網(wǎng)絡(luò)攻防大賽第一階段賽題

組號： 2012年山西省技能大賽高職組第一階段賽題（A卷）答題卡第一部分：安全標(biāo)準(zhǔn)知識1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950第二部分：信息安全等級保護(hù)知識1212345111213141521222324253132333435414243444567891016171819202627282930363738394046474849502012年山西省技能大賽高職組第一階段賽題(A卷)第一部分：安全標(biāo)準(zhǔn)知識(50分)(注意：以下題目為不定項選擇題，每題分值2%，將答案填寫到答題卡上，成績以答題卡為準(zhǔn))1?根據(jù)完備性和所提供的實現(xiàn)表示的結(jié)構(gòu)，實現(xiàn)表示分為()TSF子集實現(xiàn)TSF完全實現(xiàn)TSF的結(jié)構(gòu)化實現(xiàn)TSF的資源化實現(xiàn)2?根據(jù)所要求的形式化程度和所提供的接□說明的詳細(xì)程度，高層設(shè)計分為：()描述性高層設(shè)計要求安全加強(qiáng)的高層設(shè)計半形式化高層設(shè)計形式化高層設(shè)計3?根據(jù)要求的形式化程度和所提供的TSF外部接□的詳細(xì)程度，功能設(shè)計分為：()非形式化功能設(shè)計完全定義的外部接口半形式化功能設(shè)計形式化功能設(shè)計4.配置管理范圍對CM范圍的要求包括以下內(nèi)容()TCB配置管理范圍問題跟蹤配置管理范圍開發(fā)工具配置管理范圍資源配置管理范圍5CM自動化分為：()部分CM自動化完全CM自動化階段CM自動化分段CM自動化6.在用戶的靜止期超過規(guī)定的值時通過以哪些方式鎖定該用戶的交互式會話：()在顯示設(shè)備上清除或涂抹使當(dāng)前的內(nèi)容不可讀取消會話解鎖之外的所有用戶數(shù)據(jù)的存取/顯示的任何活動在會話解鎖之前再次鑒別要求TSF支持由可信信道的各種功能列表原發(fā)的經(jīng)可信信道的通信7.TCB訪問控制包括()可選屬性范圍限定多重并發(fā)會話限定TCB訪問標(biāo)記會話鎖定TCB訪問歷史TCB會話建立8?資源分配的控制方法分為()最大限額最低限額最小和最大限額最小限額9?故障容錯分為()降級故障容錯升級故障容錯受限故障容錯不受限故障容錯10?狀態(tài)同步協(xié)議包括()簡單的不可信回執(zhí)簡單的可信回執(zhí)相互的可信回執(zhí)相互的不可信回執(zhí)11.可信恢復(fù)包括：()手動恢復(fù)自動恢復(fù)無過分丟失的自動恢復(fù)功能恢復(fù)12.TSF數(shù)據(jù)在TCB內(nèi)的分離部分間傳輸時應(yīng)受到保護(hù)，包括：()內(nèi)部TSF數(shù)據(jù)傳輸?shù)幕颈Ｗo(hù)TSF數(shù)據(jù)間斷性保護(hù)TSF數(shù)據(jù)傳輸分離TSF數(shù)據(jù)完整性保護(hù)13.抗原發(fā)抵賴分為：()選擇性原發(fā)證明完全性原發(fā)證明強(qiáng)制性原發(fā)證明非強(qiáng)制性原發(fā)證明計算機(jī)信息系統(tǒng)的應(yīng)急計劃和應(yīng)急反應(yīng)在應(yīng)急情況作出反應(yīng)的應(yīng)急計劃應(yīng)()具有各種安全措施設(shè)置正常備份機(jī)制健全安全管理機(jī)構(gòu)建立處理流程圖行中斷后能在不減弱保護(hù)的情況下恢復(fù)計算機(jī)信息系統(tǒng)的運行。