CISP注冊信息安全專業(yè)人員通關(guān)必做強化訓(xùn)練試題庫（附答案）1.（）第二十三條規(guī)定存儲、處理國家秘密的計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照（）實行分級保護。應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格參考答案：A2.（）協(xié)議是一個用于提供IP數(shù)據(jù)報完整性、身份認(rèn)證和可選的抗重播保護的機制，但不提供數(shù)據(jù)機密性保護。A、AH協(xié)議B、ESP協(xié)議C、IPSec協(xié)議D、PPTP協(xié)議參考答案：A3.（）在實施攻擊之前，需要盡量收集偽裝身份（），這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團公司總部的（），那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團公司中相關(guān)人員的綽號等等。A、攻擊者；所需要的信息；系統(tǒng)管理員；基礎(chǔ)；內(nèi)部約定B、所需要的信息；基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C、攻擊者；所需要的信息；基礎(chǔ)；系統(tǒng)管理員；內(nèi)都約定D、所需要的信息；攻擊者；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定參考答案：C4.“CC”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案（）A、評估對象（TOE）B、保護輪廊（PP）C、安全目標(biāo)（ST）D、評估保證級（EAL）參考答案：C5.“公開密鑰密碼體制”的含義是（）。A、將所有密鑰公開B、將私有密鑰公開，公開密鑰保密C、將公開密鑰公開，私有密鑰保密D、兩個密鑰相同參考答案：C6.“會話偵聽和劫持技術(shù)”是屬于（）的技術(shù)。A、密碼分析還原B、協(xié)議漏洞滲透C、應(yīng)用漏洞分析與滲透D、DOS攻擊參考答案：B7.“進不來”“拿不走”“看不懂”“改不了”“走不脫”是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中，“看不懂”是指下面那種安全服務(wù)：A、、數(shù)據(jù)加密B、、身份認(rèn)證C、、數(shù)據(jù)完整性D、、訪問控制參考答案：A8.《計算機信息系統(tǒng)安全保護條例》規(guī)定，（）主管全國計算機信息系統(tǒng)安全保護工作。A、公安部B、國務(wù)院信息辦C、信息產(chǎn)業(yè)部D、國務(wù)院參考答案：A9.《計算機信息系統(tǒng)安全保護條例》規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在（）向當(dāng)?shù)乜h級以上人民政府公安機關(guān)報告。A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)參考答案：C10.《計算機信息系統(tǒng)安全保護條例》是由中華人民共和國（）第147號發(fā)布的。A、國務(wù)院令B、全國人民代表大會令C、公安部令D、國家安全部令參考答案：A11.108.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫B(tài)、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)C、信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估報告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫參考答案：A12.1998年英國公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一個組織的全面或部分信息安全管理體系評估的（），它可以作為一個正式認(rèn)證方案的（）。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及（）的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全參考答案：A13.1999年，我國發(fā)布的第一個信息安全等級保護的國家標(biāo)準(zhǔn)GB、17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7B、8C、6D、5參考答案：D14.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件A、《國家信息安全戰(zhàn)略報告》（國信[2005]2號）B、《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）C、《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》（國令[2008]54號）D、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）參考答案：C15.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個組織發(fā)布的（）A、國際標(biāo)準(zhǔn)化組織B、國際電工委員會C、國際電信聯(lián)盟遠程通信標(biāo)準(zhǔn)化組織D、Internet工程任務(wù)組參考答案：D16.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是:A、電子簽名--是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有參考答案：D17.2006年5月8日電，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全文分（）部分共計約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標(biāo)標(biāo)準(zhǔn)要闡述，對我國（）發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的（），當(dāng)前我國信息安全保障工作逐步加強。制定并實施了（），初步建立了信息安全管理體制和（）?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護水平明顯提高，互聯(lián)網(wǎng)信息安全管理進一步加強。A、5個;信息化;基本形勢;國家安全戰(zhàn)略;工作機制B、6個;信息化;基本形勢;國家信息安全戰(zhàn)略;工作機制C、7個;信息化;基本形勢;國家安全戰(zhàn)略;工作機制D、8個;信息化;基本形勢;國家信息安全戰(zhàn)略;工作機制參考答案：D18.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃（ComprehensiveNationalCybersecurityInitiative，CNCI）。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強化未來安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D、CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障參考答案：A19.258.小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的“背景建立”的基本概念與認(rèn)識，小王的主要觀點包括：1，背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)險管理項目的規(guī)劃和準(zhǔn)備；2.背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果；3.背景建立包括：風(fēng)險管理準(zhǔn)備，信息系統(tǒng)調(diào)查，信息統(tǒng)分析和信息安全分析；4.背景建立的階段性成果包括：風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告請問小王的所述點中錯誤的是哪項：A、第一個觀點：背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象B、第二個觀點：背景建立的依據(jù)是國家、地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C、第三個觀點：背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字D、第四個觀點：背景建立的階段性成果中不包括有風(fēng)險管理計劃書參考答案：B20.3）下面關(guān)于信息安全系統(tǒng)保障模型的說法不正確的是？