CISP全真模擬題(2)1301.docx

CISP全真模擬題（2）1、 下列關于信息安全保障的說法錯誤的是：A 信息安全保障的問題就是安全的效用問題，在解決或預防信息安全問題時，要從資源、技術、管理的可行性和有效性做出權(quán)衡和取舍B 在信息系統(tǒng)生命周期中，從技術、管理、工程和人員等方面提出安全保障要求C 在信息系統(tǒng)所處的運行環(huán)境里，以風險和策略為出發(fā)點，即從信息系統(tǒng)所面臨的風險出發(fā)制定組織機構(gòu)信息系統(tǒng)安全保障策略D 信息安全保障的最終目標是要同時保障組織機構(gòu)信息資產(chǎn)和信息系統(tǒng)資產(chǎn)參考答案：D2、 按照技術能力、所擁有的資源和破環(huán)力來排列，下列威脅中哪種威脅最大？A 個人黑客B 網(wǎng)絡犯罪團伙C 網(wǎng)絡戰(zhàn)士D 商業(yè)間諜參考答案：B3、 信息安全發(fā)展各階段中，下面哪一項是通信安全階段主要面臨的安全威脅？A 病毒B 非法訪問C 信息泄露D 脆弱口令參考答案：C4、 信息系統(tǒng)安全主要從哪幾個方面進行評估？A1個（技術）B2個（技術、管理）C3個（技術、管理、工程）D4個（技術、管理、工程、應用）參考答案：C5、 人們對信息安全的認識從信息技術安全發(fā)展到信息安全保障，主要是由于：A 為了更好地完成組織機構(gòu)的使命B 針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C 風險控制技術得到革命性的發(fā)展D 除了保密性，信息的完整性和可用性也引起了人們的關注參考答案：A6、 以下關于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準確的是：A 信息系統(tǒng)安全保障不僅涉及安全技術，還應綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全B 通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心C 是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動D 是主觀和客觀綜合評估的結(jié)果參考答案：B7、 完整性機制可以防范以下哪種攻擊？A 假冒源地址或用戶的地址的欺騙攻擊B 抵賴做過信息的遞交行為C 數(shù)據(jù)傳輸中被竊聽獲取D 數(shù)據(jù)傳輸中被篡改或破環(huán)參考答案：D8、 依據(jù)國家標準GB/T20274信息系統(tǒng)安全保障評估框架，信息系統(tǒng)安全目標（ISST）是從信息系統(tǒng)安全保障_的角度來描述的信息系統(tǒng)安全保障方案。A 建設者B 所有者C 評估者D 制定者參考答案：A9、 P2DR模型相比PDR，增加了動態(tài)適應的特點，這是因為：A 策略（Policy）是基于人的決定，而人的思想是變化最快的因素，因此，P2DR模型就具備了動態(tài)特征B 策略是與風險相對應的，而風險是動態(tài)變化的，策略需要根據(jù)風險的動態(tài)變化而調(diào)整，因此，P2DR模型就具備了動態(tài)特征C 在現(xiàn)實情況中，需要不斷調(diào)整和改善防護措施，使之逐步接近策略的要求，因此，P2DR模型就具備了動態(tài)特征D 以上說法都不對參考答案：B，理解：安全具有動態(tài)性。安全的概念是相對的，任何一個系統(tǒng)都具有潛在的危險，沒有絕對的安全，安全程度隨著時間的變化而改變。在一個特定的時期內(nèi)，在一定的安全策略下，系統(tǒng)是安全的。但是隨著時間的演化和環(huán)境的變遷（如攻擊技術的進步、新漏洞的暴露），系統(tǒng)可能會變的不安全。因此需要適應變化的環(huán)境并能做出相應的調(diào)整以確保安全防護。10、 依據(jù)國家標準GB/T20274信息系統(tǒng)安全保障評估框架，在信息系統(tǒng)安全目標中，評估對象包括哪些內(nèi)容？