注冊(cè)信息安全專業(yè)人員考試章節(jié)練習(xí)題-05 安全工程與運(yùn)營試題及答案

注冊(cè)息安全專人員考章節(jié)練-安全工程運(yùn)營題及案1某黑客通過分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒，為防范此類社會(huì)工程學(xué)攻擊，報(bào)社不需要做的是（）[選題]*A加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力，了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)(正確答案)2某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計(jì)算機(jī)中，通過修改注冊(cè)表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)。為防范此類木馬的攻擊，以下做法無用的是（）[選題]*A不下載、不執(zhí)行、不接收來歷不明的軟件和文件B不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站、使用共享文件(正確答案)D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件3關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問題，以下說法正確的是（）[選題]*A在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測(cè)試B補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn)必須在廠商的官網(wǎng)上獲取、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施(正確答案)

D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響4準(zhǔn)在制定、實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)采用過程方法，通過滿足顧客要求增進(jìn)顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號(hào)空白處應(yīng)填寫（）[選題]*A策略B管理者、組織D、活動(dòng)正確答案)5以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)（）[選題]*A信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程(正確答案)、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程6社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最脆弱的環(huán)節(jié)，即人”個(gè)環(huán)節(jié)上。這些社會(huì)工程黑客在某黑客大會(huì)上成功攻入世界五百強(qiáng)公司，其中一名自稱是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安全工程部門的合約雇員，在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其

他信息，包括：操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵件及瀏覽器。為對(duì)抗此類信息收集和分析，公司需要做的是（）[選題]*A通過信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息最小化原則(正確答案)B減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)、關(guān)閉不必要的服務(wù)，部署防火墻、IDS措施D、系統(tǒng)安全管理員使用漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)7對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說法錯(cuò)誤的是（）[選題]*A在使用來自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B限制用戶對(duì)管理員權(quán)限的使用、開放所有端口和服務(wù)，充分使用系統(tǒng)資源(正確答案)D、不要從不可信來源下載或執(zhí)行應(yīng)用程序8有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是（）[選題]*A項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束(正確答案)、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用9在工程實(shí)施階段，監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)施方案、實(shí)施記錄、國家或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件，對(duì)信息化工程進(jìn)行安全查，以驗(yàn)證項(xiàng)目是否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目標(biāo)和安全等級(jí)要求。（）[選題]*A功能性B可用性、保障性

D、符合正確答案)10下系統(tǒng)工程說法錯(cuò)誤的是（）[選題]*A系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)(正確答案)B系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論11有關(guān)能力成熟度模型（錯(cuò)誤的理解是（）[選題]*ACMM基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率(正確答案)BCMM思想來源于項(xiàng)目管理和質(zhì)量管理、CMM一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、是立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品12對(duì)系統(tǒng)工程（，的理解，以下錯(cuò)誤的是（）[選題]*A系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營管理進(jìn)行研究B系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論、系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法13系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是（）[選題]*A霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架B時(shí)間維表示系統(tǒng)工程活動(dòng)從開始到結(jié)束按時(shí)間順序排列的全過程、邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)(正確答案)D、知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)

和藝術(shù)等各種知識(shí)和技能14以下關(guān)于信息安全工程說法正確的是（）[選題]*A信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)(正確答案)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)15系統(tǒng)安全工程-能力成熟度模型（modelSSE-CMM）定義的包含評(píng)估影響、評(píng)估威脅、評(píng)估脆弱性和評(píng)估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是（）[選題]*A風(fēng)險(xiǎn)過程(確答案)B工程過程、保證過程D、評(píng)估過程16有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM中的通用實(shí)施（，），錯(cuò)誤的理解是（）[選題]*AGP是涉及過程的管理、測(cè)量和制度化方面的活動(dòng)BGP適用于域維中部分過程區(qū)域（Process，PA）活動(dòng)而非所有PA活動(dòng)(正確答案)、在工程師實(shí)施時(shí)，應(yīng)該作為基本實(shí)施（Base，BP的一部分加以執(zhí)行D、在評(píng)估時(shí)，于判定工程組織執(zhí)行某個(gè)能力17有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯(cuò)誤的是（）[選題]*A系統(tǒng)工程研究問題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計(jì)的程序B系統(tǒng)工程的基本特點(diǎn)，是需要把研究對(duì)象解構(gòu)為多個(gè)組成部分分別獨(dú)立研究(正確答案)

