A、自動(dòng)化的檔案訪問(wèn)入口C、使用訪問(wèn)控制軟件A、各國(guó)普遍將國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的中重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流和對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)，安全監(jiān)管和安全測(cè)評(píng)3.一般網(wǎng)絡(luò)設(shè)備上的SNMP默認(rèn)可讀團(tuán)體字符串是：A、PUBLIC屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議了一部法律草案，并與7月6日起在網(wǎng)上A、《中華人民共和國(guó)保守國(guó)家秘密法(草案)》B、《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》C、《中華人民共和國(guó)國(guó)家安全法(草案)》D、《中華人民共和國(guó)互聯(lián)網(wǎng)安全法(草案)》A、內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改良建議C、內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D、內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤6.密碼是一種用來(lái)混淆的技術(shù)，使用者希望正常的(可識(shí)別的)信息轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的信息。但這種無(wú)法識(shí)別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊(cè)一個(gè)公司網(wǎng)站的賬號(hào)，小剛使用一個(gè)安全一點(diǎn)的密碼，請(qǐng)問(wèn)以下選項(xiàng)中哪個(gè)密碼是最安全()A、使用和與用戶名相同的口令B、選擇可以在任何字典或語(yǔ)言中找到的口令C、選擇任何和個(gè)人信息有關(guān)的口令D、采取數(shù)字，字母和特殊符號(hào)混合并且易于記憶解析：常識(shí)問(wèn)題7.管理層應(yīng)該表現(xiàn)對(duì)(),程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承包方人員都了解其()角色和職責(zé)，并遵守相應(yīng)的條款和條件。組織要建立信息安全意識(shí)計(jì)劃，并定期組織信息安全().組織要建立正式的(),確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過(guò)程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素，以及相關(guān)法律、業(yè)務(wù)合同和其他因素。程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率B、CMM的思想來(lái)源于項(xiàng)目管理和質(zhì)量管理的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”9.違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的，處()日以下拘留。10.實(shí)施信息系統(tǒng)訪問(wèn)控制首先需要進(jìn)行如下哪一項(xiàng)工作?B、信息系統(tǒng)資產(chǎn)標(biāo)識(shí)C、創(chuàng)建訪問(wèn)控制列表D、梳理信息系統(tǒng)相關(guān)信息資產(chǎn)11.關(guān)于信息安全管理體系(InformationSecurityManagementSystems,ISMS),下面描述錯(cuò)誤的是()。A、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照IS027001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分B、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素C、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容D、管理體系(ManagementSystems)是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用解析：雖然信息安全管理體系建設(shè)回提出一些技術(shù)要求，但是并沒(méi)有完整的要求構(gòu)建技術(shù)防護(hù)體系。12.下面哪一項(xiàng)不是ISMSPlan階段的工作?B、實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估C、實(shí)施信息安全培訓(xùn)13.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，下面總結(jié)錯(cuò)誤的是()A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)14.美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NationallnstituteofStandardsandTechnology,NIST)發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的?A、ISO27001《Informationtechnology-Securitytechniques-Informt15.在網(wǎng)絡(luò)安全體系構(gòu)成要素中“響應(yīng)”指的是()。B、一般響應(yīng)和應(yīng)急響應(yīng)C、系統(tǒng)響應(yīng)和網(wǎng)絡(luò)響應(yīng)D、硬件響應(yīng)和軟件響應(yīng)16.為了預(yù)防邏輯炸彈，項(xiàng)目經(jīng)理采取的最有效的措施應(yīng)該是A、對(duì)每日提交的新代碼進(jìn)行人工審計(jì)B、代碼安全掃描C、安全意識(shí)教育D、安全編碼培訓(xùn)教育17.某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)0A系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過(guò)程中被攻擊者通過(guò)FTP對(duì)OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問(wèn)題，該安全問(wèn)題的產(chǎn)生主要是在哪個(gè)階段產(chǎn)生的()18.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作的通知》(公信安[2009]812號(hào))、關(guān)于推動(dòng)信息安全等級(jí)保護(hù)()建設(shè)和開(kāi)展()工作的通知(公信安[2010]303號(hào))等文件，由公安部()對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，接受測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期(),對(duì)不具備能力的測(cè)評(píng)機(jī)答案：A19.用來(lái)為網(wǎng)絡(luò)中的主機(jī)自動(dòng)分配IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、WINS服務(wù)器地址的網(wǎng)絡(luò)協(xié)議是：A、RP答案：D20.在信息安全管理過(guò)程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的A、背景建立的依據(jù)是國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告安全的()屬性。內(nèi)容和過(guò)程?？梢杂孟聢D來(lái)表示，圖中空白處應(yīng)該假設(shè)單位機(jī)房的總價(jià)值為400萬(wàn)元人民幣，暴露系數(shù)(ExposureFactor,EF)是25%,年度發(fā)生率(AnnualizedRateofOccurrence,ARO)為0.2,那么小王計(jì)算的年度預(yù)期損失(AnnualizedLossExpectancy,ALE)應(yīng)該是B、20萬(wàn)元人民幣24.以下關(guān)于數(shù)字簽名說(shuō)法正確的是A、數(shù)字簽名是在所有傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無(wú)關(guān)系的數(shù)字信息B、數(shù)字簽名能解決數(shù)據(jù)的加密傳輸，即安全傳輸問(wèn)題C、數(shù)字簽名一般采用對(duì)稱加密機(jī)制D、數(shù)字簽名能解決算改，偽造等安全性問(wèn)題25.社會(huì)工程學(xué)是()與()結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門(mén)科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且在信息充分多的情況下它會(huì)失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的(),隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”,而人性是(),這使得它幾乎是永遠(yuǎn)有效的()A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的26.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應(yīng)該分類、分級(jí)B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個(gè)時(shí)期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D、信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生27.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行()A、由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C、對(duì)于重要的服務(wù)，應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再在正式生產(chǎn)環(huán)境中部署D、對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒(méi)有重要數(shù)據(jù)，由終端自行升級(jí)28.