CISP試題及答案-三套題

.?????人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:A.為了更好地完成組織機(jī)構(gòu)的使命B.針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C.風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展口除了保密性，信息的完整性和可用性也引起人們的關(guān)注.?????信息安全保障的最終目標(biāo)是:A.掌握系統(tǒng)的風(fēng)險(xiǎn)，制定正確的策略B.確保系統(tǒng)的保密性、完整性和可用性C.使系統(tǒng)的技術(shù)、管理、工程過(guò)程和人員等安全保障要素達(dá)到要求D.保障信息系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命.?????關(guān)于信息保障技術(shù)框架（IATF），下列哪種說(shuō)法是錯(cuò)誤的？IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；IATF強(qiáng)調(diào)深度防御（Defense-in-Depth），即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來(lái)保障信息系統(tǒng)的安全；IATF強(qiáng)調(diào)的是以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來(lái)提高網(wǎng)絡(luò)安全.?????依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（55?。┦菑男畔⑾到y(tǒng)安全保障—的角度來(lái)描述的信息系統(tǒng)安全保障方案。A.建設(shè)者B.所有者C.評(píng)估者D.制定者.?????以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法錯(cuò)誤的是：A.通過(guò)在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿(mǎn)足其安全保障目標(biāo)的信心。B.信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全C.是一種通過(guò)客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng)D.是主觀和客觀綜合評(píng)估的結(jié)果；.?????信息系統(tǒng)保護(hù)輪廓（ISPP）定義了.A.????某種類(lèi)型信息系統(tǒng)的與實(shí)現(xiàn)無(wú)關(guān)的一組系統(tǒng)級(jí)安全保障要求B.????某種類(lèi)型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障要求C.????某種類(lèi)型信息系統(tǒng)的與實(shí)現(xiàn)無(wú)關(guān)的一組系統(tǒng)級(jí)安全保障目的D.????某種類(lèi)型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障目的.?????以下對(duì)PPDR模型的解釋錯(cuò)誤的是：該模型提出以安全策略為核心，防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的，該模型的一個(gè)重要貢獻(xiàn)是加進(jìn)了時(shí)間因素，而且對(duì)如何實(shí)現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述C.該模型提出的公式1：Pt>Dt+Rt,代表防護(hù)時(shí)間大于檢測(cè)時(shí)間加響應(yīng)時(shí)間D.該模型提出的公式1：Pt=Dt+Rt,代表防護(hù)時(shí)間為0時(shí)，系統(tǒng)檢測(cè)時(shí)間等于檢測(cè)時(shí)間加響應(yīng)時(shí)間.?????以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)作內(nèi)容之一？提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率保證信息安全資金投入&加快信息安全人才培養(yǎng)D．重視信息安全應(yīng)急處理工作.?????誰(shuí)首先提出了擴(kuò)散－混淆的概念并應(yīng)用于密碼學(xué)領(lǐng)域？A.????香農(nóng)B.????ShamirC.????HellmanD.????圖靈.??以下哪些問(wèn)題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問(wèn)題？A．大整數(shù)分解B．離散對(duì)數(shù)問(wèn)題C．背包問(wèn)題D．偽隨機(jī)數(shù)發(fā)生器11.??下列關(guān)于kerckhofff準(zhǔn)則的合理性闡述中，哪一項(xiàng)是正確的？A.????保持算法的秘密比保持密鑰的秘密性要困難得多B.????密鑰一旦泄漏，也可以方便地更換C.????在一個(gè)密碼系統(tǒng)中，密碼算法是可以公開(kāi)的，密鑰應(yīng)保證安全D.????公開(kāi)的算法能夠經(jīng)過(guò)更嚴(yán)格的安全性分析12.??