【必做】CISP注冊(cè)信息安全專業(yè)人員歷年考試真題庫(kù)及答案1.作為信息安全治理的成果，戰(zhàn)略方針提供了：A、企業(yè)所需的安全要求B、遵從最佳實(shí)務(wù)的安全基準(zhǔn)C、日?；贫然慕鉀Q方案D、風(fēng)險(xiǎn)暴露的理解參考答案：A2.組織與供給商協(xié)商服務(wù)水平協(xié)議，下面哪一個(gè)最先發(fā)生？A、制定可行性研究.B、檢查是否符合公司策略.C、草擬服務(wù)水平協(xié)議.D、草擬服務(wù)水平要求參考答案：B3.組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問(wèn)題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采取（）.當(dāng)供應(yīng)商提供的服務(wù)，包括對(duì)（）方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理。A、供應(yīng)商;服務(wù)管理;信息安全;合適的措施;信息安全B、服務(wù)管理;供應(yīng)商;信息安全;合適的措施;信息安全C、供應(yīng)商;信息安全;服務(wù)管理;合適的措施;信息安全D、供應(yīng)商;合適的措施;服務(wù)管理;信息安全;信息安全參考答案：A4.組織已經(jīng)完成了年度風(fēng)險(xiǎn)評(píng)估，關(guān)于業(yè)務(wù)持續(xù)計(jì)劃組織應(yīng)執(zhí)行下面哪項(xiàng)工作？A、回憶并評(píng)價(jià)業(yè)務(wù)持續(xù)計(jì)劃是否恰當(dāng)B、對(duì)業(yè)務(wù)持續(xù)計(jì)劃進(jìn)行完整的演練C、對(duì)職員進(jìn)行商業(yè)持續(xù)計(jì)劃的培訓(xùn)D、將商業(yè)持續(xù)計(jì)劃通報(bào)關(guān)鍵聯(lián)絡(luò)人參考答案：A5.組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？A、應(yīng)急計(jì)劃B、遠(yuǎn)程方法C、電腦安全程序D、電子郵件個(gè)人隱私參考答案：C6.自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？A、具有較高的安全性B、控制粒度較大C、配置效率不高D、具有較強(qiáng)的靈活性參考答案：D7.自主訪問(wèn)控制模型（DAC）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。A、ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便B、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便C、ACL在增加客體時(shí)，增加相關(guān)的訪問(wèn)控制權(quán)限較為簡(jiǎn)單D、ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)參考答案：C8.自2004年1月起，國(guó)內(nèi)各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)由以下哪個(gè)組織提出工作意見(jiàn)，協(xié)調(diào)一致后由該組織申報(bào)A、全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC485）B、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）C、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)參考答案：B9.注冊(cè)或者瀏覽社交類網(wǎng)站時(shí)，不恰當(dāng)?shù)淖龇ㄊ牵海ǎ〢、盡量不要填寫(xiě)過(guò)于詳細(xì)的個(gè)人資料B、不要輕易加社交網(wǎng)站好友C、充分利用社交網(wǎng)站的安全機(jī)制D、信任他人轉(zhuǎn)載的信息參考答案：D10.職責(zé)別離的主要目的是？A、防止一個(gè)人從頭到尾整個(gè)控制某一交易或者活動(dòng)B、不同部門的雇員不可以在一起工作C、對(duì)于所有的資源都必須有保護(hù)措施D、對(duì)于所有的設(shè)備都必須有操作控制措施參考答案：A11.針對(duì)軟件的拒絕服務(wù)攻擊時(shí)通過(guò)消耗系統(tǒng)資源是軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式？A、攻擊者利用軟件存在邏輯錯(cuò)誤，通過(guò)發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重賬套查詢?cè)跀?shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過(guò)發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫(kù)相應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接的消耗軟件并發(fā)生連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn)D、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn)參考答案：D12.早期IIS存在Unicode編碼漏洞，可以使用形如Http：//8/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir的方式遠(yuǎn)程通過(guò)IIS執(zhí)行系統(tǒng)命令，以下哪種方式可以解決此問(wèn)題（）A、防火墻B、入侵檢測(cè)系統(tǒng)C、安裝IIS安全補(bǔ)丁D、垃圾郵件過(guò)濾系統(tǒng)參考答案：C13.在以下標(biāo)準(zhǔn)中，屬于推薦性國(guó)家標(biāo)準(zhǔn)的是（）A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X參考答案：A14.在一個(gè)中斷和災(zāi)難事件中，以下哪一項(xiàng)提供了持續(xù)運(yùn)營(yíng)的技術(shù)手段？A、負(fù)載平衡B、硬件冗余C、分布式備份D、高可用性處理參考答案：B15.在信息安全管理體系的實(shí)施過(guò)程中，管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）。A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量、計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要收，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確信息安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確參考答案：D16.在信息安全管理日常工作中，需要與哪些機(jī)構(gòu)保持聯(lián)系？A、政府部門B、監(jiān)管部門C、外部專家D、以上都是參考答案：D17.在信息安全管理過(guò)程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的（）。A、背景建立的依據(jù)是國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告參考答案：B18.在信息安全管理的實(shí)施過(guò)程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程、確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確參考答案：D19.在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)用戶進(jìn)行認(rèn)證識(shí)別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過(guò)程中常常使用靜態(tài)口令和動(dòng)態(tài)口令。下面描述中錯(cuò)誤的是（）A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過(guò)程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對(duì)口令進(jìn)行簡(jiǎn)單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過(guò)重放攻擊來(lái)欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動(dòng)態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長(zhǎng)的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測(cè)出下次要使用的口令D、通常，動(dòng)態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型參考答案：C20.在網(wǎng)絡(luò)安全體系構(gòu)成要素中“響應(yīng)”指的是（）。A、環(huán)境響應(yīng)和技術(shù)響應(yīng)B、一般響應(yīng)和應(yīng)急響應(yīng)C、系統(tǒng)響應(yīng)和網(wǎng)絡(luò)響應(yīng)D、硬件響應(yīng)和軟件響應(yīng)參考答案：B21.在提供給一個(gè)外部代理商訪問(wèn)信息處理設(shè)施前，一個(gè)組織應(yīng)該怎么做?A、外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS審計(jì)。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來(lái)自外部代理商的任何訪問(wèn)必須限制在?；饏^(qū)（DMZ）D、該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估，并制定和實(shí)施適當(dāng)?shù)目刂?。參考答案：D22.在數(shù)字信封中，綜合使用對(duì)稱加密算法和公鑰加密算法的主要原因是：A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性B、綜合考慮對(duì)稱密鑰算法的密鑰分發(fā)難題和公鑰算法加解密效率較低的難題而采取的一種折中做法C、兩種加密算法的混用，可以提高加密的質(zhì)量，這是我國(guó)密碼政策所規(guī)定的要求D、數(shù)字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認(rèn)他收到了該信息，即抗接受方抵賴參考答案：B23.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是（）A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)參考答案：C24.