國家注冊信息安全專業(yè)人員CISP考前模擬練習(xí)題庫（濃縮300題）

PAGEPAGE1國家注冊信息安全專業(yè)人員CISP考前模擬練習(xí)題庫（濃縮300題）一、單選題1.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略,針對每個(gè)用戶指明能夠訪問的資源,對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種:A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制答案：C2.以下關(guān)于信息安全工程說法正確的是A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B、信息化建設(shè)可以先實(shí)施系統(tǒng),而后對系統(tǒng)進(jìn)行安全加固C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全,在建設(shè)階段要同步實(shí)施信息安全建設(shè)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)答案：C3.()第二十三條規(guī)定存儲(chǔ)、處理國家秘密的就計(jì)算機(jī)信息系統(tǒng)(以下簡稱泄密信息系統(tǒng))按照()實(shí)行分級(jí)保護(hù)。()應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)()后,方可投入使用。A、《保密法》:涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B、《國家保密法》涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格C、《網(wǎng)絡(luò)保密法》;涉密系統(tǒng);查合格D、《安全保密法》;涉密信息系施;檢查合格答案：A4.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中,風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施。請問該措施屬于哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受答案：B5.隨著金融電子化的發(fā)展,全球金融通信網(wǎng)絡(luò)已出具規(guī)模。某金融單位組建的計(jì)算機(jī)通信網(wǎng)絡(luò)覆蓋全國,有力的促進(jìn)了該企業(yè)各種金融業(yè)務(wù)的發(fā)展。然而網(wǎng)絡(luò)技術(shù)的普及、網(wǎng)絡(luò)規(guī)模規(guī)模的延伸,開始逐步讓該企業(yè)對網(wǎng)絡(luò)安全提出了更高的要求。為了進(jìn)一步促進(jìn)金融電子化的建設(shè),保障金融網(wǎng)絡(luò)安全運(yùn)行,該企業(yè)經(jīng)過前期充分的調(diào)研分析與論證,實(shí)施了防火墻/VPN系統(tǒng)建設(shè)項(xiàng)目。防火墻不能實(shí)現(xiàn)的安全功能是()。A、對出入網(wǎng)絡(luò)的訪問行為進(jìn)行管理和控制B、過濾出入網(wǎng)絡(luò)的數(shù)據(jù),強(qiáng)化安全策略C、隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)D、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)完整性,識(shí)別已知的攻擊行為答案：D6.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后,決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小。假設(shè)單位機(jī)房的總價(jià)格為200萬元人民幣,暴漏系數(shù)(FoposureFactor.EF)是25%,年度發(fā)生率annualizdrateof0ccurrence,ARO)為0.1,那么小王計(jì)算的年度預(yù)期損失AnnualizedLossExpectancy,AE)應(yīng)該是(),A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣答案：A7.即使最好用的安全產(chǎn)品也存在(),結(jié)果,在任何的系統(tǒng)中敵手最終都能夠找到一個(gè)被開發(fā)出的漏洞,一種有效的對策是在敵手和它的目標(biāo)之間配備多種()每一種機(jī)制都應(yīng)包括()兩種手段。A、安全機(jī)制;安全缺陷;保護(hù)和檢測B、安全缺陷;安全機(jī)制;保護(hù)和檢測C、安全缺陷;保護(hù)和檢測;安全機(jī)制D、安全缺陷;安全機(jī)制;外邊和內(nèi)部答案：B8.關(guān)于信息安全管理體系(InForm,ISMS),下面描述錯(cuò)誤的是()。A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系,組織架構(gòu),方針、高效、職責(zé)及相關(guān)實(shí)踐要素B、管理體系()是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架,信息安全管理體系是管理體系和C、概念上,信息安全管理體系有廣義和俠義之分,俠義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系,它是一個(gè)組織管理體系的組成部分D、其的管理體系一樣,信息安全管理體系也要建立信息安全管理組織機(jī)構(gòu)、健全信息安全管理制度、構(gòu)建信息或全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容答案：D9.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)面來完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后,嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作,其中不合理的是()A、編輯文件/etc/passwd.檢查文件中用戶ID,禁用所有ID=O的用戶B、編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為noC、編輯文件/etc/pam.d/system-auth,設(shè)置authrequiredpam_tally.soo.nerr=faildeny=6unlock_time=300D、編輯文件/etc/profile,設(shè)置TMOUT=600答案：A10.小陳某電器城購買了一臺(tái)冰箱,并留下了個(gè)人姓名、電話和電子郵件地址等信息,第二天他收了一封郵件他中獎(jiǎng)的郵件,查看該郵件后他按照提示操作繳納中獎(jiǎng)稅款后并沒有得到中獎(jiǎng)金,再成才得知電器城共沒有中獎(jiǎng)的活動(dòng)、在此案例中,下面描述量誤的是()A、小陳應(yīng)當(dāng)注意保護(hù)自已的隱私,沒有必要告訴別人的信息不要登記和公和給別人B、小陳錢被偷走了,這類網(wǎng)絡(luò)犯罪哪案件也應(yīng)該向公安局報(bào)案C、郵件服務(wù)運(yùn)營高商通過技術(shù)手段,可以在一定程度上阻止此類的釣魚郵件和明哄騙郵件D、小陳應(yīng)當(dāng)向電器城索,追回?fù)p失答案：D11.在國家標(biāo)準(zhǔn)CB/T20274.12000《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分;簡介和一般模型》中,信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?()A、保障要素,生命周期和運(yùn)行維護(hù)B、保障要素,生命周期和安全特征C、規(guī)劃組織,生命周期和安全特征D、規(guī)劃組織,生命周期和運(yùn)行維護(hù)答案：B12.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B13.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,項(xiàng)目分二期,一期目標(biāo)為年底前實(shí)現(xiàn)系統(tǒng)上線運(yùn)營;二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理;招標(biāo)文件經(jīng)管理層審批后發(fā)布。就此工程項(xiàng)目而言,下列選項(xiàng)正確的是:A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C14.2003年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個(gè)文件,從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國發(fā)布的文件()A、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))B、《國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》(國令[2008]54號(hào))C、《國家信息安全戰(zhàn)略報(bào)告》(國信[2005]2號(hào))D、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)[2012]23號(hào))答案：B15.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo),主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn),一次培訓(xùn)的時(shí)候,小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng):A、風(fēng)險(xiǎn)評(píng)估方法包括:定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例,因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值因此更具有客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值方式,實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化答案：B16.根據(jù)Bell-LaPadula模型安全策略,下圖中寫和讀操作正確的是()A、可寫可讀B、可讀不可寫C、可寫不可讀D、不可讀不可寫答案：D17.某個(gè)新成立的互聯(lián)網(wǎng)金融公司擁有10個(gè)與互聯(lián)網(wǎng)直接連接的IP地址,但是該網(wǎng)絡(luò)內(nèi)有15臺(tái)個(gè)人計(jì)算機(jī),這些個(gè)人計(jì)算機(jī)不會(huì)同時(shí)開機(jī)并連接互聯(lián)網(wǎng)。為解決公司員工的上網(wǎng)問題,公司決定將這十個(gè)互聯(lián)網(wǎng)地址集中起來使用,當(dāng)任意一臺(tái)個(gè)人計(jì)算機(jī)開機(jī)并連接網(wǎng)路時(shí),管理中心從這10個(gè)地址中任意取出一個(gè)尚未分配的IP地址分配給這個(gè)人的計(jì)算機(jī)。