CISP考試認證(習題卷14)

試卷科目：CISP考試認證CISP考試認證(習題卷14)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認證第1部分：單項選擇題，共250題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.定義ISMS范圍時,下列哪項不是考慮的重點A)組織現(xiàn)有的部門B)信息資產(chǎn)的數(shù)量與分布C)信息技術(shù)的應用區(qū)域D)IT人員數(shù)量[單選題]2.有編輯／etc／passwd文件能力的攻擊者可以通過把UID變?yōu)開___就可以成為特權(quán)用戶。A)A-1B)B0C)C1D)D2[單選題]3.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生,防范這種攻擊比較有效的方法是?A)加強網(wǎng)站源代碼的安全性B)對網(wǎng)絡客戶端進行安全評估C)協(xié)調(diào)運營商對域名解析服務器進行加固D)在網(wǎng)站的網(wǎng)絡出口部署應用級防火墻[單選題]4.信息發(fā)送者使用進行數(shù)字簽名。A)己方的私鑰B)己方的公鑰C)對方的私鑰D)對方的公鑰[單選題]5.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡化程度逐步提高,網(wǎng)絡播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱?。小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測,將軟件行為與惡意代碼行為模型進行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A)簡單運行B)行為檢測C)特征數(shù)據(jù)匹配D)特征碼掃描[單選題]6.高層的協(xié)議將數(shù)據(jù)傳遞到網(wǎng)絡層，形成__，然后傳遞到數(shù)據(jù)鏈路層A)數(shù)據(jù)段B)信元C)數(shù)據(jù)幀D)數(shù)據(jù)包[單選題]7.下面沒有利用猜測密碼口令方式進行傳播的病毒是：A)高波變種3TB)迅猛姆馬C)震蕩波D)口令蠕蟲[單選題]8.1993年至1996年,歐美六國和美國商務部國家標準與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標準,簡稱CC標準,該安全評估標準的全稱為()A)《可信計算機系統(tǒng)評估準則》B)《信息技術(shù)安全評估準則》C)《可信計算機產(chǎn)品評估準則》D)《信息技術(shù)安全通用評估準則》[單選題]9.33.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A)傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B)傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)路接口層C)互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D)互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層[單選題]10.對于Linux審計說法錯誤的是?A)Linux系統(tǒng)支持細粒度的審計操作B)Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計日志到SOC平臺C)Linux系統(tǒng)一般使用AuDitD進程產(chǎn)生日志文件D)Linux在seCure日志中登陸成功日志和審計日志是一個文件[單選題]11.默認情況下WINDOWS那個版本可以抓到LMhashA)xpB)vistaC)7D)2008[單選題]12.35.管理層應該表現(xiàn)對()，程序和控制措施的支持，并以身作則。管理職責要確保雇員和承包方人員都了解其()角色和職責，并遵守相應的條款和條件。組織要建立信息安全意識計劃，并定期組織信息安全(）.組織要建立正式的()，確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀律處理過程要規(guī)定()，考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務的影響等因素，以及相關(guān)法律、業(yè)務合同和其他因素。A)信息安全:信息安全政策:教育和培訓，紀律處理過程:分級的響應B)信息安全政策:信息安全；教育和培訓:紀律處理過程；分級的響應C)信息安全政策:教育和培訓:信息安全:紀律處理過程；分級的響應D)信息安全政策；紀律處理過程；信息安全:教育和培訓:分級的響應[單選題]13.82.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：A)模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B)數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C)監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D)深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析[單選題]14.17.如下圖所示，兩份文件包含了不同的內(nèi)容。卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)的()A)單向性B)弱抗碰撞性C)強抗碰撞性D)機密性[單選題]15.以下關(guān)于Web傳輸協(xié)議、服務端和客戶端軟件的安全問、說法不正確的是（）A)HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗證和缺乏狀態(tài)跟蹤等方面的安全問、B)HTTP協(xié)議缺乏有效的安全機制，易導致拒絕服務、電子欺騙、嗅探等攻擊C)Cookie是為了所別用戶身份，進行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù)，用戶可以隨意查看存儲在Cookie中的數(shù)據(jù)，但其中的內(nèi)容不能被修改D)針對HTTP協(xié)議存在的安全問、，使用HTTPS具有較高的安全性，可以通過證書來驗證服務器的身份，并為服務器和服務器之間的通信加密[單選題]16.以下關(guān)于數(shù)字簽名說法正確的是()A)數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B)數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸,即安全傳輸問題C)數(shù)字簽名一般采用對稱加密機制D)數(shù)字簽名能夠解決篡改、偽造等安全性問題[單選題]17.以下關(guān)于信息安全工程說法正確的是()。A)信息化建設可以先實施系統(tǒng),而后對系統(tǒng)進行安全加固B)信息化建設中系統(tǒng)功能的實現(xiàn)是最重要的C)信息化建設沒有必要涉及信息安全建設D)信息化建設中在規(guī)劃階段合理規(guī)劃信息安全,在建設階段要同步實施信息安全建設[單選題]18.U盤里有重要資料，同事臨時借用，如何做更安全？A)同事關(guān)系較好可以借用B)刪除文件之后再借C)同事使用U盤的過程中，全程查看D)將U盤中的文件備份到電腦之后，使用殺毒軟件提供的?文件粉碎?功能將文件粉碎，然后再借給同事[單選題]19.防范密碼嗅探攻擊計算機系統(tǒng)的控制措施包括下列哪一項?A)靜態(tài)和重復使用的密碼。B)加密和重復使用的密碼。C)一次性密碼和加密。D)靜態(tài)和一次性密碼。[單選題]20.下列哪種方式可以解決網(wǎng)絡安全四要素：A)防火墻B)入侵檢測C)訪問控D)PKI基礎(chǔ)設施[單選題]21.以下哪項不是IDS可以解決的問題：A)彌補網(wǎng)絡協(xié)議的弱點B)識別和報告對數(shù)據(jù)文件的改動C)統(tǒng)計分析系統(tǒng)中異?；顒幽Ｊ紻)提升系統(tǒng)監(jiān)控能力[單選題]22.作為業(yè)務持續(xù)性計劃的一部分,在進行業(yè)務影響分析(BIA)時的步驟是:1.標識關(guān)鍵的業(yè)務過程;2.開發(fā)恢復優(yōu)先級;3.標識關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時間A)1-3-4-2B)1-3-2-4C)1-2-3-4D)1-4-3-2[單選題]23.信息安全管理組織說法以下說法不正確的是?A)信息安全管理組織人員應來自不同的部門。B)信息安全管理組織的所有人員應該為專職人員。C)信息安全管理組織應考慮聘請外部專家。D)信息安全管理組織應建立溝通、協(xié)調(diào)機制。[單選題]24.在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準，以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務目標和特性B)背景建立階段應識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時確認已有的安全措施，形成需要保護的資產(chǎn)清單C)背景建立階段應調(diào)查信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報告D)背景建立階段應分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告[單選題]25.