shè)置弱口令D、電腦中防火墻未作任何訪問限制答案：A39.ISMS審核時，首次會議的目的不包括以下哪個？A、明確審核目的、審核準則和審核范圍B、明確審核員的分工C、明確接受審核方責任，為配合審核提供必要資源和授權(quán)D、明確審核進度和審核方法，且在整個審核過程中不可調(diào)整答案：D40.下面關(guān)于定性風險評估方法的說法正確的選項是A、通過將資產(chǎn)價值和風險等量化為財務(wù)價值和方式來進行計算的一種方法B、采用文字形式或表達性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性C、在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來源中得到的數(shù)據(jù)D、定性風險分析提供了較好的成本效益分析答案：B41.ISO27002中描述的11個信息安全管理控制領(lǐng)域不包括：A、信息安全組織B、資產(chǎn)管理C、內(nèi)容安全D、人力資源安全答案：C42.以下角色誰應(yīng)該承擔決定信息系統(tǒng)資源所需的保護級別的主要責任？A、信息系統(tǒng)安全專家B、業(yè)務(wù)主管C、安全主管D、系統(tǒng)審查員答案：B43.信息收集是（）攻擊實施的基礎(chǔ)，因此攻擊者在實施前會對目標進行（），了解目標所有相關(guān)的（）。這些資料和信息對很多組織機構(gòu)來說都是公開或看無用的，然而對攻擊者來說，這些信息都是非常有價值的，這些信息收集得越多，離他們成功得實現(xiàn)（）就越近。如果為信息沒有價值或價值的非常低，組織機構(gòu)通常不會采取措施（），這正是社會工程學攻擊者所希望的。A、信息收集；社會工程學；資料和信息；身份偽裝；進行保護B、社會工程學；信息收集；資料和信息；身份偽裝；進行保護C、社會工程學；信息收集；身份偽裝；資料和信息；進行保護D、信息收集；資料和信息；社會工程學；身份偽裝；進行保護答案：B44.組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？A、應(yīng)急計劃B、遠程方法C、電腦安全程序D、電子郵件個人隱私答案：C45./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID（UID）、默認的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為’x’。下列選項中，對此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個文件里D、這些賬戶都被禁用了答案：C46.某個新成立的互聯(lián)網(wǎng)金融公司擁有10個與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺個人計算機，這些個人計算機不會同時開機并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這10個互聯(lián)網(wǎng)地址集中起來使用，當任意一臺個人計算機開機并連接網(wǎng)絡(luò)時，管理中心從這10個地址中任意取出一個個尚未分配的IP地址分配給這個人的計算機。他關(guān)機時，管理中心將該地為收回，并重新設(shè)置為未分配?？梢?，只要同時打開的個人計算機數(shù)量少于或等于可供分配的IP地址，那么，每臺個人計算機可以獲取一個IP地址，并實現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是A、動態(tài)分配地址B、靜態(tài)NAT分配地址C、靜態(tài)分配地址D、端口NAT分配地址答案：A47.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性；脆弱性V6和脆弱性V7.根據(jù)上述條件，請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風險值？A、2B、3C、5D、6答案：C48.BCM設(shè)計為了保證單位的業(yè)務(wù)不中斷，以下說法正確的是？A、BCM的設(shè)計是為了保證重要業(yè)務(wù)或突發(fā)事件中斷后能夠恢復(fù)B、BCM的設(shè)計是為了保證一般業(yè)務(wù)或突發(fā)事件中。。。C、BCM的設(shè)計是為保證所有業(yè)務(wù)中斷或突發(fā)事件。。。D、BCM就是應(yīng)急預(yù)案的集合。。。。答案：A49.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是A、軟件安全開發(fā)生命周期較長、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復(fù)所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要在組織第三方進行安全性測試答案：B50.信息安全管理體系（簡稱ISMS）的內(nèi)部審核是兩項重要的管理活動，關(guān)于這兩者，下面描述錯誤的是？A、內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也是應(yīng)當按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式采用公開管理評審會議的形式進行C、內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策制定的第三方技術(shù)服務(wù)機構(gòu)D、組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準則使用，但在管理評審中，這些文件是被審對象答案：C51.恢復(fù)時間目標（RecoveryTimeObjective,KTO）和恢復(fù)點目標（RecoveryPointObjective,RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個重要指標，隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進，這兩個指標的數(shù)值越來越小，小華準備為其工作的信息系統(tǒng)擬定RTO和RPO指標，則以下描述中，正確的是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RTO不可以為0C、RTO不可以為0，RPO可以為0D、RTO不可以為0，RPO也不可以為0答案：A52.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅，以下哪個不是需要考慮的攻擊方式：A、攻擊者利用軟件存在邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運算進入死循環(huán)，CPU資源占用始終100％B、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時會導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C、攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問答案：D53.