CISP試題及答案復(fù)習(xí)測(cè)試卷附答案

第頁(yè)CISP試題及答案復(fù)習(xí)測(cè)試卷附答案1.在評(píng)估邏輯訪問(wèn)控制時(shí)，應(yīng)該首先做什么A、把應(yīng)用在潛在訪問(wèn)路徑上的控制項(xiàng)記錄下來(lái)B、在訪問(wèn)路徑上測(cè)試控制來(lái)檢測(cè)是否他們具功能化C、按照寫(xiě)明的策略和實(shí)踐評(píng)估安全環(huán)境D、對(duì)信息流程的安全風(fēng)險(xiǎn)進(jìn)行了解【正確答案】：D2.授權(quán)訪問(wèn)信息資產(chǎn)的責(zé)任人應(yīng)該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管【正確答案】：C3.在TCP中的六個(gè)控制位哪一個(gè)是用來(lái)請(qǐng)求結(jié)束會(huì)話的A.SYNA、SYNB、ACKC、FIND、RST【正確答案】：A4.下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B、控制已經(jīng)過(guò)了測(cè)試C、安全控制規(guī)范是基于風(fēng)險(xiǎn)分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測(cè)試的【正確答案】：D5.下面對(duì)自由訪問(wèn)控制（DAC）描述正確的是A、比較強(qiáng)制訪問(wèn)控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用【正確答案】：D6.安全技術(shù)評(píng)估工具通常不包括A、漏洞掃描工具B、入侵檢測(cè)系統(tǒng)C、調(diào)查問(wèn)卷D、滲透測(cè)試工具【正確答案】：C7.減少與釣魚(yú)相關(guān)的風(fēng)險(xiǎn)的最有效控制是：A、系統(tǒng)的集中監(jiān)控B、釣魚(yú)的信號(hào)包括在防病毒軟件中C、在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚(yú)策略D、對(duì)所有用戶進(jìn)行安全培訓(xùn)【正確答案】：D8.當(dāng)曾經(jīng)用于存放機(jī)密資料的PC在公開(kāi)市場(chǎng)出售時(shí)A、對(duì)磁盤(pán)進(jìn)行消磁B、對(duì)磁盤(pán)低級(jí)格式化C、刪除數(shù)據(jù)D、對(duì)磁盤(pán)重整【正確答案】：A9.關(guān)于控制措施選擇描述不正確的是A、總成本中應(yīng)考慮控制措施維護(hù)成本B、只要控制措施有效，不管成本都應(yīng)該首先選擇C、首先要考慮控制措施的成本效益D、應(yīng)該考慮控制措施實(shí)施的成熟度【正確答案】：B10.建立應(yīng)急響應(yīng)計(jì)劃最重要的是A、業(yè)務(wù)影響分析B、測(cè)試及演練C、各部門(mén)的參與D、管理層的支持【正確答案】：B11.在風(fēng)險(xiǎn)分析中，以下哪種說(shuō)法是正確的？A、定量影響分析的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B、定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C、定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D、定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量【正確答案】：D12.在軟件開(kāi)發(fā)的需求定義階段，在軟件測(cè)試方面，以下哪一個(gè)選項(xiàng)被制定？A、覆蓋關(guān)鍵應(yīng)用的測(cè)試數(shù)據(jù)B、詳細(xì)的安全測(cè)試計(jì)劃C、質(zhì)量保證測(cè)試標(biāo)準(zhǔn)D、用戶驗(yàn)收測(cè)試標(biāo)準(zhǔn)【正確答案】：A13.在完成了業(yè)務(wù)影響分析（BIA）后，下一步的業(yè)務(wù)持續(xù)性計(jì)劃應(yīng)該是什么A、測(cè)試和維護(hù)業(yè)務(wù)持續(xù)性計(jì)劃B、制定一個(gè)針對(duì)性計(jì)劃C、制定恢復(fù)策略D、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃【正確答案】：C14.企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中應(yīng)該以記錄以下內(nèi)容的預(yù)定規(guī)則為基礎(chǔ)A、損耗的持續(xù)時(shí)間B、損耗的類型C、損耗的可能性D、損耗的原因【正確答案】：C15.信息系統(tǒng)審核員應(yīng)該預(yù)期誰(shuí)來(lái)授權(quán)對(duì)生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問(wèn)？A、流程所有者B、系統(tǒng)管理員C、安全管理員D、數(shù)據(jù)所有者【正確答案】：D16.年度損失值（ALE）的計(jì)算方法是什么ALE=ARO*AVB、ALE=AV*SLEC、"ALE=ARO*SLE"D、ALE=AV*EF【正確答案】：C17.組織在制定災(zāi)難恢復(fù)計(jì)劃時(shí)，應(yīng)該最先針對(duì)以下哪點(diǎn)制定A、所有信息系統(tǒng)流程B、所有應(yīng)用系統(tǒng)流程C、信息系統(tǒng)經(jīng)理指派的路程D、業(yè)務(wù)經(jīng)理定義的流程優(yōu)先級(jí)【正確答案】：C18.根據(jù)組織業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的復(fù)雜程度，可以建立多個(gè)計(jì)劃來(lái)滿足業(yè)務(wù)連續(xù)和和災(zāi)難恢復(fù)的各方面。在這種情況下，有必要：A、每個(gè)計(jì)劃和其它計(jì)劃保持協(xié)調(diào)一致B、所有的計(jì)劃要整合到一個(gè)計(jì)劃中C、每個(gè)計(jì)劃和其他計(jì)劃相互依賴D、指定所有計(jì)劃實(shí)施的順序【正確答案】：A19.20世紀(jì)70－90年代，信息安全所面臨的威脅主要是非法訪問(wèn)、惡意代碼和脆弱口令等，請(qǐng)問(wèn)這是信息安全發(fā)展的什么階段？A、通信安全。B、計(jì)算機(jī)安全。C、信息系統(tǒng)安全。D、信息安全保障?！菊_答案】：B20.以下對(duì)企業(yè)信息安全活動(dòng)的組織描述不正確的是A、企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。B、企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問(wèn)和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。C、在沒(méi)有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問(wèn)。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定。D、企業(yè)在開(kāi)展業(yè)務(wù)活動(dòng)的過(guò)程中，應(yīng)該完全相信員工，不應(yīng)該對(duì)內(nèi)部員工采取安全管控措施【正確答案】：D21.通過(guò)社會(huì)工程的方法進(jìn)行非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)可以通過(guò)以下方法避免：A、安全意識(shí)程序B、非對(duì)稱加密C、入侵偵測(cè)系統(tǒng)D、非軍1事區(qū)【正確答案】：A22.干管滅火器系統(tǒng)使用A、水，但是只有在發(fā)現(xiàn)火警以后水才進(jìn)入管道B、水，但是水管中有特殊的防水劑CO2代替水D、哈龍代替水【正確答案】：A23.在某個(gè)公司中,以下哪個(gè)角色最適合評(píng)估信息安全的有效性?A、公司的專家B、業(yè)務(wù)經(jīng)理C、IT審計(jì)員D、信息安全經(jīng)理【正確答案】：C24."在選擇外部供貨生產(chǎn)商時(shí)，評(píng)價(jià)標(biāo)準(zhǔn)按照重要性的排列順序是：1.供貨商與信息系統(tǒng)部門(mén)的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽(yù)、專業(yè)知識(shí)4.供貨商的財(cái)政狀況和管理情況、技術(shù)A、4，3，1，2B、3，4，2，1C、3，2，4，1D、1，2，3，4【正確答案】：B25.評(píng)估業(yè)務(wù)連續(xù)計(jì)劃效果最好的方法是：A、使用適當(dāng)?shù)臉?biāo)準(zhǔn)進(jìn)行規(guī)劃和比較B、之前的測(cè)試結(jié)果C、緊急預(yù)案和員工培訓(xùn)D、環(huán)境控制和存儲(chǔ)站點(diǎn)【正確答案】：C26.系統(tǒng)管理員屬于？A、決策層B、管理層C、執(zhí)行層D、既可以劃為管理層，又可以劃為執(zhí)行層【正確答案】：C27.在人力資源審計(jì)期間，安全管理體系內(nèi)審員被告知在IT部門(mén)和人力資源部門(mén)中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A、為兩部門(mén)起草一份服務(wù)水平協(xié)議B、向高級(jí)管理層報(bào)告存在未被書(shū)面簽訂的協(xié)議C、向兩部門(mén)確認(rèn)協(xié)議的內(nèi)容D、推遲審計(jì)直到協(xié)議成為書(shū)面文檔【正確答案】：C28.以下描述中不屬于SSH用途的為？A、用于遠(yuǎn)程的安全管理，使用SSH客戶端連接遠(yuǎn)程SSH服務(wù)器，建立安全的Shell交互環(huán)境B、用于本地到遠(yuǎn)程隧道的建立，進(jìn)而提供安全通道，保證某些業(yè)務(wù)安全傳輸C、進(jìn)行對(duì)本地?cái)?shù)據(jù)使用SSH的秘鑰進(jìn)行加密報(bào)錯(cuò)，以提高其業(yè)務(wù)的可靠性D、SCP遠(yuǎn)程安全數(shù)據(jù)復(fù)制借助SSH協(xié)議進(jìn)行傳輸，SSH提供其安全隧道保障【正確答案】：C29.以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A、內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議C、內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D、內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤【正確答案】：D30.在確定威脅的可能性時(shí)，可以不考慮以下哪個(gè)？A、威脅源B、潛在弱點(diǎn)C、現(xiàn)有控制措施D、攻擊所產(chǎn)生的負(fù)面影響【正確答案】：D31.對(duì)于信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保A、信息資產(chǎn)被過(guò)度保護(hù)B、不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施C、對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源【正確答案】：C32.P2DR模型強(qiáng)調(diào)了落實(shí)反應(yīng)和系統(tǒng)安全的動(dòng)態(tài)性，其中的“檢測(cè)”使用的主要方法是？