PAGEPAGE1一、單選題1.SSE-CMM工程過(guò)程區(qū)域中的風(fēng)險(xiǎn)過(guò)程包含哪些過(guò)程區(qū)域？A、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài)、評(píng)估威脅、評(píng)估脆弱行、評(píng)估安全風(fēng)險(xiǎn)C、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全答案：C2.信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說(shuō)法不正確：A、2001-2002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國(guó)信息安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)B、2003-2005年是逐步展開和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號(hào)文件）并頒布了國(guó)家信息安全戰(zhàn)略C、2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成D、2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐答案：C3.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅？A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDos攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購(gòu)買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D4.ISMS審核時(shí)，首次會(huì)議的目的不包括以下哪個(gè)？A、明確審核目的、審核準(zhǔn)則和審核范圍B、明確審核員的分工C、明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D、明確審核進(jìn)度和審核方法，且在整個(gè)審核過(guò)程中不可調(diào)整答案：D5.對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的是（）A、特別重要信息系統(tǒng);B、重要信息系統(tǒng);C、一般信息系統(tǒng);D、關(guān)鍵信息系統(tǒng)答案：D6.（）通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。A、AccessVPNB、IntranetVPNC、ExtranetVPND、InternetVPN答案：B7.以下最有效的防范上傳漏洞A、用黑名單的方式驗(yàn)證文件后綴，上傳后保持文件名不變B、驗(yàn)證文件頭確定是圖片格式，上傳后文件名不變C、驗(yàn)證上傳文件的內(nèi)容，匹配關(guān)鍵字來(lái)確定是否允許上傳，上傳后保持文件名不變D、不做任何驗(yàn)證，上傳文件名自動(dòng)系統(tǒng)修正以字符串加圖片后綴形式答案：D8.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是（）A、所謂需求管理，是指對(duì)需求開發(fā)的管理B、需求管理包括：需求獲取、需求分析、需求定義和需求驗(yàn)證C、需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過(guò)程D、在需求管理中，要求維持對(duì)原有需求和所有產(chǎn)品需求的雙向跟蹤答案：D9.為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作，我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級(jí)保護(hù)工作的工作階段大致分類。下面四個(gè)標(biāo)準(zhǔn)中，（）提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，并按照技術(shù)和管理兩個(gè)方面提出了相關(guān)基本安全要求。A、GB/T22239-2008《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》C、GB/T25070-2010《信息系統(tǒng)等保護(hù)安全設(shè)計(jì)技術(shù)要求》D、GB/T28449-2012《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》答案：B10.下面對(duì)于cookie的說(shuō)法錯(cuò)誤的是:A、cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B、cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C、通過(guò)cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過(guò)身份驗(yàn)證的攻擊叫做cookie欺編D、防范cookie欺編的一個(gè)有效方法是不使用cookie驗(yàn)證方法.而使用session驗(yàn)證方法答案：C11.下列安全控制措施的分類中，哪個(gè)分類是正確的（p-預(yù)防性的，D-檢測(cè)性的以及C-糾正性的控制）1、網(wǎng)絡(luò)防火墻2、RAID級(jí)別33、銀行賬單的監(jiān)督復(fù)審4、分配計(jì)算機(jī)用戶標(biāo)識(shí)5、交易日志A、p,p,C,d,andCB、d,C,c,d,andDC、p，C,d,p,andDD、p,d,p,p,andC答案：C12.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù)，包括系統(tǒng)日志，公司網(wǎng)絡(luò)管理員在了解情況后，給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ〢、由于單位并無(wú)專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對(duì)本次攻擊進(jìn)行取證B、由于公司缺乏備用硬盤，因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來(lái)進(jìn)行取證C、由于公司缺乏備用硬盤，因此網(wǎng)絡(luò)管理員申請(qǐng)采購(gòu)與服務(wù)器硬盤同一型號(hào)的硬盤用于存儲(chǔ)恢復(fù)出來(lái)的數(shù)據(jù)D、由于公司并無(wú)專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作答案：B13.以下哪個(gè)不是應(yīng)用層防火墻的特點(diǎn)A、更有效地阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對(duì)用戶透明D、比較容易進(jìn)行審計(jì)答案：C14.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A、IS審計(jì)員.B、管理層.C、外部審計(jì)師.D、程序開發(fā)人員.答案：B15.分析針對(duì)Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說(shuō)攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯(cuò)誤的是（）A、拒絕服務(wù)攻擊B、網(wǎng)址重定向C、傳輸保護(hù)不足D、錯(cuò)誤的訪問控制答案：D16.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目?？傮w目標(biāo)就是用交換式水平布線，由大型的交換機(jī)和路由器連通幾個(gè)主要的工作區(qū)域，在各個(gè)區(qū)域建立通過(guò)網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心。其中對(duì)交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一，和路由器的安全配置，操作錯(cuò)誤的是A、保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁B、控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口C、帶外管理交換機(jī)，如果不能實(shí)現(xiàn)的話，就可以利用單獨(dú)的VLAN號(hào)進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)答案：A17.（）第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照（）實(shí)行分級(jí)保護(hù)。（）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國(guó)家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格答案：A解析：《保密法》第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照涉密程度實(shí)行分級(jí)保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使用。18.30.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無(wú)需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對(duì)性的解決，比前期安全投入要成本更低;信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說(shuō)法?A、信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開發(fā)部門的說(shuō)法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低C、雙方的說(shuō)法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D、雙方的說(shuō)法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同答案：A19.某攻擊者想通過(guò)遠(yuǎn)程控制軟件潛伏在某監(jiān)控下的UNIX系統(tǒng)的計(jì)算機(jī)中，如果攻擊者打算長(zhǎng)時(shí)間地遠(yuǎn)程監(jiān)控某服務(wù)器上的存儲(chǔ)的敏感數(shù)據(jù)，必須要能夠清除在監(jiān)控?