2023年CISP(NISP二級)新題庫及答案導(dǎo)出版

維護(hù)費用。"國家發(fā)展改革委所下發(fā)的()要求；電子政務(wù)工程建設(shè)項目必須同依據(jù)。在我國2017年正式發(fā)布的()中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保設(shè)、同步使用。"信息安全工程就是要解決信息系統(tǒng)生題。產(chǎn)的所有者應(yīng)對其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價值取來源于27002標(biāo)準(zhǔn)的原文動①制定風(fēng)險處理計劃②實施風(fēng)險處理計劃③開發(fā)有件的程序⑧實施內(nèi)部審核⑨實施風(fēng)險再評估選的活動，選項()描述了在此階段管理體系的實施階段(D-Do),而8和9屬于檢查階段(C-Check)。選項中，對訪問控制的作用的理解錯誤的是()。A、風(fēng)險轉(zhuǎn)移述錯誤的是()。、、、17.下面有關(guān)軟件安全問題的描述中，哪項應(yīng)是由于軟件設(shè)計缺陷引起的()必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮?)安金審計機(jī)究門費主體客體A、PDR23.以下說法正確的是()。416頁出現(xiàn)錯誤的選項是()下列選項中，對設(shè)施安全的保障的描述正確的是()。D劃分為3個控制階段，不包括哪一項()的是()。36.SARSA模型包括(),它是一個(),它在第一層從安全的角度定義了()。號空白處應(yīng)填寫()領(lǐng)導(dǎo)同報/采訪領(lǐng)導(dǎo)/分析數(shù)器確定調(diào)查結(jié)果產(chǎn)生奔解工作結(jié)果權(quán)限為test以下哪項功能不是惡意代碼利用即時通訊進(jìn)行傳播的方式()操作習(xí)慣()52.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當(dāng)天17:00到20:D、拒絕服務(wù)攻擊流量突增5倍以上，說明是流量性的攻擊，最后可能的就是拒絕服務(wù)攻擊。個，序列號永遠(yuǎn)為().服務(wù)器收到START包以后，回送一個REPLY包，表示認(rèn)工作，總結(jié)錯誤的是()監(jiān)控審查溝通咨詢由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是()。正確的是()誤67.在規(guī)定的時間間隔或重大變化發(fā)生時，組織的()和實施方法(如信息安全種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)?)。管理人員宜對自行()。為了日常評審的效率，可以考慮使用自動測量和()。評審結(jié)果和管理圖中，空白方框中從右到左依欠填入的是()。協(xié)助虛急價具反黃協(xié)助虛急實施應(yīng)急P149圖4-1術(shù)的兩大核心技術(shù)是()。消耗的角度，下列選項中他應(yīng)該采取的最合適的模型或方法是()。工作是錯誤，作為企業(yè)的CS0,請你指出存在問題的是哪個總結(jié)?()屬于組織威脅的是()。的哪一層()75.下列信息安全評估標(biāo)準(zhǔn)中，哪一個是我國信息安全評估的國家標(biāo)準(zhǔn)?()準(zhǔn)準(zhǔn)TCSEC標(biāo)準(zhǔn)(可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn))是美國政府國防部標(biāo)準(zhǔn)，為評估計算機(jī)onCriteria,CC);FC上美國1991年制定了一個《聯(lián)邦(最低安全要求)評估ityEvaluationCriteria,信息技術(shù)安全評估標(biāo)準(zhǔn))是評估產(chǎn)品和系統(tǒng)中計算機(jī)安全性的一套結(jié)構(gòu)化的標(biāo)準(zhǔn)。于1990年5月首先在法國，德國，荷蘭和英國出正確的是()。79.關(guān)于信息安全管理體系的作用，下面理解錯誤的是()。任、、、模型則更強調(diào)(),即強調(diào)系統(tǒng)安全的(),并且以安全檢測、()和自適應(yīng)填充“安全間隙”為循環(huán)來提高()了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機(jī)制的理解錯誤的是()。A、regedit90.2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上務(wù)其中錯誤的是()制以及加強信息安全保障工作的主要原則()95.管理，是指()組織并利用其各個要素(人、財、物、信息和時空),借助增多的、范圍越來越廣的威脅各()當(dāng)中。請問，他這個工作屬于下面哪一個階段的工作()100.有關(guān)能力成熟度模型(CMM),錯誤的理解是()。、C、C的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”、要的環(huán)節(jié)，下列關(guān)于密鑰管理說法錯誤的是()。104.以下哪項的行為不屬于違反國家保密規(guī)定的行為()信息安全等級保護(hù)制度(等保)是一項強制性基礎(chǔ)制度。P75頁。109.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于D、老王每天晚上12點將涉密計算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫信數(shù)據(jù)加密等功能()。該工作原則()選項中不合理的是()安排了對集團(tuán)公司下屬單位的總經(jīng)理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)115.