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的：A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過(guò)程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙參考答案：C25.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過(guò)程是這樣的：（1）用戶通過(guò)HTTP協(xié)議訪問(wèn)信息系統(tǒng)；（2）用戶在登錄頁(yè)面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成。可以看出，這個(gè)鑒別過(guò)程屬于（）。A、雙向鑒別B、三向鑒別C、第三方鑒別D、單向鑒別參考答案：D26.在某信息系統(tǒng)采用的訪問(wèn)控制策略中，如果可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)對(duì)個(gè)體實(shí)施控制，且各級(jí)領(lǐng)導(dǎo)可以同時(shí)修改它的訪問(wèn)控制表，那么該系統(tǒng)的訪問(wèn)控制模型采用的是自主訪問(wèn)控制機(jī)制的訪問(wèn)許可模式是（）。A、自由型B、有主型C、樹(shù)狀型D、等級(jí)性參考答案：D27.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)參考答案：A28.在某個(gè)公司中，以下哪個(gè)角色最適合評(píng)估信息安全的有效性?A、公司的專家B、業(yè)務(wù)經(jīng)理C、IT審計(jì)員D、信息安全經(jīng)理參考答案：C29.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問(wèn)控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用參考答案：B30.在進(jìn)行業(yè)務(wù)連續(xù)性檢測(cè)時(shí)，以下哪一個(gè)是被認(rèn)為最重要的審查？A、熱站的建立和有效是必要B、業(yè)務(wù)連續(xù)性手冊(cè)是有效的和最新的C、保險(xiǎn)責(zé)任范圍是適當(dāng)?shù)牟⑶冶ＹM(fèi)有效D、及時(shí)進(jìn)行介質(zhì)備份和異地存儲(chǔ)參考答案：D31.在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候，發(fā)現(xiàn)預(yù)測(cè)可能造成的風(fēng)險(xiǎn)的經(jīng)濟(jì)損失時(shí)有一定困難。為了評(píng)估潛在的損失，應(yīng)該：A、計(jì)算相關(guān)信息資產(chǎn)的攤銷費(fèi)用B、計(jì)算投資的回報(bào)C、應(yīng)用定性的方法進(jìn)行評(píng)估D、花費(fèi)必要的時(shí)間去評(píng)估具體的損失的金額參考答案：C32.在極限測(cè)試過(guò)程中，貫穿始終的是（）A、單元測(cè)試和集成測(cè)試B、單元測(cè)試和系統(tǒng)測(cè)試C、集成測(cè)試和驗(yàn)收測(cè)試D、集成測(cè)試和系統(tǒng)測(cè)試參考答案：C33.在國(guó)家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)參考答案：B34.在國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）中描述了信息系統(tǒng)安全保障模型，下面對(duì)這個(gè)模型理解錯(cuò)誤的是（）A、該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B、該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過(guò)程C、該模型強(qiáng)調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過(guò)綜合技術(shù)、管理、工程和人員的安全保障來(lái)實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D、模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性參考答案：D35.在國(guó)家標(biāo)準(zhǔn)，CB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面？（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)參考答案：B36.在對(duì)安全控制進(jìn)行分析時(shí)，下面哪個(gè)描述是不準(zhǔn)確的?A、對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的;B、應(yīng)確保選擇對(duì)業(yè)務(wù)效率影響最小的安全措施C、選擇好實(shí)施安全的時(shí)機(jī)和位置，提高安全控制的有效性;D、仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來(lái)的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng);參考答案：B37.在Windows系統(tǒng)中，存在默認(rèn)共享功能，方便了局域網(wǎng)用戶使用，但對(duì)個(gè)人用戶來(lái)說(shuō)有安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過(guò)共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí)，需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是（）A、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項(xiàng)中的“Autodisconnect”項(xiàng)鍵值改為0B、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項(xiàng)中的“AutoShareServer”項(xiàng)鍵值改為0C、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項(xiàng)中的“AutoShareWks”項(xiàng)鍵值改為0D、在命令窗口中輸入命令，刪除C盤默認(rèn)共享：netshareC/del參考答案：A38.在Windows系統(tǒng)中，存在默認(rèn)共享功能，但對(duì)個(gè)人用戶來(lái)說(shuō)存安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上任何人都可以通過(guò)共享使用或修改。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí)，需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是（）A、將“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\lenmanservorVnaraneters”項(xiàng)中的“Autodisconnect”項(xiàng)鍵值改為0B、將“HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Services\1nmanserver\paraneters項(xiàng)中的“AutoShareServer”項(xiàng)鍵值改為0C、將“HKEYLOCALMACHINESYSTEM\CurrentControlSetServices\lenmanserver\paraneters”項(xiàng)中的”AutoShareWks”項(xiàng)鍵值改為0D、在命令窗口中輸入命令，刪除C盤默認(rèn)共享：netshareC/del參考答案：A39.在windowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問(wèn)日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志參考答案：B40.在Linux操作系統(tǒng)中，為了授權(quán)用戶具有管理員的某些個(gè)性需求的權(quán)限所采取的措施是什么？A、告訴其他用戶root密碼B、將普通用戶加入到管理員組C、使用visudo命令授權(quán)用戶的個(gè)性需求D、創(chuàng)建單獨(dú)的虛擬賬戶參考答案：C41.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問(wèn)控制D、路由控制參考答案：B42.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，有關(guān)保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無(wú)關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)參考答案：C43.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，以下描述錯(cuò)誤的是A、信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，不僅僅要考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境，同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D、運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)參考答案：C44.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應(yīng)該分類、分級(jí)B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個(gè)時(shí)期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D、信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生參考答案：C45.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用參考答案：B46.有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯(cuò)誤的是A、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作，根據(jù)研究問(wèn)題涉及到的學(xué)科和專業(yè)范圍，組成一個(gè)知識(shí)結(jié)構(gòu)合理的專家體系B、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo)，采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法C、系統(tǒng)工程研究問(wèn)題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計(jì)的程序D、系統(tǒng)工程的基本特點(diǎn)，是需要把研究對(duì)象解構(gòu)為多個(gè)組成部分分別獨(dú)立研究參考答案：D47.