信息安全師考試題庫(kù)知識(shí)點(diǎn)（三）

信息安全師考試題庫(kù)知識(shí)點(diǎn)（三）1、單選

某組織的信息系統(tǒng)策略規(guī)定，終端用戶(hù)的ID在該用戶(hù)終止后90天內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng)：（）A.報(bào)告該控制是有效的，因?yàn)橛脩?hù)ID失效是符合信息系統(tǒng)（江南博哥）策略規(guī)定的時(shí)間段的B.核實(shí)用戶(hù)的訪問(wèn)權(quán)限是基于用所必需原則的C.建議改變這個(gè)信息系統(tǒng)策略，以保證用戶(hù)ID的失效與用戶(hù)終止一致D.建議終止用戶(hù)的活動(dòng)日志能被定期審查正確答案：C2、單選

網(wǎng)絡(luò)“抄襲”糾紛頻發(fā)反映了（）A、互聯(lián)網(wǎng)產(chǎn)業(yè)創(chuàng)新活力不足B、互聯(lián)網(wǎng)誠(chéng)信缺失C、互聯(lián)網(wǎng)市場(chǎng)行為亟待規(guī)范D、互聯(lián)網(wǎng)立法工作的滯后正確答案：A3、單選

在評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。首先要查看（）A.控制措施已經(jīng)適當(dāng)B.控制的有效性適當(dāng)C.監(jiān)測(cè)資產(chǎn)有關(guān)風(fēng)險(xiǎn)的機(jī)制D.影響資產(chǎn)的漏洞和威脅正確答案：D4、填空題

知識(shí)產(chǎn)權(quán)具有專(zhuān)有性，（）國(guó)別性。正確答案：不包括5、單選

企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是（）A.企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B.企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級(jí)別的不同要求，采取對(duì)應(yīng)的管控措施；C.企業(yè)的信息資產(chǎn)不應(yīng)該分類(lèi)分級(jí)，所有的信息系統(tǒng)要統(tǒng)一對(duì)待D.企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別所有的信息資產(chǎn)正確答案：C6、單選

關(guān)于SSE-CMM的描述錯(cuò)誤的是：（）A.1993年4月美國(guó)國(guó)家安全局資助，有安全工業(yè)界、美國(guó)國(guó)防部辦公室和加拿大通信安全機(jī)構(gòu)共同組成SSE-CMM項(xiàng)目組。B.SSE-CMM的能力級(jí)別分為6個(gè)級(jí)別。C.SSE-CMM將安全工程過(guò)程劃分為三類(lèi)：風(fēng)險(xiǎn)、工程和保證。D.SSE的最高能力級(jí)別是量化控制。正確答案：D7、單選

下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？（）A.哈龍氣體B.濕管C.干管D.二氧化碳?xì)庹_答案：A8、單選

在邏輯訪問(wèn)控制中如果用戶(hù)賬戶(hù)被共享，這種局面可能造成的最大風(fēng)險(xiǎn)是：（）A.非授權(quán)用戶(hù)可以使用ID擅自進(jìn)入B.用戶(hù)訪問(wèn)管理費(fèi)時(shí)C.很容易猜測(cè)密碼D.無(wú)法確定用戶(hù)責(zé)任正確答案：D9、單選

單位中下面幾種人員中哪種安全風(fēng)險(xiǎn)最大？（）A.臨時(shí)員工B.外部咨詢(xún)?nèi)藛TC.現(xiàn)在對(duì)公司不滿(mǎn)的員工D.離職的員工正確答案：C10、單選

在制定控制前，管理層首先應(yīng)該保證控制（）A.滿(mǎn)足控制一個(gè)風(fēng)險(xiǎn)問(wèn)題的要求B.不減少生產(chǎn)力C.基于成本效益的分析D.檢測(cè)行或改正性的正確答案：A11、單選

下列關(guān)于安全審計(jì)的內(nèi)容說(shuō)法中錯(cuò)誤的是（）。A.應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄。B.審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息。C.應(yīng)能根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成報(bào)表。D.為了節(jié)約存儲(chǔ)空間，審計(jì)記錄可以隨意刪除、修改或覆蓋。正確答案：D12、單選

從安全的角度來(lái)看，數(shù)據(jù)庫(kù)視圖（view）的主要用途是：（）A.確保相關(guān)完整性B.方便訪問(wèn)數(shù)據(jù)C.限制用戶(hù)對(duì)數(shù)據(jù)的訪問(wèn).D.提供審計(jì)跟蹤正確答案：C13、單選

為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)：（）A．服務(wù)水平目標(biāo)（SLO）B．恢復(fù)時(shí)間目標(biāo)（RTO）C．恢復(fù)點(diǎn)目標(biāo)（RPO）D．停用的最大可接受程度（MAO）正確答案：C14、單選

以下哪些是可能存在的威脅因素？（）A.設(shè)備老化故障B.病毒和蠕蟲(chóng)C.系統(tǒng)設(shè)計(jì)缺陷D.保安工作不得力正確答案：B15、單選

要很好的評(píng)估信息安全風(fēng)險(xiǎn)，可以通過(guò)：（）A.評(píng)估IT資產(chǎn)和IT項(xiàng)目的威脅B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織公開(kāi)的損失統(tǒng)計(jì)D.審查在審計(jì)報(bào)告中的可識(shí)別的IT控制缺陷正確答案：A16、單選

第一個(gè)建立電子政務(wù)標(biāo)準(zhǔn)的國(guó)家是？（）A.英國(guó)B.美國(guó)C.德國(guó)D.俄羅斯正確答案：C17、單選

從部署結(jié)構(gòu)來(lái)看，下列哪一種類(lèi)型的防火墻提供了最高安全性？（）A.屏蔽路由器B.雙宿堡壘主機(jī)C.屏蔽主機(jī)防火墻D.屏蔽子網(wǎng)防火墻正確答案：D18、單選

減少與釣魚(yú)相關(guān)的風(fēng)險(xiǎn)的最有效控制是：（）A.系統(tǒng)的集中監(jiān)控B.釣魚(yú)的信號(hào)包括在防病毒軟件中C.在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚(yú)策略D.對(duì)所有用戶(hù)進(jìn)行安全培訓(xùn)正確答案：D19、單選

下列對(duì)系統(tǒng)日志信息的操作中哪一項(xiàng)是最不應(yīng)當(dāng)發(fā)生的：（）A.對(duì)日志內(nèi)容進(jìn)行編輯B.只抽取部分條目進(jìn)行保存和查看C.用新的日志覆蓋舊的日志D.使用專(zhuān)用工具對(duì)日志進(jìn)行分析正確答案：A20、單選

下列哪一項(xiàng)是DOS攻擊的一個(gè)實(shí)例？（）A.SQL注入B.IPSpoofC.Smurf攻擊D.字典破解正確答案：C21、單選

ISO/IEC27002由以下哪一個(gè)標(biāo)準(zhǔn)演變而來(lái)？（）A.BS7799-1B.BS7799-2C.ISO/IEC17799D.ISO/IEC13335正確答案：C22、單選