關(guān)于《網(wǎng)絡(luò)安全法》域外適用效力的理解，以下哪項是錯誤的()檢查。此類信息系統(tǒng)應(yīng)屬于()。A、操作(1),應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作(4),應(yīng)該開啟審核策略C、操作(3),備份敏感文件會導(dǎo)致這些文件遭到竊取的D、操作(2),在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略操作(4),應(yīng)該開啟審核策略。特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是()、、析的知識，其中錯誤的是()點關(guān)鍵活動基于關(guān)鍵活動關(guān)鍵活動關(guān)鍵活動關(guān)鍵活動()建設(shè)和開展()工作的通知(公信安[2010]303號)等文件，由公安部()對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期(),對不具備能力的測評機(jī)構(gòu)則()。128.關(guān)于軟件安全問題，下面描述錯誤的是()“由程序開發(fā)者遺留的，和軟件部署運行環(huán)境有關(guān)”出可行的參考建議，在該網(wǎng)絡(luò)工程師的建議中，錯誤的是()A、所選擇的特征(指紋)便于收集、測量和比較132.社會工程學(xué)是()與()結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因為它協(xié)議等技術(shù)體系缺陷的(),隨著時間流逝最終都會失效，因為系統(tǒng)的漏洞可以“弱點”,而人性是(),這使得它幾乎是永遠(yuǎn)有效的()。133.()第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))按照()實行分級保護(hù)。()應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)()后，方可投入使用?！侗Ｃ芊ā返诙龡l規(guī)定存儲、處理國家秘密的計算密信息系統(tǒng))按照涉密程度實行分級保護(hù)。涉密信息系統(tǒng)同步運行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)檢查合格后，方可投入使常規(guī)控制措施的范圍()以下4種對BLP模型的描述中，正確的是()。A、BLP□下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認(rèn)證的7個步驟，其中有幾個步驟出現(xiàn)錯客產(chǎn)機(jī)7.請求運程服務(wù)6.獲得運程S域B應(yīng)用服務(wù)器s、、、立的攻擊方式()150.有關(guān)系統(tǒng)工程的特點，以下錯誤的是()151.關(guān)于信息安全管理，下面理解片面的是()、、、、準(zhǔn)的先進(jìn)性()CC標(biāo)準(zhǔn)充分突出了“保護(hù)輪廓”這一概念，將評估過程分“功能”和“保證”生命周期的討論，在下面的發(fā)言觀點中，正確的是()C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提SDL155.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項錯誤A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)\軟件R威脅C、對于R威脅，可以選擇使用如強認(rèn)證、數(shù)字簽名、安全審計等技術(shù)D、對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)請問該措施屬于哪種風(fēng)險處理方式()規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項()應(yīng)放入到一級文件中.163.關(guān)于信息安全保障技術(shù)框架(IATF),以下說法不正確的是()。D、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安164.()在實施攻擊之前，需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個大型集團(tuán)公司總部的()。那么他需要了解這個大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信的評估。通過信息系統(tǒng)安全保障評估所搜集的(客觀證據(jù)),向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的(安全保障工作)能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌笫?信息系統(tǒng)),信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同持續(xù)的過程，涉及信息系統(tǒng)整個(生命周期),因此信息系統(tǒng)安全保障的評估也安全安全管理保障計估需要信心系統(tǒng)到到P33頁。于()P370頁B、信息安全事件實行分類和分級管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對和事后處理的各項相關(guān)工作更具針對性和有效性D、我國早期的計算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計算機(jī)病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。168.