CISP考試認(rèn)證(習(xí)題卷35)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷35)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項(xiàng)選擇題，共92題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.Windows系統(tǒng)中,安全標(biāo)識(shí)符(SID)是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一編碼,在操作系統(tǒng)內(nèi)部使用,當(dāng)授予用戶、組、服務(wù)或者其他安全主休訪問對(duì)象的權(quán)限時(shí),操作系統(tǒng)會(huì)把SID和權(quán)限寫入對(duì)象的ACL中,小劉在學(xué)習(xí)了SID的組成后,為了鞏固所學(xué)知識(shí),在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whooml/users操作查看當(dāng)前用戶的SID,得到是的SID為S-1-5-21-1534169462-1651380828-111620652-500。下列選項(xiàng)中,關(guān)于此SID的理解錯(cuò)誤的是___A)前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B)第一個(gè)子頒發(fā)機(jī)構(gòu)是21C)WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651D)此SID以500結(jié)尾,表示內(nèi)置guest答案:D解析:[單選題]2.網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的_______。A)完整性B)保密性C)可用性D)以上都是答案:D解析:[單選題]3.下列哪一項(xiàng)能夠提高網(wǎng)絡(luò)的可用性?A)數(shù)據(jù)冗余B)鏈路冗余C)軟件冗余D)電源冗余答案:B解析:[單選題]4.關(guān)于秘鑰管理，下列說法錯(cuò)誤的是：A)科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性B)保密通信過程中，通信方使用之前用過的會(huì)話秘鑰建立會(huì)話，不影響通信安全C)秘鑰管理需要考慮秘鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷等生命周期過程的每一個(gè)環(huán)節(jié)D)在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會(huì)話秘鑰答案:B解析:[單選題]5.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一,以下對(duì)于隨機(jī)進(jìn)程名技術(shù),描述正確的是()。A)隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱,通過不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱B)惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使進(jìn)程名稱不固定,因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C)惡意代碼使用隨機(jī)進(jìn)程名是通過生成特定格式的進(jìn)程名稱,使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D)隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的,但是只要找到了進(jìn)程名稱,就找到了惡意代碼程序本身答案:A解析:B惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使進(jìn)程名稱不固定,殺毒軟件是按照特征碼掃描和行為檢測進(jìn)行病毒進(jìn)程查殺;C惡意代碼使用隨機(jī)進(jìn)程名是通過生成特定格式的進(jìn)程名稱,進(jìn)程管理器中可以所有的進(jìn)程;D找到惡意代碼進(jìn)程名稱不意味能找到程序本身以及存儲(chǔ)路徑。P370。[單選題]6.客戶采扇和使荷云計(jì)算服務(wù)的過程可分為四個(gè)階段：規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)。如圖所示。在（）階段，客戶應(yīng)分析采用云計(jì)算服務(wù)的效益，確定自身的數(shù)據(jù)和業(yè)務(wù)類型，判定是否適合采用云計(jì)算服務(wù)。A)退出服務(wù)B)規(guī)劃準(zhǔn)備C)運(yùn)行監(jiān)督D)選擇服務(wù)商與部署答案:B解析:[單選題]7.ISO/IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于A)BS7799-1《信息安全實(shí)施細(xì)則》B)BS7799-2《信息安全管理體系規(guī)范》C)信息技術(shù)安全評(píng)估準(zhǔn)則(簡稱ITSEC)D)信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡稱CC)答案:B解析:[單選題]8.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是A)netshowB)netstatC)ipconfigD)Netview答案:B解析:[單選題]9.以下關(guān)于SMTP和POP3協(xié)議的說法哪個(gè)是錯(cuò)誤的？A)SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議B)SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C)SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D)SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件答案:A解析:[單選題]10.以下代碼容易觸發(fā)什么漏洞（）<?php$username=$_GET["name"];Echo"歡迎您,".$username."!";?