CC中的評(píng)估保證級(jí)4級(jí)（EAL3）對(duì)應(yīng)TCSEC和ITSEC的哪個(gè)級(jí)別？（）A."對(duì)應(yīng)TCSECB1級(jí)，對(duì)應(yīng)ITSECE4級(jí)"B."對(duì)應(yīng)TCSECC2級(jí)，對(duì)應(yīng)ITSECE4級(jí)"C."對(duì)應(yīng)TCSECB1級(jí)，對(duì)應(yīng)ITSECE3級(jí)"D."對(duì)應(yīng)TCSECC2級(jí)，對(duì)應(yīng)ITSECE2級(jí)"正確答案：D23、單選

在Linux操作系統(tǒng)中，為了授權(quán)用戶(hù)具有管理員的某些個(gè)性需求的權(quán)限所采取的措施是什么？（）A.告訴其他用戶(hù)root密碼B.將普通用戶(hù)加入到管理員組C.使用visudo命令授權(quán)用戶(hù)的個(gè)性需求D.創(chuàng)建單獨(dú)的虛擬賬戶(hù)正確答案：C24、單選

如果可能最應(yīng)該得到第一個(gè)應(yīng)急事件通知的小組是（）A.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B.應(yīng)急響應(yīng)日常運(yùn)行小組C.應(yīng)急響應(yīng)技術(shù)保障小組D.應(yīng)急響應(yīng)實(shí)施小組正確答案：B25、單選

一個(gè)備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于（）A.冷站B.溫站C.直線站點(diǎn)D.鏡像站點(diǎn)正確答案：A26、單選

防火墻通過(guò)（）控制來(lái)阻塞郵件附件中的病毒。A.數(shù)據(jù)控制B.連接控制C.ACL控制D.協(xié)議控制正確答案：A27、多選

學(xué)術(shù)腐敗的表現(xiàn)有（）。A、以行賄或其他不正當(dāng)?shù)氖侄潍@得科研經(jīng)費(fèi)、科研獎(jiǎng)項(xiàng)B、侵吞挪用科研經(jīng)費(fèi)C、利用學(xué)者身份為商家做虛假宣傳D、利用手中權(quán)力獲得名不副實(shí)的學(xué)位、證書(shū)正確答案：A,B,C,D28、單選

在數(shù)據(jù)鏈路層中MAC子層主要實(shí)現(xiàn)的功能是（）A.介質(zhì)訪問(wèn)控制B.物理地址識(shí)別C.通信協(xié)議產(chǎn)生D.數(shù)據(jù)編碼正確答案：A29、判斷題

根據(jù)《兒童互聯(lián)網(wǎng)保護(hù)法》，美國(guó)的公共圖書(shū)館都必須給聯(lián)網(wǎng)計(jì)算機(jī)安裝^色情過(guò)濾系統(tǒng)，否則圖書(shū)館將無(wú)法獲得政府提供的技術(shù)補(bǔ)助資金。正確答案：對(duì)30、單選

有關(guān)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，以下描述錯(cuò)誤的是（）A.信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B.信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，不僅僅要考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境，同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)C.信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D.運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)正確答案：C31、單選

建立ISMS的第一步是？（）A.風(fēng)險(xiǎn)評(píng)估B.設(shè)計(jì)ISMS文檔C.明確ISMS范圍D.確定ISMS策略正確答案：C32、單選

Windows組策略適用于（）A.SB.DC.OD.S、D、OU正確答案：D33、單選

下面哪一種是最安全和最經(jīng)濟(jì)的方法，對(duì)于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過(guò)互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？（）A.虛擬專(zhuān)用網(wǎng)B.專(zhuān)線C.租用線路D.綜合服務(wù)數(shù)字網(wǎng)正確答案：A34、單選

對(duì)于Linux審計(jì)說(shuō)法錯(cuò)誤的是？（）A.Linux系統(tǒng)支持細(xì)粒度的審計(jì)操作B.Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計(jì)日志到SOC平臺(tái)C.Linux系統(tǒng)一般使用auditd進(jìn)程產(chǎn)生日志文件D.Linux在secure日志中登陸成功日志和審計(jì)日志是一個(gè)文件正確答案：D35、單選

下面哪種方法產(chǎn)生的密碼是最難記憶的？（）A.將用戶(hù)的生日倒轉(zhuǎn)或是重排B.將用戶(hù)的年薪倒轉(zhuǎn)或是重排C.將用戶(hù)配偶的名字倒轉(zhuǎn)或是重排D.用戶(hù)隨機(jī)給出的字母正確答案：D36、單選

以下哪一個(gè)不是風(fēng)險(xiǎn)控制的主要方式（）A.規(guī)避方式B.轉(zhuǎn)移方式C.降低方式D.隔離方式正確答案：D37、多選

威脅網(wǎng)絡(luò)信息安全的軟件因素有（）A、外部不可抗力B、缺乏自主創(chuàng)新的信息核心技術(shù)C、網(wǎng)絡(luò)信息安全意識(shí)淡薄D、網(wǎng)絡(luò)信息管理存在問(wèn)題正確答案：A,B,C,D38、單選

你的ATM卡為什么說(shuō)是雙重鑒定的形式？（）A.它結(jié)合了你是什么和你知道什么B.它結(jié)合了你知道什么和你有什么C.它結(jié)合了你控制什么和你知道什么D.它結(jié)合了你是什么和你有什么正確答案：B39、單選

下列哪一項(xiàng)是對(duì)信息系統(tǒng)經(jīng)常不能滿(mǎn)足用戶(hù)需求的最好解釋?zhuān)浚ǎ〢.沒(méi)有適當(dāng)?shù)馁|(zhì)量管理工具B.經(jīng)常變化的用戶(hù)需求C.用戶(hù)參與需求挖掘不夠D.項(xiàng)目管理能力不強(qiáng)正確答案：C40、單選

如果恢復(fù)時(shí)間目標(biāo)增加，則（）A.災(zāi)難容忍度增加B.恢復(fù)成本增加C.不能使用冷備援計(jì)算機(jī)中心D.數(shù)據(jù)備份頻率增加正確答案：A41、單選

在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性。以下哪一層提供了抗抵賴(lài)性？（）A.表示層B.應(yīng)用層C.傳輸層D.數(shù)據(jù)鏈路層正確答案：B參考解析：暫無(wú)解析42、單選

下列哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）？（）A.試運(yùn)行B.紙面測(cè)試C.單元D.系統(tǒng)正確答案：B43、單選

以下哪項(xiàng)是ISMS文件的作用？（）A.是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。B.是控制措施（controls）的重要部分C.提供客觀證據(jù)--為滿(mǎn)足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)D.以上所有正確答案：D44、單選

在檢查IT安全風(fēng)險(xiǎn)管理程序，安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該（）A.列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B.對(duì)應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī).考慮整個(gè)IT環(huán)境D.識(shí)別對(duì)（信息系統(tǒng)）的弱點(diǎn)的容忍度的結(jié)果正確答案：C45、單選

