CISP考試認證(習(xí)題卷9)_第1頁
CISP考試認證(習(xí)題卷9)_第2頁
CISP考試認證(習(xí)題卷9)_第3頁
CISP考試認證(習(xí)題卷9)_第4頁
CISP考試認證(習(xí)題卷9)_第5頁
已閱讀5頁,還剩76頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

試卷科目:CISP考試認證CISP考試認證(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認證第1部分:單項選擇題,共250題,每題只有一個正確答案,多選或少選均不得分。[單選題]1.即時通訊安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機構(gòu)都應(yīng)該認真考慮的問題,特別對于使用即時通訊進行工作交流和協(xié)作的組織機構(gòu)。安全使用即時通訊應(yīng)考慮許多措施,下列措施中錯誤的是()A)如果經(jīng)費許可,可以使用自建服務(wù)器的即時通訊系統(tǒng)B)在組織機構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時通訊中傳輸敏感及以上級別的文檔;建立管理流程及時將離職員工移除等C)選擇在設(shè)計上已經(jīng)為商業(yè)應(yīng)用提供安全防護的即時通訊軟件,例如提供傳輸安全性保護等即時通訊D)涉及重要操作包括轉(zhuǎn)賬無需方式確認[單選題]2.小張新購入了一臺安裝了windows操作系統(tǒng)的筆記本電腦,為了提升操作系統(tǒng)的安全性,小張在windows系統(tǒng)中的?本地安全策略?中,配置了四類安全策略:賬號策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的()A)關(guān)閉不必要的服務(wù)B)關(guān)閉不必要的端口C)制定操作系統(tǒng)安全策路D)開啟審核策略[單選題]3.信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF),目的是為保障政府和工業(yè)的()提供了()。信息安全保障技術(shù)框架的核心思想是()。深度防御戰(zhàn)略的三個核心要素:()、技術(shù)和運行(亦稱為操作)A)信息基礎(chǔ)設(shè)施;技術(shù)指南;深度防御;人員B)技術(shù)指南;信息基礎(chǔ)設(shè)施;深度防御;人員C)信息基礎(chǔ)設(shè)施;深度防御;技術(shù)指南;人員D)信息基礎(chǔ)設(shè)施;技術(shù)指南;人員;深度防御[單選題]4.61.漏洞掃描是信息系統(tǒng)風(fēng)險評估中的常用技術(shù)措施,定期的漏洞掃描有助于組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中存在集公司安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具,用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進行學(xué)習(xí)后有如下理解,其中錯誤的是()A)A主動掃描工作方式類似于IDS(IntrusionDetectionSystems)B)CVE(CommonVulnerabilities&Exposures)為每個漏洞確定了唯一的名稱和標準化的描述C)X.Scanner采用多線程方式對指定IP地址段進行安全漏洞掃描D)ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞[單選題]5.一般地,IP分配會首先把整個網(wǎng)絡(luò)根據(jù)地域、區(qū)域。每個子域從它的上一級區(qū)域里獲取IP地址段,這種分配方法為什么分配方法()A)自頂向下B)自下向上C)自左向右D)自右向左[單選題]6.以下哪些是需要在信息安全策略中進行描述的:A)組織信息系統(tǒng)安全架構(gòu)B)信息安全工作的基本原則C)組織信息安全技術(shù)參數(shù)D)組織信息安全實施手段[單選題]7.標準是標準化活動的成果,是為了在一定范圍內(nèi)獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認機構(gòu)批準,共同重復(fù)使用的一種規(guī)范性文件。關(guān)于標準和標準化,以下選項中理解錯誤的是()A)標準化是一項活動,標準化工作的主要任務(wù)是定標準、組織實施以及對標準的實施進行監(jiān)督,主要作用是為了預(yù)期的目的而改進產(chǎn)品、過程或服務(wù)的實用性,防止壁壘,促進合作B)標準化的對象不應(yīng)是孤立的一件事或一個事物,而是共同的、可重復(fù)的事物,標準化的工作同時也具有動態(tài)性,即應(yīng)隨著科學(xué)的發(fā)展和社會的進步而不斷修訂標C)標準在國際貿(mào)易中有著重要作用,一方面,標準能打破技術(shù)壁壘,促進國際間的經(jīng)貿(mào)發(fā)展和科學(xué)、技術(shù)、文化交流和合作;另一方面,標準也能成為新的技術(shù)壁壘,起到限制他國產(chǎn)品出口、保護本國產(chǎn)業(yè)的目的D)標準有著不同的分類,我國將現(xiàn)有標準分為強制性標準、推薦性標準和事實性標準三類,國家標準管理機構(gòu)對著三類標準通過采取不同字頭的方式分別編號后公開發(fā)布[單選題]8.關(guān)于禁止一機兩用不正確的說法是:A)不準將計算機在連入公安網(wǎng)絡(luò)的同時,又通過專線、代理服務(wù)器或撥號入網(wǎng)等方式連入國際互聯(lián)網(wǎng)或其它網(wǎng)絡(luò)。B)不準將未經(jīng)殺毒處理過的、保存有從國際互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)下載數(shù)據(jù)資料的軟盤、光盤、活動硬盤、硬盤等存儲設(shè)備在連入公安信息網(wǎng)的計算機上使用。C)不準將運行公安應(yīng)用系統(tǒng)的服務(wù)器連入國際互聯(lián)網(wǎng)或其它網(wǎng)絡(luò),但普通PC.機不受限制。D)不準將公安信息網(wǎng)直接連入國際互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)或?qū)⒐残畔?shù)據(jù)傳輸?shù)絿H互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)。[單選題]9.以下哪些因素屬于信息安全特征?()A)系統(tǒng)和網(wǎng)絡(luò)的安全B)系統(tǒng)和動態(tài)的安全C)技術(shù)、管理、工程的安全D)系統(tǒng)的安全;動態(tài)的安全;無邊界的安全;非傳統(tǒng)的安全[單選題]10.TCP/IP協(xié)iXInternetiRE議是einternet構(gòu)成的基礎(chǔ),TCP/IP通常被認為是一個N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能,這里N應(yīng)等于()A)4B)5C)6D)7[單選題]11.優(yōu)秀源代碼審核工具有哪些特點()1安全性;2多平臺性;3可擴民性;4知識性;5集成性。A)12345B)234C)1234D)23[單選題]12.下面的角色對應(yīng)的信息安全職責(zé)不合理的是:A)高級管理層--最終責(zé)任B)信息安全部門主管--提供各種信息安全工作必須的資源C)系統(tǒng)的普通使用者--遵守日常操作規(guī)范D)審計人員--檢查安全策略是否被遵從[單選題]13.軟件工程方法提出起源于軟件危機,而其目的應(yīng)該是最終解決軟件的問題的是()A)質(zhì)量保證B)生產(chǎn)危機C)生產(chǎn)工程化D)開發(fā)效率[單選題]14.回顧組織的風(fēng)險評估流程時應(yīng)首先A)鑒別對于信息資產(chǎn)威脅的合理性B)分析技術(shù)和組織弱點C)鑒別并對信息資產(chǎn)進行分級D)對潛在的安全漏洞效果進行評價[單選題]15.宏病毒是一種專門感染微軟office格式文件的病毒,下列A)*.exeB)*.docC)*.xlsD)*.ppt[單選題]16.下列選項中,對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯誤的是()A)物理安全確保了系統(tǒng)在對信息進行采集、傳輸、處理等過程中的安全B)物理安全面對是環(huán)境風(fēng)險及不可預(yù)知的人類活動,是一個非常關(guān)鍵的領(lǐng)域C)物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D)影響物理安全的因素不僅包含自然因素,還包含人為因素[單選題]17.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者,下面描述錯誤的是?A)內(nèi)部審核和管理審評都很重要,都是促進ISMS持續(xù)改進的重要動力,也都應(yīng)當按照一定的周期實施B)內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式,而管理評審的實施方式多采用召開管理審評會議的形式進行C)內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組,而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)D)組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核準使用,但在管理評審中,這些文件是被審對象[單選題]18.在linux下為某個文件添加權(quán)限命令chmod741中的4是什么意思A)執(zhí)行權(quán)限B)只讀權(quán)限C)只寫權(quán)限D(zhuǎn))所有權(quán)限[單選題]19.在信息安全策略體系中,下面哪一項屬于計算機或信息安全的強制性規(guī)則?A)標準(StAnDArD)B)安全策略(SeCuritypoliCy)C)方針(GuiDeline)D)流程(ProCeDure)[單選題]20.以下關(guān)于Windows操作系統(tǒng)身份標識與鑒別,說法不正確的是()。