注冊信息安全專業(yè)人員CISP資質(zhì)認證模擬考試(CISP模擬考試題-測試題)

1、注冊信息安全專業(yè)人員CISP資質(zhì)認證模擬考試(CISP模擬考試題-測試題)基本信息：矩陣文本題 *姓名：_1.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是（） 單選題 *A.資產(chǎn)識別是指對需要保護的資產(chǎn)和系統(tǒng)進行識別和分類B.威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其的可能性C.脆弱性識別以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D.確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺(正確答案)2.風險評估工作的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專

2、家的經(jīng)驗知識被廣泛使用，根據(jù)在風險評估過程中的主要任務(wù)和作用原理，風險評估工具可以為以下幾類，其中錯誤的是（） 單選題 *A.風險評估與管理工具B.系統(tǒng)基礎(chǔ)平臺風險評估工具C.風險評估輔助工具D.環(huán)境風險評估工具(正確答案)3.風險要素識別是風險評估實施過程中的一個重要步驟，小李將風險要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框中空白框處選擇一個最合適的選項（）單選題 *A.識別面臨的風險并賦值B.識別存在的脆弱性并賦值(正確答案)C.制定安全措施實施計劃D.檢查安全措施有效性4.以下關(guān)于直接附加存儲(DAS)說法錯誤的是（） 單選題 *A.DAS能夠在服務(wù)器物理位置比較芬酸的

3、情況下實現(xiàn)大容量存儲，是一種常用的數(shù)據(jù)存儲方法。B.DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單。C.DAS的缺點在于對服務(wù)器依賴性強，當服務(wù)器發(fā)生故障時，連續(xù)在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取。D.較網(wǎng)絡(luò)附加存儲(NAS)，DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進行管理和備份。(正確答案)5.對信息安全事件的分級參考下列三個要素，信息系統(tǒng)的重要程度，系統(tǒng)損失和社會影響，依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分，不屬于正確劃分級別的（） 單選題 *A.特別重要信息系統(tǒng)(正確答案)B.重要信息系統(tǒng)C.一般信息系統(tǒng)D.關(guān)鍵信息系統(tǒng)6.文檔體系建設(shè)是信息安全管理體系(ISMS

4、)建設(shè)的直接體現(xiàn)，下列說法不正確的是（） 單選題 *A.組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件，信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)。B.組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制。(正確答案)C.組織在每份文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期，編寫人，審批人，主要修訂等內(nèi)容。D.層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當依據(jù)風險評估的結(jié)果建立。7.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是：（） 單選題 *A.確保采購/定制的設(shè)備，軟件和其他系統(tǒng)組件滿足

5、已定義的安全要求。B.確保整個系統(tǒng)已按照領(lǐng)導要求進行了部署和配置。(正確答案)C.確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特征能力。D.確保信息系統(tǒng)的使用已得到授權(quán)。8.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基礎(chǔ)。某單位的實施風險評估時，形成了風險評估方案應(yīng)是如下（）中的輸出結(jié)果。 單選題 *A.風險評估準備階段(正確答案)B.風險要素識別階段C.風險分析階段D.風險結(jié)果判定階段9.某單位在實施信息安全風險評估后，形成了若干文檔，下面（）種的文檔不應(yīng)屬于風險評估中“風險評估準備”階段輸出的文檔。 單選題 *A.風險評估工作計劃，主要包括本次風險評估的目的、意義、目標

6、、組織結(jié)構(gòu)、角色及職責、經(jīng)費預(yù)算和進度安排等內(nèi)容。B.風險評估方法和工具列表，主要包括擬用的風險評估方法和測試評估工具等內(nèi)容。C 已有安全措施列表，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容。(正確答案)D.風險評估準則要求，主要包括風險評估參考標準、采用的風險分析方法、風險計算方法、資產(chǎn)分類標準、資產(chǎn)分類準則等內(nèi)容。10.不同的信息安全風險評估方法可能得到不同的風險評估結(jié)果，所以組織機構(gòu)應(yīng)當根據(jù)各自的實際情況，選擇適當?shù)娘L險評估方法。下面的描述中，錯誤的是（） 單選題 *A.定量風險分析試圖從財務(wù)數(shù)字上對安全風險進行評估，得出可以量化的風險分析結(jié)果，以度量風險的可能性和損失量。