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、正黨代名和密碼，以防止攻擊者利用以上信息進行()攻擊。A)默認口令B)字典C)暴力D)XSS[單選題]26.13.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的？A)小張服務態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題B)事件屬于服務器故障，是偶然事件，影響單位領(lǐng)導申請購買新的服務器C)單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D)事件屬于郵件系統(tǒng)故障，是偶然事件，應向單位領(lǐng)導申請升級郵件服務軟件[單選題]27.以下哪一個是對?最小特權(quán)?這一人員安全管理原則的正確理解：A)組織機構(gòu)內(nèi)的敏感崗位不能由一個人長期負責B)對重要的工作進行分解，分配給不同人員完成C)一個人有且僅有其他執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn))防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限[單選題]28.什么是數(shù)據(jù)庫安全的第一道保障A)操作系統(tǒng)的安全B)數(shù)據(jù)庫管理系統(tǒng)層次C)網(wǎng)絡系統(tǒng)的安全D)數(shù)據(jù)庫管理員[單選題]29.信息安全策略,聲稱?密碼的顯示必須以掩碼的形式?的目的是防范下面哪種攻擊風險?A)尾隨B)垃圾搜索C)肩窺D)冒充[單選題]30.59.某公司中標了某項軟件開發(fā)項目后，在公司內(nèi)部研討項目任務時，項目組認為之前在VPN技術(shù)方面積累不夠，導致在該項目中難以及時完成VPN功能模塊，為解決該問題，公司高層決定接受該項目任務，同時將該VPN功能模塊以合同形式委托另外一家安全公司完成，要求其在指定時間內(nèi)按照任務需求書完成工作，否則承擔相應責任。在該案例中公司高層采用哪種風險處理方式A)風險降低B)風險規(guī)避C)風險轉(zhuǎn)移D)風險接受[單選題]31.下圖中描述網(wǎng)絡動態(tài)安全的P2DR模型，這個模型經(jīng)常使用圖形的形式來表達的下圖空白處應填A)策略B)方針C)人員D)項目[單選題]32.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯誤的理解是()。A)基于SSE-CMM的工程是獨立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃實施B)SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C)SSE-CMM要求實施組織與其他組織相互作用,如開發(fā)方、產(chǎn)品供應商、集成商和咨詢服務商等D)SSE-CMM覆蓋整個組織的活動,包括管理、組織和工程活動等,而不僅僅是系統(tǒng)安全的工程活動[單選題]33.關(guān)鍵信息基礎(chǔ)設施的建設和其配套的安全技術(shù)措施應該（）A)同步規(guī)劃、同步建設、同步廢棄B)同步規(guī)劃、同步建設、同步使用C)同步建設、同步驗收、同步運維D)同步設計、同步驗收、同步運維[單選題]34.Unix的哪個目錄是用來放置各種配置文件的？A)/SB.INB)/ETC..C)/PROC.D)/D.WR[單選題]35.信息資產(chǎn)面臨的主要威脅來源主要包括A)自然災害B)系統(tǒng)故障C)內(nèi)部人員操作失誤D)以上都包括[單選題]36.CISP的中文翻譯是？A)注冊信息安全專家B)中國信息安全注冊人員C)中國信息安全專家D)注冊信息安全專業(yè)人員[單選題]37.以下關(guān)于直接附加存儲（DAS）說法錯誤的是？A)DAS能夠在服務器物理位置比較分散的情況下實現(xiàn)大容量存儲，是一種常用的數(shù)據(jù)存儲方法B)DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單C)DAS的缺點在于對服務器依賴性強，當服務器發(fā)生故障時，連續(xù)在服務器上的存儲設備中的數(shù)據(jù)不能被存取D)較網(wǎng)絡附加存儲（NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進行管理和備份[單選題]38.何種情況下，一個組織應當對公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全A)當信息安全事件的負面影響擴展到本組織以外時B)只要發(fā)生了安全事件就應當公告C)只有公眾的生命財產(chǎn)安全受到巨大危害時才公告D)當信息安全事件平息之后[單選題]39.S公司在全國有20個分支機構(gòu)，總部有10臺服務器、200個用戶終端，每個分支機構(gòu)都有一臺服務器、100個左右用戶終端，通過專用進行互聯(lián)互通。公司招標的網(wǎng)絡設計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給S公司選出設計最合理的一個：A)總部使用服務器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構(gòu)服務和用戶終端使用192.168.2.x~192.168.20.xB)總部使用服務器使用~11、用戶終端使用2~212，分支機構(gòu)IP地址隨意確定即可C)總部服務器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個分支機構(gòu)分配兩個A類地址段，一個用做服務器地址段、另外一個做用戶終端地址段D)因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可[單選題]40.假設一個系統(tǒng)已經(jīng)包含了充分的預防控制措施,那么安裝監(jiān)測控制設備:A)是多余的,因為它們完成了同樣的功能,但要求更多的開銷B)是必須的,可以為預防控制的功效提供檢測C)是可選的,可以實現(xiàn)深度防御D)在一個人工系統(tǒng)中是需要的,但在一個計算機系統(tǒng)中則是不需要的,因為預防控制功能已經(jīng)足夠[單選題]41.安全領(lǐng)域是由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域,下面哪項描述是錯誤的()A)安全域劃分主要以業(yè)務需求、功能需求和安全需求為依據(jù),和網(wǎng)絡、設備的物理部署位置無關(guān)B)安全域劃分能把一個大規(guī)模復雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護問題C)以安全域為基礎(chǔ),可以確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段。從而使同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護D)安全域邊界是安全事件發(fā)生時的抑制點,以安全域為基礎(chǔ),可以對網(wǎng)絡和系統(tǒng)進行安全檢查和評估,因此安全域劃分和保護也是網(wǎng)絡防攻擊的有效防護方式[單選題]42.信息系統(tǒng)安全保護等級為3級的系統(tǒng),應當()年進行一次等級測評?A)0.5B)1C)2D)3[單選題]43.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統(tǒng)災難恢復中的重要概念，關(guān)于這兩個值能否為零，正確的選項是（）A)RTO可以為0，RPO也可以為0B)RTO可以為0，RPO不可以為0C)RTO不可以為0，但RPO可以為0D)RTO不可以為0，RPO也不可以為0[單選題]44.31.20世紀20年代，德國發(fā)明家亞瑟.謝爾比烏斯（Aunturscherbius）和理查德.里特（RichardRitter）發(fā)明了ENIGMA密碼機，看密碼學發(fā)展歷史階段劃分，這個階段屬于（）A)古典階段。這一階段的密碼專家常?？恐庇X和技巧來設計密碼，而不是推理和證明。常用的密碼運算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備C)現(xiàn)代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?（thecommunicationtheoryofsecretsystems)為理論基礎(chǔ)，開始了對密碼學的科學探索。D)現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志，引發(fā)了密碼學歷史上的革命性的變革，同時，眾多的密碼算法開始應用于非機密單位和商業(yè)場合。[單選題]45.防火墻通常采用哪兩種核心技術(shù)？()A)包過濾和應用代理B)協(xié)議分析和應用代理C)協(xié)議分析和協(xié)議代理D)包過濾和協(xié)議分析[單選題]46.Ipsec（lPSecurity）協(xié)議標準的設計目標是在lPv4和lPv6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務，保護TCP／IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性下面選項中哪項描述是錯誤的（）A)IPSec協(xié)議不支持使用數(shù)字證書B)IPSec協(xié)議對于IPv4和IPv6網(wǎng)絡都是適用的C)IPSec有兩種工作模式：傳輸模式和隧道模式D)IPSec協(xié)議包括封裝安全載荷（ESP）和鑒別頭（AH）兩種通信保護機制[單選題]47.