CISP考試認(rèn)證(習(xí)題卷2)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷2)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：?jiǎn)雾?xiàng)選擇題，共250題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是:A)規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B)設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性,提出安全功能需求C)實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別,并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn),是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面[單選題]2.某公司在討論如何確認(rèn)已有的安全措施,對(duì)于確認(rèn)已有這全措施,下列選項(xiàng)中近期內(nèi)述不正確的是()A)對(duì)有效的安全措施繼續(xù)保持,以避免不必要的工作和費(fèi)用,防止安全措施的重復(fù)實(shí)施B)安全措施主要有預(yù)防性、檢測(cè)性和糾正性三種C)安全措施的確認(rèn)應(yīng)評(píng)估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅D)對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾貌活橻單選題]3.30.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開(kāi)發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開(kāi)發(fā)安全投入經(jīng)費(fèi)研討時(shí)開(kāi)發(fā)部門(mén)和信息中心就發(fā)生了分歧，開(kāi)發(fā)部門(mén)認(rèn)為開(kāi)發(fā)階段無(wú)需投入，軟件開(kāi)發(fā)完成后發(fā)現(xiàn)問(wèn)題后再針對(duì)性的解決，比前期安全投入要成本更低;信息中心則認(rèn)為應(yīng)在軟件安全開(kāi)發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開(kāi)發(fā)安全投入的準(zhǔn)確說(shuō)法?A)信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問(wèn)題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B)軟件開(kāi)發(fā)部門(mén)的說(shuō)法是正確的，因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低C)雙方的說(shuō)法都正確，需要根據(jù)具體情況分析是開(kāi)發(fā)階段投入解決問(wèn)題還是在上線后再解決問(wèn)題費(fèi)用更低D)雙方的說(shuō)法都錯(cuò)誤，軟件安全問(wèn)題在任何時(shí)候投入解決都可以，只要是一樣的問(wèn)題，解決的代價(jià)相同[單選題]4.相比FAT文件系統(tǒng),以下那個(gè)不是NTFS所具有的優(yōu)勢(shì)?（）A)NTFS使用事務(wù)日志自動(dòng)記錄所有文件和文件夾更新,當(dāng)出現(xiàn)系統(tǒng)損壞引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作。B)NTFS的分區(qū)上,可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C)對(duì)于大磁盤(pán),NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下的EXT3文件格式。[單選題]5.計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效應(yīng)的確定和提取。以下關(guān)于計(jì)算機(jī)取證的描述中，錯(cuò)誤的是A)計(jì)算機(jī)取證包括對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的提取和歸檔B)計(jì)算機(jī)取證圍繞電子證據(jù)進(jìn)行，電子證據(jù)具有高科技性等特點(diǎn)C)計(jì)算機(jī)取證包括保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，確定收集和保存電子證據(jù)，必須在開(kāi)計(jì)算機(jī)的狀態(tài)下進(jìn)行D)計(jì)算機(jī)取證是一門(mén)在犯罪進(jìn)行過(guò)程中或之后收集證據(jù)[單選題]6.Hash算法的碰撞是指:A)兩個(gè)不同的消息,得到相同的消息摘要B)兩個(gè)相同的消息,得到不同的消息摘要C)消息摘要和消息的長(zhǎng)度相同D)消息摘要比消息長(zhǎng)度更長(zhǎng)[單選題]7.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容,GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小,如下圖所示,圖中括號(hào)應(yīng)填那個(gè)?()A)安全資產(chǎn)價(jià)值大小等級(jí)B)脆弱性嚴(yán)重程度等級(jí)C)安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D)安全事件造成損失大小[單選題]8.45.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登錄時(shí)如用戶名或口令輸入錯(cuò)誤，給用戶返回?用戶名或口令輸入錯(cuò)誤?信息，輸入錯(cuò)誤達(dá)到三次，將暫時(shí)禁止登錄該賬戶，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A)最小共享機(jī)制原則B)經(jīng)濟(jì)機(jī)制原則C)不信任原則D)默認(rèn)故障處理保護(hù)原則[單選題]9.小李在上網(wǎng)時(shí)不小心點(diǎn)開(kāi)了假冒某銀行的釣魚(yú)網(wǎng)站，誤輸入了銀行賬號(hào)與密碼損失上千元，他的操作如下圖所示，他所受到的攻擊是（）A)ARP欺騙B)DNS欺騙C)IP欺騙D)TCP會(huì)話劫持[單選題]10.SQLServer支持兩種身份驗(yàn)證模式，即Windows身份驗(yàn)證模式和混合模式。SQLServer的混合模式是指，當(dāng)網(wǎng)絡(luò)用戶嘗試連接到SQLServer數(shù)據(jù)庫(kù)時(shí)（）A)Windows獲取用戶輸入的用戶和密碼，并提交給SQLServer進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限B)SQLServer根據(jù)用戶輸入的用戶和密碼，提交給了windows進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限C)SQLServer根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性，對(duì)用戶身份進(jìn)行驗(yàn)證，并決定用戶的數(shù)據(jù)訪問(wèn)權(quán)限D(zhuǎn))登錄到本地Windows的用戶均可無(wú)限制訪問(wèn)SQLServer數(shù)據(jù)庫(kù)[單選題]11.以下關(guān)于法律的說(shuō)法錯(cuò)誤的是A)法律是國(guó)家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體現(xiàn)和效力B)法律可以是公開(kāi)的，也可以是?內(nèi)部?的C)一旦制定，就比較穩(wěn)定，長(zhǎng)期有效，不允許經(jīng)常更改D)法律對(duì)違法犯罪的后果有明確規(guī)定，是一種硬約束[單選題]12.55.（）在實(shí)施攻擊之前，需要盡量收集偽裝身份()，這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的()，那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者(）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號(hào)等等。A)攻擊者:所需要的信息:系統(tǒng)管理員:基礎(chǔ)；內(nèi)部約定B)所需要的信息:基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C)攻擊者:所需要的信息:基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D)所需要的信息:攻擊者:基礎(chǔ)；系統(tǒng)管理員:內(nèi)部約定[單選題]13.自主訪問(wèn)控制（DAC）是應(yīng)用很廣泛的訪問(wèn)控制方法，常用于多種商業(yè)系統(tǒng)中。以下對(duì)DAC模型的理解中，存在錯(cuò)誤的是（）A)在DAC模型中，資源的所有者可以規(guī)定誰(shuí)有權(quán)訪問(wèn)它們的資源B)DAC是一種對(duì)單個(gè)用戶執(zhí)行訪問(wèn)控制的過(guò)程和措施C)DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性可擴(kuò)展性，可以抵御特洛伊木馬的攻擊D)在DAC中，具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其他主體[單選題]14.以下哪一種身份驗(yàn)證機(jī)制為移動(dòng)用戶帶來(lái)驗(yàn)證問(wèn)題?A)可重復(fù)使用的密碼機(jī)制B)一次性口令機(jī)制。C)挑戰(zhàn)響應(yīng)機(jī)制。D)基于IP地址的機(jī)制[單選題]15.14.某單位計(jì)劃在今年開(kāi)發(fā)一套辦公自動(dòng)化（OA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在OA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開(kāi)發(fā)的建議，作為安全專家，請(qǐng)指出大家提供的建議中不太合適的一條？A)對(duì)軟件開(kāi)發(fā)商提出安全相關(guān)要求，確保軟件開(kāi)發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問(wèn)題B)要求軟件開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)培訓(xùn)，是開(kāi)發(fā)人員掌握基本軟件安全開(kāi)發(fā)知識(shí)C)要求軟件開(kāi)發(fā)商使用Java而不是ASP作為開(kāi)發(fā)語(yǔ)言，避免產(chǎn)生SQL注入漏洞D)要求軟件開(kāi)發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)[單選題]16.PDCA特征的描述不正確的是A)順序進(jìn)行,周而復(fù)始,發(fā)現(xiàn)問(wèn)題,分析問(wèn)題,然后是解決問(wèn)題B)大環(huán)套小環(huán),安全目標(biāo)的達(dá)成都是分解成多個(gè)小目標(biāo),一層層地解決問(wèn)題C)階梯式上升,每次循環(huán)都要進(jìn)行總結(jié),鞏固成績(jī),改進(jìn)不足D)信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問(wèn)題解決思路[單選題]17.以下說(shuō)法正確的是:.A)軟件測(cè)試計(jì)劃開(kāi)始于軟件設(shè)計(jì)階段,完成于軟件開(kāi)發(fā)階段B)驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收C)軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確D)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃,并提出審查意見(jiàn)[單選題]18.