CISP考試認(rèn)證(習(xí)題卷16)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷16)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項(xiàng)選擇題，共92題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.組織應(yīng)定期監(jiān)控、審查、審計(jì)()服務(wù),確保協(xié)議中的信息安全條款和條件被遵守,信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或()團(tuán)隊(duì)。另外,組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是()要求的實(shí)現(xiàn)。當(dāng)發(fā)服務(wù)交付的不足時(shí),宜采取().當(dāng)供應(yīng)商提供的服務(wù),包括對()方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí),應(yīng)在考慮到其對業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評估風(fēng)險(xiǎn)的基礎(chǔ)上管理。A)供應(yīng)商;服務(wù)管理;信息安全;合適的措施;信息安全B)服務(wù)管理;供應(yīng)商;信息安全;合適的措施;信息安全C)供應(yīng)商;信息安全;服務(wù)管理;合適的措施;信息安全D)供應(yīng)商;合適的措施;服務(wù)管理;信息安全;信息安全[單選題]2.隨著?互聯(lián)網(wǎng)+?概念的普及，越來越多的新興住宅小區(qū)引入了?智能樓宇?的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用、穩(wěn)定、高效，計(jì)劃通過網(wǎng)絡(luò)冗余配置確保?智能樓宇?系統(tǒng)的正常運(yùn)轉(zhuǎn)，下列選項(xiàng)中不屬于冗余配置的是()A)接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營商線路，相互備份且互不影響B(tài))核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)熱備、C)規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D)保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要[單選題]3.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國的一項(xiàng)基礎(chǔ)制度加以推行,并且有一定強(qiáng)制性,其實(shí)施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。()A)信息安全管理體系(ISMS)B)信息安全等級保護(hù)C)ISO270000系列D)NISTSP800[單選題]4.相比文件配置表(FAT)文件系統(tǒng),以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?A)NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新,當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問題,而引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B)NTFS的分區(qū)上,可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C)對于大磁盤,NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式[單選題]5.關(guān)于暴力破解密碼，以下表述正確的是？（）A)就是使用計(jì)算機(jī)不斷嘗試密碼的所有排列組合，直到找出正確的密碼B)指通過木馬等侵入用戶系統(tǒng)，然后盜取用戶密碼C)指入侵者通過電子郵件哄騙等方法，使得被攻擊者提供密碼D)通過暴力威脅，讓用戶主動(dòng)透露密碼[單選題]6.提高Apache系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置()?A)不在Windows下安裝Apache，只在Linux和Unix下安裝B)安裝Apache時(shí)，只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號來運(yùn)行D)積極了解Apache的安全通告，并及時(shí)下載和更新[單選題]7.隨著人們信息安全意識(shí)的不斷增強(qiáng),版權(quán)保護(hù)也受到越來越多的關(guān)注。在版權(quán)保護(hù)方面國內(nèi)外使用較為廣泛的是數(shù)字對象標(biāo)識(shí)符DOI(DigitalObjectIdentifier)系統(tǒng),它是由非贏利性組織國際DOI基金會(huì)IDF(InternationalDOIFoundation)研究設(shè)計(jì)的,在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示,則下面對于DOI系統(tǒng)認(rèn)識(shí)正確的是()A)DOI是一個(gè)暫時(shí)性的標(biāo)識(shí)號,由IntermationalDOIFoundation管理B)DOI的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新C)DOI命名規(guī)則中前綴和后綴兩部之間用?;?分開D)DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式[單選題]8.apache默認(rèn)解析的后綴中不包括A)phtmlB)php3C)phtD)php5[單選題]9.IPV4協(xié)議在設(shè)計(jì)之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依拿IP頭部的校驗(yàn)和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計(jì)算校驗(yàn)和，IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計(jì)目標(biāo)是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性，下列選項(xiàng)中說法錯(cuò)誤的是（）A)對于IPv4,IPSec是可選的，對于IPv6,IPSec是強(qiáng)制實(shí)施的。