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時間為周三，因此導(dǎo)致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20986-2007《信息安全事件分級分類指南》,該事件的準(zhǔn)確分類和定級應(yīng)該是()A、有害程序事件特別重大事件(1級)B、信息破壞事件重大事件(Ⅱ級)C、有害程序事件較大事件(Ⅲ級)D、信息破壞事件一般事件(IV級)木馬病毒為有害程序事件，系統(tǒng)數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項()170.2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃(p三道防線，強化未來安全環(huán)境.從以上內(nèi)容，我A、CNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不D、CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視面理解錯誤的是()。C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被控制或者受到影響174.如圖所示，主體S對客體01有讀(R)權(quán)限，對客體02客體0)客體0RRW目標(biāo)RPO-0,以下描述中，正確的是()。D、RPO-0,相當(dāng)于沒有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處176.組織應(yīng)依照已確定的訪問控制策略限制對信息和()功能的訪問。對訪問的用戶身份。在需要強認(rèn)證和()時，宜使用加密、智能卡、令牌或生物手段等替對程序源代碼和相關(guān)事項(例如設(shè)計、說明書、驗證計劃和確認(rèn)計劃)的訪問宜教材第112頁9.4.5表格之下的所有部分，到118頁的最上面一段177.即使最好用的安全產(chǎn)品也存在()。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠每一種機(jī)制都應(yīng)包括()兩種手段。攻擊，同時保持易用性。下列選項中說法錯誤的是()IPSec不是一個單獨的協(xié)議，它還包括AH(網(wǎng)絡(luò)認(rèn)證協(xié)議)、ESP(載荷封裝協(xié)是錯誤的()。183.下面哪項屬于軟件開發(fā)安全方面的問題()于應(yīng)用安全防護(hù)考慮的是()。級的描述()C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日D、安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2中成自己的功能，這里N應(yīng)等于()0S17層和TCPIP四層哪一條建議不可取()25%,年度發(fā)生率(AnnualizedRateofOccurrence,AR0)為0.2,那么小王計算的年度預(yù)期損失(AnnualizedLossExpectancy,ALE)應(yīng)該是()。年度預(yù)期損失=總價值*暴露系數(shù)*年度發(fā)生率即400*2以下對于隨機(jī)進(jìn)程名技術(shù)，描述正確的是()。197.關(guān)于密鑰管理，下列說法錯誤的是()性B、保密通信過程，通信使用之前用過的會話密鑰建立會話，不影響通信安全D、在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰、任D、承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和/或其他處分錯誤的是()。003]27號)中，針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全B、2015年，為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng)，經(jīng)報國務(wù)院學(xué)位委員會批準(zhǔn)，國風(fēng)險描述錯誤的是()C、實施風(fēng)險處理時，應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)威威脅脆弱點減小保護(hù)要求防護(hù)措施A、組織應(yīng)該根據(jù)風(fēng)險建立相應(yīng)的保護(hù)要求，通過構(gòu)架防護(hù)措施降低風(fēng)標(biāo)注該信息系統(tǒng)的RPO(恢復(fù)點目標(biāo))指標(biāo)為3小時。請問這意味著()。后，系統(tǒng)至多能丟失3小時的業(yè)務(wù)數(shù)據(jù)后，系統(tǒng)運行3小時后能恢復(fù)全部數(shù)據(jù)D、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時內(nèi)到位，A、DSS210.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定口A、與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國口B美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全逐步形成了()、備案、差距分析(也叫差距測評)、建設(shè)整改、驗收測評、定期復(fù)查為流程的()工作流程。和《等級保護(hù)實施指南》中規(guī)定的針對()的五來發(fā)現(xiàn)軟件故障的方法。下面描述正確的是()的訪問控制模型等，下面描述中錯誤的是()B、自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者(往往也是創(chuàng)建者)可214.