信息安全專業(yè)人員知識測試試題（二）附有答案

信息安全專業(yè)人員知識測試試題（二）[復(fù)制]1.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進，以及深化落實三個階段，以下關(guān)于我國信息安全保障各階段說法不正確的是:[單選題]*A.2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B.2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C.2003年中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段(正確答案)D.在深化落實階段，信息安全法律法規(guī)、標準化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級保護和風(fēng)險評估取得了新進展。2.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習(xí)慣:[單選題]*A使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟件進行升級(正確答案)B為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀錄和表單數(shù)據(jù)3.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是:[單選題]*A.建全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障B.建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐C.建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新(正確答案)D.建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)4.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素[單選題]*A.信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標準B.信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(正確答案)D.該銀行整體安全策略5.信息安全測評是指依據(jù)相關(guān)標準，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進行測試和評估，以下關(guān)于信息安全測評說法不正確的是:[單選題]*A.信息產(chǎn)品安全評估是測評機構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安全的信任B.目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型(正確答案)C.信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價。D.信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出游針對性的安全防護策略和整改措施6.美國的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure,CII）包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括:[單選題]*A.這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠B.這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出(正確答案)D.這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失。7.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的:[單選題]*A.要充分切合信息安全需求并且實際可行B.要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本C.要充分采取新技術(shù)，使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求(正確答案)D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙8.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）[單選題]*A.分組密碼算法要求輸入明文按組分成固定長度的塊B.分組密碼的算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱作序列密碼算法(正確答案)D.常見的DES、IDEA算法都屬于分組密碼算法9.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中，錯誤的是（）[單選題]*A.在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。(正確答案)B.密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行。C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D.密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。10.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時，以下說法正確的是:[單選題]*A.配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C.部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication,SA）資源的消耗(正確答案)D.報文驗證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機密性11.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個臨時的，安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是（）[單選題]*A.Special-purpose.特定、專用用途的B.Proprietary專有的、專賣的C.Private私有的、專有的(正確答案)D.Specific特種的、具體的12.以下Windows系統(tǒng)的賬號存儲管理機制SAM（SecurityAccountsManager）的說法哪個是正確的:[單選題]*A.存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B.存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性C.存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D.存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性(正確答案)13.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應(yīng)當(dāng)購買并部署下面哪個設(shè)備（）[單選題]*A.安全路由器B.網(wǎng)絡(luò)審計系統(tǒng)C.網(wǎng)頁防篡改系統(tǒng)(正確答案)D.虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）系統(tǒng)14.關(guān)于惡意代碼，以下說法錯誤的是:[單選題]*A.從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。B.按照運行平臺，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。(正確答案)C.不感染的依附性惡意代碼無法單獨執(zhí)行D.為了對目標系統(tǒng)實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件15.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17:00到20:00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。[單選題]*A.跨站腳本（CrossSiteScripting，XSS）攻擊B.TCP會話劫持（TCPHijack）攻擊C.IP欺騙攻擊D.拒絕服務(wù)（DenialofService，DoS）攻擊(正確答案)16.當(dāng)前，應(yīng)用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應(yīng)用軟件漏洞成因無關(guān):[單選題]*A.傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B.開發(fā)人員對信息安全知識掌握不足C.相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞(正確答案)D.應(yīng)用軟件的功能越來越多，軟件越來越復(fù)雜，更容易出現(xiàn)漏洞17.下面哪個模型和軟件安全開發(fā)無關(guān)（）?[單選題]*A.微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B.GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”C.OWASP維護的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D.“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”(正確答案)18.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是:[單選題]*A.模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B.數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C.監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D.深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析(正確答案)19.以下關(guān)于模糊測試過程的說法正確的是:[單選題]*A.模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B.為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進行后續(xù)的測試C.通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復(fù)建議(正確答案)D.對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告20.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是（）[單選題]*A.WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B.WPA是適用于中國的無線局域安全協(xié)議，WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C.WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D.WPA是依照802.11i標準草案制定的，而WPA2是按照802.11i正式標準制定的(正確答案)21.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是[單選題]*A.既能物理隔離，又能邏輯隔離B.能物理隔離，但不能邏輯隔離C.不能物理隔離，但是能邏輯隔離(正確答案)D.不能物理隔離，也不能邏輯隔離22.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是[單選題]*A.在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B.實施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生(正確答案)C.異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為23.S公司在全國有20個分支機構(gòu)，總部由10臺服務(wù)器、200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器、100個左右用戶終端，通過專網(wǎng)進行互聯(lián)互通。公司招標的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給5公司選出設(shè)計最合理的一個:[單選題]*A.總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構(gòu)服務(wù)器和用戶終端使用192.168.2.x---192.168.20.xB.總部服務(wù)器使用—11、用戶終端使用2—212，分支機構(gòu)IP地址隨意確定即可C.總部服務(wù)器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x，每個分支機構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段、另外一個做用戶終端地址段(正確答案)D.因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可。24.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。私有地址，下面描述正確的是（）。[單選題]*A.A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B.A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C.A類、B類和C類地址中都可以設(shè)置私有地址(正確答案)D.A類、B類和C類地址中都沒有私有地址25.口令破解是針對系統(tǒng)進行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是[單選題]*A.密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B.密碼策略對系統(tǒng)中所有的用戶都有效C.賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D.賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應(yīng)對口令暴力破解攻擊(正確答案)26.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的:[單選題]*A.安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B.由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個文件和目錄設(shè)置嚴格的訪問權(quán)限，為了使用上的便利,Windows上的ACL存在默認設(shè)置安全性不高的問題C.Windows的ACL機制中，文件和文件夾的權(quán)限是主體進行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的(正確答案)D.由于ACL具有很好靈活性，在實際使用中可以為每一個文件設(shè)定獨立擁護的權(quán)限27.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下:[單選題]*賬戶鎖定閥值3次無效登陸;復(fù)位賬戶鎖定計數(shù)器5分鐘;賬戶鎖定時間10分鐘;以下關(guān)于以上策略設(shè)置后的說法哪個是正確的A.設(shè)置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住B.如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)(正確答案)C.如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D.攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響28.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個組件，以下說法錯誤的是（）[單選題]*A.EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B.EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C.EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）(正確答案)D.EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登陸windows時進行的29.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是:[單選題]*A.數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復(fù)B.數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C.日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進行介質(zhì)故障恢復(fù)D.