NISP練習(xí)測試卷及答案

第頁NISP練習(xí)測試卷1.《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework，IATF)是由()發(fā)布的。A、中國B、美國C、歐盟D、俄羅斯【正確答案】：B解析：

信息安全保障技術(shù)框架由美國國家安全局發(fā)布，一般由英文翻譯過來的大多數(shù)都是美國人弄出來的。P28頁。2.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，總結(jié)錯誤的是()A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進(jìn)計劃等文件C、各國普遍加強(qiáng)國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評【正確答案】：C解析：

“均同意建立一致的安全保障系統(tǒng)”錯誤3.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計時，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計是遵循了發(fā)下哪個原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A4.信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)（）年進(jìn)行一次等級測評?A、0.5B、1C、2D、3【正確答案】：B解析：

等級保護(hù)三級系統(tǒng)一年測評一次，四級系統(tǒng)每半年測評一次。5.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要，計劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報告時，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是()A、編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強(qiáng)制要求，因此必須建設(shè)B、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施C、應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段D、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式【正確答案】：A解析：

編制應(yīng)急響應(yīng)預(yù)案并非對所有單位的強(qiáng)制要求。P150。6.防止非法授權(quán)訪問數(shù)據(jù)文件的控制措施，哪項是最佳的方式：A、自動文件條目B、磁帶庫管理程序C、訪問控制軟件D、鎖定庫【正確答案】：C7.關(guān)于linux下的用戶和組，以下描述不正確的是A、在linux中，每一個文件和程序都?xì)w屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限【正確答案】：C解析：

一個用戶可以屬于多個組。8.風(fēng)險分析師風(fēng)險評估工作的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風(fēng)險大小，如下圖所示，圖中括號應(yīng)填那個？()

A、安全資產(chǎn)價值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險隱患嚴(yán)重等級D、安全事件造成損失大小【正確答案】：D9.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題【正確答案】：D解析：

網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題。10.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色訪問控制，它們具有不同的特點(diǎn)和應(yīng)用場景。如果需要選擇一個訪問控制模型，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在(1)自主訪問控

制，(2)強(qiáng)制訪問控制，(3)基于角色的訪問控制(4)基于規(guī)則的訪問控制中，能夠滿

足以上要求的選項有()A、只有(1)(2)B、只有(2)(3)C、只有(3)(4)D、只有(4)【正確答案】：C解析：

支持最小特權(quán)原則和職責(zé)分離原則，只有基于角色的訪問控制滿足，所以排除A和

D，基于強(qiáng)制訪問控制不滿足，所以排除B。11.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說法正確的是()。A、入侵檢測系統(tǒng)的主要作用是發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或違反安全策略的行為B、安全隔離與信息交換系統(tǒng)也稱為網(wǎng)閘，需要信息交換時，同一時間可以和兩個不同安全級別的網(wǎng)絡(luò)連接C、虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中，利用隧道技術(shù)，建立一個永久、安全的通信網(wǎng)絡(luò)D、防火墻既能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離，又能實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離【正確答案】：A解析：

B在需要信息交換時，安全隔離與信息交換系統(tǒng)內(nèi)部隔離安全交換單元模擬形成開關(guān)，同一時間只和一個網(wǎng)絡(luò)進(jìn)行連接，不會同時連接兩個網(wǎng)絡(luò)；C虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中，利用隧道技術(shù)，建立一個臨時的、安全的網(wǎng)絡(luò)；D防火墻不能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離。12.Alice有一個消息M通過密鑰K2生成一個密文E（K2，M）然后用K1生成一個MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個過程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】：D解析：

密文E（K2，M）保障保密性，消息驗(yàn)證碼MAC為C（K1，E（K2，M））保障完整性。13.在Windows文件系統(tǒng)中,_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3【正確答案】：B14.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是()A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C15.以下哪種風(fēng)險被認(rèn)為是合理的風(fēng)險()。A、殘余風(fēng)險B、未識別的風(fēng)險C、可接受的風(fēng)險D、最小的風(fēng)險【正確答案】：C解析：

殘余風(fēng)險未必是可接受的風(fēng)險,如果殘余風(fēng)險不可接受還要進(jìn)一步處理才行例如風(fēng)險轉(zhuǎn)移,風(fēng)險規(guī)避。16.依據(jù)國家GB/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

GB/T20274信息系統(tǒng)保障評估框架從管理、技術(shù)、工程和總體方面進(jìn)行評估。17.有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A18.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進(jìn)行安全性測試，以下關(guān)于模糊測試過程的說法正確的是()。A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象【正確答案】：B解析：

A選項應(yīng)為模擬異常用戶輸入行為；C監(jiān)測和記錄由輸入導(dǎo)致的任何崩潰或異?，F(xiàn)象；D數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)是測試對象.19.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是()A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響事件B、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)，這就使得信息安全事件的發(fā)生是不可能的C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性志專業(yè)

性、強(qiáng)突發(fā)性、對知識經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)。20.下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷【正確答案】：C解析：

C為緩沖區(qū)溢出的正確解釋。21.通過對稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是：A、在安全的傳輸信道上進(jìn)行通信B、通訊雙方通過某種方式，安全且秘密地共享密鑰C、通訊雙方使用不公開的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取【正確答案】：B22.惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù),對惡意軟件的分析難度越來越大。對惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個研究熱點(diǎn)。小趙通過查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實(shí)際上是虛擬化技術(shù)的應(yīng)用,是動態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動態(tài)分析的知識,其中錯誤的是()A、動態(tài)分析是指在虛擬運(yùn)行環(huán)境中,使用測試及監(jiān)控軟件,檢測惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài),從而判斷惡意代碼的性質(zhì),并掌握其行為特點(diǎn)B、動態(tài)分析針對性強(qiáng),并且具有較高的準(zhǔn)確性,但由于其分析過程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證C、動態(tài)分析通過對其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制D、動態(tài)分析通過監(jiān)控系統(tǒng)進(jìn)程、文件和注冊表等方面出現(xiàn)的非正常操作和變化,可以對惡意代碼非法行為進(jìn)行分析【正確答案】：C23.以下關(guān)于軟件安全測試說法正確的是（）A、軟件安全測試就是黑盒測試B、FUZZ測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關(guān)注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題【正確答案】：B解析：

