注冊信息安全工程師復(fù)習(xí)測試有答案（一）

第頁注冊信息安全工程師復(fù)習(xí)測試有答案1.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個價值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計時出于性能考慮，在瀏覽時使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改。利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題。對于網(wǎng)站的這個問題原因分析及解決措施，最正確的說法應(yīng)該是？A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時進(jìn)行商品價格驗(yàn)證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報警要求尋求警察介入，嚴(yán)懲攻擊者即可【正確答案】：C解析：

如題所述攻擊者修改了網(wǎng)站上商品的價格完成交易，屬于編碼缺陷2.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是？ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單【正確答案】：B解析：

教材P306

選項A：Bell-LaPadula模型應(yīng)用是MAC，ACL屬于DAC模型。

選項C：CL在統(tǒng)計某個主體能訪問哪些客體時比較方便

3.某單位在實(shí)施信息安全風(fēng)險評估后，形成了若干文檔，下面(

)中的文檔不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容【正確答案】：C解析：

教材P260，風(fēng)險評估各階段的輸出文檔，見下圖。

4.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者，下面描述錯誤的是？A、內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力，也都應(yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理審評會議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評審中，這些文件是被審對象【正確答案】：C解析：

教材P128，管理評審的實(shí)施主體不局限于第三方

5.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationSystems）（ISO/IEC27001：2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）。請問，這兩個標(biāo)準(zhǔn)的關(guān)系是？A、IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較【正確答案】：D解析：

教材P82

ISO27001：2005等同采用

GB/T22080：2008

ISO27001：2013等同采用

GB/T22080：20166.在Windows7中，通過控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強(qiáng)制密碼歷史D、賬號鎖定時間【正確答案】：D解析：

賬號鎖定時間在賬號鎖定策略中7.有關(guān)能力成熟度模型（CMM）錯誤的理解是？A、CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM的思想來源于項目管理和質(zhì)量管理CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”【正確答案】：A解析：

教材P179，“新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率”――新技術(shù)有風(fēng)險，能力成熟度模型（CMM）的思想及假設(shè)為“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”。

8.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡化的信息系統(tǒng)安全保障模型圖，如下所示。請為圖中括號空白處選擇合適的選項（）。A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D解析：

教材P35，圖1-9

信息系統(tǒng)安全保障模型9.操作系統(tǒng)用于管理計算機(jī)資源，控制整個系統(tǒng)運(yùn)行，是計算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計算機(jī)，開機(jī)后首先對自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)?。唬?）關(guān)閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開啟審核策略【正確答案】：D解析：

審核策略應(yīng)該開啟以實(shí)現(xiàn)跟蹤和監(jiān)控

操作系統(tǒng)安全配置主要包括：操作系統(tǒng)安全策略、開啟賬戶策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟賬戶策略、備份敏感文件、不顯示上次登錄名、禁止建立空鏈接和下載最新補(bǔ)丁。

10.某公司內(nèi)網(wǎng)的Web開發(fā)服務(wù)器只對內(nèi)網(wǎng)提供訪問（Web服務(wù)器監(jiān)聽8080端口，內(nèi)網(wǎng)信任網(wǎng)段為/24）。管理員李工使用iptables來限制訪問。下列正確的iptables規(guī)則是（）A、iptables-AINPUT-ptcp-s--dport8080-jACCEPTB、iptables-AINPUT-ptcp--dport8080-jACCEPTC、iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD、iptables-AINPUT-ptcp/24--dport8080-jACCEPT【正確答案】：C解析：

iptables-AINPUT-ptcp-s/24--dport8080-jACCEPT

-A：追加，在當(dāng)前鏈的最后新增一個規(guī)則

-s：指定作為源地址匹配，這里不能指定主機(jī)名稱，必須是IP

IP|IP/MASK|/而且地址可以取反，加一個“!”表示除了哪個IP之外

-d：表示匹配目標(biāo)地址

-p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）11.下面有關(guān)軟件安全問題的描述中，哪項不是由于軟件設(shè)計缺陷引起的？A、設(shè)計了用戶權(quán)限分級機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計信息B、設(shè)計了采用不加鹽（SALT）的SHA-1算法對用戶口令進(jìn)行加密存儲，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C、設(shè)計了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、設(shè)計了采用自行設(shè)計的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文【正確答案】：A解析：

