注冊信息安全工程師練習(xí)卷含答案

第頁注冊信息安全工程師練習(xí)卷含答案1.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則？A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則【正確答案】：C解析：

多項(xiàng)安全措施并用縱深防御2.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中基本實(shí)施（BasePractices，BP）正確的理解是？A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法不限工具，必須按步驟執(zhí)行BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐代表最佳實(shí)踐D、BP不是過程區(qū)域【正確答案】：A解析：

教材P181，選項(xiàng)A：不限工具，必須按步驟執(zhí)行

選項(xiàng)B：BP是最佳實(shí)踐，所以要根據(jù)廣泛的現(xiàn)有資料和專家意見得出。

選項(xiàng)C：代表最佳實(shí)踐

選項(xiàng)D：基本實(shí)施定義了獲得過程區(qū)域目標(biāo)的必要步驟，所以是強(qiáng)制項(xiàng)3.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

VTP-VLANTrunkProtocal，VLAN干道協(xié)議是在交換機(jī)上運(yùn)行的協(xié)議

4.安全專家在對某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是？A、為了提高Apache軟件運(yùn)行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權(quán)限D(zhuǎn)、為了減少Apache上存在的漏洞【正確答案】：C解析：

調(diào)低權(quán)限確保Apache服務(wù)的安全5.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體、動機(jī)、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個(gè)工作屬于下面哪一個(gè)階段的工作？A、資產(chǎn)識別并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、確認(rèn)已有的安全措施并賦值【正確答案】：C解析：

教材P256，威脅識別定義

威脅識別：判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容；

脆弱性識別：對脆弱性嚴(yán)重程度進(jìn)行等級化處理；

確認(rèn)已有的控制措施：建立在《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)告》、《信息系統(tǒng)的安全要求報(bào)告》來確認(rèn)已有的安全措施，包括技術(shù)層面、組織層面、管理層面的安全對策，形成《已有安全措施列表》

6.以下行為不屬于違反國家保密規(guī)定的行為：A、將涉密計(jì)算機(jī)、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B、通過普通郵政等無保密措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家秘密D、以不正當(dāng)手段獲取商業(yè)秘密【正確答案】：D解析：

屬于竊取商業(yè)秘密7.小張?jiān)谀硢挝皇秦?fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估工作形式，小張認(rèn)為：1.風(fēng)險(xiǎn)評估工作形式包括：自評估和檢查評估；2.自評估是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估；3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估；4.對信息系統(tǒng)的風(fēng)險(xiǎn)評估方式只能是“自評估”和“檢查評估”中的一個(gè)，非此即彼。請問小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)【正確答案】：D解析：

自評估和檢查評估需要相互結(jié)合8.微軟SDL將軟件開發(fā)生命周期制分為七個(gè)階段，并列出了十七項(xiàng)重要的安全活動。其中“棄用不安全的函數(shù)”屬于（）的安全活動A、要求（Requirements）階段B、設(shè)計(jì)（Design）階段C、實(shí)施（Implementation）階段D、驗(yàn)證（Verification）階段【正確答案】：C解析：

教材P397，“棄用不安全的函數(shù)”屬于實(shí)現(xiàn)階段9.利用"緩沖區(qū)溢出"漏洞進(jìn)行滲透測試模擬攻擊過程中，利用WEB服務(wù)器的漏洞取得了一臺遠(yuǎn)程主機(jī)的Root權(quán)限。為了防止WEB服務(wù)器的漏洞被彌補(bǔ)后，失去對該服務(wù)器的控制，應(yīng)首先攻擊下列中的（）文件。A、etc/.htaccessB、/etc/passwdC、/etc/secureD、/etc/shadow【正確答案】：D解析：

無10.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，有關(guān)測量結(jié)果，錯(cuò)誤的理解是？A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備某一個(gè)特定級別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過程區(qū)域的能力成熟度未達(dá)到此級B、如果該組織某個(gè)過程區(qū)域（ProcessAreas，PA）具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個(gè)公共特征，則過程區(qū)域的能力成熟度級別達(dá)到3級“充分定義級”C、如果某個(gè)過程區(qū)域（ProcessAreas，PA）包含4個(gè)基本實(shí)施（BasePractices，BP），執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過程區(qū)域的能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上【正確答案】：B解析：

教材P205，充分定義級的三個(gè)特征：

1.定義標(biāo)準(zhǔn)過程

2.執(zhí)行已定義的過程

3.協(xié)調(diào)安全實(shí)施11.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos）描述正確的是：A、該協(xié)議使用非對稱密鑰加密機(jī)制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境【正確答案】：C解析：

教材P301

選項(xiàng)A：Kerberos使用對稱密碼算法實(shí)現(xiàn)通過可信第三方的認(rèn)證服務(wù)

