2023注冊(cè)信息安全專業(yè)人員CISP模擬試卷

PAGEPAGE58注冊(cè)信息安全專業(yè)人員CISP模擬試卷1、信息安全等級(jí)保護(hù)分級(jí)要求，第三極適用正確的是：統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心2、下面對(duì)國家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國家秘密法》要求：對(duì)是否屬于國家秘密和屬于何種密級(jí)不明確的事項(xiàng)。由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機(jī)關(guān)確定。32015676（）《中華人民共和國保守國家秘密法（草案）》《中華人民共和國網(wǎng)絡(luò)安全法（草案）》《中華人民共和國國家安全法（草案）》《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》4、為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公（[2004]66號(hào)），對(duì)等級(jí)保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件20042005該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位20041（TC485）全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCCA）網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)6、安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）.請(qǐng)問，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是（）IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)、“CC”（）評(píng)估對(duì)象（TOE）保護(hù)輪廊（PP）（ST）評(píng)估保證級(jí)（EAL）8、分組密碼算法是一類十分重要的密碼算法，下面描述中，錯(cuò)誤的是（）分組密碼算法要求輸入明文按組分成固定長度的塊分組密碼算法每次計(jì)算得到固定長度的密文輸出塊分組密碼算法也稱為序列密碼算法常見的DES、IDEA算法都屬于分組密碼算法9、密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是()A?在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式密碼協(xié)議(cryptographicprotocol),(securityprotocol),2015ACMWhitfieldDifficWartfield下面哪項(xiàng)工作是他們的貢獻(xiàn)發(fā)明并第一個(gè)使用C第一個(gè)發(fā)表了對(duì)稱密碼算法思想第一個(gè)發(fā)表了非對(duì)稱密碼算法思想第一個(gè)研制出防火墻11、虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)。 這里的母P的正確解釋是()。sPccial-purpose,Proprietary,專有的、專賣的Private,私有的、專有的sPecific,特種的、具體的12、為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？實(shí)體“所知”以及實(shí)體“所有”的鑒別方法13、實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是()將登錄口令設(shè)置為出生日期通過詢問和核對(duì)用戶的個(gè)人隱私信息來鑒別使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別通過掃墻和識(shí)別用戶的臉部信息來鑒別（）（）:對(duì)文件進(jìn)行操作的用戶是一種主體D.對(duì)目錄的訪問權(quán)可分為讀、寫和拒絕訪問（）訪問控制列表（ACL）能力表（CL）BLPBiba模型、強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可、、BLP4BLP（）BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”BLP 模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”BLP 模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”?；诮巧脑L問控制D.E. 以上選項(xiàng)都可以19、關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是()WPAWPA2WPAWPA2適用于全世界的無線局域網(wǎng)協(xié)議WPAWPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證WPA802.11i標(biāo)準(zhǔn)草案制定的，而WPA2802.11i正式標(biāo)準(zhǔn)制定的、隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺(tái)，上面承載了越來越多的核心業(yè)務(wù)。Web……SQL群注入(MassSQLInjection)攻擊，網(wǎng)站:狀態(tài)檢測防火墻可以應(yīng)用會(huì)話信息決定過濾規(guī)則狀態(tài)檢測防火墻具有記錄通過每個(gè)包的詳細(xì)信息能力狀態(tài)檢測防火墻過濾規(guī)則與應(yīng)用層無關(guān)，相比于包過濾防火墻更易安裝和使用狀態(tài)檢測防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動(dòng)作答在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為22、某集團(tuán)公司的計(jì)算機(jī)網(wǎng)絡(luò)中心內(nèi)具有公司最重要的設(shè)備和信息數(shù)據(jù)。網(wǎng)絡(luò)曾在一段時(shí)間內(nèi)依然遭受了幾次不小的破壞和干擾,雖然有防火墻,IDS不會(huì)在()區(qū)域部署。DMZ內(nèi)網(wǎng)主干內(nèi)網(wǎng)關(guān)鍵子網(wǎng)外網(wǎng)入口23、入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說法錯(cuò)誤的是()。對(duì)用戶知識(shí)要求高、配置、操作和管理使用過于簡單，容易遭到攻擊入侵檢測系統(tǒng)會(huì)產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重入侵檢測系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測可能會(huì)被抑制或者受到影響警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)24。安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題)()業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性，業(yè)務(wù)系統(tǒng)是否需要對(duì)外連接安全要求的相似性，可用性、保密性和完整性的要求是否類似現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機(jī)房等數(shù)據(jù)庫的安全維護(hù)26、在Windos7中，通過控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）密碼必須符合復(fù)雜性要求密碼長度最小值強(qiáng)制密碼歷史27、Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面哪項(xiàng)是正確的（）這個(gè)文件可以被任何用戶讀和寫這個(gè)可以被任何用戶讀和執(zhí)行這個(gè)文件可以被任何用戶寫和執(zhí)行這個(gè)文件不可以被所有用戶寫和執(zhí)行28Windows（1）；（2）在”IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)?。唬?）關(guān)閉審核策略，開啟口令策略，開啟賬號(hào)策略。