注冊信息安全專業(yè)人員考試試卷C卷

注冊信息安全專業(yè)人員考試試卷c卷

1.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了

以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評審專家，請指出是哪一

個(gè)()［單選題］*

A.軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例

B.軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運(yùn)行時(shí);以數(shù)據(jù)

庫備份操作員賬號連接數(shù)據(jù)庫

C.軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個(gè)日志用

戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限

D.為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system,確保系統(tǒng)

運(yùn)行正常，不會因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤

2.主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用All或ESP的傳輸模式對經(jīng)過互聯(lián)網(wǎng)的數(shù)據(jù)

流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？()［單

選題］*

A.-55

B.~55

C、-55

D.不在上述范圍內(nèi)

3.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用

1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)

議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改利用此漏洞，攻

擊者將價(jià)值1000元的商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)

節(jié)，導(dǎo)致以上問題，對于網(wǎng)站的這個(gè)問題原因分析及解決措施。最正確的說法應(yīng)該

是？()［單選題］*

A.該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的闖題，

應(yīng)對全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用https

B.該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，

沒有找到該威脅并采取相應(yīng)的消減措施

C.該問題產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品

價(jià)格驗(yàn)證就可以解決

D.該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可

4.以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能？()［單選題］*

A.IP地址欺騙防護(hù)

B.NAT

C.訪問控制

D.SQL注入攻擊防護(hù)

5.以下關(guān)于可信計(jì)算說法錯(cuò)誤的是：()［單選題］*

A.可信的主要目的是要建立起主動防御的信息安全保障體系

B.可信計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概

念

C.可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、

互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信

D.可信計(jì)算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法'

6.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一

個(gè)文件，屬于admin組中user用戶,以下哪個(gè)是該文件正確的模式表示？()

［單選題］*

A.-rwxr-xr-x3useradmin1024Sep1311：58test(

B.drwxr-xr-x3useradmin1024Sep1311：58test

C.一rwxr-xr-x3adminuser1024Sep1311：58test

D.drwxr-xr-x3adminuserl024Sep1311：58test

7.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其

中用來控制用戶訪問Apache目錄的配置文件是：()［單選題］*

A.httpd.conf1

B.srlconf

C.access,conf

D.Inet.conf

8.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防

護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是？()［單選題］*

A.安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁

B.對存儲的敏感數(shù)據(jù)進(jìn)行安全加密

C.不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)

D.定期對數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好

9.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞？()［單選題］*

A.通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最

終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令

B.攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該

頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。

C.當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在

合法數(shù)據(jù)上

D.信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無

意產(chǎn)生的缺陷

10.對惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識等措施，關(guān)于以下預(yù)防

措施或意識，說法錯(cuò)誤的是：()［單選題］*

A.在使用來自外部的移動介質(zhì)前，需要進(jìn)行安全掃描

B.限制用戶對管理員權(quán)限的使用

C.開放所有端口和服務(wù)，充分使用系統(tǒng)資源

D.不要從不可信來源下載或執(zhí)行應(yīng)用程序

11.安全專家在對某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root

權(quán)限降低為nobody用戶，以下操作的主要目的是：()［單選題］*

A.為了提高Apache軟件運(yùn)行效率

B.為了提高Apache軟件的可靠性

C.為了避免攻擊者通過Apache獲得root權(quán)限

D.為了減少Apache上存在的漏洞

12.下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是：()［單選題］*

A.能將自身代碼注入到引導(dǎo)區(qū)

B.能將自身代碼注入到扇區(qū)中的文件鏡像

C.能將自身代碼注入文本文件中并執(zhí)行

D.能將自身代碼注入到文檔或模板的宏中代碼

13.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)：()［單選題］*

A.文件隱藏

B.進(jìn)程隱藏

C.網(wǎng)絡(luò)連接隱藏

D.以上都是

14.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進(jìn)行響

應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時(shí)，這種攻擊稱之為：()［單

選題］*

A.Land攻擊

B.Smurf攻擊

C.PingofDeath攻擊

D.ICMPFlood

15.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊()［單選題］*

A.Land

B.UDPFlood

C.Smurf

D.Teardrop

16.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的?

