NISP認(rèn)證考試真題匯總題庫(kù)（含答案）

PAGEPAGE1NISP認(rèn)證考試真題匯總題庫(kù)（含答案）一、單選題1.攻擊者通過向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上ARP緩存，形成一個(gè)錯(cuò)誤的IP地

址<->MAC地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)送數(shù)據(jù)時(shí)封裝錯(cuò)誤的MAC地址。欺騙攻擊過程如下圖所

示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過程（）A、ARPB、IPC、DNSD、SN答案：A2.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一答案：C解析：C是片面的，應(yīng)為技管并重。3.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一

些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ〢、由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對(duì)本次攻擊進(jìn)行取

證B、由于公司缺乏備用硬盤,因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來進(jìn)行取證C、由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請(qǐng)采購(gòu)與服務(wù)器硬盤同一型號(hào)的硬盤用于存儲(chǔ)恢復(fù)出來的數(shù)據(jù)D、由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作答案：B4.以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作答案：A5.軟件安全開發(fā)微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，關(guān)于此項(xiàng)錯(cuò)誤的事是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)答案：D解析：針對(duì)抵賴攻擊措施是安全審計(jì)和數(shù)字簽名。6.安全保障為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是（）A、信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案答案：D7.下列選項(xiàng)中，對(duì)物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是（）A、物理安全確保了系統(tǒng)在對(duì)信息進(jìn)行采集、傳輸、處理等過程中的安全B、物理安全面對(duì)是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng)，是一個(gè)非常關(guān)鍵的領(lǐng)域C、物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D、影響物理安全的因素不僅包含自然因素，還包含人為因素答案：A8.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用答案：B解析：由于備份會(huì)造成個(gè)人穩(wěn)私和其它敏感信息的擴(kuò)散。9.隨著人們信息安全意識(shí)的不斷增強(qiáng)，版權(quán)保護(hù)也受到越來越多的關(guān)注。在版權(quán)保護(hù)方面國(guó)內(nèi)外使用較為廣泛的是數(shù)字對(duì)象標(biāo)識(shí)符DOI(DigitalObjectIdentifier)系統(tǒng)，它是由非贏利性組織國(guó)際DOI基金會(huì)IDF(InternationalDOIFoundation)研究設(shè)計(jì)的，在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示，則下面對(duì)于DOI系統(tǒng)認(rèn)識(shí)正確

的是（）

A、DOI是一個(gè)暫時(shí)性的標(biāo)識(shí)號(hào)，由IntermationalDOIFoundation管理B、DOI的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新C、DOI命名規(guī)則中前綴和后綴兩部之間用“；”分開D、DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式答案：B10.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是（）。A、信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施。即包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對(duì)措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)是組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部分工作：安全事件發(fā)生時(shí)的正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性答案：C解析：應(yīng)急響應(yīng)是安全事件發(fā)生前的充分準(zhǔn)備和事件發(fā)生后的響應(yīng)處理。11.【3】CISP復(fù)習(xí)題（3）100題_2020版最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專家，請(qǐng)指出是哪一個(gè)?A、軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫(kù)數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫(kù)備份操作員賬號(hào)連接數(shù)據(jù)庫(kù)C、軟件的日志模塊由于要向數(shù)據(jù)庫(kù)中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫(kù)，該賬號(hào)僅對(duì)日志表?yè)碛袡?quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤答案：D解析：SYSTEM權(quán)限是最大權(quán)限，答案為D。12.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：A、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中B、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長(zhǎng)日志覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間答案：A解析：操作系統(tǒng)安全13.微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關(guān)于此項(xiàng)安全要求，下面描述錯(cuò)誤的是（）A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B、解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C、R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高D、解決R威脅，也應(yīng)按照確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來進(jìn)行答案：C解析：S欺騙、T篡改、R抵賴、I信息泄露、D拒絕服務(wù)、E權(quán)限攻擊。

并無嚴(yán)重程度之分。14.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實(shí)施（GenericPractices，GP）錯(cuò)誤理解是：A、GP是涉及過程的管理、測(cè)量和制度化方面的活動(dòng)B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）的活動(dòng)而非所有PA的活動(dòng)C、在工程實(shí)施時(shí)，GP應(yīng)該作為基本實(shí)施（BasePractices，BP）的一部分加以執(zhí)行D、在評(píng)估時(shí)，GP用于判定工程組織執(zhí)行某個(gè)PA的能力答案：B15.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP答案：A解析：網(wǎng)絡(luò)安全16.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：A、在網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中B、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長(zhǎng)日志覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間答案：A17.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的：A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙答案：C解析：技術(shù)越新，安全風(fēng)險(xiǎn)成比例上升。