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SEE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是（）A、BP不限定于特定的方法或工具，不同的業(yè)務(wù)背景中可以使用不同的方法B、BP不是根據(jù)廣泛的現(xiàn)有資料、實(shí)踐和專家意見(jiàn)綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過(guò)程區(qū)域（ProcessAreas，PA）的強(qiáng)制項(xiàng)參考答案：A48.有關(guān)國(guó)家秘密，錯(cuò)誤的是：A、國(guó)家秘密是關(guān)系國(guó)家安全和利益的事項(xiàng)B、國(guó)家秘密的確定沒(méi)有正式的法定程序C、除了明確規(guī)定需要長(zhǎng)期保密的，其他的園家秘密都是有保密期限的D、國(guó)家秘密只限一定范圍的人知悉參考答案：B49.有關(guān)Kerberos說(shuō)法以下哪項(xiàng)是正確的？A、它利用公鑰加密技術(shù)。B、它依靠對(duì)稱密碼技術(shù)。C、它是第二方的認(rèn)證系統(tǒng)。D、票據(jù)授予之后將加密數(shù)據(jù)，但以明文方式交換密碼參考答案：B50.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）A、要求開(kāi)發(fā)人員采用敏捷開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā)B、要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題參考答案：A51.由于發(fā)生了一起針對(duì)服務(wù)器口令暴力破解事件，管理員決定對(duì)設(shè)置賬戶鎖定策略進(jìn)行配置，他的策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘：賬戶鎖定時(shí)間10分鐘賬戶鎖定策略3次無(wú)效登錄：以下關(guān)于以上策略說(shuō)法正確的是？A、設(shè)置賬戶鎖定策略，無(wú)法再進(jìn)行口令暴力量破解，所有驗(yàn)證密碼的用戶安全較強(qiáng)B、如果正確用戶錯(cuò)誤驗(yàn)證3次密碼，那么該賬戶被鎖定10分鐘，10分鐘內(nèi)輸入正確的密碼，也無(wú)法登錄C、如果正常用戶連續(xù)輸入密碼猜解3次，那么該賬戶被鎖定5分鐘，5分鐘內(nèi)。。。也無(wú)法登錄D、攻擊者進(jìn)行口令猜解時(shí)，只要連續(xù)輸錯(cuò)3次，該賬戶就被鎖定10分鐘，而正常用戶登錄不受影響參考答案：B52.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置帳戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：A、設(shè)置賬戶鎖定策略后，攻擊者無(wú)法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的擁護(hù)就會(huì)被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無(wú)法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該擁護(hù)帳號(hào)被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無(wú)法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響參考答案：B53.用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（）。A、加密機(jī)制和數(shù)字簽名機(jī)制B、加密機(jī)制和訪問(wèn)控制機(jī)制C、數(shù)字簽名機(jī)制和路由控制機(jī)制D、訪問(wèn)控制機(jī)制和路由控制機(jī)制參考答案：A54.用于查看/var/log/wtmp日志的命令是A、lastB、lastlogC、lastwtmpD、lastmp參考答案：A55.擁有電子資金轉(zhuǎn)帳銷售點(diǎn)設(shè)備的大型連鎖商場(chǎng)，有中央通信處理器連接銀行網(wǎng)絡(luò)，對(duì)于通信處理機(jī)，下面哪一項(xiàng)是最好的災(zāi)難恢復(fù)計(jì)劃。A、每日備份離線存儲(chǔ)B、選擇在線備份程序C、安裝雙通訊設(shè)備D、在另外的網(wǎng)絡(luò)節(jié)點(diǎn)選擇備份程序參考答案：D56.應(yīng)急響應(yīng)計(jì)劃文檔不應(yīng)該A、分發(fā)給公司所有人員B、分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員C、具有多份拷貝在不同的地點(diǎn)保存D、由專人負(fù)責(zé)保存與分發(fā)參考答案：A57.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無(wú)須參入?yún)⒖即鸢福篋58.以下有關(guān)通信與日常操作描述不正確的選項(xiàng)是A、信息系統(tǒng)的變更應(yīng)該是受控的B、企業(yè)在崗位設(shè)計(jì)和人職工作分配時(shí)應(yīng)該遵循職責(zé)別離的原則C、移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏D、內(nèi)部安全審計(jì)無(wú)需遵循獨(dú)立性、客觀性的原則參考答案：D59.以下系統(tǒng)工程說(shuō)法錯(cuò)誤的是A、系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B、系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論參考答案：A60.以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利A、應(yīng)急委員會(huì)B、各部門C、管理層D、外部專家參考答案：C61.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶登錄時(shí)，認(rèn)證服務(wù)器（AuthenticationServer，AS）產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS，AS用同樣的方法計(jì)算后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。A、口令序列B、時(shí)間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令參考答案：C62.以下哪一種備份方式再恢復(fù)時(shí)間上最快？A、增量備份B、差異備份C、完全備份D、磁盤備份參考答案：B63.以下哪一項(xiàng)是用于CC的評(píng)估級(jí)別？A、EAL1，EAL2，EAL3，EAL4，EAL5，EAL6，EAL7B、A1，B1，B2，B3，C2，C1，DC、E0，E1，E2，E3，E4，E5，E6D、AD0，AD1，AD2，AD3，AD4，AD5，AD6參考答案：A64.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子A、某網(wǎng)站在訪問(wèn)量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作B、在提款過(guò)程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的賬戶余額進(jìn)行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無(wú)法查看參考答案：B65.以下哪一項(xiàng)是D.OS攻擊的一個(gè)實(shí)例？A、SQL注入B、IPSPOOFC、SMURF攻擊D、字典破解參考答案：C66.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。參考答案：C67.以下哪一項(xiàng)不在證書(shū)數(shù)據(jù)的組成中?A、版本信息B、有效使用期限C、簽名算法D、版權(quán)信息參考答案：D68.以下哪一項(xiàng)不在數(shù)字證書(shū)數(shù)據(jù)的組成中?（）A、版本信息B、有效使用期限C、簽名算法D、版權(quán)信息參考答案：D69.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：（）A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過(guò)程D、監(jiān)理組織安全實(shí)施參考答案：D70.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測(cè)試關(guān)注的范疇（）A、排版結(jié)構(gòu)的測(cè)試B、數(shù)據(jù)完整性測(cè)試C、客戶端兼容性的測(cè)試D、鏈接結(jié)構(gòu)的測(cè)試參考答案：B71.以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一？A、提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B、保證信息安全資金注入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作參考答案：A72.以下哪一項(xiàng)不是建筑物的自動(dòng)化訪問(wèn)審計(jì)系統(tǒng)記錄的日志的內(nèi)容。A、出入的原因B、出入的時(shí)間C、出入口的位置D、是否成功進(jìn)入?yún)⒖即鸢福篈73.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP參考答案：A74.以下哪一項(xiàng)不是IIS服務(wù)器支持的訪問(wèn)控制過(guò)濾類型？A、網(wǎng)絡(luò)地址訪問(wèn)控制B、WEB服務(wù)器許可C、NTFS許可D、異常行為過(guò)濾參考答案：D75.以下哪一個(gè)不是安全審計(jì)需要具備的功能？A、記錄關(guān)鍵事件B、提供可集中處理審計(jì)日志的數(shù)據(jù)形式C、實(shí)時(shí)安全報(bào)警D、審計(jì)日志訪問(wèn)控制參考答案：D76.以下哪一個(gè)不是OSI安全體系結(jié)構(gòu)中的安全機(jī)制A、數(shù)字簽名B、路由控制C、數(shù)據(jù)交換D、抗抵賴參考答案：D77.