CISP注冊信息安全專業(yè)人員通關(guān)必做強(qiáng)化訓(xùn)練試題庫下簡稱涉密信息系統(tǒng))按照()實(shí)行分級保護(hù)。應(yīng)當(dāng)按照國家保劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)()后，方可投入使用。2.()協(xié)議是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選的3.()在實(shí)施攻擊之前，需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的(),那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號等等。A、攻擊者；所需要的信息；系統(tǒng)管理員；基礎(chǔ)；內(nèi)部約定B、所需要的信息；基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C、攻擊者；所需要的信息；基礎(chǔ)；系統(tǒng)管理員；內(nèi)都約定D、所需要的信息；攻擊者；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定4.“CC”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項(xiàng)內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實(shí)現(xiàn)方案()A、評估對象(TOE)C、安全目標(biāo)(ST)D、評估保證級(EAL)5.“公開密鑰密碼體制”的含義是()。A、將所有密鑰公開B、將私有密鑰公開，公開密鑰保密C、將公開密鑰公開，私有密鑰保密D、兩個(gè)密鑰相同參考答案：C6.“會(huì)話偵聽和劫持技術(shù)”是屬于()的技術(shù)。A、密碼分析還原B、協(xié)議漏洞滲透C、應(yīng)用漏洞分析與滲透息安全建設(shè)的目的。其中，“看不懂”是指下面那種安全服務(wù)：8.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，()主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。A、公安部B、國務(wù)院信息辦C、信息產(chǎn)業(yè)部D、國務(wù)院參考答案：A9.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對計(jì)算發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在()向當(dāng)?shù)乜h級以上人民政府公安機(jī)關(guān)報(bào)告。B、12小時(shí)內(nèi)10.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是由中華人民共和國()第147號發(fā)布的。A、國務(wù)院令B、全國人民代表大會(huì)令C、公安部令D、國家安全部令11.108.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是()A、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來撰寫B(tài)、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫信息安全保障方案的前C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評估報(bào)定()管理體系要求與()要求，它是一個(gè)組織的全面或部分信息安全管理體系評估的(),它可以作為一個(gè)正式認(rèn)證方案的()。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及()的責(zé)任。B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全17859-1999,提出將信息系統(tǒng)的安全等級劃分為()個(gè)等級，并14.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國發(fā)布的文件A、《國家信息安全戰(zhàn)略報(bào)告》(國信[2005]2號)B、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》C、《國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》(國令[2008]54號)D、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》turefortheIntermetProtocol)發(fā)布，用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層(IPv4/IPv6)為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個(gè)組織發(fā)布的()A、國際標(biāo)準(zhǔn)化組織B、國際電工委員會(huì)C、國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織參考答案：D16.2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上的信息化法律”,自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯(cuò)誤的是：A、電子簽名--是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有參考答案：D17.2006年5月8日電，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全文分()部分共計(jì)約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標(biāo)標(biāo)準(zhǔn)要闡述，對我國()發(fā)展的重點(diǎn)、行動(dòng)計(jì)劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的(),當(dāng)前我國信息安全保障工作逐步加強(qiáng)。制定并實(shí)施了(),初步建立了信息安全管理體制和()?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高，互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。18.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃(ComprehensiveNationalCybersecurityInitiative,CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境.從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D、CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障19.258.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識，小王的主要觀點(diǎn)包括：1,背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；2.背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果；3.背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備，信息系統(tǒng)調(diào)查，信息統(tǒng)分析和信息安全分析；4.背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告請問小王的所述點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn)：背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象B、第二個(gè)觀點(diǎn)：背景建立的依據(jù)是國家、地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C、第三個(gè)觀點(diǎn)：背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字D、第四個(gè)觀點(diǎn)：背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書參考答案：B20.3)下面關(guān)于信息安全系統(tǒng)保障模型的說法不正確的是?A、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分，簡介和一般模型》(GB/T202741:2008)中的信息系統(tǒng)安全保障模型的風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和量化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要確保信息系統(tǒng)的保密性，完整性和可用性，單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入21.32.