2025年全國(guó)大學(xué)生網(wǎng)絡(luò)安全知識(shí)競(jìng)賽經(jīng)典題庫(kù)及答案（共184題）

2025年全國(guó)大學(xué)生網(wǎng)絡(luò)安全知識(shí)競(jìng)賽經(jīng)典題庫(kù)及答案（共184題）1.人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:A.為了更好地完成組織機(jī)構(gòu)的使命B.針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C.風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D.除了保密性,信息的完整性和可用性也引起人們的關(guān)注2.信息安全保障的最終目標(biāo)是:A.掌握系統(tǒng)的風(fēng)險(xiǎn),制定正確的策略B.確保系統(tǒng)的保密性、完整性和可用性C.使系統(tǒng)的技術(shù)、管理、工程過(guò)程和人員等安全保障要素達(dá)到要求D.保障信息系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命3.關(guān)于信息保障技術(shù)框架（IATF），下列哪種說(shuō)法是錯(cuò)誤的？A．IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；B.IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C.IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來(lái)保障信息系統(tǒng)的安全；D.IATF強(qiáng)調(diào)的是以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來(lái)提高網(wǎng)絡(luò)安全4.依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（ISST）是從信息系統(tǒng)安全保障____的角度來(lái)描述的信息系統(tǒng)安全保障方案。A.建設(shè)者B.所有者C.評(píng)估者D.制定者5.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法錯(cuò)誤的是：A.通過(guò)在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。B.信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全C.是一種通過(guò)客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng)D.是主觀和客觀綜合評(píng)估的結(jié)果；6.信息系統(tǒng)保護(hù)輪廓（ISPP）定義了__.A.某種類型信息系統(tǒng)的與實(shí)現(xiàn)無(wú)關(guān)的一組系統(tǒng)級(jí)安全保障要求B.某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障要求C.某種類型信息系統(tǒng)的與實(shí)現(xiàn)無(wú)關(guān)的一組系統(tǒng)級(jí)安全保障目的D.某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障目的7.以下對(duì)PPDR模型的解釋錯(cuò)誤的是：A．該模型提出以安全策略為核心，防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的，B．該模型的一個(gè)重要貢獻(xiàn)是加進(jìn)了時(shí)間因素，而且對(duì)如何實(shí)現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述C．該模型提出的公式1：Pt>Dt+Rt，代表防護(hù)時(shí)間大于檢測(cè)時(shí)間加響應(yīng)時(shí)間D．該模型提出的公式1：Pt＝Dt+Rt，代表防護(hù)時(shí)間為0時(shí)，系統(tǒng)檢測(cè)時(shí)間等于檢測(cè)時(shí)間加響應(yīng)時(shí)間8.以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)作內(nèi)容之一？A．提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B．保證信息安全資金投入&C．加快信息安全人才培養(yǎng)D．重視信息安全應(yīng)急處理工作9.誰(shuí)首先提出了擴(kuò)散－混淆的概念并應(yīng)用于密碼學(xué)領(lǐng)域？A.香農(nóng)B.ShamirC.HellmanD.圖靈10.以下哪些問(wèn)題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問(wèn)題？A．大整數(shù)分解B．離散對(duì)數(shù)問(wèn)題C．背包問(wèn)題D．偽隨機(jī)數(shù)發(fā)生器11.下列關(guān)于kerckhofff準(zhǔn)則的合理性闡述中，哪一項(xiàng)是正確的？A.保持算法的秘密比保持密鑰的秘密性要困難得多B.密鑰一旦泄漏，也可以方便地更換C.在一個(gè)密碼系統(tǒng)中，密碼算法是可以公開(kāi)的，密鑰應(yīng)保證安全D.公開(kāi)的算法能夠經(jīng)過(guò)更嚴(yán)格的安全性分析12.以下關(guān)于RSA算法的說(shuō)法，正確的是：A.RSA不能用于數(shù)據(jù)加密B.RSA只能用于數(shù)字簽名C.RSA只能用于密鑰交換D.RSA可用于加密，數(shù)字簽名和密鑰交換體制13.Hash算法的碰撞是指：A.兩個(gè)不同的消息，得到相同的消息摘要B.兩個(gè)相同的消息，得到不同的消息摘要C.消息摘要和消息的長(zhǎng)度相同D.消息摘要比消息的長(zhǎng)度更長(zhǎng)14.下列哪種算法通常不被用于保證機(jī)密性？A.AESB.RC4C.RSAD.MD515.數(shù)字證書的功能不包括：A.加密B.數(shù)字簽名C.身份認(rèn)證D.消息摘要16.下列哪一項(xiàng)是注冊(cè)機(jī)構(gòu)（RA）的職責(zé)？A．證書發(fā)放B．證書注銷C．提供目錄服務(wù)讓用戶查詢D．審核申請(qǐng)人信息17.IPsec工作模式分別是：A.一種工作模式：加密模式B.三種工作模式：機(jī)密模式、傳輸模式、認(rèn)證模式C.兩種工作模式：隧道模式、傳輸模式D.兩種工作模式：隧道模式、加密模式18.下列哪些描述同SSL相關(guān)？A.公鑰使用戶可以交換會(huì)話密鑰，解密會(huì)話密鑰并驗(yàn)證數(shù)字簽名的真實(shí)性B.公鑰使用戶可以交換會(huì)話密鑰，驗(yàn)證數(shù)字簽名的真實(shí)性以及加密數(shù)據(jù)C.私鑰使用戶可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會(huì)話密鑰。19.下列關(guān)于IKE描述不正確的是：A．IKE可以為IPsec協(xié)商關(guān)聯(lián)B．IKE可以為RIPV2\OSPPV2等要求保密的協(xié)議協(xié)商安全參數(shù)C．IKE可以為L(zhǎng)2TP協(xié)商安全關(guān)聯(lián)D．IKE可以為SNMPv3等要求保密的協(xié)議協(xié)調(diào)安全參數(shù)20.