計(jì)算機(jī)中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方查看自己的系統(tǒng)日志的時(shí)候，就會(huì)發(fā)現(xiàn)被監(jiān)控以及訪問的痕跡。不屬于清除痕跡的方法A、采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能B、竊取root權(quán)限修改wtmp/wtmpx、utmp/utmpx和lastlog三個(gè)主要日志文件C、保留攻擊時(shí)產(chǎn)生的臨時(shí)文件D、修改登錄日志，偽造成功的登錄日志，增加審計(jì)難度答案：C20.下列哪類證件不得作為有效身份證件登記上網(wǎng)（）A、駕駛證B、戶口本C、護(hù)照D、暫住證答案：B21.風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)佑的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用愿理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是：A、風(fēng)險(xiǎn)評(píng)估與管理工具B、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C、風(fēng)險(xiǎn)評(píng)估輔助工具D、環(huán)境風(fēng)險(xiǎn)評(píng)估工具答案：D22.網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（）。A、用戶的方便性B、管理的復(fù)雜性C、對(duì)現(xiàn)有系統(tǒng)的影響及對(duì)不同平臺(tái)的支持D、上面3項(xiàng)都是答案：D23.下面四款安全測(cè)試軟件中，主里用于WEB安全掃描的是？A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner答案：B24.隨著時(shí)代的發(fā)展,有根多偉人都為通信亊業(yè)的發(fā)展貢獻(xiàn)出自己力量,根據(jù)常識(shí)可知以下哪項(xiàng)是正確的?（）A、19世紀(jì)中葉以后,隨著電磁技術(shù)的發(fā)展,誕生了筆記本電腦,通信領(lǐng)域產(chǎn)生了根本性的飛躍,開始了人類通信新時(shí)代B、1837年,美國(guó)人費(fèi)曼發(fā)明了電報(bào)機(jī),可將信息轉(zhuǎn)換成電脈沖傳向目的地,再轉(zhuǎn)換為原來(lái)的信息,從而實(shí)現(xiàn)了長(zhǎng)途電報(bào)通信C、1875年,貝爾（Bell）發(fā)明了電話機(jī)?1878年在相距300公里的波士頓和紐約之間進(jìn)行了首次長(zhǎng)途電話實(shí)驗(yàn)D、1906年美國(guó)物理學(xué)家摩斯發(fā)明出無(wú)線電廣播?法國(guó)人克拉維爾建立了英法第一條商用無(wú)線電線路,推動(dòng)了無(wú)線電技術(shù)的進(jìn)一步發(fā)展答案：C25.有關(guān)危害國(guó)家秘密安全的行為，包括：A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為答案：A26.于ISO/IEC21827:2002（SSE-CMM）描述不正確的是_________。A、SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)B、SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過(guò)程C、SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證D、SSE-CMM是用于對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估的標(biāo)準(zhǔn)答案：D27.信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理,也就是,始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即（）選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)答案：A解析：P84頁(yè)28.以下哪一項(xiàng)是和電子郵件系統(tǒng)無(wú)關(guān)的？A、PEMB、PGPC、X.500D、X.400答案：C29.安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過(guò)Apache獲得root權(quán)限D(zhuǎn)、為了減少Apache上存在的漏洞答案：C30.86.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國(guó)信辦〔2006〕5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是A、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用答案：D31.由于ICMP消息沒有目的端口和源端口，而只有消息類型代碼。通常過(guò)濾系統(tǒng)基于（）來(lái)過(guò)濾ICMP數(shù)據(jù)包（）A、端口B、IP地址C、消息類型D、代碼E、狀態(tài)答案：C32.“統(tǒng)一威脅管理”是將防病毒,入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理,目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類安全設(shè)備,這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱為（）A、UTMB、FWC、IDSD、SOC答案：A33.要限制用戶連接vty，只允許IP可以連接，下面哪一個(gè)配置適用：A、access-list1permitLinevty04Access-class1inB、access-list1permit55Linevty04Access-class1inC、access-list1permitLinevty6670Access-class1inD、access-list1permitLinevty04Access-group1in答案：A34.防火墻最主要被部署在____位置。（）A、網(wǎng)絡(luò)邊界B、骨干線路C、重要服務(wù)器D、桌面終端答案：A35.操作系統(tǒng)是作為一個(gè)支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)設(shè)計(jì)的不周周周而下的破綻，都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實(shí)現(xiàn)該公司操作系統(tǒng)的安全目標(biāo)，按書中所學(xué)建立了相應(yīng)的安全機(jī)制，這些機(jī)制不包括（）A、標(biāo)識(shí)與鑒別B、訪問控制C、權(quán)限管理D、網(wǎng)絡(luò)云盤存取保護(hù)答案：D解析：D不屬于信息安全機(jī)制的范疇。36.公安部網(wǎng)絡(luò)違法案件舉報(bào)網(wǎng)站的網(wǎng)址是____。（）A、B、C、D、答案：C37.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層--最終責(zé)任B、信息安全部門主管--提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者--遵守日常操作規(guī)范D、審計(jì)人員--檢查安全策略是否被遵從答案：B38.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計(jì)訪問控制方法，他們?cè)谟懻撝芯蛻?yīng)該采用自主訪問控制還是制訪問控制產(chǎn)生了分歧。小李應(yīng)該采用自主訪問控制的方法，他的觀點(diǎn)主要有：（1）自主訪問控制方式，為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；（2）自主訪問控制可以抵御木馬程序的攻擊，小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問控制的方法、他的觀點(diǎn)主要有：（3）強(qiáng)制訪問控制中，只有文件擁有者可以修改文件的安全屬性，因此安全性較高；（4）強(qiáng)制訪問控制能夠保護(hù)敏感信息，以上四個(gè)觀點(diǎn)中，有一個(gè)觀點(diǎn)是正確的，它是（）A、觀點(diǎn)（1）B、觀點(diǎn)（2）C、觀點(diǎn)（3）D、觀點(diǎn)（4）答案：D39.一個(gè)組織已經(jīng)創(chuàng)建了一個(gè)策略來(lái)定義用戶禁止訪問的網(wǎng)站類型。哪個(gè)是最有效的技術(shù)來(lái)達(dá)成這個(gè)策略？A、狀態(tài)檢測(cè)防火墻B、網(wǎng)頁(yè)內(nèi)容過(guò)濾C、網(wǎng)頁(yè)緩存服務(wù)器D、代理服務(wù)器答案：B40.我國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）目前下屬6個(gè)工作組，其中負(fù)責(zé)信息安全管理的小組是：A、WG1B、WG7C、WG3D、WG5答案：B41.PKI在驗(yàn)證一個(gè)數(shù)字證書時(shí)需要查看--來(lái)確認(rèn)A、ARLB、CSSC、KMSD、CRL答案：D42.以下Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccoumtsManager）的說(shuō)法哪個(gè)是正確的：A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有System賬號(hào)才能訪問，具有較高的安全性答案：D43.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層Web架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開發(fā)時(shí),采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C44.信息安全管理體系（ISMS）的建設(shè)和實(shí)施是一個(gè)組織的戰(zhàn)略性舉措。若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，則需實(shí)施準(zhǔn)要求，則需實(shí)施以下ISMS建設(shè)的各項(xiàng)工作，哪一項(xiàng)不屬于ISMS建設(shè)的工作A、規(guī)劃與建立ISMSB、保持和審核ISMSC、實(shí)施和運(yùn)行ISMSD、監(jiān)視和評(píng)審ISMS答案：B45.