CISP考試認(rèn)證(習(xí)題卷37)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷37)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項選擇題，共92題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.以下哪項參數(shù)用于唯一標(biāo)識一個無線網(wǎng)絡(luò)，使其與其它網(wǎng)絡(luò)區(qū)分開來A)SSIDB)OFDMC)WEPD)DSSS答案:A解析:[單選題]2.風(fēng)險評估實施過程中資產(chǎn)識別的依據(jù)是什么A)依據(jù)資產(chǎn)分類分級的標(biāo)準(zhǔn)B)依據(jù)資產(chǎn)調(diào)查的結(jié)果C)依據(jù)人員訪談的結(jié)果D)依據(jù)技術(shù)人員提供的資產(chǎn)清單答案:A解析:[單選題]3.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性:.A)實用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中B)結(jié)構(gòu)的開放性,即功能和保證要求都可以在具體的?保護(hù)輪廓?和?安全目標(biāo)?中進(jìn)一步細(xì)化和擴(kuò)展C)表達(dá)方式的通用性,即給出通用的表達(dá)方式D)獨立性,它強(qiáng)調(diào)將安全的功能和保證分離答案:A解析:CC標(biāo)準(zhǔn)充分突出了保護(hù)輪廓這一概念,將評估過程分;功能和保證兩部分.CC是對已有安全準(zhǔn)則的總結(jié)和兼容,有通用的表達(dá)方式,便于理解.[單選題]4.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險管理工作時，發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性；脆弱性V6和脆弱性V7。根據(jù)上述條件，請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風(fēng)險值A(chǔ))2B)3C)5D)6答案:C解析:[單選題]5.構(gòu)造.asp;.gif這樣的文件名去上傳非法文件利用的是哪個IIS版本的解析漏洞？()。A)IIS4.0B)IIS5.0C)IIS6.0D)IIS7.0答案:C解析:[單選題]6.GaryMoGrow博士及其合作都提出軟件安全應(yīng)由三根支柱來支撐,這三個支柱是()A)測代碼審核,風(fēng)險分析和滲透測試B)應(yīng)用風(fēng)險管理,軟件安全接觸點和安全知識C)威脅建模,滲透測試和軟件安全接觸點D)威脅建模,測代碼審核和模模糊測試答案:B解析:[單選題]7.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前,組織應(yīng)當(dāng)做什么?A)該外部機(jī)構(gòu)的過程應(yīng)當(dāng)可以被獨立機(jī)構(gòu)進(jìn)行IT審計B)該組織應(yīng)執(zhí)行一個風(fēng)險評估,設(shè)計并實施適當(dāng)?shù)目刂艭)該外部機(jī)構(gòu)的任何訪問應(yīng)被限制在DMZ區(qū)之內(nèi)D)應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序答案:B解析:[單選題]8.超文本傳輸協(xié)議HyperTextTransferProtocol，HTTP）是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議。下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能（）。A)HTTPB)協(xié)議B.HTTP1.0協(xié)議C)HTTPS協(xié)議D)HTTP1.1協(xié)議答案:C解析:HTTPS協(xié)議，是以安全為目標(biāo)的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性。[單選題]9.447.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照模型進(jìn)行，及信息安全管理體系應(yīng)建立ISMS，實施和運行ISMS，監(jiān)視和評審ISMS保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實施若干活動，請選出以下描述錯誤的選項（）A)?制定ISMS方針?是建立ISMS階段工作內(nèi)容B)?實施培訓(xùn)和意識教育計劃?是實施和運行ISMS階段工作內(nèi)容C)?進(jìn)行有效性測量?是監(jiān)視和評審ISMS階段工作內(nèi)容D)?實施內(nèi)部審核?是保持和改進(jìn)ISMS階段工作內(nèi)容答案:D解析:[單選題]10.下面關(guān)于信息安全保障的說法錯誤的是：A)信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B)信息系統(tǒng)安全保障要素包括信息的完整性，可用性和保密性C)信息安全保障和信息安全技術(shù)并列構(gòu)成實現(xiàn)信息安全的兩大主要手段D)信息安全保障是以業(yè)務(wù)目標(biāo)的實現(xiàn)為最終目的，從風(fēng)險和策略出發(fā)，實施各種保障要素，在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性。答案:C解析:[單選題]11.近年來，電子郵件用戶和公司面臨的安全性風(fēng)險日益嚴(yán)重，以下不屬于電子郵件安全威脅的是：_________A)SMTP的安全漏洞B)電子郵件群發(fā)C)郵件炸彈D)垃圾郵件答案:B解析:[單選題]12.