NISP(CISP)復(fù)習(xí)測試卷（一）

第頁NISP(CISP)復(fù)習(xí)測試卷1.小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點中錯誤的是哪項：A、風(fēng)險評估方法包括：定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B、定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實現(xiàn)對風(fēng)險各要素的度量數(shù)值化【正確答案】：B解析：

定性分析不能靠直覺、不能隨意。2.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則（）A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B解析：

災(zāi)備工作原則包括統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合。3.以下對Windows賬號的描述，正確的是：A、Windows系統(tǒng)是采用SID（安全標(biāo)識符）來標(biāo)識用戶對文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C、Windows系統(tǒng)默認(rèn)會生成administrator和guest兩個賬號，兩個賬號都不允許改名和刪除D、Windows系統(tǒng)默認(rèn)生成administrator和guest兩個賬號，兩個賬號都可以改名和刪除【正確答案】：A4.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是：A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有【正確答案】：D解析：

電子簽名不可以與認(rèn)證服務(wù)提供者共有。5.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實踐D、BP不是過程區(qū)域（ProcessAreas，PA)的強(qiáng)制項【正確答案】：A解析：

BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的；代表著信息安全工程領(lǐng)域的最佳實踐；并且是過程區(qū)域（ProcessAreas，PA)的強(qiáng)制項。6.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進(jìn)行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號鎖定是為了解決暴力破解攻擊的。7.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是（）。A、信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施。即包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對措施B、應(yīng)急響應(yīng)工作有其鮮明的特點：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)生時的正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性【正確答案】：C解析：

應(yīng)急響應(yīng)是安全事件發(fā)生前的充分準(zhǔn)備和事件發(fā)生后的響應(yīng)處理，準(zhǔn)備、檢測、遏制、根除、恢復(fù)、總結(jié)。8.設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙【正確答案】：C9.某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過程中被攻

擊者通過FTP對OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問題，

該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的()A、程序員在進(jìn)行安全需求分析時，沒有分析出OA系統(tǒng)開發(fā)的安全需求B、程序員在軟件設(shè)計時，沒遵循降低攻擊面的原則，設(shè)計了不安全的功能C、程序員在軟件編碼時，缺乏足夠的經(jīng)驗，編寫了不安全的代碼D、程序員在進(jìn)行軟件測試時，沒有針對軟件安全需求進(jìn)行安全測試【正確答案】：B10.組織建立業(yè)務(wù)連續(xù)性計劃（BCP)的作用包括：A、在遭遇災(zāi)難事件時，能夠最大限度地保護(hù)組織數(shù)據(jù)的實時性，完整性和一致性；B、提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或災(zāi)難情況時，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；D、以上都是?！菊_答案】：D解析：

正確答案為D。11.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A、在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B、在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C、確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、軟件上線前對軟件全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行【正確答案】：D解析：

軟件的安全測試根據(jù)實際情況進(jìn)行測試措施的選擇和組合。12.以下屬于哪一種認(rèn)證實現(xiàn)方式：用戶登錄時，認(rèn)證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。A、口令序列B、時間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。13.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是()ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯誤的ARP應(yīng)答報文。使得受害者主機(jī)將錯誤的硬件地址映

射關(guān)系存到ARP緩存中，從而起到冒充主機(jī)的目的B、單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊C、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的APP緩存，如果發(fā)生硬件地址的更改，則需要人工更新

緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機(jī)進(jìn)行連接【正確答案】：D14.關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是：A、資產(chǎn)識別是指對需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需求保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D解析：

安全措施既包括技術(shù)層面，也包括管理層面。15.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：

賬戶鎖定閥值3次無效登陸；

復(fù)位賬戶鎖定計數(shù)器5分鐘；

賬戶鎖定時間10分鐘；

以下關(guān)于以上策略設(shè)置后的說法哪個是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯的密碼的擁護(hù)就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護(hù)帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響【正確答案】：B解析：

