國家注冊信息安全專業(yè)人員CISP考前模擬練習題庫（濃縮300題）

PAGEPAGE1國家注冊信息安全專業(yè)人員CISP考前模擬練習題庫（濃縮300題）一、單選題1.某單位系統(tǒng)管理員對組織內核心資源的訪問制定訪問策略,針對每個用戶指明能夠訪問的資源,對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種:A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務的訪問控制答案：C2.以下關于信息安全工程說法正確的是A、信息化建設中系統(tǒng)功能的實現(xiàn)是最重要的B、信息化建設可以先實施系統(tǒng),而后對系統(tǒng)進行安全加固C、信息化建設中在規(guī)劃階段合理規(guī)劃信息安全,在建設階段要同步實施信息安全建設D、信息化建設沒有必要涉及信息安全建設答案：C3.()第二十三條規(guī)定存儲、處理國家秘密的就計算機信息系統(tǒng)(以下簡稱泄密信息系統(tǒng))按照()實行分級保護。()應當按照國家保密標準配備保密設施、設備。()、設備應當與涉密信息系統(tǒng)同步規(guī)劃、同步建設、同步運行(三同步)。涉密信息系統(tǒng)應當按照規(guī)定,經(jīng)()后,方可投入使用。A、《保密法》:涉密程度;涉密信息系統(tǒng);保密設施;檢查合格B、《國家保密法》涉密程度;涉密系統(tǒng);保密設施;檢查合格C、《網(wǎng)絡保密法》;涉密系統(tǒng);查合格D、《安全保密法》;涉密信息系施;檢查合格答案：A4.某單位在一次信息安全風險管理活動中,風險評估報告提出服務器A的FTP服務存在高風險漏洞。隨后該單位在風險處理時選擇了關閉FTP服務的處理措施。請問該措施屬于哪種風險處理方式()A、風險降低B、風險規(guī)避C、風險轉移D、風險接受答案：B5.隨著金融電子化的發(fā)展,全球金融通信網(wǎng)絡已出具規(guī)模。某金融單位組建的計算機通信網(wǎng)絡覆蓋全國,有力的促進了該企業(yè)各種金融業(yè)務的發(fā)展。然而網(wǎng)絡技術的普及、網(wǎng)絡規(guī)模規(guī)模的延伸,開始逐步讓該企業(yè)對網(wǎng)絡安全提出了更高的要求。為了進一步促進金融電子化的建設,保障金融網(wǎng)絡安全運行,該企業(yè)經(jīng)過前期充分的調研分析與論證,實施了防火墻/VPN系統(tǒng)建設項目。防火墻不能實現(xiàn)的安全功能是()。A、對出入網(wǎng)絡的訪問行為進行管理和控制B、過濾出入網(wǎng)絡的數(shù)據(jù),強化安全策略C、隱藏內部網(wǎng)絡細節(jié)D、評估系統(tǒng)關鍵資源和數(shù)據(jù)完整性,識別已知的攻擊行為答案：D6.小王在學習定量風險評估方法后,決定試著為單位機房計算火災的風險大小。假設單位機房的總價格為200萬元人民幣,暴漏系數(shù)(FoposureFactor.EF)是25%,年度發(fā)生率annualizdrateof0ccurrence,ARO)為0.1,那么小王計算的年度預期損失AnnualizedLossExpectancy,AE)應該是(),A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣答案：A7.即使最好用的安全產(chǎn)品也存在(),結果,在任何的系統(tǒng)中敵手最終都能夠找到一個被開發(fā)出的漏洞,一種有效的對策是在敵手和它的目標之間配備多種()每一種機制都應包括()兩種手段。A、安全機制;安全缺陷;保護和檢測B、安全缺陷;安全機制;保護和檢測C、安全缺陷;保護和檢測;安全機制D、安全缺陷;安全機制;外邊和內部答案：B8.關于信息安全管理體系(InForm,ISMS),下面描述錯誤的是()。A、信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系,組織架構,方針、高效、職責及相關實踐要素B、管理體系()是為達到組織目標的策略、程序、指南和相關資源的框架,信息安全管理體系是管理體系和C、概念上,信息安全管理體系有廣義和俠義之分,俠義的信息安全管理體系是指按照ISO27001標準定義的管理體系,它是一個組織管理體系的組成部分D、其的管理體系一樣,信息安全管理體系也要建立信息安全管理組織機構、健全信息安全管理制度、構建信息或全技術防護體系和加強人員的安全意識等內容答案：D9.Linux系統(tǒng)的安全設置主要從磁盤分區(qū)、賬戶安全設置、禁用危險服務、遠程登錄安全、用戶鑒別安全、審計策略、保護root賬戶、使用網(wǎng)絡防火墻和文件權限操作共10個面來完成。小張在學習了Linux系統(tǒng)安全的相關知識后,嘗試為自己計算機上的Linux系統(tǒng)進行安全配置。下列選項是他的部分操作,其中不合理的是()A、編輯文件/etc/passwd.檢查文件中用戶ID,禁用所有ID=O的用戶B、編輯文件/etc/ssh/sshd_config,將PermitRootLogin設置為noC、編輯文件/etc/pam.d/system-auth,設置authrequiredpam_tally.soo.nerr=faildeny=6unlock_time=300D、編輯文件/etc/profile,設置TMOUT=600答案：A10.小陳某電器城購買了一臺冰箱,并留下了個人姓名、電話和電子郵件地址等信息,第二天他收了一封郵件他中獎的郵件,查看該郵件后他按照提示操作繳納中獎稅款后并沒有得到中獎金,再成才得知電器城共沒有中獎的活動、在此案例中,下面描述量誤的是()A、小陳應當注意保護自已的隱私,沒有必要告訴別人的信息不要登記和公和給別人B、小陳錢被偷走了,這類網(wǎng)絡犯罪哪案件也應該向公安局報案C、郵件服務運營高商通過技術手段,可以在一定程度上阻止此類的釣魚郵件和明哄騙郵件D、小陳應當向電器城索,追回損失答案：D11.在國家標準CB/T20274.12000《信息安全技術信息系統(tǒng)安全保障評估框架第一部分;簡介和一般模型》中,信息系統(tǒng)安全保障模型包含哪幾個方面?()A、保障要素,生命周期和運行維護B、保障要素,生命周期和安全特征C、規(guī)劃組織,生命周期和安全特征D、規(guī)劃組織,生命周期和運行維護答案：B12.數(shù)據(jù)在進行傳輸前,需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B、傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)路接口層C、互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層答案：B13.某政府機構擬建設一機房,在工程安全監(jiān)理單位參與下制定了招標文件,項目分二期,一期目標為年底前實現(xiàn)系統(tǒng)上線運營;二期目標為次年上半年完成運行系統(tǒng)風險的處理;招標文件經(jīng)管理層審批后發(fā)布。就此工程項目而言,下列選項正確的是:A、此項目將項目目標分解為系統(tǒng)上線運營和運行系統(tǒng)風險處理分期實施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標文件經(jīng)管理層審批,表明工程目標符合業(yè)務發(fā)展規(guī)劃答案：C14.2003年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個文件,從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件()A、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)B、《國家網(wǎng)絡安全綜合計劃(CNCI)》(國令[2008]54號)C、《國家信息安全戰(zhàn)略報告》(國信[2005]2號)D、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012]23號)答案：B15.小李在某單位是負責信息安全風險管理方面工作的部門領導,主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓,一次培訓的時候,小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項:A、風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例,因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值因此更具有客觀性D、半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式,實現(xiàn)對風險各要素的度量數(shù)值化答案：B16.根據(jù)Bell-LaPadula模型安全策略,下圖中寫和讀操作正確的是()A、可寫可讀B、可讀不可寫C、可寫不可讀D、不可讀不可寫答案：D17.某個新成立的互聯(lián)網(wǎng)金融公司擁有10個與互聯(lián)網(wǎng)直接連接的IP地址,但是該網(wǎng)絡內有15臺個人計算機,這些個人計算機不會同時開機并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題,公司決定將這十個互聯(lián)網(wǎng)地址集中起來使用,當任意一臺個人計算機開機并連接網(wǎng)路時,管理中心從這10個地址中任意取出一個尚未分配的IP地址分配給這個人的計算機。他關機時,管理中心將該地址收回,并重新設置為未分配?？梢?