()［單選題］*

A.相比傳輸層的另外一個(gè)協(xié)議UDP,TCP既提供傳輸可靠性，還同時(shí)具有更高的效

率，因此具有廣泛的用途

B.TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)

傳送到正確的主機(jī)

C.TCP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制，因此TCP協(xié)

議能完全替代IP協(xié)議

D.TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低

(正確答案)

17.以下關(guān)于UDP協(xié)議的說法，哪個(gè)是錯(cuò)誤的？()［單選題］*

A.UDP具有簡單高效的特點(diǎn)，常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊

B.UDP協(xié)議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數(shù)據(jù)

包送達(dá)正確的程序

C.相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流

量需求的應(yīng)用數(shù)據(jù)

D.UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用

來傳輸如視頻會話這類需要隱私保護(hù)的數(shù)據(jù)

18.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：()［單選題］*

A.項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)

B.項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對項(xiàng)目涉及的全部工作進(jìn)行有效地管

理，不受項(xiàng)目資源的約束

C.項(xiàng)目管理包括對項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購、

集成的管理

D.項(xiàng)目管理是系統(tǒng)工程思想針對具體項(xiàng)目的實(shí)踐應(yīng)用

19.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生，防范這種攻擊比

較有效的方法是？O［單選題］*

A.加強(qiáng)網(wǎng)站源代碼的安全性

B.對網(wǎng)絡(luò)客戶端進(jìn)行安全評估

C.協(xié)調(diào)運(yùn)營商對域名解析服務(wù)器進(jìn)行加固

D.在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻

20.關(guān)于源代碼審核，下列說法正確的是：()［單選題］*

A.人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)

B.源代碼審核通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可

能導(dǎo)致安全弱點(diǎn)的薄弱之處

C.使用工具進(jìn)行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核

D.源代碼審核是對源代碼檢查分析，檢測并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱

之處(正確答案)

21.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：()［單選

題］*

A.建立環(huán)境

B.實(shí)施風(fēng)險(xiǎn)處理計(jì)劃

C.持續(xù)的監(jiān)視與評審風(fēng)險(xiǎn)

D.持續(xù)改進(jìn)信息安全管理過程

22.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取？()［單選題］*

A.機(jī)構(gòu)的使命

B.機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)

C.機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程

D.機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度

23.在信息系統(tǒng)設(shè)計(jì)階段，“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過程的哪個(gè)階段？()

［單選題］*

A.背景建立

B.風(fēng)險(xiǎn)評估

C.風(fēng)險(xiǎn)處理

D.批準(zhǔn)監(jiān)督

24.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：()［單選題］*

A.組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長期負(fù)責(zé)

B.對重要的工作進(jìn)行分解，分配給不同人員完成

C.一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限

D.防止員工由一個(gè)崗位變動到另一個(gè)崗位，累積越來越多的權(quán)限

25.以下哪一項(xiàng)不屬于常見的風(fēng)險(xiǎn)評估與管理工具：()［單選題］*

A.基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估與管理工具

B.基于知識的風(fēng)險(xiǎn)評估與管理工具

C.基于模型的風(fēng)險(xiǎn)評估與管理工具

D.基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評估與管理工具

26.以下說法正確的是：()［單選題］*

A.驗(yàn)收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗(yàn)收

B.軟件測試的目的是為了驗(yàn)證軟件功能是否正確

C.監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃，并提出審查意見

D.軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段

27.信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)()年進(jìn)行一次等級測評？()［單

選題］*

A.0.5

B.1(1；

C.2

D.3

28.國家科學(xué)技術(shù)秘密的密級分為絕密級、機(jī)密級、秘密級，以下哪項(xiàng)屬于絕密級

的描述？()［單選題］*

A.處于國際先進(jìn)水平，并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的

B.能夠局部反應(yīng)國家防御和治安實(shí)力的

C.我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者

經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝

D.國際領(lǐng)先，并一且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的

29.關(guān)于我國加強(qiáng)信息安全保障工作的總體要求，以下說法錯(cuò)誤的是：()［單選

題］*

A.堅(jiān)持積極防御、綜合防范的方針

B.重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全

C.創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境

D.提高個(gè)人隱私保護(hù)意識

30.根據(jù)《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知》的

規(guī)定，以下正確的是：()［單選題］*

A.涉密信息系統(tǒng)的風(fēng)險(xiǎn)評估應(yīng)按照《信息安全等級保護(hù)管理辦法》等國家有關(guān)保密

規(guī)定和標(biāo)準(zhǔn)進(jìn)行

B.非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦

法》等要求進(jìn)行

C.可委托同一專業(yè)測評機(jī)構(gòu)完成等級測評和風(fēng)險(xiǎn)評估工作，并形成等級測評報(bào)告和

風(fēng)險(xiǎn)評估報(bào)告

D.此通知不要求將“信息安全風(fēng)險(xiǎn)評估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容

