（必會）CISP注冊信息安全專業(yè)人員考前鞏固?？碱}庫（附答案）1.組織中對于每個獨立流程都有對應的業(yè)務連續(xù)性計劃，但缺乏全面的業(yè)務連續(xù)性計劃，應采取下面哪一項行動？A、建議建立全面的業(yè)務連續(xù)性計劃B、確認所有的業(yè)務連續(xù)性計劃是否相容C、接受已有業(yè)務連續(xù)性計劃D、建議建立單獨的業(yè)務連續(xù)性計劃參考答案：B2.組織應開發(fā)和實施使用（）來保護信息的策略，基于風險評估，宜確定需要的保護級別，并考慮需要的加密算法的類型、強度和質(zhì)量。當實施組織的（）時，宜考慮我國應用密碼技術(shù)的規(guī)定和限制，以及（）跨越國界時的問題。組織應開發(fā)和實施在密鑰生命周期中使用和保護密鑰的方針。方針應包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實際效果選擇加密算法、密鑰長度和使用習慣。適合的（）要求密鑰在生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護所有的密鑰免遭修改和丟失。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備宜進行（）。A、加密控制措施；加密信息；密碼策略；密鑰管理；物理保護B、加密控制措施；密碼策略；密鑰管理；加密信息；物理保護C、加密控制措施；密碼策略；加密信息；密鑰管理；物理保護D、加密控制措施；物理保護；密碼策略；加密信息；密鑰管理參考答案：C3.組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”在提高阿帕奇系統(tǒng)（ApacheHTTPServer）系統(tǒng)安全性時，下面哪項措施不屬于安全配置內(nèi)容A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D、積極了解Apache的安全通告，并及時下載和更新參考答案：A4.組織內(nèi)應急通知應主要采用以下哪種方式A、電話B、電子郵件C、人員D、公司OA參考答案：A5.組織內(nèi)數(shù)據(jù)安全官的最為重要的職責是：A、推薦并監(jiān)督數(shù)據(jù)安全策略B、在組織內(nèi)推廣安全意識C、制定IT安全策略下的安全程序/流程D、管理物理和邏輯訪問控制參考答案：A6.自主訪問控制與強制訪問控制相比具有以下哪一個優(yōu)點？A、具有較高的安全性B、控制粒度較大C、配置效率不高D、具有較強的靈活性參考答案：D7.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是（）。A、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便B、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便C、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單D、ACL是Bell-LaPadula模型的一種具體實現(xiàn)參考答案：C8.針對操作系統(tǒng)的漏洞作更深入的掃描，是（）型的漏洞評估產(chǎn)品。A、數(shù)據(jù)庫B、主機型C、網(wǎng)絡(luò)型D、以上都不正確參考答案：B9.在制定一個正式的企業(yè)安全計劃時，最關(guān)鍵的成功因素將是？A、成立一個審查委員會B、建立一個安全部門C、向執(zhí)行層發(fā)起人提供有效支持D、選擇一個安全流程的所有者參考答案：C10.在正常情況下，Windows2000中建議關(guān)閉的服務是（）。A、TCP/IPNetBIOSHelperServiceB、LogicalDiskManagerC、RemoteProcedureCallD、SecurityAccountsManager參考答案：A11.在以下標準中,屬于推薦性國家標準的是?A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X參考答案：A12.在業(yè)務持續(xù)性方面，如果要求不能丟失數(shù)據(jù)，則：A、RT0為B、RPO為OC、RTO和RPO都為OD、RTO、RPO沒有關(guān)系參考答案：B13.在信息安全管理過程中,背景建立是實施工作的第一步。下面哪項理解是錯誤的（）。A、背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準,以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務目標和特性B、背景建立階段應識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值,同時確認已有的安全措施,形成需要保護的資產(chǎn)清單C、背景建立階段應調(diào)查信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描述報告D、背景建立階段應分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信息系統(tǒng)的安全要求報告參考答案：B14.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評過過程、確保信息安全風險評估技術(shù)選擇合理、計算正確參考答案：D15.在網(wǎng)絡(luò)安全體系構(gòu)成要素中“響應”指的是（）。A、環(huán)境響應和技術(shù)響應B、一般響應和應急響應C、系統(tǒng)響應和網(wǎng)絡(luò)響應D、硬件響應和軟件響應參考答案：B16.在完成了業(yè)務影響分析〔BIA〕后，下一步的業(yè)務持續(xù)性計劃應該是什么A、測試和維護業(yè)務持續(xù)性計劃B、制定一個針對性計劃C、制定恢復策略D、實施業(yè)務持續(xù)性計劃參考答案：C17.在完成了大部分策略的編制工作后，需要對其進行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為（）。A、可接受使用策略AUPB、安全方針C、適用性聲明D、操作規(guī)范參考答案：A18.在提供給一個外部代理商訪問信息處理設(shè)施前,一個組織應該怎么做?A、外部代理商的處理應該接受一個來自獨立代理進行的I5審計。B、外部代理商的員工必須接受該組織的安全程序的培訓。C、來自外部代理商的任何訪問必須限制在?；饏^(qū)（DMZ）D、該組織應該進行風險評估,并制定和實施適當?shù)目刂啤⒖即鸢福篋19.在數(shù)據(jù)鏈路層中MAC子層主要實現(xiàn)的功能是A、介質(zhì)訪問控制B、物理地址識別C、通信協(xié)議產(chǎn)生D、數(shù)據(jù)編碼參考答案：A20.在實施信息安全風險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是？A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護費用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計參考答案：C21.在進行應用系統(tǒng)的測試時，應盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的：A、測試系統(tǒng)應使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用參考答案：B22.在國家標準GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障模型>A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運行維護參考答案：B23.在國家標準《信息系統(tǒng)安全保障評估框架第部分：簡介和一般模型》（GB/T20274.1-2006）中描述了信息系統(tǒng)安全保障模型，下面對這個模型理解錯誤的是（）A、該模型強調(diào)保護信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達到實現(xiàn)組織機構(gòu)使命的目的B、該模型是一個強調(diào)持續(xù)發(fā)的動態(tài)安全模型即信息系統(tǒng)安全保障應該貫穿于整個信息系統(tǒng)生命周期的全過程C、該模型強調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實施和實現(xiàn)信息系統(tǒng)的安全保障目標D、模型將風險和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進，在其基礎(chǔ)上增加了人員要素，強調(diào)信息安全的自主性參考答案：D24.在Linux系統(tǒng)中，下列哪項內(nèi)容不包含在/etc/passwd文件中A、用戶口令明文B、用戶主目錄C、用戶名D、用戶登錄后使用的SHELL參考答案：A25.