NISP(CISP)練習(xí)測(cè)試卷（一）

第頁(yè)NISP(CISP)練習(xí)測(cè)試卷1.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱(chēng)現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用【正確答案】：D2.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng)，應(yīng)當(dāng)()年進(jìn)行一次等級(jí)測(cè)評(píng)?A、0．5B、1C、2D、3【正確答案】：B解析：

等級(jí)保護(hù)三級(jí)系統(tǒng)一年測(cè)評(píng)一次，四級(jí)系統(tǒng)每半年測(cè)評(píng)一次。3.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于（）A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱(chēng)ITSEC)D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡(jiǎn)稱(chēng)CC)【正確答案】：B解析：

BS7799-1發(fā)展為ISO27002；BS7799-2發(fā)展為ISO27001；TCSEC發(fā)展為ITSEC；ITSEC發(fā)展為CC。4.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)值為400萬(wàn)元人民幣，暴露系數(shù)(ExposureFactor,EF)是25%，年度發(fā)生率(AnnualizedRateofOccurrence,ARO)是0.2,那么小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy,ALE)應(yīng)該是()。A、100萬(wàn)元人民幣B、400萬(wàn)元人民幣C、20萬(wàn)元人民幣D、180萬(wàn)元人民幣【正確答案】：C5.二十世紀(jì)二十年代，德國(guó)發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機(jī)，按照密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A、古典密碼階段。這一階段的密碼專(zhuān)家常常靠直覺(jué)和技術(shù)來(lái)設(shè)計(jì)密碼，而不是憑借推理和證明，常用的密碼運(yùn)算方法包括替代方法和轉(zhuǎn)換方法（）B、近代密碼發(fā)展階段。這一階段開(kāi)始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎(chǔ)，開(kāi)始對(duì)密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷【正確答案】：B解析：

根據(jù)密碼學(xué)發(fā)展階段的知識(shí)點(diǎn)，Engmia密碼機(jī)屬于近代密碼學(xué)發(fā)展階段的產(chǎn)物。6.自主訪問(wèn)控制模型（DAC）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加

一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法

正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便D、ACL在增加和修改哪些客體被主體訪問(wèn)比較方便【正確答案】：D7.某網(wǎng)站在設(shè)計(jì)對(duì)經(jīng)過(guò)了威脅建模和攻擊面分析，在開(kāi)發(fā)時(shí)要求程序員編寫(xiě)安全的代碼，但是在部署時(shí)由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類(lèi)擬問(wèn)題，一下那種測(cè)試方式是最佳的測(cè)試方法。A、模糊測(cè)試B、源代碼測(cè)試C、滲透測(cè)試D、軟件功能測(cè)試【正確答案】：C解析：

答案為C。8.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動(dòng)是：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A9.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略【正確答案】：C解析：

無(wú)法消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)。10.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，那一項(xiàng)不是體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？A、結(jié)構(gòu)開(kāi)放性，即功能和保證要求可以“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開(kāi)發(fā)、生產(chǎn)、測(cè)試和評(píng)估過(guò)程中【正確答案】：C解析：

ITSEC最早強(qiáng)調(diào)功能和保證的分離，不是CC的先進(jìn)性。11.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過(guò)安全測(cè)評(píng)，關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義，下列說(shuō)法中不正確的是（）A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購(gòu)信息安全產(chǎn)品、設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專(zhuān)業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷，為信息安全產(chǎn)品發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境【正確答案】：D解析：

題干中信息安全產(chǎn)品測(cè)評(píng)的主要目的是安全作用，不是經(jīng)濟(jì)作用。12.我國(guó)黨和政府一直重視信息安全工作，我國(guó)信息安全保障工作也取得了明顯成效，關(guān)于我國(guó)信息安全實(shí)踐工作，下面說(shuō)法錯(cuò)誤的是（）A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作，確定由國(guó)家密碼管理局牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”推動(dòng)了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級(jí)保護(hù)工作，研究制定了多個(gè)有關(guān)信息安全等級(jí)保護(hù)的規(guī)范和標(biāo)準(zhǔn)，重點(diǎn)保障了關(guān)系國(guó)定安全，經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全性

D實(shí)施了信息安全風(fēng)險(xiǎn)評(píng)估工作，探索了風(fēng)險(xiǎn)評(píng)估工作的基本規(guī)律和方法，檢驗(yàn)并修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊(duì)伍【正確答案】：B解析：

工業(yè)和信息化部牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”。13.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專(zhuān)用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時(shí)，以下說(shuō)法正確的是：A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來(lái)減少I(mǎi)Psec安全關(guān)聯(lián)（SecurityAuthentication,SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

A錯(cuò)誤，MD5提供完整性；B錯(cuò)誤，AES提供的保密性；D錯(cuò)誤，AH協(xié)議提供完整性、驗(yàn)證及抗重放攻擊。14.模糊測(cè)試也稱(chēng)Fuzz測(cè)試，是一種通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障的方法。下面描述正確的是（）A、模糊測(cè)試本質(zhì)上屬于黑盒測(cè)試B、模糊測(cè)試本質(zhì)上屬于白盒測(cè)試C、模糊測(cè)試有時(shí)屬于黑盒測(cè)試，有時(shí)屬于白盒測(cè)試，取決于其使用的測(cè)試方法D、模糊測(cè)試既不屬于黑盒測(cè)試，也不屬于白盒測(cè)試【正確答案】：A解析：

