信息安全練習(xí)題

注冊信息安全專業(yè)人員考試（B）（時間：120分鐘 數(shù)量：100題 題型：單選題，將正確答案填寫在表格中）姓名 單位名稱 得分 題號答案題號答案題號答案題號答案題號答案121416181222426282323436383424446484525456585626466686727476787828486888929496989103050709011315171911232527292133353739314345474941535557595163656769617375777971838587898193959799920406080100階段說法不正確的是：2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動20037（27號文“積極防御、綜合防范“的國家信息安全保障方針200327號文件的發(fā)布標(biāo)志著我國信息安全保障進入深化落實階段了新進展。答案：C解釋：2006年進入到深化落實階段。金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習(xí)慣：A使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟件進行升級B為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)答案：A解釋：A為正確答案。內(nèi)容說法不正確的是：建全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新答案：C解釋：實現(xiàn)自主創(chuàng)新在過去的的保障中為自主可控。考慮的主要因素信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險答案：C解釋：無法消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險。估，以下關(guān)于信息安全測評說法不正確的是：信息產(chǎn)品安全評估是測評機構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安全的信任目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型和評價。程度，提出游針對性的安全防護策略和整改措施答案：B解釋：測評包括風(fēng)險評估、保障測評和等級保護測評。美國的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure,CII）包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和安全，其主要原因不包括：這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠(yuǎn)這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出答案：C解釋：從題目中不能反映C的結(jié)論。在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：要充分切合信息安全需求并且實際可行要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本D.要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙答案：C解釋：設(shè)計信息系統(tǒng)安全保障方案應(yīng)采用合適的技術(shù)。分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）分組密碼算法要求輸入明文按組分成固定長度的塊分組密碼的算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱作序列密碼算法D.常見的DES、IDEA算法都屬于分組密碼算法答案：C解釋：分組密碼算法和序列算法是兩種算法。下面描述中，錯誤的是（）在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行。根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。答案：A解釋：密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟必須要明確處理方式。A.配置MD5安全算法可以提供可靠的數(shù)據(jù)加密配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證IPsecVPNIPIPIPsec安全關(guān)聯(lián)（SecurityAuthentication,SA）資源的消耗（AuthenticationHeader,AH）可以提供數(shù)據(jù)機密性答案：CAES提供的保密性；D錯誤，AH協(xié)議提供完整性、驗證及抗重放攻擊。釋是（）Special-purpose.特定、專用用途的B.Proprietary專有的、專賣的C.Private私有的、專有的D.Specific特種的、具體的答案：C解釋：C為正確答案。以下WindowsSAM（SecurityAccountsManager）的說法哪個是正確的：A.存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性administrator賬戶才有權(quán)訪問，具有較高的安全性存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性答案：D解釋：D為正確答案。某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應(yīng)當(dāng)購買并部署下面哪個設(shè)備（）安全路由器網(wǎng)絡(luò)審計系統(tǒng)C.網(wǎng)頁防篡改系統(tǒng)D.虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）系統(tǒng)答案：CWEB篡改。關(guān)于惡意代碼，以下說法錯誤的是：從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。C.不感染的依附性惡意代碼無法單獨執(zhí)行為了對目標(biāo)系統(tǒng)實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件答案：BWindows平臺、Linux平臺、工業(yè)控制系統(tǒng)等。種攻擊類型最可能屬于下面什么攻擊（。跨站腳本（CrossSiteScripting，XSS）攻擊B.TCP會話劫持（TCPHijack）攻擊C.IP欺騙攻擊D.