注冊(cè)信息安全工程師復(fù)習(xí)試題

第頁(yè)注冊(cè)信息安全工程師復(fù)習(xí)試題1.安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描述是錯(cuò)誤的（）。A、安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無(wú)關(guān)B、安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的安全保護(hù)問(wèn)題C、以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段，從而使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)D、安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式【正確答案】：A解析：

安全域的劃分與網(wǎng)絡(luò)和設(shè)備的物理部署位置有關(guān)2.在信息安全管理過(guò)程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的？A、背景建立的依據(jù)是國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告【正確答案】：B解析：

教材P90，選項(xiàng)Ｂ所描述的內(nèi)容是風(fēng)險(xiǎn)評(píng)估階段所做的工作，不是背景建立階段。3.某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過(guò)了威脅建模和攻擊面分析，在開(kāi)發(fā)時(shí)要求程序員編寫安全的代碼，但是在部署時(shí)由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問(wèn)題，以下哪種測(cè)試方式是最佳的測(cè)試方式？A、模糊測(cè)試B、源代碼測(cè)試C、滲透測(cè)試D、軟件功能測(cè)試【正確答案】：C解析：

滲透測(cè)試是真實(shí)攻擊模擬，是找出類似問(wèn)題的最佳方法4.有關(guān)能力成熟度模型（CMM）錯(cuò)誤的理解是？A、CMM的基本思想是，因?yàn)閱?wèn)題是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率B、CMM的思想來(lái)源于項(xiàng)目管理和質(zhì)量管理CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過(guò)程的方法D、CMM是建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”【正確答案】：A解析：

教材P179，“新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率”――新技術(shù)有風(fēng)險(xiǎn)，能力成熟度模型（CMM）的思想及假設(shè)為“生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”。

5.對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說(shuō)法錯(cuò)誤的是？A、在使用來(lái)自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對(duì)管理員權(quán)限的使用C、開(kāi)放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來(lái)源下載或執(zhí)行應(yīng)用程序【正確答案】：C解析：

端口開(kāi)放意味著風(fēng)險(xiǎn)，因此不用的端口要關(guān)閉6.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí)，信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本原因，他應(yīng)該首先檢查？A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測(cè)試計(jì)劃C、災(zāi)難恢復(fù)計(jì)劃（DRP）D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件【正確答案】：A解析：

找原因查日志7.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是？A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對(duì)解決問(wèn)題沒(méi)有幫助8.以下哪個(gè)屬性不會(huì)出現(xiàn)在防火墻的訪問(wèn)控制策略配置中？A、本局域網(wǎng)內(nèi)地址B、百度服務(wù)器地址C、HTTP協(xié)議D、病毒類型【正確答案】：D解析：

防火墻可以防止網(wǎng)絡(luò)攻擊，但不能防病毒9.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》（國(guó)信辦[2006]5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是？A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的國(guó)家有關(guān)職能部門依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用【正確答案】：D解析：

自評(píng)估和檢查評(píng)估不是互斥的10.在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，有關(guān)保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST），錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無(wú)關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)【正確答案】：C解析：

教材P235，兩份不同的ST也可能滿足同一份PP的要求11.以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施？A、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范B、為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問(wèn)控制表的方式來(lái)管理權(quán)限【正確答案】：C解析：

防止發(fā)送方否認(rèn)應(yīng)該用數(shù)字簽名12.以下說(shuō)法正確的是？A、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見(jiàn)D、軟件測(cè)試計(jì)劃開(kāi)始于軟件設(shè)計(jì)階段，完成于軟件開(kāi)發(fā)階段【正確答案】：C解析：

排除法

選項(xiàng)A：驗(yàn)收測(cè)試，系統(tǒng)開(kāi)發(fā)生命周期方法論的一個(gè)階段，這是相關(guān)的用戶和／或獨(dú)立測(cè)試人員根據(jù)測(cè)試計(jì)劃和結(jié)果對(duì)系統(tǒng)進(jìn)行測(cè)試和接收。它讓系統(tǒng)用戶決定是否接收系統(tǒng)。

選項(xiàng)B：軟件測(cè)試不只包括功能測(cè)試

選項(xiàng)D：軟件測(cè)試存在于軟件的整個(gè)生命周期13.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中的哪項(xiàng)原則?A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

教材P408，一項(xiàng)工作需多人協(xié)作共同完成職責(zé)分離14.某Linux系統(tǒng)由于root口令過(guò)于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1roottest10704Apr152002/home/test/sh請(qǐng)問(wèn)以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，是test用戶使用的shell，test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell，但test用戶無(wú)權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root，test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門程序，可由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test【正確答案】：C解析：

－s：SUID位，即可以執(zhí)行，又設(shè)置了SUID位15.關(guān)于我國(guó)信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說(shuō)法不正確：A、2001-2002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國(guó)信息安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)信息化領(lǐng)導(dǎo)小組（27號(hào)文）網(wǎng)絡(luò)安全委員會(huì)B、2003-2005年是逐步展開(kāi)和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文件）并頒布了國(guó)家信息安全戰(zhàn)略C、2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成功D、2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐【正確答案】：C解析：

