2024年CISP認(rèn)證備考試題庫(kù)匯總（含答案）

PAGEPAGE12024年CISP認(rèn)證備考試題庫(kù)匯總（含答案）一、單選題1.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B解析：答案為B。2.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平,保障和促進(jìn)信息化建設(shè)的健康發(fā)展,

公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66號(hào)),對(duì)等級(jí)保護(hù)工作的開(kāi)展提供宏觀指導(dǎo)和約束,明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃,以及各部門(mén)工作職責(zé)分工等,關(guān)于該文件,下面理解正確的是A、該文件時(shí)一個(gè)由部委發(fā)布的政策性文件,不屬于法律文件B、該文件適用于2004年的等級(jí)保護(hù)工作,其內(nèi)容不能越蘇到2005年及之后的工作C、該文件時(shí)一個(gè)總體性知道文件,規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍D、該文件使用范圍為發(fā)文的這四個(gè)部門(mén),不適用于其他部門(mén)和企業(yè)等單位答案：A解析：答案為A。3.關(guān)于秘鑰管理,下列說(shuō)法錯(cuò)誤的是:A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密,而應(yīng)基于秘鑰的安全性B、保密通信過(guò)程中,通信方使用之前用過(guò)的會(huì)話秘鑰建立會(huì)話,不影響通信安全C、秘鑰管理需要考慮秘鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷(xiāo)等生命周期過(guò)程的每

一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會(huì)話秘鑰答案：B4.C.C.標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項(xiàng)沒(méi)有體現(xiàn)C.C.標(biāo)準(zhǔn)

的先進(jìn)性:A、結(jié)構(gòu)的開(kāi)放性B、表達(dá)方式的通用性C、獨(dú)立性D、實(shí)用性答案：C5.系統(tǒng)安全工程能力成熟度模型評(píng)估方法(SSAM,SSE-C.MMAppraisalMethoD.)是專(zhuān)門(mén)基于SSE-C.MM的評(píng)估方法。它包含對(duì)系統(tǒng)安全工程-能力成熟度模型中定義的組織的()流程能力和成熟度進(jìn)行評(píng)估所需的()。SSAM評(píng)估過(guò)程分為四個(gè)階段,()、()、()、()。A、信息和方向;系統(tǒng)安全工程;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告B、信息和方向;系統(tǒng)工程;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告C、系統(tǒng)安全工程;信息;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告D、系統(tǒng)安全工程;信息和方向;規(guī)劃;準(zhǔn)備;現(xiàn)場(chǎng);報(bào)告答案：D6.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷(xiāo)系統(tǒng),通過(guò)公開(kāi)

招標(biāo)選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作,目前,

各個(gè)應(yīng)用系統(tǒng)均已完成開(kāi)發(fā),M公司已經(jīng)提交了驗(yàn)收申請(qǐng),監(jiān)理公司需要對(duì)A公司提

交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項(xiàng)屬于開(kāi)發(fā)類(lèi)文檔:A、項(xiàng)目計(jì)劃書(shū)B(niǎo)、質(zhì)量控制計(jì)劃C、評(píng)審報(bào)告D、需求說(shuō)明書(shū)答案：D解析：ABC其均屬于項(xiàng)目管理文檔。需求說(shuō)明書(shū)、設(shè)計(jì)說(shuō)明書(shū)、測(cè)試方案、測(cè)試用例等屬于開(kāi)發(fā)類(lèi)文檔。7.如下圖所示,Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob,Bob再用自己的私鑰

解密,恢復(fù)出明文以下說(shuō)法正確的是:

A、此密碼體制為對(duì)稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制答案：D8.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟,小李將風(fēng)險(xiǎn)要素識(shí)別的主要過(guò)程使

用圖形來(lái)表示,如下圖所示,請(qǐng)為圖中空白框處選擇一個(gè)最合適的選項(xiàng)()。

A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性答案：B9.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,項(xiàng)目分二期,一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營(yíng),二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理:招標(biāo)文件經(jīng)營(yíng)管理層審批后發(fā)布,就此工程項(xiàng)目而言,以下正確的是:A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營(yíng)管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解析：本題目描述不符合信息安全工程的“同步規(guī)劃、同步實(shí)施”的基本原則。10.從SAB.SA的發(fā)展過(guò)程,可以看出整個(gè)SAB.SA在安全架構(gòu)中的生命周期(如下圖所示),在此SAB.SA生命周期中,前兩個(gè)階段的過(guò)程被歸類(lèi)為所謂的(),其次是(),它包含了建筑設(shè)計(jì)中的()、物理設(shè)計(jì)、組件設(shè)計(jì)和服務(wù)管理設(shè)計(jì),再者就是(),緊隨其后的則是()A、設(shè)計(jì);戰(zhàn)略與規(guī)劃;邏輯設(shè)計(jì);實(shí)施;管理與衡量B、戰(zhàn)略與規(guī)劃;邏輯設(shè)計(jì);設(shè)計(jì);實(shí)施;管理與衡量C、戰(zhàn)略與規(guī)劃;實(shí)施;設(shè)計(jì);邏輯設(shè)計(jì);管理與衡量D、戰(zhàn)略與規(guī)劃;設(shè)計(jì);邏輯設(shè)計(jì);實(shí)施;管理與衡量答案：D11.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是:A、資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類(lèi)B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心,針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)答案：D解析：安全措施既包括技術(shù)層面,也包括管理層面。12.自主訪問(wèn)控制模型(DAC)的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制(ACL)來(lái)表示,該ACL利用在

客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣,通常使用由客體指向的鏈表來(lái)存

儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是()A、ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí),去除該用戶所有的訪問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便D、ACL在增加客體時(shí),增加相關(guān)的訪問(wèn)控制權(quán)限較為簡(jiǎn)單答案：D13.關(guān)于信息安全管理體系的作用,下面理解錯(cuò)誤的是A、對(duì)內(nèi)而言,有助于建立起文檔化的信息安全管理規(guī)范,實(shí)現(xiàn)有“法”可依,有據(jù)可查B、對(duì)內(nèi)而言,是一個(gè)光花錢(qián)不掙錢(qián)的事情,需要組織通過(guò)其他方法收入來(lái)彌補(bǔ)投入C、對(duì)外而言,有助于使各科室相關(guān)方對(duì)組織充滿信心D、對(duì)外而言,規(guī)范工作流程要求,幫助界定雙方各自信息安全責(zé)任答案：B14.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則?A、風(fēng)險(xiǎn)管理在系統(tǒng)開(kāi)發(fā)之初就應(yīng)該予以充分考慮,并要貫穿于整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程之

中B、風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開(kāi)發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)

性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng),實(shí)施成本會(huì)相對(duì)

較低D、在系統(tǒng)正式運(yùn)行后,應(yīng)注重殘余風(fēng)險(xiǎn)的管理,以提高快速反應(yīng)能力答案：C解析：安全措施投入應(yīng)越早則成本越低,C答案則成本會(huì)上升。15.小明是某大學(xué)計(jì)算科學(xué)與技術(shù)專(zhuān)業(yè)的畢業(yè)生,大四上學(xué)期開(kāi)始找工作,期望謀求一份技術(shù)管理的職位,一次面試中,某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的背景建立的幾本概念與認(rèn)識(shí),小明的主要觀點(diǎn)包括:(1)背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象,以及對(duì)象的特性和安全要求,完成信息安全風(fēng)險(xiǎn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備;(2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行,雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果(3)背景建立包括:風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信