拒絕服務(wù)（DenialofService，DoS）攻擊答案：D解釋：答案為D。項中，哪個與應(yīng)用軟件漏洞成因無關(guān)：B.開發(fā)人員對信息安全知識掌握不足相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D.應(yīng)用軟件的功能越來越多，軟件越來越復(fù)雜，更容易出現(xiàn)漏洞答案：C解釋：無論高級和低級語言都存在漏洞。下面哪個模型和軟件安全開發(fā)無關(guān)（）？微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”（SoftwareAssuranceMaturityMode,SAMM）”答案：D解釋：D與軟件安全開發(fā)無關(guān)，ABC均是軟件安全開發(fā)模型。某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例C.監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析答案：D解釋：A錯誤，模糊測試是模擬異常輸入；B錯誤，入口與邊界點是測試對象；C模糊測試記錄和檢測異常運行情況。以下關(guān)于模糊測試過程的說法正確的是：模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進行現(xiàn)場保護記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進行后續(xù)的測試通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性、影響范圍和修復(fù)建議答案：C解釋：C為模糊測試的涵義解釋。關(guān)于WI-FIWPAWPA2的區(qū)別。下面描述正確的是（）WPA2是使用于全世界的無線局域網(wǎng)協(xié)議案：D解釋：答案為D。防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是既能物理隔離，又能邏輯隔離B.能物理隔離，但不能邏輯隔離C.不能物理隔離，但是能邏輯隔離不能物理隔離，也不能邏輯隔離答案：C解釋：答案為C。從而檢測出入侵行為。下面說法錯誤的是在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運行過程中的異常現(xiàn)象實施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為答案：B（或特征檢測攻擊發(fā)生。S2010臺服務(wù)器、200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器、100個左右IP地址規(guī)劃和分配的方5公司選出設(shè)計最合理的一個:10.0.1.x192.168.2.x---192.168.20.x2—212IP地址隨意確定即可C.10.0.1.x10.0.2.xA類地址段，一個用做服務(wù)器地址段、另外一個做用戶終端地址段D.NATIP地址無需特別規(guī)劃，各機構(gòu)自行決定即可。答案：CCIP地址規(guī)劃的體系化。私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（。A.A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址類地址中沒有私有地址，BC類地址中可以設(shè)置私有地址C.A類、B類和C類地址中都可以設(shè)置私有地址D.A類、B類和C類地址中都沒有私有地址答案：C解釋：答案為C。定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是B.密碼策略對系統(tǒng)中所有的用戶都有效賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D.賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應(yīng)對口令暴力破解攻擊答案：Dadministrator賬戶。windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的：安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.WindowsACL機制需要NTFS文件格式的支持便利,WindowsACL存在默認(rèn)設(shè)置安全性不高的問題據(jù)庫中的D.由于ACL具有很好靈活性，在實際使用中可以為每一個文件設(shè)定獨立擁護的權(quán)限答案：C的件和文件夾屬性數(shù)據(jù)庫中。下賬戶鎖定策略如下：賬戶鎖定閥值3次無效登陸；10分鐘；復(fù)位賬戶鎖定計數(shù)器5分鐘；以下關(guān)于以上策略設(shè)置后的說法哪個是正確的設(shè)置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住錄系統(tǒng)法登錄系統(tǒng)310分鐘，而正常擁護登陸不受影響答案：BB5310分鐘。加密文件系統(tǒng)（EncryptingFileSystemEFS）是Windows操作系統(tǒng)的一個組件，以下說法錯誤的是（）采用加密算法實現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數(shù)據(jù)B.EFS以公鑰加密為基礎(chǔ)，并利用了widowsCryptoAPI體系結(jié)構(gòu)NTFS文件系統(tǒng)合FAT32文件系統(tǒng)（Windows環(huán)境下）windows時進行的答案：C關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復(fù)數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進行介質(zhì)故障恢復(fù)計算機系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交答案：D解釋：利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為回滾。略理解不正確的是：最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分答案：B解釋：數(shù)據(jù)庫安全策略應(yīng)為最小共享。數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C.互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B解釋：答案為B。