沒(méi)提標(biāo)志性事件

深化落實(shí)階段：

2006年至今，國(guó)家信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展。圍繞中辦第27號(hào)文件開(kāi)展的各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐。信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得了新成果。信息安全基礎(chǔ)設(shè)施和工程建設(shè)進(jìn)一步完善，信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展。2006年至今，隨著中國(guó)信息化進(jìn)程不斷加快，國(guó)民經(jīng)濟(jì)與社會(huì)信息化水平不斷提高，信息化在促進(jìn)經(jīng)濟(jì)與社會(huì)協(xié)調(diào)、穩(wěn)定、持續(xù)發(fā)展過(guò)程中，發(fā)揮著越來(lái)越重要的作用。我國(guó)信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國(guó)家安全與社會(huì)穩(wěn)定、保障和促進(jìn)信息化建設(shè)健康發(fā)展發(fā)揮了重要作用。目前我國(guó)的信息安全保障工作正在穩(wěn)健、扎實(shí)地步入高速發(fā)展的新階段。16.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力【正確答案】：C解析：

項(xiàng)目管理常識(shí)-風(fēng)險(xiǎn)控制全過(guò)程17.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會(huì)話層D、物理層【正確答案】：A解析：

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問(wèn)控制服務(wù)。

18.以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能?A、IP地址欺騙防護(hù)B、NATC、訪問(wèn)控制D、SQL注入攻擊防護(hù)【正確答案】：D解析：

防火墻不能防止發(fā)生SQL注入攻擊

19.恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective，RTO）和恢復(fù)點(diǎn)目標(biāo)（RECOVERYPointObjective，RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來(lái)越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是？A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

RTO和RPO都可以為0，而且可以同時(shí)為0。

RTO恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective）是系統(tǒng)發(fā)生故障到恢復(fù)業(yè)務(wù)所需要的時(shí)間。RPO=0，說(shuō)明服務(wù)不會(huì)中斷。

RPO恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）是指業(yè)務(wù)恢復(fù)后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度，RPO=0，說(shuō)明數(shù)據(jù)是實(shí)時(shí)備份的，不會(huì)出現(xiàn)數(shù)據(jù)丟失的情況。

所以，兩個(gè)值都為0的情況下，意味著系統(tǒng)永不中斷服務(wù)，而且數(shù)據(jù)完全沒(méi)有丟失。

20.某公司內(nèi)網(wǎng)的Web開(kāi)發(fā)服務(wù)器只對(duì)內(nèi)網(wǎng)提供訪問(wèn)（Web服務(wù)器監(jiān)聽(tīng)8080端口，內(nèi)網(wǎng)信任網(wǎng)段為/24）。管理員李工使用iptables來(lái)限制訪問(wèn)。下列正確的iptables規(guī)則是（）A、iptables-AINPUT-ptcp-s--dport8080-jACCEPTB、iptables-AINPUT-ptcp--dport8080-jACCEPTC、iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD、iptables-AINPUT-ptcp/24--dport8080-jACCEPT【正確答案】：C解析：

iptables-AINPUT-ptcp-s/24--dport8080-jACCEPT

-A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則

-s：指定作為源地址匹配，這里不能指定主機(jī)名稱，必須是IP

IP|IP/MASK|/而且地址可以取反，加一個(gè)“!”表示除了哪個(gè)IP之外

-d：表示匹配目標(biāo)地址

-p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）21.以下哪項(xiàng)是對(duì)系統(tǒng)工程過(guò)程中“概念與需求定義”階段的信息安全工作的正確描述?A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開(kāi)始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場(chǎng)，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實(shí)施和開(kāi)發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開(kāi)發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容【正確答案】：A解析：

排除法，選面Ａ描述的是概念與需求階段的工作內(nèi)容22.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM），錯(cuò)誤的理解是：A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、基于SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)【正確答案】：C解析：

教材P179，SSE-CMM不是孤立的工程，而是與其他工程并行且相互作用。23.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全的不可缺少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全？A、操作系統(tǒng)安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)使用一個(gè)分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)存放在C盤C、操作系統(tǒng)上部署防病毒軟件以對(duì)抗病毒威脅D、將默認(rèn)的管理員賬號(hào)administrator改名，降低口令暴力破解攻擊的發(fā)生機(jī)率【正確答案】：B解析：

系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)要分開(kāi)24.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：

教材P405，選項(xiàng)A：可用性；選項(xiàng)B：保密性；選項(xiàng)C：完整性25.某公司建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng)，通過(guò)公開(kāi)招標(biāo)選擇M公司為實(shí)施單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作。目前，各個(gè)應(yīng)用系統(tǒng)均已完成開(kāi)發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)。監(jiān)理公司需要對(duì)M公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開(kāi)發(fā)類文檔？A、項(xiàng)目計(jì)劃書B、質(zhì)量控制計(jì)劃C、評(píng)審報(bào)告D、需求說(shuō)明書【正確答案】：D解析：

