測(cè)試六測(cè)試題

1、測(cè)試六復(fù)制1.國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)息安全保障工作的意見中辦發(fā)【2003】27號(hào)明確了我國(guó)信息安全保障工作的（）、加強(qiáng)信息安全保障工作的（ ）、需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是，它標(biāo)志著我國(guó)信息安全保障工作有了（ ）、我國(guó)最近十余年的信息安全保障工作都是圍繞此政策性文件來(lái)（ ）的、促進(jìn)了我國(guó)（ ）的各項(xiàng)工作。 單選題 *A.方針、主要原則、總體綱領(lǐng)、展開和推進(jìn)、信息安全保障建設(shè)B.部體要求、總體得領(lǐng)、主要原則、展開、信息安全保障建設(shè)C.方針和總體要求、主要原則、總體綱領(lǐng)、展開和推進(jìn)、信息安全保障建設(shè)(正確答案)D.總體要求、主要原則、總體綱領(lǐng)、展開、信息安全保障建設(shè)2.

2、對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素，信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響，依據(jù)信息系統(tǒng)的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的是 （） 單選題 *A.特別重要信息系統(tǒng)B.重要信息系統(tǒng)C.一般信息系統(tǒng)D關(guān)鍵信息系統(tǒng)(正確答案)3.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上， 信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤， 作為企業(yè)的CSO請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)? （） 單選題 *A公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)、應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)有應(yīng)急預(yù)案五個(gè)階段，流程完善可用

3、(正確答案)B.公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型C公司應(yīng)急預(yù)案對(duì)事件分類依據(jù)GB/Z 20986-2007信息安全技術(shù)信息安全事件分類分級(jí)指南，分為7個(gè)基本類別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)D.公司成立了信息安全應(yīng)急響應(yīng)組織，該組織由業(yè)務(wù)和技術(shù)人員組成，劃分成應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、技術(shù)保障小組，專家小組、實(shí)施小組和日常運(yùn)行小組4.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要，計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報(bào)告時(shí)，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是（） 單選

4、題 *A應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B.應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)C.編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求，因此必須建設(shè)(正確答案)D.應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施5.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素 （） 單選題 *A信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全標(biāo)準(zhǔn)B.信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C.C消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)

5、(正確答案)D.該銀行整體安全策略6. 北京某公司利用SSE CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（） 單選題 *A.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個(gè)能力級(jí)別，當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過(guò)程域中的基本實(shí)踐時(shí)，該過(guò)程域的過(guò)程能力是0級(jí)(正確答案)B.達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過(guò)程，每次執(zhí)行的結(jié)果質(zhì)量必須相同C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了3個(gè)風(fēng)險(xiǎn)過(guò)程:評(píng)價(jià)威脅，評(píng)價(jià)脆弱性， 評(píng)價(jià)影響D.SSE CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性7. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備

6、加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒有直接幫助的是 （） 單選題 *A.要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)B.要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則C.要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題D.要求開發(fā)人員采用瀑布模型進(jìn)行開發(fā)(正確答案)8. 關(guān)于密鑰管理，下列說(shuō)法錯(cuò)誤的是 （） 單選題 *A利克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B保密通信過(guò)程中，通信方使用之前用過(guò)的會(huì)話密鑰建立會(huì)話，不影響通信安全(正確答案)C密鑰管理需要考慮密鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷等生命周期過(guò)程的每個(gè)環(huán)節(jié)D.在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-

7、Hellman協(xié)議協(xié)商出會(huì)話密鑰9. 某購(gòu)物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，這了保護(hù)用戶的賬戶安全，項(xiàng)目開發(fā)人員決定用戶登入時(shí)除了用戶名口令登入方式外，還加入了基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后放在后臺(tái)數(shù)據(jù)庫(kù)，請(qǐng)問(wèn)以上安全設(shè)計(jì)新綸遵循的是哪項(xiàng)安全設(shè)計(jì)原則 （） 單選題 *A最小特權(quán)原則B職責(zé)分享原則C縱深防御原則(正確答案)D最少共享機(jī)制原則10. 即使最好用和安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中最終都能夠找出一個(gè)被開發(fā)出的漏洞。一種有效的對(duì)策是在敵手和他的目標(biāo)之間配備多種（ ）。每一種機(jī)制都應(yīng)該包括（ ）兩種手段。 單選題 *A安全機(jī)制、安全缺陷、

8、保護(hù)和檢測(cè)B安全缺陷、安全機(jī)制、保護(hù)和檢測(cè)(正確答案)C安全缺陷、保護(hù)和檢測(cè)、安全機(jī)制D. 安全缺陷、安全機(jī)制、外邊和內(nèi)部11. 在某次信息安全應(yīng)急響應(yīng)過(guò)程中，小王正在實(shí)施如下措施:消除或阻斷攻擊源、找到或消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請(qǐng)問(wèn)，按照PDRECF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段 （） 單選題 *A. 準(zhǔn)備階段B. 檢測(cè)階段C. 遏制階段D. 根除階段(正確答案)12. 關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是（） 單選題 *A.對(duì)內(nèi)而言,有助于建立文檔化的信息安全管理規(guī)范,實(shí)現(xiàn)有“法”可依、有章可循、有據(jù)可查B.對(duì)內(nèi)而