故障恢復(fù)包括：()手動恢復(fù)自動恢復(fù)無過分丟失的自動恢復(fù)災(zāi)難性恢復(fù)安全審計事件存儲應(yīng)具有怎樣的創(chuàng)建并維護(hù)安全的審計蹤跡記錄的能力()受保護(hù)的審計蹤跡存儲審計數(shù)據(jù)的可用性確保審計數(shù)據(jù)可能丟失情況下的措施防止審計數(shù)據(jù)丟失等級化信息系統(tǒng)安全設(shè)計的2級安全域主要包括()—個具有1、2、3級安全的混合安全計算域中的2級安全計算域—個具有2、3級安全的混合安全計算域中的2級安全計算域—個具有2級安全的單一安全計算域具有2級安全的安全用戶域和安全網(wǎng)絡(luò)域等級化信息系統(tǒng)安全設(shè)計的3級安全域主要包括()—個具有2、3級安全的混合安全計算域中的3級安全計算域—個具有3級安全的單一安全計算域和相應(yīng)安全等級的安全用戶域具有3級安全的安全用戶域和安全網(wǎng)絡(luò)域—個具有1、2、3級安全的混合安全計算域中的3級安全計算域系統(tǒng)安全設(shè)計，有哪些方法和步驟()數(shù)據(jù)分類數(shù)據(jù)分布數(shù)據(jù)疊加劃分安全域確定系統(tǒng)安全等級信息系統(tǒng)安全設(shè)計從信息系統(tǒng)安全設(shè)計過程來看，信息系統(tǒng)安全設(shè)計各相關(guān)因素的相互關(guān)系可以更詳細(xì)的描述為：()風(fēng)險分析安全需求和安全目標(biāo)安全措施安全保護(hù)以下是安全計算域的為()多計算機(jī)單一安全等級計算域單一計算機(jī)多安全等級計算域多計算機(jī)多安全等級計算域單一計算機(jī)單一安全等級計算域“需要進(jìn)行第三級安全保護(hù)的數(shù)據(jù)信息。該類數(shù)據(jù)信息受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害”是第幾類數(shù)據(jù)信息：（）第二類數(shù)據(jù)信息第三類數(shù)據(jù)信息第四類數(shù)據(jù)信息第六類數(shù)據(jù)信息以下屬于密碼系統(tǒng)提供的支持的是：（）傳輸數(shù)據(jù)加密保護(hù)傳輸數(shù)據(jù)的完整性保護(hù)傳輸數(shù)據(jù)的資源性保護(hù)抗抵賴安全保證包括：（）安全子系統(tǒng)（SSOIS）的自身安全保護(hù)安全子系統(tǒng)（SSOIS）的設(shè)計和實現(xiàn)安全子系統(tǒng)（SSOIS）的安全管理安全子系統(tǒng)（SSOIS）的資源管理計算機(jī)信息系統(tǒng)可心計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞,。對于每一事件，其審計記錄包括：（）事件的日期和時間用戶事件類型事件是否成功操作系統(tǒng)對磁盤設(shè)備中存儲的數(shù)據(jù)，可通過增加磁盤掃描程序?qū)崿F(xiàn)哪些功能（）自動檢查文件與磁盤表面是否完好將磁盤表面的問題自動記錄下來隨時檢查、診斷和修復(fù)磁盤上的錯誤修復(fù)扇區(qū)交錯和扇區(qū)流失27?確保動態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，主要包括：（）確保非授權(quán)用戶不能查找使用后返還系統(tǒng)的記錄介質(zhì)中的信息內(nèi)容確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容在單用戶系統(tǒng)中，存儲器保護(hù)應(yīng)防止用戶進(jìn)程影響系統(tǒng)的運行D在多用戶系統(tǒng)中，存儲器保護(hù)應(yīng)保證系統(tǒng)內(nèi)各個用戶之間互不干擾28.信息系統(tǒng)的安全審計內(nèi)容，包括：（）安全策略的檢查

