CISP參考題集(技術類)

1.中國信息安全測評中心對CISP注冊信息安全專業(yè)人員有保持認證要求，在證書有效期內，應完成至少6次完整的信息安全服務經歷，以下哪項不是信息安全服務：B,

A、為政府單位信息系統(tǒng)進行安全方案設計,

B、在信息安全公司從事保安工作,

C、在公開場合宣講安全知識,

D、在學校講解信息安全課程,

,,

2.確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程，不為其所用，是指（）：C,

A、完整性,

B、可用性,

C、保密性,

D、抗抵賴性,

,,

3.下列信息系統(tǒng)安全說法正確的是：D,

A、加固所有的服務器和網絡設備就可以保證網絡的安全,

B、只要資金允許就可以實現(xiàn)絕對的安全,

C、斷開所有的服務可以保證信息系統(tǒng)的安全,

D、信息系統(tǒng)安全狀態(tài)會隨著業(yè)務的變化而變化，因此網絡安全狀態(tài)需要根據(jù)不同的業(yè)務而調整相應的網絡安全策略,

,,

4.OSI開放系統(tǒng)互聯(lián)安全體系構架中的安全服務分為鑒別服務、訪問控制、機密性服務、完整服務、抗抵賴服務，其中機密性服務描述正確的是：B,

A、包括原發(fā)方抗抵賴和接受方抗抵賴,

B、包括連接機密性、無連接機密性、選擇字段機密性和業(yè)務流保密,

C、包括對等實體鑒別和數(shù)據(jù)源鑒別,

D、包括具有恢復功能的連接完整性、沒有恢復功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性,

,,

5.電子商務交易必須具備抗抵賴性，目的在于防止___。B,

A、一個實體假裝另一個實體,

B、參與此交易的一方否認曾經發(fā)生過此次交易,

C、他人對數(shù)據(jù)進行非授權的修改、破壞,

D、信息從被監(jiān)視的通信過程中泄露出去,

,,

6.下列哪一項準確地描述了可信計算基（TCB）?C,

A、TCB只作用于固件（Firmware）,

B、TCB描述了一個系統(tǒng)提供的安全級別,

C、TCB描述了一個系統(tǒng)內部的保護機制,

D、TCB通過安全標簽來表示數(shù)據(jù)的敏感性,

,,

7.下面關于訪問控制模型的說法不正確的是：C,

A、DAC模型中主體對它所屬的對象和運行的程序有全部的控制權,

B、DAC實現(xiàn)提供了一個基于“need-to-know”的訪問授權的方法，默認拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者,

C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個主體能訪問哪個對象。但用戶可以改變它。,

D、RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設置對象為某個類型，主體具有相應的角色就可以訪問它。,

,,

8.安全模型明確了安全策略所需的數(shù)據(jù)結構和技術，下列哪項最好描述了安全模型中的“簡單安全規(guī)則”？D,

A、Biba模型中的不允許向上寫,

B、Biba模型中的不允許向下讀,

C、Bell-Lapadula模型中的不允許向下寫,

D、Bell-Lapadula模型中的不允許向上讀,

,,

9.以下關于訪問控制模型錯誤的是？C,

A、訪問控制模型主要有3種：自主訪問控制、強制訪問控制和基于角色的訪問控制。,

B、自主訪問控制模型允許主體顯示地制定其他主體對該主體所擁有的信息資源是否可以訪問。,

C、基于角色的訪問控制RBAC中，“角色”通常是根據(jù)行政級別來定義的。,

D、強制訪問控制MAC是“強加”給訪問主體的，即系統(tǒng)強制主體服從訪問控制政策,

,,

10.下面對于CC的“評估保證級”（EAL）的說法最準確的是：D,

A、代表著不同的訪問控制強度,

B、描述了對抗安全威脅的能力級別,

C、是信息技術產品或信息技術系統(tǒng)對安全行為和安全功能的不同要求,

D、由一系列保證組件構成的包，可以代表預先定義的保證尺度,

,,

11.某公司的業(yè)務部門用戶需要訪問業(yè)務數(shù)據(jù)，這些用戶不能直接訪問業(yè)務數(shù)據(jù)，而只能通過外部程序來操作業(yè)務數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分？D,

