信息安全師考試試題預(yù)測(cè)（三）

信息安全師考試試題預(yù)測(cè)（三）1、單選

發(fā)現(xiàn)一臺(tái)被病毒感染的終端后，首先應(yīng)：（）A.拔掉網(wǎng)線B.判斷病毒的性質(zhì)、采用的端口C.在網(wǎng)上搜尋病毒解決方法D.呼叫公司技術(shù)人員正確答案：A2、填空題

（江南博哥）防火墻規(guī)則集應(yīng)該盡可能的（），規(guī)則集越（），錯(cuò)誤配置的可能性就越小，系統(tǒng)就越安全。正確答案：簡(jiǎn)單；簡(jiǎn)單3、單選

下列關(guān)于安全審計(jì)的內(nèi)容說法中錯(cuò)誤的是（）。A.應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。B.審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。C.應(yīng)能根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成報(bào)表。D.為了節(jié)約存儲(chǔ)空間，審計(jì)記錄可以隨意刪除、修改或覆蓋。正確答案：D4、單選

以下哪一項(xiàng)是防范SQL注入攻擊最有效的手段？（）A.刪除存在注入點(diǎn)的網(wǎng)頁(yè)B.對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的管理權(quán)限進(jìn)行嚴(yán)格的控制C.通過網(wǎng)絡(luò)防火墻嚴(yán)格限制Internet用戶對(duì)web服務(wù)器的訪問D.對(duì)web用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的過濾正確答案：D5、單選

DDOS攻擊的主要目換是：（）A.破壞完整性和機(jī)密性B.破壞可用性C.破壞機(jī)密性和可用性D.破壞機(jī)密性正確答案：B6、單選

組織中對(duì)于每個(gè)獨(dú)立流程都有對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，但缺乏全面的業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)采取下面哪一項(xiàng)行動(dòng)？（）A.建議建立全面的業(yè)務(wù)連續(xù)性計(jì)劃B.確認(rèn)所有的業(yè)務(wù)連續(xù)性計(jì)劃是否相容C.接受已有業(yè)務(wù)連續(xù)性計(jì)劃D.建議建立單獨(dú)的業(yè)務(wù)連續(xù)性計(jì)劃正確答案：B7、單選

年度損失值（ALE）的計(jì)算方法是什么（）A.ALE=ARO*AVB.ALE=AV*SLEC.“ALE=ARO*SLE"D.ALE=AV*EF正確答案：C8、單選

通過社會(huì)工程的方法進(jìn)行非授權(quán)訪問的風(fēng)險(xiǎn)可以通過以下方法避免：（）A.安全意識(shí)程序B.非對(duì)稱加密C.入侵偵測(cè)系統(tǒng)D.非軍事區(qū)正確答案：A9、單選

內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：（）A.這種缺乏了解會(huì)導(dǎo)致不經(jīng)意地泄露敏感信息B.信息安全不是對(duì)所有職能都是關(guān)鍵的C.IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D.該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對(duì)員工進(jìn)行繼續(xù)教育正確答案：A10、問答題

多邊安全模型有哪兩種？正確答案：Chinesewall模型；BMA模型11、單選

對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作成果理解正確的是：（）A．信息安全風(fēng)險(xiǎn)評(píng)估工作的最重要成果是按高中低級(jí)排列的風(fēng)險(xiǎn)列表。B．通過信息安全風(fēng)險(xiǎn)評(píng)估工作，不僅能夠明確系統(tǒng)安全風(fēng)險(xiǎn)，還能夠獲得如何控制風(fēng)險(xiǎn)的詳細(xì)建議。C．信息安全風(fēng)險(xiǎn)評(píng)估工作最終成果是信息系統(tǒng)安全問題（脆弱點(diǎn)）列表。D．信息安全風(fēng)險(xiǎn)評(píng)估工作最終成果是信息系統(tǒng)安全威脅列表。正確答案：A12、判斷題

OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是一個(gè)實(shí)現(xiàn)的標(biāo)準(zhǔn)，而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。正確答案：對(duì)13、單選

下面哪一個(gè)是定義深度防御安全原則的例子？（）A.使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B.在主機(jī)上使用防火墻和邏輯訪問控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量C.在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D.使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量正確答案：A14、單選

P2DR模型強(qiáng)調(diào)了落實(shí)反應(yīng)和系統(tǒng)安全的動(dòng)態(tài)性，其中的“檢測(cè)”使用的主要方法是？（）A.檢測(cè)。B.報(bào)警。C.記錄。D.實(shí)時(shí)監(jiān)控。正確答案：C15、單選

下面對(duì)于SSH的說法錯(cuò)誤的是？（）A.SSH是SecureShell的簡(jiǎn)稱B.客戶端使用ssh連接遠(yuǎn)程登錄SSH服務(wù)器必須經(jīng)過基于公鑰的身份驗(yàn)證C.通常Linux操作系統(tǒng)會(huì)在/usr/local目錄下默認(rèn)安裝OpenSSHD.SSH2比SSH1更安全正確答案：B16、判斷題

科學(xué)觀察可以分為直接觀察和間接觀察。正確答案：對(duì)17、單選

對(duì)能力成熟度模型解釋最準(zhǔn)確的是？（）A.它認(rèn)為組織的能力依賴與嚴(yán)格定義，管理完善，可測(cè)可控的有效業(yè)務(wù)過程。B.它通過嚴(yán)格考察工程成果來(lái)判斷工程能力。C.它與統(tǒng)計(jì)過程控制的理論出發(fā)點(diǎn)不同，所以應(yīng)用于不同領(lǐng)域。D.它是隨著信息安全的發(fā)展而誕生的重要概念。正確答案：A18、單選

（）在訪問控制中，對(duì)網(wǎng)絡(luò)資源的訪問是基于什么的？A、用戶B、權(quán)限C、訪問對(duì)象D、工作組正確答案：B19、單選

對(duì)系統(tǒng)安全需求進(jìn)行評(píng)審，以下那類人不適合參與（）A.系統(tǒng)分析員B.業(yè)務(wù)代表C.安全專家D.合規(guī)代表正確答案：A20、單選

建立應(yīng)急響應(yīng)計(jì)劃時(shí)候第一步應(yīng)該做什么？（）A.建立備份解決方案B.實(shí)施業(yè)務(wù)影響分析C.建立業(yè)務(wù)恢復(fù)計(jì)劃D.確定應(yīng)急人員名單正確答案：B21、判斷題