系統(tǒng)管理員的權(quán)限是系統(tǒng)分配，與軟件設(shè)計無關(guān)12.下列關(guān)于計算機(jī)病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

病毒不能感染文本文件13.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的？A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙【正確答案】：C解析：

新技術(shù)有風(fēng)險14.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（）A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：B解析：

教材P308，BLP模型：向下讀、向上寫

秘密->機(jī)密->絕密

15.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險管理工作時，發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性；脆弱性V6和脆弱性V7。根據(jù)上述條件，請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風(fēng)險值？A、2B、3C、5D、6【正確答案】：C解析：

A1:T1，T2；A1:v3，v4，v5，V1，V2

T1*(V1，V2)=1*2=2

T2*(v3，v4，v5)=1*3=316.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理17.強(qiáng)制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強(qiáng)制訪問控制模型有多種模型，如BLP、Biba、Clark-Wilson和Chinese-Wall等。小李自學(xué)了BLP模型，并對該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”【正確答案】：B解析：

教材P308，BLP模型用于保證信息的機(jī)密性，下讀上寫18.以下關(guān)于Windows系統(tǒng)的賬號存儲管理機(jī)制SAM（SecurityAccountsManager）的說法哪個是正確的？A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D解析：

dows桌面環(huán)SYSTEM是至高無上的超級管理員帳戶。默認(rèn)情況下，我們無法直接在登錄對話框上以SYSTEM帳戶的身份登錄到Win境。19.“CC”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被測評對象，描述了該對象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實(shí)現(xiàn)方案？A、評估對象（TOE）B、保護(hù)輪廊（PP）（用戶角度）C、安全目標(biāo)（ST））（廠商角度）D、評估保證級（EAL）【正確答案】：C解析：

教材P235，ST安全目標(biāo)的定義。20.某網(wǎng)站在設(shè)計時經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題，以下哪種測試方式是最佳的測試方式？A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試【正確答案】：C解析：

滲透測試是真實(shí)攻擊模擬，是找出類似問題的最佳方法21.從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機(jī)制的理解錯誤的是？A、普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能B、系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C、進(jìn)程可以放棄自己的某些權(quán)能D、當(dāng)普通用戶的某些操作涉及特權(quán)操作時，仍然通過setuid實(shí)現(xiàn)【正確答案】：B解析：

系統(tǒng)管理員不能剝奪超級用戶的權(quán)能22.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是？A、PP2PB、L2TPC、SSLD、IPSec【正確答案】：C解析：

PPTP、L2TP—數(shù)據(jù)鏈路層；IPSec網(wǎng)絡(luò)層

23.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)?A、防護(hù)B、檢測C、反應(yīng)D、策略【正確答案】：D解析：

PDR：Protection-Detection-Response

PPDR：Policy-Protection-Detection-Response24.在提高阿帕奇系統(tǒng)安全性時，下面哪項措施不屬于安全配置內(nèi)容？A、不在Windows下安裝Apache，只在Linus和Unix下安裝B、安裝Apache時，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號來運(yùn)行D、積極了解Apache的安全通告并及時下載和更新【正確答案】：A解析：

Windows下也有Apache版本25.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是？A國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進(jìn)行改動和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入【正確答案】：D解析：

選項Ｄ中的描述“單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入”有誤26.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后，對于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是？A、信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后，制定的能共同的和重復(fù)使用的規(guī)則B、信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想C、信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動態(tài)控制的思想，因?yàn)榘踩珕栴}是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)D、信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙π畔踩芾碓O(shè)計的方方面面實(shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低【正確答案】：B解析：

最新的信息安全技術(shù)有風(fēng)險27.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時間為周三，因此導(dǎo)致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20686-2007，《信息安全事件分級分類指南》，該事件的準(zhǔn)確分類和定級應(yīng)該是?A、有害程序事件特別重大事件（I級）B、信息破壞事件重大事件（II級）C、有害程序事件較大事件（III級）D、信息破壞事件一般事件（IV級）【正確答案】：C解析：