他關(guān)機(jī)時(shí),管理中心將該地址收回,并重新設(shè)置為未分配?？梢?只要同時(shí)打開的個(gè)人計(jì)算機(jī)數(shù)量少于或等于可供分配的IP地址,那么,每臺(tái)個(gè)人計(jì)算機(jī)可以獲取一個(gè)IP地址,并實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。該公司使用的IP地址規(guī)劃方式是()A、靜態(tài)分配地址B、動(dòng)態(tài)分配地址C、靜態(tài)NAT分配地址D、端口NAT分配地址答案：B18.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造,以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國家以及金融行業(yè)安全標(biāo)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略答案：C19.ApacheHTTPServer(簡稱Apache)是一個(gè)開放源碼的Web服務(wù)運(yùn)行平臺(tái),在使用過程中,該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)采取以下哪種措施()A、不選擇Windows平臺(tái),應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后,修改配置文件http.conf中的有關(guān)參數(shù)C、安裝后,刪除ApscheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApecheHTTPServer,并安裝使用答案：B20.某網(wǎng)站為了開發(fā)的便利,使用SA連接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞,導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程xp_cmdshell刪除了系統(tǒng)中一個(gè)重要文件,在進(jìn)行問題分析時(shí),作為安全專家,你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則:A、權(quán)限分離原則B、最小特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則答案：B21.一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個(gè)選項(xiàng)決定的()A、加密算法B、解密算法C、加密和解密算法D、A密鑰答案：D22.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段,為了保證用戶帳戶安全,項(xiàng)目開發(fā)人員決定用戶登錄時(shí)除了用戶名口令認(rèn)證方式外,還加入基于數(shù)字證書的身份認(rèn)證功能,同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫中,請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則:A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則答案：C23.以下關(guān)于模糊測試過程的說法正確的是:A、模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)。B、為保障安全測試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試。C、通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞。如果是安全漏洞,，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議。D、對于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告。答案：C24.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后,認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行,比起簡單地實(shí)施信息安全管理,有更大的作用,他總結(jié)了四個(gè)方面的作用,其中總結(jié)錯(cuò)誤的是()A、可以建立起文檔化的信息安全管理規(guī)范,實(shí)現(xiàn)有“法”可依,有章可循,有據(jù)可查B、可以強(qiáng)化員工的信息安全意識(shí),建立良好的安全作業(yè)習(xí)慣,培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺(tái)和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理,提高安全防護(hù)效果,使組織通過國際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證答案：D25.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后,認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo),其中描述錯(cuò)誤的是()A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程;也可在自評(píng)估的基礎(chǔ)上,對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門組織,也可以由本級(jí)單位發(fā)起,其重點(diǎn)是針對存在的問題進(jìn)行檢查和評(píng)測C、檢查評(píng)估可以由上級(jí)管理部門組織,并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過行政手段加強(qiáng)信息安全管理的重要措施,具有強(qiáng)制性的特點(diǎn)答案：B26.隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來越突出,而與此同時(shí),發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源,下面描述正確的是()A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要,同時(shí)自身在開發(fā)、部署和使用過程中存在的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者信息系統(tǒng)應(yīng)用越來越廣泛,接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析,因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性,同時(shí)外部又有威脅源,從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風(fēng)險(xiǎn),需從內(nèi)外因同時(shí)著手D、信息安全問題的根本原因是內(nèi)因、外因和人三個(gè)因素的綜合作用,內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此,對人這個(gè)因素的防范應(yīng)是安全工作重點(diǎn)答案：C27.你是單位的安全主管,由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁,安全運(yùn)維人員給出了針對此漏洞修補(bǔ)的四個(gè)建議方案,請選擇其中一個(gè)最優(yōu)方案執(zhí)行()A、由于本次發(fā)布的漏洞都屬于高危漏洞,為了避免安全風(fēng)險(xiǎn),應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會(huì)對系統(tǒng)產(chǎn)生實(shí)質(zhì)性的危害,所以可以先不做處理C、對于重要任務(wù),應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再正式生產(chǎn)環(huán)境中部署D、對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這些補(bǔ)丁,用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù),由終端自行升級(jí)答案：C28.對系統(tǒng)工程(SystemsEngineering,SE)的理解,以下錯(cuò)誤的是:A、系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn),而是一種方法論C、系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法答案：C29.SO9001-2000標(biāo)準(zhǔn)鼓勵(lì)在制定、實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)對采用的過程方法,通過滿足顧客要求,增進(jìn)顧客滿意,下圖是關(guān)于過程方法示意圖,空白處應(yīng)填寫()A、策略B、管理者C、組織D、活動(dòng)答案：D30.分組密碼算法是一類十分重要的密碼算法,下面描述中,錯(cuò)誤的是()A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計(jì)算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法答案：C31.信息安全等級(jí)保護(hù)分級(jí)要求,第三極適用正確的是:A、適用于一般的信息和信息系統(tǒng),其受到破壞后,會(huì)對公民、法人和其他組織的權(quán)益有一定影響,但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害C、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后,會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害D、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害答案：B32.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù),它是識(shí)別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正常使用,從而檢測出入侵行為。下面說法錯(cuò)誤的是()A、在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測,是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手段向管理員報(bào)警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為答案：B33.