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣參考答案：A78.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)？A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接參考答案：D79.以下哪項(xiàng)是ISMS文件的作用?A、是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客觀證據(jù)--為滿足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)D、以上所有參考答案：D80.以下哪項(xiàng)不屬于造成信息安全問(wèn)題的自然環(huán)境因素？A、縱火。B、地震。C、極端天氣。D、洪水。參考答案：A81.以下哪項(xiàng)不屬于信息安全管理的工作內(nèi)容A、信息安全培訓(xùn)B、信息安全考核C、信息安全規(guī)劃D、安全漏洞掃描參考答案：D82.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估時(shí)間的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)參考答案：D83.以下哪個(gè)問(wèn)題不是導(dǎo)致DNS欺騙的原因之一？A、DNS是一個(gè)分布式的系統(tǒng)B、為提高效率，DNS查詢信息在系統(tǒng)中會(huì)緩存C、DNS協(xié)議傳輸沒(méi)有經(jīng)過(guò)加密的數(shù)據(jù)D、DNS協(xié)議是缺乏嚴(yán)格的認(rèn)證參考答案：C84.以下哪個(gè)不可以作為ISMS管理評(píng)審的輸入A、ISMS審計(jì)和評(píng)審的結(jié)果B、來(lái)自利益伙伴的反饋C、某個(gè)信息安全項(xiàng)目的技術(shù)方案D、預(yù)防和糾正措施的狀態(tài)參考答案：C85.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法錯(cuò)誤的是：A、通過(guò)在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。B、信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全C、是一種通過(guò)客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng)D、是主觀和客觀綜合評(píng)估的結(jié)果；參考答案：B86.以下關(guān)于信息安全工程說(shuō)法正確的是：A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B、信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)D、信息化建設(shè)沒(méi)有必要涉及信息安全建設(shè)參考答案：C87.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說(shuō)法正確的是：A、入侵檢測(cè)系統(tǒng)的主要作用是發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略的行為B、安全隔離與信息交換系統(tǒng)也稱為網(wǎng)閘，需要信息交換時(shí)，同一時(shí)間可以和兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)連接C、虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中，利用隧道技術(shù)，建立一個(gè)永久、安全的通信網(wǎng)絡(luò)D、防火墻既能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離，又能實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離參考答案：A88.以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：A、模糊測(cè)試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測(cè)試的效果和自動(dòng)化過(guò)程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場(chǎng)保護(hù)記錄，系統(tǒng)可能無(wú)法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測(cè)試C、通過(guò)異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告參考答案：C89.以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是：A、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系B、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC、中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法參考答案：D90.以下關(guān)于開(kāi)展軟件安全開(kāi)發(fā)必要性描述錯(cuò)誤的是？（）A、軟件應(yīng)用越來(lái)越廣泛B、軟件應(yīng)用場(chǎng)景越來(lái)越不安全C、軟件安全問(wèn)題普遍存在D、以上都不是參考答案：D91.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說(shuō)法錯(cuò)誤的是：A、在傳送模式中，保護(hù)的是IP負(fù)載B、驗(yàn)證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性參考答案：D92.以下關(guān)于國(guó)內(nèi)信息化發(fā)展的描述，錯(cuò)誤的是（）。A、從20世紀(jì)90年代開(kāi)始，我國(guó)把信息化提到了國(guó)家戰(zhàn)略高度。B、成為聯(lián)合國(guó)衛(wèi)星導(dǎo)航委員會(huì)認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)是由我國(guó)自主研制的。C、我國(guó)農(nóng)村寬帶人口普及率與城市的差距在最近三年來(lái)持續(xù)拉大。D、經(jīng)過(guò)多年的發(fā)展，截至2013年底，我國(guó)在全球整體的信息與計(jì)算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。參考答案：D93.以下關(guān)于訪問(wèn)控制模型錯(cuò)誤的是？A、訪問(wèn)控制模型主要有3種：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。B、自主訪問(wèn)控制模型允許主體顯示地制定其他主體對(duì)該主體所擁有的信息資源是否可以訪問(wèn)。C、基于角色的訪問(wèn)控制RBAC中，“角色”通常是根據(jù)行政級(jí)別來(lái)定義的。D、強(qiáng)制訪問(wèn)控制MAC是“強(qiáng)加”給訪問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策參考答案：C94.以下關(guān)于法律的說(shuō)法錯(cuò)誤的是A、法律是國(guó)家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力B、法律對(duì)違法犯罪的后果有明確規(guī)定，是一種“硬約束”C、法律可以是公開(kāi)的，也可以是“內(nèi)部”的D、一旦制定，就比較穩(wěn)定，長(zhǎng)期有效，不允許經(jīng)常更改參考答案：C95.以下關(guān)于代替密碼的說(shuō)法正確的是：A、明文根據(jù)密鑰被不同的密文字母代替。B、明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變。C、明文和密鑰的每個(gè)bit異或。D、明文根據(jù)密鑰作移位。參考答案：A96.以下關(guān)于UDP協(xié)議的說(shuō)法，哪個(gè)是錯(cuò)誤的A、UDP具有簡(jiǎn)單高效的特點(diǎn)，常被攻擊者用來(lái)實(shí)施流量型拒絕服務(wù)攻擊B、UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP可通過(guò)端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序C、相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開(kāi)銷更小，因此常用來(lái)傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D、UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來(lái)傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù)參考答案：D97.以下關(guān)于SMTP和POP3協(xié)議的說(shuō)法哪個(gè)是錯(cuò)誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問(wèn)題D、SMTP和POP3協(xié)議由于協(xié)議簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件參考答案：A98.以下關(guān)于RBAC模型的說(shuō)法正確的是A、該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來(lái)決定用戶在系統(tǒng)中的訪問(wèn)權(quán)限B、一個(gè)用戶必項(xiàng)扮演并激活某種角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪問(wèn)或執(zhí)行某種摸作C、在該模型中，每個(gè)用戶只能有一個(gè)角色D、在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián)參考答案：B99.以下關(guān)于LINUX超級(jí)權(quán)限的說(shuō)明，不正確的是A、一般情況下，為了系統(tǒng)安全，對(duì)于一般常規(guī)級(jí)別的應(yīng)用，不需要ROOT用戶來(lái)操作完成B、普通用戶可以通過(guò)SU和SUDO來(lái)獲得系統(tǒng)的超級(jí)權(quán)限C、對(duì)系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以ROOT用戶登錄才能進(jìn)行D、ROOT是系統(tǒng)的超級(jí)用戶，無(wú)論是否為文件和程序的所有者都具有訪問(wèn)權(quán)限參考答案：C100.