CISP信息安全專業(yè)人員考試模擬練習(xí)題一及答案解析

注冊信息安全專業(yè)人員考試模擬考試試卷注冊信息安全專業(yè)人員考試模擬考試試卷PAGEPAGE1/16注冊信息安全專業(yè)人員考試大綱知識點綜合測試題（A）（時間：120分鐘 數(shù)量：100題 題型：單選題，將正確答案填寫在表格中）姓名 單名稱 得分 題號答案題號答案題號答案題號答案題號答案121416181222426282323436383424446484525456585626466686727476787828486888929496989103050709011315171911232527292133353739314345474941535557595163656769617375777971838587898193959799920406080100ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的答案：D解釋：GB/T20274信息系統(tǒng)保障評估框架從管理、技術(shù)、工程和總體方面進行評估。以下哪一項是數(shù)據(jù)完整性得到保護的例子?A．某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B．在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作C．某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D．李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看答案：B解釋：ABCDClark-Wilson21A．與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B．美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔(dān)C．各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D．在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系答案：B解釋：美國已經(jīng)設(shè)立中央政府級的專門機構(gòu)。PDRP2DRA．防護 B．檢測 C．反應(yīng) 策略答案：D解釋：PPDR（或響應(yīng)。PPDRPDR以下關(guān)于項目的含義，理解錯誤的是：A．項目是為達到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務(wù)或成果而進行的一次性努力。項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進度來隨機確定。C．項目資源指完成項目所需要的人、財、物等。DSMARTSpecific（Measurable)、需相關(guān)方的一致同Timeoriented)答案：B解釋：據(jù)項目進度不能隨機確定，需要根據(jù)項目預(yù)算、特性、質(zhì)量等要求進行確定。20081254（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCIA．CNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險CNCIC．CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D．CNCI答案：AB、C、D答案均無法從題干反應(yīng)。下列對于信息安全保障深度防御模型的說法錯誤的是：A．信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B．信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C．信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。解釋：D的正確描述是從內(nèi)而外，自上而下，從端到邊界的防護能力。某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：A．個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別B．由可信第三方完成的用戶身份鑒別C.個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別D．用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別答案：C解釋：題干為網(wǎng)銀系統(tǒng)對用戶的鑒別。AliceBobBob。BobA．此密碼體制為對稱密碼體制B．此密碼體制為私鑰密碼體制C．此密碼體制為單鑰密碼體制D．此密碼體制為公鑰密碼體制答案：D解釋：題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對于公鑰而言，則為非對稱密碼體制，非對稱密碼體制又稱為公鑰密碼體制。下列哪一種方法屬于基于實體“所有”鑒別方法：A．用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B．用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C．用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別D．用戶使用集成電路卡(如智能卡)完成身份鑒別答案：D解釋：實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。A．實體“所知”以及實體“所有”的鑒別方法B．實體“所有”以及實體“特征”的鑒別方法C．實體“所知”以及實體“特征”的鑒別方法D．實體“所有”以及實體“行為”的鑒別方法答案：A解釋：題目中安全登錄會涉及到賬號密碼為實體所知，智能卡和短信是實體所有。某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢?A.滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞B．滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C．滲透測試使用人工進行測試，不依賴軟件，因此測試更準(zhǔn)確D．滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多答案：A解釋：滲透測試是模擬攻擊的黑盒測試，有利于發(fā)現(xiàn)系統(tǒng)明顯的問題。軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護的說法哪個是錯誤的?A．告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B．當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許C．用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D．確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)答案：C解釋：個人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A.在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B．在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C．