A、Bell-Lapadula模型,

B、Biba模型,

C、信息流模型,

D、Clark-Wilson模型,

,,

12.以下哪一項關于Bell-Lapadula模型特點的描述是錯誤的？B,

A、強調對信息保密性的保護，受到對信息保密要求較高的軍政機關和企業(yè)的喜愛,

B、既定義了主體對客體的訪問，也說明了主體對主體的訪問。因此。它適用于網絡系統(tǒng),

C、它是一種強制訪問控制模型，與自主訪問控制模型相比具有強耦合，集中式授權的特點,

D、比起那些較新的模型而言，Bell-Lapadula定義的公理很簡單，更易于理解，與所使用的實際系統(tǒng)具有直觀的聯(lián)系,

,,

13.下面對于基于角色的訪問控制的說法錯誤的是？D,

A、它將若干特定的用戶集合與權限聯(lián)系在一起,

B、角色一般可以按照部門、崗位、工程等與實際業(yè)務緊密相關的類別來劃分,

C、因為角色的變動往往低于個體的變動，所以基于角色的訪問控制維護起來比較便利,

D、對于數(shù)據(jù)庫系統(tǒng)的適應性不強，是其在實際使用中的主要弱點,

,,

14.下面哪類訪問控制模型是基于安全標簽實現(xiàn)的？B,

A、自主訪問控制,

B、強制訪問控制,

C、基于規(guī)則的訪問控制,

D、基于身份的訪問控制,

,,

15.根據(jù)PPDR模型：D,

A、一個信息系統(tǒng)的安全保障體系應當以人為核心、防護、檢測和恢復組成一個完整的、動態(tài)的循環(huán),

B、判斷一個系統(tǒng)的安全保障能力，主要是安全策略的科學性與合理性，以及安全策略的落實情況,

C、如果安全防護時間小于檢測時間加響應時間，則該系統(tǒng)一定是不安全的,

D、如果一個系統(tǒng)的安全防護時間為0，則系統(tǒng)的安全性取決于暴露時間,

,,

16.有關密碼學分支的定義，下列說法中錯誤的是：B,

A、密碼學是研究信息系統(tǒng)安全保密的科學，由兩個相互對立、相互斗爭、而且又相輔相成、相互滲透的分支科學所組成的、分別稱為密碼編碼學和密碼分析學,

B、密碼編碼學是對密碼體制、密碼體制的輸入輸出關系進行分析、以便推出機密變量、包括明文在內的敏感數(shù)據(jù),

C、密碼分析學主要研究加密信息的破譯或信息的偽造,

D、密碼編碼學主要研究對信息進行編碼，實現(xiàn)信息的隱藏,

,,

17.非對稱密鑰的密碼技術具有很多優(yōu)點，其中不包括：B,

A、可提供數(shù)字簽名、零知識證明等額外服務,

B、加密/解密速度快，不需占用較多資源,

C、通信雙方事先不需要通過保密信道交換密鑰,

D、密鑰持有量大大減少,

,,

18.下列哪一項最好地描述了哈希算法、數(shù)字簽名和對稱密鑰算法分別提供的功能？C,

A、身份鑒別和完整性，完整性，機密性和完整性,

B、完整性，身份鑒別和完整性，機密性和可用性,

C、完整性，身份鑒別和完整性，機密性,

D、完整性和機密性，完整性，機密性,

,,

19.以下哪一項是基于一個大的整數(shù)很難分解成兩個素數(shù)因數(shù)？B,

A、ECC,

B、RSA,

C、DES,

D、D-H,

,,

20、電子郵件的機密性與真實性是通過下列哪一項實現(xiàn)的？A,

A、用發(fā)送者的私鑰對消息進行簽名，用接收者的公鑰對消息進行加密,

B、用發(fā)送者的公鑰對消息進行簽名，用接收者的私鑰對消息進行加密,

C、用接受者的私鑰對消息進行簽名，用發(fā)送者的公鑰對消息進行加密,

D、用接受者的公鑰對消息進行簽名，用發(fā)送者的私鑰對消息進行加密,

,,

21、一名攻擊者試圖通過暴力攻擊來獲取？A,

A、加密密鑰,

B、加密算法,

C、公鑰,

D、密文,

,,

22、在標準GBXXXX-XX中對機房安全等級劃分正確的是？B,

A、劃分為A、B兩級,

B、劃分為A、B、C三級,

C、劃分為A、B、C、D四級,

D、劃分為A、B、C、D、E五級,

,,

23、指紋、虹膜、語音識別技術是以下哪一種鑒別方式的實例：A,

A、你是什么,

B、你有什么,

C、你知道什么,

D、你做了什么,

,,

25、在OSI模型中，主要針對遠程終端訪問，任務包括會話管理、傳輸同步以及活動管理等以下是哪一層？C,

A、應用層,

B、物理層,

C、會話層,

D、網絡層,

,,

27、下列哪個協(xié)議可以防止局域網的數(shù)據(jù)鏈路層的橋接環(huán)路B,

A、HSRP,

B、STP,

C、VRRP,

D、OSPF,

,,

28、以下哪個不是應用層防火墻的特點C,

A、更有效地阻止應用層攻擊,

B、工作在OSI模型的第七層,

C、速度快且對用戶透明,

D、比較容易進行審計,

,,

30、以下哪項不是IDS可以解決的問題：A,

A、彌補網絡協(xié)議的弱點,

B、識別和報告對數(shù)據(jù)文件的改動,

C、統(tǒng)計分析系統(tǒng)中異常活動模式,

D、提升系統(tǒng)監(jiān)控能力,

,,

31、私網地址用于配置本地網絡、下列地址中屬私網地址的是？C,

A、,

B、,

C、,

D、,

,,

32、下面哪類設備常用于風險分析過程中，識別系統(tǒng)中存在的脆弱性？C,

A、防火墻,

B、IDS,

C、漏洞掃描器,

D、UTM,

,,

33、當一個應用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應用系統(tǒng)，在該系統(tǒng)重新上線前管理員不需查看：C,

A、訪問控制列表,

B、系統(tǒng)服務配置情況,

C、審計記錄,

D、用戶帳戶和權限的設置,

,,

34、網絡隔離技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，完成網絡間數(shù)據(jù)的安全交換，下列隔離技術中，安全性最好的是？A,

A、多重安全網關,

B、防火墻,

C、VLAN隔離,

D、物理隔離,

,,

35、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？B,

A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志,

B、應用程序日志、安全性日志、系統(tǒng)日志和IE日志,

C、網絡攻擊日志、安全性日志、記賬日志和IE日志,

D、網絡鏈接日志、安全性日志、服務日志和IE日志,

,,

36、windows操作系統(tǒng)的注冊表運行命令是B,

A、regswr32,

B、regedit,

C、regedit.msc,

D、regedit.mmc,

,,

37、以下windows服務的說法錯誤的是（C）,

A、為了提升系統(tǒng)的安全性管理員應盡量關閉不需要的服務,

B、可以作為獨立的進程運行或以DLL的形式依附在Svchost.exe,

C、windows服務只有在用戶成功登陸系統(tǒng)后才能運行,

D、windows服務通常是以管理員的身份運行的,

,,

38、Linux系統(tǒng)格式化分區(qū)用哪個命令：A,

A、fdisk,

B、mv,

C、mount,

D、df,

,,

39、下面一行是某個UNIX文件的詳情，關于該文件權限的描述不正確的是（B）,

A、這是一個目錄，名稱是“file”,

B、文件屬性是group,

C、“其他人”對該文件具有讀、寫、執(zhí)行權限,

D、user的成員對此文件沒有寫權限,

,,

40、LINUX系統(tǒng)的/etc目錄從功能上看相當于windows的哪個目錄B,

A、programfiles,

B、windows,

C、systemvolumeinformation,

D、TEMP,

,,

41、如果想用windows的網上鄰居方式和linux系統(tǒng)進行文件共享，那么在linux系統(tǒng)中要開啟哪個服務：C,

A、DHCP,

B、NFS,

C、SAMBA,

D、SSH,

,,

42、數(shù)據(jù)庫管理員在檢查數(shù)據(jù)庫時發(fā)現(xiàn)數(shù)據(jù)庫的性能不理想，他準備通過對部分數(shù)據(jù)表實施去除規(guī)范性（denormanization）操作來提高數(shù)據(jù)庫性能，這樣做將增加下列哪項風險？D,

