信息安全專業(yè)人員知識測試試題（三） (1)附有答案

信息安全專業(yè)人員知識測試試題（三）[復制]1.最小特權是軟件安全設計的基本原則，某應用程序在設計時，設計人員給出了以下四種策略，其中有一個違反了最小特權的原則，作為評審專家，請指出是哪一個?[單選題]*A．軟件在Linux下按照時，設定運行時使用nobody用戶運行實例B．軟件的日志備份模塊由于需要備份所有數據庫數據，在備份模塊運行時，以數據庫備份操作員賬號連接數據庫C．軟件的日志模塊由于要向數據庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數據庫，該賬號僅對日志表擁有權限D.為了保證軟件在Windows下能穩(wěn)定的運行，設定運行權限為system，確保系統運行正常，不會因為權限不足產生運行錯誤(正確答案)2.主機A向主機B發(fā)出的數據采用AH或ESP的傳輸模式對經過互聯網的數據流量進行保護時，主機A和主機B的IP地址在應該在下列哪個范圍?[單選題]*A．10．0．0．0~10．255．255．255B．172．16．0．0~172．31．255．255C、192．168．0．0~192．168．255．255D.不在上述范圍內(正確答案)3.某電子商務網站最近發(fā)生了一起安全事件，出現了一個價值1000元的商品用1元被買走的情況，經分析是由于設計時出于性能考慮，在瀏覽時使用Http協議，攻擊者通過偽造數據包使得向購物車添加商品的價格被修改．利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗證的環(huán)節(jié)，導致以上問題，對于網站的這個問題原因分析及解決措施。最正確的說法應該是?[單選題]*A．該問題的產生是由于使用了不安全的協議導致的，為了避免再發(fā)生類似的闖題，應對全網站進行安全改造，所有的訪問都強制要求使用https(正確答案)B．該問題產生是由于網站開發(fā)前沒有進行如威脅建模等相關工作或工作不到位，沒有找到該威脅并采取相應的消減措施C．該問題的產生是由于編碼缺陷，通過對網站進行修改，在進行訂單付款時進行商品價格驗證就可以解決D．該問題的產生不是網站的問題，應報警要求尋求警察介入，嚴懲攻擊者即可4.以下哪個選項不是防火墻提供的安全功能?[單選題]*A．IP地址欺騙防護B．NATC．訪問控制D．SQL注入攻擊防護(正確答案)5.以下關于可信計算說法錯誤的是:[單選題]*A．可信的主要目的是要建立起主動防御的信息安全保障體系B．可信計算機安全評價標準(TCSEC)中第一次提出了可信計算機和可信計算基的概念C．可信的整體框架包含終端可信、終端應用可信、操作系統可信、網絡互聯可信、互聯網交易等應用系統可信D．可信計算平臺出現后會取代傳統的安全防護體系和方法(正確答案)6.Linux系統對文件的權限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin組中user用戶，以下哪個是該文件正確的模式表示?[單選題]*A.-rwxr-xr-x3useradmin1024Sep1311:58test(正確答案)B.drwxr-xr-x3useradmin1024Sep1311:58testC．-rwxr-xr-x3adminuser1024Sep1311:58testD．drwxr-xr-x3adminuser1024Sep1311:58test7.ApacheWeb服務器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是:[單選題]*A.httpd.conf(正確答案)B．srLconfC．access．ConfD．Inet.conf8.應用軟件的數據存儲在數據庫中，為了保證數據安全，應設置良好的數據庫防護策略，以下不屬于數據庫防護策略的是?[單選題]*A．安裝最新的數據庫軟件安全補丁B．對存儲的敏感數據進行安全加密C．不使用管理員權限直接連接數據庫系統D．定期對數據庫服務器進行重啟以確保數據庫運行良好(正確答案)9.下列哪項內容描述的是緩沖區(qū)溢出漏洞?[單選題]*A.通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令B．攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C．當計算機向緩沖區(qū)內填充數據位數時超過了緩沖區(qū)本身的容量溢出的數據覆蓋在合法數據上(正確答案)D．信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷10.對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關于以下預防措施或意識，說法錯誤的是:[單選題]*A．在使用來自外部的移動介質前，需要進行安全掃描B．限制用戶對管理員權限的使用C.開放所有端口和服務，充分使用系統資源(正確答案)D．不要從不可信來源下載或執(zhí)行應用程序11.安全專家在對某網站進行安全部署時，調整了Apache的運行權限，從root權限降低為nobody用戶，以下操作的主要目的是:[單選題]*A．為了提高Apache軟件運行效率B．為了提高Apache軟件的可靠性C.為了避免攻擊者通過Apache獲得root權限(正確答案)D．為了減少Apache上存在的漏洞12.下列關于計算機病毒感染能力的說法不正確的是:[單選題]*A．能將自身代碼注入到引導區(qū)B．