只要同時打開的個人計算機數(shù)量少于或等于可供分配的IP地址,那么,每臺個人計算機可以獲取一個IP地址,并實現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是()A、靜態(tài)分配地址B、動態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址答案：B18.某銀行信息系統(tǒng)為了滿足業(yè)務發(fā)展的需要準備進行升級改造,以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關法律法規(guī),國家以及金融行業(yè)安全標B、信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風險D、該銀行整體安全策略答案：C19.ApacheHTTPServer(簡稱Apache)是一個開放源碼的Web服務運行平臺,在使用過程中,該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應當采取以下哪種措施()A、不選擇Windows平臺,應選擇在Linux平臺下安裝使用B、安裝后,修改配置文件http.conf中的有關參數(shù)C、安裝后,刪除ApscheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApecheHTTPServer,并安裝使用答案：B20.某網(wǎng)站為了開發(fā)的便利,使用SA連接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞,導致攻擊者利用內置存儲過程xp_cmdshell刪除了系統(tǒng)中一個重要文件,在進行問題分析時,作為安全專家,你應該指出該網(wǎng)站設計違反了以下哪項原則:A、權限分離原則B、最小特權原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B21.一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個選項決定的()A、加密算法B、解密算法C、加密和解密算法D、A密鑰答案：D22.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設計階段,為了保證用戶帳戶安全,項目開發(fā)人員決定用戶登錄時除了用戶名口令認證方式外,還加入基于數(shù)字證書的身份認證功能,同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中,請問以上安全設計遵循的是哪項安全設計原則:A、最小特權原則B、職責分離原則C、縱深防御原則D、最少共享機制原則答案：C23.以下關于模糊測試過程的說法正確的是:A、模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關。B、為保障安全測試的效果和自動化過程，關鍵是將發(fā)現(xiàn)異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復異常狀態(tài)進行后續(xù)的測試。C、通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞。如果是安全漏洞,，就需要進一步分析其危害性、影響范圍和修復建議。D、對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告。答案：C24.小陳學習了有關信息安全管理體系的內容后,認為組織建立信息安全管理體系并持續(xù)運行,比起簡單地實施信息安全管理,有更大的作用,他總結了四個方面的作用,其中總結錯誤的是()A、可以建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有章可循,有據(jù)可查B、可以強化員工的信息安全意識,建立良好的安全作業(yè)習慣,培育組織的信息安全企業(yè)文化C、可以增強客戶、業(yè)務伙伴、投資人對該組織保障其業(yè)務平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理,提高安全防護效果,使組織通過國際標準化組織的ISO9001認證答案：D25.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后,認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關檢查評估的特點和要求整理成如下四條報告給單位領導,其中描述錯誤的是()A、檢查評估可依據(jù)相關標準的要求,實施完整的風險評估過程;也可在自評估的基礎上,對關鍵環(huán)節(jié)或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織,并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施,具有強制性的特點答案：B26.隨著信息技術的不斷發(fā)展,信息系統(tǒng)的重要性也越來越突出,而與此同時,發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源,下面描述正確的是()A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要,同時自身在開發(fā)、部署和使用過程中存在的脆弱性,導致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者信息系統(tǒng)應用越來越廣泛,接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題產(chǎn)生的根源要從內因和外因兩個方面分析,因為信息系統(tǒng)自身存在脆弱性,同時外部又有威脅源,從而導致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風險,需從內外因同時著手D、信息安全問題的根本原因是內因、外因和人三個因素的綜合作用,內因和外因都可能導致安全事件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內部工作人員通過遠程攻擊、本地破壞和內外勾結等手段導致安全事件發(fā)生。因此,對人這個因素的防范應是安全工作重點答案：C27.你是單位的安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁,安全運維人員給出了針對此漏洞修補的四個建議方案,請選擇其中一個最優(yōu)方案執(zhí)行()A、由于本次發(fā)布的漏洞都屬于高危漏洞,為了避免安全風險,應對單位所有的服務器和客戶端盡快安裝補丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質性的危害,所以可以先不做處理C、對于重要任務,應在測試環(huán)境中安裝并確認補丁兼容性問題后再正式生產(chǎn)環(huán)境中部署D、對于服務器等重要設備,立即使用系統(tǒng)更新功能安裝這些補丁,用戶終端計算機由于沒有重要數(shù)據(jù),由終端自行升級答案：C28.對系統(tǒng)工程(SystemsEngineering,SE)的理解,以下錯誤的是:A、系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進行研究B、系統(tǒng)工程不屬于技術實現(xiàn),而是一種方法論C、系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法答案：C29.SO9001-2000標準鼓勵在制定、實施質量管理體系以及改進其有效性時對采用的過程方法,通過滿足顧客要求,增進顧客滿意,下圖是關于過程方法示意圖,空白處應填寫()A、策略B、管理者C、組織D、活動答案：D30.分組密碼算法是一類十分重要的密碼算法,下面描述中,錯誤的是()A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法答案：C31.信息安全等級保護分級要求,第三極適用正確的是:A、適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益B、適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害C、適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害D、適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害答案：B32.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術,它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用,從而檢測出入侵行為。下面說法錯誤的是()A、在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運行過程中的異?，F(xiàn)象B、實施異常入侵檢測,是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡運行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內部的惡意行為答案：B33.