下列哪個(gè)是能執(zhí)行系統(tǒng)命令的存儲(chǔ)過(guò)程該信息系統(tǒng)的RPO(恢復(fù)點(diǎn)目標(biāo))指標(biāo)為3小時(shí).請(qǐng)問(wèn)這意味著：.系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)系統(tǒng)運(yùn)行3小時(shí)后能恢復(fù)全部數(shù)據(jù)C、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完成應(yīng)急處理工D、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問(wèn)題定位和應(yīng)急處理工作30.為了實(shí)現(xiàn)數(shù)據(jù)庫(kù)的完整性控制，數(shù)據(jù)庫(kù)管理員應(yīng)向DBMS提出一組完整性規(guī)則來(lái)檢查數(shù)據(jù)庫(kù)中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個(gè)不是完整性規(guī)則的內(nèi)容?B、完整性檢查機(jī)制C、完整性修復(fù)機(jī)制同重復(fù)使用的一種規(guī)范性文件.標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B、行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定，并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行廢止32.為了預(yù)防計(jì)算機(jī)病毒，應(yīng)采取的正確措施是()。D、不玩任何計(jì)算機(jī)游戲A、項(xiàng)目管理是一門(mén)關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用解析：項(xiàng)目管理受項(xiàng)目資源的約束。34.LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個(gè)目錄C、systemvolumeinf35.對(duì)于信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保D、對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源36.風(fēng)險(xiǎn)分析階段的主要工作就是()。A、判斷安全事件造成的損失對(duì)單位組織的影響B(tài)、完成風(fēng)險(xiǎn)的分析和計(jì)算C、完成風(fēng)險(xiǎn)的分析D、完成風(fēng)險(xiǎn)的分析和計(jì)算，綜合安全事件所作用的信息資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)單位組織的影響，即安全風(fēng)險(xiǎn)37.小李在學(xué)習(xí)信息安全管理體系的有關(guān)知識(shí)后，按照自己的理解畫(huà)了一張圖來(lái)描述安全管理過(guò)程，但是他存在一個(gè)空白處未填寫(xiě)，請(qǐng)幫他選擇一個(gè)最合適的選項(xiàng)()保持和改進(jìn)ISMS→規(guī)劃和建立ISMS→()→監(jiān)視和評(píng)審ISMS→監(jiān)控和反饋ISMSA、實(shí)施和執(zhí)行ISMSB、執(zhí)行和檢查ISMSC、溝通和咨詢ISMS38.在完成了大部分策略的編制工作后，需要對(duì)其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文B、安全方針C、適用性聲明D、操作規(guī)范39.風(fēng)險(xiǎn)評(píng)估的過(guò)程包括()、()、()和()四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。()風(fēng)險(xiǎn)評(píng)估的四個(gè)階段。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備；風(fēng)險(xiǎn)要素識(shí)別；風(fēng)險(xiǎn)分析；監(jiān)控審查；風(fēng)險(xiǎn)結(jié)果判定；溝通咨詢B、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備；風(fēng)險(xiǎn)要素識(shí)別；監(jiān)控審查；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)結(jié)果判定；溝通D、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備；風(fēng)險(xiǎn)要素識(shí)別：風(fēng)險(xiǎn)分析：風(fēng)險(xiǎn)結(jié)果判定監(jiān)控審查，溝通咨詢40.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門(mén)領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化41.安全審計(jì)是一種很常見(jiàn)的安全控制措施，它在信息安全保障體系中，屬于措施。()A、保護(hù)C、響應(yīng)D、恢復(fù)42.授權(quán)訪問(wèn)信息資產(chǎn)的責(zé)任人應(yīng)該是C、資產(chǎn)所有人43.及時(shí)審查系統(tǒng)訪問(wèn)審計(jì)記錄是以下哪種基本安全功能?44.公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問(wèn)量受限，雙方引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的()A、乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢(qián)B、甲在需求分析階段沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所部署的加密針對(duì)性不足，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲方共同確定網(wǎng)站安全需求45.關(guān)于向DNS服務(wù)器提交動(dòng)態(tài)DNS更新，針對(duì)下列配置，描述正確的說(shuō)法為：/etc/named.confOptions{Directory“/var/named”;AA、允許向本DNS服務(wù)器進(jìn)行區(qū)域傳輸?shù)闹鳈C(jī)IP列表為“/24”B、允許向本DNS服務(wù)器進(jìn)行域名遞歸查詢的主機(jī)IP列表“/24”C、允許向本DNS服務(wù)器提交動(dòng)態(tài)DNS更新的主機(jī)IP列表“/24”D、缺省時(shí)為拒絕所有主機(jī)的動(dòng)態(tài)DNS更新提交。D、應(yīng)用程序的優(yōu)化答案：B47.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是：保密A、httpd.conf答案：A48.IKE協(xié)議由()協(xié)議混合而成。D、以上皆不是答案：A49.組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式A、電話B、電子郵件50.()第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照()實(shí)行分級(jí)保護(hù)。()應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。 ()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)()后，方可投入使用。A、《保密法》;涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》;涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國(guó)家保密法》;涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》;涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格解析：《保密法》第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方51.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問(wèn)，就可以無(wú)需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問(wèn)題的說(shuō)法正確的是：A、網(wǎng)站問(wèn)題是由于開(kāi)發(fā)人員不熟悉安全編碼，編寫(xiě)了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問(wèn)題B、網(wǎng)站問(wèn)題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題C、網(wǎng)站問(wèn)題是由于使用便利性提高，帶來(lái)網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問(wèn)題D、網(wǎng)站問(wèn)題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題52.安全管理體系，國(guó)際上有標(biāo)準(zhǔn)(InformationtechnologySecuritytechniques(ISO/IEC27001:2013),而我國(guó)發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是?A、IDT(等同采用),此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改B、EQV(等效采用),此國(guó)家標(biāo)準(zhǔn)等效于該國(guó)家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ(等效采用),此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)家標(biāo)準(zhǔn)D、沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較53.PPTP和L2TP最適合于()。