CISP練習(xí)試題及答案

第頁CISP練習(xí)試題1.45.某攻擊者想通過遠(yuǎn)程控制軟件潛伏在某監(jiān)控方的UNIX系統(tǒng)的計(jì)算機(jī)中，如果攻擊者打算長時(shí)間地遠(yuǎn)程監(jiān)控某服務(wù)器上的存儲的敏感數(shù)據(jù)，必須要能夠清除在監(jiān)控方計(jì)算機(jī)中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方查看自己的系統(tǒng)日志的時(shí)候，就會(huì)發(fā)現(xiàn)被監(jiān)控以及訪向的痕跡。不屬于清除痕跡的方法是()。A、竊取root權(quán)限修改wtmp/wtmpx、utmp/utmpx和lstlog三個(gè)主要日志文件B、采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能C、保留攻擊時(shí)產(chǎn)生的臨時(shí)文件D、修改登錄日志，偽造成功的登錄日志，增加審計(jì)難度【正確答案】：C解析：

在UNIX系統(tǒng)中，攻擊者為了長時(shí)間潛伏并監(jiān)控服務(wù)器上的敏感數(shù)據(jù)，需要清除可能留下痕跡的系統(tǒng)日志，以避免被監(jiān)控方發(fā)現(xiàn)。竊取root權(quán)限可以修改wtmp/wtmpx、utmp/utmpx和lastlog這三個(gè)主要日志文件，這些文件記錄了用戶的登錄和注銷信息，修改它們可以掩蓋攻擊者的登錄痕跡。采用干擾手段影響系統(tǒng)防火墻的審計(jì)功能，可以使得監(jiān)控方難以通過防火墻日志發(fā)現(xiàn)異常訪問。修改登錄日志，偽造成功的登錄日志，則能增加審計(jì)的難度，使得監(jiān)控方難以分辨真實(shí)和偽造的登錄記錄。然而，保留攻擊時(shí)產(chǎn)生的臨時(shí)文件，不僅不會(huì)清除痕跡，反而可能留下更多的證據(jù)供監(jiān)控方發(fā)現(xiàn)。因此，不屬于清除痕跡的方法是保留攻擊時(shí)產(chǎn)生的臨時(shí)文件。2.58.數(shù)字簽名不能實(shí)現(xiàn)的安全特性為（）A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D3.223.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

解釋：檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。4.308.風(fēng)險(xiǎn)評估工具的使用在一定程度上解決了手動(dòng)評估的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗(yàn)知識被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評估過程中的主要任務(wù)和作用愿理，風(fēng)險(xiǎn)評估工具可以為以下幾類，其中錯(cuò)誤的是：A、風(fēng)險(xiǎn)評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具C、風(fēng)險(xiǎn)評估輔助工具D、環(huán)境風(fēng)險(xiǎn)評估工具【正確答案】：D5.485.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中哪個(gè)最應(yīng)該引起關(guān)注（）A、由于有限的測試時(shí)間窗，僅僅測試了最必的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)獨(dú)測試B、在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從面導(dǎo)致這些系統(tǒng)的測試失敗C、在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D、每年都是同相同的員工執(zhí)行此測試由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒有使用災(zāi)難推薦計(jì)劃（DRP）文檔【正確答案】：B解析：

答案解析：在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試時(shí)，核心目標(biāo)是確保備份系統(tǒng)在主系統(tǒng)失效時(shí)能夠無縫接替，保證業(yè)務(wù)連續(xù)性。選項(xiàng)B指出“在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗”，這直接關(guān)聯(lián)到災(zāi)難恢復(fù)計(jì)劃的有效性。如果備份系統(tǒng)在測試中失敗，那么在真實(shí)災(zāi)難發(fā)生時(shí)，這些系統(tǒng)可能也無法正常工作，導(dǎo)致業(yè)務(wù)中斷。因此，B選項(xiàng)描述的問題最應(yīng)該引起關(guān)注。6.577.信息時(shí)流動(dòng)的，在信息的流動(dòng)過程中必須能夠識別所有可能途徑的（）與（）；面對于信息本身，信息的敏感性的定義是對信息保護(hù)的（）和（），信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的截體下，可能體現(xiàn)出信息的（）、臨時(shí)性和信息的交互場景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測。A、基礎(chǔ)；依據(jù)；載體；環(huán)境；永久性；風(fēng)險(xiǎn)管理B、基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性C、載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性；基礎(chǔ)；依據(jù)D、載體；環(huán)境；基礎(chǔ)；依據(jù)；風(fēng)險(xiǎn)管理；永久性【正確答案】：D7.429.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度？A、64bitB、128itC、192bitD、256bit【正確答案】：A解析：

