注冊(cè)信息安全專業(yè)人員考試模擬測(cè)試題(G)-有答案

1、注冊(cè)信息安全專業(yè)人員（CSIP）考試模擬測(cè)試題（G）CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒(méi)有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性：結(jié)構(gòu)的開(kāi)放性B.表達(dá)方式的通用性C.獨(dú)立性 D.實(shí)用性答案：C根據(jù)信息安全等級(jí)保護(hù)管理辦法、關(guān)于開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作的通知（公信安2009812 號(hào)），關(guān)于推動(dòng)信息安全等級(jí)保護(hù)（）建設(shè)和開(kāi)展（）工作的通知（公信安2010303號(hào)）等文件，由公安部（）對(duì)等級(jí)保護(hù) 測(cè)評(píng)機(jī)構(gòu)管理，接受測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期（），對(duì)不具備能力的測(cè)評(píng)機(jī)構(gòu)則（）等級(jí)測(cè)評(píng)；測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；等級(jí)測(cè)評(píng)；能力驗(yàn)證；取消

2、授權(quán)測(cè)評(píng)體系；等級(jí)測(cè)評(píng)；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；等級(jí)測(cè)評(píng)；取消授權(quán)答案：C以下哪個(gè)現(xiàn)象較好的印證了信息安全特征中的動(dòng)態(tài)性（）經(jīng)過(guò)數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上巳經(jīng)接入了數(shù)億臺(tái)各種電子設(shè)備B剛剛經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估并針對(duì)風(fēng)險(xiǎn)采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風(fēng)險(xiǎn)C某公司的信息系統(tǒng)面臨了來(lái)自美國(guó)的“匿名者”黑客組織的攻擊D.某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍然產(chǎn)生了泄露答案：B老王是某政府信息中心主任。以下哪項(xiàng)項(xiàng)目是符合保守國(guó)家秘密法要求的（）老王安排下屬小李將損害的涉密計(jì)算機(jī)某國(guó)外品牌硬盤送到該品牌中國(guó)區(qū)維修中心修理老

3、王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫(kù)老王提出對(duì)加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用答案：D關(guān)于計(jì)算機(jī)取征描述不正確的是（）計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面的檢查計(jì)算機(jī)系統(tǒng)以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)的活 動(dòng)取證的目的包括通過(guò)證據(jù)，查找肇事者，通過(guò)證據(jù)推斷犯罪過(guò)程，通過(guò)證據(jù)判斷受害者損失程度及涉及證據(jù)提供法律支持電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品，對(duì)于電子證據(jù)取證工作主要圍繞兩方 面進(jìn)行證據(jù)的獲取和證據(jù)的保護(hù)計(jì)算機(jī)取證的過(guò)程，可以分為準(zhǔn)備，保護(hù)，提取，分

4、析和提交五個(gè)步驟答案：C解釋：CISP 4.1版本（2018.10）教材的第156頁(yè)。實(shí)際的情況是包括證據(jù)的獲取和證據(jù)的分析兩個(gè)方面。（）第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)），按照（）實(shí)行分級(jí)保護(hù)，（）應(yīng) 當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉 密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后方可投入使用。保密法；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格國(guó)家保密法；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格網(wǎng)絡(luò)保密法；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格安全保密法；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合

5、格答案：BLinux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計(jì)策略、保 護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來(lái)完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自 己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是（）。編輯文件/etc/passwd，檢查文件中用戶ID，禁用所有ID=0的用戶編輯文件/etc/ssh/sshd _config,將Permit RootLogin 設(shè)置為no編輯文件/etc/pam.d/systemauth，設(shè)置auth required pam tally.

6、so onerr=fail deny=6 unlock_time-300編輯文件/etc/profile,設(shè)置TMOUT=600答案：APDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的是（）P是Plan，指分析問(wèn)題、發(fā)現(xiàn)問(wèn)題、確定方針、目標(biāo)和活動(dòng)計(jì)劃D是Do，指實(shí)施、具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容C是Check，指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問(wèn)題A是Aim，指瞄準(zhǔn)問(wèn)題，抓住安全事件的核心，確定責(zé)任答案：D在國(guó)家標(biāo)準(zhǔn)GB/T 20274. 1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型中，信息系統(tǒng) 安全保障模型包含哪幾個(gè)方面？