計算機系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交(正確答案)30.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是:[單選題]*A.最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息(正確答案)C.粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分31.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是:[單選題]*A.傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層(正確答案)C.互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D.互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層32.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的[單選題]*A.SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B.SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能CSMTP和POP3協(xié)議缺乏嚴格的用戶認證，因此導(dǎo)致了垃圾郵件問題D.SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠程管理郵件(正確答案)33.安全多用途互聯(lián)網(wǎng)郵件擴展(SecureMultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（）[單選題]*A.S/MIME采用了非對稱密碼學(xué)機制B.S/MIME支持數(shù)字證書C.S/MIME采用了郵件防火墻技術(shù)(正確答案)D.S/MIME支持用戶身份認證和郵件加密34.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是（）[單選題]*A.身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源B.安全標記，在應(yīng)用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權(quán)限，增加訪問C.剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D.機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等(正確答案)35.ApacheHttpServer（簡稱Apache）是一個開放源碼的WEB服務(wù)運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施（）[單選題]*A.安裝后，修改訪問控制配置文件B.安裝后，修改配置文件Httpd．Conf中的有關(guān)參數(shù)(正確答案)C.安裝后，刪除ApacheHttpServer源碼D.從正確的官方網(wǎng)站下載ApacheHttpServer，并安裝使用36.下面信息安全漏洞理解錯誤的是:[單選題]*A.討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞B.信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的(正確答案)C.信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來大的經(jīng)濟損失D.由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的37.下面對“零日（zero－day）漏洞”的理解中，正確的是（）[單選題]*A.指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權(quán)限B.指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C.指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在1天內(nèi)文完成攻擊，且成功達到攻擊目標D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞(正確答案)38.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者:小張嗎?我是科技處的李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下說法哪個是正確的[單選題]*A.小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題B.事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C.單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作(正確答案)D.事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請郵件服務(wù)軟件39.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250％，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題。但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對策略，作為主管負責(zé)人，請選擇有效的針對此問題的應(yīng)對措施:[單選題]*A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進入(正確答案)B.刪除服務(wù)器上的ping．exe程序C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D.增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊40.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）[單選題]*A.CIscoAuditingToolsB.AcunetixWebVulnerabilityScanner(正確答案)C.NMAPD.ISSDatabaseScanner41.某單位計劃在今年開發(fā)一套辦公自動化（OA）系統(tǒng)，將集團公司各地的機構(gòu)通過互聯(lián)網(wǎng)進行協(xié)同辦公，在OA系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請指出大家提的建議中不太合適的一條:[單選題]*A.對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B.要求軟件開發(fā)人員進行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識C.要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免SQL注入漏洞(正確答案)D.要求軟件開發(fā)商對軟件進行模塊化設(shè)計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進行校驗42.在軟件保障成熟度模型（SAMM）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能[單選題]*A.治理，主要是管理軟件開發(fā)的過程和活動B.構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程和活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(正確答案)43.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（）[單選題]*A.軟件安全開發(fā)生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90％以上的安全問題B.應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復(fù)所花的代價少的多。(正確答案)C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點是增加了一個抓們的安全編碼階段D.軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試44.下面有關(guān)軟件安全問題的描述中，哪項是由于軟件設(shè)計缺陷引起的（）[單選題]*A.設(shè)計了三層Web架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B.