2024年安防生產(chǎn)行業(yè)技能考試-注冊信息安全專業(yè)人員筆試參考題庫含答案

“人人文庫”水印下載源文件后可一鍵去除，請放心下載?。▓D片大小可任意調(diào)節(jié)）2024年安防生產(chǎn)行業(yè)技能考試-注冊信息安全專業(yè)人員筆試參考題庫含答案“人人文庫”水印下載源文件后可一鍵去除，請放心下載！第1卷一.參考題庫(共75題)1.當對符合性進行測試時，以下哪種抽樣方法是最有用的？（）A、屬性抽樣B、變量抽樣C、分層單位均值抽樣D、差異估計2.一家組織提出要建立無線局域網(wǎng)（WLAN）管理層要求IS審計師為WLAN推薦安全控制措施。以下哪項最適合的建議（）A、保證無線接入點的物理安全，以防篡改B、使用能明確識別組織的服務(wù)集標識符（SSID）C、使用有線等效加密（WEP）機制加密流量D、實施簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）以允許主動監(jiān)控3.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是（）A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務(wù)提供者共有4.USB端口（）。A、連接網(wǎng)絡(luò)，無需網(wǎng)卡B、連接具有以太網(wǎng)適配器的網(wǎng)絡(luò)C、替換所有連接D、連接顯示器5.信息安全風險評估是信息安全管理體系建立的基礎(chǔ)，以下說法錯誤的是（）A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是信息安全風險評估B、風險評估可以對信息資產(chǎn)進行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估C、風險評估可以確定需要實施的具體安全控制措施D、風險評估的結(jié)果應(yīng)進行相應(yīng)的風險處置，本質(zhì)上，風險處置的最佳集合就是信息安全管理體系的控制措施集合6.按照我國信息安全等級保護有關(guān)政策和標準，有些信息系統(tǒng)只需要自主定級，自主保護，按照要求向公安機關(guān)備案即可，可以不需要上級或主管部門來測評和檢查，此類信息系統(tǒng)應(yīng)屬于：（）A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)7.某IS審計人員參與了某應(yīng)用開發(fā)項目并被指定幫助進行數(shù)據(jù)安全方面的設(shè)計工作。當該應(yīng)用即將投入運行時，以下哪一項可以為公司資產(chǎn)的保護提供最合理的保證（）。 A、由內(nèi)部審計人員進行一次審核B、由指定的IS審計人員進行一次審查C、由用戶規(guī)定審核的深度和內(nèi)容D、由另一個同等資歷的IS審計人員進行一次獨立的審查8.IPSEC密鑰協(xié)商方式有（）A、一種，手工方式B、兩種，手工方式，IKE自動協(xié)商C、一種，IKE自動協(xié)商D、兩種，IKE自動協(xié)商，隧道協(xié)商9.以下哪些不屬于敏感性標識？（）A、不干貼方式B、印章方式C、電子標簽D、個人簽名10.規(guī)范的實施流程和文檔管理，是信息安全風險評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實施風險評估時，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應(yīng)屬于風險評估中“風險要素識別”階段輸出的文檔。A、《風險評估方案》，主要包括本次風險評估的目的、范圍、目標、評估步驟、經(jīng)費預(yù)算和進度安排等內(nèi)容B、《風險評估方法和工具列表》，主要包括擬用的風險評估方法和測試評估工具等內(nèi)容C、《風險評估準則要求》，主要包括風險評估參考標準、采用的風險分析方法、資產(chǎn)分類標準等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容11.安全評估人員正為某個醫(yī)療機構(gòu)的生產(chǎn)和測試環(huán)境進行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風險？（）A、測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機密性12.當員工服務(wù)終止時，最重要的行動是？（）A、交出員工的所有文件到另一個指定雇員B、完成對員工的工作備份C、通知其他雇員他已經(jīng)終止服務(wù)D、禁用該員工的邏輯訪問13.信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發(fā)布，最初目的是為保障美國政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南，其中，提出需要防護的三類“焦點區(qū)域”是（）A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施區(qū)域邊界重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施區(qū)域邊界計算環(huán)境C、網(wǎng)絡(luò)機房環(huán)境網(wǎng)絡(luò)接口計算環(huán)境D、網(wǎng)絡(luò)機房環(huán)境網(wǎng)絡(luò)接口重要服務(wù)器14.為保護語音lP(VoIP)基礎(chǔ)設(shè)施免受拒絕服務(wù)(DoS)攻擊，最重要的是保護:（）A、訪問控制服務(wù)器B、會話邊界控制器C、主干網(wǎng)關(guān)D、入侵檢測系統(tǒng)（IDS）15.下面各種方法，哪個是制定災(zāi)難恢復(fù)策略必須最先評估的？（）A、所有的威脅可以被完全移除B、一個可以實現(xiàn)的成本效益，內(nèi)置的復(fù)原C、恢復(fù)時間可以優(yōu)化D、恢復(fù)成本可以最小化16.