9、言,是個(gè)光花錢不掙錢的事,需要組織通過(guò)其它方面的收入來(lái)彌補(bǔ)投入(正確答案)C.對(duì)外而言,有助于使各利益相關(guān)方對(duì)組織充滿信心D.對(duì)外而言，能直到規(guī)范外包流程與要求，幫助界定雙方各自信息安全管理責(zé)任13. 在國(guó)家標(biāo)準(zhǔn)GD/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面（） 單選題 *A. 保障要素、生命周期和運(yùn)行維護(hù)B. 保障要素、生命周期和安全特征(正確答案)C. 規(guī)劃組織、生命周期和安全特征D. 規(guī)劃組織、生命周期和運(yùn)行維護(hù)14. 按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)，向公安

10、機(jī)關(guān)備案即可，可以不需要上級(jí)或主管部門來(lái)測(cè)評(píng)和檢查。此類信息系統(tǒng)應(yīng)屬于（） 單選題 *A. 零級(jí)系統(tǒng)B. 一級(jí)系統(tǒng)(正確答案)C. 二級(jí)系統(tǒng)D三級(jí)系統(tǒng)15. 關(guān)于信息安全管理體系（Information Security Management Systems,ISMS），下面描述錯(cuò)誤的是（） 單選題 *A. 信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素B. 管理體系（Management Systens）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系和思想在信息安全領(lǐng)

11、域的應(yīng)用C概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的一部分D. 和其它管理體系一樣，信息管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)培訓(xùn)等內(nèi)容(正確答案)16. 小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)值是400萬(wàn)元人民幣，暴露系數(shù)（Exposure Factor,EF）是25%，年度發(fā)生率（Annualized Rate of Occurrence ,ARD）為0.2，那么小王計(jì)算的年度預(yù)期損失（

12、 Annualized Loss Expectancy，ALE）應(yīng)該是（） 單選題 *A. 100萬(wàn)元B. 400萬(wàn)元C. 20萬(wàn)元(正確答案)D. 180萬(wàn)元17.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，按照規(guī)范形成了若干文檔，其中，下面( )中的文檔應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“ 風(fēng)險(xiǎn)要素識(shí)別階段輸出的文檔。 （） 單選題 *A.風(fēng)險(xiǎn)評(píng)估方案，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、范圍、目標(biāo)、評(píng)估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B.風(fēng)險(xiǎn)評(píng)估方法和工具列表，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C. 風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求，主要包括現(xiàn)有風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)

13、險(xiǎn)分析方法、 資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容D.已有安全措施列表，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)18.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC 27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，以下哪個(gè)選項(xiàng)的內(nèi)容不屬于常規(guī)控制措施的范圍（） 單選題 *A. 信息安全方針、信息安全組織、資產(chǎn)管理B. 人力資源安全、物理和環(huán)境安全、通信安全C. 安全采購(gòu)、開發(fā)與維護(hù)、合規(guī)性(正確答案)D. 安全事件管理、供應(yīng)商關(guān)系、業(yè)務(wù)安全性審計(jì)19.由于Internet 的安全問(wèn)題日益突出，基于TCP/IP 協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次

14、設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來(lái)保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（） 單選題 *A. PP2PB. L2TPC. SSL(正確答案)D. IPSec20.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是（）. 單選題 *A. 項(xiàng)目是為達(dá)到特定的目的、使用定資源、在確定的期間內(nèi)、 為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、 服務(wù)或成果而進(jìn)行的一次性努力B. 項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定(正確答案)C. 項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等D. 項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific) 、可測(cè)量21.為了保障系統(tǒng)安全，某單位需要對(duì)其

15、跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過(guò)程的說(shuō)法不正確的是（） 單選題 *A.由于在實(shí)際滲透測(cè)試過(guò)程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問(wèn)題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B.滲透測(cè)試從“逆向的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀C.滲透測(cè)試應(yīng)當(dāng)經(jīng)過(guò)方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試(正確答案)22.隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來(lái)越突出,而與此同時(shí),發(fā)生的信息安全事件也越來(lái)越多。綜合分析信息安全問(wèn)

16、題產(chǎn)生的根源,下面描述正確的是（） 單選題 *A. 信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來(lái)越重要，同時(shí)自身在開發(fā)、部署和使用過(guò)程中存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問(wèn)題的根本所在B. 信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來(lái)越廣泛，接觸信息系統(tǒng)的人越多，信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問(wèn)題C. 信息安全問(wèn)題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性，同時(shí)外部又有威脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風(fēng)險(xiǎn)，需從內(nèi)外