A、檢測(cè)。B、報(bào)警。C、記錄。D、實(shí)時(shí)監(jiān)控?！菊_答案】：C33.實(shí)施邏輯訪問(wèn)安全時(shí)，以下哪項(xiàng)不是邏輯訪問(wèn)？A、用戶ID。B、訪問(wèn)配置文件。C、員工胸牌。D、密碼?！菊_答案】：C34.關(guān)于安全策略的說(shuō)法，不正確的是A、得到安全經(jīng)理的審核批準(zhǔn)后發(fā)布B、應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔C、控制安全策略的發(fā)布范圍，注意保密D、系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn)【正確答案】：A35.信息資產(chǎn)面臨的主要威脅來(lái)源主要包括A、自然災(zāi)害B、系統(tǒng)故障C、內(nèi)部人員操作失誤D、以上都包括【正確答案】：D36.信息安全審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一般由誰(shuí)完成？A、機(jī)構(gòu)內(nèi)部人員B、外部專業(yè)機(jī)構(gòu)C、獨(dú)立第三方機(jī)構(gòu)D、以上皆可【正確答案】：D37.信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？A、決策層B、管理層C、執(zhí)行層D、支持層【正確答案】：A38.組織回顧信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃時(shí)應(yīng)：A、每半年演練一次B、周期性回顧并更新C、經(jīng)首席執(zhí)行官(CEO)認(rèn)可D、與組織的所有部門(mén)負(fù)責(zé)人溝通【正確答案】：A39.有什么方法可以測(cè)試辦公部門(mén)的無(wú)線安全？A、Wardialing戰(zhàn)爭(zhēng)語(yǔ)言B、社會(huì)工程學(xué)C、戰(zhàn)爭(zhēng)駕駛D、密碼破解【正確答案】：B40.評(píng)估BCP時(shí)，下列哪一項(xiàng)應(yīng)當(dāng)最被關(guān)注：A、災(zāi)難等級(jí)基于受損功能的范圍，而不是持續(xù)時(shí)間B、低級(jí)別災(zāi)難和軟件事件之間的區(qū)別不清晰C、總體BCP被文檔化，但詳細(xì)恢復(fù)步驟沒(méi)有規(guī)定D、宣布災(zāi)難的職責(zé)沒(méi)有被識(shí)別【正確答案】：C41.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是？A、準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B、開(kāi)發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量。C、提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次。D、強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性?！菊_答案】：D42.在系統(tǒng)實(shí)施后評(píng)審過(guò)程中，應(yīng)該執(zhí)行下面哪個(gè)活動(dòng)？A、用戶驗(yàn)收測(cè)試B、投資收益分析C、激活審計(jì)模塊D、更新未來(lái)企業(yè)架構(gòu)【正確答案】：B43.關(guān)于信息安全策略文件以下說(shuō)法不正確的是哪個(gè)？A、信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。B、信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。C、信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。D、信息安全策略文件應(yīng)說(shuō)明管理承諾，并提出組織的管理信息安全的方法?！菊_答案】：C44.下面哪一個(gè)不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全運(yùn)行和管理B、安全測(cè)試C、變更管理D、風(fēng)險(xiǎn)再次評(píng)估【正確答案】：B45.當(dāng)保護(hù)組織的信息系統(tǒng)時(shí)，在網(wǎng)絡(luò)防火墻被破壞以后，通常的下一道防線是下列哪一項(xiàng)？A、個(gè)人防火墻B、防病毒軟件C、入侵檢測(cè)系統(tǒng)D、虛擬局域網(wǎng)設(shè)置【正確答案】：C46.作為業(yè)務(wù)繼續(xù)計(jì)劃流程中的一部分，在業(yè)務(wù)影響分析中下面哪個(gè)選項(xiàng)應(yīng)該最先確認(rèn)？A、組織的風(fēng)險(xiǎn)，像單點(diǎn)失敗或設(shè)備風(fēng)險(xiǎn)B、重要業(yè)務(wù)流程的威脅C、根據(jù)恢復(fù)優(yōu)先級(jí)設(shè)定的重要業(yè)務(wù)流程D、重建業(yè)務(wù)的所需的資源【正確答案】：B47.對(duì)系統(tǒng)安全需求進(jìn)行評(píng)審，以下那類人不適合參與A、系統(tǒng)分析員B、業(yè)務(wù)代表C、安全專家D、合規(guī)代表【正確答案】：A48.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣【正確答案】：A49.降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的手段，以下說(shuō)法不正確的是？A、通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷B、通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)責(zé)任【正確答案】：D50.以下哪項(xiàng)機(jī)制與數(shù)據(jù)處理完整性相關(guān)A、數(shù)據(jù)庫(kù)事務(wù)完整性機(jī)制B、數(shù)據(jù)庫(kù)自動(dòng)備份復(fù)制機(jī)制C、雙機(jī)并行處理，并相互驗(yàn)證D、加密算法【正確答案】：D51.P2DR模型通過(guò)傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護(hù)能力，這些技術(shù)包括？A、實(shí)時(shí)監(jiān)控技術(shù)。B、訪問(wèn)控制技術(shù)。C、信息加密技術(shù)。D、身份認(rèn)證技術(shù)?！菊_答案】：A52.在加固數(shù)據(jù)庫(kù)時(shí),以下哪個(gè)是數(shù)據(jù)庫(kù)加固最需要考慮的？A、修改默認(rèn)配置B、規(guī)范數(shù)據(jù)庫(kù)所有的表空間C、存儲(chǔ)數(shù)據(jù)被加密D、修改數(shù)據(jù)庫(kù)服務(wù)的服務(wù)端口【正確答案】：A53.一個(gè)組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計(jì)劃的評(píng)估，具有成本效益的方式，應(yīng)建議使用：A、數(shù)據(jù)恢復(fù)測(cè)試B、充分的業(yè)務(wù)測(cè)試C、前后測(cè)試D、預(yù)案測(cè)試【正確答案】：A54.Linux系統(tǒng)一般使用GRUB作為啟動(dòng)的MBR程序，GRUB如何配置才能放置用戶加入單用戶模式重置root密碼?A、刪除敏感的配置文件B、注釋grub.conf文件中的啟動(dòng)項(xiàng)C、在對(duì)應(yīng)的啟動(dòng)title上配置進(jìn)入單用戶的密碼D、將GRUB程序使用非對(duì)稱秘鑰加密【正確答案】：C55.以下哪種做法是正確的“職責(zé)分離”做法？A、程序員不允許訪問(wèn)產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺(tái)C、控制臺(tái)操作員可以操作磁帶和硬盤(pán)D、磁帶操作員可以使用系統(tǒng)控制臺(tái)【正確答案】：A56.某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)遭受多次入侵攻擊，下面那一種技術(shù)可以提前檢測(cè)到這種行為？A、殺毒軟件B、包過(guò)濾路由器C、蜜罐D(zhuǎn)、服務(wù)器加固【正確答案】：D57.風(fēng)險(xiǎn)評(píng)估的過(guò)程中，首先要識(shí)別信息資產(chǎn)，資產(chǎn)識(shí)別時(shí)，以下哪個(gè)不是需要遵循的原則？A、只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識(shí)別B、所有公司資產(chǎn)都要識(shí)別C、可以從業(yè)務(wù)流程出發(fā)，識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D、資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶【正確答案】：B58.在一個(gè)分布式環(huán)境中，以下哪一項(xiàng)能夠最大程度減輕服務(wù)器故障的影響？A、冗余路徑B、(服務(wù)器)集群C、撥號(hào)備份鏈路D、備份電源【正確答案】：B59.建立應(yīng)急響應(yīng)計(jì)劃時(shí)候第一步應(yīng)該做什么？A、建立備份解決方案B、實(shí)施業(yè)務(wù)影響分析C、建立業(yè)務(wù)恢復(fù)計(jì)劃D、確定應(yīng)急人員名單【正確答案】：D60.誰(shuí)對(duì)組織的信息安全負(fù)最終責(zé)任？A、安全經(jīng)理B、高管層C、IT經(jīng)理D、業(yè)務(wù)經(jīng)理【正確答案】：B61.在制定控制前，管理層首先應(yīng)該保證控制A、滿足控制一個(gè)風(fēng)險(xiǎn)問(wèn)題的要求B、不減少生產(chǎn)力C、基于成本效益的分析D、檢測(cè)行或改正性的【正確答案】：A62.ISMS的審核的層次不包括以下哪個(gè)？A、符合性審核B、有效性審核C、正確性審核D、文件審核【正確答案】：C63.下列哪一項(xiàng)能夠提高網(wǎng)絡(luò)的可用性？A、數(shù)據(jù)冗余B、鏈路冗余C、軟件冗余D、電源冗余【正確答案】：B64.企業(yè)信息安全事件的恢復(fù)過(guò)程中，以下哪個(gè)是最關(guān)鍵的？A、數(shù)據(jù)B、應(yīng)用系統(tǒng)C、通信鏈路D、硬件/軟件【正確答案】：A65.以下對(duì)信息安全管理的描述錯(cuò)誤的是A、保密性、完整性、可用性B、抗抵賴性、可追溯性C、真實(shí)性私密性可靠性D、增值性【正確答案】：D66.風(fēng)險(xiǎn)分析的目的是？A、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；【正確答案】：C67.以下哪一個(gè)不是OSI安全體系結(jié)構(gòu)中的安全機(jī)制A、數(shù)字簽名B、路由控制C、數(shù)據(jù)交換D、抗抵賴【正確答案】：D68.以下哪項(xiàng)不是信息安全的主要目標(biāo)A、確保業(yè)務(wù)連續(xù)性B、保護(hù)信息免受各種威脅的損害C、防止黑客竊取員工個(gè)人信息D、投資回報(bào)和商業(yè)機(jī)遇最大化【正確答案】：C69.對(duì)磁介質(zhì)的最有效好銷毀方法是？