注冊(cè)信息安全工程師復(fù)習(xí)測(cè)試卷含答案（一）

第頁注冊(cè)信息安全工程師復(fù)習(xí)測(cè)試卷含答案1.為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是（）A、信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案【正確答案】：D解析：

先有需求，再有功能設(shè)計(jì)方案2.金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購(gòu)物，從安全角度看，下面哪項(xiàng)是不好的操作習(xí)慣（）A、使用專用上網(wǎng)購(gòu)物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級(jí)B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)【正確答案】：A解析：

應(yīng)確保所使用的系統(tǒng)軟件和應(yīng)用軟件都安裝了最新的補(bǔ)丁3.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理該風(fēng)險(xiǎn)。請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是？A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、放棄風(fēng)險(xiǎn)【正確答案】：B解析：

教材P143，放棄屬于風(fēng)險(xiǎn)規(guī)避4.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某單位的實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下（）中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識(shí)別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段【正確答案】：A解析：

教材P260，風(fēng)險(xiǎn)評(píng)估各階段的輸出文檔，見上圖。5.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)），對(duì)等級(jí)保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是？A、該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級(jí)保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍D、該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位【正確答案】：A解析：

教材P616.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國(guó)信辦[2006]5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是？A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用【正確答案】：D解析：

自評(píng)估和檢查評(píng)估不是互斥的7.某單位門戶網(wǎng)站開發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過程的說法正確的是：（）A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測(cè)試過程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析【正確答案】：D解析：

模糊測(cè)試：通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，強(qiáng)制軟件程序使用畸形數(shù)據(jù)，并觀察軟件運(yùn)行情況的一種測(cè)試方法。8.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā){2003}27號(hào)明確了我國(guó)信息安全保障工作的（

）、加強(qiáng)信息安全保障工作的（

）、需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是，它標(biāo)志著我國(guó)信息安全保障工作有了（

）、我國(guó)最近十余年的信息安全保障工作都是圍繞此政策性文件來（

）的、促進(jìn)了我國(guó)（

）的各項(xiàng)工作。A、方針；主要原則；總體綱領(lǐng)；展開和推進(jìn)；信息安全保障建設(shè)B、總體要求；總體綱領(lǐng)；主要原則；展開；信息安全保障建設(shè)C、方針和總體要求；主要原則；總體綱領(lǐng)；展開和推進(jìn)；信息安全保障建設(shè)D、總體要求；主要原則；總體綱領(lǐng)；展開；信息安全保障建設(shè)【正確答案】：D解析：

教材P16

語文填空9.風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用原理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是：A、風(fēng)險(xiǎn)評(píng)估與管理工具B、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C、風(fēng)險(xiǎn)評(píng)估輔助工具D、環(huán)境風(fēng)險(xiǎn)評(píng)估工具【正確答案】：D解析：

教材P228，風(fēng)險(xiǎn)評(píng)估工具的類型：

1.風(fēng)險(xiǎn)評(píng)估與管理工具

2.系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具

3.風(fēng)險(xiǎn)評(píng)估輔助工具10.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問制定訪問策略，針對(duì)每個(gè)用戶指明能夠訪問的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問。該訪問控制策略屬于以下哪一種？A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C解析：

教材P306，DAC-自主訪問控制是一種對(duì)單個(gè)用戶執(zhí)行訪問控制的過程和措施

11.關(guān)于信息安全管理，下面理解片面的是（

）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

教材P83，技術(shù)與管理的關(guān)系12.以下哪項(xiàng)是對(duì)系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場(chǎng)，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容【正確答案】：A解析：

排除法，選面Ａ描述的是概念與需求階段的工作內(nèi)容13.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srL.confC、access.confD、inetd.conf【正確答案】：A解析：

Apache服務(wù)的配置文件httpd.conf14.關(guān)于業(yè)務(wù)連續(xù)性（BCP）以下說法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過程【正確答案】：B解析：

教材P135，BCP是為了保護(hù)關(guān)鍵業(yè)務(wù)功能。15.文檔體系建設(shè)是信息安全管理體系（ISMS）建設(shè)的直接體現(xiàn)，下列說法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件，信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文件的執(zhí)行和記錄，對(duì)這些記錄不需要保護(hù)和控制C、組織在每份文件修訂跟蹤表，以顯示每一版本的版本號(hào)、發(fā)布日期，編寫人，審批人，主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果建立【正確答案】：B解析：

