CISP復(fù)習(xí)測(cè)試卷附答案

第頁(yè)CISP復(fù)習(xí)測(cè)試卷附答案1.81.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C2.639.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A、由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害，所以可以先不做處理C、對(duì)于重要的服務(wù)，應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再在正式生產(chǎn)環(huán)境中部署D、對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算機(jī)由于沒(méi)有重要數(shù)據(jù)，由終端自行升級(jí)【正確答案】：C3.19.PDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的是（）A、P是Plan，指分析問(wèn)題、發(fā)現(xiàn)問(wèn)題、確定方針、目標(biāo)和活動(dòng)計(jì)劃B、D是Do，指實(shí)施、具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容C是Check，指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問(wèn)題D、A是Aim，指瞄準(zhǔn)問(wèn)題，抓住安全事件的核心，確定責(zé)任【正確答案】：D解析：

教材95頁(yè)，A，是改進(jìn)4.608.某計(jì)算機(jī)機(jī)房由于人員疏忽或設(shè)備老化可能會(huì)有發(fā)生火災(zāi)的風(fēng)險(xiǎn)。該計(jì)算機(jī)機(jī)房的資產(chǎn)價(jià)值為200萬(wàn)元；如果發(fā)生火災(zāi)，資產(chǎn)總值將損失至資產(chǎn)值的25%；這種火災(zāi)發(fā)生的可能性為25年發(fā)生一次。則這種威脅的年度損失預(yù)期值為().A、10,000元B、15,000元C、20,000元D、25,000元【正確答案】：C5.309.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，我國(guó)有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤的是()。A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評(píng)估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來(lái)實(shí)施D、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行【正確答案】：C6.645.在極限測(cè)試過(guò)程中，貫穿始終的是()A、單元測(cè)試和集成測(cè)試B、單元測(cè)試和系統(tǒng)測(cè)試C、集成測(cè)試和驗(yàn)收測(cè)試D、集成測(cè)試和系統(tǒng)測(cè)試【正確答案】：C7.530.以下哪個(gè)是國(guó)際信息安全標(biāo)準(zhǔn)化組織的簡(jiǎn)稱?ANSIB、ISOC、IEEED、NIST【正確答案】：B解析：

解釋：題目描述不嚴(yán)謹(jǐn)。8.32.作為信息安全從業(yè)人員，以下哪種行為違反了CISP職業(yè)道德準(zhǔn)側(cè)（）A、抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件C、不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動(dòng)D、幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力。【正確答案】：B9.570.以下關(guān)于開(kāi)展軟件安全開(kāi)發(fā)必要性描錯(cuò)誤的是？（）A、軟件應(yīng)用越來(lái)越廣泛B、軟件應(yīng)用場(chǎng)景越來(lái)越不安全C、軟件安全問(wèn)題普遍存在D、以上都不是【正確答案】：D10.385.某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”的外掛進(jìn)行分析發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門，使黑客能夠獲得受害者電腦的訪問(wèn)權(quán)，該后門程序?yàn)榱诉_(dá)到長(zhǎng)期駐留在受害者的計(jì)算機(jī)中，通過(guò)修改注冊(cè)表啟動(dòng)項(xiàng)來(lái)達(dá)到后門程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)為防范此類木馬的攻擊，以下做法無(wú)用的是（）A、、不下載、不執(zhí)行、不接收來(lái)歷不明的軟件和文件B、、不隨意打開(kāi)來(lái)歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C、、使用共享文件夾D、、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件【正確答案】：C11.77.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說(shuō)法正確的是：A、此密碼體制為對(duì)稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：

解釋：題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對(duì)于公鑰而言，則為非對(duì)稱密碼體制，非對(duì)稱密碼體制又稱為公鑰密碼體制。12.574.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）降級(jí)操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO）,小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理【正確答案】：D13.407.ISO27002（Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進(jìn)變化示意圖，圖中括號(hào)空白處應(yīng)填寫（）A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37【正確答案】：B14.187.以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：A、模糊測(cè)試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測(cè)試的效果和自動(dòng)化過(guò)程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場(chǎng)保護(hù)記錄，系統(tǒng)可能無(wú)法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測(cè)試C、通過(guò)異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告【正確答案】：C15.629.信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的（）.A、信息安全方針；標(biāo)準(zhǔn)；文件；管理體系；保證程度B、標(biāo)準(zhǔn)；文件；信息安全方針；管理體系；保證程度C、標(biāo)準(zhǔn)；信息安全方針；文件；管理體系；保證程度D、標(biāo)準(zhǔn)；管理體系；信息安全方針；文件；保證程度【正確答案】：C16.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營(yíng)成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C17.125.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開(kāi)展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A18.141.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是：A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)【正確答案】：C解析：

