CISP考試認(rèn)證(習(xí)題卷12)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷12)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：?jiǎn)雾?xiàng)選擇題，共94題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.C0BIT(信息和相關(guān)技術(shù)的控制目標(biāo))是國(guó)際專業(yè)協(xié)會(huì)ISACA為信息技術(shù)(IT)管理和IT治理創(chuàng)建的良好實(shí)踐框架。COBIT提供了一套可實(shí)施的?信息技術(shù)控制?,并圍繞IT相關(guān)流程和推動(dòng)因素的邏輯框架進(jìn)行組織COBIT模型如圖所示,按照流程,請(qǐng)問,COBIT組件包含()部分class="fr-ficfr-dibcursor-hover"A)流程描述、框架、控制目標(biāo)、管理指南、成熟度模型B)框架、流程描述、管理指南、控制目標(biāo)、成熟度模型C)框架、流程描述、控制目標(biāo)、管理指南、成熟度模型D)框架、管理指南、流程描述、控制目標(biāo)、成熟度糢型答案:C解析:[單選題]2.小王在某WEB軟件公司工作，她在工作中主要負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)（Internetinformationservices,iis)軟件進(jìn)行安全配置，這是屬于（）方面的安全工作A)WEB服務(wù)支撐軟件B)WEB應(yīng)用程序C)WEB瀏覽器D)通信協(xié)議答案:A解析:[單選題]3.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是：A)測(cè)量單位是基本實(shí)施（BasePractices，BP）B)測(cè)量單位是通用實(shí)施（GenericPractices，GP）C)測(cè)量單位是過程區(qū)域（ProcessAreas，PA）D)測(cè)量單位是公共特征（CommonFeatures，CF）答案:D解析:[單選題]4.33.某單位開發(fā)了個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)?A)滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)等運(yùn)行維護(hù)所產(chǎn)生的漏洞B)滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效更高C)滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確D)滲透測(cè)試必須查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多答案:A解析:[單選題]5.在風(fēng)險(xiǎn)分析中,以下哪種說法是正確的?A)定量影響分析的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B)定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C)定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D)定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量答案:D解析:[單選題]6.在邏輯訪問控制中如果用戶賬戶被共享,這種局面可能造成的最大風(fēng)險(xiǎn)是:A)非授權(quán)用戶可以使用ID擅自進(jìn)入、B)用戶訪問管理費(fèi)時(shí)、C)很容易猜測(cè)密碼、D)無法確定用戶責(zé)任答案:D解析:[單選題]7.美國(guó)計(jì)算機(jī)協(xié)會(huì)（ACM）宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffie和Wartfield，下面哪項(xiàng)工作是他們的貢獻(xiàn)。A)發(fā)明并第一個(gè)使用C語言B)第一個(gè)發(fā)表了對(duì)稱密碼算法思想C)第一個(gè)發(fā)表了非對(duì)稱密碼算法思想D)第一個(gè)研制出防火墻答案:C解析:[單選題]8.sql注入時(shí)，根據(jù)數(shù)據(jù)庫報(bào)錯(cuò)信息MicrosoftJETDatabase，通?？梢耘袛喑鰯?shù)據(jù)庫的類型：()。A)MicrosoftSQLserverB)MySQLC)OracleD)Access答案:D解析:[單選題]9.從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了對(duì)超級(jí)用戶的特權(quán)分割，打破了UNIX／LINUX操作系統(tǒng)中超級(jí)用戶／普通用戶的概念，提高了操作系統(tǒng)的安全性，下列選項(xiàng)中，對(duì)特權(quán)管理機(jī)制的理解錯(cuò)誤的是（）A)普通用戶及其shell沒有任何權(quán)能，而超級(jí)用戶及其shell在系統(tǒng)啟動(dòng)之初擁有全部權(quán)能B)系統(tǒng)管理員可以剝奪和恢復(fù)超級(jí)用戶的某些權(quán)能C)進(jìn)程可以放棄自己的某些權(quán)能D)當(dāng)普通用戶的某些操作設(shè)計(jì)特權(quán)操作時(shí)，仍然通過setuid實(shí)現(xiàn)答案:B解析:[單選題]10.某黑客通過分析和整理某報(bào)社記者小張的博客,找到一些有用的信息,通過偽裝的新聞線索,誘使其執(zhí)行木馬程序,從而控制了小張的電腦,并以她的電腦為攻擊的端口,使報(bào)社的局域網(wǎng)全部感染木馬病毒,為防范此類社會(huì)工程學(xué)攻擊,報(bào)社不需要做的是()A)加強(qiáng)信息安全意識(shí)培訓(xùn),提高安全防范能力,了解各種社會(huì)工程學(xué)攻擊方法,防止受到此類攻擊B)建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施,當(dāng)員工受到社會(huì)工程學(xué)的攻擊,應(yīng)當(dāng)及時(shí)報(bào)告C)教育員工注重個(gè)人隱私保護(hù)D)減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量,修改服務(wù)旗標(biāo)答案:D解析:D和社工無關(guān)。[單選題]11.在數(shù)據(jù)鏈路層中MAC子層主要實(shí)現(xiàn)的功能是A)介質(zhì)訪問控制B)物理地址識(shí)別C)通信協(xié)議產(chǎn)生D)數(shù)據(jù)編碼答案:A解析:[單選題]12.22.某集團(tuán)公司的計(jì)算機(jī)網(wǎng)絡(luò)中心內(nèi)具有公司最重要的設(shè)備和信息數(shù)據(jù)。網(wǎng)絡(luò)曾在一段時(shí)間內(nèi)依然遭受了幾次不小的破壞和干擾，雖然有防火墻，但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡(luò)安全公司為該集團(tuán)部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS），將IDS部署在防火墻后，以進(jìn)行二次防御。