下面哪項(xiàng)不是實(shí)施信息安全管理的關(guān)鍵成功因素A、理解組織文化B、得到高層承諾C、部署安全產(chǎn)品D、納入獎(jiǎng)懲機(jī)制答案：C46.在招聘過(guò)程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問題時(shí)，以下做法正確的是？A、繼續(xù)執(zhí)行招聘流程。B、停止招聘流程，取消應(yīng)聘人員資格。C、與應(yīng)聘人員溝通出現(xiàn)的問題。D、再進(jìn)行一次背景調(diào)查。答案：B47.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以（）、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用（）。無(wú)論信息以什么形式存在,用哪種方法存儲(chǔ)或共享,都宜對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。（）是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)（）,業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和（）。A、語(yǔ)言表達(dá);電子方式存儲(chǔ);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化B、電子方式存儲(chǔ);語(yǔ)言表達(dá);連續(xù)性;信息安全;商業(yè)機(jī)遇最大化C、電子方式存儲(chǔ);連續(xù)性,語(yǔ)言表達(dá);信息安全;商業(yè)機(jī)遇最大化D、電子方式存儲(chǔ);語(yǔ)言表達(dá);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化答案：D48.惡意代碼的第一個(gè)雛形是？A、磁芯大戰(zhàn)B、爬行者C、清除者D、BRAIN答案：A49.下面對(duì)信息安全漏洞的理解中錯(cuò)誤的是A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開發(fā)、部署或維護(hù)階段，由于設(shè)計(jì)、開發(fā)等相關(guān)人員無(wú)意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和倍息系統(tǒng)帶來(lái)安全損害，甚至帶來(lái)很大的經(jīng)濟(jì)報(bào)失D、由于人類思維誰(shuí)能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的答案：B50.小王是某通信運(yùn)營(yíng)商公司的網(wǎng)絡(luò)按武安架構(gòu)師，為該公司推出的一項(xiàng)新型通信系統(tǒng)項(xiàng)目做安全架構(gòu)規(guī)劃，項(xiàng)目客戶要求對(duì)他們的大型電子商務(wù)網(wǎng)絡(luò)進(jìn)行安全域的劃分，化解為小區(qū)域的安全保護(hù)，每個(gè)邏輯區(qū)域有各自的安全訪問控制和邊界控制策略，以實(shí)現(xiàn)大規(guī)模電子商務(wù)系統(tǒng)的信息保護(hù)。小王對(duì)信息系統(tǒng)安全域（保護(hù)對(duì)象）的劃分不需要考慮的是？A、業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性，業(yè)務(wù)系統(tǒng)是否需要對(duì)外連接B、安全要求的相似性，可用性、保密性和完整性的要求是否類似C、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機(jī)房等D、數(shù)據(jù)庫(kù)的安全維護(hù)答案：D51.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在泥亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的，一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備→檢測(cè)→遏制→根除→恢復(fù)→跟蹤總結(jié)。請(qǐng)問下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤的是（）A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中最關(guān)鍵的步驟B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同、常見的制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)答案：A52.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的信息源是_______。A、系統(tǒng)的審計(jì)日志B、事件分析器C、應(yīng)用程序的事務(wù)日志文件D、網(wǎng)絡(luò)中的數(shù)據(jù)包答案：D53.以下哪個(gè)不是《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》中闡述的（）A、捍衛(wèi)網(wǎng)絡(luò)空間主機(jī)B、保護(hù)關(guān)鍵基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接答案：D54.計(jì)劃是組織根據(jù)環(huán)境的需要和自身的特點(diǎn)，確定組織在一定時(shí)期內(nèi)的目標(biāo)，并通過(guò)對(duì)計(jì)劃的編制來(lái)協(xié)調(diào)、組織各類資源以順利達(dá)到預(yù)期目標(biāo)的過(guò)程。計(jì)劃編制的步驟流程如下圖所示。到空白方格的步驟為（）A、估計(jì)潛在的災(zāi)難事件、選擇計(jì)劃策略B、估計(jì)潛在的災(zāi)難事件、制定計(jì)劃策略C、選擇計(jì)劃策略、估計(jì)潛在的災(zāi)難事件D、制定計(jì)劃策略、估計(jì)潛在的災(zāi)難事件答案：B55.以下哪一項(xiàng)計(jì)算機(jī)安全程序的組成部分是其它組成部分的基礎(chǔ)？（）A、制度和措施B、漏洞分析C、意外事故處理計(jì)劃D、采購(gòu)計(jì)劃答案：A56.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是？A、殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來(lái)說(shuō)，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)答案：D57.關(guān)于ARP欺騙原理和防范措施,下面理解錯(cuò)誤的是（）.A、ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文,使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機(jī)的目的B、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存C、單純利用ARP欺騙攻擊時(shí),ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實(shí)施攻擊D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機(jī)進(jìn)行連接答案：D解析：如果不使用ARP協(xié)議可能會(huì)造成網(wǎng)絡(luò)無(wú)法正常運(yùn)行,因此不能避免使用該協(xié)議.58.某購(gòu)物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶帳戶安全，項(xiàng)目開發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA－1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng)問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則答案：C59.下面哪一種不是防火墻的接口安全選項(xiàng)A、防代理服務(wù)B、防IP碎片C、防IP源路由D、防地址欺騙答案：A60.基于攻擊方式可以將黑客攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，以下哪一項(xiàng)不屬于主動(dòng)攻擊?A、中斷B、篡改C、偵聽D、偽造答案：C61.我國(guó)信息安全保障工作先后經(jīng)歷了啟動(dòng)、逐步展開和積極推進(jìn),以及深化落實(shí)三個(gè)階段,我國(guó)信息安全保障各階段說(shuō)法不正確的是:A、2001年,國(guó)家信息化領(lǐng)導(dǎo)小組重組,網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立,我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月,國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號(hào)文件）,明確了“積極防御、綜合防范”的國(guó)家信息安全保障工作方針C、2003年,中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段D、在深化落實(shí)階段,信息安全法律法規(guī)、標(biāo)準(zhǔn)化,信息安全基礎(chǔ)設(shè)施建設(shè),以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展答案：C62.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（bcp）以下說(shuō)法最恰當(dāng)?shù)氖茿、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的控制過(guò)程；B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程；C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程；D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立的一個(gè)控制過(guò)程。答案：B63.一個(gè)組織的系統(tǒng)安全能力成熟度達(dá)到哪個(gè)級(jí)別以后，就可以對(duì)組織層面的過(guò)程進(jìn)行規(guī)范的定義？