CISP考試認(rèn)證(習(xí)題卷14)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷14)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項(xiàng)選擇題，共250題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.定義ISMS范圍時(shí),下列哪項(xiàng)不是考慮的重點(diǎn)A)組織現(xiàn)有的部門B)信息資產(chǎn)的數(shù)量與分布C)信息技術(shù)的應(yīng)用區(qū)域D)IT人員數(shù)量[單選題]2.有編輯／etc／passwd文件能力的攻擊者可以通過把UID變?yōu)開___就可以成為特權(quán)用戶。A)A-1B)B0C)C1D)D2[單選題]3.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生,防范這種攻擊比較有效的方法是?A)加強(qiáng)網(wǎng)站源代碼的安全性B)對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估C)協(xié)調(diào)運(yùn)營商對(duì)域名解析服務(wù)器進(jìn)行加固D)在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)防火墻[單選題]4.信息發(fā)送者使用進(jìn)行數(shù)字簽名。A)己方的私鑰B)己方的公鑰C)對(duì)方的私鑰D)對(duì)方的公鑰[單選題]5.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹碓酱蟆Ｐ±畎l(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對(duì)有毒件的檢測,將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A)簡單運(yùn)行B)行為檢測C)特征數(shù)據(jù)匹配D)特征碼掃描[單選題]6.高層的協(xié)議將數(shù)據(jù)傳遞到網(wǎng)絡(luò)層，形成__，然后傳遞到數(shù)據(jù)鏈路層A)數(shù)據(jù)段B)信元C)數(shù)據(jù)幀D)數(shù)據(jù)包[單選題]7.下面沒有利用猜測密碼口令方式進(jìn)行傳播的病毒是：A)高波變種3TB)迅猛姆馬C)震蕩波D)口令蠕蟲[單選題]8.1993年至1996年,歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個(gè)供歐美各國通用的信息安全評(píng)估標(biāo)準(zhǔn),簡稱CC標(biāo)準(zhǔn),該安全評(píng)估標(biāo)準(zhǔn)的全稱為()A)《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》B)《信息技術(shù)安全評(píng)估準(zhǔn)則》C)《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》D)《信息技術(shù)安全通用評(píng)估準(zhǔn)則》[單選題]9.33.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A)傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B)傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層C)互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D)互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層[單選題]10.對(duì)于Linux審計(jì)說法錯(cuò)誤的是?A)Linux系統(tǒng)支持細(xì)粒度的審計(jì)操作B)Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計(jì)日志到SOC平臺(tái)C)Linux系統(tǒng)一般使用AuDitD進(jìn)程產(chǎn)生日志文件D)Linux在seCure日志中登陸成功日志和審計(jì)日志是一個(gè)文件[單選題]11.默認(rèn)情況下WINDOWS那個(gè)版本可以抓到LMhashA)xpB)vistaC)7D)2008[單選題]12.35.管理層應(yīng)該表現(xiàn)對(duì)()，程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承包方人員都了解其()角色和職責(zé)，并遵守相應(yīng)的條款和條件。組織要建立信息安全意識(shí)計(jì)劃，并定期組織信息安全(）.組織要建立正式的()，確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過程要規(guī)定()，考慮例如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素，以及相關(guān)法律、業(yè)務(wù)合同和其他因素。A)信息安全:信息安全政策:教育和培訓(xùn)，紀(jì)律處理過程:分級(jí)的響應(yīng)B)信息安全政策:信息安全；教育和培訓(xùn):紀(jì)律處理過程；分級(jí)的響應(yīng)C)信息安全政策:教育和培訓(xùn):信息安全:紀(jì)律處理過程；分級(jí)的響應(yīng)D)信息安全政策；紀(jì)律處理過程；信息安全:教育和培訓(xùn):分級(jí)的響應(yīng)[單選題]13.82.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進(jìn)行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：A)模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B)數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對(duì)象C)監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D)深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測試人員手工重現(xiàn)并分析[單選題]14.17.如下圖所示，兩份文件包含了不同的內(nèi)容。卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)的()A)單向性B)弱抗碰撞性C)強(qiáng)抗碰撞性D)機(jī)密性[單選題]15.以下關(guān)于Web傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問、說法不正確的是（）A)HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗(yàn)證和缺乏狀態(tài)跟蹤等方面的安全問、B)HTTP協(xié)議缺乏有效的安全機(jī)制，易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊C)Cookie是為了所別用戶身份，進(jìn)行會(huì)話跟蹤而存儲(chǔ)在用戶本地終端上的數(shù)據(jù)，用戶可以隨意查看存儲(chǔ)在Cookie中的數(shù)據(jù)，但其中的內(nèi)容不能被修改D)針對(duì)HTTP協(xié)議存在的安全問、，使用HTTPS具有較高的安全性，可以通過證書來驗(yàn)證服務(wù)器的身份，并為服務(wù)器和服務(wù)器之間的通信加密[單選題]16.以下關(guān)于數(shù)字簽名說法正確的是()A)數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B)數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸,即安全傳輸問題C)數(shù)字簽名一般采用對(duì)稱加密機(jī)制D)數(shù)字簽名能夠解決篡改、偽造等安全性問題[單選題]17.以下關(guān)于信息安全工程說法正確的是()。A)信息化建設(shè)可以先實(shí)施系統(tǒng),而后對(duì)系統(tǒng)進(jìn)行安全加固B)信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的C)信息化建設(shè)沒有必要涉及信息安全建設(shè)D)信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全,在建設(shè)階段要同步實(shí)施信息安全建設(shè)[單選題]18.U盤里有重要資料，同事臨時(shí)借用，如何做更安全？A)同事關(guān)系較好可以借用B)刪除文件之后再借C)同事使用U盤的過程中，全程查看D)將U盤中的文件備份到電腦之后，使用殺毒軟件提供的?文件粉碎?功能將文件粉碎，然后再借給同事[單選題]19.防范密碼嗅探攻擊計(jì)算機(jī)系統(tǒng)的控制措施包括下列哪一項(xiàng)?A)靜態(tài)和重復(fù)使用的密碼。B)加密和重復(fù)使用的密碼。C)一次性密碼和加密。D)靜態(tài)和一次性密碼。[單選題]20.下列哪種方式可以解決網(wǎng)絡(luò)安全四要素：A)防火墻B)入侵檢測C)訪問控D)PKI基礎(chǔ)設(shè)施[單選題]21.以下哪項(xiàng)不是IDS可以解決的問題：A)彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點(diǎn)B)識(shí)別和報(bào)告對(duì)數(shù)據(jù)文件的改動(dòng)C)統(tǒng)計(jì)分析系統(tǒng)中異常活動(dòng)模式D)提升系統(tǒng)監(jiān)控能力[單選題]22.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分,在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是:1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級(jí);3.標(biāo)識(shí)關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時(shí)間A)1-3-4-2B)1-3-2-4C)1-2-3-4D)1-4-3-2[單選題]23.信息安全管理組織說法以下說法不正確的是?A)信息安全管理組織人員應(yīng)來自不同的部門。B)信息安全管理組織的所有人員應(yīng)該為專職人員。C)信息安全管理組織應(yīng)考慮聘請(qǐng)外部專家。D)信息安全管理組織應(yīng)建立溝通、協(xié)調(diào)機(jī)制。[單選題]24.在信息安全管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B)背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告[單選題]25.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊(cè)日期與編號(hào)、正黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行()攻擊。A)默認(rèn)口令B)字典C)暴力D)XSS[單選題]26.13.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個(gè)郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請(qǐng)問以下說法哪個(gè)是正確的？