注冊(cè)信息安全專業(yè)人員CISP資質(zhì)認(rèn)證模擬考試(CISP模擬考試題-測(cè)試題)

注冊(cè)信息安全專業(yè)人員CISP資質(zhì)認(rèn)證模擬考試(CISP模擬考

試題-測(cè)試題)

基本信息：

［矩陣文本題］*

姓名：

1.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是()［單選題］*

A.資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)進(jìn)行識(shí)別和分類

B.威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其的可能性

C.脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的

弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估

D.確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、

系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)

2.風(fēng)險(xiǎn)評(píng)估工作的使用在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠

將專家知識(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主

要任務(wù)和作用原理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是()［單選題］

*

A.風(fēng)險(xiǎn)評(píng)估與管理工具

B.系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具

C.風(fēng)險(xiǎn)評(píng)估輔助工具

D.環(huán)境風(fēng)險(xiǎn)評(píng)估工具

3.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識(shí)別的主

要過程使用圖形來表示，如下圖所示，請(qǐng)為圖中空白框中空白框處選擇一個(gè)最合適

的選項(xiàng)。

風(fēng)1ft評(píng)估建各I

.

r

識(shí)別/要保護(hù)的資產(chǎn)并*僮?］

識(shí)別面■的威脅并依值

確認(rèn)已有的安全措施

風(fēng)除分析

［單選題］*

A.識(shí)別面臨的風(fēng)險(xiǎn)并賦值

B.識(shí)別存在的脆弱性并賦值

C.制定安全措施實(shí)施計(jì)劃

D.檢查安全措施有效性

4.以下關(guān)于直接附加存儲(chǔ)(DAS)說法錯(cuò)誤的是()［單選題］*

A.DAS能夠在服務(wù)器物理位置比較芬酸的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)

據(jù)存儲(chǔ)方法。

B.DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單。

C.DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連續(xù)在服務(wù)器上的存

儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取。

D.較網(wǎng)絡(luò)附加存儲(chǔ)(NAS),DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管

理和備份。(正確答案)

5.對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素，信息系統(tǒng)的重要程度，系統(tǒng)損失和社

會(huì)影響，依據(jù)信息系統(tǒng)的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的

()［單選題］*

A.特別重要信息系統(tǒng)

B.重要信息系統(tǒng)

C.一般信息系統(tǒng)

D.關(guān)鍵信息系統(tǒng)

6.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是

()［單選題］*

A.組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件，信息安全相關(guān)操作規(guī)范文

件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)。

B.組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文件的執(zhí)行和記

錄，對(duì)這些記錄不需要保護(hù)和控制。

C.組織在每份文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期，編寫人，審

批人，主要修訂等內(nèi)容。

D.層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果建

立。

7.下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：()

［單選題］*

A.確保采購/定制的設(shè)備，軟件和其他系統(tǒng)組件滿足已定義的安全要求。

B.確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置。

C.確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特征能力。

D.確保信息系統(tǒng)的使用已得到授權(quán)。

8.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某

單位的實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下()中的輸出結(jié)果。

［單選題］*

A.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段

B.風(fēng)險(xiǎn)要素識(shí)別階段

C.風(fēng)險(xiǎn)分析階段

D.風(fēng)險(xiǎn)結(jié)果判定階段

9.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文檔，下面()種的文檔不應(yīng)屬

于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出的文檔。［單選題］*

A.《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、意義、目標(biāo)、組織結(jié)

構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容。

B.《風(fēng)險(xiǎn)評(píng)估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等

內(nèi)容。

C《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措

施等內(nèi)容。

D.《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)

險(xiǎn)計(jì)算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容。

10.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)

當(dāng)根據(jù)各自的實(shí)際情況，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中，錯(cuò)誤的是()

［單選題］*

A.定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析

結(jié)果，以度量風(fēng)險(xiǎn)的可能性和損失量。

B.定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定

量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定型風(fēng)險(xiǎn)分析。

C.定性風(fēng)險(xiǎn)分析過程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和

風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)，經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)。

D.定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性。

11.在信息安全管理體系的實(shí)施過程中，管理者的作用對(duì)于信息安全管理體系能否

成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()［單選題］*

A.制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體

綱領(lǐng)，明確總體要求。

B.確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確，可度

量，計(jì)劃應(yīng)具體，可實(shí)施。

C.向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目

標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性。

D.建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程，

確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確。

12.為推動(dòng)和規(guī)范我國信息安全等級(jí)保護(hù)工作，我國制定和發(fā)布了信息安全等級(jí)保

護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級(jí)保護(hù)工作的工作階段分級(jí).下

面四個(gè)標(biāo)準(zhǔn)中，()規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)、對(duì)象、流程、方法及登記變

更等內(nèi)容。［單選題］*

A.GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》

B.GB/T《信息系統(tǒng)安全保護(hù)登記定級(jí)指南》

C.GB/T-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

D.GB/T《信息系統(tǒng)安全管理要求》

13.GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》是測(cè)評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定