以下關(guān)于RSA算法的說(shuō)法，正確的是：A.????RSA不能用于數(shù)據(jù)加密B.????RSA只能用于數(shù)字簽名C.????RSA只能用于密鑰交換D.????RSA可用于加密，數(shù)字簽名和密鑰交換體制13.??Hash算法的碰撞是指：A.????兩個(gè)不同的消息，得到相同的消息摘要B.????兩個(gè)相同的消息，得到不同的消息摘要C.????消息摘要和消息的長(zhǎng)度相同D.????消息摘要比消息的長(zhǎng)度更長(zhǎng)14.??下列哪種算法通常不被用于保證機(jī)密性？A.????AESB.????RC4C.????RSAD.????MD515.??數(shù)字證書(shū)的功能不包括：A.????加密B.????數(shù)字簽名C.????身份認(rèn)證D.????消息摘要16.??下列哪一項(xiàng)是注冊(cè)機(jī)構(gòu)（RA）的職責(zé)？A．證書(shū)發(fā)放B．證書(shū)注銷(xiāo)C．提供目錄服務(wù)讓用戶(hù)查詢(xún)D．審核申請(qǐng)人信息17.??IPsec工作模式分別是：A.????一種工作模式：加密模式B.????三種工作模式：機(jī)密模式、傳輸模式、認(rèn)證模式C.????兩種工作模式：隧道模式、傳輸模式D.????兩種工作模式：隧道模式、加密模式18.??下列哪些描述同SSL相關(guān)？A.????公鑰使用戶(hù)可以交換會(huì)話(huà)密鑰，解密會(huì)話(huà)密鑰并驗(yàn)證數(shù)字簽名的真實(shí)性B.????公鑰使用戶(hù)可以交換會(huì)話(huà)密鑰，驗(yàn)證數(shù)字簽名的真實(shí)性以及加密數(shù)據(jù)C.????私鑰使用戶(hù)可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會(huì)話(huà)密鑰。.??下列關(guān)于IKE描述不正確的是：IKE可以為IPsec協(xié)商關(guān)聯(lián)IKE可以為RIPV2\OSPPV2等要求保密的協(xié)議協(xié)商安全參數(shù)IKE可以為L(zhǎng)2TP協(xié)商安全關(guān)聯(lián)IKE可以為SNMPv3等要求保密的協(xié)議協(xié)調(diào)安全參數(shù).??下面哪一項(xiàng)不是VPN協(xié)議標(biāo)準(zhǔn)？A.????L2TPB.????IPSecC.????TACACSD.????PPTP.??自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？A.具有較高的安全性B.控制粒度較大C.配置效率不高D.具有較強(qiáng)的靈活性22.??以下關(guān)于ChineseWall模型說(shuō)法正確的是A.????Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取銀行c中的數(shù)據(jù)B.????模型中的有害客體是指會(huì)產(chǎn)生利益沖突，不需要限制的數(shù)據(jù)C.????Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取石油公司u中的數(shù)據(jù)D.????Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由則Bob可以往石油公司u中寫(xiě)數(shù)據(jù).??以下關(guān)于BLP模型規(guī)則說(shuō)法不正確的是：BLP模型主要包括簡(jiǎn)單安全規(guī)則和*-規(guī)則*-規(guī)則可以簡(jiǎn)單表述為下寫(xiě)C.主體可以讀客體，當(dāng)且僅當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限D(zhuǎn).主體可以讀客體，當(dāng)且僅當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限.??以下關(guān)于RBAC模型說(shuō)法正確的是：A.該模型根據(jù)用戶(hù)所擔(dān)任的角色和安全級(jí)來(lái)決定用戶(hù)在系統(tǒng)中的訪問(wèn)權(quán)限B. 一個(gè)用戶(hù)必須扮演并激活某種角色，才能對(duì)一個(gè)象進(jìn)行訪問(wèn)或執(zhí)行某種操作C.在該模型中，每個(gè)用戶(hù)只能有一個(gè)角色D.在該模型中，權(quán)限與用戶(hù)關(guān)聯(lián)，用戶(hù)與角色關(guān)聯(lián).??下列對(duì)常見(jiàn)強(qiáng)制訪問(wèn)控制模型說(shuō)法不正確的是：BLP影響了許多其他訪問(wèn)控制模型的發(fā)展Clark-Wilson模型是一種以事物處理為基本操作的完整性模型ChineseWall模型是一個(gè)只考慮完整性的安全策略模型Biba模型是一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型.??訪問(wèn)控制的主要作用是：A.????防止對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)B.????在安全事件后追查非法訪問(wèn)活動(dòng)C.????防止用戶(hù)否認(rèn)在信息系統(tǒng)中的操作D.????以上都是27.??作為一名信息安全專(zhuān)業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問(wèn)控制策略。