那么NIDS不會(huì)在（）區(qū)域部署。A)A．DMZB)內(nèi)網(wǎng)主干C)內(nèi)網(wǎng)關(guān)鍵子網(wǎng)D)外網(wǎng)入口答案:D解析:[單選題]13.以下哪一項(xiàng)對(duì)TEMPEST的解釋是最準(zhǔn)確的？A)電磁泄漏防護(hù)技術(shù)的總稱B)物理訪問控制系統(tǒng)的總稱C)一種生物識(shí)別技術(shù)D)供熱、通風(fēng)、空調(diào)和冰箱等環(huán)境支持系統(tǒng)的簡(jiǎn)稱答案:A解析:[單選題]14.447.對(duì)照ISO/OSI參考模型各個(gè)層中的網(wǎng)絡(luò)安全服務(wù)，在物理層可以采用哪種方式來加強(qiáng)通信線路的安全（）A)防竊聽技術(shù)B)防火墻技術(shù)C)防病毒技術(shù)D)NULL答案:A解析:[單選題]15.（）第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)），按照（）實(shí)行分級(jí)保護(hù)，（）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后方可投入使用A)《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B)《國(guó)家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C)《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D)《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格答案:A解析:[單選題]16.隨著社會(huì)對(duì)信息信賴程度的增長(zhǎng)，信息的保護(hù)變得起來越重要。維護(hù)和保護(hù)信息需要許多產(chǎn)品、系統(tǒng)和服務(wù)。信息安全工程采用工程的概念、原理、技術(shù)和方法。來研究、開發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過程。良好的安全工程要求將四個(gè)方面集中在起，如下圖所示。針對(duì)該圖，良好的安全工程，第一是策略，用于（），第二是機(jī)制，用于（）；第三是保證，也就是（）；最后是動(dòng)機(jī)，也就是（），也包括（）。A)指明假定要達(dá)到的目標(biāo)；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；每種特定機(jī)制的可靠程度；攻擊者為突破安全策略必須付出的努力B)指明假定要達(dá)到的目標(biāo)；每種特定機(jī)制的可靠程度；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的共他機(jī)械；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為實(shí)破安全策略必須付出的努力C)密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；指明假定要達(dá)到的目標(biāo)；每種特定機(jī)制的可靠程度；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為突破安全策略必須付出的努力D)指明假定要達(dá)到的目標(biāo)；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；每種特定機(jī)制的可靠程度；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為突破安全策略必須付出的努力答案:D解析:[單選題]17.主體S對(duì)客體01有讀(R)權(quán)限,對(duì)客體02有讀(R)、寫(W)、擁有(Own)權(quán)限,該訪問控制實(shí)現(xiàn)方法是:A)訪問控制表(ACL)B)訪問控制矩陣C)能力表(CL)D)前綴表(Profiles)答案:C解析:定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。[單選題]18.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中,有關(guān)保護(hù)輪廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST),錯(cuò)誤的是:A)PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B)PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C)兩份不同的ST不可能滿足同一份PP的要求D)ST與具體的實(shí)現(xiàn)有關(guān)答案:C解析:[單選題]19.下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題()A)軟件部署時(shí)所需選用服務(wù)性能不高,導(dǎo)致軟件執(zhí)行效率低。B)應(yīng)用軟件來考慮多線程技術(shù),在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)C)應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D)軟件受許可證(license)限制,不能在多臺(tái)電腦上安裝。答案:C解析:ABD與安全無關(guān)。[單選題]20.以下標(biāo)準(zhǔn)內(nèi)容為?信息安全管理體系要求?的是哪個(gè)?A)ISO27000B)ISO27001C)ISO27002D)ISO27003答案:B解析:[單選題]21.kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三的認(rèn)證服務(wù),減輕應(yīng)用Kerberos的運(yùn)行環(huán)境由秘鑰分發(fā)中心(KDC)、應(yīng)用服務(wù)器和客戶端三個(gè)部分組成,認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器A)1--2--3B)3--2--1C)2--1--3D)3--1--2答案:D解析:[單選題]22.68.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯(cuò)誤的是（）A)IATF最初由美國(guó)國(guó)家安全局（NSA）發(fā)布，后來由國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，供各個(gè)國(guó)家信息系統(tǒng)建設(shè)參考使用B)IATF是一個(gè)通用框架，可以用到多種應(yīng)用場(chǎng)景中，通過對(duì)復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C)IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D)強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題答案:A解析:[單選題]23.