cisp試題700道(帶答案)

實(shí)用文檔題目內(nèi)容選項(xiàng)A選項(xiàng)B選項(xiàng)C選項(xiàng)D答案1.以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B.保證信息安全資金投入C.加快信息安全人才培養(yǎng)D.重視信息安全應(yīng)急處理工作A2.以下哪一項(xiàng)不是《GB/T20274信息安全保障評估框架》給出的信息安全保障模型具備的特點(diǎn)?A.強(qiáng)調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)性,即強(qiáng)調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個信息系統(tǒng)生命周期的全過程B.強(qiáng)調(diào)信息系統(tǒng)安全保障的概念,通過綜合技術(shù)、管理、工程和人員的安全保障要求來實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全保障目標(biāo)C.以安全概念和關(guān)系為基礎(chǔ),將安全威脅和風(fēng)險(xiǎn)控制措施作為信息系統(tǒng)安全保障的基礎(chǔ)和核心D.通過以風(fēng)險(xiǎn)和策略為基礎(chǔ),在整個信息系統(tǒng)的生命周期中實(shí)施技術(shù)、管理、工程和人員保障要素,從而使信息系統(tǒng)安全保障實(shí)現(xiàn)信息安全的安全特征C3.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準(zhǔn)確的是:A.信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理、安全工程和人員安全等,以全面保障信息系統(tǒng)安全B.通過技術(shù)、管理、工程和人員方面客觀地評估安全保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心C.是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動D.是主觀和客觀綜合評估的結(jié)果B4.與PDR模型相比,P2DR模型多了哪一個環(huán)節(jié)?A.防護(hù)B.檢測C.反應(yīng)D.策略D5.在密碼學(xué)的Kerchhoff假設(shè)中,密碼系統(tǒng)的安全性僅依賴于_______。A.明文B.密文C.密鑰D.信道C6.通過對稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是:A.在安全的傳輸信道上進(jìn)行通信B.通訊雙方通過某種方式,安全且秘密地共享密鑰C.通訊雙方使用不公開的加密算法D.通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取B7.以下關(guān)于代替密碼的說法正確的是:A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個bit異或D.明文根據(jù)密鑰作移位A8.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效,已經(jīng)替代DES成為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的,以下哪一種不是其可能的密鑰長度?A.64bitB.128bitC.192bitD.256bitA9.Alice有一個消息M通過密鑰K2生成一個密文E(K2,M)然后用K1生成一個MAC為C(K1,E(K2,M)),Alice將密文和MAC發(fā)送給Bob,Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較,假如相同再用K2解密Alice發(fā)送的密文,這個過程可以提供什么安全服務(wù)?A.僅提供數(shù)字簽名B.僅提供保密性C.僅提供不可否認(rèn)性D.保密性和消息完整性D10.PKI在驗(yàn)證一個數(shù)字證書時需要查看_______,來確認(rèn)該證書是否已經(jīng)作廢。A.ARLB.CSSC.KMSD.CRLD11.時間戳的引入主要是為了防止:A.死鎖B.丟失C.重放D.擁塞C12.以下對于安全套接層(SSL)的說法正確的是:A.主要是使用對稱密鑰體制和X509數(shù)字證書技術(shù)保護(hù)信息傳輸B.可以在網(wǎng)絡(luò)層建立VPNC.主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用WebServer方式D.包含三個主要協(xié)議:AH、ESP、IKEC的機(jī)密性和完整性13.按照BLP模型規(guī)則,以下哪種訪問不能被授權(quán):A.Bob的安全級是(機(jī)密,{NUC,EUR}),文件的安全級是(機(jī)密,{NUC,EUR,AMC}),Bob請求寫該文件B.Bob的安全級是(機(jī)密,{NUC,EUR}),文件的安全級是(機(jī)密,{NUC}),Bob請求讀該文件C.Alice的安全級是(機(jī)密,{NUC,EUR}),文件的安全級是(機(jī)密,{NUC,US}),Alice請求寫該文件D.Alice的安全級是(機(jī)密,{NUC,US}),文件的安全級是(機(jī)密,{NUC,US}),Alice請求讀該文件C14.為了防止授權(quán)用戶不會對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改,需要實(shí)施對數(shù)據(jù)的完整性保護(hù),下列哪一項(xiàng)最好地描述了星或(﹡-)完整性原則?A.Bell-LaPadula模型中的不允許向下寫B(tài).Bell-LaPadula模型中的不允許向上讀C.Biba模型中的不允許向上寫D.Biba模型中的不允許向下讀C15.下面哪一個情景屬于身份鑒別(Authentication)過程?A.用戶依照系統(tǒng)提示輸入用戶名和口令B.用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔,并設(shè)定哪些用戶可以閱讀,哪些用戶可以修改C.用戶使用加密軟件對自己編寫的Office文檔進(jìn)行加密,以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D.某個人嘗試登陸到你的計(jì)算機(jī)中,但是口令輸入的不對,系統(tǒng)提示口令錯誤,并將這次失敗的登陸過程紀(jì)錄在系統(tǒng)日志中A16.下列對Kerberos協(xié)議特點(diǎn)描述不正確的是:A.協(xié)議采用單點(diǎn)登錄技術(shù),無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證B.協(xié)議與授權(quán)機(jī)制相結(jié)合,支持雙向的身份認(rèn)證C.只要用戶拿到了TGT并且該TGT沒有過期,就可以使用該TGT通過TGS完成到任一個服務(wù)器的認(rèn)證而不必重新輸入密碼D.AS和TGS是集中式管理,容易形成瓶頸,系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全A17.TACACS+協(xié)議提供了下列哪一種訪問控制機(jī)制?A.強(qiáng)制訪問控制B.自主訪問控制C.分布式訪問控制D.集中式訪問控制D18.令牌(Tokens),智能卡及生物檢測設(shè)備同時用于識別和鑒別,依據(jù)的是以下哪個原則?A.多因素鑒別原則B.雙因素鑒別原則C.強(qiáng)制性鑒別原則D.自主性鑒別原則B19.下列對密網(wǎng)功能描述不正確的是:A.可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對真正目標(biāo)的攻擊B.