A 信息系統(tǒng)管理體系、技術體系、業(yè)務體系B 信息系統(tǒng)整體、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術和信息系統(tǒng)安全工程C 信息系統(tǒng)安全管理、信息系統(tǒng)安全技術和信息系統(tǒng)安全工程D 信息系統(tǒng)組織結(jié)構(gòu)、管理制度、資產(chǎn)參考答案：B11、 我國信息安全標準化技術委員會（TC260）目前下屬6個工作組，其中負責信息安全管理的小組是：A. WG 1B. WG 7C. WG 3D. WG 5參考答案：B12、 美國國防部公布的可信計算機系統(tǒng)評估準則（TCSEC）把計算機系統(tǒng)的安全分為個大的等級。A3B4C5D6參考答案：B13、 以下對確定信息系統(tǒng)的安全保護等級理解正確的是：A 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性B 確定信息系統(tǒng)的安全保護等級時應考慮已采取或?qū)⒉扇〉陌踩Ｗo措施C 確定信息系統(tǒng)的安全保護等級時應考慮風險評估的結(jié)果D 確定信息系統(tǒng)的安全保護等級時應僅考慮業(yè)務信息的安全性參考答案：A14、 依據(jù)GB/T 24364-2009 信息安全技術 信息安全應急響應計劃規(guī)范，應急響應方法論的響應過程的第二步是A. 準備B. 確認C. 遏制D. 根除參考答案：B15、 下列信息安全相應的標準中是信息安全管理體系標準而不是主要用于對信息系統(tǒng)本身進行安全評價的標準。A TCSEC（橘皮書）B 信息技術安全評估準則ITSECC 信息技術安全評估通用標準CCD ISO/IEC27000參考答案：D16、 是目前國際通行的信息技術產(chǎn)品安全性評估標準A TCSECB ITSECC CCD IATF參考答案：C17、 下列哪項不是信息安全等級保護管理辦法（公通字200743號）規(guī)定的內(nèi)容？A. 國家信息安全等級保護堅持自主定級、自主保護的原則B. 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查C. 跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級D. 涉及國家秘密的信息系統(tǒng)不進行分等級保護參考答案：D18、 下面有關我信息安全管理體制的說法錯誤的是A. 目前我國的信息安全保障工作是相關部門各司其職、相互配合、齊抓共管的局面B. 我國的信息安全保障工作綜合利用法律、管理和技術的手段C. 我國的信息安全管理應堅持及時檢測、快速響應、綜合治理的方針D. 我國對于信息安全責任的原則是誰主管、誰負責；誰經(jīng)營、誰負責參考答案：C19、 以下哪一項不是我國與信息安全有關的國家法律？A. 信息安全等級保護管理辦法B. 中華人民共和國保守國家秘密法C. 中華人民共和國刑法D. 中華人民共和國國家安全法參考答案：A20、 目前我國形成了相關部門各司其職、相互配合，綜合利用法律、管理和技術手段，共同維護國家信息安全的一個多方“齊抓共管”的信息安全管理體系。“相關部門”不包括：A. 工業(yè)和信息化部B. 新聞辦C. 國家保密局D. 安監(jiān)局參考答案：D21、 下面哪一項不是注冊信息安全專業(yè)人員（CISP）職業(yè)準則的規(guī)定?A. 必須誠實，公正，負責，守法B. 必須勤奮和勝任工作，提高專業(yè)能力和水平C. 對中國信息安全測評中心（CNITSEC）針對注冊信息安全專業(yè)人員（CISP）而進行的調(diào)查應給予充分的合作D. 