2021年CISP考試專用題庫

1．美國(guó)核心信息基本設(shè)施(criticalInformationInfrastructure，CII)涉及商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水解決系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基本設(shè)施信息安全，其重要因素不涉及：A．這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)營(yíng)和國(guó)家安全影響深遠(yuǎn)B．這些行業(yè)都是信息化應(yīng)用廣泛領(lǐng)域C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，并且信息安全專業(yè)人才缺少現(xiàn)象比其她行業(yè)更突出D．這些行業(yè)發(fā)生信息安全事件，會(huì)導(dǎo)致廣泛而嚴(yán)重?fù)p失2．關(guān)于國(guó)內(nèi)信息安全保障工作發(fā)展幾種階段，下列哪個(gè)說法不對(duì)的：A．-年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是國(guó)內(nèi)信息安全保障工作最高領(lǐng)導(dǎo)機(jī)構(gòu)B．-年是逐漸展開和積極推動(dòng)階段，標(biāo)志性事件是發(fā)布了指引性文獻(xiàn)《關(guān)于加強(qiáng)信息安全保障工作意見》(中辦發(fā)27號(hào)文獻(xiàn))并頒布了國(guó)家信息安全戰(zhàn)略C．-至今是深化貫徹階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障獲得圓滿成功&D．-至今是深化貫徹階段，信息安全保障體系建設(shè)獲得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐3．根據(jù)國(guó)標(biāo)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目的(ISST)中，安全保障目指是：A、信息系統(tǒng)安全保障目B、環(huán)境安全保障目C、信息系統(tǒng)安全保障目和環(huán)境安全保障目D.信息系統(tǒng)整體安全保障目、管理安全保障目、技術(shù)安全保障目和工程安全保障目4．如下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)例子?A．某網(wǎng)站在訪問量突然增長(zhǎng)時(shí)對(duì)顧客連接數(shù)量進(jìn)行了限制，保證已登錄顧客可以完畢操作B．在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該顧客賬戶余額進(jìn)行了沖正操作&C．某網(wǎng)管系統(tǒng)具備嚴(yán)格審計(jì)功能，可以擬定哪個(gè)管理員在何時(shí)對(duì)核心互換機(jī)進(jìn)行了什么操作D．李先生在每天下班前將重要文獻(xiàn)鎖在檔案室保密柜中，使偽裝成清潔工商業(yè)間諜無法查看5.公司甲做了諸多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒此前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全辦法，但顧客提出不需要這些加密辦法，理由是影響了網(wǎng)站性能，使顧客訪問量受限，雙方引起爭(zhēng)議。下面說法哪個(gè)是錯(cuò)誤：A.乙對(duì)信息安全不注重，低估了黑客能力，不舍得花錢&B．甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所布置加密針對(duì)性局限性，導(dǎo)致?lián)]霍C．甲未充分考慮網(wǎng)游網(wǎng)站業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)區(qū)別D．乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同擬定網(wǎng)站安全需求6．進(jìn)入21世紀(jì)以來，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略內(nèi)容也各不相似，如下說法不對(duì)的是：A．與國(guó)家安全、社會(huì)穩(wěn)定和民生密切有關(guān)核心基本設(shè)施是各國(guó)安全保障重點(diǎn)B．美國(guó)尚未設(shè)立中央政府級(jí)專門機(jī)構(gòu)解決網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門各種機(jī)構(gòu)共同承擔(dān)C．各國(guó)普遍注重信息安全事件應(yīng)急響應(yīng)和解決D．在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分運(yùn)用社會(huì)資源，發(fā)揮政府與公司之間合伙關(guān)系7．與PDR模型相比，P2DR模型多了哪一種環(huán)節(jié)?A．防護(hù)B．檢測(cè)C．反映D.方略&8．如下關(guān)于項(xiàng)目含義，理解錯(cuò)誤是：A．項(xiàng)目是為達(dá)到特定目、使用一定資源、在擬定期間內(nèi)、為特定發(fā)起人而提供獨(dú)特產(chǎn)品、服務(wù)或成果而進(jìn)行一次性努力。B.項(xiàng)目有明確開始日期，結(jié)束日期由項(xiàng)目領(lǐng)導(dǎo)者依照項(xiàng)目進(jìn)度來隨機(jī)擬定。&C．項(xiàng)目資源指完畢項(xiàng)目所需要人、財(cái)、物等。D．項(xiàng)目目的要遵守SMART原則，即項(xiàng)目目的規(guī)定詳細(xì)(Specific)、可測(cè)量（Measurable)、需有關(guān)方一致批準(zhǔn)(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定期限(Time-oriented)9．年1月2日，美目發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜共籌劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI籌劃建立三道防線：第一道防線，減少漏洞和隱患，防止入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化將來安全環(huán)境．從以上內(nèi)容，咱們可以看出如下哪種分析是對(duì)的：A．CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要任務(wù)是減少其網(wǎng)絡(luò)所面臨風(fēng)險(xiǎn)B.從CNCI可以看出，威脅重要是來自外部，而漏洞和隱患重要是存在于內(nèi)部C．CNCI目是盡快研發(fā)并布置新技術(shù)徹底變化其糟糕網(wǎng)絡(luò)安全現(xiàn)狀，而不是在當(dāng)前網(wǎng)絡(luò)基本上修修補(bǔ)補(bǔ)D．CNCI徹底變化了以往美國(guó)信息安全戰(zhàn)略，不再把核心基本設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)全面安全保障&10．下列對(duì)于信息安全保障深度防御模型說法錯(cuò)誤是：A．信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全一種重要構(gòu)成某些，因而對(duì)信息安全討論必要放在國(guó)家政策、法律法規(guī)和原則外部環(huán)境制約下。B．信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)整個(gè)生命周期，在這個(gè)過程中，咱們需要采用信息系統(tǒng)工程辦法來建設(shè)信息系統(tǒng)。C．信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善安全意識(shí)，培訓(xùn)體系也是信息安全保障重要構(gòu)成某些。D．信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端防護(hù)能力”。11．如圖，某顧客通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于如下哪一類：A．個(gè)人網(wǎng)銀系統(tǒng)和顧客之間雙向鑒別B．由可信第三方完畢顧客身份鑒別C.個(gè)人網(wǎng)銀系統(tǒng)對(duì)顧客身份單向鑒別*D．顧客對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性單向鑒別12．如下圖所示，Alice用Bob密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己私鑰解密，恢復(fù)出明文。如下說法對(duì)的是：A．此密碼體制為對(duì)稱密碼體制B．此密碼體制為私鑰密碼體制C．此密碼體制為單鑰密碼體制D．此密碼體制為公鑰密碼體制&13．下列哪一種辦法屬于基于實(shí)體“所有”鑒別辦法：A．顧客通過自己設(shè)立口令登錄系統(tǒng)，完畢身份鑒別B．顧客使用個(gè)人指紋，通過指紋辨認(rèn)系統(tǒng)身份鑒別C．顧客運(yùn)用和系統(tǒng)協(xié)商秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行對(duì)的應(yīng)答，通過身份鑒別D.顧客使用集成電路卡(如智能卡)完畢身份鑒別&14．為防范網(wǎng)絡(luò)欺詐保證交易安全，網(wǎng)銀系統(tǒng)一方面規(guī)定顧客安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別辦法?A.實(shí)體“所知”以及實(shí)體“所有”鑒別辦法&B．實(shí)體“所有”以及實(shí)體“特性”鑒別辦法C．實(shí)體“所知”以及實(shí)體“特性”鑒別辦法D．實(shí)體“所有”以及實(shí)體“行為”鑒別辦法15．某單位開發(fā)了一種面向互聯(lián)網(wǎng)提供服務(wù)應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要相應(yīng)用網(wǎng)站進(jìn)行一次滲入性測(cè)試，作為安全主管，你需要提出滲入性測(cè)試相比源代碼測(cè)試、模糊測(cè)試優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，如下哪條是滲入性測(cè)試優(yōu)勢(shì)?A.滲入測(cè)試以襲擊者思維模仿真實(shí)襲擊，能發(fā)現(xiàn)如配備錯(cuò)誤等運(yùn)營(yíng)維護(hù)期產(chǎn)生漏洞&B．滲入測(cè)試是用軟件代替人工一種測(cè)試辦法，因而測(cè)試效率更高C．滲入測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因而測(cè)試更精確D．滲入測(cè)試中必要要查看軟件源代碼，因而測(cè)試中發(fā)現(xiàn)漏洞更多16．軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮顧客穩(wěn)私包，如下關(guān)于顧客隱私保護(hù)說法哪個(gè)是錯(cuò)誤?A．告訴顧客需要收集什么數(shù)據(jù)及收集到數(shù)據(jù)會(huì)如何披使用B．當(dāng)顧客數(shù)據(jù)由于某種因素要被使用時(shí)，給顧客選取與否容許C．顧客提交顧客名和密碼屬于穩(wěn)私數(shù)據(jù)，其他都不是&D．保證數(shù)據(jù)使用符合國(guó)家、地方、行業(yè)有關(guān)法律法規(guī)17．軟件安全保障思想是在軟件全生命周期中貫徹風(fēng)險(xiǎn)管理思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范局限性帶來直接損失，也需要關(guān)注過度防范導(dǎo)致間接損失。在如下軟件安全開發(fā)方略中，不符合軟件安全保障思想是：A.在軟件立項(xiàng)時(shí)考慮到軟件安全有關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試、安全評(píng)審有關(guān)費(fèi)用，保證安全經(jīng)費(fèi)得到貫徹&B．在軟件安全設(shè)計(jì)時(shí)，邀請(qǐng)軟件安全開發(fā)專家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在安全局限性C．保證對(duì)軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員理解安全編碼基本原則和辦法，保證開發(fā)人員編寫出安全代碼D．在軟件上線前對(duì)軟件進(jìn)行全面安全性測(cè)試，涉及源代碼分析、模糊測(cè)試、滲入測(cè)試，未經(jīng)以上測(cè)試軟件不容許上線運(yùn)營(yíng)18．如下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層隧道合同：A.VTP&B．L2FC．PPTPD．L2TP19．如圈所示，主體S對(duì)客體01有讀(R)權(quán)限，對(duì)客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該圖所示訪問控制實(shí)現(xiàn)辦法是：A．訪問控制表(ACL)B．訪問控制矩陣C.能力表(CL)&D．前綴表(Profiles)20．