B)IPSec協(xié)議提供對IP及其上層協(xié)議的保護(hù)。C)IPSec是一個(gè)單獨(dú)的協(xié)議。D)ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制[單選題]10.信息是流動(dòng)的，在信息的流動(dòng)過程中必須能夠識(shí)別所有可能途徑的（）與（）；而對于信息本身而言，信息的敏感性的定義是對信息保護(hù)的（）和(),信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時(shí)性和信息的交互場景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測A)基礎(chǔ)；依據(jù)；載體；環(huán)境：永久性：風(fēng)險(xiǎn)管理B)基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性C)載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性；基礎(chǔ)；依據(jù)D)載體；環(huán)境；基礎(chǔ)；依據(jù)：風(fēng)險(xiǎn)管理；永久性答案：[單選題]11.（中等）使用不同的密鑰進(jìn)地加解密，這樣的加密算法叫（）。A)對稱式加密算法B)非對稱式加密算法C)MD.5D)HA.SH算法[單選題]12.PKI的主要理論基礎(chǔ)是()。A)對稱密碼算法B)公鑰密碼算法C)量子密碼D)摘要算法[單選題]13.容災(zāi)項(xiàng)目實(shí)施過程的分析階段，需要進(jìn)行____。A)A災(zāi)難分析B)B業(yè)務(wù)環(huán)境分析C)C當(dāng)前業(yè)務(wù)狀況分析D)D以上均正確[單選題]14.43.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是：A)網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B)網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C)網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)絡(luò)攻擊面增大，產(chǎn)生此安全問題D)網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題[單選題]15.以下哪一項(xiàng)不是我國信息安全保障工作的主要目標(biāo)()A)保障和促進(jìn)信息化發(fā)展B)維護(hù)企業(yè)與公民的合法權(quán)益C)構(gòu)建高效的信息傳播渠道D)保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)[單選題]16.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個(gè)組織發(fā)布的（）A)國際標(biāo)準(zhǔn)化組織B)國際電工委員會(huì)C)國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D)Internet工程任務(wù)組[單選題]17.小趙在去一家大型企業(yè)應(yīng)聘時(shí)，經(jīng)理要求他說出為該企業(yè)的信息系統(tǒng)設(shè)計(jì)自主訪問控制模型為一個(gè)存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項(xiàng)中，從時(shí)間和資源消耗看應(yīng)該采取的最合適的模型是（）A)按列讀取訪問控制矩形形成的訪問控制列表（ACL）B)按列讀取訪問控制矩形形成的能力表（CL）C)按行讀取訪問控制矩形形成的訪問控制列表（ACL）D)按行讀取訪問控制矩形形成的能力表（CL）[單選題]18.信息安全管理體系ISMS是建立和維持信息安全管理體系的(),標(biāo)準(zhǔn)要求組織通過確定信息安全管理系統(tǒng)范圍、制定()、明確定管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作,保持體系運(yùn)作的有效性;信息安全管理體系應(yīng)形成一定的(),即組織應(yīng)建立并保持一個(gè)文件化的信息安全(),其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的(),即組織應(yīng)建立并保持一個(gè)文件化的信息安全(),其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的()A)信息安全方針;標(biāo)準(zhǔn);文件;管理體系;保證程度B)標(biāo)準(zhǔn);文件;信息安全方針;管理體系;保證程度C)標(biāo)準(zhǔn);信息安全方針;文件;管理體系;保證程度D)標(biāo)準(zhǔn);管理體系;信息安全方針;文件;保證程度[單選題]19.在信息安全管理的實(shí)施過程中,管理者的作用于信息安全管理體系能否成功實(shí)施非常重要,但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()A)制定并頒發(fā)信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B)確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可事實(shí)C)向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D)建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評估過程、確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確[單選題]20.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是A)Special-purpose，特定的、專用用途的B)Proprietary，專有的、專賣的C)Private，私有的、專有的D)Specific，特種的、具體的[單選題]21.為了增強(qiáng)電子郵件的安全性，人們經(jīng)常使用PGP，它是：A)一種基于RSA的郵件加密軟件B)一種基于白名單的反垃圾郵件軟件C)基于SSL和VPN技術(shù)D)安全的電子郵箱[單選題]22.下列哪個(gè)漏洞不是由于未對輸入做過濾造成的？A)D.OS攻擊B)SQL注入C)日志注入D)命令行注入[單選題]23.在自主訪問環(huán)境中,以下哪個(gè)實(shí)體可以將信息訪問權(quán)授予給其他人?A)經(jīng)理B)集團(tuán)負(fù)責(zé)人C)安全經(jīng)理D)數(shù)據(jù)所有者[單選題]24.