信息安全師考試題庫考點

信息安全師考試題庫考點

1、單選如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題，下面哪個選項是合適

的補償性控制？()

A.限制物理訪問計算機設(shè)備

B.檢查應(yīng)用及事務(wù)處理日志

C.在聘請IT人員之前進行背景檢查

D.在不活動的特定時間后，鎖定用戶會話

正確答案：B

2、單選在評估信息系統(tǒng)的管理風(fēng)險。首先要查看()

A.控制措施已經(jīng)適當(dāng)

B.控制的有效性適當(dāng)

C.監(jiān)測資產(chǎn)有關(guān)風(fēng)險的機制

D.影響資產(chǎn)的漏洞和威脅

TF確答案：D

3、土選、在計算可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時間時()

A.只需考慮停機時間的成本

B.需要分析恢宓操作的成本

C.停機時間成本和恢復(fù)操作成本都需要考慮

D.可以忽略間接的停機成本

正確答案：C

4、單選矩陣分析法通常是哪種風(fēng)險評估采用的方法()

A.定性風(fēng)險評估

B.定量分析評估

C.安全漏洞評估

D.安全管理評估

正確答案：A

5、單選單位中下面幾種人員中哪種安全風(fēng)險最大？()

A.臨時員工

B.外部咨詢?nèi)藛T

C.現(xiàn)在對公司不滿的員工

D.離職的員工

正確答案：C

6、單選以下哪些不是介質(zhì)類資產(chǎn)：()

A.紙質(zhì)義檔

B.存儲介質(zhì)

C.軟件介質(zhì)

D.憑證

正確答案：A

7、單選如果恢復(fù)時間目標(biāo)增加，則()

A.災(zāi)難容忍度增加

B.恢復(fù)成本增加

C.不能使用冷備援計算機中心

D.數(shù)據(jù)備份頻率增加

正確答案：A

8、單選下列對系統(tǒng)日志信息的操作中哪一項是最不應(yīng)當(dāng)發(fā)生的：()

A.對日志內(nèi)容進行編輯

B.只抽取部分條目進行保存和查看

C.月新的H志覆蓋舊的日志

D.使用專用工具對日志進行分析正確答案：A

9、單選企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰

當(dāng)?shù)难a償性控制是：O

A.限制物理訪問計算設(shè)備

B.檢查事務(wù)和應(yīng)用日志

C.雇用新1T員工之前進行背景調(diào)查

D.在雙休日鎖定用戶會話

正確答案：B

10、填空題對目前大量的數(shù)據(jù)備份來說，()是應(yīng)用得最廣的介質(zhì)。

正確答案：磁帶

11、單選數(shù)字證書在InternationalTelecommunicationsUnion(ITU)的哪

個標(biāo)準(zhǔn)中定義的？O

A.X.400

B.X.25

C.X.12

D.X.509

正確答案：D

12、單選在設(shè)計業(yè)務(wù)連續(xù)性計劃時，企業(yè)影響分析可以用來識別關(guān)鍵業(yè)務(wù)流

程和相應(yīng)的支持程序，它主要會影響到下面哪一項內(nèi)容的制定？()

A.維護業(yè)務(wù)連續(xù)性計劃的職責(zé)

B.選擇站點恢復(fù)供應(yīng)商的條件

C.恢復(fù)策略

D.關(guān)鍵人員的職責(zé)

正確答案：C

13、單選應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括：()

A.對應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源(人財

物)等；

B.審核并批準(zhǔn)應(yīng)急響應(yīng)計劃；

C.負(fù)責(zé)組織的外部協(xié)作工作

D.組織應(yīng)急響應(yīng)計劃演練

正確答案：D

14、單選以下誰具有批準(zhǔn)應(yīng)急響應(yīng)計劃的權(quán)利()

A.應(yīng)急委員會

B.各部門

C.管理層

D.外部專家

正確答案：C

15、單選第一個建立電子政務(wù)標(biāo)準(zhǔn)的國家是？()

A.英國

B.美國

C.德國

D.俄羅斯

正確答案：C

16、單選我國的信息安全保障基本原則是？()

A.正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全.

B.立足國情，以我為主，堅持管理與技術(shù)并重。

C.強化未來安全環(huán)境，增強研究、開發(fā)和教育以及投資先進的技術(shù)來構(gòu)建將來

的環(huán)境。

D.明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑

國家信息安全保障體系。

正確答案：C

17、單選下列哪類訪問控制模型是基于安全標(biāo)簽實現(xiàn)的？()

A.自主訪問控制

B.強制訪問控制

C.基于規(guī)則的訪問控制

D.基于身份的訪問控制

正確答案：B

18、判斷題根據(jù)《兒童互聯(lián)網(wǎng)保護法》，美國的公共圖書館都必須給聯(lián)網(wǎng)計

算機安裝八色情過濾系統(tǒng)，否則圖書館將無法獲得政府提供的技術(shù)補助資金。

正確答案：對

19、單選Kerberos可以防止以下哪種攻擊？()

A.隧道攻擊。

B,重放攻擊。

C.破壞性攻擊。

D.處理攻擊。

正確答案：B

20、單選在橙皮書的概念中，信任是存在于以下哪一項中的？()

A.操作系統(tǒng)

B.網(wǎng)絡(luò)

C.數(shù)據(jù)庫

D.應(yīng)用程序系統(tǒng)

正確答案：A

21、單選風(fēng)險分析的目標(biāo)是達到：()

八、風(fēng)險影響和保護性措施之間的價值平衡

B、風(fēng)險影響和保獷性措施之間的操作平衡

C、風(fēng)險影響和保護性措施之間的技術(shù)平衡

D、風(fēng)險影響和保護性措施之間的邏輯平衡

正確答案：A

22、單選以下選項中那一項是對信息安全風(fēng)險采取的糾正機制？()

A.訪問控制

B.入侵檢測

C.災(zāi)難恢復(fù)

D.防病毒系統(tǒng)

正確答案：c

23、單速項目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是()

A.考慮安全開發(fā)需要什么樣的資源與預(yù)算

B.考慮安全開發(fā)在開發(fā)生命周期各階段應(yīng)開展哪些工作

C.對開發(fā)團隊進行信息安全培訓(xùn)

