CISP模擬測(cè)試題【附答案】

第頁(yè)CISP模擬測(cè)試題【附答案】一、單選題1.下面哪個(gè)模型和軟件安全開(kāi)發(fā)無(wú)關(guān)（）？A、微軟提出的“安全開(kāi)發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開(kāi)發(fā)必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護(hù)的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D2.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶(hù)數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ〢、由于單位并無(wú)專(zhuān)業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書(shū)委托某網(wǎng)絡(luò)安全公司技術(shù)人員對(duì)本次攻擊進(jìn)行取證B、由于公司缺乏備用硬盤(pán),因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來(lái)進(jìn)行取證C、由于公司缺乏備用硬盤(pán),因此網(wǎng)絡(luò)管理員申請(qǐng)采購(gòu)與服務(wù)器硬盤(pán)同一型號(hào)的硬盤(pán)用于存儲(chǔ)恢復(fù)出來(lái)的數(shù)據(jù)D、由于公司并無(wú)專(zhuān)業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作【正確答案】：B3.某移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是：A、所選擇的特征（指紋）便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的C、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題D、此類(lèi)系統(tǒng)一般由用戶(hù)指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】：C4.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶(hù)通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶(hù)使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶(hù)利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶(hù)使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D5.以下關(guān)于直接附加存儲(chǔ)(DirectAttachedStorage，DAS)說(shuō)法錯(cuò)誤的是：A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)．是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴(lài)性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取保密注冊(cè)信息安全專(zhuān)業(yè)人員考試模擬考試試卷12/16D、較網(wǎng)絡(luò)附加存儲(chǔ)(NetworkAttachedStorage，NAS)，DAS節(jié)省硬盤(pán)空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份【正確答案】：D6.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴(lài)安全服務(wù)?A、加密B、數(shù)字簽名C、訪(fǎng)問(wèn)控制D、路由控制。【正確答案】：B7.Windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是A、Regsvr32B、RegeditC、Regedit.mscD、Regedit.mmc【正確答案】：B8.風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，其中，明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)的文檔是（）A《風(fēng)險(xiǎn)評(píng)估方案》B、《風(fēng)險(xiǎn)評(píng)估程序》C、《資產(chǎn)識(shí)別清單》D、《風(fēng)險(xiǎn)評(píng)估報(bào)告》【正確答案】：B9.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全（）A、信息安全管理體系（ISMS）B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO270000系統(tǒng)【正確答案】：B10.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）

A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C11.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】：D12.隨著互聯(lián)網(wǎng)的迅猛發(fā)展、WEB信息的增加,用戶(hù)要在信息海洋里查找自己所需的信息,就象大海撈針一樣,索引擎技術(shù)恰好解決了這一難題。以下關(guān)于搜索引擎技術(shù)特點(diǎn)的描述中錯(cuò)誤的是()A、搜索引擎以一定的策略在Web系統(tǒng)中搜索和發(fā)現(xiàn)信息B、搜索引擎可以分為目錄導(dǎo)航式與網(wǎng)頁(yè)索引式C、搜索器在Internet上逐個(gè)訪(fǎng)問(wèn)Web站點(diǎn),并建立一個(gè)網(wǎng)站的關(guān)鍵字列表D、索引器功能是理解搜索器獲取的信息,向用戶(hù)顯示查詢(xún)結(jié)果【正確答案】：D13.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來(lái)自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿(mǎn)足安全要求【正確答案】：D14.2005年4月1日正式施行的《電子簽名法》，被稱(chēng)為“中國(guó)首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說(shuō)法錯(cuò)誤的是：A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書(shū)C、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有【正確答案】：D15.在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。某公司準(zhǔn)備部署一臺(tái)防火墻來(lái)保護(hù)內(nèi)網(wǎng)主機(jī)，下列選項(xiàng)中部署位置正確的是A、內(nèi)網(wǎng)主機(jī)——交換機(jī)——防火墻——外網(wǎng)B、防火墻——內(nèi)網(wǎng)主機(jī)——交換機(jī)——外網(wǎng)C、內(nèi)網(wǎng)主機(jī)——防火墻——交換機(jī)——外網(wǎng)D、防火墻——交換機(jī)——內(nèi)網(wǎng)主機(jī)——外網(wǎng)【正確答案】：A16.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對(duì)即將上線(xiàn)的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤(pán)C、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅D、將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能【正確答案】：B17.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪(fǎng)問(wèn)制定訪(fǎng)問(wèn)策略，針對(duì)每個(gè)用戶(hù)指明能夠訪(fǎng)問(wèn)的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪(fǎng)問(wèn)。該訪(fǎng)問(wèn)控制策略屬于以下哪一種A、強(qiáng)制訪(fǎng)問(wèn)控制B、基于角色的訪(fǎng)問(wèn)控制C、自主訪(fǎng)問(wèn)控制D、基于任務(wù)的訪(fǎng)問(wèn)控制【正確答案】：C18.對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響，依據(jù)信息系統(tǒng)的重要程度對(duì)信息進(jìn)行劃分，不屬于正確劃分級(jí)別的是：A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D19.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶(hù)安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A20.風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含：A、過(guò)程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)【正確答案】：D21.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：A、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中B、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫(xiě)等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長(zhǎng)覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間【正確答案】：A22.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是：A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B、系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋?zhuān)C明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開(kāi)發(fā)的方法。D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科?！菊_答案】：C23.某項(xiàng)目組進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)由于時(shí)間有限，決定采用基于知識(shí)的分析方法，使用基于知識(shí)的分析方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，最重要的在于評(píng)估信息的采集，該項(xiàng)目組對(duì)信息源進(jìn)行了討論，以下說(shuō)法中不可行的是（）A、可以通過(guò)對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查采集評(píng)估信息B、可以通過(guò)進(jìn)行實(shí)施考察的方式采集評(píng)估信息C、可以通過(guò)建立模型的方法采集評(píng)估信息D、可以制作問(wèn)卷，進(jìn)行調(diào)查【正確答案】：C24.主體S對(duì)客體01有讀(R)權(quán)限，對(duì)客體02有讀(R)、寫(xiě)(W)、擁有(Own)權(quán)限，該訪(fǎng)問(wèn)控制實(shí)現(xiàn)方法是：A、訪(fǎng)問(wèn)控制表(ACL)B、訪(fǎng)問(wèn)控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C25.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶(hù)穩(wěn)私包，以下關(guān)于用戶(hù)隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶(hù)需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶(hù)的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶(hù)選擇是否允許C、用戶(hù)提交的用戶(hù)名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C26.微軟提出了STRIDE模型，其中R是Repudiation(抵賴(lài))的縮寫(xiě)，此項(xiàng)錯(cuò)誤的是（）A、某用戶(hù)在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱(chēng)“我沒(méi)有下載過(guò)數(shù)據(jù)"軟件R威脅B、某用戶(hù)在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱(chēng)“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過(guò)濾、流量控制等技術(shù)【正確答案】：D27.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是：A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢(xún)服務(wù)商等B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)【正確答案】：C28.某移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是：