吸引入侵者來嗅探、攻擊,同時不被覺察地將入侵者的活動記錄下來C.可以進(jìn)行攻擊檢測和實(shí)時報(bào)警D.可以對攻擊活動進(jìn)行監(jiān)視、檢測和分析C20.下列對審計(jì)系統(tǒng)基本組成描述正確的是:A.審計(jì)系統(tǒng)一般包含三個部分:日志記錄、日志分析和日志處理B.審計(jì)系統(tǒng)一般包含兩個部分:日志記錄和日志處理C.審計(jì)系統(tǒng)一般包含兩個部分:日記記錄和日志分析D.審計(jì)系統(tǒng)一般包含三個部分:日志記錄、日志分析和日志報(bào)告D21.安全審計(jì)是對系統(tǒng)活動和記錄的獨(dú)立檢查和驗(yàn)證,以下哪一項(xiàng)不是審計(jì)系統(tǒng)的作用:A.輔助辨識和分析未經(jīng)授權(quán)的活動或攻擊B.對與已建立的安全策略的一致性進(jìn)行核查C.及時阻斷違反安全策略的訪問D.幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施C22.UDP需要使用_______地址,來給相應(yīng)的應(yīng)用程序發(fā)送用戶數(shù)據(jù)報(bào)。A.端口B.應(yīng)用程序C.因特網(wǎng)D.物理A23.下面對WAPI描述不正確的是:A.安全機(jī)制由WAI和WPI兩部分組成B.WAI實(shí)現(xiàn)對用戶身份的鑒別C.WPI實(shí)現(xiàn)對傳輸?shù)臄?shù)據(jù)加密D.WAI實(shí)現(xiàn)對傳輸?shù)臄?shù)據(jù)加密D24.通常在設(shè)計(jì)VLAN時,以下哪一項(xiàng)不是VLAN的規(guī)劃的方法?A.基于交換機(jī)端口B.基于網(wǎng)絡(luò)層協(xié)議C.基于MAC地址D.基于數(shù)字證書D25.某個客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng),共有200臺終端PC但此客戶從ISP(互聯(lián)網(wǎng)絡(luò)服務(wù)提供商)里只獲得了16個公有的IPv4地址,最多也只有16臺PC可以訪問互聯(lián)網(wǎng),要想讓全部200臺終端PC訪問Internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù):A.花更多的錢向ISP申請更多的IP地址B.在網(wǎng)絡(luò)的出口路由器上做源NATC.在網(wǎng)絡(luò)的出口路由器上做目的NATD.在網(wǎng)絡(luò)的出口處增加一定數(shù)量的路由器B26.路由器的標(biāo)準(zhǔn)訪問控制列表以什么作為判別條件A.數(shù)據(jù)包的大小B.數(shù)據(jù)包的源地址C.數(shù)據(jù)包的端口號D.數(shù)據(jù)包的目的地址B27.橋接或透明模式是目前比較流行的防火墻部署方式,這種方式的優(yōu)點(diǎn)不包括:A.不需要對原有的網(wǎng)絡(luò)配置進(jìn)行修改B.性能比較高C.防火墻本身不容易受到攻擊D.易于在防火墻上實(shí)現(xiàn)NATD28.下面哪一項(xiàng)是對IDS的正確描述?A.基于特征(Signature-based)的系統(tǒng)可以檢測新的攻擊類型B.基于特征(Signature-based)的系統(tǒng)比基于行為(behavior-based)的系統(tǒng)產(chǎn)生更多的誤報(bào)C.基于行為(behavior-based)的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D.基于行為(behavior-based)的系統(tǒng)比基于特征(Signature-based)的系統(tǒng)有更高的誤報(bào)D29.下列哪些選項(xiàng)不屬于NIDS的常見技術(shù)?A.協(xié)議分析B.零拷貝C.SYNCookieD.IP碎片從重組C30.以下關(guān)于Linux超級權(quán)限的說明,不正確的是A.一般情況下,為了系統(tǒng)安全,對于一般常規(guī)級別的應(yīng)用,不需要root用戶來操作完成B.普通用戶可以通過su和sudo來獲得系統(tǒng)的超級權(quán)限C.對系統(tǒng)日志的管理,添加和刪除用戶等管理工作,必須以root用戶登錄才能進(jìn)行D.root是系統(tǒng)的超級用戶,無論是否為文件和程序的所有者都具有訪問權(quán)限C31.Linux系統(tǒng)對文件的權(quán)限是以模式位的形式來表示,對于文件名為test的一個文件,屬于admin組中user用戶,以下哪個是該文件正確的模式表示?A.rwxr-xr-x3useradmin1024Sep1311:58testB.drwxr-xr-x3useradmin1024Sep1311:58testC.rwxr-xr-x3adminuser1024Sep1311:58testD.drwxr-xr-x3adminuser1024Sep1311:58testB32.Windows系統(tǒng)下,哪項(xiàng)不是有效進(jìn)行共享安全的防護(hù)措施?A.使用netshare\\\c$/delete命令,刪除系統(tǒng)中的c$等管理共享,并重啟系統(tǒng)B.確保所有的共享都有高強(qiáng)度的密碼防護(hù)C.禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表鍵值D.安裝軟件防火墻阻止外面對共享目錄的連接A33.以下對Windows賬號的描述,正確的是:A.Windows系統(tǒng)是采用SID(安全標(biāo)識符)來標(biāo)識用戶對文件或文件夾的權(quán)限B.Windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C.Windows系統(tǒng)默認(rèn)會生成administrator和guest兩個賬號,兩個賬號都不允許改名和刪除D.Windows系統(tǒng)默認(rèn)生成administrator和guest兩個賬號,兩個賬號都可以改名和刪除A34.以下對Windows系統(tǒng)的服務(wù)描述,正確的是:A.Windows服務(wù)必須是一個獨(dú)立的可執(zhí)行程序B.Windows服務(wù)的運(yùn)行不需要用戶的交互登陸C.Windows服務(wù)都是隨系統(tǒng)啟動而啟動,無需用戶進(jìn)行干預(yù)D.Windows服務(wù)都需要用戶進(jìn)行登陸后,以登錄用戶的權(quán)限進(jìn)行啟動B35.以下哪一項(xiàng)不是IIS服務(wù)器支持的訪問控制過渡類型?A.網(wǎng)絡(luò)地址訪問控制B.Web服務(wù)器許可C.NTFS許可D.異常行為過濾D36.為了實(shí)現(xiàn)數(shù)據(jù)庫的完整性控制,數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù),完整性規(guī)則主要由三部分組成,以下哪一個不是完整性規(guī)則的內(nèi)容?A.完整性約束條件B.完整性檢查機(jī)制C.完整性修復(fù)機(jī)制D.違約處理機(jī)制C37.在數(shù)據(jù)庫安全性控制中,授權(quán)的數(shù)據(jù)對象_______,授權(quán)子系統(tǒng)就越靈活?A.粒度越小B.約束越細(xì)致C.范圍越大D.約束范圍大A38.下列哪一項(xiàng)與數(shù)據(jù)庫的安全有直接關(guān)系?A.訪問控制的粒度B.數(shù)據(jù)庫的大小C.關(guān)系表中屬性的數(shù)量D.關(guān)系表中元組的數(shù)量A39.專門負(fù)責(zé)數(shù)據(jù)庫管理和維護(hù)的計(jì)算機(jī)軟件系統(tǒng)稱為:A.SQL-MSB.INFERENCECONTROLC.DBMSD.TRIGGER-MSC40.