以下關(guān)于SMTPPOP3協(xié)議的說法哪個是錯誤的A.SMTP和POP3ASCII編碼的請求/響應(yīng)模式的協(xié)議POP3協(xié)議銘文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D.SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠(yuǎn)程管理郵件答案：DC/S客戶端實現(xiàn)郵件的遠(yuǎn)程管理。安全多用途互聯(lián)網(wǎng)郵件擴展(SecureMultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（）A.S/MIME采用了非對稱密碼學(xué)機制B.S/MIME支持?jǐn)?shù)字證書C.S/MIME采用了郵件防火墻技術(shù)支持用戶身份認(rèn)證和郵件加密答案：C解釋：S/MIME是郵件安全協(xié)議，不是防火墻技術(shù)。應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是（）B.安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問C.剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D.機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等答案：D解釋：機房與設(shè)施安全屬于物理安全，不屬于應(yīng)用安全。ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ（簡稱Ａｐａｃｈｅ）是一個開放源碼的ＷＥＢ服務(wù)運行平臺，在使用過措施（）安裝后，修改訪問控制配置文件d．Conf中的有關(guān)參數(shù)安裝后，刪除ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ源碼從正確的官方網(wǎng)站下載ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ，并安裝使用答案：B解釋：答案為B。下面信息安全漏洞理解錯誤的是：討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟損失答案：B解釋：安全漏洞可以有意產(chǎn)生，也會無意產(chǎn)生。“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）指一個特定的漏洞，該漏洞每年１月１日零點發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機權(quán)限指一個特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞答案：D解釋：D是零日漏洞的解釋。很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下淚說法哪個是正確的B.事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C.單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請郵件服務(wù)軟件答案：C解釋：該題目考點為信息安全措施的操作安全，要求一切操作均有流程。應(yīng)對措施：B.刪除服務(wù)器上的ｐｉｎｇ．ｅｘｅ程序C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊答案：A解釋：A是應(yīng)對措施。下面四款安全測試軟件中，主要用于ＷＥＢ安全掃描的是（）ＣＩｓｃｏＡｕｄｉｔｉｎｇＴｏｏｌｓＡｃｕｎｅｔｉｘＷｅｂＶｕｌｎｅｒａｂｉｌｉｔｙＳｃａｎｎｅｒＮＭＡＰＩＳＳＤａｔａｂａｓｅＳｃａｎｎｅｒ答案：BWEB掃描工具。的設(shè)計方案評審會上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請指出大家提的建議中不太合適的一條：對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題要求軟件開發(fā)人員進行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識要求軟件開發(fā)商使用Ｊａｖａ而不是ＡＳＰ作為開發(fā)語言，避免ＳＱＬ注入漏洞答案：C解釋：SQL注入與編碼SQL語法應(yīng)用和過濾有關(guān)，與開發(fā)語言不是必然關(guān)系。治理，主要是管理軟件開發(fā)的過程和活動C.驗證，主要是測試和驗證軟件的過程和活動購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動答案：D解釋：ＳＡＭＭ包括治理、構(gòu)造、驗證、部署。正確的是（）以上的安全問題應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復(fù)所花的代價少的多。和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點是增加了一個抓們的安全編碼階段軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試答案：B解釋：正確答案為B。下面有關(guān)軟件安全問題的描述中，哪項是由于軟件設(shè)計缺陷引起的（）Ｗｅｂ架構(gòu)，但是軟件存在ＳＱＬ注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B.使用Ｃ語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C.設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D.使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C解釋：答案為C。假設(shè)某個軟件共有２９．６萬行源代碼，總共被檢測出１４５個缺陷，則可以計算出其軟件缺陷密度值是A.０．０００４９B.０．０４９C.０．４９D.４９答案：C145/(29.5*10)=0.49。根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施？由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進行分析為配合總部的安全策略，會帶來一定安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險C.日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置前置機不記錄日志只允許特定ＩＰ地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間答案：D解釋：D的特定ＩＰ地址從前置機提取降低了開放日志共享的攻擊面。