在本單位負責的信息系統(tǒng)出現(xiàn)重大安全問題時必須向有關用戶進行解釋參考答案：D22、 通過對稱密碼算法進行安全消息傳輸?shù)谋匾獥l件是：A 在安全的傳輸信道上進行通信B 通訊雙方通過某種方式，安全且秘密地共享密鑰C 通訊雙方使用不公開的加密算法D 通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取參考答案：B23、 以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題？A 大整數(shù)分解B 離散對數(shù)問題C 背包問題D 偽隨機數(shù)發(fā)生器參考答案：D，說明：背包問題，即：選擇不同價格、不同體積的物品放置于一個背包中，要求價格總量最大。24、 常用的混合加密（Hybrid Encryption）方案指的是：A 使用對稱加密進行通信數(shù)據(jù)加密，使用公鑰加密進行會話密鑰協(xié)商B 使用公鑰加密進行通信數(shù)據(jù)加密，使用對稱加密進行會話密鑰協(xié)商C 少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)則使用對稱加密D 大量數(shù)據(jù)使用公鑰加密，少量數(shù)據(jù)則使用對稱加密參考答案：A25、 以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換?A DSSB Diffie-HellmanC RSAD AES參考答案：C26、 下列哪一項不是hash算法的特點？A 對于一個很長的消息，可以通過一個很短的摘要進行校驗B 通過摘要本身，在計算可行性意義下難以得到原始的消息C 兩個消息即使差別很小，其hash值也會發(fā)生很大改變D 通過hash值可以判定消息是否來自某特定的創(chuàng)建者參考答案：D27、 數(shù)字簽名技術主要應用哈希函數(shù)算法和非對稱密鑰算法，這兩種算法的主要作用是：A 前者用來檢驗數(shù)據(jù)是否被篡改，后者用來確認數(shù)據(jù)發(fā)送方的身份B 前者用來對數(shù)據(jù)進行加密，后者用來對數(shù)據(jù)進行解密C 前者保證數(shù)據(jù)的抗抵賴性，后者用來保證數(shù)據(jù)的完整性D 前者用來建立加密通道，后者用來進行身份鑒別參考答案：A28、 數(shù)字證書的功能不包括：A 加密B 數(shù)字簽名C 身份認證D 消息摘要參考答案：D29、 下列哪一項功能可以不由認證中心CA完成？A 撤消和中止用戶的證書B 產(chǎn)生并分發(fā)CA的公鑰C 在請求實體和它的公鑰間建立鏈接D 發(fā)放并分發(fā)用戶的證書參考答案：C30、 SSL協(xié)議包括四個子協(xié)議，其中哪一個子協(xié)議提供消息源認證、數(shù)據(jù)加密以及數(shù)據(jù)完整服務？A SSL握手協(xié)議B 更改密碼規(guī)格協(xié)議C SSL記錄協(xié)議層D 警告協(xié)議參考答案：C，理解：SSL記錄協(xié)議為SSL連接提供了兩種服務:一是機密性,二是消息完整性。為了實現(xiàn)這兩種服務, SSL記錄協(xié)議對接收的數(shù)據(jù)和被接收的數(shù)據(jù)工作過程是如何實現(xiàn)的呢? SSL記錄協(xié)議接收傳輸?shù)膽脠笪?將數(shù)據(jù)分片成可管理的塊,進行數(shù)據(jù)壓縮(可選),應用MAC,接著利用IDEA、DES、3DES或其他加密算法進行數(shù)據(jù)加密,最后增加由內(nèi)容類型、主要版本、次要版本和壓縮長度組成的首部。被接收的數(shù)據(jù)剛好與接收數(shù)據(jù)工作過程相反,依次被解密、驗證、解壓縮和重新裝配,然后交給更高級用戶31、 IPSec協(xié)議的AH子協(xié)議不能提供下列哪一項服務？