下列選項(xiàng)中，對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是（）A)物理安全確保了系統(tǒng)在對信息進(jìn)行采集、傳輸、處理等過程中的安全B)物理安全面對是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng)，是一個(gè)非常關(guān)鍵的領(lǐng)域C)物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D)影響物理安全的因素不僅包含自然因素，還包含人為因素[單選題]25.信息安全工程監(jiān)理的職責(zé)包括：（）A)質(zhì)量控制.進(jìn)度控制.成本控制.合同管理.信息管理和協(xié)調(diào)B)質(zhì)量控制.進(jìn)度控制.成本控制.合同管理和協(xié)調(diào)C)確定安全要求.認(rèn)可設(shè)計(jì)方案.監(jiān)視安全態(tài)勢.建立保障證據(jù)和協(xié)調(diào)D)確定安全要求.認(rèn)可設(shè)計(jì)方案.監(jiān)視安全態(tài)勢和協(xié)調(diào)[單選題]26.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級;3.標(biāo)識(shí)關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時(shí)間A)１-3-4-2B)１-3-2-4C)１-2-3-4D)１-4-3-2[單選題]27.以下對于IATF信息安全保障技術(shù)框架的說法錯(cuò)誤的是：A)它由美國國家安全局公開發(fā)布B)它的核心思想是信息安全深度防御（Defense-in-Depth）C)它認(rèn)為深度防御應(yīng)當(dāng)從策略、技術(shù)和運(yùn)行維護(hù)三個(gè)層面來進(jìn)行D)它將信息系統(tǒng)保障的技術(shù)層面分為計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)置和支撐性技術(shù)設(shè)施4個(gè)部分[單選題]28.某公司建沒面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標(biāo)選擇M公司為單位,并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作。目前,各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗(yàn)收申請。監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項(xiàng)屬于開發(fā)類文檔A)項(xiàng)目計(jì)劃書B)質(zhì)量控制計(jì)劃C)評審報(bào)告D)需求說明書[單選題]29.76.下列信息安全評估標(biāo)準(zhǔn)中，哪一個(gè)是我國信息安全評估的國家標(biāo)準(zhǔn)？（）A)TCSEC標(biāo)準(zhǔn)B)CC標(biāo)準(zhǔn)C)FC標(biāo)準(zhǔn)D)ITSEC標(biāo)準(zhǔn)[單選題]30.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動(dòng)存儲(chǔ)進(jìn)行傳播的特洛伊木馬病毒,由于企業(yè)部署的殺毒軟件,為了解決該病毒在企業(yè)內(nèi)部傳播,作為信息化負(fù)責(zé)人,你應(yīng)采取以下哪項(xiàng)策略()A)更換企業(yè)內(nèi)部殺毒軟件,選擇一個(gè)可以查殺到該病毒的軟件進(jìn)行重新部署B(yǎng))向企業(yè)內(nèi)部的計(jì)算機(jī)下發(fā)策略,關(guān)閉系統(tǒng)默認(rèn)開啟的自動(dòng)播放功能C)禁止在企業(yè)內(nèi)部使用如U盤、移動(dòng)硬盤這類的移動(dòng)存儲(chǔ)介質(zhì)D)在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān),防止來自互聯(lián)網(wǎng)的病毒進(jìn)入企業(yè)內(nèi)部[單選題]31.以下哪項(xiàng)不屬于防止口令被猜測的措施？A)嚴(yán)格限定從一個(gè)給定的終端進(jìn)行認(rèn)證的次數(shù)B)確?？诹畈辉诮K端上再現(xiàn)C)防止用戶使用太短的口令D)使用機(jī)器產(chǎn)生的口令[單選題]32.以下哪一項(xiàng)不是建筑物的自動(dòng)化訪問審計(jì)系統(tǒng)記錄的日志的內(nèi)容：A)出入的原因B)出入的時(shí)間C)出入口的位置D)是否成功進(jìn)入[單選題]33.為增強(qiáng)Web應(yīng)用程序的安全性,某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn),下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)()A)關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)B)針對OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C)針對SQL注入漏洞的安全編程培訓(xùn)D)關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)[單選題]34.各國在信息安全保障組織架構(gòu)有兩種主要形式，一種是由一個(gè)部門集中管理國家信息安全相關(guān)工作，另一種是多個(gè)部門分別管理，同時(shí)加強(qiáng)協(xié)調(diào)工作。下列各國中，哪一個(gè)國家是采取多部門協(xié)調(diào)的做法.（）。A)德國B)法國C)美國D)以上國家都不是[單選題]35.下面哪一個(gè)機(jī)構(gòu)不屬于美國信息安全保障管理部門?A)國土安全部。B)國防部。C)國家基礎(chǔ)設(shè)施顧問委員會(huì)。D)國家標(biāo)準(zhǔn)技術(shù)研究所。[單選題]36.非對稱密碼算法具有很多優(yōu)點(diǎn)，其中不包括：A)、可提供數(shù)字簽名、零知識(shí)證明等額外服務(wù);B)、加密/解密速度快，不需占用較多資源;C)、通信雙方事先不需要通過保密信道交換密鑰;D)、密鑰持有量大大減少[單選題]37.2014年，互聯(lián)網(wǎng)上爆出近幾十萬12306網(wǎng)站的用戶信息，12306官方網(wǎng)站稱是通過________方式泄露的。A)拖庫;B)撞庫;C)木馬;D)信息明文存儲(chǔ)[單選題]38.86.