A、格式化B、物理破壞C、消磁D、刪除【正確答案】：B70.信息安全應(yīng)急響應(yīng)計(jì)劃總則中，不包括以下哪個(gè)A、編制目的B、編制依據(jù)C、工作原則D、角色職責(zé)【正確答案】：C71.“如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會(huì)受到影響”，這一說(shuō)法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的？A、星型B、樹(shù)型C、環(huán)型D、復(fù)合型【正確答案】：A72.風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中脆弱性識(shí)別主要包括什么方面A、軟件開(kāi)發(fā)漏洞B、網(wǎng)站應(yīng)用漏洞C、主機(jī)系統(tǒng)漏洞D、技術(shù)漏洞與管理漏洞【正確答案】：D73.企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A、企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B、企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級(jí)別的不同要求，采取對(duì)應(yīng)的管控措施；C、企業(yè)的信息資產(chǎn)不應(yīng)該分類分級(jí)，所有的信息系統(tǒng)要統(tǒng)一對(duì)待D、企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別所有的信息資產(chǎn)【正確答案】：C74.以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險(xiǎn)？A、總風(fēng)險(xiǎn)B、最小化風(fēng)險(xiǎn)C、可接受風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)【正確答案】：C75.下列哪項(xiàng)是系統(tǒng)問(wèn)責(zé)所需要的？A、授權(quán)。B、多人共用同一帳號(hào)。C、審計(jì)機(jī)制。D、系統(tǒng)設(shè)計(jì)的形式化驗(yàn)證【正確答案】：C76.業(yè)務(wù)影響分析的主要目的是：A、在災(zāi)難之后提供一個(gè)恢復(fù)行動(dòng)的計(jì)劃B、識(shí)別能夠影響組織運(yùn)營(yíng)持續(xù)性的事件C、公布組織對(duì)物理和邏輯安全的義務(wù)D、提供一個(gè)有效災(zāi)難恢復(fù)計(jì)劃的框架【正確答案】：A77.下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全測(cè)試B、對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C、防止敏感信息泄漏D、人員培訓(xùn)【正確答案】：A78.下列角色誰(shuí)應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任？A、信息系統(tǒng)安全專家B、業(yè)務(wù)主管C、安全主管D、系統(tǒng)審查員【正確答案】：B79.信息保障技術(shù)框架（IATF）是美國(guó)國(guó)家安全局（NSA）制定的，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，關(guān)于IATF的說(shuō)法錯(cuò)誤的是？A、IATF的代表理論為“深度防御”。B、IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，從多種不同的角度對(duì)信息系統(tǒng)進(jìn)行防護(hù)。C、IATF關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施三個(gè)信息安全保障領(lǐng)域。D、IATF論述了系統(tǒng)工程、系統(tǒng)采購(gòu)、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周期支持等過(guò)程。【正確答案】：C80.以下哪些不是可能存在的弱點(diǎn)問(wèn)題？A、保安工作不得力B、應(yīng)用系統(tǒng)存在BugC、內(nèi)部人員故意泄密D、物理隔離不足【正確答案】：C81.作為信息安全管理人員，你認(rèn)為變更管理過(guò)程最重要的是？A、變更過(guò)程要留痕B、變更申請(qǐng)與上線提出要經(jīng)過(guò)審批C、變更過(guò)程要堅(jiān)持環(huán)境分離和人員分離原則D、變更要與容災(zāi)預(yù)案同步【正確答案】：B82.以下哪項(xiàng)不是記錄控制的要求？A、清晰、易于識(shí)別和檢索B、記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施C、建立并保持，以提供證據(jù)D、記錄應(yīng)盡可能的達(dá)到最詳細(xì)【正確答案】：D83.以下信息安全原則，哪一項(xiàng)是錯(cuò)誤的？A、實(shí)施最小授權(quán)原則B、假設(shè)外部系統(tǒng)是不安全的C、消除所有級(jí)別的信息安全風(fēng)險(xiǎn)D、最小化可信任的系統(tǒng)組件【正確答案】：B84.項(xiàng)目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是A、考慮安全開(kāi)發(fā)需要什么樣的資源與預(yù)算B、考慮安全開(kāi)發(fā)在開(kāi)發(fā)生命周期各階段應(yīng)開(kāi)展哪些工作C、對(duì)開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行信息安全培訓(xùn)D、購(gòu)買(mǎi)一定的安全工具，如代碼掃描工具等【正確答案】：B85.以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利A、應(yīng)急委員會(huì)B、各部門(mén)C、管理層D、外部專家【正確答案】：D86.組織的災(zāi)難恢復(fù)計(jì)劃應(yīng)該:A、減少恢復(fù)時(shí)間，降低恢復(fù)費(fèi)用B、增加恢復(fù)時(shí)間，提高恢復(fù)費(fèi)用C、減少恢復(fù)的持續(xù)時(shí)間，提高恢復(fù)費(fèi)用D、對(duì)恢復(fù)時(shí)間和費(fèi)用都不影響【正確答案】：D87.下列哪一項(xiàng)體現(xiàn)了適當(dāng)?shù)穆氊?zé)分離？A、磁帶操作員被允許使用系統(tǒng)控制臺(tái)。B、操作員是不允許修改系統(tǒng)時(shí)間。C、允許程序員使用系統(tǒng)控制臺(tái)。D、控制臺(tái)操作員被允許裝載磁帶和磁盤(pán)?！菊_答案】：B88.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，下列哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素？該提供商：A、滿足并超過(guò)行業(yè)安全標(biāo)準(zhǔn)B、同意可以接受外部安全審查C、其服務(wù)和經(jīng)驗(yàn)有很好的市場(chǎng)聲譽(yù)D、符合組織的安全策略【正確答案】：D89.以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？A、最小的風(fēng)險(xiǎn)B、可接收風(fēng)險(xiǎn)C、殘余風(fēng)險(xiǎn)D、總風(fēng)險(xiǎn)【正確答案】：B90.以下哪一個(gè)是對(duì)于參觀者訪問(wèn)數(shù)據(jù)中心的最有效的控制？A、陪同參觀者B、參觀者佩戴證件C、參觀者簽字D、參觀者由工作人員抽樣檢查【正確答案】：D91.在正常情況下，應(yīng)急響應(yīng)計(jì)劃培訓(xùn)應(yīng)該至少多久一次A、1年B、2年C、半年D、5年【正確答案】：D92.對(duì)于Linux操作系統(tǒng)中shadow文件說(shuō)法不正確的是？A、shadow文件可以指定用戶的目錄B、shadow文件中定義了密碼的使用期限C、讀取shadow文件能夠發(fā)現(xiàn)秘鑰的加密方法D、shadow文件對(duì)于任何人是不可以讀取的【正確答案】：A93.開(kāi)發(fā)人員認(rèn)為系統(tǒng)架構(gòu)設(shè)計(jì)不合理，需要討論調(diào)整后，再次進(jìn)入編碼階段。開(kāi)發(fā)團(tuán)隊(duì)可能采取的開(kāi)發(fā)方法為A、瀑布模型B、凈室模型C、XP模型D、迭代模型【正確答案】：A94.某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID在該用戶終止后90天內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng)：A、報(bào)告該控制是有效的，因?yàn)橛脩鬒D失效是符合信息系統(tǒng)策略規(guī)定的時(shí)間段的B、核實(shí)用戶的訪問(wèn)權(quán)限是基于用所必需原則的C、建議改變這個(gè)信息系統(tǒng)策略，以保證用戶ID的失效與用戶終止一致D、建議終止用戶的活動(dòng)日志能被定期審查【正確答案】：C95.當(dāng)建立一個(gè)業(yè)務(wù)持續(xù)性計(jì)劃時(shí)，使用下面哪一個(gè)工具用來(lái)理解組織業(yè)務(wù)流程？A、業(yè)務(wù)持續(xù)性自我評(píng)估B、資源的恢復(fù)分析C、風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響評(píng)估D、差異分析【正確答案】：B96.信息的存在及傳播方式A、存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B、記憶在人的大腦里C、通過(guò)網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D、通過(guò)投影儀顯示【正確答案】：D97.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級(jí)別事件A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：B98.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問(wèn)權(quán)限前，組織應(yīng)當(dāng)做什么？A、該外部機(jī)構(gòu)的過(guò)程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)B、該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭、該外部機(jī)構(gòu)的任何訪問(wèn)應(yīng)被限制在DMZ區(qū)之內(nèi)D、應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序【正確答案】：B99.除以下哪項(xiàng)可作為ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場(chǎng)審核的依據(jù)？A、機(jī)房登記記錄B、信息安全管理體系C、權(quán)限申請(qǐng)記錄D、離職人員的口述【正確答案】：D100.以下哪個(gè)進(jìn)程不屬于NFS服務(wù)器端的進(jìn)程？A、statdB、mountdC、nfsdD、Automounter【正確答案】：A101.