CISO官方模擬題一

1、CISO 模擬題一一、單選題。 (共 100題,共 100 分,每題 1分)1. 以下關(guān)于安全套接層協(xié)議(Secure Sockets Layer,SS)L 說法錯(cuò)誤的是：a、SSL協(xié)議位于TCP/IP協(xié)議層和應(yīng)用協(xié)議之間b、SSL協(xié)議廣泛應(yīng)用于web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸c、SSL是一種可靠的端到端的安全服務(wù)協(xié)議d、SSL是設(shè)計(jì)用來保護(hù)操作系統(tǒng)的最佳答案是 :d2. 部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)( Internet Protocol Security Virtual Private Network, IPsecVPN)時(shí),以下說法正確的是：a、配置MD5安全算法可以提供可

2、靠地?cái)?shù)據(jù)加密b、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證c、 部署Ipsec VPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)(Security Authentication ， SA)資源的消耗d、 報(bào)文驗(yàn)證頭協(xié)議(Authentication Header， AH)可以提供數(shù)據(jù)機(jī)密性最佳答案是 :c3. 某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問制定訪問策略，針對(duì)每個(gè)用戶指明能夠訪問 的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問，該訪問控制策略屬于以下哪一種：a、強(qiáng)制訪問控制b、基于角色的訪問控制c、自主訪問控制d、基于任務(wù)的訪問控制最

3、佳答案是 :c4. 某移動(dòng)智能終端支持通過指紋識(shí)別解鎖系統(tǒng)的功能， 與傳統(tǒng)的基于口令的鑒別技術(shù)相比， 關(guān)于此種鑒別技術(shù)說法不正確的是：a、所選擇的特征(指紋)便于收集、測(cè)量和比較b、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的c、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問題d、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成最佳答案是 :c5. 為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?a、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法b、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法c、實(shí)體“所知”以及實(shí)

4、體“特征”的鑒別方法d、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法最佳答案是 :a6. 以下場(chǎng)景描述了基于角色的訪問控制模型 (Role-based Access Control. RBAC)根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位.職位或分工，管理員負(fù)責(zé)將權(quán)限 (不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是：a、 當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕b、 業(yè)務(wù)系統(tǒng)中的崗位職位或者分工，可對(duì)應(yīng)RBAC模型中的角色c、通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制d、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問

5、控制最佳答案是 :d7. 關(guān)于 Kerberos 認(rèn)證協(xié)議，以下說法錯(cuò)誤的是：a、 只要用戶拿到了認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期， 就可以使用該TGT通過票據(jù)授權(quán)服務(wù)器（TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入 密碼b、認(rèn)證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安 全也嚴(yán)重依賴于 AS和TGS的性能和安全c、該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三個(gè)階段， 僅支持服務(wù)器對(duì)用戶的單向認(rèn)證d、該協(xié)議是一種基于對(duì)稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜 最佳答案是 :c8傳輸控

6、制協(xié)議（TCP是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的？a、 相比傳輸層的另外一個(gè)協(xié)議UDP, TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因 此具有廣泛的用途b、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確 的主機(jī)c、 TCP協(xié)議具有流量控制數(shù)據(jù)校驗(yàn)超時(shí)重發(fā).接收確認(rèn)等機(jī)制，因此 TCP協(xié)議能完全替代IP協(xié)議d、 TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低最佳答案是 :d9. S公司在全國(guó)有20個(gè)分支機(jī)構(gòu)，總部有10臺(tái)服務(wù)器.200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺(tái)服務(wù)器 100個(gè)左右用戶終端， 通過專網(wǎng)進(jìn)行互

7、聯(lián)互通。 公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中， 四 家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評(píng)標(biāo)專家，請(qǐng)給S公司選出設(shè)計(jì)最合理的一個(gè)：a、 總部使用服務(wù)器.用戶終端統(tǒng)一作用10.0.1.X.各分支機(jī)構(gòu)服務(wù)器和用戶終端使用192.168.2.X192.168.20.Xb、 總部使用服務(wù)器使用11.用戶終端使用2212，分支機(jī)構(gòu)IP地址隨意確 定即可c、 總部服務(wù)器使用10.0.1.X.用戶終端根據(jù)部門劃分使用10.0.2.X每個(gè)分支機(jī)構(gòu)分配兩個(gè) A類地址段，一個(gè)用做服務(wù)器地址段另外一個(gè)做用戶終端地址段d、 因?yàn)橥ㄟ^互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映