FUZZ測試是經(jīng)常采用的安全測試方法之一，軟件安全測試包括模糊測試、滲透測試、靜態(tài)代碼安全測試，只關(guān)注安全問題。24.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項（）應(yīng)放入到一級文件中.A、《風(fēng)險評估報告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計劃》D、《單位信息安全方針》【正確答案】：D解析：

一級文件中一般為安全方針、策略文件；二級文件中一般為管理規(guī)范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。25.美國系統(tǒng)工程專家霍爾（A.D.Hall）在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu)，使系統(tǒng)工程的工作階段和步驟更為清晰明了，如圖所示，霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個活動過程分為前后緊密銜接的（）階段和（）步驟，同時還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、和知識維所組成的三維空間結(jié)構(gòu)。A、五個；七個；專業(yè)知識和技能；時間維；邏輯維B、七個；七個；專業(yè)知識和技能；時間維；邏輯維C、七個；六個；專業(yè)知識和技能；時間維；邏輯維D、七個；六個；專業(yè)知識和技能；時間維；空間維【正確答案】：B26.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是()A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

自評估由本級單位發(fā)起，檢查評估由被評估組織的上級管理機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，P247頁。27.1998年英國公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定()管理體系要求與()要求，它是一個組織的全面或部分信息安全管理體系評估的()，它可以作為一個正式認(rèn)證方案的()。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及()的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：A28.下面哪一項情景屬于身份鑒別(Authentication)過程？()A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容C、中的內(nèi)容用戶使用加密軟件對自己家編寫的Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容D、某個人嘗試登陸到你的計算機(jī)中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失

敗的登陸過程記錄在系統(tǒng)日志中【正確答案】：A29.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：A、建立環(huán)境B、實(shí)施風(fēng)險處理計劃C、持續(xù)的監(jiān)視與評審風(fēng)險D、持續(xù)改進(jìn)信息安全管理過程【正確答案】：D解析：

持續(xù)改進(jìn)信息安全管理過程屬于處置(ACT)階段。30.了解社會工程學(xué)攻擊是應(yīng)對和防御()的關(guān)鍵,對于信息系統(tǒng)的管理人員和用戶,都應(yīng)該了解社會學(xué)的攻擊的概念和攻擊的()。組織機(jī)構(gòu)可采取對相關(guān)人員實(shí)施社會工程學(xué)培訓(xùn)來幫助員工了解什么是社會工程學(xué)攻擊,如何判斷是否存在社會工程學(xué)攻擊,這樣才能更好的保護(hù)信息系統(tǒng)和()。因?yàn)槿绻麑舴绞接兴私饽敲从脩糇R破攻擊者的偽裝就()。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓(xùn)和教育,向員工灌輸(),以降低社會工程學(xué)攻擊的風(fēng)險。A、社會工程學(xué)攻擊;越容易;原理;個人數(shù)據(jù);安全意識B、社會工程學(xué)攻擊;原理;越容易;個人數(shù)據(jù);安全意識C、原理;社會工程學(xué)攻擊;個人數(shù)據(jù);越容易;安全意識D、社會工程學(xué)攻擊;原理;個人數(shù)據(jù);越容易;安全意識【正確答案】：D31.某單位人員管理系統(tǒng)在人員離職時進(jìn)行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全哪項原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

權(quán)限分離是將一個較大的權(quán)限分離為多個子權(quán)限組合操作來實(shí)現(xiàn)。32.2016年12月27日，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》(以下簡稱：“戰(zhàn)略”)。全文共計()部分，6000余字。除了提出網(wǎng)絡(luò)安全空間總體發(fā)展()之外,其中主要對我國當(dāng)前面臨的網(wǎng)絡(luò)空間安全7大機(jī)遇思想，闡明了中國關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的重大立場和主張，明確了戰(zhàn)略方針和主要任務(wù)，切實(shí)維護(hù)國家在網(wǎng)絡(luò)空間的主權(quán)、安全、發(fā)展利益，是指導(dǎo)國家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件?！稇?zhàn)略》指出，網(wǎng)絡(luò)空間機(jī)遇和挑戰(zhàn)并存，機(jī)遇大于挑戰(zhàn)。必須堅持積極利用、科學(xué)發(fā)展、依法管理、確保安全，堅決維護(hù)網(wǎng)絡(luò)安全，最大限度利用網(wǎng)絡(luò)空間發(fā)展?jié)摿?，更好惠?3億多中國人民，造福全人類，()?！稇?zhàn)略》要求，要以()，貫徹落實(shí)創(chuàng)新、

協(xié)調(diào)、綠色、開放、共享的發(fā)展理念，增強(qiáng)風(fēng)險意識和危機(jī)意識，統(tǒng)籌國內(nèi)國際兩個大局，統(tǒng)籌發(fā)展安全兩件大事，積極防御、有效應(yīng)對，推進(jìn)網(wǎng)絡(luò)空間和平、安全、開放、合作、有

序，維護(hù)國家主權(quán)、安全、發(fā)展利益，實(shí)現(xiàn)建設(shè)網(wǎng)絡(luò)強(qiáng)國的()。A、4個；總體目標(biāo)；堅定維護(hù)世界和平；總體國家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)B、5個；基本目標(biāo)；堅定維護(hù)世界和平；總體國家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)C、6個；總體目標(biāo)；堅定維護(hù)世界和平；總體國家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)D、7個；基本目標(biāo)；堅定維護(hù)世界和平；總體國家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)【正確答案】：A解析：