電子郵件客戶端通常需要用_______協(xié)議來發(fā)送郵件。A.僅SMTPB.僅POPC.SMTP和POPD.以上都不正確A41.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄,其中用來控制用戶訪問Apache目錄的配置文件是:A.httpd.confB.srm.confC.access.confD.inetd.confA42.為了增強(qiáng)電子郵件的安全性,人們經(jīng)常使用PGP,它是:A.一種基于RSA的郵件加密軟件B.一種基于白名單的反垃圾郵件軟件C.基于SSL和VPN技術(shù)D.安全的電子郵箱A43.惡意代碼采用加密技術(shù)的目的是:A.加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制B.加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)C.加密技術(shù)可以保證惡意代碼不被破壞D.以上都不正確A44.惡意代碼反跟蹤技術(shù)描述正確的是:A.反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性B.反跟蹤技術(shù)可以避免所有殺毒軟件的查殺C.反跟蹤技術(shù)可以避免惡意代碼被清除D.以上都不正確A45.下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是:A.能將自身代碼注入到引導(dǎo)區(qū)B.能將自身代碼注入到扇區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼C46.當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時,就會產(chǎn)生哪種類型的漏洞?A.緩沖區(qū)溢出B.設(shè)計(jì)錯誤C.信息泄露D.代碼注入D47.完整性檢查和控制的防范對象是_______,防止它們進(jìn)入數(shù)據(jù)庫。A.不合語義的數(shù)據(jù),不正確的數(shù)據(jù)B.非法用戶C.非法操作D.非法授權(quán)A48.存儲過程是SQL語句的一個集合,在一個名稱下存儲,按獨(dú)立單元方式執(zhí)行。以下哪一項(xiàng)不是使用存儲過程的優(yōu)點(diǎn):A.提高性能,應(yīng)用程序不用重復(fù)編譯此過程B.降低用戶查詢數(shù)量,減輕網(wǎng)絡(luò)擁塞C.語句執(zhí)行過程中如果中斷,可以進(jìn)行數(shù)據(jù)回滾,保證數(shù)據(jù)的完整性和一致性D.可以控制用戶使用存儲過程的權(quán)限,以增強(qiáng)數(shù)據(jù)庫的安全性B49.下列哪些措施不是有效的緩沖區(qū)溢出的防護(hù)措施?A.使用標(biāo)準(zhǔn)的C語言字符串庫進(jìn)行操作B.嚴(yán)格驗(yàn)證輸入字符串長度C.過濾不合規(guī)則的字符D.使用第三方安全的字符串庫操作A50.以下工作哪個不是計(jì)算機(jī)取證準(zhǔn)備階段的工作A.獲得授權(quán)B.準(zhǔn)備工具C.介質(zhì)準(zhǔn)備D.保護(hù)數(shù)據(jù)D51.以下哪個問題不是導(dǎo)致DNS欺騙的原因之一?A.DNS是一個分布式的系統(tǒng)B.為提高效率,DNS查詢信息在系統(tǒng)中會緩存C.DNS協(xié)議傳輸沒有經(jīng)過加密的數(shù)據(jù)D.DNS協(xié)議是缺乏嚴(yán)格的認(rèn)證A52.以下哪個是ARP欺騙攻擊可能導(dǎo)致的后果?A.ARP欺騙可直接獲得目標(biāo)主機(jī)的控制權(quán)B.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)的系統(tǒng)崩潰,藍(lán)屏重啟C.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)D.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)死機(jī)C53.以下哪個攻擊步驟是IP欺騙(IPSpoof)系列攻擊中最關(guān)鍵和難度最高的?A.對被冒充的主機(jī)進(jìn)行拒絕服務(wù)攻擊,使其無法對目標(biāo)主機(jī)進(jìn)行響應(yīng)B.與目標(biāo)主機(jī)進(jìn)行會話,猜測目標(biāo)主機(jī)的序號規(guī)則C.冒充受信主機(jī)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包,欺騙目標(biāo)主機(jī)D.向目標(biāo)主機(jī)發(fā)送指令,進(jìn)行會話操作B54.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊?A.LandB.UDPFloodC.SmurfD.TeardropD55.如果一名攻擊者截獲了一個公鑰,然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者,這種情況屬于哪一種攻擊?A.重放攻擊B.Smurf攻擊C.字典攻擊D.中間人攻擊D56.域名注冊信息可在哪里找到?A.路由表B.DNS記錄C.whois數(shù)據(jù)庫D.MIBs庫C57.網(wǎng)絡(luò)管理員定義“noipdirectedbroadcast”以減輕下面哪種攻擊?A.DiecastB.SmurfC.BatcastD.CokeB58.下面哪一項(xiàng)不是黑客攻擊在信息收集階段使用的工具或命令:A.NmapB.NslookupC.LCD.XscanC59.下面關(guān)于軟件測試的說法錯誤的是:A.所謂“黑盒”測試就是測試過程不測試報(bào)告中進(jìn)行描述,且對外嚴(yán)格保密B.出于安全考慮,在測試過程中盡量不要使用真實(shí)的生產(chǎn)數(shù)據(jù)C.測試方案和測試結(jié)果應(yīng)當(dāng)成為軟件開發(fā)項(xiàng)目文檔的主要部分被妥善的保存D.軟件測試不僅應(yīng)關(guān)注需要的功能是否可以被實(shí)現(xiàn),還要注意是否有不需要的功能被實(shí)現(xiàn)了A60.以下哪個不是SDL的思想之一:A.SDL是持續(xù)改進(jìn)的過程,通過持續(xù)改進(jìn)和優(yōu)化以適用各種安全變化,追求最優(yōu)效果B.SDL要將安全思想和意識嵌入到軟件團(tuán)隊(duì)和企業(yè)文化中C.SDL要實(shí)現(xiàn)安全的可度量性D.SDL是對傳統(tǒng)軟件開發(fā)過程的重要補(bǔ)充,用于完善傳統(tǒng)軟件開發(fā)中的不足D61.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求,消耗被攻擊者的資源來進(jìn)行響應(yīng),直至被攻擊者再也無法處理有效地網(wǎng)絡(luò)信息流時,這種攻擊稱之為:A.Land攻擊B.Smurf攻擊C.PingofDeath攻擊D.ICMPFloodD62.以下哪種方法不能有效提高WLAN的安全性:A.修改默認(rèn)的服務(wù)區(qū)標(biāo)識符(SSID)B.禁止SSID廣播C.啟用終端與AP間的雙向認(rèn)證D.啟用無線AP的開放認(rèn)證模式D63.以下哪項(xiàng)是對抗ARP欺騙有效的手段?A.使用靜態(tài)的ARP緩存B.在網(wǎng)絡(luò)上阻止ARP報(bào)文的發(fā)送C.安裝殺毒軟件并更新到最新的病毒庫D.使用Linux系統(tǒng)提高安全性A64.以下關(guān)于ISO/IEC27001標(biāo)準(zhǔn)說法不正確的是:A.