CISP試題及標(biāo)準(zhǔn)答案-套題詳解

1、CISP試題及答案-套題詳解作者:日期:1.下面關(guān)于信息安全保障的說(shuō)法正確的是：A.信息安全保障的概念是與信息安全的概念同時(shí)產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技術(shù)并列構(gòu)成實(shí)現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)為最終目的，從風(fēng)險(xiǎn)和策略出發(fā)，實(shí)施在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性2.根據(jù)GB/T20274信息安全保障評(píng)估框架，對(duì)信息系統(tǒng)安全保障能力進(jìn)行評(píng)估應(yīng)A.信息安全管理和信息安全技術(shù)2個(gè)方面進(jìn)行B.信息安全管理、信息安全技術(shù)和信息安全工程3個(gè)方面進(jìn)行C.信息安全管理、信息安全技術(shù)、信息安全工程和人員4個(gè)方面進(jìn)行D.信

2、息安全管理、信息安全技術(shù)、信息安全工程、法律法規(guī)和人員5個(gè)方面進(jìn)行3 .哪一項(xiàng)不是GB/T20274信息安全保障評(píng)估框架給出的信息安全保障模通過(guò)以風(fēng)險(xiǎn)和策略為基礎(chǔ)，在整個(gè)信息系統(tǒng)的生命周期中實(shí)施技術(shù)、管理、工程和人員保障要素，從而使信息系統(tǒng)安全保障實(shí)現(xiàn)信息安全的安全特征4 .對(duì)于信息安全發(fā)展歷史描述正確的是：A.信息安全的概念是隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用而誕生的B.目前信息安全己經(jīng)發(fā)展到計(jì)算機(jī)安全的階段C.目前信息安全不僅僅關(guān)注信息技術(shù)，人們意識(shí)到組織、管理、工程過(guò)程和人員同樣是促進(jìn)系統(tǒng)安全性的重要因素D.我們可以將信息安全的發(fā)展階段概括為，由“計(jì)算機(jī)安全”到“通信安全”，再到“信息安全”，直至

3、現(xiàn)在的“信息安全保障”5. ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)A.加密B.數(shù)字簽名C.訪問(wèn)控制D.路由控制6. 表小層7. 以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特性A. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮書(shū)8 .下面對(duì)于CC的“保護(hù)輪廓”（PP）的說(shuō)法最準(zhǔn)確的是：A.對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述B.對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述C.對(duì)一類TOE的安全需求，進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度9 .以下哪一項(xiàng)屬于動(dòng)態(tài)的強(qiáng)制訪問(wèn)控制模型？A. Be

4、ll-Lapudufa模型B.10.C. Strongstarproperty處于D. Bell-Lapadula模型的訪問(wèn)規(guī)則主要是出于對(duì)保密性的保護(hù)而制定的11 .下面對(duì)于強(qiáng)制訪問(wèn)控制的說(shuō)法錯(cuò)誤的是？A它可以用來(lái)實(shí)現(xiàn)完整性保護(hù)，也可以用來(lái)實(shí)現(xiàn)機(jī)密性保護(hù)B在強(qiáng)制訪問(wèn)控制的系統(tǒng)中，用戶只能定義客體的安全屬性C它在軍方和政府等安全要求很高的地方應(yīng)用較多D它的缺點(diǎn)是使用中的便利性比較低12 .以下哪兩個(gè)安全模型分別是多級(jí)完整性模型和多邊保密模型？A. Biba模型和Bell-Lapadula模型B. Bell-Lapaduia模型和Biba模型C. ChineseWall模型和Bell-Lapad