解釋：SSE-CMM是系統(tǒng)工程，不可以獨(dú)立實(shí)施。19.277.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過(guò)把SQL命令插入到web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WE頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷【正確答案】：C解析：

這道題考察的是對(duì)緩沖區(qū)溢出漏洞的理解。緩沖區(qū)溢出漏洞是指當(dāng)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過(guò)了緩沖區(qū)本身的容量，導(dǎo)致溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。A選項(xiàng)描述的是SQL注入漏洞，即攻擊者通過(guò)插入惡意SQL命令來(lái)欺騙服務(wù)器執(zhí)行非法操作。B選項(xiàng)描述的是跨站腳本攻擊（XSS），即攻擊者在遠(yuǎn)程網(wǎng)頁(yè)中插入惡意腳本，當(dāng)用戶訪問(wèn)該頁(yè)面時(shí)，腳本被執(zhí)行。D選項(xiàng)描述的是信息安全漏洞的一般概念，即信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中可能產(chǎn)生的缺陷。因此，C選項(xiàng)正確描述了緩沖區(qū)溢出漏洞。20.71.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B21.568.在某信息系統(tǒng)采用的訪問(wèn)控制策略中，如果可以選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)對(duì)客體實(shí)施控制，且各級(jí)領(lǐng)導(dǎo)可以同時(shí)修改它的訪問(wèn)控制表，那么該系統(tǒng)的訪問(wèn)控制模型采用的自主訪問(wèn)控制機(jī)制的訪問(wèn)許可模式是（）。A、自由型B、有主型C、樹(shù)狀型D、等級(jí)型【正確答案】：D解析：

解釋：參考CISP2.0/3.0版本教材。22.383.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制，人力資源安全劃分為3個(gè)控制階段，不包括哪一項(xiàng)（）A、任用之前B、任用中C、任用終止或變化D、任用后【正確答案】：D23.166.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C解析：

解釋：統(tǒng)一采用Windows8系統(tǒng)對(duì)軟件安全無(wú)幫助。24.580.（）在實(shí)施攻擊之前，需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的（）。那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司相關(guān)人員的綽號(hào)等等。A、攻擊者；所需要的信息；系統(tǒng)管理員；基礎(chǔ)；內(nèi)部約定B、所需要的信息；基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C、攻擊者；所需要的信息；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D、所需要的信息；攻擊者；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定【正確答案】：C25.444.DSA（數(shù)字簽名算法）不提供以下哪種服務(wù)?A、、數(shù)據(jù)完整性B、、加密C、、數(shù)字簽名D、、認(rèn)證【正確答案】：B26.151.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也是ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項(xiàng)（）應(yīng)放入到一級(jí)文件中.A、《風(fēng)險(xiǎn)評(píng)估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D27.115.信息安全等級(jí)保護(hù)要求中，第三級(jí)適用的正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一般損害C、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害D、適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害【正確答案】：B28.256.信息安全工程監(jiān)理的職責(zé)包括：A、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)B、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào)【正確答案】：A29.380.下圖排序你認(rèn)為那個(gè)是正確的：A、1是主體，2是客體,3是實(shí)施，4是決策B、1是客體，2是主體3是決策，4是實(shí)施C、1實(shí)施，2是客體3是主體，4是決策D、1是主體，2是實(shí)施3是客體，4是決策【正確答案】：D30.528.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動(dòng),用檢錯(cuò)或糾錯(cuò)技術(shù)來(lái)確保正確的傳輸,確保解決該層的流量控制問(wèn)題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A、報(bào)文B、比特流C、幀D、包【正確答案】：C31.235.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是：A、霍爾三維機(jī)構(gòu)體系形成地描述了系統(tǒng)工程研究的框架B、時(shí)間維表示系統(tǒng)工程活動(dòng)從開(kāi)始到結(jié)束按照時(shí)間順序排列的全過(guò)程C、邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)D、知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)和藝術(shù)等各種知識(shí)和技能【正確答案】：C32.307.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】：B解析：

解釋：定性分析不能靠直覺(jué)、不能隨意。33.55.自主訪問(wèn)控制模型（DAC）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便D、ACL管理或增加客體比較方便【正確答案】：D34.593.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要，計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報(bào)告時(shí)，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是（）A、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B、應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息體統(tǒng)突發(fā)事件能力，較少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C、編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求，因此必須建設(shè)D、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施【正確答案】：C35.25.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一,以下對(duì)于隨機(jī)進(jìn)程名技術(shù)。描述正確的是（）。A、隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身B、惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使過(guò)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺C、惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D、隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過(guò)不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱【正確答案】：D36.169.我國(guó)信息安全保障工作先后經(jīng)歷啟動(dòng)、逐步展開(kāi)和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，以下關(guān)于我國(guó)信息安全保障各階段說(shuō)法不正確的是：A、2001國(guó)家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國(guó)信息安全保障工作正式啟動(dòng)B、2003年7月，國(guó)家信息化領(lǐng)導(dǎo)小組制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文），明確了“積極防御、綜合防范“的國(guó)家信息安全保障方針C、2003年中辦發(fā)27號(hào)文件的發(fā)布標(biāo)志著我國(guó)信息安全保障進(jìn)入深化落實(shí)階段D、在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得了新進(jìn)展?！菊_答案】：C解析：