息安全分析(4.)背景建立的階段性成果包括:風(fēng)險(xiǎn)管理計(jì)劃書(shū)、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告、請(qǐng)問(wèn)小明的論點(diǎn)中錯(cuò)誤的是哪項(xiàng):A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)答案：B解析：背景建立是根據(jù)政策、法律、標(biāo)準(zhǔn)、業(yè)務(wù)、系統(tǒng)、組織等現(xiàn)狀來(lái)開(kāi)展。16.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟,有關(guān)安全要素,請(qǐng)選擇一個(gè)最合適

的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性答案：B解析：風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。17.在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》(CC標(biāo)準(zhǔn))中,有關(guān)保護(hù)輪

廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST),錯(cuò)誤的是:A、PP是描述一類(lèi)產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無(wú)關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)C答案：C解析：PP代表的安全需求,ST代表的是安全方案,多個(gè)ST可以滿足同一個(gè)PP。法規(guī)政策與標(biāo)準(zhǔn)18.以下哪個(gè)是惡意代碼采用的隱藏技術(shù):A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是答案：D19.火災(zāi)是機(jī)房日常運(yùn)營(yíng)中面臨最多的安全威脅之一,火災(zāi)防護(hù)的工作是通過(guò)構(gòu)建火災(zāi)預(yù)防、檢測(cè)和響應(yīng)系統(tǒng),保護(hù)信息化相關(guān)人員和信息系統(tǒng),將火災(zāi)導(dǎo)致的影響降

低到可接受的程度。下列選項(xiàng)中,對(duì)火災(zāi)的預(yù)防、檢測(cè)和抑制的措施描述錯(cuò)誤的選項(xiàng)是()。A、將機(jī)房單獨(dú)設(shè)置防火區(qū),選址時(shí)遠(yuǎn)離易燃易爆物品存放區(qū)域,機(jī)房外墻使用非燃

燒材料,進(jìn)出機(jī)房區(qū)域的門(mén)采用防火門(mén)或防火卷簾,機(jī)房通風(fēng)管設(shè)防火栓B、火災(zāi)探測(cè)器的具體實(shí)現(xiàn)方式包括;煙霧檢測(cè)、溫度檢測(cè)、火焰檢測(cè)、可燃?xì)怏w檢

測(cè)及多種檢測(cè)復(fù)合等C、自動(dòng)響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時(shí)設(shè)立兩組獨(dú)立的火災(zāi)探測(cè)器,只要有一個(gè)探

測(cè)器報(bào)警,就立即啟動(dòng)滅火工作D、前在機(jī)房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等答案：C20.某公司開(kāi)發(fā)了一個(gè)游戲網(wǎng)站,但是由于網(wǎng)站軟件存在漏洞,在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)

包時(shí)總是會(huì)丟失一些數(shù)據(jù),如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí),總是會(huì)有3到5

個(gè)字節(jié)不能傳送到對(duì)方,關(guān)于此案例,可以推斷的是()A、該網(wǎng)站軟件存在保密性方面安全問(wèn)題B、該網(wǎng)站軟件存在完整性方面安全問(wèn)題C、該網(wǎng)站軟件存在可用性方面安全問(wèn)題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問(wèn)題答案：B21.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無(wú)線局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議,WPA2是使用于全世界的無(wú)線局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制定的答案：D解析：答案為D。22.ISO27002(Informationtechnology-Securitytechniques0Codeofpraticefor

Inforeationsecuritymanagcacnt)是重要的信息安全管理標(biāo)準(zhǔn)之一,下圖是關(guān)于其演

進(jìn)變化示意圖,圖中括號(hào)空白處應(yīng)填寫(xiě)()

A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37

16/36答案：B23.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng),關(guān)于這兩者,下面描述的錯(cuò)誤是A、內(nèi)部審核和管理評(píng)審都很重要,都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?也都應(yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式,而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理評(píng)審會(huì)議形式進(jìn)行C、內(nèi)部審核的實(shí)施主體組織內(nèi)部的ISMS內(nèi)審小組,而管理評(píng)審的實(shí)施主體是由國(guó)家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用,但在管理評(píng)審總,這些文件時(shí)被審對(duì)象答案：C解析：管理評(píng)審的實(shí)施主體由用戶的管理者來(lái)進(jìn)行選擇。24.下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯(cuò)誤的是:A、確保采購(gòu)定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D、確保信息系統(tǒng)的使用已得到授權(quán)答案：B25.設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的:A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過(guò)程中不斷完善成熟,精益求精,實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實(shí)施障礙答案：C26.強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性,系統(tǒng)用該安全屬性來(lái)決定一個(gè)

主體是否可以訪問(wèn)某個(gè)客體,具有較高的安全性,適用于專(zhuān)用或?qū)Π踩暂^高的系統(tǒng)。強(qiáng)

制訪問(wèn)控制模型有多種類(lèi)型,如BLP、Biba、Clark-Willson和ChineseWall等。小李自學(xué)

了BLP模型,并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4鐘對(duì)BLP模型的描述中,正確的是():A、BLP模型用于保證系統(tǒng)信息的機(jī)密性,規(guī)則是“向上讀,向下寫(xiě)”B、BLP模型用于保證系統(tǒng)信息的機(jī)密性,規(guī)則是“向下讀,向上寫(xiě)”C、BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向上讀,向下寫(xiě)”D、BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向下讀,向上寫(xiě)”答案：B27.我國(guó)信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面,以

下關(guān)于安全保障建設(shè)主要工作內(nèi)容說(shuō)法不正確的是:A、建全國(guó)家信息安全組織與管理體制機(jī)制,加強(qiáng)信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施,提供國(guó)家信息安全保障能力支撐C、建立信息安全技術(shù)體系,實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系,加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)答案：C解析：實(shí)現(xiàn)自主創(chuàng)新在過(guò)去的的保障中為自主可控。28.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試,下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注()A、由于有限的測(cè)試時(shí)間窗,僅僅測(cè)試了最必的系統(tǒng),其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)獨(dú)測(cè)試B、在測(cè)試的過(guò)程中,有些備份系統(tǒng)有缺陷或者不能正常工作,從面導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間D、每年都是同相同的員工執(zhí)行此測(cè)試由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟,因而沒(méi)有使用災(zāi)難毆打推薦計(jì)劃

(DRP)文檔答案：B29.某單位的信息安全主管部門(mén)在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后,認(rèn)

識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式,該部門(mén)將有檢查評(píng)

估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo),其中描述錯(cuò)誤的是A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程;也可在自評(píng)估的基礎(chǔ)上,對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門(mén)組織,也可以由本級(jí)單位發(fā)起,其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門(mén)組織,并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施,具有強(qiáng)制性的特點(diǎn)答案：B解析：檢查評(píng)估可以由上級(jí)單位發(fā)起,本級(jí)單位發(fā)起叫做自評(píng)估。30.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法,它將應(yīng)急響應(yīng)分成六個(gè)階段。其

