2023年江蘇信息通信行業(yè)網(wǎng)絡(luò)與信息安全職業(yè)技能競(jìng)賽考試題庫(kù)（含答案）

PAGEPAGE12023年江蘇信息通信行業(yè)網(wǎng)絡(luò)與信息安全職業(yè)技能競(jìng)賽考試題庫(kù)（含答案）一、單選題1.各國(guó)在信息安全保障組織架構(gòu)有兩種主要形式,一種是由一個(gè)部門集中管理國(guó)家信息安全相關(guān)工作,另一種是多個(gè)部門分別管理,同時(shí)加強(qiáng)協(xié)調(diào)工作。下列各國(guó)中,哪一個(gè)國(guó)家是采取多部門協(xié)調(diào)的做法:A、德國(guó)B、法國(guó)C、美國(guó)D、以上國(guó)家都不是答案：D2.下面一行是某個(gè)UNIX文件的詳情,關(guān)于該文件權(quán)限的描述不正確的是‘drwxr—xrwx2Groupuser409605—0509:14fileA、這是一個(gè)目錄,名稱是‘file’B、文件屬組是groupC、“其他人”對(duì)該文件具有讀、寫、執(zhí)行權(quán)限D(zhuǎn)、user的成員對(duì)此文件沒(méi)有寫權(quán)限答案：B3.“配置管理”是系統(tǒng)工程中的重要概念。它在軟件工程和信息安全工程中得“配置管理”的解釋最準(zhǔn)確的是?A、配置管理的本質(zhì)是變更流程管理B、配置管理是一個(gè)對(duì)系統(tǒng)(包括軟件、硬件、文檔、測(cè)試設(shè)備,開(kāi)發(fā)-行控制的過(guò)程C、管理配置是對(duì)信息系統(tǒng)的技術(shù)參數(shù)進(jìn)行管理D、管理配置是對(duì)系統(tǒng)基線和源代碼的版本進(jìn)行管理答案：B4.下列對(duì)風(fēng)險(xiǎn)分析方法的描述正確的是A、定量分析比定性分析方法使用的工具更多B、定性分析比定量分析方法使用的工具更多C、同一組織只用使用一種方法進(jìn)行評(píng)估D、符合組織要求的風(fēng)險(xiǎn)評(píng)估方法就是最優(yōu)方法答案：D5.在NT中,哪個(gè)工具可以修改的全部注冊(cè)表值?A、Regconf.exeB、Regedit.exeC、Hive.batD、RegeDit32.exe答案：D6.ISO27002的內(nèi)容結(jié)構(gòu)按照___________________進(jìn)行組織A、管理制度B、管理原則C、管理框架D、管理類控制目標(biāo)控制措施答案：D7.作為一個(gè)組織中的信息系統(tǒng)普通用戶,以下那一項(xiàng)是不應(yīng)該了解的?A、誰(shuí)負(fù)責(zé)信息安全管理制度的制定和發(fā)布B、誰(shuí)負(fù)責(zé)監(jiān)督安全制度的執(zhí)行C、信息系統(tǒng)發(fā)生災(zāi)難后,進(jìn)行恢復(fù)工作的具體流程D、如果違反了安全制度可能會(huì)受到懲罰措施答案：C8.SSE-CMM中第4級(jí)的名稱是什么?A、充分定義級(jí)B、計(jì)劃和跟蹤級(jí)C、連續(xù)改進(jìn)級(jí)D、量化控制級(jí)答案：D9.專門負(fù)責(zé)數(shù)據(jù)庫(kù)管理和維護(hù)的計(jì)算機(jī)軟件系統(tǒng)稱為A、SQL-MSB、INFERENCECONTROLC、DBMSD、TRIGGER-MS答案：C10.PHP語(yǔ)言中如果inlude()使用不當(dāng),過(guò)濾不嚴(yán)格,會(huì)導(dǎo)致什么漏洞A、命令執(zhí)行B、文件包含C、SQL注入D、跨站腳本攻擊答案：B11.下列哪項(xiàng)是系統(tǒng)問(wèn)責(zé)時(shí)不需要的?A、認(rèn)證B、鑒定C、授權(quán)D、審計(jì)答案：C12.降低風(fēng)險(xiǎn)的控制措施有很多,下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施?A、在網(wǎng)絡(luò)上部署防火墻B、對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C、制定機(jī)房安全管理制度D、購(gòu)買物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)答案：D13.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換?A、DSSB、Diffie—HellmanC、RSAD、AES答案：C14.以下對(duì)RADIUS協(xié)議說(shuō)法正確的是:A、它是一種B/S結(jié)構(gòu)的協(xié)議B、它是一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議C、它使用TCP通信D、它的基本組件包括認(rèn)證、授權(quán)和加密答案：B15.以下哪一項(xiàng)是DOS攻擊的一個(gè)實(shí)例?A、SQL注入B、IPSoofC、Smurf攻擊D、字典破解答案：C16.以下哪一項(xiàng)不是《信息安全事件分級(jí)分類指南》中信息安全事件分級(jí)需要參考的三個(gè)重要因素之一?A、信息系統(tǒng)的重要程度B、信息系統(tǒng)的用戶數(shù)量C、事件造成的系統(tǒng)損失D、事件造成的社會(huì)影響答案：B17.信息系統(tǒng)生命周期階段正確的劃分是A、設(shè)計(jì)、實(shí)施、運(yùn)維、廢棄B、規(guī)劃、實(shí)施、運(yùn)維、廢棄C、規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維、廢棄D、設(shè)計(jì)、實(shí)施、運(yùn)行答案：C18.不同信息安全發(fā)展階段,信息安全具有不同的的特征,在信息安全保障階段信息安全的基本特征不包括:A、具有高度復(fù)雜性和不能控制的特點(diǎn)B、具有保護(hù)對(duì)象全生命周期安全要求的特征C、具有多層次和多角度的體系化防御要求的特征D、具有動(dòng)態(tài)發(fā)展變化的特征答案：A19.下列對(duì)密網(wǎng)功能描述不正確的是A、可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對(duì)真正目標(biāo)的攻擊B、吸引入侵者來(lái)嗅探、攻擊,同時(shí)不被覺(jué)察地將入侵者的活動(dòng)記錄下來(lái)C、可以進(jìn)行攻擊檢測(cè)和實(shí)時(shí)報(bào)警D、可以對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析答案：C20.風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含:A、過(guò)程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)答案：D21.以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特性A、ITSECB、TCSECC、GB/T9387.2D、彩虹系列的橙皮書答案：A22.在網(wǎng)絡(luò)通信中,一般用哪一類算法來(lái)保證機(jī)密性?A、對(duì)稱加密算法B、消息認(rèn)證碼算法C、消息摘要算法D、數(shù)字簽名算法答案：A23.路由器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),需要解析以下那個(gè)數(shù)據(jù)包信息?A、IP包頭B、以太網(wǎng)包頭C、TCP包頭D、UDP包頭答案：A24.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些?A、人,財(cái),物B、技術(shù),管理和操作C、資產(chǎn),威脅和弱點(diǎn)D、資產(chǎn),可能性和嚴(yán)重性答案：C25.________是目前國(guó)際通行的信息技術(shù)產(chǎn)品安全性評(píng)估標(biāo)準(zhǔn)?A、TCSECB、ITSECC、CCD、IATF答案：C26.下面哪一個(gè)不屬于基于OSI七層協(xié)議的安全體系結(jié)構(gòu)的5種服務(wù)之一?A、數(shù)據(jù)完整性B、數(shù)據(jù)保密性C、數(shù)字簽名D、抗抵賴答案：C27.時(shí)間戳的引入主要是為了防止A、死鎖B、丟失C、重放D、擁塞答案：C28.某公司正在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,在決定信息資產(chǎn)的分類與分級(jí)時(shí),誰(shuí)負(fù)責(zé)最終責(zé)任?A、部門經(jīng)理B、高級(jí)管理層C、信息資產(chǎn)所有者D、最終用戶答案：C29.按照SSE-CMM,能力級(jí)別第三級(jí)是指:A、定量控制B、計(jì)劃和跟蹤C(jī)、持續(xù)改進(jìn)D、充分定義答案：D30.在風(fēng)險(xiǎn)處置過(guò)程中,應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施,通常在哪種情況下采用?A、負(fù)面影響損失小于安全投入B、負(fù)面影響損失和安全投入持平C、負(fù)面影響損失和安全投入都很小D、安全投入小于面影響損失答案：D55.0是哪類網(wǎng)址的默認(rèn)MASK?A、A類B、B類C、C類D、D類答案：C32.數(shù)據(jù)庫(kù)語(yǔ)句中,執(zhí)行()命令可以進(jìn)入MyDB數(shù)據(jù)庫(kù)A、CREATEDATABASEMyDBB、USEMyDBC、OPENMyDBD、ENTERMyDB答案：B33.風(fēng)險(xiǎn)評(píng)估方法的選定在PDCA循環(huán)中的哪個(gè)階段完成?A、實(shí)施和運(yùn)行B、保持和改進(jìn)C、建立D、無(wú)E、監(jiān)視和評(píng)審答案：C34.為什么在數(shù)字簽名中含有消息摘要A、防止發(fā)送方否認(rèn)發(fā)送過(guò)消息B、加密明文C、提供解密密碼D、可以發(fā)送內(nèi)容是否在途中被他人篡改答案：D35.項(xiàng)目經(jīng)理欲提高信息系統(tǒng)安全性,他首先要做的工作是A、考慮安全開(kāi)發(fā)需要什么樣的資源與預(yù)算B、考慮安全開(kāi)發(fā)在開(kāi)發(fā)生命周期各階段應(yīng)開(kāi)展哪些工作C、對(duì)開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行信息安全培訓(xùn)D、購(gòu)買一定的安全工具,如代碼掃描工具等答案：B36.________設(shè)備可以隔離ARP廣播幀A、路由器B、網(wǎng)橋C、以太網(wǎng)交換機(jī)D、集線器答案：A37.變更控制是信息系統(tǒng)運(yùn)行管理的重要的內(nèi)容,在變更控制的過(guò)程中:A、應(yīng)該盡量追求效率,而沒(méi)有任何的程序和核查的阻礙。B、應(yīng)該將重點(diǎn)放在風(fēng)險(xiǎn)發(fā)生后的糾正措施上。C、應(yīng)該很好的定義和實(shí)施風(fēng)險(xiǎn)規(guī)避的措施。D、如果是公司領(lǐng)導(dǎo)要求的,對(duì)變更過(guò)程不需要追蹤和審查答案：C38.下列幾個(gè)OSI層中,哪一層既提供機(jī)密性服務(wù)又提供完整性服務(wù)?A、數(shù)據(jù)鏈路層B、物理層C、應(yīng)用層?D、表示層答案：C39.通過(guò)網(wǎng)頁(yè)上的釣魚攻擊來(lái)獲取密碼的方式,實(shí)質(zhì)上是一種:A、社會(huì)工程學(xué)攻擊B、密碼分析學(xué)C、旁路攻擊D、暴力破解攻擊答案：A40.Struts2遠(yuǎn)程代碼執(zhí)行漏洞中,服務(wù)端會(huì)對(duì)某些特定的屬性值進(jìn)行二次解析,從而造成()表達(dá)式注入A、ServletB、OGNLC、StrutsD、Java答案：B41.防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的主要作用是:A、提供代理服務(wù)B、隱藏內(nèi)部網(wǎng)絡(luò)地址C、進(jìn)行入侵檢測(cè)D、防止病毒入侵答案：B42.以下哪項(xiàng)機(jī)制與數(shù)據(jù)處理完整性相關(guān)A、數(shù)據(jù)庫(kù)事務(wù)完整性機(jī)制B、數(shù)據(jù)庫(kù)自動(dòng)備份復(fù)制機(jī)制C、雙機(jī)并行處理,并相互驗(yàn)證D、加密算法答案：D43.NT/2K模型符合哪個(gè)安全級(jí)別?A、B2B、C2C、B1D、C1答案：B44.