CISP考試認(rèn)證(習(xí)題卷9)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項選擇題，共250題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.即時通訊安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機構(gòu)都應(yīng)該認(rèn)真考慮的問題,特別對于使用即時通訊進(jìn)行工作交流和協(xié)作的組織機構(gòu)。安全使用即時通訊應(yīng)考慮許多措施,下列措施中錯誤的是()A)如果經(jīng)費許可,可以使用自建服務(wù)器的即時通訊系統(tǒng)B)在組織機構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時通訊中傳輸敏感及以上級別的文檔;建立管理流程及時將離職員工移除等C)選擇在設(shè)計上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時通訊軟件,例如提供傳輸安全性保護(hù)等即時通訊D)涉及重要操作包括轉(zhuǎn)賬無需方式確認(rèn)[單選題]2.小張新購入了一臺安裝了windows操作系統(tǒng)的筆記本電腦,為了提升操作系統(tǒng)的安全性,小張在windows系統(tǒng)中的?本地安全策略?中,配置了四類安全策略:賬號策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的()A)關(guān)閉不必要的服務(wù)B)關(guān)閉不必要的端口C)制定操作系統(tǒng)安全策路D)開啟審核策略[單選題]3.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），目的是為保障政府和工業(yè)的（）提供了（）。信息安全保障技術(shù)框架的核心思想是（）。深度防御戰(zhàn)略的三個核心要素：（）、技術(shù)和運行（亦稱為操作）A)信息基礎(chǔ)設(shè)施；技術(shù)指南；深度防御；人員B)技術(shù)指南；信息基礎(chǔ)設(shè)施；深度防御；人員C)信息基礎(chǔ)設(shè)施；深度防御；技術(shù)指南；人員D)信息基礎(chǔ)設(shè)施；技術(shù)指南；人員；深度防御[單選題]4.61.漏洞掃描是信息系統(tǒng)風(fēng)險評估中的常用技術(shù)措施，定期的漏洞掃描有助于組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中存在集公司安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具，用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進(jìn)行學(xué)習(xí)后有如下理解，其中錯誤的是（）A)A主動掃描工作方式類似于IDS(IntrusionDetectionSystems)B)CVE(CommonVulnerabilities&Exposures)為每個漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述C)X.Scanner采用多線程方式對指定IP地址段進(jìn)行安全漏洞掃描D)ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞[單選題]5.一般地，IP分配會首先把整個網(wǎng)絡(luò)根據(jù)地域、區(qū)域。每個子域從它的上一級區(qū)域里獲取IP地址段，這種分配方法為什么分配方法（）A)自頂向下B)自下向上C)自左向右D)自右向左[單選題]6.以下哪些是需要在信息安全策略中進(jìn)行描述的:A)組織信息系統(tǒng)安全架構(gòu)B)信息安全工作的基本原則C)組織信息安全技術(shù)參數(shù)D)組織信息安全實施手段[單選題]7.標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的成果，是為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。關(guān)于標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化，以下選項中理解錯誤的是（）A)標(biāo)準(zhǔn)化是一項活動，標(biāo)準(zhǔn)化工作的主要任務(wù)是定標(biāo)準(zhǔn)、組織實施以及對標(biāo)準(zhǔn)的實施進(jìn)行監(jiān)督，主要作用是為了預(yù)期的目的而改進(jìn)產(chǎn)品、過程或服務(wù)的實用性，防止壁壘，促進(jìn)合作B)標(biāo)準(zhǔn)化的對象不應(yīng)是孤立的一件事或一個事物，而是共同的、可重復(fù)的事物，標(biāo)準(zhǔn)化的工作同時也具有動態(tài)性，即應(yīng)隨著科學(xué)的發(fā)展和社會的進(jìn)步而不斷修訂標(biāo)C)標(biāo)準(zhǔn)在國際貿(mào)易中有著重要作用，一方面，標(biāo)準(zhǔn)能打破技術(shù)壁壘，促進(jìn)國際間的經(jīng)貿(mào)發(fā)展和科學(xué)、技術(shù)、文化交流和合作；另一方面，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘，起到限制他國產(chǎn)品出口、保護(hù)本國產(chǎn)業(yè)的目的D)標(biāo)準(zhǔn)有著不同的分類，我國將現(xiàn)有標(biāo)準(zhǔn)分為強制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)和事實性標(biāo)準(zhǔn)三類，國家標(biāo)準(zhǔn)管理機構(gòu)對著三類標(biāo)準(zhǔn)通過采取不同字頭的方式分別編號后公開發(fā)布[單選題]8.關(guān)于禁止一機兩用不正確的說法是:A)不準(zhǔn)將計算機在連入公安網(wǎng)絡(luò)的同時，又通過專線、代理服務(wù)器或撥號入網(wǎng)等方式連入國際互聯(lián)網(wǎng)或其它網(wǎng)絡(luò)。B)不準(zhǔn)將未經(jīng)殺毒處理過的、保存有從國際互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)下載數(shù)據(jù)資料的軟盤、光盤、活動硬盤、硬盤等存儲設(shè)備在連入公安信息網(wǎng)的計算機上使用。C)不準(zhǔn)將運行公安應(yīng)用系統(tǒng)的服務(wù)器連入國際互聯(lián)網(wǎng)或其它網(wǎng)絡(luò),但普通PC.機不受限制。D)不準(zhǔn)將公安信息網(wǎng)直接連入國際互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)或?qū)⒐残畔?shù)據(jù)傳輸?shù)絿H互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)。[單選題]9.以下哪些因素屬于信息安全特征?()A)系統(tǒng)和網(wǎng)絡(luò)的安全B)系統(tǒng)和動態(tài)的安全C)技術(shù)、管理、工程的安全D)系統(tǒng)的安全;動態(tài)的安全;無邊界的安全;非傳統(tǒng)的安全[單選題]10.TCP/IP協(xié)iXInternetiRE議是einternet構(gòu)成的基礎(chǔ)，TCP/IP通常被認(rèn)為是一個N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能，這里N應(yīng)等于（）A)4B)5C)6D)7[單選題]11.優(yōu)秀源代碼審核工具有哪些特點()1安全性;2多平臺性;3可擴民性;4知識性;5集成性。A)12345B)234C)1234D)23[單選題]12.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A)高級管理層--最終責(zé)任B)信息安全部門主管--提供各種信息安全工作必須的資源C)系統(tǒng)的普通使用者--遵守日常操作規(guī)范D)審計人員--檢查安全策略是否被遵從[單選題]13.軟件工程方法提出起源于軟件危機，而其目的應(yīng)該是最終解決軟件的問題的是()A)質(zhì)量保證B)生產(chǎn)危機C)生產(chǎn)工程化D)開發(fā)效率[單選題]14.回顧組織的風(fēng)險評估流程時應(yīng)首先A)鑒別對于信息資產(chǎn)威脅的合理性B)分析技術(shù)和組織弱點C)鑒別并對信息資產(chǎn)進(jìn)行分級D)對潛在的安全漏洞效果進(jìn)行評價[單選題]15.宏病毒是一種專門感染微軟office格式文件的病毒，下列A)*.exeB)*.docC)*.xlsD)*.ppt[單選題]16.下列選項中,對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯誤的是()A)物理安全確保了系統(tǒng)在對信息進(jìn)行采集、傳輸、處理等過程中的安全B)物理安全面對是環(huán)境風(fēng)險及不可預(yù)知的人類活動,是一個非常關(guān)鍵的領(lǐng)域C)物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D)影響物理安全的因素不僅包含自然因素,還包含人為因素[單選題]17.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者，下面描述錯誤的是？A)內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力，也都應(yīng)當(dāng)按照一定的周期實施B)內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理審評會議的形式進(jìn)行C)內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)D)組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象[單選題]18.在linux下為某個文件添加權(quán)限命令chmod741中的4是什么意思A)執(zhí)行權(quán)限B)只讀權(quán)限C)只寫權(quán)限D(zhuǎn))所有權(quán)限[單選題]19.