這些操作中錯(cuò)誤的是（）操作（1），操作（2），操作（3），操作（4），應(yīng)該開啟審核策略29WindowsWindowsXP（）"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters"項(xiàng)中的“Autodisconnect"項(xiàng)鍵值改為0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters"項(xiàng)中的"AutoShareServer"0將"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters"項(xiàng)中的"AutoShareWks"項(xiàng)鍵值改為0CnetshareC/delLinux2.1/shell沒有任何權(quán)能，而超級(jí)用戶及其shell能系統(tǒng)管理員可以剝奪和恢復(fù)超級(jí)用戶的某些權(quán)能進(jìn)程可以放棄自己的某些權(quán)能setuid實(shí)現(xiàn)31、關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：32、關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的()指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)(記錄)完整、不丟項(xiàng)指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束33、數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層34、安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureNultipurposeInternetMailPxtension,S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是（）S/MIMES/MIME支持?jǐn)?shù)字證書S/MIMES/MIME35、ApacheHTTPServer（簡稱Apache）是一個(gè)開放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施（）WindowsLinux平臺(tái)下安裝使用http.conf中的有關(guān)參數(shù)安裝后，刪除ApscheHTTPServer源碼ApecheHTTPServer，并安裝使用36、InternetExplorer，簡稱IE,是微軟推出的一款Web瀏覽器，IE中有很多安全設(shè)置選項(xiàng)，用來設(shè)置安全上網(wǎng)環(huán)境和保護(hù)用戶隱私數(shù)據(jù)。以下哪項(xiàng)不是IE中的安全配置項(xiàng)目（）CookieCookieCookieCookie，Cookie禁用自動(dòng)完成和密碼記憶功能，通過設(shè)置禁止IE自動(dòng)記憶用戶輸入過的WebMuKeepA;ivEcquests， Internet、本地Internet37、下面對(duì)“零日（zero-day）漏洞”的理解中，正確的是（）指一個(gè)特定的漏洞，該漏洞每年1月1權(quán)限2010138、為達(dá)到預(yù)期的攻擊目的，惡意代碼通常會(huì)被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯(cuò)誤的是()隱藏惡意代碼進(jìn)程，即將惡意代碼進(jìn)程隱藏起來，或者改名和使用系統(tǒng)進(jìn)程名，以更好的 避檢測，迷惑用戶和安全檢測人員隱藏惡意代碼的網(wǎng)絡(luò)行為，復(fù)用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除39、某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%盡管網(wǎng)站沒有發(fā)現(xiàn)任何的在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入(關(guān)掉ping)ping.exe程序增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊增加網(wǎng)站服務(wù)以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊40、下面四款安全測試軟件中，主要用于WEB安全色掃描的是()CiscoAuditingToolsAcunetixWebVulnerabilityScannerNMAPISSDatabaseScanner41、關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是()ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARPARP單純利用ARPARP解決ARPARP徹底解決ARP欺騙的方法是避免使用ARPARP緩存，直接采用IP42、在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：治理，主要是管理軟件開發(fā)的過程和活動(dòng)構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)驗(yàn)證，主要是測試和驗(yàn)證軟件的過程與活動(dòng)購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問全問題45、下面有關(guān)軟件安全問題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()設(shè)計(jì)了采用不加鹽(SALT)的SHA-146、某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登錄時(shí)如用戶名或口令輸入錯(cuò)誤，給用戶返回“用戶名或口令輸入錯(cuò)誤”信息，輸入錯(cuò)誤達(dá)到三次，將暫時(shí)禁止登錄該賬戶，請(qǐng)問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：最小共享機(jī)制原則經(jīng)濟(jì)機(jī)制原則不信任原則默認(rèn)故障處理保護(hù)原則47、為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是：滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟為了深入發(fā)掘該系統(tǒng)存在的安全威脅應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試48、小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后，對(duì)于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是()49、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsandTechnology,NIST)隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的()ISO27001Informationtechnology—Securitytechniques—Informtionsecuritymanagementsystems-Requirements》X.509〈〈InformationTechnology—OpenSystems—TheDirectory:AuthenticationFramcwork》SP800-37《GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》RFC2402《IPAuthenticatHeader》50、小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是()降低風(fēng)險(xiǎn)51、殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是()52、在信息安全管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的()。53、降低風(fēng)險(xiǎn)(或減低風(fēng)險(xiǎn))是指通過對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險(xiǎn)，下面哪個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施()減少威脅源。采用法律的手段制按計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)減少脆弱性。及時(shí)給系統(tǒng)補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的 能性AFTP()風(fēng)險(xiǎn)規(guī)避55、小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性因此更具有客觀性56、信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的([2006]5號(hào))()信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充自評(píng)估和檢查評(píng)估時(shí)相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長期使用自評(píng)估和檢查評(píng)估是相互排斥的，無特殊理由的單位均應(yīng)選擇檢查評(píng)估，以保證安全效果57(號(hào))()自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持58、王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩A1A1T1T2;A2T1A1VI和脆弱性T2A1V3V4V5;威脅T3V6235659、在信息安全管理體系的實(shí)施過程中，管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()60、信息安全管理體系(InformationSecurityManagementSystem，ISMS)的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)。