17、因同時(shí)著手(正確答案)D. 信息安全問(wèn)題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過(guò)遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此，對(duì)人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)23.保護(hù)-檢測(cè)-響應(yīng)(Protection-Detection-Response, PDR) 模型是( )工作中常用的模型，其思想是承認(rèn): ( )中漏洞的存在，正視系統(tǒng)面臨的（），通過(guò)采取適度防護(hù)、加強(qiáng)( )、落實(shí)對(duì)安全事件的響應(yīng)、建立對(duì)威脅的防護(hù)來(lái)保障系統(tǒng)的安全。 單選題 *A. 信息系統(tǒng); 信息安全保障; 威脅; 檢測(cè)工作B.

18、 信息安全保障; 信息系統(tǒng); 檢測(cè)工作; 威脅C. 信息安全保障; 信息系統(tǒng); 威脅; 檢測(cè)工作(正確答案)D. 信息安全保障; 威脅; 信息系統(tǒng); 檢測(cè)工作24.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁(yè)時(shí)總導(dǎo)致病毒感染系統(tǒng)，為了解決這一問(wèn)題，老王要求信息安全員給出解決措施，信息安全員給出了四條建議措施，老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一的條不太適合推廣，你認(rèn)為是哪條措施（） 單選題 *A. 采購(gòu)防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對(duì)所有瀏覽網(wǎng)頁(yè)進(jìn)行檢測(cè)，阻止網(wǎng)頁(yè)中的病毒進(jìn)入內(nèi)網(wǎng)B. 采購(gòu)并統(tǒng)一部署企業(yè)病毒軟件，信息化管理部門統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)，確保每臺(tái)計(jì)算機(jī)都具備有效的

19、病毒檢測(cè)和查殺能力C. 制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器(正確答案)D. 組織對(duì)員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)25. 小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí)，發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的PRO（恢復(fù)點(diǎn)目標(biāo)）指標(biāo)為3小時(shí)，請(qǐng)問(wèn)這意味著（） 單選題 *A. 該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問(wèn)題定位和應(yīng)急處理工作B. 該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完成應(yīng)急處理工作，并恢復(fù)對(duì)外運(yùn)行C. 若該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3

20、小時(shí)的業(yè)務(wù)數(shù)據(jù)(正確答案)D. 該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)運(yùn)行3小時(shí)后能恢復(fù)所有的數(shù)據(jù)26.以下關(guān)于WEB傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問(wèn)題說(shuō)法不正確的是（） 單選題 *A. HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、驗(yàn)證弱和缺乏狀態(tài)跟蹤等方面的安全問(wèn)題B. HTTP協(xié)議缺乏有效的安全機(jī)制，易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊C. Cookie是為了辨別用戶身份，進(jìn)行會(huì)話跟蹤而存儲(chǔ)在用戶本地終端上的數(shù)據(jù)，用戶可以隨意查看存儲(chǔ)在Cookie中的數(shù)據(jù)，但其中的數(shù)據(jù)不能修改(正確答案)D. 針對(duì)HTTP協(xié)議是存在的安全問(wèn)題，使用HTTPS具有較高的安全性，可以

21、通過(guò)證書來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密27. 小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及到金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄該功能模塊的方式來(lái)處理該風(fēng)險(xiǎn)。請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置方式是（） 單選題 *A. 降低風(fēng)險(xiǎn)B. 規(guī)避風(fēng)險(xiǎn)(正確答案)C. 轉(zhuǎn)移風(fēng)險(xiǎn)D. 放棄風(fēng)險(xiǎn)28. Linux系統(tǒng)的安全設(shè)置主要是從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登入安全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來(lái)完成。小張?jiān)趯W(xué)習(xí)了Linus系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配。下列選項(xiàng)

22、是他進(jìn)行的部分操作，其中不合理的是（） 單選題 *A. 編輯文件/etc/passwd，檢查文件中用戶ID，禁用所有ID=0的用戶(正確答案)B. 編輯文件/etc/ssh/ssh_config，將PermitRootLogin設(shè)置為noC. 編輯文件/etc/pam.d/system-auth，設(shè)置auth required pam-tally.so onerr=fail deny =6 unlock_time=300D. 編輯文件/etc/profile，設(shè)置TMOUT=60029.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度（Defects/KLOC） 來(lái)衡量軟件的安全性。假

23、設(shè)某個(gè)軟件共有296萬(wàn)行的源代碼，總共被檢出145個(gè)缺陷，則可以計(jì)算出軟件的缺陷密度值是（） 單選題 *A.0.00049B. 0.049C. 0.49(正確答案)D. 4930. 若一個(gè)組織聲稱自己的ISMS符合ISO/IEC 27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制措施這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)（） 單選題 *A. 符合法律要求B. 符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C. 信息系統(tǒng)審核考慮D. 訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理(正確答案)31. 數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，封裝