隨著“互聯(lián)網(wǎng)”概念的普及，越來越多的新興住宅小區(qū)引入了“智能樓宇”絡(luò)服務(wù)的可用，穩(wěn)定、高效，計劃通過網(wǎng)絡(luò)冗余配置的是()?！胺乐咕W(wǎng)絡(luò)主線路出現(xiàn)故障”,所以應(yīng)做線路備份。安全配置內(nèi)容中的()。(公通字[2004]66號),對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束，明確了關(guān)于該文件，下面理解正確的是()B、該文件適用于2004年的等級保護(hù)工作，其內(nèi)容不能約束到2005年及之后的C、該文件是一個總體性指導(dǎo)文件，規(guī)定所有信息系統(tǒng)都要納圍面對于信息本身，信息的敏感性的定義是對信息保護(hù)的()和(),信息在不同A、24萬計算公式為100萬*24%*(3/8)=9萬219.關(guān)于計算機(jī)取證描述不正確的是()。B、計算機(jī)取證的過程可以分為準(zhǔn)備、保護(hù)、提取、分析和提交5個步驟護(hù)A、規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)估保證級共分為()個遞增的評估保證等級。222.面對過國家秘密定級和范圍的描述，哪項不符合《保密法》要求()、、、、不包括()屬于或依附于傳輸層的安全協(xié)議是()。8頁。成效，關(guān)于我國信息安全實踐工作，下面說法錯誤的是()B、重視信息安全應(yīng)急處理工作，確定由國家密碼B、所有合法用戶可訪問229.信息收集是()攻擊實施的基礎(chǔ)，因此攻擊者在實施前會對目標(biāo)進(jìn)行(),通常不會采取措施(),這正是社會工程學(xué)攻擊者所希望的。C、帶外管理交換機(jī)，如果不能實現(xiàn)的話，可以利用單獨的VLAN號進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)交換機(jī)和路由器的管理包括了版本更新，也包括了補丁管理。233.關(guān)于補丁安裝時應(yīng)注意的問題，以下說法正確的是A、在補丁安裝部署之前不需要進(jìn)行測試，因為補丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B、補丁的獲取有嚴(yán)格的標(biāo)準(zhǔn)，必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補丁時需要做好備份和相應(yīng)的應(yīng)急措施D、補丁安裝部署時關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響234.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或?qū)Π踩暂^高的系統(tǒng)。強制訪問控制模型有多種類型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自學(xué)了BLP模型，并對該模型的特點進(jìn)行了總結(jié)。以下4鐘對BLP模型的描述中，正確的是():A、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”B、BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”增加C、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制的認(rèn)證了802.11i正式標(biāo)準(zhǔn)(也稱為WPA2),在加密算法上AESCCMP織內(nèi)部信息安全的有效管理，應(yīng)該實施常規(guī)的控制措施，不包括哪些選項()241.對于關(guān)鍵信息基礎(chǔ)設(shè)施的理解以下哪項是正確的()務(wù)?B、數(shù)字簽名D、路由控制述中錯誤的是()。該圖不難得出，信息系統(tǒng)是()。信息系統(tǒng)安全風(fēng)險的因素主要有()統(tǒng)戰(zhàn)略層政策、目標(biāo)、方針戰(zhàn)術(shù)層措施風(fēng)險評估準(zhǔn)備風(fēng)險評估準(zhǔn)備識別需要保護(hù)的資產(chǎn)并賦值，識別面臨的威脅并賦值確認(rèn)已有的安全措施風(fēng)險分析風(fēng)險要素識別頁用是()測試，以下關(guān)于滲透測試過程的說法不正確的是()。驟256.保護(hù)-檢測-響應(yīng)(Protection-Detection-Response,PDR)模型是()工作中常用的模型，其思想是承認(rèn)()中漏洞的存在，正視系統(tǒng)面臨的(),通過采取適度防護(hù)、加強()、落實對安全事件的響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)257.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是()。A、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級259.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)則()根據(jù)威脅建模的消減威脅的做法。以下哪個屬于修改設(shè)計消除威脅的做法()以下哪種功能()。263.