信息安全專業(yè)人員知識測試試題（二） (1)附有答案

信息安全專業(yè)人員知識測試試題（二）[復制]1.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進，以及深化落實三個階段，以下關于我國信息安全保障各階段說法不正確的是：C[單選題]*A.2001國家信息化領導小組重組，網(wǎng)絡與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B.2003年7月，國家信息化領導小組制定出臺了《關于加強信息安全保障工作的意見》（中辦發(fā)27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C.2003年中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段(正確答案)D.在深化落實階段，信息安全法律法規(guī)、標準化，信息安全基礎設施建設，以及信息安全等級保護和風險評估取得了新進展。答案解析：解釋：2006年進入到深化落實階段。2.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習慣：A[單選題]*A使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應用軟件進行升級(正確答案)B為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C在IE的配置中，設置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D在使用網(wǎng)絡瀏覽器時，設置不在計算機中保留網(wǎng)絡歷史紀錄和表單數(shù)據(jù)3.我國信息安全保障建設包括信息安全組織與管理體制、基礎設施、技術體系等方面，以下關于安全保障建設主要工作內(nèi)容說法不正確的是：[單選題]*A.建全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障B.建設信息安全基礎設施，提供國家信息安全保障能力支撐C.建立信息安全技術體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新(正確答案)D.建立信息安全人才培養(yǎng)體系，加快信息安全學科建設和信息安全人才培養(yǎng)4.某銀行信息系統(tǒng)為了滿足業(yè)務的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素[單選題]*A.信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標準B.信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風險(正確答案)D.該銀行整體安全策略答案解析：法消除或降低該銀行信息系統(tǒng)面臨的所有安全風險。5.信息安全測評是指依據(jù)相關標準，從安全功能等角度對信息技術產(chǎn)品、信息系統(tǒng)、服務提供商以及人員進行測試和評估，以下關于信息安全測評說法不正確的是：[單選題]*A.信息產(chǎn)品安全評估是測評機構的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安全的信任B.目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風險評估和信息系統(tǒng)安全保障測評兩種類型(正確答案)C.信息安全工程能力評估是對信息安全服務提供者的資格狀況、技術實力和實施服務過程質(zhì)量保證能力的具體衡量和評價。D.信息系統(tǒng)風險評估是系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出游針對性的安全防護策略和整改措施答案解析：測評包括產(chǎn)品測評、風險評估、保障測評和等級保護測評。6.美國的關鍵信息基礎設施（CriticalInformationInfrastructure,CII）包括商用核設施、政策設施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎設施信息安全，其主要原因不包括：[單選題]*A.這些行業(yè)都關系到國計民生，對經(jīng)濟運行和國家安全影響深遠B.這些行業(yè)都是信息化應用廣泛的領域C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出(正確答案)D.這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失。7.在設計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：[單選題]*A.要充分切合信息安全需求并且實際可行B.要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C.要充分采取新技術，使用過程中不斷完善成熟，精益求精，實現(xiàn)技術投入保值要求(正確答案)D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙答案解析：設計信息系統(tǒng)安全保障方案應采用合適的技術。8.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）[單選題]*A.分組密碼算法要求輸入明文按組分成固定長度的塊B.分組密碼的算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱作序列密碼算法(正確答案)D.常見的DES、IDEA算法都屬于分組密碼算法9.密碼學是網(wǎng)絡安全的基礎，但網(wǎng)絡安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡安全的一個重要組成部分。下面描述中，錯誤的是（）[單選題]*A.在實際應用中，密碼協(xié)議應按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式。(正確答案)B.密碼協(xié)議定義了兩方或多方之間為完成某項任務而指定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行。C.根據(jù)密碼協(xié)議應用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D.密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學完成某項特定的任務并滿足安全需求的協(xié)議，其末的是提供安全服務。答案解析：解釋：密碼協(xié)議應限制和框住的執(zhí)行步驟，有些復雜的步驟必須要明確處理方式。10.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時，以下說法正確的是：[單選題]*配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C.部署IPsecVPN網(wǎng)絡時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關聯(lián)（SecurityAuthentication,SA）資源的消耗(正確答案)D.