A、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分，簡介和一般模型》（GB/T202741：2008）中的信息系統(tǒng)安全保障模型的風(fēng)險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和量化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要確保信息系統(tǒng)的保密性，完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面不需要投入?yún)⒖即鸢福篋21.32.信息安全風(fēng)險評估師信息安全風(fēng)險管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）中，指出了風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項中描述錯誤的是？A、自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B、檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險評估C、信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充D、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并堅持使用參考答案：D22.36.以下關(guān)于IPSECVPN技術(shù)說法正確的是？A、IPSCEVPN不能進行NAT穿越B、IPSCEVPN不能支持外部單點對內(nèi)部網(wǎng)絡(luò)的訪問形式C、IPSCEVPN不僅可以認(rèn)證雙方身份還可以對傳輸?shù)臄?shù)據(jù)進行加密和完。。D、IPSCEVPN有三種模式，傳輸模式、路由模式、通道模式參考答案：C23.382.管理，是指（）組織并利用其各個要素（人、財、物、信息和時空），借助（），完成該組織目標(biāo)的過程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)和（）一樣，也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和（）當(dāng)中。A、管理手段；管理主體；信息管理要素；脆弱性B、B.管理主體；管理手段；信息;管理要素；脆弱性C、C.管理主體；信息；管理手段；管理要素；脆弱性D、D.管理主體；管理要素；管理手段；信息；脆弱性參考答案：B24.40.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項BP是用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP重疊參考答案：C25.41.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果A、《風(fēng)險程度等級列表》B、《風(fēng)險評估方案》C、《風(fēng)險計算報告》D、《需要保護的資產(chǎn)清單》參考答案：D26.41.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第部分：簡介和一般模型》（GB／T20274．1－2006）中描述了信息系統(tǒng)安全保障模型，下面對這個模型理解錯誤的是（）A、該模型強調(diào)保護信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達到實現(xiàn)組織機構(gòu)使命的目的B、該模型是一個強調(diào)持續(xù)發(fā)展的動態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個信息系統(tǒng)生命周期的全過程C、該模型強調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實施和實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D、D、模型將風(fēng)險和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進，在其基礎(chǔ)上增加了人員要素，強調(diào)信息安全的自主性參考答案：D27.473.以下關(guān)于法律的說法錯誤的是（）A、法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力B、法律可以是公開的，也可以是“內(nèi)部”的C、一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改D、法律對違法犯罪的后果由明確規(guī)定，是一種“硬約束”參考答案：B28.49.由于頻繁出現(xiàn)軟件運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？A、要求開發(fā)人員采用敏捷開發(fā)模型進行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題參考答案：A29.65.數(shù)位物件識別號（Digital0bjectIdentifier，簡稱DOI）是一套識別數(shù)位資源的機制，涵括的對象有視頻、報告或書籍等等。它既有一套為資源命名的機制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個典型的DOI識別號，10.1006/jmbi.1998.2354，下列選項錯誤的是（）A、“10.1006”是前級，由國際數(shù)位物件識別號基金會確定B、B.“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C、C.“1006是注冊代理機構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機構(gòu)D、D.后綴部分為:jmbi.1998.2354，由資源發(fā)行者自行指定，用于區(qū)分一個單獨的數(shù)字資料，不具有唯一性參考答案：D30.66.以下哪項不是網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點:A、不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)源；B、與操作系統(tǒng)無關(guān)；C、實時監(jiān)視和檢測網(wǎng)絡(luò)攻擊或者濫用D、可以分析加密數(shù)據(jù)參考答案：D31.78.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SEE-CMM）中的基本實施（BasePractices，BP），正確的理解是：A、BP不限定于特定的方法或工具，不同的業(yè)務(wù)背景中可以使用不同的方法B、B.BP不是根據(jù)廣泛的現(xiàn)有資料、實踐和專家意見綜合得出的C、C.BP不代表信息安全工程領(lǐng)域的最佳實踐D、D.BP不是過程區(qū)域（ProcessAreas，PA）的強制項參考答案：A32.83.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項A、“制定ISMS?針”是建立ISMS階段工作內(nèi)容B、“實施培訓(xùn)和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容參考答案：D33.95.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊參考答案：B34.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度？A、64bitB、128bitC、192bitD、256bit參考答案：A35.ApacheHTTPServer（簡稱Apache）是一個開放源碼的Web服務(wù)運行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A、不選擇Windows平臺，應(yīng)選擇在Linux平臺下安裝使用B、安裝后，修改配置文件httpD、conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用參考答案：B36.ApacheWeb服務(wù)器的配置文件一般位于//local/spache/conf目錄.其中用來控制用戶訪問Apache目錄的配置文件是:A、httqd.confB、srm.confC、access.confD、inetd.conf參考答案：A37.BS7799這個標(biāo)準(zhǔn)是由下面哪個機構(gòu)研發(fā)出來的？A、美國標(biāo)準(zhǔn)協(xié)會B、英國標(biāo)準(zhǔn)協(xié)會C、中國標(biāo)準(zhǔn)協(xié)會D、國際標(biāo)準(zhǔn)協(xié)會參考答案：B38.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進性?A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護輪廓”和“安全目標(biāo)”中進一步細化和擴展B、表達方式的通用性，即給出通用的表達方式C、獨立性，它強調(diào)將安全的功能和保證分離D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中參考答案：C39.