7、B.定量風險分析相比定性風險分析能得到準確的數(shù)值，所以在實際工作中應(yīng)使用定量風險分析，而不應(yīng)選擇定型風險分析。(正確答案)C.定性風險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進行，所以分析結(jié)果和風險評估團隊的素質(zhì)，經(jīng)驗和知識技能密切相關(guān)。D.定性風險分析更具主觀性，而定量風險分析更具客觀性。11.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責的是（） 單選題 *A.制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求。B.確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定，目標應(yīng)明確

8、，可度量，計劃應(yīng)具體，可實施。C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性。D.建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程，確保信息安全風險評估技術(shù)選擇合理、計算正確。(正確答案)12.為推動和規(guī)范我國信息安全等級保護工作，我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標準，這些標準可以依照等級保護工作的工作階段分級.下面四個標準中，（）規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及登記變更等內(nèi)容。 單選題 *A.GB/T20271-2006信息系統(tǒng)通用安全技術(shù)要求B.GB/T信息系

9、統(tǒng)安全保護登記定級指南(正確答案)C.GB/T-2010信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求D.GB/T信息系統(tǒng)安全管理要求13.GB/T18336信息技術(shù)安全性評估準則是測評標準類中的重要標準，該標準定義了評估對象，保護輪廓和安全目標等術(shù)語.關(guān)于安全目標(ST)下面選項中描述錯誤的是（） 單選題 *A.ST闡述了安全要求，具體說明了一個既定被評估產(chǎn)品或評估對象的安全功能。B.ST包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施。C.ST對于產(chǎn)品和系統(tǒng)來講，相當于要求了其安全實現(xiàn)方案。D.ST從用戶角度描述，代表了用戶想要的東西，而不是廠商聲稱提供的東西。(正確答案)14.以下關(guān)于

10、互聯(lián)網(wǎng)協(xié)議安全協(xié)議說法錯誤的是（） 單選題 *A.在傳達模式中，保護的是IP負載。B.驗證頭協(xié)議和IP封裝安全載荷協(xié)議都能以傳輸模式和隧道模式工作。C.在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議包包括IP頭。D.IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性(正確答案)15.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在制定資源列表中的對象不允許訪問，該訪問控制策略屬于以下哪一種（） 單選題 *A.強制訪問控制B.基于角色的訪問控制C.自主訪問控制(正確答案)D.基于任務(wù)的訪問控制16.移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)

11、相比，關(guān)于此種鑒別技術(shù)說法不正確的是（） 單選題 *A.所選擇的特征(指紋)便于收集、測量和比較。B.每個人所擁有的指紋都是獨一無二的。C.指紋信息是每個人都有的，指紋識別系統(tǒng)不存在安全威脅問題。(正確答案)D.此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成。17.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登陸，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)帳等交易，在此場景中用到下列哪些鑒別方法（） 單選題 *A.實體“所知”以及實體“所有”的鑒別方法。(正確答案)B.實體“所有”以及實體“特征”的鑒別方法。C.實體“所知”以及實體“特征”的鑒別方法。D.實體“所有”以及實體“

12、行為”的鑒別方法。18.TCP是傳輸層協(xié)議，以下關(guān)于TCP的說法哪個是正確的？（） 單選題 *A.UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途。B.TCP協(xié)議包頭中包含了IP地址和睦的IP地址，因此TCP協(xié)議能完全替代IP協(xié)議。C.TCP 協(xié)議具有能量控制、數(shù)據(jù)檢驗、耗時重復、驗收確認等控制，因此TCP協(xié)議能完全替代IP協(xié)議。D.TCP協(xié)議性安全高可靠，但是相比UDP協(xié)議機制過于復雜，傳輸效率比UDP低。(正確答案)19.以下關(guān)于UDP協(xié)議的說法，哪個是錯誤的？（） 單選題 *A.UDP具有簡單高校的特點，常被攻擊者用來實施流量型拒絕服務(wù)攻擊。B.UDP協(xié)議包頭中包

13、含了端口號和目的端口號，因此UDP可通過端口號的數(shù)據(jù)包送達正確的程序。C.相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳達如這一類高流量需求的應(yīng)用數(shù)據(jù)。D.UDP協(xié)議不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務(wù)，因此常用來純屬如視頻會議。(正確答案)20.S公司在全國有20個分支機構(gòu)，總部有10臺服務(wù)器200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器，100個左右用戶終端，通過專用網(wǎng)進行互聯(lián)互通，公司招標的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為i評標專家，請給S公司選出設(shè)計最合理的一個：（） 單選題 *A.總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.