密碼基礎(chǔ)18.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等答案：D解析：D屬于物理安全，而不屬于應(yīng)用安全。19.1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的（），它可以作為一個(gè)正式認(rèn)證方案的（）。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及（）的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全答案：A20.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的而運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上答案：B解析：三級(jí)及以上（含），三級(jí)以上。21.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A、組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B、對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C、一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)、防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來越多的權(quán)限答案：C解析：C是“最小特權(quán)”的答案：解析；A描述的是輪崗；B描述的是權(quán)限分離；D描述的是防止權(quán)限蔓延。22.風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)佑的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用愿理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是：A、風(fēng)險(xiǎn)評(píng)估與管理工具B、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C、風(fēng)險(xiǎn)評(píng)估輔助工具D、環(huán)境風(fēng)險(xiǎn)評(píng)估工具答案：D23.風(fēng)險(xiǎn)評(píng)估的過程包括()、()、()和()四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中,風(fēng)險(xiǎn)評(píng)估建立階段的輸出,形成本階段的最終輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》,此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。()風(fēng)險(xiǎn)評(píng)估的四個(gè)階段。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別;風(fēng)險(xiǎn)分析;監(jiān)控審查;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢B、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別;監(jiān)控審查;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢C、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備;監(jiān)控審查;風(fēng)險(xiǎn)要素識(shí)別;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢D、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備;風(fēng)險(xiǎn)要素識(shí)別:風(fēng)險(xiǎn)分析:風(fēng)險(xiǎn)結(jié)果判定監(jiān)控審查,溝通咨詢答案：D24.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要基礎(chǔ)，按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》答案：B解析：風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、已有安全措施。25.某單位計(jì)劃在今年開發(fā)一套辦公自動(dòng)化（ＯA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在ＯA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請(qǐng)指出大家提的建議中不太合適的一條：A、對(duì)軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識(shí)C、要求軟件開發(fā)商使用Ｊａｖａ而不是AＳＰ作為開發(fā)語言，避免ＳＱＬ注入漏洞D、要求軟件開發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)答案：C解析：SQL注入與編碼SQL語法應(yīng)用和過濾有關(guān)，與開發(fā)語言不是必然關(guān)系。26.關(guān)于Kerberos認(rèn)證協(xié)議，以下說法錯(cuò)誤的是：A、只要用戶拿到了認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼B、認(rèn)證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS）是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全C、該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三個(gè)階段，僅支持服務(wù)器對(duì)用戶的單向認(rèn)證D、該協(xié)議是一種基于對(duì)稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜答案：C27.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年底前實(shí)現(xiàn)系統(tǒng)上線運(yùn)營(yíng)，二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理，招標(biāo)文件經(jīng)管理層審批后發(fā)布。就此工程項(xiàng)目而言，以下正確的是A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：B28.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都具有訪問權(quán)限答案：C解析：一個(gè)用戶可以屬于多個(gè)組。29.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問題，以下說法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測(cè)試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響答案：C30.在Windows系統(tǒng)中，管理權(quán)限最高的組是：A、everyoneB、administratorsC、powerusersD、users答案：B31.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure,CII）包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失。答案：C32.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)?A、滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效率更高C、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確D、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多答案：A解析：軟件安全開發(fā)33.2008年1月2日，美目發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（prehensiveNationalCybersecurityInitiative，CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D、CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障答案：A解析：安全保障34.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法答案：A解析：本題目中安全登錄會(huì)涉及到賬號(hào)密碼為實(shí)體所知，智能卡和短信是實(shí)體所有。35.網(wǎng)絡(luò)安全以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能?A、IP地址欺騙防護(hù)B、NATC、訪問控制D、SQL注入攻擊防護(hù)答案：D36.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動(dòng),用檢錯(cuò)或糾錯(cuò)技術(shù)來確保正確的傳輸,確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A、報(bào)文B、比特流C、幀D、包答案：C37.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是：A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：A解析：B資產(chǎn)是抽樣評(píng)估，C指的是等級(jí)保護(hù)測(cè)評(píng)而不是風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)管理38.軟件安全開發(fā)為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過程的說法不正確的是A、由于在實(shí)際滲透測(cè)試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測(cè)試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試答案：D39.