技術(shù)措施的檢查管理措施的檢查資源存儲的檢查29.制定安全策略內(nèi)容，包括：()信息系統(tǒng)中要保護(hù)的所有資產(chǎn)以及每件資產(chǎn)的重要性，對信息系統(tǒng)中的要素或資產(chǎn)進(jìn)行分類，分類應(yīng)體現(xiàn)各類資產(chǎn)的重要程度，所面臨的主要威脅，并規(guī)定它們的受保護(hù)等級明確每個人在信息安全保護(hù)中的責(zé)任和義務(wù)，以便有效地組織全員協(xié)同工作確定保護(hù)信息系統(tǒng)中各類資產(chǎn)的具體方法，如對于實體可以采用隔離、防輻射、防自然災(zāi)害的措施，對于數(shù)據(jù)信息可以采用授權(quán)訪問控制技術(shù)，對于網(wǎng)絡(luò)傳輸可以采用安全隧道技術(shù)等為了確保任務(wù)的落實，提高安全意識和警惕性，應(yīng)規(guī)定相關(guān)的獎懲條款，并建立監(jiān)管機(jī)制，以保證各項條款的嚴(yán)格執(zhí)行30?保護(hù)措施可分為：()數(shù)字簽名監(jiān)控和分析工具訪問控制機(jī)制加密31.資產(chǎn)主要包括：()支持設(shè)施信息資產(chǎn)C資源資產(chǎn)生產(chǎn)能力或服務(wù)能力訪問驗證保護(hù)級在滿足第四級的管理要求的基礎(chǔ)上，監(jiān)督和檢查管理要求本級要求是:()符合法律要求同第四級要求依從性檢查同第四級要求審計及監(jiān)管要求，依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督責(zé)任認(rèn)定同第四級要求操作和維護(hù)管理要求在滿足第二級的管理要求的基礎(chǔ)上，第三級都有哪些要求()用戶管理要運行操作管理要求運行維護(hù)管理要求外包服務(wù)管理要求機(jī)構(gòu)和人員管理要求在滿足第二級的管理要求的基礎(chǔ)上，3級要求有：()應(yīng)成立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)全組織機(jī)構(gòu)的信息安全管理工作基于風(fēng)險的決策要求，對信息系統(tǒng)安全風(fēng)險實施二次評估，驗證防護(hù)措施的有效性C.人員管理,C.人員管理,要求安全管理人員不可兼任教育和培訓(xùn)要求，針對不同崗位進(jìn)行安全策略和技術(shù)要求等不同培訓(xùn)生存周期管理要求在滿足第一級的管理要求的基礎(chǔ)上，，二級要求是：（）規(guī)劃和立項管理，信息系統(tǒng)的管理者應(yīng)建立安全策略規(guī)劃建設(shè)過程管理，要求信息系統(tǒng)建設(shè)項目應(yīng)制定詳細(xì)的項目實施計劃，作為項目管理的依據(jù)系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)進(jìn)行一定的試運行，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可，才能正式投入使用責(zé)任認(rèn)定要求，應(yīng)對監(jiān)督和審查發(fā)現(xiàn)的問題限期解決，并認(rèn)定技術(shù)責(zé)任和管理責(zé)任以及責(zé)任當(dāng)事人，有關(guān)部門提出問題解決辦法和責(zé)任處理意見建設(shè)項目測試驗收對安全系統(tǒng)的測試至少包括：（）對組成系統(tǒng)的所有部件進(jìn)行安全性測試對系統(tǒng)進(jìn)行集成性安全測試對業(yè)務(wù)應(yīng)用進(jìn)行安全測試等實施業(yè)經(jīng)同意的安全控制措施進(jìn)一步的驗收要求在信息系統(tǒng)建設(shè)和改造項目驗收時至少還應(yīng)考慮：（）性能和計算機(jī)容量的要