14、x，各分支機構(gòu)服務(wù)器和用戶終端使用192.168.2.x、192.168.20.x。B.總部使用服務(wù)器使用11，用戶終端使用2-212，分支機構(gòu)IP地址隨意確定即可。C.總部服務(wù)器使用10.0.1.x.，用戶終端根據(jù)部門劃分使用10.0.2.x，每個分支機構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段，另一個做用戶終端地址段。(正確答案)D.因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可。21.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表機制，以下哪個說法是錯誤的（） 單選題 *A.安裝windows系統(tǒng)

15、時要確保文件格式使用的是NTFS，因為windows的ACL機制需要NTFS文件格式的支持。B.由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對這些文件和目錄設(shè)置的訪問權(quán)限，為了使用上的便利，windows上的ACL存在默認設(shè)置安全性不高的問題。C.windows的ACL機制中文件和文件夾的權(quán)限是與主體進行關(guān)聯(lián)的文件夾和文件的權(quán)限信息是寫在用戶數(shù)據(jù)中。(正確答案)D.由于ACL具有很好的靈活性，在實際使用中可以為每個文件用戶的權(quán)限。22.以下關(guān)于帳戶策略中密碼策略中各項策略的作用說明，哪個是錯誤的：（） 單選題 *A.“密碼必須符合復雜性要求”是用于避免用戶產(chǎn)生1234，111這樣

16、的口令。B.“密碼長度最小值”是強制用戶使用一定長度以上的密碼。C.“強制密碼歷史”是強制用戶不能再為使用曾經(jīng)使用過的低密碼。(正確答案)D.“密碼最長存留期”是為了避免用戶使用密碼時間過長而不更換。23.某linux系統(tǒng)由于root口令過于簡單，被攻擊者獲得了root口令，攻擊后，更改了root口令，并請安全專家對系統(tǒng)進行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下r-s-i-x1testtest1070Apr152002/ /test/請問以下描述哪個是正確的：（） 單選題 *A.該文件是一個正常文件，是test用戶使用的，test不能讀該文件，只能執(zhí)行。B.該文件是一個正常文件，是test用戶

17、使用的，但test用戶無權(quán)執(zhí)行該文件。C.該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root，test用戶獲得了root權(quán)限。(正確答案)D.該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test。24.關(guān)于數(shù)據(jù)庫恢復技術(shù)，下列說法不正確的是：（） 單選題 *A.數(shù)據(jù)庫恢復技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復機制技術(shù)來解決，當數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行恢復。B.數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁盤或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復中采用的基本技術(shù)。C.日志文件在數(shù)據(jù)庫恢復中起著非常重要的作用，可以用來進行故障恢復和系統(tǒng)故障恢

18、復，并協(xié)助后備副本進行介質(zhì)故障恢復。D.計算機系統(tǒng)發(fā)生故障導致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生，將數(shù)據(jù)庫恢復到故障發(fā)生的完整狀態(tài)，這一對事物的操作為提交。(正確答案)25.安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全的不可缺少的工作，某管理員對即將上線的widows操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運行環(huán)境安全？（） 單選題 *A.操作系統(tǒng)安裝最新的安全補丁，確保操作系統(tǒng)不存在安全漏洞。B.為了方便進行數(shù)據(jù)備份，安裝windows操作系統(tǒng)時使用一個分區(qū)(正確答案)C，所有數(shù)據(jù)和操作系統(tǒng)存放在C盤。C.操作系統(tǒng)上部署防病毒軟件以對抗病

19、毒威脅。D.將默認的管理員賬號adm改名，降低口令暴力破解攻擊的發(fā)生機率。26.在提高阿帕奇系統(tǒng)安全性時，下面哪項措施不屬于安全配置內(nèi)容（） 單選題 *A.不在WINDOWS下安裝Apache，只在Linus和Unix下安裝。(正確答案)B.安裝Apache時，只安裝需要的組件模塊。C.不適用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行。D.積極了解Apache的安全通告并及時下載和更新。27.以下可能存在SQL注入攻擊的部分是：（） 單選題 *A.GET請求參數(shù)B.Post請求參數(shù)C.Cookie值D.以上均有可能(正確答案)28.信息安全管理體系(簡稱ISM