在信息安全策略體系中,下面哪一項屬于計算機或信息安全的強制性規(guī)則?A)標(biāo)準(zhǔn)(StAnDArD)B)安全策略(SeCuritypoliCy)C)方針(GuiDeline)D)流程(ProCeDure)[單選題]20.以下關(guān)于Windows操作系統(tǒng)身份標(biāo)識與鑒別，說法不正確的是（）。A)本地安全授權(quán)機構(gòu)（LSA）生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標(biāo)識符（SID）B)用戶對鑒別信息的操作，如更改密碼等都通過一個以Administrator權(quán)限運行的服務(wù)?SecurityAccountexpiredManager?來實現(xiàn)C)Windows操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了SMB鑒別機制、LM鑒別機制、NTLM鑒別機制、Kerberos鑒別體系等階段D)完整的安全標(biāo)識符（SID）包括用戶和組的安全描述，48比特的身份特權(quán)、修訂版本和可變的驗證值[單選題]21.下列關(guān)于邏輯覆蓋的敘述中,說法錯誤的是A)對于多分支的判定,判定覆蓋要使每一個判定方式獲得每一種可能的值來測試B)語句覆蓋較判定覆蓋嚴(yán)格,但該測試仍不充分C)語句覆蓋是比較弱的覆蓋標(biāo)準(zhǔn)D)條件組合覆蓋是比較強的覆蓋標(biāo)準(zhǔn)[單選題]22.年1月2日,美國發(fā)布第54號總統(tǒng)令,建立國家網(wǎng)絡(luò)安全綜合計劃(ComprchensiveNationalCybersecuityInitative,CNCI)。CNCI計劃建立三道防線:第一道防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對各類威脅;第三道防線,強化未來安全環(huán)境。從以上內(nèi)容,我們可以看出以下哪種分析是正確的:A)CNCI是以風(fēng)險為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險B)從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D)CNCI徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點,而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障[單選題]23.以下關(guān)于在UNIX系統(tǒng)里啟動與關(guān)閉服務(wù)的說法不正確的是?A)在UNIX系統(tǒng)中,服務(wù)可以通過inetD進(jìn)程來啟動B)通過在/etC/inetDConf文件中注釋關(guān)閉正在運行的服務(wù)C)通過改變腳本名稱的方式禁用腳本啟動的服務(wù)D)在UNIX系統(tǒng)中,服務(wù)可以通過啟動腳本來啟動[單選題]24.以下對于WinD.ows系統(tǒng)的服務(wù)描述，正確的是：A)WIND.OWS服務(wù)必須是一個獨立的可執(zhí)行程序B)WIND.OWS服務(wù)的運行不需要用戶的交互登錄C)WIND.OWS服務(wù)都是隨系統(tǒng)啟動而啟動，無需用戶進(jìn)行干預(yù)D)WIND.OWS服務(wù)都需要用戶進(jìn)行登錄后，以登錄用戶的權(quán)限進(jìn)行啟動[單選題]25.在OSI模型中，主要針對遠(yuǎn)程終端訪問，任務(wù)包括會話管理、傳輸同步以及活動管理等以下是哪一層？A)應(yīng)用層B)物理層C)會話層D)網(wǎng)絡(luò)層[單選題]26.17.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學(xué)了BLP模型，并對該模型的特點進(jìn)行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A)BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是?向上讀，向下寫?B)BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是?向下讀，向上寫?C)BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是?向上讀，向下寫?D)BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是?向下讀，向上寫?[單選題]27.下列哪一項不屬于Fuzz測試的特性？A)主要針對軟件漏洞或可靠性錯誤進(jìn)行測試B)采用大量測試用例進(jìn)行激勵、響應(yīng)測試C)一種試探性測試方法，沒有任何理論依據(jù)D)利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常[單選題]28.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能,與傳統(tǒng)的基于口令的鑒別技術(shù)相比,關(guān)于此種鑒別技術(shù)說法不正確的是（）A)所選擇的特征(指紋)便于收集、測量和比較B)每個人所擁有的指紋都是獨一無二的C)指紋信息是每個人獨有的,指紋識別系統(tǒng)不存在安全威脅問題D)此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成[單選題]29.SQL注入出password的字段值為?YWRtaW44ODg=?，這是采用了哪種加密方式（）A)md5B)base64C)AESD)DES[單選題]30.427.操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境,操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)的自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不同而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實現(xiàn)該公司操作系統(tǒng)的安全目標(biāo),按書中所學(xué)建立了相應(yīng)的安全機制,這些機制不包括()A)標(biāo)識與鑒別B)訪問控制C)權(quán)限管理D)網(wǎng)絡(luò)云盤存取保護(hù)[單選題]31.某公司建沒面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標(biāo)選擇M公司為單位,并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作。目前,各個應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗收申請。監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔A)項目計劃書B)質(zhì)量控制計劃C)評審報告D)需求說明書[單選題]32.在PDRR模型中，____是靜態(tài)防護(hù)轉(zhuǎn)化為動態(tài)的關(guān)鍵，是動態(tài)響應(yīng)的依據(jù)。A)A防護(hù)B)B檢測C)C響應(yīng)D)D恢復(fù)[單選題]33.訪問控制的實施一般包括兩個步驟,首先要鑒別主體的合法身份,接著根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予相應(yīng)用戶的訪問權(quán)限。在此過程中,涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中,標(biāo)有數(shù)字的方框代表了主體、客體、訪問控制實施部件和訪問控制決策部件。下列選項中,標(biāo)有數(shù)字1、2、3、4的方框分別對應(yīng)的實體或部件正確的是()A)主體、訪問控制決策、客體、訪問控制實施B)主體、訪問控制實施、客體、訪問控制決策C)客體、訪問控制決策、主體、訪問控制實施D)客體、訪問控制實施、主體、訪問控制決策[單選題]34.規(guī)范形成了若干文檔,其中,()中的文檔應(yīng)屬于風(fēng)險評估中?風(fēng)險要素識別?階段輸出的文檔。A)《風(fēng)險評估方法》,主要包括本次風(fēng)險評估的目的、范圍、目標(biāo),評估步驟,經(jīng)費預(yù)算和進(jìn)度安排等內(nèi)容B)《風(fēng)險評估方法和工具列表》,主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C)《風(fēng)險評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法,資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D)《已有安全措施列表》,主要經(jīng)驗檢查確認(rèn)后的已有技術(shù)和管理方面安全措施等內(nèi)容[單選題]35.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前,Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時并不需要進(jìn)行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上,惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NameNoTaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機制來解決用戶到服務(wù)器認(rèn)證問題,Kerberos認(rèn)證過程不包括()A)獲得票據(jù)許可票據(jù)B)獲得服務(wù)許可票據(jù)C)獲得密鑰分配中心的管理權(quán)限D(zhuǎn))獲得服務(wù)[單選題]36.