義了評(píng)估對(duì)象，保護(hù)輪廓和安全目標(biāo)等術(shù)語.關(guān)于安全目標(biāo)（ST）下面選項(xiàng)中描述錯(cuò)

誤的是（）［單選題］*

A.ST闡述了安全要求，具體說明了一個(gè)既定被評(píng)估產(chǎn)品或評(píng)估對(duì)象的安全功能。

B.ST包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施。

C.ST對(duì)于產(chǎn)品和系統(tǒng)來講，相當(dāng)于要求了其安全實(shí)現(xiàn)方案。

D.ST從用戶角度描述，代表了用戶想要的東西，而不是廠商聲稱提供的東西。

確答案）

14.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全協(xié)議說法錯(cuò)誤的是（）［單選題］*

A.在傳達(dá)模式中，保護(hù)的是IP負(fù)載。

B.驗(yàn)證頭協(xié)議和IP封裝安全載荷協(xié)議都能以傳輸模式和隧道模式工作。

C.在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議包包括IP頭。

D.IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性

15.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問制定訪問策略，針對(duì)每個(gè)用戶指明

能夠訪問的資源，對(duì)于不在制定資源列表中的對(duì)象不允許訪問，該訪問控制策略屬

于以下哪一種（）［單選題］*

A.強(qiáng)制訪問控制

B.基于角色的訪問控制

C.自主訪問控制

D.基于任務(wù)的訪問控制

16.移動(dòng)智能終端支持通過指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技

術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是()［單選題］*

A.所選擇的特征(指紋)便于收集、測(cè)量和比較。

B.每個(gè)人所擁有的指紋都是獨(dú)一無二的。

C.指紋信息是每個(gè)人都有的，指紋識(shí)別系統(tǒng)不存在安全威脅問題。

D.此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成。

17.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登陸，然后使用

“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)帳等交易，在此場(chǎng)景中用到下列哪些鑒別方

法()［單選題］*

A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法。

B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法。

C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法。

D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法。

18.TCP是傳輸層協(xié)議，以下關(guān)于TCP的說法哪個(gè)是正確的？。［單選題］*

A.UDP,TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途。

B.TCP協(xié)議包頭中包含了IP地址和睦的IP地址，因此TCP協(xié)議能完全替代IP協(xié)

議。

C.TCP協(xié)議具有能量控制、數(shù)據(jù)檢驗(yàn)、耗時(shí)重復(fù)、驗(yàn)收確認(rèn)等控制，因此TCP協(xié)議

能完全替代IP協(xié)議。

D.TCP協(xié)議性安全高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率比UDP低。

（正確答案）

19.以下關(guān)于UDP協(xié)議的說法，哪個(gè)是錯(cuò)誤的？（）［單選題］*

A.UDP具有簡單高校的特點(diǎn)，常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊。

B.UDP協(xié)議包頭中包含了端口號(hào)和目的端口號(hào)，因此UDP可通過端口號(hào)的數(shù)據(jù)包送

達(dá)正確的程序。

C.相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳達(dá)如這一類高流量需求

的應(yīng)用數(shù)據(jù)。

D.UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用

來純屬如視頻會(huì)議。正確答案）

20.S公司在全國有20個(gè)分支機(jī)構(gòu)，總部有10臺(tái)服務(wù)器200個(gè)用戶終端，每個(gè)分

支機(jī)構(gòu)都有一臺(tái)服務(wù)器，100個(gè)左右用戶終端，通過專用網(wǎng)進(jìn)行互聯(lián)互通，公司招

標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為

i評(píng)標(biāo)專家，請(qǐng)給S公司選出設(shè)計(jì)最合理的一個(gè)：（）［單選題］*

A.總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.Lx,各分支機(jī)構(gòu)服務(wù)器和用戶終端

使用192.168.2.X、192.168.20.X。

B.總部使用服務(wù)器使用10.01.111,用戶終端使用10.0.1.12-212,分支機(jī)構(gòu)IP

地址隨意確定即可。

C總部服務(wù)器使用10.0.1.x.,用戶終端根據(jù)部門劃分使用10.0.2.X,每個(gè)分支機(jī)

構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段，另一個(gè)做用戶終端地址段。

確答案）

D.因?yàn)橥ㄟ^互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地

址無需特別規(guī)劃，各機(jī)構(gòu)自行決定即可。

21.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表機(jī)制，以下哪個(gè)說法是錯(cuò)誤的

（）［單選題］*

A.安裝windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS,因?yàn)閣indows的ACL機(jī)制

需要NTFS文件格式的支持。

B.由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)這些文件和目錄設(shè)

置的訪問權(quán)限，為了使用上的便利，windows上的ACL存在默認(rèn)設(shè)置安全性不高的

問題。

C.windows的ACL機(jī)制中文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的文件夾和文件的