教材P146-P147，木馬病毒屬于有害程序事件，信息安全事件分為四個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）、一般事件（IV級），其中：較大事件（III級）包括的情況如下：會使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要的信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，產(chǎn)出較大的社會影響。影響OA系統(tǒng)屬于較大事件。28.以下關(guān)于數(shù)字簽名說法正確的是？A、數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C、數(shù)字簽名一般采用對稱加密機(jī)制D、數(shù)字簽名能夠解決篡改、偽造等安全性問題【正確答案】：D解析：

數(shù)字簽名利用私鑰加密、公鑰解密，確認(rèn)發(fā)件人，用于實(shí)現(xiàn)完整性，提供防抵賴等服務(wù)29.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯誤的是？A、從安全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型B、自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權(quán)訪問它們的資源，具有較好的易用性和擴(kuò)展性C、強(qiáng)制訪問控制模型要求主題和客體都一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略【正確答案】：A解析：

三種模型之間沒有安全層級遞進(jìn)關(guān)系30.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項中正確的是？A、由于網(wǎng)絡(luò)安全上升到國家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團(tuán)公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B、對下級單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，計劃全員通過CISP持證培訓(xùn)以確保人員能力得到保障C、對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對網(wǎng)絡(luò)安全有所了解D、對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，實(shí)現(xiàn)全員信息安全意識教育【正確答案】：D解析：

選項A、C、D所描述的內(nèi)容在實(shí)際中都需要做，但D最優(yōu)，符合題意。

若題目中問題改為“以下選項中不正確的是?”，答案為B。31.ApacheHTTPServer（簡稱Apache）是一個開放源碼的Web服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A、不選擇Windows平臺，應(yīng)選擇在Linux平臺下安裝使用B、安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用【正確答案】：B解析：

Apache服務(wù)器的配置信息全部存儲在主配置文件/etc/httpd/conf/httpd.conf中32.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機(jī)資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是？A、在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

教材P353，選項B的描述“將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生”是誤用檢測

33.Linux系統(tǒng)文件中訪問權(quán)限屬性通過9個字符來表示，分別表示文件屬主、文件所屬組用戶和其他用戶對文件的讀（r）、寫（w）及執(zhí)行（x）的權(quán)限。文件usr/bin/passwd的屬性信息如下圖所示，在文件權(quán)限中還出現(xiàn)了一位s，下列選項中對這一位s的理解正確的是？A、文件權(quán)限出現(xiàn)了錯誤，出現(xiàn)s的位應(yīng)該改為xB、s表示sticky位，設(shè)置sticky位后，就算用戶對目錄具有寫權(quán)限，也不能刪除該文件C、s表示SGID位，文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn)、s表示SUID位，文件在執(zhí)行階段具有文件所有者的權(quán)限【正確答案】：D解析：

setuid：設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限，相當(dāng)于臨時擁有文件所有者的身份34.以下哪一項不是常見威脅對應(yīng)的消減措施？A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C解析：

防止發(fā)送方否認(rèn)應(yīng)該用數(shù)字簽名35.以下哪種風(fēng)險被認(rèn)為是合理的風(fēng)險？A、最小的風(fēng)險B、殘余的風(fēng)險C、未識別的風(fēng)險D、可接受的風(fēng)險【正確答案】：D解析：

可接受的風(fēng)險是合理風(fēng)險36.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼也稱為塊密碼，序列密碼也稱為流密碼。37.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

38.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全工作的主要原則？A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D、《關(guān)于開展信息安全風(fēng)險評估工作的意見》【正確答案】：C解析：

教材P16，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦2003年27號文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅持技管并重等。39.依據(jù)國家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(biāo)（ISST）中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

教材P35，強(qiáng)調(diào)綜合保障的觀念：整體安全＼管理安全＼技術(shù)安全＼工程安全40.某個新成立的互聯(lián)網(wǎng)金融公司擁有10個與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺個人計算機(jī)，這些個人計算機(jī)不會同時開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題，公司決定將這10個互聯(lián)網(wǎng)地址集中起來使用，當(dāng)任意一臺個人計算機(jī)開機(jī)并連接網(wǎng)絡(luò)時，管理中心從這10個地址中任意取出一個尚未分配的IP地址分配給這個人的計算機(jī)。他關(guān)機(jī)時，管理中心將該地為收回，并重新設(shè)置為未分配?？梢姡灰瑫r打開的個人計算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每個計算機(jī)可獲取一個IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接，該公司使用的IP地址規(guī)劃方式是（）A、靜態(tài)分配地址B、動態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址【正確答案】：B解析：

