注冊信息安全工程師復(fù)習(xí)試題（一）

第頁注冊信息安全工程師復(fù)習(xí)試題1.公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI）引入數(shù)字證書的概念，用來表示用戶的身份。下圖簡要地描述了終端實(shí)體（用戶）從認(rèn)證權(quán)威機(jī)構(gòu)CA申請、撤銷和更新數(shù)字證書的流程。請為中間框空白處選擇合適的選項（）。A、證書庫B、RAC、OCSPD、CRL庫【正確答案】：B解析：

教材P286，圖7-9RA-證書注冊機(jī)構(gòu)2.以下關(guān)于直接附加存儲（DAS）說法錯誤的是？A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲，是一種常用的數(shù)據(jù)存儲方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單C、DAS的缺點(diǎn)在于對服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時，連續(xù)在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲（NAS），DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D解析：

教材P158，DAS-數(shù)據(jù)分散存儲，不集中。3.在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會話層D、物理層【正確答案】：A解析：

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。

4.風(fēng)險分析是風(fēng)險評估工作中的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風(fēng)險大小，其中風(fēng)險計算矩陣如下圖所示。請為圖中括號空白處選擇合適的內(nèi)容（）A、安全資產(chǎn)價值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險隱患嚴(yán)重等級D、安全事件造成損失大小【正確答案】：D解析：

風(fēng)險分析概率與影響矩陣

風(fēng)險的基本屬性：1.風(fēng)險發(fā)生的概率；2.風(fēng)險一旦發(fā)生所帶來的影響/后果。5.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進(jìn)行業(yè)務(wù)影響分析（BIA）時的步驟是：1.標(biāo)識關(guān)鍵的業(yè)務(wù)過程2.開發(fā)恢復(fù)優(yōu)先級3.標(biāo)識關(guān)鍵的IT資源4.標(biāo)識中斷影響和允許的中斷時間A、1-3-4-2B、1-3-2-4C、1－2－3－4D、1－4－3－2【正確答案】：A解析：

教材P138，排序6.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素？A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D、該銀行整體安全策略【正確答案】：C解析：

希望通過一次改造來解決所有安全風(fēng)險問題是不可能的7.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

8.以下哪一項不是常見威脅對應(yīng)的消減措施？A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C解析：

防止發(fā)送方否認(rèn)應(yīng)該用數(shù)字簽名9.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

聯(lián)動功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動。

10.降低風(fēng)險（或減低風(fēng)險）是指通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險，下面哪個措施不屬于降低風(fēng)險的措施？A、減少威脅源。采用法律的手段制按計算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險C、減少脆弱性。及時給系統(tǒng)補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性D、減低威脅能力,采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力【正確答案】：B解析：

教材P142，合同不屬于風(fēng)險降低，屬于轉(zhuǎn)移11.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生，防范這種攻擊比較有效的方法是?A、加強(qiáng)網(wǎng)站源代碼的安全性B、對網(wǎng)絡(luò)客戶端進(jìn)行安全評估C、協(xié)調(diào)運(yùn)營商對域名解析服務(wù)器進(jìn)行加固D、在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻【正確答案】：C解析：

防范DNS劫持攻擊需要加固DNS服務(wù)器

12.以下哪項制度或標(biāo)準(zhǔn)被作為我國的一項基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全？A、信息安全管理體系（ISMS）B、信息安全等級保護(hù)C、NISTSP800D、ISO270000系列【正確答案】：B解析：

題干所描述的正是等保的作用13.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標(biāo)。為了實(shí)現(xiàn)控制外部各方的目標(biāo)應(yīng)該包括下列哪個選項？A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系C、與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評審D、與外部各方相關(guān)風(fēng)險的識別、處理外部各方協(xié)議中的安全問題【正確答案】：D解析：

教材P10614.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要，計劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報告時，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是？A、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B、應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C、編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強(qiáng)制要求，因此必須建設(shè)D、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施【正確答案】：C解析：

絕對化15.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？A、LandB、UDPFloodC、SmurfD、teardrop【正確答案】：D解析：

教材P349，teardrop攻擊屬于碎片攻擊

16.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對解決問題沒有幫助17.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（）A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：B解析：

教材P308，BLP模型：向下讀、向上寫

秘密->機(jī)密->絕密

18.以下關(guān)于項目的含義，理解錯誤的是？A、項目是為達(dá)到特定的目的，使用一定資源、在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機(jī)確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標(biāo)要遵守SMART原則，即項目的目標(biāo)要求具體（Specific）、可測量（Measurable）、需相關(guān)方的一致同意（Agreeto）、現(xiàn)實(shí)（Realistic）、有一定的時限（Time-oriented）【正確答案】：B解析：

項目的臨時性特征決定了項目要有明確的開始時間和結(jié)束時間19.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法哪個是錯誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

