CISP考試認(rèn)證(習(xí)題卷1)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項(xiàng)選擇題，共94題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.網(wǎng)絡(luò)管理員已將公司內(nèi)部網(wǎng)Web服務(wù)器從交換機(jī)端口移至專用的路由器接口。管理員如何才能確定這項(xiàng)更改對(duì)公司內(nèi)部網(wǎng)的性能和可用性有何影響A)進(jìn)行性能測試，并與過去測得的基線進(jìn)行比較B)監(jiān)控從遠(yuǎn)程站點(diǎn)加載公司網(wǎng)頁的時(shí)間，以確定內(nèi)部網(wǎng)的性能C)與部門行政助理交談，詢問他們是否感覺網(wǎng)頁加載時(shí)間有所改善D)將公司W(wǎng)eb服務(wù)器上的本周點(diǎn)擊次數(shù)與前幾周記錄的值相比較答案:B解析:[單選題]2.U盤里有重要資料，同事臨時(shí)借用，如何做更安全？A)同事關(guān)系較好可以借用B)刪除文件之后再借C)同事使用U盤的過程中，全程查看D)將U盤中的文件備份到電腦之后，使用殺毒軟件提供的?文件粉碎?功能將文件粉碎，然后再借給同事答案:D解析:[單選題]3.51.關(guān)于計(jì)算機(jī)取證描述不正確的是（）A)計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)的活動(dòng)B)取證的目的包括：通過證據(jù)查找肇事者、通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持C)c、電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的各種信息記錄及存儲(chǔ)的電子化資料及物品。對(duì)于電子證據(jù)，取證工作主要圍繞兩方面進(jìn)行：證據(jù)的獲取和證據(jù)的保護(hù)D)計(jì)算機(jī)取證的過程可以分為準(zhǔn)備、保護(hù)、提取、分析和提交5個(gè)步驟答案:C解析:[單選題]4.20世紀(jì)20年代，德國發(fā)明家亞瑟謝爾比烏斯(Aunturscherbius)和理查德.里特(RichardRitter)發(fā)明了ENIGMA密碼機(jī)，看密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于()A)古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是推理和證明。常用的密碼運(yùn)算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?(thecommunicationtheoryofsecretsystems)為理論基礎(chǔ)，開始了對(duì)密碼學(xué)的科學(xué)探索D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合。答案:A解析:[單選題]5.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()。A)密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議,其目的是提供安全服務(wù)B)根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人C)在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式D)密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解協(xié)議,且按步驟執(zhí)行答案:C解析:?不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式?錯(cuò)誤[單選題]6.473.以下關(guān)于法律的說法錯(cuò)誤的是（）A)法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力B)法律可以是公開的，也可以是?內(nèi)部?的C)一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改D)法律對(duì)違法犯罪的后果由明確規(guī)定，是一種?硬約束?答案:B解析:[單選題]7.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（）。A)A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址B)A類、B類和C類地址中都可以設(shè)置私有地址C)A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址D)A類、B類和C類地址中都沒有私有地址答案:B解析:私有地址就是在互聯(lián)網(wǎng)上不使用，而被用在局域網(wǎng)絡(luò)中的地址。A、B、C類地址中均可設(shè)置是由地址，其中：A類私有地址是到55；B類私有地址到55；C類私有地址是到55。[單選題]8.6.某Linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1testtest10704Apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的：A)該文件是一個(gè)正常文件，是test用戶使用的shell，test不能讀該文件，只能執(zhí)行B)該文件是一個(gè)正常文件，是test用戶使用的shell，但test用戶無權(quán)執(zhí)行該文件C)該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root，test用戶間接獲得了root權(quán)限D(zhuǎn))該文件是一個(gè)后門程序，可由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test答案:D解析:[單選題]9.對(duì)系統(tǒng)安全需求進(jìn)行評(píng)審,以下那類人不適合參與A)系統(tǒng)分析員B)業(yè)務(wù)代表C)安全專家D)合規(guī)代表答案:A解析:[單選題]10.72.一個(gè)信息管理系統(tǒng)通常會(huì)對(duì)用戶進(jìn)行分組并實(shí)施訪問控制。例如，在一個(gè)學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中，對(duì)訪問控制的作用的理解錯(cuò)誤的是()。