解釋：2006年進(jìn)入到深化落實(shí)階段。37.205.下面對(duì)“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年１月１日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D解析：

解釋：D是零日漏洞的解釋。38.546.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。()和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的形式。標(biāo)記應(yīng)易于辨認(rèn),規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo),并考慮到信息被訪問(wèn)的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲(chǔ)和()A、敏感性;物理標(biāo)簽;資產(chǎn)的價(jià)值;信息資產(chǎn);交換規(guī)程B、敏感性;信息資產(chǎn);資產(chǎn)的價(jià)值;物理標(biāo)簽;交換規(guī)程C、資產(chǎn)的價(jià)值;敏感性;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程D、敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)物理標(biāo)簽；交換規(guī)程【正確答案】：D解析：

來(lái)源于27002標(biāo)準(zhǔn)的原文。39.294.以下說(shuō)法正確的是：A、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見(jiàn)D、軟件測(cè)試計(jì)劃開(kāi)始于軟件設(shè)計(jì)階段，完成于軟件開(kāi)發(fā)階段【正確答案】：C解析：

解釋：C是監(jiān)理工程師的職責(zé)。40.412.某單位的信息安全主管部門在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是（）A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B41.459.操作系統(tǒng)安全的基礎(chǔ)是建立在：A、安全安裝B、安全配置C、安全管理D、以上都對(duì)【正確答案】：D42.302.關(guān)于信息安全管理，說(shuō)法錯(cuò)誤的是：A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B、信息安全管理是一個(gè)多層面、多因素的過(guò)程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。C、實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過(guò)程。【正確答案】：D解析：

解釋：信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)動(dòng)態(tài)過(guò)程。43.590.在PDR模型的基礎(chǔ)上，發(fā)展成為了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保護(hù)-檢測(cè)-響應(yīng)。模型的核心是：所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。在PPDR模型中，策略指的是信息系統(tǒng)的安全策略，包括訪問(wèn)控制策略、加密通信策略、身份認(rèn)證測(cè)錄、備份恢復(fù)策略等。策略體系的建立包括安全策略的制定、（）等；防護(hù)指的是通過(guò)部署和采用安全技術(shù)來(lái)提高網(wǎng)絡(luò)的防護(hù)能力，如（）、防火墻、入侵檢測(cè)、加密技術(shù)、身份認(rèn)證等技術(shù)；檢測(cè)指的是利用信息安全檢測(cè)工具，監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活動(dòng)，了解判斷網(wǎng)絡(luò)系統(tǒng)的（）。檢測(cè)這一環(huán)節(jié)，使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御，是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)，主要方法包括；實(shí)時(shí)監(jiān)控、檢測(cè)、報(bào)警等；響應(yīng)指的是在檢測(cè)到安全漏洞和安全事件，通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的（）調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)，包括恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。啟動(dòng)備份系統(tǒng)等。其主要方法包括：關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。A、評(píng)估與執(zhí)行；訪問(wèn)控制；安全狀態(tài)；安全性B、評(píng)估與執(zhí)行；安全狀態(tài)；訪問(wèn)控制；安全性C、訪問(wèn)控制；評(píng)估與執(zhí)行；安全狀態(tài)；安全性D、安全狀態(tài)，評(píng)估與執(zhí)行；訪問(wèn)控制；安全性【正確答案】：A44.219.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全（）A、信息安全管理體系（ISMS）B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO270000系統(tǒng)【正確答案】：B45.322.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估事件的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)【正確答案】：D46.457.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道【正確答案】：C47.195.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置帳戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：ü賬戶鎖定閥值3次無(wú)效登陸；賬戶鎖定時(shí)間10分鐘；復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘；以下關(guān)于以上策略設(shè)置后的說(shuō)法哪個(gè)是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無(wú)法再進(jìn)行口令暴力破解，所有輸錯(cuò)的密碼的擁護(hù)就會(huì)被鎖住B、如果正常用戶部小心輸錯(cuò)了3次密碼，那么該賬戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無(wú)法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該擁護(hù)帳號(hào)被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無(wú)法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響【正確答案】：B【正確答案】：B48.17.（）第23條規(guī)定存儲(chǔ)、處理國(guó)家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)），按照（）實(shí)行分級(jí)保護(hù)，（）應(yīng)當(dāng)按照國(guó)家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后方可投入使用。A、·《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《國(guó)家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A49.71.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B解析：