AES（AdvancedEncryptionStandard）加密算法的信息塊長度固定為128位，但其加密密鑰長度是可變的，包括128位、192位和256位三種。因此，64位不是AES加密算法可能的密鑰長度。8.521.下列選項(xiàng)中對信息系統(tǒng)審計(jì)概念的描述中不正確的是()A、信息系統(tǒng)審計(jì),也可稱作IT審計(jì)或信息系統(tǒng)控制審計(jì)B.信息系統(tǒng)審計(jì)是一個(gè)獲取并評價(jià)證據(jù)的過程,審計(jì)對象是信息系統(tǒng)相關(guān)控制,審計(jì)目標(biāo)則是判斷信息系統(tǒng)是否能夠B、保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性C、信息系統(tǒng)審計(jì)是單一的概念,是對會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查D、從信息系統(tǒng)審計(jì)內(nèi)容上看,可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì),例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績效審計(jì)等?！菊_答案】：C解析：

信息系統(tǒng)審計(jì)不僅涉及對會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查，而是一個(gè)更廣泛的概念。它包含對信息系統(tǒng)相關(guān)控制進(jìn)行審計(jì)，以判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性。此外，信息系統(tǒng)審計(jì)還可以細(xì)分為不同專項(xiàng)審計(jì)，如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績效審計(jì)等。因此，選項(xiàng)C中“信息系統(tǒng)審計(jì)是單一的概念”這一描述是不正確的。9.605.在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí)，組織（）和實(shí)施方法（如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程）應(yīng)（）。獨(dú)立評審宜由管理者啟動(dòng)，由獨(dú)立被評審范圍的人員執(zhí)行，例如內(nèi)部審核部、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)模ǎ９芾砣藛T宜對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行（）。為了日常功評審的效率，可以考慮使用自動(dòng)測量和（）。評審結(jié)果和管理人員采取的糾正措施宜被記錄，且這些記錄宜予以維護(hù)。A、信息安全管理；獨(dú)立審查；報(bào)告工具；技能和經(jīng)驗(yàn)；定期評審B、信息安全管理；技能和經(jīng)驗(yàn)；獨(dú)立審查；定期評審；報(bào)告工具C、獨(dú)立審查；信息安全管理；技能和經(jīng)驗(yàn)；定期評審；報(bào)告工具D、信息安全管理；獨(dú)立審查；技能和經(jīng)驗(yàn)；定期評審；報(bào)告工具9【正確答案】：D解析：

首先，根據(jù)題目描述，“組織（）和實(shí)施方法”這一空格應(yīng)填入的是被組織和管理的對象，結(jié)合選項(xiàng)和信息安全管理的常識，可以確定應(yīng)填入“信息安全管理”。接著，“應(yīng)（）”這一空格，根據(jù)后文的“獨(dú)立評審宜由管理者啟動(dòng)”，可以確定應(yīng)填入“獨(dú)立審查”。10.414.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C11.266.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）A、要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓(xùn)C、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、要求增加軟件安全測試環(huán)節(jié)，今早發(fā)現(xiàn)軟件安全問題【正確答案】：A解析：

解釋：開發(fā)人員采用敏捷開發(fā)模型進(jìn)行軟件開發(fā)，但未包括安全的開發(fā)方法和措施。12.89.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制保密【正確答案】：B解析：

解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。13.328.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題【正確答案】：D解析：

在這個(gè)問題中，網(wǎng)站推出的快捷登錄功能，雖然提高了用戶體驗(yàn)，但卻因?yàn)槿狈Ρ匾陌踩O(shè)計(jì)考慮，導(dǎo)致用戶賬號大量被盜用。選項(xiàng)D準(zhǔn)確指出了問題的核心：設(shè)計(jì)人員不了解安全設(shè)計(jì)的關(guān)鍵要素，從而設(shè)計(jì)了不安全的功能。這一設(shè)計(jì)使得攻擊者可以利用用戶上次使用的IP地址進(jìn)行未經(jīng)授權(quán)的訪問，增大了網(wǎng)站的攻擊面，直接導(dǎo)致了安全問題的產(chǎn)生。其他選項(xiàng)雖然涉及了安全編碼、用戶安全意識和網(wǎng)站用戶數(shù)增加等因素，但并未直接觸及問題本質(zhì)，即安全設(shè)計(jì)的缺失。14.284.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的?A、相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途B、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C、TP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制，因此TP協(xié)議能完全替代IP協(xié)議D、TCP協(xié)議雖然高可靠，但是相比UP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UP低【正確答案】：D解析：