>1234A)XSS漏洞B)SQLiC)OS命令注入D)代碼注入答案:A解析:[單選題]11.UNIX／Linux系統(tǒng)中，下列命令可以將普通帳號(hào)變?yōu)閞oot帳號(hào)的是____。A)Achmod命令B)B／bin／passwd命令C)Cchgrp命令D)D／bin／su命令答案:D解析:[單選題]12.程序設(shè)計(jì)和編碼的問題引入的風(fēng)險(xiǎn)為:A)"網(wǎng)絡(luò)釣魚"B)"緩沖區(qū)溢出"C)"SYN攻擊"D)暴力破解答案:B解析:[單選題]13.下面哪個(gè)組合不是是信息資產(chǎn)A)硬件、軟件、文檔資料B)關(guān)鍵人員C)、組織提供的信息服務(wù)D)桌子、椅子答案:D解析:[單選題]14.我國規(guī)定商用密碼產(chǎn)品的研發(fā)、制造、銷售和使用采取?？毓芾恚仨毥?jīng)過審批，所依據(jù)的是：A)商用密碼管理?xiàng)l例B)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例C)計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定D)中華人民共和國保密法答案:A解析:[單選題]15.以下對(duì)信息安全描述不正確的是A)信息安全的基本要素包括保密性、完整性和可用性B)信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行C)信息安全就是不出安全事故/事件D)信息安全風(fēng)險(xiǎn)是科技風(fēng)險(xiǎn)的一部分答案:C解析:[單選題]16.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是？A)讓系統(tǒng)自己處理異常B)調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來C)捕獲錯(cuò)誤，并拋出前臺(tái)顯示D)捕獲錯(cuò)誤，只顯示簡單的提示信息，或不顯示任何信息答案:D解析:[單選題]17.393.我國標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)管理指南》(GB/Z24364)給出了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應(yīng)該填寫:A)風(fēng)險(xiǎn)計(jì)算B)風(fēng)險(xiǎn)評(píng)價(jià)C)預(yù)測D)風(fēng)險(xiǎn)處理答案:D解析:[單選題]18.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容,GB/T20984-2007在資料性附錄中給出了一種矩陣法來計(jì)算信息安全風(fēng)險(xiǎn)大小,如下圖所示,圖中括號(hào)應(yīng)填那個(gè)?A)安全資產(chǎn)價(jià)值大小等級(jí)B)脆弱性嚴(yán)重程度等級(jí)C)安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D)安全事件造成損失大小答案:B解析:[單選題]19.以下說法正確的是？A)驗(yàn)收測試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B)軟件測試的目的是為了驗(yàn)證軟件功能是否正確C)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃，并提出審查意見D)軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段答案:C解析:[單選題]20.圖為一個(gè)飛機(jī)票預(yù)定系統(tǒng)的數(shù)據(jù)流圖，圖中?旅客?是（）A)數(shù)據(jù)流B)加工C)數(shù)據(jù)存儲(chǔ)D)數(shù)據(jù)譚答案:D解析:[單選題]21.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：（）A)監(jiān)理咨詢支撐要素B)控制和管理手段C)監(jiān)理咨詢階段過程D)監(jiān)理組織安全實(shí)施答案:D解析:[單選題]22.下列關(guān)于邏輯覆蓋的敘述中,說法錯(cuò)誤的是A)對(duì)于多分支的判定,判定覆蓋要使每一個(gè)判定方式獲得每一種可能的值來測試B)語句覆蓋較判定覆蓋嚴(yán)格,但該測試仍不充分C)語句覆蓋是比較弱的覆蓋標(biāo)準(zhǔn)D)條件組合覆蓋是比較強(qiáng)的覆蓋標(biāo)準(zhǔn)答案:B解析:[單選題]23.在國家標(biāo)準(zhǔn)，CB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面？()A)保障要素、生命周期和運(yùn)行維護(hù)B)保障要素、生命周期和安全特征C)規(guī)劃組織、生命周期和安全特征D)規(guī)劃組織、生命周期和運(yùn)行維護(hù)答案:B解析:[單選題]24.IPv4協(xié)議在設(shè)計(jì)之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依靠IP頭部的校驗(yàn)和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。下列選項(xiàng)中說法錯(cuò)誤的是()A)對(duì)于IPv4,IPSec是可選的,對(duì)于IPv6,IPSec是強(qiáng)制實(shí)施的。B)IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C)IPSec是一個(gè)單獨(dú)的協(xié)議D)IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制。答案:C解析:IPSec不是一個(gè)單獨(dú)的協(xié)議,它還包括AH(網(wǎng)絡(luò)認(rèn)證協(xié)議)、ESP(載荷封裝協(xié)議)、IKE(密鑰管理協(xié)議)等。[單選題]25.下列技術(shù)不支持密碼驗(yàn)證的是____。A)AS／MIMEB)BPGPC)CAMTPD)DSMTP答案:D解析:[單選題]26.在某個(gè)攻擊中，由于系統(tǒng)用戶或系統(tǒng)管理員主動(dòng)泄露，使得攻擊者可以訪問系統(tǒng)資源的行為被稱作：A)社會(huì)工程B)非法竊取C)電子欺騙D)電子竊聽答案:A解析:[單選題]27.