火災(zāi)是機(jī)房日常運(yùn)營(yíng)中面臨最多的安全威脅之一，火災(zāi)防護(hù)的工作是通過構(gòu)建火災(zāi)預(yù)防、檢測(cè)和響應(yīng)系統(tǒng)，保護(hù)信息化相關(guān)人員和信息系統(tǒng)，將火災(zāi)導(dǎo)致的影響降低到可接受的程度。下列選項(xiàng)中，對(duì)火災(zāi)的預(yù)防、檢測(cè)和抑制的措施描述錯(cuò)誤的選項(xiàng)是（）。A、將機(jī)房單獨(dú)設(shè)置防火區(qū)，選址時(shí)遠(yuǎn)離易燃易爆物品存放區(qū)域，機(jī)房外墻使用非燃燒材料，進(jìn)出機(jī)房區(qū)域的門采用防火門或防火卷簾，機(jī)房通風(fēng)管設(shè)防火栓B、火災(zāi)探測(cè)器的具體實(shí)現(xiàn)方式包括；煙霧檢測(cè)、溫度檢測(cè)、火焰檢測(cè)、可燃?xì)怏w檢測(cè)及多種檢測(cè)復(fù)合等C、自動(dòng)響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時(shí)設(shè)立兩組獨(dú)立的火災(zāi)探測(cè)器，只要有一個(gè)探測(cè)器報(bào)警，就立即啟動(dòng)滅火工作D、前在機(jī)房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等答案：C40.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段答案：D41.關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，下列說法不正確的是：A、數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)B、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤上保存起來，是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交答案：D解析：利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為回滾。42.賬號(hào)鎖定策略中對(duì)超過一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊答案：C解析：安全攻防43.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過信息系統(tǒng)安全保障評(píng)估所搜集的（），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是（）,信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（）的信心。A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期答案：B44.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下()中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定答案：B45.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動(dòng)是：A、建立環(huán)境B、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃C、持續(xù)的監(jiān)視與評(píng)審風(fēng)險(xiǎn)D、持續(xù)改進(jìn)信息安全管理過程答案：D解析：持續(xù)改進(jìn)信息安全管理過程屬于處置(ACT)階段。46.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是：A、霍爾三維機(jī)構(gòu)體系形成地描述了系統(tǒng)工程研究的框架B、時(shí)間維表示系統(tǒng)工程活動(dòng)從開始到結(jié)束按照時(shí)間順序排列的全過程C、邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)D、知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)和藝術(shù)等各種知識(shí)和技能答案：C解析：霍爾三維模型是一種系統(tǒng)思想，無法實(shí)現(xiàn)嚴(yán)格的對(duì)應(yīng)。47.在Windows文件系統(tǒng)中，_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3答案：B48.下面對(duì)“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年１月１日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案：D49.應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫(kù)防護(hù)策略，以下不屬于數(shù)據(jù)庫(kù)防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫(kù)軟件安全補(bǔ)丁B、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng)D、定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良好答案：D解析：D屬于運(yùn)行安全操作，不屬于安全防護(hù)策略。50.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A、信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄等生命周期密切相關(guān)B、信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C、信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D、信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其業(yè)務(wù)使命答案：B解析：信息系統(tǒng)安全保障要素為技術(shù)工程管理和人員四個(gè)領(lǐng)域。信息系統(tǒng)安全保障的安全特征是完整、保密和可用性。51.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊答案：D解析：安全攻防52.軟件安全開發(fā)業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來C、捕獲錯(cuò)誤，并拋出前臺(tái)顯示D、捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息答案：D53.下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是______。A、如果用戶、開發(fā)者、評(píng)估者和認(rèn)可者都使用CC語言，互相就容易理解溝通B、通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全測(cè)試評(píng)估都具有重要意義C、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要D、通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估答案：D解析：信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估是SSE-CMM，CC標(biāo)準(zhǔn)是對(duì)產(chǎn)品的安全開發(fā)、選型、評(píng)估。法規(guī)政策與標(biāo)準(zhǔn)54.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）。A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的答案：A55.信息安全管理體系也采用了（）模型可應(yīng)用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的（），產(chǎn)生滿足這些要求和期望的（）。A、ISMS：PDCA過程；行動(dòng)和過程；信息安全結(jié)果B、PDCA；ISMS過程；行動(dòng)和過程；信息安全結(jié)果C、ISMS：PDCA過程；信息安全結(jié)果；行動(dòng)和過程D、PDCA；ISMS過程；信息安全結(jié)果；行動(dòng)和過程答案：B56.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處的李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩膩先幫我把密碼改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強(qiáng)發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請(qǐng)問下淚說法哪個(gè)是正確的A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題B、事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)購(gòu)買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)郵件服務(wù)軟件答案：C57.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案：D解析：A屬于可用性；B保密性；C屬于完整性。58.CISP模擬考試題有答案關(guān)于我國(guó)加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤的是：A、立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國(guó)家安全答案：D59.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃,提出了四大培訓(xùn)任務(wù)和目標(biāo),關(guān)于這四