A、所選擇的特征（指紋）便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的C、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題D、此類(lèi)系統(tǒng)一般由用戶(hù)指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】：C29.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本【正確答案】：C30.某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí)．信息安全專(zhuān)業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A、災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B、災(zāi)難恢復(fù)測(cè)試計(jì)劃C、災(zāi)難恢復(fù)計(jì)劃(DRP)D、主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件【正確答案】：A31.AES在抵抗差分密碼分析及線(xiàn)性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長(zhǎng)度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長(zhǎng)度？A、64bitB、128bitC、192bitD、256bit【正確答案】：A32.ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ（簡(jiǎn)稱(chēng)Ａｐａｃｈｅ）是一個(gè)開(kāi)放源碼的ＷＥＢ服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶(hù)端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施（）A、安裝后，修改訪(fǎng)問(wèn)控制配置文件B、安裝后，修改配置文件Httpd．Conf中的有關(guān)參數(shù)C、安裝后，刪除ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ源碼D、從正確的官方網(wǎng)站下載ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ，并安裝使用【正確答案】：B33.密碼是一種用來(lái)混淆的技術(shù)，使用者希望正常的（可識(shí)別的）信息轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的信息。但這種無(wú)法識(shí)別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊(cè)一個(gè)公司網(wǎng)站的賬號(hào)，小剛使用一個(gè)安全一點(diǎn)的密碼，請(qǐng)問(wèn)以下選項(xiàng)中哪個(gè)密碼是最安全A、使用和與用戶(hù)名相同的口令B、選擇可以在任何字典或語(yǔ)言中找到的口令C、選擇任何和個(gè)人信息有關(guān)的口令D、采取數(shù)字，字母和特殊符號(hào)混合并且易于記憶【正確答案】：D34.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)尚未設(shè)立中央政府級(jí)的專(zhuān)門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B35.Linux系統(tǒng)的安全設(shè)置主要從磁盤(pán)分區(qū)、賬戶(hù)安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶(hù)鑒別安全、審計(jì)策略、保護(hù)root賬戶(hù)、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來(lái)完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是（）。A、編輯文件/etc/passwd，檢查文件中用戶(hù)ID，禁用所有ID=0的用戶(hù)B、編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為noC、編輯文件/etc/pam.d/system~auth，設(shè)置authrequiredpamtally.soonerr=faildeny=6unlock_time-300D、編輯文件/etc/profile,設(shè)置TMOUT=600【正確答案】：A36.DSA（數(shù)字簽名算法）不提供以下哪種服務(wù)?A、數(shù)據(jù)完整性B、加密C、數(shù)字簽名D、認(rèn)證【正確答案】：B37.以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是A、單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶(hù)之間的傳遞或共享B、使用單點(diǎn)登錄技術(shù)用戶(hù)只需在登錄時(shí)進(jìn)行一次注冊(cè),就可以訪(fǎng)問(wèn)多個(gè)應(yīng)用C、單點(diǎn)登錄不僅方便用戶(hù)使用,而且也便于管理D、使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)【正確答案】：A38.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本【正確答案】：C39.根據(jù)《關(guān)于加**家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》等國(guó)家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《非涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》等要求進(jìn)行C、可委托同一專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告D、此通知不要求將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容【正確答案】：C40.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶(hù)通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶(hù)使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶(hù)利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶(hù)使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D41.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶(hù)安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A42.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：1．標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過(guò)程;2．開(kāi)發(fā)恢復(fù)優(yōu)先級(jí);3．標(biāo)識(shí)關(guān)鍵的IT資源;4．表示中斷影響和允許的中斷時(shí)間