5、ula模型D. Biba模型和ChineseWall模型13 .在一個(gè)使用ChineseWall模型建立訪問(wèn)控制的信息系統(tǒng)中，數(shù)據(jù)Wft數(shù)據(jù)X在一個(gè)興趣沖突域中，數(shù)據(jù)Y和數(shù)據(jù)Z在另一個(gè)興趣沖突域中，那么可以確定一個(gè)新注冊(cè)的用戶：A.只有訪問(wèn)了W之后，才可以訪問(wèn)XB.只有訪問(wèn)了W之后，才可以訪問(wèn)Y和Z中的一個(gè)C.無(wú)論是否訪問(wèn)W都只能訪問(wèn)Y和Z中的一個(gè)D.無(wú)論是否訪問(wèn)W都不能訪問(wèn)Y或Z14. BMAJ問(wèn)控制模型是基于A.健康服務(wù)網(wǎng)絡(luò)B. ARPANETC. ISPD. INTERNET15.16.證書(shū)持有者的公鑰證書(shū)頒發(fā)機(jī)構(gòu)的簽名證書(shū)有效期17. 下面關(guān)于密碼算法的說(shuō)法錯(cuò)誤的是？A.分組密碼又稱作

6、塊加密B.流密碼又稱作序列密碼C. DESB法采用的是流密碼D.序列密碼每次加密一位或一個(gè)字節(jié)的明文18.下面對(duì)于SSH勺說(shuō)法錯(cuò)誤的是？A.SSH!SecureShell的簡(jiǎn)稱B.客戶端使用ssh連接遠(yuǎn)程登錄SSHK務(wù)器必須經(jīng)過(guò)基于公鑰的身份驗(yàn)證C.通常Linux操作系統(tǒng)會(huì)在/usr/local目錄下默認(rèn)安裝OpenSSHD. SSH2比SSH1更安全19 .下面對(duì)于標(biāo)識(shí)和鑒別的解釋最準(zhǔn)確的是：A.標(biāo)識(shí)用于區(qū)別不同的用戶，而鑒別用于驗(yàn)證用戶身份的真實(shí)性B.標(biāo)識(shí)用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限C.標(biāo)識(shí)用于保證用戶信息的完整性，而鑒別用于驗(yàn)證用戶身份的真實(shí)性D.標(biāo)識(shí)用于保證用戶信息的完整

7、性，而鑒別用于賦予用戶權(quán)限20 .指紋、虹膜、語(yǔ)音識(shí)別技術(shù)是以下哪一種鑒別方式的實(shí)例：A.你是什么B.你有什么C.你知道什么D.你做了什么21 .安全審計(jì)是對(duì)系統(tǒng)活動(dòng)和記錄的獨(dú)立檢查和驗(yàn)證，以下哪一項(xiàng)不是審計(jì)系統(tǒng)的A.輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊B.對(duì)與己建立的安全策略的一致性進(jìn)行核查C.及時(shí)阻斷違反安全策略的訪問(wèn)D.幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施22 .下面哪一項(xiàng)不是通用IDS模型的組成部分：A.傳感器B.過(guò)濾器23 .24 .以下哪一項(xiàng)屬于物理安全方面的管理控制措施？A.照明B.護(hù)柱C.培訓(xùn)D.建筑設(shè)施的材料25 .以下哪種不是火災(zāi)探測(cè)器類型：A.電離型煙傳感器B.光電傳感器C.聲學(xué)

8、震動(dòng)探測(cè)系統(tǒng)D.溫度傳感器26 .以下關(guān)于事故的征兆和預(yù)兆說(shuō)法不正確的是：A.預(yù)兆是事故可能在將來(lái)出現(xiàn)的標(biāo)志B.征兆是事故可能己經(jīng)發(fā)生或正在發(fā)生的標(biāo)志C.預(yù)兆和征兆的來(lái)源包括網(wǎng)絡(luò)和主機(jī)IDS、防病毒軟件、系統(tǒng)和網(wǎng)絡(luò)日志D.所有事故的預(yù)兆和征兆都是可以發(fā)現(xiàn)的27 .組織機(jī)構(gòu)應(yīng)根據(jù)事故類型建立揭制策略，需要考慮以下幾個(gè)因素，除了：A、實(shí)施策略需要的時(shí)間和資源B、攻擊者的動(dòng)機(jī)C、服務(wù)可用性D證據(jù)保留的時(shí)間28、下面安全套接字層協(xié)議（SSD的說(shuō)法錯(cuò)誤的是？A它是一種基于WetS用的安全協(xié)議B、由于SSL是內(nèi)嵌的瀏覽器中的，無(wú)需安全客戶端軟件，所以相對(duì)于IPSEC更簡(jiǎn)GSSL與IPSec一樣都工作在網(wǎng)絡(luò)