本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估,審核的重點(diǎn)就是組織信息安全的現(xiàn)狀,對部屬的信息安全控制是好的還是壞的做出評判B.本標(biāo)準(zhǔn)采用一種過程方法米建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)一個組織的ISMSC.目前國際標(biāo)準(zhǔn)化組織推出的四個管理體系標(biāo)準(zhǔn):質(zhì)量管理體系,職業(yè)健康安全管理體系、環(huán)境管理體系、信息安全管理體系,都采用了相同的方法,即PDCA模型D.本標(biāo)準(zhǔn)注重監(jiān)視和評審,因?yàn)楸O(jiān)視和評審是持續(xù)改進(jìn)的基礎(chǔ),如果缺乏對執(zhí)行情況和有效性的測量,改進(jìn)就成了“無的放矢”A65.下列哪一項(xiàng)安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的:A.設(shè)置網(wǎng)絡(luò)連接時限B.記錄并分析系統(tǒng)錯誤日志C.記錄并分析用戶和管理員操作日志D.啟用時鐘同步A66.下列安全控制措施的分類中,哪個分類是正確的(P-預(yù)防性的,D-檢測性的以及C-糾正性的控制):1.網(wǎng)絡(luò)防火墻2.RAID級別33.銀行賬單的監(jiān)督復(fù)審4.分配計(jì)算機(jī)用戶標(biāo)識5.交易日志A.)P,P,C,D,andCB.)D,C,C,D,andDC.)P,C,D,P,andDD.)P,D,P,P,andCC67.風(fēng)險(xiǎn)評估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個主要過程,關(guān)于這些過程,以下的說法哪一個是正確的?A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識別風(fēng)險(xiǎn)的影響和可能性B.風(fēng)險(xiǎn)要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C.風(fēng)險(xiǎn)分析的內(nèi)容是識別風(fēng)險(xiǎn)的影響和可能性D.風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)生系統(tǒng)存在的威脅、脆弱性和控制措施C68.你來到服務(wù)器機(jī)房隔壁的一間辦公室,發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室,你要求在這里辦公的員工請維修工來把窗戶修好。你離開后,沒有再過問這扇窗戶的事情。這件事的結(jié)果對與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會有什么影響?A.如果窗戶被修好,威脅真正出現(xiàn)的可能性會增加B.如果窗戶被修好,威脅真正出現(xiàn)的可能性會保持不變C.如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會下降D.如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會增加B69.在對安全控制進(jìn)行分析時,下面哪個描述是不準(zhǔn)確的?A.對每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析,以確定哪一項(xiàng)安全控制是必須的和有效的B.應(yīng)確保選擇對業(yè)務(wù)效率影響最小的安全措施C.選擇好實(shí)施安全控制的時機(jī)和位置,提高安全控制的有效性D.仔細(xì)評價(jià)引入的安全控制對正常業(yè)務(wù)帶來的影響,采取適當(dāng)措施,盡可能減少負(fù)面效應(yīng)B70.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A.風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮,并要貫穿于整個系統(tǒng)開發(fā)過程之B.風(fēng)險(xiǎn)管理活動應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對性會更強(qiáng),實(shí)施成本會相對較低D.在系統(tǒng)正式運(yùn)行后,應(yīng)注重殘余風(fēng)險(xiǎn)的管理,以提高快速反應(yīng)能力C中71.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是:A.資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同,既可以是硬件設(shè)備,也可以是業(yè)務(wù)系統(tǒng),也可以是組織機(jī)構(gòu)B.應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅A72.以下哪一項(xiàng)不是建筑物的自動化訪問審計(jì)系統(tǒng)記錄的日志的內(nèi)容:A.出入的原因B.出入的時間C.出入口的位置D.是否成功進(jìn)入A73.信息安全策略是管理層對信息安全工作意圖和方向的正式表述,以下哪一項(xiàng)不是信息安全策略文檔中必須包含的內(nèi)容:A.說明信息安全對組織的重要程度B.介紹需要符合的法律法規(guī)要求C.信息安全技術(shù)產(chǎn)品的選型范圍D.信息安全管理責(zé)任的定義C74.作為信息中心的主任,你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員的崗位分配給兩個不同的人擔(dān)任,這種情況造成了一定的安全風(fēng)險(xiǎn),這時你應(yīng)當(dāng)怎么做?A.抱怨且無能為力B.向上級報(bào)告該情況,等待增派人手C.通過部署審計(jì)措施和定期審查來降低風(fēng)險(xiǎn)D.由于增加人力會造成新的人力成本,所以接受該風(fēng)險(xiǎn)C75.以下人員中,誰負(fù)有決定信息分類級別的責(zé)任?A.用戶B.數(shù)據(jù)所有者C.審計(jì)員D.安全員B76.某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行風(fēng)險(xiǎn)評估:該服務(wù)器價(jià)值138000元,針對某個特定威脅的暴露因子(EF)是45%,該威脅的年度發(fā)生率(ARO)為每10年發(fā)生1次。根據(jù)以上信息,該服務(wù)器的年度預(yù)期損失值(ALE)是多少?A.1800元B.62100元C.140000元D.6210元D77.下列哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略計(jì)劃中?A.已規(guī)劃的硬件采購的規(guī)范B.將來業(yè)務(wù)目標(biāo)的分析C.開發(fā)項(xiàng)目的目標(biāo)日期D.信息系統(tǒng)不同的年度預(yù)算目標(biāo)B78.ISO27002中描述的11個信息安全管理控制領(lǐng)域不包括:A.信息安全組織B.資產(chǎn)管理C.內(nèi)容安全D.人力資源安全C79.依據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988),需要備用場地但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級的第幾級?A.2B.3C.4D.5A80.以下哪一種備份方式在恢復(fù)時間上最快?A.增量備份B.差異備份C.完全備份D.磁盤鏡像C81.計(jì)算機(jī)應(yīng)急響應(yīng)小組的簡稱是?A.CERTB.FIRSTC.SANAD.CEATA82.