由于該公司的人員流動(dòng)較大，你準(zhǔn)備根據(jù)用戶(hù)所屬的組以及在公司中的職責(zé)來(lái)確定對(duì)信息資源的訪問(wèn)權(quán)限，最應(yīng)該采用下列哪一種訪問(wèn)控制模型？A.自主訪問(wèn)控制(DAC)B.強(qiáng)制訪問(wèn)控制(MAC)C.基于角色訪問(wèn)控制(RBAC)D.最小特權(quán)(LEASTPrivilege).??下列對(duì)kerberos協(xié)議特點(diǎn)描述不正確的是：A.????協(xié)議采用單點(diǎn)登錄技術(shù)，無(wú)法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證一B.????協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證C.????只要用戶(hù)拿到了TGT并且TGT沒(méi)有過(guò)期，就可以使用該TGT通過(guò)TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼D.????AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴(lài)于AS和TGS的性能和安全.??以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是：A.單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶(hù)之間的傳遞或共享B.使用單點(diǎn)登錄技術(shù)用戶(hù)只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問(wèn)多個(gè)應(yīng)用C.單點(diǎn)登錄不僅方便用戶(hù)使用，而且也便于管理D.使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā).??下列對(duì)標(biāo)識(shí)和鑒別的作用說(shuō)法不正確的是：A.????它們是數(shù)據(jù)源認(rèn)證的兩個(gè)因素B.????在審計(jì)追蹤記錄時(shí)，它們提供與某一活動(dòng)關(guān)聯(lián)的確知身份C.????標(biāo)識(shí)與鑒別無(wú)法數(shù)據(jù)完整性機(jī)制結(jié)合起來(lái)使用D.????作為一種必要支持，訪問(wèn)控制的執(zhí)行依賴(lài)于標(biāo)識(shí)和鑒別確知的身份.??下面哪一項(xiàng)不屬于集中訪問(wèn)控制管理技術(shù)？RADIUSTEMPESTTACACSDiameter.??安全審計(jì)是系統(tǒng)活動(dòng)和記錄的獨(dú)立檢查和驗(yàn)證，以下哪一項(xiàng)不是審計(jì)系統(tǒng)的作用？A.輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊B.對(duì)與已建立的安全策略的一致性進(jìn)行核查C.及時(shí)阻斷違反安全策略的致性的訪問(wèn)D.幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施.??下列對(duì)蜜網(wǎng)關(guān)鍵技術(shù)描述不正確的是：A.????數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客的所有行為數(shù)據(jù)B.????數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)，使用工具及其意圖C.????通過(guò)數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全D.????通過(guò)數(shù)據(jù)控制、捕獲和分析，能對(duì)活動(dòng)進(jìn)行監(jiān)視、分析和阻止.??以下哪種無(wú)線(xiàn)加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？Wepwpawpa2wapi35.??路由器的標(biāo)準(zhǔn)訪問(wèn)控制列表以什么作為判別條件？A.????數(shù)據(jù)包的大小B.????數(shù)據(jù)包的源地址C.????數(shù)據(jù)包的端口號(hào)D.????數(shù)據(jù)包的目的地址36.??通常在設(shè)計(jì)VLAN時(shí)，以下哪一項(xiàng)不是VIAN規(guī)劃方法？A．基于交換機(jī)端口B．基于網(wǎng)絡(luò)層協(xié)議C.基于MAC地址D．基于數(shù)字證書(shū)37.??防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換（MAT）的主要作用是：A.提供代理服務(wù)B.隱藏內(nèi)部網(wǎng)絡(luò)地址C.進(jìn)行入侵檢測(cè)D.防止病毒入侵38.??哪一類(lèi)防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類(lèi)型）來(lái)控制訪問(wèn)連接的能力?A.包過(guò)濾防火墻B.狀態(tài)檢測(cè)防火墻C.應(yīng)用網(wǎng)關(guān)防火墻D.以上都不能.??以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能？A.監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B.捕捉可疑的網(wǎng)絡(luò)活動(dòng)C.