D.購買一定的安全工具，如代碼掃描工具等

正確答案：B

24、單選由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)

中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破

壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級別事件O

A.特別重大事件

B.重大事件

C.較大事件

D.一般事件

正確答案：A

25、單選以下哪個選項不是信息中心(IC)工作職能的一部分？()

A.準(zhǔn)備最終用戶的預(yù)算

B.選擇PC的硬件和軟件

C.保持所有PC的硬件和軟件的清單

D.提供被認(rèn)可的硬件和軟件的技術(shù)支持

正確答案：A

26、單選拒絕式服務(wù)攻擊會影響信息系統(tǒng)的哪個特性？()

A.完整性

B,可用性

C.機密性

D.可控性

正確答案：B

27、多選路由器可以通過()來限制帶寬。

A.源地址

B.目的地址

C.月戶

D.協(xié)議

正確答案：A,B,C,D

28、單選下述攻擊手段中不屬于DOS攻擊的是：()

A.Smurf攻擊

B.Land攻擊

C.Teardrop攻擊

D.CGT溢出攻擊

正確答案：D

29、單選下面哪一個不是系統(tǒng)廢棄階段風(fēng)險管理的工作內(nèi)容()

A.安全測試

B.對廢棄對象的風(fēng)險評估

C.防止敏感信息泄漏

D.人員培訓(xùn)

正確答案：A

30、單選風(fēng)險評估和管理工具通常是指什么工具()

A.漏洞掃描工具

B.入侵檢測系統(tǒng)

C.安全審計工具

D.安全評估流程管理工具

正確答案：D

31、單選IPSEC的抗重放服務(wù)的實現(xiàn)原理是什么？()

A.使用序列號以及滑動窗口原理來實現(xiàn)。

B.使用消息認(rèn)證碼的校驗值來實現(xiàn)

C.在數(shù)據(jù)包中包含一個將要被認(rèn)證的共享秘密或密鑰來實現(xiàn)

D.使用ESP隧道模式對IP包進行封裝即可實現(xiàn)。

正確答案：A

32、單選下面哪一個是定義深度防御安全原則的例子？()

A.使用由兩個不同提供商提供的防火墻檢查進入網(wǎng)絡(luò)的流量

B.在主機上使用防火墻和邏輯訪問控制來控制進入網(wǎng)絡(luò)的流量

C.在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志

D.使用兩個防火墻檢查不同類型進入網(wǎng)絡(luò)的流量

正確答案：A

33、單選機構(gòu)應(yīng)該把信息系統(tǒng)安全看作：()

A.業(yè)務(wù)中心

B.風(fēng)險中心

C.業(yè)務(wù)促進因素

D.業(yè)務(wù)抑制因素

正確答案：C

34、單選信息安全管理措施不包括：()

A.安全策略

B.物理和環(huán)境安全

C.訪問控制

D.安全范圍

正確答案：D

35、單選用于跟蹤路由的命令是()

A.nestat

B.regedit

C.systeminfo

D.tracert

正確答案：D

36、單選那種測試結(jié)果對開發(fā)人員的影響最大()

A.單元測試和集成測試

B.系統(tǒng)測試

C.驗收測試

D.滲透測試

正確答案：C

37、單選在Linux操作系統(tǒng)中，為了授權(quán)用戶具有管理員的某些個性需求的

權(quán)限所采取的措施是什么？()

A,告訴其他用戶root密碼

B.將普通用戶加入到管理員組

C.使用visudo命令授權(quán)用戶的個性需求

D.創(chuàng)建單獨的虛擬賬戶

正確答案：C

38、判斷題在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第二道防御屏障。

正確答案：錯

39、填空題企業(yè)與消費者之間的電子商務(wù)是企業(yè)透過()銷售產(chǎn)品或服務(wù)個

人消費者。

正確答案：網(wǎng)絡(luò)

40、單選下面哪一種物理訪問控制能夠?qū)Ψ鞘跈?quán)訪問提供最高級別的安全？

()

A.bolting門鎖

B.Cipher密碼鎖

C.電子門鎖

D.指紋掃描器

正確答案：D

41、單選企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個()

A.管理層足夠重視

B.需要全員參與

C.不必遵循過程的方法

D.需要持續(xù)改進

正確答案：C

42、單選下列哪項不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的主要

過程：()

A.風(fēng)險過程

B.保證過程

C.工程過程

D.評估過程

正確答案：D

43、單選事件響應(yīng)方法學(xué)定義了安全事件處理的流程，這個流程的順序是：

()

A.準(zhǔn)備一抑制一檢測一根除一恢復(fù)一跟進

B.準(zhǔn)備一檢測一抑制一恢復(fù)一根除一跟進

C.準(zhǔn)備一檢測一抑制一根除一恢復(fù)一跟進

0.準(zhǔn)備一抑制一根除一檢測一恢復(fù)一跟進

正確答案：C

44、單選組織允許外部通過互聯(lián)網(wǎng)訪問組織的局域網(wǎng)之前，首先要考慮實施

以下哪項措施？()

A.保護調(diào)制解調(diào)器池。

B.考慮適當(dāng)?shù)纳矸蒡炞C方式。

C.為用戶提供賬戶使用信息。

D.實施工作站鎖定機制。

正確答案：B

45、多選IPSec通過()實現(xiàn)密鑰交換、管理及安全協(xié)商。

A.AH

B.ESP

C.ISAKMP/Oakley

D.SKIP

正確答案：C,D

46、單選下面對于標(biāo)識和鑒別的解釋最準(zhǔn)確的是：()

A.標(biāo)識用于區(qū)別不同的用戶，而鑒別用于驗證用戶身份的真實性

B.標(biāo)識用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限

C.標(biāo)識用于保證用戶信息的完整性，而鑒別用于驗證用戶身份的真實性

D.標(biāo)識用丁保證用戶信息的完整性，而鑒別用于賦予用戶權(quán)限

正確答案：A

47、單選以下哪一項屬于物理安全方面的管理控制措施？()

A.照明

B.護柱

C培訓(xùn)I

D.建筑設(shè)施的材料

正確答案：C

48、單選下列哪一項是一個適當(dāng)?shù)臏y試方法適用于業(yè)務(wù)連續(xù)性計劃(RCP)?

