CISP注冊(cè)信息安全專業(yè)人員考前沖刺必會(huì)題（附答案）1.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析（BIT）時(shí)的步驟是：標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級(jí);3.標(biāo)識(shí)關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時(shí)間A、１-3-4-2B、１-3-2-4C、1－2－3－4D、１－4－3－2參考答案：A2.作為單位新上任的CS0,你組織了一次本單位的安全評(píng)估工作以了解單位安全現(xiàn)狀。在漏洞掃描報(bào)告發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對(duì)內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個(gè)漏洞,對(duì)比上一年度的漏洞掃描報(bào)告,發(fā)現(xiàn)這個(gè)已經(jīng)報(bào)告出來,經(jīng)詢問安全管理員得知,這個(gè)業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉,因此無法修復(fù)。對(duì)于這個(gè)問題處理（）A、向公司管理層提出此問題,要求立即立項(xiàng)重新開發(fā)此業(yè)務(wù)系統(tǒng),避免單位中存在這樣的安全風(fēng)險(xiǎn)B、既然此問題不是新發(fā)現(xiàn)的問題,之前已經(jīng)存在,因此與自己無關(guān),可以不予理會(huì)C、讓安全管理人員重新評(píng)估此漏洞存在的安全風(fēng)險(xiǎn)并給出進(jìn)一步的防護(hù)措施后再考慮如何處理D、D.讓安全管理員找出驗(yàn)收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼,自己修改解決這個(gè)漏洞參考答案：C3.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專家，請(qǐng)指出是哪一個(gè)?A、軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫備份操作員賬號(hào)連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫，該賬號(hào)僅對(duì)日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤參考答案：D4.組織中對(duì)于每個(gè)獨(dú)立流程都有對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，但缺乏全面的業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)采取下面哪一項(xiàng)行動(dòng)？A、建議建立全面的業(yè)務(wù)連續(xù)性計(jì)劃B、確認(rèn)所有的業(yè)務(wù)連續(xù)性計(jì)劃是否相容C、接受已有業(yè)務(wù)連續(xù)性計(jì)劃D、建議建立單獨(dú)的業(yè)務(wù)連續(xù)性計(jì)劃參考答案：B5.組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：A、推薦并監(jiān)督數(shù)據(jù)安全策略B、在組織內(nèi)推廣安全意識(shí)C、制定IT安全策略下的安全程序/流程D、管理物理和邏輯訪問控制參考答案：A6.組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？A、應(yīng)急計(jì)劃B、遠(yuǎn)程方法C、電腦安全程序D、電子郵件個(gè)人隱私參考答案：C7.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是（）。A、ACL在刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便B、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便C、ACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限較為簡(jiǎn)單D、ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)參考答案：C8.注重安全管理體系建設(shè)，人員意識(shí)的培訓(xùn)和教育，是信息安全發(fā)展哪一個(gè)階段的特點(diǎn)？A、通信安全B、計(jì)算機(jī)安全C、信息安全D、信息安全保障參考答案：D9.主體S對(duì)客體01有讀（R）權(quán)限，對(duì)客體02有讀（R）、寫（W）、擁有（Own）權(quán)限，該訪問控制實(shí)現(xiàn)方法是：A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）參考答案：C10.中國信息安全測(cè)評(píng)中心對(duì)CISP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書有效期內(nèi)，應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)：A、為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)B、在信息安全公司從事保安工作C、在公開場(chǎng)合宣講安全知識(shí)D、在學(xué)校講解信息安全課程參考答案：B11.制定應(yīng)急響應(yīng)策略主要需要考慮A、系統(tǒng)恢復(fù)能力等級(jí)劃分B、系統(tǒng)恢復(fù)資源的要求C、費(fèi)用考慮D、人員考慮參考答案：D12.針對(duì)軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式？A、攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫晌應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問參考答案：D13.賬號(hào)鎖定策略中對(duì)超過一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊（DDoS）B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊參考答案：C14.張主任的計(jì)算機(jī)使用windows７操作系統(tǒng)，他常登陸的用戶名為zhang.張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問這個(gè)目錄，管理員在某次維護(hù)中無意將ZHANG這個(gè)用戶刪除了,隨后又重新建了一個(gè)用戶名為ZHANG張主任使用ZHANG這個(gè)用戶登錄系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來文件夾，原因是：A、任何一個(gè)新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件B、windows7不認(rèn)為新建立的用戶zhang與原來的用戶zhang是同一個(gè)用戶，因此無權(quán)訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會(huì)繼承原來用戶的權(quán)限，之所以無權(quán)訪問是因?yàn)槲募A經(jīng)過了加密參考答案：B15.在一份業(yè)務(wù)持續(xù)計(jì)劃，下列發(fā)現(xiàn)中哪一項(xiàng)是最重要的？A、不可用的交互PBX系統(tǒng)B、骨干網(wǎng)備份的缺失C、用戶PC機(jī)缺乏備份機(jī)制D、門禁系統(tǒng)的失效參考答案：B16.在信息處理設(shè)施（IPF）的硬件更換之后，業(yè)務(wù)連續(xù)性流程經(jīng)理首先應(yīng)該實(shí)施下列哪項(xiàng)活動(dòng)？A、驗(yàn)證與熱門站點(diǎn)的兼容性B、檢查實(shí)施報(bào)告C、進(jìn)行災(zāi)難恢復(fù)計(jì)劃的演練D、更新信息資產(chǎn)清單參考答案：D17.在信息安全管理體系的實(shí)施過程中，管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）。A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量、計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要收，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確信息安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程，確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確參考答案：D18.在信息安全管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的（）。A、背景建立的依據(jù)是國家.地區(qū)或行業(yè)的相關(guān)政策.法律.法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命.信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn).面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo).業(yè)務(wù)特性.管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告參考答案：B19.在信息安全策略體系中,下面哪一項(xiàng)屬于計(jì)算機(jī)或信息安全的強(qiáng)制性規(guī)則?A、標(biāo)準(zhǔn)（StAnDArD）B、安全策略（SeCuritypoliCy）C、方針（GuiDeline）D、流程（ProCeDure）參考答案：A20.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是A、步驟1和步驟2發(fā)生錯(cuò)誤，應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB、步驟3和步驟4發(fā)生錯(cuò)誤，應(yīng)該向本地TGS請(qǐng)求并獲得遠(yuǎn)程TGTC、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程TGT參考答案：B21.