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，那一項不是體現(xiàn)CC標(biāo)準(zhǔn)的先進性?A、結(jié)構(gòu)開放性，即功能和保證要求可以“保護輪廓”和“安全目標(biāo)”中進行一步細化和擴展B、表達方式的通用性，即給出通用的表達方式C、獨立性，它強調(diào)將安全的功能和保證分離D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中參考答案：C40.GB/T18336的最低級別是（）A、ELA1B、ELA3C、ELA5D、ELA7參考答案：A41.Hadop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前，Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點都是可靠的，值得信賴的。用戶與服務(wù)器進行交互時并不需要進行驗證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)，篡改分布式存儲的數(shù)據(jù)，偽裝成NameNo或者TaskTracker接受任務(wù)等。在Hadoop2.0中引入了Kerberos機制來解決用戶到服務(wù)器的認(rèn)證問題，Kerber的認(rèn)證過程不包括（）A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)參考答案：C42.IKE協(xié)議由（）協(xié)議混合而成。A、ISAKMP、Oakley、SKEMEB、AH、ESPC、L2TP、GRED、以上皆不是參考答案：A43.InternetExplorer，簡稱IE，是微軟公司推出的一款Web瀏覽器，IE中有很多安全設(shè)置選項，用來設(shè)置安全上網(wǎng)環(huán)境和保護用戶隱私數(shù)據(jù)，以下哪項不是IE中的安全配置項目：A、設(shè)置Cookie安全，允許用戶根據(jù)自己的安全策略要求設(shè)置Cookie策略，包括從阻止所有Cookie到接受所有Cookie，用戶也可以選擇刪除已經(jīng)保存過的CookieB、禁用自動完成和密碼記憶功能，通過設(shè)置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁止IE自動記憶表單中的用戶名和口令信息C、設(shè)置每個鏈接的最大請求數(shù)，修改MaxKeepAliveRequests，如果同時請求數(shù)達到閾值就不再響應(yīng)新的請求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用D、為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別，用戶可以將各個不同的網(wǎng)站分到Internet、本地Internet、受信任的站點、受限制的站點等不同安全區(qū)域中，以采取不同的安全訪問策略參考答案：C44.IPv4協(xié)議在涉及之初并沒有過多的考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進行互聯(lián)、互通，僅僅依靠IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。下列選項中說法錯誤的是A、對于IPv4，IPSec是可選的，對于IPv6，IPSec是強制實施的B、IPSec協(xié)議提供對IP及其上層協(xié)議的保護C、IPSec是一個單獨的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制參考答案：B45.IS090012000標(biāo)準(zhǔn)跪在制定.實施質(zhì)量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫（）A、策略B、管理者C、組織D、活動參考答案：D46.ISMS的審核的層次不包括以下哪個？A、符合性審核B、有效性審核C、正確性審核D、文件審核參考答案：C47.ISMS審核常用的審核方法不包括？A、糾正預(yù)防B、文件審核C、現(xiàn)場審核D、滲透測試參考答案：A48.ISMS審核時，首次會議的目的不包括以下哪個？A、明確審核目的、審核準(zhǔn)則和審核范圍B、明確審核員的分工C、明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D、明確審核進度和審核方法，且在整個審核過程中不可調(diào)整參考答案：D49.ISMS文檔體系中第一層文件是？A、信息安全方針政策B、信息安全工作程序C、信息安全作業(yè)指導(dǎo)書D、信息安全工作記錄參考答案：A50.ISO2007：2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》為在組織內(nèi)為建立、實施、保持和不斷改進（）制定了要求。ISO27001標(biāo)準(zhǔn)的前身為（）的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于1993年由（）立項，于1995年英國首次出版BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的（），其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一（），并且適用大、中、小組織。A、ISMS；德國；德國貿(mào)易工業(yè)部；實施規(guī)則；參考基準(zhǔn)B、ISMS；法國；法國貿(mào)易工業(yè)部；實施規(guī)則；參考基準(zhǔn)C、ISMS；英國；英國貿(mào)易工業(yè)部；實施規(guī)則；參考基準(zhǔn)D、ISMS；德國；德國貿(mào)易工業(yè)部；參考基準(zhǔn)；實施規(guī)則參考答案：C51.ISO27002、ITIL和COBIT在IT管理內(nèi)容上各有優(yōu)勢、但側(cè)重點不同，其各自重點分別在于：A、IT安全控制、IT過程管理和IT控制和度量評價B、IT過程管理、IT安全控制和IT控制和度量評價C、IT控制和度量評價、IT安全控制和IT安全控制D、IT過程管理、IT控制和度量評價、IT安全控制參考答案：A52.ISO27002中描述的11個信息安全管理控制領(lǐng)域不包括：A、信息安全組織B、資產(chǎn)管理C、內(nèi)容安全D、人力資源安全參考答案：C53.ISO27004是指以下哪個標(biāo)準(zhǔn)A、《信息安全管理體系要求》B、《信息安全管理實用規(guī)則》C、《信息安全管理度量》D、《ISMS實施指南》參考答案：C54.ISO7498-2描述了8種特定的安全機制，以下不屬于這8種安全機制的是（）。A、安全標(biāo)記機制B、加密機制C、數(shù)字簽名機制D、訪問控制機制參考答案：A55.LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個目錄A、programfilesB、windowsC、systemvolumeinformationD、TEMP參考答案：B56.Linux系統(tǒng)的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh，以下關(guān)于該賬號的描述不正確的是：A、backup賬號沒有設(shè)置登錄密碼B、backup賬號的默認(rèn)主目錄是/var/backupsC、backup賬號登陸后使用的shell是/bin/shD、backup賬號是無法進行登錄參考答案：D57.ORACLE中啟用審計后，察看審計的語句是下面哪一個？A、select*fromSYS.AUDIT$B、select*fromsysloginsC、select*fromSYS.AUD$D、AUDITSESSION參考答案：C58.PDR模型是第一個從時間關(guān)系描述一個信息系統(tǒng)是否安全的模型，PDR模型中的P，D，R代表分別代表（）。A、保護檢測響應(yīng)B、策略檢測響應(yīng)C、策略檢測恢復(fù)D、保護檢測恢復(fù)參考答案：A59.PKI的主要組成不包括（）。A、證書授權(quán)CAB、SSLC、注冊授權(quán)RAD、證書存儲庫CR參考答案：B60.PKI所管理的基本元素是（）。A、密鑰B、用戶身份C、數(shù)字證書D、數(shù)字簽名參考答案：C61.PKI支持的服務(wù)不包括（）。A、非對稱密鑰技術(shù)及證書管理B、目錄服務(wù)C、對稱密鑰的產(chǎn)生和分發(fā)D、訪問控制服務(wù)參考答案：D62.PPTP和L2TP最適合于（）。