()

A.試運行

B.紙面測試

C.單元

D.系統(tǒng)

正確答案：B

49、單選對于Linux審計說法錯誤的是？()

A.Linux系統(tǒng)支持細(xì)粒度的審計操作

B.Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計日志到SOC平臺

C.Linux系統(tǒng)一般使用auditd進程產(chǎn)生日志文件

D.Linux在secure日志中登陸成功日志和審計Fl志是一個文件

正確答案：D

50、單選評估應(yīng)急響應(yīng)計劃時，下列哪一項應(yīng)當(dāng)最被關(guān)注：()

A.災(zāi)難等級基于受損功能的范圍，而不是持續(xù)時間

B.低級別災(zāi)難和軟件事件之間的區(qū)別不清晰

C.總體應(yīng)急響應(yīng)計劃被文檔化，但詳細(xì)恢復(fù)步喉沒有規(guī)定

D.事件通告的職貢沒有被識別

正確答案：D

51、單選信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的

代表進行，下面哪項包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？O

A.管理人員、用戶、應(yīng)用設(shè)計人員

B.系統(tǒng)運維人員、內(nèi)部審計人員、安全專員

C.內(nèi)部審計人員、安全專員、領(lǐng)域?qū)＜?/p>

D.應(yīng)用設(shè)計人員、內(nèi)部審計人員、離職人員

正確答案：D

52、單選數(shù)據(jù)保護最重要的目標(biāo)是以下項目中的哪一個()

A.識別需要獲得相關(guān)信息的用戶

B.確保信息的完整性

C.對信息系統(tǒng)的訪問進行拒絕或授權(quán)

D.監(jiān)控邏輯訪問

正確答案：B

53、單選根據(jù)PPDR模型：()

A.一個信息系統(tǒng)的安全保障體系應(yīng)當(dāng)以人為核心，防護、檢測和恢復(fù)組成一個

完整的、動態(tài)的循環(huán)

B.判斷一個系統(tǒng)系統(tǒng)的安全保障能力，主要看安全策略的科學(xué)性與合理性，以

及安全策略的落實情況

C.如果安全防護時間小于檢測時間加響應(yīng)時間，這該系統(tǒng)一定是不安全的

D.如果一個系統(tǒng)的安全防護時間為0,則系統(tǒng)的安全性取決于暴露時間

正確答案：D

54、單選下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？()

A.哈龍氣體

B.濕管

C.干管

D.二氧化碳?xì)?/p>

正確答案：A

55、單選以下標(biāo)準(zhǔn)內(nèi)容為“信息安全管理體系要求”的是哪個？()

A.IS027000

B.IS027001

C.IS027002

D.IS027003

正確答案：B

56、單選以下關(guān)于風(fēng)險評估的描述不正確的是？()

A.作為風(fēng)險評估的要素之一，威脅發(fā)生的可能需要被評估

B.作為風(fēng)險評估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評估

C.風(fēng)險評估是風(fēng)險管理的第一步

D.風(fēng)險評估是風(fēng)險管理的最終結(jié)果

正確答案：D

57、單選下列關(guān)于互惠原則說法不正確的是()。

A、互惠原則是網(wǎng)絡(luò)道德的主要原則之一

B、網(wǎng)絡(luò)信息交流和網(wǎng)絡(luò)服務(wù)具有雙向性

C、網(wǎng)絡(luò)主體只承擔(dān)義務(wù)

D、互惠原則本質(zhì)上體現(xiàn)的是賦予網(wǎng)絡(luò)主體平等與公正

正確答案：C

58、單選下列哪一種行為通常不是在信息系統(tǒng)生存周期中的運行維護階段中

發(fā)生的？()

A.進行系統(tǒng)備份

B.管理加密密鑰

C.認(rèn)可安全控制措施

D.升級安全軟件

正確答案：C

59、單選下列生物識別設(shè)備，哪一項的交差錯判率(CER)最高？()

A.虹膜識別設(shè)備

B.手掌識別設(shè)備

C.聲音識別設(shè)備

D.指紋識別設(shè)備

正確答案：C

60、單選一個組織具有的大量分支機構(gòu)且分布地理區(qū)域較廣。以確保各方面

的災(zāi)難恢復(fù)計劃的評估，具有成本效益的方式，應(yīng)建議使用：()

A.數(shù)據(jù)恢復(fù)測試

B.充分的業(yè)務(wù)測試

C.前后測試

D.預(yù)案測試

正確答案：D

61、單選組織的災(zāi)難恢復(fù)計劃應(yīng)該：()

A.減少恢復(fù)時間，降低恢復(fù)費用

B.增加恢復(fù)時間，提高恢復(fù)費用

C.減少恢復(fù)的持續(xù)時間，提高恢復(fù)費用

D.對恢復(fù)時間和費用都不影響

正確答案：A

62、單選在數(shù)據(jù)庫的安全評估過程中，下面那項是指系統(tǒng)能夠?qū)Ω陡鞣N可能

地攻擊的能力。()

A、可行性

B、系統(tǒng)靈活性

C、用戶地方便性

D、完整性

正確答案：A

63、判斷題訪問控制的主要作用是防止非法的主體進入受保護的網(wǎng)絡(luò)資源，

允許合法用戶訪問受保護的網(wǎng)絡(luò)資源，允許合法的用戶對受保護的網(wǎng)絡(luò)資源進

行非授權(quán)的訪問。

正確答案：錯

64、單選默認(rèn)情況下Linux主機在機房托管期間被惡意用戶進行了SSH遠(yuǎn)程

的暴力破解，此時安全工程師需要拒絕其訪問的源地址，應(yīng)該使用那種方式查

詢其訪問的記錄？O

A.cat/var/log/secure

B.who

C.whoami

D.cat/etc/security/access.log

正確答案：A

65、單選以下關(guān)于ISMS內(nèi)部審核報告的描述不正確的是？()

A.內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果

B.內(nèi)審報告中必須包含對不符合性項的改進建議

C.內(nèi)審報告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)

商，核實報告內(nèi)容。

D.內(nèi)審報告中必須包括對糾正預(yù)防措施實施情況的跟蹤

正確答案：D

66、單選默認(rèn)情況下，SQLServer的監(jiān)聽端口是()。

A、1434

B、1433

C、3305

D、3306

正確答案：B

67、單選以下哪一個不是網(wǎng)絡(luò)隱藏技術(shù)？()