解釋：美國(guó)已經(jīng)設(shè)立中央政府級(jí)的專門機(jī)構(gòu)。50.74.2008年1月2日，美國(guó)發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來(lái)安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A、CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B、從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、NI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D、CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障【正確答案】：A解析：

這道題考查對(duì)CNCI計(jì)劃的理解。在網(wǎng)絡(luò)安全領(lǐng)域，降低風(fēng)險(xiǎn)是關(guān)鍵。CNCI計(jì)劃的三道防線，首要任務(wù)就是減少漏洞隱患和預(yù)防入侵以降低風(fēng)險(xiǎn)。A選項(xiàng)準(zhǔn)確指出了CNCI以風(fēng)險(xiǎn)為核心，符合三道防線的目的。其他選項(xiàng)與CNCI計(jì)劃的實(shí)際內(nèi)容和重點(diǎn)不符。51.428.以下關(guān)于代替密碼的說(shuō)法正確的是：A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個(gè)bit異或D、明文根據(jù)密鑰作移位【正確答案】：A52.57.主體和客體是訪問(wèn)控制模型中常用的概念。下面描述中錯(cuò)誤的是（）A、主體是訪問(wèn)的發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù)B、客體也是一個(gè)實(shí)體，是操作的對(duì)象，是被規(guī)定需要保護(hù)的資源C、主體是動(dòng)作的實(shí)施者，比如人、進(jìn)程或設(shè)備等均是主體，這些對(duì)象不能被當(dāng)作客體使用D、一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨(dú)立運(yùn)行【正確答案】：C53.516．惡意代碼經(jīng)過(guò)20多年的發(fā)展,破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹?lái)越大。小李發(fā)現(xiàn)在自己的電腦查出病毒的過(guò)程中,防病毒軟件通過(guò)對(duì)有毒件的檢測(cè),將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A、簡(jiǎn)單運(yùn)行B、行為檢測(cè)C、特征數(shù)據(jù)匹配D、特征碼掃描【正確答案】：B54.49.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是()ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文。使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存到ARP緩存中，從而起到冒充主機(jī)的目的B、單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C、解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的APP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址和其地主機(jī)進(jìn)行連接【正確答案】：D55.500．如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)（）性質(zhì)。A、單向性B、弱抗碰撞性C、強(qiáng)抗碰撞性D、機(jī)密性【正確答案】：C56.75.下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”?！菊_答案】：D57.162.某移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是：A、所選擇的特征（指紋）便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的C、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】：C解析：

解釋：指紋識(shí)別系統(tǒng)存在安全威脅問(wèn)題，同時(shí)存在著錯(cuò)誤拒絕率和錯(cuò)誤接受率的問(wèn)題。58.260.對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)?A、BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》B、M22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》C、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》D、GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》【正確答案】：B解析：

對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)時(shí)，需要依據(jù)特定的標(biāo)準(zhǔn)來(lái)確保測(cè)評(píng)的準(zhǔn)確性和有效性。在給出的選項(xiàng)中，B選項(xiàng)“BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》”是專門針對(duì)涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)的標(biāo)準(zhǔn)，它提供了詳細(xì)的測(cè)評(píng)指南和方法，以確保涉密系統(tǒng)的安全保密性。因此，B選項(xiàng)是正確答案。59.519.近幾年,無(wú)線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個(gè)領(lǐng)域。而無(wú)線信道是一個(gè)開(kāi)放性信道,它在賦予無(wú)線用戶通信自由的同時(shí)也給無(wú)線通信網(wǎng)絡(luò)帶來(lái)一些不安全因素,下列選項(xiàng)中,對(duì)無(wú)線通信技術(shù)的安全特點(diǎn)描述正確的是（）A、無(wú)線信道是一個(gè)開(kāi)放信道,任何具有適當(dāng)無(wú)線設(shè)備的人均可以通過(guò)搭線竊聽(tīng)而獲得網(wǎng)絡(luò)通信內(nèi)容B、通過(guò)傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容C、對(duì)于無(wú)線局域網(wǎng)絡(luò)和無(wú)線個(gè)人區(qū)域網(wǎng)絡(luò)來(lái)說(shuō),它們的通信內(nèi)容更容易被竊聽(tīng)D、群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容【正確答案】：C60.143.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是：A、測(cè)量單位是基本實(shí)施(BsePrctices，BP)B、測(cè)量單位是通用實(shí)踐(GenericPractices，GP)C、測(cè)量單位是過(guò)程區(qū)域(ProessAreas，PA)D、測(cè)量單位是公共特征(CommonFeatures，CF)【正確答案】：D解析：

