測試四及答案

測試四[復(fù)制]1.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO,請你指出存在問題的是哪個總結(jié)?[單選題]*A.公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行(正確答案)B.公司制定的應(yīng)急演練流程包括應(yīng)急事件通報、確定應(yīng)急事件優(yōu)先級、應(yīng)急響應(yīng)啟動實施、應(yīng)急響應(yīng)時間后期運維、更新現(xiàn)有應(yīng)急預(yù)案五個階段，流程完善可用C.公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D.公司應(yīng)急預(yù)案對事件分類依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》，分為7個基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)2.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或?qū)Π踩砸筝^高的系統(tǒng)。強制訪問控制模型有多種類型，如BLP、Bida、Clark-Willson和ChineseWall等。小李自學(xué)了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是().[單選題]*A.BLP模型用于保證系統(tǒng)信息的完整性B.BLP模型的規(guī)則是“向下讀，向上寫”(正確答案)C.BLP的自主安全策略中，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對客體的訪問D.BLP的強制安全策略使用一個訪問控制矩陣表示3.對操作系統(tǒng)軟件安裝方面應(yīng)建立安裝()，運行系統(tǒng)要僅安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼，不安裝開發(fā)代碼和()，應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測試之后才能實施。而且要僅由受過培訓(xùn)的管理員，根據(jù)合適的()，進行運行軟件、應(yīng)用和程序庫的更新;必要時在管理者批準(zhǔn)的情況下，僅為了支持目的，才授予供應(yīng)商物理或邏輯訪問權(quán)。并且要監(jiān)督供應(yīng)商的活動。對于用戶能安裝何種類型的軟件，組織宜定義井強制執(zhí)行嚴(yán)格的方針，宜使用（）。不受控制的計算機設(shè)備上的軟件安裝可能導(dǎo)致脆弱性，進而導(dǎo)致信息泄露;整體性損失或其他信息安全事件或違反()。[單選題]*A.控制規(guī)程;編譯程序;管理授權(quán);最小特權(quán)方針;知識產(chǎn)權(quán)(正確答案)B編譯程序;控制規(guī)程;管理授權(quán);最小特權(quán)方針;知識產(chǎn)權(quán)C.控制規(guī)程;管理授權(quán);編譯程序;最小特權(quán)方針，知識產(chǎn)權(quán)D控制規(guī)程;最小特權(quán)方針;編譯程序;管理授權(quán);知識產(chǎn)權(quán)4.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動計劃或應(yīng)急對策。應(yīng)急預(yù)案的實施需要各子系統(tǒng)的相互配合與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依次填入的是（）[單選題]*A.應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組(正確答案)B.應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運行小組C.應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組。應(yīng)急響應(yīng)日常運行小組D.應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運行小組、應(yīng)急響應(yīng)實施小組5.SQLServer支持兩種身份驗證模式，即Windows身份驗證模式和混合模式。SQLServer的混合模式是指，當(dāng)網(wǎng)絡(luò)用戶嘗試連接到SQLServer數(shù)據(jù)庫時，（）[單選題]*A、Windows獲取用戶輸入的用戶和密碼，并提交給SQLServer進行身份驗證，并決定用戶的數(shù)據(jù)庫訪問權(quán)限B.SQLServer根據(jù)用戶輸入的用戶和密碼，提交給Windows進行身份驗證，并決定用戶的數(shù)據(jù)庫訪問權(quán)限(正確答案)C.SOLServer根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性，對用戶身份進行驗證，井決定用戶的數(shù)據(jù)訪問權(quán)限D(zhuǎn).登錄到本地Windows的用戶均可無限制訪問SQLServer數(shù)據(jù)庫6.物聯(lián)網(wǎng)將我們帶入一個復(fù)雜多元、綜合交互的新信息時代，物聯(lián)網(wǎng)安全成為關(guān)系國計民生的大事，直接影響到個人生活和社會穩(wěn)定。物聯(lián)網(wǎng)安全問題必須引起高度重視，并從技術(shù)、標(biāo)準(zhǔn)和法律方面予以保障。物聯(lián)網(wǎng)的感知層安全技術(shù)主要包括()、()等。實現(xiàn)RFID安全性機制所采用的方法主要有三類;（）、（）和（）。傳感器網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含()、()和()。[單選題]*A.RFID安全技術(shù);傳感器網(wǎng)絡(luò)安全技術(shù);內(nèi)部實體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證;物理機制、密碼機制，以及二者相結(jié)合的方法B.RFLD安全技術(shù);傳感器技術(shù);物理機制、密碼機制，以及二者相結(jié)合的方法;實體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證C.RFID安全技術(shù);傳感器網(wǎng)絡(luò)安全技術(shù);物理機制、密碼機制，以及二者相結(jié)合的方法;內(nèi)部實體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證(正確答案)D.RFID技術(shù);傳感器技術(shù);物理機制、密碼機制，以及二者相結(jié)合的方法;實體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證7.建立并完善()是有效應(yīng)對社會工程學(xué)攻擊的方法，通過()的建立，使得信息系統(tǒng)用戶需要遵循()來實現(xiàn)某些操作，從而在一定程度上降低社會工程學(xué)的影響。例如對于用戶密碼的修改，由于相應(yīng)管理制度的要求，（）需要對用戶身份進行電話回?fù)艽_認(rèn)才能執(zhí)行，那么來自外部的攻擊者就可能很難偽裝成為內(nèi)部工作人員來進行()，因為他還需要想辦法擁有一個組織機構(gòu)內(nèi)部電話才能實施。[單選題]*A.信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊(正確答案)B、信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會工程學(xué)攻擊C.安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊D.信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會工程學(xué)攻擊8.怎樣安全上網(wǎng)不中毒，現(xiàn)在是網(wǎng)絡(luò)時代了，上網(wǎng)是每個人都會做的事，但網(wǎng)絡(luò)病毒直是比較頭疼的，電腦中毒了也比較麻煩。某員工為了防止在上網(wǎng)時中毒，使用了影子系統(tǒng)，他認(rèn)為惡意代碼會通過以下方式傳播，但有一項是安全的，請問是(）[單選題]*A網(wǎng)頁掛馬B利用即時通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中C.Google認(rèn)證過的插件(正確答案)D.垃圾郵件9.管理，是指(）組織并利用其各個要素(人、財、物、信息和時空)，借助()，完成該組織目標(biāo)的過程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)和()一樣，也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和()當(dāng)中。[單選題]*A.管理手段;管理主體;信息管理要素;脆弱性B.管理主體;管理手段;信息管理要素;脆弱性(正確答案)C.管理主體;信息;管理手段;管理要素;脆弱性D.管理主體;管理要素;管理手段;信息;脆弱性10.如下圖所示，兩份文件包含了不同的內(nèi)容。卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)的()[單選題]*A、單向性B.弱抗碰撞性C.強抗碰撞性(正確答案)D.機密性11.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以（）、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用（）。無論信息以什么形式存在，用哪種方法存儲或共享，都宜對它進行適當(dāng)?shù)乇Ｗo。()是保護信息免受各種威脅的損害，以確保業(yè)務(wù)（），業(yè)務(wù)風(fēng)險最小化，投資回報和（）。[單選題]*A.語言表達;電子方式存儲;信息安全;連續(xù)性;商業(yè)機遇最大化B.電子方式存儲;語言表達;連續(xù)性;信息安全;商業(yè)機遇最大化C.電子方式存儲;連續(xù)性，語言表達;信息安全;商業(yè)機遇最大化D.電子方式存儲;語言表達;信息安全;連續(xù)性;商業(yè)機遇最大化(正確答案)12.以下對Kerberos協(xié)議過程說法正確的是;().[單選題]*A.協(xié)議可以分為兩個步驟;一是用戶身份鑒別，二是獲取請求服務(wù)B.協(xié)議可以分為兩個步驟;一是獲得票據(jù)許可票據(jù);二是獲取請求服務(wù)C.