A.端口復(fù)用

B.〃無端口技術(shù)〃

C.反彈端口技術(shù)

D.DLL注入

正確答案：D

68、單選如果雙方使用的密鑰不同，從其中的一個密鑰很難推出另外一個密

鑰，這樣的系統(tǒng)稱為()

A.常規(guī)加密系統(tǒng)

B.單密鑰加密系統(tǒng)

C.公鑰加密系統(tǒng)

D.對■稱加密系統(tǒng)

正確答案：C

69、判斷題互聯(lián)網(wǎng)不良信息泛濫的原因有多種，網(wǎng)絡(luò)道德觀念的缺乏屬其中

一種。

正確答案：錯

70、單選下面哪一個不是脆弱性識別的手段()

A.人員訪談

B.技術(shù)工具檢測

C.信息資產(chǎn)核查

D.安全專家人工分析

正確答案：C

71、單選內(nèi)部審計部門，從組織結(jié)構(gòu)上向財務(wù)總監(jiān)而不是審計委員會報告，

最有可能：O

A.導(dǎo)致對其審計獨立性的質(zhì)疑

B.報告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)

C.加強了審計建議的執(zhí)行

D.在建議中采取更對有效行動

正確答案：A

72、單選如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈，什么預(yù)防方式最有

效？()

A.源代碼周期性安全掃描

B.源代碼人工審計

C.滲透測試

D.對系統(tǒng)的運行情況進行不間斷監(jiān)測記錄

正確答案：B

73、單選從安全的角度來看，數(shù)據(jù)庫視圖(view)的主要用途是：()

A.確保相關(guān)完整性

B.方便訪問數(shù)據(jù)

C.限制用戶對數(shù)據(jù)的訪問.

D.提供審計跟蹤

正確答案：C

74、單選有關(guān)人員安全的描述不正確的是()

A.人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)

B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業(yè)人員預(yù)算受限的情況下，職責(zé)分離難以實施，企業(yè)對此無能為力，也無

需做任何工作

D.人員離職之后，必須清除離職員工所有的邏輯訪問帳號

正確答案：C

75、單選評估IT風(fēng)險被很好的達到，可以通過：()

A.評估IT資產(chǎn)和IT項目總共的威脅

B.月公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅

C.審查可比較的組織出版的損失數(shù)據(jù)

I).一句審計拔高審查IT控制弱點

正確答案：A

76、填空題蹭網(wǎng)指攻擊者使用自己計算機中的無線網(wǎng)卡連接他人的無線路由

器上網(wǎng)，而不是通過()提供的線路上網(wǎng)。

正確答案：正規(guī)的ISP

77、單選以下不屬于Linux安全加固的內(nèi)容是什么？()

A.配置iptables

B.配置Tcpwapper

C.啟用Selinux

D.修改root的UID

正確答案：D

78、單選Apache服務(wù)器對目錄的默認(rèn)訪問控制是什么？()

A.“Deny”from“AH”

B.OrderDeny,"All”

C.OrderDeny,Allow

D."Allow”from“All”

正確答案：A

79、單選風(fēng)險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時\以下哪個

不是需要遵循的原則？O

A.只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別

B.所有公司資產(chǎn)都要識別

C.可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)

D.資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶

正確答案：B

80、單定ISMS審核時，對審核發(fā)現(xiàn)中，以下哪個是屬于嚴(yán)重不符合項？()

A.關(guān)鍵的控制程序沒有得到貫徹，缺乏標(biāo)準(zhǔn)規(guī)定的耍求可構(gòu)成嚴(yán)重不符合項

B.風(fēng)險評估方法沒有按照IS027005(信息安全風(fēng)險管理)標(biāo)準(zhǔn)進行

C.孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題；

D.審核員識別的可能改進項

正確答案：D

81、單選下面哪一個不是高層安全方針?biāo)P(guān)注的()

A.識別關(guān)鍵業(yè)務(wù)目標(biāo)

B.定義安全組織職責(zé)

C.定義安全目標(biāo)

D.定義防火墻邊界防護策略

正確答案：D

82、單選黑客進行攻擊的最后一個步驟是：()

A.偵查與信息收集

B.漏洞分析與目標(biāo)選定

C.獲取系統(tǒng)權(quán)限

D.打掃戰(zhàn)場、清楚證據(jù)

正確答案：D

83、%選信息資產(chǎn)分級的最關(guān)鍵要素是()

A.價值

B.時間

C.安全性

D.所有者

正確答案：A

84、單選制定應(yīng)急響應(yīng)策略主要需要考慮()

A.系統(tǒng)恢復(fù)能力等級劃分

B.系統(tǒng)恢復(fù)資源的要求

C.費用考慮

D.人員考慮

正確答案：C

85、單選自主性、自律性()和多元性都是網(wǎng)絡(luò)道德的特點.

A、統(tǒng)一性

B、同一性

C、開放性

D、復(fù)雜性

正確答案：C

86、單選下面關(guān)于定量風(fēng)險評估方法的說法正確的是()

A.易于操作，可以對風(fēng)險進行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進行標(biāo)識

B.能夠通過成本效益分析控制成本

C.〃耗時短、成本低、可控性高〃

D.主觀性強，分析結(jié)果的質(zhì)量取決于風(fēng)險評估小組成員的經(jīng)驗和素質(zhì)

正確答案：B

87、單選在系統(tǒng)實施后評審過程中，應(yīng)該執(zhí)行下面哪個活動？()

A.月戶驗收測試

B.投資收益分析

C.激活審計模塊

D.更新未來企業(yè)架構(gòu)

正確答案：B

88、單選在客戶/服務(wù)器系統(tǒng)中，安全方面的改進應(yīng)首先集中在：()

A,應(yīng)用軟件級

B.數(shù)據(jù)庫服務(wù)器級

C.數(shù)據(jù)庫級

D.應(yīng)用服務(wù)器級

正確答案：C

89、單選以下哪一個選項是從軟件自身功能出發(fā)，進行威脅分析()