下列不屬于防火墻核心技術(shù)的是____。（）A、（靜態(tài)／動態(tài)）包過濾技術(shù)B、NAT技術(shù)C、應(yīng)用代理技術(shù)D、日志審計答案：D54.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基礎(chǔ)。某單位在實施風險評估時，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風險評估中“風險要素識別”階段輸出的文檔。A、《風險評估準則要求》，主要包括現(xiàn)有風險評估參考標準、采用的風險分析方法、資產(chǎn)分類標準等內(nèi)容B、《風險評估方法和工具列表》，主要包括擬用的風險評估方法和測試評估工具等內(nèi)容C、《風險評估方案》，主要包括本次風險評估的目的、范圍、目標、評估步驟、經(jīng)費預(yù)算和進度安排等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容答案：D55.root是UNIX系統(tǒng)中最為特殊的一個賬戶，它具有最大的系統(tǒng)權(quán)限：下面說法錯誤的是：A、應(yīng)嚴格限制使用root特權(quán)的人數(shù)。B、不要作為root或以自己的登錄戶頭運行其他用戶的程序，首先用su命令進入用戶的戶頭。C、決不要把當前工作目錄排在PATH路徑表的前邊，那樣容易招引特洛伊木馬。當系統(tǒng)管理員用su命令進入root時，他的PATH將會改變，就讓PATH保持這樣，以避免特洛伊木馬的侵入。D、不同的機器采用相同的root口令。答案：D56.在網(wǎng)絡(luò)交易發(fā)達的今天,貿(mào)易雙方可以通過簽署電子合同來保障自己的合法權(quán)益。某中心推出電子簽名服務(wù),按照如圖方式提供電子簽名,不屬于電子簽名的基本特性的是（）。1415A、不可偽造性B、不可否認性C、保證消息完整性D、機密性答案：D57.ISO9001-2000標準在制定、實施質(zhì)量管理體系以及改進其有效性時采用過程方法,通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖,圖中括號空白處應(yīng)填寫（）A、策略B、管理者C、組織D、活動答案：D58.你想發(fā)現(xiàn)到達目標網(wǎng)絡(luò)需要經(jīng)過哪些路由器，你應(yīng)該使用什么命令？A、pingB、nslookupC、tracertD、ipconfig答案：C59.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運營B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項目一個重要任務(wù)就是識別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時修訂連續(xù)性計劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入答案：D60.Windows服務(wù)說法錯誤的是（）A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨立的進程運行或以DLL的形式依附在SvchostC、Windows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運行D、Windows服務(wù)通常是以管理員的身份運行的答案：C61.下面哪個命令可以打印Linux下的所有進程信息A、ls-dB、ls-lC、suD、ps-ef答案：D62.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是？A、在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B、實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為答案：B63.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行業(yè)務(wù)影響分析（BIT）時的步驟是：標識關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級;3.標識關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時間A、１-3-4-2B、１-3-2-4C、1－2－3－4D、１－4－3－2答案：A64.風險要素識別是風險評估實施過程中的一個重要步驟，小李將風險要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個最合適的選項（）A、識別面臨的風險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性答案：B65.2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃（ComprchensiveNationalCybersecuityInitative,CNCI）。CNCI計劃建立三道防線:第一道防線，減少漏洞和隱患，預(yù)防入侵:第二道防線，全面應(yīng)對各類威脅;第三道防線，強化未來安全環(huán)境。從以上內(nèi)容，我們可以看出以下哪種分析是正確的:A、CNCI是以風險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風險B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D、CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障答案：A66.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》的規(guī)定，上網(wǎng)信息的保密管理堅持____的原則CA、國家公安部門負責B、國家保密部門負責C、“誰上網(wǎng)誰負責”D、用戶自覺答案：C67.在提供給一個外部代理商訪問信息處理設(shè)施前,一個組織應(yīng)該怎么做?A、外部代理商的處理應(yīng)該接受一個來自獨立代理進行的IS審計。B、外部代理商的員工必須接受該組織的安全程序的培訓。C、來自外部代理商的任何訪問必須限制在?；饏^(qū)（DMZ）D、該組織應(yīng)該進行風險評估,并制定和實施適當?shù)目刂?。答案：D68./etc/passw文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID（UID）、默認的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黒客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密口令數(shù)據(jù)項都顯示為‘x’。