在IT項目管理中為了保證系統(tǒng)的安全性，應當充分考慮對數(shù)據(jù)的正確處理，以下哪一項不是對數(shù)據(jù)輸入進行校驗可以實現(xiàn)的安全目標：A、防止出現(xiàn)數(shù)據(jù)范圍以外的值B、防止出現(xiàn)錯誤的數(shù)據(jù)處理順序C、防止緩沖區(qū)溢出攻擊D、防止代碼注入攻擊參考答案：B26.在ISO／IEC17799中，防止惡意軟件的目的就是為了保護軟件和信息的（）。A、安全性B、完整性C、穩(wěn)定性D、有效性參考答案：B27.在GB／T18336《信息技術(shù)安全性評估準則》中，有關(guān)保護輪廓（ProtectionProfile，PP）和安全目標（SecurityTarget，ST），錯誤的是A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實現(xiàn)有關(guān)參考答案：C28.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應該分類、分級B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風險很小D、信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓、總結(jié)經(jīng)驗，防止類似事情再次發(fā)生參考答案：C29.有關(guān)項目管理，錯誤的理解是：A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應用參考答案：B30.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中基本實施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務背景中可以使用不同的方法B、BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實踐D、BP不是過程區(qū)域（ProcessAreas，PA）的強制項參考答案：A31.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices,GP）,錯誤的理解是（）A、GP是涉及過程的管理、測量和制度化方面的活動B、GP適用于域維中部分過程區(qū)域（ProcessAreas,PA）的活動而非所有PA的活動C、在工程師實施時，GP應該作為基本實施（BasePractices,BP）的一部分加以執(zhí)行D、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力參考答案：B32.有關(guān)能力成熟度模型（CMM）錯誤的理解是A、CMM的基本思想是,因為問題是由技術(shù)落后引起的,所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM的思想來源于項目管理和質(zhì)量管理C、CMM是一種衡量工程實施能力的方法,是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的,它基于這樣一個假設(shè),即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”參考答案：A33.由于頻繁出現(xiàn)軟件運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）A、要求開發(fā)人員采用敏捷開發(fā)模型進行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓C、要求規(guī)范軟件編碼，并制定公司的安全編碼準則D、要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題參考答案：A34.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務器不能正常工作：由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件參考答案：D35.用來為網(wǎng)絡(luò)中的主機自動分配IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、WINS服務器地址的網(wǎng)絡(luò)協(xié)議是：A、RPB、IGMPC、IC.MPD、D.HC.P參考答案：D36.擁有電子資金轉(zhuǎn)帳銷售點設(shè)備的大型連鎖商場，有中央通信處理器連接銀行網(wǎng)絡(luò)，對于通信處理機，下面哪一項是最好的災難恢復計劃。A、每日備份離線存儲B、選擇在線備份程序C、安裝雙通訊設(shè)備D、在另外的網(wǎng)絡(luò)節(jié)點選擇備份程序參考答案：D37.應用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中,為了保證數(shù)據(jù)安全,應設(shè)置良好的數(shù)據(jù)庫防護策略,以下不屬于數(shù)據(jù)庫防護策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補丁B、對存儲的敏感數(shù)據(jù)進行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務器進行重啟以確保數(shù)據(jù)庫運行良好參考答案：D38.應用安全，一般是指保障應用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應用安全防護考慮的是（）A、身份鑒別，應用系統(tǒng)應對登錄的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應用系統(tǒng)資源B、安全標記，在應用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權(quán)限，增加訪問C、剩余信息保護，應用系統(tǒng)應加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D、機房與設(shè)施安全，保證應用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等參考答案：D39.以下有關(guān)訪問控制的描述不正確的是A、口令是最常見的驗證身份的措施，也是重要的信息資產(chǎn)，應妥善保護和管理B、系統(tǒng)管理員在給用戶分配訪問權(quán)限時，應該遵循“最小特權(quán)原則”，即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C、單點登錄系統(tǒng)（一次登錄/驗證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險；D、雙因子認證（又稱強認證）就是一個系統(tǒng)需要兩道密碼才能進入；參考答案：D40.以下哪種做法是正確的“職責別離”做法？A、程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺C、控制臺操作員可以操作磁帶和硬盤D、磁帶操作員可以使用系統(tǒng)控制臺參考答案：A41.以下哪一項是DOS攻擊的一個實例A、SQL注入B、IPSoofC、Smurf攻擊D、字典破解參考答案：C42.以下哪一項不是我國信息安全保障工作的主要目標：A、保障和促進信息化發(fā)展B、維護企業(yè)與公民的合法權(quán)益C、構(gòu)建高效的信息傳播權(quán)益D、保護互聯(lián)網(wǎng)知識產(chǎn)權(quán)參考答案：C43.以下哪一個是ITU的數(shù)字證書標準A、SSLB、SHTTPC、x.509D、SOCKS參考答案：A44.以下哪些因素屬于信息安全特征?A、系統(tǒng)和網(wǎng)絡(luò)的安全B、系統(tǒng)和動態(tài)的安全C、技術(shù)、管理、工程的安全D、系統(tǒng)的安全；動態(tài)的安全；無邊界的安全；非傳統(tǒng)的安全參考答案：D45.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲C、系統(tǒng)設(shè)計缺陷D、保安工作不得力參考答案：B46.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣參考答案：A47.以下哪項網(wǎng)絡(luò)攻擊會對《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運行安全造成影響A、DDoS攻擊B、網(wǎng)頁篡改C、個人信息泄露D、發(fā)布謠言信息參考答案：A48.以下哪項是ISMS文件的作用?A、是指導組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客觀證據(jù)--為滿足相關(guān)方要求,以及持續(xù)改進提供依據(jù)D、以上所有參考答案：D49.