A)對(duì)經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B)拒絕非法用戶的非授權(quán)訪問請(qǐng)求C)在用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問權(quán)進(jìn)行管理D)防止對(duì)信息的非授權(quán)篡改和濫用答案:A解析:[單選題]11.在TCSEC中，美國國防部按處理信息的等級(jí)和應(yīng)采用的響應(yīng)措施，將計(jì)算機(jī)安全從低到高分為（）A)A;C1;C2;B1;B2;B3;DB)D;B1;B2;C1;C2;C3;AC)D;C1;C2;B1;B2;B3;AD)A;B1;B2;C1;C2;C3;D答案:C解析:[單選題]12.網(wǎng)絡(luò)管理員想要限制訪問路由器的特權(quán)執(zhí)行模式。管理員應(yīng)該使用哪一種口令A(yù))使能B)AUXC)控制臺(tái)D)VTY答案:A解析:[單選題]13.邏輯覆蓋測試是通過對(duì)程序邏輯結(jié)構(gòu)的遍歷實(shí)現(xiàn)程序的覆蓋。從覆蓋源代碼的不同程度可以分為以下六個(gè)標(biāo)準(zhǔn)：語句履蓋、判定履蓋（又稱為分支覆蓋）、條件覆蓋、判定-條件覆蓋（又稱為分支-條件覆蓋）、條件組合覆蓋和路徑覆蓋。下列幾種的邏輯測試覆蓋中，測試覆蓋最弱的是（）A)條件覆蓋B)條件組合覆蓋C)語句覆蓋D)判定/條件覆蓋答案:C解析:[單選題]14.在linux系統(tǒng)中，你看到一個(gè)文件的屬主和屬組都是root，它的權(quán)限是-rwxrwxr--,那么下面的描述中哪個(gè)是不正確的？（）A)root用戶具有讀取的權(quán)限B)root用戶具有修改的權(quán)限C)其他用戶具有讀取的權(quán)限D(zhuǎn))其他用戶具有修改的權(quán)限答案:D解析:[單選題]15.在Windos系統(tǒng)中,存在默認(rèn)共享功能,方便為了局域網(wǎng)用戶使用,但對(duì)個(gè)人用戶來說存在安全風(fēng)險(xiǎn)。如果電腦聯(lián)網(wǎng),網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置是,需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中,能關(guān)閉默認(rèn)共享的操作是()A)?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項(xiàng)中的?Autodisconnect?項(xiàng)鍵值改為0B)將?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項(xiàng)中的?AutoShareServer?項(xiàng)鍵值改為0C)將?HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項(xiàng)中的?AutoShareWks?項(xiàng)鍵值改為0D)在命令窗口輸入命令,刪除C盤默認(rèn)共享:netshareC/del答案:C解析:[單選題]16.61.漏洞掃描是信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的常用技術(shù)措施，定期的漏洞掃描有助于組織機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)中存在集公司安全漏洞。漏洞掃描軟件是實(shí)施漏洞掃描的工具，用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對(duì)漏洞掃描技術(shù)和工具進(jìn)行學(xué)習(xí)后有如下理解，其中錯(cuò)誤的是（）A)A主動(dòng)掃描工作方式類似于IDS(IntrusionDetectionSystems)B)CVE(CommonVulnerabilities&Exposures)為每個(gè)漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述C)X.Scanner采用多線程方式對(duì)指定IP地址段進(jìn)行安全漏洞掃描D)ISS的SystemScanner通過依附于主機(jī)上的掃描器代理偵測主機(jī)內(nèi)部的漏洞答案:A解析:[單選題]17.11.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用?智能卡+短信認(rèn)證?模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？A)實(shí)體?所知?以及實(shí)體?所有?的鑒別方法B)實(shí)體?所有?以及實(shí)體?特征?的鑒別方法C)實(shí)體?所知?以及實(shí)體?特征?的鑒別方法D)實(shí)體?所有?以及實(shí)體?行為?的鑒別方法答案:A解析:[單選題]18.我國信息安全事件分級(jí)不考慮下列哪一個(gè)要素?A)信息系統(tǒng)的重要程度B)系統(tǒng)損失C)社會(huì)影響D)業(yè)務(wù)損失答案:D解析:[單選題]19.Apache的配置文件中，哪個(gè)字段定義了訪問日志的路徑A)HttpdLogB)HttpLogC)AccessLogD)CustomLog答案:D解析:[單選題]20.終端訪問控制器訪問控制系統(tǒng)(TERMINALAccessControllerAccess-ControlSystem,TACACS),在認(rèn)證過程中,客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開始時(shí)使用一個(gè),序列號(hào)永遠(yuǎn)為().服務(wù)器收到START包以后,回送一個(gè)REPLY包,表示認(rèn)證繼續(xù)還是結(jié)束。A)0B)1C)2D)4答案:B解析:P315頁[單選題]21.CSRF攻擊不能做什么()A)刪除用戶信息B)修改用戶權(quán)限C)盜取用戶憑證D)取消訂單答案:C解析:[單選題]22.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是A)既能物理隔離，又能邏輯隔離B)能物理隔離，但不能邏輯隔離C)不能物理隔離，但是能邏輯隔離D)不能物理隔離，也不能邏輯隔離答案:C解析:[單選題]23.