答案為B，全部解釋為5分鐘計數(shù)器時間內(nèi)錯誤3次則鎖定10分鐘。16.關(guān)于信息安全管理，說法錯誤的是：A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機(jī)制等多方面非技術(shù)性的努力。C、實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程?！菊_答案】：D解析：

信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個動態(tài)過程。17.IPv4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠

IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開

始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保

護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。下列選

項中說法錯誤的是（）A、對于IPv4,IPSec是可選的，對于IPv6，IPSec是強(qiáng)制實施的。B、IPSec協(xié)議提供對IP及其上層協(xié)議的保護(hù)。C、IPSec是一個單獨的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制?！菊_答案】：C18.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos描述正確的是：A、該協(xié)議使用非對稱密鑰加密機(jī)制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時鐘基本同步的環(huán)境【正確答案】：C解析：

A錯誤，因為使用對稱密碼；B錯誤，因為密鑰分發(fā)中心不包括客戶機(jī)；D錯誤，因為協(xié)議需要時鐘同步。三個步驟：1）身份認(rèn)證后獲得票據(jù)許可票據(jù)；2）獲得服務(wù)許可票據(jù)；3）獲得服務(wù)。19.下面哪個模型和軟件安全開發(fā)無關(guān)（）？A、微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護(hù)的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D解析：

D與軟件安全開發(fā)無關(guān)，ABC均是軟件安全開發(fā)模型。20.小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機(jī)房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機(jī)房的總價值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計算的年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)該是()。A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣【正確答案】：A解析：

計算方法為200萬*25%*0.1=5萬。21.以下關(guān)于可信計算說法錯誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機(jī)安全評價標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計算機(jī)和可信計算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法【正確答案】：D解析：

可信計算平臺出現(xiàn)后不會取代傳統(tǒng)的安全防護(hù)體系和方法。22.關(guān)于補(bǔ)丁安裝時應(yīng)注意的問題，以下說法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測試，因為補(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響【正確答案】：C23.在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志【正確答案】：B24.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險評估準(zhǔn)則D、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進(jìn)行充分分析和論證【正確答案】：C解析：

C屬于風(fēng)險評估階段的準(zhǔn)備階段，不屬于題干中的安全需求階段。25.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進(jìn)計劃等文件C、各國普遍加強(qiáng)國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評【正確答案】：C26.從SABSA的發(fā)展過程，可以看出整個SABSA在安全架構(gòu)中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的（），其次是（），它包含了建筑設(shè)計中的（）、物理設(shè)計、組件

設(shè)計和服務(wù)管理設(shè)計，再者就是（），緊隨其后的則是（）A、設(shè)計；戰(zhàn)略與規(guī)劃；邏輯設(shè)計；實施；管理與衡量B、戰(zhàn)略與規(guī)劃；邏輯設(shè)計；設(shè)計；實施；管理與衡量C、戰(zhàn)略與規(guī)劃；實施；設(shè)計；邏輯設(shè)計；管理與衡量D、戰(zhàn)略與規(guī)劃；設(shè)計；邏輯設(shè)計；實施；管理與衡量【正確答案】：D27.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（）

A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：B28.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強(qiáng)防范措施、格式化被感染而已程序的介質(zhì)等，請問，按照應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段（）A、準(zhǔn)備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D解析：

消除或阻斷攻擊源等措施為根除階段。29.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是：A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人獨有的，指紋識別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統(tǒng)存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。30.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個組件，以下說法錯誤的是（）A、EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）【正確答案】：C解析：

答案為C，F(xiàn)AT32不支持EFS加密。31.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的：A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B、Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨立運(yùn)行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會話過程中不傳輸用戶名和密碼，因此具有較高的【正確答案】：A解析：

HTTPS具有數(shù)據(jù)加密機(jī)制。32.Windows系統(tǒng)下，可通過運(yùn)行_______命令打開Windows管理控制臺。A、regeditB、cmdC、mmcD、mfc【正確答案】：C33.組織內(nèi)人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有

