核工業(yè)知識練習題 樣卷練習卷含答案

第頁核工業(yè)知識練習題樣卷練習卷含答案1.568.在某信息系統(tǒng)采用的訪問控制策略中，如果可以選擇值得信任的人擔任各級領(lǐng)導對客體實施控制，且各級領(lǐng)導可以同時修改它的訪問控制表，那么該系統(tǒng)的訪問控制模型采用的自主訪問控制機制的訪問許可模式是（）。A、自由型B、有主型C、樹狀型D、等級型【正確答案】：D2.88.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A、口令B、令牌C、知識D、密碼【正確答案】：B解析：

解釋：令牌是基于實體所有的鑒別方式。3.27.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項（）。A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“安施培訓和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容【正確答案】：D4.132.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)／重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件(Ⅰ級)、重大事件(Ⅱ級)、較大事件(Ⅲ級)和一般事件(Ⅳ級)【正確答案】：B5.418.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質(zhì)等。請問，按照PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段（）A、準備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D6.183.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊【正確答案】：D解析：

解釋：答案為D。7.514.以下關(guān)于軟件安全問題對應(yīng)關(guān)系錯誤的是?()A、缺點(Defect)軟件實現(xiàn)和設(shè)計上的弱點B、缺陷(ug)-實現(xiàn)級上的軟件問題C、瑕疵(Flaw)-一種更深層次、設(shè)計層面的的問題D、故障(Failure)-由于軟件存在缺點造成的一種外部表現(xiàn),是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)【正確答案】：C解析：

在軟件安全領(lǐng)域，對于相關(guān)術(shù)語有明確的定義。其中，“瑕疵(Flaw)”并不特指設(shè)計層面的問題，而是指軟件實現(xiàn)或設(shè)計中的弱點，可能涵蓋設(shè)計、編碼等多個層面。C選項將其限定為“更深層次、設(shè)計層面的問題”，這一描述是片面的，因此是錯誤的。而其他選項對于“缺點(Defect)”、“缺陷(Bug)”和“故障(Failure)”的描述均與實際情況相符。8.481.在國家標準GB／T2024.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個方面()A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運行維護【正確答案】：B9.401.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（）。A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C10.442.Windows操作系統(tǒng)的注冊表運行命令是：A、Regsvr32B、RegeditC、Regedit.msD、Regeit.mmc【正確答案】：B11.106.關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本【正確答案】：C12.362.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當?shù)卣顿Y的重點項目?？傮w目標就是用于交換式千兆以太網(wǎng)為主干，超五類雙絞線作水平布線，由大型交換機和路由器連通幾個主要的工作區(qū)域，在各區(qū)域建立一個閉路電視監(jiān)控系統(tǒng)，再把信號通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心，其中對交換機和路由器進行配置是網(wǎng)絡(luò)安全中的一個不可缺少的步驟，下面對于交換機和路由器的安全配置，操作錯誤的是()A、保持當前版本的操作系統(tǒng)，不定期更新交換機操作系統(tǒng)補丁B、控制交換機的物理訪問端口，關(guān)閉空閑的物理端口C、帶外管理交換機，如果不能實現(xiàn)的話，可以利用單獨的VLAN號進行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)【正確答案】：A解析：

解釋：交換機和路由器的管理包括了版本更新，也包括了補丁管理。13.516．惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱?。小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測,將軟件行為與惡意代碼行為模型進行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A、簡單運行B、行為檢測C、特征數(shù)據(jù)匹配D、特征碼掃描【正確答案】：B14.322.以下哪項不是應(yīng)急響應(yīng)準備階段應(yīng)該做的？A、確定重要資產(chǎn)和風險，實施針對風險的防護措施B、編制和管理應(yīng)急響應(yīng)計劃C、建立和訓練應(yīng)急響應(yīng)組織和準備相關(guān)的資源D、評估事件的影響范圍，增強審計功能、備份完整系統(tǒng)【正確答案】：D解析：

解釋：D描述的是安全事件發(fā)生以后，不是應(yīng)急響應(yīng)的準備。15.181.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應(yīng)當購買并部署下面哪個設(shè)備（）A、安全路由器B、網(wǎng)絡(luò)審計系統(tǒng)C、網(wǎng)頁防篡改系統(tǒng)D、虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）系統(tǒng)【正確答案】：C解析：