下列哪個(gè)是能執(zhí)行系統(tǒng)命令的存儲(chǔ)過(guò)程A)Xp_subdirsB)Xp_makecabC)Xp_cmdshellD)Xp_regread[單選題]19.以下關(guān)于風(fēng)險(xiǎn)評(píng)估的描述不正確的是?A)作為風(fēng)險(xiǎn)評(píng)估的要素之一,威脅發(fā)生的可能需要被評(píng)估B)作為風(fēng)險(xiǎn)評(píng)估的要素之一,威脅發(fā)生后產(chǎn)生的影響需要被評(píng)估C)風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步D)風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最終結(jié)果[單選題]20.不受限制的訪問(wèn)生產(chǎn)系統(tǒng)程序的權(quán)限將授予以下哪些人?A)審計(jì)師B)不可授予任何人C)系統(tǒng)的屬主。D)只有維護(hù)程序員[單選題]21.19.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是（A)WPA是有線局域安全協(xié)議，而WPA2是無(wú)線局域網(wǎng)協(xié)議B)WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議，而WPA2適用于全世界的無(wú)線局域網(wǎng)協(xié)議C)WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D)WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的[單選題]22.針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，這是（？）防火墻的特點(diǎn)A)復(fù)合型防火墻B)應(yīng)用級(jí)網(wǎng)關(guān)型C)代理服務(wù)型D)包過(guò)濾型[單選題]23.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A)WPA是有線局域安全協(xié)議,而WPA2是無(wú)線局域網(wǎng)協(xié)議B)WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議,WPA2是使用于全世界的無(wú)線局域網(wǎng)協(xié)議C)WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D)WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制定的[單選題]24.鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的：A)口令B)令牌C)知識(shí)D)常見(jiàn)的DES、IDEA算法都屬于分組密碼算法[單選題]25.使用熱站作為備份的優(yōu)點(diǎn)是:A)熱站的費(fèi)用低B)熱站能夠延長(zhǎng)使用時(shí)間C)熱站在短時(shí)間內(nèi)可運(yùn)作D)熱站不需要和主站點(diǎn)兼容的設(shè)備和系統(tǒng)軟件[單選題]26.在信息系統(tǒng)設(shè)計(jì)階段,?安全產(chǎn)品選擇?處于風(fēng)險(xiǎn)管理過(guò)程的哪個(gè)階段?A)背景建立B)風(fēng)險(xiǎn)評(píng)估C)風(fēng)險(xiǎn)處理D)批準(zhǔn)監(jiān)督[單選題]27.GB/T18336的最低級(jí)別是（）A)EAL1B)EAL3C)EAL5D)EAL7[單選題]28.SSE-CMM將域維中的工程過(guò)程類的（）過(guò)程區(qū)域劃分為（）過(guò)程區(qū)，分別是（）、（）、（）它們相互獨(dú)立。（）識(shí)別出所開(kāi)發(fā)的產(chǎn)品或系統(tǒng)的風(fēng)險(xiǎn)，并對(duì)這些風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。針對(duì)風(fēng)險(xiǎn)所面臨的安全問(wèn)題，系統(tǒng)安全工程過(guò)程要與其他工程一起來(lái)確定和實(shí)施解決方案。最后，由安全保證過(guò)程建立起解決方案的可信性并向用戶轉(zhuǎn)達(dá)這種（）-這三個(gè)過(guò)程共同實(shí)現(xiàn)了安全工程過(guò)程結(jié)果所要達(dá)到的安全目標(biāo)。A)12個(gè)；三個(gè)；風(fēng)險(xiǎn)過(guò)程；工程過(guò)程；保證過(guò)程；工程過(guò)程；安全可信性B)12個(gè)；三個(gè)；風(fēng)險(xiǎn)過(guò)程；工程過(guò)程；保證過(guò)程；風(fēng)險(xiǎn)過(guò)程；安全可信性C)11個(gè)；三個(gè)；風(fēng)險(xiǎn)過(guò)程；工程過(guò)程；保證過(guò)程；風(fēng)險(xiǎn)過(guò)程；安全可信性D)11個(gè)；三個(gè)；風(fēng)險(xiǎn)過(guò)程；工程過(guò)程；保證過(guò)程；工程過(guò)程；安全可信性[單選題]29.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制(SecurityAccountsManager)的說(shuō)法哪個(gè)是正確的:A)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問(wèn),具有較高的安全性B)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問(wèn),具有較高的安全性C)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問(wèn),靈活方便D)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問(wèn),具有較高的安全性[單選題]30.世界上首例通過(guò)網(wǎng)絡(luò)攻擊癱瘓物理核設(shè)施的事件是？A)巴基斯坦核電站震蕩波事件B)以色列核電站沖擊波事件C)伊朗核電站震蕩波事件D)伊朗核電站震網(wǎng)（STUXNET）事件[單選題]31.以下哪一種不屬于php封裝協(xié)議（）A)http://B)zlib://C)ssh://D)globp://[單選題]32.某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求前置機(jī)開(kāi)放日志共享,由總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項(xiàng)處理措施()A)日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過(guò)設(shè)置讓前置機(jī)不記錄日志B)只允許特定的IP地址從前置機(jī)提取日志,對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間C)由于共享導(dǎo)致了安全問(wèn)題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析D)為配合總部的安全策略,會(huì)帶來(lái)一定的安全問(wèn)題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)[單選題]33.許多web應(yīng)用程序存在大量敏感數(shù)據(jù),包括信用卡、杜?？ㄌ?hào)碼、身份認(rèn)證證書(shū)等,Web應(yīng)用這些敏感信息存儲(chǔ)到數(shù)據(jù)庫(kù)或者文件系統(tǒng)中,但是并使用適當(dāng)?shù)募用艽胧﹣?lái)保護(hù)。小李不想自己的銀行卡密碼被泄露,他一直極力避免不安全的密碼存儲(chǔ),他總結(jié)出幾種不安全的密碼存儲(chǔ)問(wèn)題,其中有一項(xiàng)應(yīng)該歸為措施,請(qǐng)問(wèn)是哪一項(xiàng)()A)使用弱算法B)使用適當(dāng)?shù)募用艽胧┗騂ash算法C)不安全的密鑰生成和儲(chǔ)存D)不輪換密鑰[單選題]34.()才是系統(tǒng)的軟肋,可以毫不夸張的說(shuō),人是信息系統(tǒng)安全防護(hù)體系中最不穩(wěn)定也是()。社會(huì)工程學(xué)攻擊是一種復(fù)雜的攻擊,不能等同于一般的(),很多即使是自認(rèn)為非常警惕及小心的人,一樣會(huì)被高明的()所攻破。A)社會(huì)工程學(xué);攻擊人的因素;最脆弱的環(huán)節(jié);欺騙方法B)人的因素:最脆弱的環(huán)節(jié);社會(huì)工程學(xué)攻擊;欺騙方法C)欺騙方法;最脆弱的環(huán)節(jié);人的因素;社會(huì)工程學(xué)攻擊D)人的因素;最脆弱的環(huán)節(jié);欺騙方法:社會(huì)工程學(xué)攻擊[單選題]35.92.基于對(duì)()的信任，當(dāng)一個(gè)請(qǐng)求成命令來(lái)自一個(gè)?權(quán)威?人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的（），在（）中，攻擊者偽裝成?公安部門(mén)?人員，要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對(duì)權(quán)威的信任。在()中，攻擊者可能偽裝成監(jiān)管部門(mén)、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試，要求（）等。A)A權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼B)B權(quán)威；執(zhí)行；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼C)C執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼D)D執(zhí)行；權(quán)威；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼[單選題]36.TCP/IP協(xié)議就Internet最基本的協(xié)議,也是Internet構(gòu)成的基礎(chǔ),TCP/IP通常被認(rèn)為就是一個(gè)N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的功能,這里N應(yīng)等于()A)4B)5C)6D)7[單選題]37.在一個(gè)中斷和災(zāi)難事件中,以下哪一項(xiàng)提供了持續(xù)運(yùn)營(yíng)的技術(shù)手段?A)負(fù)載平衡B)硬件冗余C)分布式備份D)高可用性處理[單選題]38.84.計(jì)劃是組織根據(jù)環(huán)境的需要和自身的特點(diǎn)，確定組織在一定時(shí)期內(nèi)的目標(biāo)，并通過(guò)計(jì)劃的編制、執(zhí)行和監(jiān)督來(lái)協(xié)調(diào)、組織各類資源以順利達(dá)到預(yù)期目標(biāo)的過(guò)程。計(jì)劃編制的步驟流程如下圖所示，則空白方框處應(yīng)該填寫(xiě)的步驟為（）A)估計(jì)潛在的災(zāi)難事件、選擇計(jì)劃策略B)估計(jì)潛在的災(zāi)難事件、制定計(jì)劃策略C)選擇計(jì)劃策略、估計(jì)潛在的災(zāi)難事件D)制定計(jì)劃策略、估計(jì)潛在的災(zāi)難事件[單選題]39.IPv4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依靠IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和。IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。下列選項(xiàng)中說(shuō)法錯(cuò)誤的是()A)對(duì)于IPv4,IPSec是可選的,對(duì)于IPv6,IPSec是強(qiáng)制實(shí)施的。B)IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C)IPSec是一個(gè)單獨(dú)的協(xié)議D)IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制。