使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C.設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)(正確答案)D.使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)45.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度（Defects／KLOC）來衡量軟件的安全性，假設(shè)某個軟件共有29．6萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是[單選題]*A.0．00049B.0．049C.0．49(正確答案)D.4946.某集團公司根據(jù)業(yè)務(wù)需求，在各地分支機構(gòu)部屬前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務(wù)器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機種提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施?[單選題]*A.由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進行分析B.為配合總部的安全策略，會帶來一定安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險C.日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置前置機不記錄日志D.只允許特定IP地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間(正確答案)47.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅，以下哪個不是需求考慮的攻擊方式[單選題]*A.攻擊者利用軟件存在的邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運算進入死循環(huán)，CPU資源占用始終100％B.攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時會導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D.攻擊者買通IDC人員，將某軟件運行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問(正確答案)48.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP.cmctstell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則:[單選題]*A.權(quán)限分離原則B.最小特權(quán)原則C.保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則(正確答案)49.微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關(guān)于此項安全要求，下面描述錯誤的是（）[單選題]*A.某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B.解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強認證、數(shù)字簽名、安全審計等技術(shù)措施C.R威脅是STRIDE六種威脅中第三嚴重的威脅，比D威脅和E威脅的嚴重程度更高(正確答案)D.解決R威脅，也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行50.關(guān)于信息安全管理，下面理解片面的是（）[單選題]*A.信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務(wù)目標的重要保障B.信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C.信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)(正確答案)D.堅持管理與技術(shù)并重的原則，是我國加強信息安全保障工作的主要原則之一51.以下哪項制度或標準被作為我國的一項基礎(chǔ)制度加以推行，并且有一定強制性，其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全（）[單選題]*A.信息安全管理體系（ISMS）B.信息安全等級保護(正確答案)C.NISTSP800D.ISO270000系統(tǒng)52.小明是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的背景建立的幾本概念與認識，小明的主要觀點包括:[單選題]*（1）背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)險管理項目的規(guī)劃和準備;（2）背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果(3)背景建立包括:風(fēng)險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括:風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告請問小明的論點中錯誤的是哪項:A.第一個觀點(正確答案)B.第二個觀點C.第三個觀點D.第四個觀點53.降低風(fēng)險（或減低風(fēng)險）指通過對面的風(fēng)險的資產(chǎn)采取保護措施的方式來降低風(fēng)險，下面那個措施不屬于降低風(fēng)險的措施（）[單選題]*A.減少威脅源，采用法律的手段制裁計算機的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B.簽訂外包服務(wù)合同，將有計算難點，存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(正確答案)C.減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力D.減少脆弱性，及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性54.關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是:[單選題]*A.資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B.威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C.脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D.確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括:物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺(正確答案)55.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是[單選題]*A.檢查評估可依據(jù)相關(guān)標準的要求，實施完整的風(fēng)險評估過程;也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B.檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進行檢查和評測(正確答案)C.檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施D.檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點56.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)，按照規(guī)范的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（）[單選題]*A,《風(fēng)險評估方案》B.《需要保護的資產(chǎn)清單》(正確答案)C.《風(fēng)險計算報告》D.《風(fēng)險程度等級列表》57.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應(yīng)有職責(zé)的是（）[單選題]*A.制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B.確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定，目標應(yīng)明確、可度量，計劃應(yīng)具體、可事實C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性D.