互惠原則的核心內(nèi)容是要求消除網(wǎng)絡(luò)社會(huì)由于各種原因造成的網(wǎng)絡(luò)主體間的交往不暢通、交往障礙。正確答案：錯(cuò)22、單選

信安標(biāo)委中哪個(gè)小組負(fù)責(zé)信息安全管理工作？（）A、WG1B、WG5C、WG7正確答案：C23、單選

在部署風(fēng)險(xiǎn)管理程序的時(shí)候，哪項(xiàng)應(yīng)該最先考慮到：（）A.組織威脅，弱點(diǎn)和風(fēng)險(xiǎn)概括的理解B.揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D.風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果正確答案：A24、單選

以下哪一項(xiàng)是和電子郵件系統(tǒng)無(wú)關(guān)的？（）A.PEM（Privacyenhancedmail）B.PGP（Prettygoodprivacy）C.X.500D.X.400正確答案：C25、單選

默認(rèn)情況下，Window2000域之間的信任關(guān)系有什么特點(diǎn)？（）A.只能單向，可以傳遞B.只能單向，不可傳遞C.可以雙向，可以傳遞D.可以雙向，不可傳遞正確答案：B26、單選

關(guān)于安全策略的說法，不正確的是（）A.得到安全經(jīng)理的審核批準(zhǔn)后發(fā)布B.應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔C.控制安全策略的發(fā)布范圍，注意保密D.系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn)正確答案：A27、單選

企業(yè)ISMS（信息安全管理體系）建設(shè)的原則不包括以下哪個(gè)（）A.管理層足夠重視B.需要全員參與C.不必遵循過程的方法D.需要持續(xù)改進(jìn)正確答案：C28、單選

以下有關(guān)通信與日常操作描述不正確的是（）A.信息系統(tǒng)的變更應(yīng)該是受控的B.企業(yè)在崗位設(shè)計(jì)和人員工作分配時(shí)應(yīng)該遵循職責(zé)分離的原則C.移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏D.內(nèi)部安全審計(jì)無(wú)需遵循獨(dú)立性、客觀性的原則正確答案：D29、單選

對(duì)于Linux審計(jì)說法錯(cuò)誤的是？（）A.Linux系統(tǒng)支持細(xì)粒度的審計(jì)操作B.Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計(jì)日志到SOC平臺(tái)C.Linux系統(tǒng)一般使用auditd進(jìn)程產(chǎn)生日志文件D.Linux在secure日志中登陸成功日志和審計(jì)日志是一個(gè)文件正確答案：D30、單選

從部署結(jié)構(gòu)來(lái)看，下列哪一種類型的防火墻提供了最高安全性？（）A.屏蔽路由器B.雙宿堡壘主機(jī)C.屏蔽主機(jī)防火墻D.屏蔽子網(wǎng)防火墻正確答案：D31、單選

如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈，什么預(yù)防方式最有效？（）A.源代碼周期性安全掃描B.源代碼人工審計(jì)C.滲透測(cè)試D.對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行不間斷監(jiān)測(cè)記錄正確答案：B32、單選

系統(tǒng)要達(dá)到什么樣的（），取決于系統(tǒng)所處理信息地重要程度、價(jià)值和敏感性。A、可行性B、系統(tǒng)靈活性C、用戶地方便性D、完整性正確答案：D33、單選

以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是（）A.信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B.企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C.業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D.信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無(wú)須參入正確答案：D34、單選

以下哪一個(gè)不是安全審計(jì)的作用？（）A.記錄系統(tǒng)被訪問的過程及系統(tǒng)保護(hù)機(jī)制的運(yùn)行狀態(tài)。B.發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的行為。C.及時(shí)發(fā)現(xiàn)并阻止用戶身份的變化D.報(bào)告并阻礙繞過保護(hù)機(jī)制的行為并記錄相關(guān)進(jìn)程，為災(zāi)難恢復(fù)提供信息。正確答案：C35、單選

下面哪一層可以實(shí)現(xiàn)編碼，加密（）A.傳輸層B.會(huì)話層C.網(wǎng)絡(luò)層D.物理層正確答案：B36、單選

在下面的加密方法中，哪個(gè)加解密的效率最低：（）A、記錄加密B、屬性加密C、元素加密D、表加密正確答案：C37、單選

應(yīng)急響應(yīng)哪一個(gè)階段用來(lái)降低事件再次發(fā)生的風(fēng)險(xiǎn)（）A.遏制B.根除C.跟蹤D.恢復(fù)正確答案：C38、單選

CC中安全功能/保證要求的三層結(jié)構(gòu)是（按照由大到小的順序）：（）A.類、子類、組件B.組件、子類、元素C.類、子類、元素D.子類、組件、元素正確答案：A39、單選

企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)模ǎ〢.只關(guān)注外來(lái)的威脅，忽視企業(yè)內(nèi)部人員的問題B.相信來(lái)自陌生人的郵件，好奇打開郵件附件C.開著電腦離開，就像離開家卻忘記關(guān)燈那樣D.及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁正確答案：D40、單選

組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：（）A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識(shí)C.制定IT安全策略下的安全程序/流程D.管理物理和邏輯訪問控制正確答案：A41、單選

評(píng)估BCP時(shí)，下列哪一項(xiàng)應(yīng)當(dāng)最被關(guān)注：（）A.災(zāi)難等級(jí)基于受損功能的范圍，而不是持續(xù)時(shí)間B.低級(jí)別災(zāi)難和軟件事件之間的區(qū)別不清晰C.總體BCP被文檔化，但詳細(xì)恢復(fù)步驟沒有規(guī)定D.宣布災(zāi)難的職責(zé)沒有被識(shí)別正確答案：D42、單選

面向?qū)ο蟮拈_發(fā)方法中，以下哪些機(jī)制對(duì)安全有幫助（）A.封裝B.多態(tài)C.繼承D.重載正確答案：A43、單選

數(shù)據(jù)庫(kù)的（）是指如何組織、管理、保護(hù)和處理敏感信息的指導(dǎo)思想。它包括安全管理策略、訪問控制策略和信息控制策略。A、安全策略B、管理策略C、控制策略D、訪問策略正確答案：A44、單選

