NISP(CISP)復(fù)習(xí)試題有答案

第頁(yè)NISP(CISP)復(fù)習(xí)試題有答案1.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ＩCＭＰ流量上升了２５０％，盡管網(wǎng)站沒(méi)有發(fā)現(xiàn)任何的性能下降或其他問(wèn)題。但為了安全起見(jiàn)，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)策略，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問(wèn)題的應(yīng)對(duì)措施：A、在防火墻上設(shè)置策略，阻止所有的ＩCＭＰ流量進(jìn)入B、刪除服務(wù)器上的ｐｉｎｇ．ｅｘｅ程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來(lái)臨的拒絕服務(wù)攻擊【正確答案】：A解析：

A是應(yīng)對(duì)措施。2.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證【正確答案】：C3.選擇信息系統(tǒng)部署的場(chǎng)地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保

護(hù)很大程度上取決與場(chǎng)地的安全性，一個(gè)部署在高風(fēng)險(xiǎn)場(chǎng)所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性

的。為了保護(hù)環(huán)境安全，在下列選項(xiàng)中，公司在選址時(shí)最不應(yīng)該選址的場(chǎng)地是().A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D4.目前應(yīng)用面臨的威脅越來(lái)越多，越來(lái)越難發(fā)現(xiàn)。對(duì)應(yīng)用系統(tǒng)潛在的威脅目前還沒(méi)有統(tǒng)一的分類，但小趙

認(rèn)為同事小李從對(duì)應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項(xiàng)例子中有一項(xiàng)不對(duì)，請(qǐng)問(wèn)是下面哪一項(xiàng)（）A、數(shù)據(jù)訪問(wèn)權(quán)限B、偽造身份C、釣魚(yú)攻擊D、遠(yuǎn)程滲透【正確答案】：A5.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：A、項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項(xiàng)目有明確的開(kāi)始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定。C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量（Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Timeoriented)?！菊_答案】：B解析：

解釋：據(jù)項(xiàng)目進(jìn)度不能隨機(jī)確定，需要根據(jù)項(xiàng)目預(yù)算、特性、質(zhì)量等要求進(jìn)行確定。6.以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能?A、IP地址欺騙防護(hù)B、NATC、訪問(wèn)控制D、SQL注入攻擊防護(hù)【正確答案】：D解析：

題干中針對(duì)的是傳統(tǒng)防火墻，而SQL注入防護(hù)是WAF的主要功能。7.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是：A、如果該組織在執(zhí)行某個(gè)特定的過(guò)程區(qū)域時(shí)具備了一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過(guò)程區(qū)域的能力成熟度未達(dá)到此級(jí)B、如果該組織某個(gè)過(guò)程區(qū)域（ProcessAreas，PA）具備了“定義標(biāo)準(zhǔn)過(guò)程”、“執(zhí)行已定義的過(guò)程”兩個(gè)公共特征，則此過(guò)程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)”C、如果某個(gè)過(guò)程區(qū)域（ProcessAreas，PA)包含4個(gè)基本實(shí)施（BasePractices，BP），執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過(guò)程區(qū)域的能力成熟度級(jí)別為0D、組織在不同的過(guò)程區(qū)域的能力成熟度可能處于不同的級(jí)別上解釋：SSE-CMM充分定義級(jí)包括三個(gè)特征，為“定義標(biāo)準(zhǔn)過(guò)程”、“執(zhí)行已定義的過(guò)程”、“安全協(xié)調(diào)實(shí)施”。B答案中只描述了兩個(gè)公共特征?！菊_答案】：B8.某單位門戶網(wǎng)站開(kāi)發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析【正確答案】：D解析：

A錯(cuò)，模糊測(cè)試是模擬異常輸入；B錯(cuò)，入口與邊界點(diǎn)是測(cè)試對(duì)象；C模糊測(cè)試記錄和檢測(cè)異常運(yùn)行情況。9.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)。B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)響應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過(guò)程。C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”。D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B解析：

系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術(shù)。10.以下對(duì)Windows系統(tǒng)的服務(wù)描述，正確的是：A、Windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、Windows服務(wù)的運(yùn)行不需要用戶的交互登陸C、Windows服務(wù)都是隨系統(tǒng)啟動(dòng)而啟動(dòng)，無(wú)需用戶進(jìn)行干預(yù)D、Windows服務(wù)都需要用戶進(jìn)行登陸后，以登錄用戶的權(quán)限進(jìn)行啟動(dòng)【正確答案】：B11.根據(jù)《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》等國(guó)家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《非涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》等要求進(jìn)行C、可委托同一專業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告D、此通知不要求將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容【正確答案】：C解析：

C為正確描述。12.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶登錄時(shí)，認(rèn)證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計(jì)算后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。A、口令序列B、時(shí)間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。13.針對(duì)軟件的拒絕服務(wù)攻擊是通過(guò)消耗系統(tǒng)資源使軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需求考慮的攻擊方式A、攻擊者利用軟件存在的邏輯錯(cuò)誤，通過(guò)發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CＰＵ資源占用始終１００％B、攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過(guò)發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫(kù)響應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn)D、攻擊者買通ＩDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn)【正確答案】：D解析：

