CISP試題及答案-三套題

1、1 .人們對信息平安的認(rèn)識從信息技術(shù)平安開展到信息平安保障，主要是由于A.為了更好地完成組織機(jī)構(gòu)的使命B.針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C.風(fēng)險控制技術(shù)得到革命性的開展D.除了性，信息的完整性和可用性也引起人們的關(guān)注2 .信息平安保障的最終目標(biāo)是：A.掌握系統(tǒng)的風(fēng)險，制定正確的策略B.確保系統(tǒng)的性、完整性和可用性C.使系統(tǒng)的技術(shù)、管理、工程過程和人員等平安保障要素到達(dá)要求D.保障信息系統(tǒng)實現(xiàn)組織機(jī)構(gòu)的使命3 .關(guān)于信息保障技術(shù)框架IATF，以下哪種說法是錯誤的？A. IATF強(qiáng)調(diào)深度防御Defense-in-Depth，關(guān)注本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和根底設(shè)施、支撐性根底設(shè)施等多個領(lǐng)域的

2、平安保障；B. IATF強(qiáng)調(diào)深度防御Defense-in-Depth，即對信息系統(tǒng)采用多層防護(hù)，實現(xiàn)組織的業(yè)務(wù)平安運(yùn)作C. IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個角度來保障信息系統(tǒng)的平安；D. IATF強(qiáng)調(diào)的是以平安檢測、漏洞監(jiān)測和自適應(yīng)填充“平安間隙為循環(huán)來提高網(wǎng)絡(luò)平安4 .依據(jù)國家標(biāo)準(zhǔn)GB/T20274?信息系統(tǒng)平安保障評估框架？，信息系統(tǒng)平安目標(biāo)ISST是從信息系統(tǒng)平安保障的角度來描述的信息系統(tǒng)平安保障方案。A.建立者B.所有者C.評估者D.制定者5 .以下關(guān)于信息系統(tǒng)平安保障是主觀和客觀的結(jié)合說法錯誤的選項是：A.通過在技術(shù)、管理、工程和人員方面客觀地評估平安保障措施，向信息系統(tǒng)的所有者提

3、供其現(xiàn)有平安保障工作是否滿足其平安保障目標(biāo)的信心。B.信息系統(tǒng)平安保障不僅涉及平安技術(shù)，還應(yīng)綜合考慮平安管理、平安工程和人員平安等，以全面保障信息系統(tǒng)平安C.是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動D.是主觀和客觀綜合評估的結(jié)果；6 .信息系統(tǒng)保護(hù)輪廓ISPP定義了_.A.某種類型信息系統(tǒng)的與實現(xiàn)無關(guān)的一組系統(tǒng)級平安保障要求B.某種類型信息系統(tǒng)的與實現(xiàn)相關(guān)的一組系統(tǒng)級平安保障要求C.某種類型信息系統(tǒng)的與實現(xiàn)無關(guān)的一組系統(tǒng)級平安保障目的D.某種類型信息系統(tǒng)的與實現(xiàn)相關(guān)的一組系統(tǒng)級平安保障目的7 .以下對PPDR模型的解釋錯誤的選項是：A.該模型提出以平安策略為核心，防護(hù)、檢測和恢復(fù)組

4、成一個完整的，8 .該模型的一個重要奉獻(xiàn)是加進(jìn)了時間因素，而且對如何實現(xiàn)系統(tǒng)平安狀態(tài)給出了操作的描述C.該模型提出的公式1:Pt>Dt+Rt,代表防護(hù)時間大于檢測時間加響應(yīng)時間D.該模型提出的公式1:Pt=Dt+Rt，代表防護(hù)時間為0時，系統(tǒng)檢測時間等于檢測時間加響應(yīng)時間8.以下哪一項不是我國國務(wù)院信息化辦公室為加強(qiáng)信息平安保障明確提出的九項作容之一？A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率8 .保證信息平安資金投入&C.加快信息平安人才培養(yǎng)D.重視信息平安應(yīng)急處理工作9 .誰首先提出了擴(kuò)散-混淆的概念并應(yīng)用于密碼學(xué)領(lǐng)域？A.香農(nóng)B. ShamirC. HellmanD.圖靈10.以下哪些