教材P101，應(yīng)保留過程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄16.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是：A、規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-2007》

1.規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。

2.設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。

3.實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。

4.運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。17.某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個(gè)郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請(qǐng)問以下說法哪個(gè)是正確的？A、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自教給李強(qiáng)就不會(huì)發(fā)生這個(gè)問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請(qǐng)購(gòu)買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件【正確答案】：C解析：

典型的社工攻擊18.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評(píng)審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)。請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)？A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C、“進(jìn)行有效性測(cè)量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容D、“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容【正確答案】：D解析：

教材P96，“實(shí)施內(nèi)部審核”屬于監(jiān)視和評(píng)審階段19.關(guān)于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)B、源代碼審核通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點(diǎn)的薄弱之處C、使用工具進(jìn)行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處【正確答案】：D解析：

教材P415，A\C明顯錯(cuò)誤

選項(xiàng)B：非預(yù)期的輸入是模糊測(cè)試20.為達(dá)到預(yù)期的攻擊目的，惡意代碼通常會(huì)被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯(cuò)誤的是？A、隱藏惡意代碼進(jìn)程，即將惡意代碼進(jìn)程隱藏起來，或者改名和使用系統(tǒng)進(jìn)程名，以更好的躲避檢測(cè)，迷惑用戶和安全檢測(cè)人員B、隱藏惡意代碼的網(wǎng)絡(luò)行為，復(fù)用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測(cè)和網(wǎng)絡(luò)監(jiān)控C、隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進(jìn)制代碼，以躲避用戶和安全檢測(cè)人員D、隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除【正確答案】：C解析：

隱藏通常包括本地隱藏和通信隱藏。其中本地隱藏有文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。網(wǎng)絡(luò)隱藏主要包括通信內(nèi)部隱藏和傳輸通道隱藏。21.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用【正確答案】：B解析：

項(xiàng)目管理的三重約束：時(shí)間+成本+質(zhì)量22.某次對(duì)某系統(tǒng)進(jìn)行安全測(cè)試時(shí)，李工發(fā)現(xiàn)一個(gè)URL“http：///downloaD.jsp?path=uploads/test.jpg”，你覺得此URL最有可能存在什么漏洞（）A、任意文件下載漏洞B、SQL注入漏洞C、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】：A解析：

URL中有download和path，顯然屬于文件下載漏洞23.《信息安全保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）是由下面哪個(gè)國(guó)家發(fā)布的？A、中國(guó)B、美國(guó)C、俄羅斯D、歐盟【正確答案】：B解析：

教材P15，IATF模型由美國(guó)發(fā)布24.以下對(duì)異地備份中心的理解最準(zhǔn)確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險(xiǎn)的機(jī)率很小【正確答案】：D解析：

教材P169，一般選址原則：避免災(zāi)難備份中心與生產(chǎn)中心同時(shí)遭受同類風(fēng)險(xiǎn)。25.以下哪些是需要在信息安全策略中進(jìn)行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)施手段【正確答案】：B解析：

教材P103，Policy方針、策略－確定信息安全工作的總體目標(biāo)和基本原則26.層次化的文檔是信息安全管理體系（簡(jiǎn)稱ISMS）建設(shè)的直接體現(xiàn)，也是ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機(jī)構(gòu)，那么以下選項(xiàng)（）應(yīng)放入到一級(jí)文件中。A、《風(fēng)險(xiǎn)評(píng)估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D解析：

教材P99，信息安全方針屬于一級(jí)文件27.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說法錯(cuò)誤的是？A、在傳送模式中，保護(hù)的是IP負(fù)載B、驗(yàn)證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性【正確答案】：D解析：

教材P338，IPSec是一組基于密碼學(xué)的安全的開放網(wǎng)絡(luò)安全協(xié)議，工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、機(jī)密性防護(hù)、有限的數(shù)據(jù)流機(jī)密性保護(hù)以及抗重放攻擊等安全服務(wù)。

28.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選項(xiàng)最合適的是：A、通用布纜系統(tǒng)工程B、電子設(shè)備機(jī)房系統(tǒng)工程C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用【正確答案】：D解析：

信息化工程中廣泛采用工程監(jiān)理制度29.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場(chǎng)景中用到下列哪些鑒別方法？A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A解析：

教材P294，智能卡-所有；短信-所知30.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪些控制目標(biāo)？A、符合法律要求B、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務(wù)要求、用戶訪問管理【正確答案】：D解析：