以下哪個是數(shù)據(jù)庫管理員（DBA）可以行使的職責？（）A、計算機的操作B、應(yīng)用程序開發(fā)C、系統(tǒng)容量規(guī)劃D、應(yīng)用程序維護17.以下哪項代表了在電子數(shù)據(jù)交換環(huán)境最大的潛在危險？（）A、交易授權(quán)B、損失或重復(fù)的電子數(shù)據(jù)交換傳輸C、傳輸延遲D、交易的刪除或操作在應(yīng)用控制的創(chuàng)立以后之前18.在控制應(yīng)用程序維護時，下面哪一項最有效（）。A、通知用戶變化的情況B、確定程序變化的優(yōu)先權(quán)C、關(guān)于程序變更獲得用戶批準D、要求記錄用戶關(guān)于變化的說明19.下面對于cookie的說法錯誤的是：（）。A、cookie是一小段存儲在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C、通過cookie提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法20.某IS審計師參與了優(yōu)化IT基礎(chǔ)設(shè)施的重建過程。下面哪一項最適合用于識別需要解決的問題？（）A、自我評估B、逆向工程C、原型設(shè)計D、差距分析21.數(shù)字簽名應(yīng)具有的性質(zhì)不包括（）。A、能夠驗證簽名者B、能夠認證被簽名消息C、能夠保護被簽名的數(shù)據(jù)機密性D、簽名必須能夠由第三方驗證22.以下哪項提供了對平衡計分卡的最好的解釋（）。A、被用于標桿到目標服務(wù)水平。B、被用于度量提供給客戶的IT服務(wù)的效果。C、驗證組織的戰(zhàn)略和IT服務(wù)的匹配。D、度量幫助臺職員的績效。23.以下哪一項是常見WEB站點脆弱性掃描工具？（）A、AppScanB、NmapC、SnifferD、LC24.審計章程的主要目的是（）A、把組織需要的審計流程記錄下來B、正式記錄審計部門的行動計劃C、為審計師制定職業(yè)行為規(guī)范D、描述審計部門的權(quán)力與責任25.在多供應(yīng)商網(wǎng)絡(luò)環(huán)境中共享數(shù)據(jù)，關(guān)鍵是實施程序到程序的通訊?？紤]到程序到程序通訊的特點，可以在環(huán)境中實施，下面哪一個是實施和維護的困難（）。A、用戶隔離B、遠程存取控制C、透明的遠程訪問D、網(wǎng)絡(luò)環(huán)境26.下列情況中的哪種將增加發(fā)生舞弊的可能性？（）A、應(yīng)用程序員正實施生產(chǎn)程序的變更B、應(yīng)用程序員正實施測試程序的變更C、操作支持人員正在運行批變更日程表D、數(shù)據(jù)庫管理員正在變更數(shù)據(jù)結(jié)構(gòu)27.一個IS審計師被分配去執(zhí)行一項測試：比較計算機作業(yè)運行日志與作業(yè)計劃表。下面哪一條是IS審計師最需要關(guān)注的？（）A、有越來越多的緊急變更B、存在某些作業(yè)沒有按時完成的情況C、存在某些作業(yè)被計算機使用者否決的情況D、證據(jù)顯示僅僅運行了預(yù)先計劃的作業(yè)28.跨國公司的IS管理部門考慮更新公司現(xiàn)有的虛擬專用網(wǎng)絡(luò)（VPN），以通過隧道支持IP語音（VOLP）通信。應(yīng)首先考慮以下哪個注意事項？（）A、可靠性和服務(wù)質(zhì)量（QOS）B、身份認證方法C、聲音傳輸?shù)碾[私性D、數(shù)據(jù)傳輸?shù)臋C密性29.IS審計師在審查IT設(shè)備的外包合同的時候，希望合同確定的是（）。A、硬件配置B、訪問控制軟件C、知識產(chǎn)權(quán)的所有權(quán)D、開發(fā)應(yīng)用方法30.下面關(guān)于ISO27002的說法錯誤的是（）。A、ISO27002的前身是ISO17799-1B、ISO27002給出了通常意義的信息安全管理最佳實踐供組織機構(gòu)選用，但不是全部C、ISO27002對于每個控制措施的表述分“控制措施”、“實施指南”和“其它信息”三個部分來進行描述D、ISO27002提出了十一大類的安全管理措施，其中風險評估和處置是出于核心地位的一類安全措施31.使用閃存存儲器（例如，USB可移動磁盤）時最大的安全問題是：（）A、內(nèi)容極易丟失B、數(shù)據(jù)無法備份C、數(shù)據(jù)可被復(fù)制D、設(shè)備可能與其他外圍設(shè)備不兼容32.在數(shù)字信封中，綜合使用對稱加密算法和公鑰加密算法的主要原因是（）。A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性B、綜合考慮對稱密鑰算法的密鑰分發(fā)難題和公鑰算法加解密效率較低的難題而采取的一種折中做法C、兩種加密算法的混用，可以提高加密的質(zhì)量，這是我國密碼政策所規(guī)定的要求D、數(shù)字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認他收到了該信息，即抗接受方抵賴33.Individualaccountabilitydoesnotincludewhichofthefollowing?個人問責不包括下列哪一項？（）A、audittrails.審計跟蹤B、policies&procedures.政策與程序C、uniqueidentifiers.唯一識別符D、accessrules.訪問規(guī)則34.功能性是評估軟件產(chǎn)品質(zhì)量整個生命周期的一個特征，最好的描述作為一系列特征（）。A、存在一系列功能和特殊屬性B、軟件能力能夠從一種環(huán)境轉(zhuǎn)換到另一個C、軟件能力在一定的條件下能夠維持一定的性能D、在軟件性能和所用資源的數(shù)量之間的關(guān)系35.下面哪一個為組織的災(zāi)難恢復(fù)計劃準備就緒提供了最好的證據(jù)？（）A、災(zāi)難恢復(fù)計劃B、提供備用站點的客戶參考C、維護災(zāi)難恢復(fù)計劃的程序D、測試和演練的結(jié)果36.IS審計師使用數(shù)據(jù)流程圖是用來？