員工都可以登錄系統(tǒng)完成相關(guān)需要員工配合的工作，以下哪項技術(shù)可以保證數(shù)據(jù)的保密性：A、SSL加密B、雙因子認(rèn)證C、加密會話cookieD、IP地址校驗【正確答案】：A34.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，那一項不是體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？A、結(jié)構(gòu)開放性，即功能和保證要求可以“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中【正確答案】：C解析：

ITSEC最早強(qiáng)調(diào)功能和保證的分離，不是CC的先進(jìn)性。35.社會工程學(xué)本質(zhì)上是一種（），（）通過種種方式來引導(dǎo)受攻擊者的（）向攻擊者期望的方向發(fā)展。羅

伯特·B·西奧迪尼（RobertBCialdini）在科學(xué)美國人（2001年2月）雜志中總結(jié)對（）的研究，介紹了

6種“人類天性基本傾向”，這些基本傾向都是（）工程師在攻擊中所依賴的（有意思或者無意識的）。A、攻擊者；心理操縱；思維；心理操縱；社會工程學(xué)B、攻擊者；心理操縱；心理操縱；社會工程學(xué)C、心理操縱；攻擊者；思維；心理操縱；社會工程學(xué)D、心理操縱；思維；心理操縱；攻擊者；社會工程學(xué)【正確答案】：C36.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個臨時的，安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是（）A、Special-purpose.特定、專用用途的B、Proprietary專有的、專賣的C、Private私有的、專有的D、Specific特種的、具體的【正確答案】：C解析：

C為正確答案。37.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：A、GP是涉及過程的管理、測量和制度化方面的活動B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動C、在工程實施時，GP應(yīng)該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力【正確答案】：B解析：

GP適用于域維中所有PA活動。38.WindowsNT提供的分布式安全環(huán)境又被稱為:A、域（Domain）B、工作組C、對等網(wǎng)D、安全網(wǎng)【正確答案】：A39.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時，下面哪項措施不屬于安全配置()?A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號來運(yùn)行D、積極了解Apache的安全通告，并及時下載和更新【正確答案】：A解析：

A不屬于安全配置，而屬于部署環(huán)境選擇。40.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實現(xiàn)訪問控制功能。以下選項中，對windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）ACL只能由管理員進(jìn)行管理B、ACL是對象安全描述的基本組成部分，它包括有權(quán)訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實現(xiàn)基于角色的訪問控制【正確答案】：A41.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項內(nèi)容不在考慮范圍內(nèi)（）A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓(xùn)B、針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn)C、針對SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn)【正確答案】：D解析：

D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。42.以下對異地備份中心的理解最準(zhǔn)確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險的機(jī)率很小【正確答案】：D解析：

答案為D，備份中心的綜合風(fēng)險小于主中心。43.模糊測試也稱Fuzz測試，是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法。下面描述正確的是（）A、模糊測試本質(zhì)上屬于黑盒測試B、模糊測試本質(zhì)上屬于白盒測試C、模糊測試有時屬于黑盒測試，有時屬于白盒測試，取決于其使用的測試方法D、模糊測試既不屬于黑盒測試，也不屬于白盒測試【正確答案】：A解析：

拿分選A，知識點是C。44.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A、要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D、在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。【正確答案】：A解析：

我國信息安全保障首先要遵循國家標(biāo)準(zhǔn)。45.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響事件B、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)，這就使得信息安全事件的發(fā)生是不可能的C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點：具有高技術(shù)復(fù)雜性志專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)。46.實體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高，常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖，小王作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這說法屬于下列選項中的()

A、實體所知的鑒別方法B、實體所有的鑒別方法C、實體特征的鑒別方法D、實體所見的鑒別方法【正確答案】：C47.下列關(guān)于面向?qū)ο鬁y試問題的說法中，不正確的是（）A、在面向?qū)ο筌浖y試時，設(shè)計每個類的測試用例時，不僅僅要考慮用各個成員方法的輸入?yún)?shù)，還需要考