中,主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過(guò)濾

規(guī)則,拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號(hào)等()A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測(cè)階段答案：B解析：拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量等做法屬于遏制階段的工作。31.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí).信息安全專(zhuān)業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)

的服務(wù)器的運(yùn)行速度緩慢,為了找到根本愿因,他應(yīng)該首先檢查:A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測(cè)試計(jì)劃C、災(zāi)難恢復(fù)計(jì)劃(DRP)D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件答案：A32.入侵防御系統(tǒng)(IPS)是繼入侵檢測(cè)系統(tǒng)(IDS)后發(fā)展期出來(lái)的一項(xiàng)新的安全技術(shù),它與

IDS有著許多不同點(diǎn),請(qǐng)指出下列哪一項(xiàng)描述不符合IPS的特點(diǎn)?A、串接到網(wǎng)絡(luò)線路中B、對(duì)異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點(diǎn)故障D、不會(huì)影響網(wǎng)絡(luò)性能答案：D解析：IPS在串聯(lián)情況下,會(huì)影響網(wǎng)絡(luò)性能。33.恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩個(gè)值能否為零,正確的選項(xiàng)是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為0答案：A解析：RTO恢復(fù)的速度和效率,也是系統(tǒng)中斷的時(shí)間。RPO恢復(fù)到歷史時(shí)間的階段,系統(tǒng)數(shù)據(jù)的損失量。34.信息安全風(fēng)險(xiǎn)等級(jí)的最終因素是:A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對(duì)答案：B35.下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的:A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶和管理員操作日志D、啟用時(shí)鐘同步答案：A解析：A屬于防護(hù)措施;BCD屬于檢測(cè)措施,可以用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。36.當(dāng)前,應(yīng)用軟件安全已經(jīng)日益引起人們的重視,每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項(xiàng)中,哪個(gè)與應(yīng)用軟件漏洞成因無(wú)關(guān):A、傳統(tǒng)的軟件開(kāi)發(fā)工程未能充分考慮安全因素B、開(kāi)發(fā)人員對(duì)信息安全知識(shí)掌握不足C、相比操作系統(tǒng)而言,應(yīng)用軟件編碼所采用的高級(jí)語(yǔ)言更容易出現(xiàn)漏洞D、應(yīng)用軟件的功能越來(lái)越多,軟件越來(lái)越復(fù)雜,更容易出現(xiàn)漏洞答案：C論高級(jí)和低級(jí)語(yǔ)言都存在漏洞。37.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是:A、讓系統(tǒng)自己處理異常B、調(diào)試方便,應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來(lái)C、捕獲錯(cuò)誤,并拋出前臺(tái)顯示

12/26D、捕獲錯(cuò)誤,只顯示簡(jiǎn)單的提示信息,或不顯示任何信息答案：D解析：D為正確的處理方法。38.關(guān)于監(jiān)理過(guò)程中成本控制,下列說(shuō)法中正確的是?A、成本只要不超過(guò)預(yù)計(jì)的收益即可B、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成C、成本應(yīng)控制得越低越好D、成本控制由承建單位實(shí)現(xiàn),監(jiān)理單位只能記錄實(shí)際開(kāi)銷(xiāo)答案：D解析：D為正確答案。39.我國(guó)黨和政府一直重視信息安全工作,我國(guó)信息安全保障工作也取得了明顯成效,關(guān)于我

國(guó)信息安全實(shí)踐工作,下面說(shuō)法錯(cuò)誤的是()A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè),成立了“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”制訂和發(fā)布了大

批信息安全技術(shù),管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作,確定由國(guó)家密碼管理局牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”推動(dòng)了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級(jí)保護(hù)工作,研究制定了多個(gè)有關(guān)信息安全等級(jí)保護(hù)的規(guī)范和標(biāo)準(zhǔn),重點(diǎn)保障了關(guān)系國(guó)定安全,經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全性D、實(shí)施了信息安全風(fēng)險(xiǎn)評(píng)估工作,探索了風(fēng)險(xiǎn)評(píng)估工作的基本規(guī)律和方法,檢驗(yàn)并修改完善

了有關(guān)標(biāo)準(zhǔn),培養(yǎng)和鍛煉了人才隊(duì)伍答案：B解析：工業(yè)和信息化部牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”。40.2005年4月1日正式施行的《電子簽名法》,被稱為“中國(guó)首部真正意義上的信息化

法律”,自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽

名說(shuō)法錯(cuò)誤的是:A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明

簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書(shū)C、電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時(shí),屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有答案：D解析：電子簽名不可以與認(rèn)證服務(wù)提供者共有。41.下面有關(guān)軟件安全問(wèn)題的描述中,哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了三層WEB架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后直接訪問(wèn)數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開(kāi)發(fā)時(shí),采用了一些存在安全問(wèn)題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出

漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻

擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒(méi)有按照要求生成密鑰,導(dǎo)致黑客

攻擊后能破解并得到明文數(shù)據(jù)答案：C42.下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題()A、軟件部署時(shí)所需選用服務(wù)性能不高,導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來(lái)考慮多線程技術(shù),在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)D、軟件受許可證(license)限制,不能在多臺(tái)電腦上安裝。答案：C43.組織建立業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的作用包括:A、在遭遇災(zāi)難事件時(shí),能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性,完整性和一致性;B、提供各種恢復(fù)策略選擇,盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間,快速恢復(fù)操作系統(tǒng)、應(yīng)用

和數(shù)據(jù);C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí),能夠持續(xù)服務(wù),確保業(yè)

務(wù)系統(tǒng)的不間斷運(yùn)行,降低損失;D、以上都是。答案：D44.關(guān)于信息安全管理,說(shuō)法錯(cuò)誤的是:A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性,以及業(yè)務(wù)運(yùn)

作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過(guò)程,依賴于建立信息安全組織、明確信

息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多

方面非技術(shù)性的努力。C、實(shí)現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個(gè)靜態(tài)過(guò)程。答案：D45.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí).信息安全專(zhuān)業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)

行速度緩慢,為了找到根本愿因,他應(yīng)該首先檢查:A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測(cè)試計(jì)劃

16/23

保密注冊(cè)信息安全專(zhuān)業(yè)人員考試模擬考試試卷C、災(zāi)難恢復(fù)計(jì)劃(DRP)D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件答案：A解析：答案為A。46.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面,請(qǐng)您仔細(xì)分析該圖,下面分析推理正

確的是()

A、安全測(cè)試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開(kāi)啟了FTP服務(wù),使用的服務(wù)器軟件名FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)答案：D47.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中,在施工前,以下哪一項(xiàng)不屬于監(jiān)理需要審核

的內(nèi)容:A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)答案：A48.在數(shù)據(jù)庫(kù)安全性控制中,授權(quán)的數(shù)據(jù)對(duì)象,授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大答案：A49.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性,在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期

的討論,在下面的發(fā)言觀點(diǎn)中,正確的是()A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng),而其中最重要的是要在軟件的編碼安全措施,就可以

解決90%以上的安全問(wèn)題。B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施,這樣可以比在軟件發(fā)

布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比,微軟提出的安全開(kāi)發(fā)生命周期(SDL)最大特點(diǎn)是增加