信息安全風(fēng)險(xiǎn)評估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦[2006]5號)中，指出了風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是?A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估C、信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充D、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用22.36.以下關(guān)于IPSECVPN技術(shù)說法正確的是?不能進(jìn)行NAT穿越不能支持外部單點(diǎn)對內(nèi)部網(wǎng)絡(luò)的訪問形式不僅可以認(rèn)證雙方身份還可以對傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完。。有三種模式，傳輸模式、路由模式、通道模式23.382.管理，是指()組織并利用其各個(gè)要素(人、財(cái)、物、信息和時(shí)空),借助(),完成該組織目標(biāo)的過程。其中，()就像其他重要業(yè)務(wù)資產(chǎn)和()一樣，也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和()當(dāng)中。A、管理手段；管理主體；信息管理要素；脆弱性C、C.管理主體；信息；管理手段；管理要素；脆弱性D、D.管理主體；管理要素；管理手段；信息；脆弱性參考答案：B24.40.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BasePractices,BP),正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項(xiàng)BP是用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP重疊25.41.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識別階段的輸出成果D、《需要保護(hù)的資產(chǎn)清單》26.41.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第部分：簡介和一般模型》(GB╱T20274.1-2006)中描述了信息系統(tǒng)安全保障模型，下面對這個(gè)模型理解錯(cuò)誤的是()A、該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B、該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)展的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過程C、該模型強(qiáng)調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D、D、模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性27.473.以下關(guān)于法律的說法錯(cuò)誤的是()A、法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力B、法律可以是公開的，也可以是“內(nèi)部”的C、一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改D、法律對違法犯罪的后果由明確規(guī)定，是一種“硬約束”28.49.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是?A、要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題29.65.數(shù)位物件識別號(Digital0bjectIdentifier,簡稱DOI)是一套識別數(shù)位資源的機(jī)制，涵括的對象有視頻、報(bào)告或書籍等等。它既有一套為資源命名的機(jī)制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個(gè)典型的DOI識別號，10.1006/jmbi.1998.2354,下列選項(xiàng)錯(cuò)誤的是()A、“10.1006”是前級，由國際數(shù)位物件識別號基金會(huì)確定B、B.“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C、C.“1006是注冊代理機(jī)構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機(jī)構(gòu)D、D.后綴部分為：jmbi.1998.2354,由資源發(fā)行者自行指定，用于區(qū)分一個(gè)單獨(dú)的數(shù)字資料，不具有唯一性參考答案：D30.66.以下哪項(xiàng)不是網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn)：A、不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)源；B、與操作系統(tǒng)無關(guān)；C、實(shí)時(shí)監(jiān)視和檢測網(wǎng)絡(luò)攻擊或者濫用D、可以分析加密數(shù)據(jù)參考答案：D31.78.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SEE-CMM)中的基本實(shí)施(BasePractices,BP),正確的理解是：A、BP不限定于特定的方法或工具，不同的業(yè)務(wù)背景中可以使用不同的方法B、B.BP不是根據(jù)廣泛的現(xiàn)有資料、實(shí)踐和專家意見綜合得出的C、C.BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、D.BP不是過程區(qū)域(ProcessAreas,PA)的強(qiáng)制項(xiàng)32.83.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)。請選出以下描述錯(cuò)誤的選項(xiàng)B、“實(shí)施培訓(xùn)和意識教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C、“進(jìn)行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容33.95.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動(dòng)訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息),于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為()A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊34.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度?35.ApacheHTTPServer(簡稱Apache)是一個(gè)開放源碼的Web服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施?A、不選擇Windows平臺，應(yīng)選擇在Linux平臺下安裝使用B、安裝后，修改配置文件httpD、conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer,并安裝使用36.ApacheWeb服務(wù)器的配置文件一般位于//local/spache/conf目錄.其中用來控制用戶訪問Apache目錄的配置文件是：37.BS7799這個(gè)標(biāo)準(zhǔn)是由下面哪個(gè)機(jī)構(gòu)研發(fā)出來的?A、美國標(biāo)準(zhǔn)協(xié)會(huì)B、英國標(biāo)準(zhǔn)協(xié)會(huì)C、中國標(biāo)準(zhǔn)協(xié)會(huì)D、國際標(biāo)準(zhǔn)協(xié)會(huì)38.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中39.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，那一項(xiàng)不是體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)開放性，即功能和保證要求可以“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中40.GB/T18336的最低級別是()41.Hadop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前，Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)，篡改分布式存儲(chǔ)的數(shù)據(jù)，偽裝成NameNo或者TaskTracker接受任務(wù)等。在Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題，Kerber的認(rèn)證過程不包括()42.IKE協(xié)議由()協(xié)議混合而成。