A、訪問的不一致,

B、死鎖,

C、對數(shù)據(jù)的非授權訪問,

D、數(shù)據(jù)完整性的損害,

,,

43、下面關于IIS報錯信息含義的描述正確的是？B,

A、401-找不到文件,

B、403-禁止訪問,

C、404-權限問題,

D、500-系統(tǒng)錯誤,

44、宏病毒是一種專門感染微軟office格式文件的病毒，下列（A）文件不可能感染該病毒。,

A、*.exe,

B、*.doc,

C、*.xls,

D、*.ppt,

,,

45、以下對于蠕蟲病毒的描述錯誤的是：C,

A、蠕蟲的傳播無需用戶操作,

B、蠕蟲會消耗內存或網絡帶寬，導致DOS,

C、蠕蟲的傳播需要通過“宿主”程序或文件,

D、蠕蟲程序一般由“傳播模塊”、“隱藏模塊”、“目的功能模塊”構成,

,,

46、為了防止電子郵件中的惡意代碼，應該由____方式閱讀電子郵件A,

A、純文本,

B、網頁,

C、程序,

D、會話,

,,

47、以下哪一項不是流氓軟件的特征？D,

A、通常通過誘騙或和其他軟件捆綁在用戶不知情的情況下安裝,

B、通常添加驅動保護使用戶難以卸載,

C、通常會啟動無用的程序浪費計算機的資源,

D、通常會顯示下流的言論,

,,

48、在典型的web應用站點的層次結構中，“中間件”是在哪里運行的？C,

A、瀏覽器客戶端,

B、web服務器,

C、應用服務器,

D、數(shù)據(jù)庫服務器,

,,

49、為了應對日益嚴重的垃圾郵件問題，人們設計和應用了各種垃圾郵件過濾機制，以下哪一項是耗費計算資源最多的一種垃圾郵件過濾機制？D,

A、SMTP身份認證,

B、逆向名字解析,

C、黑名單過濾,

D、內容過濾,

,,

50、無論是哪一種web服務器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于：A,

A、設計型漏洞,

B、開發(fā)型漏洞,

C、運行型漏洞,

D、以上都不是,

,,

51、基于攻擊方式可以將黑客攻擊分為主動攻擊和被動攻擊，以下哪一項不屬于主動攻擊?C,

A、中斷,

B、篡改,

C、偵聽,

D、偽造,

,,

52、關于黑客注入攻擊說法錯誤的是：C,

A、它的主要原因是程序對用戶的輸入缺乏過濾,

B、一般情況下防火墻對它無法防范,

C、對它進行防范時要關注操作系統(tǒng)的版本和安全補丁,

D、注入成功后可以獲取部分權限,

,,

54、下面對于Rootkit技術的解釋不準確的是：B,

A、Rootkit是攻擊者用來隱藏自己和保留對系統(tǒng)的訪問權限的一組工具,

B、Rootkit是一種危害大、傳播范圍廣的蠕蟲,

C、Rootkit和系統(tǒng)底層技術結合十分緊密,

D、Rootkit的工作機制是定位和修改系統(tǒng)的特定數(shù)據(jù)改變系統(tǒng)的正常操作流程,

,,

55、以下對跨站腳本攻擊（XSS）的解釋最準確的一項是：D,

A、引誘用戶點擊虛假網絡鏈接的一種攻擊方法,

B、構造精妙的關系數(shù)據(jù)庫的結構化查詢語言對數(shù)據(jù)庫進行非法的訪問,

C、一種很強大的木馬攻擊手段,

D、將惡意代碼嵌入到用戶瀏覽的WEB網頁中，從而達到惡意的目的,

,,

56、以下哪一項是常見WEB站點脆弱性掃描工具：A,

A、AppScan,

B、Nmap,

C、Sniffer,

D、LC,

,,

57、下面哪一項是黑客用來實施DDOS攻擊的工具：D,

A、LC5,

B、Rootkit,

C、Icesword,

D、Trinoo,

,,

58、對于信息系統(tǒng)訪問控制說法錯誤的是？B,

A、應該根據(jù)業(yè)務需求和安全要求置頂清晰地訪問控制策略，并根據(jù)需要進行評審和改進,

B、網絡訪問控制是訪問控制的重中之重，網絡訪問控制做好了操作系統(tǒng)和應用層次的訪問控制問題就可以得到解決,

C、做好訪問控制工作不僅要對用戶的訪問活動進行嚴格管理，還要明確用戶在訪問控制中的有關責任,

D、移動計算和遠程工作技術在廣泛應用給訪問控制帶來了新的問題，因此在訪問控制工作中要重點考慮對移動計算設備和遠程工作用戶的控制措施,

,,

59、下面哪一項最好地描述了組織機構的安全策略？c,

A、定義了訪問控制需求的總體指導方針,

B、建議了如何符合標準,

C、表明管理者意圖的高層陳述,

D、表明所使用的技術控制措施的高層陳述,

,,

60、資產管理是信息安全管理的重要內容，而清楚的識別信息系統(tǒng)相關的財產，并編制資產清單是資產管理的重要步驟。下面關于資產清單的說法錯誤的是：B,

A、資產清單的編制是風險管理的一個重要的先決條件,

B、信息安全管理中所涉及的信息資產，即業(yè)務數(shù)據(jù)、合同協(xié)議、培訓材料等,

C、在制定資產清單的時候應根據(jù)資產的重要性、業(yè)務價值和安全分類，確定與資產重要性相對應的保護級別,

D、資產清單中應當包括將資產從災難中恢復而需要的信息，如資產類型、格式、位置、備份信息、許可信息等,

,,

61、為什么一個公司內部的風險評估團隊應該由來自不同部門的人員組成？C,

A、確保風險評估過程是公平的,

B、因為風險正是由于這些來自不同部門的人員所引起的，因此他們應該承擔風險評估的職責,

C、因為不同部門的人員對本部門所面臨的風險最清楚，由此進行的風險評估也最接近于實際情況,

D、風險評估團隊不應該由來自不同部門的人員組成，而應該由一個來自公司外部的小型團隊組成,

,,

62、信息分類是信息安全管理工作的重要環(huán)節(jié)，下面那一項不是對信息進行分類時需要重點考慮的？C,

A、信息的價值,

B、信息的時效性,

C、信息的存儲方式,

D、法律法規(guī)的規(guī)定,

,,

63、下面哪一項關于對違反安全規(guī)定的員工進行懲戒的說法是錯誤的？C,

A、對安全違規(guī)的發(fā)現(xiàn)和驗證是進行懲戒的重要前提,

B、懲戒措施的一個重要意義在于它的威懾性,

C、出于公平，進行懲戒時不應考慮員工是否是初犯，是否接受過培訓,

D、盡管法律訴訟是一種嚴厲有效的懲戒手段，但使用它時一定要十分慎重,

,,

64、風險分析的目標是達到：A,

A、風險影響和保護性措施之間的價值平衡,

B、風險影響和保護性措施之間的操作平衡,

C、風險影響和保護性措施之間的技術平衡,

D、風險影響和保護性措施之間的邏輯平衡,

,,

65、以下對“信息安全風險”的描述正確的是A,

A、是來自外部的威脅利用了系統(tǒng)自身存在脆弱性作用于資產形成風險,

B、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于資產形成風險,

C、是來自外部的威脅利用了系統(tǒng)自身存在的脆弱性作用于網絡形成風險,

D、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于網絡形成風險,

,,

66、在ISO27001-2005中，制定風險處置計劃應該在PDCA的哪個階段進行？A,

A、Plan,

B、Do,

C、Check,

D、Act,

,,

67、在冗余磁盤陳列中，以下不具有容錯技術的是——A,

A、RAID0,

B、RAID1,

C、RAID3,

D、RAID5,

,,

,,

68、為了達到組織災難恢復的要求，備份時間間隔不能超過；C,

A、服務水平目標（SLO）,

B、恢復時間目標(RTO),

C、恢復點目標(RPO),

D、停用的最大可接受程度(MAO),

,,

,,

69、以下對信息安全應急響應說法錯誤的是？D,

A、明確處理安全事件的工作職責和工作流程是應急響應工作中非常重要的--------,

B、僅僅處理好緊急事件不是應急工作的的全部，通過信息安全事件進行總結和學習是很重要--------,

C、對安全事件的報告和對安全弱點的報告都是信息安全事件管理的重要內容,

D、作為一個單位的信息安全主管，在安全事件中主要任務------------------完全是執(zhí)法機構的事,

,,

,,

71、目前數(shù)據(jù)大集中是我國重要的大型分布式信息系統(tǒng)建設和發(fā)展的趨勢，數(shù)據(jù)大集中就是將數(shù)據(jù)集中存儲和管理，為業(yè)務信息系統(tǒng)的運行搭建了統(tǒng)一的數(shù)據(jù)平臺，對這種做法的認識正確的是？D,

A．數(shù)據(jù)庫系統(tǒng)龐大會提高管理成本,

B．數(shù)據(jù)庫系統(tǒng)龐大會降低管理效率,

C．數(shù)據(jù)的集中會降低風險的可控性,

D.數(shù)據(jù)的集中會造成風險的集中,

,,

72、對程序源代碼進行訪問控制管理時，以下那種做法是錯誤的？C,

A．若有可能，在實際生產系統(tǒng)中不保留源程序庫。,

B．對源程序庫的訪問進行嚴格的審計,

C．技術支持人員應可以不受限制的訪問源程序,

D．對源程序庫的拷貝應受到嚴格的控制規(guī)程的制約,

,,

73、以下對系統(tǒng)日志信息的操作中哪項是最不應當發(fā)生的？A,

A、對日志內容進行編輯,

B、只抽取部分條目進行保存和查看,

C、用新的日志覆蓋舊的日志,

D、使用專用工具對日志進行分析,

,,

74、以下哪一項是對信息系統(tǒng)經常不能滿足用戶需求的最好解釋：C,

A、沒有適當?shù)馁|量管理工具,

B、經常變化的用戶需求,

C、用戶參與需求挖掘不夠,

D、項目管理能力不強,

,,

75、許多安全管理工作在信息系統(tǒng)生存周期中的運行維護階段發(fā)生。以下哪一種行為通常是不是在這一階段中發(fā)生的？C,

A、進行系統(tǒng)備份,

B、管理加密密鑰,

C、認可安全控制措施,

D、升級安全軟件,

,,

76、在信息安全管理工作中“符合性”的含義不包括哪一項？C,

A、對法律法規(guī)的符合,

B、對安全策略和標準的符合,

C、對用戶預期服務效果的符合,

D、通過審計措施來驗證符合情況,

,,

,,

77、下面哪一項最準確的闡述了安全監(jiān)測措施和安全審計措施之間的區(qū)別？C,

A、審計措施不能自動執(zhí)行，而檢測措施可以自動執(zhí)行,

B、監(jiān)視措施不能自動執(zhí)行，而審計措施可以自動執(zhí)行,

C、審計措施是一次性地或周期性地進行，而監(jiān)測措施是實時地進行,

D、監(jiān)測措施一次性地或周期性地進行，而審計措施是實時地進行,

,,

,,

78、口令是驗證用戶身份的最常用手段，以下哪一種口令的潛在風險影響范圍最大？D,

A、長期沒有修改的口令,

B、過短的口令,

C、兩個人公用的口令,

D、設備供應商提供的默認口令,

,,

79、系統(tǒng)工程是信息安全工程的基礎學科，錢學森說：“系統(tǒng)工程時組織管理系統(tǒng)規(guī)劃，研究、制造、實驗，科學的管理方法，使一種對所有系統(tǒng)都具有普遍意義的科學方法，以下哪項對系統(tǒng)工程的理解是正確的A,

A、系統(tǒng)工程是一種方法論,

B、系統(tǒng)工程是一種技術實現(xiàn),

C、系統(tǒng)工程是一種基本理論,

D、系統(tǒng)工程不以人參與系統(tǒng)為研究對象,

,,

80、項目管理是信息安全工程的基本理論，以下哪項對項目管理的理解是正確的：A,

A、項目管理的基本要素是質量，進度和成本,

B、項目管理的基本要素是范圍，人力和溝通,

C、項目管理是從項目的執(zhí)行開始到項目結束的全過程進行計劃、組織,

D、項目管理是項目的管理者，在有限的資源約束下，運用系統(tǒng)的觀點，方法和理論。對項目涉及的技術工作進行有效地管理,

,,

81、在信息系統(tǒng)的設計階段必須做以下工作除了：C,

A、決定使用哪些安全控制措施,

B、對設計方案的安全性進行評估,

C、開發(fā)信息系統(tǒng)的運行維護手冊,

D、開發(fā)測試、驗收和認可方案,

,,

,,

82、進行信息安全管理體系的建設是一個涉及企業(yè)文化，信息系統(tǒng)特點，法律法規(guī)等多方面因素的負雜過程，人們在這樣的過程中總結了許多經驗，下面哪一項是最不值得贊同的？d,

A、成功的信息安全管理體系建設必須得到組織的高級管理的直接支持,

B、制定的信息安全管理措施應當與組織的文化環(huán)境相匹配,

C、應該對ISO27002等國際標注批判地參考，不能完全照搬,

D、借助有經驗的大型國際咨詢公司，往往可以提高管理體系的執(zhí)行效,

,,

83、信息系統(tǒng)安全保障工程是一門跨學科的工程管理過程，他是基于對信息系統(tǒng)安全保障需求的發(fā)掘和對——————的理解，以經濟，科學的方法來設計、開發(fā)、和建設信息系統(tǒng)，以便他能滿足用戶安全保障需求的科學和藝術。A,