需求說(shuō)明書屬于開(kāi)發(fā)文檔26.S公司在全國(guó)有20個(gè)分支機(jī)構(gòu)，總部有10臺(tái)服務(wù)器、200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺(tái)服務(wù)器、100個(gè)左右用戶終端，通過(guò)專用進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評(píng)標(biāo)專家，請(qǐng)給S公司選出設(shè)計(jì)最合理的一個(gè)：A、總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)和用戶終端使用192.168.2.x~192.168.20.xB、總部使用服務(wù)器使用~11、用戶終端使用2~212，分支機(jī)構(gòu)IP地址隨意確定即可C、總部服務(wù)器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段、另外一個(gè)做用戶終端地址段D、因?yàn)橥ㄟ^(guò)互聯(lián)網(wǎng)連接，訪問(wèn)的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無(wú)需特別規(guī)劃，各機(jī)構(gòu)自行決定即可【正確答案】：C解析：

選項(xiàng)B和D明顯錯(cuò)誤，選項(xiàng)A總部的服務(wù)器端和用戶端使用同一個(gè)網(wǎng)段，不符合題目上要求。

27./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個(gè)用戶的加密的口令數(shù)據(jù)項(xiàng)都顯示為’x’。下列選項(xiàng)中，對(duì)此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過(guò)不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶都被禁用了【正確答案】：C解析：

影子口令系統(tǒng)把口令文件分成兩部分:/etc/passwd和影子口令文件。影子口令文件保存加密的口令；/etc/passwd中的coded-password域都被置為"X"或其他替代符號(hào)。影子口令文件只能被root或像passwd這樣的set_uid程序在需要合法訪問(wèn)時(shí)讀取，其他所有非授權(quán)用戶都被拒絕訪問(wèn)。28.作為信息安全從業(yè)人員,以下哪種行為違反了CISP職業(yè)道德準(zhǔn)則？A、抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件C、不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力【正確答案】：B解析：

教材P64，CISP職業(yè)道德準(zhǔn)則

誠(chéng)實(shí)守信，遵紀(jì)守法

1)不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠(chéng)信原則的行為；

2)不利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；

3)不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件。29.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國(guó)國(guó)家安全局（NSA）發(fā)布，最初目的是為保障美國(guó)政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是？A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計(jì)算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器【正確答案】：B解析：

教材P29，四類焦點(diǎn)區(qū)域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境、支撐性基礎(chǔ)設(shè)施30.CISP的中文翻譯是？A、注冊(cè)信息安全專家B、中國(guó)信息安全注冊(cè)人員C、中國(guó)信息安全專家D、注冊(cè)信息安全專業(yè)人員【正確答案】：D解析：

解析：CISP-(CertifiedInformationSecurityProfessional）注冊(cè)信息安全專業(yè)人員

31.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是？A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

網(wǎng)閘可以進(jìn)行物理隔離32.2003年以來(lái)，我國(guó)高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開(kāi)展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國(guó)發(fā)布的文件？A、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）B、《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》（國(guó)令[2008]54號(hào)）C、《國(guó)家信息安全戰(zhàn)略報(bào)告》（國(guó)信[2005]2號(hào)）D、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)[2012]23號(hào)）【正確答案】：B解析：

教材P16，國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）美國(guó)2008年發(fā)布33.入侵檢測(cè)系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說(shuō)法錯(cuò)誤的是（）。A、對(duì)用戶知識(shí)要求高、配置、操作和管理使用過(guò)于簡(jiǎn)單，容易遭到攻擊B、入侵檢測(cè)系統(tǒng)會(huì)產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重C、入侵檢測(cè)系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)可能會(huì)被抑制或者受到影響D、警告消息記錄如果不完整，可能無(wú)法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

教材P254，配置、操作和管理使用過(guò)于簡(jiǎn)單—描述有誤34.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中對(duì)于解決問(wèn)題沒(méi)有直接幫助的是？A、要求開(kāi)發(fā)人員采用敏捷開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā)B、要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：A解析：

無(wú)論采用哪種軟件開(kāi)發(fā)模型都有可能出現(xiàn)安全問(wèn)題35.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是【正確答案】：D解析：

本地隱藏有文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等36.關(guān)于信息安全管理，下面理解片面的是（

）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

教材P83，技術(shù)與管理的關(guān)系37.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，包括五個(gè)方面：起源、方式、途徑、受體和后果。他畫了下面這張圖來(lái)描述信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，圖中括號(hào)空白處應(yīng)該填寫（）.A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評(píng)估【正確答案】：C解析：

威脅是對(duì)脆弱性的利用38.關(guān)于信息安全保障技術(shù)框架（IATF），以下說(shuō)法不正確的是：A、分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本B、IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施C、允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制【正確答案】：D解析：