教材P127-128，符合性包括兩個(gè)方面：符合法律和合同規(guī)定、信息安全審查31.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無法提供各種信息安全工作必須的資源32.根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于開展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作的通知》（公信安[20091812號(hào)）、關(guān)于推動(dòng)信息安全等級(jí)保護(hù)（

）建設(shè)和開展（

）工作的通知（公信安[2010]303號(hào)）等文件，由公安部（

）對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，接受測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期（

）。對(duì)不具備能力的測(cè)評(píng)機(jī)構(gòu)（

）。A、等級(jí)測(cè)評(píng)；測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)B、測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；等級(jí)測(cè)評(píng)；能力驗(yàn)證；取消授權(quán)C、測(cè)評(píng)體系；等級(jí)測(cè)評(píng)；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)D、測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；等級(jí)測(cè)評(píng)；取消授權(quán)【正確答案】：C解析：

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于開展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作的通知》（公信安[20091812號(hào)）、關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知（公信安[2010]303號(hào)）等文件，由公安部等級(jí)保護(hù)評(píng)估中心對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，接受測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期能力驗(yàn)證。對(duì)不具備能力的測(cè)評(píng)機(jī)構(gòu)取消授權(quán)。33.根據(jù)信息安全風(fēng)險(xiǎn)要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

教材P245，風(fēng)險(xiǎn)評(píng)估要素關(guān)系34.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令；(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確，則鑒別完成?？梢钥闯?，這個(gè)鑒別過程屬于？A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A解析：

只是服務(wù)器鑒別客戶端-單向鑒別

35.2005年4月1日正式施行的《電子簽名法》，被稱為“中國(guó)首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯(cuò)誤的是：A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有【正確答案】：D解析：

《中華人民共和國(guó)電子簽名法》

第十三條電子簽名同時(shí)符合下列條件的，視為可靠的電子簽名：

（一）電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；

（二）簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

（三）簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；

（四）簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。

當(dāng)事人也可以選擇使用符合其約定的可靠條件的電子簽名。36.關(guān)于Linux下的用戶和組，以下描述不正確的是？A、在Linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都具有訪問權(quán)限【正確答案】：C解析：

一個(gè)用戶可以屬于多個(gè)組37.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是？A國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入【正確答案】：D解析：

選項(xiàng)Ｄ中的描述“單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入”有誤38.國(guó)務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國(guó)在災(zāi)備工作原則，下面哪項(xiàng)不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B解析：

教材P169，《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》--做好重要信息系統(tǒng)災(zāi)難備份工作的基本原則重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅(jiān)持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則，充分調(diào)動(dòng)和發(fā)揮各方面的積極性，提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。39.下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國(guó)家秘密法》要求？A、國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部門分別會(huì)同外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定B、各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)C、對(duì)是否屬于國(guó)家機(jī)密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)，然后報(bào)國(guó)家保密工作部門確定D、對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)。由國(guó)家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國(guó)務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國(guó)家保密工作部門審定的機(jī)關(guān)確定?！菊_答案】：C解析：

選項(xiàng)C中的描述“由各單位自行參考國(guó)家要求確定和定級(jí)”，有誤。

選項(xiàng)A--《保密法》第十一條；選項(xiàng)B--《保密法》第十四條；選項(xiàng)D--《保密法》第二十條40.Linux系統(tǒng)文件中訪問權(quán)限屬性通過9個(gè)字符來表示，分別表示文件屬主、文件所屬組用戶和其他用戶對(duì)文件的讀（r）、寫（w）及執(zhí)行（x）的權(quán)限。文件usr/bin/passwd的屬性信息如下圖所示，在文件權(quán)限中還出現(xiàn)了一位s，下列選項(xiàng)中對(duì)這一位s的理解正確的是？A、文件權(quán)限出現(xiàn)了錯(cuò)誤，出現(xiàn)s的位應(yīng)該改為xB、s表示sticky位，設(shè)置sticky位后，就算用戶對(duì)目錄具有寫權(quán)限，也不能刪除該文件C、s表示SGID位，文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn)、s表示SUID位，文件在執(zhí)行階段具有文件所有者的權(quán)限【正確答案】：D解析：

setuid：設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限，相當(dāng)于臨時(shí)擁有文件所有者的身份41.操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺(tái)計(jì)算機(jī)，開機(jī)后首先對(duì)自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號(hào)策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)??；（4）關(guān)閉審核策略，開啟口令策略，開啟賬號(hào)策略。這些操作中錯(cuò)誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開啟審核策略【正確答案】：D解析：