[單選題]40.基于對(duì)()的信任,當(dāng)一個(gè)請(qǐng)求或命令來(lái)自一個(gè)?權(quán)威?人士時(shí),這個(gè)請(qǐng)求就可能被毫不懷疑的()。在()中,攻擊者偽裝成?公安部門(mén)?人員要求受害者對(duì)權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門(mén)、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼[單選題]41.開(kāi)發(fā)保密的計(jì)算機(jī)應(yīng)用系統(tǒng)時(shí)，研制人員與操作使用人員__________A)最好是同一批人B)應(yīng)當(dāng)分開(kāi)C)不能有傳染病D)應(yīng)做健康檢查[單選題]42.常規(guī)端口掃描和半開(kāi)放式掃描的區(qū)別是？A)半開(kāi)式采用UDP方式掃描B)沒(méi)區(qū)別C)掃描準(zhǔn)確性不一樣D)沒(méi)有完成三次握手，缺少ACK過(guò)程[單選題]43.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是？A)殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來(lái)說(shuō)，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘發(fā)新的安全事件C)實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D)信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)[單選題]44.維基百科(Wikipedia)中,大數(shù)據(jù)則被定義為巨量數(shù)據(jù),也稱海量數(shù)據(jù)或大資料,是指所涉及的數(shù)據(jù)量規(guī)模巨大到無(wú)法人為的在合理時(shí)間內(nèi)達(dá)到取、管理、處理、并整理成為人類所能解讀的信息,大數(shù)據(jù)的四個(gè)特點(diǎn):Volume、Velocity、vaey、Vaue,其中他們的含義分別為A)海量的數(shù)據(jù)規(guī)模;快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型,巨大的數(shù)據(jù)價(jià)值B)海量的數(shù)據(jù)規(guī)極;快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系;巨大的數(shù)據(jù)價(jià)值;多樣的數(shù)據(jù)類型C)海量的數(shù)據(jù)規(guī)模;巨大的數(shù)據(jù)價(jià)值;快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型D)巨大的數(shù)據(jù)價(jià)值;快速的數(shù)據(jù)流轉(zhuǎn)和動(dòng)態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型;海量的數(shù)據(jù)規(guī)模[單選題]45.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本,會(huì)將他的瀏覽器定向到旅游網(wǎng)站,旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒(méi)有主動(dòng)訪問(wèn)該旅游網(wǎng)站,但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息),于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面,截獲用戶的個(gè)人信息了。這種向Web頁(yè)面插入惡意html代碼的攻擊方式稱為()A)SQL注入攻擊B)緩沖區(qū)溢出攻擊C)分布式拒絕服務(wù)攻擊D)跨站腳本攻擊[單選題]46.TCP/IP協(xié)議就Internet最基本的協(xié)議，也是Internet構(gòu)成的基礎(chǔ)，TCP/IP通常被認(rèn)為就是一個(gè)N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的功能，這里N應(yīng)等于（）A)4B)5C)6D)7[單選題]47.小陳自學(xué)了風(fēng)評(píng)的相關(guān)國(guó)家準(zhǔn)則后,將風(fēng)險(xiǎn)的公式用圖形來(lái)表示,下面F1,F2,F3,F4分別代表某種計(jì)算函數(shù),四張圖中,那個(gè)計(jì)算關(guān)系正確A)style="width:auto;"class="fr-ficfr-filfr-dib">B)style="width:auto;"class="fr-ficfr-filfr-dib">C)style="width:auto;"class="fr-ficfr-filfr-dib">D)style="width:auto;"class="fr-ficfr-filfr-dib">[單選題]48.BS7799這個(gè)標(biāo)準(zhǔn)是由下面哪個(gè)機(jī)構(gòu)研發(fā)出來(lái)的?A)美國(guó)標(biāo)準(zhǔn)協(xié)會(huì)B)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)C)中國(guó)標(biāo)準(zhǔn)協(xié)會(huì)D)國(guó)際標(biāo)準(zhǔn)協(xié)會(huì)[單選題]49.以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么?A)發(fā)現(xiàn)不明的SUID可執(zhí)行文件B)發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C)發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)D)發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址[單選題]50.企業(yè)安全架構(gòu)(ShenwoodAppliedBusinessSecurityArchitecture,SABSA)是企業(yè)架構(gòu)的一個(gè)子集,它定義了().包括各層級(jí)的()、流程和規(guī)程,以及它們與整個(gè)企業(yè)的戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)營(yíng)鏈接的方式,用全面的、嚴(yán)格的方法描述了組成完整的信息安全管理體系(ISMS)所有組件的()。開(kāi)發(fā)企業(yè)安全架構(gòu)的很主要原因是確保安全工作以一個(gè)標(biāo)準(zhǔn)化的節(jié)省成本的方式與業(yè)務(wù)實(shí)踐相結(jié)合。架構(gòu)在抽象層面工作,它提供了一個(gè)()。除了安全性之外,這種類型的架構(gòu)讓組織更好的實(shí)現(xiàn)()、集成性、易用性、標(biāo)準(zhǔn)化和便于治理性:A)信息安全戰(zhàn)略;解決方案;結(jié)構(gòu)和行為;可供參考的框架;互操作性;B)信息安全戰(zhàn)略;結(jié)構(gòu)和行為;解決方案;可供參考的框架;互操作性;C)信息安全戰(zhàn)略;解決方案;可供參考的框架;結(jié)構(gòu)和行為;互操作性;D)信息安全戰(zhàn)略;可供參考的框架;解決方案;結(jié)構(gòu)和行為;互操作性;[單選題]51.在人力資源審計(jì)期間,安全管理體系內(nèi)審員被告知在IT部門(mén)和人力資源部門(mén)中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么?A)為兩部門(mén)起草一份服務(wù)水平協(xié)議B)向高級(jí)管理層報(bào)告存在未被書(shū)面簽訂的協(xié)議C)向兩部門(mén)確認(rèn)協(xié)議的內(nèi)容D)推遲審計(jì)直到協(xié)議成為書(shū)面文檔[單選題]52.下面關(guān)于訪問(wèn)控制模型的說(shuō)法不正確的是：A)DAC模型中主體對(duì)它所屬的對(duì)象和運(yùn)行的程序有全部的控制權(quán)B)DAC實(shí)現(xiàn)提供了一個(gè)基于?need-to-know?的訪問(wèn)授權(quán)的方法，默認(rèn)拒絕任何人的訪問(wèn)。訪問(wèn)許可必須被顯示地賦予訪問(wèn)者C)在MAC這種模型里，管理員管理訪問(wèn)控制。管理員制定策略，策略定義了哪個(gè)主體能訪問(wèn)哪個(gè)對(duì)象。但用戶可以改變它。D)RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對(duì)象為某個(gè)類型，主體具有相應(yīng)的角色就可以訪問(wèn)它。[單選題]53.Windows系統(tǒng)中,安全標(biāo)識(shí)符(SID)是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一編碼,在操作系統(tǒng)內(nèi)部使用,當(dāng)授予用戶、組、服務(wù)或者其他安全主休訪問(wèn)對(duì)象的權(quán)限時(shí),操作系統(tǒng)會(huì)把SID和權(quán)限寫(xiě)入對(duì)象的ACL中,小劉在學(xué)習(xí)了SID的組成后,為了鞏固所學(xué)知識(shí),在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whooml/users操作查看當(dāng)前用戶的SID,得到是的SID為S-1-5-21-1534169462-1651380828-111620652-500。下列選項(xiàng)中,關(guān)于此SID的理解錯(cuò)誤的是___A)前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B)第一個(gè)子頒發(fā)機(jī)構(gòu)是21C)WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651D)此SID以500結(jié)尾,表示內(nèi)置guest[單選題]54.14.（）把瀑布模型和專家系統(tǒng)結(jié)合在一起,在開(kāi)發(fā)的各個(gè)階段上都利用相應(yīng)的專家系統(tǒng)來(lái)幫助軟件人員完成開(kāi)發(fā)工作。A)原型模型B)螺旋模型C)基于知識(shí)的智能模型D)噴泉模型[單選題]55.Nmap工具不可以執(zhí)行下列哪種方式掃描A)目錄遍歷掃描B)TCPSYN掃描C)TCPconnect掃描D)UDPport掃描[單選題]56.安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描述是錯(cuò)誤的A)安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無(wú)關(guān)B)安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的安全保護(hù)問(wèn)題C)以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段，從而使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)D)安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式[單選題]57.由于IT的發(fā)展,災(zāi)難恢復(fù)計(jì)劃在大型組織中的應(yīng)用也發(fā)生了變化。如果新計(jì)劃沒(méi)有被測(cè)試下面哪項(xiàng)是最主要的風(fēng)險(xiǎn)A)災(zāi)難性的斷電B)資源的高消耗C)"恢復(fù)的總成本不能被最小化"D)用戶和恢復(fù)團(tuán)隊(duì)在實(shí)施計(jì)劃時(shí)可能面臨服務(wù)器問(wèn)題[單選題]58.394.小陳自學(xué)了信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)國(guó)家標(biāo)準(zhǔn)后,將風(fēng)險(xiǎn)計(jì)算的有關(guān)公式使用圖形來(lái)表示,下面四個(gè)圖中F1、F2、F3、F4分別代表某種計(jì)算函數(shù)。