校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因，200臺(tái)以?xún)?nèi)的用戶(hù)主機(jī)不能正常工作，屬于以下哪種級(jí)別事件（）A.特別重大事件B.重大事件C.較大事件D.一般事件正確答案：D46、單選

組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：（）A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識(shí)C.制定IT安全策略下的安全程序/流程D.管理物理和邏輯訪問(wèn)控制正確答案：A47、填空題

物流（）電子商務(wù)規(guī)劃框架正確答案：不屬于48、單選

哪個(gè)端口被設(shè)計(jì)用作開(kāi)始一個(gè)SNMPTrap？（）A.TCP161B.UDP161C.UDP162D.TCP169正確答案：B49、填空題

即使在企業(yè)環(huán)境中，（）作為企業(yè)縱深防御的一部分也是十分必要的。正確答案：個(gè)人防火墻50、單選

信息安全管理體系（ISMS）是一個(gè)怎樣的體系，以下描述不正確的是（）A.ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B.ISMS是一個(gè)文件化、系統(tǒng)化的體系C.ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D.ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問(wèn)題正確答案：D51、單選

在設(shè)計(jì)某公司技術(shù)性的恢復(fù)策略時(shí)，以下哪個(gè)方面是安全人員最為關(guān)注的？（）A.目標(biāo)恢復(fù)時(shí)間RTOB.業(yè)務(wù)影響分析C.從嚴(yán)重災(zāi)難中恢復(fù)的能力D.目標(biāo)恢復(fù)點(diǎn)RPO正確答案：B52、單選

如果數(shù)據(jù)中心發(fā)生災(zāi)難，下列那一項(xiàng)完整恢復(fù)一個(gè)關(guān)鍵數(shù)據(jù)庫(kù)的策略是最適合的？（）A.每日備份到磁帶并存儲(chǔ)到異地B.實(shí)時(shí)復(fù)制到異地C.硬盤(pán)鏡像到本地服務(wù)器D.實(shí)時(shí)數(shù)據(jù)備份到本地網(wǎng)格存儲(chǔ)正確答案：B53、單選

由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分園區(qū)癱瘓，或者郵件、計(jì)費(fèi)服務(wù)器不能正常工作，屬于以下哪種級(jí)別事件（）A.特別重大事件B.重大事件C.較大事件D.一般事件正確答案：B54、判斷題

OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是一個(gè)實(shí)現(xiàn)的標(biāo)準(zhǔn)，而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。正確答案：對(duì)55、判斷題

互惠原則的核心內(nèi)容是要求消除網(wǎng)絡(luò)社會(huì)由于各種原因造成的網(wǎng)絡(luò)主體間的交往不暢通、交往障礙。正確答案：錯(cuò)56、單選

下列對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是：（）A.引誘用戶(hù)點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B.構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢(xún)語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的訪問(wèn)C.一種很強(qiáng)大的木馬攻擊手段D.將惡意代碼嵌入到用戶(hù)瀏覽的web網(wǎng)頁(yè)中，從而達(dá)到惡意的目的正確答案：D57、單選

在加固數(shù)據(jù)庫(kù)時(shí)，以下哪個(gè)是數(shù)據(jù)庫(kù)加固最需要考慮的？（）A.修改默認(rèn)配置B.規(guī)范數(shù)據(jù)庫(kù)所有的表空間C.存儲(chǔ)數(shù)據(jù)被加密D.修改數(shù)據(jù)庫(kù)服務(wù)的服務(wù)端口正確答案：A58、單選

審核方法不包括（）A.面談B.查閱文件和資料C.與相關(guān)方核對(duì)D.查看現(xiàn)場(chǎng)情況正確答案：C59、單選

某公司的在實(shí)施一個(gè)DRP項(xiàng)目，項(xiàng)目按照計(jì)劃完成后。聘請(qǐng)了專(zhuān)家團(tuán)隊(duì)進(jìn)行評(píng)審，評(píng)審過(guò)程中發(fā)現(xiàn)了幾個(gè)方而的問(wèn)題，以下哪個(gè)代表最大的風(fēng)險(xiǎn)（）A.沒(méi)有執(zhí)行DRP測(cè)試B.災(zāi)難恢復(fù)策略沒(méi)有使用熱站進(jìn)行恢復(fù)C.進(jìn)行了BIA，但其結(jié)果沒(méi)有被使用D.災(zāi)難恢復(fù)經(jīng)理近期離開(kāi)了公司正確答案：C60、單選

機(jī)構(gòu)應(yīng)該把信息系統(tǒng)安全看作：（）A.業(yè)務(wù)中心B.風(fēng)險(xiǎn)中心C.業(yè)務(wù)促進(jìn)因素D.業(yè)務(wù)抑制因素正確答案：C61、單選

以下選項(xiàng)中那一項(xiàng)是對(duì)信息安全風(fēng)險(xiǎn)采取的糾正機(jī)制？（）A.訪問(wèn)控制B.入侵檢測(cè)C.災(zāi)難恢復(fù)D.防病毒系統(tǒng)正確答案：C62、問(wèn)答題

蠕蟲(chóng)病毒的特點(diǎn)？正確答案：病毒是可以感染應(yīng)用程序的一個(gè)小程序，或者一串代碼。病毒的主要功能是復(fù)制，它需要借助一個(gè)宿主應(yīng)用程序（hostapplication）來(lái)進(jìn)行復(fù)制。換言之，病毒不能進(jìn)行自我復(fù)制。病毒通過(guò)在文件中插入或者附加自身拷貝對(duì)文件進(jìn)行感染。病毒可以導(dǎo)致系統(tǒng)文件的刪除、顯示惡意圖形、重新配置系統(tǒng)或者控制郵件服務(wù)器。蠕蟲(chóng)不同于病毒，因?yàn)槿湎x(chóng)可以不需宿主程序而進(jìn)行自我復(fù)制，是一種獨(dú)立的病毒程序。蠕蟲(chóng)可以通過(guò)電子郵件、TCP/IP或者磁盤(pán)進(jìn)行自我傳播。蠕蟲(chóng)和傳統(tǒng)的病毒的定義趨于融合，它們之間的界線也逐漸模糊。ILOVEYOU是一個(gè)蠕蟲(chóng)程序。當(dāng)用戶(hù)執(zhí)行郵件附件時(shí)，病毒會(huì)自動(dòng)執(zhí)行幾個(gè)過(guò)程。蠕蟲(chóng)程序被復(fù)制并被發(fā)送到受害者地址簿中的所有郵件地址，硬盤(pán)上的一些文件被替換或者刪除。如果蠕蟲(chóng)再次被打開(kāi)，自我傳播又會(huì)重新開(kāi)始。ILOVEYOU作為一個(gè)病毒，需要電子郵件客戶(hù)端程序，如Outlook，同時(shí)作為一個(gè)蠕蟲(chóng)程序，又可以再用戶(hù)打開(kāi)硬盤(pán)上已感染文件時(shí)進(jìn)行自我復(fù)制。63、單選