拿分選A，知識(shí)點(diǎn)是C。15.信息安全標(biāo)準(zhǔn)化工作是我國(guó)信息安全保障工作的重要組成部分之一，也是政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國(guó)家利益，促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一，關(guān)于我國(guó)標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是（）A、我國(guó)是在國(guó)家質(zhì)量監(jiān)督檢驗(yàn)疫總局管理下，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國(guó)標(biāo)準(zhǔn)化工作，下設(shè)專(zhuān)業(yè)技術(shù)委員會(huì)B、事關(guān)國(guó)家安全利益，信息安全因此不能和國(guó)際標(biāo)準(zhǔn)相同，而是要通過(guò)本國(guó)組織和專(zhuān)家制定標(biāo)準(zhǔn)，切實(shí)有效地保護(hù)國(guó)家利益和安全C、我國(guó)歸口信息安全方面標(biāo)準(zhǔn)是“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”，為加強(qiáng)有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D、信息安全標(biāo)準(zhǔn)化工作是解決信息安全問(wèn)題的重要技術(shù)支撐，其主要作業(yè)突出體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性【正確答案】：B解析：

信息安全的標(biāo)準(zhǔn)可以和國(guó)際標(biāo)準(zhǔn)相同，也可以不相同。包括同等采用方式和等效采用方式等。16.應(yīng)用安全，一般是指保障應(yīng)用程序使用過(guò)程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶進(jìn)行身份鑒別，只有通過(guò)驗(yàn)證的用戶才能訪問(wèn)應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問(wèn)C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤(pán)、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤(pán)、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問(wèn)D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等【正確答案】：D解析：

機(jī)房與設(shè)施安全屬于物理安全，不屬于應(yīng)用安全。17.在數(shù)據(jù)庫(kù)安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象，授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大【正確答案】：A解析：

數(shù)據(jù)粒度越細(xì)則授權(quán)策略越靈活便利。18.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，規(guī)定了軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：A、治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng)B、構(gòu)造，主要是在開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng)C、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng)D、購(gòu)置，主要是購(gòu)買(mǎi)第三方商業(yè)軟件或者采用開(kāi)源組件的相關(guān)管理過(guò)程與活動(dòng)【正確答案】：D解析：

SAMM模型四個(gè)部分是治理、構(gòu)造、驗(yàn)證和部署。19.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問(wèn)題，以下說(shuō)法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過(guò)了測(cè)試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響【正確答案】：C20.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類(lèi)別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制【正確答案】：D解析：

RBAC1模型能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制。21.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證【正確答案】：C22.關(guān)于信息安全保障的概念，下面說(shuō)法錯(cuò)誤的是：A、信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化的，信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理念B、信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測(cè)和響應(yīng)為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來(lái)保障信息安全D、信息安全保障把信息安全從技術(shù)擴(kuò)展到管理，通過(guò)技術(shù)、管理和工程等措施的綜合融合，形成對(duì)信息、信息系統(tǒng)及業(yè)務(wù)使命的保障【正確答案】：C解析：

網(wǎng)絡(luò)空間安全不能單純依靠技術(shù)措施來(lái)保障。23.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是：A、通用布纜系統(tǒng)工程B、電子設(shè)備機(jī)房系統(tǒng)工程C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用【正確答案】：D解析：

答案為D。24.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)【正確答案】：C25.在Windows文件系統(tǒng)中，_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3【正確答案】：B26.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang,張主任給他個(gè)人文件夾設(shè)置了權(quán)

限為只有zhang這個(gè)用戶有權(quán)訪問(wèn)這個(gè)目錄，管理員在某次維護(hù)中無(wú)意將zhang這個(gè)用戶刪除了，隨后又重

新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登陸系統(tǒng)后，發(fā)現(xiàn)無(wú)法訪問(wèn)他原來(lái)的個(gè)人文件夾，

原因是（）A、任何一個(gè)新建用戶都需要經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)中的文件B、windows不認(rèn)為新建立用戶zhang與原來(lái)的用戶zhang同一個(gè)用戶，因此無(wú)權(quán)訪問(wèn)C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來(lái)用戶的文件夾，因此無(wú)法訪問(wèn)D、新建的用戶zhang會(huì)繼承原來(lái)用戶的權(quán)限，之所以無(wú)權(quán)訪問(wèn)時(shí)因?yàn)槲募A經(jīng)過(guò)了加密【正確答案】：A27.為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)不是日志必需具備的特征。A、統(tǒng)一而精確地的時(shí)間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問(wèn)源、訪問(wèn)目標(biāo)和訪問(wèn)活動(dòng)等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取【正確答案】：D解析：

日志只有授權(quán)用戶可以讀取。28.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成六個(gè)階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段：關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過(guò)濾規(guī)則，拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號(hào)等（）A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測(cè)階段【正確答案】：B解析：

拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量等做法屬于遏制階段的工作。29.分組密碼算法是一類(lèi)十分重要的密碼算法，下面描述中，錯(cuò)誤的是（）A、分組密碼算法要求輸入明文按組分成固定長(zhǎng)度的塊B、分組密碼的算法每次計(jì)算得到固定長(zhǎng)度的密文輸出塊C、分組密碼算法也稱(chēng)作序列密碼算法D、常見(jiàn)的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼算法和序列算法是兩種算法。30.以下Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccountsManager）的說(shuō)法哪個(gè)是正確的：A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問(wèn)，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)administrator賬戶才有權(quán)訪問(wèn)，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問(wèn)，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有System賬號(hào)才能訪問(wèn)，具有較高的安全性【正確答案】：D解析：