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括:A)對(duì)應(yīng)急響應(yīng)工作的承諾和支持,包括發(fā)布正式文件、提供必要資源(人財(cái)物)等;B)審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃;C)負(fù)責(zé)組織的外部協(xié)作工作D)組織應(yīng)急響應(yīng)計(jì)劃演練答案:D解析:[單選題]28.某Linux系統(tǒng)由于root口令過于簡單,被攻擊者猜解后獲得了root口令,發(fā)現(xiàn)被攻擊后,管理員更改了root口令,并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測,在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1testTest10704Apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的:A)該文件是一個(gè)正常文件,是test用戶使用的shell,test不能讀該文件,只能執(zhí)行B)該文件是一個(gè)正常文件,是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C)該文件是一個(gè)后門程序,該文件被執(zhí)行時(shí),運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn))該文件是一個(gè)后門程序,可由于所有者是test,因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test答案:C解析:[單選題]29.下面說法正確的是____。A)AUNIX系統(tǒng)中有兩種NFS服務(wù)器，分別是基于內(nèi)核的NFS-Daemon和用戶空間Daemon，其中安全性能較強(qiáng)的是基于內(nèi)核的NFSDaemonB)BUNIX系統(tǒng)中有兩種NFS服務(wù)器，分別是基于內(nèi)核的Daemon和用戶空間NFSDaemon，其中安全性能較強(qiáng)的是基于內(nèi)核的NFSDaemonC)CUNIX系統(tǒng)中現(xiàn)只有一種NFS服務(wù)器，就是基于內(nèi)核的NFSDaemon，原有的用戶空間Daemon已經(jīng)被淘汰，因?yàn)镹FSDaemon安全性能較好D)DUNIX系統(tǒng)中現(xiàn)只有一種NFS服務(wù)器，就是基于內(nèi)核的Daemon，原有的用戶空間NFSDaemon已經(jīng)被淘汰，因?yàn)镈aemon安全性能較好答案:A解析:[單選題]30.信息安全測評(píng)是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對(duì)信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評(píng)估，以下關(guān)于信息安全測評(píng)說法不正確的是？A)信息產(chǎn)品安全評(píng)估是測評(píng)機(jī)構(gòu)對(duì)產(chǎn)品的安全性做出的獨(dú)立評(píng)價(jià)，增強(qiáng)用戶對(duì)已評(píng)估產(chǎn)品安全的信任B)目前我國常見的信息系統(tǒng)安全測評(píng)包括信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和信息系統(tǒng)安全保障測評(píng)兩種類型C)信息安全工程能力評(píng)估是對(duì)信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施服務(wù)過程質(zhì)量保證能力的具體衡量和評(píng)價(jià)D)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件可能造成的危害程度，提出有針對(duì)性的安全防護(hù)策略和整改措施答案:B解析:[單選題]31.當(dāng)曾經(jīng)用于存放機(jī)密資料的PC在公開市場出售時(shí)A)對(duì)磁盤進(jìn)行消磁B)n對(duì)磁盤低級(jí)格式化C)刪除數(shù)據(jù)D)對(duì)磁盤重整答案:A解析:[單選題]32.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)明確了我國信息安全保障工作的()、加強(qiáng)信息安全保障工作的()、需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是,它標(biāo)志著我國信息安全保障工作有了()、我國最近十余年的信息安全保障工作都是圍繞此政策性文件來()的、促進(jìn)了我國()的各項(xiàng)工作。A)方針和總體要求;主要原則;總體綱領(lǐng);展開和推進(jìn);信息安全保障建設(shè)B)總體要求;總體綱領(lǐng);主要原則;展開;信息安全保障建設(shè)C)方針;主要原則;總體綱領(lǐng);展開和推進(jìn);信息安全保障建設(shè)D)總體要求;主要原則;總體綱領(lǐng);展開;信息安全保障建設(shè)答案:A解析:27號(hào)文標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)。[單選題]33.下列哪種病毒能對(duì)計(jì)算機(jī)硬件產(chǎn)生破壞？A)C.IH;B)C.OD.ERED.;C)維金D)熊貓燒香答案:A解析:[單選題]34.位置信息和個(gè)人隱私之間的關(guān)系，以下說法正確的是______A)我就是普通人，位置隱私不重要，可隨意查看B)位置隱私太危險(xiǎn)，不使用蘋果手機(jī)，以及所有有位置服務(wù)的電子產(chǎn)品C)需要平衡位置服務(wù)和隱私的關(guān)系，認(rèn)真學(xué)習(xí)軟件的使用方法，確保位置信息不泄露D)通過網(wǎng)絡(luò)搜集別人的位置信息，可以研究行為規(guī)律答案:C解析:[單選題]35.64.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題。對(duì)于網(wǎng)站的這個(gè)問題原因分析及解決措施，最正確的說法應(yīng)該是？A)A．該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB)B．該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C)C．該問題的產(chǎn)生是由于編碼缺陷，通過對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D)D．該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可答案:B解析:[單選題]36.78.