確保對軟編碼人員進行安全培訓(xùn)，開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D．在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行答案：D解釋：軟件的安全測試根據(jù)實際情況進行測試措施的選擇和組合。以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A.VTP B．L2F C．PPTP D．L2TP答案：A解釋：L2F、PPTP、L2TP均為二層隧道協(xié)議。S01R02R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A．訪問控制表(ACL)B．訪問控制矩陣C．能力表(CL)D．前綴表(Profiles)答案：C解釋：定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。以下場景描述了基于角色的訪問控制模型(Role-basedAccessRBACA．當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B．業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C．通過角色，可實現(xiàn)對信息資源訪問的控制D．RBAC模型不能實現(xiàn)多級安全中的訪問控制答案：D解釋：RBAC模型能實現(xiàn)多級安全中的訪問控制。VPN)協(xié)議標(biāo)準(zhǔn)：A．第二層隧道協(xié)議(L2TP)B．Internet安全性(IPSEC)C．終端訪問控制器訪問控制系統(tǒng)(TACACS+)D．點對點隧道協(xié)議(PPTP)答案：C解釋：TACACS+是AAA權(quán)限控制系統(tǒng)，不屬于VPN。KerberosA．該協(xié)議使用非對稱密鑰加密機制B．密鑰分發(fā)中心由認證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成C．該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D．使用該協(xié)議不需要時鐘基本同步的環(huán)境答案：C解釋：A；B；D1）身份認證后獲得票據(jù)許可票據(jù)；2）獲得服務(wù)許可票據(jù)；3）獲得服務(wù)。鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A．口令 B．令牌 C．知識 D．密碼答案：B解釋：令牌是基于實體所有的鑒別方式。ISOOSIA．加密 B.數(shù)字簽名 C．訪問控制 D．路由控制答案：B解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A．選購當(dāng)前技術(shù)最先進的防火墻即可B．選購任意一款品牌防火墻C．任意選購一款價格合適的防火墻產(chǎn)品D．選購一款同已有安全產(chǎn)品聯(lián)動的防火墻答案：D解釋：在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。OSI7A.網(wǎng)絡(luò)層 B．表示層 C．會話層 D．物理層答案：A解釋：網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時進行確認才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全哪項原則A.最小權(quán)限 B.權(quán)限分離 C．不信任 D．縱深防御答案：B解釋：權(quán)限分離是將一個較大的權(quán)限分離為多個子權(quán)限組合操作來實現(xiàn)。以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec)協(xié)議說法錯誤的是：A．在傳送模式中，保護的是IP負載。B．驗證頭協(xié)議(AuthenticationHeader，AH)IPEncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作。C．在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。D．IPSec僅能保證傳輸數(shù)據(jù)的可認證性和保密性。答案：D解釋：IPSEC可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務(wù)。SDLSTRIDEA．網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度B．網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導(dǎo)致用戶傳輸信息泄露，如購買的商品金額等C．網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D．網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D解釋：A屬于可用性；B保密性；C屬于完整性。PGP(PrettyGoodPrivacy)軟件敘述錯誤的是：A．PGP可以實現(xiàn)對郵件的加密、簽名和認證B．PGP可以實現(xiàn)數(shù)據(jù)壓縮C．PGP可以對郵件進行分段和重組D．PGPSHA解釋：SHA不提供加密，SHA是摘要算法提供數(shù)據(jù)完整性校驗。入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDSIDSIPSA．串接到網(wǎng)絡(luò)線路中B．對異常的進出流量可以直接進行阻斷C．有可能造成單點故障D．不會影響網(wǎng)絡(luò)性能答案：D解釋：IPS在串聯(lián)情況下，會影響網(wǎng)絡(luò)性能。FAT)文件系統(tǒng)，以下哪個不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?B．NTFS的分區(qū)上，可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限C．對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率DFATNTFSlinuxEXT2解釋：NTFS不能兼容EXT文件系統(tǒng)。Webwindows，在進行日志安全管理設(shè)置時，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進行參考，其中能有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進行修改的策略是：A．網(wǎng)絡(luò)中單獨部署syslog服務(wù)器，將Web服務(wù)器的日志自動發(fā)送并存儲到該syslog日志服務(wù)器中B．嚴格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進行讀和寫等操作C．對日志屬性進行調(diào)整，加大日志文件大小、延長覆蓋時間、設(shè)置記錄更多信息等D．使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間答案：A解釋：在多重備份存儲情況下，可以防護日志被篡改的攻擊（前提非實時同步。linuxA．在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B．系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D．root解釋：一個用戶可以屬于多個組。