報文驗證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機密性11.虛擬專用網(wǎng)絡（VPN）通常是指在公共網(wǎng)路中利用隧道技術，建立一個臨時的，安全的網(wǎng)絡。這里的字母P的正確解釋是（）[單選題]*A.Special-purpose.特定、專用用途的B.Proprietary專有的、專賣的C.Private私有的、專有的(正確答案)D.Specific特種的、具體的答案解析：解釋：A錯誤，MD5提供完整性；B錯誤，AES提供的保密性；D錯誤，AH協(xié)議提供完整性、驗證及抗重放攻擊。12.以下Windows系統(tǒng)的賬號存儲管理機制SAM（SecurityAccountsManager）的說法哪個是正確的：[單選題]*A.存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B.存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權訪問，具有較高的安全性C.存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D.存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性(正確答案)13.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應當購買并部署下面哪個設備（）[單選題]*A.安全路由器B.網(wǎng)絡審計系統(tǒng)C.網(wǎng)頁防篡改系統(tǒng)(正確答案)D.虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）系統(tǒng)14.關于惡意代碼，以下說法錯誤的是：[單選題]*A.從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。B.按照運行平臺，惡意代碼可以分為網(wǎng)絡傳播型病毒、文件傳播型病毒。(正確答案)C.不感染的依附性惡意代碼無法單獨執(zhí)行D.為了對目標系統(tǒng)實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件15.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊[單選題]*A.跨站腳本（CrossSiteScripting，XSS）攻擊B.TCP會話劫持（TCPHijack）攻擊C.IP欺騙攻擊D.拒絕服務（DenialofService，DoS）攻擊(正確答案)16.當前，應用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應用軟件漏洞成因無關：[單選題]*A.傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B.開發(fā)人員對信息安全知識掌握不足C.相比操作系統(tǒng)而言，應用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞(正確答案)D.應用軟件的功能越來越多，軟件越來越復雜，更容易出現(xiàn)漏洞17.下面哪個模型和軟件安全開發(fā)無關（）？[單選題]*A.微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B.GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”C.OWASP維護的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D.“信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）”(正確答案)18.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：[單選題]*A.模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B.數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C.監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D.深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析(正確答案)19.以下關于模糊測試過程的說法正確的是：[單選題]*A.模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關B.為保障安全測試的效果和自動化過程，關鍵是將發(fā)現(xiàn)的異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復異常狀態(tài)進行后續(xù)的測試C.通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復建議(正確答案)D.對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告20.關于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是（）[單選題]*A.WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B.WPA是適用于中國的無線局域安全協(xié)議，WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C.WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D.WPA是依照802.11i標準草案制定的，而WPA2是按照802.11i正式標準制定的(正確答案)21.防火墻是網(wǎng)絡信息系統(tǒng)建設中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是[單選題]*A.既能物理隔離，又能邏輯隔離B.能物理隔離，但不能邏輯隔離C.不能物理隔離，但是能邏輯隔離(正確答案)D.不能物理隔離，也不能邏輯隔離22.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是[單選題]*A.在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B.實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生(正確答案)C.異常入侵檢測可以通過獲得的網(wǎng)絡運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為答案解析：解釋：實施誤用入侵檢測（或特征檢測），是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生23.S公司在全國有20個分支機構，總部由10臺服務器、200個用戶終端，每個分支機構都有一臺服務器、100個左右用戶終端，通過專網(wǎng)進行互聯(lián)互通。公司招標的網(wǎng)絡設計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給5公司選出設計最合理的一個:[單選題]*A.