權(quán)限信息是寫在用戶數(shù)據(jù)中。

D.由于ACL具有很好的靈活性，在實(shí)際使用中可以為每個(gè)文件用戶的權(quán)限。

22.以下關(guān)于帳戶策略中密碼策略中各項(xiàng)策略的作用說明，哪個(gè)是錯(cuò)誤的：()

［單選題］*

A.“密碼必須符合復(fù)雜性要求”是用于避免用戶產(chǎn)生1234,111這樣的口令。

B.“密碼長度最小值”是強(qiáng)制用戶使用一定長度以上的密碼。

C.“強(qiáng)制密碼歷史”是強(qiáng)制用戶不能再為使用曾經(jīng)使用過的低密碼。

D.“密碼最長存留期”是為了避免用戶使用密碼時(shí)間過長而不更換。

23.某linux系統(tǒng)由于root口令過于簡單，被攻擊者獲得了root口令，攻擊后，

更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)

限如下r-s-i-xltesttestlO7OApr152002//test/請(qǐng)問以下描述哪個(gè)是正確的：

()［單選題］*

A.該文件是一個(gè)正常文件，是test用戶使用的，test不能讀該文件，只能執(zhí)行。

B.該文件是一個(gè)正常文件，是test用戶使用的，但test用戶無權(quán)執(zhí)行該文件。

C.該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)?，運(yùn)行身份是root,test用戶獲得了

root權(quán)限。(正確答案)

D.該文件是一個(gè)后門程序，由于所有者是test,因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)

限為testo

24.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：()［單選題］*

A.數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)

被破壞時(shí).，可以利用冗余數(shù)據(jù)來進(jìn)行恢復(fù)。

B.數(shù)據(jù)庫管理員定期地將整個(gè)數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁盤或另一個(gè)磁盤上

保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)。

C.日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行故障恢復(fù)和系統(tǒng)故

障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)。

D.計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)

生，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生的完整狀態(tài)，這一對(duì)事物的操作為提交。，

25.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全的

不可缺少的工作，某管理員對(duì)即將上線的widows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部

署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全？()［單選題］*

A.操作系統(tǒng)安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在安全漏洞。

B.為了方便進(jìn)行數(shù)據(jù)備份，安裝windows操作系統(tǒng)時(shí)使用一個(gè)分區(qū)

C,所有數(shù)據(jù)和操作系統(tǒng)存放在C盤。

C.操作系統(tǒng)上部署防病毒軟件以對(duì)抗病毒威脅。

D.將默認(rèn)的管理員賬號(hào)adm改名，降低口令暴力破解攻擊的發(fā)生機(jī)率。

26.在提高阿帕奇系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容()［單選題］

*

A.不在WINDOWS下安裝Apache,只在Linus和Unix下安裝。

B.安裝Apache時(shí)，只安裝需要的組件模塊。

C.不適用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬

號(hào)來運(yùn)行。

D.積極了解Apache的安全通告并及時(shí)下載和更新。

27.以下可能存在SQL注入攻擊的部分是：()［單選題］*

A.GET請(qǐng)求參數(shù)

B.Post請(qǐng)求參數(shù)

C.Cookie值

D.以上均有可能以詢答案）

28.信息安全管理體系（簡稱ISMS）的實(shí)施和運(yùn)行，ISMS階段是ISMS過程模型的實(shí)

施階段，下面給出了一些備選的活動(dòng)，選項(xiàng)（）描述了在次階段組織應(yīng)進(jìn)行的活

動(dòng)。

L制定風(fēng)險(xiǎn)處理計(jì)劃

2.實(shí)施風(fēng)險(xiǎn)處理計(jì)劃

3.開發(fā)有效性測(cè)量程序

4.實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃

5.管理ISMS的運(yùn)行

6.管理ISMS的資源

7.執(zhí)行檢測(cè)事態(tài)和響應(yīng)事件的程序

8.實(shí)施內(nèi)部審核

9.實(shí)施風(fēng)險(xiǎn)在評(píng)估［單選題］*

A.1.2.3.4.5.6

B.1.2.3.4.5.6.7（正確答案）

C.1.2.3.4.5.6.7.8

D.1.2.3.4.5.6.7.8.9

29.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于

資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是？O［單選題］*

A.資產(chǎn)的價(jià)值指采購費(fèi)用

B.資產(chǎn)的價(jià)值指維護(hù)費(fèi)用

C.資產(chǎn)的價(jià)值與其重要性密切相關(guān)

D.資產(chǎn)的價(jià)值無法估計(jì)

30.層次化的文檔是信息安全管理體系(簡稱ISMS)建設(shè)的直接體現(xiàn)，也是ISMS建

設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機(jī)構(gòu)，那么以下選項(xiàng)