A、局域網(wǎng)B、企業(yè)內(nèi)部虛擬網(wǎng)C、企業(yè)擴展虛擬網(wǎng)D、遠程訪問虛擬專用網(wǎng)參考答案：D63.SSE-CMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域：A、評估威脅、評估脆弱性、評估影響B(tài)、評估威脅、評估脆弱性、評估安全風(fēng)險C、評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險D、評估威脅、評估脆弱性、評估影響、驗證和證實安全參考答案：C64.TCP/IP協(xié)議族是為實現(xiàn)異構(gòu)網(wǎng)互聯(lián)推出的協(xié)議規(guī)范，具有較好的開放性，internet是在TCP/TP協(xié)議族的基礎(chǔ)上構(gòu)建的。但由于TCP/IP協(xié)議族在設(shè)計初期過于關(guān)注其開放性和便利性，對安全性考慮較少，因此其中很多協(xié)議存在安全隱患，例如，攻擊者可以利用TCP協(xié)議的三次握手機制實現(xiàn)DS攻擊，也可以通過猜測TCP會話中的序號來偽造數(shù)據(jù)包那么上述例子中的情況可能發(fā)生在（）A、應(yīng)用層B、傳輸層C、網(wǎng)絡(luò)層D、鏈路層參考答案：B65.UNIX下哪個工具或命令可以查看打開端口對應(yīng)的程序A、netstat-anoB、fportC、lsof-iD、lsof-p參考答案：C66.VPN的英文全稱是（）。A、VisualProtocolNetworkB、VirtualPrivateNetworkC、VirtualProtocolNetworkD、VisualPrivateNetwork參考答案：B67.Web從Web服務(wù)器方面和瀏覽器方面受到的威脅主要來自（）。A、瀏覽器和Web服務(wù)器的通信方面存在漏洞B、Web服務(wù)器的安全漏洞C、服務(wù)器端腳本的安全漏洞D、以上全是參考答案：D68.WinD.ows操作系統(tǒng)提供的完成注冊表操作的工具是：（）。A、SYSKEYB、MSC.ONFIGC、IPC.ONFIGD、REGED.IT參考答案：D69.Windows操作系統(tǒng)中可以創(chuàng)建、修改和刪除用戶賬戶，可以安裝程序并訪問操作所有文件，也可以對系統(tǒng)配置進行更改的用戶帳戶是（）。A、來賓賬戶B、Guest賬戶C、管理員賬戶D、受限賬戶參考答案：C70.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的:A、安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機制中，文件和文件夾的權(quán)限是主體進行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性，在實際使用中可以為每一個文件設(shè)定獨立用戶的權(quán)限參考答案：C71.WINDOWS系統(tǒng)，下列哪個命令可以列舉本地所有用戶列表A、netuserB、netviewC、netnameD、netaccounts參考答案：A72.Windows系統(tǒng)中，安全標(biāo)識符（SID）是標(biāo)識用戶、組和計算機賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時，操作系統(tǒng)會把SID和權(quán)限寫入對象的ACL中。小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識，在自己計算機的Windows操作系統(tǒng)中使用whoami/users操作查看當(dāng)前用戶的SID。得到的SID為S-1-5-21-1534169462-1651380828-111620651-500。下列選項中，關(guān)于此SID的理解錯誤的是A、前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B、第一個子頒發(fā)機構(gòu)是21C、此SID以500結(jié)尾，表示內(nèi)置guest賬戶D、WindowsNT的SID的三個子頒發(fā)機構(gòu)是1534169462、1651380828、111620651參考答案：C73.安全脆弱性是產(chǎn)生安全事件的（）。A、內(nèi)因B、外因C、根本原因D、不相關(guān)因素參考答案：A74.安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D、將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能參考答案：B75.安全多用途互聯(lián)網(wǎng)郵件擴展（SecureNultipurposeInternetMailPxtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（）A、S/MIME采用了非對稱密碼學(xué)機制B、S/MIME支持?jǐn)?shù)字證書C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶身份認(rèn)證和郵件加密參考答案：C76.安全管理評估工具通常不包括A、調(diào)查問卷B、檢查列表C、訪談提綱D、漏洞掃描參考答案：D77.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）.請問，這兩個標(biāo)準(zhǔn)的關(guān)系是（）A、IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較參考答案：D78.安全評估人員正為某個醫(yī)療機構(gòu)的生產(chǎn)和測試環(huán)境進行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風(fēng)險?A、測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機密性參考答案：D79.安全審計是事后認(rèn)定違反安全規(guī)則行為的分析技術(shù)，在檢測違反安全規(guī)則方面、準(zhǔn)確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以對事件發(fā)生的事后分析方面，都發(fā)揮著巨大的作用。但安全審計也有無法實現(xiàn)的功能，以下哪個需求是網(wǎng)絡(luò)安全審計無法實現(xiàn)的功能（）A、發(fā)現(xiàn)系統(tǒng)中存儲的漏洞和缺陷B、發(fā)現(xiàn)用戶的非法操作行為C、發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D、發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱參考答案：D80.安全專家在對某網(wǎng)站進行安全部署時，調(diào)整了Apache的運行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權(quán)限D(zhuǎn)、為了減少Apache上存在的漏洞參考答案：C81.保護-檢測-響應(yīng)（Protection-Detection-Response，PDR）模型是（）工作中常用的模型，其思想是承認(rèn)（）漏洞的存在，正視系統(tǒng)面臨的（），通過采取適度防護、加強（）、落實對安全事件的響應(yīng)、建立對威脅的防護來保障系統(tǒng)的安全。A、信息系統(tǒng);信息安全保障;威脅;檢測工作B、信息安全保障;威脅;信息系統(tǒng);檢測工作C、信息安全保障;信息系統(tǒng);威脅;檢測工作D、信息安全保障;信息系統(tǒng);檢測工作;威脅參考答案：C82.保證用戶和進程完成自己的工作而又沒有從事其他操作可能，這樣能夠使失誤出錯或蓄意襲擊造成的危害降低，這通常被稱為（）。A、適度安全原則B、授權(quán)最小化原則C、分權(quán)原則D、木桶原則參考答案：B83.不是計算機病毒所具有的特點（）。A、傳染性B、破壞性C、潛伏性D、可預(yù)見性參考答案：D84.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時，以下說法正確的是（）A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報文驗證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機密性參考答案：C85.采取適當(dāng)?shù)陌踩刂拼胧?，可以對風(fēng)險起到（）作用。A、促進B、增加C、減緩D、清除參考答案：C86.操作系統(tǒng)用于管理計算機資源，控制整個系統(tǒng)運行，是計算機軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計算機，開機后首先對自帶的Windows操作系統(tǒng)進行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補?。唬?）關(guān)閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開始審核策略參考答案：D87.策略應(yīng)該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的（）。