了一個(gè)專(zhuān)門(mén)的安全編碼階段。D、軟件的安全測(cè)試也很重要,考試到程序員的專(zhuān)業(yè)性,如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)

行了安全性測(cè)試,就沒(méi)有必要再組織第三方進(jìn)行安全性測(cè)試。答案：B解析：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計(jì)階段。C-SDL最大的特點(diǎn)是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測(cè)試是必要的軟件安全測(cè)試類(lèi)型。50.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》(GB/T20274.1-2006)后,繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖,如下所示。請(qǐng)為圖中括

號(hào)空白處選擇合適的選項(xiàng)()

A、安全保障(方針和組織)B、安全防護(hù)(技術(shù)和管理)C、深度防御(策略、防護(hù)、檢測(cè)、響應(yīng))D、保障要素(管理、工程、技術(shù)、人員)答案：D51.小李去參加單位組織的信息安全培訓(xùn)后,他把自己對(duì)管理信息管理體系ISMS的理解畫(huà)了

一張圖,但是他還存在一個(gè)空白處未填寫(xiě),請(qǐng)幫他選擇一個(gè)合適的選項(xiàng)()

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢ISMS答案：C52.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無(wú)線局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議,而WPA2是使用于全世界的無(wú)線

局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制

定的答案：D53.小王學(xué)習(xí)了災(zāi)難備份的相關(guān)知識(shí),了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份,為了鞏固所學(xué)知識(shí),小王對(duì)這種備份方式進(jìn)行對(duì)比,其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份答案：B解析：完全備份是指?jìng)浞萑窟x中的文件夾,并不依賴文件的存檔屬性來(lái)確定備份哪些文件;增量備份是針對(duì)于上一次備份(無(wú)論是哪種備份),備份上一次備份后,所有發(fā)生變化的文件;差異備份是針對(duì)完全備份,備份上一次的完全備份后發(fā)生變化的所有文件。三種備份方式在數(shù)據(jù)恢復(fù)速度方面由快到慢的順序?yàn)橥耆珎浞?、差異備份、增量備份。https://wenku.baidu./view/37c280655bcfa1c7aa00b52acfc789eb172d9ef6.html,百度文庫(kù)中。54.某網(wǎng)站在設(shè)計(jì)對(duì)經(jīng)過(guò)了威脅建模和攻擊面分析,在開(kāi)發(fā)時(shí)要求程序員編寫(xiě)安全的

代碼,但是在部署時(shí)由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備

份,為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類(lèi)擬問(wèn)題,一下那種測(cè)試方式是最佳的測(cè)試方法。A、模糊測(cè)試B、源代碼測(cè)試C、滲透測(cè)試D、軟件功能測(cè)試答案：C55.入侵防御系統(tǒng)(IPS)是繼入侵檢測(cè)系統(tǒng)(IDS)后發(fā)展期出來(lái)的一項(xiàng)新的安

全技術(shù),它與IDS有著許多不同點(diǎn),請(qǐng)指出下列哪一項(xiàng)描述不符合IPS的特

點(diǎn)?A、串接到網(wǎng)絡(luò)線路中B、對(duì)異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點(diǎn)故障D、不會(huì)影響網(wǎng)絡(luò)性能答案：D56.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí),需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類(lèi)和賦值,關(guān)于資產(chǎn)價(jià)

值的評(píng)估,以下選項(xiàng)中正確的是()A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)答案：C解析：答案為C。57.在ISO的OSI安全體系結(jié)構(gòu)中,以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問(wèn)控制D、路由控制答案：B解析：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。58.恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩

個(gè)值能否為零,正確的選項(xiàng)是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為0答案：A59.物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理數(shù)據(jù)的載體,其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中,對(duì)設(shè)施安全的保障的描述正確的是()。A、安全區(qū)域不僅包含物理區(qū)域,還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問(wèn)控制機(jī)制C、由于傳統(tǒng)門(mén)鎖容易被破解,因此禁止采用門(mén)鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等答案：B解析：B描述了物理安全措施。60.關(guān)于信息安全管理,下面理解片面的是()A、信息安全管理是組織整體管理的重要、固有組成部分,它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要

保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程,不是一成不變的C、在信息安全建設(shè)中,技術(shù)是基礎(chǔ),管理是拔高,有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則,是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一答案：C61.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行,并且有一定強(qiáng)制性,其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全()A、信息安全管理體系(ISMS)B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO270000系統(tǒng)答案：B解析：信息安全等級(jí)保護(hù)制度重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。62.我國(guó)信息安全保障工作先后經(jīng)歷啟動(dòng)、逐步展開(kāi)和積極推進(jìn),以及深化落實(shí)三個(gè)階段,以下關(guān)于我國(guó)信息安全保障各階段說(shuō)法不正確的是:A、2001國(guó)家信息化領(lǐng)導(dǎo)小組重組,網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立,我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月,國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)27號(hào)文),明確了“積極防御、綜合防范“的國(guó)家信息安全保障方針C、2003年中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段D、在深化落實(shí)階段,信息安全法律法規(guī)、標(biāo)準(zhǔn)化,信息安全基礎(chǔ)設(shè)施建設(shè),以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展。答案：C解析：2006年進(jìn)入到深化落實(shí)階段。63.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則:A、立足國(guó)情,以我為主,堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點(diǎn),強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國(guó)家

信息安全保障體系答案：A解析：堅(jiān)持技術(shù)和管理并重。信息64.美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施(CriticalInformationInfrastructure,CII)包括

商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)

療、能源、銀行和金融、國(guó)防工業(yè)基地等等,美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基

礎(chǔ)設(shè)施信息安全,其主要原因不包括:A、這些行業(yè)都關(guān)系到國(guó)計(jì)民生,對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患,而且信息安全專(zhuān)業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件,會(huì)造成廣泛而嚴(yán)重的損失。答案：C65.在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)中,下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級(jí)別?A、C2B、C1C、B2D、B1答案：D解析：DC1C2B1B2B3A級(jí)別。66.數(shù)據(jù)庫(kù)的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。

以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是:A、最小特權(quán)原則,是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下,分配最小的特權(quán),使得這些信息恰好能夠完成用戶的工作B、最大共享策略,在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下,最大程度地共享數(shù)據(jù)庫(kù)中的信息C、粒度最小的策略,將數(shù)據(jù)庫(kù)中數(shù)據(jù)項(xiàng)進(jìn)行劃分,粒度越小,安全級(jí)別越高,在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略,不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分答案：B解析：數(shù)據(jù)庫(kù)安全策略應(yīng)為最小共享。67.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前,Hadoop并不存在安全認(rèn)證一說(shuō)。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上,惡意的提交作業(yè)篡改分布式存儲(chǔ)的數(shù)據(jù)偽裝成NameNo安康頭發(fā)TaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機(jī)制來(lái)解決用戶到服務(wù)器認(rèn)證問(wèn)題,Kerberos認(rèn)證過(guò)程不包括()A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)答案：C68.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后,決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小,假設(shè)單位機(jī)