下列選項中，對此現(xiàn)象的解釋正確的是（）A、黒客竊取的passwd文件是假的B、加密口令被轉(zhuǎn)移到了另一個文件里C、這些賬戶都被禁用了D、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘x’答案：B69.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題答案：D70.在你對終端計算機進行Ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包含中初始TTL值是不同的，TTL是IP協(xié)議包中的一個信，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。（簡而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器）根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL值，可以大致判斷（）A、內(nèi)存容量B、操作系統(tǒng)的類型C、對方物理位置D、對方的MAC地址答案：B71.根據(jù)《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》規(guī)定，（）發(fā)現(xiàn)電子公告服務(wù)系統(tǒng)中出現(xiàn)明顯屬于該辦法第九條所列的禁止信息內(nèi)容之一的，應(yīng)當立即刪除，保存有關(guān)記錄，并向國家有關(guān)機關(guān)報告。A、電子公告用戶B、電子公告瀏覽者C、互聯(lián)單位D、電子公告服務(wù)提供者答案：D72.下面對“零日（Zero-day）漏洞”的理解中，正確的是？A、指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目的D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未被公開、還不存在安全補丁的漏洞都是零日漏洞答案：D73.下面哪一層可以實現(xiàn)編碼，加密A、傳輸層B、會話層C、網(wǎng)絡(luò)層D、物理層答案：B74.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題C、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題D、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題答案：C75.在某信息系統(tǒng)的設(shè)計中，用戶登錄過程是這樣的：（1）用戶通過HTTP協(xié)議訪向信息系統(tǒng)；（2）用戶在登錄頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確則鑒別完成。可以看出？A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A76.王明買了一個新的藍牙耳機,但王明聽說使用藍牙設(shè)備有一定的安全威脅,于是王明找到對藍牙技術(shù)有所了解的王紅,希望王紅能夠給自己一點建議,以下哪一條建議不可?。ǎ〢、在選擇使用藍牙設(shè)備時,應(yīng)考慮設(shè)備的技術(shù)實現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B、選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C、如果藍牙設(shè)備丟失,最好不要做任何操作D、在配對時使用隨機生成的密鑰、不使用時設(shè)置不可被其他藍牙設(shè)備發(fā)現(xiàn)答案：C77.風險評估的過程包括（）、（）、（）和（）四個階段。在信息安全風險管理過程中，風險評估活動接受背景建立階段的輸出，形成本階段的最終輸出《風險評估報告》，此文檔為風險處理活動提供輸入。（）和（）貫穿風險評估的四個階段。A、風險評估準備；風險要素識別；風險分析；監(jiān)控審查；風險結(jié)果判定；溝通咨詢B、風險評估準備；風險要素識別；監(jiān)控審查風險分析；風險結(jié)果判定；溝通咨詢C、風險評估準備；監(jiān)控審查；風險要素識別；風險分析；風險結(jié)果判定；溝通咨詢D、風險評估準備；風險要素識別；風險分析；風險結(jié)果判定:監(jiān)控審查溝通咨詢答案：D78.《網(wǎng)絡(luò)安全法》共計（），（），主要內(nèi)容包括：網(wǎng)絡(luò)空間主權(quán)原則，網(wǎng)絡(luò)運行安全制度、（）、網(wǎng)絡(luò)信息保障制度、（）、等級保護制度、（）等。A、9章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度B、8章；79條；關(guān)鍵信息基礎(chǔ)設(shè)施保護制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度C、8章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度D、7章；79條；關(guān)鍵信息基礎(chǔ)設(shè)施保護制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度答案：D79.對于信息安全風險的描述不正確的是A、企業(yè)信息安全風險管理就是要做到零風險B、在信息安全領(lǐng)域,風險就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響及其潛在可能性C、風險管理就是以可接受的代價,識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。D、風險評估就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。答案：A80.IT工程建設(shè)與IT安全工程建設(shè)脫節(jié)是眾多安全風險涌現(xiàn)的根源，同時安全風險也越來越多地體現(xiàn)在應(yīng)用層。因此迫切需要加強對開發(fā)階段的安全考慮，特別是要加強對數(shù)據(jù)安全性的考慮，以下哪項工作是在IT項目的開發(fā)階段不需要重點考慮的安全因素？A、操作系統(tǒng)的安全加固B、輸入數(shù)據(jù)的校驗C、數(shù)據(jù)處理過程控制D、輸出數(shù)據(jù)的驗證答案：A81.在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的（）。A、背景建立的依據(jù)是國家.地區(qū)或行業(yè)的相關(guān)政策.法律.法規(guī)和標準，以及機構(gòu)的使命.信息系統(tǒng)的業(yè)務(wù)目標和特性B、背景建立階段應(yīng)識別需要保護的資產(chǎn).面臨的威脅以及存在的脆弱性并分別賦值，同時確認已有的安全措施，形成需要保護的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標.