傳輸路線是信息發(fā)送設(shè)備和接受設(shè)備之間的物理通路，針對(duì)傳輸路線的攻擊是攻擊者常用的方式，不同傳輸介質(zhì)具有不同的安全特性。同軸電纜，雙絞線和光纖是廣泛使用的有線傳輸介質(zhì)。下面描述正確的是（）A)同軸電纜顯著的特征是頻帶交款，其中高端的頻帶最大可達(dá)到100GHzB)在雙絞線外包裹一層金屬屏蔽層，可解決抗干擾能力差的問題C)由于光在塑料的保護(hù)套中傳輸損耗非常低，因此光纖可用于長(zhǎng)距離的信息傳遞D)光纖通信傳輸具有高寬帶、信號(hào)衰減小、五電磁干擾、不易被竊聽、成本低廉等特點(diǎn)答案:B解析:[單選題]24.口令破解的最好方法是A)暴力破解B)組合破解C)字典攻擊D)生日攻擊答案:B解析:[單選題]25.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表(AccessControlList.ACL)機(jī)制,以下哪個(gè)說法是錯(cuò)誤的:A)安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B)由于Windows操作系統(tǒng)自身有大量文件和目錄,因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限,為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C)Windows的ACL機(jī)制中,文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D)由于ACL具有很好靈活性,在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立擁護(hù)的權(quán)限答案:C解析:[單選題]26.關(guān)于MSSQLSERVER數(shù)據(jù)庫用戶口令的要求中，對(duì)用戶的屬性進(jìn)行安全檢查，不包括()A)空密碼B)弱密碼C)密碼長(zhǎng)度D)密碼更新時(shí)間答案:C解析:[單選題]27.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()A)設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則,導(dǎo)致軟件在發(fā)布運(yùn)行后,系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B)設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)C)設(shè)計(jì)了采用不加鹽(SALT)的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ),導(dǎo)致軟件在發(fā)布運(yùn)行后,不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果,從而可以假冒其他用戶登錄D)設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù),導(dǎo)致軟件在發(fā)布運(yùn)行后,被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文答案:A解析:首先是軟件設(shè)計(jì)缺陷,其次對(duì)應(yīng)的設(shè)計(jì)有缺陷導(dǎo)致某一后果。用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則導(dǎo)致系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息,這個(gè)在安全、保密等領(lǐng)域是專門這樣設(shè)計(jì)的;BCD都是由軟件缺陷引起的。[單選題]28.在信息系統(tǒng)的設(shè)計(jì)階段必須做以下工作除了：A)決定使用哪些安全控制措施B)對(duì)設(shè)計(jì)方案的安全性進(jìn)行評(píng)估C)開發(fā)信息系統(tǒng)的運(yùn)行維護(hù)手冊(cè)D)開發(fā)測(cè)試、驗(yàn)收和認(rèn)可方案答案:C解析:[單選題]29.我們經(jīng)常從網(wǎng)站上下載文件、軟件，為了確保系統(tǒng)安全，以下哪個(gè)處理措施最正確______A)直接打開或使用B)先查殺病毒，再使用C)習(xí)慣于下載完成自動(dòng)安裝D)下載之后先做操作系統(tǒng)備份，如有異?；謴?fù)系統(tǒng)答案:B解析:[單選題]30."規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）"（PDCA過程）又叫（），是管理學(xué)中的一個(gè)通用模型，最早由（）于1930年構(gòu)想，后來被美國(guó)質(zhì)量管理專家（）博士在1950年再度挖掘出來，并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程。PDCA循環(huán)就是按照"規(guī)劃、實(shí)施、檢查、處置"的順序進(jìn)行質(zhì)量管理，并且循環(huán)不止地進(jìn)行下去的（），建立符合國(guó)際標(biāo)準(zhǔn)IS09001的質(zhì)量管理體系即是一個(gè)典型的PDCA過程，建立IS014001環(huán)境管理體系，IS020000IT服務(wù)（）也是一個(gè)類似的過程。A)質(zhì)量環(huán)、休哈特、戴明、管理體系、科學(xué)程序B)質(zhì)量環(huán)、戴明、休哈特、管理體系、科學(xué)程序C)質(zhì)量環(huán)、戴明、休哈特、科學(xué)程序、管理體系D)質(zhì)量環(huán)、休哈特、戴明、科學(xué)程序、管理體系答案:D解析:[單選題]31.下面對(duì)自由訪問控制(DAC)描述正確的是A)比較強(qiáng)制訪問控制而言不太靈活B)基于安全標(biāo)簽C)關(guān)注信息流D)在商業(yè)環(huán)境中廣泛使用答案:D解析:[單選題]32.信息安全管理體系（ISMS）的建設(shè)和實(shí)施是一個(gè)組織的戰(zhàn)略性舉措。若一個(gè)組織聲稱自己的ISMS符合ISO/IBC27001或G8/T22080標(biāo)準(zhǔn)要求，則需實(shí)施準(zhǔn)要求，則需實(shí)施以下ISMS建設(shè)的各項(xiàng)工作。哪一項(xiàng)不屬于ISMS建設(shè)的工作（）A)規(guī)劃與建立ISMSB)實(shí)施和運(yùn)行ISMSC)監(jiān)視和評(píng)審ISMSD)保持和審核ISMS答案:D解析:[單選題]33.關(guān)于標(biāo)準(zhǔn),下面哪項(xiàng)理解是錯(cuò)誤的()。