有關(guān)人員安全管理的描述不正確的是？（）A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)。B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查。C.如職責(zé)分離難以實(shí)施，企業(yè)對(duì)此無(wú)能為力，也無(wú)需做任何工作。D.人員離職之后，必須清除離職員工所有的邏輯訪問(wèn)帳號(hào)。正確答案：C64、填空題

在兩個(gè)具有IrDA端口的設(shè)備之間（），中間不能有阻擋物。正確答案：傳輸數(shù)據(jù)65、單選

組織的災(zāi)難恢復(fù)計(jì)劃應(yīng)該：（）A.減少恢復(fù)時(shí)間，降低恢復(fù)費(fèi)用B.增加恢復(fù)時(shí)間，提高恢復(fù)費(fèi)用C.減少恢復(fù)的持續(xù)時(shí)間，提高恢復(fù)費(fèi)用D.對(duì)恢復(fù)時(shí)間和費(fèi)用都不影響正確答案：A66、填空題

我國(guó)于（）年發(fā)布實(shí)施了《專(zhuān)利法》。正確答案：198567、單選

以下哪個(gè)標(biāo)準(zhǔn)描述了典型的安全服務(wù)和OSI模型中7層的對(duì)應(yīng)關(guān)系？（）A.ISO/IEC7498-2B.BS7799C.通用評(píng)估準(zhǔn)則D.IATF正確答案：A68、單選

在人力資源審計(jì)期間，安全管理體系內(nèi)審員被告知在IT部門(mén)和人力資源部門(mén)中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？（）A.為兩部門(mén)起草一份服務(wù)水平協(xié)議B.向高級(jí)管理層報(bào)告存在未被書(shū)面簽訂的協(xié)議C.向兩部門(mén)確認(rèn)協(xié)議的內(nèi)容D.推遲審計(jì)直到協(xié)議成為書(shū)面文檔正確答案：C69、單選

下面哪一個(gè)不是高層安全方針?biāo)P(guān)注的（）A.識(shí)別關(guān)鍵業(yè)務(wù)目標(biāo)B.定義安全組織職責(zé)C.定義安全目標(biāo)D.定義防火墻邊界防護(hù)策略正確答案：D70、單選

()在訪問(wèn)控制中，文件系統(tǒng)權(quán)限被默認(rèn)地賦予了什么組？A、UsersB、GuestsC、AdministratorsD、Replicator正確答案：A71、判斷題

口令復(fù)雜度應(yīng)有要求，所以復(fù)雜的口令可以不用修改。正確答案：對(duì)72、判斷題

我國(guó)現(xiàn)行的有關(guān)互聯(lián)網(wǎng)安全的法律框架有法律、行政法規(guī)、行政規(guī)章和司法解釋四個(gè)層面。正確答案：對(duì)73、單選

下面選項(xiàng)中不屬于數(shù)據(jù)庫(kù)安全模型的是：（）A.自主型安全模型B.強(qiáng)制型安全模型C.基于角色的模型D.訪問(wèn)控制矩陣正確答案：C74、單選

下面關(guān)于訪問(wèn)控制模型的說(shuō)法不正確的是：（）A.DAC模型中主體對(duì)它所屬的對(duì)象和運(yùn)行的程序擁有全部的控制權(quán)。B.DAC實(shí)現(xiàn)提供了一個(gè)基于“need-to-know”的訪問(wèn)授權(quán)的方法，默認(rèn)拒絕任何人的訪問(wèn)。訪問(wèn)許可必須被顯式地賦予訪問(wèn)者。C.在MAC這種模型里，管理員管理訪問(wèn)控制。管理員制定策略，策略定義了哪個(gè)主體能訪問(wèn)哪個(gè)對(duì)象。但用戶(hù)可以改變它。D.RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶(hù)可能有不同的角色。設(shè)置對(duì)象為某個(gè)類(lèi)型，主體具有相應(yīng)的角色就可以訪問(wèn)它。正確答案：C75、單選

由于IT的發(fā)展，災(zāi)難恢復(fù)計(jì)劃在大型組織中的應(yīng)用也發(fā)生了變化。如果新計(jì)劃沒(méi)有被測(cè)試下面哪項(xiàng)是最主要的風(fēng)險(xiǎn)（）A.災(zāi)難性的斷電B.資源的高消耗C."恢復(fù)的總成本不能被最小化"D.用戶(hù)和恢復(fù)團(tuán)隊(duì)在實(shí)施計(jì)劃時(shí)可能面臨服務(wù)器問(wèn)題正確答案：A76、單選

下面對(duì)于CC的“保護(hù)輪廓”（PP）的說(shuō)法最準(zhǔn)確的是：（）A.對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述B.對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述C.對(duì)一類(lèi)TOE的安全需求，進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度正確答案：C77、單選

下面哪一項(xiàng)不是安全編程的原則（）A.盡可能使用高級(jí)語(yǔ)言進(jìn)行編程B.盡可能讓程序只實(shí)現(xiàn)需要的功能C.不要信任用戶(hù)輸入的數(shù)據(jù)D.盡可能考慮到意外的情況，并設(shè)計(jì)妥善的處理方法正確答案：A78、單選

2011年，（）成為全球年度獲得專(zhuān)利最多的公司。A、百度B、微軟C、蘋(píng)果D、谷歌正確答案：D79、單選

以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么？（）A.發(fā)現(xiàn)不明的SUID可執(zhí)行文件B.發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C.發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)D.發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址正確答案：A80、多選

期刊發(fā)表的周期有（）。A.日刊B、周刊C、半月刊D、月刊E、旬刊正確答案：B,C,D,E81、單選

組織在實(shí)施與維護(hù)信息安全的流程中，下列哪一項(xiàng)不屬于高級(jí)管理層的職責(zé)？（）A．明確的支持B．執(zhí)行風(fēng)險(xiǎn)分析C．定義目標(biāo)和范圍D．職責(zé)定義與授權(quán)正確答案：B82、單選

在系統(tǒng)實(shí)施后評(píng)審過(guò)程中，應(yīng)該執(zhí)行下面哪個(gè)活動(dòng)？（）A.用戶(hù)驗(yàn)收測(cè)試B.投資收益分析C.激活審計(jì)模塊D.更新未來(lái)企業(yè)架構(gòu)正確答案：B83、單選

下面哪一項(xiàng)是緩沖溢出的危害？（）A.可能導(dǎo)致shellcode的執(zhí)行而非法獲取權(quán)限，破壞系統(tǒng)的保密性B.執(zhí)行shellcode后可能進(jìn)行非法控制，破壞系統(tǒng)的完整性C.可能導(dǎo)致拒絕服務(wù)攻擊，破壞系統(tǒng)的可用性D.以上都是正確答案：D84、單選

信安標(biāo)委中哪個(gè)小組負(fù)責(zé)信息安全管理工作？（）A、WG1B、WG5C、WG7正確答案：C85、單選

除以下哪項(xiàng)可作為ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場(chǎng)審核的依據(jù)？（）A.機(jī)房登記記錄B.信息安全管理體系C.權(quán)限申請(qǐng)記錄D.離職人員的口述正確答案：D86、單選