協(xié)議可以分為三個步驟;一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)D.協(xié)議可以分為三個步驟;一是獲得票據(jù)許可票據(jù);二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)(正確答案)13.傳輸線路是信息發(fā)送設(shè)備和接受設(shè)備之間的物理通路，針對傳輸線路的攻擊是攻擊者常用的方式，不同傳輸介質(zhì)具有不同的安全特性。同軸電纜、雙絞線和光纖是廣泛使用的有線傳輸介質(zhì).下列選項中，對有線傳輸介質(zhì)的描述正確的是()。[單選題]*A.同軸電纜顯著的特征是頻帶較寬，其中高端的頻帶最大可達到100GHzB.在雙絞線外包裹一層金屬屏蔽層，可解決抗干擾能力差的問題(正確答案)C.由于光在塑料的保護套中傳輸損耗非常低，因此光纖可用于長距離的信息傳遞D.光纖通信傳輸具有高帶寬、信號衰減小、無電磁干擾、不易被竊聽、成本低廉等特點14.風(fēng)險處理是依據(jù)()，選擇和實施合適的安全措施。風(fēng)險處理的目的是為了將()始終控制在可接受的范圍內(nèi)。風(fēng)險處理的方式主要有()、()、()和()四種方式。[單選題]*A.風(fēng)險;風(fēng)險評估的結(jié)果;降低;規(guī)避;轉(zhuǎn)移;接受B.風(fēng)險評估的結(jié)果;風(fēng)險;降低;規(guī)避;轉(zhuǎn)移;接受(正確答案)C.風(fēng)險評估;風(fēng)險;降低;規(guī)避;轉(zhuǎn)移;接受D.風(fēng)險;風(fēng)險評估降低;規(guī)避;轉(zhuǎn)移;接受15.信息收集是（）攻擊實施的基礎(chǔ)，因此攻擊者在實施前會對目標(biāo)進行（）。了解目標(biāo)所有相關(guān)的（）。這些資料和信息對很多組織機構(gòu)來說都是公開或者看似無用的，然而對攻擊者來說，這些信息都是非常有價值的，這些信息收集的越多，離他們成功的實現(xiàn)（）就越近。如果認(rèn)為信息沒有價值或者價值非常低，組織機構(gòu)通常不會采取措施()，這正是社會工程學(xué)攻擊者所希望的。[單選題]*A.信息收集，社會工程學(xué);資料和信息，身份偽裝;進行保護B.社會工程學(xué)，信息收集;資料和信息，身份偽裝;進行保護(正確答案)C.社會工程學(xué);信息收集;身份偽裝;資料和信息;進行保護D.信息收集;資料和信息;社會工程學(xué);身份偽裝;進行保護16.信息安全管理體系是（）按照信息安全管理體系()的要求。制定信息安全管理（），采用風(fēng)險管理的方法進行信息安全（）、實施、評審檢查、改進的信息安全管理執(zhí)行的（）。信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進行建立的。[單選題]*A、組織機構(gòu)單位;方針和策略;相關(guān)標(biāo)準(zhǔn);管理計劃;工作體系B、組織機構(gòu)單位;相關(guān)標(biāo)準(zhǔn);方針和策略;管理計劃;工作體系(正確答案)C、組織機構(gòu)單位;相關(guān)標(biāo)準(zhǔn);工作體系;管理計劃;方針和策略D、組織機構(gòu)單位;工作體系;相關(guān)標(biāo)準(zhǔn);方針和策略;管理計劃17.有關(guān)數(shù)據(jù)的使用，錯誤的是?[單選題]*A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給客戶選擇是否允許C.用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是(正確答案)D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)18.隨著時代的發(fā)展，有很多偉人都為通信事業(yè)的發(fā)展貢獻出自己力量，根據(jù)常識可知以下哪項是正確的?()[單選題]*A.19世紀(jì)中葉以后，隨著電磁技術(shù)的發(fā)展，誕生了筆記本電腦，通信領(lǐng)域產(chǎn)生了根本性的飛躍，開始了人類通信新時代B.1837年，美國人費曼發(fā)明了電報機，可將信息轉(zhuǎn)換成電脈沖傳向目的地，再轉(zhuǎn)換為原來的信息，從而實現(xiàn)了長途電報通信C.1875年，貝爾(Bell)發(fā)明了電話機。1878年在相距300公里的波士頓和紐約之間進行了首次長途電話實驗，獲得了成功(正確答案)D.1906年美國物理學(xué)家摩斯發(fā)明出無線電廣播。法國人克拉維爾建立了英法第一條商用無線電線路，推動了無線電技術(shù)的進一步發(fā)展19.隨著人們信息安全意識的不斷增強，版權(quán)保護也受到越來越多的關(guān)注。在版權(quán)保護方面國內(nèi)外使用較為廣泛的是數(shù)字對象標(biāo)識符DOI(DigitalobjectIdentifier)系統(tǒng)，它是由非贏利性組織國際DOI基金會IDF(InternationalDOIFoundation)研究設(shè)計的，在數(shù)字環(huán)境下標(biāo)識知識產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示，則下面對于DOI系統(tǒng)認(rèn)識正確的是()[單選題]*A.DOI是一個暫時性的標(biāo)識號，由InternationalDOIFoundation管理B.DOI的優(yōu)點有唯一性、持久性、兼容性、或操作性、動態(tài)更新(正確答案)C.DOI命名規(guī)則中前綴和后綴兩部之間用“;”分開D.DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式20.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是:[單選題]*A.要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重(正確答案)B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C.在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D.在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用21.攻擊者通過向網(wǎng)絡(luò)或目標(biāo)主機發(fā)送偽造的ARP應(yīng)答報文，修改目標(biāo)計算機上ARP緩存，形成一個錯誤的IP地址<->MAC地址映射，這個錯誤的映射在目標(biāo)主機在需要發(fā)送數(shù)據(jù)時封裝錯誤的MAC地址。欺騙攻擊過程如下圖示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過程()[單選題]*A.ARP(正確答案)B.IPC.DNSD.SN22.組織應(yīng)依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織的訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認(rèn)證和()時，宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具程序的使用，應(yīng)加以限制并()。對程序源代碼和相關(guān)事項(例如設(shè)計、說明書、驗證計劃和確認(rèn)計劃)的訪問宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的()。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn)，更好的是放在()中。[單選題]*A.應(yīng)用系統(tǒng);身份驗證;嚴(yán)格控制;保密性;源程序庫(正確答案)B.身份驗證;應(yīng)用系統(tǒng);嚴(yán)格控制;保密性，源程序庫C.應(yīng)用系統(tǒng);嚴(yán)格控制;身份驗證;保密性;源程序庫D.應(yīng)用系統(tǒng);保密性;身份驗證;嚴(yán)格控制;源程序庫23.OSI模型把網(wǎng)絡(luò)通信工作分為七層，如圖所示，OSI模型的每一層只與相鄰的上下兩層直接通信，當(dāng)發(fā)送進程需要發(fā)送信息時，它把數(shù)據(jù)交給應(yīng)用層。應(yīng)用層對數(shù)據(jù)進行加工處理后，傳給表示層。再經(jīng)過一次加工后，數(shù)據(jù)被送到會話層。這一過程一直繼續(xù)到物理層接收數(shù)據(jù)后進行實際的傳輸，每一次的加工又稱為數(shù)據(jù)封裝。其中IP層對應(yīng)OSI模型中的哪一層()[單選題]*A.應(yīng)用層B.傳輸層C.應(yīng)用層D.網(wǎng)絡(luò)層(正確答案)24、以下關(guān)于軟件安全問題對應(yīng)關(guān)系錯誤的是?()[單選題]*A.缺點(Defect)-軟件實現(xiàn)和設(shè)計上的弱點B.缺陷(Bug)-實現(xiàn)級上的軟件問題C.瑕疵(Flaw)-一種更深層次、設(shè)計層面的問題D.故障(Failure)-由于軟件存在缺點造成的一種外部表現(xiàn)，是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)(正確答案)25.自主訪問控制（）是應(yīng)用很廣泛的訪問控制方法，常用于多種商業(yè)系統(tǒng)中。以下對DAC模型的理解中，存在錯誤的是().[單選題]*A.在DAC模型中，資源的所有者可以規(guī)定誰有權(quán)訪問它們的資源B.DAC是一種對單個用戶執(zhí)行訪問控制的過程和措施C.DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性和可擴展性，可以抵御特洛伊木馬的攻擊(正確答案)D.在DAC中，具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體26.惡意代碼經(jīng)過20多年的發(fā)展，破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)傳播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱?。小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中，防病毒軟件通過對有毒軟件的檢測，將軟件行為與惡意代碼行為模型進行匹配，判斷出該軟件存在惡意代碼，這種方式屬于()[單選題]*A.簡單運行B.行為檢測(正確答案)C.是特征數(shù)據(jù)匹配D.特征碼掃描27.信息安全風(fēng)險值應(yīng)該是以下哪些因素的函數(shù)?()[單選題]*A.