房的總價(jià)值為200萬(wàn)元人民幣,暴露系數(shù)(ExposureFactor,EF)是25%,年度發(fā)生率

(AnnualizedRateofOccurrence,ARO)為0.1,那么小王計(jì)算的年度預(yù)期損失(Annualized

LossExpectancy,ALE)應(yīng)該是()。A、5萬(wàn)元人民幣B、50萬(wàn)元人民幣C、2.5萬(wàn)元人民幣D、25萬(wàn)元人民幣答案：A解析：計(jì)算方法為200萬(wàn)*25%*0.1=5萬(wàn)。10/2669.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則,某應(yīng)用程序在設(shè)計(jì)時(shí),設(shè)計(jì)人員給出了以

下四種策略,其中有一個(gè)違反了最小特權(quán)的原則,作為評(píng)審專(zhuān)家,請(qǐng)指出是哪一個(gè)?A、軟件在Linux下按照時(shí),設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫(kù)數(shù)據(jù),在備份模塊運(yùn)行時(shí),以數(shù)據(jù)

庫(kù)備份操作員賬號(hào)連接數(shù)據(jù)庫(kù)C、軟件的日志模塊由于要向數(shù)據(jù)庫(kù)中的日志表中寫(xiě)入日志信息,使用了一個(gè)日志用

戶賬號(hào)連接數(shù)據(jù)庫(kù),該賬號(hào)僅對(duì)日志表?yè)碛袡?quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運(yùn)行,設(shè)定運(yùn)行權(quán)限為system,確保系統(tǒng)運(yùn)

行正常,不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤答案：D70.關(guān)于信息安全管理,說(shuō)法錯(cuò)誤的是:A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性,以及業(yè)務(wù)運(yùn)作的

持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過(guò)程,依賴于建立信息安全組織、明確信息安全

角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)

性的努力。C、實(shí)現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個(gè)靜態(tài)過(guò)程。答案：D解析：信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個(gè)動(dòng)態(tài)過(guò)程。71.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ),操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少

的工作,某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作,其

中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁,確保操作系統(tǒng)不存在可被利用的安全

漏洞B、為了方便進(jìn)行數(shù)據(jù)備份,安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)

C,所有數(shù)據(jù)和

操作系統(tǒng)都存放在C盤(pán)C、操作系統(tǒng)上部署防病毒軟件,以對(duì)抗病毒的威脅D、將默認(rèn)的管理員賬號(hào)Administrator改名,降低口令暴力破解攻擊的發(fā)生可能答案：B解析：操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開(kāi)不同磁盤(pán)部署。72.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定,錯(cuò)誤的是:A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主,自評(píng)估和檢查

評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的

原則開(kāi)展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)答案：A解析：信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估(自查)為主。73.關(guān)于linux下的用戶和組,以下描述不正確的是。A、在linux中,每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可以是多對(duì)一,一個(gè)組可以有多個(gè)用戶,一個(gè)用戶不能屬

于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶,無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限答案：C74.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟,有關(guān)安全要素,請(qǐng)選擇一

個(gè)最合適的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性答案：B75.下列關(guān)于軟件安全開(kāi)發(fā)中的BSI(BuildSecurityIn)系列模型說(shuō)法錯(cuò)誤的是()A、BIS含義是指將安全內(nèi)建到軟件開(kāi)發(fā)過(guò)程中,而不是可有可無(wú),更不是游離于軟件開(kāi)發(fā)

生命周期之外B、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全測(cè)試C、軟件安全觸點(diǎn)是軟件開(kāi)發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法,它提供了從不同角

度保障安全的行為方式

3/36D、BSI系列模型強(qiáng)調(diào)應(yīng)該使用工程化的方法來(lái)保證軟件安全,即在整個(gè)軟件開(kāi)發(fā)生命周期

中都要確保將安全作為軟件的一個(gè)有機(jī)組成部分答案：B76.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說(shuō)法錯(cuò)誤的是:A、應(yīng)急響應(yīng)是指組織為了應(yīng)急突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以

及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告

和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要過(guò)程、系統(tǒng)損失和社會(huì)影響三方面因素。D、根據(jù)信息安全事件的分級(jí)參考要素,可將信息安全事件劃分為4個(gè)級(jí)別,

特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))和一般事件(IV

級(jí))答案：B解析：包括六個(gè)階段準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤總結(jié)。77.2005年,RFC4301(Requestforments4301:SecurityArchitecturefortheIntermetProtocol)發(fā)布,用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu),描述如何在IP層(IPv4/IPv6)為流量提供安全業(yè)務(wù),請(qǐng)問(wèn)此類(lèi)RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個(gè)組織發(fā)布的()A、國(guó)際標(biāo)準(zhǔn)化組織B、國(guó)際電工委員會(huì)C、國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D、Internet工程任務(wù)組答案：D解析：D為正確答案。78.以下關(guān)于信息安全法治建設(shè)的意義,說(shuō)法錯(cuò)誤的是:A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為,并對(duì)該行為進(jìn)行相應(yīng)的處罰,以打擊信息安全

犯罪活動(dòng)C、信息安全主要是技術(shù)問(wèn)題,技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成,需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系答案：C79.風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含:A、過(guò)程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)答案：D解析：監(jiān)控和審查不包括協(xié)調(diào)溝通工作。風(fēng)險(xiǎn)管理包括背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督等四個(gè)過(guò)程,以及監(jiān)控審查和溝通咨詢等兩個(gè)貫穿。法規(guī)政策與標(biāo)準(zhǔn)80.與瀏覽器兼容性測(cè)試不需要考慮的問(wèn)題是()。A、軟件是否可以在不同的J2EE中運(yùn)行B、不同的瀏覽器是否可以提供合適的安全設(shè)置C、腳本和插是否適用于不同的瀏覽器D、符合最新HTML版本的頁(yè)面能否在瀏覽器中正確顯示答案：A解析：參考:。Https://wenku.baidu./view/5d2efad1d05abe23482fb4daa58da0116c171fe6.html,百度文庫(kù)中。81.關(guān)于標(biāo)準(zhǔn),下面哪項(xiàng)理解是錯(cuò)誤的()A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件,標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B、國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織通過(guò)并公布的標(biāo)準(zhǔn),同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)。C、行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又才需要在全國(guó)某個(gè)行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn),同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí),應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)。D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制度,冰報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)和國(guó)務(wù)院有關(guān)行政主管培訓(xùn)部門(mén)備案,在公布國(guó)家標(biāo)準(zhǔn)后,該地方標(biāo)準(zhǔn)即應(yīng)廢止。答案：B解析：當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)。82.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是:A、資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類(lèi)B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心,針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),

并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)答案：D解析：安全措施既包括技術(shù)層面,也包括管理層面。83.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn),以下那一項(xiàng)不是體現(xiàn)

CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開(kāi)放性,即功能和保證要求都可以砸具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性,即給出通用的表達(dá)方式C、獨(dú)立性,它強(qiáng)調(diào)將安全的功能和保證分離D、實(shí)用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開(kāi)發(fā)、生產(chǎn)、測(cè)試和評(píng)

估過(guò)程中答案：C解析：TCSEC->ITSEC標(biāo)準(zhǔn)->CC標(biāo)準(zhǔn)(產(chǎn)品安全開(kāi)發(fā)、安全測(cè)評(píng)的標(biāo)準(zhǔn)EAL1-7)。ITSEC標(biāo)準(zhǔn)實(shí)現(xiàn)了功能和保證的分離,CC是繼承這個(gè)特點(diǎn)。84.在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí),組織的額()和實(shí)施方法(如信息安全的