以下列出了mac和散列函數(shù)的相似性,哪一項(xiàng)說(shuō)法是錯(cuò)誤的?A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長(zhǎng)度的,而散列函數(shù)的輸出值是固定長(zhǎng)度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對(duì)稱加密算法答案：C45.以下關(guān)于代替密碼的說(shuō)法正確的是:A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個(gè)bit異或D、明文根據(jù)密鑰作移位答案：A46.Windows服務(wù)說(shuō)法錯(cuò)誤的是()A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在SvchostC、Windows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運(yùn)行D、Windows服務(wù)通常是以管理員的身份運(yùn)行的GooAnn答案：C47.下面對(duì)于SSH的說(shuō)法錯(cuò)誤的是?A、SSH是SecureShell的簡(jiǎn)稱B、客戶端使用ssh連接遠(yuǎn)程登錄SSH服務(wù)器必須經(jīng)過(guò)基于公鑰的身份驗(yàn)證C、通常Linux操作系統(tǒng)會(huì)在/usr/local目錄下默認(rèn)安裝OpenSSHD、SSH2比SSH1更安全答案：B48.以下關(guān)于TCSEC的說(shuō)法正確的是:A、TCSEC對(duì)安全功能和安全保證進(jìn)行了明確的區(qū)分B、TCSEC為評(píng)估操作系統(tǒng)的可信賴程度提供了一套方法C、TCSEC沒(méi)有包括對(duì)網(wǎng)絡(luò)和通信的安全性進(jìn)行評(píng)估內(nèi)容D、數(shù)據(jù)庫(kù)系統(tǒng)的安全性評(píng)估不在TCSEC的內(nèi)容中答案：B49.密碼出口政策最嚴(yán)格的是以下哪個(gè)國(guó)家?A、法國(guó)B、美國(guó)C、愛(ài)爾蘭D、新加坡答案：B50.在文件上傳時(shí)可能需要繞過(guò)限制上傳webshell,其中可以利用解析漏洞來(lái)繞過(guò)后綴名的檢測(cè),假設(shè)上傳文件名為Shellasp;safejpg,這屬于利用哪一種中間件的解析漏洞A、ApacheB、IISC、TomcatD、Weblogic答案：B51.以下哪一種身份驗(yàn)證機(jī)制為移動(dòng)用戶帶來(lái)驗(yàn)證問(wèn)題?A、可重復(fù)使用的密碼機(jī)制B、一次性口令機(jī)制。C、挑戰(zhàn)響應(yīng)機(jī)制。D、基于IP地址的機(jī)制答案：D52.簡(jiǎn)單包過(guò)濾防火墻主要工作在:A、鏈接層/網(wǎng)絡(luò)層B、網(wǎng)絡(luò)層/傳輸層C、應(yīng)用層D、回話層答案：B53.以下關(guān)于符合性管理的描述中錯(cuò)誤的是?A、符合性包括法律法規(guī)的符合性和組織安全策略方針的符合性B、僅在組織內(nèi)部使用的信息系統(tǒng)不必考慮來(lái)自外部的法律法規(guī)的要求C、通過(guò)信息系統(tǒng)審核檢查符合性時(shí),應(yīng)盡量減少審核對(duì)信息系統(tǒng)的影響D、符合性管理中應(yīng)當(dāng)注意用戶個(gè)人隱私保護(hù)問(wèn)題答案：B54.下面對(duì)于訪問(wèn)控制模型分類的說(shuō)法正確的是:A、BLP模型和Biba模型都是強(qiáng)制訪問(wèn)控制模型B、Biba模型和ChineseWall模型都是完整性模型C、訪問(wèn)控制矩陣不屬于自主訪問(wèn)控制模型D、基于角色的訪問(wèn)控制屬于強(qiáng)制訪問(wèn)控制答案：D55.組成IPSEC的主要安全協(xié)議不包括以下哪一項(xiàng):A、ESPB、DSSC、IKED、AH答案：B56.內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論:A、這種缺乏了解會(huì)導(dǎo)致不經(jīng)意地泄露敏感信息B、信息安全不是對(duì)所有職能都是關(guān)鍵的C、IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D、該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對(duì)員工進(jìn)行繼續(xù)教育答案：A57.以下對(duì)windows系統(tǒng)日志的描述錯(cuò)誤的是:A、Windows系統(tǒng)默認(rèn)有三個(gè)日志,系統(tǒng)日志、應(yīng)用程序日志、安全日志B、系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件,例如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件X再XX控制器的故障C、應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件,例如應(yīng)用程序產(chǎn)生的裝載DLL(動(dòng)態(tài)鏈接X(jué)X)XXXD、安全日志跟蹤網(wǎng)絡(luò)入侵事件,??拒絕服務(wù)攻擊,口令暴力破解等。答案：D58.下面那一項(xiàng)不是通用IDS模型的組成部分:A、傳感器B、過(guò)濾器C、分析器D、管理器答案：B59.Alice從Sue那里收到一個(gè)發(fā)給她的密文,其他人無(wú)法解密這個(gè)密文,Alice需要哪個(gè)密鑰來(lái)解密這個(gè)密文?A、Alice的公鑰B、Alice的私鑰C、Sue的公鑰D、Sue的私鑰答案：B60.口令是驗(yàn)證用戶身份的最常用手段,以下那一種口令的風(fēng)險(xiǎn)影響范圍最大A、長(zhǎng)期沒(méi)有修改的口令B、過(guò)短的口令兩個(gè)人公用的口令C、兩個(gè)人公用的口令D、設(shè)備供應(yīng)商提供的默認(rèn)口令答案：D61.通過(guò)對(duì)稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是:A、在安全的傳輸信道上進(jìn)行通信B、通訊雙方通過(guò)某種方式,安全且秘密地共享密鑰C、通訊雙方使用不公開(kāi)的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無(wú)用信息中傳輸并提取答案：B62.衡量殘余風(fēng)險(xiǎn)應(yīng)當(dāng)考慮的因素為:A、威脅,風(fēng)險(xiǎn),資產(chǎn)價(jià)值B、威脅,資產(chǎn)價(jià)值,脆弱性C、單次損失,年度發(fā)生率D、威脅,脆弱性,資產(chǎn)價(jià)值,控制措施效果答案：D63.在進(jìn)行災(zāi)難恢復(fù)需求分析的過(guò)程中,進(jìn)行哪項(xiàng)工作可以幫助充分了解技術(shù)系統(tǒng)對(duì)業(yè)務(wù)重要性?A、業(yè)務(wù)影響分析(BIA)B、確定災(zāi)難恢復(fù)目標(biāo)C、制定災(zāi)難恢復(fù)策略D、制定災(zāi)難恢復(fù)預(yù)案答案：A64.下面把一項(xiàng)最準(zhǔn)確的闡述了安全監(jiān)測(cè)措施和安全審計(jì)措施之間的區(qū)別A、審計(jì)措施不能自動(dòng)執(zhí)行,而監(jiān)測(cè)措施可以自動(dòng)執(zhí)行B、監(jiān)測(cè)措施不能自動(dòng)執(zhí)行,而審計(jì)措施可以自動(dòng)執(zhí)行C、審計(jì)措施使一次性地或周期性進(jìn)行,而審計(jì)措施是實(shí)時(shí)地進(jìn)行D、監(jiān)測(cè)措施是指一次性地或周期性地進(jìn)行,而審計(jì)措施是實(shí)時(shí)地進(jìn)行答案：A65.下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的:A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶和管理員日志D、時(shí)鐘同步答案：D66.下面哪一個(gè)情景屬于身份鑒別(Authentication)過(guò)程A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔,并設(shè)定哪些用戶可以閱讀,哪些用戶可以修改C、用戶使用加密軟件對(duì)自己編寫的Office文檔進(jìn)行加密,以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D、某個(gè)人嘗試登陸到你的計(jì)算機(jī)中,但是口令輸入的不對(duì),系統(tǒng)提示口令錯(cuò)誤,并將這次失敗的登陸過(guò)程紀(jì)錄在系統(tǒng)日志中答案：A67.下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全測(cè)試B、檢查與配置C、配置變更D、人員培訓(xùn)答案：C68.信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行,下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員?A、管理人員、用戶、應(yīng)用設(shè)計(jì)人員B、系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C、內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼、應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員答案：D69.關(guān)于PKI/CA證書,下面那一種說(shuō)法是錯(cuò)誤的?A、證書上具有證書授權(quán)中心的數(shù)字簽名B、證書上列有證書擁有者的基本信息C、證書上列有證書擁有者的公開(kāi)密鑰D、證書上列有證書擁有者的秘密密鑰答案：D70.以下哪一個(gè)不是我國(guó)信息安全事件分級(jí)的分級(jí)要素?A、信息系統(tǒng)的重要程度B、系統(tǒng)損失C、系統(tǒng)保密級(jí)別D、社會(huì)影響答案：C71.實(shí)施ISMS內(nèi)審時(shí),確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序應(yīng)該要符合相關(guān)要求,以下哪個(gè)不是?A、約定的標(biāo)準(zhǔn)及相關(guān)法律的要求B、已識(shí)別的安全需求C、控制措施有效實(shí)施和維護(hù)D、ISO13335風(fēng)險(xiǎn)評(píng)估方法答案：D72.以下關(guān)于CC標(biāo)準(zhǔn)說(shuō)法錯(cuò)誤的是:A、通過(guò)評(píng)估有助于增強(qiáng)用戶對(duì)于IT產(chǎn)品的安全信息B、促進(jìn)IT產(chǎn)品和系統(tǒng)安全性C、清楚重復(fù)的評(píng)估D、詳細(xì)描述了安全評(píng)估方法學(xué)答案：D73.個(gè)人問(wèn)責(zé)不包括下列哪一項(xiàng)?A、訪問(wèn)規(guī)則。B、策略與程序。C、審計(jì)跟蹤。D、唯一身份標(biāo)識(shí)符。答案：B74.以下哪種措施既可以起到保護(hù)的作用還能起到恢復(fù)的作用?A、對(duì)參觀者進(jìn)行登記B、備份C、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃(包括備份?)D、口令答案：C75.下列哪項(xiàng)不是SSE-CMM模型中工程過(guò)程的過(guò)程區(qū)域?A、明確安全需求B、評(píng)估影響C、提供安全輸入D、協(xié)調(diào)安全答案：B76.在信息系統(tǒng)設(shè)計(jì)階段,“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過(guò)程的哪個(gè)階段?A、背景建立;B、風(fēng)險(xiǎn)評(píng)估;C、風(fēng)險(xiǎn)處理;D、批準(zhǔn)監(jiān)督答案：C77.