關(guān)于這兩者，下面描述錯(cuò)誤的是()內(nèi)部審核和管理審評(píng)都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評(píng)審的實(shí)施方式多采用召開管理審評(píng)會(huì)議的形式進(jìn)行內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS61、隨著信息安全涉及的范圍越來越廣，各個(gè)組織對(duì)信息安全管理的需求越來越迫切，越來越多的組織ISO27001ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能ISMS，下面描述錯(cuò)誤的是()在組織中，應(yīng)有信息技術(shù)責(zé)任部門(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設(shè)指組織的管理層應(yīng)確保ISMS62、在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指在實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，關(guān)于殘余風(fēng)險(xiǎn)，下面描述錯(cuò)誤的是()、GB/T22080-2008PDCAISMSISMSISMS()“制定ISMS方針”是建立ISMS“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容“進(jìn)行有效性測量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容64、若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)()信息安全方針、信息安全組織、資產(chǎn)管理人力資源安全、物力和環(huán)境安全、通信和操作管理訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性規(guī)劃與建立ISMS65、信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個(gè)控制目標(biāo)，為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理，應(yīng)該實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)()信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評(píng)審與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問題66、若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全措施通常()資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的可接受使用分類指南、信息的標(biāo)記和處理67、應(yīng)急響應(yīng)時(shí)信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是()應(yīng)急響應(yīng)時(shí)組織在處置應(yīng)對(duì)突發(fā)/應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11()A.I級(jí) B.皿級(jí) C.W級(jí) D.特別級(jí)69、恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjective,RTO)和恢復(fù)點(diǎn)目標(biāo)(RECOVERYPointObjective,RPO)RTORPO指標(biāo)，則以下描述中，正確的是()RTO可以為0，RPO也可以為0RTO0，RPO不可以為0RTO不可以為0，RPO可以為0RTO不可以為0，RPO也不可以為070、隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時(shí)，發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是()信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時(shí)自身在開發(fā)、部署和使用過程中存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個(gè)方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性，同時(shí)外部71、關(guān)于信息安全保障技術(shù)框架(InformationAssuranceTehnicalFramework,IATF)，下面描述錯(cuò)誤的是()IATF最初由美國國家安全局(NSA)發(fā)布，后來由國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個(gè)國家信息系統(tǒng)建設(shè)參考使用IATFIATF72、關(guān)于信息安全保障技術(shù)框架（IATF）,以下說法不正確的是：分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本IATF法破壞整個(gè)信息基礎(chǔ)設(shè)施允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性IATF73、2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國發(fā)布的文件（）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）《國家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》（國令[2008]54號(hào)）《國家信息安全戰(zhàn)略報(bào)告》（國信[2005]2）《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)[2012]23號(hào)）74、在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度重視我國信息安全人才隊(duì)伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是（）[2003]27號(hào)）神人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)起到積極的推動(dòng)作用全面，因而社會(huì)化培養(yǎng)應(yīng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系，包括“注冊(cè)信息安全專業(yè)人員（CISP）”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證75、2008年1月2日，美國發(fā)布第54號(hào)總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃（Comprehensive）。CNCICNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)從CNCICNCICNCI76、公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所部屬的加密針對(duì)性不足，造成浪費(fèi)甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求()信息安全需求是安全方案設(shè)計(jì)和安全措施的依據(jù)信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案78、從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯(cuò)誤的是：系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開發(fā)的方法系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上。通過對(duì)安全工 過進(jìn)管的途，系統(tǒng)全程變?yōu)閭€(gè)好定的成的、測的先學(xué)科79、某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)的相關(guān)要求，對(duì)承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯(cuò)誤的是()在異地建立備份機(jī)房，設(shè)計(jì)時(shí)應(yīng)與主要機(jī)房等級(jí)相同由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板下送風(fēng)，上回風(fēng)的方式因機(jī)房屬于AA級(jí)主機(jī)房應(yīng)設(shè)置自動(dòng)噴水滅火系統(tǒng)80、某公司建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司HM公司已M項(xiàng)目計(jì)劃書質(zhì)量控制計(jì)劃評(píng)審報(bào)告需求說明書81、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SEE-CMM)中的基本實(shí)施(BasePractices，BP)，正確的理解是：BP不限定于特定的方法或工具，不同的業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料、實(shí)踐和專家意見綜合得出的BPBP(ProcessAreas,PA)的強(qiáng)制項(xiàng)82、在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，有關(guān)測量結(jié)果，錯(cuò)誤的理解是：如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備某一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè) 組在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級(jí)如果該組織某個(gè)過程區(qū)域(ProcessAreas,PA)3如果某個(gè)過程區(qū)域(ProcessAreasPA)4個(gè)基本實(shí)施(BasePractices，BP)，PA3BP0組織在不同的過程區(qū)域的能力成熟度可能處于不同的級(jí)別上83、從歷史演進(jìn)來看，信息安全的發(fā)展經(jīng)歷了多個(gè)階段。