質(zhì)量保證小組通常負責：A)確保從系統(tǒng)處理收到的輸出是完整的B)監(jiān)督計算機處理任務的執(zhí)行C)確保程序、程序的更改以及存檔符合制定的標準D)設計流程來保護數(shù)據(jù)，以免被意外泄露、更改或破壞[單選題]48.59.信息安全管理體系（InformationSecurityManagementSystem，ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者，下面描述錯誤的是（）A)內(nèi)部審核和管理審評都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B)內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理審評會議的形式進行C)內(nèi)部審核的實施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務機構(gòu)D)組織的信息安全方針、信息安全目標和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準使用，但在管理評審中，這些文件是被審對象[單選題]49.16.下面對零日(zero-day)漏洞的理解中,正確的是A)指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠程攻擊,獲取主機權(quán)限B)指一個特定的漏洞在2010年被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設施C)指一類漏洞,特別好被利用,一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達到攻擊目標D)一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被人發(fā)現(xiàn),但是還未公開、還不存在安全補丁的漏洞都是零日漏洞[單選題]50.90.信息安全風險評估是針對事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進行識別、評價的過程，下列選項中不屬于風險評估要素的是()。A)資產(chǎn)B)脆弱性C)威脅D)安全需求[單選題]51.關(guān)于惡意代碼,以下說法錯誤的是:3/16注冊信息安全專業(yè)人員考試模擬考試試卷A)從傳播范圍來看,惡意代碼呈現(xiàn)多平臺傳播的特征。B)按照運行平臺,惡意代碼可以分為網(wǎng)絡傳播型病毒、文件傳播型病毒。C)不感染的依附性惡意代碼無法單獨執(zhí)行D)為了對目標系統(tǒng)實施攻擊和破壞,傳播途徑是惡意代碼賴以生存和繁殖的基本條件[單選題]52.如果想用winD.ows的網(wǎng)上鄰居方式和linux系統(tǒng)進行文件共享，那么在linux系統(tǒng)中要開啟哪個服務：A)D.HC.PB)NFSC)SA.MB.A.D)SSH[單選題]53.下面對于Rootkit技術(shù)的解釋不準確的是：A)Rootkit是攻擊者用來隱藏自己和保留對系統(tǒng)的訪問權(quán)限的一組工具B)Rootkit是一種危害大、傳播范圍廣的蠕蟲C)Rootkit和系統(tǒng)底層技術(shù)結(jié)合十分緊密D)Rootkit的工作機制是定位和修改系統(tǒng)的特定數(shù)據(jù)改變系統(tǒng)的正常操作流程[單選題]54.下列信息安全評估標準中,哪一個是我國信息安全評估的國家標準?()A)TCSEC標準B)CC標準C)FC標準D)ITSEC標準[單選題]55.下面那個是administrator的SIDA)S-1-5-21-1459253261-319776089-1172113026-100B)S-1-5-21-1459253261-319776089-1172113026-500C)S-1-5-21-1459253261-319776089-1172113026-1000D)S-1-5-21-1459253261-319776089-1172113026-1001[單選題]56.某單位開發(fā)一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站,該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析,模糊測試等軟件測試,在應用上線前,項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透性測試,作為安全主管,你需要提出滲透性測試相比源代碼測試,模糊測試的優(yōu)勢給領(lǐng)導做決策,以下哪條是滲透性的優(yōu)勢?A)滲透測試使用人工進行測試,不依賴軟件,因此測試更準確B)滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C)滲透測試以攻擊者思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞D)滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多[單選題]57.關(guān)于Linux下的用戶和組，以下描述不正確的是？A)在Linux中，每一個文件和程序都歸屬于一個特定的?用戶?B)系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C)用戶和組的關(guān)系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D)root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]58.通過向被攻擊者發(fā)送大量的ICMP回應請求,消耗被攻擊者的資源來進行響應,直至被攻擊者再也無法處理有效的網(wǎng)絡信息流時,這種攻擊稱之為:A)Land攻擊B)Smurf攻擊C)PingofDeath攻擊D)ICMPFlood[單選題]59.安全審計是一種很常見的安全控制措施,它在信息全保障系統(tǒng)中,屬于()措施。A)保護B)檢測C)響應D)恢復[單選題]60.54.以下SQL語句建立的數(shù)據(jù)庫對象是：CreateViewPatientsForDocotorsAsSelectPatientFROMPatient,DocotorWheredocotorID＝123A)表B)視圖C)存儲過程D)觸發(fā)器[單選題]61.系統(tǒng)上線前應當對系統(tǒng)安全配置進行檢查,不包括下列哪種安全檢查A)主機操作系統(tǒng)安全配置檢查B)網(wǎng)絡設備安全配置檢查C)系統(tǒng)軟件安全漏洞檢查D)數(shù)據(jù)庫安全配置檢查[單選題]62.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A)WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B)WPA是適用于中國的無線局域安全協(xié)議,WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C)WPA沒有使用密碼算法對接入進行認證,而WPA2使用了密碼算法對接入進行認證D)WPA是依照802.11i標準草案制定的,而WPA2是按照802.11i正式標準制定的[單選題]63.某銀行有5臺交換機連接了大量交易機構(gòu)的網(wǎng)絡(如圖所示),在基于以太網(wǎng)的通信中,計算機A需要與計算機B通信,A必須先廣播請求信息;,獲取計算機B的物理地址.每到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡服務速度極其緩慢.銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當其中一臺交換機收到ARP請求后,會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口,ARP請求會被轉(zhuǎn)發(fā)到網(wǎng)絡中的所有客戶機上.為降低網(wǎng)絡的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi),可以采用的技術(shù)是().A)動態(tài)分配地址B)配置虛擬專用網(wǎng)絡C)VLAN劃分D)為路由交換設備修改默認口令[單選題]64.風險處理是依據(jù)(),選擇和實施合適的安全措施。風險處理的目的是為了將()始終控制在可接愛的范圍內(nèi)。風險處理的方式主要有()、()、()和()四種方式。A)風險;風險評估的結(jié)果;降低;規(guī)避;轉(zhuǎn)移;接受B)風險評估的結(jié)果;風險;降低;規(guī)避;轉(zhuǎn)移;接受C)風險評估;風險;降低;規(guī)避;轉(zhuǎn)移;接受D)風險;風險評估;降低;規(guī)避;轉(zhuǎn)移;接受[單選題]65.下列哪項是系統(tǒng)問責時不需要的?A)認證B)鑒定C)授權(quán)D)審計[單選題]66.43.某網(wǎng)站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是：A)網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導致攻擊面增大，產(chǎn)生此安全問題B)網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題C)網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)絡攻擊面增大，產(chǎn)生此安全問題D)網(wǎng)站問題是設計人員不了解安全設計關(guān)鍵要素，設計了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題[單選題]67.SQL殺手蠕蟲病毒發(fā)作的特征是什么？