D為社會(huì)工程學(xué)攻擊。14.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的而運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上【正確答案】：B解析：

答案為B，三級(jí)以上默認(rèn)包括本級(jí)。15.WindowsNT提供的分布式安全環(huán)境又被稱為:A、域（Domain）B、工作組C、對(duì)等網(wǎng)D、安全網(wǎng)【正確答案】：A16.以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施：A、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問(wèn)控制表的方式來(lái)管理權(quán)限【正確答案】：C解析：

消息驗(yàn)證碼不能防止抵賴，而是提供消息鑒別、完整性校驗(yàn)和抗重放攻擊。17.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是：A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)【正確答案】：C解析：

SSE-CMM是系統(tǒng)工程，不可以獨(dú)立實(shí)施。18.關(guān)于信息安全管理體系，國(guó)際上有標(biāo)準(zhǔn)（ISO/IEC27001:2013）而我國(guó)發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是：A、IDT(等同采用)，此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改B、EQV(等效采用)，此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)際標(biāo)準(zhǔn)C、NEQ（非等效采用），此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)際標(biāo)準(zhǔn)D、沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較【正確答案】：D解析：

ISO/IEC27001:2013和GB/T22080-2008是兩個(gè)不同的版本。19.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫(huà)了一下一張圖(圖中包括了規(guī)劃建立、實(shí)施運(yùn)行、（）、保持和改進(jìn)），但是他還存在一個(gè)空白處未填寫，請(qǐng)幫他選擇一個(gè)最合適的選項(xiàng)（）。A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢ISMS【正確答案】：C解析：

管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實(shí)施運(yùn)行、C-監(jiān)視和評(píng)審、A-保持和改進(jìn)。20.某單位的信息安全主管部門在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，該部門將有檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

檢查評(píng)估由上級(jí)管理部門組織發(fā)起；本級(jí)單位發(fā)起的為自評(píng)估。21.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）

A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D22.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問(wèn)這個(gè)目錄，管理員在某次維護(hù)中無(wú)意將zhang這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登錄系統(tǒng)后，發(fā)現(xiàn)無(wú)法訪問(wèn)他原來(lái)的個(gè)人文件夾，原因是：A、任何一個(gè)新建用戶都需要經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)中的文件B、Windows7不認(rèn)為新建立的用戶zhang與原來(lái)用戶zhang是同一個(gè)用戶，因此無(wú)權(quán)訪問(wèn)C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來(lái)用戶的文件夾，因此無(wú)法訪問(wèn)D、新建的用戶zhang會(huì)繼承原來(lái)用戶的權(quán)限，之所以無(wú)權(quán)訪問(wèn)是因?yàn)槲募A經(jīng)過(guò)了加密【正確答案】：A23.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書(shū)的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則【正確答案】：C解析：

題目描述的是軟件開(kāi)發(fā)的深度防御思想應(yīng)用。24.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)【正確答案】：C25.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為

了鞏固所學(xué)知識(shí)，小王對(duì)這三種備份方式進(jìn)行對(duì)比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序

是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B26.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對(duì)可能發(fā)生的

重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對(duì)策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)的相互配合

與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依次填入的是（）。

A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組【正確答案】：A27.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單41位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下()A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定【正確答案】：B解析：

風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。28.某單位在進(jìn)行內(nèi)部安全評(píng)估時(shí)，安全員小張使用了單位采購(gòu)的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞

掃描。漏洞掃描報(bào)告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報(bào)告在內(nèi)部審計(jì)時(shí)被質(zhì)疑，原因

在于小張使用的漏洞掃描軟件采購(gòu)于三年前，服務(wù)已經(jīng)過(guò)期，漏洞庫(kù)是半年前最后一次更新的。關(guān)于內(nèi)部審

計(jì)人員對(duì)這份報(bào)告的說(shuō)法正確的是（）A、內(nèi)部審計(jì)人員的質(zhì)疑是對(duì)的，由于沒(méi)有更新漏洞庫(kù)，因此這份漏洞掃描報(bào)告準(zhǔn)確性無(wú)法保證B、內(nèi)部審計(jì)人員質(zhì)疑是錯(cuò)的，漏洞掃描軟件是正版采購(gòu)，因此掃描結(jié)果是準(zhǔn)確的C、內(nèi)部審計(jì)人員的質(zhì)疑是正確的，因?yàn)槁┒磼呙鑸?bào)告是軟件提供，沒(méi)有經(jīng)過(guò)人為分析，因此結(jié)論不會(huì)準(zhǔn)確D、內(nèi)部審計(jì)人員的質(zhì)疑是錯(cuò)誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃描結(jié)果是準(zhǔn)確的【正確答案】：A29.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B解析：

解釋：美國(guó)已經(jīng)設(shè)立中央政府級(jí)的專門機(jī)構(gòu)。30.以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是：A、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系B、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法【正確答案】：D解析：