31.某單位信息安全崗位員工，利用個(gè)人業(yè)余時(shí)間，在社交網(wǎng)絡(luò)平臺上向業(yè)內(nèi)同不

定期發(fā)布信息安全相關(guān)知識和前沿動態(tài)資訊，這一行為主要符合以下哪一條注冊信

息安全專業(yè)人員(CISP)職業(yè)道德準(zhǔn)則：()［單選題］*

A.避免任何損害CISP聲譽(yù)形象的行為

B.自覺維護(hù)公眾信息安全，拒絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私的行為

C.幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力

D.不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件

32.以下哪一項(xiàng)不是我國信息安全保障的原則：（）［單選題］*

A.立足國情,以我為主，堅(jiān)持以技術(shù)為主（止的答案）

B.正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全

C.統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作

D.明確國家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家

信息安全保障體系

33.下列選項(xiàng)中，哪個(gè)不是我國信息安全保障工作的主要內(nèi)容：（）［單選題］*

A.加強(qiáng)信息安全標(biāo)準(zhǔn)化工作，積極采用“等同采用、修改采用、制定”等多種方

式，盡快建立和完善我國信息安全標(biāo)準(zhǔn)體系

B.建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實(shí)現(xiàn)國家

信息安全自主可控目標(biāo)

C.建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐

D.加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)

34.關(guān)于信息安全管理，說法錯(cuò)誤的是：（）［單選題］*

A.信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)

運(yùn)作的持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。

B.信息安全管理是一個(gè)多層面、多因素的過程，依賴于建立信息安全組織、明確信

息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等

多方面非技術(shù)性的努力。

C.實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。

D.信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過程。

（正確答案）

35.以下哪個(gè)選項(xiàng)不是信息安全需求的來源？（）［單選題］*

A.法律法規(guī)與合同條約的要求

B.組織的原則、目標(biāo)和規(guī)定

C.風(fēng)險(xiǎn)評估的結(jié)果

D.安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警

36.下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：

()［單選題］*

A.確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求

B.確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置

C.確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力

D.確保信息系統(tǒng)的使用已得到授權(quán)

37.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是：()［單選題］*

A.明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望

B.描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔

C.向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評估準(zhǔn)則

D.對系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證

38.小張?jiān)谀硢挝皇秦?fù)責(zé)事信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所

在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評

估工作形式，小張認(rèn)為：1.風(fēng)險(xiǎn)評估工作形式包括：自評估和檢查評估；2.自評估

是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估；3.檢

查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估；

4.對信息系統(tǒng)的風(fēng)險(xiǎn)評估方式只能是“自評估”和“檢查評估”中的一個(gè)，非此即

彼.請問小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：O［單選題］*

A.第一個(gè)觀點(diǎn)

B.第二個(gè)觀點(diǎn)

C.第三個(gè)觀點(diǎn)

D.第四個(gè)觀點(diǎn)

39.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在

行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估

方法。請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：（）［單選題］*

A.風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析

B.定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨

意性

C.定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分的具

體數(shù)字值，因此更具客觀性

D.半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)

對風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化

40.風(fēng)險(xiǎn)評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能

夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗(yàn)知識被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評估過程中的

主要任務(wù)和作用愿理，風(fēng)險(xiǎn)評估工具可以為以下幾類，其中錯(cuò)誤的是：（）［單選

題］*

A.風(fēng)險(xiǎn)評估與管理工具

B.系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具

C.風(fēng)險(xiǎn)評估輔助工具

D.環(huán)境風(fēng)險(xiǎn)評估工具

41.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估活動，我國有關(guān)文件指出：風(fēng)

險(xiǎn)評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項(xiàng)中描述錯(cuò)

誤的是（）［單選題］*

A.自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)

評估

B.自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求

實(shí)施

C.自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)

來實(shí)施

D.周期性的自評估可以在評估流程上適當(dāng)簡化，如重點(diǎn)針對上次評估后系統(tǒng)變化部

分進(jìn)行

42.信息安全風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息

安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦(2006)5

號)中，風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)

