NISP(CISP)復習試題有答案

第頁NISP(CISP)復習試題有答案1.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ＩCＭＰ流量上升了２５０％，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題。但為了安全起見，他仍然向主管領導提出了應對策略，作為主管負責人，請選擇有效的針對此問題的應對措施：A、在防火墻上設置策略，阻止所有的ＩCＭＰ流量進入B、刪除服務器上的ｐｉｎｇ．ｅｘｅ程序C、增加帶寬以應對可能的拒絕服務攻擊D、增加網(wǎng)站服務器以應對即將來臨的拒絕服務攻擊【正確答案】：A解析：

A是應對措施。2.公鑰密碼的應用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認證碼D、身份認證【正確答案】：C3.選擇信息系統(tǒng)部署的場地應考慮組織機構對信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保

護很大程度上取決與場地的安全性，一個部署在高風險場所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性

的。為了保護環(huán)境安全，在下列選項中，公司在選址時最不應該選址的場地是().A、自然災害較少的城市B、部署嚴格監(jiān)控的獨立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D4.目前應用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對應用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙

認為同事小李從對應用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對，請問是下面哪一項（）A、數(shù)據(jù)訪問權限B、偽造身份C、釣魚攻擊D、遠程滲透【正確答案】：A5.以下關于項目的含義，理解錯誤的是：A、項目是為達到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結束日期由項目的領導者根據(jù)項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體(Specific)、可測量（Measurable)、需相關方的一致同意(Agreeto)、現(xiàn)實(Realistic)、有一定的時限(Timeoriented)?！菊_答案】：B解析：

解釋：據(jù)項目進度不能隨機確定，需要根據(jù)項目預算、特性、質(zhì)量等要求進行確定。6.以下哪個選項不是防火墻提供的安全功能?A、IP地址欺騙防護B、NATC、訪問控制D、SQL注入攻擊防護【正確答案】：D解析：

題干中針對的是傳統(tǒng)防火墻，而SQL注入防護是WAF的主要功能。7.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CCM）對一個組織的安全工程能力成熟度進行測量時，有關測量結果，錯誤的理解是：A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B、如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征，則此過程區(qū)域的能力成熟度級別達到3級“充分定義級”C、如果某個過程區(qū)域（ProcessAreas，PA)包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上解釋：SSE-CMM充分定義級包括三個特征，為“定義標準過程”、“執(zhí)行已定義的過程”、“安全協(xié)調(diào)實施”。B答案中只描述了兩個公共特征?！菊_答案】：B8.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D、深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

A錯，模糊測試是模擬異常輸入；B錯，入口與邊界點是測試對象；C模糊測試記錄和檢測異常運行情況。9.以下哪一項不是信息系統(tǒng)集成項目的特點：A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術，開發(fā)響應的軟件和硬件，將其集成到信息系統(tǒng)的過程。C、信息系統(tǒng)集成項目的指導方法是“總體規(guī)劃、分步實施”。D、信息系統(tǒng)集成包含技術，管理和商務等方面，是一項綜合性的系統(tǒng)工程【正確答案】：B解析：

系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術。10.以下對Windows系統(tǒng)的服務描述，正確的是：A、Windows服務必須是一個獨立的可執(zhí)行程序B、Windows服務的運行不需要用戶的交互登陸C、Windows服務都是隨系統(tǒng)啟動而啟動，無需用戶進行干預D、Windows服務都需要用戶進行登陸后，以登錄用戶的權限進行啟動【正確答案】：B11.根據(jù)《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風險評估應按照《信息安全等級保護管理辦法》等國家有關保密規(guī)定和標準進行B、非涉密信息系統(tǒng)的風險評估應按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等要求進行C、可委托同一專業(yè)測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內(nèi)容【正確答案】：C解析：

C為正確描述。12.以下屬于哪一種認證實現(xiàn)方式：用戶登錄時，認證服務器（AuthenticationServer，AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。A、口令序列B、時間同步C、挑戰(zhàn)/應答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。13.針對軟件的拒絕服務攻擊是通過消耗系統(tǒng)資源使軟件無法響應正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務攻擊的威脅，以下哪個不是需求考慮的攻擊方式A、攻擊者利用軟件存在的邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導致運算進入死循環(huán)，CＰＵ資源占用始終１００％B、攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時會導致查詢效率低，通過發(fā)送大量的查詢導致數(shù)據(jù)庫響應緩慢C、攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導致并發(fā)連接數(shù)耗盡而無法訪問D、攻擊者買通ＩDC人員，將某軟件運行服務器的網(wǎng)線拔掉導致無法訪問【正確答案】：D解析：

D為社會工程學攻擊。14.信息系統(tǒng)建設完成后，（）的信息系統(tǒng)的而運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評合格后方可投入使用A、二級以上B、三級以上C、四級以上D、五級以上【正確答案】：B解析：

答案為B，三級以上默認包括本級。15.WindowsNT提供的分布式安全環(huán)境又被稱為:A、域（Domain）B、工作組C、對等網(wǎng)D、安全網(wǎng)【正確答案】：A16.以下哪一項不是常見威脅對應的消減措施：A、假冒攻擊可以采用身份認證機制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權限，可以采用訪問控制表的方式來管理權限【正確答案】：C解析：