A、局域網(wǎng)B、企業(yè)內(nèi)部虛擬網(wǎng)C、企業(yè)擴(kuò)展虛擬網(wǎng)D、遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)54.為了不斷完善一個(gè)組織的信息安全管理，應(yīng)對(duì)組織的信息安全管理方法及實(shí)施情況進(jìn)行獨(dú)立評(píng)審，這種獨(dú)立評(píng)審。A、必須按固定的時(shí)間間隔來(lái)進(jìn)行B、應(yīng)當(dāng)由信息系統(tǒng)的運(yùn)行維護(hù)人員發(fā)起C、可以由內(nèi)部審核部門(mén)或?qū)I(yè)的第三方機(jī)構(gòu)來(lái)實(shí)施D、結(jié)束后，評(píng)審者應(yīng)組織針對(duì)不符合安全策略的問(wèn)題設(shè)計(jì)和實(shí)施糾正措施55.以下關(guān)于開(kāi)展軟件安全開(kāi)發(fā)必要性描述錯(cuò)誤的是?()B、軟件應(yīng)用場(chǎng)景越來(lái)越不安全D、以上都不是56.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些?57.PDR模型是第一個(gè)從時(shí)間關(guān)系描述一個(gè)信息系統(tǒng)是否安全的模型，PDR模型中的P,D,R代表分別代表()。A、保護(hù)檢測(cè)響應(yīng)B、策略檢測(cè)響應(yīng)D、保護(hù)檢測(cè)恢復(fù)58.訪問(wèn)控制是對(duì)用戶或用戶組訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中，對(duì)Windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是()B、ACL是對(duì)象安全描述符的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和組的SIDC、訪問(wèn)令牌存儲(chǔ)著用戶的SID、組信息和分配給用戶的權(quán)限D(zhuǎn)、通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制59.PKI支持的服務(wù)不包括()。A、非對(duì)稱密鑰技術(shù)及證書(shū)管理C、對(duì)稱密鑰的產(chǎn)生和分發(fā)D、訪問(wèn)控制服務(wù)60.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展(SecureNultipurposelnternetMailPxtension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是()C、S/MIME采用了郵件防火墻技術(shù)61.國(guó)際聯(lián)網(wǎng)采用()制定的技術(shù)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、資費(fèi)政策，以利于提高服務(wù)質(zhì)量和水平。B、單位統(tǒng)一C、國(guó)家統(tǒng)一62.實(shí)現(xiàn)源的不可否認(rèn)業(yè)務(wù)中，第三方既看不到原數(shù)據(jù)，又節(jié)省了通信資源的是B、可信賴第三方的數(shù)字簽字C、可信賴第三方對(duì)消息的雜湊值進(jìn)行簽字D、可信賴第三方的持證A、保障和促進(jìn)信息化發(fā)展B、維護(hù)企業(yè)與公民的合法權(quán)益C、構(gòu)建高效的信息傳播權(quán)益64.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制，資產(chǎn)管理包括對(duì)資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù)，通常采取以下哪項(xiàng)控制措施()D、分類指南、信息的標(biāo)記和處理65.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒(méi)有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開(kāi)放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開(kāi)發(fā)、生產(chǎn)、測(cè)試和評(píng)估過(guò)程中66.下面對(duì)自由訪問(wèn)控制(DAC)描述正確的是A、比較強(qiáng)制訪問(wèn)控制而言不太靈活B、基于安全標(biāo)簽D、在商業(yè)環(huán)境中廣泛使用67.某單位的信息安全主管部門(mén)在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門(mén)將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是()A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)解析：自評(píng)估由本級(jí)單位發(fā)起，檢查評(píng)估由被評(píng)估組織的上級(jí)管理機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，P247頁(yè)。68.不能有效減少收到垃圾郵件數(shù)量的方法是()。A、盡量不要在公共場(chǎng)合留下自己的電子郵件地址B、采用垃圾郵件過(guò)濾器C、安裝入侵檢測(cè)工具D、收到垃圾郵件后向有關(guān)部門(mén)舉報(bào)69.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡(jiǎn)要進(jìn)行三次握手，請(qǐng)求通信的主機(jī)A要ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機(jī)會(huì)等一段時(shí)請(qǐng)示等待確認(rèn)，當(dāng)這些未釋放的連接請(qǐng)示數(shù)量超過(guò)目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請(qǐng)示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于()A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊70.以下哪種做法是正確的“職責(zé)別離”做法?A、程序員不允許訪問(wèn)產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺(tái)C、控制臺(tái)操作員可以操作磁帶和硬盤(pán)D、磁帶操作員可以使用系統(tǒng)控制臺(tái)71.32.信息安全風(fēng)險(xiǎn)評(píng)估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》(國(guó)信辦[2006]5號(hào))中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是?A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門(mén)組織的國(guó)家有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用復(fù)出明文。以下說(shuō)法正確的是：A、此密碼體制為對(duì)稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制74.下面對(duì)信息安全漏洞的理解中，錯(cuò)誤的是A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開(kāi)發(fā)、部署或維護(hù)階段，由于設(shè)計(jì)、開(kāi)發(fā)等相關(guān)人員無(wú)意中產(chǎn)生的缺陷所造的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來(lái)D、由于人類思維誰(shuí)能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的75.以下關(guān)于國(guó)內(nèi)信息化發(fā)展的描述，錯(cuò)誤的是()。A、從20世紀(jì)90年代開(kāi)始，我國(guó)把信息化提到了國(guó)家戰(zhàn)略高度。B、成為聯(lián)合國(guó)衛(wèi)星導(dǎo)航委員會(huì)認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)C、我國(guó)農(nóng)村寬帶人口普及率與城市的差距在最近三年來(lái)持續(xù)拉大。D、經(jīng)過(guò)多年的發(fā)展，截至2013年底，我國(guó)在全球整體的信息與計(jì)算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。A、外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的15審計(jì)。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來(lái)自外部代理商的任何訪問(wèn)必須限制在?；饏^(qū)(DMZ)77.內(nèi)部審核的最主要目的是A、檢查信息安全控制措施的執(zhí)行情況C、檢查信息安全管理體系的有效性D、檢查人員安全意識(shí)78.以下哪項(xiàng)是ISMS文件的作用?A、是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。79.黑客造成的主要危害是80.信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?()A、信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性C、保密信息如國(guó)家秘密、商業(yè)秘密等81.以下哪些不屬于脆弱性范疇?B、操作系統(tǒng)漏洞D、人員的不良操作習(xí)慣82.下列哪一項(xiàng)不屬于Fuzz測(cè)試的特性?D、利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試目標(biāo)產(chǎn)生異常83.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl.RBAC、:根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于A、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕84.