某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)遭受多次入侵攻擊，下面那一種技術(shù)可以提前檢測(cè)到這種行為？（）A.殺毒軟件B.包過(guò)濾路由器C.蜜罐D(zhuǎn).服務(wù)器加固正確答案：C87、單選

在NT中，哪個(gè)工具可以修改的全部注冊(cè)表值？（）A.RegconF.exeB.Regedit.exeC.HivE.batD.Regedit32.exe正確答案：B88、單選

那種測(cè)試結(jié)果對(duì)開(kāi)發(fā)人員的影響最大（）A.單元測(cè)試和集成測(cè)試B.系統(tǒng)測(cè)試C.驗(yàn)收測(cè)試D.滲透測(cè)試正確答案：C89、單選

建立應(yīng)急響應(yīng)計(jì)劃時(shí)候第一步應(yīng)該做什么？（）A.建立備份解決方案B.實(shí)施業(yè)務(wù)影響分析C.建立業(yè)務(wù)恢復(fù)計(jì)劃D.確定應(yīng)急人員名單正確答案：B90、單選

依據(jù)信息系統(tǒng)安全保障模型，以下那個(gè)不是安全保證對(duì)象（）A.機(jī)密性B.管理C.過(guò)程D.人員正確答案：A91、單選

以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：（）A.組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B.對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C.一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn).防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限正確答案：C92、單選

時(shí)間的流逝對(duì)服務(wù)中斷損失成本和中斷恢復(fù)成本會(huì)有什么影響？（）A.兩個(gè)成本增加B.中斷的損失成本增加，中斷恢復(fù)的成本隨時(shí)問(wèn)的流逝而減少C.兩個(gè)成本都隨時(shí)間的流逝而減少D.沒(méi)有影響正確答案：D93、單選

下面對(duì)于標(biāo)識(shí)和鑒別的解釋最準(zhǔn)確的是：（）A.標(biāo)識(shí)用于區(qū)別不同的用戶(hù)，而鑒別用于驗(yàn)證用戶(hù)身份的真實(shí)性B.標(biāo)識(shí)用于區(qū)別不同的用戶(hù)，而鑒別用于賦予用戶(hù)權(quán)限C.標(biāo)識(shí)用于保證用戶(hù)信息的完整性，而鑒別用于驗(yàn)證用戶(hù)身份的真實(shí)性D.標(biāo)識(shí)用于保證用戶(hù)信息的完整性，而鑒別用于賦予用戶(hù)權(quán)限正確答案：A94、單選

以下哪組全部都是多邊安全模型？（）A.BLP模型和BIBA模型B.BIBA模型和Clark－Wilson模型C.Chinesewall模型和BMA模型D.Clark－Wilson模型和Chinesewall模型正確答案：C95、單選

在一家企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中，什么情況被宣布為一個(gè)危機(jī)沒(méi)有被定義。這一點(diǎn)關(guān)系到的主要風(fēng)險(xiǎn)是：（）A.對(duì)這種情況的評(píng)估可能會(huì)延遲B.災(zāi)難恢復(fù)計(jì)劃的執(zhí)行可能會(huì)被影響C.團(tuán)隊(duì)通知可能不會(huì)發(fā)生D.對(duì)潛在危機(jī)的識(shí)別可能會(huì)無(wú)效正確答案：B96、單選

下列哪個(gè)協(xié)議可以防止局域網(wǎng)的數(shù)據(jù)鏈路層的橋接環(huán)路：（）A.HSRPB.STPC.VRRPD.OSPF正確答案：B97、問(wèn)答題

安全審計(jì)按對(duì)象不同，可分為哪些類(lèi)？各類(lèi)審計(jì)的內(nèi)容又是什么？正確答案：系統(tǒng)級(jí)審計(jì)，應(yīng)用級(jí)審計(jì)，用戶(hù)級(jí)審計(jì)。系統(tǒng)級(jí)審計(jì)：要求至少能夠記錄登陸結(jié)果、登錄標(biāo)識(shí)、登陸嘗試的日期和時(shí)間、退出的日期和時(shí)間、所使用的設(shè)備、登陸后運(yùn)行的內(nèi)容、修改配置文件的請(qǐng)求等。應(yīng)用級(jí)審計(jì)：跟蹤監(jiān)控和記錄諸如打開(kāi)和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類(lèi)的用戶(hù)活動(dòng)。用戶(hù)級(jí)審計(jì)：跟蹤通常記錄用戶(hù)直接啟動(dòng)的所有命令、所有的標(biāo)識(shí)和鑒別嘗試的所有訪問(wèn)的文件和資源。98、單選

ISO27001認(rèn)證項(xiàng)目一般有哪幾個(gè)階段？（）A.管理評(píng)估，技術(shù)評(píng)估，操作流程評(píng)估B.確定范圍和安全方針，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)控制（文件編寫(xiě)），體系運(yùn)行，認(rèn)證C.產(chǎn)品方案需求分析，解決方案提供，實(shí)施解決方案D.基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫(xiě)培訓(xùn)，內(nèi)部審核培訓(xùn)正確答案：B99、判斷題

為特權(quán)用戶(hù)設(shè)置口令時(shí)，應(yīng)當(dāng)使用enablepassword命令，該命令用于設(shè)定具有管理權(quán)限的口令。正確答案：錯(cuò)100、單選

以下哪一種局域網(wǎng)傳輸媒介是最可靠的？（）A.同軸電纜B.光纖C.雙絞線（屏蔽）D.雙絞線（非屏蔽）正確答案：B101、判斷題

國(guó)際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏?！闭_答案：對(duì)102、判斷題

雙因子鑒別不僅要求訪問(wèn)者知道一些鑒別信息，還需要訪問(wèn)者擁有鑒別特征。正確答案：對(duì)103、單選

以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是（）A.信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B.企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C.業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D.信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門(mén)相關(guān)，與其他業(yè)務(wù)部門(mén)人員無(wú)須參入正確答案：D104、填空題

思維定式（）觀察偏差的主觀因素。正確答案：屬于105、單選

下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過(guò)程？（）A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇D.風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)正確答案：C106、單選

（）安裝Windows2000時(shí)，推薦使用哪種文件格式？A、NTFSB、FATC、FAT32D、Linux正確答案：A107、單選

信息系統(tǒng)的價(jià)值確定需要與哪個(gè)部門(mén)進(jìn)行有效溝通確定？（）A.系統(tǒng)維護(hù)部門(mén)B.系統(tǒng)開(kāi)發(fā)部門(mén)C.財(cái)務(wù)部門(mén)D.業(yè)務(wù)部門(mén)正確答案：D108、多選

網(wǎng)絡(luò)違法犯罪的表現(xiàn)形式有（）。A、網(wǎng)絡(luò)詐騙B、網(wǎng)絡(luò)^色情C、網(wǎng)絡(luò)盜竊D、網(wǎng)絡(luò)賭博正確答案：A,B,C,D109、單選