()應(yīng)放入到一級(jí)文件中。［單選題］*

A.《風(fēng)險(xiǎn)評(píng)估報(bào)告》

B.《人力資源安全管理規(guī)定》

C.《ISMS內(nèi)部審核計(jì)劃》

D.《單位信息安全方針》

31.信息安全管理體系(簡稱ISMS)的內(nèi)部審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩

者，下面描述錯(cuò)誤的是？()［單選題］*

A.內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿Γ彩菓?yīng)當(dāng)

按照一定的周期實(shí)施。

B.內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式

采用公開管理評(píng)審會(huì)議的形式進(jìn)行。

C.內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由

國家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)。

D.組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審

核準(zhǔn)則使用，但在管理評(píng)審中，這些文件是被審對(duì)象。

32.關(guān)于業(yè)務(wù)連續(xù)性(BCP)以下說法最恰當(dāng)?shù)氖牵?)［單選題］*

A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過

程。

B.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過

程。(正確答案)

C.組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過

程。

D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控

制過程。

33.某次對(duì)某系統(tǒng)進(jìn)行安全測(cè)試時(shí)，李工發(fā)現(xiàn)一個(gè)

URL"http:〃www.xx.com/download.jsp?path=uploads/test.jpg",你覺得此

URL最有可能存在什么漏洞()［單選題］*

A.任意文件下載漏洞

B.SQL注入漏洞

C.未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

D.命令執(zhí)行漏洞

34.全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試(英語：

Complete!yAutomatedPublicTuringtesttotelIComputersandllumansApart簡稱

CAPTCHA),俗稱驗(yàn)證碼。設(shè)計(jì)的初衷是不讓計(jì)算機(jī)識(shí)別，那么攻擊思路就是如何讓

計(jì)算機(jī)程序能夠識(shí)別驗(yàn)證碼，下面不屬于驗(yàn)證碼機(jī)器識(shí)別步驟的是()［單選題］

*

A.預(yù)處理(閾值法二值化、去干擾、降噪)

B.字符分割(投影法、連同區(qū)域法、平均寬度法、滴水算法)

C.字符識(shí)別(OCR)

D.人海戰(zhàn)術(shù)(打碼平臺(tái))

35.某共享文件夾的NTFS權(quán)限和共享權(quán)限設(shè)置的并不一致，則對(duì)于登錄該文件夾所

在主機(jī)的本地用戶而言，下列()有效。［單選題］*

A.文件夾的NTFS權(quán)限

B.文件夾的共享權(quán)限

C.文件夾的共享權(quán)限和NTFS權(quán)限兩者的累加權(quán)限

D.文件夾的共享權(quán)限和NTFS權(quán)限兩者中最嚴(yán)格的那個(gè)權(quán)限

36.利用〃緩沖區(qū)溢出“漏洞進(jìn)行滲透測(cè)試模擬攻擊過程中，利用WEB服務(wù)器的漏洞取

得了一臺(tái)遠(yuǎn)程主機(jī)的Root權(quán)限。為了防止WEB服務(wù)器的漏洞被彌補(bǔ)后，失去對(duì)該服

務(wù)器的控制,應(yīng)首先攻擊下列中的（）文件。［單選題］*

A.etc/htaccess

B./etc/passwd

C./etc/secure

D./etc/shadow

37.某公司內(nèi)網(wǎng)的Web開發(fā)服務(wù)器只對(duì)內(nèi)網(wǎng)提供訪問（Web服務(wù)器監(jiān)聽8080端口，

內(nèi)網(wǎng)信任網(wǎng)段為/24）。管理員李工使用iptables來限制訪問，下

列正確的iptables規(guī)則是（）［單選題］*

A.iptables-AINPUT-ptcp-sl92.168.10.0—dport8080-jACCEPT

B.iptables-AINPUT-ptcp—dport8080-jACCEPT

C.iptables-AINPUT-ptcp-sl92.168.10.0/24—dport8080-JACCEPT

D.iptables-AINPUT-ptcpl92.168.10.0/24—dport8080-jACCEPT

38.如果向Apache的訪問日志中寫入一句話木馬，需要如何操作才能將一句話寫入

到日志中（）［單選題］*

A.在URL后面，加上一句話的url編碼格式的內(nèi)容。

B.在URL后面，加上一句話的base64編碼格式的內(nèi)容。

C.在訪問的URL數(shù)據(jù)體中，直接插入一句話源碼。

D.在訪問的URLhttp請(qǐng)求頭部，插入basic字段，并將一句話編碼為base64。

確答案）

39.我國信息安全保障工作先后經(jīng)歷啟動(dòng)，逐步展開和積極推進(jìn)，以及深化落實(shí)三

個(gè)階段，以下關(guān)于我國信息安全保障各階段說法不正確的是：（）［單選題］*

A.2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全

保障工作正式啟動(dòng)。

B.2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的

意見》（中辦發(fā)27號(hào)文），明確了“積極防御、綜合防范”的國家信息安全保障方

針。

C.2003年中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實(shí)階段。

（正確答案）

D.在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信

息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展。

40.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等

方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是：（）［單選題］*

A.建全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障。

B.建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐。

C.建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主創(chuàng)新。

D.建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)。

41.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次

改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素（）［單選題］*

A.信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)。

B.信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求。

C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)。

D.該銀行整體安全策略

42.信息安全測(cè)評(píng)是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對(duì)信息技術(shù)產(chǎn)品、信息系