20、S)的實施和運行，ISMS階段是ISMS過程模型的實施階段，下面給出了一些備選的活動，選項（）描述了在次階段組織應(yīng)進行的活動。1.制定風險處理計劃 2.實施風險處理計劃 3.開發(fā)有效性測量程序 4.實施培訓和意識教育計劃5.管理ISMS的運行 6.管理ISMS的資源 7.執(zhí)行檢測事態(tài)和響應(yīng)事件的程序8.實施內(nèi)部審核 9.實施風險在評估 單選題 *A..5.6B..5.6.7(正確答案)C..D...929.在實施信息安全風險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是？（

21、） 單選題 *A.資產(chǎn)的價值指采購費用B.資產(chǎn)的價值指維護費用C.資產(chǎn)的價值與其重要性密切相關(guān)(正確答案)D.資產(chǎn)的價值無法估計30.層次化的文檔是信息安全管理體系(簡稱 ISMS)建設(shè)的直接體現(xiàn)，也是 ISMS 建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機構(gòu)，那么以下選項（）應(yīng)放入到一級文件中。 單選題 *A.風險評估報告B.人力資源安全管理規(guī)定C.ISMS內(nèi)部審核計劃D.單位信息安全方針(正確答案)31.信息安全管理體系(簡稱ISMS)的內(nèi)部審核是兩項重要的管理活動，關(guān)于這兩者，下面描述錯誤的是？（） 單選題 *A.內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動

22、力，也是應(yīng)當按照一定的周期實施。B.內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式采用公開管理評審會議的形式進行。C.內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策制定的第三方技術(shù)服務(wù)機構(gòu)。(正確答案)D.組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準則使用，但在管理評審中，這些文件是被審對象。32.關(guān)于業(yè)務(wù)連續(xù)性(BCP)以下說法最恰當?shù)氖牵海ǎ?單選題 *A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風險而建立的一個控制過程。B.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風險而建立的一個控制

23、過程。(正確答案)C.組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風險而建立的一個控制過程。D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風險而建立的一個控制過程。33.某次對某系統(tǒng)進行安全測試時，李工發(fā)現(xiàn)一個URL“ 單選題 *A.任意文件下載漏洞(正確答案)B.SQL注入漏洞C.未驗證的重定向和轉(zhuǎn)發(fā)D.命令執(zhí)行漏洞34.全自動區(qū)分計算機和人類的圖靈測試(英語：CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart簡稱CAPTCHA)，俗稱驗證碼。設(shè)計的初衷是不讓計算機識別，那么攻擊思路就是如何讓計算機程

24、序能夠識別驗證碼，下面不屬于驗證碼機器識別步驟的是（） 單選題 *A.預(yù)處理(閾值法二值化、去干擾、降噪)B.字符分割(投影法、連同區(qū)域法、平均寬度法、滴水算法)C.字符識別(OCR)D.人海戰(zhàn)術(shù)(打碼平臺)(正確答案)35.某共享文件夾的NTFS權(quán)限和共享權(quán)限設(shè)置的并不一致，則對于登錄該文件夾所在主機的本地用戶而言，下列（）有效。 單選題 *A.文件夾的NTFS權(quán)限(正確答案)B.文件夾的共享權(quán)限C.文件夾的共享權(quán)限和NTFS權(quán)限兩者的累加權(quán)限D(zhuǎn).文件夾的共享權(quán)限和NTFS權(quán)限兩者中最嚴格的那個權(quán)限36.利用"緩沖區(qū)溢出"漏洞進行滲透測試模擬攻擊過程中,利用WEB服務(wù)器的

25、漏洞取得了一臺遠程主機的Root權(quán)限。為了防止WEB服務(wù)器的漏洞被彌補后,失去對該服務(wù)器的控制,應(yīng)首先攻擊下列中的（）文件。 單選題 *A.etc/htaccessB./etc/passwdC./etc/secureD./etc/shadow(正確答案)37.某公司內(nèi)網(wǎng)的Web開發(fā)服務(wù)器只對內(nèi)網(wǎng)提供訪問(Web服務(wù)器監(jiān)聽8080端口，內(nèi)網(wǎng)信任網(wǎng)段為 /24)。管理員李工使用 iptables 來限制訪問，下列正確的iptables規(guī)則是（） 單選題 *A.iptables-AINPUT-ptcp-s-dport8080-jACCEPTB.ipta