以下哪項不是記錄控制的要求？A、清晰、易于識別和檢索B、記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施C、建立并保持，以提供證據(jù)D、記錄應盡可能的到達最詳細參考答案：D50.以下哪個是惡意代碼采用的隱藏技術(shù)A、文件隱藏B、進程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是參考答案：D51.以下哪個不屬于信息安全的三要素之一？（）A、機密性B、完整性C、抗抵賴性D、可用性參考答案：C52.以下劃Kerberos協(xié)議過程說法正確的是:A、協(xié)議可以分為兩個步驟:一是用戶身份鑒別;二是獲取請求服務B、協(xié)議可以分為兩個步驟:一是獲得票據(jù)許可票據(jù);二是獲取請求服務C、協(xié)議可以分為三個步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù):三是獲得服務許可票據(jù)D、協(xié)議可以分為三個步驟:一是獲得票據(jù)許可票據(jù);二是獲得服務許可票據(jù):三是獲得服務參考答案：D53.以下關(guān)于災難恢復和數(shù)據(jù)備份的理解，說法正確的是：A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災難恢復資源程度的不同，災難恢復能力分為7個等級C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災演練了參考答案：C54.以下關(guān)于項目的含義，理解錯誤的是：A、項目是為達到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導者根據(jù)項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體（Specific）、可測量（Measurable）、需相關(guān)方的一致同意（Agreeto）、現(xiàn)實（Realistic）、有一定的時限（Time-oriented）參考答案：B55.以下關(guān)于威脅建模流程步驟說法不正確的是A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險C、消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計直接消除威脅，或設(shè)計采用技術(shù)手段來消減威脅。D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。參考答案：D56.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說法正確的是（）。A、入侵檢測系統(tǒng)的主要作用是發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或違反安全策略的行為B、安全隔離與信息交換系統(tǒng)也稱為網(wǎng)閘,需要信息交換時,同一時間可以和兩個不同安全級別的網(wǎng)絡(luò)連接C、虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中,利用隧道技術(shù),建立一個永久、安全的通信網(wǎng)絡(luò)D、防火墻既能實現(xiàn)內(nèi)外網(wǎng)物理隔離,又能實現(xiàn)內(nèi)外網(wǎng)邏輯隔離參考答案：A57.以下關(guān)于數(shù)字簽名說法正確的是A、數(shù)字簽名是在所有傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B、數(shù)字簽名能解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C、數(shù)字簽名一般采用對稱加密機制D、數(shù)字簽名能解決算改，偽造等安全性問題參考答案：D58.以下關(guān)于軟件安全測試說法正確的是（）A、軟件安全測試就是黑盒測試B、FUZZ測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關(guān)注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題參考答案：B59.以下關(guān)于開展軟件安全開發(fā)必要性描述錯誤的是？（）A、軟件應用越來越廣泛B、軟件應用場景越來越不安全C、軟件安全問題普遍存在D、以上都不是參考答案：D60.以下關(guān)于檢查評估和自評估說法錯誤的是（）.A、信息安全風險評估分自評估、檢查評估兩形式.應以檢查評估為主,自評估和檢查評估相互結(jié)合、互為補充B、自評估只能由組織自身發(fā)起并實施,對信息系統(tǒng)及其管理進行風險評估活動C、檢查評估可以依據(jù)相關(guān)標準的要求,實施完整的風險評估,也可以在自評估實施的基礎(chǔ)上,對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估D、信息安全風險評估應貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程參考答案：A61.以下關(guān)于國內(nèi)信息化發(fā)展的描述，錯誤的是（）。A、從20世紀90年代開始，我國把信息化提到了國家戰(zhàn)略高度。B、成為聯(lián)合國衛(wèi)星導航委員會認可的四大衛(wèi)星導航系統(tǒng)之一的北斗衛(wèi)星導航系統(tǒng)是由我國自主研制的。C、我國農(nóng)村寬帶人口普及率與城市的差距在最近三年來持續(xù)拉大。D、經(jīng)過多年的發(fā)展，截至2013年底，我國在全球整體的信息與計算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。參考答案：D62.以下關(guān)于對稱密鑰加密說法正確的是：（）。A、加密方和解密方可以使用不同的算法B、加密密鑰和解密密鑰可以是不同的C、加密密鑰和解密密鑰必須是相同的D、密鑰的管理非常簡單參考答案：C63.以下關(guān)于安全控制措施的選擇，哪一個選項是錯誤的?A、維護成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應被不計成本的實施C、應考慮控制措施的成本效益D、在計算整體控制成本的時候，應考慮多方面的因素參考答案：B64.以下關(guān)于VPN說法正確的是（）A、VPN指的是用戶自己租用線路,和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B、VPN不能做到信息認證和身份認證C、VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接D、VPN只能提供身份不能提供加密數(shù)據(jù)的功能參考答案：C65.以下關(guān)于ISMS內(nèi)部審核報告的描述不正確的選項是？A、內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報告中必須包含對不符合性項的改良建議C、內(nèi)審報告在提交給管理者代表或者最高管理者之前應該受審方管理者溝通協(xié)商，核實報告內(nèi)容。D、內(nèi)審報告中必須包括對糾正預防措施實施情況的跟蹤參考答案：D66.以下工作哪個不是計算機取證準備階段的工作A、獲得授權(quán)B、準備工具C、介質(zhì)準備D、保護數(shù)據(jù)參考答案：D67.以下對Windows賬號的描述,正確的是:A、Windows系統(tǒng)是采用SID（安全標識符）來標識用戶對文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權(quán)限C、Windows系統(tǒng)默認會生成administrator和guest兩個賬號,兩個賬號都不允許改名和刪除D、Windows系統(tǒng)默認生成administrator和guest兩個賬號,兩個賬號都可以改名和刪除參考答案：A68.以下代碼容易觸發(fā)什么漏洞（）＜?php$$username=$$_GET["name"];Echo"歡迎您,".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代碼注入?yún)⒖即鸢福篈69.以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl.RBAC、：根據(jù)組織的業(yè)務要求或管理要求，在業(yè)務系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負責將權(quán)限（不同類別和級別的）分別賦予承擔不同工作職責的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A、當用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務系統(tǒng)中的崗位、職位或者分工，可對應RBAC模型中的角色C、通過角色，可實現(xiàn)對信息資源訪問的控制D、RBAC模型不能實現(xiàn)多級安全中的訪問控制參考答案：D70.