按照BLP模型規(guī)則,以下哪種訪問(wèn)不能被授權(quán)A、Bob的安全級(jí)是(機(jī)密,{NUC,EUR}),文件的安全級(jí)是(機(jī)密,{NUC,EUR,AMC}),Bob請(qǐng)求寫該文件B、Bob的安全級(jí)是(機(jī)密,{NUC,EUR}),文件的安全級(jí)是(機(jī)密,{NUC}),Bob請(qǐng)求讀該文件C、Alice的安全級(jí)是(機(jī)密,{NUC,EUR}),文件的安全級(jí)是(機(jī)密,{NUC,US}),Alice請(qǐng)求寫該文件D、Alice的安全級(jí)是(機(jī)密,{NUC,US}),文件的安全級(jí)是(機(jī)密,{NUC,US}),Alice請(qǐng)求讀該文件答案：D78.以下對(duì)Windows系統(tǒng)的服務(wù)描述,正確的是A、Windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、Windows服務(wù)的運(yùn)行不需要用戶的交互登陸C、Windows服務(wù)都是隨系統(tǒng)啟動(dòng)而啟動(dòng),無(wú)需用戶進(jìn)行干預(yù)D、Windows服務(wù)都需要用戶進(jìn)行登陸后,以登錄用戶的權(quán)限進(jìn)行啟動(dòng)答案：B79.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的?A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。答案：C80.注重安全管理體系建設(shè),人員意識(shí)的培訓(xùn)和教育,是信息安全發(fā)展哪一個(gè)階段的特點(diǎn)?A、通信安全B、計(jì)算機(jī)安全C、信息安全D、信息安全保障答案：D81.下列哪種技術(shù)不是惡意代碼的生存技術(shù)?A、反跟蹤技術(shù)B、加密技術(shù)C、模糊變換技術(shù)D、自動(dòng)解壓縮技術(shù)答案：D82.關(guān)于數(shù)據(jù)庫(kù)安全的說(shuō)法錯(cuò)誤的是?A、數(shù)據(jù)庫(kù)系統(tǒng)的安全性很大程度上依賴于DBMS的安全機(jī)制B、許多數(shù)據(jù)庫(kù)系統(tǒng)在操作系統(tǒng)一下文件形式進(jìn)行管理,因此利用操作系統(tǒng)漏洞可以竊取數(shù)據(jù)庫(kù)文件C、為了防止數(shù)據(jù)庫(kù)中的信息被盜取,在操作系統(tǒng)層次對(duì)文件進(jìn)行加密是唯一從根本上解決問(wèn)題的手段D、數(shù)據(jù)庫(kù)的安全需要在網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)三個(gè)方面進(jìn)行保護(hù)答案：C83.所謂網(wǎng)絡(luò)內(nèi)的機(jī)器遵循同一“協(xié)議”就是指:A、采用某一套通信規(guī)則或標(biāo)準(zhǔn)B、采用同一種操作系統(tǒng)C、用同一種電纜互連D、用同一種程序設(shè)計(jì)語(yǔ)言答案：A84.“如果任何一條線路壞了,那么只有連在這條線路上的終端受影響?！鄙鲜銮闆r發(fā)生在哪種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)中?A、星型網(wǎng)B、樹(shù)型網(wǎng)C、環(huán)型網(wǎng)D、混合網(wǎng)答案：A85.Log4j2遠(yuǎn)程代碼執(zhí)行漏洞CVE-2021-44832是由于組件中的哪個(gè)功能導(dǎo)致的A、lookatB、lookforwardC、lookforD、lookup答案：D86.根據(jù)《信息系統(tǒng)安全保障評(píng)估框架第四部分:工程保障》安全工程過(guò)程A、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)B、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤,充分定義、量化控制和持續(xù)改進(jìn)C、基本實(shí)施、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等5個(gè)D、基本實(shí)施、計(jì)劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)等5個(gè)答案：B87.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問(wèn)權(quán)限前,組織應(yīng)當(dāng)做什么?A、該外部機(jī)構(gòu)的過(guò)程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)B、該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估,設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭、該外部機(jī)構(gòu)的任何訪問(wèn)應(yīng)被限制在DMZ區(qū)之內(nèi)D、應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序答案：B88.UDP協(xié)議和TCP協(xié)議對(duì)應(yīng)于ISO/OSI模型的那一層:A、鏈路層B、傳輸層C、會(huì)話層D、表示層答案：B89.數(shù)據(jù)庫(kù)管理系統(tǒng)類型有哪些A、繼承型數(shù)據(jù)庫(kù)、非繼承型數(shù)據(jù)庫(kù)B、關(guān)系型數(shù)據(jù)庫(kù)、非關(guān)系型數(shù)據(jù)庫(kù)C、關(guān)閉型數(shù)據(jù)庫(kù)、開(kāi)放型數(shù)據(jù)庫(kù)D、以上都不是答案：B90.PDRR模型說(shuō)法錯(cuò)誤的是A、PDRR模型中P指防護(hù),D指檢測(cè)B、PDRR是一種基于動(dòng)態(tài)的網(wǎng)絡(luò)安全模型C、PDRR改進(jìn)了傳統(tǒng)的只注重防護(hù)的單一安全防御思想,強(qiáng)調(diào)信息安全保障的PDRR四個(gè)重要環(huán)節(jié)D、PDRR可單純依靠技術(shù)手段進(jìn)行自動(dòng)化實(shí)現(xiàn)答案：D91.下列幾個(gè)OSI層中,哪一層能夠提供訪問(wèn)控制服務(wù)?A、傳輸層?B、表示層C、會(huì)話層D、數(shù)據(jù)鏈路層答案：A92.安全開(kāi)發(fā)制度中,QA最關(guān)注的的制度是A、系統(tǒng)后評(píng)價(jià)規(guī)定B、可行性分析與需求分析規(guī)定C、安全開(kāi)發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)D、需求變更規(guī)定答案：C93.操作系統(tǒng)安全的基礎(chǔ)是建立在:A、安全安裝B、安全配置C、安全管理D、以上都對(duì)答案：D.0是哪類網(wǎng)址的默認(rèn)MASK?A、A類B、B類C、C類D、D類答案：A95.在許多組織機(jī)構(gòu)中,產(chǎn)生總體安全性問(wèn)題的主要原因是:A、缺少安全性管理B、缺少故障管理C、缺少風(fēng)險(xiǎn)分析D、缺少技術(shù)控制機(jī)制答案：A96.以下那個(gè)不是PDCA循環(huán)的特點(diǎn)?A、按順序進(jìn)行B、可從任意一個(gè)階段開(kāi)始循環(huán)C、每個(gè)步驟可單獨(dú)成PDCA循環(huán)D、一次循環(huán)結(jié)束即進(jìn)入第二次循環(huán)答案：B97.信息安全管理措施不包括:A、安全策略B、物理和環(huán)境安全C、訪問(wèn)控制D、安全范圍答案：D98.Kerberos可以防止以下哪種攻擊?A、隧道攻擊。B、重放攻擊。C、破壞性攻擊。D、處理攻擊。答案：B99.如果一名攻擊者截獲了一個(gè)公鑰,然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接受者,這種情況屬于哪一種攻擊?A、重放攻擊B、Smurt攻擊C、字典攻擊D、中間人攻擊答案：D100.Linux系統(tǒng)的運(yùn)行日志存放的目錄是A、/var/logB、/usr/logC、/etc/logD、/tmp/log答案：A101.78下列哪一組是Orecle數(shù)據(jù)庫(kù)的默認(rèn)用戶名和默認(rèn)口令?A、用戶名:Scott;口令:tigerB、用戶名:‘sa':口令:nullC、用戶名:‘ROOT'口令:nullD、用戶名:‘ADMIN'口令:null答案：A102.以下哪項(xiàng)不屬于PDCA循環(huán)的特點(diǎn)?A、按順序進(jìn)行,它靠組織的力量來(lái)推動(dòng),像車輪一樣向前進(jìn),周而復(fù)始,不斷循環(huán)B、組織中的每個(gè)部分,甚至個(gè)人,均可以PDCA循環(huán),大環(huán)套小環(huán),一層一層地解決問(wèn)題C、每通過(guò)一次PDCA循環(huán),都要進(jìn)行總結(jié),提出新目標(biāo),再進(jìn)行第二次PDCA循環(huán)D、組織中的每個(gè)部分,不包括個(gè)人,均可以PDCA循環(huán),大環(huán)套小環(huán),一層一層地解決問(wèn)題答案：D103.數(shù)字簽名技術(shù)室公開(kāi)密鑰算法的一個(gè)典型應(yīng)用,在接收端,采用()對(duì)信息進(jìn)行驗(yàn)證A、發(fā)送者的公鑰B、發(fā)送者的密鑰C、接收者的公鑰D、接收者的密鑰答案：A104.向有限的空間輸入超長(zhǎng)的字符串是哪一種攻擊手段?A、緩沖區(qū)溢出B、網(wǎng)絡(luò)監(jiān)聽(tīng)C、拒絕服務(wù)D、IP欺騙答案：A105.以下對(duì)信息安全技術(shù)控制審計(jì)依據(jù)描述不正確的是A、信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239-2008)可以作為審計(jì)依據(jù)B、《證券期貨業(yè)信息安全保障管理辦法》可以作為審計(jì)依據(jù)C、當(dāng)進(jìn)行信息安全技術(shù)控制審計(jì)時(shí),才需選擇信息安全技術(shù)控制審計(jì)依據(jù)D、根據(jù)審計(jì)項(xiàng)目的實(shí)際情況,進(jìn)行信息安全技術(shù)控制審計(jì)時(shí),可能需要依據(jù)多個(gè)審計(jì)依據(jù)進(jìn)行審計(jì)答案：C106.Kerberos能夠防止哪種攻擊?A、隧道攻擊B、重放攻擊C、破壞性攻擊D、過(guò)程攻擊答案：B107.攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁(yè)面是可信賴的,但是當(dāng)瀏覽器下載該頁(yè)面,嵌入其中的腳本將被解釋執(zhí)行,這是哪種類型的漏洞?A、緩沖區(qū)溢出B、SQL注入C、設(shè)計(jì)錯(cuò)誤D、跨站腳本答案：D108.在提供給一個(gè)外部代理商訪問(wèn)信息處理設(shè)施前,一個(gè)組織應(yīng)該怎么做?A、外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS審計(jì)。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來(lái)自外部代理商的任何訪問(wèn)必須限制在?；饏^(qū)(DMZ)D、該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定和實(shí)施適當(dāng)?shù)目刂?。答案：D109.在一個(gè)使用ChineseWall模型建立訪問(wèn)控制的信息系統(tǒng)中,數(shù)據(jù)W和數(shù)據(jù)X在一個(gè)興趣沖突域中,數(shù)據(jù)Y和數(shù)據(jù)Z在另一個(gè)興趣沖突域中,那么可以確定一個(gè)新注冊(cè)的用戶:A、只有訪問(wèn)了W之后,才可以訪問(wèn)XB、只有訪問(wèn)了W之后,才可以訪問(wèn)Y和Z中的一個(gè)C、無(wú)論是否訪問(wèn)W,都只能訪問(wèn)Y和Z中的一個(gè)D、無(wú)論是否訪問(wèn)W,都不能訪問(wèn)Y或Z答案：C110.信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象確立的主要依據(jù)是什么A、系統(tǒng)設(shè)備的類型B、系統(tǒng)的業(yè)務(wù)目標(biāo)和特性C、系統(tǒng)的技術(shù)架構(gòu)D、系統(tǒng)的網(wǎng)絡(luò)環(huán)境答案：B111.