題目中所描述的就是DHCP服務(wù)的應(yīng)用場景41.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險評估實(shí)施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果？A、《風(fēng)險評估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險計算報告》D、《風(fēng)險程度等級列表》【正確答案】：B解析：

教材P260，風(fēng)險評估各階段的輸出文檔

42.下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的?A、設(shè)置網(wǎng)絡(luò)連接時限B、記錄并分析系統(tǒng)錯誤日志C、記錄并分析用戶和管理員操作日志D、啟用時鐘同步【正確答案】：A解析：

檢測未經(jīng)授權(quán)的信息處理活動需要查日志并啟用時鐘同步以實(shí)現(xiàn)日志關(guān)聯(lián)43.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對解決問題沒有幫助44.下面對“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

零日漏洞—剛被發(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞45.某單位在一次信息安全風(fēng)險管理活動中，風(fēng)險評估報告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險漏洞。隨后該單位在風(fēng)險處理時選擇了關(guān)閉FTP服務(wù)的處理措施。請問該措施屬于哪種風(fēng)險處理方式？A、風(fēng)險降低B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險接受【正確答案】：B解析：

教材P143，關(guān)閉服務(wù)屬于風(fēng)險規(guī)避46.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要，計劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報告時，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是？A、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B、應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C、編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強(qiáng)制要求，因此必須建設(shè)D、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施【正確答案】：C解析：

絕對化47.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性可以從業(yè)務(wù)內(nèi)容和流程中獲取48.有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯誤的是？A、系統(tǒng)工程研究問題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計的程序B、系統(tǒng)工程的基本特點(diǎn)，是需要把研究對象解構(gòu)為多個組成部分分別獨(dú)立研究C、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作，根據(jù)研究問題涉及到的學(xué)科和專業(yè)范圍，組成一個知識結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo)，采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法【正確答案】：B解析：

系統(tǒng)工程所包括的各要素之間是互相聯(lián)系的，不能獨(dú)立研究。49.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO，請你指出存在問題的是哪個總結(jié)？A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報、確定應(yīng)急事件優(yōu)先級、應(yīng)急響應(yīng)啟動實(shí)施、應(yīng)急響應(yīng)時間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分類依據(jù)GB/Z20986—2007《信息安全技術(shù)信息安全事件分類分級分級指南》，分為7個基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)【正確答案】：A解析：

為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行—明顯錯誤50.美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsAndTechnology，NIST）隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計算機(jī)安全的指南文檔。下面哪個文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology–Securitytechniques–Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology–OpenSystems–TheDirectory：AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IPAuthenticateHeader》【正確答案】：C解析：

SP800是美國NIST（NationalInstituteofStandardsandTechnology）發(fā)布的一系列關(guān)于信息安全的指南（SP是SpecialPublications的縮寫）。文檔很多，也很細(xì)，在NIST的標(biāo)準(zhǔn)系列文件中，雖然NISTSP并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國和國際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。NISTSP800系列成為指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。51.美國計算機(jī)協(xié)會（ACM）宣布將2015年的ACM獎授予給WhitfieldDiffie和Wartfield，下面哪項工作是他們的貢獻(xiàn)（）。A、發(fā)明并第一個使用C語言B、第一個發(fā)表了對稱密碼算法思想C、第一個發(fā)表了非對稱密碼算法思想D、第一個研制出防火墻【正確答案】：C解析：

教材P270，WhitfieldDiffie和MartinHellman在1976年第一個提出公鑰密碼算法，標(biāo)志著密碼學(xué)進(jìn)入了現(xiàn)代密碼階段。52.殘余風(fēng)險是風(fēng)險管理中的一個重要概念。在信息安全風(fēng)險管理中，關(guān)于殘余風(fēng)險描述錯誤的是？A、殘余風(fēng)險是采取了安全措施后，仍然可能存在的風(fēng)險：一般來說，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險B、殘余風(fēng)險應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C、實(shí)施風(fēng)險處理時，應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險的存在和可能造成的后果D、信息安全風(fēng)險處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險，以最小殘余風(fēng)險值作為風(fēng)險管理效果評估指標(biāo)【正確答案】：D解析：