7、（）保障要素、生命周期和運(yùn)行維護(hù)保障要素、生命周期和安全特征規(guī)劃組織、生命周期和安全特征規(guī)劃組織、生命周期和運(yùn)行維護(hù)答案：B目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從成脅能力和掌握資源分，這些威脅可以按照個(gè)人或脅、組織威脅和 國(guó)家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是（）喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂(lè)型黑客實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)鞏固戰(zhàn)略優(yōu)勢(shì)，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)答案：B若一個(gè)組織聲稱自己的ISMS符合ISO/IEC 27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方 面安施常規(guī)控

8、制，資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的 保護(hù)，通常采取以下哪項(xiàng)控制措施（）資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的可接受使用分類指南，信息的標(biāo)記和處理答案：D有關(guān)質(zhì)量管理，錯(cuò)誤的理解是（）。質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO 9000系列標(biāo)準(zhǔn)C 質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理質(zhì)量管理體系從機(jī)構(gòu)，程序、過(guò)程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來(lái)提升質(zhì)量答案：C在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過(guò)程是這樣的：（1）用戶通過(guò)HTTP協(xié)議訪問(wèn)信

9、息系統(tǒng)；（2）用戶在登錄頁(yè)面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成。可以看出，這個(gè)鑒別過(guò)程屬于（）單向鑒別B雙向鑒別C三向鑒別D.第三方鑒別答案：A隨機(jī)進(jìn)程名稱是惡意代碼迷惑管琊員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)。描述正確的是 （）。隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使過(guò)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)

10、隨機(jī)生成惡意代碼進(jìn)程名稱，通過(guò)不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序 名稱答案：D隨著即時(shí)通訊軟件的普及使用，即時(shí)通訊軟件也被惡意代碼利用進(jìn)行傳播，以下哪項(xiàng)功能不是惡意代碼利用即時(shí)通訊進(jìn) 行傳播的方式（）利用即時(shí)通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件利用即時(shí)通訊軟件發(fā)送指向惡意網(wǎng)頁(yè)的URL利用即時(shí)通訊軟件發(fā)送指向惡意地址的二維碼利用即時(shí)通訊發(fā)送攜帶惡意代碼的JPG圖片答案：CGB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行， 即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評(píng)審ISMS、保

11、持和改進(jìn)ISMS等過(guò)程，并在這些過(guò)程中應(yīng)實(shí) 施若干活動(dòng)。請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)（）?！爸贫↖SMS方針”是建立ISMS階段工作內(nèi)容“安施培訓(xùn)和意識(shí)教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容“進(jìn)行有效性測(cè)量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容答案：D某單位需要開(kāi)發(fā)一個(gè)網(wǎng)站，為了確保開(kāi)發(fā)出安全的軟件。軟件開(kāi)發(fā)商進(jìn)行7OA系統(tǒng)的威脅建模，根據(jù)威脅建模，SQL 注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個(gè)屬于修改設(shè)計(jì)消除威脅的做法（）在編碼階段程序員進(jìn)行培訓(xùn)，避免程序員寫出存在漏洞的代碼對(duì)代碼進(jìn)行嚴(yán)格檢查，避免存在SQL注入漏

12、洞的腳本被發(fā)布使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁(yè)面在網(wǎng)站中部署防SQL注入腳本，對(duì)所有用戶提交數(shù)據(jù)進(jìn)行過(guò)濾答案：C信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安 全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的（），向信息系統(tǒng)的所有相關(guān)方提供信息系 統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng) 估對(duì)象是（），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng) 域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)

13、程，涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（） 的信心。安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期 答案：B某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動(dòng)存儲(chǔ)進(jìn)行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè) 內(nèi)部傳播，作為信息化負(fù)責(zé)人，你應(yīng)采取以下哪項(xiàng)策略（）更換企業(yè)內(nèi)部殺毒軟件，選擇一個(gè)可以查殺到該病毒的軟件進(jìn)行重新部署向企業(yè)內(nèi)部的計(jì)算機(jī)下發(fā)策略，關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟的自動(dòng)播放功能禁止在企業(yè)內(nèi)部使用如U

14、盤、移動(dòng)硬盤這類的移動(dòng)存儲(chǔ)介質(zhì)在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來(lái)自互聯(lián)網(wǎng)的病毒進(jìn)入企業(yè)內(nèi)部答案：B分布式拒絕服務(wù)（Distributed Denial of Service, DDos）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作 為攻擊平臺(tái)。對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。一般來(lái)說(shuō)，DDoS攻擊的主要目的是 破壞目標(biāo)系統(tǒng)的（）保密性 B.完整性 C.可用性 D.真實(shí)性答案：C作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)側(cè)（）A抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)幫助和指