9、層DSSL可以提供身份認(rèn)證、加密和完整性校驗(yàn)的功能29、用來(lái)為網(wǎng)絡(luò)中的主機(jī)自動(dòng)分配IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、wins服務(wù)器地址的網(wǎng)？AARPB、IGMPC、ICMPD>DHCP301下面哪一項(xiàng)不是VPNB議標(biāo)準(zhǔn)：AL2TPB、ipsecC、TACACS+D、PPTP30、IPSEC的兩種使用模式分別是?口A傳輸模式、安全殼模式B傳輸模式、隧道模式C隧道模式、ESP奠式D安全殼模式、AH模式31、組成IPSEC的主要安全協(xié)議不包括以下哪一項(xiàng)：A、ESPB、DSSC、IKED、AH32、在UNIX系統(tǒng)中輸入命令"LS-altest”顯示如下；-rwxr-xr-x3rootroo

10、t1024Sep1311:58test”對(duì)他的含義解釋錯(cuò)誤的是：A、這是一個(gè)文件，而不是目錄B、文件的擁有者可以對(duì)這個(gè)文件讀、寫(xiě)和執(zhí)行的操作G文件所屬組的成員有可以讀它，也可以執(zhí)行它D其他所有用戶只可以執(zhí)行它33、計(jì)算機(jī)具有的IP地址是有限的，但通常計(jì)算機(jī)會(huì)開(kāi)啟多項(xiàng)服務(wù)或運(yùn)行多個(gè)應(yīng)用程序，那么如何在網(wǎng)絡(luò)通信中對(duì)這些程序或服務(wù)進(jìn)行單獨(dú)標(biāo)識(shí)？A分配網(wǎng)絡(luò)端口號(hào)（如ftp服務(wù)對(duì)應(yīng)21端口）B利用MAO址C使用子網(wǎng)掩碼D利用PKI/CA34、ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是：Ahttpd.conf

11、Bsrm.confCinetd.confDaccess.conf35、下面哪一項(xiàng)是操作系統(tǒng)中可信通路（trustpath）機(jī)制的實(shí)例？AWindow系統(tǒng)中ALT+CTRL+DELBroot在Linux系統(tǒng)上具有絕對(duì)的權(quán)限C以root身份作任何事情都要謹(jǐn)慎D控制root用戶的登錄可以在/etc/security目錄下的access.conf文件中進(jìn)行設(shè)置36、以下對(duì)Windows服務(wù)的說(shuō)法錯(cuò)誤的是（）A為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)BWindows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運(yùn)行C可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeDwindows服務(wù)通常是以

12、管理員的身份運(yùn)行的37、以下哪一項(xiàng)不是IIS服務(wù)器支持的訪問(wèn)控制過(guò)濾類型？A網(wǎng)絡(luò)地址訪問(wèn)控制Bweb服務(wù)器許可CNTFS許可D異常行為過(guò)濾38、下列哪一項(xiàng)與數(shù)據(jù)庫(kù)的安全有直接關(guān)系？A訪問(wèn)控制的粒度B數(shù)據(jù)庫(kù)的大小C關(guān)系表中屬性的數(shù)量D關(guān)系表中元組的數(shù)量39、下列哪一組Oracle數(shù)據(jù)庫(kù)的默認(rèn)用戶名和默認(rèn)口令？A用戶名：“Scott"；口令：“tiger”B用戶名：“Sa”；口令：“nullr"C用戶名：“root”；口令：“null”D用戶名：“admin"；口令：“null”40、關(guān)于數(shù)據(jù)庫(kù)安全的說(shuō)法錯(cuò)誤的是？A數(shù)據(jù)庫(kù)系統(tǒng)的安全性很大程度上依賴于DBMS勺安全機(jī)制