教材P409，隱私保護(hù)原則：系統(tǒng)收集到的用戶信息都必須實(shí)施妥善和安全的保護(hù)20.關(guān)于軟件安全開發(fā)生命周期（SDL），下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本【正確答案】：C解析：

教材P402，選項C的后半句描述有問題21.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全，以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是？A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登陸的用戶進(jìn)行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級、機(jī)房的建造和機(jī)房的裝修等【正確答案】：D解析：

選項D屬于物理安全，不屬于應(yīng)用安全

22.根據(jù)信息安全風(fēng)險要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

教材P245，風(fēng)險評估要素關(guān)系23.以下關(guān)于Windows系統(tǒng)的賬號存儲管理機(jī)制SAM（SecurityAccountsManager）的說法哪個是正確的？A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D解析：

dows桌面環(huán)SYSTEM是至高無上的超級管理員帳戶。默認(rèn)情況下，我們無法直接在登錄對話框上以SYSTEM帳戶的身份登錄到Win境。24.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是？A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

TCP/IP協(xié)議棧：應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層，數(shù)據(jù)封裝，自上而下25.為推動和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級保護(hù)工作的工作階段分級。下面四個標(biāo)準(zhǔn)中，（

）規(guī)定了等級保護(hù)定級階段的依據(jù)，對象，流程，方法及登記變更等內(nèi)容。A、GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)登記定級指南》C、GB/T25058-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》D、GB/T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B解析：

GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》，該標(biāo)準(zhǔn)對如何進(jìn)行信息系統(tǒng)定級做出指導(dǎo)。該標(biāo)準(zhǔn)已經(jīng)被《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》取代。26.風(fēng)險管理的監(jiān)控與審查不包含？A、過程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險管理活動【正確答案】：D解析：

選項Ｄ屬于溝通咨詢27.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪些控制目標(biāo)？A、符合法律要求B、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務(wù)要求、用戶訪問管理【正確答案】：D解析：

教材P127-128，符合性包括兩個方面：符合法律和合同規(guī)定、信息安全審查28.小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點(diǎn)中錯誤的是哪項？A、風(fēng)險評估方法包括：定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B、定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具有客觀性D、半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實(shí)現(xiàn)對風(fēng)險各要素的度量數(shù)值化【正確答案】：B解析：

定性風(fēng)險分析具有主觀性，但不能隨意29.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計數(shù)器5分鐘；賬戶鎖定時間10分鐘；賬戶鎖定閥值3次無效登陸。以下關(guān)于以上策略設(shè)置后的說法哪個是正確的？A、設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯的密碼的用戶就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該用戶帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響【正確答案】：B解析：

選項A：內(nèi)置管理員賬號不受影響

選項C：會鎖定10分鐘

選項D：正常用戶登錄輸入錯誤也會鎖定30.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時間為周三，因此導(dǎo)致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20686-2007，《信息安全事件分級分類指南》，該事件的準(zhǔn)確分類和定級應(yīng)該是?A、有害程序事件特別重大事件（I級）B、信息破壞事件重大事件（II級）C、有害程序事件較大事件（III級）D、信息破壞事件一般事件（IV級）【正確答案】：C解析：

教材P146-P147，木馬病毒屬于有害程序事件，信息安全事件分為四個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）、一般事件（IV級），其中：較大事件（III級）包括的情況如下：會使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要的信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，產(chǎn)出較大的社會影響。影響OA系統(tǒng)屬于較大事件。31.關(guān)于密鑰管理，下列說法錯誤的是：A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過程中，通信方使用之前用過的會話密鑰建立會話，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D、在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰【正確答案】：B解析：

教材P271，如果密鑰泄露，通信方使用之前用過的會話密鑰建立會話將導(dǎo)致保密性問題32.SABSA模型包括（

），它是一個（

），它在第一層從安全的角度定義了（

）。模型的每一層在抽象方面逐層減少，細(xì)節(jié)逐層增加，因此，它們層級都是建在其他層之上的，從策略逐漸到技術(shù)和解決方案的（

）。其思路上創(chuàng)新提出了一個包括戰(zhàn)略、概念、設(shè)計、實(shí)施、度量和審計層次的（

）。A、五層：業(yè)務(wù)需求；分層模型；實(shí)施實(shí)踐；安全鏈條B、六層：分層模型；業(yè)務(wù)需求；實(shí)施實(shí)踐；安全鏈條C、五層：分層模型；業(yè)務(wù)需求；實(shí)施實(shí)踐；安全鏈條D、六層：分層模型；實(shí)施實(shí)踐；業(yè)務(wù)需求；安全鏈條【正確答案】：B解析：

教材P3933.下面對“零日（zero-day）漏洞”的理解中，正確的是（）A、指一個特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