A)小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題B)事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請(qǐng)購買新的服務(wù)器C)單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D)事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件[單選題]27.以下哪一個(gè)是對(duì)?最小特權(quán)?這一人員安全管理原則的正確理解：A)組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長期負(fù)責(zé)B)對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C)一個(gè)人有且僅有其他執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn))防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來越多的權(quán)限[單選題]28.什么是數(shù)據(jù)庫安全的第一道保障A)操作系統(tǒng)的安全B)數(shù)據(jù)庫管理系統(tǒng)層次C)網(wǎng)絡(luò)系統(tǒng)的安全D)數(shù)據(jù)庫管理員[單選題]29.信息安全策略,聲稱?密碼的顯示必須以掩碼的形式?的目的是防范下面哪種攻擊風(fēng)險(xiǎn)?A)尾隨B)垃圾搜索C)肩窺D)冒充[單選題]30.59.某公司中標(biāo)了某項(xiàng)軟件開發(fā)項(xiàng)目后，在公司內(nèi)部研討項(xiàng)目任務(wù)時(shí)，項(xiàng)目組認(rèn)為之前在VPN技術(shù)方面積累不夠，導(dǎo)致在該項(xiàng)目中難以及時(shí)完成VPN功能模塊，為解決該問題，公司高層決定接受該項(xiàng)目任務(wù)，同時(shí)將該VPN功能模塊以合同形式委托另外一家安全公司完成，要求其在指定時(shí)間內(nèi)按照任務(wù)需求書完成工作，否則承擔(dān)相應(yīng)責(zé)任。在該案例中公司高層采用哪種風(fēng)險(xiǎn)處理方式A)風(fēng)險(xiǎn)降低B)風(fēng)險(xiǎn)規(guī)避C)風(fēng)險(xiǎn)轉(zhuǎn)移D)風(fēng)險(xiǎn)接受[單選題]31.下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型，這個(gè)模型經(jīng)常使用圖形的形式來表達(dá)的下圖空白處應(yīng)填A(yù))策略B)方針C)人員D)項(xiàng)目[單選題]32.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯(cuò)誤的理解是()。A)基于SSE-CMM的工程是獨(dú)立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施B)SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C)SSE-CMM要求實(shí)施組織與其他組織相互作用,如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等D)SSE-CMM覆蓋整個(gè)組織的活動(dòng),包括管理、組織和工程活動(dòng)等,而不僅僅是系統(tǒng)安全的工程活動(dòng)[單選題]33.關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和其配套的安全技術(shù)措施應(yīng)該（）A)同步規(guī)劃、同步建設(shè)、同步廢棄B)同步規(guī)劃、同步建設(shè)、同步使用C)同步建設(shè)、同步驗(yàn)收、同步運(yùn)維D)同步設(shè)計(jì)、同步驗(yàn)收、同步運(yùn)維[單選題]34.Unix的哪個(gè)目錄是用來放置各種配置文件的？A)/SB.INB)/ETC..C)/PROC.D)/D.WR[單選題]35.信息資產(chǎn)面臨的主要威脅來源主要包括A)自然災(zāi)害B)系統(tǒng)故障C)內(nèi)部人員操作失誤D)以上都包括[單選題]36.CISP的中文翻譯是？A)注冊(cè)信息安全專家B)中國信息安全注冊(cè)人員C)中國信息安全專家D)注冊(cè)信息安全專業(yè)人員[單選題]37.以下關(guān)于直接附加存儲(chǔ)（DAS）說法錯(cuò)誤的是？A)DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)據(jù)存儲(chǔ)方法B)DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單C)DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連續(xù)在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D)較網(wǎng)絡(luò)附加存儲(chǔ)（NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份[單選題]38.何種情況下，一個(gè)組織應(yīng)當(dāng)對(duì)公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全A)當(dāng)信息安全事件的負(fù)面影響擴(kuò)展到本組織以外時(shí)B)只要發(fā)生了安全事件就應(yīng)當(dāng)公告C)只有公眾的生命財(cái)產(chǎn)安全受到巨大危害時(shí)才公告D)當(dāng)信息安全事件平息之后[單選題]39.S公司在全國有20個(gè)分支機(jī)構(gòu)，總部有10臺(tái)服務(wù)器、200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺(tái)服務(wù)器、100個(gè)左右用戶終端，通過專用進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評(píng)標(biāo)專家，請(qǐng)給S公司選出設(shè)計(jì)最合理的一個(gè)：A)總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)和用戶終端使用192.168.2.x~192.168.20.xB)總部使用服務(wù)器使用~11、用戶終端使用2~212，分支機(jī)構(gòu)IP地址隨意確定即可C)總部服務(wù)器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段、另外一個(gè)做用戶終端地址段D)因?yàn)橥ㄟ^互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機(jī)構(gòu)自行決定即可[單選題]40.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施,那么安裝監(jiān)測控制設(shè)備:A)是多余的,因?yàn)樗鼈兺瓿闪送瑯拥墓δ?但要求更多的開銷B)是必須的,可以為預(yù)防控制的功效提供檢測C)是可選的,可以實(shí)現(xiàn)深度防御D)在一個(gè)人工系統(tǒng)中是需要的,但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的,因?yàn)轭A(yù)防控制功能已經(jīng)足夠[單選題]41.安全領(lǐng)域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域,下面哪項(xiàng)描述是錯(cuò)誤的()A)安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù),和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)B)安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護(hù)問題C)以安全域?yàn)榛A(chǔ),可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段。從而使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)D)安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn),以安全域?yàn)榛A(chǔ),可以對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估,因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式[單選題]42.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng),應(yīng)當(dāng)()年進(jìn)行一次等級(jí)測評(píng)?A)0.5B)1C)2D)3[單選題]43.恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個(gè)值能否為零，正確的選項(xiàng)是（）A)RTO可以為0，RPO也可以為0B)RTO可以為0，RPO不可以為0C)RTO不可以為0，但RPO可以為0D)RTO不可以為0，RPO也不可以為0[單選題]44.31.20世紀(jì)20年代，德國發(fā)明家亞瑟.謝爾比烏斯（Aunturscherbius）和理查德.里特（RichardRitter）發(fā)明了ENIGMA密碼機(jī)，看密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A)古典階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是推理和證明。常用的密碼運(yùn)算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?（thecommunicationtheoryofsecretsystems)為理論基礎(chǔ)，開始了對(duì)密碼學(xué)的科學(xué)探索。D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合。[單選題]45.防火墻通常采用哪兩種核心技術(shù)？()A)包過濾和應(yīng)用代理B)協(xié)議分析和應(yīng)用代理C)協(xié)議分析和協(xié)議代理D)包過濾和協(xié)議分析[單選題]46.Ipsec（lPSecurity）協(xié)議標(biāo)準(zhǔn)的設(shè)計(jì)目標(biāo)是在lPv4和lPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP／IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性下面選項(xiàng)中哪項(xiàng)描述是錯(cuò)誤的（）A)IPSec協(xié)議不支持使用數(shù)字證書B)IPSec協(xié)議對(duì)于IPv4和IPv6網(wǎng)絡(luò)都是適用的C)IPSec有兩種工作模式：傳輸模式和隧道模式D)IPSec協(xié)議包括封裝安全載荷（ESP）和鑒別頭（AH）兩種通信保護(hù)機(jī)制[單選題]47.