下列選項中對信息系統(tǒng)審計概念的描述中不正確的是()某單位在實施風(fēng)險評估時，按照規(guī)范形成了若干文檔，其中，下面()中的文檔工作階段輸出文檔文準(zhǔn)備階段《系統(tǒng)調(diào)研報告》對被評估系統(tǒng)的調(diào)查了情況、業(yè)務(wù)應(yīng)用等內(nèi)容《風(fēng)險評估方案》根據(jù)調(diào)研情況及評估目對象、工作計劃、主要識別階段《資產(chǎn)價值分析報告》《威脅分析報告》威脅調(diào)查情況，明確存以及嚴(yán)重威脅說明《安全技術(shù)脆弱性分析報告》《安全管理脆弱性分析報告》維等方面的脆弱性說明《已有安全措施分析報告》分析組織或信息系統(tǒng)已技術(shù)和管理兩方面的安風(fēng)險分析《風(fēng)險評估報告》析評價等，應(yīng)說明風(fēng)險風(fēng)險處置《安全整改建議》對評估中發(fā)現(xiàn)的安全問建議265.2016年12月27日，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，國家互聯(lián)網(wǎng)權(quán)、安全、發(fā)展利益，實現(xiàn)建設(shè)網(wǎng)絡(luò)強國的()。268.了解社會工程學(xué)攻擊是應(yīng)對和防御()的關(guān)鍵，對于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會學(xué)的攻擊的概念和攻擊的()。組織機(jī)構(gòu)可采取對相關(guān)人在社會工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和()。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就()。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓(xùn)和教育，向員工灌輸(),以降低社會工程學(xué)攻擊的風(fēng)險。屬于()安全事件發(fā)生可能性1234513692583694759基本特性的是()。電子數(shù)據(jù)電子簽名消見換變274.在新的信息系統(tǒng)或增強已有()業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安全控制措施的要求。信息安全的系統(tǒng)要求與實施安全的過程宜在信息系統(tǒng)項目的早期階段被集成，在早期如設(shè)計階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個正式的()過程。通過()訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動、合同爭端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險評估并進(jìn)行適當(dāng)?shù)目刂?，包括驗證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的()。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的()。A、披露和修改；信息系統(tǒng)；測試和獲??；公共網(wǎng)路；復(fù)制或重播B、信息系統(tǒng)；測試和獲??；披露和修改；公共網(wǎng)路；復(fù)制或重播C、信息系統(tǒng)；測試和獲??；公共網(wǎng)路；披露和修改；復(fù)制或重播D、信息系統(tǒng)；公共網(wǎng)路；測試和獲??；披露和修改；復(fù)制或重播275.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/T20274.1-2006)后，繪制了一張簡化的信息系統(tǒng)安全保障模型圖，生命周期(從規(guī)劃、實施到廢棄)A、安全保障(方針和組織)B、安全防護(hù)(技術(shù)和管理)277.1993年至1996年，歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標(biāo)準(zhǔn)，簡稱CC標(biāo)準(zhǔn)，該安全評估標(biāo)準(zhǔn)的全稱278.在某網(wǎng)絡(luò)機(jī)房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)A、審核實施投資計劃B、審核實施進(jìn)度計劃C、審核工程實施人員監(jiān)理從項目招標(biāo)開始到項目的驗收結(jié)束，在投資計劃階段沒有監(jiān)理。279.為了防止授權(quán)用戶不會對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，需要實施對數(shù)據(jù)的完整性保護(hù)，下列哪一項最好地描述了星或(·-)完整性原則?()A、Bell-LaPadula模型中的不允許向下寫B(tài)、Bell-LaPadula模型中的不允許向上讀C、Biba模型中的不允許向上寫A、OCSPactices,GP),錯誤的理解是()。290.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityln)系列模型說法錯誤的B、BSI含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離BSI認(rèn)為軟件安全有3根支柱：風(fēng)險管理、軟件安全接觸點和安全知識，其強調(diào)291.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解A、(1)→(2)→(3)對造成影響D、風(fēng)險評估后再基于此框架討論信息系統(tǒng)的()。在IATF中，將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個焦點領(lǐng)域：():區(qū)域邊界即本地計算環(huán)境的外緣；();支持性基礎(chǔ)設(shè)施，在深度防御技術(shù)方案中推薦()原則、()原則。審計人員對這份報告的說法正確的是()的301.社會工程學(xué)本質(zhì)上是一種(),()通過種種方式來引導(dǎo)受攻擊者的()向人(2001年2月)雜志中總結(jié)對()的研究，介紹了6種“人類天性基本傾向”,這些基本傾向都是()工程師在攻擊中所依賴的(有意思或者無意識的)。