13、B許多數(shù)據(jù)庫(kù)系統(tǒng)在操作系統(tǒng)一下文件形式進(jìn)行管理，因此利用操作系統(tǒng)漏洞可以竊取數(shù)據(jù)庫(kù)文件C為了防止數(shù)據(jù)庫(kù)中的信息被盜取，在操作系統(tǒng)層次對(duì)文件進(jìn)行加密是唯一從根本上解決問(wèn)題的手段D數(shù)據(jù)庫(kù)的安全需要在網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)三個(gè)方面進(jìn)行保護(hù)42、下面關(guān)于計(jì)算機(jī)惡意代碼發(fā)展趨勢(shì)的說(shuō)法錯(cuò)誤的是：A木馬和病毒盜竊日益猖獗B利用病毒犯罪的組織性和趨利性增加C綜合利用多種編程新技術(shù)、對(duì)抗性不斷增加D復(fù)合型病毒減少，而自我保護(hù)功能增加43、關(guān)于網(wǎng)頁(yè)中的惡意代碼，下列說(shuō)法錯(cuò)誤的是：A網(wǎng)頁(yè)中的惡意代碼只能通過(guò)IE瀏覽器發(fā)揮作用B網(wǎng)頁(yè)中惡意代碼可以修改系統(tǒng)注冊(cè)表C網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)文件D網(wǎng)頁(yè)中的惡

14、意代碼可以竊取用戶的機(jī)密性文件44、下面對(duì)于“電子郵件炸彈”的解釋最準(zhǔn)確的是：A郵件正文中包含的惡意網(wǎng)站鏈接B郵件附件中具有強(qiáng)破壞性的病毒C社會(huì)工程的一種方式，具有恐嚇內(nèi)容的郵件D在短時(shí)間內(nèi)發(fā)送大量郵件軟件，可以造成目標(biāo)郵箱爆滿45、以下哪一項(xiàng)是常見(jiàn)We的占點(diǎn)脆弱性掃描工具：ASnifferBNmapCAppscanDLC46、下面哪一項(xiàng)不是安全編程的原則A盡可能使用高級(jí)語(yǔ)言進(jìn)行編程B盡可能讓程序只實(shí)現(xiàn)需要的功能C不要信任用戶輸入的數(shù)據(jù)D盡可能考慮到意外的情況，并設(shè)計(jì)妥善的處理方法47、黑客進(jìn)行攻擊的最后一個(gè)步驟是：A偵查與信息收集B漏洞分析與目標(biāo)選定C獲取系統(tǒng)權(quán)限D(zhuǎn)打掃戰(zhàn)場(chǎng)、清楚證據(jù)48、下

15、面哪一項(xiàng)是緩沖溢出的危害？A可能導(dǎo)致shellcode的執(zhí)行而非法獲取權(quán)限，破壞系統(tǒng)的保密性B執(zhí)行shellcode后可能進(jìn)行非法控制，破壞系統(tǒng)的完整性C可能導(dǎo)致拒絕服務(wù)攻擊，破壞系統(tǒng)的可用性D以上都是49、以下哪一項(xiàng)是DOS$擊的一個(gè)實(shí)例ASQL注入BIPSpoofCSmurf攻擊D字典破解50、以下對(duì)于蠕蟲(chóng)病毒的錯(cuò)誤說(shuō)法是（）A通常蠕蟲(chóng)的傳播無(wú)需用戶的操作B蠕蟲(chóng)病毒的主要危害體現(xiàn)在對(duì)數(shù)據(jù)保密的破壞C蠕蟲(chóng)的工作原理與病毒相似，除了沒(méi)有感染文件D是一段能不以其他程序?yàn)槊浇椋瑥囊粋€(gè)電腦系統(tǒng)復(fù)制到另一個(gè)電腦系統(tǒng)51、以下哪一項(xiàng)不是跨站腳本攻擊？A給網(wǎng)站掛馬B盜取COOKIEC偽造頁(yè)面信息D暴力破解