A 數(shù)據(jù)源認證B 數(shù)據(jù)包重放C 訪問控制D 機密性參考答案：D32、 下面對訪問控制技術描述最準確的是：A 保證系統(tǒng)資源的可靠性B 實現(xiàn)系統(tǒng)資源的可追查性C 防止對系統(tǒng)資源的非授權(quán)訪問D 保證系統(tǒng)資源的可信性參考答案：C33、 下列對自主訪問控制說法不正確的是：A 自主訪問控制允許客體決定主體對該客體的訪問權(quán)限B 自主訪問控制具有較好的靈活性和可擴展性C 自主訪問控制可以方便地調(diào)整安全策略D 自主訪問控制安全性不高，常用于商業(yè)系統(tǒng)參考答案：A34、 自主訪問控制與強制訪問控制相比具有以下哪一個優(yōu)點？A 具有較高的安全性B 控制粒度較大C 配置效率不高D 具有較強的靈活性參考答案：D35、 以下關于BLP模型規(guī)則說法不正確的是：A BLP模型主要包括簡單安全規(guī)則和*-規(guī)則B *-規(guī)則可以簡單表述為向下寫C 主體可以讀客體，當且僅當主體的安全級可以支配客體的安全級，且主體對該客體具有自主型讀權(quán)限D(zhuǎn) 主體可以寫客體，當且僅當客體的安全級可以支配主體的安全級，且主體對客體具有自主型寫權(quán)限參考答案：B36、 在一個使用Chinese Wall模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)X在一個興趣沖突域中，數(shù)據(jù)Y和數(shù)據(jù)Z在另一個信息興趣沖突域中，那么可以確定一個新注冊的用戶：A 只有訪問了W之后，才可以訪問XB 只有訪問了W之后，才可以訪問Y和Z中的一個C 無論是否訪問W，都只能訪問Y和Z中的一個D 無論是否訪問W，都不能訪問Y或Z參考答案：C37、 以下關于RBAC模型的說法正確的是：A 該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權(quán)限。B 一個用戶必須扮演并激活某種角色，才能對一個對象進行訪問或執(zhí)行某種操作C 在該模型中，每個用戶只能有一個角色D 在該模型中，權(quán)限與用戶關聯(lián)，用戶與角色關聯(lián)參考答案：B38、 下列對Kerberos協(xié)議描述正確的是：A 該協(xié)議使用非對稱密鑰加密機制B 密鑰分發(fā)中心由認證服務器、票據(jù)授權(quán)服務器和客戶機三個部分組成C 該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D 使用該協(xié)議不需要時鐘基本同步的環(huán)境參考答案：C39、 遵守相同訪問控制策略的集合被稱為？A 訪問控制列表B 安全域C 可信計算基（TCB）D 訪問主體參考答案：B40、 一個較為可靠的鑒別系統(tǒng)一般是由以下哪幾部分組成：A 驗證者、被驗證者和中間人B 驗證者、被驗證者和可信賴方C 驗證者和被驗證者D 驗證者、被驗證者和鑒別方參考答案：B41、 下列對蜜網(wǎng)關鍵技術描述不正確的是：A 數(shù)據(jù)捕獲技術能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)B 數(shù)據(jù)分析技術則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具及其意圖C 通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡的安全D 通過數(shù)據(jù)控制、捕獲和分析，能對攻擊活動進行監(jiān)視、分析和阻止參考答案：D42、 下面哪一個不屬于基于OSI七層協(xié)議的安全體系結(jié)構(gòu)的5種服務之一？A 數(shù)據(jù)完整性B 數(shù)據(jù)保密性C 公證D 抗抵賴參考答案：C43、 802.11i無線安全標準為提高安全性引入了新的什么技術？A WEPB WPAC TKIPD SSL參考答案：B44、 下面對WAPI描述不正確的是：A 安全機制由WAI和WPI兩部分組成B WAI實現(xiàn)對用戶身份的鑒別C WPI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密D WAI實現(xiàn)對傳輸?shù)臄?shù)據(jù)加密參考答案：D, 理解：WAPI由WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastructure）兩部分組成，WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。