信息風(fēng)險(xiǎn)主要指那些?()A、信息存儲(chǔ)安全B、信息傳輸安全D、以上都正確85.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買(mǎi)的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息86.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是?A、要求開(kāi)發(fā)人員采用敏捷開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā)。B、要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)。C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則。D、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題。87.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境88.以下有關(guān)訪問(wèn)控制的描述不正確的是A、口令是最常見(jiàn)的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B、系統(tǒng)管理員在給用戶分配訪問(wèn)權(quán)限時(shí)，應(yīng)該遵循“最小特權(quán)原則”,即分配給員工的訪問(wèn)權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C、單點(diǎn)登錄系統(tǒng)(一次登錄/驗(yàn)證，即可訪問(wèn)多個(gè)系統(tǒng))最大的優(yōu)勢(shì)是提升了便利性，但是又面臨著“把所有雞蛋放在一個(gè)籃子”的風(fēng)險(xiǎn)；D、雙因子認(rèn)證(又稱強(qiáng)認(rèn)證)就是一個(gè)系統(tǒng)需要兩道密碼才能進(jìn)入；答案：D89.3)下面關(guān)于信息安全系統(tǒng)保障模型的說(shuō)法不正確的是?A、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分，簡(jiǎn)介和一般模型》(GB/T202741:2008)中的信息系統(tǒng)安全保障模型的風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和量化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要確保信息系統(tǒng)的保密性，完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入90.在數(shù)據(jù)鏈路層中MAC子層主要實(shí)現(xiàn)的功能是A、介質(zhì)訪問(wèn)控制B、物理地址識(shí)別C、通信協(xié)議產(chǎn)生91.按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)、按照要求向公安機(jī)關(guān)備案即可，可以不需要上級(jí)或主管部門(mén)來(lái)測(cè)評(píng)和檢查。此類信息系統(tǒng)應(yīng)屬于92.應(yīng)用安全，一般是指保障應(yīng)用程序使用過(guò)程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是()A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登錄的用戶進(jìn)行身份鑒別，只有通過(guò)驗(yàn)證的用戶才能訪問(wèn)應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問(wèn)C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤(pán)、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤(pán)、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問(wèn)D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等解析：機(jī)房與設(shè)施安全屬于物理安全，不屬于應(yīng)用安全93.信息安全審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一般由誰(shuí)完成?B、外部專業(yè)機(jī)構(gòu)94.不是計(jì)算機(jī)病毒所具有的特點(diǎn)(C、潛伏性95.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)?A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS96.CISP職業(yè)道德包括誠(chéng)實(shí)守信，遵紀(jì)守法，主要有()、()、()。A、不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、弄虛作假等違反誠(chéng)信原則的行為；不利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件；B、熱愛(ài)信息安全工作崗位和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)的提出應(yīng)對(duì)信息安全問(wèn)題的建設(shè)和幫助；C、自覺(jué)維護(hù)國(guó)家信息安全，拒絕并抵制泄露國(guó)家秘密和破壞國(guó)家信息基礎(chǔ)設(shè)施的行為；自覺(jué)維護(hù)網(wǎng)絡(luò)社會(huì)安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會(huì)和諧的行為；自覺(jué)維護(hù)公眾信息安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個(gè)人隱私的行為；D、通過(guò)持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識(shí)；利用日常工作、學(xué)種方式保持和提升安全實(shí)踐能力，以CISP身份為榮，積極參與各種證后活動(dòng)，避免任何損害CISP聲譽(yù)形象的行為97.WINDOWS系統(tǒng)，下列哪個(gè)命令可以列舉本地所有A、制訂風(fēng)險(xiǎn)評(píng)估方案，確定風(fēng)險(xiǎn)評(píng)估的實(shí)施方案.包括風(fēng)險(xiǎn)評(píng)估的工作過(guò)程、活動(dòng)、子活動(dòng)、每項(xiàng)活動(dòng)的輸入和輸出結(jié)果B、選擇風(fēng)險(xiǎn)評(píng)估方法和工具，從現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法和工具庫(kù)匯總選擇合適的風(fēng)險(xiǎn)評(píng)估方法和工具C、制訂組織機(jī)構(gòu)自己的風(fēng)臉評(píng)估準(zhǔn)則，相關(guān)準(zhǔn)則可以不需要得到被評(píng)估方的認(rèn)可D、風(fēng)臉評(píng)估方案應(yīng)獲得管理決策層的認(rèn)可、批準(zhǔn)和支持墻和路由器的過(guò)濾規(guī)則，拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量錄賬號(hào)等()A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測(cè)階段100.IS090012000標(biāo)準(zhǔn)跪在制定.實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)采用過(guò)程方法，通過(guò)滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過(guò)程方法的示意圖，圖中括號(hào)空白處應(yīng)填寫(xiě)()A、系統(tǒng)日志102.信息安全風(fēng)險(xiǎn)管理是基于()的信息安全管理，也就是，始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)，即()選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。103.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：A、項(xiàng)目是為達(dá)到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項(xiàng)目有明確的開(kāi)始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定。C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量 定的時(shí)限(Time-oriented)104.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來(lái)電者：小張嗎?我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開(kāi)郵件，我著急收個(gè)郵件，麻煩你先幫我把密碼改成123,我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來(lái)電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請(qǐng)問(wèn)以下說(shuō)法哪個(gè)是正確的()A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來(lái)親自教給李強(qiáng)就不會(huì)發(fā)生這個(gè)問(wèn)題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請(qǐng)購(gòu)買(mǎi)新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒(méi)按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件項(xiàng)目開(kāi)發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書(shū)的安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼107.