解釋：網(wǎng)頁防篡改系統(tǒng)用來防范WEB篡改。16.587.訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色訪問控制，它們具有不同的特點和應(yīng)用場景。如果需要選擇一個訪問控制模型，要求能夠支持最小特權(quán)原則和職責分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在（1）自主訪問控制，（2）強制訪問控制，（3）基于角色的訪問控制（4）基于規(guī)則的訪問控制中，能夠滿足以上要求的選項有（）A、只有（1）（2）B、只有（2）（3）C、只有（3）（4）D、只有（4）【正確答案】：C17.38.某政府機構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問題，該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的()A、程序員在進行安全需求分析時，沒有分析出O系統(tǒng)開發(fā)的安全需求B、程序員在軟件設(shè)計時，沒遵循降低攻擊面的原則，設(shè)計了不安全的功能C、程序員在軟件編碼時，缺乏足夠的經(jīng)驗，編寫了不安全的代碼D、程序員在進行軟件測試時，沒有針對軟件安全需求進行安全測試【正確答案】：B解析：

在該案例中，OA系統(tǒng)的公交分發(fā)功能使用了FTP協(xié)議，而FTP協(xié)議本身存在安全性問題，如傳輸數(shù)據(jù)不加密，容易被攻擊者截獲和篡改。安全專家建議使用Http下載代替FTP功能，說明原設(shè)計中的FTP功能是一個不安全的功能。這種安全問題的產(chǎn)生，主要是在軟件設(shè)計階段，程序員沒有遵循降低攻擊面的原則，設(shè)計了包含不安全功能（如使用FTP協(xié)議進行文件傳輸）的系統(tǒng)。因此，該安全問題的產(chǎn)生主要是在軟件設(shè)計階段。18.603.系統(tǒng)安全工程能力成熟度模型評估方法（SSAM,SSE-CMMAppraisalMethod）是專門基于SSE-CMM的評估方法。它包含對系統(tǒng)安全工程-能力成熟度模型中定義的組織的（）流程能力和成熟度進行評估所需的（）。SSAM評估過程分為四個階段，（）、（）、（）、（）。A、信息和方向；系統(tǒng)安全工程；規(guī)劃；準備；現(xiàn)場；報告B、信息和方向；系統(tǒng)工程；規(guī)劃；準備；現(xiàn)場；報告C、系統(tǒng)安全工程；信息；規(guī)劃；準備；現(xiàn)場；報告D、系統(tǒng)安全工程；信息和方向；規(guī)劃；準備；現(xiàn)場；報告【正確答案】：D19.537.安全評估技術(shù)采用()這一工具,它是一種能夠自動檢測遠程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。A、安全掃描器B、安全掃描儀C、自動掃描器D、自動掃描儀【正確答案】：A解析：

解釋：來源CISP的，參考百度問答庫，某信息安全知識競賽題目。20.155.某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WEB目錄下導致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試【正確答案】：C21.222.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是：A、資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D22.512.組織應(yīng)依照已確定的訪問控制策略限制對信息和()功能的訪間。對訪間的限制要基于各個業(yè)務(wù)應(yīng)用要求,訪問控制策略還要與組織的訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認證和()時,宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具和程序的使用,應(yīng)加以限制并()。對程序源代碼和相關(guān)事項(例如設(shè)計、說明書、驗證計劃和確認計劃的訪問宜嚴格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的（）。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn),更好的是放在()中A、應(yīng)用系統(tǒng):身份驗證:嚴格控制;保密性:源程序庫B、身份驗證;應(yīng)用系統(tǒng);嚴格控制:保密性;源程序庫C、應(yīng)用系統(tǒng);嚴格控制:身份驗證;保密性;源程序庫D、應(yīng)用系統(tǒng);保密性;身份驗證;嚴格控制;源程序庫【正確答案】：A23.576.組織應(yīng)依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認證和（）時，宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具和程序的使用，應(yīng)加以限制并（）。對程序源代碼和相關(guān)事項（例如設(shè)計、說明書、驗證計劃和確認計劃）的訪問宜嚴格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的（）。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn)，更好的是放在()中。A、應(yīng)用系統(tǒng)；身份驗證；嚴格控制；保密性；源程序庫B、身份驗證；應(yīng)用系統(tǒng)；嚴格控制；保密性；源程序庫C、應(yīng)用系統(tǒng)；嚴格控制；身份驗證；保密性；源程序庫D、應(yīng)用系統(tǒng)；保密性；身份驗證；嚴格控制；源程序庫【正確答案】：A解析：