下面對國家秘密定級(jí)和范圍的描述中,哪項(xiàng)不符合《保守國家秘密法》要求:A、國家秘密及其密級(jí)的具體范圍,由國家保密工作部門分別會(huì)同外交、公安、國家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定B、各級(jí)國家機(jī)關(guān)、單位對所產(chǎn)生的國家秘密事項(xiàng),應(yīng)當(dāng)按照國家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)C、對是否屬于國家機(jī)密和屬于何種密級(jí)不明確的事項(xiàng),可由各單位自行參考國家要求確定和定級(jí),然后報(bào)國家保密工作部門確定D、對是否屬于國家秘密和屬于何種密級(jí)不明確的事項(xiàng)。由國家保密工作部門,省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機(jī)關(guān)確定。答案：C34.安全管理體系,國際上有標(biāo)準(zhǔn)(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請問,這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是()A、IDT(等同采用),此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn),僅有或沒有編輯性修改B、EQV(等效采用),此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn),技術(shù)上只有很小差異C、AEQ(等效采用),此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系,兩者之間版本不同,不應(yīng)直接比較答案：D35.有關(guān)能力成熟度模型(),錯(cuò)誤的理解是:A、CMM基本思想是,因?yàn)閱栴}是由技術(shù)落后引起的所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量.生產(chǎn)率和利潤率B、CMM的思想來源于項(xiàng)目管理和質(zhì)量管理C、MM是一種衡量工程實(shí)施能力的方法,是一種面向工程過程的方法D、CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的,它基于這樣一個(gè)假設(shè),即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品"答案：A36.在信息安全保障工作中,人才是非常重要的因素,近年來,我國一直高度重視我國信息安全人才隊(duì)伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中,錯(cuò)誤的是()A、在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》仲辦發(fā)[2003]27號(hào))中,針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng),增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神B、2015年,為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),經(jīng)報(bào)國務(wù)院學(xué)位委員會(huì)批準(zhǔn),國務(wù)院學(xué)位委員會(huì)、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科,這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)模化、系統(tǒng)化培養(yǎng)起到積極的推動(dòng)作用C、經(jīng)過十余年的發(fā)展,我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多,基本能同社會(huì)實(shí)際需求相匹配;同時(shí),高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識(shí)更全面,因而社會(huì)化培養(yǎng)應(yīng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學(xué)教育外,我國信息安全人才非學(xué)歷教育已基本形成了以各種認(rèn)證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系,包括“注冊信息安全專業(yè)人員(CISP)”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證答案：C37.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別,下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議,而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的答案：D38.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能,下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能:A、治理,主要是管理軟件開發(fā)的過程和活動(dòng)B、構(gòu)造,主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C、驗(yàn)證,主要是測試和驗(yàn)證軟件的過程與活動(dòng)D、購置,主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)答案：D39.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件,出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況,經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮,在瀏覽時(shí)時(shí)使用Http協(xié)議,攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改。利用此漏洞,攻擊者將價(jià)值1000元的商品以1元添加到購物車中,而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié),導(dǎo)致以上問題。對于網(wǎng)站的這個(gè)問題原因分析及解決措施,最正確的說法應(yīng)該是?A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的,為了避免再發(fā)生類似的問題,應(yīng)對全網(wǎng)站進(jìn)行安全改造,所有的訪問都強(qiáng)制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位,沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷,通過對網(wǎng)站進(jìn)行修改,在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題,應(yīng)報(bào)警要求尋求警察介入,嚴(yán)懲攻擊者即可答案：A40.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制,他們具有不同的特點(diǎn)和應(yīng)用場景。如果需要選擇一個(gè)訪問控制方法,要求能夠支持最小特權(quán)原則和職責(zé)分離原則,而且在不同的系統(tǒng)配置下可以具有不同的安全控制,那么在下列選項(xiàng)中,能夠滿足以上要求的選項(xiàng)是()。A、自主訪問控制B、強(qiáng)制訪問控制C、基于角色的訪問控制D、以上選項(xiàng)都可以答案：C41.某集團(tuán)公司更具業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,將集團(tuán)總部要求前置機(jī)開放日志由總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略,會(huì)帶來一定的安全問題,但不能響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志,對日志共享設(shè)置訪問密碼且限定訪問的時(shí)間答案：D42.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制,資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù),通常采取以下哪項(xiàng)控制措施()A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類指南、信息的標(biāo)記和處理答案：D43.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí),需要對資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值,關(guān)于資產(chǎn)價(jià)值的評(píng)估,以下選項(xiàng)中正確的是()A、資產(chǎn)的價(jià)值指采購費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無法估計(jì)答案：C44.在PDR模型的基礎(chǔ)上發(fā)展成為(Policy-Protection-Detection-Response,PPDR)模型,即策略-防護(hù)-檢-測響應(yīng)。模型的核心是:所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實(shí)施的。在PPDR模型中,策略指的是信息系統(tǒng)的安全策略,包括訪問控制策略、加密通信策略、身份認(rèn)證策略、備份恢復(fù)策略等。策略體系的建立包括安全策略的制定、()等;防護(hù)指的是通過部署和采用安全技術(shù)來提高網(wǎng)絡(luò)的防護(hù)能力,如()、防火墻、入侵檢測、加密技術(shù)、身份認(rèn)證等技術(shù);檢測指的是利用信息安全檢測工具,監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活動(dòng),了解判斷網(wǎng)絡(luò)系統(tǒng)的()。檢測這一環(huán)節(jié),使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御,是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)。主要方法包括:實(shí)時(shí)監(jiān)控、檢測、報(bào)警等;響應(yīng)指的是在檢測到安全漏洞和安全事件時(shí),通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的()調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài),包括飲復(fù)系統(tǒng)功能和數(shù)據(jù),啟動(dòng)備份系統(tǒng)等。