A.攻擊面分析

B.威脅建模

C.架構(gòu)設(shè)計

D.詳細(xì)設(shè)計

正確答案：A

90、單選()的主要任務(wù)是指對數(shù)據(jù)庫系統(tǒng)應(yīng)用程序或用戶使用資源的情況

進行記錄和審計，用以保證數(shù)據(jù)的安全。

A、數(shù)據(jù)庫備份

B、數(shù)據(jù)庫恢復(fù)

C、數(shù)據(jù)庫審計

D、數(shù)據(jù)庫轉(zhuǎn)儲

正確答案：C

91、單選以下關(guān)于標(biāo)準(zhǔn)的描述，那一項是正確的？()

A.標(biāo)準(zhǔn)是高級管理層對支持信息安全的聲明

B.標(biāo)準(zhǔn)是建立有效安全策略的第一要素

C.標(biāo)準(zhǔn)用來描述組織內(nèi)安全策略如何實施的

D.標(biāo)準(zhǔn)是高級管理層建立信息系統(tǒng)安全的指示

正確答案：C

92、單選構(gòu)成風(fēng)險的關(guān)鍵因素有哪些？()

A.人,財，物

B.技術(shù)，管理和操作

C.資產(chǎn)，威脅和弱點

D.資產(chǎn)，可能性和嚴(yán)重性

正確答案：C

93、單選在下面的權(quán)限中，可更改數(shù)據(jù)表的權(quán)限是()

A、ALTER

B、GRANT

C、FLUSH

D、RESET

正確答案：A

94、單選某公司的在實施一個DRP項目，項目按照計劃完成后。聘請了專家

團隊進行評審，評審過程中發(fā)現(xiàn)了幾個方而的問題，以下哪個代表最大的風(fēng)險

()

A.沒有執(zhí)行DRP測試

B.災(zāi)難恢復(fù)策略沒有使用熱站進行恢復(fù)

C.進行了BIA,但其結(jié)果沒有被使用

D.災(zāi)難恢復(fù)經(jīng)理近期離開了公司

正確答案：C

95、單選在制定組織間的保密協(xié)議，以下哪一個不是需要考慮的內(nèi)容？()

A.需要保護的信息。

B.l辦議期望持續(xù)時間。

C.合同雙方的人員數(shù)量要求。

D.違反協(xié)議后采取的措施。

正確答案：C

96、單選那一類防火嚕具有根據(jù)傳輸信息的內(nèi)容(如關(guān)鍵字、文件類型)來

控制訪問鏈接的能力？O

A.包過濾防火墻

B.狀態(tài)檢測防火墻

C.應(yīng)用網(wǎng)關(guān)防火墻

D.以上都不能

正確答案：C

97、單選以下哪一個不是VLAN的劃分方式()

A.根據(jù)TCP端口來劃分

B.根據(jù)MAC地址來劃分

C.根據(jù)IP組播劃分

D.〃根據(jù)網(wǎng)絡(luò)層劃分〃

正確答案：A

98、單選()在信息安全的服務(wù)中，訪問控制的作用是什么？

A、如何確定自己的身份，如利用一個帶有密碼的用戶帳號登錄

B、賦予用戶對文件和目錄的權(quán)限

C、保護系統(tǒng)或主機上的數(shù)據(jù)不被非認(rèn)證的用戶訪問

D、提供類似網(wǎng)絡(luò)中“劫持”這種手段的攻擊的保護措施

正確答案：B

99、單選降低企業(yè)所面臨的信息安全風(fēng)險，可能的處理手段不包括哪些()

A.通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷

B.通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；

C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊

D.通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險

正確答案：D

100、單選變更控制是信息系統(tǒng)運行管理的重要的內(nèi)容，在變更控制的過程

中：()

A.應(yīng)該盡量追求效率，而沒有任何的程序和核查的阻礙。

B.應(yīng)該將重點放在風(fēng)險發(fā)生后的糾正措施上。

C.應(yīng)該很好的定義和實施風(fēng)險規(guī)避的措施。

D.如果是公司領(lǐng)導(dǎo)要求的，對變更過程不需要追蹤和審查

正確答案：C

101、單選以下對信息安全管理的描述錯誤的是()

A.保密性、完整性、可用性

B.抗抵賴性、可追溯性

C.真實性私密性可靠性

D.增值性

正確答案：D

102、單選在制定一個正式的企業(yè)安全計劃時，最關(guān)鍵的成功因素將是？()

A.成立一個審查委員會

B.建立一個安全部門

C.向執(zhí)行層發(fā)起人提供有效支持

D.選擇一個安全流程的所有者

正確答案：B

103、單選要求用戶必須登陸，并且用戶有能力創(chuàng)建群組標(biāo)識的最低安全級別

是哪一級？()

A.D

B.C1

C.C2

D.B1

正確答案：C

104、單選下列幾個0SI層中，哪一層既提供機密性服務(wù)又提供完整性服務(wù)？

()

A.數(shù)據(jù)鏈路層

B.物理層

C.應(yīng)用層

D.表示層

正確答案：C

105、單選在正常情況下，應(yīng)急計劃應(yīng)該至少多久進行一次針對正確性和完整

性的檢查()

A.1年

B.2年

C.半年

D.5年

正確答案：A

106、單選?在選擇外部供貨生產(chǎn)商時,評價標(biāo)準(zhǔn)按照重要性的排列順序是：

()

1.供貨商與信息系統(tǒng)部門的接近程度

2.供貨商雇員的態(tài)度

3.供貨商的信譽、專業(yè)知識、技術(shù)

4.供貨商的財政狀況和管理情況

A.4,3,1,2

B.3,4,2,1

C.3,2,4,1

D.1,2,3,4

正確答案：B

107、單選2012年3月份，美國總統(tǒng)奧巴馬宣布啟動(),旨在提高從龐大而

復(fù)雜的科學(xué)數(shù)據(jù)中提取知識的能力。

A、大數(shù)據(jù)研究與開發(fā)計劃

B、大數(shù)據(jù)獲取與提取計劃

C、大數(shù)據(jù)安全保護計劃

D、DT計劃

正確答案：A

108、單選如果只能使用口令遠(yuǎn)程認(rèn)證，以下哪種方案安全性最好？()