質(zhì)量保證小組通常負(fù)責(zé)：A)確保從系統(tǒng)處理收到的輸出是完整的B)監(jiān)督計(jì)算機(jī)處理任務(wù)的執(zhí)行C)確保程序、程序的更改以及存檔符合制定的標(biāo)準(zhǔn)D)設(shè)計(jì)流程來保護(hù)數(shù)據(jù)，以免被意外泄露、更改或破壞[單選題]48.59.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)。關(guān)于這兩者，下面描述錯(cuò)誤的是（）A)內(nèi)部審核和管理審評(píng)都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B)內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評(píng)審的實(shí)施方式多采用召開管理審評(píng)會(huì)議的形式進(jìn)行C)內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D)組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)使用，但在管理評(píng)審中，這些文件是被審對(duì)象[單選題]49.16.下面對(duì)零日(zero-day)漏洞的理解中,正確的是A)指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B)指一個(gè)特定的漏洞在2010年被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C)指一類漏洞,特別好被利用,一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達(dá)到攻擊目標(biāo)D)一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被人發(fā)現(xiàn),但是還未公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞[單選題]50.90.信息安全風(fēng)險(xiǎn)評(píng)估是針對(duì)事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過程，下列選項(xiàng)中不屬于風(fēng)險(xiǎn)評(píng)估要素的是()。A)資產(chǎn)B)脆弱性C)威脅D)安全需求[單選題]51.關(guān)于惡意代碼,以下說法錯(cuò)誤的是:3/16注冊(cè)信息安全專業(yè)人員考試模擬考試試卷A)從傳播范圍來看,惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B)按照運(yùn)行平臺(tái),惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C)不感染的依附性惡意代碼無法單獨(dú)執(zhí)行D)為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞,傳播途徑是惡意代碼賴以生存和繁殖的基本條件[單選題]52.如果想用winD.ows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個(gè)服務(wù)：A)D.HC.PB)NFSC)SA.MB.A.D)SSH[單選題]53.下面對(duì)于Rootkit技術(shù)的解釋不準(zhǔn)確的是：A)Rootkit是攻擊者用來隱藏自己和保留對(duì)系統(tǒng)的訪問權(quán)限的一組工具B)Rootkit是一種危害大、傳播范圍廣的蠕蟲C)Rootkit和系統(tǒng)底層技術(shù)結(jié)合十分緊密D)Rootkit的工作機(jī)制是定位和修改系統(tǒng)的特定數(shù)據(jù)改變系統(tǒng)的正常操作流程[單選題]54.下列信息安全評(píng)估標(biāo)準(zhǔn)中,哪一個(gè)是我國信息安全評(píng)估的國家標(biāo)準(zhǔn)?()A)TCSEC標(biāo)準(zhǔn)B)CC標(biāo)準(zhǔn)C)FC標(biāo)準(zhǔn)D)ITSEC標(biāo)準(zhǔn)[單選題]55.下面那個(gè)是administrator的SIDA)S-1-5-21-1459253261-319776089-1172113026-100B)S-1-5-21-1459253261-319776089-1172113026-500C)S-1-5-21-1459253261-319776089-1172113026-1000D)S-1-5-21-1459253261-319776089-1172113026-1001[單選題]56.某單位開發(fā)一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析,模糊測試等軟件測試,在應(yīng)用上線前,項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測試,作為安全主管,你需要提出滲透性測試相比源代碼測試,模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性的優(yōu)勢?A)滲透測試使用人工進(jìn)行測試,不依賴軟件,因此測試更準(zhǔn)確B)滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C)滲透測試以攻擊者思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞D)滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多[單選題]57.關(guān)于Linux下的用戶和組，以下描述不正確的是？A)在Linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的?用戶?B)系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C)用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D)root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]58.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請(qǐng)求,消耗被攻擊者的資源來進(jìn)行響應(yīng),直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時(shí),這種攻擊稱之為:A)Land攻擊B)Smurf攻擊C)PingofDeath攻擊D)ICMPFlood[單選題]59.安全審計(jì)是一種很常見的安全控制措施,它在信息全保障系統(tǒng)中,屬于()措施。A)保護(hù)B)檢測C)響應(yīng)D)恢復(fù)[單選題]60.54.以下SQL語句建立的數(shù)據(jù)庫對(duì)象是：CreateViewPatientsForDocotorsAsSelectPatientFROMPatient,DocotorWheredocotorID＝123A)表B)視圖C)存儲(chǔ)過程D)觸發(fā)器[單選題]61.系統(tǒng)上線前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查,不包括下列哪種安全檢查A)主機(jī)操作系統(tǒng)安全配置檢查B)網(wǎng)絡(luò)設(shè)備安全配置檢查C)系統(tǒng)軟件安全漏洞檢查D)數(shù)據(jù)庫安全配置檢查[單選題]62.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A)WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B)WPA是適用于中國的無線局域安全協(xié)議,WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C)WPA沒有使用密碼算法對(duì)接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D)WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制定的[單選題]63.某銀行有5臺(tái)交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò)(如圖所示),在基于以太網(wǎng)的通信中,計(jì)算機(jī)A需要與計(jì)算機(jī)B通信,A必須先廣播請(qǐng)求信息;,獲取計(jì)算機(jī)B的物理地址.每到月底時(shí)用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢.銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺(tái)交換機(jī)收到ARP請(qǐng)求后,會(huì)轉(zhuǎn)發(fā)給接收端口以外的其他所有端口,ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機(jī)上.為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi),可以采用的技術(shù)是().A)動(dòng)態(tài)分配地址B)配置虛擬專用網(wǎng)絡(luò)C)VLAN劃分D)為路由交換設(shè)備修改默認(rèn)口令[單選題]64.風(fēng)險(xiǎn)處理是依據(jù)(),選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將()始終控制在可接愛的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有()、()、()和()四種方式。A)風(fēng)險(xiǎn);風(fēng)險(xiǎn)評(píng)估的結(jié)果;降低;規(guī)避;轉(zhuǎn)移;接受B)風(fēng)險(xiǎn)評(píng)估的結(jié)果;風(fēng)險(xiǎn);降低;規(guī)避;轉(zhuǎn)移;接受C)風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn);降低;規(guī)避;轉(zhuǎn)移;接受D)風(fēng)險(xiǎn);風(fēng)險(xiǎn)評(píng)估;降低;規(guī)避;轉(zhuǎn)移;接受[單選題]65.下列哪項(xiàng)是系統(tǒng)問責(zé)時(shí)不需要的?A)認(rèn)證B)鑒定C)授權(quán)D)審計(jì)[單選題]66.43.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問題的說法正確的是：A)網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B)網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C)網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)絡(luò)攻擊面增大，產(chǎn)生此安全問題D)網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題[單選題]67.SQL殺手蠕蟲病毒發(fā)作的特征是什么？()A)攻擊個(gè)人PC終端B)大量消耗網(wǎng)絡(luò)帶寬C)攻擊手機(jī)網(wǎng)絡(luò)D)破壞PC游戲程序[單選題]68.以下哪個(gè)選項(xiàng)是缺乏適當(dāng)?shù)陌踩刂频谋憩F(xiàn)A)威脅B)脆弱性C)資產(chǎn)D)影響[單選題]69.