信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性(正確答案)B.病毒、黑客、漏洞等C.保密信息如國家秘密、商業(yè)秘密等D.網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度28.管理層應(yīng)該表現(xiàn)對()，程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承包方人員都了解其()角色和職責(zé)，并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計劃，并定期組織信息安全(）.組織要建立正式的()，確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀(jì)律處理過程要規(guī)定()，考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素，以及相關(guān)法律、業(yè)務(wù)合同和其他因素。[單選題]*A.信息安全:信息安全政策:教育和培訓(xùn)，紀(jì)律處理過程:分級的響應(yīng)B.信息安全政策:信息安全;教育和培訓(xùn):紀(jì)律處理過程;分級的響應(yīng)(正確答案)C.信息安全政策:教育和培訓(xùn):信息安全:紀(jì)律處理過程;分級的響應(yīng)D.信息安全政策;紀(jì)律處理過程;信息安全:教育和培訓(xùn):分級的響應(yīng)29.近幾年，無線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個領(lǐng)域。而無線信道是一個開放性信道，它在賦予無線用戶通信自由的同時也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項中，對無線通信技術(shù)的安全特點描述正確的是[單選題]*A.無線信道是一個開放性信道，任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B.通過傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C.于無線局域網(wǎng)絡(luò)和無線個人區(qū)域網(wǎng)絡(luò)來說，它們的通信內(nèi)容更容易被竊聽(正確答案)D.群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容30.軟件的可維護性可用七個質(zhì)量特性來衡量，分別是:可理解性、可測試性、可修改性、可靠性、可移植性、可使用性和效率。對于不同類型的維護，這些側(cè)重點也是不同的。在可維護性的特性中相互促進的是(）[單選題]*A.可理解性和可測試性(正確答案)B.效率和可移植性C效率和可修改性D.效率和可理解性31.信息安全風(fēng)險評估的途徑包括().[單選題]*A.定量評估、定性評估、組合評估C.定量評估、定性評估、組合評估D.條件評估、完整評估、組合評估D.自評估、檢查評估(正確答案)32.隨著互聯(lián)網(wǎng)的迅猛發(fā)展、WEB信息的增加，用戶要在信息海洋里查找自己所需的信息，就像大海撈針一樣，搜索引擎技術(shù)恰好解決了這一難題，以下關(guān)于搜索引擎技術(shù)特點的描述中錯誤的是（）[單選題]*A.搜索引擎以一定的策略在Web系統(tǒng)中搜索和發(fā)現(xiàn)信息B.搜索引擎可以分為目錄導(dǎo)航式與網(wǎng)頁索引式C.搜索器在Internet上逐個訪問Web站點。并建立一個網(wǎng)站的關(guān)鍵字列表索引器，功能是理解搜索器獲取的向用戶顯示查詢結(jié)果(正確答案)D.索引器功能是理解搜索器獲取的信息，向用戶顯示查詢結(jié)果33.“規(guī)劃(P1an)-實施(Do)-檢查(Check)-處置(Act)”(PDCA過程)又叫()，是管理學(xué)中的一個通用模型，最早由(）于1930年構(gòu)想，后來被美國質(zhì)量管理專家()博士在1950年再度挖掘出來，并加以廣泛宜傳和運用于持續(xù)改善產(chǎn)品質(zhì)量的過程。PDCA循環(huán)就是按照“規(guī)劃、實施、檢查、處置”的順序進行質(zhì)量管理，并且循環(huán)不止地進行下去的()，建立符合國際標(biāo)準(zhǔn)ISO9001的質(zhì)量管理體系即是一個典型的PDCA過程，建立ISO14001環(huán)境管理體系、ISO20000IT服務(wù)()也是一個類似的過程。[單選題]*A.質(zhì)量環(huán):休哈特:戴明:管理體系;科學(xué)程序B.質(zhì)量環(huán):戴明:休哈特:管理體系;科學(xué)程序C.質(zhì)量環(huán)戴明休哈特:科學(xué)程序;管理體系D.質(zhì)量環(huán):休哈特:戴明:科學(xué)程序;管理體系(正確答案)34.ZigBee主要的信息安全服務(wù)為()、()、()、()。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實現(xiàn)訪問控制，設(shè)備必須在ACL中維護一個(），表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享，或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、command以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗碼保證沒有密鑰的節(jié)點不會修改傳輸中的消息，進一步確認(rèn)消息來自一個知道(）的節(jié)點。[單選題]*A.訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護;設(shè)備列表;完整性:密鑰(正確答案)B.訪問控制、加密、完整性、序列抗重播保護;設(shè)備列表;完整性;密鑰C.訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護;列表:完整性:密鑰D.訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護;列表;完整性:密鑰35.在一個網(wǎng)絡(luò)中，當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多，或普通終端計算機沒有必要分配靜態(tài)IP地址時，可以采用通過在計算機連接到網(wǎng)絡(luò)時，每次為其臨時在IP地址池中選擇一個IP地址并分配的方式為(）[單選題]*A.動態(tài)分配IP地址(正確答案)B.靜態(tài)分配IP地址C.網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址D.手動分配36.信息安全風(fēng)險管理是基于()的信息安全管理，也就是，始終以()為主線進行信息安全的管理。應(yīng)根據(jù)實際()的不同來理解信息安全風(fēng)險管理的側(cè)重點，即()選擇的范圍和對象重點應(yīng)有所不同。[單選題]*A.風(fēng)險:風(fēng)險:信息系統(tǒng);風(fēng)險管理(正確答案)B.風(fēng)險:風(fēng)險:風(fēng)險管理;信息系統(tǒng)C.風(fēng)險管理;信息系統(tǒng);風(fēng)險:風(fēng)險D.風(fēng)險管理;風(fēng)險;風(fēng)險;信息系統(tǒng)37.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要，計劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報告時，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是()[單選題]*A.應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機制的重要方式B.應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運行平穩(wěn)、安全、有序、高效的手段C.編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強制要求，因此必須建設(shè)(正確答案)D.應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施38.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點的信息流動，用檢錯或糾錯技術(shù)來確保正確的傳輸，確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()[單選題]*A.報文B.比特流C.幀(正確答案)D.包39.CISP職業(yè)道德包括誠實守信，遵紀(jì)守法，主要有()。[單選題]*A.不通過計算機網(wǎng)絡(luò)系統(tǒng)進行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為;不利用個人的信息安全技術(shù)能力實施或組織各種違法犯罪行為;不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件(正確答案)B.熱愛信息安全工作崗位，充分認(rèn)識信息安全專業(yè)工作的責(zé)任和使命:為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險做出應(yīng)有的努力和貢獻;幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地做出應(yīng)對信息安全問題的建議和幫助C.自覺維護國家信息安全，拒絕并抵制泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為;自覺維護網(wǎng)絡(luò)社會安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為;自覺維護公眾信息安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為D.通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識;利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實踐能力;以CISP身份為榮，積極參與各種證后活動，避免任何損害CISP聲譽形象的行為40.中國電信重慶分公司的關(guān)鍵信息基確設(shè)施保護工作應(yīng)由以下哪個組織負(fù)責(zé)具體管理實施()，由哪個組織負(fù)責(zé)統(tǒng)解協(xié)調(diào)()?