對(duì)惡意代碼的預(yù)防,需要采取增強(qiáng)安全防范策略與意識(shí)等措施,關(guān)于以下預(yù)防措施或意識(shí),說法錯(cuò)誤的是:A)在使用來自外部的移動(dòng)介質(zhì)前,需要進(jìn)行安全掃描B)限制用戶對(duì)管理員權(quán)限的使用C)開放所有端口和服務(wù),充分使用系統(tǒng)資源D)不要從不可信來源下載或執(zhí)行應(yīng)用程序答案:C解析:[單選題]24.相比FAT文件系統(tǒng),以下那個(gè)不是NTFS所具有的優(yōu)勢(shì)?（）A)NTFS使用事務(wù)日志自動(dòng)記錄所有文件和文件夾更新,當(dāng)出現(xiàn)系統(tǒng)損壞引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作。B)NTFS的分區(qū)上,可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C)對(duì)于大磁盤,NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下的EXT3文件格式。答案:D解析:[單選題]25.應(yīng)急響應(yīng)計(jì)劃文檔不應(yīng)該A)分發(fā)給公司所有人員B)分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員C)具有多份拷貝在不同的地點(diǎn)保存D)由專人負(fù)責(zé)保存與分發(fā)答案:A解析:[單選題]26.46.CISP職業(yè)道德包括誠實(shí)守信，遵紀(jì)守法，主要有()。A)不通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為；不利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件B)熱愛信息安全工作崗位，充分認(rèn)識(shí)信息安全專業(yè)工作的責(zé)任和使命:為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險(xiǎn)做出應(yīng)有的努力和貢獻(xiàn)；幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地做出應(yīng)對(duì)信息安全問題的建議和幫助C)自覺維護(hù)國家信息安全，拒絕并抵制泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為；自覺維護(hù)網(wǎng)絡(luò)社會(huì)安全，拒絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會(huì)和諧的行為；自覺維護(hù)公眾信息安全，拒絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個(gè)人隱私的行為D)通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識(shí)；利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實(shí)踐能力；以CISP身份為榮，積極參與各種證后活動(dòng)，避免任何損害CISP聲譽(yù)形象的行為答案:A解析:[單選題]27.數(shù)位物件識(shí)別號(hào)(DigitalObjectIdentifier,簡稱DOI)是一套識(shí)別數(shù)位資源的機(jī)制,涵括的對(duì)象有視頻報(bào)告或書籍等等。它既有一套為資源命名的機(jī)制,也有一套將識(shí)別號(hào)解析為具體位址的協(xié)定。DOI碼由前綴和后兩部分組成,之間用?/?分開,并且前綴以?.?再分為兩部分。以下是一個(gè)典型的DOI識(shí)別號(hào)10.1006/jmbi.1998.2354,下列選項(xiàng)錯(cuò)誤的是()A)?10.1006?是前綴,由國際數(shù)位物件識(shí)別號(hào)基金會(huì)確定B)?10?為DOI目前唯一的特定代碼,用以將DOI與其他采用同樣技術(shù)的系統(tǒng)區(qū)分開C)?1006?是注冊(cè)代理機(jī)構(gòu)的代碼,或出版社代碼,用于區(qū)分不同的注冊(cè)機(jī)構(gòu)D)后綴部分為:jmbi.1998.2354,由資源發(fā)行者自行指定,用于區(qū)分一個(gè)單獨(dú)的數(shù)字資料,不具有唯一性答案:D解析:[單選題]28.（）才是系統(tǒng)的軟肋，可以毫不夸張的說，人是信息系統(tǒng)安全防護(hù)體系中最不穩(wěn)定也是()。社會(huì)工程學(xué)攻擊是一種復(fù)雜的攻擊，不能等同于一般的()，很多即使是自認(rèn)為非常警惕及小心的人，一樣會(huì)被高明的()所攻破。A)社會(huì)工程學(xué)；攻擊人的因素；最脆弱的環(huán)節(jié)；欺騙方法B)人的因素:最脆弱的環(huán)節(jié)；社會(huì)工程學(xué)攻擊；欺騙方法C)欺騙方法；最脆弱的環(huán)節(jié)；人的因素；社會(huì)工程學(xué)攻擊D)人的因素；最脆弱的環(huán)節(jié)；欺騙方法:社會(huì)工程學(xué)攻擊答案:D解析:[單選題]29.IPSecVPN安全技術(shù)沒有用到（）？A)端口映射技術(shù)B)隧道技術(shù)C)加密技術(shù)D)入侵檢測技術(shù)答案:D解析:[單選題]30.分片攻擊問題發(fā)生在：A)數(shù)據(jù)包被發(fā)送時(shí)B)數(shù)據(jù)包在傳輸過程中C)數(shù)據(jù)包被接收時(shí)D)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行重組時(shí)答案:D解析:[單選題]31.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的（）A)設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B)設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C)設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D)設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文答案:D解析:[單選題]32.信息安全的主要目的是為了保證信息的（）A)完整性、機(jī)密性、可用性B)安全性、可用性、機(jī)密性C)完整性、安全性、機(jī)密性D)可用性、傳播性、整體性答案:A解析:[單選題]33.