A、１-3-4-2B、１-3-2-4C、1-2-3-4D、１-4-3-2【正確答案】：A43.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購(gòu)買(mǎi)防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】：D44.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，規(guī)定了軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：A、治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng)B、構(gòu)造，主要是在開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng)C、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng)D、購(gòu)置，主要是購(gòu)買(mǎi)第三方商業(yè)軟件或者采用開(kāi)源組件的相關(guān)管理過(guò)程與活動(dòng)【正確答案】：D45.下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題（）

A、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來(lái)考慮多線(xiàn)程技術(shù)，在對(duì)用戶(hù)服務(wù)時(shí)按序排隊(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝?！菊_答案】：C46.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)尚未設(shè)立中央政府級(jí)的專(zhuān)門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B47.某軟件在設(shè)計(jì)時(shí)，有三種用戶(hù)訪(fǎng)問(wèn)模式，分別是僅管理員可訪(fǎng)問(wèn)、所有合法用戶(hù)可訪(fǎng)問(wèn)和允許匿名訪(fǎng)問(wèn))采用這三種訪(fǎng)問(wèn)模式時(shí)，攻擊面最高的是()。A、僅管理員可訪(fǎng)問(wèn)B、所有合法用戶(hù)可訪(fǎng)問(wèn)C、允許匿名D、三種方式一樣【正確答案】：C48.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過(guò)失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無(wú)需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A49.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是：

A、測(cè)量單位是基本實(shí)施(BasePractices，BP)B、測(cè)量單位是通用實(shí)踐(GenericPractices，GP)C、測(cè)量單位是過(guò)程區(qū)域(ProcessAreas，PA)D、測(cè)量單位是公共特征(CommonFeatures，CF)【正確答案】：D50.數(shù)字簽名不能實(shí)現(xiàn)的安全特性為（）A、防抵賴(lài)B、防偽造C、防冒充D、保密通信【正確答案】：D51.小張?jiān)谝徊恢木W(wǎng)站上下載了魯大師并進(jìn)行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張?bào)@出一身汗,因?yàn)樗缾阂獯a將隨之進(jìn)入系統(tǒng)后會(huì)對(duì)他的系統(tǒng)信息安全造成極大的威脅,那么惡意代碼的軟件部署常的實(shí)現(xiàn)方式不包括（）A、攻擊者在獲得系統(tǒng)的上傳權(quán)限后,將惡意代碼部署到目標(biāo)系統(tǒng)B、惡意代碼自身就是軟件的一部分,隨軟件部署傳播C、內(nèi)嵌在軟件中,當(dāng)文件被執(zhí)行時(shí)進(jìn)入目標(biāo)系統(tǒng)D、惡意代碼通過(guò)網(wǎng)上激活【正確答案】：D52.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶(hù)穩(wěn)私包，以下關(guān)于用戶(hù)隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶(hù)需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶(hù)的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶(hù)選擇是否允許C、用戶(hù)提交的用戶(hù)名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C53.以下對(duì)于信息安全事件理解錯(cuò)誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件B、對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D54.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實(shí)施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專(zhuān)家意見(jiàn)綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過(guò)程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)【正確答案】：A55.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：1．標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過(guò)程;2．開(kāi)發(fā)恢復(fù)優(yōu)先級(jí);3．標(biāo)識(shí)關(guān)鍵的IT資源;4．表示中斷影響和允許的中斷時(shí)間

A、１-3-4-2B、１-3-2-4C、1-2-3-4D、１-4-3-2【正確答案】：A56.關(guān)于源代碼審核，描述正確的是（）

A、源代碼審核過(guò)程遵循信息安全保障技術(shù)框架模型(IATF)，在執(zhí)行時(shí)應(yīng)一步一步嚴(yán)格執(zhí)行B、源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問(wèn)題，相關(guān)的審核工具既有商業(yè)開(kāi)源工具C、源代碼審核如果想要有效率高，則主要依賴(lài)人工審核而不是工具審核，因?yàn)槿斯ぶ悄艿?，需要人的腦袋來(lái)判斷D、源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測(cè)試【正確答案】：B57.在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：

A、測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪(fǎng)問(wèn)控制措施B、為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用【正確答案】：B58.下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全工作的主要原則？

