CISP模擬題5附有答案

CISP模擬題51、有關(guān)能力成熟度模型（CMM），錯(cuò)誤的理解是（）[單選題]*A.CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量，生產(chǎn)率和利潤(rùn)率【正確答案】B.CMM的思想來源于項(xiàng)目管理和質(zhì)量管理C.CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D.CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即ldquo;生產(chǎn)過程的高質(zhì)量和過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量的產(chǎn)品2、某單位的信息安全主管部門在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是（）[單選題]*A.檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B.檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問題進(jìn)行檢查和評(píng)測(cè)【正確答案】C.檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D.檢查評(píng)估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)3、在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層次提供保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？（）[單選題]*A:網(wǎng)絡(luò)層【正確答案】B:表示層C:會(huì)話層D:物理層4、隨著人們信息安全意識(shí)的不斷增強(qiáng)，版權(quán)保護(hù)也受到越來越多的關(guān)注。在版權(quán)保護(hù)方面國(guó)內(nèi)外使用較為廣泛的是數(shù)字對(duì)象標(biāo)識(shí)符DOI（DigitalobjectIdentifier）系統(tǒng)，它是由非贏利性組織國(guó)際DOI基金會(huì)IDF（InternationalDOIFoundation）研究設(shè)計(jì)的，在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示，則下面對(duì)于DOI系統(tǒng)認(rèn)識(shí)正確的是（）[單選題]*A、DOI是一個(gè)暫時(shí)性的標(biāo)識(shí)號(hào)，由InternationalDOIFoundation管理B、DOI的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新【正確答案】C、DOI命名規(guī)則中前綴和后綴兩部之間用“；”分開D、DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式5、攻擊者通過向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上ARP緩存，形成一個(gè)錯(cuò)誤的IP地址<->MAC地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)述數(shù)據(jù)時(shí)封裝情誤的MAC地址。欺騙政擊過程如下圖示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過程（）[單選題]*A、ARP【正確答案】B、IPC、DNSD、SN6、隨著互聯(lián)網(wǎng)的迅猛發(fā)展，WEB信息的增加，用戶要在信息海洋里查找自己所需的信息，就像大海撈針一樣，搜索引擎技術(shù)恰好解決了這一難題，一下關(guān)于搜索引擎技術(shù)特點(diǎn)的描述中錯(cuò)誤的是（）[單選題]*A、搜索引擎以一定的策略在WeB系統(tǒng)中搜索和發(fā)現(xiàn)信息B、搜索引擎可以分為目錄導(dǎo)航式與網(wǎng)頁索引式【正確答案】C、搜索器在Internet上逐個(gè)訪問WeB站點(diǎn)，并建立一個(gè)網(wǎng)站的關(guān)鍵字列表索引器功能是理解搜索器獲取的向用戶顯示查詢結(jié)果D、索引器功能是理解搜索器獲取的信息，向用戶顯示查詢結(jié)果7、風(fēng)險(xiǎn)管理各要素關(guān)系如圖所示。由此圖得出，使命依賴于資產(chǎn)去完成。（）擁有價(jià)值，（）的程度越高，單位的使命越重要，對(duì)資產(chǎn)的依賴度越高，資產(chǎn)的價(jià)值則就越大。資產(chǎn)的價(jià)值越大則風(fēng)險(xiǎn)越大。風(fēng)險(xiǎn)是由威脅引發(fā)，威脅越大則風(fēng)險(xiǎn)越大，并可能演變成（）。[單選題]*A、資產(chǎn)；時(shí)間；信息化B、信息化；資產(chǎn)；事件C、資產(chǎn)；信息化；事件【正確答案】D、事件；資產(chǎn)；信息化8、隨著社會(huì)對(duì)信息信賴程度的增長(zhǎng)，信息的保護(hù)變得起來越重要。維護(hù)和保護(hù)信息需要許多產(chǎn)品、系統(tǒng)和服務(wù)。信息安全工程采用工程的概念、原理、技術(shù)和方法。來研究、開發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過程。良好的安全工程要求將四個(gè)方面集中在起，如下圖所示。針對(duì)該圖，良好的安全工程，第一是策略，用于（），第二是機(jī)制，用于（）；第三是保證，也就是（）；最后是動(dòng)機(jī)，也就是（），也包括（）。[單選題]*A、指明假定要達(dá)到的目標(biāo)；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；每種特定機(jī)制的可靠程度；攻擊者為實(shí)破安全策略必須付出的努力B、指明假定要達(dá)到的目標(biāo)；每種特定機(jī)制的可靠程度；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的共他機(jī)械；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為實(shí)破安全策略必須付出的努力C、密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；指明假定要達(dá)到的目標(biāo)；每種特定機(jī)制的可靠程度；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為突破安全策略必須付出的努力D指明假定要達(dá)到的目標(biāo)；密碼、訪問控制、硬件防篡改以及為了實(shí)現(xiàn)方針而組裝的其他機(jī)械；每種特定機(jī)制的可靠程度；系統(tǒng)保護(hù)與維護(hù)人員正確履行職責(zé)的動(dòng)力；攻擊者為突破安全策略必須付出的努力【正確答案】9、下圖示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對(duì)應(yīng),（）的目的是建立評(píng)估框架,并為現(xiàn)場(chǎng)階段準(zhǔn)備后勤方面的工作（）的目的是準(zhǔn)備評(píng)估團(tuán)隊(duì)進(jìn)行現(xiàn)場(chǎng)活動(dòng),并通過問卷進(jìn)行數(shù)據(jù)的初步收集和分析。