24、的順序是（） 單選題 *A. 傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B. 傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層(正確答案)C. 互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D. 互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層32. 以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全（） 單選題 *A. 信息安全管理體系(ISMS )B. 信息安全等級(jí)保護(hù)(正確答案)C. NIST SP800D. IS0 270000系列33. 操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、

25、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺(tái)計(jì)算機(jī)兒，開機(jī)后首先對(duì)自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有: (1) 關(guān)閉不必要的服務(wù)和端口;（2）在“本地安全策略”配置賬號(hào)策略、本地策略、公鑰策略和IP安全策略; (3) 備份敏感文件，禁止建立空連接，下載最新補(bǔ)丁;（4）關(guān)閉審核策略、開啟口令策略、開啟賬戶策略。這些操作中錯(cuò)誤的是（） 單選題 *A. 操作(1)，應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B. 操作(2)，在“本地安全策略“中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C. 操作(3)，備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加D. 操作(4)

26、，應(yīng)該開啟審核策略(正確答案)34.數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是 （） 單選題 *A. 最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)， 使得這些信息恰好能夠完成用戶的工作B. 最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息(正確答案)C. 粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D. 按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分35.我國(guó)等級(jí)保護(hù)政策發(fā)展的正確順序是（） 等級(jí)保

27、護(hù)相關(guān)政策文件頒布 計(jì)算機(jī)系統(tǒng)安全保護(hù)等級(jí)劃分思想提出 等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)發(fā)布 網(wǎng)絡(luò)安全法將等級(jí)保護(hù)制度作為基本國(guó)策 等級(jí)保護(hù)工作試點(diǎn) 單選題 *A. B. C. (正確答案)D. 336.隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切，越來(lái)越多的組織開始嘗試使用參考ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS,下面描述錯(cuò)誤的是（） 單選題 *A. 在組織中，應(yīng)由信息技術(shù)責(zé)任部門(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求(正確答案)B. 組織的管理層應(yīng)確保ISMS目標(biāo)和相

28、應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性C. 組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方D. 組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則， 并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)37.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說(shuō)法正確的是（） 單選題 *A.防火墻既能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離，又能實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離B.安全隔離與信息交換系統(tǒng)也稱為網(wǎng)閘，需要信息交換時(shí)，同一時(shí)間可以和兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)連接C.人侵檢測(cè)系統(tǒng)的主要作用是發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略的行為(

29、正確答案)D.虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中,利用隧道技術(shù),建立一個(gè)永久、安全的通信網(wǎng)絡(luò)38.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了安裝FTP服務(wù)漏洞補(bǔ)丁程序并加固FTP服務(wù)安全措施，請(qǐng)問(wèn)該措施屬于哪種風(fēng)險(xiǎn)處理方式（） 單選題 *A. 風(fēng)險(xiǎn)降低(正確答案)B. 風(fēng)險(xiǎn)規(guī)避C. 風(fēng)險(xiǎn)轉(zhuǎn)移D. 風(fēng)險(xiǎn)接受39. 私有IP地址是一段保留的一段保留的 IP地址，只能用在局域網(wǎng)中，無(wú)法在Internet 上使用。關(guān)于私有IP地址，下面描述正確的是（） 單選題 *A. A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B. A類地址

30、中沒有私有地址， B類和C類地址中可以設(shè)置私有地址C. A類、 B類和C類地址中都可以設(shè)置私有地址(正確答案)D. A類、 B類和C類地址中都沒有設(shè)置私有地址40. 小張新購(gòu)入了一臺(tái)安裝了Windows操作系統(tǒng)的筆記本電腦。為了提升操作系統(tǒng)的安全性，小張?jiān)赪indows系統(tǒng)中的“本地安全策略”中，配置了四類安全策略:賬號(hào)策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的（） 單選題 *A. 關(guān)閉不必要的操作B. 關(guān)閉不必要的端口(正確答案)C. 制定安全策略D. 查看日志記錄41. PDCA循環(huán)以叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的

31、是（） 單選題 *A. P是Prepaer ，指準(zhǔn)備，包括明確對(duì)象、方法、制定活動(dòng)規(guī)劃(正確答案)B.D是Do，指實(shí)施，具體運(yùn)作，實(shí)施計(jì)劃中的內(nèi)容C. C是Check，指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問(wèn)題D. A是Act或Adjust，指改進(jìn)、完美和處理，對(duì)總結(jié)和檢查的結(jié)果進(jìn)行處理，對(duì)成功的經(jīng)驗(yàn)加以肯定，并予以標(biāo)準(zhǔn)化，總結(jié)失敗的教訓(xùn)并加以重視，對(duì)沒有解決的問(wèn)題，應(yīng)交給下一個(gè)PDCA循環(huán)解決42. 以下有關(guān)系統(tǒng)一程說(shuō)法錯(cuò)誤的是（） 單選題 *A. 系統(tǒng)工程不屬于基本理論，也不屬于技術(shù)基礎(chǔ)，它研究的是重點(diǎn)是方法論B. 系統(tǒng)工程的目的是實(shí)現(xiàn)總體效果最優(yōu)化，即從復(fù)雜問(wèn)題的總體入手，認(rèn)為總體大