A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》D、《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》【正確答案】：C59.某網(wǎng)站在設(shè)計(jì)對(duì)經(jīng)過(guò)了威脅建模和攻擊面分析，在開(kāi)發(fā)時(shí)要求程序員編寫(xiě)安全的代碼，但是在部署時(shí)由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類(lèi)擬問(wèn)題，一下那種測(cè)試方式是最佳的測(cè)試方法。

A、模糊測(cè)試B、源代碼測(cè)試C、滲透測(cè)試D、軟件功能測(cè)試答【正確答案】：C60.訪(fǎng)問(wèn)控制方法可分為自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色訪(fǎng)問(wèn)控制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪(fǎng)問(wèn)控制模型，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在（1）自主訪(fǎng)問(wèn)控制，（2）強(qiáng)制訪(fǎng)問(wèn)控制，（3）基于角色的訪(fǎng)問(wèn)控制（4）基于規(guī)則的訪(fǎng)問(wèn)控制中，能夠滿(mǎn)足以上要求的選項(xiàng)有（）A、只有（1）（2）B、只有（2）（3）C、只有（3）（4）D、只有（4）【正確答案】：C61.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級(jí)別事件()A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：D62.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】：D63.我國(guó)信息安全保障工作先后經(jīng)歷啟動(dòng)、逐步展開(kāi)和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，以下關(guān)于我國(guó)信息安全保障各階段說(shuō)法不正確的是：A、2001國(guó)家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月，國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文），明確了“積極防御、綜合防范“的國(guó)家信息安全保障方針C、2003年中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段D、在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展?！菊_答案】：C64.自主訪(fǎng)問(wèn)控制模型（DAC）的訪(fǎng)問(wèn)控制關(guān)系可以用訪(fǎng)問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪(fǎng)問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶(hù)時(shí)，去除該用戶(hù)所有的訪(fǎng)問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪(fǎng)問(wèn)哪些客體比較方便D、ACL管理或增加客體比較方便【正確答案】：D65.某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運(yùn)行過(guò)程中被攻擊者通過(guò)FTP對(duì)OA系統(tǒng)中的腳本文件進(jìn)行了篡改，安全專(zhuān)家提出使用Http下載代替FTP功能以解決以上問(wèn)題，該安全問(wèn)題的產(chǎn)生主要是在哪個(gè)階段產(chǎn)生的()A、程序員在進(jìn)行安全需求分析時(shí)，沒(méi)有分析出OA系統(tǒng)開(kāi)發(fā)的安全需求B、程序員在軟件設(shè)計(jì)時(shí)，沒(méi)遵循降低攻擊面的原則，設(shè)計(jì)了不安全的功能C、程序員在軟件編碼時(shí)，缺乏足夠的經(jīng)驗(yàn)，編寫(xiě)了不安全的代碼D、程序員在進(jìn)行軟件測(cè)試時(shí)，沒(méi)有針對(duì)軟件安全需求進(jìn)行安全測(cè)試【正確答案】：B66.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）降級(jí)操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO）,小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理【正確答案】：D67.（）第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng)），按照（）實(shí)行分級(jí)保護(hù)，（）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《國(guó)家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A68.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類(lèi)和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是（）A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)【正確答案】：C69.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中，錯(cuò)誤的是（）A、在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟，協(xié)議中的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行。C、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D、密碼協(xié)議(Cryptographicprotocol),有時(shí)也稱(chēng)安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿(mǎn)足安全需求的協(xié)議，其末的是提供安全服務(wù)。【正確答案】：A70.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類(lèi)兩個(gè)控制目標(biāo)。信息分類(lèi)控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù)，通常采取以下哪項(xiàng)控制措施（）A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類(lèi)指南，信息的標(biāo)記和處理【正確答案】：D71.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶(hù)的營(yíng)銷(xiāo)系統(tǒng)，通過(guò)公開(kāi)招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè)應(yīng)用系統(tǒng)均已完成開(kāi)發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)，監(jiān)理公司需要對(duì)A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開(kāi)發(fā)類(lèi)文檔：

A、項(xiàng)目計(jì)劃書(shū)B(niǎo)、質(zhì)量控制計(jì)劃C、評(píng)審報(bào)告D、需求說(shuō)明書(shū)【正確答案】：D72.提高阿帕奇系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置()?A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時(shí)，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶(hù)身份運(yùn)行Apache，而是采用權(quán)限受限的專(zhuān)用用戶(hù)賬號(hào)來(lái)運(yùn)行D、積極了解Apache的安全通告，并及時(shí)下載和更新【正確答案】：A73.甲公司打算制作網(wǎng)絡(luò)連續(xù)時(shí)所需要的插件的規(guī)格尺寸、引腳數(shù)量和線(xiàn)序情況，甲公司將這個(gè)任務(wù)委托了乙公司，那么乙公司的設(shè)計(jì)員應(yīng)該了解OSI參考模型中的哪一層（）A、數(shù)據(jù)鏈路層B、會(huì)話(huà)層C、物理層D、傳輸層【正確答案】：C74.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的討論，在下面的發(fā)言觀(guān)點(diǎn)中，正確的是（）