A、2級(jí)--計(jì)劃和跟蹤B、3級(jí)充分定義C、4級(jí)--量化控制D、5級(jí)--持續(xù)改進(jìn)答案：B64.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制。答案：B65.在某信息系統(tǒng)的設(shè)計(jì)中,用戶登錄過(guò)程是這樣的:（1）用戶通過(guò)HTTP協(xié)議訪問信息系統(tǒng);（2）用戶在登錄頁(yè)面輸入用戶名和口令;（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確,則鑒別完成?？梢钥闯?這個(gè)鑒別過(guò)程屬于（）A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A66.定期對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時(shí)進(jìn)行恢復(fù)。該機(jī)制是為了滿足信息安全的____屬性。A、真實(shí)性B、完整性C、不可否認(rèn)性D、可用性答案：D67.以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是A、模糊測(cè)試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測(cè)試的效果和自動(dòng)化過(guò)程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場(chǎng)保護(hù)記錄，系統(tǒng)可能無(wú)法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測(cè)試C、通過(guò)異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告答案：C68.了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（）的關(guān)鍵,對(duì)于信息系統(tǒng)的管理人員和用戶,都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的（）。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊,如何判斷是否存在社會(huì)工程學(xué)攻擊,這樣才能更好的保護(hù)信息系統(tǒng)和（）。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就（）。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育,向員工灌輸（）,以降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)。A、社會(huì)工程學(xué)攻擊;越容易;原理;個(gè)人數(shù)據(jù);安全意識(shí)B、社會(huì)工程學(xué)攻擊;原理;越容易;個(gè)人數(shù)據(jù);安全意識(shí)C、原理;社會(huì)工程學(xué)攻擊;個(gè)人數(shù)據(jù);越容易;安全意識(shí)D、社會(huì)工程學(xué)攻擊;原理;個(gè)人數(shù)據(jù);越容易;安全意識(shí)答案：D69.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國(guó)國(guó)家安全局（NSA）發(fā)布，最初目的是為保障美國(guó)政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是？A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計(jì)算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器答案：B70.某單位門戶網(wǎng)站開發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析答案：D71.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)應(yīng)是由軟件設(shè)計(jì)缺陷引起的？A、設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開發(fā)時(shí)，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩存區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C72.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？A、LandB、UDPFloodC、SmurfD、teardrop答案：D73.以下哪一項(xiàng)不是我國(guó)信息安全保障工作的主要目標(biāo)：A、保障和促進(jìn)信息化發(fā)展B、維護(hù)企業(yè)與公民的合法權(quán)益C、構(gòu)建高效的信息傳播權(quán)益D、保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)答案：C74.公司甲做了很多政府網(wǎng)站安全項(xiàng)目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限。雙方引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的:A、乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評(píng)信.所部屬的加密針對(duì)性不是，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù).合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求答案：A75.提高阿帕奇系統(tǒng)（ApacheHTTPServer）系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置（）?A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來(lái)運(yùn)行D、積極了解Apache的安全通告，并及時(shí)下載和更新答案：A76.攻擊者使用偽造的SYN包,包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址,這樣被攻擊方會(huì)給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)建一個(gè)連接,每一個(gè)這樣的連接都將保持到超時(shí)為止,這樣過(guò)多的空連接會(huì)耗盡被攻擊方的資源,導(dǎo)致拒絕服務(wù).這種攻擊稱為之為:A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood答案：A77.以下哪項(xiàng)是系統(tǒng)問責(zé)所需要的？A、授權(quán)。B、多人共用同一帳號(hào)。C、審計(jì)機(jī)制。D、系統(tǒng)設(shè)計(jì)的形式化驗(yàn)證答案：C78.我國(guó)正式公布了電子簽名法，數(shù)字簽名機(jī)制用于實(shí)現(xiàn)____需求。（）A、抗否認(rèn)B、保密性C、完整性D、可用性答案：A79.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生,在前往一家大型企業(yè)應(yīng)聘時(shí),面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計(jì)思路。從時(shí)間和資源消耗的角度如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制選項(xiàng),下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）A、訪問控制列表（ACL）B、能力表（CLC、BLP模型D、Biba模型答案：A80.為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是A、信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化、結(jié)構(gòu)化的語(yǔ)言來(lái)描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來(lái)自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案答案：D81.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素答案：B82.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是？A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)答案：C83.如下圖所示,兩份文件包含了不同的內(nèi)容。卻擁有相同的SHA-1數(shù)字簽名A,這違背了安全的哈希函數(shù)的（）A、單向性B、弱抗碰撞性C、強(qiáng)抗碰撞性D、機(jī)密性答案：C84.以下SQL語(yǔ)句建立的數(shù)據(jù)庫(kù)對(duì)象是:CREATEVICEPatientsForDoctorsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123A、表B、視圖C、存儲(chǔ)過(guò)程D、觸發(fā)器答案：B85.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是（）。A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、放棄風(fēng)險(xiǎn)答案：B86.關(guān)于源代碼審核，下列說(shuō)法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)B、源代碼審核通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點(diǎn)的薄弱之處C、使用工具進(jìn)行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處答案：D解析：D為源代碼審核工作內(nèi)容描述。87.9）具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括:（1）.安全事件（包括安全事故）報(bào)告制度（2）.安全等級(jí)保護(hù)制度（3）.信息系統(tǒng)安全監(jiān)控（4）.安全專用產(chǎn)品銷售許可證制度？