A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí),應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)C)國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí),應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定,并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院有關(guān)行政主管部門備案,在公布國(guó)家標(biāo)準(zhǔn)之后,該地方標(biāo)準(zhǔn)即應(yīng)廢止答案:C解析:國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn),同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)。[單選題]34.462.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測(cè)、（）和自適應(yīng)填充?安全間隙?為循環(huán)來提高（）A)漏洞監(jiān)測(cè)：控制和對(duì)抗：動(dòng)態(tài)性：網(wǎng)絡(luò)安全B)動(dòng)態(tài)性：控制和對(duì)抗：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全C)控制和對(duì)抗：漏洞監(jiān)測(cè)：動(dòng)態(tài)性：網(wǎng)絡(luò)安全D)控制和對(duì)抗：動(dòng)態(tài)性：漏洞監(jiān)測(cè)：網(wǎng)絡(luò)安全答案:D解析:[單選題]35.為了保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)和其它資產(chǎn),當(dāng)終止與員工的聘用關(guān)系時(shí)下面哪一項(xiàng)是最好的方法?A)進(jìn)行離職談話,讓員工簽署保密協(xié)議,禁止員工賬號(hào),更改密碼B)進(jìn)行離職談話,禁止員工賬號(hào),更改密碼C)讓員工簽署跨邊界協(xié)議D)列出員工在解聘前需要注意的所有責(zé)任答案:A解析:[單選題]36.誰對(duì)組織的信息安全負(fù)最終責(zé)任?A)安全經(jīng)理B)高管層C)IT經(jīng)理D)業(yè)務(wù)經(jīng)理答案:B解析:[單選題]37.美國(guó)計(jì)算機(jī)協(xié)會(huì)(ACM)宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffic和Wartfield下面哪項(xiàng)工作是他們的貢獻(xiàn)()。A)發(fā)明并第一個(gè)使用C語言B)第一個(gè)發(fā)表了對(duì)稱密碼算法思想C)第一個(gè)發(fā)表了非對(duì)稱密碼算法思想D)第一個(gè)研制出防火墻答案:C解析:[單選題]38.從系統(tǒng)工程的角度來處理信息安全問題,以下說法錯(cuò)誤的是:A)系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn),建立一組平衡的安全需求,融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B)系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋,證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求,或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法,是一種使用面向開發(fā)的方法。D)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上,通過對(duì)安全工作過程進(jìn)行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科。答案:C解析:SSE-CMM是面向工程過程質(zhì)量控制的一套方法。[單選題]39.ISMs指的是什么?A)信息安全管理B)信息系統(tǒng)管理體系C)信息系統(tǒng)管理安全D)信息安全管理體系答案:D解析:[單選題]40.全球物聯(lián)網(wǎng)將朝著()、()和()的方向發(fā)展,同時(shí)以()將是全球各國(guó)的主要發(fā)展方向。物聯(lián)網(wǎng)涉及感知、控制、網(wǎng)絡(luò)通信、微電子、計(jì)算機(jī)、軟件、嵌入式系統(tǒng)、微機(jī)電等技術(shù)領(lǐng)域,因此物聯(lián)網(wǎng)涵蓋的關(guān)鍵技術(shù)非常多,其主要技術(shù)架構(gòu)可分為感知層、()、()和()四個(gè)層次。A)規(guī)?；?協(xié)同化、智能化;帶動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè);傳輸層;支撐層;應(yīng)用層B)規(guī)?；?協(xié)同化、智能化:物聯(lián)問應(yīng)用帶動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè),傳輸層,文排層,應(yīng)用層C)規(guī)?；?協(xié)同化、智能化;物聯(lián)網(wǎng)應(yīng)用;傳輸層;支撐層;應(yīng)用層D)規(guī)?；?協(xié)同化、智能化;物聯(lián)網(wǎng)應(yīng)用;同步層;支撐層;應(yīng)用層答案:B解析:[單選題]41.在信息系統(tǒng)中,訪問控制是重要的安全功能之一。它的任務(wù)是在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對(duì)用戶的訪問權(quán)限進(jìn)行管理,防止對(duì)信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類,通過對(duì)主體身份的識(shí)別來限制其對(duì)客體的訪問權(quán)限。下列選項(xiàng)中,對(duì)主體、客體和訪問權(quán)限的描述中錯(cuò)誤的是()A)對(duì)文件進(jìn)行操作的用戶是一種主體B)主體可以接受客體的信息和數(shù)據(jù),也可能改變客體相關(guān)的信息C)訪問權(quán)限是指主體對(duì)客體所允許的操作D)對(duì)目錄的訪問權(quán)可分為讀、寫和拒絕訪問答案:D解析:[單選題]42.一次出現(xiàn)""HACKER""這個(gè)詞是在A)BELL實(shí)驗(yàn)室B)麻省理工AI實(shí)驗(yàn)室C)AT＆T實(shí)驗(yàn)室D)以上都沒有答案:B解析:[單選題]43.為達(dá)到預(yù)期的攻擊目的，惡意代碼通常會(huì)被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯(cuò)誤的是？A)隱藏惡意代碼進(jìn)程，即將惡意代碼進(jìn)程隱藏起來，或者改名和使用系統(tǒng)進(jìn)程名，以更好的躲避檢測(cè)，迷惑用戶和安全檢測(cè)人員B)隱藏惡意代碼的網(wǎng)絡(luò)行為，復(fù)用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測(cè)和網(wǎng)絡(luò)監(jiān)控C)隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進(jìn)制代碼，以躲避用戶和安全檢測(cè)人員D)隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除答案:C解析:[單選題]44.35.ApacheHTTPServer（簡(jiǎn)稱Apache）是一個(gè)開放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施（）A)不選擇Windows平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用B)安裝后，修改配置文件http.conf中的有關(guān)參數(shù)C)安裝后，刪除ApscheD)從正確的官方網(wǎng)站下載ApecheHTTPServer，并安裝使用答案:B解析:[單選題]45.