D為正確答案。31.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：A、項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項(xiàng)目有明確的開(kāi)始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定。C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量（Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Timeoriented)。【正確答案】：B解析：

解釋?zhuān)簱?jù)項(xiàng)目進(jìn)度不能隨機(jī)確定，需要根據(jù)項(xiàng)目預(yù)算、特性、質(zhì)量等要求進(jìn)行確定。32.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。

一種有效的對(duì)策時(shí)在敵手和它的目標(biāo)之間配備多種（）。每一種機(jī)制都應(yīng)包括（）兩種手段。A、安全機(jī)制；安全缺陷；保護(hù)和檢測(cè)B、安全缺陷；安全機(jī)制；保護(hù)和檢測(cè)C、安全缺陷；保護(hù)和檢測(cè)；安全機(jī)制；D、安全缺陷；安全機(jī)制；保護(hù)和監(jiān)測(cè)【正確答案】：D33..以下行為不屬于違反國(guó)家涉密規(guī)定的行為：A、將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、通過(guò)普通郵政等無(wú)保密及措施的渠道傳遞國(guó)家秘密載體C、在私人交往中涉及國(guó)家秘密D、以不正當(dāng)手段獲取商業(yè)秘密【正確答案】：D解析：

D為商業(yè)秘密，不屬于涉密規(guī)定的行為。34.在信息安全管理的實(shí)施過(guò)程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程、確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確【正確答案】：D解析：

D不屬于管理者的職責(zé)。35.根據(jù)《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》等國(guó)家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《非涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》等要求進(jìn)行C、可委托同一專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告D、此通知不要求將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容【正確答案】：C解析：

C為正確描述。36.口令破解是針對(duì)系統(tǒng)進(jìn)行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對(duì)口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說(shuō)明錯(cuò)誤的是A、密碼策略主要作用是通過(guò)策略避免擁護(hù)生成弱口令及對(duì)用戶的口令使用進(jìn)行管控B、密碼策略對(duì)系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對(duì)口令暴力破解攻擊，能有效地保護(hù)所有系統(tǒng)用戶應(yīng)對(duì)口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無(wú)法保護(hù)管理員administrator賬戶應(yīng)對(duì)口令暴力破解攻擊【正確答案】：D解析：

賬戶鎖定策略也適用于administrator賬戶。37.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為200萬(wàn)元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計(jì)算的年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)該是()。A、5萬(wàn)元人民幣B、50萬(wàn)元人民幣C、2.5萬(wàn)元人民幣D、25萬(wàn)元人民幣【正確答案】：A解析：

計(jì)算方法為200萬(wàn)*25%*0.1=5萬(wàn)。38.以下關(guān)于直接附加存儲(chǔ)(DirectAttachedStorage，DAS)說(shuō)法錯(cuò)誤的是：A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)．是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)(NetworkAttachedStorage，NAS)，DAS節(jié)省硬盤(pán)空間，數(shù)據(jù)集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D解析：

NAS優(yōu)點(diǎn)數(shù)據(jù)集中、節(jié)約空間，缺點(diǎn)是占用網(wǎng)絡(luò)帶寬、存儲(chǔ)中心存在單點(diǎn)故障。DAS優(yōu)點(diǎn)數(shù)據(jù)分散、風(fēng)險(xiǎn)分散，缺點(diǎn)是存儲(chǔ)空間利用率低、不便于統(tǒng)一管理。SAN基于NAS的進(jìn)一步實(shí)現(xiàn)，基于高速網(wǎng)絡(luò)、多備份中心來(lái)進(jìn)行實(shí)現(xiàn)。39.隨機(jī)進(jìn)程名稱(chēng)是惡意代碼迷惑管琊員和系統(tǒng)安全檢查人員的技術(shù)手段之一,以下對(duì)于隨機(jī)進(jìn)程名技術(shù)。描

述正確的是（）。A、隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱(chēng)，就找到了惡意代碼程序本身B、惡意代碼生成隨機(jī)進(jìn)程名稱(chēng)的目的是使過(guò)程名稱(chēng)不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱(chēng)進(jìn)行病毒進(jìn)程查殺C、惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱(chēng)，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D、隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱(chēng)，通過(guò)不固定的進(jìn)程名稱(chēng)使自己不容易被發(fā)現(xiàn)真實(shí)

的惡意代碼程序名稱(chēng)【正確答案】：D40.ISO9001-2000標(biāo)準(zhǔn)在制定、實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)采用過(guò)程方法，通過(guò)滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過(guò)程方法的示意圖，圖中括號(hào)空白處應(yīng)填寫(xiě)（）

A、策略B、管理者C、組織D、活動(dòng)【正確答案】：D41.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的而運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上【正確答案】：B解析：

答案為B，三級(jí)以上默認(rèn)包括本級(jí)。42.關(guān)于信息安全保障技術(shù)框架(IATF)，以下說(shuō)法不正確的是：A、分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本B、IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施C、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制【正確答案】：D解析：

IATF是在網(wǎng)絡(luò)的各位置實(shí)現(xiàn)所需的安全機(jī)制。43.下面哪一項(xiàng)情景屬于身份鑒別（Authentication）過(guò)程？（）A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫(xiě)的一份Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容C、用戶使用加密軟件對(duì)自己家編寫(xiě)的Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容D、某個(gè)人嘗試登陸到你的計(jì)算機(jī)中，但是口令輸入的不對(duì)，系統(tǒng)提示口令錯(cuò)誤，并將這次失敗的登陸過(guò)程記