業(yè)務(wù)特性.管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告答案：B82.網(wǎng)絡(luò)安全的最后一道防線是__________A、數(shù)據(jù)加密B、訪問控制C、接入控制D、身份識別答案：A83.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數(shù)字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則：A、最小特權(quán)原則B、職責分離原則C、縱深防御原則D、最少共享機制原則答案：C84.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。B、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素。C、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）。D、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段。答案：D85.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（）。A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離答案：C86.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityvirtualPrivateNetworkIPsecVPN）時。以下說法正確的是A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVIPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報文驗證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機密性答案：C87.相對于現(xiàn)有殺毒軟件在終端系統(tǒng)中提供保護不同，__在內(nèi)外網(wǎng)絡(luò)邊界處提供更加主動和積極的病毒保護。（）A、防火墻B、病毒網(wǎng)關(guān)C、IPSD、IDS答案：B88.下列關(guān)于計算機病毒感染能力的說法不正確的是A、能將自身代碼注入到引導(dǎo)區(qū)B、能講自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本中并執(zhí)行D、能將自身文件注入到文檔配置版的宏文件中答案：C89.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的（）A、小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自教給李強就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請升級郵件服務(wù)軟件答案：C90.模糊測試，也稱Fuzz測試，是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法。下列描述正確的A、模糊測試有時屬于黒盒測試，有時屬于白盒測試，取決于其使用的測試方法B、模糊測試本質(zhì)上屬于白盒測試C、模糊測試本質(zhì)上屬于黑盒測試D、模糊測試既不屬于黒盒測試，也不屬于白盒測試答案：C91.下列哪一項是注冊機構(gòu)（RA）的職責？A、證書發(fā)放B、證書注銷C、提供目錄服務(wù)讓用戶查詢D、審核申請人信息答案：D92.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：A、GP是涉及過程的管理、測量和制度化方面的活動B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動C、在工程實施時，GP應(yīng)該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力答案：B解析：GP適用于域維中所有PA活動。93.LINUX系統(tǒng)的/etc目錄從功能上看相當于windows的哪個目錄A、programfilesB、windowsC、systemvolumeinformationD、TEMP答案：B94.評估IT風險被很好的到達，可以通過：A、評估IT資產(chǎn)和IT項目總共的威脅B、用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C、審查可比較的組織出版的損失數(shù)據(jù)D、一句審計拔高審查IT控制弱點答案：A95.以下哪個是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是答案：D96.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動,關(guān)于這兩者,下面描述的錯誤是A、內(nèi)部審核和管理評審都很重要,都是促進ISMS持續(xù)改進的重要動力,也都應(yīng)當按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式,而管理評審的實施方式多采用召開管理評審會議形式進行C、內(nèi)部審核的實施主體組織內(nèi)部的ISMS內(nèi)審小組,而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)D、組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核標準使用,但在管理評審總,這些文件時被審對象答案：C97./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID（UID）、默認的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為“X”。下列選項中，對此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為“x”C、加密口令被轉(zhuǎn)移到了另一個文件里D、這些賬戶都被禁用了答案：C98.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面,以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是:A、建全國家信息安全組織與管理體制機制,加強信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施,提供國家信息安全保障能力支撐C、建立信息安全技術(shù)體系,實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系,加快信息安全學科建設(shè)和信息安全人才培養(yǎng)答案：C99.