A.高質(zhì)量靜態(tài)口令，散列保護傳輸

B.高質(zhì)量靜態(tài)口令，固定密鑰加密保護傳輸

C.動態(tài)隨機口令，明文傳輸

D.高質(zhì)量靜態(tài)口令，增加隨機值，明文傳輸

正確答案：C

109、單選什么類型的軟件應(yīng)用測試被用于測試的最后階段，并且通常包含不

屬于開發(fā)團隊之內(nèi)的用戶成員？()

A.Alpha測試

B.白盒測試

C.回歸測試

D.Beta測試

正確答案：D

110、單選在確定威脅的可能性時，可以不考慮以下哪個？()

A.威脅源

B.潛在弱點

C.現(xiàn)有控制措施

D.攻擊所產(chǎn)生的負(fù)面影響

正確答案：D

111、單選應(yīng)用軟件測試的正確順序是：()

A.集成測試、單元測試、系統(tǒng)測試、驗收測試

B.單元測試、系統(tǒng)測試、集成測試、驗收測試

C.驗收測試、單元測試、集成測試、系統(tǒng)測試

D.單元測試、集成測試、系統(tǒng)測試、驗收測試

正確答案：D

112、判斷題網(wǎng)絡(luò)道德的本質(zhì)是社會道德，是社會道德在網(wǎng)絡(luò)領(lǐng)域中的新體

現(xiàn)。

正確答案：對

113、單選以下對于IPsec協(xié)議說法正確的是：()

A.鑒別頭(AH)協(xié)議，不能加密包的任何部分

B.IPsec工作在應(yīng)用層，并為應(yīng)用層以下的網(wǎng)絡(luò)通信提供VPN功能

C.IPsec關(guān)注與鑒別、加密和完整性保護，密鑰管理不是IPs“本身需要關(guān)注的

D.在使用傳輸模式時，IPsec為每個包建立一個新的包頭，而在隧道模式下使用

原始包頭

正確答案：A

114、單選FTP使用哪個TCP端口？()

A.21

B.23

C.110

D.5

正確答案：A

115、單或TCP三次握手協(xié)議的第一步是發(fā)送一個：()

A.SYN包

B.ACK包

C.UDP包

D.null包

正確答案：A

116、單選()安裝Windows2000時，推薦使用哪種文件格式?

A、NTFS

B、FAT

C、FAT32

D、Linux

正確答案：A

117、單選LDAP使用哪個端口？()

A.TCP139

B.TCP119

C.UDP139

D.UDP389

正確答案：D

118、填空題防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))之間，實施

()的一個或一組系統(tǒng)。

正確答案：訪問控制策略

119、填空題無線網(wǎng)絡(luò)不受()的限制，可以在無線網(wǎng)的信號覆蓋區(qū)域任何一

個位置接入網(wǎng)絡(luò)。

正確答案：空間

120、判斷題VLAN技術(shù)是基于應(yīng)用層和網(wǎng)絡(luò)層之間的隔離技術(shù)。

正確答案：錯

121、單選數(shù)據(jù)庫的()是指如何組織、管理、保護和處理敏感信息的指導(dǎo)思

想。它包括安全管理策略、訪問控制策略和信息控制策略。

A、安全策略

B、管理策略

C、控制策略

D、訪問策略

正確答案：A

122、單選OSI的第五層是：()

A.會話層

B.傳輸層

C網(wǎng)單層

D.表示層

正確答案：A

123、單選為什么實現(xiàn)單點登錄的批處理文件及腳本文件需要被保護存儲？

()

A.因為最小授權(quán)原則

B.因為它們不可以被操作員訪問到

C.因為它們可能包含用戶身份信息

D.因為知所必須原則

正確答案：C

124、單選風(fēng)險控制是依據(jù)風(fēng)險評估的結(jié)果，選擇和實施合適的安全措施。下

面哪個不是風(fēng)險控制的方式？()

A.規(guī)避風(fēng)險

B.轉(zhuǎn)移風(fēng)險

C.接受風(fēng)險

D.降低風(fēng)險

正確答案：C

125、單選()默認(rèn)情況下，所有用戶對新創(chuàng)建的文件共享有什么權(quán)限？

A、讀取

B、完全控制

C、寫入

D、修改

正確答案：B

126、單選信息安全管理體系要求的核心內(nèi)容是？()

A.風(fēng)險評估

B.關(guān)鍵路徑法

C.PDCA循環(huán)

D.PERT

正確答案：C

127、單選下列哪項是系統(tǒng)問責(zé)所需要的？()

A.授權(quán)。

B.多人共用同一帳號。

C.審計機制。

D.系統(tǒng)設(shè)計的形式化驗證

正確答案：C

128、單選以下哪一項是和電子郵件系統(tǒng)無關(guān)的？()

A.PEM(Privacyenhancedmai1)

B.PGP(Prettygoodprivacy)

C.X.500

D.X.400

正確答案：C

129、單選TCP握手中，縮寫RST指的是什么？()

A.Reset

B.Response

C.ReplyState

D.Rest

正確答案：A

130、單選在執(zhí)行風(fēng)險分析的時候，預(yù)期年度損失(ALE)的計算是：()

A.全部損失乘以發(fā)生頻率

B.全部損失費用+實際替代費用

C.單次預(yù)期損失乘以發(fā)生頻率

D.資產(chǎn)價值乘以發(fā)生頻率

正確答案：C

131、單選以下哪個與電子郵件系統(tǒng)沒有直接關(guān)系？()

A.PEM

B.PGP

C.X.500

D.X.400

正確答案：c

132、單選信息系統(tǒng)審核員應(yīng)該預(yù)期誰來授權(quán)對生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？

()

A.流程所有者

B.系統(tǒng)管理員

C.安全管理員

D.數(shù)據(jù)所有者

正確答案：D

133、單選回顧組織的風(fēng)險評估流程時應(yīng)首先()

A.鑒別對于信息資產(chǎn)威脅的合理性

B.分析技術(shù)和組織弱點

C.鑒別并對信息資產(chǎn)進行分級

D.對潛在的安全漏洞效果進行評價

正確答案：C

134、單選FINGER服務(wù)使月哪個TCP端口？()

A.69

B.119

C.79

D.70

正確答案：B

135、單選較低的恢復(fù)時間目標(biāo)(恢復(fù)時間目標(biāo))的會有如下結(jié)果：()

A.更高的容災(zāi)