個(gè)培訓(xùn)任務(wù)和目標(biāo),作為主管領(lǐng)導(dǎo),以下選項(xiàng)中正確的是()A、由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度,因此網(wǎng)絡(luò)安全必須得到足夠的重視,因此安排了對(duì)集團(tuán)公司下屬公司的總經(jīng)

理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)B、對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn),計(jì)劃全員通過CISP持證培訓(xùn)以確保人員能力得到保障C、對(duì)其他信息化相關(guān)人員(網(wǎng)絡(luò)管理員、軟件開發(fā)人員)也進(jìn)行安全基礎(chǔ)培訓(xùn),使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解D、對(duì)全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn),實(shí)現(xiàn)全員信息安全意識(shí)教育答案：A60.以下哪一項(xiàng)不屬于常見的風(fēng)險(xiǎn)評(píng)估與管理工具：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具答案：D解析：D基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估工具不存在。61.信息安全工程有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實(shí)施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法B、BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)答案：A62.金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購(gòu)物，從安全角度看，下面哪項(xiàng)是不好的習(xí)慣：A、使用專用上網(wǎng)購(gòu)物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件，應(yīng)用軟件進(jìn)行升級(jí)B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)答案：A解析：A為正確答案。63.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識(shí)別的主要過程使用圖形來表示，如下圖所示，請(qǐng)為圖中空白框處選擇一個(gè)最合適的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性答案：B64.我國(guó)信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是：A、建全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐C、建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)答案：C解析：實(shí)現(xiàn)自主創(chuàng)新在過去的的保障中為自主可控。65.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)