能將自身代碼注入到扇區(qū)中的文件鏡像C．能將自身代碼注入文本文件中并執(zhí)行(正確答案)D．能將自身代碼注入到文檔或模板的宏中代碼13.以下哪個是惡意代碼采用的隱藏技術:[單選題]*A．文件隱藏B．進程隱藏C．網絡連接隱藏D．以上都是(正確答案)14.通過向被攻擊者發(fā)送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網絡信息流時，這種攻擊稱之為:[單選題]*A．Land攻擊B．Smurf攻擊C．PingofDeath攻擊D.ICMPFlood(正確答案)15.以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊[單選題]*A．LandB．UDPFloodC．SmurfD.Teardrop(正確答案)16.傳輸控制協議(TCP)是傳輸層協議，以下關于TCP協議的說法，哪個是正確的?[單選題]*A．相比傳輸層的另外一個協議UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途B．TCP協議包頭中包含了源IP地址和目的IP地址，因此TCP協議負責將數據傳送到正確的主機C．TCP協議具有流量控制、數據校驗、超時重發(fā)、接收確認等機制，因此TCP協議能完全替代IP協議D.TCP協議雖然高可靠，但是相比UDP協議機制過于復雜，傳輸效率要比UDP低(正確答案)17.以下關于UDP協議的說法，哪個是錯誤的?[單選題]*A．UDP具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務攻擊B．UDP協議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數據包送達正確的程序C．相比TCP協議，UDP協議的系統開銷更小，因此常用來傳送如視頻這一類高流量需求的應用數據D．UDP協議不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務，因此常用來傳輸如視頻會話這類需要隱私保護的數據(正確答案)18.有關項目管理，錯誤的理解是:[單選題]*A.項目管理是一門關于項目資金、時間、人力等資源控制的管理科學B.項目管理是運用系統的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束(正確答案)C.項目管理包括對項目范圍、時間、成本、質量、人力資源、溝通、風險、采購、集成的管理D.項目管理是系統工程思想針對具體項目的實踐應用19.近年來利用DNS劫持攻擊大型網站惡性攻擊事件時有發(fā)生，防范這種攻擊比較有效的方法是?[單選題]*A．加強網站源代碼的安全性B．對網絡客戶端進行安全評估C.協調運營商對域名解析服務器進行加固(正確答案)D．在網站的網絡出口部署應用級防火墻20.關于源代碼審核，下列說法正確的是:[單選題]*A．人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B．源代碼審核通過提供非預期的輸入并監(jiān)視異常結果來發(fā)現軟件故障，從而定位可能導致安全弱點的薄弱之處C．使用工具進行源代碼審核，速度快，準確率高，已經取代了傳統的人工審核D.源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處(正確答案)21.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是:[單選題]*A．建立環(huán)境B．實施風險處理計劃C．持續(xù)的監(jiān)視與評審風險D.持續(xù)改進信息安全管理過程(正確答案)22.信息系統的業(yè)務特性應該從哪里獲取?[單選題]*A．機構的使命B．機構的戰(zhàn)略背景和戰(zhàn)略目標C.機構的業(yè)務內容和業(yè)務流程D．機構的組織結構和管理制度(正確答案)23.在信息系統設計階段，“安全產品選擇”處于風險管理過程的哪個階段?[單選題]*A．背景建立B．風險評估C．風險處理(正確答案)D．批準監(jiān)督24.以下關于“最小特權”安全管理原則理解正確的是:[單選題]*A．組織機構內的敏感崗位不能由一個人長期負責B．對重要的工作進行分解，分配給不同人員完成C.一個人有且僅有其執(zhí)行崗位所足夠的許可和權限(正確答案)D．防止員工由一個崗位變動到另一個崗位，累積越來越多的權限25.以下哪一項不屬于常見的風險評估與管理工具:[單選題]*A．基于信息安全標準的風險評估與管理工具B．基于知識的風險評估與管理工具C.基于模型的風險評估與管理工具D．基于經驗的風險評估與管理工具(正確答案)26.以下說法正確的是:[單選題]*A．驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B．軟件測試的目的是為了驗證軟件功能是否正確C．監(jiān)理工程師應按照有關標準審查提交的測試計劃，并提出審查意見(正確答案)D．軟件測試計劃開始于軟件設計階段，完成于軟件開發(fā)階段27.信息系統安全保護等級為3級的系統，應當()年進行一次等級測評?[單選題]*A．0．5B.1(正確答案)C．2D．328.國家科學技術秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述?[單選題]*A．處于國際先進水平，并且有軍事用途或者對經濟建設具有重要影響的B．能夠局部反應國家防御和治安實力的C．