慮如何設(shè)計調(diào)用的序列B、構(gòu)造抽象類的驅(qū)動程序會比構(gòu)造其他類的驅(qū)動程序復(fù)雜C、類B繼承自類

A，如對B進(jìn)行了嚴(yán)格的測試，就意味著不需再對類A進(jìn)行測試D、在存在多態(tài)的情況下，為了達(dá)到較高的測試充分性，應(yīng)對所有可能的綁定都進(jìn)行測試【正確答案】：C48.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題【正確答案】：D解析：

設(shè)計時提供了用戶快捷登錄功能，導(dǎo)致大量用戶賬號被盜用。則答案為D。49.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點項目。總體目標(biāo)就是用于交換式千兆以太網(wǎng)為主干，超五類雙絞線作水平布線，由大型交換機(jī)和路由器連通幾個主要的工作區(qū)域，在各區(qū)域建立一個閉路電視監(jiān)控系統(tǒng)，再把信號通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心，其中對交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一個不可缺少的步驟，下面對于交換機(jī)和路由器的安全配置，操作錯誤的是()A、保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁B、控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口C、帶外管理交換機(jī)，如果不能實現(xiàn)的話，可以利用單獨的VLAN號進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)【正確答案】：A解析：

交換機(jī)和路由器的管理包括了版本更新，也包括了補(bǔ)丁管理。50.假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A、是多余的，因為它們完成了同樣的功能，但要求更多的開銷B、是必須的，可以為預(yù)防控制的功效提供檢測C、是可選的，可以實現(xiàn)深度防御D、在一個人工系統(tǒng)中是需要的，但在一個計算機(jī)系統(tǒng)中則是不需要的，因為預(yù)防控制功能已經(jīng)足夠【正確答案】：C解析：

略51.以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題?A、大整數(shù)分解B、離散對數(shù)問題C、背包問題D、偽隨機(jī)數(shù)發(fā)生器【正確答案】：D52.系統(tǒng)安全工程能力成熟度模型評估方法（SSAM,SSE-CMMAppraisalMethod）是專門基于SSE-CMM的評

估方法。它包含對系統(tǒng)安全工程-能力成熟度模型中定義的組織的（）流程能力和成熟度進(jìn)行評估所需的（）。

SSAM評估過程分為四個階段，（）、（）、（）、（）。A、信息和方向；系統(tǒng)安全工程；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告B、信息和方向；系統(tǒng)工程；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告C、系統(tǒng)安全工程；信息；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告D、系統(tǒng)安全工程；信息和方向；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告【正確答案】：D53.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后，認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行，比起簡單地實施信息安全管

理，有更大的作用，他總結(jié)了四個方面的作用，其中總結(jié)錯誤的是（）A、可以建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強(qiáng)化員工的信息安全意識，建立良好的安全作業(yè)習(xí)慣，培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護(hù)效果，使組織通過國際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證【正確答案】：D54.一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實施訪問控制。例如，在一個學(xué)校的教務(wù)系統(tǒng)中，教師能夠

錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課

信息等內(nèi)容進(jìn)行修改。下列選項中，對訪問控制的作用的理解錯誤的是：A、對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B、拒絕非法用戶的非授權(quán)訪問請求C、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理D、防止對信息的非授權(quán)篡改和濫用【正確答案】：A55.關(guān)于信息安全保障技術(shù)框架(IATF)，以下說法不正確的是：A、分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本B、IATF從人、技術(shù)和操作三個層面提供一個框架實施多層保護(hù)，使攻擊者即使攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施C、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)各個可能位置實現(xiàn)所有信息安全保障機(jī)制【正確答案】：D解析：

IATF是在網(wǎng)絡(luò)的各位置實現(xiàn)所需的安全機(jī)制。56.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全工作的主要原則？A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D、《關(guān)于開展信息安全風(fēng)險評估工作的意見》【正確答案】：C解析：