以下關(guān)于ISO/IEC27001標(biāo)準(zhǔn)說(shuō)法不正確的是：A、本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估，審核的重點(diǎn)就是組織信息安全的現(xiàn)狀，對(duì)部屬的信息安全控制是好的還是壞的做出評(píng)判B、本標(biāo)準(zhǔn)采用一種過(guò)程方法米建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)一個(gè)組織的ISMSC、目前國(guó)際標(biāo)準(zhǔn)化組織推出的四個(gè)管理體系標(biāo)準(zhǔn)：質(zhì)量管理體系，職業(yè)健康安全管理體系、環(huán)境管理體系、信息安全管理體系，都采用了相同的方法，即PDCA模型D、本標(biāo)準(zhǔn)注重監(jiān)視和評(píng)審，因?yàn)楸O(jiān)視和評(píng)審是持續(xù)改進(jìn)的基礎(chǔ)，如果缺乏對(duì)執(zhí)行情況和有效性的測(cè)量，改進(jìn)就成了“無(wú)的放矢”參考答案：A101.以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A、內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議C、內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D、內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤參考答案：D102.以下關(guān)于HTTPS協(xié)議與HTTP協(xié)議相比的優(yōu)勢(shì)說(shuō)明，哪個(gè)是正確的？A、HTTPS協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行了加密，可以避免嗅探等攻擊行為B、HTTPS使用的端口與HTTP不同，讓攻擊者不容易找到端口，具有較高的安全性C、HTTPS協(xié)議是HTTP協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D、HTTPS協(xié)議使用了挑戰(zhàn)機(jī)制，在會(huì)話過(guò)程中不傳輸用戶名和密碼，因此具有較高的安全性參考答案：A103.以下關(guān)于CA認(rèn)證中心說(shuō)法正確的是：（）。A、CA認(rèn)證是使用對(duì)稱密鑰機(jī)制的認(rèn)證方法B、CA認(rèn)證中心只負(fù)責(zé)簽名，不負(fù)責(zé)證書(shū)的產(chǎn)生C、CA認(rèn)證中心負(fù)責(zé)證書(shū)的頒發(fā)和管理、并依靠證書(shū)證明一個(gè)用戶的身份D、CA認(rèn)證中心不用保持中立，可以隨便找一個(gè)用戶來(lái)做為CA認(rèn)證中心參考答案：C104.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A、組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B、對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C、一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)、防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限參考答案：C105.以下崗位哪個(gè)在招聘前最需要進(jìn)行背景調(diào)查？A、采購(gòu)人員B、銷售人員C、財(cái)務(wù)總監(jiān)D、行政人員參考答案：C106.以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么？A、發(fā)現(xiàn)不明的SUID可執(zhí)行文件B、發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C、發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)D、發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址參考答案：A107.以下對(duì)于信息安全事件理解錯(cuò)誤的是：A、信息安全時(shí)間，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。B、對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分。C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。D、通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生。參考答案：D108.以下對(duì)Kerberos協(xié)議過(guò)程說(shuō)法正確的是：A、協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù)B、協(xié)助可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)C、協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)參考答案：D109.以下代碼容易觸發(fā)什么漏洞（）＜?php$$username=$$_GET["name"];Echo"歡迎您，".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代碼注入?yún)⒖即鸢福篈110.以下不是信息資產(chǎn)是哪一項(xiàng)?A、服務(wù)器B、機(jī)房空調(diào)C、鼠標(biāo)墊D、U盤參考答案：C111.以下不是接入控制的功能的是（）A、阻止非法用戶進(jìn)入系統(tǒng)B、組織非合法人瀏覽信息C、允許合法用戶人進(jìn)入系統(tǒng)D、使合法人按其權(quán)限進(jìn)行各種信息活動(dòng)參考答案：B112.以下SQL語(yǔ)句建立的數(shù)據(jù)庫(kù)對(duì)象是：Createviewpatientsfordoctorsasselectpatient.*frompatient，doctorwheredoctor.id=123"A、表B、視圖C、存儲(chǔ)過(guò)程D、觸發(fā)器參考答案：B113.以下SQL語(yǔ)句建立的數(shù)據(jù)庫(kù)對(duì)象是：A、表B、視圖C、存儲(chǔ)過(guò)程D、觸發(fā)器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient，DoctorWHEREdoctorID=123參考答案：B114.以下《關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知》和《關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法》錯(cuò)誤的是：A、明確檢查方式“以自查為主、抽查為輔”，按需要進(jìn)行技術(shù)檢測(cè)；B、明確對(duì)信息安全工作“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”；C、明確安全管理措施和手段必須堅(jiān)持管理制度加技術(shù)手段；D、明確工信部具體負(fù)責(zé)組織檢查參考答案：D115.以下（）不是包過(guò)濾防火墻主要過(guò)濾的信息？A、源IP地址B、目的IP地址C、TCP源端口和目的端口D、時(shí)間參考答案：D116.一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過(guò)程?A、數(shù)據(jù)B、信息流C、活動(dòng)D、模塊參考答案：C117.一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒(méi)有數(shù)據(jù)損失，恢復(fù)時(shí)間目標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？A、一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來(lái)的熱站B、多區(qū)域異步更新的分布式數(shù)據(jù)庫(kù)系統(tǒng)C、一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站D、一個(gè)同步過(guò)程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來(lái)的混站參考答案：D118.一個(gè)組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)是不應(yīng)該了解的？A、誰(shuí)負(fù)責(zé)信息安全管理制度的制定和發(fā)布B、誰(shuí)負(fù)責(zé)都督信息安全制度的執(zhí)行C、信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)工作的具體流程＆D、如果違反了制度可能受到的懲戒措施參考答案：C119.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問(wèn)控制，例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改，下列選項(xiàng)中，對(duì)訪問(wèn)控制的作用的理解錯(cuò)誤的是？A、對(duì)經(jīng)過(guò)身份鑒別后的合法用戶提供所有服務(wù)B、拒絕非法用戶的非授權(quán)訪問(wèn)請(qǐng)求C、在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)進(jìn)行管理D、防止對(duì)信息的非授權(quán)篡改和濫用參考答案：A120.一個(gè)公司解雇了一個(gè)數(shù)據(jù)庫(kù)管理員，并且解雇時(shí)立刻取消了數(shù)據(jù)庫(kù)管理員對(duì)公司所有系統(tǒng)的訪問(wèn)權(quán)，但是數(shù)據(jù)管理員威脅說(shuō)數(shù)據(jù)庫(kù)在兩個(gè)月內(nèi)將被刪除，除非公司付他一大筆錢。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫(kù)？A、放置病毒B、蠕蟲(chóng)感染C、DoS攻擊D、邏輯炸彈攻擊參考答案：D121.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來(lái)C、捕獲錯(cuò)誤，并拋出前臺(tái)顯示D、捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息參考答案：D122.要安全瀏覽網(wǎng)頁(yè)，不應(yīng)該（）。A、在公用計(jì)算機(jī)上使用“自動(dòng)登錄”和“記住密碼”功能B、禁止開(kāi)啟A.C.TIVEX控件和JA.VA.腳本C、定期清理瀏覽器C.OOKIESD、定期清理瀏覽器緩存和上網(wǎng)歷史記錄參考答案：A123.