A)本地安全授權(quán)機構(gòu)(LSA)生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標識符(SID)B)用戶對鑒別信息的操作,如更改密碼等都通過一個以Administrator權(quán)限運行的服務(wù)?SecurityAccountexpiredManager?來實現(xiàn)C)Windows操作系統(tǒng)遠程登錄經(jīng)歷了SMB鑒別機制、LM鑒別機制、NTLM鑒別機制、Kerberos鑒別體系等階段D)完整的安全標識符(SID)包括用戶和組的安全描述,48比特的身份特權(quán)、修訂版本和可變的驗證值[單選題]21.下列關(guān)于邏輯覆蓋的敘述中,說法錯誤的是A)對于多分支的判定,判定覆蓋要使每一個判定方式獲得每一種可能的值來測試B)語句覆蓋較判定覆蓋嚴格,但該測試仍不充分C)語句覆蓋是比較弱的覆蓋標準D)條件組合覆蓋是比較強的覆蓋標準[單選題]22.年1月2日,美國發(fā)布第54號總統(tǒng)令,建立國家網(wǎng)絡(luò)安全綜合計劃(ComprchensiveNationalCybersecuityInitative,CNCI)。CNCI計劃建立三道防線:第一道防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對各類威脅;第三道防線,強化未來安全環(huán)境。從以上內(nèi)容,我們可以看出以下哪種分析是正確的:A)CNCI是以風(fēng)險為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險B)從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D)CNCI徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點,而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障[單選題]23.以下關(guān)于在UNIX系統(tǒng)里啟動與關(guān)閉服務(wù)的說法不正確的是?A)在UNIX系統(tǒng)中,服務(wù)可以通過inetD進程來啟動B)通過在/etC/inetDConf文件中注釋關(guān)閉正在運行的服務(wù)C)通過改變腳本名稱的方式禁用腳本啟動的服務(wù)D)在UNIX系統(tǒng)中,服務(wù)可以通過啟動腳本來啟動[單選題]24.以下對于WinD.ows系統(tǒng)的服務(wù)描述,正確的是:A)WIND.OWS服務(wù)必須是一個獨立的可執(zhí)行程序B)WIND.OWS服務(wù)的運行不需要用戶的交互登錄C)WIND.OWS服務(wù)都是隨系統(tǒng)啟動而啟動,無需用戶進行干預(yù)D)WIND.OWS服務(wù)都需要用戶進行登錄后,以登錄用戶的權(quán)限進行啟動[單選題]25.在OSI模型中,主要針對遠程終端訪問,任務(wù)包括會話管理、傳輸同步以及活動管理等以下是哪一層?A)應(yīng)用層B)物理層C)會話層D)網(wǎng)絡(luò)層[單選題]26.17.強制訪問控制是指主體和客體都有一個固定的安全屬性,系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體,具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng),強制訪問控制模型有多種模型,如BLP、Biba、Clark-Willson和ChinescWall等。小李自學(xué)了BLP模型,并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中,正確的是()A)BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是?向上讀,向下寫?B)BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是?向下讀,向上寫?C)BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是?向上讀,向下寫?D)BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是?向下讀,向上寫?[單選題]27.下列哪一項不屬于Fuzz測試的特性?A)主要針對軟件漏洞或可靠性錯誤進行測試B)采用大量測試用例進行激勵、響應(yīng)測試C)一種試探性測試方法,沒有任何理論依據(jù)D)利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標產(chǎn)生異常[單選題]28.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能,與傳統(tǒng)的基于口令的鑒別技術(shù)相比,關(guān)于此種鑒別技術(shù)說法不正確的是()A)所選擇的特征(指紋)便于收集、測量和比較B)每個人所擁有的指紋都是獨一無二的C)指紋信息是每個人獨有的,指紋識別系統(tǒng)不存在安全威脅問題D)此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成[單選題]29.SQL注入出password的字段值為?YWRtaW44ODg=?,這是采用了哪種加密方式()A)md5B)base64C)AESD)DES[單選題]30.427.操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境,操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)的自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不同而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護師為實現(xiàn)該公司操作系統(tǒng)的安全目標,按書中所學(xué)建立了相應(yīng)的安全機制,這些機制不包括()A)標識與鑒別B)訪問控制C)權(quán)限管理D)網(wǎng)絡(luò)云盤存取保護[單選題]31.某公司建沒面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標選擇M公司為單位,并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作。目前,各個應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗收申請。監(jiān)理公司需要對A公司提交的軟件配置文件進行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔A)項目計劃書B)質(zhì)量控制計劃C)評審報告D)需求說明書[單選題]32.在PDRR模型中,____是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關(guān)鍵,是動態(tài)響應(yīng)的依據(jù)。A)A防護B)B檢測C)C響應(yīng)D)D恢復(fù)[單選題]33.訪問控制的實施一般包括兩個步驟,首先要鑒別主體的合法身份,接著根據(jù)當前系統(tǒng)的訪問控制規(guī)則授予相應(yīng)用戶的訪問權(quán)限。在此過程中,涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中,標有數(shù)字的方框代表了主體、客體、訪問控制實施部件和訪問控制決策部件。下列選項中,標有數(shù)字1、2、3、4的方框分別對應(yīng)的實體或部件正確的是()A)主體、訪問控制決策、客體、訪問控制實施B)主體、訪問控制實施、客體、訪問控制決策C)客體、訪問控制決策、主體、訪問控制實施D)客體、訪問控制實施、主體、訪問控制決策[單選題]34.規(guī)范形成了若干文檔,其中,()中的文檔應(yīng)屬于風(fēng)險評估中?風(fēng)險要素識別?階段輸出的文檔。A)《風(fēng)險評估方法》,主要包括本次風(fēng)險評估的目的、范圍、目標,評估步驟,經(jīng)費預(yù)算和進度安排等內(nèi)容B)《風(fēng)險評估方法和工具列表》,主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C)《風(fēng)險評估準則要求》,主要包括現(xiàn)有風(fēng)險評估參考標準、采用的風(fēng)險分析方法,資產(chǎn)分類標準等內(nèi)容D)《已有安全措施列表》,主要經(jīng)驗檢查確認后的已有技術(shù)和管理方面安全措施等內(nèi)容[單選題]35.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前,Hadoop并不存在安全認證一說。認集群內(nèi)所有的節(jié)點都是可靠的,值得信賴的。用戶與服務(wù)器進行交互時并不需要進行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上,惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NameNoTaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機制來解決用戶到服務(wù)器認證問題,Kerberos認證過程不包括()A)獲得票據(jù)許可票據(jù)B)獲得服務(wù)許可票據(jù)C)獲得密鑰分配中心的管理權(quán)限D(zhuǎn))獲得服務(wù)[單選題]36.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中,越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進行認證,也支持跨域認證,下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認證的7個步驟,其中有幾個步驟出現(xiàn)錯誤,圖中錯誤的描述正確的是:A)步驟1和步驟2發(fā)生錯誤,應(yīng)該向本地AS請求并獲得遠程TGTB)步驟3和步驟4發(fā)生錯誤,應(yīng)該向本地TGS請求并獲得遠程TGTC)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠程AS請求并獲得遠程TGTD)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠程TGS請求并獲得遠程SGT[單選題]37.52.