信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評估，以下關(guān)于信息安全測評說法不正確的是：A)信息產(chǎn)品安全評估是測評機(jī)構(gòu)對產(chǎn)品的安全性做出的獨(dú)立評價(jià)，增強(qiáng)用戶對已評估產(chǎn)品安全的信任B)目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險(xiǎn)評估和信息系統(tǒng)安全保障測評兩種類型C)信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施服務(wù)過程質(zhì)量保證能力的具體衡量和評價(jià)D)信息系統(tǒng)風(fēng)險(xiǎn)評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出有針對性的安全防護(hù)策略和整改措施[單選題]39.對于青少年而言，日常上網(wǎng)過程中，下列選項(xiàng)，存在安全風(fēng)險(xiǎn)的行為是？A)將電腦開機(jī)密碼設(shè)置成復(fù)雜的15位強(qiáng)密碼B)安裝盜版的操作系統(tǒng)C)在QQ聊天過程中不點(diǎn)擊任何不明鏈接D)避免在不同網(wǎng)站使用相同的用戶名和口令[單選題]40.風(fēng)險(xiǎn)評估的過程中，首先要識(shí)別信息資產(chǎn)，資產(chǎn)識(shí)別時(shí)，以下哪個(gè)不是需要遵循的原則A)只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識(shí)別B)所有公司資產(chǎn)都要識(shí)別C)可以從業(yè)務(wù)流程出發(fā)，識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D)資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶[單選題]41.張三將微信個(gè)人頭像換成微信群中某好友頭像,并將昵稱改為該好友的昵稱,然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?（）A)口令攻擊B)暴力破解C)拒絕服務(wù)攻擊D)社會(huì)工程學(xué)攻擊[單選題]42.恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjective,KTO)和恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective,RPO)是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo),隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn),這兩個(gè)指標(biāo)的數(shù)值越來越小,小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo),則以下描述中,正確的是()A)RTO可以為0,RPO也可以為0B)RTO可以為0,RTO不可以為0C)RTO不可以為0,RPO可以為0D)RTO不可以為0,RPO也不可以為0[單選題]43.65.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常要在物理和環(huán)境安全方面實(shí)施規(guī)劃控制，物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾，關(guān)鍵或敏感的信息以及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)，并受到相應(yīng)保護(hù)，該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn)，下列不包括哪一項(xiàng)（）A)物理安全邊界、物理入口控制B)辦公室、房間和設(shè)施的安全保護(hù)，外部和環(huán)境威脅的安全防護(hù)。C)在安全區(qū)域工作，公共訪問、交接區(qū)安全D)人力資源安全[單選題]44.為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí),最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法是:A)文件映像處理B)電子鏈接C)硬盤鏡像D)熱備中心配置[單選題]45.下圖顯示了SSAM的四個(gè)階段和每個(gè)階段工作內(nèi)容。與之對應(yīng),()的目的是建立評估框架,并為現(xiàn)場階段準(zhǔn)備后勤方面的工作。()的目的是準(zhǔn)備評估團(tuán)隊(duì)進(jìn)行現(xiàn)場活動(dòng),并通過問卷進(jìn)行數(shù)據(jù)的初步收集和分析。()主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評組織的專業(yè)人員提供與數(shù)據(jù)采集和證實(shí)過程的機(jī)會(huì),小組對在此就三個(gè)階段中采集到的所有數(shù)據(jù)進(jìn)行()。并將調(diào)查結(jié)果呈送個(gè)發(fā)起者1A)現(xiàn)場階段;規(guī)劃階段;準(zhǔn)備階段;最終分析B)準(zhǔn)備階段;規(guī)劃階段;現(xiàn)場階段;最終分析C)規(guī)劃階段;現(xiàn)場階段;準(zhǔn)備階段;最終分析D)規(guī)劃階段;準(zhǔn)備階段;現(xiàn)場階段;最終分析[單選題]46.97.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（）A)PP2PB)L2TPC)SSLD)IPSec[單選題]47.企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A)企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單,并明確信息資產(chǎn)的管控責(zé)任;B)企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求,采取對應(yīng)的管控措施;C)企業(yè)的信息資產(chǎn)不應(yīng)該分類分級,所有的信息系統(tǒng)要統(tǒng)一對待D)企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識(shí)別所有的信息資產(chǎn)[單選題]48.從Linux內(nèi)核2.1版開始,實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制,實(shí)現(xiàn)了對超級用戶的特權(quán)分割,打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念,提高了操作系統(tǒng)的安全性。下列選項(xiàng)中,對特權(quán)管理機(jī)制的理解錯(cuò)誤的是()。