信息安全復習資料

信息安全復習資料1.信息安全等級保護分級要求，第三極適用正確的是:[單選題]*A.適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經濟建設和公共利益B.適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成一定損害(正確答案)C.適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害D.適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害2.下面對國家秘密定級和范圍的描述中，哪項不符合《保守國家秘密法》要求:[單選題]*A.國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定B.各級國家機關、單位對所產生的國家秘密事項，應當按照國家秘密及其密級具體范圍的規(guī)定確定密級C.對是否屬于國家機密和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門確定(正確答案)D.對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經國務院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關確定。3.為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發(fā)展，加強在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監(jiān)督管理。2015年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并于7月6日起在網上全文公布，向社會公開征求意見，這部法律草案是（）[單選題]*A.《中華人民共和國保守國家秘密法（草案）》B.《中華人民共和國網絡安全法（草案）》(正確答案)C.《中華人民共和國國家安全法（草案）》D.《中華人民共和國互聯網安全法（草案）》4.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發(fā)展，公安部等四部門聯合發(fā)布關于信息安全等級保護工作的實施意見，公通字[2004]66號，對等級保護工作的開展提供宏觀指導和約束。明確了等級保護工作的基本內容、工作要求和實施計劃，以及各部門工作職責分工等。關于該文件，下面理解正確的是（）[單選題]*A.該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件(正確答案)B.該文件適用于2004年的等級保護工作。其內容不能約束到2005年及之后的工作C.該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位5.自2004年1月起，國內各有關部門在申報信息安全國家標準計劃項目時，必須經由以下哪個組織提出工作情況，協調一致后由該組織申報。[單選題]*A.全國通信標準化技術委員會（TC485）B.全國信息安全標準化技術委員會（TC260）(正確答案)C.中國通信標準化協會（CCCA）D.網絡與信息安全技術工作委員會6.安全管理體系，國際上有標準（InformationtechnologySecuritytechniquesInformationsystems）(ISO/IEC27001:2013)，而我國發(fā)布了，信息技術信息安全管理體系要求（GB/T22080-2008）.請問，這兩個標準的關系是（）[單選題]*A.IDT（等同采用），此國家標準等同于該國際標準，僅有或沒有編輯性修改(正確答案)B.EQV（等效采用），此國家標準等效于該國家標準，技術上只有很小差異C.AEQ（等效采用），此國家標準不等效于該國家標準D.沒有采用與否的關系，兩者之間版本不同，不應直接比較7.“CC”標準是測評標準類的重要標準，從該標準的內容來看，下面哪項內容是針對具體的被測評對象，描述了該對象的安全要求及其相關安全功能和安全措施，相當于從廠商角度制定的產品或系統(tǒng)實現方案（）[單選題]*A.評估對象（TOE）B.保護輪廓（PP）C.安全目標（ST）(正確答案)D.評估保證級（EAL）8.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）[單選題]*A.分組密碼算法要求輸入明文按組分成固定長度的塊B.分組密碼算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱為序列密碼算法(正確答案)D.常見的DES、IDEA算法都屬于分組密碼算法9.密碼學是網絡安全的基礎，但網絡安全不能單純依靠安全的密碼算法，密碼協議也是網絡安全的一個重要組成部分。下面描述中，錯誤的是（）[單選題]*A.在實際應用中，密碼協議應按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式(正確答案)B.密碼協議定義了兩方或多方之間為完成某項任務而制定的一系列步驟，協議中的每個參與方都必須了解協議，且按步驟執(zhí)行C.根據密碼協議應用目的的不同，參與該協議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D.密碼協議（cryptographicprotocol），有時也稱安全協議（securityprotocol），是使用密碼學完成某項特定的任務并滿足安全需求，其目的是提供安全服務10.美國計算機協會（ACM）宣布將2015年的ACM獎授予給WhitfieldDiffic和Wartfield下面哪項工作是他們的貢獻（）。[單選題]*A.發(fā)明并第一個使用C語言B.第一個發(fā)表了對稱密碼算法思想C.第一個發(fā)表了非對稱密碼算法思想(正確答案)D.第一個研制出防火墻11.虛擬專用網絡（VPN）通常是指在公共網絡中利用隧道技術，建立一個臨時的、安全的網絡。這里的字母P的正確解釋是（）。[單選題]*A.sPccial-purpose，特定的、專用用途的B.Proprietary，專有的、專賣的C.Private，私有的、專有的(正確答案)D.sPecific，特種的、具體的12.為防范網絡欺詐確保交易安全，網銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網上轉賬等交易。在此場景中用到下列哪些鑒別方法?[單選題]*A.實體“所知”以及實體“所有”的鑒別方法(正確答案)B.實體“所有”以及實體“特征”的鑒別方法C.實體“所知”以及實體“特征”的鑒別方法D.實體“所有”以及實體“行為”的鑒別方法13.實體身份鑒別一般依據以下三種基本情況或者三種情況的組合:實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于實體特征的鑒別方法是（）[單選題]*A.將登錄口令設置為出生日期B.通過詢問和核對用戶的個人隱私信息來鑒別C.使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進行鑒別D.通過掃描和識別用戶的臉部信息來鑒別(正確答案)14.常見的訪問控制模型包括自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯誤的是（）[單選題]*A.從安全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型(正確答案)B.自主訪問控制是一種廣泛應用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權訪問它們的資源，具有較好的易用性和擴展性C.強制訪問控制模型要求主題和客體都一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)D.基于角色的訪問控制模型的基本思想是根據用戶所擔任的角色來決定用戶在系統(tǒng)中的訪問權限，該模型便于實施授權管理和安全約束，容易實現最小特權、職責分離等各種安全策略15.在信息系統(tǒng)中，訪問控制是重要的安全功能之一。他的任務是在用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權限進行管理，防止對信息的非授權篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類，通過對主體身份的識別來限制其對客體的訪問權限。