16、密碼52.對(duì)能力成熟度模型解釋最準(zhǔn)確的是？A.它認(rèn)為組織的能力依賴與嚴(yán)格定義，管理完善，可測(cè)可控的有效業(yè)務(wù)過(guò)程。B.它通過(guò)嚴(yán)格考察工程成果來(lái)判斷工程能力。C.它與統(tǒng)計(jì)過(guò)程控制的理論出發(fā)點(diǎn)不同，所以應(yīng)用于不同領(lǐng)域。D.它是隨著信息安全的發(fā)展而誕生的重要概念。53.一個(gè)單位在處理一臺(tái)儲(chǔ)存過(guò)高密級(jí)信息的計(jì)算機(jī)是首先應(yīng)該做什么？A.將硬盤(pán)的每一個(gè)比特寫(xiě)成“OB.將硬盤(pán)徹底毀壞C.選擇秘密信息進(jìn)行刪除D.進(jìn)行低級(jí)格式化60.變更控制是信息系統(tǒng)運(yùn)行管理的重要的內(nèi)容，在變更控制的過(guò)程中：A.應(yīng)該盡量追求效率，而沒(méi)有任何的程序和核查的阻礙。B.應(yīng)該將重點(diǎn)放在風(fēng)險(xiǎn)發(fā)生后的糾正措施上。C.應(yīng)該很好的定義和實(shí)施風(fēng)險(xiǎn)

17、規(guī)避的措施。D.如果是公司領(lǐng)導(dǎo)要求的，對(duì)變更過(guò)程不需要追蹤和審查61.在信息系統(tǒng)的開(kāi)發(fā)和維護(hù)過(guò)程中，以下哪一種做法是不應(yīng)該被贊成的A.在購(gòu)買(mǎi)軟件包后，依靠本單位的技術(shù)力量對(duì)軟件包進(jìn)行修改，加強(qiáng)代碼的安全性。B.當(dāng)操作系統(tǒng)變更后，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行測(cè)試和評(píng)審。C.在需要是對(duì)操作文檔和用戶守則進(jìn)行適當(dāng)?shù)男薷摹.在安裝委外開(kāi)發(fā)的軟件前進(jìn)行惡意代碼檢測(cè)。62.對(duì)于信息系統(tǒng)訪問(wèn)控制說(shuō)法錯(cuò)誤的是？A.應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求制定清晰的訪問(wèn)控制策略，并根據(jù)需要進(jìn)行評(píng)審和改進(jìn)。B.網(wǎng)絡(luò)訪問(wèn)控制是訪問(wèn)控制的重中之重，網(wǎng)絡(luò)訪問(wèn)控制做好了操作系統(tǒng)和應(yīng)用層次的訪問(wèn)控制就會(huì)解決C.做好訪問(wèn)控制工作不僅要對(duì)用戶的訪問(wèn)

18、活動(dòng)進(jìn)行嚴(yán)格管理，還要明確用戶在訪問(wèn)控制中的有關(guān)責(zé)任D.移動(dòng)計(jì)算和遠(yuǎn)程工作技術(shù)的廣泛應(yīng)用給訪問(wèn)控制帶來(lái)新的問(wèn)題，因此在訪問(wèn)控制工作要重點(diǎn)考慮對(duì)移動(dòng)計(jì)算設(shè)備和遠(yuǎn)程工作用戶的控制措施63 .對(duì)程序源代碼進(jìn)行訪問(wèn)控制管理時(shí)，以下那種做法是錯(cuò)誤的？A.若有可能，在實(shí)際生產(chǎn)系統(tǒng)中不保留源程序庫(kù)。B.對(duì)源程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的審計(jì)C.技術(shù)支持人員應(yīng)可以不受限制的訪問(wèn)源程序D.對(duì)源程序庫(kù)的拷貝應(yīng)受到嚴(yán)格的控制規(guī)程的制約64 .目前數(shù)據(jù)大集中是我國(guó)重要的大型分布式信息系統(tǒng)建設(shè)和發(fā)展的趨勢(shì)，數(shù)據(jù)大集中就是將數(shù)據(jù)集中存儲(chǔ)和管理，為業(yè)務(wù)信息系統(tǒng)的運(yùn)行搭建了統(tǒng)一的數(shù)據(jù)平臺(tái)，對(duì)這種做法的認(rèn)識(shí)正確的是？A.數(shù)據(jù)庫(kù)系統(tǒng)龐大

