注冊(cè)信息安全工程師復(fù)習(xí)測(cè)試有答案（一）

第頁(yè)注冊(cè)信息安全工程師復(fù)習(xí)測(cè)試有答案1.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買(mǎi)走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過(guò)偽造數(shù)據(jù)包使得向購(gòu)物車(chē)添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車(chē)中，而付款時(shí)又沒(méi)有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問(wèn)題。對(duì)于網(wǎng)站的這個(gè)問(wèn)題原因分析及解決措施，最正確的說(shuō)法應(yīng)該是？A、該問(wèn)題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類(lèi)似的問(wèn)題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪(fǎng)問(wèn)都強(qiáng)制要求使用httpsB、該問(wèn)題的產(chǎn)生是由于網(wǎng)站開(kāi)發(fā)前沒(méi)有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒(méi)有找到該威脅并采取相應(yīng)的消減措施C、該問(wèn)題的產(chǎn)生是由于編碼缺陷，通過(guò)對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D、該問(wèn)題的產(chǎn)生不是網(wǎng)站的問(wèn)題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可【正確答案】：C解析：

如題所述攻擊者修改了網(wǎng)站上商品的價(jià)格完成交易，屬于編碼缺陷2.自主訪(fǎng)問(wèn)控制模型（DAC）的訪(fǎng)問(wèn)控制關(guān)系可以用訪(fǎng)問(wèn)控制（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪(fǎng)問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是？ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶(hù)時(shí)，去除該用戶(hù)所有的訪(fǎng)問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪(fǎng)問(wèn)哪些客體比較方便D、ACL在增加客體時(shí)，增加相關(guān)的訪(fǎng)問(wèn)控制權(quán)限較為簡(jiǎn)單【正確答案】：B解析：

教材P306

選項(xiàng)A：Bell-LaPadula模型應(yīng)用是MAC，ACL屬于DAC模型。

選項(xiàng)C：CL在統(tǒng)計(jì)某個(gè)主體能訪(fǎng)問(wèn)哪些客體時(shí)比較方便

3.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文檔，下面(

)中的文檔不應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、資產(chǎn)分類(lèi)標(biāo)準(zhǔn)、資產(chǎn)分類(lèi)準(zhǔn)則等內(nèi)容【正確答案】：C解析：

教材P260，風(fēng)險(xiǎn)評(píng)估各階段的輸出文檔，見(jiàn)下圖。

4.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)。關(guān)于這兩者，下面描述錯(cuò)誤的是？A、內(nèi)部審核和管理審評(píng)都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿Γ捕紤?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理審評(píng)會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評(píng)審中，這些文件是被審對(duì)象【正確答案】：C解析：

教材P128，管理評(píng)審的實(shí)施主體不局限于第三方

5.安全管理體系，國(guó)際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationSystems）（ISO/IEC27001：2013），而我國(guó)發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）。請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是？A、IDT（等同采用），此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改B、EQV（等效采用），此國(guó)家標(biāo)準(zhǔn)等效于該國(guó)家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)家標(biāo)準(zhǔn)D、沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較【正確答案】：D解析：

教材P82

ISO27001：2005等同采用

GB/T22080：2008

ISO27001：2013等同采用

GB/T22080：20166.在Windows7中，通過(guò)控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶(hù)策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼長(zhǎng)度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間【正確答案】：D解析：

賬號(hào)鎖定時(shí)間在賬號(hào)鎖定策略中7.有關(guān)能力成熟度模型（CMM）錯(cuò)誤的理解是？A、CMM的基本思想是，因?yàn)閱?wèn)題是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率B、CMM的思想來(lái)源于項(xiàng)目管理和質(zhì)量管理CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過(guò)程的方法D、CMM是建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”【正確答案】：A解析：

教材P179，“新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率”――新技術(shù)有風(fēng)險(xiǎn)，能力成熟度模型（CMM）的思想及假設(shè)為“生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”。

8.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖，如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)（）。A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測(cè)、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D解析：

教材P35，圖1-9

信息系統(tǒng)安全保障模型9.操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買(mǎi)了一臺(tái)計(jì)算機(jī)，開(kāi)機(jī)后首先對(duì)自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號(hào)策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)??；（4）關(guān)閉審核策略，開(kāi)啟口令策略，開(kāi)啟賬號(hào)策略。這些操作中錯(cuò)誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開(kāi)啟審核策略【正確答案】：D解析：

審核策略應(yīng)該開(kāi)啟以實(shí)現(xiàn)跟蹤和監(jiān)控

操作系統(tǒng)安全配置主要包括：操作系統(tǒng)安全策略、開(kāi)啟賬戶(hù)策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開(kāi)啟審核策略、開(kāi)啟密碼策略、開(kāi)啟賬戶(hù)策略、備份敏感文件、不顯示上次登錄名、禁止建立空鏈接和下載最新補(bǔ)丁。

10.某公司內(nèi)網(wǎng)的Web開(kāi)發(fā)服務(wù)器只對(duì)內(nèi)網(wǎng)提供訪(fǎng)問(wèn)（Web服務(wù)器監(jiān)聽(tīng)8080端口，內(nèi)網(wǎng)信任網(wǎng)段為/24）。管理員李工使用iptables來(lái)限制訪(fǎng)問(wèn)。下列正確的iptables規(guī)則是（）A、iptables-AINPUT-ptcp-s--dport8080-jACCEPTB、iptables-AINPUT-ptcp--dport8080-jACCEPTC、iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD、iptables-AINPUT-ptcp/24--dport8080-jACCEPT【正確答案】：C解析：

iptables-AINPUT-ptcp-s/24--dport8080-jACCEPT

-A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則

-s：指定作為源地址匹配，這里不能指定主機(jī)名稱(chēng)，必須是IP

IP|IP/MASK|/而且地址可以取反，加一個(gè)“!”表示除了哪個(gè)IP之外

-d：表示匹配目標(biāo)地址

-p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）11.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的？A、設(shè)計(jì)了用戶(hù)權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B、設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶(hù)口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶(hù)如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶(hù)登錄C、設(shè)計(jì)了緩存用戶(hù)隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶(hù)隱私數(shù)據(jù)D、設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文【正確答案】：A解析：