A、管理支持B、技術(shù)細節(jié)C、實施計劃D、補充內(nèi)容參考答案：C88.層次化的文檔是信息安全管理體系《informationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項（）應(yīng)放入到一級文件中.A、《風(fēng)險評估報告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計劃》D、《單位信息安全方針》參考答案：D89.超文本傳輸協(xié)議（HyperText，TransferProtocolHTTP）是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議，下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能？A、HTTP1.0協(xié)議B、HTTP1.1協(xié)議C、HTTPS協(xié)議D、HTTPD協(xié)議參考答案：C90.從Linux內(nèi)核2.1版開始，實現(xiàn)了基于權(quán)能的特權(quán)管理機制，實現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機制的理解錯誤的是（）A、普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能B、系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C、進程可以放棄自己的某些權(quán)能D、當(dāng)普通用戶的某些操作涉及特權(quán)操作時，仍然通過setuid實現(xiàn)參考答案：B91.當(dāng)發(fā)生災(zāi)難時，以下哪一項能保證業(yè)務(wù)交易的有效性A、從當(dāng)前區(qū)域外的地方持續(xù)每小時1次地傳送交易磁帶B、從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C、抓取交易以整合存儲設(shè)備D、從當(dāng)前區(qū)域外的地方實時傳送交易磁帶參考答案：D92.當(dāng)更新一個正在運行的在線訂購系統(tǒng)時，更新都記錄在一個交易磁帶和交易日志副本。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。在備份過程中，驅(qū)動器故障和訂單文件丟失。以下哪項對于恢復(fù)文件是必須的？A、前一天的備份文件和當(dāng)前的交易磁帶B、前一天的交易文件和當(dāng)前的交易磁帶C、當(dāng)前的交易磁帶和當(dāng)前的交易日志副本D、當(dāng)前的交易日志副本和前一天的交易交易文件參考答案：A93.當(dāng)前，應(yīng)用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)的一半以上。下列選項中，哪個與應(yīng)用軟件漏洞成因無關(guān)：A、傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B、開發(fā)人員對信息安全知識掌握不足C、相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D、應(yīng)用軟件的功能越來越多，軟件越來越復(fù)雜，更容易出現(xiàn)漏洞參考答案：C94.當(dāng)涉及到信息算計系統(tǒng)犯罪取證時，應(yīng)與哪個部門取得聯(lián)系？A、監(jiān)管機構(gòu)B、重要客戶C、供應(yīng)商D、政府部門參考答案：D95.當(dāng)審核一個組織的業(yè)務(wù)連續(xù)性計劃時，某IS審計師觀察到這個被審計組織的數(shù)據(jù)和軟件文件被周期性的進行了備份。有效性計劃哪一個特性在這里被證明？A、防止B、減輕C、恢復(fù)D、響應(yīng)參考答案：B96.地址解析協(xié)議ARP的作用是（）。A、IP地址轉(zhuǎn)換為設(shè)備的物理地址B、將設(shè)備的物理地址轉(zhuǎn)換為IP地址C、將域名轉(zhuǎn)換為IP地址D、將IP地址轉(zhuǎn)換為域名參考答案：A97.電子公告服務(wù)提供者應(yīng)當(dāng)記錄在電子公告服務(wù)系統(tǒng)中發(fā)布的信息內(nèi)容及其發(fā)布時間、互聯(lián)網(wǎng)地址或者域名。記錄備份應(yīng)當(dāng)保存（）日。A、90B、60C、30D、10參考答案：B98.電子郵件客戶端通常需要用協(xié)議來發(fā)送郵件。A、僅SMTPB、僅POPC、SMTP和POPD、以上都不正確參考答案：A99.定期對系統(tǒng)和數(shù)據(jù)進行備份，在發(fā)生災(zāi)難時進行恢復(fù)。該機制是為了滿足信息安全的（）屬性。A、真實性B、完整性C、不可否認(rèn)性D、可用性參考答案：D100.對安全策略的描述不正確的選項是A、信息安全策略〔或者方針〕是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程B、策略應(yīng)有一個屬主，負責(zé)按復(fù)查程序維護和復(fù)查該策略C、安全策略的內(nèi)容包括管理層對信息安全目標(biāo)和原則的聲明和承諾；D、安全策略一旦建立和發(fā)布，則不可變更；參考答案：D101.對惡意代碼的預(yù)防，需要采取增強安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯誤的是：A、在使用來自外部的移動介質(zhì)前，需要進行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序參考答案：C102.對攻擊面（Attacksurface）的正確定義是:A、一個軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的安全性就越低B、對一個軟件系統(tǒng)可以采取的攻擊方法集合，一個軟件的攻擊面越大安全風(fēng)險就越大C、一個軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多，可被攻擊的點也越多，安全風(fēng)險也越大D、一個軟件系統(tǒng)的用戶數(shù)量的集合，用戶的數(shù)量越多，受到攻擊的可能性就越大，安全風(fēng)險也越大參考答案：B103.對局域網(wǎng)的安全管理包括：A、良好的網(wǎng)絡(luò)拓撲規(guī)劃B、對網(wǎng)絡(luò)設(shè)備進行基本安全配置C、合理的劃分VLAND、Allofabove參考答案：D104.對信息安全風(fēng)險評估要素理解正確的是:A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅參考答案：A105.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對系統(tǒng)進行劃分，不屬于正確劃分級別的是：A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)參考答案：D106.對于Linux的安全加固項說法錯誤的是哪項？A、使用uname-a確認(rèn)其內(nèi)核是否有漏洞B、檢查系統(tǒng)是否有重復(fù)的UID用戶C、查看login.defs文件對于密碼的限制D、查看hosts文件確保Tcpwapper生效參考答案：D107.對于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的是？A、為了信息資產(chǎn)更加安全，禁止外部組織人員訪問信息資產(chǎn)。B、應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護。C、訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。D、應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求。參考答案：A108.對于信息安全風(fēng)險的描述不正確的是A、企業(yè)信息安全風(fēng)險管理就是要做到零風(fēng)險B、在信息安全領(lǐng)域，風(fēng)險就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響及其潛在可能性C、風(fēng)險管理就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。D、風(fēng)險評估就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。參考答案：A109.對于信息安全管理，風(fēng)險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A、信息資產(chǎn)被過度保護B、不考慮資產(chǎn)的價值，基本水平的保護都會被實施C、對信息資產(chǎn)實施適當(dāng)水平的保護D、對所有信息資產(chǎn)保護都投入相同的資源參考答案：C110.對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實施必要的改良措施并進行跟蹤和評價，以下描述不正確的選項是？