在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？A、弱點(diǎn)B、威脅C、可能性D、影響參考答案：A22.在網(wǎng)絡(luò)交易發(fā)達(dá)的今天,貿(mào)易雙方可以通過簽署電子合同來保障自己的合法權(quán)益。某中心推出電子簽名服務(wù),按照如圖方式提供電子簽名,不屬于電子簽名的基本特性的是（）。1415A、不可偽造性B、不可否認(rèn)性C、保證消息完整性D、機(jī)密性參考答案：D23.在提供給一個(gè)外部代理商訪問信息處理設(shè)施前,一個(gè)組織應(yīng)該怎么做?A、外部代理商的處理應(yīng)該接受一個(gè)來自獨(dú)立代理進(jìn)行的IS審計(jì)。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來自外部代理商的任何訪問必須限制在?；饏^(qū)（DMZ）D、該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定和實(shí)施適當(dāng)?shù)目刂?。參考答案：D24.在提高阿帕奇系統(tǒng)（ApacheHTTPServer）系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容（）?A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行D、積極了解Apache的安全通告，并及時(shí)下載和更新參考答案：A25.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是？A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備利潤一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級(jí)B、如果該組織某個(gè)過程區(qū)域（ProcessAreas,PA）具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個(gè)公共特征，則過程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)”C、如果某個(gè)過程區(qū)域（ProcessAreas,PA）包含4個(gè)基本實(shí)施（BasePractices，BP），執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過程區(qū)域的能力成熟度級(jí)別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級(jí)別上參考答案：B26.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是（）A、資產(chǎn)的價(jià)值指采購費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無法估計(jì)參考答案：C27.在實(shí)施風(fēng)險(xiǎn)分析期間，識(shí)別出威脅和潛在影響后應(yīng)該A、識(shí)別和評(píng)定管理層使用的風(fēng)險(xiǎn)評(píng)估方法B、識(shí)別信息資產(chǎn)和基本系統(tǒng)C、揭示對(duì)管理的威脅和影響D、識(shí)別和評(píng)價(jià)現(xiàn)有控制參考答案：D28.在什么情況下，熱站會(huì)作為一個(gè)恢復(fù)策略被執(zhí)行？A、低災(zāi)難容忍度B、高恢復(fù)點(diǎn)目標(biāo)（RPO）C、高恢復(fù)時(shí)間目標(biāo)（RTO）D、高災(zāi)難容忍度參考答案：A29.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的（）A、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本B、要充分符合信息安全需求并且實(shí)際可行C、要使用當(dāng)前最新的技術(shù)和成本最高的設(shè)備,從而保障信息系統(tǒng)的絕對(duì)安全D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實(shí)施障礙參考答案：C30.在設(shè)計(jì)某公司技術(shù)性的恢復(fù)策略時(shí),以下哪個(gè)方面是安全人員最為關(guān)注的?A、目標(biāo)恢復(fù)時(shí)間RTOB、業(yè)務(wù)影響分析C、從嚴(yán)重災(zāi)難中恢復(fù)的能力D、目標(biāo)恢復(fù)點(diǎn)RPO參考答案：B31.在軟件保障成熟度模型（SoftwareAssuranceMaturityldode，SAMM）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能A、治理，主要是管理軟件開發(fā)的過程和活動(dòng)B、構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過程與活動(dòng)D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)參考答案：D32.在評(píng)估一個(gè)高可用性網(wǎng)絡(luò)的恢復(fù)能力時(shí)，下列情況風(fēng)險(xiǎn)最高：A、設(shè)備在地理位置上分散B、網(wǎng)絡(luò)服務(wù)器位于同一地點(diǎn)C、熱站就緒可以被激活D、網(wǎng)絡(luò)執(zhí)行了不同行程參考答案：B33.在你對(duì)終端計(jì)算機(jī)進(jìn)行Ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包含中初始TTL值是不同的，TTL是IP協(xié)議包中的一個(gè)信，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長而應(yīng)被丟棄。（簡(jiǎn)而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個(gè)路由器）根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL值，可以大致判斷（）A、內(nèi)存容量B、操作系統(tǒng)的類型C、對(duì)方物理位置D、對(duì)方的MAC地址參考答案：B34.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過程是這樣的：（1）用戶通過HTTP協(xié)議訪向信息系統(tǒng)；（2）用戶在登錄頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確則鑒別完成?？梢钥闯?？A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別參考答案：A35.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)參考答案：A36.在開發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí)，什么是首先完成的活動(dòng)A、威脅評(píng)估B、數(shù)據(jù)分類C、資產(chǎn)清單D、關(guān)鍵程度分析參考答案：C37.在進(jìn)行業(yè)務(wù)連續(xù)性檢測(cè)時(shí)，以下哪一個(gè)是被認(rèn)為最重要的審查？A、熱站的建立和有效是必要B、業(yè)務(wù)連續(xù)性手冊(cè)是有效的和最新的C、保險(xiǎn)責(zé)任范圍是適當(dāng)?shù)牟⑶冶ＹM(fèi)有效D、及時(shí)進(jìn)行介質(zhì)備份和異地存儲(chǔ)參考答案：D38.在進(jìn)行人員的職責(zé)定義時(shí)，在信息安全方面應(yīng)考慮什么因素？A、人員的背景、資質(zhì)的可靠性B、人員需要履行的信息安全職責(zé)C、人員的工作能力D、人員溝通、協(xié)調(diào)能力參考答案：B39.在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候，發(fā)現(xiàn)預(yù)測(cè)可能造成的風(fēng)險(xiǎn)的經(jīng)濟(jì)損失時(shí)有一定困難。為了評(píng)估潛在的損失，應(yīng)該：A、計(jì)算相關(guān)信息資產(chǎn)的攤銷費(fèi)用B、計(jì)算投資的回報(bào)C、應(yīng)用定性的方法進(jìn)行評(píng)估D、花費(fèi)必要的時(shí)間去評(píng)估具體的損失的金額參考答案：C40.在國家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》中,信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)參考答案：B41.在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn),服務(wù)器上開放了以下幾個(gè)應(yīng)用,除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題,作為一名檢測(cè)人員,你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題,以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題:A、SSHB、HTTPC、FTPD、SMTP參考答案：A42.在對(duì)安全控制進(jìn)行分析時(shí),下面哪個(gè)描述是不準(zhǔn)確的?A、對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析,以確定哪一項(xiàng)安全控制是必須的和有效的;B、應(yīng)確保選擇對(duì)業(yè)務(wù)效率影響最小的安全措施C、選擇好實(shí)施安全的時(shí)機(jī)和位置,提高安全控制的有效性;D、仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來的影響,采取適當(dāng)措施,盡可能減少負(fù)面效應(yīng);參考答案：B43.在Windows系統(tǒng)中，存在默認(rèn)共享功能，但對(duì)個(gè)人用戶來說存安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上任何人都可以通過共享使用或修改。