43.InternetExplorer,簡稱IE,是器，IE中有很多安全設(shè)置選項(xiàng)，用來設(shè)置安全上網(wǎng)環(huán)境和保護(hù)A、設(shè)置Cookie安全，允許用戶根據(jù)自己的安全策略要求設(shè)置Cookie策略，包括從阻止所有Cookie到接受所有Cookie,用戶也可以選擇刪除已經(jīng)保存過的Cookie戶輸入過的Web地址和表單，也禁止IE自動(dòng)記憶表單中的用戶果同時(shí)請求數(shù)達(dá)到閾值就不再響應(yīng)新的請求，從而保證了系統(tǒng)資源不會(huì)被某個(gè)鏈接大量占用D、為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別，用戶可以將各個(gè)不同的網(wǎng)站分到Internet、本地Internet、受信任的站點(diǎn)、受限制的站點(diǎn)等不同安全區(qū)域中，以采取不同的安全訪問策略44.IPv4協(xié)議在涉及之初并沒有過多的考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗(yàn)和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計(jì)算校驗(yàn)和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。下列選項(xiàng)中說法錯(cuò)誤的是A、對于IPv4,IPSec是可選的，對于IPv6,IPSec是強(qiáng)制實(shí)施的B、IPSec協(xié)議提供對IP及其上層協(xié)議的保護(hù)C、IPSec是一個(gè)單獨(dú)的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)45.ISO90012000標(biāo)準(zhǔn)跪在制定.實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)采用過程方法，通過滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫()A、策略B、管理者C、組織D、活動(dòng)參考答案：D46.ISMS的審核的層次不包括以下哪個(gè)?A、符合性審核B、有效性審核C、正確性審核D、文件審核參考答案：C47.ISMS審核常用的審核方法不包括?A、糾正預(yù)防B、文件審核C、現(xiàn)場審核D、滲透測試48.ISMS審核時(shí)，首次會(huì)議的目的不包括以下哪個(gè)?A、明確審核目的、審核準(zhǔn)則和審核范圍B、明確審核員的分工C、明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D、明確審核進(jìn)度和審核方法，且在整個(gè)審核過程中不可調(diào)整49.ISMS文檔體系中第一層文件是?A、信息安全方針政策B、信息安全工作程序C、信息安全作業(yè)指導(dǎo)書D、信息安全工作記錄50.ISO2007:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》為在組織內(nèi)為建立、實(shí)施、保持和不斷改進(jìn)()制定了要求。ISO27001標(biāo)準(zhǔn)的前身為()的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于1993年由()立項(xiàng)，于1995年英國首次出版BS7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合的、由信息安全最佳慣例組成的(),其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一(),并且適用大、中、小組織。A、ISMS;德國；德國貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)B、ISMS;法國；法國貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)C、ISMS;英國；英國貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)D、ISMS;德國；德國貿(mào)易工業(yè)部；參考基準(zhǔn)；實(shí)施規(guī)則51.ISO27002、ITIL和COBIT在IT管理內(nèi)容上各有優(yōu)勢、但側(cè)重點(diǎn)不同，其各自重點(diǎn)分別在于：A、IT安全控制、IT過程管理和IT控制和度量評價(jià)B、IT過程管理、IT安全控制和IT控制和度量評價(jià)C、IT控制和度量評價(jià)、IT安全控制和IT安全控制D、IT過程管理、IT控制和度量評價(jià)、IT安全控制52.ISO27002中描述的11個(gè)信息安全管理控制領(lǐng)域不包括：A、信息安全組織B、資產(chǎn)管理D、人力資源安全53.ISO27004是指以下哪個(gè)標(biāo)準(zhǔn)D、《ISMS實(shí)施指南》54.ISO7498-2描述了8種特定的安全機(jī)制，以下不屬于這8種安全機(jī)制的是()。A、安全標(biāo)記機(jī)制B、加密機(jī)制C、數(shù)字簽名機(jī)制D、訪問控制機(jī)制55.LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個(gè)目錄34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號的描述不正確A、backup賬號沒有設(shè)置登錄密碼B、backup賬號的默認(rèn)主目錄是/var/backupsD、backup賬號是無法進(jìn)行登錄參考答案：D57.ORACLE中啟用審計(jì)后，察看審計(jì)的語句是下面哪一個(gè)?58.PDR模型是第一個(gè)從時(shí)間關(guān)系描述一個(gè)信息系統(tǒng)是否安全的模型，PDR模型中的P,D,R代表分別代表()。A、保護(hù)檢測響應(yīng)B、策略檢測響應(yīng)C、策略檢測恢復(fù)D、保護(hù)檢測恢復(fù)59.PKI的主要組成不包括()。A、證書授權(quán)CAC、注冊授權(quán)RAD、證書存儲(chǔ)庫CR參考答案：B60.PKI所管理的基本元素是()。A、密鑰B、用戶身份C、數(shù)字證書D、數(shù)字簽名61.PKI支持的服務(wù)不包括()。A、非對稱密鑰技術(shù)及證書管理B、目錄服務(wù)C、對稱密鑰的產(chǎn)生和分發(fā)D、訪問控制服務(wù)62.PPTP和L2TP最適合于()。A、局域網(wǎng)B、企業(yè)內(nèi)部虛擬網(wǎng)C、企業(yè)擴(kuò)展虛擬網(wǎng)D、遠(yuǎn)程訪問虛擬專用網(wǎng)63.SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域：A、評估威脅、評估脆弱性、評估影響B(tài)、評估威脅、評估脆弱性、評估安全風(fēng)險(xiǎn)C、評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險(xiǎn)D、評估威脅、評估脆弱性、評估影響、驗(yàn)證和證實(shí)安全64.TCP/IP協(xié)議族是為實(shí)現(xiàn)異構(gòu)網(wǎng)互聯(lián)推出的協(xié)議規(guī)范，具有較好的開放性，internet是在TCP/TP協(xié)議族的基礎(chǔ)上構(gòu)建的。但由于TCP/IP協(xié)議族在設(shè)計(jì)初期過于關(guān)注其開放性和便利性，對安全性考慮較少，因此其中很多協(xié)議存在安全隱患，例如，攻擊者可以利用TCP協(xié)議的三次握手機(jī)制實(shí)現(xiàn)DS攻擊，也可以通過猜測TCP會(huì)話中的序號來偽造數(shù)據(jù)包那么上述例子中的情況可能發(fā)生在()A、應(yīng)用層B、傳輸層C、網(wǎng)絡(luò)層D、鏈路層參考答案：B65.UNIX下哪個(gè)工具或命令可以查看打開端口對應(yīng)的程序參考答案：C66.VPN的英文全稱是()。67.Web從Web服務(wù)器方面和瀏覽器方面受到的威脅主要來自()。A、瀏覽器和Web服務(wù)器的通信方面存在漏洞B、Web服務(wù)器的安全漏洞C、服務(wù)器端腳本的安全漏洞68.WinD.ows操作系統(tǒng)提供的完成注冊表操作的工具是：()。69.Windows操作系統(tǒng)中可以創(chuàng)建、修改和刪除用戶賬戶，可以安裝程序并訪問操作所有文件，也可以對系統(tǒng)配置進(jìn)行更改的用戶帳戶是()。A、來賓賬戶B、Guest賬戶C、管理員賬戶D、受限賬戶70.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表(AccessControlList.ACL)機(jī)制，以下哪個(gè)說法是錯(cuò)誤的：A、安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立用戶的權(quán)限71.WINDOWS系統(tǒng)，下列哪個(gè)命令可以列舉本地所有用戶列表72.Windows系統(tǒng)中，安全標(biāo)識符(SID)是標(biāo)識用戶、組和計(jì)算機(jī)賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時(shí)，操作系統(tǒng)會(huì)把SID和權(quán)限寫入對象的ACL中。小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識，在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whoami/usA、前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B、第一個(gè)子頒發(fā)機(jī)構(gòu)是21C、此SID以500結(jié)尾，表示內(nèi)置guest賬戶D、WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、16513參考答案：C73.安全脆弱性是產(chǎn)生安全事件的()。B、外因C、根本原因D、不相關(guān)因素74.