（）A、定義數(shù)據(jù)層次B、標明高級別數(shù)據(jù)定義C、用圖表概述數(shù)據(jù)路徑和存儲D、描繪寫數(shù)據(jù)生成的詳細步驟信息37.下列哪個確保在互聯(lián)網(wǎng)上傳送的信息的保密性？（）A、數(shù)字簽名B、數(shù)字證書C、在線證書狀態(tài)協(xié)議D、私鑰密碼系統(tǒng)38.分散式環(huán)境中，服務(wù)器失效帶來的影響最小的是（）。A、冗余路由B、集群C、備用電話線D、備用電源39.IPSEC使用的認證算法是哪兩種（）A、MD5、AESB、SHA-1、MD5C、3DES、MD5D、MD5、SHA-140.什么類型的軟件應(yīng)用測試被認為是測試的最后階段，并且通常包括開發(fā)團隊之外的用戶？（）A、Alpha測試（Alpha測試由用戶在開發(fā)者的場所進行，并且在開發(fā)者對用戶的“指導”下進行測試）B、白盒測試（白盒測試也稱結(jié)構(gòu)測試或邏輯驅(qū)動測試，它是按照程序內(nèi)部的結(jié)構(gòu)測試程序，通過測試來檢測產(chǎn)品內(nèi)部動作是否按照設(shè)計規(guī)格說明書的規(guī)定正常運行，檢驗程序中的每條通路是否都能按預(yù)定要求正確工作。這一方法是把測試對象看做一個打開的盒子，測試人員依據(jù)程序內(nèi)部邏輯結(jié)構(gòu)相關(guān)信息，設(shè)計或選擇測試用例，對程序所有邏輯路徑進行測試，通過在不同點檢查程序的狀態(tài)，確定實際的狀態(tài)是否與預(yù)期的狀態(tài)一致）C、回歸測試（回歸測試是指修改了舊代碼后，重新進行測試以確認修改沒有引入新的錯誤或?qū)е缕渌a產(chǎn)生錯誤。自動回歸測試將大幅降低系統(tǒng)測試、維護升級等階段的成本）D、Beta測試（貝塔測試）41.當評估由某IT組織的CRO（首席風險官）完成的控制自我評估（CSA）時，審計師最應(yīng)該關(guān)注以下哪一個選項：（）A、CRO直接向CIO（首席信息官）報告B、某些IT經(jīng)理指出CSA培訓是不能滿足要求C、CRO直接向董事會報告D、CSA流程最近剛剛被組織采用42.執(zhí)行一個Smurf攻擊需要下列哪些組件？（）A、攻擊者，受害者，放大網(wǎng)絡(luò)B、攻擊者，受害者，數(shù)據(jù)包碎片，放大網(wǎng)絡(luò)C、攻擊者，受害者，數(shù)據(jù)包碎片D、攻擊者，受害者，帶外數(shù)據(jù)43.從內(nèi)存角度看，修復(fù)漏洞的安全補丁可以分為文件補丁和內(nèi)存補丁，關(guān)于文件補丁理解錯誤的是：（）A、文件補丁又稱為熱補丁B、安裝文件補丁時，應(yīng)該停止運行原有軟件C、文件補丁的優(yōu)點是直接對待修補的文件進行修改，一步到位D、安裝文件補丁前應(yīng)該經(jīng)過測試，確保能夠正常運行44.IS審計師應(yīng)該最關(guān)注下面哪一種情況（）。A、缺少對成功攻擊網(wǎng)絡(luò)的報告B、缺少對于入侵企圖的通報政策C、缺少對于訪問權(quán)限的定期審查D、沒有通告公眾有關(guān)入侵的情況45.以下不屬于Linux安全加固的內(nèi)容是什么？（）A、配置iptablesB、配置TcpwapperC、啟用SelinuxD、修改root的UID46.以下哪一種加密算法或機制是絕對無法破解的（）。A、數(shù)據(jù)加密標準（DES）B、一次性亂碼填充C、C.國際數(shù)據(jù)加密技術(shù)（IDED、RC2和RC447.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是（）A、由于在實際滲透測試過程中存在不可預(yù)知的風險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復(fù)系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C、滲透測試應(yīng)當經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進行滲透測試48.審計中發(fā)現(xiàn)的證據(jù)表明，有一種欺詐舞弊行為與經(jīng)理的帳號有關(guān)。經(jīng)理把管理員分配給他的密碼寫在紙上后，存放在書桌抽屜里。IS審計師可以推測的結(jié)論是（）。A、經(jīng)理助理有舞弊行為B、不能肯定無疑是誰做的C、肯定是經(jīng)理進行舞弊D、系統(tǒng)管理員進行舞弊49.對磁介質(zhì)的最有效好銷毀方法是（）？A、格式化B、物理破壞C、消磁D、刪除50.（）是目前國際通行的信息技術(shù)產(chǎn)品安全性評估標準？A、TCSECB、ITSECC、CCD、IATF51.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當?shù)?？（）A、只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題B、相信來自陌生人的郵件，好奇打開郵件附件C、開著電腦離開，就像離開家卻忘記關(guān)燈那樣D、及時更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補丁52.windows文件系統(tǒng)權(quán)限管理作用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的（）A、安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS，因為Windows的ACL機制需要NTFS文件格式的支持B、由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對每個文件和目錄設(shè)置嚴格的訪問權(quán)限，為了作用上的便利，Windows上的ACL存在默認設(shè)置安全性不高的問題C、windows的ACL機制中，文件和文件夾的權(quán)限是與主體進行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性，在實際使用中可以為每一個文件設(shè)定獨立的用戶的權(quán)限53.