目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:A)有助于建立和實施信息安全產(chǎn)品的市場準入制度B)對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D)打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境[單選題]38.27.Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限,假設(shè)某文件的訪問限制使用了755來表示,則下面哪項是正確的()A)這個文件可以被任何用戶讀和寫B(tài))這個可以被任何用戶讀和執(zhí)行C)這個文件可以被任何用戶寫和執(zhí)行D)這個文件不可以被所有用戶寫和執(zhí)行[單選題]39.46.微軟提出了striderrepudiation(抵賴)的縮寫R,關(guān)于此項安全要求,下面說法錯誤的是(A)某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后,卻聲稱?我沒有下載過數(shù)據(jù)?,軟件系統(tǒng)中的這種威脅屬于R威脅B)某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后,卻聲稱?這些數(shù)據(jù)不是我傳輸?shù)?,軟件系統(tǒng)中的這種威脅屬于R威脅C)對于R威脅,可以選擇使用如強認證、數(shù)字簽名,安全審計等技術(shù)措施來解決D)D對于R威脅,可以選擇使用如隱私保護、過濾、流量控制等技術(shù)措施來解決[單選題]40.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對人們?nèi)粘I钣绊懺絹碓酱蟆P±畎l(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測,將軟件行為與惡意代碼行為模型進行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A)簡單運行B)行為檢測C)特征數(shù)據(jù)匹配D)特征碼掃描[單選題]41.互聯(lián)網(wǎng)出口必須向公司信息化主管部門進行____后方可使用。A)備案審批B)申請C)說明D)報備[單選題]42.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時,發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時,會將詳細的錯誤原因在結(jié)果頁面上顯示出來。從安全角度考慮,小李決定修改代碼,將詳細的錯誤原因都隱藏起來,在頁面上僅僅告知用戶?抱歉,發(fā)生內(nèi)部錯誤!?。請問,這種處理方法的主要目的是()。A)最小化反饋信息B)安全處理系統(tǒng)異常C)安全使用臨時文件D)避免緩沖區(qū)溢出[單選題]43.在國家標準中,屬于強制性標準的是:A)GB/TXXXX-X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)QXXX-XXX-200X[單選題]44.內(nèi)部審計部門,從組織結(jié)構(gòu)上向財務(wù)總監(jiān)而不是審計委員會報告,最有可能:A)導(dǎo)致對其審計獨立性的質(zhì)疑B)報告較多業(yè)務(wù)細節(jié)和相關(guān)發(fā)現(xiàn)C)加強了審計建議的執(zhí)行D)在建議中采取更對有效行動[單選題]45.56.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設(shè)計階段分析系統(tǒng)運行過程中可能存在的攻擊,請問以下擬采取的安全措施中,哪一項不能降低該系統(tǒng)的受攻擊面:A)遠程用戶訪問需進行身份管理B)遠程用戶訪問時具有管理員權(quán)限C)關(guān)閉服務(wù)器端不必要的系統(tǒng)服務(wù)D)當用戶訪問其賬戶信息時使用嚴格的身份認證機制[單選題]46.?CC?標準是測評標準類的重要標準,從該標準的內(nèi)容來看,下面哪項內(nèi)容是針對具體的被測評對象,描述了該對象的安全要求及其相關(guān)安全功能和安全措施,相當于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案?A)評估對象(TOE)B)保護輪廊(PP)(用戶角度)C)安全目標(ST))(廠商角度)D)評估保證級(EAL)[單選題]47.447.對照ISO/OSI參考模型各個層中的網(wǎng)絡(luò)安全服務(wù),在物理層可以采用哪種方式來加強通信線路的安全()A)防竊聽技術(shù)B)防火墻技術(shù)C)防病毒技術(shù)D)NULL[單選題]48.CISP職業(yè)道德包括誠實守信,遵紀守法,主要有()、()、()A)不通過計算機網(wǎng)絡(luò)系統(tǒng)進行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為;不利用個人的信息安全技術(shù)能力實施或組織各種違法犯罪行為,不在公共網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件。B)熱愛信息安全工作崗位,充分認識信息安全專業(yè)工作的責(zé)任和使命;為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險做出應(yīng)有的努力和貢獻;幫助和知道信息安全同行提升信息安全保障知識和能力,為有需要的人謹慎負責(zé)地提供出應(yīng)對信息安全問題的建議和幫助C)自覺維護國家信息安全,拒絕并地址泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為;自覺維護網(wǎng)絡(luò)社會安全,拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為;自覺維護公眾信息安全,拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為D)通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識;利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實踐能力;以CISP身份為榮,積極參加各種證后活動,避免任何損害CISP聲譽形象的行為[單選題]49.18.信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以()、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用()。無論信息以什么形式存在,用哪種方法存儲或共享,都宜對它進行適當?shù)乇Wo。()是保護信息免受各種威脅的損害,以確保業(yè)務(wù)(),業(yè)務(wù)風(fēng)險最小化,投資回報和()。A)語言表達;電子方式存儲;信息安全;連續(xù)性;商業(yè)機遇最大化B)電子方式存儲;語言表達;連續(xù)性;信息安全;商業(yè)機遇最大化C)電子方式存儲;連續(xù)性,語言表達;信息安全;商業(yè)機遇最大化D)電子方式存儲;語言表達;信息安全;連續(xù)性;商業(yè)機遇最大化[單選題]50.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖,圖顯示該網(wǎng)站在當天17:00到20:00間受到了攻擊,則從數(shù)據(jù)分析,這種攻擊類型最可能屬于下面什么攻擊A)跨站腳本(CrossSiteScripting,XSS)攻擊B)TCP會話劫持(TCPHijack)攻擊C)IP欺騙攻擊D)拒絕服務(wù)(DenialofService,DoS)攻擊[單選題]51.風(fēng)險評估的基本過程是怎樣的?A)識別并評估重要的信息資產(chǎn),識別各種可能的威脅和嚴重的弱點,最終確定風(fēng)險B)通過以往發(fā)生的信息安全事件,找到風(fēng)險所在C)風(fēng)險評估就是對照安全檢查單,查看相關(guān)的管理和技術(shù)措施是否到位D)風(fēng)險評估并沒有規(guī)律可循,完全取決于評估者的經(jīng)驗所在[單選題]52.下面對于數(shù)據(jù)庫視圖的描述正確的是____。A)A數(shù)據(jù)庫視圖也是物理存儲的表B)B可通過視圖訪問的數(shù)據(jù)不作為獨特的對象存儲,數(shù)據(jù)庫內(nèi)實際存儲的是SELECT語句C)C數(shù)據(jù)庫視圖也可以使用UPDATE或DELETE語句生成D)D對數(shù)據(jù)庫視圖只能查詢數(shù)據(jù),不能修改數(shù)據(jù)[單選題]53.電子郵件客戶端通常需要用協(xié)議來發(fā)送郵件。A)僅SMTPB)僅POPC)SMTP和POPD)以上都不正確[單選題]54.51.在信息安全管理過程中,背景建立是實施工作的第一步。下面哪項理解是錯誤的()。A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準,以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標和特性B)背景建立階段應(yīng)識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值,同時確認已有的安全措施,形成需要保護的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標、業(yè)務(wù)特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描述報告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信息系統(tǒng)的安全要求報告[單選題]55.73.公司甲做了很多政府網(wǎng)站安全項目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時,借鑒以前項目經(jīng)驗,為乙設(shè)計了多重數(shù)據(jù)加密安全措施,但用戶提出不需要這些加密措施,理由是影響了網(wǎng)站性能,使用戶訪問量受限。雙方引起爭議。下面說法哪個是錯誤的:A)乙對信息安全不重視,低估了黑客能力,不舍得花錢B)甲在需求分析階段沒有進行風(fēng)險評估,所部屬的加密針對性不足,造成浪費C)甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D)乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險,與甲共同確定網(wǎng)站安全需求[單選題]56.