零日漏洞—剛被發(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞34.移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是？A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨(dú)一無二的C、指紋信息是每個人都有的，指紋識別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統(tǒng)不存在安全威脅問題—絕對化35.在國家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》信息系統(tǒng)安全保障模型包含哪幾個方面？A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B解析：

教材P35，圖1-9

信息系統(tǒng)安全保障模型：保障要素、安全特征、生命周期36.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是？A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力，將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實(shí)施指南B、系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)C、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開發(fā)的方法D、系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是在原有能力成熟度模型（CMM）的基礎(chǔ)上。通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進(jìn)學(xué)科【正確答案】：C解析：

教材P178，SSE-CMM是一種面向工程過程的方法。37.在某次信息安全應(yīng)急響應(yīng)過程中，小王正在實(shí)施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請問，按照PDCERF應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段？A、準(zhǔn)備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D解析：

教材P153，典型特征“格式化”屬于根除階段38.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后，認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行，比起簡單地實(shí)施信息安全管理，有更大的作用，他總結(jié)了四個方面的作用，其中總結(jié)錯誤的是？A、可以建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強(qiáng)化員工的信息安全意識，建立良好的安全作業(yè)習(xí)慣，培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護(hù)效果，使組織通過國際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證【正確答案】：D解析：

ISO9001是質(zhì)量管理體系標(biāo)準(zhǔn)39.老王是某政府信息中心主任，以下哪項項目是符合《保守國家秘密法》要求的？A、老王安排下屬小李將損害的涉密計算機(jī)某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B、老王要求下屬小張把中心所有計算機(jī)貼上密級標(biāo)志C、老王每天晚上12點(diǎn)將涉密計算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用【正確答案】：D解析：

選項A、C明顯錯誤，

選項B《中華人民共和國保守國家秘密法》第十七條

第十七條機(jī)關(guān)、單位對承載國家秘密的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體(以下簡稱國家秘密載體)以及屬于國家秘密的設(shè)備、產(chǎn)品，應(yīng)當(dāng)做出國家秘密標(biāo)志。

不屬于國家秘密的，不應(yīng)當(dāng)做出國家秘密標(biāo)志。40.信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）中，指出了風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項中描述錯誤的是？A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險評估C、信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充D、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并堅持使用【正確答案】：D解析：

自評估和檢查評估不是互斥的41.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說法錯誤的是（）。A、對用戶知識要求高、配置、操作和管理使用過于簡單，容易遭到攻擊B、入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響D、警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

教材P254，配置、操作和管理使用過于簡單—描述有誤42.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會工程學(xué)攻擊【正確答案】：D解析：

換頭像，典型的社會工程學(xué)攻擊43.在戴明環(huán)（PDCA）模型中，處置（ACT）環(huán)節(jié)的信息安全管理活動是？A、建立環(huán)境B、實(shí)施風(fēng)險處理計劃C、持續(xù)的監(jiān)視與評審風(fēng)險D、持續(xù)改進(jìn)信息安全管理過程【正確答案】：D解析：

PDCA循環(huán)又稱戴明環(huán)，P(plan計劃)—D（do實(shí)施）--C(check檢查)—A(act改進(jìn))，持續(xù)改進(jìn)屬于PDCA中的A階段。44.小趙是某大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設(shè)計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應(yīng)該采取的最合適的模型或方法是？A、訪問控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型【正確答案】：A解析：

教材P307，ACL可以決定任何一個特定的主體是否可對某一個客體進(jìn)行訪問，訪問控制表是自主訪問控制實(shí)現(xiàn)中比較好的一種方法45.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中基本實(shí)施（BasePractices，BP）正確的理解是？A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法不限工具，必須按步驟執(zhí)行BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐代表最佳實(shí)踐D、BP不是過程區(qū)域【正確答案】：A解析：

教材P181，選項A：不限工具，必須按步驟執(zhí)行

選項B：BP是最佳實(shí)踐，所以要根據(jù)廣泛的現(xiàn)有資料和專家意見得出。

選項C：代表最佳實(shí)踐

選項D：基本實(shí)施定義了獲得過程區(qū)域目標(biāo)的必要步驟，所以是強(qiáng)制項46.CISP的中文翻譯是？A、注冊信息安全專家B、中國信息安全注冊人員C、中國信息安全專家D、注冊信息安全專業(yè)人員【正確答案】：D解析：

解析：CISP-(CertifiedInformationSecurityProfessional）注冊信息安全專業(yè)人員

47.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理48.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是？A、所謂靜態(tài)口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動態(tài)口令實(shí)現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

教材P295，動態(tài)口令方案中每次使用的口令不同，不能從密碼歷史中得到之前的口令

49.某次對某系統(tǒng)進(jìn)行安全測試時，李工發(fā)現(xiàn)一個URL“http：///downloaD.jsp?path=uploads/test.jpg”，你覺得此URL最有可能存在什么漏洞（）A、任意文件下載漏洞B、SQL注入漏洞C、未驗證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】：A解析：

