信息安全專業(yè)人員知識測試試題（三） (1)附有答案

信息安全專業(yè)人員知識測試試題（三）[復(fù)制]1.最小特權(quán)是軟件安全設(shè)計的基本原則，某應(yīng)用程序在設(shè)計時，設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專家，請指出是哪一個?[單選題]*A．軟件在Linux下按照時，設(shè)定運行時使用nobody用戶運行實例B．軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫C．軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限D(zhuǎn).為了保證軟件在Windows下能穩(wěn)定的運行，設(shè)定運行權(quán)限為system，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤(正確答案)2.主機A向主機B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對經(jīng)過互聯(lián)網(wǎng)的數(shù)據(jù)流量進行保護時，主機A和主機B的IP地址在應(yīng)該在下列哪個范圍?[單選題]*A．10．0．0．0~10．255．255．255B．172．16．0．0~172．31．255．255C、192．168．0．0~192．168．255．255D.不在上述范圍內(nèi)(正確答案)3.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個價值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計時出于性能考慮，在瀏覽時使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改．利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗證的環(huán)節(jié)，導(dǎo)致以上問題，對于網(wǎng)站的這個問題原因分析及解決措施。最正確的說法應(yīng)該是?[單選題]*A．該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的闖題，應(yīng)對全網(wǎng)站進行安全改造，所有的訪問都強制要求使用https(正確答案)B．該問題產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C．該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進行修改，在進行訂單付款時進行商品價格驗證就可以解決D．該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報警要求尋求警察介入，嚴(yán)懲攻擊者即可4.以下哪個選項不是防火墻提供的安全功能?[單選題]*A．IP地址欺騙防護B．NATC．訪問控制D．SQL注入攻擊防護(正確答案)5.以下關(guān)于可信計算說法錯誤的是:[單選題]*A．可信的主要目的是要建立起主動防御的信息安全保障體系B．可信計算機安全評價標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計算機和可信計算基的概念C．可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D．可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護體系和方法(正確答案)6.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin組中user用戶，以下哪個是該文件正確的模式表示?[單選題]*A.-rwxr-xr-x3useradmin1024Sep1311:58test(正確答案)B.drwxr-xr-x3useradmin1024Sep1311:58testC．-rwxr-xr-x3adminuser1024Sep1311:58testD．drwxr-xr-x3adminuser1024Sep1311:58test7.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是:[單選題]*A.httpd.conf(正確答案)B．srLconfC．a(chǎn)ccess．ConfD．Inet.conf8.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護策略，以下不屬于數(shù)據(jù)庫防護策略的是?[單選題]*A．安裝最新的數(shù)據(jù)庫軟件安全補丁B．對存儲的敏感數(shù)據(jù)進行安全加密C．不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D．定期對數(shù)據(jù)庫服務(wù)器進行重啟以確保數(shù)據(jù)庫運行良好(正確答案)9.下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞?[單選題]*A.通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B．攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C．當(dāng)計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上(正確答案)D．信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷10.對惡意代碼的預(yù)防，需要采取增強安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯誤的是:[單選題]*A．在使用來自外部的移動介質(zhì)前，需要進行安全掃描B．限制用戶對管理員權(quán)限的使用C.開放所有端口和服務(wù)，充分使用系統(tǒng)資源(正確答案)D．不要從不可信來源下載或執(zhí)行應(yīng)用程序11.安全專家在對某網(wǎng)站進行安全部署時，調(diào)整了Apache的運行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是:[單選題]*A．為了提高Apache軟件運行效率B．為了提高Apache軟件的可靠性C.為了避免攻擊者通過Apache獲得root權(quán)限(正確答案)D．為了減少Apache上存在的漏洞12.下列關(guān)于計算機病毒感染能力的說法不正確的是:[單選題]*A．能將自身代碼注入到引導(dǎo)區(qū)B．能將自身代碼注入到扇區(qū)中的文件鏡像C．能將自身代碼注入文本文件中并執(zhí)行(正確答案)D．能將自身代碼注入到文檔或模板的宏中代碼13.以下哪個是惡意代碼采用的隱藏技術(shù):[單選題]*A．文件隱藏B．進程隱藏C．網(wǎng)絡(luò)連接隱藏D．以上都是(正確答案)14.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進行響應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊稱之為:[單選題]*A．Land攻擊B．Smurf攻擊C．PingofDeath攻擊D.ICMPFlood(正確答案)15.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊[單選題]*A．LandB．UDPFloodC．SmurfD.Teardrop(正確答案)16.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個是正確的?[單選題]*A．相比傳輸層的另外一個協(xié)議UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途B．TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機C．TCP協(xié)議具有流量控制、數(shù)據(jù)校驗、超時重發(fā)、接收確認(rèn)等機制，因此TCP協(xié)議能完全替代IP協(xié)議D.TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機制過于復(fù)雜，傳輸效率要比UDP低(正確答案)17.