選項(xiàng)B：Kerberos運(yùn)行環(huán)境由KDC、應(yīng)用服務(wù)器和客戶端組成

選項(xiàng)D：需要時(shí)鐘同步

12.實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是？A、將登錄口令設(shè)置為出生日期B、通過詢問和核對用戶的個(gè)人隱私信息來鑒別C、使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別D、通過掃描和識別用戶的臉部信息來鑒別【正確答案】：D解析：

教材P294，A、B是所知；C是所有13.以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容【正確答案】：A解析：

排除法，選面Ａ描述的是概念與需求階段的工作內(nèi)容14.S公司在全國有20個(gè)分支機(jī)構(gòu)，總部有10臺服務(wù)器、200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺服務(wù)器、100個(gè)左右用戶終端，通過專用進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標(biāo)專家，請給S公司選出設(shè)計(jì)最合理的一個(gè)：A、總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)和用戶終端使用192.168.2.x~192.168.20.xB、總部使用服務(wù)器使用~11、用戶終端使用2~212，分支機(jī)構(gòu)IP地址隨意確定即可C、總部服務(wù)器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段、另外一個(gè)做用戶終端地址段D、因?yàn)橥ㄟ^互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機(jī)構(gòu)自行決定即可【正確答案】：C解析：

選項(xiàng)B和D明顯錯(cuò)誤，選項(xiàng)A總部的服務(wù)器端和用戶端使用同一個(gè)網(wǎng)段，不符合題目上要求。

15.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正常使用，從而檢測出入侵行為。下面說法錯(cuò)誤的是？A、在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象B、實(shí)施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報(bào)警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

教材P353，選項(xiàng)B的描述“將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生”是誤用檢測

16.GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了評估對象，保護(hù)輪廓和安全目標(biāo)等術(shù)語。關(guān)于安全目標(biāo)（ST）下面選項(xiàng)中描述錯(cuò)誤的是（）A、ST闡述了安全要求，具體說明了一個(gè)既定被評估產(chǎn)品或評估對象的安全功能B、ST包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施C、ST對于產(chǎn)品和系統(tǒng)來講，相當(dāng)于要求了其安全實(shí)現(xiàn)方案D、ST從用戶角度描述，代表了用戶想要的東西，而不是廠商聲稱提供的東西【正確答案】：D解析：

教材P235，ST是所有的相關(guān)各方對TOE提供什么樣的安全性達(dá)成一致的基礎(chǔ)。17.安全管理體系，國際上有標(biāo)準(zhǔn)（InformationtechnologySecuritytechniquesInformationSystems）（ISO/IEC27001：2013），而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》（GB/T22080-2008）。請問，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是？A、IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV（等效采用），此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異C、AEQ（等效采用），此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較【正確答案】：D解析：

教材P82

ISO27001：2005等同采用

GB/T22080：2008

ISO27001：2013等同采用

GB/T22080：201618.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)？A、風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具有客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】：B解析：

定性風(fēng)險(xiǎn)分析具有主觀性，但不能隨意19.GaryMcGraw博士及其合作者提出軟件安全應(yīng)由三根支柱來支撐，這三個(gè)支柱是？A、源代碼審核、風(fēng)險(xiǎn)分析和滲透測試B、應(yīng)用風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識C、威脅建模、滲透測試和軟件安全接觸點(diǎn)D、威脅建模、源代碼審核和模糊測試【正確答案】：B解析：

教材P403，BSI認(rèn)為軟件安全有三根支柱：風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)、安全知識20.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中的哪項(xiàng)原則?A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

教材P408，一項(xiàng)工作需多人協(xié)作共同完成職責(zé)分離21.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

教材P422

滲透測試：是一種模擬攻擊者進(jìn)行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法。22.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登錄過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令；(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確，則鑒別完成?？梢钥闯?，這個(gè)鑒別過程屬于？A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A解析：

只是服務(wù)器鑒別客戶端-單向鑒別

23.根據(jù)《信息安全等級保護(hù)管理辦法》、《關(guān)于開展信息安全等級保護(hù)測評體系建設(shè)試點(diǎn)工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護(hù)（

）建設(shè)和開展（

）工作的通知（公信安[2010]303號）等文件，由公安部（

）對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期（

）。對不具備能力的測評機(jī)構(gòu)（

）。A、等級測評；測評體系；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)B、測評體系；等級保護(hù)評估中心；等級測評；能力驗(yàn)證；取消授權(quán)C、測評體系；等級測評；等級保護(hù)評估中心；能力驗(yàn)證；取消授權(quán)D、測評體系；等級保護(hù)評估中心；能力驗(yàn)證；等級測評；取消授權(quán)【正確答案】：C解析：