TCP協(xié)議具有高可靠性，通過流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制確保了數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和完整性。然而，這些機(jī)制也增加了TCP協(xié)議的復(fù)雜性和處理開銷，導(dǎo)致其傳輸效率相比UDP協(xié)議要低。UDP協(xié)議則更側(cè)重于數(shù)據(jù)傳輸?shù)乃俣群托?，但不提供像TCP那樣的可靠性保障。因此，TCP協(xié)議和UDP協(xié)議各有優(yōu)缺點(diǎn)，適用于不同的應(yīng)用場景。選項(xiàng)D準(zhǔn)確地描述了TCP協(xié)議相對于UDP協(xié)議的特點(diǎn)。15.388.Kerberos協(xié)議是一種集中訪問控制協(xié)議，他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點(diǎn)登錄服務(wù)。單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不在需要其他的認(rèn)證過程，實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項(xiàng)中的()A、安全憑證B、用戶名C、加密密鑰D、會(huì)話密鑰【正確答案】：A16.123.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是：A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A17.639.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對此漏洞修補(bǔ)的四個(gè)建議方案，請選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A、由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C、對于重要的服務(wù)，應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D、對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級【正確答案】：C18.343.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成六個(gè)階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段：關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號等（）A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測階段【正確答案】：B解析：

解釋：拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量等做法屬于遏制階段的工作。19.267.根據(jù)信息安全風(fēng)險(xiǎn)要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

解釋：風(fēng)險(xiǎn)的原理是威脅利用脆弱性，造成對資產(chǎn)的風(fēng)險(xiǎn)。20.537.安全評估技術(shù)采用()這一工具,它是一種能夠自動(dòng)檢測遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。A、安全掃描器B、安全掃描儀C、自動(dòng)掃描器D、自動(dòng)掃描儀【正確答案】：A21.432.Alice有一個(gè)消息M通過密鑰K2生成一個(gè)密文E（K2，M）然后用K1生成一個(gè)MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個(gè)MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個(gè)過程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】：D22.623.下列選項(xiàng)中對信息系統(tǒng)審計(jì)概念的描述中不正確的是（）A、信息系統(tǒng)審計(jì)，也可稱作IT審計(jì)或信息系統(tǒng)控制審計(jì)B、信息系統(tǒng)審計(jì)是一個(gè)獲取并評價(jià)證據(jù)的過程，審計(jì)對象是信息系統(tǒng)相關(guān)控制，審計(jì)目標(biāo)則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性C、信息系統(tǒng)審計(jì)是單一的概念，是對會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查D、從信息系統(tǒng)審計(jì)內(nèi)容上看，可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì)，例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績效審計(jì)等【正確答案】：C23.21.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是（）A、喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C、搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)D、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)【正確答案】：B24.91.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會(huì)話層D、物理層【正確答案】：A25.431.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測階段【正確答案】：D26.501.信息安全管理體系也采用了（）模型可應(yīng)用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的（），產(chǎn)生滿足這些要求和期望的（）。A、ISMS：PDCA過程；行動(dòng)和過程；信息安全結(jié)果B、PDCA；ISMS過程；行動(dòng)和過程；信息安全結(jié)果C、ISMS：PDCA過程；信息安全結(jié)果；行動(dòng)和過程D、PDCA；ISMS過程；信息安全結(jié)果；行動(dòng)和過程【正確答案】：B27.187.以下關(guān)于模糊測試過程的說法正確的是：A、模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試C、通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告【正確答案】：C28.1.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)個(gè)業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低：信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法()A、信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡單，因此費(fèi)更低C、雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D、雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同【正確答案】：A29.43.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令明文C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B30.581.1993年至1996年，歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個(gè)供歐美各國通用的信息安全評估標(biāo)準(zhǔn)，簡稱CC標(biāo)準(zhǔn)，該安全評估標(biāo)準(zhǔn)的全稱為（）A、《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》B、《信息技術(shù)安全評估準(zhǔn)則》C、《可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則》D、《信息技術(shù)安全通用評估準(zhǔn)則》【正確答案】：D解析：