以下關(guān)于UDP協(xié)議的說法，哪個是錯誤的?[單選題]*A．UDP具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務(wù)攻擊B．UDP協(xié)議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數(shù)據(jù)包送達(dá)正確的程序C．相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D．UDP協(xié)議不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務(wù)，因此常用來傳輸如視頻會話這類需要隱私保護的數(shù)據(jù)(正確答案)18.有關(guān)項目管理，錯誤的理解是:[單選題]*A.項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學(xué)B.項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束(正確答案)C.項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風(fēng)險、采購、集成的管理D.項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用19.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生，防范這種攻擊比較有效的方法是?[單選題]*A．加強網(wǎng)站源代碼的安全性B．對網(wǎng)絡(luò)客戶端進行安全評估C.協(xié)調(diào)運營商對域名解析服務(wù)器進行加固(正確答案)D．在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻20.關(guān)于源代碼審核，下列說法正確的是:[單選題]*A．人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B．源代碼審核通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點的薄弱之處C．使用工具進行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核D.源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導(dǎo)致安全弱點的薄弱之處(正確答案)21.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是:[單選題]*A．建立環(huán)境B．實施風(fēng)險處理計劃C．持續(xù)的監(jiān)視與評審風(fēng)險D.持續(xù)改進信息安全管理過程(正確答案)22.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?[單選題]*A．機構(gòu)的使命B．機構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C.機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D．機構(gòu)的組織結(jié)構(gòu)和管理制度(正確答案)23.在信息系統(tǒng)設(shè)計階段，“安全產(chǎn)品選擇”處于風(fēng)險管理過程的哪個階段?[單選題]*A．背景建立B．風(fēng)險評估C．風(fēng)險處理(正確答案)D．批準(zhǔn)監(jiān)督24.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是:[單選題]*A．組織機構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)B．對重要的工作進行分解，分配給不同人員完成C.一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限(正確答案)D．防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限25.以下哪一項不屬于常見的風(fēng)險評估與管理工具:[單選題]*A．基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具B．基于知識的風(fēng)險評估與管理工具C.基于模型的風(fēng)險評估與管理工具D．基于經(jīng)驗的風(fēng)險評估與管理工具(正確答案)26.以下說法正確的是:[單選題]*A．驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B．軟件測試的目的是為了驗證軟件功能是否正確C．監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃，并提出審查意見(正確答案)D．軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段27.信息系統(tǒng)安全保護等級為3級的系統(tǒng)，應(yīng)當(dāng)()年進行一次等級測評?[單選題]*A．0．5B.1(正確答案)C．2D．328.國家科學(xué)技術(shù)秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述?[單選題]*A．處于國際先進水平，并且有軍事用途或者對經(jīng)濟建設(shè)具有重要影響的B．能夠局部反應(yīng)國家防御和治安實力的C．我國獨有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟效益顯著的傳統(tǒng)工藝D．國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟建設(shè)具有特別重大影響的(正確答案)29.關(guān)于我國加強信息安全保障工作的總體要求，以下說法錯誤的是:[單選題]*A．堅持積極防御、綜合防范的方針B．重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C．創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D．提高個人隱私保護意識(正確答案)30.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》的規(guī)定，以下正確的是:[單選題]*A．涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《信息安全等級保護管理辦法》等國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進行B．非涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等要求進行C．可委托同一專業(yè)測評機構(gòu)完成等級測評和風(fēng)險評估工作，并形成等級測評報告和風(fēng)險評估報告(正確答案)D．此通知不要求將“信息安全風(fēng)險評估”作為電子政務(wù)項目驗收的重要內(nèi)容31.某單位信息安全崗位員工，利用個人業(yè)余時間，在社交網(wǎng)絡(luò)平臺上向業(yè)內(nèi)同不定期發(fā)布信息安全相關(guān)知識和前沿動態(tài)資訊，這一行為主要符合以下哪一條注冊信息安全專業(yè)人員（CISP）職業(yè)道德準(zhǔn)則:[單選題]*A．避免任何損害CISP聲譽形象的行為B．自覺維護公眾信息安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)泄露個人隱私的行為C．幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力(正確答案)D．不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件32.以下哪一項不是我國信息安全保障的原則:[單選題]*A．立足國情，以我為主，堅持以技術(shù)為主(正確答案)B．正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C．統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作D．