在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，其測(cè)量單位是公共特征(CommonFeatures,CF)。這是SSECMM模型特有的評(píng)估單位，用于衡量組織在安全工程方面的能力成熟度水平。61.531.風(fēng)險(xiǎn),在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面,如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級(jí)別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等,ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型,如圖所示。請(qǐng)結(jié)合此圖,怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響?()A、組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求,通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響B(tài)、加強(qiáng)防護(hù)措施,降低風(fēng)險(xiǎn)C減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D、減少資產(chǎn)降低風(fēng)險(xiǎn)【正確答案】：A解析：

為了降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響，組織需要根據(jù)風(fēng)險(xiǎn)的具體情況建立相應(yīng)的保護(hù)要求。這些保護(hù)要求旨在通過(guò)構(gòu)架有效的防護(hù)措施來(lái)減少風(fēng)險(xiǎn)帶來(lái)的潛在影響。防護(hù)措施可能包括技術(shù)、管理、物理等多個(gè)方面，以確保風(fēng)險(xiǎn)得到妥善管理和控制。選項(xiàng)A準(zhǔn)確地描述了這一過(guò)程，即通過(guò)建立響應(yīng)的保護(hù)要求和構(gòu)架防護(hù)措施來(lái)降低風(fēng)險(xiǎn)對(duì)組織的影響，因此是正確答案。其他選項(xiàng)雖然也提到了降低風(fēng)險(xiǎn)的方法，但不如A選項(xiàng)全面和具體。62.390.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號(hào)應(yīng)填那個(gè)？A、安全資產(chǎn)價(jià)值大小等級(jí)B、脆弱性嚴(yán)重程度等級(jí)C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D、安全事件造成損失大小【正確答案】：D63.465.以下列出了mac和散列函數(shù)的相似性,哪一項(xiàng)說(shuō)法是錯(cuò)誤的？A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長(zhǎng)度的，而散列函數(shù)的輸出值是固定長(zhǎng)度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對(duì)稱加密算法【正確答案】：C解析：

1）MAC：消息驗(yàn)證、完整性校驗(yàn)、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對(duì)稱。2）哈希：消息驗(yàn)證、完整性校驗(yàn)；輸出是固定的；不需要密鑰；不是非對(duì)稱。64.641.風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，其中，明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)的文檔是（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《風(fēng)險(xiǎn)評(píng)估程序》C、《資產(chǎn)識(shí)別清單》D、《風(fēng)險(xiǎn)評(píng)估報(bào)告》【正確答案】：A65.171.我國(guó)信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于安全保障建設(shè)主要工作內(nèi)容說(shuō)法不正確的是：A、建全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐C、建立信息安全技術(shù)體系，實(shí)現(xiàn)國(guó)家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)【正確答案】：C解析：

解釋：實(shí)現(xiàn)自主創(chuàng)新在過(guò)去的的保障中為自主可控。66.215.針對(duì)軟件的拒絕服務(wù)攻擊是通過(guò)消耗系統(tǒng)資源使軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需求考慮的攻擊方式A、攻擊者利用軟件存在的邏輯錯(cuò)誤，通過(guò)發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，ＣＰＵ資源占用始終１００％B、攻擊者利用軟件腳本使用多重嵌套咨詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過(guò)發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫(kù)響應(yīng)緩慢C、攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn)D、攻擊者買通ＩＤＣ人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn)【正確答案】：D解析：

解釋：D為社會(huì)工程學(xué)攻擊。67.99.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限【正確答案】：C解析：

解釋：一個(gè)用戶可以屬于多個(gè)組。68.30.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動(dòng)存儲(chǔ)進(jìn)行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內(nèi)部傳播，作為信息化負(fù)責(zé)人，你應(yīng)采取以下哪項(xiàng)策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個(gè)可以查殺到該病毒的軟件進(jìn)行重新部署B(yǎng)、向企業(yè)內(nèi)部的計(jì)算機(jī)下發(fā)策略，關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟的自動(dòng)播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動(dòng)硬盤這類的移動(dòng)存儲(chǔ)介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來(lái)自互聯(lián)網(wǎng)的病毒進(jìn)入企業(yè)內(nèi)部【正確答案】：B69.467.信息可以以多種形式存在。它可以打印寫在紙上、以（）、用郵寄或電子手段傳遞、呈現(xiàn)在膠片上或用（）。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都宜對(duì)它進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。（）是保護(hù)信息受各種威脅的損害，以確保業(yè)務(wù)（），業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和（）。A、語(yǔ)言表達(dá)；電子方式存儲(chǔ)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化B、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；連續(xù)性；信息安全；商業(yè)機(jī)遇最大化C、電子方式存儲(chǔ)；連續(xù)性；語(yǔ)言表達(dá)；信息安全；商業(yè)機(jī)遇最大化D、電子方式存儲(chǔ)；語(yǔ)言表達(dá)；信息安全；連續(xù)性；商業(yè)機(jī)遇最大化【正確答案】：D解析：