某公司在測試災(zāi)難恢復(fù)計劃時是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運營所必要的關(guān)鍵數(shù)據(jù)沒有被保留,可能由于什么沒有明確導(dǎo)致的?A)服務(wù)中斷的時間間隔B)目標恢復(fù)時間(RTO)C)服務(wù)交付目標D)目標恢復(fù)點(RPO)[單選題]57.我們常提到的在WinD.ows操作系統(tǒng)中安裝VMwA.re,運行Linux虛擬機屬于()。A)存儲虛擬化B)內(nèi)存虛擬化C)系統(tǒng)虛擬化D)網(wǎng)絡(luò)虛擬化[單選題]58.18.開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾,這種現(xiàn)象稱作()A)軟件工程B)軟件周期C)軟件危機D)軟件產(chǎn)生[單選題]59.21.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù),它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用,從而檢測出入侵行為。下面說法錯誤的是()A)在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運行過程中的異?,F(xiàn)象B)實施異常入侵檢測,是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認為有攻擊發(fā)生C)異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手段向管理員報警D)異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為[單選題]60.不恰當?shù)漠惓L幚?,是指Web應(yīng)用在處理內(nèi)部異常、錯誤時處理不當,導(dǎo)致會給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。某軟件開發(fā)團隊的成員經(jīng)常遇到處理內(nèi)部異常,他知道如果錯誤時處理不當,導(dǎo)致會給攻擊者透露出過多的Web應(yīng)用架構(gòu)信息和安全配置信息。這會導(dǎo)致()A)堆棧追溯B)蠕蟲傳播C)釣魚網(wǎng)站D)拒絕服務(wù)[單選題]61.由于IP協(xié)議提供無連接的服務(wù),在傳送過程中若發(fā)生差錯就需要哪一個協(xié)議向源節(jié)點報告差錯情況,以便源節(jié)點對此做出相應(yīng)的處理()A)TCPB)UDPC)ICMPD)RARP[單選題]62.ISO/IEC27002由以下哪一個標準演變而來?A)BS7799-1B)BS7799-2C)ISO/IEC17799D)ISO/IEC13335[單選題]63.某攻擊者想通過遠程控制潛伏在對方unix系統(tǒng)中,以下不屬于清除日志的方法:A)竊取root權(quán)限,修改wtmp/tmpx,utmp/utmpx和lastlog三個主要日志文件B)保留攻擊時產(chǎn)生的臨時文件C)修改登錄日志,偽造成功的登錄日志,增加審計難度D)采用干擾手段影響系統(tǒng)防火墻的審計功能[單選題]64.自2004年1月起,國內(nèi)各有關(guān)部門在申報信息安全國家標準計劃項目時,必須經(jīng)由以下哪個組織提出工作意見,協(xié)調(diào)一致后由該組織申報A)全國通信標準化技術(shù)委員會(TC485)B)全國信息安全標準化技術(shù)委員會(TC260)C)中國通信標準化協(xié)會(CCSA)D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會[單選題]65.在某信息系統(tǒng)的設(shè)計中,用戶登錄過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確,則鑒別完成??梢钥闯觯@個鑒別過程屬于A)單向鑒別B)雙向鑒別C)三向鑒別D)第三方鑒別[單選題]66.負責(zé)授權(quán)訪問業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于:A)數(shù)據(jù)擁有者B)安全管理員C)IT安全經(jīng)理D)請求者的直接上司[單選題]67.當WinD.ows系統(tǒng)出現(xiàn)某些錯誤而不能正常啟動或運行時,為了提高系統(tǒng)自身的安全性,在啟動時可以進入模式。A)異常B)安全C)命令提示符D)單步啟動[單選題]68.密碼處理依靠使用密鑰,密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰?A)、散列算法B)、隨機數(shù)生成算法C)、對稱密鑰算法D)、非對稱密鑰算法[單選題]69.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是()A)所謂需求管理,是指對需求開發(fā)的管理B)需求管理包括:需求獲取、需求分析、需求定義各需求驗證C)需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D)在需求管理中要求維持對原有需求和所有的產(chǎn)品需求的雙向跟蹤[單選題]70.以下有關(guān)訪問控制的描述不正確的是A)口令是最常見的驗證身份的措施,也是重要的信息資產(chǎn),應(yīng)妥善保護和管理B)系統(tǒng)管理員在給用戶分配訪問權(quán)限時,應(yīng)該遵循?最小特權(quán)原則?,即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限,工作之外的權(quán)限一律不能分配C)單點登錄系統(tǒng)(一次登錄/驗證,即可訪問多個系統(tǒng))最大的優(yōu)勢是提升了便利性,但是又面臨著?把所有雞蛋放在一個籃子?的風(fēng)險;D)雙因子認證(又稱強認證)就是一個系統(tǒng)需要兩道密碼才能進入;[單選題]71.某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進行風(fēng)險評估,該服務(wù)器價值138000元,針對某個特定威脅的暴露因子()是45%,該威脅的年度發(fā)生率()為每10年發(fā)生一次,根據(jù)以上信息,該服務(wù)器的年度預(yù)期損失值()是多少?A)1800元B)62100元C)140000元D)6210元[單選題]72.-般常見的Windows操作系統(tǒng)與Linux系統(tǒng)的管理員密碼最大長度分別為____和____。A)A12-8B)B14-10C)C12-10D)D14-8[單選題]73.為了實現(xiàn)數(shù)據(jù)庫的完整性控制,數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù),完整性規(guī)則主要由3部分組成,以下哪一個不是完整性規(guī)則的內(nèi)容?A)完整性約束條件B)完整性檢查機制C)完整性修復(fù)機制D)違約處理機制[單選題]74.在一個有充分控制的信息處理計算中心中,下面哪項任務(wù)可以由同一個人執(zhí)行?A)安全管理和變更管理B)計算機操作和系統(tǒng)開發(fā)C)系統(tǒng)開發(fā)和變更管理D)系統(tǒng)開發(fā)和系統(tǒng)維護[單選題]75.36.近幾年,無線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個領(lǐng)域。而無線信道是一個開放性信道,它在賦予無線用戶通信自由的同時也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項中,對無線通信技術(shù)的安全特點描述正確的是A)無線信道是一個開放性信道,任何具有適當無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容C)C對于無線局域網(wǎng)絡(luò)和無線個人區(qū)域網(wǎng)絡(luò)來說,它們的通信內(nèi)容更容易被竊聽D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容[單選題]76.某公司為加強員工的信息安全意識,對公司員工進行了相關(guān)的培訓(xùn),在介紹如何防范第三方人員通過社會工程學(xué)方式入侵公司信息系統(tǒng)時,提到了以下幾點要求,其中在日常工作中錯誤的是()A)不輕易泄露敏感信息B)在相信任何人之前先校驗其真實的身份C)不違背公司的安全策略D)積極配合來自電話、郵件的任何業(yè)務(wù)要求、即便是馬上提供本人的口令信息[單選題]77.基于對()的信任,當一個請求成命令來自一個?權(quán)威?人士時,這個請求就可能被毫不懷疑的(),在()中,攻擊者偽裝成?公安部門?人員,要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請求配合進行一次系統(tǒng)測試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼[單選題]78.CA的核心職責(zé)是A)簽發(fā)和管理證書B)審核用戶真實信息C)發(fā)布黑名單D)建立實體鏈路安全[單選題]79.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全。其中,屬于或依附于傳輸層的安全協(xié)議是A)PP2PB)L2TPC)SSLD)IPSec[單選題]80.所有進入物理安全區(qū)域的人員都需經(jīng)過A)考核B)授權(quán)C)批準D)認可[單選題]81.50.安全漏洞產(chǎn)生的原因不包括以下哪一點()A)軟件系統(tǒng)代碼的復(fù)雜性B)軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象C)復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D)攻擊者的惡意利用[單選題]82.信息安全管理體系(ISMS)的建設(shè)和實施是一個組織的戰(zhàn)略性舉措。若一個組織聲稱自己的ISMS符合ISO/IBC27001或G8/T22080標準要求,則需實施準要求,則需實施以下ISMS建設(shè)的各項工作。