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞，一種有效的對策是在敵手和安的目標之間配備多種（），每一種機制都應(yīng)包括（）兩種手段A、安全機制：安全缺陷：保護和檢測B、安全缺陷：安全機制：保護和檢測C、安全缺陷：保護和檢測：安全機制D、安全缺陷：安全機制：外邊和內(nèi)部答案：B100.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行：A、邏輯隔離B、物理隔離C、安裝防火墻D、VLAN劃分答案：B101.不受限制的訪問生產(chǎn)系統(tǒng)程序的權(quán)限將授予以下哪些人?A、審計師B、不可授予任何人C、系統(tǒng)的屬主。D、只有維護程序員答案：B102.36.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的人站ICMP流量上升了250%盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但是為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了相應(yīng)措施，作為主管負責人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止說有的ICMP流量進入（關(guān)掉ping）B、刪除服務(wù)器上的ping.exe程序C、增加寬帶以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊答案：A103.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責的是？A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標河相擁的計劃得以制定，目標應(yīng)明確、可度量，計劃應(yīng)具體、可實施C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程，確保信息安全風險評估技術(shù)選擇合理、計算正確答案：D104.IS090012000標準跪在制定.實施質(zhì)量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫（）A、策略B、管理者C、組織D、活動答案：D105.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機制,以下哪個說法是錯誤的:A、安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄,因此很難對每個文件和目錄設(shè)置嚴格的訪問權(quán)限,為了使用上的便利,Windows上的ACL存在默認設(shè)置安全性不高的問題C、Windows的ACL機制中,文件和文件夾的權(quán)限是主體進行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性,在實際使用中可以為每一個文件設(shè)定獨立擁護的權(quán)限答案：C106.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒,由于企業(yè)部署的殺毒軟件,為了解決該病毒在企業(yè)內(nèi)部傳播,作為信息化負責人,你應(yīng)采取以下哪項策略（）A、更換企業(yè)內(nèi)部殺毒軟件,選擇一個可以查殺到該病毒的軟件進行重新部署B(yǎng)、向企業(yè)內(nèi)部的計算機下發(fā)策略,關(guān)閉系統(tǒng)默認開啟的自動播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān),防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內(nèi)部答案：B解析：“關(guān)閉系統(tǒng)默認開啟的自動播放功能”可以防止移動存儲介質(zhì)插入電腦后自動打開,導(dǎo)致病毒被執(zhí)行。107.根據(jù)《信息系統(tǒng)安全保障評估框架第四部分：工程保障》安全工程過程A、未實施、基本實施、計劃跟蹤、量化控制、充分定義和持續(xù)改進B、未實施、基本實施、計劃跟蹤，充分定義、量化控制和持續(xù)改進C、基本實施、計劃跟蹤、充分定義、量化控制和持續(xù)改進等5個D、基本實施、計劃跟蹤、量化控制、充分定義和持續(xù)改進等5個答案：B108.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備－>檢測－〉遏制－〉根除－〉恢復(fù)－〉跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是（）。A、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風險，實施針對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟答案：C解析：關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁。109.關(guān)于微軟的SDL原則，棄用不正確的函數(shù)屬于哪個階段A、規(guī)劃B、設(shè)計C、實施D、測試答案：C110.關(guān)于信息安全策略文件的評審以下說法不正確的是哪個？A、信息安全策略應(yīng)由專人負責制定、評審。B、信息安全策略評審每年應(yīng)進行兩次，上半年、下半年各進行一次。C、在信息安全策略文件的評審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D、在信息安全策略文件的評審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。答案：B111.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是（）A、WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議,WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進行認證,而WPA2使用了密碼算法對接入進行認證D、WPA是依照802.11i標準草案制定的,而WPA2是按照802.11i正式標準制定的答案：D112.小牛在對某公司的信息系統(tǒng)進行風險評估后，因考慮到該業(yè)務(wù)系中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理該風險。請問這種風險處置的方法是（）。A、降低風險B、規(guī)避風險C、轉(zhuǎn)移風險D、放棄風險答案：B113.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊,管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下:A、設(shè)置賬戶鎖定策略后,攻擊者無法再進行口令暴力破解,所有輸錯的密碼的擁護就會被鎖住B、如果正常用戶部小心輸錯了3次密碼,那么該賬戶就會被鎖定10分鐘,10分鐘內(nèi)即使輸入正確的密碼,也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次,那么該擁護帳號被鎖定5分鐘,5分鐘內(nèi)即使交了正確的密碼,也無法登錄系統(tǒng)D、攻擊者在進行口令破解時,只要連續(xù)輸錯3次密碼,該賬戶就被鎖定10分鐘,而正常擁護登陸不受影響答案：B114.