一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過程?A、數(shù)據(jù)B、信息流C、活動D、模塊參考答案：C71.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務部門的管理人員能夠?qū)φn程信息、學生的選課信息等內(nèi)容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是（）。A、對經(jīng)過身份鑒別后的合法用戶提供所有服務B、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進行管理C、拒絕非法用戶的非授權(quán)訪問請求D、防止對信息的非授權(quán)篡改和濫用參考答案：A72.一般網(wǎng)絡(luò)設(shè)備上的SNMP默認可讀團體字符串是：A、PUBLICB、CISCOC、DEFAULTD、PRIVATE參考答案：A73.要在Cisco路由器上設(shè)定“showlogging”只能在特權(quán)模式下執(zhí)行，以下的操作正確的是：（）A、Router（config）#loggingtrapinformationB、Router（config）#set‘showlogging’execC、Router（config）#showloggingD、Router（config）#privilegeexeclevel15showlogging參考答案：D74.信息是流動的，在信息的流動過程中必須能夠識別所有可能途徑的（）與（）；而對于信息本身而言，信息的敏感性的定義是對信息保護的（）和（），信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時性和信息的交互場景，這使得風險管理變得復雜和不可預測。A、基礎(chǔ)；依據(jù);載體;環(huán)境;永久性;風險管理B、基礎(chǔ);依據(jù);載體;環(huán)境;風險管理;永久性C、載體;環(huán)境;風險管理;永久性;基礎(chǔ);依據(jù)D、載體;環(huán)境;基礎(chǔ);依據(jù);風險管理;永久性參考答案：D75.信息風險主要指那些？（）A、信息存儲安全B、信息傳輸安全C、信息訪問安全D、以上都正確參考答案：D76.信息安全應急響應計劃總則中，不包括以下哪個A、編制目的B、編制依據(jù)C、工作原則D、角色職責參考答案：D77.信息安全應急響應計劃的制定是一個周而復始、持續(xù)改進的過程，以下哪個階段不在其中？A、應急響應需求分析和應急響應策略的確定;B、編制應急響應計劃文檔；C、應急響應計劃的測試、部訓、演練和維護D、應急響應計劃的廢棄與存檔參考答案：D78.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，下面總結(jié)錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標準規(guī)范建設(shè)，重視應急響應、安全監(jiān)管和安全測評參考答案：C79.信息安全審核是指通過審查、測試、評審等手段，檢驗風險評估和風險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個工作一般由誰完成？A、機構(gòu)內(nèi)部人員B、外部專業(yè)機構(gòu)C、獨立第三方機構(gòu)D、以上皆可參考答案：D80.信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是A、ISMS是一個遵循PDCA模式的動態(tài)發(fā)展的體系B、ISMS是一個文件化、系統(tǒng)化的體系C、ISMS采取的各項風險控制措施應該根據(jù)風險評估等途徑得出的需求而定D、ISMS應該是一步到位的，應該解決所有的信息安全問題參考答案：D81.信息安全風險值應該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應用的復雜程度參考答案：A82.信息安全風險評估是信息安全管理體系建立的基礎(chǔ)，以下說法中錯誤的是？A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是安全風險評估；B、風險評估可以對信息資產(chǎn)進行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估；C、風險評估可以確定需要實施的具體安全控制措施；D、風險評估的結(jié)果應進行相應的風險處置，本質(zhì)上，風險處置的最佳集合就是信息安全管理體系的控制措施集合。參考答案：C83.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形勢提出了有關(guān)工作原則和要求。下面選項中描述正確的是？A、信息安全風險評估應以自評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C、自評估和檢查評估時相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果參考答案：A84.信息安全風險管理是基于（）的信息安全管理,也就是,始終以（）為主線進行信息安全的管理。應根據(jù)實際（）的不同來理解信息安全風險管理的側(cè)重點,即（）選擇的范圍和對象重點應有所不同。A、風險;風險;信息系統(tǒng):風險管理B、風險;風險;風險管理;信息系統(tǒng)C、風險管理;信息系統(tǒng);風險;風險D、風險管理;風險;風險;信息系統(tǒng)參考答案：A85.信息安全風險管理的對象不包括如下哪項A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境參考答案：C86.校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因，200臺以內(nèi)的用戶主機不能正常工作，屬于以下哪種級別事件A、特別重大事件B、重大事件C、較大事件D、一般事件參考答案：D87.小趙是某大學計算機科學與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、訪問控制列表（ACL）參考答案：D88.小張在某單位是負責事信息安全風險管理方面工作的部門領(lǐng)導,主要負責對所在行業(yè)的新人進行基本業(yè)務素質(zhì)培訓。一次培訓的時候,小張主要負責講解風險評估工作形式,小張認為:1.風險評估工作形式包括:自評估和檢查評估:2.自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行風險評估:3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風險評估:4.對信息系統(tǒng)的風險評估方式只能是“自評估”和“檢查評估”中的一個,非此即彼.請問小張的所述論點中錯誤的是哪項:A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點參考答案：D89.小王在學習定量風險評估?法后，決定試著為單位機房計算火災的風險大小。假設(shè)單位機房的總價值為400萬元人民幣，暴露系數(shù)（ExposureFactor,EF）是25%，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.2，那么小王計算的年度預期損失（AnnualizedLossExpectancy，ALE）應該是A、400萬元人民幣B、20萬元人民幣C、100萬元人民幣D、180萬元人民幣參考答案：B90.小牛在對某公司的信息系統(tǒng)進行風險評估后,因考慮到該業(yè)務系統(tǒng)中部分涉及金融交易的功能模塊風險太高,他建議該公司以放棄這個功能模塊的方式來處理該風險。請問這種風險處置的方法是（）。A、放棄風險B、規(guī)避風險C、降低風險D、轉(zhuǎn)移風險參考答案：B91.小李在學習信息安全管理體系的有關(guān)知識后,按照自己的理解畫了一張圖來描述安全管理過程,但是他存在一個空白處未填寫,請幫他選擇一個最合適的選項（）保持和改進ISMS→規(guī)劃和建立ISMS→（）→監(jiān)視和評審ISMS→監(jiān)控和反饋ISMSA、實施和執(zhí)行ISMSB、執(zhí)行和檢查ISMSC、溝通和咨詢ISMS參考答案：B92.小李在上網(wǎng)時不小心點開了假冒某銀行的釣魚網(wǎng)站，誤輸入了銀行賬號與密碼損失上千元，他的操作如右圖所示，他所受到的攻擊是（）A、ARP欺騙B、DNS欺騙C、IP欺騙D、TCP會話參考答案：B93.