根據(jù)Bell-Iapadula模型安全策略，下圖中寫和讀操作正確的是（）A)可讀可寫B(tài))可讀不可寫C)可寫不可讀D)不可讀不可寫答案:D解析:[單選題]34.在信息安全管理體系的實(shí)施過程中，管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是？A)制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B)確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可實(shí)施C)向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D)建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程，確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確答案:D解析:[單選題]35.PHP提供以下哪個(gè)函數(shù)來避免SQL注入（）A)htmlentitiesB)escapeshellargC)mysql_real_escape_stringD)escapeshellcmd答案:C解析:Escapeshellarg-把字符串轉(zhuǎn)碼為可以在shell命令里使用的參數(shù)Htmlentities-將字符轉(zhuǎn)換為HTML轉(zhuǎn)義字符Escapeshellcmd-shell元字符轉(zhuǎn)義Mysql_real_escape_string()函數(shù)轉(zhuǎn)義SQL語句中使用的字符串中的特殊字符。下列字符受影響：\x00\n\r\'"\x1a[單選題]36.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是？A)增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B)依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C)數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D)如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了答案:C解析:[單選題]37.作為單位新上任的CS0,你組織了一次本單位的安全評(píng)估工作以了解單位安全現(xiàn)狀。在漏洞掃描報(bào)告發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對(duì)內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個(gè)漏洞,對(duì)比上一年度的漏洞掃描報(bào)告,發(fā)現(xiàn)這個(gè)已經(jīng)報(bào)告出來,經(jīng)詢問安全管理員得知,這個(gè)業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉,因此無法修復(fù)。對(duì)于這個(gè)問題處理()A)向公司管理層提出此問題,要求立即立項(xiàng)重新開發(fā)此業(yè)務(wù)系統(tǒng),避免單位中存在這樣的安全風(fēng)險(xiǎn)B)既然此問題不是新發(fā)現(xiàn)的問題,之前已經(jīng)存在,因此與自己無關(guān),可以不予理會(huì)C)讓安全管理人員重新評(píng)估此漏洞存在的安全風(fēng)險(xiǎn)并給出進(jìn)一步的防護(hù)措施后再考慮如何處理D)讓安全管理員找出驗(yàn)收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼,自己修改解決這個(gè)漏洞答案:C解析:C項(xiàng)更為合適一些。[單選題]38.?如果一條鏈路發(fā)生故障,那么只有和該鏈路相連的終端才會(huì)受到影響?,這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的?A)星型B)樹型C)環(huán)型D)復(fù)合型答案:A解析:[單選題]39.依據(jù)國家GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是（）A)信息系統(tǒng)安全保障目的B)環(huán)境安全保障目的C)信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D)信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的答案:D解析:GB/T20274信息系統(tǒng)保障評(píng)估框架從管理、技術(shù)、工程和總體方面進(jìn)行評(píng)估[單選題]40.／etc/passwd文件是UNIX／Linux安全的關(guān)鍵是文件之一，該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個(gè)用戶的加密口令數(shù)據(jù)項(xiàng)都是顯示為X，下列選項(xiàng)中，對(duì)此現(xiàn)象的解釋正確的是（）A)黑客竊取的passwd文件是假的B)用戶的登錄口令經(jīng)過不可逆轉(zhuǎn)的加密算法加密結(jié)果為XC)加密口令被轉(zhuǎn)移到了另一個(gè)文件里D)這些賬戶都被禁用了答案:C解析:[單選題]41.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對(duì)人們生產(chǎn)生活造成了嚴(yán)重影響，DDos攻擊的主要目的是破壞系統(tǒng)的（）A)保密性B)可用性C)不可否認(rèn)性D)抗抵賴性答案:B解析:[單選題]42.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是：A)最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B)最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫中的信息C)粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D)按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分答案:C解析:[單選題]43.107.