A、安全風險,

B、安全保障,

C、安全技術,

D、安全管理,

,,

84、關于SSE-CMM的描述錯誤的是：D,

A、1993年4月美國國家安全局資助，有安全工業(yè)界，英國國防部辦公室和加拿大通信安全機構共同組成SSE-CMM項目組。,

B、SSE-CMM的能力級別分為6個級別。,

C、SSE-CMM講安全工程過程劃分為三類：風險、工程和保證。,

D、SSE的最高能力級別是量化控制,

,,

,,

85、下面對SSE-CMM說法錯誤的是？D,

A、它通過域維和能力維共同形成對安全工程能力的評價,

B、域維定義了工程能力的所有實施活動,

C、能力維定義了工程能力的判斷標注,

D、“公共特征”是域維中對獲得過程區(qū)目標的必要步驟的定義,

,,

86在SSE-CMM中對工程過程能力的評價分為三個層次，由宏,

觀到微觀依次是A,

A能力級別-公共特征（CF）-通用實踐（GP）,

B能力級別-通用實踐-（GP）-公共特征（CF）,

C通用實踐-（GP）-能力級別-公共特征（CF）,

D公共特征（CF）-能力級別-通用實踐-（GP）、,

,,

,,

87、如果可以在組織范圍定義文檔化的標準過程，在所有的項目規(guī)劃、執(zhí)行和跟蹤已定義的過程，并且可以很好地協(xié)調項目活動和組織活動，則組織的安全能力成熟度可以達到？B,

A、規(guī)劃跟蹤定義,

B、充分定義級,

C、量化控制級,

D、持續(xù)改進級,

,,

88、“配置管理”是系統(tǒng)工程的重要概念，他在軟件工程和信息安全工程中得到廣泛應用下面對“配置管理”解釋最準確的是？B,

A、配置管理的本質是變更流程管理,

B、配置管理是一個對系統(tǒng)（包括軟件、硬件、文檔、測試設備、開發(fā)\維護設備）所有變化進行控制的過程,

C、配置管理是對信息系統(tǒng)的技術參數(shù)進行管理,

D、管理配置是對系統(tǒng)基線和源代碼的版本進行管理,

,,

89、根據(jù)SSE-CMM以下哪項不是在安全工程過程中實施安全控制時需要做的？A,

A、獲得用戶對安全需求的理解,

B、建立安全控制的職責,

C、管理安全控制的配置,

D、進行針對安全控制的教育培訓,

,,

90、下面哪條不屬于SSE-CMM中能力級別3“充分定義”級的基本內容：A,

A、改進組織能力,

B、定義標準過程,

C、協(xié)調安全實施,

D、執(zhí)行已定義的過程,

,,

91、下面哪項不是工程實施階段信息安全工程監(jiān)理的主要目標？C,

A、明確工程實施計劃、對于計劃的調整必須合理、受控,

B、促使工程中所適用的產品和服務符合承建合同及國家相關法律、法規(guī)和標準,

C、促使業(yè)務單位與承建單位充分溝通，形成深化的安全需求,

D、促使工程實施過程滿足承建合同的要求，并與工程設計方案、工程計劃相符,

,,

92、在國家標準中，屬于強制性標準的是：B,

A、GB/TXXXX-X-200X,

B、GBXXXX-200X,

C、DBXX/TXXX-200X,

D、QXXX-XXX-200X,

,,

93、在何種情況下，一個組織應對公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全事件？A,

A、當信息安全事件的負面影響擴展到本組織意外時,

B、只要發(fā)生了安全事件就應當公告,

C、只有公眾的什么財產安全受到巨大危害時才公告,

D、當信息安全事件平息之后,

,,

94、下面對ISO27001的說法最準確的是：D,

A、該標準的題目是信息安全管理體系實施指南,

B、該標準為度量信息安全管理體系的開發(fā)和實施提供的一套標準,

C、該標準提供了一組信息安全管理相關的控制和最佳實踐,

D、該標準為建立、實施、運行、監(jiān)控、審核、維護和改進信息安全體系提供了一個模型,

,,

95、ISO27002、ITIL和COBIT在IT管理內容上各有優(yōu)勢、但側重點不同，其各自重點分別在于：A,

A、IT安全控制、IT過程管理和IT控制和度量評價,

B、IT過程管理、IT安全控制和IT控制和度量評價,

C、IT控制和度量評價、IT安全控制和IT安全控制,

D、IT過程管理、IT控制和度量評價、IT安全控制,

,,

96、以下對于IATF信息安全保障技術框架的說法錯誤的是：,C

A、它由美國國家安全局公開發(fā)布,

B、它的核心思想是信息安全深度防御（Defense-in-Depth）,

C、它認為深度防御應當從策略、技術和運行維護三個層面來進行,

D、它將信息系統(tǒng)保障的技術層面分為計算環(huán)境、區(qū)域邊界、網絡和基礎設置和支撐性技術設施4個部分,

,,

97、根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的安全保護等級由哪兩個定級要素決定：D,

A、威脅、脆弱性,

B、系統(tǒng)價值、風險,

C、信息安全、系統(tǒng)服務安全,

D、受侵害的客體、對客體造成侵害的程度業(yè)務,

,,

98、下面對國家秘密定級和范圍的描述中，哪項不符合《保守國家秘密法》要求：C,

A、國家秘密和其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關規(guī)定,

B、各級國家機關、單位對所產生的秘密事項，應當按照國家秘密及其密級的具體范圍的規(guī)定確定密級,

C、對是否屬于國家和屬于何種密級不明確的事項，可有各單位自行參考國家要求確定和定級，然后報國家保密工作部門備案。,

D、對是否屬于國家和屬于何種密級不明確的事項，由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經國務院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關確定,

,,

99、下面有關我國標準化管理和組織機構的說法錯誤的是？C,

A、國家標準化管理委員會是統(tǒng)一管理全國標準化工作的主管機構,

B、國家標準化技術委員會承擔著國家標準的制定和修改鞏工作,

C、全國信息安全標準化技術委員負責信息安全技術標準的審查、批準、編號和發(fā)布,

D、全國信息安全標準化技術委員負責統(tǒng)一協(xié)調信息安全國家標準年度計劃項目,

,,

100、我國規(guī)定商用密碼產品的研發(fā)、制造、銷售和使用采取?？毓芾?，必須經過審批，所依據(jù)的是：A,

A、商用密碼管理條例,

B、中華人民共和國計算機信息系統(tǒng)安全保護條例,

C、計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定,

D、中華人民共和國保密法,

,,

"1.

人們對信息安全的認識從信息技術安全發(fā)展到信息安全保障,主要是由于:",

A.為了更好地完成組織機構的使命&,

B.針對信息系統(tǒng)的攻擊方式發(fā)生重大變化,

C.風險控制技術得到革命性的發(fā)展,

"D.除了保密性,信息的完整性和可用性也引起人們的關注",

,,

2.

信息安全保障的最終目標是:,

"A.掌握系統(tǒng)的風險,制定正確的策略",

B.確保系統(tǒng)的保密性、完整性和可用性,

C.使系統(tǒng)的技術、管理、工程過程和人員等安全保障要素達到要求&,

D.保障信息系統(tǒng)實現(xiàn)組織機構的使命,

,,

3.

關于信息保障技術框架（IATF），下列哪種說法是錯誤的？,

"A．IATF強調深度防御（Defense-in-Depth）,關注本地計算環(huán)境、區(qū)域邊界、網絡和基礎設施、支撐性基礎設施等多個領域的安全保障；",

"B.IATF強調深度防御（Defense-in-Depth）,即對信息系統(tǒng)采用多層防護，實現(xiàn)組織的業(yè)務安全運作",

C.IATF強調從技術、管理和人等多個角度來保障信息系統(tǒng)的安全；,

D.IATF強調的是以安全檢測、漏洞監(jiān)測和自適應填充“安全間隙”為循環(huán)來提高網絡安全&,

,,

4.

依據(jù)國家標準GB/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標（ISST）是從信息系統(tǒng)安全保障____的角度來描述的信息系統(tǒng)安全保障方案。,

A.建設者,

B.所有者,

C.評估者&,

D.制定者,

,,

5.

以下關于信息系統(tǒng)安全保障是主觀和客觀的結合說法錯誤的是：,

A.通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。,

B.信息系統(tǒng)安全保障不僅涉及安全技術，還應綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全&,

C.是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動,

D.是主觀和客觀綜合評估的結果；,

,,

6.

信息系統(tǒng)保護輪廓（ISPP）定義了__.,

A.

某種類型信息系統(tǒng)的與實現(xiàn)無關的一組系統(tǒng)級安全保障要求,

B.

