CISE考試練習(xí)(習(xí)題卷1)

試卷科目：CISE考試練習(xí)CISE考試練習(xí)(習(xí)題卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISE考試練習(xí)第1部分：單項(xiàng)選擇題，共260題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對組織內(nèi)部信息安全的有效管理，應(yīng)該實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)（）A)信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B)信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C)與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評審D)與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問題[單選題]2.在信息系統(tǒng)中，訪問控制是重要的安全功能之一．它的任務(wù)是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上對用戶的訪問權(quán)限進(jìn)行管理，防止對信息的非授權(quán)篡改和濫用。訪間控制模型將實(shí)體劃分為主體和客體兩類，通過對主體身合的識(shí)別來限制其對客體的訪問權(quán)展。下列選項(xiàng)中，對主體、客體和訪問權(quán)限的描述中錯(cuò)誤的是（）A)對文件進(jìn)行操作的用戶是一種主體B)主體可以接收客體的信息和數(shù)據(jù)，也可以改變客體相關(guān)的信息C)訪問權(quán)限是指主體對客體所允許的操作D)對目錄的訪問權(quán)限可分為讀、寫和拒絕訪問[單選題]3.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），既強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測、（）和自適應(yīng)填充?安全間隙?為循環(huán)來提高（）A)漏銅檢測；控制和對抗；動(dòng)態(tài)性；網(wǎng)絡(luò)安全B)動(dòng)態(tài)性；控制和對抗；漏洞監(jiān)測；網(wǎng)絡(luò)安全C)控制和對抗；漏銅監(jiān)測；動(dòng)態(tài)性；網(wǎng)絡(luò)安全D)控制和對抗：動(dòng)態(tài)性；漏洞監(jiān)測；網(wǎng)絡(luò)安全[單選題]4.下列關(guān)于邏輯覆蓋的敘述中，說法錯(cuò)誤的是（）A)對于多分支的判定，判定覆蓋要使每一個(gè)判定方式獲得每一種可能的值來測試B)語句覆蓋較判定覆蓋嚴(yán)格，但該測試仍不充分C)語句覆蓋是比較弱的覆蓋標(biāo)準(zhǔn)D)條件組合覆蓋是比較強(qiáng)的覆蓋標(biāo)準(zhǔn)[單選題]5.小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請問這種風(fēng)險(xiǎn)處置的方法是（）。A)降低風(fēng)險(xiǎn)B)規(guī)避風(fēng)險(xiǎn)C)轉(zhuǎn)移風(fēng)險(xiǎn)D)放棄風(fēng)險(xiǎn)[單選題]6.安全審計(jì)是一種很常見的安全控制措施，它在信息安全保障體系中，屬于（）措施。A)保護(hù)B)檢測C)響應(yīng)D)恢復(fù)[單選題]7.GB/T22080200《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)。請選出以下描述錯(cuò)誤的選項(xiàng)（）。A)?制定ISMS方針?是建立ISMS階段工作內(nèi)容B)?實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃?是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C)?進(jìn)行有效性測量?是監(jiān)視和評審ISMS階段工作內(nèi)容D)實(shí)施內(nèi)部審核?是保持和改進(jìn)ISMS階段工作內(nèi)容[單選題]8.ITIL最新版本是V3.0，它包含5個(gè)生命周期，分別是（）A)戰(zhàn)略階段：設(shè)計(jì)階段：轉(zhuǎn)換階段：運(yùn)營階段：改進(jìn)階段B)設(shè)計(jì)階段：戰(zhàn)略階段：轉(zhuǎn)換階段：運(yùn)營階段：改進(jìn)階段C)戰(zhàn)略階段：設(shè)計(jì)階段：運(yùn)營階段：轉(zhuǎn)換階段：改進(jìn)階段D)轉(zhuǎn)換階段：戰(zhàn)略階段：設(shè)計(jì)階段：運(yùn)營階段：改進(jìn)階段[單選題]9.客戶采購和使用云計(jì)算服務(wù)的過程可分為四個(gè)階段：規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)。如圖所示。在（）階段，客戶應(yīng)分析采用云計(jì)算服務(wù)的效益，確定自身的數(shù)據(jù)和業(yè)務(wù)類型，判定是否適合采用云計(jì)算服務(wù)。A)退出服務(wù)B)規(guī)劃準(zhǔn)備C)運(yùn)行監(jiān)督D)選擇服務(wù)商與部署[單選題]10.P2DR模型是一個(gè)用于描述網(wǎng)絡(luò)動(dòng)態(tài)安全的模型，這個(gè)模型經(jīng)常使用圖形的形式來形象表達(dá)，如下圖所示：請問圖中空白處應(yīng)填寫是（）A)執(zhí)行（do）B)檢測（detection）C)數(shù)據(jù)（data）D)持續(xù)（direction）[單選題]11.小張是一名CISP人員。某天他聽到小李說某電商平臺(tái)在?雙十一?節(jié)期間某款平板電腦如果輸入1111，購買產(chǎn)品的單價(jià)就會(huì)變?yōu)?元。請問以下哪項(xiàng)行為符合作為CISP的職業(yè)道德（）A)按照小李的說法嘗試，發(fā)現(xiàn)成功后立即付款購買B)在微博上將該信息發(fā)布C)對該電商平臺(tái)進(jìn)行一次滲透測試，查找所有可能的漏洞D)打電話或發(fā)郵件告知該電商平臺(tái)存在錯(cuò)誤[單選題]12.對照ISO/OSI參考模型各個(gè)層中的網(wǎng)絡(luò)安全服務(wù)，在物理層可以采用哪種方式來加強(qiáng)通信線路的安全（）A)防竊聽技術(shù)B)防火墻技術(shù)C)防病毒技術(shù)D)防拒認(rèn)技術(shù)[單選題]13.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過程是這樣的（1）用戶通過HITP協(xié)議訪問信息系統(tǒng)，（2）用戶在登錄頁，面輸入用戶名和口令：（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成，可以看出，這個(gè)鑒別過程屬于（）A)單向鑒別B)雙向鑒別C)三向簽別D)第三方鑒別[單選題]14.對信息安全事件的分級參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級別的是（）A)特別重要信息系統(tǒng)B)重要信息系統(tǒng)C)一般信息系統(tǒng)D)關(guān)鍵信息系統(tǒng)[單選題]15.風(fēng)險(xiǎn)評估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測試，判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件。A)脆弱性掃描工具B)滲透測試工具C)拓?fù)浒l(fā)現(xiàn)工具D)安全審計(jì)工具[單選題]16.不恰當(dāng)?shù)漠惓Ｌ幚恚侵竁eb應(yīng)用在處理內(nèi)部異常、錯(cuò)誤時(shí)處理不當(dāng)，導(dǎo)致會(huì)給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。某軟件開發(fā)團(tuán)隊(duì)的成員經(jīng)常遇到處理內(nèi)部異常，他知道如果錯(cuò)誤時(shí)處理不當(dāng)，導(dǎo)致會(huì)給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。這會(huì)導(dǎo)致（）A)A堆棧追溯B)蠕蟲傳播C)釣魚網(wǎng)站D)拒絕服務(wù)[單選題]17.出了針對此批漏洞修補(bǔ)的四個(gè)建議方案，請選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A)由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對單位所有的服務(wù)器和客產(chǎn)端盡快安裝補(bǔ)丁B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C)對于重要的服務(wù)，應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D)對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù)，由終端自行[單選題]18.在一個(gè)使用Chinesewall型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)x在一個(gè)興趣沖突，數(shù)據(jù)Y和Z在另一個(gè)信息興趣沖突域中，那么可以確定一個(gè)新注冊的用戶（）A)只有訪問了W之后，才可以訪問XB)只有訪問了W之后，才可以訪問Y和Z中的一個(gè)C)無論是否訪問W，都只能訪問Y和Z中的一個(gè)D)無論是否訪問W，都不能訪問Y或Z[單選題]19.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中錯(cuò)誤的是（）A)在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式B)密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行C)根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D)密碼協(xié)議（cryptographicprotocol），有時(shí)也稱安全協(xié)議（securityprotocol），是使用密碼x學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)。[單選題]20.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是：（）A)有助于建立和實(shí)施信息安全產(chǎn)品的市場準(zhǔn)入制度B)對用戶采購信息安全產(chǎn)品，設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D)打破市場壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競爭環(huán)境[單選題]21.