其中，有一個(gè)階段的特點(diǎn)是：網(wǎng)絡(luò)信息系統(tǒng)逐步形成，信息安全注重保護(hù)信息在存儲(chǔ)、處理和傳輸過程中免受非授權(quán)的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個(gè)階段是()信息系統(tǒng)安全階段信息安全保障階段84、下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：GB/T20274.1-2006時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的安全85、《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework，IATF)是由哪個(gè)下面哪個(gè)國家發(fā)布的()A 中國美國俄羅斯歐盟86、我國信息安全保障工作先后經(jīng)歷了啟動(dòng)、逐步展開和積極推進(jìn)，以及深化落實(shí)三個(gè)階段,我國信息安全保障各階段說法不正確的是：2001作正式啟動(dòng)2003年72003年，中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實(shí)階段健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主創(chuàng)新建立信息安全人才培養(yǎng)體系，加快信息安全科學(xué)建設(shè)和信息安全人才培養(yǎng)88、某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造，以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)該銀行整體安全策略89、信息安全測評(píng)是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對(duì)信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評(píng)估，以下關(guān)于信息安全測評(píng)說法不正確的是：保證能力的具體衡量和評(píng)價(jià)InformationInfrastructure，CII)這些行業(yè)都關(guān)系到國計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國家安全影響深遠(yuǎn)這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失91、在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的：要充分切合信息安全需求并且實(shí)際可行要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙92、部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN)時(shí)，以下說法正確的是：配置MD5配置AES部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication，SA)資源的消耗報(bào)文驗(yàn)證頭協(xié)議(Authentication Header，AH)可以提供數(shù)據(jù)機(jī)密性強(qiáng)制訪問控制基于角色的訪問控制自主訪問控制基于任務(wù)的訪問控制94、主體和客體是訪問控制模型中常用的概念。下面描述種錯(cuò)誤的是()主體是訪問的發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù)客體也是一種實(shí)體，是操作的對(duì)象，是被規(guī)定需要保護(hù)的資源主體是動(dòng)作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對(duì)象不能被當(dāng)作客體使用—個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行95、以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl，RBAC):()分RBAC當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制96、自主訪問控制模型的訪問控制關(guān)系可以用訪問控制(ACL)ACL利用在客體上附()ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)ACLACLACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限較為簡單97、關(guān)于Kerberos認(rèn)證協(xié)議，以下說法錯(cuò)誤的是：只要用戶拿到了認(rèn)證服務(wù)器(AS)發(fā)送的票據(jù)許可票據(jù)(TGT)并且該TGTTGT(TGS)認(rèn)證服務(wù)器(AS)和票據(jù)授權(quán)服務(wù)器(TGSTGS該協(xié)議是一種基于對(duì)稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜98、傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的？相比傳輸層的另外一個(gè)協(xié)議UDP，TCPTCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCPTCPTCPIP協(xié)議TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低99、以下關(guān)于UDP協(xié)議的說法，哪個(gè)是錯(cuò)誤的？UDP具有簡單高效的特點(diǎn)，常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP相比TCPUDPUDP 協(xié)議不僅具有流量控制，超時(shí)重發(fā)機(jī)制，還能提供加密等服務(wù)，因此常用來傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù)100、由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是()PP2PL2TPSSLIPSec101、防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是()。既能物理隔離，又能邏輯隔離能物理隔離，但不能邏輯隔離不能物理隔離，但是能邏輯隔離不能物理隔離，也不能邏輯隔離在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生手段向管理員報(bào)警異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為103、S2010200器、100總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)和用戶終端使用192.168.2.x~192.168.20.x2~212,IP總部服務(wù)器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段、另外一個(gè)做用戶終端地址段因?yàn)橥ㄟ^互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NATIPIPIPInternet。ABC類地址中可以設(shè)置私有地址A類地址中沒有私有地址，BCA類、B類和C類地址中都可以設(shè)置私有地址A類、BC類地址中都沒有私有地址zhangzhangzhang任何一個(gè)新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件Windows7zhangzhang問zhang會(huì)繼承原來用戶的權(quán)限，之所以無權(quán)訪問是因?yàn)槲募A經(jīng)過了加密106、以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制(SecurityAccountsManager)的說法哪個(gè)是正確的：存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性administratorC.存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D. System107Windows密碼策略的主要作用是通過策略避免用戶生成弱口令及對(duì)用戶的口令使用進(jìn)行管控密碼策略對(duì)系統(tǒng)中所有的用戶都有效administrator賬戶應(yīng)對(duì)口令暴力破解攻擊108、Windows文件系統(tǒng)權(quán)限管理訪問控制列表(AccessControlList，ACL)機(jī)制，以下哪個(gè)說法是錯(cuò)誤的：安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS，因?yàn)閃indows的ACLWindowsACLWindows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中由于ACL1095103設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯(cuò)了密碼的用戶就會(huì)被鎖住310分鐘，1035分鐘，5310110、某Linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1testtest10704Apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的：testshell，test該文件是一個(gè)正常文件，是test用戶使用的shell，但testroot，testroot權(quán)限該文件是一個(gè)后門程序，可由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test111(EncryptingFileSystem，EFS)Windows。