據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，

有意或無意產(chǎn)生的缺陷答案：C66.hash算法的碰撞是指:A、兩個(gè)不同的消息，得到相同的消息摘要B、兩個(gè)相同的消息，得到不同的消息摘要C、消息摘要和消息的長(zhǎng)度相同D、消息摘要比消息長(zhǎng)度更長(zhǎng)答案：A67.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了答案：C解析：A錯(cuò)誤，因?yàn)椴罘謧浞菔巧洗稳珎浜蟮母聰?shù)據(jù)；增量備份是任何上一次備份后的更新數(shù)據(jù)。全備份周期最長(zhǎng)、次之差分備份，更新周期最短是增量備份。B錯(cuò)誤，我國(guó)災(zāi)備能力級(jí)別一共分為6級(jí)。D是明顯的錯(cuò)誤。68.關(guān)于秘鑰管理，下列說法錯(cuò)誤的是：A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性B、保密通信過程中，通信方使用之前用過的會(huì)話秘鑰建立會(huì)話，不影響通信安全C、秘鑰管理需要考慮秘鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷等生命周期過程的每一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會(huì)話秘鑰答案：B解析：通信方使用之前用過的會(huì)話秘鑰建立會(huì)話，會(huì)影響通信安全。69.防止非法授權(quán)訪問數(shù)據(jù)文件的控制措施，哪項(xiàng)是最佳的方式：A、自動(dòng)文件條目B、磁帶庫(kù)管理程序C、訪問控制軟件D、鎖定庫(kù)答案：C70.CISP必須練習(xí)題100題（二）含解析美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施(criticalInformationInfrastructure，CII)包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失答案：C解析：安全保障71.以下對(duì)Windows系統(tǒng)的服務(wù)描述，正確的是：A、Windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、Windows服務(wù)的運(yùn)行不需要用戶的交互登陸C、Windows服務(wù)都是隨系統(tǒng)啟動(dòng)而啟動(dòng)，無需用戶進(jìn)行干預(yù)D、Windows服務(wù)都需要用戶進(jìn)行登陸后，以登錄用戶的權(quán)限進(jìn)行啟動(dòng)答案：B72.信息安全事件和分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)自信安全事件分類分級(jí)指南》，信息安全事件分為7個(gè)基本類別，描述正確的是（）A、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件B、網(wǎng)絡(luò)貢獻(xiàn)事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件C、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件答案：A解析：根據(jù)標(biāo)準(zhǔn)知識(shí)點(diǎn)，安全事件分為：有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。73.下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是______。A、如果用戶、開發(fā)者、評(píng)估者和認(rèn)可者都使用CC語言，互相就容易理解溝通B、通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全測(cè)試評(píng)估都具有重要意義C、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要D、通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估答案：A74.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是：A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度答案：D解析：風(fēng)險(xiǎn)管理75.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)？A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接答案：D76.對(duì)于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)?A、ISO／IEC15408B、802．11C、GB／T20984D、X.509答案：D解析：密碼學(xué)應(yīng)用77.對(duì)系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯(cuò)誤的是：A、系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營(yíng)管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論C、系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實(shí)驗(yàn)、使用的科學(xué)方法答案：C解析：系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法78.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理，實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系.C、與特定利益集團(tuán)的聯(lián)系。信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問題答案：D79.信息安全保障以下哪一項(xiàng)不是我國(guó)信息安全保障的原則：A、立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系答案：A解析：堅(jiān)持技術(shù)和管理并重。80.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D、用戶使用集成電器卡（如智能卡）完成身份鑒別答案：D81.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來C、捕獲錯(cuò)誤，并拋出前臺(tái)顯示D、捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息答案：D解析：D為正確的處理方法。82.【1】CISP復(fù)習(xí)題（1）100題_2020版依據(jù)國(guó)家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的答案：D解析：GB/T20274信息系統(tǒng)保障評(píng)估框架從管理、技術(shù)、工程和總體方面進(jìn)行評(píng)估。83.下列軟件開發(fā)模型中,支持需求不明確,特別是大型軟件系統(tǒng)的開發(fā),并支持多種軟件開發(fā)方法的模型是（）A、原型模型B、瀑布模型C、噴泉模型D、螺旋模型答案：D84.以下關(guān)于信息安全工程說法正確的是：A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B、信息化建設(shè)可以實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)答案：C解析：C為安全工程的同步規(guī)劃、同步實(shí)施原則。85.下列哪一些對(duì)信息安全漏洞的描述是錯(cuò)誤的?A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。C、具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)答案：D86.某單位信息安全崗位員工，利用個(gè)人業(yè)余時(shí)間，在社交網(wǎng)絡(luò)平臺(tái)上向業(yè)內(nèi)同不定期發(fā)布信息安全相關(guān)知識(shí)和前沿動(dòng)態(tài)資訊，這一行為主要符合以下哪一條注冊(cè)信息安全專業(yè)人員（CISP）職業(yè)道德準(zhǔn)則：A、避免任何損害CISP聲譽(yù)形象的行為B、自覺維護(hù)公眾信息安全，拒絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私的行為C、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力D、不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件答案：C解析：C為正確描述。87.下列關(guān)于面向?qū)ο鬁y(cè)試問題的說法中，不正確的是（）A、在面向?qū)ο筌浖y(cè)試時(shí)，設(shè)計(jì)每個(gè)類的測(cè)試用例時(shí)，不僅僅要考慮用各個(gè)成員方法的輸入?yún)?shù)，還需要考慮如何設(shè)計(jì)調(diào)用的序列B、構(gòu)造抽象類的驅(qū)動(dòng)程序會(huì)比構(gòu)造其他類的驅(qū)動(dòng)程序復(fù)雜C、類B繼承自類A，如對(duì)B進(jìn)行了嚴(yán)格的測(cè)試，就意味著不需再對(duì)類A進(jìn)行測(cè)試D、在存在多態(tài)的情況下，為了達(dá)到較高的測(cè)試充分性，應(yīng)對(duì)所有可能的綁定都進(jìn)行測(cè)試答案：C88.