審核策略應(yīng)該開啟以實(shí)現(xiàn)跟蹤和監(jiān)控

操作系統(tǒng)安全配置主要包括：操作系統(tǒng)安全策略、開啟賬戶策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟賬戶策略、備份敏感文件、不顯示上次登錄名、禁止建立空鏈接和下載最新補(bǔ)丁。

42.Windows系統(tǒng)中，安全標(biāo)識(shí)符（SID）是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對(duì)象的權(quán)限時(shí)，操作系統(tǒng)會(huì)把SID和權(quán)限寫入對(duì)象的ACL中，小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識(shí)，在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whoami/user操作查看當(dāng)前用戶的SID。得到的SID為S-1-5-21-1534169462-1651380828-111620651-500，下列選項(xiàng)中，關(guān)于此SID的理解錯(cuò)誤的是？A、前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B、第一個(gè)子頒發(fā)機(jī)構(gòu)是21C、WindowsNT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651D、此SID以500結(jié)尾，表示內(nèi)置guest賬戶【正確答案】：D解析：

教材P357，SID的內(nèi)容包括：用戶和組的安全描述；48-bit的身份特權(quán)；修訂版本；可變的驗(yàn)證值。SID尾數(shù)值500：內(nèi)置管理員賬號(hào)

43.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保戶輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)表示C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過程中【正確答案】：C解析：

教材P233，CC沒有強(qiáng)調(diào)獨(dú)立性44.某Linux系統(tǒng)由于root口令過于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x1roottest10704Apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，是test用戶使用的shell，test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell，但test用戶無權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root，test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門程序，可由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test【正確答案】：C解析：

－s：SUID位，即可以執(zhí)行，又設(shè)置了SUID位45.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購(gòu)物車添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題。對(duì)于網(wǎng)站的這個(gè)問題原因分析及解決措施，最正確的說法應(yīng)該是？A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷，通過對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可【正確答案】：C解析：

如題所述攻擊者修改了網(wǎng)站上商品的價(jià)格完成交易，屬于編碼缺陷46.某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-2008）的相關(guān)要求，對(duì)承建單位的施工設(shè)計(jì)方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯(cuò)誤的是：A、在異地建立備份機(jī)房時(shí)，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房等級(jí)相同B、由于高端小型機(jī)發(fā)熱量大，因此采用活動(dòng)地板上送風(fēng)，下回風(fēng)的方式C、因機(jī)房屬于A級(jí)主機(jī)房，因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要D、A級(jí)主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)【正確答案】：B解析：

《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)

送風(fēng)方式有三種：下送上回，上送上回，側(cè)送側(cè)回；（沒有下回風(fēng)）47.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度（Defects/KLOC）來衡量軟件的安全性，假設(shè)某個(gè)軟件共有29.6萬行源代碼，總共被檢測(cè)出145個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是？A、0.00049B、0.049C、0.49D、49【正確答案】：C解析：

軟件缺陷密度使用千行代碼缺陷率來衡量，（145/296000）*1000=0.4948.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（

）。A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C、A類、B類和C類地址中都可以設(shè)置私有地址D、A類、B類和C類地址中都沒有私有地址【正確答案】：C解析：

私有IP地址：

A類：10.*.*.*/8

B類：172.16.*.*~172.31.*.*/16

C類：192.168.*.*/16

49.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于？A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則（簡(jiǎn)稱ITSEC）D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)（簡(jiǎn)稱CC）【正確答案】：B解析：

信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來。

BS7799-1(ISO/IEC1799:2000)《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個(gè)大眾化的最佳慣例。

BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。50.主體和客體是訪問控制模型中常用的概念。下面描述種錯(cuò)誤的是？A、主體是訪問的發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù)B、客體也是一種實(shí)體，是操作的對(duì)象，是被規(guī)定需要保護(hù)的資源C、主體是動(dòng)作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對(duì)象不能被當(dāng)作客體使用D、一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行【正確答案】：C解析：

教材P305，主體和客體的關(guān)系是相對(duì)的，角色可以互換51.為了能夠合理、有序地處理安全事件，應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種廣泛使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）。A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D解析：

應(yīng)急響應(yīng)分成準(zhǔn)備(Preparation)、檢測(cè)(Detection)、抑制(Containment)、根除(Eradication)、恢復(fù)(Recovery)、跟蹤(Follow-up)6個(gè)階段的工作52.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（