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中,越來越多的信息需要實現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證,也支持跨域認(rèn)證,下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認(rèn)證的7個步驟,其中有幾個步驟出現(xiàn)錯誤,圖中錯誤的描述正確的是:A)步驟1和步驟2發(fā)生錯誤,應(yīng)該向本地AS請求并獲得遠(yuǎn)程TGTB)步驟3和步驟4發(fā)生錯誤,應(yīng)該向本地TGS請求并獲得遠(yuǎn)程TGTC)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠(yuǎn)程AS請求并獲得遠(yuǎn)程TGTD)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠(yuǎn)程TGS請求并獲得遠(yuǎn)程SGT[單選題]37.52.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是:A)有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B)對用戶采購信息安全產(chǎn)品，設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D)打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境[單選題]38.27.Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面哪項是正確的（）A)這個文件可以被任何用戶讀和寫B(tài))這個可以被任何用戶讀和執(zhí)行C)這個文件可以被任何用戶寫和執(zhí)行D)這個文件不可以被所有用戶寫和執(zhí)行[單選題]39.46.微軟提出了striderrepudiation（抵賴）的縮寫R，關(guān)于此項安全要求，下面說法錯誤的是（A)某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱?我沒有下載過數(shù)據(jù)?，軟件系統(tǒng)中的這種威脅屬于R威脅B)某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱?這些數(shù)據(jù)不是我傳輸?shù)?，軟件系統(tǒng)中的這種威脅屬于R威脅C)對于R威脅，可以選擇使用如強認(rèn)證、數(shù)字簽名，安全審計等技術(shù)措施來解決D)D對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)措施來解決[單選題]40.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱蟆Ｐ±畎l(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測,將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A)簡單運行B)行為檢測C)特征數(shù)據(jù)匹配D)特征碼掃描[單選題]41.互聯(lián)網(wǎng)出口必須向公司信息化主管部門進(jìn)行____后方可使用。A)備案審批B)申請C)說明D)報備[單選題]42.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時,發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時,會將詳細(xì)的錯誤原因在結(jié)果頁面上顯示出來。從安全角度考慮,小李決定修改代碼,將詳細(xì)的錯誤原因都隱藏起來,在頁面上僅僅告知用戶?抱歉,發(fā)生內(nèi)部錯誤!?。請問,這種處理方法的主要目的是()。A)最小化反饋信息B)安全處理系統(tǒng)異常C)安全使用臨時文件D)避免緩沖區(qū)溢出[單選題]43.在國家標(biāo)準(zhǔn)中，屬于強制性標(biāo)準(zhǔn)的是：A)GB/TXXXX-X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)QXXX-XXX-200X[單選題]44.內(nèi)部審計部門,從組織結(jié)構(gòu)上向財務(wù)總監(jiān)而不是審計委員會報告,最有可能:A)導(dǎo)致對其審計獨立性的質(zhì)疑B)報告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)C)加強了審計建議的執(zhí)行D)在建議中采取更對有效行動[單選題]45.56.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設(shè)計階段分析系統(tǒng)運行過程中可能存在的攻擊，請問以下擬采取的安全措施中，哪一項不能降低該系統(tǒng)的受攻擊面：A)遠(yuǎn)程用戶訪問需進(jìn)行身份管理B)遠(yuǎn)程用戶訪問時具有管理員權(quán)限C)關(guān)閉服務(wù)器端不必要的系統(tǒng)服務(wù)D)當(dāng)用戶訪問其賬戶信息時使用嚴(yán)格的身份認(rèn)證機制[單選題]46.?CC?標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案？A)評估對象（TOE）B)保護(hù)輪廊（PP）（用戶角度）C)安全目標(biāo)（ST））（廠商角度）D)評估保證級（EAL）[單選題]47.447.對照ISO/OSI參考模型各個層中的網(wǎng)絡(luò)安全服務(wù)，在物理層可以采用哪種方式來加強通信線路的安全（）A)防竊聽技術(shù)B)防火墻技術(shù)C)防病毒技術(shù)D)NULL[單選題]48.CISP職業(yè)道德包括誠實守信，遵紀(jì)守法，主要有（）、（）、（）A)不通過計算機網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為；不利用個人的信息安全技術(shù)能力實施或組織各種違法犯罪行為，不在公共網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件。B)熱愛信息安全工作崗位，充分認(rèn)識信息安全專業(yè)工作的責(zé)任和使命；為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險做出應(yīng)有的努力和貢獻(xiàn)；幫助和知道信息安全同行提升信息安全保障知識和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地提供出應(yīng)對信息安全問題的建議和幫助C)自覺維護(hù)國家信息安全，拒絕并地址泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為；自覺維護(hù)網(wǎng)絡(luò)社會安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為；自覺維護(hù)公眾信息安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為D)通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實踐能力；以CISP身份為榮，積極參加各種證后活動，避免任何損害CISP聲譽形象的行為[單選題]49.18.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以（）、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用（）。無論信息以什么形式存在，用哪種方法存儲或共享，都宜對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。()是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)（），業(yè)務(wù)風(fēng)險最小化，投資回報和（）。A)語言表達(dá)；電子方式存儲；信息安全；連續(xù)性；商業(yè)機遇最大化B)電子方式存儲；語言表達(dá)；連續(xù)性；信息安全；商業(yè)機遇最大化C)電子方式存儲；連續(xù)性，語言表達(dá)；信息安全；商業(yè)機遇最大化D)電子方式存儲；語言表達(dá)；信息安全；連續(xù)性；商業(yè)機遇最大化[單選題]50.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊A)跨站腳本（CrossSiteScripting，XSS）攻擊B)TCP會話劫持（TCPHijack）攻擊C)IP欺騙攻擊D)拒絕服務(wù)（DenialofService，DoS）攻擊[單選題]51.風(fēng)險評估的基本過程是怎樣的?A)識別并評估重要的信息資產(chǎn),識別各種可能的威脅和嚴(yán)重的弱點,最終確定風(fēng)險B)通過以往發(fā)生的信息安全事件,找到風(fēng)險所在C)風(fēng)險評估就是對照安全檢查單,查看相關(guān)的管理和技術(shù)措施是否到位D)風(fēng)險評估并沒有規(guī)律可循,完全取決于評估者的經(jīng)驗所在[單選題]52.下面對于數(shù)據(jù)庫視圖的描述正確的是____。A)A數(shù)據(jù)庫視圖也是物理存儲的表B)B可通過視圖訪問的數(shù)據(jù)不作為獨特的對象存儲，數(shù)據(jù)庫內(nèi)實際存儲的是SELECT語句C)C數(shù)據(jù)庫視圖也可以使用UPDATE或DELETE語句生成D)D對數(shù)據(jù)庫視圖只能查詢數(shù)據(jù)，不能修改數(shù)據(jù)[單選題]53.電子郵件客戶端通常需要用協(xié)議來發(fā)送郵件。A)僅SMTPB)僅POPC)SMTP和POPD)以上都不正確[單選題]54.51.在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的（）。A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B)背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告[單選題]55.73.公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限。雙方引起爭議。下面說法哪個是錯誤的：A)乙對信息安全不重視，低估了黑客能力，不舍得花錢B)甲在需求分析階段沒有進(jìn)行風(fēng)險評估，所部屬的加密針對性不足，造成浪費C)甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D)乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險，與甲共同確定網(wǎng)站安全需求[單選題]56.