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是？A、sPccial-purpose，特定的、專用用途的B、Proprietary，專有的、專賣的C、Private，私有的、專有的D、sPecific，特種的、具體的參考答案：C124.信息資產(chǎn)面臨的主要威脅來(lái)源主要包括A、自然災(zāi)害B、系統(tǒng)故障C、內(nèi)部人員操作失誤D、以上都包括參考答案：D125.信息資產(chǎn)分級(jí)的最關(guān)鍵要素是A、價(jià)值B、時(shí)間C、安全性D、所有者參考答案：A126.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用。A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上參考答案：B127.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng)，應(yīng)當(dāng)在（）年進(jìn)行一次等級(jí)測(cè)評(píng)？A、0.5B、1C、2D、3參考答案：B128.信息是流動(dòng)的，在信息的流動(dòng)過(guò)程中必須能夠識(shí)別所有可能途徑的（）與（）；而對(duì)于信息本身而言，信息的敏感性的定義是對(duì)信息保護(hù)的（）和（），信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時(shí)性和信息的交互場(chǎng)景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測(cè)。A、基礎(chǔ)；依據(jù);載體;環(huán)境;永久性;風(fēng)險(xiǎn)管理B、基礎(chǔ);依據(jù);載體;環(huán)境;風(fēng)險(xiǎn)管理;永久性C、載體;環(huán)境;風(fēng)險(xiǎn)管理;永久性;基礎(chǔ);依據(jù)D、載體;環(huán)境;基礎(chǔ);依據(jù);風(fēng)險(xiǎn)管理;永久性參考答案：D129.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以（）、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用（）。無(wú)論信息以什me式存在，用哪種方法存儲(chǔ)或共享，都宜對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)（），業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和（）。A、語(yǔ)言表達(dá)；電子方式存儲(chǔ)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化B、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；連續(xù)性；信息安全；商業(yè)機(jī)遇最大化C、電子方式存儲(chǔ)；連續(xù)性，語(yǔ)言表達(dá)；信息安全；商業(yè)機(jī)遇最大化D、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化參考答案：A130.信息發(fā)送者使用進(jìn)行數(shù)字簽名。A、己方的私鑰B、己方的公鑰C、對(duì)方的私鑰D、對(duì)方的公鑰參考答案：A131.信息安全需求獲取的主要手段A、信息安全風(fēng)險(xiǎn)評(píng)估B、領(lǐng)導(dǎo)的指示C、信息安全技術(shù)D、信息安全產(chǎn)品參考答案：A132.信息安全是通過(guò)實(shí)施一組合適的（）而達(dá)到的，包括策略、過(guò)程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、安施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的（）過(guò)程，以確保滿足該組織的特定安全和（），這個(gè)過(guò)程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A、信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過(guò)程B、組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過(guò)程C、控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過(guò)程D、控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過(guò)程參考答案：C133.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，下面總結(jié)錯(cuò)誤的是A、各國(guó)普遍將國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的中重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流和對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)，安全監(jiān)管和安全測(cè)評(píng)參考答案：C134.信息安全事件和分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)自信安全事件分類分級(jí)指南》，信息安全事件分為7個(gè)基本類別，描述正確的是（）A、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件B、網(wǎng)絡(luò)貢獻(xiàn)事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件C、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚(yú)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件參考答案：A135.信息安全審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一般由誰(shuí)完成？A、機(jī)構(gòu)內(nèi)部人員B、外部專業(yè)機(jī)構(gòu)C、獨(dú)立第三方機(jī)構(gòu)D、以上皆可參考答案：D136.信息安全管理體系策略文件中第一層文件是？A、信息安全工作程序B、信息安全方針政策C、信息安全作業(yè)指導(dǎo)書(shū)D、信息安全工作記錄參考答案：B137.信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的（）A、信息安全方針；標(biāo)準(zhǔn)；文件；管理體系；保證程度B、標(biāo)準(zhǔn)；文件；信息安全方針；管理體系；保證程度C、標(biāo)準(zhǔn)；信息安全方針；文件；管理體系；保證程度D、標(biāo)準(zhǔn)；管理體系；信息安全方針；文件；保證程度參考答案：C138.信息安全管理體系（ISMS）是一個(gè)怎樣的體系，以下描述不正確的是A、ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B、ISMS是一個(gè)文件化、系統(tǒng)化的體系C、ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D、ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問(wèn)題參考答案：D139.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述的錯(cuò)誤是A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理評(píng)審會(huì)議形式進(jìn)行C、內(nèi)部審核的實(shí)施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用，但在管理評(píng)審總，這些文件時(shí)被審對(duì)象參考答案：C140.信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國(guó)家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度參考答案：A141.信息安全風(fēng)險(xiǎn)評(píng)估是針對(duì)事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過(guò)程，下列選項(xiàng)中不屬于風(fēng)險(xiǎn)評(píng)估要素的是（）。A、資產(chǎn)B、跪弱性C、威脅D、安全需求參考答案：D142.信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理，也就是，始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)，即（）選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)：風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)參考答案：A143.信息安全風(fēng)險(xiǎn)管理過(guò)程中，背景建立是實(shí)施工作的第一步，下面哪項(xiàng)是錯(cuò)誤的（）A、背景建立的依據(jù)是國(guó)家，地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命，信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性，并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、前景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性、形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全需求報(bào)告參考答案：B144.信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？A、決策層B、管理層C、執(zhí)行層D、支持層參考答案：A145.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境參考答案：C146.信息安全的基本屬性是（）。A、機(jī)密性B、可用性C、完整性D、上面3項(xiàng)都是參考答案：D147.信息安全標(biāo)準(zhǔn)化工作是我國(guó)信息安全保障工作的重要組成部分之一，他是政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國(guó)家利益，促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一，關(guān)于我國(guó)信息安全標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是？