45、 下列關于防火墻的主要功能包括：A 訪問控制B 內(nèi)容控制C 數(shù)據(jù)加密D 查殺病毒參考答案：A46、 簡單包過濾防火墻主要工作在A 鏈路層/網(wǎng)絡層B 網(wǎng)絡層/傳輸層C 應用層D 會話層參考答案：B47、 以下哪一項不是應用層防火墻的特點？A 更有效的阻止應用層攻擊B 工作在OSI模型的第七層C 速度快且對用戶透明D 比較容易進行審計參考答案：C48、 哪類防火墻具有撮據(jù)傳輸信息的內(nèi)容(如關鍵字、文件類型)來控制訪問連接的能力？A 包過濾防火墻B 狀態(tài)檢測防火墻C 應用網(wǎng)關防火墻D 以上都不能參考答案：C49、 下面哪一項不是IDS的主要功能：A 監(jiān)控和分析用戶和系統(tǒng)活動B 統(tǒng)計分析異?；顒幽Ｊ紺 對被破壞的數(shù)據(jù)進行修復D 識別活動模式以反映已知攻擊參考答案：C50、 下列哪些選項不屬于NIDS的常見技術？A 協(xié)議分析B 零拷貝C SYN CookieD IP碎片重組參考答案：D，理解：NIDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。NIDS不能處理加密后的數(shù)據(jù)，如果數(shù)據(jù)傳輸中被加密，即使只是簡單的替換，NIDS也難以處理，例如采用SSH、HTTPS、帶密碼的壓縮文件等手段，都可以有效的防止NIDS的檢測。 NIDS難以檢測重放攻擊、中間人攻擊、對網(wǎng)絡監(jiān)聽也無能為力。 目前的NIDS還難以有效的檢測DDoS攻擊。有些NIDS不能對IP分片進行重組，或者超過了其處理能力，因此對該攻擊規(guī)避后可以躲過NIDS的檢測。51、 當網(wǎng)絡安全管理員發(fā)現(xiàn)原有的IDS不能檢測到新的攻擊類型時，應采取下列哪項措施最為有效？A 配置防火墻B 購買或更新特征庫C 關閉IDS直到得到新的IDS應用程序D 定義一個新的規(guī)則來檢測攻擊參考答案：B52、 Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin組中user用戶，以下哪個是該文件正確的模式表示？A rwxr-xr-x 3 user admin 1024 Sep 13 11:58 testB drwxr-xr-x 3 user admin 1024 Sep 13 11:58 testC rwxr-xr-x 3 admin user 1024 Sep 13 11:58 testD drwxr-xr-x 3 admin user 1024 Sep 13 11:58 test參考答案：A53、 默認情況，Linux系統(tǒng)中用戶登錄密碼信息存放在哪個文件中？A /etc/groupB /etc/userinfoC /etc/shadowD /etc/profie參考答案：C54、 Windows系統(tǒng)中，路由跟蹤命令是：A tracertB tracerouteC routetraceD trace參考答案：A55、 以下對于Windows系統(tǒng)的服務描述，正確的是：A windows服務必須是一個獨立的可執(zhí)行程序B Windows服務的運行不需要用戶的交互登錄C windows服務都是隨系統(tǒng)啟動而啟動，無需用戶進行干預D windows服務都需要用戶進行登錄后，以登錄用戶的權(quán)限進行啟動參考答案：B56、 以下關于windows SAM（安全賬號管理器）的說法錯誤的是：A 安全賬號管理器（SAM）具體表現(xiàn)就是%SystemRoot%system32configsamB 安全賬號管理器（SAM）存儲的賬號信息是存儲在注冊表中C 安全帳號管理器（SAM）存儲的帳號信息對administrator和system是可讀和可寫的D 安全帳號管理器（SAM）是windows的用戶數(shù)據(jù)庫，系統(tǒng)進程通過Security Accounts Manager服務進行訪問和操作參考答案：C57、 下列哪一項與數(shù)據(jù)庫的安全有直接關系？