在提供給一個(gè)外部代理商訪問信息處理設(shè)施前，一個(gè)組織應(yīng)該怎么做？（）A.外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS審計(jì)。B.外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C.來(lái)自外部代理商的任何訪問必須限制在?；饏^(qū)（DMZ）D.該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估，并制定和實(shí)施適當(dāng)?shù)目刂?。正確答案：D45、判斷題

VPN與防火墻的部署關(guān)系通常分為串聯(lián)和并聯(lián)兩種模式。正確答案：對(duì)46、判斷題

電子商務(wù)的網(wǎng)絡(luò)零售不包括B2C和2C。正確答案：錯(cuò)47、單選

非對(duì)稱密碼算法具有很多優(yōu)點(diǎn)，其中不包括：（）A.可提供數(shù)字簽名、零知識(shí)證明等額外服務(wù)B.加密/解密速度快，不需占用較多資源C.通信雙方事先不需要通過保密信道交換密鑰D.密鑰持有量大大減少正確答案：B48、單選

維持對(duì)于信息資產(chǎn)的適當(dāng)?shù)陌踩胧┑呢?zé)任在于（）A.安全管理員B.系統(tǒng)管理員C.數(shù)據(jù)和系統(tǒng)的所有者D.系統(tǒng)作業(yè)人員正確答案：A49、單選

（）WindowsNT/XP的安全性達(dá)到了橘皮書的第幾級(jí)？A.C1級(jí)B.B、C2級(jí)C.C、B1級(jí)D.D、B2級(jí)正確答案：B50、單選

以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利（）A.應(yīng)急委員會(huì)B.各部門C.管理層D.外部專家正確答案：C51、單選

下列哪一種行為通常不是在信息系統(tǒng)生存周期中的運(yùn)行維護(hù)階段中發(fā)生的？（）A.進(jìn)行系統(tǒng)備份B.管理加密密鑰C.認(rèn)可安全控制措施D.升級(jí)安全軟件正確答案：C52、單選

組織回顧信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃時(shí)應(yīng)：（）A.每半年演練一次B.周期性回顧并更新C.經(jīng)首席執(zhí)行官（CEO）認(rèn)可D.與組織的所有部門負(fù)責(zé)人溝通正確答案：B53、單選

以下哪組全部都是多邊安全模型？（）A.BLP模型和BIBA模型B.BIBA模型和Clark－Wilson模型C.Chinesewall模型和BMA模型D.Clark－Wilson模型和Chinesewall模型正確答案：C54、單選

PDCA特征的描述不正確的是（）A.順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B.大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個(gè)小目標(biāo)，一層層地解決問題C.階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足D.信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問題解決思路正確答案：D55、單選

以下哪種做法是正確的“職責(zé)分離”做法？（）A.程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B.程序員可以使用系統(tǒng)控制臺(tái)C.控制臺(tái)操作員可以操作磁帶和硬盤D.磁帶操作員可以使用系統(tǒng)控制臺(tái)正確答案：A56、單選

以下關(guān)于在UNIX系統(tǒng)里啟動(dòng)與關(guān)閉服務(wù)的說法不正確的是？（）A.在UNIX系統(tǒng)中，服務(wù)可以通過inetd進(jìn)程來(lái)啟動(dòng)B.通過在/etc/inetD.conf文件中注釋關(guān)閉正在運(yùn)行的服務(wù)C.通過改變腳本名稱的方式禁用腳本啟動(dòng)的服務(wù)D.在UNIX系統(tǒng)中，服務(wù)可以通過啟動(dòng)腳本來(lái)啟動(dòng)正確答案：B57、單選

對(duì)于信息安全風(fēng)險(xiǎn)的描述不正確的是？（）A.企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B.在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來(lái)負(fù)面影響及其潛在可能性C.風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價(jià)，識(shí)別控制減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。D.風(fēng)險(xiǎn)評(píng)估（RiskAssessment）就是對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。正確答案：A58、填空題

根據(jù)SHARE78標(biāo)準(zhǔn)，在（）級(jí)情況下，備份中心處于活動(dòng)狀態(tài)，網(wǎng)絡(luò)實(shí)時(shí)傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài)，數(shù)據(jù)丟失與恢復(fù)時(shí)間一般是小時(shí)級(jí)的。正確答案：應(yīng)用系統(tǒng)溫備級(jí)59、單選

以下哪個(gè)標(biāo)準(zhǔn)是ISO27001的前身標(biāo)準(zhǔn)？（）A.BS5750B.BS7750C.BS7799D.BS15000正確答案：C60、單選

矩陣分析法通常是哪種風(fēng)險(xiǎn)評(píng)估采用的方法（）A.定性風(fēng)險(xiǎn)評(píng)估B.定量分析評(píng)估C.安全漏洞評(píng)估D.安全管理評(píng)估正確答案：A61、單選

以下哪項(xiàng)機(jī)制與數(shù)據(jù)處理完整性相關(guān)（）A.數(shù)據(jù)庫(kù)事務(wù)完整性機(jī)制B.數(shù)據(jù)庫(kù)自動(dòng)備份復(fù)制機(jī)制C.雙機(jī)并行處理，并相互驗(yàn)證D.加密算法正確答案：D62、判斷題

對(duì)錢財(cái)?shù)呢澙芬彩蔷W(wǎng)絡(luò)違法犯罪行為的原始動(dòng)力。正確答案：對(duì)63、單選

信息安全管理措施不包括：（）A.安全策略B.物理和環(huán)境安全C.訪問控制D.安全范圍正確答案：D64、單選

以下哪組全部是完整性模型？（）A.BLP模型和BIBA模型B.BIBA模型和Clark－Wilson模型C.Chinesewall模型和BIBA模型D.Clark－Wilson模型和Chinesewall模型正確答案：B65、單選

信息安全策略，聲稱“密碼的顯示必須以掩碼的形式”的目的是防范下面哪種攻擊風(fēng)險(xiǎn)？（）A.尾隨B.垃圾搜索C.肩窺D.冒充正確答案：C66、單選

下述攻擊手段中不屬于DOS攻擊的是：（）A.Smurf攻擊B.Land攻擊C.Teardrop攻擊D.CGI溢出攻擊正確答案：D67、單選

特洛伊木馬攻擊的危脅類型屬于（）A.授權(quán)侵犯威脅B.植入威脅C.滲入威脅D.破壞威脅正確答案：B68、填空題

在兩個(gè)具有IrDA端口的設(shè)備之間（），中間不能有阻擋物。正確答案：傳輸數(shù)據(jù)69、單選

干管滅火器系統(tǒng)使用（）A.水，但是只有在發(fā)現(xiàn)火警以后水才進(jìn)入管道B.水，但是水管中有特殊的防水劑C.CO2代替水D.哈龍代替水正確答案：A70、單選