如果一個數(shù)據(jù)庫采用前映像轉(zhuǎn)存儲數(shù)據(jù)，在中斷發(fā)生后程序應(yīng)該從哪開始（恢復(fù)）？（）A、最后一次交易之前B、最后一次交易之后C、最后一次檢查點后的第一次交易D、最后一次檢查點后的最后一次交易54.（）是目前國際通行的信息技術(shù)產(chǎn)品安全性評估標準？A、TCSECB、ITSECC、CCD、IATF55.選擇恢復(fù)策略與方案時要考慮的因素（）。A、防范災(zāi)難的類型、災(zāi)備中心的距離B、數(shù)據(jù)完整性、處理性能C、投入的成本與災(zāi)難中斷的損失D、以上所有56.定義ISMS范圍時，下列哪項不是考慮的重點？（）A、組織現(xiàn)有的部門B、信息資產(chǎn)的數(shù)量與分布C、信息技術(shù)的應(yīng)用區(qū)域D、IT人員數(shù)量57.關(guān)于不恰當?shù)穆氊煼蛛x，審計師的主要責任是（）。A、確保恰當?shù)穆氊煼蛛x的執(zhí)行。B、為管理層提供不恰當?shù)穆氊煼蛛x相關(guān)風險的建議。C、參與組織內(nèi)角色和責任的定義以預(yù)防不恰當?shù)穆氊煼蛛x。D、把違反恰當?shù)穆氊煼蛛x的情況記錄在案58.IS審計師在審查應(yīng)用軟件獲取申請，應(yīng)該確保（）。A、正在使用的操作系統(tǒng)符合現(xiàn)有的硬件平臺B、計劃的操作系統(tǒng)更新已經(jīng)排定，并盡可能減少對公司需求的負面影響。C、操作系統(tǒng)是最新的版本并經(jīng)過升級D、產(chǎn)品與當前或計劃中的操作系統(tǒng)是符合的59.在制定控制前，管理層首先應(yīng)該保證控制（）。A、滿足控制一個風險問題的要求B、不減少生產(chǎn)力C、基于成本效益的分析D、檢測行或改正性的60.下列哪些選項不屬于NIDS的常見技術(shù)？（）A、協(xié)議分析B、零拷貝C、SYNCookieD、IP碎片從重組61.無論是哪一種web服務(wù)器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于（）。A、設(shè)計型漏洞B、開發(fā)型漏洞C、運行型漏洞D、以上都不是62.用于監(jiān)聽和記錄網(wǎng)絡(luò)信息的網(wǎng)絡(luò)診斷工具是（）A、在線監(jiān)視器B、故障時間報告C、幫助平臺報告D、協(xié)議分析儀63.有關(guān)信息安全事件的描述不正確的是（）。A、信息安全事件的處理應(yīng)該分類、分級B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風險很小D、信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓、總結(jié)經(jīng)驗，防止類似事情再次發(fā)生64.出現(xiàn)以下哪種情況，信息系統(tǒng)審計師最需要對第三方托管的云計算機進行審查：（）A、組織無權(quán)評估供應(yīng)商網(wǎng)站的控制B、服務(wù)水平協(xié)議（SLA）沒有規(guī)定供應(yīng)商對于出現(xiàn)安全漏洞時的責任C、組織和供應(yīng)商所在國家應(yīng)用不同的法律和法規(guī)D、組織使用的瀏覽器舊版本存在安全風險65.以下哪一項是采用原型法作為系統(tǒng)開發(fā)方法學的主要缺點？（）A、用戶對項目進度的期望可能過于樂觀B、有效的變更控制和管理不可能實施C、用戶參與日常項目管理可能過于廣泛D、用戶通常不具備足夠的知識來幫助系統(tǒng)開發(fā)66.Whichisthelastlineofdefenseinaphysicalsecuritysense?下列哪一項是物理安全感知的最后一道防線？（）A、perimeterbarriers邊界圍墻67.如圖所示，主體S對客體01有讀（R）權(quán)限，對客體02有讀（R）、寫（）權(quán)限。該圖所示的訪問控制實現(xiàn)方法是（） A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）68.WEB服務(wù)器最好使用以下哪一種方式進行驗證（）。A、安全套接字層協(xié)議（SSL）B、傳輸控制協(xié)議（TCP）C、網(wǎng)際協(xié)議（IP）D、超文本傳輸協(xié)議（HTTP）69.下圖是某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，如果說該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從圖中數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。 A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊70.軟件開發(fā)中的瀑布生命周期模型最適合用于的環(huán)境是？（）A、在系統(tǒng)擬運行的商業(yè)環(huán)境中，需求能被很好的理解并預(yù)期能保持穩(wěn)定B、需求能被很好的理解同時項目時間緊C、項目打算應(yīng)用面向?qū)ο蟮脑O(shè)計和開發(fā)技術(shù)D、項目將使用新技術(shù)71.下面哪一項不是通用IDS模型的組成部分（）A、傳感器B、過濾器C、分析器D、管理器72.哪一個最能保證來自互聯(lián)網(wǎng)internet的交易事務(wù)的保密性（）。A、數(shù)字簽名B、數(shù)字加密標準（DES）C、虛擬專用網(wǎng)（VPN）D、公鑰加密（PublicKeyencryption）73.ISO9000標準系列著重于以下哪一個方面？（）A、產(chǎn)品B、加工處理過程C、原材料D、生產(chǎn)廠家74.