小李在某單位是負責信息安全風險管理方面工作的部門領(lǐng)導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質(zhì)培訓，一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項：A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風險分析技術(shù)主要指在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化參考答案：B94.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。A、監(jiān)控和反饋ISMSB、批準和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS參考答案：C95.小李既屬于“一般用戶”組，又屬于“高級用戶”組，現(xiàn)要訪問“工作文檔”目錄，已知“一般用戶”組對于此文件夾的操作權(quán)限是“只讀”，“高級用戶”組對此文件夾的操作權(quán)限是“可寫”，那么小李現(xiàn)在可對“工作文檔”目錄進行什么操作？A、僅可讀B、僅可寫C、既可讀又可寫D、權(quán)限沖突，無法做任何操作參考答案：C96.小華在某電子商務公司工作,某天他在查看信息系統(tǒng)設(shè)計文檔時,發(fā)現(xiàn)其中標注該信息系統(tǒng)的RPO（恢復點目標）指標為3小時.請問這意味著:.A、若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災難恢復工作后,系統(tǒng)至多能丟失3小時的業(yè)務數(shù)據(jù)B、若該信息系統(tǒng)發(fā)生重大信息安全事件,工作人員在完成處置和災難恢復工作后,系統(tǒng)運行3小時后能恢復全部數(shù)據(jù)C、該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應在3小時內(nèi)完成應急處理工作,并恢復對外運行D、該信息系統(tǒng)發(fā)生重大信息安全事件后,工作人員應在3小時內(nèi)到位,完成問題定位和應急處理工作參考答案：A97.小陳某電器城購買了一臺冰箱，并留下了個人姓名、電話和電子郵件地址等信息，第二天他收了一封郵件他中獎的郵件，查看該郵件后他按照提示操作繳納中獎稅款后并沒有得到中獎金，再成才得知電器城共沒有中獎的活動、在此案例中，下面描述量誤的是（）A、小陳應當注意保護自已的隱私，沒有必要告訴別人的信息不要登記和公和給別人B、小陳錢被偷走了，這類網(wǎng)絡(luò)犯罪哪案件也應該向公安局報案C、郵件服務運營高商通過技術(shù)手段，可以在一定程度上阻止此類的釣魚郵件和明哄騙郵件D、小陳應當向電器城索，追回損失參考答案：D98.下系統(tǒng)工程說法錯誤的是：A、系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)B、系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法D、系統(tǒng)工程是一種方法論參考答案：A99.下述選項中對于“風險管理”的描述正確的是：A、安全必須是完美無缺、面面俱到的。B、最完備的信息安全策略就是最優(yōu)的風險管理對策。C、在解決、預防信息安全問題時，要從經(jīng)濟、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D、防范不足就會造成損失；防范過多就可以避免損失。參考答案：C100.下面有關(guān)能力成熟度模型的說法錯誤的是：A、能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B、使用過程能力方案時，可以靈活選擇評估和改進哪個或那些過程域C、使用組織機構(gòu)成熟度方案時，每一個能力級別都對應于一組已經(jīng)定義好的過程域D、SSE-CMM是一種屬于組織能力方案（Staged）的針對系統(tǒng)安全工程的能力成熟度模型參考答案：D101.下面哪一種物理訪問控制能夠?qū)Ψ鞘跈?quán)訪問提供最高級別的安全？A、bolting門鎖B、Cipher密碼鎖C、電子門鎖D、指紋掃描器參考答案：D102.下面哪一項不是風險評估的過程？A、風險因素識別B、風險程度分析C、風險控制選擇D、風險等級評價參考答案：C103.下面哪一項不是安全編程的原則：A、盡可能使用高級語言進行編程B、盡可能讓程序只實現(xiàn)需要的功能C、不要信任用戶輸入的數(shù)據(jù)D、盡可能考慮到意外的情況，并設(shè)計妥善的處理方法參考答案：A104.下面哪一項不是ISMSPlan階段的工作？A、定義ISMS方針B、實施信息安全風險評估C、實施信息安全培訓D、定義ISMS范圍參考答案：C105.下面哪一個是定義深度防御安全原則的例子？A、使用由兩個不同提供商提供的防火墻檢查進入網(wǎng)絡(luò)的流量B、在主機上使用防火墻和邏輯訪問控制來控制進入網(wǎng)絡(luò)的流量C、在數(shù)據(jù)中心建設(shè)中不使用明顯標志D、使用兩個防火墻檢查不同類型進入網(wǎng)絡(luò)的流量參考答案：A106.下面哪條不屬于SSE-CMM中能力級別3“充分定義”級的基本內(nèi)容：A、改進組織能力B、定義標準過程C、協(xié)調(diào)安全實施D、執(zhí)行已定義的過程參考答案：A107.下面哪個組合不是是信息資產(chǎn)A、硬件、軟件、文檔資料B、關(guān)鍵人員C、組織提供的信息服務D、桌子、椅子參考答案：D108.下面哪個是管理業(yè)務連續(xù)性計劃中最重要的方面?A、備份站點安全以及距離主站點的距離。B、定期測試恢復計劃C、完全測試過的備份硬件在備份站點可有D、多個網(wǎng)絡(luò)服務的網(wǎng)絡(luò)連接是可用參考答案：B109.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:A、國家標準《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型）（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入?yún)⒖即鸢福篋110.下面對自由訪問控制（DAC）描述正確的是A、比較強制訪問控制而言不太靈活B、基于安全標簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用參考答案：D111.下面對信息安全漏洞的理解中，錯誤的是A、討論漏洞應該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使?等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很多的經(jīng)濟損失D、由于人類思維誰能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的參考答案：B112.下面對“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達到攻擊目標D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補丁的漏洞都是零日漏洞參考答案：D113.下列哪一些對信息安全漏洞的描述是錯誤的？A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上（如TOE中、過程中等）。C、具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點參考答案：D114.下列哪一項不屬于Fuzz測試的特性？A、主要針對軟件漏洞或可靠性錯誤進行測試B、采用大量測試用例進行激勵、響應測試C、一種試探性測試方法，沒有任何理論依據(jù)D、利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標產(chǎn)生異常參考答案：C115.下列哪個是能執(zhí)行系統(tǒng)命令的存儲過程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread參考答案：C116.下列關(guān)于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼參考答案：C117.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分,因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機構(gòu)中應建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”。參考答案：D118.