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，有關(guān)保護(hù)輪廓A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無(wú)關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)108.組織應(yīng)開(kāi)發(fā)和實(shí)施使用()來(lái)保護(hù)信息的策略，基于風(fēng)險(xiǎn)評(píng)估，宜確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量。當(dāng)實(shí)施組織的()時(shí)，宜考慮我國(guó)應(yīng)用密碼技術(shù)的規(guī)定和限制，以及()跨越國(guó)界時(shí)的問(wèn)題。組織應(yīng)開(kāi)發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實(shí)際效果選擇加密算法、密鑰長(zhǎng)度和使用習(xí)慣。適合的()要求密鑰在生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷毀過(guò)程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來(lái)生成、存儲(chǔ)和歸檔密鑰的設(shè)備宜進(jìn)行()。A、加密控制措施；加密信息；密碼策略；密鑰管理；物理保護(hù)B、加密控制措施；密碼策略；密鑰管理；加密信息；物理保護(hù)C、加密控制措施；密碼策略；加密信息；密鑰管理；物理保護(hù)D、加密控制措施；物理保護(hù)；密碼策略；加密信息；密鑰管理109.口令是驗(yàn)證用戶身份的最常用手段，以下哪一種口令的潛在風(fēng)險(xiǎn)影響范圍最大?A、長(zhǎng)期沒(méi)有修改的口令C、兩個(gè)人公用的口令D、設(shè)備供應(yīng)商提供的默認(rèn)口令B、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng)D、定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良好A、量子力學(xué)112.CISP職業(yè)道德包括誠(chéng)實(shí)守信，遵紀(jì)守法，主要有()、()、()。利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件；B、熱愛(ài)信息安全工作崗位和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)的提出應(yīng)對(duì)信息安全問(wèn)、的建設(shè)和幫助；C、自覺(jué)維護(hù)國(guó)家信息安全，拒絕并抵制泄露國(guó)家秘密和破壞國(guó)家信息基礎(chǔ)設(shè)施的行為；自覺(jué)維護(hù)網(wǎng)絡(luò)社會(huì)安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會(huì)和諧的行為；自覺(jué)維護(hù)公眾信息安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個(gè)人隱私的行為；D、通過(guò)持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識(shí)；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升安全實(shí)踐能力，以CISP身份為榮，積極參與各種證后活動(dòng)，避免任何損害CISP聲譽(yù)形象的行為。113.根據(jù)Bell-LaPedula模型安全策略，下圖中寫(xiě)和讀操作正確的是A、可讀可寫(xiě)C、可寫(xiě)不可讀D、不可讀不可寫(xiě)114.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級(jí)別事件()A、特別重大事件A、Windows系統(tǒng)是采用SID(安全標(biāo)識(shí)符)來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來(lái)標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限許改名和刪除名和刪除116.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書(shū)的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則117.信息是流動(dòng)的，在信息的流動(dòng)過(guò)程中必須能夠識(shí)別所有可能途徑的()與();而對(duì)于信息本身而言，信息的敏感性的定義是對(duì)信息保護(hù)的()和(),信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了()的效果，不同的載體下，可能體現(xiàn)出信息的()、臨時(shí)性和信息的交互場(chǎng)景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測(cè)。A、基礎(chǔ)；依據(jù)；載體；環(huán)境；永久性；風(fēng)險(xiǎn)管理B、基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性答案：DC、C保持信息系統(tǒng)的業(yè)務(wù)持續(xù)性D、D系統(tǒng)的有益補(bǔ)充119.組織中對(duì)于每個(gè)獨(dú)立流程都有對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，但缺乏全面的業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)采取下面哪一項(xiàng)行動(dòng)?A、建議建立全面的業(yè)務(wù)連續(xù)性計(jì)劃B、確認(rèn)所有的業(yè)務(wù)連續(xù)性計(jì)劃是否相容D、建議建立單獨(dú)的業(yè)務(wù)連續(xù)性計(jì)劃該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是()。B、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便C、ACL在增加客體時(shí)，增加相關(guān)的訪問(wèn)控制權(quán)限較為簡(jiǎn)單121.()第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照()實(shí)行分級(jí)保護(hù)。()應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。 ()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)()后，方可投入使用。解析：《保密法》第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使用。122.以下代碼容易觸發(fā)什么漏洞()<?php$$username=$$_GET["name"];Echo"歡C、OS命令注入D、代碼注入123.國(guó)務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,該文件中指出了我國(guó)在災(zāi)備工作原則，下面哪項(xiàng)不屬于該工作原則?124.小張?jiān)谀硢挝皇秦?fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門(mén)領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估工作形式。小張認(rèn)為：1.風(fēng)險(xiǎn)評(píng)估工作形式包括：自評(píng)估和檢查評(píng)估；2.自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；3.檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門(mén)組織或者國(guó)家有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估；4.對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中的一個(gè)，非此即彼。請(qǐng)問(wèn)小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)A、第一個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第二個(gè)觀點(diǎn)A、計(jì)算機(jī)取證的目的是獲取證據(jù)，因此首先必須確保證據(jù)獲取再履行相關(guān)法律手續(xù)B、計(jì)算機(jī)取證在任何時(shí)候都必須保證符合相關(guān)法律法規(guī)C、計(jì)算機(jī)取證只能由執(zhí)法機(jī)構(gòu)才能執(zhí)行，以確保其合法性D、計(jì)算機(jī)取證必須獲得執(zhí)法機(jī)關(guān)的授權(quán)才可進(jìn)行以確保合法性原則126.數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是()。127.自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相比具有以下哪一個(gè)優(yōu)點(diǎn)?C、配置效率不高D、具有較強(qiáng)的靈活性128.強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強(qiáng)制訪問(wèn)控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學(xué)了BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對(duì)BLP模型的描述中，正確的是()A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫(xiě)”B、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫(xiě)”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫(xiě)”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫(xiě)”129.