在TCP中的六個(gè)控制位哪一個(gè)是用來(lái)請(qǐng)求同步的（）A.SYNB.ACKC.FIND.RST正確答案：A71、單選

ISMS審核時(shí)，首次會(huì)議的目的不包括以下哪個(gè)？（）A.明確審核目的、審核準(zhǔn)則和審核范圍B.明確審核員的分工C.明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D.明確審核進(jìn)度和審核方法，且在整個(gè)審核過程中不可調(diào)整正確答案：D72、單選

管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)已識(shí)別風(fēng)險(xiǎn)不采取措施（）A.當(dāng)必須的安全對(duì)策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的譴責(zé)負(fù)面影響時(shí)B.當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C.當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門控制范圍之內(nèi)時(shí)D.不可接受正確答案：A73、單選

下列對(duì)系統(tǒng)日志信息的操作中哪一項(xiàng)是最不應(yīng)當(dāng)發(fā)生的：（）A.對(duì)日志內(nèi)容進(jìn)行編輯B.只抽取部分條目進(jìn)行保存和查看C.用新的日志覆蓋舊的日志D.使用專用工具對(duì)日志進(jìn)行分析正確答案：A74、單選

下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過程？（）A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇D.風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)正確答案：C75、單選

安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是？（）A.準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B.開發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量。C.提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D.強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性正確答案：D76、判斷題

在SSL握手信息中，采用了RSA、MD5等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性。正確答案：錯(cuò)77、單選

相對(duì)于不存在災(zāi)難恢復(fù)計(jì)劃，和當(dāng)前災(zāi)難恢復(fù)計(jì)劃的成本對(duì)比，最接近的是：（）A.增加B.減少C.保持不變D.不可預(yù)知正確答案：A78、單選

某種防火墻的缺點(diǎn)是沒有辦法從非常細(xì)微之處來(lái)分析數(shù)據(jù)包，但它的優(yōu)點(diǎn)是非?？?，這種防火墻是以下的哪一種？（）A.電路級(jí)網(wǎng)關(guān)B.應(yīng)用級(jí)網(wǎng)關(guān)C.會(huì)話層防火墻D.包過濾防火墻正確答案：D79、單選

關(guān)于控制措施選擇描述不正確的是（）A.總成本中應(yīng)考慮控制措施維護(hù)成本B.只要控制措施有效，不管成本都應(yīng)該首先選擇C.首先要考慮控制措施的成本效益D.應(yīng)該考慮控制措施實(shí)施的成熟度正確答案：B80、單選

測(cè)試人員與開發(fā)人員交互測(cè)試發(fā)現(xiàn)的過程中，開發(fā)人員最關(guān)注的什么？（）A.bug的數(shù)量B.bug的嚴(yán)重程度C.bug的復(fù)現(xiàn)過程D.bug修復(fù)的可行性正確答案：C81、單選

下列幾個(gè)OSI層中，哪一層能夠提供訪問控制服務(wù)？（）A.傳輸層B.表示層C.會(huì)話層D.數(shù)據(jù)鏈路層正確答案：A82、單選

在TCP中的六個(gè)控制位哪一個(gè)是用來(lái)請(qǐng)求結(jié)束會(huì)話的（）A.SYNB.ACKC.FIND.RST正確答案：C83、單選

滲透測(cè)試作為網(wǎng)絡(luò)安全評(píng)估的一部分（）A.提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B.在不需要警告所有組織的管理層的情況下執(zhí)行C.找到存在的能夠獲得未授權(quán)訪問的漏洞D.在網(wǎng)絡(luò)邊界上執(zhí)行不會(huì)破壞信息資產(chǎn)正確答案：C84、單選

基本的計(jì)算機(jī)安全需求不包括下列哪一條：（）A.安全策略和標(biāo)識(shí)B.絕對(duì)的保證和持續(xù)的保護(hù)C.身份鑒別和落實(shí)責(zé)任D.合理的保證和連續(xù)的保護(hù)正確答案：B85、單選

Kerberos可以防止以下哪種攻擊？（）A.隧道攻擊。B.重放攻擊。C.破壞性攻擊。D.處理攻擊。正確答案：B86、單選

實(shí)施ISMS內(nèi)審時(shí)，確定ISMS的控制目標(biāo)、控制措施、過程和程序應(yīng)該要符合相關(guān)要求，以下哪個(gè)不是？（）A.約定的標(biāo)準(zhǔn)及相關(guān)法律的要求B.已識(shí)別的安全需求C.控制措施有效實(shí)施和維護(hù)D.ISO13335風(fēng)險(xiǎn)評(píng)估方法正確答案：D87、單選

關(guān)于信息安全策略文件的評(píng)審以下說法不正確的是哪個(gè)？（）A.信息安全策略應(yīng)由專人負(fù)責(zé)制定、評(píng)審。B.信息安全策略評(píng)審每年應(yīng)進(jìn)行兩次，上半年、下半年各進(jìn)行一次。C.在信息安全策略文件的評(píng)審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D.在信息安全策略文件的評(píng)審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。正確答案：B88、單選

下列哪一種情況會(huì)損害計(jì)算機(jī)安全策略的有效性？（）A.發(fā)布安全策略時(shí)B.重新檢查安全策略時(shí)C.測(cè)試安全策略時(shí)D.可以預(yù)測(cè)到違反安全策略的強(qiáng)制性措施時(shí)正確答案：D89、單選

構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些？（）A.人，財(cái)，物B.技術(shù)，管理和操作C.資產(chǎn)，威脅和弱點(diǎn)D.資產(chǎn)，可能性和嚴(yán)重性正確答案：C90、單選

要求用戶必須登陸，并且用戶有能力創(chuàng)建群組標(biāo)識(shí)的最低安全級(jí)別是哪一級(jí)？（）A.DB.C1C.C2D.B1正確答案：C91、單選

以下哪一個(gè)是ITU的數(shù)字證書標(biāo)準(zhǔn)（）A.SSLB.SHTTPC.x.509D.SOCKS正確答案：A92、單選

下列生物識(shí)別設(shè)備，哪一項(xiàng)的交差錯(cuò)判率（CER）最高？（）A.虹膜識(shí)別設(shè)備B.手掌識(shí)別設(shè)備C.聲音識(shí)別設(shè)備D.指紋識(shí)別設(shè)備正確答案：C93、單選