A 訪問控制的粒度B 數(shù)據(jù)庫的大小C 關系表中屬性的數(shù)量D 關系表中元組的數(shù)量參考答案：A58、 完整性檢查和控制的防范對象是，防止它們進入數(shù)據(jù)庫。A 不合語義的數(shù)據(jù)、不正確的數(shù)據(jù)B 非法用戶C 非法操作D 非法授權(quán)參考答案：A，理解：數(shù)據(jù)的完整性是為了防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，也就是防止數(shù)據(jù)庫中出現(xiàn)不正確的數(shù)據(jù)。數(shù)據(jù)的安全性是保護數(shù)據(jù)庫防止惡意的破壞和非法的存取。因此，完整性檢查和控制的防范對象是不合語義、不正確的數(shù)據(jù)，防止它們進入數(shù)據(jù)庫。安全性控制的防范對象是非法用戶和非法操作，防止他們對數(shù)據(jù)庫中數(shù)據(jù)的非法存取。59、 下列SQL語句給出關系型數(shù)據(jù)庫中的哪一類完整性約束條件？CREATE TABLE Student( id CHAR(8),SnameCHAR(20) NOT NULL, Sage SMALLINT, PRIMARY KEY(id) );A 實體完整性B 二維表完整性C 參照完整性D 自定義完整性參考答案：A，理解：實體完整性和參照完整性適用于任何關系型數(shù)據(jù)庫系統(tǒng)，它主要是針對關系的主關鍵字和外部關鍵字取值必須有效而做出的約束。實體完整性：是指關系的主關鍵字不能重復也不能取“空值；參照完整性：是定義建立關系之間聯(lián)系的主關鍵字與外部關鍵字引用的約束條件。用戶定義完整性；是根據(jù)應用環(huán)境的要求和實際的需要，對某一具體應用所涉及的數(shù)據(jù)提出約束性條件。這一約束機制一般不應由應用程序提供，而應有由關系模型提供定義并檢驗，用戶定義完整性主要包括字段有效性約束和記錄有效性。60、 以下哪一項不是IIS服務器支持的訪問控制過濾類型？A 網(wǎng)絡地址訪問控制B web服務器許可C NTFS許可D 異常行為過濾參考答案：D61、 Apache Web服務器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A httpd.confB srm.confC access.confD inetd.conf參考答案：A62、 下列哪個是病毒的特性？A 不感染、依附性B 不感染、獨立性C 可感染、依附性D 可感染、獨立性參考答案：C63、 下面關于惡意軟件描述錯誤的是：A 蠕蟲是值一個程序（或一組程序），它會自我復制、傳播到別的計算機系統(tǒng)中去B 邏輯炸彈屬于不傳染的依附性惡意代碼C 病毒和木馬的主要區(qū)別在于木馬不進行自我復制和傳播D 為防止惡意軟件傳播，在局域網(wǎng)入口處安裝防火墻是最有效的措施參考答案：D64、 下列哪一項不是信息安全漏洞的載體？A 網(wǎng)絡協(xié)議B 操作系統(tǒng)C 應用系統(tǒng)D 業(yè)務數(shù)據(jù)參考答案：D65、 下列哪些措施不是有效的緩沖區(qū)溢出的防護措施？A 使用標準的C語言字符串庫進行操作B 嚴格驗證輸入字符串長度C 過濾不合規(guī)則的字符D 使用第三方安全的字符串庫操作參考答案：A66、 在某個攻擊中，由于系統(tǒng)用戶或系統(tǒng)管理員主動泄漏，使得攻擊者可以訪問系統(tǒng)資源的行為被稱作：A 社會工程B 非法竊取C 電子欺騙D 電子竊聽參考答案：A67、 通過向被攻擊者發(fā)送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網(wǎng)絡信息流時，這種攻擊稱之為：A Land攻擊B Smurf攻擊C Ping of Death攻擊D ICMP Flood參考答案：D68、 以下哪個攻擊步驟是IP欺騙(IP Spoof)系列攻擊中最關鍵和難度最高？