四張圖中,計(jì)算關(guān)系表達(dá)正確的是:F3A)F1B)F2C)F3D)F4[單選題]59.攻擊者可以使用ping,或某一個(gè)系統(tǒng)命令獲得目標(biāo)網(wǎng)絡(luò)的信息,攻擊者利用此命令,能收集到目標(biāo)之間經(jīng)過(guò)的路由設(shè)備IP地址,選擇其中存在安全防護(hù)相對(duì)薄弱的路由設(shè)備實(shí)施攻擊,或者控制路由設(shè)備,對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)現(xiàn)嗅探等其他攻擊。這個(gè)命令為A)ipconfigB)ipconfigallC)showD)tracert[單選題]60.2016年10月21日,美國(guó)東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件,此次事件是由于美國(guó)主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致,影響規(guī)模驚人,對(duì)人們生產(chǎn)生活造成嚴(yán)重影響.DDoS攻擊的主要目的是破壞系統(tǒng)的()A)抗抵賴性B)保密性C)可用性D)不可否認(rèn)性[單選題]61.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)，描述正確的是A)隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身B)惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使過(guò)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C)惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D)隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過(guò)不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱[單選題]62.在邏輯訪問(wèn)控制中如果用戶賬戶被共享,這種局面可能造成的最大風(fēng)險(xiǎn)是:A)非授權(quán)用戶可以使用ID擅自進(jìn)入、B)用戶訪問(wèn)管理費(fèi)時(shí)、C)很容易猜測(cè)密碼、D)無(wú)法確定用戶責(zé)任[單選題]63.以下關(guān)于UDP協(xié)議的說(shuō)法，哪個(gè)是錯(cuò)誤的?A)UDP具有簡(jiǎn)單高效的特點(diǎn)，常被攻擊者用來(lái)實(shí)施流量型拒絕服務(wù)攻擊B)UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP可通過(guò)端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序C)相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開(kāi)銷(xiāo)更小，因此常用來(lái)傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D)UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來(lái)傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù)[單選題]64.下面安全策略的特性中,不包括哪一項(xiàng)?A)指導(dǎo)性B)靜態(tài)性C)可審核性D)非技術(shù)性[單選題]65.電腦中安裝哪種軟件，可以減少病毒、特洛伊木馬程序和蠕蟲(chóng)的侵害？（）A)VPN軟件B)殺毒軟件C)備份軟件D)安全風(fēng)險(xiǎn)預(yù)測(cè)軟件[單選題]66.在PDR模型的基礎(chǔ)上,發(fā)展成為了(Policy-Protection-Detection-Response,PPDR)模型,即策略-保護(hù)-檢測(cè)-響應(yīng)。模型的核心是:所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。如圖所示。在PPDR模型中,策略指的是信息系統(tǒng)的安全策略,包括訪問(wèn)控制策略、加密通信策略、身份認(rèn)證測(cè)錄、備份恢復(fù)策略等。策略體系的建立包括安全策略的制定、()等;防護(hù)指的是通過(guò)部署和采用安全技術(shù)來(lái)提高網(wǎng)絡(luò)的防護(hù)能力,如()、防火墻、入侵檢測(cè)、加密技術(shù)、身份認(rèn)證等技術(shù);檢測(cè)指的是利用信息安全檢測(cè)工具,監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活動(dòng),了解判斷網(wǎng)絡(luò)系統(tǒng)的()。檢測(cè)這一環(huán)節(jié),使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御,是整個(gè)模型動(dòng)態(tài)性的體現(xiàn),主要方法包括;實(shí)時(shí)監(jiān)控、檢測(cè)、報(bào)警等;響應(yīng)指的是在檢測(cè)到安全漏洞和安全事件,通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的()調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài),包括恢復(fù)系統(tǒng)功能和數(shù)據(jù),啟動(dòng)備份系統(tǒng)等。啟動(dòng)備份系統(tǒng)等。其主要方法包括:關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。A)評(píng)估與執(zhí)行;訪問(wèn)控制;安全狀態(tài);安全性B)評(píng)估與執(zhí)行;安全狀態(tài);訪問(wèn)控制;安全性C)訪問(wèn)控制;評(píng)估與執(zhí)行;安全狀態(tài);安全性D)安全狀態(tài),評(píng)估與執(zhí)行;訪問(wèn)控制;安全性[單選題]67.以下哪項(xiàng)參數(shù)用于唯一標(biāo)識(shí)一個(gè)無(wú)線網(wǎng)絡(luò)，使其與其它網(wǎng)絡(luò)區(qū)分開(kāi)來(lái)A)SSIDB)OFDMC)WEPD)DSSS[單選題]68.下面對(duì)"零日（zero-day）漏洞"的理解中，正確的是（）A)指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B)指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被"震網(wǎng)"病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C)指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)D)指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞[單選題]69.Ipsec（lPSecurity）協(xié)議標(biāo)準(zhǔn)的設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，保證數(shù)據(jù)的完整性和機(jī)密性下面選項(xiàng)中哪項(xiàng)描述是錯(cuò)誤的（）A)IPSec協(xié)議不支持使用數(shù)字證書(shū)B(niǎo))IPSec協(xié)議對(duì)于IPv4和IPv6網(wǎng)絡(luò)都是適用的C)IPSec有兩種工作模式：傳輸模式和隧道模式D)IPSec協(xié)議包括封裝安全載荷（ESP）和鑒別頭（AH）兩種通信保護(hù)機(jī)制[單選題]70.下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則()A)《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》D)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》[單選題]71.下列選項(xiàng)中,對(duì)風(fēng)險(xiǎn)評(píng)估文檔的描述中正確的是()A)評(píng)估結(jié)果文檔包括描述資產(chǎn)識(shí)別和賦值的結(jié)果,形成重要資產(chǎn)列表B)描述評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃,選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施,明確責(zé)任、進(jìn)度、資源,并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)以確定所選擇安全措施的有效性的《風(fēng)險(xiǎn)評(píng)估程序》C)在文檔分發(fā)過(guò)程中作廢文檔可以不用添加標(biāo)識(shí)進(jìn)行保留D)對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文檔行,還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制[單選題]72.自助訪問(wèn)控制（DAC）是應(yīng)用很廣泛的訪問(wèn)控制方法，常用于多種商業(yè)系統(tǒng)中，以下對(duì)DAC模型的理解中，存在錯(cuò)誤的是（）A)在DAC模型中，資源的所有者可以規(guī)定誰(shuí)有權(quán)訪問(wèn)他們的資源B)DAC是一種對(duì)單個(gè)用戶執(zhí)行訪問(wèn)控制的過(guò)程和措施C)DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性和可擴(kuò)展性，可以抵御特洛伊木馬的攻擊D)在DAC中，具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體[單選題]73.北京京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（）A)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個(gè)能力級(jí)別。當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過(guò)程域中的基本實(shí)踐時(shí)，該過(guò)程域的過(guò)程能力是0級(jí)B)達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過(guò)程，每次執(zhí)行的結(jié)果質(zhì)量必須相同C)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了3個(gè)風(fēng)險(xiǎn)過(guò)程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響D)SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性。[單選題]74.89.社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最脆弱的環(huán)節(jié)，即?人?這個(gè)環(huán)節(jié)上。這些社會(huì)工程黑客在某黑客大會(huì)上成功攻入世界五百?gòu)?qiáng)公司，其中一名自稱是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安全工程部門(mén)的合約雇員，在詢問(wèn)關(guān)于工作滿意度以及食堂食物質(zhì)量問(wèn)題后，雇員開(kāi)始透露其他信息，包括：操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵件及瀏覽器。為對(duì)抗此類信息收集和分析，公司需要做的是（）A)通過(guò)信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息采取最小化原則B)減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C)關(guān)閉不必要的服務(wù)，部署防火墻、IDS等措施D)系統(tǒng)安全管理員使用漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)[單選題]75.