A、我國(guó)是在國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國(guó)標(biāo)準(zhǔn)化工作，下設(shè)有專業(yè)技術(shù)委員會(huì)。B、因事關(guān)國(guó)家安全利益，信息安全因此不能和國(guó)際標(biāo)準(zhǔn)相同，而是要通過(guò)本國(guó)組織和專家制定標(biāo)準(zhǔn)，切實(shí)有效地保護(hù)國(guó)家利益和安全C、我國(guó)歸口信息安全方面標(biāo)準(zhǔn)的是“全國(guó)信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)”，為加強(qiáng)有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D、信息安全標(biāo)準(zhǔn)化工作是解決信息安全問(wèn)題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品，設(shè)施的技術(shù)先進(jìn)性，可靠性和一致性。參考答案：B148.信息安全保障框架（IATF）由美國(guó)國(guó)家安全局（NSA）發(fā)布，最初目的是為保障美國(guó)政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是：A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：區(qū)域邊界：重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：區(qū)域邊界：計(jì)算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境：網(wǎng)絡(luò)接口：計(jì)算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境：網(wǎng)絡(luò)接口：重要服務(wù)器參考答案：B149.信息安全保障技術(shù)框架（InformetionAssuranceTechnicalFromwork，IATF），目的是為保障政府和工業(yè)的（）提供了（），信息安全保障技術(shù)框架的一個(gè)核心思想是（），深度防御戰(zhàn)略的三個(gè)核心要素：（）、技術(shù)和運(yùn)行（亦稱為操作）A、信息基礎(chǔ)設(shè)施：技術(shù)指南：深度防御：人員B、技術(shù)指南：信息基礎(chǔ)設(shè)施：深度防御：技術(shù)指南：人員C、信息基礎(chǔ)設(shè)施：深度防御：技術(shù)指南：人員D、信息基礎(chǔ)設(shè)施：技術(shù)指南：人員：深度防御參考答案：A150.校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因，200臺(tái)以內(nèi)的用戶主機(jī)不能正常工作，屬于以下哪種級(jí)別事件A、特別重大事件B、重大事件C、較大事件D、一般事件參考答案：D151.小趙在去一家大型企業(yè)應(yīng)聘時(shí)，經(jīng)理要求他說(shuō)出為該企業(yè)的信息系統(tǒng)設(shè)計(jì)自主訪問(wèn)控制模型為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗看應(yīng)該采取的最合適的模型是A、按列讀取訪問(wèn)控制矩形形成的訪問(wèn)控制列表（ACL）B、按列讀取訪問(wèn)控制矩形形成的能力表（CL）C、按行讀取訪問(wèn)控制矩形形成的訪問(wèn)控制列表（ACL）D、按行讀取訪問(wèn)控制矩形形成的能力表（CL）參考答案：A152.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問(wèn)控制模型的設(shè)計(jì)思路。從時(shí)間和資源消耗的角度如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制選項(xiàng)，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）A、訪問(wèn)控制列表（ACL）B、能力表（CLC、BLP模型D、Biba模型參考答案：A153.小張?jiān)谀硢挝皇秦?fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估工作形式。小張認(rèn)為：1.風(fēng)險(xiǎn)評(píng)估工作形式包括：自評(píng)估和檢查評(píng)估；2.自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；3.檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織或者國(guó)家有關(guān)職能部門依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估；4.對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中的一個(gè)，非此即彼。請(qǐng)問(wèn)小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)A、第一個(gè)觀點(diǎn)B、第四個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第二個(gè)觀點(diǎn)參考答案：B154.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)值為400萬(wàn)元人民幣，暴露系數(shù)（ExposureFactor，EF）是25%，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.2，那么小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy，ALE）應(yīng)該是（）。A、180萬(wàn)元人民幣B、100萬(wàn)元人民幣C、400萬(wàn)元人民幣D、20萬(wàn)元人民幣參考答案：D155.小王是某通信運(yùn)營(yíng)商公司的網(wǎng)絡(luò)按武安架構(gòu)師，為該公司推出的一項(xiàng)新型通信系統(tǒng)項(xiàng)目做安全架構(gòu)規(guī)劃，項(xiàng)目客戶要求對(duì)他們的大型電子商務(wù)網(wǎng)絡(luò)進(jìn)行安全域的劃分，化解為小區(qū)域的安全保護(hù)，每個(gè)邏輯區(qū)域有各自的安全訪問(wèn)控制和邊界控制策略，以實(shí)現(xiàn)大規(guī)模電子商務(wù)系統(tǒng)的信息保護(hù)。小王對(duì)信息系統(tǒng)安全域（保護(hù)對(duì)象）的劃分不需要考慮的是？A、業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性，業(yè)務(wù)系統(tǒng)是否需要對(duì)外連接B、安全要求的相似性，可用性、保密性和完整性的要求是否類似C、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機(jī)房等D、數(shù)據(jù)庫(kù)的安全維護(hù)參考答案：D156.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開(kāi)始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識(shí)，小王的主要觀點(diǎn)包括：（1）背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成信息安全風(fēng)驗(yàn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備;（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果;（3）背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析;（4）背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書(shū)、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告。請(qǐng)問(wèn)小王的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn).背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象B、第二個(gè)觀點(diǎn)，背景建立的依據(jù)是國(guó)家、地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C、第三個(gè)觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字D、第四個(gè)觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書(shū)參考答案：C157.小王是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的學(xué)生，最近因?yàn)樯∪毕藥滋眯畔踩n程，這幾次課的內(nèi)容是自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制。為了趕上課程進(jìn)度，他向同班的小李借來(lái)了課堂筆記，進(jìn)行自學(xué)。而小李在聽(tīng)課時(shí)由于經(jīng)常走神，所以筆記中會(huì)出現(xiàn)一些錯(cuò)誤。下列選項(xiàng)是小李筆記中關(guān)于強(qiáng)制訪問(wèn)控制模型的內(nèi)容，其中出現(xiàn)錯(cuò)誤的選項(xiàng)是A、它是一種對(duì)單個(gè)用戶執(zhí)行訪問(wèn)控制的過(guò)程和措施B、強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體C、系統(tǒng)通過(guò)比較客體和主體的安全屬性來(lái)決定主體是否可以訪問(wèn)客體D、安全屬性是強(qiáng)制性的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，不能隨意修改參考答案：A158.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)（）A、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性B、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性C、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化參考答案：A159.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計(jì)訪問(wèn)控制方法，他們?cè)谟懻撝芯蛻?yīng)該采用自主訪問(wèn)控制還是制訪問(wèn)控制產(chǎn)生了分歧。