總部使用服務器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構服務器和用戶終端使用192.168.2.x---192.168.20.xB.總部服務器使用—11、用戶終端使用2—212，分支機構IP地址隨意確定即可C.總部服務器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x，每個分支機構分配兩個A類地址段，一個用做服務器地址段、另外一個做用戶終端地址段(正確答案)D.因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構自行決定即可。24.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。私有地址，下面描述正確的是（）。[單選題]*A.A類和B類地址中沒有私有地址，C類地址中可以設置私有地址B.A類地址中沒有私有地址，B類和C類地址中可以設置私有地址C.A類、B類和C類地址中都可以設置私有地址(正確答案)D.A類、B類和C類地址中都沒有私有地址25.口令破解是針對系統(tǒng)進行攻擊的常用方法，windows系統(tǒng)安全策略中應對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關于這兩個策略說明錯誤的是[單選題]*A.密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B.密碼策略對系統(tǒng)中所有的用戶都有效C.賬戶鎖定策略的主要作用是應對口令暴力破解攻擊，能有效地保護所有系統(tǒng)用戶應對口令暴力破解攻擊D.賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應對口令暴力破解攻擊(正確答案)26.windows文件系統(tǒng)權限管理使用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的：[單選題]*A.安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B.由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個文件和目錄設置嚴格的訪問權限，為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C.Windows的ACL機制中，文件和文件夾的權限是主體進行關聯(lián)的，即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中的(正確答案)D.由于ACL具有很好靈活性，在實際使用中可以為每一個文件設定獨立擁護的權限答案解析：解釋：Windows的ACL機制中，文件和文件夾的權限是客體關聯(lián)的，即文件夾和文件的訪問權限信息是寫在客體文件和文件夾屬性數(shù)據(jù)庫中。27.由于發(fā)生了一起針對服務器的口令暴力破解攻擊，管理員決定對設置帳戶鎖定策略以對抗口令暴力破解。他設置了以下賬戶鎖定策略如下：1.賬戶鎖定閥值3次無效登陸；

2.復位賬戶鎖定計數(shù)器5分鐘；

3.賬戶鎖定時間10分鐘；以下關于以上策略設置后的說法哪個是正確的[單選題]*A.設置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住B.如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)(正確答案)C.如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D.攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響答案解析：全部解釋為5分鐘計數(shù)器時間內(nèi)錯誤3次則鎖定10分鐘。28.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個組件，以下說法錯誤的是（）[單選題]*A.EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B.EFS以公鑰加密為基礎，并利用了widows系統(tǒng)中的CryptoAPI體系結構C.EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）(正確答案)D.EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登陸windows時進行的29.關于數(shù)據(jù)庫恢復技術，下列說法不正確的是：[單選題]*A.數(shù)據(jù)庫恢復技術的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復機制技術來解決，當數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復B.數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復中采用的基本技術C.日志文件在數(shù)據(jù)庫恢復中起著非常重要的作用，可以用來進行事務故障恢復和系統(tǒng)故障恢復，并協(xié)助后備副本進行介質(zhì)故障恢復D.計算機系統(tǒng)發(fā)生故障導致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復到故障發(fā)生前的完整狀態(tài)，這一對事務的操作稱為提交(正確答案)答案解析：解釋：利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復到故障發(fā)生前完整狀態(tài)，這一對事務的操作稱為回滾。30.數(shù)據(jù)庫的安全很復雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關于數(shù)據(jù)庫常用的安全策略理解不正確的是：[單選題]*A.最小特權原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權，使得這些信息恰好能夠完成用戶的工作B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息(正確答案)C.粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D.按內(nèi)容存取控制策略，不同權限的用戶訪問數(shù)據(jù)庫的不同部分31.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：[單選題]*A.傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B.傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層(正確答案)C.互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D.互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層32.