有一些信息安全事件是由于信息系統(tǒng)中多個部分共同作用造成的,人們稱這類事件為“多組件事故”,應(yīng)對這類安全事件最有效的方法是:A.配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為B.使用防病毒軟件,并且保持更新為最新的病毒特征碼C.將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)(DMZ)D.使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件D83.依據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)范圍》(GB/T20988),災(zāi)難恢復(fù)管理過程的主要步驟是災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理;其中災(zāi)難恢復(fù)策略實(shí)現(xiàn)不包括以下哪一項(xiàng)?A.分析業(yè)務(wù)功能B.選擇和建設(shè)災(zāi)難備份中心C.實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案D.實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護(hù)能力A84.拒絕服務(wù)攻擊導(dǎo)致的危害中,以下哪個說法是不正確的:A.網(wǎng)絡(luò)帶寬被耗盡,網(wǎng)絡(luò)被堵塞,無法訪問網(wǎng)絡(luò)B.主機(jī)資源被耗盡,主機(jī)無法響應(yīng)請求C.應(yīng)用資源被耗盡,應(yīng)用無法響應(yīng)請求D.應(yīng)用系統(tǒng)被破壞,應(yīng)用無法響應(yīng)請求D85.SSE-CMM將工程過程區(qū)域分為三類,即風(fēng)險(xiǎn)過程、工程過程、和保證過程,下面對于保證過程的說法錯誤的是:A.保證是指安全需求得到滿足的可信任程度B.信任程度來自于對安全工程過程結(jié)果質(zhì)量的判斷C.自驗(yàn)證與證實(shí)安全的主要手段包括觀察、論證、分析和測試D.PA“建立保證論據(jù)”為PA“驗(yàn)證與證實(shí)安全”提供了證據(jù)支持D86.根據(jù)SSE-CMM信息安全工程過程可以劃分為三個階段,其中_______確立安全解決方案的置信度并且把這樣的置信度傳遞給顧客。A.保證過程B.風(fēng)險(xiǎn)過程C.工程和保證過程D.安全工程過程A87.SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域:A.評估威脅、評估脆弱性、評估影響B(tài).評估威脅、評估脆弱性、評估安全風(fēng)險(xiǎn)C.評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險(xiǎn)D.評估威脅、評估脆弱性、評估影響、驗(yàn)證和證實(shí)安全C88.一個組織的系統(tǒng)安全能力成熟度達(dá)到哪個級別以后,就可以對組織層面的過程進(jìn)行規(guī)范的定義?A.2級——計(jì)劃和跟蹤B.3級——充分定義C.4級——量化控制D.5級——持續(xù)改進(jìn)B89.信息系統(tǒng)安全工程(ISSE)的一個重要目標(biāo)就是在IT項(xiàng)目的各個階段充分考慮安全因素,在IT項(xiàng)目的立項(xiàng)階段,以下哪一項(xiàng)不是必須進(jìn)行的工作:A.明確業(yè)務(wù)對信息安全的要求B.識別來自法律法規(guī)的安全要求C.論證安全要求是否正確完善D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求D90.信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)該是:A.信息化建設(shè)的結(jié)果就是信息安全建設(shè)的B.信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實(shí)施C.信息化建設(shè)和信息安全建設(shè)是交替進(jìn)行的,無法區(qū)分誰先誰后D.以上說法都正確B開始91.如果你作為甲方負(fù)責(zé)監(jiān)督一個信息安全工程項(xiàng)目的實(shí)施,當(dāng)乙方提出一項(xiàng)工程變更時你最應(yīng)當(dāng)關(guān)注的是:A.變更的流程是否符合預(yù)先的規(guī)定B.變更是否會對項(xiàng)目進(jìn)度造成拖延C.變更的原因和造成的影響D.變更后是否進(jìn)行了準(zhǔn)確的記錄C92.以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A.應(yīng)基于法律法規(guī)和用戶需求,進(jìn)行需求分析和風(fēng)險(xiǎn)評估,從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B.應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場,選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C.應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容,提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D.應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容A93.在進(jìn)行應(yīng)用系統(tǒng)的測試時,應(yīng)盡可能避免使用包含個人隱私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù),如果需要使用時,以下哪一項(xiàng)不是必須做的:A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計(jì)措施,記錄生產(chǎn)數(shù)據(jù)的拷貝和使用B94.下面有關(guān)我國信息安全管理體制的說法錯誤的是?128A.目前我國的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面B.我國的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C.我國的信息安全管理應(yīng)堅(jiān)持及時檢測、快速響應(yīng)、綜合治理的方針D.我國對于信息安全責(zé)任的原則是誰主管、誰負(fù)責(zé);誰經(jīng)營、誰負(fù)責(zé)B95.下列關(guān)于ISO15408信息技術(shù)安全評估準(zhǔn)則(簡稱CC)通用性的特點(diǎn),即給出通過的表達(dá)方式,描述不正確的是_______。A.如果用戶、開發(fā)者、評估者和認(rèn)可者都使用CC語言,互相就容易理解溝通。B.通用性的特點(diǎn)對規(guī)范實(shí)用方案的編寫和安全測試評估都具有重要意義C.通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢下,進(jìn)行合格評定和評估結(jié)果國際互認(rèn)的需要D.通用性的特點(diǎn)使得CC也適用于對信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評估D96.TCSEC(橘皮書)中劃分的7個安全等級中,_______是安全程度最高的安全等級A.A1B.A2C.C1D.C2A97.對第三方服務(wù)進(jìn)行安全管理時,以下說法正確的是:A.服務(wù)水平協(xié)議的簽定可以免除系統(tǒng)安全管理者的責(zé)任B.