以下哪一個(gè)不是VLAN的劃分方式A)根據(jù)TCP端口來劃分B)根據(jù)MAC地址來劃分C)根據(jù)IP組播劃分D)"根據(jù)網(wǎng)絡(luò)層劃分"答案:A解析:[單選題]46.當(dāng)一個(gè)HTTPS站點(diǎn)的證書存在問題時(shí)，瀏覽器就會(huì)出現(xiàn)警告信息已提醒瀏覽者注意，下列描述中哪一條不是導(dǎo)致出現(xiàn)提示的必然原因？A)瀏覽器找不到對(duì)應(yīng)的證書頒發(fā)機(jī)構(gòu)B)證書過期C)證書的CN與實(shí)際站點(diǎn)不符D)證書沒有被瀏覽器信任答案:A解析:[單選題]47.455.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)先方案執(zhí)行（）A)由于本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C)對(duì)于重要的服務(wù)，應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再正式生產(chǎn)環(huán)境中部署D)對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級(jí)答案:C解析:[單選題]48.關(guān)于信息安全管理體系(InformationSecurityManagementSystems,ISMS),下面描述錯(cuò)誤的是()。A)概念上,信息安全管理體系有廣義和狹義之分,狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系,它是一個(gè)組織整體管理體系的組成部分B)信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系,包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素C)同其他管理體系一樣,信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容D)管理體系(ManagementSystems)是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架,信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用答案:C解析:雖然信息安全管理體系建設(shè)回提出一些技術(shù)要求,但是并沒有完整的要求構(gòu)建技術(shù)防護(hù)體系。[單選題]49.Ipsec(lPSecurity)協(xié)議標(biāo)準(zhǔn)的設(shè)計(jì)目標(biāo)是在lPv4和lPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機(jī)密性下面選項(xiàng)中哪項(xiàng)描述是錯(cuò)誤的()A)IPSec協(xié)議不支持使用數(shù)字證書B)IPSec協(xié)議對(duì)于IPv4和IPv6網(wǎng)絡(luò)都是適用的C)IPSec有兩種工作模式:傳輸模式和隧道模式D)IPSec協(xié)議包括封裝安全載荷(ESP)和鑒別頭(AH)兩種通信保護(hù)機(jī)制答案:A解析:[單選題]50.為保障信息系統(tǒng)的安全,某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案,并嚴(yán)格編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報(bào)告,關(guān)于此項(xiàng)工作,下面說法錯(cuò)誤的是()A)信息安全需求報(bào)告應(yīng)該根據(jù)公司服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來撰寫B(tài))信息安全需求描述報(bào)告設(shè)計(jì)是信息安全保障方案的前提和依據(jù)C)信息安全需求貓叔報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和關(guān)于政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D)信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù),管理和工程能方案需要展開編寫答案:A解析:[單選題]51.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國(guó)家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是（）。A)喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客B)鞏固戰(zhàn)略優(yōu)勢(shì)，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)C)實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙D)搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)答案:C解析:A屬于個(gè)人威脅；B和D屬于國(guó)家威脅。[單選題]52.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）以下說法最恰當(dāng)?shù)氖牵篈)組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程B)組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程C)組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程D)組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過程答案:B解析:[單選題]53.DDoS攻擊的主要目換是:A)破壞完整性和機(jī)密性B)破壞可用性C)破壞機(jī)密性和可用性D)破壞機(jī)密性答案:B解析:[單選題]54.下列關(guān)于強(qiáng)制訪問控制模型的選項(xiàng)中，沒有出現(xiàn)錯(cuò)誤的是（）A)強(qiáng)制訪問控制是指用戶（而非文件）具有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)用戶是否可以訪問某個(gè)文件B)安全屬性是強(qiáng)制性的規(guī)定，當(dāng)它由用戶或操作系統(tǒng)根據(jù)限定的規(guī)則確定后，不能隨意修改C)如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的用戶不適于訪問某個(gè)文件，那么任何人（包括文件的擁有者）都無法使用該用戶具有訪問該文件的權(quán)利D)它是一種對(duì)單個(gè)用戶執(zhí)行訪問控制的過程和措施答案:C解析:[單選題]55.