B.成本較高

C.更長的中斷時間

D.更多許可的數(shù)據(jù)丟失

正確答案：B

136、單選網(wǎng)絡(luò)“抄襲”糾紛頻發(fā)反映了()

A、互聯(lián)網(wǎng)產(chǎn)業(yè)創(chuàng)新活力不足

B、互聯(lián)網(wǎng)誠信缺失

C、互聯(lián)網(wǎng)市場行為亟待規(guī)范

D、互聯(lián)網(wǎng)立法工作的滯后

正確答案：A

137、單選下列幾個0SI層中，哪一層能夠提供訪問控制服務(wù)？()

A.傳輸層

B.表示層

C.會話層

D.數(shù)據(jù)鏈路層

正確答案：A

138、單選在一個業(yè)務(wù)繼續(xù)計劃的模擬演練中，發(fā)現(xiàn)報警系統(tǒng)嚴(yán)重受到設(shè)施破

壞。下列選項中，哪個是可以提供的最佳建議：()

A.培訓(xùn)救護組如何使用報警系統(tǒng)

B.報警系統(tǒng)為備份提供恢復(fù)

C.建立冗余的報警系統(tǒng)

D.把報警系統(tǒng)存放地窖里

正確答案：c

139、單或系統(tǒng)上線前應(yīng)當(dāng)對系統(tǒng)安全配置進行檢查，不包括下列哪種安全檢

查()

A.主機操作系統(tǒng)安全配置檢查

B.網(wǎng)絡(luò)設(shè)備安全配置檢查

C.系統(tǒng)軟件安全漏洞檢查

D.數(shù)據(jù)庫安全配置檢查

正確答案：C

140、單選以下哪個標(biāo)準(zhǔn)是IS027001的前身標(biāo)準(zhǔn)？()

A.BS5750

B.BS7750

C.BS7799

D.BS15000

正確答案：C

141、單選信息安全管理手段不包括以下哪一項()

A.技術(shù)

B.流程

C.人員

D.市場

正確答案：B

142、判斷題對錢財?shù)呢澙芬彩蔷W(wǎng)絡(luò)違法犯罪行為的原始動力。

正確答案：對

143、多選交換機可根據(jù)()來限制應(yīng)用數(shù)據(jù)流的最大流量。

A.IP地址

B.網(wǎng)絡(luò)連接數(shù)

C.協(xié)議

D.端口

正確答案：A,C,D

144、單選以下哪項是組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安

全黃略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒ǎM行的規(guī)劃、組織、指導(dǎo)、協(xié)

調(diào)和控制等活動？()

A.反應(yīng)業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動；

B.來自所有級別管理者的可視化的支持與承諾；

C.提供適當(dāng)?shù)囊庾R、教育與培訓(xùn)

D.以上所有

正確答案：D

145、單選P2DR模型通過傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護能力，這

些技術(shù)包括？()

A.實時監(jiān)控技術(shù)。

B.訪問控制技術(shù)。

C.信息加密技術(shù)。

D.身份認(rèn)證技術(shù)。

正確答案：A

146、單選對于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的是？

()

A.為了信息資產(chǎn)更加安全，禁止外部組織人員訪問信息資產(chǎn)。

B.應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護。

C.訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。

D.應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求°

正確答案：A

147、填空題在企業(yè)推進信息化的過程中應(yīng)()風(fēng)險。

正確答案：認(rèn)真防范

148、單選降低企業(yè)所面臨的信息安全風(fēng)險的手段，以下說法不正確的是？

()

A.通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷

B.通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；

C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊

D.通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險責(zé)任

正確答案：D

149、單選“進不來”“拿不走”“看不懂”“改不了”“走不脫”是網(wǎng)絡(luò)信

息安全建設(shè)的目的。其中，“看不懂”是指下面那種安全服務(wù)：()

A.數(shù)據(jù)加密

B.身份認(rèn)證

C.數(shù)據(jù)完整性

D.訪問控制

正確答案：A

150、單選安全技術(shù)評估工具通常不包括()

A.漏洞掃描工具

B.入侵檢測系統(tǒng)

C.調(diào)查問卷

D.滲透測試工具

正確答案：C

151、‘單星安全開發(fā)制度中，QA最關(guān)注的的制度是（）

A.系統(tǒng)后評價規(guī)定

B.可行性分析與需求分析規(guī)定

C.安全開發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)

D.需求變更規(guī)定

正確答案：C

152、問答題入侵檢測系統(tǒng)分為哪幾種，各有什么特點？

正確答案：主機型入侵檢測系統(tǒng)（HIDS）,網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）o

HIDS一般部署在下述四種情況下：

1）網(wǎng)絡(luò)帶寬高太高無法進行網(wǎng)絡(luò)監(jiān)控

2）網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS的開銷

3）網(wǎng)絡(luò)環(huán)境是高度交換且交換機上沒有鏡像端口

4）不需耍廣泛的入侵檢測HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源；

檢測主機上的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，所以主

機檢測系統(tǒng)誤報率比網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報率要低：他除了檢測自身的主機

以外，根本不檢測網(wǎng)絡(luò)上的情況，而且對入侵行為分析的工作量將隨著主機數(shù)

量的增加而增加，因此全面部署主機入侵檢測系統(tǒng)代價比較大，企業(yè)很難將所

有主機用主機入侵檢測系統(tǒng)保護，只能選擇部分主機進行保護，那些未安裝主

機入侵檢測系統(tǒng)的機器將成為保護的忙點，入侵者可利用這些機器達到攻擊的

目標(biāo)。依賴于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒有配置日志功

能，則必須重新配置，這將給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。

NIDS一般部署在比較重要的網(wǎng)段內(nèi)，它不需要改變服務(wù)器等主機的配置，由于

他不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、

I/O與磁盤等資源的使用，不會影響業(yè)務(wù)系統(tǒng)的性能。NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)上

的數(shù)據(jù)包。通過線路竊聽的手段對捕獲的網(wǎng)絡(luò)分組進行處理，從中獲取有用的

信息。一個網(wǎng)段上只需要安裝一個或幾個這樣的系統(tǒng)，便可以檢測整個網(wǎng)絡(luò)的

情況，比較容易實現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)