建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評估過程、確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確(正確答案)58.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關(guān)于這兩者，下面描述的錯誤是[單選題]*A.內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應(yīng)當(dāng)按照一定的周期實施B.內(nèi)部審核實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行C.內(nèi)部審核實施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)(正確答案)D.組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核標準使用，但在管理評審總，這些文件時被審對象59.在風(fēng)險管理中，殘余風(fēng)險是指實施了新的或增強的安全措施后還剩下的風(fēng)險，關(guān)于殘余風(fēng)險，下面描述錯誤的是（）[單選題]*A.風(fēng)險處理措施確定以后，應(yīng)編制詳細的殘余風(fēng)險清單，并獲得管理層對殘余風(fēng)險的書面批準，這也是風(fēng)險管理中的一個重要過程B.管理層確認接收殘余風(fēng)險，是對風(fēng)險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險，并理解在風(fēng)險一旦變?yōu)楝F(xiàn)實后，組織能夠且承擔(dān)引發(fā)的后果C.接收殘余風(fēng)險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術(shù)等因素的限制D.如果殘余風(fēng)險沒有降低到可接受的級別，則只能被動的選擇接受風(fēng)險，即對風(fēng)險不進行下一步的處理措施，接受風(fēng)險可能帶來的結(jié)果。(正確答案)60.關(guān)于業(yè)務(wù)連續(xù)性計劃（BCP）以下說法最恰當(dāng)?shù)氖?[單選題]*A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個控制過程。B.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程。(正確答案)C.組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個控制過程D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險建立的一個控制過程61.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實施如下措施:消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強防范措施、格式化被感染而已程序的介質(zhì)等，請問，按照應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段（）[單選題]*A.準備階段B.檢測階段C.遏制階段D.根除階段(正確答案)62.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是:[單選題]*A.應(yīng)急響應(yīng)是指組織為了應(yīng)急突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段(正確答案)C.對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面。D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）63.對信息安全事件的分級參考下列三個要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響，依據(jù)信息系統(tǒng)的重要程度對信息進行劃分，不屬于正確劃分級別的是:[單選題]*A.特別重要信息系統(tǒng)B.重要信息系統(tǒng)C.一般信息系統(tǒng)D.關(guān)鍵信息系統(tǒng)(正確答案)64.恢復(fù)時間目標（RTO）和恢復(fù)點目標（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個值能否為零，正確的選項是（）[單選題]*A.RTO可以為0，RPO也可以為0(正確答案)B.RTO可以為0，RPO不可以為0C.RTO不可以為0，但RPO可以為0D.RTO不可以為0，RPO也不可以為065.某政府機構(gòu)擬建設(shè)一機房，在工程安全監(jiān)理單位參與下制定了招標文件，項目分二期，一期目標為年內(nèi)實現(xiàn)系統(tǒng)上線運營，二期目標為次年上半年完成運行系統(tǒng)風(fēng)險的處理:招標文件經(jīng)營管理層審批后發(fā)布，就此工程項目而言，以下正確的是:[單選題]*A.此項目將項目目標分解為系統(tǒng)上線運營和運行系統(tǒng)風(fēng)險處理分期實施，具有合理性和可行性B.在工程安全監(jiān)理的參與下，確保了此招標文件的合理性C.工程規(guī)劃不符合信息安全工程的基本原則(正確答案)D.招標文件經(jīng)營管理層審批，表明工程目標符合業(yè)務(wù)發(fā)展規(guī)劃66.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯誤的是:[單選題]*A.系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進行研究B.系統(tǒng)工程不屬于技術(shù)實現(xiàn)，而是一種方法論C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)D.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實驗、使用的科學(xué)方法67.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時間維、邏輯維和知識維組成。有關(guān)此模型，錯誤的是:[單選題]*A.霍爾三維機構(gòu)體系形成地描述了系統(tǒng)工程研究的框架B.時間維表示系統(tǒng)工程活動從開始到結(jié)束按照時間順序排列的全過程C.邏輯維的七個步驟與時間維的七個階段嚴格對應(yīng)，即時間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(正確答案)D.知識維列舉可能需要運用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會科學(xué)和藝術(shù)等各種知識和技能68.北京某公司利用SSE-CMM對其自身工程隊伍能力進行自我改善，其理解正確的是:[單選題]*A.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個能力級別，當(dāng)工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級(正確答案)B.達到SSE-CMM最高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行結(jié)果質(zhì)量必須相同。C.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了3個風(fēng)險過程:評價威脅，評價脆弱性，評價影響。D.SSE-CMM強調(diào)系統(tǒng)安全工程與其他工程科學(xué)的區(qū)別和獨立性。69.以下哪一項不是信息系統(tǒng)集成項目的特點:[單選題]*A.信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。B.系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)響應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程。(正確答案)C.信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實施”。D.信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程70.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是:[單選題]*A.通用布纜系統(tǒng)工程B.電子設(shè)備機房系統(tǒng)工程C.計算機網(wǎng)絡(luò)系統(tǒng)工程D.以上都適用(正確答案)71.以下關(guān)于信息安全工程說法正確的是:[單選題]*A.信息化建設(shè)中系統(tǒng)功能的實現(xiàn)是最重要的B.