下面對國家秘密定級和范圍的描述中,哪項不符合《保守國家秘密法》要求:A、國家秘密及其密級的具體范圍,由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定B、各級國家機關、單位對所產(chǎn)生的國家秘密事項,應當按照國家秘密及其密級具體范圍的規(guī)定確定密級C、對是否屬于國家機密和屬于何種密級不明確的事項,可由各單位自行參考國家要求確定和定級,然后報國家保密工作部門確定D、對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門,省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關確定。答案：C34.安全管理體系,國際上有標準(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國發(fā)布了《信息技術信息安全管理體系要求》(GB/T22080-2008).請問,這兩個標準的關系是()A、IDT(等同采用),此國家標準等同于該國際標準,僅有或沒有編輯性修改B、EQV(等效采用),此國家標準等效于該國家標準,技術上只有很小差異C、AEQ(等效采用),此國家標準不等效于該國家標準D、沒有采用與否的關系,兩者之間版本不同,不應直接比較答案：D35.有關能力成熟度模型(),錯誤的理解是:A、CMM基本思想是,因為問題是由技術落后引起的所以新技術的運用會在一定程度上提高質量.生產(chǎn)率和利潤率B、CMM的思想來源于項目管理和質量管理C、MM是一種衡量工程實施能力的方法,是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程控制理論基礎上的,它基于這樣一個假設,即“生產(chǎn)過程的高質量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質量產(chǎn)品"答案：A36.在信息安全保障工作中,人才是非常重要的因素,近年來,我國一直高度重視我國信息安全人才隊伍的培養(yǎng)和建設。在以下關于我國關于人才培養(yǎng)工作的描述中,錯誤的是()A、在《國家信息化領導小組關于加強信息安全保障工作的意見》仲辦發(fā)[2003]27號)中,針對信息安全人才建設與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng),增強全民信息安全意識”的指導精神B、2015年,為加快網(wǎng)絡空間安全高層次人才培養(yǎng),經(jīng)報國務院學位委員會批準,國務院學位委員會、教育部決定在“工學”門類下增設“網(wǎng)絡空間安全”一級學科,這對于我國網(wǎng)絡信息安全人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)起到積極的推動作用C、經(jīng)過十余年的發(fā)展,我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多,基本能同社會實際需求相匹配;同時,高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識更全面,因而社會化培養(yǎng)應重點放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學教育外,我國信息安全人才非學歷教育已基本形成了以各種認證為核心,輔以各種職業(yè)技能培訓的信息安全人才培訓體系,包括“注冊信息安全專業(yè)人員(CISP)”資質認證和一些大型企業(yè)的信息安全資質認證答案：C37.關于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別,下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議,而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進行認證,而WPA2使用了密碼算法對接入進行認證D、WPA是依照802.11i標準草案制定的,而WPA2是依照802.11i正式標準制定的答案：D38.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能,下列哪個選項不屬于核心業(yè)務功能:A、治理,主要是管理軟件開發(fā)的過程和活動B、構造,主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C、驗證,主要是測試和驗證軟件的過程與活動D、購置,主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動答案：D39.某電子商務網(wǎng)站最近發(fā)生了一起安全事件,出現(xiàn)了一個價值1000元的商品用1元被買走的情況,經(jīng)分析是由于設計時出于性能考慮,在瀏覽時時使用Http協(xié)議,攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改。利用此漏洞,攻擊者將價值1000元的商品以1元添加到購物車中,而付款時又沒有驗證的環(huán)節(jié),導致以上問題。對于網(wǎng)站的這個問題原因分析及解決措施,最正確的說法應該是?A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導致的,為了避免再發(fā)生類似的問題,應對全網(wǎng)站進行安全改造,所有的訪問都強制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等相關工作或工作不到位,沒有找到該威脅并采取相應的消減措施C、該問題的產(chǎn)生是由于編碼缺陷,通過對網(wǎng)站進行修改,在進行訂單付款時進行商品價格驗證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題,應報警要求尋求警察介入,嚴懲攻擊者即可答案：A40.訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制,他們具有不同的特點和應用場景。如果需要選擇一個訪問控制方法,要求能夠支持最小特權原則和職責分離原則,而且在不同的系統(tǒng)配置下可以具有不同的安全控制,那么在下列選項中,能夠滿足以上要求的選項是()。A、自主訪問控制B、強制訪問控制C、基于角色的訪問控制D、以上選項都可以答案：C41.某集團公司更具業(yè)務需要,在各地分支機構部署前置機,為了保證安全,將集團總部要求前置機開放日志由總部服務器采集進行集中分析,在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志,從而導致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應采取以下哪項處理措施?A、由于共享導致了安全問題,應直接關閉日志共享,禁止總部提取日志進行分析B、為配合總部的安全策略,會帶來一定的安全問題,但不能響系統(tǒng)使用,因此接受此風險C、日志的存在就是安全風險,最好的辦法就是取消日志,通過設置讓前置機不記錄日志D、只允許特定的IP地址從前置機提取日志,對日志共享設置訪問密碼且限定訪問的時間答案：D42.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求,其信息安全措施通常需要在資產(chǎn)管理方面實施常規(guī)控制,資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護,通常采取以下哪項控制措施()A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理答案：D43.在實施信息安全風險評估時,需要對資產(chǎn)的價值進行識別、分類和賦值,關于資產(chǎn)價值的評估,以下選項中正確的是()A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護費用C、資產(chǎn)的價值與其重要性密切相關D、資產(chǎn)的價值無法估計答案：C44.在PDR模型的基礎上發(fā)展成為(Policy-Protection-Detection-Response,PPDR)模型,即策略-防護-檢-測響應。模型的核心是:所有的防護、檢測、響應都是依據(jù)安全策略實施的。在PPDR模型中,策略指的是信息系統(tǒng)的安全策略,包括訪問控制策略、加密通信策略、身份認證策略、備份恢復策略等。策略體系的建立包括安全策略的制定、()等;防護指的是通過部署和采用安全技術來提高網(wǎng)絡的防護能力,如()、防火墻、入侵檢測、加密技術、身份認證等技術;檢測指的是利用信息安全檢測工具,監(jiān)視、分析、審計網(wǎng)絡活動,了解判斷網(wǎng)絡系統(tǒng)的()。檢測這一環(huán)節(jié),使安全防護從被動防護演進到主動防御,是整個模型動態(tài)性的體現(xiàn)。主要方法包括:實時監(jiān)控、檢測、報警等;響應指的是在檢測到安全漏洞和安全事件時,通過及時的響應措施將網(wǎng)絡系統(tǒng)的()調整到風險最低的狀態(tài),包括飲復系統(tǒng)功能和數(shù)據(jù),啟動備份系統(tǒng)等。其主要方法包括:關閉服務、跟蹤、反擊、消除影響等A、評估與執(zhí)行;訪問控制;安全狀態(tài);安全性B、評估與執(zhí)行;安全狀態(tài);訪問控制;安全性C、訪問控制;評估與執(zhí)行;安全狀態(tài);安全性D、安全狀態(tài);評估與執(zhí)行;訪問控制;安全性答案：A45./etc/passwd文件是UNIX/Linux安全的關鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID(UID)、默認的用戶分組ID(GID)、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設法竊取了銀行賬戶管理系統(tǒng)的passwd文件后,發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為'x'。