從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了對超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性，下列選項(xiàng)中，對特權(quán)管理機(jī)制的理解錯(cuò)誤的是（）A)普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動(dòng)之初擁有全部權(quán)能B)系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C)進(jìn)程可以放棄自己的某些權(quán)能D)當(dāng)普通用戶的某些操作設(shè)計(jì)特權(quán)操作時(shí)，仍然通過setuid實(shí)現(xiàn)[單選題]22.關(guān)于國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，2012年國務(wù)院下發(fā)了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》的23號文，明確指出（）A)大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全，對調(diào)整經(jīng)濟(jì)結(jié)構(gòu)、轉(zhuǎn)變發(fā)展方式、保障和改善民生、維護(hù)國家安全具有重大意義B)信息安全工作的戰(zhàn)略統(tǒng)籌和綜合協(xié)調(diào)不夠，重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)防護(hù)能力不強(qiáng)C)設(shè)立國家安全委員會(huì)，完善國家安全體制和國家安全戰(zhàn)略，確保國家安全D)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行為和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的基礎(chǔ)設(shè)施[單選題]23.某信息安全公司的團(tuán)隊(duì)對某款名為?紅包快搶?的外掛進(jìn)行分析，發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán).該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計(jì)算機(jī)中，通過修改注冊表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)，為防范此類木馬后門的攻擊，以下做法無用的是（）A)不下載，不執(zhí)行，不接收來歷不明的軟件或文件B)不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C)使用用戶名和密碼信息D)安裝反病毒軟件和防火墻，安裝專門的木馬防治軟件[單選題]24.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)和成功，并且在信息充分多的情況下它會(huì)失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會(huì)工程學(xué)利用的是人性的?弱點(diǎn)?，而人性是（），這使得它幾乎可以說是永遠(yuǎn)有效的（）。A)網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B)網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C)網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式；攻擊方式D)網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的[單選題]25.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），目的是為保障政府（）提供了（）信息安全保障技術(shù)框架的一個(gè)核心思想是（）。深度防御戰(zhàn)略的三個(gè)核心要素：（）、技術(shù)、運(yùn)行（亦稱為操作）。A)信息基礎(chǔ)設(shè)施；技術(shù)指南；深度防御；人員B)技術(shù)指南；信息基礎(chǔ)設(shè)施；深度防御；人員C)信息基礎(chǔ)設(shè)施；深度防御；技術(shù)指南；人員D)信息基礎(chǔ)設(shè)施；技術(shù)指南；人員；深度防御[單選題]26.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握能力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是（）A)喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客B)實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C)搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)D)鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)[單選題]27.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中經(jīng)常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（）A)既能物理隔離，又能邏輯隔離B)B能物理隔離，但不能邏輯隔離C)不能物理隔離，但是能邏輯隔離D)不能物理隔離，也不能邏輯隔離[單選題]28.信息安全風(fēng)險(xiǎn)評估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》（國新辦【2006】5號）中，指出了風(fēng)險(xiǎn)評估分為自評估和檢查評估二種形式，并對二種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是（）A)自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B)檢查評估是指信息系統(tǒng)上級管理部門組織的國際有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估C)信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充D)自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從二中工作形式選擇一個(gè)，并堅(jiān)持使用[單選題]29.Kerberos協(xié)議是常用的集中訪問控制協(xié)議，通過可信第三方的認(rèn)證服務(wù)，減輕應(yīng)用服務(wù)器的負(fù)擔(dān)。Kerberos的運(yùn)行環(huán)境由密鑰分發(fā)中心（KDC）：應(yīng)用服務(wù)器和客戶端三個(gè)部分組成。其中，KDC分為認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS兩部分．下圖展示了kerberos協(xié)議的三個(gè)階段，分別是（1）kerberos獲得服務(wù)許可票據(jù)，（2）kerberos獲得服務(wù)，（3）kerberos獲得票據(jù)許可票據(jù)．下列選項(xiàng)中，對這三個(gè)階段的排序正確的是（）A)（1）→（2）→（3）B)（3）→（2）→（1）C)（2）一（1）→（3）D)（3）→（1）→（2）[單選題]30.下圖是使用CC標(biāo)準(zhǔn)進(jìn)行信息安全評估的基本過程在圖（1）-（3）處填入構(gòu)成評估相關(guān)要素的主要因素，下列選項(xiàng)中正確的是（）A)（1）評估方法學(xué)（2）最終評估結(jié)果（3）批準(zhǔn)、認(rèn)證B)（1）評估方法學(xué)（2）認(rèn)證過程（3）最終評估結(jié)果C)（1）評估合理性（2）最終評估結(jié)果（3）批準(zhǔn)、認(rèn)證D)（1）評估合理性（2）認(rèn)證過程（3）最終評估結(jié)果[單選題]31.恢復(fù)時(shí)間目標(biāo)（RecoveryTimeobjective，RTO）和恢復(fù)點(diǎn)目標(biāo)這兩個(gè)指標(biāo)的數(shù)值越來越小隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn)，小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是（）A)RTO可以為0，RPO也可以為0B)RTO可以為0，RPO不可以為0C)RTO不可以為0，RPO可以為0D)RTO不可以為0，RPO也不可以為0[單選題]32.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一，關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是（）A)信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對措施B)應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C)應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時(shí)的工作，其主要包括西部分工作：安全事件發(fā)生時(shí)正確指揮、事件發(fā)生后全面總結(jié)D)應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性[單選題]33.PDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的是（）A)A是Act或Adjust，指持續(xù)改進(jìn)問題B)D是Do，指實(shí)施、具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容C)C是Check，指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問題D)Prepare，指分析問題、發(fā)現(xiàn)問題、確定方針、目標(biāo)和活動(dòng)計(jì)劃[單選題]34.某公司一名員工在瀏覽網(wǎng)頁時(shí)電腦遭到攻擊，同公司的技術(shù)顧問立即判斷這是跨站腳本引起的，并告訴該員工跨站腳本分為三種類型，該員工在這三種類型中又添一種，打算考考公司的小張，你能找到該員工新增的錯(cuò)誤答案嗎？（）A)反射型XSSB)存儲(chǔ)型XSSC)基于INTEL的XSSD)基于DOM的XSS[單選題]35.在軟件保障成熟度模型（SoftwareAssuranceMaturityModeSAMM）中，規(guī)定了開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能（）A)治理，主要是管理軟件開發(fā)的過程和活動(dòng)B)構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C)驗(yàn)證，主要是測試和驗(yàn)證軟件的過程與活動(dòng)D)購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)[單選題]36.