信息化建設(shè)可以實施系統(tǒng)，而后對系統(tǒng)進行安全加固C.信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實施信息安全建設(shè)(正確答案)D.信息化建設(shè)沒有必要涉及信息安全建設(shè)72.有關(guān)系統(tǒng)安全工程-能力成熟度模型（sse-cmm）中的基本實施（BasePractices，BP），正確的理解是:[單選題]*A.BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B.大部分BP是沒有進過測試的C.一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段(正確答案)D.一項BP可以和其他BP有重疊73.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是:[單選題]*A.GP是涉及過程的管理、測量和制度化方面的活動B.GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動(正確答案)C.在工程實施時，GP應(yīng)該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D.在評估時，GP用于判定工程組織執(zhí)行某個PA的能力74.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對一個組織的安全工程能力成熟度進行測量時，有關(guān)測量結(jié)果，錯誤的理解是:[單選題]*A.如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B.如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征，則此過程區(qū)域的能力成熟度級別達到3級“充分定義級”(正確答案)C.如果某個過程區(qū)域（ProcessAreas，PA)包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D.組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上75.系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險的基本過程領(lǐng)域是:[單選題]*A.風(fēng)險過程B.工程過程C.保證過程D.評估過程(正確答案)76..以下行為不屬于違反國家涉密規(guī)定的行為:[單選題]*A.將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C.在私人交往中涉及國家秘密D.以不正當(dāng)手段獲取商業(yè)秘密(正確答案)77.具有行政法律責(zé)任強制的安全管理規(guī)定和安全制度包括①安全事件（包括安全事故）報告制度②安全等級保護制度③息系統(tǒng)安全監(jiān)控④安全專用產(chǎn)品銷售許可證制度[單選題]*A.1，2，4(正確答案)B.2，3C.2，3,4D.1，2,378.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的而運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機構(gòu)進行測評合格后方可投入使用[單選題]*A.二級以上B.三級以上(正確答案)C.四級以上D.五級以上79.為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)安全空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，加強在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，2015年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并與7月6日起在網(wǎng)上全文公布，向社會公開征求意見，這部法律草案是（）[單選題]*A.《中華人民共和國保守國家秘密法（草案）》B.《中華人民共和國網(wǎng)絡(luò)安全法（草案）》(正確答案)C.《中華人民共和國國家安全法（草案）》D.《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》80.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設(shè)的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)，對等級保護工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責(zé)分工等，關(guān)于該文件，下面理解正確的是[單選題]*A.該文件時一個由部委發(fā)布的政策性文件，不屬于法律文件(正確答案)B.該文件適用于2004年的等級保護工作，其內(nèi)容不能越蘇到2005年及之后的工作C.該文件時一個總體性知道文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件使用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位81.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的而標準，那一項不是體現(xiàn)CC標準的先進性?[單選題]*A.結(jié)構(gòu)開放性，即功能和保證要求可以“保護輪廓”和“安全目標”中進行一步細化和擴展B.表達方式的通用性，即給出通用的表達方式C.獨立性，它強調(diào)將安全的功能和保證分離(正確答案)D.實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中82.對于數(shù)字證書而言，一般采用的是哪個標準?[單選題]*A.ISO/IEC1540BB.802.11C.GB/T20984D.X.509(正確答案)83.在可信計算機系統(tǒng)評估準則（TCSEC）中，下列哪一項是滿足強制保護要求的最低級別?[單選題]*A.C2B.C1C.B2D.B1(正確答案)84.關(guān)于標準，下面哪項理解是錯誤的（）[單選題]*A.標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認機構(gòu)批準，共同重復(fù)使用的一種規(guī)范性文件，標準是標準化活動的重要成果B.國際標準是由國際標準化組織通過并公布的標準，同樣是強制性標準，當(dāng)國家標準和國際標準的條款發(fā)生沖突，應(yīng)以國際標準條款為準。(正確答案)C.行業(yè)標準是針對沒有國家標準而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標準，同樣是強制性標準，當(dāng)行業(yè)標準和國家標準的條款發(fā)生沖突時，應(yīng)以國家標準條款為準。D.地方標準由省、自治區(qū)、直轄市標準化行政主管部門制度，冰報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管培訓(xùn)部門備案，在公布國家標準后，該地方標準即應(yīng)廢止。85.2005年，RFC4301（RequestforComments4301:SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標準建設(shè)是由哪個組織發(fā)布的（）[單選題]*A.國際標準化組織B.國際電工委員會C.國際電信聯(lián)盟遠程通信標準化組織D.Internet工程任務(wù)組（IETF）(正確答案)86.關(guān)于信息安全管理體系，國際上有標準（ISO/IEC27001:2013）而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標準的關(guān)系是:[單選題]*A.IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改B.EQV(等效采用)，此國家標準不等效于該國際標準C.NEQ（非等效采用），此國家標準不等效于該國際標準D.沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較(正確答案)87.GB/T18336<<信息技術(shù)安全性評估準則>>（）是測評標準類中的重要標準，該標準定義了保護輪廓（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL）,其評估保證級共分為（）個遞增的評估保證等級*A.4B.5C.6(正確答案)D.7答案:D88.信息安全工程監(jiān)理的職責(zé)包括:[單選題]*A.質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)(正確答案)B.質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)C.確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D.確定安全要求、認可設(shè)計方案、