這道題考查對信息安全評估標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)全稱的了解。在信息安全領(lǐng)域，歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定的供歐美通用的標(biāo)準(zhǔn)是《信息技術(shù)安全通用評估準(zhǔn)則》。A選項(xiàng)是其他評估準(zhǔn)則；B選項(xiàng)表述不準(zhǔn)確；C選項(xiàng)也不符合。所以答案是D選項(xiàng)。31.449.在Windows系統(tǒng)中，管理權(quán)限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B32.210.在軟件保障成熟度模型（ＳＡＭＭ）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能A、治理，主要是管理軟件開發(fā)的過程和活動(dòng)B、構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C、驗(yàn)證，主要是測試和驗(yàn)證軟件的過程和活動(dòng)D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)【正確答案】：D解析：

解釋：ＳＡＭＭ包括治理、構(gòu)造、驗(yàn)證、部署。33.438.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡要進(jìn)行三次握手，請求通信的主機(jī)A要與另一臺主機(jī)B建立連接時(shí)，A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī)提出連接請示，B收到后，回復(fù)一個(gè)ACK/SYN確認(rèn)請示給A主機(jī)，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī)，使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機(jī)會(huì)等一段時(shí)間后才會(huì)放棄這個(gè)連接等待。因此大量虛假SYN包同時(shí)發(fā)送到目標(biāo)主機(jī)時(shí)，目標(biāo)主機(jī)上就會(huì)有大量的連接請示等待確認(rèn)，當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于（）A、、拒絕服務(wù)攻擊B、、分布式拒絕服務(wù)攻擊C、、緩沖區(qū)溢出攻擊D、、SQL注入攻擊【正確答案】：A解析：

SYNFlood攻擊利用TCP三次握手協(xié)議的漏洞，通過偽造虛假源地址的SYN包發(fā)送給目標(biāo)主機(jī)。由于這些SYN包是虛假的，目標(biāo)主機(jī)發(fā)送的ACK/SYN確認(rèn)包無法得到回應(yīng)，導(dǎo)致目標(biāo)主機(jī)上積累大量未釋放的連接請求。當(dāng)這些未釋放的連接請求數(shù)量超過目標(biāo)主機(jī)的資源限制時(shí)，正常的連接請求就無法被接受。這種攻擊方式通過消耗目標(biāo)主機(jī)的資源，使其無法提供正常服務(wù)，因此屬于拒絕服務(wù)攻擊。34.496.物聯(lián)網(wǎng)將我們帶入一個(gè)復(fù)雜多元、綜合交互的新信息時(shí)代，物聯(lián)網(wǎng)安全成為關(guān)系國計(jì)民生的大事，直接影響到個(gè)人生活的社會(huì)穩(wěn)定。物聯(lián)網(wǎng)安全問題必須引起高度重視，并從技術(shù)、標(biāo)準(zhǔn)和法律方面予以保障。物聯(lián)網(wǎng)的感知由安全技術(shù)主要包括（）、（）等，實(shí)現(xiàn)RFID安全性機(jī)制所采用的方法主要有三類：（）、（）和（）。傳感器網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含（）、（）和（）A、RFID安全技術(shù)；傳感器網(wǎng)絡(luò)安全技術(shù)；內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證；物理機(jī)制，密碼機(jī)制，以及二者相結(jié)合的方法B、RFID安全技術(shù)；傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證C、RFID安全技術(shù)；傳感器網(wǎng)絡(luò)安全技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證D、RFID技術(shù)；傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證【正確答案】：C解析：

解答：該內(nèi)容來源于互聯(lián)網(wǎng)。35.7.由于信息系統(tǒng)的復(fù)雜性。因此需要一個(gè)通用的框架對其進(jìn)行解構(gòu)和描述。然后再基于此框架討論信息系統(tǒng)的（）。在IATF中，將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個(gè)焦點(diǎn)領(lǐng)城:():區(qū)城邊界即本地計(jì)算環(huán)境的外維:()支持性基礎(chǔ)設(shè)施。在深度店有技術(shù)力案中推薦()原則，()原則。A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；安全保護(hù)問題；本地的計(jì)算環(huán)境；多點(diǎn)防御；分層防御B、安全保護(hù)問題；本地的計(jì)算環(huán)境；多點(diǎn)防御；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；分層防御C、安全保護(hù)問題；本地的計(jì)算環(huán)境；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御D、本地的計(jì)算環(huán)境；安全保護(hù)問題；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點(diǎn)防御；分層防御【正確答案】：C36.197.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：A、數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)B、數(shù)據(jù)庫管理員定期地將整個(gè)數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個(gè)磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交【正確答案】：D37.307.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】：B解析：