消息驗證碼不能防止抵賴，而是提供消息鑒別、完整性校驗和抗重放攻擊。17.有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯誤的理解是：A、SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應商、集成商和咨詢服務商等B、SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施D、SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動【正確答案】：C解析：

SSE-CMM是系統(tǒng)工程，不可以獨立實施。18.關于信息安全管理體系，國際上有標準（ISO/IEC27001:2013）而我國發(fā)布了《信息技術安全技術信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標準的關系是：A、IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改B、EQV(等效采用)，此國家標準不等效于該國際標準C、NEQ（非等效采用），此國家標準不等效于該國際標準D、沒有采用與否的關系，兩者之間版本不同，不應該直接比較【正確答案】：D解析：

ISO/IEC27001:2013和GB/T22080-2008是兩個不同的版本。19.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖(圖中包括了規(guī)劃建立、實施運行、（）、保持和改進），但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。A、監(jiān)控和反饋ISMSB、批準和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C解析：

管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實施運行、C-監(jiān)視和評審、A-保持和改進。20.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是A、檢查評估可依據(jù)相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B解析：

檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。21.為了能夠合理、有序地處理安全事件，應事件制定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應急響應分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）

A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D22.張主任的計算機使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個人文件夾設置了權限為只有zhang這個用戶有權訪問這個目錄，管理員在某次維護中無意將zhang這個用戶刪除了，隨后又重新建了一個用戶名為zhang，張主任使用zhang這個用戶登錄系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來的個人文件夾，原因是：A、任何一個新建用戶都需要經(jīng)過授權才能訪問系統(tǒng)中的文件B、Windows7不認為新建立的用戶zhang與原來用戶zhang是同一個用戶，因此無權訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權限，之所以無權訪問是因為文件夾經(jīng)過了加密【正確答案】：A23.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數(shù)字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設計遵循的是哪項安全設計原則：A、最小特權原則B、職責分離原則C、縱深防御原則D、最少共享機制原則【正確答案】：C解析：

題目描述的是軟件開發(fā)的深度防御思想應用。24.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，下面總結錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施作為信息安全保障的重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標準規(guī)范建設，重視應急響應、安全監(jiān)管和安全測評【正確答案】：C25.小王學習了災備備份的有關知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為

了鞏固所學知識，小王對這三種備份方式進行對比，其中在數(shù)據(jù)恢復速度方面三種備份方式由快到慢的順序

是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B26.網(wǎng)絡與信息安全應急預案是在分析網(wǎng)絡與信息系統(tǒng)突發(fā)事件后果和應急能力的基礎上，針對可能發(fā)生的

重大網(wǎng)絡與信息系統(tǒng)突發(fā)事件，預先制定的行動計劃或應急對策。應急預案的實施需要各子系統(tǒng)的相互配合

與協(xié)調(diào)，下面應急響應工作流程圖中，空白方框中從右到左依次填入的是（）。

A、應急響應專家小組、應急響應技術保障小組、應急響應實施小組、應急響應日常運行小組B、應急響應專家小組、應急響應實施小組、應急響應技術保障小組、應急響應日常運行小組C、應急響應技術保障小組、應急響應專家小組、應急響應實施小組、應急響應日常運行小組D、應急響應技術保障小組、應急響應專家小組、應急響應日常運行小組、應急響應實施小組【正確答案】：A27.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成功的重要基礎。某單41位在實施風險評估時，形成了《待評估信息系統(tǒng)相關設備及資產(chǎn)清單》。在風險評估實施的各個階段中，該《待評估信息系統(tǒng)相關設備及資產(chǎn)清單》應是如下()A、風險評估準備B、風險要素識別C、風險分析D、風險結果判定【正確答案】：B解析：

風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。28.某單位在進行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進行單位內(nèi)的信息系統(tǒng)漏洞

掃描。漏洞掃描報告的結論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因

在于小張使用的漏洞掃描軟件采購于三年前，服務已經(jīng)過期，漏洞庫是半年前最后一次更新的。關于內(nèi)部審

計人員對這份報告的說法正確的是（）A、內(nèi)部審計人員的質(zhì)疑是對的，由于沒有更新漏洞庫，因此這份漏洞掃描報告準確性無法保證B、內(nèi)部審計人員質(zhì)疑是錯的，漏洞掃描軟件是正版采購，因此掃描結果是準確的C、內(nèi)部審計人員的質(zhì)疑是正確的，因為漏洞掃描報告是軟件提供，沒有經(jīng)過人為分析，因此結論不會準確D、內(nèi)部審計人員的質(zhì)疑是錯誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃描結果是準確的【正確答案】：A29.進入21世紀以來，信息安全成為世界各國安全戰(zhàn)略關注的重點，紛紛制定并頒布網(wǎng)絡空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：A、與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施是各國安全保障的重點B、美國未設立中央政府級的專門機構處理網(wǎng)絡信息安全問題，信息安全管理職能由不同政府部門的多個機構共同承擔C、各國普遍重視信息安全事件的應急響應和處理D、在網(wǎng)絡安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關系【正確答案】：B解析：