教材P28，信息安全管理強(qiáng)調(diào)適度原則，選項(xiàng)Ｄ中的描述“各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制”不可能做到，也沒(méi)有必要。39.以下關(guān)于法律的說(shuō)法錯(cuò)誤的是？A、法律是國(guó)家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體現(xiàn)和效力B、法律可以是公開(kāi)的，也可以是“內(nèi)部”的C、一旦制定，就比較穩(wěn)定，長(zhǎng)期有效，不允許經(jīng)常更改D、法律對(duì)違法犯罪的后果有明確規(guī)定，是一種硬約束【正確答案】：B解析：

常識(shí)，法律是國(guó)家意志的體現(xiàn)，現(xiàn)為由立法機(jī)關(guān)依照法定40.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論是否產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過(guò)失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無(wú)需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A解析：

法律常識(shí)41.根據(jù)信息安全風(fēng)險(xiǎn)要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

教材P245，風(fēng)險(xiǎn)評(píng)估要素關(guān)系42.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】：D解析：

聯(lián)動(dòng)功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。

43.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施。請(qǐng)問(wèn)該措施屬于哪種風(fēng)險(xiǎn)處理方式？A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：B解析：

教材P143，關(guān)閉服務(wù)屬于風(fēng)險(xiǎn)規(guī)避44.系統(tǒng)安全工程-能力成熟度模型（SystemsSecurityEngineering-Capabilitymaturitymodel，SSE-CMM）定義的包含評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過(guò)程領(lǐng)域是？A、風(fēng)險(xiǎn)過(guò)程B、工程過(guò)程C、保證過(guò)程D、評(píng)估過(guò)程【正確答案】：A解析：

教材P183，風(fēng)險(xiǎn)過(guò)程包括四個(gè)PA：評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)。45.某單位門戶網(wǎng)站開(kāi)發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：（）A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析【正確答案】：D解析：

模糊測(cè)試：通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障的方法，強(qiáng)制軟件程序使用畸形數(shù)據(jù)，并觀察軟件運(yùn)行情況的一種測(cè)試方法。46.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估時(shí)間的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)【正確答案】：D解析：

教材P152，準(zhǔn)備階段的目標(biāo)：A、B、C。47.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性可以從業(yè)務(wù)內(nèi)容和流程中獲取48.“統(tǒng)一威脅管理”是將防病毒，入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理49.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的？A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問(wèn)控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用【正確答案】：B解析：

排除法，選項(xiàng)A\C\D都是測(cè)試時(shí)必須做的50.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是？A、如果該組織在執(zhí)行某個(gè)特定的過(guò)程區(qū)域時(shí)具備某一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過(guò)程區(qū)域的能力成熟度未達(dá)到此級(jí)B、如果該組織某個(gè)過(guò)程區(qū)域（ProcessAreas，PA）具備了“定義標(biāo)準(zhǔn)過(guò)程”、“執(zhí)行已定義的過(guò)程”兩個(gè)公共特征，則過(guò)程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)”C、如果某個(gè)過(guò)程區(qū)域（ProcessAreas，PA）包含4個(gè)基本實(shí)施（BasePractices，BP），執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過(guò)程區(qū)域的能力成熟度級(jí)別為0D、組織在不同的過(guò)程區(qū)域的能力成熟度可能處于不同的級(jí)別上【正確答案】：B解析：

教材P205，充分定義級(jí)的三個(gè)特征：

1.定義標(biāo)準(zhǔn)過(guò)程

2.執(zhí)行已定義的過(guò)程

3.協(xié)調(diào)安全實(shí)施51.安全管理體系，國(guó)際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationSystems）（ISO/IEC27001：2013），而我國(guó)發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）。請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是？A、IDT（等同采用），此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改B、EQV（等效采用），此國(guó)家標(biāo)準(zhǔn)等效于該國(guó)家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)家標(biāo)準(zhǔn)D、沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較【正確答案】：D解析：

教材P82

ISO27001：2005等同采用

GB/T22080：2008

ISO27001：2013等同采用

GB/T22080：201652.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A、組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B、對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C、一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)、防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限【正確答案】：C解析：

教材P408，最小特權(quán)原則：在完成任務(wù)的前提下為用戶分配最小的權(quán)限53.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體、動(dòng)機(jī)、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請(qǐng)問(wèn)，他這個(gè)工作屬于下面哪一個(gè)階段的工作？A、資產(chǎn)識(shí)別并賦值B、脆弱性識(shí)別并賦值C、威脅識(shí)別并賦值D、確認(rèn)已有的安全措施并賦值【正確答案】：C解析：

教材P256，威脅識(shí)別定義

威脅識(shí)別：判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容；

脆弱性識(shí)別：對(duì)脆弱性嚴(yán)重程度進(jìn)行等級(jí)化處理；

確認(rèn)已有的控制措施：建立在《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)告》、《信息系統(tǒng)的安全要求報(bào)告》來(lái)確認(rèn)已有的安全措施，包括技術(shù)層面、組織層面、管理層面的安全對(duì)策，形成《已有安全措施列表》

