CISP考試練習(xí)題及答案2-2023練習(xí)版

試題說明

本套試題共包括1套試卷

答案和解析在每套試卷后

ClSP考試練習(xí)題及答案2（500題）

ClSP考試練習(xí)題及答案2

1.［單選題］當(dāng)審核一個組織的業(yè)務(wù)連續(xù)性計(jì)劃時，某IS審計(jì)師觀察到這個被

審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個

特性在這里被證明？

A）防止

B）減輕

C）恢復(fù)

D）響應(yīng)

2.［單選題］從數(shù)據(jù)來源看，入侵檢測系統(tǒng)主要分為哪兩類

A）網(wǎng)絡(luò)型、控制型

B）主機(jī)型、混合型

C）網(wǎng)絡(luò)型、主機(jī)型

D）主機(jī)型、誘捕型

3.［單選題］5?以下對于非集中訪問控制中“域”說法正確的是：

A）每個域的訪問控制與其它域的訪問控制相互關(guān)聯(lián)

B）跨域訪問不一定需要建立信任關(guān)系

C）域中的信必須是雙向的

D）域是一個共享同一安全策略的主體和客體的集合

4.［單選題］小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的

風(fēng)險(xiǎn)進(jìn)行評估，已知：核心機(jī)房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四（24%）,歷

史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：

A）24萬

B）0.09萬

037.5萬

D）9萬

5.［單選題］主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是

A）主體是動作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對象不能被當(dāng)作客體使用

B）客體也是一種實(shí)體，是操作的對象，是被規(guī)定需要保護(hù)的資源

C）主體是訪問的發(fā)起者，是一個主動的實(shí)體，可以操作被動實(shí)體的相關(guān)信息或數(shù)據(jù)

D）一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行

6.［單選題］自主訪問控制（DAC）是應(yīng)用很廣泛的訪問控制方法，常用于多種商業(yè)系統(tǒng)中，以下對

DAC模型的理解中，存在錯誤的是O

A）在DAC模型中，資源所有者可以確定誰有權(quán)訪問它們的資源

B）DΛC是一種對單位單個用戶執(zhí)行訪問控制的過程和措施

ODAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性和可擴(kuò)展性，可以抵御特洛伊木馬的

攻擊

D）在DAC中，具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體

7.［單選題］以下說法正確的是：

A）驗(yàn)收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗(yàn)收

B）軟件測試的目的是為了驗(yàn)證軟件功能是否正確

C）監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃，并提出審查意見

D）軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段

8.［單選題］在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指在實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，關(guān)于殘

余風(fēng)險(xiǎn)，下面描述錯誤的是？

A）風(fēng)險(xiǎn)處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單，并獲得管理層對殘余風(fēng)險(xiǎn)的書面批準(zhǔn)，這

也是風(fēng)險(xiǎn)管理中的一個重要過程

B）管理層確認(rèn)接受殘余風(fēng)險(xiǎn)，是對風(fēng)險(xiǎn)評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面

臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且必須承擔(dān)引發(fā)的后果

C）接受殘余風(fēng)險(xiǎn)，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制地提高安全保護(hù)

措施的強(qiáng)度，對安全保護(hù)措施的選擇要考慮到成本和技術(shù)的等因素的限制

D）如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級別，則只能被動地選擇接受風(fēng)險(xiǎn)，即對風(fēng)險(xiǎn)不采取進(jìn)一步的

處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果

9.［單選題］管理層應(yīng)該表現(xiàn)對（），程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承

包方人員都了解其（）角色和職責(zé)，并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計(jì)劃，并定

期組織信息安全。.組織要建立正式的（），確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀(jì)律處

理過程要規(guī)定（），考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素，以及相關(guān)法律、業(yè)務(wù)合

同和其他因素。

A）信息安全:信息安全政策：教育和培訓(xùn)，紀(jì)律處理過程：分級的響應(yīng)

B）信息安全政策:信息安全；教育和培訓(xùn)：紀(jì)律處理過程；分級的響應(yīng)

C）信息安全政策：教育和培訓(xùn)：信息安全：紀(jì)律處理過程；分級的響應(yīng)

D）信息安全政策；紀(jì)律處理過程；信息安全：教育和培訓(xùn)：分級的響應(yīng)

10.［單選題］下面不屬于PKl組成部分的是（）。

A）證書主體

B）使用證書的應(yīng)用和系統(tǒng)

C）證書權(quán)威機(jī)構(gòu)

D）AS

11.［單選題］私網(wǎng)地址用于配置本地網(wǎng)絡(luò)、下列地址中屬私網(wǎng)地址的是？

A）100.0.0.0

B）172.15.0.0

C）192.168.0.0

D）244.0.0.0

12.［單選題］在一個網(wǎng)絡(luò)中，當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多，或普通終端計(jì)算機(jī)沒有必要分配靜態(tài)

IP地址時，可以采用通過在計(jì)算機(jī)連接到網(wǎng)絡(luò)時，每次為其臨時在IP地址池中選擇一個IP地址

并分配的方式為（）

A）動態(tài)分配IP地址

B）靜態(tài)分配IP地址

C）網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址

D）手動分配

13.［單選題］對于LinUX的安全加固項(xiàng)說法錯誤的選項(xiàng)是哪項(xiàng)？

A）使用UnanIe-a確認(rèn)其內(nèi)核是否有漏洞

B）檢查系統(tǒng)是否有重復(fù)的UlD用戶

C）查看文件對于密碼的限制

D）查看hosts文件確保TCPWaPPer生效

14.［單選題］關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)《InformationtechnologySecurity

techniquesInformationSecuritymanagementsystemsRequirements》

（IS0∕IEC27001:2013）,而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T

22080-2008）0請問，這兩個標(biāo)準(zhǔn)的關(guān)系是？。

A）1DT（等同采用）。此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改

B）EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國際標(biāo)準(zhǔn)，技術(shù)上只有很小差異

ONEQ（非等效采用），此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)

D）沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較

15.［單選題］下面關(guān)于定性風(fēng)險(xiǎn)評估方法的說法不正確的選項(xiàng)是

A）易于操作，可以對風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識

B）主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評估小組成員的經(jīng)驗(yàn)和素質(zhì)

C）"耗時短、成本低、可控性高"

D）能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受

16.［單選題］安全開發(fā)制度中，QA最關(guān)注的的制度是

A）系統(tǒng)后評價規(guī)定

B）可行性分析與需求分析規(guī)定

C）安全開發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)