URL中有download和path，顯然屬于文件下載漏洞50.InternetExplorer，簡稱IE，是微軟公司推出的一款Web瀏覽器，IE中有很多安全設(shè)置選項，用來設(shè)置安全上網(wǎng)環(huán)境和保護(hù)用戶隱私數(shù)據(jù)。以下哪項不是IE中的安全配置項目？A、設(shè)置Cookie安全，允許用戶根據(jù)自己安全策略要求者、設(shè)置Cookie策略，包括從阻止所有Cookie到接受所有Cookie，用戶也可以選擇刪除已經(jīng)保存過的CookieB、禁用自動完成和密碼記憶功能，通過設(shè)置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁止IE自動記憶表單中的用戶名和口令信息C、設(shè)置每個連接的最大請求數(shù)，修改MuKeepAliveRequests，如果同時請求數(shù)達(dá)到閾值就不再響應(yīng)新的請求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用D、為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別，用戶可以將各個不同的網(wǎng)站劃分到Internet、本地Internet、受信任的站點(diǎn)、受限制的站點(diǎn)等不同安全區(qū)域中，以采取不同的安全訪問策略【正確答案】：C解析：

設(shè)置最大連接數(shù)應(yīng)該在注冊表中進(jìn)行設(shè)置，不能在IE中設(shè)置。

選項A：IE－＞設(shè)置－＞隱私-＞設(shè)置-＞高級－＞Cookie

選項B：IE－＞設(shè)置－＞內(nèi)容-＞自動完成-＞設(shè)置-＞表單上的用戶名和密碼

選項D：IE－＞設(shè)置－＞安全51.在以下標(biāo)準(zhǔn)中，屬于推薦性國家標(biāo)準(zhǔn)的是？A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正確答案】：A解析：

教材P69，GB/T-推薦性國家標(biāo)準(zhǔn)52.關(guān)于我國加強(qiáng)信息安全保障工作的總體要求，以下說法錯誤的是：A、堅持積極防御、綜合防范的方針B、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個人隱私保護(hù)意識【正確答案】：D解析：

教材P16，信息安全保障工作的總體要求：

堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。53.以下哪些是需要在信息安全策略中進(jìn)行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)施手段【正確答案】：B解析：

教材P103，Policy方針、策略－確定信息安全工作的總體目標(biāo)和基本原則54.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是？A、信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事業(yè)發(fā)生后的應(yīng)對措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具體高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性【正確答案】：C解析：

教材P145，應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。55.風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va）），以下關(guān)于上式各項說明錯誤的是?A、R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】：D解析：

教材P257，風(fēng)險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））

?R表示安全風(fēng)險計算函數(shù)

?A表示資產(chǎn)

?T表示威脅

?V表示脆弱性

?Ia表示安全事件所作用的資產(chǎn)價值

?Va表示脆弱性嚴(yán)重程度

?L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

?F表示安全事件發(fā)生后造成的損失56.某共享文件夾的NTFS權(quán)限和共享權(quán)限設(shè)置的并不一致，則對于登錄該文件夾所在主機(jī)的本地用戶而言，下列（）有效。A、文件夾的NTFS權(quán)限B、文件夾的共享權(quán)限C、文件夾的共享權(quán)限和NTFS權(quán)限兩者的累加權(quán)限D(zhuǎn)、文件夾的共享權(quán)限和NTFS權(quán)限兩者中最嚴(yán)格的那個權(quán)限【正確答案】：A解析：

本地登錄時只受本地NTFS權(quán)限影響57.信息安全工程作為信息安全保障的重要組成部分，主要是為了解決？A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題【正確答案】：C解析：

教材P175，信息安全工程就是要解決信息系統(tǒng)生命周期的“過程安全”問題58.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項？A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

教材P103，信息安全控制措施來自14個控制類

59.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象（），授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大【正確答案】：A解析：

授權(quán)的數(shù)據(jù)對象粒度越小，授權(quán)子系統(tǒng)就越靈活

60.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是？A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的【正確答案】：D解析：

教材P341，WPA-802.11i草案，WPA2-802.11i正式標(biāo)準(zhǔn)

61.以下哪一項不屬于常見的風(fēng)險評估與管理工具：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具B、基于知識的風(fēng)險評估與管理工具C、基于模型的風(fēng)險評估與管理工具D、基于經(jīng)驗的風(fēng)險評估與管理工具【正確答案】：D解析：

教材P228，風(fēng)險評估與管理工具的類型：基于標(biāo)準(zhǔn)、基于知識、基于模型62.以下系統(tǒng)工程說法錯誤的是？A、系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B、系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論【正確答案】：A解析：

教材P175，系統(tǒng)工程不屬于基本理論，也不屬于技術(shù)基礎(chǔ)，它所研究的重點(diǎn)是方法論。63.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B解析：