解釋：來源于教材第117頁9.4.5表格之下的所有部分，到118頁的最上面一段。24.603.系統(tǒng)安全工程能力成熟度模型評估方法（SSAM,SSE-CMMAppraisalMethod）是專門基于SSE-CMM的評估方法。它包含對系統(tǒng)安全工程-能力成熟度模型中定義的組織的（）流程能力和成熟度進行評估所需的（）。SSAM評估過程分為四個階段，（）、（）、（）、（）。A、信息和方向；系統(tǒng)安全工程；規(guī)劃；準備；現(xiàn)場；報告B、信息和方向；系統(tǒng)工程；規(guī)劃；準備；現(xiàn)場；報告C、系統(tǒng)安全工程；信息；規(guī)劃；準備；現(xiàn)場；報告D、系統(tǒng)安全工程；信息和方向；規(guī)劃；準備；現(xiàn)場；報告【正確答案】：D25.617.2006年5月8日電，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全文分（）部分共計約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導思想和戰(zhàn)略目標標準要闡述，對我國（）發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的（），當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（）。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護水平明顯提高，互聯(lián)網(wǎng)信息安全管理進一步加強。A、5個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制B、6個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制C、7個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制D、8個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制【正確答案】：D解析：《2006-2020年國家信息化發(fā)展戰(zhàn)略》全文共分為8個部分，分別是信息化是當代世界經(jīng)濟、社會發(fā)展的趨勢和潮流；信息技術(shù)創(chuàng)新及其應(yīng)用不斷深化；信息資源成為重要生產(chǎn)要素和無形資產(chǎn)；信息網(wǎng)絡(luò)成為傳播信息、文化、科研、教育、交流的重要渠道；信息產(chǎn)業(yè)成為國民經(jīng)濟的支柱和先導產(chǎn)業(yè)；信息化與工業(yè)化融合不斷深化；信息化成為提高社會生產(chǎn)力、綜合國力和國際競爭力的重要途徑；信息化成為保障國家安全的重要支柱。因此，正確答案是D。26.451.Windows系統(tǒng)下，可通過運行_______命令打開Windows管理控制臺。A、regeditB、cmdC、mmcD、mfc【正確答案】：C27.12.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性：A、結(jié)構(gòu)的開放性B、表達方式的通用性C、獨立性D、實用性【正確答案】：C28.293.以下哪一項不屬于常見的風險評估與管理工具：A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經(jīng)驗的風險評估與管理工具【正確答案】：D29.288.關(guān)于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處【正確答案】：D解析：

解釋：D為源代碼審核工作內(nèi)容描述。30.540.信息安全應(yīng)急響應(yīng),是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施,既包括預防性措施也包括事件發(fā)生后的應(yīng)對措施。應(yīng)急響應(yīng)方法和過程并不是唯一的,在下面的應(yīng)急響應(yīng)管理流程圖中,空白方填寫正確的選項是（）A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D31.529.以下對于標準化特點的描述哪項是錯誤的?A、標準化的對象是共同的、可重復的事物。不是孤立的一件事、一個事物B、標準化必須是靜態(tài)的,相對科技的進步和社會的發(fā)展不能發(fā)現(xiàn)變化C、標準化的相對性,原有標準隨著社會發(fā)展和環(huán)境變化,需要更新D、標準化的效益,通過應(yīng)用體現(xiàn)經(jīng)濟和社會效益,否則就沒必要【正確答案】：B32.103.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

解釋：賬號鎖定是為了解決暴力破解攻擊的。33.298.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風險評估應(yīng)按照《信息安全等級保護管理辦法》等國家有關(guān)保密規(guī)定和標準進行B、非涉密信息系統(tǒng)的風險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等要求進行C、可委托同一專業(yè)測評機構(gòu)完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告保密D、此通知不要求將“信息安全風險評估”作為電子政務(wù)項目驗收的重要內(nèi)容【正確答案】：C解析：

解釋：C為正確描述。34.110.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風險B、是否可以抵抗大部分風險C、是否建立了具有自適應(yīng)能力的信息安全模型保密D、是否已經(jīng)將風險控制在可接受的范圍內(nèi)【正確答案】：D解析：