）中的輸出結(jié)果。A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定【正確答案】：B解析：

教材P260，風(fēng)險(xiǎn)評(píng)估各階段的輸出文檔，見上圖。

53.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是？A、數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)B、數(shù)據(jù)庫管理員定期地將整個(gè)數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個(gè)磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事物故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交【正確答案】：D解析：

選項(xiàng)D描述的是“回滾”54.國(guó)際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization）對(duì)信息安全的定義為？A、保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可能性、可控性和不可否認(rèn)性B、信息安全，有時(shí)縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個(gè)可以用于任何形式數(shù)據(jù)（例如電子、物理）的通用術(shù)語C、在既定的密級(jí)條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力，這些事件和行為將威脅所存儲(chǔ)或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可能性、真實(shí)性、完整性和機(jī)密性D、為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的惡意的原因而受到破壞、更改、泄露【正確答案】：D解析：

教材P1，ISO對(duì)信息安全的定義描述。55.在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測(cè)人員，你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以解決明文傳輸數(shù)據(jù)的問題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題？A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

SSH:SecurityShell

Port:22，提供加密通訊，代替telnet的明文通訊

56.對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的是？A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D解析：

教材P146，按重要程度劃分：特別重要、重要、一般。57.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)?A、滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效率更高C、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確D、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

教材P422

滲透測(cè)試：是一種模擬攻擊者進(jìn)行攻擊的測(cè)試方法，從攻擊的角度來測(cè)試軟件系統(tǒng)，并評(píng)估系統(tǒng)安全性的一種測(cè)試方法。58.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

教材P247，信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充59.美國(guó)計(jì)算機(jī)協(xié)會(huì)（ACM）宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffie和Wartfield，下面哪項(xiàng)工作是他們的貢獻(xiàn)（）。A、發(fā)明并第一個(gè)使用C語言B、第一個(gè)發(fā)表了對(duì)稱密碼算法思想C、第一個(gè)發(fā)表了非對(duì)稱密碼算法思想D、第一個(gè)研制出防火墻【正確答案】：C解析：

教材P270，WhitfieldDiffie和MartinHellman在1976年第一個(gè)提出公鑰密碼算法，標(biāo)志著密碼學(xué)進(jìn)入了現(xiàn)代密碼階段。60.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分？A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實(shí)施【正確答案】：D解析：

信息安全工程監(jiān)理的信息安全工程監(jiān)理模型由三部分組成，即

1.咨詢監(jiān)理支撐要素

2.監(jiān)理咨詢階段過程

3.控制管理措施61.應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁B、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對(duì)數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好【正確答案】：D解析：

數(shù)據(jù)庫服務(wù)器不能定期重啟，要時(shí)刻ONLINE62.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）A、軟件安全開發(fā)生命周期較長(zhǎng)、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點(diǎn)是增加了一個(gè)專門的安全編碼階段D、軟件的安全測(cè)試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒有必要在組織第三方進(jìn)行安全性測(cè)試【正確答案】：B解析：

軟件安全問題越早解決成本越低63.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是？ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D、ACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限較為簡(jiǎn)單【正確答案】：B解析：

教材P306

選項(xiàng)A：Bell-LaPadula模型應(yīng)用是MAC，ACL屬于DAC模型。

選項(xiàng)C：CL在統(tǒng)計(jì)某個(gè)主體能訪問哪些客體時(shí)比較方便

64.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是不推薦使用的方法？A、禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I／O設(shè)備B、對(duì)不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D、用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件【正確答案】：D解析：

格式化后還可以利用工具恢復(fù)數(shù)據(jù)65.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】：D解析：

聯(lián)動(dòng)功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。

66.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是？A、資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)【正確答案】：D解析：

教材P257，確認(rèn)已有安全措施包括：技術(shù)層面、組織層面和管理層面。67.在提高阿帕奇系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容？A、不在Windows下安裝Apache，只在Linus和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行D、積極了解Apache的安全通告并及時(shí)下載和更新【正確答案】：A解析：

Windows下也有Apache版本68.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評(píng)估準(zhǔn)則D、對(duì)系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證【正確答案】：C解析：

領(lǐng)導(dǎo)人不必知道風(fēng)險(xiǎn)評(píng)估準(zhǔn)則69.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過程xp_cmdshell刪除了系統(tǒng)中一個(gè)重要文件，在進(jìn)行問題分析時(shí)，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則：A、權(quán)限分離原則B、最小特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：B解析：