提供安全審計(jì)報(bào)告D.過(guò)濾非法的數(shù)據(jù)包.下面哪一項(xiàng)不是通用IDS模型的組成部分：A.傳感器B.過(guò)濾器C.分析器D.管理器.windows操作系統(tǒng)中，令人欲限制用戶(hù)無(wú)效登錄的次數(shù)，應(yīng)當(dāng)怎么做？A.在”本地安全設(shè)置”中對(duì)”密碼策略”進(jìn)行設(shè)置B.在”本地安全設(shè)置”中對(duì)"用戶(hù)鎖定策略”進(jìn)行設(shè)置C.在”本地安全設(shè)置”中對(duì)"審核策略”進(jìn)行設(shè)置D.在”本地安全設(shè)置”中對(duì)"用戶(hù)權(quán)利措施”進(jìn)行設(shè)置.下列哪一項(xiàng)與數(shù)據(jù)庫(kù)的安全的直接關(guān)系？A.訪問(wèn)控制的程度B.數(shù)據(jù)庫(kù)的大小C.關(guān)系表中屬性的數(shù)量D.關(guān)系表中元組的數(shù)量.ApacheWeb服務(wù)器的配置文件一般位于//local/spache/conf目錄.其中用來(lái)控制用戶(hù)訪問(wèn)Apache目錄的配置文件是：.關(guān)于計(jì)算機(jī)病毒具有的感染能力不正確的是:A.能將自身代碼注入到引導(dǎo)區(qū)B,能將自身代碼注入到限區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼.蠕蟲(chóng)的特性不包括:A.文件寄生B.拒絕服務(wù)C.傳播快D.隱蔽性好46.關(guān)于網(wǎng)頁(yè)中的惡意代碼,下列說(shuō)法錯(cuò)誤的是:A.網(wǎng)頁(yè)中的惡意代碼只能通過(guò)IE瀏覽器發(fā)揮作用B.網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)注冊(cè)表C.網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)文件D.網(wǎng)頁(yè)中的惡意代碼可以竊取用戶(hù)的機(jī)密文件47.當(dāng)用戶(hù)輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢(xún)語(yǔ)句的一部分執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類(lèi)型的漏洞？A.緩沖區(qū)溢出B.設(shè)計(jì)錯(cuò)誤C.信息泄露D.代碼注入48.下列哪一項(xiàng)不是信息安全漏洞的載體？A.網(wǎng)絡(luò)協(xié)議B.操作系統(tǒng)C.應(yīng)用系統(tǒng)D.業(yè)務(wù)數(shù)據(jù).攻擊者使用偽造的SYN包，包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址，這樣被攻擊方會(huì)給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息，創(chuàng)建一個(gè)連接,每一個(gè)這樣的連接都將保持到超時(shí)為止，這樣過(guò)多的空連接會(huì)耗盡被攻擊方的資源，導(dǎo)致拒絕服務(wù).這種攻擊稱(chēng)為之為：A.Land攻擊B.Smurf攻擊C.PingofDeath攻擊D.ICMPFlood.以下哪個(gè)攻擊步驟是IP欺騙(IPSPoof)系列攻擊中最關(guān)鍵和難度最高的？A.對(duì)被冒充的主機(jī)進(jìn)行拒絕服務(wù)，使其無(wú)法對(duì)目標(biāo)主機(jī)進(jìn)行響應(yīng)8.與目標(biāo)主機(jī)進(jìn)行會(huì)話(huà)，猜測(cè)目標(biāo)主機(jī)的序號(hào)規(guī)則C.冒充受信主機(jī)想目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，欺騙目標(biāo)主機(jī)口.向目標(biāo)主機(jī)發(fā)送指令,進(jìn)行會(huì)話(huà)操作51.以下針對(duì)Land攻擊的描述，哪個(gè)是正確的？A.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式，通過(guò)IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報(bào)文，導(dǎo)致目標(biāo)主機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式，通過(guò)向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請(qǐng)求,導(dǎo)致目標(biāo)主機(jī)處理錯(cuò)誤形成拒絕服務(wù)Land攻擊是一種利用協(xié)議漏洞進(jìn)行攻擊的方式，通過(guò)發(fā)送定制的錯(cuò)誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯(cuò)誤而崩潰Land是一種利用系統(tǒng)漏洞進(jìn)行攻擊的方式，通過(guò)利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰52.下列對(duì)垮站腳本攻擊(XSS)描述正確的是：XSS攻擊指的是惡意攻擊者往WEB頁(yè)面里插入惡意代碼,當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中WEB里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶(hù)的特殊目的.XSS攻擊是DDOS攻擊的一種變種C.XSS.