A)進(jìn)程可以放棄自己的某些權(quán)能B)普通用戶及其shell沒有任何權(quán)能,而超級用戶及其shell在系統(tǒng)啟動(dòng)之初擁有全部權(quán)能C)當(dāng)普通用戶的某些操作設(shè)計(jì)特權(quán)操作時(shí),仍然通過setuid實(shí)現(xiàn)D)系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能[單選題]49.SO9001－2000標(biāo)準(zhǔn)鼓勵(lì)在制定、實(shí)施質(zhì)量管理體系以及改進(jìn)其有效性時(shí)對采用的過程方法，通過滿足顧客要求，增進(jìn)顧客滿意，下圖是關(guān)于過程方法示意圖，空白處應(yīng)填寫（）A)策略B)管理者C)組織D)活動(dòng)[單選題]50.風(fēng)險(xiǎn)，在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面，如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)，信息安全目標(biāo)和環(huán)境目標(biāo)等目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等．ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響？A)組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求，通過構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響B(tài))加強(qiáng)防護(hù)措施，降低風(fēng)險(xiǎn)C)減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D)減少資產(chǎn)降低風(fēng)險(xiǎn)[單選題]51.58.在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A)制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B)確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可實(shí)施C)向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D)建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確[單選題]52.如果你作為甲方負(fù)責(zé)監(jiān)管一個(gè)信息安全工程項(xiàng)目的實(shí)施，當(dāng)乙方提出一項(xiàng)工程變更時(shí)你最應(yīng)當(dāng)關(guān)注的是：A)變更的流程是否符合預(yù)先的規(guī)定B)變更是否會(huì)對項(xiàng)目進(jìn)度造成拖延C)變更的原因和造成的影響D)變更后是否進(jìn)行了準(zhǔn)確的記錄[單選題]53.在路由器的全局配置模式下添加enablesecret命令時(shí)，此命令的結(jié)果是什么A)它將使用MD5加密來保護(hù)特權(quán)EXEC級別訪問B)它將使用7類加密而且僅加密特權(quán)EXEC級別口令C)它將使用7類加密，以防屏幕上顯示的所有口令可讀D)它將使用MD5加密來保護(hù)僅在PAP和CHAP身份驗(yàn)證過程中使用的口令[單選題]54.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議,以下關(guān)于TCP協(xié)議的說法,哪個(gè)是正確的?A)相比傳輸層的另外一個(gè)協(xié)議UDP,TCP既提供傳輸可靠性,還同時(shí)具有更高的效率,因此具有廣泛的用途B)TCP協(xié)議包頭中包含了源IP地址和目的IP地址,因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C)TCP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制,因此TCP協(xié)議能完全替代IP協(xié)議D)TCP協(xié)議雖然高可靠,但是相比UDP協(xié)議機(jī)制過于復(fù)雜,傳輸效率要比UDP低[單選題]55.如果有一位攻擊者在搜索引擎中搜索?.doc+?來尋找XXX.com網(wǎng)站上所有WORD文件，同時(shí)通過?.mdb??.ini?等關(guān)鍵字來找到該網(wǎng)站下的mdb庫文件，配置信息等非公開信息，請問這屬于（）類型的攻擊？A)定點(diǎn)挖掘B)攻擊定位C)網(wǎng)絡(luò)嗅探D)溢出攻擊[單選題]56.TCP/IP協(xié)議是Internet構(gòu)成的基礎(chǔ),TCP/IP通常被認(rèn)為是一個(gè)N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能,這里N應(yīng)等于()。A)4B)5C)6D)7[單選題]57.56.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A)A．審核實(shí)施投資計(jì)劃B)B．審核實(shí)施進(jìn)度計(jì)劃C)C．審核工程實(shí)施人員D)D．企業(yè)資質(zhì)[單選題]58.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中,無法在Internet上使用。關(guān)于私有地址,下面描述正確的是()。A)A類地址中沒有私有地址,B類和C類地址中可以設(shè)置私有地址B)A類、B類和C類地址中都可以設(shè)置私有地址C)A類和B類地址中沒有私有地址,C類地址中可以設(shè)置私有地址D)A類、B類和C類地址中都沒有私有地址[單選題]59.自ISO27001:2006標(biāo)準(zhǔn)發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了（）的認(rèn)證，在我國，自從2008年將ISO27001:2006轉(zhuǎn)化為國家標(biāo)準(zhǔn)CB/T22080:2008以來，信息安全管理（）在國內(nèi)進(jìn)一步獲得了全面推廣。越來越多的行業(yè)和組織認(rèn)識(shí)到（）的重要性，并把它作為（）工作之一開展起來。依據(jù)慣例，ISO組織每5年左右會(huì)對標(biāo)準(zhǔn)進(jìn)行一次升級。2013年10月19日，ISO組織正式發(fā)布了新版的信息安全管理（）（ISO27001：2013）A)體系認(rèn)證；信息安全管理體系；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)B)信息安全管理體系；體系認(rèn)證；信息安全；基礎(chǔ)管理；體系標(biāo)準(zhǔn)C)信息安全管理體系；信息安全；基礎(chǔ)管理；體系認(rèn)證；體系標(biāo)準(zhǔn)D)信息安全管理體系；基礎(chǔ)管理；體系認(rèn)證；信息安全；體系標(biāo)準(zhǔn)[單選題]60.