來(lái)源：一個(gè)國(guó)際標(biāo)準(zhǔn)，“信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語(yǔ)言表達(dá)。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是通過(guò)實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個(gè)過(guò)程應(yīng)與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行?！?0.543.以下哪些因素屬于信息安全特征?()A、系統(tǒng)和網(wǎng)絡(luò)的安全B、系統(tǒng)和動(dòng)態(tài)的安全C、技術(shù)、管理、工程的安全D系統(tǒng)的安全;動(dòng)態(tài)的安全;無(wú)邊界的安全;非傳統(tǒng)的安全【正確答案】：D解析：

信息安全特征涵蓋了多個(gè)方面，以確保信息和信息系統(tǒng)的安全性。根據(jù)信息安全的專業(yè)知識(shí)，這些特征包括系統(tǒng)的安全，即保護(hù)信息系統(tǒng)不受未經(jīng)授權(quán)的訪問(wèn)和損害；動(dòng)態(tài)的安全，強(qiáng)調(diào)安全是一個(gè)持續(xù)變化的過(guò)程，需要不斷適應(yīng)新的威脅和風(fēng)險(xiǎn)；無(wú)邊界的安全，意味著安全不再局限于傳統(tǒng)的網(wǎng)絡(luò)邊界，而是擴(kuò)展到云環(huán)境、物聯(lián)網(wǎng)等新型信息技術(shù)領(lǐng)域；非傳統(tǒng)的安全，則關(guān)注除了傳統(tǒng)網(wǎng)絡(luò)安全威脅之外的新型安全挑戰(zhàn)，如社交媒體安全、數(shù)據(jù)隱私保護(hù)等。因此，選項(xiàng)D“系統(tǒng)的安全；動(dòng)態(tài)的安全；無(wú)邊界的安全；非傳統(tǒng)的安全”全面準(zhǔn)確地描述了信息安全的特征。71.6.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，逐個(gè)分析可能危害這些資產(chǎn)的主體、動(dòng)機(jī)、途徑等多各因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值，他這個(gè)工作屬于下面哪一個(gè)階段的工作（）：A、資產(chǎn)識(shí)別并賦值B、脆弱性識(shí)別并賦值C、威脅識(shí)別并賦值D、確認(rèn)已有的安全措施并賦值【正確答案】：C72.199.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

解釋：答案為B。73.509.隨著人們信息安全意識(shí)的不斷增強(qiáng)，版權(quán)保護(hù)也受到越來(lái)越多的關(guān)注。在版權(quán)保護(hù)方面國(guó)內(nèi)外使用較為廣泛的是數(shù)字對(duì)象標(biāo)識(shí)符DOI(DigitalObjectIdentifier)系統(tǒng)，它是由非贏利性組織國(guó)際DOI基金會(huì)IDF(InternationalDOIFoundation)研究設(shè)計(jì)的，在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開(kāi)放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示，則下面對(duì)于DOI系統(tǒng)認(rèn)識(shí)正確的是（）A、DOI是一個(gè)暫時(shí)性的標(biāo)識(shí)號(hào)，由IntermtionlDOIFoundtion管理B、DOI的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新C、DOI命名規(guī)則中前綴和后綴兩部之間用“；”分開(kāi)D、OI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式【正確答案】：B解析：

DOI（DigitalObjectIdentifier）系統(tǒng)是國(guó)際DOI基金會(huì)研究設(shè)計(jì)的，用于在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開(kāi)放性系統(tǒng)。針對(duì)題目中的選項(xiàng)進(jìn)行逐一分析：74.335.信息安全保障是網(wǎng)絡(luò)時(shí)代各國(guó)維護(hù)國(guó)家安全和利益的首要任務(wù)，以下哪個(gè)國(guó)家最早將網(wǎng)絡(luò)安全上長(zhǎng)升為國(guó)家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計(jì)劃。A中國(guó)B俄羅斯C美國(guó)D英國(guó)【正確答案】：C解析：