8、射，因此IP地址無(wú)需 特別規(guī)劃，各機(jī)構(gòu)自行決定即可最佳答案是 :c10. 以下關(guān)于 Windows系統(tǒng)賬號(hào)存儲(chǔ)管理機(jī)制SAM（Security Accounts Manager）的說法哪個(gè)是正確的：a、存儲(chǔ)在注冊(cè)中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性b、 存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性c、存續(xù)在冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便d、 存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性最佳答案是 :d11. 由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置賬戶鎖定策略以對(duì)抗口令

9、暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器 5 分鐘， 賬戶鎖定時(shí)間 10 分鐘， 賬戶鎖定閥值 3 次無(wú)效登錄，以下關(guān)于以上策略設(shè)置后的說法哪個(gè)是正確的：a、 設(shè)置賬戶鎖定策略后，攻擊者無(wú)法再進(jìn)行口令暴力破解，所有輸錯(cuò)了密碼的用戶就會(huì)被鎖住b、 如果正常用戶不小心輸錯(cuò)了3次密碼，那么該用戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無(wú)法登錄系統(tǒng)c、 如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該用戶賬號(hào)就被鎖定5分鐘，5分鐘內(nèi)即使提交了正確的密碼也無(wú)法登錄系統(tǒng)d、 攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該用戶就被鎖定 10分鐘，而正常 用戶登錄不受影響最佳答案

10、是 :b12. 關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，下列說法不正確的是：a、 數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫(kù)中數(shù) 據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)b、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤上保存 起來，是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù)c、 日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障 恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)d、 計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未儲(chǔ)存到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生的數(shù)據(jù) 值，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交最佳答案是 :d13. 安全的運(yùn)行環(huán)境是

11、軟件安全的基礎(chǔ)， 操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的 工作，某管理員對(duì)即將上線的 Windows 操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng) 設(shè)置不利于提高運(yùn)行環(huán)境安全 ?a、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞b、 為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)所有數(shù)據(jù)和操作系 統(tǒng)都存放在 C 盤c、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅d、將默認(rèn)的管理員賬號(hào) Administrator改名，降低口令暴力破解攻擊的發(fā)生可能 最佳答案是 :b14. 應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫(kù)防護(hù)策略

12、， 以下不屬于數(shù)據(jù)庫(kù)防護(hù)策略的是 ?a、安裝最新的數(shù)據(jù)庫(kù)軟件安全補(bǔ)丁b、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密c、不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng)d、定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良好最佳答案是 :d15. 數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全， 以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是：a、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使 得這些信息恰好能夠完成用戶的工作b、 最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性.保密性和可用性的前提下，最大程度地共享數(shù) 據(jù)庫(kù)中的信息c、粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，

13、安全級(jí)別越高，在實(shí)際中需 要選擇最小粒度d、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫(kù)的不同部分最佳答案是 :b16. 安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody 用戶，以下操作的主要目的是：a、為了提高Apache軟件運(yùn)行效率b、為了提高 Apache軟件的可靠性c、 為了避免攻擊者通過Apache獲得root權(quán)限d、為了減少Apache上存在的漏洞最佳答案是 :c17. 數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP IP 協(xié)議中，數(shù)據(jù)封裝的順序是：a、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層b、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層c、

14、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層d、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層最佳答案是 :b18. 某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個(gè)0A系統(tǒng)，其中有一個(gè)公文分發(fā)，公文通知等為 WORD文檔，廠商在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)使用了FTP來對(duì)公文進(jìn)行分發(fā)，以下說法不正確的是a、 FTP協(xié)議明文傳輸數(shù)據(jù)，包括用戶名和密碼，攻擊者可能通過會(huì)話過程嗅探獲得FTP密 碼，從而威脅 OA系統(tǒng)b、 FTP協(xié)議需要進(jìn)行驗(yàn)證才能訪問在，攻擊者可以利用FTP進(jìn)行口令的暴力破解c、FTP協(xié)議已經(jīng)是不太使用的協(xié)議，可能與新版本的瀏覽器存在兼容性問題d、 FTP應(yīng)用需要安裝服務(wù)器端軟件，軟件存在漏洞可能會(huì)影響到OA系統(tǒng)的安全最佳答案是 :c19.