明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系33.下列選項中，哪個不是我國信息安全保障工作的主要內(nèi)容:[單選題]*A．加強信息安全標(biāo)準(zhǔn)化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善信息安全標(biāo)準(zhǔn)體系B．建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實現(xiàn)國家信息安全自主可控目標(biāo)(正確答案)C．建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D．加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)34.關(guān)于信息安全管理，說法錯誤的是:[單選題]*A．信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運作的持續(xù))而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B．信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術(shù)性的努力。C．實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D．信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程。(正確答案)35.以下哪個選項不是信息安全需求的來源?[單選題]*A．法律法規(guī)與合同條約的要求B．組織的原則、目標(biāo)和規(guī)定C．風(fēng)險評估的結(jié)果D．安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警(正確答案)36.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是:[單選題]*A．確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B．確保整個系統(tǒng)已按照領(lǐng)導(dǎo)要求進行了部署和配置(正確答案)C．確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D．確保信息系統(tǒng)的使用已得到授權(quán)37.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是:[單選題]*A．明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B．描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C．向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險評估準(zhǔn)則(正確答案)D．對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證38.小張在某單位是負(fù)責(zé)事信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時候，小張主要負(fù)責(zé)講解風(fēng)險評估工作形式，小張認(rèn)為:①風(fēng)險評估工作形式包括:自評估和檢查評估;②自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行風(fēng)險評估;③檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險評估;④對信息系統(tǒng)的風(fēng)險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.[單選題]*請問小張的所述論點中錯誤的是哪項:A．第一個觀點B．第二個觀點C．第三個觀點D．第四個觀點(正確答案)39.小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點中錯誤的是哪項:[單選題]*A．風(fēng)險評估方法包括:定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B．定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性(正確答案)C．定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D．半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實現(xiàn)對風(fēng)險各要素的度量數(shù)值化40.風(fēng)險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用愿理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是:[單選題]*A．風(fēng)險評估與管理工具B．系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C．風(fēng)險評估輔助工具D．環(huán)境風(fēng)險評估工具(正確答案)41.為了解風(fēng)險和控制風(fēng)險，應(yīng)當(dāng)及時進行風(fēng)險評估活動，我國有關(guān)文件指出:風(fēng)險評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項中描述錯誤的是()。[單選題]*A．自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估B．自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實施C．自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險評估服務(wù)機構(gòu)來實施(正確答案)D．周期性的自評估可以在評估流程上適當(dāng)簡化，如重點針對上次評估后系統(tǒng)變化部分進行42.信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險評估工作的意見》(國信辦(2006)5號)中，風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求，下面選項中描述正確的是()。[單選題]*A．信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充(正確答案)B．信息安全風(fēng)險評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C．自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用D．自評估和檢查評估是相互排斥的，無特殊理由單位均應(yīng)選擇檢查評估，以保證安全效果43.小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機房的總價值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計算的年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)該是()。[單選題]*A．5萬元人民幣(正確答案)B．50萬元人民幣C．2.5萬元人民幣D．25萬元人民幣44.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險評估實施的各個階段中，該《風(fēng)險評估方案》應(yīng)是如下()中的輸出結(jié)果。[單選題]*A．風(fēng)險評估準(zhǔn)備階段(正確答案)B．風(fēng)險要素識別階段C．風(fēng)險分析階段D．風(fēng)險結(jié)果判定階段45.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成功的重要基礎(chǔ)。某單41位在實施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下()[單選題]*A．