26、bles-AINPUT-ptcp-dport8080-jACCEPTC.iptables-AINPUT-ptcp-s/24-dport8080-jACCEPT(正確答案)D.iptables-AINPUT-ptcp/24-dport8080-jACCEPT38.如果向Apache的訪問日志中寫入一句話木馬，需要如何操作才能將一句話寫入到日志中（） 單選題 *A.在URL后面，加上一句話的url編碼格式的內(nèi)容。B.在URL后面，加上一句話的base64編碼格式的內(nèi)容。C.在訪問的URL數(shù)據(jù)體中，直接插入一句話源碼。D.在訪問的URLhttp請求頭部

27、，插入basic字段，并將一句話編碼為base64。(正確答案)39.我國信息安全保障工作先后經(jīng)歷啟動，逐步展開和積極推進，以及深化落實三個階段，以下關(guān)于我國信息安全保障各階段說法不正確的是：（） 單選題 *A.2001國家信息化領(lǐng)導小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動。B.2003年7月，國家信息化領(lǐng)導小組制定出臺了關(guān)于加強信息安全保障工作的意見>(中辦發(fā)27號文)，明確了“積極防御、綜合防范“的國家信息安全保障方針。C.2003年中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段。(正確答案)D.在深化落實階段，信息安全法律法規(guī)、標準化，信息安

28、全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級保護和風險評估取得了新進展。40.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是：（） 單選題 *A.建全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障。B.建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐。C.建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新。(正確答案)D.建立信息安全人才培養(yǎng)體系，加快信息安全學科建設(shè)和信息安全人才培養(yǎng)。41.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素（） 單選題

29、 *A.信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標準。B.信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求。C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風險。(正確答案)D.該銀行整體安全策略42.信息安全測評是指依據(jù)相關(guān)標準，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進行測試和評估，以下關(guān)于信息安全測評說法不正確的是（） 單選題 *A.信息產(chǎn)品安全評估是測評機構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安全的信任B.目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風險評估和信息系統(tǒng)安全保障測評兩種類型(正確答案)C.信息安全工程能力評估是對信息安全服務(wù)提供者的資格

30、狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價。D.信息系統(tǒng)風險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出游針對性的安全防護策略和整改措施。43.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(CriticalInformationInfrastructure，CII)包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括（） 單選題 *A.這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠。B.這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域。C.這些

31、行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出。(正確答案)D.這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失。44.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的（） 單選題 *A.要充分切合信息安全需求并且實際可行。B.要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本。C.要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求。(正確答案)D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙。45.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（） 單選題 *A.分組密碼算法要求輸入明文按組分成

32、固定長度的塊。B.分組密碼的算法每次計算得到固定長度的密文輸出塊。C.分組密碼算法也稱作序列密碼算法。(正確答案)D.常見的DES、IDEA算法都屬于分組密碼算法。46.密碼學是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分.下面描述中，錯誤的是（） 單選題 *A.在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式。B.密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行。(正確答案)C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議

33、的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D.密碼協(xié)議(cryptographic protocol),有時也稱安全協(xié)議(security protocol),是使用密碼學完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。47.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN)時，以下說法正確的是（） 單選題 *A.配置MD5安全算法可以提供可靠的數(shù)據(jù)加密。B.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證。C.部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支

34、節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication，SA)資源的消耗。(正確答案)D.報文驗證頭協(xié)議(AuthenticationHeader，AH)可以提供數(shù)據(jù)機密性。48.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個臨時的，安全的網(wǎng)絡(luò).這里的字母P的正確解釋是（） 單選題 *A.Special-purpose.特定、專用用途的。B.Proprietary專有的、專賣的。C.Private私有的、專有的。(正確答案)D.Specific特種的、具體的。49.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別.下面描述正

35、確的是（） 單選題 *A.WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議網(wǎng)協(xié)議。B.WPA 是適用于中國的無線局域安全協(xié)議,而 WPA2 是使用于全世界的無線局域網(wǎng)協(xié)議。C.WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證。D.WPA是依照802.1ii標準草案制定的，而WPA2是按照802.1i正式標準制定的。(正確答案)50.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（） 單選題 *A.既能物理隔離，又能邏輯隔離。B.能物理隔離，但不能邏輯隔離。C.不能物理隔離，但是能邏輯隔離。(正確答案)D.不能物理隔離，也不能邏輯隔離51