A、改良措施包括糾正和預(yù)防措施B、改良措施可由受審單位提出并實施C、不可以對體系文件進行更新或修改D、對改良措施的評價應(yīng)該包括措施的有效性的分析參考答案：C111.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯（ArthurScherbius）發(fā)明了Enigma密碼機。按密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼，而不是憑借推理和證明，常用密碼運算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步曲機電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（"TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性怕變革，同時，眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合參考答案：A112.發(fā)現(xiàn)一臺被病毒感染的終端后，首先應(yīng)：A、拔掉網(wǎng)線B、判斷病毒的性質(zhì)、采用的端口C、在網(wǎng)上搜尋病毒解決方法D、呼叫公司技術(shù)人員參考答案：A113.防火墻能夠（）。A、防范惡意的知情者B、防范通過它的惡意連接C、防備新的網(wǎng)絡(luò)安全問題D、完全防止傳送已被病毒感染的軟件和文件參考答案：B114.防止擅自使用資料檔案的最有效的預(yù)防方法是:A、自動化的檔案訪問入口B、磁帶庫管理C、使用訪問控制軟件參考答案：C115.訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡(luò)上的域資源進行授權(quán)的一種機制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實現(xiàn)訪問控制功能。以下選項中，對Windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）A、ACL只能由管理員進行管理B、ACL是對象安全描述符的基本組成部分，它包括有權(quán)訪問對象的用戶和組的SIDC、訪問令牌存儲著用戶的SID、組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實現(xiàn)基于角色的訪問控制參考答案：A116.風(fēng)險處理是依據(jù)（），選擇和實施合適的安全措施。風(fēng)險處理的目的是為了將（）始終控制在可接受的范圍內(nèi)。風(fēng)險處理的方式主要有（）、（）、（）和（）四種方式。A、風(fēng)險；風(fēng)險評估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B、風(fēng)險評估的結(jié)果；風(fēng)險；降低；規(guī)避；轉(zhuǎn)移；接受C、風(fēng)險評估；風(fēng)險；降低；規(guī)避；轉(zhuǎn)移；接受D、風(fēng)險；風(fēng)險評估；降低；規(guī)避；轉(zhuǎn)移；按受參考答案：B117.風(fēng)險分析階段的主要工作就是（）。A、判斷安全事件造成的損失對單位組織的影響B(tài)、完成風(fēng)險的分析和計算C、完成風(fēng)險的分析D、完成風(fēng)險的分析和計算，綜合安全事件所作用的信息資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對單位組織的影響，即安全風(fēng)險參考答案：D118.風(fēng)險分析師風(fēng)險評估工作的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風(fēng)險大小，如下圖所示，圖中括號應(yīng)填那個?A、安全資產(chǎn)價值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險隱患嚴(yán)重等級D、安全事件造成損失大小參考答案：D119.風(fēng)險分析是風(fēng)險評估工作中的一個重要內(nèi)容，下面描述了信息安全風(fēng)險分析的過程，請為圖中括號空白處選擇合適的內(nèi)容（）A、需要保護的資產(chǎn)清單B、已有安全措施列表C、安全風(fēng)險等級列表D、信息安全風(fēng)險評估策略參考答案：A120.風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A）T，V）=R（L（T，V），F(xiàn)（Ia，Va））以下關(guān)于上式各項說明錯誤的是：A、R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度參考答案：D121.風(fēng)險評估的過程包括（）、（）、（）和（）四個階段。在信息安全風(fēng)險管理過程中，風(fēng)險評估活動接受背景建立階段的輸出，形成本階段的最終輸出《風(fēng)險評估報告》，此文檔為風(fēng)險處理活動提供輸入。和（）貫穿風(fēng)險評估的四個階段。A、風(fēng)險評估準(zhǔn)備；風(fēng)險要素識別；風(fēng)險分析；監(jiān)控審查；風(fēng)險結(jié)果判定；溝通咨詢B、風(fēng)險評估準(zhǔn)備；風(fēng)險要素識別；監(jiān)控審查風(fēng)險分析；風(fēng)險結(jié)果判定；溝通咨詢C、風(fēng)險評估準(zhǔn)備；監(jiān)控審查；風(fēng)險要素識別；風(fēng)險分析；風(fēng)險結(jié)果判定；溝通咨詢D、風(fēng)險評估準(zhǔn)備；風(fēng)險要素識別；風(fēng)險分析；風(fēng)險結(jié)果判定:監(jiān)控審查溝通咨詢參考答案：D122.風(fēng)險評估的過程包括（）、（）、（）和（）四個階段。在信息安全風(fēng)險管理過程中，風(fēng)險評估建立階段的輸出，形成本階段的最終輸出《風(fēng)險評估報告》，此文檔為風(fēng)險處理活動提供輸入。風(fēng)險評估的四個階段。A、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;風(fēng)險分析;監(jiān)控審查;風(fēng)險結(jié)果判定;溝通咨詢B、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;監(jiān)控審查;風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢C、風(fēng)險評估準(zhǔn)備;監(jiān)控審查;風(fēng)險要素識別;風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢D、風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別:風(fēng)險分析:風(fēng)險結(jié)果判定監(jiān)控審查，溝通咨詢參考答案：D123.風(fēng)險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則？A、只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別B、所有公司資產(chǎn)都要識別C、可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D、資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶參考答案：B124.風(fēng)險評估實施過程中資產(chǎn)識別的依據(jù)是什么A、依據(jù)資產(chǎn)分類分級的標(biāo)準(zhǔn)B、依據(jù)資產(chǎn)調(diào)查的結(jié)果C、依據(jù)人員訪談的結(jié)果D、依據(jù)技術(shù)人員提供的資產(chǎn)清單參考答案：A125.風(fēng)險評估相關(guān)政策，目前主要有（）。（國信辦[2006]5號）。主要內(nèi)容包括分析信息系統(tǒng)資產(chǎn)的（），評估信息系統(tǒng)面臨的（）、存在的（）、已有的安全措施和殘余風(fēng)險的影響等、兩類信息系統(tǒng)的（）、涉密信息系統(tǒng)參照“分級保護”、非涉密信息系統(tǒng)參照“等級保護”。A、《關(guān)于開展信息安全風(fēng)險評估工作的意見》；重要程度；安全威脅；脆弱性；工作開展B、《關(guān)于開展風(fēng)險評估工作的意見》；安全威脅；重要程度；脆弱性；工作開展C、《關(guān)于開展風(fēng)險評估工作的意見》；重要程度；安全威脅；脆弱性；工作開展D、《關(guān)于開展信息安全風(fēng)險評估工作的意見》；脆弱性；重要程度；安全威脅；工作開展參考答案：A126.負責(zé)制定、執(zhí)行和維護內(nèi)部安全控制制度的責(zé)任在于:A、IS審計員、B、管理層、C、外部審計師、D、程序開發(fā)人員、參考答案：B127.