（）主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評(píng)組織的專業(yè)人員提供參與數(shù)據(jù)采集和證實(shí)過程的機(jī)會(huì),小組對(duì)在此前三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行（）,并將調(diào)查結(jié)果呈送給發(fā)起者。[單選題]*A、現(xiàn)場(chǎng)階段；規(guī)劃階段；準(zhǔn)備階段；最終分析B、準(zhǔn)備階段；規(guī)劃階段；現(xiàn)場(chǎng)階段；最終分析C、規(guī)劃階段；現(xiàn)場(chǎng)階段；準(zhǔn)備階段；最終分析D、規(guī)劃階段；準(zhǔn)備階段；現(xiàn)場(chǎng)階段；最終分析【正確答案】10、下圖示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對(duì)應(yīng),（）的目的是建立評(píng)估框架,并為現(xiàn)場(chǎng)階段準(zhǔn)備后勤方面的工作（）的目的是準(zhǔn)備評(píng)估團(tuán)隊(duì)進(jìn)行現(xiàn)場(chǎng)活動(dòng),并通過問卷進(jìn)行數(shù)據(jù)的初步收集和分析。（）主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評(píng)組織的專業(yè)人員提供參與數(shù)據(jù)采集和證實(shí)過程的機(jī)會(huì),小組對(duì)在此前三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行（）,并將調(diào)查結(jié)果呈送給發(fā)起者。[單選題]*A、現(xiàn)場(chǎng)階段；規(guī)劃階段；準(zhǔn)備階段；最終分析B、準(zhǔn)備階段；規(guī)劃階段；現(xiàn)場(chǎng)階段；最終分析C、規(guī)劃階段；現(xiàn)場(chǎng)階段；準(zhǔn)備階段；最終分析D、規(guī)劃階段；準(zhǔn)備階段；現(xiàn)場(chǎng)階段；最終分析【正確答案】11、在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是：[單選題]*A、步驟1和步驟2發(fā)生錯(cuò)誤，應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB、步驟3和步驟4發(fā)生錯(cuò)誤，應(yīng)該向本地TGS請(qǐng)求并獲得遠(yuǎn)程TGT【正確答案】C、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程TGT12、下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型，這個(gè)模型經(jīng)常使用圖形的形式來表達(dá)的下圖空白處應(yīng)填（）[單選題]*A、策略【正確答案】B、方針C、人員D、項(xiàng)目13、如圖所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或者ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？（）[單選題]*A、10.0.0.0~10.255.255.255B、172.16.0.0~172.31.255.255C、192.168.0.0~192.168.255.255D、不在上述范圍內(nèi)【正確答案】14、公鑰基礎(chǔ)設(shè)施，引入數(shù)字證書的概念，用來表示用戶的身份，下圖簡(jiǎn)要的描述了終端實(shí)體（用戶），從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤銷和更新數(shù)字證書的流程，請(qǐng)為中間框空白處選擇合適的選項(xiàng)（）[單選題]*A、證書庫B、RA【正確答案】C、OCSPD、CRL庫15、某用戶通過賬號(hào)，密碼和驗(yàn)證碼成功登陸某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類（）[單選題]*A、個(gè)人網(wǎng)銀和用戶之間的雙向鑒別B、由可信第三方完成的用戶身份鑒別C、個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別【正確答案】D、用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性單向鑒別答16、物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域，包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直接存儲(chǔ)、處理數(shù)據(jù)的載體，其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對(duì)設(shè)施安全的保障措施的描述正確的是（）[單選題]*A、安全區(qū)域不僅包含物理區(qū)城，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)城需要建立安全屏蔽及訪問控制機(jī)制【正確答案】C、由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備，后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等17、某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問題中哪個(gè)最應(yīng)該引起關(guān)注（）[單選題]*A、由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B、在測(cè)試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔【正確答案】18、軟件工程方法提出起源于軟件危機(jī)，而其目的應(yīng)該是最終解決軟件的問題的是（）[單選題]*A、質(zhì)量保證B、生產(chǎn)危機(jī)C、生產(chǎn)工程化【正確答案】D、開發(fā)效率19、組織應(yīng)依照已確定的訪問控制策略限制對(duì)信息和（）功能的訪問。