5、問題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問題？A.大整數(shù)分解B.離散對數(shù)問題C.背包問題D.偽隨機(jī)數(shù)發(fā)生器11.以下關(guān)于kerckhofff準(zhǔn)那么的合理性闡述中，哪一項為哪一項正確的？A.保持算法的秘密比保持密鑰的秘密性要困難得多B.密鑰一旦泄漏，也可以方便地更換C.在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證平安D.公開的算法能夠經(jīng)過更嚴(yán)格的平安性分析12 .以下關(guān)于RSA算法的說法，正確的選項是：A. RSA不能用于數(shù)據(jù)加密B. RSA只能用于數(shù)字簽名C. RSA只能用于密鑰交換D. RSA可用于加密，數(shù)字簽名和密鑰交換體制13 .Hash算法的碰撞是指：A.兩個不同的消息，得到

6、一樣的消息摘要B.兩個一樣的消息，得到不同的消息摘要C.消息摘要和消息的長度一樣D.消息摘要比消息的長度更長14 .以下哪種算法通常不被用于保證性？A. AESB. RC4C. RSAD. MD515 .數(shù)字證書的功能不包括:A.加密B.數(shù)字簽名C.身份認(rèn)證D.消息摘要16 .以下哪一項為哪一項注冊機(jī)構(gòu)RA的職責(zé)?A.證書發(fā)放B.證書注銷C.提供目錄效勞讓用戶查詢D.審核申請人信息17. IPsec工作模式分別是：A.一種工作模式：加密模式B.三種工作模式：模式、傳輸模式、認(rèn)證模式C.兩種工作模式：隧道模式、傳輸模式D.兩種工作模式：隧道模式、加密模式18 .以下哪些描述同SSL相關(guān)？A.公鑰

7、使用戶可以交換會話密鑰，解密會話密鑰并驗證數(shù)字簽名的真實性B.公鑰使用戶可以交換會話密鑰，驗證數(shù)字簽名的真實性以及加密數(shù)據(jù)C.私鑰使用戶可以創(chuàng)立數(shù)字簽名，加密數(shù)據(jù)和解密會話密鑰。19 .以下關(guān)于IKE描述不正確的選項是：A. IKE可以為IPsec協(xié)商關(guān)聯(lián)B. IKE可以為RIPV2OSPPV2等要求的協(xié)議協(xié)商平安參數(shù)C. IKE可以為L2TP協(xié)商平安關(guān)聯(lián)D.IKE可以為SNMPv3等要求的協(xié)議協(xié)調(diào)平安參數(shù)20 .下面哪一項不是VPN協(xié)議標(biāo)準(zhǔn)？A. L2TPB. IPSecC. TACACSD. PPTP21 .自主訪問控制與強(qiáng)制訪問控制相比具有以下哪一個優(yōu)點(diǎn)?A.具有較高的平安性B.控制粒度

8、較大C.配置效率不高D.具有較強(qiáng)的靈活性22 .以下關(guān)于ChineseWall模型說確的是A.Bob可以讀銀行a的中的數(shù)據(jù)，那么他不能讀取銀行c中的數(shù)據(jù)B.模型中的有害客體是指會產(chǎn)生利益沖突，不需要限制的數(shù)據(jù)C. Bob可以讀銀行a的中的數(shù)據(jù)，那么他不能讀取石油公司u中的數(shù)據(jù)D. Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由那么Bob可以往石油公司u中寫數(shù)據(jù)23 .以下關(guān)于BLP模型規(guī)那么說法不正確的選項是：A. BLP模型主要包括簡單平安規(guī)那么和*-規(guī)那么B. *-規(guī)那么可以簡單表述為下寫C.主體可以讀客體，當(dāng)且僅當(dāng)主體的平安級可以支配客

9、體的平安級，且主體對該客體具有自主型讀權(quán)限D(zhuǎn).主體可以讀客體，當(dāng)且僅當(dāng)客體的平安級可以支配主體的平安級，且主體對該客體具有自主型讀權(quán)限24 .以下關(guān)于RBAC模型說確的是：A.該模型根據(jù)用戶所擔(dān)任的角色和平安級來決定用戶在系統(tǒng)中的訪問權(quán)限B. 一個用戶必須扮演并激活某種角色，才能對一個象進(jìn)展訪問或執(zhí)行某種操作C.在該模型中，每個用戶只能有一個角色D.在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián)25 .以下對常見強(qiáng)制訪問控制模型說法不正確的選項是：A. BLP影響了許多其他訪問控制模型的開展B. Clark-Wilson模型是一種以事物處理為根本操作的完整性模型C. ChineseWall模型是一