D）需求變更規(guī)定

17.［單選題］以下對IS027001標(biāo)準(zhǔn)的描述不正確的選項(xiàng)是

A）企業(yè)通過IS027001認(rèn)證則必須符合IS027001信息安全管理體系標(biāo)準(zhǔn)的所有要求

B）ISO27001標(biāo)準(zhǔn)與信息系統(tǒng)等級保護(hù)等國家標(biāo)準(zhǔn)相沖突

C）是源自于英國的國家標(biāo)準(zhǔn)BS7799

D）ISO27001是當(dāng)前國際上最被認(rèn)可的信息安全管理標(biāo)準(zhǔn)

18.［單選題］下列對KerberoS協(xié)議特點(diǎn)描述不正確的是：

A）協(xié)議采用單點(diǎn)登錄技術(shù)，無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證

B）協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證

C）只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務(wù)器的認(rèn)證而

不必重新輸入密碼

D）AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全

19.［單選題］信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和

管理審核是兩項(xiàng)重要的管理活動，關(guān)于這兩者，下面描述錯誤的是

?）內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理

評審會議的形式進(jìn)行

B）內(nèi)部審核和管理評審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力，也都應(yīng)當(dāng)按照一定的周期實(shí)

施

C）內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策指定的第

三方技術(shù)服務(wù)機(jī)構(gòu)

D）組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管

理評審中，這些文件是被審對象

20.［單選題］在軟件保障成熟度模型（SoftWareAssuranceMaturityMode,SAMM）中，規(guī)定了軟件開

發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項(xiàng)不屬于核心業(yè)務(wù)功能：

A）治理，主要是管理軟件開發(fā)的過程和活動

B）構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動

C）驗(yàn)證，主要是測試和驗(yàn)證軟件的過程與活動

D）購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動

21.［單選題］以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作

內(nèi)容之一？

A）提高信息技術(shù)產(chǎn)品的國產(chǎn)化率

B）保證信息安全資金投入

C）加快信息安全人才培養(yǎng)

D）重視信息安全應(yīng)急處理工作

22.［單選題］2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃（COmPrehenSiVe

NationalCybersecurityInitiative,CNCI）oCNel計(jì)劃建立三道防線：第一道防線，減少漏洞和

隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境。從以上內(nèi)容

,我們可以看出以下哪種分析是正確的：

A）CNCl的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)

上修修補(bǔ)補(bǔ)

B）從CNCl可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

C）CNCl是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)

D）CNCl徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追

求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

23.［單選題］LINUX中，什么命令可以控制口令的存活時間？（）

A）chage

B）PaSSWd

C)chmod

D)umask

24.［單選題］過濾王連接公安中心端的地址是（）

A）221.136.69.81

B）221.136.69.82

0221.136.69.137

D）221.136.69.137

25.［單選題］防火墻能夠—o（）

A）防范惡意的知情者

B）防范通過它的惡意連接

C）防備新的網(wǎng)絡(luò)安全問題

D）完全防止傳送已被病毒感染的軟件和文件

26.［單選題］與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)？

A）防護(hù)

B）檢測

C）反應(yīng)

D）策略

27.［單選題］若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制

措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)

A）規(guī)劃與建立ISMS

B）信息安全方針、信息安全組織、資產(chǎn)管理

C）訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性

D）人力資源安全、物理和環(huán)境安全、通信和操作管理

28.［單選題］一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實(shí)施訪問控制。例如，在一個學(xué)校的教務(wù)系

統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠

對課程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對訪問控制的作用的理解錯誤的是

A）防止對信息的非授權(quán)篡改和濫用

B）在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理

C）拒絕非法用戶的非授權(quán)訪問請求

D）對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)

29.［單選題］關(guān)于網(wǎng)頁中的惡意代碼，下列說法錯誤的是：

A）網(wǎng)頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用

B）網(wǎng)頁中的惡意代碼可以修改系統(tǒng)注冊表

C）網(wǎng)頁中的惡意代碼可以修改系統(tǒng)文件

D）網(wǎng)頁中的惡意代碼可以竊取用戶的機(jī)密文件

30.［單選題］有關(guān)能力成熟度模型（CMM）錯誤的理解是

A）CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量

、生產(chǎn)率和利潤率

B）CMM的思想來源于項(xiàng)目管理和質(zhì)量管理

OCW是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法

D）CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在

過程中

31.［單選題］傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是：

A）傳統(tǒng)軟件開發(fā)方法將軟件開發(fā)分為需求分析、架構(gòu)設(shè)計(jì)、代碼編寫、測試和運(yùn)行維護(hù)五個階段

B）傳統(tǒng)的軟件開發(fā)方法，注重軟件功能實(shí)現(xiàn)和保證，缺乏對安全問題進(jìn)行處理的任務(wù)、里程碑與方

法論，也缺乏定義對安全問題的控制與檢查環(huán)節(jié)

C）傳統(tǒng)的軟件開發(fā)方法，將軟件安全定義為編碼安全，力圖通過規(guī)范編碼解決安全問題，缺乏全面

性

D）傳統(tǒng)的軟件開發(fā)方法僅從流程上規(guī)范軟件開發(fā)過程，缺乏對人員的培訓(xùn)要求，開發(fā)人員是軟件安

全缺陷產(chǎn)生的根源

32.［單選題］89.小王在對某公司的信息系統(tǒng)進(jìn)風(fēng)風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融

交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個功能模塊的方式來處理該風(fēng)險(xiǎn)。請問這種風(fēng)險(xiǎn)

處置的方法是

A）轉(zhuǎn)移風(fēng)險(xiǎn)

B）降低風(fēng)險(xiǎn)

C）放棄風(fēng)險(xiǎn)

D）規(guī)避風(fēng)險(xiǎn)

33.［單選題］某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安

全風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條

報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯誤的是（）。

A）檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)

節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估

B）檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查

和評測

C）檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施

D）檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)

34.［單選題］風(fēng)險(xiǎn)評估的基本過程是怎樣的？

A）識別并評估重要的信息資產(chǎn)，識別各種可能的威脅和嚴(yán)重的弱點(diǎn)，最

終確定風(fēng)險(xiǎn)

B）通過以往發(fā)生的信息安全事件，找到風(fēng)險(xiǎn)所在

C）風(fēng)險(xiǎn)評估就是對照安全檢查單，查看相關(guān)的管理和技術(shù)措施是否到位

D）風(fēng)險(xiǎn)評估并沒有規(guī)律可循，完全取決于評估者的經(jīng)驗(yàn)所在

35.［單選題］面向?qū)ο蟮拈_發(fā)方法中，以下哪些機(jī)制對安全有幫助

A）封裝

B）多態(tài)