許多安全漏洞一樣是由于程序員的疏忽大意造成的。某公司程序員正在編寫代碼，他的任務(wù)是：打印輸出一個(gè)字符串或者把這個(gè)串拷貝到某緩沖區(qū)內(nèi)。為了節(jié)約時(shí)間和提高效率，他將代碼：printf（％s，str）：省略為printf（str）.請問這會(huì)造成哪種安全漏洞（）A)整數(shù)溢出B)堆溢出C)格式化字符串D)緩沖區(qū)溢出[單選題]37.CC標(biāo)準(zhǔn)是計(jì)算機(jī)安全認(rèn)證的國際標(biāo)準(zhǔn)（ISO/IEC15408）．CC標(biāo)準(zhǔn)中四個(gè)關(guān)鍵概念，分別為TOE、PP、ST、EAL，它們的含義分別是（）A)保護(hù)輪廓；安全目標(biāo)；評估對象；評估保證級B)保護(hù)輪廓；評估對象；評估保證級；安全目標(biāo)C)評估對象；保護(hù)輪廓；安全目標(biāo)；評估保證級D)評估對象；保護(hù)輪廓；評估保證級；安全目標(biāo)[單選題]38.軟件按照設(shè)計(jì)的要求，在規(guī)定時(shí)間和條件下達(dá)到不出故障，持續(xù)運(yùn)行的要求的質(zhì)量特性稱為（）A)可用性B)可靠性C)正確性D)完整性[單選題]39.小明對QQ這樣的即時(shí)通訊軟件有一定的了解，他知道盡管即時(shí)通訊應(yīng)用能夠幫助我們通過互聯(lián)網(wǎng)進(jìn)行交流，但如果不采取恰當(dāng)?shù)姆雷o(hù)措施，即時(shí)通訊可能被攻擊者利用給個(gè)人和組織機(jī)構(gòu)帶來新的安全風(fēng)險(xiǎn)。對于如何安全使用即時(shí)通訊，小明列出如下四項(xiàng)措施，其中錯(cuò)誤的是（）A)不惜一切代價(jià)自建服務(wù)器的即時(shí)通訊系統(tǒng)B)選擇在設(shè)計(jì)上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時(shí)通訊軟件C)禁止在即時(shí)通訊中傳輸敏感及以上級別的文檔D)涉及重要操作包括轉(zhuǎn)賬等必須電話或其他可靠方式確認(rèn)[單選題]40.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞。根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論，他這個(gè)掃描活動(dòng)屬于下面哪一個(gè)階段的工作（）A)風(fēng)險(xiǎn)分析B)風(fēng)險(xiǎn)要素識(shí)別C)風(fēng)險(xiǎn)結(jié)果判定D)風(fēng)險(xiǎn)處理[單選題]41.?統(tǒng)一威脅管理?是將防病毒、入便檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里?統(tǒng)一威脅管理?常常被簡稱為（）A)UTMB)FWC)IDSD)SOC[單選題]42.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實(shí)施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請問，按照PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）A)準(zhǔn)備階段B)檢測階段C)遏制階段D)根除階段[單選題]43.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為400萬元人民幣，暴露系數(shù)（ExposureFactor，F(xiàn)）是25％，年度發(fā)生率（AnnualizedRateofOccurrence，ARO）為0.2，那么小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy，ALE）應(yīng)該是（）A)100萬元人民幣B)400萬元人民幣C)20萬元人民幣D)180萬元人民幣[單選題]44.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）。A)身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B)安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問C)剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問D)機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級、機(jī)房的建造和機(jī)房的裝修等[單選題]45.風(fēng)險(xiǎn)，在GB/T22801中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面，如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響？（）A)組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立相應(yīng)的保護(hù)要求，通過構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響B(tài))加強(qiáng)防護(hù)措施，降低風(fēng)險(xiǎn)C)減少威脅和脆弱點(diǎn)，降低風(fēng)險(xiǎn)D)減少資產(chǎn)降低風(fēng)險(xiǎn)[單選題]46.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國發(fā)布的文件（）。A)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)【2003】27號）B)《國家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》（國令【2008】54號）C)《國家信息安全戰(zhàn)略報(bào)告》（國信【2005】2號）D)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)【2012】23號）[單選題]47.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面的工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn).一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法.請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)。（）A)風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)，以及半定量風(fēng)險(xiǎn)分析B)定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直分析覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C)定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D)半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化[單選題]48.集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃，提大培訓(xùn)任務(wù)和目標(biāo)，關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選題中合理的是（）A)由于網(wǎng)絡(luò)安全上升到國家安全的高度，網(wǎng)絡(luò)安全必須得到足夠的重視，因此安持了對集團(tuán)公司下屬單位的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全培訓(xùn)B)對下級單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安排培訓(xùn)，建議通過CISP培訓(xùn)以確保人員能力得到保障C)對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員，軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，是相關(guān)人員對網(wǎng)絡(luò)安全有所了解D)對全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn)，實(shí)現(xiàn)全員信息安全意識(shí)教育[單選題]49.保護(hù)-檢測-響應(yīng)（Protection-Detection-Response，PDR）模型是（）工作中常用的模型，其思想是承認(rèn)（）中漏洞的存在，正視系統(tǒng)面臨的（），通過采取適度防護(hù)、加強(qiáng)（）、落實(shí)對安全事件的響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)的安全.A)信息系統(tǒng)；信息安全保障；威脅；檢測工作B)信息安全保障；信息系統(tǒng)；檢測工作；威脅C)信息安全保障；信息系統(tǒng)；威脅；檢測工作D)信息安全保障；威脅；信息系統(tǒng)；檢測工作[單選題]50.某公司為加強(qiáng)員工的信息安全意識(shí)，對公司員工進(jìn)行了相關(guān)的培訓(xùn)，在介紹如何防范第三方人員通過社會(huì)工程學(xué)方式入侵公司信息系統(tǒng)時(shí)，提到了以下幾點(diǎn)要求，其中在日常工作中錯(cuò)誤的是（）。A)不輕易泄露敏感信息B)在相信任何人之前先校驗(yàn)其真實(shí)的身份C)不違背公司的安全策略D)積極配合來電電話、郵件的任何業(yè)務(wù)要求、即便是馬上提供本人的口信息[單選題]51.以下關(guān)于威脅建模流程步驟說法不正確的是（）A)威脅建模主要流程包括四步：確定建模對象、識(shí)別威脅、評估威脅和消減威脅B)評估威脅是對威脅進(jìn)行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)C)消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來消減威脅D)識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，也可能不是惡意的，威脅就是漏洞[單選題]52.（）是行為人由于過錯(cuò)侵害人身、財(cái)產(chǎn)和（），依法應(yīng)承擔(dān)民事責(zé)任的（），以及按照法律特殊規(guī)定應(yīng)當(dāng)承擔(dān)民事責(zé)任的（），侵權(quán)行為構(gòu)成要件，主要集中在以下幾個(gè)因素，即：過錯(cuò)、（）、損害事實(shí)是否是侵權(quán)行為必要構(gòu)成要件上。2017年3月15日全第十二屆全國人大五次會(huì)議表決通過了《中華人民共和國民法總則》，國家主席習(xí)近平簽署第66號主席令予以公布，民法總則將于2017年10月1日起施行。