36、.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為.下面說法錯誤的是（） 單選題 *A.在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象。B.實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生。(正確答案)C.異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警。D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為。52.私有IP地址是一段保留的IP地址.只適用在局域網(wǎng)中，無法在Internet上

37、使用，關(guān)于私有地址，下面描述正確的是（） 單選題 *A.A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址。B.A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址。C.A類、B類和C類地址中都可以設(shè)置私有地址。(正確答案)D.A類、B類和C類地址中都沒有私有地址。53.以下關(guān)于windows系統(tǒng)的帳號存儲管理機制SAM(SecurityAccountsManager)的說法哪個是正確的（） 單選題 *A.存儲在注冊表中的帳號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性。B.存儲在注冊表中的帳號數(shù)據(jù)只有administrator帳戶才有權(quán)訪問，具有較高的安全性。C.存儲在注冊表中的

38、帳號數(shù)據(jù)任何擁護都可以直接訪問，靈活方便。D.存儲在注冊表中的帳號數(shù)據(jù)有只有System帳戶才能訪問，具有較高的安全性。(正確答案)54.口令破解是針對系統(tǒng)進行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是帳戶廁羅中的帳戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是（） 單選題 *A.密碼策略的主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控。B.密碼策略對系統(tǒng)中所有的用戶都有效。C.賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊。D.賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應(yīng)對

39、口令暴力破解攻擊。(正確答案)55.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復位賬戶鎖定計數(shù)器5分鐘;賬戶鎖定時間10分鐘;賬戶鎖定閥值3次無效登陸。以下關(guān)于以上策略設(shè)置后的說法哪個是正確的（） 單選題 *A.設(shè)置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住。B.如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)。(正確答案)C.如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，

40、也無法登錄系統(tǒng)。D.攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響。56.加密文件系統(tǒng)(Encrypting File System, EFS)是 Windows 操作系統(tǒng)的一個組件,以下說法錯誤的是（） 單選題 *A.EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)。B.EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)。C.EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)(Windows環(huán)境下)。(正確答案)D.EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登

41、陸windows時進行的。57.數(shù)據(jù)庫的安全很復雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（） 單選題 *A.最小特權(quán)原則是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作。B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息。(正確答案)C.粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度。D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分58.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝.TCP

42、/IP協(xié)議中，數(shù)據(jù)封裝的順序是：（） 單選題 *A.傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層(正確答案)C.互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D.互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層59.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的（） 單選題 *A.SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議。B.SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能。C.SMTP和POP3協(xié)議缺乏嚴格的用戶認證，因此導致了垃圾郵件問題。(正確答案)D.SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠程管理郵件。60.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購

43、物，從安全角度看，下面哪項是不好的操作習慣（） 單選題 *A.使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟件進行升級。(正確答案)B.為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件。C.在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件。D.在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀錄和表單數(shù)據(jù)61.安全多用途互聯(lián)網(wǎng)郵件擴展(SecureMultipurposeInternetMailExtension，S/MIME )是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（） 單選題 *A.S/MIME采用了非

44、對稱密碼學機制。B.S/MIME支持數(shù)字證書。C.S/MIME采用了郵件防火墻技術(shù)。(正確答案)D.S/MIME支持用戶身份認證和郵件加密。62.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是（）A.身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源。 單選題 *B.安全標記，在應(yīng)用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問。C.剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問。D.機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于

45、有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等。(正確答案)63.ApacheHttpServer(簡稱Apache)是一個開放源碼的WEB服務(wù)運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當采取以下那種措施（） 單選題 *A.不選擇Windows平臺，應(yīng)選擇在inux平臺下安裝使用。B.安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)。(正確答案)C.安裝后，刪除ApacheHttpServer源碼。D.從正確的官方網(wǎng)站下載ApacheHttpServer，并安裝使用。64.下面信息安全漏洞理解錯誤的

46、是：（） 單選題 *A.討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞。B.信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的。(正確答案)C.信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟損失。D.由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的。65.下面對“零日(zeroday)漏洞”的理解中，正確的是（） 單選題 *A.指一個特定的漏洞，該漏洞每年1月1

47、日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限。B.指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施。C.指一類漏洞,即特別好被利用,一旦成功利用該類漏洞,可以在1天內(nèi)文完成攻擊，且成功達到攻擊目標。D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、海不存在安全補丁的漏洞都是零日漏洞。(正確答案)66.某單位管理員小張在繁忙的工作中接到了一個電話。來電者：小張嗎？我是科技處的李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件