工作原則和要求，下面選項(xiàng)中描述正確的是()［單選題］*

A.信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充

工岳安\

B.信息安全風(fēng)險(xiǎn)評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充

C.自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長

期使用

D.自評估和檢查評估是相互排斥的，無特殊理由單位均應(yīng)選擇檢查評估，以保證安

全效果

43.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，

假設(shè)單位機(jī)房的總價(jià)值為200萬元人民幣，暴露系數(shù)(ExposureFactor,EF)是

25%,年度發(fā)生率(AnnualizedRateofOccurrence,ARO)為0.1,那么小王計(jì)算

的年度預(yù)期損失(AnnualizedLossExpectancy,ALE)應(yīng)該是()［單選題］*

A.5萬元人民幣

B.50萬元人民幣

C.2.5萬元人民幣

D.25萬元人民幣

44.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基

礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)

可，在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下中的輸出結(jié)果。

()［單選題］*

A.風(fēng)險(xiǎn)評估準(zhǔn)備階段

B.風(fēng)險(xiǎn)要素識別階段

C.風(fēng)險(xiǎn)分析階段

D.風(fēng)險(xiǎn)結(jié)果判定階段

45.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成功的重要基礎(chǔ)。

某單41位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。

在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如

下()［單選題］*

A.風(fēng)險(xiǎn)評估準(zhǔn)備

B.風(fēng)險(xiǎn)要素識別

C.風(fēng)險(xiǎn)分析

D.風(fēng)險(xiǎn)結(jié)果判定

46.風(fēng)險(xiǎn)要素識別是風(fēng)險(xiǎn)評估實(shí)施過程中的一個(gè)重要步驟，有關(guān)安全要素，請選擇

一個(gè)最合適的選項(xiàng)()［單選題］*

A.識別面臨的風(fēng)險(xiǎn)并賦值

B.識別存在的脆弱性并賦值

C.制定安全措施實(shí)施計(jì)劃

D.檢查安全措施有效性

47.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評估后，形成了若干文擋，下面()中的文擋不應(yīng)屬

于風(fēng)險(xiǎn)評估中“風(fēng)險(xiǎn)評估準(zhǔn)備”階段輸出的文檔。()［單選題］*

A.《風(fēng)險(xiǎn)評估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評估的目的、意義、范圍、目標(biāo)、組

織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容

B.《風(fēng)險(xiǎn)評估方法和工具列表》。主要包括擬用的風(fēng)險(xiǎn)評估方法和測試評估工具等

內(nèi)容

C.《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措

施等內(nèi)容(正確答案)

D.《風(fēng)險(xiǎn)評估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)

險(xiǎn)計(jì)算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容

48.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的

是：()［單選題］*

A.組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文

件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)

B.組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評估報(bào)告等文檔是對上一級文件的執(zhí)行和記

錄，對這些記錄不需要保護(hù)和控制

C.組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布

日期、編寫人、審批人、主要修訂等內(nèi)容

D.層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評估的結(jié)果建立

49.某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房

設(shè)計(jì)規(guī)范》(GB50174-2008)的相關(guān)要求，對承建單位的施工設(shè)計(jì)方案進(jìn)行審核，

以下關(guān)于監(jiān)理單位給出的審核意見錯(cuò)誤的是：()［單選題］*

A.在異地建立備份機(jī)房時(shí)，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級相同

B.由于高端小型機(jī)發(fā)熱量大，因此采用活動地板上送風(fēng)，下回風(fēng)的方式

C.因機(jī)房屬于A級主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生

故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要

D.A級主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)

50.在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記

錄、國家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對信息化工程進(jìn)行安全()檢查，以驗(yàn)證

項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級要求。O［單選題］*

A.功能性

B.可用性

C.保障性

D.符合(正確答窠)

51.下系統(tǒng)工程說法錯(cuò)誤的是：()［單選題］*

A.系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)

B.系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法

C.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法

D.系統(tǒng)工程是一種方法論

52.組織建立業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的作用包括：()［單選題］*

A.在遭遇災(zāi)難事件時(shí)?，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性，完整性和一致性；

B.提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，快速恢復(fù)操作系統(tǒng)、應(yīng)