解釋：美國已經(jīng)設立中央政府級的專門機構。30.以下關于可信計算說法錯誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機安全評價標準(TCSEC)中第一次提出了可信計算機和可信計算基的概念C、可信的整體框架包含終端可信、終端應用可信、操作系統(tǒng)可信、網(wǎng)絡互聯(lián)可信、互聯(lián)網(wǎng)交易等應用系統(tǒng)可信D、可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護體系和方法【正確答案】：D解析：

可信計算平臺出現(xiàn)后不會取代傳統(tǒng)的安全防護體系和方法。31.假設一個系統(tǒng)已經(jīng)包含了充分的預防控制措施，那么安裝監(jiān)測控制設備：A、是多余的，因為它們完成了同樣的功能，但要求更多的開銷B、是必須的，可以為預防控制的功效提供檢測C、是可選的，可以實現(xiàn)深度防御D、在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預防控制功能已經(jīng)足夠【正確答案】：C解析：

略32.以下關于威脅建模流程步驟說法不正確的是A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險C、消減威脅是根據(jù)威脅的評估結果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅。D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞?！菊_答案】：D解析：

威脅就是漏洞是錯誤的。33.信息系統(tǒng)安全保障評估概念和關系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境

中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（），向信

息系統(tǒng)的所有相關方提供信息系統(tǒng)的（）能夠實現(xiàn)其安全保障策略，能夠將將其所面臨的風險降低到其可接

受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（）,信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，

涉及信息系統(tǒng)整個（），因此信息系統(tǒng)安全保障的評估也應該提供一種（）的信心。

A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B34.某單位計劃在今年開發(fā)一套辦公自動化（ＯA）系統(tǒng)，將集團公司各地的機構通過互聯(lián)網(wǎng)進行協(xié)同辦公，在ＯA系統(tǒng)的設計方案評審會上，提出了不少安全開發(fā)的建設，作為安全專家，請指出大家提的建議中不太合適的一條：A、對軟件開發(fā)商提出安全相關要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B、要求軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Ｊａｖａ而不是AＳＰ作為開發(fā)語言，避免ＳＱＬ注入漏洞D、要求軟件開發(fā)商對軟件進行模塊化設計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進行校驗【正確答案】：C解析：

SQL注入與編碼SQL語法應用和過濾有關，與開發(fā)語言不是必然關系。35.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項錯誤的是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對于R威脅，可以選擇使用如強認證、數(shù)字簽名、安全審計等技術D、對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術【正確答案】：D解析：

R-抵賴是無法通過過濾、流控和隱私保護實現(xiàn)的，R-抵賴的實現(xiàn)方式包括數(shù)字簽名、安全審計、第三方公證。36.數(shù)據(jù)在進行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層B、傳輸層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層C、互聯(lián)網(wǎng)絡層、傳輸層、網(wǎng)絡接口層D、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳輸層【正確答案】：B解析：

答案為B。37.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務攻擊D、社會工程學攻擊【正確答案】：D解析：

D屬于社會工程學攻擊。38.以下列出了MAC和散列函數(shù)的相似性,哪一項說法是錯誤的？A、MAC和散列函數(shù)都是用于提供消息認證B、MAC的輸出值不是固定長度的，而散列函數(shù)的輸出值是固定長度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對稱加密算法【正確答案】：C解析：

1）MAC：消息驗證、完整性校驗、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對稱。2）哈希：消息驗證、完整性校驗；輸出是固定的；不需要密鑰；不是非對稱。39.小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質(zhì)培訓，一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項：A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化【正確答案】：B解析：

定性分析不能靠直覺、不能隨意。40.防止非法授權訪問數(shù)據(jù)文件的控制措施，哪項是最佳的方式：A、自動文件條目B、磁帶庫管理程序C、訪問控制軟件D、鎖定庫【正確答案】：C41.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進，以及深化落實三個階段，以下關于我國信息安全保障各階段說法不正確的是：A、2001國家信息化領導小組重組，網(wǎng)絡與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B、2003年7月，國家信息化領導小組制定出臺了《關于加強信息安全保障工作的意見》（中辦發(fā)27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C、2003年中辦發(fā)27號文件的發(fā)布標志著我國信息安全保障進入深化落實階段

D.在深化落實階段，信息安全法律法規(guī)、標準化，信息安全基礎設施建設，以及信息安全等級保護和風險評估取得了新進展?！菊_答案】：C解析：

2006年進入到深化落實階段。42.關于數(shù)據(jù)庫恢復技術，下列說法不正確的是：A、數(shù)據(jù)庫恢復技術的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復機制技術來解決，當數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復B、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復中采用的基本技術C、日志文件在數(shù)據(jù)庫恢復中起著非常重要的作用，可以用來進行事務故障恢復和系統(tǒng)故障恢復，并協(xié)助后備副本進行介質(zhì)故障恢復D、計算機系統(tǒng)發(fā)生故障導致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復到故障發(fā)生前的完整狀態(tài)，這一對事務的操作稱為提交【正確答案】：D解析：

利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán)，將數(shù)據(jù)庫恢復到故障發(fā)生前完整狀態(tài)，這一對事務的操作稱為回滾。43.1998年英國公布標準的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一