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SEE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A)BP不限定于特定的方法或工具，不同的業(yè)務(wù)背景中可以使用不同的方法B)BP不是根據(jù)廣泛的現(xiàn)有資料、實(shí)踐和專家意見綜合得出的C)BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D)BP不是過程區(qū)域（ProcessAreas,PA）的強(qiáng)制項(xiàng)答案:A解析:[單選題]37.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第部分：簡介和一般模型》（GB／T20274．1－2006）中描述了信息系統(tǒng)安全保障模型，下面對(duì)這個(gè)模型理解錯(cuò)誤的是（）A)該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B)該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)展的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過程C)該模型強(qiáng)調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D)模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性答案:D解析:[單選題]38.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是()A)所謂需求管理,是指對(duì)需求開發(fā)的管理B)需求管理包括:需求獲取、需求分析、需求定義各需求驗(yàn)證C)需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D)在需求管理中要求維持對(duì)原有需求和所有的產(chǎn)品需求的雙向跟蹤答案:D解析:[單選題]39.關(guān)于惡意代碼,以下說法錯(cuò)誤的是:3/16注冊(cè)信息安全專業(yè)人員考試模擬考試試卷A)從傳播范圍來看,惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B)按照運(yùn)行平臺(tái),惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C)不感染的依附性惡意代碼無法單獨(dú)執(zhí)行D)為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞,傳播途徑是惡意代碼賴以生存和繁殖的基本條件答案:B解析:[單選題]40.關(guān)于標(biāo)準(zhǔn)、指南、程序的描述,哪一項(xiàng)是最準(zhǔn)確的?A)標(biāo)準(zhǔn)是建議性的策略,指南是強(qiáng)制執(zhí)行的策略B)程序?yàn)榉蠌?qiáng)制性指南的一般性建議C)程序是為符合強(qiáng)制性指南的一般性建議D)程序是為符合強(qiáng)制性標(biāo)準(zhǔn)的的說明答案:D解析:[單選題]41.如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名A,這違背了安全的哈希函數(shù)（）性質(zhì)。A)單向性B)弱抗碰撞性C)強(qiáng)抗碰撞性D)機(jī)密性答案:C解析:該題目是違背了強(qiáng)抗碰撞性，答案應(yīng)為C。[單選題]42.基于對(duì)()的信任,當(dāng)一個(gè)請(qǐng)求或命令來自一個(gè)?權(quán)威?人士時(shí),這個(gè)請(qǐng)求就可能被毫不懷疑的()。在()中,攻擊者偽裝成?公安部門?人員要求受害者對(duì)權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼答案:A解析:[單選題]43.有關(guān)能力成熟度模型(CMM),錯(cuò)誤的理解是()。A)CMM的思想來源于項(xiàng)目管理、質(zhì)量管理和過程管理B)CMM是一種衡量工程實(shí)施能力的方法,是一種面向工程過程的方法C)CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的,它基于這樣一個(gè)假設(shè),即?生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品?D)CMM的思想不關(guān)注結(jié)果,而是強(qiáng)調(diào)了過程的控制,過程如果是高質(zhì)量的,結(jié)果通常會(huì)是高質(zhì)量的答案:A解析:CMM的思想來源于已有多年歷史的項(xiàng)目管理、質(zhì)量管理,自產(chǎn)生以來幾經(jīng)修訂,成為具有廣泛影響的模型。P178頁。[單選題]44.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)()A)符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性B)訪問控制的業(yè)務(wù)要求、用戶訪問管理C)符合法律要求D)信息系統(tǒng)審核考慮答案:B解析:訪問控制的業(yè)務(wù)要求,用戶訪問管理不屬于符合性常規(guī)控制。P127頁。[單選題]45.kerberos認(rèn)證過程不包括（）A)獲得票據(jù)許可票據(jù)B)獲得服務(wù)許可票據(jù)C)獲得密鑰分配與中心的管理權(quán)限D(zhuǎn))獲得服務(wù)答案:C解析:[單選題]46.62.作為信息安全從業(yè)人員，以下那種行為違反了CISP職業(yè)道德準(zhǔn)則（）A)抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B)通過公眾網(wǎng)絡(luò)傳播非法軟件C)不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D)幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力答案:B解析:[單選題]47.398.在軟件項(xiàng)目開發(fā)過程中,評(píng)估軟件項(xiàng)目風(fēng)險(xiǎn)時(shí),()與風(fēng)險(xiǎn)無關(guān)A)高級(jí)管理人員是否正式承諾支持該項(xiàng)目B)開發(fā)人員和用戶是否充分理解系統(tǒng)的需求C)最終用戶是否同意部署已開發(fā)的系統(tǒng)D)開發(fā)需要的資金是否能按時(shí)到位答案:C解析:[單選題]48.106.