-個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成，而其安全性是由下列哪個選項決定的A、加密算法B、解密算法C、加密和解密算法D、密鑰參考答案：D128.個人問責(zé)不包括以下哪一項？A、訪問規(guī)則。B、策略與程序。C、審計跟蹤。D、唯一身份標(biāo)識符。參考答案：B129.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《信息安全等級保護管理辦法》等國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進行B、非涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等有關(guān)要求進行C、可委托同一專業(yè)測評機構(gòu)完成等級測評和風(fēng)險評估工作，并形成等級測評報告和風(fēng)險評估報告D、此通知不要求將“信息安全風(fēng)險評估”作為電子政務(wù)項目驗收的重要內(nèi)容參考答案：C130.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》的規(guī)定，保密審批實行部門管理，有關(guān)單位應(yīng)當(dāng)根據(jù)國家保密法規(guī)，建立健全上網(wǎng)信息保密審批（）。A、領(lǐng)導(dǎo)責(zé)任制B、專人負責(zé)制C、民主集中制D、職能部門監(jiān)管責(zé)任制參考答案：A131.根據(jù)《信息安全等級保護管理辦法》、《關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護（）建設(shè)和開展（）工作的通知（公信安[2010]303號）等文件，由公安部（）對等級保護測評機構(gòu)管理，接受測評機構(gòu)的申請、考核和定期（）。對不具備能力的測評機構(gòu)A、等級測評；測評體系；等級保護評估中心；能力驗證；取消授權(quán)B、測評體系；等級保護評估中心；等級測評；能力驗證；取消授權(quán)C、測評體系；等級測評；等級保護評估中心；能力驗證；取消授權(quán)D、測評體系；等級保護評估中心；能力驗證；等級測評；取消授權(quán)參考答案：C132.根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的安全保護等級由哪兩個定級要素決定：A、威脅、脆弱性B、系統(tǒng)價值、風(fēng)險C、信息安全、系統(tǒng)服務(wù)安全D、受侵害的客體、對客體造成侵害的程度業(yè)務(wù)參考答案：D133.公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個是錯誤的：A、乙對信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進行風(fēng)險評估，所部署的加密針對性不足，造成浪費C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險，與甲共同確定網(wǎng)站安全需求參考答案：A134.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是？A、ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機的目的B、單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊C、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接參考答案：D135.關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（）。A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B、國際標(biāo)準(zhǔn)是由國家標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)C、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D、行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止參考答案：B136.關(guān)于對信息安全事件進行分類分級管理的原因描述不正確的是（）A、信息安全事件的種類很多，嚴(yán)重程度各不相同，其影響和處理方式也各不相同B、對信息安全事件進行分類和分級管理，是有效防范和影響信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對和事后處理的各項相關(guān)工作更其針對性和有效性D、我國早期的計算機安全事件的應(yīng)急響應(yīng)工作主要包括計算機的病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早參考答案：D137.關(guān)于惡意代碼的守護進程的功能，以下說法正確的是A、隱藏惡意代碼B、加大檢測難度C、傳播惡意代碼D、監(jiān)視惡意代碼主體程序是否正常參考答案：D138.關(guān)于防火墻和VPN的使用，下面說法不正確的是（）。A、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨立B、配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)C、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)D、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴參考答案：B139.關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是?A、成本只要不超過預(yù)計的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項目保質(zhì)按期完成參考答案：D140.關(guān)于控制措施選擇描述不正確的選項是A、總成本中應(yīng)考慮控制措施維護成本B、只要控制措施有效，不管成本都應(yīng)該首先選擇C、首先要考慮控制措施的成本效益D、應(yīng)該考慮控制措施實施的成熟度參考答案：B141.關(guān)于密鑰管理，下列說法錯誤的是:A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過程中，通信方使用之前用過的會話鑰建立會話，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新撤銷等生命周期過程的每一個環(huán)節(jié)D、在網(wǎng)絡(luò)通信過程中通信雙方可利用diffie-hellman協(xié)議商出會話密鑰參考答案：B142.關(guān)于微軟的SDL原則，棄用不安全的函數(shù)屬于哪個價格段？（）A、規(guī)劃B、設(shè)計C、實現(xiàn)D、測試參考答案：C143.關(guān)于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：A、立足國情，以我為主，堅持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作D、全面提高信息安全防護能力，保護公眾利益，維護國家安全參考答案：D144.關(guān)于信息安全，下列說法中正確的是（）。A、信息安全等同于網(wǎng)絡(luò)安全B、信息安全由技術(shù)措施實現(xiàn)C、信息安全應(yīng)當(dāng)技術(shù)與管理并重D、管理措施在信息安全中不重要參考答案：C145.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework，IATF），下面描述錯誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個國家信息系統(tǒng)建設(shè)參考使用B、IATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D、強調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運行維護的信息安全保障問題參考答案：A146.關(guān)于信息安全管理，說法錯誤的是？A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運作的持續(xù)）而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術(shù)性的努力。C、實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程參考答案：D147.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅持管理與技術(shù)并重的原則，是我國加強信息安全保障工作的主要原則之一參考答案：C148.