其主要方法包括:關(guān)閉服務(wù)、跟蹤、反擊、消除影響等A、評(píng)估與執(zhí)行;訪問控制;安全狀態(tài);安全性B、評(píng)估與執(zhí)行;安全狀態(tài);訪問控制;安全性C、訪問控制;評(píng)估與執(zhí)行;安全狀態(tài);安全性D、安全狀態(tài);評(píng)估與執(zhí)行;訪問控制;安全性答案：A45./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID(UID)、默認(rèn)的用戶分組ID(GID)、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后,發(fā)現(xiàn)每個(gè)用戶的加密的口令數(shù)據(jù)項(xiàng)都顯示為'x'。下列選項(xiàng)中,對此現(xiàn)象的解釋正確的是()A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為'X'C、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶都被禁用了答案：C46.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性,但也有其局限性,下列說法錯(cuò)誤的是()。A、對用戶知識(shí)要求高、配置、操作和管理使用過于簡單,容易遭到攻擊B、入侵檢測系統(tǒng)會(huì)產(chǎn)生大量的警告消息和可疑的入侵行為記錄,用戶處理負(fù)擔(dān)很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時(shí),對其他數(shù)據(jù)的檢測可能會(huì)被抑制或者受到影響D、警告消息記錄如果不完整,可能無法與入侵行為關(guān)聯(lián)答案：A47.下面對“零日(zero-day)漏洞”的理解中,正確的是()A、指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來的一種漏洞,該漏洞被“震網(wǎng)”病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞,即特別好被被利用,一旦成功利用該漏洞,可以在1天內(nèi)完成攻擊,且成功達(dá)到攻擊目標(biāo)D、指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說,那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案：D48.在信息系統(tǒng)中,訪問控制是重要的安全功能之一,它的任務(wù)是在用)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)限進(jìn)行管理,防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類,通過對主體身份的識(shí)別來限制其對客體的訪問權(quán)限。下列選項(xiàng)中,對主體、客體和訪問權(quán)限的描述中錯(cuò)誤的是()A、對文件進(jìn)行操作的用戶是一種主體B、主體可以接收客體的信息和數(shù)也可能改變客體相關(guān)的信息C、訪問權(quán)限是指主體對客體所允許的操作D、對目錄的訪問權(quán)限可分為讀、寫答案：D49.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()A、在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解協(xié)議,且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人D、密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求,其目的是提供安全服務(wù)答案：A50.信息系統(tǒng)建設(shè)完成后,()的信息系統(tǒng)的運(yùn)營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)合格后方可投入使用。A、二級(jí)以上B、三級(jí)以上C、四級(jí)以上D、五級(jí)以上答案：A51.某單位開發(fā)了個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測評(píng)機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線前,項(xiàng)目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)等運(yùn)行維護(hù)所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效更高C、滲透測試使用人工進(jìn)行測試,不依賴軟件,因此測試更準(zhǔn)洞更多酒滲透測試中必須要查D、滲透測試必須查看看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多答案：A52.目前,信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅,從威脅能力和掌握資源分,這些威脅可以按照個(gè)人威脅、組織威脅和國家威脅三個(gè)層面劃分,則下面選項(xiàng)中屬于組織威脅的是()A、喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C、搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)D、鞏固戰(zhàn)略優(yōu)勢,執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)答案：B53.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生,大四上學(xué)期開始找工作,期望謀求一份技術(shù)管理的職位。一次面試中,某公司的技術(shù)經(jīng)理讓小王讀一讀信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識(shí)。小明的主要觀點(diǎn)包括:(1)背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象,以及對象的特性和安全要求,完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備(2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行,雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果;(3)背景建立包括:風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析;(4)背景建立的階段性成果包括:風(fēng)險(xiǎn)管理計(jì)劃書、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告。請問小王的論點(diǎn)中錯(cuò)誤的是哪項(xiàng):A、第一個(gè)觀點(diǎn),背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象B、第二個(gè)觀點(diǎn),背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C、第三個(gè)觀點(diǎn),背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字D、第四個(gè)觀點(diǎn),背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書答案：B54.關(guān)于密鑰管理,下列說法錯(cuò)誤的是:A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密,而應(yīng)基于密鑰的安全性B、保密通信過程中,通信方使用之前用過的會(huì)話鑰建立會(huì)話,不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新撤銷等生命周期過程的每一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信過程中通信雙方可利用diffie-hellman協(xié)議商出會(huì)話密鑰答案：B55.某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過了威脅建模和攻擊面分析,在開發(fā)時(shí)要求程序員編寫安全的代碼,但是在部署時(shí)由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份,為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題,以下哪種測試方式是最佳的測試方式:A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試答案：C56.部署瓦聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetProtocolSecurityVirtualPrivateNotwork,IPsecVPN)時(shí),以下說法正確的是()A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí),需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段,來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeadr,AH)可以提供答案：C57.以下關(guān)于Web傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問題說法不正確的是()A、HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗(yàn)證和缺乏狀態(tài)跟蹤等方面的安全問題;B、HTTP協(xié)議缺乏有效的安全機(jī)制,易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊C、ookie是為了?別用戶身份,進(jìn)行會(huì)話跟蹤而存儲(chǔ)在用戶本地終端上的數(shù)據(jù),用戶可以隨意查看存儲(chǔ)在Cookie中的數(shù)據(jù),但其中的內(nèi)容不能被修改D、??HTTP協(xié)議存在的安全問題,使用HTTPS具有較高的安全性,可以通過證書來驗(yàn)證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密答案：C58.分布式拒絕服務(wù)(DistributedDenialofService,DDoS)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。一般來說,DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的()A、保密性B、完整性C、可用性D、真實(shí)性答案：C59.在某信息系統(tǒng)的設(shè)計(jì)中,用戶登錄過程是這樣的(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確,則鑒別完成?？梢钥闯?這個(gè)鑒別過程屬于()。