根據(jù)《信息安全等級保護(hù)管理辦法》、《關(guān)于開展信息安全等級保護(hù)測評體系建設(shè)試點(diǎn)工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知（公信安[2010]303號）等文件，由公安部等級保護(hù)評估中心對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期能力驗(yàn)證。對不具備能力的測評機(jī)構(gòu)取消授權(quán)。24.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全的不可缺少的工作，某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全？A、操作系統(tǒng)安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)使用一個(gè)分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)存放在C盤C、操作系統(tǒng)上部署防病毒軟件以對抗病毒威脅D、將默認(rèn)的管理員賬號administrator改名，降低口令暴力破解攻擊的發(fā)生機(jī)率【正確答案】：B解析：

系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)要分開25.從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項(xiàng)中，對特權(quán)管理機(jī)制的理解錯(cuò)誤的是？A、普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能B、系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C、進(jìn)程可以放棄自己的某些權(quán)能D、當(dāng)普通用戶的某些操作涉及特權(quán)操作時(shí)，仍然通過setuid實(shí)現(xiàn)【正確答案】：B解析：

系統(tǒng)管理員不能剝奪超級用戶的權(quán)能26.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以實(shí)現(xiàn)發(fā)件人確認(rèn)，提供防抵賴服務(wù)27.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于？A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準(zhǔn)則（簡稱ITSEC）D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)（簡稱CC）【正確答案】：B解析：

信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來。

BS7799-1(ISO/IEC1799:2000)《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個(gè)大眾化的最佳慣例。

BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。28.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價(jià)格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

聯(lián)動功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動。

29.在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是？A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可實(shí)施C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確【正確答案】：D解析：

管理者不負(fù)責(zé)具體實(shí)施風(fēng)險(xiǎn)評估過程30.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的（

）。A、保密性B、完整性C、可用性D、真實(shí)性【正確答案】：C解析：

分布式拒絕服務(wù)攻擊破壞的是可用性31.下列選項(xiàng)中，哪個(gè)不是我國信息安全保障工作的主要內(nèi)容？A、加強(qiáng)信息安全標(biāo)準(zhǔn)化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標(biāo)準(zhǔn)體系B、建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實(shí)現(xiàn)國家信息安全自主可控目標(biāo)C、建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D、加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)【正確答案】：B解析：

參見上題解析中"27號文"的主要任務(wù)(重點(diǎn)加強(qiáng)的安全保障工作)32.小王是某通信運(yùn)營商公司的網(wǎng)絡(luò)安全架構(gòu)師，為該公司推出的一項(xiàng)新型通信系統(tǒng)項(xiàng)目做安全架構(gòu)規(guī)劃，項(xiàng)目客戶要求對他們的大型電子商務(wù)網(wǎng)絡(luò)進(jìn)行安全域的劃分，化解為小區(qū)域的安全保護(hù)，每個(gè)邏輯區(qū)域有各自的安全訪問控制和邊界控制策略，以實(shí)現(xiàn)大規(guī)模電子商務(wù)系統(tǒng)的信息保護(hù)。小王對信息系統(tǒng)安全域（保護(hù)對象）的劃分不需要考慮的是？A、業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性，業(yè)務(wù)系統(tǒng)是否需要對外連接B、安全要求的相似性，可用性、保密性和完整性的要求是否類似C、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機(jī)房等D、數(shù)據(jù)庫的安全維護(hù)【正確答案】：D解析：

架構(gòu)規(guī)劃關(guān)注整體，選項(xiàng)D數(shù)據(jù)庫的安全防護(hù)屬于DBA的職責(zé)33.國家科學(xué)技術(shù)秘密的密級分為絕密級、機(jī)密級、秘密級，以下哪項(xiàng)屬于絕密級的描述?A、處于國際先進(jìn)水平，并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的B、能夠局部反應(yīng)國家防御和治安實(shí)力的C、我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D、國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】：D解析：

國家科學(xué)技術(shù)秘密的密級

（一）絕密級

1、國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的；

2、能夠?qū)е赂咝录夹g(shù)領(lǐng)域突破的；

3、能夠整體反映國家防御和治安實(shí)力的。

（二）機(jī)密級

1、處于國際先進(jìn)水平，并且具有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的；

2、能夠局部反映國家防御和治安實(shí)力的；

3、我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝。

（三）秘密級

1、處于國際先進(jìn)水平，并且與國外相比在主要技術(shù)方面具有優(yōu)勢，社會效益或者經(jīng)濟(jì)效益較大的；

2、我國獨(dú)有、受一定自然條件因素制約，并且社會效益或者經(jīng)濟(jì)效益很大的傳統(tǒng)工藝。34.某公司內(nèi)網(wǎng)的Web開發(fā)服務(wù)器只對內(nèi)網(wǎng)提供訪問（Web服務(wù)器監(jiān)聽8080端口，內(nèi)網(wǎng)信任網(wǎng)段為/24）。管理員李工使用iptables來限制訪問。下列正確的iptables規(guī)則是（）A、iptables-AINPUT-ptcp-s--dport8080-jACCEPTB、iptables-AINPUT-ptcp--dport8080-jACCEPTC、iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD、iptables-AINPUT-ptcp/24--dport8080-jACCEPT【正確答案】：C解析：