下列選項中,對此現(xiàn)象的解釋正確的是()A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結果為'X'C、加密口令被轉移到了另一個文件里D、這些賬戶都被禁用了答案：C46.入侵檢測系統(tǒng)有其技術優(yōu)越性,但也有其局限性,下列說法錯誤的是()。A、對用戶知識要求高、配置、操作和管理使用過于簡單,容易遭到攻擊B、入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄,用戶處理負擔很重C、入侵檢測系統(tǒng)在應對自身攻擊時,對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響D、警告消息記錄如果不完整,可能無法與入侵行為關聯(lián)答案：A47.下面對“零日(zero-day)漏洞”的理解中,正確的是()A、指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠程攻擊,獲取主機權限B、指一個特定的漏洞,特指在2010年被發(fā)現(xiàn)出來的一種漏洞,該漏洞被“震網(wǎng)”病毒所利用,用來攻擊伊朗布什爾核電站基礎設施C、指一類漏洞,即特別好被被利用,一旦成功利用該漏洞,可以在1天內完成攻擊,且成功達到攻擊目標D、指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說,那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公布、還不存在安全補丁的漏洞都是零日漏洞答案：D48.在信息系統(tǒng)中,訪問控制是重要的安全功能之一,它的任務是在用)系統(tǒng)資源提供最大限度共享的基礎上,對用戶的訪問權限進行管理,防止對信息的非授權篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權限。下列選項中,對主體、客體和訪問權限的描述中錯誤的是()A、對文件進行操作的用戶是一種主體B、主體可以接收客體的信息和數(shù)也可能改變客體相關的信息C、訪問權限是指主體對客體所允許的操作D、對目錄的訪問權限可分為讀、寫答案：D49.密碼學是網(wǎng)絡安全的基礎,但網(wǎng)絡安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡安全的一個重要組成部分。下面描述中,錯誤的是()A、在實際應用中,密碼協(xié)議應按照靈活性好、可擴展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復雜的步驟可以不明確處理方式B、密碼協(xié)議定義了兩方或多方之間為完成某項任務而制定的一系列步驟,協(xié)議中的每個參與方都必須了解協(xié)議,且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人D、密碼協(xié)議(cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學完成某項特定的任務并滿足安全需求,其目的是提供安全服務答案：A50.信息系統(tǒng)建設完成后,()的信息系統(tǒng)的運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評合格后方可投入使用。A、二級以上B、三級以上C、四級以上D、五級以上答案：A51.某單位開發(fā)了個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站,該單位委托軟件測評機構對軟件進行了源代碼分析、模糊測試等軟件安全性測試,在應用上線前,項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策,以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯等運行維護所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效更高C、滲透測試使用人工進行測試,不依賴軟件,因此測試更準洞更多酒滲透測試中必須要查D、滲透測試必須查看看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多答案：A52.目前,信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅,從威脅能力和掌握資源分,這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分,則下面選項中屬于組織威脅的是()A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡犯罪團伙C、搜集政治、軍事、經(jīng)濟等情報信息的情報機構D、鞏固戰(zhàn)略優(yōu)勢,執(zhí)行軍事任務、進行目標破壞的信息作戰(zhàn)部隊答案：B53.小王是某大學計算科學與技術專業(yè)的畢業(yè)生,大四上學期開始找工作,期望謀求一份技術管理的職位。一次面試中,某公司的技術經(jīng)理讓小王讀一讀信息安全風險管理中的“背景建立”的基本概念與認識。小明的主要觀點包括:(1)背景建立的目的是為了明確信息安全風險管理的范圍和對象,以及對象的特性和安全要求,完成信息安全風險管理項目的規(guī)劃和準備(2)背景建立根據(jù)組織機構相關的行業(yè)經(jīng)驗執(zhí)行,雄厚的經(jīng)驗有助于達到事半功倍的效果;(3)背景建立包括:風險管理準備、信息系統(tǒng)調查、信息系統(tǒng)分析和信息安全分析;(4)背景建立的階段性成果包括:風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的論點中錯誤的是哪項:A、第一個觀點,背景建立的目的只是為了明確信息安全風險管理的范圍和對象B、第二個觀點,背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關政策、法律、法規(guī)和標準C、第三個觀點,背景建立中的信息系統(tǒng)調查與信息系統(tǒng)分析是同一件事的兩個不同名字D、第四個觀點,背景建立的階段性成果中不包括有風險管理計劃書答案：B54.關于密鑰管理,下列說法錯誤的是:A、科克霍夫原則指出算法的安全性不應基于算法的保密,而應基于密鑰的安全性B、保密通信過程中,通信方使用之前用過的會話鑰建立會話,不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新撤銷等生命周期過程的每一個環(huán)節(jié)D、在網(wǎng)絡通信過程中通信雙方可利用diffie-hellman協(xié)議商出會話密鑰答案：B55.某網(wǎng)站在設計時經(jīng)過了威脅建模和攻擊面分析,在開發(fā)時要求程序員編寫安全的代碼,但是在部署時由于管理員將備份存放在Web目錄下導致了攻擊者可直接下載備份,為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題,以下哪種測試方式是最佳的測試方式:A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試答案：C56.部署瓦聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetProtocolSecurityVirtualPrivateNotwork,IPsecVPN)時,以下說法正確的是()A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡時,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點使用可以聚合的IP地址段,來減少IPsec安全關聯(lián)(SecurityAuthentication,SA)資源的消耗報文驗證頭協(xié)議(AuthenticationHeadr,AH)可以提供答案：C57.以下關于Web傳輸協(xié)議、服務端和客戶端軟件的安全問題說法不正確的是()A、HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗證和缺乏狀態(tài)跟蹤等方面的安全問題;B、HTTP協(xié)議缺乏有效的安全機制,易導致拒絕服務、電子欺騙、嗅探等攻擊C、ookie是為了?別用戶身份,進行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù),用戶可以隨意查看存儲在Cookie中的數(shù)據(jù),但其中的內容不能被修改D、??HTTP協(xié)議存在的安全問題,使用HTTPS具有較高的安全性,可以通過證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密答案：C58.分布式拒絕服務(DistributedDenialofService,DDoS)攻擊指借助于客戶/服務器技術,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。一般來說,DDoS攻擊的主要目的是破壞目標系統(tǒng)的()A、保密性B、完整性C、可用性D、真實性答案：C59.在某信息系統(tǒng)的設計中,用戶登錄過程是這樣的(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令;(3)信息系統(tǒng)在服務器端檢查用戶名和密碼的正確性,如果正確,則鑒別完成。