關(guān)于信息安全管理體系的作用，下面理解錯誤的是？A、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補投入C、對外而言，有助于使各利益相關(guān)方對組織充滿信心D、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責任答案：B115.對信息安全的理解，正確的選項是A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的B、通過信息安全保障措施，確保信息不被喪失C、通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財務(wù)信息的完整性D、通過技術(shù)保障措施，確保信息系統(tǒng)及財務(wù)數(shù)據(jù)的完整性、機密性及可用性答案：A116.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲C、系統(tǒng)設(shè)計缺陷D、保安工作不得力答案：B117.小強接到電話，對方稱他的快遞沒有及時領(lǐng)取，請聯(lián)系XXXX電話，小強撥打該電話后提供自己的私人信息后，對方告知小強并沒有快遞。過了一個月之后，小強的多個賬號都無法登錄。在這個事件當中，請問小強最有可能遇到了什么情況？（）A、快遞信息錯誤而已，小強網(wǎng)站賬號丟失與快遞這件事情無關(guān)B、小強遭到了社會工程學詐騙，得到小強的信息從而反推出各種網(wǎng)站的賬號密碼C、小強遭到了電話詐騙，想欺騙小強財產(chǎn)D、小強的多個網(wǎng)站賬號使用了弱口令，所以被盜。答案：B118.關(guān)于《商用密碼管理條例》，正確的是：A、商用密碼技術(shù)屬于國家秘密；B、商用密碼可以對涉及國家秘密內(nèi)容的信息進行加密保護C、國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行認證管理；D、國內(nèi)用戶可以使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品答案：A119.誤用入侵檢測技術(shù)的核心問題是_______的建立以及后期的維護和更新。A、異常模型B、規(guī)則集處理引擎C、網(wǎng)絡(luò)攻擊特征庫D、審計日志答案：C120.安全評估技術(shù)采用____這一工具，它是一種能夠自動檢測遠程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。（）A、安全掃描器B、安全掃描儀C、自動掃描器D、自動掃描儀答案：A121.下面有關(guān)軟件安全問題的描述中，哪項不是由于軟件設(shè)計缺陷引起的？A、設(shè)計了用戶權(quán)限分級機制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運行后，系統(tǒng)管理員不能查看系統(tǒng)審計信息B、設(shè)計了采用不加鹽（SALT）的SHA-1算法對用戶口令進行加密存儲，導(dǎo)致軟件在發(fā)布運行后，不同的用戶如使用了相同的口令會得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C、設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、設(shè)計了采用自行設(shè)計的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行保護，導(dǎo)致軟件在發(fā)布運行后，被攻擊對手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文答案：A122.實體身份鑒別的方法多種多樣，且隨著技術(shù)的進步，鑒別方法的強度不斷提高，常見的方法有利用口令鑒別.令牌鑒別.指紋鑒別等。如圖，小王在登陸某移動支付平臺時，首先需要通過指紋對用戶身份進行鑒別。通過鑒別后，他才能作為合法用戶使用自己的賬戶進行支付.轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項中的（）A、實體所知的鑒別方法B、實體所有的鑒別方法C、實體特征的鑒別方法D、實體所見的鑒別方法答案：C123.最小特權(quán)是軟件安全設(shè)計的基本原則，某應(yīng)用程序在設(shè)計時，設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專家，請指出是哪一個?A、軟件在Linux下按照時，設(shè)定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運行，設(shè)定運行權(quán)限為system，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤答案：D解析：SYSTEM權(quán)限是最大權(quán)限，違反了最小特權(quán)的原則。124.信息安全事件的分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，信息安全事件分為7個基本類別,描述正確的A、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。B、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。C、網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。答案：B125.有關(guān)危害國家秘密安全的行為，包括：A、嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當行為C、嚴重違反保密規(guī)定行為、定密不當行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為D、嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為答案：A126.小張在某單位是負責事信息安全風險管理方面工作的部門領(lǐng)導(dǎo)，主要負責對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓。一次培訓的時候，小張主要負責講解風險評估工作形式，小張認為：1．風險評估工作形式包括：自評估和檢查評估；2．自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行風險評估；3．檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風險評估；4．