15、 以下關(guān)于SMTP和POP3協(xié)議的說法哪個(gè)是錯(cuò)誤的：a、SMTP和POP3協(xié)議是一種基于 ASCI I編碼的請(qǐng)求/響應(yīng)模式的協(xié)議b、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄漏的可能c、SMTP和 POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題d、SMTP和POP3協(xié)議由于協(xié)議簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件最佳答案是 :a20. 某公司在互聯(lián)網(wǎng)區(qū)域新建了一個(gè) WEB 網(wǎng)站，為了保護(hù)該網(wǎng)站主頁(yè)安全性，尤其是不能 讓攻擊者修改主頁(yè)內(nèi)容，該公司應(yīng)當(dāng)購(gòu)買并部署下面哪個(gè)設(shè)備（）a、負(fù)載均衡設(shè)備b、網(wǎng)頁(yè)防篡改系統(tǒng)c、網(wǎng)絡(luò)防病毒系統(tǒng)d、網(wǎng)絡(luò)審計(jì)系統(tǒng)最佳答案是 :b21. 小陳在某電

16、器城購(gòu)買了一臺(tái)冰箱，并留下了個(gè)人姓名、電話在和電子郵件地址等信，第 二天他收到了一封來自電器城提示他中獎(jiǎng)的郵件上， 查看該后他按照提示操作， 納中獎(jiǎng)稅款 后并沒有得到中獎(jiǎng)獎(jiǎng)金， 再打電話詢問電器城才得知電器城并沒有開的活動(dòng)， 根據(jù)上面的描 述，由此可以推斷的是（）a、小陳在電器城登記個(gè)人信息時(shí)，應(yīng)當(dāng)使用加密手段b、小陳遭受了釣魚攻擊，錢被騙走了c、小陳的計(jì)算機(jī)中了木馬，被遠(yuǎn)程控制d、 小陳購(gòu)買的凌波微步是智能凌波微步，能夠自己上網(wǎng)最佳答案是 :b22. 安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（Secure Multipurpose In ternet Mail Exte nsio n ， SMIME）是指一

17、種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是（）。a、SMIME 采用了非對(duì)稱密碼學(xué)機(jī)制b、SMIME支持?jǐn)?shù)字證書c、SMIME采用了郵件防火墻技術(shù)d、SMIME支持用戶身份認(rèn)證和郵件加密最佳答案是 :c23. 小王在某 Web 軟件公司工作，她在工作中主要負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)（InternetIn formation Services， IIS）軟件進(jìn)行安全配置，這是屬于（）方面的安全工作。a、Web服務(wù)支撐軟件b、Web應(yīng)用程序c、Web瀏覽器d、通信協(xié)議最佳答案是 :a24. 為增強(qiáng) Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容要在他的考慮范圍內(nèi) ?a、關(guān)

18、于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)b、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)c、針對(duì)SQL注入漏洞的安全編程培訓(xùn)d、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)最佳答案是 :c25. 關(guān)于惡意代碼，以下說法錯(cuò)誤的是：a、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。b、 按照運(yùn)行平臺(tái)，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒文件傳播型病毒。c、不感染的依附性惡意代碼無(wú)法單獨(dú)執(zhí)行d、 為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞活動(dòng)，傳播途徑是惡意代碼賴以生存和繁殖的基本條件 最佳答案是 :d26. 以下可能存在 sql 注入攻擊的部分是：a、get請(qǐng)求參數(shù)b、post請(qǐng)求參數(shù)c、cookie值d、以上均有可能最

19、佳答案是 :d27. 某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)（Intrusien Detection System , IDS）產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：a、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可b、選購(gòu)任意一款品牌防火墻c、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品d、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻最佳答案是 :d28. 某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站 ICMP 流量上升了 250%，盡管網(wǎng)站 沒有發(fā)現(xiàn)任何的性能下降或其他問題， 但為了安全起見， 他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施， 作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問題的應(yīng)對(duì)措施：a、 在防火墻上設(shè)置策略，阻止所有的ICMP

20、流量進(jìn)入（關(guān)掉ping）b、刪除服務(wù)器上的 ping.exe程序c、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊d、增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊最佳答案是 :a29. 軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)， 避免防范不足帶來的直接損失， 也需要關(guān)注過度防范造成的間接損 失，在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：a、在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試.安全評(píng)審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)b、 在軟件安全設(shè)計(jì)時(shí)， 邀請(qǐng)軟件安全開發(fā)專家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè) 計(jì)中存在的安全不足c、