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦2003年27號文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅持技管并重等。57.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是（）A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點【正確答案】：B58.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機(jī)，按照密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于（）A、古典密碼階段。這一階段的密碼專家常常靠直覺和技術(shù)來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運(yùn)算方法包括替代方法和轉(zhuǎn)換方法（）B、近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎(chǔ)，開始對密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷【正確答案】：B解析：

根據(jù)密碼學(xué)發(fā)展階段的知識點，Engmia密碼機(jī)屬于近代密碼學(xué)發(fā)展階段的產(chǎn)物。59.風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟，小李將風(fēng)險要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個最合適的選項()。

A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性【正確答案】：B60.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證【正確答案】：C61.不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是（）。A、定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和缺失量B、定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)用定性風(fēng)險分析C、定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進(jìn)行，所以分析結(jié)果和風(fēng)險評估團(tuán)隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性【正確答案】：B解析：

實際工作中根據(jù)情況選擇定量、定性或定量與定性相結(jié)合。62.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機(jī)資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是A、在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

實施誤用入侵檢測（或特征檢測），是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生。63.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為（）A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

答案為A。64.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)

C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D、將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能【正確答案】：B解析：

操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。65.以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動C、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系【正確答案】：C解析：

信息安全問題是多方面存在的，不能認(rèn)為主要為技術(shù)問題，同時技術(shù)漏洞不是犯罪的根源所在。66.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。67.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁B、對存儲的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好【正確答案】：D解析：

D屬于運(yùn)行安全操作，不屬于安全防護(hù)策略。68.白盒測試的具體優(yōu)點是：A、其檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行B、在不知程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C、其確定程序準(zhǔn)確性成某程序的特定邏輯路徑的狀態(tài)D、其通過嚴(yán)格限制訪問主機(jī)系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對程序功能的檢查【正確答案】：C69.信息安全事件和分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)自信安全事件分類分級指南》，信息安全事件分為7個基本類別，描述正確的是（）A、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件B、網(wǎng)絡(luò)貢獻(xiàn)事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全

事件C、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件D、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件【正確答案】：A解析：

根據(jù)標(biāo)準(zhǔn)知識點，安全事件分為：有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件。70.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)急突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面。D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B解析：

應(yīng)急響應(yīng)包括六個階段，為準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)。71.關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（）A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件，標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B、國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)。C、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制度，冰報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管培訓(xùn)部門備案，在公布國家標(biāo)準(zhǔn)后，該地方標(biāo)準(zhǔn)即應(yīng)廢止?！菊_答案】：B解析：

當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。72.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）

A、培訓(xùn)階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D73.在Windows系統(tǒng)中，管理權(quán)限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B74.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。75.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

答案為C。76.對惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯誤的是：A、在使用來自外部的移動介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序【正確答案】：C解析：

C是錯誤的，應(yīng)該是最小化端口和服務(wù)。77.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機(jī)制，以下哪個說法是錯誤的：A、安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性，在實際使用中可以為每一個文件設(shè)定獨立擁護(hù)的權(quán)限【正確答案】：C解析：

Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是客體關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在客體文件和文件夾屬性數(shù)據(jù)庫中。78.信息安全應(yīng)急響應(yīng)，是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性

措施，也包括事件發(fā)生后的應(yīng)對措施。應(yīng)急響應(yīng)方法和過程并不偶是唯一的，在下面的應(yīng)急響應(yīng)管理流程中，

空白方框處填寫正確的是選項是（）

A、培訓(xùn)階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D79.由于頻繁出現(xiàn)計算機(jī)運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，

對于解決問題沒有直接幫助的是（）A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。80.以下哪一項不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項重點工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】：A解析：

提高信息技術(shù)產(chǎn)品的國產(chǎn)化率不屬于九項重點工作內(nèi)容之一。81.Kerberos協(xié)議是一種集中訪問控制協(xié)議，他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點登錄服務(wù)。單點登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不在需要其他的認(rèn)證過程，實質(zhì)是消息M在多個應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰【正確答案】：A解析：