解釋：定性分析不能靠直覺、不能隨意。38.250.對于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)？A、ISO/IEC1540BB、802.11C、GB/T20984D、X.509【正確答案】：D39.190.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正常使用，從而檢測出入侵行為。下面說法錯(cuò)誤的是（）A、在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報(bào)警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B40.377.下圖中描述網(wǎng)絡(luò)動(dòng)態(tài)安全的P2DR模型，這個(gè)模型經(jīng)常使用圖形的形式來表達(dá)的下圖空白處應(yīng)填（）A、策略B、方針C、人員D、項(xiàng)目【正確答案】：A41.494.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)相互與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依欠填入的是（）。A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組【正確答案】：A解析：

解答：參考教材第154頁圖4-1的內(nèi)容。42.20.在國家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B43.248.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)，對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等，關(guān)于該文件，下面理解正確的是A、該文件時(shí)一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護(hù)工作，其內(nèi)容不能越蘇到2005年及之后的工作C、該文件時(shí)一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍D、該文件使用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位【正確答案】：A44.178.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時(shí)，以下說法正確的是：A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPseVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPse安全關(guān)聯(lián)（SeurityAuthentiation,SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeaer,AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

在部署IPsecVPN時(shí)，對于IP地址的規(guī)劃是一個(gè)重要考慮因素。通過在分支節(jié)點(diǎn)使用可以聚合的IP地址段，能夠有效地減少IPsec安全關(guān)聯(lián)（SA）資源的消耗。這是因?yàn)镮PsecSA是為每個(gè)獨(dú)特的IP地址對建立的，使用可聚合的地址段可以減少所需的SA數(shù)量，從而優(yōu)化資源利用。A選項(xiàng)中的MD5算法主要用于數(shù)據(jù)完整性驗(yàn)證，而非提供數(shù)據(jù)加密；B選項(xiàng)中的AES算法是一種加密算法，用于提供數(shù)據(jù)加密而非數(shù)據(jù)完整性驗(yàn)證；D選項(xiàng)中的報(bào)文驗(yàn)證頭協(xié)議（AH）主要用于確保數(shù)據(jù)的完整性和真實(shí)性，但并不提供數(shù)據(jù)機(jī)密性。因此，C選項(xiàng)是正確的。45.210.在軟件保障成熟度模型（ＳＡＭＭ）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能A、治理，主要是管理軟件開發(fā)的過程和活動(dòng)B、構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C、驗(yàn)證，主要是測試和驗(yàn)證軟件的過程和活動(dòng)D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)【正確答案】：D46.187.以下關(guān)于模糊測試過程的說法正確的是：A、模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試C、通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告【正確答案】：C解析：

解釋：C為模糊測試的涵義解釋。47.338.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯(cuò)誤的是：A、系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論C、系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法【正確答案】：C48.365.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動(dòng)是（）：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A49.322.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評估事件的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)【正確答案】：D50.560.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級別事件()A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：D51.532.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ〢、由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進(jìn)行取證B、由于公司缺乏備用硬盤,因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來進(jìn)行取證C、由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復(fù)出來的數(shù)據(jù)D、由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作【正確答案】：B52.481.在國家標(biāo)準(zhǔn)GB／T2024.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面()A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B53.135.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請，監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開發(fā)類文檔：A、項(xiàng)目計(jì)劃書B、質(zhì)量控制計(jì)劃C、評審報(bào)告D、需求說明書【正確答案】：D54.120.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤的是：A、立足國情，以我為主，堅(jiān)持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全【正確答案】：D55.23.有關(guān)質(zhì)量管理，錯(cuò)誤的理解是（）。A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B、規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D、

質(zhì)量管理體系從機(jī)構(gòu)，程序、過程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來提升質(zhì)量【正確答案】：C56.145.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對信息安全的要求B、識別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D57.255.GB/T18336<<信息技術(shù)安全性評估準(zhǔn)則>>（CC）是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評估準(zhǔn)則，提出了評估保證級（EvaluationAssuranceLevel，EAL）,其評估保證級共分為（）個(gè)遞增的評估保證等級A、4B、5C、6D、7【正確答案】：D解析：