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C,所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D、將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能參考答案：Btension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是()采用了非對稱密碼學(xué)機(jī)制支持?jǐn)?shù)字證書采用了郵件防火墻技術(shù)支持用戶身份認(rèn)證和郵件加密76.安全管理評估工具通常不包括A、調(diào)查問卷B、檢查列表C、訪談提綱77.安全管理體系，國際上有標(biāo)準(zhǔn)(InformationtechnologySecurityt這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是()A、IDT(等同采用),此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV(等效采用),此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ(等效采用),此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較78.安全評估人員正為某個(gè)醫(yī)療機(jī)構(gòu)的生產(chǎn)和測試環(huán)境進(jìn)行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風(fēng)險(xiǎn)?A、測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機(jī)密性79.安全審計(jì)是事后認(rèn)定違反安全規(guī)則行為的分析技術(shù)，在檢測違反安全規(guī)則方面、準(zhǔn)確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以對事件發(fā)生的事后分析方面，都發(fā)揮著巨大的作用。但安全審計(jì)也有無法實(shí)現(xiàn)的功能，以下哪個(gè)需求是網(wǎng)絡(luò)安全審計(jì)無法實(shí)現(xiàn)的功能()A、發(fā)現(xiàn)系統(tǒng)中存儲(chǔ)的漏洞和缺陷B、發(fā)現(xiàn)用戶的非法操作行為C、發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D、發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱參考答案：D80.安全專家在對某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權(quán)限D(zhuǎn)、為了減少Apache上存在的漏洞參考答案：C()工作中常用的模型，其思想是承認(rèn)()漏洞的存在，正視系統(tǒng)面臨的(),通過采取適度防護(hù)、加強(qiáng)()、落實(shí)對安全事件的響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)的安全。82.保證用戶和進(jìn)程完成自己的工作而又沒有從事其他操作可能，這樣能夠使失誤出錯(cuò)或蓄意襲擊造成的危害降低，這通常被稱為A、適度安全原則B、授權(quán)最小化原則C、分權(quán)原則D、木桶原則83.不是計(jì)算機(jī)病毒所具有的特點(diǎn)()。A、傳染性B、破壞性C、潛伏性D、可預(yù)見性84.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN)時(shí)，以下說法正確的是()A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)(SecuD、報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性85.采取適當(dāng)?shù)陌踩刂拼胧?，可以對風(fēng)險(xiǎn)起到()作用。A、促進(jìn)B、增加D、清除86.操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計(jì)算機(jī)，開機(jī)后首先對自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有：(1)關(guān)閉不必要的服務(wù)和端口；(2)在“在本地安全備份敏感文件，禁止建立空連接，下載最新補(bǔ)??；(4)關(guān)閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯(cuò)誤的是?A、操作(1),應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作(2),在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作(3),備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加D、操作(4),應(yīng)該開始審核策略87.策略應(yīng)該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的()。B、技術(shù)細(xì)節(jié)C、實(shí)施計(jì)劃D、補(bǔ)充內(nèi)容mentSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么,以下選項(xiàng)()應(yīng)放入到一級文件中.B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》89.超文本傳輸協(xié)議(HyperText,TransferProtocolHTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議，下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能?A、HTTP1.0協(xié)議B、HTTP1.1協(xié)議C、HTTPS協(xié)議D、HTTPD協(xié)議90.從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項(xiàng)中，對特權(quán)管理機(jī)制的理解錯(cuò)誤的是()A、普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動(dòng)之初擁有全部權(quán)能B、系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C、進(jìn)程可以放棄自己的某些權(quán)能D、當(dāng)普通用戶的某些操作涉及特權(quán)操作時(shí)，仍然通過setuid實(shí)現(xiàn)91.當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性A、從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B、從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C、抓取交易以整合存儲(chǔ)設(shè)備D、從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶參考答案：D92.當(dāng)更新一個(gè)正在運(yùn)行的在線訂購系統(tǒng)時(shí)，更新都記錄在一個(gè)交易磁帶和交易日志副本。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。在備份過程中，驅(qū)動(dòng)器故障和訂單文件丟失。以下哪項(xiàng)對于恢復(fù)文件是必須的?A、前一天的備份文件和當(dāng)前的交易磁帶B、前一天的交易文件和當(dāng)前的交易磁帶C、當(dāng)前的交易磁帶和當(dāng)前的交易日志副本D、當(dāng)前的交易日志副本和前一天的交易交易文件93.當(dāng)前，應(yīng)用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)的一半以上。下列選項(xiàng)中，哪個(gè)與應(yīng)用軟件漏洞成因無關(guān)：A、傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B、開發(fā)人員對信息安全知識掌握不足C、相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D、應(yīng)用軟件的功能越來越多，軟件越來越復(fù)雜，更容易出現(xiàn)漏洞94.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時(shí)，應(yīng)與哪個(gè)部門取得聯(lián)系?A、監(jiān)管機(jī)構(gòu)B、重要客戶D、政府部門95.當(dāng)審核一個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，某IS審計(jì)師觀察到這個(gè)被審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個(gè)特性在這里被證明?A、防止C、恢復(fù)D、響應(yīng)96.地址解析協(xié)議ARP的作用是()。A、IP地址轉(zhuǎn)換為設(shè)備的物理地址B、將設(shè)備的物理地址轉(zhuǎn)換為IP地址C、將域名轉(zhuǎn)換為IP地址D、將IP地址轉(zhuǎn)換為域名97.