以下那一個角色一般不能對安全日志文件實施檢查（）。A、安全管理員B、安全主管C、系統(tǒng)主管D、系統(tǒng)管理員75.Thetypicalcomputerfraudstersareusuallypersonswithwhichofthefollowingcharacteristics?典型的計算機詐騙者通常具有哪一項特性？（）A、Theyholdapositionoftrust他們具有被信任的職位B、Theyconspirewithothers他們有同謀C、Theyhavehadpreviouscontactwithlawenforcement他們早先與執(zhí)法部門有過接觸D、Theydeviatefromtheacceptednormsofsociety他們偏離社會可接受的規(guī)范第2卷一.參考題庫(共75題)1.對稱密鑰加密的下列哪一方面因素會對非對稱加密的發(fā)展起作用？（）A、處理能力B、數(shù)據(jù)量C、密鑰分配D、算法的復(fù)雜度2.分布式拒絕服務(wù)（DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標系統(tǒng)的（）A、保密性B、完整性C、可用性D、真實性3.某網(wǎng)站為了開發(fā)的便利，SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SOL注入漏洞，導致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則（）A、權(quán)限分離原則B、最小特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則4.依據(jù)國家標準GB/T20274《信息系統(tǒng)安全保障評估框架》.在信息系統(tǒng)安全目標中，評估對象包括哪些內(nèi)容？（）A、信息系統(tǒng)管理體系、技術(shù)體系、業(yè)務(wù)體系B、信息系統(tǒng)整體、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術(shù)和信息系統(tǒng)安全工程C、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術(shù)和信息系統(tǒng)安全工程D、信息系統(tǒng)組織機構(gòu)、管理制度、資產(chǎn)5.當實施一應(yīng)用軟件包，以下哪項存在最大的風險？（）A、未控制的多個軟件版本B、與目標代碼不一致的源程序C、不正確的參數(shù)設(shè)置D、編程錯誤6.為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個風險（）例子。A、防止B、轉(zhuǎn)移C、緩解D、接受7.在計劃軟件開發(fā)項目時，以下哪一項最難以確定（）。A、項目延遲時間B、項目的關(guān)鍵路線C、個人任務(wù)需要的時間和資源D、不包括動態(tài)活動的，在其他結(jié)束之前的關(guān)系8.CC中的評估保證級（EAL）分為（）級A、6級B、7級C、5級D、4級9.拒絕式服務(wù)攻擊會影響信息系統(tǒng)的哪個特性？（）A、完整性B、可用性C、機密性D、可控性10.面向數(shù)據(jù)的系統(tǒng)開發(fā)11.下面哪一個applet入侵事件暴露了組織的最大風險（）。A、程序在客戶機上引入病毒B、Applet記錄了鍵盤操作和密碼C、下載的代碼讀取客戶機上的數(shù)據(jù)D、Applet開放了客戶機連接12.風險評估不包括以下哪個活動（）A、中斷引入風險的活動B、識別資產(chǎn)C、識別威脅D、分析風險13.建立ISMS的步驟正確的是（）？A、明確ISMS范圍-確定ISMS策略-定義風險評估方法-進行風險評估-設(shè)計和選擇風險處置方法-設(shè)計ISMS文件-進行管理者承諾（審批）B、定義風險評估方法-進行風險評估-設(shè)計和選擇風險處置方法-設(shè)計ISMS文件-進行管理者承諾（審批）-確定ISMS策略C、確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設(shè)計和選擇風險處置方法-設(shè)計ISMS文件-進行管理者承諾（審批）D、明確ISMS范圍-定義風險評估方法-進行風險評估-設(shè)計和選擇風險處置方法-確定ISMS策略-設(shè)計ISMS文件-進行管理者承諾（審批）14.信息系統(tǒng)審計師在一個客戶/服務(wù)器環(huán)境下評審訪問控制時，發(fā)現(xiàn)用戶能接觸所有打印選項，在這種情況下，信息系統(tǒng)審計師最可能歸納出（）。A、信息被非授權(quán)用戶使用，信息泄漏很嚴重。B、任何人在任何時候都可以打印任何報告，運行效率得到提高。C、信息容易被使用，使工作方法更加有效。D、用戶中信息流動通暢，促進了用戶的友好性和靈活性。15.全面構(gòu)建我國信息安全人才體系是國家政策、組織機構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求，“加快信息安全人才培養(yǎng)，增強全民信息安全意識”的指導精神，是以下哪一個國家政策文件提出的？（）A、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》B、《信息安全等級保護管理辦法》C、《中華人民共和國計算機信息系統(tǒng)安全保護條例》D、《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》16.在實際應(yīng)用中，下面哪種加密形式既安全又方便？（）A、選擇性記錄加密B、選擇性字段加密C、數(shù)據(jù)表加密D、系統(tǒng)表加密17.令牌（Tokens），智能卡及生物檢測設(shè)備同時用于識別和鑒別，依據(jù)的是以下哪個原則？（）A、多因素鑒別原則B、雙因素鑒別原則C、強制性鑒別原則D、自主性鑒別原則18.