下列安全控制措施的分類中,哪個分類是正確的（P-預防性的,D-檢測性的以及,C-糾正性的控制）:網(wǎng)絡(luò)防火墻;RAID級別3;銀行賬單的監(jiān)督復審;分配計算機用戶標識;交易日志;A、P,P,C,D,andC;B、D,C,C,D,andD;C、P,C,D,P,andDD、P,D,P,P,andC;參考答案：C119.物理安全是一個非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體，其安全性對信息系統(tǒng)至關(guān)重要。下列選項中，對設(shè)施安全的保障的描述正確的是（）。A、安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問控制機制C、由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進行邊界防護D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機、數(shù)字式控制錄像設(shè)備，后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等參考答案：B120.我國正式公布了電子簽名法，數(shù)字簽名機制用于實現(xiàn)（）需求。A、抗否認B、保密性C、完整性D、可用性參考答案：A121.我國標準《信息安全風險管理指南》（CB/Z24364）給出了信息安全風險管理的內(nèi)容和過程?？梢杂孟聢D來表示，圖中空白處應該填寫（）A、風險計算B、風險評估C、風險預測D、風險處理參考答案：D122.文檔體系建設(shè)是信息安全管理體系（ISMS）建設(shè)的直接體現(xiàn)，下列說法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制C、組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應當依據(jù)風險評估的結(jié)果建立參考答案：B123.違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的，處（）日以下拘留。A、5B、15C、20D、30參考答案：A124.為了預防邏輯炸彈，項目經(jīng)理采取的最有效的措施應該是A、對每日提交的新代碼進行人工審計B、代碼安全掃描C、安全意識教育D、安全編碼培訓教育參考答案：A125.為了預防計算機病毒，應采取的正確措施是（）。A、每天都對計算機硬盤和軟件進行格式化B、不用盜版軟件和來歷不明的軟盤C、不同任何人交流D、不玩任何計算機游戲參考答案：B126.為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能？A、人際關(guān)系技能B、項目管理技能C、技術(shù)技能D、溝通技能參考答案：D127.為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容？A、完整性約束條件B、完整性檢查機制C、完整性修復機制D、違約處理機制參考答案：D128.為了解風險和控制風險，應當及時進行風險評估活動，我國有關(guān)文件指出：風險評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項中描述錯誤的是A、自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、自評估應參照相應標準、依據(jù)制定的評估方案和評估準則，結(jié)合系統(tǒng)特定的安全要求實施C、自評估應當是由發(fā)起單位自行組織力量完成，而不應委托社會風險評估服務機構(gòu)來實施D、周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統(tǒng)變化部分進行參考答案：C129.為了不斷完善一個組織的信息安全管理，應對組織的信息安全管理方法及實施情況進行獨立評審，這種獨立評審。A、必須按固定的時間間隔來進行B、應當由信息系統(tǒng)的運行維護人員發(fā)起C、可以由內(nèi)部審核部門或?qū)I(yè)的第三方機構(gòu)來實施D、結(jié)束后，評審者應組織針對不符合安全策略的問題設(shè)計和實施糾正措施參考答案：C130.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應用系統(tǒng)進行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是（）。A、由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復系統(tǒng)和數(shù)據(jù)B、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試C、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況D、滲透測試應當經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟參考答案：B131.為了保障網(wǎng)絡(luò)安全,維護網(wǎng)絡(luò)安全空間主權(quán)和國家安全、社會公共利益,保護公民、法人和其他組織的合法權(quán)益,促進經(jīng)濟社會信息化健康發(fā)展,加強在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理,2015年6月,第十二屆全國人大常委會第十五次會議初次審議了一部法律草案,并與7月6日起在網(wǎng)上全文公布,向社會公開征求意見,這部法律草案是（）A、《中華人民共和國保守國家秘密法（草案）》B、《中華人民共和國網(wǎng)絡(luò)安全法（草案）》C、《中華人民共和國國家安全法（草案）》D、《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》參考答案：B132.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并將編制任務交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A、信息安全需求報告應依據(jù)該公眾服務信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫B(tài)、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)C、信息安全需求描述報告應當基于信息安全風險評估結(jié)果和有關(guān)政策法規(guī)和標準的合規(guī)性要求得到D、信息安全需求描述報告的主題內(nèi)容可以按照技術(shù)，管理和工程等方面需求展開編寫參考答案：A133.微軟提出了stride模型，其中R是（Repudiation抵賴）的縮寫，關(guān)于此項安全要素，下面說法錯誤的是？A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅為R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?，軟件系統(tǒng)中的這種威脅為R威脅C、對于R威脅，可以選擇使用如強認證、數(shù)字簽名、安全審計等技術(shù)措施來解決D、對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術(shù)措施來解決參考答案：D134.網(wǎng)絡(luò)與信息安全應急預案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預先制定的行動計劃或應急對策。應急預案的實施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應急響應工作流程圖中,空白方框中從右到左依次填入的是（）A、應急響應專家小組、應急響應技術(shù)保障小組、應急響應實施小組、應急響應日常運行小組B、應急響應專家小組、應急響應實施小組、應急響應技術(shù)保障小組、應急響應日常運行小組C、應急響應技術(shù)保障小組、應急響應專家小組、應急響應實施小組。應急響應日常運行小組D、應急響應技術(shù)保障小組、應急響應專家小組、應急響應日常運行小組、應急響應實施小組參考答案：A135.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務安排，他依據(jù)已有的資產(chǎn)列表，逐個分析可能危害這些資產(chǎn)的主體，動機，途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個工作屬于下面哪一個階段的工作（）A、資產(chǎn)識別并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、確認已有的安全措施并賦值參考答案：C136.私有IP地址是一段保留的IP地址，只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址下面描述正確的是？