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A60.我國等級(jí)保護(hù)政策發(fā)展的正確順序是()①等級(jí)保護(hù)相關(guān)政策文件頒布②計(jì)算機(jī)系統(tǒng)安全保護(hù)等級(jí)劃分思想提出③等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)發(fā)布④網(wǎng)絡(luò)安全法將等級(jí)保護(hù)制度作為基本策⑤等級(jí)保護(hù)工作試點(diǎn)A、①②③④⑤B、②③①⑤④C、②⑤①③④D、①②④③⑤答案：C61.TCP/IP協(xié)議族是為實(shí)現(xiàn)異構(gòu)網(wǎng)互聯(lián)推出的協(xié)議規(guī)范,具有較好的開放性,internet是在TCP/TP協(xié)議族的基礎(chǔ)上構(gòu)建的。但由于TCP/IP協(xié)議族在設(shè)計(jì)初期過于關(guān)注其開放性和便利性,對安全性考慮較少,因此其中很多協(xié)議存在安全隱患,例如,攻擊者可以利用TCP協(xié)議的三次握手機(jī)制實(shí)現(xiàn)DS攻擊,也可以通過猜測TCP會(huì)話中的序號(hào)來偽造數(shù)據(jù)包那么上述例子中的情況可能發(fā)生在()A、應(yīng)用層B、傳輸層C、網(wǎng)絡(luò)層D、鏈路層答案：B62.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù),動(dòng)態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為,會(huì)及時(shí)響應(yīng)并通知防火墻實(shí)時(shí)阻斷攻擊源,從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力,更有效地保護(hù)了網(wǎng)絡(luò)資源,提高了防御體系級(jí)別。但入侵檢測技術(shù)不能實(shí)現(xiàn)以下哪種功能()。A、檢測并分析用戶和系統(tǒng)的活動(dòng)B、核查系統(tǒng)的配置漏洞,評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識(shí)別違反安全策略的用戶活動(dòng)答案：C63.Windows文件系統(tǒng)權(quán)限管理訪問控制列表(AccessControlList,ACL)機(jī)制,以下哪個(gè)說法是錯(cuò)誤的:A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS,因?yàn)閃indows的ACL機(jī)制需要N.TFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限,為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中,文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性,在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立用戶的權(quán)限答案：C64.有關(guān)系統(tǒng)共程的特點(diǎn),以下錯(cuò)誤的是()A、系統(tǒng)工程研究問題一般采用先決定整體框架,后進(jìn)入詳細(xì)設(shè)計(jì)的程序B、系統(tǒng)工程的基本特點(diǎn),是需要把研究對象結(jié)構(gòu)為多個(gè)組織部分分別獨(dú)立研究C、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作,根據(jù)研究問題涉及到的學(xué)科和專業(yè)范圍,組成一個(gè)知識(shí)結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo),采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法答案：B65.在風(fēng)險(xiǎn)管理中,殘余風(fēng)險(xiǎn)是指在實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn),關(guān)于殘余風(fēng)險(xiǎn),下面描述錯(cuò)誤的是()A、風(fēng)險(xiǎn)處理措施確定以后,應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單,并獲得管理層對殘余風(fēng)險(xiǎn)的書面批準(zhǔn),這也是風(fēng)險(xiǎn)管理中的一個(gè)重要過程B、管理層確認(rèn)接受殘余風(fēng)險(xiǎn),是對風(fēng)險(xiǎn)評(píng)估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn),并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后,組織能夠且必須承擔(dān)引發(fā)的后果C、接受殘余風(fēng)險(xiǎn),則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制地提高安全保護(hù)措施的強(qiáng)度,對安全保護(hù)措施的選擇要考慮到成本和技術(shù)的等因素的限制D、如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級(jí)別,則只能被動(dòng)地選擇接受風(fēng)險(xiǎn),即對風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施,接受風(fēng)險(xiǎn)可能帶來的結(jié)果答案：D66.在Linux系統(tǒng)中,下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A、用戶名B、用戶口令…C、用戶主目錄D、用戶登錄后使用的SHELL答案：B67.某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求前置機(jī)開發(fā)日志共享,有總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略,會(huì)帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志,對日志共享設(shè)置,對日志共享設(shè)置訪問密碼且限定訪問的時(shí)間答案：D68.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國的一項(xiàng)基礎(chǔ)制度加以推行,并且有一定強(qiáng)制性,其實(shí)施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。()A、信息安全管理體系(ISMS)B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO270000系列答案：B69.PDCA循環(huán)又叫戴明環(huán),是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母,下面理解錯(cuò)誤的是()A、P是Plan,指分析問題,發(fā)現(xiàn)問題,確定方針,目標(biāo)和活動(dòng)計(jì)劃B、D是Do,指實(shí)施,具體運(yùn)作,實(shí)現(xiàn)計(jì)劃中的內(nèi)容C、是Check,指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果,明確效果,找出效果D、A是Aim,指瞄準(zhǔn)問題,抓住安全事件的核心,確定責(zé)任答案：D70.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常要在物理和環(huán)境安全方面實(shí)施規(guī)劃控制,物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾,關(guān)鍵或敏感的信息以及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi),并受到相應(yīng)保護(hù),該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn),下列不包括哪一項(xiàng)()A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù),外部和環(huán)境威脅的安全防護(hù)C、通信安全、合規(guī)性D、在安全區(qū)域工作,公共訪問、交接區(qū)安全答案：C71.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性,在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論,在下面的發(fā)言觀點(diǎn)中,正確的是()A、軟件安全開發(fā)生命周期較長、階段較多,而其中最重要的是要在軟件的編碼階段做好安全措施,就可以解決90%以上的安全問題B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施,這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多C、和傳統(tǒng)的軟件開發(fā)階段相比,微軟提出的安全開發(fā)生命周期(SecurityDevelopmentLifecycle,SDL)的最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D、軟件的安全測試也很重要,考慮到程序員的專業(yè)性,如果該開發(fā)人員已經(jīng)對軟件進(jìn)行了安全性測試,就沒有必要在組織第三方進(jìn)行安全性測試答案：B72.某軟件在設(shè)計(jì)時(shí),有三種用戶訪問模式,分別是僅管理員可訪問,所有合法用戶可訪問和允許匿名訪問請問采用這三種訪問模式時(shí),攻擊面最高的是()A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名訪問D、三種方式一樣答案：C73.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁,安全運(yùn)維人員給出了針對此批漏洞修補(bǔ)的四個(gè)建議方案,請選擇其中一個(gè)最優(yōu)方案執(zhí)行()。A、由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞,為了避免安全風(fēng)險(xiǎn),應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會(huì)對系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害,所以可以先不做處理C、對于重要的服務(wù),應(yīng)在檢測環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D、對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁,用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù),由終端自行升級(jí)答案：C74.