以下關于SMTP和POP3協(xié)議的說法哪個是錯誤的[單選題]*A.SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應模式的協(xié)議B.SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能CSMTP和POP3協(xié)議缺乏嚴格的用戶認證，因此導致了垃圾郵件問題D.SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠程管理郵件(正確答案)答案解析：基于HTTP協(xié)議或C/S客戶端實現(xiàn)郵件的遠程管理。33.安全多用途互聯(lián)網(wǎng)郵件擴展(SecureMultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術，下面描述錯誤的是（）[單選題]*A.S/MIME采用了非對稱密碼學機制B.S/MIME支持數(shù)字證書C.S/MIME采用了郵件防火墻技術(正確答案)D.S/MIME支持用戶身份認證和郵件加密34.應用安全，一般是指保障應用程序使用過程和結果的安全。以下內(nèi)容中不屬于應用安全防護考慮的是（）[單選題]*A.身份鑒別，應用系統(tǒng)應對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應用系統(tǒng)資源B.安全標記，在應用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權限，增加訪問C.剩余信息保護，應用系統(tǒng)應加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權的訪問D.機房與設施安全，保證應用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等(正確答案)35.ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ（簡稱Ａｐａｃｈｅ）是一個開放源碼的ＷＥＢ服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下那種措施（）[單選題]*A.安裝后，修改訪問控制配置文件B.安裝后，修改配置文件Httpd．Conf中的有關參數(shù)(正確答案)C.安裝后，刪除ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ源碼D.從正確的官方網(wǎng)站下載ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ，并安裝使用36.下面信息安全漏洞理解錯誤的是：[單選題]*A.討論漏洞應該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞B.信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設計、開發(fā)、部署或維護階段，由于設計、開發(fā)等相關人員無意中產(chǎn)生的缺陷所造成的(正確答案)C.信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來大的經(jīng)濟損失D.由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的37.下面對“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）[單選題]*A.指一個特定的漏洞，該漏洞每年１月１日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權限B.指一個特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎設施C.指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達到攻擊目標D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞(正確答案)答案解析：D是零日漏洞的解釋38.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處的李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩你先幫我把密碼改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下說法哪個是正確的[單選題]*A.小張服務態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題B.事件屬于服務器故障，是偶然事件，應向單位領導申請購買新的服務器C.單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作(正確答案)D.事件屬于郵件系統(tǒng)故障，是偶然事件，應向單位領導申請郵件服務軟件39.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ＩＣＭＰ流量上升了２５０％，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題。但為了安全起見，他仍然向主管領導提出了應對策略，作為主管負責人，請選擇有效的針對此問題的應對措施：[單選題]*A.在防火墻上設置策略，阻止所有的ＩＣＭＰ流量進入(正確答案)B.刪除服務器上的ｐｉｎｇ．ｅｘｅ程序C.增加帶寬以應對可能的拒絕服務攻擊D.增加網(wǎng)站服務器以應對即將來臨的拒絕服務攻擊40.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）[單選題]*A.CIscoAuditingToolsB.AcunetixWebVulnerabilityScanner(正確答案)C.NMAPD.ISSDatabaseScanner41.某單位計劃在今年開發(fā)一套辦公自動化（ＯＡ）系統(tǒng)，將集團公司各地的機構通過互聯(lián)網(wǎng)進行協(xié)同辦公，在ＯＡ系統(tǒng)的設計方案評審會上，提出了不少安全開發(fā)的建設，作為安全專家，請指出大家提的建議中不太合適的一條：[單選題]*A.對軟件開發(fā)商提出安全相關要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B.要求軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知識C.要求軟件開發(fā)商使用Ｊａｖａ而不是ＡＳＰ作為開發(fā)語言，避免ＳＱＬ注入漏洞(正確答案)D.要求軟件開發(fā)商對軟件進行模塊化設計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進行校驗答案解析：解釋：SQL注入與編碼SQL語法應用和過濾有關，與開發(fā)語言不是必然關系。42.在軟件保障成熟度模型（ＳＡＭＭ）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能[單選題]*A.治理，主要是管理軟件開發(fā)的過程和活動B.構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程和活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動(正確答案)43.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（）[單選題]*A.