302.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的B、Https使用的端口和http不同，讓攻擊者不容易找到端口，具性C、Https協(xié)議是http協(xié)議的補充，不A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及307.1S027002(Informationtechnology-SecuritytechniquesOCodeofpraticef、、、、ateNetwork,IPsecVPN)時，以下說法正確的是()。、、的主要目的是()。F),目的是為保障政府和工業(yè)的()提供了()。信息安全保障技術(shù)框架的一操作)。A、httpd.conf、、、、中，數(shù)據(jù)封裝的順序是()。發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2;其中資產(chǎn)A1面臨請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風(fēng)險值()。320.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是()。A、應(yīng)急響應(yīng)方法和過程并不是唯一的制、根除、恢復(fù)和跟蹤總結(jié)6個階段，這6個階段的響應(yīng)方法一定能確保事件處制、根除、恢復(fù)和跟蹤總結(jié)6個階段過程屬于()。因為協(xié)議需要時鐘同步。三個步驟：1)身份認(rèn)證后獲得票據(jù)許可票據(jù)；2)獲得服務(wù)許可票據(jù)；3)獲得服務(wù)。件權(quán)限操作共10個方面來完成。小張在學(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識后，中不合理的是()。ID為0的用戶為root用戶，通常不使用root用戶遠(yuǎn)程運維，但也不應(yīng)本地禁325.美國系統(tǒng)工程專家霍爾(A.D.HalI)在1969年利用機(jī)構(gòu)分析法提出著名的維結(jié)構(gòu)是將系統(tǒng)工程整個活動過程分為前后緊密銜接的()階段和()步驟，同時還考慮了為完全這些階段和步驟所需要的各種()。這樣，就形成了由()、統(tǒng)分析統(tǒng)分析系統(tǒng)綜合確定目標(biāo)明確問題326.信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)()年進(jìn)行一次等級測評?安全事件或違反()。對抗此類信息收集和分析，公司需要做的是()331.以下關(guān)于VPN說法正確的是()A、VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路面的作用，其中總結(jié)錯誤的是()C、可以增強客戶、業(yè)務(wù)伙伴、投資人對該組A、-rwxr-xr-x3useradmin1024Sep1311:testdrwxrxruseradminSeptC、-rwxr-xradminuserSeptest339.某公司系統(tǒng)管理員最近正在部署一臺Web服務(wù)器，使用的操作系統(tǒng)是windo、、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作、C、訪問控制務(wù)，而SQL注入防護(hù)是WAF的主要功能。341.Linux系統(tǒng)的安全設(shè)置中，對文件的權(quán)限操作是一項關(guān)外其他用戶的寫權(quán)限，那么以下操作中正確的是()A、#chmodu+x,a-wfib.c備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是()。A、RTO不可以為0,RPO也不可以為0B、RTO可以為0,RPO也可以為0C、RTO可以為0,RPO不可以為0D、RTO不可以為0,RPO可以為0為0是最完美的解決方案，因為在兩個值都為0的情況下，意味著系統(tǒng)永343.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是()。不包括哪一項()自己總結(jié)了下面四條要求，其中理解不正確的是()。、、、、352.建立并完善()是有效應(yīng)對社會工程攻擊的方法，通過()的建立，使得信息系統(tǒng)用戶需要遵循()來實施某些操作，從而在一定程度上降低社會工程學(xué)的措施的()過程，以確保滿足該組織的特定安全和()。這個過程宜與其他業(yè)務(wù)()聯(lián)合進(jìn)行。P103頁化發(fā)展的(),當(dāng)前我國信息安全保障工作逐步加強。制定并實施了(),初步建立了信息安全管理體制和()。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平A、5個；信息化；基本形勢；國家安全戰(zhàn)略；工作機(jī)制B、6個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機(jī)制C、7個；信息化；基本形勢；國家安全戰(zhàn)略；工作機(jī)制D、8個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機(jī)制者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成的是()。能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力是0級評估方法()。