可信計(jì)算平臺(tái)出現(xiàn)后不會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法。31.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測(cè)控制設(shè)備：A、是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ?，但要求更多的開(kāi)銷B、是必須的，可以為預(yù)防控制的功效提供檢測(cè)C、是可選的，可以實(shí)現(xiàn)深度防御D、在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制功能已經(jīng)足夠【正確答案】：C解析：

略32.以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是A、威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅B、評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)C、消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過(guò)重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅。D、識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞?！菊_答案】：D解析：

威脅就是漏洞是錯(cuò)誤的。33.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境

中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的（），向信

息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接

受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是（）,信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，

涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（）的信心。

A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B34.某單位計(jì)劃在今年開(kāi)發(fā)一套辦公自動(dòng)化（ＯA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在ＯA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開(kāi)發(fā)的建設(shè)，作為安全專家，請(qǐng)指出大家提的建議中不太合適的一條：A、對(duì)軟件開(kāi)發(fā)商提出安全相關(guān)要求，確保軟件開(kāi)發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問(wèn)題B、要求軟件開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)培訓(xùn)，使開(kāi)發(fā)人員掌握基本軟件安全開(kāi)發(fā)知識(shí)C、要求軟件開(kāi)發(fā)商使用Ｊａｖａ而不是AＳＰ作為開(kāi)發(fā)語(yǔ)言，避免ＳＱＬ注入漏洞D、要求軟件開(kāi)發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)【正確答案】：C解析：

SQL注入與編碼SQL語(yǔ)法應(yīng)用和過(guò)濾有關(guān)，與開(kāi)發(fā)語(yǔ)言不是必然關(guān)系。35.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項(xiàng)錯(cuò)誤的是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒(méi)有下載過(guò)數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過(guò)濾、流量控制等技術(shù)【正確答案】：D解析：

R-抵賴是無(wú)法通過(guò)過(guò)濾、流控和隱私保護(hù)實(shí)現(xiàn)的，R-抵賴的實(shí)現(xiàn)方式包括數(shù)字簽名、安全審計(jì)、第三方公證。36.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

答案為B。37.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊【正確答案】：D解析：

D屬于社會(huì)工程學(xué)攻擊。38.以下列出了MAC和散列函數(shù)的相似性,哪一項(xiàng)說(shuō)法是錯(cuò)誤的？A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長(zhǎng)度的，而散列函數(shù)的輸出值是固定長(zhǎng)度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對(duì)稱加密算法【正確答案】：C解析：

1）MAC：消息驗(yàn)證、完整性校驗(yàn)、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對(duì)稱。2）哈希：消息驗(yàn)證、完整性校驗(yàn)；輸出是固定的；不需要密鑰；不是非對(duì)稱。39.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】：B解析：

定性分析不能靠直覺(jué)、不能隨意。40.防止非法授權(quán)訪問(wèn)數(shù)據(jù)文件的控制措施，哪項(xiàng)是最佳的方式：A、自動(dòng)文件條目B、磁帶庫(kù)管理程序C、訪問(wèn)控制軟件D、鎖定庫(kù)【正確答案】：C41.我國(guó)信息安全保障工作先后經(jīng)歷啟動(dòng)、逐步展開(kāi)和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，以下關(guān)于我國(guó)信息安全保障各階段說(shuō)法不正確的是：A、2001國(guó)家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月，國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文），明確了“積極防御、綜合防范“的國(guó)家信息安全保障方針C、2003年中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段

D.在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展?！菊_答案】：C解析：

2006年進(jìn)入到深化落實(shí)階段。42.關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，下列說(shuō)法不正確的是：A、數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來(lái)解決，當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來(lái)進(jìn)行修復(fù)B、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤上保存起來(lái)，是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用，可以用來(lái)進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交【正確答案】：D解析：

利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前完整狀態(tài)，這一對(duì)事務(wù)的操作稱為回滾。43.1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一

個(gè)組織的全面或部分信息安全管理體系評(píng)估的（），它可以作為一個(gè)正式認(rèn)證方案的（）。BS7799-1與BS7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及（）的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：A44.S公司在全國(guó)有20個(gè)分支機(jī)構(gòu)，總部由10臺(tái)服務(wù)器、200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺(tái)服務(wù)器、100個(gè)左右用戶終端，通過(guò)專網(wǎng)進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評(píng)標(biāo)專家，請(qǐng)給5公司選出設(shè)計(jì)最合理的一個(gè):A、總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)器和用戶終端使用192.168.2.x192.168.20.xB、總部服務(wù)器使用—11、用戶終端使用2—212，分支機(jī)構(gòu)IP地址隨意確定即可C、總部服務(wù)器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x，每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段、另外一個(gè)做用戶終端地址段D、因?yàn)橥ㄟ^(guò)互聯(lián)網(wǎng)連接，訪問(wèn)的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無(wú)需特別規(guī)劃，各機(jī)構(gòu)自行決定即可。【正確答案】：C解析：

答案為C，考核的是IP地址規(guī)劃的體系化。45.關(guān)于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯(cuò)誤的是（）。A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素B、管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容【正確答案】：A解析：

完成安全目標(biāo)所用各類安全措施的體系。46.關(guān)于計(jì)算機(jī)取取證描述不正確的是（）A、計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面的檢查計(jì)算機(jī)系統(tǒng)以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪

的相關(guān)證據(jù)的活動(dòng)B、取證的目的包括通過(guò)證據(jù)，查找肇事者，通過(guò)證據(jù)推斷犯罪過(guò)程，通過(guò)證據(jù)判斷受害者損失程度及涉及證

據(jù)提供法律支持C、電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品，對(duì)于電子證據(jù)取證工

作主要圍繞兩方面進(jìn)行證據(jù)的獲取和證據(jù)的保護(hù)D、計(jì)算機(jī)取證的過(guò)程，可以分為準(zhǔn)備，保護(hù)，提取，分析和提交五個(gè)步驟【正確答案】：C47.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)合成功，并且

在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失

效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代，社會(huì)工程學(xué)利用的是人性的“弱

點(diǎn)”，而人性是（）,這使得它幾乎是永遠(yuǎn)有效的（）。A、網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C、網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式D、網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的【正確答案】：A48.在信息安全管理的實(shí)施過(guò)程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程、確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確【正確答案】：D解析：

D不屬于管理者的職責(zé)。49.某單位對(duì)其主網(wǎng)站的一天訪問(wèn)流量監(jiān)測(cè)圖，圖顯示該網(wǎng)站在當(dāng)天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會(huì)話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊【正確答案】：D解析：

答案為D。50.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下()中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識(shí)別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段【正確答案】：A解析：

《風(fēng)險(xiǎn)評(píng)估方案》屬于風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的結(jié)果。51.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)急突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要過(guò)程、系統(tǒng)損失和社會(huì)影響三方面。D、根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事件劃分為4個(gè)級(jí)別，特別重大事件（I級(jí)）、重大事件（II級(jí)）、較大事件（III級(jí)）和一般事件（IV級(jí)）【正確答案】：B解析：

應(yīng)急響應(yīng)包括六個(gè)階段，為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤總結(jié)。52.火災(zāi)是機(jī)房日常運(yùn)營(yíng)中面臨最多的安全威脅之一，火災(zāi)防護(hù)的工作是通過(guò)構(gòu)建火災(zāi)預(yù)防、檢測(cè)和響應(yīng)系

統(tǒng)，保護(hù)信息化相關(guān)人員和信息系統(tǒng)，將火災(zāi)導(dǎo)致的影響降低到可接受的程度。下列選項(xiàng)中，對(duì)火災(zāi)的預(yù)防、

檢測(cè)和抑制的措施描述錯(cuò)誤的選項(xiàng)是（）。A、將機(jī)房單獨(dú)設(shè)置防火區(qū)，選址時(shí)遠(yuǎn)離易燃易爆物品存放區(qū)域，機(jī)房外墻使用非燃燒材料，進(jìn)出機(jī)房區(qū)域的

門采用防火門或防火卷簾，機(jī)房通風(fēng)管設(shè)防火栓B、火災(zāi)探測(cè)器的具體實(shí)現(xiàn)方式包括；煙霧檢測(cè)、溫度檢測(cè)、火焰檢測(cè)、可燃?xì)怏w檢測(cè)及多種檢測(cè)復(fù)合等C、自動(dòng)響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時(shí)設(shè)立兩組獨(dú)立的火災(zāi)探測(cè)器，只要有一個(gè)探測(cè)器報(bào)警，就立即啟動(dòng)滅

火工作D、目前在機(jī)房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等【正確答案】：C53.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制（SecurityAccountsManager）的說(shuō)法哪個(gè)是正確的：A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問(wèn)，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問(wèn)，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問(wèn)，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問(wèn)，具有較高的安全性【正確答案】：D54.組織內(nèi)人力資源部門開(kāi)發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績(jī)效、考核、獎(jiǎng)勵(lì)等事宜。所有

員工都可以登錄系統(tǒng)完成相關(guān)需要員工配合的工作，以下哪項(xiàng)技術(shù)可以保證數(shù)據(jù)的保密性：A、SSL加密B、雙因子認(rèn)證C、加密會(huì)話cookieD、IP地址校驗(yàn)【正確答案】：A55.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置帳戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：

賬戶鎖定閥值3次無(wú)效登陸；

復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘；

賬戶鎖定時(shí)間10分鐘；

以下關(guān)于以上策略設(shè)置后的說(shuō)法哪個(gè)是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無(wú)法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的擁護(hù)就會(huì)被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無(wú)法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該擁護(hù)帳號(hào)被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無(wú)法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響【正確答案】：B解析：

答案為B，全部解釋為5分鐘計(jì)數(shù)器時(shí)間內(nèi)錯(cuò)誤3次則鎖定10分鐘。56.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略【正確答案】：C解析：

無(wú)法消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)。57.在某次信息安全應(yīng)急響應(yīng)過(guò)程中，小王正在實(shí)施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強(qiáng)防范措施、格式化被感染而已程序的介質(zhì)等，請(qǐng)問(wèn)，按照應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）A、準(zhǔn)備階段B、檢測(cè)階段C、遏制階段D、根除階段【正確答案】：D解析：