15、導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力。答案：BApache HTTP Server （簡(jiǎn)稱Apache）是個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名 和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施（）A .不選擇Windons平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用安裝后。修改配置文件httpd.conf中的有關(guān)參數(shù)安裝后。刪除Apache HTTP Server源碼從正確的官方網(wǎng)站下載Apache HTTP Server.并安裝使用答案：B安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)（）軟件系統(tǒng)代碼的復(fù)雜性軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱現(xiàn)象復(fù)雜異

16、構(gòu)的網(wǎng)絡(luò)環(huán)境攻擊者的惡意利用答案：D某IT公司針對(duì)信息安全事件巳經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案 工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO,請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)？（）公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程 及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn) 在應(yīng)急預(yù)案五個(gè)階段，流程完善可用公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基

17、本覆蓋了各類應(yīng)急事件類型公司應(yīng)急預(yù)案對(duì)事件分類依據(jù)GB/Z 20986 - 2007信息安全技術(shù)信息安全事件分類分級(jí)指南，分為7個(gè)基本類別，預(yù) 案符合國(guó)家相關(guān)標(biāo)準(zhǔn)答案：A某軟件在設(shè)計(jì)時(shí)，有三種用戶訪問(wèn)模式，分別是僅管理員可訪問(wèn)、所有合法用戶可訪問(wèn)和允許匿名訪問(wèn)）采用這三種訪 問(wèn)模式時(shí)，攻擊面最高的是（）。僅管理員可訪問(wèn)B.所有合法用戶可訪問(wèn)C.允許匿名 D.三種方式一樣答案：C王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)重要資產(chǎn)：資產(chǎn)A1 和資產(chǎn)A2，其中資產(chǎn)A1面臨兩個(gè)主要威脅：威脅T1和威脅T2:而資產(chǎn)A2面臨一個(gè)主要威脅：威脅T3；威脅T1可以

18、利用的 資產(chǎn)A1存在的兩個(gè)脆性：脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性：脆弱性V3、脆弱性V4和 脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性：脆弱性V6和脆弱性V7;根據(jù)上述條件，請(qǐng)問(wèn)：使用相乘法時(shí)，應(yīng) 該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值（）2 B.3 C.5 D.6答案：D某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過(guò)程中被攻擊者通過(guò)FTP對(duì) OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問(wèn)題，該安全問(wèn)題的產(chǎn)生主要是在哪 個(gè)階段產(chǎn)生的（）A程序員在進(jìn)行安全需求分析時(shí)，沒(méi)有分析出OA系

19、統(tǒng)開(kāi)發(fā)的安全需求程序員在軟件設(shè)計(jì)時(shí)，沒(méi)遵循降低攻擊面的原則，設(shè)計(jì)了不安全的功能程序員在軟件編碼時(shí)，缺乏足夠的經(jīng)驗(yàn)，編寫了不安全的代碼程序員在進(jìn)行軟件測(cè)試時(shí)，沒(méi)有針對(duì)軟件安全需求進(jìn)行安全測(cè)試答案：B從SABSA的發(fā)展過(guò)程，可以看出整個(gè)SABSA在安全架構(gòu)中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個(gè)階 段的過(guò)程被歸類為所謂的（），其次是（），它包含了建筑設(shè)計(jì)中的（）、物理設(shè)計(jì)、組件設(shè)計(jì)和服務(wù)管理設(shè)計(jì)，再者就是（），緊隨其后的則是（）設(shè)計(jì)；戰(zhàn)略與規(guī)劃；邏輯設(shè)計(jì)；實(shí)施；管理與衡量戰(zhàn)略與規(guī)劃；邏輯設(shè)計(jì)；設(shè)計(jì)；實(shí)施；管理與衡量戰(zhàn)略與規(guī)劃；實(shí)施；設(shè)計(jì)；邏輯設(shè)計(jì)；管理與衡量戰(zhàn)略與規(guī)劃；設(shè)計(jì)；邏

20、輯設(shè)計(jì)；實(shí)施；管理與衡量答案：D隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切。越來(lái)越多的組織開(kāi)始嘗試使用參考 ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS。下面描述錯(cuò)誤的是（）。在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定井頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)， 明確總體要求組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可 行性組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)。應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙

21、伴 和供應(yīng)商等外部各方組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn) 答案：A小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)值為400萬(wàn)元人民幣，暴露系數(shù)（Exposure Factor,EF）是25%，年度發(fā)生率（Annualized Rate of Occurrence,ARO）是0.2,那么小王計(jì)算的年度 預(yù)期損失（Annualized Loss Expectancy, ALE）應(yīng)該是（）。100萬(wàn)元人民幣B.400萬(wàn)元人民幣C.20萬(wàn)元人民幣D.18 0萬(wàn)元人民幣答案：C隨著信息技術(shù)的不

