2024年8月CCAA注冊(cè)審核員考試題目-ISMS信息安全管理體系知識(shí)含解析

2024年8月CCAA注冊(cè)審核員考試題目—ISMS信息安全管理體系知識(shí)一、單項(xiàng)選擇題1、對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是：（）A、可以降低成本B、可以降低不同用戶組之間非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)C、必須物理隔離和必須禁止無(wú)線網(wǎng)絡(luò)D、以上都對(duì)2、國(guó)家秘密的保密期限應(yīng)為:（）A、絕密不超過(guò)三十年，機(jī)密不超過(guò)二十年，秘密不超過(guò)十年B、絕密不低于三十年，機(jī)密不低于二十年，秘密不低于十年C、絕密不超過(guò)二十五年，機(jī)密不超過(guò)十五年，秘密不超過(guò)五年D、絕密不低于二十五年，機(jī)密不低于十五年，秘密不低于五年3、ISO/IEC27001所采用的過(guò)程方法是（)A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法4、()是風(fēng)險(xiǎn)管理的重要一環(huán)。A、管理手冊(cè)B、適用性聲明C、風(fēng)險(xiǎn)處置計(jì)劃D、風(fēng)險(xiǎn)管理程序5、（）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障6、你所在的組織正在計(jì)劃購(gòu)置一套適合多種系統(tǒng)的訪問(wèn)控制軟件包來(lái)保護(hù)關(guān)鍵信息資源，在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么?（）A、要保護(hù)什么樣的信息B、有多少信息要保護(hù)C、為保護(hù)這些重要信息需要準(zhǔn)備多大的投入D、不保護(hù)這些重要信息,將付出多大的代價(jià)7、ISO/IEC27001描述的風(fēng)險(xiǎn)分析過(guò)程不包括（）A、分析風(fēng)險(xiǎn)發(fā)生的原因B、確定風(fēng)險(xiǎn)級(jí)別C、評(píng)估識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果D、評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性8、對(duì)于信息安全方針，（）是ISO/IEC27001所要求的A、信息安全方針應(yīng)形成文件B、信息安全方針文件為公司內(nèi)部重要信息，不得向外部泄露C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針是建立信息安全工作的總方向和原則，不可變更9、信息是消除（）的東西A、不確定性B、物理特性C、不穩(wěn)定性D、干擾因素10、某公司計(jì)劃升級(jí)現(xiàn)有的所有PC機(jī)，使其用戶可以使用指紋識(shí)別登錄系統(tǒng)，訪問(wèn)關(guān)鍵數(shù)據(jù)實(shí)施時(shí)需要（）A、所有受信的PC機(jī)用戶履行的登記、注冊(cè)手續(xù)（或稱為：初始化手續(xù)）B、完全避免失誤接受的風(fēng)險(xiǎn)（即：把非授權(quán)者錯(cuò)誤識(shí)別為授權(quán)者的風(fēng)險(xiǎn)）C、在指紋識(shí)別的基礎(chǔ)上增加口令保護(hù)D、保護(hù)非授權(quán)用戶不可能訪問(wèn)到關(guān)鍵數(shù)據(jù)11、當(dāng)獲得的審核證據(jù)表明不能達(dá)到審核目的時(shí)，申核組長(zhǎng)可以（）A、宣布停止受審核方的生產(chǎn)/服務(wù)活動(dòng)B、向?qū)徍宋蟹胶褪軐徍朔綀?bào)告理中以確定適當(dāng)?shù)拇胧〤、宣布取消末次會(huì)議D、以上各項(xiàng)都不可以12、GB/T22080標(biāo)準(zhǔn)中所指資產(chǎn)的價(jià)值取決于（）A、資產(chǎn)的價(jià)格B、資產(chǎn)對(duì)于業(yè)務(wù)的敏感度C、資產(chǎn)的折損率D、以上全部13、設(shè)置防火墻策略是為了(）A、進(jìn)行訪問(wèn)控制B、進(jìn)行病毒防范C、進(jìn)行郵件內(nèi)容過(guò)濾D、進(jìn)行流量控制14、關(guān)于訪問(wèn)控制，以下說(shuō)法正確的是（）A、防火墻基于源IP地址執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制B、三層交換機(jī)基于MAC實(shí)施訪問(wèn)控制C、路由器根據(jù)路由表確定最短路徑D、強(qiáng)制訪問(wèn)控制中，用戶標(biāo)記級(jí)別小于文件標(biāo)記級(jí)別，即可讀該文件15、關(guān)于信息系統(tǒng)登錄的管理，以下說(shuō)法不正確的是（）A、網(wǎng)絡(luò)安全等級(jí)保護(hù)中，三級(jí)以上系統(tǒng)需采用雙重鑒別方式B、登錄失敗應(yīng)提供失敗提示信息C、為提高效率，可選擇保存鑒別信息的直接登錄方式D、使用交互式管理確保用戶使用優(yōu)質(zhì)口令16、抵御電子郵箱入侵措施中，不正確的是（）A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器17、關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說(shuō)法正確的是A、互聯(lián)網(wǎng)服務(wù)分為經(jīng)營(yíng)性和非經(jīng)營(yíng)性兩類，其中經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B、非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C、從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