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是:A、netshowB、netstatC、ipconfigD、netview答案：B112.關(guān)于安全策略的說(shuō)法,不正確的是A、得到安全經(jīng)理的審核批準(zhǔn)后發(fā)布B、應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔C、控制安全策略的發(fā)布范圍,注意保密D、系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn)答案：A113.Tcp/IP協(xié)議的4層網(wǎng)絡(luò)模型是?A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會(huì)話層、數(shù)據(jù)連接層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層答案：B114.當(dāng)員工或外單位的工作人員離開(kāi)組織或崗位變化時(shí),必須進(jìn)行以下的管理程序除了:A、明確此人不再具有以前的職責(zé)B、確保歸還應(yīng)當(dāng)歸還的資產(chǎn)C、確保屬于以前職責(zé)的訪問(wèn)權(quán)限被撤銷D、安全管理員陪同此人離開(kāi)工作場(chǎng)所答案：D115.某組織的信息系統(tǒng)策略規(guī)定,終端用戶的IDA、報(bào)告該控制是有效的,因?yàn)橛脩鬒D失效是符合信息系統(tǒng)策略規(guī)定的時(shí)間段的B、核實(shí)用戶的訪問(wèn)權(quán)限是基于用所必需原則的C、建議改變這個(gè)信息系統(tǒng)策略,以保證用戶ID的失效與用戶終止一致D、建議終止用戶的活動(dòng)日志能被定期審查答案：C116.以下那個(gè)最不適合由數(shù)據(jù)庫(kù)管理員來(lái)負(fù)責(zé)?A、數(shù)據(jù)管理B、信息系統(tǒng)管理C、系統(tǒng)安全D、信息系統(tǒng)規(guī)劃答案：C117.信息安全發(fā)展各階段中,下面哪一項(xiàng)是信息安全所面臨的主要威脅A、病毒B、非法訪問(wèn)C、信息泄漏D、口令答案：C118.根據(jù)《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》,保密審核實(shí)行部門管理,有關(guān)單位應(yīng)當(dāng)根據(jù)國(guó)家保密法規(guī),建立健全上網(wǎng)信息保密審批________。A、領(lǐng)導(dǎo)責(zé)任制B、專人負(fù)責(zé)制C、民主集中制D、職能部門監(jiān)管責(zé)任制答案：A119.下面哪一項(xiàng)最好地描述了風(fēng)險(xiǎn)分析的目的?A、識(shí)別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B、識(shí)別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C、識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)D、識(shí)別同責(zé)任義務(wù)有直接關(guān)系的威脅答案：C120.測(cè)試人員與開(kāi)發(fā)人員交互測(cè)試發(fā)現(xiàn)的過(guò)程中,開(kāi)發(fā)人員最關(guān)注的什么?A、bug的數(shù)量B、bug的嚴(yán)重程度C、bug的復(fù)現(xiàn)過(guò)程D、bug修復(fù)的可行性答案：C121.使用(),其后注入進(jìn)來(lái)的參數(shù)系統(tǒng)將不會(huì)認(rèn)為它會(huì)是一條SQL語(yǔ)句,而默認(rèn)其是一個(gè)參數(shù)A、預(yù)編譯B、預(yù)處理C、預(yù)執(zhí)行D、預(yù)編輯答案：A122.下列哪項(xiàng)是多級(jí)安全策略的必要組成部分?A、主體、客體的敏感標(biāo)簽和自主訪問(wèn)控制。B、客體敏感標(biāo)簽和強(qiáng)制訪問(wèn)控制。C、主體的安全憑證、客體的安全標(biāo)簽和強(qiáng)制訪問(wèn)控制。D、主體、客體的敏感標(biāo)簽和對(duì)其“系統(tǒng)高安全模式”的評(píng)價(jià)答案：C123.在IT項(xiàng)目管理中為了保證系統(tǒng)的安全性,應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理,以下哪一項(xiàng)不是對(duì)數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo):A、防止出現(xiàn)數(shù)據(jù)范圍以外的值B、防止出現(xiàn)錯(cuò)誤的數(shù)據(jù)處理順序C、防止緩沖區(qū)溢出攻擊D、防止代碼注入攻擊答案：B124.ISO7498-2開(kāi)放系統(tǒng)安全互聯(lián)體系架構(gòu)模型中,業(yè)務(wù)流量填充機(jī)制能實(shí)現(xiàn)的典型安全服務(wù)是A、訪問(wèn)控制B、數(shù)據(jù)完整性C、數(shù)據(jù)保密性D、身份鑒別答案：C125.下面對(duì)于保護(hù)輪廓(PP)的說(shuō)法最準(zhǔn)確的是A、對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述B、對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述C、對(duì)一類TOE的安全需求,進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述D、由一系列保證組件構(gòu)成的包,可以代表預(yù)先定義的保證尺度答案：C126.對(duì)緩沖區(qū)溢出攻擊預(yù)防沒(méi)有幫助的做法包括A、輸入?yún)?shù)過(guò)濾,安全編譯選項(xiàng)B、操作系統(tǒng)安全機(jī)制、禁止使用禁用APIC、安全編碼教育D、滲透測(cè)試答案：D127.銀行柜員的訪問(wèn)控制策略實(shí)施以下的哪一種?A、基于角色的策略。B、基于身份的策略。C、基于用戶的策略。D、基于規(guī)則政策。答案：A128.作為信息安全治理的成果,戰(zhàn)略方針提供了:A、企業(yè)所需的安全要求B、遵從最佳實(shí)務(wù)的安全基準(zhǔn)C、日?；贫然慕鉀Q方案D、風(fēng)險(xiǎn)暴露的理解答案：A129.使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息,消耗帶寬,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù),這屬于什么攻擊類型?A、拒絕服務(wù)B、文件共享C、BIND漏洞D、遠(yuǎn)程過(guò)程調(diào)用答案：A130.PKI在驗(yàn)證一個(gè)數(shù)字證書時(shí)需要查看-—來(lái)確認(rèn)A、ARLB、CSSC、KMSD、CRL答案：D131.按照BLP模型規(guī)則,以下哪種訪問(wèn)才能被授權(quán)A、Bob的安全級(jí)是機(jī)密,文件的安全級(jí)是機(jī)密,Bob請(qǐng)求寫該文件B、Bob的安全級(jí)是機(jī)密,文件的安全級(jí)是機(jī)密,Bob請(qǐng)求讀該文件C、Alice的安全級(jí)是機(jī)密,文件的安全級(jí)是機(jī)密,Alice請(qǐng)求寫該文件D、Alice的安全級(jí)是機(jī)密,文件的安全級(jí)是機(jī)密,Alice請(qǐng)求讀該文件答案：D132.通過(guò)對(duì)稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是A、在安全的傳輸信道上進(jìn)行通信B、通訊雙方通過(guò)某種方式,安全且秘密地共享密鑰C、通訊雙方使用不公開(kāi)的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無(wú)用信息中傳輸并提取答案：B133.以下哪種安全機(jī)制不能用于實(shí)現(xiàn)“機(jī)密性服務(wù)”?A、加密B、訪問(wèn)控制??C、通信填充D、路由控制答案：B134.以下對(duì)蠕蟲病毒的描述錯(cuò)誤的是:A、蠕蟲的傳播無(wú)需用戶操作B、蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)寬帶,導(dǎo)致DOSC、蠕蟲的傳播需要通過(guò)“宿主”程序或文件D、蠕蟲程序一般由“傳播模塊"、“隱藏模塊”和"變異模塊“答案：C135.下列哪一項(xiàng)與數(shù)據(jù)庫(kù)的安全有直接關(guān)系?A、訪問(wèn)控制的粒度B、數(shù)據(jù)庫(kù)的大小C、關(guān)系表中屬性的數(shù)量D、關(guān)系表中元組的數(shù)量答案：A136.信息安全保障強(qiáng)調(diào)安全是動(dòng)態(tài)的安全,意味著:A、信息安全是一個(gè)不確定性的概念B、信息安全是一個(gè)主觀的概念C、信息安全必須覆蓋信息系統(tǒng)整個(gè)生命周期,隨著安全風(fēng)險(xiǎn)的變化有針對(duì)性地進(jìn)行調(diào)整D、信息安全只能保證信息系統(tǒng)在有限物理范圍內(nèi)的安全,無(wú)法保證整個(gè)信息系統(tǒng)的安全答案：C137.下面哪一項(xiàng)是對(duì)IDS的正確描述A、基于特征(Signature-based)的系統(tǒng)可以檢測(cè)新的攻擊類型B、基于特征(Signature-based)的系統(tǒng)比基于行為(behavior-based)的系統(tǒng)產(chǎn)生更多的誤報(bào)C、基于行為(behavior-based)的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫(kù)來(lái)與數(shù)據(jù)包和攻擊相匹配D、基于行為(behavior-based)的系統(tǒng)比基于特征(Signature-based)的系統(tǒng)有更高的誤報(bào)答案：D138.WindowsNT的安全標(biāo)識(shí)(SID)串是由當(dāng)前時(shí)間、計(jì)算機(jī)名稱和另外一個(gè)計(jì)算機(jī)變量共同產(chǎn)生的,這個(gè)變量是什么?A、擊鍵速度B、用戶網(wǎng)絡(luò)地址C、處理當(dāng)前用戶模式線程所花費(fèi)CPU的時(shí)間D、PING的響應(yīng)時(shí)間答案：C139.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法最準(zhǔn)確的是A、信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理、安全工程和人員安全等,以全面保障信息系統(tǒng)安全B、通過(guò)技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心C、是一種通過(guò)客觀證據(jù)向信息系統(tǒng)評(píng)估者提供主觀信心的活動(dòng)D、是主觀和客觀綜合評(píng)估的結(jié)果答案：B140.、ISO7498-2開(kāi)放系統(tǒng)安全互聯(lián)體系架構(gòu)模型描述了信息系統(tǒng)安全架構(gòu)的層面、實(shí)現(xiàn)機(jī)制和安全服務(wù),以下哪一項(xiàng)不是該模型涉及的安全機(jī)制A、鑒別B、數(shù)字簽名C、訪問(wèn)控制D、路由控制答案：A141.風(fēng)險(xiǎn)分析的目的是?A、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡;B、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡;C、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡;D、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡;答案：C142.WindowsNT的客體描述符中除了包含所有者的SID、組的SID之外,還包括以下的哪兩個(gè)?A、自主訪問(wèn)控制列表和訪問(wèn)控制入口B、訪問(wèn)控制入口和受控的時(shí)間C、受控的時(shí)間和強(qiáng)制訪問(wèn)控制列表D、強(qiáng)制訪問(wèn)控制列表和自主訪問(wèn)控制列表答案：A143.