iptables-AINPUT-ptcp-s/24--dport8080-jACCEPT

-A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則

-s：指定作為源地址匹配，這里不能指定主機(jī)名稱，必須是IP

IP|IP/MASK|/而且地址可以取反，加一個(gè)“!”表示除了哪個(gè)IP之外

-d：表示匹配目標(biāo)地址

-p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）35.信息系統(tǒng)安全保障評估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進(jìn)行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（

），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（

）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（

），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個(gè)（

），因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種（

）的信心。A、安全保障工作：客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B解析：

教材P32-P3336.小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四（24%），歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：A、24萬B、0.09萬C、37.5萬D、9萬【正確答案】：D解析：

100*24%*3/8=9萬37.以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A、組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長期負(fù)責(zé)B、對重要的工作進(jìn)行分解，分配給不同人員完成C、一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)、防止員工由一個(gè)崗位變動到另一個(gè)崗位，累積越來越多的權(quán)限【正確答案】：C解析：

教材P408，最小特權(quán)原則：在完成任務(wù)的前提下為用戶分配最小的權(quán)限38.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是：A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

選項(xiàng)B、C、D的表述均明顯有誤39.在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度重視我國信息安全人才隊(duì)伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是？A、在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）中，針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng)，增強(qiáng)全民信息安全意識”的指導(dǎo)精神B、2015年，為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，經(jīng)報(bào)國務(wù)院學(xué)位委員會批準(zhǔn)，國務(wù)院學(xué)位委員會、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科，這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)起到積極的推動作用C、經(jīng)過十余年的發(fā)展，我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多，基本能同社會實(shí)際需求相匹配；同時(shí)，高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、知識更全面，因而社會化培養(yǎng)應(yīng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學(xué)教育外，我國信息安全人才非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系，包括“注冊信息安全專業(yè)人員（CISP）”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證【正確答案】：C解析：

選項(xiàng)C的描述“社會化培養(yǎng)應(yīng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上”有問題，我國目前仍然面臨信息安全人才匱乏問題。40.某次對某系統(tǒng)進(jìn)行安全測試時(shí)，李工發(fā)現(xiàn)一個(gè)URL“http：///downloaD.jsp?path=uploads/test.jpg”，你覺得此URL最有可能存在什么漏洞（）A、任意文件下載漏洞B、SQL注入漏洞C、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】：A解析：

URL中有download和path，顯然屬于文件下載漏洞41.以下關(guān)于法律的說法錯(cuò)誤的是？A、法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體現(xiàn)和效力B、法律可以是公開的，也可以是“內(nèi)部”的C、一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改D、法律對違法犯罪的后果有明確規(guī)定，是一種硬約束【正確答案】：B解析：

常識，法律是國家意志的體現(xiàn)，現(xiàn)為由立法機(jī)關(guān)依照法定42.關(guān)于Linux下的用戶和組，以下描述不正確的是？A、在Linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限【正確答案】：C解析：

一個(gè)用戶可以屬于多個(gè)組43.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識后，嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是？A、編輯文件/etc/passwD.檢查文件中用戶ID，禁用所有ID=0的用戶B、編輯文件/etc/ssh/sshd_config，將PermitRootLogin設(shè)置為noC、編輯文件/etc/pam.d/system-auth，設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D、編輯文件/etc/profile，設(shè)置TMOUT=600【正確答案】：A解析：

root用戶：用戶ID為0的用戶，也被稱為超級用戶，root用戶在系統(tǒng)上擁有完全權(quán)限，可以修改和刪除任何文件，可以運(yùn)行任何命令，可以取消任何進(jìn)程。root用戶負(fù)責(zé)增加和保留其他用戶、配置硬件、添加系統(tǒng)軟件。44.金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項(xiàng)是不好的操作習(xí)慣（）A、使用專用上網(wǎng)購物用計(jì)算機(jī)，安裝好軟件后不要對該計(jì)算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級B、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)【正確答案】：A解析：

應(yīng)確保所使用的系統(tǒng)軟件和應(yīng)用軟件都安裝了最新的補(bǔ)丁45.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號），對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是？A、該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍D、該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位【正確答案】：A解析：

教材P6146.信息系統(tǒng)安全工程（ISSE）的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作？A、明確業(yè)務(wù)對信息安全的要求B、識別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D解析：