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》原文33.某信息安全公司的團(tuán)隊對某款名為“紅包快搶”的外掛進(jìn)行分析，發(fā)現(xiàn)此外掛是一個典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)。該后門程序?yàn)榱诉_(dá)到長期駐留在受害者的計算機(jī)中，通過修改注冊表啟動項來達(dá)到后門程序隨受害者計算機(jī)系統(tǒng)啟動而啟動。為防范此類木馬后門的攻擊，以下做法無用的是()。A、不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站B、不下載、不執(zhí)行、不接收來歷不明的軟件或文件C、修改用戶名和口令D、安裝反病毒軟件和防火墻，安裝專門的木馬防治軟件【正確答案】：C解析：

修改用戶名和口令不能防范此類攻擊。34.陳工學(xué)習(xí)了信息安全風(fēng)險的有關(guān)知識，了解到信息安全風(fēng)險的構(gòu)成過程，有五個方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風(fēng)險的構(gòu)成過程，圖中空白處應(yīng)填寫？()

A、信息載體B、措施C、脆弱性D、風(fēng)險評估【正確答案】：C35.關(guān)于信息安全保障技術(shù)框架(IATF),以下說法不正確的是()。A、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制B、分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本C、IATF從人、技術(shù)和操作三個層面提供一個框架實(shí)施多層保護(hù),使攻擊者即使攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施D、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案,確保系統(tǒng)安全性【正確答案】：A解析：

IATF深度防御戰(zhàn)略要求在人、技術(shù)和操作3個核心要素來共同實(shí)現(xiàn)。36.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A、當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級安全中的訪問控制【正確答案】：D解析：

RBAC模型能實(shí)現(xiàn)多級安全中的訪問控制。37.以下列出了mac和散列函數(shù)的相似性,哪一項說法是錯誤的？A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長度的，而散列函數(shù)的輸出值是固定長度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對稱加密算法【正確答案】：C解析：

(1)MAC：消息驗(yàn)證、完整性校驗(yàn)、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對稱。(2)哈希：消息驗(yàn)證、完整性校驗(yàn)；輸出是固定的；不需要密鑰；不是非對稱。38.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個是正確的：A、該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個后門程序，該文件被執(zhí)行時，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個后門程序，由于所有者是test，因此運(yùn)行這個文件時文件執(zhí)行權(quán)限為test【正確答案】：D39.IPv4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗(yàn)和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗(yàn)和。IETF于1994年開始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。下列選項中說法錯誤的是()A、對于IPv4,IPSec是可選的，對于IPv6，IPSec是強(qiáng)制實(shí)施的。B、IPSec協(xié)議提供對IP及其上層協(xié)議的保護(hù)。C、IPSec是一個單獨(dú)的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制?！菊_答案】：C解析：

IPSec不是一個單獨(dú)的協(xié)議，它還包括AH（網(wǎng)絡(luò)認(rèn)證協(xié)議）、ESP（載荷封裝協(xié)議）、IKE（密鑰管理協(xié)議）等。40.哪種攻擊是攻擊者通過各種手段來消耗網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源，最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)()A、拒絕服務(wù)B、緩沖區(qū)溢出C、DNS欺騙D、IP欺騙【正確答案】：A解析：

題干是針對拒絕服務(wù)攻擊的描述41.信息安全管理體系也采用了()模型，該模型可應(yīng)用于所有的()。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的()，產(chǎn)生滿足這些要求和期望的()。A、ISMS；PDCA過程；行動和過程；信息安全結(jié)果B、PDCA;ISMSC、ISMS;PDCAD、PDCA;ISMS

過程；行動和過程；信息安全結(jié)果

過程；信息安全結(jié)果；行動和過程

過程；信息安全結(jié)果；行動和過程【正確答案】：B42.白盒測試的具體優(yōu)點(diǎn)是：A、其檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行B、在不知程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C、其確定程序準(zhǔn)確性成某程序的特定邏輯路徑的狀態(tài)D、其通過嚴(yán)格限制訪問主機(jī)系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對程序功能的檢查【正確答案】：C43.信息安全管理體系ISMS是建立和維持信息安全管理體系的()，標(biāo)準(zhǔn)要求組織通過確定信息安全管理系統(tǒng)范圍、制定()、明確定管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織并保持一個文件化的信息安全()，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織管理的方法、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的()A、信息安全方針；標(biāo)準(zhǔn)；文件；管理體系；保證程度B、標(biāo)準(zhǔn)；文件；信息安全方針；管理體系；保證程度C、標(biāo)準(zhǔn)；信息安全方針；文件；管理體系；保證程度D、標(biāo)準(zhǔn)；管理體系；信息安全方針；文件；保證程度【正確答案】：C44.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL管理或增加客體比較方便【正確答案】：D解析：

P307頁45.在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項中不屬于管理者應(yīng)有職責(zé)的是()。A、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計劃得以制定,目標(biāo)應(yīng)明確、可度量,計劃應(yīng)具體、可實(shí)施B、制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求C、建立健全信息安全制度,明確安全風(fēng)險管理作用,實(shí)施信息安全風(fēng)險評估過程,確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確D、向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性【正確答案】：C解析：