在以下標(biāo)準(zhǔn)中,屬于推薦性國家標(biāo)準(zhǔn)的是（）A)GB/TXXXX.X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)GB/ZXXX-XXX-200X[單選題]61.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A)通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B)攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁面是可信賴的,但是當(dāng)瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行。C)當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D)信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中,有意或無意產(chǎn)生的缺陷[單選題]62.在系統(tǒng)實(shí)施后評審過程中,應(yīng)該執(zhí)行下面哪個(gè)活動(dòng)?A)用戶驗(yàn)收測試B)投資收益分析C)激活審計(jì)模塊D)更新未來企業(yè)架構(gòu)[單選題]63.以下哪個(gè)是常用WEB漏洞掃描工具（）A)AcunetixWVSB)hydraC)中國菜刀D)NMAP[單選題]64.審核在實(shí)施審核時(shí)，所使用的檢查表不包括的內(nèi)容有A)審核依據(jù)B)審核證據(jù)記錄C)審核發(fā)現(xiàn)D)數(shù)據(jù)收集方法和工具[單選題]65.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中,風(fēng)險(xiǎn)評估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞,隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施,請問該措施屬于哪種風(fēng)險(xiǎn)處理方式()A)風(fēng)險(xiǎn)降低B)風(fēng)險(xiǎn)規(guī)避C)風(fēng)險(xiǎn)轉(zhuǎn)移D)風(fēng)險(xiǎn)接受[單選題]66.降低風(fēng)險(xiǎn)(或減低風(fēng)險(xiǎn))指通過對面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險(xiǎn),下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施()A)減少威脅源,采用法律的手段制裁計(jì)算機(jī)的犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動(dòng)機(jī)B)簽訂外包服務(wù)合同,將有計(jì)算難點(diǎn),存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過簽訂外部合同的方式交予第三方公司完成,通過合同責(zé)任條款來應(yīng)對風(fēng)險(xiǎn)C)減低威脅能力,采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力D)減少脆弱性,及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性[單選題]67.()在實(shí)施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個(gè)大型集推團(tuán)公司總部的(),那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團(tuán)公司中相關(guān)人員的綽號等等。A)攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定B)所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C)攻擊者;所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D)所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定[單選題]68.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中,越來越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證,也支持跨域認(rèn)證,下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟,其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤,圖中錯(cuò)誤的描述正確的是:()A)步驟1和步驟2發(fā)生錯(cuò)誤,應(yīng)該向本地AS請求并獲得遠(yuǎn)程TGTB)步驟3和步驟4發(fā)生錯(cuò)誤,應(yīng)該向本地TGS請求并獲得遠(yuǎn)程TGTC)步驟5和步驟6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程AS請求并獲得遠(yuǎn)程TGTD)步驟5和步驟6發(fā)生錯(cuò)誤,應(yīng)該向遠(yuǎn)程TGS請求并獲得遠(yuǎn)程SGT[單選題]69.下列哪一項(xiàng)技術(shù)可以用于保護(hù)通信數(shù)據(jù)的完整性？A)數(shù)字簽名B)準(zhǔn)備備用的通訊通道C)通過冗余通道設(shè)備D)數(shù)據(jù)壓縮[單選題]70.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題。對于網(wǎng)站的這個(gè)問題原因分析及解決措施，最正確的說法應(yīng)該是？A)該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用httpsB)該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C)該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D)該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可[單選題]71.