立項(xiàng)階段不需要做測試工作47.以下關(guān)于https協(xié)議與http協(xié)議相比交的優(yōu)勢說明，那個(gè)是正確的？A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B、Https使用的端口與http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會話過程中不傳輸用戶名和密碼，因此具有較高的安全性【正確答案】：A解析：

HTTPS（HyperTextTransferProtocoloverSecureSocketLayer），是以安全為目標(biāo)的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性

。HTTPS在HTTP的基礎(chǔ)下加入SSL，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面

48.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯（ArthurScherbius）發(fā)明了Enigma密碼機(jī)。按密碼學(xué)發(fā)展歷史階段劃分，這個(gè)階段屬于？A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計(jì)密碼，而不是憑借推理和證明，常用密碼運(yùn)算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計(jì)算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步曲機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（"TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性怕變革，同時(shí)，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合【正確答案】：A解析：

教材P269，轉(zhuǎn)輪機(jī)的出現(xiàn)是古典密碼學(xué)發(fā)展成熟的重要標(biāo)志之一

49.以下關(guān)于軟件安全測試說法正確的是？A、軟件安全測試就是黑盒測試B、FUZZ測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關(guān)注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題【正確答案】：B解析：

排除法

A、D太絕對；C不全面。FUZZ測試就是模糊測試50.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是？A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

網(wǎng)閘可以進(jìn)行物理隔離51.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法，Windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)誤的是?A、密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進(jìn)行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效的保護(hù)所有系統(tǒng)用戶被口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊【正確答案】：C解析：

賬戶鎖定策略對內(nèi)置管理員賬號不生效，因此不能保護(hù)針對內(nèi)置管理員—administrator的窮舉法攻擊。52.Linux系統(tǒng)文件中訪問權(quán)限屬性通過9個(gè)字符來表示，分別表示文件屬主、文件所屬組用戶和其他用戶對文件的讀（r）、寫（w）及執(zhí)行（x）的權(quán)限。文件usr/bin/passwd的屬性信息如下圖所示，在文件權(quán)限中還出現(xiàn)了一位s，下列選項(xiàng)中對這一位s的理解正確的是？A、文件權(quán)限出現(xiàn)了錯(cuò)誤，出現(xiàn)s的位應(yīng)該改為xB、s表示sticky位，設(shè)置sticky位后，就算用戶對目錄具有寫權(quán)限，也不能刪除該文件C、s表示SGID位，文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn)、s表示SUID位，文件在執(zhí)行階段具有文件所有者的權(quán)限【正確答案】：D解析：

setuid：設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限，相當(dāng)于臨時(shí)擁有文件所有者的身份53.在進(jìn)行應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的？A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用【正確答案】：B解析：

排除法，選項(xiàng)A\C\D都是測試時(shí)必須做的54.關(guān)于業(yè)務(wù)連續(xù)性（BCP）以下說法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)而建立的一個(gè)控制過程【正確答案】：B解析：

教材P135，BCP是為了保護(hù)關(guān)鍵業(yè)務(wù)功能。55.某單位計(jì)劃在今年開發(fā)一套辦公自動化（OA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在OA系統(tǒng)的設(shè)計(jì)方案評審會上，提出了不少安全開發(fā)的建議，作為安全專家，請指出大家提供的建議中不太合適的一條？A、對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，是開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞D、要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對輸入數(shù)據(jù)進(jìn)行校驗(yàn)【正確答案】：C解析：

無論哪種開發(fā)工具都有漏洞56.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估描述不正確的是：A、規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB／T20984-2007》

1.規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。

2.設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。

3.實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。

4.運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。57.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是？A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人D、密碼協(xié)議（cryptographicprotocol），有時(shí)也稱安全協(xié)議（securityprotocol），是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)【正確答案】：A解析：

復(fù)雜的步驟也必須明確處理方式58.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17:00到20:00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊【正確答案】：D解析：

在特定時(shí)間段網(wǎng)絡(luò)流量有明顯提升，屬于流量式攻擊59.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

教材P409，隱私保護(hù)原則：系統(tǒng)收集到的用戶信息都必須實(shí)施妥善和安全的保護(hù)60.以下關(guān)于Windows系統(tǒng)的賬號存儲管理機(jī)制SAM（SecurityAccountsManager）的說法哪個(gè)是正確的？A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D解析：

dows桌面環(huán)SYSTEM是至高無上的超級管理員帳戶。默認(rèn)情況下，我們無法直接在登錄對話框上以SYSTEM帳戶的身份登錄到Win境。61.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議（ARP）欺騙的根源之一?ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會緩存C、ARP緩存是動態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議【正確答案】：D解析：

ARP欺騙是由ARP協(xié)議本身的特點(diǎn)決定的，而不是因?yàn)樗匾?/p>

62.為了能夠合理、有序地處理安全事件，應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種廣泛使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）。A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測階段【正確答案】：D解析：