()A)攻擊個人PC終端B)大量消耗網(wǎng)絡帶寬C)攻擊手機網(wǎng)絡D)破壞PC游戲程序[單選題]68.以下哪個選項是缺乏適當?shù)陌踩刂频谋憩F(xiàn)A)威脅B)脆弱性C)資產(chǎn)D)影響[單選題]69.以下哪一項是在兼顧可用性的基礎(chǔ)上，防范SQL注入攻擊最有效的手段：A)刪除存在注入點的網(wǎng)頁B)對數(shù)據(jù)庫系統(tǒng)的管理C)對權(quán)限進行嚴格的控制，對WEB.用戶輸入的數(shù)據(jù)進行嚴格的過濾D)通過網(wǎng)絡防火墻嚴格限制INTERNET用戶對WEB.服務器的訪問[單選題]70.在TCP中的六個控制位哪一個是用來請求同步的A)SYNB)ACKC)FIND)RST[單選題]71.433.信息應按照其法律要求、價值、對泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應對其分類負責,分類的結(jié)果表明了(),該價值取決于其對組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進行標記并體現(xiàn)其分類,標記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標記和安全處理是信息共享的一個關(guān)鍵要求。()和元數(shù)據(jù)標簽是常見的形式。標記應易于辨認,規(guī)程應對標記附著的位置和方式給于指導,并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲和()。A)敏感性;物理標簽;資產(chǎn)的價值;信息資產(chǎn);交換規(guī)程B)敏感性;信息資產(chǎn);資產(chǎn)的價值:物理標簽;交換規(guī)程C)資產(chǎn)的價值;敏感性;信息資產(chǎn);物理標簽;交換規(guī)程D)敏感性;資產(chǎn)的價值;信息資產(chǎn);物理標簽;交換規(guī)程[單選題]72.97.某信息安全公司的團隊對某款名為?紅包快搶?的外掛進行分析發(fā)現(xiàn)此外掛是一個典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序為了達到長期駐留在受害者的計算機中，通過修改注冊表啟動項來達到后門程序隨受害者計算機系統(tǒng)啟動而啟動為防范此類木馬的攻擊，以下做法無用的是（）A)不下載、不執(zhí)行、不接收來歷不明的軟件和文件B)不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C)使用共享文件夾D)安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件[單選題]73.下圖是使用CC標準進行的信息安全評估的基本過程，在圖中（1）~（3）處填入構(gòu)成評估相關(guān)要素的主要因素，下列選項中正確的是（）A)(1)評估方法學(2)最終評估結(jié)果(3)批準、認證B)(1)評估方法學(2)認證過程(3)最終評估結(jié)果C)(1)評估合理性(2)最終評估結(jié)果(3)批準、認證D)(1)評估合理性(2)認證過程(3)最終評估結(jié)果[單選題]74.近年來，電子郵件用戶和公司面臨的安全性風險日益嚴重，以下不屬于電子郵件安全威脅的是：_________A)SMTP的安全漏洞B)電子郵件群發(fā)C)郵件炸彈D)垃圾郵件[單選題]75.時間的流逝對服務中斷損失成本和中斷恢復成本會有什么影響?A)兩個成本增加B)中斷的損失成本增加,中斷恢復的成本隨時問的流逝而減少C)兩個成本都隨時間的流逝而減少D)沒有影響[單選題]76.下圖是使用CC標準進行的信息安全評估的基本過程，在圖中（1）~（3）處填入構(gòu)成評估相關(guān)要素的主要因素，下列選項中正確的是（）A)（1）評估方法學（2）最終評估結(jié)果（3）批準、認證B)（1）評估方法學（2）認證過程（3）最終評估結(jié)果C)（1）評估合理性（2）最終評估結(jié)果（3）批準、認證D)（1）評估合理性（2）認證過程（3）最終評估結(jié)果[單選題]77.以下對信息安全管理的描述錯誤的是A)信息安全管理的核心就是風險管理B)人們常說,三分技術(shù),七分管理,可見管理對信息安全的重要性C)安全技術(shù)是信息安全的構(gòu)筑材料,安全管理是真正的粘合劑和催化劑D)信息安全管理工作的重點是信息系統(tǒng),而不是人[單選題]78.下面選項屬于社會工程學攻擊選項的是（）?A)邏輯炸彈B)木馬C)包重放D)網(wǎng)絡釣魚[單選題]79.風險評估實施過程中資產(chǎn)識別的范圍主要包括什么類別A)網(wǎng)絡硬件資產(chǎn)B)數(shù)據(jù)資產(chǎn)C)軟件資產(chǎn)D)以上都包括[單選題]80.63.()才是系統(tǒng)的軟肋，可以毫不夸張的說，人是信息系統(tǒng)安全防護體系中最不穩(wěn)定也是()。社會工程學攻擊是一種復雜的攻擊，不能等同于一般的()，很多即使是自認為非常警惕及小心的人，一樣會被高明的()所攻破。A)社會工程學；攻擊人的因素；最脆弱的環(huán)節(jié)；欺騙方法B)人的因素:最脆弱的環(huán)節(jié)；社會工程學攻擊；欺騙方法C)欺騙方法；最脆弱的環(huán)節(jié)；人的因素；社會工程學攻擊D)人的因素；最脆弱的環(huán)節(jié)；欺騙方法:社會工程學攻擊[單選題]81.在GB／T18336《信息技術(shù)安全性評估準則》（CC標準）中，有關(guān)保護輪廓(ProtectionProfile，PP)和安全目標(SecurityTarget，ST)，錯誤的是：A)PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B)PP描述的安全要求與具體實現(xiàn)無關(guān)C)兩份不同的ST不可能滿足同一份PP的要求D)ST與具體的實現(xiàn)有關(guān)[單選題]82.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性,但也有局限性,下列說法錯誤的是()A)對用戶知識要求高,配置、操作和管理使用過于簡單,容易遭到攻擊B)高虛頻率,入侵檢測系統(tǒng)會產(chǎn)生大量的警告信息和可疑的入侵行為記錄,用戶處理負擔很重C)入侵檢測系統(tǒng)在應對自身攻擊時,對其他數(shù)據(jù)的檢測可能會被控制或者受到影響D)警告消息記錄如果不完整,可能無法與入侵行為關(guān)聯(lián)[單選題]83.《信息安全技術(shù)信息安全風險評估規(guī)范GB/T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是:A)規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B)設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性,提出安全功能需求C)實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別,并對系統(tǒng)建成后的安全功能進行驗證D)運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,是一種全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面標準原文?較全面?[單選題]84.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表(AccessControlList.ACL)機制,以下哪個說法是錯誤的:A)安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B)由于Windows操作系統(tǒng)自身有大量文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權(quán)限,為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C)Windows的ACL機制中,文件和文件夾的權(quán)限是主體進行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D)由于ACL具有很好靈活性,在實際使用中可以為每一個文件設定獨立擁護的權(quán)限[單選題]85.不能防止計算機感染病毒的措施是_____。A)A定時備份重要文件B)B經(jīng)常更新操作系統(tǒng)C)C除非確切知道附件內(nèi)容，否則不要打開電子郵件附件D)D重要部門的計算機盡量專機專用與外界隔絕[單選題]86.實施邏輯訪問安全時,以下哪項不是邏輯訪問?A)用戶ID。B)訪問配置文件。C)員工胸牌。D)密碼。[單選題]87.8密碼學是網(wǎng)絡安全的基礎(chǔ)，但網(wǎng)絡安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡安全的一個重要組成部分。下面描述中，錯誤的是（）A)在實際應用中，密碼協(xié)議應按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式B)密碼協(xié)議定義了兩方或多方之間為完成某項任務而制定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行C)根據(jù)密碼協(xié)議應用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D)密碼協(xié)議（cryptographicprotocol），有時也稱安全協(xié)議（securityprotocol），是使用密碼學完成某項特定的任務并滿足安全需求，其目的是提供安全服務[單選題]88.459.