下列哪一項(xiàng)準(zhǔn)確描述了哈希算法、數(shù)字簽名和對(duì)稱密鑰算法所提供的功能？（）A.身份鑒別和完整性，完整性，機(jī)密性和完整性B.完整性，身份鑒別和完整性，機(jī)密性和可用性C.完整性，身份鑒別和完整性，機(jī)密性D.完整性和機(jī)密性，完整性，機(jī)密性正確答案：C94、單選

以下哪一種局域網(wǎng)傳輸媒介是最可靠的？（）A.同軸電纜B.光纖C.雙絞線（屏蔽）D.雙絞線（非屏蔽）正確答案：B95、判斷題

互聯(lián)網(wǎng)不良信息泛濫的原因有多種，網(wǎng)絡(luò)道德觀念的缺乏屬其中一種。正確答案：錯(cuò)96、單選

某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)遭受多次入侵攻擊，下面那一種技術(shù)可以提前檢測(cè)到這種行為？（）A.殺毒軟件B.包過濾路由器C.蜜罐D(zhuǎn).服務(wù)器加固正確答案：C97、填空題

風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)不包括（）。正確答案：GB/T9361-200598、單選

下列崗位哪個(gè)在招聘前最需要進(jìn)行背景調(diào)查？（）A.采購(gòu)人員B.銷售人員C.財(cái)務(wù)總監(jiān)D.行政人員正確答案：C99、單選

以下哪一個(gè)是對(duì)于參觀者訪問數(shù)據(jù)中心的最有效的控制？（）A.陪同參觀者B.參觀者佩戴證件C.參觀者簽字D.參觀者由工作人員抽樣檢查正確答案：A100、單選

以下哪一個(gè)是包過濾防火墻的優(yōu)點(diǎn)？（）A.可以與認(rèn)證、授權(quán)等安全手段方便的集成。B.與應(yīng)用層無(wú)關(guān)，無(wú)須改動(dòng)任何客戶機(jī)和主機(jī)的應(yīng)用程序，易于安裝和使用。C.提供透明的加密機(jī)制D.可以給單個(gè)用戶授權(quán)正確答案：C101、單選

以下哪一項(xiàng)屬于物理安全方面的管理控制措施？（）A.照明B.護(hù)柱C.培訓(xùn)D.建筑設(shè)施的材料正確答案：C102、單選

人員入職過程中，以下做法不正確的是？（）A.入職中簽署勞動(dòng)合同及保密協(xié)議。B.分配工作需要的最低權(quán)限。C.允許訪問企業(yè)所有的信息資產(chǎn)。D.進(jìn)行安全意思培訓(xùn)。正確答案：C103、填空題

安全威脅中安全風(fēng)險(xiǎn)最高的是（）.正確答案：病毒104、單選

電子商務(wù)交易必須具備抗抵賴性，目的在于防止（）。A.一個(gè)實(shí)體假裝成另一個(gè)實(shí)體B.參與此交易的一方否認(rèn)曾經(jīng)發(fā)生過此次交易C.他人對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的修改、破壞D.信息從被監(jiān)視的通信過程中泄漏出去正確答案：B105、單選

以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的？（）A.維護(hù)成本需要被考慮在總體控制成本之內(nèi)B.最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C.應(yīng)考慮控制措施的成本效益D.在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素正確答案：B106、單選

組織在實(shí)施與維護(hù)信息安全的流程中，下列哪一項(xiàng)不屬于高級(jí)管理層的職責(zé)？（）A．明確的支持B．執(zhí)行風(fēng)險(xiǎn)分析C．定義目標(biāo)和范圍D．職責(zé)定義與授權(quán)正確答案：B107、單選

在軟件開發(fā)的需求定義階段，在軟件測(cè)試方面，以下哪一個(gè)選項(xiàng)被制定？（）A.覆蓋關(guān)鍵應(yīng)用的測(cè)試數(shù)據(jù)B.詳細(xì)的安全測(cè)試計(jì)劃C.質(zhì)量保證測(cè)試標(biāo)準(zhǔn)D.用戶驗(yàn)收測(cè)試標(biāo)準(zhǔn)正確答案：D108、單選

當(dāng)一個(gè)應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在該系統(tǒng)重新上線前管理員無(wú)需查看：（）A.訪問控制列表B.系統(tǒng)服務(wù)配置情況C.審計(jì)記錄D.用戶帳戶和權(quán)限的設(shè)置正確答案：C109、單選

當(dāng)以下哪一類人員維護(hù)應(yīng)用系統(tǒng)軟件的時(shí)候，會(huì)造成對(duì)“職責(zé)分離”原則的違背？（）A.數(shù)據(jù)維護(hù)管理員B.系統(tǒng)故障處理員C.系統(tǒng)維護(hù)管理員D.系統(tǒng)程序員正確答案：D110、單選

以下哪一項(xiàng)不是跨站腳本攻擊？（）A.給網(wǎng)站掛馬B.盜取COOKIEC.偽造頁(yè)面信息D.暴力破解密碼正確答案：D111、單選

Kerberos依賴什么加密方式？（）A.ElGamal密碼加密B.秘密密鑰加密。C.Blowfish加密。D.公鑰加密。正確答案：B112、填空題

思維定式（）觀察偏差的主觀因素。正確答案：屬于113、單選

信息安全管理體系策略文件中第一層文件是？（）A.信息安全工作程序B.信息安全方針政策C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄正確答案：B114、單選

有關(guān)人員安全管理的描述不正確的是？（）A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)。B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查。C.如職責(zé)分離難以實(shí)施，企業(yè)對(duì)此無(wú)能為力，也無(wú)需做任何工作。D.人員離職之后，必須清除離職員工所有的邏輯訪問帳號(hào)。正確答案：C115、單選

應(yīng)急響應(yīng)流程一般順序是（）A.信息安全事件通告、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置B.信息安全事件評(píng)估、信息安全事件通告、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置C.應(yīng)急啟動(dòng)、應(yīng)急處置、信息安全事件評(píng)估、信息安全事件通告、后期處置D.信息安全事件評(píng)估、應(yīng)急啟動(dòng)、信息安全事件通告、應(yīng)急處置和后期處置正確答案：A116、單選