下列選項中，對主體、客體和訪問權限的描述中錯誤的是:[單選題]*A.對文件進行操作的用戶是一種主體B.主體可以接受客體的信息和數據，也可能改變客體相關的信息C.訪問權限是指主體對客體所允許的操作D.對目錄的訪問權可分為讀、寫和拒絕訪問(正確答案)16.小趙是某大學計算機科學與技術專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）[單選題]*A.訪問控制列表（ACL）(正確答案)B.能力表（CL）A.BLP模型B.Biba模型17.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或對安全性要求較高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自學了BLP模型，并對該模型的特點進行了總結。以下4種對BLP模型的描述中，正確的是（）[單選題]*A.BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”B.BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”(正確答案)C.BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D.BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”18.訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制，他們具有不同的特點和應用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權原則和職責分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（）。[單選題]*A.自主訪問控制B.強制訪問控制C.基于角色的訪問控制(正確答案)D.以上選項都可以19.關于Wi-Fi聯盟提出的安全協議WPA和WPA2的區(qū)別，下面描述正確的是（）[單選題]*A.WPA是有線局域安全協議，而WPA2是無線局域網協議B.WPA是適用于中國的無線局域安全協議，而WPA2適用于全世界的無線局域網協議C.WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D.WPA是依照802.11i標準草案制定的，而WPA2是依照802.11i正式標準制定的(正確答案)20.隨著高校業(yè)務資源逐漸向數據中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構的重要信息暴露在越來越多的威脅中。去年，某個本科院校網站遭遇SQL群注入（MassSQLInjection）攻擊，網站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測防火墻，其原因不包括:[單選題]*A.狀態(tài)檢測防火墻可以應用會話信息決定過濾規(guī)則B.狀態(tài)檢測防火墻具有記錄通過每個包的詳細信息能力C.狀態(tài)檢測防火墻過濾規(guī)則與應用層無關，相比于包過濾防火墻更易安裝和使用(正確答案)D.狀態(tài)檢測防火墻結合網絡配置和安全規(guī)定做出接納、拒絕、身份認證或報警等處理動作21.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是（）[單選題]*A.在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F象B.實施異常入侵檢測，是將當前獲取行為數據和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生(正確答案)C.異常入侵檢測可以通過獲得的網絡運行狀態(tài)數據，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D.異常入侵檢測不但可以發(fā)現從外部的攻擊，也可以發(fā)現內部的惡意行為22.某集團公司的計算機網絡中心內具有公司最重要的設備和信息數據。網絡曾在一段時間內依然遭受了幾次不小的破壞和干擾，雖然有防火墻，但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網絡安全公司為該集團部署基于網絡的入侵檢測系統(tǒng)（NIDS），將IDS部署在防火墻后，以進行二次防御。那么NIDS不會在（）區(qū)域部署。[單選題]*A．DMZB.內網主干C.內網關鍵子網D.外網入口(正確答案)23.入侵檢測系統(tǒng)有其技術優(yōu)越性，但也有其局限性，下列說法錯誤的是（）[單選題]*A.對用戶知識要求高、配置、操作和管理使用過于簡單，容易遭到攻擊(正確答案)B.入侵檢測系統(tǒng)會產生大量的警告消息和可疑的入侵行為記錄，用戶處理負擔很重C.入侵檢測系統(tǒng)在應對自身攻擊時，對其他數據的檢測可能會被抑制或者受到影響D.警告消息記錄如果不完整，可能無法與入侵行為關聯24.安全域是由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項描述是錯誤的（）。[單選題]*A.安全域劃分主要以業(yè)務需求、功能需求和安全需求為依據，和網絡、設備的物理部署位置無關(正確答案)B.安全域劃分能把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題C.以安全域為基礎，可以確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段，從而使同一安全域內的資產實施統(tǒng)一的保護D.安全域邊界是安全事件發(fā)生時的抑制點，以安全域為基礎，可以對網絡和系統(tǒng)進行安全檢查和評估，因此安全域劃分和保護也是網絡防攻擊的有效防護方式25.小王是某通信運營商公司的網絡按武安架構師，為該公司推出的一項新型通信系統(tǒng)項目做安全架構規(guī)劃，項目客戶要求對他們的大型電子商務網絡進行安全域的劃分，化解為小區(qū)域的安全保護，每個邏輯區(qū)域有各自的安全訪問控制和邊界控制策略，以實現大規(guī)模電子商務系統(tǒng)的信息保護。小王對信息系統(tǒng)安全域（保護對象）的劃分不需要考慮的是（）[單選題]*A.業(yè)務系統(tǒng)邏輯和應用關聯性，業(yè)務系統(tǒng)是否需要對外連接B.安全要求的相似性，可用性、保密性和完整性的要求是否類似C.現有網絡結構的狀況，包括現有網路、地域和機房等D.數據庫的安全維護(正確答案)26.在Windos7中，通過控制面板（管理工具——本地安全策略——安全設置——賬戶策略）可以進入操作系統(tǒng)的密碼策略設置界面，下面哪項內容不能在該界面進行設置（）[單選題]*A.密碼必須符合復雜性要求B.密碼長度最小值C.強制密碼歷史D.賬號鎖定時間(正確答案)27.Linux系統(tǒng)中常用數字來表示文件的訪問權限，假設某文件的訪問限制使用了755來表示，則下面哪項是正確的（）[單選題]*A.這個文件可以被任何用戶讀和寫B(tài).這個可以被任何用戶讀和執(zhí)行(正確答案)C.這個文件可以被任何用戶寫和執(zhí)行D.這個文件不可以被所有用戶寫和執(zhí)行28.操作系統(tǒng)用于管理計算機資源，控制整個系統(tǒng)運行，是計算機軟件的基礎。操作系統(tǒng)安全是計算、網絡及信息系統(tǒng)安全的基礎。一般操作系統(tǒng)都提供了相應的安全配置接口。小王新買了一臺計算機，開機后首先對自帶的Windows操作系統(tǒng)進行配置。他的主要操作有:（1）關閉不必要的服務和端口;（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略;（3）備份敏感文件，禁止建立空連接，下載最新補丁;（4）關閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯誤的是（）[單選題]*A.操作（1），應該關閉不必要的服務和所有端口B.操作（2），在“本地安全策略”中不應該配置公鑰策略，而應該配置私鑰策略C.操作（3），備份敏感文件會導致這些文件遭到竊取的幾率增加D.操作（4），應該開啟審核策略(正確答案)29.在Windows系統(tǒng)中，存在默認共享功能，方便了局域網用戶使用，但對個人用戶來說有安全風險。如果電腦聯網，網絡上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計算機上進行安全設置時，需要關閉默認共享。