21、確保對(duì)軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼d、 在軟件上線前對(duì)軟件進(jìn)行全面安全性測(cè)試，包括源代碼分析.模糊測(cè)試.滲透測(cè)試，未經(jīng) 以上測(cè)試的軟件不允許上線運(yùn)行最佳答案是 :d30. 在軟件保障成熟度模型 （Software Assuranee Maturity Mode ， SAMM）中，規(guī)定了軟件開發(fā) 過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：a、治理，主要是管理軟件開發(fā)的過程和活動(dòng)b、構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)c、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過程與活動(dòng)d、購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開源組

22、件的相關(guān)管理過程與活動(dòng)最佳答案是 :d31. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是（）a、要求所有的開發(fā)人員參加軟件安全開發(fā)知識(shí)培訓(xùn)b、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查c、 要求統(tǒng)一采用 Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的 Windows版本d、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問題最佳答案是 :c32. 微軟提出了 STRIDE模型，其中R是Repudiation（抵賴）的縮寫，關(guān)于此項(xiàng)錯(cuò)誤的是 ：a、 某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱

23、“我沒有下載過數(shù)據(jù)”軟件R威脅b、 某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?威脅也屬于R威 脅。c、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)d、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù) 最佳答案是 ：d33. 某購(gòu)物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目 開發(fā)人員決定用戶登陸時(shí)如果用戶名或口令輸入錯(cuò)誤， 給用戶返回 “用戶名或口令輸入錯(cuò)誤” 信息， 輸入錯(cuò)誤達(dá)到三次， 將暫時(shí)禁止登錄該賬戶， 請(qǐng)問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè) 計(jì)原則：a、最少共享機(jī)制原則b、經(jīng)濟(jì)機(jī)制原則c、不信任原則d、默認(rèn)故障處理保護(hù)

24、原則最佳答案是 ：c34. 以下哪一項(xiàng)不是常見威脅對(duì)應(yīng)的消減措施：a、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范b、 為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性c、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴d、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限 最佳答案是 ：c35. 為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下 關(guān)于滲透測(cè)試過程的說法不正確的是a、 由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù) 據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)b、滲透測(cè)試從

25、“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性 其價(jià)值在于可以測(cè)試軟件在 實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況c、 滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定.信息收集漏洞利用完成滲透測(cè)試報(bào)告等步驟d、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試 最佳答案是 :d36. 信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:a、信息系統(tǒng)的技術(shù)架構(gòu)安全問題b、信息系統(tǒng)組成部門的組件安全問題c、信息系統(tǒng)生命周期的過程安全問題d、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題 最佳答案是 :c37. 系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維，邏輯維和知識(shí)維組成，有關(guān)此模型， 錯(cuò)誤的是：a、霍爾三維結(jié)構(gòu)體系形象地

26、描述了系統(tǒng)工程研究的框架b、時(shí)間維表示系統(tǒng)工程活動(dòng)從開始到結(jié)束按時(shí)間順序排列的全過程c、 邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維步驟 的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)d、知識(shí)維利率可能需要運(yùn)用的工程，醫(yī)學(xué)，建筑，商業(yè)，法律，管理，社會(huì)科學(xué)和藝術(shù)等 多種知識(shí)和技能最佳答案是 :c38. 有關(guān)質(zhì)量管理，錯(cuò)誤的理解是：a、 質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo) 而進(jìn)行的所有管理性質(zhì)的活動(dòng)b、 規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO 9000系列標(biāo)準(zhǔn)c、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理d

27、、質(zhì)量管理體系從機(jī)構(gòu)，程序，過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量 最佳答案是 :c39. 以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：a、項(xiàng)目是為達(dá)到特定的目的，使用一定資源，在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特 的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。b、項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。c、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。d、 項(xiàng)目目標(biāo)要遵守 SMART原則，即項(xiàng)目的目標(biāo)要求具體 (Specific)、可測(cè)量(Measurable)、 需相關(guān)方的一致同意 (Agree to)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Time-oriented)。 最佳答案

28、是 :b40. 以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：a、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)。b、 系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的 過程。c、 信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃，分步實(shí)施”。d、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程。 最佳答案是 :b41. 某項(xiàng)目的主要內(nèi)容為建造 A 類機(jī)房，監(jiān)理單位需要根據(jù)電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范(GB50174-2008)的相關(guān)要求，對(duì)承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出 的審核意見錯(cuò)誤的是：a、在異地建立備份機(jī)房時(shí)，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級(jí)相同b