我國獨有、不受自然條件因素制約、能體現民族特色的精華，并且社會效益或者經濟效益顯著的傳統工藝D．國際領先，并且對國防建設或者經濟建設具有特別重大影響的(正確答案)29.關于我國加強信息安全保障工作的總體要求，以下說法錯誤的是:[單選題]*A．堅持積極防御、綜合防范的方針B．重點保障基礎信息網絡和重要信息系統安全C．創(chuàng)建安全健康的網絡環(huán)境D．提高個人隱私保護意識(正確答案)30.根據《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是:[單選題]*A．涉密信息系統的風險評估應按照《信息安全等級保護管理辦法》等國家有關保密規(guī)定和標準進行B．非涉密信息系統的風險評估應按照《非涉及國家秘密的信息系統分級保護管理辦法》等要求進行C．可委托同一專業(yè)測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告(正確答案)D．此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內容31.某單位信息安全崗位員工，利用個人業(yè)余時間，在社交網絡平臺上向業(yè)內同不定期發(fā)布信息安全相關知識和前沿動態(tài)資訊，這一行為主要符合以下哪一條注冊信息安全專業(yè)人員（CISP）職業(yè)道德準則:[單選題]*A．避免任何損害CISP聲譽形象的行為B．自覺維護公眾信息安全，拒絕并抵制通過計算機網絡系統泄露個人隱私的行為C．幫助和指導信息安全同行提升信息安全保障知識和能力(正確答案)D．不在公眾網絡傳播反動、暴力、黃色、低俗信息及非法軟件32.以下哪一項不是我國信息安全保障的原則:[單選題]*A．立足國情，以我為主，堅持以技術為主(正確答案)B．正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全C．統籌規(guī)劃，突出重點，強化基礎性工作D．明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系33.下列選項中，哪個不是我國信息安全保障工作的主要內容:[單選題]*A．加強信息安全標準化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善信息安全標準體系B．建立國家信息安全研究中心，加快建立國家急需的信息安全技術體系，實現國家信息安全自主可控目標(正確答案)C．建設和完善信息安全基礎設施，提供國家信息安全保障能力支撐D．加快信息安全學科建設和信息安全人才培養(yǎng)34.關于信息安全管理，說法錯誤的是:[單選題]*A．信息安全管理是管理者為實現信息安全目標(信息資產的CIA等特性，以及業(yè)務運作的持續(xù))而進行的計劃、組織、指揮、協調和控制的一系列活動。B．信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方針策略標準規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術性的努力。C．實現信息安全，技術和產品是基礎，管理是關鍵。D．信息安全管理是人員、技術、操作三者緊密結合的系統工程，是一個靜態(tài)過程。(正確答案)35.以下哪個選項不是信息安全需求的來源?[單選題]*A．法律法規(guī)與合同條約的要求B．組織的原則、目標和規(guī)定C．風險評估的結果D．安全架構和安全廠商發(fā)布的病毒、漏洞預警(正確答案)36.下列關于信息系統生命周期中實施階段所涉及主要安全需求描述錯誤的是:[單選題]*A．確保采購定制的設備、軟件和其他系統組件滿足已定義的安全要求B．確保整個系統已按照領導要求進行了部署和配置(正確答案)C．確保系統使用人員已具備使用系統安全功能和安全特性的能力D．確保信息系統的使用已得到授權37.下列關于信息系統生命周期中安全需求說法不準確的是:[單選題]*A．明確安全總體方針，確保安全總體方針源自業(yè)務期望B．描述所涉及系統的安全現狀，提交明確的安全需求文檔C．向相關組織和領導人宣貫風險評估準則(正確答案)D．對系統規(guī)劃中安全實現的可能性進行充分分析和論證38.小張在某單位是負責事信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓。一次培訓的時候，小張主要負責講解風險評估工作形式，小張認為:①風險評估工作形式包括:自評估和檢查評估;②自評估是指信息系統擁有、運營或使用單位發(fā)起的對本單位信息系統進行風險評估;③檢查評估是信息系統上級管理部門組織或者國家有關職能部門依法開展的風險評估;④對信息系統的風險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.[單選題]*請問小張的所述論點中錯誤的是哪項:A．第一個觀點B．第二個觀點C．第三個觀點D．第四個觀點(正確答案)39.小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓，一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項:[單選題]*A．風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析B．定性風險分析需要憑借分析者的經驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性(正確答案)C．