“最小殘余風(fēng)險值”表述有問題53.實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高，常見的方法有利用口令鑒別、令牌鑒別、指紋鑒別等。小王在登陸某移動支付平臺時，首先需要通過指紋對用戶身份進(jìn)行鑒別。通過鑒別后，他才能作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項中的？A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見的鑒別方法【正確答案】：C解析：

教材P294，指紋屬于實(shí)體特征54.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（

）。A、保密性B、完整性C、可用性D、真實(shí)性【正確答案】：C解析：

分布式拒絕服務(wù)攻擊破壞的是可用性55.降低風(fēng)險（或減低風(fēng)險）是指通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險，下面哪個措施不屬于降低風(fēng)險的措施？A、減少威脅源。采用法律的手段制按計算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險C、減少脆弱性。及時給系統(tǒng)補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性D、減低威脅能力,采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力【正確答案】：B解析：

教材P142，合同不屬于風(fēng)險降低，屬于轉(zhuǎn)移56.信息系統(tǒng)安全工程（ISSE）的一個重要目標(biāo)就是在IT項目的各個階段充分考慮安全因素，在IT項目的立項階段，以下哪一項不是必須進(jìn)行的工作？A、明確業(yè)務(wù)對信息安全的要求B、識別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D解析：

立項階段不需要做測試工作57.關(guān)于密鑰管理，下列說法錯誤的是：A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過程中，通信方使用之前用過的會話密鑰建立會話，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D、在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰【正確答案】：B解析：

教材P271，如果密鑰泄露，通信方使用之前用過的會話密鑰建立會話將導(dǎo)致保密性問題58.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A、高級管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無法提供各種信息安全工作必須的資源59.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具60.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項目分二期，一期目標(biāo)為年底前實(shí)現(xiàn)系統(tǒng)上線運(yùn)營；二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險的處理；招標(biāo)文件經(jīng)管理層審批后發(fā)布。就此工程項目而言，下列選項正確的是：A、此項目將項目目標(biāo)分解為系統(tǒng)上線運(yùn)營和運(yùn)行系統(tǒng)風(fēng)險處理分期實(shí)施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃【正確答案】：C解析：

先運(yùn)營再進(jìn)行風(fēng)險處理不合理61./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為’x’。下列選項中，對此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個文件里D、這些賬戶都被禁用了【正確答案】：C解析：

影子口令系統(tǒng)把口令文件分成兩部分:/etc/passwd和影子口令文件。影子口令文件保存加密的口令；/etc/passwd中的coded-password域都被置為"X"或其他替代符號。影子口令文件只能被root或像passwd這樣的set_uid程序在需要合法訪問時讀取，其他所有非授權(quán)用戶都被拒絕訪問。62.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請問此類RFC系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的？A、國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）B、國際電工委員會（InternationalElectrotechnicalCommission，IEC）C、國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITUTelecommunicationStandardizationSector，ITU-T）D、Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）【正確答案】：D解析：

教材P67，RFC系列標(biāo)準(zhǔn)由IETF發(fā)布。63.為推動和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級保護(hù)工作的工作階段分級。下面四個標(biāo)準(zhǔn)中，（

）規(guī)定了等級保護(hù)定級階段的依據(jù)，對象，流程，方法及登記變更等內(nèi)容。A、GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)登記定級指南》C、GB/T25058-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》D、GB/T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B解析：

GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》，該標(biāo)準(zhǔn)對如何進(jìn)行信息系統(tǒng)定級做出指導(dǎo)。該標(biāo)準(zhǔn)已經(jīng)被《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》取代。64.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D、SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件【正確答案】：A解析：

SMTP是個請求/響應(yīng)協(xié)議，POP3采用Client/Server工作模式65.CISP的中文翻譯是？A、注冊信息安全專家B、中國信息安全注冊人員C、中國信息安全專家D、注冊信息安全專業(yè)人員【正確答案】：D解析：