風(fēng)險評估準(zhǔn)備B．風(fēng)險要素識別(正確答案)C．風(fēng)險分析D．風(fēng)險結(jié)果判定46.風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟，有關(guān)安全要素，請選擇一個最合適的選項()。[單選題]*A．識別面臨的風(fēng)險并賦值B．識別存在的脆弱性并賦值(正確答案)C．制定安全措施實施計劃D．檢查安全措施有效性47.某單位在實施信息安全風(fēng)險評估后，形成了若干文擋，下面()中的文擋不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。[單選題]*A．《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費預(yù)算和進度安排等內(nèi)容B．《風(fēng)險評估方法和工具列表》。主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C．《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)D．《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容48.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是:[單選題]*A．組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B．組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制(正確答案)C.組織每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D．層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險評估的結(jié)果建立49.某項目的主要內(nèi)容為建造A類機房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機房設(shè)計規(guī)范》(GB50174-2008)的相關(guān)要求，對承建單位的施工設(shè)計方案進行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯誤的是:[單選題]*A．在異地建立備份機房時，設(shè)計時應(yīng)與主用機房等級相同B．由于高端小型機發(fā)熱量大，因此采用活動地板上送風(fēng)，下回風(fēng)的方式(正確答案)C．因機房屬于A級主機房，因此設(shè)計方案中應(yīng)考慮配備柴油發(fā)電機，當(dāng)市電發(fā)生故障時，所配備的柴油發(fā)電機應(yīng)能承擔(dān)全部負(fù)荷的需要D．A級主機房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)50.在工程實施階段，監(jiān)理機構(gòu)依據(jù)承建合同、安全設(shè)計方案、實施方案、實施記錄、國家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對信息化工程進行安全____檢查，以驗證項目是否實現(xiàn)了項目設(shè)計目標(biāo)和安全等級要求。[單選題]*A．功能性B．可用性C．保障性D．符合性(正確答案)51.下系統(tǒng)工程說法錯誤的是:[單選題]*A．系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)B．系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)C．系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法D．系統(tǒng)工程是一種方法論52.組織建立業(yè)務(wù)連續(xù)性計劃（BCP)的作用包括:[單選題]*A.在遭遇災(zāi)難事件時，能夠最大限度地保護組織數(shù)據(jù)的實時性，完整性和一致性;B.提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù);C.保證發(fā)生各種不可預(yù)料的故障、破壞性事故或災(zāi)難情況時，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運行，降低損失;D.以上都是。(正確答案)53.業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是:[單選題]*A.讓系統(tǒng)自己處理異常B.調(diào)試方便，應(yīng)該讓更多的錯誤更詳細(xì)的顯示出來C.捕獲錯誤，并拋出前臺顯示D.捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息(正確答案)54.以下哪項不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的?[單選題]*A.確定重要資產(chǎn)和風(fēng)險，實施針對風(fēng)險的防護措施B.編制和管理應(yīng)急響應(yīng)計劃C.建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D.評估事件的影響范圍，增強審計功能、備份完整系統(tǒng)(正確答案)55.關(guān)于秘鑰管理，下列說法錯誤的是:[單選題]*A.科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性B.保密通信過程中，通信方使用之前用過的會話秘鑰建立會話，不影響通信安全(正確答案)C.秘鑰管理需要考慮秘鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D.在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會話秘鑰56.以下屬于哪一種認(rèn)證實現(xiàn)方式:用戶登錄時，認(rèn)證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。[單選題]*A.口令序列B.時間同步C.挑戰(zhàn)/應(yīng)答(正確答案)D.靜態(tài)口令57.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個應(yīng)用，除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應(yīng)用進行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題:[單選題]*A．SSH(正確答案)B．HTTPC．FTPD．SMTP58.以下哪個屬性不會出現(xiàn)在防火墻的訪問控制策略配置中?[單選題]*A.本局域網(wǎng)內(nèi)地址B．百度服務(wù)器地址C．HTTP協(xié)議D．病毒類型(正確答案)59.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個是正確的:[單選題]*A．該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B．該文件是一個正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C．該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root,test用戶間接獲得了root權(quán)限(正確答案)D．該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test60.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:[單選題]*A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B.網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C.網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D.網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題(正確答案)61.