對(duì)訪問的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織的訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和（）時(shí)，宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)業(yè)方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用，應(yīng)加以限制并（）。對(duì)程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存，司以通過這種代碼的中央存儲(chǔ)控制來實(shí)現(xiàn)，更好的是放在（）中。[單選題]*A、應(yīng)用系統(tǒng)；身份驗(yàn)證；嚴(yán)格控制；保密性；源程序庫【正確答案】B、身份驗(yàn)證；應(yīng)用系統(tǒng)；嚴(yán)格控制；保密性，源程序庫C、應(yīng)用系統(tǒng)；嚴(yán)格控制；身份驗(yàn)證；保密性；源程序庫D、應(yīng)用系統(tǒng)；保密性；身份驗(yàn)證；嚴(yán)格控制；源程序庫20、以下關(guān)于軟件安全問題對(duì)應(yīng)關(guān)系錯(cuò)誤的是?（）[單選題]*A、缺點(diǎn)（Defect）-軟件實(shí)現(xiàn)和設(shè)計(jì)上的弱點(diǎn)B、缺陷（Bug）-實(shí)現(xiàn)級(jí)上的軟件問題C、瑕疵（Flaw）-一種更深層次、設(shè)計(jì)層面的的問題D、故障（Failure）-由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn)，是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)【正確答案】21、目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品需通過安全測(cè)評(píng)。關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義，下列說法中不正確的是（）[單選題]*A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購信息安全產(chǎn)品，設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷，為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境【正確答案】22、下列信息安全評(píng)估標(biāo)準(zhǔn)中，哪一個(gè)是我國(guó)信息安全評(píng)估的國(guó)家標(biāo)準(zhǔn)？（）[單選題]*A、TCSEC標(biāo)準(zhǔn)B.CC標(biāo)準(zhǔn)【正確答案】C.FC標(biāo)準(zhǔn)D.ITSEC標(biāo)準(zhǔn)23、物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域，包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直接存儲(chǔ)、處理數(shù)據(jù)的載體，其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對(duì)設(shè)施安全的保障措施的描述正確的是（）[單選題]*A、安全區(qū)域不僅包含物理區(qū)城，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)城需要建立安全屏蔽及訪問控制機(jī)制【正確答案】C、由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備，后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等24、某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問題中哪個(gè)最應(yīng)該引起關(guān)注（）[單選題]*A、由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B、在測(cè)試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔【正確答案】25、軟件工程方法提出起源于軟件危機(jī)，而其目的應(yīng)該是最終解決軟件的問題的是（）[單選題]*A、質(zhì)量保證B、生產(chǎn)危機(jī)C、生產(chǎn)工程化【正確答案】D、開發(fā)效率26、管理，是指（）組織并利用其各個(gè)要素（人、財(cái)、物、信息和時(shí)空），借助（），完成該組織目標(biāo)的過程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)和（）一樣，也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)星得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越米越廣的威脅和（）當(dāng)中。[單選題]*A、管理手段；管理主體；信息；管理要素；脆弱性B、管理主體；管理手段；信息；管理要素；脆弱性【正確答案】C、管理主體；信息；管理手段；管理要素；脆弱性D、管理主體；管理要素；管理于段；信息；脆弱性27、以下關(guān)于軟件安全問題對(duì)應(yīng)關(guān)系錯(cuò)誤的是?（）[單選題]*A、缺點(diǎn)（Defect）-軟件實(shí)現(xiàn)和設(shè)計(jì)上的弱點(diǎn)B、缺陷（Bug）-實(shí)現(xiàn)級(jí)上的軟件問題C、瑕疵（Flaw）-一種更深層次、設(shè)計(jì)層面的的問題D、故障（Failure）-由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn)，是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)【正確答案】28、漏洞掃描是信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的常用技術(shù)措施，定期的漏洞掃描有助于組織機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)中存在的公司安全漏洞。