信息安全練習題(G)

注冊信息安全專業(yè)人員考試模擬測試題(G)華為.HCS-19-369.V200Numbcr:13-369PassingScore:600TimeLimit:90minFileVersion:200HCIT-R&S-IESN H19-369(HuaweiCertifiednerjdksnfkwsnl)CC標準是目前系統(tǒng)安全認證方面最權威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性：結構的開放性表達方式的通用性獨立性實用性Answer:C2.根據(jù)《信息安全等級保護管理辦法》、《關于開展信息安全等級保護測評體系建設試點工作的通知》（公信安[2009]812號），關于推動信息安全等級保護（）建設和開展()工作的通知（公信安[2010]303號）等文件，由公安部()對等級保護測評機構管理，接受測評機構的申請、考核和定期（），對不具備能力的測評機構則（）等級測評；測評體系；等級保護評估中心；能力驗證；取消授權測評體系；等級保護評估中心；等級測評；能力驗證；取消授權測評體系；等級測評；等級保護評估中心；能力驗證；取消授權測評體系；等級保護評估中心；能力驗證；等級測評；取消授權Answer:C3.以下哪個現(xiàn)象較好的印證了信息安全特征中的動態(tài)性()經(jīng)過數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺各種電子設備B剛剛經(jīng)過風險評估并針對風險采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風險C某公司的信息系統(tǒng)面臨了來自美國的“匿名者”黑客組織的攻擊D.某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務器中數(shù)據(jù)仍然產(chǎn)生了泄露Answer:B4.老王是某政府信息中心主任。以下哪項項目是符合《保守國家移密法》要求的()老王安排下屬小李將損害的涉密計算機某國外品牌硬盤送到該品牌中國區(qū)維修中心修理老王要求下屬小張把中心所有計算機貼上密級標志老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫老王提出對加密機和紅黑電源插座應該與涉密信息系統(tǒng)同步投入使用Answer:D5.關于計算機取征描述不正確的是（）計算機取證是使用先進的技術和工具，按照標準規(guī)程全面的檢查計算機系統(tǒng)以提取和保護有關計算機犯罪的相關證據(jù)的活動取證的目的包括通過證據(jù)，查找肇事者，通過證據(jù)推斷犯罪過程，通過證據(jù)判斷受害者損失程度及涉及證據(jù)提供法律支持電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品，對于電子證據(jù)取證工作主要圍繞兩方面進行證據(jù)的獲取和證據(jù)的保護計算機取證的過程，可以分為準備，保護，提取，分析和提交五個步驟Answer:C解釋：CISP4.1版本（2018.10）教材的第156頁。實際的情況是包括證據(jù)的獲取和證據(jù)的分析兩個方面。6.（）第23條規(guī)定存儲、處理國家機秘密的計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)），按照（）實行分級保護，（）應當按照國家保密標準配備保密設施、設備。（）、設備應當與涉密信息系統(tǒng)同步規(guī)劃、同步建設、同步運行（三同步）。涉密信息系統(tǒng)應當按照規(guī)定，經(jīng)（）后方可投入使用?！侗Ｃ芊ā?；涉密程度；涉密信息系統(tǒng)；保密設施；檢查合格《國家保密法》；涉密程度；涉密系統(tǒng)；保密設施；檢查合格《網(wǎng)絡保密法》；涉密程度；涉密系統(tǒng)；保密設施；檢查合格《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設施；檢查合格Answer:A7.Linux系統(tǒng)的安全設置主要從磁盤分區(qū)、賬戶安全設置、禁用危險服務、遠程登錄安全、用戶鑒別安全、審計策略、保護root賬戶、使用網(wǎng)絡防火墻和文件權限操作共10個方面來完成。小張在學習了Linux系統(tǒng)安全的相關知識后，嘗試為自己計算機上的Linux系統(tǒng)進行安全配置。下列選項是他的部分操作，其中不合理的是（）。編輯文件/etc/passwd，檢查文件中用戶ID，禁用所有ID=0的用戶編輯文件/etc/ssh/sshd_config,將PermitRootLogin設置為no編輯文件/etc/pam.d/system~auth，設置authrequiredpamtally.soonerr=faildeny=6unlock_time-300編輯文件/etc/profile,設置TMOUT=600Answer:A8.PDCA循環(huán)又叫戴明環(huán)，是管理學常用的一種模型。關于PDCA四個字母，下面理解錯誤的是（）P是Plan，指分析問題、發(fā)現(xiàn)問題、確定方針、目標和活動計劃D是Do，指實施、具體運作，實現(xiàn)計劃中的內容C是Check，指檢查、總結執(zhí)行計劃的結果，明確效果，找出問題A是Aim，指瞄準問題，抓住安全事件的核心，確定責任Answer:D9.在國家標準GB/T20274.1-2006《信息安全技術信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個方面?