下面哪一項(xiàng)不是VPN協(xié)議標(biāo)準(zhǔn)？A.L2TPB.IPSecC.TACACSD.PPTP21.自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？A．具有較高的安全性B．控制粒度較大C．配置效率不高D．具有較強(qiáng)的靈活性22.以下關(guān)于ChineseWall模型說(shuō)法正確的是A.Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取銀行c中的數(shù)據(jù)B.模型中的有害客體是指會(huì)產(chǎn)生利益沖突，不需要限制的數(shù)據(jù)C.Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取石油公司u中的數(shù)據(jù)D.Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由則Bob可以往石油公司u中寫數(shù)據(jù)23.以下關(guān)于BLP模型規(guī)則說(shuō)法不正確的是：A．BLP模型主要包括簡(jiǎn)單安全規(guī)則和*-規(guī)則B．*-規(guī)則可以簡(jiǎn)單表述為下寫C．主體可以讀客體，當(dāng)且僅當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限D(zhuǎn)．主體可以讀客體，當(dāng)且僅當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限24.以下關(guān)于RBAC模型說(shuō)法正確的是：A．該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來(lái)決定用戶在系統(tǒng)中的訪問(wèn)權(quán)限B．一個(gè)用戶必須扮演并激活某種角色，才能對(duì)一個(gè)象進(jìn)行訪問(wèn)或執(zhí)行某種操作C．在該模型中，每個(gè)用戶只能有一個(gè)角色D．在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián)25.下列對(duì)常見(jiàn)強(qiáng)制訪問(wèn)控制模型說(shuō)法不正確的是：A．BLP影響了許多其他訪問(wèn)控制模型的發(fā)展B．Clark-Wilson模型是一種以事物處理為基本操作的完整性模型C．ChineseWall模型是一個(gè)只考慮完整性的安全策略模型D．Biba模型是一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型26.訪問(wèn)控制的主要作用是：A.防止對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)B.在安全事件后追查非法訪問(wèn)活動(dòng)C.防止用戶否認(rèn)在信息系統(tǒng)中的操作D.以上都是27.作為一名信息安全專業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問(wèn)控制策略。由于該公司的人員流動(dòng)較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來(lái)確定對(duì)信息資源的訪問(wèn)權(quán)限，最應(yīng)該采用下列哪一種訪問(wèn)控制模型？A．自主訪問(wèn)控制（DAC）B．強(qiáng)制訪問(wèn)控制(MAC)C．基于角色訪問(wèn)控制(RBAC)D．最小特權(quán)(LEASTPrivilege)28.下列對(duì)kerberos協(xié)議特點(diǎn)描述不正確的是：A.協(xié)議采用單點(diǎn)登錄技術(shù)，無(wú)法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證—B.協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證C.只要用戶拿到了TGT并且TGT沒(méi)有過(guò)期，就可以使用該TGT通過(guò)TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼D.AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全29.以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是：A．單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享B．使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問(wèn)多個(gè)應(yīng)用C．單點(diǎn)登錄不僅方便用戶使用，而且也便于管理D．使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)30.下列對(duì)標(biāo)識(shí)和鑒別的作用說(shuō)法不正確的是：A.它們是數(shù)據(jù)源認(rèn)證的兩個(gè)因素B.在審計(jì)追蹤記錄時(shí)，它們提供與某一活動(dòng)關(guān)聯(lián)的確知身份C.標(biāo)識(shí)與鑒別無(wú)法數(shù)據(jù)完整性機(jī)制結(jié)合起來(lái)使用D.作為一種必要支持，訪問(wèn)控制的執(zhí)行依賴于標(biāo)識(shí)和鑒別確知的身份31.下面哪一項(xiàng)不屬于集中訪問(wèn)控制管理技術(shù)？A．RADIUSB．TEMPESTC．TACACSD．Diameter32.安全審計(jì)是系統(tǒng)活動(dòng)和記錄的獨(dú)立檢查和驗(yàn)證，以下哪一項(xiàng)不是審計(jì)系統(tǒng)的作用？A．輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊B．對(duì)與已建立的安全策略的一致性進(jìn)行核查C．及時(shí)阻斷違反安全策略的致性的訪問(wèn)D．幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施33.下列對(duì)蜜網(wǎng)關(guān)鍵技術(shù)描述不正確的是：A.數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客的所有行為數(shù)據(jù)B.數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)，使用工具及其意圖C.通過(guò)數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全D.通過(guò)數(shù)據(jù)控制、捕獲和分析，能對(duì)活動(dòng)進(jìn)行監(jiān)視、分析和阻止34.以下哪種無(wú)線加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？A．WepB．wpaC．wpa2D．wapi35.路由器的標(biāo)準(zhǔn)訪問(wèn)控制列表以什么作為判別條件？A.數(shù)據(jù)包的大小B.數(shù)據(jù)包的源地址C.數(shù)據(jù)包的端口號(hào)D.數(shù)據(jù)包的目的地址36.通常在設(shè)計(jì)VLAN時(shí)，以下哪一項(xiàng)不是VIAN規(guī)劃方法？A．基于交換機(jī)端口B．基于網(wǎng)絡(luò)層協(xié)議C．基于MAC地址D．基于數(shù)字證書37.