攻擊就是CC攻擊D.XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問(wèn)請(qǐng)求，迫使NS連接數(shù)超出限制，當(dāng)CPU資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的53.下列哪一項(xiàng)不屬于FUZZ測(cè)試的特性？A.主要針對(duì)軟件漏洞或可靠性錯(cuò)誤進(jìn)行測(cè)試.B.采用大量測(cè)試用例進(jìn)行激勵(lì)響應(yīng)測(cè)試C.一種試探性測(cè)試方法，沒(méi)有任何依據(jù)&D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試目標(biāo)產(chǎn)生異常54.對(duì)攻擊面(Attacksurface)的正確定義是：A.一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多,軟件的安全性就越低B.對(duì)一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合，一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大一個(gè)軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多,可被攻擊的點(diǎn)也越多，安全風(fēng)險(xiǎn)也越大D.一個(gè)軟件系統(tǒng)的用戶(hù)數(shù)量的集合，用戶(hù)的數(shù)量越多，受到攻擊的可能性就越大，安全風(fēng)險(xiǎn)也越大.以下哪個(gè)不是軟件安全需求分析階段的主要任務(wù)？A.確定團(tuán)隊(duì)負(fù)責(zé)人和安全顧問(wèn)B.威脅建模C.定義安全和隱私需求(質(zhì)量標(biāo)準(zhǔn))D.設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄.風(fēng)險(xiǎn)評(píng)估方法的選定在PDCA循環(huán)中的那個(gè)階段完成？A.實(shí)施和運(yùn)行B.保持和改進(jìn)C.建立D.監(jiān)視和評(píng)審.下面關(guān)于ISO27002的說(shuō)法錯(cuò)誤的是：A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用，但不是全部C.ISO27002對(duì)于每個(gè)措施的表述分”控制措施”、“實(shí)施指南”、和“其它信息”三個(gè)部分來(lái)進(jìn)行描述ISO27002提出了十一大類(lèi)的安全管理措施，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類(lèi)安全措施58.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：A.安全必須是完美無(wú)缺、面面俱到的。B.最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C.在解決、預(yù)防信息安全問(wèn)題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D.防范不足就會(huì)造成損失；防范過(guò)多就可以避免損失。59.風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過(guò)程，關(guān)于這些過(guò)程，以下的說(shuō)法哪一個(gè)是正確的？A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性B.風(fēng)險(xiǎn)要素識(shí)別的內(nèi)容是識(shí)別可能發(fā)生的安全事件對(duì)信息系統(tǒng)的影響程度C.風(fēng)險(xiǎn)分析的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性D.風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施60.你來(lái)到服務(wù)器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶(hù)壞了。由于這不是你的辦公室，你要求在這辦公的員工請(qǐng)維修工來(lái)把窗戶(hù)修好。你離開(kāi)后，沒(méi)有再過(guò)問(wèn)這事。這件事的結(jié)果對(duì)與持定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響？A.如果窗戶(hù)被修好，威脅真正出現(xiàn)的可能性會(huì)增加B.如果窗戶(hù)被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變C.如果窗戶(hù)沒(méi)被修好，威脅真正出現(xiàn)的可能性會(huì)下降D.如果窗戶(hù)沒(méi)被修好，威脅真正出現(xiàn)的可能性會(huì)增加61.在對(duì)安全控制進(jìn)行分析時(shí)，下面哪個(gè)描述是錯(cuò)誤的？A.對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的B.應(yīng)選擇對(duì)業(yè)務(wù)效率影響最小的安全措施C.