“實(shí)施信息安全風(fēng)險評估過程”不屬于管理者責(zé)任。46.信息安全管理體系（informationSecurityManagementSystem.簡稱ISMS）的實(shí)施和運(yùn)行ISMS階段，是ISMS過程模型的實(shí)施階段（Do），下面給出了一些活動①制定風(fēng)險處理計劃②實(shí)施風(fēng)險處理計劃③開發(fā)有效性測量程序④實(shí)施培訓(xùn)和意識教育計劃⑤管理ISMS的運(yùn)行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實(shí)施內(nèi)部審核⑨實(shí)施風(fēng)險再評估選的活動，選項（）描述了在此階段組織應(yīng)進(jìn)行的活動。A、①②③④⑤⑥B、①②③④⑤⑥⑦C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨【正確答案】：B解析：

管理體系包括PDCA（Plan-Do-Check-Act）四個階段，題干中1-7的工作都屬于管理體系的實(shí)施階段（D-Do），而8和9屬于檢查階段（C-Check）。47.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當(dāng)天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。（）A、跨站腳本攻擊B、TCP會話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊【正確答案】：D解析：

流量突增5倍以上，說明是流量性的攻擊，最后可能的就是拒絕服務(wù)攻擊。48.信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中,通過對信息系統(tǒng)的風(fēng)險分析,制定并執(zhí)行相應(yīng)的安全保障策略,從技術(shù)、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性和可用性,降低安全風(fēng)險到可接受的程度,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的業(yè)務(wù)。信息系統(tǒng)保障工作如圖所示。從該圖不難得出,信息系統(tǒng)是()。信息系統(tǒng)安全風(fēng)險的因素主要有()

A、用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞B、用于采集、處理整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞、來自系統(tǒng)外部的威脅和人為操作引入的安全風(fēng)險C、用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)來自系統(tǒng)外部的威脅和人為操作引入的安全風(fēng)險D、用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞和來自系統(tǒng)外部的威脅【正確答案】：D解析：

信息系統(tǒng)是用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的綜合。信息系統(tǒng)安全風(fēng)險是具體的風(fēng)險,產(chǎn)生風(fēng)險的因素主要有信息系統(tǒng)自身存在的漏洞和來自系統(tǒng)外部的威脅。P31頁。49.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以提供抗抵賴、鑒別和完整性。50.如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名

A,這違

背了安全的哈希函數(shù)（）性質(zhì)。

A、單向性;B、弱抗碰撞性;C、強(qiáng)抗碰撞性;D、機(jī)密性;【正確答案】：C解析：

該題目是違背了強(qiáng)抗碰撞性，P282頁51.安全審計是一種很常見的安全控制措施，它在信息全保障系統(tǒng)中，屬于()措施。A、保護(hù)B、檢測C、響應(yīng)D、恢復(fù)【正確答案】：B52.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級別事件()A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：A解析：

參考P147頁安全事件定級。53.應(yīng)用安全,一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是()。A、機(jī)房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件,包括機(jī)房環(huán)境、機(jī)房安全等級、機(jī)房的建造和機(jī)房的裝修等B、身份鑒別,應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進(jìn)行身份鑒別,只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源C、安全標(biāo)記,在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記,主體不能隨意更改權(quán)限,增加訪問控制的力度,限制非法訪問D、剩余信息保護(hù),應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù),防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問【正確答案】：A54.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡化的信息系統(tǒng)安全保障模型圖，如下所示。請為圖中括號空白處選擇合適的選項（）A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D55.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在

Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項中，對windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯誤的是()ACL只能由管理員進(jìn)行管理B、ACL是對象安全描述的基本組成部分，它包括有權(quán)訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制【正確答案】：A56.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是:A、netshowB、netstatC、ipconfigD、Netview【正確答案】：B57.關(guān)于對信息安全事件進(jìn)行分類分級管理的原因描述不正確的是()A、信息安全事件的種類很多，嚴(yán)重程度不盡相同，其響應(yīng)和處理方法也應(yīng)各不相同B、信息安全事件實(shí)行分類和分級管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對和事后處理的各項相關(guān)工作更具針對性和有效性D、我國早期的計算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計算機(jī)病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早?！菊_答案】：D解析：

D項不是信息安全事件進(jìn)行分類分級管理的原因，P146頁。58.以下哪些不是《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國網(wǎng)絡(luò)空間當(dāng)前任務(wù)?A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國外網(wǎng)絡(luò)連接【正確答案】：D解析：

常識問題59.以下哪一項不屬于常見的風(fēng)險評估與管理工具（）：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具B、基于知識的風(fēng)險評估與管理工具C、基于模型的風(fēng)險評估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險評估與管理工具【正確答案】：D解析：

D基于經(jīng)驗(yàn)的風(fēng)險評估工具不存在。60.即使最好用的安全產(chǎn)品也存在()。結(jié)果,在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標(biāo)之間配備多種()。每一種機(jī)制都應(yīng)包括()兩種手段。A、安全缺陷;安全機(jī)制;外邊和內(nèi)部B、安全機(jī)制;安全缺陷;保護(hù)和檢測C、安全缺陷;安全機(jī)制;保護(hù)和檢測D、安全缺陷;保護(hù)和檢測;安全機(jī)制【正確答案】：C61.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對人們生產(chǎn)生活造成嚴(yán)重影響。DDoS攻擊的主要目的是破壞系統(tǒng)的()。A、抗抵賴性B、保密性C、可用性D、不可否認(rèn)性【正確答案】：C解析：

DDOS(分布式拒絕服務(wù)攻擊)主要攻擊目標(biāo)所提供的服務(wù)，以破壞可用性為主要目的。P350頁。62.王明買了一個新的藍(lán)牙耳機(jī),但王明聽說使用藍(lán)牙設(shè)備有一定的安全威脅,于是王明找到對藍(lán)牙技術(shù)有所了解的王紅,希望王紅能夠給自己一點(diǎn)建議,以下哪一條建議不可取()A、在選擇使用藍(lán)牙設(shè)備時,應(yīng)考慮設(shè)備的技術(shù)實(shí)現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B、選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C、如果藍(lán)牙設(shè)備丟失,最好不要做任何操作D、在配對時使用隨機(jī)生成的密鑰、不使用時設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)【正確答案】：C解析：