防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換（MAT）的主要作用是：A．提供代理服務(wù)B．隱藏內(nèi)部網(wǎng)絡(luò)地址C．進(jìn)行入侵檢測(cè)D．防止病毒入侵38.哪一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來(lái)控制訪問(wèn)連接的能力？A．包過(guò)濾防火墻B．狀態(tài)檢測(cè)防火墻C．應(yīng)用網(wǎng)關(guān)防火墻D．以上都不能39.以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能？A．監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B．捕捉可疑的網(wǎng)絡(luò)活動(dòng)C．提供安全審計(jì)報(bào)告D．過(guò)濾非法的數(shù)據(jù)包40.下面哪一項(xiàng)不是通用IDS模型的組成部分:A.傳感器B.過(guò)濾器C.分析器D.管理器41.windows操作系統(tǒng)中,令人欲限制用戶無(wú)效登錄的次數(shù),應(yīng)當(dāng)怎么做?A.在”本地安全設(shè)置”中對(duì)”密碼策略”進(jìn)行設(shè)置B.在”本地安全設(shè)置”中對(duì)”用戶鎖定策略”進(jìn)行設(shè)置C.在”本地安全設(shè)置”中對(duì)”審核策略”進(jìn)行設(shè)置D.在”本地安全設(shè)置”中對(duì)”用戶權(quán)利措施”進(jìn)行設(shè)置42.下列哪一項(xiàng)與數(shù)據(jù)庫(kù)的安全的直接關(guān)系？A.訪問(wèn)控制的程度B．?dāng)?shù)據(jù)庫(kù)的大小C．關(guān)系表中屬性的數(shù)量D．關(guān)系表中元組的數(shù)量43.ApacheWeb服務(wù)器的配置文件一般位于//local/spache/conf目錄.其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是:A.httqd.confB.srm.confC.access.confD.inetd.conf44.關(guān)于計(jì)算機(jī)病毒具有的感染能力不正確的是:A.能將自身代碼注入到引導(dǎo)區(qū)B.能將自身代碼注入到限區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼45.蠕蟲的特性不包括:A.文件寄生B.拒絕服務(wù)C.傳播快D.隱蔽性好46.關(guān)于網(wǎng)頁(yè)中的惡意代碼,下列說(shuō)法錯(cuò)誤的是:A.網(wǎng)頁(yè)中的惡意代碼只能通過(guò)IE瀏覽器發(fā)揮作用B.網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)注冊(cè)表C.網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)文件D.網(wǎng)頁(yè)中的惡意代碼可以竊取用戶的機(jī)密文件47.當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢語(yǔ)句的一部分執(zhí)行時(shí),就會(huì)產(chǎn)生哪種類型的漏洞?A.緩沖區(qū)溢出B.設(shè)計(jì)錯(cuò)誤C.信息泄露D.代碼注入48.下列哪一項(xiàng)不是信息安全漏洞的載體?A.網(wǎng)絡(luò)協(xié)議B.操作系統(tǒng)C.應(yīng)用系統(tǒng)D.業(yè)務(wù)數(shù)據(jù)49.攻擊者使用偽造的SYN包,包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址,這樣被攻擊方會(huì)給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)建一個(gè)連接,每一個(gè)這樣的連接都將保持到超時(shí)為止,這樣過(guò)多的空連接會(huì)耗盡被攻擊方的資源,導(dǎo)致拒絕服務(wù).這種攻擊稱為之為:A.Land攻擊B.Smurf攻擊C.PingofDeath攻擊D.ICMPFlood50.以下哪個(gè)攻擊步驟是IP欺騙(IPSPoof)系列攻擊中最關(guān)鍵和難度最高的?A.對(duì)被冒充的主機(jī)進(jìn)行拒絕服務(wù),使其無(wú)法對(duì)目標(biāo)主機(jī)進(jìn)行響應(yīng)B.與目標(biāo)主機(jī)進(jìn)行會(huì)話,猜測(cè)目標(biāo)主機(jī)的序號(hào)規(guī)則C.冒充受信主機(jī)想目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包,欺騙目標(biāo)主機(jī)D.向目標(biāo)主機(jī)發(fā)送指令,進(jìn)行會(huì)話操作51.以下針對(duì)Land攻擊的描述,哪個(gè)是正確的?A.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過(guò)IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報(bào)文,導(dǎo)致目標(biāo)主機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)B.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過(guò)向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請(qǐng)求,導(dǎo)致目標(biāo)主機(jī)處理錯(cuò)誤形成拒絕服務(wù)C.Land攻擊是一種利用協(xié)議漏洞進(jìn)行攻擊的方式,通過(guò)發(fā)送定制的錯(cuò)誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯(cuò)誤而崩潰D.Land是一種利用系統(tǒng)漏洞進(jìn)行攻擊的方式,通過(guò)利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰52.下列對(duì)垮站腳本攻擊(XSS)描述正確的是:A.XSS攻擊指的是惡意攻擊者往WEB頁(yè)面里插入惡意代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中WEB里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的.B.XSS攻擊是DDOS攻擊的一種變種C.XSS.攻擊就是CC攻擊D.XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問(wèn)請(qǐng)求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的53.下列哪一項(xiàng)不屬于FUZZ測(cè)試的特性?A.主要針對(duì)軟件漏洞或可靠性錯(cuò)誤進(jìn)行測(cè)試.B.采用大量測(cè)試用例進(jìn)行激勵(lì)響應(yīng)測(cè)試C.一種試探性測(cè)試方法,沒(méi)有任何依據(jù)&D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試目標(biāo)產(chǎn)生異常54.對(duì)攻擊面(Attacksurface)的正確定義是:A.