系統(tǒng)管理員的權(quán)限是系統(tǒng)分配，與軟件設(shè)計(jì)無(wú)關(guān)12.下列關(guān)于計(jì)算機(jī)病毒感染能力的說(shuō)法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

病毒不能感染文本文件13.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的？A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿(mǎn)足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過(guò)程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶(hù)管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙【正確答案】：C解析：

新技術(shù)有風(fēng)險(xiǎn)14.根據(jù)Bell-LaPedula模型安全策略，下圖中寫(xiě)和讀操作正確的是（）A、可讀可寫(xiě)B(tài)、可讀不可寫(xiě)C、可寫(xiě)不可讀D、不可讀不可寫(xiě)【正確答案】：B解析：

教材P308，BLP模型：向下讀、向上寫(xiě)

秘密->機(jī)密->絕密

15.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個(gè)主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性；脆弱性V6和脆弱性V7。根據(jù)上述條件，請(qǐng)問(wèn)：使用相乘法時(shí)，應(yīng)該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值？A、2B、3C、5D、6【正確答案】：C解析：

A1:T1，T2；A1:v3，v4，v5，V1，V2

T1*(V1，V2)=1*2=2

T2*(v3，v4，v5)=1*3=316.“統(tǒng)一威脅管理”是將防病毒，入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類(lèi)安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱(chēng)為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理17.強(qiáng)制訪(fǎng)問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪(fǎng)問(wèn)某個(gè)客體，具有較高的安全性。適用于專(zhuān)用或?qū)Π踩砸筝^高的系統(tǒng)，強(qiáng)制訪(fǎng)問(wèn)控制模型有多種模型，如BLP、Biba、Clark-Wilson和Chinese-Wall等。小李自學(xué)了BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對(duì)BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫(xiě)”BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫(xiě)”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫(xiě)”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫(xiě)”【正確答案】：B解析：

教材P308，BLP模型用于保證信息的機(jī)密性，下讀上寫(xiě)18.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccountsManager）的說(shuō)法哪個(gè)是正確的？A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶(hù)都可以訪(fǎng)問(wèn)，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶(hù)才有權(quán)訪(fǎng)問(wèn)，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶(hù)都可以直接訪(fǎng)問(wèn)，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶(hù)才能訪(fǎng)問(wèn)，具有較高的安全性【正確答案】：D解析：

dows桌面環(huán)SYSTEM是至高無(wú)上的超級(jí)管理員帳戶(hù)。默認(rèn)情況下，我們無(wú)法直接在登錄對(duì)話(huà)框上以SYSTEM帳戶(hù)的身份登錄到Win境。19.“CC”標(biāo)準(zhǔn)是測(cè)評(píng)標(biāo)準(zhǔn)類(lèi)的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來(lái)看，下面哪項(xiàng)內(nèi)容是針對(duì)具體的被測(cè)評(píng)對(duì)象，描述了該對(duì)象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠(chǎng)商角度制定的產(chǎn)品或系統(tǒng)實(shí)現(xiàn)方案？A、評(píng)估對(duì)象（TOE）B、保護(hù)輪廊（PP）（用戶(hù)角度）C、安全目標(biāo)（ST））（廠(chǎng)商角度）D、評(píng)估保證級(jí)（EAL）【正確答案】：C解析：

教材P235，ST安全目標(biāo)的定義。20.某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過(guò)了威脅建模和攻擊面分析，在開(kāi)發(fā)時(shí)要求程序員編寫(xiě)安全的代碼，但是在部署時(shí)由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類(lèi)似問(wèn)題，以下哪種測(cè)試方式是最佳的測(cè)試方式？A、模糊測(cè)試B、源代碼測(cè)試C、滲透測(cè)試D、軟件功能測(cè)試【正確答案】：C解析：

滲透測(cè)試是真實(shí)攻擊模擬，是找出類(lèi)似問(wèn)題的最佳方法21.從Linux內(nèi)核2.1版開(kāi)始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了超級(jí)用戶(hù)的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級(jí)用戶(hù)/普通用戶(hù)的概念，提高了操作系統(tǒng)的安全性。下列選項(xiàng)中，對(duì)特權(quán)管理機(jī)制的理解錯(cuò)誤的是？A、普通用戶(hù)及其shell沒(méi)有任何權(quán)能，而超級(jí)用戶(hù)及其shell在系統(tǒng)啟動(dòng)之初擁有全部權(quán)能B、系統(tǒng)管理員可以剝奪和恢復(fù)超級(jí)用戶(hù)的某些權(quán)能C、進(jìn)程可以放棄自己的某些權(quán)能D、當(dāng)普通用戶(hù)的某些操作涉及特權(quán)操作時(shí)，仍然通過(guò)setuid實(shí)現(xiàn)【正確答案】：B解析：

系統(tǒng)管理員不能剝奪超級(jí)用戶(hù)的權(quán)能22.由于Internet的安全問(wèn)題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專(zhuān)家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來(lái)保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是？A、PP2PB、L2TPC、SSLD、IPSec【正確答案】：C解析：

PPTP、L2TP—數(shù)據(jù)鏈路層；IPSec網(wǎng)絡(luò)層

23.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)?A、防護(hù)B、檢測(cè)C、反應(yīng)D、策略【正確答案】：D解析：

PDR：Protection-Detection-Response

PPDR：Policy-Protection-Detection-Response24.在提高阿帕奇系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容？A、不在Windows下安裝Apache，只在Linus和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶(hù)身份運(yùn)行Apache，而是采用權(quán)限受限的專(zhuān)用用戶(hù)賬號(hào)來(lái)運(yùn)行D、積極了解Apache的安全通告并及時(shí)下載和更新【正確答案】：A解析：