安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工作，某管理員對即將上WindowsA．操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞BWindowsCCDAdministrator解釋：操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活?A．粒度越小B．約束越細致C．范圍越大D．約束范圍大答案：A解釋：數(shù)據(jù)粒度越細則授權(quán)策略越靈活便利。下列哪一些對信息安全漏洞的描述是錯誤的?A．漏洞是存在于信息系統(tǒng)的某種缺陷。B．漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。C．具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D．漏洞都是人為故意引入的一種信息系統(tǒng)的弱點答案：D解釋：漏洞是人為故意或非故意引入的弱點。賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A．分布式拒絕服務(wù)攻擊(DDoS) 病毒傳染口令暴力破解 緩沖區(qū)溢出攻擊答案：C解釋：賬號鎖定是為了解決暴力破解攻擊的。ARP)欺騙的根源之一?A．ARP協(xié)議是一個無狀態(tài)的協(xié)議B．為提高效率，ARP信息在系統(tǒng)中會緩存C．ARP緩存是動態(tài)的，可被改寫D．ARP協(xié)議是用于尋址的一個重要協(xié)議答案：D解釋：D不是導(dǎo)致欺騙的根源。張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A．口令攻擊B．暴力破解C．拒絕服務(wù)攻擊社會工程學(xué)攻擊答案：D解釋：D屬于社會工程學(xué)攻擊。SDL)，下面說法錯誤的是：A．在軟件開發(fā)的各個周期都要考慮安全因素B．軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C．測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D．在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本答案：C解釋：設(shè)計階段是發(fā)現(xiàn)和改正問題的最佳階段。在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能：A．治理，主要是管理軟件開發(fā)的過程和活動B.構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動C．驗證，主要是測試和驗證軟件的過程與活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動答案：D解釋：SAMM模型四個部分是治理、構(gòu)造、驗證和部署。從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：A．系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。B．系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法。D．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進學(xué)科。答案：C解釋：SSE-CMM是面向工程過程質(zhì)量控制的一套方法。有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices，BP)，正確的理解是：A．BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B．大部分BP是沒有經(jīng)過測試的BPDBPBPBPBP以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A．是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險B．是否可以抵抗大部分風(fēng)險C．是否建立了具有自適應(yīng)能力的信息安全模型是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)答案：D解釋：判斷風(fēng)險控制的標(biāo)準(zhǔn)是風(fēng)險是否控制在接受范圍內(nèi)。以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：A．信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B．明確違反信息安全的行為，并對行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動C．信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D．信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系答案：C解釋：信息安全問題是多方面存在的，不能認為主要為技術(shù)問題，同時技術(shù)漏洞不是犯罪的根源所在。小張是信息安全風(fēng)險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的風(fēng)險進行評估，已知：核A．24萬 B．0．09萬 C．37．5萬 D.9萬答案：D解釋：計算公式為100萬*24%*（3/8）=9萬20541A．電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)B．電子簽名適用于民事活動中的合同或者其他文件、單證等文書C．電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)D．電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務(wù)提供者共有答案：D解釋：電子簽名不可以與認證服務(wù)提供者共有。風(fēng)險管理的監(jiān)控與審查不包含：A．過程質(zhì)量管理B．成本效益管理C．跟蹤系統(tǒng)自身或所處環(huán)境的變化D．協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動答案：D解釋：DABC信息安全等級保護要求中，第三級適用的正確的是：A．適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益B．適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一般損害C．適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害D．適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設(shè)和公共利益造成特別嚴重損害答案：B解釋：題目中B為等級保護三級，該考點為等級保護定級指南。下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：A．設(shè)置網(wǎng)絡(luò)連接時限B．記錄并分析系統(tǒng)錯誤日志C．記錄并分析用戶和管理員操作日志D．啟用時鐘同步答案：A解釋：A屬于防護措施；BCD屬于檢測措施，可以用來檢測未經(jīng)授權(quán)的信息處理活動。有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：A．