了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（）的關(guān)鍵，對(duì)于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會(huì)工程學(xué)攻擊的概念和攻擊的（）。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來幫助員工了解什么是社會(huì)工程學(xué)攻擊，如何判斷是否存在社會(huì)工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和().因?yàn)槿绻麑?duì)攻擊方式有所了解，那么識(shí)破攻擊者的偽裝就（）。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育，向員工灌輸（），從而降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn).A)社會(huì)工程學(xué)攻擊；越容易；原理；個(gè)人數(shù)據(jù)；安全意識(shí)B)社會(huì)工程學(xué)攻擊；原理；越容易；個(gè)人數(shù)據(jù)；安全意識(shí)C)原理；社會(huì)工程學(xué)攻擊；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)D)社會(huì)工程學(xué)攻擊；原理；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)答案:D解析:[單選題]44.Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是()。A)PP2PB)L2TPC)SSLD)IPSec答案:C解析:[單選題]45.38.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的總要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選項(xiàng)最合適的是：A)通用布纜系統(tǒng)工程B)電子設(shè)備機(jī)房系統(tǒng)工程C)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D)以上都適用答案:D解析:[單選題]46.小王在某web軟件公司工作，她在工作中主要負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)（IIS）軟件進(jìn)行安全配置，這是屬于（）方面的安全工作。A)web服務(wù)支撐軟件B)web應(yīng)用程序C)web瀏覽器D)通信協(xié)議答案:A解析:[單選題]47.OSI模型把網(wǎng)絡(luò)通信工作分為七層,其中IP協(xié)議對(duì)應(yīng)OSI模型中的那一層()A)應(yīng)用層B)傳輸層C)應(yīng)用層D)網(wǎng)絡(luò)層答案:D解析:[單選題]48.某銀行有5臺(tái)交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò)(如圖所示),在基于以太網(wǎng)的通信中,計(jì)算機(jī)A需要與計(jì)算機(jī)B通信,A必須先廣播請(qǐng)求信息;,獲取計(jì)算機(jī)B的物理地址.每到月底時(shí)用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢.銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺(tái)交換機(jī)收到ARP請(qǐng)求后,會(huì)轉(zhuǎn)發(fā)給接收端口以外的其他所有端口,ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機(jī)上.為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi),可以采用的技術(shù)是().A)動(dòng)態(tài)分配地址B)配置虛擬專用網(wǎng)絡(luò)C)VLAN劃分D)為路由交換設(shè)備修改默認(rèn)口令答案:C解析:VLAN劃分可以有效的限制廣播域[單選題]49.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí),下面哪項(xiàng)措施不屬于安全配置()?A)不在Windows下安裝Apache,只在Linux和Unix下安裝B)安裝Apache時(shí),只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行D)積極了解Apache的安全通告,并及時(shí)下載和更新答案:A解析:[單選題]50.測試人員與開發(fā)人員交互測試發(fā)現(xiàn)的過程中,開發(fā)人員最關(guān)注的什么?A)Bug的數(shù)量B)Bug的嚴(yán)重程度C)Bug的復(fù)現(xiàn)過程D)Bug修復(fù)的可行性答案:C解析:[單選題]51.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)，描述正確的是A)隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身B)惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使過程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C)惡意代碼使用隨機(jī)進(jìn)程名是通過生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D)隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱答案:D解析:[單選題]52.96.下列選項(xiàng)中，與面向構(gòu)件提供者的構(gòu)件測試目標(biāo)無關(guān)的是（）.A)檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量B)檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C)盡可能多地揭示構(gòu)件錯(cuò)誤D)驗(yàn)證構(gòu)件的功能、接口、行為和性能答案:A解析:[單選題]53.在國家標(biāo)準(zhǔn)CB/T20274.12000《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分；簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面？