某公司在測試災(zāi)難恢復(fù)計劃時是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運營所必要的關(guān)鍵數(shù)據(jù)沒有被保留,可能由于什么沒有明確導(dǎo)致的?A)服務(wù)中斷的時間間隔B)目標(biāo)恢復(fù)時間(RTO)C)服務(wù)交付目標(biāo)D)目標(biāo)恢復(fù)點(RPO)[單選題]57.我們常提到的在WinD.ows操作系統(tǒng)中安裝VMwA.re，運行Linux虛擬機屬于（）。A)存儲虛擬化B)內(nèi)存虛擬化C)系統(tǒng)虛擬化D)網(wǎng)絡(luò)虛擬化[單選題]58.18.開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾，這種現(xiàn)象稱作()A)軟件工程B)軟件周期C)軟件危機D)軟件產(chǎn)生[單選題]59.21.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是（）A)在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B)實施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C)異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D)異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為[單選題]60.不恰當(dāng)?shù)漠惓Ｌ幚?，是指Web應(yīng)用在處理內(nèi)部異常、錯誤時處理不當(dāng)，導(dǎo)致會給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。某軟件開發(fā)團(tuán)隊的成員經(jīng)常遇到處理內(nèi)部異常，他知道如果錯誤時處理不當(dāng)，導(dǎo)致會給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。這會導(dǎo)致（）A)堆棧追溯B)蠕蟲傳播C)釣魚網(wǎng)站D)拒絕服務(wù)[單選題]61.由于IP協(xié)議提供無連接的服務(wù)，在傳送過程中若發(fā)生差錯就需要哪一個協(xié)議向源節(jié)點報告差錯情況，以便源節(jié)點對此做出相應(yīng)的處理（）A)TCPB)UDPC)ICMPD)RARP[單選題]62.ISO/IEC27002由以下哪一個標(biāo)準(zhǔn)演變而來?A)BS7799-1B)BS7799-2C)ISO/IEC17799D)ISO/IEC13335[單選題]63.某攻擊者想通過遠(yuǎn)程控制潛伏在對方unix系統(tǒng)中，以下不屬于清除日志的方法：A)竊取root權(quán)限，修改wtmp/tmpx，utmp/utmpx和lastlog三個主要日志文件B)保留攻擊時產(chǎn)生的臨時文件C)修改登錄日志，偽造成功的登錄日志，增加審計難度D)采用干擾手段影響系統(tǒng)防火墻的審計功能[單選題]64.自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)由以下哪個組織提出工作意見，協(xié)調(diào)一致后由該組織申報A)全國通信標(biāo)準(zhǔn)化技術(shù)委員會(TC485)B)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)C)中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會[單選題]65.在某信息系統(tǒng)的設(shè)計中，用戶登錄過程是這樣的：（1）用戶通過HTTP協(xié)議訪問信息系統(tǒng)；（2）用戶在登錄頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確，則鑒別完成。可以看出，這個鑒別過程屬于A)單向鑒別B)雙向鑒別C)三向鑒別D)第三方鑒別[單選題]66.負(fù)責(zé)授權(quán)訪問業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于:A)數(shù)據(jù)擁有者B)安全管理員C)IT安全經(jīng)理D)請求者的直接上司[單選題]67.當(dāng)WinD.ows系統(tǒng)出現(xiàn)某些錯誤而不能正常啟動或運行時，為了提高系統(tǒng)自身的安全性，在啟動時可以進(jìn)入模式。A)異常B)安全C)命令提示符D)單步啟動[單選題]68.密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰？A)、散列算法B)、隨機數(shù)生成算法C)、對稱密鑰算法D)、非對稱密鑰算法[單選題]69.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是()A)所謂需求管理,是指對需求開發(fā)的管理B)需求管理包括:需求獲取、需求分析、需求定義各需求驗證C)需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D)在需求管理中要求維持對原有需求和所有的產(chǎn)品需求的雙向跟蹤[單選題]70.以下有關(guān)訪問控制的描述不正確的是A)口令是最常見的驗證身份的措施,也是重要的信息資產(chǎn),應(yīng)妥善保護(hù)和管理B)系統(tǒng)管理員在給用戶分配訪問權(quán)限時,應(yīng)該遵循?最小特權(quán)原則?,即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限,工作之外的權(quán)限一律不能分配C)單點登錄系統(tǒng)(一次登錄/驗證,即可訪問多個系統(tǒng))最大的優(yōu)勢是提升了便利性,但是又面臨著?把所有雞蛋放在一個籃子?的風(fēng)險;D)雙因子認(rèn)證(又稱強認(rèn)證)就是一個系統(tǒng)需要兩道密碼才能進(jìn)入;[單選題]71.某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行風(fēng)險評估，該服務(wù)器價值138000元，針對某個特定威脅的暴露因子()是45%，該威脅的年度發(fā)生率()為每10年發(fā)生一次，根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值()是多少？A)1800元B)62100元C)140000元D)6210元[單選題]72.-般常見的Windows操作系統(tǒng)與Linux系統(tǒng)的管理員密碼最大長度分別為____和____。A)A12-8B)B14-10C)C12-10D)D14-8[單選題]73.為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容？A)完整性約束條件B)完整性檢查機制C)完整性修復(fù)機制D)違約處理機制[單選題]74.在一個有充分控制的信息處理計算中心中，下面哪項任務(wù)可以由同一個人執(zhí)行？A)安全管理和變更管理B)計算機操作和系統(tǒng)開發(fā)C)系統(tǒng)開發(fā)和變更管理D)系統(tǒng)開發(fā)和系統(tǒng)維護(hù)[單選題]75.36.近幾年，無線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個領(lǐng)域。而無線信道是一個開放性信道，它在賦予無線用戶通信自由的同時也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項中，對無線通信技術(shù)的安全特點描述正確的是A)無線信道是一個開放性信道，任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C)C對于無線局域網(wǎng)絡(luò)和無線個人區(qū)域網(wǎng)絡(luò)來說，它們的通信內(nèi)容更容易被竊聽D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容[單選題]76.某公司為加強員工的信息安全意識，對公司員工進(jìn)行了相關(guān)的培訓(xùn)，在介紹如何防范第三方人員通過社會工程學(xué)方式入侵公司信息系統(tǒng)時，提到了以下幾點要求，其中在日常工作中錯誤的是（）A)不輕易泄露敏感信息B)在相信任何人之前先校驗其真實的身份C)不違背公司的安全策略D)積極配合來自電話、郵件的任何業(yè)務(wù)要求、即便是馬上提供本人的口令信息[單選題]77.基于對()的信任,當(dāng)一個請求成命令來自一個?權(quán)威?人士時,這個請求就可能被毫不懷疑的(),在()中,攻擊者偽裝成?公安部門?人員,要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請求配合進(jìn)行一次系統(tǒng)測試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼[單選題]78.CA的核心職責(zé)是A)簽發(fā)和管理證書B)審核用戶真實信息C)發(fā)布黑名單D)建立實體鏈路安全[單選題]79.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是A)PP2PB)L2TPC)SSLD)IPSec[單選題]80.所有進(jìn)入物理安全區(qū)域的人員都需經(jīng)過A)考核B)授權(quán)C)批準(zhǔn)D)認(rèn)可[單選題]81.50.安全漏洞產(chǎn)生的原因不包括以下哪一點（）A)軟件系統(tǒng)代碼的復(fù)雜性B)軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象C)復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D)攻擊者的惡意利用[單選題]82.信息安全管理體系（ISMS）的建設(shè)和實施是一個組織的戰(zhàn)略性舉措。若一個組織聲稱自己的ISMS符合ISO/IBC27001或G8/T22080標(biāo)準(zhǔn)要求，則需實施準(zhǔn)要求，則需實施以下ISMS建設(shè)的各項工作。