消除或阻斷攻擊源等措施為根除階段。58.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)您仔細(xì)分析該圖，下面分析推理正確的是（）

A、安全測(cè)試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開(kāi)啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPSｅｒｖｅｒD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是ｗｉｎｄｏｗｓ系統(tǒng)【正確答案】：D59.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)／重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事件劃分為4個(gè)級(jí)別：特別重大事件(Ⅰ級(jí))、重大事件(Ⅱ級(jí))、較大事件(Ⅲ級(jí))和一般事件(Ⅳ級(jí))【正確答案】：B解析：

應(yīng)急響應(yīng)的六個(gè)階段是準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤總結(jié)。60.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時(shí)，面試經(jīng)理要求他給出該企

業(yè)信息系統(tǒng)訪問(wèn)控制模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能，在

以下選項(xiàng)中，從時(shí)間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）。A、訪問(wèn)控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型【正確答案】：A61.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

通常由管理層提供各種信息安全工作必須的資源。62.信息安全應(yīng)急響應(yīng)，是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性

措施，也包括事件發(fā)生后的應(yīng)對(duì)措施。應(yīng)急響應(yīng)方法和過(guò)程并不偶是唯一的，在下面的應(yīng)急響應(yīng)管理流程中，

空白方框處填寫正確的是選項(xiàng)是（）

A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D63.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動(dòng)存儲(chǔ)進(jìn)行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解

決該病毒在企業(yè)內(nèi)部傳播，作為信息化負(fù)責(zé)人，你應(yīng)采取以下哪項(xiàng)策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個(gè)可以查殺到該病毒的軟件進(jìn)行重新部署B(yǎng)、向企業(yè)內(nèi)部的計(jì)算機(jī)下發(fā)策略，關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟的自動(dòng)播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動(dòng)硬盤這類的移動(dòng)存儲(chǔ)介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來(lái)自互聯(lián)網(wǎng)的病毒進(jìn)入企業(yè)內(nèi)部【正確答案】：B64.在軟件保障成熟度模型（ＳAＭＭ）中，規(guī)定了軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能A、治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng)B、構(gòu)造，主要是在開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng)C、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程和活動(dòng)D、購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開(kāi)源組件的相關(guān)管理過(guò)程與活動(dòng)【正確答案】：D解析：

ＳAＭＭ包括治理、構(gòu)造、驗(yàn)證、部署。65.小明是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開(kāi)始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的背景建立的幾本概念與認(rèn)識(shí)，小明的主要觀點(diǎn)包括：（1）背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果(3)背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書(shū)、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告請(qǐng)問(wèn)小明的論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)【正確答案】：B解析：

背景建立是根據(jù)政策、法律、標(biāo)準(zhǔn)、業(yè)務(wù)、系統(tǒng)、組織等現(xiàn)狀來(lái)開(kāi)展。66.下面四款安全測(cè)試軟件中，主要用于WEB安全掃描的是（）A、CIscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner【正確答案】：B解析：

B為WEB掃描工具。67.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時(shí)，以下說(shuō)法正確的是：A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來(lái)減少IPsec安全關(guān)聯(lián)（SecurityAuthentication,SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

A錯(cuò)誤，MD5提供完整性；B錯(cuò)誤，AES提供的保密性；D錯(cuò)誤，AH協(xié)議提供完整性、驗(yàn)證及抗重放攻擊。68.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于（）A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱ITSEC)D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡(jiǎn)稱CC)【正確答案】：B解析：

BS7799-1發(fā)展為ISO27002；BS7799-2發(fā)展為ISO27001；TCSEC發(fā)展為ITSEC；ITSEC發(fā)展為CC。69.2006年5月8日電，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》。全

文分（）部分共計(jì)約15000余字。對(duì)國(guó)內(nèi)外的信息化發(fā)展做了宏觀分析，對(duì)我國(guó)信息化發(fā)展指導(dǎo)思想和戰(zhàn)略

目標(biāo)標(biāo)準(zhǔn)要闡述，對(duì)我國(guó)（）發(fā)展的重點(diǎn)、行動(dòng)計(jì)劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國(guó)信息化發(fā)

展的（），當(dāng)前我國(guó)信息安全保障工作逐步加強(qiáng)。制定并實(shí)施了（）,初步建立了信息安全管理體制和（）。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高，互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。A、5個(gè)；信息化；基本形勢(shì)；國(guó)家安全戰(zhàn)略；工作機(jī)制B、6個(gè)；信息化；基本形勢(shì)；國(guó)家信息安全戰(zhàn)略；工作機(jī)制C、7個(gè)；信息化；基本形勢(shì)；國(guó)家安全戰(zhàn)略；工作機(jī)制D、8個(gè)；信息化；基本形勢(shì)；國(guó)家信息安全戰(zhàn)略；工作機(jī)制【正確答案】：B70.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請(qǐng)問(wèn)此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個(gè)組織發(fā)布的（）A、國(guó)際標(biāo)準(zhǔn)化組織B、國(guó)際電工委員會(huì)C、國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D、Internet工程任務(wù)組（IETF）【正確答案】：D解析：