漏洞掃描軟件是實(shí)施漏洞掃描的工具，用于測(cè)試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對(duì)漏洞掃描技術(shù)和工具進(jìn)行學(xué)習(xí)后有如下理解，其中錯(cuò)誤的是（）[單選題]*A、主動(dòng)掃描工作方式類似于IDS（IntrusionDetectionSystems）【正確答案】B、CVE（CommonVulnerabilities&Exposures）為每個(gè)漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述C、X.Scanner采用多線程方式對(duì)指定IP地址段進(jìn)行安全漏洞掃描D、ISS的SystemScanner通過依附于主機(jī)上的掃描器代理偵測(cè)主機(jī)內(nèi)部的漏洞29、在某信息系統(tǒng)采用的訪問控制策略中，如果可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)對(duì)個(gè)體實(shí)施控制，且各級(jí)領(lǐng)導(dǎo)可以同時(shí)修改它的訪問控制表，那么該系統(tǒng)的訪問控制模型采用的是自主訪問控制機(jī)制的訪問許可模式是（）。[單選題]*A、自由型B、有主型C、樹狀型D、等級(jí)性【正確答案】30、下面有關(guān)軟件安全問題的描述中，哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的（）[單選題]*A、設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時(shí)，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)【正確答案】D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)31、Alice有一個(gè)消息M通過密鑰K2生成一個(gè)密文E（K2，M）然后用K1生成一個(gè)MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個(gè)MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個(gè)過程可以提供什么安全服務(wù)？（）[單選題]*A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】32、Windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是（）[單選題]*A、Regsvr32B、Regedit【正確答案】C、Regedit.mscD、Regedit.mmc33、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦理[2003]27號(hào)明確了我國(guó)信息安全保障工作的（）、提出了加強(qiáng)信息安全保障工作的（）、需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是，它標(biāo)志著我國(guó)信息安全保障工作有了（）、我國(guó)最近十余年的信息安全保障工作都是圍繞此政策性文件來（）的、促進(jìn)了我國(guó)（）的各項(xiàng)工作。[單選題]*A.方針；主要原則；總體綱領(lǐng)；展開和推進(jìn)；信息安全保障建設(shè)B.總體要求；總體綱領(lǐng)；主要原則；展開；信息安全保障建設(shè)C.方針和總體要求；主要原則：總體綱領(lǐng)；展開和推進(jìn)；信息安全保障建設(shè)【正確答案】D.總體要求；主要原則；總體綱領(lǐng)；展開；信息安全保障建設(shè)34、北京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（）[單選題]*A.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個(gè)功能級(jí)別，當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過程域中的基本實(shí)踐時(shí)，該過程域的過程能力是0級(jí)【正確答案】B.達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)在執(zhí)行同一個(gè)過程，每次執(zhí)行的結(jié)果質(zhì)量必須相同。C.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）3個(gè)風(fēng)險(xiǎn)過程評(píng)價(jià)，評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響D.SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性35、信息系統(tǒng)建設(shè)完成后。（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)，進(jìn)行測(cè)評(píng)合格后方可投入使用。[單選題]*A.二級(jí)以上【正確答案】B.三級(jí)以上C.四級(jí)以上D.五級(jí)以上36、某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對(duì)性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說法（）[單選題]*A.信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低【正確答案】B.軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低C.雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決費(fèi)用更低D.雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同37、軟件存漏銅和缺陷是不可避免的，實(shí)踐者常使用軟件缺陷密度（Defect/KLOC）來衡量軟件的安全性。假設(shè)某個(gè)軟件共有29.6萬行源代，總共被檢測(cè)出145個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是（）[單選題]*A.0.00049B.0.049C.0.49【正確答案】D.4938、某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排定制了下一年度的培訓(xùn)工作計(jì)劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)，關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中不合理的是（）[單選題]*A.由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度，網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對(duì)集團(tuán)公司下屬單位的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B.對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，建議通過CISP培訓(xùn)以確保人員能力得到保障C.