在進(jìn)行人員的職責(zé)定義時(shí)，在信息安全方面應(yīng)考慮什么因素？A、人員的背景、資質(zhì)的可靠性B、人員需要履行的信息安全職責(zé)C、人員的工作能力D、人員溝通、協(xié)調(diào)能力【正確答案】：B102.以下對(duì)信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性B、信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性C、信息安全就是不出安全事故/事件D、信息安全不僅僅只考慮防止信息泄密就可以了【正確答案】：C103.事件響應(yīng)六個(gè)階段定義了安全事件處理的流程，這個(gè)流程的順序是A、準(zhǔn)備－遏制－確認(rèn)－根除－恢復(fù)－跟蹤B、準(zhǔn)備－確認(rèn)－遏制－恢復(fù)－根除－跟蹤C(jī)、準(zhǔn)備－確認(rèn)－遏制－根除－恢復(fù)－跟蹤D、準(zhǔn)備－遏制－根除－確認(rèn)－恢復(fù)－跟蹤【正確答案】：D104.Windows組策略適用于A、SB、DC、OD、S、D、OU【正確答案】：A105.在邏輯訪問(wèn)控制中如果用戶賬戶被共享，這種局面可能造成的最大風(fēng)險(xiǎn)是:A、非授權(quán)用戶可以使用ID擅自進(jìn)入.B、用戶訪問(wèn)管理費(fèi)時(shí).C、很容易猜測(cè)密碼.D、無(wú)法確定用戶責(zé)任【正確答案】：D106.以下哪項(xiàng)不屬于PDCA循環(huán)的特點(diǎn)？A、按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)B、組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題C、每通過(guò)一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)D.組織中的每個(gè)部分，不包括個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題【正確答案】：D107.以下只用于密鑰交換的算法是A、RSAB、ECCC、DHD、RC4【正確答案】：A108.路由器工作在OSI的哪一層A、傳輸層B、數(shù)據(jù)鏈路層C、網(wǎng)絡(luò)層D、應(yīng)用層【正確答案】：A109.信息安全管理手段不包括以下哪一項(xiàng)A、技術(shù)B、流程C、人員D、市場(chǎng)【正確答案】：B110.為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個(gè)風(fēng)險(xiǎn),,例子：A、防止B、轉(zhuǎn)移C、緩解D、接受【正確答案】：C111.下面哪一個(gè)不是對(duì)點(diǎn)擊劫持的描述A、是一種惡意攻擊技術(shù)，用于跟蹤網(wǎng)絡(luò)用戶并獲取私密信息B、通過(guò)讓用戶來(lái)點(diǎn)擊看似正常的網(wǎng)頁(yè)來(lái)遠(yuǎn)程控制其電腦C、可以用嵌入代碼或文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊D、可以對(duì)方網(wǎng)絡(luò)癱瘓【正確答案】：A112.DDoS攻擊的主要目換是:A、破壞完整性和機(jī)密性B、破壞可用性C、破壞機(jī)密性和可用性D、破壞機(jī)密性【正確答案】：C113.下列崗位哪個(gè)在招聘前最需要進(jìn)行背景調(diào)查？A、采購(gòu)人員B、銷售人員C、財(cái)務(wù)總監(jiān)D、行政人員【正確答案】：C114.回顧組織的風(fēng)險(xiǎn)評(píng)估流程時(shí)應(yīng)首先A、鑒別對(duì)于信息資產(chǎn)威脅的合理性B、分析技術(shù)和組織弱點(diǎn)C、鑒別并對(duì)信息資產(chǎn)進(jìn)行分級(jí)D、對(duì)潛在的安全漏洞效果進(jìn)行評(píng)價(jià)【正確答案】：C115.以下哪項(xiàng)描述是錯(cuò)誤的A、應(yīng)急響應(yīng)計(jì)劃與應(yīng)急響應(yīng)這兩個(gè)方面是相互補(bǔ)充與促進(jìn)的關(guān)系B、應(yīng)急響應(yīng)計(jì)劃為信息安全事件發(fā)生后的應(yīng)急響應(yīng)提供了指導(dǎo)策略和規(guī)程C、應(yīng)急響應(yīng)可能發(fā)現(xiàn)事前應(yīng)急響應(yīng)計(jì)劃的不足D、應(yīng)急響應(yīng)必須完全依照應(yīng)急響應(yīng)計(jì)劃執(zhí)行【正確答案】：D116.以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么？A、發(fā)現(xiàn)不明的SUID可執(zhí)行文件B、發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C、發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)D、發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址【正確答案】：A117.在什么情況下，熱站會(huì)作為一個(gè)恢復(fù)策略被執(zhí)行？A、低災(zāi)難容忍度B、高恢復(fù)點(diǎn)目標(biāo)（RPO）C、高恢復(fù)時(shí)間目標(biāo)（RTO）D、高災(zāi)難容忍度【正確答案】：A118.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁、只關(guān)注外來(lái)的威脅，忽視企業(yè)內(nèi)部人員的問(wèn)題B、相信來(lái)自陌生人的郵件，好奇打開(kāi)郵件附件C、開(kāi)著電腦離開(kāi)，就像離開(kāi)家卻忘記關(guān)燈那樣D、及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁【正確答案】：D119.以下對(duì)信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性B、信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行C、信息安全就是不出安全事故/事件D、信息安全風(fēng)險(xiǎn)是科技風(fēng)險(xiǎn)的一部分【正確答案】：C120.風(fēng)險(xiǎn)評(píng)估的基本過(guò)程是怎樣的？A、識(shí)別并評(píng)估重要的信息資產(chǎn)，識(shí)別各種可能的威脅和嚴(yán)重的弱點(diǎn)，最終確定風(fēng)險(xiǎn)B、通過(guò)以往發(fā)生的信息安全事件，找到風(fēng)險(xiǎn)所在C、風(fēng)險(xiǎn)評(píng)估就是對(duì)照安全檢查單，查看相關(guān)的管理和技術(shù)措施是否到位D、風(fēng)險(xiǎn)評(píng)估并沒(méi)有規(guī)律可循，完全取決于評(píng)估者的經(jīng)驗(yàn)所在【正確答案】：A121.災(zāi)難性恢復(fù)計(jì)劃(DRP)基于:A、技術(shù)方面的業(yè)務(wù)連續(xù)性計(jì)劃B、操作部分的業(yè)務(wù)連續(xù)性計(jì)劃C、功能方面的業(yè)務(wù)連續(xù)性計(jì)劃D、總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計(jì)劃【正確答案】：C122.有關(guān)Kerberos說(shuō)法下列哪項(xiàng)是正確的？A、它利用公鑰加密技術(shù)。B、它依靠對(duì)稱密碼技術(shù)。C、它是第二方的認(rèn)證系統(tǒng)。D、票據(jù)授予之后將加密數(shù)據(jù)，但以明文方式交換密碼【正確答案】：B123.維持對(duì)于信息資產(chǎn)的適當(dāng)?shù)陌踩胧┑呢?zé)任在于A、安全管理員B、系統(tǒng)管理員C、數(shù)據(jù)和系統(tǒng)的所有者D、系統(tǒng)作業(yè)人員【正確答案】：C124.下列哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)?A、試運(yùn)行B、紙面測(cè)試C、單元D、系統(tǒng)【正確答案】：D125.風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具A、漏洞掃描工具B、入侵檢測(cè)系統(tǒng)C、安全審計(jì)工具D、安全評(píng)估流程管理工具【正確答案】：D126.所有進(jìn)入物理安全區(qū)域的人員都需經(jīng)過(guò)A、考核B、授權(quán)C、批準(zhǔn)D、認(rèn)可【正確答案】：C127.人員入職過(guò)程中，以下做法不正確的是？A、入職中簽署勞動(dòng)合同及保密協(xié)議。B、分配工作需要的最低權(quán)限。C、允許訪問(wèn)企業(yè)所有的信息資產(chǎn)。D、進(jìn)行安全意思培訓(xùn)?！菊_答案】：C128.基本的計(jì)算機(jī)安全需求不包括下列哪一條：A、安全策略和標(biāo)識(shí)B、絕對(duì)的保證和持續(xù)的保護(hù)C、身份鑒別和落實(shí)責(zé)任D、合理的保證和連續(xù)的保護(hù)【正確答案】：B129.對(duì)一項(xiàng)應(yīng)用的控制進(jìn)行了檢查,將會(huì)評(píng)估A、該應(yīng)用在滿足業(yè)務(wù)流程上的效率B、任何被發(fā)現(xiàn)風(fēng)險(xiǎn)影響C、業(yè)務(wù)流程服務(wù)的應(yīng)用D、應(yīng)用程序的優(yōu)化【正確答案】：B130.以下哪項(xiàng)不屬于信息安全管理的工作內(nèi)容A、信息安全培訓(xùn)B、信息安全考核C、信息安全規(guī)劃D、安全漏洞掃描【正確答案】：D131.制定應(yīng)急響應(yīng)策略主要需要考慮A、系統(tǒng)恢復(fù)能力等級(jí)劃分B、系統(tǒng)恢復(fù)資源的要求C、費(fèi)用考慮D、人員考慮【正確答案】：C132.下列哪項(xiàng)是系統(tǒng)問(wèn)責(zé)時(shí)不需要的？A、認(rèn)證B、鑒定C、授權(quán)D、審計(jì)【正確答案】：C133.滲透測(cè)試作為網(wǎng)絡(luò)安全評(píng)估的一部分A、提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B、在不需要警告所有組織的管理層的情況下執(zhí)行C、找到存在的能夠獲得未授權(quán)訪問(wèn)的漏洞D、在網(wǎng)絡(luò)邊界上執(zhí)行不會(huì)破壞信息資產(chǎn)【正確答案】：C134.應(yīng)急響應(yīng)計(jì)劃應(yīng)該多久測(cè)試一次？A、10年B、當(dāng)基礎(chǔ)環(huán)境或設(shè)施發(fā)生變化時(shí)C、2年D、當(dāng)組織內(nèi)業(yè)務(wù)發(fā)生重大的變更時(shí)【正確答案】：D135.以下哪個(gè)模型主要用于醫(yī)療資料的保護(hù)？A、Chinesewall模型BIBA模型Clark－Wilson模型D、BMA模型【正確答案】：B136.應(yīng)急響應(yīng)流程一般順序是A、信息安全事件通告、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置B、信息安全事件評(píng)估、信息安全事件通告、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置C、應(yīng)急啟動(dòng)、應(yīng)急處置、信息安全事件評(píng)估、信息安全事件通告、后期處置D、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、信息安全事件通告、應(yīng)急處置和后期處置【正確答案】：A137.