（）保障要素、生命周期和運行維護保障要素、生命周期和安全特征規(guī)劃組織、生命周期和安全特征規(guī)劃組織、生命周期和運行維護Answer:B10.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從成脅能力和掌握資源分，這些威脅可以按照個人或脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡犯罪團伙搜集政治、軍事、經(jīng)濟等情報信息的情報機構鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務、進行目標破壞的信息作戰(zhàn)部隊Answer:B11.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）資產(chǎn)清單資產(chǎn)責任人資產(chǎn)的可接受使用分類指南，信息的標記和處理Answer:D12.有關質量管理，錯誤的理解是（）。質量管理是與指揮和控制組織質量相關的一系列相互協(xié)調的活動，是為了實現(xiàn)質量目標，而進行的所有管理性質的活動規(guī)范質量管理體系相關活動的標準是ISO9000系列標準C質量管理體系將資源與結果結合，以結果管理方法進行系統(tǒng)的管理E.質量管理體系從機構，程序、過程和總結四個方面進行規(guī)范來提升質量Answer:C13.在某信息系統(tǒng)的設計中，用戶登錄過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令；(3)信息系統(tǒng)在服務器端檢查用戶名和密碼的正確性,如果正確，則鑒別完成?？梢钥闯?，這個鑒別過程屬于（）單向鑒別B雙向鑒別C三向鑒別D.第三方鑒別Answer:A14.隨機進程名稱是惡意代碼迷惑管琊員和系統(tǒng)安全檢查人員的技術手段之一,以下對于隨機進程名技術。描述正確的是（）。隨機進程名技術雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱Answer:D15.隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URL利用即時通訊軟件發(fā)送指向惡意地址的二維碼利用即時通訊發(fā)送攜帶惡意代碼的JPG圖片Answer:C16.GB/T22080-2008《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照PDCA模型進行，即信息安全管理體系應包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）?！爸贫↖SMS方針”是建立ISMS階段工作內容“安施培訓和意識教育計劃”是實施和運行ISMS階段工作內容“進行有效性測量”是監(jiān)視和評審ISMS階段工作內容“實施內部審核”是保持和改進ISMS階段工作內容Answer:D17.某單位需要開發(fā)一個網(wǎng)站，為了確保開發(fā)出安全的軟件。軟件開發(fā)商進行了OA系統(tǒng)的威脅建模，根據(jù)威脅建模，SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個屬于修改設計消除威脅的做法（）在編碼階段程序員進行培訓，避免程序員寫出存在漏洞的代碼對代碼進行嚴格檢查，避免存在SQL注入漏洞的腳本被發(fā)布使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁面在網(wǎng)站中部署防SQL注入腳本，對所有用戶提交數(shù)據(jù)進行過濾Answer:C18.信息系統(tǒng)安全保障評估概念和關系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（），向信息系統(tǒng)的所有相關方提供信息系統(tǒng)的（）能夠實現(xiàn)其安全保障策略，能夠將其所面臨的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（），信息系統(tǒng)不僅包含了僅討論技術的信息技術系統(tǒng)，還包括同信息系統(tǒng)所處的運行環(huán)境相關的人和管理等領域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個（），因此信息系統(tǒng)安全保障的評估也應該提供一種（）的信心。安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期Answer:B19.某企業(yè)內網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內部傳播，作為信息化負責人，你應采取以下哪項策略()更換企業(yè)內部殺毒軟件，選擇一個可以查殺到該病毒的軟件進行重新部署向企業(yè)內部的計算機下發(fā)策略，關閉系統(tǒng)默認開啟的自動播放功能禁止在企業(yè)內部使用如U盤、移動硬盤這類的移動存儲介質在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關，防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內部Answer:B20.分布式拒絕服務（DistributedDenialofService,DDos）攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺。對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。一般來說，DDoS攻擊的主要目的是破壞目標系統(tǒng)的（）保密性完整性可用性真實性Answer:C21.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準側（）抵制通過網(wǎng)絡系統(tǒng)侵犯公眾合法權益通過公眾網(wǎng)絡傳播非法軟件不在計算機網(wǎng)絡系統(tǒng)中進行造謠、欺詐、誹謗等活動幫助和指導信息安全同行提升信息安全保障知識和能力。Answer:B22.ApacheHTTPServer（簡稱Apache）是個開放源碼的Web服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下哪種措施()不選擇Windons平臺，應選擇在Linux平臺下安裝使用安裝后。修改配置文件httpd.conf中的有關參數(shù)安裝后。刪除ApacheHTTPServer源碼從正確的官方網(wǎng)站下載ApacheHTTPServer.并安裝使用Answer:B23.安全漏洞產(chǎn)生的原因不包括以下哪一點()軟件系統(tǒng)代碼的復雜性軟件系統(tǒng)市場出現(xiàn)信息不對稱現(xiàn)象復雜異構的網(wǎng)絡環(huán)境攻擊者的惡意利用Answer:D24.某IT公司針對信息安全事件已經(jīng)建立了完善的預案，在年度企業(yè)信息安全總結會上，信息安全管理員對今年應急預案工作做出了四個總結，其中有一項總結工作是錯誤，作為企業(yè)的CSO，請你指出存在問題的是哪個總結？（）Ａ.公司自身擁有優(yōu)秀的技術人員，系統(tǒng)也是自己開發(fā)的，無需進行應急演練工作，因此今年的僅制定了應急演練相關流程及文檔，為了不影響業(yè)務，應急演練工作不舉行公司制定的應急演練流程包括應急事件通報、確定應急事件優(yōu)先級應急響應啟動實施、應急響應時間后期運維、更新現(xiàn)在應急預案五個階段，流程完善可用公司應急預案包括了基本環(huán)境類、業(yè)務系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應急事件類型公司應急預案對事件分類依據(jù)GB/Z20986–2007《信息安全技術信息安全事件分類分級指南》，分為7個基本類別，預案符合國家相關標準Answer:A25.某軟件在設計時，有三種用戶訪問模式，分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問)采用這三種訪問模式時，攻擊面最高的是()。僅管理員可訪問所有合法用戶可訪問允許匿名三種方式一樣Answer:C26.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2，其中資產(chǎn)A1面臨兩個主要威脅:威脅T1和威脅T2:而資產(chǎn)A2面臨一個主要威脅:威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個脆性:脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性：脆弱性V3、脆弱性V4和脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性:脆弱性V6和脆弱性V7;根據(jù)上述條件，請問:使用相乘法時，應該為資產(chǎn)A1計算幾個風險值()2356Answer:C27.某政府機構委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問題，該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的()A程序員在進行安全需求分析時，沒有分析出OA系統(tǒng)開發(fā)的安全需求程序員在軟件設計時，沒遵循降低攻擊面的原則，設計了不安全的功能程序員在軟件編碼時，缺乏足夠的經(jīng)驗，編寫了不安全的代碼程序員在進行軟件測試時，沒有針對軟件安全需求進行安全測試Answer:B28.從SABSA的發(fā)展過程，可以看出整個SABSA在安全架構中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的（），其次是（），它包含了建筑設計中的（）、物理設計、組件設計和服務管理設計，再者就是（），緊隨其后的則是（）設計；戰(zhàn)略與規(guī)劃；邏輯設計；實施；管理與衡量戰(zhàn)略與規(guī)劃；邏輯設計；設計；實施；管理與衡量戰(zhàn)略與規(guī)劃；實施；設計；邏輯設計；管理與衡量戰(zhàn)略與規(guī)劃；設計；邏輯設計；實施；管理與衡量Answer:D29.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切。越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關于ISMS。下面描述錯誤的是（）。在組織中，應由信息技術責任部門(如信息中心)制定井頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體，具備可行性組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內。