拿到一個(gè)windows下的webshell，我想看一下主機(jī)的名字，如下命令做不到的是()A)hostnameB)systeminfoC)ipconfig/allD)set[單選題]76.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)？A)信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B)系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過(guò)程C)信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是?總體規(guī)劃、分步實(shí)施?D)信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程[單選題]77.85.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素A)信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全標(biāo)B)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C)消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D)該銀行整體安全策略[單選題]78.《信息安全保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）是由下面哪個(gè)國(guó)家發(fā)布的？A)中國(guó)B)美國(guó)C)俄羅斯D)歐盟[單選題]79.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生,大四上學(xué)期開(kāi)始找工作,期望謀求一份技術(shù)管理的職位,一次面試中,某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的?背景建立?的基本概念與認(rèn)識(shí),小王的主要觀點(diǎn)包括:(1)背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象,以及對(duì)象的特性和安全要求,完成信息安全風(fēng)驗(yàn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備;(2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行,雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果;(3)背景建立包括:風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析;(4)背景建立的階段性成果包括:風(fēng)險(xiǎn)管理計(jì)劃書(shū)、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告。請(qǐng)問(wèn)小王的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng):A)第一個(gè)觀點(diǎn).背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象B)第二個(gè)觀點(diǎn),背景建立的依據(jù)是國(guó)家、地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C)第三個(gè)觀點(diǎn),背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字D)第四個(gè)觀點(diǎn),背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書(shū)[單選題]80.單點(diǎn)登錄系統(tǒng)主要的關(guān)切是什么?A)密碼一旦泄露,最大程度的非授權(quán)訪問(wèn)將可能發(fā)生。B)將增加用戶的訪問(wèn)權(quán)限。C)用戶的密碼太難記。D)安全管理員的工作量會(huì)增加。[單選題]81.為了應(yīng)對(duì)日益嚴(yán)重的垃圾郵件問(wèn)題，人們?cè)O(shè)計(jì)和應(yīng)用了各種垃圾郵件過(guò)濾機(jī)制，以下哪一項(xiàng)是耗費(fèi)計(jì)算資源最多的一種垃圾郵件過(guò)濾機(jī)制？A)SMTP身份認(rèn)證B)逆向名字解析C)黑名單過(guò)濾D)內(nèi)容過(guò)濾[單選題]82.關(guān)于信息安全保障的概念,下面說(shuō)法錯(cuò)誤的是:A)信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化的,信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理念B)信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測(cè)和響應(yīng)為一體的綜合階段C)在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下,可單純依靠技術(shù)措施來(lái)保障信息安全D)信息安全保障把信息安全從技術(shù)擴(kuò)展到管理,通過(guò)技術(shù)、管理和工程等措施的綜合融合,形成對(duì)信息、信息系統(tǒng)及業(yè)務(wù)使命的保障[單選題]83.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：（）A)監(jiān)理咨詢支撐要素B)控制和管理手段C)監(jiān)理咨詢階段過(guò)程D)監(jiān)理組織安全實(shí)施[單選題]84.2008年1月2日，美國(guó)發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來(lái)安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A)CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B)從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D)CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障[單選題]85.在軟件程序測(cè)試的哪個(gè)階段一個(gè)組織應(yīng)該進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)測(cè)試?A)可接受性測(cè)試B)系統(tǒng)測(cè)試C)集成測(cè)試D)單元測(cè)試[單選題]86.當(dāng)建立一個(gè)業(yè)務(wù)持續(xù)性計(jì)劃時(shí),使用下面哪一個(gè)工具用來(lái)理解組織業(yè)務(wù)流程?A)業(yè)務(wù)持續(xù)性自我評(píng)估B)資源的恢復(fù)分析C)風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響評(píng)估D)差異分析[單選題]87.關(guān)于信息安全策略文件以下說(shuō)法不正確的是哪個(gè)?A)信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。B)信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。C)信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。D)信息安全策略文件應(yīng)說(shuō)明管理承諾,并提出組織的管理信息安全的方法。[單選題]88.下列哪一個(gè)安全公告來(lái)自于微軟（）A)CWE-22B)CVE-2018-3191C)MS17-010D)S2-057[單選題]89.EFS可以用在什么文件系統(tǒng)下（）A)FAT16B)FAT32C)NTFSD)以上都可以[單選題]90.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。一種有效的對(duì)策是在敵手和它的目標(biāo)之間配備多種（）。每一種機(jī)制都應(yīng)包括（）兩種手段。A)安全機(jī)制；安全缺陷；保護(hù)和檢測(cè)B)安全缺陷；安全機(jī)制；保護(hù)和檢測(cè)C)安全缺陷；保護(hù)和檢測(cè)；安全機(jī)制D)安全缺陷；安全機(jī)制；外邊和內(nèi)部[單選題]91.在部署風(fēng)險(xiǎn)管理程序的時(shí)候,哪項(xiàng)應(yīng)該最先考慮到:A)組織威脅,弱點(diǎn)和風(fēng)險(xiǎn)概括的理解B)揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C)基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D)風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果[單選題]92.隨著即時(shí)通訊軟件的普及使用,即時(shí)通訊軟件也被惡意代碼利用進(jìn)行傳播,以下哪項(xiàng)功能不是惡意代碼利用即時(shí)通訊進(jìn)行傳播的方式()A)利用即時(shí)通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B)利用即時(shí)通訊軟件發(fā)送指向惡意網(wǎng)頁(yè)的URLC)利用即時(shí)通訊軟件發(fā)送指向惡意地址的二維碼D)利用即時(shí)通訊發(fā)送攜帶惡意代碼的txt文檔[單選題]93.什么是系統(tǒng)變更控制中最重要的內(nèi)容?A)所有的變更都必須文字化,并被批準(zhǔn)B)變更應(yīng)通過(guò)自動(dòng)化工具來(lái)實(shí)施C)應(yīng)維護(hù)系統(tǒng)的備份D)通過(guò)測(cè)試和批準(zhǔn)來(lái)確保質(zhì)量[單選題]94.風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將（）始終控制在可接愛(ài)的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）和（）四種方式。A)風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B)風(fēng)險(xiǎn)評(píng)估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受C)風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受D)風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；降低；規(guī)避；轉(zhuǎn)移；接受答案：[單選題]95.第三方軟件提權(quán)不包括下列（）A)數(shù)據(jù)庫(kù)提權(quán)B)MYSQL提權(quán)C)linux提權(quán)D)搜狗輸入法提權(quán)[單選題]96.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的（）A)設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B)設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C)設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D)設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文[單選題]97.下列哪一項(xiàng)不是信息安全漏洞的載體？A)網(wǎng)絡(luò)協(xié)議B)操作系統(tǒng)C)應(yīng)用系統(tǒng)D)業(yè)務(wù)數(shù)據(jù)[單選題]98.根據(jù)BEII-lapadula模型安全策略，下圖中寫(xiě)和讀操作正確的是A)可讀可寫(xiě)B(tài))可讀不可寫(xiě)C)可寫(xiě)不可讀D)不可讀不可寫(xiě)[單選題]99.