嚴重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實際后果，都要依法追究責(zé)任B．非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C．過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D．承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和／或其他處分答案：A解釋：正確的為A。以下對于信息安全事件理解錯誤的是：A．信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件B．對信息安全事件進行有效管理和響應(yīng)，最小化事件所造成的損失和負面影響，是組織信息安全戰(zhàn)略的一部分C．應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D.通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息安全事件的發(fā)生答案：D解釋：安全事件無法杜絕。假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A．是多余的，因為它們完成了同樣的功能，但要求更多的開銷B．是必須的，可以為預(yù)防控制的功效提供檢測C．是可選的，可以實現(xiàn)深度防御D．在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制功能已經(jīng)足夠答案：C解釋：正確為C。關(guān)于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：A．立足國情，以我為主，堅持技術(shù)與管理并重B．正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C．統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作D．全面提高信息安全防護能力，保護公眾利益，維護國家安全答案：D解釋：D描述的是信息安全保障工作目標(biāo)；ABC描述的是信息安全保障的原則。以下哪一項不是信息安全管理工作必須遵循的原則?A．風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B．風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C．由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低D．在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力答案：C解釋：安全措施投入應(yīng)越早則成本越低，C答案則成本會上升。（GB／T20984-2007）中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是：A.規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B.設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C.實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進行驗證D.運行維護階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面答案：D（G／T29420D對信息安全風(fēng)險評估要素理解正確的是：資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機構(gòu)B．應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C．脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D．信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：APAGEPAGE10/16以下哪些是需要在信息安全策略中進行描述的：A．組織信息系統(tǒng)安全架構(gòu)信息安全工作的基本原則C．組織信息安全技術(shù)參數(shù)D．組織信息安全實施手段答案：B解釋：安全策略是宏觀的原則性要求，不包括具體的架構(gòu)、參數(shù)和實施手段。根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是：A.信息安全風(fēng)險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充B．信息安全風(fēng)險評估工作要按照“嚴密組織、規(guī)范操作、講求科學(xué)、注重實效”的原則開展C．信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D．開展信息安全風(fēng)險評估工作應(yīng)加強信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)答案：A解釋：信息安全風(fēng)險評估應(yīng)以自評估（自查）為主。下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A．高級管理層——最終責(zé)任B.信息安全部門主管——提供各種信息安全工作必須的資源C．系統(tǒng)的普通使用者——遵守日常操作規(guī)范D．審計人員——檢查安全策略是否被遵從答案：B解釋：通常由管理層提供各種信息安全工作必須的資源。20041A．全國通信標(biāo)準(zhǔn)化技術(shù)委員會(TC485)B.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)C．中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)D．網(wǎng)絡(luò)與信息安全技術(shù)工作委員會答案：B解釋：答案為B。R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項說明錯誤的是：A．R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B．L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C．F表示安全事件發(fā)生后造成的損失D．Ia，Va解釋：Ia資產(chǎn)A的價值；Va資產(chǎn)A的脆弱性。以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：A．禁用主機的CD驅(qū)動、USB接口等I／O設(shè)備B．對不再使用的硬盤進行嚴格的數(shù)據(jù)清除C．將不再使用的紙質(zhì)文件用碎紙機粉碎D.用快速格式化刪除存儲介質(zhì)中的保密文件答案：D解釋：快速格式化刪除存儲介質(zhì)中的保密文件不能防止信息泄露。在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的：A．測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B．為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C．在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D．