某用戶通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：A、個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別B、由可信第三方完成的用戶身份鑒別C、個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別D、用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別答案：C解析：本題干為網(wǎng)銀系統(tǒng)對(duì)用戶的鑒別。89.某用戶通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：A、個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別B、由可信第三方完成的用戶身份鑒別C、個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別D、用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別答案：C解析：訪問控制90.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB／T20984-2007）中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是：A、規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面答案：D解析：該題目來源于《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB／T20984-2007），其原文描述D為“是一種較全面的風(fēng)險(xiǎn)評(píng)估”。91.在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。某公司準(zhǔn)備部署一臺(tái)防火墻來保護(hù)內(nèi)網(wǎng)主機(jī)，下列選項(xiàng)中部署位置正確的是（）A、內(nèi)網(wǎng)主機(jī)——交換機(jī)——防火墻——外網(wǎng)B、防火墻——內(nèi)網(wǎng)主機(jī)——交換機(jī)——外網(wǎng)C、內(nèi)網(wǎng)主機(jī)——防火墻——交換機(jī)——外網(wǎng)D、防火墻——交換機(jī)——內(nèi)網(wǎng)主機(jī)——外網(wǎng)答案：A92.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識(shí)，小王對(duì)這三種備份方式進(jìn)行對(duì)比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份答案：B93.以下場(chǎng)景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。于RBAC模型，下列說法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制答案：D解析：RBAC模型能實(shí)現(xiàn)多級(jí)安全中的訪問控制。94.在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)答案：C解析：兩份不同的ST可以同時(shí)滿足同一份PP的要求。95.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證答案：C96.安全管理措施某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)的相關(guān)要求，對(duì)承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位43給出的審核意見錯(cuò)誤的是：A、在異地建立備份機(jī)房時(shí)，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級(jí)相同B、由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板上送風(fēng)，下回風(fēng)的方式C、因機(jī)房屬于A級(jí)主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要D、A級(jí)主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)答案：B解析：下送風(fēng)和上回風(fēng)。97.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：A、項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量（Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Timeoriented)答案：B解析：據(jù)項(xiàng)目進(jìn)度不能隨機(jī)確定，需要根據(jù)項(xiàng)目預(yù)算、特性、質(zhì)量等要求進(jìn)行確定。98.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn)，不包括哪一項(xiàng)?A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全答案：D99.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過安全測(cè)評(píng)，關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義，下列說法中不正確的是（）A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購(gòu)信息安全產(chǎn)品、設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷，為信息安全產(chǎn)品發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境答案：D解析：本題干中信息安全產(chǎn)品測(cè)評(píng)的主要目的是安全作用，不是經(jīng)濟(jì)作用。100.社會(huì)工程學(xué)本質(zhì)上是一種（），（）通過種種方式來引導(dǎo)受攻擊者的（）向攻擊者期望的方向發(fā)展。羅伯特·B·西奧迪尼（RobertBCialdini）在科學(xué)美國(guó)人（2001年2月）雜志中總結(jié)對(duì)（）的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是（）工程師在攻擊中所依賴的（有意思或者無意識(shí)的）。A、攻擊者；心理操縱；思維；心理操縱；思維；社會(huì)工程學(xué)B、攻擊者；心理操縱；心理操縱；社會(huì)工程學(xué)C、心理操縱；攻擊者；思維；心理操縱；社會(huì)工程學(xué)D、心理操縱；思維；心理操縱；攻擊者；社會(huì)工程學(xué)答案：C101.管理層應(yīng)該表現(xiàn)對(duì)(),程序和控制措施的支持,并以身作則。管理職責(zé)要確保雇員和承包方人員都了()角色和職責(zé),并遵守相應(yīng)的條款和條件。組織要建立信息安全意識(shí)計(jì)劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素A、信息安全:信息安全政策:教育和培訓(xùn);紀(jì)律處理過程:分級(jí)的響應(yīng)B、信息安全政策:信息安全:教育和培訓(xùn):紀(jì)律處理過程:分級(jí)的響應(yīng)C、信息安全政策:教育和培訓(xùn):信息安全;紀(jì)律處理過程:分級(jí)的響應(yīng)D、信息安全政策:紀(jì)律處理過程信息安全;教育和培訓(xùn):分級(jí)的響應(yīng)答案：B解析：CISP知識(shí)點(diǎn)范圍內(nèi)，但內(nèi)容需要理解或背誦，來源于教材第113頁(yè)，第一段和第二段，請(qǐng)背誦下來，最好要理解。102.軟件安全開發(fā)以下說法正確的是：A、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見D、軟件測(cè)試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段答案：C103.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)答案：A解析：信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估（自查）為主。104.1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的（），它可以作為一個(gè)正式認(rèn)證方案的（）。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及（）的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全答案：A105.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個(gè)組件，以下說法錯(cuò)誤的是（）A、EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）D、EFS加密過程對(duì)用戶透明，EFS加密的用戶驗(yàn)證過程是在登陸windows時(shí)進(jìn)行的答案：C解析：答案為C，F(xiàn)AT32不支持EFS加密。106.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝,TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B107.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的而運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入