、系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作，根據(jù)研究問題涉及到的學(xué)科和專業(yè)范圍，組成一個(gè)知識(shí)結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo)，采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法18以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是（）[選題]*A項(xiàng)目是為達(dá)到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。正確答案)、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART則，即項(xiàng)目的目標(biāo)要求具體（Specific、可測(cè)量（Measurable、需相關(guān)方的一致同意（to、現(xiàn)實(shí)（Realistic、有一定的時(shí)限（Time-oriented19張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?）[選題]*A口令攻擊B暴力破解、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊正確答案)20從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯(cuò)誤的是（）[選題]*A系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開發(fā)的方法。(正確答案)D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)在原有能力成熟度模型(的基礎(chǔ)上，通過對(duì)安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科。

21有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)的基本實(shí)施(Base，BP)正確的理解是（）[選題]*A是基于最新技術(shù)而制定的安全參數(shù)基本配置B大部分BP沒有經(jīng)過測(cè)試的、一項(xiàng)適用于組織的生存周期而非僅適用于工程的某一特定階段(正確答案)D、一項(xiàng)BP可以和其他BP重疊22以下對(duì)于信息安全事件理解錯(cuò)誤的是（）[選題]*A信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件B對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生(正確答案)23在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容（）[選題]*A審核實(shí)施投資計(jì)劃(確答案)B審核實(shí)施進(jìn)度計(jì)劃、審核工程實(shí)施人員D、企業(yè)資質(zhì)24有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)錯(cuò)誤的理解是（）[選題]*A求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B以使安全工程成為一個(gè)確定的、成熟的和可度量的科目、基于工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施(正確答案)D、覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是

系統(tǒng)安全的工程活動(dòng)25在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是（）[選]*A測(cè)量單位是基本實(shí)施(Base，BP)B測(cè)量單位是通用實(shí)踐(，、測(cè)量單位是過程區(qū)域(，D、測(cè)量單位是公共特征(Features(確答案)26信息安全工程作為信息安全保障的重要組成部門，主要是為了解決（）[選題]*A信息系統(tǒng)的技術(shù)架構(gòu)安全問題B信息系統(tǒng)組成部門的組件安全問題、信息系統(tǒng)生命周期的過程安全問題(正確答案)D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題27有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實(shí)施（BasePractice正確的理解是（）[選題]*A不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法(正確答案)B不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的、不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP是過程區(qū)域（Process，PA)的強(qiáng)制項(xiàng)28下面信息安全漏洞理解錯(cuò)誤的是（）[選]*A討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開發(fā)、部署或維護(hù)階段，由于設(shè)計(jì)、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的(正確答案)、信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來

安全損害，甚至帶來很大的經(jīng)濟(jì)損失D、由于人類思維能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的29某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營，二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理。招標(biāo)文件經(jīng)營管理層審批后發(fā)布，就此工程項(xiàng)目而言，以下正確的是（）[選題]*A此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性B在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性、工程規(guī)劃不符合信息安全工程的基本原則(正確答案)D、招標(biāo)文件經(jīng)營管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃對(duì)系統(tǒng)工程（Engineering,SE的理解，以下錯(cuò)誤的是（）[選題]*A系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營管理進(jìn)行研究B系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論、系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實(shí)驗(yàn)、使用的科學(xué)方法31北京某公司利用其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（）[選題]*A系統(tǒng)安全工程能力成熟度模型（）定義了個(gè)力級(jí)別，當(dāng)工程隊(duì)不能執(zhí)行一個(gè)過程域中的基本實(shí)踐時(shí)，該過程域的過程能力為(正確答案)B達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過程，每次執(zhí)行結(jié)果質(zhì)量必須相同。、系統(tǒng)安全工程能力成熟度模型（SSE-CMM定義了風(fēng)險(xiǎn)過程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響D、強(qiáng)調(diào)系統(tǒng)安全工程與其他工程科學(xué)的區(qū)別和獨(dú)立性。

32信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是（）[選題]*A通用布纜系統(tǒng)工程B電子設(shè)備機(jī)房系統(tǒng)工程、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用正確答案)33以下關(guān)于信息安全工程說法正確的是（）[選題]*A信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的B信息化建設(shè)可以實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)(正確答案)D、信息化建設(shè)沒有必要涉及信息安全建設(shè)34在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是（）[選題]*A如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備了一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級(jí)B如果該組織某個(gè)過程區(qū)域（Process，PA具備了定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個(gè)公共特征，則此過程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)充分定義級(jí)”(確答案)、如果某個(gè)過程區(qū)域（Areas含基本實(shí)施（Base，BP，執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP則此過程區(qū)域的能力成熟度級(jí)別為D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級(jí)別上35信息安全工程監(jiān)理的職責(zé)包括（）[選]*A質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)(正確答案)B質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào)