A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng)，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問(wèn)題。B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期（SDL)最大特點(diǎn)是增加了一個(gè)專(zhuān)門(mén)的安全編碼階段。D、軟件的安全測(cè)試也很重要，考試到程序員的專(zhuān)業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒(méi)有必要再組織第三方進(jìn)行安全性測(cè)試。【正確答案】：B75.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?ARP協(xié)議是一個(gè)無(wú)狀態(tài)的協(xié)議B、為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C、ARP緩存是動(dòng)態(tài)的，可被改寫(xiě)D、ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議【正確答案】：D76.我國(guó)信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說(shuō)法不正確的是：A、建全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐C、建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)【正確答案】：C77.風(fēng)險(xiǎn)評(píng)估相關(guān)政策,目前主要有()(國(guó)信辦[2006]5號(hào))。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(),評(píng)估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等、兩類(lèi)信息系統(tǒng)的()、涉密信息系統(tǒng)參照“分級(jí)保護(hù)”、非涉密信息系統(tǒng)參照“等級(jí)保護(hù)”。A、《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》；重要程度；安全威脅；脆弱性；工作開(kāi)展B、《關(guān)于開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》;安全威脅；重要程度；脆弱性；工作開(kāi)展C、《關(guān)于開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》;重要程度;安全威脅;脆弱性;工作開(kāi)展D、《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》脆弱性;重要程度;安全威脅;工作開(kāi)展【正確答案】：A78.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶(hù)通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶(hù)使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別C、用戶(hù)利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別D、用戶(hù)使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D79.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來(lái)的直接損失，也需要關(guān)注過(guò)度防范造成的間接損失。在以下軟件安全開(kāi)發(fā)策略中，不符合軟件安全保障思想的是：A、在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試、安全評(píng)審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)B、在軟件安全設(shè)計(jì)時(shí)，邀請(qǐng)軟件安全開(kāi)發(fā)專(zhuān)家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足C、確保對(duì)軟編碼人員進(jìn)行安全培訓(xùn)，使開(kāi)發(fā)人員了解安全編碼基本原則和方法，確保開(kāi)發(fā)人員編寫(xiě)出安全的代碼D、在軟件上線(xiàn)前對(duì)軟件進(jìn)行全面安全性測(cè)試，包括源代碼分析、模糊測(cè)試、滲透測(cè)試，未經(jīng)以上測(cè)試的軟件不允許上線(xiàn)運(yùn)行【正確答案】：D80.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)?A、防護(hù)B、檢測(cè)C、反應(yīng)D、策略【正確答案】：D81.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說(shuō)法正確的是：

A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C、數(shù)據(jù)備份按數(shù)據(jù)類(lèi)型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶(hù)數(shù)據(jù)備份D、如果系統(tǒng)在一段時(shí)間內(nèi)沒(méi)有出現(xiàn)問(wèn)題，就可以不用再進(jìn)行容災(zāi)演練了【正確答案】：C82.小李是某公司系統(tǒng)規(guī)劃師，某天他針對(duì)公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設(shè)規(guī)劃圖，如下圖所示。請(qǐng)問(wèn)這個(gè)圖形是依據(jù)下面哪個(gè)模型來(lái)繪制的A、PDRB、PPDRC、PDCAD、IATF【正確答案】：B83.信息安全應(yīng)急響應(yīng),是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施,既包括預(yù)防性措施也包括事件發(fā)生后的應(yīng)對(duì)措施。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的,在下面的應(yīng)急響應(yīng)管理流程圖中,空白方填寫(xiě)正確的選項(xiàng)是（）A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D84.某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的討論，在下面的發(fā)言觀(guān)點(diǎn)中，正確的是（）A、軟件安全開(kāi)發(fā)生命周期較長(zhǎng)，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問(wèn)題。B、應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。C、和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期（SDL)最大特點(diǎn)是增加了一個(gè)專(zhuān)門(mén)的安全編碼階段。D、軟件的安全測(cè)試也很重要，考試到程序員的專(zhuān)業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)試，就沒(méi)有必要再組織第三方進(jìn)行安全性測(cè)試?！菊_答案】：B85.數(shù)據(jù)庫(kù)是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲(chǔ)的是屬于企業(yè)和事業(yè)部門(mén)、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫(kù)中的數(shù)據(jù)是從全局觀(guān)點(diǎn)出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲(chǔ)。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對(duì)某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫(kù)作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的系統(tǒng),毫無(wú)疑問(wèn)會(huì)成為信息安全的重點(diǎn)防護(hù)對(duì)象。數(shù)據(jù)庫(kù)安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲(chǔ)和安全訪(fǎng)問(wèn),對(duì)數(shù)據(jù)庫(kù)安全要求不包括下列A、向所有用戶(hù)提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶(hù)對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)D、能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等【正確答案】：A86.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過(guò)失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無(wú)需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A87.GB/T18336<<信息技術(shù)安全性評(píng)估準(zhǔn)則>>（CC）是測(cè)評(píng)標(biāo)準(zhǔn)類(lèi)中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)（EvaluationAssuranceLevel，EAL）,其評(píng)估保證級(jí)共分為（）個(gè)遞增的評(píng)估保證等級(jí)A、4B、5C、6D、7【正確答案】：D88.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec)協(xié)議說(shuō)法錯(cuò)誤的是：A、在傳送模式中，保護(hù)的是IP負(fù)載。B、驗(yàn)證頭協(xié)議(AuthenticationHeader，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作。C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。D、IPSec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性?！菊_答案】：D89.以下關(guān)于開(kāi)展軟件安全開(kāi)發(fā)必要性描錯(cuò)誤的是？（）