32、于各部分之和各部分雖然存在不足，但總體可以優(yōu)化C. 系統(tǒng)工程只需使用定量分析方法，通過(guò)建立實(shí)際對(duì)象的數(shù)學(xué)模型，應(yīng)用合適的優(yōu)化算法對(duì)模型進(jìn)行求解，解決實(shí)際問(wèn)題(正確答案)D. 霍爾三級(jí)結(jié)構(gòu)將系統(tǒng)工程整個(gè)活動(dòng)過(guò)程分為7個(gè)前后緊密銜接的7 個(gè)階段和7個(gè)步驟43. 關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（） 單選題 *A. ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答文件，使得受害者主機(jī)將錯(cuò)誤的地址映射關(guān)系存入到ARP緩存中，從而直到冒充主機(jī)的目的B. 單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C. 解決ARP欺騙的一個(gè)有效方法是采用 “靜態(tài)”A

33、RP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D. 徹底解決ARP欺騙的方法是避免作用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)連接(正確答案)44. 若一個(gè)組織聲稱自己的ISMS符合IS0/IEC 27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾，關(guān)鍵或敏感信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)，并受到相應(yīng)保護(hù)，該目標(biāo)可以通過(guò)以下控制措施來(lái)實(shí)現(xiàn)，不包括哪一項(xiàng)（） 單選題 *A. 物理安全邊界、物理入口控制B. 辦公室、

34、房間和和設(shè)施的安全保護(hù)，外部和環(huán)境威脅的安全防護(hù)(正確答案)C. 通信安全、合規(guī)性D. 在安全區(qū)域工作、公共訪問(wèn)、交接區(qū)安全45. 訪問(wèn)控制的實(shí)施一般包括兩個(gè)步驟:首先要鑒別主體的合法身份，接著根據(jù)當(dāng)前系統(tǒng)的訪問(wèn)控制規(guī)則授于用戶相應(yīng)的權(quán)限。在此過(guò)程中涉及主體、客體、訪問(wèn)控制實(shí)施部件和訪問(wèn)控制決策部件之間的交互。下圖所示的訪問(wèn)控制實(shí)施步驟中，標(biāo)有數(shù)字的方框代表了主體、客體、訪問(wèn)控制實(shí)施部件和訪問(wèn)控制決策部件。下列選項(xiàng)中，標(biāo)有數(shù)字1、2、3、4的方框分別對(duì)應(yīng)的實(shí)體或部件正確的是（） 單選題 *A.主體、訪問(wèn)控制決策、客體、訪問(wèn)控制實(shí)施B.主體、訪問(wèn)控制實(shí)施、客體、訪問(wèn)控制決策(正確答案)C.客體、

35、訪問(wèn)控制決策、主體、訪問(wèn)控制實(shí)施D. 客體、訪問(wèn)控制過(guò)施、主體、訪問(wèn)控制決策46. 你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此批漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行（）， 單選題 *A. 由于本次發(fā)布數(shù)個(gè)漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B. 本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C. 對(duì)于重要的服務(wù)，應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再在正式生產(chǎn)環(huán)境中部署(正確答案)D. 對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒有

36、重要數(shù)據(jù)，由終端自行升級(jí)47.GB/T 18336信息技術(shù)安全性評(píng)估準(zhǔn)則是測(cè)評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓(Protection Profile PP) 和安全目標(biāo)（Security Target ,ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)(Evaluation Assurance Level ,EAL)， 其評(píng)估保證級(jí)共分為 （） 個(gè)遞增的評(píng)估保證等級(jí)。 單選題 *A. 4B. 5C. 6D. 7(正確答案)48.公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)引入數(shù)字證書的概念，用來(lái)表示用戶的身份。下圖簡(jiǎn)要地描述了終端實(shí)體(用戶)從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤

37、銷和更新數(shù)字證書的流程。請(qǐng)為中間框空白處選擇合適的選項(xiàng)（） 單選題 *A.證書庫(kù)B. RA(正確答案)C. OCSPD. CRL庫(kù)49. 某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動(dòng)訪問(wèn)該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了。這種向Web頁(yè)面插入惡意html代碼的攻擊方式稱為（） 單選題 *A.分布式拒絕服務(wù)攻擊B.B. 跨站腳本攻擊(正確答案)C. SQL注入攻擊D. 緩沖區(qū)溢出攻擊50.由