下列屬于分布式拒絕服務(wù)(DDOS)攻擊的是A、Men-in-Middle攻擊B、SYN洪水攻擊C、TCP連接攻擊D、SQL注入攻擊答案：B144.下面哪個(gè)不是ISO27000系列包含的標(biāo)準(zhǔn)?A、《信息安全管理體系要求》B、《信息安全風(fēng)險(xiǎn)管理》C、《信息安全度量》D、《信息安全評(píng)估規(guī)范》答案：D145.公鑰基礎(chǔ)設(shè)施中不包括以下哪一項(xiàng)?A、CRLB、RAC、IKED、CA答案：C146.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后,應(yīng)及時(shí)向哪一家匯報(bào)A、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察及其各地相應(yīng)部門B、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C、互聯(lián)網(wǎng)安全協(xié)會(huì)D、信息安全產(chǎn)業(yè)商會(huì)答案：A147.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題,以下描述錯(cuò)誤的是A、信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì),應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題,不僅僅要考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境,同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面,其關(guān)鍵是選擇密碼算法,而不是密鑰的管理D、運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)答案：C148.以下關(guān)于Linux超級(jí)權(quán)限的說(shuō)明,不正確的是A、一般情況下,為了系統(tǒng)安全,對(duì)于一般常規(guī)級(jí)別的應(yīng)用,不需要root用戶來(lái)操作完成B、普通用戶可以通過(guò)su和sudo來(lái)獲得系統(tǒng)的超級(jí)權(quán)限C、對(duì)系統(tǒng)日志的管理,添加和刪除用戶等管理工作,必須以root用戶登錄才能進(jìn)行D、root是系統(tǒng)的超級(jí)用戶,無(wú)論是否為文件和程序的所有者都具有訪問(wèn)權(quán)限答案：C149.互聯(lián)網(wǎng)目前主要使用以下哪個(gè)協(xié)議?A、SNAB、DECnetC、TCP/IPD、MAP答案：C150.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述,不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí),能夠及時(shí)恢復(fù),保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化,及時(shí)修訂連續(xù)性計(jì)劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān),與其他業(yè)務(wù)部門人員無(wú)須參入答案：D151.單在風(fēng)險(xiǎn)分析中,下列不屬于軟件資產(chǎn)的是:件源代碼A、計(jì)算機(jī)操作系統(tǒng)B、網(wǎng)絡(luò)操作系統(tǒng)C、應(yīng)用軟D、外來(lái)惡意代碼答案：D152.以下對(duì)審核發(fā)現(xiàn)描述正確的是A、用作依據(jù)的一組方針、程序或要求B、與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C、將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果,可以是合格/符合項(xiàng),也可以是不合格/不符合項(xiàng)D、對(duì)審核對(duì)象的物理位置、組織結(jié)構(gòu)、活動(dòng)和過(guò)程以及時(shí)限的描述答案：C153.IPSEC密鑰協(xié)商方式有:A、一種,手工方式B、兩種,手工方式,IKE自動(dòng)協(xié)商C、一種,IKE自動(dòng)協(xié)商D、兩種,IKE自動(dòng)協(xié)商,隧道協(xié)商答案：B154.OSI模型中,哪一層可以進(jìn)行“錯(cuò)誤檢測(cè)和糾正”工作?A、數(shù)據(jù)鏈路層B、物理層C、網(wǎng)絡(luò)層D、應(yīng)用層答案：A155.下面哪一個(gè)是定義深度防御安全原則的例子?A、使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B、在主機(jī)上使用防火墻和邏輯訪問(wèn)控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量C、在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D、使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量答案：A156.與PDR模型相比,P2DR模型多了哪一個(gè)環(huán)節(jié)A、防護(hù)B、檢測(cè)C、反應(yīng)D、策略答案：D157.在密碼學(xué)的Kerchhoff假設(shè)中,密碼系統(tǒng)的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道答案：C158.TACACS(終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng),AAA認(rèn)證協(xié)議的一種?)使用哪個(gè)端口?A、TCP69B、TCP49(TACACS+)C、UDP69D、UDP49答案：D159.何種情況下,一個(gè)組織應(yīng)當(dāng)對(duì)公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全A、當(dāng)信息安全事件的負(fù)面影響擴(kuò)展到本組織以外時(shí)B、只要發(fā)生了安全事件就應(yīng)當(dāng)公告C、只有公眾的生命財(cái)產(chǎn)安全受到巨大危害時(shí)才公告D、當(dāng)信息安全事件平息之后答案：A2.22是哪類地址?A、A類B、B類C、C類D、D類答案：B161.下列哪種處置方法屬于轉(zhuǎn)移風(fēng)險(xiǎn)?A、部署綜合安全審計(jì)系統(tǒng)B、對(duì)網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)控C、制訂完善的制度體系D、聘用第三方專業(yè)公司提供維護(hù)外包服務(wù)答案：D162.我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)工作環(huán)節(jié)依次是:A、定級(jí)-檢查-建設(shè)整改-等級(jí)測(cè)評(píng)-備案B、等級(jí)測(cè)評(píng)-建設(shè)整改-監(jiān)督檢查C、定級(jí)-備案-建設(shè)整改-等級(jí)測(cè)評(píng)-監(jiān)督檢查D、定級(jí)-等級(jí)測(cè)評(píng)-備案-建設(shè)整改-監(jiān)督檢查答案：C163.Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來(lái)表示,對(duì)于文件名為test的一個(gè)文件,屬于Admin組中user用戶,以下哪個(gè)是該文件正確的模式表示A、rwxr-xr-x3useradmin1024Sep1311:58testB、drwxr-xr-x3useradmin1024Sep1311:58TestC、rwxr-xr-x3adminuser1024Sep1311:58TestD、drwxr-xr-x3adminuser1024Sep1311:58test答案：A164.52.在信息系統(tǒng)安全中,暴露由以下哪兩種因素共同構(gòu)成的?A、攻擊和脆弱性B、威脅和攻擊C、威脅和脆弱性D、威脅和破壞答案：A165.在滲透測(cè)試過(guò)程中,通常需要啟用臨時(shí)的http服務(wù),如果系統(tǒng)環(huán)境只有python2,下面哪個(gè)命令是正確的A、python-mhttp.server8080B、python-mSimpleHTTPServer8080C、python-S:8080D、python-run-ehttpd.-p8080答案：B166.在一個(gè)使用ChineseWall模型建立訪問(wèn)控制的消息系統(tǒng)中,A、只有訪問(wèn)了W之后,才可以訪問(wèn)XB、只有訪問(wèn)了W之后,才可以訪問(wèn)Y和Z中的一個(gè)C、無(wú)論是否訪問(wèn)W,都只能訪問(wèn)Y和Z中的一個(gè)D、無(wú)論是否訪問(wèn)W,都不能訪問(wèn)Y或Z答案：C167.下列哪一項(xiàng)準(zhǔn)確地描述了脆弱性、威脅、影響和風(fēng)險(xiǎn)之間的關(guān)系?A、脆弱性增加了威脅,威脅利用了風(fēng)險(xiǎn)并導(dǎo)致了影響B(tài)、風(fēng)險(xiǎn)引起了脆弱性并導(dǎo)致了影響,影響又引起了威脅C、風(fēng)險(xiǎn)允許威脅利用脆弱性,并導(dǎo)致了影響D、威脅利用脆弱性并產(chǎn)生影響的可能性稱為風(fēng)險(xiǎn),影響是威脅已造成損害的實(shí)例答案：D168.LDAP使用哪個(gè)端口?(LDAP輕量,根據(jù)目錄樹(shù)的結(jié)構(gòu)給予不同的員工組不同的權(quán)限)A、TCP139B、TCP119C、UDP139D、UDP389答案：D169.下列對(duì)密網(wǎng)功能描述不正確的是:A、可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對(duì)真正目標(biāo)的攻擊B、吸引入侵者來(lái)嗅探、攻擊,同時(shí)不被覺(jué)察地將入侵者的活動(dòng)記錄下來(lái)C、可以進(jìn)行攻擊檢測(cè)和實(shí)時(shí)報(bào)警D、可以對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析答案：D170.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效,已經(jīng)替代DES成為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長(zhǎng)度和加密密鑰是可變的,以下哪一種不是其可能的密鑰長(zhǎng)度?A、64bitB、128bitC、192bitD、256bit答案：A171.安全隔離網(wǎng)閘與防火墻相比,需要采取更強(qiáng)的安全隔離技術(shù),請(qǐng)指出下列哪一項(xiàng)技術(shù)不會(huì)在安全隔離網(wǎng)閘中使用A、專用的安全通信協(xié)議B、專用的硬件通信通道C、應(yīng)用層的數(shù)據(jù)交換D、支持?jǐn)?shù)據(jù)包路由答案：D172.哪種鑒別技術(shù)是利用密鑰生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊,并將該數(shù)據(jù)塊附加到消息之后以便接收方對(duì)消息進(jìn)行驗(yàn)證?A、消息鑒別碼B、數(shù)字簽名C、身份認(rèn)證碼D、散列碼答案：A173.ISO27002中描述的11個(gè)信息安全管理的控制領(lǐng)域不包括:A、信息安全組織B、資產(chǎn)管理C、內(nèi)容安全D、人力資源安全答案：C174.企業(yè)信息安全事件的恢復(fù)過(guò)程中,以下哪個(gè)是最關(guān)鍵的?A、數(shù)據(jù)B、應(yīng)用系統(tǒng)C、通信鏈路D、硬件/軟件答案：A175.下列哪項(xiàng)不是Kerberos密鑰分發(fā)服務(wù)(KDS)的一部分?A、Kerberos票證授予服務(wù)器(TGS)。B、Kerberos身份驗(yàn)證服務(wù)器(KAS)。C、存放用戶名和密碼的數(shù)據(jù)庫(kù)。D、Kerberos票證吊銷服務(wù)器(TRS)。答案：D176.