A、1,2,3B、2,3C、2,3,4D、1,2,3答案：C88.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是？A、資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)答案：D89.數(shù)據(jù)庫(kù)是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲(chǔ)的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫(kù)中的數(shù)據(jù)是從全局觀點(diǎn)出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲(chǔ)。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對(duì)某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫(kù)作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的系統(tǒng),毫無(wú)疑問會(huì)成為信息安全的重點(diǎn)防護(hù)對(duì)象。數(shù)據(jù)庫(kù)安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲(chǔ)和安全訪問,對(duì)數(shù)據(jù)庫(kù)安全要求不包括下列（）A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對(duì)數(shù)據(jù)庫(kù)的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等答案：A90.風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具A、漏洞掃描工具B、入侵檢測(cè)系統(tǒng)C、安全審計(jì)工具D、安全評(píng)估流程管理工具答案：D91.以下對(duì)信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性B、信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性C、信息安全就是不出安全事故/事件D、信息安全不僅僅只考慮防止信息泄密就可以了答案：C92.IPv4協(xié)議在設(shè)計(jì)之初并沒有過(guò)多地考慮安全問題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依靠IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。下列選項(xiàng)中說(shuō)法錯(cuò)誤的是（）A、對(duì)于IPv4,IPSec是可選的,對(duì)于IPv6,IPSec是強(qiáng)制實(shí)施的。B、IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C、IPSec是一個(gè)單獨(dú)的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制。答案：C93.kerberos認(rèn)證協(xié)議，以下說(shuō)法錯(cuò)誤的是:A、只要用戶拿到認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且沒有過(guò)期就可以使用該TGT通過(guò)票據(jù)授權(quán)服務(wù)器（DGS）完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼B、認(rèn)證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（DGS）是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全C、該協(xié)議通過(guò)用戶獲得票據(jù)許可票據(jù)。用戶獲得服務(wù)許可票據(jù)，用戶獲得服務(wù)三個(gè)階段，僅支持服務(wù)器對(duì)用戶的單向認(rèn)證D、該協(xié)議是一種基于對(duì)稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜答案：C94.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析（BIA）時(shí)的步驟是：1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過(guò)程；2.開發(fā)恢復(fù)優(yōu)先級(jí)；3.標(biāo)識(shí)關(guān)鍵的H資源；4.表示中斷影響和允許的中斷時(shí)間A、1-3-4-2B、1-3-2-4C、1-2-3-4D、1-4-3-2答案：A95.以下對(duì)于安全套接層（SSL）的說(shuō)法正確的是:A、主要是使用對(duì)稱密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性B、可以在網(wǎng)絡(luò)層建立VPNC、主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WEBSERVER方式D、包含三個(gè)主要協(xié)議：AH.ESP.IKE答案：C96.在PDR模型的基礎(chǔ)上，發(fā)展成為了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保護(hù)檢測(cè)-響應(yīng)。模型的核心是：所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。如圖所示。在PPDR模型中，策略指的是信息系統(tǒng)的安全策略，包括訪問控制策略、加密通信策略、身份認(rèn)證測(cè)錄、備份恢復(fù)策略等。策略體系的建立包括安全策略的制定、（）等；防護(hù)指的是通過(guò)部署和采用安全技術(shù)來(lái)提高網(wǎng)絡(luò)的防護(hù)能力，如（）、防火墻、入侵檢測(cè)、加密技術(shù)、身份認(rèn)證等技術(shù)；檢測(cè)指的是利用信息安全檢測(cè)工具，監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活動(dòng)，了解判斷網(wǎng)絡(luò)系統(tǒng)的（）。檢測(cè)這一環(huán)節(jié)，使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御，是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)，主要方法包括；實(shí)時(shí)監(jiān)控、檢測(cè)、報(bào)警等；響應(yīng)指的是在檢測(cè)到安全漏洞和安全事件，通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的（）調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)，包括恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。啟動(dòng)備份系統(tǒng)等。其主要方法包括：關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。A、評(píng)估與執(zhí)行；訪問控制；安全狀態(tài)；安全性B、評(píng)估與執(zhí)行；安全狀態(tài)；訪問控制；安全性C、訪問控制；評(píng)估與執(zhí)行；安全狀態(tài)；安全性D、安全狀態(tài)，評(píng)估與執(zhí)行；訪問控制；安全性答案：A97.177.關(guān)于風(fēng)臉評(píng)估準(zhǔn)備階段工作內(nèi)容敘途錯(cuò)誤的是：A、制訂風(fēng)險(xiǎn)評(píng)估方案，確定風(fēng)險(xiǎn)評(píng)估的實(shí)施方案.包括風(fēng)險(xiǎn)評(píng)估的工作過(guò)程、活動(dòng)、子活動(dòng)、每項(xiàng)活動(dòng)的輸入和輸出結(jié)果B、選擇風(fēng)險(xiǎn)評(píng)估方法和工具，從現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法和工具庫(kù)匯總選擇合適的風(fēng)險(xiǎn)評(píng)估方法和工具C、制訂組織機(jī)構(gòu)自己的風(fēng)臉評(píng)估準(zhǔn)則，相關(guān)準(zhǔn)則可以不需要得到被評(píng)估方的認(rèn)可D、風(fēng)臉評(píng)估方案應(yīng)獲得管理決策層的認(rèn)可、批準(zhǔn)和支持答案：C98.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：A、安全必須是完美無(wú)缺、面面俱到的。B、最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C、在解決、預(yù)防信息安全問題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D、防范不足就會(huì)造成損失；防范過(guò)多就可以避免損失。答案：C99.恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective,KTO）和恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來(lái)越小，小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RTO不可以為0C、RTO不可以為0，RPO可以為0D、RTO不可以為0，RPO也不可以為0答案：A100.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B101.公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI）引入數(shù)字證書的概念，用來(lái)表示用戶的身份。下圖簡(jiǎn)要地描述了終端實(shí)體（用戶）從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng).撤銷和更新數(shù)字證書的流程。請(qǐng)為中間框空白處選擇合適當(dāng)選項(xiàng)A、證書庫(kù)B、RAC、OCSPD、CRL庫(kù)答案：B102.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來(lái)控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf答案：A103.