下面哪項(xiàng)不是實(shí)施信息安全管理的關(guān)鍵成功因素（）A.理解組織文化B.得到高層承諾C.部署安全產(chǎn)品D.納入獎(jiǎng)懲機(jī)制正確答案：C117、單選

有什么方法可以測(cè)試辦公部門的無(wú)線安全？（）A.Wardialing戰(zhàn)爭(zhēng)語(yǔ)言B.社會(huì)工程學(xué)C.戰(zhàn)爭(zhēng)駕駛D.密碼破解正確答案：D118、單選

在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？（）A.弱點(diǎn)B.威脅C.可能性D.影響正確答案：A119、單選

以下對(duì)審核發(fā)現(xiàn)描述正確的是（）A.用作依據(jù)的一組方針、程序或要求B.與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C.將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，可以是合格/符合項(xiàng)，也可以是不合格/不符合項(xiàng)D.對(duì)審核對(duì)象的物理位置、組織結(jié)構(gòu)、活動(dòng)和過程以及時(shí)限的描述正確答案：C120、單選

設(shè)計(jì)信息安全策略時(shí)，最重要的一點(diǎn)是所有的信息安全策略應(yīng)該：（）A.非現(xiàn)場(chǎng)存儲(chǔ)B.由IS經(jīng)理簽署C.發(fā)布并傳播給用戶D.經(jīng)常更新正確答案：C121、判斷題

我國(guó)網(wǎng)絡(luò)安全防御工程建設(shè)還有待加強(qiáng)就是因?yàn)槲覈?guó)國(guó)家級(jí)投入相對(duì)較少。正確答案：錯(cuò)122、單選

下列哪一個(gè)是國(guó)家推薦標(biāo)準(zhǔn)（）A.GB/T18020-1999B.SJ/T30003-93C.ISO/IEC15408D.GA243-2000正確答案：A123、單選

業(yè)務(wù)影響分析的主要目的是：（）A.在災(zāi)難之后提供一個(gè)恢復(fù)行動(dòng)的計(jì)劃B.識(shí)別能夠影響組織運(yùn)營(yíng)持續(xù)性的事件C.公布組織對(duì)物理和邏輯安全的義務(wù)D.提供一個(gè)有效災(zāi)難恢復(fù)計(jì)劃的框架正確答案：B124、單選

制定應(yīng)急響應(yīng)策略主要需要考慮（）A.系統(tǒng)恢復(fù)能力等級(jí)劃分B.系統(tǒng)恢復(fù)資源的要求C.費(fèi)用考慮D.人員考慮正確答案：C125、單選

（）關(guān)于組策略的描述哪些是錯(cuò)誤的？A、首先應(yīng)用的是本地組策略B、除非沖突，組策略的應(yīng)用應(yīng)該是累積的C、如果存在沖突，最先應(yīng)用的組策略將獲勝D、策略在策略容器上的順序決定應(yīng)用的順序正確答案：C126、單選

風(fēng)險(xiǎn)評(píng)估實(shí)施過程中資產(chǎn)識(shí)別的范圍主要包括什么類別（）A.網(wǎng)絡(luò)硬件資產(chǎn)B.數(shù)據(jù)資產(chǎn)C.軟件資產(chǎn)D.以上都包括正確答案：D127、單選

以下哪項(xiàng)不屬于信息系統(tǒng)安全保障模型包含的方面？（）A.保障要素。B.生命周期。C.安全特征。D.通信安全。正確答案：D128、單選

職責(zé)分離的主要目的是？（）A.防止一個(gè)人從頭到尾整個(gè)控制某一交易或者活動(dòng)B.不同部門的雇員不可以在一起工作C.對(duì)于所有的資源都必須有保護(hù)措施D.對(duì)于所有的設(shè)備都必須有操作控制措施正確答案：A129、單選

下面哪種方法可以替代電子銀行中的個(gè)人標(biāo)識(shí)號(hào)（PINs）的作用？（）A.虹膜檢測(cè)技術(shù)B.語(yǔ)音標(biāo)識(shí)技術(shù)C.筆跡標(biāo)識(shí)技術(shù)D.指紋標(biāo)識(shí)技術(shù)正確答案：A130、單選

有關(guān)定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估的區(qū)別，以下描述不正確的是（）A.定性風(fēng)險(xiǎn)評(píng)估比較主觀，而定量風(fēng)險(xiǎn)評(píng)估更客觀B.定性風(fēng)險(xiǎn)評(píng)估容易實(shí)施，定量風(fēng)險(xiǎn)評(píng)估往往數(shù)據(jù)準(zhǔn)確性很難保證C.定性風(fēng)險(xiǎn)評(píng)估更成熟，定量風(fēng)險(xiǎn)評(píng)估還停留在理論階段D.定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估沒有本質(zhì)區(qū)別，可以通用正確答案：D131、填空題

信息安全策略的基本原則是（）正確答案：確定性、完整性、有效性132、單選

BIBA模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的完整性的保密性，分別是：（）A.上讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；下寫，主體不可寫安全級(jí)別低于它的數(shù)據(jù)B.下讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；上寫，主體不可寫安全級(jí)別低于它的數(shù)據(jù)C.上讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；下寫，主體不可寫安全級(jí)別高于它的數(shù)據(jù)D.下讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；上寫，主體不可寫安全級(jí)別高于它的數(shù)據(jù)正確答案：D133、單選

內(nèi)部審核的最主要目的是（）A.檢查信息安全控制措施的執(zhí)行情況B.檢查系統(tǒng)安全漏洞C.檢查信息安全管理體系的有效性D.檢查人員安全意識(shí)正確答案：A134、單選

信息安全政策聲明：“每個(gè)人必須在進(jìn)入每一個(gè)控制門時(shí)，都必須讀取自己的證件”，防范的是哪一種攻擊方式？（）A.尾隨PiggybackingB.肩窺ShouldersurfingC.DumpsterdivingD.冒充Impersonation正確答案：A135、單選

在某個(gè)公司中，以下哪個(gè)角色最適合評(píng)估信息安全的有效性？（）A.公司的專家B.業(yè)務(wù)經(jīng)理C.IT審計(jì)員D.信息安全經(jīng)理正確答案：C136、單選

下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的主要過程：（）A.風(fēng)險(xiǎn)過程B.保證過程C.工程過程D.評(píng)估過程正確答案：D137、單選

當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性（）A.從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B.從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C.抓取交易以整合存儲(chǔ)設(shè)備D.從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶正確答案：D138、單選