用和數(shù)據(jù)；

C.保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí)，能夠持續(xù)服務(wù)，確保

業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；

D.以上都是?！?/p>

53.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是：()［單選題］*

A.讓系統(tǒng)自己處理異常

B.調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來

C.捕獲錯(cuò)誤，并拋出前臺顯示

D.捕獲錯(cuò)誤，只顯示簡單的提示信息，或不顯示任何信息

54.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？()［單選題］*

A.確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對風(fēng)險(xiǎn)的防護(hù)措施

B.編制和管理應(yīng)急響應(yīng)計(jì)劃

C.建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源

D.評估事件的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)

55.關(guān)于秘鑰管理，下列說法錯(cuò)誤的是：()［單選題］*

A.科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性

B.保密通信過程中，通信方使用之前用過的會話秘鑰建立會話，不影響通信安全

(正確答案)

C.秘鑰管理需要考慮秘鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的

每—^環(huán)節(jié)

D.在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話秘鑰

56.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶登錄時(shí)，認(rèn)證服務(wù)器(Authentication

Server,AS)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種

子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計(jì)算

后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。()［單選題］*

A.口令序列

B.時(shí)間同步

C.挑戰(zhàn)/應(yīng)答「

D.靜態(tài)口令

57.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放

了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為

一名檢測人員，你需要告訴用戶對應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問

題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題：()［單選題］*

A.SSH

B.HTTP

C.FTP

D.SMTP

58.以下哪個(gè)屬性不會出現(xiàn)在防火墻的訪問控制策略配置中？［單選題］*

A.本局域網(wǎng)內(nèi)地址

B.百度服務(wù)器地址

C.HTTP協(xié)議

D.病毒類型

59.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口

令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進(jìn)行檢測，

在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s—x—X1testtdst10704apr15

2002/home/test/sh請問以下描述哪個(gè)是正確的：()［單選題］*

A.該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)

行

B.該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該

文件

C.該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root,test用戶間接獲

得了root權(quán)限

D.該文件是一個(gè)后門程序，由于所有者是test,因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)

限為test

60.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，

用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出

后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是：（）［單選題］*

A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增

大，產(chǎn)生此安全問題

B.網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面

增大，產(chǎn)生此問題

C.網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，

產(chǎn)生此安全問題

D.網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站

攻擊面增大，產(chǎn)生此問題

61.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安

全，項(xiàng)目開發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證

書的身份認(rèn)證功能，同時(shí)用戶口令使用SHAT算法加密后存放在后臺數(shù)據(jù)庫中，

請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：（）［單選題］*

A.最小特權(quán)原則

B.職責(zé)分離原則

C.縱深防御原則（正確答案）

D.最少共享機(jī)制原則

62.以下關(guān)于威脅建模流程步驟說法不正確的是（）［單選題］*

A.威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅

B.評估威脅是對威脅進(jìn)行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)

的受損后果，并計(jì)算風(fēng)險(xiǎn)

C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，

可以通過重新設(shè)計(jì)直接消除威脅、，或設(shè)計(jì)采用技術(shù)手段來消減威脅。

D.識別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。

確答案）

63.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測

試，以下關(guān)于滲透測試過程的說法不正確的是()［單選題］*

A.由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測試前要提醒用戶進(jìn)行系

統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)

B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價(jià)值在于可以測試

軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況

C.滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟

D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透

測試，

64.有關(guān)能力成熟度模型(CMM)錯(cuò)誤的理解是()［單選題］*

A.CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會在一定

程度上提高質(zhì)量、生產(chǎn)率和利潤率

B.CMM的思想來源于項(xiàng)目管理和質(zhì)量管理

C.CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法

D.CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過程

的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”

65.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安

全配置()［單選題］*

A.不在Windows下安裝Apache,只在Linux和Unix下安裝

B.安裝Apache時(shí)，只安裝需要的組件模塊

C.不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬

號來運(yùn)行

D.積極了解Apache的安全通告，并及時(shí)下載和更新

66.某公司開發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)

據(jù)包時(shí)總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會有3

到5個(gè)字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是()［單選題］*

A.該網(wǎng)站軟件存在保密性方面安全問題

B.該網(wǎng)站軟件存在完整性方面安全問題

C.該網(wǎng)站軟件存在可用性方面安全問題

D.該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題

67.信息安全保障是網(wǎng)絡(luò)時(shí)代各國維護(hù)國家安全和利益的首要任務(wù)，以下哪個(gè)國家

最早將網(wǎng)絡(luò)安全上長升為國家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計(jì)劃。()［單選題］*