某種類型信息系統(tǒng)的與實現(xiàn)相關的一組系統(tǒng)級安全保障要求&,

C.

某種類型信息系統(tǒng)的與實現(xiàn)無關的一組系統(tǒng)級安全保障目的,

D.

某種類型信息系統(tǒng)的與實現(xiàn)相關的一組系統(tǒng)級安全保障目的,

,,

7.

以下對PPDR模型的解釋錯誤的是：,

A．該模型提出以安全策略為核心，防護、檢測和恢復組成一個完整的，,

B．該模型的一個重要貢獻是加進了時間因素，而且對如何實現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述,

C．該模型提出的公式1：Pt>Dt+Rt，代表防護時間大于檢測時間加響應時間,

D．該模型提出的公式1：Pt＝Dt+Rt，代表防護時間為0時，系統(tǒng)檢測時間等于檢測時間加響應時間&,

,,

8.

以下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出的九項作內容之一？,

A．提高信息技術產品的國產化率,

B．保證信息安全資金投入&,

C．加快信息安全人才培養(yǎng),

D．重視信息安全應急處理工作,

,,

9.

誰首先提出了擴散－混淆的概念并應用于密碼學領域？,

A.

香農&,

B.

Shamir,

C.

Hellman,

D.

圖靈,

,,

10.

以下哪些問題、概念不是公鑰密碼體制中經常使用到的困難問題？,

A．大整數(shù)分解,

B．離散對數(shù)問題,

C．背包問題,

D．偽隨機數(shù)發(fā)生器&,

,,

11.

下列關于kerckhofff準則的合理性闡述中，哪一項是正確的？,

A.

保持算法的秘密比保持密鑰的秘密性要困難得多,

B.

密鑰一旦泄漏，也可以方便地更換,

C.

在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應保證安全&,

D.

公開的算法能夠經過更嚴格的安全性分析,

,,

12.

以下關于RSA算法的說法，正確的是：,

A.

RSA不能用于數(shù)據(jù)加密,

B.

RSA只能用于數(shù)字簽名,

C.

RSA只能用于密鑰交換,

D.

RSA可用于加密，數(shù)字簽名和密鑰交換體制&,

,,

13.

Hash算法的碰撞是指：,

A.

兩個不同的消息，得到相同的消息摘要&,

B.

兩個相同的消息，得到不同的消息摘要,

C.

消息摘要和消息的長度相同,

D.

消息摘要比消息的長度更長,

,,

14.

下列哪種算法通常不被用于保證機密性？,

A.

AES,

B.

RC4,

C.

RSA,

D.

MD5&,

,,

15.

數(shù)字證書的功能不包括：,

A.

加密,

B.

數(shù)字簽名,

C.

身份認證,

D.

消息摘要&,

,,

16.

下列哪一項是注冊機構（RA）的職責？,

A．證書發(fā)放,

B．證書注銷,

C．提供目錄服務讓用戶查詢,

D．審核申請人信息&,

,,

17.

IPsec工作模式分別是：,

A.

一種工作模式：加密模式,

B.

三種工作模式：機密模式、傳輸模式、認證模式,

C.

兩種工作模式：隧道模式、傳輸模式&,

D.

兩種工作模式：隧道模式、加密模式,

,,

18.

下列哪些描述同SSL相關？,

A.

公鑰使用戶可以交換會話密鑰，解密會話密鑰并驗證數(shù)字簽名的真實性&,

B.

公鑰使用戶可以交換會話密鑰，驗證數(shù)字簽名的真實性以及加密數(shù)據(jù),

C.

私鑰使用戶可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會話密鑰。,

19.

下列關于IKE描述不正確的是：,

A．IKE可以為IPsec協(xié)商關聯(lián),

B．IKE可以為RIPV2\OSPPV2等要求保密的協(xié)議協(xié)商安全參數(shù)&,

C．IKE可以為L2TP協(xié)商安全關聯(lián),

D．IKE可以為SNMPv3等要求保密的協(xié)議協(xié)調安全參數(shù),

,,

20.

下面哪一項不是VPN協(xié)議標準？,

A.

L2TP,

B.

IPSec,

C.

TACACS&,

D.

PPTP,

,,

21.

自主訪問控制與強制訪問控制相比具有以下哪一個優(yōu)點？,

A．具有較高的安全性,

B．控制粒度較大,

C．配置效率不高,

D．具有較強的靈活性&,

,,

22.

以下關于ChineseWall模型說法正確的是,

A.

Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取銀行c中的數(shù)據(jù)&,

B.

模型中的有害客體是指會產生利益沖突，不需要限制的數(shù)據(jù),

C.

Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取石油公司u中的數(shù)據(jù),

D.

Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由則Bob可以往石油公司u中寫數(shù)據(jù),

,,

23.

以下關于BLP模型規(guī)則說法不正確的是：,

A．BLP模型主要包括簡單安全規(guī)則和*-規(guī)則,

B．*-規(guī)則可以簡單表述為下寫&,

C．主體可以讀客體，當且僅當主體的安全級可以支配客體的安全級，且主體對該客體具有自主型讀權限,

D．主體可以讀客體，當且僅當客體的安全級可以支配主體的安全級，且主體對該客體具有自主型讀權限,

,,

24.

以下關于RBAC模型說法正確的是：,

A．該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權限,

B．一個用戶必須扮演并激活某種角色，才能對一個象進行訪問或執(zhí)行某種操作&,

C．在該模型中，每個用戶只能有一個角色,

D．在該模型中，權限與用戶關聯(lián)，用戶與角色關聯(lián),

,,

25.

下列對常見強制訪問控制模型說法不正確的是：,

A．BLP影響了許多其他訪問控制模型的發(fā)展,

B．Clark-Wilson模型是一種以事物處理為基本操作的完整性模型,

C．ChineseWall模型是一個只考慮完整性的安全策略模型&,

D．Biba模型是一種在數(shù)學上與BLP模型對偶的完整性保護模型,

,,

26.

訪問控制的主要作用是：,

A.

防止對系統(tǒng)資源的非授權訪問,

B.

在安全事件后追查非法訪問活動,

C.

防止用戶否認在信息系統(tǒng)中的操作,

D.

以上都是&,

,,

27.

作為一名信息安全專業(yè)人員，你正在為某公司設計信息資源的訪問控制策略。由于該公司的人員流動較大，你準備根據(jù)用戶所屬的組以及在公司中的職責來確定對信息資源的訪問權限，最應該采用下列哪一種訪問控制模型？,

A．自主訪問控制（DAC）,

B．強制訪問控制(MAC),

C．基于角色訪問控制(RBAC)&,

D．最小特權(LEASTPrivilege),

,,

28.

下列對kerberos協(xié)議特點描述不正確的是：,

A.

協(xié)議采用單點登錄技術，無法實現(xiàn)分布式網絡環(huán)境下的認證—,

B.

協(xié)議與授權機制相結合，支持雙向的身份認證,

C.

只要用戶拿到了TGT并且TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務器的認證而不必重新輸入密碼,

D.

AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全,

,,

29.

以下對單點登錄技術描述不正確的是：,

A．單點登錄技術實質是安全憑證在多個用戶之間的傳遞或共享&,

B．使用單點登錄技術用戶只需在登錄時進行一次注冊，就可以訪問多個應用,

C．單點登錄不僅方便用戶使用，而且也便于管理,

D．使用單點登錄技術能簡化應用系統(tǒng)的開發(fā),

,,

30.

下列對標識和鑒別的作用說法不正確的是：,

A.

它們是數(shù)據(jù)源認證的兩個因素,

B.

在審計追蹤記錄時，它們提供與某一活動關聯(lián)的確知身份,

C.

標識與鑒別無法數(shù)據(jù)完整性機制結合起來使用&,

D.

作為一種必要支持，訪問控制的執(zhí)行依賴于標識和鑒別確知的身份,

,,

31.

下面哪一項不屬于集中訪問控制管理技術？,

A．RADIUS,

B．TEMPEST&,

C．TACACS,

D．Diameter,

,,

32.

安全審計是系統(tǒng)活動和記錄的獨立檢查和驗證，以下哪一項不是審計系統(tǒng)的作用？,

A．輔助辨識和分析未經授權的活動或攻擊,

B．對與已建立的安全策略的一致性進行核查,

C．及時阻斷違反安全策略的致性的訪問&,

D．幫助發(fā)現(xiàn)需要改進的安全控制措施,

,,

33.

下列對蜜網關鍵技術描述不正確的是：,

A.

數(shù)據(jù)捕獲技術能夠檢測并審計黑客的所有行為數(shù)據(jù),

B.

數(shù)據(jù)分析技術則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動，使用工具及其意圖,

C.

通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網危害第三方網絡的安全&,

D.