第三方服務(wù)的變更管理的對象包括第三方服務(wù)造成的系統(tǒng)變化和服務(wù)商自身的變化C.服務(wù)水平協(xié)議的執(zhí)行情況的監(jiān)督,是服務(wù)方項(xiàng)目經(jīng)理的職責(zé),不是系統(tǒng)安全管理者的責(zé)任D.安全加固的工作不能由第三方服務(wù)商進(jìn)行B98.對涉密系統(tǒng)進(jìn)行安全保密測評應(yīng)當(dāng)依據(jù)以下哪個標(biāo)準(zhǔn)?A.BMB20-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范》B.BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南》C.GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》D.GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》B99.以下哪一項(xiàng)是用于CC的評估級別?A.EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7B.A1,B1,B2,B3,C2,C1,DC.E0,E1,E2,E3,E4,E5,E6D.AD0,AD1,AD2,AD3,AD4,AD5,AD6A100.我國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)目前下屬6個工作組,其中負(fù)責(zé)信息安全管理的小組是:A.WG1B.WG7C.WG3D.WG5B101.下面關(guān)于信息安全保障的說法正確的是:A.信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技術(shù)并列構(gòu)成實(shí)現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)為最終目的,從風(fēng)險(xiǎn)和策略出發(fā),實(shí)施各種保障要素,在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性D102.以下一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A.某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進(jìn)行了限制,保證己登錄的用戶可以完成操作B.在提款過程中ATM終端發(fā)生故障,銀行業(yè)務(wù)系統(tǒng)及時對該用戶的帳戶余順進(jìn)行了沖正操作C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能,可以確定哪個管理員在何時對核心交換機(jī)進(jìn)行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中,使偽裝成清沽工的商業(yè)間諜無法查看B103.依據(jù)國家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評估框架》,信息系統(tǒng)安全目標(biāo)(ISST)是從信息系統(tǒng)安全保障______的角度來描述的信息系統(tǒng)安全保障方案。A.建設(shè)者B.所有者C.評估者D.創(chuàng)定者A104.常見密碼系統(tǒng)包含的元素是:A.明文,密文,信道,加密算法,解密算法B.明文,摘要,信道,加密算法,解密算法C.明文,密文,密鑰,加密算法,解密算法D.消息,密文,信道,加密算法,解密算法C105.下列哪一項(xiàng)功能可以不由認(rèn)證中心CA完成?A.撤銷和中止用戶的證書B.產(chǎn)生并分發(fā)CA的公鑰C.在請求實(shí)體和它的公鑰間建立鏈接D.發(fā)放并分發(fā)用戶的證書C106.下列哪一項(xiàng)是虛擬專用網(wǎng)絡(luò)(VPN)的安全功能A.驗(yàn)證,訪問控制和密碼B.隧道,防火墻和撥號C.加密,鑒別和密鑰管理D.壓縮,解密和密碼C107.下列對審計(jì)系統(tǒng)基礎(chǔ)基本組成描述正確的是:A.審計(jì)系統(tǒng)一般包括三個部分:日志記錄、日志分析和日志處理B.審計(jì)系統(tǒng)一般包括兩個部分:日志記錄和日志處理C.審計(jì)系統(tǒng)一般包括兩個部分:日志記錄和日志分析D.審計(jì)系統(tǒng)一般包括三個部分:日志記錄、日志分析和日志報(bào)告D108.在OSI參考模型中有7個層次,提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性,以下那一層次提供保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A.網(wǎng)絡(luò)層B表示層C.會話層D.物理層A109.以下哪個一項(xiàng)數(shù)據(jù)傳輸方式難以通過網(wǎng)絡(luò)竊聽獲取信息?A.FTP傳輸文件B.TELNET進(jìn)行遠(yuǎn)程管理C.URL以HTTPS開頭的網(wǎng)頁內(nèi)容D.經(jīng)過TACACS+認(rèn)證和授權(quán)后建立的鏈接C110.在Unix系統(tǒng)中輸入命令“is一altest”顯示如下"-rwxr-xr-x3rootroot1024Sep1311:58test”對它的含義解釋錯誤的是:A.這是一個文件,而不是目錄B.的擁有者可以對這個文件進(jìn)行讀、寫和執(zhí)行的操作C.文件所屬組的成員有可以讀它,也可以執(zhí)行它D.其它所有用戶只可以執(zhí)行它D111..在Unix系統(tǒng)中,/etc/service文件記錄T什么內(nèi)容?A.記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B.決定inetd啟動網(wǎng)絡(luò)服務(wù)時,啟動哪些服務(wù)C.定義了系統(tǒng)缺省運(yùn)行級別,系統(tǒng)進(jìn)入新運(yùn)行級別需要做什么D.包含了系統(tǒng)的一些啟動腳本A112.數(shù)據(jù)庫事務(wù)日志的用途是什么?A.事務(wù)處理B.效據(jù)恢復(fù)C.完整性約束D.保密性控制B113.以下哪一項(xiàng)是和電子郵件系統(tǒng)無關(guān)的?A.PEM(Privacyenhancedmail)B.PGP(PrettygoodPrivacy)C.X.500D.X.400C114.城名注冊信息可在哪里找到?A.路由表B.DNS記錄C.whois數(shù)據(jù)庫D.MIBs庫C115.網(wǎng)絡(luò)普理員定義“noipdirectedbroadcast”以減輕下面哪種攻擊?A.DiecastB.SmurfC.BatcastD.CokeB116.下列哪一項(xiàng)不屬于Fuzz測試的特性A.主要針對軟件漏洞或可靠性錯誤進(jìn)行測試B.采用大量測試用例進(jìn)行漏洞-相應(yīng)測試C.一種試探性測試方法,沒有任何理論依據(jù)D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常C117..風(fēng)險(xiǎn)評估方法的選定在PDCA循環(huán)中的哪個階段完成?A.實(shí)施和運(yùn)行B.保持和改進(jìn)C.建立D.監(jiān)視和評審C118.下面關(guān)于ISO27002的說法錯誤的是:A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用,但不是全部C.ISO27002對于每個控制措施的表述分“控制措施”、“實(shí)施指南”和“其他信息”三個部分來進(jìn)行描述D.ISO27002提出了十一大類的安全管理措施,其中風(fēng)險(xiǎn)評估和處置D是處于核心地位的一類安全措施119.