下列選項中，不能關閉默認共享的操作是（）[單選題]*A.將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項中的“Autodisconnect”項鍵值改為0(正確答案)B.將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項中的“AutoShareServer”項鍵值改為0C.將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項中的“AutoShareWks”項鍵值改為0D.在命令窗口中輸入命令，刪除C盤默認共享:netshareC/del30.從Linux內核2.1版開始，實現了基于權能的特權管理機制，實現了超級用戶的特權分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權管理機制的理解錯誤的是（）[單選題]*A.普通用戶及其shell沒有任何權能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權能B.系統(tǒng)管理員可以剝奪和恢復超級用戶的某些權能(正確答案)C.進程可以放棄自己的某些權能D.當普通用戶的某些操作涉及特權操作時，仍然通過setuid實現31.關于數據庫恢復技術，下列說法不正確的是:[單選題]*A.數據庫恢復技術的實現主要依靠各種數據的冗余和恢復機制技術來解決，當數據庫中數據被破壞時，可以利用冗余數據來進行修復B.數據庫管理員定期地將整個數據庫或部分數據庫文件備份到磁帶或另一個磁盤上保存起來，是數據庫恢復中采用的基本技術C.日志文件在數據庫恢復中起著非常重要的作用，可以用來進行事物故障恢復和系統(tǒng)故障恢復，并協助后備副本進行介質故障恢復D.計算機系統(tǒng)發(fā)生故障導致數據未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數據的值，將數據庫恢復到故障發(fā)生前的完整狀態(tài)，這一對事務的操作稱為提交(正確答案)32.關系數據庫的完整性規(guī)則是數據庫設計的重要內容，下面關于“實體完整性”的描述正確的是（）[單選題]*A.指數據表中列的完整性，主要用于保證操作的數據（記錄）完整、不丟項B.指數據表中行的完整性，主要用于保證操作的數據（記錄）非空、唯一且不重復(正確答案)C.指數據表中列必須滿足某種特定的數據類型或約束，比如取值范圍、數值精度等約束D.指數據表中行必須滿足某種特定的數據姓雷或約束，比如在更新、插入或刪除記錄時，更將關聯有關的記錄一并處理才可以33.數據在進行傳輸前，需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝的順序是:[單選題]*A.傳輸層、網絡接口層、互聯網絡層B.傳輸層、互聯網絡層、網路接口層(正確答案)C.互聯網絡層、傳輸層、網絡接口層D.互聯網絡層、網絡接口層、傳輸層34.安全多用途互聯網郵件擴展（SecureNultipurposeInternetMailPxtension,S/MIME）是指一種保障郵件安全的技術，下面描述錯誤的是（）[單選題]*A.S/MIME采用了非對稱密碼學機制B.S/MIME支持數字證書C.S/MIME采用了郵件防火墻技術(正確答案)D.S/MIME支持用戶身份認證和郵件加密35.ApacheHTTPServer（簡稱Apache）是一個開放源碼的Web服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下哪種措施（）[單選題]*A.不選擇Windows平臺，應選擇在Linux平臺下安裝使用B.安裝后，修改配置文件http.conf中的有關參數(正確答案)C.安裝后，刪除ApscheHTTPServer源碼D.從正確的官方網站下載ApecheHTTPServer，并安裝使用36.InternetExplorer，簡稱IE，是微軟推出的一款Web瀏覽器，IE中有很多安全設置選項，用來設置安全上網環(huán)境和保護用戶隱私數據。以下哪項不IE中的安全配置項目（）[單選題]*A.設置Cookie安全，允許用戶根據自己安全策略要求者、設置Cookie策略，包括從阻止所有Cookie到接受所有Cookie，用戶也可以選擇刪除已經保存過的CookieB.禁用自動完成和密碼記憶功能，通過設置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁止IE自動記憶表單中的用戶名和口令信息C.設置每個連接的最大請求數，修改MuKeepA;ivEcquests，如果同時請求數達到閾值就不再響應新的請求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用(正確答案)D.為網站設置適當的瀏覽器安全級別，用戶可以將各個不同的網站劃分到Internet、本地Internet、受信任的站點、受限制的站點等不同安全區(qū)域中，以采取不同的安全訪問策略37.為達到預期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關于隱藏方法，下面理解錯誤的是（）[單選題]*A.隱藏惡意代碼進程，即將惡意代碼進程隱藏起來，或者改名和使用系統(tǒng)進程名，以更好的躲避檢測，迷惑用戶和安全檢測人員B.隱藏惡意代碼的網絡行為，復用通用的網絡端口，以躲避網絡行為檢測和網絡監(jiān)控C.隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進制代碼，以躲避用戶和安全檢測人員(正確答案)D.隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術或HOOK技術、以躲避系統(tǒng)文件檢查和清除38.某網站管理員小鄧在流量監(jiān)測中發(fā)現近期網站的入站ICMP流量上升250%盡管網站沒有發(fā)現任何的性能下降或其他問題，但為了安全起見，他仍然向主管領導提出了應對措施，作為主管負責人，請選擇有效的針對此問題的應對措施:[單選題]*A.在防火墻上設置策略，阻止所有的ICMP流量進入（關掉ping）(正確答案)B.刪除服務器上的ping.exe程序C.增加帶寬以應對可能的拒絕服務攻擊D.增加網站服務以應對即將來臨的拒絕服務攻擊39.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）[單選題]*A．CiscoAuditingToolsB．AcunetixWebVulnerabilityScanner(正確答案)C．NMAPD．ISSDatabaseScanner40.關于ARP欺騙原理和防范措施，下面理解錯誤的是（）[單選題]*A.ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應答報文，使得受害者主機將錯誤的硬件地址映射關系存入到ARP緩存中，從而起到冒充主機的目的B.單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內部子網，不能跨越路由實施攻擊C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D.徹底解決ARP欺騙的方法是避免使用ARP協議和ARP緩存，直接采用IP地址和其他主機進行連接(正確答案)41.在軟件保障成熟度模型（SoftwareAssuranceMaturityMode，SAMM）中規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能:[單選題]*A.治理，主要是管理軟件開發(fā)的過程和活動B.構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程與活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動(正確答案)42.針對軟件的拒絕服務攻擊時通過消耗系統(tǒng)資源是軟件無法響應正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務攻擊的威脅，以下哪個不是需要考慮的攻擊方式[單選題]*A.攻擊者利用軟件存在邏輯錯誤，通過發(fā)送某種類型數據導致運算進入死循環(huán)，CPU資源占用始終100%B.