（）A)民事侵權(quán)行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法B)民事行為；權(quán)益；不法行為；其他侵害行為；不法行為C)民事行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法D)民事侵害行為；其他合法權(quán)益；不法行為；行為不法；其他侵害行為[單選題]53.《信息安全保障技術(shù)框架》（InformatiohAssuranceTechnicalFramework，IATF）是由（）發(fā)布的。A)中國B)美國C)俄羅斯D)歐盟[單選題]54.《網(wǎng)絡(luò)安全法》于以下哪個(gè)日期正式實(shí)施？()A)2014年2月27日B)2015年6月26日C)2016年11月7日D)2017年6月1日[單選題]55.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（）A)ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文，使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的B)單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C)解決ARP欺騙的一個(gè)有效方法是采用?靜態(tài)?的ARP緩存，如果發(fā)生硬件地址的更改，需要人工更新緩存D)徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接[單選題]56.關(guān)于信息安全保障技術(shù)框架（IATF），以下說法不正確的是（）A)分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級保障解決方案以便降低信息安全保障的成本B)IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破-層也無法破壞整個(gè)信息基礎(chǔ)設(shè)施C)允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案，確保系統(tǒng)安全性D)IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制[單選題]57.基于對（）的信任，當(dāng)一個(gè)請求或命令來自一個(gè)?權(quán)威?人士時(shí)，這個(gè)請求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成?公安部門?人員，要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進(jìn)行一次系統(tǒng)測試要求（）等。A)權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼B)權(quán)威；執(zhí)行；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼C)執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼D)執(zhí)行；權(quán)威；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼[單選題]58.在課堂上，四名同學(xué)分別對WEP\IEEB802．IIi與WAPI三個(gè)安全協(xié)議在鑒別與加密方面哪一個(gè)做的更好做出了回答，請問哪一個(gè)同學(xué)回答的更準(zhǔn)確()A)WEP更好，因?yàn)槠涫褂瞄_放式系統(tǒng)鑒別或共享密鑰鑒別B)IEE．802.11i更好，因?yàn)橹С指鞣N鑒別方式C)WAPI更好，因?yàn)椴捎霉€數(shù)字證書作為身份憑證；無線用戶與無線接入點(diǎn)地位對等，實(shí)現(xiàn)無線接入點(diǎn)的接入控制；客戶端支持多證書，方便用戶多處使用D)都一樣[單選題]59.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下（）中的輸出結(jié)果A)險(xiǎn)評估準(zhǔn)備階段B)風(fēng)險(xiǎn)要素識(shí)別階段C)風(fēng)險(xiǎn)分析階段D)風(fēng)險(xiǎn)結(jié)果判定階段[單選題]60.小趙是一名小公司的數(shù)據(jù)庫維護(hù)人員，他以長期的實(shí)踐為基礎(chǔ)，從數(shù)據(jù)資源的保護(hù)角度出發(fā)，歸納出常見的應(yīng)用系統(tǒng)主要威脅，其中不符合出發(fā)點(diǎn)的是（）A)把數(shù)據(jù)機(jī)密性保護(hù)B)競爭狀態(tài)C)備份容災(zāi)D)數(shù)據(jù)訪問權(quán)限[單選題]61.信息應(yīng)按照其法律要求、價(jià)值、對泄露或篡改的（）和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對其分類負(fù)責(zé)。分類的結(jié)果表明了（），該價(jià)值取決于其對組織的敏感性和關(guān)鍵性如保密、完整性和有效性。信息要進(jìn)行標(biāo)記務(wù)體現(xiàn)其分類，標(biāo)記的規(guī)程需要涵蓋物理和電子格式的（)。分類信息的標(biāo)(）和元數(shù)據(jù)標(biāo)簽是常見的形記和安全處理是信息共享的一個(gè)關(guān)鍵要求。式，標(biāo)記應(yīng)易于所機(jī)個(gè)質(zhì)類型的處理方式，組織要建立與信息分的產(chǎn)處理、加工、存儲(chǔ)和（）。A)敏感性：物理標(biāo)簽：資產(chǎn)的價(jià)值：信息資產(chǎn)；交換規(guī)程B)敏感性；信息資產(chǎn)；資產(chǎn)的價(jià)值：物理標(biāo)簽；交換規(guī)程C)資產(chǎn)的價(jià)值；敏感性；信息資產(chǎn)；物理標(biāo)簽；交換規(guī)程D)敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)；物理標(biāo)簽；交換規(guī)程[單選題]62.在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí)，組織的（）和實(shí)施方法（如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程）應(yīng)（）。獨(dú)立評審宜由管理者啟動(dòng)，由獨(dú)立于被評審范圍的人員執(zhí)行，例如內(nèi)部審核部門、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)模ǎ?。管理人員宜對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行（）。為了日常評審的效率，可以考慮使用自動(dòng)測量和（）。評審結(jié)果和管理人員采取的糾正措施宜被記錄，且這些記錄宜予以維護(hù)。A)信息安全管理；獨(dú)立審查；報(bào)告工具：技能和經(jīng)驗(yàn)；定期評審B)信息安全管理；技能和經(jīng)驗(yàn)：獨(dú)立審查；定期評審；報(bào)告工具C)獨(dú)立審查：信息安全管理；技能和經(jīng)驗(yàn)；定期評審；報(bào)告工具D)信息安全管理：獨(dú)立審查；技能和經(jīng)驗(yàn)；定期評審；報(bào)告工具[單選題]63.實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步鑒別方法的強(qiáng)度不斷提高，常見的方法有利用口令鑒別、令牌鑒別、指紋鑒別等，小王在登陸某移動(dòng)支付平臺(tái)時(shí)，首先需要通過指紋對用戶身份進(jìn)行鑒別。通過鑒別后，他才能作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項(xiàng)中的（）A)實(shí)體所知的鑒別方法B)實(shí)體所有的鑒別方法C)實(shí)體特征的鑒別方法D)實(shí)體所見的鑒別方法[單選題]64.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫中，請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則（）A)最小特權(quán)原則B)職責(zé)分離原則C)縱深防御原則D)最少共享機(jī)制原則[單選題]65.為推動(dòng)和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類.下面四個(gè)標(biāo)準(zhǔn)中，（）提出和規(guī)定了不同安全保護(hù)等級信息系統(tǒng)的最低保護(hù)要求，并按照技術(shù)和管理兩個(gè)方面提出了相關(guān)基本安全要求。A)GB/T22239-2019《網(wǎng)絡(luò)安全等級保護(hù)基本要求》B)GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》C)GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》D)GB/T28449-2012《信息系統(tǒng)安全等級保護(hù)測評過程指南》[單選題]66.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字【2004】66號），對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）。A)該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B)該文件適用于2004年的等級保護(hù)工作，其內(nèi)容不能約束到2005年及以后的工作C)該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍D)該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位[單選題]67.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評估后，形成了若干文檔，下面（）中的檔不應(yīng)屬王風(fēng)險(xiǎn)評必中?風(fēng)險(xiǎn)評估準(zhǔn)備?階段輸出的文檔，A)《風(fēng)險(xiǎn)評估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評估的目的意義、范圍、目標(biāo)、組織結(jié)構(gòu)，角色及職責(zé)，經(jīng)費(fèi)預(yù)算?和進(jìn)度安排內(nèi)容B)《風(fēng)險(xiǎn)評估方法和工具表》，主要包括擬用的風(fēng)險(xiǎn)評估方法和測試估工等內(nèi)容C)《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D)《風(fēng)險(xiǎn)評估準(zhǔn)側(cè)要求》，主要報(bào)告風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估參考標(biāo)準(zhǔn)，采用的風(fēng)險(xiǎn)分析方法，風(fēng)險(xiǎn)計(jì)算方法，資產(chǎn)分類標(biāo)準(zhǔn)，要產(chǎn)分類準(zhǔn)則等內(nèi)容[單選題]68.