解釋：判斷風險控制的標準是風險是否控制在接受范圍內(nèi)。35.235.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時間維、邏輯維和知識維組成。有關(guān)此模型，錯誤的是：A、霍爾三維機構(gòu)體系形成地描述了系統(tǒng)工程研究的框架B、時間維表示系統(tǒng)工程活動從開始到結(jié)束按照時間順序排列的全過程C、邏輯維的七個步驟與時間維的七個階段嚴格對應(yīng)，即時間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動D、知識維列舉可能需要運用的工程、醫(yī)學、建筑、商業(yè)、法律、管理、社會科學和藝術(shù)等各種知識和技能【正確答案】：C36.378.如圖所示，主機A向主機B發(fā)出的數(shù)據(jù)采用AH或者ESP的傳輸模式對流量進行保護時，主機A和主機B的IP地址在應(yīng)該在下列哪個范圍？A、~55B、~55C、~55D、不在上述范圍內(nèi)【正確答案】：D37.396.關(guān)于Kerberos認證協(xié)議，以下說法錯誤的是：A、只要用戶拿到了認證服務(wù)器（S）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個服務(wù)器的認證而不必重新輸入密碼B、認證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS）是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全C、該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三階段，僅支持服務(wù)器對用戶的單向認證D、該協(xié)議是一種基于對稱密碼算法的網(wǎng)絡(luò)認證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復雜【正確答案】：C解析：

Kerberos認證協(xié)議并不僅支持服務(wù)器對用戶的單向認證，而是通過一系列步驟實現(xiàn)用戶到服務(wù)器的雙向認證，確保了雙方的身份都得到驗證。選項C中的說法忽略了Kerberos協(xié)議中用戶對服務(wù)器的認證部分，因此是錯誤的。其他選項均正確描述了Kerberos認證協(xié)議的特點和機制。38.187.以下關(guān)于模糊測試過程的說法正確的是：A、模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復異常狀態(tài)進行后續(xù)的測試C、通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復建議D、對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告【正確答案】：C39.641.風險評估文檔是指在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，其中，明確評估的目的、職責、過程、相關(guān)的文檔要求，以及實施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)的文檔是（）A《風險評估方案》B、《風險評估程序》C、《資產(chǎn)識別清單》D、《風險評估報告》【正確答案】：A40.308.風險評估工具的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風險評估過程中的主要任務(wù)和作用愿理，風險評估工具可以為以下幾類，其中錯誤的是：A、風險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風險評估工具C、風險評估輔助工具D、環(huán)境風險評估工具【正確答案】：D解析：

解釋：通常情況下信息安全風險評估工具不包括環(huán)境評估工具。41.600.以下關(guān)于VPN說法正確的是A、VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路B、VPN不能做到信息認證和身份認證C、VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接D、VPN只能提供身份不能提供加密數(shù)據(jù)的功能【正確答案】：C42.56.二十世紀二十年代，德國發(fā)明家亞瑟.謝爾比烏斯（ArthurScherbius）發(fā)明了Engmia密碼機。按照密碼學發(fā)展歷史階段劃分，這個階段屬于（）A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備。C、現(xiàn)代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（“TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對密碼學的科學探索。D、現(xiàn)代密碼學的近代發(fā)展階段。這一階段以公鑰密碼思想為標準，引發(fā)了密碼學歷史上的革命性的變革，同時，眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合?！菊_答案】：B43.434.公鑰基礎(chǔ)設(shè)施，引入數(shù)字證書的概念，用來表示用戶的身份，下圖簡要的描述了終端實體（用戶），從認證權(quán)威機構(gòu)CA申請、撤銷和更新數(shù)字證書的流程，請為中間框空白處選擇合適的選項（）A、證書庫B、RAC、OSPD、CRL庫【正確答案】：B44.144.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：A、國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入【正確答案】：D45.561.安全審計是事后認定違反安全規(guī)則行為的分析技術(shù),在檢測違反安全規(guī)則方面、準確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以對事件發(fā)生的事后分析方面,都發(fā)揮著巨大的作用。但安全審計也有無法實現(xiàn)的功能,以下哪個需求是網(wǎng)絡(luò)安全審計無法實現(xiàn)的功能()A、發(fā)現(xiàn)系統(tǒng)中存儲的漏洞和缺陷B、發(fā)現(xiàn)用戶的非法操作行為C、發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D、發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱【正確答案】：D46.405.設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙【正確答案】：C47.282.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進行響應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊稱之為：A、Lnd攻擊B、Smurf攻擊C、PingofDeath攻擊保密D、ICMPFloo【正確答案】：D解析：

這種攻擊方式是通過向被攻擊者發(fā)送海量的ICMP回應(yīng)請求，使得被攻擊者需要消耗大量資源去處理這些請求，當資源被耗盡時，被攻擊者將無法再處理有效的網(wǎng)絡(luò)信息流。這種攻擊被稱為ICMPFlood攻擊，因此正確答案是D。48.350.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災難備份工作的通知》，該文件中指出了我國在災備工作原則，下面哪項不屬于該工作原則（）A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B49.142.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A、信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命周期密切相關(guān)B、信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C、信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障D、信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風險降低到可接受的程度，從而實現(xiàn)其業(yè)務(wù)使命【正確答案】：B50.289.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：A、建立環(huán)境B、實施風險處理計劃C、持續(xù)的監(jiān)視與評審風險D、持續(xù)改進信息安全管理過程【正確答案】：D解析：