C）繼承

D）重載

36.［單選題］信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)在O年進(jìn)行一次等級測評？

A）0.5

B）l

02

D）3

37.［單選題］237.信息安全工程作為信息安全保障的重要支撐部分，主要是為了保障？

A）信息系統(tǒng)的技術(shù)架構(gòu)安全問題

B）信息系統(tǒng)的部分組件安全問題

C）信息系統(tǒng)生命周期的過程安全問題

D）信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題

38.［單選題］企業(yè)按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系的過程中，對關(guān)

鍵成功因素的描述不正確的是

A）不需要全體員工的參入，只要IT部門的人員參入即可

B）來自高級管理層的明確的支持和承諾

C）對企業(yè)員工提供必要的安全意識和技能的培訓(xùn)和教育

D）所有管理者、員工能夠理解企業(yè)信息安全策略、指南和標(biāo)準(zhǔn)，并遵照

執(zhí)行

39.［單選題］以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法錯誤的是：

A）通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有

安全保障工作是否滿足其安全保障目標(biāo)的信心。

B）信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面

保障信息系統(tǒng)安全

C）是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動

D）是主觀和客觀綜合評估的結(jié)果；

40.［單選題］攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信

賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？

A）緩沖區(qū)溢出

B）SQL注入

C）設(shè)計(jì)錯誤

D）跨站腳本

41.［單選題］我國衛(wèi)星導(dǎo)航系統(tǒng)的名字叫（）。

A）天宮

B）玉兔

C）神州

D）北斗

42.［單選題］以下哪一個不是網(wǎng)絡(luò)隱藏技術(shù)？

A）端口復(fù)用

B）無端口技術(shù)

C）反彈端口技術(shù)

D）DLL注入

43.［單選題］CA屬于ISO安全體系結(jié)構(gòu)中定義的（）。

A）認(rèn)證交換機(jī)制

B）通信業(yè)務(wù)填充機(jī)制

C）路由控制機(jī)制

D）公證機(jī)制

44.［單選題］P2DR模型強(qiáng)調(diào)了落實(shí)反應(yīng)和系統(tǒng)安全的動態(tài)性，其中的“檢測”使用的主要方法是？

A）檢測。

B）報(bào)警。

C）記錄。

D）實(shí)時監(jiān)控。

45.［單選題］對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實(shí)施必要的改

進(jìn)措施并進(jìn)行跟蹤和評價，以下描述不正確的是？

A）改進(jìn)措施包括糾正和預(yù)防措施

B）改進(jìn)措施可由受審單位提出并實(shí)施

C）不可以對體系文件進(jìn)行更新或修改

D）對改進(jìn)措施的評價應(yīng)該包括措施的有效性的分析

46.［單選題］以下關(guān)于信息安全工程說法正確的是：

A）信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的

B）信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對系統(tǒng)進(jìn)行安全加固

C）信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)

D）信息化建設(shè)沒有必要涉及信息安全建設(shè)

47.［單選題］在對安全控制進(jìn)行分析時，下面哪個描述是錯誤的？

A）對每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的

B）應(yīng)選擇對業(yè)務(wù)效率影響最小的安全措施

C）選擇好實(shí)施安全控制的時機(jī)和位置，提高安全控制的有效性

D）仔細(xì)評價引入的安全控制對正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)

48.［單選題］如果數(shù)據(jù)中心發(fā)生災(zāi)難，下列那一項(xiàng)完整恢復(fù)一個關(guān)鍵數(shù)據(jù)庫的

策略是最適合的？

A）每日備份到磁帶并存儲到異地

B）實(shí)時復(fù)制到異地

C）硬盤鏡像到本地服務(wù)器

D）實(shí)時數(shù)據(jù)備份到本地網(wǎng)格存儲

49.［單選題］某系統(tǒng)的/.rhosts文件中，存在一行的內(nèi)容為“++”，并且開放了rlogin服務(wù),

則有可能意味著：

A）任意主機(jī)上，只有root用戶可以不提供口令就能登錄該系統(tǒng)

B）任意主機(jī)上，任意用戶都可以不提供口令就能登錄該系統(tǒng)

C）只有本網(wǎng)段的任意用戶可以不提供口令就能登錄該系統(tǒng)

D）任意主機(jī)上，任意用戶，都可以登錄，但是需要提供用戶名和口令

50.［單選題L—是目前國際通行的信息技術(shù)產(chǎn)品安全性評估標(biāo)準(zhǔn)？

A）TCSEC

B）ITSEC

OCC

D）IATF

51.［單選題］下列敘述不屬于完全備份機(jī)制特點(diǎn)描述的是o

A）每次備份的數(shù)據(jù)量較大

B）每次備份所需的時間也就較大

C）不能進(jìn)行得太頻繁

D）需要存儲空間小

52.［單選題］某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID在該用戶終止后90天

內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng)：

A）報(bào)告該控制是有效的，因?yàn)橛脩鬒D失效是符合信息系統(tǒng)策略規(guī)定的時

間段的

B）核實(shí)用戶的訪問權(quán)限是基于用所必需原則的

C）建議改變這個信息系統(tǒng)策略，以保證用戶ID的失效與用戶終止一致

D）建議終止用戶的活動日志能被定期審查

53.［單選題］當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時，就會產(chǎn)生哪種類

型的漏洞？

A）緩沖區(qū)溢出

B）設(shè)計(jì)錯誤

C）信息泄露

D）代碼注入

54.［單選題］我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以

下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是：

A）健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作組織保障

B）建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐

C）建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主創(chuàng)新

D）建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)

55.［單選題］以下哪一種備份方式在恢復(fù)時間上最快

A）增量備份

B）差異備份

C）完全備份

D）磁盤備份

56.［單選題］下列哪一項(xiàng)最好地描述了哈希算法、數(shù)字簽名和對稱密鑰算法分別提供的功能？

A）身份鑒別和完整性，完整性，機(jī)密性和完整性

B）完整性，身份鑒別和完整性，機(jī)密性和可用性

C）完整性，身份鑒別和完整性，機(jī)密性

D）完整性和機(jī)密性，完整性，機(jī)密性

57.［單選題］下面對IS027001的說法最準(zhǔn)確的是：

A）該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南

B）該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn)