以下哪一項(xiàng)是在兼顧可用性的基礎(chǔ)上，防范SQL注入攻擊最有效的手段：A)刪除存在注入點(diǎn)的網(wǎng)頁B)對(duì)數(shù)據(jù)庫系統(tǒng)的管理C)對(duì)權(quán)限進(jìn)行嚴(yán)格的控制，對(duì)WEB.用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的過濾D)通過網(wǎng)絡(luò)防火墻嚴(yán)格限制INTERNET用戶對(duì)WEB.服務(wù)器的訪問[單選題]70.在TCP中的六個(gè)控制位哪一個(gè)是用來請(qǐng)求同步的A)SYNB)ACKC)FIND)RST[單選題]71.433.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé),分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。()和元數(shù)據(jù)標(biāo)簽是常見的形式。標(biāo)記應(yīng)易于辨認(rèn),規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給于指導(dǎo),并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲(chǔ)和()。A)敏感性;物理標(biāo)簽;資產(chǎn)的價(jià)值;信息資產(chǎn);交換規(guī)程B)敏感性;信息資產(chǎn);資產(chǎn)的價(jià)值:物理標(biāo)簽;交換規(guī)程C)資產(chǎn)的價(jià)值;敏感性;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程D)敏感性;資產(chǎn)的價(jià)值;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程[單選題]72.97.某信息安全公司的團(tuán)隊(duì)對(duì)某款名為?紅包快搶?的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計(jì)算機(jī)中，通過修改注冊(cè)表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無用的是（）A)不下載、不執(zhí)行、不接收來歷不明的軟件和文件B)不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C)使用共享文件夾D)安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件[單選題]73.下圖是使用CC標(biāo)準(zhǔn)進(jìn)行的信息安全評(píng)估的基本過程，在圖中（1）~（3）處填入構(gòu)成評(píng)估相關(guān)要素的主要因素，下列選項(xiàng)中正確的是（）A)(1)評(píng)估方法學(xué)(2)最終評(píng)估結(jié)果(3)批準(zhǔn)、認(rèn)證B)(1)評(píng)估方法學(xué)(2)認(rèn)證過程(3)最終評(píng)估結(jié)果C)(1)評(píng)估合理性(2)最終評(píng)估結(jié)果(3)批準(zhǔn)、認(rèn)證D)(1)評(píng)估合理性(2)認(rèn)證過程(3)最終評(píng)估結(jié)果[單選題]74.近年來，電子郵件用戶和公司面臨的安全性風(fēng)險(xiǎn)日益嚴(yán)重，以下不屬于電子郵件安全威脅的是：_________A)SMTP的安全漏洞B)電子郵件群發(fā)C)郵件炸彈D)垃圾郵件[單選題]75.時(shí)間的流逝對(duì)服務(wù)中斷損失成本和中斷恢復(fù)成本會(huì)有什么影響?A)兩個(gè)成本增加B)中斷的損失成本增加,中斷恢復(fù)的成本隨時(shí)問的流逝而減少C)兩個(gè)成本都隨時(shí)間的流逝而減少D)沒有影響[單選題]76.下圖是使用CC標(biāo)準(zhǔn)進(jìn)行的信息安全評(píng)估的基本過程，在圖中（1）~（3）處填入構(gòu)成評(píng)估相關(guān)要素的主要因素，下列選項(xiàng)中正確的是（）A)（1）評(píng)估方法學(xué)（2）最終評(píng)估結(jié)果（3）批準(zhǔn)、認(rèn)證B)（1）評(píng)估方法學(xué)（2）認(rèn)證過程（3）最終評(píng)估結(jié)果C)（1）評(píng)估合理性（2）最終評(píng)估結(jié)果（3）批準(zhǔn)、認(rèn)證D)（1）評(píng)估合理性（2）認(rèn)證過程（3）最終評(píng)估結(jié)果[單選題]77.以下對(duì)信息安全管理的描述錯(cuò)誤的是A)信息安全管理的核心就是風(fēng)險(xiǎn)管理B)人們常說,三分技術(shù),七分管理,可見管理對(duì)信息安全的重要性C)安全技術(shù)是信息安全的構(gòu)筑材料,安全管理是真正的粘合劑和催化劑D)信息安全管理工作的重點(diǎn)是信息系統(tǒng),而不是人[單選題]78.下面選項(xiàng)屬于社會(huì)工程學(xué)攻擊選項(xiàng)的是（）?A)邏輯炸彈B)木馬C)包重放D)網(wǎng)絡(luò)釣魚[單選題]79.風(fēng)險(xiǎn)評(píng)估實(shí)施過程中資產(chǎn)識(shí)別的范圍主要包括什么類別A)網(wǎng)絡(luò)硬件資產(chǎn)B)數(shù)據(jù)資產(chǎn)C)軟件資產(chǎn)D)以上都包括[單選題]80.63.()才是系統(tǒng)的軟肋，可以毫不夸張的說，人是信息系統(tǒng)安全防護(hù)體系中最不穩(wěn)定也是()。社會(huì)工程學(xué)攻擊是一種復(fù)雜的攻擊，不能等同于一般的()，很多即使是自認(rèn)為非常警惕及小心的人，一樣會(huì)被高明的()所攻破。A)社會(huì)工程學(xué)；攻擊人的因素；最脆弱的環(huán)節(jié)；欺騙方法B)人的因素:最脆弱的環(huán)節(jié)；社會(huì)工程學(xué)攻擊；欺騙方法C)欺騙方法；最脆弱的環(huán)節(jié)；人的因素；社會(huì)工程學(xué)攻擊D)人的因素；最脆弱的環(huán)節(jié)；欺騙方法:社會(huì)工程學(xué)攻擊[單選題]81.在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯(cuò)誤的是：A)PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B)PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C)兩份不同的ST不可能滿足同一份PP的要求D)ST與具體的實(shí)現(xiàn)有關(guān)[單選題]82.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性,但也有局限性,下列說法錯(cuò)誤的是()A)對(duì)用戶知識(shí)要求高,配置、操作和管理使用過于簡單,容易遭到攻擊B)高虛頻率,入侵檢測系統(tǒng)會(huì)產(chǎn)生大量的警告信息和可疑的入侵行為記錄,用戶處理負(fù)擔(dān)很重C)入侵檢測系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí),對(duì)其他數(shù)據(jù)的檢測可能會(huì)被控制或者受到影響D)警告消息記錄如果不完整,可能無法與入侵行為關(guān)聯(lián)[單選題]83.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是:A)規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B)設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性,提出安全功能需求C)實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別,并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn),是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面標(biāo)準(zhǔn)原文?較全面?[單選題]84.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表(AccessControlList.ACL)機(jī)制,以下哪個(gè)說法是錯(cuò)誤的:A)安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B)由于Windows操作系統(tǒng)自身有大量文件和目錄,因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限,為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C)Windows的ACL機(jī)制中,文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D)由于ACL具有很好靈活性,在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立擁護(hù)的權(quán)限[單選題]85.不能防止計(jì)算機(jī)感染病毒的措施是_____。A)A定時(shí)備份重要文件B)B經(jīng)常更新操作系統(tǒng)C)C除非確切知道附件內(nèi)容，否則不要打開電子郵件附件D)D重要部門的計(jì)算機(jī)盡量專機(jī)專用與外界隔絕[單選題]86.實(shí)施邏輯訪問安全時(shí),以下哪項(xiàng)不是邏輯訪問?A)用戶ID。B)訪問配置文件。C)員工胸牌。D)密碼。[單選題]87.8密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是（）A)在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式B)密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行C)根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D)密碼協(xié)議（cryptographicprotocol），有時(shí)也稱安全協(xié)議（securityprotocol），是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)[單選題]88.459.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于開展信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)試點(diǎn)工作的通知》（公信安【2009】812號(hào)）、關(guān)于推動(dòng)信息安全等級(jí)保護(hù)（）建設(shè)和開展（）工作的通知（公信安【2010】303號(hào)）等文件，由公安部（）對(duì)等級(jí)保護(hù)測評(píng)機(jī)構(gòu)管理，接受測評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期（），對(duì)不具備能力的測評(píng)機(jī)構(gòu)則（）。A)等級(jí)測評(píng)，測評(píng)體系，等級(jí)保護(hù)評(píng)估中心，能力驗(yàn)證：取消授權(quán)B)測評(píng)體系：等級(jí)保護(hù)評(píng)估中心，等級(jí)測評(píng)，能力驗(yàn)證：取消授權(quán)C)測評(píng)體系：等級(jí)測評(píng)，等級(jí)保護(hù)評(píng)估中心：能力驗(yàn)證，取消授權(quán)D)測評(píng)體系：等級(jí)保護(hù)評(píng)估中心，能力驗(yàn)證：等級(jí)測評(píng)：取消授權(quán)[單選題]89.