哪一項不屬于ISMS建設(shè)的工作（）A)規(guī)劃與建立ISMSB)實施和運行ISMSC)監(jiān)視和評審ISMSD)保持和審核ISMS[單選題]83.SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一，隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使用應(yīng)用程序存在安全隱患，小李在對某asp網(wǎng)站進(jìn)行測試時，采用經(jīng)典的1=1，1=2測試法，測試發(fā)現(xiàn)1=1時網(wǎng)頁顯示正常，1=2時報錯，于是小李得出了四條猜測，則下列說法錯誤的是（）A)該網(wǎng)站可能存在漏洞B)攻擊者可以根據(jù)報錯信息獲得的信息，從而進(jìn)一步實施攻擊C)如果在網(wǎng)站前布署一臺H3C的IPS設(shè)備阻斷，攻擊者得不到任何有效信息D)該網(wǎng)站不可以進(jìn)行SQL注入攻擊[單選題]84.57.方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T_25058-2010_《信息安全技術(shù)_信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等。其中《等級保護(hù)實施指南》原以()政策文件方式發(fā)布，后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()做了詳細(xì)規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護(hù)測評準(zhǔn)則》等文件，后經(jīng)過修改以《等級保護(hù)測評要求》發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()工作做出了（）A)公安部；等級保護(hù)試點；等級保護(hù)工作；等級保護(hù)測評；詳細(xì)規(guī)定B)公安部；等級保護(hù)工作；等級保護(hù)試點；等級保護(hù)測評；詳細(xì)規(guī)定C)公安部；等級保護(hù)工作；等級保護(hù)測評；等級保護(hù)試點；詳細(xì)規(guī)定D)公安部:等級保護(hù)工作；級等級保護(hù)試點;詳細(xì)規(guī)定;等級保護(hù)測評[單選題]85.ZigBee主要的信息安全服務(wù)為()、()、()、()。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實現(xiàn)訪問控制,設(shè)備必須在ACL中維護(hù)一個(),表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享,或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、command以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗碼保證沒有密鑰的節(jié)點不會修改傳輸中的消息,進(jìn)一步確認(rèn)消息來自一個知道()的節(jié)點A)訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護(hù);設(shè)備列表;完整性:密鑰B)訪問控制、加密、完整性、序列抗重播保護(hù);設(shè)備列表;完整性;密鑰C)訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護(hù);列表;完整性;密鑰D)訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播;列表;完整性;密鑰[單選題]86.某個客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP()里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC訪問Internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù)：A)花更多的錢向ISP申請更多的IP地址B)在網(wǎng)絡(luò)的出口路由器上做源NATC)在網(wǎng)絡(luò)的出口路由器上做目的NATD)在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器[單選題]87.自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)由以下哪個組織提出工作情況，協(xié)調(diào)一致后由該組織申報。A)全國通信標(biāo)準(zhǔn)化技術(shù)委員會（TC485）B)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）C)中國通信標(biāo)準(zhǔn)化協(xié)會（CCCA）D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會[單選題]88.微信收到?微信團(tuán)隊?的安全提示：?您的微信賬號在16:46嘗試在另一個設(shè)備登錄。登錄設(shè)備：XX品牌XX型號?。這時我們應(yīng)該怎么做（）A)有可能是誤報，不用理睬B)確認(rèn)是否是自己的設(shè)備登錄，如果不是，則盡快修改密碼C)自己的密碼足夠復(fù)雜，不可能被破解，堅決不修改密碼D)撥打110報警，讓警察來解決[單選題]89.如下措施不能有效防御XSS的是A)同源策略B)編碼C)過濾D)CSP（內(nèi)容安全策略）[單選題]90.如果一個網(wǎng)站存在CSRF可以通過CSRF漏洞做那些事情A)獲取網(wǎng)站用戶注冊的個人資料信息B)修改網(wǎng)站用戶的個人資料信息C)冒充網(wǎng)站用戶的身份發(fā)布信息D)以上都可以[單選題]91.在評估信息系統(tǒng)的管理風(fēng)險。首先要查看A)控制措施已經(jīng)適當(dāng)B)控制的有效性適當(dāng)C)監(jiān)測資產(chǎn)有關(guān)風(fēng)險的機制D)影響資產(chǎn)的漏洞和威脅[單選題]92.74.以下關(guān)于開展軟件安全開發(fā)必要性描述錯誤的是？（）A)軟件應(yīng)用越來越廣泛B)軟件應(yīng)用場景越來越不安全C)軟件安全問題普遍存在D)以上都不是[單選題]93.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)……DDoS攻擊所致，影響規(guī)模驚人，對人們成產(chǎn)生活造成嚴(yán)重影響，DDoS攻擊的主要目的是破壞系……()A)保密性B)可用性C)不可否認(rèn)性D)抗……性[單選題]94.HADoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在HADoop1.0.0版本之前,HADoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時并不需要進(jìn)行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到HADoop集群上,惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NAmeNo安康頭發(fā)TAskTrACker接受任務(wù)等。在HADoop2.0中引入KerBeros機制來解決用戶到服務(wù)器認(rèn)證問題,KerBeros認(rèn)證過程不包括()A)獲得票據(jù)許可票據(jù)B)獲得服務(wù)許可票據(jù)C)獲得密鑰分配中心的管理權(quán)限D(zhuǎn))獲得服務(wù)[單選題]95.435.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁時總導(dǎo)致病毒感染系統(tǒng)，為了解這一問題，老王要求信息安全員給出解決措施，信息安全給出了四條措施建議，老王多年的信息安全管理經(jīng)驗，認(rèn)為其中一條不太適合推廣，你認(rèn)為是哪條措施（）A)采購防病毒的網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實現(xiàn)對所有瀏覽網(wǎng)頁進(jìn)行檢測，阻止網(wǎng)頁中的病毒檢測和查殺能力B)采購并統(tǒng)一部署企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進(jìn)行病毒庫升級，確保每臺計算機都具備有效的病毒檢測和查殺能力C)制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器D)組織對員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識[單選題]96.高層管理者對信息安全管理的承諾以下說法不正確的是?A)制定、評審、批準(zhǔn)信息安全方針。B)為信息安全提供明確的方向和支持。C)為信息安全提供所需的資源。D)對各項信息安全工作進(jìn)行執(zhí)行、監(jiān)督與檢查。[單選題]97.分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會把它當(dāng)作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯誤的是（）A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯誤的訪問控制[單選題]98.風(fēng)險評估相關(guān)政策，目前主要有()(國信辦[2006]5號)。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(），評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險的影響等、兩類信息系統(tǒng)的(）、涉密信息系統(tǒng)參照?分級保護(hù)?、非涉密信息系統(tǒng)參照?等級保護(hù)?。A)《關(guān)于開展信息安全風(fēng)險評估工作的意見》；重要程度:安全威脅:脆弱性；工作開展B)《關(guān)于開展風(fēng)險評估工作的意見》；安全威脅重要程度脆弱性:工作開展C)《關(guān)于開展風(fēng)險評估工作的意見》；重要程度；安全威脅:脆弱性:工作開展D)《關(guān)于開展信息安全風(fēng)險評估工作的意見》；脆弱性；重要程度安全威脅:工作開展[單選題]99.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中,錯誤的是()。