小張在一不知名的網(wǎng)站上下載了魯大師并進(jìn)行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張驚出一身冷汗,因為他知道惡意代碼終隨之進(jìn)入系統(tǒng)后會對他的系統(tǒng)信息安全造成極大的威脅,那么惡意代碼的軟件部署常見的實現(xiàn)方式不包括()A)攻擊者在獲得系統(tǒng)的上傳權(quán)限后,將惡意部署到目標(biāo)系統(tǒng)B)惡意代碼自身就是軟件的一部分,隨軟件部署傳播C)內(nèi)鑲在軟件中,當(dāng)文件被執(zhí)行時進(jìn)入目標(biāo)系統(tǒng)D)惡意代碼通過網(wǎng)上激活答案:D解析:?惡意代碼通過網(wǎng)上激活?錯誤,一些惡意代碼一經(jīng)下載就可以自動激活運行。[單選題]13.操作系統(tǒng)是一個支撐軟件，為應(yīng)用軟件的安全使用提供了一個安全穩(wěn)定的環(huán)境，某公司的系統(tǒng)管理員為滿足安全需求給自己的操作系統(tǒng)進(jìn)行了安全加固措施，其中不包括（）A)標(biāo)識與鑒別B)訪問控制C)權(quán)限管理D)網(wǎng)絡(luò)云盤存取保護(hù)答案:D解析:[單選題]14.為了應(yīng)對日益嚴(yán)重的垃圾郵件問題，人們設(shè)計和應(yīng)用了各種垃圾郵件過濾機(jī)制，以下哪一項是耗費計算資源最多的一種垃圾郵件過濾機(jī)制？A)SMTP身份認(rèn)證B)逆向名字解析C)黑名單過濾D)內(nèi)容過濾答案:D解析:[單選題]15.有關(guān)項目管理,錯誤的理解是:A)項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學(xué)B)項目管理是運用系統(tǒng)的觀點、方法和理論,對項目涉及的全部工作進(jìn)行有效地管理,不受項目資源的約束C)項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風(fēng)險、采購、集成的管理D)項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用答案:B解析:項目管理受項目資源的約束。[單選題]16.2016年國家網(wǎng)絡(luò)安全宣傳周主題是（）A)網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民B)共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明C)網(wǎng)絡(luò)安全同擔(dān)，網(wǎng)絡(luò)生活共享D)我身邊的網(wǎng)絡(luò)安全答案:A解析:[單選題]17.物理安全是一個非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體,其安全性對信息系統(tǒng)至關(guān)重要。下列選項中,對設(shè)施安全的保障的描述正確的是()。A)安全區(qū)域不僅包含物理區(qū)域,還包含信息系統(tǒng)等軟件區(qū)域B)建立安全區(qū)域需要建立安全屏蔽及訪問控制機(jī)制C)由于傳統(tǒng)門鎖容易被破解,因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D)閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備,后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等答案:B解析:A物理安全包括信息系統(tǒng)所在物理區(qū)域,但不包含軟件區(qū)域,C?進(jìn)展采用門鎖方式?錯誤,D數(shù)字式控制錄像設(shè)備屬于后端設(shè)備,B描述了物理安全措施。[單選題]18.王同學(xué)喜歡在不同的購物和社交網(wǎng)站進(jìn)行登錄和注冊，但他習(xí)慣于在不同的網(wǎng)站使用相同的用戶名和密碼進(jìn)行注冊登錄，某天，他突然發(fā)現(xiàn)，自己在微博和很多網(wǎng)站的賬號同時都不能登錄了，這些網(wǎng)站使用了同樣的用戶名和密碼，請問，王同學(xué)可能遭遇了以下哪類行為攻擊：（）。A)拖庫B)撞庫C)建庫D)洗庫答案:B解析:[單選題]19.在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)。A)網(wǎng)絡(luò)層B)表示層C)會話層D)物理層答案:A解析:網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)[單選題]20.如果恢復(fù)時間目標(biāo)增加,則A)災(zāi)難容忍度增加B)恢復(fù)成本增加C)不能使用冷備援計算機(jī)中心D)數(shù)據(jù)備份頻率增加答案:A解析:[單選題]21.如圖所示,主體S對客體01有讀(R)權(quán)限,對客體02有讀(R)、寫()權(quán)限。該圖所示的訪問控制實現(xiàn)方法是:A)訪問控制表(ACL)B)訪問控制矩陣C)能力表(CL)D)前綴表(Profiles)答案:C解析:[單選題]22.CB/T20984-2007《信息安全技術(shù)信息安全義批詳選規(guī)范》、對10個()進(jìn)行了定義闡述其相關(guān)關(guān)系,規(guī)定了()的原理和()規(guī)定了風(fēng)險評估實施的7個階段的具體方法和要求,規(guī)定了針對信息系統(tǒng)()5個階段風(fēng)險評估的常見(),給出了風(fēng)險評估的一般計算方法和相關(guān)工具建議。A)風(fēng)險要素;風(fēng)險評估;實施流程;生命周期;工作形式B)風(fēng)險要素;實施流程;風(fēng)險評估;生命周期;工作形式C)風(fēng)險要素;生命周期;風(fēng)險評估;實施流程;工作形式D)風(fēng)險要素;工作形式;風(fēng)險評估;實施流程;生命周期答案:A解析:[單選題]23.數(shù)據(jù)庫的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是()。