錄在系統(tǒng)日志中【正確答案】：A44.從SABSA的發(fā)展過(guò)程，可以看出整個(gè)SABSA在安全架構(gòu)中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個(gè)階段的過(guò)程被歸類(lèi)為所謂的（），其次是（），它包含了建筑設(shè)計(jì)中的（）、物理設(shè)計(jì)、組件

設(shè)計(jì)和服務(wù)管理設(shè)計(jì)，再者就是（），緊隨其后的則是（）A、設(shè)計(jì)；戰(zhàn)略與規(guī)劃；邏輯設(shè)計(jì)；實(shí)施；管理與衡量B、戰(zhàn)略與規(guī)劃；邏輯設(shè)計(jì)；設(shè)計(jì)；實(shí)施；管理與衡量C、戰(zhàn)略與規(guī)劃；實(shí)施；設(shè)計(jì)；邏輯設(shè)計(jì)；管理與衡量D、戰(zhàn)略與規(guī)劃；設(shè)計(jì)；邏輯設(shè)計(jì)；實(shí)施；管理與衡量【正確答案】：D45.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注()A、由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B、在測(cè)試的過(guò)程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒(méi)有使用災(zāi)難恢復(fù)

計(jì)劃（DRP）文檔【正確答案】：B46.Alice有一個(gè)消息M通過(guò)密鑰K2生成一個(gè)密文E（K2，M）然后用K1生成一個(gè)MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個(gè)MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個(gè)過(guò)程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】：D解析：

實(shí)現(xiàn)的安全服務(wù)包括保密性、完整性、身份鑒別、抗重放攻擊。47.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性從機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程獲取。48.對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)?A、BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》C、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》D、GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》【正確答案】：B解析：

B為正確答案。49.某單位開(kāi)發(fā)一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析，模糊測(cè)試等軟件測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試，模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性的優(yōu)勢(shì)？A、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法。因此測(cè)試效率更高C、滲透測(cè)試以攻擊者思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞D、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多【正確答案】：C解析：

C是滲透測(cè)試的優(yōu)點(diǎn)。50.以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施：A、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問(wèn)控制表的方式來(lái)管理權(quán)限【正確答案】：C解析：

消息驗(yàn)證碼不能防止抵賴，而是提供消息鑒別、完整性校驗(yàn)和抗重放攻擊。51.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是（）A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行。C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D、密碼協(xié)議(Cryptographicprotocol),有時(shí)也稱(chēng)安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)?！菊_答案】：A解析：

密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟必須要明確處理方式。52.下列關(guān)于面向?qū)ο鬁y(cè)試問(wèn)題的說(shuō)法中，不正確的是（）A、在面向?qū)ο筌浖y(cè)試時(shí)，設(shè)計(jì)每個(gè)類(lèi)的測(cè)試用例時(shí)，不僅僅要考慮用各個(gè)成員方法的輸入?yún)?shù)，還需要考

慮如何設(shè)計(jì)調(diào)用的序列B、構(gòu)造抽象類(lèi)的驅(qū)動(dòng)程序會(huì)比構(gòu)造其他類(lèi)的驅(qū)動(dòng)程序復(fù)雜C、類(lèi)B繼承自類(lèi)

A，如對(duì)B進(jìn)行了嚴(yán)格的測(cè)試，就意味著不需再對(duì)類(lèi)A進(jìn)行測(cè)試D、在存在多態(tài)的情況下，為了達(dá)到較高的測(cè)試充分性，應(yīng)對(duì)所有可能的綁定都進(jìn)行測(cè)試【正確答案】：C53.鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的：A、口令B、令牌C、知識(shí)D、密碼【正確答案】：B解析：

令牌是基于實(shí)體所有的鑒別方式。54.“統(tǒng)一威脅管理”是將防病毒，入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類(lèi)安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱(chēng)為（）A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

答案為A。55.美國(guó)系統(tǒng)工程專(zhuān)家霍爾（A.D.Hall）在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu)，使系統(tǒng)工程的

工作階段和步驟更為清晰明了，如圖所示，霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個(gè)活動(dòng)過(guò)程分為前后緊密銜接的（）

階段和（）步驟，同時(shí)還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、

和知識(shí)維所組成的三維空間結(jié)構(gòu)。

A、五個(gè)；七個(gè)；專(zhuān)業(yè)知識(shí)和技能；時(shí)間維；邏輯維B、七個(gè)；七個(gè)；專(zhuān)業(yè)知識(shí)和技能；時(shí)間維；邏輯維C、七個(gè)；六個(gè)；專(zhuān)業(yè)知識(shí)和技能；時(shí)間維；邏輯維D、七個(gè)；六個(gè)；專(zhuān)業(yè)知識(shí)和技能；時(shí)間維；空間維【正確答案】：B56.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應(yīng)為技管并重。57.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門(mén)科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且