對(duì)其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解D.對(duì)全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn)，實(shí)現(xiàn)安全員信息安全意識(shí)教育【正確答案】39、有關(guān)能力成熟度模型（CMM），錯(cuò)誤的理解是（）[單選題]*A、CMM的思想不關(guān)注結(jié)果，而是強(qiáng)調(diào)了過程的控制，過程如果是高質(zhì)量的，結(jié)果通常會(huì)是高質(zhì)量的B、CMM的思想來源于項(xiàng)目管理、質(zhì)量管理和過程管理【正確答案】C、CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”40、作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)則（）[單選題]*A.抵制通過網(wǎng)絡(luò)系統(tǒng)使公眾合法權(quán)益受損B.抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益C.通過公眾網(wǎng)絡(luò)傳播非法軟件【正確答案】D.不在計(jì)算機(jī)網(wǎng)絡(luò)統(tǒng)中進(jìn)行造謠、欺作、誹謗等活動(dòng)41、社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來說它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)和成功，并且在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是（），這使得它幾乎可以說是永遠(yuǎn)有效的（）。[單選題]*A.網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式【正確答案】B.網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式；攻擊方式D網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在42、（）第二十三條規(guī)定在存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照（）實(shí)行分級(jí)保護(hù)。（）應(yīng)當(dāng)按照國(guó)家保密準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三網(wǎng)步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后，方可投入使用。[單選題]*A、《秘密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】B、《國(guó)家保護(hù)法》；涉密程度；涉密系統(tǒng)；保設(shè)；檢查合格C、《網(wǎng)絡(luò)保密法》涉密程度；涉密系統(tǒng)；保設(shè)施；檢查合格D、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格43、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在泥亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的，一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段，為準(zhǔn)備→檢測(cè)→遏制→根除→恢復(fù)→跟蹤總結(jié)。請(qǐng)問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是（）[單選題]*A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟【正確答案】B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同、常見的制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)44、關(guān)于信息安全管理體系（InformationSecurITryManagementSystems，ISMS），下面描述錯(cuò)誤的是（）[單選題]*A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素B、信息安全管理體系是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上、信息安全管理體系有廣義和狹義之分，狹義的的信息安全管理體系是按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分D、同其他體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、鍵全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容【正確答案】45、CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性（）[單選題]*A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離【正確答案】D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過程中46、具有行政法律責(zé)任強(qiáng)制力的安全管理制度和安全制度包括（）（1）安全事件（包括安全事故）報(bào)告制度（2）安全等級(jí)保護(hù)制度（3）信息系統(tǒng)安全監(jiān)控（4）安全專用產(chǎn)品銷售許可證制度[單選題]*A.1,2,4【正確答案】B.2,3C.2,3,4D.1,2,347、隨著計(jì)算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來越多樣化，自主訪問控制和強(qiáng)制訪問控制難以適應(yīng)需求，基于角色的訪問控制（RBAC）逐漸成為安全領(lǐng)域的一個(gè)研究熱點(diǎn)。RBAC模型可以分為RBAC0、RBAC1、RBAC2、RBAC3四種類型，它們之間存在相互包含關(guān)系。下列選項(xiàng)中，對(duì)這四種類型之間的關(guān)系描述錯(cuò)誤的是（）。[單選題]*A、RBAC0是基本模型，RBAC1、RBAC2和RBAC3都包含RBAC0B、RBAC1在RBAC0的基礎(chǔ)上，加入了角色等級(jí)的概念C、RBAC2在RBAC1的基礎(chǔ)上，加入了約束的概念【正確答案】D、RBAC3結(jié)合RBAC1和RBAC2，同時(shí)具備角色等級(jí)和約束48、不恰當(dāng)?shù)漠惓Ｌ幚?，是指Web應(yīng)用在處理內(nèi)部異常、錯(cuò)誤時(shí)處理不當(dāng)，導(dǎo)致會(huì)給攻擊者透露出