19、會(huì)提高管理成本B.數(shù)據(jù)庫(kù)系統(tǒng)龐大會(huì)降低管理效率C.數(shù)據(jù)的集中會(huì)降低風(fēng)險(xiǎn)的可控性D.數(shù)據(jù)的集中會(huì)造成風(fēng)險(xiǎn)的集中65.管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)已識(shí)別風(fēng)險(xiǎn)不采取措施A.當(dāng)必須的安全對(duì)策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的譴責(zé)負(fù)面影響時(shí)B.當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C.當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門(mén)控制范圍之內(nèi)時(shí)D.不可接受66.在風(fēng)險(xiǎn)評(píng)估中進(jìn)行定量的后果分析時(shí)，如果采用年度風(fēng)險(xiǎn)損失值的方法進(jìn)行計(jì)算，應(yīng)當(dāng)使用一下哪個(gè)公式？A. SLE（單次損失預(yù)期值）xARO（年度發(fā)生率）B. ARO（年度發(fā)生率）xEF（暴露因子）C. SLE（單次損失預(yù)期值）xEF（暴露因子）xARO（年度發(fā)生率）D. SLE

20、（單次損失預(yù)期值）xARO（年度發(fā)生率）一EF（暴露因子）67風(fēng)險(xiǎn)管理的重點(diǎn)：A.將風(fēng)險(xiǎn)降低到可以接受的程度B.不計(jì)代價(jià)的降低風(fēng)險(xiǎn)C.將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方D.懲罰違反安全策略規(guī)定的雇員68 .風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)估和第三方評(píng)估，這兩種評(píng)估方式最本質(zhì)的差別是什么？A.評(píng)估結(jié)果的客觀性B.評(píng)估工具的專業(yè)程度C.評(píng)估人員的技術(shù)能力D.評(píng)估報(bào)告的形式69 .以下關(guān)于風(fēng)險(xiǎn)管理的描述不正確的是?A.風(fēng)險(xiǎn)的四種控制方法有：減低風(fēng)險(xiǎn)/轉(zhuǎn)嫁風(fēng)險(xiǎn)/規(guī)避風(fēng)險(xiǎn)/接受風(fēng)險(xiǎn)B.信息安全風(fēng)險(xiǎn)管理是否成功在于發(fā)現(xiàn)是否切實(shí)被消除了C.組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來(lái)確定需要管理的信息安全D.信息安

21、全風(fēng)險(xiǎn)管理是基于可接受的成本，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別多少或消除的過(guò)程。70 .從風(fēng)險(xiǎn)分析的觀點(diǎn)來(lái)看，計(jì)算機(jī)系統(tǒng)的最主要安全脆弱性存在于一一A.計(jì)算機(jī)內(nèi)部處理B.系統(tǒng)輸入輸出C.網(wǎng)絡(luò)和通訊D.數(shù)據(jù)存儲(chǔ)介質(zhì)71.以下選項(xiàng)中那一項(xiàng)是對(duì)信息安全風(fēng)險(xiǎn)采取的糾正機(jī)制？A.訪問(wèn)控制B.入侵檢測(cè)C.災(zāi)難恢復(fù)D.防病毒系統(tǒng)72.下面哪一項(xiàng)最準(zhǔn)確的闡述了安全檢測(cè)措施和安全審計(jì)之間的區(qū)別？A.審計(jì)措施不能自動(dòng)執(zhí)行，而檢測(cè)措施可以自動(dòng)執(zhí)行B.檢測(cè)措施不能自動(dòng)執(zhí)行，而審計(jì)措施可以自動(dòng)執(zhí)行C.審計(jì)措施是一次性的或周期性的進(jìn)行，而檢測(cè)措施是實(shí)時(shí)的進(jìn)行D.檢測(cè)措施是一次性的或周期性的進(jìn)行，而審計(jì)措施是實(shí)時(shí)的進(jìn)行73.下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)