10、個只考慮完整性的平安策略模型D. Biba模型是一種在數(shù)學(xué)上與BLP模型對偶的完整性保護(hù)模型26 .訪問控制的主要作用是：A.防止對系統(tǒng)資源的非授權(quán)訪問B.在平安事件后追查非法訪問活動C.防止用戶否認(rèn)在信息系統(tǒng)中的操作D.以上都是27 .作為一名信息平安專業(yè)人員，你正在為某公司設(shè)計信息資源的訪問控制策略。由于該公司的人員流動較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來確定對信息資源的訪問權(quán)限，最應(yīng)該采用以下哪一種訪問控制模型？A.自主訪問控制DACB.強(qiáng)制訪問控制(MAC)C.基于角色訪問控制(RBAC)D.最小特權(quán)(LEASTPrivilege)28 .以下對kerberos協(xié)議特點(diǎn)描述

11、不正確的選項是：A.協(xié)議采用單點(diǎn)登錄技術(shù)，無法實現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證一B.協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證C.只要用戶拿到了TGT并且TGT沒有過期，就可以使用該TGT通過TGS完成到任一個效勞器的認(rèn)證而不必重新輸入密碼D.AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和平安也嚴(yán)重依賴于AS和TGS的性能和平安29 .以下對單點(diǎn)登錄技術(shù)描述不正確的選項是：A.單點(diǎn)登錄技術(shù)實質(zhì)是平安憑證在多個用戶之間的傳遞或共享B.使用單點(diǎn)登錄技術(shù)用戶只需在登錄時進(jìn)展一次注冊，就可以訪問多個應(yīng)用C.單點(diǎn)登錄不僅方便用戶使用，而且也便于管理D.使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)30 .以下對標(biāo)識

12、和鑒別的作用說法不正確的選項是：A.它們是數(shù)據(jù)源認(rèn)證的兩個因素B.在審計追蹤記錄時，它們提供與某一活動關(guān)聯(lián)確實知身份C.標(biāo)識與鑒別無法數(shù)據(jù)完整性機(jī)制結(jié)合起來使用D.作為一種必要支持，訪問控制的執(zhí)行依賴于標(biāo)識和鑒別確知的身份31 .下面哪一項不屬于集中訪問控制管理技術(shù)？A. RADIUSB. TEMPESTC. TACACSD. Diameter32 .平安審計是系統(tǒng)活動和記錄的獨(dú)立檢查和驗證，以下哪一項不是審計系統(tǒng)的作用？A.輔助辨識和分析未經(jīng)授權(quán)的活動或攻擊B.對與已建立的平安策略的一致性進(jìn)展核查C.及時阻斷違反平安策略的致性的訪問D.幫助發(fā)現(xiàn)需要改良的平安控制措施33 .以下對蜜網(wǎng)關(guān)鍵技術(shù)

13、描述不正確的選項是：A.數(shù)據(jù)捕獲技術(shù)能夠檢測并審計黑客的所有行為數(shù)據(jù)B.數(shù)據(jù)分析技術(shù)那么幫助平安研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動，使用工具及其意圖C.通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的平安D.通過數(shù)據(jù)控制、捕獲和分析，能對活動進(jìn)展監(jiān)視、分析和阻止34 .以下哪種無線加密標(biāo)準(zhǔn)中哪一項的平安性最弱？A. WepB. wpaC. wpa2D. wapi35 .路由器的標(biāo)準(zhǔn)訪問控制列表以什么作為判別條件？A.數(shù)據(jù)包的大小B.數(shù)據(jù)包的源地址C.數(shù)據(jù)包的端口號D.數(shù)據(jù)包的目的地址36 .通常在設(shè)計VLAN時，以下哪一項不是VIAN規(guī)劃方法？A.基于交換機(jī)端口B.基于網(wǎng)絡(luò)層協(xié)議C