C、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險評估、風(fēng)險處理和溝通咨詢；監(jiān)控審查和批準(zhǔn)監(jiān)督；D、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險評估、監(jiān)控審查和批準(zhǔn)監(jiān)督；風(fēng)險處理和溝通咨詢。背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢。364.下圖描繪了信息安全管理體系的PDCA模型其中，建立ISMS中，組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細(xì)說明和正當(dāng)性理由。組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)理信息安全風(fēng)險識別適當(dāng)?shù)?)、資源、職責(zé)和優(yōu)選順序，監(jiān)視和評審ISMS中，組織應(yīng)執(zhí)行監(jiān)視與評審規(guī)程和其他()。以迅速檢測過程運行結(jié)果中的錯誤，迅速識別圖的和得逞的安全違規(guī)和事件，使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否按期望執(zhí)行，通過使用指示器幫助檢測安全事態(tài)并預(yù)防安全事件，確定解決安全違規(guī)的措施是否有效，保持和改進(jìn)ISMS中，組織應(yīng)經(jīng)常進(jìn)行ISMS改進(jìn)，采取合適的糾正和(),從其他組織和組織自身的安全經(jīng)驗中()。P規(guī)劃與建立組織背景領(lǐng)導(dǎo)力計劃A維護(hù)和改進(jìn)A維護(hù)和改進(jìn)C監(jiān)視與評審面分析推理正確的是()失去了跟主機(jī)的連接CDocumentsandSettingslvxiaoweiA、安全測試人員鏈接了遠(yuǎn)程服務(wù)器的220端口D、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是()D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題低370.PKI的主要理論基礎(chǔ)是()。B、滲透測試是用軟件代替人工的一種測試方法，因此測373.有關(guān)能力成熟度模型(CMM),錯誤的理解是()。374.信息安全管理體系也采用了()模型，該模型可應(yīng)用于所有的()。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的(和期望的()。A、ISMS;PDCA過程；行動和過程；信息安全結(jié)果圖所示),在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的(),其次是(),它包含了建筑設(shè)計中的()、物理設(shè)計、組件設(shè)計和服務(wù)管理設(shè)計，再者就是(),緊隨其后的則是()戰(zhàn)略與規(guī)劃管理與衡量設(shè)計實施管理與衡量?出145個缺陷，則可以計算出其軟件缺陷密度值是()。千行代碼缺陷率=缺陷數(shù)/(代碼行數(shù)/1000)錯誤的選項是()。A、將機(jī)房單獨設(shè)置防火區(qū)，選址時遠(yuǎn)離易燃易爆物品存放區(qū)域，機(jī)房外墻使用非燃燒材料，進(jìn)出機(jī)房區(qū)域的門采用防火門或防火卷簾，機(jī)房通風(fēng)管設(shè)防火栓B、火災(zāi)探測器的具體實現(xiàn)方式包括；煙霧檢測、溫度檢測、火焰檢測、可燃?xì)怏w檢測及多種檢測復(fù)合等C、自動響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時設(shè)立兩組獨立的火災(zāi)探測器，只要有一個探測器報警，就立即啟動滅火工作D、前在機(jī)房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等自動相應(yīng)一般多個探測器報警才會啟動滅火工作，單個報警器報警容易誤報。381.隨著計算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來越多樣化，自主訪問控制和強制訪問控制難以適應(yīng)需求，基于角色的訪問控制(RBAC)逐漸成為安種類型，它們之間存在相互包含關(guān)系。下列選項中，對它們之間的關(guān)系描述錯誤B、RBAC1在RBACO的基礎(chǔ)上，加入了角色等級的概念C、RBAC2在RBAC1的基礎(chǔ)上，加入了約束的概念D、RBAC3結(jié)合RBAC1和RBAC2,同時具備角色等級和約束383.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問“備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力2431B、1是客體，2是主體3是決策，4是實施C、1實施，2是客體3是主題，4是決策D、1是主體，2是實施3是客體，4是決策連接。該公司使用的IP地址規(guī)劃方式是()。要同時打開的個人計算機(jī)數(shù)量少于或等于可供分配的IP地址，那么，每臺個人394.有關(guān)危害國家秘密安全的行為包括()法行為，但不包括公共信息網(wǎng)絡(luò)運營商及服務(wù)法法誤人們提出了用()的原理來設(shè)計軟件，這就是軟件工程誕生的基礎(chǔ)。A、Windows系統(tǒng)是采用SID(安全標(biāo)識符)來標(biāo)識用戶對文件或文件夾的權(quán)限B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)D、將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能A、FAT16403.