（）攻擊是建立在人性"弱點(diǎn)"利用基礎(chǔ)上的攻擊，大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過（）才能實(shí)施成功的。即時(shí)是最簡單的"直接攻擊"也需要進(jìn)行（）。如果希望受害者攻擊者所需要的（），攻擊者就必要具備這個(gè)身份所需要的（）A)社會(huì)工程學(xué)、精心策劃、前期的準(zhǔn)備、偽裝的身份、一些特征B)精心策劃、社會(huì)工程學(xué)、前期的準(zhǔn)備、偽裝的身份、一些特征C)精心策劃、社會(huì)工程學(xué)、偽裝的身份、前期的準(zhǔn)備、一些特征D)社會(huì)工程學(xué)、偽裝的身份、精心策劃、前期的準(zhǔn)備、一些特征[單選題]90.()攻擊是建立在人性?弱點(diǎn)?利用基礎(chǔ)上的攻擊,大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過()才能實(shí)施成功的。即使是最簡單的?直接攻擊?也需要進(jìn)行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個(gè)身份需要的()A)社會(huì)工程學(xué):精心策劃;前期的準(zhǔn)備;偽裝的身份;一些特征B)精心策劃;社會(huì)工程學(xué);前期的準(zhǔn)備;偽裝的身份;一些特征C)精心策劃;社會(huì)工程學(xué);偽裝的身份;前期的準(zhǔn)備:一些特征D)社會(huì)工程學(xué);偽裝的身份;精心策劃;前期的準(zhǔn)備;一些特征[單選題]91.以下哪個(gè)說法最符合《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)的定義（）A)計(jì)算機(jī)局域網(wǎng)B)包含服務(wù)器、交換機(jī)等設(shè)備的系統(tǒng)C)覆蓋處理各種信息的設(shè)備的網(wǎng)絡(luò)空間D)人與人交往聯(lián)系的社會(huì)網(wǎng)絡(luò)[單選題]92.以下關(guān)于信息安全保障說法中哪一項(xiàng)不正確？A)信息安全保障是為了支撐業(yè)務(wù)高效穩(wěn)定的運(yùn)行B)以安全促發(fā)展，在發(fā)展中求安全C)信息安全保障不是持續(xù)性開展的活動(dòng)D)信息安全保障的實(shí)現(xiàn)，需要將信息安全技術(shù)與管理相結(jié)合[單選題]93.某公司的對(duì)外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容,該公司應(yīng)當(dāng)購買并部署下面哪個(gè)設(shè)備()A)安全路由器B)網(wǎng)絡(luò)審計(jì)系統(tǒng)C)網(wǎng)頁防篡改系統(tǒng)D)虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)系統(tǒng)[單選題]94.如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈,什么預(yù)防方式最有效?A)源代碼周期性安全掃描B)源代碼人工審計(jì)C)滲透測試D)對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行不間斷監(jiān)測記錄[單選題]95.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制表(ACL)來表示,該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是()。A)ACL在刪除用戶時(shí),去除該用戶所有的訪問權(quán)限比較方便B)ACL在增加客體時(shí),增加相關(guān)的訪問控制權(quán)限較為簡單C)ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D)ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)[單選題]96.42.針對(duì)軟件的拒絕服務(wù)攻擊時(shí)通過消耗系統(tǒng)資源是軟件無法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式A)攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%B)攻擊者利用軟件腳本使用多重賬套查詢?cè)跀?shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫相應(yīng)緩慢C)攻擊者利用軟件不自動(dòng)釋放連接的問題，通過發(fā)送大量連接的消耗軟件并發(fā)生連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D)攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問[單選題]97.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明,那個(gè)是正確的:A)Https協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密,可以避免嗅探等攻擊行為B)Https使用的端口http不同,讓攻擊者不容易找到端口,具有較高的安全性C)Https協(xié)議是http協(xié)議的補(bǔ)充,不能獨(dú)立運(yùn)行,因此需要更高的系統(tǒng)性能D)Https協(xié)議使用了挑戰(zhàn)機(jī)制,在會(huì)話過程中不傳輸用戶名和密碼,因此具有較高的[單選題]98.關(guān)于ARP欺騙原理和防范措施,下面理解錯(cuò)誤的是()。A)ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文,使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機(jī)的目的B)解決ARP欺騙的一個(gè)有效方法是采用?靜態(tài)?的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存C)單純利用ARP欺騙攻擊時(shí),ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實(shí)施攻擊D)徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機(jī)進(jìn)行連接[單選題]99.風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估工作中的一個(gè)重要內(nèi)容，下面描述了信息安全風(fēng)險(xiǎn)分析的過程，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）A)需要保護(hù)的資產(chǎn)清單B)已有安全措施列表C)安全風(fēng)險(xiǎn)等級(jí)列表D)信息安全風(fēng)險(xiǎn)評(píng)估策略[單選題]100.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測試關(guān)注的范疇()。A)排版結(jié)構(gòu)的測試B)數(shù)據(jù)完整性測試C)客戶端兼容性的測試D)鏈接結(jié)構(gòu)的測試[單選題]101.依據(jù)國家GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是（）A)信息系統(tǒng)安全保障目的B)環(huán)境安全保障目的C)信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D)信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的[單選題]102.（）是行為人由于過錯(cuò)侵害人身、財(cái)產(chǎn)和（），依法應(yīng)承擔(dān)民事責(zé)任的（），以及按照法律特殊規(guī)定應(yīng)當(dāng)承擔(dān)民事責(zé)任的（），侵權(quán)行為構(gòu)成要件，主要集中在以下幾個(gè)因素，即：過錯(cuò)、（）、損害事實(shí)是否是侵權(quán)行為必要構(gòu)成要件上。2017年3月15日全第十二屆全國人大五次會(huì)議表決通過了《中華人民共和國民法總則》，國家主席習(xí)近平簽署第66號(hào)主席令予以公布，民法總則將于2017年10月1日起施行。A)民事侵權(quán)行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法B)民事行為；權(quán)益；不法行為；其他侵害行為；不法行為C)民事行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法D)民事侵害行為；其他合法權(quán)益；不法行為；行為不法；其他侵害行為[單選題]103.開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾，這種現(xiàn)象稱作()A)軟件工程B)軟件周期C)軟件危機(jī)D)軟件產(chǎn)生[單選題]104.密碼分析的目的是什么？A)、確定加密算法的強(qiáng)度B)、增加加密算法的代替功能C)、減少加密算法的換位功能D)、確定所使用的換位[單選題]105.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A)第二層隧道協(xié)議（L2TP）B)Internet安全性（IPSEC）C)終端訪問控制器訪問控制系統(tǒng)（TACACS+）D)點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）[單選題]106.當(dāng)交換機(jī)收到一個(gè)目的mac為68-A3-C4-29-82-F2的數(shù)據(jù)包，但此MAC地址不在交換機(jī)的MAC地址表中，交換機(jī)會(huì)怎么處理這個(gè)數(shù)據(jù)？A)交換機(jī)將數(shù)據(jù)報(bào)發(fā)送給默認(rèn)網(wǎng)關(guān)B)交換機(jī)將會(huì)把數(shù)據(jù)包丟棄，因?yàn)樗]有這個(gè)MAC地址C)交換機(jī)將發(fā)送一個(gè)ARP請(qǐng)求給它的全部接口（除去接收接口）D)交換機(jī)把數(shù)據(jù)包從所有接口復(fù)制發(fā)送一遍（除去接收接口）[單選題]107.以下哪個(gè)攻擊步驟是IP欺騙（IPSpoof）系列攻擊中最關(guān)鍵和難度最高的？A)對(duì)被冒充的主機(jī)進(jìn)行拒絕服務(wù)攻擊，使其無法對(duì)目標(biāo)主機(jī)進(jìn)行響應(yīng)B)與目標(biāo)主機(jī)進(jìn)行會(huì)話，猜測目標(biāo)主機(jī)的序號(hào)規(guī)則C)冒充受信主機(jī)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，欺騙目標(biāo)主機(jī)D)向目標(biāo)主機(jī)發(fā)送指令，進(jìn)行會(huì)話操作[單選題]108.外部組織使用組織敏感信息資產(chǎn)時(shí),以下正確的做法是?A)確保使用者得到正確的信息資產(chǎn)。B)與信息資產(chǎn)使用者簽署保密協(xié)議。C)告知信息資產(chǎn)使用的時(shí)間限制。