定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值，因此更具客觀性D．半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現對風險各要素的度量數值化40.風險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠將專家知識進行集中，使專家的經驗知識被廣泛使用，根據在風險評估過程中的主要任務和作用愿理，風險評估工具可以為以下幾類，其中錯誤的是:[單選題]*A．風險評估與管理工具B．系統基礎平臺風險評估工具C．風險評估輔助工具D．環(huán)境風險評估工具(正確答案)41.為了解風險和控制風險，應當及時進行風險評估活動，我國有關文件指出:風險評估的工作形式可分為自評估和檢查評估兩種，關于自評估，下面選項中描述錯誤的是()。[單選題]*A．自評估是由信息系統擁有、運營或使用單位發(fā)起的對本單位信息系統進行的風險評估B．自評估應參照相應標準、依據制定的評估方案和準則，結合系統特定的安全要求實施C．自評估應當是由發(fā)起單位自行組織力量完成，而不應委托社會風險評估服務機構來實施(正確答案)D．周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統變化部分進行42.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)，在國家網絡與信息安全協調小組發(fā)布的《關于開展信息安全風險評估工作的意見》(國信辦(2006)5號)中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關工作原則和要求，下面選項中描述正確的是()。[單選題]*A．信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充(正確答案)B．信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結合、互為補充C．自評估和檢查評估是相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D．自評估和檢查評估是相互排斥的，無特殊理由單位均應選擇檢查評估，以保證安全效果43.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為200萬元人民幣，暴露系數(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計算的年度預期損失(AnnualizedLossExpectancy，ALE)應該是()。[單選題]*A．5萬元人民幣(正確答案)B．50萬元人民幣C．2.5萬元人民幣D．25萬元人民幣44.規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，某單位在實施風險評估時，形成了《風險評估方案》并得到了管理決策層的認可，在風險評估實施的各個階段中，該《風險評估方案》應是如下()中的輸出結果。[單選題]*A．風險評估準備階段(正確答案)B．風險要素識別階段C．風險分析階段D．風險結果判定階段45.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成功的重要基礎。某單41位在實施風險評估時，形成了《待評估信息系統相關設備及資產清單》。在風險評估實施的各個階段中，該《待評估信息系統相關設備及資產清單》應是如下()[單選題]*A．風險評估準備B．風險要素識別(正確答案)C．風險分析D．風險結果判定46.風險要素識別是風險評估實施過程中的一個重要步驟，有關安全要素，請選擇一個最合適的選項()。[單選題]*A．識別面臨的風險并賦值B．識別存在的脆弱性并賦值(正確答案)C．制定安全措施實施計劃D．檢查安全措施有效性47.某單位在實施信息安全風險評估后，形成了若干文擋，下面()中的文擋不應屬于風險評估中“風險評估準備”階段輸出的文檔。[單選題]*A．《風險評估工作計劃》，主要包括本次風險評估的目的、意義、范圍、目標、組織結構、角色及職責、經費預算和進度安排等內容B．《風險評估方法和工具列表》。主要包括擬用的風險評估方法和測試評估工具等內容C．《已有安全措施列表》，主要包括經檢查確認后的已有技術和管理各方面安全措施等內容(正確答案)D．《風險評估準則要求》，主要包括風險評估參考標準、采用的風險分析方法、風險計算方法、資產分類標準、資產分類準則等內容48.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是:[單選題]*A．組織內的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據B．組織內的業(yè)務系統日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制(正確答案)C.組織每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內容D．層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立49.某項目的主要內容為建造A類機房，監(jiān)理單位需要根據《電子信息系統機房設計規(guī)范》(GB50174-2008)的相關要求，對承建單位的施工設計方案進行審核，以下關于監(jiān)理單位給出的審核意見錯誤的是:[單選題]*A．