解釋：持續(xù)改進信息安全管理過程屬于處置(ACT)階段。51.117.有關(guān)危害國家秘密安全的行為的法律責任，正確的是：A、嚴重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實際后果，都要依法追究責任保密B、非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔刑事責任C、過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔刑事責任D、承擔了刑事責任，無需再承擔行政責任和／或其他處分【正確答案】：A52.199.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

解釋：答案為B。53.21.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙C、搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)D、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標破壞的信息作戰(zhàn)部隊【正確答案】：B54.166.由于頻繁出現(xiàn)計算機運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓B、要求增加軟件源代碼審核環(huán)節(jié)，加強對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

解釋：統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。55.214.某集團公司根據(jù)業(yè)務(wù)需求，在各地分支機構(gòu)部屬前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務(wù)器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機種提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施？A、由于共享導致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進行分析B、為配合總部的安全策略，會帶來一定安全問題，但不影響系統(tǒng)使用，因此接受此風險C、日志的存在就是安全風險，最好的辦法就是取消日志，通過設(shè)置前置機不記錄日志D、只允許特定ＩＰ地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間【正確答案】：D56.252.關(guān)于標準，下面哪項理解是錯誤的（）A、標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認機構(gòu)批準，共同重復使用的一種規(guī)范性文件，標準是標準化活動的重要成果B、國際標準是由國際標準化組織通過并公布的標準，同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突，應(yīng)以國際標準條款為準。C、行業(yè)標準是針對沒有國家標準而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標準，同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應(yīng)以國家標準條款為準。D、地方標準由省、自治區(qū)、直轄市標準化行政主管部門制度，冰報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管培訓部門備案，在公布國家標準后，該地方標準即應(yīng)廢止?！菊_答案】：B57.125.根據(jù)《關(guān)于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是：A、信息安全風險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風險評估工作應(yīng)加強信息安全風險評估工作的組織領(lǐng)導【正確答案】：A解析：

解釋：信息安全風險評估應(yīng)以自評估（自查）為主。58.163.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全工作的主要原則？A、《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計算機信息系統(tǒng)安全保護條例》C、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》D、《關(guān)于開展信息安全風險評估工作的意見》【正確答案】：C解析：

解釋：《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦2003年27號文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅持技管并重等。59.566.軟件工程方法提出起源于軟件危機,而其目的應(yīng)該是最終解決軟件的問題的是（）A、質(zhì)量保證B、生產(chǎn)危機C、生產(chǎn)工程化D、開發(fā)效率【正確答案】：C解析：

解答：參考什么是軟件工程方法學的概念，軟件工程是技術(shù)和管理緊密結(jié)合所形成的工程學科，通過計劃、組織和控制等一系列的活動，合理地配置和使用各種資源，以達到既定目標的過程，軟件工程方法學三要素（方法、過程、工具），軟件工程方法學類型，傳統(tǒng)方法學和面向?qū)ο蟮姆椒▽W。具體來源于找答案—2014年12月11日計算機三級考試《信息管理技術(shù)題庫》。四個選項：生產(chǎn)工程化、軟件安全、軟件質(zhì)量、開發(fā)效率。60.628.以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施？A、人民解放軍戰(zhàn)略支援部隊B、中國移動吉林公司C、重慶市公安局消防總隊D、上海市衛(wèi)生與計劃生育委員會【正確答案】：D61.134.以下關(guān)于災難恢復和數(shù)據(jù)備份的理解，說法正確的是：A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災難恢復資源程度的不同，災難恢復能力分為7個等級C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災演練了【正確答案】：C解析：

解釋：A錯誤，因為差分備份是上次全備后的更新數(shù)據(jù)；增量備份是任何上一次備份后的更新數(shù)據(jù)。全備份周期最長、次之差分備份，更新周期最短是增量備份。B錯誤，我國災備能力級別一共分為6級。D是明顯的錯誤。62.175.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙【正確答案】：C解析：