控制目標(biāo)、控制措施、方針、過(guò)程和規(guī)程)應(yīng)()。獨(dú)立評(píng)審宜由管理者啟動(dòng),由

獨(dú)立被評(píng)審范圍的人員執(zhí)行,例如內(nèi)部審核部、獨(dú)立的管理人員或?qū)ｉT(mén)進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員宜具備適當(dāng)?shù)?)。管理人員宜對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行()。為了日常功評(píng)審的效率,可以考慮使用自動(dòng)測(cè)量和()。評(píng)審結(jié)果和管理人員采取

的糾正措施宜被記錄,且這些記錄宜予以維護(hù)。A、信息安全管理;獨(dú)立審查;報(bào)告工具;技能和經(jīng)驗(yàn);定期評(píng)審B、信息安全管理;技能和經(jīng)驗(yàn);獨(dú)立審查;定期評(píng)審;報(bào)告工具C、獨(dú)立審查;信息安全管理;技能和經(jīng)驗(yàn);定期評(píng)審;報(bào)告工具D、信息安全管理;獨(dú)立審查;技能和經(jīng)驗(yàn);定期評(píng)審;報(bào)告工具答案：D85.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織內(nèi)部信息安全的有效管理,實(shí)施常規(guī)的控制措施,不包括哪些選項(xiàng)()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門(mén)的聯(lián)系.C、與特定利益集團(tuán)的聯(lián)系。信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題答案：D86.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專(zhuān)用網(wǎng)(InternetprotocolSecurityVirtualPrivate

Network,IPsecVPN)時(shí),以下說(shuō)法正確的是:A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPsecVPN網(wǎng)絡(luò)時(shí),需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可

以聚合的IP地址段,來(lái)減少I(mǎi)Psec安全關(guān)聯(lián)(SecurityAuthentication,SA)資

源的消耗D、報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性答案：C解析：MD5哈希函數(shù)只有完整性;AES是對(duì)稱加密算法實(shí)現(xiàn)保密性;AH協(xié)議提供消息認(rèn)證、完整性校驗(yàn)和抗重放攻擊。密碼應(yīng)用87.關(guān)于ARP欺騙原理和防范措施,下面理解錯(cuò)誤的是()A、ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文。使得受害

者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存到ARP緩存中,從而起到冒充主機(jī)的目的B、單純利用ARP欺騙攻擊時(shí),ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由

實(shí)施攻擊C、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的APP緩存,如果發(fā)生硬件地

址的更改,則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址

和其地主機(jī)進(jìn)行連接答案：D88.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后,組織的災(zāi)難前和災(zāi)難后運(yùn)營(yíng)成本將:A、降低B、不變(保持相同)C、提高D、提高或降低(取決于業(yè)務(wù)的性質(zhì))答案：C89.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問(wèn)題,以下說(shuō)法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試,因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過(guò)了測(cè)試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響答案：C90.在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí),以下哪個(gè)做法是錯(cuò)誤的:A、要充分切合信息安全需求并且實(shí)際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險(xiǎn)處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),使用過(guò)程中不斷完善成熟,精益求精,實(shí)現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案障礙答案：C解析：設(shè)計(jì)信息系統(tǒng)安全保障方案應(yīng)采用合適的技術(shù)。91.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用答案：D92.關(guān)于信息安全保障的概念,下面說(shuō)法錯(cuò)誤的是:A、信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化的,信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理念B、信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測(cè)和響應(yīng)為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下,可單純依靠技術(shù)措施來(lái)保障信息安全D、信息安全保障把信息安全從技術(shù)擴(kuò)展到管理,通過(guò)技術(shù)、管理和工程等措施的綜合融合,形成對(duì)信息、信息系統(tǒng)及業(yè)務(wù)使命的保障答案：C解析：網(wǎng)絡(luò)空間安全不能單純依靠技術(shù)措施來(lái)保障。93.選擇信息系統(tǒng)部署的場(chǎng)地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重

要的位置,信息資產(chǎn)的保護(hù)很大程度上取決與場(chǎng)地的安全性,一個(gè)部署在高風(fēng)險(xiǎn)場(chǎng)所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性的。為了保護(hù)環(huán)境安全,在下列

選項(xiàng)中,公司在選址時(shí)最不應(yīng)該選址的場(chǎng)地是().A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑答案：D94.2005年4月1日正式施行的《電子簽名法》,被稱為“中國(guó)首部真正意

義上的信息化法律”,自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法律效

力。以下關(guān)于電子簽名說(shuō)法錯(cuò)誤的是:A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份

并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書(shū)C、電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證

服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時(shí),屬于電子簽名人和電子認(rèn)證服務(wù)提供

者共有答案：D95.信息安全工程監(jiān)理的職責(zé)包括:A、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)B、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào)答案：A解析：A為監(jiān)理的內(nèi)容。96.RFC系列標(biāo)準(zhǔn)是由()發(fā)布的:A、國(guó)際標(biāo)準(zhǔn)化組織(ISO)B、國(guó)際電工委員會(huì)(IEC)C、國(guó)際貿(mào)易中心(ITC)D、互聯(lián)網(wǎng)工程任務(wù)組(IETF)答案：D97.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是:A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同,既可以是硬件設(shè)備,也

可以是業(yè)務(wù)系統(tǒng),也可以是組織機(jī)構(gòu)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出

的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：A解析：B錯(cuò)誤,應(yīng)該是抽樣評(píng)估;C錯(cuò)誤,應(yīng)該其描述的是差距分析;D錯(cuò)誤,應(yīng)該是威脅包括人為威脅和環(huán)境威脅。98.ApacheHttpServer(簡(jiǎn)稱Apache)是

一個(gè)開(kāi)放源碼的WEB服務(wù)運(yùn)行平臺(tái),在使用過(guò)程中,該軟件默認(rèn)會(huì)將自己

的軟件名和版本號(hào)發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)

采取以下那種措施()A、不選擇Windows平臺(tái),應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后,修改配置文件httpDconf中的有關(guān)參數(shù)C、安裝后,刪除ApacheHttpServer源碼D、從正確的官方網(wǎng)站下載ApacheHttpServer,并安裝使用答案：B解析：關(guān)于Apache的安全配置均在httpDconf文件中配置。安全漏洞和惡意代碼99.某單位開(kāi)發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測(cè)

評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試,在應(yīng)用上線

前,項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試,作為安全主管,

你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策,以

下哪條是滲透性測(cè)試的優(yōu)勢(shì)?A、滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期

產(chǎn)生的漏洞B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法,因此測(cè)試效率更高C、滲透測(cè)試使用人工進(jìn)行測(cè)試,不依賴軟件,因此測(cè)試更準(zhǔn)確D、滲透測(cè)試中必須要查看軟件源代碼,因此測(cè)試中發(fā)現(xiàn)的漏洞更多答案：A100.以下哪一項(xiàng)不屬于常見(jiàn)的風(fēng)險(xiǎn)評(píng)估與管理工具:A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具