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng)過(guò)公開(kāi)招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工A、項(xiàng)目計(jì)劃書(shū)130.PKI的主要理論基礎(chǔ)是()。C、量子密碼131.BS7799這個(gè)標(biāo)準(zhǔn)是由下面哪個(gè)機(jī)構(gòu)研發(fā)出來(lái)的?C、中國(guó)標(biāo)準(zhǔn)協(xié)會(huì)132.以下關(guān)于VPN說(shuō)法正確的是()A、VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上B、VPN不能做到信息認(rèn)證和身份認(rèn)證C、VPN指的是用戶通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D、VPN只能提供身份不能提供加密數(shù)據(jù)的功能133.信息安全應(yīng)急響應(yīng)計(jì)劃的制定是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過(guò)程，以下哪個(gè)階段不在其中?C、應(yīng)急響應(yīng)計(jì)劃的測(cè)試、部訓(xùn)、演練和維護(hù)134.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問(wèn)控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是()。在每個(gè)文件下面附著一個(gè)客戶權(quán)限表，正常情況下一個(gè)系統(tǒng)客戶數(shù)再多也不會(huì)有文件的數(shù)量多，所以選D;而B(niǎo)LP模型、Biba模型屬于強(qiáng)制訪問(wèn)控制模型，與題A、評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B、用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅D、一句審計(jì)拔高審查IT控制弱點(diǎn)A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過(guò)施實(shí)現(xiàn)的137.在ISO/IEC17799中，防止惡意軟件的目的就是為了保護(hù)軟件和信息的A、安全性D、有效性138.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是?A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層140.人員入職過(guò)程中，以下做法不正確的是?141.安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過(guò)Apache獲得root權(quán)限解析：避免攻擊者通過(guò)Apache獲得root權(quán)限。142.PKI管理對(duì)象不包括()。A、ID和口令C、密鑰143.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問(wèn)控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門(mén)的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對(duì)訪問(wèn)控制的作用的理解錯(cuò)誤的是()。A、對(duì)經(jīng)過(guò)身份鑒別后的合法用戶提供所有服務(wù)B、在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)進(jìn)行管理C、拒絕非法用戶的非授權(quán)訪問(wèn)請(qǐng)求D、防止對(duì)信息的非授權(quán)篡改和濫用解析：訪問(wèn)控制的核心：允許合法用戶的授權(quán)訪問(wèn)，防止非法用戶的訪問(wèn)和合法用144.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL),下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本145.在制定一個(gè)正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素將是?A、成立一個(gè)審查委員會(huì)C、向執(zhí)行層發(fā)起人提供有效支持A、使用對(duì)稱加密進(jìn)行通信數(shù)據(jù)加密，使用公鑰加密進(jìn)行會(huì)話密鑰協(xié)商B、使用公鑰加密進(jìn)行通信數(shù)據(jù)加密，使用對(duì)稱加密進(jìn)行會(huì)話密鑰協(xié)商C、少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)則使用對(duì)稱加密D、大量數(shù)據(jù)使用公鑰加密，少量數(shù)據(jù)則使用對(duì)稱加密147.小李在上網(wǎng)時(shí)不小心點(diǎn)開(kāi)了假冒某銀行的釣魚(yú)網(wǎng)站，誤輸入了銀行賬號(hào)與密碼損失上千元，他的操作如右圖所示，他所受到的攻擊是()C、IP欺騙A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約B、信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。149.微軟提出了stride模型，其中R是(Repudiation抵賴)的縮寫(xiě)，關(guān)于此項(xiàng)安全要素，下面說(shuō)法錯(cuò)誤的是?A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒(méi)有下載過(guò)數(shù)據(jù)”,軟件系統(tǒng)中的這種威脅為R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?軟件系統(tǒng)中的這種威脅為R威脅C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施來(lái)解決D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過(guò)濾、流量控制等技術(shù)措施來(lái)解決150.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。該目標(biāo)可以通過(guò)以下控制措施來(lái)實(shí)現(xiàn)，不包括哪一項(xiàng)A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問(wèn)、交接區(qū)安全D、人力資源安全151.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過(guò)安全測(cè)評(píng)。關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義，下列說(shuō)法中不正確的是：A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購(gòu)信息安全產(chǎn)品，設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范D、打破市場(chǎng)壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境152.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是()C、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的APP緩存，如果發(fā)生硬件地址的D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機(jī)進(jìn)行連接153.降低風(fēng)險(xiǎn)(或減低風(fēng)險(xiǎn))是指通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來(lái)降低風(fēng)險(xiǎn)，下面哪個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施?A、減少危險(xiǎn)源。采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制危險(xiǎn)源的動(dòng)機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的方式交予第三方公司完成，通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)C、減低危險(xiǎn)能力。采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性。及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性154.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接受者，這種情況屬于哪一種攻擊?B、Smurt攻擊155.小李既屬于“一般用戶”組，又屬于“高級(jí)用戶”組，現(xiàn)要訪問(wèn)“工作文檔”目錄，已知“一般用戶”組對(duì)于此文件夾的操作權(quán)限是“只讀”,“高級(jí)用戶”組對(duì)此文件夾的操作權(quán)限是“可寫(xiě)”,那么小李現(xiàn)在可對(duì)“工作文檔”目錄進(jìn)行什么操作?A、僅可讀B、僅可寫(xiě)C、既可讀又可寫(xiě)156.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素A、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型)(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入158.關(guān)于惡意代碼的守護(hù)進(jìn)程的功能，以下說(shuō)法正確的是()A、加大檢測(cè)難度B、隱藏惡意代碼C、監(jiān)視惡意代碼主體程序是否正常D、傳播惡意代碼159.一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過(guò)程?B、信息流160.數(shù)位物件識(shí)別號(hào)(Digital0bjectldentifier,簡(jiǎn)稱D01)是一套識(shí)別數(shù)位資源的機(jī)制，涵括的對(duì)象有視頻、報(bào)告或書(shū)籍等等。它既有一套為資源命名的機(jī)制，也“/”分開(kāi)，并且前級(jí)以“.”再分為兩部分。