38、于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說(shuō)法錯(cuò)誤的是（） . 單選題 *A. 科克霍夫在軍事密碼學(xué)中指系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰B. 在保密通信過(guò)程中，通信雙方可以一直使用之前用過(guò)的會(huì)話密鑰，不影響安全性(正確答案)C密鑰管理需要在安全策略的指導(dǎo)下處理密鑰生命周期的整個(gè)過(guò)程，包括產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷等D. 在保密通信過(guò)程中，通信雙方也可利用Diffe Hellman協(xié)議協(xié)商出會(huì)話密鑰進(jìn)行保密通信51.統(tǒng)一威脅管理”是將防病毒、入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這

39、里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱為（） 單選題 *A. UTM(正確答案)B. FWC. IDSD. SOC52. 某單位信息安全崗位員工，利用個(gè)人業(yè)余時(shí)間，在社交網(wǎng)絡(luò)平臺(tái)上向業(yè)內(nèi)同行不定期發(fā)布信息安全相關(guān)知識(shí)和前沿動(dòng)態(tài)資訊。這行為主要符合以下哪一條注冊(cè)信信息安全專業(yè)人員(CISP)職業(yè)道德準(zhǔn)則（） 單選題 *A. 避免任何損害CISP聲譽(yù)形象的行為B. 自覺維護(hù)公眾信息安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私的行為C. 幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力(正確答案)D. 不在公眾網(wǎng)絡(luò)傳專播反動(dòng)、暴力、黃色、低俗信息及非法軟件53.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前

40、往一這企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出對(duì)企業(yè)信息系統(tǒng)訪問(wèn)控制模型設(shè)計(jì)思路。如果想要為一個(gè)豐存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在以下選項(xiàng)中，從時(shí)間和資源耗費(fèi)角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（） 單選題 *A.訪問(wèn)控制列表（ACL）(正確答案)B. 能力表(CL)C. BLP模型D. Biba模型54. CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性（） 單選題 *A. 結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B. 表達(dá)方式的通用性，即給出通用的表達(dá)方式C. 獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離

41、(正確答案)D. 實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過(guò)程55。自主訪問(wèn)控制模型（）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL 利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（C） *A. ACL是Beli-LaPadula模型的一種具體實(shí)現(xiàn)B. ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便C. ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能夠訪問(wèn)哪些客體比較方便D. ACL在增加客體時(shí)，增加相關(guān)的訪問(wèn)控制權(quán)限較為簡(jiǎn)單(正確答案)56. 王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)

42、管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)資產(chǎn):資產(chǎn)A1和資產(chǎn)A2;其中資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2;面資產(chǎn)A2面臨一個(gè)主要威脅T3;威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性，脆弱性V1和脆弱性V2;威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5; 威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性，脆弱性V6和脆弱性V7。根據(jù)上述條件，請(qǐng)問(wèn): 使用相乘法時(shí)，應(yīng)該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值（） 單選題 *A. 2B. 3C. 5(正確答案)D. 657. 恢復(fù)時(shí)間目標(biāo)（Recovery Time Objective, RTO）和恢復(fù)點(diǎn)目標(biāo)（Recovery Po

43、int Objective,RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)中的兩人重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值起來(lái)越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是（） 單選題 *A. RTO可以為0，RPO也可以為0(正確答案)B. RTO可以為0，RPO不可以為0C. RTO不可以為0，RPO也可以為0D. RTO不可以為0，RPO也不可以為058. 關(guān)于計(jì)算機(jī)取證描述不正確的是（） 單選題 *A. 計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)的活動(dòng)B. 取證的目的包括:通過(guò)證

44、據(jù)查找肇事者、通過(guò)證據(jù)推斷犯罪過(guò)程、通過(guò)證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持C. 電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品。對(duì)于電子證據(jù)，取證工作主要從兩個(gè)方面進(jìn)行:證據(jù)的獲取和證據(jù)的保護(hù)(正確答案)D. 計(jì)算機(jī)取證的過(guò)程可分為準(zhǔn)備、保護(hù)、提取、分析和提交5個(gè)步驟59. 2016年10月21日，美國(guó)東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國(guó)主要DNS 服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對(duì)人們生活造成嚴(yán)重影響。DDos攻擊主要目的是破壞系統(tǒng)的（） 單選題 *A. 保密性B. 可用性(正確答案)C. 不可否認(rèn)性D. 抗抵賴性60. 以

45、下關(guān)于威脅建模流程步驟說(shuō)法不正確的是（） 單選題 *A. 威脅建模主要流程包括四步:確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消除威脅B. 評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被攻擊和利用的概率，了解被攻擊后資產(chǎn)的受損的后果，并計(jì)算風(fēng)險(xiǎn)C. 消除威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過(guò)重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消除威脅D. 識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的成脅，它可能是惡意的，也可能不是惡意的，成脅就是漏洞(正確答案)61.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問(wèn)控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績(jī)，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)