如下場(chǎng)景描述了基于角色訪問控制模型(Role-basedAccessControl．RBAC)：依照組織業(yè)務(wù)規(guī)定或管理規(guī)定，在業(yè)務(wù)系統(tǒng)中設(shè)立若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別)分別賦予承擔(dān)不同工作職責(zé)顧客。關(guān)于RBAC模型，下列說法錯(cuò)誤是：A．當(dāng)顧客祈求訪問某資源時(shí)，如果其操作權(quán)限不在顧客當(dāng)前被激活角色授權(quán)范疇內(nèi)，訪問祈求將被回絕B．業(yè)務(wù)系統(tǒng)中崗位、職位或者分工，可相應(yīng)RBAC模型中角色C．通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問控制D.RBAC模型不能實(shí)現(xiàn)多級(jí)安全中訪問控制&21．下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)合同原則：A．第二層隧道合同(L2TP)B．Internet安全性(IPSEC)C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)&D．點(diǎn)對(duì)點(diǎn)隧道合同(PPTP)22．下列對(duì)網(wǎng)絡(luò)認(rèn)證合同(Kerberos)描述對(duì)的是：A．該合同使用非對(duì)稱密鑰加密機(jī)制B．密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)某些構(gòu)成C．該合同完畢身份鑒別后將獲取顧客票據(jù)允許票據(jù)D．使用該合同不需要時(shí)鐘基本同步環(huán)境&23．鑒別基本途徑有三種：所知、所有和個(gè)人特性，如下哪一項(xiàng)不是基于你所懂得：A．口令B．令牌&C．知識(shí)D．密碼24．在ISOOSI安全體系構(gòu)造中，如下哪一種安全機(jī)制可以提供抗抵賴安全服務(wù)?A．加密B.數(shù)字簽名&C．訪問控制D．路由控制25．某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusienDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，如下做法應(yīng)當(dāng)優(yōu)先考慮是：A．選購當(dāng)前技術(shù)最先進(jìn)防火墻即可B．選購任意一款品牌防火墻C．任意選購一款價(jià)格適當(dāng)防火墻產(chǎn)品D．選購一款同已有安全產(chǎn)品聯(lián)動(dòng)防火墻&26．在OSI參照模型中有7個(gè)層次，提供了相應(yīng)安全服務(wù)來加強(qiáng)信息系統(tǒng)安全性，如下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A.網(wǎng)絡(luò)層&B．表達(dá)層C．會(huì)話層D．物理層27．某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職工工所在部門主管經(jīng)理和人事部門人員同步進(jìn)行確認(rèn)才干在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中哪項(xiàng)原則?A.最小權(quán)限B.權(quán)限分離&C．不信任D．縱深防御28．如下關(guān)于互聯(lián)網(wǎng)合同安全(InternetProtocolSecurity，IPsec)合同說法錯(cuò)誤是：A．在傳送模式中，保護(hù)是IP負(fù)載B．驗(yàn)證頭合同(AuthenticationHead，AH)和IP封裝安全載荷合同(EncapsulatingSecurityPayload，ESP)都能以傳播模式和隧道模式工作c．在隧道模式中，保護(hù)是整個(gè)互聯(lián)網(wǎng)合同(InternetProtocol，IP)包，涉及IP頭D.IPsec僅能保證傳播數(shù)據(jù)可認(rèn)證性和保密性&29．某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模辦法來分折電子商務(wù)網(wǎng)站所面臨威脅，STRIDE是微軟SDL中提出威脅建模辦法，將威脅分為六類，為每一類威脅提供了原則消減辦法，Spoofing是STRIDE中欺騙類威脅，如下威脅中哪個(gè)可以歸入此類威脅?A．網(wǎng)站競(jìng)爭(zhēng)對(duì)手也許雇傭襲擊者實(shí)行DDoS襲擊，減少網(wǎng)站訪問速度B．網(wǎng)站使用http合同進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，也許導(dǎo)致顧客傳播信息泄露，例如購買商品金額等C．網(wǎng)站使用http合同進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與顧客發(fā)出與否一致，也許數(shù)據(jù)被半途篡改D．網(wǎng)站使用顧客名、密碼進(jìn)行登錄驗(yàn)證，襲擊者也許會(huì)運(yùn)用弱口令或其她方式獲得顧客密碼，以該顧客身份登錄修改顧客訂單等信息&30.如下關(guān)于PGP(PrettyGoodPrivacy)軟件論述錯(cuò)誤是：A．PGP可以實(shí)現(xiàn)對(duì)郵件加密、簽名和認(rèn)證B．PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮C．PGP可以對(duì)郵件進(jìn)行分段和重組D．PGP采用SHA算法加密郵件&31．入侵防御系統(tǒng)(IPS)是繼入侵檢測(cè)系統(tǒng)(IDS)后發(fā)展期出來一項(xiàng)新安全技術(shù)，它與IDS有著許多不同點(diǎn)，請(qǐng)指出下列哪一項(xiàng)描述不符合IPS特點(diǎn)?A．串接到網(wǎng)絡(luò)線路中B．對(duì)異常進(jìn)出流量可以直接進(jìn)行阻斷C．有也許導(dǎo)致單點(diǎn)故障D.不會(huì)影響網(wǎng)絡(luò)性能&32．相比文獻(xiàn)配備表(FAT)文獻(xiàn)系統(tǒng)，如下哪個(gè)不是新技術(shù)文獻(xiàn)系統(tǒng)(NTFS)所具備優(yōu)勢(shì)?A．NTFS使用事務(wù)日記自動(dòng)記錄所有文獻(xiàn)夾和文獻(xiàn)更新，當(dāng)浮現(xiàn)系統(tǒng)損壞和電源故障等闖題而引起操作失敗后，系統(tǒng)能運(yùn)用日記文獻(xiàn)重做或恢復(fù)未成功操作B．NTFS分區(qū)上，可覺得每個(gè)文獻(xiàn)或文獻(xiàn)夾設(shè)立單獨(dú)允許權(quán)限C．對(duì)于大磁盤，NTFS文獻(xiàn)系統(tǒng)比FAT有更高磁盤運(yùn)用率D.相比FAT文獻(xiàn)系統(tǒng)，NTFS文獻(xiàn)系統(tǒng)能有效兼容linux下EXT2文獻(xiàn)格式&33．某公司系統(tǒng)管理員近來正在布置一臺(tái)Web服務(wù)器，使用操作系統(tǒng)是windows，在進(jìn)行日記安全管理設(shè)立時(shí)，系統(tǒng)管理員擬定四條日記安全方略給領(lǐng)導(dǎo)進(jìn)行參照，其中能有效應(yīng)對(duì)襲擊者獲得系統(tǒng)權(quán)限后對(duì)日記進(jìn)行修改方略是：A．在網(wǎng)絡(luò)中單獨(dú)布置syslog服務(wù)器，將Web服務(wù)器日記自動(dòng)發(fā)送并存儲(chǔ)到該syslog日記服務(wù)器中&B.嚴(yán)格設(shè)立Web日記權(quán)限，只有系統(tǒng)權(quán)限才干進(jìn)行讀和寫等操作C．對(duì)日記屬性進(jìn)行調(diào)節(jié)，加大日記文獻(xiàn)大小、延長(zhǎng)日記覆蓋時(shí)間、設(shè)立記錄更多信息等D．使用獨(dú)立分區(qū)用于存儲(chǔ)日記，并且保存足夠大日記空間34．關(guān)于linux下顧客和組，如下描述不對(duì)的是。A．在linux中，每一種文獻(xiàn)和程序都?xì)w屬于一種特定“顧客”B．系統(tǒng)中每一種顧客都必要至少屬于一種顧客組C.顧客和組關(guān)系可以是多對(duì)一，一種組可以有各種顧客，一種顧客不能屬于各種組*D．root是系統(tǒng)超級(jí)顧客，無論與否文獻(xiàn)和程序所有者都具備訪問權(quán)限35．安全運(yùn)營(yíng)環(huán)境是軟件安全基本，操作系統(tǒng)安全配備是保證運(yùn)營(yíng)環(huán)境安全必不可少工作，某管理員對(duì)即將上線Windows操作系統(tǒng)進(jìn)行了如下四項(xiàng)安所有署工作，其中哪項(xiàng)設(shè)立不利于提高運(yùn)營(yíng)環(huán)境安全?A．操作系統(tǒng)安裝完畢后安裝最新安全補(bǔ)丁，保證操作系統(tǒng)不存在可被運(yùn)用安全漏洞B.為了以便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一種分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存儲(chǔ)在C盤&C．操作系統(tǒng)上布置防病毒軟件，以對(duì)抗病毒威脅D．將默認(rèn)管理員賬號(hào)Administrator改名，減少口令暴力破解襲擊發(fā)生也許36．在數(shù)據(jù)庫安全性控制中，授權(quán)數(shù)據(jù)對(duì)象，授權(quán)子系統(tǒng)就越靈活?A.粒度越小&B．約束越細(xì)致C．范疇越大D．約束范疇大37．下列哪某些對(duì)信息安全漏洞描述是錯(cuò)誤?A．漏洞是存在于信息系統(tǒng)某種缺陷。B．漏洞存在于一定環(huán)境中，寄生在一定客體上(如TOE中、過程中檔)。C．具備可運(yùn)用性和違規(guī)性，它自身存在雖不會(huì)導(dǎo)致破壞，但是可以被襲擊者運(yùn)用，從而給信息系統(tǒng)安全帶來威脅和損失。D．漏洞都是人為故意引入一種信息系統(tǒng)弱點(diǎn)&38．賬號(hào)鎖定方略中對(duì)超過一定次數(shù)錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗如下哪種襲擊?A．分布式回絕服務(wù)襲擊(DDoS)B．病毒傳染C.口令暴力破解&D．緩沖區(qū)溢出襲擊39．?dāng)?shù)據(jù)在進(jìn)行傳播前，需要由合同棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP／IP合同中，數(shù)據(jù)封裝順序是：A．傳播層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B．傳播層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層&C．互聯(lián)網(wǎng)絡(luò)層、傳播層、網(wǎng)絡(luò)接口層D．互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳播層40．如下哪個(gè)不是導(dǎo)致地址解析合同(ARP)欺騙根源之一?A．ARP合同是一種無狀態(tài)合同B．為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C．ARP緩存是動(dòng)態(tài)，可被改寫D.ARP合同是用于尋址一種重要合同41．張三將微信個(gè)人頭像換成微信群中某朋友頭像，并將昵稱改為該朋友昵稱，然后向該朋友其她朋友發(fā)送某些欺騙消息。該襲擊行為屬于如下哪類襲擊?A．口令襲擊B．暴力破解C．回絕服務(wù)襲擊D.社會(huì)工程學(xué)襲擊&42．關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯(cuò)誤是：A．在軟件開發(fā)各個(gè)周期都要考慮安全因素B．軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C．測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞最佳環(huán)節(jié)，過早或過晚檢測(cè)修改漏洞都將增大軟件開發(fā)成本&D．在設(shè)計(jì)階段就盡量發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本43．在軟件保障成熟度模型(SoftwareAssuranceMaturityldode，SAMM)中，規(guī)定了軟件開發(fā)過程中核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：A．治理，重要是管理軟件開發(fā)過程和活動(dòng)B.構(gòu)造，重要是在開發(fā)項(xiàng)目中擬定目的并開發(fā)軟件過程與活動(dòng)C．驗(yàn)證，重要是測(cè)試和驗(yàn)證軟件過程與活動(dòng)D.購買，重要是購買第三方商業(yè)軟件或者采用開源組件有關(guān)管理過程與活動(dòng)&布置44．從系統(tǒng)工程角度來解決信息安全問題，如下說法錯(cuò)誤是：A．系統(tǒng)安全工程旨在理解公司存在安全風(fēng)險(xiǎn)，建立一組平衡安全需求，融合各種工程學(xué)科努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期工程實(shí)行指南。B．系統(tǒng)安全工程需對(duì)安全機(jī)制對(duì)的性和有效性做出詮釋，證明安全系統(tǒng)信任度可以達(dá)到公司規(guī)定，或系統(tǒng)遺留安全薄弱性在可容許范疇之內(nèi)。