制訂基于風險的審計程序時，IS審計師最可能關(guān)注的是（）A、業(yè)務(wù)程序/流程B、關(guān)鍵的IT應(yīng)用C、運營控制D、業(yè)務(wù)戰(zhàn)略19.為滿足預(yù)定義的標準，下面哪一種連續(xù)審計技術(shù)，對于查找要審計的事務(wù)是最佳的工具（）。A、系統(tǒng)控制審計檢查文件和嵌入式審計模塊（SCARF/EAM）B、持續(xù)和間歇性模擬（CIS）C、整體測試（ITF.D、審計鉤（Audithooks）20.KerBeros算法是一個（）。A、面向訪問的保護系統(tǒng)B、面向票據(jù)的保護系統(tǒng)C、面向列表的保護系統(tǒng)D、面向門與鎖的保護系統(tǒng)21.依據(jù)國家標準《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)范圍》（GB/T20988），災(zāi)難恢復(fù)管理過程的主要步驟是災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理；其中災(zāi)難恢復(fù)策略實現(xiàn)不包括以下哪一項？（）A、分析業(yè)務(wù)功能B、選擇和建設(shè)災(zāi)難備份中心C、實現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案D、實現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護能力22.依據(jù)國家標準《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988），需要備用場地但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級的第幾級？（）A、2B、3C、4D、523.校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因，200臺以內(nèi)的用戶主機不能正常工作，屬于以下哪種級別事件？（）A、特別重大事件B、重大事件C、較大事件D、一般事件24.IS審計師審查對于應(yīng)用程序的訪問，以確定最近的10個"新用戶"是否被爭取的授權(quán)，這個例子是關(guān)于（）。A、變量抽芽B、實質(zhì)性測試C、符合性測試D、停-走抽樣.25.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是（）A、涉密信息系統(tǒng)的風險評估應(yīng)按照《信息安全等級保護管理辦法》等國家有關(guān)保密規(guī)定和標準進行B、非涉密信息系統(tǒng)的風險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等有關(guān)要求進行C、可委托同一專業(yè)測評機構(gòu)完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務(wù)項目驗收的重要內(nèi)容26.當信息系統(tǒng)審計師評估一個高可用性網(wǎng)絡(luò)的恢復(fù)能力時，如發(fā)生下列情況應(yīng)最為關(guān)注（）。A、設(shè)備在地理位置上分散B、網(wǎng)絡(luò)服務(wù)器位于同一地點C、熱站就緒可以被激活D、網(wǎng)絡(luò)執(zhí)行了不同行程27.開發(fā)一個風險管理程序時進行的第一項活動是（）A、威脅評估B、資料分類C、資產(chǎn)盤點D、并行模擬28.公司與外部咨詢公司簽署合同實施商業(yè)的金融系統(tǒng)以取代現(xiàn)有的內(nèi)部開發(fā)的系統(tǒng)。在審查提出的開發(fā)目標時，應(yīng)該最關(guān)注的是下面哪一項（）。A、由用戶管理驗收測試B、質(zhì)量計劃不是合同交付的一部分C、并非所有業(yè)務(wù)功能都將在初步實施時實現(xiàn)D、使用原型法保證系統(tǒng)滿足業(yè)務(wù)需要29.時間流逝對停工成本和替換恢復(fù)策略成本有什么影響？（）A、兩個成本增加B、停工成本增加，替代恢復(fù)策略的成本隨時間的流逝而減少C、兩個成本都隨時間的流逝而減少D、沒有影響30.Whichtunnelingprotocolcanbedescribedbythesecharacteristics:1)Handlesmultipleconnectionsatthesametime,2)Providessecureauthtenticationandencryption,3)SupportsonlyIPnetworks,4)UsedtobefocusedmostlyonLAN-to-LANcommunicationratherthandial-upprotocol,5)WorksatthenetworklayerandprovidessecurityontopofIP.以下選項中，那個隧道協(xié)議可以被描述為以下特點1.同一時間處理多個連接2.提供安全認證和加密3.僅支持IP網(wǎng)絡(luò)4.主要用于局域網(wǎng)到局域網(wǎng)的通信5.工作在網(wǎng)絡(luò)層以及提供IP安全（）A、HybridL2PPB、IPSecC、L2FD、L2TP31.信息系統(tǒng)審計師出具審計報告指出邊界網(wǎng)關(guān)缺少防火墻保護，并推薦了一個外部產(chǎn)品來解決這一缺陷。信息系統(tǒng)審計師違反了（）。A、專業(yè)獨立性B、組織獨立性C、技術(shù)能力D、專業(yè)能力32.橢圓曲線密碼方案是指（）。A、基于橢圓曲線上的大整數(shù)分解問題構(gòu)建的密碼方案B、通過橢圓曲線方程求解的困難性構(gòu)建的密碼方案C、基于橢圓曲線上有限域離散對數(shù)問題構(gòu)建的密碼方案D、通過尋找是單向陷門函數(shù)的橢圓曲線函數(shù)構(gòu)建的密碼方案33.以下哪一項是針對部件通訊故障/錯誤的控制（）。A、限制操作員訪問和維護審計軌跡B、監(jiān)視并評審系統(tǒng)工程活動C、配備網(wǎng)絡(luò)冗余D、建立接觸網(wǎng)絡(luò)傳輸數(shù)據(jù)的物理屏障34.