D為正確答案。71.賬號(hào)鎖定策略中對(duì)超過(guò)一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號(hào)鎖定是為了解決暴力破解攻擊的。72.ApacheHTTPServer（簡(jiǎn)稱Apache）是個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施()A、不選擇Windons平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后,修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后,刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer.并安裝使用【正確答案】：B73.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。74.小李去參加單位組織的信息安全培訓(xùn)后，他把自己對(duì)管理信息管理體系ISMS的理解畫(huà)了一張圖，但是他還存在一個(gè)空白處未填寫，請(qǐng)幫他選擇一個(gè)合適的選項(xiàng)（）

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢ISMS【正確答案】：C75.我國(guó)黨和政府一直重視信息安全工作，我國(guó)信息安全保障工作也取得了明顯成效，關(guān)于我國(guó)信息安全實(shí)踐工作，下面說(shuō)法錯(cuò)誤的是（）A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作，確定由國(guó)家密碼管理局牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”推動(dòng)了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級(jí)保護(hù)工作，研究制定了多個(gè)有關(guān)信息安全等級(jí)保護(hù)的規(guī)范和標(biāo)準(zhǔn)，重點(diǎn)保障了關(guān)系國(guó)定安全，經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全性

D實(shí)施了信息安全風(fēng)險(xiǎn)評(píng)估工作，探索了風(fēng)險(xiǎn)評(píng)估工作的基本規(guī)律和方法，檢驗(yàn)并修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊(duì)伍【正確答案】：B解析：

工業(yè)和信息化部牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”。76.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先創(chuàng)定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備→檢測(cè)→遏制-，根除→恢復(fù)→跟蹤總結(jié)。請(qǐng)問(wèn)下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤的是():A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中最關(guān)鍵的步驟B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見(jiàn)的遏制措施有完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)【正確答案】：C解析：

不能完全關(guān)閉系統(tǒng)的操作。77.GaryMcGraw博士及其合作者提出軟件安全BSI模型應(yīng)由三根支柱來(lái)支撐，這三個(gè)支柱是（）。A、源代碼審核、風(fēng)險(xiǎn)分析和滲透測(cè)試B、風(fēng)險(xiǎn)管理、安全接觸點(diǎn)和安全知識(shí)C、威脅建模、滲透測(cè)試和軟件安全接觸點(diǎn)D、威脅建模、源代碼審核和模糊測(cè)試【正確答案】：B解析：

BSI的模型包括風(fēng)險(xiǎn)管理、安全接觸點(diǎn)和安全知識(shí)。78.異常入侵檢測(cè)是入侵檢測(cè)系統(tǒng)常用的一種技術(shù)，它是識(shí)別系統(tǒng)或用戶的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用，從而檢測(cè)出入侵行為。下面說(shuō)法錯(cuò)誤的是A、在異常入侵檢測(cè)中，觀察的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過(guò)程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測(cè)，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測(cè)可以通過(guò)獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過(guò)多種手段向管理員報(bào)警D、異常入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

實(shí)施誤用入侵檢測(cè)（或特征檢測(cè)），是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生。79.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層Ｗｅｂ架構(gòu)，但是軟件存在ＳＱＬ注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問(wèn)數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開(kāi)發(fā)時(shí)，采用了一些存在安全問(wèn)題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒(méi)有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C解析：

答案為C。80.組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問(wèn)

題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商

符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是

（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采?。ǎ?當(dāng)供應(yīng)商提供的服務(wù)，包括對(duì)（）方針、規(guī)程和控

制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)

上管理。A、供應(yīng)商；服務(wù)管理；信息安全；合適的措施；信息安全B、服務(wù)管理；供應(yīng)商；信息安全；合適的措施；信息安全C、供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全D、供應(yīng)商；合適的措施；服務(wù)管理；信息安全；信息安全【正確答案】：A81.老王是某政府信息中心主任。以下哪項(xiàng)項(xiàng)目是符合《保守國(guó)家秘密法》要求的()A、老王安排下屬小李將損害的涉密計(jì)算機(jī)某國(guó)外品牌硬盤送到該品牌中國(guó)區(qū)維修中心修理B、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志C、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫(kù)D、老王提出對(duì)加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用【正確答案】：D82.下圖是某單位對(duì)其主網(wǎng)站一天流量的監(jiān)測(cè)圖，如果該網(wǎng)站當(dāng)天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。

A、跨站腳本攻擊B、TCP會(huì)話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊【正確答案】：D83.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）

A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D84.對(duì)于數(shù)字證書(shū)而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)？A、ISO/IEC1540BB、802.11C、GB/T20984D、X.509【正確答案】：D解析：

答案為D。85.恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)的重要概念，關(guān)于這兩個(gè)值能否為零，正確的選項(xiàng)是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A86.下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型，這個(gè)模型經(jīng)常使用圖形的形式來(lái)表達(dá)的下圖空白處應(yīng)填（）