A 對被冒充的主機進行拒絕服務攻擊，使其無法對目標主機進行響應B 與目標主機進行會話，猜測目標主機的序號規(guī)則C 冒充受信主機想目標主機發(fā)送數(shù)據(jù)包，欺騙目標主機D 向目標主機發(fā)送指令，進行會話操作參考答案：B69、 下面哪一項內(nèi)容更準確地描述了網(wǎng)絡層可能存在的安全攻擊？A IP源地址欺騙、IP數(shù)據(jù)包偽造、嗅探等B IP數(shù)據(jù)包偽造、嗅探、TCP會話劫持等C syn flood、IP數(shù)據(jù)包偽造、分片攻擊等D IP數(shù)據(jù)包偽造、udp flood、Smurf等參考答案：A70、 以下哪個不是SDL的思想之一？A SDL是持續(xù)改進的過程，通過持續(xù)改進和優(yōu)化以適用各種安全變化，追求最優(yōu)效果B SDL要將安全思想和意識嵌入到軟件團隊和企業(yè)文化中C SDL要實現(xiàn)安全的可度量性D SDL是對傳統(tǒng)軟件開發(fā)過程的重要補充，用于完善傳統(tǒng)軟件開發(fā)中的不足參考答案：D，P565，理解：SDL是微軟提出的從安全角度指導軟件開發(fā)過程的管理模式。71、 以下針對SDL的需求分析的描述最準確的是：A 通過安全需求分析，確定軟件安全需要的安全標準和相關要求B 通過安全需求分析，確定軟件安全需要的安全技術和工作流程C 通過安全需求分析，確定軟件安全需要的安全標準和安全管理D 通過安全需求分析，確定軟件安全需要的安全技術和安全管理參考答案：A 72、 信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標是：A 避免系統(tǒng)軟硬件的損傷B 監(jiān)視系統(tǒng)用戶和維護人員的行為C 保護組織的信息資產(chǎn)D 給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準確記錄參考答案：C73、 下面對PDCA模型的解釋不正確的是：A 通過規(guī)劃、實施、檢查和處置的工作程序不斷改進對系統(tǒng)的管理活動B 是一種可以應用于信息安全管理活動持續(xù)改進的有效實踐方法C 也被稱為“戴明環(huán)”D 適用于對組織整體活動的優(yōu)化，不適合單人的過程以及個人參考答案：D74、 以下對PDCA循環(huán)特點描述不正確的是：A 按順序進行，周而復始，不斷循環(huán)B 組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題C 每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次PDCA循環(huán)D 可以由任何一個階段開始，周而復始，不斷循環(huán)參考答案：D75、 在PDCA模型中，ACT（處置）環(huán)節(jié)的信息安全管理活動是：A 建立環(huán)境B 實施風險處理計劃C 持續(xù)的監(jiān)視與評審風險D 持續(xù)改進信息安全管理過程參考答案：D76、 下述選項中對于“風險管理”的描述正確的是：A 安全必須是完美無缺、面面俱到的。B 最完備的信息安全策略就是最優(yōu)的風險管理對策。C 在應對信息安全風險時，要從經(jīng)濟、技術、管理的可行性和有效性上做出權(quán)衡和取舍。D 防范不足就會造成損失；防范過多就可以避免損失。