在風(fēng)險(xiǎn)管理準(zhǔn)備階段“建立背景”(對象確立)過程中不應(yīng)該做的是:A.分析系統(tǒng)的體系結(jié)構(gòu)B.分析系統(tǒng)的安全環(huán)境C.制定風(fēng)險(xiǎn)管理計(jì)劃D.調(diào)查系統(tǒng)的技術(shù)特性C120.下面哪一項(xiàng)安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動:A設(shè)置網(wǎng)絡(luò)鏈接時限B.記錄并分析系統(tǒng)錯誤日志C.記錄并分析用戶和管理員操作日志D.啟用時鐘同步A121.以下選項(xiàng)中哪一項(xiàng)是對于信息安全風(fēng)險(xiǎn)采取的糾正機(jī)制A訪問控制B入侵檢測C.災(zāi)難恢復(fù)D防病毒系統(tǒng)C122.你來到服務(wù)器機(jī)房隔壁一間辦公室,發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室,你要求在這里辦公的員工請維修工來把窗戶修好。你離開后,沒有再過問這窗戶的事情。這件事的結(jié)果對與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會有什么影響?A.如果窗戶被修好,威脅真正的出現(xiàn)的可能性會增加B.如果窗戶被修好,威脅真正的出現(xiàn)的可能性會保持不變C.如果窗戶沒被修好,威脅真正的出現(xiàn)的可能性會下降D.如果窗戶沒被修好,威脅真正的出現(xiàn)的可能性會增加B123.為了保護(hù)系統(tǒng)日志可靠有效,以下哪一項(xiàng)不是日志必需具備的特征:A.統(tǒng)一面精確地的時間B.全面覆蓋系統(tǒng)資產(chǎn)C.包括訪問源、訪問日志和訪問活動等重要信息D.可以讓系統(tǒng)的所有用戶方便的讀取D124.下面有關(guān)能力成熟度模型的說法錯誤的是:A.能力成熟度模型可以分為過程能力方案(Continuous)和組織能力方案(Staged)兩類B.使用過程能力方案時,可以靈活選擇評估和改進(jìn)哪個或哪些過程域C.使用組織機(jī)構(gòu)成熟度方案時,每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D.SSE-CMM是一種屬于組織能力方案(Staged)的針對系統(tǒng)安全工程的能力成熟度模型B125.下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的主要過程:A.風(fēng)險(xiǎn)過程B.保證過程C.工程過程D.評估過程D126.信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是:A.信息化建設(shè)的結(jié)束就是信息安全建設(shè)的開始B.信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實(shí)施C.信息化建設(shè)和信息安全建設(shè)是交替進(jìn)行的,無法區(qū)分誰先誰后D.以上說法都正確B127.信息安全工程監(jiān)理模型不包括下面哪一項(xiàng)?A.監(jiān)理咨詢服務(wù)B.咨詢監(jiān)理支撐要素C.監(jiān)理咨詢階段過程D.控制管理措施A128.下面有關(guān)我信息安全管理體制的說法錯誤的是?A.目前我國的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面B.我國的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C.我國的信息安全管理應(yīng)堅(jiān)持及時檢測、快速響應(yīng)、綜合治理的方針D.我國對于信息安全貴任的原則是誰主管、誰負(fù)責(zé);誰經(jīng)營、誰負(fù)責(zé)C129.下列哪項(xiàng)不是安全管理方面的標(biāo)準(zhǔn)?A.ISO27001B.ISO13335C.GB/T22080DGB/T18336D130.關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是_?A.SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)。B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程.C.SSE-CMM模型定義了一個安全工程應(yīng)有的特征,這些特征是完善的安全工程的根本保證。D.SSE-CMM是用于對信息系統(tǒng)的安全等級進(jìn)行評估的標(biāo)準(zhǔn)。D131.《刑法》第六章第285.286,287條對計(jì)算機(jī)犯罪的內(nèi)容和量刑進(jìn)行了明確的規(guī)定,以下哪一項(xiàng)不是其中規(guī)定的罪行?A.非法侵入計(jì)算機(jī)信息系統(tǒng)罪B.破壞計(jì)算機(jī)信息系統(tǒng)罪C.利用計(jì)算機(jī)實(shí)施犯罪D.國家重要信息系統(tǒng)管理者玩忽職守罪D132.計(jì)算機(jī)取證的合法原則是:A.計(jì)算機(jī)取證的目的是獲取證據(jù),因此首先必須確保證據(jù)獲取再履行相關(guān)法律手續(xù)B.計(jì)算機(jī)取證在任何時候都必須保證符合相關(guān)法律法規(guī)C.計(jì)算機(jī)取證只能由執(zhí)法機(jī)構(gòu)才能執(zhí)行,以確保其合法性D.計(jì)算機(jī)取證必須獲得執(zhí)法機(jī)關(guān)的授權(quán)才可進(jìn)行以確保合法性原則B133.等級保護(hù)定級階段主要包括哪兩個步驟A.系統(tǒng)識別與描述、等級確定B.系統(tǒng)描述、等級確定C.系統(tǒng)識別、系統(tǒng)描述D.系統(tǒng)識別與描述、等級分級A134.目前,我國信息安全管理格局是一個多方“齊抓共管”的體制,多頭管理現(xiàn)狀決定法出多門,《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》是由下列哪個部門所制定的規(guī)章制度?A.公安部B.國家保密局C.工信部D.國家密碼管理委員會辦公室B135.關(guān)于信息安全保障,下列說法正確的是:A、信息安全保障是一個客觀到主觀的過程,即通過采取技術(shù)、管理、工程等手段,對信息資源的保密性、完整性、可用性提供保護(hù),從而給信息系統(tǒng)所有者以信心B、信息安全保障的需求是由信息安全策略所決定的,是自上而下的一個過程,在這個過程中,決策者的能力和決心非常重要C、信息系統(tǒng)安全并不追求萬無一失,而是要根據(jù)資金預(yù)算,做到量力而行D、以上說法都正確A136.人們對信息安全的認(rèn)識從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:A、為了更好地完成組織機(jī)構(gòu)的使命B、針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C、風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D、除了保密性,信息的完整性和可用性也引起了人們的關(guān)注B137.關(guān)于信息安全發(fā)展的幾個階段,下列說法中錯誤的是:A、信息安全的發(fā)展,是伴隨著信息技術(shù)的發(fā)展,為應(yīng)對其面臨不同的威脅而發(fā)展起來的B、通信安全階段中,最重要的是通過密碼技術(shù)保證所傳遞信息的保密性完整性和可用性C、信息安全階段,綜合了通信安全階段和計(jì)算機(jī)安全階段的需求D、信息安全保障階段,最重要的目標(biāo)是保障組織機(jī)構(gòu)使命(業(yè)務(wù))的正常運(yùn)行B138.