54.以下哪一項(xiàng)不屬于常見(jiàn)的風(fēng)險(xiǎn)評(píng)估與管理工具：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具【正確答案】：D解析：

教材P228，風(fēng)險(xiǎn)評(píng)估與管理工具的類型：基于標(biāo)準(zhǔn)、基于知識(shí)、基于模型55.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯(cuò)誤的是（）A、分組密碼算法要求輸入明文按組分成固定長(zhǎng)度的塊B、分組密碼算法每次計(jì)算得到固定長(zhǎng)度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見(jiàn)的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼也稱為塊密碼，序列密碼也稱為流密碼。56.在提高阿帕奇系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容？A、不在Windows下安裝Apache，只在Linus和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來(lái)運(yùn)行D、積極了解Apache的安全通告并及時(shí)下載和更新【正確答案】：A解析：

Windows下也有Apache版本57.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng)、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問(wèn)題B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D、軟件的安全測(cè)試也很重要，考慮到程序員的專業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒(méi)有必要在組織第三方進(jìn)行安全性測(cè)試【正確答案】：B解析：

軟件安全問(wèn)題越早解決成本越低58.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A、某網(wǎng)站在訪問(wèn)量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作B、在提款過(guò)程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的賬戶余額進(jìn)行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無(wú)法查看【正確答案】：B解析：

沖正是為系統(tǒng)認(rèn)為可能交易失敗時(shí)采取的補(bǔ)救手法。即一筆交易在終端已經(jīng)置為成功標(biāo)志，但是發(fā)送到主機(jī)的賬務(wù)交易包沒(méi)有得到響應(yīng)，即終端交易超時(shí)，所以不確定該筆交易是否在主機(jī)端也成功完成，為了確保用戶的利益，終端重新向主機(jī)發(fā)送請(qǐng)求，請(qǐng)求取消該筆交易的流水，如果主機(jī)端已經(jīng)交易成功，則回滾交易，否則不處理，然后將處理結(jié)果返回給終端。59.信息安全工程作為信息安全保障的重要組成部分，主要是為了解決？A、信息系統(tǒng)的技術(shù)架構(gòu)安全問(wèn)題B、信息系統(tǒng)組成部門的組件安全問(wèn)題C、信息系統(tǒng)生命周期的過(guò)程安全問(wèn)題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問(wèn)題【正確答案】：C解析：

教材P175，信息安全工程就是要解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題60.下面哪個(gè)模型和軟件安全開(kāi)發(fā)無(wú)關(guān)（）？A、微軟提出的“安全開(kāi)發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開(kāi)發(fā)必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護(hù)的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D解析：

“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）屬于信息安全保障模型61.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分？A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過(guò)程D、監(jiān)理組織安全實(shí)施【正確答案】：D解析：

信息安全工程監(jiān)理的信息安全工程監(jiān)理模型由三部分組成，即

1.咨詢監(jiān)理支撐要素

2.監(jiān)理咨詢階段過(guò)程

3.控制管理措施62.對(duì)于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)？A、ISO/IEC15408B、802.11C、GB/T20984D、X.509【正確答案】：D解析：

教材P287，國(guó)際標(biāo)準(zhǔn)X.509定義了電子證書的規(guī)范格式

選項(xiàng)A：CC標(biāo)準(zhǔn)以“ISO/IEC15408-1999”編號(hào)正式列入國(guó)際標(biāo)準(zhǔn)系列

選項(xiàng)B：802.11

無(wú)線局域網(wǎng)標(biāo)準(zhǔn)

選項(xiàng)C：GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》

63.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無(wú)法提供各種信息安全工作必須的資源64.關(guān)于惡意代碼，以下說(shuō)法錯(cuò)誤的是：A、從傳播范圍來(lái)看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B、按照運(yùn)行平臺(tái)，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無(wú)法單獨(dú)執(zhí)行D、為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

教材P368，三種方式：網(wǎng)絡(luò)傳播、文件傳播、軟件部署

65.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)。關(guān)于這兩者，下面描述錯(cuò)誤的是？A、內(nèi)部審核和管理審評(píng)都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理審評(píng)會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評(píng)審中，這些文件是被審對(duì)象【正確答案】：C解析：

教材P128，管理評(píng)審的實(shí)施主體不局限于第三方

66.文檔體系建設(shè)是信息安全管理體系（ISMS）建設(shè)的直接體現(xiàn)，下列說(shuō)法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件，信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文件的執(zhí)行和記錄，對(duì)這些記錄不需要保護(hù)和控制C、組織在每份文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期，編寫人，審批人，主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果建立【正確答案】：B解析：

教材P101，應(yīng)保留過(guò)程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄67.有關(guān)危害國(guó)家秘密安全的行為，包括：A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為【正確答案】：A解析：

選項(xiàng)B、C、D描述中的“但不包括。。?！本袉?wèn)題68.以下系統(tǒng)工程說(shuō)法錯(cuò)誤的是？A、系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B、系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論【正確答案】：A解析：