一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合,軟件存在的攻擊面越多,軟件的安全性就越低B.對(duì)一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合,一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大C.一個(gè)軟件系統(tǒng)的功能模塊的集合,軟件的功能模塊越多,可被攻擊的點(diǎn)也越多,安全風(fēng)險(xiǎn)也越大D.一個(gè)軟件系統(tǒng)的用戶數(shù)量的集合,用戶的數(shù)量越多,受到攻擊的可能性就越大,安全風(fēng)險(xiǎn)也越大55.以下哪個(gè)不是軟件安全需求分析階段的主要任務(wù)?A.確定團(tuán)隊(duì)負(fù)責(zé)人和安全顧問(wèn)B.威脅建模C.定義安全和隱私需求(質(zhì)量標(biāo)準(zhǔn))D.設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄56.風(fēng)險(xiǎn)評(píng)估方法的選定在PDCA循環(huán)中的那個(gè)階段完成？A.實(shí)施和運(yùn)行B.保持和改進(jìn)C.建立D.監(jiān)視和評(píng)審57.下面關(guān)于ISO27002的說(shuō)法錯(cuò)誤的是:A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用,但不是全部C.ISO27002對(duì)于每個(gè)措施的表述分”控制措施”、“實(shí)施指南”、和“其它信息”三個(gè)部分來(lái)進(jìn)行描述D．ISO27002提出了十一大類的安全管理措施，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施58.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：A．安全必須是完美無(wú)缺、面面俱到的。B．最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C．在解決、預(yù)防信息安全問(wèn)題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D．防范不足就會(huì)造成損失；防范過(guò)多就可以避免損失。59.風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過(guò)程，關(guān)于這些過(guò)程，以下的說(shuō)法哪一個(gè)是正確的?A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性B．風(fēng)險(xiǎn)要素識(shí)別的內(nèi)容是識(shí)別可能發(fā)生的安全事件對(duì)信息系統(tǒng)的影響程度C．風(fēng)險(xiǎn)分析的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性D．風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施60.你來(lái)到服務(wù)器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請(qǐng)維修工來(lái)把窗戶修好。你離開(kāi)后，沒(méi)有再過(guò)問(wèn)這事。這件事的結(jié)果對(duì)與持定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響？A．如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)增加B．如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變C．如果窗戶沒(méi)被修好，威脅真正出現(xiàn)的可能性會(huì)下降D．如果窗戶沒(méi)被修好，威脅真正出現(xiàn)的可能性會(huì)增加61.在對(duì)安全控制進(jìn)行分析時(shí)，下面哪個(gè)描述是錯(cuò)誤的？A．對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的B．應(yīng)選擇對(duì)業(yè)務(wù)效率影響最小的安全措施C．選擇好實(shí)施安全控制的時(shí)機(jī)和位置，提高安全控制的有效性D．仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來(lái)的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)62.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則？A．風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之中B．風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C．由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D．在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力63.對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)管理描述不正確的是：A.漏洞掃描是整個(gè)安全評(píng)估階段重要的數(shù)據(jù)來(lái)源而非全部B．風(fēng)險(xiǎn)管理是動(dòng)態(tài)發(fā)展的，而非停滯、靜態(tài)的C．風(fēng)險(xiǎn)評(píng)估的結(jié)果以及決策方案必須能夠相互比較才可以具有較好的參考意義D．風(fēng)險(xiǎn)評(píng)估最重要的因素是技術(shù)測(cè)試工具64.下列哪一項(xiàng)準(zhǔn)確地描述了脆弱性、威脅、暴露和風(fēng)險(xiǎn)之間的關(guān)系？A．脆弱性增加了威脅，威脅利用了風(fēng)險(xiǎn)并導(dǎo)致了暴露B．風(fēng)險(xiǎn)引起了脆弱性并導(dǎo)致了暴露，暴露又引起了威脅C．風(fēng)險(xiǎn)允許威脅利用脆弱性，并導(dǎo)致了暴露D．威脅利用脆弱性并產(chǎn)生影響的可能性稱為風(fēng)險(xiǎn)，暴露是威脅已造成損害的實(shí)例65.統(tǒng)計(jì)數(shù)據(jù)指出，對(duì)大多數(shù)計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，最大的威脅是：A．本單位的雇員B．黑客和商業(yè)間諜C(jī)．未受培訓(xùn)的系統(tǒng)用戶D．技術(shù)產(chǎn)品和服務(wù)供應(yīng)商66．風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)和第三方評(píng)估。這兩種評(píng)估方式最本質(zhì)的差別是什么？A．評(píng)估結(jié)果的客觀性B．評(píng)估工具的專業(yè)程度C．評(píng)估人員的技術(shù)能力D．評(píng)估報(bào)告的形式67.應(yīng)當(dāng)如何理解信息安全管理體系中的“信息安全策略”？A．為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提供的一系列建議B．為了定義訪問(wèn)控制需求面產(chǎn)生出來(lái)的一些通用性指引C．