29、、由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板上送風(fēng)，下回風(fēng)的方式c、因機(jī)房屬于 A級(jí)主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要d、A級(jí)主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)最佳答案是 :b42. 某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng)，通過公開招標(biāo)選擇 M 公司為承建單位，并選擇了 H 監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè) 應(yīng)用系統(tǒng)均已完成開發(fā)， M 公司已經(jīng)提交了驗(yàn)收申請(qǐng)，監(jiān)理公司需要對(duì) A 公司提交的軟件 配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開發(fā)類文檔：a、項(xiàng)目計(jì)劃書b、質(zhì)量控制計(jì)劃c、評(píng)審報(bào)告

30、d、需求說明書最佳答案是 :d43. 系統(tǒng)安全工程 -能力成熟度模型 (Systems Security Engineoring-Capability maturity model ，SSE-CMM定義的包含評(píng)估威脅.評(píng)估脆弱牲評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是：a、風(fēng)險(xiǎn)過程b、工程過程c、保證過程d、評(píng)估過程最佳答案是 :a44. 在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM對(duì)一個(gè)組織的安全工程能力成熟度進(jìn) 行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤理解的是：a、 如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域具備了一個(gè)特定級(jí)別的部門公共特征時(shí)，則這個(gè) 組織過程的能力成熟度未達(dá)到此級(jí)別b、 如果該組織某個(gè)過

31、程區(qū)域(Process Areas PA具備了定義標(biāo)準(zhǔn)過程、執(zhí)行已定義的過程，兩個(gè)公共特征，則此工程區(qū)域的能力成熟度級(jí)別達(dá)到 3 級(jí)充分定義級(jí)c、如果某個(gè)過程區(qū)域(Prpcess Areas PA )包含的4個(gè)基本措施(Base Practices, BP執(zhí)行此BP時(shí)執(zhí)行了 3個(gè)BP此過程區(qū)域的能力成熟度級(jí)別為0d、組織在不同的過程區(qū)域能力成熟度可能處于不同的級(jí)別上最佳答案是 :b45. 以下關(guān)于信息安全工程說法正確的是：a、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的b、信息化建設(shè)可以先實(shí)施系統(tǒng)，然后對(duì)系統(tǒng)進(jìn)行安全加固c、信息化建設(shè)在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)d、信息

32、化建設(shè)沒有必要涉及信息安全建設(shè)最佳答案是 :c46. 某公司開發(fā)了一個(gè)游戲網(wǎng)站,但是由于網(wǎng)站軟件存在漏洞,在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù),如一次性傳輸大于 2000 個(gè)字節(jié)數(shù)據(jù)時(shí),總是會(huì)有 3到5個(gè)字節(jié)不能傳 送到對(duì)方,關(guān)于此案例,可以推斷的是()a、該網(wǎng)站軟件存在保密性方面安全問題b、該網(wǎng)站軟件存在完整性方面安全問題c、該網(wǎng)站軟件存在可用性方面安全問題d、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題最佳答案是 :b47. 關(guān)于信息安全保障技術(shù)框架 (IATF),以下說法不正確的是：a、分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本b、IATF從人技術(shù)和操作三個(gè)層

33、面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也 無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施c、允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性d、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制 最佳答案是 :d48. 進(jìn)入21世紀(jì)以來，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò) 空間安全戰(zhàn)略， 但各國(guó)歷史 國(guó)情和文化不同， 網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同， 以下說 法不正確的是：a、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)b、 美國(guó)尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同 政府部

34、門的多個(gè)機(jī)構(gòu)共同承擔(dān)c、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理d、在網(wǎng)絡(luò)安全戰(zhàn)略中， 各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企 業(yè)之間的合作關(guān)系最佳答案是 :b49. 我國(guó)信息安全保障工作先后經(jīng)歷了啟動(dòng)、 逐步展開和積極推進(jìn)， 以及深化落實(shí)三個(gè)階段， 以下關(guān)于我國(guó)信息安全保障各階段說法不正確的是：a、2001 年，國(guó)家信息化領(lǐng)導(dǎo)小組重組， 網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立， 我國(guó)信息安全保障 工作正式啟動(dòng)b、2003 年 7 月，國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了關(guān)于加強(qiáng)信息信息安全保障工作的意 見（中辦發(fā) 27 號(hào)文件），明確了“積極防御、綜合防范”的國(guó)家信息安全保障工作方針c、20

35、03年，中辦發(fā) 27 號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段d、在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全 等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展最佳答案是 :c50. 我國(guó)信息安全保障建設(shè)包括信息安全組織與管理體制.基礎(chǔ)設(shè)施 .技術(shù)體系等方面，以下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是：a、健全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障b、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐c、建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主創(chuàng)新d 、建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng) 最佳答案是 :c5