應(yīng)急響應(yīng)分成準(zhǔn)備(Preparation)、檢測(Detection)、抑制(Containment)、根除(Eradication)、恢復(fù)(Recovery)、跟蹤(Follow-up)6個(gè)階段的工作63.對涉密系統(tǒng)進(jìn)行安全保密測評應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)?A、BMB20-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范》BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南》C、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》D、GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》【正確答案】：B解析：

BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》

該標(biāo)準(zhǔn)規(guī)定了涉密信息系統(tǒng)分級保護(hù)測評工作流程、測評內(nèi)容、測評方法和測評結(jié)果判定準(zhǔn)則，適用于獲得國家保密局授權(quán)的涉密信息系統(tǒng)風(fēng)險(xiǎn)評估機(jī)構(gòu)或單位對涉密信息系統(tǒng)進(jìn)行安全保密測評，也可用于保密工作部門對涉密信息系統(tǒng)進(jìn)行檢查、獲得國家保密局涉密信息系統(tǒng)風(fēng)險(xiǎn)評估資質(zhì)的單位和涉密信息系統(tǒng)使用單位對涉密信息系統(tǒng)進(jìn)行自評估的依據(jù)。64.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問這個(gè)目錄，管理員在某次維護(hù)中無意將zhang這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登錄系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來的個(gè)人文件夾，原因是：A、任何一個(gè)新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件B、Windows7不認(rèn)為新建立的用戶zhang與原來用戶zhang是同一個(gè)用戶，因此無權(quán)訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權(quán)限，之所以無權(quán)訪問是因?yàn)槲募A經(jīng)過了加密【正確答案】：B解析：

新建用戶雖然名字與原用戶相同，但SID不同，系統(tǒng)認(rèn)為這是兩個(gè)不同的賬號。

65.國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization）對信息安全的定義為？A、保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可能性、可控性和不可否認(rèn)性B、信息安全，有時(shí)縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個(gè)可以用于任何形式數(shù)據(jù)（例如電子、物理）的通用術(shù)語C、在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力，這些事件和行為將威脅所存儲或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可能性、真實(shí)性、完整性和機(jī)密性D、為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的惡意的原因而受到破壞、更改、泄露【正確答案】：D解析：

教材P1，ISO對信息安全的定義描述。66.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)控制外部各方的目標(biāo)應(yīng)該包括下列哪個(gè)選項(xiàng)？A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C、與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識別、處理外部各方協(xié)議中的安全問題【正確答案】：D解析：

教材P10667.信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)（

）年進(jìn)行一次等級測評?A、0.5B、1C、2D、3【正確答案】：B解析：

教材P77，三級系統(tǒng)每年至少測評一次68.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯(cuò)誤的是？A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

教材P295，動態(tài)口令方案中每次使用的口令不同，不能從密碼歷史中得到之前的口令

69.關(guān)于信息安全管理，下面理解片面的是（

）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

教材P83，技術(shù)與管理的關(guān)系70.以下哪些是需要在信息安全策略中進(jìn)行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)施手段【正確答案】：B解析：

教材P103，Policy方針、策略－確定信息安全工作的總體目標(biāo)和基本原則71.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是？A、在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測試、安全評審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)B、在軟件安全設(shè)計(jì)時(shí)，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計(jì)進(jìn)行評審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足C、確保對軟件編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行【正確答案】：D解析：

排除法，選項(xiàng)D-絕對化72.信息安全工程監(jiān)理的職責(zé)包括：A、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)B、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)【正確答案】：A解析：

監(jiān)理職責(zé)之：四控三管一協(xié)調(diào)

四控：進(jìn)度控制、質(zhì)量控制、成本控制（投資控制）、變更控制。

三管：合同管理、安全管理、信息管理。

一協(xié)調(diào)：協(xié)調(diào)甲方、總包及設(shè)備材料供應(yīng)方的關(guān)系73.下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）【正確答案】：C解析：

教材P304，終端訪問控制器訪問控制系統(tǒng)(TACACS+)是Cisco專屬協(xié)議

74.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘；賬戶鎖定時(shí)間10分鐘；賬戶鎖定閥值3次無效登陸。以下關(guān)于以上策略設(shè)置后的說法哪個(gè)是正確的？A、設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的用戶就會被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該用戶帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響【正確答案】：B解析：

選項(xiàng)A：內(nèi)置管理員賬號不受影響

選項(xiàng)C：會鎖定10分鐘

選項(xiàng)D：正常用戶登錄輸入錯(cuò)誤也會鎖定75.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)?A、防護(hù)B、檢測C、反應(yīng)D、策略【正確答案】：D解析：

PDR：Protection-Detection-Response

PPDR：Policy-Protection-Detection-Response76.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過程，包括五個(gè)方面：起源、方式、途徑、受體和后果。他畫了下面這張圖來描述信息安全風(fēng)險(xiǎn)的構(gòu)成過程，圖中括號空白處應(yīng)該填寫（）.A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評估【正確答案】：C解析：