加密文件系統(tǒng)(EncryptingFileSystem,EFS)是Windows操作系統(tǒng)的一個(gè)組件,以下說法錯(cuò)誤的是()A)EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密,任何不擁有合適密鑰的個(gè)人或者程序都不能解密數(shù)據(jù)B)EFS以公鑰加密為基礎(chǔ),并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C)EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)(Windows環(huán)境下)D)EFS加密過程對(duì)用戶透明,EFS加密的用戶驗(yàn)證過程是在登陸windows時(shí)進(jìn)行的答案:C解析:[單選題]56.系統(tǒng)安全工程能力成熟度模型(SSE-CMM）錯(cuò)誤的理解是（）A)SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B)SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C)基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D)SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)答案:C解析:[單選題]57.Unix的哪個(gè)目錄是用來放置各種配置文件的？A)/SB.INB)/ETC..C)/PROC.D)/D.WR答案:B解析:[單選題]58.以下不屬于電腦病毒特點(diǎn)的是？A)寄生性B)傳染性C)潛伏性D)唯一性答案:D解析:[單選題]59.設(shè)置IP地址MAC綁定的目的？A)防止DOS攻擊B)防止非法接入C)加強(qiáng)認(rèn)證D)防止泄漏網(wǎng)絡(luò)拓?fù)浯鸢?B解析:[單選題]60.李同學(xué)瀏覽網(wǎng)頁時(shí)彈出?新版游戲，免費(fèi)玩，點(diǎn)擊就送大禮包?的廣告，李同學(xué)點(diǎn)了之后發(fā)現(xiàn)是個(gè)網(wǎng)頁游戲，提示：?請(qǐng)安裝插件?，請(qǐng)問，這種情況李同學(xué)應(yīng)該怎么辦最合適？（）A)為了領(lǐng)取大禮包，安裝插件之后玩游戲B)網(wǎng)頁游戲一般是不需要安裝插件的，這種情況騙局的可能性非常大，不建議打開C)詢問朋友是否玩過這個(gè)游戲，朋友如果說玩過，那應(yīng)該沒事。D)先將操作系統(tǒng)做備份，如果安裝插件之后有異常，大不了恢復(fù)系統(tǒng)答案:B解析:[單選題]61.系統(tǒng)安全工程能力成熟度模型評(píng)估方法(SSAM,SSE-CMMAppraisalMethod)是專門基于SSE-CMM的評(píng)估方法。它包含對(duì)系統(tǒng)安全工程-能力成熟度模型中定義的組織的()流程能力和成熟度進(jìn)行評(píng)估所需的()。SSAM評(píng)估過程分為四個(gè)階段,()、()、()、()。A)信息和方向;系統(tǒng)安全工程;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告B)信息和方向;系統(tǒng)工程;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告C)系統(tǒng)安全工程;信息;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告D)系統(tǒng)安全工程;信息和方向;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告答案:D解析:[單選題]62.惡意代碼問題,不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失,而且使國(guó)家的安全面臨著嚴(yán)重威脅。目前國(guó)際上一些發(fā)達(dá)國(guó)家(如美國(guó),德國(guó),日本等)均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長(zhǎng)期的研究,并取得了一定的成功。程序員小張想開發(fā)一款惡意代碼的檢測(cè)軟件,經(jīng)過相關(guān)準(zhǔn)備后,他在如下選項(xiàng)中選擇了一個(gè)最正確的代碼的檢測(cè)思路進(jìn)行了軟件開發(fā),你認(rèn)為是哪一個(gè)A)簡(jiǎn)單運(yùn)行B)發(fā)送者身份判斷C)禁止未識(shí)別軟件運(yùn)行D)特征碼掃描答案:D解析:[單選題]63.http.//IP/scripts/..%255c..%255winnt/system32/cmd.exe?/c+del+c.\\\\\\\\tanker.txt可以A)顯示目標(biāo)主機(jī)目錄B)顯示文件內(nèi)容C)刪除文件D)復(fù)制文件的同時(shí)將該文件改名答案:C解析:[單選題]64.下列哪個(gè)不屬于密碼破解的方式（）A)密碼學(xué)分析B)撞庫C)暴力破解D)字典破解答案:B解析:[單選題]65.()第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照()實(shí)行分級(jí)保護(hù)。()應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)()后,方可投入使用。A)《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B)《安全保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格C)《國(guó)家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D)《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格答案:A解析:《保密法》第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。涉密信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)檢查合格后,方可投入使用。P57頁。[單選題]66.由于信息系統(tǒng)的復(fù)雜性,因此需要一個(gè)通用的框架對(duì)其進(jìn)行解構(gòu)和描述,然后再基于此框架討論信息系統(tǒng)的()。在IATF中,將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個(gè)焦點(diǎn)領(lǐng)域:():區(qū)域邊界即本地計(jì)算環(huán)境的外緣;();支持性基礎(chǔ)設(shè)施,在深度防御技術(shù)方案中推薦()原則、()原則。