48、自己修改密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下列說法哪個是正確的（） 單選題 *A.小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題。B.事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導申請購買新的服務(wù)器。C.單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作。(正確答案)D.事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導申請郵件服務(wù)軟件。67.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題.但為了安全起見，他仍然向主管領(lǐng)導提出了應(yīng)對策略，作為主管負責人，請選擇有效

49、的針對此問題的應(yīng)對措施：（） 單選題 *A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進入(關(guān)掉ping)。(正確答案)B.刪除服務(wù)器上的ping.exe程序。C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊。D.增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊。68.下面四款安全測試軟件中，主要用于WEB安全掃描的是（） 單選題 *A.CIsco Auditing ToosB.Acunetix Web Vunerabiity Scanner(正確答案)C.NMAPD.ISS Database Scanner69.某單位計劃在今年開發(fā)一套辦公自動化(OA)系統(tǒng)，將集團公司各地的機構(gòu)通過互聯(lián)網(wǎng)進行協(xié)同辦公，在OA

50、系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請指出大家提的建議中不太合適的一條：（） 單選題 *A.對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題。B.要求軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知識。C.要求軟件開發(fā)商使用java而不是asp作為開發(fā)語言，避免產(chǎn)生SQ注入漏洞。(正確答案)D.要求軟件開發(fā)商對軟件進行模塊化設(shè)計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進行校驗70.在軟件保障成熟度模型(SAMM)中,規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能（） 單選題 *A.治理，

51、主要是管理軟件開發(fā)的過程和活動。B.構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動。C.驗證，抓喲是測試和驗證軟件的過程和活動。D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(正確答案)71.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（） 單選題 *A.軟件安全開發(fā)生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90以上的安全問題。B.應(yīng)當盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少的多。(正確答案)C.和

52、傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點是增加了一個抓們的安全編碼階段。D.軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試。72.下面有關(guān)軟件安全問題的描述中，哪項是由于軟件設(shè)計缺陷引起的（） 單選題 *A.設(shè)計了三策問哪個Web架構(gòu)，但是軟件存在SQ注入漏洞，導致被黑客攻擊后能直接訪問數(shù)據(jù)庫。B.使用C語言開發(fā)時,采用了一些存在安全問題的字符串處理函數(shù),導致存在緩沖區(qū)溢出漏洞。C.設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)。(正確答案)D.使

53、用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數(shù)據(jù)73.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度(DefectsKOC)來衡量軟件的安全性，假設(shè)某個軟件共有29.6萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是（） 單選題 *A.0.00049B.0.049C.0.49(正確答案)D.4974.某集團公司根據(jù)業(yè)務(wù)需求，在各地分支機構(gòu)部屬前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務(wù)器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者可通過共享從前置機種提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊

54、面的原則，應(yīng)采取以下哪項處理措施？（） 單選題 *A.由于共享導致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進行分析。B.為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風險。C.日志的存在就是安全風險，最好的辦法就是取消日志，通過設(shè)置前置機不記錄日志。D.只允許特定的ip地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間。(正確答案)75.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅，以下哪個不是需求考慮的攻擊方式（） 單選題 *A.攻擊者利用軟件存在的邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導

55、致運算進入死循環(huán)，cpu資源占用始終100%。B.攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時會導致查詢效率低，通過發(fā)送大量的查詢導致數(shù)據(jù)庫響應(yīng)緩慢。C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導致并發(fā)連接數(shù)耗盡而無法訪問。D.攻擊者買通了IDC人員，將某軟件運行服務(wù)器的網(wǎng)線拔掉導致無法訪問(正確答案)76.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程XP.cmctstell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：（） 單選題 *A.權(quán)限分離原則B.最小特權(quán)原則(正確答案)C.保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則77.微軟提出了STRIDE模型，其中Repudlatlon(抵賴)的縮寫，關(guān)于此項安全要求，下面描述錯誤的是（） 單選題 *A.某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅。B.解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強認證、數(shù)字簽名、安全審計等技術(shù)措施。C.R威脅是STRIDE六種威脅中第三嚴重的威脅，比D威脅和E威脅的嚴重程度更高。(正確答案)D.解決R威脅，也應(yīng)按照確定建模對象、識別威脅、評估威脅以及