A)密碼協(xié)議(cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議,其目的是提供安全服務(wù)B)根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人C)在實際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式D)密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟,協(xié)議中的每個參與方都必須了解協(xié)議,且按步驟執(zhí)行[單選題]100.ISO27002（Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進(jìn)變化示意圖，圖中括號空白處應(yīng)填寫A)BS7799.1.3B)ISO17799C)AS/NZS4630D)NISTSP800-37[單選題]101.TCP/IP協(xié)議的4層概念模型是?A)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C)應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D)會話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層[單選題]102.進(jìn)入21世紀(jì)以來,信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點,紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略,但各國歷史、國情和文化不同,網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說法不正確的是:A)與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B)美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題,信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔(dān)C)各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D)在網(wǎng)絡(luò)安全戰(zhàn)略中,各國均強調(diào)加強政府管理力度,充分利用社會資源,發(fā)揮政府與企業(yè)之間的合作關(guān)系[單選題]103.serv-u提權(quán)后的權(quán)限A)ROOTB)GUESTC)ADMIND)SYSTEM[單選題]104.72.不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況，選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中，錯誤的是（）。A)A．定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和損失量B)B．定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)選擇定性風(fēng)險分析C)C．定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進(jìn)行，所以分析結(jié)果和風(fēng)險評估團(tuán)隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D)D．定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性[單選題]105.傳輸層如何讓主機能同時針對不同應(yīng)用程序維護(hù)多個通信流A)使用錯誤控制機制B)使用只適合多個并發(fā)傳輸?shù)臒o連接協(xié)議C)使用多個第2層源地址D)使用多個端口[單選題]106.終端訪問控制器訪問控制系統(tǒng)(TERMINALAccessControllerAccess-ControlSystem,TACACS),在認(rèn)證過程中,客戶機發(fā)送一個START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個認(rèn)證會話開始時使用一個,序列號永遠(yuǎn)為().服務(wù)器收到START包以后,回送一個REPLY包,表示認(rèn)證繼續(xù)還是結(jié)束。A)0B)1C)2D)4[單選題]107.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A)在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B)在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C)確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D)在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行[單選題]108.在信息安全管理工作中?符合性?的含義不包括哪一項？A)對法律法規(guī)的符合B)對安全策略和標(biāo)準(zhǔn)的符合C)對用戶預(yù)期服務(wù)效果的符合D)通過審計措施來驗證符合情況[單選題]109.老王是某政府信息中心主任，以下哪項項目是符合《保守國家秘密法》要求的()A)老王安排下屬小李將損害的涉密計算機的某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B)老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫C)老王提出對加密機和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用D)老王要求下屬小張把中心所有計算機貼上密級標(biāo)志[單選題]110.12.下面對信息安全漏洞的理解中，錯誤的是（）A)討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B)信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護(hù)階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C)信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟(jì)損失D)由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的[單選題]111.在你對遠(yuǎn)端計算機進(jìn)行ping操作,不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL值是不同的,TTL是IP協(xié)議包中的一個值,它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。(簡而言之,你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TL值,可以大致判斷()A)內(nèi)存容量B)操作系統(tǒng)的類型C)對方物理位置D)對方的MAC地址[單選題]112.域名注冊信息可在哪里找到？A)路由器B)DNS記錄C)Whois數(shù)據(jù)庫D)MIBs庫[單選題]113.如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個服務(wù)：A)DHCPB)NFSC)SAMBAD)SSH[單選題]114.通過社會工程的方法進(jìn)行非授權(quán)訪問的風(fēng)險可以通過以下方法避免:A)安全意識程序B)非對稱加密C)入侵偵測系統(tǒng)D)非軍事區(qū)[單選題]115.如果你作為甲方負(fù)責(zé)監(jiān)管一個信息安全工程項目的實施，當(dāng)乙方提出一項工程變更時你最應(yīng)當(dāng)關(guān)注的是：A)變更的流程是否符合預(yù)先的規(guī)定B)變更是否會對項目進(jìn)度造成拖延C)變更的原因和造成的影響D)變更后是否進(jìn)行了準(zhǔn)確的記錄[單選題]116.如圖所示,主體S對客體01有讀(R)權(quán)限,對客體02有讀(R)、寫()權(quán)限。該圖所示的訪問控制實現(xiàn)方法是:A)訪問控制表(ACL)B)訪問控制矩陣C)能力表(CL)D)前綴表(Profiles)[單選題]117.下列關(guān)于servicepassword-encryption命令的說法中哪項正確A)servicepassword-encryption命令應(yīng)在特權(quán)執(zhí)行模式提示符下輸入B)servicepassword-encryption命令只加密控制臺與VTY端口的口令C)servicepassword-encryption命令對運行配置中先前未加密的所有口令進(jìn)D)若要查看通過servicepassword-encryption命令加密的口令，可輸入noservicepassword-encryption命令[單選題]118.根據(jù)SSE-CMM以下哪項不是在安全工程過程中實施安全控制時需要做的？A)獲得用戶對安全需求的理解B)建立安全控制的職責(zé)C)管理安全控制的配置D)進(jìn)行針對安全控制的教育培訓(xùn)[單選題]119.分組密碼算法是一類十分重要的密碼算法,下面描述中,錯誤的是()。A)分組密碼算法要求輸入明文按組分成固定長度的塊B)分組密碼算法也稱為序列密碼算法C)分組密碼算法每次計算得到固定長度的密文輸出塊D)常見的DES、IDEA算法都屬于分組密碼算法[單選題]120.xxxxxx法律責(zé)任強制力的安全管理規(guī)定和安全制度包括（）1Xxxxx事件（包括安全事故）報告制度2安全等級保護(hù)制度3信息系統(tǒng)安全監(jiān)控、4安xxxx制度A)x，x，4B)x，3C)2，3，4D)1，2，3[單選題]121.有關(guān)數(shù)據(jù)的使用,錯誤的是?A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)[單選題]122.