A)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;安全保護(hù)問題;本地的計(jì)算機(jī)環(huán)境;多點(diǎn)防御;分層防御B)安全保護(hù)問題;本地的計(jì)算機(jī)環(huán)境;多點(diǎn)防御;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;分層防御C)安全保護(hù)問題;本地的計(jì)算機(jī)環(huán)境;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;多點(diǎn)防御;分層防御D)本地的計(jì)算環(huán)境;安全保護(hù)問題;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;多點(diǎn)防御;分層防御答案:C解析:參考P29頁,IATF4個(gè)焦點(diǎn)領(lǐng)域。[單選題]67.為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)不是日志必需具備的特征？A)統(tǒng)一而精確地的時(shí)間B)全面覆蓋系統(tǒng)資產(chǎn)C)包括訪問源、訪問目標(biāo)和訪問活動(dòng)等重要信息D)可以讓系統(tǒng)的所有用戶方便的讀取答案:D解析:[單選題]68.從目前的情況看,對(duì)所有的計(jì)算機(jī)系統(tǒng)來說,以下哪種威脅是最為嚴(yán)重的,可能造成巨大的損害?A)沒有充分訓(xùn)練或粗心的用戶B)第三方C)黑客D)心懷不滿的雇員答案:D解析:[單選題]69.以下關(guān)于信息安全工程說法正確的是？A)信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B)信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固C)信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)D)信息化建設(shè)沒有必要涉及信息安全建設(shè)答案:C解析:[單選題]70.風(fēng)險(xiǎn)評(píng)估相關(guān)政策,目前主要有()(國(guó)信辦[2006]5號(hào))。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(),評(píng)估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等、兩類信息系統(tǒng)的()、涉密信息系統(tǒng)參照?分級(jí)保護(hù)?、非涉信息系統(tǒng)參照?等級(jí)保護(hù)?。A)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》;重要程度;安全威脅;脆弱性;工作開展B)《關(guān)于開展風(fēng)險(xiǎn)評(píng)估工作的意見》;安全威脅;重要程度;脆弱性;工作開展C)《關(guān)于開展風(fēng)險(xiǎn)評(píng)估工作的意見》;重要程度;安全威脅;脆弱性;工作開展D)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》脆弱性;重要程度;安全威脅;工作開展答案:A解析:[單選題]71.按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn),有些信息系統(tǒng)只需自主定級(jí)、自主保護(hù),按照要求向公安機(jī)關(guān)備案即可,可以不需要上級(jí)或主管部門來測(cè)評(píng)和檢查。此類信息系統(tǒng)應(yīng)屬于()。A)零級(jí)系統(tǒng)B)一級(jí)系統(tǒng)C)二級(jí)系統(tǒng)D)三級(jí)系統(tǒng)答案:B解析:一級(jí)系統(tǒng)只需要自主定級(jí)備案,不需要測(cè)評(píng)。[單選題]72.以下列出了mac和散列函數(shù)的相似性,哪一項(xiàng)說法是錯(cuò)誤的?A)MAC和散列函數(shù)都是用于提供消息認(rèn)證B)MAC的輸出值不是固定長(zhǎng)度的,而散列函數(shù)的輸出值是固定長(zhǎng)度的C)MAC和散列函數(shù)都不需要密鑰D)MAC和散列函數(shù)都不屬于非對(duì)稱加密算法答案:C解析:(1)MAC:消息驗(yàn)證、完整性校驗(yàn)、抗重放攻擊;輸出不固定的;MAC需密鑰;不是非對(duì)稱。(2)哈希:消息驗(yàn)證、完整性校驗(yàn);輸出是固定的;不需要密鑰;不是非對(duì)稱。[單選題]73.何種情況下，一個(gè)組織應(yīng)當(dāng)對(duì)公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全A)當(dāng)信息安全事件的負(fù)面影響擴(kuò)展到本組織以外時(shí)B)只要發(fā)生了安全事件就應(yīng)當(dāng)公告C)只有公眾的生命財(cái)產(chǎn)安全受到巨大危害時(shí)才公告D)當(dāng)信息安全事件平息之后答案:A解析:[單選題]74.設(shè)計(jì)信息安全策略時(shí),最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A)非現(xiàn)場(chǎng)存儲(chǔ)B)由IS經(jīng)理簽署C)發(fā)布并傳播給用戶D)經(jīng)常更新答案:C解析:[單選題]75.信息發(fā)送者使用進(jìn)行數(shù)字簽名。A)己方的私鑰B)己方的公鑰C)對(duì)方的私鑰D)對(duì)方的公鑰答案:A解析:私鑰加密,公鑰解密,公鑰私鑰成對(duì)出現(xiàn)。[單選題]76.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中,關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是()A)殘余風(fēng)險(xiǎn)是采取了安全措施后,仍然可能存在的風(fēng)險(xiǎn),一般來說,是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)理,它會(huì)隨著時(shí)間的推移而發(fā)生變化,可能會(huì)在將來誘發(fā)新的安全事件C)實(shí)施風(fēng)險(xiǎn)處理時(shí),應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D)信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn),以最小的殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)答案:A解析:?不去控制?錯(cuò)誤,殘余風(fēng)險(xiǎn)無法消除,但需要監(jiān)視、控制。