統(tǒng)、服務(wù)提供商以及人員進(jìn)行測(cè)試和評(píng)估，以下關(guān)于信息安全測(cè)評(píng)說法不正確的是

()［單選題］*

A.信息產(chǎn)品安全評(píng)估是測(cè)評(píng)機(jī)構(gòu)的產(chǎn)品的安全性做出的獨(dú)立評(píng)價(jià)，增強(qiáng)用戶對(duì)已評(píng)

估產(chǎn)品安全的信任

B.目前我國常見的信息系統(tǒng)安全測(cè)評(píng)包括信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和信息系統(tǒng)安全保障測(cè)

評(píng)兩種類型

C.信息安全工程能力評(píng)估是對(duì)信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施服

務(wù)過程質(zhì)量保證能力的具體衡量和評(píng)價(jià)。

D.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱

性，評(píng)估安全事件可能造成的危害程度，提出游針對(duì)性的安全防護(hù)策略和整改措

施。

43.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(Criticallnformationlnfrastructure,CII)包括商

用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能

源、銀行和金融、國防工業(yè)基地等等，美國政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安

全，其主要原因不包括()［單選題］*

A.這些行業(yè)都關(guān)系到國計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國家安全影響深遠(yuǎn)。

B.這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域。

C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他

行業(yè)更突出。

D.這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失。

44.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的()［單選題］*

A.要充分切合信息安全需求并且實(shí)際可行。

B.要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成

本。

C.要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值

要求。

D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙。

45.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯(cuò)誤的是()［單選

題］*

A.分組密碼算法要求輸入明文按組分成固定長度的塊。

B.分組密碼的算法每次計(jì)算得到固定長度的密文輸出塊。

C.分組密碼算法也稱作序列密碼算法。

D.常見的DES、IDEA算法都屬于分組密碼算法。

46.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)

議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分.下面描述中，錯(cuò)誤的是()［單選題］*

A.在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和

框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。

B.密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的

每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行。

C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，

也可能是敵人和互相完全不信任的人。

D.密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),

是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服

務(wù)。

47.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)

(InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN)時(shí)、以下說法正

確的是()［單選題］*

A.配置MD5安全算法可以提供可靠的數(shù)據(jù)加密。

B.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證。

C.部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合

的IP地址段，來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消

耗。(正確答案)

I).報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性。

48.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個(gè)臨時(shí)的，安

全的網(wǎng)絡(luò).這里的字母P的正確解釋是()［單選題］*

A.Special-purpose.特定、專用用途的。

B.Proprietary專有的、專賣的。

CPrivate私有的、專有的。(

D.Specific特種的、具體的。

49.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別.下面描述正確的是()

［單選題］*

A.WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議網(wǎng)協(xié)議。

B.WPA是適用于中國的無線局域安全協(xié)議，而WPA2是使用于全世界的無線局域網(wǎng)

協(xié)議。

C.WPA沒有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)

證。

D.WPA是依照802.lii標(biāo)準(zhǔn)草案制定的，而WPA2是按照802.li正式標(biāo)準(zhǔn)制定的。

(正確答案)

50.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作

用是O［單選題］*

A.既能物理隔離，又能邏輯隔離。

B.能物理隔離，但不能邏輯隔離。

C.不能物理隔離，但是能邏輯隔離。

D.不能物理隔離，也不能邏輯隔離

51.異常入侵檢測(cè)是入侵檢測(cè)系統(tǒng)常用的一種技術(shù)，它是識(shí)別系統(tǒng)或用戶的非正常

行為或者對(duì)于計(jì)算機(jī)資源的非正常使用，從而檢測(cè)出入侵行為.下面說法錯(cuò)誤的是

()［單選題］*

A.在異常入侵檢測(cè)中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異常

現(xiàn)象。

B.實(shí)施異常入侵檢測(cè)，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若

匹配則認(rèn)為有攻擊發(fā)生。

C.異常入侵檢測(cè)可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企

圖，并通過多種手段向管理員報(bào)警。

D.異常入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為。

52.私有IP地址是一段保留的IP地址.只適用在局域網(wǎng)中，無法在Internet上使

用，關(guān)于私有地址，下面描述正確的是()［單選題］*

A.A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址。

B.A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址。

C.A類、B類和C類地址中都可以設(shè)置私有地址。

D.A類、B類和C類地址中都沒有私有地址。

53.以下關(guān)于windows系統(tǒng)的帳號(hào)存儲(chǔ)管理機(jī)制SAM(SecurityAccountsManager)的

說法哪個(gè)是正確的。［單選題］*

A.存儲(chǔ)在注冊(cè)表中的帳號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性。

B.存儲(chǔ)在注冊(cè)表中的帳號(hào)數(shù)據(jù)只有administrator帳戶才有權(quán)訪問，具有較高的安

全性。

C.存儲(chǔ)在注冊(cè)表中的帳號(hào)數(shù)據(jù)任何擁護(hù)都可以直接訪問，靈活方便。

D.存儲(chǔ)在注冊(cè)表中的帳號(hào)數(shù)據(jù)有只有System帳戶才能訪問，具有較高的安全性。

(正確答案)