以下關(guān)于UDP協(xié)議的說法,哪個是錯誤的?A)UDP具有簡單高效的特點,常被攻擊者用來實施流量型拒絕服務(wù)攻擊B)UDP協(xié)議包頭中包含了源端口號和目的端口號,因此UDP可通過端口號將數(shù)據(jù)包送達(dá)正確的程序C)相比TCP協(xié)議,UDP協(xié)議的系統(tǒng)開銷更小,因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D)UDP協(xié)議不僅具有流量控制,超時重發(fā)等機制,還能提供加密等服務(wù),因此常用來傳輸如視頻會話這類需要隱私保護(hù)的數(shù)據(jù)[單選題]123.下列哪一項信息不包含在X.509規(guī)定的數(shù)字證書中？A)證書有效期B)證書持有者的公鑰C)證書頒發(fā)機構(gòu)的簽名D)證書頒發(fā)機構(gòu)的私鑰[單選題]124.kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三的認(rèn)證服務(wù),減輕應(yīng)用Kerberos的運行環(huán)境由秘鑰分發(fā)中心(KDC)、應(yīng)用服務(wù)器和客戶端三個部分組成,認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器A)1--2--3B)3--2--1C)2--1--3D)3--1--2[單選題]125.在Windows7中，通過控制面板（管理工具--本地安全策略--安全設(shè)置--賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進(jìn)行設(shè)置A)密碼必須符合復(fù)雜性要求B)密碼長度最小值C)強制密碼歷史D)賬號鎖定時間[單選題]126.攻擊者通過對目標(biāo)主機進(jìn)行端口掃可以直接獲得（）。A)目標(biāo)主機的操作系統(tǒng)信息B)目標(biāo)主機開放端口服務(wù)信息C)目標(biāo)主機的登錄口令D)目標(biāo)主機的硬件設(shè)備信息[單選題]127.自ISO27001.2006標(biāo)準(zhǔn)發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了（）的認(rèn)證，在我國，自從2008年將ISO27001.2006轉(zhuǎn)化為國家標(biāo)準(zhǔn)CB/T22080.2008以來，信息安全管理（）在國內(nèi)進(jìn)一步獲得了全面推廣。越來越多的行業(yè)和組織認(rèn)識到（）的重要性，并把它作為（）工作之一開展起來。依據(jù)慣例，ISO組織每5年左右會對標(biāo)準(zhǔn)進(jìn)行一次升級。2013年10月19日，ISO組織正式發(fā)布了新版的信息安全管理（）（ISO27001：2013）。A)體系認(rèn)證；信息安全管理體系；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)B)信息安全管理體系；體系認(rèn)證；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)C)信息安全管理體系；信息安全；基礎(chǔ)管理；體系認(rèn)證；體系標(biāo)準(zhǔn)D)信息安全管理體系；基礎(chǔ)管理；體系認(rèn)證；信息安全；體系標(biāo)準(zhǔn)[單選題]128.如果有一位攻擊者在搜索引擎中搜索?.doc+?來尋找XXX.com網(wǎng)站上所有WORD文件，同時通過?.mdb??.ini?等關(guān)鍵字來找到該網(wǎng)站下的mdb庫文件，配置信息等非公開信息，請問這屬于（）類型的攻擊？A)定點挖掘B)攻擊定位C)網(wǎng)絡(luò)嗅探D)溢出攻擊[單選題]129.橋接或通明模式是比較流行防火墻部署方式，這種方式A)不需要對原有的網(wǎng)絡(luò)配置進(jìn)行修改B)性能比較高C)防火墻本身不容易受到攻擊D)易于在防火墻上實現(xiàn)NAT[單選題]130.關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（）。A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B)行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)C)國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止[單選題]131.小趙在去一家大型企業(yè)應(yīng)聘時，經(jīng)理要求他說出為該企業(yè)的信息系統(tǒng)設(shè)計自主訪問控制模型為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗看應(yīng)該采取的最合適的模型是（）A)按列讀取訪問控制矩形形成的訪問控制列表（ACL）B)按列讀取訪問控制矩形形成的能力表（CL）C)按行讀取訪問控制矩形形成的訪問控制列表（ACL）D)按行讀取訪問控制矩形形成的能力表（CL）[單選題]132.34.信息安全風(fēng)險值應(yīng)該是以下哪些因素的函數(shù)?()A)信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B)病毒、黑客、漏洞等C)保密信息如國家秘密、商業(yè)秘密等D)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度[單選題]133.以下哪一項不是《GB/T20274信息安全保障評估框架》給出的信息安全保障模型具備的特點？A)強調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)性，即強調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個信息系統(tǒng)生命周期的全過程。B)強調(diào)信息系統(tǒng)安全保障的概念，通過綜合技術(shù)、管理、工程和人員的安全保障要求來實施和實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)。C)以安全概念和關(guān)系為基礎(chǔ)，將安全威脅和風(fēng)險控制措施作為信息系統(tǒng)安全保障的基礎(chǔ)和核心。D)通過以風(fēng)險和策略為基礎(chǔ)，在整個信息系統(tǒng)的生命周期中實施技術(shù)、管理、工程和人員保障要素，從而使信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征。[單選題]134.秀源代碼審核工具有哪些特點（）（１）安全性（２）多平臺性(３)可擴民性(４)知識性(５)集成性A)12345B)234C)1234D)23[單選題]135.下列關(guān)于強制訪問控制模型的選項中，沒有出現(xiàn)錯誤的是（）A)強制訪問控制是指用戶（而非文件）具有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個用戶是否可以訪問某個文件B)安全屬性是強制性的規(guī)定，當(dāng)它由用戶或操作系統(tǒng)根據(jù)限定的規(guī)則確定后，不能隨意修改C)如果系統(tǒng)認(rèn)為具有某一個安全屬性的用戶不適于訪問某個文件，那么任何人（包括文件的擁有者）都無法使用該用戶具有訪問該文件的權(quán)利D)它是一種對單個用戶執(zhí)行訪問控制的過程和措施[單選題]136.GB／T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實施若干活動，請選出以下描述錯誤的選項（）A)制定ISMS方針是建產(chǎn)ISMS階段工作內(nèi)容B)實施培訓(xùn)和意識教育計劃是實施和運行ISMS階段工作內(nèi)容C)進(jìn)行有效性測量是監(jiān)視和評審ISMS階段工作內(nèi)容D)實施內(nèi)部審核是保護(hù)和改進(jìn)ISMS階段工作內(nèi)容[單選題]137.30.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A)應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B)應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C)對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D)根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）[單選題]138.下列關(guān)于kerckhof準(zhǔn)則的說法正確的是A)保持算法的秘密性比保持密鑰的秘密性要困難的多B)密鑰一旦泄漏，也可以方便的更換C)在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全D)公開的算法能夠經(jīng)過更嚴(yán)格的安全性分析[單選題]139.7.加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows操作系統(tǒng)的一個組件。以下說法錯誤的是（）。A)EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能加密數(shù)據(jù)B)EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C)EFS加密系統(tǒng)使用NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Windows7環(huán)境下）D)EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登錄Windows時進(jìn)行的[單選題]140.隨著人們信息安全意識的不斷增強,版權(quán)保護(hù)也受到越來越多的關(guān)注。在版權(quán)保護(hù)方面國內(nèi)外使用較為廣泛的是數(shù)字對象標(biāo)識符DOI(DigitalObjectIdentifier)系統(tǒng),它是由非贏利性組織國際DOI基金會IDF(InternationalDOIFoundation)研究設(shè)計的,在數(shù)字環(huán)境下標(biāo)識知識產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示,則下面對于DOI系統(tǒng)認(rèn)識正確的是()A)DOI是一個暫時性的標(biāo)識號,由IntermationalDOIFoundation管理B)DOI的優(yōu)點有唯一性、持久性、兼容性、或操作性、動態(tài)更新C)DOI命名規(guī)則中前綴和后綴兩部之間用?;?