Windows下也有Apache版本25.下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是？A國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入【正確答案】：D解析：

選項(xiàng)Ｄ中的描述“單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入”有誤26.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后，對(duì)于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是？A、信息安全管理體系的建立應(yīng)參照國(guó)際國(guó)內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問(wèn)題后，制定的能共同的和重復(fù)使用的規(guī)則B、信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國(guó)家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想C、信息安全管理體系應(yīng)強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制的思想，因?yàn)榘踩珕?wèn)題是動(dòng)態(tài)的，系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)D、信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙?duì)信息安全管理設(shè)計(jì)的方方面面實(shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過(guò)低【正確答案】：B解析：

最新的信息安全技術(shù)有風(fēng)險(xiǎn)27.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪(fǎng)問(wèn)，影響到了與公司有業(yè)務(wù)往來(lái)部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z20686-2007，《信息安全事件分級(jí)分類(lèi)指南》，該事件的準(zhǔn)確分類(lèi)和定級(jí)應(yīng)該是?A、有害程序事件特別重大事件（I級(jí)）B、信息破壞事件重大事件（II級(jí)）C、有害程序事件較大事件（III級(jí)）D、信息破壞事件一般事件（IV級(jí)）【正確答案】：C解析：

教材P146-P147，木馬病毒屬于有害程序事件，信息安全事件分為四個(gè)級(jí)別：特別重大事件（I級(jí)）、重大事件（II級(jí)）、較大事件（III級(jí)）、一般事件（IV級(jí)），其中：較大事件（III級(jí)）包括的情況如下：會(huì)使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要的信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，產(chǎn)出較大的社會(huì)影響。影響OA系統(tǒng)屬于較大事件。28.以下關(guān)于數(shù)字簽名說(shuō)法正確的是？A、數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無(wú)關(guān)系的數(shù)字信息B、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問(wèn)題C、數(shù)字簽名一般采用對(duì)稱(chēng)加密機(jī)制D、數(shù)字簽名能夠解決篡改、偽造等安全性問(wèn)題【正確答案】：D解析：

數(shù)字簽名利用私鑰加密、公鑰解密，確認(rèn)發(fā)件人，用于實(shí)現(xiàn)完整性，提供防抵賴(lài)等服務(wù)29.常見(jiàn)的訪(fǎng)問(wèn)控制模型包括自主訪(fǎng)問(wèn)控制模型、強(qiáng)制訪(fǎng)問(wèn)控制模型和基于角色的訪(fǎng)問(wèn)控制模型等。下面描述中錯(cuò)誤的是？A、從安全性等級(jí)來(lái)看，這三個(gè)模型安全性從低到高的排序是自主訪(fǎng)問(wèn)控制模型、強(qiáng)制訪(fǎng)問(wèn)控制模型和基于角色的訪(fǎng)問(wèn)控制模型B、自主訪(fǎng)問(wèn)控制是一種廣泛應(yīng)用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰(shuí)有權(quán)訪(fǎng)問(wèn)它們的資源，具有較好的易用性和擴(kuò)展性C、強(qiáng)制訪(fǎng)問(wèn)控制模型要求主題和客體都一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪(fǎng)問(wèn)某個(gè)客體。該模型具有一定的抗惡意程序攻擊能力，適用于專(zhuān)用或安全性要求較高的系統(tǒng)D、基于角色的訪(fǎng)問(wèn)控制模型的基本思想是根據(jù)用戶(hù)所擔(dān)任的角色來(lái)決定用戶(hù)在系統(tǒng)中的訪(fǎng)問(wèn)權(quán)限，該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略【正確答案】：A解析：

三種模型之間沒(méi)有安全層級(jí)遞進(jìn)關(guān)系30.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中正確的是？A、由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對(duì)集團(tuán)公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B、對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，計(jì)劃全員通過(guò)CISP持證培訓(xùn)以確保人員能力得到保障C、對(duì)其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開(kāi)發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解D、對(duì)全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn)，實(shí)現(xiàn)全員信息安全意識(shí)教育【正確答案】：D解析：

選項(xiàng)A、C、D所描述的內(nèi)容在實(shí)際中都需要做，但D最優(yōu)，符合題意。

若題目中問(wèn)題改為“以下選項(xiàng)中不正確的是?”，答案為B。31.ApacheHTTPServer（簡(jiǎn)稱(chēng)Apache）是一個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶(hù)端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A、不選擇Windows平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用【正確答案】：B解析：

Apache服務(wù)器的配置信息全部存儲(chǔ)在主配置文件/etc/httpd/conf/httpd.conf中32.異常入侵檢測(cè)是入侵檢測(cè)系統(tǒng)常用的一種技術(shù)，它是識(shí)別系統(tǒng)或用戶(hù)的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用，從而檢測(cè)出入侵行為。下面說(shuō)法錯(cuò)誤的是？A、在異常入侵檢測(cè)中，觀(guān)察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過(guò)程中的異常現(xiàn)象B、實(shí)施異常入侵檢測(cè)，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測(cè)可以通過(guò)獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過(guò)多種手段向管理員報(bào)警D、異常入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

教材P353，選項(xiàng)B的描述“將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生”是誤用檢測(cè)

33.Linux系統(tǒng)文件中訪(fǎng)問(wèn)權(quán)限屬性通過(guò)9個(gè)字符來(lái)表示，分別表示文件屬主、文件所屬組用戶(hù)和其他用戶(hù)對(duì)文件的讀（r）、寫(xiě)（w）及執(zhí)行（x）的權(quán)限。文件usr/bin/passwd的屬性信息如下圖所示，在文件權(quán)限中還出現(xiàn)了一位s，下列選項(xiàng)中對(duì)這一位s的理解正確的是？A、文件權(quán)限出現(xiàn)了錯(cuò)誤，出現(xiàn)s的位應(yīng)該改為xB、s表示sticky位，設(shè)置sticky位后，就算用戶(hù)對(duì)目錄具有寫(xiě)權(quán)限，也不能刪除該文件C、s表示SGID位，文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn)、s表示SUID位，文件在執(zhí)行階段具有文件所有者的權(quán)限【正確答案】：D解析：

setuid：設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限，相當(dāng)于臨時(shí)擁有文件所有者的身份34.以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施？A、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴(lài)D、為了防止用戶(hù)提升權(quán)限，可以采用訪(fǎng)問(wèn)控制表的方式來(lái)管理權(quán)限【正確答案】：C解析：