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是（）A)國家標(biāo)準(zhǔn)＜信息系統(tǒng)安全保障評估框架第一部分；簡介和一般模型＞（GB/18336.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可跟據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C)信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的安全D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性，完整性和可用性，單位對信息系統(tǒng)維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入[單選題]69.2017年Fox-IT和Riscure的研究人員使用現(xiàn)成的電子部件組裝了一款設(shè)備提取AES256算法中的加密密鑰，使用附近計(jì)算機(jī)的電磁輻射，通過屏幕輻射竊密就能推斷出加密密鑰，他們可能利用了AES代替和置換的特點(diǎn)修改了密鑰，以下（）密碼算法也可能存在類似的風(fēng)險(xiǎn)（）A)RSA算法B)SM2算法C)IDEA算法D)EIGamal公鑰密碼算法[單選題]70.組織應(yīng)開發(fā)和實(shí)施使用（）來保護(hù)信息的策略，基于風(fēng)險(xiǎn)評估，宜確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量。當(dāng)實(shí)施組織的（）時(shí)，宜考慮我國應(yīng)用密碼技術(shù)的規(guī)定和限制，以及（）跨越國界時(shí)的問題。組織應(yīng)開發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求，包括密鑰的生成、存儲(chǔ)、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外，秘鑰和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲(chǔ)和歸檔密鑰的設(shè)備宜進(jìn)行（）。A)加密控制措施；加密信息；密碼策略；密鑰管理；物理保護(hù)B)加密控制措施；密碼策略；密鑰管理；加密信息；物理保護(hù)C)加密控制措施；密碼策略；加密信息：密鑰管理；物理保護(hù)D)加密控制措施：物理保護(hù)；密碼策略；加密信息；密鑰管理[單選題]71.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）A)要求開發(fā)人員采用瀑布開發(fā)模型進(jìn)行開發(fā)B)要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C)要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D)要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題[單選題]72.下圖描繪了信息安全管理體系的PDCA模型，其中，建立ISMS中，組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細(xì)說明和正當(dāng)性理由。組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS（）。實(shí)施和運(yùn)行ISMS中，組織應(yīng)為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)模ǎ①Y源、職責(zé)和優(yōu)先順序，監(jiān)視和評審ISMS中，組織應(yīng)執(zhí)行監(jiān)視監(jiān)視與評審規(guī)程和其他（），以迅速檢測過程運(yùn)行結(jié)果中的錯(cuò)誤，迅速識(shí)別試圖的和得逞的安全違章和事件，使管理者能夠確定分配給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否按期望執(zhí)行，通過使用指示器幫助檢測安全事態(tài)并預(yù)防安全事件，確定解決安全違規(guī)的措施是否有效，保持和改進(jìn)ISMS中，組織應(yīng)經(jīng)常進(jìn)行ISMS改進(jìn)，采取合適的糾正和（），從其他組織和組織自身的安全經(jīng)驗(yàn)中（）。A)方針；管理措施；控制措施；預(yù)防措施；吸取教訓(xùn)B)方針；控制措施；管理措施；預(yù)防措施；吸取教訓(xùn)C)方針；預(yù)防措施；管理措施；控制措施；吸取教訓(xùn)D)方針；吸取教訓(xùn)；管理措施；控制措施；預(yù)防措施[單選題]73.一個(gè)信息管理系統(tǒng)通常會(huì)對用戶進(jìn)行分組并實(shí)施訪問控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而部門的管理人員能夠?qū)φn程信息、學(xué)生的選課人能售內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對訪問控制的作用的理解錯(cuò)誤的是（）。A)對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B)拒絕非法用戶的非授權(quán)訪問請求C)在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理D)防止對信息的非授權(quán)篡改和濫用[單選題]74.Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（）。A)PP2PB)L2TPC)SSLD)IPSec[單選題]75.在信息安全風(fēng)險(xiǎn)管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的（）A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B)背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性，并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告[單選題]76.以下關(guān)于VPN說法正確的是（）A)VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B)VPN不能做到信息認(rèn)證和身份認(rèn)證C)VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D)VPN只能提供身份認(rèn)證不能提供加密數(shù)據(jù)的功能[單選題]77.以下哪個(gè)是國際信息安全標(biāo)準(zhǔn)化組織的簡稱（）A)ANSTB)ISOC)IEEED)NIST[單選題]78.信息安全事件的分類方法有很多種，依據(jù)GB/Z20986-2007《信息安全技全事件分類分級指南》，信息安全事件分7個(gè)基本類別，描述正確的是（）A)有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件B)網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件C)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備故障、災(zāi)害性事件和其他信息安全事件D)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件[單選題]79.邏輯覆蓋測試是通過對程序邏輯結(jié)構(gòu)的遍歷實(shí)現(xiàn)程序的覆蓋。從覆蓋源代碼的不同程度可以分為以下六個(gè)標(biāo)準(zhǔn)：語句覆蓋、判定覆蓋（又稱為分支覆蓋）、條件覆蓋、判定-條件覆蓋（又稱為分支-條件覆蓋）、條件組合覆蓋和路徑覆蓋。下列幾種的邏輯測試覆蓋中，測試覆蓋最弱的是（）A)條件覆蓋B)條件組合覆蓋C)語句覆蓋D)判定/條件覆蓋[單選題]80.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁時(shí)總導(dǎo)致病毒感染系統(tǒng)，為了解決這一問題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，，老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一條不太適合推廣，你認(rèn)為是哪條措施（）A)采購防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對所有預(yù)覽網(wǎng)頁進(jìn)行檢測，阻止網(wǎng)頁中的病毒進(jìn)入網(wǎng)頁B)采購并統(tǒng)一部屬企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進(jìn)行病毒庫升級，確保每臺(tái)計(jì)算機(jī)都具備有效的病毒檢測和查殺能力C)制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器D)組織對員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)[單選題]81.信息安全管理體系（InformationsecurityManagementSystem，簡稱ISMS）是1998年前后從（）發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（ManagementSystem，MS）思想和方法（）的應(yīng)用。近年來，伴隨著ISMS（)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決（）的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其（）的一種有效途徑。A)英國：信息安全領(lǐng)域；國際標(biāo)準(zhǔn)；信息安全問題；信息安全水平和能力B)法國；信息安全領(lǐng)域；國際標(biāo)準(zhǔn)；信息安全問題；信息安全水平和能力C)英國；國際標(biāo)準(zhǔn)；信息安全領(lǐng)域；信息安全問題；信息安全水平和能力D)德國；信息安全問題；信息安全領(lǐng)域；國際標(biāo)準(zhǔn)；信息安全水平和能力[單選題]82.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程XP＿Ccmdshe11刪除了系統(tǒng)中的一個(gè)重要文件，在進(jìn)行問題分析時(shí)，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則：（）A)權(quán)限分離原則B)最小特權(quán)原則C)保護(hù)最薄弱環(huán)節(jié)的原則D)縱深防御的原則[單選題]83.信息系統(tǒng)建設(shè)完成后，到達(dá)（）的信息系統(tǒng)的運(yùn)營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機(jī)構(gòu)，進(jìn)行測評合格后方可投入使用。