軟件安全開發(fā)生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決９０％以上的安全問題B.應當盡早在軟件開發(fā)的需求和設計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少的多。(正確答案)C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點是增加了一個抓們的安全編碼階段D.軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試44.下面有關軟件安全問題的描述中，哪項是由于軟件設計缺陷引起的（）[單選題]*A.設計了三層Ｗｅｂ架構，但是軟件存在ＳＱＬ注入漏洞，導致被黑客攻擊后能直接訪問數(shù)據(jù)庫B.使用Ｃ語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導致存在緩沖區(qū)溢出漏洞C.設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)(正確答案)D.使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數(shù)據(jù)45.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度（Ｄｅｆｅｃｔｓ／ＫＬＯＣ）來衡量軟件的安全性，假設某個軟件共有２９．６萬行源代碼，總共被檢測出１４５個缺陷，則可以計算出其軟件缺陷密度值是[單選題]*A.０．０００４９B.０．０４９C.０．４９(正確答案)D.４９46.某集團公司根據(jù)業(yè)務需求，在各地分支機構部屬前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機種提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應采取以下哪項處理措施？[單選題]*A.由于共享導致了安全問題，應直接關閉日志共享，禁止總部提取日志進行分析B.為配合總部的安全策略，會帶來一定安全問題，但不影響系統(tǒng)使用，因此接受此風險C.日志的存在就是安全風險，最好的辦法就是取消日志，通過設置前置機不記錄日志D.只允許特定ＩＰ地址從前置機提取日志，對日志共享設置訪問密碼且限定訪問的時間(正確答案)答案解析：解釋：D的特定ＩＰ地址從前置機提取降低了開放日志共享的攻擊面。47.針對軟件的拒絕服務攻擊是通過消耗系統(tǒng)資源使軟件無法響應正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務攻擊的威脅，以下哪個不是需求考慮的攻擊方式[單選題]*A.攻擊者利用軟件存在的邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導致運算進入死循環(huán)，ＣＰＵ資源占用始終１００％B.攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時會導致查詢效率低，通過發(fā)送大量的查詢導致數(shù)據(jù)庫響應緩慢C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導致并發(fā)連接數(shù)耗盡而無法訪問D.攻擊者買通ＩＤＣ人員，將某軟件運行服務器的網(wǎng)線拔掉導致無法訪問(正確答案)48.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程XP.cmctstell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應該指出該網(wǎng)站設計違反了以下哪項原則：[單選題]*A.權限分離原則B.最小特權原則(正確答案)C.保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則答案解析：SA是數(shù)據(jù)庫最大用戶權限，違反了最小特權原則。49.微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關于此項安全要求，下面描述錯誤的是（）[單選題]*A.某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B.解決R威脅，可以選擇使用抗抵賴性服務技術來解決，如強認證、數(shù)字簽名、安全審計等技術措施C.R威脅是STRIDE六種威脅中第三嚴重的威脅，比D威脅和E威脅的嚴重程度更高(正確答案)D.解決R威脅，也應按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行答案解析：解釋：STRIDE代表6種威脅的簡稱，無嚴重程度之分。S-欺騙，T-篡改，R-抵賴，I-信息泄露，D-拒絕服務，E-權限提升（攻擊）。50.關于信息安全管理，下面理解片面的是（）[單選題]*A.信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務目標的重要保障B.信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C.信息安全建設中，技術是基礎，管理是拔高，既有效的管理依賴于良好的技術基礎(正確答案)D.堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一51.以下哪項制度或標準被作為我國的一項基礎制度加以推行，并且有一定強制性，其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全（）[單選題]*A.信息安全管理體系（ISMS）B.信息安全等級保護(正確答案)C.NISTSP800D.ISO270000系統(tǒng)答案解析：解釋：信息安全等級保護制度重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全。52.小明是某大學計算科學與技術專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術管理的職位，一次面試中，某公司的技術經(jīng)理讓小王談一談信息安全風險管理中的背景建立的幾本概念與認識，小明的主要觀點包括：（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規(guī)劃和準備；（2）背景建立根據(jù)組織機構相關的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果(3)背景建立包括：風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括：風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小明的論點中錯誤的是哪項：[單選題]*A.第一個觀點B.第二個觀點(正確答案)C.第三個觀點D.第四個觀點答案解析：解釋：背景建立是根據(jù)政策、法律、標準、業(yè)務、系統(tǒng)、組織等現(xiàn)狀來開展。53.降低風險（或減低風險）指通過對面的風險的資產(chǎn)采取保護措施的方式來降低風險，下面那個措施不屬于降低風險的措施（）[單選題]*A.