解釋：CC標(biāo)準(zhǔn)EAL1-EAL7級。58.548.數(shù)據(jù)庫是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點(diǎn)出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng),毫無疑問會(huì)成為信息安全的重點(diǎn)防護(hù)對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問,對數(shù)據(jù)庫安全要求不包括下列()A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對數(shù)據(jù)庫的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等【正確答案】：A59.461.下列關(guān)于kerckhof準(zhǔn)則的說法正確的是：A、保持算法的秘密性比保持密鑰的秘密性要困難的多B、密鑰一旦泄漏，也可以方便的更換C、在一個(gè)密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全D、公開的算法能夠經(jīng)過更嚴(yán)格的安全性分析【正確答案】：C60.466.下面哪種方法產(chǎn)生的密碼是最難記憶的？A、將用戶的生日倒轉(zhuǎn)或是重排B、將用戶的年薪倒轉(zhuǎn)或是重排C、將用戶配偶的名字倒轉(zhuǎn)或是重排D、用戶隨機(jī)給出的字母【正確答案】：D61.304.下列關(guān)于信息系統(tǒng)明確實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是：A、確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D、確保信息系統(tǒng)的使用已得到授權(quán)【正確答案】：B62.531.風(fēng)險(xiǎn),在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面,如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等,ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型,如圖所示。請結(jié)合此圖,怎么才能降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響?()A、組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求,通過構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響B(tài)、加強(qiáng)防護(hù)措施,降低風(fēng)險(xiǎn)C、減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D、減少資產(chǎn)降低風(fēng)險(xiǎn)【正確答案】：A63.121.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對較低D、在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力【正確答案】：C解析：

解釋：安全措施投入應(yīng)越早則成本越低，C答案則成本會(huì)上升。64.525.在一個(gè)網(wǎng)絡(luò)中,當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多,或普通終端計(jì)算機(jī)沒有必要分配靜態(tài)IP地址時(shí),可以采用通過在計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí),每次為其臨時(shí)在IP地址池中選擇一個(gè)IP地址并分配的方式為()A、動(dòng)態(tài)分配IP地址B、靜態(tài)分配IP地址C、網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址D、手動(dòng)分配【正確答案】：A65.567.風(fēng)險(xiǎn)評估的過程包括()、()、()和()四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中,風(fēng)險(xiǎn)評估建立階段的輸出,形成本階段的最終輸出《風(fēng)險(xiǎn)評估報(bào)告》,此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。()風(fēng)險(xiǎn)評估的四個(gè)階段。A、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識別;風(fēng)險(xiǎn)分析;監(jiān)控審查;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢B、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識別;監(jiān)控審查;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢C、風(fēng)險(xiǎn)評估準(zhǔn)備;監(jiān)控審查;風(fēng)險(xiǎn)要素識別;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)結(jié)果判定;溝通咨詢D、風(fēng)險(xiǎn)評估準(zhǔn)備;風(fēng)險(xiǎn)要素識別:風(fēng)險(xiǎn)分析:風(fēng)險(xiǎn)結(jié)果判定;監(jiān)控審查,溝通咨詢【正確答案】：D66.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C67.592.分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會(huì)把它當(dāng)作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯(cuò)誤的是（）A、拒絕服務(wù)攻擊B、網(wǎng)址重定向C、傳輸保護(hù)不足D、錯(cuò)誤的訪問控制【正確答案】：D68.104.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議【正確答案】：D解析：

解釋：D不是導(dǎo)致欺騙的根源。69.611.風(fēng)險(xiǎn)評估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測試，判斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A、脆弱性掃描工具B、滲透測試工具C、拓?fù)浒l(fā)現(xiàn)工具D、安全審計(jì)工具【正確答案】：B70.257.關(guān)于信息安全保障的概念，下面說法錯(cuò)誤的是：A、信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化的，信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理念B、信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測和響應(yīng)為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來保障信息安全D、信息安全保障把信息安全從技術(shù)擴(kuò)展到管理，通過技術(shù)、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務(wù)使命的保障【正確答案】：C71.206.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處的李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩膩先幫我把密碼改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強(qiáng)發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下列說法哪個(gè)是正確的A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題B、事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請郵件服務(wù)軟件【正確答案】：C解析：

解釋：該題目考點(diǎn)為信息安全措施的操作安全，要求一切操作均有流程。72.262.在GB／T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)【正確答案】：C解析：

解釋：兩份不同的ST可以同時(shí)滿足同一份PP的要求。73.221.降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）指通過對面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險(xiǎn)，下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）A、減少威脅源，采用法律的手段制裁計(jì)算機(jī)的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)B、簽訂外包服務(wù)合同，將有計(jì)算難點(diǎn)，存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(xiǎn)C、減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性【正確答案】：B74.168.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項(xiàng)錯(cuò)誤的是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)【正確答案】：D解析：

解釋：R-抵賴無法通過過濾、流控和隱私保護(hù)實(shí)現(xiàn)的，R-抵賴的實(shí)現(xiàn)方式包括數(shù)字簽名、安全審計(jì)、第三方公證。75.487．下面哪個(gè)階段不屬于軟件的開發(fā)時(shí)期A、詳細(xì)設(shè)計(jì)B、總體設(shè)計(jì)C、編碼D、需求分析【正確答案】：B解析：