如果藍(lán)牙設(shè)備丟失,應(yīng)把設(shè)備從已配對列表眾刪除。63.恢復(fù)時間目標(biāo)(RecoveryTimeObjective，RTO)和恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective，RPO)是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個重要指標(biāo)，隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn)，這兩個指標(biāo)的數(shù)值越來越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是()。A、不可以為0，RPO也不可以為0B、可以為0，RPO也可以為0C、可以為0，RPO不可以為0D、不可以為0，RPO可以為0【正確答案】：B解析：

RPO和RTO兩個指標(biāo)從不用的角度來反映災(zāi)難備份和恢復(fù)的能力，RTO和RPO都

為0是最完美的解決方案，因?yàn)樵趦蓚€值都為0的情況下，意味著系統(tǒng)永不中斷服務(wù)，而且完全沒有數(shù)據(jù)丟失。P156頁。64.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進(jìn)行響應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊稱之為：A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood【正確答案】：D解析：

發(fā)送大量的ICMP回應(yīng)請求為ICMPFlood。65.優(yōu)秀源代碼審核工具有哪些特點(diǎn)()1安全性;2多平臺性;3可擴(kuò)民性;4知識性;5集成性。A、12345B、234C、1234D、23【正確答案】：A解析：

P416頁66.風(fēng)險，在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標(biāo)可能有很多不同的方面，如財務(wù)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。ISO/IEC13335-1中揭示了風(fēng)險各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險對組織產(chǎn)生的影響？()A、組織應(yīng)該根據(jù)風(fēng)險建立相應(yīng)的保護(hù)要求，通過構(gòu)架防護(hù)措施降低風(fēng)險對組織產(chǎn)生的影響B(tài)、加強(qiáng)防護(hù)措施，降低風(fēng)險C、減少資產(chǎn)降低風(fēng)險D、減少威脅和脆弱點(diǎn)，降低風(fēng)險【正確答案】：A解析：

通過題干，是針對組織產(chǎn)生的影響，B項不是所有的加強(qiáng)防護(hù)措施都可以降低風(fēng)險，有時候接受風(fēng)險，轉(zhuǎn)移風(fēng)險，規(guī)避風(fēng)險都有可能使用；C項不現(xiàn)實(shí)，D項威脅來自外部，不可控，很難減少，但可以通過減少脆弱性來減少風(fēng)險，所以選A。67.信息安全風(fēng)險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對【正確答案】：D解析：

影響風(fēng)險等級的要素包括：威脅、資產(chǎn)、脆弱性。68.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時，發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時，會將詳細(xì)的錯誤原因在結(jié)果頁面上顯示出來。從安全角度考慮，小李決定修改代碼，將詳細(xì)的錯誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉，發(fā)生內(nèi)部錯誤！”。請問，這種處理方法的主要目的是()。A、最小化反饋信息B、安全處理系統(tǒng)異常C、安全使用臨時文件D、避免緩沖區(qū)溢出【正確答案】：A解析：

最小化反饋是指在程序內(nèi)部處理時，盡量將少的信息反饋到運(yùn)行界面，即避免給予不可靠用戶過多信息，防止不可靠用戶據(jù)此猜測軟件程序的運(yùn)行處理機(jī)制。P413頁。69.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后,對于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是()。A、信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn),因?yàn)橐獙π畔踩芾砩婕暗姆椒矫婷鎸?shí)施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低B、信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施,因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后,制定的能共同的和重復(fù)使用的規(guī)則C、信息安全管理體系的建立應(yīng)基于一次風(fēng)險評估徹底解決所有安全問題的思想,因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想D、信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動態(tài)控制的思想,因?yàn)榘踩珕栴}是動態(tài)的,系統(tǒng)所處的安全環(huán)境也不會一成不變,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)【正確答案】：C解析：

“一次風(fēng)險評估徹底解決所有安全問題”錯誤70.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A、LandB、UDPFloodC、SmurfD、Teardrop【正確答案】：D解析：

Teardrop屬于碎片攻擊，不屬于流量型拒絕服務(wù)攻擊。71.小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險太高，他建議該公司以放棄這個功能模塊的方式來處理該風(fēng)險。請問這種風(fēng)險處置的方法是()。A、放棄風(fēng)險B、規(guī)避風(fēng)險C、降低風(fēng)險D、轉(zhuǎn)移風(fēng)險【正確答案】：B解析：

風(fēng)險規(guī)避：在某些情形下，變更、延緩或停止某種服務(wù)或業(yè)務(wù)功能，可能是合適的方法。根據(jù)題干“建議放棄這個功能模塊”判斷為風(fēng)險規(guī)避。P143頁。72.實(shí)施災(zāi)難恢復(fù)計劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C73.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯誤的是()。A、軟件安全的三根支柱是風(fēng)險管理、軟件安全觸點(diǎn)和安全知識B&I含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外C、B&I系列模型強(qiáng)調(diào)安全測試的重要性，要求安全測試貫穿整個開發(fā)過程及軟件生命周期D、軟件安全觸點(diǎn)是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法，它提供了從不同角度

保障安全的行為方式【正確答案】：C解析：

BSI認(rèn)為軟件安全有3根支柱：風(fēng)險管理、軟件安全接觸點(diǎn)和安全知識，其強(qiáng)調(diào)了在軟件的整個生命周期中風(fēng)險管理的重要性，并要求風(fēng)險管理框架貫穿整個開發(fā)過程。P403頁。74.國家科學(xué)技術(shù)秘密的密級分為絕密級、機(jī)密級、秘密級，以下哪項屬于絕密級的描述()A、能夠局部反應(yīng)國家防御和治安實(shí)力的B、我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝C、處于國際先進(jìn)水平，并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的D、國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】：D解析：