在異地建立備份機房時，設計時應與主用機房等級相同B．由于高端小型機發(fā)熱量大，因此采用活動地板上送風，下回風的方式(正確答案)C．因機房屬于A級主機房，因此設計方案中應考慮配備柴油發(fā)電機，當市電發(fā)生故障時，所配備的柴油發(fā)電機應能承擔全部負荷的需要D．A級主機房應設置潔凈氣體滅火系統50.在工程實施階段，監(jiān)理機構依據承建合同、安全設計方案、實施方案、實施記錄、國家或地方相關標準和技術指導文件，對信息化工程進行安全____檢查，以驗證項目是否實現了項目設計目標和安全等級要求。[單選題]*A．功能性B．可用性C．保障性D．符合性(正確答案)51.下系統工程說法錯誤的是:[單選題]*A．系統工程是基本理論的技術實現B．系統工程是一種對所有系統都具有普遍意義的科學方法(正確答案)C．系統工程是組織管理系統規(guī)劃、研究、制造、試驗、使用的科學方法D．系統工程是一種方法論52.組織建立業(yè)務連續(xù)性計劃（BCP)的作用包括:[單選題]*A.在遭遇災難事件時，能夠最大限度地保護組織數據的實時性，完整性和一致性;B.提供各種恢復策略選擇，盡量減小數據損失和恢復時間，快速恢復操作系統、應用和數據;C.保證發(fā)生各種不可預料的故障、破壞性事故或災難情況時，能夠持續(xù)服務，確保業(yè)務系統的不間斷運行，降低損失;D.以上都是。(正確答案)53.業(yè)務系統運行中異常錯誤處理合理的方法是:[單選題]*A.讓系統自己處理異常B.調試方便，應該讓更多的錯誤更詳細的顯示出來C.捕獲錯誤，并拋出前臺顯示D.捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息(正確答案)54.以下哪項不是應急響應準備階段應該做的?[單選題]*A.確定重要資產和風險，實施針對風險的防護措施B.編制和管理應急響應計劃C.建立和訓練應急響應組織和準備相關的資源D.評估事件的影響范圍，增強審計功能、備份完整系統(正確答案)55.關于秘鑰管理，下列說法錯誤的是:[單選題]*A.科克霍夫原則指出算法的安全性不應基于算法的保密，而應基于秘鑰的安全性B.保密通信過程中，通信方使用之前用過的會話秘鑰建立會話，不影響通信安全(正確答案)C.秘鑰管理需要考慮秘鑰產生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D.在網絡通信中。通信雙方可利用Diffie-He11man協議協商出會話秘鑰56.以下屬于哪一種認證實現方式:用戶登錄時，認證服務器（AuthenticationServer，AS)產生一個隨機數發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數混合計算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。[單選題]*A.口令序列B.時間同步C.挑戰(zhàn)/應答(正確答案)D.靜態(tài)口令57.在對某面向互聯網提供服務的某應用服務器的安全檢測中發(fā)現，服務器上開放了以下幾個應用，除了一個應用外其他應用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應用進行安全整改以外解決明文傳輸數據的問題，以下哪個應用已經解決了明文傳輸數據問題:[單選題]*A．SSH(正確答案)B．HTTPC．FTPD．SMTP58.以下哪個屬性不會出現在防火墻的訪問控制策略配置中?[單選題]*A.本局域網內地址B．百度服務器地址C．HTTP協議D．病毒類型(正確答案)59.某linux系統由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現被攻擊后，管理員更改了root口令，并請安全專家對系統進行檢測，在系統中發(fā)現有一個文件的權限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個是正確的:[單選題]*A．該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B．該文件是一個正常文件，是test用戶使用的shell,但test用戶無權執(zhí)行該文件C．該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root,test用戶間接獲得了root權限(正確答案)D．該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權限為test60.某網站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是:[單選題]*A.網站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導致攻擊面增大，產生此安全問題B.網站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網站攻擊面增大，產生此問題C.網站問題是由于使用便利性提高，帶來網站用戶數增加，導致網站攻擊面增大，產生此安全問題D.網站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網站攻擊面增大，產生此問題(正確答案)61.