可以看出,這個鑒別過程屬于()。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A60.我國等級保護政策發(fā)展的正確順序是()①等級保護相關政策文件頒布②計算機系統(tǒng)安全保護等級劃分思想提出③等級保護相關標準發(fā)布④網(wǎng)絡安全法將等級保護制度作為基本策⑤等級保護工作試點A、①②③④⑤B、②③①⑤④C、②⑤①③④D、①②④③⑤答案：C61.TCP/IP協(xié)議族是為實現(xiàn)異構網(wǎng)互聯(lián)推出的協(xié)議規(guī)范,具有較好的開放性,internet是在TCP/TP協(xié)議族的基礎上構建的。但由于TCP/IP協(xié)議族在設計初期過于關注其開放性和便利性,對安全性考慮較少,因此其中很多協(xié)議存在安全隱患,例如,攻擊者可以利用TCP協(xié)議的三次握手機制實現(xiàn)DS攻擊,也可以通過猜測TCP會話中的序號來偽造數(shù)據(jù)包那么上述例子中的情況可能發(fā)生在()A、應用層B、傳輸層C、網(wǎng)絡層D、鏈路層答案：B62.某網(wǎng)絡安全公司基于網(wǎng)絡的實時入侵檢測技術,動態(tài)監(jiān)測來自于外部網(wǎng)絡和內部網(wǎng)絡的所有訪問行為。當檢測到來自內外網(wǎng)絡針對或通過防火墻的攻擊行為,會及時響應并通知防火墻實時阻斷攻擊源,從而進一步提高了系統(tǒng)的抗攻擊能力,更有效地保護了網(wǎng)絡資源,提高了防御體系級別。但入侵檢測技術不能實現(xiàn)以下哪種功能()。A、檢測并分析用戶和系統(tǒng)的活動B、核查系統(tǒng)的配置漏洞,評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識別違反安全策略的用戶活動答案：C63.Windows文件系統(tǒng)權限管理訪問控制列表(AccessControlList,ACL)機制,以下哪個說法是錯誤的:A、安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機制需要N.TFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權限,為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C、Windows的ACL機制中,文件和文件夾的權限是與主體進行關聯(lián)的,即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性,在實際使用中可以為每一個文件設定獨立用戶的權限答案：C64.有關系統(tǒng)共程的特點,以下錯誤的是()A、系統(tǒng)工程研究問題一般采用先決定整體框架,后進入詳細設計的程序B、系統(tǒng)工程的基本特點,是需要把研究對象結構為多個組織部分分別獨立研究C、系統(tǒng)工程研究強調多學科協(xié)作,根據(jù)研究問題涉及到的學科和專業(yè)范圍,組成一個知識結構合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導,采取的理論和方法是綜合集成各學科、各領域的理論和方法答案：B65.在風險管理中,殘余風險是指在實施了新的或增強的安全措施后還剩下的風險,關于殘余風險,下面描述錯誤的是()A、風險處理措施確定以后,應編制詳細的殘余風險清單,并獲得管理層對殘余風險的書面批準,這也是風險管理中的一個重要過程B、管理層確認接受殘余風險,是對風險評估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面臨的風險,并理解在風險一旦變?yōu)楝F(xiàn)實后,組織能夠且必須承擔引發(fā)的后果C、接受殘余風險,則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制地提高安全保護措施的強度,對安全保護措施的選擇要考慮到成本和技術的等因素的限制D、如果殘余風險沒有降低到可接受的級別,則只能被動地選擇接受風險,即對風險不采取進一步的處理措施,接受風險可能帶來的結果答案：D66.在Linux系統(tǒng)中,下列哪項內容不包含在/etc/passwd文件中()A、用戶名B、用戶口令…C、用戶主目錄D、用戶登錄后使用的SHELL答案：B67.某集團公司根據(jù)業(yè)務需要,在各地分支機構部署前置機,為了保證安全,集團總部要求前置機開發(fā)日志共享,有總部服務器采集進行集中分析,在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志,從而導致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應采取哪項處理措施?A、由于共享導致了安全問題,應直接關閉日志共享,禁止總部提取日志進行分析B、為配合總部的安全策略,會帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風險C、日志的存在就是安全風險,最好的辦法就是取消日志,通過設置讓前置機不記錄日志D、只允許特定的IP地址從前置機提取日志,對日志共享設置,對日志共享設置訪問密碼且限定訪問的時間答案：D68.以下哪項制度或標準被作為我國的一項基礎制度加以推行,并且有一定強制性,其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設的整體水平,重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全。()A、信息安全管理體系(ISMS)B、信息安全等級保護C、NISTSP800D、ISO270000系列答案：B69.PDCA循環(huán)又叫戴明環(huán),是管理學常用的一種模型。關于PDCA四個字母,下面理解錯誤的是()A、P是Plan,指分析問題,發(fā)現(xiàn)問題,確定方針,目標和活動計劃B、D是Do,指實施,具體運作,實現(xiàn)計劃中的內容C、是Check,指檢查、總結執(zhí)行計劃的結果,明確效果,找出效果D、A是Aim,指瞄準問題,抓住安全事件的核心,確定責任答案：D70.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求,其信息安全控制措施通常要在物理和環(huán)境安全方面實施規(guī)劃控制,物理和環(huán)境安全領域包括安全區(qū)域和設備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾,關鍵或敏感的信息以及信息處理設施應放在安全區(qū)域內,并受到相應保護,該目標可以通過以下控制措施來實現(xiàn),下列不包括哪一項()A、物理安全邊界、物理入口控制B、辦公室、房間和設施的安全保護,外部和環(huán)境威脅的安全防護C、通信安全、合規(guī)性D、在安全區(qū)域工作,公共訪問、交接區(qū)安全答案：C71.某軟件公司準備提高其開發(fā)軟件的安全性,在公司內部發(fā)起了有關軟件開發(fā)生命周期的討論,在下面的發(fā)言觀點中,正確的是()A、軟件安全開發(fā)生命周期較長、階段較多,而其中最重要的是要在軟件的編碼階段做好安全措施,就可以解決90%以上的安全問題B、應當盡早在軟件開發(fā)的需求和設計階段就增加一定的安全措施,這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比,微軟提出的安全開發(fā)生命周期(SecurityDevelopmentLifecycle,SDL)的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要,考慮到程序員的專業(yè)性,如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試,就沒有必要在組織第三方進行安全性測試答案：B72.某軟件在設計時,有三種用戶訪問模式,分別是僅管理員可訪問,所有合法用戶可訪問和允許匿名訪問請問采用這三種訪問模式時,攻擊面最高的是()A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名訪問D、三種方式一樣答案：C73.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁,安全運維人員給出了針對此批漏洞修補的四個建議方案,請選擇其中一個最優(yōu)方案執(zhí)行()。A、由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞,為了避免安全風險,應對單位所有的服務器和客戶端盡快安裝補丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質性危害,所以可以先不做處理C、對于重要的服務,應在檢測環(huán)境中安裝并確認補丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D、對于服務器等重要設備,立即使用系統(tǒng)更新功能安裝這批補丁,用戶終端計算機由于沒有重要數(shù)據(jù),由終端自行升級答案：C74.以下哪種風險被認為是合理的風險()A、最小的風險B、殘余風險C、未識別的D、可接受的風險答案：D75.在信息安全管理體系的實施過程中,管理者的作用對于信息安全管理體系能否成功實施非常重要,但是以下選項中不屬于管理者應有職責的是()A、制定并頒布信息安全方針,為組織的信息安全管理體系建設指明方向并提供總體綱領,明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定,目標應明確、可度量,計劃應具體、可實施C、向組織傳達滿足信息安全的重要性,傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度,明確安全風險管理作用,實施信息安全風險評估過程,確保信息安全風險評估技術選擇合理、計算正確答案：D76.