EFS數(shù)據(jù)EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)EFSNTFS文件系統(tǒng)和FAT32文件系統(tǒng)(Windows7EFSEFSWindows時(shí)進(jìn)行112按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分113、數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層114、以下關(guān)于SMTP和POP3協(xié)議的說法那個(gè)是錯(cuò)誤的：SMTP和POP3ASCII編碼的請(qǐng)求/響應(yīng)模式的協(xié)議SMTP和POP3SMTP和POP3SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件115、金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項(xiàng)是不好的操作習(xí)慣()級(jí)為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺、安全檢查和安全加固方面的軟件IEActiveX在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)116、應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全，以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是()或緩沖區(qū)中的信息被非授權(quán)的訪問117、下面對(duì)信息安全漏洞的理解中，錯(cuò)誤的是（）118、某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處李強(qiáng)，我的123，我收完郵件自己修改掉小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自教給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請(qǐng)購買新的服務(wù)器單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件119ICMP250%在防火墻上設(shè)置策略，組織所有的ICMP流量進(jìn)入（關(guān)掉ping）ping.exe程序增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊（0A）OA題要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，是開發(fā)人員掌握基本軟件安全開發(fā)知識(shí)要求軟件開發(fā)商使用JavaASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞121、某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）就可以解決90%以上的安全問題（SecurityDevelopmentLifecycle,SDL）的最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段122、下面有關(guān)軟件安全問題的描述中，哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的（）設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫C123、某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開發(fā)日由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析為配合總部的安全策略，會(huì)帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志IP分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式：攻擊者利用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%IDC125Linuxnobody用戶運(yùn)行實(shí)例Windowssystem,126SASQLxp_cmdshell權(quán)限分離原則D.縱深防御的原則127R抵賴)的縮寫，關(guān)于此項(xiàng)安全要求，下面描述錯(cuò)誤的是威脅RRSTRIDE六種威脅中第三嚴(yán)重的威脅，比DE威脅的嚴(yán)重程度更高R128、關(guān)于信息安全管理，下面理解片面的是()信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，及有效的管理依賴于良好的技術(shù)基礎(chǔ)堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一129()信息安全管理體系(ISMS)信息安全等級(jí)保護(hù)NISTSP800ISO270000”的基本概念與認(rèn)識(shí)。小明的主第一個(gè)觀點(diǎn)，背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象第二個(gè)觀點(diǎn)，背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)第三個(gè)觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字第四個(gè)觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書131、關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是：資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性()檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施檢查評(píng)估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)133、規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估性能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）?！讹L(fēng)險(xiǎn)評(píng)估方案》《需要保護(hù)的資產(chǎn)清單》《風(fēng)險(xiǎn)計(jì)算報(bào)告》《風(fēng)險(xiǎn)程度等級(jí)列表》134、關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）以下說法最恰當(dāng)?shù)氖牵航M織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過程135PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）136、關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯(cuò)誤的是：/6個(gè)階段對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素4（I）、重大事件（II）、較大事件（III）和一般事件（IV級(jí)）的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的是：特別重要信息系統(tǒng)138、恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個(gè)值能否為零，正確的選項(xiàng)是()RTO可以為0，RPO也可以為0RTO0，RPO0RTO不可以為0，但RPO可以為0RTO不可以為0，RPO139、以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性在工程安全建理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃141、對(duì)系統(tǒng)工程(SystemsEngineering,SE)的理解，以下錯(cuò)誤的是:系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營管理進(jìn)行研究系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法142、系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是:霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架時(shí)間維表示系統(tǒng)工程活動(dòng)從開始到結(jié)束按時(shí)間順序排列的全過程143、北京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是：系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個(gè)能力級(jí)別。