求錯誤恢復(fù)和重啟程序，以及應(yīng)急計劃制定并測試日常的操作程序以達(dá)到規(guī)定的標(biāo)準(zhǔn)實施業(yè)經(jīng)同意的安全控制措施對程序資源庫的控制為了減少計算機(jī)程序被破壞的可能性，應(yīng)嚴(yán)格控制對程序資源庫的訪問，下控制措施可以采用的有：（）應(yīng)保存對所有程序資源庫訪問的審計記錄程序源庫的更新和向程序員發(fā)布的程序源應(yīng)經(jīng)授權(quán)應(yīng)保留原始軟件，并在完全一樣的復(fù)制件上進(jìn)行改動程序資源庫不應(yīng)被保存在運行系統(tǒng)中對項目的保護(hù)和控制程序?qū)?yīng)廢止和暫停的項目，要確保相關(guān)的系統(tǒng)設(shè)計、文檔、代碼等的安全;對應(yīng)銷毀過程要進(jìn)行安全控制；還應(yīng)制定控制程序?qū)椖窟M(jìn)行保護(hù)，包括：（）代碼的所有權(quán)和知識產(chǎn)權(quán)軟件開發(fā)過程的質(zhì)量控制要求代碼質(zhì)量檢測要求在安裝之前進(jìn)行測試以檢測特洛伊代碼對系統(tǒng)開發(fā)的立項，不同安全等級至少應(yīng)滿足以下要求的一項或多項，下列屬于這類要求的是：（）系統(tǒng)開發(fā)立項的基本要求可行性論證要求系統(tǒng)安全性評價要求代碼質(zhì)量檢測要求安全需求的分析和說明包括以下內(nèi)容：（）系統(tǒng)規(guī)劃的需求組織機(jī)構(gòu)的業(yè)務(wù)特點和需求威脅、脆弱性和風(fēng)險的說明安全的要求和保護(hù)目標(biāo)對系統(tǒng)需求的提出，不同安全等級至少應(yīng)滿足以下要求的一項或多項，下列屬于這類要求的是：（）業(yè)務(wù)應(yīng)用的需求系統(tǒng)規(guī)劃的需求系統(tǒng)安全的需求系統(tǒng)開發(fā)立項的基本要求對知識產(chǎn)權(quán)的管理，不同安全等級應(yīng)有選擇地滿足不同的要求，下列屬于這類要求的是：（）知識產(chǎn)權(quán)保護(hù)的基本要求重要應(yīng)用系統(tǒng)軟件的保護(hù)保護(hù)機(jī)構(gòu)的重要記錄關(guān)鍵業(yè)務(wù)應(yīng)用的軟件版權(quán)下列屬于應(yīng)急計劃框架內(nèi)容的是：（）進(jìn)行業(yè)務(wù)影響分析，識別關(guān)鍵信息系統(tǒng)和部件，確定優(yōu)先次序制定恢復(fù)策略，確保系統(tǒng)可以在中斷后快速和有效的恢復(fù)計劃維護(hù)，有規(guī)律地更新適應(yīng)系統(tǒng)發(fā)展制定災(zāi)難備份計劃，以及啟動方式安全事件管理程序應(yīng)明確安全事件管理責(zé)任，制定相關(guān)程序，應(yīng)考慮哪些要求：（）制定處理預(yù)案分析原因處理過程控制總結(jié)吸取教訓(xùn)對設(shè)備和系統(tǒng)的備份與冗余，不同安全等級應(yīng)有選擇地滿足不同要求，下列屬于這類要求的是：（）設(shè)備資源備份要求設(shè)備備份要求系統(tǒng)熱備份與冗余要求系統(tǒng)遠(yuǎn)地備份要求對數(shù)據(jù)備份和恢復(fù)，不同安全等級應(yīng)有選擇地滿足不同要求，下列屬于這類要求的是:（）數(shù)據(jù)備份的內(nèi)容和周期要求備份介質(zhì)及其恢復(fù)的檢查要求備份和恢復(fù)措施的強(qiáng)化管理關(guān)鍵備份和恢復(fù)的操作過程監(jiān)督安全機(jī)制整合的主要工作方式包括：（）自動處理人工干預(yù)處理遠(yuǎn)程處理輔助決策分析處理記錄和事后處理對應(yīng)用系統(tǒng)安全管理，不同安全等級應(yīng)有選擇地滿足不同要求，下列屬于這類要求的是：（）應(yīng)用系統(tǒng)安全管理基本要求基于標(biāo)記的應(yīng)用系統(tǒng)安全管理基于強(qiáng)制的應(yīng)用系統(tǒng)安全管理基于?？