個組織的全面或部分信息安全管理體系評估的（），它可以作為一個正式認證方案的（）。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術，尤其是在網(wǎng)絡和通信領域應用的近期發(fā)展，同時還非常強調(diào)了商務涉及的信息安全及（）的責任。A、信息安全；信息安全控制；根據(jù)；基礎；信息安全B、信息安全控制；信息安全；根據(jù)；基礎；信息安全C、信息安全控制；信息安全；基礎；根據(jù)；信息安全D、信息安全；信息安全控制；基礎；根據(jù)；信息安全【正確答案】：A44.S公司在全國有20個分支機構，總部由10臺服務器、200個用戶終端，每個分支機構都有一臺服務器、100個左右用戶終端，通過專網(wǎng)進行互聯(lián)互通。公司招標的網(wǎng)絡設計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給5公司選出設計最合理的一個:A、總部使用服務器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構服務器和用戶終端使用192.168.2.x192.168.20.xB、總部服務器使用—11、用戶終端使用2—212，分支機構IP地址隨意確定即可C、總部服務器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x，每個分支機構分配兩個A類地址段，一個用做服務器地址段、另外一個做用戶終端地址段D、因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構自行決定即可?！菊_答案】：C解析：

答案為C，考核的是IP地址規(guī)劃的體系化。45.關于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）。A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構、方針、活動、職責及相關實踐要素B、管理體系（ManagementSystems）是為達到組織目標的策略、程序、指南和相關資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領域的應用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構，健全信息安全管理制度、構建信息安全技術防護體系和加強人員的安全意識等內(nèi)容【正確答案】：A解析：

完成安全目標所用各類安全措施的體系。46.關于計算機取取證描述不正確的是（）A、計算機取證是使用先進的技術和工具，按照標準規(guī)程全面的檢查計算機系統(tǒng)以提取和保護有關計算機犯罪

的相關證據(jù)的活動B、取證的目的包括通過證據(jù)，查找肇事者，通過證據(jù)推斷犯罪過程，通過證據(jù)判斷受害者損失程度及涉及證

據(jù)提供法律支持C、電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品，對于電子證據(jù)取證工

作主要圍繞兩方面進行證據(jù)的獲取和證據(jù)的保護D、計算機取證的過程，可以分為準備，保護，提取，分析和提交五個步驟【正確答案】：C47.社會工程學是（）與（）結合的學科，準確來說，它不是一門科學，因為它不能總是重復合成功，并且

在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術體系缺陷的（），隨著時間流逝最終都會失

效，因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術的發(fā)展完善或替代，社會工程學利用的是人性的“弱

點”，而人性是（）,這使得它幾乎是永遠有效的（）。A、網(wǎng)絡安全；心理學；攻擊方式；永恒存在的；攻擊方式B、網(wǎng)絡安全；攻擊方式；心理學；永恒存在的；攻擊方式C、網(wǎng)絡安全；心理學；永恒存在的；攻擊方式D、網(wǎng)絡安全；攻擊方式；心理學；攻擊方式；永恒存在的【正確答案】：A48.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程、確保信息安全風險評估技術選擇合理、計算正確【正確答案】：D解析：

D不屬于管理者的職責。49.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務（DenialofService，DoS）攻擊【正確答案】：D解析：

答案為D。50.規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，某單位在實施風險評估時，形成了《風險評估方案》并得到了管理決策層的認可，在風險評估實施的各個階段中，該《風險評估方案》應是如下()中的輸出結果。A、風險評估準備階段B、風險要素識別階段C、風險分析階段D、風險結果判定階段【正確答案】：A解析：

《風險評估方案》屬于風險評估準備階段的結果。51.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應急突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面。D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B解析：

應急響應包括六個階段，為準備、檢測、遏制、根除、恢復、跟蹤總結。52.火災是機房日常運營中面臨最多的安全威脅之一，火災防護的工作是通過構建火災預防、檢測和響應系

統(tǒng)，保護信息化相關人員和信息系統(tǒng)，將火災導致的影響降低到可接受的程度。下列選項中，對火災的預防、

檢測和抑制的措施描述錯誤的選項是（）。A、將機房單獨設置防火區(qū)，選址時遠離易燃易爆物品存放區(qū)域，機房外墻使用非燃燒材料，進出機房區(qū)域的

門采用防火門或防火卷簾，機房通風管設防火栓B、火災探測器的具體實現(xiàn)方式包括；煙霧檢測、溫度檢測、火焰檢測、可燃氣體檢測及多種檢測復合等C、自動響應的火災抑制系統(tǒng)應考慮同時設立兩組獨立的火災探測器，只要有一個探測器報警，就立即啟動滅

火工作D、目前在機房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等【正確答案】：C53.以下關于Windows系統(tǒng)的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D54.組織內(nèi)人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有

員工都可以登錄系統(tǒng)完成相關需要員工配合的工作，以下哪項技術可以保證數(shù)據(jù)的保密性：A、SSL加密B、雙因子認證C、加密會話cookieD、IP地址校驗【正確答案】：A55.由于發(fā)生了一起針對服務器的口令暴力破解攻擊，管理員決定對設置帳戶鎖定策略以對抗口令暴力破解。他設置了以下賬戶鎖定策略如下：

賬戶鎖定閥值3次無效登陸；

復位賬戶鎖定計數(shù)器5分鐘；

賬戶鎖定時間10分鐘；

以下關于以上策略設置后的說法哪個是正確的A、設置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響【正確答案】：B解析：