教材P152-154，應(yīng)急響應(yīng)管理過程分為：準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)64.在Linux系統(tǒng)中，下列哪項內(nèi)容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令…C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B解析：

passwd文件是保存Linux系統(tǒng)用戶信息的文件

1、用戶名：它唯一的標(biāo)志了一個用戶，用戶登錄時就用戶它。

2、密碼：以前用戶的加密都是被保存在/etc/passwd文件中的第2個字段中，并且每個用戶都可以讀取，隨著計算機(jī)性能的發(fā)展，暴力破解變得相對比較容易，因此，現(xiàn)在linux采用一種“影子密碼”，用戶的密碼被保存在專門的/etc/shadow文件中，其權(quán)限不允許普通用戶查看，root用戶可以查看，了解詳細(xì)信息可執(zhí)行man5shadow。

3、用戶ID：USERID，簡稱UID，用一個整數(shù)表示。0是系統(tǒng)管理員賬號，1-499是系統(tǒng)保留賬號，500+即一般賬號

4、用戶組ID：簡稱GID，GID唯一的標(biāo)識了一個用戶組。

5、comment：給用戶賬號做注釋用的

6、主目錄：用戶的家目錄

7、登錄的shell：登錄shell通常是/bin/bash65.某軟件在設(shè)計時，有三種用戶訪問模式，分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問)采用這三種訪問模式時，攻擊面最高的是()。A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名D、三種方式一樣【正確答案】：C解析：

“允許匿名訪問”的攻擊面最高66.從歷史演進(jìn)來看，信息安全的發(fā)展經(jīng)歷了多個階段。其中，有一個階段的特點(diǎn)是：網(wǎng)絡(luò)信息系統(tǒng)逐步形成，信息安全注重保護(hù)信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個階段是？A、通信安全階段B、計算機(jī)安全階段C、信息系統(tǒng)安全階段D、信息安全保障階段【正確答案】：C解析：

教材P15，信息系統(tǒng)安全也曾被稱為網(wǎng)絡(luò)安全，主要是保護(hù)信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，防止授權(quán)用戶的拒絕服務(wù)，同時檢測、記錄和對抗此類威脅。為了抵御這些威脅，人們開始使用防火墻、防病毒、PKI、VPN等安全產(chǎn)品。67.根據(jù)相關(guān)標(biāo)準(zhǔn)，信息安全風(fēng)險管理可分為背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢等階段。按照該框架，文檔《風(fēng)險分析報告》應(yīng)屬于哪個階段的輸出成果？A、風(fēng)險評估B、風(fēng)險處理C、批準(zhǔn)監(jiān)督D、監(jiān)控審查【正確答案】：A解析：

教材P90，風(fēng)險評估后產(chǎn)生《風(fēng)險分析報告》68.不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況，選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是？A、定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和損失量B、定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)選擇定性風(fēng)險分析C、定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進(jìn)行，所以分析結(jié)果和風(fēng)險評估團(tuán)隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性【正確答案】：B解析：

實(shí)際工作中定量風(fēng)險分析和定性風(fēng)險分析都可以采用69.在某個信息系統(tǒng)實(shí)施案例中，A單位（甲方）允許B公司（乙方）在甲方的測試中開發(fā)和部署業(yè)務(wù)系統(tǒng)，同時為防范風(fēng)險，A單位在和B公司簽訂合同中，制定有關(guān)條款，明確了如果由于B公司操作原因引起的設(shè)備損壞，則B公司需按價賠償?？梢钥闯?，該賠償條款應(yīng)用了風(fēng)險管理中（）的風(fēng)險處置措施。A、降低風(fēng)險B、規(guī)避風(fēng)險C、轉(zhuǎn)移風(fēng)險D、拒絕風(fēng)險【正確答案】：C解析：

教材P142，合同屬于風(fēng)險轉(zhuǎn)移70.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發(fā)布，最初目的是為保障美國政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是？A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器【正確答案】：B解析：

教材P29，四類焦點(diǎn)區(qū)域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境、支撐性基礎(chǔ)設(shè)施71.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是？A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度也共享數(shù)據(jù)庫中的信息C、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進(jìn)行劃分，粒度越小，安全級別越高，在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分【正確答案】：C解析：

數(shù)據(jù)庫安全粒度要根據(jù)實(shí)際需要進(jìn)行選擇，稱為最適粒度安全策略。72.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級別的保護(hù)，通常采取以下哪項控制措施？A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類指南、信息的標(biāo)記和處理【正確答案】：D解析：

教材P109，8.2：信息分類、信息的標(biāo)記、資產(chǎn)的處理73.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法，它將應(yīng)急響應(yīng)分成六個階段。其中，主要執(zhí)行如下工作應(yīng)在哪一個階段：關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾規(guī)則，拒絕來自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號等。（