根據(jù)《信息安全等級保護管理辦法》、《關(guān)于開展信息安全等級保護測評體系建設試點工作的通知》（公信安【2009】812號）、關(guān)于推動信息安全等級保護（）建設和開展（）工作的通知（公信安【2010】303號）等文件，由公安部（）對等級保護測評機構(gòu)管理，接受測評機構(gòu)的申請、考核和定期（），對不具備能力的測評機構(gòu)則（）。A)等級測評，測評體系，等級保護評估中心，能力驗證：取消授權(quán)B)測評體系：等級保護評估中心，等級測評，能力驗證：取消授權(quán)C)測評體系：等級測評，等級保護評估中心：能力驗證，取消授權(quán)D)測評體系：等級保護評估中心，能力驗證：等級測評：取消授權(quán)[單選題]89.（）攻擊是建立在人性"弱點"利用基礎(chǔ)上的攻擊，大部分的社會工程學攻擊都是經(jīng)過（）才能實施成功的。即時是最簡單的"直接攻擊"也需要進行（）。如果希望受害者攻擊者所需要的（），攻擊者就必要具備這個身份所需要的（）A)社會工程學、精心策劃、前期的準備、偽裝的身份、一些特征B)精心策劃、社會工程學、前期的準備、偽裝的身份、一些特征C)精心策劃、社會工程學、偽裝的身份、前期的準備、一些特征D)社會工程學、偽裝的身份、精心策劃、前期的準備、一些特征[單選題]90.()攻擊是建立在人性?弱點?利用基礎(chǔ)上的攻擊,大部分的社會工程學攻擊都是經(jīng)過()才能實施成功的。即使是最簡單的?直接攻擊?也需要進行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個身份需要的()A)社會工程學:精心策劃;前期的準備;偽裝的身份;一些特征B)精心策劃;社會工程學;前期的準備;偽裝的身份;一些特征C)精心策劃;社會工程學;偽裝的身份;前期的準備:一些特征D)社會工程學;偽裝的身份;精心策劃;前期的準備;一些特征[單選題]91.以下哪個說法最符合《網(wǎng)絡安全法》中關(guān)于網(wǎng)絡的定義（）A)計算機局域網(wǎng)B)包含服務器、交換機等設備的系統(tǒng)C)覆蓋處理各種信息的設備的網(wǎng)絡空間D)人與人交往聯(lián)系的社會網(wǎng)絡[單選題]92.以下關(guān)于信息安全保障說法中哪一項不正確？A)信息安全保障是為了支撐業(yè)務高效穩(wěn)定的運行B)以安全促發(fā)展，在發(fā)展中求安全C)信息安全保障不是持續(xù)性開展的活動D)信息安全保障的實現(xiàn)，需要將信息安全技術(shù)與管理相結(jié)合[單選題]93.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容,該公司應當購買并部署下面哪個設備()A)安全路由器B)網(wǎng)絡審計系統(tǒng)C)網(wǎng)頁防篡改系統(tǒng)D)虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)系統(tǒng)[單選題]94.如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈,什么預防方式最有效?A)源代碼周期性安全掃描B)源代碼人工審計C)滲透測試D)對系統(tǒng)的運行情況進行不間斷監(jiān)測記錄[單選題]95.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制表(ACL)來表示,該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是()。A)ACL在刪除用戶時,去除該用戶所有的訪問權(quán)限比較方便B)ACL在增加客體時,增加相關(guān)的訪問控制權(quán)限較為簡單C)ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D)ACL是Bell-LaPadula模型的一種具體實現(xiàn)[單選題]96.42.針對軟件的拒絕服務攻擊時通過消耗系統(tǒng)資源是軟件無法響應正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務攻擊的威脅，以下哪個不是需要考慮的攻擊方式A)攻擊者利用軟件存在邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導致運算進入死循環(huán)，CPU資源占用始終100%B)攻擊者利用軟件腳本使用多重賬套查詢在數(shù)據(jù)量大時會導致查詢效率低，通過發(fā)送大量的查詢導致數(shù)據(jù)庫相應緩慢C)攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接的消耗軟件并發(fā)生連接數(shù)，導致并發(fā)連接數(shù)耗盡而無法訪問D)攻擊者買通了IDC人員，將某軟件運行服務器的網(wǎng)線拔掉導致無法訪問[單選題]97.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明,那個是正確的:A)Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密,可以避免嗅探等攻擊行為B)Https使用的端口http不同,讓攻擊者不容易找到端口,具有較高的安全性C)Https協(xié)議是http協(xié)議的補充,不能獨立運行,因此需要更高的系統(tǒng)性能D)Https協(xié)議使用了挑戰(zhàn)機制,在會話過程中不傳輸用戶名和密碼,因此具有較高的[單選題]98.關(guān)于ARP欺騙原理和防范措施,下面理解錯誤的是()。A)ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應答報文,使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機的目的B)解決ARP欺騙的一個有效方法是采用?靜態(tài)?的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存C)單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實施攻擊D)徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機進行連接[單選題]99.風險分析是風險評估工作中的一個重要內(nèi)容，下面描述了信息安全風險分析的過程，請為圖中括號空白處選擇合適的內(nèi)容（）A)需要保護的資產(chǎn)清單B)已有安全措施列表C)安全風險等級列表D)信息安全風險評估策略[單選題]100.以下哪一項不屬于Web應用軟件表示層測試關(guān)注的范疇()。A)排版結(jié)構(gòu)的測試B)數(shù)據(jù)完整性測試C)客戶端兼容性的測試D)鏈接結(jié)構(gòu)的測試[單選題]101.依據(jù)國家GB/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(ISST)中，安全保障目的指的是（）A)信息系統(tǒng)安全保障目的B)環(huán)境安全保障目的C)信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D)信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的[單選題]102.（）是行為人由于過錯侵害人身、財產(chǎn)和（），依法應承擔民事責任的（），以及按照法律特殊規(guī)定應當承擔民事責任的（），侵權(quán)行為構(gòu)成要件，主要集中在以下幾個因素，即：過錯、（）、損害事實是否是侵權(quán)行為必要構(gòu)成要件上。2017年3月15日全第十二屆全國人大五次會議表決通過了《中華人民共和國民法總則》，國家主席習近平簽署第66號主席令予以公布，民法總則將于2017年10月1日起施行。A)民事侵權(quán)行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法B)民事行為；權(quán)益；不法行為；其他侵害行為；不法行為C)民事行為；其他合法權(quán)益；不法行為；其他侵害行為；行為不法D)民事侵害行為；其他合法權(quán)益；不法行為；行為不法；其他侵害行為[單選題]103.開發(fā)軟件所需高成本和產(chǎn)品的低質(zhì)量之間有著尖銳的矛盾，這種現(xiàn)象稱作()A)軟件工程B)軟件周期C)軟件危機D)軟件產(chǎn)生[單選題]104.密碼分析的目的是什么？A)、確定加密算法的強度B)、增加加密算法的代替功能C)、減少加密算法的換位功能D)、確定所使用的換位[單選題]105.下面哪一項不是虛擬專用網(wǎng)絡（VPN）協(xié)議標準：A)第二層隧道協(xié)議（L2TP）B)Internet安全性（IPSEC）C)終端訪問控制器訪問控制系統(tǒng)（TACACS+）D)點對點隧道協(xié)議（PPTP）[單選題]106.當交換機收到一個目的mac為68-A3-C4-29-82-F2的數(shù)據(jù)包，但此MAC地址不在交換機的MAC地址表中，交換機會怎么處理這個數(shù)據(jù)？A)交換機將數(shù)據(jù)報發(fā)送給默認網(wǎng)關(guān)B)交換機將會把數(shù)據(jù)包丟棄，因為它并沒有這個MAC地址C)交換機將發(fā)送一個ARP請求給它的全部接口（除去接收接口）D)交換機把數(shù)據(jù)包從所有接口復制發(fā)送一遍（除去接收接口）[單選題]107.以下哪個攻擊步驟是IP欺騙（IPSpoof）系列攻擊中最關(guān)鍵和難度最高的？A)對被冒充的主機進行拒絕服務攻擊，使其無法對目標主機進行響應B)與目標主機進行會話，猜測目標主機的序號規(guī)則C)冒充受信主機向目標主機發(fā)送數(shù)據(jù)包，欺騙目標主機D)向目標主機發(fā)送指令，進行會話操作[單選題]108.外部組織使用組織敏感信息資產(chǎn)時,以下正確的做法是?A)確保使用者得到正確的信息資產(chǎn)。B)與信息資產(chǎn)使用者簽署保密協(xié)議。