答案為B，全部解釋為5分鐘計數(shù)器時間內(nèi)錯誤3次則鎖定10分鐘。56.某銀行信息系統(tǒng)為了滿足業(yè)務的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標準B、信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風險D、該銀行整體安全策略【正確答案】：C解析：

無法消除或降低該銀行信息系統(tǒng)面臨的所有安全風險。57.在某次信息安全應急響應過程中，小王正在實施如下措施：消除或阻斷攻擊源，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略，加強防范措施、格式化被感染而已程序的介質(zhì)等，請問，按照應急響應方法，這些工作應處于以下哪個階段（）A、準備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D解析：

消除或阻斷攻擊源等措施為根除階段。58.下圖是安全測試人員連接某遠程主機時的操作界面，請您仔細分析該圖，下面分析推理正確的是（）

A、安全測試人員鏈接了遠程服務器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠程服務器開啟了FTP服務，使用的服務器軟件名FTPSｅｒｖｅｒD、遠程服務器的操作系統(tǒng)是ｗｉｎｄｏｗｓ系統(tǒng)【正確答案】：D59.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應對突發(fā)／重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件(Ⅰ級)、重大事件(Ⅱ級)、較大事件(Ⅲ級)和一般事件(Ⅳ級)【正確答案】：B解析：

應急響應的六個階段是準備、檢測、遏制、根除、恢復、跟蹤總結。60.小趙是某大學計算機科學與技術專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經(jīng)理要求他給出該企

業(yè)信息系統(tǒng)訪問控制模型的設計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在

以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）。A、訪問控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型【正確答案】：A61.下面的角色對應的信息安全職責不合理的是：A、高級管理層——最終責任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從【正確答案】：B解析：

通常由管理層提供各種信息安全工作必須的資源。62.信息安全應急響應，是指一個組織為了應對各種安全意外事件的發(fā)生所采取的防范措施，既包括預防性

措施，也包括事件發(fā)生后的應對措施。應急響應方法和過程并不偶是唯一的，在下面的應急響應管理流程中，

空白方框處填寫正確的是選項是（）

A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D63.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解

決該病毒在企業(yè)內(nèi)部傳播，作為信息化負責人，你應采取以下哪項策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個可以查殺到該病毒的軟件進行重新部署B(yǎng)、向企業(yè)內(nèi)部的計算機下發(fā)策略，關閉系統(tǒng)默認開啟的自動播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關，防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內(nèi)部【正確答案】：B64.在軟件保障成熟度模型（ＳAＭＭ）中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能A、治理，主要是管理軟件開發(fā)的過程和活動B、構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C、驗證，主要是測試和驗證軟件的過程和活動D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動【正確答案】：D解析：

ＳAＭＭ包括治理、構造、驗證、部署。65.小明是某大學計算科學與技術專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術管理的職位，一次面試中，某公司的技術經(jīng)理讓小王談一談信息安全風險管理中的背景建立的幾本概念與認識，小明的主要觀點包括：（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規(guī)劃和準備；（2）背景建立根據(jù)組織機構相關的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果(3)背景建立包括：風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析（4.）背景建立的階段性成果包括：風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告請問小明的論點中錯誤的是哪項：A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點【正確答案】：B解析：

背景建立是根據(jù)政策、法律、標準、業(yè)務、系統(tǒng)、組織等現(xiàn)狀來開展。66.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）A、CIscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner【正確答案】：B解析：

B為WEB掃描工具。67.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時，以下說法正確的是：A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關聯(lián)（SecurityAuthentication,SA）資源的消耗D、報文驗證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機密性【正確答案】：C解析：

A錯誤，MD5提供完整性；B錯誤，AES提供的保密性；D錯誤，AH協(xié)議提供完整性、驗證及抗重放攻擊。68.ISO／IEC27001《信息技術安全技術信息安全管理體系要求》的內(nèi)容是基于（）A、BS7799-1《信息安全實施細則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術安全評估準則(簡稱ITSEC)D、信息技術安全評估通用標準(簡稱CC)【正確答案】：B解析：

BS7799-1發(fā)展為ISO27002；BS7799-2發(fā)展為ISO27001；TCSEC發(fā)展為ITSEC；ITSEC發(fā)展為CC。69.2006年5月8日電，中共中央辦公廳、國務院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全

文分（）部分共計約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導思想和戰(zhàn)略

目標標準要闡述，對我國（）發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)

展的（），當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（）。

基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全防護水平明顯提高，互聯(lián)網(wǎng)信息安全管理進一步加強。A、5個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制B、6個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制C、7個；信息化；基本形勢；國家安全戰(zhàn)略；工作機制D、8個；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機制【正確答案】：B70.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統(tǒng)基礎架構，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務，請問此類RFC系列標準建設是由哪個組織發(fā)布的（）A、國際標準化組織B、國際電工委員會C、國際電信聯(lián)盟遠程通信標準化組織D、Internet工程任務組（IETF）【正確答案】：D解析：

D為正確答案。71.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號鎖定是為了解決暴力破解攻擊的。72.ApacheHTTPServer（簡稱Apache）是個開放源碼的Web服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下哪種措施()A、不選擇Windons平臺，應選擇在Linux平臺下安裝使用B、安裝后,修改配置文件httpd.conf中的有關參數(shù)C、安裝后,刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer.并安裝使用【正確答案】：B73.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。74.小李去參加單位組織的信息安全培訓后，他把自己對管理信息管理體系ISMS的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）