實體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合:實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于實體特征的鑒別方法是()A、將登錄口令設置為出生日期B、通過詢問和核對用戶的個人隱私信息來鑒別C、使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進行鑒別D、通過掃墻和識別用戶的臉部信息來鑒別答案：D77.由于頻繁出現(xiàn)軟件運行時被黑客遠程攻獲取數(shù)據(jù)的現(xiàn)象,某軟件公司準備加強軟件安全開發(fā)管理,在下面做法中,對于解決問題沒有直接幫助的是()A、要求開發(fā)人員采用捷開發(fā)型進行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓C、要求規(guī)范軟件編碼,并定公司的安全編碼準則D、要求增加軟件安全測試環(huán)節(jié),早發(fā)現(xiàn)軟件安全問題答案：A78.風險計算原理可以用下面的范式形式化地加以說明風險值R(A,T,V)=R(L(T,v),F(Ia,Va))以下關于上式各項說明錯誤的是:A、R表示安全風險計算函數(shù),A表示資產(chǎn),T表示威脅,V表示脆弱性B、L表示成脅利用資產(chǎn)脆弱性導致安全事件的可能性C、P表示安全事件發(fā)生后造成的損失D、Ia,Va風別表示安全事件作用全部資產(chǎn)的價值與其對應資產(chǎn)的嚴重程度答案：D79.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時,有關測量結果,錯誤的理解是:A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備某一個特定級別的部分公共特征時,則這個組織在這個過程區(qū)域的能力成熟度未達到此級B、如果該組織某個過程區(qū)域(ProcessAreas,PA)具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征,則過程區(qū)域的能力成熟度級別達到3級“充分定義級”C、如果某個過程區(qū)域(ProcessAreas,PA)包含4個基本實施(BasePractices,BP),執(zhí)行此PA時執(zhí)行了3個BP,則此過程區(qū)域的能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上答案：B80.若一個組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標準要求,其信息安全控制措施通常在以下方面實施常規(guī)控制,資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標,對資產(chǎn)負責的控制目標是實現(xiàn)和保護對組織資產(chǎn)的適當保護,這一控制目標的實現(xiàn)由以下控制措施的落實來保障,不包括哪一項A、資產(chǎn)清單B、資產(chǎn)負責人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理答案：D81.企業(yè)安全架構(SherwoodAppliedBusinessSecurityArchitecture,SABSA)是企業(yè)架構的一個子集，它定義了(1),包括各層級的(2)、流程和規(guī)程，以及它們與整個企業(yè)的戰(zhàn)略、戰(zhàn)術和運營鏈接的方式,用全面的、嚴格的方法描述了組成完整的信息安全管理體系(ISMS)所有組件的(3)。開發(fā)企業(yè)安全架構的很主要原因是確保安全工作以一個標準化的節(jié)省成本的方式與業(yè)務實踐相結合。架構在抽象層面工作,它提供了一個(4)。除了安全性之外,這種類型的架構讓組織更好的實現(xiàn)(5)、集成性、易用性、標準化和便于治理性。A、（1）信息安全戰(zhàn)略;（2）解決方案;（3）結構和行為;（4）可供參考的框架;（5）互操作性;B、（1）信息安全戰(zhàn)略;（2）結構和行為;（3）解決方案;（4）可供參考的框架;（5）操作性;C、（1）信息安全戰(zhàn)略;（2）解決方案;（3）可供參考的框架;（4）結構和行為;（5）互操作性;D、（1）信息安全戰(zhàn)略;（2）可供參考的框架;（3）解決方案;（4）結構和行為;（5）互操作性答案：A82.對信息安全事件的分級參考下列三個要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分,不屬于正確劃分級別的是:A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關鍵信息系統(tǒng)答案：D83.關于信息安全應急響應管理過程描述不正確的是()A、基于應急響應工作的特點和事件的不規(guī)則性,事先制定出事件應急響應方法和過程,有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制,將損失和負面影響降至最低B、應急響應方法和過程并不是唯一的C、一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結6個階段D、一種校廣為接受的應色的應方法是將應色響應管理過程分為準備檢刻、遏制、根除、恢復和跟蹤總結6個階段,這6個階段的響應方法一定能確保事件處理的成功答案：D84.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站,該單位委托軟件測評機構對軟件進行了源代碼分析、模糊測試等軟件安全性測試,在應用上線前,項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策,以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯誤等運行維護所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效率更高C、滲透測試使用人工進行測試,不依賴軟件,因此測試更準確D、滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多答案：A85.下面有關軟件安全問題的描述中,哪項應是由于軟件設計缺陷引起的()A、設計了三層WEB架構,但是軟件存在SQL注入漏洞,導致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時,采用了一些存在安全問題的字符串處理函數(shù),導致存在緩沖區(qū)溢出漏洞C、設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能,導致軟件在發(fā)布運行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時,沒有按照要求生成密鑰,導致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C86.自2004年1月起,國內各有關部門在申報信息安全國家標準計劃項目時,必須經(jīng)由以下哪個組織提出工作情況,協(xié)調一致后由該組織申報。A、全國通信標準化技術委員會(TC485)B、全國信息安全標準化技術委員會(TC260)C、中國通信標準化協(xié)會(CCCA)D、網(wǎng)絡與信息安全技術工作委員會答案：B87.為推動和規(guī)范我國信息安全等級保護工作,我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標準,這些標準可以按照等級保護工作的工作階段大致分類。下面四個標準中,()提出和規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求,并按照技術和管理兩個方面提出了相關基本安全要求。A、GB/T222392008《信息系統(tǒng)等級保護安全設計技術要求》B、GB/T22240-2008《信息系統(tǒng)安全保護等級定級指南》C、GB/T25070-2010《信息系統(tǒng)等級保護安全設計技術要求》D、GB/T28449-2012《信息系統(tǒng)安全等級保護測評過程指南》答案：A88.國務院信息化工作辦公室于2004年7月份下發(fā)了《關于做好重要信息系統(tǒng)災難備份工作的通知》,該文件中指出了我國在災備工作原則,下面哪項不屬于該工作原則()A、統(tǒng)籌規(guī)劃B、分組建設C、資源共享D、平戰(zhàn)結合答案：B89.安全漏洞產(chǎn)生的原因不包括以下哪一點()A、軟件系統(tǒng)代碼的復雜性B、軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象C、復雜異構的網(wǎng)絡環(huán)境D、攻擊者的惡意利用答案：D90.為了保障系統(tǒng)安全,某單位需要對其跨地區(qū)大型網(wǎng)絡實時應用系統(tǒng)進行滲透測試,以下關于滲透測試過程的說法不正確的是:A、由于在實際滲透測試過程中存在不可預知的風險,所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份,以便出現(xiàn)問題時可以及時恢復系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā),測試軟件系統(tǒng)的安全性,其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C、滲透測試應當經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試答案：D91.