在信息充分多的情況下它會(huì)失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失

效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱

點(diǎn)”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）。A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的【正確答案】：A58.信息安全測(cè)評(píng)是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對(duì)信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測(cè)試和評(píng)估，以下關(guān)于信息安全測(cè)評(píng)說(shuō)法不正確的是：A、信息產(chǎn)品安全評(píng)估是測(cè)評(píng)機(jī)構(gòu)的產(chǎn)品的安全性做出的獨(dú)立評(píng)價(jià)，增強(qiáng)用戶對(duì)已評(píng)估產(chǎn)品安全的信任B、目前我國(guó)常見(jiàn)的信息系統(tǒng)安全測(cè)評(píng)包括信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和信息系統(tǒng)安全保障測(cè)評(píng)兩種類(lèi)型C、信息安全工程能力評(píng)估是對(duì)信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施服務(wù)過(guò)程質(zhì)量保證能力的具體衡量和評(píng)價(jià)。D、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件可能造成的危害程度，提出游針對(duì)性的安全防護(hù)策略和整改措施【正確答案】：B解析：

測(cè)評(píng)包括產(chǎn)品測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、保障測(cè)評(píng)和等級(jí)保護(hù)測(cè)評(píng)。59.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來(lái)自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D解析：

D屬于項(xiàng)目的驗(yàn)收階段，不屬于IT項(xiàng)目的立項(xiàng)階段，題干屬于立項(xiàng)階段。60.在國(guó)家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》

中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B61.與PDR模型相比，P2DR(PPDR)模型多了哪一個(gè)環(huán)節(jié)?A、防護(hù)B、檢測(cè)C、反應(yīng)D、策略【正確答案】：D解析：

解釋?zhuān)篜PDR是指策略、保護(hù)、檢測(cè)和反應(yīng)（或響應(yīng)）。PPDR比PDR多策略。62.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66號(hào))，對(duì)等級(jí)保護(hù)工作的開(kāi)展提供宏觀指導(dǎo)和約束，明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門(mén)工作職責(zé)分工等，關(guān)于該文件，下面理解正確的是A、該文件時(shí)一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級(jí)保護(hù)工作，其內(nèi)容不能越蘇到2005年及之后的工作C、該文件時(shí)一個(gè)總體性知道文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍D、該文件使用范圍為發(fā)文的這四個(gè)部門(mén)，不適用于其他部門(mén)和企業(yè)等單位【正確答案】：A解析：

答案為A。63.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個(gè)組件，以下說(shuō)法錯(cuò)誤的是（）A、EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）【正確答案】：C解析：

答案為C，F(xiàn)AT32不支持EFS加密。64.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開(kāi)展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估（自查）為主。65.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過(guò)程D、監(jiān)理組織安全實(shí)施【正確答案】：D解析：

監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過(guò)程、控制和管理手段。66.以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是A、威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅B、評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)C、消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過(guò)重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅。D、識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞?！菊_答案】：D解析：

威脅就是漏洞是錯(cuò)誤的。67.某單位的信息安全主管部門(mén)在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門(mén)將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是（）A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B68.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項(xiàng)（）應(yīng)放入到一級(jí)文件中.A、《風(fēng)險(xiǎn)評(píng)估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D解析：

正確答案為D。一級(jí)文件中一般為安全方針、策略文件；二級(jí)文件中一般為管理規(guī)范制度；三級(jí)文件一般為操作手冊(cè)和流程；四級(jí)文件一般表單和管理記錄。69.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門(mén)領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】：B解析：

定性分析不能靠直覺(jué)、不能隨意。70.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是：A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同，可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯(cuò)誤，應(yīng)該是抽樣評(píng)估；C錯(cuò)誤，應(yīng)該其描述的是差距分析；D錯(cuò)誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。71.相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)?A、NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問(wèn)題，而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C、對(duì)于大磁盤(pán)，NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式【正確答案】：D解析：

NTFS不能兼容EXT文件系統(tǒng)。72.為了開(kāi)發(fā)高質(zhì)量的軟件，軟件效率成為最受關(guān)注的話題。那么開(kāi)發(fā)效率主要取決于以下兩點(diǎn)：開(kāi)發(fā)新功

能是否迅速以及修復(fù)缺陷是否及時(shí)。為了提高軟件測(cè)試的效率，應(yīng)（）。A、隨機(jī)地選取測(cè)試數(shù)據(jù)B、取一切可能的輸入數(shù)據(jù)為測(cè)試數(shù)據(jù)C、在完成編碼以后制定軟件的測(cè)試計(jì)劃D、選擇發(fā)現(xiàn)錯(cuò)誤可能性最大的數(shù)據(jù)作為測(cè)試用例【正確答案】：D73.在極限測(cè)試過(guò)程中，貫穿始終的是()A、單元測(cè)試和集成測(cè)試B、單元測(cè)試和系統(tǒng)測(cè)試C、集成測(cè)試和驗(yàn)收測(cè)試D、集成測(cè)試和系統(tǒng)測(cè)試【正確答案】：C解析：

單元測(cè)試，系統(tǒng)測(cè)試，驗(yàn)收測(cè)試，尤其包括單元和驗(yàn)收測(cè)試。74.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無(wú)法在Internet上使用。私有地址，下面描述正確的是（）。A類(lèi)和B類(lèi)地址中沒(méi)有私有地址，C類(lèi)地址中可以設(shè)置私有地址B、A類(lèi)地址中沒(méi)有私有地址，B類(lèi)和C類(lèi)地址中可以設(shè)置私有地址C、A類(lèi)、B類(lèi)和C類(lèi)地址中都可以設(shè)置私有地址D、A類(lèi)、B類(lèi)和C類(lèi)地址中都沒(méi)有私有地址【正確答案】：C解析：