哪一項不屬于ISMS建設(shè)的工作()A)規(guī)劃與建立ISMSB)實施和運行ISMSC)監(jiān)視和評審ISMSD)保持和審核ISMS[單選題]83.SQL注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一,隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,使用應(yīng)用程序存在安全隱患,小李在對某asp網(wǎng)站進行測試時,采用經(jīng)典的1=1,1=2測試法,測試發(fā)現(xiàn)1=1時網(wǎng)頁顯示正常,1=2時報錯,于是小李得出了四條猜測,則下列說法錯誤的是()A)該網(wǎng)站可能存在漏洞B)攻擊者可以根據(jù)報錯信息獲得的信息,從而進一步實施攻擊C)如果在網(wǎng)站前布署一臺H3C的IPS設(shè)備阻斷,攻擊者得不到任何有效信息D)該網(wǎng)站不可以進行SQL注入攻擊[單選題]84.57.方法指導(dǎo)類標準主要包括GB/T_25058-2010_《信息安全技術(shù)_信息系統(tǒng)安全等級保護實施指南》GB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等。其中《等級保護實施指南》原以()政策文件方式發(fā)布,后修改后以標準發(fā)布。這些標準主要對如何開展()做了詳細規(guī)定。狀況分析類標準主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護測評準則》等文件,后經(jīng)過修改以《等級保護測評要求》發(fā)布。這些標準主要對如何開展()工作做出了()A)公安部;等級保護試點;等級保護工作;等級保護測評;詳細規(guī)定B)公安部;等級保護工作;等級保護試點;等級保護測評;詳細規(guī)定C)公安部;等級保護工作;等級保護測評;等級保護試點;詳細規(guī)定D)公安部:等級保護工作;級等級保護試點;詳細規(guī)定;等級保護測評[單選題]85.ZigBee主要的信息安全服務(wù)為()、()、()、()。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實現(xiàn)訪問控制,設(shè)備必須在ACL中維護一個(),表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享,或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、command以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗碼保證沒有密鑰的節(jié)點不會修改傳輸中的消息,進一步確認消息來自一個知道()的節(jié)點A)訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護;設(shè)備列表;完整性:密鑰B)訪問控制、加密、完整性、序列抗重播保護;設(shè)備列表;完整性;密鑰C)訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護;列表;完整性;密鑰D)訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播;列表;完整性;密鑰[單選題]86.某個客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng),共有200臺終端PC但此客戶從ISP()里只獲得了16個公有的IPv4地址,最多也只有16臺PC可以訪問互聯(lián)網(wǎng),要想讓全部200臺終端PC訪問Internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù):A)花更多的錢向ISP申請更多的IP地址B)在網(wǎng)絡(luò)的出口路由器上做源NATC)在網(wǎng)絡(luò)的出口路由器上做目的NATD)在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器[單選題]87.自2004年1月起,國內(nèi)各有關(guān)部門在申報信息安全國家標準計劃項目時,必須經(jīng)由以下哪個組織提出工作情況,協(xié)調(diào)一致后由該組織申報。A)全國通信標準化技術(shù)委員會(TC485)B)全國信息安全標準化技術(shù)委員會(TC260)C)中國通信標準化協(xié)會(CCCA)D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會[單選題]88.微信收到?微信團隊?的安全提示:?您的微信賬號在16:46嘗試在另一個設(shè)備登錄。登錄設(shè)備:XX品牌XX型號?。這時我們應(yīng)該怎么做()A)有可能是誤報,不用理睬B)確認是否是自己的設(shè)備登錄,如果不是,則盡快修改密碼C)自己的密碼足夠復(fù)雜,不可能被破解,堅決不修改密碼D)撥打110報警,讓警察來解決[單選題]89.如下措施不能有效防御XSS的是A)同源策略B)編碼C)過濾D)CSP(內(nèi)容安全策略)[單選題]90.如果一個網(wǎng)站存在CSRF可以通過CSRF漏洞做那些事情A)獲取網(wǎng)站用戶注冊的個人資料信息B)修改網(wǎng)站用戶的個人資料信息C)冒充網(wǎng)站用戶的身份發(fā)布信息D)以上都可以[單選題]91.在評估信息系統(tǒng)的管理風(fēng)險。首先要查看A)控制措施已經(jīng)適當B)控制的有效性適當C)監(jiān)測資產(chǎn)有關(guān)風(fēng)險的機制D)影響資產(chǎn)的漏洞和威脅[單選題]92.74.以下關(guān)于開展軟件安全開發(fā)必要性描述錯誤的是?()A)軟件應(yīng)用越來越廣泛B)軟件應(yīng)用場景越來越不安全C)軟件安全問題普遍存在D)以上都不是[單選題]93.2016年10月21日,美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件,此次事件是由于美國主要DNS服務(wù)……DDoS攻擊所致,影響規(guī)模驚人,對人們成產(chǎn)生活造成嚴重影響,DDoS攻擊的主要目的是破壞系……()A)保密性B)可用性C)不可否認性D)抗……性[單選題]94.HADoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在HADoop1.0.0版本之前,HADoop并不存在安全認證一說。認集群內(nèi)所有的節(jié)點都是可靠的,值得信賴的。用戶與服務(wù)器進行交互時并不需要進行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到HADoop集群上,惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NAmeNo安康頭發(fā)TAskTrACker接受任務(wù)等。在HADoop2.0中引入KerBeros機制來解決用戶到服務(wù)器認證問題,KerBeros認證過程不包括()A)獲得票據(jù)許可票據(jù)B)獲得服務(wù)許可票據(jù)C)獲得密鑰分配中心的管理權(quán)限D(zhuǎn))獲得服務(wù)[單選題]95.435.老王是一名企業(yè)信息化負責(zé)人,由于企業(yè)員工在瀏覽網(wǎng)頁時總導(dǎo)致病毒感染系統(tǒng),為了解這一問題,老王要求信息安全員給出解決措施,信息安全給出了四條措施建議,老王多年的信息安全管理經(jīng)驗,認為其中一條不太適合推廣,你認為是哪條措施()A)采購防病毒的網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中,實現(xiàn)對所有瀏覽網(wǎng)頁進行檢測,阻止網(wǎng)頁中的病毒檢測和查殺能力B)采購并統(tǒng)一部署企業(yè)防病毒軟件,信息化管理部門統(tǒng)一進行病毒庫升級,確保每臺計算機都具備有效的病毒檢測和查殺能力C)制定制度禁止使用微軟的IE瀏覽器上網(wǎng),統(tǒng)一要求使用Chrome瀏覽器D)組織對員工進行一次上網(wǎng)行為安全培訓(xùn),提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識[單選題]96.高層管理者對信息安全管理的承諾以下說法不正確的是?A)制定、評審、批準信息安全方針。B)為信息安全提供明確的方向和支持。C)為信息安全提供所需的資源。D)對各項信息安全工作進行執(zhí)行、監(jiān)督與檢查。[單選題]97.分析針對Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會把它當作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標。針對Web應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當中錯誤的是()A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護不足D)錯誤的訪問控制[單選題]98.風(fēng)險評估相關(guān)政策,目前主要有()(國信辦[2006]5號)。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(),評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險的影響等、兩類信息系統(tǒng)的()、涉密信息系統(tǒng)參照?分級保護?、非涉密信息系統(tǒng)參照?等級保護?。A)《關(guān)于開展信息安全風(fēng)險評估工作的意見》;重要程度:安全威脅:脆弱性;工作開展B)《關(guān)于開展風(fēng)險評估工作的意見》;安全威脅重要程度脆弱性:工作開展C)《關(guān)于開展風(fēng)險評估工作的意見》;重要程度;安全威脅:脆弱性:工作開展D)《關(guān)于開展信息安全風(fēng)險評估工作的意見》;脆弱性;重要程度安全威脅:工作開展[單選題]99.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中,錯誤的是()。