解答：來源于百度知道2011-11-21的一條網(wǎng)友回答。76.526.信息安全風(fēng)險(xiǎn)管理是基于()的信息安全管理,也就是,始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即()選擇的范圍和對象重點(diǎn)應(yīng)有所不同。A、風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)【正確答案】：A77.13.根據(jù)《信息安全等級保護(hù)管理辦法》、《關(guān)于開展信息安全等級保護(hù)測評體系建設(shè)試點(diǎn)工作的通知》（公信安[2009]812號），關(guān)于推動(dòng)信息安全等級保護(hù)（）建設(shè)和開展()工作的通知（公信安[2010]303號）等文件，由公安部()對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期（），對不具備能力的測評機(jī)構(gòu)則（）A、等級測評；測評體系；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)B、測評體系；等級保護(hù)評估中心；等級測評；能力驗(yàn)證；取消授權(quán)C、測評體系；等級測評；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)D、測評體系；等級保護(hù)評估中心；能力驗(yàn)證；等級測評；取消授權(quán)【正確答案】：C78.180.以下Windows系統(tǒng)的賬號存儲管理機(jī)制SAM（SecurityAccountsManager）的說法哪個(gè)是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性【正確答案】：D79.559.組織應(yīng)開發(fā)和實(shí)施使用()來保護(hù)信息的策略,基于風(fēng)險(xiǎn)評估,宣確定需要的保護(hù)級別,并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量。當(dāng)實(shí)施組織的()時(shí),宣考慮我國應(yīng)用密碼技術(shù)的規(guī)定和限制,以及()跨越國界時(shí)的向題。組織應(yīng)開發(fā)和實(shí)施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的管理要求,包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀。宜根據(jù)最好的實(shí)際效果選擇加密算法、密鑰長度和使用習(xí)慣。適合的()要求密鑰在生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外,秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備宜進(jìn)行()。A、加密控制措施;加密信息;密碼策略;密鑰管理;物理保護(hù)B、加密控制措施;密碼策略;密鑰管理;加密信息;物理保護(hù)C、加密控制措施;密碼策略;加密信息;密鑰管理:物理保護(hù)D、加密控制措施;物理保護(hù);密碼策略;加密信息;密鑰管理【正確答案】：C解析：

來源于課本118頁，27002的知識點(diǎn)80.390.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號應(yīng)填那個(gè)？A、安全資產(chǎn)價(jià)值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級D、安全事件造成損失大小【正確答案】：D81.66.與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（）,即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測、（）和自適應(yīng)填充“安全間隙“為循環(huán)來提高（）。A、漏洞監(jiān)測；控制和對抗；動(dòng)態(tài)性；網(wǎng)絡(luò)安全B、動(dòng)態(tài)性；控制和對抗；漏洞監(jiān)測；網(wǎng)絡(luò)安全C、控制和對抗；漏洞監(jiān)測；動(dòng)態(tài)性；網(wǎng)絡(luò)安全D、控制和對抗；動(dòng)態(tài)性；漏洞監(jiān)測；網(wǎng)絡(luò)安全【正確答案】：D82.309.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估活動(dòng)，我國有關(guān)文件指出：風(fēng)險(xiǎn)評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項(xiàng)中描述錯(cuò)誤的是()。A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)來實(shí)施D、周期性的自評估可以在評估流程上適當(dāng)簡化，如重點(diǎn)針對上次評估后系統(tǒng)變化部分進(jìn)行【正確答案】：C解析：

解釋：自評估可以委托社會(huì)風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)來實(shí)施。83.143.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，正確的理解是：A、測量單位是基本實(shí)施(BsePrctices，BP)B、測量單位是通用實(shí)踐(GenericPractices，GP)C、測量單位是過程區(qū)域(ProessAreas，PA)D、測量單位是公共特征(CommonFeatures，CF)【正確答案】：D解析：

在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，其測量單位是公共特征(CommonFeatures,CF)。這是SSECMM模型特有的評估單位，用于衡量組織在安全工程方面的能力成熟度水平。84.186.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進(jìn)行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