威脅是對脆弱性的利用77.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是不推薦使用的方法？A、禁用主機(jī)的CD驅(qū)動、USB接口等I／O設(shè)備B、對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D、用快速格式化刪除存儲介質(zhì)中的保密文件【正確答案】：D解析：

格式化后還可以利用工具恢復(fù)數(shù)據(jù)78.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全？A、信息安全管理體系（ISMS）B、信息安全等級保護(hù)C、NISTSP800D、ISO270000系列【正確答案】：B解析：

題干所描述的正是等保的作用79.信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評估，以下關(guān)于信息安全測評說法不正確的是？A、信息產(chǎn)品安全評估是測評機(jī)構(gòu)對產(chǎn)品的安全性做出的獨(dú)立評價(jià)，增強(qiáng)用戶對已評估產(chǎn)品安全的信任B、目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險(xiǎn)評估和信息系統(tǒng)安全保障測評兩種類型C、信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施服務(wù)過程質(zhì)量保證能力的具體衡量和評價(jià)D、信息系統(tǒng)風(fēng)險(xiǎn)評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出有針對性的安全防護(hù)策略和整改措施【正確答案】：B解析：

選項(xiàng)中未包括已經(jīng)寫進(jìn)《網(wǎng)絡(luò)安全法》的等保測評80.對惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯(cuò)誤的是？A、在使用來自外部的移動介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序【正確答案】：C解析：

端口開放意味著風(fēng)險(xiǎn)，因此不用的端口要關(guān)閉81.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是？A、由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價(jià)值在于可以測試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C、滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試【正確答案】：D解析：

滲透測試不要在業(yè)務(wù)高峰期進(jìn)行，影響太大82.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評估后，形成了若干文檔，下面(

)中的文檔不應(yīng)屬于風(fēng)險(xiǎn)評估中“風(fēng)險(xiǎn)評估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險(xiǎn)評估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險(xiǎn)評估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容【正確答案】：C解析：

教材P260，風(fēng)險(xiǎn)評估各階段的輸出文檔，見下圖。

83.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí)，發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RPO（恢復(fù)點(diǎn)目標(biāo)）指標(biāo)為3小時(shí)。請問這意味著（

）。A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問題定位和應(yīng)急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完整應(yīng)急處理工作并恢復(fù)對外運(yùn)行C、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至少能提供3小時(shí)的緊急業(yè)務(wù)服務(wù)能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)【正確答案】：D解析：

恢復(fù)點(diǎn)目標(biāo)是指企業(yè)的損失容限：在對業(yè)務(wù)造成重大損害之前可能丟失的數(shù)據(jù)量。該目標(biāo)表示為從丟失事件到最近一次在前備份的時(shí)間度量。84.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃，提出了四大培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)，作為主管領(lǐng)導(dǎo)，以下選項(xiàng)中正確的是？A、由于網(wǎng)絡(luò)安全上升到國家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團(tuán)公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)B、對下級單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn)，計(jì)劃全員通過CISP持證培訓(xùn)以確保人員能力得到保障C、對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進(jìn)行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對網(wǎng)絡(luò)安全有所了解D、對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，實(shí)現(xiàn)全員信息安全意識教育【正確答案】：D解析：

選項(xiàng)A、C、D所描述的內(nèi)容在實(shí)際中都需要做，但D最優(yōu)，符合題意。

若題目中問題改為“以下選項(xiàng)中不正確的是?”，答案為B。85.下列我國哪一個(gè)政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全工作的主要原則？A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D、《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》【正確答案】：C解析：

教材P16，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦2003年27號文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅(jiān)持技管并重等。86.對信息安全事件的分級參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級別的是？A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D解析：

教材P146，按重要程度劃分：特別重要、重要、一般。87.加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows操作系統(tǒng)的一個(gè)組件。以下說法錯(cuò)誤的是？A、EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者程序都不能加密數(shù)據(jù)B、EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C、EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Windows7環(huán)境下）D、EFS加密過程對用戶透明，EFS加密的用戶驗(yàn)證過程是在登錄Windows時(shí)進(jìn)行的【正確答案】：C解析：

FAT32文件系統(tǒng)不支持EFS加密88.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識別階段的輸出成果？A、《風(fēng)險(xiǎn)評估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級列表》【正確答案】：B解析：

教材P260，風(fēng)險(xiǎn)評估各階段的輸出文檔

89.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A、高級管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無法提供各種信息安全工作必須的資源90.層次化的文檔是信息安全管理體系（簡稱ISMS）建設(shè)的直接體現(xiàn)，也是ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機(jī)構(gòu)，那么以下選項(xiàng)（）應(yīng)放入到一級文件中。A、《風(fēng)險(xiǎn)評估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D解析：