答案為C。75.小李去參加單位組織的信息安全培訓(xùn)后，他把自己對(duì)管理信息管理體系ISMS的理解畫(huà)了一張圖，但是他還存在一個(gè)空白處未填寫(xiě)，請(qǐng)幫他選擇一個(gè)合適的選項(xiàng)（）

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢ISMS【正確答案】：C76.某公司的對(duì)外公開(kāi)網(wǎng)站主頁(yè)經(jīng)常被黑客攻擊后修改主頁(yè)內(nèi)容，該公司應(yīng)當(dāng)購(gòu)買(mǎi)并部署下面哪個(gè)設(shè)備（）A、安全路由器B、網(wǎng)絡(luò)審計(jì)系統(tǒng)C、網(wǎng)頁(yè)防篡改系統(tǒng)D、虛擬專(zhuān)用網(wǎng)（VirtualPrivateNetwork，VPN）系統(tǒng)【正確答案】：C解析：

網(wǎng)頁(yè)防篡改系統(tǒng)用來(lái)防范WEB篡改。77.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境

中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的（），向信

息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受

的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是（），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)

系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，

涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（）的信心。

A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B78.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號(hào)應(yīng)填那個(gè)？

A、安全資產(chǎn)價(jià)值大小等級(jí)B、脆弱性嚴(yán)重程度等級(jí)C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D、安全事件造成損失大小【正確答案】：D79.下列關(guān)于計(jì)算機(jī)病毒感染能力的說(shuō)法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。80.小明是某大學(xué)計(jì)算科學(xué)與技術(shù)專(zhuān)業(yè)的畢業(yè)生，大四上學(xué)期開(kāi)始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的背景建立的幾本概念與認(rèn)識(shí)，小明的主要觀點(diǎn)包括：（1）背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果(3)背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書(shū)、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告請(qǐng)問(wèn)小明的論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)【正確答案】：B解析：

背景建立是根據(jù)政策、法律、標(biāo)準(zhǔn)、業(yè)務(wù)、系統(tǒng)、組織等現(xiàn)狀來(lái)開(kāi)展。81.恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)的重要概念，關(guān)于這兩個(gè)值能否為零，正確的選項(xiàng)是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A82.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請(qǐng)你指出存在問(wèn)題的

是哪個(gè)總結(jié)？（）A、公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)

急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期

運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案五個(gè)階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基本環(huán)境類(lèi)、業(yè)務(wù)系統(tǒng)、安全事件類(lèi)、安全事件類(lèi)和其他類(lèi)，基本覆蓋了各類(lèi)應(yīng)急事

件類(lèi)型D、公司應(yīng)急預(yù)案對(duì)事件分類(lèi)依據(jù)GB/Z20986–2007《信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南》，分為7個(gè)

基本類(lèi)別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)【正確答案】：A83.某集團(tuán)公司根據(jù)業(yè)務(wù)需求，在各地分支機(jī)構(gòu)部屬前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開(kāi)放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)種提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施？A、由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會(huì)帶來(lái)一定安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置前置機(jī)不記錄日志D、只允許特定ＩＰ地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間【正確答案】：D解析：

D的特定ＩＰ地址從前置機(jī)提取降低了開(kāi)放日志共享的攻擊面。84.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)未設(shè)立中央政府級(jí)的專(zhuān)門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B解析：

解釋?zhuān)好绹?guó)已經(jīng)設(shè)立中央政府級(jí)的專(zhuān)門(mén)機(jī)構(gòu)。85.信息安全風(fēng)險(xiǎn)等級(jí)的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對(duì)【正確答案】：B解析：

影響指的就是安全事件的損失，可能性指的是安全事件的可能性。86.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

個(gè)人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。87.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則：A、立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國(guó)情，以我為主，堅(jiān)持以技術(shù)和管理并重。88.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照

PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評(píng)審ISMS、保持和改進(jìn)

ISMS等過(guò)程，并在這些過(guò)程中應(yīng)實(shí)施若干活動(dòng)。請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)（）。A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“安施培訓(xùn)和意識(shí)教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C、“進(jìn)行有效性測(cè)量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容D、“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容【正確答案】：D89.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問(wèn)控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用【正確答案】：B解析：

由于備份會(huì)造成個(gè)人穩(wěn)私和其它敏感信息的擴(kuò)散。90.以下關(guān)于信息安全法治建設(shè)的意義，說(shuō)法錯(cuò)誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對(duì)行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng)C、信息安全主要是技術(shù)問(wèn)題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系【正確答案】：C解析：

信息安全問(wèn)題是多方面存在的，不能認(rèn)為主要為技術(shù)問(wèn)題，同時(shí)技術(shù)漏洞不是犯罪的根源所在。91.某單位的信息安全主管部門(mén)在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，該部門(mén)將有檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

檢查評(píng)估由上級(jí)管理部門(mén)組織發(fā)起；本級(jí)單位發(fā)起的為自評(píng)估。92.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的

威脅建模方法，將威脅分為六類(lèi)，為每一類(lèi)威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類(lèi)的威脅，以下威脅中哪個(gè)可以歸入此類(lèi)威脅?A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買(mǎi)的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：

A屬于可用性；B保密性；C屬于完整性。93.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A、組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B、對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C、一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)、防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限【正確答案】：C解析：

C是“最小特權(quán)”的解釋?zhuān)籄描述的是輪崗；B描述的是權(quán)限分離；D描述的是防止權(quán)限蔓延。94.某單位門(mén)戶網(wǎng)站開(kāi)發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析【正確答案】：D解析：