使用A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上答案：B解析：答案為B，三級(jí)以上默認(rèn)包括本級(jí)。108.物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理

數(shù)據(jù)的載體，其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對(duì)設(shè)施安全的保障的描述正確的是（）。A、安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問控制機(jī)制C、由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等答案：B解析：B描述了物理安全措施。109.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營(yíng)，二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理：招標(biāo)文件經(jīng)營(yíng)管理層審批后發(fā)布，就此工程項(xiàng)目而言，以下正確的是：A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營(yíng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解析：安全工程的原則是同步規(guī)劃、同步實(shí)施。110.信息安全工程在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記錄、國(guó)家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對(duì)信息化工程進(jìn)行安全____檢查，以驗(yàn)證項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級(jí)要求。A、功能性B、可用性C、保障性D、符合答案：D111.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?A、ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議答案：D解析：安全攻防112.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式in進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法？A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法答案：A113.甲公司打算制作網(wǎng)絡(luò)連續(xù)時(shí)所需要的插件的規(guī)格尺寸、引腳數(shù)量和線序情況，甲公司將這個(gè)任務(wù)委托了乙公司，那么乙公司的設(shè)計(jì)員應(yīng)該了解OSI參考模型中的哪一層（）A、數(shù)據(jù)鏈路層B、會(huì)話層C、物理層D、傳輸層答案：C114.在軟件保障成熟度模型（ＳAＭＭ）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能A、治理，主要是管理軟件開發(fā)的過程和活動(dòng)B、構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過程和活動(dòng)D、購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)答案：D解析：ＳAＭＭ包括治理、構(gòu)造、驗(yàn)證、部署。115.風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》(國(guó)信辦(2006)5號(hào))中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是()。A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充C、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長(zhǎng)期使用D、自評(píng)估和檢查評(píng)估是相互排斥的，無特殊理由的單位均應(yīng)選擇檢查評(píng)估，以保證安全效果答案：A116.風(fēng)險(xiǎn)管理不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是（）。A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析C、定性風(fēng)險(xiǎn)分析過程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性答案：B解析：定性評(píng)估和定量評(píng)估二者結(jié)合。117.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是：A、資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)答案：D解析：安全措施既包括技術(shù)層面，也包括管理層面。118.下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法，哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法（）。A、基于知識(shí)的分析方法B、基于模型的分析方法C、定量分析D、定性分析答案：D119.我國(guó)標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364）給出了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程，可以用下圖來表示。圖中空白處應(yīng)該填寫（）A、風(fēng)險(xiǎn)計(jì)算B、風(fēng)險(xiǎn)評(píng)價(jià)C、風(fēng)險(xiǎn)預(yù)測(cè)D、風(fēng)險(xiǎn)處理答案：D120.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖(圖中包括了規(guī)劃建立、實(shí)施運(yùn)行、保持和改進(jìn))，但是他還存在一個(gè)空白處未填寫，請(qǐng)幫他選擇一個(gè)最合適的選項(xiàng)（）。A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢ISMS答案：C解析：管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實(shí)施運(yùn)行、C-監(jiān)視和評(píng)審、A-保持和改進(jìn)。121.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)答案：C解析：個(gè)人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。122.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實(shí)施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強(qiáng)防范措施、格式化被感染而已程序的介質(zhì)等，請(qǐng)問，按照應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）A、準(zhǔn)備階段B、檢測(cè)階段C、遏制階段D、根除階段答案：D解析：包括六個(gè)階段準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤總結(jié)。123.法規(guī)政策與標(biāo)準(zhǔn)國(guó)家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)，以下哪項(xiàng)屬于絕密級(jí)的描述?A、處于國(guó)際先進(jìn)水平，并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的B、能夠局部反應(yīng)國(guó)家防御和治安實(shí)力的C、我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D、國(guó)際領(lǐng)先，并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的答案：D124.在入侵檢測(cè)（IDS）的運(yùn)行中，最常見的問題是：（）A、誤報(bào)檢測(cè)B、接收陷阱消息C、誤拒絕率D、拒絕服務(wù)攻擊答案：A125.ZigBee主要的信息安全服務(wù)為()、()、()、()。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實(shí)現(xiàn)