減少威脅源，采用法律的手段制裁計算機的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B.簽訂外包服務合同，將有計算難點，存在實現(xiàn)風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險(正確答案)C.減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力D.減少脆弱性，及時給系統(tǒng)打補丁，關閉無用的網(wǎng)絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性54.關于風險要素識別階段工作內(nèi)容敘述錯誤的是：[單選題]*A.資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B.威脅識別是指識別與每項資產(chǎn)相關的可能威脅和漏洞及其發(fā)生的可能性C.脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D.確認已有的安全措施僅屬于技術層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡平臺和應用平臺(正確答案)55.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是[單選題]*A.檢查評估可依據(jù)相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估(正確答案)B.檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進行檢查和評測C.檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術機構實施D.檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點答案解析：解釋：檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。56.規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，按照規(guī)范的風險評估實施流程，下面哪個文檔應當是風險要素識別階段的輸出成果（）[單選題]*A,《風險評估方案》B.《需要保護的資產(chǎn)清單》(正確答案)C.《風險計算報告》D.《風險程度等級列表》57.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）[單選題]*A.制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B.確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C.向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D.建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程、確保信息安全風險評估技術選擇合理、計算正確(正確答案)58.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關于這兩者，下面描述的錯誤是[單選題]*A.內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B.內(nèi)部審核實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行C.內(nèi)部審核實施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術服務機構(正確答案)D.組織的信息安全方針、信息安全目標和有關ISMS文件等，在內(nèi)部審核中作為審核標準使用，但在管理評審總，這些文件時被審對象答案解析：管理評審的實施主體由用戶的管理者來進行選擇。59.在風險管理中，殘余風險是指實施了新的或增強的安全措施后還剩下的風險，關于殘余風險，下面描述錯誤的是（）[單選題]*A.風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程B.管理層確認接收殘余風險，是對風險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風險，并理解在風險一旦變?yōu)楝F(xiàn)實后，組織能夠且承擔引發(fā)的后果C.接收殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術等因素的限制D.如果殘余風險沒有降低到可接受的級別，則只能被動的選擇接受風險，即對風險不進行下一步的處理措施，接受風險可能帶來的結果。(正確答案)答案解析：解釋：如果殘余風險沒有降低到可接受的級別，則會被動的選擇接受殘余風險，但需要對殘余風險進行進一步的關注、監(jiān)測和跟蹤。60.關于業(yè)務連續(xù)性計劃（BCP）以下說法最恰當?shù)氖牵篬單選題]*A.組織為避免所有業(yè)務功能因重大事件而中斷，減少業(yè)務風此案而建立的一個控制過程。B.組織為避免關鍵業(yè)務功能因重大事件而中斷，減少業(yè)務風險而建立的一個控制過程。(正確答案)C.組織為避免所有業(yè)務功能因各種事件而中斷，減少業(yè)務風此案而建立的一個控制過程D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風險建立的一個控制過程61.在某次信息安全應急響應過程中，小王正在實施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強防范措施、格式化被感染而已程序的介質(zhì)等，請問，按照應急響應方法，這些工作應處于以下哪個階段（）[單選題]*A.準備階段B.檢測階段C.遏制階段D.根除階段(正確答案)答案解析：消除或阻斷攻擊源等措施為根除階段。62.關于信息安全事件管理和應急響應，以下說法錯誤的是：[單選題]*A.應急響應是指組織為了應急突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B.應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段(正確答案)C.對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面。D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）答案解析：解釋：應急響應包括六個階段，為準備、檢測、遏制、根除、恢復、跟蹤總結。63.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響，依據(jù)信息系統(tǒng)的重要程度對信息進行劃分，不屬于正確劃分級別的是：[單選題]*A.特別重要信息系統(tǒng)B.重要信息系統(tǒng)C.一般信息系統(tǒng)D.關鍵信息系統(tǒng)(正確答案)64.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統(tǒng)災難恢復中的重要概念，關于這兩個值能否為零，正確的選項是（）[單選題]*A.RTO可以為0，RPO也可以為0(正確答案)B.RTO可以為0，RPO不可以為0C.RTO不可以為0，但RPO可以為0D.RTO不可以為0，RPO也不可以為0答案解析：解釋：RTO可以為0，RPO也可以為0。