SA是數(shù)據(jù)庫最大用戶權(quán)限，違反了最小特權(quán)原則。70.依據(jù)國(guó)家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（ISST）中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

教材P35，強(qiáng)調(diào)綜合保障的觀念：整體安全＼管理安全＼技術(shù)安全＼工程安全71.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是？A、殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來說，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)【正確答案】：D解析：

“最小殘余風(fēng)險(xiǎn)值”表述有問題72.主體S對(duì)客體01有讀(R)權(quán)限，對(duì)客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實(shí)現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

能力表CL表示每個(gè)主體可以訪問的客體及權(quán)限73.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），下面描述錯(cuò)誤的是（）A、IATF最初由美國(guó)國(guó)家安全局（NSA）發(fā)布，后來由國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，供各個(gè)國(guó)家信息系統(tǒng)建設(shè)參考使用B、IATF是一個(gè)通用框架，可以用到多種應(yīng)用場(chǎng)景中，通過對(duì)復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題【正確答案】：A解析：

教材P28，IATF沒有被采納為國(guó)際標(biāo)準(zhǔn)74.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專家，請(qǐng)指出是哪一個(gè)？A、軟件在Linux下安裝時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫備份操作員賬號(hào)連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫，該賬號(hào)僅對(duì)日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤【正確答案】：D解析：

system是系統(tǒng)的最高權(quán)限，選項(xiàng)D為軟件運(yùn)行賦予了過高權(quán)限，違反了最小特權(quán)原則75.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是？A、PP2PB、L2TPC、SSLD、IPSec【正確答案】：C解析：

PPTP、L2TP—數(shù)據(jù)鏈路層；IPSec網(wǎng)絡(luò)層

76.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure，CII）包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括？A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失【正確答案】：C解析：

A、B、D描述的均為這些行業(yè)對(duì)國(guó)家安全和國(guó)計(jì)民生的重要性77.在某個(gè)信息系統(tǒng)實(shí)施案例中，A單位（甲方）允許B公司（乙方）在甲方的測(cè)試中開發(fā)和部署業(yè)務(wù)系統(tǒng)，同時(shí)為防范風(fēng)險(xiǎn)，A單位在和B公司簽訂合同中，制定有關(guān)條款，明確了如果由于B公司操作原因引起的設(shè)備損壞，則B公司需按價(jià)賠償?？梢钥闯?，該賠償條款應(yīng)用了風(fēng)險(xiǎn)管理中（）的風(fēng)險(xiǎn)處置措施。A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、拒絕風(fēng)險(xiǎn)【正確答案】：C解析：

教材P142，合同屬于風(fēng)險(xiǎn)轉(zhuǎn)移78.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則？A、立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系【正確答案】：A解析：

教材P16，立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重79.關(guān)于我國(guó)加強(qiáng)信息安全保障工作的總體要求，以下說法錯(cuò)誤的是：A、堅(jiān)持積極防御、綜合防范的方針B、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個(gè)人隱私保護(hù)意識(shí)【正確答案】：D解析：

教材P16，信息安全保障工作的總體要求：

堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。80.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí)，信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本原因，他應(yīng)該首先檢查？A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測(cè)試計(jì)劃C、災(zāi)難恢復(fù)計(jì)劃（DRP）D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件【正確答案】：A解析：

找原因查日志81.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中正確的是？A、由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對(duì)集團(tuán)公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B、對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，計(jì)劃全員通過CISP持證培訓(xùn)以確保人員能力得到保障C、對(duì)其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解D、對(duì)全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn)，實(shí)現(xiàn)全員信息安全意識(shí)教育【正確答案】：D解析：

選項(xiàng)A、C、D所描述的內(nèi)容在實(shí)際中都需要做，但D最優(yōu)，符合題意。

若題目中問題改為“以下選項(xiàng)中不正確的是?”，答案為B。82.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過信息系統(tǒng)安全保障評(píng)估所搜集的（

），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（

）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是（

），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個(gè)（

），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（

）的信心。A、安全保障工作：客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B解析：

教材P32-P3383.小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位。一次面試中，某公司的技術(shù)經(jīng)理讓小王讀一讀信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識(shí)。小明的主要觀點(diǎn)包括：（1）背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果；（3）背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告。請(qǐng)問小王的論點(diǎn)中錯(cuò)誤的是哪項(xiàng)？A、第一個(gè)觀點(diǎn)，背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象B、第二個(gè)觀點(diǎn)，背景建立的依據(jù)是國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C、第三個(gè)觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字D、第四個(gè)觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書【正確答案】：B解析：