A、軟件應(yīng)用越來(lái)越廣泛B、軟件應(yīng)用場(chǎng)景越來(lái)越不安全C、軟件安全問(wèn)題普遍存在D、以上都不是【正確答案】：D90.相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)?A、NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問(wèn)題，而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C、對(duì)于大磁盤(pán)，NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式【正確答案】：D91.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：1．標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過(guò)程;2．開(kāi)發(fā)恢復(fù)優(yōu)先級(jí);3．標(biāo)識(shí)關(guān)鍵的IT資源;4．表示中斷影響和允許的中斷時(shí)間

A、１-3-4-2B、１-3-2-4C、1-2-3-4D、１-4-3-2【正確答案】：A92.下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的：A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶(hù)和管理員操作日志D、啟用時(shí)鐘同步【正確答案】：A93.操作系統(tǒng)是作為一個(gè)支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而下的破綻,都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實(shí)現(xiàn)該公司操作系統(tǒng)的安全目標(biāo),按書(shū)中所學(xué)建立了應(yīng)的安全機(jī)制,這些機(jī)制不包括（）A、標(biāo)識(shí)與鑒別B、訪(fǎng)問(wèn)控制C、權(quán)限管理D、網(wǎng)絡(luò)云盤(pán)存取保護(hù)【正確答案】：D94.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是：

A、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)／重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事件劃分為4個(gè)級(jí)別：特別重大事件(Ⅰ級(jí))、重大事件(Ⅱ級(jí))、較大事件(Ⅲ級(jí))和一般事件(Ⅳ級(jí))【正確答案】：B95.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開(kāi)發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開(kāi)發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)（）

A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)B、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C、針對(duì)SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)【正確答案】：D96.下列關(guān)于軟件安全開(kāi)發(fā)中的BSI（BuildSecurityIn)系列模型說(shuō)法錯(cuò)誤的是A、BIS含義是指將安全內(nèi)建到軟件開(kāi)發(fā)過(guò)程中，而不是可有可無(wú)，更不是游離于軟件開(kāi)發(fā)生命周期之外B、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全測(cè)試C、軟件安全觸點(diǎn)是軟件開(kāi)發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D、BSI系列模型強(qiáng)調(diào)應(yīng)該使用工程化的方法來(lái)保證軟件安全，即在整個(gè)軟件開(kāi)發(fā)生命周期中都要確保將安全作為軟件的【正確答案】：B97.關(guān)于我國(guó)加強(qiáng)信息安全保障工作的主要原則，以下說(shuō)法錯(cuò)誤的是A、立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國(guó)家安全【正確答案】：D98.kerberos協(xié)議是常用的集中訪(fǎng)問(wèn)控制協(xié)議,通過(guò)可信第三的認(rèn)證服務(wù),減輕應(yīng)用Kerberos的運(yùn)行環(huán)境由秘鑰分發(fā)中心（KDC）、應(yīng)用服務(wù)器和客戶(hù)端三個(gè)部分組成，認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器A、1——2——3B、3——2——1C、2——1——3D、3——1——2【正確答案】：D99.下面關(guān)于信息系統(tǒng)安全保障的說(shuō)法不正確的是：

A、信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄等生命周期密切相關(guān)B、信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C、信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D、信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其業(yè)務(wù)使命【正確答案】：B100.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A、某網(wǎng)站在訪(fǎng)問(wèn)量突然增加時(shí)對(duì)用戶(hù)連接數(shù)量進(jìn)行了限制，保證已登錄的用戶(hù)可以完成操作B、在提款過(guò)程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶(hù)的賬戶(hù)余額進(jìn)行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無(wú)法查看【正確答案】：B101.信息安全管理體系也采用了（）模型，該模型可應(yīng)用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過(guò)必要的()，產(chǎn)生滿(mǎn)足這些要求和期望的（）。A、ISMS；PDCA過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果B、PDCA;ISMS過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果C、ISMS;PDCA過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程D、PDCA;ISMS過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程【正確答案】：B102.降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）指通過(guò)對(duì)面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來(lái)降低風(fēng)險(xiǎn)，下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）A、減少威脅源，采用法律的手段制裁計(jì)算機(jī)的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)B、簽訂外包服務(wù)合同，將有計(jì)算難點(diǎn)，存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的方式交予第三方公司完成，通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)C、減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性【正確答案】：B103.下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱(chēng)CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是______。A、如果用戶(hù)、開(kāi)發(fā)者、評(píng)估者和認(rèn)可者都使用CC語(yǔ)言，互相就容易理解溝通B、通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫(xiě)和安全測(cè)試評(píng)估都具有重要意義C、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要D、通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估【正確答案】：D104.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來(lái)自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿(mǎn)足安全要求【正確答案】：D105.()在實(shí)施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的(),那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團(tuán)公司中相關(guān)人員的綽號(hào)等等。A、攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定B、所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C、攻擊者;所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D、所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定【正確答案】：C106.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開(kāi)發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開(kāi)發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)（）