攻擊者利用軟件腳本使用多重賬套查詢在數據量大時會導致查詢效率低，通過發(fā)送大量的查詢導致數據庫相應緩慢C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接的消耗軟件并發(fā)生連接數，導致并發(fā)連接數耗盡而無法訪問D.攻擊者買通了IDC人員，將某軟件運行服務器的網線拔掉導致無法訪問(正確答案)43.某網站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是:[單選題]*A.網站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導致攻擊面增大，產生此安全問題B.網站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網站攻擊面增大，產生此問題C.網站問題是由于使用便利性提高帶來網站用戶數增加，導致網絡攻擊面增大，產生此安全問題D.網站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網站攻擊面增大，產生此安全問題(正確答案)44.下面有關軟件安全問題的描述中，哪項不是由于軟件設計缺陷引起的（）[單選題]*A.設計了用戶權限分級機制和最小特權原則，導致軟件在發(fā)布運行后，系統(tǒng)管理員不能查看系統(tǒng)審計信息(正確答案)B.設計了采用不加鹽（SALT）的SHA-1算法對用戶口令進行加密存儲，導致軟件在發(fā)布運行后，不同的用戶如使用了相同的口令會得到相同的加密結果，從而可以假冒其他用戶登錄C.設計了緩存用戶隱私數據機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數據D.設計了采用自行設計的加密算法對網絡傳輸數據進行保護，導致軟件在發(fā)布運行后，被攻擊對手截獲網絡數據并破解后得到明文45.某購物網站開發(fā)項目經過需求分析進入系統(tǒng)設計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登錄時如用戶名或口令輸入錯誤，給用戶返回“用戶名或口令輸入錯誤”信息，輸入錯誤達到三次，將暫時禁止登錄該賬戶，請問以上安全設計遵循的是哪項安全設計原則:[單選題]*A.最小共享機制原則B.經濟機制原則C.不信任原則D.默認故障處理保護原則(正確答案)46.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網絡實時應用系統(tǒng)進行滲透測試，以下關于滲透測試過程的說法不正確的是:[單選題]*A.由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統(tǒng)和數據備份，以便出現問題時可以及時恢復系統(tǒng)和數據B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C.滲透測試應當經過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試(正確答案)47.小王在學習信息安全管理體系相關知識之后，對于建立信息安全管理體系，自己總結了下面四條要求，其中理解不正確的是（）[單選題]*A.信息安全管理體系的建立應參照國際國內有關標準實施，因為這些標準是標準化組織在總結研究了很多實際的或潛在的問題后，制定的能共同的和重復使用的規(guī)則B.信息安全管理體系的建立應基于最新的信息安全技術，因為這是國家有關信息安全的法律和法規(guī)方面的要求，這體現以預防控制為主的思想(正確答案)C.信息安全管理體系應強調全過程和動態(tài)控制的思想，因為安全問題是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會一成不變的，不可能建設永遠安全的系統(tǒng)D.信息安全管理體系應體現科學性和全面性的特點，因為要對信息安全管理設計的方方面面實施較為均衡的管理，避免遺漏某些方面而導致組織的整體信息安全水平過低48.美國國家標準與技術研究院（NationalInstituteofStandardsandTechnology,NIST）隸屬美國商務部，NIST發(fā)布的很多關于計算機安全的指南文檔。下面哪個文檔是由NIST發(fā)布的（）[單選題]*A.ISO27001《Informationtechnology–Securitytechniques–Informtionsecuritymanagementsystems-Requirements》B.X.509《InformationTechnology–OpenSystems-TheDirectory:AuthenticationFramcwork》C.SP800-37《GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》(正確答案)D.RFC2402《IPAuthenticatHeader》49.小牛在對某公司的信息系統(tǒng)進行風險評估后，因考慮到該業(yè)務系統(tǒng)中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理該風險。請問這種風險處置的方法是（）[單選題]*A.降低風險B.規(guī)避風險(正確答案)C.轉移風險D.放棄風險50.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關于殘余風險描述錯誤的是（）[單選題]*A.殘余風險是采取了安全措施后，仍然可能存在的風險:一般來說，是在綜合考慮了安全成本與效益后不去控制的風險B.殘余風險應受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C.實施風險處理時，應將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果D.信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小殘余風險值作為風險管理效果評估指標(正確答案)51.在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的（）。[單選題]*A.背景建立的依據是國家、地區(qū)或行業(yè)的相關政策、法律、法規(guī)和標準，以及機構的使命、信息系統(tǒng)的業(yè)務目標和特性B.背景建立階段應識別需要保護的資產、面臨的威脅以及存在的脆弱性并分別賦值，同時確認已有的安全措施，形成需要保護的資產清單(正確答案)C.背景建立階段應調查信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管理特性和技術特性，形成信息系統(tǒng)的描述報告D.背景建立階段應分析信息系統(tǒng)的體系結構和關鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告52.降低風險（或減低風險）是指通過對面臨風險的資產采取保護措施的方式來降低風險，下面哪個措施不屬于降低風險的措施（）[單選題]*A.減少威脅源。采用法律的手段制按計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B.簽訂外包服務合同。將有技術難點、存在實現風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險(正確答案)C.減少脆弱性。及時給系統(tǒng)補丁，關閉無用的網絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性53.某單位在一次信息安全風險管理活動中，風險評估報告提出服務器A的FTP服務存在高風險漏洞。隨后該單位在風險處理時選擇了關閉FTP服務的處理措施。請問該措施屬于哪種風險處理方式（）[單選題]*A.風險降低B.風險規(guī)避(正確答案)C.風險轉移D.風險接受54.小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓，一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項:[單選題]*A.風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析B.定性風險分析需要憑借分析者的經驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性(正確答案)C.定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值因此更具有客觀性D.