解析：CISP-(CertifiedInformationSecurityProfessional）注冊信息安全專業(yè)人員

66.《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是：A、規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險，是一種全面的風(fēng)險評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB／T20984-2007》

1.規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。

2.設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。

3.實(shí)施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。

4.運(yùn)行維護(hù)階段風(fēng)險評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險，是一種較為全面的風(fēng)險評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。67.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法哪個是錯誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

教材P409，隱私保護(hù)原則：系統(tǒng)收集到的用戶信息都必須實(shí)施妥善和安全的保護(hù)68.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A、要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。【正確答案】：A解析：

選項A不符合“立足國情，以我為主，堅持技術(shù)與管理并重”原則69.在信息系統(tǒng)設(shè)計階段“安全產(chǎn)品選擇”處于風(fēng)險管理過程的哪個階段?A、背景建立B、風(fēng)險評估C、風(fēng)險處理D、批準(zhǔn)監(jiān)督【正確答案】：C解析：

教材P90，產(chǎn)品選擇屬于風(fēng)險處理70.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是？A、在軟件立項時考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測試、安全評審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)B、在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C、確保對軟件編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行【正確答案】：D解析：

排除法，選項D-絕對化71.以下哪一項不是我國信息安全保障的原則？A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

教材P16，立足國情，以我為主，堅持管理與技術(shù)并重72.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于？A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準(zhǔn)則（簡稱ITSEC）D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)（簡稱CC）【正確答案】：B解析：

信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來。

BS7799-1(ISO/IEC1799:2000)《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個大眾化的最佳慣例。

BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。73.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件B、對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D解析：

杜絕信息安全事件的發(fā)生—沒有絕對安全74.按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于？A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：B解析：

等保級別分為1-5級，其中最低屬于一級。75.對涉密系統(tǒng)進(jìn)行安全保密測評應(yīng)當(dāng)依據(jù)以下哪個標(biāo)準(zhǔn)?A、BMB20-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范》BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》C、GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》D、GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》【正確答案】：B解析：

BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》

該標(biāo)準(zhǔn)規(guī)定了涉密信息系統(tǒng)分級保護(hù)測評工作流程、測評內(nèi)容、測評方法和測評結(jié)果判定準(zhǔn)則，適用于獲得國家保密局授權(quán)的涉密信息系統(tǒng)風(fēng)險評估機(jī)構(gòu)或單位對涉密信息系統(tǒng)進(jìn)行安全保密測評，也可用于保密工作部門對涉密信息系統(tǒng)進(jìn)行檢查、獲得國家保密局涉密信息系統(tǒng)風(fēng)險評估資質(zhì)的單位和涉密信息系統(tǒng)使用單位對涉密信息系統(tǒng)進(jìn)行自評估的依據(jù)。76.某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是？A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題【正確答案】：B解析：

數(shù)據(jù)丟失屬于完整性77.以下關(guān)于直接附加存儲（DAS）說法錯誤的是？A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲，是一種常用的數(shù)據(jù)存儲方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單C、DAS的缺點(diǎn)在于對服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時，連續(xù)在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲（NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D解析：

教材P158，DAS-數(shù)據(jù)分散存儲，不集中。78.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以實(shí)現(xiàn)發(fā)件人確認(rèn)，提供防抵賴服務(wù)79.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險管理工作時，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個分析可能危害這些資產(chǎn)的主體、動機(jī)、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個工作屬于下面哪一個階段的工作？A、資產(chǎn)識別并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、確認(rèn)已有的安全措施并賦值【正確答案】：C解析：

教材P256，威脅識別定義

威脅識別：判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容；

脆弱性識別：對脆弱性嚴(yán)重程度進(jìn)行等級化處理；

確認(rèn)已有的控制措施：建立在《信息系統(tǒng)的描述報告》、《信息系統(tǒng)的分析報告》、《信息系統(tǒng)的安全要求報告》來確認(rèn)已有的安全措施，包括技術(shù)層面、組織層面、管理層面的安全對策，形成《已有安全措施列表》

80.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）A、軟件安全開發(fā)生命周期較長、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點(diǎn)是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進(jìn)行了安全性測試，就沒有必要在組織第三方進(jìn)行安全性測試【正確答案】：B解析：

軟件安全問題越早解決成本越低81.以下哪一項不是信息系統(tǒng)集成項目的特點(diǎn)？A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程【正確答案】：B解析：

信息系統(tǒng)集成項目實(shí)施過程中不追求最好的產(chǎn)品和技術(shù)，可能有風(fēng)險。82.關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的是？A、指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項B、指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復(fù)C、指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束D、指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以【正確答案】：B解析：

數(shù)據(jù)庫完整性包括：

1.