某購物網站開發(fā)項目經過需求分析進入系統設計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數據庫中，請問以上安全設計遵循的是哪項安全設計原則:[單選題]*A.最小特權原則B.職責分離原則C.縱深防御原則(正確答案)D.最少共享機制原則62.以下關于威脅建模流程步驟說法不正確的是[單選題]*A.威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅B.評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產的受損后果，并計算風險C.消減威脅是根據威脅的評估結果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅。D.識別威脅是發(fā)現組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。(正確答案)63.為保障系統安全，某單位需要對其跨地區(qū)大型網絡實時應用系統進行滲透測試，以下關于滲透測試過程的說法不正確的是[單選題]*A.由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統和數據備份，以便出現問題時可以及時恢復系統和數據B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統的安全性，其價值在于可以測試軟件在實際系統中運行時的安全狀況C.滲透測試應當經過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D.為了深入發(fā)掘該系統存在的安全威脅，應該在系統正常業(yè)務運行高峰期進行滲透測試(正確答案)64.有關能力成熟度模型（CMM）錯誤的理解是[單選題]*A.CMM的基本思想是，因為問題是由技術落后引起的，所以新技術的運用會在一定程度上提高質量、生產率和利潤率(正確答案)B.CMM的思想來源于項目管理和質量管理C.CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D.CMM是建立在統計過程控制理論基礎上的，它基于這樣一個假設，即“生產過程的高質量和在過程中組織實施的成熟性可以低成本地生產出高質量產品”65.提高阿帕奇系統(ApacheHTTPServer)系統安全性時，下面哪項措施不屬于安全配置()?[單選題]*A．不在Windows下安裝Apache，只在Linux和Unix下安裝(正確答案)B．安裝Apache時，只安裝需要的組件模塊C．不使用操作系統管理員用戶身份運行Apache，而是采用權限受限的專用用戶賬號來運行D．積極了解Apache的安全通告，并及時下載和更新66.某公司開發(fā)了一個游戲網站，但是由于網站軟件存在漏洞，在網絡中傳輸大數據包時總是會丟失一些數據，如一次性傳輸大于2000個字節(jié)數據時，總是會有3到5個字節(jié)不能傳送到對方，關于此案例，可以推斷的是（）[單選題]*A該網站軟件存在保密性方面安全問題B該網站軟件存在完整性方面安全問題(正確答案)C該網站軟件存在可用性方面安全問題D該網站軟件存在不可否認性方面安全問題67.信息安全保障是網絡時代各國維護國家安全和利益的首要任務，以下哪個國家最早將網絡安全上長升為國家安全戰(zhàn)略，并制定相關戰(zhàn)略計劃。[單選題]*A中國B俄羅斯C美國(正確答案)D英國68.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關于我國信息安全實踐工作，下面說法錯誤的是（）[單選題]*A、加強信息安全標準化建設，成立了“全國信息安全標準化技術委員會”制訂和發(fā)布了大批信息安全技術，管理等方面的標準。B、重視信息安全應急處理工作，確定由國家密碼管理局牽頭成立“國家網絡應急中心”推動了應急處理和信息通報技術合作工作進展(正確答案)C、推進信息安全等級保護工作，研究制定了多個有關信息安全等級保護的規(guī)范和標準，重點保障了關系國定安全，經濟命脈和社會穩(wěn)定等方面重要信息系統的安全性D實施了信息安全風險評估工作，探索了風險評估工作的基本規(guī)律和方法，檢驗并修改完善了有關標準，培養(yǎng)和鍛煉了人才隊伍69.為保障信息系統的安全，某經營公眾服務系統的公司準備并編制一份針對性的信息安全保障方案，并嚴格編制任務交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關于此項工作，下面說法錯誤的是（）[單選題]*A、信息安全需求是安全方案設計和安全措施實施的依據B、信息安全需求應當是從信息系統所有者（用戶）角度出發(fā)，使用規(guī)范化，結構化的語言來描述信息系統安全保障需求C、信息安全需求應當基于信息安全風險評估結果，業(yè)務需求和有關政策法規(guī)和標準的合規(guī)性要求得到D、信息安全需求來自于該公眾服務信息系統的功能設計方案(正確答案)70.對系統工程（SystemsEngineering，SE）的理解，以下錯誤的是:[單選題]*A.系統工程偏重于對工程的組織與經營管理進行研究B.系統工程不屬于技術實現，而是一種方法論C.系統工程不是一種對所有系統都具有普遍意義的科學方法(正確答案)D.系統工程是組織管理系統規(guī)劃、研究、制造、試驗、使用的科學方法71.關于我國信息安全保障的基本原則，下列說法中不正確的是:[單選題]*A.要與國際接軌，積極吸收國外先進經驗并加強合作，遵循國際標準和通行做法，堅持管理與技術并重(正確答案)B．