C)告知信息資產(chǎn)使用的時間限制。D)告知信息資產(chǎn)的重要性。[單選題]109.382.管理，是指(）組織并利用其各個要素(人、財、物、信息和時空)，借助()，完成該組織目標的過程。其中，（）就像其他重要業(yè)務資產(chǎn)和()一樣，也是對組織業(yè)務至關(guān)重要的一種資產(chǎn)，因此需要加以適當?shù)乇Ｗo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和()當中。A)管理手段；管理主體；信息管理要素；脆弱性B)管理主體；管理手段；信息;管理要素；脆弱性C)管理主體；信息；管理手段；管理要素；脆弱性D)管理主體；管理要素；管理手段；信息；脆弱性[單選題]110.中國信息安全測評中心對CISP注冊信息安全專業(yè)人員有保持認證要求，在證書有效期內(nèi)，應完成至少6次完整的信息安全服務經(jīng)歷，以下哪項不是信息安全服務：A)為政府單位信息系統(tǒng)進行安全方案設計B)在信息安全公司從事保安工作C)在公開場合宣講安全知識D)在學校講解信息安全課程[單選題]111.IPV4協(xié)議在設計之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡方便地進行互聯(lián)、互通,僅僅依拿IP頭部的校驗和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計算校驗和,IETF于1994年開始制定IPSec協(xié)議標準,其設計目標是在IPV4和IPV6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機密性,有效抵御網(wǎng)絡攻擊,同時保持易用性,下列選項中說法錯誤的是()A)對于IPv4,IPSec是可選的,對于IPv6,IPSec是強制實施的。B)IPSec協(xié)議提供對IP及其上層協(xié)議的保護。C)IPSec是一個單獨的協(xié)議。D)ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制[單選題]112.為增強Web應用程序的安全性，某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓，下面哪項內(nèi)容不在考慮范圍內(nèi)A)關(guān)于網(wǎng)站身份鑒別技術(shù)方面安全知識的培訓B)針對OpenSSL心臟出血漏洞方面安全知識的培訓C)針對SQL注入漏洞的安全編程培訓D)關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓[單選題]113.在國家標準《信息系統(tǒng)安全保障評估框架第部分：簡介和一般模型》（GB／T20274．1－2006）中描述了信息系統(tǒng)安全保障模型，下面對這個模型理解錯誤的是（）A)該模型強調(diào)保護信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被破壞，從而達到實現(xiàn)組織機構(gòu)使命的目的B)該模型是一個強調(diào)持續(xù)發(fā)展的動態(tài)安全模型即信息系統(tǒng)安全保障應該貫穿于整個信息系統(tǒng)生命周期的全過程C)該模型強調(diào)綜合保障的觀念，即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實施和實現(xiàn)信息系統(tǒng)的安全保障目標D)模型將風險和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心，基干IATF模型改進，在其基礎(chǔ)上增加了人員要素，強調(diào)信息安全的自主性[單選題]114.以下哪一個選項是從軟件自身功能出發(fā),進行威脅分析A)攻擊面分析B)威脅建模C)架構(gòu)設計D)詳細設計[單選題]115.一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個選項決定的()。A)加密和解密算法B)解密算法C)密鑰D)加密算法[單選題]116.具有行政法律責任強制力的安全管理規(guī)定和安全規(guī)范制度包括一、安全事件(包括安全事故)報告制度二、安全等級保護制度三、信息體統(tǒng)安全監(jiān)控四、安全專用產(chǎn)品銷售許可證制度"A)1,2,4B)2,3C)2,3,4D)1,2,3[單選題]117.基于攻擊方式可以將黑客攻擊分為主動攻擊和被動攻擊，以下哪一項不屬于主動攻擊A)中斷B)篡改C)偵聽D)偽造[單選題]118.關(guān)于標準，下面哪項理解是錯誤的？A)標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認機構(gòu)批準，共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B)國際標準是由國際標準組織通過并公開發(fā)布的標準。同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突時，應以國際標準條款為準C)行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準D)行業(yè)標準由省、自治區(qū)、直轄市標準化行政主管部門制定，并報國務院標準化行政主管部門和國務院有關(guān)行政主管部門備案，在公布國家標準之后，該地方標準即應廢止[單選題]119.對于關(guān)鍵信息基礎(chǔ)設施的理解以下哪項是正確的()A)關(guān)鍵信息基礎(chǔ)設施是國家最為重要的設施,包括三峽大壩水利設施、神舟載人航天設施和高鐵網(wǎng)絡設施B)等級保護定級的系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設施C)我國總體國家安全觀將信息安全作為國家安全的一個重要組成部分,說明缺少信息安全我國的國家安全將無法得到保障D)關(guān)鍵信息基礎(chǔ)設施不會向公眾提供服務,所以受到攻擊損害后不會影響到我們?nèi)粘Ｉ頪單選題]120.我國信息安全保障工作先后經(jīng)歷了啟動、逐步展開和積極推進，以及深化落實三個階段，我國信息安全保障各階段說法不正確的是？A)2001年，國家信息化領(lǐng)導小組重組，網(wǎng)絡與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B)2003年7月，國家信息化領(lǐng)導小組制定出臺了《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)27號文件），明確了?積極防御、綜合防范?的國家信息安全保障工作方針C)2003年，中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段D)在深化落實階段，信息安全法律法規(guī)、標準化，信息安全基礎(chǔ)設施建設，以及信息安全等級保護和風險評估取得了新進展[單選題]121.企業(yè)由于人力資源短缺,IT支持一直以來由一位最終用戶兼職,最恰當?shù)难a償性控制是:A)限制物理訪問計算設備B)檢查事務和應用日志C)雇用新IT員工之前進行背景調(diào)查D)在雙休日鎖定用戶會話[單選題]122.分析針對WeB的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會把它當作攻擊的對象。而是應用了http協(xié)議的服務器或則客戶端、以及運行的服務器的weD應用資源才是攻擊的目標。針對WeB應用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當中錯誤的是()A)拒絕服務攻擊B)網(wǎng)址重定向C)傳輸保護不足D)錯誤的訪問控制[單選題]123.關(guān)于標準,下面哪項理解是錯誤的()。A)標準是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認機構(gòu)批準,共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B)行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準,當行業(yè)標準和國家標準的條款發(fā)生沖突時,應以國家標準條款為準C)國際標準是由國際標準化組織通過并公開發(fā)布的標準。同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突時,應以國際標準條款為準D)地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定,并報國務院標準化行政主管部門和國務院有關(guān)行政主管部門備案,在公布國家標準之后,該地方標準即應廢止[單選題]124.下列選項中,對圖中出現(xiàn)的錯誤描述正確的是()A)步驟1和2發(fā)生錯誤,應該向本地AS請求并獲得遠程TGTB)步驟3和4發(fā)生錯誤,應該本地TGS請求并獲得遠程TGTC)步驟5和6發(fā)生錯誤,應該向遠程AS請求并獲得遠程TGTD)步驟5和6發(fā)生錯誤,應該向遠程TGS請求并獲得遠程TGT[單選題]125.下面哪一項不是風險評估的過程?A)風險因素識別B)風險程度分析C)風險控制選擇D)風險等級評價[單選題]126.在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務。A)網(wǎng)絡層B)表示層C)會話層D)物理層[單選題]127.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時,下面哪項措施不屬于安全配置()?A)不在Windows下安裝Apache,只在Linux和Unix下安裝B)安裝Apache時,只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運行Apache,而是采用權(quán)限受限的專用用戶賬號來運行D)積極了解Apache的安全通告,并及時下載和更新[單選題]128.