電子公告服務(wù)提供者應(yīng)當(dāng)記錄在電子公告服務(wù)系統(tǒng)中發(fā)布的信息內(nèi)容及其發(fā)布時(shí)間、互聯(lián)網(wǎng)地址或者域名。記錄備份應(yīng)當(dāng)保98.電子郵件客戶端通常需要用協(xié)議來發(fā)送郵件。99.定期對系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時(shí)進(jìn)行恢復(fù)。該機(jī)制是為了滿足信息安全的()屬性。A、真實(shí)性B、完整性C、不可否認(rèn)性D、可用性100.對安全策略的描述不正確的選項(xiàng)是A、信息安全策略〔或者方針〕是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程B、策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C、安全策略的內(nèi)容包括管理層對信息安全目標(biāo)和原則的聲明和D、安全策略一旦建立和發(fā)布，則不可變更；101.對惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯(cuò)誤的是：A、在使用來自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序102.對攻擊面(Attacksurface)的正確定義是：A、一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的安全性就越低B、對一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合，一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大C、一個(gè)軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多，可被攻擊的點(diǎn)也越多，安全風(fēng)險(xiǎn)也越大D、一個(gè)軟件系統(tǒng)的用戶數(shù)量的集合，用戶的數(shù)量越多，受到攻擊的可能性就越大，安全風(fēng)險(xiǎn)也越大A、良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃B、對網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置C、合理的劃分VLAN參考答案：DA、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意105.對信息安全事件的分級參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對系統(tǒng)進(jìn)行劃分，不屬于正確劃分級別的是：A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)106.對于Linux的安全加固項(xiàng)說法錯(cuò)誤的是哪項(xiàng)?A、使用uname-a確認(rèn)其內(nèi)核是否有漏洞B、檢查系統(tǒng)是否有重復(fù)的UID用戶C、查看login.defs文件對于密碼的限制參考答案：D107.對于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的A、為了信息資產(chǎn)更加安全，禁止外部組織人員訪問信息資產(chǎn)。B、應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護(hù)。C、訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。D、應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求。108.對于信息安全風(fēng)險(xiǎn)的描述不正確的是A、企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B、在信息安全領(lǐng)域，風(fēng)險(xiǎn)就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響及其潛在可能性C、風(fēng)險(xiǎn)管理就是以可接受的代價(jià)，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。D、風(fēng)險(xiǎn)評估就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估。109.對于信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A、信息資產(chǎn)被過度保護(hù)B、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、對所有信息資產(chǎn)保護(hù)都投入相同的資源110.對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實(shí)施必要的改良措施并進(jìn)行跟蹤和評價(jià)，以下描述不正確的選項(xiàng)是?A、改良措施包括糾正和預(yù)防措施B、改良措施可由受審單位提出并實(shí)施C、不可以對體系文件進(jìn)行更新或修改D、對改良措施的評價(jià)應(yīng)該包括措施的有效性的分析111.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯(ArthurScherbius)發(fā)明了Enigma密碼機(jī)。按密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是憑借推理和證明，常用密碼運(yùn)算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步曲機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”("TheCommunicationTheoryofSecretSystems")為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性怕變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合112.發(fā)現(xiàn)一臺被病毒感染的終端后，首先應(yīng)：A、拔掉網(wǎng)線B、判斷病毒的性質(zhì)、采用的端口C、在網(wǎng)上搜尋病毒解決方法D、呼叫公司技術(shù)人員113.防火墻能夠()。A、防范惡意的知情者B、防范通過它的惡意連接C、防備新的網(wǎng)絡(luò)安全問題D、完全防止傳送已被病毒感染的軟件和文件114.防止擅自使用資料檔案的最有效的預(yù)防方法是：A、自動(dòng)化的檔案訪問入口B、磁帶庫管理C、使用訪問控制軟件115.訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和對象許以下選項(xiàng)中，對Windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯(cuò)誤A、ACL只能由管理員進(jìn)行管理B、ACL是對象安全描述符的基本組成部分，它包括有權(quán)訪問對象的用戶和組的SIDC、訪問令牌存儲(chǔ)著用戶的SID、組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制116.風(fēng)險(xiǎn)處理是依據(jù)(),選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將()始終控制在可接受的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有()、()、()和()四種方式。A、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B、風(fēng)險(xiǎn)評估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受C、風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受D、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估；降低；規(guī)避；轉(zhuǎn)移；按受117.風(fēng)險(xiǎn)分析階段的主要工作就是()。A、判斷安全事件造成的損失對單位組織的影響B(tài)、完成風(fēng)險(xiǎn)的分析和計(jì)算C、完成風(fēng)險(xiǎn)的分析D、完成風(fēng)險(xiǎn)的分析和計(jì)算，綜合安全事件所作用的信息資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對單位組織的影響，即安全風(fēng)險(xiǎn)118.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號應(yīng)填那個(gè)?A、安全資產(chǎn)價(jià)值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級D、安全事件造成損失大小119.風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評估工作中的一個(gè)重要內(nèi)容，下面描述了信息安全風(fēng)險(xiǎn)分析的過程，請為圖中括號空白處選擇合適的內(nèi)容()A、需要保護(hù)的資產(chǎn)清單B、已有安全措施列表C、安全風(fēng)險(xiǎn)等級列表D、信息安全風(fēng)險(xiǎn)評估策略120.