C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力辦法，是一種使用面向開發(fā)辦法。&D．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)基本上，通過對(duì)安全工作過程進(jìn)行管理途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐环N完好定義、成熟、可測(cè)量先進(jìn)學(xué)科。45．小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)畢業(yè)生，大四上學(xué)期開始找工作，盼望謀求一份技術(shù)管理職位，一次面試中，某公司技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中“背景建立”基本概念與結(jié)識(shí)，小王重要觀點(diǎn)涉及：(1)背景建立目是為了明確信息安全風(fēng)險(xiǎn)管理范疇和對(duì)象，以及對(duì)象特性和安全規(guī)定，完畢信息安全風(fēng)驗(yàn)管理項(xiàng)目規(guī)劃和準(zhǔn)備；(2)背景建立依照組織機(jī)構(gòu)有關(guān)行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚經(jīng)驗(yàn)有助于達(dá)到事半功倍效果；(3)背景建立涉及：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；(4)背景建立階段性成果涉及：風(fēng)險(xiǎn)管理籌劃書、信息系統(tǒng)描述報(bào)告、信息系統(tǒng)分析報(bào)告、信息系統(tǒng)安全規(guī)定報(bào)告。請(qǐng)問小王所述論點(diǎn)中錯(cuò)誤是哪項(xiàng)：A．第一種觀點(diǎn)，背景建立目只是為了明確信息安全風(fēng)險(xiǎn)管理范疇和對(duì)象B．第二個(gè)觀點(diǎn)，背景建立根據(jù)是國(guó)家、地區(qū)域行業(yè)有關(guān)政策、法律、法規(guī)和原則C.第三個(gè)觀點(diǎn)，背景建立中信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事兩個(gè)不同名字&D．第四個(gè)觀點(diǎn)，背景建立階段性成果中不涉及有風(fēng)險(xiǎn)管理籌劃書46．關(guān)于系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實(shí)行(BasePractices，BP)，對(duì)的理解是：A．BP是基于最新技術(shù)而制定安全參數(shù)基本配備B．大某些BP是沒有通過測(cè)試C.一項(xiàng)BP合用于組織生存周期而非僅合用于工程某一特定階段&D．一項(xiàng)BP可以和其她BP有重疊47．如下哪一種判斷信息系統(tǒng)與否安全方式是最合理?A．與否己經(jīng)通過布置安全控制辦法消滅了風(fēng)險(xiǎn)B．與否可以抵抗大某些風(fēng)險(xiǎn)C．與否建立了具備自適應(yīng)能力信息安全模型D.與否已經(jīng)將風(fēng)險(xiǎn)控制在可接受范疇內(nèi)&48．如下關(guān)于信息安全法治建設(shè)意義，說法錯(cuò)誤是：A．信息安全法律環(huán)境是信息安全保障體系中必要環(huán)節(jié)B．明確違背信息安全行為，并對(duì)該行為進(jìn)行相應(yīng)懲罰，以打擊信息安全犯罪活動(dòng)C．信息安全重要是技術(shù)問題，技術(shù)漏洞是信息犯罪根源&D．信息安全產(chǎn)業(yè)逐漸形成，需要成熟技術(shù)原則和完善技術(shù)體系49．小張是信息安全風(fēng)險(xiǎn)管理方面專家，被某單位邀請(qǐng)過去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房總價(jià)價(jià)值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%)，歷史數(shù)據(jù)記錄告知該災(zāi)害發(fā)生也許性為八年發(fā)生三次，請(qǐng)問小張最后得到年度預(yù)期損失為多少：A．24萬B．0．09萬C．37．5萬D.9萬&50．年4月1日正式施行《電子簽名法》，被稱為“中華人民共和國(guó)首部真正意義上信息化法律”，自此電子簽名與老式手寫簽名和蓋章具備同等法律效力。如下關(guān)于電子簽名說法錯(cuò)誤是：A.電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于辨認(rèn)簽名人身份并表白簽名人承認(rèn)其中內(nèi)容數(shù)據(jù)B．電子簽名合用于民事活動(dòng)中合同或者其她文獻(xiàn)、單證等文書C．電子簽名需要第三方認(rèn)證，由依法設(shè)立電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)51．風(fēng)險(xiǎn)管理監(jiān)控與審查不包括：A．過程質(zhì)量管理B．成本效益管理&C．跟蹤系統(tǒng)自身或所處環(huán)境變化D．協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)52．信息安全級(jí)別保護(hù)分級(jí)規(guī)定，第三級(jí)合用對(duì)的是：A．合用于普通信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其她組織權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B．合用于一定限度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益普通信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益導(dǎo)致一定損害&C．合用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益導(dǎo)致較大損害D．合用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益重要信息和信息系統(tǒng)核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益導(dǎo)致特別嚴(yán)重?fù)p害53．下面哪一項(xiàng)安全控制辦法不是用來檢測(cè)未經(jīng)授權(quán)信息解決活動(dòng)：A．設(shè)立網(wǎng)絡(luò)連接時(shí)限&B．記錄并分析系統(tǒng)錯(cuò)誤日記C．記錄并分析顧客和管理員操作日記D．啟用時(shí)鐘同步54．關(guān)于危害國(guó)家秘密安全行為法律責(zé)任，對(duì)的是：A．嚴(yán)重違背保密規(guī)定行為只要發(fā)生，無論與否產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任&B．非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C．過錯(cuò)泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D．承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和／或其她處分55．如下對(duì)于信息安全事件理解錯(cuò)誤是：A．信息安全事件，是指由于自然或者人為以及軟硬件自身缺陷或故障因素，對(duì)信息系統(tǒng)導(dǎo)致危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)導(dǎo)致負(fù)面影響事件B．對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所導(dǎo)致?lián)p失和負(fù)面影響，是組織信息安全戰(zhàn)略一某些C．應(yīng)急響應(yīng)是信息安全事件管理重要內(nèi)容D.通過布置信息安全方略并配合布置防護(hù)辦法，可以對(duì)信息及信息系統(tǒng)提供保護(hù)，杜絕信息安全事件發(fā)生&56．假設(shè)一種系統(tǒng)已經(jīng)包括了充分防止控制辦法，那么安裝監(jiān)測(cè)控制設(shè)備：A．是多余，由于它們完畢了同樣功能，但規(guī)定更多開銷B．是必要，可覺得防止控制功能提供檢測(cè)&C．是可選，可以實(shí)現(xiàn)深度防御D．在一種人工系統(tǒng)中是需要，但在一種計(jì)算機(jī)系統(tǒng)中則是不需要，由于防止控制功能已經(jīng)足夠57．關(guān)于國(guó)內(nèi)加強(qiáng)信息安全保障工作重要原則，如下說法錯(cuò)誤是：A．立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重B．對(duì)的解決安全和發(fā)展關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C．統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基本工作D．全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國(guó)家安全&58．如下哪一項(xiàng)不是信息安全管理工作必要遵循原則?A．風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)當(dāng)予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B．風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)營(yíng)、維護(hù)、直至廢棄整個(gè)生命周期內(nèi)持續(xù)性工作C．由于在系統(tǒng)投入使用后布置和應(yīng)用風(fēng)險(xiǎn)控制辦法針對(duì)性會(huì)更強(qiáng)，實(shí)行成本會(huì)相對(duì)較低&D．在系統(tǒng)正式運(yùn)營(yíng)后，應(yīng)注重殘存風(fēng)險(xiǎn)管理，以提高迅速反映能力59．《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-》中關(guān)于信息系統(tǒng)生命周期各階段風(fēng)險(xiǎn)評(píng)估描述不對(duì)的是：A.規(guī)劃階段風(fēng)險(xiǎn)評(píng)估目是辨認(rèn)系統(tǒng)業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B.設(shè)計(jì)階段風(fēng)險(xiǎn)評(píng)估需要依照規(guī)劃階段所明確系統(tǒng)運(yùn)營(yíng)環(huán)境、資產(chǎn)重要性，提出安全功能需求C.實(shí)行階段風(fēng)險(xiǎn)評(píng)估目是依照系統(tǒng)安全需求和運(yùn)營(yíng)環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)行過程進(jìn)行風(fēng)險(xiǎn)辨認(rèn)，并對(duì)系統(tǒng)建成后安全功能進(jìn)行驗(yàn)證D.運(yùn)營(yíng)維護(hù)階段風(fēng)險(xiǎn)評(píng)估目是理解和控制運(yùn)營(yíng)過程中安全風(fēng)險(xiǎn)，是一種全面風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容涉及對(duì)真實(shí)運(yùn)營(yíng)信息系統(tǒng)、資產(chǎn)、脆弱性等各方面60．對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解對(duì)的是：A.資產(chǎn)辨認(rèn)粒度隨著評(píng)估范疇、評(píng)估目不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)&B．應(yīng)針對(duì)構(gòu)成信息系統(tǒng)每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C．脆弱性辨認(rèn)是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)安全規(guī)定做符合性比對(duì)而找出差距項(xiàng)D．信息系統(tǒng)面臨安全威脅僅涉及人為故意威脅、人為非故意威脅61．如下哪些是需要在信息安全方略中進(jìn)行描述：A．組織信息系統(tǒng)安全架構(gòu)B.信息安全工作基本原則&C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)行手段62．依照《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作意見》規(guī)定，錯(cuò)誤是：A.信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估互相結(jié)合、互為補(bǔ)充B．信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”原則開展C．信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)營(yíng)全過程D．開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作組織領(lǐng)導(dǎo)&63．RPC系列原則是由()發(fā)布：A．國(guó)際原則化組織(ISO)B．