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí)，需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是（）A、將“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\lenmanservorVnaraneters”項(xiàng)中的“Autodisconnect”項(xiàng)鍵值改為0B、將“HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Services\1nmanserver\paraneters項(xiàng)中的“AutoShareServer”項(xiàng)鍵值改為0C、將“HKEYLOCALMACHINESYSTEM\CurrentControlSetServices\lenmanserver\paraneters”項(xiàng)中的”AutoShareWks”項(xiàng)鍵值改為0D、在命令窗口中輸入命令，刪除C盤默認(rèn)共享:netshareC/del參考答案：A44.在Windos7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置？A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間參考答案：D45.在linux系統(tǒng)中配置文件通常存放在什么目錄下？A、/bootB、/etcC、/devD、/lib參考答案：B46.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令…C、用戶主目錄D、用戶登錄后使用的SHELL參考答案：B47.在ISO的OSI安全體系結(jié)構(gòu)中,以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制參考答案：B48.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中,有關(guān)保護(hù)輪廓（ProtectionProfile,PP）和安全目標(biāo)（SecurityTarget，ST）錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)參考答案：C49.有什么方法可以測(cè)試辦公部門的無線安全？A、nWardialing戰(zhàn)爭(zhēng)語言B、n社會(huì)工程學(xué)C、n戰(zhàn)爭(zhēng)駕駛D、n密碼破解參考答案：D50.有關(guān)質(zhì)量管理，錯(cuò)誤的是：A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B、規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D、質(zhì)量管理體系從機(jī)構(gòu)、程序、過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量參考答案：C51.有關(guān)質(zhì)量管理，錯(cuò)誤的理解是A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B、規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D、質(zhì)量管理體系從機(jī)構(gòu)、程序、過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量參考答案：C52.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實(shí)施（GenericPractices，GP）錯(cuò)誤理解是：A、GP是涉及過程的管理、測(cè)量和制度化方面的活動(dòng)B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動(dòng)而非所有PA的活動(dòng)C、在工程實(shí)施時(shí)，GP應(yīng)該作為基本實(shí)施（BasePractices，BP）的一部分加以執(zhí)行D、在評(píng)估時(shí)，GP用于判定工程組織執(zhí)行某個(gè)PA的能力參考答案：B53.有關(guān)危害國家秘密安全的行為，包括：A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為參考答案：A54.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是（）A、要求開發(fā)人員采用瀑布開發(fā)模型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題參考答案：A55.由于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說法錯(cuò)誤的是？A、科克霍夫在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴于對(duì)加密體質(zhì)或算法的保密，而依賴于密鑰B、在保密通信過程中，通信雙方可以一直使用之前用過的會(huì)話密鑰，不影響安全性C、密鑰管理需要再安全策略的指導(dǎo)下處理密鑰生命周期的整個(gè)過程，包括產(chǎn)生、存儲(chǔ)備份、分配、更新、撤銷等D、在保密通信過程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話密鑰進(jìn)行保密通信參考答案：B56.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊,管理員決定對(duì)設(shè)置帳戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下:A、設(shè)置賬戶鎖定策略后,攻擊者無法再進(jìn)行口令暴力破解,所有輸錯(cuò)的密碼的擁護(hù)就會(huì)被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼,那么該賬戶就會(huì)被鎖定10分鐘,10分鐘內(nèi)即使輸入正確的密碼,也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次,那么該擁護(hù)帳號(hào)被鎖定5分鐘,5分鐘內(nèi)即使交了正確的密碼,也無法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí),只要連續(xù)輸錯(cuò)3次密碼,該賬戶就被鎖定10分鐘,而正常擁護(hù)登陸不受影響參考答案：B57.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作：由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級(jí)別事件（）A、特別重大事件B、重大事件C、較大事件D、一般事件參考答案：D58.由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分園區(qū)癱瘓，或者郵件、計(jì)費(fèi)服務(wù)器不能正常工作，屬于以下哪種級(jí)別事件A、特別重大事件B、重大事件C、較大事件D、一般事件參考答案：B59.用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（）。A、加密機(jī)制和數(shù)字簽名機(jī)制B、加密機(jī)制和訪問控制機(jī)制C、數(shù)字簽名機(jī)制和路由控制機(jī)制D、訪問控制機(jī)制和路由控制機(jī)制參考答案：A60.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程中和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是？A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登錄的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨便更改權(quán)限，增加訪問控制的力度，限制非法訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩存區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤、內(nèi)存或緩存區(qū)中的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件。包括機(jī)房環(huán)境，機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等參考答案：D61.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段，為準(zhǔn)備－>檢測(cè)－〉遏制－〉根除－〉恢復(fù)－〉跟蹤總結(jié)。請(qǐng)問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是（）。A、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟參考答案：C62.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容，基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性。事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低，應(yīng)急響應(yīng)方法和過程并不是唯一的，一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段。為準(zhǔn)備→檢測(cè)→通知→根除→恢復(fù)→跟蹤總結(jié)。請(qǐng)問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)和防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)，報(bào)告及信息收集C、控制措施可能會(huì)因?yàn)闀r(shí)間的類別和級(jí)別不同而完全不同，常見的控制措施有，完全關(guān)閉所有系統(tǒng)，關(guān)掉網(wǎng)絡(luò)等D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，其次恢復(fù)相關(guān)的系統(tǒng)參考答案：A63.應(yīng)急響應(yīng)計(jì)劃文檔不應(yīng)該A、分發(fā)給公司所有人員B、分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員C、具有多份拷貝在不同的地點(diǎn)保存D、由專人負(fù)責(zé)保存與分發(fā)參考答案：A64.