22、斷發(fā)展，信息系統(tǒng)的重要性也越來(lái)越突出，而與此同時(shí)，發(fā)生的信息安全事件也越來(lái)，綜合分析信息 安全問(wèn)題產(chǎn)生的根源，下面描述正確的是（）信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來(lái)越重要，同時(shí)自身在開(kāi)發(fā)、部署和使用過(guò)程中存性，導(dǎo)致了諸多的信 息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問(wèn)題的根本所在信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來(lái)越廣泛，接觸越多，信息系統(tǒng)越可 能遭受攻擊，因此避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問(wèn)題信息安全問(wèn)題，產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性同時(shí)外部又有威脅源，從而導(dǎo)致 信息系統(tǒng)可

23、能發(fā)生安全事件，因此要防范安全風(fēng)險(xiǎn)，需從內(nèi)外因同時(shí)著手信息安全問(wèn)題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，但最重要的還 是人的因素，外部攻擊者和內(nèi)部工作人員通過(guò)遠(yuǎn)程攻擊，本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生，因此對(duì)人這個(gè)因素 的防范應(yīng)是安全工作重點(diǎn)（）答案：C在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）用戶名 B.用戶口令明文C.用戶主目錄 D.用戶登錄后使用的SHELL答案：B即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。一種有效的對(duì)策 時(shí)在敵手和它的目標(biāo)之間配備多種（）。每

24、一種機(jī)制都應(yīng)包括（）兩種手段。安全機(jī)制；安全缺陷；保護(hù)和檢測(cè)B.安全缺陷；安全機(jī)制；保護(hù)和檢測(cè)安全缺陷；保護(hù)和檢測(cè)；安全機(jī)制；D.安全缺陷；安全機(jī)制；保護(hù)和檢測(cè)答案：B和D都對(duì)某攻擊者想通過(guò)遠(yuǎn)程控制軟件潛伏在某監(jiān)控方的UNIX系統(tǒng)的計(jì)算機(jī)中，如果攻擊者打算長(zhǎng)時(shí)間地遠(yuǎn)程監(jiān)控某服務(wù)器上的 存儲(chǔ)的敏感數(shù)據(jù)，必須要能夠清除在監(jiān)控方計(jì)算機(jī)中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方查看自己的系統(tǒng)日志的時(shí)候，就會(huì)發(fā)現(xiàn) 被監(jiān)控以及訪向的痕跡。不屬于清除痕跡的方法是（）。竊取root權(quán)限修改wtmp/wtmpx、utmp/utmpx和lastlog三個(gè)主要日志文件采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能保留攻擊時(shí)產(chǎn)生的臨時(shí)文件

25、修改登錄日志，偽造成功的登錄日志，增加審計(jì)難度答案：C信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理，實(shí)施常規(guī)的控 制措施，不包括哪些選項(xiàng)（）信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門的聯(lián)系與特定利益集團(tuán)的聯(lián)系。信息安全的獨(dú)立評(píng)審與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題答案：D按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)。有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即 可，可以不需要上級(jí)或主管都門來(lái)測(cè)評(píng)和檢查。此類信息系統(tǒng)應(yīng)屬于：零級(jí)系統(tǒng) B. 一級(jí)系統(tǒng)C.二級(jí)系統(tǒng)D.

26、三級(jí)系統(tǒng)答案：B小李在檢查公司對(duì)外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒(méi)有找到資源、數(shù)據(jù)庫(kù)連接錯(cuò)誤、寫臨時(shí)文件錯(cuò)誤等問(wèn) 題時(shí)，會(huì)將詳細(xì)的錯(cuò)誤原因在結(jié)果頁(yè)面上顯示出來(lái)。從安全角度考慮，小李決定修改代碼。將詳細(xì)的錯(cuò)誤原因都隱藏起來(lái)， 在頁(yè)面上僅僅告知用戶“抱歉。發(fā)生內(nèi)部錯(cuò)誤！” .請(qǐng)問(wèn)，這種處理方法的主要目的是（）。A避免緩沖區(qū)溢出 B.安全處理系統(tǒng)異常 C安全使用臨時(shí)文件D.最小化反饋信息答案：D關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（）ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文。使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存到ARP 緩存中，從而起到冒充主機(jī)的目的單純利用