（）A)保障要素，生命周期和運(yùn)行維護(hù)B)保障要素，生命周期和安全特征C)規(guī)劃組織，生命周期和安全特征D)規(guī)劃組織，生命周期和運(yùn)行維護(hù)答案:B解析:[單選題]54.62.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù)，動(dòng)態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過防火墻的攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。但入侵檢測技術(shù)不能實(shí)現(xiàn)以下哪種功能（）。A)A．檢測并分析用戶和系統(tǒng)的活動(dòng)B)B．核查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C)C．防止IP地址欺騙D)D．識(shí)別違反安全策略的用戶活動(dòng)答案:C解析:[單選題]55.為了保障系統(tǒng)安全,某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測試,以下關(guān)于滲透測試過程的說法不正確的是:()A)由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn),所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份,以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B)滲透測試從?逆向?的角度出發(fā),測試軟件系統(tǒng)的安全性,其價(jià)值在于可以測試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C)滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟D)為了深入發(fā)掘該系統(tǒng)存在的安全威脅,應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試答案:D解析:[單選題]56.31.20世紀(jì)20年代，德國發(fā)明家亞瑟.謝爾比烏斯（Aunturscherbius）和理查德.里特（RichardRitter）發(fā)明了ENIGMA密碼機(jī)，看密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于（）A)古典階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是推理和證明。常用的密碼運(yùn)算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?（thecommunicationtheoryofsecretsystems)為理論基礎(chǔ)，開始了對(duì)密碼學(xué)的科學(xué)探索。D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合。答案:A解析:[單選題]57.完整性約束指的是為了防止不符合規(guī)范的數(shù)據(jù)進(jìn)入數(shù)據(jù)庫，在用戶對(duì)數(shù)據(jù)進(jìn)行接入、修改、刪除等操作XXX按照一定的約束條件對(duì)數(shù)據(jù)進(jìn)行監(jiān)測，使不符合規(guī)范的數(shù)據(jù)不能進(jìn)入數(shù)據(jù)庫，以確保數(shù)據(jù)庫中存儲(chǔ)XCXX有效、相容，有一個(gè)關(guān)系：學(xué)生（學(xué)號(hào)、姓名、系別），規(guī)定學(xué)號(hào)的數(shù)據(jù)是8個(gè)數(shù)字組成的字符串，這一規(guī)則屬于（）A)實(shí)體完整性約束B)參照完整性約束C)用戶自定義完整性約束D)關(guān)鍵字完整性約束答案:C解析:[單選題]58.9.美國計(jì)算機(jī)協(xié)會(huì)（ACM）宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffic和Wartfield下面哪項(xiàng)工作是他們的貢獻(xiàn)（）。A)發(fā)明并第一個(gè)使用C語言B)第一個(gè)發(fā)表了對(duì)稱密碼算法思想C)第一個(gè)發(fā)表了非對(duì)稱密碼算法思想D)第一個(gè)研制出防火墻答案:C解析:[單選題]59.下面有關(guān)能力成熟度模型的說法錯(cuò)誤的是：A)能力成熟度模型可以分為過程能力方案（C.ONTINUOUS）和組織能力方案（STA.GED.）兩類B)使用過程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或哪些過程域C)使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)于一組已經(jīng)定義好的過程域D)SSE-C.MM是一種屬于組織能力方案（STA.GED.）的針對(duì)系統(tǒng)安全工程的能力成熟度模型答案:A解析:[單選題]60.為保障信息系統(tǒng)安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是（）A)信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來撰寫B(tài))信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫信息安全保障方案的前提和依據(jù)C)信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D)信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求械開編寫答案:A解析:[單選題]61.如圖所示，主體S對(duì)客體01有讀（R）權(quán)限，對(duì)客體02有讀（R）、寫（W）權(quán)限。該圖所示的訪問控制實(shí)現(xiàn)方法是：（）A)訪問控制表（ACL）B)訪問控制矩陣C)能力表（CL）D)前綴表（Profiles）答案:C解析:P307[單選題]62.域名服務(wù)系統(tǒng)（D.NS）的功能是：A)完成域名和IP地址之間的轉(zhuǎn)換B)完成域名和網(wǎng)卡地址之間的轉(zhuǎn)換C)完成主機(jī)名和IP地址之間的轉(zhuǎn)換D)完成域名和電子郵件地址之間的轉(zhuǎn)換答案:A解析:[單選題]63.