以下哪個(gè)是ARP欺騙攻擊可能導(dǎo)致的后果？A)ARP欺騙可直接獲得目標(biāo)主機(jī)的控制權(quán)B)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)的系統(tǒng)崩潰，藍(lán)屏重啟C)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)D)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)死機(jī)[單選題]100.在課堂上,四名同學(xué)分別對(duì)WEP\IEEB802.11i與WAPI三個(gè)安全協(xié)議在鑒別與加密方面哪一個(gè)做的更好做出了回答,請(qǐng)問(wèn)哪一個(gè)同學(xué)回答的更準(zhǔn)確()A)WEP更好,因?yàn)槠涫褂瞄_(kāi)放式系統(tǒng)鑒別或共享密鑰鑒別B)IEE.802.11i更好,因?yàn)橹С指鞣N鑒別方式C)WAPI更好,因?yàn)椴捎霉€數(shù)字證書(shū)作為身份憑證:無(wú)線用戶與無(wú)線接入點(diǎn)地位對(duì)等,實(shí)現(xiàn)無(wú)線接入點(diǎn)的接入控制;客戶端支持多證書(shū),方便用戶多處使用D)都一樣[單選題]101.下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的?A)分析組織的安全需求B)制訂安全策略和實(shí)施安防措施的依據(jù)C)組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D)完全消除組織的風(fēng)險(xiǎn)[單選題]102.張三將微信個(gè)人頭像換成微信群中某好友頭像,并將昵稱改為該好友的昵稱,然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?（）A)口令攻擊B)暴力破解C)拒絕服務(wù)攻擊D)社會(huì)工程學(xué)攻擊[單選題]103.92.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡(jiǎn)要進(jìn)行三次握手，請(qǐng)求通信的主機(jī)A要與另一臺(tái)主機(jī)B建立連接時(shí)，A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī)提出連接請(qǐng)示，B收到后，回復(fù)一個(gè)ACK/SYN確認(rèn)請(qǐng)示給A主機(jī)，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請(qǐng)求。攻擊通過(guò)偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī)，使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機(jī)會(huì)等一段時(shí)間后才會(huì)放棄這個(gè)連接等待。因此大量虛假SYN包同時(shí)發(fā)送到目標(biāo)主機(jī)時(shí)，目標(biāo)主機(jī)上就會(huì)有大量的連接請(qǐng)示等待確認(rèn)，當(dāng)這些未釋放的連接請(qǐng)示數(shù)量超過(guò)目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請(qǐng)示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于（）A)拒絕服務(wù)攻擊B)分布式拒絕服務(wù)攻擊C)緩沖區(qū)溢出攻擊D)SQL注入攻擊[單選題]104.下列關(guān)于IS015408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是A)如果用戶、開(kāi)發(fā)者、評(píng)估者和認(rèn)可者都使用CC語(yǔ)言，互相就容易理解溝通B)通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫(xiě)和安全測(cè)試評(píng)估都具有重要意義C)通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要D)通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估[單選題]105.43.TCP／IP協(xié)議是Internet構(gòu)成的基礎(chǔ)，TCP／IP通常被認(rèn)為是一個(gè)N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的功能，這里N應(yīng)等于（）。A)4B)5C)6D)7[單選題]106.從內(nèi)存角度看,修復(fù)漏洞的安全補(bǔ)丁可以分為文件補(bǔ)丁和內(nèi)存補(bǔ)丁,關(guān)于文件補(bǔ)丁理解錯(cuò)誤的是()A)文件補(bǔ)丁又稱為熱補(bǔ)丁B)安裝文件補(bǔ)丁時(shí),應(yīng)該停止運(yùn)行原有軟件C)文件補(bǔ)丁的優(yōu)點(diǎn)是直接對(duì)待修補(bǔ)的文件進(jìn)行修改,一步到位D)安裝文件補(bǔ)丁前應(yīng)該經(jīng)過(guò)測(cè)試,確保能夠正常運(yùn)行[單選題]107.406.我國(guó)標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)管理指南》(GB/Z24364)給出了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程,可以用下圖來(lái)表示。圖中空白處應(yīng)該填寫(xiě):A)風(fēng)險(xiǎn)計(jì)算B)風(fēng)險(xiǎn)評(píng)價(jià)C)預(yù)測(cè)D)風(fēng)險(xiǎn)處理[單選題]108.下列不屬于垃圾郵件過(guò)濾技術(shù)的是____。A)A軟件模擬技術(shù)B)B貝葉斯過(guò)濾技術(shù)C)C關(guān)鍵字過(guò)濾技術(shù)D)D黑名單技術(shù)[單選題]109.設(shè)計(jì)信息安全策略時(shí),最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A)非現(xiàn)場(chǎng)存儲(chǔ)B)由IS經(jīng)理簽署C)發(fā)布并傳播給用戶D)經(jīng)常更新[單選題]110.下圖顯示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對(duì)應(yīng),()的目的是建立評(píng)估框架,并為現(xiàn)場(chǎng)階段準(zhǔn)備后勤方面的工作。()的目的是準(zhǔn)備評(píng)估團(tuán)隊(duì)進(jìn)行現(xiàn)場(chǎng)活動(dòng),并通過(guò)問(wèn)卷進(jìn)行數(shù)據(jù)的初步收集和分析。()主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評(píng)組織的專業(yè)人員提供與數(shù)據(jù)采集和證實(shí)過(guò)程的機(jī)會(huì),小組對(duì)在此就三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行()。并將調(diào)查結(jié)果呈送個(gè)發(fā)起者1A)現(xiàn)場(chǎng)階段;規(guī)劃階段;準(zhǔn)備階段;最終分析B)準(zhǔn)備階段;規(guī)劃階段;現(xiàn)場(chǎng)階段;最終分析C)規(guī)劃階段;現(xiàn)場(chǎng)階段;準(zhǔn)備階段;最終分析D)規(guī)劃階段;準(zhǔn)備階段;現(xiàn)場(chǎng)階段;最終分析[單選題]111.下面哪一項(xiàng)不是黑客攻擊在信息收集階段使用的工具或命令：A)NmapB)NslookupC)LCD)Xscan[單選題]112.進(jìn)入21世紀(jì)以來(lái),信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn),紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略,但各國(guó)歷史、國(guó)情和文化不同,網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說(shuō)法不正確的是:A)與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B)美國(guó)尚未設(shè)立中央政府級(jí)的專門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題,信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C)各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D)在網(wǎng)絡(luò)安全戰(zhàn)略中,各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度,充分利用社會(huì)資源,發(fā)揮政府與企業(yè)之間的合作關(guān)系[單選題]113.在入侵檢測(cè)(IDS)的運(yùn)行中,最常見(jiàn)的問(wèn)題是:()A)誤報(bào)檢測(cè)B)接收陷阱消息C)誤拒絕率D)拒絕服務(wù)攻擊[單選題]114.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說(shuō)法錯(cuò)誤的是？A)在傳送模式中，保護(hù)的是IP負(fù)載B)驗(yàn)證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C)在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D)IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性[單選題]115.下面關(guān)于SSRF漏洞描述正確的是A)SSRF漏洞就是服務(wù)端請(qǐng)求偽造漏洞B)SSRF漏洞只存在于PHP語(yǔ)言中C)SSRF漏洞無(wú)法修復(fù)D)SSRF漏洞是針對(duì)瀏覽器的漏洞[單選題]116.某軟件開(kāi)發(fā)團(tuán)隊(duì)負(fù)責(zé)某新型火箭控制系統(tǒng)軟件的開(kāi)發(fā)工作,該團(tuán)隊(duì)成員均為8年以上開(kāi)發(fā)經(jīng)驗(yàn)的軟件開(kāi)發(fā)工程師,并且數(shù)學(xué)功底深厚,在該火箭控制系統(tǒng)開(kāi)發(fā)之前,團(tuán)隊(duì)需要確定選擇該項(xiàng)目的開(kāi)發(fā)模型,作為該團(tuán)隊(duì)的項(xiàng)目經(jīng)理,你認(rèn)為應(yīng)該選擇哪一個(gè)模型最為合適A)瀑布模型B)凈空模型C)原型模型D)迭代模型[單選題]117.風(fēng)險(xiǎn)評(píng)估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測(cè)試，判斷被非法訪問(wèn)者利用的可能性，這類工具通常包括黑客工具、腳本文件。A)脆弱性掃描工具B)滲透測(cè)試工具C)拓?fù)浒l(fā)現(xiàn)工具D)安全審計(jì)工具[單選題]118.美國(guó)系統(tǒng)工程專家霍爾(A.D.Hall)在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu),使系統(tǒng)工程的工作階段和步驟更為清晰明了,如圖所示,霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個(gè)活動(dòng)過(guò)程分為前后緊密銜接的()階段和()步驟,同時(shí)還考慮了為完全這些階段和步驟所需要的各種()。這樣,就形成了由()、()、和知識(shí)維所組成的三維空間結(jié)構(gòu)。8A)五個(gè);七個(gè);專業(yè)知識(shí)和技能;時(shí)間維;邏輯維B)七個(gè);七個(gè);專業(yè)知識(shí)和技能;時(shí)間維;邏輯維C)七個(gè);六個(gè);專業(yè)知識(shí)和技能;時(shí)間維;邏輯維D)七個(gè);六個(gè);專業(yè)知識(shí)和技能;時(shí)間維;空間維[單選題]119.PKI的主要理論基礎(chǔ)是().A)摘要算法B)對(duì)稱密碼算法C)量子密碼D)公鑰密碼算法[單選題]120.D.ES算法密鑰是64位，因?yàn)槠渲幸恍┪皇怯米餍ｒ?yàn)的，密鑰的實(shí)際有效位是________位。