重在“特別重大影響”。75.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險評估時,按照規(guī)范形成了若干文檔,其中,下面()中的文檔應(yīng)屬于風(fēng)險評估中“風(fēng)險要素識別”階段輸出的文檔。A、《風(fēng)險評估方法和工具列表》,主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容B、《已有安全措施列表》,主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容C、《風(fēng)險評估方案》,主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容D、《風(fēng)險評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容【正確答案】：B解析：

P256頁或者見下表:

76.Windows系統(tǒng)下，哪項不是有效進(jìn)行共享安全的防護(hù)措施？A、使用netshare\\\c$/delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)B、確保所有的共享都有高強(qiáng)度的密碼防護(hù)C、禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表鍵值D、安裝軟件防火墻阻止外面對共享目錄的連接【正確答案】：A77.信息安全風(fēng)險管理是基于()的信息安全管理,也就是,始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來理解信息安全風(fēng)險管理的側(cè)重點(diǎn),即()選擇的范圍和對象重點(diǎn)應(yīng)有所不同。A、.風(fēng)險;風(fēng)險;信息系統(tǒng):風(fēng)險管理B、風(fēng)險;風(fēng)險;風(fēng)險管理;信息系統(tǒng)C、風(fēng)險管理;信息系統(tǒng);風(fēng)險;風(fēng)險D、風(fēng)險管理;風(fēng)險;風(fēng)險;信息系統(tǒng)【正確答案】：A解析：

P84頁78.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關(guān)于我國信息安全實(shí)踐工作，下面說法錯誤的是()A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動了應(yīng)急處理和信息通報技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級保護(hù)工作，研究制定了多個有關(guān)信息安全等級保護(hù)的規(guī)范和標(biāo)準(zhǔn)，重點(diǎn)保障了關(guān)系國定安全，經(jīng)濟(jì)命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性D、實(shí)施了信息安全風(fēng)險評估工作，探索了風(fēng)險評估工作的基本規(guī)律和方法，檢驗(yàn)并修改完善

了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊伍【正確答案】：B解析：

工業(yè)和信息化部牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”。79.具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括()(1)安全事件(包括安全事故)報告制度(2)安全等級保護(hù)制度(3)信息系統(tǒng)安全監(jiān)控(4)安全專用產(chǎn)品銷售許可證制度A、2,3B、1,2,3C、2,3,4D、1,2,4【正確答案】：D解析：

(1)來源于《安全生產(chǎn)法》第八十條,(2)(4)是常識。80.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題【正確答案】：C解析：

信息安全工程作為信息安全保障的重要組成部門，主要是為了解決信息系統(tǒng)生命周期的過程安全問題。81.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告。關(guān)于此項工作，下面說法錯誤的是()。A、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)B、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫C、信息安全需求描述報告應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫【正確答案】：D解析：

信息安全需求報告不應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫，而應(yīng)該依據(jù)現(xiàn)有安全現(xiàn)狀，痛點(diǎn)以及客戶需求來寫。82.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是()A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動態(tài)口令實(shí)現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

動態(tài)口令方案要求其口令不能被收集和預(yù)測。83.以下說法正確的是()。A、軟件測試計劃開始于軟件設(shè)計階段,完成于軟件開發(fā)階段B、驗(yàn)收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗(yàn)收C、軟件測試的目的是為了驗(yàn)證軟件功能是否正確D、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃,并提出審查意見【正確答案】：D解析：

軟件測試開始與軟件設(shè)計階段,在軟件開發(fā)完成以后還有回歸測試,驗(yàn)收測試;驗(yàn)收測試一般按照軟件開發(fā)預(yù)期(軟件開發(fā)需求或者合同)來進(jìn)行;軟件測試的目的是檢驗(yàn)它是否滿足規(guī)定的需求或是弄清預(yù)期結(jié)果與實(shí)際結(jié)果之間的差異。P416頁84.組織建立業(yè)務(wù)連續(xù)性計劃（BCP)的作用包括：A、在遭遇災(zāi)難事件時，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時性，完整性和一致性；B、提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；D、以上都是。【正確答案】：D85.在信息安全保障工作中人才是非常重要的因素,近年來,我國一直調(diào)試重視我國信自成安全人才隊伍培養(yǎng)建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中,錯誤的是()。A、在《中國信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的中意見》(中辦發(fā)[2003]27號)中,針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強(qiáng)全民信息安全意識”的指導(dǎo)精神B.2015年,為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng),經(jīng)報國務(wù)院學(xué)位委員會批準(zhǔn),國務(wù)院學(xué)位委員會、教育部決定“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全“一級學(xué)科,這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)模化、系統(tǒng)培養(yǎng)到積極的推到作用C、經(jīng)過十余年的發(fā)展,我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息全從人員的數(shù)量較多,能同社會實(shí)際需求相匹配;同時,高效信息安全專業(yè)畢業(yè)人才的合能力要求高、知識更全面,因面社會化培養(yǎng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學(xué)教育外,我國信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)休系,包括“注冊信息安全專業(yè)人員(CISP)”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證【正確答案】：C解析：

常識問題86.下圖是安全測試人員連接某遠(yuǎn)程主機(jī)時的操作界面，請您仔細(xì)分析該圖，下面分析推理正確的是（）

A、安全測試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)【正確答案】：D87.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯誤更詳細(xì)的顯示出來C、捕獲錯誤，并拋出前臺顯示D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息【正確答案】：D解析：