A錯(cuò)，模糊測(cè)試是模擬異常輸入；B錯(cuò)，入口與邊界點(diǎn)是測(cè)試對(duì)象；C模糊測(cè)試記錄和檢測(cè)異常運(yùn)行情況。95.視窗操作系統(tǒng)（Windows）從哪個(gè)版本開(kāi)始引入安全中心的概念？A、WinNTSP6B、Win2000SP4C、WinXPSP2D、Win2003SP1【正確答案】：C96.金女士經(jīng)常通過(guò)計(jì)算機(jī)在互聯(lián)網(wǎng)上購(gòu)物，從安全角度看，下面哪項(xiàng)是不好的習(xí)慣：A、使用專(zhuān)用上網(wǎng)購(gòu)物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件，應(yīng)用軟件進(jìn)行升級(jí)B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過(guò)簽名的，安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)【正確答案】：A解析：

A為正確答案。97.某公司開(kāi)發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不能傳送到對(duì)方，關(guān)于此案例，可以推斷的是（）A、該網(wǎng)站軟件存在保密性方面安全問(wèn)題B、該網(wǎng)站軟件存在完整性方面安全問(wèn)題C、該網(wǎng)站軟件存在可用性方面安全問(wèn)題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問(wèn)題【正確答案】：B解析：

題干描述的是完整性。98.以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能?A、IP地址欺騙防護(hù)B、NATC、訪問(wèn)控制D、SQL注入攻擊防護(hù)【正確答案】：D解析：

題干中針對(duì)的是傳統(tǒng)防火墻，而SQL注入防護(hù)是WAF的主要功能。99.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖，如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)（）

A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測(cè)、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D100.在網(wǎng)絡(luò)交易發(fā)達(dá)的今天，貿(mào)易雙方可以通過(guò)簽署電子合同來(lái)保障自己的合法權(quán)益。某中心推出電子簽名

服務(wù)，按照如圖方式提供電子簽名，不屬于電子簽名的基本特性的是（）。

A、不可偽造性B、不可否認(rèn)性C、保證消息完整性D、機(jī)密性【正確答案】：D101.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要基礎(chǔ)，按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》【正確答案】：B解析：

風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。102.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來(lái)越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是：A、步驟1和步驟2發(fā)生錯(cuò)誤B、步驟3和步驟4發(fā)生錯(cuò)誤C、步驟5和步驟6發(fā)生錯(cuò)誤D、步驟5和步驟6發(fā)生錯(cuò)誤【正確答案】：B解析：

3和4是錯(cuò)誤的，應(yīng)該是3訪問(wèn)域B的AS（請(qǐng)求遠(yuǎn)程TGT），4是域B的AS返回客戶機(jī)(返回TGT)。103.選擇信息系統(tǒng)部署的場(chǎng)地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保

護(hù)很大程度上取決與場(chǎng)地的安全性，一個(gè)部署在高風(fēng)險(xiǎn)場(chǎng)所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性

的。為了保護(hù)環(huán)境安全，在下列選項(xiàng)中，公司在選址時(shí)最不應(yīng)該選址的場(chǎng)地是().A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D104.在入侵檢測(cè)（IDS）的運(yùn)行中，最常見(jiàn)的問(wèn)題是：（）A、誤報(bào)檢測(cè)B、接收陷阱消息C、誤拒絕率D、拒絕服務(wù)攻擊【正確答案】：A105.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

L2F、PPTP、L2TP均為二層隧道協(xié)議。106.風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，其中，明確評(píng)估的目的、

職責(zé)、過(guò)程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)的文檔

是（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《風(fēng)險(xiǎn)評(píng)估程序》C、《資產(chǎn)識(shí)別清單》D、《風(fēng)險(xiǎn)評(píng)估報(bào)告》【正確答案】：A107.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。108.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述的錯(cuò)誤是A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理評(píng)審會(huì)議形式進(jìn)行C、內(nèi)部審核實(shí)施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用，但在管理評(píng)審總，這些文件時(shí)被審對(duì)象【正確答案】：C解析：

管理評(píng)審的實(shí)施主體由用戶的管理者來(lái)進(jìn)行選擇。109.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開(kāi)發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開(kāi)發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)（）A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)B、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C、針對(duì)SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)【正確答案】：D解析：

D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。110.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理，

實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門(mén)的聯(lián)系.C、與特定利益集團(tuán)的聯(lián)系，信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題【正確答案】：D111.某移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是：A、所選擇的特征（指紋）便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的C、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題D、此類(lèi)系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】：C解析：

指紋識(shí)別系統(tǒng)存在安全威脅問(wèn)題，同時(shí)存在著錯(cuò)誤拒絕率和錯(cuò)誤接受率的問(wèn)題。112.數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是：A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息C、粒度最小的策略，將數(shù)據(jù)庫(kù)中數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分【正確答案】：B解析：

數(shù)據(jù)庫(kù)安全策略應(yīng)為最小共享。113.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說(shuō)法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文

檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文件的執(zhí)行和記錄，對(duì)這些記錄不需要保護(hù)和控制C、組織每份文件的首頁(yè)，加上文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期、編寫(xiě)人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果建立【正確答案】：B解析：

信息安全管理體系運(yùn)行記錄需要保護(hù)和控制。114.關(guān)于我國(guó)信息安全保障的基本原則，下列說(shuō)法中不正確的是：A、要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用。【正確答案】：A解析：