氐膽?yīng)用系統(tǒng)安全管理可用性的定義為：（）按確定的規(guī)則，對實體之間的訪問活動進(jìn)行控制的安全機(jī)制，能防止對資源的未授權(quán)使用按確定規(guī)則的要求，對與安全相關(guān)的事件進(jìn)行審計，以日志方式記錄必要信息，并作出相應(yīng)處理的安全機(jī)制表征資源價值或重要性的特性，也可能包含這一資源的脆弱性表征數(shù)據(jù)或系統(tǒng)根據(jù)授權(quán)實體的請求可被訪問與使用程度的安全屬性第二部分：信息安全等級保護(hù)知識（50分）（注意：以下題目為不定項選擇題，每題分值2%,將答案填寫到答題卡上，成績以答題卡為準(zhǔn)）1?對于殘余風(fēng)險，機(jī)構(gòu)應(yīng)該（）確保殘余風(fēng)險降到最低對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇適當(dāng)?shù)目刂拼胧┖?，對殘余風(fēng)險進(jìn)行再評價C?不斷調(diào)整或增加控制措施以減低殘余風(fēng)險描述殘余風(fēng)險都是不可接受的必要時可接受殘余風(fēng)險描述2?整體風(fēng)險評估關(guān)注的焦點主要集中在（）檢查與安全相關(guān)的機(jī)構(gòu)實踐，標(biāo)識當(dāng)前安全實踐的優(yōu)點和弱點包括對系統(tǒng)進(jìn)行技術(shù)分析、對政策進(jìn)行評審，以及對物理安全進(jìn)行審查使用軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點E?幫助決策制定者綜合平衡風(fēng)險以選擇成本效益對策3?關(guān)于定性評估和定量評估以下表述正確的是（）在定性評估時并不使用具體的數(shù)據(jù)，而是指定期望值定量風(fēng)險分析方法要求特別關(guān)注資產(chǎn)的價值和威脅的量化數(shù)據(jù)c?定量分析方法是最廣泛使用的風(fēng)險分析方式定量分析方法存在一個問題，就是數(shù)據(jù)的不可靠和不精確定性分析中風(fēng)險的等級就是風(fēng)險值，應(yīng)賦予明確的含義4.關(guān)于CORAS工程，下列表述正確的是（）該工程指在開發(fā)一個基于面向?qū)ο蠼＜夹g(shù)的風(fēng)險評估框架該工程特別指出使用UML建模技術(shù)CORAS是同用的，并不為風(fēng)險評估提供方法學(xué)CORAS開發(fā)了具體的技術(shù)規(guī)范來進(jìn)行安全風(fēng)險評估CC準(zhǔn)則和CORAS方法都使用了半形式化和形式化規(guī)范5?關(guān)于故障樹分析方法下列正確的是（）A.故障樹分析是一種top-down方法B?故障樹分析方法可以分為定性和定量兩種方式故障樹的定量分析就是通過求故障樹的最小割集，得到頂事件的全部故障模式D?故障樹方法主要用于分析大型復(fù)雜系統(tǒng)的可靠性及安全性E?不管是故障樹的定性還是定量分析方式，首先都需要建造故障樹6?概率風(fēng)險評估（PRA）和動態(tài)風(fēng)險概率評估（DPRA）的主要分析步驟包括（）識別系統(tǒng)中存在的事件，找出風(fēng)險源B?對各風(fēng)險源考察其在系統(tǒng)安全中的地位，及相互邏輯關(guān)系，給出系統(tǒng)的風(fēng)險源樹標(biāo)識各風(fēng)險源后果大小及風(fēng)險概率D?