）A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測階段【正確答案】：B解析：

教材P153，典型特征“關(guān)閉系統(tǒng)”屬于遏制階段74.國家科學(xué)技術(shù)秘密的密級分為絕密級、機(jī)密級、秘密級，以下哪項屬于絕密級的描述?A、處于國際先進(jìn)水平，并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的B、能夠局部反應(yīng)國家防御和治安實(shí)力的C、我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D、國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】：D解析：

國家科學(xué)技術(shù)秘密的密級

（一）絕密級

1、國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的；

2、能夠?qū)е赂咝录夹g(shù)領(lǐng)域突破的；

3、能夠整體反映國家防御和治安實(shí)力的。

（二）機(jī)密級

1、處于國際先進(jìn)水平，并且具有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的；

2、能夠局部反映國家防御和治安實(shí)力的；

3、我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝。

（三）秘密級

1、處于國際先進(jìn)水平，并且與國外相比在主要技術(shù)方面具有優(yōu)勢，社會效益或者經(jīng)濟(jì)效益較大的；

2、我國獨(dú)有、受一定自然條件因素制約，并且社會效益或者經(jīng)濟(jì)效益很大的傳統(tǒng)工藝。75.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進(jìn)行響應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊稱之為?A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood【正確答案】：D解析：

ICMPFLOOD是一種DDOS攻擊，該攻擊在短時間內(nèi)向目的主機(jī)發(fā)送大量ping包，消耗主機(jī)資源，主機(jī)資源耗盡后就會癱瘓或者無法提供其他服務(wù)。

76.ApacheHTTPServer（簡稱Apache）是一個開放源碼的Web服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A、不選擇Windows平臺，應(yīng)選擇在Linux平臺下安裝使用B、安裝后，修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后，刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用【正確答案】：B解析：

Apache服務(wù)器的配置信息全部存儲在主配置文件/etc/httpd/conf/httpd.conf中77.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS下面描述錯誤的是？A、在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體、具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達(dá)客戶、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認(rèn)接受和相關(guān)殘余風(fēng)險【正確答案】：A解析：

教材P103，信息安全方針由管理層制定78.國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization）對信息安全的定義為？A、保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可能性、可控性和不可否認(rèn)性B、信息安全，有時縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個可以用于任何形式數(shù)據(jù)（例如電子、物理）的通用術(shù)語C、在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力，這些事件和行為將威脅所存儲或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可能性、真實(shí)性、完整性和機(jī)密性D、為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的惡意的原因而受到破壞、更改、泄露【正確答案】：D解析：

教材P1，ISO對信息安全的定義描述。79.下面哪一項不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）【正確答案】：C解析：

教材P304，終端訪問控制器訪問控制系統(tǒng)(TACACS+)是Cisco專屬協(xié)議

80.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B解析：

教材P169，《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》--做好重要信息系統(tǒng)災(zāi)難備份工作的基本原則重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則，充分調(diào)動和發(fā)揮各方面的積極性，提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。81.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個方面來完成。小張在學(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識后，嘗試為自己計算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項是他的部分操作，其中不合理的是？A、編輯文件/etc/passwD.檢查文件中用戶ID，禁用所有ID=0的用戶B、編輯文件/etc/ssh/sshd_config，將PermitRootLogin設(shè)置為noC、編輯文件/etc/pam.d/system-auth，設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D、編輯文件/etc/profile，設(shè)置TMOUT=600【正確答案】：A解析：

root用戶：用戶ID為0的用戶，也被稱為超級用戶，root用戶在系統(tǒng)上擁有完全權(quán)限，可以修改和刪除任何文件，可以運(yùn)行任何命令，可以取消任何進(jìn)程。root用戶負(fù)責(zé)增加和保留其他用戶、配置硬件、添加系統(tǒng)軟件。82.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是：A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：

公鑰密碼體制中每個用戶都有一個密鑰對，題干所述為公鑰加密，私鑰解密，用于確認(rèn)收件人，稱為數(shù)字信封。83.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼也稱為塊密碼，序列密碼也稱為流密碼。84.在實(shí)施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是？A、資產(chǎn)的價值指采購費(fèi)用B、資產(chǎn)的價值指維護(hù)費(fèi)用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計【正確答案】：C解析：

資產(chǎn)賦值的原則85.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具86.在某網(wǎng)絡(luò)機(jī)房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容？A、審核實(shí)施投資計劃B、審核實(shí)施進(jìn)度計劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

投資審核不是監(jiān)理的職責(zé)87.以下說法正確的是？A、驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B、軟件測試的目的是為了驗證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃，并提出審查意見D、軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段【正確答案】：C解析：