分開D)DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式[單選題]141.為了開發(fā)高質(zhì)量的軟件,軟件效率成為最受關(guān)注的話題。那么開發(fā)效率主要取決于以下兩點:開發(fā)新功能是否迅速以及修復(fù)缺陷是否及時。為了提高軟件測試的效率,應(yīng)()。A)隨機地選取測試數(shù)據(jù)B)取一切可能的輸入數(shù)據(jù)為測試數(shù)據(jù)C)在完成編碼以后制定軟件的測試計劃D)選擇發(fā)現(xiàn)錯誤可能性最大的數(shù)據(jù)作為測試用例[單選題]142.DMZ區(qū)域A)內(nèi)網(wǎng)可以直接訪問,外網(wǎng)不行B)外網(wǎng)可以直接訪問,內(nèi)網(wǎng)不行C)內(nèi)外網(wǎng)都不行D)內(nèi)網(wǎng)都可以[單選題]143.關(guān)于linux下的用戶和組,以下描述不正確的是。A)在linux中,每一個文件和程序都?xì)w屬于一個特定的?用戶?B)系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C)用戶和組的關(guān)系可以是多對一,一個組可以有多個用戶,一個用戶不能屬于多個組D)root是系統(tǒng)的超級用戶,無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]144.Windows上，想要查看進(jìn)程在打開那些文件，可以使用哪個命令或工具A)openfilesB)dirC)listD)filelist[單選題]145.以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題?（）A)大整數(shù)分解B)離散對數(shù)問題C)背包問題D)偽隨機數(shù)發(fā)生器[單選題]146.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素？A)信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)B)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C)消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D)該銀行整體安全策略[單選題]147.社會工程學(xué)是()與()結(jié)合的學(xué)科,準(zhǔn)確來說,它不是一門科學(xué),因為它不能總是重復(fù)合成功,并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的(),隨著時間流逝最終都會失效,因為系統(tǒng)的漏洞可以彌補,體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代,社會工程學(xué)利用的是人性的?弱點?,而人性是()這使得它幾乎是永遠(yuǎn)有效的()。A)網(wǎng)絡(luò)安全;心理學(xué);攻擊方式;永恒存在的;攻擊方式B)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);永恒存在的;攻擊方式C)網(wǎng)絡(luò)安全;心理學(xué);永恒存在的;攻擊方式D)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);攻擊方式;永恒存在的[單選題]148.5.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationsystems）(ISO/IEC27001:2013)，而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）.請問，這兩個標(biāo)準(zhǔn)的關(guān)系是（）A)IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B)EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C)AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D)沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較[單選題]149.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn),下列說法不正確的是:A)組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn),也是ISMS審核的依據(jù)B)組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄,對這些記錄不需要保護(hù)和控制C)組織在每份文件的首頁,加上文件修訂跟蹤表,以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D)層次化的文檔是ISMS建設(shè)的直接體現(xiàn),文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險評估的結(jié)果建立[單選題]150.惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù),對惡意軟件的分析難度越來越大。對惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個研究熱點。小趙通過查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實際上是虛擬化技術(shù)的應(yīng)用,是動態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動態(tài)分析的知識,其中錯誤的是()A)動態(tài)分析是指在虛擬運行環(huán)境中,使用測試及監(jiān)控軟件,檢測惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài),從而判斷惡意代碼的性質(zhì),并掌握其行為特點B)動態(tài)分析針對性強,并且具有較高的準(zhǔn)確性,但由于其分析過程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證C)動態(tài)分析通過對其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機制D)動態(tài)分析通過監(jiān)控系統(tǒng)進(jìn)程、文件和注冊表等方面出現(xiàn)的非正常操作和變化,可以對惡意代碼非法行為進(jìn)行分析[單選題]151.以下哪個屬性不會出現(xiàn)在防火墻的訪問控制策略配置中？A)本局域網(wǎng)內(nèi)地址B)百度服務(wù)器地址C)HTTP協(xié)議D)病毒類型[單選題]152.目前,很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:()A)有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B)對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D)打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境[單選題]153.weblogic有幾個默認(rèn)賬戶與密碼形同的賬號不包括那個A)adminB)weblogicC)guestD)system[單選題]154.SQLServer支持兩種身份驗證模式,即Windows身份驗證模式和混合模式。SQLServer的混合模式是指,當(dāng)網(wǎng)絡(luò)用戶嘗試連接到SQLServer數(shù)據(jù)庫時,()A)Windows獲取用戶輸入的用戶和密碼,并提交給SQLServer進(jìn)行身份驗證,并決定用戶的數(shù)據(jù)庫訪問權(quán)限B)SQLServer根據(jù)用戶輸入的用戶和密碼,提交給Windows進(jìn)行身份驗證,并決定用戶的數(shù)據(jù)庫訪問權(quán)限C)SOLServer根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性,對用戶身份進(jìn)行驗證,井決定用戶的數(shù)據(jù)訪問權(quán)限D(zhuǎn))登錄到本地Windows的用戶均可無限制訪問SQLServer數(shù)據(jù)庫[單選題]155.近幾年，無線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個領(lǐng)域。而無線信道是一個開放性信道，它在賦予無線用戶通信自由的同時也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項中，對無線通信技術(shù)的安全特點描述正確的是（）A)無線通道是一個開放性通道，任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C)對于無線局域網(wǎng)絡(luò)和無線個人區(qū)域網(wǎng)絡(luò)來說，它們的通信內(nèi)容更容易被竊聽D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容[單選題]156.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標(biāo)。為了實現(xiàn)控制外部各方的目標(biāo)應(yīng)該包括下列哪個選項？A)信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B)信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C)與特定利益集團(tuán)的聯(lián)系、信息安全的獨立評審D)與外部各方相關(guān)風(fēng)險的識別、處理外部各方協(xié)議中的安全問題[單選題]157.對于青少年而言，日常上網(wǎng)過程中，下列選項，存在安全風(fēng)險的行為是？A)將電腦開機密碼