A)粒度最小策略,將數(shù)據(jù)庫中的數(shù)據(jù)項進(jìn)行劃分,粒度越小,安全級別越高,在實際中需要選擇最小粒度B)最小特權(quán)原則,是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下,分配最小的特權(quán),使得這些信息恰好能夠完成用戶的工作C)按內(nèi)容存取控制策略,不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分D)最大共享策略,在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下,最大程度地共享數(shù)據(jù)庫中的信息答案:D解析:數(shù)據(jù)庫安全一般遵循最小化原則。[單選題]24.關(guān)于軟件安全問題，下面描述錯誤的是（）A)軟件的安全問題可能造成軟件運行不穩(wěn)定，得不到正確結(jié)果甚至崩潰B)軟件的安全問題應(yīng)該依賴于軟件開發(fā)的設(shè)計、編程、測試以及部署等各個階段措施解決C)軟件的安全問題可能被攻擊者利用后影響人身健康安全D)軟件的安全問題是由程序開發(fā)者遺留的，和軟件部署運行環(huán)境無關(guān)答案:D解析:?由程序開發(fā)者遺留的，和軟件部署運行環(huán)境有關(guān)[單選題]25.你是單位安全主管，由于微軟剛剛發(fā)布了數(shù)個系統(tǒng)漏洞補(bǔ)丁，安全運維人員給出了針對此批漏洞修補(bǔ)的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）A)對于重要的服務(wù)，應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署B(yǎng))對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級C)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害，所以可以先不做處理D)由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞，為了避免安全風(fēng)險，應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁答案:A解析:對于重要的服務(wù)，在測試環(huán)境中安裝并確定補(bǔ)丁的兼容性問題后再在正式生產(chǎn)環(huán)境中部署，這樣可以有效地避免應(yīng)補(bǔ)丁升級后可能會對系統(tǒng)服務(wù)造成不必要的影響。[單選題]26.以下說法正確的是:.A)軟件測試計劃開始于軟件設(shè)計階段,完成于軟件開發(fā)階段B)驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收C)軟件測試的目的是為了驗證軟件功能是否正確D)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃,并提出審查意見答案:D解析:[單選題]27.下面不屬于容災(zāi)內(nèi)容的是____。A)A災(zāi)難預(yù)測B)B災(zāi)難演習(xí)C)C風(fēng)險分析D)D業(yè)務(wù)影響分析答案:A解析:[單選題]28.以下哪項不是IDS可以解決的問題：A)彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點B)識別和報告對數(shù)據(jù)文件的改動C)統(tǒng)計分析系統(tǒng)中異?；顒幽Ｊ紻)提升系統(tǒng)監(jiān)控能力答案:A解析:[單選題]29.第一個建立電子政務(wù)標(biāo)準(zhǔn)的國家是?A)英國。B)美國。C)德國。D)俄羅斯。答案:C解析:[單選題]30.FTP(文件傳輸協(xié)議，F(xiàn)ileTransferProtocol，簡稱FFP)服務(wù)、SMTP(簡單郵件傳輸協(xié)議，SimpleMailTransferProtocol，簡稱SMTP)服務(wù)、HTTP(超文本傳輸協(xié)議，HyperTextTransportProtocol，簡稱HTTP)、HTTPS(加密并通過安全端口傳輸?shù)牧硪环NHTTP)服務(wù)分別對應(yīng)的端口是____。A)A（25-21-80-554）B)B（21-25-80-443）C)C（21-110-80-554）D)D（21-25-443-554）答案:B解析:[單選題]31.小張新購入了一臺安裝了windows操作系統(tǒng)的筆記本電腦,為了提升操作系統(tǒng)的安全性,小張在windows系統(tǒng)中的?本地安全策略?中,配置了四類安全策略:賬號策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的()A)關(guān)閉不必要的服務(wù)B)關(guān)閉不必要的端口C)制定操作系統(tǒng)安全策路D)開啟審核策略答案:C解析:[單選題]32.以下關(guān)于cc攻擊說法錯誤的是()A)cc攻擊需要借助代理進(jìn)行B)cc攻擊利用的是tcp協(xié)議的缺陷C)cc攻擊難以獲取目標(biāo)機(jī)器的控制權(quán)D)cc攻擊最早在國外大面積流行答案:B解析:[單選題]33.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（）A)A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B)A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C)A類、B類和C類地址中都可以設(shè)置私有地址D)A類、B類和C類地址中都沒有私有地址答案:C解析:[單選題]34.409.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)后,繪制了一張簡化的信息系統(tǒng)安全保障模型圖,如下所示。請為圖中括號空白處選擇合適的選項:A)安全保障(方針和組織)B)安全防護(hù)(技術(shù)和管理)C)深度防御(策略、防護(hù)、檢測、響應(yīng))D)保障要素(管理、工程、技術(shù)、人員)答案:D解析:[單選題]35.