射頻識(shí)別(RFID)標(biāo)簽容易受到以下哪種風(fēng)險(xiǎn)?A、進(jìn)程劫持B、竊聽(tīng)C、惡意代碼D、Phishing【正確答案】：D138.當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性A、從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B、從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C、抓取交易以整合存儲(chǔ)設(shè)備D、從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶【正確答案】：C139.應(yīng)急響應(yīng)計(jì)劃文檔不應(yīng)該A、分發(fā)給公司所有人員B、分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員C、具有多份拷貝在不同的地點(diǎn)保存D、由專人負(fù)責(zé)保存與分發(fā)【正確答案】：A140.外部組織使用組織敏感信息資產(chǎn)時(shí)，以下正確的做法是？A、確保使用者得到正確的信息資產(chǎn)。B、與信息資產(chǎn)使用者簽署保密協(xié)議。C、告知信息資產(chǎn)使用的時(shí)間限制。D、告知信息資產(chǎn)的重要性?！菊_答案】：B141.第一個(gè)建立電子政務(wù)標(biāo)準(zhǔn)的國(guó)家是？A、英國(guó)。B、美國(guó)。C、德國(guó)。D、俄羅斯?！菊_答案】：C142.我國(guó)信息安全事件分級(jí)不考慮下列哪一個(gè)要素？A、信息系統(tǒng)的重要程度B、系統(tǒng)損失C、社會(huì)影響D、業(yè)務(wù)損失【正確答案】：A143.下面哪一個(gè)不是脆弱性識(shí)別的手段A、人員訪談B、技術(shù)工具檢測(cè)C、信息資產(chǎn)核查D、安全專家人工分析【正確答案】：C144.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形?！菊_答案】：C145.單位中下面幾種人員中哪種安全風(fēng)險(xiǎn)最大？A、臨時(shí)員工B、外部咨詢?nèi)藛TC、現(xiàn)在對(duì)公司不滿的員工D、離職的員工【正確答案】：C146.信息安全管理最關(guān)注的是？A、外部惡意攻擊B、病毒對(duì)PC的影響C、內(nèi)部惡意攻擊D、病毒對(duì)網(wǎng)絡(luò)的影響【正確答案】：C147.以下有關(guān)通信與日常操作描述不正確的是？A、信息系統(tǒng)的變更應(yīng)該是受控的B、企業(yè)在崗位設(shè)計(jì)和人員工作分配時(shí)應(yīng)該遵循職責(zé)分離的原則C、移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏D、所有日常操作按照最佳實(shí)踐來(lái)進(jìn)行操作，無(wú)需形成操作手冊(cè)?！菊_答案】：C148.PDCA特征的描述不正確的是A、順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問(wèn)題，分析問(wèn)題，然后是解決問(wèn)題B、大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個(gè)小目標(biāo)，一層層地解決問(wèn)題C、階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足D、信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問(wèn)題解決思路【正確答案】：D149.在正常情況下，應(yīng)急計(jì)劃應(yīng)該至少多久進(jìn)行一次針對(duì)正確性和完整性的檢查A、1年B、2年C、半年D、5年【正確答案】：A150.我國(guó)的信息安全保障基本原則是？A、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全。B、立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重。C、強(qiáng)化未來(lái)安全環(huán)境，增強(qiáng)研究、開(kāi)發(fā)和教育以及投資先進(jìn)的技術(shù)來(lái)構(gòu)建將來(lái)的環(huán)境。D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系?！菊_答案】：C151.及時(shí)審查系統(tǒng)訪問(wèn)審計(jì)記錄是以下哪種基本安全功能？A、威懾。B、規(guī)避。C、預(yù)防。D、檢測(cè)?！菊_答案】：D152.恢復(fù)階段的行動(dòng)一般包括A、建立臨時(shí)業(yè)務(wù)處理能力B、修復(fù)原系統(tǒng)損害C、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力D、避免造成更大損失【正確答案】：B153.什么類型的軟件應(yīng)用測(cè)試被用于測(cè)試的最后階段，并且通常包含不屬于開(kāi)發(fā)團(tuán)隊(duì)之內(nèi)的用戶成員?Alpha測(cè)試B、白盒測(cè)試C、回歸測(cè)試D、Beta測(cè)試【正確答案】：D154.當(dāng)更新一個(gè)正在運(yùn)行的在線訂購(gòu)系統(tǒng)時(shí)，更新都記錄在一個(gè)交易磁帶和交易日志副本。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。在備份過(guò)程中，驅(qū)動(dòng)器故障和訂單文件丟失。以下哪項(xiàng)對(duì)于恢復(fù)文件是必須的？A、前一天的備份文件和當(dāng)前的交易磁帶B、前一天的交易文件和當(dāng)前的交易磁帶C、當(dāng)前的交易磁帶和當(dāng)前的交易日志副本D、當(dāng)前的交易日志副本和前一天的交易交易文件【正確答案】：A155.組織實(shí)施了災(zāi)難恢復(fù)計(jì)劃。下列哪些步驟應(yīng)下一步執(zhí)行？A、取得高級(jí)管理人員認(rèn)可B、確定的業(yè)務(wù)需求C、進(jìn)行紙面測(cè)試D、進(jìn)行系統(tǒng)還原測(cè)試【正確答案】：B156.下面哪一種方式，能夠最有效的約束雇員只能履行其分內(nèi)的工作？A、應(yīng)用級(jí)訪問(wèn)控制B、數(shù)據(jù)加密C、卸掉雇員電腦上的軟盤(pán)和光盤(pán)驅(qū)動(dòng)器D、使用網(wǎng)絡(luò)監(jiān)控設(shè)備【正確答案】：A157.TCP/IP協(xié)議的4層概念模型是？A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會(huì)話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層【正確答案】：A158.以下對(duì)審核發(fā)現(xiàn)描述正確的是A、用作依據(jù)的一組方針、程序或要求B、與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C、將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，可以是合格/符合項(xiàng)，也可以是不合格/不符合項(xiàng)D、對(duì)審核對(duì)象的物理位置、組織結(jié)構(gòu)、活動(dòng)和過(guò)程以及時(shí)限的描述【正確答案】：C159.下列哪項(xiàng)不是Kerberos密鑰分發(fā)服務(wù)（KDS）的一部分？A、Kerberos票證授予服務(wù)器（TGS）。B、Kerberos身份驗(yàn)證服務(wù)器（KAS）。C、存放用戶名和密碼的數(shù)據(jù)庫(kù)。D、Kerberos票證吊銷服務(wù)器（TRS）?！菊_答案】：D160.CA的核心職責(zé)是A、簽發(fā)和管理證書(shū)B(niǎo)、審核用戶真實(shí)信息C、發(fā)布黑名單D、建立實(shí)體鏈路安全【正確答案】：D161.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應(yīng)該分類、分級(jí)B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個(gè)時(shí)期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D、信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生【正確答案】：C162.對(duì)緩沖區(qū)溢出攻擊預(yù)防沒(méi)有幫助的做法包括A、輸入?yún)?shù)過(guò)濾，安全編譯選項(xiàng)B、操作系統(tǒng)安全機(jī)制、禁止使用禁用APIC、安全編碼教育D、滲透測(cè)試【正確答案】：D163.設(shè)計(jì)信息安全策略時(shí)，最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A、非現(xiàn)場(chǎng)存儲(chǔ)B、b)由IS經(jīng)理簽署C、發(fā)布并傳播給用戶D、經(jīng)常更新【正確答案】：C164.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門(mén)相關(guān)，與其他業(yè)務(wù)部門(mén)人員無(wú)須參入【正確答案】：D165.下列哪項(xiàng)是多級(jí)安全策略的必要組成部分？A、主體、客體的敏感標(biāo)簽和自主訪問(wèn)控制。B、客體敏感標(biāo)簽和強(qiáng)制訪問(wèn)控制。C、主體的安全憑證、客體的安全標(biāo)簽和強(qiáng)制訪問(wèn)控制。D、主體、客體的敏感標(biāo)簽和對(duì)其“系統(tǒng)高安全模式”的評(píng)價(jià)【正確答案】：C166.信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門(mén)并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？A、管理人員、用戶、應(yīng)用設(shè)計(jì)人員B、系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C、內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼、應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員【正確答案】：D167.在制定組織間的保密協(xié)議，以下哪一個(gè)不是需要考慮的內(nèi)容？A、需要保護(hù)的信息。B、協(xié)議期望持續(xù)時(shí)間。C、合同雙方的人員數(shù)量要求。D、違反協(xié)議后采取的措施?！菊_答案】：C168.下面各種方法，哪個(gè)是制定災(zāi)難恢復(fù)策略必須最先評(píng)估的A、所有的威脅可以被完全移除B、一個(gè)可以實(shí)現(xiàn)的成本效益，內(nèi)置的復(fù)原C、恢復(fù)時(shí)間可以優(yōu)化D、恢復(fù)成本可以最小化【正確答案】：A169.