信息安全是通過實(shí)施一組合適的（）而達(dá)到的，包括策略、過程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、安施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的()過程，以確保滿足該組織的特定安全和（），這個(gè)過程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A)信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過程B)B組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程C)控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程D)D控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過程答案:C解析:[單選題]49.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后，對(duì)于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是？A)信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后，制定的能共同的和重復(fù)使用的規(guī)則B)信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想C)信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動(dòng)態(tài)控制的思想，因?yàn)榘踩珕栴}是動(dòng)態(tài)的，系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)D)信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙?duì)信息安全管理設(shè)計(jì)的方方面面實(shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低答案:B解析:[單選題]50.2.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制（SecurityAccountsManager）的說法哪個(gè)是正確的：A)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D)存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性答案:D解析:[單選題]51.基于對(duì)()的信任,當(dāng)一個(gè)請(qǐng)求成命令來自一個(gè)?權(quán)威?人士時(shí),這個(gè)請(qǐng)求就可能被毫不懷疑的(),在()中,攻擊者偽裝成?公安部門?人員,要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對(duì)權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼答案:A解析:[單選題]52.SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域：A)評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài))評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)C)評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D)評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全答案:C解析:[單選題]53.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性,事先制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段,為準(zhǔn)備->檢測->遏制->根除->恢復(fù)->跟蹤總結(jié)。請(qǐng)問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是()。A)應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟,順次恢復(fù)相關(guān)的系統(tǒng)B)在檢測階段,首先要進(jìn)行監(jiān)測、報(bào)告及信息收集C)遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見的遏制措施有:完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D)確定重要資產(chǎn)和風(fēng)險(xiǎn),實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟答案:C解析:關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁。[單選題]54.有關(guān)人員安全的描述不正確的是A)人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)B)重要或敏感崗位的人員入職之前,需要做好人員的背景檢查C)企業(yè)人員預(yù)算受限的情況下,職責(zé)分離難以實(shí)施,企業(yè)對(duì)此無能為力,也無需做任何工作D)人員離職之后,必須清除離職員工所有的邏輯訪問帳號(hào)答案:C解析:[單選題]55.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征,解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是?A)準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B)開發(fā)出一套安全性評(píng)估準(zhǔn)則,和關(guān)鍵的描述變量。C)提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D)強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性。答案:D解析:[單選題]56.