A)二級以上B)三級以上C)四級以上D)五級以上[單選題]84.在軟件開發(fā)過程中，高質(zhì)量軟件產(chǎn)生的過程與每一個(gè)環(huán)節(jié)都息息相關(guān)。那么在軟件可維護(hù)性中哪兩項(xiàng)是相互矛盾的（）A)可修改性和可理解性B)可測試性和可理解性C)效率和可修改性D)可理解性和可讀性[單選題]85.下列關(guān)于強(qiáng)制訪問控制模型的選項(xiàng)中，沒有出現(xiàn)錯(cuò)誤的選項(xiàng)是（）。A)強(qiáng)制訪問控制是指用戶（而非文件）具有一個(gè)固定的安全屬性，系統(tǒng)用改安全屬性來決定一個(gè)用戶是否可以訪問某個(gè)文件B)安全屬性是強(qiáng)制性的規(guī)定，當(dāng)它由用戶或操作系統(tǒng)根據(jù)限定的規(guī)則確定后，不能隨意修改C)如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的用戶不適于訪問某個(gè)文件，那么任何人（包括文件的擁有者）都無法使用該用戶具有訪問該文件的權(quán)利D)它是一種對單個(gè)用戶執(zhí)行訪問控制的過程和措施[單選題]86.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)后，對于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是（）A)信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后，制定的能共同的和重復(fù)使用的規(guī)則B)信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防為主的思想C)信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動(dòng)態(tài)控制的思想，因?yàn)榘踩珕栴}是動(dòng)態(tài)的，系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)D)信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙π畔踩芾砩婕暗姆椒矫婷鎸?shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低[單選題]87.維基百科（Wikipedia）中，大數(shù)據(jù)則被定義為巨量數(shù)據(jù)，也稱海量數(shù)據(jù)或大資料，是指所涉及的數(shù)據(jù)量規(guī)模巨大到無法人為的在合理時(shí)間內(nèi)達(dá)到截取、管理、處理、并整理成為人類所能解讀的信息。大數(shù)據(jù)的四個(gè)特點(diǎn)：Volume、Velocity、Variety、Value，其中他們的含義分別為（）。A)海量的數(shù)據(jù)規(guī)模；快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系；多樣的數(shù)據(jù)類型；巨大的數(shù)據(jù)價(jià)值B)海量的數(shù)據(jù)規(guī)模；快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系；巨大的數(shù)據(jù)價(jià)值；多樣的數(shù)據(jù)類型C)海量的數(shù)據(jù)規(guī)模；巨大的數(shù)據(jù)價(jià)值；快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系；多樣的數(shù)據(jù)類型D)巨大的數(shù)據(jù)價(jià)值；快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系；多樣的數(shù)據(jù)類型；海量的數(shù)據(jù)規(guī)模[單選題]88.由于IP協(xié)議提供無連接的服務(wù)，在傳送過程中若發(fā)生差錯(cuò)就需要哪一個(gè)協(xié)議向源節(jié)點(diǎn)報(bào)告差錯(cuò)情況，以便源節(jié)點(diǎn)對此做出相應(yīng)的處理（）A)TCPB)UDPC)ICMPD)RARP[單選題]89.Kerberos協(xié)議是一種集中訪問控制協(xié)議，它能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶安全的單點(diǎn)登錄服務(wù)，單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不在需要其他的身份認(rèn)證過程，實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。其中，消息M是指以下選項(xiàng)中的（）A)安全憑證B)用戶名C)加密密鑰D)會(huì)話密鑰[單選題]90.有關(guān)危害國家秘密安全的行為包括（）A)嚴(yán)重違反保密規(guī)定行為，定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B)嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C)嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為D)嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、單不包括保密行政管理部門的工作人員的違法行為[單選題]91.在新的信息系統(tǒng)或增強(qiáng)已有（）的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安全控制措施的要求，信息安全的系統(tǒng)要求與實(shí)施安全的過程宜在信息系統(tǒng)項(xiàng)目的早期階段被集成，早早期如設(shè)計(jì)階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個(gè)正式的（）過程。通過（）訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動(dòng)、合同爭端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評估并進(jìn)行適當(dāng)?shù)目刂?，包括?yàn)證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的（）。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的（）。A)披露和修改；信息系統(tǒng)、測試和獲取、公共網(wǎng)絡(luò)；復(fù)制或重播B)信息系統(tǒng)；測試和獲?。慌逗托薷模还簿W(wǎng)絡(luò)；復(fù)制或重播C)信息系統(tǒng)；測試和獲取；公共網(wǎng)絡(luò)；披露和修改；復(fù)制或重播D)信息系統(tǒng)；公共網(wǎng)絡(luò)；測試和獲??；披露和修改；復(fù)制或重播[單選題]92.組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保持足夠的支持技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采取（）。當(dāng)供應(yīng)商提供的服務(wù)，包活對（）方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評估風(fēng)險(xiǎn)的基礎(chǔ)上管理。A)供應(yīng)商；服務(wù)管理；信息安全；合適的措施；信息安全B)服務(wù)管理；供應(yīng)商；信息安全；合適的措施；信息安全C)供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全D)供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全[單選題]93.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的？（）A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C)用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)[單選題]94.小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問題，小紅說他看到新聞?wù)f在2011年2月3日，在全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天劃分給所有的區(qū)域互聯(lián)網(wǎng)注冊管理機(jī)構(gòu)，IP地址總庫已經(jīng)枯竭，小明嚇了一跳覺得以后上網(wǎng)會(huì)成問題，小紅安慰道，不用擔(dān)心，現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢，以下小紅的優(yōu)點(diǎn)中錯(cuò)誤的是（）A)網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展B)IPv6對多播進(jìn)行了改進(jìn)，使得具有更大的多播地址空間C)繁雜報(bào)頭格式D)良好的擴(kuò)展性[單選題]95.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪向控制功能，在以下選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）,A)訪問控制列表（ACL）B)能力表（CL）C)BLP模型D)Biba模型[單選題]96.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（）A)A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B)A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C)A類、B類和C類地址中都可以設(shè)置私有地址D)A類、B類和C類地址中都沒有私有地址[單選題]97.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯(cuò)誤的是（）A)應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，事件發(fā)生后所采取的措施B)應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C)對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D)根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個(gè)級別：大事件（1級）、重大事件（II級）、較大事件（II級）和一般事件（IV級）[單選題]98.