以下哪一個不是風(fēng)險控制的主要方式A)規(guī)避方式B)轉(zhuǎn)移方式C)降低方式D)隔離方式答案:D解析:[單選題]36.下面說法錯誤的是____。A)A由于基于主機(jī)的入侵檢測系統(tǒng)可以監(jiān)視一個主機(jī)上發(fā)生的全部事件，它們能夠檢測基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能檢測的攻擊B)B基于主機(jī)的入侵檢測可以運行在交換網(wǎng)絡(luò)中C)C基于主機(jī)的入侵檢測系統(tǒng)可以檢測針對網(wǎng)絡(luò)中所有主機(jī)的網(wǎng)絡(luò)掃描D)D基于應(yīng)用的入侵檢測系統(tǒng)比起基于主機(jī)的入侵檢測系統(tǒng)更容易受到攻擊，因為應(yīng)用程序日志并不像操作系統(tǒng)審計追蹤日志那樣被很好地保護(hù)答案:C解析:[單選題]37.為了有效的完成工作,信息系統(tǒng)安全部門員工最需要以下哪一項技能?A)人際關(guān)系技能B)項目管理技能C)技術(shù)技能D)溝通技能答案:D解析:[單選題]38.質(zhì)量保證小組通常負(fù)責(zé)：A)確保從系統(tǒng)處理收到的輸出是完整的B)監(jiān)督計算機(jī)處理任務(wù)的執(zhí)行C)確保程序、程序的更改以及存檔符合制定的標(biāo)準(zhǔn)D)設(shè)計流程來保護(hù)數(shù)據(jù)，以免被意外泄露、更改或破壞答案:C解析:[單選題]39.下面哪一個不是脆弱性識別的手段A)人員訪談B)技術(shù)工具檢測C)信息資產(chǎn)核查D)安全專家人工分析答案:C解析:[單選題]40.下列哪項是多級安全策略的必要組成部分?A)主體、客體的敏感標(biāo)簽和自主訪問控制。B)客體敏感標(biāo)簽和強(qiáng)制訪問控制。C)主體的安全憑證、客體的安全標(biāo)簽和強(qiáng)制訪問控制。D)主體、客體的敏感標(biāo)簽和對其?系統(tǒng)高安全模式?的評價答案:C解析:[單選題]41.社會工程學(xué)是()與()結(jié)合的學(xué)科,準(zhǔn)確來說,它不是一門科學(xué),因為它不能總是重復(fù)合成功,并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的(),隨著時間流逝最終都會失效,因為系統(tǒng)的漏洞可以彌補(bǔ),體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代,社會工程學(xué)利用的是人性的?弱點?,而人性是(),這使得它幾乎是永遠(yuǎn)有效的()。A)網(wǎng)絡(luò)安全;心理學(xué);攻擊方式;永恒存在的;攻擊方式B)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);永恒存在的;攻擊方式C)網(wǎng)絡(luò)安全;心理學(xué);永恒存在的;攻擊方式D)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);攻擊方式;永恒存在的答案:A解析:[單選題]42.王先生近期收到了一封電子郵件，發(fā)件人顯示是某同事，但該郵件十分可疑，沒有任何與工作相關(guān)內(nèi)容，郵件中帶有一個陌生的網(wǎng)站鏈接，要求他訪問并使用真實姓名注冊，這可能屬于哪種攻擊手段（）A)緩沖區(qū)溢出攻擊B)釣魚攻擊C)水坑攻擊D)D.OS攻擊答案:B解析:[單選題]43.7分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A)分組密碼算法要求輸入明文按組分成固定長度的塊B)分組密碼算法每次計算得到固定長度的密文輸出塊C)分組密碼算法也稱為序列密碼算法D)常見的DES、IDEA算法都屬于分組密碼算法答案:C解析:[單選題]44.某銀行有5臺交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)路（如圖所示），在基于以太網(wǎng)的通信中，計算機(jī)A需要與計算機(jī)B通信，A必須先廣播?ARP請求信息?，獲取計算機(jī)B的物理地址。沒到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢。銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺交換機(jī)收到ARP請求后，會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口，ARP請求會被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機(jī)上。為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是A)VLAN劃分B)動態(tài)分配地址C)設(shè)立入侵防御系統(tǒng)D)為路由交換設(shè)備修改默認(rèn)口令答案:A解析:[單選題]45.windows系統(tǒng)中，安全標(biāo)識符（SID）是標(biāo)識用戶、組和計算機(jī)賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用，當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時，操作系統(tǒng)會把SID和權(quán)限寫入對象的ACL中，小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)的知識，在自己的計算機(jī)上使用whoami/users操作查看當(dāng)前關(guān)于此SID，得到的SID為S-1-5-21-98275167-2759607329-275683583817-500，下列選項，關(guān)于此SID描述錯誤的是（）A)前三位S-1-5表示此SID是WINDOWSNT頒發(fā)的B)第一個頒發(fā)子機(jī)構(gòu)是21C)windowsnt的SID的三個子頒發(fā)機(jī)構(gòu)是98275167-2759607329-2756835817D)此SID以500結(jié)尾，表示內(nèi)置GUEST帳戶答案:D解析:[單選題]46.