當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過程域中的基本實(shí)0級(jí)達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過程，每次執(zhí)行的結(jié)果質(zhì)量必須相同系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了 3個(gè)風(fēng)險(xiǎn)過程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性144、以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程145電子設(shè)備機(jī)房系統(tǒng)工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程以上都適用146、以下關(guān)于信息安全工程說法正確的是信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)信息化建設(shè)沒有必要涉及信息安全建設(shè)147-(BasePractices,BP)BPBP一項(xiàng)BP是用于組織的生存周期而非僅適用于工程的某一特定階段BPBP148、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的通用實(shí)施(GenericPractices,GP),錯(cuò)誤的理解是：GP是涉及過程的管理、測量和制度化方面的活動(dòng)GP適用于域維中部分過程區(qū)域(ProcessAreas,PA)的活動(dòng)而非所有PA的活動(dòng)在工程師實(shí)施時(shí)，GP應(yīng)該作為基本實(shí)施(BasePractices, BP)的一部分加以執(zhí)行在評(píng)估時(shí)，GP用于判定工程組織執(zhí)行某個(gè)PA149、以下關(guān)于信息安全工程說法正確的是信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的信息化建設(shè)可以先實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)信息化建設(shè)沒有必要涉及信息安全建設(shè)150、系統(tǒng)安全工程-能力成熟度模型(SystemsSecurityEngineering-Capabilitymaturitymodel,SSE-CMM)定義的包含評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是：風(fēng)險(xiǎn)過程151、以下行為不屬于違反國家保密規(guī)定的行為：將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)通過普通郵政等無保密措施的渠道傳遞國家秘密載體在私人交往中涉及國家秘密以不正當(dāng)手段獲取商業(yè)秘密152、具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括1＞安全事件(包括安全事故)報(bào)告制度2＞安全等級(jí)保護(hù)制度3＞信息系統(tǒng)安全監(jiān)控4＞安全專用產(chǎn)品銷售許可證制度A.1，2，4B. 2，3C. 2，3，4D. 1，2，3153、信息系統(tǒng)建設(shè)完成后，()的信息系統(tǒng)的運(yùn)營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)合格后方可投入使用。二級(jí)以上([2004]66號(hào))，對(duì)等級(jí)保護(hù)工作的開展提供宏觀()該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件20042005年及之后的工作該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位155、CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？表達(dá)方式的通用性，即給出通用的表達(dá)表示獨(dú)立性，它強(qiáng)調(diào)講安全的功能和保證分離CCIT156、對(duì)于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)？A.ISO/IEC15408B. 802.11C.GB/T20984D. X.509157、在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級(jí)別?C2C1B2B1158、關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的()。159、年，RFC4301(RequestforComments4301:SecurityArchitecturefortheProtocol)IPsec層(IPv4/IPv6)RFC()。國際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization,ISO)國際電工委員會(huì)(InternationalElectrotechnicalCommission，IEC)國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織(ITUTelecommunicationStandardizationSecctor，ITU-T)Internet(InternetEngineeringTaskForce，IETF)160、GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》是測評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廊(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget，ST)的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)(EvaluationAssuranceLevel，EAL)，其評(píng)估保證級(jí)共分為()個(gè)遞增的評(píng)估保證等級(jí)。A4BC6D、7161、關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)E. 162、有關(guān)系統(tǒng)工程的特點(diǎn)，以下錯(cuò)誤的是：系統(tǒng)工程研究問題一般采用先決定整體框架，后進(jìn)入詳細(xì)設(shè)計(jì)的程序163、以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。DSMART(Specific)＞(Measurable)＞致同意(Agreeto)、現(xiàn)實(shí)(Realistic)＞有一定的時(shí)限(Time-oriented)164、以下說法正確的是：驗(yàn)收測試是同承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收軟件測試的目的是為了驗(yàn)證軟件功能是否正確監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃，并提出審查意見軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段165、在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：審核實(shí)施投資計(jì)劃企業(yè)資質(zhì)166、以下系統(tǒng)工程說法錯(cuò)誤的是：系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普片意義的科學(xué)方法系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法系統(tǒng)工程是一種方法論167．關(guān)于密鑰管理，下列說法錯(cuò)誤的是:A. 保密通信過程中，通信方使用之前用過的會(huì)話鑰建立會(huì)話，不影響通信安全CD、diffie-hellman168、PDCERF:/檢測階段（）所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的/應(yīng)答等幾種類型170、“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為（）UTMFWIDSSOC171。檢測并分析用戶和系統(tǒng)的活動(dòng)核查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性防止IP地址欺騙識(shí)別違反安全策略的用戶活動(dòng)172、GaryMcGraw博士及其合作者提出軟件安全應(yīng)由三根支柱來支撐，這三個(gè)支柱是()。源代碼審核、風(fēng)險(xiǎn)分析和滲透測試應(yīng)用風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)威脅建模、滲透測試和軟件安全接觸點(diǎn)威脅建模、源代碼審核和模糊測試10001Http10001元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可174、某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時(shí)要求程序員編寫安全的代碼，但是在部署時(shí)Web模糊測試源代碼測試滲透測試軟件功能測試175、以下哪一項(xiàng)不是常見威脅對(duì)應(yīng)的消減措施：假冒攻擊可以采用身份認(rèn)證機(jī)制來防范為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限176、以下關(guān)于模糊測試過程的說法正確的是：模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)A.