A、A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C、A類、B類和C類地址中都可以設(shè)置私有地址D、A類、B類和C類地址中都沒有私有地址參考答案：C137.數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是（）。A、多一道加密工序使密文更難破譯B、提高密文的計算速度C、縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度D、保證密文能正確還原成明文參考答案：C138.數(shù)位物件識別號（Digital0bjectIdentifier,簡稱DOI）是一套識別數(shù)位資源的機制，涵括的對象有視頻、報告或書籍等等。它既有一套為資源命名的機制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個典型的DOI識別號，10.1006/jmbi.1998.2354，下列選項錯誤的是（）A、“10.1006”是前級，由國際數(shù)位物件識別號基金會確定B、“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C、“1006是注冊代理機構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機構(gòu)D、后綴部分為:jmbi.1998.2354，由資源發(fā)行者自行指定，用于區(qū)分一個單獨的數(shù)字資料，不具有唯一性參考答案：D139.數(shù)據(jù)在進行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進行封裝,TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層參考答案：B140.數(shù)據(jù)庫是一個單位或是一個應用領(lǐng)城的通用數(shù)據(jù)處理系統(tǒng)，它存儲的是屬于企業(yè)和事業(yè)部門、團體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的，按一定的數(shù)據(jù)模型進行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系，從而可提供一切必要的存取路徑，且數(shù)據(jù)不再針對某一應用，而是面向全組織，具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng)，毫無疑間會成為信息安全的重點防護對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問，對數(shù)據(jù)庫安全要求不包括下列（）A、向所有用戶提供可靠的信息服務B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對數(shù)據(jù)庫的訪問D、能跟蹤記錄，以便為合規(guī)性檢查、安全責任審查等提供證據(jù)和跡象等參考答案：A141.授權(quán)訪問信息資產(chǎn)的責任人應該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管參考答案：C142.實現(xiàn)源的不可否認業(yè)務中，第三方既看不到原數(shù)據(jù)，又節(jié)省了通信資源的是（）A、源的數(shù)字簽字B、可信賴第三方的數(shù)字簽字C、可信賴第三方對消息的雜湊值進行簽字D、可信賴第三方的持證參考答案：C143.實施災難恢復計劃之后,組織的災難前和災難后運營成本將:A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務的性質(zhì)）參考答案：C144.實施信息系統(tǒng)訪問控制首先需要進行如下哪一項工作？A、信息系統(tǒng)資產(chǎn)分類B、信息系統(tǒng)資產(chǎn)標識C、創(chuàng)建訪問控制列表D、梳理信息系統(tǒng)相關(guān)信息資產(chǎn)參考答案：D145.實施ISMS內(nèi)審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關(guān)要求，以下哪個不是？A、約定的標準及相關(guān)法律的要求B、已識別的安全需求C、控制措施有效實施和維護D、ISO13335風險評估方法參考答案：D146.社會工程學是（）與（）結(jié)合的學科，準確來說，它不是一門科學，因為它不能總是重復合成功，并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時間流逝最終都會失效，因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會工程學利用的是人性的“弱點”，而人性是（）,這使得它幾乎是永遠有效的（）A、網(wǎng)絡(luò)安全；心理學；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學；攻擊方式；永恒存在的參考答案：A147.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GR/T22080標難要求，其信息安全控制措施通常需要在符合性方面實施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪項控制目標（）A、符合法律要求B、符合安全策略和標準以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務要求、用戶訪問管理參考答案：D148.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應放在安全區(qū)域內(nèi)并受到相應保護。該目標可以通過以下控制措施來實現(xiàn),不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護。外部和環(huán)境威脅的安全防護C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全參考答案：D149.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項？A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS參考答案：D150.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包括對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)負責人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理參考答案：D151.如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接受者，這種情況屬于哪一種攻擊？A、重放攻擊B、Smurt攻擊C、字典攻擊D、中間人攻擊參考答案：D152.容災的目的和實質(zhì)是（）。A、A數(shù)據(jù)備份B、B心理安慰C、C保持信息系統(tǒng)的業(yè)務持續(xù)性D、D系統(tǒng)的有益補充參考答案：C153.人員入職過程中，以下做法不正確的是？A、入職中簽署勞動合同及保密協(xié)議。B、分配工作需要的最低權(quán)限。C、允許訪問企業(yè)所有的信息資產(chǎn)。D、進行安全意思培訓。參考答案：C154.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”參考答案：B155.評估IT風險被很好的到達，可以通過：A、評估IT資產(chǎn)和IT項目總共的威脅B、用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C、審查可比較的組織出版的損失數(shù)據(jù)D、一句審計拔高審查IT控制弱點參考答案：A156.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）A、由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞，為了避免安全風險，應對單位所有的服務器和客戶端盡快安裝補丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害，所以可以先不做處理C、對于重要的服務，應在測試環(huán)境中安裝并確認補丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D、對于服務器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補丁，用戶終端計算機由于沒有重要數(shù)據(jù)，由終端自行升級參考答案：C157.內(nèi)部審核的最主要目的是A、檢查信息安全控制措施的執(zhí)行情況B、檢查系統(tǒng)安全漏洞C、檢查信息安全管理體系的有效性D、檢查人員安全意識參考答案：A158.