[單選題]77.SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一,隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部份程序員在編寫代碼的時(shí)候,沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使用應(yīng)用程序存在安全隱患,小李在對(duì)某ASP網(wǎng)站進(jìn)行測(cè)試時(shí),采用經(jīng)典的1=1,1=2測(cè)試法,測(cè)試發(fā)現(xiàn)1=1時(shí)網(wǎng)頁顯示正常,1=2時(shí)報(bào)錯(cuò),于是小李得出了四條猜測(cè),則下列說法錯(cuò)誤的是A)該網(wǎng)站可能存在漏洞B)攻擊者可以根據(jù)報(bào)錯(cuò)信息獲得的信息,從而進(jìn)一步實(shí)施攻擊C)如果在網(wǎng)站前布署一臺(tái)H3C的IPS設(shè)備阻斷,攻擊者得不到任何有效信息D)該網(wǎng)站不可以進(jìn)行SQL注入攻擊答案:D解析:[單選題]78.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（）即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全監(jiān)測(cè)（）和自適應(yīng)填充"安全間隙"為循環(huán)來提高（）A)漏洞檢測(cè)；控制和對(duì)抗；動(dòng)態(tài)性；網(wǎng)絡(luò)安全B)動(dòng)態(tài)性；控制和對(duì)抗；漏洞監(jiān)測(cè)；網(wǎng)絡(luò)安全C)控制和對(duì)抗；漏洞監(jiān)測(cè)；動(dòng)態(tài)性；網(wǎng)絡(luò)安全D)控制和對(duì)抗；動(dòng)態(tài)性；漏洞監(jiān)測(cè)；網(wǎng)絡(luò)安全答案:D解析:[單選題]79.3.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)），對(duì)等級(jí)保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）A)該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B)該文件適用于2004年的等級(jí)保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作C)該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍D)該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位答案:A解析:[單選題]80.在標(biāo)準(zhǔn)GBXXXX-XX中對(duì)機(jī)房安全等級(jí)劃分正確的是？A)劃分為A、B兩級(jí)B)劃分為A、B、C三級(jí)C)劃分為A、B、C、D四級(jí)D)劃分為A、B、C、D、E五級(jí)答案:B解析:[單選題]81.對(duì)緩沖區(qū)溢出攻擊預(yù)防沒有幫助的做法包括A)輸入?yún)?shù)過濾,安全編譯選項(xiàng)B)操作系統(tǒng)安全機(jī)制、禁止使用禁用APIC)安全編碼教育D)滲透測(cè)試答案:D解析:[單選題]82.下列信息安全的認(rèn)識(shí)不正確的是A)安全是會(huì)隨時(shí)間的推移而變化B)世上沒有100%的安全C)合理的投資加可識(shí)別的風(fēng)險(xiǎn)即為安全D)安全是相對(duì)的，不安全是絕對(duì)的答案:C解析:[單選題]83.APT攻擊是一種以商業(yè)或者政治目的為前提的特定攻擊，其中攻擊者采用口令竊聽、漏洞攻擊等方式嘗試進(jìn)一步入侵組織內(nèi)部的個(gè)人電腦和服務(wù)器，不斷提升自己的權(quán)限，直至獲得核心電腦和服務(wù)器控制權(quán)的過程被稱為（）。A)情報(bào)收集B)防線突破C)橫向滲透D)通道建立答案:C解析:[單選題]84.WAPI采用的是什么加密算法？A)我國(guó)自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B)國(guó)際上通行的商用加密標(biāo)準(zhǔn)C)國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D)國(guó)際通行的哈希算法答案:A解析:[單選題]85.網(wǎng)絡(luò)管理員正在教授技術(shù)人員應(yīng)用ACL時(shí)的一些最佳實(shí)踐。管理員應(yīng)該提出哪條建議A)命名ACL比編號(hào)ACL效率低B)應(yīng)在最靠近核心層的位置應(yīng)用標(biāo)準(zhǔn)ACLC)應(yīng)用于出站接口的ACL最有效D)應(yīng)在最靠近ACL指定的源的位置應(yīng)用擴(kuò)展ACL答案:B解析:[單選題]86.在信息系統(tǒng)中，訪向控制是重要的安全功能之一。它的任務(wù)是在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪何權(quán)限進(jìn)行管理，防止對(duì)信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類，通過對(duì)主體身份的識(shí)別來限制其對(duì)客體的訪問權(quán)限。下列選項(xiàng)中，對(duì)主體、客體和訪問權(quán)服的描述中錯(cuò)誤的是()A)對(duì)文件進(jìn)行操作的用戶是一種主體B)主體可以接收客體的信息和數(shù)據(jù)，也可能改變客體相關(guān)的信息C)訪向權(quán)限是指主體對(duì)客體所允許的操作D)對(duì)目錄的訪問權(quán)展可分為讀、寫和柜絕訪問答案:D解析:[單選題]87.下列選項(xiàng)中，與面向構(gòu)件提供者的構(gòu)件測(cè)試目標(biāo)無關(guān)的是（）.A)檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量B)檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C)盡可能多地揭示構(gòu)件錯(cuò)誤D)驗(yàn)證構(gòu)件的功能、接口、行為和性能答案:A解析:[單選題]88.下面哪一個(gè)是定義深度防御安全原則的例子?A)使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B)在主機(jī)上使用防火墻和邏輯訪問控制來控制進(jìn)入網(wǎng)絡(luò)的流量C)在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D)使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量答案:A解析:[單選題]89.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系,也ISMS建設(shè)的成果之一,通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu),那么,以下選項(xiàng)()應(yīng)放入到一級(jí)文件中.A)《風(fēng)險(xiǎn)評(píng)估報(bào)告》B)《人力資源安全管理規(guī)定》C)《ISMS內(nèi)部審核計(jì)劃》D)《單位信息安全方針》答案:D解析:一級(jí)文件中一般為安全方針、策略文件:二級(jí)文件中一般為管理規(guī)范制度:三級(jí)文件一般為操作手冊(cè)和流程:四級(jí)文件一般表單和管理記錄。[單選題]90.某貿(mào)易