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）A)用戶名B)用戶口令明文C)用戶主目錄D)用戶登錄后使用的SHELL答案:B解析:在Linux，操作系統(tǒng)中，用戶口令是通過哈希后保存在/etc/shadow文件中的[單選題]57.對(duì)信息安全的理解，正確的是A)信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實(shí)現(xiàn)的B)通過信息安全保障措施，確保信息不被丟失C)通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D)通過技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性答案:A解析:[單選題]58.內(nèi)容安全是我國信息安全保障工作中的一個(gè)重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越越受到重視,以下哪個(gè)描述不屬于內(nèi)容安全的范疇()A)某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì),對(duì)向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核,確保無侵犯版權(quán)行為后才能在網(wǎng)站好進(jìn)行發(fā)布B)某網(wǎng)站采取了技術(shù)措施,限制對(duì)同一P地址對(duì)網(wǎng)站的并發(fā)連接,避免爬蟲通過大量的訪問采集網(wǎng)站發(fā)布數(shù)據(jù)C)某論壇根據(jù)相關(guān)法律要求,進(jìn)行了大量的關(guān)鍵詞過濾,使用戶無法發(fā)布包含被過濾關(guān)鍵詞的相關(guān)內(nèi)容D)某論壇根據(jù)國家相關(guān)法律要求,為了保證用戶信息泄露,對(duì)所有用戶信息,包括用戶名、密碼、身份證號(hào)等都進(jìn)行了加密的存儲(chǔ)答案:D解析:D項(xiàng)是用戶數(shù)據(jù)安全的范疇。[單選題]59.在能夠?qū)嵤┍粍?dòng)攻擊的前提下，通過對(duì)稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是：A)在安全的傳輸信道上進(jìn)行通信B)通訊雙方通過某種方式，安全且秘密地共享密鑰C)通訊雙方使用不公開的加密算法D)通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取答案:B解析:[單選題]60.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是？A)訪問控制列表（ACL）B)能力表（CL）C)BLP模型D)Biba模型答案:A解析:[單選題]61.采用進(jìn)程注入可以A)隱藏進(jìn)程B)隱藏網(wǎng)絡(luò)端口C)以其他程序的名義連接網(wǎng)絡(luò)D)以上都正確答案:C解析:[單選題]62.隨著金融電子化的發(fā)展，全球金融通信網(wǎng)絡(luò)已出具規(guī)模。某金融單位組建的計(jì)算機(jī)通信網(wǎng)絡(luò)覆蓋全國，有力的促進(jìn)了該企業(yè)各種金融業(yè)務(wù)的發(fā)展。然而網(wǎng)絡(luò)技術(shù)的普及、網(wǎng)絡(luò)規(guī)模規(guī)模的延伸，開始逐步讓該企業(yè)對(duì)網(wǎng)絡(luò)安全提出了更高的要求。為了進(jìn)一步促進(jìn)金融電子化的建設(shè)，保障金融網(wǎng)絡(luò)安全運(yùn)行，該企業(yè)經(jīng)過前期充分的調(diào)研分析與論證，實(shí)施了防火墻／VPN系統(tǒng)建設(shè)項(xiàng)目。防火墻不能實(shí)現(xiàn)的安全功能是（）。A)對(duì)出入網(wǎng)絡(luò)的訪問行為進(jìn)行管理和控制B)過濾出入網(wǎng)絡(luò)的數(shù)據(jù)，強(qiáng)化安全策略C)隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)D)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)完整性，識(shí)別已知的攻擊行為答案:D解析:[單選題]63.在信息安全管理工作中?符合性?的含義不包括哪一項(xiàng)？A)對(duì)法律法規(guī)的符合B)對(duì)安全策略和標(biāo)準(zhǔn)的符合C)對(duì)用戶預(yù)期服務(wù)效果的符合D)通過審計(jì)措施來驗(yàn)證符合情況答案:C解析:[單選題]64.信息安全管理體系(InformationsecurityManagementSystem,簡稱lSMs)是1998年前后從()發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念,是管理體系(ManagementSystem,MS)思想和方法()的應(yīng)用。近年來,伴隨著ISMs()的制修訂,1SMS迅速被全球接受和認(rèn)可,成為世界各國、各種類型、各種規(guī)模的組織解決()的一個(gè)有效方法。SMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其()的一種有效途徑。A)英國,信息安全領(lǐng)域,國際標(biāo)準(zhǔn),信息安全問題,信息安全水平和能力B)法國;信息安全領(lǐng)域;國際標(biāo)準(zhǔn);信息安全問題;信息安全水平和能力C)英國;國際標(biāo)準(zhǔn);信息安全領(lǐng)域;信息安全問題;信息安全水平和能力D)德國;信息安全問題;信息安全領(lǐng)域;國際標(biāo)準(zhǔn);信息安全水平和能力答案:A解析:[單選題]65.為了能夠合理、有序地處理安全事件,應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降至最低。PDCERF方法論是一種廣泛使用的方法,其將應(yīng)急響應(yīng)分成六個(gè)階段,如下圖所示,請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容()。class="fr-ficfr-dibcursor-hover"A)檢測階段B)培訓(xùn)階段C)文檔階段D)報(bào)告階段答案:A解析:一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段,為準(zhǔn)備->檢測->遏制->根除->恢復(fù)->跟蹤總結(jié)。P152頁。[單選題]66.108.