A、策略B、方針C、人員D、項(xiàng)目【正確答案】：A87.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度（Dｅｆｅｃｔｓ／ＫＬＯC）來(lái)衡量軟件的安全性，假設(shè)某個(gè)軟件共有２９．６萬(wàn)行源代碼，總共被檢測(cè)出１４５個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是A、０．０００４９B、０．０４９C、０．４９D、４９【正確答案】：C解析：

千行代碼缺陷率計(jì)算公式，145/(29.5*10)=0.49。88.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事件劃分為4個(gè)級(jí)別：特別重大事件（I級(jí)）、重大事件（II級(jí)）、較大事件（III級(jí)）和一般事件（IV級(jí)）【正確答案】：B89.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應(yīng)為技管并重。90.下列關(guān)于計(jì)算機(jī)病毒感染能力的說(shuō)法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。91.主體S對(duì)客體01有讀(R)權(quán)限，對(duì)客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問(wèn)控制實(shí)現(xiàn)方法是：A、訪問(wèn)控制表(ACL)B、訪問(wèn)控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

定義主體訪問(wèn)客體的權(quán)限叫作CL。定義客體被主體訪問(wèn)的權(quán)限叫ACL。92.公鑰基礎(chǔ)設(shè)施，引入數(shù)字證書(shū)的概念，用來(lái)表示用戶的身份，下圖簡(jiǎn)要的描述了終端實(shí)體（用戶），從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤銷和更新數(shù)字證書(shū)的流程，請(qǐng)為中間框空白處選擇合適的選項(xiàng)（）

A、證書(shū)庫(kù)B、RAC、OCSPD.CRL庫(kù)【正確答案】：B93.什么是系統(tǒng)變更控制中最重要的內(nèi)容？A、所有的變更都必須文字化，并被批準(zhǔn)B、變更應(yīng)通過(guò)自動(dòng)化工具來(lái)實(shí)施C、應(yīng)維護(hù)系統(tǒng)的備份D、通過(guò)測(cè)試和批準(zhǔn)來(lái)確保質(zhì)量【正確答案】：A94.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的（）A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件，標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B、國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織通過(guò)并公布的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)。C、行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又才需要在全國(guó)某個(gè)行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)。D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制度，冰報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院有關(guān)行政主管培訓(xùn)部門備案，在公布國(guó)家標(biāo)準(zhǔn)后，該地方標(biāo)準(zhǔn)即應(yīng)廢止?！菊_答案】：B解析：

當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)。95.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限【正確答案】：C解析：

一個(gè)用戶可以屬于多個(gè)組。96.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實(shí)施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見(jiàn)綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過(guò)程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)【正確答案】：A解析：

BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見(jiàn)綜合得出的；代表著信息安全工程領(lǐng)域的最佳實(shí)踐；并且是過(guò)程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)。97.在Windows系統(tǒng)中，管理權(quán)限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B98.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營(yíng)成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C99.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用【正確答案】：D100.設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的：A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過(guò)程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙【正確答案】：C101.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力【正確答案】：C解析：

安全措施投入應(yīng)越早則成本越低，C答案則成本會(huì)上升。102.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)【正確答案】：C解析：

TACACS+是AAA權(quán)限控制系統(tǒng)，不屬于VPN。103.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒(méi)有主動(dòng)訪問(wèn)該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了，這種向Web頁(yè)面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊【正確答案】：B104.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】：D解析：

在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。105.某單位開(kāi)發(fā)一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析，模糊測(cè)試等軟件測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試，模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性的優(yōu)勢(shì)？A、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法。因此測(cè)試效率更高C、滲透測(cè)試以攻擊者思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞D、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多【正確答案】：C解析：

C是滲透測(cè)試的優(yōu)點(diǎn)。106.下列關(guān)于軟件安全開(kāi)發(fā)中的BSI（BuildSecurityIn)系列模型說(shuō)法錯(cuò)誤的是（）A、BIS含義是指將安全內(nèi)建到軟件開(kāi)發(fā)過(guò)程中，而不是可有可無(wú)，更不是游離于軟件開(kāi)發(fā)生命周期之外B、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全測(cè)試C、軟件安全觸點(diǎn)是軟件開(kāi)發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D、BSI系列模型強(qiáng)調(diào)應(yīng)該使用工程化的方法來(lái)保證軟件安全，即在整個(gè)軟件開(kāi)發(fā)生命周期中都要確保將安全作為軟件的一個(gè)有機(jī)組成部分【正確答案】：B解析：

安全測(cè)試修改為安全知識(shí)。107.訪問(wèn)控制是對(duì)用戶或用戶訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）ACL只能由管理員進(jìn)行管理B、ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和級(jí)的SIDC、訪問(wèn)令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制【正確答案】：A108.關(guān)于惡意代碼，以下說(shuō)法錯(cuò)誤的是：A、從傳播范圍來(lái)看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B、按照運(yùn)行平臺(tái)，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無(wú)法單獨(dú)執(zhí)行D、為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

按照運(yùn)行平臺(tái)，惡意代碼可以分為Windows平臺(tái)、Linux平臺(tái)、工業(yè)控制系統(tǒng)等。109.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是：A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】：D解析：