部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用答案：B解釋：由于備份會造成個人穩(wěn)私和其它敏感信息的擴散。為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。A．統(tǒng)一而精確地的時間B．全面覆蓋系統(tǒng)資產(chǎn)C．包括訪問源、訪問目標(biāo)和訪問活動等重要信息D.可以讓系統(tǒng)的所有用戶方便的讀取答案：D解釋：日志只有授權(quán)用戶可以讀取。關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A．應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)／重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施6個階段C．對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D4答案：B解釋：應(yīng)急響應(yīng)的六個階段是準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)。以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分：A．監(jiān)理咨詢支撐要素 控制和管理手段C．監(jiān)理咨詢階段過程 監(jiān)理組織安全實施答案：D解釋：監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A．增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B．依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D．如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災(zāi)演練了答案：C解釋：A6DMHMAA．項目計劃書B．質(zhì)量控制計劃C．評審報告需求說明書答案：D解釋：ABC其均屬于項目管理文檔。需求說明書、設(shè)計說明書、測試方案、測試用例等屬于開發(fā)類文檔。在某網(wǎng)絡(luò)機房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A．審核實施投資計劃B．審核實施進度計劃C．審核工程實施人員D.企業(yè)資質(zhì)答案：A解釋：監(jiān)理從項目招標(biāo)開始到項目的驗收結(jié)束，在投資計劃階段沒有監(jiān)理。以下關(guān)于直接附加存儲(DirectAttachedStorage，DAS)說法錯誤的是：A．DAS能夠在服務(wù)器物理位置比較分散的情況下實現(xiàn)大容量存儲．是一種常用的數(shù)據(jù)存儲方法B．DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單C．DAS的缺點在于對服務(wù)器依賴性強，當(dāng)服務(wù)器發(fā)生故障時，連接在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D．較網(wǎng)絡(luò)附加存儲(NetworkAttachedStorage，NAS)，DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進行管理和備份答案：D解釋：NAS優(yōu)點數(shù)據(jù)集中、節(jié)約空間，缺點是占用網(wǎng)絡(luò)帶寬、存儲中心存在單點故障。DASSANNAS某公司在執(zhí)行災(zāi)難恢復(fù)測試時．信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點的服務(wù)器的運行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A．災(zāi)難恢復(fù)站點的錯誤事件報告B．災(zāi)難恢復(fù)測試計劃C．災(zāi)難恢復(fù)計劃(DRP)D．主站點和災(zāi)難恢復(fù)站點的配置文件答案：A解釋：答案為A。以下對異地備份中心的理解最準(zhǔn)確的是：A．與生產(chǎn)中心不在同一城市B．與生產(chǎn)中心距離100公里以上C．與生產(chǎn)中心距離200公里以上D．與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險的機率很小答案：D解釋：答案為D，備份中心的綜合風(fēng)險小于主中心。BIA)時的步驟是：1．標(biāo)識關(guān)鍵的業(yè)務(wù)過程;2．開發(fā)恢復(fù)優(yōu)先級;3．標(biāo)識關(guān)鍵的IT資源;4．表示中斷影響和允許的中斷時間A．１-3-4-2B．１-3-2-4C．1-2-3-4D．１-4-3-2答案：A解釋：根據(jù)BCM的分析過程順序為A。SSE-CMM)，錯誤的理解是：A．SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B．SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C．基手SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施DSSE-CMM解釋：SSE-CMM是系統(tǒng)工程，不可以獨立實施。下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A．信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命周期密切相關(guān)B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C．信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障D．信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險降低到可接受的程度，從而實現(xiàn)其業(yè)務(wù)使命答案：B解釋：信息系統(tǒng)安全保障要素為技術(shù)、工程、管理和人員四個領(lǐng)域。信息系統(tǒng)安全保障的安全特征是完整、保密和可用性。SSECMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是：A．測量單位是基本實施(BasePractices，BP)B．測量單位是通用實踐(GenericPractices，GP)C．測量單位是過程區(qū)域(ProcessAreas，PA)D．測量單位是公共特征(CommonFeatures，CF)答案：D解釋：正確答案為D。下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：A．國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心B．模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C．信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D．信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面不需要投入答案：D解釋：單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面需要投入。信息系統(tǒng)安全工程(ISSEITITA．明確業(yè)務(wù)對信息安全的要求B．