攻擊的威脅，以下哪個不是需求考慮的攻擊方式攻擊者利用軟件存在的邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運算進入死循環(huán)，ＣＰＵ資源占用始終１００％B.攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時會導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問攻擊者買通ＩＤＣ人員，將某軟件運行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問答案：D解釋：D為社會工程學(xué)攻擊。SASQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP.cmctstell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：B.最小特權(quán)原則保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則答案：B解釋：SA是數(shù)據(jù)庫最大用戶權(quán)限，違反了最小特權(quán)原則。微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關(guān)于此項安全要求，下面描述錯誤的是（）“我沒有下載過數(shù)據(jù)”R威脅R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強認(rèn)證、數(shù)字簽名、安全審計等技術(shù)措施C.R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比DE威脅的嚴(yán)重程度更高D.解決R威脅，也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行答案：C6種威脅的簡稱，無嚴(yán)重程度之分。S-欺騙，T-篡改，R-抵賴，I-信息泄露，D-拒絕服務(wù)，E-權(quán)限提升（攻擊。關(guān)于信息安全管理，下面理解片面的是（）B.信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)D.堅持管理與技術(shù)并重的原則，是我國加強信息安全保障工作的主要原則之一答案：C解釋：C是片面的，應(yīng)為技管并重。信息和信息系統(tǒng)安全建設(shè)的整體水平，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全（）信息安全管理體系（ISMS） 息安全等級保護C.NISTSP800 D.ISO270000系統(tǒng)答案：B解釋：信息安全等級保護制度重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（1背景（2）背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果(3)背景建立包括：風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括：風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告、請問小明的論點中錯誤的是哪項：第一個觀點 B.第二個觀點 C.第三個觀點 四個觀點答案：B解釋：背景建立是根據(jù)政策、法律、標(biāo)準(zhǔn)、業(yè)務(wù)、系統(tǒng)、組織等現(xiàn)狀來開展。措施（）減少威脅源，采用法律的手段制裁計算機的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機簽訂外包服務(wù)合同，將有計算難點，存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力答案：B解釋：B屬于轉(zhuǎn)移風(fēng)險。關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是：資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進行評估答案：D解釋：安全措施既包括技術(shù)層面，也包括管理層面。估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估C.檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點答案：B解釋：檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（）A,《風(fēng)險評估方案》 B.《需要保護的資產(chǎn)清單》C.《風(fēng)險計算報告》 D.《風(fēng)險程度等級列表》答案：B解釋：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。理者應(yīng)有職責(zé)的是（）制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計劃得以制定，目標(biāo)應(yīng)明確、可度量，計劃應(yīng)具體、可事實C.向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性D.建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評估過程、確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確答案：D解釋：D不屬于管理者的職責(zé)。信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關(guān)于這兩者，下面描述的錯誤是內(nèi)部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應(yīng)當(dāng)按照一定的周期實施內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)ISMS文件等，在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用，但在管理評審總，這些文件時被審對象答案：C解釋：管理評審的實施主體由用戶的管理者來進行選擇。（）A.