某用戶通過賬號,密碼和驗證碼成功登陸某銀行的個人網(wǎng)銀系統(tǒng),此過程屬于以下哪一類:A)個人網(wǎng)銀和用戶之間的雙向鑒別B)由可信第三方完成的用戶身份鑒別C)個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別D)用戶對個人網(wǎng)銀系統(tǒng)合法性單向鑒別答案:C解析:[單選題]47.王女士經(jīng)常通過計算機(jī)網(wǎng)絡(luò)進(jìn)行購物，從安全角度看，下面哪項是不好的操作習(xí)慣（）？A)在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)B)為計算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C)在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的A.C.TIVEX控件D)采用專用的計算機(jī)進(jìn)行網(wǎng)上購物，安裝好軟件后不對該計算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級答案:D解析:[單選題]48.提高Apache系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時，下面哪項措施不屬于安全配置()?A)不在Windows下安裝Apache，只在Linux和Unix下安裝B)安裝Apache時，只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D)積極了解Apache的安全通告，并及時下載和更新答案:A解析:A不屬于安全配置，而屬于部署環(huán)境選擇。[單選題]49.423.方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T_25058-2010_《信息安全技術(shù)_信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等。其中《等級保護(hù)實施指南》原以()政策文件方式發(fā)布，后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()做了詳細(xì)規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護(hù)測評準(zhǔn)則》等文件，后經(jīng)過修改以《等級保護(hù)測評要求》發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()工作做出了（）A)公安部；等級保護(hù)試點；等級保護(hù)工作；等級保護(hù)測評；詳細(xì)規(guī)定B)公安部；等級保護(hù)工作；等級保護(hù)試點；等級保護(hù)測評；詳細(xì)規(guī)定C)公安部；等級保護(hù)工作；等級保護(hù)測評；等級保護(hù)試點；詳細(xì)規(guī)定D)公安部:等級保護(hù)工作；級等級保護(hù)試點詳細(xì)規(guī)定等級保護(hù)測評答案:B解析:[單選題]50."在選擇外部供貨生產(chǎn)商時,評價標(biāo)準(zhǔn)按照重要性的排列順序是:1供貨商與信息系統(tǒng)部門的接近程度2供貨商雇員的態(tài)度3供貨商的信譽(yù)、專業(yè)知識、技術(shù)4供貨商的財政狀況和管理情況"A)4,3,1,2B)3,4,2,1C)3,2,4,1D)1,2,3,4答案:B解析:[單選題]51.以下哪個不是SDL的思想之一：A)SDL是持續(xù)改進(jìn)的過程，通過持續(xù)改進(jìn)和優(yōu)化以適用各種安全變化，追求最優(yōu)效果B)SDL要將安全思想和意識嵌入到軟件團(tuán)隊和企業(yè)文化中C)SDL要實現(xiàn)安全的可度量性D)SDL是對傳統(tǒng)軟件開發(fā)過程的重要補(bǔ)充，用于完善傳統(tǒng)軟件開發(fā)中的不足答案:D解析:[單選題]52.應(yīng)急響應(yīng)時信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是（）A)信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事業(yè)發(fā)生后的應(yīng)對措施B)應(yīng)急響應(yīng)工作有其鮮明的特點：具體高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C)應(yīng)急響應(yīng)時組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結(jié)D)應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性答案:C解析:[單選題]53.52.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A)要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重B)B．信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C)在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D)D．在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。答案:A解析:[單選題]54.計算機(jī)漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代,某公司為減少計算機(jī)系統(tǒng)漏洞,對公司計算機(jī)系統(tǒng)進(jìn)行了如下措施,其中錯誤的是()A)減少系統(tǒng)日志的系統(tǒng)開銷B)禁用或刪除不需要的服務(wù),降低服務(wù)運行權(quán)限C)設(shè)置策略避免系統(tǒng)出現(xiàn)弱口令并對口令猜測進(jìn)行防護(hù)D)對系統(tǒng)連續(xù)進(jìn)行限制,通過軟件防火墻等技術(shù)實現(xiàn)對系統(tǒng)的端口連續(xù)進(jìn)行控制答案:A解析:系統(tǒng)日志不應(yīng)該減少[單選題]55.