教材P175，系統(tǒng)工程不屬于基本理論，也不屬于技術(shù)基礎(chǔ)，它所研究的重點(diǎn)是方法論。69.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是？A、殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來(lái)說(shuō)，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)【正確答案】：D解析：

“最小殘余風(fēng)險(xiǎn)值”表述有問(wèn)題70.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用【正確答案】：B解析：

項(xiàng)目管理的三重約束：時(shí)間+成本+質(zhì)量71.下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國(guó)家秘密法》要求？A、國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部門分別會(huì)同外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定B、各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)C、對(duì)是否屬于國(guó)家機(jī)密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)，然后報(bào)國(guó)家保密工作部門確定D、對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)。由國(guó)家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國(guó)務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國(guó)家保密工作部門審定的機(jī)關(guān)確定。【正確答案】：C解析：

選項(xiàng)C中的描述“由各單位自行參考國(guó)家要求確定和定級(jí)”，有誤。

選項(xiàng)A--《保密法》第十一條；選項(xiàng)B--《保密法》第十四條；選項(xiàng)D--《保密法》第二十條72.小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬(wàn)，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四（24%），歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請(qǐng)問(wèn)小張最后得到的年度預(yù)期損失為多少：A、24萬(wàn)B、0.09萬(wàn)C、37.5萬(wàn)D、9萬(wàn)【正確答案】：D解析：

100*24%*3/8=9萬(wàn)73.數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是？A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫(kù)中的信息C、粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分【正確答案】：C解析：

數(shù)據(jù)庫(kù)安全粒度要根據(jù)實(shí)際需要進(jìn)行選擇，稱為最適粒度安全策略。74.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令…C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B解析：

passwd文件是保存Linux系統(tǒng)用戶信息的文件

1、用戶名：它唯一的標(biāo)志了一個(gè)用戶，用戶登錄時(shí)就用戶它。

2、密碼：以前用戶的加密都是被保存在/etc/passwd文件中的第2個(gè)字段中，并且每個(gè)用戶都可以讀取，隨著計(jì)算機(jī)性能的發(fā)展，暴力破解變得相對(duì)比較容易，因此，現(xiàn)在linux采用一種“影子密碼”，用戶的密碼被保存在專門的/etc/shadow文件中，其權(quán)限不允許普通用戶查看，root用戶可以查看，了解詳細(xì)信息可執(zhí)行man5shadow。

3、用戶ID：USERID，簡(jiǎn)稱UID，用一個(gè)整數(shù)表示。0是系統(tǒng)管理員賬號(hào)，1-499是系統(tǒng)保留賬號(hào)，500+即一般賬號(hào)

4、用戶組ID：簡(jiǎn)稱GID，GID唯一的標(biāo)識(shí)了一個(gè)用戶組。

5、comment：給用戶賬號(hào)做注釋用的

6、主目錄：用戶的家目錄

7、登錄的shell：登錄shell通常是/bin/bash75.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開(kāi)展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

教材P247，信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充76.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（）A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：B解析：

教材P308，BLP模型：向下讀、向上寫

秘密->機(jī)密->絕密

77.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型（Role-basedAccessControl，RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限（不同類別和級(jí)別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是？A、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制【正確答案】：D解析：

教材P312，RBAC有四個(gè)級(jí)別，RBAC0-3

78.在Windows系統(tǒng)中，存在默認(rèn)共享功能，方便了局域網(wǎng)用戶使用，但對(duì)個(gè)人用戶來(lái)說(shuō)存在安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過(guò)共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時(shí)，需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是？A、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“Autodisconnect”項(xiàng)鍵值改為0B、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“AutoShareServer”項(xiàng)鍵值改為0C、將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraｍeters”項(xiàng)中的“AutoShareWks”項(xiàng)鍵值改為0D、在命令窗口中輸入命令，刪除C盤默認(rèn)共享：netshareC$/del【正確答案】：A解析：

利用注冊(cè)表關(guān)閉隱藏共享：

?

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolset/services/lanmanserver/parameters

ü

新建DWORD值autoshareserver=0

ü

新建DWORD值autosharewks=079.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開(kāi)放日志共享，有總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取哪項(xiàng)處理措施？A、由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會(huì)帶來(lái)一定的安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間【正確答案】：D解析：

選項(xiàng)A\B\C的描述均有明顯錯(cuò)誤-絕對(duì)化，選項(xiàng)D是正確的策略設(shè)置

80.關(guān)于業(yè)務(wù)連續(xù)性（BCP）以下說(shuō)法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程【正確答案】：B解析：

教材P135，BCP是為了保護(hù)關(guān)鍵業(yè)務(wù)功能。81.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測(cè)控制設(shè)備：A、是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ?，但要求更多的開(kāi)銷B、是必須的，可以為預(yù)防控制的功效提供檢測(cè)C、是可選的，可以實(shí)現(xiàn)深度防御D、在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制的功能已經(jīng)足夠【正確答案】：C解析：