①中國電信集團②中共重慶市委網(wǎng)信辦③重慶市通信管理局④中央網(wǎng)信辦[單選題]*A.①,④B.③C.④D.①②(正確答案)41.風(fēng)險，在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標(biāo)可能有很多不同的方面，如財務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。ISO/IBC13335-1中揭示了風(fēng)險各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險對組織產(chǎn)生的影響?[單選題]*A.組織應(yīng)該根據(jù)風(fēng)險建立相應(yīng)的保護要求，通過構(gòu)架防護措施降低風(fēng)險對組織產(chǎn)生的影響(正確答案)B.加強防護措施，降低風(fēng)險C.減少威脅和脆弱點降低風(fēng)險D.減少資產(chǎn)降低風(fēng)險42.某公司財務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù)，包括系統(tǒng)日志，公司網(wǎng)絡(luò)管理員在了解情況后，給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮?)[單選題]*A.由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進行取證B.由于公司缺乏備用硬盤，因此計劃將恢復(fù)服務(wù)器上被刪除的日志文件進行本地恢復(fù)后再提取出來進行取證(正確答案)C.由于公司缺乏備用硬盤，因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復(fù)出來的數(shù)據(jù)D.由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作43.在你對遠端計算機進行ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL值是不同的，TTL是IP協(xié)議包中的一個值，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。(簡而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL值，可以大致判斷()[單選題]*A.內(nèi)存容量B.操作系統(tǒng)的類型(正確答案)C.對方物理位置D.對方的MAC地址44.數(shù)據(jù)庫是一個單位或是一個應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng)，它存儲的是屬于企業(yè)和事業(yè)部門、團體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的，按定的數(shù)據(jù)模型進行組織、描述和存儲。其結(jié)構(gòu)基干數(shù)據(jù)間的自然聯(lián)系，從而可提供一切必要的存取路徑，且數(shù)據(jù)不再針對某應(yīng)用，而是面向全組織，具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng)，毫無疑問會成為信息安全的重點防護對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問，對數(shù)據(jù)庫安全要求不包括下列（）[單選題]*A.向所有用戶提供可靠的信息服務(wù)(正確答案)B.拒絕執(zhí)行不正確的數(shù)據(jù)操作C.拒絕非法用戶對數(shù)據(jù)庫的訪問D.能跟蹤記錄，以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等45.目前，很多行業(yè)用戶在進行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是:[單選題]*A.有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B.對用戶采購信息安全產(chǎn)品，設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C.對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D.打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境(正確答案)46.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:[單選題]*A.國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C.信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D.信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面不需要投入(正確答案)47.風(fēng)險評估相關(guān)政策，目前主要有()(國信辦[2006]5號)。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(），評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險的影響等、兩類信息系統(tǒng)的(）、涉密信息系統(tǒng)參照“分級保護”、非涉密信息系統(tǒng)參照“等級保護”。[單選題]*A.《關(guān)于開展信息安全風(fēng)險評估工作的意見》;重要程度:安全威脅:脆弱性工作開展B.《關(guān)于開展風(fēng)險評估工作的意見》;安全威脅重要程度脆弱性:工作開展C.《關(guān)于開展風(fēng)險評估工作的意見》;重要程度;安全威脅:脆弱性:工作開展D.《關(guān)于開展信息安全風(fēng)險評估工作的意見》;脆弱性;重要程度安全威脅:工作開展(正確答案)48.（）在實施攻擊之前，需要盡量收集偽裝身份()，這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團公司總部的()，那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者(）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團公司中相關(guān)人員的綽號等等。[單選題]*A.攻擊者:所需要的信息:系統(tǒng)管理員:基礎(chǔ);內(nèi)部約定(正確答案)B.所需要的信息:基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C.攻擊者:所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D.所需要的信息:攻擊者:基礎(chǔ);系統(tǒng)管理員:內(nèi)部約定49.小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問題，小紅說他看到有新聞?wù)f在2011年2月3日，全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天劃分給所有的區(qū)域互聯(lián)網(wǎng)注冊管理機構(gòu)，IP地址總庫已經(jīng)枯竭，小明嚇了一跳覺得以后上網(wǎng)會成問題，小紅安慰道，不用擔(dān)心，現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點呢，以下小紅說的優(yōu)點中錯誤的是()[單選題]*A.網(wǎng)絡(luò)地址空間的得到極大擴展B.IPv6對多播進行了改進，使得具有更大的多播地址空間C.繁雜報頭格式(正確答案)D.良好的擴展性50.