半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現對風險各要素的度量數值化55.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網絡與信息安全協調小組發(fā)布的《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形勢提出了有關工作原則和要求。下面選項中描述正確的是（）[單選題]*A.信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充(正確答案)B.信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結合、互為補充C.自評估和檢查評估時相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D.自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果56.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，指出了風險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關工作原則和要求。下面選項中描述錯誤的是（）[單選題]*A.自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B.檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關職能部門依法開展的風險評估C.信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充D.自評估和檢查評估是相互排斥的，單位應慎重地從兩種工作形式選擇一個，并堅持使用(正確答案)57.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現當前案例中共有兩個重要資產:資產A1和資產A2;其中資產A1面臨兩個主要威脅，威脅T1和威脅T2;而資產A2面臨一個主要威脅，威脅T3;威脅T1可以利用的資產A1存在的兩個脆弱性;脆弱性V1和脆弱性V2;威[填空題]_________________________________脅T2可以利用的資產A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威脅T3可以利用的資產A2存在的兩個脆弱性;脆弱性V6和脆弱性V7.根據上述條件，請問:使用相乘法時，應該為資產A1計算幾個風險值（）[單選題]*A.2B.3C.5(正確答案)D.658.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應有職責的是（）[單選題]*A.制定并頒布信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B.確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可實施C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D.建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程，確保信息安全風險評估技術選擇合理、計算正確(正確答案)59.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內部審核和管理審核是兩項重要的管理活動。關于這兩者，下面描述錯誤的是（）[單選題]*A.內部審核和管理審評都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B.內部審核的實施方式多采用文件審核和現場審核的形式，而管理評審的實施方式多采用召開管理審評會議的形式進行C.內部審核的實施主體由組織內部的ISMS內審小組，而管理評審的實施主體是由國家政策指定的第三方技術服務機構(正確答案)D.組織的信息安全方針、信息安全目標和有關ISMS文件等，在內部審核中作為審核準使用，但在管理評審中，這些文件是被審對象60.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關于ISMS，下面描述錯誤的是（）[單選題]*A.在組織中，應有信息技術責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求(正確答案)B.組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體、具備可行性C.組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內，應包括全體員工，同時，也應傳達客戶、合作伙伴和供應商等外部各方D.組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受和相關殘余風險61.在風險管理中，殘余風險是指在實施了新的或增強的安全措施后還剩下的風險，關于殘余風險，下面描述錯誤的是（）[單選題]*A.風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程B.管理層確認接受殘余風險，是對風險評估工作的一種肯定，表示管理層已經全面了解了組織所面臨的風險，并理解在風險一旦變?yōu)楝F實后，組織能夠且必須承擔引發(fā)的后果C.接受殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制地提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術的等因的限制D.如果殘余風險沒有降低到可接受的級別，則只能被動地選擇接受風險，即對風險不采取進一步的處理措施，接受風險可能帶來的結果(正確答案)62.GB/T22080-2008《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照PDCA模型進行，即信息安全管理體系應包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）[單選題]*A.“制定ISMS方針”是建立ISMS階段工作內容B.“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內容C.“進行有效性測量”是監(jiān)視和評審ISMS階段工作內容D.“實施內部審核”是保持和改進ISMS階段工作內容(正確答案)63.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）[單選題]*A.信息安全方針、信息安全組織、資產管理B.人力資源安全、物力和環(huán)境安全、通信和操作管理C.訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D.規(guī)劃與建立ISMS(正確答案)64.信息安全組織的管理涉及內部組織和外部各方兩個控制目標。為了實現控制外部各方的目標應該包括下列哪個選項（）[單選題]*A.信息安全的管理承諾、信息安全協調、信息安全職責的分配B.信息處理設施的授權過程、保密性協議、與政府部門的聯系C.與特定利益集團的聯系、信息安全的獨立評審D.與外部各方相關風險的識別、處理外部各方協議中的安全問題(正確答案)81.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全措施通常需要在資產管理方面實施常規(guī)控制，資產管理包含對資產負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）[單選題]*A.資產清單B.資產責任人C.資產的可接受使用D.分類指南、信息的標記和處理(正確答案)65.應急響應時信息安全事件管理的重要內容之一。關于應急響應工作，下面描述錯誤的是（）[單選題]*A.信息安全應急響應，通常是指一個組織為了應對各種安全意外事件的發(fā)生所采取的防范措施，既包括預防性措施，也包括事業(yè)發(fā)生后的應對措施B.應急響應工作有其鮮明的特點:具體高技術復雜性與專業(yè)性、強突發(fā)性、對知識經驗的高依賴性，以及需要廣泛的協調與合作C.