36、1. 以下哪一項(xiàng)不是我國(guó)信息安全保障工作的主要目標(biāo)：a、保障和促進(jìn)信息化發(fā)展b、維護(hù)企業(yè)與公民的合法權(quán)益c、構(gòu)建高效的信息傳播渠道d、保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)最佳答案是 :c52. 美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施 （critical In formation In frastructure , Cll）包括商用設(shè)施、政府設(shè)施、 交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等 等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：a、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)b、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域c、 這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且

37、信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出d、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失最佳答案是 :c53. 2008年 1月2日，美國(guó)發(fā)布第 54號(hào)總統(tǒng)令， 建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃 (ComprehensiveNational Cybersecurity Initiative ， CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境，從以 上內(nèi)容，我們可以看出以下哪種分析是正確的：a、CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)b、從CNCI可以看出，威脅主要是來自外部的，而漏洞

38、和隱患主要是存在于內(nèi)部的c、CNCI 的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在 的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)d、CNCI 徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重 點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障最佳答案是 :a54. 公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒 以前項(xiàng)目經(jīng)驗(yàn)， 為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施， 但用戶提出不需要這些加密措施， 理由 是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭(zhēng)議。下面說法哪個(gè)是錯(cuò)誤的：a、乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢b、甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)

39、評(píng)估，所部署的加密針對(duì)性不足，造成浪費(fèi)c、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別d、乙要綜合考慮業(yè)務(wù)合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求最佳答案是 :a55. 以下關(guān)于信息安全法治建設(shè)的意義，說法錯(cuò)誤的是：a、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)b、明確違反信息安全的行為，并對(duì)該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng)c、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源d、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系最佳答案是 :c56. 2005 年 4 月 1 日正式施行的電子簽名法 ，被稱為“中國(guó)首部真正意義上的信息化法 律”，自此電子簽名與傳統(tǒng)手寫簽

40、名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯(cuò)誤的是：a、 電子簽名一一是指數(shù)據(jù)電文中以電子形式所含所附用于識(shí)別簽名人身份并表明簽名人 認(rèn)可其中內(nèi)容的數(shù)據(jù)b、 電子簽名適用于民事活動(dòng)中的合同或者其他文件單證等文書c、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)d、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有最佳答案是 :d57. 假設(shè)網(wǎng)絡(luò)中的一個(gè)設(shè)備發(fā)生故障，那么在下哪一種局域網(wǎng)結(jié)構(gòu)更容易面臨全面癱瘓？a、星型 b、總線c、環(huán)型d、全連接最佳答案是 :a58. 下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合保守國(guó)家秘密法要求：a、 家涉密及其

41、密級(jí)的具體范圍，由國(guó)家保密工作部門分別會(huì)同外交、公安、國(guó)他中央有關(guān)機(jī)關(guān)規(guī)定。b、 各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí) .定確定密級(jí)。.定級(jí)，然C、對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó) 后報(bào)國(guó)家保密工作部門確定。d、對(duì)是否屬于國(guó)家的事項(xiàng)，由國(guó)家保密工作部門， 最佳答案是 :C59. 有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：a、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論是否產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任b、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任c、過失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任d 、承擔(dān)了刑事責(zé)任，

42、無(wú)需再承擔(dān)行政責(zé)任或其他處分 最佳答案是 :a60. 關(guān)于我國(guó)加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤的是：a、立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重b、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全c、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作d、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國(guó)家安全 最佳答案是 :d61. 根據(jù)關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見的規(guī)定，錯(cuò)誤的是：a、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估 檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相 互結(jié)合 .互為補(bǔ)充b、 信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織規(guī)范操作講求科學(xué)注重實(shí)效”的原則開展c、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和