國(guó)際電工委員會(huì)(IEC)C．國(guó)際貿(mào)易中心(ITC)D.互聯(lián)網(wǎng)工程任務(wù)組IETF&64．對(duì)于數(shù)字證書而言，普通采用是哪個(gè)原則?A．ISO／IEC15408B．802．11C．GB／T20984D．X.509&65．下面角色相應(yīng)信息安全職責(zé)不合理是：A．高檔管理層——最后責(zé)任B.信息安所有門主管——提供各種信息安全工作必要資源C．系統(tǒng)普通使用者——遵守尋常操作規(guī)范D．審計(jì)人員——檢查安全方略與否被遵從66．CC原則是當(dāng)前系統(tǒng)安全認(rèn)證方面最權(quán)威原則，如下哪一項(xiàng)沒有體現(xiàn)CC原則先進(jìn)性?A．構(gòu)造開放性，即功能和保證規(guī)定都可以在詳細(xì)“保護(hù)輪廓”和“安全目的”中進(jìn)一步細(xì)化和擴(kuò)展B.表達(dá)方式通用性，即給出通用表達(dá)方式C．獨(dú)立性，它強(qiáng)調(diào)將安全功能和保證分離D．實(shí)用性，將CC安全性規(guī)定詳細(xì)應(yīng)用到IT產(chǎn)品開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過程中&67．自年1月起，國(guó)內(nèi)各關(guān)于部門在申報(bào)信息安全國(guó)標(biāo)籌劃項(xiàng)目時(shí)，必要經(jīng)由如下哪個(gè)組織提出工作意見，協(xié)調(diào)一致后由該組織申報(bào)。A．全國(guó)通信原則化技術(shù)委員會(huì)(TC485)B.全國(guó)信息安全原則化技術(shù)委員會(huì)(TC260)&C．中華人民共和國(guó)通信原則化協(xié)會(huì)(CCSA)D．網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)68．風(fēng)險(xiǎn)計(jì)算原理可以用下面范式形式化地加以闡明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))如下關(guān)于上式各項(xiàng)闡明錯(cuò)誤是：A．R表達(dá)安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表達(dá)資產(chǎn)，T表達(dá)威脅，V表達(dá)脆弱性B．L表達(dá)威脅利資產(chǎn)脆弱性導(dǎo)致安全事件也許性C．F表達(dá)安全事件發(fā)生后導(dǎo)致?lián)p失D．Ia，Va分別表達(dá)安全事件作用所有資產(chǎn)價(jià)值與其相應(yīng)資產(chǎn)(應(yīng)為脆弱性)嚴(yán)重限度&69．為了不斷完善一種組織信息安全管理，應(yīng)對(duì)組織信息安全管理辦法及實(shí)行狀況進(jìn)行獨(dú)立評(píng)審，這種獨(dú)立評(píng)審。A．必要按固定期間間隔來進(jìn)行B．應(yīng)當(dāng)由信息系統(tǒng)運(yùn)營(yíng)維護(hù)人員發(fā)起C.可以由內(nèi)部審核部門或?qū)I(yè)第三方機(jī)構(gòu)來實(shí)行&D．結(jié)束后，評(píng)審者應(yīng)組織針對(duì)不符合安全方略問題設(shè)計(jì)和實(shí)行糾正辦法70．如下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被溢用時(shí)是不推薦用法：A．禁用主機(jī)CD驅(qū)動(dòng)、USB接口等I／O設(shè)備B．對(duì)不再使用硬盤進(jìn)行嚴(yán)格數(shù)據(jù)清除C．將不再使用紙質(zhì)文獻(xiàn)用碎紙機(jī)粉碎D.用迅速格式化刪除存儲(chǔ)介質(zhì)中保密文獻(xiàn)&71．在進(jìn)行應(yīng)用系統(tǒng)測(cè)試時(shí)，應(yīng)盡量避免使用包括個(gè)人穩(wěn)私和其他敏感信息實(shí)際生產(chǎn)系統(tǒng)中數(shù)據(jù)，如果需要使用時(shí)，如下哪一項(xiàng)不是必要做：A．測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)訪問控制辦法B．為測(cè)試系統(tǒng)中數(shù)據(jù)布置完善備份與恢復(fù)辦法C．在測(cè)試完畢后及時(shí)清除測(cè)試系統(tǒng)中所有敏感數(shù)據(jù)D．布置審計(jì)辦法，記錄生產(chǎn)數(shù)據(jù)拷貝和使用72．為了保證系統(tǒng)日記可靠有效，如下哪一項(xiàng)不是日記必須具備特性。A．統(tǒng)一而精準(zhǔn)地時(shí)間B．全面覆蓋系統(tǒng)資產(chǎn)C．涉及訪問源、訪問目的和訪問活動(dòng)等重要信息D.可以讓系統(tǒng)所有顧客以便讀取&73．關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，如下說法錯(cuò)誤是：A．應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)／重大信息安全事件發(fā)生所做準(zhǔn)備，以及在事件發(fā)生后所采用辦法B.應(yīng)急響應(yīng)辦法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段&C．對(duì)信息安全事件分級(jí)重要參照信息系統(tǒng)重要限度、系統(tǒng)損失和社會(huì)影響三方面因素D．依照信息安全事件分級(jí)參照要素，可將信息安全事件劃分為4個(gè)級(jí)別：特別重大事件(Ⅰ級(jí))、重大事件(Ⅱ級(jí))、較大事件(Ⅲ級(jí))和普通事件(Ⅳ級(jí))74．如下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型構(gòu)成某些：A．監(jiān)理征詢支撐要素B.控制和管理手段C．監(jiān)理征詢階段過程D.監(jiān)理組織安全實(shí)行&75．如下關(guān)于劫難恢復(fù)和數(shù)據(jù)備份理解，說法對(duì)的是：A．增量備份是備份從上次完全備份后更新所有數(shù)據(jù)文獻(xiàn)&B．根據(jù)具備劫難恢復(fù)資源限度不同，劫難恢復(fù)能力分為7個(gè)級(jí)別C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和顧客數(shù)據(jù)備份D．如果系統(tǒng)在一段時(shí)間內(nèi)沒有浮現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演習(xí)了76．某公司擬建設(shè)面向內(nèi)部員工辦公自動(dòng)化系統(tǒng)和面向外部客戶營(yíng)銷系統(tǒng)，通過公開招標(biāo)選取M公司為承建單位，并選取了H監(jiān)理公司承擔(dān)該項(xiàng)目全程監(jiān)理工作，當(dāng)前，各個(gè)應(yīng)用系統(tǒng)均已完畢開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)，監(jiān)理公司需要對(duì)A公司提交軟件配置文獻(xiàn)進(jìn)行審查，在如下所提交文檔中，哪一項(xiàng)屬于開發(fā)類文檔：A．項(xiàng)目籌劃書B．質(zhì)量控制籌劃C．評(píng)審報(bào)告D.需求闡明書&77．在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，如下哪一項(xiàng)不屬于監(jiān)理需要審核內(nèi)容：A．審核算施投資籌劃&B．審核算施進(jìn)度籌劃C．審核工程實(shí)行人員D.公司資質(zhì)78．如下關(guān)于直接附加存儲(chǔ)(DirectAttachedStorage，DAS)說法錯(cuò)誤是：A．DAS可以在服務(wù)器物理位置比較分散狀況下實(shí)現(xiàn)大容量存儲(chǔ)．是一種慣用數(shù)據(jù)存儲(chǔ)辦法&B．DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)分離，存取性能較高并且實(shí)行簡(jiǎn)樸C．DAS缺陷在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上存儲(chǔ)設(shè)備中數(shù)據(jù)不能被存取D．較網(wǎng)絡(luò)附加存儲(chǔ)(NetworkAttachedStorage，NAS)，DAS節(jié)約硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份79．某公司在執(zhí)行劫難恢復(fù)測(cè)試時(shí)．信息安全專業(yè)人員注意到劫難恢復(fù)站點(diǎn)服務(wù)器運(yùn)營(yíng)速度緩慢，為了找到主線愿因，她應(yīng)當(dāng)一方面檢查：A．劫難恢復(fù)站點(diǎn)錯(cuò)誤事件報(bào)告B．劫難恢復(fù)測(cè)試籌劃C．劫難恢復(fù)籌劃(DRP)D．主站點(diǎn)和劫難恢復(fù)站點(diǎn)配備文獻(xiàn)80．如下對(duì)異地備份中心理解最精確是：A．與生產(chǎn)中心不在同一都市B．與生產(chǎn)中心距離100公里以上C．與生產(chǎn)中心距離200公里以上D．與生產(chǎn)中心面臨相似區(qū)域性風(fēng)險(xiǎn)機(jī)率很小&81．作為業(yè)務(wù)持續(xù)性籌劃一某些，在進(jìn)行業(yè)務(wù)影響分析(BIa)時(shí)環(huán)節(jié)是：1．標(biāo)記核心業(yè)務(wù)過程2．開發(fā)恢復(fù)優(yōu)先級(jí)3．標(biāo)記核心IT資源4．表達(dá)中斷影響和容許中斷時(shí)間A．１-3-4-2B．１-3-2-4C．1－2－3－4D．１－4－3－2&82．關(guān)于系統(tǒng)安全工程-能力成熟度模型(SSZ-CMM)，錯(cuò)誤理解是：A．SSE-CMM規(guī)定實(shí)行組織與其她組織互相作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和征詢服務(wù)商等B．SSE-CMM可以使安全工程成為一種擬定、成熟和可度量科目C．基手SSE-CMM工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)行&D.SSE-CMM覆蓋整個(gè)組織活動(dòng)，涉及管理、組織和工程活動(dòng)等，而不但僅是系統(tǒng)安全工程活動(dòng)83．下面關(guān)于信息系統(tǒng)安全保障說法不對(duì)的是：A．信息系統(tǒng)安全保障與信息系統(tǒng)規(guī)劃組織、開發(fā)采購、實(shí)行交付、運(yùn)營(yíng)維護(hù)和廢棄等生命周期密切有關(guān)B.信息系統(tǒng)安全保障要素涉及信息完整性、可用性和保密性C．信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D．信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨風(fēng)險(xiǎn)減少到可接受限度，從而實(shí)現(xiàn)其業(yè)務(wù)使命84．在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對(duì)一種組織安全工程能力成熟度進(jìn)行測(cè)量時(shí)，對(duì)的理解是：A．測(cè)量單位是基本實(shí)行(BasePractices，BP)B．測(cè)量單位是通用實(shí)行(GenericPractices，GP)&C．測(cè)量單位是過程區(qū)域(ProcessAreas，PA)D．測(cè)量單位是公共特性(CommonFeatures，CF)85．下面關(guān)于信息系統(tǒng)安全保障模型說法不對(duì)的是：A．國(guó)標(biāo)《信息系統(tǒng)安全保障評(píng)估框架第一某些：簡(jiǎn)介和普通模型》(GB／T20274．1-)中信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和方略作為基本和核心B．模型中信息系統(tǒng)生命周期模型是抽象概念性闡明模型，在信息系統(tǒng)安全保障詳細(xì)操作時(shí)，可依照詳細(xì)環(huán)境和規(guī)定進(jìn)行改動(dòng)和細(xì)化C．信息系統(tǒng)安全保障強(qiáng)調(diào)是動(dòng)態(tài)持續(xù)性長(zhǎng)效安全，而不但是某時(shí)間點(diǎn)下安全D．信息系統(tǒng)安全保障重要是保證信息系統(tǒng)保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)營(yíng)維護(hù)和使用人員在能力和培訓(xùn)方面不需要投入&86．信息系統(tǒng)安全工程(ISSE)一種重要目的就是在IT項(xiàng)目各個(gè)階段充分考慮安全因素，在IT項(xiàng)目立項(xiàng)階段，如下哪一項(xiàng)不是必要進(jìn)行工作：A．明確業(yè)務(wù)對(duì)信息安全規(guī)定B．辨認(rèn)來自法律法規(guī)安全規(guī)定C．論證安全規(guī)定與否對(duì)的完整D.通過測(cè)試證明系統(tǒng)功能和性能可以滿足安全規(guī)定&87．關(guān)于信息安全保障技術(shù)框架(IATF)，如下說法不對(duì)的是：A.分層方略容許在恰當(dāng)時(shí)候采用低安全級(jí)保障解決方案以便減少信息安全保障成本B．