參考答案：C77、 在風險管理準備階段“建立背景”（對象確立）過程中不應該做的是：A 分析系統(tǒng)的體系結(jié)構(gòu)B 分析系統(tǒng)的安全環(huán)境C 制定風險管理計劃D 調(diào)查系統(tǒng)的技術特性參考答案：C78、 風險評估主要包括風險分析準備、風險要素識別、風險分析和風險結(jié)果判定四個主要過程，關于這些過程，以下的說法哪一個是正確的？A 風險分析準備的內(nèi)容是識別風險的影響和可能性B 風險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C 風險分析的內(nèi)容是識別風險的影響和可能性D 風險結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施參考答案：C，P227，理解：b實際上是風險分析的工作，d實際上是風險識別，識別與進一步分析風險的影響以及程度是風險分析的工作。79、 應對信息安全風險的主要目標是什么？A 消除可能會影響公司的每一種威脅B 管理風險，以使由風險產(chǎn)生的問題降至最低限度C 盡量多實施安全措施以消除資產(chǎn)暴露在其下的每一種風險D 盡量忽略風險，不使成本過高參考答案：B80、 風險是需要保護的（ ）發(fā)生損失的可能性，它是（ ）和（ ）綜合結(jié)果。A 資產(chǎn)，攻擊目標，威脅事件B 設備，威脅，漏洞C 資產(chǎn)，威脅，漏洞D 以上都不對參考答案：C81、 下列對風險分析方法的描述正確的是：A 定量分析比定性分析方法使用的工具更多B 定性分析比定量分析方法使用的工具更多C 同一組織只用使用一種方法進行評估D 符合組織要求的風險評估方法就是最優(yōu)方法參考答案：D82、 下列哪種處置方法屬于轉(zhuǎn)移風險？A 部署綜合安全審計系統(tǒng)B 對網(wǎng)絡行為進行實時監(jiān)控C 制訂完善的制度體系D 聘用第三方專業(yè)公司提供維護外包服務參考答案：D83、 在對安全控制進行分析時，下面哪個描述是不準確的？A 對每一項安全控制都應該進行成本收益分析，以確定哪一項安全控制是必須的和有效的B 應確保選擇對業(yè)務效率影響最小的安全措施C 選擇好實施安全控制的時機和位置，提高安全控制的有效性D 仔細評價引入的安全控制對正常業(yè)務帶來的影響，采取適當措施，盡可能減少負面效應參考答案：B84、 某公司正在進行安全風險評估，在決定信息資產(chǎn)的分類與分級時，誰負有最終責任？A 部門經(jīng)理B 高級管理層C 信息資產(chǎn)所有者D 最終用戶參考答案：C85、 以下哪一項不是信息安全策略文檔中必須包含的內(nèi)容：A 說明信息安全對組織的重要程度B 介紹需要符合的法律法規(guī)要求C 信息安全技術產(chǎn)品的選型范圍D 信息安全管理責任的定義參考答案：C86、 以下哪一項措施不是用來支持“最小權(quán)限”原則的？A 嚴格限制系統(tǒng)管理員的數(shù)量B 管理員應使用普通用戶身份進行常規(guī)操作，如閱讀郵件C 將系統(tǒng)用戶的角色分為管理員、審計員和普通用戶。D 只允許系統(tǒng)軟件和應用系統(tǒng)需要使用的數(shù)據(jù)通過防火墻參考答案：D，參見P368，訪問控制策略87、 當員工或外單位的工作人員離開組織或崗位變化時，必須進行以下的管理程序除了：A 明確此人不再具有以前的職責B 確保歸還應當歸還的資產(chǎn)C 確保屬于以前職責的訪問權(quán)限被撤銷D 安全管理員陪同此人離開工作場所參考答案： D 88、 在一個有充分控制的信息處理計算中心中，下面哪項任務可以由同一個人執(zhí)行？A 安全管理和變更管理B 計算機操作和系統(tǒng)開發(fā)C 系統(tǒng)開發(fā)和變更管理D 系統(tǒng)開發(fā)和系統(tǒng)維護參考答案：B89、 根據(jù)災難恢復演練的深度不同，可以將演練分為三個級別，這三個級別按演練深度由低到高的排序正確的是：A 系統(tǒng)級演練、業(yè)務級演練、應用級演練B 系統(tǒng)級演練、應用級演練、業(yè)務級演練C 業(yè)務級演練、應用級演練、系統(tǒng)級演練D 業(yè)務級演練、系統(tǒng)級演練