信息化發(fā)展和信息安全不是矛盾的關系，不能犧牲一方以保證另一方C.在信息安全保障建設的各項工作中，既要統籌規(guī)劃，又要突出重點D．在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。72.2005年，RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統基礎架構，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務。請問此類RFC系列標準建議是由下面哪個組織發(fā)布的（）。[單選題]*A.國際標準化組織（InternationalOrganizationforStandardization，ISO）B.國際電工委員會（InternationalElectrotechnicalCommission，IEC）C.國際電信聯盟遠程通信標準化組織（ITUTelecommunicationStandardizationSecctor，ITU-T）D.Internet工程任務組（InternetEngineeringTaskForce，IETF）(正確答案)73.GB/T18336《信息技術安全性評估準則》是測評標準類中的重要標準，該標準定義了保護輪廊（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（）個遞增的評估保證等級。[單選題]*A.4B.5C.6D.7(正確答案)74.應急響應是信息安全事件管理的重要內容之一。關于應急響應工作，下面描述錯誤的是（）。[單選題]*A．信息安全應急響應，通常是指一個組織為了應對各種安全意外事件的發(fā)生所采取的防范措施。即包括預防性措施，也包括事件發(fā)生后的應對措施B．應急響應工作有其鮮明的特點:具有高技術復雜性與專業(yè)性、強突發(fā)性、對知識經驗的高依賴性，以及需要廣泛的協調與合作C．應急響應是組織在處置應對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作:安全事件發(fā)生時的正確指揮、事件發(fā)生后全面總結(正確答案)D．應急響應工作的起源和相關機構的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關，基于該事件，人們更加重視安全事件的應急處置和整體協調的重要性75.PDCERF方法是信息安全應急響應工作中常用的一種方法，它將應急響應分成六個階段。其中，主要執(zhí)行如下工作應在哪一個階段:關閉信息系統、和/或修改防火墻和路由器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機流量、和/或封鎖被攻破的登錄賬號等（）[單選題]*A．準備階段B．遏制階段(正確答案)C．根除階段D．檢測階段76.在網絡信息系統中對用戶進行認證識別時，口令是一種傳統但仍然使用廣泛的方法，口令認證過程中常常使用靜態(tài)口令和動態(tài)口令。下面找描述中錯誤的是（）[單選題]*A．所謂靜態(tài)口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B．使用靜態(tài)口令方案時，即使對口令進行簡單加密或哈希后進行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統的身份認證模塊C.動態(tài)口令方案中通常需要使用密碼算法產生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預測出下次要使用的口令(正確答案)D．通常，動態(tài)口令實現方式分為口令序列、時間同步以及挑戰(zhàn)/應答等幾種類型77.“統一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統一管理，目前市場上已經出現了多種此類安全設備，這里“統一威脅管理”常常被簡稱為（）[單選題]*A．UTM(正確答案)B.FWC.IDSD.SOC答案:78.某網絡安全公司基于網絡的實時入侵檢測技術，動態(tài)監(jiān)測來自于外部網絡和內部網絡的所有訪問行為。當檢測到來自內外網絡針對或通過防火墻的攻擊行為，會及時響應，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統的抗攻擊能力，更有效地保護了網絡資源，提高了防御體系級別。但入侵檢測技術不能實現以下哪種功能（）。[單選題]*A．檢測并分析用戶和系統的活動B．核查系統的配置漏洞，評估系統關鍵資源和數據文件的完整性C．防止IP地址欺騙(正確答案)D．識別違反安全策略的用戶活動79.GaryMcGraw博士及其合作者提出軟件安全BSI模型應由三根支柱來支撐，這三個支柱是（）。[單選題]*A．源代碼審核、風險分析和滲透測試B．風險管理、安全接觸點和安全知識(正確答案)C．威脅建模、滲透測試和軟件安全接觸點D．威脅建模、源代碼審核和模糊測試80.以下哪一項不是常見威脅對應的消減措施:[單選題]*A.假冒攻擊可以采用身份認證機制來防范B．為了防止傳輸的信息被篡改，收發(fā)雙方可以使用單向Hash函數來驗證數據的完整性C．為了防止發(fā)送方否認曾經發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴(正確答案)D．為了防止用戶提升權限，可以采用訪問控制表的方式來管理權限81.