C）該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐

D）該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個模型

58.［單選題］假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個字母加5,即a加密成f。這種

算法的密鑰就是5,那么它屬于（）。

A）對稱加密技術(shù)

B）分組密碼技術(shù)

C）公鑰加密技術(shù)

D）單向函數(shù)密碼技術(shù)

59.［單選題］以下哪一個不是OSI安全體系結(jié)構(gòu)中的安全機(jī)制

A）數(shù)字簽名

B)路由控制

C)數(shù)據(jù)交換

D)抗抵賴

60.［單選題］Linux系統(tǒng)的用戶信息保存在PaSSWd中，某用戶條目

backup：*：34:34：backup：/var/backups：/bin/sh,以下關(guān)于該賬號的描述不正確的是：

A)backup賬號沒有設(shè)置登錄密碼

B)backup賬號的默認(rèn)主目錄是/var/backups

C)backup賬號登陸后使用的Shell是∕bin∕sh

D)backup賬號是無法進(jìn)行登錄

61.［單選題］超文本傳輸協(xié)議(HyperText1TransferProtocolHTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)

絡(luò)協(xié)議，下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能？

A)HTTP1.0協(xié)議

B)HTTP1.1協(xié)議

OHTTPS協(xié)議

D)HTTPD協(xié)議

62.［單選題］負(fù)責(zé)授權(quán)訪問業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于：

A)數(shù)據(jù)擁有者

B)安全管理員

OiT安全經(jīng)理

D)請求者的直接上司

63.［單選題］以下哪項(xiàng)不屬于造成信息安全問題的自然環(huán)境因素？

A)縱火。

B)地震。

C)極端天氣。

D)洪水。

64.［單選題］如圈所示，主體S對客體Ol有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(OWn)權(quán)限

,該圖所示的訪問控制實(shí)現(xiàn)方法是：

A)訪問控制表(ACL)

B)訪問控制矩陣

C)能力表(CL)

D)前綴表(Profiles)

65.［單選題］在Windos7中，通過控制面板(管理工具一本地安全策略一安全設(shè)置一賬戶策略)可

以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置

A)密碼必須符合復(fù)雜性要求

B)密碼長度最小值

C)強(qiáng)制密碼歷史

D）賬號鎖定時間

66.［單選題］某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入

漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP_cmdshell刪除了系統(tǒng)中的一個重要文件，在進(jìn)行問題分

析時，作為安全專家，你應(yīng)該指出該網(wǎng)站涉及違反了以下哪些原則：

A）權(quán)限分離原則

B）最小特權(quán)原則

C）保護(hù)最薄弱環(huán)節(jié)的原則

D）縱深防御的原則

67.［單選題］以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測試關(guān)注的范疇（）

A）排版結(jié)構(gòu)的測試

B）數(shù)據(jù)完整性測試

C）客戶端兼容性的測試

D）鏈接結(jié)構(gòu)的測試

68.［單選題］下面關(guān)于定量風(fēng)險(xiǎn)評估方法的說法正確的是

A）易于操作，可以對風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)

行標(biāo)識

B）能夠通過成本效益分析控制成本

C）耗時短、成本低、可控性高

D）主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評估小組成員的經(jīng)驗(yàn)和素質(zhì)

69.［單選題］在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)

施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是？

A）制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體

要求

B）確保組織的信息安全管理體系目標(biāo)河相擁的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、

可實(shí)施

C）向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全

方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性

D）建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)

險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確

70.［單選題］2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃

（ComprehensiveNationalCybersecurityInitiative,CNCI）oCNCI計(jì)劃建立三道防線:第一道

防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強(qiáng)化未來安全

環(huán)境.從以上內(nèi)容，我們可以看出以下哪種分析是正確的：

A）CNCl是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)

B）從CNCl可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

C）CNCl的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)

上修修補(bǔ)補(bǔ)

D）CNCl徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追

求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

71.［單選題］公司要為機(jī)房配備滅火器材，你認(rèn)為應(yīng)該選擇下面哪

一組最---？

A）干粉滅火器、鹵代烷滅火器、二氧化的滅火器

B）水型滅火器、泡沫滅火器、鹵代烷滅火器鹵代烷滅火器

C）粉狀石墨滅火器、鑄鐵屑滅火器

D）Halon滅火器、鹵代烷滅火器

72.［單選題］73.社會工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個最脆弱的環(huán)節(jié)，即''人"這個環(huán)節(jié)

上。這些社會工程黑客在某黑客大會上成功攻入世界五百強(qiáng)公司，其中一名自稱是為CSO雜志做安全

調(diào)查。半時內(nèi)，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關(guān)于工作滿意度

以及食堂食物質(zhì)量問題后，雇員開始透露其他信息。包括：操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵

件及瀏覽器。為對抗此類信息收集和分析，公司需要做的是

A）關(guān)閉不必要的服務(wù)，部署防火墻、IDS等措施

B）系統(tǒng)安全管理員使用漏洞掃描軟件對系統(tǒng)進(jìn)行安全審計(jì)

C）減少系統(tǒng)對外服務(wù)的端又?jǐn)?shù)量，修改服務(wù)旗標(biāo)

D）通過信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息采取最小化原則

73.［單選題］應(yīng)用安全，一般是指保障應(yīng)用程序使用過程中和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安

全防護(hù)考慮的是？

A）身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源

B）安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記，主體不能隨便更改權(quán)限，增加訪問控制的力

度，限制非法訪問

C）剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩存區(qū)中剩余信息的保護(hù)，防止存儲在硬盤、內(nèi)存

或緩存區(qū)中的信息被非授權(quán)的訪問

D）機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件。包括機(jī)房環(huán)境，機(jī)房安全等級、機(jī)

房的建造和機(jī)房的裝修等

74.［單選題］某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求

前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從

前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措

施？

A）由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析

B）為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)

C）日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志

D）只允許特定的IP地址從前置機(jī)提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間

75.［單選題］在加固數(shù)據(jù)庫時，以下哪個是數(shù)據(jù)庫加固最需要考慮的？

A）修改默認(rèn)配置

B）規(guī)范數(shù)據(jù)庫所有的表空間

C）存儲數(shù)據(jù)被加密

D）修改數(shù)據(jù)庫服務(wù)的服務(wù)端口

76.［單選題］隨著計(jì)算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來越多樣化，自主訪問控制和