常見的訪間控制模型包括自主訪間控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯誤的是（）A)從全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型B)自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者(往往也是創(chuàng)建者)可以規(guī)定誰有權(quán)訪問它們的資源，具有較好的易用性和可擴(kuò)展性C)強(qiáng)制訪問控制模型要求主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D)基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模型便于實施授權(quán)管理和安全約束，容易實現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略答案:A解析:[單選題]56.ISO27002(Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt)是重要的信息安全管理標(biāo)準(zhǔn)之一,下圖是關(guān)于其演進(jìn)變化示意圖,圖中括號空白處應(yīng)填寫()A)BS7799.1.3B)ISO17799C)AS/NZS4630D)NISTSP800-37答案:B解析:[單選題]57.在你對終端計算機(jī)進(jìn)行Ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包含中初始TTL值是不同的，TTL是IP協(xié)議包中的一個信，它告訴網(wǎng)絡(luò)，數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。（簡而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器）根據(jù)回應(yīng)的數(shù)據(jù)包中的TTL值，可以大致判斷（）A)內(nèi)存容量B)操作系統(tǒng)的類型C)對方物理位置D)對方的MAC地址答案:B解析:[單選題]58.規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。某單位在實施風(fēng)險評估時,按照規(guī)范形成了若干文檔,其中,下面()中的文檔應(yīng)屬于風(fēng)險評估中?風(fēng)險要素識別?階段輸出的文檔。A)《風(fēng)險評估方法和工具列表》,主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容B)《已有安全措施列表》,主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容C)《風(fēng)險評估方案》,主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費預(yù)算和進(jìn)度安排等內(nèi)容D)《風(fēng)險評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容答案:B解析:P256頁或者見下表:[單選題]59.分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會把它當(dāng)作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯誤的是（）A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯誤的訪問控制答案:D解析:A項攻擊的是web應(yīng)用資源，B項攻擊的是把web服務(wù)器的地址重定向到其他地址，C項攻擊的是運行http協(xié)議的客戶端或者服務(wù)器銘文傳輸?shù)膯栴}。[單選題]60.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法,它將應(yīng)急響應(yīng)分成六個階段。其中,主要執(zhí)行如下工作應(yīng)在哪一個階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾規(guī)則,拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號等()A)準(zhǔn)備階段B)遏制階段C)根除階段D)檢測階段答案:B解析:[單選題]61.拿到一個windows下的webshell，我想看一下主機(jī)的名字，如下命令做不到的是()A)hostnameB)systeminfoC)ipconfig/allD)set答案:D解析:[單選題]62.對于重要的計算機(jī)系統(tǒng)，更換操作人員時，應(yīng)當(dāng)______系統(tǒng)的口令密碼。A)立即改變B)一周內(nèi)改變C)一個月內(nèi)改變D)3天內(nèi)改變答案:A解析:[單選題]63.在制定控制前,管理層首先應(yīng)該保證控制A)滿足控制一個風(fēng)險問題的要求B)不減少生產(chǎn)力C)基于成本效益的分析D)檢測行或改正性的答案:A解析:[單選題]64.IPv4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。下列選項中說法錯誤的是（）A)對于IPv4，IPSec是可選的，對于IPv6，IPSec是強(qiáng)制實施的。B)IPSec協(xié)議提供對IP及其上層協(xié)議的保護(hù)。C)IPSec是一個單獨的協(xié)議D)IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制。答案:C解析:[單選題]65.27.根據(jù)Bell-LaPadula模型安全策略，下圖中寫和讀操作正確的是（）A)可寫可讀B)可讀不可寫C)可寫不可讀D)不可讀不可寫答案:D解析:[單選題]66.