（）以下哪個(gè)策略不屬于本地計(jì)算機(jī)策略？A、審核策略B、Kerberos身份驗(yàn)證策略C、用戶權(quán)利指派D、安全選項(xiàng)正確答案：B139、單選

信息安全管理體系（ISMS）是一個(gè)怎樣的體系，以下描述不正確的是（）A.ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B.ISMS是一個(gè)文件化、系統(tǒng)化的體系C.ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D.ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問題正確答案：D140、單選

下列關(guān)于Kerberos的描述，哪一項(xiàng)是正確的？（）A.埃及神話中的有三個(gè)頭的狗。B.安全模型。C.遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)器。D.一個(gè)值得信賴的第三方認(rèn)證協(xié)議。正確答案：D141、單選

較低的恢復(fù)時(shí)間目標(biāo)（恢復(fù)時(shí)間目標(biāo)）的會(huì)有如下結(jié)果：（）A.更高的容災(zāi)B.成本較高C.更長(zhǎng)的中斷時(shí)間D.更多許可的數(shù)據(jù)丟失正確答案：B142、填空題

物流（）電子商務(wù)規(guī)劃框架正確答案：不屬于143、單選

由于IT的發(fā)展，災(zāi)難恢復(fù)計(jì)劃在大型組織中的應(yīng)用也發(fā)生了變化。如果新計(jì)劃沒有被測(cè)試下面哪項(xiàng)是最主要的風(fēng)險(xiǎn)（）A.災(zāi)難性的斷電B.資源的高消耗C."恢復(fù)的總成本不能被最小化"D.用戶和恢復(fù)團(tuán)隊(duì)在實(shí)施計(jì)劃時(shí)可能面臨服務(wù)器問題正確答案：A144、多選

防火墻管理中（）具有設(shè)定規(guī)則的權(quán)限。A.用戶B.審計(jì)員C.超級(jí)管理員D.普通管理員正確答案：C,D145、多選

威脅網(wǎng)絡(luò)信息安全的軟件因素有（）A、外部不可抗力B、缺乏自主創(chuàng)新的信息核心技術(shù)C、網(wǎng)絡(luò)信息安全意識(shí)淡薄D、網(wǎng)絡(luò)信息管理存在問題正確答案：A,B,C,D146、單選

數(shù)據(jù)保護(hù)最重要的目標(biāo)是以下項(xiàng)目中的哪一個(gè)（）A.識(shí)別需要獲得相關(guān)信息的用戶B.確保信息的完整性C.對(duì)信息系統(tǒng)的訪問進(jìn)行拒絕或授權(quán)D.監(jiān)控邏輯訪問正確答案：B147、單選

在完成了業(yè)務(wù)影響分析（BIA）后，下一步的業(yè)務(wù)持續(xù)性計(jì)劃應(yīng)該是什么（）A.測(cè)試和維護(hù)業(yè)務(wù)持續(xù)性計(jì)劃B.制定一個(gè)針對(duì)性計(jì)劃C.制定恢復(fù)策略D.實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃正確答案：C148、單選

下列哪一項(xiàng)不是IDS可以解決的問題？（）A.彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點(diǎn)B.識(shí)別和報(bào)告對(duì)數(shù)據(jù)文件的改動(dòng)C.統(tǒng)計(jì)分析系統(tǒng)中異常活動(dòng)模式D.提升系統(tǒng)監(jiān)控能力正確答案：A149、單選

下面對(duì)ISO27001的說法最準(zhǔn)確的是：（）A.該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南B.該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施過程提供的一套標(biāo)準(zhǔn)C.該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制措施和最佳實(shí)踐D.該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全管理體系提供了一個(gè)模型正確答案：D150、單選

“如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會(huì)受到影響”，這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的？（）A.星型B.樹型C.環(huán)型D.復(fù)合型正確答案：A151、單選

那一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來(lái)控制訪問鏈接的能力？（）A.包過濾防火墻B.狀態(tài)檢測(cè)防火墻C.應(yīng)用網(wǎng)關(guān)防火墻D.以上都不能正確答案：C152、單選

處理報(bào)廢電腦的流程時(shí)，以下哪一個(gè)選項(xiàng)對(duì)于安全專業(yè)人員來(lái)說是最重要考慮的內(nèi)容？（）A.在扇區(qū)這個(gè)級(jí)別上，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開組織前沒有進(jìn)行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進(jìn)行重新格式化。C.在離開組織前，通過在硬盤特定位置上洞穿盤片，進(jìn)行打洞，使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對(duì)硬盤進(jìn)行登記并粉碎。正確答案：B153、單選

CC中的評(píng)估保證級(jí)4級(jí)（EAL3）對(duì)應(yīng)TCSEC和ITSEC的哪個(gè)級(jí)別？（）A."對(duì)應(yīng)TCSECB1級(jí)，對(duì)應(yīng)ITSECE4級(jí)"B."對(duì)應(yīng)TCSECC2級(jí)，對(duì)應(yīng)ITSECE4級(jí)"C."對(duì)應(yīng)TCSECB1級(jí)，對(duì)應(yīng)ITSECE3級(jí)"D."對(duì)應(yīng)TCSECC2級(jí)，對(duì)應(yīng)ITSECE2級(jí)"正確答案：D154、填空題

通常情況下（）發(fā)現(xiàn)目標(biāo)主機(jī)開哪些服務(wù)。正確答案：端口掃描能155、單選

TCP三次握手協(xié)議的第一步是發(fā)送一個(gè)：（）A.SYN包B.ACK包C.UDP包D.null包正確答案：A156、單選

在Windows操作系統(tǒng)下，由于（）端口探測(cè)沒有限制，能夠讓別人探測(cè)到一些數(shù)據(jù)庫(kù)信息，因此IPSec過濾拒絕掉該端口的UDP通信，可以盡可能地隱藏你的SQLServer。A、1434B、1433C、3305D、3306正確答案：A157、單選

（）Windows日志有三種類型：系統(tǒng)日志、應(yīng)用程序日志、安全日志。這些日志文件通常存放在操作系統(tǒng)的安裝區(qū)域的哪個(gè)目錄下？A.system32\configB.system32\DataC.system32\driversD.system32\Setup正確答案：A158、單選

建立ISMS的步驟正確的是？（）A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）B.定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）D.明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定ISMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）正確答案：A159、單選