以下哪種風(fēng)險(xiǎn)被認(rèn)為是合理的風(fēng)險(xiǎn)()A、最小的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)C、未識(shí)別的D、可接受的風(fēng)險(xiǎn)答案：D75.在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()A、制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程,確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確答案：D76.實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合:實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是()A、將登錄口令設(shè)置為出生日期B、通過詢問和核對用戶的個(gè)人隱私信息來鑒別C、使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別D、通過掃墻和識(shí)別用戶的臉部信息來鑒別答案：D77.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻獲取數(shù)據(jù)的現(xiàn)象,某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理,在下面做法中,對于解決問題沒有直接幫助的是()A、要求開發(fā)人員采用捷開發(fā)型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求規(guī)范軟件編碼,并定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測試環(huán)節(jié),早發(fā)現(xiàn)軟件安全問題答案：A78.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明風(fēng)險(xiǎn)值R(A,T,V)=R(L(T,v),F(Ia,Va))以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是:A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù),A表示資產(chǎn),T表示威脅,V表示脆弱性B、L表示成脅利用資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、P表示安全事件發(fā)生后造成的損失D、Ia,Va風(fēng)別表示安全事件作用全部資產(chǎn)的價(jià)值與其對應(yīng)資產(chǎn)的嚴(yán)重程度答案：D79.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí),有關(guān)測量結(jié)果,錯(cuò)誤的理解是:A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備某一個(gè)特定級(jí)別的部分公共特征時(shí),則這個(gè)組織在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級(jí)B、如果該組織某個(gè)過程區(qū)域(ProcessAreas,PA)具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個(gè)公共特征,則過程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)”C、如果某個(gè)過程區(qū)域(ProcessAreas,PA)包含4個(gè)基本實(shí)施(BasePractices,BP),執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP,則此過程區(qū)域的能力成熟度級(jí)別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級(jí)別上答案：B80.若一個(gè)組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制,資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo),對資產(chǎn)負(fù)責(zé)的控制目標(biāo)是實(shí)現(xiàn)和保護(hù)對組織資產(chǎn)的適當(dāng)保護(hù),這一控制目標(biāo)的實(shí)現(xiàn)由以下控制措施的落實(shí)來保障,不包括哪一項(xiàng)A、資產(chǎn)清單B、資產(chǎn)負(fù)責(zé)人C、資產(chǎn)的可接受使用D、分類指南、信息的標(biāo)記和處理答案：D81.企業(yè)安全架構(gòu)(SherwoodAppliedBusinessSecurityArchitecture,SABSA)是企業(yè)架構(gòu)的一個(gè)子集，它定義了(1),包括各層級(jí)的(2)、流程和規(guī)程，以及它們與整個(gè)企業(yè)的戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)營鏈接的方式,用全面的、嚴(yán)格的方法描述了組成完整的信息安全管理體系(ISMS)所有組件的(3)。開發(fā)企業(yè)安全架構(gòu)的很主要原因是確保安全工作以一個(gè)標(biāo)準(zhǔn)化的節(jié)省成本的方式與業(yè)務(wù)實(shí)踐相結(jié)合。架構(gòu)在抽象層面工作,它提供了一個(gè)(4)。除了安全性之外,這種類型的架構(gòu)讓組織更好的實(shí)現(xiàn)(5)、集成性、易用性、標(biāo)準(zhǔn)化和便于治理性。A、（1）信息安全戰(zhàn)略;（2）解決方案;（3）結(jié)構(gòu)和行為;（4）可供參考的框架;（5）互操作性;B、（1）信息安全戰(zhàn)略;（2）結(jié)構(gòu)和行為;（3）解決方案;（4）可供參考的框架;（5）操作性;C、（1）信息安全戰(zhàn)略;（2）解決方案;（3）可供參考的框架;（4）結(jié)構(gòu)和行為;（5）互操作性;D、（1）信息安全戰(zhàn)略;（2）可供參考的框架;（3）解決方案;（4）結(jié)構(gòu)和行為;（5）互操作性答案：A82.對信息安全事件的分級(jí)參考下列三個(gè)要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進(jìn)行劃分,不屬于正確劃分級(jí)別的是:A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)答案：D83.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是()A、基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性,事先制定出事件應(yīng)急響應(yīng)方法和過程,有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響降至最低B、應(yīng)急響應(yīng)方法和過程并不是唯一的C、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段D、一種校廣為接受的應(yīng)色的應(yīng)方法是將應(yīng)色響應(yīng)管理過程分為準(zhǔn)備檢刻、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段,這6個(gè)階段的響應(yīng)方法一定能確保事件處理的成功答案：D84.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測評(píng)機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線前,項(xiàng)目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)所產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效率更高C、滲透測試使用人工進(jìn)行測試,不依賴軟件,因此測試更準(zhǔn)確D、滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多答案：A85.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了三層WEB架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時(shí),采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C86.自2004年1月起,國內(nèi)各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí),必須經(jīng)由以下哪個(gè)組織提出工作情況,協(xié)調(diào)一致后由該組織申報(bào)。A、全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)B、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)C、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCCA)D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)答案：B87.為推動(dòng)和規(guī)范我國信息安全等級(jí)保護(hù)工作,我國制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)可以按照等級(jí)保護(hù)工作的工作階段大致分類。下面四個(gè)標(biāo)準(zhǔn)中,()提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求,并按照技術(shù)和管理兩個(gè)方面提出了相關(guān)基本安全要求。A、GB/T222392008《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》C、GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D、GB/T28449-2012《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》答案：A88.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,該文件中指出了我國在災(zāi)備工作原則,下面哪項(xiàng)不屬于該工作原則()A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合答案：B89.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用答案：D90.