A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)B、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C、針對(duì)SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)【正確答案】：D107.以下對(duì)異地備份中心的理解最準(zhǔn)確的是：

A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險(xiǎn)的機(jī)率很小【正確答案】：D108.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是：A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B、系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋?zhuān)C明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開(kāi)發(fā)的方法。D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科。【正確答案】：C109.以下關(guān)于法律的說(shuō)法錯(cuò)誤的是（）A、法律是國(guó)家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系和效力B、法律可以是公開(kāi)的，也可以是“內(nèi)部”的C、一旦制定，就比較穩(wěn)定，長(zhǎng)期有效，不允許經(jīng)常更改D、法律對(duì)違法犯罪的后果由明確規(guī)定，是一種“硬約束”【正確答案】：B110.2008年1月2日，美目發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計(jì)劃建立三道防線(xiàn)：第一道防線(xiàn)，減少漏洞和隱患，預(yù)防入侵；第二道防線(xiàn)，全面應(yīng)對(duì)各類(lèi)威脅；第三道防線(xiàn)，強(qiáng)化未來(lái)安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險(xiǎn)為核心，三道防線(xiàn)首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D、CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障【正確答案】：A111.安全評(píng)估技術(shù)采用()這一工具,它是一種能夠自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。A、安全掃描器B、安全掃描儀C、自動(dòng)掃描器D、自動(dòng)掃描儀【正確答案】：A112.信息安全等級(jí)保護(hù)要求中，第三級(jí)適用的正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一般損害C、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害D、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害【正確答案】：B113.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶(hù)安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A114.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱(chēng)現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用【正確答案】：D115.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴(lài)于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C116.依據(jù)國(guó)家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D117.IPv4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全，因此IP包很容易被篡改，并重新計(jì)算校驗(yàn)和。IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。下列選項(xiàng)中說(shuō)法錯(cuò)誤的是（）A、對(duì)于IPv4,IPSec是可選的，對(duì)于IPv6，IPSec是強(qiáng)制實(shí)施的B、IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)C、IPSec是一個(gè)單獨(dú)的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制【正確答案】：C118.關(guān)于Kerberos認(rèn)證協(xié)議，以下說(shuō)法錯(cuò)誤的是A、只要用戶(hù)拿到了認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒(méi)有過(guò)期，就可以使用該TGT通過(guò)票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼B、認(rèn)證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS）是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴(lài)于AS和TGSC、該協(xié)議通過(guò)用戶(hù)獲得票據(jù)許可票據(jù)、用戶(hù)獲得服務(wù)許可票據(jù)、用戶(hù)獲得服務(wù)三個(gè)階段，僅支持服務(wù)器對(duì)用戶(hù)的單向認(rèn)證D、該協(xié)議是一種基于對(duì)稱(chēng)密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶(hù)數(shù)量增加，密鑰管理較復(fù)雜【正確答案】：C119.以下關(guān)于信息安全法治建設(shè)的意義，說(shuō)法錯(cuò)誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對(duì)行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng)C、信息安全主要是技術(shù)問(wèn)題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系【正確答案】：C120.windows文件系統(tǒng)權(quán)限管理使用訪(fǎng)問(wèn)控制列表（AccessControlList.ACL）機(jī)制，以下哪個(gè)說(shuō)法是錯(cuò)誤的：A、安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪(fǎng)問(wèn)權(quán)限，為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問(wèn)題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪(fǎng)問(wèn)權(quán)限信息是寫(xiě)在用戶(hù)數(shù)據(jù)庫(kù)中的D、由于ACL具有很好靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立擁護(hù)的權(quán)限【正確答案】：C121.某用戶(hù)通過(guò)賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過(guò)程屬于以下哪一類(lèi)：A、個(gè)人網(wǎng)銀系統(tǒng)和用戶(hù)之間的雙向鑒別B、由可信第三方完成的用戶(hù)身份鑒別C、個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶(hù)身份的單向鑒別D、用戶(hù)對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別【正確答案】：C122.微軟提出了STRIDE模型，其中Repudation（抵賴(lài)）的縮寫(xiě)，關(guān)于此項(xiàng)安全要求，下面描述錯(cuò)誤的是（）A、某用戶(hù)在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱(chēng)“我沒(méi)有下載過(guò)數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅就屬于R威脅B、解決R威脅，可以選擇使用抗抵賴(lài)性服務(wù)技術(shù)來(lái)解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施C、R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高D、解決R威脅，也應(yīng)按照確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來(lái)進(jìn)行【正確答案】：C123.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀(guān)的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的（），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀(guān)信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是（）,信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種（）的信心。A、安全保障工作；客觀(guān)證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B、客觀(guān)證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C、客觀(guān)證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D、客觀(guān)證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B124.在信息安全管理的實(shí)施過(guò)程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿(mǎn)足信息安全的重要性，傳達(dá)滿(mǎn)足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程、確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確【正確答案】：D125.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec)協(xié)議說(shuō)法錯(cuò)誤的是：A、在傳送模式中，保護(hù)的是IP負(fù)載。B、驗(yàn)證頭協(xié)議(AuthenticationHeader，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作。C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。D、IPSec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性?！菊_答案】：D126.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說(shuō)法正確的是：A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí)C、數(shù)據(jù)備份按數(shù)據(jù)類(lèi)型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶(hù)數(shù)據(jù)備份D、如果系統(tǒng)在一段時(shí)間內(nèi)沒(méi)有出現(xiàn)問(wèn)題，就可以不用再進(jìn)行容災(zāi)演練了【正確答案】：C127.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來(lái)自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿(mǎn)足安全要求【正確答案】：D128.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測(cè)試關(guān)注的范疇（）。A、排版結(jié)構(gòu)的測(cè)試B、數(shù)據(jù)完整性測(cè)試C、客戶(hù)端兼容性的測(cè)試D、鏈接結(jié)構(gòu)的測(cè)試【正確答案】：B129.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫(huà)了一下一張圖(圖中包括了規(guī)劃建立、實(shí)施運(yùn)行、保持和改進(jìn))，但是他還存在一個(gè)空白處未填寫(xiě)，請(qǐng)幫他選擇一個(gè)最合適的選項(xiàng)（）。