解釋：設(shè)計信息系統(tǒng)安全保障方案應(yīng)采用合適的技術(shù)。63.165.微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其中“棄用不安全的函數(shù)”屬于（）的安全活動A、要求階段B、設(shè)計階段C、實施階段D、驗證階段【正確答案】：C64.387.陳工學習了信息安全風險的有關(guān)知識，了解到信息安全風險的構(gòu)成過程，有五個方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風險的構(gòu)成過程，圖中空白處應(yīng)填寫？A、信息載體B、措施C、脆弱性D、風險評估【正確答案】：C65.139.以下對異地備份中心的理解最準確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風險的機率很小【正確答案】：D66.81.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護的說法哪個是錯誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B、當用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

解釋：個人隱私包括但不限于用戶名密碼、位置、行為習慣等信息。67.405.設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙【正確答案】：C68.610.社會工程學本質(zhì)上是一種（），（）通過種種方式來引導受攻擊者的（）向攻擊者期望的方向發(fā)展。羅伯特·B·西奧迪尼（RobertBCialdini）在科學美國人（2001年2月）雜志中總結(jié)對（）的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是（）工程師在攻擊中所依賴的（有意思或者無意識的）。A、攻擊者；心理操縱；思維；心理操縱；思維；社會工程學B、攻擊者；心理操縱；心理操縱；社會工程學C、心理操縱；攻擊者；思維；心理操縱；社會工程學D、心理操縱；思維；心理操縱；攻擊者；社會工程學【正確答案】：C69.613.COBIT（信息和相關(guān)技術(shù)的控制目標）是國際專業(yè)協(xié)會ISACA為信息技術(shù)（IT）管理和IT治理創(chuàng)建的良好實踐框架。COBIT提供了一套可實施的“信息技術(shù)控制”并圍繞IT相關(guān)流程和推動因素的邏輯框架進行組織。COBIT模型如圖所示，按照流程，請問，COBIT組件包括（）、()、（）、（）、（）、等部分。A、流程描述、框架、控制目標、管理指南、成熟度模型B、框架、流程描述、管理目標、控制目標、成熟度模型C、框架、流程描述、控制目標、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標、成熟度模型【正確答案】：C70.521.下列選項中對信息系統(tǒng)審計概念的描述中不正確的是()A、信息系統(tǒng)審計,也可稱作IT審計或信息系統(tǒng)控制審計B.信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程,審計對象是信息系統(tǒng)相關(guān)控制,審計目標則是判斷信息系統(tǒng)是否能夠B、保證其安全性、可靠性、經(jīng)濟性以及數(shù)據(jù)的真實性、完整性等相關(guān)屬性C、信息系統(tǒng)審計是單一的概念,是對會計信息系統(tǒng)的安全性、有效性進行檢查D、從信息系統(tǒng)審計內(nèi)容上看,可以將信息系統(tǒng)審計分為不同專項審計,例如安全審計、項目合規(guī)審計、績效審計等?！菊_答案】：C71.531.風險,在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風險的目標可能有很多不同的方面,如財務(wù)目標、健康和人身安全目標、信息安全目標和環(huán)境目標等:目標也可能有不同的級別,如戰(zhàn)略目標、組織目標、項目目標、產(chǎn)品目標和過程目標等,ISO/IEC13335-1中揭示了風險各要素關(guān)系模型,如圖所示。請結(jié)合此圖,怎么才能降低風險對組織產(chǎn)生的影響?()A、組織應(yīng)該根據(jù)風險建立響應(yīng)的保護要求,通過構(gòu)架防護措施降低風險對組織產(chǎn)生的影響B(tài)、加強防護措施,降低風險C減少威脅和脆弱點降低風險D、減少資產(chǎn)降低風險【正確答案】：A解析：

為了降低風險對組織產(chǎn)生的影響，組織需要根據(jù)風險的具體情況建立相應(yīng)的保護要求。這些保護要求旨在通過構(gòu)架有效的防護措施來減少風險帶來的潛在影響。防護措施可能包括技術(shù)、管理、物理等多個方面，以確保風險得到妥善管理和控制。選項A準確地描述了這一過程，即通過建立響應(yīng)的保護要求和構(gòu)架防護措施來降低風險對組織的影響，因此是正確答案。其他選項雖然也提到了降低風險的方法，但不如A選項全面和具體。72.274.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin組中user用戶，以下哪個是該文件正確的模式表示?A、-rwxr-xr-x3useradmin1024Sep1311：58testB、drwxr-xr-x3useradmin1024Sep1311：58testC、-rwxr-xr-x3adminuser1024Sep1311：58testD、drwxr-xr-x3adminuser1024Sep1311：58test【正確答案】：A解析：