異常入侵檢測(cè)是入侵檢測(cè)系統(tǒng)常用的一種技術(shù)，它是識(shí)別系統(tǒng)或用戶的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用，從而檢測(cè)出入侵行為。下面說法錯(cuò)誤的是？A、在異常入侵檢測(cè)中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測(cè)，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測(cè)可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報(bào)警D、異常入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為參考答案：B65.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入?yún)⒖即鸢福篋66.以下無線加密標(biāo)準(zhǔn)中哪一種安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P參考答案：A67.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式:用戶登錄時(shí),認(rèn)證服務(wù)器（AuthenticationServer,AS）產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶,用戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令,并發(fā)送給AS,AS用同樣的方法計(jì)算后,驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。A、口令序列B、時(shí)間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令參考答案：C68.以下哪組全部是完整性模型？A、BLP模型和BIBA模型B、BIBA模型和Clark－Wilson模型C、Chinesewall模型和BIBA模型D、Clark－Wilson模型和Chinesewall模型參考答案：B69.以下哪種做法是正確的“職責(zé)分離”做法？A、程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺(tái)C、控制臺(tái)操作員可以操作磁帶和硬盤D、磁帶操作員可以使用系統(tǒng)控制臺(tái)參考答案：A70.以下哪種無線加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？A、WepB、wpaC、wpa2D、wapi參考答案：A71.以下哪種情形下最適合使用數(shù)據(jù)鏡像來作為恢復(fù)策略?A、高的災(zāi)難容忍度B、高的恢復(fù)時(shí)間目標(biāo)（RTO）C、低的恢復(fù)點(diǎn)目標(biāo)（RPO）D、高的恢復(fù)點(diǎn)目標(biāo)（RPO）參考答案：C72.以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險(xiǎn)？A、總風(fēng)險(xiǎn)B、最小化風(fēng)險(xiǎn)C、可接受風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)參考答案：C73.以下哪一項(xiàng)是D.OS攻擊的一個(gè)實(shí)例？A、SQL注入B、IPSPOOFC、SMURF攻擊D、字典破解參考答案：C74.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力參考答案：C75.以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作參考答案：A76.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP參考答案：A77.以下哪一項(xiàng)不是BLP模型的主要任務(wù)：A、定義使得系統(tǒng)獲得“安全”的狀態(tài)集合B、檢查所有狀態(tài)的變化均始于一個(gè)“安全狀態(tài)”并終止于另一個(gè)“安全狀態(tài)”C、檢查系統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”D、選擇系統(tǒng)的終止?fàn)顟B(tài)參考答案：D78.以下哪些是可能存在的威脅因素？A、設(shè)備老化故障B、病毒和蠕蟲C、系統(tǒng)設(shè)計(jì)缺陷D、保安工作不得力參考答案：B79.以下哪些不是應(yīng)該識(shí)別的信息資產(chǎn)？A、網(wǎng)絡(luò)設(shè)備B、客戶資料C、辦公桌椅D、系統(tǒng)管理員參考答案：C80.以下哪些不是《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國網(wǎng)絡(luò)空間當(dāng)前任務(wù)？A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國外網(wǎng)絡(luò)連接參考答案：D81.以下哪項(xiàng)不屬于造成信息安全問題的自然環(huán)境因素？A、縱火。B、地震。C、極端天氣。D、洪水。參考答案：A82.以下哪項(xiàng)不是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn):A、不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)源；B、與操作系統(tǒng)無關(guān)；C、實(shí)時(shí)監(jiān)視和檢測(cè)網(wǎng)絡(luò)攻擊或者濫用D、可以分析加密數(shù)據(jù)參考答案：D83.以下哪個(gè)選項(xiàng)不是防火墻技術(shù)？A、IP地址欺騙防護(hù)B、NATC、訪問控制D、SQL注入攻擊防護(hù)參考答案：D84.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是參考答案：D85.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？A、LandB、UDPFloodC、SmurfD、teardrop參考答案：D86.以下哪個(gè)不是應(yīng)用層防火墻的特點(diǎn)A、更有效地阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對(duì)用戶透明D、比較容易進(jìn)行審計(jì)參考答案：C87.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議（ARP）欺騙的根源之一?A、ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議參考答案：D88.以下可能存在SQL注入攻擊的部分是？A、GET請(qǐng)求參數(shù)B、POST請(qǐng)求參數(shù)C、COOKIE值D、以上均有可能參考答案：D89.以下角色誰應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任？A、信息系統(tǒng)安全專家B、業(yè)務(wù)主管C、安全主管D、系統(tǒng)審查員參考答案：B90.以下行為不屬于違反國家保密規(guī)定的行為：A、將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、通過普通郵政等無保密措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家機(jī)密D、以不正當(dāng)手段獲取商業(yè)機(jī)密參考答案：D91.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解,說法正確的是（）.A、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同,災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)B、使用差分備份,數(shù)據(jù)恢復(fù)時(shí)只需最后一次的標(biāo)準(zhǔn)備份與差分備份,如果每天都有大量數(shù)據(jù)變化,差分備份工作非常費(fèi)時(shí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為操作系統(tǒng)備份和數(shù)據(jù)庫備份D、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件參考答案：B92.以下關(guān)于信息安全工程說法正確的是（）A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B、信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)參考答案：C93.以下關(guān)于軟件安全測(cè)試說法正確的是？A、軟件安全測(cè)試就是黑盒測(cè)試B、Fuzz測(cè)試是經(jīng)常采用的安全測(cè)試方法之一C、軟件安全測(cè)試關(guān)注的是軟件的功能D、軟件安全測(cè)試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題參考答案：B94.以下關(guān)于模糊測(cè)試過程的說法正確的是：A、模糊測(cè)試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測(cè)試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場(chǎng)保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測(cè)試C、通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告參考答案：C95.以下關(guān)于檢查評(píng)估和自評(píng)估說法錯(cuò)誤的是（）.A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式.