36關(guān)于監(jiān)理過程中成本控制，下列說法中正確的?（）[選]*A成本只要不超過預(yù)計(jì)的收益即可B成本應(yīng)控制得越低越好、成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成(正確答案)37下列關(guān)于ISO15408息技術(shù)安全評(píng)估準(zhǔn)則(簡稱CC)用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是（）[選題]*A如果用戶、開發(fā)者、評(píng)估者和認(rèn)可者都使用CC言，互相就容易理解溝通B通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全測(cè)試評(píng)估都具有重要意義、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國際互認(rèn)的需要D、通用性的特點(diǎn)使得也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估(正確答案)38以下哪項(xiàng)是對(duì)系統(tǒng)工程過程中“概念與需求定義”段的信息安全工作的正確描述?）[選題]*A應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮(正確答案)B應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場(chǎng)，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品、應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容39基于對(duì)（的信任，當(dāng)一個(gè)請(qǐng)求或命令來自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的（）在（中，攻擊者偽裝成“公安部門”員要求受害者對(duì)權(quán)威的信任。在（），攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試，要求（）等（）[選題]*A權(quán)威:執(zhí)行:電信詐騙:網(wǎng)攻擊:更改密碼(正確答案)

B權(quán)威:執(zhí)行:網(wǎng)絡(luò)攻擊:電信騙:更改密碼、執(zhí):權(quán)威:信炸:網(wǎng)絡(luò)攻擊:更改密碼D、執(zhí)行:權(quán)威:網(wǎng)絡(luò)攻擊電信許騙:更改密碼40了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（的關(guān)鍵，對(duì)于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的（。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來幫助員工了解什么是社會(huì)工程學(xué)攻擊，如何判斷是否存在社會(huì)工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和（。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就（）.此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育，向員工灌輸（）人機(jī)降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)（）[選題]*A社會(huì)工程學(xué)攻擊:容易:原理:人數(shù)據(jù):安全意識(shí)B社會(huì)工程學(xué)攻擊:原理;越易:個(gè)人數(shù)據(jù):全意識(shí)、原:社會(huì)工程學(xué)攻擊人數(shù)據(jù):越容易:全意識(shí)D、社會(huì)工程學(xué)攻擊:原理:人數(shù)據(jù):越容易:全意(確答案)41建立并完善（是有效應(yīng)對(duì)社會(huì)工程攻擊的方法，通過（）的建立，使得信息系統(tǒng)用戶需要循（）實(shí)施某些操作，從而在一定程度上降低社會(huì)工程學(xué)的影響.如對(duì)于用戶密碼的修改，由于相應(yīng)管理制度的要求，（需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行，那來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行（），因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施（）[選題]*A信息安全管理體系:全管理制度:規(guī)范:絡(luò)管理員:會(huì)工程學(xué)攻擊(正確答案)B信息安全管理體系:安全管理制度:網(wǎng)絡(luò)管理員:范:社會(huì)工程學(xué)攻擊、安全管理制:信息安全管理體系范:網(wǎng)絡(luò)管理員會(huì)工程學(xué)攻擊D、信息安全管理體系:網(wǎng)絡(luò)管理員:全管理制度:范:社會(huì)工程學(xué)攻擊

42信息收集是（攻擊實(shí)施的基礎(chǔ)，因此攻擊者在實(shí)施前會(huì)對(duì)目標(biāo)進(jìn)行（），了解目標(biāo)所有相關(guān)的（）這些資料和信息對(duì)很多組織機(jī)構(gòu)來說都是公開或看無用的，然而對(duì)攻擊者來說，這些信息都是非常有價(jià)值的，這些信息收集得越多，離他們成功得實(shí)現(xiàn)（）就越近，如果認(rèn)為信息沒有價(jià)值或價(jià)值的非常低，組織機(jī)構(gòu)通常不會(huì)采取措施（）這正是社會(huì)工程學(xué)攻擊者所希望的（）[選題]*A信息收集:社會(huì)工程學(xué)資料和信息:份偽裝:行保護(hù)B社會(huì)工程學(xué):信息收集:資料和信息:份偽裝:行保護(hù)正確答案)、社會(huì)工程:信息收集份偽裝:資料和信息行保護(hù)D、信息收集:資料和信息:會(huì)工程學(xué):身份偽裝行保護(hù)43（攻擊是建立在人性“弱點(diǎn)利用基礎(chǔ)上的攻擊，大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過（）才能實(shí)施成功的，即使是最簡單的“直接攻擊”也需要進(jìn)行（）。如果希望受害者接受攻擊者所（）擊者就必須具備這個(gè)身份需要的（）[選]*A社會(huì)工程學(xué):精心策劃前期的準(zhǔn)備:裝的身份:些特征(