防止發(fā)送方否認(rèn)應(yīng)該用數(shù)字簽名35.以下哪種風(fēng)險(xiǎn)被認(rèn)為是合理的風(fēng)險(xiǎn)？A、最小的風(fēng)險(xiǎn)B、殘余的風(fēng)險(xiǎn)C、未識(shí)別的風(fēng)險(xiǎn)D、可接受的風(fēng)險(xiǎn)【正確答案】：D解析：

可接受的風(fēng)險(xiǎn)是合理風(fēng)險(xiǎn)36.分組密碼算法是一類(lèi)十分重要的密碼算法，下面描述中，錯(cuò)誤的是（）A、分組密碼算法要求輸入明文按組分成固定長(zhǎng)度的塊B、分組密碼算法每次計(jì)算得到固定長(zhǎng)度的密文輸出塊C、分組密碼算法也稱(chēng)為序列密碼算法D、常見(jiàn)的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼也稱(chēng)為塊密碼，序列密碼也稱(chēng)為流密碼。37.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒(méi)有發(fā)現(xiàn)任何的性能下降或其他問(wèn)題，但為了安全起見(jiàn)，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問(wèn)題的應(yīng)對(duì)措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對(duì)即將來(lái)臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

38.下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全工作的主要原則？A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》D、《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》【正確答案】：C解析：

教材P16，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦2003年27號(hào)文件）規(guī)定了信息安全工作的原則，例如立足國(guó)情、以我為主、堅(jiān)持技管并重等。39.依據(jù)國(guó)家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（ISST）中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

教材P35，強(qiáng)調(diào)綜合保障的觀(guān)念：整體安全＼管理安全＼技術(shù)安全＼工程安全40.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址，但是該網(wǎng)絡(luò)內(nèi)有15臺(tái)個(gè)人計(jì)算機(jī)，這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開(kāi)機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問(wèn)題，公司決定將這10個(gè)互聯(lián)網(wǎng)地址集中起來(lái)使用，當(dāng)任意一臺(tái)個(gè)人計(jì)算機(jī)開(kāi)機(jī)并連接網(wǎng)絡(luò)時(shí)，管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí)，管理中心將該地為收回，并重新設(shè)置為未分配?？梢?jiàn)，只要同時(shí)打開(kāi)的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每個(gè)計(jì)算機(jī)可獲取一個(gè)IP地址，并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接，該公司使用的IP地址規(guī)劃方式是（）A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址【正確答案】：B解析：

題目中所描述的就是DHCP服務(wù)的應(yīng)用場(chǎng)景41.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果？A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》【正確答案】：B解析：

教材P260，風(fēng)險(xiǎn)評(píng)估各階段的輸出文檔

42.下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的?A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶(hù)和管理員操作日志D、啟用時(shí)鐘同步【正確答案】：A解析：

檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)需要查日志并啟用時(shí)鐘同步以實(shí)現(xiàn)日志關(guān)聯(lián)43.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是？A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對(duì)解決問(wèn)題沒(méi)有幫助44.下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類(lèi)漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類(lèi)漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

零日漏洞—?jiǎng)偙话l(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞45.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施。請(qǐng)問(wèn)該措施屬于哪種風(fēng)險(xiǎn)處理方式？A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：B解析：

教材P143，關(guān)閉服務(wù)屬于風(fēng)險(xiǎn)規(guī)避46.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要，計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫(xiě)報(bào)告時(shí)，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是？A、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B、應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C、編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求，因此必須建設(shè)D、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施【正確答案】：C解析：

絕對(duì)化47.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性可以從業(yè)務(wù)內(nèi)容和流程中獲取48.有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯(cuò)誤的是？A、系統(tǒng)工程研究問(wèn)題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計(jì)的程序B、系統(tǒng)工程的基本特點(diǎn)，是需要把研究對(duì)象解構(gòu)為多個(gè)組成部分分別獨(dú)立研究C、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作，根據(jù)研究問(wèn)題涉及到的學(xué)科和專(zhuān)業(yè)范圍，組成一個(gè)知識(shí)結(jié)構(gòu)合理的專(zhuān)家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo)，采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法【正確答案】：B解析：

系統(tǒng)工程所包括的各要素之間是互相聯(lián)系的，不能獨(dú)立研究。49.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)？A、公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)、應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類(lèi)、業(yè)務(wù)系統(tǒng)類(lèi)、安全事件和其他類(lèi)，基本覆蓋了各類(lèi)應(yīng)急事件類(lèi)型D、公司應(yīng)急預(yù)案對(duì)事件分類(lèi)依據(jù)GB/Z20986—2007《信息安全技術(shù)信息安全事件分類(lèi)分級(jí)分級(jí)指南》，分為7個(gè)基本類(lèi)別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)【正確答案】：A解析：

為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行—明顯錯(cuò)誤50.美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsAndTechnology，NIST）隸屬美國(guó)商務(wù)部，NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology–Securitytechniques–Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology–OpenSystems–TheDirectory：AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IPAuthenticateHeader》【正確答案】：C解析：

SP800是美國(guó)NIST（NationalInstituteofStandardsandTechnology）發(fā)布的一系列關(guān)于信息安全的指南（SP是SpecialPublications的縮寫(xiě)）。文檔很多，也很細(xì)，在NIST的標(biāo)準(zhǔn)系列文件中，雖然NISTSP并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國(guó)和國(guó)際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。NISTSP800系列成為指導(dǎo)美國(guó)信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。51.美國(guó)計(jì)算機(jī)協(xié)會(huì)（ACM）宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffie和Wartfield，下面哪項(xiàng)工作是他們的貢獻(xiàn)（）。A、發(fā)明并第一個(gè)使用C語(yǔ)言B、第一個(gè)發(fā)表了對(duì)稱(chēng)密碼算法思想C、第一個(gè)發(fā)表了非對(duì)稱(chēng)密碼算法思想D、第一個(gè)研制出防火墻【正確答案】：C解析：