訪問控制,設(shè)備必須在ACL中維護(hù)一個(gè)(),表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備

共享,或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、mand以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗(yàn)碼保證沒

有密鑰的節(jié)點(diǎn)不會(huì)修改傳輸中的消息,進(jìn)一步確認(rèn)消息來自一個(gè)知道()的節(jié)點(diǎn)A、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護(hù);設(shè)備列表;完整性:密鑰B、訪問控制、加密、完整性、序列抗重播保護(hù);設(shè)備列表;完整性;密鑰C、訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護(hù);列表;完整性;密鑰D、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播;列表;完整性;密鑰答案：A解析：源于無線通信安全技術(shù)，豆丁網(wǎng)2014.10.18介紹。IEEE802.15.4規(guī)范是一種經(jīng)濟(jì)、高效、低數(shù)據(jù)速率(<250kbps)、工作在2.4GHz和868/915MHz的無線技術(shù)。126.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，

對(duì)于解決問題沒有直接幫助的是（）A、要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測(cè)試環(huán)節(jié)，今早發(fā)現(xiàn)軟件安全問題答案：A解析：開發(fā)人員采用敏捷開發(fā)模型進(jìn)行軟件開發(fā)，但未包括安全的開發(fā)方法和措施。127.下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是______。A、如果用戶、開發(fā)者、評(píng)估者和認(rèn)可者都使用CC語言，互相就容易理解溝通B、通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全測(cè)試評(píng)估都具有重要意義C、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要D、通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估答案：D解析：SSE-CMM用于對(duì)安全建設(shè)工程的成熟度進(jìn)行評(píng)估。CC是信息技術(shù)產(chǎn)品或系統(tǒng)的規(guī)劃、設(shè)計(jì)、研發(fā)、測(cè)試、EAL級(jí)別評(píng)估進(jìn)行使用。128.風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將（）始終控制在可接愛的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）和（）四種方式。A、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B、風(fēng)險(xiǎn)評(píng)估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受C、風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受D、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；降低；規(guī)避；轉(zhuǎn)移；接受答案：B129.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是（）A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人D、密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。答案：A解析：密碼協(xié)議必須要嚴(yán)格并進(jìn)行證明、測(cè)試、驗(yàn)證。

密碼應(yīng)用130.“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act)”(PDCA過程)又叫(),是管理學(xué)中的一個(gè)通用模型,最早由()于1930年構(gòu)想,后來被美國(guó)質(zhì)量管理專家()博士在1950年再度挖掘出來,并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程。PDCA循環(huán)就是按照“規(guī)劃、實(shí)施、檢查、處置”的順序進(jìn)行質(zhì)量管理,并且循環(huán)不止地進(jìn)行下去的(),建立符合國(guó)際標(biāo)準(zhǔn)ISO9001的質(zhì)量管理體系即是一個(gè)典型的PDCA過程,建立IS014001環(huán)境管理體系、IS020000I服務(wù)()也是一個(gè)類似的過程。

A、質(zhì)量環(huán);休哈特;戴明;管理體系;科學(xué)程序B、質(zhì)量環(huán);戴明;休哈特;管理體系;科學(xué)程序C、質(zhì)量環(huán):戴明;休哈特;科學(xué)程序;管理體系D、質(zhì)量環(huán);休哈特;戴明;科學(xué)程序;管理體系答案：A解析：源于質(zhì)量管理體系。131.以下哪項(xiàng)是《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的總體方針和要求？A、堅(jiān)持積極攻擊、綜合防范的方針B、全面提高信息安全防護(hù)能力C、重點(diǎn)保障電信基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全D、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)工業(yè)化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全答案：B132.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實(shí)施答案：D解析：監(jiān)理模型包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。信息安全工程133.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的

惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹碓酱?。小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對(duì)有毒件的檢測(cè),

將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A、簡(jiǎn)單運(yùn)行B、行為檢測(cè)C、特征數(shù)據(jù)匹配D、特征碼掃描答案：B解析：CISP知識(shí)點(diǎn)范圍內(nèi)，在知識(shí)點(diǎn)理解的基礎(chǔ)上，進(jìn)一步參考“防病毒軟件通過對(duì)有毒軟件的檢測(cè)，將軟件行為

與惡意代碼為模型進(jìn)行匹配”參考教材第388頁(yè)第三段的內(nèi)容。134.【4】CISP復(fù)習(xí)題（4）100題_2020版小陳