組織高層對(duì)信息安全工作意圖的正式表達(dá)D．一種分階段的安全處理結(jié)果68.以下哪一個(gè)是對(duì)人員安全管理中“授權(quán)蔓延”這概念的正確理解？A．外來(lái)人員在進(jìn)行系統(tǒng)維護(hù)時(shí)沒(méi)有收到足夠的監(jiān)控B．一個(gè)人擁有了不是其完成工作所必要的權(quán)限C．敏感崗位和重要操作長(zhǎng)期有一個(gè)人獨(dú)自負(fù)責(zé)D．員工由一個(gè)崗位變動(dòng)到另一人崗位，累積越來(lái)越多權(quán)限69.一個(gè)組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)是不應(yīng)該了解的？A．誰(shuí)負(fù)責(zé)信息安全管理制度的制定和發(fā)布B．誰(shuí)負(fù)責(zé)都督信息安全制度的執(zhí)行C．信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)工作的具體流程&D．如果違反了制度可能受到的懲戒措施70.一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒(méi)有數(shù)據(jù)損失，恢復(fù)時(shí)間目標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？A．一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來(lái)的熱站B．多區(qū)域異步更新的分布式數(shù)據(jù)庫(kù)系統(tǒng)C．一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站D．一個(gè)同步過(guò)程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來(lái)的混站71.以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：A．同步復(fù)制B．異步復(fù)制C．定點(diǎn)拷貝復(fù)制D．基于磁盤的復(fù)制72.當(dāng)公司計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊，進(jìn)行現(xiàn)場(chǎng)保護(hù)應(yīng)當(dāng):1〉指定可靠人員看守2〉無(wú)特殊且十分必須原因禁止任何人員進(jìn)出現(xiàn)場(chǎng)3〉應(yīng)采取措施防人為地刪除或修改現(xiàn)場(chǎng)計(jì)算機(jī)信息系統(tǒng)保留的數(shù)據(jù)和其他電子痕跡4〉無(wú)行列且十分必須原因禁止任何人員接觸現(xiàn)場(chǎng)計(jì)算機(jī)A．1，2B．1，2，3C．2，3D．1，2，3，4&73.有一些信息安全事件是由于信息系統(tǒng)中多個(gè)部分共同作用造成的，人們稱這類事件為“多組件事故”，應(yīng)對(duì)這類安全事件最有效的方法是：A．配置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以檢測(cè)某些類型的違法或誤用行為B．使用防病毒軟件，并且保持更新為最新的病毒特征碼C．將所有公共訪問(wèn)的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)（DMZ）D.使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件74.下列哪項(xiàng)是基于系統(tǒng)的輸入、輸出和文件的數(shù)目和復(fù)雜性測(cè)量信息系統(tǒng)的大??？A．功能點(diǎn)（FP）B．計(jì)劃評(píng)價(jià)與審查技術(shù)（PERT）C．快速應(yīng)用開(kāi)發(fā)（RAD）D．關(guān)鍵路徑方法（CPM）75.下面哪一項(xiàng)為系統(tǒng)安全工程能力成熟度模型提供了評(píng)估方法？A.ISSEB.SSAMC.SSRD.CEM76.一個(gè)組織的系統(tǒng)安全能力成熟度模型達(dá)到哪個(gè)級(jí)別以后，就可以考慮為過(guò)程域（PR）的實(shí)施提供充分的資源？A．2級(jí)――計(jì)劃和跟蹤B．3級(jí)――充分定義C．4級(jí)――最化控制D．5級(jí)――持續(xù)改進(jìn)77.IT工程建設(shè)與IT安全工程建設(shè)脫節(jié)是眾多安全風(fēng)險(xiǎn)涌現(xiàn)的根源，同時(shí)安全風(fēng)險(xiǎn)也越來(lái)越多地體現(xiàn)在應(yīng)用層。因此迫切需要加強(qiáng)對(duì)開(kāi)發(fā)階段的安全考慮，特別是要加強(qiáng)對(duì)數(shù)據(jù)安全性的考慮，以下哪項(xiàng)工作是在IT項(xiàng)目的開(kāi)發(fā)階段不需要重點(diǎn)考慮的安全因素？A．操作系統(tǒng)的安全加固B．輸入數(shù)據(jù)的校驗(yàn)C．?dāng)?shù)據(jù)處理過(guò)程控制D．輸出數(shù)據(jù)的驗(yàn)證78.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。79.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣80.依據(jù)信息系統(tǒng)安全保障模型，以下那個(gè)不是安全保證對(duì)象A、機(jī)密性B、管理C、過(guò)程D、人員81.系統(tǒng)審計(jì)日志不包括以下哪一項(xiàng)？A、時(shí)間戳B、用戶標(biāo)識(shí)C、對(duì)象標(biāo)識(shí)D、處理結(jié)果82.TCP三次握手協(xié)議的第一步是發(fā)送一個(gè)：A、SYN包B、SCK包C、UDP包D、NULL包83.以下指標(biāo)可用來(lái)決定在應(yīng)用系統(tǒng)中采取何種控制措施，除了A、系統(tǒng)中數(shù)據(jù)的重要性B、采用網(wǎng)絡(luò)監(jiān)控軟件的可行性C、如果某具體行動(dòng)或過(guò)程沒(méi)有被有效控制，由此產(chǎn)生的風(fēng)險(xiǎn)等級(jí)D、每個(gè)控制技術(shù)的效率，復(fù)雜性和花費(fèi)84、用戶如果有熟練的技術(shù)技能且對(duì)程序有詳盡的了解，就能巧妙的避過(guò)安全性程序，對(duì)生產(chǎn)程序做出更改。為防止這種可能，要增強(qiáng)：A、工作處理報(bào)告的復(fù)查B、生產(chǎn)程序于被單獨(dú)控制的副本之間的比較C、周期性測(cè)試數(shù)據(jù)的運(yùn)行D、恰當(dāng)?shù)呢?zé)任分割85、程序安全對(duì)應(yīng)用安全有很大的影響，因此安全編程的一個(gè)重要環(huán)節(jié)。用軟件工程的方法編制程序是保證安全的根本。在程序設(shè)計(jì)階段，推薦使用的方法有：a建立完整的與安全相關(guān)的程序文件b嚴(yán)格控制程序庫(kù)c正確選用程序開(kāi)發(fā)工具d制定適當(dāng)?shù)某绦蛟L問(wèn)控制A.a、b、c、dB.a、b、cC.b、c、dD.b、c86、ChineseWall模型的設(shè)計(jì)宗旨是：A、用戶只能訪問(wèn)那些與已經(jīng)擁有的信息不沖突的信息B、用戶可以訪問(wèn)所有的信息C、用戶可以訪問(wèn)所有已經(jīng)選擇的信息D、用戶不可以訪問(wèn)那些沒(méi)有選擇的信息87、對(duì)不同的身份鑒別方法所提供的按防止重用攻擊從大到?。