A)、60B)、56C)、54D)、48[單選題]121.49.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的（）。A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B)國(guó)際標(biāo)準(zhǔn)是由國(guó)家標(biāo)準(zhǔn)組織通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)C)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)D)行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定，并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)和國(guó)務(wù)院有關(guān)行政主管部門(mén)備案，在公布國(guó)家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止[單選題]122.428.即時(shí)通訊安全是移動(dòng)互聯(lián)網(wǎng)時(shí)代每個(gè)用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問(wèn)題,特別對(duì)于使用即時(shí)通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時(shí)通訊應(yīng)考慮許多措施,下列措施中錯(cuò)誤的是()A)如果經(jīng)費(fèi)許可,可以使用自建服務(wù)器的即時(shí)通訊系統(tǒng)B)在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時(shí)通訊中傳輸敏感及以上級(jí)別的文檔;建立管理流程及時(shí)將離職員工移除C)選擇在設(shè)計(jì)上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時(shí)通訊軟件,例如提供傳輸安全性保護(hù)等即時(shí)通訊D)涉及重要操作包括轉(zhuǎn)賬無(wú)需方式確認(rèn)[單選題]123.在一個(gè)業(yè)務(wù)繼續(xù)計(jì)劃的模擬演練中,發(fā)現(xiàn)報(bào)警系統(tǒng)嚴(yán)重受到設(shè)施破壞。下列選項(xiàng)中,哪個(gè)是可以提供的最佳建議:A)培訓(xùn)救護(hù)組如何使用報(bào)警系統(tǒng)B)報(bào)警系統(tǒng)為備份提供恢復(fù)C)建立冗余的報(bào)警系統(tǒng)D)把報(bào)警系統(tǒng)存放地窖里[單選題]124.實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是？A)將登錄口令設(shè)置為出生日期B)通過(guò)詢問(wèn)和核對(duì)用戶的個(gè)人隱私信息來(lái)鑒別C)使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別D)通過(guò)掃描和識(shí)別用戶的臉部信息來(lái)鑒別[單選題]125.程序設(shè)計(jì)和編碼的問(wèn)題引入的風(fēng)險(xiǎn)為:A)"網(wǎng)絡(luò)釣魚(yú)"B)"緩沖區(qū)溢出"C)"SYN攻擊"D)暴力破解[單選題]126.關(guān)于信息安全體系，國(guó)際上有iso/iec27001：2013而我國(guó)發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080）請(qǐng)問(wèn)這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是：（）A)IDT等同采用，僅有或有編輯性修改B)EQV等效采用，技術(shù)上只有很小差異C)NEQ非等效采用，D)兩者之間沒(méi)有關(guān)系，版本不同，不應(yīng)直接比較[單選題]127.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些A)資產(chǎn)，威脅和弱點(diǎn)B)人，財(cái)，物C)技術(shù)，管理和操作D)資產(chǎn)，可能性和嚴(yán)重性[單選題]128.隨著?互聯(lián)網(wǎng)?概念的普及，越來(lái)越多的新興住宅小區(qū)引入了?智能樓宇?的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用，穩(wěn)定、高效，計(jì)劃通過(guò)網(wǎng)絡(luò)冗余配置的是（）。A)接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營(yíng)商線路，相互備份且互不影響。B)核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)設(shè)備。C)規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D)保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具務(wù)冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求[單選題]129.關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程描述不正確的是()。A)應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的B)一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段,這6個(gè)階段的響應(yīng)方法一定能確保事件處理的成功C)一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段D)基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性,事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程,有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降至最低[單選題]130.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時(shí),應(yīng)與哪個(gè)部門(mén)取得聯(lián)系?A)監(jiān)管機(jī)構(gòu)B)重要客戶C)供應(yīng)商D)政府部門(mén)[單選題]131.Windows系統(tǒng)下，哪項(xiàng)不是有效進(jìn)行共享安全的防護(hù)措施？A)使用netshare\\\c$/delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)B)確保所有的共享都有高強(qiáng)度的密碼防護(hù)C)禁止通過(guò)?空會(huì)話?連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊(cè)表鍵值D)安裝軟件防火墻阻止外面對(duì)共享目錄的連接[單選題]132.下列角色誰(shuí)應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任?A)信息系統(tǒng)安全專家B)業(yè)務(wù)主管C)安全主管D)系統(tǒng)審查員[單選題]133.下列內(nèi)容過(guò)濾技術(shù)中在我國(guó)沒(méi)有得到廣泛應(yīng)用的是____。A)A內(nèi)容分級(jí)審查B)B關(guān)鍵字過(guò)濾技術(shù)C)C啟發(fā)式內(nèi)容過(guò)濾技術(shù)D)D機(jī)器學(xué)習(xí)技術(shù)[單選題]134.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是:A)netshowB)netstatC)ipconfigD)Netview[單選題]135.430.以下哪些因素屬于信息安全特征?()A)系統(tǒng)和網(wǎng)絡(luò)的安全B)系統(tǒng)和動(dòng)態(tài)的安全C)技術(shù)、管理、工程的安全D)系統(tǒng)的安全;動(dòng)態(tài)的安全;無(wú)邊界的安全;非傳統(tǒng)的安全[單選題]136.如圖所示，主體S對(duì)客體01有讀（R）權(quán)限，對(duì)客體02有讀（R）、寫(xiě)（）權(quán)限。該圖所示的訪問(wèn)控制實(shí)現(xiàn)方法是A)訪問(wèn)控制表（ACL）B)訪問(wèn)控制矩陣C)能力表（CL）D)前綴表（Profiles）[單選題]137.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure，CII）包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括？A)這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B)這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C)這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D)這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失[單選題]138.2014年，互聯(lián)網(wǎng)上爆出近幾十萬(wàn)12306網(wǎng)站的用戶信息，12306官方網(wǎng)站稱是通過(guò)________方式泄露的。A)拖庫(kù);B)撞庫(kù);C)木馬;D)信息明文存儲(chǔ)[單選題]139.哪個(gè)鍵唯一標(biāo)識(shí)表組中的行A)本地鍵B)超鍵C)主鍵D)外鍵[單選題]140.下列不屬于WEB安全性測(cè)試的范疇的是A)客戶端內(nèi)容安全性B)日志功能C)服務(wù)端內(nèi)容安全性D)數(shù)據(jù)庫(kù)內(nèi)容安全性[單選題]141.你是單位的安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A)由于本次發(fā)布的漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性的危害，所以可以先不做處理C)對(duì)于重要任務(wù)，應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再正式生產(chǎn)環(huán)境中部署D)對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這些補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒(méi)有重要數(shù)據(jù)，由終端自行升級(jí)[單選題]142.發(fā)現(xiàn)一臺(tái)被病毒感染的終端后,首先應(yīng):A)拔掉網(wǎng)線B)判斷病毒的性質(zhì)、采用的端口C)在網(wǎng)上搜尋病毒解決方法D)呼叫公司技術(shù)人員[單選題]143.67.恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective,RTO）和恢復(fù)點(diǎn)目標(biāo)（RECOVERYPointObjective,RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來(lái)越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是（）A)RTO可以為0，RPO也可以為0B)RTO可以為0，RPO不可以為0C)RTO不可以為0，RPO可以為0D)RTO不可以為0，RPO也不可以為0[單選題]144.由于ICMP消息沒(méi)有目的端口和源端口，而只有消息類型代碼。通常過(guò)濾系統(tǒng)基于（）來(lái)過(guò)濾ICMP數(shù)據(jù)包。A)狀態(tài)B)消息類型C)IP地址D)端口[單選題]145.