在信息系統(tǒng)中,訪問控制是重要的安全功能之一。他的任務是在用戶對系統(tǒng)資源提供最大限度共享的基礎上,對用戶的訪問權限進行管理,防止對信息的非授權篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權限。下列選項中,對主體、客體和訪問權限的描述中錯誤的是:A、對文件進行操作的用戶是一種主體B、主體可以接受客體的信息和數(shù)據(jù),也可能改變客體相關的信息C、訪問權限是指主體對客體所允許的操作D、對目錄的訪問權可分為讀、寫和拒絕訪問答案：D92.關于源代碼審核,下列說法正確的是A、源代碼審核往往需要大量的時間采用人工審核費時費力,但可以通過多人并行審核來彌補這個缺點B、源代碼審核工具應當以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能C、使用工具進行源代碼審核和分析,能夠提高軟件可行性并節(jié)省件開發(fā)和測試的成本,已經(jīng)取代了人工審核方式D、源代碼審核是指無需運行被測代碼,僅對源代碼檢查分析,檢測并報告源代碼中可能導致安全弱點的薄弱之處解釋:D為源代碼審核工作內容描述。答案：D93.北京某公司利用SSE-CMM對其自身工程隊伍能力進行自我改善,其理解正確的是()A、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個能力級別。當工程隊伍不能執(zhí)行一個過程域中的基本實踐時,該過程域的過程能力是0級。B、達到SSE-CMM最高級以后,工程隊伍執(zhí)行同一個過程,每次執(zhí)行的結果質量必須相同。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了3個風險過程:評價威脅,評價脆弱性,評價影D、SSE-CMM強調系統(tǒng)安全工程與其他工程學科的區(qū)別性和獨立性。答案：A94.在信息安全管理體系的實施過程中,管理者的作用對于信息安全管理體系能否成功實施非常重要,但是以下選項中不屬于管理者應有職責的是()A、制定并頒布信息安全方針,為組織的信息安全管理體系建設指明方向并提供總體綱領,明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定,目標應明確、可度量,計劃應具體、可實施C、向組織傳達滿足信息安全的重要性,傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度,明確安全風險管理作用,實施信息安全風險評估過程,確保信息安全風險評估技術選擇合理、計算正確答案：D95.保護-監(jiān)測-響應(Protection-Detection-Response,PDR)模型是()工作中常用的模型,其思想是承認()中漏洞的存在,正視系統(tǒng)面臨的(),通過采取適度防護、加強()、落實對安全事件的響應、建立對威脅的防護來保障系統(tǒng)的安全。A、信息系統(tǒng);信息安全保障;威脅;檢測工作B、信息安全保障;信息系統(tǒng);檢測工作;威脅C、信息安全保障;信息系統(tǒng);威脅;檢測工作D、信息安全保障;威脅;信息系統(tǒng);檢測工作答案：C96.為了保障網(wǎng)絡安全,維護網(wǎng)絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經(jīng)濟社會信息化健康發(fā)展,加強在中華人民共和國境內建設、運營、維護和使用網(wǎng)絡,以及網(wǎng)絡安全的監(jiān)督管理。2015年6月,第十二屆全國人大常委會第十五次會議初次審議了一部法律草案,并于7月6日起在網(wǎng)上全文公布,向社會公開征求意見,這部法律草案是()A、《中華人民共和國保守國家秘密法(草案)》B、《中華人民共和國網(wǎng)絡安全法(草案)》C、《中華人民共和國國家安全法(草案)》D、《中華人民共和國互聯(lián)網(wǎng)安全法(草案)》答案：B97.小李在檢查公司對外服務網(wǎng)站的源代碼時,發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時,會將詳細的錯誤原因在結果頁面上顯示出來,從安全角度考慮,小李決定修改代碼,將詳細的錯誤原因都隱藏起來,在頁面上僅僅告知用戶“抱歉,發(fā)生內部錯誤!“請問這種處理方法的主要目的是()A、避免緩沖區(qū)溢出B、安全處理系統(tǒng)異常C、安全使用臨時文件D、最小化反饋信息答案：D98.恢復時間目標(RTO)和恢復點目標(RPO)是信息系統(tǒng)災難恢復中的重要概念,關于這兩個值能否為零,正確的選項是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為答案：A99.關于信息安全事件管理和應急響應,以下說法錯誤的是:A、應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備,以及在事件發(fā)生后所采取的措施B、應急響應方法,將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別:特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)答案：B100.在國家標準《信息系統(tǒng)安全保障評估框架第部分:簡介和一般模型》(GB/T20274.1—2006)中描述了信息系統(tǒng)安全保障模型,下面對這個模型理解錯誤的是()A、該模型強調保護信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達到實現(xiàn)組織機構使命的目的B、該模型是一個強調持續(xù)發(fā)展的動態(tài)安全模型即信息系統(tǒng)安全保障應該貫穿于整個信息系統(tǒng)生命周期的全過程C、該模型強調綜合保障的觀念,即信息系統(tǒng)的安全保障是通過綜合技術、管理、工程和人員的安全保障來實施和實現(xiàn)信息系統(tǒng)的安全保障目標D、模型將風險和策略作為信息系統(tǒng)安全保障的基礎和核心，基干IATF模型改進，在其基礎上增加了人員要素，強調信息安全的自主性答案：D解析：信息安全保障模型的主要特點如下。口將風險和策略作為信息系統(tǒng)安全保障的基礎和核心?？趶娬{信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)安全模型，即強調信息系統(tǒng)安全保障應貫穿于整個信息系統(tǒng)生命周期的全過程?？趶娬{綜合保障的觀念。信息系統(tǒng)的安全保障是通過綜合技術、管理、工程和人員的安全保障要求來實施和實現(xiàn)信息系統(tǒng)的安全保障目標，通過對信息系統(tǒng)的技術、管理、工程和人員要求的評估，提供了對信息系統(tǒng)安全保障的信心。口通過以風險和策略為基礎，在整個信息系統(tǒng)的生命周期中實施技術、管理、工程和人員保障要素。通過信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達到保障組織機構執(zhí)行其使命的根本目的。101.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時,正確的理解是:A、測量單位是基本實施(basepractices,bp)B、測量單位是通用實施(GenericpracticesGP)C、測量單位是過程區(qū)域(ProcessAreas,PA)D、測量單位是公開特征(monfeatures,cf)答案：D102.自主訪問控制模型(DAC)的訪問控制關系可以用訪問控制(ACL)來表示,該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲相關數(shù)據(jù)。下面選項中說法正確的是()A、CL是Bell-LaPadula模型的一種具體實現(xiàn)B、ACL在刪除用戶時,去除該用戶所有的訪問權限比較方便C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL在增加客體時,增加相關的訪問控制權限較為簡單答案：D103.規(guī)范的實施流程和文檔管理,是信息安全風險評估性能否取得成果的重要基礎。按照規(guī)范的風險評估實施流程,下面哪個文檔應當是風險要素識別階段的輸出成果()。A、《風險評估方案》B、《需要保護的資產(chǎn)清單》C、《風險計算報告》D、《風險程度等級列表》答案：B104.關于我國加強信息安全保障工作的主要原則,以下說法錯誤的是:A、立足國情,以我為主,堅持技術與管理并重B、正確處理安全和發(fā)展的關系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點,強化基礎工作D、全面提高信息安全防護能力,保護公眾利益,維護國家安全答案：D105.某網(wǎng)站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登陸功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導致大量用戶賬號被盜用,關于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼導致攻擊面增大,產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導致,使用了不安全的功能,導致網(wǎng)站攻擊面增大,產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加,導致網(wǎng)絡攻擊面增大,產(chǎn)生此安全問題D、網(wǎng)站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網(wǎng)站攻擊面增大,產(chǎn)生此安全問題答案：D106.