排除法

選項A：驗收測試，系統(tǒng)開發(fā)生命周期方法論的一個階段，這是相關(guān)的用戶和／或獨(dú)立測試人員根據(jù)測試計劃和結(jié)果對系統(tǒng)進(jìn)行測試和接收。它讓系統(tǒng)用戶決定是否接收系統(tǒng)。

選項B：軟件測試不只包括功能測試

選項D：軟件測試存在于軟件的整個生命周期88.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（

）。A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C、A類、B類和C類地址中都可以設(shè)置私有地址D、A類、B類和C類地址中都沒有私有地址【正確答案】：C解析：

私有IP地址：

A類：10.*.*.*/8

B類：172.16.*.*~172.31.*.*/16

C類：192.168.*.*/16

89.下面對信息安全漏洞的理解中，錯誤的是？A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護(hù)階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟(jì)損失D、由于人類思維能力、計算機(jī)計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的【正確答案】：B解析：

排除法：A、C、D都正確，選項B：有些漏洞是人為設(shè)置的基于管理的目的留的“后門”90.在Windows7中，通過控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶策略）可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進(jìn)行設(shè)置（）A、密碼必須符合復(fù)雜性要求B、密碼長度最小值C、強(qiáng)制密碼歷史D、賬號鎖定時間【正確答案】：D解析：

賬號鎖定時間在賬號鎖定策略中91.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進(jìn)行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：（）A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

模糊測試：通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，強(qiáng)制軟件程序使用畸形數(shù)據(jù)，并觀察軟件運(yùn)行情況的一種測試方法。92.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A、信息安全需求是安全方案設(shè)計和安全措施實(shí)施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案【正確答案】：D解析：

先有需求，再有功能設(shè)計方案93.美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsAndTechnology，NIST）隸屬美國商務(wù)部，NIST發(fā)布的很多關(guān)于計算機(jī)安全的指南文檔。下面哪個文檔是由NIST發(fā)布的？A、ISO27001《Informationtechnology–Securitytechniques–Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology–OpenSystems–TheDirectory：AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IPAuthenticateHeader》【正確答案】：C解析：

SP800是美國NIST（NationalInstituteofStandardsandTechnology）發(fā)布的一系列關(guān)于信息安全的指南（SP是SpecialPublications的縮寫）。文檔很多，也很細(xì)，在NIST的標(biāo)準(zhǔn)系列文件中，雖然NISTSP并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國和國際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。NISTSP800系列成為指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。94.以下可能存在SQL注入攻擊的部分是？A、GET請求參數(shù)B、Post請求參數(shù)Cookie值D、以上均有可能【正確答案】：D解析：

SQL注入式攻擊中凡是可以傳遞到數(shù)據(jù)庫的數(shù)據(jù)都是攻擊對象95.實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高，常見的方法有利用口令鑒別、令牌鑒別、指紋鑒別等。小王在登陸某移動支付平臺時，首先需要通過指紋對用戶身份進(jìn)行鑒別。通過鑒別后，他才能作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項中的？A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見的鑒別方法【正確答案】：C解析：

教材P294，指紋屬于實(shí)體特征96.下面有關(guān)軟件安全問題的描述中，哪項應(yīng)是由于軟件設(shè)計缺陷引起的（）A、設(shè)計了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C解析：

題干強(qiáng)調(diào)軟件設(shè)計缺陷，選項A中的SQL注入漏洞是由軟件編碼問題導(dǎo)致的97.以下哪一項不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】：A解析：

"27號文"的主要任務(wù)(重點(diǎn)加強(qiáng)的安全保障工作):

1.實(shí)行信息安全等級保護(hù);

2.加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè);

3.建設(shè)和完善信息安全監(jiān)控體系;

4.重視信息安全應(yīng)急處理工作;--選項D

5.加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展;

6.加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè);

7.加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識;--選項C

8.保證信息安全資金;--選項B

9.加強(qiáng)對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制。98.入侵防御系統(tǒng)（IPS）是繼入侵檢測系統(tǒng)（IDS）后發(fā)展起來的一項新的安全技術(shù)，它與IDS有著許多不同點(diǎn)，請指出下列哪一項描述不符合IPS的特點(diǎn)?A、串接到網(wǎng)絡(luò)線路中B、對異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點(diǎn)故障D、不會影響網(wǎng)絡(luò)性能【正確答案】：D解析：

IPS設(shè)備要串聯(lián)到網(wǎng)絡(luò)中，因此會影響性能99.以下哪一項不是信息系統(tǒng)集成項目的特點(diǎn)？A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程【正確答案】：B解析：

信息系統(tǒng)集成項目實(shí)施過程中不追求最好的產(chǎn)品和技術(shù)，可能有風(fēng)險。100.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項開發(fā)一個業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費(fèi)研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準(zhǔn)確說法?A、信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開發(fā)部門的說法是正確的，因為軟件發(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡單，因此費(fèi)用更低C、雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D、雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同【正確答案】：A解析：