54.口令破解是針對(duì)系統(tǒng)進(jìn)行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對(duì)口令

破解的策略主要是帳戶廁羅中的帳戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)

誤的是()［單選題］*

A.密碼策略的主要作用是通過策略避免擁護(hù)生成弱口令及對(duì)用戶的口令使用進(jìn)行管

控。

B.密碼策略對(duì)系統(tǒng)中所有的用戶都有效。

C.賬戶鎖定策略的主要作用是應(yīng)對(duì)口令暴力破解攻擊，能有效地保護(hù)所有系統(tǒng)用戶

應(yīng)對(duì)口令暴力破解攻擊。

D.賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對(duì)口令

暴力破解攻擊。

55.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置帳戶鎖定

策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器

5分鐘;賬戶鎖定時(shí)間10分鐘;賬戶鎖定閥值3次無效登陸。以下關(guān)于以上策略設(shè)

置后的說法哪個(gè)是正確的()［單選題］*

A.設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的擁護(hù)

就會(huì)被鎖住。

B.如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會(huì)被鎖定10分鐘，10分鐘

內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)。

C.如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該擁護(hù)帳號(hào)被鎖定5分鐘，5

分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)。

D.攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，

而正常擁護(hù)登陸不受影響。

56.加密文件系統(tǒng)(EncryptingFileSystem,EFS)是Windows操作系統(tǒng)的一個(gè)組

件，以下說法錯(cuò)誤的是()［單選題］*

A.EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者

程序都不能解密數(shù)據(jù)。

B.EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)。

C.EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）。

答案）

D.EFS加密過程對(duì)用戶透明，EFS加密的用戶驗(yàn)證過程是在登陸windows時(shí)進(jìn)行

的。

57.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫

的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）［單選題］*

A.最小特權(quán)原則是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下分配最小的特權(quán)，

使得這些信息恰好能夠完成用戶的工作。

B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地

共享數(shù)據(jù)庫中的信息。

C.粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)

際中需要選擇最小粒度。

D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分

58.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝.TCP/IP協(xié)議中，數(shù)

據(jù)封裝的順序是：（）［單選題］*

A.傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層

B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層,

C.互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層

D.互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層

59.以下關(guān)于SMTP和POP3協(xié)議的說法哪個(gè)是錯(cuò)誤的（）［單選題］*

A.SMTP和POP3協(xié)議是一種基于ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議。

B.SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能。

C.SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題。

D.SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件。

60.金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項(xiàng)是不好的操

作習(xí)慣()［單選題］*

A.使用專用上網(wǎng)購物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件，應(yīng)用

軟件進(jìn)行升級(jí)。

B.為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加

固方面的軟件。

C.在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件。

D.在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)

61.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展(SecureMultipurposelnternetMailExtension,

S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是()［單選題］*

A.S/MIME采用了非對(duì)稱密碼學(xué)機(jī)制。

B.S/MIME支持?jǐn)?shù)字證書。

C.S/MIME采用了郵件防火墻技術(shù)。

I).S/MIME支持用戶身份認(rèn)證和郵件加密。

62.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于

應(yīng)用安全防護(hù)考慮的是()A.身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶進(jìn)行身份鑒別，

只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源。［單選題］*

B.安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增

加訪問控制的力度，限制非法訪問。

C.剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存

儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問。

D.機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)

房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等。

63.ApacheHttpServer(簡稱Apache)是一個(gè)開放源碼的WEB服務(wù)運(yùn)行平臺(tái)，在使用

過程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，

為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施()［單選題］*

A.不選擇Windows平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用。

B.安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)。

C.安裝后，刪除ApacheHttpServer源碼。

D.從正確的官方網(wǎng)站下載ApacheHttpServer,并安裝使用。

64.下面信息安全漏洞理解錯(cuò)誤的是：()［單選題］*

A.討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)

現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞。

B.信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開發(fā)、部署或維護(hù)階

段，由于設(shè)計(jì)、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的。

C.信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來安

全損害，甚至帶來很大的經(jīng)濟(jì)損失。

D.由于人類思維能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系

統(tǒng)中產(chǎn)生新的漏洞是不可避免的。

65.下面對(duì)“零日(zero-day)漏洞”的理解中，正確的是()［單選題］*

A.指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻

擊，獲取主機(jī)權(quán)限。

B.指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”