國(guó)電信條例》規(guī)定的要求D、經(jīng)營(yíng)性互聯(lián)網(wǎng)服務(wù)，是指通過(guò)互聯(lián)網(wǎng)向上網(wǎng)用戶無(wú)嘗提供具有公開性、共享性信息的服務(wù)活動(dòng)18、管理者應(yīng)（）A、制定ISMS方針B、制定ISMS目標(biāo)和專劃C、實(shí)施ISMS內(nèi)部審核D、確保ISMS管理評(píng)審的執(zhí)行19、—家投資顧問(wèn)商定期向客戶發(fā)送有關(guān)財(cái)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧問(wèn)商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧問(wèn)商的私鑰加密郵件20、在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A、考慮適用性聲明的完備性和可用性B、考慮適用性聲明的完備性和合理性C、考慮適用性聲明的充分性和可用性D、考慮適用性聲明的充分性和合理性21、根據(jù)GB/T22080-2016標(biāo)準(zhǔn)，審核中下列哪些章節(jié)不能刪減(）。A、4-10B、1-10C、4-7和9-10D、4-10和附錄A22、在認(rèn)證審核時(shí)，一階段審核是（）A、是了解受審方ISMS是否正常運(yùn)行的過(guò)程B、是必須進(jìn)行的C、不是必須的過(guò)程D、以上都不準(zhǔn)確23、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序，數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）A、恢復(fù)全部程序B、恢復(fù)網(wǎng)絡(luò)設(shè)置C、恢復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)24、控制影響信息安全的變更，包括（)A、組織、業(yè)務(wù)活動(dòng)、信息及處理設(shè)施和系統(tǒng)變更B、組織、業(yè)務(wù)過(guò)程、信息處理設(shè)施和系統(tǒng)變更C、組織、業(yè)務(wù)過(guò)程、信息及處理設(shè)施和系統(tǒng)變更D、組織、業(yè)務(wù)活動(dòng)、信息處理設(shè)施和系統(tǒng)變更25、由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A、認(rèn)證B、認(rèn)可C、審核D、評(píng)審26、在根據(jù)組織規(guī)模確定基本審核時(shí)間的前提下,下列哪一條屬于增加審核時(shí)間的要素?A、其產(chǎn)品/過(guò)程無(wú)風(fēng)險(xiǎn)或有低的風(fēng)險(xiǎn)B、客戶的認(rèn)證準(zhǔn)備C、僅涉及單一的活動(dòng)過(guò)程D、具有高風(fēng)險(xiǎn)的產(chǎn)品或過(guò)程27、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過(guò)什么實(shí)現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風(fēng)險(xiǎn)隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風(fēng)險(xiǎn)釣魚28、關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說(shuō)法正確的是：（）A、提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B、提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C、提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D、提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISCVIEC27000的支持性標(biāo)準(zhǔn)29、當(dāng)發(fā)現(xiàn)不符合項(xiàng)時(shí)，組織應(yīng)對(duì)不符合做出反應(yīng)，適用時(shí)（）。A、采取措施，以控制并予以糾正B、對(duì)產(chǎn)生的影響進(jìn)行處理C、分析產(chǎn)生原因D、建立糾正措施以避免再發(fā)生30、《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)沙密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每（）至少進(jìn)行次保密檢查或者系統(tǒng)測(cè)評(píng)。A、半年B、1年C、1.5年D、2年31、對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序,以下做法正確的是（）A、實(shí)用程序的使用不在審計(jì)范圍內(nèi)B、建立禁止使用的實(shí)用程序清單C、緊急響應(yīng)時(shí)所使用的實(shí)用程序不需要授權(quán)D、建立、授權(quán)機(jī)制和許可使用的實(shí)用程序清單32、訪問(wèn)控制是確保對(duì)資產(chǎn)的訪問(wèn)，是基于（）要求進(jìn)行授權(quán)和限制的手段。