為了保障系統(tǒng)安全,某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測試,以下關(guān)于滲透測試過程的說法不正確的是:A、由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn),所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份,以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā),測試軟件系統(tǒng)的安全性,其價(jià)值在于可以測試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試答案：D91.在信息系統(tǒng)中,訪問控制是重要的安全功能之一。他的任務(wù)是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)限進(jìn)行管理,防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩類,通過對主體身份的識(shí)別來限制其對客體的訪問權(quán)限。下列選項(xiàng)中,對主體、客體和訪問權(quán)限的描述中錯(cuò)誤的是:A、對文件進(jìn)行操作的用戶是一種主體B、主體可以接受客體的信息和數(shù)據(jù),也可能改變客體相關(guān)的信息C、訪問權(quán)限是指主體對客體所允許的操作D、對目錄的訪問權(quán)可分為讀、寫和拒絕訪問答案：D92.關(guān)于源代碼審核,下列說法正確的是A、源代碼審核往往需要大量的時(shí)間采用人工審核費(fèi)時(shí)費(fèi)力,但可以通過多人并行審核來彌補(bǔ)這個(gè)缺點(diǎn)B、源代碼審核工具應(yīng)當(dāng)以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能C、使用工具進(jìn)行源代碼審核和分析,能夠提高軟件可行性并節(jié)省件開發(fā)和測試的成本,已經(jīng)取代了人工審核方式D、源代碼審核是指無需運(yùn)行被測代碼,僅對源代碼檢查分析,檢測并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處解釋:D為源代碼審核工作內(nèi)容描述。答案：D93.北京某公司利用SSE-CMM對其自身工程隊(duì)伍能力進(jìn)行自我改善,其理解正確的是()A、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個(gè)能力級(jí)別。當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過程域中的基本實(shí)踐時(shí),該過程域的過程能力是0級(jí)。B、達(dá)到SSE-CMM最高級(jí)以后,工程隊(duì)伍執(zhí)行同一個(gè)過程,每次執(zhí)行的結(jié)果質(zhì)量必須相同。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了3個(gè)風(fēng)險(xiǎn)過程:評(píng)價(jià)威脅,評(píng)價(jià)脆弱性,評(píng)價(jià)影D、SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性。答案：A94.在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()A、制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過程,確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確答案：D95.保護(hù)-監(jiān)測-響應(yīng)(Protection-Detection-Response,PDR)模型是()工作中常用的模型,其思想是承認(rèn)()中漏洞的存在,正視系統(tǒng)面臨的(),通過采取適度防護(hù)、加強(qiáng)()、落實(shí)對安全事件的響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)的安全。A、信息系統(tǒng);信息安全保障;威脅;檢測工作B、信息安全保障;信息系統(tǒng);檢測工作;威脅C、信息安全保障;信息系統(tǒng);威脅;檢測工作D、信息安全保障;威脅;信息系統(tǒng);檢測工作答案：C96.為了保障網(wǎng)絡(luò)安全,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展,加強(qiáng)在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理。2015年6月,第十二屆全國人大常委會(huì)第十五次會(huì)議初次審議了一部法律草案,并于7月6日起在網(wǎng)上全文公布,向社會(huì)公開征求意見,這部法律草案是()A、《中華人民共和國保守國家秘密法(草案)》B、《中華人民共和國網(wǎng)絡(luò)安全法(草案)》C、《中華人民共和國國家安全法(草案)》D、《中華人民共和國互聯(lián)網(wǎng)安全法(草案)》答案：B97.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時(shí),發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯(cuò)誤、寫臨時(shí)文件錯(cuò)誤等問題時(shí),會(huì)將詳細(xì)的錯(cuò)誤原因在結(jié)果頁面上顯示出來,從安全角度考慮,小李決定修改代碼,將詳細(xì)的錯(cuò)誤原因都隱藏起來,在頁面上僅僅告知用戶“抱歉,發(fā)生內(nèi)部錯(cuò)誤!“請問這種處理方法的主要目的是()A、避免緩沖區(qū)溢出B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、最小化反饋信息答案：D98.恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩個(gè)值能否為零,正確的選項(xiàng)是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為答案：A99.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯(cuò)誤的是:A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級(jí)參考要素,可將信息安全事件劃分為4個(gè)級(jí)別:特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))和一般事件(IV級(jí))答案：B100.在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第部分:簡介和一般模型》(GB/T20274.1—2006)中描述了信息系統(tǒng)安全保障模型,下面對這個(gè)模型理解錯(cuò)誤的是()A、該模型強(qiáng)調(diào)保護(hù)信息系統(tǒng)所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的B、該模型是一個(gè)強(qiáng)調(diào)持續(xù)發(fā)展的動(dòng)態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個(gè)信息系統(tǒng)生命周期的全過程C、該模型強(qiáng)調(diào)綜合保障的觀念,即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)D、模型將風(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進(jìn)，在其基礎(chǔ)上增加了人員要素，強(qiáng)調(diào)信息安全的自主性答案：D解析：信息安全保障模型的主要特點(diǎn)如下?？趯L(fēng)險(xiǎn)和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心?？趶?qiáng)調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動(dòng)態(tài)安全模型，即強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個(gè)信息系統(tǒng)生命周期的全過程?？趶?qiáng)調(diào)綜合保障的觀念。信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障要求來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)，通過對信息系統(tǒng)的技術(shù)、管理、工程和人員要求的評(píng)估，提供了對信息系統(tǒng)安全保障的信心。口通過以風(fēng)險(xiǎn)和策略為基礎(chǔ)，在整個(gè)信息系統(tǒng)的生命周期中實(shí)施技術(shù)、管理、工程和人員保障要素。通過信息系統(tǒng)安全保障實(shí)現(xiàn)信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達(dá)到保障組織機(jī)構(gòu)執(zhí)行其使命的根本目的。101.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí),正確的理解是:A、測量單位是基本實(shí)施(basepractices,bp)B、測量單位是通用實(shí)施(GenericpracticesGP)C、測量單位是過程區(qū)域(ProcessAreas,PA)D、測量單位是公開特征(monfeatures,cf)答案：D102.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制(ACL)來表示,該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是()A、CL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí),去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D、ACL在增加客體時(shí),增加相關(guān)的訪問控制權(quán)限較為簡單答案：D103.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評(píng)估性能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程,下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果()。A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》答案：B104.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則,以下說法錯(cuò)誤的是:A、立足國情,以我為主,堅(jiān)持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點(diǎn),強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力,保護(hù)公眾利益,維護(hù)國家安全答案：D105.