教材P90，背景建立是建立在業(yè)務(wù)需求的基礎(chǔ)上，通過有效的風(fēng)險(xiǎn)評(píng)估和國(guó)家、地區(qū)、行業(yè)相關(guān)法律法規(guī)及標(biāo)準(zhǔn)的約束下獲得背景依據(jù)。84.二十世紀(jì)二十年代，德國(guó)發(fā)明家亞瑟謝爾比烏斯（ArthurScherbius）發(fā)明了Enigma密碼機(jī)。按密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于？A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是憑借推理和證明，常用密碼運(yùn)算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步曲機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（"TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對(duì)密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性怕變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場(chǎng)合【正確答案】：A解析：

教材P269，轉(zhuǎn)輪機(jī)的出現(xiàn)是古典密碼學(xué)發(fā)展成熟的重要標(biāo)志之一

85.以下關(guān)于信息安全法治建設(shè)的意義，說法錯(cuò)誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對(duì)該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng)C、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系【正確答案】：C解析：

信息安全問題的產(chǎn)生既有技術(shù)原因，也有管理原因。86.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，發(fā)現(xiàn)當(dāng)前案例中共有兩個(gè)重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個(gè)主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性；脆弱性V6和脆弱性V7。根據(jù)上述條件，請(qǐng)問：使用相乘法時(shí)，應(yīng)該為資產(chǎn)A1計(jì)算幾個(gè)風(fēng)險(xiǎn)值？A、2B、3C、5D、6【正確答案】：C解析：

A1:T1，T2；A1:v3，v4，v5，V1，V2

T1*(V1，V2)=1*2=2

T2*(v3，v4，v5)=1*3=387.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個(gè)組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具88.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問題的應(yīng)對(duì)措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

89.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會(huì)話層D、物理層【正確答案】：A解析：

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。

90.異常入侵檢測(cè)是入侵檢測(cè)系統(tǒng)常用的一種技術(shù)，它是識(shí)別系統(tǒng)或用戶的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用，從而檢測(cè)出入侵行為。下面說法錯(cuò)誤的是？A、在異常入侵檢測(cè)中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測(cè)，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測(cè)可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報(bào)警D、異常入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

教材P353，選項(xiàng)B的描述“將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生”是誤用檢測(cè)

91.以下哪個(gè)選項(xiàng)不是信息安全需求的來源?A、法律法規(guī)與合同條約的要求B、組織的原則、目標(biāo)和規(guī)定C、風(fēng)險(xiǎn)評(píng)估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警【正確答案】：D解析：

選項(xiàng)Ｄ屬于維護(hù)保障92.對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說法錯(cuò)誤的是？A、在使用來自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對(duì)管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序【正確答案】：C解析：

端口開放意味著風(fēng)險(xiǎn)，因此不用的端口要關(guān)閉93.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生時(shí)阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段，為準(zhǔn)備-檢測(cè)-根除-恢復(fù)-跟蹤總結(jié)。請(qǐng)問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是（）。A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C、遏制措施可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順序恢復(fù)相關(guān)的系統(tǒng)【正確答案】：C解析：

教材P153，關(guān)閉相關(guān)系統(tǒng)94.系統(tǒng)安全工程-能力成熟度模型（SystemsSecurityEngineering-Capabilitymaturitymodel，SSE-CMM）定義的包含評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過程領(lǐng)域是？A、風(fēng)險(xiǎn)過程B、工程過程C、保證過程D、評(píng)估過程【正確答案】：A解析：

教材P183，風(fēng)險(xiǎn)過程包括四個(gè)PA：評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)。95.以下場(chǎng)景描述了基于角色的訪問控制模型（Role-basedAccessControl，RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限（不同類別和級(jí)別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是？A、當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制【正確答案】：D解析：

教材P312，RBAC有四個(gè)級(jí)別，RBAC0-3

96.“統(tǒng)一威脅管理”是將防病毒，入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理97.恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective，RTO）和恢復(fù)點(diǎn)目標(biāo)（RECOVERYPointObjective，RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是？A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

RTO和RPO都可以為0，而且可以同時(shí)為0。

RTO恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective）是系統(tǒng)發(fā)生故障到恢復(fù)業(yè)務(wù)所需要的時(shí)間。RPO=0，說明服務(wù)不會(huì)中斷。