43、信息系統(tǒng)建設(shè)運(yùn)行的全過程d、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo) 最佳答案是 :a62. 標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的成果，是為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公 認(rèn)機(jī)構(gòu)批準(zhǔn)， 共同重復(fù)使用的一種規(guī)范性文件， 關(guān)于標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化， 以下選項(xiàng)中理解錯(cuò)誤的 是（）a、 標(biāo)準(zhǔn)化是一項(xiàng)活動(dòng)，標(biāo)準(zhǔn)化工作的主要任務(wù)是定標(biāo)準(zhǔn)、組織實(shí)施以及對(duì)標(biāo)準(zhǔn)的實(shí)施進(jìn)行監(jiān)督， 主要作用是為了預(yù)期的目的而改進(jìn)產(chǎn)品、過程或服務(wù)的實(shí)用性，防止壁壘， 促進(jìn)合作b、標(biāo)準(zhǔn)化的對(duì)象不應(yīng)是孤立的一件事或一個(gè)事物，而是共同的、可重復(fù)的事物，標(biāo)準(zhǔn)化的工作同時(shí)也具有動(dòng)態(tài)性，即應(yīng)隨著科學(xué)的發(fā)展和社會(huì)的進(jìn)步而不斷修訂標(biāo)準(zhǔn)c

44、、標(biāo)準(zhǔn)在國(guó)際貿(mào)易中有著重要作用，一方面，標(biāo)準(zhǔn)能打破技術(shù)壁壘，促進(jìn)國(guó)際間的經(jīng)貿(mào)發(fā) 展和科學(xué)、技術(shù)、文化交流和合作；另一方面，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘，起到限制他國(guó) 產(chǎn)品出口、保護(hù)本國(guó)產(chǎn)業(yè)的目的d 、標(biāo)準(zhǔn)有著不同的分類， 我國(guó)將現(xiàn)有標(biāo)準(zhǔn)分為強(qiáng)制性標(biāo)準(zhǔn)、 推薦性標(biāo)準(zhǔn)和事實(shí)性標(biāo)準(zhǔn)三類， 國(guó)家標(biāo)準(zhǔn)管理機(jī)構(gòu)對(duì)這三類標(biāo)準(zhǔn)通過采取不同字頭的方式分別編號(hào)后公開發(fā)布 最佳答案是 :d63. 為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作，我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)， 這些標(biāo)準(zhǔn)可以按照等級(jí)保護(hù)工作的工作階段大致分類。 下面四個(gè)標(biāo)準(zhǔn)中，（）規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)對(duì)象流程方法及等級(jí)變更等內(nèi)容。a

45、、GB/T 20271-2006信息系統(tǒng)通用安全技術(shù)要求b、GB/T 22240-2008信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南c、GB/T 25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求d、GB/T 20269-2006信息系統(tǒng)安全管理要求 最佳答案是 :b64. 在建立連續(xù)在線監(jiān)控系統(tǒng)時(shí)，IS 審計(jì)師首先應(yīng)該識(shí)別：a、合理的目標(biāo)下限b、組織中高風(fēng)險(xiǎn)領(lǐng)域c、輸出文件的位置和格式d、帶來最大潛在回報(bào)的應(yīng)用程序最佳答案是 :b65. 某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是 Windows，在進(jìn)行日志安全管理設(shè)置時(shí)， 系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考， 其中能有效應(yīng)

46、 對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：a、 在網(wǎng)絡(luò)中單獨(dú)部署 syslog服務(wù)器，將 Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日 志服務(wù)器中b、嚴(yán)格設(shè)置 Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作c、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小，延長(zhǎng)日志覆蓋時(shí)間，設(shè)置記錄更多信息等d、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間最佳答案是 :a66. 關(guān)于信息安全管理，說法錯(cuò)誤的是：a、 信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的 持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮和控制的一系列活動(dòng)。b、 信息安全管理是一個(gè)多層面多因素的過程，依賴于建立

47、信息安全組織、明確信息安全 角色及職責(zé)、 制訂信息安全方針策略標(biāo)準(zhǔn)規(guī)范、 建立有效的監(jiān)督審計(jì)機(jī)制等多方面的非技術(shù) 性的努力。c、實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。d、信息安全是人員、技術(shù)、操作三者緊密合作的系統(tǒng)工程，是一個(gè)靜態(tài)過程。最佳答案是 :d67. 以下哪個(gè)選項(xiàng)不是信息安全需求較為常見的來源？a、法律法規(guī)與合同條約的要求b、組織的原則、目標(biāo)和規(guī)定c、 風(fēng)險(xiǎn)評(píng)估的結(jié)果d、安全架構(gòu)和安全廠商發(fā)布的漏洞、病毒預(yù)警最佳答案是 :d68. 下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：a、確保采購(gòu)定制的設(shè)備軟件和其他系統(tǒng)組件滿足已定義的安全要求b、確保整個(gè)系統(tǒng)已按照領(lǐng)