篈、僅用口令，口令及個(gè)人識(shí)別號(hào)（PIN），口令響應(yīng)，一次性口令B、口令及個(gè)人識(shí)別號(hào)（PIN），口令響應(yīng)，一次性口令，僅由口令C、口令響應(yīng)，一次性口令，口令及個(gè)人識(shí)別號(hào)（PIN），僅有口令D、口令響應(yīng)，口令及個(gè)人識(shí)別號(hào)（PIN），一次性口令，僅有口令88.下面那個(gè)協(xié)議在TCP/IP協(xié)議的低層起作用？A、SSLB、SKIPC、S-HTTPD、S-PPC89.UDP端口掃描的依據(jù)是：A、根據(jù)掃描對(duì)放開(kāi)房端口返回的信息判斷B、根據(jù)掃描對(duì)方關(guān)閉端口返回的信息判斷C、綜合考慮A和B的情況進(jìn)行判斷D、既不根據(jù)A也不根據(jù)B90.合適于在互聯(lián)網(wǎng)上建立一個(gè)安全企業(yè)內(nèi)部互聯(lián)網(wǎng)的？A、用戶信道加密B、安裝加密的路由器C、安裝加密的防火墻D、在私有的網(wǎng)絡(luò)服務(wù)器上實(shí)現(xiàn)密碼控制機(jī)制91.以下的危險(xiǎn)情況哪一個(gè)不適與數(shù)字簽名和隨機(jī)數(shù)字有關(guān)的？A、偽裝B、重復(fù)攻擊C、密碼威脅D、拒絕服務(wù)92.安全標(biāo)志和訪問(wèn)控制策略是由下面哪一個(gè)訪問(wèn)控制制度所支持的？A、基于身份的制度B、基于身份認(rèn)證的制度C、用戶指導(dǎo)制度D、強(qiáng)制訪問(wèn)控制制度93.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性。以下那一層沒(méi)有提供機(jī)密性服務(wù)？A、表示層B、傳輸層C、網(wǎng)絡(luò)層D、會(huì)話層94.、“中華人民共和國(guó)保守國(guó)家秘密法”第二章規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為：A、普密、商密兩個(gè)級(jí)別B、低級(jí)和高級(jí)兩個(gè)級(jí)別C、絕密、機(jī)密、秘密三個(gè)級(jí)別D、一密、二密、三密、四密四個(gè)級(jí)別95.除了對(duì)訪問(wèn)、處理、程序變更和其他功能進(jìn)行控制外，為保障系統(tǒng)的安全需要仍需要建立信息審計(jì)追蹤。在一個(gè)用來(lái)記錄非法的系統(tǒng)訪問(wèn)嘗試的審計(jì)追蹤日志中，一般不會(huì)包括下列哪項(xiàng)信息？A、授權(quán)用戶列表B、事件或交易嘗試的類型C、進(jìn)行嘗試的終端D、被獲取的數(shù)據(jù)96.幀中繼和X.25網(wǎng)絡(luò)是以下哪個(gè)選項(xiàng)的一部分？A、電路交換服務(wù)B、單元交換服務(wù)C、分組交換服務(wù)D、專用數(shù)字服務(wù)97.在分布式開(kāi)放系統(tǒng)的環(huán)境中，以下哪個(gè)選項(xiàng)的數(shù)據(jù)庫(kù)訪問(wèn)服務(wù)提供允許或禁止訪問(wèn)的能力？A、對(duì)話管理服務(wù)B、事務(wù)管理服務(wù)C、資源管理服務(wù)D、控制管理服務(wù)98.為了阻止網(wǎng)絡(luò)假冒，最好的方法是：A、回?fù)芗夹g(shù)B、文件加密C、回?fù)芗夹g(shù)加上數(shù)據(jù)加密D、撥號(hào)轉(zhuǎn)移技術(shù)99以下哪一項(xiàng)不能適應(yīng)特洛伊木馬的攻擊？A、強(qiáng)制訪問(wèn)控制B、自主訪問(wèn)控制C、邏輯訪問(wèn)控制D、訪問(wèn)控制表100、以下哪一種人給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？A臨時(shí)工B咨詢?nèi)藛TC．以前員工D．當(dāng)前員工101.一個(gè)公司經(jīng)常修正其生產(chǎn)過(guò)程。從而造成對(duì)處理程序可能會(huì)伴隨一些改動(dòng)。下列哪項(xiàng)功能可以確保這些改動(dòng)的影響處理過(guò)程，保證它們對(duì)系統(tǒng)的影響風(fēng)險(xiǎn)最?。緼．安全管理B．變更控制C．問(wèn)題追蹤D．問(wèn)題升級(jí)程序102.應(yīng)用軟件測(cè)試的正確順序是：A、集成測(cè)試，單元測(cè)試，系統(tǒng)測(cè)試，交付測(cè)試B．單元測(cè)試，系統(tǒng)測(cè)試，集成測(cè)試，交付測(cè)試C．交付測(cè)試，單元測(cè)試，集成測(cè)試，系統(tǒng)測(cè)試D．單元測(cè)試，集成測(cè)試，系統(tǒng)測(cè)試，交付測(cè)試103.哪個(gè)TCP/IP指令會(huì)得出下面結(jié)果？Interface:52InternetAddressPhysicalAddressTypeAo-ee-oo-5b-oe-acdynamicARPNetstatTracertNbtstat104.哪個(gè)TCP/IP協(xié)議能夠表明域里哪臺(tái)是郵件服務(wù)器？A、FTPB、nslookupC、tracertD、Telnet105、數(shù)據(jù)庫(kù)管理系統(tǒng)DBMS主要由哪兩大部分組成？A、文件管理器和查詢處理器B、事務(wù)處理器和存儲(chǔ)管理器C、存儲(chǔ)管理器和查詢處理器D、文件管理器和存儲(chǔ)管理器106.SQL語(yǔ)言可以在宿主語(yǔ)言中使用，也可以獨(dú)立地交互式使用。寄宿嵌入混合并行107.下列為對(duì)稱加密算法的例子為RijndaelRSADiffie-HellmanKnapsack108.下面哪種不是WINDOWS2000安裝后默認(rèn)有的共享？C＄Ipc＄Admin＄Systemroot＄109.在WINDOWS2000系統(tǒng)中，用什么命令或工具可以看到系統(tǒng)上開(kāi)放的端口和進(jìn)程的對(duì)應(yīng)關(guān)系？NETSTATNETUSEFPORTURLSCAN110．為盡量防止通過(guò)瀏覽網(wǎng)頁(yè)感染惡意代碼，下列做法中錯(cuò)誤的是：不使用IE瀏覽器，而使用Opera之類的第三方瀏覽器。關(guān)閉IE瀏覽器的自動(dòng)下載功能。禁用IE瀏覽器的活動(dòng)腳本功能。先把網(wǎng)頁(yè)保存到本地再瀏覽。111．下列關(guān)于病毒和蠕蟲的說(shuō)法正確的是：紅色代碼（CodeRed）是病毒。Nimda是蠕蟲。CIH病毒可以感染W(wǎng)INDOWS98也可以感染W(wǎng)INDOWS2000.世界上最早的病毒是小球病毒。112、下列為非對(duì)稱加密算法的例子為IDEADES3DESELLIPTOCCURVE113．為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項(xiàng)技能？人際關(guān)系技能項(xiàng)目管理技能技術(shù)技能溝通技能114．保護(hù)輪廓（PP）是下面哪一方提出的安全要求？評(píng)估方開(kāi)發(fā)方用戶方制定標(biāo)準(zhǔn)方115．以下哪個(gè)選項(xiàng)不是信息中心（IC）工作職能的一部分？準(zhǔn)備最終用戶的預(yù)算選擇PC的硬件和軟件保持所有PC的硬件和軟件的清單提供被認(rèn)可的硬件和軟件的技術(shù)支持116.