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則:[單選題]*A.最小特權(quán)原則B.職責(zé)分離原則C.縱深防御原則(正確答案)D.最少共享機制原則62.以下關(guān)于威脅建模流程步驟說法不正確的是[單選題]*A.威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅B.評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風(fēng)險C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計直接消除威脅，或設(shè)計采用技術(shù)手段來消減威脅。D.識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。(正確答案)63.為保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是[單選題]*A.由于在實際滲透測試過程中存在不可預(yù)知的風(fēng)險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復(fù)系統(tǒng)和數(shù)據(jù)B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C.滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進行滲透測試(正確答案)64.有關(guān)能力成熟度模型（CMM）錯誤的理解是[單選題]*A.CMM的基本思想是，因為問題是由技術(shù)落后引起的，所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率(正確答案)B.CMM的思想來源于項目管理和質(zhì)量管理C.CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D.CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”65.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時，下面哪項措施不屬于安全配置()?[單選題]*A．不在Windows下安裝Apache，只在Linux和Unix下安裝(正確答案)B．安裝Apache時，只安裝需要的組件模塊C．不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D．積極了解Apache的安全通告，并及時下載和更新66.某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是（）[單選題]*A該網(wǎng)站軟件存在保密性方面安全問題B該網(wǎng)站軟件存在完整性方面安全問題(正確答案)C該網(wǎng)站軟件存在可用性方面安全問題D該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題67.信息安全保障是網(wǎng)絡(luò)時代各國維護國家安全和利益的首要任務(wù)，以下哪個國家最早將網(wǎng)絡(luò)安全上長升為國家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計劃。[單選題]*A中國B俄羅斯C美國(正確答案)D英國68.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關(guān)于我國信息安全實踐工作，下面說法錯誤的是（）[單選題]*A、加強信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動了應(yīng)急處理和信息通報技術(shù)合作工作進展(正確答案)C、推進信息安全等級保護工作，研究制定了多個有關(guān)信息安全等級保護的規(guī)范和標(biāo)準(zhǔn)，重點保障了關(guān)系國定安全，經(jīng)濟命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性D實施了信息安全風(fēng)險評估工作，探索了風(fēng)險評估工作的基本規(guī)律和方法，檢驗并修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊伍69.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）[單選題]*A、信息安全需求是安全方案設(shè)計和安全措施實施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案(正確答案)70.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯誤的是:[單選題]*A.系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進行研究B.系統(tǒng)工程不屬于技術(shù)實現(xiàn)，而是一種方法論C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)D.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法71.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是:[單選題]*A.要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重(正確答案)B．信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C.在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D．在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。72.2005年，RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請問此類RFC系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的（）。[單選題]*A.國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）B.國際電工委員會（InternationalElectrotechnicalCommission，IEC）C.國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITUTelecommunicationStandardizationSecctor，ITU-T）D.Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）(正確答案)73.GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護輪廊（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評估準(zhǔn)則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（）個遞增的評估保證等級。[單選題]*A.4B.5C.6D.7(正確答案)74.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是（）。[單選題]*A．信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施。即包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對措施B．應(yīng)急響應(yīng)工作有其鮮明的特點:具有高技術(shù)復(fù)雜性與專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C．應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作:安全事件發(fā)生時的正確指揮、事件發(fā)生后全面總結(jié)(正確答案)D．應(yīng)急響應(yīng)工作的起源和相關(guān)機構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性75.