在信息系統(tǒng)審計時，對于需要收集的數(shù)據(jù)的程序是基于以下哪項而決定的？（）A、重要信息及需求信息的可用性B、審計師對環(huán)境的熟悉程度C、被審計機構(gòu)找到相關(guān)證據(jù)的能力D、審計項目的目的和范圍35.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分，不屬于正確劃分級別的是（）。A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)36.有關(guān)項目管理，錯誤的理解是：（）A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理，包括對項目范圍、時間成本、質(zhì)量、人力、資源溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用37.下面哪一個短語能用來描述包含在一個應(yīng)用程序中一系列指令中的惡意代碼，例如一個字處理程序或表格制作軟件？（）A、主引導區(qū)病毒B、宏病毒C、木馬D、腳本病毒38.在審計一家專注于電子商務(wù)的企業(yè)時，信息系統(tǒng)經(jīng)理表明當從客戶獲取信息時使用了數(shù)字簽名。要證實此說法，信息系統(tǒng)審計師應(yīng)證實以下哪項被應(yīng)用？（）A、使用生物，數(shù)字，加密參數(shù)的客戶公鑰B、使用客戶私鑰加密并傳輸?shù)墓Ｖ礐、使用客戶公鑰加密并傳輸?shù)墓Ｖ礑、掃描的用戶簽名已使用客戶公鑰加密39.假脫機系統(tǒng)（外圍同時聯(lián)機操作）40.為確保業(yè)務(wù)應(yīng)用能成功地的離岸開發(fā)，下面哪項是最好的？（）A、嚴格的履行合同管理B、詳細并且正確使用的說明書C、有文化和政策差異的意識D、部署后再檢查41.通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在？（）A、明文形式存在B、服務(wù)器加密后的密文形式存在C、hash運算后的消息摘要值存在D、用戶自己加密后的密文形式存在42.在對遠程辦公的安全規(guī)劃中，應(yīng)首先回答以下哪一個問題（）。A、什么數(shù)據(jù)是機密的B、員工需要訪問哪些系統(tǒng)和數(shù)據(jù)C、需要何種訪問方式D、系統(tǒng)和數(shù)據(jù)的敏感性如何43.IP欺騙（IPSpoof）是利用TCP/IP協(xié)議中（）的漏洞進行攻擊的。A、對源IP地址的鑒別方式B、結(jié)束會話時的四次握手過程C、IP協(xié)議尋址機制D、TCP尋址機制44.下面對ISO27001的說法最準確的是（）。A、該標準的題目是信息安全管理體系實施指南B、該標準為度量信息安全管理體系的開發(fā)和實施提供的一套標準C、該標準提供了一組信息安全管理相關(guān)的控制和最佳實踐D、該標準為建立、實施、運行、監(jiān)控、審核、維護和改進信息安全體系提供了一個模型45.小李在某單位是負責信息安全風險管理方面工作的部門領(lǐng)導，主要負責對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓。一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項（）。A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風險分析技術(shù)主要指在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化46.生物測量系統(tǒng)的精確度指標是（）。A、系統(tǒng)響應(yīng)時間B、注冊時間C、輸入文件的大小D、誤接受率47.關(guān)于信息安全保障的概念，下面說法錯誤的是（）A、信息系統(tǒng)面臨的風險和威脅是動態(tài)變化的，信息安全保障強調(diào)動態(tài)的安全理念B、信息安全保障已從單純的保護和防御階段發(fā)展為集保護、檢測和響應(yīng)為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來保障信息安全D、信息安全保障把信息安全從技術(shù)擴展到管理，通過技術(shù)、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務(wù)使命的保障48.在進行業(yè)務(wù)持續(xù)審計的時候，審計師發(fā)現(xiàn)業(yè)務(wù)持續(xù)計劃僅僅覆蓋到了關(guān)鍵流程，那么審計師應(yīng)該（）。A、建議業(yè)務(wù)持續(xù)計劃涵蓋所有業(yè)務(wù)流程B、評估未包含業(yè)務(wù)流程的影響C、將發(fā)現(xiàn)報告給IT經(jīng)理D、重新定義關(guān)鍵流程49.私網(wǎng)地址用于配置本地網(wǎng)絡(luò)，下面的地址中，屬于私網(wǎng)的是（）。A、100B、C、D、50.下列不屬于SQLServer2000中的數(shù)據(jù)庫對象的是（）A、表B、表空間C、存儲過程D、觸發(fā)器51.下列有關(guān)救件問題生命周期模型狀態(tài)定義的說法中，錯誤的是（）。A、"新建"表示測試中發(fā)現(xiàn)開報告了新的軟件問題B、"打開"表示軟件問題已經(jīng)被確認并分配測試工程師處理C、"關(guān)閉"表示軟件問題已被已被確認為無效的軟件問題D、"解決"表示軟件問題己被確認修復(fù)52.在Internet應(yīng)用中使用applets，最可能的解釋是：（）A、它由服務(wù)器通過網(wǎng)絡(luò)傳輸B、服務(wù)器沒有運行程序，輸出也沒有經(jīng)過網(wǎng)絡(luò)傳輸C、改進了web服務(wù)和網(wǎng)絡(luò)的性能D、它是一個通過網(wǎng)絡(luò)瀏覽器下載的JAVA程序，由客戶機web服務(wù)器執(zhí)行53.