解釋：答案為C。75.482.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)？A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接【正確答案】：D76.363.在某信息系統(tǒng)的設(shè)計(jì)中，用戶登陸過(guò)程是這樣的：（1）用戶通過(guò)HTTP協(xié)議訪問(wèn)信息系統(tǒng)；（2）用戶在登陸頁(yè)面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成?？梢钥闯?，這個(gè)鑒別過(guò)程屬于（）。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A77.529.以下對(duì)于標(biāo)準(zhǔn)化特點(diǎn)的描述哪項(xiàng)是錯(cuò)誤的?A、標(biāo)準(zhǔn)化的對(duì)象是共同的、可重復(fù)的事物。不是孤立的一件事、一個(gè)事物B、標(biāo)準(zhǔn)化必須是靜態(tài)的,相對(duì)科技的進(jìn)步和社會(huì)的發(fā)展不能發(fā)現(xiàn)變化C、標(biāo)準(zhǔn)化的相對(duì)性,原有標(biāo)準(zhǔn)隨著社會(huì)發(fā)展和環(huán)境變化,需要更新D、標(biāo)準(zhǔn)化的效益,通過(guò)應(yīng)用體現(xiàn)經(jīng)濟(jì)和社會(huì)效益,否則就沒(méi)必要【正確答案】：B78.65.某銀行網(wǎng)上交易系統(tǒng)開(kāi)發(fā)項(xiàng)目在最好階段分析系統(tǒng)運(yùn)行過(guò)程中可能存在的攻擊，請(qǐng)問(wèn)以下中，哪一項(xiàng)不能降低該系統(tǒng)的受攻擊面（）A、遠(yuǎn)程用戶或頻繁運(yùn)行身份認(rèn)證B、遠(yuǎn)程用戶訪問(wèn)需要管理員權(quán)限C、關(guān)閉不必要的系統(tǒng)服務(wù)D、當(dāng)用戶訪問(wèn)其賬戶采用嚴(yán)格的身份認(rèn)證規(guī)則【正確答案】：B79.616.隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴性達(dá)到了前所未有的程度，網(wǎng)絡(luò)安全也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)。如何保障網(wǎng)絡(luò)安全就顯得非常重要，而網(wǎng)絡(luò)安全評(píng)估是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)。以下不屬于網(wǎng)絡(luò)安全評(píng)估內(nèi)容的是（）A、數(shù)據(jù)加密B、漏洞檢測(cè)C、風(fēng)險(xiǎn)評(píng)估D、安全審計(jì)【正確答案】：A80.574.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoveryTimeOhjective,RTO）.恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective,RPO）降級(jí)操作目標(biāo)（DegradedOperationsObjective-DOO）和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NeLworkRecoveryObjective-NRO）,小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O，以下描述中，正確的是（）。A、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B、RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C、RPO-O，相當(dāng)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D、RPO-O，相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理【正確答案】：A81.563.某網(wǎng)盤被發(fā)現(xiàn)泄露了大量私人信息,通過(guò)第三方網(wǎng)盤搜索引擎可查詢到該網(wǎng)盤用戶的大量照片、通訊錄。網(wǎng)盤建議用戶使用“加密分享”功能,以避免消息泄露,“加密分享”可以采用以下哪些算法（）。A、MD5算法，SH-1算法B、DSA算法，RSA算法C、SHA-1算法，SM2算法D、RSA算法，SM2算法【正確答案】：D解析：

在加密分享中，需要采用既能保證安全性又具有實(shí)用性的加密算法。RSA算法是一種廣泛使用的非對(duì)稱加密算法，適用于數(shù)據(jù)加密和數(shù)字簽名，能夠確保數(shù)據(jù)的安全傳輸。SM2算法則是中國(guó)國(guó)家密碼管理局發(fā)布的公鑰密碼算法，同樣適用于數(shù)據(jù)加密和數(shù)字簽名，具有高度的安全性。MD5算法和SHA-1算法主要是哈希算法，用于數(shù)據(jù)完整性校驗(yàn)，而非直接用于數(shù)據(jù)加密。DSA算法雖然也是一種非對(duì)稱加密算法，但在加密分享的場(chǎng)景中，RSA和SM2算法更為常見(jiàn)和適用。因此，“加密分享”可以采用RSA算法和SM2算法，即選項(xiàng)D。82.586.下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法，哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法（）。A、基于知識(shí)的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D83.411.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過(guò)程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B84.270.主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)經(jīng)過(guò)互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍?A、10．0．0．0～10．255．255．255B、172．16．0．0～172．31．255．255C、、192．168．0．0～192．168．255．255D、、不在上述范圍內(nèi)【正確答案】：D解析：