對信息系統(tǒng)的風險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.請問小張的所述論點中錯誤的是哪項：A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點答案：D解析：正確的做法為“自評估”和“檢查評估”相互結(jié)合和互為補充。127.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的選項是？A、準確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B、開發(fā)出一套安全性評估準則，和關(guān)鍵的描述變量。C、提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次。D、強調(diào)了風險評估的重要性。答案：D128.有什么方法可以測試辦公部門的無線安全？A、nWardialing戰(zhàn)爭語言B、n社會工程學C、n戰(zhàn)爭駕駛D、n密碼破解答案：D129.如果可能最應(yīng)該得到第一個應(yīng)急事件通知的小組是A、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B、應(yīng)急響應(yīng)日常運行小組C、應(yīng)急響應(yīng)技術(shù)保障小組D、應(yīng)急響應(yīng)實施小組答案：B130.假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A、是多余的，因為它們完成了同樣的功能，但要求更多的開銷B、是必須的，可以為預(yù)防控制的功效提供檢測C、是可選的，可以實現(xiàn)深度防御D、在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制功能已經(jīng)足夠答案：C131.以下對RADIUS協(xié)議說法正確的是:A、它是一種B/S結(jié)構(gòu)的協(xié)議B、它是一項通用的認證計費協(xié)議C、它使用TCP通信D、它的基本組件包括認證、授權(quán)和加密答案：B132.在使用系統(tǒng)安全工程-能力成熟模型（SSE-CMM）對一個組織的安全工程能力成熟度進行測量時，有關(guān)測量結(jié)果，錯誤的理解是（）A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B、如果該組織某個過程區(qū)域（（ProcessArea,,PA）具備了定義標準過程”、“執(zhí)行已定義的過程兩個公共特征,則此過程區(qū)域的能力成熟度級別達到3級充分定義級C、如果某個過程區(qū)域（（ProcessAreaPA））包含4個基本實施（BaseParctices,BP）執(zhí)行此PA時執(zhí)行了3個BP,則此過程區(qū)域能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟可能處于不同的級別上答案：B133.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成功的重要基礎(chǔ)。某單41位在實施風險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風險評估準備B、風險要素識別C、風險分析D、風險結(jié)果判定答案：B解析：風險評估包括四個階段：風險評估準備階段、風險要素識別階段、風險分析階段和風險結(jié)果判定階段。其中評估方案、工具、團隊、人員、計劃、準則都屬于準備階段；資產(chǎn)識別、威脅識別、脆弱性識別、安全措施識別都屬于要素識別階段。134.某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進行風險評估：該服務(wù)器價值138000元，針對某個特定威脅的暴露因子（EF）是45%，該威脅的年度發(fā)生率（ARO）為每10年發(fā)生1次。根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值（ALE）是多少？A、1800元B、62100元C、140000元D、6210元答案：D135.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn),服務(wù)器上開放了以下幾個應(yīng)用,除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題,作為一名檢測人員,你需要告訴用戶對應(yīng)用進行安全整改以外解決明文傳輸數(shù)據(jù)的問題,以下哪個應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題:A、SSHB、HTTPC、FTPD、SMTP答案：A136.訪問控制表與訪問能力表相比，具有以下那個特點：A、訪問控制表更容易實現(xiàn)訪問權(quán)限的特點B、訪問能力表更容易瀏覽訪問權(quán)限C、訪問控制表回收訪問權(quán)限更困難D、訪問控制表更適用于集中式系統(tǒng)答案：D137.用于實現(xiàn)身份鑒別的安全機制是（）。A、加密機制和數(shù)字簽名機制B、加密機制和訪問控制機制C、數(shù)字簽名機制和路由控制機制D、訪問控制機制和路由控制機制答案：A138.87.關(guān)于微軟的SDL原則，禁用不安全的函數(shù)屬于哪個階段?（）A、規(guī)劃B、設(shè)計C、實現(xiàn)D、測試答案：C139.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的信息源是_______。A、系統(tǒng)的審計日志B、事件分析器C、應(yīng)用程序的事務(wù)日志文件D、網(wǎng)絡(luò)中的數(shù)據(jù)包答案：D140.對信息安全的理解，正確的是A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的B、通過信息安全保障措施，確保信息不被丟失C、通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財務(wù)信息的完整性D、通過技術(shù)保障措施，確保信息系統(tǒng)及財務(wù)數(shù)據(jù)的完整性、機密性及可用性答案：A141.下面對ISO27001的說法最準確的是：A、該標準的題目是信息安全管理體系實施指南B、該標準為度量信息安全管理體系的開發(fā)和實施提供的一套標準C、該標準提供了一組信息安全管理相關(guān)的控制和最佳實踐D、該標準為建立、實施、運行、監(jiān)控、審核、維護和改進信息安全體系提供了一個模型答案：D142.下列關(guān)于軟件安全開發(fā)中的BSI（BuildSecurityIn）系列模型說法錯誤的是（）A、BIS含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外B、軟件安全的三根支柱是風險管理、軟件安全爭觸點和安全測試C、軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D、BSI系列模型強調(diào)應(yīng)該使用工程化的方法來保證軟件安全，即在整個軟件開發(fā)生命周期中都要確保將安全作為軟件的一個有機組成部分答案：B143.