安全憑證指的是服務(wù)許可票據(jù)。82.下面有關(guān)軟件安全問題的描述中，哪項是由于軟件設(shè)計缺陷引起的（）A、設(shè)計了三層Ｗｅｂ架構(gòu)，但是軟件存在ＳＱＬ注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C解析：

答案為C。83.分布式拒絕服務(wù)（DistributedDenialofService,DDos）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計

算機(jī)聯(lián)合起來作為攻擊平臺。對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。一般

來說，DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（）A、保密性B、完整性C、可用性D、真實性【正確答案】：C84.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯誤的是：A、系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實現(xiàn)，而是一種方法論C、系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實驗、使用的科學(xué)方法【正確答案】：C解析：

系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法85.以下關(guān)于代替密碼的說法正確的是：A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個bit異或D、明文根據(jù)密鑰作移位【正確答案】：A86.在以下標(biāo)準(zhǔn)中，屬于推薦性國家標(biāo)準(zhǔn)的是？A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正確答案】：A解析：

A為國標(biāo)推薦標(biāo)準(zhǔn)；B為國標(biāo)強(qiáng)制標(biāo)準(zhǔn)；C為地方標(biāo)準(zhǔn)；D為國標(biāo)指導(dǎo)標(biāo)準(zhǔn)。87.某單位計劃在今年開發(fā)一套辦公自動化（ＯA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在ＯA系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請指出大家提的建議中不太合適的一條：A、對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Ｊａｖａ而不是AＳＰ作為開發(fā)語言，避免ＳＱＬ注入漏洞D、要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進(jìn)行校驗【正確答案】：C解析：

SQL注入與編碼SQL語法應(yīng)用和過濾有關(guān)，與開發(fā)語言不是必然關(guān)系。88.系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險的基本過程領(lǐng)域是：A、風(fēng)險過程B、工程過程C、保證過程D、評估過程【正確答案】：A解析：

風(fēng)險過程包括評估影響、評估威脅、評估脆弱性和評估安全風(fēng)險。89.GaryMcGraw博士及其合作者提出軟件安全BSI模型應(yīng)由三根支柱來支撐，這三個支柱是（）。A、源代碼審核、風(fēng)險分析和滲透測試B、風(fēng)險管理、安全接觸點和安全知識C、威脅建模、滲透測試和軟件安全接觸點D、威脅建模、源代碼審核和模糊測試【正確答案】：B解析：

BSI的模型包括風(fēng)險管理、安全接觸點和安全知識。90.社會工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因為它不能總是重復(fù)合成功，并且

在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時間流逝最終都會失

效，因為系統(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會工程學(xué)利用的是人性的“弱

點”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）。A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的【正確答案】：A91.在某信息系統(tǒng)的設(shè)計中，用戶登陸過程是這樣的：（1）用戶通過HTTP協(xié)議訪問信息系統(tǒng)；（2）用戶在登陸頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成?？梢钥闯?，這個鑒別過程屬于（）。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A92.以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

L2F、PPTP、L2TP均為二層隧道協(xié)議。93.下面對“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）A、指一個特定的漏洞，該漏洞每年１月１日零點發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

D是零日漏洞的解釋。94.以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施？A、人民解放軍戰(zhàn)略支援部隊B、中國移動吉林公司C、重慶市公安局消防總隊D、上海市衛(wèi)生與計劃生育委員會【正確答案】：D95.hash算法的碰撞是指:A、兩個不同的消息，得到相同的消息摘要B、兩個相同的消息，得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長【正確答案】：A96.以下哪一項不是我國信息安全保障的原則：A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強(qiáng)化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅持以技術(shù)和管理并重。97.在某網(wǎng)絡(luò)機(jī)房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A、審核實施投資計劃B、審核實施進(jìn)度計劃C、審核工程實施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項目招標(biāo)開始到項目的驗收結(jié)束，在投資計劃階段沒有監(jiān)理。98.下列選項中對信息系統(tǒng)審計概念的描述中不正確的是（）A、信息系統(tǒng)審計，也可稱作IT審計或信息系統(tǒng)控制審計B、信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程，審計對象是信息系統(tǒng)相關(guān)控制，審計目標(biāo)則是判斷信息系統(tǒng)