微軟提出了STRIDE模型，其中R是Repudiation（抵賴）的縮寫，關(guān)于此項(xiàng)安全要求下面描述錯(cuò)誤的是？A)某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱?我沒有下載過數(shù)據(jù)?軟件系統(tǒng)中的這種威脅就屬于R威脅B)解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C)R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高D)解決R威脅，也應(yīng)按照確定建模對(duì)象，識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來進(jìn)行答案:C解析:[單選題]64.入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是用于發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略行為的設(shè)備，在入侵檢測中有這樣的一種方法，任何的正常行為都是有一定的規(guī)律的并且可以通過分析這些行為產(chǎn)生的日志信息（假定日志信息足夠安全）總結(jié)出這些規(guī)律，而入侵和濫用行為則通常和正常的行為存在嚴(yán)重的差異，通過檢查這些差異就可以檢測這些入侵，請(qǐng)問該入侵檢測方法為（）A)基于異常的入侵檢測B)基于誤用的入侵檢測C)基于自治代理技術(shù)D)自適應(yīng)模型生成特性的入侵檢測答案:A解析:[單選題]65.有關(guān)KerBeros說法下列哪項(xiàng)是正確的?A)它利用公鑰加密技術(shù)。B)它依靠對(duì)稱密碼技術(shù)。C)它是第二方的認(rèn)證系統(tǒng)。D)票據(jù)授予之后將加密數(shù)據(jù),但以明文方式交換密碼答案:B解析:[單選題]66.以下關(guān)于VPN說法正確的是()A)VPN指的是用戶自己租用線路,和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B)VPN不能做到信息認(rèn)證和身份認(rèn)證C)VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D)VPN只能提供身份認(rèn)證,不能提供數(shù)據(jù)加密傳輸?shù)墓δ艽鸢?C解析:VPN和公共網(wǎng)絡(luò)是邏輯隔離的關(guān)系,可以進(jìn)行信息認(rèn)證,身份認(rèn)證,數(shù)據(jù)加密(例如:IPsecVPN),[單選題]67.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？A)結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的?保戶輪廓?和?安全目標(biāo)?中進(jìn)一步細(xì)化和擴(kuò)展B)表達(dá)方式的通用性，即給出通用的表達(dá)表示C)獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D)實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評(píng)估過程中答案:C解析:[單選題]68.由于ICMP消息沒有目的端口和源端口，而只有消息類型代碼。通常過濾系統(tǒng)基于（）來過濾ICMP數(shù)據(jù)包。A)狀態(tài)B)消息類型C)IP地址D)端口答案:B解析:[單選題]69.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的通用實(shí)施(GenericPractices,GP),錯(cuò)誤的理解是()。A)在工程實(shí)施時(shí),GP應(yīng)該作為基本實(shí)施(BasePractices,BP)的一部分加以執(zhí)行B)GP適用于域維中部分過程區(qū)域(ProcessAreas,PA)的活動(dòng)而非所有PA的活動(dòng)C)在評(píng)估時(shí),GP用于判定工程組織執(zhí)行某個(gè)PA的能力D)GP是涉及過程的管理、測量和制度化方面的活動(dòng)答案:B解析:通用實(shí)施(GenericPractices,GP),又被稱之為?公共特征?的邏輯域組成。通用實(shí)施可應(yīng)用到每一個(gè)過程區(qū),但第一個(gè)公共特征?執(zhí)行基本實(shí)施?例外。[單選題]70.某公司一名員工在瀏覽網(wǎng)頁時(shí)電腦遭到攻擊，同公司的技術(shù)顧問立即判斷這是跨站腳本引起的，并告訴該員工跨站腳本分為三種類型，該員工在這三種類型中又添一種，打算考考公司的小張，你能找到該員工新增的錯(cuò)誤答案嗎？A)反射型XSSB)存儲(chǔ)型XSSC)基于INTEL的XSSD)基于DOM的XSS答案:C解析:[單選題]71.信息安全管理體系是()按照信息安全管理體系()要求,制定信息安全管理(),采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全()、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的()。信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的。A)組織機(jī)構(gòu)單位;方針和策略;相關(guān)標(biāo)準(zhǔn);管理計(jì)劃;工作體系B)組織機(jī)構(gòu)單位:相關(guān)標(biāo)準(zhǔn);方針和策略:管理計(jì)劃,工作體系C)組織機(jī)構(gòu)單位;相關(guān)標(biāo)準(zhǔn);工作體系;管理計(jì)劃;方針和策略D)組織機(jī)構(gòu)單位;工作體系;相關(guān)標(biāo)準(zhǔn);方針和策略;管理計(jì)劃答案:B解析:[單選題]72.以下哪項(xiàng)是ISMS文件的作用?A)是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部?法規(guī)?--使工作有章可循。B)是控制措施(Controls)的重要部分C)提供客觀證據(jù)--為滿足相關(guān)方要求,以及持續(xù)改進(jìn)提供依據(jù)D)以上所有答案:D解析:[單選題]73.Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來表示,對(duì)于文件名為test的一個(gè)文件,屬于admin組中user用戶,以下哪個(gè)是該文件正確的模式表示?A)-rwxr-xr-x3useradmin1024Sep1311:58testB)drwxr-xr-x3useradmin1024Sep1311:58testC)-rwxr-xr-x3adminuser1024Sep1311:58testD)drwxr-xr-x3adminuser1024Sep1311:58test答案:A解析:題目考核的是linux系統(tǒng)的權(quán)限表達(dá)格式。[單選題]74.國家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí),以下哪項(xiàng)屬于絕密級(jí)的描述()A)能夠局部反應(yīng)國家防御和治安實(shí)力的B)我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華,并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝C)處于國際先進(jìn)水平,并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的D)國際領(lǐng)先,并且對(duì)國防建設(shè)或者經(jīng)濟(jì)建設(shè)有特別重大影響的答案:D解析:重在?特別重大影響?。[單選題]75.從系統(tǒng)結(jié)構(gòu)上來看，入侵檢測系統(tǒng)可以不包括____。A)A數(shù)據(jù)源B)B分析引擎C)C審計(jì)D)D響應(yīng)答案:C解析:[單選題]76.下面技術(shù)中不能防止網(wǎng)絡(luò)釣魚攻擊的是?A)在主頁的底部設(shè)有一個(gè)明顯鏈接，以提醒用戶注意有關(guān)電子郵件詐騙的問、B)利用數(shù)字證書(如USBKEY)進(jìn)行登錄C)根據(jù)互聯(lián)網(wǎng)內(nèi)容分級(jí)聯(lián)盟(ICRA)提供的內(nèi)容分級(jí)標(biāo)準(zhǔn)對(duì)網(wǎng)站內(nèi)容進(jìn)行分級(jí)D)安裝殺毒軟件和防火墻、及時(shí)升級(jí)、打補(bǔ)丁、加強(qiáng)員工安全意識(shí)答案:C解析:[單選題]77.Linux/Unix關(guān)鍵的日志文件設(shè)置的權(quán)限應(yīng)該為A)-rw-r--r-B)-rwC)-rw-rw-rw-D)-r答案:B解析:[單選題]78.如果想用winD.ows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個(gè)服務(wù)：A)D.HC.PB)NFSC)SA.MB.A.D)SSH答案:C解析:[單選題]79.Redis數(shù)據(jù)庫的默認(rèn)端口是哪個(gè)A)3306B)1433C)1521D)6379答案:D解析:[單選題]80.Weblogic的默認(rèn)web端?是什么A)7001B)7002C)7000D)7080答案:A解析:[單選題]81.419.信息是流動(dòng)的,在信息的流動(dòng)過程中必須能夠識(shí)別所有可能途徑的()與();而對(duì)于信息本身而言,信息的敏感性的定義是對(duì)信息保護(hù)的()和(),信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了()的效果,不同的載體下,可能體現(xiàn)出信息的()、臨時(shí)性和信息的交互場景,這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測。A)基礎(chǔ)、依據(jù)、載體、環(huán)境、永久性、風(fēng)險(xiǎn)管理B)基礎(chǔ)、依據(jù)、載體、環(huán)境、風(fēng)險(xiǎn)管理、永久性C)載體、環(huán)境、風(fēng)險(xiǎn)管理、永久性、基礎(chǔ)、依據(jù)D)載體、環(huán)境、基礎(chǔ)、依據(jù)、風(fēng)險(xiǎn)管理、永久性答案:D解析:[單選題]82.以下對(duì)系統(tǒng)日志信息的操作中哪項(xiàng)是最不應(yīng)當(dāng)發(fā)生的？A)對(duì)日志內(nèi)容進(jìn)行編輯B)只抽取部分條目進(jìn)行保存和查看C)用新的日志覆蓋舊的日志D)使用專用工具對(duì)日志進(jìn)行分析答案:A解析:[單選題]83.在一個(gè)中斷和災(zāi)難事件中,以下哪一項(xiàng)提供了持續(xù)運(yùn)營的技術(shù)手段?A)負(fù)載平衡B)硬件冗余C)分布式備份D)高可用性處理答案:B解析:[單選題]84.當(dāng)您收到您認(rèn)識(shí)的人發(fā)來的電子郵件并發(fā)現(xiàn)其中有意外附件，您應(yīng)該____。A)A打開附件，然后將它保存到硬盤B)B打開附件，但是如果它有病毒，立即關(guān)閉它C)C用防病毒軟件掃描以后再打開附件D)D直接刪除該郵件答案:C解析:[單選題]85.在OSI模型中，主要針對(duì)遠(yuǎn)程終端訪問，任務(wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等以下是哪一層？A)應(yīng)用層B)物理層C)會(huì)話層D)網(wǎng)絡(luò)層答案:C解析:[單選題]86.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)后,繪制了一張簡化的信息系統(tǒng)安全保障模型圖,如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)()A)安全保障(方針和組織)B)安全防護(hù)(技術(shù)和管理)C)深度防御(策略、防護(hù)、檢測、響應(yīng))D)保障要素(管理、工程、技術(shù)、人員)答案:D解析:[單選題]87.45.在工程實(shí)施階段，以下哪一項(xiàng)不屬于監(jiān)理機(jī)構(gòu)的監(jiān)理重點(diǎn)：A)督促承建單位嚴(yán)格按照經(jīng)審批的實(shí)施方案進(jìn)行施工B)審查承建單位施工人員的身份與資格C)部署工程實(shí)施人員安全管理措施D)督促承建單位嚴(yán)格遵守業(yè)主單位相關(guān)安全管理規(guī)定答案:C解析:[單選題]88.網(wǎng)絡(luò)交易發(fā)達(dá)的今天,貿(mào)易雙方可以通過簽署電子合同來保障自己的合法權(quán)益。某中心推出電子簽名服務(wù),按照如圖方式提供電子簽名