某銀行有5臺交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò)(如圖所示),在基于以太帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是()。404.以下哪種風(fēng)險被認(rèn)為是合理的風(fēng)險()。Kerberos由MIT于1988年開發(fā)，用于分布式環(huán)境中，完成應(yīng)實施若干活動，請選出以下描述錯誤的選項()407.基于對()的信任，當(dāng)一個請求或命令來自一個“權(quán)威”人士時，這個請求就可能被毫不懷疑的()。在()中，攻擊者偽裝成“公安部門”人員要求受害者對權(quán)威的信任。在()中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等一次系統(tǒng)測試，要求()等。408.以下關(guān)于數(shù)字簽名說法正確的是()制。410.組織應(yīng)定期監(jiān)控、審查、審計()服務(wù)，確保協(xié)議中的信息安全條款和條件指定的個人或()團(tuán)隊。另外，組織應(yīng)確保落實供應(yīng)商符合性審查和相關(guān)協(xié)議要是()要求的實現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時，宜采取().當(dāng)供應(yīng)商提供的服務(wù)，包括對()方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時，應(yīng)在考慮到、、、、420.密碼是一種用來混淆的技術(shù)，使用者希望正常的(可識別的)信息轉(zhuǎn)變?yōu)闊o點的密碼，請問以下選項中哪個密碼是最安全()制(4)基于規(guī)則的訪問控制中，能夠滿足以上要求的選項有()B、只有(2)(3)C、只有(3)(4)D、只有(4)錯誤的是()下哪個階段()435.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說法正確的是()。絡(luò)436.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知、、、、A、大整數(shù)分解A、檢測階段B、培訓(xùn)階段的一條是()丟失等情況建立一個符號法律、保險和組織的其他安全要求的()。攜帶重要、或使用()來保護(hù)設(shè)備。對于使用移動計算設(shè)施的人員要安排培訓(xùn)，以提高他們出的四項例子中有一項不對，請問是下面哪一項()A、數(shù)據(jù)訪問權(quán)限BSI認(rèn)為軟件安全有3根支柱：風(fēng)險管理、軟件安全接觸點和安全知識，其強調(diào)InformationSecurityManag下面描述錯誤的是()。、、雖然信息安全管理體系建設(shè)回提出一些技術(shù)要求，但是并沒有完整的要求構(gòu)建技447.在你對遠(yuǎn)端計算機(jī)進(jìn)行ping操作，不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL否太長而應(yīng)被丟棄。(簡而言之，你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TL值，可以大致判斷()B、操作系統(tǒng)的類型C、對方物理位置D、對方的MAC地址TTL是TimeToLive的縮寫，該字段指定IP包被路由器丟棄之前允許通過的最大網(wǎng)段數(shù)量，Widows操作系統(tǒng)默認(rèn)是128,Linux默認(rèn)是64,每經(jīng)過一個路由器減448.以下哪個是國際信息安全標(biāo)準(zhǔn)化組織的簡稱?()息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險評估工作6)5號)中，風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出充別的是()。C、禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來自RFC系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的()。形成一定的(),即組織應(yīng)建立并保持一個文件化的信息安全(),其中應(yīng)闡述念、、考核、獎勵等事宜。所有員工都可以登錄系統(tǒng)完成相關(guān)需要員工配合的工作，以下哪項技術(shù)可以保證數(shù)據(jù)的保密性：B、雙因子認(rèn)證459.系統(tǒng)安全工程能力成熟度模型評估方法(SSAM,SSE-CMMAppraisalMethod)是專門基于SSE-CMM的評估方法。它包含對系統(tǒng)安全工程-能力成熟度模型中定義的組織的()流程能力和成熟度進(jìn)行評估所需的()。SSAM評估過程分為四A、信息和方向；系統(tǒng)安全工程；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告B、信息和方向；系統(tǒng)工程；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告C、系統(tǒng)安全工程；信息；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告D、系統(tǒng)安全工程；信息和方向；規(guī)劃；準(zhǔn)備；現(xiàn)場；報告460.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制表(ACL)來表示，該ACL利用在客體上附加一個主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是()。A、ACL是BelI-LaPadula模型的一種具體實現(xiàn)B、ACL在刪除用戶