通過數(shù)據(jù)控制、捕獲和分析，能對活動進行監(jiān)視、分析和阻止,

,,

34.

以下哪種無線加密標準中哪一項的安全性最弱？,

A．Wep&,

B．wpa,

C．wpa2,

D．wapi,

,,

35.

路由器的標準訪問控制列表以什么作為判別條件？,

A.

數(shù)據(jù)包的大小,

B.

數(shù)據(jù)包的源地址&,

C.

數(shù)據(jù)包的端口號,

D.

數(shù)據(jù)包的目的地址,

,,

36.

通常在設計VLAN時，以下哪一項不是VIAN規(guī)劃方法？,

A．基于交換機端口,

B．基于網絡層協(xié)議,

C．基于MAC地址,

D．基于數(shù)字證書&,

,,

37.

防火墻中網絡地址轉換（MAT）的主要作用是：,

A．提供代理服務,

B．隱藏內部網絡地址&,

C．進行入侵檢測,

D．防止病毒入侵,

,,

38.

哪一類防火墻具有根據(jù)傳輸信息的內容（如關鍵字、文件類型）來控制訪問連接的能力？,

A．包過濾防火墻,

B．狀態(tài)檢測防火墻,

C．應用網關防火墻&,

D．以上都不能,

,,

39.

以下哪一項不屬于入侵檢測系統(tǒng)的功能？,

A．監(jiān)視網絡上的通信數(shù)據(jù)流,

B．捕捉可疑的網絡活動,

C．提供安全審計報告,

D．過濾非法的數(shù)據(jù)包&,

,,

40.下面哪一項不是通用IDS模型的組成部分:,

A.傳感器,

B.過濾器&,

C.分析器,

D.管理器,

,,

"44.windows操作系統(tǒng)中,令人欲限制用戶無效登錄的次數(shù),應當怎么做?",

A.在”本地安全設置”中對”密碼策略”進行設置,

B.在”本地安全設置”中對”用戶鎖定策略”進行設置&,

C.在”本地安全設置”中對”審核策略”進行設置,

D.在”本地安全設置”中對”用戶權利措施”進行設置,

,,

,,

46.下列哪一項與數(shù)據(jù)庫的安全的直接關系？,

A.訪問控制的程度&,

B．數(shù)據(jù)庫的大小,

C．關系表中屬性的數(shù)量,

D．關系表中元組的數(shù)量,

,,

47.ApacheWeb服務器的配置文件一般位于//local/spache/conf目錄.其中用來控制用戶訪問Apache目錄的配置文件是:,

A.httqd.conf&,

B.srm.conf,

C.access.conf,

D.inetd.conf,

,,

48.關于計算機病毒具有的感染能力不正確的是:,

A.能將自身代碼注入到引導區(qū),

B.能將自身代碼注入到限區(qū)中的文件鏡像,

C.能將自身代碼注入文本文件中并執(zhí)行&,

D.能將自身代碼注入到文檔或模板的宏中代碼,

,,

49.蠕蟲的特性不包括:,

A.文件寄生&,

B.拒絕服務,

C.傳播快,

D.隱蔽性好,

,,

"50.關于網頁中的惡意代碼,下列說法錯誤的是:",

A.網頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用,

B.網頁中的惡意代碼可以修改系統(tǒng)注冊表,

C.網頁中的惡意代碼可以修改系統(tǒng)文件&,

D.網頁中的惡意代碼可以竊取用戶的機密文件,

,,

"51.當用戶輸入的數(shù)據(jù)被一個解釋器當作命令或查詢語句的一部分執(zhí)行時,就會產生哪種類型的漏洞?",

A.緩沖區(qū)溢出,

B.設計錯誤,

C.信息泄露,

D.代碼注入&,

,,

52.下列哪一項不是信息安全漏洞的載體?,

A.網絡協(xié)議,

B.操作系統(tǒng),

C.應用系統(tǒng),

D.業(yè)務數(shù)據(jù)&,

,,

"53.攻擊者使用偽造的SYN包,包的源地址和目標地址都被設置成被攻擊方的地址,這樣被攻擊方會給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)建一個連接,每一個這樣的連接都將保持到超時為止,這樣過多的空連接會耗盡被攻擊方的資源,導致拒絕服務.這種攻擊稱為之為:",

A.Land攻擊&,

B.Smurf攻擊,

C.PingofDeath攻擊,

D.ICMPFlood,

,,

54.以下哪個攻擊步驟是IP欺騙(IPSPoof)系列攻擊中最關鍵和難度最高的?,

"A.對被冒充的主機進行拒絕服務,使其無法對目標主機進行響應",

"B.與目標主機進行會話,猜測目標主機的序號規(guī)則&",

"C.冒充受信主機想目標主機發(fā)送數(shù)據(jù)包,欺騙目標主機",

"D.向目標主機發(fā)送指令,進行會話操作",

,,

"55.以下針對Land攻擊的描述,哪個是正確的?",

"A.Land是一種針對網絡進行攻擊的方式,通過IP欺騙的方式向目標主機發(fā)送欺騙性數(shù)據(jù)報文,導致目標主機無法訪問網絡",

"B.Land是一種針對網絡進行攻擊的方式,通過向主機發(fā)送偽造的源地址為目標主機自身的連接請求,導致目標主機處理錯誤形成拒絕服務&",

"C.Land攻擊是一種利用協(xié)議漏洞進行攻擊的方式,通過發(fā)送定制的錯誤的數(shù)據(jù)包使主機系統(tǒng)處理錯誤而崩潰",

"D.Land是一種利用系統(tǒng)漏洞進行攻擊的方式,通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導致系統(tǒng)崩潰",

,,

56.下列對垮站腳本攻擊(XSS)描述正確的是:,

"A.XSS攻擊指的是惡意攻擊者往WEB頁面里插入惡意代碼,當用戶瀏覽該頁之時,嵌入其中WEB里面的代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的.&",

B.XSS攻擊是DDOS攻擊的一種變種,

C.XSS.攻擊就是CC攻擊,

"D.XSS攻擊就是利用被控制的機器不斷地向被網站發(fā)送訪問請求,迫使NS連接數(shù)超出限制,當CPU資源或者帶寬資源耗盡,那么網站也就被攻擊垮了,從而達到攻擊目的",

,

57.下列哪一項不屬于FUZZ測試的特性?,

A.主要針對軟件漏洞或可靠性錯誤進行測試.,

B.采用大量測試用例進行激勵響應測試,

"C.一種試探性測試方法,沒有任何依據(jù)&",

D.利用構造畸形的輸入數(shù)據(jù)引發(fā)被測試目標產生異常&,

,,

58.對攻擊面(Attacksurface)的正確定義是:,

"A.一個軟件系統(tǒng)可被攻擊的漏洞的集合,軟件存在的攻擊面越多,軟件的安全性就越低",

"B.對一個軟件系統(tǒng)可以采取的攻擊方法集合,一個軟件的攻擊面越大安全風險就越大&",

"C.一個軟件系統(tǒng)的功能模塊的集合,軟件的功能模塊越多,可被攻擊的點也越多,安全風險也越大",

"D.一個軟件系統(tǒng)的用戶數(shù)量的集合,用戶的數(shù)量越多,受到攻擊的可能性就越大,安全風險也越大",

,,

59.以下哪個不是軟件安全需求分析階段的主要任務?,

A.確定團隊負責人和安全顧問&,

B.威脅建模,

C.定義安全和隱私需求(質量標準),

D.設立最低安全標準/Bug欄,

,,

60.風險評估方法的選定在PDCA循環(huán)中的那個階段完成？,

A.實施和運行,

B.保持和改進,

C.建立&,

D.監(jiān)視和評審,

,,

61.下面關于ISO27002的說法錯誤的是:,

A.ISO27002的前身是ISO17799-1,

"B.ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機構選用,但不是全部",

C.ISO27002對于每個措施的表述分”控制措施”、“實施指南”、和“其它信息”三個部分來進行描述,

D．ISO27002提出了十一大類的安全管理措施，其中風險評估和處置是處于核心地位的一類安全措施&,

,,

62.下述選項中對于“風險管理”的描述正確的是：,

A．安全必須是完美無缺、面面俱到的。,

B．最完備的信息安全策略就是最優(yōu)的風險管理對策。,

C．在解決、預防信息安全問題時，要從經濟、技術、管理的可行性和有效性上做出權衡和取舍&,

D．防范不足就會造成損失；防范過多就可以避免損失。,

,,

63.風險評估主要包括風險分析準備、風險素識別、風險分析和風險結果判定四個主要過程，關于這些過程，以下的說法哪一個是正確的?,

A.風險分析準備的內容是識別風險的影響和可能性,

B．風險要素識別的內容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度,

C．風險分析的內容是識別風險的影響和可能性&,

D．風險結果判定的內容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施,

,,

64.你來到服務器機房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結果對與持定脆弱性相關的威脅真正出現(xiàn)的可能性會有什么影響？,