IATF從人、技術(shù)和操作三個(gè)層面提供一種框架實(shí)行多層保護(hù)，使襲擊者雖然攻破一層也無法破壞整個(gè)信息基本設(shè)施C．容許在核心區(qū)域(例如區(qū)域邊界)使用高安全級(jí)保障解決方案，保證系統(tǒng)安全性D．IATF深度防御戰(zhàn)略規(guī)定在網(wǎng)絡(luò)體系構(gòu)造各個(gè)也許位置實(shí)現(xiàn)所有信息安全保障機(jī)制&88．如下哪項(xiàng)是對(duì)系統(tǒng)工程過程中“概念與需求定義”階段信息安全工作對(duì)的描述?A.應(yīng)基于法律法規(guī)和顧客需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)開始就綜合信息系統(tǒng)安全保障考慮&B．應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展?fàn)顩r和信息安全產(chǎn)品市場(chǎng)，選取最先進(jìn)安全解決方案和技術(shù)產(chǎn)品C.應(yīng)在將信息安全作為實(shí)行和開發(fā)人員一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)規(guī)范并切實(shí)貫徹D．應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中關(guān)于系統(tǒng)安全性測(cè)試內(nèi)容89．信息安全工程監(jiān)理職責(zé)涉及：A．質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)&B．質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C．?dāng)M定安全規(guī)定、承認(rèn)設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào)D．?dāng)M定安全規(guī)定、承認(rèn)設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào)90．關(guān)于信息安全保障概念，下面說法錯(cuò)誤是：A．信息系統(tǒng)面臨風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化，信息安全保障強(qiáng)調(diào)動(dòng)態(tài)安全理念B．信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測(cè)和響應(yīng)為一體綜合階段C.在全球互聯(lián)互通網(wǎng)絡(luò)空間環(huán)境下，可單純依托技術(shù)辦法來保障信息安全&D．信息安全保障把信息安全從技術(shù)擴(kuò)展到管理，通過技術(shù)、管理和工程等辦法綜合融合，形成對(duì)信息、信息系統(tǒng)及業(yè)務(wù)使命保障91．關(guān)于監(jiān)理過程中成本控制，下列說法中對(duì)的是?A．成本只要不超過預(yù)測(cè)收益即可B．成本應(yīng)控制得越低越好C．成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開銷D．成本控制重要目是在批準(zhǔn)預(yù)算條件下保證項(xiàng)目保質(zhì)按期完畢&92．關(guān)于危害國(guó)家秘密安全行為，涉及：A.嚴(yán)重違背保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)行為、保密行政管理部門工作人員違法行為B．嚴(yán)重違背保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)行為、保密行政管理部門工作人員違法行為，但不涉及定密不當(dāng)行為C．嚴(yán)重違背保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門工作人員違法行為，但不涉及公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)行為D．嚴(yán)重違背保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)行為，但不涉及保密行政管理部門工作人員違法行為93．下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性特點(diǎn)，即給出通用表達(dá)方式，描述不對(duì)的是______。A．如果顧客、開發(fā)者、評(píng)估者和承認(rèn)者都使用CC語言，互相就容易理解溝通B．通用性特點(diǎn)對(duì)規(guī)范實(shí)用方案編寫和安全測(cè)試評(píng)估都具備重要意義C．通用性特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展趨勢(shì)下，進(jìn)行合格評(píng)估和評(píng)估成果國(guó)際互認(rèn)需要D.通用性特點(diǎn)使得CC也合用于對(duì)信息安全建設(shè)工程實(shí)行成熟度進(jìn)行評(píng)估94．信息系統(tǒng)建設(shè)完畢后，()信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)選取符合國(guó)家規(guī)定測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用。A．二級(jí)以上B．三級(jí)以上&C．四級(jí)以上D．五級(jí)以上95．關(guān)于國(guó)家秘密，錯(cuò)誤是：A．國(guó)家秘密是關(guān)系國(guó)家安全和利益事項(xiàng)B．國(guó)家秘密擬定沒有正式法定程序&C.除了明確規(guī)定需要長(zhǎng)期保密，其她園家秘密都是有保密期限D(zhuǎn)．國(guó)家秘密只限一定范疇人知悉96．在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)規(guī)定最低檔別?A．C2B．C1C．B2D．B1&97．對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)根據(jù)如下哪個(gè)原則?A．BMB20-《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》B．BMB22-《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》&C．GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)級(jí)別劃分準(zhǔn)則》D．GB／T20271-《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)規(guī)定》98．ISO／IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系規(guī)定》內(nèi)容是基于。A．BS7799-1《信息安全實(shí)行細(xì)則》B.BS7799-2《信息安全管理體系規(guī)范》C．信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱ITSEC)D．信息技術(shù)安全評(píng)估通用原則(簡(jiǎn)稱CC)99．在GB／T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》中，關(guān)于保護(hù)輪廓(ProtectionProfile，PP)和安全目的(SecurityTarget，ST)，錯(cuò)誤是：A．PP是描述一類產(chǎn)品或系統(tǒng)安全規(guī)定B．PP描述安全規(guī)定與詳細(xì)實(shí)現(xiàn)無關(guān)C．兩份不同ST不也許滿足同一份PP規(guī)定D．ST與詳細(xì)實(shí)既關(guān)于100．如下哪一項(xiàng)不是國(guó)內(nèi)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出九項(xiàng)重點(diǎn)工作內(nèi)容之一?A.提高信息技術(shù)產(chǎn)品國(guó)產(chǎn)化率&B．保證信息安全資金投入C．加快信息安全人才培養(yǎng)D．注重信息安全應(yīng)急解決工作101．最小特權(quán)是軟件安全設(shè)計(jì)基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了如下四種方略，其中有一種違背了最小特權(quán)原則，作為評(píng)審專家，請(qǐng)指出是哪一種?A．軟件在Linux下按照時(shí)，設(shè)定運(yùn)營(yíng)時(shí)使用nobody顧客運(yùn)營(yíng)實(shí)例B．軟件日記備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運(yùn)營(yíng)時(shí)，以數(shù)據(jù)庫備份操作員賬號(hào)連接數(shù)據(jù)庫C．軟件日記模塊由于要向數(shù)據(jù)庫中日記表中寫入日記信息，使用了一種日記顧客賬號(hào)連接數(shù)據(jù)庫，該賬號(hào)僅對(duì)日記表擁有權(quán)限D(zhuǎn).為了保證軟件在Windows下能穩(wěn)定運(yùn)營(yíng)，設(shè)定運(yùn)營(yíng)權(quán)限為system，保證系統(tǒng)運(yùn)營(yíng)正常，不會(huì)由于權(quán)限局限性產(chǎn)生運(yùn)營(yíng)錯(cuò)誤&102．某單位籌劃在今年開發(fā)一套辦公自動(dòng)化(OA)系統(tǒng)，將集團(tuán)公司各地機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在OA系統(tǒng)設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開發(fā)建議，作為安全專家，請(qǐng)指出人們提建議中不太適當(dāng)一條?A．對(duì)軟件開發(fā)商提出安全有關(guān)規(guī)定，保證軟件開發(fā)商對(duì)安全足夠注重，投入資源解決軟件安全問題B．規(guī)定軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識(shí)C.規(guī)定軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞&D．規(guī)定軟件開發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)103．某單位依照業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一種業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門以為開發(fā)階段無需投入，軟件開發(fā)完畢后發(fā)現(xiàn)問題后再針對(duì)性解決，比前期安全投入要成本更低；信息中心則以為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選取對(duì)軟件開發(fā)安全投入精確說法?A．信息中心考慮是對(duì)的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)營(yíng)后費(fèi)用要低&B．軟件開發(fā)部門說法是對(duì)的，由于軟件發(fā)現(xiàn)問題后更清晰問題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)樸，因而費(fèi)用更低C．雙方說法都對(duì)的，需要依照詳細(xì)狀況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低D．雙方說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是同樣問題，解決代價(jià)相似104．某集團(tuán)公司依照業(yè)務(wù)需要，在各地分支機(jī)構(gòu)布置前置機(jī)，為了保證安全，集團(tuán)總部規(guī)定前置機(jī)開放日記共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)營(yíng)過程中發(fā)現(xiàn)襲擊者也可通過共享從前置機(jī)中提取日記，從而導(dǎo)致某些敏感信息泄露，依照減少襲擊面原則，應(yīng)采取如下哪項(xiàng)解決辦法?A．由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日記共享，禁止總部提取日記進(jìn)行分析B．為配合總部安全方略，會(huì)帶來一定安全問題，但不影響系統(tǒng)使用，因而接受此風(fēng)險(xiǎn)C．日記存在就是安全風(fēng)險(xiǎn)，最佳辦法就是取消日記，通過設(shè)立讓前置機(jī)不記錄日記D．只容許特定IP地址從前置機(jī)提取日記，對(duì)日記共享設(shè)立訪問密碼且限定訪問時(shí)間&105．如圖1所示，主機(jī)A向主機(jī)B發(fā)出數(shù)據(jù)采用AH或ESP傳播模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)BIP地址在應(yīng)當(dāng)在下列哪個(gè)范疇?A．10．0．0．0～10．255．255．255B．172．16．0．0～172．31．255．255C、192．168．0．0～192．168．255．255D.不在上述范疇內(nèi)106．