以下關(guān)于RBAC模型的說法正確的是A、該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權(quán)限B、一個用戶必項扮演并激活某種角色,才能對一個對象進行訪問或執(zhí)行某種摸作C、在該模型中,每個用戶只能有一個角色D、在該模型中,權(quán)限與用戶關(guān)聯(lián),用戶與角色關(guān)聯(lián)答案：B144.信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當是：A、信息化建設(shè)的結(jié)束就是信息安全建設(shè)的開始B、信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實施C、信息化建設(shè)和信息安全建設(shè)是交替進行的，無法區(qū)分誰先誰后D、以上說法都正確答案：B145.66.IPV4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進行互聯(lián)、互通，僅僅依拿IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和，IETF于1994年開始制定IPSec協(xié)議標準，其設(shè)計目標是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性，下列選項中說法錯誤的是（）A、A對于IPv4,IPSec是可選的，對于IPv6,IPSec是強制實施的。B、B.IPSec協(xié)議提供對IP及其上層協(xié)議的保護。C、C.IPSec是一個單獨的協(xié)議。D、D.ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制答案：C146.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，下面總結(jié)錯誤的是？A、各國普遍將國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的中重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流和對話，均同意建立一致的安全保障系統(tǒng)，強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標準規(guī)范建設(shè)，重視應(yīng)急響應(yīng)，安全監(jiān)管和安全測評答案：C147.根據(jù)信息安全風險要素之間的關(guān)系,下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施答案：C解析：風險的原理是威脅利用脆弱性,造成對資產(chǎn)的風險。148.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和Chines-Wall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B149.按照我國信息安全等級保護的有關(guān)政策和標準，有些信息系統(tǒng)只需要自主定級、自主保護、按照要求向公安機關(guān)備案即可，可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)答案：B150.在實施風險分析期間，識別出威脅和潛在影響后應(yīng)該A、識別和評定管理層使用的風險評估方法B、識別信息資產(chǎn)和基本系統(tǒng)C、揭示對管理的威脅和影響D、識別和評價現(xiàn)有控制答案：D151.在Windos7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進行設(shè)置？A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強制密碼歷史D、賬號鎖定時間答案：D152.以下無線加密標準中哪一種安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P答案：A153.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進行一次，事件發(fā)生時間為周三，因此導(dǎo)致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20986-2007《信息安全事件分級分類指南》，該事件的準確分類和定級應(yīng)該是（）A、有害程序事件特別重大事件（Ⅰ級）B、信息破壞事件重大事件（Ⅱ級）C、有害程序事件較大事件（Ⅲ級）D、信息破壞事件一般事件（Ⅳ級）答案：C解析：木馬病毒為有害程序事件，系統(tǒng)數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問屬于較大事件（III級）154.隨著時代的發(fā)展，有很多偉人都為通信事業(yè)的發(fā)展貢獻出自己力量，根據(jù)常識可知以下哪項是正確的（）A、19世紀中葉以后，隨著電磁技術(shù)的發(fā)展，誕生了筆記本電腦，通信領(lǐng)域產(chǎn)生了根本性的飛躍，開始了人類通信新時代B、1837年，美國人費曼發(fā)明了電報機，可將信息轉(zhuǎn)換成電脈沖傳向目的地，再轉(zhuǎn)換為原來的信息，從而實現(xiàn)了長途電報通信C、1875年，貝爾（Bell）發(fā)明了電話機。1878年在相距300公里的波土頓和紐約之間進行了首次長途電話實驗，獲得了成功D、1906年美國物理學家摩斯發(fā)明出無線電廣播。法國人克拉維爾建立了英法第一條商用無線電線路，推動了無線電技術(shù)的進一步發(fā)展答案：C155.下面對“零日（Zero-day）漏洞”的理解中，正確的是？A、指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目的D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未被公開、還不存在安全補丁的漏洞都是零日漏洞答案：D156.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的操作習慣（）A、使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)答案：A157.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風險評估工作的意見》（國信辦（2006）5號）中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求，下面選項中描述正確的是（）。A、信息安全風險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用D、自評