下面對(duì)自由訪問(wèn)控制(DAC)描述正確的是A、比較強(qiáng)制訪問(wèn)控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用答案：D177.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄,其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是A、httpd.confB、srm.confC、access.confD、Inetd.conf答案：A178.下列關(guān)于Kerberos的描述,哪一項(xiàng)是正確的?A、埃及神話中的有三個(gè)頭的狗。B、安全模型。C、遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)器。D、一個(gè)值得信賴的第三方認(rèn)證協(xié)議。答案：D179.由于某個(gè)url參數(shù)是由服務(wù)器發(fā)起的,可對(duì)內(nèi)網(wǎng)發(fā)起請(qǐng)求,利用的話可以進(jìn)行內(nèi)網(wǎng)滲透,這是什么漏洞A、CSRFB、XSSC、命令執(zhí)行D、SSRF答案：D180.下面哪一項(xiàng)是緩沖溢出的危害?A、可能導(dǎo)致shellcode的執(zhí)行而非法獲取權(quán)限,破壞系統(tǒng)的保密性B、執(zhí)行shellcode后可能進(jìn)行非法控制,破壞系統(tǒng)的完整性C、可能導(dǎo)致拒絕服務(wù)攻擊,破壞系統(tǒng)的可用性D、以上都是答案：D181.關(guān)于監(jiān)理過(guò)程中成本控制,下列說(shuō)法中正確的是?A、成本只要不超過(guò)預(yù)計(jì)的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實(shí)現(xiàn),監(jiān)理單位只能記錄實(shí)際開(kāi)銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成答案：D182.在風(fēng)險(xiǎn)分析中,以下哪種說(shuō)法是正確的?A、定量影響分析的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B、定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C、定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D、定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量答案：D183.下面有關(guān)我國(guó)信息安全管理體制的說(shuō)法錯(cuò)誤的是:A、目前我國(guó)的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面B、我國(guó)的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C、我過(guò)的信息安全管理成堅(jiān)持及時(shí)檢測(cè)、快速響應(yīng)、綜合治理的方針D、我國(guó)對(duì)于信息安全責(zé)任的原則是誰(shuí)主管、誰(shuí)負(fù)責(zé)、誰(shuí)經(jīng)營(yíng)、誰(shuí)負(fù)責(zé)答案：D184.在一個(gè)單獨(dú)的計(jì)算機(jī)上或者一個(gè)孤立的網(wǎng)絡(luò)環(huán)境中,以下那個(gè)措施對(duì)于防止病毒以及防止程序被盜竊是不起作用的?A、可以提醒雇員制作一些受保護(hù)可執(zhí)行程序的非授權(quán)拷貝并存儲(chǔ)在系統(tǒng)硬盤上;B、禁止任何人將可執(zhí)行程序從一張軟盤上復(fù)制到另一張軟盤上;C、對(duì)任何企圖將可執(zhí)行程序復(fù)制到硬盤上的行為提出警告;D、禁止任何人在外來(lái)的軟盤上執(zhí)行程序。答案：A185.SSE—CMM工程過(guò)程區(qū)域中的風(fēng)險(xiǎn)過(guò)程包含哪些過(guò)程區(qū)域?A、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài)、評(píng)估威脅、評(píng)估脆弱行、評(píng)估安全風(fēng)險(xiǎn)C、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全答案：C186.有一類IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的XX來(lái)發(fā)現(xiàn)入侵事件,這種機(jī)制稱作:A、異常檢測(cè)B、特征檢測(cè)C、差距分析D、比對(duì)分析答案：A187.在風(fēng)險(xiǎn)管理準(zhǔn)備階段“建立背景"(對(duì)象建立)過(guò)程中不用設(shè)置的是:A、分析系統(tǒng)的體系結(jié)構(gòu)B、分析系統(tǒng)的安全環(huán)境C、制定風(fēng)險(xiǎn)管理計(jì)劃D、調(diào)查系統(tǒng)的技術(shù)特性答案：C188.以下哪種無(wú)線加密標(biāo)準(zhǔn)中那一項(xiàng)的安全性最弱?A、wepB、wpaC、wpa2D、wapi答案：A189.哪個(gè)端口被設(shè)計(jì)用作開(kāi)始一個(gè)SNMPTrap?A、TCP161B、UDP161C、UDP162D、TCP169答案：C190.那種測(cè)試結(jié)果對(duì)開(kāi)發(fā)人員的影響最大A、單元測(cè)試和集成測(cè)試B、系統(tǒng)測(cè)試C、驗(yàn)收測(cè)試D、滲透測(cè)試答案：C191.()就是將數(shù)據(jù)以某種方式加以保留,以便在系統(tǒng)遭受破壞或其他特定情況下,重新加以利用的一個(gè)過(guò)程A、數(shù)據(jù)備份B、數(shù)據(jù)轉(zhuǎn)儲(chǔ)C、數(shù)據(jù)保留D、數(shù)據(jù)再定義答案：A192.在NT中,怎樣使用注冊(cè)表編輯器來(lái)嚴(yán)格限制對(duì)注冊(cè)表的訪問(wèn)?A、HKEY_CURRENT_CONFIG,連接網(wǎng)絡(luò)注冊(cè)、登陸密碼、插入用戶IDB、HKEY_LOCAL_MACHINE,瀏覽用戶的輪廓目錄,選擇NTUser.dat。C、HKEY_USERS,瀏覽用戶的輪廓目錄,選擇NTUser.dat。D、HKEY_USERS,連接網(wǎng)絡(luò)注冊(cè)、登陸密碼、插入用戶ID答案：C193.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)對(duì)應(yīng)OSI模型的哪幾層?A、上三層B、只對(duì)應(yīng)網(wǎng)絡(luò)層C、下3層D、只對(duì)應(yīng)物理層答案：C194.是目前國(guó)際通行的信息技術(shù)產(chǎn)品安全性評(píng)估標(biāo)準(zhǔn)?A、TCSECB、ITSEC、CCCD、IATF答案：C195.信息發(fā)送者使用__________進(jìn)行數(shù)字簽名。A、己方的私鑰B、己方的公鑰C、對(duì)方的私鑰D、對(duì)方的公鑰答案：A196.關(guān)于凱撒密碼說(shuō)法錯(cuò)誤的是A、凱撒密碼是一種替換加密技術(shù)B、凱撒密碼是以羅馬共和時(shí)期愷撒的名字命名C、凱撒密碼較容易解密D、凱撒解密后不可解密答案：D197.總部和分支機(jī)構(gòu)通訊的VPN解決方案比較適合使用哪種體系結(jié)構(gòu)的VPN?A、網(wǎng)關(guān)到網(wǎng)關(guān)B、主機(jī)到網(wǎng)關(guān)C、主機(jī)到主機(jī)D、主機(jī)到網(wǎng)閘答案：A198.ISO/IEC17799源于以下哪個(gè)標(biāo)準(zhǔn)?A、BS7799-1B、BS7799-2C、BS7799-3D、GB7799答案：A199.那一類防火墻具有根據(jù)傳輸信息的內(nèi)容(如關(guān)鍵字、文件類型)來(lái)控制訪問(wèn)鏈接的能力?A、包過(guò)濾防火墻B、狀態(tài)檢測(cè)防火墻C、應(yīng)用網(wǎng)關(guān)防火墻D、以上都不能答案：C200.以下哪個(gè)是局域網(wǎng)中常見(jiàn)的被動(dòng)威脅?A、拒絕式服務(wù)攻擊B、IP欺騙C、嗅探D、消息服務(wù)的修改答案：C201.在信息系統(tǒng)的開(kāi)發(fā)和維護(hù)過(guò)程中,以下哪一種做法是不應(yīng)該被贊成的。A、在購(gòu)買軟件包后,依靠本單位的技術(shù)力量對(duì)軟件包進(jìn)行修改,加強(qiáng)代碼的安全性。B、當(dāng)操作系統(tǒng)變更后,對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行測(cè)試和評(píng)審。C、在需要是對(duì)操作文檔和用戶守則進(jìn)行適當(dāng)?shù)男薷?。D、在安裝委外開(kāi)發(fā)的軟件前進(jìn)行惡意代碼檢測(cè)。答案：B202.數(shù)字簽名是使用。A、己方的私鑰B、己方的公鑰C、對(duì)方的私鑰D、對(duì)方的公鑰答案：A203.以下關(guān)于RBAC模型的說(shuō)法正確的是:A、該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來(lái)決定用戶在系統(tǒng)中的訪問(wèn)權(quán)限B、一個(gè)用戶必須扮演并激活某種角色,才能對(duì)一個(gè)對(duì)象進(jìn)行訪問(wèn)或執(zhí)行某種操作C、在該模型中,每個(gè)用戶只能有一個(gè)角色D。在該模型中,權(quán)限與用戶關(guān)聯(lián),用戶與角色關(guān)聯(lián)答案：B204.惡意代碼采用加密技術(shù)的目的是A、加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制B、加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)C、加密技術(shù)可以保證惡意代碼不被破壞D、以上都不正確答案：A205.抵御電子郵箱入侵措施中,不正確的是A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器答案：D206.在下面的NT/2K安全模型的空白處,應(yīng)該是哪個(gè)安全組件?A、LONGON過(guò)程(LP)B、安全帳號(hào)管理(SAM)C、安全參考監(jiān)控器(SRM)D、本地安全授權(quán)(LSA)答案：B207.以下對(duì)信息安全管理體系說(shuō)法不正確的是:A、基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27000B、它是綜合信息安全管理和技術(shù)手段,保障組織信息安全的一種方法C、它是管理體系家族的一個(gè)成員D、基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001答案：A208.主要用于加密機(jī)制的協(xié)議是A、HTTPB、FTPC、TELNETD、SSL答案：D209.在自主訪問(wèn)環(huán)境中,以下哪個(gè)實(shí)體可以將信息訪問(wèn)權(quán)授予給其他人?A、經(jīng)理B、集團(tuán)負(fù)責(zé)人C、安全經(jīng)理D、數(shù)據(jù)所有者答案：D210.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A、IS審計(jì)員.B、管理層.C、外部審計(jì)師.D、程序開(kāi)發(fā)人員.答案：B211.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A、信息自身B、信息載體C、信息網(wǎng)絡(luò)D、信息環(huán)境答案：C212.下列關(guān)于kerckhofff準(zhǔn)則的說(shuō)法正確的是:A、保持算法的秘密性比保持密鑰的秘密性要困難的多B、密鑰一旦泄漏,也可以方便的更換C、在一個(gè)密碼系統(tǒng)中,密碼算法是可以公開(kāi)的,密鑰應(yīng)保證安全D、公開(kāi)的算法能夠經(jīng)過(guò)更嚴(yán)格的安全性分析答案：C213.