教材P270，WhitfieldDiffie和MartinHellman在1976年第一個(gè)提出公鑰密碼算法，標(biāo)志著密碼學(xué)進(jìn)入了現(xiàn)代密碼階段。52.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是？A、殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來(lái)說(shuō)，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)【正確答案】：D解析：

“最小殘余風(fēng)險(xiǎn)值”表述有問(wèn)題53.實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高，常見(jiàn)的方法有利用口令鑒別、令牌鑒別、指紋鑒別等。小王在登陸某移動(dòng)支付平臺(tái)時(shí)，首先需要通過(guò)指紋對(duì)用戶(hù)身份進(jìn)行鑒別。通過(guò)鑒別后，他才能作為合法用戶(hù)使用自己的賬戶(hù)進(jìn)行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項(xiàng)中的？A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見(jiàn)的鑒別方法【正確答案】：C解析：

教材P294，指紋屬于實(shí)體特征54.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來(lái)說(shuō)，DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（

）。A、保密性B、完整性C、可用性D、真實(shí)性【正確答案】：C解析：

分布式拒絕服務(wù)攻擊破壞的是可用性55.降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）是指通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來(lái)降低風(fēng)險(xiǎn)，下面哪個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施？A、減少威脅源。采用法律的手段制按計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的方式交予第三方公司完成，通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)C、減少脆弱性。及時(shí)給系統(tǒng)補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性D、減低威脅能力,采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力【正確答案】：B解析：

教材P142，合同不屬于風(fēng)險(xiǎn)降低，屬于轉(zhuǎn)移56.信息系統(tǒng)安全工程（ISSE）的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作？A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來(lái)自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿(mǎn)足安全要求【正確答案】：D解析：

立項(xiàng)階段不需要做測(cè)試工作57.關(guān)于密鑰管理，下列說(shuō)法錯(cuò)誤的是：A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過(guò)程中，通信方使用之前用過(guò)的會(huì)話(huà)密鑰建立會(huì)話(huà)，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷(xiāo)等生命周期過(guò)程的每一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話(huà)密鑰【正確答案】：B解析：

教材P271，如果密鑰泄露，通信方使用之前用過(guò)的會(huì)話(huà)密鑰建立會(huì)話(huà)將導(dǎo)致保密性問(wèn)題58.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門(mén)主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門(mén)主管無(wú)法提供各種信息安全工作必須的資源59.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒(méi)有經(jīng)過(guò)測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個(gè)組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具60.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年底前實(shí)現(xiàn)系統(tǒng)上線(xiàn)運(yùn)營(yíng)；二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理；招標(biāo)文件經(jīng)管理層審批后發(fā)布。就此工程項(xiàng)目而言，下列選項(xiàng)正確的是：A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線(xiàn)運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃【正確答案】：C解析：

先運(yùn)營(yíng)再進(jìn)行風(fēng)險(xiǎn)處理不合理61./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶(hù)登錄時(shí)校驗(yàn)用戶(hù)的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶(hù)ID（UID）、默認(rèn)的用戶(hù)分組ID（GID）、用戶(hù)信息、用戶(hù)登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶(hù)管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個(gè)用戶(hù)的加密的口令數(shù)據(jù)項(xiàng)都顯示為’x’。下列選項(xiàng)中，對(duì)此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶(hù)的登錄口令經(jīng)過(guò)不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶(hù)都被禁用了【正確答案】：C解析：

影子口令系統(tǒng)把口令文件分成兩部分:/etc/passwd和影子口令文件。影子口令文件保存加密的口令；/etc/passwd中的coded-password域都被置為"X"或其他替代符號(hào)。影子口令文件只能被root或像passwd這樣的set_uid程序在需要合法訪(fǎng)問(wèn)時(shí)讀取，其他所有非授權(quán)用戶(hù)都被拒絕訪(fǎng)問(wèn)。62.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請(qǐng)問(wèn)此類(lèi)RFC系列標(biāo)準(zhǔn)建議是由下面哪個(gè)組織發(fā)布的？A、國(guó)際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）B、國(guó)際電工委員會(huì)（InternationalElectrotechnicalCommission，IEC）C、國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITUTelecommunicationStandardizationSector，ITU-T）D、Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）【正確答案】：D解析：

教材P67，RFC系列標(biāo)準(zhǔn)由IETF發(fā)布。63.為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作，我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級(jí)保護(hù)工作的工作階段分級(jí)。下面四個(gè)標(biāo)準(zhǔn)中，（

）規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)，對(duì)象，流程，方法及登記變更等內(nèi)容。A、GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)登記定級(jí)指南》C、GB/T25058-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D、GB/T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B解析：

GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》，該標(biāo)準(zhǔn)對(duì)如何進(jìn)行信息系統(tǒng)定級(jí)做出指導(dǎo)。該標(biāo)準(zhǔn)已經(jīng)被《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》取代。64.以下關(guān)于SMTP和POP3協(xié)議的說(shuō)法哪個(gè)是錯(cuò)誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶(hù)認(rèn)證，因此導(dǎo)致了垃圾郵件問(wèn)題D、SMTP和POP3協(xié)議由于協(xié)議簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件【正確答案】：A解析：

SMTP是個(gè)請(qǐng)求/響應(yīng)協(xié)議，POP3采用Client/Server工作模式65.CISP的中文翻譯是？A、注冊(cè)信息安全專(zhuān)家B、中國(guó)信息安全注冊(cè)人員C、中國(guó)信息安全專(zhuān)家D、注冊(cè)信息安全專(zhuān)業(yè)人員【正確答案】：D解析：