方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T_25058-2010_《信息安全技術(shù)_信息系統(tǒng)安全等級保護實施指南》GB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等。其中《等級保護實施指南》原以()政策文件方式發(fā)布，后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()做了詳細規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護測評準(zhǔn)則》等文件，后經(jīng)過修改以《等級保護測評要求》發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()工作做出了（）[單選題]A.公安部;等級保護試點;等級保護工作;等級保護測評;詳細規(guī)定B.公安部;等級保護工作;等級保護試點;等級保護測評;詳細規(guī)定(正確答案)C.公安部;等級保護工作;等級保護測評;等級保護試點;詳細規(guī)定D.公安部:等級保護工作;級等級保護試點詳細規(guī)定等級保護測評51.下列選項中，對風(fēng)險評估文檔的描述中正確的是()[單選題]*A.評估結(jié)果文檔包括描述資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表項B.描述評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進度、資源，并通過對殘余風(fēng)險的評價以確定所選擇安全措施的有效性的《風(fēng)險評估程序》C.在文檔分發(fā)過程中作廢文檔可以不用添加標(biāo)識進行保留人D.對于風(fēng)險評估過程中形成的相關(guān)文檔行，還應(yīng)規(guī)定其標(biāo)識、儲存、保護、檢索、保存期限以及處置所需的控制(正確答案)52.下列軟件開發(fā)模型中，支持需求不明確，特別是大型軟件系統(tǒng)的開發(fā)，并支持多種軟件開發(fā)方法的模型是().[單選題]*A.原型模型B.瀑布模型C.噴泉模型D.螺旋模型(正確答案)53.供電安全是所有電子設(shè)備都需要考慮的問題，只有持續(xù)平穩(wěn)的電力供應(yīng)，才能保障電子設(shè)備工作穩(wěn)定可靠因此電力供應(yīng)需要解決問題包括兩個，一是確保電力供應(yīng)不中斷、二是確保電力供應(yīng)平穩(wěn)。下列選項中，對電力供應(yīng)的保障措施的描述正確的是().[單選題]*A.可以采用雙路供電來確保電力供應(yīng)穩(wěn)定性B.UPS可提供持續(xù)、平穩(wěn)的電力供應(yīng)，不會受到電涌的影響C.可以部署電涌保護器來確保電力供應(yīng)穩(wěn)定性(正確答案)D.發(fā)動機供電是目前電力防護最主要的技術(shù)措施54.漏洞掃描是信息系統(tǒng)風(fēng)險評估中的常用技術(shù)措施，定期的漏洞掃描有助于組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中存在集公司安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具，用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進行學(xué)習(xí)后有如下理解，其中錯誤的是（）[單選題]*A主動掃描工作方式類似于IDS(IntrusionDetectionSystems)(正確答案)B.CVE(CommonVulnerabilities&Exposures)為每個漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述C.X.Scan漏洞ner采用多線程方式對指定IP地址段進行安全掃描D.ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞55.組織應(yīng)開發(fā)和實施使用()來保護信息的策略，基于風(fēng)險評估，需確定需要的保護級別，并考慮需要的加密算法的類型、強度和質(zhì)量。當(dāng)實施組織的()時，宜考慮我國應(yīng)用密碼技術(shù)的規(guī)定和限制，以及()跨越國界時的問題。組織應(yīng)開發(fā)和實施在密鑰生命周期中使用和保護密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實際效果選擇加密算法、密鑰長度和使用習(xí)慣。適合的()要求密鑰在生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護所有的密鑰免遭修改和丟失。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備宜進行().[單選題]*A.加密控制措施;加密信息:密碼策略:密鑰管理物理保護B.加密控制措施:密碼策略;密鑰管理:加密信息物理保護C.加密控制措施:密碼策略:加密信息密鑰管理;物理保護(正確答案)D.加密控制措施;物理保護:密碼策略;加密信息;密鑰管理56.()才是系統(tǒng)的軟肋，可以毫不夸張的說，人是信息系統(tǒng)安全防護體系中最不穩(wěn)定也是()。社會工程學(xué)攻擊是一種復(fù)雜的攻擊，不能等同于一般的()，很多即使是自認(rèn)為非常警惕及小心的人，一樣會被高明的()所攻破。[單選題]*A.社會工程學(xué);攻擊人的因素;最脆弱的環(huán)節(jié);欺騙方法B.人的因素:最脆弱的環(huán)節(jié);社會工程學(xué)攻擊;欺騙方法C.欺騙方法;最脆弱的環(huán)節(jié);人的因素;社會工程學(xué)攻擊D.人的因素;最脆弱的環(huán)節(jié);欺騙方法:社會工程學(xué)攻擊(正確答案)57.安全審計是事后認(rèn)定違反安全規(guī)則行為的分析技術(shù)，在檢測違反安全規(guī)則方面、準(zhǔn)確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以及對事件發(fā)生的事后分析方面，都發(fā)揮著巨大的作用。但安全審計也有無法實現(xiàn)的功能，以下哪個需求是網(wǎng)絡(luò)安全審計無法實現(xiàn)的功能()[單選題]*A.發(fā)現(xiàn)系統(tǒng)中存儲的漏洞和缺陷B.發(fā)現(xiàn)用戶的非法操作行為C.發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D.發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱(正確答案)58.數(shù)位物件識別號(Digital0bjectIdentifier,簡稱DOI)是一套識別數(shù)位資源的機制，涵括的對象有視頻、報告或書籍等等。它既有一套為資源命名的機制，也有一套將識別號解析為具體位址的協(xié)定。DOI碼由前綴和后綴兩部分組成，之間用“/”分開，并且前級以“.”再分為兩部分。以下是一個典型的DOI識別號，10.1006/jmbi.1998.2354，下列選項錯誤的是()[單選題]*A.“10.1006”是前級，由國際數(shù)位物件識別號基金會確定B.“10”為DOI目前唯的特定代碼，用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C.“1006是注冊代理機構(gòu)的代碼，或出版社代碼，用于區(qū)分不同的注冊機構(gòu)D.后綴部分為:jmbi.1998.2354，由資源發(fā)行者自行指定，用于區(qū)分一個單獨的數(shù)字資料，不具有唯一性(正確答案)59.某網(wǎng)盤被發(fā)現(xiàn)暴露了大量私人信息，通過第三方網(wǎng)盤搜索引擎可查詢到該網(wǎng)盤用戶的大量照片、通訊錄。該網(wǎng)盤建議用戶使用“加密分享”功能，以避免消息泄露，“加密分享”可以采用以下哪些算法(）[單選題]*A.MD5算法，SHA-1算法B.DSA算法，RSA算法C.SHA-1算法，SM2算法D.RSA算法，SM2算法(正確答案)60.