強(qiáng)制訪問控制難以適應(yīng)需求，基于角色的訪問控制（RBAC）逐漸成為安全領(lǐng)域的一個研究熱點(diǎn)。

RBAC模型可以分為RBACO、RBACkRBAC2和RBAC3四種類型，他們之間存在相互包含的關(guān)系。

下列選項(xiàng)中，對這四種類型之間的關(guān)系描述錯誤的是

A）RBACO是基本模型，RBACkRBAC2和RBAC3都包含RBACO

B）RBACl在RBACO的基礎(chǔ)上，加入了角色等級的概念

C）RBAC2在RBACl的基礎(chǔ)上，加入了約束的概念

D）RBΛC3結(jié)合了RBACl和RBΛC2,同事具備角色等級和約束

77.［單選題］信息安全等級保護(hù)分級要求，第三級適用正確的是

A）適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響

,但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益

B）適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受

到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害

C）適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對

國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害

D）適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其

受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害

78.［單選題］安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描

述是錯誤的？

A）安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)

B）安全域劃分能把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題

C）以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段.從而使同一安全域內(nèi)的

資產(chǎn)實(shí)施統(tǒng)一的保護(hù)

D）安全域邊界是安全事件發(fā)生時的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評

估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式

79.［單選題］《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T20984-2007?中關(guān)于信息系統(tǒng)生命周期各

階段的風(fēng)險(xiǎn)評估描述不正確的是：

A）規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等

B）設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求

C）實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別

,并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證

D）運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評估。評

估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面

80.［單選題］關(guān)于防火墻和VPN的使用，下面說法不正確的是—o（）

A）配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨(dú)立

B）配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域

網(wǎng)一側(cè)

C）配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣

域網(wǎng)一側(cè)

D）配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴

81.［單選題］有關(guān)人員安全管理的描述不正確的是？

A）人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)。

B）重要或敏感崗位的人員入職之前，需要做好人員的背景檢查。

C）如職責(zé)分離難以實(shí)施，企業(yè)對此無能為力，也無需做任何工作。

D）人員離職之后，必須清除離職員工所有的邏輯訪問帳號。

82.［單選題］小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新

人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論

點(diǎn)中錯誤的是哪項(xiàng)：

A）風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析

B）定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性

C）定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因

此更具客觀性

D）半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦

值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化

83.［單選題］小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問題，小紅說他看到有新

聞?wù)f在2011年2月3日，全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)

天劃分給所有的區(qū)城互聯(lián)網(wǎng)注冊管理機(jī)構(gòu)，IP地址總庫已經(jīng)枯竭，小明嚇了一跳覺得以后上網(wǎng)會

成問題，小紅安慰道，不用擔(dān)心，現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢，以下小紅說的優(yōu)點(diǎn)中錯

誤的是（）

A）網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展

B）IPv6對多播進(jìn)行了改進(jìn)，使得具有更大的多播地址空間

C）繁雜報(bào)頭格式

D）良好的擴(kuò)展性

84.［單選題］超文本傳輸協(xié)議（HyperText1TransferProtocolHTTP）是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)

絡(luò)協(xié)議，下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能

A）HTTP1.0協(xié)議

B）HTTP1.1協(xié)議

OHTTPS協(xié)議

D）HTTPD協(xié)議

85.［單選題］部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityvirtualPrivate

NetworkIPsecVPN）時。以下說法正確的是：

A）配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密

B）配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證

C）部署IPSeCVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來

減少IPSeC安全關(guān)聯(lián)（SecurityAuthentication,S

A）資源的消耗

D）報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機(jī)密性

86.［單選題］信息安全標(biāo)準(zhǔn)化工作是我國信息安全保障工作的重要組成部分之一，也是政府進(jìn)行宏觀

管理的重要依據(jù)，同時也是保護(hù)國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一。關(guān)于我國信息安全標(biāo)準(zhǔn)

化工作，下面選項(xiàng)中描述錯誤的是（）。

A）因事關(guān)國家安全利益，信息安全因此不能和國際標(biāo)準(zhǔn)相同，而是要通過本國組織和專家制訂標(biāo)準(zhǔn)

,切實(shí)有效地保護(hù)國家利益和安全

B）信息安全標(biāo)準(zhǔn)化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有

關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性

C）我國是在國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會統(tǒng)一管理全國標(biāo)準(zhǔn)化工作

,下設(shè)有專業(yè)技術(shù)委員會

D）我國歸口信息安全方面標(biāo)準(zhǔn)的是“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”，為加強(qiáng)有關(guān)工作，2016在

其下設(shè)立“大數(shù)據(jù)安全特別工作組”

87.［單選題］過濾王日志是存放在Winfgate目錄下的哪個文件夾下的O

A）sys

B）log

C）date

D）日志

88.［單選題］組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：

A）推薦并監(jiān)督數(shù)據(jù)安全策略

B）在組織內(nèi)推廣安全意識

C）制定IT安全策略下的安全程序/流程

D）管理物理和邏輯訪問控制

89.［單選題］小王在自己的學(xué)工系統(tǒng)中提交了自己的貧困申請，提交完成后發(fā)現(xiàn)自己的身份證號寫錯

T,想要修改發(fā)現(xiàn)點(diǎn)擊修改頁面顯示只有教師及以上職稱者才有權(quán)修改。小王只好去求助班主任

,才將信息修改正確。這種安全機(jī)制屬于OSl安全體系結(jié)構(gòu)的八種安全機(jī)制中的哪一個（）

A）加密

B）數(shù)據(jù)完整性

C）業(yè)務(wù)流填充

D）訪問控制

90.［單選題］關(guān)于惡意代碼的守護(hù)進(jìn)程的功能，以下說法正確的是。

A）加大檢測難度

B）隱藏惡意代碼

C）監(jiān)視惡意代碼主體程序是否正常

確定業(yè)務(wù)關(guān)健功能?確定支持關(guān)鍵功

能的資源和系統(tǒng)*

測試和修訂計(jì)劃.工施犧?