A．如果窗戶被修好，威脅真正出現(xiàn)的可能性會增加,

B．如果窗戶被修好，威脅真正出現(xiàn)的可能性會保持不變,

C．如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會下降,

D．如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會增加&,

,,

65.在對安全控制進行分析時，下面哪個描述是錯誤的？,

A．對每一項安全控制都應該進行成本收益分析，以確定哪一項安全控制是必須的和有效的,

B．應選擇對業(yè)務效率影響最小的安全措施&,

C．選擇好實施安全控制的時機和位置，提高安全控制的有效性,

D．仔細評價引入的安全控制對正常業(yè)務帶來的影響，采取適當措施，盡可能減少負面效應,

,,

66.以下哪一項不是信息安全管理工作必須遵循的原則？,

A．風險管理在系統(tǒng)開發(fā)之初就應該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中,

B．風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內的持續(xù)性工作,

C．由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對較低&,

D．在系統(tǒng)正式運行后，應注重殘余風險的管理，以提高快速反應能力,

,,

67.對于信息系統(tǒng)風險管理描述不正確的是：,

A.漏洞掃描是整個安全評估階段重要的數(shù)據(jù)來源而非全部,

B．風險管理是動態(tài)發(fā)展的，而非停滯、靜態(tài)的,

C．風險評估的結果以及決策方案必須能夠相互比較才可以具有較好的參考意義,

D．風險評估最重要的因素是技術測試工具&,

,,

68.下列哪一項準確地描述了脆弱性、威脅、暴露和風險之間的關系？,

A．脆弱性增加了威脅，威脅利用了風險并導致了暴露,

B．風險引起了脆弱性并導致了暴露，暴露又引起了威脅,

C．風險允許威脅利用脆弱性，并導致了暴露,

D．威脅利用脆弱性并產生影響的可能性稱為風險，暴露是威脅已造成損害的實例&,

,,

69.統(tǒng)計數(shù)據(jù)指出，對大多數(shù)計算機系統(tǒng)來說，最大的威脅是：,

A．本單位的雇員&,

B．黑客和商業(yè)間諜,

C．未受培訓的系統(tǒng)用戶,

D．技術產品和服務供應商,

,,

70．風險評估按照評估者的不同可以分為自評和第三方評估。這兩種評估方式最本質的差別是什么？,

A．評估結果的客觀性&,

B．評估工具的專業(yè)程度,

C．評估人員的技術能力,

D．評估報告的形式,

,,

71.應當如何理解信息安全管理體系中的“信息安全策略”？,

A．為了達到如何保護標準而提供的一系列建議,

B．為了定義訪問控制需求面產生出來的一些通用性指引,

C．組織高層對信息安全工作意圖的正式表達&,

D．一種分階段的安全處理結果,

,,

72.以下哪一個是對人員安全管理中“授權蔓延”這概念的正確理解？,

A．外來人員在進行系統(tǒng)維護時沒有收到足夠的監(jiān)控,

B．一個人擁有了不是其完成工作所必要的權限&,

C．敏感崗位和重要操作長期有一個人獨自負責,

D．員工由一個崗位變動到另一人崗位，累積越來越多權限,

,,

73.一個組織中的信息系統(tǒng)普通用戶，以下哪一項是不應該了解的？,

A．誰負責信息安全管理制度的制定和發(fā)布,

B．誰負責都督信息安全制度的執(zhí)行,

C．信息系統(tǒng)發(fā)生災難后，進行恢復工作的具體流程&,

D．如果違反了制度可能受到的懲戒措施,

,,

,,

75.一上組織財務系統(tǒng)災難恢復計劃聲明恢復點目標（RPO）是沒有數(shù)據(jù)損失，恢復時間目標（RTO）是72小時。以下哪一技術方案是滿足需求且最經濟的？,

A．一個可以在8小時內用異步事務的備份日志運行起來的熱站,

B．多區(qū)域異步更新的分布式數(shù)據(jù)庫系統(tǒng),

C．一個同步更新數(shù)據(jù)和主備系統(tǒng)的熱站,

D．一個同步過程數(shù)據(jù)拷備、可以48小時內運行起來的混站&,

,,

"76.依據(jù)國家標準《信息安全信息系統(tǒng)災難恢復規(guī)范》（GB/T20988）,災難恢復管理過程的主要的步驟是災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預案制定和管理；其中災難恢復策略實現(xiàn)不包括以下哪一項？（20110519）",

A．分析業(yè)務功能,

B．選擇和建設災難備份中心,

C．實現(xiàn)災備系統(tǒng)技術方案,

D．實現(xiàn)災備系統(tǒng)技術支持和維護能力,

,,

77.以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：,

A．同步復制&,

B．異步復制,

C．定點拷貝復制,

D．基于磁盤的復制,

,,

78.當公司計算機網絡受到攻擊，進行現(xiàn)場保護應當:,

1〉指定可靠人員看守,

2〉無特殊且十分必須原因禁止任何人員進出現(xiàn)場,

3〉應采取措施防人為地刪除或修改現(xiàn)場計算機信息系統(tǒng)保留的數(shù)據(jù)和其他電子痕跡,

4〉無行列且十分必須原因禁止任何人員接觸現(xiàn)場計算機,

A．1，2,

B．1，2，3,

C．2，3,

D．1，2，3，4&,

,,

79.有一些信息安全事件是由于信息系統(tǒng)中多個部分共同作用造成的，人們稱這類事件為“多組件事故”，應對這類安全事件最有效的方法是：,

A．配置網絡入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為,

B．使用防病毒軟件，并且保持更新為最新的病毒特征碼,

C．將所有公共訪問的服務放在網絡非軍事區(qū)（DMZ）,

D.使用集中的日志審計工具和事件關聯(lián)分析軟件,

,,

80.下列哪項是基于系統(tǒng)的輸入、輸出和文件的數(shù)目和復雜性測量信息系統(tǒng)的大??？,

A．功能點（FP）&,

B．計劃評價與審查技術（PERT）,

C．快速應用開發(fā)（RAD）,

D．關鍵路徑方法（CPM）,

,,

,,

82.下面哪一項為系統(tǒng)安全工程能力成熟度模型提供了評估方法？,

A.ISSE,

B.SSAM&,

C.SSR,

D.CEM,

,,

83.一個組織的系統(tǒng)安全能力成熟度模型達到哪個級別以后，就可以考慮為過程域（PR）的實施提供充分的資源？,

A．2級――計劃和跟蹤,

B．3級――充分定義&,

C．4級――最化控制,

D．5級――持續(xù)改進,

,,

84.IT工程建設與IT安全工程建設脫節(jié)是眾多安全風險涌現(xiàn)的根源，同時安全風險也越來越多地體現(xiàn)在應用層。因此迫切需要加強對開發(fā)階段的安全考慮，特別是要加強對數(shù)據(jù)安全性的考慮，以下哪項工作是在IT項目的開發(fā)階段不需要重點考慮的安全因素？,

A．操作系統(tǒng)的安全加固&,

B．輸入數(shù)據(jù)的校驗,

C．數(shù)據(jù)處理過程控制,

D．輸出數(shù)據(jù)的驗證,

,,

1信息安全發(fā)展各階段中，下面哪一項是信息安全所面臨的主要威脅,

A病毒,

B非法訪問,

C信息泄漏,

D---口令,

3.關于信息保障技術框架IATF，下列說法錯誤的是,

AIATF強調深度防御，關注本地計算環(huán)境，區(qū)域邊境，網絡和基礎設施，支撐性基礎設施等多個領域的安全保障,

BIATF強調深度防御，針對信息系統(tǒng)采取多重防護，實現(xiàn)組織的業(yè)務安全運作。,

CIATF強調從技術，管理和人等多個角度來保障信息系統(tǒng)的安全,

DIATF強調的是以安全檢測訪問監(jiān)測和自適應填充“安全問責”為循環(huán)來提高網絡安全,

4.美國國家安全局的《信息保障技術框架》IATF，在描述信息系統(tǒng)的安全需求時將信息系統(tǒng)分為,

A內網和外網兩個部分,

B本地計算環(huán)境、區(qū)域邊界、網絡和基礎設施支撐性基礎設施四個部分,

C用戶終端、服務器、系統(tǒng)軟件網絡設備和通信線路應用軟件五個部分,

D用戶終端、服務器、系統(tǒng)軟件網絡設備和通信線路應用軟件、安全防護六個級別,

,,

5.下面那一項表示了信息不被非法篡改的屬性,

A可生存性,

B完整性,

C準確性,

D參考完整性,

6.以下關于信息系統(tǒng)安全保障是主關和客觀的結論說法準確的是,

A信息系統(tǒng)安全保障不僅涉及安全技術，還綜合參考安全管理安全工程和人員安全等以安全保障信息系統(tǒng)安全,

B通過在技術、管理、工程和人員方面客觀地評估安全保障措施向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心,