定量風(fēng)險(xiǎn)分析是從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化風(fēng)險(xiǎn)分析結(jié)果，準(zhǔn)確度量風(fēng)險(xiǎn)的可能性和損失量，小王采用該方法來(lái)為單位機(jī)房計(jì)算災(zāi)害的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為200萬(wàn)人民幣，暴露系數(shù)（ExposureFactor，EF）是x,年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.1.而小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy，ALE）值為5萬(wàn)人民幣，由此X值應(yīng)該是A、2.5%B、25%C、5%D、50%答案：B104.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測(cè)、（）和自適應(yīng)填充“安全間隙”為循環(huán)來(lái)提高（）A、漏洞監(jiān)測(cè)：控制和對(duì)抗：動(dòng)態(tài)性：網(wǎng)絡(luò)安全B、動(dòng)態(tài)性：控制和對(duì)抗：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全C、控制和對(duì)抗：漏洞監(jiān)測(cè)：動(dòng)態(tài)性：網(wǎng)絡(luò)安全D、控制和對(duì)抗：動(dòng)態(tài)性：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全答案：D105.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖，如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)（）A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略.防護(hù).檢測(cè).響應(yīng)）D、保障要素（管理.工程.技術(shù).人員）答案：D106.以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？A、最小的風(fēng)險(xiǎn)B、可接收風(fēng)險(xiǎn)C、殘余風(fēng)險(xiǎn)D、總風(fēng)險(xiǎn)答案：B107.在以下標(biāo)準(zhǔn)中,屬于推薦性國(guó)家標(biāo)準(zhǔn)的是（）A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X答案：A解析：A為國(guó)標(biāo)推薦標(biāo)準(zhǔn);B為國(guó)標(biāo)強(qiáng)制標(biāo)準(zhǔn);C為地方標(biāo)準(zhǔn);D為國(guó)標(biāo)指導(dǎo)標(biāo)準(zhǔn)。108.一下那些不屬于現(xiàn)代密碼學(xué)研究A、Enigma密碼機(jī)的分析頻率B、diffie-herrman密碼交換C、查分分析和線性分析答案：A109.68.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯(cuò)誤的是（）A、IATF最初由美國(guó)國(guó)家安全局（NSA）發(fā)布，后來(lái)由國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，供各個(gè)國(guó)家信息系統(tǒng)建設(shè)參考使用B、B.IATF是一個(gè)通用框架，可以用到多種應(yīng)用場(chǎng)景中，通過(guò)對(duì)復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C、C.IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說(shuō)討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題答案：A110.在一個(gè)網(wǎng)絡(luò)中，當(dāng)擁有的網(wǎng)絡(luò)域址容量不夠多，終端計(jì)算機(jī)沒有必要分配靜態(tài)IP地域時(shí)，可以采用過(guò)在計(jì)算機(jī)連拔到網(wǎng)絡(luò)時(shí)，每次為其臨時(shí)在IP地址中選擇一個(gè)IP地址并分配的方式為（）A、動(dòng)態(tài)分配IP地址B、靜態(tài)分配IP地址C、網(wǎng)絡(luò)域址轉(zhuǎn)換分配地址D、手動(dòng)分配答案：A111.下面哪一層可以實(shí)現(xiàn)編碼，加密A、傳輸層B、會(huì)話層C、網(wǎng)絡(luò)層D、物理層答案：B112.由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分園區(qū)癱瘓，或者郵件、計(jì)費(fèi)服務(wù)器不能正常工作，屬于以下哪種級(jí)別事件A、特別重大事件B、重大事件C、較大事件D、一般事件答案：B113.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)值為200萬(wàn)元人民幣，暴露系數(shù)（ExposureFactor,EF）是25%，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.1，那么小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy，ALE）應(yīng)該是A、2.5萬(wàn)元人民幣B、25萬(wàn)元人民幣C、50萬(wàn)元人民幣D、5萬(wàn)元人民幣答案：D114.企業(yè)由于人力資源短缺，IT支持一直以來(lái)由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是：A、限制物理訪問計(jì)算設(shè)備B、檢查事務(wù)和應(yīng)用日志C、雇用新IT職工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會(huì)話答案：B115.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，以下哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素？該提供商：A、滿足并超過(guò)行業(yè)安全標(biāo)準(zhǔn)B、同意可以接受外部安全審查C、其服務(wù)和經(jīng)驗(yàn)有很好的市場(chǎng)聲譽(yù)D、符合組織的安全策略答案：D116.隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切，越來(lái)越多的組織開始嘗試使用參考ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯(cuò)誤的是（）。A、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性B、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方D、在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求答案：D解析：方針應(yīng)由組織的管理層頒布。117.以下說(shuō)法正確的是：A、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見D、軟件測(cè)試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段答案：C118.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是A、軟件安全開發(fā)生命周期較長(zhǎng)、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D、軟件的安全測(cè)試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒有必要在組織第三方進(jìn)行安全性測(cè)試答案：B119.根據(jù)《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》的規(guī)定，保密審批實(shí)行部門管理，有關(guān)單位應(yīng)當(dāng)根據(jù)國(guó)家保密法規(guī)，建立健全上網(wǎng)信息保密審批____。（）A、領(lǐng)導(dǎo)責(zé)任制B、專人負(fù)責(zé)制C、民主集中制D、職能部門監(jiān)管責(zé)任制答案：A120.PKI的主要理論基礎(chǔ)是（）。A、對(duì)稱密碼算法B、公鑰密碼算法C、量子密碼D、摘要算法答案：B121.防范網(wǎng)絡(luò)監(jiān)聽最有效的方法是（）。A、安裝防火墻B、對(duì)傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密C、采用無(wú)線網(wǎng)絡(luò)傳輸D、進(jìn)行漏洞掃描答案：B122.以下哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）?A、試運(yùn)行B、紙面測(cè)試C、單元D、系統(tǒng)答案：B123.79.下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則？A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、B.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條列》C、C.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D、D.《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作意見》答案：C124.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B125.關(guān)于災(zāi)難恢復(fù)計(jì)劃錯(cuò)誤的說(shuō)法是____。（）A、應(yīng)考慮各種意外情況B、制定詳細(xì)的應(yīng)對(duì)處理辦法C、建立框架性指導(dǎo)原則，不必關(guān)注于細(xì)節(jié)D、正式發(fā)布前，要進(jìn)行討論和評(píng)審答案：C126.下面哪一個(gè)不是對(duì)點(diǎn)擊劫持的描述A、是一種惡意攻擊技術(shù)，用于跟蹤網(wǎng)絡(luò)用戶并獲取私密信息B、通過(guò)讓用戶來(lái)點(diǎn)擊看似正常的網(wǎng)頁(yè)來(lái)遠(yuǎn)程控制其電腦C、可以用嵌入代碼或文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊D、可以對(duì)方網(wǎng)絡(luò)癱瘓答案：D127.