覆蓋和消磁不用在對(duì)以下哪一種計(jì)算機(jī)存儲(chǔ)器或存儲(chǔ)媒介進(jìn)行清空的過(guò)程？（）A.隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）B.只讀存儲(chǔ)器（ROM）C.磁性核心存儲(chǔ)器D.磁性硬盤(pán)正確答案：B110、單選

對(duì)安全策略的描述不正確的是（）A.信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過(guò)程B.策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C.安全策略的內(nèi)容包括管理層對(duì)信息安全目標(biāo)和原則的聲明和承諾；D.安全策略一旦建立和發(fā)布，則不可變更正確答案：D111、單選

在信息安全管理日常工作中，需要與哪些機(jī)構(gòu)保持聯(lián)系？（）A.政府部門(mén)B.監(jiān)管部門(mén)C.外部專(zhuān)家D.以上都是正確答案：D112、單選

對(duì)于Linux的安全加固項(xiàng)說(shuō)法錯(cuò)誤的是哪項(xiàng)？（）A.使用uname-a確認(rèn)其內(nèi)核是否有漏洞B.檢查系統(tǒng)是否有重復(fù)的UID用戶(hù)C.查看login.defs文件對(duì)于密碼的限制D.查看hosts文件確保Tcpwapper生效正確答案：D113、單選

保護(hù)輪廓（PP）是下面哪一方提出的安全要求？（）A.評(píng)估方B.開(kāi)發(fā)方C.用戶(hù)方D.制定標(biāo)準(zhǔn)方正確答案：C114、判斷題

含有虛假的信息源、發(fā)件人、路由等信息的電子郵件為垃圾郵件。正確答案：對(duì)115、單選

以下哪項(xiàng)不屬于信息系統(tǒng)安全保障模型包含的方面？（）A.保障要素。B.生命周期。C.安全特征。D.通信安全。正確答案：D116、單選

一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過(guò)程？（）A.數(shù)據(jù)B.信息流C.活動(dòng)D.模塊正確答案：C117、單選

目前，我國(guó)信息安全管理格局是一個(gè)多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多門(mén)，《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》是由下列哪個(gè)部門(mén)所制定的規(guī)章制度？（）A.公安部B.國(guó)家保密局C.信息產(chǎn)業(yè)部D.國(guó)家密碼管理委員會(huì)辦公室正確答案：B118、判斷題

專(zhuān)家評(píng)估是論文評(píng)價(jià)的主要方法之一。正確答案：對(duì)119、單選

下面哪一項(xiàng)最準(zhǔn)確的闡述了安全檢測(cè)措施和安全審計(jì)之間的區(qū)別？（）A.審計(jì)措施不能自動(dòng)執(zhí)行，而檢測(cè)措施可以自動(dòng)執(zhí)行B.檢測(cè)措施不能自動(dòng)執(zhí)行，而審計(jì)措施可以自動(dòng)執(zhí)行C.審計(jì)措施是一次性的或周期性的進(jìn)行，而檢測(cè)措施是實(shí)時(shí)的進(jìn)行D.檢測(cè)措施是一次性的或周期性的進(jìn)行，而審計(jì)措施是實(shí)時(shí)的進(jìn)行正確答案：C120、單選

作為信息安全管理人員，你認(rèn)為變更管理過(guò)程最重要的是？（）A.變更過(guò)程要留痕B.變更申請(qǐng)與上線提出要經(jīng)過(guò)審批C.變更過(guò)程要堅(jiān)持環(huán)境分離和人員分離原則D.變更要與容災(zāi)預(yù)案同步正確答案：B121、單選

一個(gè)組織的災(zāi)難恢復(fù)（DR，disasterrecovery）策略的變更時(shí)將公司的關(guān)鍵任務(wù)應(yīng)用的恢復(fù)點(diǎn)目標(biāo)（RPO）被縮短了，下述哪個(gè)是該變更的最顯著風(fēng)險(xiǎn)？（）A.現(xiàn)有的DR計(jì)劃沒(méi)有更新以符合新的RPOB.DR小組沒(méi)有基于新的RPO進(jìn)行培訓(xùn)C.備份沒(méi)有以足夠的頻率進(jìn)行以實(shí)現(xiàn)新的RPOD.該計(jì)劃沒(méi)有基于新的RPO進(jìn)行測(cè)試正確答案：C122、單選

對(duì)信息安全的理解，正確的是（）A.信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過(guò)信息安全保障措施實(shí)現(xiàn)的B.通過(guò)信息安全保障措施，確保信息不被丟失C.通過(guò)信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D.通過(guò)技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性正確答案：A123、單選

安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是？（）A.準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B.開(kāi)發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量。C.提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D.強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性正確答案：D124、單選

在BS779-2：2002版中，下列對(duì)P-D-C-A過(guò)程的描述錯(cuò)誤的是？（）A.P代表PLAN，即建立ISMS環(huán)境&風(fēng)險(xiǎn)評(píng)估B.D代表DO，即實(shí)現(xiàn)并運(yùn)行ISMSC.C代表CHECK，即監(jiān)控和審查ISMSD.A代表ACT，即執(zhí)行ISMS正確答案：D125、多選

不同設(shè)VLAN之間要進(jìn)行通信，可以通過(guò)（）。A、交換機(jī)B、路由器C、網(wǎng)閘D、入侵檢測(cè)E、入侵防御系統(tǒng)正確答案：A,B126、單選

什么類(lèi)型的軟件應(yīng)用測(cè)試被用于測(cè)試的最后階段，并且通常包含不屬于開(kāi)發(fā)團(tuán)隊(duì)之內(nèi)的用戶(hù)成員？（）A.Alpha測(cè)試B.白盒測(cè)試C.回歸測(cè)試D.Beta測(cè)試正確答案：D127、單選

信息安全管理體系要求的核心內(nèi)容是？（）A.風(fēng)險(xiǎn)評(píng)估B.關(guān)鍵路徑法C.PDCA循環(huán)D.PERT正確答案：C128、單選

以下哪一項(xiàng)是和電子郵件系統(tǒng)無(wú)關(guān)的？（）A.PEM（Privacyenhancedmail）B.PGP（Prettygoodprivacy）C.X.500D.X.400正確答案：C129、單選

以下哪一項(xiàng)是防范SQL注入攻擊最有效的手段？（）A.刪除存在注入點(diǎn)的網(wǎng)頁(yè)B.對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的管理權(quán)限進(jìn)行嚴(yán)格的控制C.通過(guò)網(wǎng)絡(luò)防火墻嚴(yán)格限制Internet用戶(hù)對(duì)web服務(wù)器的訪問(wèn)D.對(duì)web用戶(hù)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的過(guò)濾正確答案：D130、單選

在一個(gè)局域網(wǎng)的環(huán)境中，其內(nèi)在的安全威脅包括主動(dòng)威脅和被動(dòng)威脅。以下哪一項(xiàng)屬于被動(dòng)威脅？（）A.報(bào)文服務(wù)拒絕B.假冒C.數(shù)據(jù)流分析D.報(bào)文服務(wù)更改正確答案：C131、單選