某電子商務(wù)網(wǎng)站近來發(fā)生了一起安全事件，浮現(xiàn)了一種價(jià)值1000元商品用1元被買走狀況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http合同，襲擊者通過偽造數(shù)據(jù)包使得向購物車添加商品價(jià)格被修改．運(yùn)用此漏洞，襲擊者將價(jià)值1000元商品以1元添加到購物車中，而付款時(shí)又沒有驗(yàn)證環(huán)節(jié)，導(dǎo)致以上問題，對(duì)于網(wǎng)站這個(gè)問題因素分析及解決辦法。最對(duì)的說法應(yīng)當(dāng)是?A．該問題產(chǎn)生是由于使用了不安全合同導(dǎo)致，為了避免再發(fā)生類似闖題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有訪問都強(qiáng)制規(guī)定使用httpsB．該問題產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等有關(guān)工作或工作不到位，沒有找到該威脅并采用相應(yīng)消減辦法C．該問題產(chǎn)生是由于編碼缺陷，通過對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決D．該問題產(chǎn)生不是網(wǎng)站問題，應(yīng)報(bào)警規(guī)定謀求警察介入，嚴(yán)懲襲擊者即可107．針對(duì)軟件回絕服務(wù)襲擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常祈求一種襲擊方式，在軟件開發(fā)時(shí)分析回絕服務(wù)襲擊威脅，如下哪個(gè)不是需要考慮襲擊方式：A．襲擊者運(yùn)用軟件存在邏輯錯(cuò)誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100％B．襲擊者運(yùn)用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過發(fā)送大量查詢導(dǎo)致數(shù)據(jù)庫響應(yīng)緩慢C．襲擊者運(yùn)用軟件不自動(dòng)釋放連接問題，通過發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無法訪問D.襲擊者買通了IDC人員，將某軟件運(yùn)營(yíng)服務(wù)器網(wǎng)線拔掉導(dǎo)致無法訪問108．如下哪個(gè)選項(xiàng)不是防火墻提供安全功能?A．IP地址欺騙防護(hù)B．NATC．訪問控制D．SQL注入襲擊防護(hù)109．如下關(guān)于可信計(jì)算說法錯(cuò)誤是：A．可信重要目是要建立起積極防御信息安全保障體系B．可信計(jì)算機(jī)安全評(píng)價(jià)原則(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基概念C．可信整體框架包括終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D．可信計(jì)算平臺(tái)浮現(xiàn)后會(huì)取代老式安全防護(hù)體系和辦法110．Linux系統(tǒng)對(duì)文獻(xiàn)權(quán)限是以模式位形式來表達(dá)，對(duì)于文獻(xiàn)名為test一種文獻(xiàn)，屬于admin組中user顧客，如下哪個(gè)是該文獻(xiàn)對(duì)的模式表達(dá)?A.rwxr-xr-3useradmin1024Sep1311：58testB.drwxr-xr-x3useradmin1024Sep1311：58testC．rwxr-xr-x3adminuser1024Sep1311：58testD．drwxr-xr-x3adminuser1024Sep1311：58test111．ApacheWeb服務(wù)器配備文獻(xiàn)普通位于/usr／local／apache／conf目錄，其中用來控制顧客訪問Apache目錄配備文獻(xiàn)是：A.httpd．confB．srLconfC．a(chǎn)ccess．confD．inetd．conf112．應(yīng)用軟件數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)立良好數(shù)據(jù)庫防護(hù)方略，如下不屬于數(shù)據(jù)庫防護(hù)方略是?A．安裝最新數(shù)據(jù)庫軟件安全補(bǔ)丁B．對(duì)存儲(chǔ)敏感數(shù)據(jù)進(jìn)行安全加密C．不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D．定期對(duì)數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以保證數(shù)據(jù)庫運(yùn)營(yíng)良好113．下列哪項(xiàng)內(nèi)容描述是緩沖區(qū)溢出漏洞?A.通過把SQL命令插入到web表單遞交或輸入域名或頁面祈求查詢字符串，最后達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令B．襲擊者在遠(yuǎn)程WEB頁面HTML代碼中插入具備惡意目數(shù)據(jù)，顧客以為該頁面是可信賴，但是當(dāng)瀏覽器下載該頁面，嵌入其中腳本將被解釋執(zhí)行。C．當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)自身容量溢出數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D．信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配備、運(yùn)營(yíng)等過程中，故意或無意產(chǎn)生缺陷114．對(duì)惡意代碼防止，需要采用增強(qiáng)安全防范方略與意識(shí)等辦法，關(guān)于如下防止辦法或意識(shí)，說法錯(cuò)誤是：A．在使用來自外部移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描B．限制顧客對(duì)管理員權(quán)限使用C.開放所有端口和服務(wù)，充分使用系統(tǒng)資源D．不要從不可信來源下載或執(zhí)行應(yīng)用程序115．安全專家在對(duì)某網(wǎng)站進(jìn)行安所有署時(shí)，調(diào)節(jié)了Apache運(yùn)營(yíng)權(quán)限，從root權(quán)限減少為nobody顧客，如下操作重要目是：A．為了提高Apache軟件運(yùn)營(yíng)效率B．為了提高Apache軟件可靠性C.為了避免襲擊者通過Apache獲得root權(quán)限D(zhuǎn)．為了減少Apache上存在漏洞116．下列關(guān)于計(jì)算機(jī)病毒感染能力說法不對(duì)的是：A．能將自身代碼注入到引導(dǎo)區(qū)B．能將自身代碼注入到扇區(qū)中文獻(xiàn)鏡像C．能將自身代碼注入文本文獻(xiàn)中并執(zhí)行D．能將自身代碼注入到文檔或模板宏中代碼117．如下哪個(gè)是惡意代碼采用隱藏技術(shù)：A．文獻(xiàn)隱藏B．進(jìn)程隱藏C．網(wǎng)絡(luò)連接隱藏D．以上都是118．通過向被襲擊者發(fā)送大量ICMP回應(yīng)祈求，消耗被襲擊者資源來進(jìn)行響應(yīng)，直至被襲擊者再也無法解決有效網(wǎng)絡(luò)信息流時(shí)，這種襲擊稱之為：A．Land襲擊B．Smurf襲擊C．PingofDeath襲擊D.ICMPFlood119．如下哪個(gè)回絕服務(wù)襲擊方式不是流量型回絕服務(wù)襲擊A．LandB．UDPFloodC．SmurfD.teardrop120．傳播控制合同(TCP)是傳播層合同，如下關(guān)于TCP合同說法，哪個(gè)是對(duì)的?A．相比傳播層此外一種合同UDP，TCP既提供傳播可靠性，還同步具備更高效率，因而具備廣泛用途B．TCP合同包頭中包括了源IP地址和目IP地址，因而TCP合同負(fù)責(zé)將數(shù)據(jù)傳送到正確主機(jī)C．TCP合同具備流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接受確認(rèn)等機(jī)制，因而TCP合同能完全代替IP合同D.TCP合同雖然高可靠，但是相比UDP合同機(jī)制過于復(fù)雜，傳播效率要比UDP低121．如下關(guān)于UDP合同說法，哪個(gè)是錯(cuò)誤?A．UDP具備簡(jiǎn)樸高效特點(diǎn)，常被襲擊者用來實(shí)行流量型回絕服務(wù)襲擊B．UDP合同包頭中包括了源端標(biāo)語和目端標(biāo)語，因而UDP可通過端標(biāo)語將數(shù)據(jù)包送達(dá)對(duì)的程序C．相比TCP合同，UDP合同系統(tǒng)開銷更小，因而慣用來傳送如視頻這一類高流量需求應(yīng)用數(shù)據(jù)D．UDP合同不但具備流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因而慣用來傳播如視頻會(huì)話此類需要隱私保護(hù)數(shù)據(jù)123．近年來運(yùn)用DNS劫持襲擊大型網(wǎng)站惡性襲擊事件時(shí)有發(fā)生，防范這種襲擊比較有效辦法是?A．加強(qiáng)網(wǎng)站源代碼安全性B．對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估C.協(xié)調(diào)運(yùn)營(yíng)商對(duì)域名解析服務(wù)器進(jìn)行加固D．在網(wǎng)站網(wǎng)絡(luò)出口布置應(yīng)用級(jí)防火墻124．關(guān)于源代碼審核，下列說法對(duì)的是：A．人工審核源代碼審校效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺陷B．源代碼審核通過提供非預(yù)期輸入并監(jiān)視異常成果來發(fā)現(xiàn)軟件故障，從而定位也許導(dǎo)致安全弱點(diǎn)薄弱之處C．使用工具進(jìn)行源代碼審核，速度快，精確率高，已經(jīng)取代了老式人工審核D.源代碼審核是對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代碼中也許導(dǎo)致安全弱點(diǎn)薄弱之處125．在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)信息安全管理活動(dòng)是：A．建立環(huán)境B．實(shí)行風(fēng)險(xiǎn)解決籌劃C．持續(xù)監(jiān)視與評(píng)審風(fēng)險(xiǎn)D.持續(xù)改進(jìn)信息安全管理過程126．信息系統(tǒng)業(yè)務(wù)特性應(yīng)當(dāng)從哪里獲取?A．機(jī)構(gòu)使命B．機(jī)構(gòu)戰(zhàn)略背景和戰(zhàn)略目的C.機(jī)構(gòu)業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D．機(jī)構(gòu)組織構(gòu)造和管理制度34127．在信息系統(tǒng)設(shè)計(jì)階段，“安全產(chǎn)品選取”處在風(fēng)險(xiǎn)管理過程哪個(gè)階段?A．背景建立B．風(fēng)險(xiǎn)評(píng)估C．風(fēng)險(xiǎn)解決D．批準(zhǔn)監(jiān)督128．如下關(guān)于“最小特權(quán)”安全管理原則理解對(duì)的是：A．組織機(jī)構(gòu)內(nèi)敏感崗位不能由一種人長(zhǎng)期負(fù)責(zé)B．對(duì)重要工作進(jìn)行分解，分派給不同人員完畢C.一種人有且僅有其執(zhí)行崗位所足夠允許和權(quán)限D(zhuǎn)．防止員工由一種崗位變動(dòng)到另一種崗位，累積越來越多權(quán)限129．如下哪一項(xiàng)不屬于常用風(fēng)險(xiǎn)評(píng)估與管理工具：A．基于信息安全原則風(fēng)險(xiǎn)評(píng)估與管理工具B．基于知識(shí)風(fēng)險(xiǎn)評(píng)估與管理工具C.基于模型風(fēng)險(xiǎn)評(píng)估與管理工具D．基于經(jīng)驗(yàn)風(fēng)險(xiǎn)評(píng)估與管理工具130．如下說法對(duì)的是：A．驗(yàn)收測(cè)試是由承建方和顧客按照顧客使用手冊(cè)執(zhí)行軟件驗(yàn)收B．軟件測(cè)試目是為了驗(yàn)證軟件功能與否對(duì)的c．監(jiān)理工程師應(yīng)按照關(guān)于原則審查提交測(cè)試籌劃，并提出審查意見D．軟件測(cè)試籌劃開始于軟件設(shè)計(jì)階段，完畢于軟件開發(fā)階段131．信息系統(tǒng)安全保護(hù)級(jí)別為3級(jí)系統(tǒng)，應(yīng)當(dāng)()年進(jìn)行一次級(jí)別測(cè)評(píng)?A．0．5B.1C．2D．335132.國(guó)家科學(xué)技術(shù)秘密密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)，如下哪項(xiàng)屬于絕密級(jí)描述?A．處在國(guó)際先進(jìn)水平，并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具備重要影響B(tài)．可以局部反映國(guó)家防御和治安實(shí)力C．國(guó)內(nèi)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色精華，并且社會(huì)效益或者經(jīng)濟(jì)效益明顯老式工藝D．國(guó)際領(lǐng)先，并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具備特別重大影響133.關(guān)于國(guó)內(nèi)加強(qiáng)信息安全保障工作總體規(guī)定，如下說法錯(cuò)誤是：A．