14、.基于MAC地址D.基于數(shù)字證書37 .防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換MAT的主要作用是：A.提供代理效勞B.隱藏部網(wǎng)絡(luò)地址C.進(jìn)展入侵檢測D.防止病毒入侵38 .哪一類防火墻具有根據(jù)傳輸信息的容如關(guān)鍵字、文件類型來控制訪問連接的能力?A.包過濾防火墻B.狀態(tài)檢測防火墻C.應(yīng)用網(wǎng)關(guān)防火墻D.以上都不能39 .以下哪一項不屬于入侵檢測系統(tǒng)的功能？A.監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B.捕捉可疑的網(wǎng)絡(luò)活動C.提供平安審計報告D.過濾非法的數(shù)據(jù)包40 .下面哪一項不是通用IDS模型的組成局部：A.傳感器B.過濾器C.分析器D.管理器41 .windows操作系統(tǒng)中，令人欲限制用戶無效登錄的次數(shù)，應(yīng)當(dāng)怎么做？A.在本地平

15、安設(shè)置中對密碼策略進(jìn)展設(shè)置B.在本地平安設(shè)置中對用戶鎖定策略進(jìn)展設(shè)置C.在本地平安設(shè)置中對審核策略進(jìn)展設(shè)置D.在本地平安設(shè)置中對用戶權(quán)利措施進(jìn)展設(shè)置42 .以下哪一項與數(shù)據(jù)庫的平安的直接關(guān)系?A.訪問控制的程度B.數(shù)據(jù)庫的大小C.關(guān)系表中屬性的數(shù)量D.關(guān)系表中元組的數(shù)量43 .ApacheWeb效勞器的配置文件一般位于/local/spache/conf目錄.其中用來控制用戶訪問Apache目錄的配置文件是：A.httqd.confB.srm.confC.access.confD.inetd.conf44 .關(guān)于計算機(jī)病毒具有的感染能力不正確的選項是：A.能將自身代碼注入到引導(dǎo)區(qū)B.能將自身代

16、碼注入到限區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼45 .蠕蟲的特性不包括：A.文件寄生B.拒絕效勞C.傳播快D.隱蔽性好46 .關(guān)于網(wǎng)頁中的惡意代碼，以下說法錯誤的選項是：A.網(wǎng)頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用B.網(wǎng)頁中的惡意代碼可以修改系統(tǒng)注冊表C.網(wǎng)頁中的惡意代碼可以修改系統(tǒng)文件D.網(wǎng)頁中的惡意代碼可以竊取用戶的文件47 .當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一局部執(zhí)行時，就會產(chǎn)生哪種類型的漏洞？A.緩沖區(qū)溢出B.設(shè)計錯誤C.信息泄露D.代碼注入48 .以下哪一項不是信息平安漏洞的載體？A.網(wǎng)絡(luò)協(xié)議B.操作系統(tǒng)C.應(yīng)

17、用系統(tǒng)D.業(yè)務(wù)數(shù)據(jù)49 .攻擊者使用偽造的SYN包，包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址，這樣被攻擊方會給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)立一個連接，每一個這樣的連接都將保持到超日為止，這樣過多的空連接會耗盡被攻擊方的資源，導(dǎo)致拒絕效勞.這種攻擊稱為之為：A.Land攻擊B.Smurf攻擊C.PingofDeath攻擊D.ICMPFlood50 .以下哪個攻擊步驟是IP欺騙（IPSPoof）系列攻擊中最關(guān)鍵和難度最高的？A.對被冒充的主機(jī)進(jìn)展拒絕效勞，使其無法對目標(biāo)主機(jī)進(jìn)展響應(yīng)B.與目標(biāo)主機(jī)進(jìn)展會話，猜想目標(biāo)主機(jī)的序號規(guī)那么C.冒充受信主機(jī)想目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，欺騙目標(biāo)主

18、機(jī)D.向目標(biāo)主機(jī)發(fā)送指令，進(jìn)展會話操作51 .以下針對Land攻擊的描述，哪個是正確的？A.Land是一種針對網(wǎng)絡(luò)進(jìn)展攻擊的方式，通過IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報文導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)B. Land是一種針對網(wǎng)絡(luò)進(jìn)展攻擊的方式，通過向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請求，導(dǎo)致目標(biāo)主機(jī)處理錯誤形成拒絕效勞C. Land攻擊是一種利用協(xié)議漏洞進(jìn)展攻擊的方式，通過發(fā)送定制的錯誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯誤而崩潰D. Land是一種利用系統(tǒng)漏洞進(jìn)展攻擊的方式，通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰52 .以下對垮站腳本攻擊（XSS,苗述正確白選項是：A. XSS攻擊指的是惡意攻擊