對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告177、有關(guān)危害國家秘密安全的行為，包括：嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為17820047A. 統(tǒng)籌規(guī)劃分組建設(shè)資源共享平戰(zhàn)結(jié)合179可以建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查可以強(qiáng)化員工的信息安全意識(shí)，建立良好的安全作業(yè)習(xí)慣，培育組織的信息安全企業(yè)文化可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對(duì)該組織保障其業(yè)務(wù)平臺(tái)和數(shù)據(jù)信息的安全信心ISO9001180、不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中，錯(cuò)誤的是()。定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性181、WindowsSIDWindows操作系統(tǒng)中使whoami/usersSID為S-1-5-21-1534169462-1651380828-111620651-500,下列選項(xiàng)中，關(guān)于此SID的理解錯(cuò)誤的是()S-1-5SIDWindowsNT21C. WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651D此SID500guest賬戶182/etc/passwdUNIX/LinuxIDUID)IDGID)passwd文件后，發(fā)現(xiàn)每個(gè)用戶的加密的口令數(shù)據(jù)項(xiàng)都顯示為。下列選項(xiàng)中，對(duì)此現(xiàn)象的解釋正確的是passwd文件是假的用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為'X'加密口令被轉(zhuǎn)移到了另一個(gè)文件里這些賬戶都被禁用了183、Linux9個(gè)字符來表示，分別表示文件屬主、文件所屬組用戶和其他用戶對(duì)文件的讀(r)、寫(w)及執(zhí)行(x)usr/bin/passwd現(xiàn)了一位s下列選項(xiàng)中對(duì)這一位s的理解正確的是()-r-s1rootroot10704Apr2011:55/usr/bin/passwdsxssticky位，設(shè)置stickys表示SGIDs表示SUID184、Linuxroot10Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是()編輯文件/etc/passwd.檢查文件中用戶ID，禁用所有ID=O的用戶編輯文件/etc/ssh/sshd_config，將PermitRootLoginno編輯文件/etc/pam.d/system-auth,設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300編輯文件/etc/profile,設(shè)置TMOUT=600185、目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國家威脅三個(gè)層面劃分，則下面選項(xiàng)中屬于組織威脅的是()喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)186、以下哪種風(fēng)險(xiǎn)被認(rèn)為是合理的風(fēng)險(xiǎn)()未識(shí)別的風(fēng)險(xiǎn)可接受的風(fēng)險(xiǎn)(選的人居多)187、規(guī)劃的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，按照規(guī)范形成了若干文檔，其中，下面()中的文檔應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)要素識(shí)別”階段輸出的文檔。《風(fēng)險(xiǎn)評(píng)估方法和工具列表》主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測試評(píng)估工具等內(nèi)容《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容答188、以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity,IPsec)協(xié)議說法錯(cuò)誤的是()IP(AuthenticationHead,AH)IP(EncapsulatingSecurityPayload,ESP)C.(InternetProtocol,IP)IP頭D. IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性18910IP1010IPIPIPIP地址規(guī)劃方式是靜態(tài)分配地址NAT端口NAT190、在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A. 用戶名B、用戶口令…用戶主目錄用戶登錄后使用的SHELL191、某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目。總體目標(biāo)就是用交換式水平布線，由大型的交換機(jī)和路由器連通幾個(gè)主要的工作區(qū)域，在各個(gè)區(qū)域建立通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心。其中對(duì)交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一，和路由器的安全配置，操作錯(cuò)誤的是保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口帶外管理交換機(jī)，如果不能實(shí)現(xiàn)的話，就可以利用單獨(dú)的VLAN號(hào)進(jìn)行帶內(nèi)管理安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)準(zhǔn)備確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟在檢測階段，首先要進(jìn)行監(jiān)測、報(bào)告及信息收集應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)。wordswords系統(tǒng)中的“本地安全策略”IP安全策略，那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的關(guān)閉不必要的端口開啟審核策略、隨著“”“智能樓宇()。A、。B、核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)設(shè)備。C、規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具務(wù)冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求195、下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯(cuò)誤的是()A、BIS含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外B、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全爭觸點(diǎn)和安全測試C、軟件安全觸點(diǎn)是軟件開發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D、BSI196Windows2000以后的操ACLwindows()A、ACL只能由管理員進(jìn)行管理B、ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問對(duì)象的用戶和級(jí)的SIDC、訪問令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制人A、 通過信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息采取最小化原則B、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C、關(guān)閉不必要的服務(wù)，部署防火墻、IDS等措施D、系統(tǒng)安全管理員使用漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)()A、加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告C、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)199、2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安290()攻擊。