解析：CISP-(CertifiedInformationSecurityProfessional）注冊(cè)信息安全專(zhuān)業(yè)人員

66.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是：A、規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-2007》

1.規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。

2.設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。

3.實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。

4.運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。67.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶(hù)隱私保護(hù)，以下關(guān)于用戶(hù)隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶(hù)需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶(hù)的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶(hù)選擇是否允許C、用戶(hù)提交的用戶(hù)名和密碼屬于隱私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

教材P409，隱私保護(hù)原則：系統(tǒng)收集到的用戶(hù)信息都必須實(shí)施妥善和安全的保護(hù)68.關(guān)于我國(guó)信息安全保障的基本原則，下列說(shuō)法中不正確的是：A、要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用?！菊_答案】：A解析：

選項(xiàng)A不符合“立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重”原則69.在信息系統(tǒng)設(shè)計(jì)階段“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過(guò)程的哪個(gè)階段?A、背景建立B、風(fēng)險(xiǎn)評(píng)估C、風(fēng)險(xiǎn)處理D、批準(zhǔn)監(jiān)督【正確答案】：C解析：

教材P90，產(chǎn)品選擇屬于風(fēng)險(xiǎn)處理70.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來(lái)的直接損失，也需要關(guān)注過(guò)度防范造成的間接損失。在以下軟件安全開(kāi)發(fā)策略中，不符合軟件安全保障思想的是？A、在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試、安全評(píng)審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)B、在軟件安全設(shè)計(jì)時(shí)，邀請(qǐng)軟件安全開(kāi)發(fā)專(zhuān)家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足C、確保對(duì)軟件編碼人員進(jìn)行安全培訓(xùn)，使開(kāi)發(fā)人員了解安全編碼基本原則和方法，確保開(kāi)發(fā)人員編寫(xiě)出安全的代碼D、在軟件上線(xiàn)前對(duì)軟件進(jìn)行全面安全性測(cè)試，包括源代碼分析、模糊測(cè)試、滲透測(cè)試，未經(jīng)以上測(cè)試的軟件不允許上線(xiàn)運(yùn)行【正確答案】：D解析：

排除法，選項(xiàng)D-絕對(duì)化71.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則？A、立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系【正確答案】：A解析：

教材P16，立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重72.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于？A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則（簡(jiǎn)稱(chēng)ITSEC）D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（簡(jiǎn)稱(chēng)CC）【正確答案】：B解析：

信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來(lái)。

BS7799-1(ISO/IEC1799:2000)《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個(gè)大眾化的最佳慣例。

BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。73.以下對(duì)于信息安全事件理解錯(cuò)誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件B、對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D解析：

杜絕信息安全事件的發(fā)生—沒(méi)有絕對(duì)安全74.按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需要上級(jí)或主管都門(mén)來(lái)測(cè)評(píng)和檢查。此類(lèi)信息系統(tǒng)應(yīng)屬于？A、零級(jí)系統(tǒng)B、一級(jí)系統(tǒng)C、二級(jí)系統(tǒng)D、三級(jí)系統(tǒng)【正確答案】：B解析：

等保級(jí)別分為1-5級(jí)，其中最低屬于一級(jí)。75.對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)?A、BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》C、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》D、GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》【正確答案】：B解析：

BMB22-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》

該標(biāo)準(zhǔn)規(guī)定了涉密信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)工作流程、測(cè)評(píng)內(nèi)容、測(cè)評(píng)方法和測(cè)評(píng)結(jié)果判定準(zhǔn)則，適用于獲得國(guó)家保密局授權(quán)的涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)或單位對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)，也可用于保密工作部門(mén)對(duì)涉密信息系統(tǒng)進(jìn)行檢查、獲得國(guó)家保密局涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估資質(zhì)的單位和涉密信息系統(tǒng)使用單位對(duì)涉密信息系統(tǒng)進(jìn)行自評(píng)估的依據(jù)。76.某公司開(kāi)發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不能傳送到對(duì)方，關(guān)于此案例，可以推斷的是？A、該網(wǎng)站軟件存在保密性方面安全問(wèn)題B、該網(wǎng)站軟件存在完整性方面安全問(wèn)題C、該網(wǎng)站軟件存在可用性方面安全問(wèn)題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問(wèn)題【正確答案】：B解析：

數(shù)據(jù)丟失屬于完整性77.以下關(guān)于直接附加存儲(chǔ)（DAS）說(shuō)法錯(cuò)誤的是？A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴(lài)性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連續(xù)在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)（NAS），DAS節(jié)省硬盤(pán)空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D解析：

教材P158，DAS-數(shù)據(jù)分散存儲(chǔ)，不集中。78.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴(lài)安全服務(wù)?A、加密B、數(shù)字簽名C、訪(fǎng)問(wèn)控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以實(shí)現(xiàn)發(fā)件人確認(rèn)，提供防抵賴(lài)服務(wù)79.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體、動(dòng)機(jī)、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請(qǐng)問(wèn)，他這個(gè)工作屬于下面哪一個(gè)階段的工作？A、資產(chǎn)識(shí)別并賦值B、脆弱性識(shí)別并賦值C、威脅識(shí)別并賦值D、確認(rèn)已有的安全措施并賦值【正確答案】：C解析：

教材P256，威脅識(shí)別定義

威脅識(shí)別：判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容；

脆弱性識(shí)別：對(duì)脆弱性嚴(yán)重程度進(jìn)行等級(jí)化處理；

確認(rèn)已有的控制措施：建立在《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)告》、《信息系統(tǒng)的安全要求報(bào)告》來(lái)確認(rèn)已有的安全措施，包括技術(shù)層面、組織層面、管理層面的安全對(duì)策，形成《已有安全措施列表》

80.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的討論，在下面的發(fā)言觀(guān)點(diǎn)中，正確的是（）A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng)、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問(wèn)題B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點(diǎn)是增加了一個(gè)專(zhuān)門(mén)的安全編碼階段D、軟件的安全測(cè)試也很重要，考慮到程序員的專(zhuān)業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒(méi)有必要在組織第三方進(jìn)行安全性測(cè)試【正確答案】：B解析：