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO,請(qǐng)你指出存在問題的是哪個(gè)總結(jié)?A)公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B)公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)、應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個(gè)階段，流程完善可用C)公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D)公司應(yīng)急預(yù)案對(duì)事件分類依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》，分為7個(gè)基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)答案:A解析:[單選題]67.防火墻作為一種重要的網(wǎng)絡(luò)安全防護(hù)設(shè)備，廣泛的應(yīng)用于各種商業(yè)和民用網(wǎng)絡(luò)中，以下哪個(gè)選項(xiàng)是防火墻不具備的功能（）A)對(duì)出入網(wǎng)絡(luò)的訪問行為進(jìn)行管理和控制B)過濾出入網(wǎng)絡(luò)的數(shù)據(jù)，強(qiáng)化安全策略C)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件完整性，識(shí)別已知的攻擊行為D)隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)答案:C解析:[單選題]68.ISO27002(Informationtechnology-SecurtiyTechniques-Codeofpracticeforinformationmanagement）是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進(jìn)變化示意圖，途中括號(hào)空白處應(yīng)填寫A)BS7799．1．3B)ISO17799C)AS/NZS4630D)NSTSP800－17答案:B解析:[單選題]69.關(guān)于信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界安全防護(hù)說法不準(zhǔn)確的一項(xiàng)是____。A)要按照公司總體防護(hù)方案要求進(jìn)行B)應(yīng)加強(qiáng)信息內(nèi)網(wǎng)網(wǎng)絡(luò)橫向邊界的安全防護(hù)C)縱向邊界的網(wǎng)絡(luò)訪問可以不進(jìn)行控制D)網(wǎng)絡(luò)，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)答案:C解析:[單選題]70.50.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)（）A)軟件系統(tǒng)代碼的復(fù)雜性B)軟件系統(tǒng)市場出現(xiàn)的信息不對(duì)稱現(xiàn)象C)復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D)攻擊者的惡意利用答案:D解析:[單選題]71.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性,在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論,在下面的發(fā)言觀點(diǎn)中,正確的是()A)軟件安全開發(fā)生命周期較長,而其中最重要的是要在軟件的編碼安全措施,就可以解決90%以上的安全問題。B)應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施,這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。C)和傳統(tǒng)的軟件開發(fā)階段相比,微軟提出的安全開發(fā)生命周期(SDL)最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D)軟件的安全測試也很重要,考試到程序員的專業(yè)性,如果該開發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測試,就沒有必要再組織第三方進(jìn)行安全性測試。答案:B解析:A?，F(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計(jì)階段。C。SDL最大的特點(diǎn)是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D。第三方測試是必要的軟件安全測試類型。[單選題]72.下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說法正確的是A)通過將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來進(jìn)行計(jì)算的一種方法B)采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性C)在后果和可能性分析中采用數(shù)值,并采用從各種各樣的來源中得到的數(shù)據(jù)D)定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析答案:B解析:[單選題]73.在Unix系統(tǒng)中，/etc/service文件記錄T什么內(nèi)容?A)記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系B)決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)C)定義了系統(tǒng)缺省運(yùn)行級(jí)別，系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做什么D)包含了系統(tǒng)的一些啟動(dòng)腳本答案:A解析:[單選題]74.432.