應急響應時組織在處置應對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作:安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結(正確答案)D.應急響應工作的起源和相關機構的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關，基于該事件，人們更加重視安全事件的應急處理和整體協調的重要性66.我國依照信息系統(tǒng)的重要程度、安全事件造成的系統(tǒng)損失以及帶來的社會影響等因素，將信息安全事件分為若干個級別，其中，能夠對特別重要的信息系統(tǒng)產生特別嚴重影響或破壞的信息安全事件，如使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失，如造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務處理能力，或系統(tǒng)關鍵數據的保密性、完整性、可用性遭到嚴重破壞的，應屬于哪一級信息安全事件（）[單選題]*A.I級(正確答案)B.Ⅲ級C.Ⅳ級D.特別級67.恢復時間目標（RecoveryTimeObjective,RTO）和恢復點目標（RECOVERYPointObjective,RPO）是業(yè)務連續(xù)性和災難恢復工作中的兩個重要指標，隨著信息系統(tǒng)越來越重要和信息技術越來越先進，這兩個指標的數值越來越小。小華準備為其工作的信息系統(tǒng)擬定RTO和RPO指標，則以下描述中，正確的是（）[單選題]*A.RTO可以為0，RPO也可以為0(正確答案)B.RTO可以為0，RPO不可以為0C.RTO不可以為0，RPO可以為0D.RTO不可以為0，RPO也不可以為068.關于信息安全保障技術框架（InformationAssuranceTehnicalFramework,IATF），下面描述錯誤的是（）[單選題]*A.IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標準化組織（ISO）轉化為國際標準，供各個國家信息系統(tǒng)建設參考使用(正確答案)B.IATF是一個通用框架，可以用到多種應用場景中，通過對復雜信息系統(tǒng)進行解構和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C.IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D.強調人、技術和操作是深度防御的三個主要層面，也就是說討論人在技術支持下運行維護的信息安全保障問題69.關于信息安全保障技術框架（IATF），以下說法不正確的是:[單選題]*A.分層策略允許在適當的時候采用低安全級保障解決方案以便降低信息安全保障的成本B.IATF從人、技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎設施C.允許在關鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案，確保系統(tǒng)安全性D.IATF深度防御戰(zhàn)略要求在網絡體系結構的各個可能位置實現所有信息安全保障機制(正確答案)70.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件（）[單選題]*A.《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）B.《國家網絡安全綜合計劃（CNCI）》（國令[2008]54號）(正確答案)C.《國家信息安全戰(zhàn)略報告》（國信[2005]2號）D.《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）71.在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度重視我國信息安全人才隊伍的培養(yǎng)和建設。在以下關于我國關于人才培養(yǎng)工作的描述中，錯誤的是（）[單選題]*A.在《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中，針對信息安全人才建設與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng)，增強全民信息安全意識”的指導精神B.2015年，為加快網絡空間安全高層次人才培養(yǎng)，經報國務院學位委員會批準，國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科，這對于我國網絡信息安全人才成體系化、規(guī)模化、系統(tǒng)化培養(yǎng)起到積極的推動作用C.經過十余年的發(fā)展，我國信息安全人才培養(yǎng)已經成熟和體系化，每年培養(yǎng)的(正確答案)信息安全從業(yè)人員的數量較多，基本能同社會實際需求相匹配;同時，高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識更全面，因而社會化培養(yǎng)應重點放在非安全專業(yè)人才培養(yǎng)上D.除正規(guī)大學教育外，我國信息安全人才非學歷教育已基本形成了以各種認證為核心，輔以各種職業(yè)技能培訓的信息安全人才培訓體系，包括“注冊信息安全專業(yè)人員（CISP）”資質認證和一些大型企業(yè)的信息安全資質認證72.2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網絡安全綜合計劃（ComprchensiveNationalCybersecuityInitative,CNCI）。CNCI計劃建立三道防線:第一道防線，減少漏洞和隱患，預防入侵;第二道防線，全面應對各類威脅;第三道防線，強化未來安全環(huán)境。從以上內容，我們可以看出以下哪種分析是正確的:[單選題]*A.CNCI是以風險為核心，三道防線首要的任務是降低其網絡所面臨的風險(正確答案)B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內部的C.CNCI的目的是盡快研發(fā)并部署新技術和徹底改變其糟糕的網絡安全現狀，而不是在現在的網絡基礎上修修補補D.CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關鍵基礎設施視為信息安全保障重點，而是追求所有網絡和系統(tǒng)的全面安全保障73.公司甲做了很多政府網站安全項目，在為網游公司乙的網站設計安全保障方案時，借鑒以前項目經驗，為乙設計了多重數據加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網站性能，使用戶訪問量受限。雙方引起爭議。下面說法哪個是錯誤的:[單選題]*A.乙對信息安全不重視，低估了黑客能力，不舍得花錢(正確答案)B.甲在需求分析階段沒有進行風險評估，所部屬的加密針對性不足，造成浪費C.甲未充分考慮網游網站的業(yè)務與政府網站業(yè)務的區(qū)別D.乙要綜合考慮業(yè)務、合規(guī)性和風險，與甲共同確定網站安全需求74.為保障信息系統(tǒng)的安全，某經營公共服務系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并將編制任務交給了小王，為此，小王決定首先編制出一份信息安全需求報告。關于此項工作，下面說法錯誤的是（）[單選題]*A.信息安全需求是安全方案設計和安全措施的依據B.信息安全需求應當是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化、結構化的語言來描述信息系統(tǒng)安全保障需求C.信息安全需求應當基于信息安全風險評估結果、業(yè)務需求和有關政策法規(guī)和標準的合規(guī)性要求得到D.信息安全需求來自于該公眾服務信息系統(tǒng)的功能設計方案(正確答案)75.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是:[單選題]*A.系統(tǒng)安全工程旨在了解企業(yè)存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全需求轉換為貫穿系統(tǒng)整個生存期的工程實施指南B.系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內C.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法(正確答案)D.