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭執(zhí)不下，作為信安全專家，請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法（）A)信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B)軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡單，因此費(fèi)用更低C)雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D)雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同[單選題]99.SSE-CMM將域維中的工程過程類的（）過程區(qū)域劃分為（）過程區(qū)，分別是（）、（）、（）它們相互獨(dú)立。（）識(shí)別出所開發(fā)的產(chǎn)品或系統(tǒng)的風(fēng)險(xiǎn)，并對這些風(fēng)險(xiǎn)進(jìn)行優(yōu)先級排序。針對風(fēng)險(xiǎn)所面臨的安全問題，系統(tǒng)安全工程過程要與其他工程一起來確定和實(shí)施解決方案。最后，由安全保證過程建立起解決方案的可信性并向用戶轉(zhuǎn)達(dá)這種（）。這三個(gè)過程共同實(shí)現(xiàn)了安全工程過程結(jié)果所要達(dá)到的安全目標(biāo)，答案為（）A)12個(gè)；三個(gè)；風(fēng)險(xiǎn)過程；工程過程；保證過程；工程過程；安全可信性B)12個(gè)；三個(gè)；風(fēng)險(xiǎn)過程；工程過程；保證過程；風(fēng)險(xiǎn)過程；安全可信性C)11個(gè)；三個(gè)；風(fēng)險(xiǎn)過程；工程過程；保證過程；風(fēng)險(xiǎn)過程；安全可信性D)11個(gè)；三個(gè)；風(fēng)險(xiǎn)過程；工程過程；保證過程；工程過程；安全可信性[單選題]100.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告。關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是（）。A)信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來撰寫B(tài))信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫信息安全保障方案的前提和依據(jù)C)信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D)信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫[單選題]101.?凱撒密碼?的密碼系統(tǒng)在密碼學(xué)的發(fā)展階段中屬于哪個(gè)階段？（）A)第一階段：古典密碼（ClassicalCryptography）階段B)第二階段：近代密碼階段C)第三階段：現(xiàn)代密碼學(xué)階段D)第四階段：自1976年開始一直延續(xù)到現(xiàn)在[單選題]102.在密碼學(xué)的Kerchhoff假設(shè)中，密碼系統(tǒng)的安全性僅依賴于（）。A)明文B)密文C)密鑰D)信道[單選題]103.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的（）A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件B)國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國際標(biāo)準(zhǔn)條約為準(zhǔn)C)行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn).同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止[單選題]104.小王進(jìn)行資產(chǎn)評估的過程中，根據(jù)資產(chǎn)的表現(xiàn)形式對資產(chǎn)進(jìn)行了分類，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。有一種類型的資產(chǎn)中含有源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊、各類紙質(zhì)的文檔等。請問這是哪種類型的資產(chǎn)（）A)軟件B)硬件C)數(shù)據(jù)D)服務(wù)[單選題]105.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了（待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A)風(fēng)險(xiǎn)評估準(zhǔn)備B)風(fēng)險(xiǎn)要素識(shí)別C)風(fēng)險(xiǎn)分析D)風(fēng)險(xiǎn)結(jié)果判定[單選題]106.COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）是國際專業(yè)協(xié)會(huì)ISACA為信息技術(shù)（IT）管理和IT治理創(chuàng)建的良好實(shí)踐框架。COBIT提供了一套可實(shí)施的?信息技術(shù)控制?，并圍繞IT相關(guān)流程和推動(dòng)因素的邏輯框架進(jìn)行組織COBIT模型如圖所示，按照流程，請問，COBIT組件包含（）部分A)流程描述、框架、控制目標(biāo)、管理指南、成熟度模型B)框架、流程描述、管理指南、控制目標(biāo)、成熟度模型C)框架、流程描述、控制目標(biāo)、管理指南、成熟度模型D)框架、管理指南、流程描述、控制目標(biāo)、成熟度模型[單選題]107.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏補(bǔ)丁，安全運(yùn)維人員給出了針對此批漏洞修補(bǔ)的四個(gè)建議方案，請選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A)由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏潤，為了避免安全風(fēng)險(xiǎn)，應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B)本次發(fā)布的漏銅目前尚未出現(xiàn)利用工具，因此不會(huì)對系統(tǒng)產(chǎn)生實(shí)質(zhì)性危險(xiǎn)，所以可以先不做處理C)對于重要的服務(wù)，應(yīng)在測試壞境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D)對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級[單選題]108.即使最好用的安全產(chǎn)品也存在（）的結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標(biāo)之間配備多種（）。每一種機(jī)制都應(yīng)包括（）兩種手段。A)安全機(jī)制：安全缺陷：保護(hù)和檢測B)安全缺陷：安全機(jī)制：保護(hù)和檢測C)安全缺陷；保護(hù)和檢測；安全機(jī)制D)安全缺陷；安全機(jī)制；外邊和內(nèi)部[單選題]109.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體，動(dòng)機(jī)，途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個(gè)工作屬于下面哪一個(gè)階段的工作（）A)資產(chǎn)識(shí)別并賦值B)脆弱性識(shí)別并賦值C)威脅識(shí)別并賦值D)確認(rèn)已有的安全措施并賦值[單選題]110.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是（）A)霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架B)時(shí)間維表示系統(tǒng)工程活動(dòng)從開始到結(jié)束按時(shí)間順序排列的全過程C)邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)D)知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)和藝術(shù)等各種知識(shí)和技能[單選題]111.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對于隨機(jī)進(jìn)程名技術(shù)，描述正確的是（）。A)隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身B)惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使進(jìn)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C)惡意代碼使用隨機(jī)進(jìn)程名是通過生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D)隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱[單選題]112.為了能夠合理、有序地處理安全事件，應(yīng)該先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低，PDCERF方法論是一種廣泛使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）A)培訓(xùn)階段B)文檔階段C)報(bào)告階段D)檢測階段[單選題]113.以下哪個(gè)說法最符合《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)的定義？A)計(jì)算機(jī)局域網(wǎng)B)包含服務(wù)器、交換機(jī)等設(shè)備的系統(tǒng)C)涵蓋處理各種信息的設(shè)備的網(wǎng)絡(luò)空間D)人與人交往聯(lián)系的社會(huì)網(wǎng)絡(luò)[單選題]114.按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，安全保護(hù)等級確定為（）以上的等級保護(hù)對象，其網(wǎng)絡(luò)運(yùn)營者需要組織進(jìn)行專家評審、主管部門審核和備案審核，并報(bào)送至公安機(jī)關(guān)進(jìn)行定級備案。A)零級系統(tǒng)B)一級系統(tǒng)C)二級系統(tǒng)D)三級系統(tǒng)[單選題]115.在GSM系統(tǒng)中手機(jī)與基站通信時(shí)，基站可以對手機(jī)的身份進(jìn)行認(rèn)證，而手機(jī)卻不能對基站的身份進(jìn)行認(rèn)證，因此?偽基站?系統(tǒng)可以發(fā)送與正規(guī)基站相同的廣播控制信號，攻擊者從中可以監(jiān)聽通話、獲取語音內(nèi)容與用戶識(shí)別碼等關(guān)鍵信息。GSM所采用的鑒別類型屬于（）A)單項(xiàng)鑒別B)雙向鑒別C)第三方鑒別D)實(shí)體特征鑒別[單選題]116.