應包括全體員工，同時，也應傳達到客戶、合作伙伴和供應商等外部各方組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘余風險Answer:A30.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小。假設單位機房的總價值為400萬元人民幣，暴露系數(shù)(ExposureFactor,EF)是25%，年度發(fā)生率(AnnualizedRateofOccurrence,ARO)是0.2,那么小王計算的年度預期損失（AnnualizedLossExpectancy,ALE)應該是()。100萬元人民幣B.400萬元人民幣C.20萬元人民幣D.180萬元人民幣Answer:C31.隨著信息技術的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來，綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是（）信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存性，導致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應用越來越廣泛，接觸越多，信息系統(tǒng)越可能遭受攻擊，因此避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題信息安全問題，產(chǎn)生的根源要從內因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性同時外部又有威脅源，從而導致信息系統(tǒng)可能發(fā)生安全事件，因此要防范安全風險，需從內外因同時著手信息安全問題的根本原因是內因、外因和人三個因素的綜合作用，內因和外因都可能導致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內部工作人員通過遠程攻擊，本地破壞和內外勾結等手段導致安全事件發(fā)生，因此對人這個因素的防范應是安全工作重點Answer:C32.在Linux系統(tǒng)中，下列哪項內容不包含在/etc/passwd文件中（）用戶名用戶口令明文用戶主目錄用戶登錄后使用的SHELLAnswer:B33.即使最好用的安全產(chǎn)品也存在（）。結果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策時在敵手和它的目標之間配備多種（）。每一種機制都應包括（）兩種手段。安全機制；安全缺陷；保護和檢測安全缺陷；安全機制；保護和檢測安全缺陷；保護和檢測；安全機制；安全缺陷；安全機制；保護和檢測Answer:B和D都對34.某攻擊者想通過遠程控制軟件潛伏在某監(jiān)控方的UNIX系統(tǒng)的計算機中，如果攻擊者打算長時間地遠程監(jiān)控某服務器上的存儲的敏感數(shù)據(jù)，必須要能夠清除在監(jiān)控方計算機中存在的系統(tǒng)日志。否則當監(jiān)控方查看自己的系統(tǒng)日志的時候，就會發(fā)現(xiàn)被監(jiān)控以及訪向的痕跡。不屬于清除痕跡的方法是()。竊取root權限修改wtmp/wtmpx、utmp/utmpx和lastlog三個主要日志文件采用干擾手段影響系統(tǒng)防火墻的審計功能C保留攻擊時產(chǎn)生的臨時文件D.修改登錄日志，偽造成功的登錄日志，增加審計難度Answer:C35.信息安全組織的管理涉及內部組織和外部各方兩個控制目標。為了實現(xiàn)對組織內部信息安全的有效管理，實施常規(guī)的控制措施，不包括哪些選項()信息安全的管理承諾、信息安全協(xié)調、信息安全職責的分配信息處理設施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系.C與特定利益集團的聯(lián)系。信息安全的獨立評審D.與外部各方相關風險的識別、處理外部各方協(xié)議中的安全問題Answer:D36.按照我國信息安全等級保護的有關政策和標準。有些信息系統(tǒng)只需要自主定級、自主保護，按照要求向公安機關備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應屬于：零級系統(tǒng)一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)Answer:B37.小李在檢查公司對外服務網(wǎng)站的源代碼時，發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時，會將詳細的錯誤原因在結果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。將詳細的錯誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發(fā)生內部錯誤!”.請問，這種處理方法的主要目的是()。A避免緩沖區(qū)溢出B.安全處理系統(tǒng)異常C.安全使用臨時文件D.最小化反饋信息Answer:D38.關于ARP欺騙原理和防范措施，下面理解錯誤的是()ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應答報文。