計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知？（）A、系統(tǒng)管理員B、律師C、恢復(fù)協(xié)調(diào)員D、硬件和軟件廠商54.在制定組織間的保密協(xié)議，以下哪一個不是需要考慮的內(nèi)容？（）A、需要保護的信息B、協(xié)議期望持續(xù)時間C、合同雙方的人員數(shù)量要求D、違反協(xié)議后采取的措施55.以下關(guān)于RBAC模型說法正確的是（）。A、該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權(quán)限B、一個用戶必須扮演并激活某種角色，才能對一個象進行訪問或執(zhí)行某種操作C、在該模型中，每個用戶只能有一個角色D、在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián)56.當進行程序變更測試時，以下哪一項是最好的進行抽樣的總體列表？（）A、測試庫清單B、源程序清單C、程序變更申請D、生產(chǎn)庫清單57.以下哪一個是數(shù)據(jù)保護的最重要的目標？（）A、確定需要訪問信息的人員B、確保信息的完整性C、拒絕或授權(quán)對系統(tǒng)的訪問D、監(jiān)控邏輯訪問58.為了保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當終止與員工的聘用關(guān)系時下面哪一項是最好的方法？（）A、進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B、進行離職談話，禁止員工賬號，更改密碼C、讓員工簽署跨邊界協(xié)議D、列出員工在解聘前需要注意的所有責任59.以下哪一個代表EDI環(huán)境中潛在的最大風險（）。A、交易授權(quán)B、遺失或重復(fù)EDI傳輸C、傳輸延遲D、在確定應(yīng)用控制之前刪除或操縱交易60.以下哪項可最大程度地保證消息真實性？（）A、哈希摘要根據(jù)要發(fā)送的消息計算得出B、哈希摘要使用發(fā)送者私鑰進行加密C、哈希摘要和消息使用密鑰進行加密D、發(fā)送者獲取接受者公鑰，并通過認證頒發(fā)機構(gòu)來驗證其數(shù)字認證的真實性61.下列針對windows主機安全說法最準確的是（）A、系統(tǒng)重新安裝后最安全B、系統(tǒng)安裝了防病毒和防火墻就安全了C、把管理員密碼長度修改的比較復(fù)雜安全D、經(jīng)過專業(yè)的安全服務(wù)人員根據(jù)業(yè)務(wù)系統(tǒng)的需要進行評估，然后根據(jù)評估結(jié)果進行安全加固后比較安全62.Kerberos協(xié)議是常用的集中訪問控制協(xié)議，通過可信第三方的認證服務(wù)，減輕應(yīng)用服務(wù)器的負擔。Kerberos的運行環(huán)境由秘鑰分發(fā)中心（KDC）、應(yīng)用服務(wù)器和客戶端三個部分組成。其中，KDC分為認證服務(wù)AS和票據(jù)授權(quán)服務(wù)TGS兩部分。下圖展示了Kerberos協(xié)議的三個階段，分別為（1）kerberos獲得服務(wù)許可票據(jù)，（2），kerberos獲得服務(wù)，（3）kerberos獲得票據(jù)許可票據(jù)。下列選項中，對這三個階段的排序正確的是（） A、（1）→（2）→（3）B、（3）→（2）→（1）C、（2）→（1）→（3）D、（3）→（1）→（2）63.由于獨立的信息系統(tǒng)增加，一個國有房產(chǎn)公司要求在發(fā)生重大故障后，必須保證能夠繼續(xù)提供IT服務(wù)。需要實施哪個流程才能提供這種保證性？（）A、可用性管理B、IT服務(wù)連續(xù)性管理C、服務(wù)級別管理D、服務(wù)管理64.下面哪一個情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C、用戶使用加密軟件對自己編寫的office文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D、某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失敗的登錄過程記錄在系統(tǒng)日志中65.在linux系統(tǒng)中擁有最高級別權(quán)限的用戶是：（）A、rootB、administratorC、mailD、nobody66.下列哪一項能保證發(fā)送者的真實性和e-mail的機密性？（）A、用發(fā)送者的私鑰加密消息散列（hash），然后用接收者的公鑰加密消息散列（hash）B、發(fā)送者對消息進行數(shù)字簽名然后用發(fā)送者的私鑰加密消息散列（hash）C、用發(fā)送者的私鑰加密消息散列（hash），然后用接收者的公鑰加密消息。D、用發(fā)送者的私鑰加密消息，然后用接收者的公鑰加密消息散列（hash）67.下列關(guān)于Kerberos的描述，哪一項是正確的？（）A、埃及神話中的有三個頭的狗B、安全模型C、遠程身份驗證撥入用戶服務(wù)器D、一個值得信賴的第三方認證協(xié)議68.以下哪項是CSA的目標（）。A、專注于高風險領(lǐng)域B、代替審計責任C、完善控制問卷D、協(xié)助推進交流69.以下哪一項對安全風險的描述是準確的（）。A、安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性B、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實C、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風險是指資產(chǎn)的脆弱性被威脅利用的情形70.你來到服務(wù)器機房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結(jié)果對與持定脆弱性相關(guān)的威脅真正出現(xiàn)