27、ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的APP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機(jī)進(jìn)行連接 答案：D組織內(nèi)人力資源部門開(kāi)發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績(jī)效、考核、獎(jiǎng)勵(lì)等事宜。所有員工都可以登錄 系統(tǒng)完成相關(guān)需要員工配合的工作，以下哪項(xiàng)技術(shù)可以保證數(shù)據(jù)的保密性：A.SSL加密 B.雙因子認(rèn)證C.加密會(huì)話cookieD.IP地址校驗(yàn)答案：A強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體

28、是否可以訪問(wèn)某個(gè)客體，具 有較高的安全性，適用于專用或?qū)Π踩暂^高的系統(tǒng)。強(qiáng)制訪問(wèn)控制模型有多種類型，如BLP、Biba、Clark-Willson和 ChineseWall等。小李自學(xué)了 BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4鐘對(duì)BLP模型的描述中，正確的是（）：BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”答案：B一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問(wèn)控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)

29、中，教師能夠錄入學(xué)生的考試 成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng) 中，對(duì)訪問(wèn)控制的作用的理解錯(cuò)誤的是：對(duì)經(jīng)過(guò)身份鑒別后的合法用戶提供所有服務(wù)拒絕非法用戶的非授權(quán)訪問(wèn)請(qǐng)求在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)進(jìn)行管理防止對(duì)信息的非授權(quán)篡改和濫用答案：A信息安全風(fēng)險(xiǎn)等級(jí)的最終因素是：A.威脅和脆弱性B.影響和可能性C.資產(chǎn)重要性 D.以上都不對(duì)答案：B實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營(yíng)成本將：A.降低 B.不變（保持相同）C.提高D.提高或降低（取決于業(yè)務(wù)的性質(zhì)）答案：C自主訪問(wèn)控制模型（DAC）

30、的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì) 表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便ACL管理或增加客體比較方便答案：D二十世紀(jì)二十年代，德國(guó)發(fā)明家亞瑟.謝爾比烏斯（Arthur Scherbius）發(fā)明了 Engmia密碼機(jī)。按照密碼學(xué)發(fā)展歷史 階段劃分，這個(gè)階段屬于（）古典密碼階段。這一階段的密碼專家常?？恐庇X(jué)和技巧來(lái)設(shè)計(jì)密碼，而不是憑借推理和證明

31、，常用的密碼運(yùn)算方法包括替 代方法和置換方法近代密碼發(fā)展階段。這一階段開(kāi)始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備?，F(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文保密系統(tǒng)的通信理論”（“The CommunicationTheory of Secret Systems）為理論基礎(chǔ)，開(kāi)始了對(duì)密碼學(xué)的科學(xué)探索?，F(xiàn)代密碼學(xué)的近代發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)準(zhǔn)，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼 算法開(kāi)始應(yīng)用于非機(jī)密單位和商業(yè)場(chǎng)合。答案：B主體和客體是訪問(wèn)控制模型中常用的概念。下面描述中錯(cuò)誤的是（）主體是訪問(wèn)的發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體

32、的相關(guān)信息或數(shù)據(jù)客體也是一個(gè)實(shí)體，是操作的對(duì)象，是被規(guī)定需要保護(hù)的資源主體是動(dòng)作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對(duì)象不能被當(dāng)作客體使用一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行答案：C數(shù)字簽名不能實(shí)現(xiàn)的安全特性為（）A.防抵賴 B.防偽造 C.防冒充D.保密通信答案：D在入侵檢測(cè)（IDS）的運(yùn)行中，最常見(jiàn)的問(wèn)題是：（）A.誤報(bào)檢測(cè)B.接收陷阱消息C.誤拒絕率D.拒絕服務(wù)攻擊答案：A什么是系統(tǒng)變更控制中最重要的內(nèi)容？A.所有的變更都必須文字化，并被批準(zhǔn)B.變更應(yīng)通過(guò)自動(dòng)化工具來(lái)實(shí)施應(yīng)維護(hù)系統(tǒng)的備份D.通過(guò)測(cè)試和批準(zhǔn)來(lái)確保質(zhì)量答案：AIPv4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多

33、地考慮安全問(wèn)題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗(yàn)和 字段來(lái)保證IP包的安全，因此IP包很容易被篡改，并重新計(jì)算校驗(yàn)和IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計(jì) 目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，保證數(shù)據(jù)的完 整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。下列選項(xiàng)中說(shuō)法錯(cuò)誤的是（）對(duì)于IPv4, IPSec是可選的，對(duì)于IPv6，IPSec是強(qiáng)制實(shí)施的。IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。IPSec是一個(gè)單獨(dú)的協(xié)議IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制。答案：C小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問(wèn) 控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗 的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）。A.訪問(wèn)控制列表（ACL）B.能力表（CL） C.BL