C是一種通過客觀保證向信息系統(tǒng)評估者提供主觀信心的活動,

D,

,,

,,

,,

11一下那些不屬于現(xiàn)代密碼學研究,

AEnigma密碼機的分析頻率,

B--,

Cdiffie-herrman密碼交換,

D查分分析和線性分析,

12.常見密碼系統(tǒng)包含的元素是：,

A.明文、密文、信道、加密算法、解密算法,

B.明文，摘要，信道，加密算法，解密算法,

C.明文、密文、密鑰、加密算法、解密算法,

D.消息、密文、信道、加密算法、解密算法,

,,

13.公鑰密碼的應用不包括：,

A.數(shù)字簽名,

B.非安全信道的密鑰交換,

C.消息認證碼,

D.身份認證,

,,

14.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？,

A.DSS,

B.Diffie-Hellman,

C.RSA,

D.AES,

,,

15.目前對MD5，SHAI算法的攻擊是指：,

A.能夠構造出兩個不同的消息，這兩個消息產生了相同的消息摘要,

B.對于一個已知的消息，能夠構造出一個不同的消息，這兩個消息產生了相同的消息摘要,

C.對于一個已知的消息摘要，能夠恢復其原始消息,

D.對于一個已知的消息，能夠構造一個不同的消息摘要，也能通過驗證。,

,,

21下列對訪問控制的說法正確的是,

A訪問控制模型是對一系列的訪問控制的描述，,

22下列對強制訪問控制描述不正確的是,

A主題對客體的所有訪問,

B強制訪問控制時，主體和客體分配一個安全屬性,

C客體的創(chuàng)建者無權控制客體的訪問權限,

D強制訪問控制不可與自主訪問控制訪客使用,

23一下那些模型關注與信息安全的完整性,

ABIBA模型和BELL-LAPADULA模型,

Ｂbell-lapadula模型和chianswell模型,

CBiba模型和ciark-wllear,

Dciark-wllear模型和chianswell模型,

24按照BLP模型規(guī)則，以下哪種訪問才能被授權,

ABob的安全級是機密，文件的安全級是機密，Bob請求寫該文件,

BBob的安全級是機密，文件的安全級是機密，Bob請求讀該文件,

CAlice的安全級是機密，文件的安全級是機密，Alice請求寫該文件,

DAlice的安全級是機密，文件的安全級是機密，Alice請求讀該文件,

,,

25.在一個使用ChineseWall模型建立訪問控制的消息系統(tǒng)中，————,

A.只有訪問了W之后，才可以訪問X,

B.只有訪問了W之后，才可以訪問Y和Z中的一個,

C.無論是否訪問W，都只能訪問Y和Z中的一個,

D.無論是否訪問W，都不能訪問Y或Z,

,,

26.以下關于RBAC模型的說法正確的是：,

A.該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權限,

B.一個用戶必須扮演并激活某種角色，才能對一個對象進行訪問或執(zhí)行某種操作,

C.在該模型中，每個用戶只能有一個角色,

D.在該模型中，權限與用戶關聯(lián)，用戶與角色關聯(lián),

,,

27.以下對Kerberos協(xié)議過程說法正確的是：,

A.協(xié)議可以分為兩個步驟：一是用戶身份鑒別；二是獲取請求服務,

B.協(xié)助可以分為兩個步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務,

C.協(xié)議可以分為三個步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務許可票據(jù),

D.協(xié)議可以分為三個步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務許可票據(jù)；三是獲得服務,

,,

29.基于生物特征的鑒別系統(tǒng)一般使用哪個參數(shù)來判斷系統(tǒng)的準確度？,

A.錯誤拒絕率,

B.錯誤監(jiān)測率,

C.交叉錯判率,

D.錯誤接受率,

,,

30.下列對密網功能描述不正確的是：,

A.可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊,

B.吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來,

C.可以進行攻擊檢測和實時報警,

D.可以對攻擊活動進行監(jiān)視、檢測和分析,

,,

31.下面哪一個不屬于基于OSI七層協(xié)議的安全體系結構的5種服務之一？,

A.數(shù)據(jù)完整性,

B.數(shù)據(jù)保密性,

C.數(shù)字簽名,

D.抗抵賴,

,,

33.以下哪種方法不能有效保障WLN的安全性,

A禁止默認的服務SSID,

B禁止SSID廣播,

C啟用終端與AP的雙面認證,

D啟用無線AP的—認證測試,

,,

35.簡單包過濾防火墻主要工作在：,

A.鏈接層/網絡層,

B.網絡層/傳輸層,

C.應用層,

D.回話層,

,,

36.以下哪一項不是應用層防火墻的特點？,

A.更有效的阻止應用層攻擊,

B.工作在OSI模型的第七層,

C.速度快且對用戶透明,

D.比較容易進行審計,

,,

39.下面哪一項不是IDS的主要功能？,

A.監(jiān)控和分析用戶系統(tǒng)活動,

B.統(tǒng)計分析異?；顒幽Ｊ?

C.對被破壞的數(shù)據(jù)進行修復,

D.識別活動模式以反映已知攻擊,

,,

40.有一類IDS系統(tǒng)將所觀察到的活動同認為正常的活動進行比較并識別重要的XX來發(fā)現(xiàn)入侵事件，這種機制稱作：,

A.異常檢測,

B.特征檢測,

C.差距分析,

D.比對分析,

,,

41.以下關于Linux用戶和組的描述不正確的是：,

A.在linux中，每一個文件和程序都歸屬于一個特定的“用戶”,

B.系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組,

C.用戶和組的關系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組,

D.Root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都且有訪問權限,

,,

42.以下關于linux超級權限的說明，不正確的是：,

A.一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應用，不需要root用戶來操作完成,

B.普通用戶可以通過su和sudo來獲取系統(tǒng)的超級權限,

C.對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進行,

D.Root是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都只有訪問權限,

,,

43.在windows操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應當怎么做？,

A.在“本地安全設置”中對“密碼策略”進行設置,

B.在“本地安全設置”中對“賬戶鎖定策略”進行設置,

C.在“本地安全設置”中對“審核策略”進行設置,

D.在“本地安全設置”中對“用戶權利指派”進行設置,

,,

44.以下對windows系統(tǒng)日志的描述錯誤的是：,

A.Windows系統(tǒng)默認有三個日志，系統(tǒng)日志、應用程序日志、安全日志,

B.系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件X再XX控制器的故障,

C.應用日志跟蹤應用程序關聯(lián)的事件，例如應用程序產生的裝載DLL（動態(tài)鏈接XX）XXX,

D安全日志跟蹤網絡入侵事件，**拒絕服務攻擊，口令暴力破解等。,

46為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員向提出一組完整行規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整行規(guī)則主要有三部分組成，一下那一個不是完整性規(guī)則的內容,

A完整新約束條件,

B完整新檢查機制,

C完整新修復機制,

D違約處理機制,

47.數(shù)據(jù)庫事務日志的用途是：,

A.事務處理,

B.數(shù)據(jù)恢復,

C.完整性約束,

D.保密性控制,

,,

48.攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？,

A.緩沖區(qū)溢出,

B.SQL注入,

C.設計錯誤,

D.跨站腳本,

,,

49.通常在網站數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在？,

A.明文形式存在,

B.服務器加密后的密文形式存在,

C.Hasn運算后的消息摘要值存在,

D.用戶自己加密后的密文形式存在,

,,

50.下列對跨站腳本攻擊（XSS）的描述正確的是：,

A.XSS攻擊指的是惡意攻擊在WEB頁面里插入惡意代碼，當用戶瀏覽該頁面時嵌入其中WEB頁面的代碼會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的,

B.XSS攻擊是DOOS攻擊的一種變種,

C.XSS攻擊就是CC攻擊,

D.XSS攻擊就是利用被控制的機器不斷地向被攻擊網站發(fā)送訪問請求，迫使HS連接X超出限制，當CPU———————耗盡，那么網站也就被攻擊垮了，從而達到攻擊的目的。,

,,

51.下列哪種惡意代碼不具備“不感染、依附性”的特點？,

A.后門,

B.*門,

C.木馬,

D.蠕蟲,

52.下列關于計算機病毒感染能力的說法不正確的是,

A能將自身代碼注入到引導區(qū),

B能講自身代碼注入到扇區(qū)中的文件鏡像,

C能將自身代碼注入文本中并執(zhí)行,

D能將自身文件注入到文檔配置版的宏文件中,