6/26答案：D解析：D基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估工具不存在。101.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?A、用戶訪問(wèn)日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志答案：B102.ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于()A、BS7799-1《信息安全實(shí)施細(xì)則》B、BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱ITSEC)D、信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡(jiǎn)稱CC)答案：B解析：BS7799-1發(fā)展為ISO27002;BS7799-2發(fā)展為ISO27001;TCSEC發(fā)展為ITSEC;ITSEC發(fā)展為CC。103.公司甲做了很多政府網(wǎng)站安全項(xiàng)目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)

方案時(shí),借鑒以前項(xiàng)目經(jīng)驗(yàn),為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施,但用戶提

出不需要這些加密措施,理由是影響了網(wǎng)站性能,使用戶訪問(wèn)量受限,雙方

引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的:A、乙對(duì)信息安全不重視,低估了黑客能力,不舍得花錢(qián)B、甲在需求分析階段沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估,所部署的加密針對(duì)性不足,造成浪

費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn),與甲共同確定網(wǎng)站安全需求答案：A104.下列哪一些對(duì)信息安全漏洞的描述是錯(cuò)誤的?A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中,寄生在一定的客體上(如TOE中、過(guò)程中等)。C、具有可利用性和違規(guī)性,它本身的存在雖不會(huì)造成破壞,但是可以被攻擊者利用,

從而給信息系統(tǒng)安全帶來(lái)威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)答案：D解析：漏洞是人為故意或非故意引入的弱點(diǎn)。105.主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí),主機(jī)A

和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍?A、~55B、~55C、~55D、不在上述范圍內(nèi)答案：D解析：傳輸模式下不更換原有的IP包頭,隧道模式需要新的IP包頭(將原IP包頭進(jìn)行封裝)。軟件安全開(kāi)106.關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù),下列說(shuō)法不正確的是:A、數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來(lái)解決,當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)被破壞時(shí),可以利用冗余數(shù)據(jù)來(lái)進(jìn)行修復(fù)B、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤(pán)上保存起來(lái),是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用,可以用來(lái)進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù),并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲(chǔ)到固定存儲(chǔ)器上,利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán),將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài),這一對(duì)事務(wù)的操作稱為提交答案：D解析：利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán),將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài),這一對(duì)事務(wù)的操作稱為回滾。107.作為信息安全從業(yè)人員,以下哪種行為違反了C.ISP職業(yè)道德準(zhǔn)側(cè)()A、抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件C、不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力。答案：B108.防止非法授權(quán)訪問(wèn)數(shù)據(jù)文件的控制措施,哪項(xiàng)是最佳的方式:A、自動(dòng)文件條目B、磁帶庫(kù)管理程序C、訪問(wèn)控制軟件D、鎖定庫(kù)答案：C109.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象,某軟件公司準(zhǔn)備加

強(qiáng)軟件安全開(kāi)發(fā)管理,在下面做法中,對(duì)于解決問(wèn)題沒(méi)有直接幫助的是()A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié),加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā),不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試,盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題答案：C110.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度答案：C解析：業(yè)務(wù)特性從機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程獲取。111.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選擇最合適的是:A、通用布纜系統(tǒng)工程B、電子設(shè)備機(jī)房系統(tǒng)工程C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用答案：D解析：答案為D。112.下面關(guān)于信息系統(tǒng)安全保障的說(shuō)法不正確的是:A、信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢

棄等生命周期密切相關(guān)B、信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C、信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D、信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度,從而實(shí)現(xiàn)其

業(yè)務(wù)使命答案：B113.在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)中,下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級(jí)別?A、C2B、C1C、B2D、B1答案：D解析：答案為B1。114.二十世紀(jì)二十年代,德國(guó)發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機(jī),按照密碼學(xué)發(fā)展

歷史階段劃分,這個(gè)階段屬于()A、古典密碼階段。這一階段的密碼專(zhuān)家常?？恐庇X(jué)和技術(shù)來(lái)設(shè)計(jì)密碼,而不是憑借推理和

證明,常用的密碼運(yùn)算方法包括替代方法和轉(zhuǎn)換方法()B、近代密碼發(fā)展階段。這一階段開(kāi)始使用機(jī)械代替手工計(jì)算,形成了機(jī)械式密碼設(shè)備和更

進(jìn)一步的機(jī)電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基

礎(chǔ),開(kāi)始了對(duì)密碼學(xué)的科學(xué)探索

19/26D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志,引發(fā)了密碼學(xué)歷答案：B解析：根據(jù)密碼學(xué)發(fā)展階段的知識(shí)點(diǎn),Engmia密碼機(jī)屬于近代密碼學(xué)發(fā)展階段的產(chǎn)物。115.某集團(tuán)公司根據(jù)業(yè)務(wù)需求,在各地分支機(jī)構(gòu)部屬前置機(jī),為了保證安

全,集團(tuán)總部要求前置機(jī)開(kāi)放日志共享,由總部服務(wù)器采集進(jìn)行集中分析,

在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)種提取日志,從而導(dǎo)致部分

敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問(wèn)題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行

分析B、為配合總部的安全策略,會(huì)帶來(lái)一定的安全問(wèn)題,但不影響系統(tǒng)使用,

因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過(guò)設(shè)置前置機(jī)

不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志,對(duì)日志共享設(shè)置訪問(wèn)密碼且

限定訪問(wèn)的時(shí)間答案：D116.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級(jí)改造,以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國(guó)家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略答案：C117.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果,所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)

各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是()。A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,得出可以量化的風(fēng)險(xiǎn)分析結(jié)

果,以度量風(fēng)險(xiǎn)的可能性和缺失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值,所以在實(shí)際工作中應(yīng)使用定量

風(fēng)險(xiǎn)分析,而不應(yīng)選擇定性風(fēng)險(xiǎn)分析C、定性風(fēng)險(xiǎn)分析過(guò)程中,往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行,所以分析結(jié)果和風(fēng)

險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀性,而定量風(fēng)險(xiǎn)分析更具客觀性答案：B解析：實(shí)際工作中根據(jù)情況選擇定量、定性或定量與定性相結(jié)合。118.為了能夠合理、有序地處理安全事件,應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過(guò)程,有助于一

個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響

降至最低。PDCERF方法論是一種防范使用的方法,其將應(yīng)急響應(yīng)分成六個(gè)階段,如下圖所

示,請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容()

A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段答案：D119.具有行政法律責(zé)任強(qiáng)制的安全你管理規(guī)定和安全制度包括

1>安全事件(包括安全事故)報(bào)告制度

2>安全等級(jí)保護(hù)制度3>信息系統(tǒng)安全監(jiān)控

4>安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證制度A、1,2,4B、2,3C、2,3,4D、1,2,3答案：A120.安全審計(jì)師一種很常見(jiàn)的安全控制措施,它在信息全保障系統(tǒng)中,屬于()措施。A、保護(hù)B、檢測(cè)C、響應(yīng)D、恢復(fù)答案：B121.WindowsNT提供的分布式安全環(huán)境又被稱為:A、域(Domain)B、工作組C、對(duì)等網(wǎng)D、安全網(wǎng)答案：A122.某單位信息安全崗位員工,利用個(gè)人業(yè)余時(shí)間,在社交網(wǎng)絡(luò)平臺(tái)上向業(yè)內(nèi)同不定