項管常識-軟件安全問題越早解決成本越低101.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制，他們具有不同的特點(diǎn)和應(yīng)用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（）。A、自主訪問控制B、強(qiáng)制訪問控制C、基于角色的訪問控制D、以上選項都可以【正確答案】：C解析：

教材P315，RBAC較好地支持最小特權(quán)原則，還能實(shí)施職責(zé)分離原則102.某單位在實(shí)施信息安全風(fēng)險評估后，形成了若干文檔，下面(

)中的文檔不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容【正確答案】：C解析：

教材P260，風(fēng)險評估各階段的輸出文檔，見下圖。

103./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID（UID）、默認(rèn)的用戶分組ID（GID）、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為’x’。下列選項中，對此現(xiàn)象的解釋正確的是？A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個文件里D、這些賬戶都被禁用了【正確答案】：C解析：

影子口令系統(tǒng)把口令文件分成兩部分:/etc/passwd和影子口令文件。影子口令文件保存加密的口令；/etc/passwd中的coded-password域都被置為"X"或其他替代符號。影子口令文件只能被root或像passwd這樣的set_uid程序在需要合法訪問時讀取，其他所有非授權(quán)用戶都被拒絕訪問。104.公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限。雙方引起爭議。下面說法哪個是錯誤的？A、乙對信息安全不重視，低估了黑客能力，不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險評估，所部屬的加密針對性不足，造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險，與甲共同確定網(wǎng)站安全需求【正確答案】：A解析：

排除法105.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是？A、喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C、搜集政治、軍事、經(jīng)濟(jì)等情報信息的情報機(jī)構(gòu)D、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊【正確答案】：B解析：

教材P46，A：個人威脅；C：國家威脅；D：國家威脅106.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示，對于文件名為test的一個文件，屬于Admin組中user用戶，以下哪個是該文件正確的模式表示?A、-rwxr-xr-x3userAdmin1024Sep1311:58testB、drwxr-xr-x3userAdmin1024Sep1311:58testC、rwxr-xr-x3Adminuser1024Sep1311:58testD、drwxr-xr-x3Adminuser1024Sep1311:58test【正確答案】：A解析：

-rwxr-xr-x3useradmin1024Sep1311:58test

第一個字符代表文件（-）、目錄（d），鏈接（l），其余字符每3個一組（rwx），讀（r）、寫（w）、執(zhí)行（x）；3表示連接的文件數(shù)；User表示用戶；Admin表示用戶所在的組；1024表示文件大?。籗ep1311:58表示是最后修改時間；Test表示文件名

107.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，有總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取哪項處理措施？A、由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險C、日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志，對日志共享設(shè)置，對日志共享設(shè)置訪問密碼且限定訪問的時間【正確答案】：D解析：

選項A\B\C的描述均有明顯錯誤-絕對化，選項D是正確的策略設(shè)置

108.以下關(guān)于https協(xié)議與http協(xié)議相比交的優(yōu)勢說明，那個是正確的？A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B、Https使用的端口與http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會話過程中不傳輸用戶名和密碼，因此具有較高的安全性【正確答案】：A解析：

HTTPS（HyperTextTransferProtocoloverSecureSocketLayer），是以安全為目標(biāo)的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性

。HTTPS在HTTP的基礎(chǔ)下加入SSL，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)提供了身份驗證與加密通訊方法。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面

109.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C解析：

教材P306，DAC-自主訪問控制是一種對單個用戶執(zhí)行訪問控制的過程和措施

110.對于數(shù)字證書而言，一般采用的是哪個標(biāo)準(zhǔn)？A、ISO/IEC15408B、802.11C、GB/T20984D、X.509【正確答案】：D解析：

教材P287，國際標(biāo)準(zhǔn)X.509定義了電子證書的規(guī)范格式

選項A：CC標(biāo)準(zhǔn)以“ISO/IEC15408-1999”編號正式列入國際標(biāo)準(zhǔn)系列

選項B：802.11

無線局域網(wǎng)標(biāo)準(zhǔn)

選項C：GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》

111.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險B、是否可以抵抗大部分風(fēng)險C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)【正確答案】：D解析：

風(fēng)險管理的目標(biāo)就是把風(fēng)險控制在可接受的范圍之內(nèi)112.自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)由以下哪個組織提出工作情況，協(xié)調(diào)一致后由該組織申報。A、全國通信標(biāo)準(zhǔn)化技術(shù)委員會（TC485）B、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）C、中國通信標(biāo)準(zhǔn)化協(xié)會（CCCA）D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會【正確答案】：B解析：

教材P68113.Windows系統(tǒng)中，安全標(biāo)識符（SID）是標(biāo)識用戶、組和計算機(jī)賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時，操作系統(tǒng)會把SID和權(quán)限寫入對象的ACL中，小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識，在