48、導(dǎo)要求進(jìn)行了部署和配置c、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力d、確保信息系統(tǒng)的使用已得到授權(quán)最佳答案是 :b69. 下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是：a、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望b、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔c、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評(píng)估準(zhǔn)則d、對(duì)系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證最佳答案是 :c70. 信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，以下說法錯(cuò)誤的是？a、 信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是 信息安全風(fēng)險(xiǎn)評(píng)估b、 風(fēng)險(xiǎn)評(píng)估可以對(duì)信息資產(chǎn)進(jìn)行鑒定

49、和評(píng)估，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn) 行評(píng)估C、風(fēng)險(xiǎn)評(píng)估可以確定需要實(shí)施的具體安全控制措施d、風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上，風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的控制措施集合。最佳答案是 :C71. 小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為200萬(wàn)元人民幣，暴露系數(shù)(ExposureFactor, EF是25 %，年度發(fā)生率(Annualized Rate ofOccurrenee, ARO)為 0. 1，那么小王計(jì)算的年度預(yù)期損失(Annualized LossExpectancy, ALE)應(yīng)該是()。a、5 萬(wàn)元

50、人民幣b、 50 萬(wàn)元人民幣c、 2. 5 萬(wàn)元人民幣d、 25 萬(wàn)元人民幣最佳答案是 :a72. 規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ),某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),按照規(guī)范形成了若干文檔,其中,下面()中的文檔應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)要素識(shí)別”階段輸出的文檔。a、風(fēng)險(xiǎn)評(píng)估方案，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、范圍、目標(biāo)、評(píng)估步驟、經(jīng)費(fèi)預(yù)算和 進(jìn)度安排等內(nèi)容b、風(fēng)險(xiǎn)評(píng)估方法和工具列表 ,主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容c、風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、資產(chǎn)分類標(biāo) 準(zhǔn)等內(nèi)容d、已有安全措施列表，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管

51、理各方面安全措施等內(nèi)容 最佳答案是 :d73. 小張?jiān)谀硢挝皇秦?fù)責(zé)事信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo),主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。 一次培訓(xùn)的時(shí)候, 小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估工作形式, 小張 認(rèn)為： 1.風(fēng)險(xiǎn)評(píng)估工作形式包括： 自評(píng)估和檢查評(píng)估； 2.自評(píng)估是指信息系統(tǒng)擁有 .運(yùn)營(yíng)或 使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估； 3.檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組 織或者國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估；4.對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中的一個(gè),非此即彼,請(qǐng)問小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：a、第一個(gè)觀點(diǎn)b、第二個(gè)觀點(diǎn)c、第三個(gè)觀點(diǎn)d、第四個(gè)觀點(diǎn)

52、最佳答案是 :d74. 關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是：a、資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類b、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性c、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)， 并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估d、 確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)最佳答案是 :d75. 小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo),主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn), 一次培訓(xùn)的時(shí)候, 小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。 請(qǐng)問小李的 所述論點(diǎn)中錯(cuò)

53、誤的是哪項(xiàng)：a、 風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析b、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性c、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字 值,因此更具客觀性d、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化最佳答案是 :b76. 風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明： 風(fēng)險(xiǎn)值 =R(A，T， V)=R(L(T，V)，F(xiàn)(Ia，Va) 以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是：a、 R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅

54、，V表示脆弱性b、L 表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性c、F 表示安全事件發(fā)生后造成的損失d、la, Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度最佳答案是 :d77. 風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)估的局限性,最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中, 使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用, 根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用原 理,風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類,其中錯(cuò)誤的是：a、風(fēng)險(xiǎn)評(píng)估與管理工具b、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具c、風(fēng)險(xiǎn)評(píng)估輔助工具d、環(huán)境風(fēng)險(xiǎn)評(píng)估工具最佳答案是 :d78. 為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn),應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng),我國(guó)有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式

55、可分為自評(píng)估和檢查評(píng)估兩種,關(guān)于自評(píng)估,下面選項(xiàng)中描述錯(cuò)誤的是()。a、自評(píng)估是由信息系統(tǒng)擁有運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估b、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn).依據(jù)制定的評(píng)估方案和評(píng)估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí) 施c、 自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來實(shí)施d、 周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行 最佳答案是 :c79. 某單位的信息安全主管部門在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后,認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。 該部門將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下 四條報(bào)告給單位領(lǐng)導(dǎo),其中描述錯(cuò)誤的是 ( )。a、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程；也可在自評(píng)估的基礎(chǔ)上， 對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估b、 檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起， 其重點(diǎn)是針對(duì)存在的問題 進(jìn)行