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：風(fēng)險(xiǎn)值=R(A)T,V)=R(L(T,V),F(Ia,Va))以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是：A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia,Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對應(yīng)資產(chǎn)的嚴(yán)重程度參考答案：D121.風(fēng)險(xiǎn)評估的過程包括()、()、()和()四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，風(fēng)險(xiǎn)評估活動(dòng)接受背景建立階段的輸出，形成本階段的最終輸出《風(fēng)險(xiǎn)評估報(bào)告》,此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。和()貫穿風(fēng)險(xiǎn)評估的四個(gè)階段。A、風(fēng)險(xiǎn)評估準(zhǔn)備；風(fēng)險(xiǎn)要素識別；風(fēng)險(xiǎn)分析；監(jiān)控審查；風(fēng)險(xiǎn)結(jié)果判定；溝通咨詢B、風(fēng)險(xiǎn)評估準(zhǔn)備；風(fēng)險(xiǎn)要素識別；監(jiān)控審查風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)結(jié)果判定；溝通咨詢C、風(fēng)險(xiǎn)評估準(zhǔn)備；監(jiān)控審查；風(fēng)險(xiǎn)要素識別；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)結(jié)果判定；溝通咨詢D、風(fēng)險(xiǎn)評估準(zhǔn)備；風(fēng)險(xiǎn)要素識別；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)結(jié)果判定：監(jiān)控審查溝通咨詢參考答案：D122.風(fēng)險(xiǎn)評估的過程包括()、()、()和()四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，風(fēng)險(xiǎn)評估建立階段的輸出，形成本階段的最終輸出《風(fēng)險(xiǎn)評估報(bào)告》,此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。風(fēng)險(xiǎn)評估的四個(gè)階段。查，溝通咨詢123.風(fēng)險(xiǎn)評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時(shí)，以下哪個(gè)不是需要遵循的原則?A、只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別B、所有公司資產(chǎn)都要識別C、可以從業(yè)務(wù)流程出發(fā)，識別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D、資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶參考答案：B124.風(fēng)險(xiǎn)評估實(shí)施過程中資產(chǎn)識別的依據(jù)是什么A、依據(jù)資產(chǎn)分類分級的標(biāo)準(zhǔn)B、依據(jù)資產(chǎn)調(diào)查的結(jié)果C、依據(jù)人員訪談的結(jié)果D、依據(jù)技術(shù)人員提供的資產(chǎn)清單125.風(fēng)險(xiǎn)評估相關(guān)政策，目前主要有()。(國信辦[2006]5號)。主要內(nèi)容包括分析信息系統(tǒng)資產(chǎn)的(),評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等、兩類信息系統(tǒng)的()、涉密信息系統(tǒng)參照“分級保護(hù)”、非涉密信息系統(tǒng)參照“等級保護(hù)”。A、《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》;重要程度；安全威脅；脆弱性；工作開展B、《關(guān)于開展風(fēng)險(xiǎn)評估工作的意見》;安全威脅；重要程度；脆弱性；工作開展C、《關(guān)于開展風(fēng)險(xiǎn)評估工作的意見》;重要程度；安全威脅；脆弱性；工作開展D、《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》;脆弱性；重要程度；安全威脅；工作開展126.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于：D、程序開發(fā)人員、127.-個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成，而其安全性是由下列哪個(gè)選項(xiàng)決定的A、加密算法B、解密算法C、加密和解密算法D、密鑰128.個(gè)人問責(zé)不包括以下哪一項(xiàng)?B、策略與程序。D、唯一身份標(biāo)識符。參考答案：B129.根據(jù)《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險(xiǎn)評估應(yīng)按照《信息安全等級保護(hù)管理辦法》等國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》等有關(guān)要求進(jìn)行C、可委托同一專業(yè)測評機(jī)構(gòu)完成等級測評和風(fēng)險(xiǎn)評估工作，并形成等級測評報(bào)告和風(fēng)險(xiǎn)評估報(bào)告D、此通知不要求將“信息安全風(fēng)險(xiǎn)評估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容130.根據(jù)《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》的規(guī)定，保密審批實(shí)行部門管理，有關(guān)單位應(yīng)當(dāng)根據(jù)國家保密法規(guī)，建立健全上網(wǎng)信息保密審批()。A、領(lǐng)導(dǎo)責(zé)任制B、專人負(fù)責(zé)制C、民主集中制D、職能部門監(jiān)管責(zé)任制級保護(hù)測評體系建設(shè)試點(diǎn)工作的通知》(公信安[20091812號)、關(guān)于推動(dòng)信息安全等級保護(hù)()建設(shè)和開展()工作的通知(公信安[2010]303號)等文件，由公安部()對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期()。對不具備能力的測評機(jī)構(gòu)A、等級測評；測評體系；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)B、測評體系；等級保護(hù)評估中心；等級測評；能力驗(yàn)證；取消授權(quán)C、測評體系；等級測評；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)D、測評體系；等級保護(hù)評估中心；能力驗(yàn)證；等級測評；取消授權(quán)參考答案：C132.根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》,信息系統(tǒng)護(hù)等級由哪兩個(gè)定級要素決定：A、威脅、脆弱性B、系統(tǒng)價(jià)值、風(fēng)險(xiǎn)C、信息安全、系統(tǒng)服務(wù)安全D、受侵害的客體、對客體造成侵害的程度業(yè)務(wù)133.公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個(gè)是錯(cuò)誤的：A、乙對信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評估，所部署的加密針對性不足，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全134.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是?A、ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文，使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的不能跨越路由實(shí)施攻擊C、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接135.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的()。A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B、國際標(biāo)準(zhǔn)是由國家標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)C、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D、行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止136.