以下是一個(gè)典型的D01識(shí)別號(hào)，10.1006/jmbi.1998.2354,下列選項(xiàng)錯(cuò)誤的是()A、“10.1006”是前級(jí)，由國(guó)際數(shù)位物件識(shí)別號(hào)基金會(huì)確定B、“10”為D01目前唯的特定代碼，用以將D01與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開(kāi)C、"1006是注冊(cè)代理機(jī)構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊(cè)機(jī)構(gòu)字資料，不具有唯一性162.以下關(guān)于國(guó)內(nèi)信息化發(fā)展的描述，錯(cuò)誤的是()。A、經(jīng)過(guò)多年的發(fā)展，截至2013年底，我國(guó)在全球整體的信息與計(jì)算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。B、我國(guó)農(nóng)村寬帶人口普及率與城市的差距在最近三年來(lái)持續(xù)拉大。C、成為聯(lián)合國(guó)衛(wèi)星導(dǎo)航委員會(huì)認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)D、從20世紀(jì)90年代開(kāi)始，我國(guó)把信息化提到了國(guó)家戰(zhàn)略高度163.90.隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切，越來(lái)越多的組織開(kāi)始嘗試使用參考ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS,下面描述錯(cuò)誤的是A、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方D、在組織中，應(yīng)由信息技術(shù)責(zé)任部門(mén)(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求164.在IT項(xiàng)目管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理，以下哪一項(xiàng)不是對(duì)數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo)：A、防止出現(xiàn)數(shù)據(jù)范圍以外的值165.以下關(guān)于軟件安全測(cè)試說(shuō)法正確的是()D、軟件安全測(cè)試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問(wèn)題166.以下工作哪個(gè)不是計(jì)算機(jī)取證準(zhǔn)備階段的工作B、準(zhǔn)備工具C、介質(zhì)準(zhǔn)備B、ISMS是一個(gè)文件化、系統(tǒng)化的體系168.12)下面關(guān)于信息安全系統(tǒng)保障模型的說(shuō)法不正確的是?A、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分，簡(jiǎn)介和一般模型》(GB/T202741:2008)中的信息系統(tǒng)安全保障模型的風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和量化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要確保信息系統(tǒng)的保密性，完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入得服務(wù)A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過(guò)程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過(guò)程。171.當(dāng)前，應(yīng)用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)的一半以上。下列選項(xiàng)中，哪個(gè)與應(yīng)用軟件漏洞成因無(wú)關(guān)：B、開(kāi)發(fā)人員對(duì)信息安全知識(shí)掌握不足C、相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級(jí)語(yǔ)A、文件隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是173.89.小王在對(duì)某公司的信息系統(tǒng)進(jìn)風(fēng)風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理該風(fēng)險(xiǎn)。請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置的方法是B、降低風(fēng)險(xiǎn)174.保護(hù)-檢測(cè)-響應(yīng)(Protection-Detection-Response,PDR)模型是()工作中常用的模型，其思想是承認(rèn)()漏洞的存在，正視系統(tǒng)面臨的(),通過(guò)采取適度防護(hù)、加強(qiáng)()、落實(shí)對(duì)安全事件的響應(yīng)、建立對(duì)威脅的防護(hù)來(lái)保障系統(tǒng)的安全。解析：保護(hù)-檢測(cè)-響應(yīng)(Protection-Detection-Response,PDR)模型是信息安全通過(guò)采取適度防護(hù)、加強(qiáng)檢測(cè)工作、落實(shí)對(duì)安全事件的響應(yīng)、建立對(duì)威脅的防護(hù)來(lái)保障系統(tǒng)的安全。P25頁(yè)。175.擁有電子資金轉(zhuǎn)帳銷售點(diǎn)設(shè)備的大型連鎖商場(chǎng)，有中央通信處理器連接銀行網(wǎng)絡(luò)，對(duì)于通信處理機(jī)，下面哪一項(xiàng)是最好的災(zāi)難恢復(fù)計(jì)劃。A、每日備份離線存儲(chǔ)B、選擇在線備份程序C、安裝雙通訊設(shè)備D、在另外的網(wǎng)絡(luò)節(jié)點(diǎn)選擇備份程序176.為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是()A、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)B(tài)、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報(bào)告的主題內(nèi)容可以按照技術(shù)，管理和工程等方面需求展開(kāi)編寫(xiě)177.以下哪個(gè)不屬于信息安全的三要素之一?()A、httpd.conf180.以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是A、威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅B、評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)C、消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過(guò)重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅。D、識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。C、制定IT安全策略下的安全程序/流程C、產(chǎn)生危險(xiǎn)水平的電流A、能力成熟度模型可以分為過(guò)程能力方案(Continuous)和組織能力方案(Staged)兩類B、使用過(guò)程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或那些過(guò)程域C、使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)于一組已經(jīng)定義好的過(guò)程域D、SSE-CMM是一種屬于組織能力方案(Staged)的針對(duì)系統(tǒng)安全工程的能力成熟度模型185.以下哪一項(xiàng)是DOS攻擊的一個(gè)實(shí)例186.在國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第部分：簡(jiǎn)介和一般模型》(GB/T20274.1-2006)中描述了信息系統(tǒng)安全保障模型，下面對(duì)這個(gè)模型理解錯(cuò)誤A、該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B、該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過(guò)程C、該模型強(qiáng)調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過(guò)綜合技術(shù)、管理、工程和人員的安全保障來(lái)實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D、模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性187.丟棄所有來(lái)自路由器外部端口的使用內(nèi)部源地址的數(shù)據(jù)包的方法是用來(lái)挫敗()A、源路由攻擊(SourceRoutingAttacks)B、源IP地址欺騙式攻擊(SourceIPAddressSpoofingAttackD、特洛伊木馬攻擊(Trojanhorse)188.實(shí)施ISMS內(nèi)審時(shí)，確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序應(yīng)該要符合相關(guān)要求，以下哪個(gè)不是?B、已識(shí)別的安全需求C、控制措施有效實(shí)施和維護(hù)答案：D189.《網(wǎng)絡(luò)安全法》共計(jì)(),(),主要內(nèi)容包括：網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)運(yùn)行安全制度、()、網(wǎng)絡(luò)信息保護(hù)制度、()、等級(jí)保護(hù)制度、()等。度度度度190.以下哪項(xiàng)網(wǎng)絡(luò)攻擊會(huì)對(duì)《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運(yùn)行安全造成影響D、發(fā)布謠言信息A、改進(jìn)組織能力B、定義標(biāo)準(zhǔn)過(guò)程C、協(xié)調(diào)安全實(shí)施D、執(zhí)行已定義的過(guò)程192.