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A)信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命周期密切相關(guān)B)信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C)信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障D)信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風險降低到可接受的程度，從而實現(xiàn)其業(yè)務使命[單選題]129.29.根據(jù)我國信息安全等級保護的有關(guān)政策和標準，有些信息系統(tǒng)只需要自主定級、自主保護，按照要求向公安機關(guān)備案即可，可以不需向上級或主管部門來測評和檢查，此類信息系統(tǒng)應屬于（）A)零級系統(tǒng)B)一級系統(tǒng)C)二級系統(tǒng)D)三級系統(tǒng)[單選題]130.393.我國標準《信息安全風險管理指南》(GB/Z24364)給出了信息安全風險管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應該填寫:A)風險計算B)風險評價C)預測D)風險處理[單選題]131.以下標準內(nèi)容為?信息安全管理體系要求?的是哪個?A)ISO27000B)ISO27001C)ISO27002D)ISO27003[單選題]132.不恰當?shù)漠惓Ｌ幚?是指WEB應用在處理內(nèi)部異常、錯誤時處理不當,導致會給攻擊者透露出過多的WEB應用架構(gòu)信息和安全配置信息。某軟件開發(fā)團隊的成員經(jīng)常冊到處理內(nèi)部異常,他知道如果錯誤時處理不當,導致會給攻擊者透露出過多的WEB應用架構(gòu)信息和安全配置信息。這會導致A)堆棧追溯B)蠕蟲傳播C)釣魚網(wǎng)站D)拒絕服務[單選題]133.2008年1月8日,布什以第54號國家安全總統(tǒng)令和第23號國土安全總統(tǒng)令的形式簽署的文件是?A)國家網(wǎng)絡安全戰(zhàn)略。B)國家網(wǎng)絡安全綜合計劃。C)信息基礎(chǔ)設施保護計劃。D)強化信息系統(tǒng)安全國家計劃。[單選題]134.在GB/T18336《信息技術(shù)安全性評估準則》(CC標準)中,有關(guān)保護輪廓(ProtectionProfile,PP)和安全目標(SecurityTarget,ST),錯誤的是:A)PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B)PP描述的安全要求與具體實現(xiàn)無關(guān)C)兩份不同的ST不可能滿足同一份PP的要求D)ST與具體的實現(xiàn)有關(guān)C[單選題]135.53.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:A)國家標準《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C)信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入[單選題]136.一般地,IP分配會首先把整個網(wǎng)絡根據(jù)地域、區(qū)域,每個子區(qū)域從它的上一級區(qū)域里獲取IP地址段,這種分配方法稱為()分配方法。A)自頂向下B)自下向上C)自左向右D)自右向左[單選題]137.計算機網(wǎng)絡組織結(jié)構(gòu)中有兩種基本結(jié)構(gòu)，分別是域和____。A)A用戶組B)B工作組C)C本地組D)D全局組[單選題]138.安全管理體系,國際上有標準(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請問,這兩個標準的關(guān)系是()A)IDT(等同采用),此國家標準等同于該國際標準,僅有或沒有編輯性修改B)EQV(等效采用),此國家標準等效于該國家標準,技術(shù)上只有很小差異C)AEQ(等效采用),此國家標準不等效于該國家標準D)沒有采用與否的關(guān)系,兩者之間版本不同,不應直接比較[單選題]139.網(wǎng)絡安全技術(shù)可以分為主動防御技術(shù)和被動防御技術(shù)兩大類，以下屬于主動防御技術(shù)的是()A)蜜罐技術(shù)B)入侵檢測技術(shù)C)防火墻技術(shù)D)惡意代碼掃描技術(shù)[單選題]140.在規(guī)定的時間間隔或重大變化發(fā)生時,組織的()和實施方法(如信息安全的控制目標、控制措施、方針、過程和規(guī)程)應()。獨立評審宜由管理者啟動,由獨立被評審范圍的人員執(zhí)行,例如內(nèi)部審核部、獨立的管理人員或?qū)ｉT進行這種評審的第三方組織。從事這些評審的人員宜具備適當?shù)?)。管理人員宜對自己職責范圍內(nèi)的信息處理是否符合合適的安全策略、標準和任何其他安全要求進行()。為了日常評審的效率,可以考慮使用自動測量和()。評審結(jié)果和管理人員采取的糾正措施宜被記錄,且這些記錄宜予以維護。A)信息安全管理;獨立審查;報告工具;技能和經(jīng)驗;定期評審B)信息安全管理;技能和經(jīng)驗;獨立審查;定期評審;報告工具C)獨立審查;信息安全管理;技能和經(jīng)驗;定期評審;報告工具D)信息安全管理;獨立審查;技能和經(jīng)驗;定期評審;報告工具[單選題]141.國際標準化組織對信息安全的定義為()A)保護信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認性B)信息安全,有時縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個可以用于任何形式數(shù)據(jù)(例如電子、物理)的通用術(shù)語C)在既定的密級條件下,網(wǎng)絡與信息系統(tǒng)抵御意外事件或惡意行為的能力,這些事件和行為將威脅所存儲或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡和系統(tǒng)所提供的服務的可用性、真實性、完整性和機密性D)為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護,保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄露[單選題]142.以下關(guān)于安全控制措施的選擇,哪一個選項是錯誤的?A)維護成本需要被考慮在總體控制成本之內(nèi)B)最好的控制措施應被不計成本的實施C)應考慮控制措施的成本效益D)在計算整體控制成本的時候,應考慮多方面的因素[單選題]143.為推動和規(guī)范我國信息安全等級保護工作,我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標準,這些標準可以按照等級保護工作的工作階段大致分類。下面四個標準中,()規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)容。A)GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B)GB/T22240-2008《信息系統(tǒng)安全保護等級定級指南》C)GB/T25070-2010《信息系統(tǒng)等級保護安全設計技術(shù)要求》D)GB/T20269-2006《信息系統(tǒng)安全管理要求》[單選題]144.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A)要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標準和通行做法，堅持管理與技術(shù)并重B)信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C)在信息安全保障建設的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D)在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。[單選題]145.關(guān)于黑客的主要攻擊手段，以下描述不正確的是？（）A)包括社會工程學攻擊B)包括暴力破解攻擊C)直接滲透攻擊D)不盜竊系統(tǒng)資料[單選題]146.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應及時向那一家A)公安部公共信息網(wǎng)絡安全監(jiān)察及其各地相應部門B)國家計算機網(wǎng)絡與信息安全管理中心C)互聯(lián)網(wǎng)安全協(xié)會D)信息安全產(chǎn)業(yè)商會[單選題]147.合適的信息資產(chǎn)存放的安全措施維護是誰的責任A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運行組[單選題]148.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一個文件，屬于admin組中user用戶，以下哪個是該文件正確的模式表示？A)rwxr-xr-x3useradmin1024Sep1311:58testB)drwxr-xr-x3useradmin1024Sep1311:58testC)rwxr-xr-x3adminuser1024Sep1311:58testD)drwxr-xr-x3adminuser1024Sep1311:58test[單選題]149.