解釋：A錯(cuò)誤，模糊測試是模擬異常輸入；B錯(cuò)誤，入口與邊界點(diǎn)是測試對象；C模糊測試記錄和檢測異常運(yùn)行情況。85.616.隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們對網(wǎng)絡(luò)的依賴性達(dá)到了前所未有的程度，網(wǎng)絡(luò)安全也面臨著越來越嚴(yán)峻的考驗(yàn)。如何保障網(wǎng)絡(luò)安全就顯得非常重要，而網(wǎng)絡(luò)安全評估是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)。以下不屬于網(wǎng)絡(luò)安全評估內(nèi)容的是（）A、數(shù)據(jù)加密B、漏洞檢測C、風(fēng)險(xiǎn)評估D、安全審計(jì)【正確答案】：A86.2．對于關(guān)鍵信息基礎(chǔ)設(shè)施的外延范圍，以下哪項(xiàng)是正確的()A、關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定由國家網(wǎng)信部門確定，網(wǎng)絡(luò)運(yùn)背者自身及上級主管部門不能認(rèn)定B、關(guān)鍵信總基礎(chǔ)設(shè)施與等級保護(hù)三級以系統(tǒng)的范圍一致，對于等級保護(hù)三級以上系統(tǒng)就應(yīng)納入關(guān)鍵信基礎(chǔ)設(shè)施保護(hù)范圍C、關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍由國務(wù)院制定，鼓勵(lì)網(wǎng)絡(luò)運(yùn)營者自愿參照關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)要求開展保護(hù)D、關(guān)鍵信息基礎(chǔ)設(shè)施只限于公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)這七個(gè)行業(yè)，除此以外行業(yè)的網(wǎng)絡(luò)不能認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施【正確答案】：C87.503．下列選項(xiàng)中，對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是（）A、物理安全確保了系統(tǒng)在對信息進(jìn)行采集、傳輸、處理等過程中的安全B、物理安全面對是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng)，是一個(gè)非常關(guān)鍵的領(lǐng)域C、物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D、影響物理安全的因素不僅包含自然因素，還包含人為因素【正確答案】：A88.177.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是（）A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行。C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D、密碼協(xié)議(Cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)?！菊_答案】：A解析：

解釋：密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟必須要明確處理方式。89.344.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動(dòng)態(tài)口令。下面找描述中錯(cuò)誤的是（）A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動(dòng)態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動(dòng)態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

解釋：動(dòng)態(tài)口令方案要求其口令不能被收集和預(yù)測。90.609.在軟件開發(fā)過程中，常用圖作為描述攻擊，如DFD就是面向（）分析方法的描述工具，在一套分層DFD中，如果某一張圖中有N個(gè)加工（Process）則這張圖允許有（）張子圖，在一張DFD中任意兩個(gè)加工之間（）。在畫分層DFD時(shí)，應(yīng)注意保持（）之間的平衡。DFD中從系統(tǒng)的輸入流到系統(tǒng)的輸出流的一連串交換形式一種信息流，這種信息流可分為交換流和事物流兩類。A、數(shù)據(jù)流；0^N；有0條或多條名字互不相同的數(shù)據(jù)流；父圖與其子圖B、數(shù)據(jù)流；I^N；有0條或多條名字互不相同的數(shù)據(jù)流；父圖與其子圖C、字節(jié)流；0^N；有0條或多條名字互不相同的數(shù)據(jù)流；父圖與其子圖D、數(shù)據(jù)流；0^N；有0條或多條名字互不相同的數(shù)據(jù)流；子圖之間【正確答案】：A解析：

來源：非CISP的內(nèi)容，軟件工程師、軟考的基礎(chǔ)知識，考的是圖方法的基本概念。91.423.通過對稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是：A、在安全的傳輸信道上進(jìn)行通信B、通訊雙方通過某種方式，安全且秘密地共享密鑰C、通訊雙方使用不公開的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取【正確答案】：B92.390.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號應(yīng)填那個(gè)？A、安全資產(chǎn)價(jià)值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級D、安全事件造成損失大小【正確答案】：D93.379.小王是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的學(xué)生，最近因?yàn)樯∪毕藥滋眯畔踩n程，這幾次課的內(nèi)容是自主訪問控制與強(qiáng)制訪問控制，為了趕上課程進(jìn)度，他向同班的小李借來課堂筆記，進(jìn)行自學(xué)。而小李在聽課時(shí)由于經(jīng)常走神，所以筆記中會(huì)出現(xiàn)一些錯(cuò)誤。下列選項(xiàng)是小李筆記中關(guān)于強(qiáng)制訪問控制模型的內(nèi)容，其中出現(xiàn)錯(cuò)誤的選項(xiàng)是（）A、強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體B、安全屬性是強(qiáng)制性的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，不能隨意修改C、系統(tǒng)通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個(gè)用戶執(zhí)行訪問控制的過程控制措施【正確答案】：D94.243.系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、