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是在原有能力成熟度模型（CMM）的基礎上。通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉變?yōu)橐粋€完好定義的、成熟的、可測量的先進學科76.某項目的主要內容為建造A類機房，監(jiān)理單位需要根據《電子信息系統(tǒng)機房設計規(guī)范》（GB50174-2008）的相關要求，對承建單位的施工設計方案進行審核，以下關于監(jiān)理單位給出的審核意見錯誤的是（）[單選題]*A.在異地建立備份機房，設計時應與主要機房等級相同B.由于高端小型機發(fā)熱量大，因此采用活動地板下送風，上回風的方式C.因機房屬于A級主機房，因此設計方案中應考慮配備柴油發(fā)電機，當市電發(fā)生故障時，所配備的柴油發(fā)電機應能承擔全部負荷的需要D.A級主機房應設置自動噴水滅火系統(tǒng)(正確答案)77.某公司建設面向內部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標選擇M公司為實施單位，并選擇了H監(jiān)理公司承擔該項目的全程監(jiān)理工作。目前，各個應用系統(tǒng)均已完成開發(fā)，M公司已經提交了驗收申請。監(jiān)理公司需要對M公司提交的軟件配置文件進行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔:[單選題]*A.項目計劃書B.質量控制計劃C.評審報告D.需求說明書(正確答案)78.有關系統(tǒng)安全工程-能力成熟度模型（SEE-CMM）中的基本實施（BasePractices，BP），正確的理解是:[單選題]*A.BP不限定于特定的方法或工具，不同的業(yè)務背景中可以使用不同的方法(正確答案)B.BP不是根據廣泛的現有資料、實踐和專家意見綜合得出的C.BP不代表信息安全工程領域的最佳實踐D.BP不是過程區(qū)域（ProcessAreas,PA）的強制項79.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對一個組織的安全工程能力成熟度進行測量時，有關測量結果，錯誤的理解是:[單選題]*A.如果該組織在執(zhí)行某個特定的過程區(qū)域時具備某一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B.如果該組織某個過程區(qū)域（ProcessAreas,PA）具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征，則過程區(qū)域的能力成熟度級別達到3級“充分定義級”(正確答案)A.如果某個過程區(qū)域（ProcessAreas,PA）包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D.組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上80.從歷史演進來看，信息安全的發(fā)展經歷了多個階段。其中，有一個階段的特點是:網絡信息系統(tǒng)逐步形成，信息安全注重保護信息在存儲、處理和傳輸過程中免受非授權的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產品。這個階段是（）[單選題]*A.通信安全階段B.計算機安全階C.信息系統(tǒng)安全階段(正確答案)D.信息安全保障階段81.下面關于信息系統(tǒng)安全保障模型的說法不正確的是:[單選題]*A.國家標準《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據具體環(huán)境和要求進行改動和細化C.信息系統(tǒng)安全保障強調的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D.信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入(正確答案)82.《信息安全保障技術框架》（InformationAssuranceTechnicalFramework，IATF）是由哪個下面哪個國家發(fā)布的（）[單選題]*A.中國B.美國(正確答案)C.俄羅斯D.歐盟83.我國信息安全保障工作先后經歷了啟動、逐步展開和積極推進，以及深化落實三個階段,我國信息安全保障各階段說法不正確的是:[單選題]*A.2001年，國家信息化領導小組重組，網絡與信息安全協調小組成立，我國信息安全保障工作正式啟動B.2003年7月，國家信息化領導小組制定出臺了《關于加強信息安全保障工作的意見》（中辦發(fā)27號文件），明確了“積極防御、綜合防范”的國家信息安全保障工作方針C.2003年，中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段(正確答案)D.在深化落實階段，信息安全法律法規(guī)、標準化，信息安全基礎設施建設，以及信息安全等級保護和風險評估取得了新進展84.我國信息安全保障建設包括信息安全組織與管理體制、基礎設施、技術體系等方面，以下關于信息安全保障建設主要工作內容說法不正確的是:[單選題]*A.健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障B.建設信息安全基礎設施，提供國家信息安全保障能力支撐C.建立信息安全技術體系，實現國家信息化發(fā)展的自主創(chuàng)新(正確答案)D.建立信息安全人才培養(yǎng)體系，加快信息安全科學建設和信息安全人才培養(yǎng)85.某銀行信息系統(tǒng)為了滿足業(yè)務發(fā)展的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素[單選題]*A.信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標B.信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風險(正確答案)D.該銀行整體安全策略86.信息安全測評是指依據相關標準，從安全功能等角度對信息技術產品、信息系統(tǒng)、服務提供商以及人員進行測試和評估，以下關于信息安全測評說法不正確的是:[單選題]*A.信息產品安全評估是測評機構對產品的安全性做出的獨立評價，增強用戶對已評估產品安全的信任B.目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風險評估和信息系統(tǒng)安全保障測評兩種類型(正確答案)C.信息安全工程能力評估是對信息安全服務提供者的資格狀況、技術實力和實施服務過程質量保證能力的具體衡量和評價D.信息系統(tǒng)風險評估是系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出有針對性的安全防護策略和整改措施87.美國的關鍵信息基礎設施（CriticalInformationInfrastructure，CII）包括商用核設施、政府設施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調重點保障這些基礎設施信息安全，其主要原因不包括:[單選題]*A.這些行業(yè)都關系到國計民生，對經濟運行和國家安全影響深遠B.這些行業(yè)都是信息化應用廣泛的領域C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現象比其他行業(yè)更突出(正確答案)D.這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失88.在設計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的:[單選題]*A.要充分切合信息安全需求并且實際可行B.要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C.要充分采取新技術，在使用過程中不斷完善成熟，精益求精，實現技術投入保值要求(正確答案)D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙89.部署互聯網協議安全虛擬專用網（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時，以下說法正確的是:[單選題]*A.