某網(wǎng)站為了更好向用戶提供服務(wù),在新版本設(shè)計(jì)時(shí)提供了用戶快捷登陸功能,用戶如果使用上次的IP地址進(jìn)行訪問,就可以無需驗(yàn)證直接登錄,該功能推出后,導(dǎo)致大量用戶賬號(hào)被盜用,關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼導(dǎo)致攻擊面增大,產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致,使用了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加,導(dǎo)致網(wǎng)絡(luò)攻擊面增大,產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素,設(shè)計(jì)了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此安全問題答案：D106.老王是某政府信息中心主任,以下哪項(xiàng)是符合《保守國家秘密法》要求的()A、老王安排下屬小李將損害的涉密計(jì)算機(jī)的某國外品牌硬盤送到該品牌中國區(qū)維修中心維修B、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志C、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用答案：D107.對《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)運(yùn)行安全生產(chǎn)影響的攻擊行為主要是對以下那個(gè)信息安全屬性造成影響?A、保密性B、完整性C、可用性D、不可抵賴性答案：C108.訪問控制的實(shí)施一般包括兩個(gè)步驟:首先要鑒別主體的合法身份,根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)限。在此過涉及主體、客體、訪問控制實(shí)施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實(shí)施步驟中,標(biāo)有數(shù)字的方框代表了主體、客體、訪問控制實(shí)施部件和訪問控制決策部件。下列選項(xiàng)中,標(biāo)有數(shù)字1、2、3、4的方框分別對應(yīng)的實(shí)體或部件正確的是()A、主體、訪問控別決策、客體、訪問控制實(shí)施B、主體、訪問控制實(shí)施,客體、訪問控制決策C、客體、訪問控制決策、主體、訪問控制實(shí)施D、客體、訪問控制實(shí)施、主體、訪問控制決策答案：B109.某集團(tuán)公司的計(jì)算機(jī)網(wǎng)絡(luò)中心內(nèi)具有公司最重要的設(shè)備和信息數(shù)據(jù)。網(wǎng)絡(luò)曾在一段時(shí)間內(nèi)依然遭受了幾次不小的破壞和干擾,雖然有防火墻,但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡(luò)安全公司為該集團(tuán)部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS),將IDS部署在防火墻后,以進(jìn)行二次防御。那么NIDS不會(huì)在()區(qū)域部署。A、DMZB、內(nèi)網(wǎng)主干C、內(nèi)網(wǎng)關(guān)鍵子網(wǎng)D、外網(wǎng)入口答案：D110.在工程實(shí)施階段,以下哪一項(xiàng)不屬于監(jiān)理機(jī)構(gòu)的監(jiān)理重點(diǎn):A、督促承建單位嚴(yán)格按照經(jīng)審批的實(shí)施方案進(jìn)行施工B、審查承建單位施工人員的身份與資格C、部署工程實(shí)施人員安全管理措施D、督促承建單位嚴(yán)格遵守業(yè)主單位相關(guān)安全管理規(guī)定答案：C111.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetProtocolSecurityVIrtualPrivateNetwork,IPsecVPN)時(shí),以下說法正確的是()A、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)是,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段,來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性答案：C112.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開放性,即功能和保證要求都可以在具體的“保戶輪廊”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性,即給出通用的表達(dá)表示C、獨(dú)立性,它強(qiáng)調(diào)講安全的功能和保證分離D、實(shí)用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評(píng)估過程中答案：C113.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制,人力資源安全劃分為3個(gè)控制階段,不包括哪一項(xiàng)()A、任用之前B、任用中C、任用終止或變化D、任用后答案：D114.對于關(guān)鍵信息基礎(chǔ)設(shè)施的外延范圍,以下哪項(xiàng)是正確的()A、關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定由國家網(wǎng)信部門確定,網(wǎng)絡(luò)運(yùn)營者自身及上級(jí)主管部門不能認(rèn)定B、關(guān)鍵信息基礎(chǔ)設(shè)施與等級(jí)保護(hù)三級(jí)以上系統(tǒng)的范圍一致,對于等級(jí)保護(hù)三級(jí)以上系統(tǒng)就應(yīng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍C、關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍由國務(wù)院制定,鼓勵(lì)網(wǎng)絡(luò)運(yùn)營者自愿參照關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)要求開展保護(hù)D、關(guān)鍵信息基礎(chǔ)設(shè)施只限于公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)這七個(gè)行業(yè),除此以外行業(yè)的網(wǎng)絡(luò)不能認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施答案：C115.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的:A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實(shí)施障礙答案：C116.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:A、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型,在信息系統(tǒng)安全保障具體操作時(shí),可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全,而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入答案：D117.某單位門戶網(wǎng)站發(fā)完成后,測試人員使用模糊測試進(jìn)行安全性測試,以下關(guān)于模糊測試過程的說法正確的是:A、模擬正常用戶輸入行為,生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因,必要時(shí)需要測試人員手工重現(xiàn)并分析答案：D118.若一個(gè)組織生成自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制實(shí)施通暢需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)()。A、符合法律要求B、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務(wù)要求,用戶訪問管理答案：D119.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl,RBAC):根據(jù)組織的業(yè)務(wù)要求或管理要求,在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型,下列說法錯(cuò)誤的是:A、當(dāng)用戶請求訪問某資源時(shí),如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi),訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工,可對應(yīng)RBAC模型中的角色C、通過角色,可實(shí)現(xiàn)對信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制答案：D120.Kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三方的認(rèn)證服務(wù),減輕應(yīng)用服務(wù)器的負(fù)擔(dān)。K.erberos的運(yùn)行環(huán)境由密鑰分發(fā)中心(KDC)、應(yīng)用服務(wù)器和客戶端三個(gè)部分組成。其中,KDC分為認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS兩部分。下圖展示了Kerberos協(xié)議的三個(gè)階段,分別為(1)Kerberos獲得服務(wù)許可票據(jù),(2)Kerberos獲得服務(wù),(3)Kerberos獲得票據(jù)許可票據(jù)。下列選項(xiàng)中,對這三個(gè)階段的排序正確的是()。A、(1)--(2)--(3)B、(3)--(2)--(1)C、(2)--(1)--(3)D、(3)--(1)--(2)答案：D121.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn):A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù),開發(fā)相應(yīng)的軟件和硬件,將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù),管理和商務(wù)等方面,是一項(xiàng)綜合性的系統(tǒng)工程答案：B122.下面有關(guān)軟件安全問題的描述中,哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則,導(dǎo)致軟件在發(fā)布運(yùn)行后,系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B、設(shè)計(jì)了采用不加鹽(SALT)的SHA-1算法對用戶口令進(jìn)行加密存儲(chǔ),導(dǎo)致軟件在發(fā)布運(yùn)行后,不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果,從而可以假冒其他用戶登錄C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù),導(dǎo)致軟件在發(fā)