D)告知信息資產(chǎn)的重要性。[單選題]109.382.管理，是指(）組織并利用其各個(gè)要素(人、財(cái)、物、信息和時(shí)空)，借助()，完成該組織目標(biāo)的過程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)和()一樣，也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和()當(dāng)中。A)管理手段；管理主體；信息管理要素；脆弱性B)管理主體；管理手段；信息;管理要素；脆弱性C)管理主體；信息；管理手段；管理要素；脆弱性D)管理主體；管理要素；管理手段；信息；脆弱性[單選題]110.中國信息安全測評(píng)中心對(duì)CISP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書有效期內(nèi)，應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)：A)為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)B)在信息安全公司從事保安工作C)在公開場合宣講安全知識(shí)D)在學(xué)校講解信息安全課程[單選題]111.IPV4協(xié)議在設(shè)計(jì)之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依拿IP頭部的校驗(yàn)和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和,IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn),其設(shè)計(jì)目標(biāo)是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性,下列選項(xiàng)中說法錯(cuò)誤的是()A)對(duì)于IPv4,IPSec是可選的,對(duì)于IPv6,IPSec是強(qiáng)制實(shí)施的。B)IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C)IPSec是一個(gè)單獨(dú)的協(xié)議。D)ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制[單選題]112.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)A)關(guān)于網(wǎng)站身份鑒別技術(shù)方面安全知識(shí)的培訓(xùn)B)針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C)針對(duì)SQL注入漏洞的安全編程培訓(xùn)D)關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)[單選題]113.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第部分：簡介和一般模型》（GB／T20274．1－2006）中描述了信息系統(tǒng)安全保障模型，下面對(duì)這個(gè)模型理解錯(cuò)誤的是（）A)該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B)該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)展的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過程C)該模型強(qiáng)調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D)模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性[單選題]114.以下哪一個(gè)選項(xiàng)是從軟件自身功能出發(fā),進(jìn)行威脅分析A)攻擊面分析B)威脅建模C)架構(gòu)設(shè)計(jì)D)詳細(xì)設(shè)計(jì)[單選題]115.一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個(gè)選項(xiàng)決定的()。A)加密和解密算法B)解密算法C)密鑰D)加密算法[單選題]116.具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全規(guī)范制度包括一、安全事件(包括安全事故)報(bào)告制度二、安全等級(jí)保護(hù)制度三、信息體統(tǒng)安全監(jiān)控四、安全專用產(chǎn)品銷售許可證制度"A)1,2,4B)2,3C)2,3,4D)1,2,3[單選題]117.基于攻擊方式可以將黑客攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，以下哪一項(xiàng)不屬于主動(dòng)攻擊A)中斷B)篡改C)偵聽D)偽造[單選題]118.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的？A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B)國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)C)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒有國家標(biāo)準(zhǔn)而又需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D)行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止[單選題]119.對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的理解以下哪項(xiàng)是正確的()A)關(guān)鍵信息基礎(chǔ)設(shè)施是國家最為重要的設(shè)施,包括三峽大壩水利設(shè)施、神舟載人航天設(shè)施和高鐵網(wǎng)絡(luò)設(shè)施B)等級(jí)保護(hù)定級(jí)的系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施C)我國總體國家安全觀將信息安全作為國家安全的一個(gè)重要組成部分,說明缺少信息安全我國的國家安全將無法得到保障D)關(guān)鍵信息基礎(chǔ)設(shè)施不會(huì)向公眾提供服務(wù),所以受到攻擊損害后不會(huì)影響到我們?nèi)粘Ｉ頪單選題]120.我國信息安全保障工作先后經(jīng)歷了啟動(dòng)、逐步展開和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，我國信息安全保障各階段說法不正確的是？A)2001年，國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動(dòng)B)2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號(hào)文件），明確了?積極防御、綜合防范?的國家信息安全保障工作方針C)2003年，中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實(shí)階段D)在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展[單選題]121.企業(yè)由于人力資源短缺,IT支持一直以來由一位最終用戶兼職,最恰當(dāng)?shù)难a(bǔ)償性控制是:A)限制物理訪問計(jì)算設(shè)備B)檢查事務(wù)和應(yīng)用日志C)雇用新IT員工之前進(jìn)行背景調(diào)查D)在雙休日鎖定用戶會(huì)話[單選題]122.分析針對(duì)WeB的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的weD應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)WeB應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯(cuò)誤的是()A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯(cuò)誤的訪問控制[單選題]123.關(guān)于標(biāo)準(zhǔn),下面哪項(xiàng)理解是錯(cuò)誤的()。A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒有國家標(biāo)準(zhǔn)而又需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí),應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)C)國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí),應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定,并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案,在公布國家標(biāo)準(zhǔn)之后,該地方標(biāo)準(zhǔn)即應(yīng)廢止[單選題]124.下列選項(xiàng)中,對(duì)圖中出現(xiàn)的錯(cuò)誤描述正確的是()A)步驟1和2發(fā)生錯(cuò)誤,應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB)步驟3和4發(fā)生錯(cuò)誤,應(yīng)該本地TGS請(qǐng)求并獲得遠(yuǎn)程TGTC)步驟5和6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD)步驟5和6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程TGT[單選題]125.下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過程?A)風(fēng)險(xiǎn)因素識(shí)別B)風(fēng)險(xiǎn)程度分析C)風(fēng)險(xiǎn)控制選擇D)風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)[單選題]126.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)。A)網(wǎng)絡(luò)層B)表示層C)會(huì)話層D)物理層[單選題]127.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí),下面哪項(xiàng)措施不屬于安全配置()?A)不在Windows下安裝Apache,只在Linux和Unix下安裝B)安裝Apache時(shí),只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行D)積極了解Apache的安全通告,并及時(shí)下載和更新[單選題]128.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A)信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)和廢棄等生命周期密切相關(guān)B)信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C)信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D)信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其業(yè)務(wù)使命[單選題]129.29.