ISO27004是指以下哪個(gè)標(biāo)準(zhǔn)（）A.《信息安全管理體系要求》B.《信息安全管理實(shí)用規(guī)則》C.《信息安全管理度量》D.《ISMS實(shí)施指南》正確答案：C132、單選

在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，企業(yè)影響分析可以用來(lái)識(shí)別關(guān)鍵業(yè)務(wù)流程和相應(yīng)的支持程序，它主要會(huì)影響到下面哪一項(xiàng)內(nèi)容的制定？（）A.維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的職責(zé)B.選擇站點(diǎn)恢復(fù)供應(yīng)商的條件C.恢復(fù)策略D.關(guān)鍵人員的職責(zé)正確答案：C133、單選

來(lái)自終端的電磁泄露風(fēng)險(xiǎn)，因?yàn)樗鼈儯海ǎ〢.導(dǎo)致噪音污染B.破壞處理程序C.產(chǎn)生危險(xiǎn)水平的電流D.可以被捕獲并還原正確答案：D134、判斷題

電子商務(wù)是成長(zhǎng)潛力大，綜合效益好的產(chǎn)業(yè)。正確答案：對(duì)135、單選

信息安全管理體系策略文件中第一層文件是？（）A.信息安全工作程序B.信息安全方針政策C.信息安全作業(yè)指導(dǎo)書(shū)D.信息安全工作記錄正確答案：B136、單選

降低風(fēng)險(xiǎn)的控制措施有很多，下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施？（）A.在網(wǎng)絡(luò)上部署防火墻B.對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C.制定機(jī)房安全管理制度D.購(gòu)買(mǎi)物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)正確答案：D137、單選

《關(guān)于信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》中信息和信息系統(tǒng)安全保護(hù)等級(jí)的第三級(jí)的定義是（）A.自主保護(hù)級(jí)B.指導(dǎo)保護(hù)級(jí)C.強(qiáng)制保護(hù)級(jí)D.監(jiān)督保護(hù)級(jí)正確答案：D138、填空題

災(zāi)難恢復(fù)和容災(zāi)是（）意思。正確答案：同一個(gè)139、單選

以下關(guān)于標(biāo)準(zhǔn)的描述，那一項(xiàng)是正確的？（）A.標(biāo)準(zhǔn)是高級(jí)管理層對(duì)支持信息安全的聲明B.標(biāo)準(zhǔn)是建立有效安全策略的第一要素C.標(biāo)準(zhǔn)用來(lái)描述組織內(nèi)安全策略如何實(shí)施的D.標(biāo)準(zhǔn)是高級(jí)管理層建立信息系統(tǒng)安全的指示正確答案：C140、單選

下面哪一項(xiàng)不是主機(jī)型入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)？（）A.性能價(jià)格比高B.視野集中C.敏感細(xì)膩D.占資源少正確答案：D141、單選

當(dāng)一個(gè)應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在該系統(tǒng)重新上線前管理員無(wú)需查看：（）A.訪問(wèn)控制列表B.系統(tǒng)服務(wù)配置情況C.審計(jì)記錄D.用戶(hù)帳戶(hù)和權(quán)限的設(shè)置正確答案：C142、填空題

確定信息安全保護(hù)等級(jí)的步驟是（）、確定兩個(gè)指標(biāo)等級(jí)、確定業(yè)務(wù)子系統(tǒng)等級(jí)。正確答案：賦值143、單選

下列崗位哪個(gè)在招聘前最需要進(jìn)行背景調(diào)查？（）A.采購(gòu)人員B.銷(xiāo)售人員C.財(cái)務(wù)總監(jiān)D.行政人員正確答案：C144、多選

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一般包括（）。A.網(wǎng)絡(luò)探測(cè)引擎B.數(shù)據(jù)管理中心C.審計(jì)中心D.聲光報(bào)警系統(tǒng)正確答案：A,B,C145、單選

下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法不正確的是（）A.易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)C."耗時(shí)短、成本低、可控性高"D.能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受正確答案：D146、單選

以下哪個(gè)選項(xiàng)不是信息中心（IC）工作職能的一部分？（）A.準(zhǔn)備最終用戶(hù)的預(yù)算B.選擇PC的硬件和軟件C.保持所有PC的硬件和軟件的清單D.提供被認(rèn)可的硬件和軟件的技術(shù)支持正確答案：A147、填空題

（）是未來(lái)網(wǎng)絡(luò)安全產(chǎn)品發(fā)展方向。正確答案：統(tǒng)一威脅管理148、單選

非對(duì)稱(chēng)密碼算法具有很多優(yōu)點(diǎn)，其中不包括：（）A.可提供數(shù)字簽名、零知識(shí)證明等額外服務(wù)B.加密/解密速度快，不需占用較多資源C.通信雙方事先不需要通過(guò)保密信道交換密鑰D.密鑰持有量大大減少正確答案：B149、單選

TACACS使用哪個(gè)端口？（）A.TCP69B.TCP49C.UDP69D.UDP49正確答案：C150、單選

系統(tǒng)工程是信息安全工程的基礎(chǔ)學(xué)科，錢(qián)學(xué)森說(shuō)：“系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法，使一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法”，下列哪項(xiàng)對(duì)系統(tǒng)工程的理解是正確的：（）A.系統(tǒng)工程是一種方法論B.系統(tǒng)工程是一種技術(shù)實(shí)現(xiàn)C.系統(tǒng)工程是一種基本理論D.系統(tǒng)工程不以人參與系統(tǒng)為研究對(duì)象正確答案：A151、單選

以下哪個(gè)選項(xiàng)是缺乏適當(dāng)?shù)陌踩刂频谋憩F(xiàn)（）A.威脅B.脆弱性C.資產(chǎn)D.影響正確答案：B152、單選

RSA公開(kāi)密鑰密碼體制的安全性主要基于以下哪個(gè)困難問(wèn)題？（）A.求合數(shù)模平方根的難題B.離散對(duì)數(shù)困難問(wèn)題C.背包問(wèn)題D.大數(shù)分解困難問(wèn)題正確答案：D153、單選

數(shù)據(jù)庫(kù)訪問(wèn)控制策略中，（）是只讓用戶(hù)得到有相應(yīng)權(quán)限的信息，這些信息恰到可以讓用戶(hù)完成自己的工作，其他的權(quán)利一律不給。A、最大程度共享策略B、顆粒大小策略C、存取類(lèi)型控制策略D、只需策略正確答案：D154、單選

評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到，可以通過(guò)：（）A.評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計(jì)拔高審查IT控制弱點(diǎn)正確答案：A155、單選

發(fā)現(xiàn)一臺(tái)被病毒感染的終端后，首先應(yīng)：（）A.拔掉網(wǎng)線B.判斷病毒的性質(zhì)、采用的端口C.在網(wǎng)上搜尋病毒解決方法D.呼叫公司技術(shù)人員正確答案：A156、單選

數(shù)據(jù)庫(kù)的加密方法中，采用（），則密鑰管理較為簡(jiǎn)單，只需借用文件加密的密鑰管理方法。A、庫(kù)外加密B、庫(kù)內(nèi)加密C、記錄加密D、元組加密正確答案：A157、單選