A、監(jiān)控和反饋ISMSB、批準和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C75.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關于我國信息安全實踐工作，下面說法錯誤的是（）A、加強信息安全標準化建設，成立了“全國信息安全標準化技術委員會”制訂和發(fā)布了大批信息安全技術，管理等方面的標準。B、重視信息安全應急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡應急中心”推動了應急處理和信息通報技術合作工作進展C、推進信息安全等級保護工作，研究制定了多個有關信息安全等級保護的規(guī)范和標準，重點保障了關系國定安全，經(jīng)濟命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性

D實施了信息安全風險評估工作，探索了風險評估工作的基本規(guī)律和方法，檢驗并修改完善了有關標準，培養(yǎng)和鍛煉了人才隊伍【正確答案】：B解析：

工業(yè)和信息化部牽頭成立“國家網(wǎng)絡應急中心”。76.應急響應是信息安全事件管理的重要內(nèi)容?；趹表憫ぷ鞯奶攸c和事件的不規(guī)則性，事先創(chuàng)定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降到最低。應急響應方法和過程并不是唯一的。一種被廣為接受的應急響應方法是將應急響應管理過程分為6個階段，為準備→檢測→遏制-，根除→恢復→跟蹤總結。請問下列說法有關于信息安全應急響應管理過程錯誤的是():A、確定重要資產(chǎn)和風險，實施針對風險的防護措施是信息安全應急響應規(guī)劃過程中最關鍵的步驟B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關閉所有系統(tǒng)、拔掉網(wǎng)線等D、應按照應急響應計劃中事先制定的業(yè)務恢復優(yōu)先順序和恢復步驟，順次恢復相關的系統(tǒng)【正確答案】：C解析：

不能完全關閉系統(tǒng)的操作。77.GaryMcGraw博士及其合作者提出軟件安全BSI模型應由三根支柱來支撐，這三個支柱是（）。A、源代碼審核、風險分析和滲透測試B、風險管理、安全接觸點和安全知識C、威脅建模、滲透測試和軟件安全接觸點D、威脅建模、源代碼審核和模糊測試【正確答案】：B解析：

BSI的模型包括風險管理、安全接觸點和安全知識。78.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是A、在異常入侵檢測中，觀察的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B、實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

實施誤用入侵檢測（或特征檢測），是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生。79.下面有關軟件安全問題的描述中，哪項是由于軟件設計缺陷引起的（）A、設計了三層Ｗｅｂ架構，但是軟件存在ＳＱＬ注入漏洞，導致被黑客攻擊后能直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導致存在緩沖區(qū)溢出漏洞C、設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C解析：

答案為C。80.組織應定期監(jiān)控、審查、審計（）服務，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問

題得到妥善管理。應將管理供應商關系的責任分配給指定的個人或（）團隊。另外，組織應確保落實供應商

符合性審查和相關協(xié)議要求強制執(zhí)行的責任。應保存足夠的技術技能和資源的可用性以監(jiān)視協(xié)議要求尤其是

（）要求的實現(xiàn)。當發(fā)現(xiàn)服務交付的不足時，宜采?。ǎ?當供應商提供的服務，包括對（）方針、規(guī)程和控

制措施的維持和改進等發(fā)生變更時，應在考慮到其對業(yè)務信息、系統(tǒng)、過程的重要性和重新評估風險的基礎

上管理。A、供應商；服務管理；信息安全；合適的措施；信息安全B、服務管理；供應商；信息安全；合適的措施；信息安全C、供應商；信息安全；服務管理；合適的措施；信息安全D、供應商；合適的措施；服務管理；信息安全；信息安全【正確答案】：A81.老王是某政府信息中心主任。以下哪項項目是符合《保守國家秘密法》要求的()A、老王安排下屬小李將損害的涉密計算機某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B、老王要求下屬小張把中心所有計算機貼上密級標志C、老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機和紅黑電源插座應該與涉密信息系統(tǒng)同步投入使用【正確答案】：D82.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。

A、跨站腳本攻擊B、TCP會話劫持C、IP欺騙攻擊D、拒絕服務攻擊【正確答案】：D83.為了能夠合理、有序地處理安全事件，應事件制定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應急響應分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）

A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D84.對于數(shù)字證書而言，一般采用的是哪個標準？A、ISO/IEC1540BB、802.11C、GB/T20984D、X.509【正確答案】：D解析：

答案為D。85.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統(tǒng)災難恢復的重要概念，關于這兩個值能否為零，正確的選項是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A86.下圖中描述網(wǎng)絡動態(tài)安全的P2DR模型，這個模型經(jīng)常使用圖形的形式來表達的下圖空白處應填（）

A、策略B、方針C、人員D、項目【正確答案】：A87.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度（Dｅｆｅｃｔｓ／ＫＬＯC）來衡量軟件的安全性，假設某個軟件共有２９．６萬行源代碼，總共被檢測出１４５個缺陷，則可以計算出其軟件缺陷密度值是A、０．０００４９B、０．０４９C、０．４９D、４９【正確答案】：C解析：