D）傳播惡意代碼

91.［單選題］以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述？

A）應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)

安全保障的考慮

B）應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品

C）應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)

D）應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容

92.［單選題］下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是:

A）明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望

B）描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔

C）向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評估準(zhǔn)則

D）對系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證

93.［單選題］在冗余磁盤陳列中，以下不具有容錯技術(shù)的是一

A)RAID0

B)RAID1

C)RAID3

D)RAID5

94.［單選題］以下有關(guān)服務(wù)協(xié)議的介紹哪一個是錯誤的？

A）SMTP簡單郵件傳輸協(xié)議使用TCP協(xié)議，端口號是25

B）FTP文件傳輸協(xié)議（數(shù)據(jù)連接服務(wù)）使用TCP,端口號是20

ODNS域名解析服務(wù)協(xié)議使用TCP協(xié)議，端口號53

D）TFTP簡單文件傳輸協(xié)議使用UDP協(xié)議，端口號69

95.［單選題］信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework,IATF）由美

國國家安全局（NSA）發(fā)布最初目的是為保障美國政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其

中，提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是：

A）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施區(qū)域邊界重要服務(wù)器

B）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境

C）網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口計(jì)算環(huán)境

D）網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口重要服務(wù)器

96.［單選題］以下等級保護(hù)建設(shè)工程中，需要強(qiáng)調(diào)的原則？

A）自主定級、自主保護(hù)

B）同步實(shí)施、定級備案

C）借鑒其它安全建設(shè)的機(jī)構(gòu)的方案來設(shè)計(jì)方案

D）不需要測評，。。。。

97.［單選題］172.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行

為或者對于計(jì)算機(jī)資源的非正常使用，從而檢測出入侵行為，下面說法錯誤的是：（）

A）在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異常現(xiàn)象

B）實(shí)施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻

擊發(fā)生

C）異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手

段向管理員報(bào)警

D）異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為

98.［單選題］若系統(tǒng)在運(yùn)行過程中，由于某種硬件故障，使存儲在外存上的數(shù)據(jù)部分損失或全部損

失，這種情況稱為（）。

A）事務(wù)故障

B）系統(tǒng)故障

C）介質(zhì)故障

D）人為錯

誤

99.［單選題］下列對于訪向控制模型分類說法正確的是：

A）BLP模型和biba模型都是強(qiáng)制訪問控制模型

B）biba模型和ChineseWall模型都是完整性模型

C）訪問控制矩陣不屬于自主訪問控制模型

D）基于角色的訪問控制屬于強(qiáng)制訪問控制

IOO.［單選題］Hadop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoopl.0.0版本之前，

Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)

行交互時并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群

上，惡意的提交作業(yè)，篡改分布式存儲的數(shù)據(jù)，偽裝成NameNo或者TaskTracker接受任務(wù)等。

在Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題，Kerber的認(rèn)證過程不包

括（）

A）獲得票據(jù)許可票據(jù)

B）獲得服務(wù)許可票據(jù)

C）獲得密鑰分配中心的管理權(quán)限

D）獲得服務(wù)

IOl.［單選題］系統(tǒng)工程霍爾三維結(jié)構(gòu)模型從時間維、邏輯維、（）三個坐標(biāo)對系統(tǒng)工程進(jìn)行程序化

?

A）階段維

B）進(jìn)程維

C）知識維

D）工作步驟維

102.［單選題］身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（）。

A）身份鑒別是授權(quán)控制的基礎(chǔ)

B）身份鑒別一般不用提供雙向的認(rèn)證

C）目前一般采用基于對稱密鑰加密或公開密鑰加密的方法

D）數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制

103.［單選題］策略應(yīng)該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的

O（）

A）管理支持

C）實(shí)施計(jì)劃

D）補(bǔ)充內(nèi)容

B）技術(shù)細(xì)節(jié)

104.［單選題］內(nèi)部審計(jì)部門，從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會報(bào)告，

最有可能：

A）導(dǎo)致對其審計(jì)獨(dú)立性的質(zhì)疑

B）報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)

C）加強(qiáng)了審計(jì)建議的執(zhí)行

D）在建議中采取更對有效行動

105.［單選題］會讓一個用戶的“刪除”操作去警告其他許多用戶的垃圾郵件過濾技術(shù)是：

A）黑名單

B）白名單

C）實(shí)時黑名單

D）分布式適應(yīng)性黑名單

106.［單選題］在《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中，根據(jù)—要素，X災(zāi)難恢復(fù)等級劃分為—X.

A）7；6

B）8；7

07；7

D）8;6

107.［單選題］及時審查系統(tǒng)訪問審計(jì)記錄是以下哪種基本安全功能？

A）威懾。

B）躲避。

C）預(yù)防。

D）檢測。

108.［單選題］防火墻最主要被部署在—位置。（）

A）網(wǎng)絡(luò)邊界

B）骨干線路

C）重要服務(wù)器

D）桌面終端

109.［單選題］以下關(guān)于BLP模型規(guī)則說法不正確的是：

A）BLP模型主要包括簡單安全規(guī)則和*-規(guī)則

B）*-規(guī)則可以簡單表述為下寫

C）主體可以讀客體，當(dāng)且僅當(dāng)主體的安全級可以支配客體的安全級，且主體對該客體具有自主型讀

權(quán)限

D）主體可以讀客體，當(dāng)且僅當(dāng)客體的安全級可以支配主體的安全級，且主體對該客體具有自主型讀

權(quán)限

110.［單選題］數(shù)據(jù)庫事務(wù)日志的用途是什么？

A）事務(wù)處理

B）數(shù)據(jù)恢復(fù)

C）完整性約束

D）保密性控制

IlL［單選題］根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的規(guī)定，錯誤的是：

A）信息安全風(fēng)險(xiǎn)評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合

、互為補(bǔ)充

B）信息安全風(fēng)險(xiǎn)評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展

C）信息安全風(fēng)險(xiǎn)評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程

D）開展信息安全風(fēng)險(xiǎn)評估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的組織領(lǐng)導(dǎo)

112.［單選題］宏病毒是一種專門感染微軟OffiCe格式文件的病毒，下列（）文件不可能感染該病

毒。

A)*.exe

B)*.doc

C)*.xls

D)*.ppt

113.［單選題］關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：

A）要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)

并重

B）信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方

C）在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)

D）在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用

114.［單選題］SSH使用的端口號是多少？

Λ）21

B）22

023

D）4899

115.［單選題］風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施，風(fēng)險(xiǎn)處理的目的是為了（）始

終控制在可接受的范圍內(nèi)，風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）、和（）四種方式

A）風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受

B）風(fēng)險(xiǎn)評估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受

C）風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受

D）風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估；降低；規(guī)避；轉(zhuǎn)移；接受

116.［單選題］某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范

》（GB50174-2008）的相關(guān)要求，對承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的

審核意見錯誤的是？

A）在異地建立備份機(jī)房，設(shè)計(jì)時應(yīng)與主要機(jī)房等級相同

B）由于高端小型機(jī)發(fā)熱量大，因此采用活動地板下送風(fēng)，上回風(fēng)的方式

C）因機(jī)房屬于A級主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時，所配備

的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要

D）A級主機(jī)房應(yīng)設(shè)置自動噴水滅火系統(tǒng)