應(yīng)以檢查評(píng)估為主,自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、自評(píng)估只能由組織自身發(fā)起并實(shí)施,對(duì)信息系統(tǒng)及其管理進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)C、檢查評(píng)估可以依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實(shí)施完整的風(fēng)險(xiǎn)評(píng)估,也可以在自評(píng)估實(shí)施的基礎(chǔ)上,對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估D、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程參考答案：A96.以下關(guān)于國內(nèi)信息化發(fā)展的描述，錯(cuò)誤的是（）。A、從20世紀(jì)90年代開始，我國把信息化提到了國家戰(zhàn)略高度。B、成為聯(lián)合國衛(wèi)星導(dǎo)航委員會(huì)認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)是由我國自主研制的。C、我國農(nóng)村寬帶人口普及率與城市的差距在最近三年來持續(xù)拉大。D、經(jīng)過多年的發(fā)展，截至2013年底，我國在全球整體的信息與計(jì)算技術(shù)發(fā)展排名中已處于世界領(lǐng)先水平。參考答案：D97.以下關(guān)于風(fēng)險(xiǎn)評(píng)估的描述不正確的是？A、作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生的可能需要被評(píng)估B、作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評(píng)估C、風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步D、風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最終結(jié)果參考答案：D98.以下關(guān)于對(duì)稱密鑰加密說法正確的是：（）。A、加密方和解密方可以使用不同的算法B、加密密鑰和解密密鑰可以是不同的C、加密密鑰和解密密鑰必須是相同的D、密鑰的管理非常簡(jiǎn)單參考答案：C99.以下關(guān)于定級(jí)工作說法不正確的是：（）A、確定定級(jí)對(duì)象過程中，定級(jí)對(duì)象是指以下內(nèi)容：起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）以及用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務(wù)系統(tǒng)。B、確定信息系統(tǒng)安全保護(hù)等級(jí)僅僅是指確定信息系統(tǒng)屬于五個(gè)等級(jí)中的哪一個(gè)。C、在定級(jí)工作中同類信息系統(tǒng)的安全保護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低。D、新建系統(tǒng)在規(guī)劃設(shè)計(jì)階段應(yīng)確定等級(jí)，按照信息系統(tǒng)等級(jí)，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施參考答案：A100.以下關(guān)于代替密碼的說法正確的是:A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個(gè)bit異或D、明文根據(jù)密鑰作移位參考答案：A101.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccountsManager）的說法哪個(gè)是正確的？A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性參考答案：D102.以下關(guān)于UDP協(xié)議的說法，哪個(gè)是錯(cuò)誤的?A、UDP具有簡(jiǎn)單高效的特點(diǎn)，常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊B、UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP可通過端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序C、相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D、UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù)參考答案：D103.以下關(guān)于SMTP和POP3協(xié)議的說法哪個(gè)是錯(cuò)誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D、SMTP和POP3協(xié)議由于協(xié)議簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件參考答案：A104.以下關(guān)于RBAC模型的說法正確的是A、該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來決定用戶在系統(tǒng)中的訪問權(quán)限B、一個(gè)用戶必項(xiàng)扮演并激活某種角色,才能對(duì)一個(gè)對(duì)象進(jìn)行訪問或執(zhí)行某種摸作C、在該模型中,每個(gè)用戶只能有一個(gè)角色D、在該模型中,權(quán)限與用戶關(guān)聯(lián),用戶與角色關(guān)聯(lián)參考答案：B105.以下關(guān)于Linux用戶和組的描述不正確的是：A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、Root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都且有訪問權(quán)限參考答案：D106.以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A、內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議C、內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D、內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤參考答案：D107.以下對(duì)于IATF信息安全保障技術(shù)框架的說法錯(cuò)誤的是：A、它由美國國家安全局公開發(fā)布B、它的核心思想是信息安全深度防御（Defense-in-Depth）C、它認(rèn)為深度防御應(yīng)當(dāng)從策略、技術(shù)和運(yùn)行維護(hù)三個(gè)層面來進(jìn)行D、它將信息系統(tǒng)保障的技術(shù)層面分為計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)置和支撐性技術(shù)設(shè)施4個(gè)部分參考答案：C108.以下對(duì)信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性B、信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性C、信息安全就是不出安全事故/事件D、信息安全不僅僅只考慮防止信息泄密就可以了參考答案：C109.以下對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是：A、引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對(duì)數(shù)據(jù)庫進(jìn)行非法的訪問C、一種很強(qiáng)大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁中，從而達(dá)到惡意的目的參考答案：D110.以下對(duì)RADIUS協(xié)議說法正確的是:A、它是一種B/S結(jié)構(gòu)的協(xié)議B、它是一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議C、它使用TCP通信D、它的基本組件包括認(rèn)證、授權(quán)和加密參考答案：B111.以下對(duì)Kerberos協(xié)議過程說法正確的是（）A、協(xié)議可分為兩個(gè)步驟：一是用戶身份鑒別；二十獲取請(qǐng)求服務(wù)B、協(xié)議可分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二十獲取請(qǐng)求服務(wù)C、協(xié)議可分為三個(gè)步驟；一是用戶身份鑒別；二十獲得票據(jù)；三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)參考答案：D112.以下場(chǎng)景描述了基于角色的訪問控制模型（Role-basedAccessControl．RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限（不同類別和級(jí)別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制參考答案：D113.以下windows服務(wù)的說法錯(cuò)誤的是A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeC、windows服務(wù)只有在用戶成功登陸系統(tǒng)后才能運(yùn)行D、windows服務(wù)通常是以管理員的身份運(yùn)行的參考答案：C114.以下SQL語句建立的數(shù)據(jù)庫對(duì)象是:A、表B、視圖C、存儲(chǔ)過程D、觸發(fā)器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123參考答案：B115.一個(gè)組織已經(jīng)創(chuàng)建了一個(gè)策略來定義用戶禁止訪問的網(wǎng)站類型。哪個(gè)是最有效的技術(shù)來達(dá)成這個(gè)策略?A、狀態(tài)檢測(cè)防火墻B、網(wǎng)頁內(nèi)容過濾C、網(wǎng)頁緩存服務(wù)器D、代理服務(wù)器參考答案：B116.一個(gè)組織將制定一項(xiàng)策略以定義了禁止用戶訪問的WEB站點(diǎn)類型。為強(qiáng)制執(zhí)行這一策略，最有效的技術(shù)是什么？A、狀態(tài)檢測(cè)防火墻B、內(nèi)容過濾器C、WEB緩存服務(wù)器D、應(yīng)該代理服務(wù)器參考答案：B117.一個(gè)公司解雇了一個(gè)數(shù)據(jù)庫管理員,并且解雇時(shí)立刻取消了數(shù)據(jù)庫管理員對(duì)公司所有系統(tǒng)的訪問權(quán),但是數(shù)據(jù)管理員威脅說數(shù)據(jù)庫在兩個(gè)月內(nèi)將被刪除，除非公司付他一大筆錢。