46、校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)修改。下列選項(xiàng)中，對(duì)訪間控制的作用理解錯(cuò)誤的是（） 單選題 *A. 對(duì)經(jīng)過(guò)身份簽別后的合法用戶提供所有服務(wù)(正確答案)B. 拒絕非法用戶的非授權(quán)訪問(wèn)請(qǐng)求C. 在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行管理D.防止對(duì)信息的非授權(quán)篡改和濫用62. 某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪問(wèn)，影響到了與公司有業(yè)務(wù)往來(lái)部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z 209

47、86-2007 信息安全事件分級(jí)分類指南，該事件的準(zhǔn)確分類和定級(jí)應(yīng)該是（） 單選題 *A. 有害程序事件 特別重大事件(I級(jí))B. 信息破壞事件 重大事件(II級(jí))C. 有害程序事件 較大事件(III級(jí))D. 信息破壞事件一般事件(IV級(jí))(正確答案)63. Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是（）. 單選題 *A. WPA是有線局域安全協(xié)議，WPA2是無(wú)線局域網(wǎng)協(xié)議B. WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議，而WPA2是適用于全世界的無(wú)線局城網(wǎng)協(xié)議C. WPA沒有使用密碼算法對(duì)接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D. WPA是依歸802.11i

48、標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的(正確答案)64. 部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(Internet Protocol Security Virtual Private Network, IPsec VPN)時(shí)，以下說(shuō)法正確的是（）. 單選題 *A. 配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B. 配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C. 部署IPsec VPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP 地址段，來(lái)減少IPsec安全關(guān)聯(lián)( Security Authentication, SA)資源的消耗(正確答案)D. 報(bào)文驗(yàn)證頭協(xié)議(Au

49、thentication Header, AH)可以提供數(shù)據(jù)機(jī)密性65. 有關(guān)能力成熟度模型(CMM)，錯(cuò)誤的理解是（） 單選題 *A. CMM的思想不關(guān)注結(jié)果，而是強(qiáng)調(diào)了過(guò)程的控制，過(guò)程如果是高質(zhì)量的，結(jié)果通常會(huì)是高質(zhì)量的B. CMM的思想來(lái)源于項(xiàng)目管理、質(zhì)量管理和過(guò)程管理(正確答案)C. CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過(guò)程的方法D. CMM是建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品66.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況，選擇適當(dāng)?shù)?/p>

50、風(fēng)險(xiǎn)評(píng)估方法。下面的描述中，錯(cuò)誤的是（） 單選題 *A.定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和損失量B.定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析(正確答案)C.定性風(fēng)險(xiǎn)分析過(guò)程中，往往需要憑借分析者的經(jīng)驗(yàn)直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)、技能密切相關(guān)D.定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性67. 隨機(jī)進(jìn)程名稱是惡意代碼迷感管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)，描述正確的是（） 單選題 *A. 隨機(jī)進(jìn)程名技術(shù)雖然每次

51、進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身B. 惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使進(jìn)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C. 惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D. 隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過(guò)不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱(正確答案)68. 以下關(guān)于檢查評(píng)估和自評(píng)估說(shuō)法錯(cuò)誤的是（） . 單選題 *A. 信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充(正確答案)B. 檢查評(píng)估可以依據(jù)相關(guān)標(biāo)準(zhǔn)的

52、要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估，也可以在自評(píng)估實(shí)施的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估C. 信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和運(yùn)行的全過(guò)程D. 自評(píng)估只能由組織自身發(fā)起并實(shí)施，對(duì)信息系統(tǒng)及其管理進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)69. 某信息安全公司的團(tuán)隊(duì)對(duì)某款名為”紅包快搶“的外掛進(jìn)行分析，發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦訪問(wèn)權(quán)。該后門程序?yàn)榱诉_(dá)到長(zhǎng)期駐留在受害者的計(jì)算機(jī)中，通過(guò)修改注冊(cè)表啟動(dòng)項(xiàng)來(lái)達(dá)到后門程度隨受害者計(jì)算機(jī)啟動(dòng)面啟動(dòng)。為防范此類木馬后門的攻擊，以下做法無(wú)用的是（） 單選題 *A. 不下載、不執(zhí)行、不接收來(lái)歷不明的軟件或文件B. 修改用戶名和口令(正確答案)C.

53、 不打開來(lái)歷不明的郵件，不瀏覽一健康不正規(guī)的網(wǎng)站D. 安裝防病毒軟件和防火墻，安裝專門的木馬防治軟件70. 具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括（）(1) 安全事件（包括安全事故）報(bào)告制度，（2）安全等級(jí)保護(hù)制度，（3）信息系統(tǒng)安全監(jiān)管，（4）安全專用產(chǎn)品銷售許可證書制度 單選題 *A. 1、2、4(正確答案)B. 2、3C. 2、3、4D. 1、2、371. （）第二十三條規(guī)定存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照（ ）實(shí)行分級(jí)保護(hù)。（ ）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（ ）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)兩步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信