A.中國

B.俄羅斯

C.美國

D.英國

68.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成

效，關(guān)于我國信息安全實(shí)踐工作，下面說法錯(cuò)誤的是0()［單選題］*

A.加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”制訂和發(fā)

布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。

B.重視信息安全應(yīng)急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中

心”推動了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展

C.推進(jìn)信息安全等級保護(hù)工作，研究制定了多個(gè)有關(guān)信息安全等級保護(hù)的規(guī)范和標(biāo)

準(zhǔn)，重點(diǎn)保障了關(guān)系國定安全，經(jīng)濟(jì)命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性

D.實(shí)施了信息安全風(fēng)險(xiǎn)評估工作，探索了風(fēng)險(xiǎn)評估工作的基本規(guī)律和方法，檢驗(yàn)并

修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊(duì)伍

69.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的

信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份

信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是()［單選題］*

A、信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)

B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者(用戶)的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)

化的語言來描述信息系統(tǒng)安全保障需求

C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)

準(zhǔn)的合規(guī)性要求得到

D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案

70.對系統(tǒng)工程(SystemsEngineering,SE)的理解，以下錯(cuò)誤的是：()［單選

題］*

A.系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究

B.系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論

C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法

D.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法

71.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：()［單選題］

*

A.要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，

堅(jiān)持管理與技術(shù)并重

B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方

C.在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)

D.在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個(gè)人的積極性，不能忽視

任何一方的作用。

72.年，RFC4301(RequestforComments4301:SecurityArchitectureforthe

InternetProtocol)發(fā)布,用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec

系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層(IPv4/IPv6)位流量提供安全業(yè)務(wù)。請問此類

RFC系列標(biāo)準(zhǔn)建議是由下面哪個(gè)組織發(fā)布的()［單選題］*

A.國際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization,ISO)

B.國際電工委員會(InternationalElectrotechnicalCommission,IEC)

C.國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織(ITUTelecommunicationStandardization

Secctor,ITU-T)

D.Internet工程任務(wù)組(InternetEngineeringTaskForce,IETF)

73.GB/T1833《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)

定義了保護(hù)輪廊(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST)的

評估準(zhǔn)則，提出了評估保證級(EvaluationAssuranceLevel,EAL),其評估保證

級共分為()個(gè)遞增的評估保證等級。()［單選題］*

A.4

B.5

C.6

D.7

74.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述

錯(cuò)誤的是()［單選題］*

A.信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對各種安全意外事件的發(fā)生所采取

的防范措施。即包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對措施

B.應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識

經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作

C.應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部

分工作：安全事件發(fā)生時(shí)的正確指揮、事件發(fā)生后全面總結(jié)

D.應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒

事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性

75.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成

六個(gè)階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段：關(guān)閉信息系統(tǒng)、和/或修改

防火墻和路由器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻

破的登錄賬號等()［單選題］*

A.準(zhǔn)備階段

B.遏制階段

C.根除階段

D.檢測階段

76.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的

方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面找描述中錯(cuò)誤的是()

［單選題］*

A.所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固

定、靜止不變的

B.使用靜態(tài)口令方案時(shí)，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然

可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊

C.動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地

收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令

D.通常，動態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型

77.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前

市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為（）

［單選題］*

A.UTM（H

B.FW

C.IDS

D.SOC

78.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)

部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會

及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，

更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實(shí)現(xiàn)以下哪

種功能（）［單選題］*

A.檢測并分析用戶和系統(tǒng)的活動

B.核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

C.防止IP地址欺騙

D.識別違反安全策略的用戶活動

79.GaryMcGraw博士及其合作者提出軟件安全BSI模型應(yīng)由三根支柱來支撐，

這三個(gè)支柱是（）［單選題］*

A.源代碼審核、風(fēng)險(xiǎn)分析和滲透測試

B.風(fēng)險(xiǎn)管理、安全接觸點(diǎn)和安全知識

C.威脅建模、滲透測試和軟件安全接觸點(diǎn)

D.威脅建模、源代碼審核和模糊測試

80.以下哪一項(xiàng)不是常見威脅對應(yīng)的消減措施：()［單選題］*

A.假冒攻擊可以采用身份認(rèn)證機(jī)制來防范

B.為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完

整性

C.為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息、，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵

賴

D.為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限

81.以下關(guān)于模糊測試過程的說法正確的是：()［單選題］*

A.模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)

B.為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄，系

統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試

C.通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果

是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議

D.對于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告

82.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)

災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項(xiàng)不屬于該

工作原則()［單選題］*

A.統(tǒng)籌規(guī)劃

B.分組建設(shè)

C.資源共享

D.平戰(zhàn)結(jié)合

83.關(guān)于信息安全管理體系(InformationSecurityManagementSystems,ISMS),

下面描述錯(cuò)誤的是()［單選題］*

A.信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完

成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實(shí)踐要素

(正確答案)

B.管理體系(ManagementSystems)是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資

源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用

C.概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按

照IS027001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分

D.同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)，健全

信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識等內(nèi)容

84.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機(jī)，按

照密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于()［單選題］*

A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技術(shù)來設(shè)計(jì)密碼，而不是憑

借推理和證明，常用的密碼運(yùn)算方法包括替代方法和轉(zhuǎn)換方法()

B、近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼

設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備(正確答案)

C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”

為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索

D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)

歷

85.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，

假設(shè)單位機(jī)房的總價(jià)值為400萬元人民幣，暴露系數(shù)是25%,年度發(fā)生率為

0.2,那么小王計(jì)算的年度預(yù)期損失應(yīng)該是()［單選題］*

A、100萬元人民幣

B、400萬元人民幣

C、20萬元人民幣，”；不

D、180萬元人民幣

86.小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及

金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理風(fēng)

險(xiǎn)，請問這種風(fēng)險(xiǎn)處置的方法是()［單選題］*

A、降低風(fēng)險(xiǎn)

B、規(guī)避風(fēng)險(xiǎn)

C、放棄風(fēng)險(xiǎn)

D、轉(zhuǎn)移風(fēng)險(xiǎn)

87.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）［單選題］*

A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對

信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響事件

B、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保

護(hù)，這就使得信息安全事件的發(fā)生是不可能的

C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在

事件發(fā)生后所采取的措施

I）、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜

性志專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作

88.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)?，均要求產(chǎn)品需通過安全測

評，關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是（）［單選題］*

A、有助于建立和實(shí)施信息安全產(chǎn)品的市場準(zhǔn)入制度

B、對用戶采購信息安全產(chǎn)品、設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)

公正的專業(yè)指導(dǎo)

C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范

引導(dǎo)和質(zhì)量監(jiān)督

I）、打破市場壟斷，為信息安全產(chǎn)品發(fā)展創(chuàng)造一個(gè)良好的競爭環(huán)境

89.若一個(gè)組織聲稱自己的ISMS符合IS0/TEC27001或GB22080標(biāo)準(zhǔn)要求，其

信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)（）［單選題］*

A、信息安全方針、信息安全組織、資產(chǎn)管理

B、人力資源安全、物理和環(huán)境安全、通信和操作管理

C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性

D、規(guī)劃與建立ISMS

90.信息安全事件和分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)自信

安全事件分類分級指南》，信息安全事件分為7個(gè)基本類別，描述正確的是（）

［單選題］*

A、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施

故障、災(zāi)害性事件和其他信息安全事件

B、網(wǎng)絡(luò)貢獻(xiàn)事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備

設(shè)施故障、災(zāi)害性事件和其他信息安全事件

C、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施

故障、災(zāi)害性事件和其他信息安全事件

D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備

設(shè)施故障、災(zāi)害性事件和其他信息安全事件

91.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根

據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風(fēng)險(xiǎn)

管理的相關(guān)理論，他這個(gè)是掃描活動屬于下面哪一個(gè)階段的工作()［單選題］*

A、風(fēng)險(xiǎn)分析

B、風(fēng)險(xiǎn)要素識別

C、風(fēng)險(xiǎn)結(jié)果判定

D、風(fēng)險(xiǎn)處理

92.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了一下年度的培訓(xùn)工作計(jì)劃、提

出了四大培訓(xùn)任務(wù)目標(biāo)，關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中

正確的是()［單選題］*

A、由于網(wǎng)絡(luò)安全上升到國家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因

此安排了對集團(tuán)公司下屬公司的總經(jīng)理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)