千行代碼缺陷率計算公式，145/(29.5*10)=0.49。88.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D、根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B89.關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務目標的重要保障B、信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、信息安全建設中，技術是基礎，管理是拔高，既有效的管理依賴于良好的技術基礎D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應為技管并重。90.下列關于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。91.主體S對客體01有讀(R)權限，對客體02有讀(R)、寫(W)、擁有(Own)權限，該訪問控制實現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

定義主體訪問客體的權限叫作CL。定義客體被主體訪問的權限叫ACL。92.公鑰基礎設施，引入數(shù)字證書的概念，用來表示用戶的身份，下圖簡要的描述了終端實體（用戶），從認證權威機構CA申請、撤銷和更新數(shù)字證書的流程，請為中間框空白處選擇合適的選項（）

A、證書庫B、RAC、OCSPD.CRL庫【正確答案】：B93.什么是系統(tǒng)變更控制中最重要的內(nèi)容？A、所有的變更都必須文字化，并被批準B、變更應通過自動化工具來實施C、應維護系統(tǒng)的備份D、通過測試和批準來確保質(zhì)量【正確答案】：A94.關于標準，下面哪項理解是錯誤的（）A、標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認機構批準，共同重復使用的一種規(guī)范性文件，標準是標準化活動的重要成果B、國際標準是由國際標準化組織通過并公布的標準，同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突，應以國際標準條款為準。C、行業(yè)標準是針對沒有國家標準而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術要求而制定的標準，同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準。D、地方標準由省、自治區(qū)、直轄市標準化行政主管部門制度，冰報國務院標準化行政主管部門和國務院有關行政主管培訓部門備案，在公布國家標準后，該地方標準即應廢止。【正確答案】：B解析：

當國家標準和國際標準的條款發(fā)生沖突，應以國家標準條款為準。95.關于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權限【正確答案】：C解析：

一個用戶可以屬于多個組。96.有關系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C、BP不代表信息安全工程領域的最佳實踐D、BP不是過程區(qū)域（ProcessAreas，PA)的強制項【正確答案】：A解析：

BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務背景中可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的；代表著信息安全工程領域的最佳實踐；并且是過程區(qū)域（ProcessAreas，PA)的強制項。97.在Windows系統(tǒng)中，管理權限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B98.實施災難恢復計劃之后，組織的災難前和災難后運營成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務的性質(zhì)）【正確答案】：C99.安全漏洞產(chǎn)生的原因不包括以下哪一點()A、軟件系統(tǒng)代碼的復雜性B、軟件系統(tǒng)市場出現(xiàn)信息不對稱現(xiàn)象C、復雜異構的網(wǎng)絡環(huán)境D、攻擊者的惡意利用【正確答案】：D100.設計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C、要充分采取新技術，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術投入保值要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實施障礙【正確答案】：C101.以下哪一項不是信息安全管理工作必須遵循的原則?A、風險管理在系統(tǒng)開發(fā)之初就應該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B、風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對較低D、在系統(tǒng)正式運行后，應注重殘余風險的管理，以提高快速反應能力【正確答案】：C解析：

安全措施投入應越早則成本越低，C答案則成本會上升。102.下面哪一項不是虛擬專用網(wǎng)絡(VPN)協(xié)議標準：A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪問控制器訪問控制系統(tǒng)(TACACS+)D、點對點隧道協(xié)議(PPTP)【正確答案】：C解析：

TACACS+是AAA權限控制系統(tǒng)，不屬于VPN。103.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊【正確答案】：B104.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，以下做法應當優(yōu)先考慮的是：A、選購當前技術最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

在技術條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。105.某單位開發(fā)一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構對軟件進行了源代碼分析，模糊測試等軟件測試，在應用上線前，項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性的優(yōu)勢？A、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確B、滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C、滲透測試以攻擊者思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：C解析：

C是滲透測試的優(yōu)點。106.下列關于軟件安全開發(fā)中的BSI（BuildSecurityIn)系列模型說法錯誤的是（）A、BIS含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外B、軟件安全的三根支柱是風險管理、軟件安全觸點和安全測試C、軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D、BSI系列模型強調(diào)應該使用工程化的方法來保證軟件安全，即在整個軟件開發(fā)生命周期中都要確保將安全作為軟件的一個有機組成部分【正確答案】：B解析：

安全測試修改為安全知識。107.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡上的域資源進行法令一種機制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現(xiàn)訪問控制功能。以下選項中，對windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）ACL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權限D、通過授權管理器，可以實現(xiàn)基于角色的訪問控制【正確答案】：A108.關于惡意代碼，以下說法錯誤的是：A、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。B、按照運行平臺，惡意代碼可以分為網(wǎng)絡傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無法單獨執(zhí)行D、為了對目標系統(tǒng)實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

按照運行平臺，惡意代碼可以分為Windows平臺、Linux平臺、工業(yè)控制系統(tǒng)等。109.風險計算原理可以用下面的范式形式化地加以說明：風險值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關于上式各項說明錯誤的是：A、R表示安全風險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應資產(chǎn)的嚴重程度【正確答案】：D解析：

Ia資產(chǎn)A的價值；Va是資產(chǎn)A的脆弱性嚴重程度。110.隨著信息技術的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來，綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是（）A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存性，