“包含了充分的預(yù)防控制措施”，前面已經(jīng)說(shuō)“充分”了，那后面的措施就是可選的82.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureMultipurposeInternetMailExtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是？A、S/MIME采用了非對(duì)稱密碼學(xué)機(jī)制B、S/MIME支持?jǐn)?shù)字證書C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶身份認(rèn)證和郵件加密【正確答案】：C解析：

S/MIME：是通過(guò)在RFCl847中定義的多部件媒體類型在MIME中打包安全服務(wù)的另一個(gè)技術(shù)。它提供驗(yàn)證、信件完整性、數(shù)字簽名和加密。83.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說(shuō)法正確的是？A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時(shí)間內(nèi)沒(méi)有出現(xiàn)問(wèn)題，就可以不用再進(jìn)行容災(zāi)演練了【正確答案】：C解析：

選項(xiàng)A：增量備份是每次備份的數(shù)據(jù)相當(dāng)于上一次備份后增加或修改過(guò)的數(shù)據(jù)

選項(xiàng)B：災(zāi)難恢復(fù)能為分6級(jí)

選項(xiàng)D：明顯錯(cuò)誤84.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

VTP-VLANTrunkProtocal，VLAN干道協(xié)議是在交換機(jī)上運(yùn)行的協(xié)議

85.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶使用集成電路卡（如智能卡）完成身份鑒別【正確答案】：D解析：

教材P294，智能卡屬于實(shí)體所有

86.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（）ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文，使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的B、單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接【正確答案】：D解析：

解決ARP欺騙不能靠禁用ARP協(xié)議來(lái)實(shí)現(xiàn)87.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)？A、公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)、應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對(duì)事件分類依據(jù)GB/Z20986—2007《信息安全技術(shù)信息安全事件分類分級(jí)分級(jí)指南》，分為7個(gè)基本類別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)【正確答案】：A解析：

為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行—明顯錯(cuò)誤88.利用"緩沖區(qū)溢出"漏洞進(jìn)行滲透測(cè)試模擬攻擊過(guò)程中，利用WEB服務(wù)器的漏洞取得了一臺(tái)遠(yuǎn)程主機(jī)的Root權(quán)限。為了防止WEB服務(wù)器的漏洞被彌補(bǔ)后，失去對(duì)該服務(wù)器的控制，應(yīng)首先攻擊下列中的（）文件。A、etc/.htaccessB、/etc/passwdC、/etc/secureD、/etc/shadow【正確答案】：D解析：

無(wú)89.對(duì)系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯(cuò)誤的是：A、系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營(yíng)管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論C、系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法【正確答案】：C解析：

教材P175，系統(tǒng)工程思想具有普遍適用性，適用于復(fù)雜工程，目的是實(shí)現(xiàn)總體效果最優(yōu)。90.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說(shuō)法錯(cuò)誤的是？A、在傳送模式中，保護(hù)的是IP負(fù)載B、驗(yàn)證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性【正確答案】：D解析：

教材P338，IPSec是一組基于密碼學(xué)的安全的開(kāi)放網(wǎng)絡(luò)安全協(xié)議，工作在IP層，提供訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、機(jī)密性防護(hù)、有限的數(shù)據(jù)流機(jī)密性保護(hù)以及抗重放攻擊等安全服務(wù)。

91.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是：A、httpd.confB、srL.confC、access.confD、inetd.conf【正確答案】：A解析：

Apache服務(wù)的配置文件httpd.conf92.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是？A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力，將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南B、系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)C、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開(kāi)發(fā)的方法D、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是在原有能力成熟度模型（CMM）的基礎(chǔ)上。通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科【正確答案】：C解析：

教材P178，SSE-CMM是一種面向工程過(guò)程的方法。93.層次化的文檔是信息安全管理體系（簡(jiǎn)稱ISMS）建設(shè)的直接體現(xiàn)，也是ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機(jī)構(gòu)，那么以下選項(xiàng)（）應(yīng)放入到一級(jí)文件中。A、《風(fēng)險(xiǎn)評(píng)估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D解析：

教材P99，信息安全方針屬于一級(jí)文件94.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va）），以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是?A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】：D解析：

教材P257，風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））

?R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)

?A表示資產(chǎn)

?T表示威脅

?V表示脆弱性

?Ia表示安全事件所作用的資產(chǎn)價(jià)值

?Va表示脆弱性嚴(yán)重程度

?L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

?F表示安全事件發(fā)生后造成的損失95.下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

零日漏洞—?jiǎng)偙话l(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞96.下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：A、確保采購(gòu)/定制的設(shè)備，軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特征能力D、確保信息系統(tǒng)的使用已得到授權(quán)【正確答案】：B解析：

明顯錯(cuò)誤，應(yīng)按ISMS文件要求97.在國(guó)家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》信息系統(tǒng)安全保障模型包含哪幾個(gè)方面？A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B解析：