19、者往WEB頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中WEB里面的代碼會被執(zhí)行，從而到達(dá)惡意攻擊用戶的特殊目的.B. XSS攻擊是DDOS攻擊的一種變種C.XSS攻擊就是CC攻擊D. XSS攻擊就是利用被控制的機(jī)器不斷地向被發(fā)送訪問請求，迫使NS連接數(shù)超出限制，當(dāng)CPU資源或者帶寬資源耗盡，那么也就被攻擊垮了，從而到達(dá)攻擊目的53 .以下哪一項不屬于FUZZ測試的特性？A.主要針對軟件漏洞或可靠性錯誤進(jìn)展測試.B.采用大量測試用例進(jìn)展鼓勵響應(yīng)測試C.一種試探性測試方法，沒有任何依據(jù)&D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常54對攻擊面（Attacksurface）的正確定義

20、是：A.一個軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的平安性就越低B.對一個軟件系統(tǒng)可以采取的攻擊方法集合，一個軟件的攻擊面越大平安風(fēng)險就越大C. 一個軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多，可被攻擊的點(diǎn)也越多，平安風(fēng)險也越大D.一個軟件系統(tǒng)的用戶數(shù)量的集合，用戶的數(shù)量越多，受到攻擊的可能性就越大，平安風(fēng)險也越大55 .以下哪個不是軟件平安需求分析階段的主要任務(wù)？A.確定團(tuán)隊負(fù)責(zé)人和平安參謀B.威脅建模C.定義平安和隱私需求（質(zhì)量標(biāo)準(zhǔn)）D.設(shè)立最低平安標(biāo)準(zhǔn)/Bug欄56 .風(fēng)險評估方法的選定在PDCA循環(huán)中的那個階段完成？A.實施和運(yùn)行B.保持和改良C建立D.監(jiān)視和評審5

21、7 .下面關(guān)于ISO27002的說法錯誤的選項是：A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息平安管理最正確實踐供組織機(jī)構(gòu)選用，但不是全部C.ISO27002對于每個措施的表述分控制措施'、"實施指南'、和"其它信息三個局部來進(jìn)展描述D.ISO27002提出了十一大類的平安管理措施，其中風(fēng)險評估和處置是處于核心地位的一類平安措施58 .下述選項中對于“風(fēng)險管理的描述正確的選項是：A.平安必須是完美無缺、面面俱到的。B.最完備的信息平安策略就是最優(yōu)的風(fēng)險管理對策。C.在解決、預(yù)防信息平安問題時，要從經(jīng)濟(jì)、技術(shù)、管理

22、的可行性和有效性上做出權(quán)衡和取舍D.防缺乏就會造成損失；防過多就可以防止損失。59 .風(fēng)險評估主要包括風(fēng)險分析準(zhǔn)備、風(fēng)險素識別、風(fēng)險分析和風(fēng)險結(jié)果判定四個主要過程，關(guān)于這些過程，以下的說法哪一個是正確的？A.風(fēng)險分析準(zhǔn)備的容是識別風(fēng)險的影響和可能性B.風(fēng)險要素識別的容是識別可能發(fā)生的平安事件對信息系統(tǒng)的影響程度C.風(fēng)險分析的容是識別風(fēng)險的影響和可能性D.風(fēng)險結(jié)果判定的容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施60 .你來到效勞器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結(jié)果對與持定脆弱性相關(guān)的威脅真正出現(xiàn)的

23、可能性會有什么影響？A.如果窗戶被修好，威脅真正出現(xiàn)的可能性會增加B.如果窗戶被修好，威脅真正出現(xiàn)的可能性會保持不變C.如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會下降D.如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會增加61 .在對平安控制進(jìn)展分析時，下面哪個描述是錯誤的？A.對每一項平安控制都應(yīng)該進(jìn)展本錢收益分析，以確定哪一項平安控制是必須的和有效的B.應(yīng)選擇對業(yè)務(wù)效率影響最小的平安措施C.選擇好實施平安控制的時機(jī)和位置，提高平安控制的有效性D.仔細(xì)評價引入的平安控制對正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)62 .以下哪一項不是信息平安管理工作必須遵循的原那么？A.風(fēng)險管理在系統(tǒng)開發(fā)之