導致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應用越來越廣泛，接觸越多，

信息系統(tǒng)越可能遭受攻擊，因此避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題，產(chǎn)生的根源要從內(nèi)因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性同時外部又有威

脅源，從而導致信息系統(tǒng)可能發(fā)生安全事件，因此要防范安全風險，需從內(nèi)外因同時著手D、信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用，內(nèi)因和外因都可能導致安全事件的發(fā)生，

但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠程攻擊，本地破壞和內(nèi)外勾結等手段導致安全

事件發(fā)生，因此對人這個因素的防范應是安全工作重點【正確答案】：C111.以下哪個不是導致地址解析協(xié)議(ARP)欺騙的根源之一?ARP協(xié)議是一個無狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會緩存C、ARP緩存是動態(tài)的，可被改寫D、ARP協(xié)議是用于尋址的一個重要協(xié)議【正確答案】：D解析：

D不是導致欺騙的根源。112.有關系統(tǒng)安全工程-能力成熟度模型（sse-cmm）中的基本實施（BasePractices，BP），正確的理解是：A、BP是基于最新技術而制定的安全參數(shù)基本配置B、大部分BP是沒有進過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：

A答案中BP是基于工程實踐總結的工程單元。B答案中BP是經(jīng)過測試和實踐驗證的。C答案中一項BP適用于組織的生存周期是正確的。D一項BP不能和其他BP重疊。113.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理，

實施常規(guī)的控制措施，不包括哪些選項()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責的分配B、信息處理設施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系.C、與特定利益集團的聯(lián)系，信息安全的獨立評審D、與外部各方相關風險的識別、處理外部各方協(xié)議中的安全問題【正確答案】：D114.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是：A、測量單位是基本實施(BasePractices，BP)B、測量單位是通用實踐(GenericPractices，GP)C、測量單位是過程區(qū)域(ProcessAreas，PA)D、測量單位是公共特征(CommonFeatures，CF)【正確答案】：D解析：

公共特征是衡量能力的標志。115.在某網(wǎng)絡機房建設項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A、審核實施投資計劃B、審核實施進度計劃C、審核工程實施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項目招標開始到項目的驗收結束，在投資計劃階段沒有監(jiān)理。116.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準側（）A、抵制通過網(wǎng)絡系統(tǒng)侵犯公眾合法權益B、通過公眾網(wǎng)絡傳播非法軟件C、不在計算機網(wǎng)絡系統(tǒng)中進行造謠、欺詐、誹謗等活動D、幫助和指導信息安全同行提升信息安全保障知識和能力?！菊_答案】：B117.下列選項中對信息系統(tǒng)審計概念的描述中不正確的是（）A、信息系統(tǒng)審計，也可稱作IT審計或信息系統(tǒng)控制審計B、信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程，審計對象是信息系統(tǒng)相關控制，審計目標則是判斷信息系統(tǒng)

是否能夠保證其安全性、可靠性、經(jīng)濟性以及數(shù)據(jù)的真實性、完整性等相關屬性C、信息系統(tǒng)審計師單一的概念，是對會計信息系統(tǒng)的安全性、有效性進行檢查D、從信息系統(tǒng)審計內(nèi)容上看，可以將信息系統(tǒng)審計分為不同專項審計，例如安全審計、項目合規(guī)審計、績效

審計等【正確答案】：C118.二十世紀二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機，按照密碼學發(fā)展歷史階段劃分，這個階段屬于（）A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技術來設計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和轉換方法（）B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備C、現(xiàn)代密碼學的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎，開始對密碼學的科學探索D、現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志，引發(fā)了密碼學歷【正確答案】：B解析：

根據(jù)密碼學發(fā)展階段的知識點，Engmia密碼機屬于近代密碼學發(fā)展階段的產(chǎn)物。119.小李是某公司系統(tǒng)規(guī)劃師，某天他針對公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設規(guī)劃圖，如下圖所示。請問這個圖形是依據(jù)下面哪個模型來繪制的（）

A、PDRB、PPDRC、PDCAD、IATF【正確答案】：B120.小牛在對某公司的信息系統(tǒng)進行風險評估后，因考慮到該業(yè)務系統(tǒng)中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理風險，請問這種風險處置的方法是（）A、降低風險B、規(guī)避風險C、放棄風險D、轉移風險【正確答案】：B解析：

風險處理方式包括降低、規(guī)避、接受和轉移四種方式。121.終端訪問控制器訪問控制系統(tǒng)（TerminalAccessControllerAccess-ControlSystem,TACACS）由

RFC1492定義，標準的TACACS協(xié)議只認證用戶是否可以登錄系統(tǒng)，目前已經(jīng)很少使用，TACACS+協(xié)議由Cisco公司提出，主要應用于Ciso公司的產(chǎn)品中，運行與TCP協(xié)議之上。TACACS+協(xié)議分為（）兩個不同的過程A、認證和授權B、加密和認證C、數(shù)字簽名和認證D、訪問控制和加密【正確答案】：A122.某電子商務網(wǎng)站在開發(fā)設計時，使用了威脅建模方法來分折電子商務網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的

威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?A、網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息泄露，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：

A屬于可用性；B保密性；C屬于完整性。123.為保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡實時應用系統(tǒng)進行滲透測試，以下關于滲透測試過程的說法不正確的是A、由于在實際滲透測試過程中存