公司有一臺(tái)WindowsServer2003服務(wù)器被入侵,管理員想調(diào)取windows日志分析,他需要查找的文件是A、\%SystemRoot%\System32\Config\?.evtB、\%SystemRoot%\System32\winevt\Logs\?.evtxC、\Users\administrator\.config\log.cfgD、E:\phpstudy\PHPTutorial\nginx\logs\access.log答案：A214.如果惡意開(kāi)發(fā)人員想在代碼中隱藏邏輯炸彈,什么預(yù)防方式最有效?A、源代碼周期性安全掃描B、源代碼人工審計(jì)C、滲透測(cè)試D、對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行不間斷監(jiān)測(cè)記錄答案：B215.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后,應(yīng)及時(shí)向那一家?A、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察及其各地相應(yīng)部門B、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C、互聯(lián)網(wǎng)安全協(xié)會(huì)D、信息安全產(chǎn)業(yè)商會(huì)答案：A216.為了實(shí)現(xiàn)數(shù)據(jù)庫(kù)的完整性控制,數(shù)據(jù)庫(kù)管理員應(yīng)向DBMS提出一組完整性規(guī)則來(lái)檢查數(shù)據(jù)庫(kù)中的數(shù)據(jù),完整性規(guī)則主要由三部分組成,以下哪一個(gè)不是完整性規(guī)則的內(nèi)容A、完整性約束條件B、完整性檢查機(jī)制C、完整性修復(fù)機(jī)制D、違約處理機(jī)制答案：C217.當(dāng)訪問(wèn)web網(wǎng)站的某個(gè)資源時(shí),請(qǐng)求無(wú)法被服務(wù)器理解將會(huì)出現(xiàn)的HTTP狀態(tài)碼是A、200B、401C、302D、303答案：B218.在零傳輸(Zonetransfers)中DNS服務(wù)使用哪個(gè)端口?A、TCP53B、UDP53C、UDP23D、TCP23答案：A219.WAPI采用的是什么加密算法?A、我國(guó)自主研發(fā)的公開(kāi)密鑰體制的橢圓曲線密碼算法B、國(guó)際上通用的商用加密標(biāo)準(zhǔn)C、國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D、國(guó)際通行的哈希算法答案：A220.常見(jiàn)密碼系統(tǒng)包含的元素是:A、明文、密文、信道、加密算法、解密算法B、明文,摘要,信道,加密算法,解密算法C、明文、密文、密鑰、加密算法、解密算法D、消息、密文、信道、加密算法、解密算法答案：C221.以下那個(gè)鑒別方法具有最高的準(zhǔn)確率,從而可以代替電子銀行中所使用的個(gè)人標(biāo)識(shí)號(hào)(PIN)?A、虹膜檢測(cè)B、聲音檢測(cè)C、掌紋檢測(cè)D、指紋檢測(cè)答案：A222.以下哪一項(xiàng)不是威脅建模的元素之一A、外部實(shí)體B、過(guò)程C、內(nèi)部實(shí)體D、數(shù)據(jù)流答案：C223.、系統(tǒng)工程霍爾三維結(jié)構(gòu)模型從時(shí)間維、邏輯維、三個(gè)坐標(biāo)對(duì)系統(tǒng)工程進(jìn)行程序化A、階段維B、進(jìn)程維C、知識(shí)維D、工作步驟維答案：C224.PKI在驗(yàn)證一個(gè)數(shù)字證書時(shí)需要查看()來(lái)確認(rèn)該證書是否已經(jīng)作廢A、ARLB、CSSC、KMSD、CRL答案：D225.下面哪個(gè)組合不是是信息資產(chǎn)A、硬件、軟件、文檔資料B、關(guān)鍵人員C、組織提供的信息服務(wù)D、桌子、椅子答案：D226.以下哪些不是可能存在的弱點(diǎn)問(wèn)題?A、保安工作不得力B、應(yīng)用系統(tǒng)存在BugC、內(nèi)部人員故意泄密D、物理隔離不足答案：C227.以下密碼使用方法中正確的是:A、將密碼記錄在日記本上以避免忘記;B、任何情況下均不得使用臨時(shí)性密碼;C、密碼中的字母不得重復(fù);D、不要使用全部由字母組成的密碼;答案：D228.依照《信息安全事件分級(jí)分類指南》中對(duì)信息安全事件分類的規(guī)定,以下哪一項(xiàng)屬于有害程序事件?A、信息被篡改B、黃色反動(dòng)信息傳播C、網(wǎng)絡(luò)釣魚D、木馬攻擊答案：D229.常用的混合加密(HybridEncryption)方案指的是A、使用對(duì)稱加密進(jìn)行通信數(shù)據(jù)加密,使用公鑰加密進(jìn)行會(huì)話密鑰協(xié)商B、使用公鑰加密進(jìn)行通信數(shù)據(jù)加密,使用對(duì)稱加密進(jìn)行會(huì)話密鑰協(xié)商C、少量數(shù)據(jù)使用公鑰加密,大量數(shù)據(jù)則使用對(duì)稱加密D、大量數(shù)據(jù)使用公鑰加密,少量數(shù)據(jù)則使用對(duì)稱加密答案：A230.信息安全管理體系要求的核心內(nèi)容是?A、風(fēng)險(xiǎn)評(píng)估B、關(guān)鍵路徑法C、PDCA循環(huán)D、PERT答案：C231.設(shè)計(jì)信息安全策略時(shí),最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A、非現(xiàn)場(chǎng)存儲(chǔ)B、由IS經(jīng)理簽署C、發(fā)布并傳播給用戶D、經(jīng)常更新答案：C232.TACACS+協(xié)議提供了下列哪一種訪問(wèn)控制機(jī)制A、強(qiáng)制訪問(wèn)控制B、自主訪問(wèn)控制C、分布式訪問(wèn)控制D、集中式訪問(wèn)控制答案：D233.以下哪一項(xiàng)不是《GB/T20274信息安全保障評(píng)估框架》給出的信息安全保障模型具備的特點(diǎn)?A、強(qiáng)調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動(dòng)態(tài)性,即強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個(gè)信息系統(tǒng)生命周期的全過(guò)程B、強(qiáng)調(diào)信息系統(tǒng)安全保障的概念,通過(guò)綜合技術(shù)、管理、工程和人員的安全保障要求來(lái)實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)C、以安全概念和關(guān)系為基礎(chǔ),將安全威脅和風(fēng)險(xiǎn)控制措施作為信息系統(tǒng)安全保障的基礎(chǔ)和核心D、通過(guò)以風(fēng)險(xiǎn)和策略為基礎(chǔ),在整個(gè)信息系統(tǒng)的生命周期中實(shí)施技術(shù)、管理、工程和人員保障要素,從而使信息系統(tǒng)安全保障實(shí)現(xiàn)信息安全的安全特征答案：C234.國(guó)際標(biāo)準(zhǔn)化組織ISO下屬208個(gè)技術(shù)委員會(huì)(TCs),531個(gè)分技術(shù)委員會(huì)(SCs),2378個(gè)工作組(WGs),其中負(fù)責(zé)信息安全技術(shù)標(biāo)準(zhǔn)化的組織是:A、ISO/IECB、ISO/IECJTC1C、ISO/IECJTC1/SC27D、ISO/IECJTC1/SC37答案：C235.管理員懷疑有人異地登錄了Linux服務(wù)器,通過(guò)以下哪個(gè)命令可以驗(yàn)證是否曾經(jīng)有異常的登錄行為并獲取到對(duì)方登錄IpA、loginlogsB、usersC、lastD、history答案：C236.以下哪種訪問(wèn)控制策略需要安全標(biāo)簽?A、基于角色的策略B、基于標(biāo)識(shí)的策略C、用戶指向的策略D、強(qiáng)制訪問(wèn)控制策略答案：D237.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法最準(zhǔn)確的是:A、信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理、安全工程和人員安全等,以全面保障信息系統(tǒng)安全B、通過(guò)技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心C、是一種通過(guò)客觀證據(jù)向信息系統(tǒng)評(píng)估者提供主觀信心的活動(dòng)D、是主觀和客觀綜合評(píng)估的結(jié)果答案：B238.IP欺騙(IPSpoof)是利用TCP/IP協(xié)議中________的漏洞進(jìn)行攻擊的:A、對(duì)源IP地址的鑒別方式B、結(jié)束會(huì)話時(shí)的四次握手過(guò)程C、IP協(xié)議尋址機(jī)制D、TCP尋址機(jī)制答案：C239.組成IPSec的主要安全協(xié)議不包括以下哪一項(xiàng)?A、ESPB、DSSC、IKED、AH答案：B240.做滲透測(cè)試的第一步是:A、信息收集B、漏洞分析與目標(biāo)選定C、拒絕服務(wù)攻擊D、嘗試漏洞利用答案：A241.DNS查詢(queries)工具中的DNS服務(wù)使用哪個(gè)端口?A、UDP53B、TCP23C、UDP23D、TCP53答案：A242.以下哪種鑒別方法最好?A、鑒別用戶是什么B、鑒別用戶有什么C、鑒別用戶知道什么D、鑒別用戶有什么和知道什么答案：D243.管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)已識(shí)別風(fēng)險(xiǎn)不采取措施A、當(dāng)必須的安全對(duì)策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的譴責(zé)負(fù)面影響時(shí)B、當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C、當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門控制范圍之內(nèi)時(shí)D、不可接受答案：A244.SSH的用戶鑒別組件運(yùn)行在OSI的哪一層?A、傳輸層B、網(wǎng)絡(luò)層C、會(huì)話層D、物理層答案：A245.()是注入后根據(jù)頁(yè)面返回時(shí)間來(lái)得到數(shù)據(jù)庫(kù)信息的一種辦法A、聯(lián)合查詢B、基于錯(cuò)誤的注入C、基于布爾的盲注D、基于時(shí)間的盲注答案：D246.以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)最先明確了保密性,完整性和可用性三項(xiàng)信息安全特征A、ITSECB、TCSECC、GB/TB9387。2D、彩虹系列的橙皮書答案：A247.下面關(guān)于ISO27002說(shuō)法錯(cuò)誤的是?A、ISO27002前身是ISO17799—1B、ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用,但不是全部C、ISO27002對(duì)于每個(gè)控制措施的表述分:“控制措施、實(shí)施指南和其他信息”三個(gè)部分來(lái)進(jìn)行描述D、ISO27002提出了十一大類安全管理措施,其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施?答案：D248.下面哪一個(gè)工具不支持漏洞掃描A、BT5B、NMAPC、wiresharkD、nessus答案：C249.SYNFlood攻擊是利用________協(xié)議缺陷進(jìn)行攻擊A、網(wǎng)絡(luò)接口層B、互聯(lián)網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層答案：C250.ISMS的審核的層次不包括以下哪個(gè)?A、符合性審核B、有效性審核C、正確性審核D、文件審核答案：C251.攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁(yè)面是可信賴的,但是當(dāng)瀏覽器下載該頁(yè)面,嵌入其中的腳本將被解釋執(zhí)行。這是那種類型的漏洞?A、緩沖區(qū)溢出B、SQL注入C、設(shè)計(jì)錯(cuò)誤D、跨站腳本答案：D252.下面哪種VPN技術(shù)工作的網(wǎng)絡(luò)協(xié)議層次最高:A、IPSECVPNB、SSLVPNC、L2TPVPND、GREVPN答案：B253.