對風(fēng)險源通過邏輯及數(shù)學(xué)方法進(jìn)行組合，最后得到系統(tǒng)風(fēng)險的度量分析風(fēng)險模式的危害度7?下列對風(fēng)險分析方法屬于定性分析方法的有（）事件樹分析（ETA）風(fēng)險評審技術(shù)德爾斐法動態(tài)概率風(fēng)險評估（DPRA）風(fēng)險模式影響及危害性分析（RMECA）&AHP方法的基本步驟包括（）A?系統(tǒng)分解，建立層次結(jié)構(gòu)模型B?識別系統(tǒng)中存在的事件，找出風(fēng)險源構(gòu)造判斷矩陣通過單層次計算進(jìn)行安全性判斷層次總排序，完成綜合判斷9?信息安全基本屬性不包括（）機(jī)密性可用性封裝性完整性10?項目規(guī)劃階段所涉及的安全需求包括（）明確安全總體方針明確項目范圍C?提交明確的安全需求文檔對實現(xiàn)的可能性進(jìn)行充分分析、論證11?對安全總體方針文檔的內(nèi)容應(yīng)審查的方面包括（）A?是否已經(jīng)制定并發(fā)布了能夠反映機(jī)構(gòu)安全管理意圖的信息安全文件風(fēng)險管理過程的執(zhí)行是否有機(jī)構(gòu)保障是否有專人按照特定的過程定期進(jìn)行反復(fù)與評審風(fēng)險管理的范圍是否明確12?設(shè)計階段的主要需求不包括（）對用以實現(xiàn)安全系統(tǒng)的各類技術(shù)進(jìn)行有效性評估B?對用于實施方案的產(chǎn)品需滿足安全保護(hù)等級的要求C?確保采購的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求D?對自開發(fā)的軟件要在設(shè)計階段就充分考慮安全風(fēng)險13?為管理安全技術(shù)選擇過程中可能引入的安全風(fēng)險，機(jī)構(gòu)需要采取的措施有（）參考現(xiàn)有國內(nèi)外安全標(biāo)準(zhǔn)B?參考過內(nèi)外公認(rèn)安全實踐參考行業(yè)標(biāo)準(zhǔn)專家委員會決策14?實施階段的風(fēng)險管理過程與活動包括（）檢查與配置B?安全測試人員培訓(xùn)授權(quán)系統(tǒng)運行15?運行維護(hù)階段的安全需求包括（）A?在信息系統(tǒng)未發(fā)生更改的情況下，維持系統(tǒng)正常運行，進(jìn)行日常的安全操作及安全管理在信息系統(tǒng)及其運行環(huán)境發(fā)生變化的情況，進(jìn)行風(fēng)險評估并針對風(fēng)險制定控制措施C?定期進(jìn)行風(fēng)險再評估工作，維持系統(tǒng)的持續(xù)安全D.定期進(jìn)行信息系統(tǒng)的重新審批工作，確保系統(tǒng)授權(quán)的時間有效性16運行維護(hù)階段的風(fēng)險管理活動包括（）A?安全運行和管理B?變更管理風(fēng)險再評估定期重新審批17.廢棄階段的信息安全風(fēng)險管理主要活動和內(nèi)容包括（）確定廢棄對象廢棄對象的風(fēng)險分析廢棄過程的風(fēng)險控制廢棄后的評審溝通與咨詢包括（）與決策層溝通，以得到他們的理解和批準(zhǔn)B?與管理層和執(zhí)行層溝通，以得到他們的理解和協(xié)作與支持層溝通，以得到他們的了解和支持與用戶層溝通，以得到他們的了解和配合為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高他們的安全意識、知識和技能以下關(guān)于溝通與咨詢方式的表述正確的是（）溝通與咨詢的雙方角色不同，所采取的方式有所不同表態(tài)適用于管理層對支持層和管理層對用戶層指導(dǎo)和檢查指機(jī)構(gòu)上級對下級工作的指導(dǎo)和檢查，用以保證工作質(zhì)量和效率宣傳和介紹適用于決策層對支持層和執(zhí)行層對支持層20?