正接受者越來越大的挑戰(zhàn)，

153、判斷題標(biāo)準(zhǔn)訪問控制列表通過網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類型進行信息流

控制，且只允許過濾目的地址。

正確答案：錯

154、多選網(wǎng)絡(luò)安全審計系統(tǒng)一般包括。

A.網(wǎng)絡(luò)探測引擎

B.數(shù)據(jù)管理中心

C.審計中心

D.聲光報警系統(tǒng)

正確答案：A,B,C

155、單選安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪一項最好

地描述了安全模型中的“簡單安全規(guī)則”？()

A.Biba模型中的不允許向上寫

B.Biba模型中的不允許向下讀

C.Bell-LaPadula模型中的不允許向下寫

D.Bell-LaPadula模型中的不允許向上讀

正確答案：D

156、單選災(zāi)難性恢復(fù)計劃(DRP)基丁?：()

A.技術(shù)方面的業(yè)務(wù)連續(xù)性計劃

B.操作部分的業(yè)務(wù)連續(xù)性計劃

C.功能方面的業(yè)務(wù)連續(xù)性計劃

D.總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計劃

正確答案：A

157、填空題即使在企業(yè)環(huán)境中，()作為企業(yè)縱深防御的一部分也是十分必

要的。

正確答案：個人防火墻

158、單選下列哪一個是PKI體系中用以對證書進行訪問的協(xié)議？()

A.SSL

B.LDAP

C.CA

D.IKE

正確答案：B

159、單選下面哪一層可以實現(xiàn)編碼，加密()

A.傳輸層

B.會話層

C.網(wǎng)絡(luò)層

D.物理層

正確答案：B

160、單選下面哪一項不是安全編程的原則()

A.盡可能使用高級語言進行編程

B.盡可能讓程序只實現(xiàn)需要的功能

C.不要信任用戶輸入的數(shù)據(jù)

D.盡可能考慮到意外的情況，并設(shè)計妥善的處理方法

正確答案：A

161、單選某公司在測試災(zāi)難恢復(fù)計劃時是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運營所必要的關(guān)鍵數(shù)

據(jù)沒有被保留，可能由于什么沒有明確導(dǎo)致的？O

A.服務(wù)中斷的時間間隔

B.目標(biāo)恢復(fù)時間(RTO)

C.服務(wù)交付目標(biāo)

D.目標(biāo)恢復(fù)點(RPO)

正確答案：D

162、單選()如果有大量計算機需要頻繁的分析，則可利用哪個命令工具進

行批處理分析？

A、dumpel

showpriv

C、Secedit,exe

D、gpolmig.exe

正確答案：C

163、單選下列哪一項準(zhǔn)確地描述了可信計算基(TCB)?()

A.TCB只作用于固件(FirmwarE.

B.TCB描述了一個系統(tǒng)提供的安全級別

C.TCB描述了一個系統(tǒng)內(nèi)部的保護機制

D.TCB通過安全標(biāo)簽來表示數(shù)據(jù)的敏感性

正確答案：B

164、單選下列哪項是私有IP地址？()

A.10.5.42.5

B.172.76.42.5

C.172.90.42.5

D.241.16.42.5

正確答案：A

165、填空題我國的信息化發(fā)展不平衡，總的來說，()信息化指數(shù)高，從東

部到西部信息化指數(shù)逐漸降低。

正確答案：東部沿海地區(qū)

166、單選()在訪問控制中，對網(wǎng)絡(luò)資源的訪問是基于什么的？

A、用戶

B、權(quán)限

C、訪問對象

D、工作組

正確答案：B

167、單選“配置管理”是系統(tǒng)工程中的重要概念，它在軟件工程和信息安全

工程中得到了廣泛的應(yīng)用，下列對于“配置管理”的解釋最準(zhǔn)確的是？()

A.配置管理的本質(zhì)是變更流程管理

B.配置管理是一個對系統(tǒng)(包括軟件、硬件、文檔、測試設(shè)備、開發(fā)/維護設(shè)

備)的所有變化進行控制的過程

C.管理配置是對信息系統(tǒng)的技術(shù)參數(shù)進行管理

D.管理配置是對系統(tǒng)基線和源代碼的版本進行管理

正確答案：B

168、單選下列對跨站腳本攻擊(XSS)的解釋最準(zhǔn)確的一項是：()

A.引誘用戶點擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法

B.構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進行非法的訪問

C.一種很強大的木馬攻擊手段

D.將惡意代碼嵌入到用戶瀏覽的web網(wǎng)頁中，從而達到惡意的目的

正確答案：D

169、單選組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：()

A.推薦并監(jiān)督數(shù)據(jù)安全策略

B.在組織內(nèi)推廣安全意識

C.制定IT安全策略下的安全程序/流程

D.管理物理和邏輯訪問控制

正確答案：A

170、單選組織回顧信息系統(tǒng)災(zāi)難恢復(fù)計劃時應(yīng)：()

A.每半年演練一次

R.周期性回顧并更新

C.經(jīng)首席執(zhí)行官(CEO)認(rèn)可

D.與組織的所有部門負(fù)責(zé)人溝通

正確答案：B

171、單選以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么？()

A.發(fā)現(xiàn)不明的SUID可執(zhí)行文件

B.發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更

C.發(fā)現(xiàn)有惡意程序在實時的攻擊系統(tǒng)

D.發(fā)現(xiàn)防護程序收集了很多黑客攻擊的源地址

正確答案：A

172、單選以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：()

A.組織機構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)

B.對重要的工作進行分解，分配給不同人員完成

C.一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限

D.防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限

正確答案：C

173、單選以下哪個命令可以查看端口對應(yīng)的PID()

A.netstat-ano

B.ipconfig/all

C.tracert

D.netsh

正確答案：A

174、判斷題雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁

有鑒別特征。

正確答案：對

175、填空題物流是電子商務(wù)()的基礎(chǔ)。

正確答案：市場發(fā)展

176、單選下列對于CC的“評估保證級”(EAL)的說法最準(zhǔn)確的是：()

A.代表著不同的訪問控制強度

B.描述了對抗安全威脅的能力級別

C.是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對安全行為和安全功能的不同要求

D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度

正確答案：D

177、單選面向?qū)ο蟮拈_發(fā)方法中，以下哪些機制對安全有幫助()

A.封裝

B