117.［單選題］在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)

施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是？

A）制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體

要求。

B）確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體

,可實(shí)施

C）向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求，達(dá)成信息安全目標(biāo)，符合信息安全

方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性

D）建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)

險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確

118.［單選題］信息安全需求獲取的主要手段

A）信息安全風(fēng)險(xiǎn)評估

B）領(lǐng)導(dǎo)的指示

C）信息安全技術(shù)

D）信息安全產(chǎn)品

119.［單選題］在極限測試過程中，貫穿始終的是（），

A）單元測試和集成測試

B）單元測試和系統(tǒng)測試

C）集成測試和驗(yàn)收制試

D）集成測試和系統(tǒng)測試

120.［單選題］電子公告服務(wù)提供者應(yīng)當(dāng)記錄在電子公告服務(wù)系統(tǒng)中發(fā)布的信息內(nèi)容及其發(fā)布時

間、互聯(lián)網(wǎng)地址或者域名。記錄備份應(yīng)當(dāng)保存（）日。

A）90

B）60

C）30

D）10

121.［單選題］下列哪個選項(xiàng)是公鑰基礎(chǔ)設(shè)施（PKI）的密鑰交換處理流程？

（1）接收者解密并獲取會話密鑰

（2）發(fā)送者請求接收者的公鑰

（3）公鑰從公鑰目錄中被發(fā)送出去

（4）發(fā)送者發(fā)送一個由接收者的公鑰加密過的會話密鑰

A）4,3,2,l

B）2,l,3,4

02,3,4,1

D）2,4,3,1

122.［單選題］Linux系統(tǒng)的安全設(shè)置只要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安

全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個方面來

完成。小張?jiān)趯W(xué)習(xí)了LinUX系統(tǒng)安全的相關(guān)知識后，嘗試為自己計(jì)算機(jī)上的LinUX系統(tǒng)進(jìn)行安全

配置。下列選項(xiàng)是他的部分操作，其中不合理的是（）

A）編輯文件∕etc∕passwd,檢查文件中用戶ID,禁用所以ID=O的用戶

B）編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為no

C）編輯文件∕etc∕pam.d/SyStem-auth,設(shè)置authrequiredpamtally,soonerr=faildeny=6

unlock_time=300

D）編輯文件∕etc∕profile,設(shè)置TMOUT=600

123.［單選題］下面對于信息安全特征和范疇的說法錯誤的是：

A）信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)問題，還要考慮人員、管理、政

策等眾多因素

B）信息安全是一個動態(tài)的問題，它隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)、用戶認(rèn)識、投入產(chǎn)出

而發(fā)展

C）信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個組織的信息安全責(zé)任

是沒有意義的

D）信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳

統(tǒng)安全的特點(diǎn)

124.［單選題］在一個使用ChineSeWaH模型建立訪問控制的消息系統(tǒng)中，——

A）只有訪問了W之后，才可以訪問X

B）只有訪問了W之后，才可以訪問Y和Z中的一個

C）無論是否訪問肌都只能訪問Y和Z中的一個

D）無論是否訪問W,都不能訪問Y或Z

125.［單選題］某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)，其中公文分發(fā)功能使用了FTP協(xié)議，該系

統(tǒng)運(yùn)行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進(jìn)行了纂改，安全專家提出使用HttP下載

代替FTP功能以解決以上問題，該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的

A）程序員在進(jìn)行安全需求分析時，沒有分析出OA系統(tǒng)開發(fā)的安全需求

B）程序員在軟件設(shè)計(jì)時，沒遵循降低攻擊面的原則，設(shè)計(jì)了不安全的功能

C）程序員在軟件編碼時，缺乏足夠的經(jīng)驗(yàn)，編寫了不安全的代碼

D）程序員在進(jìn)行軟件測試時，沒有針對軟件安全需求進(jìn)行安全測試

126.［單選題］信息系統(tǒng)安全工程（ISSE）的一個重要目標(biāo)就是在IT項(xiàng)目的各個階段充分考慮安全因

素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：

A）明確業(yè)務(wù)對信息安全的要求

B）識別來自法律法規(guī)的安全要求

C）論證安全要求是否正確完整

D）通過測試證明系統(tǒng)的功能和性能可以滿足安全要求

127.［單選題］內(nèi)容安全是我國信息安全保障工作中的一個重要環(huán)節(jié)，互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆

發(fā)是使得內(nèi)容安全越來受到重視，以下哪個描述不屬于內(nèi)容安全的范疇（）。

A）某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì)、對向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核，確保無侵犯版權(quán)

行為后才能在站上進(jìn)行發(fā)布

B）某網(wǎng)站采取了技術(shù)措施，限制對同一IP地址對網(wǎng)站的并發(fā)連接，避免爬蟲通過大量的訪問采集

網(wǎng)站發(fā)布數(shù)據(jù)

C）某論壇根據(jù)相關(guān)法律要求，進(jìn)行了大量的關(guān)鍵詞過濾，使用戶無法發(fā)布包含被過濾關(guān)鍵詞的相關(guān)

內(nèi)容

D）某論壇根據(jù)國家相關(guān)法律要求，為了保證用戶信息泄露，對所有用戶信息，包括用戶名、密碼、

身份證號等都進(jìn)行了加密的存儲

128.［單選題］有關(guān)定性風(fēng)險(xiǎn)評估和定量風(fēng)險(xiǎn)評估的區(qū)別，以下描述不正確的是

A）定性風(fēng)險(xiǎn)評估比較主觀，而定量風(fēng)險(xiǎn)評估更客觀

B）定性風(fēng)險(xiǎn)評估容易實(shí)施，定量風(fēng)險(xiǎn)評估往往數(shù)據(jù)準(zhǔn)確性很難保

證

C）定性風(fēng)險(xiǎn)評估更成熟，定量風(fēng)險(xiǎn)評估還停留在理論階段

D）定性風(fēng)險(xiǎn)評估和定量風(fēng)險(xiǎn)評估沒有本質(zhì)區(qū)別，可以通用

129.［單選題］ISO27OO4是指以下哪個標(biāo)準(zhǔn)