根據(jù)我國信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需向上級(jí)或主管部門來測評(píng)和檢查，此類信息系統(tǒng)應(yīng)屬于（）A)零級(jí)系統(tǒng)B)一級(jí)系統(tǒng)C)二級(jí)系統(tǒng)D)三級(jí)系統(tǒng)[單選題]130.393.我國標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)管理指南》(GB/Z24364)給出了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應(yīng)該填寫:A)風(fēng)險(xiǎn)計(jì)算B)風(fēng)險(xiǎn)評(píng)價(jià)C)預(yù)測D)風(fēng)險(xiǎn)處理[單選題]131.以下標(biāo)準(zhǔn)內(nèi)容為?信息安全管理體系要求?的是哪個(gè)?A)ISO27000B)ISO27001C)ISO27002D)ISO27003[單選題]132.不恰當(dāng)?shù)漠惓Ｌ幚?是指WEB應(yīng)用在處理內(nèi)部異常、錯(cuò)誤時(shí)處理不當(dāng),導(dǎo)致會(huì)給攻擊者透露出過多的WEB應(yīng)用架構(gòu)信息和安全配置信息。某軟件開發(fā)團(tuán)隊(duì)的成員經(jīng)常冊(cè)到處理內(nèi)部異常,他知道如果錯(cuò)誤時(shí)處理不當(dāng),導(dǎo)致會(huì)給攻擊者透露出過多的WEB應(yīng)用架構(gòu)信息和安全配置信息。這會(huì)導(dǎo)致A)堆棧追溯B)蠕蟲傳播C)釣魚網(wǎng)站D)拒絕服務(wù)[單選題]133.2008年1月8日,布什以第54號(hào)國家安全總統(tǒng)令和第23號(hào)國土安全總統(tǒng)令的形式簽署的文件是?A)國家網(wǎng)絡(luò)安全戰(zhàn)略。B)國家網(wǎng)絡(luò)安全綜合計(jì)劃。C)信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃。D)強(qiáng)化信息系統(tǒng)安全國家計(jì)劃。[單選題]134.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》(CC標(biāo)準(zhǔn))中,有關(guān)保護(hù)輪廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST),錯(cuò)誤的是:A)PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B)PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C)兩份不同的ST不可能滿足同一份PP的要求D)ST與具體的實(shí)現(xiàn)有關(guān)C[單選題]135.53.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:A)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C)信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的安全D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入[單選題]136.一般地,IP分配會(huì)首先把整個(gè)網(wǎng)絡(luò)根據(jù)地域、區(qū)域,每個(gè)子區(qū)域從它的上一級(jí)區(qū)域里獲取IP地址段,這種分配方法稱為()分配方法。A)自頂向下B)自下向上C)自左向右D)自右向左[單選題]137.計(jì)算機(jī)網(wǎng)絡(luò)組織結(jié)構(gòu)中有兩種基本結(jié)構(gòu)，分別是域和____。A)A用戶組B)B工作組C)C本地組D)D全局組[單選題]138.安全管理體系,國際上有標(biāo)準(zhǔn)(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請(qǐng)問,這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是()A)IDT(等同采用),此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn),僅有或沒有編輯性修改B)EQV(等效采用),此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn),技術(shù)上只有很小差異C)AEQ(等效采用),此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D)沒有采用與否的關(guān)系,兩者之間版本不同,不應(yīng)直接比較[單選題]139.網(wǎng)絡(luò)安全技術(shù)可以分為主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)兩大類，以下屬于主動(dòng)防御技術(shù)的是()A)蜜罐技術(shù)B)入侵檢測技術(shù)C)防火墻技術(shù)D)惡意代碼掃描技術(shù)[單選題]140.在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí),組織的()和實(shí)施方法(如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程)應(yīng)()。獨(dú)立評(píng)審宜由管理者啟動(dòng),由獨(dú)立被評(píng)審范圍的人員執(zhí)行,例如內(nèi)部審核部、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員宜具備適當(dāng)?shù)?)。管理人員宜對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行()。為了日常評(píng)審的效率,可以考慮使用自動(dòng)測量和()。評(píng)審結(jié)果和管理人員采取的糾正措施宜被記錄,且這些記錄宜予以維護(hù)。A)信息安全管理;獨(dú)立審查;報(bào)告工具;技能和經(jīng)驗(yàn);定期評(píng)審B)信息安全管理;技能和經(jīng)驗(yàn);獨(dú)立審查;定期評(píng)審;報(bào)告工具C)獨(dú)立審查;信息安全管理;技能和經(jīng)驗(yàn);定期評(píng)審;報(bào)告工具D)信息安全管理;獨(dú)立審查;技能和經(jīng)驗(yàn);定期評(píng)審;報(bào)告工具[單選題]141.國際標(biāo)準(zhǔn)化組織對(duì)信息安全的定義為()A)保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性B)信息安全,有時(shí)縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個(gè)可以用于任何形式數(shù)據(jù)(例如電子、物理)的通用術(shù)語C)在既定的密級(jí)條件下,網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力,這些事件和行為將威脅所存儲(chǔ)或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實(shí)性、完整性和機(jī)密性D)為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄露[單選題]142.以下關(guān)于安全控制措施的選擇,哪一個(gè)選項(xiàng)是錯(cuò)誤的?A)維護(hù)成本需要被考慮在總體控制成本之內(nèi)B)最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C)應(yīng)考慮控制措施的成本效益D)在計(jì)算整體控制成本的時(shí)候,應(yīng)考慮多方面的因素[單選題]143.為推動(dòng)和規(guī)范我國信息安全等級(jí)保護(hù)工作,我國制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)可以按照等級(jí)保護(hù)工作的工作階段大致分類。下面四個(gè)標(biāo)準(zhǔn)中,()規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)、對(duì)象、流程、方法及等級(jí)變更等內(nèi)容。A)GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B)GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》C)GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D)GB/T20269-2006《信息系統(tǒng)安全管理要求》[單選題]144.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A)要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B)信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C)在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D)在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用。[單選題]145.關(guān)于黑客的主要攻擊手段，以下描述不正確的是？（）A)包括社會(huì)工程學(xué)攻擊B)包括暴力破解攻擊C)直接滲透攻擊D)不盜竊系統(tǒng)資料[單選題]146.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時(shí)向那一家A)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察及其各地相應(yīng)部門B)國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C)互聯(lián)網(wǎng)安全協(xié)會(huì)D)信息安全產(chǎn)業(yè)商會(huì)[單選題]147.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰的責(zé)任A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運(yùn)行組[單選題]148.Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來表示，對(duì)于文件名為test的一個(gè)文件，屬于admin組中user用戶，以下哪個(gè)是該文件正確的模式表示？A)rwxr-xr-x3useradmin1024Sep1311:58testB)drwxr-xr-x3useradmin1024Sep1311:58testC)rwxr-xr-x3adminuser1024Sep1311:58testD)drwxr-xr-x3adminuser1024Sep1311:58test[單選題]149.