解釋：根據(jù)題干本題選A。73.503．下列選項中，對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯誤的是（）A、物理安全確保了系統(tǒng)在對信息進行采集、傳輸、處理等過程中的安全B、物理安全面對是環(huán)境風險及不可預知的人類活動，是一個非常關(guān)鍵的領(lǐng)域C、物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D、影響物理安全的因素不僅包含自然因素，還包含人為因素【正確答案】：A解析：

答案解析：物理安全主要關(guān)注的是保護系統(tǒng)硬件、設(shè)施以及環(huán)境免受自然和人為的威脅和干擾。它確保的是物理層面的安全，而不是信息在采集、傳輸、處理過程中的安全，后者更偏向于信息安全或數(shù)據(jù)安全的范疇。因此，選項A的描述是錯誤的，它混淆了物理安全與信息安全的概念。選項B、C、D均正確地描述了物理安全的相關(guān)領(lǐng)域和影響因素。所以，正確答案是A。74.243.系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風險的基本過程領(lǐng)域是：A、風險過程B、工程過程C、保證過程D、評估過程【正確答案】：A解析：

解釋：風險過程包括評估影響、評估威脅、評估脆弱性和評估安全風險。75.27.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項（）。A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“安施培訓和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容【正確答案】：D76.627.為了開發(fā)高質(zhì)量的軟件，軟件效率成為最受關(guān)注的話題。那么開發(fā)效率主要取決于以下兩點：開發(fā)新功能是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應(yīng)（）。A、隨機地選取測試數(shù)據(jù)B、取一切可能的輸入數(shù)據(jù)為測試數(shù)據(jù)C、在完成編碼以后制定軟件的測試計劃D、選擇發(fā)現(xiàn)錯誤可能性最大的數(shù)據(jù)作為測試用例【正確答案】：D77.642.等級保護實施根據(jù)GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》分為五大階段；（）、總體規(guī)劃、設(shè)計實施、（）和系統(tǒng)終止。但由于在開展等級保護試點工作時，大量信息系統(tǒng)已經(jīng)建設(shè)完成，因此根據(jù)實際情況逐步形成了（）、備案、差距分析（也叫差距測評）、建設(shè)整改、驗收測評、定期復查為流程的（）工作流程。和《等級保護實施指南》中規(guī)定的針對（）的五大階段略有差異。A、運行維護；定級；定級；等級保護；信息系統(tǒng)生命周期B、定級；運行維護；定級；等級保護；信息系統(tǒng)生命周期C、定級運行維護；等級保護；定級；信息系統(tǒng)生命周期D、定級；信息系統(tǒng)生命周期；運行維護；定級；等級保護【正確答案】：B78.233.某政府機構(gòu)擬建設(shè)一機房，在工程安全監(jiān)理單位參與下制定了招標文件，項目分二期，一期目標為年內(nèi)實現(xiàn)系統(tǒng)上線運營，二期目標為次年上半年完成運行系統(tǒng)風險的處理：招標文件經(jīng)營管理層審批后發(fā)布，就此工程項目而言，以下正確的是：A、此項目將項目目標分解為系統(tǒng)上線運營和運行系統(tǒng)風險處理分期實施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標文件經(jīng)營管理層審批，表明工程目標符合業(yè)務(wù)發(fā)展規(guī)劃【正確答案】：C79.397.kerberos協(xié)議是常用的集中訪問控制協(xié)議,通過可信第三的認證服務(wù),減輕應(yīng)用Kerberos的運行環(huán)境由秘鑰分發(fā)中心（KDC）、應(yīng)用服務(wù)器和客戶端三個部分組成，認證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器A、1——2——3B、3——2——1C、2——1——3D、3——1——2【正確答案】：D80.500．如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)（）性質(zhì)。A、單向性B、弱抗碰撞性C、強抗碰撞性D、機密性【正確答案】：C解析：

解釋：該題目是違背了強抗碰撞性，答案應(yīng)為C。81.627.為了開發(fā)高質(zhì)量的軟件，軟件效率成為最受關(guān)注的話題。那么開發(fā)效率主要取決于以下兩點：開發(fā)新功能是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應(yīng)（）。A、隨機地選取測試數(shù)據(jù)B、取一切可能的輸入數(shù)據(jù)為測試數(shù)據(jù)C、在完成編碼以后制定軟件的測試計劃D、選擇發(fā)現(xiàn)錯誤可能性最大的數(shù)據(jù)作為測試用例【正確答案】：D解析：