使得受害者主機將錯誤的硬件地址映射關系存到ARP緩存中，從而起到冒充主機的目的單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內部子網(wǎng)，不能跨越路由實施攻擊解決ARP欺騙的一個有效方法是采用“靜態(tài)”的APP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機進行連接Answer:D39.組織內人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有員工都可以登錄系統(tǒng)完成相關需要員工配合的工作，以下哪項技術可以保證數(shù)據(jù)的保密性：SSL加密雙因子認證加密會話cookieIP地址校驗Answer:A40.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或對安全性較高的系統(tǒng)。強制訪問控制模型有多種類型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自學了BLP模型，并對該模型的特點進行了總結。以下4鐘對BLP模型的描述中，正確的是（）：BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”Answer:B41.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務部門的管理人員能夠對課程信息、學生的選課信息等內容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是：對經(jīng)過身份鑒別后的合法用戶提供所有服務拒絕非法用戶的非授權訪問請求在用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權進行管理防止對信息的非授權篡改和濫用Answer:A42.信息安全風險等級的最終因素是：威脅和脆弱性影響和可能性資產(chǎn)重要性以上都不對Answer:B43.實施災難恢復計劃之后，組織的災難前和災難后運營成本將：降低不變（保持相同）提高提高或降低（取決于業(yè)務的性質）Answer:C44.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數(shù)據(jù)。下面選項中說法正確的是（）。ACL是Bell-LaPadula模型的一種具體實現(xiàn)ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便ACL管理或增加客體比較方便Answer:D45.二十世紀二十年代，德國發(fā)明家亞瑟.謝爾比烏斯（ArthurScherbius）發(fā)明了Engmia密碼機。按照密碼學發(fā)展歷史階段劃分，這個階段屬于（）古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和置換方法近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備?，F(xiàn)代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（“TheCommunicationTheoryofSecretSystems”）為理論基礎，開始了對密碼學的科學探索?，F(xiàn)代密碼學的近代發(fā)展階段。這一階段以公鑰密碼思想為標準，引發(fā)了密碼學歷史上的革命性的變革，同時，眾多的密碼算法開始應用于非機密單位和商業(yè)場合。Answer:B46.主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是（）主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關信息或數(shù)據(jù)客體也是一個實體，是操作的對象，是被規(guī)定需要保護的資源主體是動作的實施者，比如人、進程或設備等均是主體，這些對象不能被當作客體使用一個主體為了完成任務，可以創(chuàng)建另外的主體，這些主體可以獨立運行Answer:C47.數(shù)字簽名不能實現(xiàn)的安全特性為（）防抵賴防偽造防冒充保密通信Answer:D48.在入侵檢測（IDS）的運行中，最常見的問題是：（）誤報檢測接收陷阱消息誤拒絕率拒絕服務攻擊Answer:A49.什么是系統(tǒng)變更控制中最重要的內容？所有的變更都必須文字化，并被批準變更應通過自動化工具來實施應維護系統(tǒng)的備份通過測試和批準來確保質量Answer:A50.IPv4協(xié)議在設計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡方便地進行互聯(lián)、互通，僅僅依靠IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標準，其設計目標是在IPv4和IPv6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性，有效抵御網(wǎng)絡攻擊，同時保持易用性。下列選項中說法錯誤的是（）對于IPv4,IPSec是可選的，對于IPv6，IPSec是強制實施的。IPSec協(xié)議提供對IP及其上層協(xié)議的保護。IPSec是一個單獨的協(xié)議IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制。Answer:C51.小趙是某大學計算機科學與技術專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）。訪問控制列表（A