D為正確的處理方法，符合最小化反饋原則。88.為了解風(fēng)險和控制風(fēng)險，應(yīng)當(dāng)及時進(jìn)行風(fēng)險評估活動，我國有關(guān)文件指出：風(fēng)險評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項中描述錯誤的是()。A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險評估服務(wù)機(jī)構(gòu)來實(shí)施D、周期性的自評估可以在評估流程上適當(dāng)簡化，如重點(diǎn)針對上次評估后系統(tǒng)變化部分進(jìn)行【正確答案】：C解析：

自評估也可以委托社會風(fēng)險評估服務(wù)機(jī)構(gòu)來實(shí)施。89.下面哪項屬于軟件開發(fā)安全方面的問題（）A、軟件部署時所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺電腦上安裝。【正確答案】：C解析：

ABD與安全無關(guān)。90.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：A、與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點(diǎn)B、美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機(jī)構(gòu)共同承擔(dān)C、各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B解析：

美國已經(jīng)設(shè)立中央政府級的專門機(jī)構(gòu)。91.如圖一所示:主機(jī)A和主機(jī)B需要通過IPSec隧道模式保護(hù)二者之間的通信流量,這種情況下IPSec的處理通常發(fā)生在哪二個設(shè)備中?（）

A、主機(jī)A和安全網(wǎng)關(guān)1;B、主機(jī)B和安全網(wǎng)關(guān)2;C、主機(jī)A和主機(jī)B中;D、安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2中;【正確答案】：D92.某單位在一次信息安全風(fēng)險管理活動中，風(fēng)險評估報告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險漏洞，隨后該單位在風(fēng)險處理時選擇了關(guān)閉FTP服務(wù)的處理措施，請問該措施屬于哪種風(fēng)險處理方式()A、風(fēng)險降低B、風(fēng)險規(guī)避C、風(fēng)險轉(zhuǎn)移D、風(fēng)險接受【正確答案】：B解析：

關(guān)閉FTP服務(wù)屬于風(fēng)險規(guī)避93.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于。A、明文B、密文C、密鑰D、信道【正確答案】：C解析：

柯克霍夫原則：密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。94.由于頻繁出現(xiàn)計算機(jī)運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。95.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是()。A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

TCP/IP協(xié)議模型自上而下分別是:應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層96.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證【正確答案】：C解析：

ABD都是是公鑰密碼應(yīng)用的范疇。97.根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是()A、信息安全風(fēng)險評估分自評估、檢查評估兩形式，應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效‘的原則開展C、信息安全風(fēng)險評估應(yīng)管貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D、開展信息安全風(fēng)險評估工作應(yīng)加強(qiáng)信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

自評為主，檢查為輔98.在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。某公司準(zhǔn)備部署一臺防火墻來保護(hù)內(nèi)網(wǎng)主機(jī)，下列選項中部署位置正確的是()A、內(nèi)網(wǎng)主機(jī)——交換機(jī)——防火墻——外網(wǎng)B、防火墻——內(nèi)網(wǎng)主機(jī)——交換機(jī)——外網(wǎng)C、內(nèi)網(wǎng)主機(jī)——防火墻——交換機(jī)——外網(wǎng)D、防火墻——交換機(jī)——內(nèi)網(wǎng)主機(jī)——外網(wǎng)【正確答案】：A解析：

防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)邊界。99.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPsec)協(xié)議說法錯誤的是()。A、Ipse僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性B、驗(yàn)證頭協(xié)議(AuthenticationHead，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作C、在隧道模式中，保護(hù)的是整個互聯(lián)網(wǎng)協(xié)議(InternetProtocol，IP)包，包括IP頭D、在傳送模式中，保護(hù)的是IP負(fù)載【正確答案】：A解析：

IPsec協(xié)議中通過封裝安全載荷協(xié)議加密需要保護(hù)的載荷數(shù)據(jù)，為這些數(shù)據(jù)提供機(jī)密性和完整性保護(hù)能力。100.某單位需要開發(fā)一個網(wǎng)站，為了確保開發(fā)出安全的軟件。軟件開發(fā)商進(jìn)行了OA系統(tǒng)的威脅建模，根據(jù)威脅建模，SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個屬于修改設(shè)計消除威脅的做法()A、在編碼階段程序員進(jìn)行培訓(xùn)，避免程序員寫出存在漏洞的代碼B、對代碼進(jìn)行嚴(yán)格檢查，避免存在SQL注入漏洞的腳本被發(fā)布C、使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁面D、在網(wǎng)站中部署防SQL注入腳本，對所有用戶提交數(shù)據(jù)進(jìn)行過濾【正確答案】：C解析：

A項是加強(qiáng)安全培訓(xùn)，B和D是進(jìn)行安全加固，只有C是修改了設(shè)計。101.老王是某政府信息中心主任。以下哪項項目是符合《保守國家秘密法》要求的()A、老王要求下屬小張把中心所有計算機(jī)貼上密級標(biāo)志B、老王提出對加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用C、老王安排下屬小李將損害的涉密計算機(jī)的某國外品牌硬盤送到該品牌中國區(qū)維修中心修理D、老王每天晚上12點(diǎn)將涉密計算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫【正確答案】：B解析：

保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運(yùn)行(三同步)。P57頁，A項非涉密計算機(jī)不應(yīng)貼涉密標(biāo)識，C涉密計算機(jī)應(yīng)送往有涉密資質(zhì)的維修中心，D項目涉密計算機(jī)不上網(wǎng)。102.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識，小王對這三種備份方式進(jìn)行對比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B解析：

全部備份是對整個系統(tǒng)所有文件進(jìn)行完全備份，包括所有系統(tǒng)和數(shù)據(jù)；增量備份是每次備份的數(shù)據(jù)相當(dāng)于上一次備份后增加和修改過的數(shù)據(jù)；差分備份是每次備份的數(shù)據(jù)是相對于上一次全備份之后新增加和修改過的數(shù)據(jù)。所以單獨(dú)就該題來說，如果采用的是完全備份方式，數(shù)據(jù)丟失后只需要恢復(fù)最近的一次完全