關(guān)于對信息安全事件進(jìn)行分類分級管理的原因描述不正確的A、信息安全事件的種類很多，嚴(yán)重程度各不相同，其影響和處理方式也各不相同B、對信息安全事件進(jìn)行分類和分級管理，是有效防范和影響信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對和事后處理的各項(xiàng)相關(guān)工作更其針對性和有效性D、我國早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)的病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早137.關(guān)于惡意代碼的守護(hù)進(jìn)程的功能，以下說法正確的是A、隱藏惡意代碼B、加大檢測難度C、傳播惡意代碼D、監(jiān)視惡意代碼主體程序是否正常138.關(guān)于防火墻和VPN的使用，下面說法不正確的是()。A、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者B、配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)C、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)D、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴139.關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是?A、成本只要不超過預(yù)計(jì)的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成參考答案：D140.關(guān)于控制措施選擇描述不正確的選項(xiàng)是A、總成本中應(yīng)考慮控制措施維護(hù)成本B、只要控制措施有效，不管成本都應(yīng)該首先選擇C、首先要考慮控制措施的成本效益D、應(yīng)該考慮控制措施實(shí)施的成熟度A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過程中，通信方使用之前用過的會(huì)話鑰建立會(huì)話，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新撤銷等生命周期過程的每一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信過程中通信雙方可利用diffie-hellman協(xié)議商出會(huì)話密鑰142.關(guān)于微軟的SDL原則，棄用不安全的函數(shù)屬于哪個(gè)價(jià)格段?A、規(guī)劃B、設(shè)計(jì)D、測試143.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤A、立足國情，以我為主，堅(jiān)持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全144.關(guān)于信息安全，下列說法中正確的是()。A、信息安全等同于網(wǎng)絡(luò)安全B、信息安全由技術(shù)措施實(shí)現(xiàn)C、信息安全應(yīng)當(dāng)技術(shù)與管理并重D、管理措施在信息安全中不重要145.關(guān)于信息安全保障技術(shù)框架(InformationAssuranceTehnicalFramework,IATF),下面描述錯(cuò)誤的是()A、IATF最初由美國國家安全局(NSA)發(fā)布，后來由國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個(gè)國家信息系統(tǒng)建設(shè)參考使用B、IATF是一個(gè)通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題146.關(guān)于信息安全管理，說法錯(cuò)誤的是?A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。C、實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過程147.關(guān)于信息安全管理，下面理解片面的是()A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一148.關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是()A、對內(nèi)而言，有助于建立起文檔的信息安全管理規(guī)范，實(shí)現(xiàn)有法可依，有章可循，有據(jù)可查B、對內(nèi)而言，是一個(gè)光錢不掙錢的事情，需要組織通過其他方面收入來彌補(bǔ)投入C、對外而言，有肋于使各利益相關(guān)方對組織充滿信心D、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任149.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯(cuò)誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個(gè)級別：特別重大事件(I級)、重大事件(Ⅱ級)、較大事件(II級)和一般事件(IV級)150.關(guān)于信息安全應(yīng)急響應(yīng)，以下說法是錯(cuò)誤的()?A、信息安全應(yīng)急響應(yīng)通常是指一個(gè)組織機(jī)構(gòu)為了應(yīng)對各種信息安全意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施，其目的是避免、降低危害和損失，以及從危害中恢復(fù)。B、信息安全應(yīng)急響應(yīng)工作流程主要包括預(yù)防預(yù)警、事件報(bào)告與先期處置、應(yīng)急處置、應(yīng)急結(jié)束。C、我國信息安全事件預(yù)警等級分為四級：I級(特別嚴(yán)重)、Ⅱ級(嚴(yán)重)、Ⅲ級(較重)和IV級(一般),依次用紅色、橙色、黃色和藍(lán)色表示。D、當(dāng)信息安全事件得到妥善處置后，可按照程序結(jié)束應(yīng)急響應(yīng)。應(yīng)急響應(yīng)結(jié)束由處于響應(yīng)狀態(tài)的各級信息安全應(yīng)急指揮機(jī)構(gòu)提出建議，并報(bào)同級政府批準(zhǔn)后生效。151.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃(bcp)以下說法最恰當(dāng)?shù)氖茿、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的控制過程；B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程；C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程；D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立的一個(gè)控制過程。152.管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對已識別的風(fēng)險(xiǎn)不采取措A、當(dāng)必須的安全對策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的潛在費(fèi)用時(shí)B、當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C、當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門控制范圍之內(nèi)時(shí)153.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下()中的輸出結(jié)果。A、風(fēng)險(xiǎn)評估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段154.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，按照規(guī)范形成了若干文檔，其中，下面()中的文檔應(yīng)屬于風(fēng)險(xiǎn)評估中“風(fēng)險(xiǎn)要素識別”階段輸出的文檔?A、《風(fēng)險(xiǎn)評估方案》,主要包括本次風(fēng)險(xiǎn)評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評估方法和工具列表》,主要包括擬用的風(fēng)險(xiǎn)評估方法和測試平復(fù)工具等內(nèi)容C、《風(fēng)險(xiǎn)評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險(xiǎn)評估擔(dān)保標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》,主要包括經(jīng)驗(yàn)檢查確認(rèn)后的已有技術(shù)和管理各方面措施等內(nèi)容155.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下()中的輸出結(jié)果。A、風(fēng)險(xiǎn)評估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段156.國家頂級域名是()。D、以上答案都不對A、破壞系統(tǒng)、竊取信息及偽造信息B、攻擊系統(tǒng)、獲取信息及假冒信息C、進(jìn)入系統(tǒng)、損毀信息及謠傳信息D、進(jìn)入系統(tǒng)，獲取信息及偽造信息158.基本的計(jì)算機(jī)安全需求不包括下列哪一條：A、安全策略和標(biāo)識B、絕對的保證和持續(xù)的保護(hù)C、身份鑒別和落實(shí)責(zé)任D、合理的保證和連續(xù)的保護(hù)參考答案：B159.