當(dāng)主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH（AuthenticationHeader，認(rèn)證頭）或ESP（EncapsulatingSecurityPayload，封裝安全載荷）的傳輸模式進(jìn)行保護(hù)時(shí)，這通常意味著數(shù)據(jù)正在使用IPsec（InternetProtocolSecurity，互聯(lián)網(wǎng)協(xié)議安全）進(jìn)行加密和/或認(rèn)證。IPsec用于在IP層提供安全通信，它要求通信雙方（在此為主機(jī)A和主機(jī)B）使用公網(wǎng)上的IP地址，而不是私有IP地址范圍。85.205.下面對(duì)“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）A、指一個(gè)特定的漏洞，該漏洞每年１月１日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞，特指在２０１０年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達(dá)到攻擊目標(biāo)D、指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】：D86.580.（）在實(shí)施攻擊之前，需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的（）。那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司相關(guān)人員的綽號(hào)等等。A、攻擊者；所需要的信息；系統(tǒng)管理員；基礎(chǔ)；內(nèi)部約定B、所需要的信息；基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C、攻擊者；所需要的信息；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D、所需要的信息；攻擊者；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定【正確答案】：C87.228.關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃（BCP）以下說(shuō)法最恰當(dāng)?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個(gè)控制過(guò)程。B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過(guò)程。C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)此案而建立的一個(gè)控制過(guò)程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風(fēng)險(xiǎn)建立的一個(gè)控制過(guò)程【正確答案】：B88.583.計(jì)算機(jī)漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。在病毒肆意的信息不安全時(shí)代，某公司為減少計(jì)算機(jī)系統(tǒng)漏洞，對(duì)公司計(jì)算機(jī)系統(tǒng)進(jìn)行了如下措施，其中錯(cuò)誤的是（）A、減少系統(tǒng)日志的系統(tǒng)開(kāi)銷B、禁用或刪除不需要的服務(wù)，降低服務(wù)運(yùn)行權(quán)限C、設(shè)置策略避免系統(tǒng)出現(xiàn)弱口令并對(duì)口令猜測(cè)進(jìn)行防護(hù)D、對(duì)系統(tǒng)連續(xù)進(jìn)行限制，通過(guò)軟件防火墻等技術(shù)實(shí)現(xiàn)對(duì)系統(tǒng)的端口連續(xù)進(jìn)行控制【正確答案】：A89.368.為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法是：A、文件映像處理B、電子鏈接C、硬盤鏡像D、熱備援中心配置【正確答案】：D解析：

這道題考查異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法。在業(yè)務(wù)連續(xù)性計(jì)劃中，熱備援中心配置能有效實(shí)現(xiàn)異地?cái)?shù)據(jù)轉(zhuǎn)移/備份。文件映像處理、電子鏈接、硬盤鏡像在異地?cái)?shù)據(jù)轉(zhuǎn)移方面存在局限性。而熱備援中心配置具有更全面、高效和可靠的特點(diǎn)，能更好地滿足航空公司訂票系統(tǒng)的需求。90.460.某用戶通過(guò)賬號(hào)，密碼和驗(yàn)證碼成功登陸某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過(guò)程屬于以下哪一類：A、個(gè)人網(wǎng)銀和用戶之間的雙向鑒別B、由可信第三方完成的用戶身份鑒別C、個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別D、用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性單向鑒別【正確答案】：C91.93.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec)協(xié)議說(shuō)法錯(cuò)誤的是：A、在傳送模式中，保護(hù)的是IP負(fù)載。B、驗(yàn)證頭協(xié)議(AuthenticationHeader，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作。C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。D、IPSec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性?！菊_答案】：D92.512.組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和()功能的訪間。對(duì)訪間的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求,訪問(wèn)控制策略還要與組織的訪問(wèn)策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和()時(shí),宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并()。對(duì)程序源代碼和相關(guān)事項(xiàng)(例如設(shè)計(jì)、說(shuō)明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃的訪問(wèn)宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存，可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn),更好的是放在()中A、應(yīng)用系統(tǒng):身份驗(yàn)證:嚴(yán)格控制;保密性:源程序庫(kù)B、身份驗(yàn)證;應(yīng)用系統(tǒng);嚴(yán)格控制:保密性;源程序庫(kù)C、應(yīng)用系統(tǒng);嚴(yán)格控制:身份驗(yàn)證;保密性;源程序庫(kù)D、應(yīng)用系統(tǒng);保密性;身份驗(yàn)證;嚴(yán)格控制;源程序庫(kù)【正確答案】：A93.549.目前,很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí),均要求產(chǎn)品需通過(guò)安全測(cè)評(píng)。關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義,下列說(shuō)法中不正確的是:A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購(gòu)信息安全產(chǎn)品,設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境【正確答案】：D94.644.信息安全方面的業(yè)務(wù)連續(xù)性管理包含2個(gè)（）和4個(gè)控制措施。組織應(yīng)確定在業(yè)務(wù)連續(xù)性管理過(guò)程或?yàn)?zāi)難恢復(fù)管理過(guò)程中是否包含了（）。應(yīng)在計(jì)劃業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)時(shí)確定（）。組織應(yīng)建立、記錄、實(shí)施并維持過(guò)程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級(jí)別。在業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)內(nèi)容中，可能已定義特定的（）。應(yīng)保護(hù)在這些過(guò)程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下，已實(shí)施的信息安全控制措施應(yīng)繼續(xù)實(shí)行。若安全控制措施不能保持信息安全，應(yīng)建立、實(shí)施和維持其他控制措施以保持信息安全在（）。