關(guān)于信息安全管理體系的作用，下面理解錯誤的是（）A、對內(nèi)而言，有助于建立起文檔的信息安全管理規(guī)范，實現(xiàn)有法可依，有章可循，有據(jù)可查B、對內(nèi)而言，是一個光錢不掙錢的事情，需要組織通過其他方面收入來彌補投入C、對外而言，有肋于使各利益相關(guān)方對組織充滿信心D、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任參考答案：B149.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是:A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別:特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）參考答案：B150.關(guān)于信息安全應(yīng)急響應(yīng)，以下說法是錯誤的（）？A、信息安全應(yīng)急響應(yīng)通常是指一個組織機構(gòu)為了應(yīng)對各種信息安全意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施，其目的是避免、降低危害和損失，以及從危害中恢復(fù)。B、信息安全應(yīng)急響應(yīng)工作流程主要包括預(yù)防預(yù)警、事件報告與先期處置、應(yīng)急處置、應(yīng)急結(jié)束。C、我國信息安全事件預(yù)警等級分為四級：Ⅰ級（特別嚴(yán)重）、Ⅱ級（嚴(yán)重）、Ⅲ級（較重）和Ⅳ級（一般），依次用紅色、橙色、黃色和藍色表示。D、當(dāng)信息安全事件得到妥善處置后，可按照程序結(jié)束應(yīng)急響應(yīng)。應(yīng)急響應(yīng)結(jié)束由處于響應(yīng)狀態(tài)的各級信息安全應(yīng)急指揮機構(gòu)提出建議，并報同級政府批準(zhǔn)后生效。參考答案：C151.關(guān)于業(yè)務(wù)連續(xù)性計劃（bcp）以下說法最恰當(dāng)?shù)氖茿、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的控制過程；B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程；C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程；D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立的一個控制過程。參考答案：B152.管理者何時可以根據(jù)風(fēng)險分析結(jié)果對已識別的風(fēng)險不采取措施？A、當(dāng)必須的安全對策的成本高出實際風(fēng)險的可能造成的潛在費用時B、當(dāng)風(fēng)險減輕方法提高業(yè)務(wù)生產(chǎn)力時C、當(dāng)引起風(fēng)險發(fā)生的情況不在部門控制范圍之內(nèi)時D、不可接受參考答案：A153.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險評估實施的各個階段中，該《風(fēng)險評估方案》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險評估準(zhǔn)備階段B、風(fēng)險要素識別階段C、風(fēng)險分析階段D、風(fēng)險結(jié)果判定階段參考答案：A154.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風(fēng)險評估中“風(fēng)險要素識別”階段輸出的文檔？A、《風(fēng)險評估方案》，主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費預(yù)算和進度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試平復(fù)工具等內(nèi)容C、《風(fēng)險評估準(zhǔn)則要求》，主要包括現(xiàn)有風(fēng)險評估擔(dān)保標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)驗檢查確認(rèn)后的已有技術(shù)和管理各方面措施等內(nèi)容參考答案：D155.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。某單位在實施風(fēng)險評估時，形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險評估實施的各個階段中，該《風(fēng)險評估方案》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險評估準(zhǔn)備階段B、風(fēng)險要素識別階段C、風(fēng)險分析階段D、風(fēng)險結(jié)果判定階段參考答案：A156.國家頂級域名是（）。A、netB、comC、cnD、以上答案都不對參考答案：C157.黑客造成的主要危害是A、破壞系統(tǒng)、竊取信息及偽造信息B、攻擊系統(tǒng)、獲取信息及假冒信息C、進入系統(tǒng)、損毀信息及謠傳信息D、進入系統(tǒng)，獲取信息及偽造信息參考答案：A158.基本的計算機安全需求不包括下列哪一條：A、安全策略和標(biāo)識B、絕對的保證和持續(xù)的保護C、身份鑒別和落實責(zé)任D、合理的保證和連續(xù)的保護參考答案：B159.基于TCP的主機在進行一次TCP連接時簡要進行三次握手，請求通信的主機A要與另一臺主機B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接請示，B收到后，回復(fù)一個ACK/SYN確認(rèn)請示給A主機，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機，使目標(biāo)主機發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標(biāo)主機時，目標(biāo)主機上就會有大量的連接請示等待確認(rèn)，當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機的資源限制時。正常的連接請示就不能被目標(biāo)主機接受，這種SYNFlood攻擊屬于（）A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊參考答案：A160.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標(biāo)之間配備多種（）。每一種機制都應(yīng)包括（）兩種手段。A、安全機制；安全缺陷；保護和檢測B、安全缺陷；安全機制；保護和檢測C、安全缺陷；保護和檢測；安全機制D、安全缺陷；安全機制；外邊和內(nèi)部參考答案：B161.假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（）。A、對稱加密技術(shù)B、分組密碼技術(shù)C、公鑰加密技術(shù)D、單向函數(shù)密碼技術(shù)參考答案：A162.降低風(fēng)險的控制措施有很多，下面哪一個不屬于降低風(fēng)險的措施？A、在網(wǎng)絡(luò)上部署防火墻B、對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進行加密C、制定機房安全管理制度D、購買物理場所的財產(chǎn)保險參考答案：D163.降低企業(yè)所面臨的信息安全風(fēng)險的手段，以下說法不正確的是？A、通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷B、通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險責(zé)任參考答案：D164.較低的恢復(fù)時間目標(biāo)（恢復(fù)時間目標(biāo)）的會有如下結(jié)果：A、更高的容災(zāi)B、成本較高C、更長的中斷時間D、更多許可的數(shù)據(jù)丟失參考答案：B165.進入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：A、與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B、美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔(dān)C、各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系參考答案：B166.美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsAndTechnology，NIST）隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計算機安全的指南文檔。下面哪個文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology-OpenSystems-TheDirectory：AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IP