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡要進(jìn)行三次握手，請求通信的主機(jī)A要與另一臺主機(jī)B建立連接時(shí)，A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī)提出連接請示，B收到后，回復(fù)一個(gè)ACK/SYN確認(rèn)請示給A主機(jī)，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)目標(biāo)主機(jī)會(huì)等一段時(shí)間后才會(huì)放棄這個(gè)連接等待。因此大量虛假SYN包同時(shí)發(fā)送到目標(biāo)主機(jī)時(shí)，目標(biāo)主機(jī)上就會(huì)有大量的連接請示等待確認(rèn)，當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于()A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊160.即使最好用的安全產(chǎn)品也存在()。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標(biāo)之間配備多種()。每一種機(jī)制都應(yīng)包括()兩種B、安全缺陷；安全機(jī)制；保護(hù)和檢測C、安全缺陷；保護(hù)和檢測；安全機(jī)制母加5,即a加密成f。這種算法的密鑰就是5,那么它屬于()。C、公鑰加密技術(shù)A、通過良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷B、通過數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來提升信息系統(tǒng)的可靠C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)責(zé)任164.較低的恢復(fù)時(shí)間目標(biāo)(恢復(fù)時(shí)間目標(biāo))的會(huì)有如下結(jié)果：A、更高的容災(zāi)B、成本較高C、更長的中斷時(shí)間D、更多許可的數(shù)據(jù)丟失165.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確A、與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點(diǎn)B、美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系166.美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsAndTechnology,NIST)隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的?A、ISO27001《Informationsecuritymanagementsystems-Requ167.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是()。A、密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，其目的是提供安全服務(wù)B、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人C、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式D、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行168.某IT公司針對信息安全事件件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對今年的應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO,請你指出存在問題的是哪個(gè)總結(jié)?A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的。無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級、應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分類依據(jù)GB/Z20986—2007《信息安全技術(shù)信安全技術(shù)信息安全事件分類分級指南》,分為7個(gè)基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)169.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法?A、信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡單，因此費(fèi)用更低C、雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D、雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同170.某單位開發(fā)了個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試A、滲透測試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)等運(yùn)行維護(hù)所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法，因此測試效更高C、滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D、滲透測試必須查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多()中的文檔應(yīng)屬于風(fēng)險(xiǎn)評估中“風(fēng)險(xiǎn)要素識別”階段輸出的文檔A、《風(fēng)險(xiǎn)評估方法》,主要包括本次風(fēng)險(xiǎn)評估的目的、范圍、目標(biāo)，評估步驟，經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評估方法和工具列表》,主要包括擬用的風(fēng)險(xiǎn)評估方法和測試評估工具等內(nèi)容C、《風(fēng)險(xiǎn)評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險(xiǎn)評估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法，資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D、《已有安全措施列表》,主要經(jīng)驗(yàn)檢查確認(rèn)后的已有技術(shù)和管理方面安全措施等內(nèi)容172.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施，請問該措施屬于哪種風(fēng)險(xiǎn)處理方式A、風(fēng)險(xiǎn)規(guī)避B、風(fēng)險(xiǎn)轉(zhuǎn)移C、風(fēng)險(xiǎn)接受D、風(fēng)險(xiǎn)降低173.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?A、網(wǎng)站競爭對手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息參考答案：D174.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改.利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題，對于網(wǎng)站的這個(gè)問題原因分析及解決措施。最正確的說法應(yīng)該是?A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的闖題，應(yīng)對全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可175.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺個(gè)人計(jì)算機(jī)，這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這10個(gè)互聯(lián)網(wǎng)地址集中起來使用，當(dāng)任意一臺個(gè)人計(jì)算機(jī)開機(jī)并連接網(wǎng)絡(luò)時(shí)，管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí)，管理中心將該地為收回，并重新設(shè)置為未分配?？梢?，只要同時(shí)打開的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址，那么,每臺個(gè)人計(jì)算機(jī)可以獲取一個(gè)IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是()A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址176.某公司為加強(qiáng)員工的信息安全意識，對公司員工進(jìn)行相關(guān)的培訓(xùn)，在介紹相關(guān)第三方人員通過社會(huì)工程學(xué)入侵公司信息系統(tǒng)時(shí)，提到連以下幾點(diǎn)要求，其中在日常工作中錯(cuò)誤的是()A、不輕易泄露敏感信息B、再相信任何人之前先校驗(yàn)其真實(shí)的身份C、不違背公司的安全策略D、積極配合來自電話、有點(diǎn)的任何業(yè)務(wù)要求，即使是馬上提供本人的口令信息