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專家，請(qǐng)指出是哪一個(gè)？A、軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤C、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫(kù)數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫(kù)備份操作員賬號(hào)連接數(shù)據(jù)庫(kù)D、軟件的日志模塊由于要向數(shù)據(jù)庫(kù)中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫(kù)，該賬號(hào)僅對(duì)日志表?yè)碛袡?quán)限答案：B128.Windows系統(tǒng)中，安全標(biāo)識(shí)符（SID）是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用，當(dāng)授予用戶、組、服務(wù)或者其他安全主休訪問對(duì)象的權(quán)限時(shí)，操作系統(tǒng)會(huì)把SID和權(quán)限寫入對(duì)象的ACL中，小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識(shí)，在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whooml/users操作查看當(dāng)前用戶的SID，得到是的SID為S-1-5-21-1534169462-1651380828-111620652-500。下列選項(xiàng)中，關(guān)于此SID的理解錯(cuò)誤的是（）A、前三位S-1-5表示此SID是由WindowsNT牥浞⒌摹俊狙∠頑：第一個(gè)子頒發(fā)機(jī)構(gòu)是21B、WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651C、此SID以500結(jié)尾，表示內(nèi)置guestD、D答案：D129.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng),通過(guò)公開招標(biāo)選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作,目前,各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗(yàn)收申請(qǐng),監(jiān)理公司需要對(duì)A公司提交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項(xiàng)屬于開發(fā)類文檔:A、項(xiàng)目計(jì)劃書B、質(zhì)量控制計(jì)劃C、評(píng)審報(bào)告D、需求說(shuō)明書答案：D130.從業(yè)務(wù)角度出發(fā)，最大的風(fēng)險(xiǎn)可能發(fā)生在那個(gè)階段A、立項(xiàng)可行性分析階段B、系統(tǒng)需求分析階段C、架構(gòu)設(shè)計(jì)和編碼階段D、投產(chǎn)上線階段答案：A131.在進(jìn)行業(yè)務(wù)連續(xù)性檢測(cè)時(shí)，以下哪一個(gè)是被認(rèn)為最重要的審查？A、熱站的建立和有效是必要B、業(yè)務(wù)連續(xù)性手冊(cè)是有效的和最新的C、保險(xiǎn)責(zé)任范圍是適當(dāng)?shù)牟⑶冶ＹM(fèi)有效D、及時(shí)進(jìn)行介質(zhì)備份和異地存儲(chǔ)答案：D132.防止擅自使用資料檔案的最有效的預(yù)防方法是:A、自動(dòng)化的檔案訪問入口B、磁帶庫(kù)管理C、使用訪問控制軟件答案：C133.關(guān)于信息安全管理，說(shuō)法錯(cuò)誤的是：A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過(guò)程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。C、實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過(guò)程。答案：D解析：信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)動(dòng)態(tài)過(guò)程。134.對(duì)于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實(shí)施必要的改良措施并進(jìn)行跟蹤和評(píng)價(jià)，以下描述不正確的選項(xiàng)是？A、改良措施包括糾正和預(yù)防措施B、改良措施可由受審單位提出并實(shí)施C、不可以對(duì)體系文件進(jìn)行更新或修改D、對(duì)改良措施的評(píng)價(jià)應(yīng)該包括措施的有效性的分析答案：C135.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（bcp）以下說(shuō)法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的控制過(guò)程；B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程；C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程；D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立的一個(gè)控制過(guò)程。答案：B136.小陳在某電器城購(gòu)買了一臺(tái)冰箱，并留下了個(gè)人姓名、電話和電子郵件地址等信息，第二天他收到了一封來(lái)自電器城提示他中獎(jiǎng)的郵件，查看該郵件后他按照提示操作繳納中獎(jiǎng)稅款后并沒有得到中獎(jiǎng)獎(jiǎng)金，再打電話詢問電器城才得知電器城并沒有中獎(jiǎng)的活動(dòng).在此案例中，下面描述錯(cuò)誤的是？A、小陳應(yīng)當(dāng)注意保護(hù)自己的隱私，沒有必要告訴別人的信息不要登記和公布給別人B、小陳錢被編走了，這類網(wǎng)絡(luò)犯罪案件也應(yīng)該向公安局報(bào)案C、郵件服務(wù)運(yùn)營(yíng)商通過(guò)技術(shù)手段，可以在一定程度上阻止此類釣魚郵件和哄編郵件D、小陳應(yīng)當(dāng)向電器城索賠，追回?fù)p失答案：D137.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺(tái)個(gè)人計(jì)算機(jī)，這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這十個(gè)互聯(lián)網(wǎng)地址集中起來(lái)使用，當(dāng)任意一臺(tái)個(gè)人計(jì)算機(jī)開機(jī)并連接網(wǎng)路時(shí)，管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí)，管理中心將該地址收回，并重新設(shè)置為未分配?？梢姡灰瑫r(shí)打開的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每臺(tái)個(gè)人計(jì)算機(jī)可以獲取一個(gè)IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是（）A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址答案：B138.實(shí)施信息系統(tǒng)訪問控制首先需要進(jìn)行如下哪一項(xiàng)工作？A、信息系統(tǒng)資產(chǎn)分類B、信息系統(tǒng)資產(chǎn)標(biāo)識(shí)C、創(chuàng)建訪問控制列表D、梳理信息系統(tǒng)相關(guān)信息資產(chǎn)答案：D139.當(dāng)網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來(lái)自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為，當(dāng)檢測(cè)到來(lái)自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過(guò)防火墻的攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。但入侵檢測(cè)技術(shù)不能實(shí)現(xiàn)以下哪種功能？A、檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)B、檢查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識(shí)別違反安全策略的用戶活動(dòng)答案：B140.下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B、控制已經(jīng)過(guò)了測(cè)試C、安全控制標(biāo)準(zhǔn)是基于風(fēng)險(xiǎn)分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測(cè)試的答案：D141.應(yīng)急響應(yīng)流程一般順序是A、信息安全事件通告、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置B、信息安全事件評(píng)估、信息安全事件通告、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置C、應(yīng)急啟動(dòng)、應(yīng)急處置、信息安全事件評(píng)估、信息安全事件通告、后期處置D、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、信息安全事件通告、應(yīng)急處置和后期處置答案：A142.以下對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是：A、引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的訪問C、一種很強(qiáng)大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁(yè)中，從而達(dá)到惡意的目的答案：D143.在制定組織間的保密協(xié)議，以下哪一個(gè)不是需要考慮的內(nèi)容？A、需要保護(hù)的信息。B、協(xié)議期望持續(xù)時(shí)間。