軟件安全問(wèn)題越早解決成本越低81.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)？A、信息系統(tǒng)集成項(xiàng)目要以滿(mǎn)足客戶(hù)和用戶(hù)的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過(guò)程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B解析：

信息系統(tǒng)集成項(xiàng)目實(shí)施過(guò)程中不追求最好的產(chǎn)品和技術(shù)，可能有風(fēng)險(xiǎn)。82.關(guān)系數(shù)據(jù)庫(kù)的完整性規(guī)則是數(shù)據(jù)庫(kù)設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的是？A、指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項(xiàng)B、指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復(fù)C、指數(shù)據(jù)表中列必須滿(mǎn)足某種特定的數(shù)據(jù)類(lèi)型或約束，比如取值范圍、數(shù)值精度等約束D、指數(shù)據(jù)表中行必須滿(mǎn)足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時(shí)，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以【正確答案】：B解析：

數(shù)據(jù)庫(kù)完整性包括：

1.

實(shí)體完整性：確保每行數(shù)據(jù)都是有效的

2.

區(qū)域完整性：確保每列數(shù)據(jù)都是有效的

3.

參考完整性

4.

自定義完整性83.小張是信息安全風(fēng)險(xiǎn)管理方面的專(zhuān)家，被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬(wàn)，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四（24%），歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請(qǐng)問(wèn)小張最后得到的年度預(yù)期損失為多少：A、24萬(wàn)B、0.09萬(wàn)C、37.5萬(wàn)D、9萬(wàn)【正確答案】：D解析：

100*24%*3/8=9萬(wàn)84.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容？A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

投資審核不是監(jiān)理的職責(zé)85.信息安全管理體系（簡(jiǎn)稱(chēng)ISMS）的實(shí)施和運(yùn)行，ISMS階段，是ISMS過(guò)程模型的實(shí)施階段，下面給出了一些備選的活動(dòng)，選項(xiàng)（

）描述了在此階段組織應(yīng)進(jìn)行的活動(dòng)？1.制定風(fēng)險(xiǎn)處理計(jì)劃2.實(shí)施風(fēng)險(xiǎn)處理計(jì)劃3.開(kāi)發(fā)有效性測(cè)量程序4.實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃5.管理ISMS的運(yùn)行6.管理ISMS的資源7.執(zhí)行檢測(cè)事態(tài)和響應(yīng)事件的程序8.實(shí)施內(nèi)部審核9.實(shí)施風(fēng)險(xiǎn)在評(píng)估A、.5.6B、.5.6.7C、.D、..9【正確答案】：B解析：

教材P98，第8項(xiàng)實(shí)施內(nèi)部審核屬于“監(jiān)視和評(píng)審”階段

86.（

）第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng)）按照（

）實(shí)行分級(jí)保護(hù)。（

）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（

）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行《三同步》。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（

）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《國(guó)家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C、《網(wǎng)絡(luò)保密法》；涉密程度：涉密系統(tǒng)：保密設(shè)施：檢查合格D、《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A解析：

《中華人民共和國(guó)保守國(guó)家秘密法》第二十三條

第二十三條存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。

涉密信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運(yùn)行。

涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使用。87.在Windows系統(tǒng)中，存在默認(rèn)共享功能，方便了局域網(wǎng)用戶(hù)使用，但對(duì)個(gè)人用戶(hù)來(lái)說(shuō)存在安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過(guò)共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí)，需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是？A、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“Autodisconnect”項(xiàng)鍵值改為0B、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“AutoShareServer”項(xiàng)鍵值改為0C、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“AutoShareWks”項(xiàng)鍵值改為0D、在命令窗口中輸入命令，刪除C盤(pán)默認(rèn)共享：netshareC$/del【正確答案】：A解析：

利用注冊(cè)表關(guān)閉隱藏共享：

?

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolset/services/lanmanserver/parameters

ü

新建DWORD值autoshareserver=0

ü

新建DWORD值autosharewks=088.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureMultipurposeInternetMailExtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是？A、S/MIME采用了非對(duì)稱(chēng)密碼學(xué)機(jī)制B、S/MIME支持?jǐn)?shù)字證書(shū)C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶(hù)身份認(rèn)證和郵件加密【正確答案】：C解析：

S/MIME：是通過(guò)在RFCl847中定義的多部件媒體類(lèi)型在MIME中打包安全服務(wù)的另一個(gè)技術(shù)。它提供驗(yàn)證、信件完整性、數(shù)字簽名和加密。89.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是？A、WPA是有線(xiàn)局域安全協(xié)議，而WPA2是無(wú)線(xiàn)局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線(xiàn)局域安全協(xié)議，而WPA2適用于全世界的無(wú)線(xiàn)局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的【正確答案】：D解析：

教材P341，WPA-802.11i草案，WPA2-802.11i正式標(biāo)準(zhǔn)

90.傳輸控制協(xié)議（TCP）是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說(shuō)法，哪個(gè)是正確的？A、相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途B、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C、TCP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議D、TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過(guò)于復(fù)雜，傳輸效率要比UDP低【正確答案】：D解析：

教材P335，TCP提供面向連接的可靠服務(wù)，效率比UPD要低

選項(xiàng)A：TCP效率比UDP要低

選項(xiàng)B：源IP地址和目標(biāo)IP地址在IP包中

選項(xiàng)C：TCP協(xié)議工作在傳輸層，IP協(xié)議工作在網(wǎng)絡(luò)層，TCP不能取代IP

91.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專(zhuān)用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時(shí)，以下說(shuō)法正確的是？A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來(lái)減少I(mǎi)Psec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

選項(xiàng)A：MD5用于完整性校驗(yàn)