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫？A、放置病毒B、蠕蟲感染C、攻擊D、邏輯炸彈攻擊參考答案：D118.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來C、捕獲錯(cuò)誤，并拋出前臺(tái)顯示D、捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息參考答案：D119.要在Cisco路由器上設(shè)定“showlogging”只能在特權(quán)模式下執(zhí)行，以下的操作正確的是：（）A、Router（config）#loggingtrapinformationB、Router（config）#set‘showlogging’execC、Router（config）#showloggingD、Router（config）#privilegeexeclevel15showlogging參考答案：D120.要限制用戶連接vty，只允許IP可以連接，下面哪一個(gè)配置適用：A、access-list1permitLinevty04Access-class1inB、access-list1permit55Linevty04Access-class1inC、access-list1permitLinevty6670Access-class1inD、access-list1permitLinevty04Access-group1in參考答案：A121.許多web應(yīng)用程序存在大量敏感數(shù)據(jù)，包括信用卡、杜?？ㄌ?hào)碼、身份認(rèn)證證書等，Web應(yīng)用這些敏感信息存儲(chǔ)到數(shù)據(jù)庫或者文件系統(tǒng)中，但是并使用適當(dāng)?shù)募用艽胧﹣肀Ｗo(hù)。小李不想自己的銀行卡密碼被泄露，他一直極力避免不安全的密碼存儲(chǔ)，他總結(jié)出幾種不安全的密碼存儲(chǔ)問題，其中有一項(xiàng)應(yīng)該歸為措施，請(qǐng)問是哪一項(xiàng)（）A、使用弱算法B、使用話當(dāng)?shù)募用艽胧┗騂ash算法C、不安全的密鑰生成和儲(chǔ)存D、不輪換密鑰參考答案：B122.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個(gè)臨時(shí)的.安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是A、sPccial-purpose,特定的.專用用途的B、Proprietary,專有的.專賣的C、Private,私有的.專有的是D、sPecific,特種的.具體的參考答案：C123.信息系統(tǒng)審核員應(yīng)該預(yù)期誰來授權(quán)對(duì)生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？A、流程所有者B、系統(tǒng)管理員C、安全管理員D、數(shù)據(jù)所有者參考答案：D124.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng),應(yīng)當(dāng)（）年進(jìn)行一次等級(jí)測(cè)評(píng)?A、0.5B、1C、2D、3參考答案：B125.信息收集是（）攻擊實(shí)施的基礎(chǔ)，因此攻擊者在實(shí)施前會(huì)對(duì)目標(biāo)進(jìn)行（），了解目標(biāo)所有相關(guān)的（）。這些資料和信息對(duì)很多組織機(jī)構(gòu)來說都是公開或看無用的，然而對(duì)攻擊者來說，這些信息都是非常有價(jià)值的，這些信息收集得越多，離他們成功得實(shí)現(xiàn)（）就越近。如果為信息沒有價(jià)值或價(jià)值的非常低，組織機(jī)構(gòu)通常不會(huì)采取措施（），這正是社會(huì)工程學(xué)攻擊者所希望的。A、信息收集；社會(huì)工程學(xué)；資料和信息；身份偽裝；進(jìn)行保護(hù)B、社會(huì)工程學(xué)；信息收集；資料和信息；身份偽裝；進(jìn)行保護(hù)C、社會(huì)工程學(xué)；信息收集；身份偽裝；資料和信息；進(jìn)行保護(hù)D、信息收集；資料和信息；社會(huì)工程學(xué)；身份偽裝；進(jìn)行保護(hù)參考答案：B126.信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是：A、信息化建設(shè)的結(jié)束就是信息安全建設(shè)的開始B、信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實(shí)施C、信息化建設(shè)和信息安全建設(shè)是交替進(jìn)行的，無法區(qū)分誰先誰后D、以上說法都正確參考答案：B127.信息保障技術(shù)框架（IATF）是美國國家安全局（NSA）制定的，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，關(guān)于IATF的說法錯(cuò)誤的是？A、IATF的代表理論為“深度防御”。B、IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，從多種不同的角度對(duì)信息系統(tǒng)進(jìn)行防護(hù)。C、IATF關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施三個(gè)信息安全保障領(lǐng)域。D、IATF論述了系統(tǒng)工程、系統(tǒng)采購、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周期支持等過程。參考答案：C128.信息安全政策聲明：”每個(gè)人必須在進(jìn)入每一個(gè)控制門時(shí)，都必須讀取自己的證件”,防范的是哪一種攻擊方式?A、尾隨PiggybackingB、肩窺ShouldersurfingC、DumpsterdivingD、冒充Impersonation參考答案：A129.信息安全應(yīng)急響應(yīng)計(jì)劃總則中，不包括以下哪個(gè)A、編制目的B、編制依據(jù)C、工作原則D、角色職責(zé)參考答案：D130.信息安全是通過實(shí)施一組合適的（）而達(dá)到的,包括策略、過程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的（）過程,以確保滿足該組織的特定安全和（）。這個(gè)過程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A、信息安全管理;控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);管理過程B、組織結(jié)構(gòu);控制措施;信息安全管理;業(yè)務(wù)目標(biāo);管理過程C、控制措施;組織結(jié)構(gòu);信息安全管理;業(yè)務(wù)目標(biāo);管理過程D、控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標(biāo);信息安全管理;管理過程參考答案：C131.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、各國普遍將與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國普遍加強(qiáng)國際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)參考答案：C132.信息安全事件的分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》，信息安全事件分為7個(gè)基本類別,描述正確的A、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。B、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。C、網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。參考答案：B133.信息安全管理體系是基于（）方法，來建立、實(shí)施、動(dòng)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。A、信息安全B、業(yè)務(wù)風(fēng)險(xiǎn)C、信息系統(tǒng)防護(hù)D、安全風(fēng)險(xiǎn)參考答案：B134.信息安全管理體系（簡(jiǎn)稱ISMS）的內(nèi)部審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述錯(cuò)誤的是？A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也是?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式采用公開管理評(píng)審會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評(píng)審中，這些文件是被審對(duì)象參考答案：C135.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng),關(guān)于這兩者,下面描述的錯(cuò)誤是A、內(nèi)部審核和管理評(píng)審都很重要,都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?也都應(yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式,而管理評(píng)審的實(shí)施方式多采用召開管理評(píng)審會(huì)議形式進(jìn)行C、內(nèi)部審核的實(shí)施主體組織內(nèi)部的ISMS內(nèi)審小組,而管理評(píng)審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用,但在管理評(píng)審總,這些文件時(shí)被審對(duì)象參考答案：C136.信息安全管理措施不包括：A、安全策略B、物理和環(huán)境安全C、訪問控制D、安全范圍參考答案：D137.信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度參考答案：A138.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國信辦（2006）5號(hào)）中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是（）。