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃,提出了四大培訓(xùn)任務(wù)和目標(biāo),關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo),作為主管領(lǐng)導(dǎo),以下選項(xiàng)中不正確的是()A)由于網(wǎng)絡(luò)安全上升到國家安全的高度,因此網(wǎng)絡(luò)安全必須得到足夠的重視,因此安排了對(duì)集團(tuán)公司下屬公司的總經(jīng)理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)B)對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面培訓(xùn),計(jì)劃全員通過CISP持證培訓(xùn)以確保人員能力得到保障C)對(duì)其他信息化相關(guān)人員(網(wǎng)絡(luò)管理員、軟件開發(fā)人員)也進(jìn)行安全基礎(chǔ)培訓(xùn),使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解D)對(duì)全體員工安全信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn),實(shí)現(xiàn)全員信息安全意識(shí)教育答案:C解析:[單選題]75.以下哪一項(xiàng)是用于CC的評(píng)估級(jí)別？A)EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7B)A1，B1，B2，B3，C2，C1，DC)E0，E1，E2，E3，E4，E5，E6D)AD0，AD1，AD2，AD3，AD4，AD5，AD6答案:A解析:[單選題]76.CC標(biāo)準(zhǔn)是測評(píng)標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項(xiàng)內(nèi)容是針對(duì)具體的被評(píng)估對(duì)象，描述該對(duì)象的安全要求及相關(guān)的安全功能和控制措施，相當(dāng)于從廠商角度制定的產(chǎn)品方案）A)評(píng)估對(duì)象（TOE）B)保護(hù)輪廓（PP）C)安全目標(biāo)（ST）D)評(píng)估保證級(jí)（EAL）答案:C解析:[單選題]77.以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是:()。A)單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享B)使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè),就可以訪問多個(gè)應(yīng)用C)單點(diǎn)登錄不僅方便用戶使用,而且也便于管理D)使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)答案:A解析:單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。[單選題]78.假冒攻擊可以采用身份認(rèn)證機(jī)制來防范|為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性|為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴|為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限A)模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B)為保障安全測試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試C)通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D)對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告答案:C解析:[單選題]79.選擇信息系統(tǒng)部署的場地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重要的位置,信息資產(chǎn)的保護(hù)很大程度上取決與場地的安全性,一個(gè)部署在高風(fēng)險(xiǎn)場所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性的。為了保護(hù)環(huán)境安全,在下列選項(xiàng)中,公司在選址時(shí)最不應(yīng)該選址的場地是()A)自然災(zāi)害較少的城市B)部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C)大型醫(yī)院旁的建筑D)加油站旁的建筑答案:D解析:[單選題]80.ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于。A)BS7799-1《信息安全實(shí)施細(xì)則》B)BS7799-2《信息安全管理體系規(guī)范》C)信息技術(shù)安全評(píng)估準(zhǔn)則(簡稱ITSEC)D)信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡稱CC)答案:B解析:[單選題]81.計(jì)算機(jī)應(yīng)急響應(yīng)小組的簡稱是？A)CERTB)FIRSTC)SANAD)CEAT答案:A解析:[單選題]82.信息系統(tǒng)安全保障要求包括哪些內(nèi)容？（）A)信息系統(tǒng)安全技術(shù)架構(gòu)能力成熟度要求、信息系統(tǒng)安全管理能力成熟度要求、信息系統(tǒng)安全工程能力成熟度要求B)信息系統(tǒng)技術(shù)安全保障要求、信息系統(tǒng)管理安全保障要求、信息系統(tǒng)安全工程安全保障要求C)信息系統(tǒng)技術(shù)保障技術(shù)需求、信息系統(tǒng)管理保障控制需求、信息系統(tǒng)工程保障控制需求D)系統(tǒng)安全保障目的、環(huán)境安全保障目的答案:B解析:[單選題]83.世紀(jì)20年代，德國發(fā)明家亞瑟.謝爾比烏斯（Aunturscherbius）和理查德.里特（RichardRitter）發(fā)明了ENIGMA密碼機(jī)，看密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A)古典階段。這一階段的密碼專家常常靠直覺和技巧來設(shè)計(jì)密碼，而不是推理和證明。常用的密碼運(yùn)算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論?（thecommunicationtheoryofsecretsystems)為理論基礎(chǔ)，開始了對(duì)密碼學(xué)的科學(xué)探索。D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單