C、合同雙方的人員數(shù)量要求。D、違反協(xié)議后采取的措施。答案：C144.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)答案：C145.發(fā)現(xiàn)一臺(tái)被病毒感染的終端后，首先應(yīng)：A、拔掉網(wǎng)線B、判斷病毒的性質(zhì)、采用的端口C、在網(wǎng)上搜尋病毒解決方法D、呼叫公司技術(shù)人員答案：A146.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中經(jīng)常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（）A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離答案：C147.____能夠有效降低磁盤機(jī)械損壞給關(guān)鍵數(shù)據(jù)造成的損失。（）A、熱插拔B、SCSIC、RAIDD、FAST-ATA答案：C148.某購(gòu)物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登錄時(shí)如用戶名或口令輸入錯(cuò)誤，給用戶返回“用戶名或口令輸入錯(cuò)誤”信息，輸入錯(cuò)誤達(dá)到三次，將暫時(shí)禁止登錄該賬戶，請(qǐng)問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則:A、最小共享機(jī)制原則B、經(jīng)濟(jì)機(jī)制原則C、不信任原則D、默認(rèn)故障處理保護(hù)原則答案：D149.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)針對(duì)可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對(duì)策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應(yīng)急響應(yīng)工作流程圖中,空白方框中從右到左依次填入的是（）A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組。應(yīng)急響應(yīng)日常運(yùn)行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組答案：A150.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是：A、測(cè)量單位是基本實(shí)施（BasePractices，BP）B、測(cè)量單位是通用實(shí)施（GenericPractices，GP）C、測(cè)量單位是過(guò)程區(qū)域（ProcessAreas，PA）D、測(cè)量單位是公共特征（CommonFeatures，CF）答案：A151.-個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成,而其安全性是由下列哪個(gè)選項(xiàng)決定的A、加密算法B、解密算法C、加密和解密算法D、密鑰答案：D152.以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利A、應(yīng)急委員會(huì)B、各部門C、管理層D、外部專家答案：C153.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開發(fā)出的漏洞。一種有效的對(duì)策是在敵手和它的目標(biāo)之間配備多個(gè)（）。這些機(jī)制中的每一個(gè)都必須是敵手的唯一的障礙。進(jìn)而，每一個(gè)機(jī)制都應(yīng)包括（）兩種手段。這些手段增加了敵手被檢測(cè)的風(fēng)險(xiǎn)，減少了他們成功的機(jī)會(huì)或成功滲透的機(jī)會(huì)。在網(wǎng)絡(luò)（）邊界裝配嵌套防火墻（與入侵檢測(cè)結(jié)合）是分層保衛(wèi)的實(shí)例。內(nèi)部防火墻支持更細(xì)粒度的（）和（）。A、安全機(jī)制；內(nèi)部缺點(diǎn)；保護(hù)和檢測(cè)；外邊和內(nèi)部；訪問控制；數(shù)據(jù)濾波B、內(nèi)部缺點(diǎn)；安全機(jī)制；保護(hù)和檢測(cè)；外邊和內(nèi)部；訪問控制；數(shù)據(jù)濾波C、內(nèi)部缺點(diǎn)；保護(hù)和檢測(cè)；安全機(jī)制；外邊和內(nèi)部；訪問控制；數(shù)據(jù)濾波D、內(nèi)部缺點(diǎn)；安全機(jī)制；外邊和內(nèi)部；保護(hù)和檢測(cè)；訪問控制；數(shù)據(jù)濾波答案：B154.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)（）A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS答案：D155.以下SQL語(yǔ)句建立的數(shù)據(jù)庫(kù)對(duì)象是:A、表B、視圖C、存儲(chǔ)過(guò)程D、觸發(fā)器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123答案：B156.由于信息系統(tǒng)的復(fù)雜性，因此需要一個(gè)通用的框架對(duì)其進(jìn)行解構(gòu)和描述，然后再基于此框架討論信息系統(tǒng)的（）。在IATF中，將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個(gè)焦點(diǎn)領(lǐng)域：（）：區(qū)域邊界即本地計(jì)算環(huán)境的外緣；（）；支持性基礎(chǔ)設(shè)施，在深度防御技術(shù)方案中推薦（）原則、（）原則。A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；多點(diǎn)防御；分層防御B、安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；多點(diǎn)防御；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；分層防御C、安全保護(hù)問題；本地的計(jì)算機(jī)環(huán)境；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御D、本地的計(jì)算環(huán)境；安全保護(hù)問題；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御答案：C解析：參考P29頁(yè)，IATF4個(gè)焦點(diǎn)領(lǐng)域。157.下列有關(guān)能力成熟度模型的說(shuō)法錯(cuò)誤的是：A、能力成熟度模型可以分為過(guò)程能力方案（Continuous）和組織能力方案（Staged）兩類B、使用過(guò)程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或哪些過(guò)程域C、使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)一組已經(jīng)定義好的過(guò)程域D、SSE-CMM是一種屬于組織能力方案（Staged）的針對(duì)系統(tǒng)安全工程的能力成熟度模型答案：B158.風(fēng)險(xiǎn)分析階段的主要工作就是（）。A、判斷安全事件造成的損失對(duì)單位組織的影響B(tài)、完成風(fēng)險(xiǎn)的分析和計(jì)算C、完成風(fēng)險(xiǎn)的分析D、完成風(fēng)險(xiǎn)的分析和計(jì)算，綜合安全事件所作用的信息資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)單位組織的影響，即安全風(fēng)險(xiǎn)答案：D159.為什么要對(duì)于動(dòng)態(tài)路由協(xié)議采用認(rèn)證機(jī)制？A、保證路由信息完整性B、保證路由信息機(jī)密性C、保證網(wǎng)絡(luò)路由的健壯D、防止路由回路答案：A160.項(xiàng)目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是A、考慮安全開發(fā)需要什么樣的資源與預(yù)算B、考慮安全開發(fā)在開發(fā)生命周期各階段應(yīng)開展哪些工作C、對(duì)開發(fā)團(tuán)隊(duì)進(jìn)行信息安全培訓(xùn)D、購(gòu)買一定的安全工具，如代碼掃描工具等答案：B161.下面哪一項(xiàng)最好地描述了風(fēng)險(xiǎn)分析的目的？A、識(shí)別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B、識(shí)別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C、識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)D、識(shí)別同責(zé)任義務(wù)有直接關(guān)系的威脅答案：C162.惡意代碼問題，不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。目前國(guó)際上一些發(fā)達(dá)國(guó)家（如美國(guó)，德國(guó)，日本等）均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長(zhǎng)期的研究，并取得了一定的成功。程序員小張想開發(fā)一款惡意代碼的檢測(cè)軟件，經(jīng)過(guò)相關(guān)準(zhǔn)備后，他在如下選項(xiàng)中選擇了一個(gè)最正確的代碼的檢測(cè)思路進(jìn)行了軟件開發(fā)，你認(rèn)為是哪一個(gè)（）A、簡(jiǎn)單運(yùn)行B、發(fā)送者身份判斷C、禁止未識(shí)別軟件運(yùn)行D、特征碼掃描答案：D163.下列選項(xiàng)中，與面向構(gòu)件提供者的構(gòu)件測(cè)試目標(biāo)無(wú)關(guān)的是（）.A、檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量B、檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C、盡可能多地揭示構(gòu)件錯(cuò)誤D、驗(yàn)證構(gòu)件的功能、接口、行為和性能答案：A164.關(guān)于信息安全的說(shuō)法錯(cuò)誤的是____。（）A、包括技術(shù)和管理兩個(gè)主要方面B、策略是信息安全的基礎(chǔ)C、采取充分措施，可以實(shí)現(xiàn)絕對(duì)安全D、保密性、完整性和可用性是信息安全的目標(biāo)答案：C165.在數(shù)字信封中，綜合使用對(duì)稱加密算法和公鑰加密算法的主要原因是：A、混合使用兩種加密