病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施。

C.指一類漏洞，即特別好被利用，一旦成功利用該類漏洞,可以在1天內(nèi)文完成攻

擊，且成功達(dá)到攻擊目標(biāo)。

D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被

小部分人發(fā)現(xiàn)，但是還未公開、海不存在安全補(bǔ)丁的漏洞都是零日漏洞。

案)

66.某單位管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話。來電者：小張嗎？我是科

技處的李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個(gè)郵件，麻煩你先

幫我把密碼改成123,我收完郵件自己修改密碼。熱心的小張很快的滿足了來電者

的要求，隨后，李強(qiáng)發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請(qǐng)問下列說法哪個(gè)是正確的()［單

選題］*

A.小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問

題。

B.事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)購買新的服務(wù)器。

C.單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作。

D.事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)郵件服務(wù)軟件。

67.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250%,

盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題.但為了安全起見，他仍然向主管領(lǐng)

導(dǎo)提出了應(yīng)對(duì)策略，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問題的應(yīng)對(duì)措施：()

［單選題］*

A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入(關(guān)掉ping)。

B.刪除服務(wù)器上的ping,exe程序。

C.增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊。

D.增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊。

68.下面四款安全測(cè)試軟件中，主要用于WEB安全掃描的是()［單選題］*

A.CiscoAuditingToo1s

B.AcunetixWebVu1nerabi1ityScanner

C.NMAP

D.ISSDatabaseScanner

69.某單位計(jì)劃在今年開發(fā)一套辦公自動(dòng)化（OA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過

互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在0A系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開發(fā)的建

設(shè)，作為安全專家，請(qǐng)指出大家提的建議中不太合適的一條：（）［單選題］*

A.對(duì)軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對(duì)安全足夠的重視，投入資源

解決軟件安全問題。

B.要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識(shí)。

C.要求軟件開發(fā)商使用java而不是asp作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞。

（正確答案）

D.要求軟件開發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在

使用前對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)

70.在軟件保障成熟度模型（SAMM）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列

哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能（）［單選題］*

A.治理，主要是管理軟件開發(fā)的過程和活動(dòng)。

B.構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)。

C.驗(yàn)證，抓喲是測(cè)試和驗(yàn)證軟件的過程和活動(dòng)。

D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)

確答案）

71.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生

命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）［單選題］*

A.軟件安全開發(fā)生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段

做好安全措施，就可以解決90%以上的安全問題。

B.應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟

件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少的多。

C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點(diǎn)是增加了

一個(gè)抓們的安全編碼階段。

D.軟件的安全測(cè)試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對(duì)軟件

進(jìn)行了安全性測(cè)試，就沒有必要再組織第三方進(jìn)行安全性測(cè)試。

72.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)是由于軟件設(shè)計(jì)缺陷引起的()［單選

題］*

A.設(shè)計(jì)了三策問哪個(gè)Web架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后

能直接訪問數(shù)據(jù)庫。

B.使用C語言開發(fā)時(shí),采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)

溢出漏洞。

C.設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被

黑客攻擊獲取到用戶隱私數(shù)據(jù)。

D.使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒有按照要求生成密鑰，導(dǎo)

致黑客攻擊后能破解并得到明文數(shù)據(jù)

73.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度(Defects/KL

0C)來衡量軟件的安全性，假設(shè)某個(gè)軟件共有29.6萬行源代碼，總共被檢測(cè)出145

個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是()［單選題］*

A.0.00049

B.0.049

C.0.49

D.49

74.某集團(tuán)公司根據(jù)業(yè)務(wù)需求，在各地分支機(jī)構(gòu)部屬前置機(jī)，為了保證安全，集團(tuán)

總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)

現(xiàn)攻擊者可通過共享從前置機(jī)種提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低

攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施？()［單選題］*

A.由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析。

B.為配合總部的安全策略，會(huì)帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受

此風(fēng)險(xiǎn)。

C.日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置前置機(jī)不記錄日

志。

D.只允許特定的ip地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問密碼且限定訪問

的時(shí)間。（正確答案）

75.針對(duì)軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請(qǐng)求的一種

攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需求考慮的攻擊

方式（）［單選題］*

A.攻擊者利用軟件存在的邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，

cpu資源占用始終100%?