65.某政府機構擬建設一機房，在工程安全監(jiān)理單位參與下制定了招標文件，項目分二期，一期目標為年內(nèi)實現(xiàn)系統(tǒng)上線運營，二期目標為次年上半年完成運行系統(tǒng)風險的處理：招標文件經(jīng)營管理層審批后發(fā)布，就此工程項目而言，以下正確的是：[單選題]*A.此項目將項目目標分解為系統(tǒng)上線運營和運行系統(tǒng)風險處理分期實施，具有合理性和可行性B.在工程安全監(jiān)理的參與下，確保了此招標文件的合理性C.工程規(guī)劃不符合信息安全工程的基本原則(正確答案)D.招標文件經(jīng)營管理層審批，表明工程目標符合業(yè)務發(fā)展規(guī)劃答案解析：解釋：題目描述不符合信息安全工程的“同步規(guī)劃、同步實施”的基本原則。66.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯誤的是：[單選題]*A.系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進行研究B.系統(tǒng)工程不屬于技術實現(xiàn)，而是一種方法論C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學方法(正確答案)D.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實驗、使用的科學方法答案解析：解釋：系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法67.系統(tǒng)工程的模型之一霍爾三維結構模型由時間維、邏輯維和知識維組成。有關此模型，錯誤的是：[單選題]*A.霍爾三維機構體系形成地描述了系統(tǒng)工程研究的框架B.時間維表示系統(tǒng)工程活動從開始到結束按照時間順序排列的全過程C.邏輯維的七個步驟與時間維的七個階段嚴格對應，即時間維第一階段應執(zhí)行邏輯維第一步驟的活動，時間維第二階段應執(zhí)行邏輯維第二步驟的活動(正確答案)D.知識維列舉可能需要運用的工程、醫(yī)學、建筑、商業(yè)、法律、管理、社會科學和藝術等各種知識和技能答案解析：解釋：霍爾三維模型是一種系統(tǒng)思想，無法實現(xiàn)嚴格的對應。68.北京某公司利用SSE-CMM對其自身工程隊伍能力進行自我改善，其理解正確的是：[單選題]*A.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個能力級別，當工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級(正確答案)B.達到SSE-CMM最高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行結果質(zhì)量必須相同。C.系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了3個風險過程：評價威脅，評價脆弱性，評價影響。D.SSE-CMM強調(diào)系統(tǒng)安全工程與其他工程科學的區(qū)別和獨立性。答案解析：解釋：A當工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級B錯誤，每次質(zhì)量結果難以相同。C錯誤，SSE-CMM定義了一個風險過程，包括四個部分，評估影響、評估威脅、評估脆弱性、評估安全風險。D錯誤，SSE-CMM強調(diào)的是關聯(lián)性而非獨立性。69.以下哪一項不是信息系統(tǒng)集成項目的特點：[單選題]*A.信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。B.系統(tǒng)集成就是選擇最好的產(chǎn)品和技術，開發(fā)響應的軟件和硬件，將其集成到信息系統(tǒng)的過程。(正確答案)C.信息系統(tǒng)集成項目的指導方法是“總體規(guī)劃、分步實施”。D.信息系統(tǒng)集成包含技術，管理和商務等方面，是一項綜合性的系統(tǒng)工程答案解析：解釋：系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術。70.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是：[單選題]*A.通用布纜系統(tǒng)工程B.電子設備機房系統(tǒng)工程C.計算機網(wǎng)絡系統(tǒng)工程D.以上都適用(正確答案)71.以下關于信息安全工程說法正確的是：[單選題]*A.信息化建設中系統(tǒng)功能的實現(xiàn)是最重要的B.信息化建設可以實施系統(tǒng)，而后對系統(tǒng)進行安全加固C.信息化建設中在規(guī)劃階段合理規(guī)劃信息安全，在建設階段要同步實施信息安全建設(正確答案)D.信息化建設沒有必要涉及信息安全建設答案解析：解釋：C為安全工程的同步規(guī)劃、同步實施原則。72.有關系統(tǒng)安全工程-能力成熟度模型（sse-cmm）中的基本實施（BasePractices，BP），正確的理解是：[單選題]*A.BP是基于最新技術而制定的安全參數(shù)基本配置B.大部分BP是沒有進過測試的C.一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段(正確答案)D.一項BP可以和其他BP有重疊73.有關系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：[單選題]*A.GP是涉及過程的管理、測量和制度化方面的活動B.GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動(正確答案)C.在工程實施時，GP應該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D.在評估時，GP用于判定工程組織執(zhí)行某個PA的能力答案解析：解釋：GP適用于域維中所有PA活動。74.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對一個組織的安全工程能力成熟度進行測量時，有關測量結果，錯誤的理解是：[單選題]*A.如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B.如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征，則此過程區(qū)域的能力成熟度級別達到3級“充分定義級”(正確答案)C.如果某個過程區(qū)域（ProcessAreas，PA)包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D.組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上答案解析：解釋：SSE-CMM充分定義級包括三個特征，為“定義標準過程”、“執(zhí)行已定義的過程”、“安全協(xié)調(diào)實施”。B答案中只描述了兩個公共特征。75.系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風險的基本過程領域是：[單選題]*A.風險過程(正確答案)B.工程過程C.保證過程D.評估過程答案解析：解釋：風險過程包括評估影響、評估威脅、評估脆弱性和評估安全風險。76..以下行為不屬于違反國家涉密規(guī)定的行為：[單選題]*A.將涉密計算機、涉密存儲設備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡B.通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C.在私人交往中涉及國家秘密D.以不正當手段獲取商業(yè)秘密(正確答案)答案解析：解釋：D為商業(yè)秘密，不屬于涉密規(guī)定的行為。77.具有行政法律責任強制的安全管理規(guī)定和安全制度包括1）安全事件（包括安全事故）報告制度