恢復(fù)時(shí)間目標(biāo)(RecoveryTimeobjective，RT0)和恢復(fù)點(diǎn)目標(biāo)(RecoveryPointobieetive，RPO)是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來(lái)越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RT0和RPO指標(biāo)，則以下描述中，正確的是（）A)RT0可以為0，RPO也可以為0B)RT0可以為0，RP0不可以為0C)RT0不可以為0，RPO可以為0D)RT0不可以為0，RPO也不可以為0[單選題]146.主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)經(jīng)過(guò)互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行保護(hù)時(shí),主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍?A)~55B)~55C)~55D)不在上述范圍內(nèi)[單選題]147.下面對(duì)?零日(Zeroday)漏洞?的理解中,正確的是()A)指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來(lái)遠(yuǎn)程攻擊獲取主機(jī)權(quán)限B)指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞,該漏洞被?震網(wǎng)?病毒所利用,用來(lái)攻擊基礎(chǔ)設(shè)施C)指一類漏洞,即特別好被利用,一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊,且成功達(dá)到攻擊目標(biāo)D)指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來(lái)說(shuō)那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞[單選題]148.下面關(guān)于DMZ區(qū)的說(shuō)法錯(cuò)誤的是____。A)A通常DMZ包含允許來(lái)自互聯(lián)網(wǎng)的通信可進(jìn)入的設(shè)備，如Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和DNS服務(wù)器等B)B內(nèi)部網(wǎng)絡(luò)可以無(wú)限制地訪問(wèn)外部網(wǎng)絡(luò)以及DMZC)CDMZ可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)D)D有兩個(gè)DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作，而內(nèi)部防火墻采用透明模式工作以減少內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜程度[單選題]149.91.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計(jì)訪問(wèn)控制方法，他們?cè)谟懻撝芯蛻?yīng)該采用自主訪問(wèn)控制還是強(qiáng)制訪問(wèn)控制產(chǎn)生了分歧。小本認(rèn)為應(yīng)該采用自主訪問(wèn)控制的方法，他的觀點(diǎn)主要有；(1)自主訪問(wèn)控制方式，可為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；(2)自主訪問(wèn)控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問(wèn)控制的方法，他的觀點(diǎn)主要有；(3)強(qiáng)制訪問(wèn)控制中，只有文件的擁有者可以修改文件的安全屬性，因此安全性較高；(4)強(qiáng)制訪問(wèn)控制能夠保護(hù)敏感信息。以上四個(gè)觀點(diǎn)中，只有一個(gè)觀點(diǎn)是正確的，它是().A)觀點(diǎn)(1)B)觀點(diǎn)(2)C)觀點(diǎn)(3)D)觀點(diǎn)(4)[單選題]150.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是？A)讓系統(tǒng)自己處理異常B)調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來(lái)C)捕獲錯(cuò)誤，并拋出前臺(tái)顯示D)捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息[單選題]151.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力,主要包括四個(gè)具體指標(biāo):恢復(fù)時(shí)間目標(biāo)(RecoveryTimeOhjective,RTO).恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective,RPO)降級(jí)操作目標(biāo)(DegradedOperationsObjective-DOO)和網(wǎng)絡(luò)恢復(fù)目標(biāo)(NeLworkRecoveryObjective-NRO),小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O,以下描述中,正確的是()。A)RPO-O,相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失,但需要進(jìn)行業(yè)務(wù)恢復(fù)處理,覆蓋原有信息B)RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失,需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C)RPO-O,相當(dāng)于部分?jǐn)?shù)據(jù)丟失,需要進(jìn)行業(yè)務(wù)恢復(fù)處理,修復(fù)數(shù)據(jù)丟失D)RPO-O,相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失,且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理[單選題]152.444.以下關(guān)于Windows操作系統(tǒng)身份標(biāo)識(shí)與鑒別，說(shuō)法不正確的是（）A)本地安全授權(quán)機(jī)構(gòu)（LSA）生成用戶帳戶在該系統(tǒng)內(nèi)唯一的安全標(biāo)識(shí)符（SID）B)用戶對(duì)鑒別信息的操作，如更改密碼等都通過(guò)一個(gè)以Administrator權(quán)限運(yùn)行的服務(wù)?SecurityAccountsManager?來(lái)實(shí)現(xiàn)C)Windows操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了SMB鑒別機(jī)制、LM鑒別機(jī)制、Kerberos鑒別體系等階段D)完整的安全標(biāo)識(shí)符（SID）包括用戶和組的安全描述，48比特的身份特權(quán)、修訂版本和可變的驗(yàn)證值[單選題]153.63.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)（）A)信息安全方針、信息安全組織、資產(chǎn)管理B)人力資源安全、物力和環(huán)境安全、通信和操作管理C)訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、符合性D)規(guī)劃與建立ISMS[單選題]154.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說(shuō)法正確的是A)此密碼體制為對(duì)稱密碼體制B)此密碼體制為私鑰密碼體制C)此密碼體制為單鑰密碼體制D)此密碼體制為公鑰密碼體制[單選題]155.401.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測(cè)試關(guān)注的范疇()A)排版結(jié)構(gòu)的測(cè)試B)數(shù)據(jù)完整性測(cè)試C)客戶端兼容性的測(cè)試D)鏈接結(jié)構(gòu)的測(cè)試[單選題]156.45.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動(dòng)，用檢錯(cuò)或糾錯(cuò)技術(shù)來(lái)確保正確的傳輸，確保解決該層的流量控制問(wèn)題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A)報(bào)文B)比特流C)幀D)包[單選題]157.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是.（）A)NetshowB)netstatC)ipconfigD)netview[單選題]158.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？A)防護(hù)B)檢測(cè)C)反應(yīng)D)策略[單選題]159.微軟提出了STRIDE模型,其中Repudation(抵賴)的縮寫(xiě),關(guān)于此項(xiàng)安全要求,下面描述錯(cuò)誤的是()A)某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后,卻聲稱?我沒(méi)有下載過(guò)數(shù)據(jù)?,軟件系統(tǒng)中的這種威脅就屬于R威脅B)解決R威脅,可以選擇使用抗抵賴性服務(wù)技術(shù)來(lái)解決,如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C)R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅,比D威脅和E威脅的嚴(yán)重程度更高D)解決R威脅,也應(yīng)按照確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來(lái)進(jìn)行[單選題]160.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題,以下說(shuō)法錯(cuò)誤的是:A)系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn),建立一組平衡的安全需求,融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B)系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋,證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求,或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法,是一種使用面向開(kāi)發(fā)的方法。D)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上,通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科。[單選題]161.SQLSever中可以使用哪個(gè)存儲(chǔ)過(guò)程調(diào)用操作系統(tǒng)命令，添加系統(tǒng)賬號(hào)？（）？A)xp_dirtreeB)xp_xshellC)xp_cmdshellD)xpdeletekey[單選題]162.恢復(fù)階段的行動(dòng)一般包括A)建立臨時(shí)業(yè)務(wù)處理能力B)修復(fù)原系統(tǒng)損害C)在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力D)避免造成更大損失[單選題]163.2016年10月21日，美國(guó)東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國(guó)主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對(duì)人們生產(chǎn)生活造成了嚴(yán)重影響，DDos攻擊的主要目的是破壞系統(tǒng)的（）A)保密性B)可用性C)不可否認(rèn)性D)抗抵賴性[單選題]164.Windo