在最近一次工資數(shù)據(jù)更新之后，一個(gè)未經(jīng)授權(quán)的員工從公司的計(jì)算機(jī)中心得到了打印的公司數(shù)據(jù)表，為保證只有經(jīng)授權(quán)的員工才能得到敏感的打印數(shù)據(jù)，控制手段包括日志和：有控制地銷毀作廢的打印數(shù)據(jù)接收人的簽名確認(rèn)對(duì)磁盤上的打印輸出文件進(jìn)行訪問(wèn)控制敏感打印數(shù)據(jù)的強(qiáng)制過(guò)期日期117．下面哪一個(gè)是國(guó)家推薦性標(biāo)準(zhǔn)？GB/T18020-1999應(yīng)用級(jí)防火墻安全技術(shù)要求SJ/T30003-93電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范GA243-2000計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則ISO/IEC15408-1999信息技術(shù)安全性評(píng)估準(zhǔn)則118．為了確定自從上次合法的程序更新后程序是否被非法改變過(guò)，信息系統(tǒng)安全審核員可以采用的審計(jì)技術(shù)是：代碼比照代碼檢查測(cè)試運(yùn)行日期分析檢查119．在WINDOWS2000系統(tǒng)中，哪個(gè)進(jìn)程是IIS服務(wù)的進(jìn)程？Inetinfo.exeLsass.exeMstask.exeInternat.exe120.下面哪一個(gè)用于電子郵件的鑒別和機(jī)密性?數(shù)字簽名IPSECAHPGPMD4121．在某個(gè)攻擊中，入侵者通過(guò)由系統(tǒng)用戶或系統(tǒng)管理員主動(dòng)泄漏的可以訪問(wèn)系統(tǒng)資源的信息，獲得系統(tǒng)訪問(wèn)權(quán)限的行為被稱作：社會(huì)工程非法竊取電子欺騙電子竊聽(tīng)122．CC的一般模型基于：風(fēng)險(xiǎn)管理模型Belllapadula模型PDCA模型PDR模型123．事件響應(yīng)方法學(xué)定義了安全事件處理的流程，這個(gè)流程的順序是：準(zhǔn)備－抑制－檢測(cè)－根除－恢復(fù)－跟進(jìn)準(zhǔn)備－檢測(cè)－抑制－恢復(fù)－根除－跟進(jìn)準(zhǔn)備－檢測(cè)－抑制－根除－恢復(fù)－跟進(jìn)準(zhǔn)備－抑制－根除－檢測(cè)－恢復(fù)－跟進(jìn)124．PDR模型中，下面哪個(gè)措施不屬于防護(hù)(P)措施：物理門禁防火墻入侵檢測(cè)加密125．CC中的評(píng)估保證級(jí)（EAL）4級(jí)涵義是：結(jié)構(gòu)測(cè)試級(jí)方法測(cè)試和校驗(yàn)級(jí)系統(tǒng)的設(shè)計(jì)、測(cè)試和評(píng)審級(jí)半形式化設(shè)計(jì)和測(cè)試級(jí)126．以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險(xiǎn)？總風(fēng)險(xiǎn)最小化風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)隨著全球信息化的發(fā)展，信息安全成了網(wǎng)絡(luò)時(shí)代的熱點(diǎn)，為了保證我國(guó)信息產(chǎn)業(yè)的發(fā)展與安全，必須加強(qiáng)對(duì)信息安全產(chǎn)品、系統(tǒng)、服務(wù)的測(cè)評(píng)認(rèn)證，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心正是由國(guó)家授權(quán)從事測(cè)評(píng)認(rèn)證的國(guó)家級(jí)測(cè)評(píng)認(rèn)證實(shí)體機(jī)構(gòu)，以下對(duì)其測(cè)評(píng)認(rèn)證工作的錯(cuò)誤認(rèn)識(shí)是：A測(cè)評(píng)與認(rèn)證是兩個(gè)不同概念，信息安全產(chǎn)品或系統(tǒng)認(rèn)證需經(jīng)過(guò)申請(qǐng)、測(cè)試、評(píng)估、認(rèn)證一系列環(huán)節(jié)。B認(rèn)證公告將在一些媒體上定期發(fā)布，只有通過(guò)認(rèn)證的產(chǎn)品才會(huì)向公告、測(cè)試中或沒(méi)有通過(guò)測(cè)試的產(chǎn)品不再公告之列。C對(duì)信息安全產(chǎn)品的測(cè)評(píng)認(rèn)證制度是我國(guó)按照WTO規(guī)則建立的技術(shù)壁壘的管理體制。D通過(guò)測(cè)試認(rèn)證達(dá)到中心認(rèn)證標(biāo)準(zhǔn)的安全產(chǎn)品或系統(tǒng)完全消除了安全風(fēng)險(xiǎn)。128.下列哪一項(xiàng)是磁介質(zhì)上信息擦除的最徹底形式？A格式化B消磁C刪除D破壞129.如果你剛收到一封你同事轉(zhuǎn)發(fā)過(guò)來(lái)的電子郵件，警告你出現(xiàn)了一個(gè)可怕的新病毒，你會(huì)先做下面哪件事情？A將這個(gè)消息傳給你認(rèn)識(shí)的每個(gè)人。B用一個(gè)可信賴的信息源驗(yàn)證這個(gè)消息。C將你的計(jì)算機(jī)從網(wǎng)絡(luò)上連接D升級(jí)你的病毒庫(kù)130．職責(zé)分離是信息安全管理的一個(gè)基本概念。其關(guān)鍵是權(quán)力不能過(guò)分集中在某一個(gè)人手中。職責(zé)分離的目的是確保沒(méi)有單獨(dú)的人員（單獨(dú)進(jìn)行操作）可以對(duì)應(yīng)用程序系統(tǒng)特征或控制功能進(jìn)行破壞。當(dāng)以下哪一類人員訪問(wèn)安全系統(tǒng)軟件的時(shí)候，會(huì)造成對(duì)“職責(zé)分離”原則的違背？A數(shù)據(jù)安全管理員B數(shù)據(jù)安全分析員C系統(tǒng)審核員D系統(tǒng)程序員131.與RSA（Rivest,Shamir,Adleman）算法相比，DSS（DigitalSignatureStandard）不包括：A數(shù)字簽名B鑒別機(jī)制C加密機(jī)制D數(shù)據(jù)完整性132.以下哪一種模型用來(lái)對(duì)分級(jí)信息的保密性提供保護(hù)？BABiba模型和Bell-LaPadula模型BBell-LaPadula模型和信息流模型CBell-LaPadula模型和Clark-wilson模型DClark-wilson模型和信息流模型133..責(zé)任機(jī)制對(duì)于實(shí)現(xiàn)安全性策略是很重要的，從系統(tǒng)用戶來(lái)說(shuō)，下列哪一個(gè)在嚴(yán)格的責(zé)任機(jī)制中的作用最?。緼審計(jì)要求B密碼C身份簽別控制D授權(quán)控制134．下面哪一項(xiàng)不是一個(gè)公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI）的正常的部件？A數(shù)字簽名B對(duì)稱加密密鑰CCA中心D密鑰管理協(xié)議135．以下有關(guān)單方向HASH函數(shù)和加密算法的敘述中，正確的是：A它們都將一個(gè)明文轉(zhuǎn)化為非智能的密文B它們都是可逆的C它們都不會(huì)破壞信息D它們都使用密鑰137．一般由系統(tǒng)所有者上級(jí)單位或主管信息安全的機(jī)構(gòu)授權(quán)信息系統(tǒng)投入運(yùn)行的最后一步叫做:正式發(fā)布認(rèn)證驗(yàn)證認(rèn)可138．依據(jù)信息系統(tǒng)安全保障模型，劃分安全保障等級(jí)要考慮的因素不包括下面哪一方面：系統(tǒng)信息的密級(jí)系統(tǒng)的價(jià)值系統(tǒng)要對(duì)抗的威脅系統(tǒng)的技術(shù)構(gòu)成139．