選擇好實(shí)施安全控制的時(shí)機(jī)和位置，提高安全控制的有效性D.仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來(lái)的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)62.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則？A.風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之中B.風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D.在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力63.對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)管理描述不正確的是：A.漏洞掃描是整個(gè)安全評(píng)估階段重要的數(shù)據(jù)來(lái)源而非全部B.風(fēng)險(xiǎn)管理是動(dòng)態(tài)發(fā)展的，而非停滯、靜態(tài)的C.風(fēng)險(xiǎn)評(píng)估的結(jié)果以及決策方案必須能夠相互比較才可以具有較好的參考意義D.風(fēng)險(xiǎn)評(píng)估最重要的因素是技術(shù)測(cè)試工具64.下列哪一項(xiàng)準(zhǔn)確地描述了脆弱性、威脅、暴露和風(fēng)險(xiǎn)之間的關(guān)系？A.脆弱性增加了威脅，威脅利用了風(fēng)險(xiǎn)并導(dǎo)致了暴露B.風(fēng)險(xiǎn)引起了脆弱性并導(dǎo)致了暴露，暴露又引起了威脅C.風(fēng)險(xiǎn)允許威脅利用脆弱性，并導(dǎo)致了暴露D.威脅利用脆弱性并產(chǎn)生影響的可能性稱(chēng)為風(fēng)險(xiǎn)，暴露是威脅已造成損害的實(shí)例65.統(tǒng)計(jì)數(shù)據(jù)指出，對(duì)大多數(shù)計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，最大的威脅是：A.本單位的雇員B.黑客和商業(yè)間諜C(jī).未受培訓(xùn)的系統(tǒng)用戶(hù)D.技術(shù)產(chǎn)品和服務(wù)供應(yīng)商66.風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)和第三方評(píng)估。這兩種評(píng)估方式最本質(zhì)的差別是什么？A.評(píng)估結(jié)果的客觀性B.評(píng)估工具的專(zhuān)業(yè)程度C.評(píng)估人員的技術(shù)能力D.評(píng)估報(bào)告的形式67.應(yīng)當(dāng)如何理解信息安全管理體系中的“信息安全策略”？A.為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提供的一系列建議B.為了定義訪問(wèn)控制需求面產(chǎn)生出來(lái)的一些通用性指引C.組織高層對(duì)信息安全工作意圖的正式表達(dá)D.一種分階段的安全處理結(jié)果68.以下哪一個(gè)是對(duì)人員安全管理中“授權(quán)蔓延”這概念的正確理解？A.外來(lái)人員在進(jìn)行系統(tǒng)維護(hù)時(shí)沒(méi)有收到足夠的監(jiān)控B.一個(gè)人擁有了不是其完成工作所必要的權(quán)限C.敏感崗位和重要操作長(zhǎng)期有一個(gè)人獨(dú)自負(fù)責(zé)D.員工由一個(gè)崗位變動(dòng)到另一人崗位，累積越來(lái)越多權(quán)限69.一個(gè)組織中的信息系統(tǒng)普通用戶(hù)，以下哪一項(xiàng)是不應(yīng)該了解的？A.誰(shuí)負(fù)責(zé)信息安全管理制度的制定和發(fā)布B.誰(shuí)負(fù)責(zé)都督信息安全制度的執(zhí)行C.信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)工作的具體流程&D.如果違反了制度可能受到的懲戒措施70.一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒(méi)有數(shù)據(jù)損失，恢復(fù)時(shí)間目標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿(mǎn)足需求且最經(jīng)濟(jì)的？A.一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來(lái)的熱站B.多區(qū)域異步更新的分布式數(shù)據(jù)庫(kù)系統(tǒng)一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站一個(gè)同步過(guò)程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來(lái)的混站71.以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：A.同步復(fù)制B.異步復(fù)制C.定點(diǎn)拷貝復(fù)制D.基于磁盤(pán)的復(fù)制.當(dāng)公司計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊，進(jìn)行現(xiàn)場(chǎng)保護(hù)應(yīng)當(dāng)：1〉指定可靠人員看守2〉無(wú)特殊且十分必須原因