在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記錄、國家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對(duì)信息化工程進(jìn)行安全（）檢查，以驗(yàn)證項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級(jí)要求。A)功能性B)可用性C)保障性D)符合性[單選題]150.某公司開發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在問題，結(jié)果在軟件上線后被黑客攻擊，其數(shù)據(jù)庫中的網(wǎng)游用戶真實(shí)身份被黑客看到。關(guān)于此案例，可以推斷的是（）A)該網(wǎng)站軟件存在保密性方面安全問題B)該網(wǎng)站軟件存在完整性方面安全問題C)該網(wǎng)站軟件存在可用性方面安全問題D)該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題[單選題]151.以下對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是：A)引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B)構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對(duì)數(shù)據(jù)庫進(jìn)行非法的訪問C)一種很強(qiáng)大的木馬攻擊手段D)將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁中，從而達(dá)到惡意的目的[單選題]152.下面對(duì)零日(zero-day)漏洞的理解中,正確的是A)指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B)指一個(gè)特定的漏洞在2010年被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C)指一類漏洞,特別好被利用,一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達(dá)到攻擊目標(biāo)D)一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被人發(fā)現(xiàn),但是還未公開、還不存在安全補(bǔ)丁的漏洞都是零日漏洞[單選題]153.項(xiàng)目管理是信息安全工程的基本理論，以下哪項(xiàng)對(duì)項(xiàng)目管理的理解是正確的：A)項(xiàng)目管理的基本要素是質(zhì)量，進(jìn)度和成本B)項(xiàng)目管理的基本要素是范圍，人力和溝通C)項(xiàng)目管理是從項(xiàng)目的執(zhí)行開始到項(xiàng)目結(jié)束的全過程進(jìn)行計(jì)劃、組織D)項(xiàng)目管理是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)，方法和理論。對(duì)項(xiàng)目涉及的技術(shù)工作進(jìn)行有效地管理[單選題]154.以下說法正確的是()A)驗(yàn)收測試是同承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B)軟件測試的目的是為了驗(yàn)證軟件功能是否正確C)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃，并提出審查意見D)軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段[單選題]155.422.以下哪個(gè)是國際信息安全標(biāo)準(zhǔn)化組織的簡稱()A)ANSIB)ISOC)IEEED)NIST[單選題]156.下圖排序你認(rèn)為哪個(gè)是正確的.A)1是主體，2是客體,3是實(shí)施，4是決策B)1是客體，2是主體3是決策，4是實(shí)施C)1實(shí)施，2是客體3是主題，4是決策D)1是主體，2是實(shí)施3是客體，4是決策[單選題]157.49.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該操作才能生效，這種設(shè)計(jì)是遵循了以下哪個(gè)原則：A)權(quán)限分離原則B)A、最小特權(quán)原則C)B、保護(hù)XXX環(huán)節(jié)的原則D)縱深防御的原則[單選題]158.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品,需要購買防火墻,以下做法應(yīng)當(dāng)優(yōu)先考慮的是:A)選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B)選購任意一款品牌防火墻C)任意選購一款價(jià)格合適的防火墻產(chǎn)品D)選購一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻[單選題]159.下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的?A)哈龍氣體B)濕管C)干管D)二氧化碳?xì)鈁單選題]160.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征,解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是?A)準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B)開發(fā)出一套安全性評(píng)估準(zhǔn)則,和關(guān)鍵的描述變量。C)提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D)強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性。[單選題]161.好友的QQ突然發(fā)來一個(gè)網(wǎng)站鏈接要求投票，最合理的做法是（）A)因?yàn)槭瞧浜糜研畔ⅲ苯哟蜷_鏈接投票B)可能是好友QQ被盜，發(fā)來的是惡意鏈接，先通過手機(jī)跟朋友確認(rèn)鏈接無異常后，再酌情考慮是否投票C)不參與任何投票。D)把好友加入黑名單[單選題]162.有關(guān)質(zhì)量管理，錯(cuò)誤的理解是（）。A)質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B)規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C)質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D)質(zhì)量管理體系從機(jī)構(gòu)，程序、過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量[單選題]163.依據(jù)國家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（ISST）中，安全保障目的指的是：A)信息系統(tǒng)安全保障目的B)環(huán)境安全保障目的C)信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D)信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的[單選題]164.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生，防范這種攻擊比較有效的方法是？A)加強(qiáng)網(wǎng)站源代碼的安全性B)對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估C)協(xié)調(diào)運(yùn)營商對(duì)域名解析服務(wù)器進(jìn)行加固D)在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)防火墻[單選題]165.某集團(tuán)公司更具業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，將集團(tuán)總部要求前置機(jī)開放日志由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施?()A)由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B)為配合總部的安全策略，會(huì)帶來一定的安全問題，但不能響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C)日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志D)只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問密碼且限定訪問的時(shí)間[單選題]166.拒絕服務(wù)攻擊不包括哪項(xiàng)A)land攻擊B)ARP攻擊C)畸形報(bào)文攻擊D)DDOS[單選題]167.主體是使信息在客體間流動(dòng)的一種實(shí)體，通常，主體是指人，進(jìn)程，或設(shè)備，下列不屬于主體的是A)對(duì)文件操作的用戶B)用戶調(diào)度并運(yùn)行的某個(gè)進(jìn)程C)調(diào)一個(gè)進(jìn)程的設(shè)備D)數(shù)據(jù)塊[單選題]168.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性（）A)結(jié)構(gòu)的開放性，即功能和保證要求都可以具體的保護(hù)輪廓和安全目標(biāo)中進(jìn)一步細(xì)化和擴(kuò)展B)表達(dá)方式的通用性，即給出通用的表達(dá)方式C)獨(dú)決性，它強(qiáng)調(diào)將安全的功能和保證分離D)實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評(píng)估過程中[單選題]169.34.國家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、密級(jí)，以下哪塊屬于絕密級(jí)的描述?A)處于國際先進(jìn)水平、并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的B)能夠局部及應(yīng)國家防治和治安實(shí)力的C)我國獨(dú)有、不要自己條件因素制約、能體現(xiàn)民族特色的精華，并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D)國際領(lǐng)先、并且對(duì)國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的[單選題]170.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢？A)滲透測試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏B)滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C)滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D)滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多[單選題]171.采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于_______月。A)1個(gè)月。B)3個(gè)月。C)6個(gè)月。D)12個(gè)月。[單選題]172.微軟SDL將軟件開發(fā)生命周期制分為七個(gè)階段，并列出了十七項(xiàng)重要的安全活動(dòng)。其中?棄用