A)密碼協(xié)議(cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議,其目的是提供安全服務(wù)B)根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人C)在實際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式D)密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟,協(xié)議中的每個參與方都必須了解協(xié)議,且按步驟執(zhí)行[單選題]100.ISO27002(Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt)是重要的信息安全管理標準之一,下圖是關(guān)于其演進變化示意圖,圖中括號空白處應(yīng)填寫A)BS7799.1.3B)ISO17799C)AS/NZS4630D)NISTSP800-37[單選題]101.TCP/IP協(xié)議的4層概念模型是?A)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C)應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D)會話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層[單選題]102.進入21世紀以來,信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點,紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略,但各國歷史、國情和文化不同,網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說法不正確的是:A)與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B)美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題,信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔(dān)C)各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D)在網(wǎng)絡(luò)安全戰(zhàn)略中,各國均強調(diào)加強政府管理力度,充分利用社會資源,發(fā)揮政府與企業(yè)之間的合作關(guān)系[單選題]103.serv-u提權(quán)后的權(quán)限A)ROOTB)GUESTC)ADMIND)SYSTEM[單選題]104.72.不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果,所以組織機構(gòu)應(yīng)當根據(jù)各自的實際情況,選擇適當?shù)娘L(fēng)險評估方法。下面的描述中,錯誤的是()。A)A.定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進行評估,得出可以量化的風(fēng)險分析結(jié)果,以度量風(fēng)險的可能性和損失量B)B.定量風(fēng)險分析相比定性風(fēng)險分析能得到準確的數(shù)值,所以在實際工作中應(yīng)使用定量風(fēng)險分析,而不應(yīng)選擇定性風(fēng)險分析C)C.定性風(fēng)險分析過程中,往往需要憑借分析者的經(jīng)驗和直接進行,所以分析結(jié)果和風(fēng)險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D)D.定性風(fēng)險分析更具主觀性,而定量風(fēng)險分析更具客觀性[單選題]105.傳輸層如何讓主機能同時針對不同應(yīng)用程序維護多個通信流A)使用錯誤控制機制B)使用只適合多個并發(fā)傳輸?shù)臒o連接協(xié)議C)使用多個第2層源地址D)使用多個端口[單選題]106.終端訪問控制器訪問控制系統(tǒng)(TERMINALAccessControllerAccess-ControlSystem,TACACS),在認證過程中,客戶機發(fā)送一個START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個,序列號永遠為().服務(wù)器收到START包以后,回送一個REPLY包,表示認證繼續(xù)還是結(jié)束。A)0B)1C)2D)4[單選題]107.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想,在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護,避免防范不足帶來的直接損失,也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中,不符合軟件安全保障思想的是:A)在軟件立項時考慮到軟件安全相關(guān)費用,經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用,確保安全經(jīng)費得到落實B)在軟件安全設(shè)計時,邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審,及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C)確保對軟編碼人員進行安全培訓(xùn),使開發(fā)人員了解安全編碼基本原則和方法,確保開發(fā)人員編寫出安全的代碼D)在軟件上線前對軟件進行全面安全性測試,包括源代碼分析、模糊測試、滲透測試,未經(jīng)以上測試的軟件不允許上線運行[單選題]108.在信息安全管理工作中?符合性?的含義不包括哪一項?A)對法律法規(guī)的符合B)對安全策略和標準的符合C)對用戶預(yù)期服務(wù)效果的符合D)通過審計措施來驗證符合情況[單選題]109.老王是某政府信息中心主任,以下哪項項目是符合《保守國家秘密法》要求的()A)老王安排下屬小李將損害的涉密計算機的某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B)老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫C)老王提出對加密機和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用D)老王要求下屬小張把中心所有計算機貼上密級標志[單選題]110.12.下面對信息安全漏洞的理解中,錯誤的是()A)討論漏洞應(yīng)該從生命周期的角度出發(fā),信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞B)信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段,由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C)信息安全漏洞如果被惡意攻擊者成功利用,可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害,甚至帶來很大的經(jīng)濟損失D)由于人類思維能力、計算機計算能力的局限性等因素,所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的[單選題]111.在你對遠端計算機進行ping操作,不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL值是不同的,TTL是IP協(xié)議包中的一個值,它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。(簡而言之,你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TL值,可以大致判斷()A)內(nèi)存容量B)操作系統(tǒng)的類型C)對方物理位置D)對方的MAC地址[單選題]112.域名注冊信息可在哪里找到?A)路由器B)DNS記錄C)Whois數(shù)據(jù)庫D)MIBs庫[單選題]113.如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進行文件共享,那么在linux系統(tǒng)中要開啟哪個服務(wù):A)DHCPB)NFSC)SAMBAD)SSH[單選題]114.通過社會工程的方法進行非授權(quán)訪問的風(fēng)險可以通過以下方法避免:A)安全意識程序B)非對稱加密C)入侵偵測系統(tǒng)D)非軍事區(qū)[單選題]115.如果你作為甲方負責(zé)監(jiān)管一個信息安全工程項目的實施,當乙方提出一項工程變更時你最應(yīng)當關(guān)注的是:A)變更的流程是否符合預(yù)先的規(guī)定B)變更是否會對項目進度造成拖延C)變更的原因和造成的影響D)變更后是否進行了準確的記錄[單選題]116.如圖所示,主體S對客體01有讀(R)權(quán)限,對客體02有讀(R)、寫()權(quán)限。該圖所示的訪問控制實現(xiàn)方法是:A)訪問控制表(ACL)B)訪問控制矩陣C)能力表(CL)D)前綴表(Profiles)[單選題]117.下列關(guān)于servicepassword-encryption命令的說法中哪項正確A)servicepassword-encryption命令應(yīng)在特權(quán)執(zhí)行模式提示符下輸入B)servicepassword-encryption命令只加密控制臺與VTY端口的口令C)servicepassword-encryption命令對運行配置中先前未加密的所有口令進D)若要查看通過servicepassword-encryption命令加密的口令,可輸入noservicepassword-encryption命令[單選題]118.根據(jù)SSE-CMM以下哪項不是在安全工程過程中實施安全控制時需要做的?A)獲得用戶對安全需求的理解B)建立安全控制的職責(zé)C)管理安全控制的配置D)進行針對安全控制的教育培訓(xùn)[單選題]119.分組密碼算法是一類十分重要的密碼算法,下面描述中,錯誤的是()。A)分組密碼算法要求輸入明文按組分成固定長度的塊B)分組密碼算法也稱為序列密碼算法C)分組密碼算法每次計算得到固定長度的密文輸出塊D)常見的DES、IDEA算法都屬于分組密碼算法[單選題]120.xxxxxx法律責(zé)任強制力的安全管理規(guī)定和安全制度包括()1Xxxxx事件(包括安全事故)報告制度2安全等級保護制度3信息系統(tǒng)安全監(jiān)控、4安xxxx制度A)x,x,4B)x,3C)2,3,4D)1,2,3[單選題]121.