教材P99，信息安全方針屬于一級文件91.Windows文件系統(tǒng)權(quán)限管理使用訪問控制列表機(jī)制，以下哪個(gè)說法是錯(cuò)誤的？A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS，因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對這些文件和目錄設(shè)置。。的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，文件夾和文件的權(quán)限信息是寫在用戶數(shù)據(jù)中D、由于ACL具有很好的靈活性，在實(shí)際使用中可以為每個(gè)文件設(shè)定獨(dú)立的用戶權(quán)限【正確答案】：C解析：

用戶數(shù)據(jù)庫中沒有關(guān)于文件夾和文件的訪問權(quán)限信息92.關(guān)于軟件安全開發(fā)生命周期（SDL），下面說法錯(cuò)誤的是：A、在軟件開發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本【正確答案】：C解析：

教材P402，選項(xiàng)C的后半句描述有問題93.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

94.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會工程學(xué)攻擊【正確答案】：D解析：

換頭像，典型的社會工程學(xué)攻擊95.以下關(guān)于信息安全法治建設(shè)的意義，說法錯(cuò)誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動C、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系【正確答案】：C解析：

信息安全問題的產(chǎn)生既有技術(shù)原因，也有管理原因。96.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對一個(gè)組織的安全工程能力成熟度進(jìn)行測量時(shí)，正確的理解是：A、測量單位是基本實(shí)施（BasePractices，BP）B、測量單位是通用實(shí)施（GenericPractices，GP）C、測量單位是過程區(qū)域（ProcessAreas，PA）D、測量單位是公共特征（CommonFeatures，CF）【正確答案】：D解析：

教材P204，SSE-CMM每個(gè)級別都具有幾個(gè)公共特征97.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的？A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實(shí)施障礙【正確答案】：C解析：

新技術(shù)有風(fēng)險(xiǎn)98.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A解析：

教材P294，智能卡-所有；短信-所知99.下圖是安全測試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請仔細(xì)分析該圖，下面選項(xiàng)中推斷正確的是（）A、安全測試人員連接了遠(yuǎn)程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)開啟了FTP服務(wù)，使用的服務(wù)器軟件名為FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是Windows【正確答案】：D解析：

Serv-U是運(yùn)行在Windows操作系統(tǒng)下的FTP服務(wù)100.關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的是？A、指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項(xiàng)B、指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復(fù)C、指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束D、指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時(shí)，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以【正確答案】：B解析：

數(shù)據(jù)庫完整性包括：

1.

實(shí)體完整性：確保每行數(shù)據(jù)都是有效的

2.

區(qū)域完整性：確保每列數(shù)據(jù)都是有效的

3.

參考完整性

4.

自定義完整性101.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是？A、健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐C、建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系，加快信息安全科學(xué)建設(shè)和信息安全人才培養(yǎng)【正確答案】：C解析：

自主創(chuàng)新有問題102.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理103.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯(cuò)誤、寫臨時(shí)文件錯(cuò)誤等問題時(shí)，會將詳細(xì)的錯(cuò)誤原因在結(jié)果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。將詳細(xì)的錯(cuò)誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發(fā)生內(nèi)部錯(cuò)誤！”。請問，這種處理方法的主要目的是？A、避免緩沖區(qū)溢出B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、最小化反饋信息【正確答案】：D解析：

教材P364，發(fā)布信息應(yīng)采取最小化原則，所有不必要的信息都不發(fā)布104.傳輸控制協(xié)議（TCP）是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的？A、相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途B、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C、TCP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議D、TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低【正確答案】：D解析：

教材P335，TCP提供面向連接的可靠服務(wù)，效率比UPD要低

選項(xiàng)A：TCP效率比UDP要低

選項(xiàng)B：源IP地址和目標(biāo)IP地址在IP包中

選項(xiàng)C：TCP協(xié)議工作在傳輸層，IP協(xié)議工作在網(wǎng)絡(luò)層，TCP不能取代IP

105.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是？A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

TCP/IP協(xié)議棧：應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層，數(shù)據(jù)封裝，自上而下106.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），下面描述錯(cuò)誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個(gè)國家信息系統(tǒng)建設(shè)參考使用B、IATF是一個(gè)通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D、強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題【正確答案】：A解析：

教材P28，IATF沒有被采納為國際標(biāo)準(zhǔn)107.Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面哪項(xiàng)是正確的（）A、這個(gè)文件可以被任何用戶讀和寫B(tài)、這個(gè)可以被任何用戶讀和執(zhí)行C、這個(gè)文件可以被任何用戶寫和執(zhí)行D、這個(gè)文件不可以被所有用戶寫和執(zhí)行【正確答案】：B解析：

755：111—101--