測(cè)試人員與開(kāi)發(fā)人員交互測(cè)試發(fā)現(xiàn)的過(guò)程中，開(kāi)發(fā)人員最關(guān)注的什么？A、bug的數(shù)量B、bug的嚴(yán)重程度C、bug的復(fù)現(xiàn)過(guò)程D、bug修復(fù)的可行性【正確答案】：C170.防范密碼嗅探攻擊計(jì)算機(jī)系統(tǒng)的控制措施包括下列哪一項(xiàng)？A、靜態(tài)和重復(fù)使用的密碼。B、加密和重復(fù)使用的密碼。C、一次性密碼和加密。D、靜態(tài)和一次性密碼?！菊_答案】：C171.惡意代碼的第一個(gè)雛形是？A、磁芯大戰(zhàn)B、爬行者C、清除者D、BRAIN【正確答案】：A172.如果可能最應(yīng)該得到第一個(gè)應(yīng)急事件通知的小組是A、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組D、應(yīng)急響應(yīng)實(shí)施小組【正確答案】：A173.安全管理評(píng)估工具通常不包括A、調(diào)查問(wèn)卷B、檢查列表C、訪談提綱D、漏洞掃描【正確答案】：D174.以下哪個(gè)不可以作為ISMS管理評(píng)審的輸入A、ISMS審計(jì)和評(píng)審的結(jié)果B、來(lái)自利益伙伴的反饋C、某個(gè)信息安全項(xiàng)目的技術(shù)方案D、預(yù)防和糾正措施的狀態(tài)【正確答案】：C175.為了預(yù)防邏輯炸1彈，項(xiàng)目經(jīng)理采取的最有效的措施應(yīng)該是A、對(duì)每日提交的新代碼進(jìn)行人工審計(jì)B、代碼安全掃描C、安全意識(shí)教育D、安全編碼培訓(xùn)教育【正確答案】：A176.下列哪一個(gè)是國(guó)家推薦標(biāo)準(zhǔn)A、GB/T18020-1999B、SJ/T30003-93C、ISO/IEC15408D、GA243-2000【正確答案】：D177.以下哪一個(gè)不是網(wǎng)絡(luò)隱藏技術(shù)？A、端口復(fù)用B、"無(wú)端口技術(shù)"C、反彈端口技術(shù)DLL注入【正確答案】：D178.特洛伊木馬攻擊的危脅類型屬于A、授權(quán)侵犯威脅B、植入威脅C、滲入威脅D、破壞威脅【正確答案】：D179.當(dāng)審核一個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，某IS審計(jì)師觀察到這個(gè)被審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個(gè)特性在這里被證明？A、防止B、減輕C、恢復(fù)D、響應(yīng)【正確答案】：D180.內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：A、這種缺乏了解會(huì)導(dǎo)致不經(jīng)意地泄露敏感信息B、信息安全不是對(duì)所有職能都是關(guān)鍵的C、IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D、該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對(duì)員工進(jìn)行繼續(xù)教育【正確答案】：A181.信息系統(tǒng)的價(jià)值確定需要與哪個(gè)部門(mén)進(jìn)行有效溝通確定？A、系統(tǒng)維護(hù)部門(mén)B、系統(tǒng)開(kāi)發(fā)部門(mén)C、財(cái)務(wù)部門(mén)D、業(yè)務(wù)部門(mén)【正確答案】：D182.下面哪種方法可以替代電子銀行中的個(gè)人標(biāo)識(shí)號(hào)（PINs）的作用？A、虹膜檢測(cè)技術(shù)B、語(yǔ)音標(biāo)識(shí)技術(shù)C、筆跡標(biāo)識(shí)技術(shù)D、指紋標(biāo)識(shí)技術(shù)【正確答案】：A183.信息資產(chǎn)敏感性指的是：A、機(jī)密性B、完整性C、可用性D、安全性【正確答案】：A184.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時(shí)，應(yīng)與哪個(gè)部門(mén)取得聯(lián)系？A、監(jiān)管機(jī)構(gòu)B、重要客戶C、供應(yīng)商D、政府部門(mén)【正確答案】：D185.以下哪組全部都是多邊安全模型？A、BLP模型和BIBA模型BIBA模型和Clark－Wilson模型Chinesewall模型和BMA模型D、Clark－Wilson模型和Chinesewall模型【正確答案】：A186.如果恢復(fù)時(shí)間目標(biāo)增加，則A、災(zāi)難容忍度增加B、恢復(fù)成本增加C、不能使用冷備援計(jì)算機(jī)中心D、數(shù)據(jù)備份頻率增加【正確答案】：C187.下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全測(cè)試B、檢查與配置C、配置變更D、人員培訓(xùn)【正確答案】：C188.在進(jìn)行業(yè)務(wù)連續(xù)性檢測(cè)時(shí)，下列哪一個(gè)是被認(rèn)為最重要的審查？A、熱站的建立和有效是必要B、業(yè)務(wù)連續(xù)性手冊(cè)是有效的和最新的C、保險(xiǎn)責(zé)任范圍是適當(dāng)?shù)牟⑶冶ＹM(fèi)有效D、及時(shí)進(jìn)行介質(zhì)備份和異地存儲(chǔ)【正確答案】：D189.有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是A、認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過(guò)程、服務(wù)符合規(guī)定要求給予書(shū)面保證（合格證書(shū)）B、根據(jù)對(duì)象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C、認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個(gè)人具有從事特定任務(wù)的能力給予的正式承認(rèn)D、企業(yè)通過(guò)ISO27001認(rèn)證則說(shuō)明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求【正確答案】：D190.組織允許外部通過(guò)互聯(lián)網(wǎng)訪問(wèn)組織的局域網(wǎng)之前，首先要考慮實(shí)施以下哪項(xiàng)措施？A、保護(hù)調(diào)制解調(diào)器池。B、考慮適當(dāng)?shù)纳矸蒡?yàn)證方式。C、為用戶提供賬戶使用信息。D、實(shí)施工作站鎖定機(jī)制。【正確答案】：B191.在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，企業(yè)影響分析可以用來(lái)識(shí)別關(guān)鍵業(yè)務(wù)流程和相應(yīng)的支持程序，它主要會(huì)影響到下面哪一項(xiàng)內(nèi)容的制定？A、維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的職責(zé)B、選擇站點(diǎn)恢復(fù)供應(yīng)商的條件C、恢復(fù)策略D、關(guān)鍵人員的職責(zé)【正確答案】：C192.降低風(fēng)險(xiǎn)的控制措施有很多，下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施？A、在網(wǎng)絡(luò)上部署防火墻B、對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C、制定機(jī)房安全管理制度D、購(gòu)買(mǎi)物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)【正確答案】：D193.依據(jù)信息系統(tǒng)安全保障模型，以下那個(gè)不是安全保證對(duì)象A、機(jī)密性B、管理C、過(guò)程D、人員【正確答案】：A194.為什么實(shí)現(xiàn)單點(diǎn)登錄的批處理文件及腳本文件需要被保護(hù)存儲(chǔ)？A、因?yàn)樽钚∈跈?quán)原則B、因?yàn)樗鼈儾豢梢员?操作員訪問(wèn)到C、因?yàn)樗鼈兛赡馨脩羯矸菪畔、因?yàn)橹仨氃瓌t【正確答案】：C195.下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的？A、分析組織的安全需求B、制訂安全策略和實(shí)施安防措施的依據(jù)C、組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D、完全消除組織的風(fēng)險(xiǎn)【正確答案】：D196.組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式A、電話B、電子郵件C、人員D、公司OA【正確答案】：A197.在計(jì)算可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時(shí)間時(shí)A、只需考慮停機(jī)時(shí)間的成本B、需要分析恢復(fù)操作的成本C、停機(jī)時(shí)間成本和恢復(fù)操作成本都需要考慮D、可以忽略間接的停機(jī)成本【正確答案】：A198.來(lái)自終端的電磁泄露風(fēng)險(xiǎn)，因?yàn)樗鼈?A、導(dǎo)致噪音污染B、破壞處理程序C、產(chǎn)生危險(xiǎn)水平的電流D、可以被捕獲并還原【正確答案】：D199.以下哪些不是設(shè)備資產(chǎn)：A、機(jī)房設(shè)施B、周邊設(shè)施C、管理終端D、操作系統(tǒng)【正確答案】：D200.下面哪一個(gè)不是系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、明確安全總體方針B、明確系統(tǒng)安全架構(gòu)C、風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致D、安全需求分析【正確答案】：B201.BIBA模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的完整性的保密性，分別是：A、上讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；下寫(xiě)，主體不可寫(xiě)安全級(jí)別低于它的數(shù)據(jù)B、下讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；上寫(xiě)，主體不可寫(xiě)安全級(jí)別低于它的數(shù)據(jù)C、上讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；下寫(xiě)，主體不可寫(xiě)安全級(jí)別高于它的數(shù)據(jù)D、下讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；上寫(xiě)，主體不可寫(xiě)安全級(jí)別高于它的數(shù)據(jù)【正確答案】：B202.某公司的在實(shí)施一個(gè)DRP項(xiàng)目,項(xiàng)目按照計(jì)劃完成后。聘請(qǐng)了專家團(tuán)隊(duì)進(jìn)行評(píng)審，評(píng)審過(guò)程中發(fā)現(xiàn)了幾個(gè)方而的問(wèn)題,以下哪個(gè)代表最大的風(fēng)險(xiǎn)A、沒(méi)有執(zhí)行DRP測(cè)試B、災(zāi)難恢復(fù)策略沒(méi)有使用熱站進(jìn)行恢復(fù)C、進(jìn)行了BIA，但其結(jié)果沒(méi)有被使用D、災(zāi)難恢復(fù)經(jīng)理近期離開(kāi)了公司【正確答案】：C203.