擁有電子資金轉(zhuǎn)帳銷售點(diǎn)設(shè)備的大型連鎖商場(chǎng)，有中央通信處理器連接銀行網(wǎng)絡(luò)，對(duì)于通信處理機(jī)，下面哪一項(xiàng)是最好的災(zāi)難恢復(fù)計(jì)劃。（）A.每日備份離線存儲(chǔ)B.選擇在線備份程序C.安裝雙通訊設(shè)備D.在另外的網(wǎng)絡(luò)節(jié)點(diǎn)選擇備份程序正確答案：D160、單選

信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象確立的主要依據(jù)是什么（）A.系統(tǒng)設(shè)備的類型B.系統(tǒng)的業(yè)務(wù)目標(biāo)和特性C.系統(tǒng)的技術(shù)架構(gòu)D.系統(tǒng)的網(wǎng)絡(luò)環(huán)境正確答案：B161、單選

指紋、虹膜、語(yǔ)音識(shí)別技術(shù)是以下哪一種鑒別方式的實(shí)例：（）A.你是什么B.你有什么C.你知道什么D.你做了什么正確答案：A162、單選

某公司的業(yè)務(wù)部門用戶需要訪問業(yè)務(wù)數(shù)據(jù)，這些用戶不能直接訪問業(yè)務(wù)數(shù)據(jù)，而只能通過外部程序來(lái)操作業(yè)務(wù)數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分？（）A.Bell-LaPadula模型B.Biba模型C.信息流模型D.Clark-Wilson模型正確答案：D163、單選

下面各種方法，哪個(gè)是制定災(zāi)難恢復(fù)策略必須最先評(píng)估的（）A.所有的威脅可以被完全移除B.一個(gè)可以實(shí)現(xiàn)的成本效益，內(nèi)置的復(fù)原C.恢復(fù)時(shí)間可以優(yōu)化D.恢復(fù)成本可以最小化正確答案：B164、單選

下列哪一項(xiàng)是DOS攻擊的一個(gè)實(shí)例？（）A.SQL注入B.IPSpoofC.Smurf攻擊D.字典破解正確答案：C165、單選

以下哪些不屬于敏感性標(biāo)識(shí)（）A.不干貼方式B.印章方式C.電子標(biāo)簽D.個(gè)人簽名正確答案：D166、單選

在執(zhí)行風(fēng)險(xiǎn)分析的時(shí)候，預(yù)期年度損失（ALE）的計(jì)算是：（）A.全部損失乘以發(fā)生頻率B.全部損失費(fèi)用+實(shí)際替代費(fèi)用C.單次預(yù)期損失乘以發(fā)生頻率D.資產(chǎn)價(jià)值乘以發(fā)生頻率正確答案：C167、單選

為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過：（）A．服務(wù)水平目標(biāo)（SLO）B．恢復(fù)時(shí)間目標(biāo)（RTO）C．恢復(fù)點(diǎn)目標(biāo)（RPO）D．停用的最大可接受程度（MAO）正確答案：C168、單選

來(lái)自終端的電磁泄露風(fēng)險(xiǎn)，因?yàn)樗鼈儯海ǎ〢.導(dǎo)致噪音污染B.破壞處理程序C.產(chǎn)生危險(xiǎn)水平的電流D.可以被捕獲并還原正確答案：D169、單選

Rlogin在哪個(gè)TCP端口運(yùn)行？（）A.114B.513C.212D.271正確答案：D170、單選

變更控制是信息系統(tǒng)運(yùn)行管理的重要的內(nèi)容，在變更控制的過程中：（）A.應(yīng)該盡量追求效率，而沒有任何的程序和核查的阻礙。B.應(yīng)該將重點(diǎn)放在風(fēng)險(xiǎn)發(fā)生后的糾正措施上。C.應(yīng)該很好的定義和實(shí)施風(fēng)險(xiǎn)規(guī)避的措施。D.如果是公司領(lǐng)導(dǎo)要求的，對(duì)變更過程不需要追蹤和審查正確答案：C171、單選

下列幾個(gè)OSI層中，哪一層既提供機(jī)密性服務(wù)又提供完整性服務(wù)？（）A.數(shù)據(jù)鏈路層B.物理層C.應(yīng)用層D.表示層正確答案：C172、判斷題

國(guó)際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏?！闭_答案：對(duì)173、單選

個(gè)人問責(zé)不包括下列哪一項(xiàng)？（）A.訪問規(guī)則。B.策略與程序。C.審計(jì)跟蹤。D.唯一身份標(biāo)識(shí)符。正確答案：B174、單選

在檢查IT安全風(fēng)險(xiǎn)管理程序，安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該（）A.列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B.對(duì)應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī).考慮整個(gè)IT環(huán)境D.識(shí)別對(duì)（信息系統(tǒng)）的弱點(diǎn)的容忍度的結(jié)果正確答案：C175、單選

下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的？（）A.分析組織的安全需求B.制訂安全策略和實(shí)施安防措施的依據(jù)C.組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D.完全消除組織的風(fēng)險(xiǎn)正確答案：D176、單選

計(jì)算機(jī)安全事故發(fā)生時(shí)，下列哪些人不被通知或者最后才被通知：（）A.系統(tǒng)管理員B.律師C.恢復(fù)協(xié)調(diào)員D.硬件和軟件廠商正確答案：B177、單選

使用熱站作為備份的優(yōu)點(diǎn)是：（）A.熱站的費(fèi)用低B.熱站能夠延長(zhǎng)使用時(shí)間C.熱站在短時(shí)間內(nèi)可運(yùn)作D.熱站不需要和主站點(diǎn)兼容的設(shè)備和系統(tǒng)軟件正確答案：C178、單選

以下哪種鑒別方法最好？（）A.鑒別用戶是什么B.鑒別用戶有什么C.鑒別用戶知道什么D.鑒別用戶有什么和知道什么正確答案：A179、單選

給計(jì)算機(jī)系統(tǒng)的資產(chǎn)分配的記號(hào)被稱為什么（）A.安全屬性B.安全特征C.安全標(biāo)記D.安全級(jí)別正確答案：C180、單選

下面哪一個(gè)不是脆弱性識(shí)別的手段（）A.人員訪談B.技術(shù)工具檢測(cè)C.信息資產(chǎn)核查D.安全專家人工分析正確答案：C181、單選

以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：（）A.組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B.對(duì)重要的工作進(jìn)行分解，分配給不同人員完