配置MD5安全算法可以提供可靠地數據加密B.配置AES算法可以提供可靠的數據完整性驗證C.部署IPsecVPN網絡時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關聯（SecurityAuthentication，SA）資源的消耗(正確答案)D.報文驗證頭協議（AuthenticationHeader，AH）可以提供數據機密性90.某單位系統(tǒng)管理員對組織內核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種:[單選題]*A.強制訪問控制B.基于角色的訪問控制C.自主訪問控制(正確答案)D.基于任務的訪問控制91.主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是（）[單選題]*A.主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關信息或數據B.客體也是一種實體，是操作的對象，是被規(guī)定需要保護的資源C.主體是動作的實施者，比如人、進程或設備等均是主體，這些對象不能被當作客體使用(正確答案)D.一個主體為了完成任務，可以創(chuàng)建另外的主體，這些主體可以獨立運行92.以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl，RBAC）:根據組織的業(yè)務要求或管理要求，在業(yè)務系統(tǒng)中設置若干崗位、職位或分工。管理員負責將權限（不同類別和級別的）分別賦予承擔不同工作職責的用戶。關于RBAC模型，下列說法錯誤的是:[單選題]*A.當用戶請求訪問某資源時，如果其操作權限不再用戶當前被激活角色的授權范圍內，訪問請求將被拒絕B.業(yè)務系統(tǒng)中的崗位、職位或者分工，可對應RBAC模型中的角色C.通過角色，可實現對信息資源訪問的控制D.RBAC模型不能實現多級安全中的訪問控制(正確答案)93.自主訪問控制模型DAC的訪問控制關系可以用訪問控制ACL來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法正確的是（）[單選題]*A.ACL是Bell-LaPadula模型的一種具體實現B.ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C.ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D.ACL在增加客體時，增加相關的訪問控制權限較為簡單(正確答案)94.關于Kerberos認證協議，以下說法錯誤的是:[單選題]*A.只要用戶拿到了認證服務器（AS）發(fā)送的票據許可票據（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據授權服務器（TGS）完成到任一個服務器的認證而不必重新輸入密碼B.認證服務器（AS）和票據授權服務器（TGS）是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全C.該協議通過用戶獲得票據許可票據、用戶獲得服務許可票據、用戶獲得服務三個階段，僅支持服務器對用戶的單向認證(正確答案)D.該協議是一種基于對稱密碼算法的網絡認證協議，隨用戶數量增加，密鑰管理較復雜95.傳輸控制協議（TCP）是傳輸層協議，以下關于TCP協議的說法，哪個是正確的?[單選題]*A.相比傳輸層的另外一個協議UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途B.TCP協議包頭中包含了源IP地址和目的IP地址，因此TCP協議負責將數據傳送到正確的主機C.TCP協議具有流量控制、數據校驗、超時重發(fā)、接收確認等機制，因此TCP協議能完全替代IP協議D.TCP協議雖然高可靠，但是相比UDP協議機制過于復雜，傳輸效率要比UDP低(正確答案)96.以下關于UDP協議的說法，哪個是錯誤的?[單選題]*A.UDP具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務攻擊B.UDP協議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數據包送達正確的程序C.相比TCP協議，UDP協議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流量需求的應用數據D.UDP協議不僅具有流量控制，超時重發(fā)機制，還能提供加密等服務，因此常用來傳輸如視頻會話這類需要隱私保護的數據(正確答案)97.由于Internet的安全問題日益突出，基于TCP/IP協議，相關組織和專家在協議的不同層次設計了相應的安全通信協議，用來保障網絡各層次的安全。其中，屬于或依附于傳輸層的安全協議是（）[單選題]*A.PP2PB.L2TPC.SSL(正確答案)D.IPSec98.防火墻是網絡信息系統(tǒng)建設中常常采用的一類產品，它在內外網隔離方面的作用是（）。[單選題]*A.既能物理隔離，又能邏輯隔離B.能物理隔離，但不能邏輯隔離C.不能物理隔離，但是能邏輯隔離(正確答案)D.不能物理隔離，也不能邏輯隔離99.S公司在全國有20個分支機構，總部有10臺服務器、200個用戶終端，每個分支機構都有一臺服務器、100個左右用戶終端，通過專用進行互聯互通。公司招標的網絡設計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給S公司選出設計最合理的一個:[單選題]*A.總部使用服務器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構服務和用戶終端使用192.168.2.x~192.168.20.xB.總部使用服務器使用~11、用戶終端使用2~212，分支機構IP地址隨意確定即可C.總部服務器使用10.0.1.x、用戶終端根據部門劃分使用10.0.2.x、每個分支機構分配兩個A類地址段，一個用做服務器地址段、另外一個做用戶終端地址段(正確答案)D.因為通過互聯網連接，訪問的是互聯網地址，內部地址經NAT映射，因此IP地址無需特別規(guī)劃，各機構自行決定即可100.私有IP地址是一段保留的IP地址。只使用在局域網中，無法在Internet上使用。關于私有地址，下面描述正確的是（）。[單選題]*A.A類和B類地址中沒有私有地址，C類地址中可以設置私有地址B.A類地址中沒有私有地址，B類和C類地址中可以設置私有地址C.A類、B類和C類地址中都可以設置私有地址(正確答案)D.A類、B類和C類地址中都沒有私有地址101.張主任的計算機使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個人文件夾設置了權限為只有zhang這個用戶有權訪問這個目錄，管理員在某次維護中無意將zhang這個用戶刪除了，隨后又重新建了一個用戶名為zhang，張主任使用zhang這個用戶登錄系統(tǒng)后，發(fā)現無法訪問他原來的個人文件夾，原因是:[單選題]*A.任何一個新建用戶都需要經過授權才能訪問系統(tǒng)中的文件B.Windows7不認為新建立的用戶zhang與原來的用戶zhang是同一個用戶，因此無權訪問(正確答案)C.用戶被刪除后，該用戶創(chuàng)建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D.新建的用戶zhang會繼承原來用戶的權限，之所以無權訪問是因為文件夾經過了加密102.以下關于Windows系統(tǒng)的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的:[單選題]*A.存儲在注冊表中的賬號數據是管理員組用戶都可以訪問，具有較高的安全性B.存儲在注冊表中的賬號數據只有administrator賬戶才有權訪問，具有較高的安全性C.存儲在注冊表中的賬號數據任何用戶都可以直接訪問，靈活方便D.存儲在注冊表中的賬號數據有只有System賬戶才能訪問，具有較高的安全性(正確答案)103.口令破解是針對系統(tǒng)進行攻擊的常用方法，Windows系統(tǒng)安全策略中應對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關于這兩個策略說明錯誤的是[單選題]*A.密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進行管控B.