選項(xiàng)B：AES實(shí)現(xiàn)機(jī)密性

選項(xiàng)D：AH提供完整性和數(shù)據(jù)源認(rèn)證92.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國(guó)國(guó)家安全局（NSA）發(fā)布，最初目的是為保障美國(guó)政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)的三類(lèi)“焦點(diǎn)區(qū)域”是？A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計(jì)算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器【正確答案】：B解析：

教材P29，四類(lèi)焦點(diǎn)區(qū)域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境、支撐性基礎(chǔ)設(shè)施93.如果向Apache的訪(fǎng)問(wèn)日志中寫(xiě)入一句話(huà)木馬，需要如何操作才能將一句話(huà)寫(xiě)入到日志中（）A、在URL后面，加上一句話(huà)的url編碼格式的內(nèi)容B、在URL后面，加上一句話(huà)的base64編碼格式的內(nèi)容C、在訪(fǎng)問(wèn)的URL數(shù)據(jù)體中，直接插入一句話(huà)源碼D、在訪(fǎng)問(wèn)的URLhttp請(qǐng)求頭部，插入basic字段，并將一句話(huà)編碼為base64【正確答案】：D解析：

無(wú)94.訪(fǎng)問(wèn)控制方法可分為自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色的訪(fǎng)問(wèn)控制，他們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪(fǎng)問(wèn)控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項(xiàng)中，能夠滿(mǎn)足以上要求的選項(xiàng)是（）。A、自主訪(fǎng)問(wèn)控制B、強(qiáng)制訪(fǎng)問(wèn)控制C、基于角色的訪(fǎng)問(wèn)控制D、以上選項(xiàng)都可以【正確答案】：C解析：

教材P315，RBAC較好地支持最小特權(quán)原則，還能實(shí)施職責(zé)分離原則95.以下場(chǎng)景描述了基于角色的訪(fǎng)問(wèn)控制模型（Role-basedAccessControl，RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限（不同類(lèi)別和級(jí)別的）分別賦予承擔(dān)不同工作職責(zé)的用戶(hù)。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是？A、當(dāng)用戶(hù)請(qǐng)求訪(fǎng)問(wèn)某資源時(shí)，如果其操作權(quán)限不再用戶(hù)當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪(fǎng)問(wèn)請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪(fǎng)問(wèn)的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪(fǎng)問(wèn)控制【正確答案】：D解析：

教材P312，RBAC有四個(gè)級(jí)別，RBAC0-3

96.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶(hù)進(jìn)行分組并實(shí)施訪(fǎng)問(wèn)控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門(mén)的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對(duì)訪(fǎng)問(wèn)控制的作用的理解錯(cuò)誤的是？A、對(duì)經(jīng)過(guò)身份鑒定后的合法用戶(hù)提供所有服務(wù)B、拒絕非法用戶(hù)的非授權(quán)訪(fǎng)問(wèn)請(qǐng)求C、在用戶(hù)對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶(hù)的訪(fǎng)問(wèn)權(quán)進(jìn)行管理D、防止對(duì)信息的非授權(quán)篡改和濫用【正確答案】：A解析：

教材P304，對(duì)經(jīng)過(guò)身份鑒定后的合法用戶(hù)提供所需要的且經(jīng)過(guò)授權(quán)的服務(wù)97.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是？A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D、密碼協(xié)議（cryptographicprotocol），有時(shí)也稱(chēng)安全協(xié)議（securityprotocol），是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿(mǎn)足安全需求，其目的是提供安全服務(wù)【正確答案】：A解析：

復(fù)雜的步驟也必須明確處理方式98.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來(lái)控制用戶(hù)訪(fǎng)問(wèn)Apache目錄的配置文件是：A、httpd.confB、srL.confC、access.confD、inetd.conf【正確答案】：A解析：

Apache服務(wù)的配置文件httpd.conf99.以下關(guān)于帳戶(hù)策略中密碼策略中各項(xiàng)策略的作用說(shuō)明，哪個(gè)是錯(cuò)誤的：A、“密碼必須符合復(fù)雜性要求”是用于避免用戶(hù)產(chǎn)生1234，111這樣的口令B、“密碼長(zhǎng)度最小值”是強(qiáng)制用戶(hù)使用一定長(zhǎng)度以上的密碼C、“強(qiáng)制密碼歷史”是強(qiáng)制用戶(hù)不能再為使用曾經(jīng)使用過(guò)的低密碼D、“密碼最長(zhǎng)存留期”是為了避免用戶(hù)使用密碼時(shí)間過(guò)長(zhǎng)而不更換【正確答案】：C解析：

“強(qiáng)制密碼歷史”需要設(shè)置記住密碼的數(shù)量100.有關(guān)危害國(guó)家秘密安全的行為，包括：A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門(mén)的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門(mén)的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門(mén)的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門(mén)的工作人員的違法行為【正確答案】：A解析：

選項(xiàng)B、C、D描述中的“但不包括。。。”均有問(wèn)題101.針對(duì)軟件的拒絕服務(wù)攻擊是通過(guò)消耗系統(tǒng)資源使軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式？A、攻擊者利用軟件存在邏輯錯(cuò)誤，通過(guò)發(fā)送某種類(lèi)型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重嵌套查詢(xún)，在數(shù)據(jù)最大時(shí)會(huì)導(dǎo)致查詢(xún)效率低，通過(guò)發(fā)送大量的查詢(xún)導(dǎo)致數(shù)據(jù)庫(kù)響應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪(fǎng)問(wèn)D、攻擊者買(mǎi)通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線(xiàn)撥掉導(dǎo)致無(wú)法訪(fǎng)問(wèn)【正確答案】：D解析：

選項(xiàng)Ｄ所描述的情況在軟件開(kāi)發(fā)時(shí)無(wú)法考慮102.數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是？A、最小特權(quán)原則，是讓用戶(hù)可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶(hù)的工作B、最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫(kù)中的信息C、粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的不同部分【正確答案】：C解析：

數(shù)據(jù)庫(kù)安全粒度要根據(jù)實(shí)際需要進(jìn)行