A、用戶權(quán)限B、可被用戶訪問(wèn)的資料C、系統(tǒng)是否遭受入侵D、可給予哪些主體訪問(wèn)33、審核發(fā)現(xiàn)是指（）A、審核中觀察到的事實(shí)B、審核的不符合項(xiàng)C、審核中收集到的審核證據(jù)對(duì)照審核準(zhǔn)則評(píng)價(jià)的結(jié)果D、審核中的觀察項(xiàng)34、信息分類方案的目的是（）A、劃分信息載體的不同介質(zhì)以便于儲(chǔ)存和處理，如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責(zé)任C、劃分信息對(duì)于組織業(yè)務(wù)的關(guān)鍵性和敏感性分類，按此分類確定信息存儲(chǔ)、處理、處置的原則D、劃分信息的數(shù)據(jù)類型，如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)，以便于應(yīng)用大數(shù)據(jù)技術(shù)對(duì)其分析35、PKI的主要組成不包括(）A、SSLB、CRC、CAD、RA36、容量管理的對(duì)象包括（）A、信息系統(tǒng)內(nèi)存B、辦公室空間和基礎(chǔ)設(shè)施C、人力資源D、以上全部37、下面哪一種屬于網(wǎng)絡(luò)上的被動(dòng)攻擊（）A、消息篡改B、偽裝C、拒絕服務(wù)D、流量分析38、在考慮網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該在網(wǎng)絡(luò)安全分析的基礎(chǔ)上從以下哪兩個(gè)方面提出相應(yīng)的對(duì)策？A、硬件和軟件B、技術(shù)和制度C、管理員和用戶D、物理安全和軟件缺陷39、關(guān)于信息安全管理體系認(rèn)證，以下說(shuō)法正確的是：A、負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B、負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長(zhǎng)C、負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D、負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員40、風(fēng)險(xiǎn)偏好是組織尋求或保留風(fēng)險(xiǎn)的（）A、行動(dòng)B、計(jì)劃C、意愿D、批復(fù)二、多項(xiàng)選擇題41、關(guān)于按照相關(guān)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求進(jìn)行安全合格認(rèn)證的要求，以下正確的選項(xiàng)是（）A、網(wǎng)絡(luò)關(guān)鍵設(shè)備B、網(wǎng)絡(luò)安全專用產(chǎn)品C、銷售前D、投入運(yùn)行后42、以下屬于訪問(wèn)控制的是（）。A、開發(fā)人員登錄SVN系統(tǒng)，授予其與職責(zé)相匹配的訪問(wèn)權(quán)限B、防火墻基于IP過(guò)濾數(shù)據(jù)包C、核心交換機(jī)根據(jù)IP控制對(duì)不同VLAN間的訪問(wèn)D、病毒產(chǎn)品查殺病毒43、組織建立的信息安全目標(biāo)，應(yīng)（）。A、是可測(cè)量的B、與信息安全方針一致C、得到溝通D、適當(dāng)時(shí)更新44、ISO/IEC27001標(biāo)準(zhǔn)要求以下哪些過(guò)程要形成文件化的信息？（)A、信息安全方針B、信息安全風(fēng)險(xiǎn)處置過(guò)程C、溝通記錄D、信息安全目標(biāo)45、針對(duì)敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A、用戶嘗試登錄失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B、登錄之后，不活動(dòng)超過(guò)規(guī)定時(shí)間強(qiáng)制使其退出登錄C、對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D、對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限46、以下做法正確的是（）A、使用生產(chǎn)系統(tǒng)數(shù)據(jù)測(cè)試時(shí)，應(yīng)先將數(shù)據(jù)進(jìn)行脫敏處理B、為強(qiáng)化新員工培訓(xùn)效果，應(yīng)盡可能使用真實(shí)業(yè)務(wù)案例和數(shù)據(jù)C、員工調(diào)換項(xiàng)目組時(shí)，其原使用計(jì)算機(jī)中的項(xiàng)目數(shù)據(jù)經(jīng)妥善刪除后可帶入新項(xiàng)目組使用D、信息系統(tǒng)管理域內(nèi)所有的終端啟動(dòng)屏幕保護(hù)時(shí)間應(yīng)一致47、信息安全管理體系范圍和邊界的確定依據(jù)包括（）A、業(yè)務(wù)B、組織C、物理D、資產(chǎn)和技術(shù)48、對(duì)于信息安全方針,（）是GB/T22080-2016標(biāo)準(zhǔn)要求的(分?jǐn)?shù):10.00分)A、信息安全方針應(yīng)形成文件B、信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C、信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D、信息安全方針應(yīng)定期實(shí)施評(píng)審49、以下屬于信息安全管理體系審核的證據(jù)是：（）A、信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B、信息系統(tǒng)的閾值列表C、數(shù)據(jù)恢復(fù)測(cè)試的日志D、信息系統(tǒng)漏洞測(cè)試分析報(bào)告50、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理51、信息安全是保證信息的(),另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。A、可用性B、機(jī)密性C、完備性D、完整性52、為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下哪些活動(dòng)？