風(fēng)險處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險清單，并獲得管理層對殘余風(fēng)險的書面批準(zhǔn)，這也是風(fēng)險管理中的一個重要過程管理層確認(rèn)接收殘余風(fēng)險，是對風(fēng)險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險，并理解在風(fēng)險一旦變?yōu)楝F(xiàn)實后，組織能夠且承擔(dān)引發(fā)的后果接收殘余風(fēng)險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術(shù)等因素的限制如果殘余風(fēng)險沒有降低到可接受的級別，則只能被動的選擇接受風(fēng)險，即對風(fēng)險不進行下一步的處理措施，接受風(fēng)險可能帶來的結(jié)果。答案：D解釋：如果殘余風(fēng)險沒有降低到可接受的級別，則會被動的選擇接受殘余風(fēng)險，但需要對殘余風(fēng)險進行進一步的關(guān)注、監(jiān)測和跟蹤。（BCP）以下說法最恰當(dāng)?shù)氖牵築.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程。C.組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個控制過程D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險建立的一個控制過程答案：B（BCP）是解決關(guān)鍵業(yè)務(wù)不中斷。在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修階段（）準(zhǔn)備階段 B.檢測階段 C.遏制階段 除階段答案：D解釋：消除或阻斷攻擊源等措施為根除階段。關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施6個階段C.對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面。4（I級（II級、較大事件（III級）和一般事件（IV級）答案：B解釋：應(yīng)急響應(yīng)包括六個階段，為準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)。信息進行劃分，不屬于正確劃分級別的是：特別重要信息系統(tǒng) B.重要信息系統(tǒng) C.一般信息系統(tǒng) 關(guān)鍵信息系統(tǒng)答案：D解釋：我國標(biāo)準(zhǔn)中未定義關(guān)鍵信息系統(tǒng)。項是（）00C.RTO0，但RPO可以為0答案：A0。正確的是：B.在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C.工程規(guī)劃不符合信息安全工程的基本原則招標(biāo)文件經(jīng)營管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解釋：題目描述不符合信息安全工程的“同步規(guī)劃、同步實施”的基本原則。對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯誤的是：B.系統(tǒng)工程不屬于技術(shù)實現(xiàn)，而是一種方法論C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實驗、使用的科學(xué)方法答案：C解釋：系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法霍爾三維機構(gòu)體系形成地描述了系統(tǒng)工程研究的框架時間維表示系統(tǒng)工程活動從開始到結(jié)束按照時間順序排列的全過程邏輯維的七個步驟與時間維的七個階段嚴(yán)格對應(yīng)，即時間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動答案：C解釋：霍爾三維模型是一種系統(tǒng)思想，無法實現(xiàn)嚴(yán)格的對應(yīng)。北京某公司利用SSE-CMM對其自身工程隊伍能力進行自我改善，其理解正確的是：6該過程域的過程能力為0級最高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行結(jié)果質(zhì)量必須相同。（SSE-CMM）3個風(fēng)險過程：評價威脅，評價脆弱性，評價影響。強調(diào)系統(tǒng)安全工程與其他工程科學(xué)的區(qū)別和獨立性。答案：A解釋：A當(dāng)工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級BC評估脆弱性、評估安全風(fēng)險。D錯誤，SSE-CMM強調(diào)的是關(guān)聯(lián)性而非獨立性。以下哪一項不是信息系統(tǒng)集成項目的特點：信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。C.信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實施”。信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程答案：B解釋：系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術(shù)。是：通用布纜系統(tǒng)工程 B.電子設(shè)備機房系統(tǒng)工程C.計算機網(wǎng)絡(luò)系統(tǒng)工程 D.以上都適用答案：D解釋：答案為D。以下關(guān)于信息安全工程說法正確的是：信息化建設(shè)中系統(tǒng)功能的實現(xiàn)是最重要的信息化建設(shè)可以實施系統(tǒng)，而后對系統(tǒng)進行安全加固D.信息化建設(shè)沒有必要涉及信息安全建設(shè)答案：C解釋：C為安全工程的同步規(guī)劃、同步實施原則。有關(guān)系統(tǒng)安全工程能力成熟度模型（-m）中的基本實施（ePrtis，，正確的理解是：A.BP是基于最新技術(shù)而制定的安全參數(shù)基本配置BP是沒有進過測試的BP適用于組織的生存周期而非僅適用于工程的某一特定階段一項BPBP有重疊答案：C解釋：ABP是基于工程實踐總結(jié)的工程單元。BBP是經(jīng)過測試和實踐驗證的。CBP適DBPBP重疊。有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：A.GP是涉及過程的管理、測量和制度化方面的活動PA的活動C.在工程實施時，GP應(yīng)該作為基本實施（BasePractices，BP）的一部分加以執(zhí)行D.在評估時，GP用于判定工程組織執(zhí)行某個PA的能力答案：B解釋：GP適用于域維中所有PA活動。