以下關于模糊測試過程的說法正確的是:[單選題]*A．模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關B．為保障安全測試的效果和自動化過程，關鍵是將發(fā)現異常進行現場保護記錄，系統可能無法恢復異常狀態(tài)進行后續(xù)的測試C．通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復建議(正確答案)D．對于可能產生的大量異常報告，需要人工全部分析異常報告82.國務院信息化工作辦公室于2004年7月份下發(fā)了《關于做好重要信息系統災難備份工作的通知》，該文件中指出了我國在災備工作原則，下面哪項不屬于該工作原則（）[單選題]*A．統籌規(guī)劃B．分組建設(正確答案)C.資源共享D．平戰(zhàn)結合83.關于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）。[單選題]*A．信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構、方針、活動、職責及相關實踐要素(正確答案)B．管理體系（ManagementSystems）是為達到組織目標的策略、程序、指南和相關資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領域的應用C．概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分D．同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構，健全信息安全管理制度、構建信息安全技術防護體系和加強人員的安全意識等內容84.二十世紀二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機，按照密碼學發(fā)展歷史階段劃分，這個階段屬于（）[單選題]*A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技術來設計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和轉換方法（）B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備(正確答案)C、現代密碼學的早起發(fā)展階段。這一階段以香農的論文“保密系統的通信理論”為理論基礎，開始對密碼學的科學探索D、現代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志，引發(fā)了密碼學歷85.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為400萬元人民幣，暴露系數是25%，年度發(fā)生率為0.2，那么小王計算的年度預期損失應該是（）[單選題]*A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣(正確答案)D、180萬元人民幣86.小牛在對某公司的信息系統進行風險評估后，因考慮到該業(yè)務系統中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理風險，請問這種風險處置的方法是（）[單選題]*A、降低風險B、規(guī)避風險(正確答案)C、放棄風險D、轉移風險87.關于信息安全事件和應急響應的描述不正確的是（）[單選題]*A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發(fā)生對社會造成負面影響事件B、至今已有一種信息安全策略或防護措施，能夠對信息及信息系統提供絕對的保護，這就使得信息安全事件的發(fā)生是不可能的(正確答案)C、應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施D、應急響應工作與其他信息安全管理工作將比有其鮮明的特點:具有高技術復雜性志專業(yè)性、強突發(fā)性、對知識經驗的高依賴性，以及需要廣泛的協調與合作88.目前，很多行業(yè)用戶在進行信息安全產品選項時，均要求產品需通過安全測評，關于信息安全產品測評的意義，下列說法中不正確的是（）[單選題]*A、有助于建立和實施信息安全產品的市場準入制度B、對用戶采購信息安全產品、設計、建設、使用和管理安全的信息系統提供科學公正的專業(yè)指導C、對信息安全產品的研究、開發(fā)、生產以及信息安全服務的組織提供嚴格的規(guī)范引導和質量監(jiān)督D、打破市場壟斷，為信息安全產品發(fā)展創(chuàng)造一個良好的競爭環(huán)境(正確答案)89.若一個組織聲稱自己的ISMS符合ISO/TEC27001或GB22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）[單選題]*A、信息安全方針、信息安全組織、資產管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS(正確答案)90.信息安全事件和分類方法有多種，依據GB/Z20986-2007《信息安全技術自信安全事件分類分級指南》，信息安全事件分為7個基本類別，描述正確的是（）[單選題]*A、有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災