識別來自法律法規(guī)的安全要求C．論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求答案：D解釋：D屬于項目的驗收階段，不屬于IT項目的立項階段，題干屬于立項階段。IATF)，以下說法不正確的是：A.分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本B．IATFC．允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性D．IATF解釋：IATF是在網(wǎng)絡(luò)的各位置實現(xiàn)所需的安全機制。某單位開發(fā)一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析，模糊測試等軟件測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性的優(yōu)勢？A.滲透測試使用人工進行測試，不依賴軟件，因此測試更準(zhǔn)確B.滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C.滲透測試以攻擊者思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多答案：C解釋：C是滲透測試的優(yōu)點。以下關(guān)于軟件安全測試說法正確的是（）A.軟件安全測試就是黑盒測試B.FUZZ測試是經(jīng)常采用的安全測試方法之一C.軟件安全測試關(guān)注的是軟件的功能D.軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題答案：B解釋：B是正確答案。信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A.信息系統(tǒng)的技術(shù)架構(gòu)安全問題B.信息系統(tǒng)組成部門的組件安全問題C.信息系統(tǒng)生命周期的過程安全問題D.信息系統(tǒng)運行維護的安全管理問題答案：C解釋：正確的答案為C。有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實施（BasePractice）正確的理解是：A.BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法B.BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C.BP不代表信息安全工程領(lǐng)域的最佳實踐D.BP不是過程區(qū)域（ProcessAreas，PA)的強制項答案：A（ProcessAreas，PA層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMSISMSISMS4（）應(yīng)放入到一級文件中.A.《風(fēng)險評估報告》 《人力資源安全管理規(guī)定》C.《ISMS內(nèi)部審核計劃》 《單位信息安全方針》答案：D解釋：正確答案為D。一級文件中一般為安全方針、策略文件；二級文件中一般為管理規(guī)范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。信息安全管理體系（informationSecurityManagementSystemISMS）ISMSISMS（DISMSISMSA.①②③④⑤⑥B.①②③④⑤⑥⑦C.①②③④⑤⑥⑦⑧D.①②③④⑤⑥⑦⑧⑨答案：BPCPa-oCekAt17DD，89（CCek。在實施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是（）A.資產(chǎn)的價值指采購費用B.資產(chǎn)的價值指維護費用C.資產(chǎn)的價值與其重要性密切相關(guān)D.資產(chǎn)的價值無法估計答案：C解釋：答案為C。某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（）A.軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問題。B.應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復(fù)所花的代價少得多。C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SDL)最大特點是增加了一個專門的安全編碼階段。D.軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試。答案：B解釋：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計階段。C-SDL最大的特點是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測試是必要的軟件安全測試類型。某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員WEBA.模糊測試B.源代碼測試C.滲透測試D.軟件功能測試答案：C解釋：答案為C。下面哪項屬于軟件開發(fā)安全方面的問題（）A.軟件部署時所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B.應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)C.應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D.軟件受許可證（license）限制，不能在多臺電腦上安裝。答案：C解釋：ABD與軟件安全開發(fā)無關(guān)。WebWeb（）A.關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓(xùn)B.針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn)C.針對SQL注入漏洞的安全編程培訓(xùn)DARM解釋：D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。httpshttpA.Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為B.Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性C.Https協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能D.Https解釋：HTTPS具有數(shù)據(jù)加密機制。不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是（。A.定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進行評估，得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和缺失量B.定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)選擇定性風(fēng)險分析C.定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進行，所以分析結(jié)果和風(fēng)險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D.定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性答案：B解釋：實際工作中根據(jù)情況選擇定量、定性或