（）下列哪個(gè)標(biāo)準(zhǔn)本身由兩個(gè)部分組成，一部分是一組信息技術(shù)產(chǎn)品的安全功能需要定義，另一部分是對(duì)安全保證需求的定義？A、可信任計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（TCSEC）B、信息技術(shù)安全評(píng)價(jià)準(zhǔn)則（ITSEC）C、信息技術(shù)安全評(píng)價(jià)聯(lián)邦準(zhǔn)則（FC）D、CC標(biāo)準(zhǔn)正確答案：D158、單選

指導(dǎo)和規(guī)范信息安全管理的所有活動(dòng)的文件叫做？（）A.過(guò)程B.安全目標(biāo)C.安全策略D.安全范圍正確答案：C159、單選

下述攻擊手段中不屬于DOS攻擊的是：（）A.Smurf攻擊B.Land攻擊C.Teardrop攻擊D.CGI溢出攻擊正確答案：D160、單選

下列哪一項(xiàng)不是工程實(shí)施階段信息安全工程監(jiān)理的主要目標(biāo)？（）A.明確工程實(shí)施計(jì)劃，對(duì)于計(jì)劃的調(diào)整必須合理、受控B.促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國(guó)家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)C.促使業(yè)務(wù)單位與承建單位充分溝通，形成深化的安全需求D.促使工程實(shí)施過(guò)程滿(mǎn)足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符正確答案：C161、判斷題

一次買(mǎi)斷以后再版就不必再給作者支付稿費(fèi)。正確答案：錯(cuò)162、問(wèn)答題

多邊安全模型有哪兩種？正確答案：Chinesewall模型；BMA模型163、單選

要求用戶(hù)必須登陸，并且用戶(hù)有能力創(chuàng)建群組標(biāo)識(shí)的最低安全級(jí)別是哪一級(jí)？（）A.DB.C1C.C2D.B1正確答案：C164、單選

下面哪一項(xiàng)不屬于微軟SDL的七個(gè)階段之一？（）A.培訓(xùn)B.需求C.銷(xiāo)售D.驗(yàn)證正確答案：C165、單選

（）如果有大量計(jì)算機(jī)需要頻繁的分析，則可利用哪個(gè)命令工具進(jìn)行批處理分析？A、dumpelB、showprivC、Secedit.exeD、gpolmig.exe正確答案：C166、單選

下列幾個(gè)OSI層中，哪一層既提供機(jī)密性服務(wù)又提供完整性服務(wù)？（）A.數(shù)據(jù)鏈路層B.物理層C.應(yīng)用層D.表示層正確答案：C167、單選

（）是指事務(wù)在運(yùn)行至正常終止前被中止，這時(shí)恢復(fù)子系統(tǒng)應(yīng)利用日志文件撤銷(xiāo)此事物已對(duì)數(shù)據(jù)庫(kù)進(jìn)行的修改。A、系統(tǒng)故障B、事故故障C、介質(zhì)故障D、軟件故障正確答案：B168、單選

信息安全管理措施不包括：（）A.安全策略B.物理和環(huán)境安全C.訪問(wèn)控制D.安全范圍正確答案：D169、單選

下列哪一種行為通常不是在信息系統(tǒng)生存周期中的運(yùn)行維護(hù)階段中發(fā)生的？（）A.進(jìn)行系統(tǒng)備份B.管理加密密鑰C.認(rèn)可安全控制措施D.升級(jí)安全軟件正確答案：C170、單選

ITSEC中的F1-F5對(duì)應(yīng)TCSEC中哪幾個(gè)級(jí)別？（）A.D到B2B.C2到B3C.C1到B3D.C2到A1正確答案：C171、判斷題

傳播網(wǎng)絡(luò)病毒，惡意進(jìn)行網(wǎng)絡(luò)攻擊不屬于網(wǎng)絡(luò)不誠(chéng)信問(wèn)題的表現(xiàn)。正確答案：錯(cuò)172、單選

在業(yè)務(wù)持續(xù)性計(jì)劃中，下面哪一項(xiàng)具有最高的優(yōu)先級(jí)？（）A.恢復(fù)關(guān)鍵流程B.恢復(fù)敏感流程C.恢復(fù)站點(diǎn)D.將運(yùn)行過(guò)程重新部署到一個(gè)替代的站點(diǎn)正確答案：A173、單選

定義ISMS范圍時(shí)，下列哪項(xiàng)不是考慮的重點(diǎn)（）A.組織現(xiàn)有的部門(mén)B.信息資產(chǎn)的數(shù)量與分布C.信息技術(shù)的應(yīng)用區(qū)域D.IT人員數(shù)量正確答案：D174、單選

20世紀(jì)70－90年代，信息安全所面臨的威脅主要是非法訪問(wèn)、惡意代碼和脆弱口令等，請(qǐng)問(wèn)這是信息安全發(fā)展的什么階段？（）A.通信安全。B.計(jì)算機(jī)安全。C.信息系統(tǒng)安全。D.信息安全保障。正確答案：B175、單選

負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于：（）A.IS審計(jì)員B.管理層C.外部審計(jì)師D.程序開(kāi)發(fā)人員正確答案：B176、單選

內(nèi)部審核的最主要目的是（）A.檢查信息安全控制措施的執(zhí)行情況B.檢查系統(tǒng)安全漏洞C.檢查信息安全管理體系的有效性D.檢查人員安全意識(shí)正確答案：A177、單選

以下哪個(gè)不是信息安全項(xiàng)目的需求來(lái)源（）A.國(guó)家和地方政府法律法規(guī)與合同的要求B.風(fēng)險(xiǎn)評(píng)估的結(jié)果C.組織原則目標(biāo)和業(yè)務(wù)需要D.企業(yè)領(lǐng)導(dǎo)的個(gè)人意志正確答案：D178、單選

管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)已識(shí)別風(fēng)險(xiǎn)不采取措施（）A.當(dāng)必須的安全對(duì)策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的譴責(zé)負(fù)面影響時(shí)B.當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C.當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門(mén)控制范圍之內(nèi)時(shí)D.不可接受正確答案：A179、多選

（）屬于網(wǎng)絡(luò)不誠(chéng)信問(wèn)題.A、發(fā)布虛假信息，擴(kuò)散小道消B、網(wǎng)上惡搞、網(wǎng)絡(luò)暴力、人肉搜索C、境外的網(wǎng)絡(luò)攻擊D、手機(jī)惡意程序正確答案：A,B180、單選

（）通過(guò)注冊(cè)表或者安全策略，限制匿名連接的目的是什么？A、匿名連接會(huì)造成系統(tǒng)額外負(fù)擔(dān)，影響性能B、匿名連接影響網(wǎng)絡(luò)效率C、匿名連接能夠探測(cè)SAM的帳號(hào)和組D、匿名連接直接導(dǎo)致系統(tǒng)被他人遠(yuǎn)程控制正確答案：C181、單選

（）在HKLM包含的子樹(shù)中，哪個(gè)不能直接訪問(wèn)？配置的數(shù)據(jù)。A、Securi