不同的信息安全風(fēng)險(xiǎn)評估方法可能得到不同的風(fēng)險(xiǎn)評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法，下面的描述中錯(cuò)誤的是（）。A)定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行評估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和損失量B)定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析C)定性風(fēng)險(xiǎn)分析過程中，往往需要憑借分析者的經(jīng)驗(yàn)直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D)定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性[單選題]117.社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最重要的環(huán)節(jié)，即?人?這個(gè)環(huán)節(jié)上，這些社會(huì)工程黑客在某黑客大會(huì)上成功收入世界五百強(qiáng)公司，其中名自稱為是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安全工程部門的合約雇員，在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其他信息，包括，操作系統(tǒng)，服務(wù)包，殺毒軟件，電子郵件及瀏覽器。為對執(zhí)此類信息收集和分析，公司需要做的是（）A)通過信息安全意識(shí)培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息采取最小化原則B)減少系統(tǒng)對外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C)關(guān)閉不必要的服務(wù)，部署防火墻，IDS等措施D)系統(tǒng)安全管理員使用漏銅掃描軟件對系統(tǒng)進(jìn)行安全審計(jì)[單選題]118.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。一般來說，DDOS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（）.A)保密性B)完整性C)可用性D)真實(shí)性[單選題]119.信息安全管理體系（informationsecuritymanagementsystem、isms）的內(nèi)部審核和管理審核是二項(xiàng)重要的管理活動(dòng)。關(guān)于這二者，下面描述錯(cuò)誤的是（）A)內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B)內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理審評會(huì)議的形式進(jìn)行C)內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)D)組織的信息安全方針、信息安全目標(biāo)和有關(guān)的ISMS文件等，在內(nèi)部審計(jì)中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象[單選題]120.安全評估技術(shù)采用（）這一工具，它是一種能夠自動(dòng)檢測遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。（A）A)安全掃描器B)安全掃描儀C)自動(dòng)掃描儀D)自動(dòng)掃描器[單選題]121.有關(guān)系統(tǒng)工程的特點(diǎn)說法錯(cuò)誤的是（）A)系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B)系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C)系統(tǒng)工程是織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D)系統(tǒng)工程是一種方法論[單選題]122.近幾年，無線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個(gè)領(lǐng)域。而無線信道是一個(gè)開放性信道，它在賦予無線用戶通信自由的同時(shí)也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項(xiàng)中，對無線通信技術(shù)的安全特點(diǎn)描述正確的是()。A)無線通道是一個(gè)開放性通道，任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C)對于無線局域網(wǎng)絡(luò)和無線個(gè)人區(qū)域網(wǎng)絡(luò)來說，它們的通信內(nèi)容更容易被竊聽D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容[單選題]123.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的規(guī)定，錯(cuò)誤的是（）。A)信息安全風(fēng)險(xiǎn)評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充B)信息安全風(fēng)險(xiǎn)評估工作要按照?嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效?的原則開展C)信息安全風(fēng)險(xiǎn)評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D)開展信息安全風(fēng)險(xiǎn)評估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的組織領(lǐng)導(dǎo)[單選題]124.將防火墻軟件安裝在路由器上，就構(gòu)成了簡單的什么防火墻（）A)子網(wǎng)過濾B)包過濾C)代理服務(wù)器D)主機(jī)過濾[單選題]125.一般地，IP分配會(huì)首先把整個(gè)網(wǎng)絡(luò)根據(jù)地域、區(qū)域。每個(gè)子區(qū)域從它的上級區(qū)域里獲取IP地址段，這種分配方法為什么分配方法（）A)自頂向下B)自下向上C)自左向右D)自右向左[單選題]126.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）A)最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B)最大共享策略，在保好能夠完成用產(chǎn)性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息C)粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級別越高，在實(shí)際中需要選擇最小粒度D)按內(nèi)容存取控制策略，不同權(quán)限的用戶訪間數(shù)據(jù)庫的不同部分[單選題]127.安全領(lǐng)域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描述是錯(cuò)誤的（）。A)安全域劃分劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)B)安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題C)以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段，從而使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)D)安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式[單選題]128.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告，該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息，雖然該用戶沒有主動(dòng)訪間該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息（還有他的好友的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了。這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A)分布式拒絕服式攻擊B)跨站腳本攻擊C)SQL注入攻擊D)緩沖區(qū)溢出攻擊[單選題]129.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)則（）A)抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公公合法權(quán)益B)通過公眾網(wǎng)絡(luò)傳播非法軟件C)不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D)幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力[單選題]130.SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一，隨著B／S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使用應(yīng)用程序存在安全隱患，小李在對某asp網(wǎng)站進(jìn)行測試時(shí)，采用經(jīng)典的1＝1,1＝2測試法，測試發(fā)現(xiàn)1＝1時(shí)網(wǎng)頁顯示正常，1＝2時(shí)報(bào)錯(cuò)，于是小李得出了四條猜測，則下列說法錯(cuò)誤的是（）A)該網(wǎng)站可能存在漏洞B)攻擊者可以根據(jù)報(bào)錯(cuò)信息獲得的信息，從而進(jìn)一步實(shí)施攻擊C)如果在網(wǎng)站前布署一臺(tái)H3C的IPS設(shè)備阻斷，攻擊者得不到任何有效信息D)該網(wǎng)站不可以進(jìn)行SQL注入攻擊[單選題]131.《網(wǎng)絡(luò)安全法》共計(jì)（），（），主要內(nèi)容包括：網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)運(yùn)行安全制度、（）、網(wǎng)絡(luò)信息保護(hù)制度、（）、等級保護(hù)制度、（）等。A)9章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度B)8章；79條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測預(yù)警制度；網(wǎng)絡(luò)安全審查制度C)8章；49條；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度；應(yīng)急和監(jiān)測預(yù)警制度