作為單位新上任的cso,你組織了一次本單位的安全評估工作以了解單位安全現(xiàn)狀。在漏洞掃描報告中，你發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個漏洞，對比上一年度的漏洞掃描報告，發(fā)現(xiàn)這個漏洞之前已經(jīng)報告出來，經(jīng)詢問安全管理員得知，這個業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉，因此無法修復(fù)。對于這個問題，你應(yīng)該如何處理()[單選題]*A.向公司管理層提出此問題，要求立即立項重新開發(fā)此業(yè)務(wù)系統(tǒng)，避免單位中存在這樣的安全風(fēng)險B.既然此問題不是新發(fā)現(xiàn)的問題，之前已經(jīng)存在，因此與自己無關(guān)，可以不予理會C.讓安全管理人員重新評估此漏洞存在的安全風(fēng)險并給出進一步的防護措施后再考慮如何處理(正確答案)D.讓安全管理員找出驗收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼，自己修改解決這個漏洞61.以下哪項網(wǎng)絡(luò)攻擊會對《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運行安全造成影響[單選題]*A.DDoS攻擊(正確答案)B.網(wǎng)頁篡改C.個人信息泄露D.發(fā)布謠言信息62.軟件工程方法提出起源于軟件危機，而其目的應(yīng)該是最終解決軟件的問題的是()[單選題]*A.質(zhì)量保證B.生產(chǎn)危機C.生產(chǎn)工程化(正確答案)D.開發(fā)效率63、風(fēng)險評估的過程包括()、()、()和()四個階段。在信息安全風(fēng)險管理過程中，風(fēng)險評估活動接受背景建立階段的輸出，形成本階段的最終輸出《風(fēng)險評估報告》，此文檔為風(fēng)險處理活動提供輸入。()和()貫穿風(fēng)險評估的四個階段。[單選題]*A.風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;風(fēng)險分析;監(jiān)控審查;風(fēng)險結(jié)果判定;溝通咨詢B.風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;監(jiān)控審查風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢C.風(fēng)險評估準(zhǔn)備;監(jiān)控審查;風(fēng)險要素識別;風(fēng)險分析;風(fēng)險結(jié)果判定;溝通咨詢D.風(fēng)險評估準(zhǔn)備;風(fēng)險要素識別;風(fēng)險分析;風(fēng)險結(jié)果判定:監(jiān)控審查;溝通咨詢(正確答案)64.風(fēng)險管理各要素關(guān)系如圖所示。由此圖得出，使命依賴于資產(chǎn)去完成。（）擁有價值，（）的程度越高，單位的使命越重要，對資產(chǎn)的依賴度越高，資產(chǎn)的價值則就越大。資產(chǎn)的價值越大則風(fēng)險越大。風(fēng)險是由威脅引發(fā)，威脅越大則風(fēng)險越大，并可能演變成（）。[單選題]*A.資產(chǎn);時間;信息化B.信息化;資產(chǎn);事件C.資產(chǎn);信息化;事件(正確答案)D.事件;資產(chǎn);信息化65.在某信息系統(tǒng)采用的訪問控制策略中，如果可以選擇值得信任的人擔(dān)任各級領(lǐng)導(dǎo)對個體實施控制，且各級領(lǐng)導(dǎo)可以同時修改它的訪問控制表，那么該系統(tǒng)的訪問控制模型采用的是自主訪問控制機制的訪問許可模式是（）。[單選題]*A.自由型B.有主型C.樹狀型D.等級性(正確答案)66.在TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機安全從低到高分為（）[單選題]*A.A;C1;C2;B1;B2;B3;DB.D;B1;B2;C1;C2;C3;AC.D;C1;C2;B1;B2;B3;A(正確答案)D.A;B1;B2;C1;C2;C3;D67.以下關(guān)于開展軟件安全開發(fā)必要性描述錯誤的是?（）[單選題]*A.軟件應(yīng)用越來越廣泛B.軟件應(yīng)用場景越來越不安全C.軟件安全問題普遍存在D.以上都不是(正確答案)68.軟件危機是指落后的軟件生產(chǎn)方式無法滿足迅速增長的計算機軟件需求，從而導(dǎo)致軟件開發(fā)與維護過程中出現(xiàn)一系列嚴(yán)重問題的現(xiàn)象。為了克服軟件危機，人們提出了用（）的原理來設(shè)計軟件，這就是軟件工程誕生的基礎(chǔ)。[單選題]*A.數(shù)學(xué)B.軟件學(xué)C.運籌學(xué)D.工程學(xué)(正確答案)69.下列信息安全評估標(biāo)準(zhǔn)中，哪一個是我國信息安全評估的國家標(biāo)準(zhǔn)?（）[單選題]*A.TCSEC標(biāo)準(zhǔn)B.CC標(biāo)準(zhǔn)(正確答案)C.FC標(biāo)準(zhǔn)D.ITSEC標(biāo)準(zhǔn)70.操作系統(tǒng)安全技術(shù)主要包括（）、訪問控制、文件系統(tǒng)安全、安全審計等方面。數(shù)據(jù)庫安全技術(shù)包括數(shù)據(jù)庫的安全特性和（），數(shù)據(jù)庫完整性要求和（），以及數(shù)據(jù)庫（）、安全監(jiān)控和安全審計等。[單選題]*A.備份恢復(fù);身份鑒別;安全功能;安全防護B.身份鑒別;安全功能;安全防護;備份恢復(fù)C.身份鑒別;安全功能;備份恢復(fù);安全防護(正確答案)71.許多web應(yīng)用程序存在大量敏感數(shù)據(jù)，包括信用卡、杜?？ㄌ柎a、身份認(rèn)證證書等，Web應(yīng)用這些敏感信息存儲到數(shù)據(jù)庫或者文件系統(tǒng)中，但是并使用適當(dāng)?shù)募用艽胧﹣肀Ｗo。小李不想自己的銀行卡密碼被泄露，他一直極力避免不安全的密碼存儲，他總結(jié)出幾種不安全的密碼存儲問題，其中有一項應(yīng)該歸為措施，請問是哪一項（）[單選題]*A.使用弱算法B.使用適當(dāng)?shù)募用艽胧┗騂ash算法(正確答案)C.不安全的密鑰生成和儲存D.不輪換密鑰72.隨著社會對信息信賴程度的增長，信息的保護變得起來越重要。維護和保護信息需要許多產(chǎn)品、系統(tǒng)和服務(wù)。信息安全工程采用工程的概念、原理、技術(shù)和方法。來研究、開發(fā)、實施與維護信息系統(tǒng)安全的過程。良好的安全工程要求將四個方面集中在起，如下圖所示。針對該圖，良好的安全工程，第一是策略，用于（），第二是機制，用于（）;第三是保證，也就是（）;最后是動機，也就是（），也包括（）。[單選題]*A.指明假定要達到的目標(biāo);系統(tǒng)保護與維護人員正確履行職責(zé)的動力;密碼、訪問控制、硬件防篡改以及為了實現(xiàn)方針而組裝的其他機械;每種特定機制的可靠程度;攻擊者為突破安全策略必須付出的努力B.指明假定要達到的目標(biāo);每種特定機制的可靠程度;密碼、訪問控制、硬件防篡改以及為了實現(xiàn)方針而組裝的共他機械;系統(tǒng)保護與維護人員正確履行職責(zé)的動力;攻擊者為實破安全策略必須付出的努力C.密碼、訪問控制、硬件防篡改以及為了實現(xiàn)方針而組裝的其他機械;指明假定要達到的目標(biāo);每種特定機制的可靠程度;系統(tǒng)保護與維護人員正確履行職責(zé)的動力;攻擊者為突破安全策略必須付出的努力D.指明假定要達到的目標(biāo);密碼、訪問控制、硬件防篡改以及為了實現(xiàn)方針而組裝的其他機械;每種特定機制的可靠程度;系統(tǒng)保護與維護人員正確履行職責(zé)的動力;攻擊者為突破安全策略必須付出的努力(正確答案)73.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》中辦發(fā)[2003]27號明確了我國信息安全保障工作的（）、加強信息安全保障工作的（）、需要重點加強的信息安全保障工作。