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），下面描述錯(cuò)誤的是A)IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個(gè)國家信息系統(tǒng)建設(shè)參考使用B)IATF是一個(gè)通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護(hù)問題C)IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅D)強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安全保障問題[單選題]72.76.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是（）A)A．編輯文件/etc/passwd.檢查文件中用戶ID，禁用所有ID=0的用戶B)B．編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為noC)編輯文件/etc/pam.d/system-auth,設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D)編輯文件/etc/profile,設(shè)置TMOUT=600[單選題]73.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全.其中,屬于或依附于傳輸層的安全協(xié)議是().A)IPSecB)PP2PC)L2TPD)SSL[單選題]74.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A)IS審計(jì)員、B)管理層、C)外部審計(jì)師、D)程序開發(fā)人員、[單選題]75.66.以下哪一項(xiàng)不是常見威脅對應(yīng)的消減措施：A)假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B)為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性C)為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴D)D．為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限[單選題]76.關(guān)于"WannaCry"勒索病毒軟件描述正確的是A)利用RDP協(xié)議漏洞傳播B)利用SMB協(xié)議漏洞傳播C)利用HTTP協(xié)議漏洞傳播D)利用FTP協(xié)議傳播[單選題]77.62.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)。請選出以下描述錯(cuò)誤的選項(xiàng)（）A)?制定ISMS方針?是建立ISMS階段工作內(nèi)容B)?實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃?是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C)?進(jìn)行有效性測量?是監(jiān)視和評審ISMS階段工作內(nèi)容D)?實(shí)施內(nèi)部審核?是保持和改進(jìn)ISMS階段工作內(nèi)容[單選題]78.風(fēng)險(xiǎn)評估工具的使用在一定程度上解決了手動(dòng)評估的局限性,最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中,使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用,根據(jù)在風(fēng)險(xiǎn)評估過程中的主要任務(wù)和作用愿理,風(fēng)險(xiǎn)評估工具可以為以下幾類,其中錯(cuò)誤的是:A)風(fēng)險(xiǎn)評估與管理工具B)系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評估工具C)風(fēng)險(xiǎn)評估輔助工具D)環(huán)境風(fēng)險(xiǎn)評估工具[單選題]79.64.安全審計(jì)是事后認(rèn)定違反安全規(guī)則行為的分析技術(shù)，在檢測違反安全規(guī)則方面、準(zhǔn)確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以及對事件發(fā)生的事后分析方面，都發(fā)揮著巨大的作用。但安全審計(jì)也有無法實(shí)現(xiàn)的功能，以下哪個(gè)需求是網(wǎng)絡(luò)安全審計(jì)無法實(shí)現(xiàn)的功能()A)發(fā)現(xiàn)系統(tǒng)中存儲(chǔ)的漏洞和缺陷B)發(fā)現(xiàn)用戶的非法操作行為C)發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D)發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱[單選題]80.下面哪種方法產(chǎn)生的密碼是最難記憶的?A)將用戶的生日倒轉(zhuǎn)或是重排B)將用戶的年薪倒轉(zhuǎn)或是重排C)將用戶配偶的名字倒轉(zhuǎn)或是重排D)用戶隨機(jī)給出的字母[單選題]81.審計(jì)依據(jù)就像一把?尺子",審計(jì)人員用它來衡量信息系統(tǒng)的?長短?。審計(jì)目的不同,審計(jì)依據(jù)就可能不同。根據(jù)審計(jì)目的,依次選擇表中的(1)-(4)的審計(jì)依據(jù)。A)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引:GBT2229信息系統(tǒng)安全等級保護(hù)基本要求:SOEC27001信息安全管理體系要求:組織信息安全規(guī)章制度B)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引:SO/EC27001信息安全管理體系要求GB22239信息系統(tǒng)安全等級保護(hù)基本要求:組織信息安全規(guī)章制度C)ISO/EC27001信息安全管理體系要求:組織信息安全規(guī)章制度:商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引GBT22239信息系統(tǒng)安全等級保護(hù)基本要求D)SOEC27001信息安全管理體系要求:GB/2229信息系統(tǒng)安全等級保護(hù)基本要求:組織信息安全規(guī)章制度:商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引[單選題]82.