有關(guān)數(shù)據(jù)的使用,錯誤的是?A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B)當用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)[單選題]122.以下關(guān)于UDP協(xié)議的說法,哪個是錯誤的?A)UDP具有簡單高效的特點,常被攻擊者用來實施流量型拒絕服務(wù)攻擊B)UDP協(xié)議包頭中包含了源端口號和目的端口號,因此UDP可通過端口號將數(shù)據(jù)包送達正確的程序C)相比TCP協(xié)議,UDP協(xié)議的系統(tǒng)開銷更小,因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D)UDP協(xié)議不僅具有流量控制,超時重發(fā)等機制,還能提供加密等服務(wù),因此常用來傳輸如視頻會話這類需要隱私保護的數(shù)據(jù)[單選題]123.下列哪一項信息不包含在X.509規(guī)定的數(shù)字證書中?A)證書有效期B)證書持有者的公鑰C)證書頒發(fā)機構(gòu)的簽名D)證書頒發(fā)機構(gòu)的私鑰[單選題]124.kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三的認證服務(wù),減輕應(yīng)用Kerberos的運行環(huán)境由秘鑰分發(fā)中心(KDC)、應(yīng)用服務(wù)器和客戶端三個部分組成,認證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器A)1--2--3B)3--2--1C)2--1--3D)3--1--2[單選題]125.在Windows7中,通過控制面板(管理工具--本地安全策略--安全設(shè)置--賬戶策略)可以進入操作系統(tǒng)的密碼策略設(shè)置界面,下面哪項內(nèi)容不能在該界面進行設(shè)置A)密碼必須符合復(fù)雜性要求B)密碼長度最小值C)強制密碼歷史D)賬號鎖定時間[單選題]126.攻擊者通過對目標主機進行端口掃可以直接獲得()。A)目標主機的操作系統(tǒng)信息B)目標主機開放端口服務(wù)信息C)目標主機的登錄口令D)目標主機的硬件設(shè)備信息[單選題]127.自ISO27001.2006標準發(fā)布以來,此標準在國際上獲得了空前的認可,相當數(shù)量的組織采納并進行了()的認證,在我國,自從2008年將ISO27001.2006轉(zhuǎn)化為國家標準CB/T22080.2008以來,信息安全管理()在國內(nèi)進一步獲得了全面推廣。越來越多的行業(yè)和組織認識到()的重要性,并把它作為()工作之一開展起來。依據(jù)慣例,ISO組織每5年左右會對標準進行一次升級。2013年10月19日,ISO組織正式發(fā)布了新版的信息安全管理()(ISO27001:2013)。A)體系認證;信息安全管理體系;信息安全;基礎(chǔ)管理;體系標準B)信息安全管理體系;體系認證;信息安全;基礎(chǔ)管理;體系標準C)信息安全管理體系;信息安全;基礎(chǔ)管理;體系認證;體系標準D)信息安全管理體系;基礎(chǔ)管理;體系認證;信息安全;體系標準[單選題]128.如果有一位攻擊者在搜索引擎中搜索?.doc+?來尋找XXX.com網(wǎng)站上所有WORD文件,同時通過?.mdb??.ini?等關(guān)鍵字來找到該網(wǎng)站下的mdb庫文件,配置信息等非公開信息,請問這屬于()類型的攻擊?A)定點挖掘B)攻擊定位C)網(wǎng)絡(luò)嗅探D)溢出攻擊[單選題]129.橋接或通明模式是比較流行防火墻部署方式,這種方式A)不需要對原有的網(wǎng)絡(luò)配置進行修改B)性能比較高C)防火墻本身不容易受到攻擊D)易于在防火墻上實現(xiàn)NAT[單選題]130.關(guān)于標準,下面哪項理解是錯誤的()。A)標準是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認機構(gòu)批準,共同重復(fù)使用的一種規(guī)范性文件。標準是標準化活動的重要成果B)行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準,當行業(yè)標準和國家標準的條款發(fā)生沖突時,應(yīng)以國家標準條款為準C)國際標準是由國際標準化組織通過并公開發(fā)布的標準。同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突時,應(yīng)以國際標準條款為準D)地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定,并報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管部門備案,在公布國家標準之后,該地方標準即應(yīng)廢止[單選題]131.小趙在去一家大型企業(yè)應(yīng)聘時,經(jīng)理要求他說出為該企業(yè)的信息系統(tǒng)設(shè)計自主訪問控制模型為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能,在以下選項中,從時間和資源消耗看應(yīng)該采取的最合適的模型是()A)按列讀取訪問控制矩形形成的訪問控制列表(ACL)B)按列讀取訪問控制矩形形成的能力表(CL)C)按行讀取訪問控制矩形形成的訪問控制列表(ACL)D)按行讀取訪問控制矩形形成的能力表(CL)[單選題]132.34.信息安全風(fēng)險值應(yīng)該是以下哪些因素的函數(shù)?()A)信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B)病毒、黑客、漏洞等C)保密信息如國家秘密、商業(yè)秘密等D)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度[單選題]133.以下哪一項不是《GB/T20274信息安全保障評估框架》給出的信息安全保障模型具備的特點?A)強調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)性,即強調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個信息系統(tǒng)生命周期的全過程。B)強調(diào)信息系統(tǒng)安全保障的概念,通過綜合技術(shù)、管理、工程和人員的安全保障要求來實施和實現(xiàn)信息系統(tǒng)的安全保障目標。C)以安全概念和關(guān)系為基礎(chǔ),將安全威脅和風(fēng)險控制措施作為信息系統(tǒng)安全保障的基礎(chǔ)和核心。D)通過以風(fēng)險和策略為基礎(chǔ),在整個信息系統(tǒng)的生命周期中實施技術(shù)、管理、工程和人員保障要素,從而使信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征。[單選題]134.秀源代碼審核工具有哪些特點()(1)安全性(2)多平臺性(3)可擴民性(4)知識性(5)集成性A)12345B)234C)1234D)23[單選題]135.下列關(guān)于強制訪問控制模型的選項中,沒有出現(xiàn)錯誤的是()A)強制訪問控制是指用戶(而非文件)具有一個固定的安全屬性,系統(tǒng)用該安全屬性來決定一個用戶是否可以訪問某個文件B)安全屬性是強制性的規(guī)定,當它由用戶或操作系統(tǒng)根據(jù)限定的規(guī)則確定后,不能隨意修改C)如果系統(tǒng)認為具有某一個安全屬性的用戶不適于訪問某個文件,那么任何人(包括文件的擁有者)都無法使用該用戶具有訪問該文件的權(quán)利D)它是一種對單個用戶執(zhí)行訪問控制的過程和措施[單選題]136.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出,建立信息安全管理體系應(yīng)參照PDCA模型進行,即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程,并在這些過程中應(yīng)實施若干活動,請選出以下描述錯誤的選項()A)制定ISMS方針是建產(chǎn)ISMS階段工作內(nèi)容B)實施培訓(xùn)和意識教育計劃是實施和運行ISMS階段工作內(nèi)容C)進行有效性測量是監(jiān)視和評審ISMS階段工作內(nèi)容D)實施內(nèi)部審核是保護和改進ISMS階段工作內(nèi)容[單選題]137.30.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯誤的是:A)應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備,以及在事件發(fā)生后所采取的措施B)應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C)對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D)根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別:特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)[單選題]138.下列關(guān)于kerckhof準則的說法正確的是A)保持算法的秘密性比保持密鑰的秘密性要困難的多B)密鑰一旦泄漏,也可以方便的更換C)在一個密碼系統(tǒng)中,密碼算法是可以公開的,密鑰應(yīng)保證安全D)公開的算法能夠經(jīng)過更嚴格的安全性分析[單選題]139.7.加密文件系統(tǒng)(EncryptingFileSystem,EFS)是Windows操作系統(tǒng)的一個組件。以下說法錯誤的是()。A)EFS采用加密算法實現(xiàn)透明的文件加密和解密,任何不擁有合適密鑰的個人或者程序都不能加密數(shù)據(jù)B)EFS以公鑰加密為基礎(chǔ),并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C)EFS加密系統(tǒng)使用NTFS文件系統(tǒng)和FAT32文件系統(tǒng)(Windows7環(huán)境下)D)EFS加密過程對用戶透明,EFS加密的用戶驗證過程是在登錄Windows時進行的[單選題]140.隨著人們信息安全意識的不斷增強,版權(quán)保護也受到越來越多的關(guān)注。