安全技術(shù)評估工具通常不包括A)漏洞掃描工具B)入侵檢測系統(tǒng)C)調(diào)查問卷D)滲透測試工具答案:C解析:[單選題]67.class="fr-ficfr-dibcursor-hover">為了能夠合理、有序地處理安全事件,應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法,其將應(yīng)急響應(yīng)分成六個階段,如下圖所示,請為圖中括號空白處選擇合適的內(nèi)容()A)培訓(xùn)階段B)文檔階段C)報告階段D)檢測階段答案:D解析:[單選題]68.7.加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows操作系統(tǒng)的一個組件。以下說法錯誤的是（）。A)EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能加密數(shù)據(jù)B)EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C)EFS加密系統(tǒng)使用NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Windows7環(huán)境下）D)EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登錄Windows時進(jìn)行的答案:C解析:[單選題]69.白盒測試的具體優(yōu)點是:A)其檢查程序是否可與系統(tǒng)的其他部分一起正常運行B)在不知程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C)其確定程序準(zhǔn)確性成某程序的特定邏輯路徑的狀態(tài)D)其通過嚴(yán)格限制訪問主機(jī)系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對程序功能的檢查答案:C解析:[單選題]70.計劃是組織根據(jù)環(huán)境的需要和自身的特點，確定組織在一定時期內(nèi)的目標(biāo)，并通過計劃的編制、執(zhí)行、和監(jiān)督來協(xié)調(diào)，組織各類資源以順利達(dá)到預(yù)期目標(biāo)的過程。計劃編制的步驟流程如下圖所示，則空白方框處應(yīng)該填寫的步驟為（）A)估計潛在的災(zāi)難事件、選擇計劃策略B)估計潛在的災(zāi)難事件、制定計劃策略C)選擇計劃策略、估計潛在的災(zāi)難事件D)制定計劃策略、估計潛在的災(zāi)難事件答案:A解析:[單選題]71.54.風(fēng)險評估相關(guān)政策，目前主要有()(國信辦[2006]5號)。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(），評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險的影響等、兩類信息系統(tǒng)的(）、涉密信息系統(tǒng)參照?分級保護(hù)?、非涉密信息系統(tǒng)參照?等級保護(hù)?。A)《關(guān)于開展信息安全風(fēng)險評估工作的意見》；重要程度:安全威脅:脆弱性；工作開展B)《關(guān)于開展風(fēng)險評估工作的意見》；安全威脅重要程度脆弱性:工作開展C)《關(guān)于開展風(fēng)險評估工作的意見》；重要程度；安全威脅:脆弱性:工作開展D)《關(guān)于開展信息安全風(fēng)險評估工作的意見》；脆弱性；重要程度安全威脅:工作開展答案:A解析:[單選題]72.關(guān)于物聯(lián)網(wǎng)的說法，錯誤的是：A)萬物互聯(lián)將為我們的生活帶來極大便利，節(jié)約溝通成本，提升資源利用效率B)物聯(lián)網(wǎng)與互聯(lián)網(wǎng)存在本質(zhì)區(qū)別，黑客很難攻擊到諸如網(wǎng)絡(luò)攝像頭之類的物理設(shè)備C)物聯(lián)網(wǎng)是INTERNETOFTHINGS的意思，意即萬物互聯(lián)，是互聯(lián)網(wǎng)的一部分D)物聯(lián)網(wǎng)中很多設(shè)備都是使用著安卓操作系統(tǒng)答案:B解析:[單選題]73.71.在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度重視我國信息安全人才隊伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中，錯誤的是（）A)在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）中，針對信息安全人才建設(shè)與培養(yǎng)工作提出了?加快新鮮全人才培養(yǎng)，增強(qiáng)全民信息安全意識?的指導(dǎo)精神B)2015年，為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，經(jīng)報國務(wù)院學(xué)位委員會批準(zhǔn)，國務(wù)院學(xué)位委員會、教育部決定在?工學(xué)?門類下增設(shè)?網(wǎng)絡(luò)空間安全?一級學(xué)科，這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；⑾到y(tǒng)化培養(yǎng)起到積極的推動作用C)經(jīng)過十余年的發(fā)展，我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多，基本能同社會實際需求相匹配；同時，高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識更全面，因而社會化培養(yǎng)應(yīng)重點放在非安全專業(yè)人才培養(yǎng)上D)除正規(guī)大學(xué)教育外，我國信息安全人才非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系，包括?注冊信息安全專業(yè)人員（CISP）?