在Biba模型中，完整性威脅來(lái)源于子系統(tǒng)的：內(nèi)部外部?jī)?nèi)部或外部既非內(nèi)部也非外部140．通常使用——來(lái)實(shí)現(xiàn)抗抵賴加密時(shí)間戳簽名數(shù)字指紋141．關(guān)于RA的功能下列說(shuō)法正確的是驗(yàn)證申請(qǐng)者的身份提供目錄服務(wù)，可以查尋用戶證書的相關(guān)信息證書更新證書發(fā)放142．從分析方法上入侵檢測(cè)分為哪兩種類型異常檢測(cè)、網(wǎng)絡(luò)檢測(cè)誤用檢測(cè)、異常檢測(cè)主機(jī)檢測(cè)、網(wǎng)絡(luò)檢測(cè)網(wǎng)絡(luò)檢測(cè)、誤用檢測(cè)143．一個(gè)可以對(duì)任意長(zhǎng)度的報(bào)文進(jìn)行加密和解密的加密算法稱為：鏈路加密批量加密端對(duì)端加密流加密144．你所屬的機(jī)構(gòu)為了保護(hù)一些重要的信息需要一個(gè)系統(tǒng)范圍內(nèi)的訪問(wèn)控制軟件，在對(duì)這類軟件產(chǎn)品的評(píng)價(jià)過(guò)程中，哪一條是最重要的原則？需要保護(hù)什么樣的信息信息是如何被保護(hù)的為保護(hù)信息預(yù)計(jì)投入多少如果信息不能被保護(hù)將造成的損失145．下列選項(xiàng)中的哪一個(gè)可以用來(lái)減少一個(gè)虛擬專用網(wǎng)（VPN）由于使用加密而導(dǎo)致的系統(tǒng)性能的降低？數(shù)字證書隧道化遠(yuǎn)程訪問(wèn)軟件數(shù)字簽名146．系統(tǒng)的安全策略和審查記錄使得機(jī)構(gòu)管理者能夠確保用戶對(duì)其自身的行為負(fù)責(zé)。為了使用系統(tǒng)記錄，是安全策略發(fā)揮作用，下面哪一項(xiàng)是首要必需的？物理訪問(wèn)控制環(huán)境控制管理控制邏輯訪問(wèn)控制147．下面哪一個(gè)短語(yǔ)能用來(lái)描述包含在一個(gè)應(yīng)用程序中一系列指令中的惡意代碼，例如一個(gè)字處理程序或表格制作軟件？主引導(dǎo)區(qū)病毒宏病毒木馬腳本病毒148．以下哪一項(xiàng)不是防火墻系統(tǒng)的主要組成部分：過(guò)濾協(xié)議應(yīng)用網(wǎng)關(guān)擴(kuò)展日志功能數(shù)據(jù)包交換149．對(duì)于數(shù)據(jù)分類和對(duì)應(yīng)用程序按照敏感性進(jìn)行分類，以下哪一項(xiàng)說(shuō)法是正確的？數(shù)據(jù)分類和應(yīng)用程序分類是相同的在數(shù)據(jù)分類和應(yīng)用程序分類中有清晰的劃分觀點(diǎn)對(duì)不同的機(jī)構(gòu)，數(shù)據(jù)分類和應(yīng)用程序分類是不同的使用簡(jiǎn)單數(shù)據(jù)分類和應(yīng)用程序分類比較容易150．機(jī)構(gòu)應(yīng)該把信息系統(tǒng)安全看作：業(yè)務(wù)中心風(fēng)險(xiǎn)中心業(yè)務(wù)促進(jìn)因素業(yè)務(wù)抑制因素151．誰(shuí)應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任？信息系統(tǒng)安全專家業(yè)務(wù)主管安全主管系統(tǒng)審查員152．對(duì)在一個(gè)機(jī)構(gòu)中的信息系統(tǒng)安全部門來(lái)說(shuō)，一個(gè)重要且關(guān)鍵的工作特點(diǎn)是：組織化的回報(bào)機(jī)制落實(shí)信息系統(tǒng)安全責(zé)任制對(duì)信息系統(tǒng)安全提供技術(shù)協(xié)助來(lái)自其它部門的支持153．下面哪一種風(fēng)險(xiǎn)對(duì)電子商務(wù)系統(tǒng)來(lái)說(shuō)是特殊不常見(jiàn)的?服務(wù)中斷應(yīng)用程序系統(tǒng)欺騙未授權(quán)的信息漏洞確認(rèn)信息發(fā)送錯(cuò)誤154、令牌（Tokens），智能卡及生物檢測(cè)設(shè)備用于識(shí)別和鑒別，依據(jù)是以下哪個(gè)原則？A．多方鑒別原則B．雙因素原則C．強(qiáng)制性鑒別原則D．自主性鑒別原則155、下面哪個(gè)是私有（private）IP地址？A、B、C、D、156、下面哪種通信協(xié)議可以利用IPSEC的安全功能？Ⅰ.TCPⅡ.UDPⅢ.FTP只有ⅠⅠ和ⅡⅡ和ⅢⅠⅡⅢ157、下面對(duì)跟蹤審計(jì)功能的描述哪項(xiàng)是正確的？A、審計(jì)跟蹤不需要周期性復(fù)查。B、實(shí)時(shí)審計(jì)可以在問(wèn)題發(fā)生時(shí)進(jìn)行阻止。C、對(duì)一次事件的審計(jì)跟蹤記錄只需包括事件類型和發(fā)生時(shí)間。D、審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行的所有活動(dòng)過(guò)程，它是提高安全的重要工具。158.DNS查詢（queries）工具中的DNS服務(wù)使用哪個(gè)端口？A．UDP53 B.TCP23 C.UDP23 D.TCP53159．在零傳輸（Zonetransfers）中DNS服務(wù)使用哪個(gè)端口？A．TCP53 B.UDP53 C.UDP23 D.TCP23160．哪個(gè)端口被設(shè)計(jì)用作開(kāi)始一個(gè)SNMPTrap？A．TCP161 B.UDP161 C.UDP162 D.TCP169161．在C/S環(huán)境中，以下哪個(gè)是建立一個(gè)完整TCP連接的正確順序？A．SYN，SYN/ACK，ACK B．PassiveOpen，ActiveOpen，ACK，ACK C．SYN，ACK/SYN，ACK D．ActiveOpen/PassiveOpen，ACK，ACK 162.以下哪個(gè)是被動(dòng)攻擊的例子？A．通信量分析 B．消息修改 C．消息延遲 D．消息刪減163.以下哪個(gè)不屬于防火墻典型的組件或者功能？A．協(xié)議過(guò)濾 B．應(yīng)用網(wǎng)關(guān) C．?dāng)U展的日志容量 D．?dāng)?shù)據(jù)包路由164．挑選密碼算法最重要應(yīng)該考慮？A．安全和授權(quán) B．速度和專利 C．速度和安全 D．專利和授權(quán)165．下面關(guān)于PGP和PEM說(shuō)法不對(duì)的是？A．它們都能加密消息 B．它們都能簽名 C．它們用法一樣 D．都基于公鑰技術(shù)166．Kerberos能夠防止哪種攻擊？A．隧道攻擊 B．重放攻擊 C．破壞性攻擊 D．過(guò)程攻擊167．以下哪個(gè)與電子郵件系統(tǒng)沒(méi)有直接關(guān)系？A．PEM B．PGP C．X.500 D．X.400168．對(duì)防火墻的描述不對(duì)的是？A．防火墻能夠執(zhí)行安全策略 B．防火墻能夠產(chǎn)生審計(jì)日志C．防火墻能夠限制組織安全狀況的暴露 D．防火墻能夠防病毒169.Apache服務(wù)器對(duì)目錄的默認(rèn)訪問(wèn)控制是什么？A．“Deny”from“All” B．OrderDeny，“All” C．OrderDeny，Allow D．“Allow”from“All”170．WindowsNT中，存放注冊(cè)日志和regedit.exe命令的文件夾是哪里？A．\%Systemroot%\system32 B．\%Systemroot%\system C．\%