在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對一個組織的安全工程能力成熟度進行測量時，有關(guān)測量結(jié)果，錯誤的理解是：如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達(dá)到此級如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個公共特征，則3級“充分定義級”（Prosrs)4（ePrtisPA3P，0答案：B“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”B答案中只描述了兩個公共特征。系統(tǒng)安全工程-能力成熟度模型(SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風(fēng)險的基本過程領(lǐng)域是：風(fēng)險過程 B.工程過程 C.保證過程 評估過程答案：A解釋：風(fēng)險過程包括評估影響、評估威脅、評估脆弱性和評估安全風(fēng)險。.以下行為不屬于違反國家涉密規(guī)定的行為：B.通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C.在私人交往中涉及國家秘密以不正當(dāng)手段獲取商業(yè)秘密答案：D解釋：D為商業(yè)秘密，不屬于涉密規(guī)定的行為。具有行政法律責(zé)任強制的安全管理規(guī)定和安全制度包括1>安全事件（包括安全事故）報告制度2>安全等級保護制度3>信息系統(tǒng)安全監(jiān)控4>安全專用產(chǎn)品銷售許可證制度A.1，2，4 B.2，3 C.2，3,4 D.1，2,3答案：A解釋：1\2\4均為管理規(guī)定和安全制度。信息系統(tǒng)建設(shè)完成后（使用二級以上 B.三級以上 C.四級以上D.五級以上答案：BB，三級以上默認(rèn)包括本級。2015年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并與7月6日起在網(wǎng)上全文公布，向社會公開征求意見，這部法律草案是（）（草案》B.《中華人民共和國網(wǎng)絡(luò)安全法（草案》C.《中華人民共和國國家安全法（草案》D.《中華人民共和國互聯(lián)網(wǎng)安全法（草案》答案：B解釋：答案為B。4(公通字[2004]66號)，對等級保護工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責(zé)分工等，關(guān)于該文件，下面理解正確的是該文件時一個由部委發(fā)布的政策性文件，不屬于法律文件2005年及之后的工作該文件時一個總體性知道文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件使用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位答案：A解釋：答案為A。CC標(biāo)準(zhǔn)的先進性？A.結(jié)構(gòu)開放性，即功能和保證要求可以“保護輪廓”和“安全目標(biāo)”中進行一步細(xì)化和擴展B.表達(dá)方式的通用性，即給出通用的表達(dá)方式C.獨立性，它強調(diào)將安全的功能和保證分離D.實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中答案：CCC的先進性。對于數(shù)字證書而言，一般采用的是哪個標(biāo)準(zhǔn)？A.ISO/IEC1540B B.802.11 C.GB/T20984 D.X.509答案：D解釋：答案為D。（TCSEC）中，下列哪一項是滿足強制保護要求的最低級別？A.C2 B.C1 C.B2 D.B1答案：DB1。關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（）標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn)，同樣是強制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)。當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制度，冰報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管培訓(xùn)部門備案，在公布國家標(biāo)準(zhǔn)后，該地方標(biāo)準(zhǔn)即應(yīng)廢止。答案：B解釋：當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401IPsecIP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個組織發(fā)布的（）國際標(biāo)準(zhǔn)化組織 B.國際電工委員會C.國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織 工程任務(wù)組答案：D解釋：D為正確答案。關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)（ISO/IEC27001:2013）而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標(biāo)準(zhǔn)的關(guān)系是：)，此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B.EQV(等效采用)，此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn).E（非等效采用，此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較答案：D27001:2013GB/T22080-2008是兩個不同的版本。GB/T18336<<信息技術(shù)安全性評估準(zhǔn)則>>（CC）是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護輪廓（ProtectionEAL）,其評估保證級共分為（）個遞增的評估保證等級A.4 B.5 C.6 D.7答案：DEAL1-EAL7級。信息安全工程監(jiān)理的職責(zé)包括：B.質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)確定安全要求、認(rèn)可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D.確定安全要求、認(rèn)可設(shè)計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)答案：A解