是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實性、完整性等相關(guān)屬性C、信息系統(tǒng)審計師單一的概念，是對會計信息系統(tǒng)的安全性、有效性進(jìn)行檢查D、從信息系統(tǒng)審計內(nèi)容上看，可以將信息系統(tǒng)審計分為不同專項審計，例如安全審計、項目合規(guī)審計、績效

審計等【正確答案】：C99.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度？A、64bitB、128bitC、192bitD、256bit【正確答案】：A100.以下哪一項不是常見威脅對應(yīng)的消減措施：A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C解析：

消息驗證碼不能防止抵賴，而是提供消息鑒別、完整性校驗和抗重放攻擊。101.對信息安全風(fēng)險評估要素理解正確的是：A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯誤，應(yīng)該是抽樣評估；C錯誤，應(yīng)該其描述的是差距分析；D錯誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。102.信息發(fā)送者使用__________進(jìn)行數(shù)字簽名。A、己方的私鑰B、己方的公鑰C、對方的私鑰D、對方的公鑰【正確答案】：A103.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進(jìn)，以及深化落實三個階段，以下關(guān)于我國信息安全保障各階段說法不正確的是：A、2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B、2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C、2003年中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實階段

D.在深化落實階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級保護(hù)和風(fēng)險評估取得了新進(jìn)展?！菊_答案】：C解析：

2006年進(jìn)入到深化落實階段。104.某單位在實施信息安全風(fēng)險評估后，形成了若干文擋，下面()中的文擋不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》。主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容【正確答案】：C解析：

《已有安全措施列表》屬于風(fēng)險要素識別識別，風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。105.目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評，關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是（）A、有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B、對用戶采購信息安全產(chǎn)品、設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)品發(fā)展創(chuàng)造一個良好的競爭環(huán)境【正確答案】：D解析：

題干中信息安全產(chǎn)品測評的主要目的是安全作用，不是經(jīng)濟(jì)作用。106.風(fēng)險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用愿理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是：A、風(fēng)險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C、風(fēng)險評估輔助工具D、環(huán)境風(fēng)險評估工具【正確答案】：D解析：

通常情況下信息安全風(fēng)險評估工具不包括經(jīng)驗工具，環(huán)境評估工具。107.Alice有一個消息M通過密鑰K2生成一個密文E（K2，M）然后用K1生成一個MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個過程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】：D解析：

實現(xiàn)的安全服務(wù)包括保密性、完整性、身份鑒別、抗重放攻擊。108.PDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個字母，下面理解錯誤的是（）A、P是Plan，指分析問題、發(fā)現(xiàn)問題、確定方針、目標(biāo)和活動計劃B、D是Do，指實施、具體運(yùn)作，實現(xiàn)計劃中的內(nèi)容C是Check，指檢查、總結(jié)執(zhí)行計劃的結(jié)果，明確效果，找出問題D、A是Aim，指瞄準(zhǔn)問題，抓住安全事件的核心，確定責(zé)任【正確答案】：D109.為推動和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類。下面四個標(biāo)準(zhǔn)中，（）規(guī)定了等級保護(hù)定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)容。A、GB／T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB／T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》C、GB／T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》D、GB／T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B解析：

答案為B。110.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯誤的是：A、立足國情，以我為主，堅持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全【正確答案】：D解析：

D描述的是信息安全保障工作目標(biāo)；ABC描述的是信息安全保障的原則。111.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、政黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行（）攻擊。A、默認(rèn)口令B、字典C、暴力D、XSS【正確答案】：B112.根據(jù)信息安全風(fēng)險要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