27號文的重大意義是，它標(biāo)志著我國信息安全保障工作有了（）、我國最近十余年的信息安全保障工作都是圍繞此政策性文件來（）的、促進了我國（）的各項工作。[單選題]*A.方針;主要原則;總體綱領(lǐng);展開和推進;信息安全保障建設(shè)B.總體要求;主要原則;總體綱領(lǐng);展開;信息安全保障建設(shè)C.方針和總體要求;主要原則;總體綱領(lǐng);展開和推進;信息安全保障建設(shè)(正確答案)D.總體要求;主要原則;總體綱領(lǐng);展開;信息安全保障建設(shè)74.對照ISO/OSI參考模型各個層中的網(wǎng)絡(luò)安全服務(wù)，在物理層可以采用哪種方式來加強通信線路的安全（）[單選題]*A.防竊聽技術(shù)(正確答案)B.防火墻技術(shù)C.防病毒技術(shù)75.下列哪一項不屬于模糊測試(fuzz)的特性[單選題]*A.主要針對軟件漏洞或可靠性錯誤進行測試B.采用大量測試用例進行激勵響應(yīng)測試C.一種試探性測試方法，沒有任何理論依據(jù)(正確答案)D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常76.小王在自己的學(xué)工系統(tǒng)中提交了自己的貧困申請，提交完成后發(fā)現(xiàn)自己的身份證號寫錯了，想要修改發(fā)現(xiàn)點擊修改頁面顯示只有教師及以上職稱者才有權(quán)修改。小王只好去求助班主任，才將信息修改正確。這種安全機制屬于OSI安全體系結(jié)構(gòu)的八種安全機制中的哪一個（）[單選題]*A.加密B.數(shù)據(jù)完整性C.業(yè)務(wù)流填充D.訪問控制(正確答案)77.計劃是組織根據(jù)環(huán)境的需要和自身的特點，確定組織在一定時期內(nèi)的目標(biāo)，并通過計劃的編制、執(zhí)行和監(jiān)督來協(xié)調(diào)、組織各類資源以順利達到預(yù)期目標(biāo)的過程。計劃編制的步驟流程如下圖所示，則空白方框處應(yīng)該填寫的步驟為（）[單選題]*A.估計潛在的災(zāi)難事件、選擇計劃策略B.估計潛在的災(zāi)難事件、制定計劃策略(正確答案)C.選擇計劃策略、估計潛在的災(zāi)難事件D.制定計劃策略、估計潛在的災(zāi)難事件78、某項目組進行風(fēng)險評估時由于時間有限，決定采用基于知識的分析方法，使用基于知識的分析方法進行風(fēng)險評估，最重要的在于評估信息的采集。該項目組對信息源進行了討論，以下說法中不可行的是（）[單選題]*A.可以通過對當(dāng)前的信息安全策略和相關(guān)文檔進行復(fù)查采集評估信息。B.可以通過進行實地考察的方式采集評估信息。C.可以通過建立模型的方法采集評估信息。(正確答案)D.可以制作問卷，進行調(diào)查。79.小東在自己的筆記本上發(fā)現(xiàn)如下記錄:不同操作系統(tǒng)的IP協(xié)議棧實現(xiàn)之間存在細微的差別，通過這些差別，可以區(qū)分出目標(biāo)操作系統(tǒng)的類型及版本。但他忘了寫上這種方法的名字，請問這種方法叫()[單選題]*A.TCP/IP協(xié)議棧指紋識別法(正確答案)B.正向地址答案說明C.間接交付D.分組交付80.信息安全從業(yè)者和組織機構(gòu)的（）人員需要建立一個概念，盡管我們非常重視（），投入大量的資金并選擇先進的技術(shù)來保護我們的信息系統(tǒng)和（），但是（）工程師仍然可能通過人性的“弱點”利用內(nèi)部人員繞過所有技術(shù)的（）達到非法的目的。[單選題]*A.數(shù)據(jù);信息化管理;信息安全;社會工程學(xué);保護B.信息安全;數(shù)據(jù);信息化管理;社會工程學(xué);保護C.信息安全;信息化管理;數(shù)據(jù);社會工程學(xué);保護D.信息化管理;信息安全;數(shù)據(jù);社會工程學(xué);保護(正確答案)81.1993年至1996年，歐美六國七方和美國商務(wù)由國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標(biāo)準(zhǔn)，簡秋CC標(biāo)準(zhǔn)，該安全評估標(biāo)準(zhǔn)的全稱為（）[單選題]*A.《可信計算機系統(tǒng)評估準(zhǔn)則)B.《信息技術(shù)安全評估準(zhǔn)則》C.《可信計算機產(chǎn)品評估準(zhǔn)則》D.《信息技術(shù)安全通用評估準(zhǔn)則》(正確答案)82.風(fēng)險評估的基本要素包括脆弱性、資產(chǎn)、威脅、風(fēng)險及安全措施。下面給出的風(fēng)險評估部分基本要素之間的關(guān)系圖，哪項是錯誤的().[單選題]*

A.

B.

C.

D.(正確答案)83.公鑰基礎(chǔ)設(shè)施(PublicKeyinfrastructure,PKI)引入數(shù)字證書的概念,用來表示用戶的身份。下圖簡要地描述了終端實體(用戶)從認(rèn)證權(quán)威機構(gòu)CA申請、撤銷和更新數(shù)字證書的流程。請為中間框空白處選擇合適當(dāng)選項:[單選題]*A.證書庫B.RA(正確答案)C.OCSPD.CRL庫84.在網(wǎng)絡(luò)計息信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護能力。某公司準(zhǔn)備部署一臺防火墻來保護內(nèi)網(wǎng)主機，下圖中部署位置正確的是:[單選題]*

A.(正確答案)

B.

C.

D.85.下圖是安全測試人員連接某遠程主機時的操作界面，請仔細分析該圖,下面選項中推斷正確的是[單選題]*A.安全測試人員連接了遠程服務(wù)器的220端口B.安全測試人員的本操作系統(tǒng)是LinuxC.遠程服務(wù)開啟了FP服務(wù),使用的服務(wù)器軟件名為FIPServerD.遠程服務(wù)器的操作系統(tǒng)是Windows(正確答案)86.軟件存在漏洞和缺陷是不可避免免的,實踐中嘗試用軟件缺陷密度

(Defects/KLOC)來衡量軟件的安全性。假設(shè)某個軟件共有29.6萬行源代碼,

總共被檢測出145個缺陷,則可以計算出其軟件缺陷密度值是[單選題]*A.0.00049B.0.049C.0.49(正確答案)D.4987.IS09001-200標(biāo)準(zhǔn)在制定、實施質(zhì)量管理體系以及改進其有效性時采用過程方法,通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖,圖中括號空白處應(yīng)填寫[單選題]*A.策略B.管理者C.組織D.活動(正確答案)88.我國標(biāo)準(zhǔn)《信息安全風(fēng)險管理指南》(GB/Z24364)給出了信息安全風(fēng)險管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應(yīng)該填寫:[單選題]*A.風(fēng)險計算B.風(fēng)險評價C.預(yù)測D.風(fēng)險處理(正確答案)89.小陳自學(xué)了信息安全風(fēng)險評估的相關(guān)國家標(biāo)準(zhǔn)后,將風(fēng)險計算的有關(guān)公式使用圖形來表示,下面四個圖中F1、F2、F3、F4分別代表某種計算函數(shù)。四張圖中,計算關(guān)系表達正確的是:()[單選題]F1F2F3(正確答案)F490.為了能夠合理、有序地處理安全事件,應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降至最低。PDCERF方法論是種防范使用的方法,其將應(yīng)急響應(yīng)分成六個階段,如下圖所示,請為圖中括號空白處選擇合適的內(nèi)容:[單選題]*A.培訓(xùn)階段B.文檔階段C.報告階段D.檢測階段(正確答案)91.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)后,繪制了一張簡化的信息系統(tǒng)安全保障模型圖,如下所示。請為圖中括號空白處選擇合適的選項:[單選題]*A.安全保障(方針和組織)B.安全防護(技術(shù)和管理)C.深度防御(策略、防護、檢測、響應(yīng))D.保障要素(管理、工程、技術(shù)、人員)(正確答案)92.密碼是一種用來混淆的技術(shù),使用者希望將正常的(可識別的)信息轉(zhuǎn)變?yōu)闊o法識別的信息。但這種無法識別的信息部分是可以再加工并恢復(fù)和破解的,小剛是某公司新進的員工,公司要求他注冊一個公司網(wǎng)站的帳號,小剛使用一個安全一點的密碼,請問一下選項中哪個密碼是最安全的()[單選題]*A.使用和與用戶名相同的口令B.選擇可以在任何字典或語言中找到的口令C.選擇任何和個人信息有關(guān)的口令D.采取數(shù)字、字母和特殊符號混合并且易于記憶(正確答案)93.在軟件項目開發(fā)過程中,評估軟件項目風(fēng)險時,()與風(fēng)險無關(guān)