A）《信息安全管理體系要求》

B）《信息安全管理實(shí)用規(guī)則》

C）《信息安全管理度量》

D）《ISMS實(shí)施指南》

130.［單選題］以下對單點(diǎn)登錄技術(shù)描述不正確的是：

A）單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個用戶之間的傳遞或共享

B）使用單點(diǎn)登錄技術(shù)用戶只需在登錄時進(jìn)行一次注冊，就可以訪問多個應(yīng)用

C）單點(diǎn)登錄不僅方便用戶使用，而且也便于管理

D）使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)

131.［單選題］風(fēng)險(xiǎn)評估方法的選定在PDCA循環(huán)中的那個階段完成？

A）實(shí)施和運(yùn)行

B）保持和改進(jìn)

C）建立

D）監(jiān)視和評審

132.［單選題］關(guān)于以下配置

Routerospf100

Iprouterauthentication

Ipospfmessage-digest-key1md5XXXXXX（認(rèn)證碼）

以下說法不正確的是（）

A）OSPF認(rèn)證分為明文認(rèn)證和密文認(rèn)證兩種方式。

B）OSPF協(xié)議是一種典型的鏈路狀態(tài)路由協(xié)議，它通過路由器之間通過網(wǎng)絡(luò)接口

的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹。

C）OSPF的認(rèn)證可以在鏈路上進(jìn)行，也可以在整個區(qū)域內(nèi)進(jìn)行認(rèn)證。但是在虛鏈

路上不可以進(jìn)行認(rèn)證。

D）該配置可以應(yīng)用在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制來建立安全的訪

問路徑

133.［單選題］在以下OSl七層模型中，Synflooding攻擊發(fā)生在哪層：

A）數(shù)據(jù)鏈路層

B）網(wǎng)絡(luò)層

C）傳輸層

D）應(yīng)用層

134.［單選題］信息安全應(yīng)急響應(yīng)計(jì)劃的制定是一個周而復(fù)始、持續(xù)改進(jìn)的過程，以下哪個階段不在

其中？

A）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；

B）編制應(yīng)急響應(yīng)計(jì)劃文檔；

C）應(yīng)急響應(yīng)計(jì)劃的測試、部訓(xùn)、演練和維護(hù)

D）應(yīng)急響應(yīng)計(jì)劃的廢棄與存檔

135.［單選題］在選擇外部供貨生產(chǎn)商時，評價標(biāo)準(zhǔn)按照重要性的排列順序是：

供貨商與信息系統(tǒng)部門的接近程度

2.供貨商雇員的態(tài)度

3.供貨商的信譽(yù)、專業(yè)知識、技術(shù)

4.供貨商的財(cái)政狀況和管理情況

A)4,3,1,2

B)3,4,2,1

03,2,4,1

D)l,2,3,4

136.［單選題］在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放了以下

幾個應(yīng)用，除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需

要告訴用戶對應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個應(yīng)用已經(jīng)解決了明文傳輸

數(shù)據(jù)問題

A)SSH

B)HTTP

OFTP

D)SMTP

137.［單選題］按照通常的口令使用策略，口令修改操作的周期應(yīng)為—天。()

A)60

B)90

C)30

D)120

138.［單選題］部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetPrOtoeoISeCUrityVirtUalPriVate

NetWOrklPSeeVPN)時。以下說法正確的是：

A)配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密

B)配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證

C)部署IPsecVIPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段

,來減少IPsec安全關(guān)聯(lián)(SeCUrityAUthentiCation,SA)資源的消耗

D)報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,ΛH)可以提供數(shù)據(jù)機(jī)密性

139.［單選題］—不屬于必需的災(zāi)前預(yù)防性措施。()

A)防火設(shè)施

B)數(shù)據(jù)備份

C)配置冗余設(shè)備

D)不間斷電源，至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備

140.［單選題］關(guān)于信息安全工程說法正確的是

A)信息安全建設(shè)規(guī)劃時就應(yīng)該引入信息安全工程的概念yaa

B）信息安全建設(shè)實(shí)施后引入信息安全工程。。。

C）信息安全建設(shè)完成后引入

D）信息安全建設(shè)不需要。。。

141.［單選題］作為信息安全治理的成果，戰(zhàn)略方針提供了：

A）企業(yè)所需的安全要求

B）遵從最佳實(shí)務(wù)的安全基準(zhǔn)

C）日常化制度化的解決方案

D）風(fēng)險(xiǎn)暴露的理解

142.［單選題］某IinUX系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻

擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限

如下-LS―X—X1testtdst10704apr152002∕home∕test/sh請問以下描述哪個是正確的：

A）該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行

B）該文件是一個正常文件，是test用戶使用的ShelI,但test用戶無權(quán)執(zhí)行該文件

C）該文件是一個后門程序，該文件被執(zhí)行時，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限

D）該文件是一個后門程序，由于所有者是test,因此運(yùn)行這個文件時文件執(zhí)行權(quán)限為TeSt

143.［單選題］以下哪一項(xiàng)是和電子郵件系統(tǒng)無關(guān)的？

A）PEM

B）PGP

0X500

D）X400

144.［單選題］軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶隱私包，以下關(guān)于用戶隱私保護(hù)的說法錯誤的是？

A）告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用

B）當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給客戶選擇是否允許

C）用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是

D）確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)

145.［單選題］由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分樓宇出現(xiàn)網(wǎng)絡(luò)癱瘓，或者FTP及部分網(wǎng)站

服務(wù)器不能響應(yīng)用戶請求，屬于以下哪種級別事件

A）特別重大事件

B）重大事件

C）較大事件

D）一般事件

146.［單選題］國際聯(lián)網(wǎng)采用（）制定的技術(shù)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、資費(fèi)政策，以利于提高服務(wù)質(zhì)量

和水平。

A）企業(yè)統(tǒng)一

B）單位統(tǒng)一

C）國家統(tǒng)一

D)省統(tǒng)一

147.［單選題］根據(jù)ISO的信息安全定義，下列選項(xiàng)中—是信息安全三個基本屬性之一。

A)真實(shí)性

B)可用性

C)可審計(jì)性

D)可靠性

148.［單選題］關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：

A)數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞

時，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)

B)數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)

據(jù)庫恢復(fù)中采用的基本技術(shù)

C)日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事物故障恢復(fù)和系統(tǒng)故障恢復(fù)，并

協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)

D)計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將

數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交

149.［單選題］有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BaSe

Practices,BP),正確的理解是：

Λ)BP是基于最新技術(shù)而制定的安全參數(shù)基本配置

B)大部分BP是沒有經(jīng)過測試的

C)一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段

D)一項(xiàng)BP可以和其他BP有重疊

150.［單選題］下列哪些選項(xiàng)不屬于NlD