以下哪一項(xiàng)是內(nèi)存卡(memoryCards)和智能卡(smartcards)之間最大的區(qū)別?A、內(nèi)存卡有微處理器和集成電路用于處理數(shù)據(jù),而智能卡有磁條用戶來(lái)保存信息。B、智能卡有微處理器和集成電路用于處理數(shù)據(jù),而內(nèi)存卡有磁條用戶來(lái)保存信息。C、內(nèi)存卡比智能卡更能防篡改D、內(nèi)存卡、制造和維護(hù)起來(lái)更便宜答案：B254.以下哪種不是火災(zāi)探測(cè)器類型A、電離型煙傳感器B、光電傳感器C、聲學(xué)震動(dòng)探測(cè)系統(tǒng)D、溫度傳感器答案：C255.下列那一項(xiàng)是對(duì)信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋A、沒(méi)事適當(dāng)?shù)馁|(zhì)量管理工具B、經(jīng)常變化的用戶需求C、用戶參與需求挖掘不夠D、項(xiàng)目管理能力不強(qiáng)答案：C256.以下哪個(gè)不是信息安全項(xiàng)目的需求來(lái)源A、國(guó)家和地方政府法律法規(guī)與合同的要求B、風(fēng)險(xiǎn)評(píng)估的結(jié)果C、組織原則目標(biāo)和業(yè)務(wù)需要D、企業(yè)領(lǐng)導(dǎo)的個(gè)人意志答案：D257.風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過(guò)程。關(guān)于這些過(guò)程,以下的說(shuō)法哪一個(gè)是正確的?A、風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性B、風(fēng)險(xiǎn)要素識(shí)別的內(nèi)容是識(shí)別可能發(fā)生的安全事件對(duì)信息系統(tǒng)的影響程度C、風(fēng)險(xiǎn)分析的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性D、風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施答案：C258.對(duì)于信息安全發(fā)展歷史描述正確的是:A、信息安全的概念是隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用而誕生的B、目前信息安全己經(jīng)發(fā)展到計(jì)算機(jī)安全的階段C、目前信息安全不僅僅關(guān)注信息技術(shù),人們意識(shí)到組織、管理、工程過(guò)程和人員同樣是促進(jìn)系統(tǒng)安全性的重要因素D、我們可以將信息安全的發(fā)展階段概括為,由“計(jì)算機(jī)安全”到“通信安全”,再到“信息安全”,直至現(xiàn)在的“信息安全保障”答案：C259.在windows操作系統(tǒng)中,欲限制用戶無(wú)效登錄的次數(shù),應(yīng)當(dāng)怎么做?A、在“本地安全設(shè)置"中對(duì)“密碼策略”進(jìn)行設(shè)置B、在“本地安全設(shè)置”中對(duì)“賬戶鎖定策略”進(jìn)行設(shè)置C、在“本地安全設(shè)置”中對(duì)“審核策略”進(jìn)行設(shè)置D、在“本地安全設(shè)置”中對(duì)“用戶權(quán)利指派”進(jìn)行設(shè)置答案：B260.當(dāng)保護(hù)組織的信息系統(tǒng)時(shí),在網(wǎng)絡(luò)防火墻被破壞以后,通常的下一道防線是下列哪一項(xiàng)?A、個(gè)人防火墻B、防病毒軟件C、入侵檢測(cè)系統(tǒng)D、虛擬局域網(wǎng)設(shè)置答案：C261.什么設(shè)備可以隔離ARP廣播幀。A、路由器B、網(wǎng)橋C、以太網(wǎng)交換機(jī)D、集線器答案：A262.為了防止授權(quán)用戶不會(huì)對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改,需要實(shí)施對(duì)數(shù)據(jù)的完整性保護(hù),下列哪一項(xiàng)最好地描述了星或(﹡-)完整性原則A、Bell-LaPadula模型中的不允許向下寫B(tài)、Bell-LaPadula模型中的不允許向上讀C、Biba模型中的不允許向上寫D、Biba模型中的不允許向下讀答案：C263.ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于A、BS7799-1B、BS7799-2C、ITSECD、CC答案：B264.以下哪一項(xiàng)不是IDS可以解決的問(wèn)題:A、彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點(diǎn)B、識(shí)別和報(bào)告對(duì)數(shù)據(jù)文件的改動(dòng)C、統(tǒng)計(jì)分析系統(tǒng)ongoing異?；顒?dòng)模式D、提升系統(tǒng)監(jiān)控能力答案：A265.()是一種把多塊獨(dú)立的硬盤(物理硬盤)按不同方式組合起來(lái)形成一個(gè)硬盤組(邏輯硬盤),從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)空余的技術(shù)A、HIDB、RAIDC、HAIDD、RHAD答案：B266.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證答案：C267.信息安全工程經(jīng)理工程師不需要做的工作是A、編寫響應(yīng)測(cè)試方案B、審核相應(yīng)測(cè)試方案C、參與響應(yīng)測(cè)試過(guò)程D、審核響應(yīng)測(cè)試資質(zhì)答案：A268.下列對(duì)跨站腳本攻擊(XSS)的描述正確的是:A、XSS攻擊指的是惡意攻擊在WEB頁(yè)面里插入惡意代碼,當(dāng)用戶瀏覽該頁(yè)面時(shí)嵌入其中WEB頁(yè)面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的B、XSS攻擊是DOOS攻擊的一種變種C、XSS攻擊就是CC攻擊D、XSS攻擊就是利用被控制的機(jī)器不斷地向被攻擊網(wǎng)站發(fā)送訪問(wèn)請(qǐng)求,迫使HS連接X(jué)超出限制,當(dāng)CPU———————耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊的目的。答案：A269.對(duì)能力成熟度模型解釋最準(zhǔn)確的是?A、它認(rèn)為組織的能力依賴與嚴(yán)格定義,管理完善,可測(cè)可控的有效業(yè)務(wù)過(guò)程。B、通過(guò)嚴(yán)格考察工程成果來(lái)判斷工程能力。C、它與統(tǒng)計(jì)過(guò)程控制的理論出發(fā)點(diǎn)不同,所以應(yīng)用于不同領(lǐng)域。D、它是隨著信息安全的發(fā)展而誕生的重要概念。答案：A270.下列哪項(xiàng)不是《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))規(guī)定的內(nèi)容:A、國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則B、國(guó)家指定專門部門對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門的監(jiān)督和檢查C、跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護(hù)等級(jí)D、涉及國(guó)家秘密的信息系統(tǒng)不進(jìn)行分等級(jí)保護(hù)答案：D271.以下對(duì)Windows服務(wù)的說(shuō)法錯(cuò)誤的是()A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、Windows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運(yùn)行C、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeD、windows服務(wù)通常是以管理員的身份運(yùn)行的答案：B272.組織允許外部通過(guò)互聯(lián)網(wǎng)訪問(wèn)組織的局域網(wǎng)之前,首先要考慮實(shí)施以下哪項(xiàng)措施?A、保護(hù)調(diào)制解調(diào)器池。B、考慮適當(dāng)?shù)纳矸蒡?yàn)證方式。C、為用戶提供賬戶使用信息。D、實(shí)施工作站鎖定機(jī)制。答案：B273.電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書內(nèi)容不必須包括以下哪一項(xiàng)?A、電子認(rèn)證服務(wù)提供者名稱,證書持有人名稱B、證書序列號(hào),證書有效期C、證書適用范圍D、電子認(rèn)證服務(wù)提供者的電子簽名答案：C274.下面安全套接字層協(xié)議(SSL)的說(shuō)法錯(cuò)誤的是?A、它是一種基于Web應(yīng)用的安全協(xié)議B、由于SSL是內(nèi)嵌的瀏覽器中的,無(wú)需安全客戶端軟件,所以相對(duì)于IPSEC更簡(jiǎn)C、SSL與IPSec一樣都工作在網(wǎng)絡(luò)層D、SSL可以提供身份認(rèn)證、加密和完整性校驗(yàn)的功能答案：C275.職責(zé)分離的主要目的是?A、不允許任何一個(gè)人可以從頭到尾整個(gè)控制某一交易或者活動(dòng);B、不同部門的雇員不可以在一起工作;C、對(duì)于所有的資源都必須有保護(hù)措施;D、對(duì)于所有的設(shè)備都必須有操作控制措施。答案：A276.下列哪種設(shè)備是在OSI的多個(gè)層上工作的?A、網(wǎng)橋B、網(wǎng)關(guān)C、路由器D、中繼器答案：B277.計(jì)算機(jī)取證的工作順序是A、1準(zhǔn)備2提取3保護(hù)4分析5提交B、1準(zhǔn)備2保護(hù)3提取4分析5提交C、1準(zhǔn)備2保護(hù)3提取4提交5分析D、1準(zhǔn)備2提取3保護(hù)4分析5提交答案：B278.根據(jù)SSE-CMM,安全工程過(guò)程能力由低到高劃分為:A、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等6個(gè)級(jí)別B、基本實(shí)施、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等5個(gè)級(jí)別C、基本實(shí)施、計(jì)劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)等5個(gè)級(jí)別D、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤、充分定義4個(gè)級(jí)別答案：A279.測(cè)試程序變更管理流程時(shí),安全管理體系內(nèi)審員使用的最有效的方法是:A、由系統(tǒng)生成的信息跟蹤到變更管理文檔B、檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C、由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)D、檢查變更管理文檔中涉及的證據(jù)的完整性答案：A280.拒絕式服務(wù)攻擊會(huì)影響信息系統(tǒng)的哪個(gè)特性?A、完整性B、可用性C、機(jī)密性D、可控性答案：B281.有關(guān)Kerberos說(shuō)法下列哪項(xiàng)是正確的?A、它利用公鑰加密技術(shù)。B、它依靠對(duì)稱密碼技術(shù)。C、它是第二方的認(rèn)證系統(tǒng)。D、票據(jù)授予之后將加密數(shù)據(jù),但以明文方式交換密碼答案：B282.以下哪項(xiàng)活動(dòng)對(duì)安全編碼沒(méi)有幫助A、代碼審計(jì)B、安全編碼規(guī)范C、編碼培訓(xùn)D、代碼版本管理答案：D283.以下那一項(xiàng)不是應(yīng)用層防火墻的特點(diǎn)?A、更有效的阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對(duì)用戶透明D、比較容易進(jìn)行審計(jì)答案：C284.以下那個(gè)不是計(jì)算機(jī)取證工作的作用?A、通過(guò)證據(jù)查找肇事者B、通過(guò)證據(jù)推斷犯罪過(guò)程C、通過(guò)證據(jù)判斷受害者損失程度D