Ia資產(chǎn)A的價(jià)值；Va是資產(chǎn)A的脆弱性嚴(yán)重程度。110.隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來(lái)越突出，而與此同時(shí)，發(fā)生的信息安全事件也越來(lái)，綜合分析信息安全問(wèn)題產(chǎn)生的根源，下面描述正確的是（）A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來(lái)越重要，同時(shí)自身在開(kāi)發(fā)、部署和使用過(guò)程中存性，

導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問(wèn)題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來(lái)越廣泛，接觸越多，

信息系統(tǒng)越可能遭受攻擊，因此避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問(wèn)題C、信息安全問(wèn)題，產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性同時(shí)外部又有威

脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件，因此要防范安全風(fēng)險(xiǎn)，需從內(nèi)外因同時(shí)著手D、信息安全問(wèn)題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，

但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過(guò)遠(yuǎn)程攻擊，本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全

事件發(fā)生，因此對(duì)人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)【正確答案】：C111.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?ARP協(xié)議是一個(gè)無(wú)狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議【正確答案】：D解析：

D不是導(dǎo)致欺騙的根源。112.有關(guān)系統(tǒng)安全工程-能力成熟度模型（sse-cmm）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒(méi)有進(jìn)過(guò)測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】：C解析：

A答案中BP是基于工程實(shí)踐總結(jié)的工程單元。B答案中BP是經(jīng)過(guò)測(cè)試和實(shí)踐驗(yàn)證的。C答案中一項(xiàng)BP適用于組織的生存周期是正確的。D一項(xiàng)BP不能和其他BP重疊。113.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理，

實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門的聯(lián)系.C、與特定利益集團(tuán)的聯(lián)系，信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題【正確答案】：D114.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是：A、測(cè)量單位是基本實(shí)施(BasePractices，BP)B、測(cè)量單位是通用實(shí)踐(GenericPractices，GP)C、測(cè)量單位是過(guò)程區(qū)域(ProcessAreas，PA)D、測(cè)量單位是公共特征(CommonFeatures，CF)【正確答案】：D解析：

公共特征是衡量能力的標(biāo)志。115.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項(xiàng)目招標(biāo)開(kāi)始到項(xiàng)目的驗(yàn)收結(jié)束，在投資計(jì)劃階段沒(méi)有監(jiān)理。116.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)側(cè)（）A、抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件C、不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力?！菊_答案】：B117.下列選項(xiàng)中對(duì)信息系統(tǒng)審計(jì)概念的描述中不正確的是（）A、信息系統(tǒng)審計(jì)，也可稱作IT審計(jì)或信息系統(tǒng)控制審計(jì)B、信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程，審計(jì)對(duì)象是信息系統(tǒng)相關(guān)控制，審計(jì)目標(biāo)則是判斷信息系統(tǒng)

是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性C、信息系統(tǒng)審計(jì)師單一的概念，是對(duì)會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查D、從信息系統(tǒng)審計(jì)內(nèi)容上看，可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì)，例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績(jī)效

審計(jì)等【正確答案】：C118.二十世紀(jì)二十年代，德國(guó)發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機(jī)，按照密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A、古典密碼階段。這一階段的密碼專家常?？恐庇X(jué)和技術(shù)來(lái)設(shè)計(jì)密碼，而不是憑借推理和證明，常用的密碼運(yùn)算方法包括替代方法和轉(zhuǎn)換方法（）B、近代密碼發(fā)展階段。這一階段開(kāi)始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎(chǔ)，開(kāi)始對(duì)密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷【正確答案】：B解析：

根據(jù)密碼學(xué)發(fā)展階段的知識(shí)點(diǎn)，Engmia密碼機(jī)屬于近代密碼學(xué)發(fā)展階段的產(chǎn)物。119.小李是某公司系統(tǒng)規(guī)劃師，某天他針對(duì)公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設(shè)規(guī)劃圖，如下圖所示。請(qǐng)問(wèn)這個(gè)圖形是依據(jù)下面哪個(gè)模型來(lái)繪制的（）

A、PDRB、PPDRC、PDCAD、IATF【正確答案】：B120.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理風(fēng)險(xiǎn)，請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置的方法是（）A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

風(fēng)險(xiǎn)處理方式包括降低、規(guī)避、接受和轉(zhuǎn)移四種方式。121.終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TerminalAccessControllerAccess-ControlSystem,TACACS）由

RFC1492定義，標(biāo)準(zhǔn)的TACACS協(xié)議只認(rèn)證用戶是否可以登錄系統(tǒng)，目前已經(jīng)很少使用，TACACS+協(xié)議由Cisco公司提出，主要應(yīng)用于Ciso公司的產(chǎn)品中，運(yùn)行與TCP協(xié)議之上。TACACS+協(xié)議分為（）兩個(gè)不同的過(guò)程A、認(rèn)證和授權(quán)B、加密和認(rèn)證C、數(shù)字簽名和認(rèn)證D、訪問(wèn)控制和加密【正確答案】：A122.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的

威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅?A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：

A屬于可用性；B保密性；C屬于完整性。123.為保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過(guò)程的說(shuō)法不正確的是A、由于在實(shí)際滲透測(cè)試過(guò)程中存