監(jiān)控與審查包括（）監(jiān)控過程有效性，包括流程是否完整和有效地被執(zhí)行B?監(jiān)控成本有效性，包括執(zhí)行成本與所得效果相比是否合理C?審查結(jié)果有效性，包括輸出結(jié)果是否因信息系統(tǒng)自身或環(huán)境的變化而過時D.監(jiān)控與審查的過程應(yīng)貫穿于信息安全風(fēng)險管理的對象確立、風(fēng)險分析、風(fēng)險控制和審核批準(zhǔn)這四個基本步驟21?監(jiān)控與審查過程的輸出文檔主要包括（）《對象確立的監(jiān)控與審查記錄》《風(fēng)險分析的監(jiān)控與審查記錄》《風(fēng)險控制的監(jiān)控與審查記錄》《審核批準(zhǔn)的監(jiān)控與審查記錄》22?審核批準(zhǔn)的過程主要包括的階段是（）審核申請B?審核處理批準(zhǔn)申請批準(zhǔn)處理持續(xù)監(jiān)督23?審核處理階段的工作流程和內(nèi)容包括（）審查審核材料提交審核申請測試審核對象整改審核對象做出審核結(jié)論24?批準(zhǔn)處理階段的輸出文檔包括（）《審核申請書》《審查結(jié)果報告》《批準(zhǔn)申請書》《批準(zhǔn)決定書》25.在下列文檔中，不屬于持續(xù)監(jiān)督階段的輸出文檔是（）《批準(zhǔn)申請書》《審核到期通知書》《審查結(jié)果報告》《批準(zhǔn)到期通知書》《環(huán)境變化因素的描述報告》26?風(fēng)險控制的過程包括哪些階段（）現(xiàn)存風(fēng)險判斷控制目標(biāo)確立風(fēng)險等級評價控制措施選擇控制措施實施27.在下列要素中，屬于PPDRR模型中”Poli部分的風(fēng)險控制需求的有（）系統(tǒng)安全管理守則B?身份認(rèn)證數(shù)據(jù)加密應(yīng)急響應(yīng)計劃網(wǎng)絡(luò)安全管理守則28?控制目標(biāo)確立階段的輸出文檔包括（）《信息系統(tǒng)的分析報告》《風(fēng)險接受等級劃分表》《風(fēng)險控制需求分析報告》《風(fēng)險控制目標(biāo)列表》《風(fēng)險控制實施計劃書》29?對象確立過程包括的階段有（）風(fēng)險管理準(zhǔn)備信息系統(tǒng)調(diào)查信息系統(tǒng)分析信息安全分析風(fēng)險評估30.信息系統(tǒng)調(diào)查階段的工作流程和內(nèi)容包括（）A.調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)

B?調(diào)查信息系統(tǒng)的業(yè)務(wù)特性C?調(diào)查信息系統(tǒng)的管理特性調(diào)查信息系統(tǒng)的技術(shù)特性形成《信息系統(tǒng)的描述報告》31?對象確立過程的輸出文檔包括（）《風(fēng)險管理計劃書》《信息系統(tǒng)的描述報告》《信息系統(tǒng)的分析報告》《信息系統(tǒng)的安全要求報告》《風(fēng)險分析報告》下列要素屬于信息載體的有（）A.存儲介質(zhì)B?通信介質(zhì)國家法律系統(tǒng)軟件E?網(wǎng)絡(luò)協(xié)議及其軟件下列要素屬于信息環(huán)境的有（）數(shù)據(jù)庫系統(tǒng)抗電磁干擾設(shè)施行政法規(guī)組織機(jī)構(gòu)通信協(xié)議及其軟件34?目前的漏洞掃描工具主要可分為的類型有（）A?基于網(wǎng)絡(luò)的掃描器B?基于主機(jī)的掃描器C.戰(zhàn)爭撥號器（wardiale）D?數(shù)據(jù)庫漏洞掃描E.分布式網(wǎng)絡(luò)掃描器35信息的安全屬性包括（）保密性完整性可用性可控性不可否認(rèn)性36.信息安全保護(hù)對象中信息載體包括（）A.物理平臺資源平臺C.系統(tǒng)平臺D.