堅(jiān)持積極防御、綜合防范方針B．重點(diǎn)保障基本信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C．創(chuàng)立安全健康網(wǎng)絡(luò)環(huán)境D．提高個(gè)人隱私保護(hù)意識(shí)134.依照《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作告知》規(guī)定，如下對(duì)的是：A．涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全級(jí)別保護(hù)管理辦法》等國(guó)家關(guān)于保密規(guī)定和原則進(jìn)行B．非涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估應(yīng)按照《非涉及國(guó)家秘密信息系統(tǒng)分級(jí)保護(hù)管理辦法》等關(guān)于規(guī)定進(jìn)行C．可委托同一專業(yè)測(cè)評(píng)機(jī)構(gòu)完畢級(jí)別測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成級(jí)別測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告D．此告知不規(guī)定將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收重要內(nèi)容135.某單位信息安全崗位員工，運(yùn)用個(gè)人業(yè)余時(shí)閥，在社交網(wǎng)絡(luò)平臺(tái)上向業(yè)內(nèi)同不定期發(fā)布信息安全有關(guān)知識(shí)和前沿動(dòng)態(tài)資訊，這一行為重要符合如下哪一條注冊(cè)信息安全專業(yè)人員（CISP）職業(yè)道德準(zhǔn)則：A．避免任何損害CISP名譽(yù)形象行為B．自覺維護(hù)公眾信息安全，回絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私行為C．協(xié)助和指引信息安全同行提高信息安全保障知識(shí)和能力D．不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件136.信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework，IATF)由美國(guó)國(guó)家安全局(NSA)發(fā)布，最初目是為保障美國(guó)政府和工業(yè)信息基本設(shè)施安全提供技術(shù)指南，其中，提出需要防護(hù)三類“焦點(diǎn)區(qū)域”是：A．網(wǎng)絡(luò)和基本設(shè)施區(qū)域邊界重要服務(wù)器B．網(wǎng)絡(luò)和基本設(shè)施區(qū)域邊界計(jì)算環(huán)境C．網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口計(jì)算環(huán)境D．網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口重要服務(wù)器137.如下哪一項(xiàng)不是國(guó)內(nèi)信息安全保障原則：A．立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B．對(duì)的解決安全與發(fā)展關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C．統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基本性工作D．明確國(guó)家、公司、個(gè)人責(zé)任和義務(wù)，充分發(fā)揮各方面積極性，共同構(gòu)筑國(guó)家信息安全保障體系138.國(guó)內(nèi)信息安全保障建設(shè)涉及信息安全組織與管理體制、基本設(shè)施、技術(shù)體系等方面，如下關(guān)于信息安全保障建設(shè)重要工作內(nèi)容說法不對(duì)的是：A．健全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作組織保障B．建設(shè)信息安全基本設(shè)施，提供國(guó)家信息安全保障能力支撐C．建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展自主創(chuàng)新D．建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)139.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展需要準(zhǔn)備進(jìn)行升級(jí)改造，如下哪一項(xiàng)不是本次改造中信息系統(tǒng)安全需求分折過程需要考慮重要因素?A．信息系統(tǒng)安全必要遵循有關(guān)法律法規(guī)，國(guó)家以及金融行業(yè)安全原則B．信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)營(yíng)安全需求C．消除或減少該銀行信息系統(tǒng)面臨所有安全風(fēng)險(xiǎn)D．該銀行整體安全方略140.下列選項(xiàng)中，哪個(gè)不是國(guó)內(nèi)信息安全保障工作重要內(nèi)容：A．加強(qiáng)信息安全原則化工作，積極采用“等同采用、修改采用、制定”等各種方式，盡快建立和完善國(guó)內(nèi)信息安全原則體系B．建立國(guó)家信息安全研究中心，加快建立國(guó)家急需信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息安全自主可控目的C．建設(shè)和完善信息安全基本設(shè)施，提供國(guó)家信息安全保障能力支撐D．加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)141.關(guān)于信息安全管理，說法錯(cuò)誤是：A．信息安全管理是管理者為實(shí)現(xiàn)信息安全目的(信息資產(chǎn)CIA等特性，以及業(yè)務(wù)運(yùn)作持續(xù))而進(jìn)行籌劃、組織、指揮、協(xié)調(diào)和控制一系列活動(dòng)。B．信息安全管理是一種多層面、多因素過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針方略原則規(guī)范、建立有效監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性努力。C．實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基本，管理是核心。D．信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合系統(tǒng)工程，是一種靜態(tài)過程。142.如下哪個(gè)選項(xiàng)不是信息安全需求來源?A．法律法規(guī)與合同公約規(guī)定B．組織原則、目的和規(guī)定C．風(fēng)險(xiǎn)評(píng)估成果D．安全架構(gòu)和安全廠商發(fā)布病毒、漏洞預(yù)警143.下列關(guān)于信息系統(tǒng)生命周期中實(shí)行階段所涉及重要安全需求描述錯(cuò)誤是：A．保證采購定制設(shè)備、軟件和其她系統(tǒng)組件滿足已定義安全規(guī)定B．保證整個(gè)系統(tǒng)已按照領(lǐng)導(dǎo)規(guī)定進(jìn)行了布置和配備C．保證系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性能力D．保證信息系統(tǒng)使用已得到授權(quán)144.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不精確是：A．明確安全總體方針，保證安全總體方針源自業(yè)務(wù)盼望B．描述所涉及系統(tǒng)安全現(xiàn)狀，提交明確安全需求文檔C．向有關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評(píng)估準(zhǔn)則D．對(duì)系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)也許性進(jìn)行充分分析和論證145.小張?jiān)谀硢挝皇秦?fù)責(zé)事信息安全風(fēng)險(xiǎn)管理方面工作部門領(lǐng)導(dǎo)，重要負(fù)責(zé)對(duì)所在行業(yè)新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)時(shí)候，小張重要負(fù)責(zé)解說風(fēng)險(xiǎn)評(píng)估工作形式，小張以為：1．風(fēng)險(xiǎn)評(píng)估工作形式涉及：自評(píng)估和檢查評(píng)估；2．自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；3．檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織或者國(guó)家關(guān)于職能部門依法開展風(fēng)險(xiǎn)評(píng)估；4．對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中一種，非此即彼，請(qǐng)問小張所述論點(diǎn)中錯(cuò)誤是哪項(xiàng)：A．第一種觀點(diǎn)B．第二個(gè)觀點(diǎn)C．第三個(gè)觀點(diǎn)D．第四個(gè)觀點(diǎn)146.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作部門領(lǐng)導(dǎo)，重要負(fù)責(zé)對(duì)所在行業(yè)新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)時(shí)候，小李重要負(fù)責(zé)解說風(fēng)險(xiǎn)評(píng)估辦法。請(qǐng)問小李所述論點(diǎn)中錯(cuò)誤是哪項(xiàng)：A．風(fēng)險(xiǎn)評(píng)估辦法涉及：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B．定性風(fēng)險(xiǎn)分析需要憑借分析者經(jīng)驗(yàn)和直覺或者業(yè)界原則和慣例，因而具備隨意性C．定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集各個(gè)構(gòu)成某些詳細(xì)數(shù)字值，因而更具客觀性D．半定量風(fēng)險(xiǎn)分析技術(shù)重要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素度量數(shù)值化147.風(fēng)險(xiǎn)評(píng)估工具使用在一定限度上解決了手動(dòng)評(píng)佑局限性，最重要是它可以將專家知識(shí)進(jìn)行集中，使專家經(jīng)驗(yàn)知識(shí)被廣泛使用，依照在風(fēng)險(xiǎn)評(píng)估過程中重要任務(wù)和作用愿理，風(fēng)險(xiǎn)評(píng)估工具可覺得如下幾類，其中錯(cuò)誤是：A．風(fēng)險(xiǎn)評(píng)估與管理工具B．系統(tǒng)基本平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C．風(fēng)險(xiǎn)評(píng)估輔助工具D．環(huán)境風(fēng)險(xiǎn)評(píng)估工具148.為理解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，國(guó)內(nèi)關(guān)于文獻(xiàn)指出：風(fēng)險(xiǎn)評(píng)估工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤是()。A．自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估B．自評(píng)估應(yīng)參照相應(yīng)原則、根據(jù)制定評(píng)估方案和評(píng)估準(zhǔn)則，結(jié)合系統(tǒng)特定安全規(guī)定實(shí)行C．自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完畢，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來實(shí)行D．周期性自評(píng)估可以在評(píng)估流程上恰當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化某些進(jìn)行149.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中重要環(huán)節(jié)，在國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作意見》(國(guó)信辦()5號(hào))中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了關(guān)于工作原則和規(guī)定，下面選項(xiàng)中描述對(duì)的是()。A．信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估互相結(jié)合、互為補(bǔ)充B．信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估互相結(jié)合、互為補(bǔ)充C．