/view/f2995adfd15abe23482f4d25.html82.543.以下哪些因素屬于信息安全特征?()A、系統(tǒng)和網(wǎng)絡(luò)的安全B、系統(tǒng)和動態(tài)的安全C、技術(shù)、管理、工程的安全D、系統(tǒng)的安全;動態(tài)的安全;無邊界的安全;非傳統(tǒng)的安全【正確答案】：D83.191.S公司在全國有20個分支機構(gòu)，總部由10臺服務(wù)器、200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器、100個左右用戶終端，通過專網(wǎng)進行互聯(lián)互通。公司招標的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給5公司選出設(shè)計最合理的一個:A、總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構(gòu)服務(wù)器和用戶終端使用192.168.2.x192.168.20.xB、總部服務(wù)器使用—11、用戶終端使用2—212，分支機構(gòu)IP地址隨意確定即可C、總部服務(wù)器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x，每個分支機構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段、另外一個做用戶終端地址段D、因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可?！菊_答案】：C84.198.數(shù)據(jù)庫的安全很復雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是：A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息C、粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分【正確答案】：B解析：

解釋：數(shù)據(jù)庫安全策略應(yīng)為最小共享。85.422.下面有關(guān)軟件安全問題的描述中，哪項應(yīng)是由于軟件設(shè)計缺陷引起的（）A、設(shè)計了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導致存在緩沖區(qū)溢出漏洞C、設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C86.305.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔保密C、向相關(guān)組織和領(lǐng)導人宣貫風險評估準則D、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證【正確答案】：C87.280.下列關(guān)于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C88.490．了解社會工程學攻擊是應(yīng)對和防御（）的關(guān)鍵，對于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會學的攻擊的概念和攻擊的（）。組織機構(gòu)可采取對相關(guān)人員實施社會工程學培訓來幫助員工了解什么是社會工程學攻擊，如何判斷是否存在社會工程學攻擊，這樣才能更好的保護信息系統(tǒng)和（）。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就（）。因此組織機構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓和教育，向員工灌輸（），人機降低社會工程學攻擊的風險。A、社會工程學攻擊；越容易；原理；個人數(shù)據(jù)；安全意識B、社會工程學攻擊；原理；越容易；個人數(shù)據(jù)；安全意識C、原理；社會工程學攻擊；個人數(shù)據(jù)；越容易；安全意識D、社會工程學攻擊；原理；個人數(shù)據(jù)；越容易；安全意識【正確答案】：D89.196.加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個組件，以下說法錯誤的是（）A、EFS采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）D、EFS加密過程對用戶透明，EFS加密的用戶驗證過程是在登陸windows時進行的【正確答案】：C解析：

解釋：答案為C，F(xiàn)AT32不支持EFS加密。90.597.SSAM過程的主要工作產(chǎn)品是（）和（）。（）包括（）和（）.（）表示組織的每個PA的能力水平。（）考察了評估組織的優(yōu)缺點。它通常是為被評估方開發(fā)的，但可以被評估方的要求提交給評估組織。評估報告僅供被評估方使用，并包括每個調(diào)查結(jié)果及其對被評估方需求影響的詳細信息。A、評估報告；調(diào)查結(jié)果簡報；調(diào)查結(jié)果簡報；評估資料；評估結(jié)果清單；評級概況；調(diào)查結(jié)果B、調(diào)查結(jié)果簡報；評估報告；調(diào)查結(jié)果簡報；評估資料；評估結(jié)果清單；評級概況；調(diào)查結(jié)果C、調(diào)查結(jié)果簡報；評估報告；評估資料；調(diào)查結(jié)果簡報；評級概況；調(diào)查結(jié)果D、調(diào)查結(jié)果簡報；評估報告；調(diào)查結(jié)果簡報；評級概況；評估資料；評估結(jié)果清單；調(diào)查結(jié)果【正確答案】：B91.458.在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志【正確答案】：B92.473.基于對（）的信任，當一個請求或命令來自一個“權(quán)威”人士時，這個請求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門”人員要求受害者對權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進行一次系統(tǒng)測試，要求（）等。A、權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼B、權(quán)威；執(zhí)行；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼C、執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼D、執(zhí)行；權(quán)威；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼【正確答案】：A解析：

解答：全靠理解。93.393.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計時，為了避免數(shù)據(jù)誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該刪除操作才能生效，這種設(shè)計是遵循了發(fā)下哪個原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A94.75.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”?！菊_答案】：D解析：

解釋：D的正確描述是從內(nèi)而外，自上而下，從端到邊界的防護能力。95.35.某IT公司針對信息安全事件