AB、字典C、暴力D、XSS200TCPAB建立ASYNBBACK/SYNAAACKSYNSYNFlood攻擊屬于()A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊201A、強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以 問某個(gè)客體B、安全屬性是強(qiáng)制性的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，不能隨意修改C、系統(tǒng)通過比較客體玫主體的安全屬性來決定主體是否可以訪問客體D、它是一種對(duì)單個(gè)用戶執(zhí)行訪問控制的過程和措施202、信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、各國普遍將與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國普遍加強(qiáng)國際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評(píng)203（戶的個(gè)人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D204A、模糊測試本質(zhì)上屬于黑盒測試B、模糊測試本質(zhì)上屬于白盒測試CD、205ISMSISO/IEC27001GB/T220803（）AB、任用中CD、任用公示206、某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計(jì)算機(jī)中，通過修改注冊(cè)表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無用的是()A、不下載、不執(zhí)行、不接收來歷不明的軟件和文件B、不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C、使用共享文件夾D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件207恢復(fù)點(diǎn)目)3小時(shí)。請(qǐng)問這意味著（）A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問題定位和應(yīng)急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完整應(yīng)急處理工作并恢復(fù)對(duì)外運(yùn)行C3緊急業(yè)務(wù)服務(wù)能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)208、KerberosMM是指以下選項(xiàng)中的()A、安全憑證B、用戶名C、加密密鑰D、會(huì)話密鑰209ISMS27001GB/T22080A、資產(chǎn)清單B、資產(chǎn)負(fù)責(zé)人C、資產(chǎn)的可接受使用D、分類指南、信息的標(biāo)記和處理210、在使用系統(tǒng)安全工程-能力成熟模型(SSE-CMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，有關(guān)測量結(jié)果，錯(cuò)誤的理解是：()A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備了一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級(jí)B((ProcessArea,,PA)具備了定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程兩個(gè)公共特3C((ProcessAreaPA))4個(gè)基本實(shí)施(BaseParctices,BP)執(zhí)行此PA3個(gè)BP,則此過程區(qū)域能力成熟度級(jí)別為0D、組織在不同的過程區(qū)域的能力成熟可能處于不同的級(jí)別上,表示系統(tǒng)的邏輯模型,描述了數(shù)據(jù)流在系統(tǒng)中流動(dòng)的情況;它是一種功能模型,是常用的進(jìn)行軟件需求分析的圖形工具,其基本圖形符號(hào)是()A、輸入、輸出、外部實(shí)體和加工B、變換、加工、數(shù)據(jù)流和存儲(chǔ)C212,A、原型模型B、螺旋模型C、基于知識(shí)的智能模型D、噴泉模型213、隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來越突出,而與此同時(shí),發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源,下面描述正確的是()A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時(shí)自身在開發(fā)、部署和使用過程中存在的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問題的根本所在BCD214、下面對(duì)零日（zero-day）漏洞的理解中，正確的是A11日零點(diǎn)發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、200C、指一類漏洞,特別好被利用，一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達(dá)到攻擊目標(biāo)D、215ISO27001ISMSISMSA）ISMS建設(shè)指明方向并提供總體物領(lǐng)，明確總體要求BSMSCD216、有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法、理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)自資源的約束CD、217、開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾，這種現(xiàn)象稱作（）A、軟件工程B軟件周期C、軟D、軟件產(chǎn)生218、CB/T10個(gè)（）（）（）7（）5個(gè)階段風(fēng)險(xiǎn)評(píng)估的常見（），給出了風(fēng)險(xiǎn)評(píng)估的一般計(jì)算方法和相關(guān)工具建議。A、風(fēng)險(xiǎn)要素；風(fēng)險(xiǎn)評(píng)估；實(shí)施流程；生命周期；工作形式BC、風(fēng)險(xiǎn)要素；生命周期；風(fēng)險(xiǎn)評(píng)估；實(shí)施流程；工作形式D、219、王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排,他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論，他這個(gè)掃描活動(dòng)屬于下面哪一個(gè)階段的工作（）A、風(fēng)險(xiǎn)分析BC、風(fēng)險(xiǎn)結(jié)果判定D、風(fēng)險(xiǎn)處理220、超文本傳輸協(xié)議(HyperTextTransferProtocol,HTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議，下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能()AHTTP1.0B、HTTP1.1協(xié)議C、HTTPS協(xié)議D、HTTPD協(xié)議221、訪問控制的實(shí)施一般包括兩個(gè)步驟:首先要鑒別主體的合法身份，根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)限。在此過涉及主體、客體、訪問控制實(shí)施部件和訪問控制決策部件之間的交互。下圖所示、、、4A、主體、訪問控別決策、客體、訪問控制實(shí)施B、主體、訪問控制實(shí)施，客體、訪問控制決策CD222()A、BCD、/etc/passwdUNIX/LinuxApasswdB、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為“X”C、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶都被禁用了224、陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過程，包括五個(gè)方面:起源、方式、途徑、受體和后果。他畫了下面這張圖來描述信息安全風(fēng)險(xiǎn)的構(gòu)成過程，圖中括號(hào)空白處應(yīng)該填寫()A、信息載體B、措施C、脆弱性225、關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是()AB、應(yīng)急響應(yīng)方法和過程并不是唯一的CD66?A對(duì)軟件開發(fā)商提出安全相關(guān)要求,確保軟件開發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知C、感求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞D、要求軟件開發(fā)商格式，并在使用前對(duì)輸入數(shù)據(jù)江軟件進(jìn)行模塊化設(shè)計(jì)進(jìn)行校驗(yàn)按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部227A、信息安全管理體系(ISMS)B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO27000系列、在信息系統(tǒng)中，訪問控制是重要的安全功能之一，它的任務(wù)是在用)A. 對(duì)文件進(jìn)行操作的用戶是一種主體B主體可以接收客體的信息和數(shù)也可能改變客體相關(guān)的信息訪問權(quán)限是指主體對(duì)客體所允許的操作對(duì)目錄的訪問權(quán)限可分為讀、寫229、根據(jù)Bell-LaPadula模型安全策略，下圖中寫和讀操作正確的是()A、可寫可讀BD、不可讀不可寫右圖所示，他所受到的攻擊是（）A、ARP欺騙B、DNS欺騙C、IP欺騙D、TCP會(huì)話231、隨著“互聯(lián)網(wǎng)+”概念的普及，越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用、穩(wěn)定、高效，計(jì)劃通過網(wǎng)絡(luò)冗余配置確?！敝悄軜怯睢毕到y(tǒng)的正常運(yùn)轉(zhuǎn)，下列選項(xiàng)中不屬于冗余配置的是()AB、C、規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要232、根據(jù)我國信息安全等級(jí)保護(hù)的有關(guān)政策