自評(píng)估和檢查評(píng)估是互相排斥，單位應(yīng)慎重地從兩種工作形式選取一種，并長(zhǎng)期使用D．自評(píng)估和檢查評(píng)估是互相排斥，無特殊理由單位均應(yīng)選取檢查評(píng)估，以保證安全效果150.某單位信息安全主管部門在學(xué)習(xí)國(guó)內(nèi)關(guān)于信息安全政策和文獻(xiàn)后，結(jié)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門將關(guān)于檢查評(píng)估特點(diǎn)和規(guī)定整頓成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤是()。A．檢查評(píng)估可根據(jù)有關(guān)原則規(guī)定，實(shí)行完整風(fēng)險(xiǎn)評(píng)估過程；也可在自評(píng)估基本上，對(duì)核心環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)行抽樣評(píng)估B．檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在問題進(jìn)行檢查和評(píng)測(cè)C．檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)第三方技術(shù)機(jī)構(gòu)實(shí)行D．檢查評(píng)估是通過行政手段加強(qiáng)信息安全管理重要辦法，具備強(qiáng)制性特點(diǎn)151.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估辦法后，決定試著為單位機(jī)房計(jì)算火災(zāi)風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房總價(jià)值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計(jì)算年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)當(dāng)是()。A．5萬元人民幣B．50萬元人民幣C．2．5萬元人民幣D．25萬元人民幣152.規(guī)范實(shí)行流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否獲得成果重要基本，某單位在實(shí)行風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》并得到了管理決策層承認(rèn)，在風(fēng)險(xiǎn)評(píng)估實(shí)行各個(gè)階段中，該《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下()中輸出成果。A．風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段B．風(fēng)險(xiǎn)要素辨認(rèn)階段C．風(fēng)險(xiǎn)分析階段D．風(fēng)險(xiǎn)成果鑒定階段153.規(guī)范實(shí)行流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否獲得成功重要基本。某單位在實(shí)行風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)有關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)行各個(gè)階段中，該《待評(píng)估信息系統(tǒng)有關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下()中輸出成果。A．風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B．風(fēng)險(xiǎn)要素辨認(rèn)C．風(fēng)險(xiǎn)分析D．風(fēng)險(xiǎn)成果鑒定154.風(fēng)險(xiǎn)要素辨認(rèn)是風(fēng)險(xiǎn)評(píng)估實(shí)行過程中一種重要環(huán)節(jié)，小李將風(fēng)險(xiǎn)要素辨認(rèn)重要過程使用圖形來表達(dá)，如下圖所示，請(qǐng)為圖中空白框處選取一種最適當(dāng)選項(xiàng)()。A．辨認(rèn)面臨風(fēng)險(xiǎn)并賦值B．辨認(rèn)存在脆弱性并賦值C．制定安全辦法實(shí)行籌劃D．檢查安全辦法有效性155.某單位在實(shí)行信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文擋，下面()中文擋不應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出文檔。A．《風(fēng)險(xiǎn)評(píng)估工作籌劃》，重要涉及本次風(fēng)險(xiǎn)評(píng)估目、意義、范疇、目的、組織構(gòu)造、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B．《風(fēng)險(xiǎn)評(píng)估辦法和工具列表》。重要涉及擬用風(fēng)險(xiǎn)評(píng)估辦法和測(cè)試評(píng)估工具等內(nèi)容C．《已有安全辦法列表》，重要涉及經(jīng)檢查確認(rèn)后已有技術(shù)和管理各方面安全辦法等內(nèi)容D．《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則規(guī)定》，重要涉及風(fēng)險(xiǎn)評(píng)估參照原則、采用風(fēng)險(xiǎn)分析辦法、風(fēng)險(xiǎn)計(jì)算辦法、資產(chǎn)分類原則、資產(chǎn)分類準(zhǔn)則等內(nèi)容156.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)直接體現(xiàn)，下列說法不對(duì)的是：A．組織內(nèi)信息安全方針文獻(xiàn)、信息安全規(guī)章制度文獻(xiàn)、信息安全有關(guān)操作規(guī)范文獻(xiàn)等文檔是組織工作原則，也是ISMS審核根據(jù)B．組織內(nèi)業(yè)務(wù)系統(tǒng)日記文獻(xiàn)、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔是對(duì)上一級(jí)文獻(xiàn)執(zhí)行和記錄，對(duì)這些記錄不需要保護(hù)和控制C.組織在每份文獻(xiàn)首頁，加上文獻(xiàn)修訂跟蹤表，以顯示每一版本版本號(hào)、發(fā)布日期、編寫人、審批人、重要修訂等內(nèi)容D．層次化文檔是ISMS建設(shè)直接體現(xiàn)，文檔體系應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)評(píng)估成果建立157.北京某公司運(yùn)用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改進(jìn)，其理解對(duì)的是：A．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個(gè)能力級(jí)別。當(dāng)工程隊(duì)伍不能執(zhí)行一種過程域中基本實(shí)踐時(shí)，該過程域過程能力是0級(jí)。B．達(dá)到SSE-CMM最高檔后來，工程隊(duì)伍執(zhí)行同一種過程，每次執(zhí)行成果質(zhì)量必要相似。C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了3個(gè)風(fēng)險(xiǎn)過程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響。D．SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其她工程學(xué)科區(qū)別性和獨(dú)立性。158.某項(xiàng)目重要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要依照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-)有關(guān)規(guī)定，對(duì)承建單位施工設(shè)計(jì)方案進(jìn)行審核，如下關(guān)于監(jiān)理單位給出審核意見錯(cuò)誤是：A．在異地建立備份機(jī)房時(shí)，設(shè)計(jì)時(shí)應(yīng)與主用機(jī)房級(jí)別相似B．由于高品位小型機(jī)發(fā)熱量大，因而采用活動(dòng)地板上送風(fēng)，下回風(fēng)方式C．因機(jī)房屬于A級(jí)主機(jī)房，因而設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時(shí)，所配備柴油發(fā)電機(jī)應(yīng)能承擔(dān)所有負(fù)荷需要D．A級(jí)主機(jī)房應(yīng)設(shè)立干凈氣體滅火系統(tǒng)159.在工程實(shí)行階段，監(jiān)理機(jī)構(gòu)根據(jù)承建合同、安全設(shè)計(jì)方案、實(shí)行方案、實(shí)行記錄、國(guó)家或地方有關(guān)原則和技術(shù)指引文獻(xiàn)，對(duì)信息化工程進(jìn)行安全____檢查，以驗(yàn)證項(xiàng)目與否實(shí)現(xiàn)了項(xiàng)目設(shè)計(jì)目的和安全級(jí)別規(guī)定。A．功能性B．可用性C．保障性D．符合性160.如下系統(tǒng)工程說法錯(cuò)誤是：A．系統(tǒng)工程是基本理論技術(shù)實(shí)現(xiàn)B．系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具備普遍意義科學(xué)辦法C．系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實(shí)驗(yàn)、使用科學(xué)辦法D．系統(tǒng)工程是一種辦法論161.系統(tǒng)安全工程-能力成熟度模型(SystemsSecurityEngineoring-Capabilitymaturitymodel，SSE-CMM)定義包括評(píng)估威脅、評(píng)估脆弱牲、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)基本過程領(lǐng)域是：A．風(fēng)險(xiǎn)過程B．工程過程C．保證過程D．評(píng)估過程162.關(guān)于系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中通用實(shí)行(GenericPractices，GP)，錯(cuò)誤理解是：A．GP是涉及過程管理、測(cè)量和制度化方面活動(dòng)B．GP合用于域維中某些過程區(qū)域(ProcessAreas，PA)活動(dòng)而非所有PA活動(dòng)C．在工程實(shí)行時(shí)，GP應(yīng)當(dāng)作為基本實(shí)行(Base，Practices，BP)一某些加以執(zhí)行D．在評(píng)估時(shí)，GP用于鑒定工程組織執(zhí)行某個(gè)PA能力163.如下關(guān)于信息安全工程說法對(duì)的是：A.信息化建設(shè)中系統(tǒng)功能實(shí)現(xiàn)是最重要B．信息化建設(shè)可以先實(shí)行系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固C．信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)行信息安全建設(shè)D．信息化建設(shè)沒有必要涉及信息安全建設(shè)164.關(guān)于業(yè)務(wù)持續(xù)性籌劃（bcp）如下說法最恰當(dāng)是：A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立控制過程；B.組織為避免核心業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立一種控制過程；c.組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立一種控制過程；D.組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立一種控制過程。165.組織建立業(yè)務(wù)持續(xù)性籌劃（BCP)作用涉及：A.在遭遇劫難事件時(shí)，可以最大限度地保護(hù)組織數(shù)據(jù)實(shí)時(shí)性，完整性和一致性；，B.提供各種恢復(fù)方略選取，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，迅速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C.保證發(fā)生各種不可預(yù)料故障、破壞性事故或劫難狀況時(shí)，可以持續(xù)服務(wù)，保證業(yè)務(wù)系統(tǒng)不間斷運(yùn)營(yíng)，減少損失；D.以上都是。166.業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)中異常錯(cuò)誤解決合理辦法是：A.讓系統(tǒng)自己解決異常B.調(diào)試以便，應(yīng)當(dāng)讓更多錯(cuò)誤更詳細(xì)顯示出來c.捕獲錯(cuò)誤，并拋出前臺(tái)顯示D.捕獲錯(cuò)誤，只顯示簡(jiǎn)樸提示信息，或不顯示任何信息167.對(duì)信息安全事件分級(jí)參照下列三個(gè)要素：信息系統(tǒng)重要限度、系統(tǒng)損失和社會(huì)影響。根據(jù)信息