24、初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B.風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個生命周期的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強(qiáng)，實施本錢會相對較低D.在系統(tǒng)正式運(yùn)行后，應(yīng)注重剩余風(fēng)險的管理，以提高快速反響能力63 .對于信息系統(tǒng)風(fēng)險管理描述不正確的選項是：A.漏洞掃描是整個平安評估階段重要的數(shù)據(jù)來源而非全部B.風(fēng)險管理是動態(tài)開展的，而非停滯、靜態(tài)的C.風(fēng)險評估的結(jié)果以及決策方案必須能夠相互比擬才可以具有較好的參考意義D.風(fēng)險評估最重要的因素是技術(shù)測試工具64.以下哪一項準(zhǔn)確地描述了脆弱性、威脅、暴露和風(fēng)險之間的關(guān)系？A.脆弱性增加了

25、威脅，威脅利用了風(fēng)險并導(dǎo)致了暴露B.風(fēng)險引起了脆弱性并導(dǎo)致了暴露，暴露又引起了威脅C.風(fēng)險允許威脅利用脆弱性，并導(dǎo)致了暴露D.威脅利用脆弱性并產(chǎn)生影響的可能性稱為風(fēng)險，暴露是威脅已造成損害的實例65統(tǒng)計數(shù)據(jù)指出，對大多數(shù)計算機(jī)系統(tǒng)來說，最大的威脅是：A.本單位的雇員B.黑客和商業(yè)間諜C(jī).未受培訓(xùn)的系統(tǒng)用戶D.技術(shù)產(chǎn)品和效勞供給商66.風(fēng)險評估按照評估者的不同可以分為自評和第三方評估。這兩種評估方式最本質(zhì)的差異是什么？A.評估結(jié)果的客觀性B.評估工具的專業(yè)程度C.評估人員的技術(shù)能力D.評估報告的形式67應(yīng)當(dāng)如何理解信息平安管理體系中的“信息平安策略？A.為了到達(dá)如何保護(hù)標(biāo)準(zhǔn)而提供的一系列建議B.

26、為了定義訪問控制需求面產(chǎn)生出來的一些通用性指引C.組織高層對信息平安工作意圖的正式表達(dá)D.一種分階段的平安處理結(jié)果68.以下哪一個是對人員平安管理中“授權(quán)蔓延這概念的正確理解？A.外來人員在進(jìn)展系統(tǒng)維護(hù)時沒有收到足夠的監(jiān)控B. 一個人擁有了不是其完成工作所必要的權(quán)限C.敏感崗位和重要操作長期有一個人單獨(dú)負(fù)責(zé)D.員工由一個崗位變動到另一人崗位，累積越來越多權(quán)限69 .一個組織中的信息系統(tǒng)普通用戶，以下哪一項為哪一項不應(yīng)該了解的?A.誰負(fù)責(zé)信息平安管理制度的制定和發(fā)布B.誰負(fù)責(zé)都督信息平安制度的執(zhí)行C.信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)展恢復(fù)工作的具體流程&D.如果違反了制度可能受到的懲戒措施70 .一上組織財務(wù)系統(tǒng)災(zāi)難恢復(fù)方案聲明恢復(fù)點(diǎn)目標(biāo)RPO是沒有數(shù)據(jù)損失，恢復(fù)時間目標(biāo)RTO是72小時。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？A.一個可以在8小時用異步事務(wù)的備份日志運(yùn)行起來的熱站B.多區(qū)域異步更新的分布式數(shù)據(jù)庫系統(tǒng)C. 一個同步更新數(shù)據(jù)和主備系統(tǒng)的熱站D. 一個同步過程數(shù)據(jù)拷備、可以48小時運(yùn)行起來的混站71.以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：A.同步復(fù)制B.異步復(fù)制C.定點(diǎn)拷貝復(fù)制D.基于磁盤的復(fù)制72 .當(dāng)公司計算機(jī)網(wǎng)絡(luò)受到攻擊，進(jìn)展現(xiàn)場保護(hù)應(yīng)當(dāng)：1指定可靠人員看守2）無特殊且十分必須原因制止