B.攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過

發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢。

C.攻擊者利用軟件不自動(dòng)釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接

數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問。

D.攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問

，亡，\

76.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL

注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程XP.cmctstell刪除了系統(tǒng)中的一個(gè)重要

文件，在進(jìn)行問題分析時(shí).，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)

原則：（）［單選題］*

A.權(quán)限分離原則

B.最小特權(quán)原則

C.保護(hù)最薄弱環(huán)節(jié)的原則

D.縱深防御的原則

77.微軟提出了STRIDE模型，其中Repudiation抵賴）的縮寫，關(guān)于此項(xiàng)安全要

求，下面描述錯(cuò)誤的是（）［單選題］*

A.某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的

這種威脅就屬于R威脅。

B.解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安

全審計(jì)等技術(shù)措施。

C.R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更

高。（正確答案）

D.解決R威脅、，也應(yīng)按照確定建模對(duì)象、識(shí)別威脅、、評(píng)估威脅以及消減威脅等四個(gè)

步驟來進(jìn)行。

78.關(guān)于信息安全管理，下面理解片面的是（）［單選題］*

A.信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)

的重要保障。

B.信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的。

C.在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)

基礎(chǔ)。（正確答案）

D.堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一。

79.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制

性，其實(shí)施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重

點(diǎn)保障基礎(chǔ)信息網(wǎng)路和重要信息系統(tǒng)的安全（）［單選題］*

A.信息安全管理體系（ISMS）

B.信息安全等級(jí)保護(hù)

C.NISTSP800

D.IS027000系統(tǒng)

80.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀

求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)

險(xiǎn)管理中的背景建立的幾本概念與認(rèn)識(shí)，小明的主要觀點(diǎn)包括：（1）背景建立的目

的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成

信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)

行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果⑶背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備、信

息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4）背景建立的階段性成果包括：風(fēng)險(xiǎn)

管理計(jì)劃書、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)

告、請(qǐng)問小王的論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：（）［單選題］*

A.第一個(gè)觀點(diǎn)

B.第二個(gè)觀點(diǎn)

C.第三個(gè)觀點(diǎn)

D.第四個(gè)觀點(diǎn)

81.降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）指通過對(duì)面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)

險(xiǎn)，下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）［單選題］*

A.減少威脅源，采用法律的手段制裁計(jì)算機(jī)的犯罪，發(fā)揮法律的威懾作用，從而有

效遏制威脅源的動(dòng)機(jī)。

B.簽訂外包服務(wù)合同，將有計(jì)算難點(diǎn)，存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過簽訂外部合同的方

式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對(duì)風(fēng)險(xiǎn)。

C.減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力。

D.減少脆弱性,及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱

性，降低被利用的可能性。

82.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是：（）［單選題］*

A.資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類。

B.威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性。

C.脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的

弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。

D.確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、

系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)。

83.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到

信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，該部門將有檢查評(píng)估的特點(diǎn)和

要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是()［單選題］*

A.檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程;也可在自評(píng)估的基

礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估。

B.檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在

的問題進(jìn)行檢查和評(píng)測(cè)。

C.檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施。

D.檢查評(píng)估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)。

84.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要基

礎(chǔ)，按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出

成果()［單選題］*

A.《風(fēng)險(xiǎn)評(píng)估方案》

B.《需要保護(hù)的資產(chǎn)清單》

C.《風(fēng)險(xiǎn)計(jì)算報(bào)告》

D.《風(fēng)險(xiǎn)程度等級(jí)列表》

85.在信息安全管理的實(shí)施過程中，管理者的作用于信息安全管理體系能否成功實(shí)

施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是O［單選題］*

A.制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體

綱領(lǐng)，明確總體要求。

B.確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度

量，計(jì)劃應(yīng)具體、可事實(shí)。

C.向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目

標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性。

D.建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程、

確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確?！?/p>

86.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審

核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述的錯(cuò)誤是()［單選

題］*

A.內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿Γ捕紤?yīng)當(dāng)

按照一定的周期實(shí)施。

B.內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式

多采用召開管理評(píng)審會(huì)議形式進(jìn)行。

C.內(nèi)部審核的實(shí)施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國

家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)。

D.組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審

核標(biāo)準(zhǔn)使用，但在管理評(píng)審總，這些文件時(shí)被審對(duì)象。

87.在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，

關(guān)于殘余風(fēng)險(xiǎn)，下面描述錯(cuò)誤的是O［單選題］*

A.風(fēng)險(xiǎn)處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單，并獲得管理層對(duì)殘余風(fēng)險(xiǎn)

的書面批準(zhǔn)，這也是風(fēng)險(xiǎn)管理中的一個(gè)重要過程。

B.管理層確認(rèn)接收殘余風(fēng)險(xiǎn)，是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定，表示管理層已經(jīng)全面

了解了組織所面臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且必須承擔(dān)引

發(fā)的后果。

C.接收殘余風(fēng)險(xiǎn)，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制

的提高安全保護(hù)措施的強(qiáng)度，對(duì)安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的

限制。(1B廠

D.如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級(jí)別，則只能被動(dòng)的選擇接受風(fēng)險(xiǎn)，即對(duì)風(fēng)險(xiǎn)

下進(jìn)行下一步的處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果。

88.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)以下說法最恰當(dāng)?shù)氖牵?)［單選題］*

A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個(gè)控制

過程。

B.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過

程。

C.組織為避免