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成六個階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機流量、和/或封鎖被攻破的登錄賬號等（）[單選題]*A．準(zhǔn)備階段B．遏制階段(正確答案)C．根除階段D．檢測階段76.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進行認(rèn)證識別時，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面找描述中錯誤的是（）[單選題]*A．所謂靜態(tài)口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B．使用靜態(tài)口令方案時，即使對口令進行簡單加密或哈希后進行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C.動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令(正確答案)D．通常，動態(tài)口令實現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應(yīng)答等幾種類型77.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為（）[單選題]*A．UTM(正確答案)B.FWC.IDSD.SOC答案:78.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能（）。[單選題]*A．檢測并分析用戶和系統(tǒng)的活動B．核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C．防止IP地址欺騙(正確答案)D．識別違反安全策略的用戶活動79.GaryMcGraw博士及其合作者提出軟件安全BSI模型應(yīng)由三根支柱來支撐，這三個支柱是（）。[單選題]*A．源代碼審核、風(fēng)險分析和滲透測試B．風(fēng)險管理、安全接觸點和安全知識(正確答案)C．威脅建模、滲透測試和軟件安全接觸點D．威脅建模、源代碼審核和模糊測試80.以下哪一項不是常見威脅對應(yīng)的消減措施:[單選題]*A.假冒攻擊可以采用身份認(rèn)證機制來防范B．為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C．為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴(正確答案)D．為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限81.以下關(guān)于模糊測試過程的說法正確的是:[單選題]*A．模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B．為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進行后續(xù)的測試C．通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復(fù)建議(正確答案)D．對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告82.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則（）[單選題]*A．統(tǒng)籌規(guī)劃B．分組建設(shè)(正確答案)C.資源共享D．平戰(zhàn)結(jié)合83.關(guān)于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）。[單選題]*A．信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實踐要素(正確答案)B．管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C．概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個組織整體管理體系的組成部分D．同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護體系和加強人員的安全意識等內(nèi)容84.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機，按照密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于（）[單選題]*A、古典密碼階段。這一階段的密碼專家常常靠直覺和技術(shù)來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和轉(zhuǎn)換方法（）B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備(正確答案)C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎(chǔ)，開始對密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷85.小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機房的總價值為400萬元人民幣，暴露系數(shù)是25%，年度發(fā)生率為0.2，那么小王計算的年度預(yù)期損失應(yīng)該是（）[單選題]*A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣(正確答案)D、180萬元人民幣86.小牛在對某公司的信息系統(tǒng)進行風(fēng)險評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險太高，他建議該公司以放棄這個功能模塊的方式來處理風(fēng)險，請問這種風(fēng)險處置的方法是（）[單選題]*A、降低風(fēng)險B、規(guī)避風(fēng)險(正確答案)C、放棄風(fēng)險D、轉(zhuǎn)移風(fēng)險87.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）[單選題]*A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響事件B、至今已有一種信息安全策略或防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護，這就使得信息安全事件的發(fā)生是不可能的(正確答案)C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點:具有高技術(shù)復(fù)雜性志專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作88.目前，很多行業(yè)用戶在進行信息安全產(chǎn)品選項時，均要求產(chǎn)品需通過安全測評，關(guān)于信息安全產(chǎn)品測評的意義，下列說法中不正確的是（）[單選題]*A、有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度B、對用戶采購信息安全產(chǎn)品、設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場壟斷，為信息安全產(chǎn)品發(fā)展創(chuàng)造一個良好的競爭環(huán)境(正確答案)89.若一個組織聲稱自己的ISMS符合ISO/TEC27001或GB22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）[單選題]*A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS(正確答案)90.信息安全事件和分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)自信安全事件分類分級指南》，信息安全事件分為7個基本類別，描述正確的是（）[單選題]*A、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)