在工程實施階段，監(jiān)理機構(gòu)依據(jù)承建合同、安全設計方案、實施方案、實施記錄、國家或地方相關(guān)標準和技術(shù)指導文件，對信息化工程進行安全（）檢查，以驗證項目是否實現(xiàn)了項目設計目標和安全等級要求。A)功能性B)可用性C)保障性D)符合性[單選題]150.某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在問題，結(jié)果在軟件上線后被黑客攻擊，其數(shù)據(jù)庫中的網(wǎng)游用戶真實身份被黑客看到。關(guān)于此案例，可以推斷的是（）A)該網(wǎng)站軟件存在保密性方面安全問題B)該網(wǎng)站軟件存在完整性方面安全問題C)該網(wǎng)站軟件存在可用性方面安全問題D)該網(wǎng)站軟件存在不可否認性方面安全問題[單選題]151.以下對跨站腳本攻擊（XSS）的解釋最準確的一項是：A)引誘用戶點擊虛假網(wǎng)絡鏈接的一種攻擊方法B)構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進行非法的訪問C)一種很強大的木馬攻擊手段D)將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁中，從而達到惡意的目的[單選題]152.下面對零日(zero-day)漏洞的理解中,正確的是A)指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠程攻擊,獲取主機權(quán)限B)指一個特定的漏洞在2010年被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設施C)指一類漏洞,特別好被利用,一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達到攻擊目標D)一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被人發(fā)現(xiàn),但是還未公開、還不存在安全補丁的漏洞都是零日漏洞[單選題]153.項目管理是信息安全工程的基本理論，以下哪項對項目管理的理解是正確的：A)項目管理的基本要素是質(zhì)量，進度和成本B)項目管理的基本要素是范圍，人力和溝通C)項目管理是從項目的執(zhí)行開始到項目結(jié)束的全過程進行計劃、組織D)項目管理是項目的管理者，在有限的資源約束下，運用系統(tǒng)的觀點，方法和理論。對項目涉及的技術(shù)工作進行有效地管理[單選題]154.以下說法正確的是()A)驗收測試是同承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B)軟件測試的目的是為了驗證軟件功能是否正確C)監(jiān)理工程師應按照有關(guān)標準審查提交的測試計劃，并提出審查意見D)軟件測試計劃開始于軟件設計階段，完成于軟件開發(fā)階段[單選題]155.422.以下哪個是國際信息安全標準化組織的簡稱()A)ANSIB)ISOC)IEEED)NIST[單選題]156.下圖排序你認為哪個是正確的.A)1是主體，2是客體,3是實施，4是決策B)1是客體，2是主體3是決策，4是實施C)1實施，2是客體3是主題，4是決策D)1是主體，2是實施3是客體，4是決策[單選題]157.49.某電子商務網(wǎng)站架構(gòu)設計時，為了避免數(shù)據(jù)誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該操作才能生效，這種設計是遵循了以下哪個原則：A)權(quán)限分離原則B)A、最小特權(quán)原則C)B、保護XXX環(huán)節(jié)的原則D)縱深防御的原則[單選題]158.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品,需要購買防火墻,以下做法應當優(yōu)先考慮的是:A)選購當前技術(shù)最先進的防火墻即可B)選購任意一款品牌防火墻C)任意選購一款價格合適的防火墻產(chǎn)品D)選購一款同已有安全產(chǎn)品聯(lián)動的防火墻[單選題]159.下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的?A)哈龍氣體B)濕管C)干管D)二氧化碳氣[單選題]160.安全模型是用于精確和形式地描述信息系統(tǒng)的安全特征,解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是?A)準確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B)開發(fā)出一套安全性評估準則,和關(guān)鍵的描述變量。C)提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次。D)強調(diào)了風險評估的重要性。[單選題]161.好友的QQ突然發(fā)來一個網(wǎng)站鏈接要求投票，最合理的做法是（）A)因為是其好友信息，直接打開鏈接投票B)可能是好友QQ被盜，發(fā)來的是惡意鏈接，先通過手機跟朋友確認鏈接無異常后，再酌情考慮是否投票C)不參與任何投票。D)把好友加入黑名單[單選題]162.有關(guān)質(zhì)量管理，錯誤的理解是（）。A)質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動，是為了實現(xiàn)質(zhì)量目標，而進行的所有管理性質(zhì)的活動B)規(guī)范質(zhì)量管理體系相關(guān)活動的標準是ISO9000系列標準C)質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進行系統(tǒng)的管理D)質(zhì)量管理體系從機構(gòu)，程序、過程和總結(jié)四個方面進行規(guī)范來提升質(zhì)量[單選題]163.依據(jù)國家標準/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標（ISST）中，安全保障目的指的是：A)信息系統(tǒng)安全保障目的B)環(huán)境安全保障目的C)信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D)信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的[單選題]164.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生，防范這種攻擊比較有效的方法是？A)加強網(wǎng)站源代碼的安全性B)對網(wǎng)絡客戶端進行安全評估C)協(xié)調(diào)運營商對域名解析服務器進行加固D)在網(wǎng)站的網(wǎng)絡出口部署應用級防火墻[單選題]165.某集團公司更具業(yè)務需要，在各地分支機構(gòu)部署前置機，為了保證安全，將集團總部要求前置機開放日志由總部服務器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應采取以下哪項處理措施?()A)由于共享導致了安全問題，應直接關(guān)閉日志共享，禁止總部提取日志進行分析B)為配合總部的安全策略，會帶來一定的安全問題，但不能響系統(tǒng)使用，因此接受此風險C)日志的存在就是安全風險，最好的辦法就是取消日志，通過設置讓前置機不記錄日志D)只允許特定的IP地址從前置機提取日志，對日志共享設置訪問密碼且限定訪問的時間[單選題]166.拒絕服務攻擊不包括哪項A)land攻擊B)ARP攻擊C)畸形報文攻擊D)DDOS[單選題]167.主體是使信息在客體間流動的一種實體，通常，主體是指人，進程，或設備，下列不屬于主體的是A)對文件操作的用戶B)用戶調(diào)度并運行的某個進程C)調(diào)一個進程的設備D)數(shù)據(jù)塊[單選題]168.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性（）A)結(jié)構(gòu)的開放性，即功能和保證要求都可以具體的保護輪廓和安全目標中進一步細化和擴展B)表達方式的通用性，即給出通用的表達方式C)獨決性，它強調(diào)將安全的功能和保證分離D)實用性，將CC的安全性要求具體應用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中[單選題]169.34.國家科學技術(shù)秘密的密級分為絕密級、機密級、密級，以下哪塊屬于絕密級的描述?A)處于國際先進水平、并且有軍事用途或者對經(jīng)濟建設具有重要影響的B)能夠局部及應國家防治和治安實力的C)我國獨有、不要自己條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟效益顯著的傳統(tǒng)工藝D)國際領(lǐng)先、并且對國防建設或者經(jīng)濟建設具有特別重大影響的[單選題]170.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導做決策，以下哪條是滲透性測試的優(yōu)勢？A)滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏B)滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C)滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D)滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多[單選題]171.采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于_______月。A)1個月。B)3個月。C)6個月。D)12個月。[單選題]172.微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其中?棄用