2）安全等級保護制度

3）信息系統(tǒng)安全監(jiān)控

4）安全專用產(chǎn)品銷售許可證制度[單選題]*A.1，2，4(正確答案)B.2，3C.2，3,4D.1，2,3答案解析：解釋：1\2\4均為管理規(guī)定和安全制度。78.信息系統(tǒng)建設完成后，（）的信息系統(tǒng)的而運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評合格后方可投入使用[單選題]*A.二級以上B.三級以上(正確答案)C.四級以上D.五級以上79.為了保障網(wǎng)絡安全，維護網(wǎng)絡安全空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展，加強在中華人民共和國境內(nèi)建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，2015年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并與7月6日起在網(wǎng)上全文公布，向社會公開征求意見，這部法律草案是（）[單選題]*A.《中華人民共和國保守國家秘密法（草案）》B.《中華人民共和國網(wǎng)絡安全法（草案）》(正確答案)C.《中華人民共和國國家安全法（草案）》D.《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》80.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)，對等級保護工作的開展提供宏觀指導和約束，明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等，關于該文件，下面理解正確的是[單選題]*A.該文件時一個由部委發(fā)布的政策性文件，不屬于法律文件(正確答案)B.該文件適用于2004年的等級保護工作，其內(nèi)容不能越蘇到2005年及之后的工作C.該文件時一個總體性知道文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件使用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位81.CC標準是目前系統(tǒng)安全認證方面最權威的而標準，那一項不是體現(xiàn)CC標準的先進性？[單選題]*A.結構開放性，即功能和保證要求可以“保護輪廓”和“安全目標”中進行一步細化和擴展B.表達方式的通用性，即給出通用的表達方式C.獨立性，它強調(diào)將安全的功能和保證分離(正確答案)D.實用性，將CC的安全性要求具體應用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中答案解析：解釋：ITSEC最早強調(diào)功能和保證的分離，不是CC的先進性。82.對于數(shù)字證書而言，一般采用的是哪個標準？[單選題]*A.ISO/IEC1540BB.802.11C.GB/T20984D.X.509(正確答案)83.在可信計算機系統(tǒng)評估準則（TCSEC）中，下列哪一項是滿足強制保護要求的最低級別？[單選題]*A.C2B.C2C.B2D.B1(正確答案)84.關于標準，下面哪項理解是錯誤的（）[單選題]*A.標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認機構批準，共同重復使用的一種規(guī)范性文件，標準是標準化活動的重要成果B.國際標準是由國際標準化組織通過并公布的標準，同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突，應以國際標準條款為準。(正確答案)C.行業(yè)標準是針對沒有國家標準而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術要求而制定的標準，同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準。D.地方標準由省、自治區(qū)、直轄市標準化行政主管部門制度，冰報國務院標準化行政主管部門和國務院有關行政主管培訓部門備案，在公布國家標準后，該地方標準即應廢止。答案解析：解釋：當國家標準和國際標準的條款發(fā)生沖突，應以國家標準條款為準。85.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統(tǒng)基礎架構，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務，請問此類RFC系列標準建設是由哪個組織發(fā)布的（）[單選題]*A.國際標準化組織B.國際電工委員會C.國際電信聯(lián)盟遠程通信標準化組織D.Internet工程任務組（IETF）(正確答案)86.關于信息安全管理體系，國際上有標準（ISO/IEC27001:2013）而我國發(fā)布了《信息技術安全技術信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標準的關系是：[單選題]*A.IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改B.EQV(等效采用)，此國家標準不等效于該國際標準C.NEQ（非等效采用），此國家標準不等效于該國際標準D.沒有采用與否的關系，兩者之間版本不同，不應該直接比較(正確答案)答案解析：解釋：ISO/IEC27001:2013和GB/T22080-2008是兩個不同的版本。87.GB/T18336<<信息技術安全性評估準則>>（CC）是測評標準類中的重要標準，該標準定義了保護輪廓（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL）,其評估保證級共分為（）個遞增的評估保證等級[單選題]*A.4B.5C.6D.7(正確答案)答案解析：解釋：CC標準EAL1-EAL7級。88.信息安全工程監(jiān)理的職責包括：[單選題]*A.質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)(正確答案)B.質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)C.確定安全要求、認可設計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D.確定安全要求、認可設計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)答案解析：解釋：A為監(jiān)理的內(nèi)容。89.關于信息安全保障的概念，下面說法錯誤的是：[單選題]*A.信息系統(tǒng)面臨的風險