黑客造成的主要危害是A、破壞系統(tǒng)、竊取信息及偽造信息B、攻擊系統(tǒng)、獲取信息及假冒信息C、進(jìn)入系統(tǒng)、損毀信息及謠傳信息D、進(jìn)入系統(tǒng)，獲取信息及偽造信息【正確答案】：A204.關(guān)于信息安全策略文件的評(píng)審以下說(shuō)法不正確的是哪個(gè)？A、信息安全策略應(yīng)由專人負(fù)責(zé)制定、評(píng)審。B、信息安全策略評(píng)審每年應(yīng)進(jìn)行兩次，上半年、下半年各進(jìn)行一次。C、在信息安全策略文件的評(píng)審過(guò)程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D、在信息安全策略文件的評(píng)審過(guò)程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化?！菊_答案】：B205.以下哪些不屬于敏感性標(biāo)識(shí)A、不干貼方式B、印章方式C、電子標(biāo)簽D、個(gè)人簽名【正確答案】：D206.組織中對(duì)于每個(gè)獨(dú)立流程都有對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，但缺乏全面的業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)采取下面哪一項(xiàng)行動(dòng)？A、建議建立全面的業(yè)務(wù)連續(xù)性計(jì)劃B、確認(rèn)所有的業(yè)務(wù)連續(xù)性計(jì)劃是否相容C、接受已有業(yè)務(wù)連續(xù)性計(jì)劃D、建議建立單獨(dú)的業(yè)務(wù)連續(xù)性計(jì)劃【正確答案】：C207.信息安全需求獲取的主要手段A、信息安全風(fēng)險(xiǎn)評(píng)估B、領(lǐng)導(dǎo)的指示C、信息安全技術(shù)D、信息安全產(chǎn)品【正確答案】：A208.由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分園區(qū)癱瘓，或者郵件、計(jì)費(fèi)服務(wù)器不能正常工作，屬于以下哪種級(jí)別事件A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：C209.如果數(shù)據(jù)中心發(fā)生災(zāi)難，下列那一項(xiàng)完整恢復(fù)一個(gè)關(guān)鍵數(shù)據(jù)庫(kù)的策略是最適合的?A、每日備份到磁帶并存儲(chǔ)到異地B、實(shí)時(shí)復(fù)制到異地C、硬盤(pán)鏡像到本地服務(wù)器D、實(shí)時(shí)數(shù)據(jù)備份到本地網(wǎng)格存儲(chǔ)【正確答案】：A210.以下哪種訪問(wèn)控制策略需要安全標(biāo)簽？A、基于角色的策略B、基于標(biāo)識(shí)的策略C、用戶指向的策略D、強(qiáng)制訪問(wèn)控制策略【正確答案】：C211.在評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。首先要查看A、控制措施已經(jīng)適當(dāng)B、控制的有效性適當(dāng)C、監(jiān)測(cè)資產(chǎn)有關(guān)風(fēng)險(xiǎn)的機(jī)制D、影響資產(chǎn)的漏洞和威脅【正確答案】：D212.在招聘過(guò)程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問(wèn)題時(shí)，以下做法正確的是？A、繼續(xù)執(zhí)行招聘流程。B、停止招聘流程，取消應(yīng)聘人員資格。C、與應(yīng)聘人員溝通出現(xiàn)的問(wèn)題。D、再進(jìn)行一次背景調(diào)查?！菊_答案】：B213.對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問(wèn)的責(zé)任屬于：A、數(shù)據(jù)所有者B、安全管理員C、IT安全經(jīng)理D、申請(qǐng)人的直線主管【正確答案】：A214.以下哪一個(gè)不是VLAN的劃分方式A、根據(jù)TCP端口來(lái)劃分B、根據(jù)MAC地址來(lái)劃分C、根據(jù)IP組播劃分D、"根據(jù)網(wǎng)絡(luò)層劃分"【正確答案】：A215.ISO27001認(rèn)證項(xiàng)目一般有哪幾個(gè)階段？A、管理評(píng)估，技術(shù)評(píng)估，操作流程評(píng)估B、確定范圍和安全方針，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)控制（文件編寫(xiě)），體系運(yùn)行，認(rèn)證C、產(chǎn)品方案需求分析，解決方案提供，實(shí)施解決方案D、基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫(xiě)培訓(xùn)，內(nèi)部審核培訓(xùn)【正確答案】：B216.一個(gè)組織將制定一項(xiàng)策略以定義了禁止用戶訪問(wèn)的WEB站點(diǎn)類型。為強(qiáng)制執(zhí)行這一策略，最有效的技術(shù)是什么？A、狀態(tài)檢測(cè)防火墻B、WE內(nèi)容過(guò)濾器C、WEB緩存服務(wù)器D、應(yīng)該代理服務(wù)器【正確答案】：B217.在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候，發(fā)現(xiàn)預(yù)測(cè)可能造成的風(fēng)險(xiǎn)的經(jīng)濟(jì)損失時(shí)有一定困難。為了評(píng)估潛在的損失，應(yīng)該：A、計(jì)算相關(guān)信息資產(chǎn)的攤銷費(fèi)用B、計(jì)算投資的回報(bào)C、應(yīng)用定性的方法進(jìn)行評(píng)估D、花費(fèi)必要的時(shí)間去評(píng)估具體的損失的金額【正確答案】：B218.ISMS的內(nèi)部審核員（非審核組長(zhǎng)）的責(zé)任不包括？A、熟悉必要的文件和程序；B、根據(jù)要求編制檢查列表；C、配合支持審核組長(zhǎng)的工作，有效完成審核任務(wù)；D、負(fù)責(zé)實(shí)施整改內(nèi)審中發(fā)現(xiàn)的問(wèn)題；【正確答案】：D219.以下關(guān)于安全控制措施的選擇，哪一個(gè)選項(xiàng)是錯(cuò)誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時(shí)候，應(yīng)考慮多方面的因素【正確答案】：D220.一個(gè)公司解雇了一個(gè)數(shù)據(jù)庫(kù)管理員,并且解雇時(shí)立刻取消了數(shù)據(jù)庫(kù)管理員對(duì)公司所有系統(tǒng)的訪問(wèn)權(quán),但是數(shù)據(jù)管理員威脅說(shuō)數(shù)據(jù)庫(kù)在兩個(gè)月內(nèi)將被刪除，除非公司付他一大筆錢(qián)。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫(kù)？A、放置病毒B、蠕蟲(chóng)感染C、DoS攻擊D、邏輯炸1彈攻擊【正確答案】：D221.監(jiān)視惡意代碼主體程序是否正常的技術(shù)是？A、進(jìn)程守護(hù)B、備份文件C、超級(jí)權(quán)限D(zhuǎn)、HOOK技術(shù)【正確答案】：A222.以下哪組全部是完整性模型？A、BLP模型和BIBA模型BIBA模型和Clark－Wilson模型Chinesewall模型和BIBA模型D、Clark－Wilson模型和Chinesewall模型【正確答案】：D223.下面哪一種是最安全和最經(jīng)濟(jì)的方法，對(duì)于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過(guò)互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A、虛擬專用網(wǎng)B、專線C、租用線路D、綜合服務(wù)數(shù)字網(wǎng).【正確答案】：A224.以下哪項(xiàng)活動(dòng)對(duì)安全編碼沒(méi)有幫助A、代碼審計(jì)B、安全編碼規(guī)范C、編碼培訓(xùn)D、代碼版本管理【正確答案】：D225.下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？A、哈龍氣體B、濕管C、干管D、二氧化碳?xì)狻菊_答案】：B226.信息安全政策聲明：”每個(gè)人必須在進(jìn)入每一個(gè)控制門(mén)時(shí)，都必須讀取自己的證件”,防范的是哪一種攻擊方式?A、尾隨PiggybackingB、肩窺ShouldersurfingC、DumpsterdivingD、冒充Impersonation【正確答案】：A227.關(guān)于標(biāo)準(zhǔn)、指南、程序的描述，哪一項(xiàng)是最準(zhǔn)確的？A、標(biāo)準(zhǔn)是建議性的策略，指南是強(qiáng)制執(zhí)行的策略B、程序?yàn)榉蠌?qiáng)制性指南的一般性建議C、程序是為符合強(qiáng)制性指南的一般性建議D、程序是為符合強(qiáng)制性標(biāo)準(zhǔn)的的說(shuō)明【正確答案】：C228.以下哪個(gè)命令可以查看端口對(duì)應(yīng)的PIDA、netstat-anoB、ipconfig/allC、tracertD、netsh【正確答案】：C229.以下哪一個(gè)不是安全審計(jì)的作用？A、記錄系統(tǒng)被訪問(wèn)的過(guò)程及系統(tǒng)保護(hù)機(jī)制的運(yùn)行狀態(tài)。B、發(fā)現(xiàn)試圖繞過(guò)保護(hù)機(jī)制的行為。C、及時(shí)發(fā)現(xiàn)并阻止用戶身份的變化D、報(bào)告并阻礙繞過(guò)保護(hù)機(jī)制的行為并記錄相關(guān)進(jìn)程，為災(zāi)難恢復(fù)提供信息?！菊_答案】：C230.下面哪一個(gè)不是高層安全方針?biāo)P(guān)注的A、識(shí)別關(guān)鍵業(yè)務(wù)目標(biāo)B、定義安全組織職責(zé)C、定義安全目標(biāo)D、定義防火墻邊界防護(hù)策略【正確答案】：D231.以下哪一項(xiàng)是兩家公司為災(zāi)難恢復(fù)簽訂互惠協(xié)議而面臨的最大風(fēng)險(xiǎn)？A、各自的發(fā)展將導(dǎo)致(互相間)軟硬件不兼容。B、當(dāng)需要時(shí)資源未必可用。C、恢復(fù)計(jì)劃無(wú)法演練。D、各家公司的安全基礎(chǔ)架構(gòu)可能不同?！菊_答案】：C232.對(duì)于信息安全策略的描述錯(cuò)誤的是？A、信息安全策略是以風(fēng)險(xiǎn)管理為基礎(chǔ)，需要做到面面俱到，杜絕風(fēng)險(xiǎn)的存在。B、信息安全策略是在有限資源的前提下選擇最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C、防范不足會(huì)造成直接的損失；防范過(guò)多又會(huì)造成間接的損失。D、信息安全保障需要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍?！菊_答案】：A233.以下哪一個(gè)不是安全審計(jì)需要具備的功能？A、記錄關(guān)鍵事件B、提供可集中處理審計(jì)日志的數(shù)據(jù)形式C、實(shí)時(shí)安全報(bào)警D、審計(jì)日志訪問(wèn)控制【正確答案】：D234.