資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證答案:C解析:[單選題]74.Linux環(huán)境下，查詢?nèi)罩疚募詈?00行數(shù)據(jù)，正確的方式是A)mv-100.logB)grep-100.logC)cat-100.logD)tail-100.log答案:D解析:[單選題]75.關(guān)于數(shù)據(jù)庫注入攻擊的說法錯誤的是：A)它的主要原因是程序?qū)τ脩舻妮斎肴狈^濾B)一般情況下防火墻對它無法防范C)對它進(jìn)行防范時要關(guān)注操作系統(tǒng)的版本和安全補(bǔ)丁D)注入成功后可以獲取部分權(quán)限答案:C解析:[單選題]76.年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件（）A)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）B)《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》（國令[2008]54號）C)《國家信息安全戰(zhàn)略報告》（國信[2005]2號）D)《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）答案:B解析:[單選題]77.數(shù)字簽名是使用：A)自己的私鑰簽名B)自己的公鑰簽名C)對方的私鑰簽名D)對方的公鑰簽名答案:A解析:[單選題]78.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是()。A)傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B)傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C)互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D)互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案:B解析:TCP/IP協(xié)議模型自上而下分別是:應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層[單選題]79.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計訪問控制方法，他們在討論中就應(yīng)該采用自主訪問控制還是強(qiáng)制訪問控制產(chǎn)生了分歧。小本認(rèn)為應(yīng)該采用自主訪問控制的方法，他的觀點主要有；(1)自主訪問控制方式，可為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；(2)自主訪問控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問控制的方法，他的觀點主要有；(3)強(qiáng)制訪問控制中，只有文件的擁有者可以修改文件的安全屬性，因此安全性較高；(4)強(qiáng)制訪問控制能夠保護(hù)敏感信息。以上四個觀點中，只有一個觀點是正確的，它是().A)觀點(1)B)觀點(2)C)觀點(3)D)觀點(4)答案:D解析:[單選題]80.60.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯誤的是（）A)在組織中，應(yīng)有信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B)組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體、具備可行性C)組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達(dá)客戶、合作伙伴和供應(yīng)商等外部各方D)組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認(rèn)接受和相關(guān)殘余風(fēng)險答案:A解析:[單選題]81.下圖說明的是模塊A和B之間的關(guān)系,對下圖說明正確的是A)模塊A調(diào)用模塊BB)模塊B調(diào)用模塊AC)模塊A和模塊B相互調(diào)用D)模塊A和模塊B之間不存在調(diào)用關(guān)系答案:A解析:[單選題]82.在戴明環(huán)(PDCA)模型中,處置(ACT)環(huán)節(jié)的信息安全管理活動是:A)建立環(huán)境B)實施風(fēng)險處理計劃C)持續(xù)的監(jiān)視與評審風(fēng)險D)持續(xù)改進(jìn)信息安全管理過程答案:D解析:[單選題]83.近年來黑客的網(wǎng)絡(luò)攻擊行為模式發(fā)生了很大的變化，并且呈現(xiàn)愈演愈烈的趨勢，其中的根本原因是什么？A)黑客熱衷制造轟動效應(yīng);B)黑客受到利益驅(qū)動;C)系統(tǒng)安全缺陷越來越多;D)黑客技術(shù)突飛猛進(jìn)答案:B解析:[單選題]84.以下哪一項是防范SQL注入攻擊最有效的手段？A)刪除存在注入點的網(wǎng)頁B)對數(shù)據(jù)庫系統(tǒng)的管理權(quán)限進(jìn)行嚴(yán)格的控制C)通過網(wǎng)絡(luò)防火墻嚴(yán)格限制INTERNET用戶對WEB.服務(wù)器的訪問D)對WEB.用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的過濾答案:D解析:[單選題]85.下系統(tǒng)工程說法錯誤的是:A)系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)B)系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C)系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法D)系統(tǒng)工程是一種方法論答案:A解析:[單選題]86.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管