小陳某電器城購(gòu)買(mǎi)了一臺(tái)冰箱，并留下了個(gè)人姓名、電話和電子郵件地址等信息，第二天他收了一封郵件他中獎(jiǎng)的郵件，查看該郵件后他按照提示操作繳納中獎(jiǎng)稅款后并沒(méi)有得到中獎(jiǎng)金，再成才得知電器城共沒(méi)有中獎(jiǎng)的活動(dòng)、在此案例中，下面描述量誤的是()A、小陳應(yīng)當(dāng)注意保護(hù)自已的隱私，沒(méi)有必要告訴別人的信息不要登記和公和給別人B、小陳錢(qián)被偷走了，這類網(wǎng)絡(luò)犯罪哪案件也應(yīng)該向公安局報(bào)案C、郵件服務(wù)運(yùn)營(yíng)高商通過(guò)技術(shù)手段，可以在一定程度上阻止此類的釣魚(yú)郵件和明哄騙郵件D、小陳應(yīng)當(dāng)向電器城索，追回?fù)p失193.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，以下說(shuō)法中錯(cuò)誤的是?A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估；B、風(fēng)險(xiǎn)評(píng)估可以對(duì)信息資產(chǎn)進(jìn)行鑒定和評(píng)估，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估；C、風(fēng)險(xiǎn)評(píng)估可以確定需要實(shí)施的具體安全控制措施；D、風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上，風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的控制措施集合。194.操作系統(tǒng)中.文件系統(tǒng)支持加密功能()195.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開(kāi)放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會(huì)帶來(lái)一定的安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間196.針對(duì)操作系統(tǒng)的漏洞作更深入的掃描，是()型的漏洞評(píng)估產(chǎn)品。B、主機(jī)型D、以上都不正確197.以下關(guān)于對(duì)稱密鑰加密說(shuō)法正確的是：()。198.0RACLE中啟用審計(jì)后，察看審計(jì)的語(yǔ)句是下面哪一個(gè)?C、select*fromSYS.AUD$199.COBIT(信息和相關(guān)技術(shù)的控制目標(biāo))是國(guó)際專業(yè)協(xié)會(huì)ISACA為信息技術(shù)(IT)A、流程描述、框架、控制目標(biāo)、管理指南、成熟度模型B、框架、流程描述、管理目標(biāo)、控制目標(biāo)C、框架、流程描述、控制目標(biāo)、管理指南、成熟度模型200.物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理數(shù)據(jù)的載體，其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對(duì)設(shè)施安全的保障的描述正確的是()。A、安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問(wèn)控制機(jī)制C、由于傳統(tǒng)門(mén)鎖容易被破解，因此禁止采用門(mén)鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備，后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等解析：A物理安全包括信息系統(tǒng)所在物理區(qū)域，但不包含軟件區(qū)域，門(mén)鎖方式”錯(cuò)誤，D數(shù)字式控制錄像設(shè)備屬于后端設(shè)備，B描述了物理201.GaryMcGraw博士及其合作者A、源代碼審核、風(fēng)險(xiǎn)分析和滲透測(cè)試B、應(yīng)用風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)C、威脅建模、滲透測(cè)試和軟件安全接觸點(diǎn)D、威脅建模、源代碼審核和模糊測(cè)試202.windows文件系統(tǒng)權(quán)限管理使用訪問(wèn)控制列表(AccessControlList.ACL)機(jī)機(jī)制需要NTFS文件格式的支持高的問(wèn)題件的訪問(wèn)權(quán)限信息是寫(xiě)在用戶數(shù)據(jù)庫(kù)中的限203.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng)，通過(guò)公開(kāi)招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè)應(yīng)用系統(tǒng)均已完成開(kāi)發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)，監(jiān)理公司需要對(duì)A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開(kāi)B、質(zhì)量控制計(jì)劃解析：ABC其均屬于項(xiàng)目管理文檔。需求說(shuō)明書(shū)、設(shè)計(jì)說(shuō)明書(shū)、測(cè)試方案、測(cè)試用例等屬于開(kāi)發(fā)類文檔。204.組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”在提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容A、不在Windows下安裝Apache,只在Linux和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬號(hào)來(lái)運(yùn)行D、積極了解Apache的安全通告，并及時(shí)下載和更新205.在完成了業(yè)務(wù)影響分析〔BIA〕后，下一步的業(yè)務(wù)持續(xù)性計(jì)劃應(yīng)該是什么A、測(cè)試和維護(hù)業(yè)務(wù)持續(xù)性計(jì)劃B、制定一個(gè)針對(duì)性計(jì)劃C、制定恢復(fù)策略D、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃206.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中A、用戶口令明文B、用戶主目錄C、用戶名207.操作系統(tǒng)是作為一個(gè)支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境，操作系統(tǒng)提供了更好的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不而下的破綻，都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實(shí)現(xiàn)該公司操作系統(tǒng)的安全目標(biāo)，按書(shū)中所學(xué)建立了相應(yīng)的安全機(jī)制，這些機(jī)制不包括()A、標(biāo)識(shí)與鑒別B、訪問(wèn)控制D、網(wǎng)絡(luò)云盤(pán)存取保護(hù)208.TCP/IP協(xié)議簇是為實(shí)現(xiàn)異構(gòu)網(wǎng)互連推出的協(xié)議規(guī)范，具有較好的開(kāi)放性，Internet是在TCP/IP協(xié)議簇的基礎(chǔ)上構(gòu)建的。但由于TCP/IP協(xié)議簇在設(shè)計(jì)初期過(guò)于關(guān)注其開(kāi)放性和便利性，對(duì)安全性考慮較少，因此其中很多協(xié)議存在安全隱患。例如，攻擊者可以利用TCP協(xié)議的三次握手制實(shí)施DoS攻擊，也可以通過(guò)猜測(cè)TCP會(huì)話中的序號(hào)來(lái)偽造數(shù)據(jù)包。那么上述例子中的情況可能發(fā)生在?A、應(yīng)用層C、網(wǎng)絡(luò)層209.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GR/T22080標(biāo)難要求，其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)()B、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理210.下面哪一項(xiàng)不是安全編程的原則：A、盡可能使用高級(jí)語(yǔ)言進(jìn)行編程B、盡可能讓程序只實(shí)現(xiàn)需要的功能C、不要信任用戶輸入的數(shù)據(jù)D、盡可能考慮到意外的情況，并設(shè)計(jì)妥善的處理方法211.以下哪些因素屬于信息安全特征?A、系統(tǒng)和網(wǎng)絡(luò)的安全D、系統(tǒng)的安全；動(dòng)態(tài)的安全；無(wú)邊界的安全；非傳統(tǒng)的安全212.下面哪一個(gè)是定義深度防御安全原則的例子?A、使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B、在主機(jī)上使用防火墻和邏輯訪問(wèn)控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量C、在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D、使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量213.為了有效的完成工作，信息系統(tǒng)安全部門(mén)員工最需要以下哪一項(xiàng)技能?C、技術(shù)技能D、溝通技能214.我國(guó)正式公布了電子簽名法，數(shù)字簽名機(jī)制用于實(shí)現(xiàn)需求。()B、保密性D、可用性215.目前對(duì)于大量數(shù)據(jù)存儲(chǔ)來(lái)說(shuō)，容量大、成本低、技術(shù)成熟、廣泛使用的介質(zhì)是 C、光盤(pán)216.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限217.關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程描述不正確的是()A、基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低B、應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的C、一種