風(fēng)險的原理是威脅利用脆弱性，造成對資產(chǎn)的風(fēng)險。113.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。私有地址，下面描述正確的是（）。A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C、A類、B類和C類地址中都可以設(shè)置私有地址D、A類、B類和C類地址中都沒有私有地址【正確答案】：C解析：

答案為C。114.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。【正確答案】：D解析：

D的正確描述是從內(nèi)而外，自上而下，從端到邊界的防護(hù)能力。115.信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評估，以下關(guān)于信息安全測評說法不正確的是：A、信息產(chǎn)品安全評估是測評機(jī)構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強(qiáng)用戶對已評估產(chǎn)品安全的信任B、目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型C、信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價。D、信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出游針對性的安全防護(hù)策略和整改措施【正確答案】：B解析：

測評包括產(chǎn)品測評、風(fēng)險評估、保障測評和等級保護(hù)測評。116.以下哪項是《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的總體方針和要求？A、堅持積極攻擊、綜合防范的方針B、全面提高信息安全防護(hù)能力C、重點保障電信基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全D、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)工業(yè)化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全【正確答案】：B117.小李去參加單位組織的信息安全培訓(xùn)后，他把自己對管理信息管理體系ISMS的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C118.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對可能發(fā)生的

重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動計劃或應(yīng)急對策。應(yīng)急預(yù)案的實施需要各子系統(tǒng)的相互配合

與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依次填入的是（）。

A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實施小組【正確答案】：A119.ISO9001-2000標(biāo)準(zhǔn)在制定、實施質(zhì)量管理體系以及改進(jìn)其有效性時采用過程方法，通過滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫（）

A、策略B、管理者C、組織D、活動【正確答案】：D120.AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ（簡稱Aｐａｃｈｅ）是一個開放源碼的ＷEB服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施（）A、安裝后，修改訪問控制配置文件B、安裝后，修改配置文件Httpd．Conf中的有關(guān)參數(shù)C、安裝后，刪除AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ源碼【正確答案】：B解析：

答案為B。121.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

答案為B。122.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。B、系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法。D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進(jìn)學(xué)科。【正確答案】：D解析：

SSE-CMM是面向工程過程質(zhì)量控制的一套方法,CC標(biāo)準(zhǔn)面向開發(fā)、評估、交付的標(biāo)準(zhǔn)。123.基于TCP的主機(jī)在進(jìn)行一次TCP連接時簡要進(jìn)行三次握手，請求通信的主機(jī)A要與另一臺主機(jī)B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機(jī)提出連接請示，B收到后，回復(fù)一個ACK/SYN確認(rèn)請示給A主機(jī)，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī)，使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機(jī)會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標(biāo)主機(jī)時，目標(biāo)主機(jī)上就會有大量的連接請示等待確認(rèn)，當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機(jī)的資源限制時。正常的連接請示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于（）A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊【正確答案】：A124.按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級、自主保護(hù)，按照要求向

公安機(jī)關(guān)備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于：A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：C125.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計時，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計是遵循了發(fā)下哪個原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A126.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對一個組織的安全工程能力成熟度進(jìn)行測量時，有關(guān)測量結(jié)果，錯誤的理解是：A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達(dá)到此級B、如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個公共特征，則此過程區(qū)域的能力成熟度級別達(dá)到3級“充分定義級”C、如果某個過程區(qū)域（ProcessAreas，PA)包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上解釋：SSE-CMM充分定義級包括三個特征，為“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”、“安全協(xié)調(diào)實施”。B答案中只描述了兩個公共特征?！菊_答案】：B127.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需

要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個控制目標(biāo)。信息分類控制的目標(biāo)

是為了確保信息受到適當(dāng)級別的保護(hù)，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類指南，信息的標(biāo)記和處理【正確答案】：D128.風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項說明錯誤的是：A、R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，V