A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充C、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長期使用D、自評(píng)估和檢查評(píng)估是相互排斥的，無特殊理由單位均應(yīng)選擇檢查評(píng)估，以保證安全效果參考答案：A139.信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理,也就是,始終以（）為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際（）的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即（）選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)參考答案：A140.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境參考答案：C141.信息安全等級(jí)保護(hù)分級(jí)要求，第三級(jí)適用正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害C、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害D、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害參考答案：B142.信息安全策略的制定和維護(hù)中，最重要是要保證其（）和相對(duì)穩(wěn)定性。A、明確性B、細(xì)致性C、標(biāo)準(zhǔn)性D、開放性參考答案：A143.信息安全標(biāo)準(zhǔn)化工作是我國信息安全保障工作的重要組成部分之一，他是政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國家利益，促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一，關(guān)于我國信息安全標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是？A、我國是在國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國標(biāo)準(zhǔn)化工作，下設(shè)有專業(yè)技術(shù)委員會(huì)。B、因事關(guān)國家安全利益，信息安全因此不能和國際標(biāo)準(zhǔn)相同，而是要通過本國組織和專家制定標(biāo)準(zhǔn)，切實(shí)有效地保護(hù)國家利益和安全C、我國歸口信息安全方面標(biāo)準(zhǔn)的是“全國信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)”，為加強(qiáng)有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D、信息安全標(biāo)準(zhǔn)化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品，設(shè)施的技術(shù)先進(jìn)性，可靠性和一致性。參考答案：B144.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），目的是為保障政府和工業(yè)的（）提供了（）。信息安全保障技術(shù)框架的一個(gè)核心思想是（）。深度防御戰(zhàn)略的三個(gè)核心要素：（）、技術(shù)和運(yùn)行（亦稱為操作）。A、信息基礎(chǔ)設(shè)施；深度防御；技術(shù)指南；人員B、技術(shù)指南；信息基礎(chǔ)設(shè)施；深度防御；人員C、信息基礎(chǔ)設(shè)施；技術(shù)指南；人員；深度防御D、信息基礎(chǔ)設(shè)施；技術(shù)指南；深度防御；人員參考答案：D145.小張?jiān)谀硢挝皇秦?fù)責(zé)事信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估工作形式，小張認(rèn)為：1．風(fēng)險(xiǎn)評(píng)估工作形式包括：自評(píng)估和檢查評(píng)估；2．自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；3．檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估；4．對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中的一個(gè)，非此即彼.請(qǐng)問小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)參考答案：D146.小張新購入了一臺(tái)安裝了windows操作系統(tǒng)的筆記本電腦，為了提升操作系統(tǒng)的安全性，小張?jiān)趙indows系統(tǒng)中的“本地安全策略”中配置了四類安全策略：賬號(hào)策略、本地策略、公鑰策略和IP安全策略，那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的A、關(guān)閉不必要的服務(wù)B、制定操作系統(tǒng)的策略C、關(guān)閉不必要的端口D、開啟審核策略參考答案：B147.小強(qiáng)接到電話，對(duì)方稱他的快遞沒有及時(shí)領(lǐng)取，請(qǐng)聯(lián)系XXXX電話，小強(qiáng)撥打該電話后提供自己的私人信息后，對(duì)方告知小強(qiáng)并沒有快遞。過了一個(gè)月之后，小強(qiáng)的多個(gè)賬號(hào)都無法登錄。在這個(gè)事件當(dāng)中，請(qǐng)問小強(qiáng)最有可能遇到了什么情況？（）A、快遞信息錯(cuò)誤而已，小強(qiáng)網(wǎng)站賬號(hào)丟失與快遞這件事情無關(guān)B、小強(qiáng)遭到了社會(huì)工程學(xué)詐騙，得到小強(qiáng)的信息從而反推出各種網(wǎng)站的賬號(hào)密碼C、小強(qiáng)遭到了電話詐騙，想欺騙小強(qiáng)財(cái)產(chǎn)D、小強(qiáng)的多個(gè)網(wǎng)站賬號(hào)使用了弱口令，所以被盜。參考答案：B148.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是（）。A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、放棄風(fēng)險(xiǎn)參考答案：B149.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí)，發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RPO（恢復(fù)點(diǎn)目標(biāo)）指標(biāo)為3小時(shí)。請(qǐng)問這意味著（）A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問題定位和應(yīng)急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完整應(yīng)急處理工作并恢復(fù)對(duì)外運(yùn)行C、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至少能提供3小時(shí)的緊急業(yè)務(wù)服務(wù)能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)參考答案：D150.小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問題,小紅說他看到有新聞?wù)f在2011年2月3日,全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天劃分給所有的區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu),IP地址總庫已經(jīng)枯竭,小明嚇了一跳覺得以后上網(wǎng)會(huì)成問題,小紅安慰道,不用擔(dān)心,現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢,以下小紅說的優(yōu)點(diǎn)中錯(cuò)誤的是（）A、網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展B、IPv6對(duì)多播進(jìn)行了改進(jìn),使得具有更大的多播地址空間C、繁雜報(bào)頭格式D、良好的擴(kuò)展性參考答案：C151.小東在自己的筆記本上發(fā)現(xiàn)如下記錄:不同操作系統(tǒng)的IP協(xié)議棧實(shí)現(xiàn)之間存在細(xì)微的差別,通過這些差別,可以區(qū)分出目標(biāo)操作系統(tǒng)的類型及版本。但他忘了寫上這種方法的名字,請(qǐng)問這種方法叫（）A、TCP/IP協(xié)議棧指紋識(shí)別法B、正向地址答案說明C、間接交付D、分組交付參考答案：A152.相對(duì)于現(xiàn)有殺毒軟件在終端系統(tǒng)中提供保護(hù)不同，（）在內(nèi)外網(wǎng)絡(luò)邊界處提供更加主動(dòng)和積極的病毒保護(hù)。A、防火墻B、病毒網(wǎng)關(guān)C、IPSD、IDS參考答案：B153.下圖顯示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對(duì)應(yīng),（）的目的是建立評(píng)估框架,并為現(xiàn)場(chǎng)階段準(zhǔn)備后勤方面的工作。（）的目的是準(zhǔn)備評(píng)估團(tuán)隊(duì)進(jìn)行現(xiàn)場(chǎng)活動(dòng),并通過問卷進(jìn)行數(shù)據(jù)的初步收集和分析。（）主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評(píng)組織的專業(yè)人員提供與數(shù)據(jù)采集和證實(shí)過程的機(jī)會(huì),小組對(duì)在此就三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行（）。并將調(diào)查結(jié)果呈送個(gè)發(fā)起者。A、現(xiàn)場(chǎng)階段;規(guī)劃階段;準(zhǔn)備階段;最終分析B、準(zhǔn)備階段;規(guī)劃階段;現(xiàn)場(chǎng)階段;最終分析C、規(guī)劃階段;現(xiàn)場(chǎng)階段;準(zhǔn)備階段;最終分析D、規(guī)劃階段;準(zhǔn)備階段;現(xiàn)場(chǎng)階段;最終分析參考答案：D154.