期發(fā)布信息安全相關(guān)知識(shí)和前沿動(dòng)態(tài)資訊,這一行為主要符合以下哪一條注冊(cè)信息安

全專(zhuān)業(yè)人員(CISP)職業(yè)道德準(zhǔn)則:A、避免任何損害CISP聲譽(yù)形象的行為B、自覺(jué)維護(hù)公眾信息安全,拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私的行為C、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力D、不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件答案：C123.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則:A、立足國(guó)情,以我為主,堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點(diǎn),強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國(guó)家信息安

全保障體系答案：A解析：A的正確描述為立足國(guó)情,以我為主,堅(jiān)持以技術(shù)和管理并重。124.下列關(guān)于軟件需求管理與需求開(kāi)發(fā)的論述正確的是()A、所謂需求管理,是指對(duì)需求開(kāi)發(fā)的管理B、需求管理包括:需求獲取、需求分析、需求定義各需求驗(yàn)證C、需求開(kāi)發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過(guò)程D、在需求管理中要求維持對(duì)原有需求和所有的產(chǎn)品需求的雙向跟蹤答案：D解析：https://wenku.baidu./view/51390fbe64ce0508763231126edb6f1aff007118.html,百度文庫(kù)。[解析]所有與需求直接相關(guān)的活動(dòng)通稱為需求工程。需求工程的活動(dòng)可分為需求開(kāi)發(fā)和需求管理兩大類(lèi)。其中,需求開(kāi)發(fā)的目的是通過(guò)調(diào)查與分析,獲取用戶需求并定義產(chǎn)品需求。需求開(kāi)發(fā)主要有需求獲取、需求分析、需求定義和需求驗(yàn)證等4個(gè)過(guò)程。需求管理的目的是確保各方對(duì)需求的一致理解、管理和控制需求的變更,從需求到最終產(chǎn)品的雙向跟蹤。在需求管理中,要收集需求的變更和變更的理由,并且維持對(duì)原有需求和產(chǎn)品及構(gòu)件需求的雙向跟蹤。125.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分:A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過(guò)程D、監(jiān)理組織安全實(shí)施答案：D解析：監(jiān)理模型包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過(guò)程、控制和管理手段。應(yīng)急響應(yīng)與災(zāi)備恢復(fù)126.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn):A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù),開(kāi)發(fā)相應(yīng)的軟件和硬件,將其集成到信息系統(tǒng)的

過(guò)程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù),管理和商務(wù)等方面,是一項(xiàng)綜合性的系統(tǒng)工程答案：B127.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選擇最合適的是:A、通用布纜系統(tǒng)工程B、電子設(shè)備機(jī)房系統(tǒng)工程C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用答案：D解析：ABC都包括相應(yīng)的監(jiān)理工作。128.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本,會(huì)將他的瀏覽

器定向到旅游網(wǎng)站,旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒(méi)有主動(dòng)訪問(wèn)該旅

游網(wǎng)站,但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息),于是犯罪

分子便可以躲藏在社交網(wǎng)站的廣告后面,截獲用戶的個(gè)人信息了,這種向Web頁(yè)面插入惡

意html代碼的攻擊方式稱為()A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊

7/36答案：B129.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段,為了保證用戶賬戶的安全,

項(xiàng)目開(kāi)發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外,還加入基于數(shù)字證書(shū)的身

份認(rèn)證功能,同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中,請(qǐng)問(wèn)以上安

全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則:A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則答案：C130.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試,下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注()A、由于有限的測(cè)試時(shí)間窗,僅僅測(cè)試了最必須的系統(tǒng),其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B、在測(cè)試的過(guò)程中,有些備份系統(tǒng)有缺陷或者不能正常工作,從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C、在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測(cè)試,由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟,因而沒(méi)有使用災(zāi)難恢復(fù)計(jì)劃(D.RP)文檔答案：B131.GB/T18336<<信息技術(shù)安全性評(píng)估準(zhǔn)則>>(CC)是測(cè)評(píng)標(biāo)準(zhǔn)類(lèi)中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護(hù)輪廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST)的評(píng)估準(zhǔn)則,提出了評(píng)估保證級(jí)(EvaluationAssuranceLevel,EAL),其評(píng)估保證級(jí)共分為()個(gè)遞增的評(píng)估保證等級(jí)A、4B、5C、6D、7答案：D解析：EAL1~EAL7,EAL7是最高,EAL1是最低。132.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,

項(xiàng)目分二期,一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營(yíng),二期目標(biāo)為次年上半年完

成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理:招標(biāo)文件經(jīng)營(yíng)管理層審批后發(fā)布,就此工程項(xiàng)目而

言,以下正確的是:A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營(yíng)管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解析：安全工程的原則是同步規(guī)劃、同步實(shí)施。133.關(guān)于我國(guó)信息安全保障的基本原則,下列說(shuō)法中不正確的是:A、要與國(guó)際接軌,積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作,遵循國(guó)際標(biāo)準(zhǔn)和通行做法,堅(jiān)持管

理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系,不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中,既要統(tǒng)籌規(guī)劃,又要突出重點(diǎn)D、在國(guó)家信息安全保障工作中,要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性,不能忽視任何

一方的作用。答案：A解析：我國(guó)信息安全保障首先要遵循國(guó)家標(biāo)準(zhǔn)。16/26134.在某信息系統(tǒng)的設(shè)計(jì)中,用戶登陸過(guò)程是這樣的:(1)用戶通過(guò)HTTP協(xié)議訪問(wèn)信息系統(tǒng);

2)用戶在登陸頁(yè)面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正

確性,如果正確,則鑒別完成?？梢钥闯?這個(gè)鑒別過(guò)程屬于()。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A135.什么是系統(tǒng)變更控制中最重要的內(nèi)容?A、所有的變更都必須文字化,并被批準(zhǔn)B、變更應(yīng)通過(guò)自動(dòng)化工具來(lái)實(shí)施

第11頁(yè)共24頁(yè)C、應(yīng)維護(hù)系統(tǒng)的備份D、通過(guò)測(cè)試和批準(zhǔn)來(lái)確保質(zhì)量答案：A136.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除,需要離職員工所在部

門(mén)主管經(jīng)理和人事部門(mén)人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行,該設(shè)計(jì)是遵循

了軟件安全哪項(xiàng)原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御答案：B137.終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TERMINALAC.C.essC.ontrollerAC.C.ess-C.ontrolSystem,TAC.AC.S),在認(rèn)證過(guò)程中,客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認(rèn)證類(lèi)型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開(kāi)始時(shí)使用一個(gè),序列號(hào)永遠(yuǎn)為().服務(wù)器收到START包以后,回送一REPLY包,表示認(rèn)證繼續(xù)還是結(jié)束。A、0B、1C、2D、4答案：B138.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)

絡(luò)安全的一個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()A、在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解協(xié)議,且按步驟執(zhí)行。C、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信息的人,也可能是敵人和互相完全不信任的人。D、密碼協(xié)議(Cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議,其末的是提供安全服務(wù)。答案：A解析：密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟,有些復(fù)雜的步驟必須要明確處理方式。139.北京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)