54、息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（ ）后，方可投入使用。 單選題 *A. 保密法、涉密程度、涉密信息系統(tǒng)、保密設(shè)施、檢查合格(正確答案)B. 國(guó)家保密法、涉密程度、涉密系統(tǒng)、保密設(shè)施、檢查合格C. 網(wǎng)絡(luò)保密法、涉密程度、涉密系統(tǒng)、保密設(shè)施、檢查合格D. 安全保密法、涉密程度、涉密信息系統(tǒng)、保密設(shè)施、檢查合格72.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的（） 單選題 *A. 要充分符合信息安全需求并且實(shí)際可行B. 要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C. 要使用當(dāng)前最新的技術(shù)和成本最高的設(shè)備，從而保障信息系統(tǒng)的絕對(duì)安全(正確答案)D. 要充分考試用戶的管理和文

55、件的可接受性，減少系統(tǒng)方案實(shí)施障礙73. 某集團(tuán)公司信息安靜管理員根據(jù)領(lǐng)導(dǎo)的安排制定了下一年度的培訓(xùn)工作計(jì)劃，提出四大培訓(xùn)任務(wù)和目標(biāo)，關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中不合理的是（） 單選題 *A. 由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度，網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對(duì)集團(tuán)公司下屬單位的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B. 對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗位人員實(shí)施全面安全培訓(xùn)，建議通過(guò)CISP培訓(xùn)以確保人員能力得到保障C. 對(duì)其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解(正確答案)D. 對(duì)全體員工安排信息安全意識(shí)和基礎(chǔ)安全知識(shí)培

56、訓(xùn)，實(shí)現(xiàn)全員信息安全意識(shí)教育74. 某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧。開發(fā)部門認(rèn)為開發(fā)階段無(wú)需投入，軟件開發(fā)完成后發(fā)現(xiàn)問(wèn)題后再針對(duì)性的解決，比前期安全投入要成本更低;信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大。雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說(shuō)法（） 單選題 *A.信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問(wèn)題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低(正確答案)B.軟件開發(fā)部門的說(shuō)法是正確的，因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低C.雙方的

57、說(shuō)法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問(wèn)題還是在上線后再解決問(wèn)題費(fèi)用更低D.雙方的說(shuō)法都錯(cuò)誤，軟件安全問(wèn)題在任何時(shí)候投入解決都可以，只要是一樣的問(wèn)題， 解決的代價(jià)相同75. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒有直接幫助的是（） 單選題 *A.要求開發(fā)人員采用瀑布模型進(jìn)行開發(fā)(正確答案)B.要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C.要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D.要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題76. 數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略,才可以更好的保護(hù)數(shù)據(jù)庫(kù)的安全

58、。以下關(guān)于數(shù)據(jù)庫(kù)常用策略理解不正確的是（） 單選題 *A.最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B.最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度的共享數(shù)據(jù)庫(kù)中的信息(正確答案)C.粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分77. 與PDR模型相比，P2DR模型則更強(qiáng)調(diào)( )，即強(qiáng)調(diào)系統(tǒng)安全的( )，并且以安全檢測(cè)、( )和自適應(yīng)填充“安全間隙”為循環(huán)來(lái)提高（） 單選題 *A.漏洞監(jiān)測(cè);控制和對(duì)抗;動(dòng)

59、態(tài)性;網(wǎng)絡(luò)安全B.動(dòng)態(tài)性:控制和對(duì)抗;漏洞監(jiān)測(cè);網(wǎng)絡(luò)安全C.控制和對(duì)抗;漏洞監(jiān)測(cè);動(dòng)態(tài)性:網(wǎng)絡(luò)安全D.控制和對(duì)抗;動(dòng)態(tài)性:屆洞監(jiān)測(cè);網(wǎng)絡(luò)安全(正確答案)78. 老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁(yè)時(shí)總導(dǎo)致病毒感染系統(tǒng)， 為了解決這一問(wèn)題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議， 老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一條不太適合推廣,你認(rèn)為是哪條措施（） 單選題 *A.采購(gòu)防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對(duì)所有瀏覽網(wǎng)頁(yè)進(jìn)行檢測(cè)，阻止網(wǎng)頁(yè)中的病毒進(jìn)入內(nèi)網(wǎng)B.采購(gòu)并統(tǒng)一部署企業(yè)防病毒軟件,信息化管理部門統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)，確保每臺(tái)許可都具備有效的病毒檢

60、測(cè)和查殺能力C.制定制度禁止使用微軟的IE瀏覽上網(wǎng)，統(tǒng)要求使用Chrome瀏覽器(正確答案)D.組織對(duì)員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)79. 某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告,該廣告含有一個(gè)跨站腳本,會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息，雖然該用戶沒有主動(dòng)訪問(wèn)該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息) ,于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了,這種向Web頁(yè)面插入惡意html 代碼的攻擊方式稱為（） 單選題 *A.分布式拒絕服務(wù)攻擊B、跨站腳本攻擊(正確答案)C、SQL注