老王是某政府信息中心主任,以下哪項是符合《保守國家秘密法》要求的()A、老王安排下屬小李將損害的涉密計算機的某國外品牌硬盤送到該品牌中國區(qū)維修中心維修B、老王要求下屬小張把中心所有計算機貼上密級標志C、老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機和紅黑電源插座應該與涉密信息系統(tǒng)同步投入使用答案：D107.對《網(wǎng)絡安全法》中網(wǎng)絡運行安全生產(chǎn)影響的攻擊行為主要是對以下那個信息安全屬性造成影響?A、保密性B、完整性C、可用性D、不可抵賴性答案：C108.訪問控制的實施一般包括兩個步驟:首先要鑒別主體的合法身份,根據(jù)當前系統(tǒng)的訪問控制規(guī)則授予用戶相應的訪問權限。在此過涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中,標有數(shù)字的方框代表了主體、客體、訪問控制實施部件和訪問控制決策部件。下列選項中,標有數(shù)字1、2、3、4的方框分別對應的實體或部件正確的是()A、主體、訪問控別決策、客體、訪問控制實施B、主體、訪問控制實施,客體、訪問控制決策C、客體、訪問控制決策、主體、訪問控制實施D、客體、訪問控制實施、主體、訪問控制決策答案：B109.某集團公司的計算機網(wǎng)絡中心內具有公司最重要的設備和信息數(shù)據(jù)。網(wǎng)絡曾在一段時間內依然遭受了幾次不小的破壞和干擾,雖然有防火墻,但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡安全公司為該集團部署基于網(wǎng)絡的入侵檢測系統(tǒng)(NIDS),將IDS部署在防火墻后,以進行二次防御。那么NIDS不會在()區(qū)域部署。A、DMZB、內網(wǎng)主干C、內網(wǎng)關鍵子網(wǎng)D、外網(wǎng)入口答案：D110.在工程實施階段,以下哪一項不屬于監(jiān)理機構的監(jiān)理重點:A、督促承建單位嚴格按照經(jīng)審批的實施方案進行施工B、審查承建單位施工人員的身份與資格C、部署工程實施人員安全管理措施D、督促承建單位嚴格遵守業(yè)主單位相關安全管理規(guī)定答案：C111.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetProtocolSecurityVIrtualPrivateNetwork,IPsecVPN)時,以下說法正確的是()A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡是,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點使用可以聚合的IP地址段,來減少IPsec安全關聯(lián)(SecurityAuthentication,SA)資源的消耗D、報文驗證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機密性答案：C112.CC標準是目前系統(tǒng)安全認證方面最權威的標準,以下哪一項沒有體現(xiàn)CC標準的先進性?A、結構的開放性,即功能和保證要求都可以在具體的“保戶輪廊”和“安全目標”中進一步細化和擴展B、表達方式的通用性,即給出通用的表達表示C、獨立性,它強調講安全的功能和保證分離D、實用性,將CC的安全性要求具體應用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中答案：C113.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求,其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制,人力資源安全劃分為3個控制階段,不包括哪一項()A、任用之前B、任用中C、任用終止或變化D、任用后答案：D114.對于關鍵信息基礎設施的外延范圍,以下哪項是正確的()A、關鍵信息基礎設施的認定由國家網(wǎng)信部門確定,網(wǎng)絡運營者自身及上級主管部門不能認定B、關鍵信息基礎設施與等級保護三級以上系統(tǒng)的范圍一致,對于等級保護三級以上系統(tǒng)就應納入關鍵信息基礎設施保護范圍C、關鍵信息基礎設施的具體范圍由國務院制定,鼓勵網(wǎng)絡運營者自愿參照關鍵信息基礎設施保護標準要求開展保護D、關鍵信息基礎設施只限于公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務這七個行業(yè),除此以外行業(yè)的網(wǎng)絡不能認定為關鍵信息基礎設施答案：C115.在設計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風險處置要求的前提下,盡量控制成本C、要充分采取新技術,在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙答案：C116.下面關于信息系統(tǒng)安全保障模型的說法不正確的是:A、國家標準《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型,在信息系統(tǒng)安全保障具體操作時,可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調的是動態(tài)持續(xù)性的長效安全,而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入答案：D117.某單位門戶網(wǎng)站發(fā)完成后,測試人員使用模糊測試進行安全性測試,以下關于模糊測試過程的說法正確的是:A、模擬正常用戶輸入行為,生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因,必要時需要測試人員手工重現(xiàn)并分析答案：D118.若一個組織生成自己的ISMS符合ISO/IEC27001或GB/T22080標準要求,其信息安全控制實施通暢需要在符合性方面實施常規(guī)控制。符合性常規(guī)控制這一領域不包括以下哪項控制目標()。A、符合法律要求B、符合安全策略和標準以及技術符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務要求,用戶訪問管理答案：D119.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl,RBAC):根據(jù)組織的業(yè)務要求或管理要求,在業(yè)務系統(tǒng)中設置若干崗位、職位或分工。管理員負責將權限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關于RBAC模型,下列說法錯誤的是:A、當用戶請求訪問某資源時,如果其操作權限不再用戶當前被激活角色的授權范圍內,訪問請求將被拒絕B、業(yè)務系統(tǒng)中的崗位、職位或者分工,可對應RBAC模型中的角色C、通過角色,可實現(xiàn)對信息資源訪問的控制D、RBAC模型不能實現(xiàn)多級安全中的訪問控制答案：D120.Kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三方的認證服務,減輕應用服務器的負擔。K.erberos的運行環(huán)境由密鑰分發(fā)中心(KDC)、應用服務器和客戶端三個部分組成。其中,KDC分為認證服務器AS和票據(jù)授權服務器TGS兩部分。下圖展示了Kerberos協(xié)議的三個階段,分別為(1)Kerberos獲得服務許可票據(jù),(2)Kerberos獲得服務,(3)Kerberos獲得票據(jù)許可票據(jù)。下列選項中,對這三個階段的排序正確的是()。A、(1)--(2)--(3)B、(3)--(2)--(1)C、(2)--(1)--(3)D、(3)--(1)--(2)答案：D121.以下哪一項不是信息系統(tǒng)集成項目的特點:A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術,開發(fā)相應的軟件和硬件,將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項目的指導方法是“總體規(guī)劃、分步實施”D、信息系統(tǒng)集成包含技術,管理和商務等方面,是一項綜合性的系統(tǒng)工程答案：B122.下面有關軟件安全問題的描述中,哪項不是由于軟件設計缺陷引起的()A、設計了用戶權限分級機制和最小特權原則,導致軟件在發(fā)布運行后,系統(tǒng)管理員不能查看系統(tǒng)審計信息B、設計了采用不加鹽(SALT)的SHA-1算法對用戶口令進行加密存儲,導致軟件在發(fā)布運行后,不同的用戶如使用了相同的口令會得到相同的加密結果,從而可以假冒其他用戶登錄C、設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能,導致軟件在發(fā)布運行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、設計了采用自行設計的加密算法對網(wǎng)絡傳輸數(shù)據(jù)進行保護,導致軟件在發(fā)