在版權(quán)保護方面國內(nèi)外使用較為廣泛的是數(shù)字對象標識符DOI(DigitalObjectIdentifier)系統(tǒng),它是由非贏利性組織國際DOI基金會IDF(InternationalDOIFoundation)研究設(shè)計的,在數(shù)字環(huán)境下標識知識產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示,則下面對于DOI系統(tǒng)認識正確的是()A)DOI是一個暫時性的標識號,由IntermationalDOIFoundation管理B)DOI的優(yōu)點有唯一性、持久性、兼容性、或操作性、動態(tài)更新C)DOI命名規(guī)則中前綴和后綴兩部之間用?;?分開D)DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式[單選題]141.為了開發(fā)高質(zhì)量的軟件,軟件效率成為最受關(guān)注的話題。那么開發(fā)效率主要取決于以下兩點:開發(fā)新功能是否迅速以及修復(fù)缺陷是否及時。為了提高軟件測試的效率,應(yīng)()。A)隨機地選取測試數(shù)據(jù)B)取一切可能的輸入數(shù)據(jù)為測試數(shù)據(jù)C)在完成編碼以后制定軟件的測試計劃D)選擇發(fā)現(xiàn)錯誤可能性最大的數(shù)據(jù)作為測試用例[單選題]142.DMZ區(qū)域A)內(nèi)網(wǎng)可以直接訪問,外網(wǎng)不行B)外網(wǎng)可以直接訪問,內(nèi)網(wǎng)不行C)內(nèi)外網(wǎng)都不行D)內(nèi)網(wǎng)都可以[單選題]143.關(guān)于linux下的用戶和組,以下描述不正確的是。A)在linux中,每一個文件和程序都歸屬于一個特定的?用戶?B)系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C)用戶和組的關(guān)系可以是多對一,一個組可以有多個用戶,一個用戶不能屬于多個組D)root是系統(tǒng)的超級用戶,無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]144.Windows上,想要查看進程在打開那些文件,可以使用哪個命令或工具A)openfilesB)dirC)listD)filelist[單選題]145.以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題?()A)大整數(shù)分解B)離散對數(shù)問題C)背包問題D)偽隨機數(shù)發(fā)生器[單選題]146.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準備進行升級改造,以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素?A)信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國家以及金融行業(yè)安全標準B)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C)消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D)該銀行整體安全策略[單選題]147.社會工程學(xué)是()與()結(jié)合的學(xué)科,準確來說,它不是一門科學(xué),因為它不能總是重復(fù)合成功,并且在信息充分多的情況下它會失效?;谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的(),隨著時間流逝最終都會失效,因為系統(tǒng)的漏洞可以彌補,體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代,社會工程學(xué)利用的是人性的?弱點?,而人性是()這使得它幾乎是永遠有效的()。A)網(wǎng)絡(luò)安全;心理學(xué);攻擊方式;永恒存在的;攻擊方式B)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);永恒存在的;攻擊方式C)網(wǎng)絡(luò)安全;心理學(xué);永恒存在的;攻擊方式D)網(wǎng)絡(luò)安全;攻擊方式;心理學(xué);攻擊方式;永恒存在的[單選題]148.5.安全管理體系,國際上有標準(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請問,這兩個標準的關(guān)系是()A)IDT(等同采用),此國家標準等同于該國際標準,僅有或沒有編輯性修改B)EQV(等效采用),此國家標準等效于該國家標準,技術(shù)上只有很小差異C)AEQ(等效采用),此國家標準不等效于該國家標準D)沒有采用與否的關(guān)系,兩者之間版本不同,不應(yīng)直接比較[單選題]149.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn),下列說法不正確的是:A)組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標準,也是ISMS審核的依據(jù)B)組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄,對這些記錄不需要保護和控制C)組織在每份文件的首頁,加上文件修訂跟蹤表,以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D)層次化的文檔是ISMS建設(shè)的直接體現(xiàn),文檔體系應(yīng)當依據(jù)風(fēng)險評估的結(jié)果建立[單選題]150.惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù),對惡意軟件的分析難度越來越大。對惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個研究熱點。小趙通過查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實際上是虛擬化技術(shù)的應(yīng)用,是動態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動態(tài)分析的知識,其中錯誤的是()A)動態(tài)分析是指在虛擬運行環(huán)境中,使用測試及監(jiān)控軟件,檢測惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài),從而判斷惡意代碼的性質(zhì),并掌握其行為特點B)動態(tài)分析針對性強,并且具有較高的準確性,但由于其分析過程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證C)動態(tài)分析通過對其二進制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機制D)動態(tài)分析通過監(jiān)控系統(tǒng)進程、文件和注冊表等方面出現(xiàn)的非正常操作和變化,可以對惡意代碼非法行為進行分析[單選題]151.以下哪個屬性不會出現(xiàn)在防火墻的訪問控制策略配置中?A)本局域網(wǎng)內(nèi)地址B)百度服務(wù)器地址C)HTTP協(xié)議D)病毒類型[單選題]152.目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:()A)有助于建立和實施信息安全產(chǎn)品的市場準入制度B)對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D)打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境[單選題]153.weblogic有幾個默認賬戶與密碼形同的賬號不包括那個A)adminB)weblogicC)guestD)system[單選題]154.SQLServer支持兩種身份驗證模式,即Windows身份驗證模式和混合模式。SQLServer的混合模式是指,當網(wǎng)絡(luò)用戶嘗試連接到SQLServer數(shù)據(jù)庫時,()A)Windows獲取用戶輸入的用戶和密碼,并提交給SQLServer進行身份驗證,并決定用戶的數(shù)據(jù)庫訪問權(quán)限B)SQLServer根據(jù)用戶輸入的用戶和密碼,提交給Windows進行身份驗證,并決定用戶的數(shù)據(jù)庫訪問權(quán)限C)SOLServer根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性,對用戶身份進行驗證,井決定用戶的數(shù)據(jù)訪問權(quán)限D(zhuǎn))登錄到本地Windows的用戶均可無限制訪問SQLServer數(shù)據(jù)庫[單選題]155.近幾年,無線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個領(lǐng)域。而無線信道是一個開放性信道,它在賦予無線用戶通信自由的同時也給無線通信網(wǎng)絡(luò)帶來一些不安全因素。下列選項中,對無線通信技術(shù)的安全特點描述正確的是()A)無線通道是一個開放性通道,任何具有適當無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容C)對于無線局域網(wǎng)絡(luò)和無線個人區(qū)域網(wǎng)絡(luò)來說,它們的通信內(nèi)容更容易被竊聽D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容[單選題]156.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標。為了實現(xiàn)控制外部各方的目標應(yīng)該包括下列哪個選項?A)信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B)信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C)與特定利益集團的聯(lián)系、信息安全的獨立評審D)與外部各方相關(guān)風(fēng)險的識別、處理外部各方協(xié)議中的安全問題[單選題]157.對于青少年而言,日常上網(wǎng)過程中,下列選項,存在安全風(fēng)險的行為是?A)將電腦開機密碼

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論