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)仔細(xì)分析該圖，下面選項(xiàng)中推斷正確的是（）C:\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主機(jī)的連接。C:DocumentsandSettings\lyxjaowei>.A、安全測(cè)試人員連接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)開啟了FTP服務(wù)，使用的服務(wù)器軟件名為FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是Windows參考答案：D155.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：A、安全必須是完美無缺、面面俱到的。B、最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C、在解決、預(yù)防信息安全問題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D、防范不足就會(huì)造成損失；防范過多就可以避免損失。參考答案：C156.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層Web架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時(shí),采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)參考答案：C157.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的？A、設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B、設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文參考答案：A158.下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？A、資產(chǎn)及其價(jià)值B、數(shù)據(jù)安全C、威脅D、控制措施參考答案：B159.下面哪一種物理訪問控制能夠?qū)Ψ鞘跈?quán)訪問提供最高級(jí)別的安全？A、門鎖B、密碼鎖C、電子門鎖D、指紋掃描器參考答案：D160.下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B、控制已經(jīng)過了測(cè)試C、安全控制規(guī)范是基于風(fēng)險(xiǎn)分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測(cè)試的參考答案：D161.下面哪一項(xiàng)情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容C、中的內(nèi)容用戶使用加密軟件對(duì)自己家編寫的Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容D、某個(gè)人嘗試登陸到你的計(jì)算機(jī)中，但是口令輸入的不對(duì)，系統(tǒng)提示口令錯(cuò)誤，并將這次失敗的登陸過程記錄在系統(tǒng)日志中參考答案：A162.下面哪一項(xiàng)不屬于集中訪問控制管理技術(shù)？A、RADIUSB、TEMPESTC、TACACSD、Diameter參考答案：B163.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC、C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）參考答案：C164.下面哪一項(xiàng)安全控制措施不是用來檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的：A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶和管理員操作日志D、啟用時(shí)鐘同步參考答案：A165.下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全測(cè)試B、對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C、防止敏感信息泄漏D、人員培訓(xùn)參考答案：A166.下面哪一個(gè)不是高層安全方針?biāo)P(guān)注的A、識(shí)別關(guān)鍵業(yè)務(wù)目標(biāo)B、定義安全組織職責(zé)C、定義安全目標(biāo)D、定義防火墻邊界防護(hù)策略參考答案：D167.下面哪一層可以實(shí)現(xiàn)編碼，加密A、傳輸層B、會(huì)話層C、網(wǎng)絡(luò)層D、物理層參考答案：B168.下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題A、軟件部署時(shí)對(duì)所選用的服務(wù)器性能不高，導(dǎo)致軟件執(zhí)行效率低B、應(yīng)用軟件未考慮多線程技術(shù)，在對(duì)多用戶服務(wù)時(shí)按序排對(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所有數(shù)據(jù)D、軟件受許可證（LICENSE）限制，不能在多臺(tái)電腦上安裝參考答案：C169.下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題？A、軟件部署時(shí)對(duì)所選用的服務(wù)器性能不高，導(dǎo)致軟件執(zhí)行效率低B、應(yīng)用軟件未考慮多線程技術(shù)，在對(duì)多用戶服務(wù)時(shí)按序排對(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所有數(shù)據(jù)D、軟件受許可證（LICENSE）限制，不能在多臺(tái)電腦上安裝參考答案：C170.下面哪個(gè)文檔是由Nist發(fā)布的（）A、ISO-27001B、X.509iTUC、SP800-37D、RFC2402參考答案：C171.下面哪個(gè)命令可以打印Linux下的所有進(jìn)程信息A、ls-dB、ls-lC、suD、ps-ef參考答案：D172.下面關(guān)于訪問控制模型的說法不正確的是：A、DAC模型中主體對(duì)它所屬的對(duì)象和運(yùn)行的程序有全部的控制權(quán)B、DAC實(shí)現(xiàn)提供了一個(gè)基于“need-to-know”的訪問授權(quán)的方法，默認(rèn)拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個(gè)主體能訪問哪個(gè)對(duì)象。但用戶可以改變它。D、RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對(duì)象為某個(gè)類型，主體具有相應(yīng)的角色就可以訪問它。參考答案：C173.下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說法正確的選項(xiàng)是A、通過將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來進(jìn)行計(jì)算的一種方法B、采用文字形式或表達(dá)性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性C、在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來源中得到的數(shù)據(jù)D、定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析參考答案：B174.下面對(duì)于CC的“評(píng)估保證級(jí)”（EAL）的說法最準(zhǔn)確的是：A、代表著不同的訪問控制強(qiáng)度B、描述了對(duì)抗安全威脅的能力級(jí)別C、是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對(duì)安全行為和安全功能的不同要求D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度參考答案：D175.下面對(duì)國家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國家秘密法》要求：A、國家秘密和其密級(jí)的具體范圍，由國家保密工作部門分別會(huì)同外交、公安、國家安全和其他中央有關(guān)規(guī)定B、各級(jí)國家機(jī)關(guān)、單位對(duì)所產(chǎn)生的秘密事項(xiàng)，應(yīng)當(dāng)按照國家秘密及其密級(jí)的具體范圍的規(guī)定確定密級(jí)C、對(duì)是否屬于國家和屬于何種密級(jí)不明確的事項(xiàng)，可有各單位自行參考國家要求確定和定級(jí)，然后報(bào)國家保密工作部門備案。D、對(duì)是否屬于國家和屬于何種密級(jí)不明確的事項(xiàng)，由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機(jī)關(guān)確定參考答案：C176.下面對(duì)ISO27001的說法最準(zhǔn)確的是：A、該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南B、該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐D、該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個(gè)模型參考答案：D177.下面對(duì)“零日（Zero-day）漏洞”的理解中，正確的是？A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目的D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未被公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞參考答案：D178.下列選項(xiàng)中，哪個(gè)不是我國信息安全保障工作的主要內(nèi)容：A、加強(qiáng)信息安全標(biāo)準(zhǔn)化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標(biāo)準(zhǔn)體系B、建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系