當(dāng)以下哪一類人員維護(hù)應(yīng)用系統(tǒng)軟件的時(shí)候，會(huì)造成對(duì)“職責(zé)分離”原則的違背？A、數(shù)據(jù)維護(hù)管理員B、系統(tǒng)故障處理員C、系統(tǒng)維護(hù)管理員D、系統(tǒng)程序員【正確答案】：D235.災(zāi)難恢復(fù)SHARE78的第三層是指A、卡車(chē)運(yùn)送B、電子鏈接C、活動(dòng)狀態(tài)的備份中心D、0數(shù)據(jù)丟失【正確答案】：B236.當(dāng)選擇的控制措施成本高于風(fēng)險(xiǎn)帶來(lái)的損失時(shí)，應(yīng)考慮A、降低風(fēng)險(xiǎn)B、轉(zhuǎn)移風(fēng)險(xiǎn)C、避免風(fēng)險(xiǎn)D、接受風(fēng)險(xiǎn)【正確答案】：D237.我國(guó)信息安全事件分級(jí)分為以下哪些級(jí)別A、特別重大事件-重大事件-較大事件-一般事件B、特別重大事件-重大事件-嚴(yán)重事件-較大事件-一般事件C、特別嚴(yán)重事件-嚴(yán)重事件-重大事件-較大事件-一般事件D、特別嚴(yán)重事件-嚴(yán)重事件-較大事件-一般事件【正確答案】：A238.在自主訪問(wèn)環(huán)境中，以下哪個(gè)實(shí)體可以將信息訪問(wèn)權(quán)授予給其他人？A、經(jīng)理B、集團(tuán)負(fù)責(zé)人C、安全經(jīng)理D、數(shù)據(jù)所有者【正確答案】：D239.管理評(píng)審的最主要目的是A、確認(rèn)信息安全工作是否得到執(zhí)行B、檢查信息安全管理體系的有效性C、找到信息安全的漏洞D、考核信息安全部門(mén)的工作是否滿足要求【正確答案】：B240.Kerberos可以防止以下哪種攻擊？A、隧道攻擊。B、重放攻擊。C、破壞性攻擊。D、處理攻擊?！菊_答案】：B241.從目前的情況看，對(duì)所有的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，以下哪種威脅是最為嚴(yán)重的，可能造成巨大的損害？A、沒(méi)有充分訓(xùn)練或粗心的用戶B、第三方C、黑客D、心懷不滿的雇員【正確答案】：D242.ISMS審核常用的審核方法不包括？A、糾正預(yù)防B、文件審核C、現(xiàn)場(chǎng)審核D、滲透測(cè)試【正確答案】：A243.下列哪一項(xiàng)最好地支持了24/7可用性？A、日常備份B、離線存儲(chǔ)C、鏡像D、定期測(cè)試【正確答案】：C244.為了有效的完成工作，信息系統(tǒng)安全部門(mén)員工最需要以下哪一項(xiàng)技能？A、人際關(guān)系技能B、項(xiàng)目管理技能C、技術(shù)技能D、溝通技能【正確答案】：D245.一個(gè)個(gè)人經(jīng)濟(jì)上存在問(wèn)題的公司職員有權(quán)獨(dú)立訪問(wèn)高敏感度的信息，他可能竊取這些信息賣(mài)給公司的競(jìng)爭(zhēng)對(duì)手，如何控制這個(gè)風(fēng)險(xiǎn)A、開(kāi)除這名職員B、限制這名職員訪問(wèn)敏感信息C、刪除敏感信息D、將此職員送公1安部門(mén)【正確答案】：B246.下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法不正確的是A、易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B、主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)C、"耗時(shí)短、成本低、可控性高"D、能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受【正確答案】：D247.在實(shí)施風(fēng)險(xiǎn)管理程序的時(shí)候，下列哪一項(xiàng)應(yīng)該被最先考慮到：A、組織的威脅，弱點(diǎn)和風(fēng)險(xiǎn)概貌的理解B、揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C、基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D、風(fēng)險(xiǎn)緩解戰(zhàn)略足夠使風(fēng)險(xiǎn)的結(jié)果保持在一個(gè)可以接受的水平上【正確答案】：A248.多層的樓房中，最適合做數(shù)據(jù)中心的位置是：A、一樓B、地下室C、頂樓D、除以上外的任何樓層【正確答案】：D249.以下哪一種人給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？A、臨時(shí)工B、咨詢?nèi)藛TC、以前員工D、當(dāng)前員工【正確答案】：D250.當(dāng)客戶需要訪問(wèn)組織信息資產(chǎn)時(shí)，下面正確的做法是？A、應(yīng)向其傳達(dá)信息安全要求及應(yīng)注意的信息安全問(wèn)題。B、盡量配合客戶訪問(wèn)信息資產(chǎn)。C、不允許客戶訪問(wèn)組織信息資產(chǎn)。D、不加干涉，由客戶自己訪問(wèn)信息資產(chǎn)?！菊_答案】：A251.通常最好由誰(shuí)來(lái)確定系統(tǒng)和數(shù)據(jù)的敏感性級(jí)別？A、審計(jì)師B、終端用戶C、擁有者D、系統(tǒng)分析員【正確答案】：C252.企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個(gè)A、管理層足夠重視B、需要全員參與C、不必遵循過(guò)程的方法D、需要持續(xù)改進(jìn)【正確答案】：C253.下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過(guò)程？A、風(fēng)險(xiǎn)因素識(shí)別B、風(fēng)險(xiǎn)程度分析C、風(fēng)險(xiǎn)控制選擇D、風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)【正確答案】：C254.有關(guān)信息安全事件的描述不正確的是？A、信息安全事件的處理應(yīng)該分類、分級(jí)B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、對(duì)于一些信息安全隱患，如果還沒(méi)造成損失，就沒(méi)必要進(jìn)行報(bào)告。D、信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生【正確答案】：C255.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組長(zhǎng)應(yīng)由以下哪個(gè)選項(xiàng)擔(dān)任？A、最高管理層B、信息技術(shù)部門(mén)領(lǐng)導(dǎo)C、業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)D、外部專家【正確答案】：D256.計(jì)算機(jī)安全事故發(fā)生時(shí)，下列哪些人不被通知或者最后才被通知：A、系統(tǒng)管理員B、律師C、恢復(fù)協(xié)調(diào)員D、硬件和軟件廠商【正確答案】：B257.默認(rèn)情況下Linux主機(jī)在機(jī)房托管期間被惡意用戶進(jìn)行了SSH遠(yuǎn)程的暴力破解，此時(shí)安全工程師需要拒絕其訪問(wèn)的源地址，應(yīng)該使用那種方式查詢其訪問(wèn)的記錄？A、cat/var/log/secureB、whoC、whoamiD、cat/etc/security/access.log【正確答案】：A258.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，以下描述錯(cuò)誤的是A、信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，不僅僅要考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境，同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D、運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)【正確答案】：C259.在信息系統(tǒng)安全中，暴露由以下哪兩種因素共同構(gòu)成的？A、攻擊和脆弱性B、威脅和攻擊C、威脅和脆弱性D、威脅和破壞【正確答案】：A260.定義ISMS范圍時(shí)，下列哪項(xiàng)不是考慮的重點(diǎn)A、組織現(xiàn)有的部門(mén)B、信息資產(chǎn)的數(shù)量與分布C、信息技術(shù)的應(yīng)用區(qū)域D、IT人員數(shù)量【正確答案】：D261.如果惡意開(kāi)發(fā)人員想在代碼中隱藏邏輯炸1彈，什么預(yù)防方式最有效？A、源代碼周期性安全掃描B、源代碼人工審計(jì)C、滲透測(cè)試D、對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行不間斷監(jiān)測(cè)記錄【正確答案】：B262.在Linux操作系統(tǒng)中，為了授權(quán)用戶具有管理員的某些個(gè)性需求的權(quán)限所采取的措施是什么？A、告訴其他用戶root密碼B、將普通用戶加入到管理員組C、使用visudo命令授權(quán)用戶的個(gè)性需求D、創(chuàng)建單獨(dú)的虛擬賬戶【正確答案】：C263.以下對(duì)信息安全管理的描述錯(cuò)誤的是A、信息安全管理的核心就是風(fēng)險(xiǎn)管理B、人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性C、安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑D、信息安全管理工作的重點(diǎn)是信息系統(tǒng)，而不是人【正確答案】：D264.信息安全管理體系策略文件中第一層文件是？A、信息安全工作程序B、信息安全方針政策C、信息安全作業(yè)指導(dǎo)書(shū)D、信息安全工作記錄【正確答案】：B265.下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？A、資產(chǎn)及其價(jià)值B、數(shù)據(jù)安全C、威脅D、控制措施【正確答案】：B266.以下哪些模型可以用來(lái)保護(hù)分級(jí)信息的機(jī)密性？A、Biba模型和Bell－Lapadula模型Bell－Lapadula模型和信息流模型C、Bell－Lapadula模型和Clark－Wilson模型D、Clark－Wilson模型和信息流模型BLP信息流模型ChineseWallBibaClark-wilsonBMA【正確答案】：B267.在軟件程序測(cè)試的哪個(gè)階段一個(gè)組織應(yīng)該進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)測(cè)試?A、可接受性測(cè)試B、系統(tǒng)測(cè)試C、集成測(cè)試D、單元測(cè)試【正確答案】：C268.信息安全管理體系（ISMS）是一個(gè)怎樣的體系，以下描述不正確的是A、ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B、ISMS是一個(gè)文件化、系統(tǒng)化的體系C、ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D、ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問(wèn)題【正確答案】：D269.以下哪一個(gè)