按照技術(shù)能力、所擁有的資源和破壞力來排列,下列威脅中哪種威脅最大?A、個人黑客B、網(wǎng)絡(luò)陽罪團(tuán)伙C、網(wǎng)絡(luò)戰(zhàn)士D、商業(yè)間諜C(jī)139.信息系統(tǒng)安全主要從那幾個方面進(jìn)行評估?A、1個(技術(shù))B、2個(技術(shù)、管理)C、3個(技術(shù)、管理、工程)D、4個(技術(shù)、管理、工程、應(yīng)用)C140.完整性機(jī)制可以防范以下哪種攻擊?A、假冒源地址或用戶的地址的欺騙攻擊B、抵賴做過信息的遞交行為C、數(shù)據(jù)傳輸中被竊聽獲取D、數(shù)據(jù)傳輸中被篡改或破壞D141.PPDR模型不包括:A、策略B、檢測C、響應(yīng)D、加密D142.據(jù)信息系統(tǒng)安全保障評估框架,確定安全保障需求考慮的因素不包括下面哪一方面?A、法規(guī)政策的要求B、系統(tǒng)的價(jià)值C、系統(tǒng)要對抗的威脅D、系統(tǒng)的技術(shù)構(gòu)成D143.依據(jù)國家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評估框架》.在信息系統(tǒng)安全目標(biāo)中,評估對象包括哪些內(nèi)容?A、信息系統(tǒng)管理體系、技術(shù)體系、業(yè)務(wù)體系B、信息系統(tǒng)整體、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術(shù)和信息系統(tǒng)安全工程C、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術(shù)和信息系統(tǒng)安全工程D、信息系統(tǒng)組織機(jī)構(gòu)、管理制度、資產(chǎn)C144.關(guān)于信息安全保障管理體系建設(shè)所需要重點(diǎn)考慮的因素,下列說法錯誤的是:A、國家、上級機(jī)關(guān)的相關(guān)政策法規(guī)要求B、組織的業(yè)務(wù)使命C、信息系統(tǒng)面臨的風(fēng)險(xiǎn)D、項(xiàng)目的經(jīng)費(fèi)預(yù)算D145.在密碼學(xué)的Kerchhoff假設(shè)中,密碼系統(tǒng)的安全性僅依賴于。A、明文B、密文C、密鑰D、信道C146.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證C147.hash算法的碰撞是指:A、兩個不同的消息,得到相同的消息摘要B、兩個相同的消息,得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長A148.DSA算法不提供以下哪種服務(wù)?A、數(shù)據(jù)完整性B、加密C、數(shù)字簽名D、認(rèn)證B149.以下哪一項(xiàng)都不是PKI/CA要解決的問題:A、可用性、身份鑒別B、可用性、授權(quán)與訪問控制C、完整性、授權(quán)與訪問控制D、完整性、身份鑒別B150.以下關(guān)于VPN說法正確的是:A、VPN指的是用戶自己租用線路,和公共網(wǎng)絡(luò)完全隔離的、安全的線路B、VPN是用戶通過公用網(wǎng)絡(luò)建立的臨時的安全的連接C、VPN不能做到信息驗(yàn)證和身份認(rèn)證D、VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能B151.下面對訪問控制技術(shù)描述最準(zhǔn)確的是:A、保證系統(tǒng)資源的可靠性B、實(shí)現(xiàn)系統(tǒng)資源的可追查性C、防止對系統(tǒng)資源的非授權(quán)訪問D、保證系統(tǒng)資源的可信性C152.下列對自主訪問控制說法不正確的是:A、自主訪問控制允許客體決定主體對該客體的訪B、自主訪問控制具有較好的靈活性擴(kuò)展性C、自主訪問控制可以方便地調(diào)整安全策略D、自主訪問控制安全性不高,常用于商業(yè)系統(tǒng)A問權(quán)限153.下列對常見強(qiáng)制訪問控制模型說法不正確的是:A、BLP模型影響了許多其他訪問控制模型的發(fā)展B、Clark-Wilson模型是一種以事物處理為基本操作的完整性模型C、ChineseWall模型是一個只考慮完整性的安全策略模型D、Biba模型是-種在數(shù)學(xué)上與BLP模型對偶的完整性保護(hù)模型C154.以下關(guān)于BLP模型規(guī)則說法不正確的是:A、BLP模型主要包括簡單安全規(guī)則和*-規(guī)則B、*-規(guī)則可以簡單表述為向下寫C、主體可以讀客體,當(dāng)且僅當(dāng)主體的安全級可以支配客體的安全級,且主體對該客體具有自主型讀權(quán)限D(zhuǎn)、主體可以寫客體,當(dāng)且僅當(dāng)客體的安全級可以支配主體的安全級,且主體對客體;具有自主型寫權(quán)限B155.在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中,數(shù)據(jù)W和數(shù)據(jù)X在一個興趣沖突域中,數(shù)據(jù)Y和數(shù)據(jù)Z在另一個信息興趣沖突域中,那么可以確定一個新注冊的用戶:A、只有訪問了W之后,才可以訪問XB、只有訪問了W之后,才可以訪問Y和Z中的一個C、無論是否訪問W,都只能訪問Y和Z中的一個D、無論是否訪問W,都不能訪問Y或ZC156.以下關(guān)于RBAC模型的說法正確的是:A、該模型根據(jù)用戶所擔(dān)任的角色和安全級來決定用戶在系統(tǒng)中的訪問權(quán)限。B、一個用戶必須扮演并激活某種角色,才能對一個對象進(jìn)行訪問或執(zhí)行某種操作C、在該模型中,每個用戶只能有一個角色D、在該模型中,權(quán)限與用戶關(guān)聯(lián),用戶與角色關(guān)聯(lián)B157.以下對Kerberos協(xié)議過程說法正確的是:A、協(xié)議可以分為兩個步驟:一是用戶身份鑒別;二是獲取請求服務(wù)B、協(xié)議可以分為兩個步驟:一是獲得票據(jù)許可票據(jù);二是獲取請求服務(wù)C、協(xié)議可以分為三個步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個步驟:一是獲得票據(jù)許可票據(jù);二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)D158.以下對于非集中訪問控制中"域"說法正確的是:A、每個域的訪問控制與其它域的訪問控制相互關(guān)聯(lián)B、跨域訪問不一定需要建立信任關(guān)系C、域中的信任必須是雙向的D、域是一個共享同一安全策略的主體和客體的集合D159.以下對單點(diǎn)登錄技術(shù)描述不正確的是:A、單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個用戶之間的傳遞或共享B、使用單點(diǎn)登錄技術(shù)用戶只需在登錄時進(jìn)行一次注冊,就可以訪問多個應(yīng)用C、單點(diǎn)登錄不僅方便用戶使用,而且也便于管理D、使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)A160.在ISO的OSI安全體系結(jié)構(gòu)中,以下哪一個安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制B161.WPA2包含下列哪個協(xié)議標(biāo)準(zhǔn)的所有安全特性?A、IEEE802.11bB、IEEE802.11cC、IEEE802.11gD、IEEE802.11iD162.下列關(guān)于防火墻的主要功能包括:A、訪問控制B、內(nèi)容控制C、數(shù)據(jù)加密D、查殺病毒A163.以下哪一項(xiàng)不是應(yīng)用層防火墻的特點(diǎn)。A、更有效