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評(píng)審ISMSD、溝通和咨詢(xún)ISMS【正確答案】：C130.以下對(duì)于信息安全事件理解錯(cuò)誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件B、對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D131.下面哪一項(xiàng)不是虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪(fǎng)問(wèn)控制器訪(fǎng)問(wèn)控制系統(tǒng)(TACACS+)D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)【正確答案】：C132.下列關(guān)于測(cè)試方法的敘述中不正確的是（）A、從某種角度上講，白盒測(cè)試與墨盒測(cè)試都屬于動(dòng)態(tài)測(cè)試B、功能測(cè)試屬于黑盒測(cè)試C、結(jié)構(gòu)測(cè)試屬于白盒測(cè)試D、對(duì)功能的測(cè)試通常是要考慮程序的內(nèi)部結(jié)構(gòu)的【正確答案】：D133.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是（）。

A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析C、定性風(fēng)險(xiǎn)分析過(guò)程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀(guān)性，而定量風(fēng)險(xiǎn)分析更具客觀(guān)性【正確答案】：B134.信息發(fā)送者使用__________進(jìn)行數(shù)字簽名。

A、己方的私鑰B、己方的公鑰C、對(duì)方的私鑰D、對(duì)方的公鑰【正確答案】：A135.下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是：

A、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C、信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入【正確答案】：D136.下列選項(xiàng)中,對(duì)風(fēng)險(xiǎn)評(píng)估文檔的描述中正確的是A、評(píng)估結(jié)果文檔包括描述資產(chǎn)識(shí)別和賦值的結(jié)果,形成重要資產(chǎn)列表B、描述評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃,選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施,明確責(zé)任、進(jìn)度、資源,并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)以確定所選擇安全措施的有效性的《風(fēng)險(xiǎn)評(píng)估程序》C、在文檔分發(fā)過(guò)程中作廢文檔可以不用添加標(biāo)識(shí)進(jìn)行保留D、對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文檔行,還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制【正確答案】：D137.下列對(duì)網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos描述正確的是：A、該協(xié)議使用非對(duì)稱(chēng)密鑰加密機(jī)制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶(hù)機(jī)三個(gè)部分組成C、該協(xié)議完成身份鑒別后將獲取用戶(hù)票據(jù)許可票據(jù)D、使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境【正確答案】：C138.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）

A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C139.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展(SecureMultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是（）A、S/MIME采用了非對(duì)稱(chēng)密碼學(xué)機(jī)制B、S/MIME支持?jǐn)?shù)字證書(shū)C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶(hù)身份認(rèn)證和郵件加密【正確答案】：C140.有關(guān)質(zhì)量管理，錯(cuò)誤的理解是（）。A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)B、規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是ISO9000系列標(biāo)準(zhǔn)C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理D、質(zhì)量管理體系從機(jī)構(gòu)，程序、過(guò)程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來(lái)提升質(zhì)量【正確答案】：C141.下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題（）

A、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來(lái)考慮多線(xiàn)程技術(shù)，在對(duì)用戶(hù)服務(wù)時(shí)按序排隊(duì)提