目前對于大量數(shù)據(jù)存儲來說，容量大、成本低、技術(shù)成熟、廣泛使用的介質(zhì)是（）。A、磁盤B、磁帶C、光盤D、軟盤參考答案：B159.目前，很多行業(yè)用戶在進行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是:A、有助于建立和實施信息安全產(chǎn)品的市場準入制度B、對用戶采購信息安全產(chǎn)品，設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學公正的專業(yè)指導C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務的組織提供嚴格的規(guī)范引導和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境參考答案：D160.某政府機構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議,該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改,安全專家提出使用Http下載代替FTP功能以解決以上問題,該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的（）A、程序員在進行安全需求分析時,沒有分析出OA系統(tǒng)開發(fā)的安全需求B、程序員在軟件設(shè)計時,沒遵循降低攻擊面的原則,設(shè)計了不安全的功能C、程序員在軟件編碼時,缺乏足夠的經(jīng)驗,編寫了不安全的代碼D、程序員在進行軟件測試時,沒有針對軟件安全需求進行安全測試參考答案：B161.某系統(tǒng)的/.rhosts文件中，存在一行的內(nèi)容為“++”，并且開放了rlogin服務，則有可能意味著：A、任意主機上，只有root用戶可以不提供口令就能登錄該系統(tǒng)B、任意主機上，任意用戶都可以不提供口令就能登錄該系統(tǒng)C、只有本網(wǎng)段的任意用戶可以不提供口令就能登錄該系統(tǒng)D、任意主機上，任意用戶，都可以登錄，但是需要提供用戶名和口令參考答案：B162.某系統(tǒng)被攻擊者入侵,初步懷疑為管理員存在弱口令,攻擊者從遠程終端以管理員身份登錄進行系統(tǒng)進行了相應的破壞,驗證此事應查看.（）A、系統(tǒng)日志B、應用程序日志C、安全日志D、IIS日志參考答案：C163.某網(wǎng)站為了更好向用戶提供服務，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題參考答案：D164.某集團公司根據(jù)業(yè)務需要，在各地分支機構(gòu)部署前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應采取以下哪項處理措施?A、由于共享導致了安全問題，應直接關(guān)閉日志共享，禁止總部提取日志進行分析B、為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風險C、日志的存在就是安全風險，最好的辦法就是取消日志，通過設(shè)置讓前置機不記錄日志D、只允許特定的IP地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間參考答案：D165.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數(shù)字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則A、最小特權(quán)原則B、職責分離原則C、縱深防御原則D、最少共享機制原則參考答案：C166.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段,為了保證用戶帳戶安全,項目開發(fā)人員決定用戶登錄時除了用戶名口令認證方式外,還加入基于數(shù)字證書的身份認證功能,同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中,請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則:A、最小特權(quán)原則B、職責分離原則C、縱深防御原則D、最少共享機制原則參考答案：C167.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusienDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應當優(yōu)先考慮的是A、選購當前技術(shù)最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻參考答案：D168.某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔該項目的全程監(jiān)理工作,目前,各個應用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗收申請,監(jiān)理公司需要對A公司提交的軟件配置文件進行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔:A、項目計劃書B、質(zhì)量控制計劃C、評審報告D、需求說明書參考答案：D169.某電子商務網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅？A、網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息參考答案：D170.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的（）A、小張服務態(tài)度不好，如果把李強的郵件收下來親自教給李強就不會發(fā)生這個問題B、事件屬于服務器故障，是偶然事件，影響單位領(lǐng)導申請購買新的服務器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應向單位領(lǐng)導申請升級郵件服務軟件參考答案：C171.某單位的信息安全主管部門在學習我國有關(guān)信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導，其中描述錯誤的是（）A、檢查評估可依據(jù)相關(guān)標準的要求，實施完整的風險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點參考答案：B172.某IT公司針對信息安全事件已經(jīng)建立了完善的預案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應急預案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO,請你指出存在問題的是哪個總結(jié)?A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進行應急演練工作，因此今年的僅制定了應急演練相關(guān)流程及文檔，為了不影響業(yè)務，應急演練工作不舉行B、公司制定的應急演練流程包括應急事件通報、確定應急事件優(yōu)先級、應急響應啟動實施、應急響應時間后期運維、更新現(xiàn)有應急顧案五個階段，流程完善可用C、公司應急預案包括了基礎(chǔ)環(huán)境類、業(yè)務系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應急事件類型D、公司應急預案對事件分類依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，分為7個基本類別，預案符合國家相關(guān)標準參考答案：A173.密碼是一種用來混淆的技術(shù)，使用者希望正常的（可識別的）信息轉(zhuǎn)變?yōu)闊o法識別的信息。但這種無法識別信息部分是可以再加工并恢復和破解的，小剛是某公司新進的員工，公司要求他注冊一個公司網(wǎng)站的賬號，小剛使用一個安全一點的密碼，請問以下選項中哪個密碼是最安全（）A、使用和與用戶名相同的口令B、選擇可以在任何字典或語言中找到的口令C、選擇任何和個人信息有關(guān)的口令D、采取數(shù)字，字母和特殊符號混合并且易于記憶參考答案：D174.美國國家標準與技術(shù)研究院（NationalInstituteofStandardsandTechnology,NIST）隸屬美國商務部，NIST發(fā)布的很多關(guān)于計算機安全的指南文檔。下面哪個文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology-Securitytechniques-Informtionsecuritymanagementsystems-Requirements》B、X.509《InformationTechno