RPO恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）是指業(yè)務(wù)恢復(fù)后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度，RPO=0，說明數(shù)據(jù)是實(shí)時(shí)備份的，不會(huì)出現(xiàn)數(shù)據(jù)丟失的情況。

所以，兩個(gè)值都為0的情況下，意味著系統(tǒng)永不中斷服務(wù)，而且數(shù)據(jù)完全沒有丟失。

98.GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》是測(cè)評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廊（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)（EvaluationAssuranceLevel，EAL），其評(píng)估保證級(jí)共分為（

）個(gè)遞增的評(píng)估保證等級(jí)。A、4B、5C、6D、7【正確答案】：D解析：

教材P236，EAL-評(píng)估保證級(jí)

EAL１：功能測(cè)試

EAL2：結(jié)構(gòu)測(cè)試

EAL3：系統(tǒng)地測(cè)試和檢查

EAL4：系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查

EAL5：半形式化設(shè)計(jì)和測(cè)試

EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試

EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試99.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是？A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對(duì)解決問題沒有幫助100.在信息系統(tǒng)設(shè)計(jì)階段“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過程的哪個(gè)階段?A、背景建立B、風(fēng)險(xiǎn)評(píng)估C、風(fēng)險(xiǎn)處理D、批準(zhǔn)監(jiān)督【正確答案】：C解析：

教材P90，產(chǎn)品選擇屬于風(fēng)險(xiǎn)處理101.在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)用戶進(jìn)行認(rèn)證識(shí)別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動(dòng)態(tài)口令。下面描述中錯(cuò)誤的是？A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對(duì)口令進(jìn)行簡(jiǎn)單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動(dòng)態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長(zhǎng)的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測(cè)出下次要使用的口令D、通常，動(dòng)態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

教材P295，動(dòng)態(tài)口令方案中每次使用的口令不同，不能從密碼歷史中得到之前的口令

102.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是？A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

網(wǎng)閘可以進(jìn)行物理隔離103.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)？A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B解析：

信息系統(tǒng)集成項(xiàng)目實(shí)施過程中不追求最好的產(chǎn)品和技術(shù)，可能有風(fēng)險(xiǎn)。104.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z20686-2007，《信息安全事件分級(jí)分類指南》，該事件的準(zhǔn)確分類和定級(jí)應(yīng)該是?A、有害程序事件特別重大事件（I級(jí)）B、信息破壞事件重大事件（II級(jí)）C、有害程序事件較大事件（III級(jí)）D、信息破壞事件一般事件（IV級(jí)）【正確答案】：C解析：

教材P146-P147，木馬病毒屬于有害程序事件，信息安全事件分為四個(gè)級(jí)別：特別重大事件（I級(jí)）、重大事件（II級(jí)）、較大事件（III級(jí)）、一般事件（IV級(jí)），其中：較大事件（III級(jí)）包括的情況如下：會(huì)使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要的信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，產(chǎn)出較大的社會(huì)影響。影響OA系統(tǒng)屬于較大事件。105.以下關(guān)于帳戶策略中密碼策略中各項(xiàng)策略的作用說明，哪個(gè)是錯(cuò)誤的：A、“密碼必須符合復(fù)雜性要求”是用于避免用戶產(chǎn)生1234，111這樣的口令B、“密碼長(zhǎng)度最小值”是強(qiáng)制用戶使用一定長(zhǎng)度以上的密碼C、“強(qiáng)制密碼歷史”是強(qiáng)制用戶不能再為使用曾經(jīng)使用過的低密碼D、“密碼最長(zhǎng)存留期”是為了避免用戶使用密碼時(shí)間過長(zhǎng)而不更換【正確答案】：C解析：

“強(qiáng)制密碼歷史”需要設(shè)置記住密碼的數(shù)量106.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是？A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了【正確答案】：C解析：

選項(xiàng)A：增量備份是每次備份的數(shù)據(jù)相當(dāng)于上一次備份后增加或修改過的數(shù)據(jù)

選項(xiàng)B：災(zāi)難恢復(fù)能為分6級(jí)

選項(xiàng)D：明顯錯(cuò)誤107.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）【正確答案】：C解析：

教材P304，終端訪問控制器訪問控制系統(tǒng)(TACACS+)是Cisco專屬協(xié)議

108.有關(guān)能力成熟度模型（CMM）錯(cuò)誤的理解是？A、CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率B、CMM的思想來源于項(xiàng)目管理和質(zhì)量管理CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計(jì)過程