[單選題]*A.高級管理人員是否正式承諾支持該項目B、開發(fā)人員和用戶是否充分理解系統(tǒng)的需求C、最終用戶是否同意部署已開發(fā)的系統(tǒng)(正確答案)D.開發(fā)需要的資金是否能按時到位94.與瀏覽器兼容性測試不需要考慮的問題是()[單選題]*A.軟件是否可以在不同的J2EE中運行B.不同的瀏覽器是否可以提供合適的安全設(shè)置(正確答案)C.腳本和插件是否適用于不同的瀏覽器D.符合最新HTML版本的頁面能否在瀏覽器中正確顯示95.某公司在討論如何確認(rèn)已有的安全措施,對于確認(rèn)已有安全措施,下列選項中描述不正確的是()[單選題]*A.對有效的安全措施繼續(xù)保持,以避免不必要的工作和費用,防止安全措施的重復(fù)實施B.安全措施主要有預(yù)防性、檢測性和糾正性三種C.安全措施的確認(rèn)應(yīng)評估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。D.對確認(rèn)了不適當(dāng)?shù)陌踩胧┛梢灾弥活?正確答案)96以下哪一項不屬于Web應(yīng)用軟件表示層測試關(guān)注的范疇()[單選題]*A.排版結(jié)構(gòu)的測試B.數(shù)據(jù)完整性測試(正確答案)C.客戶端兼容性的測試D.鏈接結(jié)構(gòu)的測試97.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是()[單選題]*A.所謂需求管理,是指對需求開發(fā)的管理B.需求管理包括:需求獲取、需求分析、需求定義和需求驗證C.需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D.在需求管理中,需求維持對原有需求和所有產(chǎn)品需求的雙向跟蹤(正確答案)98.下列選項中,對物理與環(huán)境安全的描述出現(xiàn)錯誤的是()[單選題]*A.物理安全確保了系統(tǒng)在對信息進行采集、傳輸、存儲、處理等過程中的安全(正確答案)B.物理安全面對的是環(huán)境風(fēng)險及不可預(yù)知的人類活動,是一個非常關(guān)鍵的領(lǐng)域C.物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D.影響物理安全的因素不僅包含自然因素、還包括人為因素99.信息安全管理體系也采用了()模型,該模型可應(yīng)用于所有的()。ISMS把相關(guān)方的信息安全要求和期望作為輸入,并通過必要的(),產(chǎn)生滿足這些要求和期望的()。[單選題]*A.ISMS、PDCA過程、行動和過程、信息安全結(jié)果B.PDCA、ISMS、行動和過程、信息安全結(jié)果(正確答案)C.ISMS、PDCA過程、信息安全結(jié)果、行動和過程D.PDCA、ISMS、信息安全結(jié)果、行動和過程100.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護,以下關(guān)于用戶隱私保護的說法錯誤的是?[單選題]*A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許C.用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是(正確答案)D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)101、信息是流動的,在信息的流動過程中必須能夠識別所有可能途徑的()與();而對于信息本身而言,信息的敏感性的定義是對信息保護的()和(),信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了()的效果,不同的載體下,可能體現(xiàn)出信息的()、臨時性和信息的交互場景,這使得風(fēng)險管理變得復(fù)雜和不可預(yù)測。[單選題]*A.基礎(chǔ)、依據(jù)、載體、環(huán)境、永久性、風(fēng)險管理B.基礎(chǔ)、依據(jù)、載體、環(huán)境、風(fēng)險管理、永久性C.載體、環(huán)境、風(fēng)險管理、永久性、基礎(chǔ)、依據(jù)D.載體、環(huán)境、基礎(chǔ)、依據(jù)、風(fēng)險管理、永久性(正確答案)102、下列選項中對信息系統(tǒng)審計概念的描述中不正確的是()[單選題]*A.信息系統(tǒng)審計,也可稱作IT審計或信息系統(tǒng)控制審計B.信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程,審計對象是信息系統(tǒng)相關(guān)控制,審計目標(biāo)是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟性以及數(shù)據(jù)的真實性、完整性等相關(guān)屬性C.信息系統(tǒng)審計是單一的概念,是對會計信息系統(tǒng)的安全性、有效性進行檢查(正確答案)D.從信息系審計內(nèi)容上看,可以將信息系統(tǒng)審計分為不同專項審計,例如安全審計、項日合規(guī)審計、績效審計等103.以下對于標(biāo)準(zhǔn)化特點的描述哪項是錯誤的?[單選題]*A.標(biāo)準(zhǔn)化的對象是共同的、可重復(fù)的事物。不是孤立的一件事、一個事物B.標(biāo)準(zhǔn)化必須是靜態(tài)的,相對科技的進步和社會的發(fā)展不能發(fā)現(xiàn)變化(正確答案)C.標(biāo)準(zhǔn)化的相對性,原有標(biāo)準(zhǔn)隨著社會發(fā)展和環(huán)境變化,需要更新D.標(biāo)準(zhǔn)化的效益,通過應(yīng)用體現(xiàn)經(jīng)濟和社會效益,否則就沒必要104.以下哪個是國際信息安全標(biāo)準(zhǔn)化組織的簡稱()[單選題]*A.ANSIB.ISO(正確答案)C.IEEED.NIST105.內(nèi)容安全是我國信息安全保障工作中的一個重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越來越受到重視,以下哪個描述不屬于內(nèi)容安全的范疇()[單選題]*A.某雜志在線網(wǎng)站建立內(nèi)容正版化審核團隊,對向網(wǎng)絡(luò)投稿的內(nèi)容進行版權(quán)審核,確保無侵犯版權(quán)行為后才能在網(wǎng)站上進行發(fā)布B.某網(wǎng)站采取了技術(shù)措施,限制對同一IP地址對網(wǎng)站的并發(fā)連接,避免爬蟲通過大量的訪問采集網(wǎng)站發(fā)布數(shù)據(jù)C.某論壇根據(jù)相關(guān)法律要求,進行了大量的關(guān)鍵詞過濾,使用戶無法發(fā)布包含被過濾關(guān)鍵詞的相關(guān)內(nèi)容(正確答案)D.某論壇根據(jù)國家相關(guān)法律要求,為了保證用戶信息泄露,對所有用戶信息,包括用戶名、密碼、身份證號等都進行了加密的存儲106.惡意軟件分析是快速準(zhǔn)確的識別惡意軟件行為,清除惡意軟件,保護系統(tǒng)和其他應(yīng)用程序安全的重要措施,隨著惡意軟件抗分析技術(shù)的發(fā)展,惡意