我國(guó)信息安全保障首先要遵循國(guó)家標(biāo)準(zhǔn)。115.小張是信息安全風(fēng)險(xiǎn)管理方面的專(zhuān)家，被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬(wàn)，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請(qǐng)問(wèn)小張最后得到的年度預(yù)期損失為多少：A、24萬(wàn)B、0．09萬(wàn)C、37．5萬(wàn)D、9萬(wàn)【正確答案】：D解析：

計(jì)算公式為100萬(wàn)*24%*（3/8）=9萬(wàn)116.某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過(guò)程中被攻

擊者通過(guò)FTP對(duì)OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專(zhuān)家提出使用Http下載代替FTP功能以解決以上問(wèn)題，

該安全問(wèn)題的產(chǎn)生主要是在哪個(gè)階段產(chǎn)生的()A、程序員在進(jìn)行安全需求分析時(shí)，沒(méi)有分析出OA系統(tǒng)開(kāi)發(fā)的安全需求B、程序員在軟件設(shè)計(jì)時(shí)，沒(méi)遵循降低攻擊面的原則，設(shè)計(jì)了不安全的功能C、程序員在軟件編碼時(shí)，缺乏足夠的經(jīng)驗(yàn)，編寫(xiě)了不安全的代碼D、程序員在進(jìn)行軟件測(cè)試時(shí)，沒(méi)有針對(duì)軟件安全需求進(jìn)行安全測(cè)試【正確答案】：B117.以下哪個(gè)屬性不會(huì)出現(xiàn)在防火墻的訪問(wèn)控制策略配置中？A、本局域網(wǎng)內(nèi)地址B、百度服務(wù)器地址C、HTTP協(xié)議D、病毒類(lèi)型【正確答案】：D解析：

病毒類(lèi)型不會(huì)出現(xiàn)在防火墻的訪問(wèn)控制策略中，病毒類(lèi)型出現(xiàn)在反病毒網(wǎng)關(guān)中。118.關(guān)于信息安全管理體系，國(guó)際上有標(biāo)準(zhǔn)（ISO/IEC27001:2013）而我國(guó)發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是：A、IDT(等同采用)，此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改B、EQV(等效采用)，此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)際標(biāo)準(zhǔn)C、NEQ（非等效采用），此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)際標(biāo)準(zhǔn)D、沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較【正確答案】：D解析：

ISO/IEC27001:2013和GB/T22080-2008是兩個(gè)不同的版本。119.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，

對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C解析：

統(tǒng)一采用Windows8系統(tǒng)對(duì)軟件安全無(wú)幫助。120.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問(wèn)控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠

錄入學(xué)生的考試成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門(mén)的管理人員能夠?qū)φn程信息、學(xué)生的選課

信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對(duì)訪問(wèn)控制的作用的理解錯(cuò)誤的是：A、對(duì)經(jīng)過(guò)身份鑒別后的合法用戶提供所有服務(wù)B、拒絕非法用戶的非授權(quán)訪問(wèn)請(qǐng)求C、在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)進(jìn)行管理D、防止對(duì)信息的非授權(quán)篡改和濫用【正確答案】：A121.下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法，哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法（）。A、基于知識(shí)的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D122.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問(wèn)，就可以無(wú)需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問(wèn)題的說(shuō)法正確的是:A、網(wǎng)站問(wèn)題是由于開(kāi)發(fā)人員不熟悉安全編碼，編寫(xiě)了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問(wèn)題B、網(wǎng)站問(wèn)題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題C、網(wǎng)站問(wèn)題是由于使用便利性提高，帶來(lái)網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問(wèn)題D、網(wǎng)站問(wèn)題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題【正確答案】：D解析：

設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，導(dǎo)致大量用戶賬號(hào)被盜用。則答案為D。123.賬號(hào)鎖定策略中對(duì)超過(guò)一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號(hào)鎖定是為了解決暴力破解攻擊的。124.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專(zhuān)家，請(qǐng)指出是哪一個(gè)?A、軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫(kù)數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫(kù)備份操作員賬號(hào)連接數(shù)據(jù)庫(kù)C、軟件的日志模塊由于要向數(shù)據(jù)庫(kù)中的日志表中寫(xiě)入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫(kù)，該賬號(hào)僅對(duì)日志表?yè)碛袡?quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤【正確答案】：D解析：

SYSTEM權(quán)限是最大權(quán)限，答案為D。125.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力【正確答案】：C解析：

安全措施投入應(yīng)越早則成本越低，C答案則成本會(huì)上升。126.以下哪個(gè)現(xiàn)象較好的印證了信息安全特征中的動(dòng)態(tài)性()A、經(jīng)過(guò)數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺(tái)各種電子設(shè)備B、剛剛經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估并針對(duì)風(fēng)險(xiǎn)采取處理措施后，僅一周新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風(fēng)險(xiǎn)C、某公司的信息系統(tǒng)面臨了來(lái)自美國(guó)的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍產(chǎn)生了泄露【正確答案】：B127.下列關(guān)于信息系統(tǒng)生命周期中安全需求說(shuō)法不準(zhǔn)確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評(píng)估準(zhǔn)則D、對(duì)系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證【正確答案】：C解析：

C屬于風(fēng)險(xiǎn)評(píng)估階段的準(zhǔn)備階段，不屬于題干中的安全需求階段。128.訪問(wèn)控制是對(duì)用戶或用戶訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）ACL只能由