（）A、分發(fā)，訪問(wèn)，檢索和使用B、存儲(chǔ)和保護(hù)，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理53、下列哪項(xiàng)屬于《認(rèn)證機(jī)構(gòu)管理辦法》中規(guī)定的設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場(chǎng)所和必備設(shè)施B、注冊(cè)資本不得少于人民幣600萬(wàn)元C、具有10名以上相應(yīng)領(lǐng)域的專職認(rèn)證人員D、具有符合認(rèn)證認(rèn)可要求的管理制度54、投訴處理過(guò)程應(yīng)包括：（）A、投訴受理、跟蹤和告知B、投訴初步評(píng)審、投訴調(diào)查C、投訴響應(yīng)、溝通決定D、投訴終止55、最高管理層應(yīng)通過(guò)（）活動(dòng)，證實(shí)對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。A、確保將信息安全管理體系要求整合到組織過(guò)程中B、確保信息安全管理體系所需資源可用C、確保支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)D、確保信息安全管理體系達(dá)到預(yù)期結(jié)果三、判斷題56、組織的內(nèi)外部相關(guān)方要求屬于組織的內(nèi)部和外部事項(xiàng)”（）57、實(shí)習(xí)審核員可以獨(dú)立完成審核任務(wù)。（）58、IT系統(tǒng)日志信息保存所需的資源不屬于容量管理的范圍（）59、拒絕服務(wù)攻擊包括消耗目標(biāo)服務(wù)器的可用資源和/或消耗網(wǎng)絡(luò)的有效帶寬。（）60、某組織在生產(chǎn)系統(tǒng)上安裝升級(jí)包前制定了回退計(jì)劃，這符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)A12,5,1條款的要求（）61、IT系統(tǒng)日志保存所需的資源不屬于容量管理的范圍。（）62、組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。（）63、記錄可提供符合信息安全管理體系要求和有效運(yùn)行的證據(jù)。（）64、審核組長(zhǎng)在末次會(huì)議中應(yīng)該對(duì)受審核方是否通過(guò)認(rèn)證給出結(jié)論。（）65、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是2017年1月1日開始實(shí)施的（）

參考答案一、單項(xiàng)選擇題1、B2、A解析:國(guó)家秘密的保密期限,除有特殊規(guī)定外,絕密級(jí)事項(xiàng)不超過(guò)三十年,機(jī)密級(jí)事項(xiàng)不超過(guò)二十年,秘密級(jí)事項(xiàng)不超過(guò)十年3、C4、C解析:參考iso/iec27005，風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)處置，風(fēng)險(xiǎn)接受，風(fēng)險(xiǎn)溝通，風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審。因此風(fēng)險(xiǎn)處置計(jì)劃是風(fēng)險(xiǎn)管理的重要一環(huán)，故選C5、A6、D7、A8、A解析:信息安全方針應(yīng)：（1）形成文件化信息并可用；（2）在組織內(nèi)得到溝通；（3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。故選A9、A10、A11、B12、B13、A14、C15、C解析:應(yīng)確保秘密鑒別信息的保密性，確保鑒別信息得到適當(dāng)?shù)谋Ｗo(hù)，C選項(xiàng)為提高效率而保存鑒別信息的直接登錄方式，不能確保鑒別信息得到保護(hù)，故選C16、D17、C18、A19、C20、B21、A22、B23、D24、B25、B26、D27、B28、B解析:iso/iec27002本標(biāo)準(zhǔn)可作為組織基于gb/t22080實(shí)現(xiàn)信息安全管理體系過(guò)程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。cnas-cc1702認(rèn)證規(guī)范性引用文件有cnas-cc01:2015，iso/iec2700,iso/iec27001:2013所以iso/iec27002指南不能用作isms認(rèn)證的依據(jù)，故選B29、A解析:參考2700110,1當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：對(duì)不符合做出反應(yīng)，適用時(shí)：（1）采取措施，以控制并予以糾正（2）處理后果。故選A30、D31、D32、D33、C解析:管理體系審核指南3,4審核發(fā)現(xiàn)是將收集的審核證據(jù)對(duì)照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，故選C34、C35、B36、D37、D解析:主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，這類攻擊分篡改，偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，截取/竊聽是指為未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽，流量分析，破解弱加密的數(shù)據(jù)流等攻擊方式。故選D38、B39、C40、C二、多項(xiàng)選擇題41、A,B,C42、A,C解析:參考條例第一條，為了規(guī)范認(rèn)證認(rèn)可活動(dòng)，提高產(chǎn)品、服務(wù)的質(zhì)量和管理水平促進(jìn)經(jīng)濟(jì)和社會(huì)的發(fā)展，制定本條例。本題選AC43、A,B,C,D44、A,B,D45、B,C46、A,