B、對下級單位的網(wǎng)絡(luò)安全管理人員實(shí)施全面安全培訓(xùn)，計(jì)劃全員通過CISP持證

培訓(xùn)以確保人員能力得到保障

C、對其他信息化相關(guān)人員(網(wǎng)絡(luò)管理員、軟件開發(fā)人員)也進(jìn)行安全基礎(chǔ)培訓(xùn)，使

相關(guān)人員對網(wǎng)絡(luò)安全有所了解

D、對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，安全全員信息安全意識教

育

93.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的

不規(guī)則性，事先創(chuàng)定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻

止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急

響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理

過程分為6個(gè)階段，為準(zhǔn)備一檢測一遏制根除一恢復(fù)一跟蹤總結(jié)。請問下列說

法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是O［單選題］*

A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程

中最關(guān)鍵的步驟

B、在檢測階段，首先要進(jìn)行監(jiān)測、報(bào)告及信息收集

C、遏制措施可能會因?yàn)槭录念悇e和級別不同而完全不同。常見的遏制措施有完

全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等

I）、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相

關(guān)的系統(tǒng)

94.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目?？傮w目標(biāo)就是用于交換式千

兆以太網(wǎng)為主干，超五類雙絞線作水平布線，由大型交換機(jī)和路由器連通幾個(gè)主要

的工作區(qū)域，在各區(qū)域建立一個(gè)閉路電視監(jiān)控系統(tǒng)，再把信號通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)

控中心，其中對交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一個(gè)不可缺少的步驟，下

面對于交換機(jī)和路由器的安全配置，操作錯(cuò)誤的是（）［單選題］*

A、保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)?。?/p>

B、控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口

C、帶外管理交換機(jī)，如果不能實(shí)現(xiàn)的話，可以利用單獨(dú)的VLAN號進(jìn)行帶內(nèi)管理

D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)

95.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登陸過程是這樣的：（1）用戶通過HTTP協(xié)議訪

問信息系統(tǒng)；（2）用戶在登陸頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查

用戶名和密碼的正確性，如果正確，則鑒別完成。可以看出，這個(gè)鑒別過程屬于

（）［單選題］*

A.單向鑒別

B.雙向鑒別

C.三向鑒別

D.第三方鑒別

96.PKI的主要理論基礎(chǔ)是（）［單選題］*

A.對稱密碼算法

B.公鑰密碼算法

C.量子密碼

D.摘要算法

97.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動是（）［單選題］*

A.制定業(yè)務(wù)連續(xù)性策略

B.進(jìn)行業(yè)務(wù)影響分析

C.進(jìn)行災(zāi)難恢復(fù)演練

D.構(gòu)建災(zāi)備系統(tǒng)

98.防止非法授權(quán)訪問數(shù)據(jù)文件的控制措施，哪項(xiàng)是最佳的方式（）［單選題］*

A.自動文件條目

B.磁帶庫管理程序

C.訪問控制軟件正確笞案）

D.鎖定庫

99.白盒測試的具體優(yōu)點(diǎn)是：（）［單選題］*

A.其檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行

B.在不知程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效

C.其確定程序準(zhǔn)確性成某程序的特定邏輯路徑的狀態(tài)

D.其通過嚴(yán)格限制訪問主機(jī)系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對程序功能的檢查

100.為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)?，最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備

份的方法是：（）［單選題］*

A.文件映像處理（正確案）

B.電子鏈接

C.硬盤鏡像

D.熱備援中心配置

101.組織內(nèi)人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績

效、考核、獎(jiǎng)勵(lì)等事宜。所有員工都可以登錄系統(tǒng)完成相關(guān)需要員工配合的工作,

以下哪項(xiàng)技術(shù)可以保證數(shù)據(jù)的保密性：()［單選題］*

A.SSL加密

B.雙因子認(rèn)證

C.加密會話cookie

D.IP地址校驗(yàn)

102.強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性

來決定一個(gè)主體是否可以訪問某個(gè)客體，具有較高的安全性，適用于專用或?qū)Π踩?/p>

性較高的系統(tǒng)。強(qiáng)制訪問控制模型有多種類型,如BLP、Biba、Clark-Willson和

ChineseWall等。小李自學(xué)了BLP模型，并對該模型的特點(diǎn)進(jìn)行了總結(jié)。以下