備份的數(shù)據(jù)；如果采用的是差分備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)和最近一次差分備份的數(shù)據(jù)；如果采用的是增量備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)，以及后面一次次增量備份的數(shù)據(jù)。所以對比起來，完全備份方式恢復(fù)起來最快，增量最慢。103.PKI的主要理論基礎(chǔ)是()。A、摘要算法B、對稱密碼算法C、量子密碼D、公鑰密碼算法【正確答案】：D解析：

PKI(公鑰基礎(chǔ)設(shè)施)，也稱公開密鑰基礎(chǔ)設(shè)施。P286頁。104.一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個選項決定的()。A、加密和解密算法B、解密算法C、密鑰D、加密算法【正確答案】：C解析：

系統(tǒng)的保密性不依賴于加密體制和算法的保密,而依賴于密。P271頁。105.張主任的計算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang,張主任給他個人文件夾設(shè)置了權(quán)限為只有zhang這個用戶有權(quán)訪問這個目錄，管理員在某次維護(hù)中無意將zhang這個用戶刪除了，隨后又重新建了一個用戶名為zhang，張主任使用zhang這個用戶登陸系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來的個人文件夾，原因是()A、任何一個新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件B、windows不認(rèn)為新建立的用戶zhang與原來的用戶zhang是同一個用戶，因此無權(quán)訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權(quán)限，之所以無權(quán)訪問時因?yàn)槲募A經(jīng)過了加密【正確答案】：B解析：

用戶的真正標(biāo)識是SID，系統(tǒng)根據(jù)SID來判斷是否是同一個用戶，新建用戶名雖然相

同，但是SID不同，所以系統(tǒng)認(rèn)為不是同一個用戶。106.關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本【正確答案】：C解析：

設(shè)計階段是發(fā)現(xiàn)和改正問題的最佳階段。107.若一個組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項()A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

P103-128頁。108.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A、高級管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從【正確答案】：B解析：

通常由管理層提供各種信息安全工作必須的資源。109.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險B、是否可以抵抗大部分風(fēng)險C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)【正確答案】：D解析：

判斷風(fēng)險控制的標(biāo)準(zhǔn)是風(fēng)險是否控制在接受范圍內(nèi)。110.建立并完善()是有效應(yīng)對社會工程攻擊的方法,通過()的建立,使得信息系統(tǒng)用戶需要遵循()來實(shí)施某些操作,從而在一定程度上降低社會工程學(xué)的影響。例如對于用戶密碼的修改,由于相應(yīng)管理制度的要求,()需要對用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行,那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行(),因?yàn)樗€需要想辦法擁有一個組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。A、信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊B、信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會工程學(xué)攻擊C、安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊D、信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會工程學(xué)攻擊【正確答案】：A111.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”?！菊_答案】：D解析：

正確描述是從內(nèi)而外，自上而下，從端到邊界的防護(hù)能力。112.某單位在進(jìn)行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務(wù)已經(jīng)過期，漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計人員對這份報告的說法正確的是()A、內(nèi)部審計人員的質(zhì)疑是對的，由于沒有更新漏洞庫，因此這份漏洞掃描報告準(zhǔn)確性無法保證B、內(nèi)部審計人員質(zhì)疑是錯的，漏洞掃描軟件是正版采購，因此掃描結(jié)果是準(zhǔn)確的C、內(nèi)部審計人員的質(zhì)疑是正確的，因?yàn)槁┒磼呙鑸蟾媸擒浖峁?，沒有經(jīng)過人為分析，因此結(jié)論不會準(zhǔn)確D、內(nèi)部審計人員的質(zhì)疑是錯誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃

描結(jié)果是準(zhǔn)確的【正確答案】：A解析：

漏洞庫半年不更新又可能會漏報一些最新的漏洞。113.以下哪一項不是我國信息安全保障的原則：A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅持以技術(shù)和管理并重。114.()攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊,大部分的社會工程學(xué)攻擊都是經(jīng)過()才能實(shí)施成功的。即使是最簡單的“直接攻擊”也需要進(jìn)行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個身份需要的()A、社會工程學(xué):精心策劃;前期的準(zhǔn)備;偽裝的身份;一些特征B、精心策劃;社會工程學(xué);前期的準(zhǔn)備;偽裝的身份;一些特征C、精心策劃;社會工程學(xué);偽裝的身份;前期的準(zhǔn)備:一些特征D、社會工程學(xué);偽裝的身份;精心策劃;前期的準(zhǔn)備;一些特征【正確答案】：A解析：

P221頁115.即時通訊安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問題,特別對于使用即時通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時通訊應(yīng)考慮許多措施,下列措施中錯誤的是()A、如果經(jīng)費(fèi)許可,可以使用自建服務(wù)器的即時通訊系統(tǒng)B、在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時通訊中傳輸敏感及以上級別的文檔;建立管理流程及時將離職員工移除等C、選擇在設(shè)計上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時通訊軟件,例如提供傳輸安全性保護(hù)等即時通訊D、涉及重要操作包括轉(zhuǎn)賬無需方式確認(rèn)【正確答案】：D解析：

D項常識性錯誤。116.數(shù)據(jù)庫的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是()。A、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進(jìn)行劃分，粒度越小，安全級別越高，在實(shí)際中需要選擇最小粒度B、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作C、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分D、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息【正確答案】：D解析：

數(shù)據(jù)庫安全一般遵循最小化原則。117.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。

該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn)，不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全【正確答案】：D解析：

D和物理環(huán)境安全無關(guān)。118.組織第一次建立業(yè)務(wù)連續(xù)性計劃時，最為重要的活動是：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A119.信息應(yīng)按照其法律要求、價值、對泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價值取決于其對組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分