實(shí)體完整性：確保每行數(shù)據(jù)都是有效的

2.

區(qū)域完整性：確保每列數(shù)據(jù)都是有效的

3.

參考完整性

4.

自定義完整性83.小張是信息安全風(fēng)險管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險進(jìn)行評估，已知：核心機(jī)房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四（24%），歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：A、24萬B、0.09萬C、37.5萬D、9萬【正確答案】：D解析：

100*24%*3/8=9萬84.在某網(wǎng)絡(luò)機(jī)房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容？A、審核實(shí)施投資計劃B、審核實(shí)施進(jìn)度計劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

投資審核不是監(jiān)理的職責(zé)85.信息安全管理體系（簡稱ISMS）的實(shí)施和運(yùn)行，ISMS階段，是ISMS過程模型的實(shí)施階段，下面給出了一些備選的活動，選項（

）描述了在此階段組織應(yīng)進(jìn)行的活動？1.制定風(fēng)險處理計劃2.實(shí)施風(fēng)險處理計劃3.開發(fā)有效性測量程序4.實(shí)施培訓(xùn)和意識教育計劃5.管理ISMS的運(yùn)行6.管理ISMS的資源7.執(zhí)行檢測事態(tài)和響應(yīng)事件的程序8.實(shí)施內(nèi)部審核9.實(shí)施風(fēng)險在評估A、.5.6B、.5.6.7C、.D、..9【正確答案】：B解析：

教材P98，第8項實(shí)施內(nèi)部審核屬于“監(jiān)視和評審”階段

86.（

）第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）按照（

）實(shí)行分級保護(hù)。（

）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（

）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行《三同步》。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（

）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C、《網(wǎng)絡(luò)保密法》；涉密程度：涉密系統(tǒng)：保密設(shè)施：檢查合格D、《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A解析：

《中華人民共和國保守國家秘密法》第二十三條

第二十三條存儲、處理國家秘密的計算機(jī)信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))按照涉密程度實(shí)行分級保護(hù)。

涉密信息系統(tǒng)應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運(yùn)行。

涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使用。87.在Windows系統(tǒng)中，存在默認(rèn)共享功能，方便了局域網(wǎng)用戶使用，但對個人用戶來說存在安全風(fēng)險。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計算機(jī)上進(jìn)行安全設(shè)置時，需要關(guān)閉默認(rèn)共享。下列選項中，不能關(guān)閉默認(rèn)共享的操作是？A、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項中的“Autodisconnect”項鍵值改為0B、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項中的“AutoShareServer”項鍵值改為0C、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項中的“AutoShareWks”項鍵值改為0D、在命令窗口中輸入命令，刪除C盤默認(rèn)共享：netshareC$/del【正確答案】：A解析：

利用注冊表關(guān)閉隱藏共享：

?

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolset/services/lanmanserver/parameters

ü

新建DWORD值autoshareserver=0

ü

新建DWORD值autosharewks=088.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureMultipurposeInternetMailExtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是？A、S/MIME采用了非對稱密碼學(xué)機(jī)制B、S/MIME支持?jǐn)?shù)字證書C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶身份認(rèn)證和郵件加密【正確答案】：C解析：

S/MIME：是通過在RFCl847中定義的多部件媒體類型在MIME中打包安全服務(wù)的另一個技術(shù)。它提供驗(yàn)證、信件完整性、數(shù)字簽名和加密。89.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是？A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的【正確答案】：D解析：

教材P341，WPA-802.11i草案，WPA2-802.11i正式標(biāo)準(zhǔn)