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個(gè)用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A)強(qiáng)制訪問控制B)基于角色的訪問控制C)自主訪問控制D)基于任務(wù)的訪問控制[單選題]83.A.TM機(jī)是我們?nèi)粘４嫒‖F(xiàn)金都會(huì)接觸的設(shè)備，以下關(guān)于A.TM機(jī)的說法正確的是？A)所有A.TM機(jī)運(yùn)行的都是專業(yè)操作系統(tǒng)，無法利用公開漏洞進(jìn)行攻擊，非常安全，B)A.TM機(jī)可能遭遇病毒侵襲C)A.TM機(jī)無法被黑客通過網(wǎng)絡(luò)進(jìn)行攻擊D)A.TM機(jī)只有在進(jìn)行系統(tǒng)升級時(shí)才無法運(yùn)行，其他時(shí)間不會(huì)出現(xiàn)藍(lán)屏等問題。[單選題]84.字典攻擊是黑客利用自動(dòng)執(zhí)行的程序猜測用戶名和密碼，審計(jì)這類攻擊通常需要借助A)全面的日志記錄和強(qiáng)壯的加密B)全面的日志記錄和入侵監(jiān)測系統(tǒng)C)強(qiáng)化的驗(yàn)證方法和強(qiáng)壯的加密D)強(qiáng)化的驗(yàn)證方法和入侵監(jiān)測系統(tǒng)[單選題]85.一個(gè)組織已經(jīng)創(chuàng)建了一個(gè)策略來定義用戶禁止訪問的網(wǎng)站類型。哪個(gè)是最有效的技術(shù)來達(dá)成這個(gè)策略?A)、狀態(tài)檢測防火墻B)網(wǎng)頁內(nèi)容過濾C)、網(wǎng)頁緩存服務(wù)器D)代理服務(wù)器[單選題]86.C.A.認(rèn)證中心的主要作用是：A)、加密數(shù)據(jù);B)、發(fā)放數(shù)字證書;C)、安全管理;D)、解密數(shù)據(jù)[單選題]87.為了確保電子郵件中郵件內(nèi)容的安全，應(yīng)該采用以下哪種方式比較恰當(dāng)（）A)電子郵件發(fā)送時(shí)要加密，并注意不要錯(cuò)發(fā)B)電子郵件不需要加密碼C)只要向接收者正常發(fā)送就可以了D)使用移動(dòng)終端發(fā)送郵件[單選題]88.55.（）在實(shí)施攻擊之前，需要盡量收集偽裝身份()，這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的()，那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者(）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號等等。A)攻擊者:所需要的信息:系統(tǒng)管理員:基礎(chǔ)；內(nèi)部約定B)所需要的信息:基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C)攻擊者:所需要的信息:基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D)所需要的信息:攻擊者:基礎(chǔ)；系統(tǒng)管理員:內(nèi)部約定[單選題]89.19.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是（A)WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B)WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C)WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D)WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的[單選題]90.某公司的在實(shí)施一個(gè)DRP項(xiàng)目,項(xiàng)目按照計(jì)劃完成后。聘請了專家團(tuán)隊(duì)進(jìn)行評審,評審過程中發(fā)現(xiàn)了幾個(gè)方而的問題,以下哪個(gè)代表最大的風(fēng)險(xiǎn)A)沒有執(zhí)行DRP測試B)災(zāi)難恢復(fù)策略沒有使用熱站進(jìn)行恢復(fù)C)進(jìn)行了BIA,但其結(jié)果沒有被使用D)災(zāi)難恢復(fù)經(jīng)理近期離開了公司[單選題]91.97.某信息安全公司的團(tuán)隊(duì)對某款名為?紅包快搶?的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計(jì)算機(jī)中，通過修改注冊表啟動(dòng)項(xiàng)來達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無用的是（）A)不下載、不執(zhí)行、不接收來歷不明的軟件和文件B)不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C)使用共享文件夾D)安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件[單選題]92.由于應(yīng)用系統(tǒng)的的復(fù)雜性和多樣性，對于系統(tǒng)的安全問題，目前還沒有統(tǒng)一的分類，某公司工程師從對應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)，歸納出常見的應(yīng)用系統(tǒng)主要威脅，其中不符合出發(fā)點(diǎn)是（）A)緩沖區(qū)溢出B)釣魚攻擊C)遠(yuǎn)程滲透D)隔離防護(hù)第2部分：多項(xiàng)選擇題，共3題，每題至少兩個(gè)正確答案,多選或少選均不得分。[多選題]93.下列哪三個(gè)IPv4地址代表子網(wǎng)的有效網(wǎng)絡(luò)地址A)4/28B)46/28C)6/28D)4/26第3部分：判斷題，共5題，請判斷題目是否正確。[判斷題]94.戴明循環(huán)執(zhí)行順序，下面哪項(xiàng)正確：PLAN-DO-CHECK-ACTA)正確B)錯(cuò)誤[判斷題]95.增量備份是備份從上次進(jìn)行完全備份后更改的全部數(shù)據(jù)文件。A)正確B)錯(cuò)誤[判斷題]96.域帳號的名稱在域中必須是唯一的，而且也不能和本地帳號名稱相同，否則會(huì)引起混亂。A)正確B)錯(cuò)誤[判斷題]97.信息安全管理最關(guān)注的是內(nèi)部惡意攻擊A)正確B)錯(cuò)誤[判斷題]98.下面安全測試不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A)正確B)錯(cuò)誤[多選題]99.幀中繼網(wǎng)絡(luò)中所用的本地管理接口(LMI)提供哪兩項(xiàng)功能A)流量控制B)錯(cuò)誤通知C)擁塞通知D)發(fā)送keepalive數(shù)據(jù)包以檢驗(yàn)PVC的工作情況[多選題]100.可采用哪兩種方法刪除交換機(jī)的MAC地址表中的條目A)關(guān)閉交換機(jī)電源并再次打開以清除所有動(dòng)態(tài)獲知的地址B)可采用clearmac-addr