小李應(yīng)該采用自主訪問(wèn)控制的方法，他的觀點(diǎn)主要有：（1）自主訪問(wèn)控制方式，為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；（2）自主訪問(wèn)控制可以抵御木馬程序的攻擊；小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問(wèn)控制的方法、他的觀點(diǎn)主要有：（3）強(qiáng)制訪問(wèn)控制中，只有文件擁有者可以修改文件的安全屬性，因此安全性較高；（4）強(qiáng)制訪問(wèn)控制能夠保護(hù)敏感信息。以上四個(gè)觀點(diǎn)中，有一個(gè)觀點(diǎn)是正確的，它是（）A、觀點(diǎn)（1）B、觀點(diǎn)（2）C、觀點(diǎn)（3）D、觀點(diǎn)（4）參考答案：D160.小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問(wèn)題，小紅說(shuō)他看到有新聞?wù)f在2011年2月3日，全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天劃分給所有的區(qū)城互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)，IP地址總庫(kù)已經(jīng)枯竭，小明嚇了一跳覺(jué)得以后上網(wǎng)會(huì)成問(wèn)題，小紅安慰道，不用擔(dān)心，現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢，以下小紅說(shuō)的優(yōu)點(diǎn)中錯(cuò)誤的是（）A、網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展B、IPv6對(duì)多播進(jìn)行了改進(jìn)，使得具有更大的多播地址空間C、繁雜報(bào)頭格式D、良好的擴(kuò)展性參考答案：C161.小東在自己的筆記本上發(fā)現(xiàn)如下記錄：不同操作系統(tǒng)的IP協(xié)議棧實(shí)現(xiàn)之間存在細(xì)微的差別，通過(guò)這些差別，可以區(qū)分出目標(biāo)操作系統(tǒng)的類型及版本。但他忘了寫(xiě)上這種方法的名字，請(qǐng)問(wèn)這種方法叫（）A、TCP/IP協(xié)議棧指紋識(shí)別法B、正向地址答案說(shuō)明C、間接交付D、分組交付參考答案：A162.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問(wèn)權(quán)限前，組織應(yīng)當(dāng)做什么?A、該外部機(jī)構(gòu)的過(guò)程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)B、該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭、該外部機(jī)構(gòu)的任何訪問(wèn)應(yīng)被限制在DMZ區(qū)之內(nèi)D、應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序參考答案：B163.相對(duì)于不存在災(zāi)難恢復(fù)計(jì)劃，和當(dāng)前災(zāi)難恢復(fù)計(jì)劃的成本比照，最接近的是：A、增加B、減少C、保持不變D、不可預(yù)知參考答案：A164.下圖顯示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對(duì)應(yīng)，（）的目的是建立評(píng)估框架，并為現(xiàn)場(chǎng)階段準(zhǔn)備后勤方面的工作。的目的是準(zhǔn)備評(píng)估團(tuán)隊(duì)進(jìn)行現(xiàn)場(chǎng)活動(dòng)，并通過(guò)問(wèn)卷進(jìn)行數(shù)據(jù)的初步收集和分析。主要是探索初步數(shù)據(jù)分析結(jié)果，以及為被評(píng)組織的專業(yè)人員提供與數(shù)據(jù)采集和證實(shí)過(guò)程的機(jī)會(huì)，小組對(duì)在此就三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行（）。并將調(diào)查結(jié)果呈送個(gè)發(fā)起者。A、現(xiàn)場(chǎng)階段;規(guī)劃階段;準(zhǔn)備階段;最終分析B、準(zhǔn)備階段;規(guī)劃階段;現(xiàn)場(chǎng)階段;最終分析C、規(guī)劃階段;現(xiàn)場(chǎng)階段;準(zhǔn)備階段;最終分析D、規(guī)劃階段;準(zhǔn)備階段;現(xiàn)場(chǎng)階段;最終分析參考答案：D165.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)仔細(xì)分析該圖，下面選項(xiàng)中推斷正確的是（）C：\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主機(jī)的連接。C：DocumentsandSettings\lyxjaowei>.A、安全測(cè)試人員連接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)開(kāi)啟了FTP服務(wù)，使用的服務(wù)器軟件名為FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是Windows參考答案：D166.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)您仔細(xì)分析該圖，下面分析推理正確的是（）A、安全測(cè)試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開(kāi)啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)參考答案：D167.下圖描繪了信息安全管理體系的PDCA模型其中，建立ISMS中，組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由。組織應(yīng)根據(jù)業(yè)3務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，監(jiān)視和評(píng)審ISMS（）。實(shí)施和運(yùn)行ISMS中，組織應(yīng)為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)模ǎ?、資源、職責(zé)和優(yōu)選順序，監(jiān)視和評(píng)審ISMS中，組織應(yīng)執(zhí)行監(jiān)視與評(píng)審規(guī)程和其他（）。以迅速檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤，迅速識(shí)別圖的和得逞的安全違規(guī)和事件，使管理者能夠確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否按期望執(zhí)行，通過(guò)使用指示器幫助檢測(cè)安全事態(tài)并預(yù)防安全事件，確定解決安全違規(guī)的措施是否有效，保持和改進(jìn)ISMS中，組織應(yīng)經(jīng)常進(jìn)行ISMS改進(jìn)，采取合適的糾正和（），從其他組織和組織自身的安全經(jīng)驗(yàn)中（）。A、方針;管理措施;控制措施;預(yù)防措施;吸取措施B、方針;控制措施;管理措施;預(yù)防措施;吸取措施C、方針;預(yù)防措施;管理措施;控制措施;吸取措施D、方針;吸取措施;管理措施;控制措施;預(yù)防措施參考答案：A168.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯(cuò)誤的是（）。A、安全掃描在企業(yè)部署安全策略中處于非常重要地位B、安全掃描系統(tǒng)可用于管理和維護(hù)信息安全設(shè)備的安全C、安全掃描系統(tǒng)對(duì)防火墻在某些安全功能上的不足不具有彌補(bǔ)性D、安全掃描系統(tǒng)是把雙刃劍參考答案：B169.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層Web架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問(wèn)數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開(kāi)發(fā)時(shí)，采用了一些存在安全問(wèn)題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒(méi)有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)參考答案：C170.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)C、設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶登錄D、設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明參考答案：A171.下面有關(guān)能力成熟度模型的說(shuō)法錯(cuò)誤的是：A、能力成熟度模型可以分為過(guò)程能力方案（Continuous）和組織能力方案（Staged）兩類B、使用過(guò)程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或那些過(guò)程域C、使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)于一組已經(jīng)定義好的過(guò)程域D、SSE-CMM是一種屬于組織能力方案（Staged）的針對(duì)系統(tǒng)安全工程的能力成熟度模型參考答案：D172.下面四款安全測(cè)試軟件中，主里用于WEB安全掃描的是？A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner參考答案：B173.下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B、控制已經(jīng)過(guò)了測(cè)試C、安全控制標(biāo)準(zhǔn)是基于風(fēng)險(xiǎn)分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測(cè)試的參考答案：D174.下面哪一項(xiàng)為系統(tǒng)安全工程能力成熟度模型提供了評(píng)估方法？A、ISSEB、SSAMC、SSRD、CEM參考答案：B175.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS+）D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）參考答案：C176.下面哪一項(xiàng)不是ISMSCheck階段的工作？A、安全事件響應(yīng)B、安全內(nèi)部審核C、管理評(píng)審D、更新安全計(jì)劃參考答案：A177.下面哪一個(gè)機(jī)構(gòu)不屬于美國(guó)信息安全