教材P35，圖1-9

信息系統(tǒng)安全保障模型：保障要素、安全特征、生命周期98.關(guān)于《網(wǎng)絡(luò)安全法》域外使用效力的理解，以下哪項(xiàng)是錯(cuò)誤的？A、當(dāng)前對(duì)于境外的網(wǎng)絡(luò)攻擊，我國(guó)只能通過(guò)向來(lái)源國(guó)采取抗議B、對(duì)于來(lái)自境外的網(wǎng)絡(luò)安全威脅我國(guó)可以組織技術(shù)力量進(jìn)行監(jiān)測(cè)、防御和處置C、對(duì)于來(lái)自境外的違法信息我國(guó)可以加以阻斷傳播D、對(duì)于來(lái)自境外的網(wǎng)絡(luò)攻擊我國(guó)可以追究其法律責(zé)任【正確答案】：A解析：

《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間的國(guó)家主權(quán)原則99.為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，加強(qiáng)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。2015年6月，第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議了一部法律草案，并于7月6日起在網(wǎng)上全文公布，向社會(huì)公開(kāi)征求意見(jiàn)，這部法律草案是（

）。A、《中華人民共和國(guó)保守國(guó)家秘密法（草案）》B、《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》C、《中華人民共和國(guó)國(guó)家安全法（草案）》D、《中華人民共和國(guó)互聯(lián)網(wǎng)安全法（草案）》【正確答案】：B解析：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》在正式發(fā)布前歷經(jīng)三次審議，兩次公開(kāi)征求意見(jiàn)。100.以下關(guān)于直接附加存儲(chǔ)（DAS）說(shuō)法錯(cuò)誤的是？A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連續(xù)在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)（NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D解析：

教材P158，DAS-數(shù)據(jù)分散存儲(chǔ)，不集中。101.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問(wèn)數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開(kāi)發(fā)時(shí)，采用了一些存在安全問(wèn)題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒(méi)有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C解析：

題干強(qiáng)調(diào)軟件設(shè)計(jì)缺陷，選項(xiàng)A中的SQL注入漏洞是由軟件編碼問(wèn)題導(dǎo)致的102.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒(méi)有經(jīng)過(guò)測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個(gè)組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具103.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是？A、霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架B、時(shí)間維表示系統(tǒng)工程活動(dòng)從開(kāi)始到結(jié)束按時(shí)間順序排列的全過(guò)程C、邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)D、知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)和藝術(shù)等各種知識(shí)和技能【正確答案】：C解析：

教材P176，三個(gè)維度之間不是一一對(duì)應(yīng)關(guān)系104.以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】：A解析：

"27號(hào)文"的主要任務(wù)(重點(diǎn)加強(qiáng)的安全保障工作):

1.實(shí)行信息安全等級(jí)保護(hù);

2.加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè);

3.建設(shè)和完善信息安全監(jiān)控體系;

4.重視信息安全應(yīng)急處理工作;--選項(xiàng)D

5.加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展;

6.加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè);

7.加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí);--選項(xiàng)C

8.保證信息安全資金;--選項(xiàng)B

9.加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制。105.我國(guó)信息安全保障工作先后經(jīng)歷了啟動(dòng)、逐步展開(kāi)和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，以下關(guān)于我國(guó)信息安全保障各階段說(shuō)法不正確的是？A、2001年，國(guó)家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月，國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文件），明確了“積極防御、綜合防范”的國(guó)家信息安全保障工作方針C、2003年，中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段D、在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展【正確答案】：C解析：

教材P16，27號(hào)文件――我國(guó)信息安全保障工作取得了明顯成效106.ApacheHTTPServer（簡(jiǎn)稱Apache）是一個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A、不選擇Windows平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用【正確答案】：B解析：

Apache服務(wù)器的配置信息全部存儲(chǔ)在主配置文件/etc/httpd/conf/httpd.conf中107.信息系統(tǒng)建設(shè)完成后，（

）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用。A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上【正確答案】：A解析：

教材P78，原文，108.某單位計(jì)劃在今年開(kāi)發(fā)一套辦公自動(dòng)化（OA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在OA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開(kāi)發(fā)的建議，作為安全專家，請(qǐng)指出大家提供的建議中不太合適的一條？A、對(duì)軟件開(kāi)發(fā)商提出安全相關(guān)要求，確保軟件開(kāi)發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問(wèn)題B、要求軟件開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)培訓(xùn)，是開(kāi)發(fā)人員掌握基本軟件安全開(kāi)發(fā)知識(shí)C、要求軟件開(kāi)發(fā)商使用Java而不是ASP作為開(kāi)發(fā)語(yǔ)言，避免產(chǎn)生SQL注入漏洞D、要求軟件開(kāi)發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)【正確答案】：C解析：

無(wú)論哪種開(kāi)發(fā)工具都有漏洞109.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊【正確答案】：D解析：

換頭像，典型的社會(huì)工程學(xué)攻擊110.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS+）D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）【正確答案】：C解析：

教材P304，終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)是Cisco專屬協(xié)議

111.2008年1月2日，美國(guó)發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（ComprehensiveNationalCybersecurityInitative，CNCI）。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來(lái)安全環(huán)境。從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D、CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保