90.傳輸控制協(xié)議（TCP）是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個是正確的？A、相比傳輸層的另外一個協(xié)議UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途B、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C、TCP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時重發(fā)、接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議D、TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低【正確答案】：D解析：

教材P335，TCP提供面向連接的可靠服務(wù)，效率比UPD要低

選項A：TCP效率比UDP要低

選項B：源IP地址和目標(biāo)IP地址在IP包中

選項C：TCP協(xié)議工作在傳輸層，IP協(xié)議工作在網(wǎng)絡(luò)層，TCP不能取代IP

91.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時，以下說法正確的是？A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報文驗(yàn)證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

選項A：MD5用于完整性校驗(yàn)

選項B：AES實(shí)現(xiàn)機(jī)密性

選項D：AH提供完整性和數(shù)據(jù)源認(rèn)證92.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發(fā)布，最初目的是為保障美國政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是？A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器【正確答案】：B解析：

教材P29，四類焦點(diǎn)區(qū)域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境、支撐性基礎(chǔ)設(shè)施93.如果向Apache的訪問日志中寫入一句話木馬，需要如何操作才能將一句話寫入到日志中（）A、在URL后面，加上一句話的url編碼格式的內(nèi)容B、在URL后面，加上一句話的base64編碼格式的內(nèi)容C、在訪問的URL數(shù)據(jù)體中，直接插入一句話源碼D、在訪問的URLhttp請求頭部，插入basic字段，并將一句話編碼為base64【正確答案】：D解析：

無94.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制，他們具有不同的特點(diǎn)和應(yīng)用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（）。A、自主訪問控制B、強(qiáng)制訪問控制C、基于角色的訪問控制D、以上選項都可以【正確答案】：C解析：

教材P315，RBAC較好地支持最小特權(quán)原則，還能實(shí)施職責(zé)分離原則95.以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl，RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限（不同類別和級別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是？A、當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級安全中的訪問控制【正確答案】：D解析：

教材P312，RBAC有四個級別，RBAC0-3

96.一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實(shí)施訪問控制。例如，在一個學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項中，對訪問控制的作用的理解錯誤的是？A、對經(jīng)過身份鑒定后的合法用戶提供所有服務(wù)B、拒絕非法用戶的非授權(quán)訪問請求C、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理D、防止對信息的非授權(quán)篡改和濫用【正確答案】：A解析：

教材P304，對經(jīng)過身份鑒定后的合法用戶提供所需要的且經(jīng)過授權(quán)的服務(wù)97.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中，錯誤的是？A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式B、密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而制定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D、密碼協(xié)議（cryptographicprotocol），有時也稱安全協(xié)議（securityprotocol），是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)【正確答案】：A解析：

復(fù)雜的步驟也必須明確處理方式98.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srL.confC、access.confD、inetd.conf【正確答案】：A解析：

Apache服務(wù)的配置文件httpd.conf99.以下關(guān)于帳戶策略中密碼策略中各項策略的作用說明，哪個是錯誤的：A、“密碼必須符合復(fù)雜性要求”是用于避免用戶產(chǎn)生1234，111這樣的口令B、“密碼長度最小值”是強(qiáng)制用戶使用一定長度以上的密碼C、“強(qiáng)制密碼歷史”是強(qiáng)制用戶不能再為使用曾經(jīng)使用過的低密碼D、“密碼最長存留期”是為了避免用戶使用密碼時間過長而不更換【正確答案】：C解析：

“強(qiáng)制密碼歷史”需要設(shè)置記住密碼的數(shù)量100.有關(guān)危害國家秘密安全的行為，包括：A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為【正確答案】：A解析：

選項B、C、D描述中的“但不包括。。?！本袉栴}101.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅，以下哪個不是需要考慮的攻擊方式？A、攻擊者利用軟件存在邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)最大時會導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C、攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線撥掉導(dǎo)致無法訪問【正確答案】：D解析：

選項Ｄ所描述的情況在軟件開發(fā)時無法考慮102.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是？A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫中的信息C、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進(jìn)行劃分，粒度越小，安全級別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分【正確答案】：C解析：

數(shù)據(jù)庫安全粒度要根據(jù)實(shí)際需要進(jìn)行