CISP練習卷附答案

第頁CISP練習卷附答案1.198.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是：A、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息C、粒度最小的策略，將數(shù)據(jù)庫中數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分【正確答案】：B解析：

解釋：數(shù)據(jù)庫安全策略應(yīng)為最小共享。2.549.目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:A、有助于建立和實施信息安全產(chǎn)品的市場準入制度B、對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學公正的專業(yè)指導(dǎo)C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境【正確答案】：D3.294.以下說法正確的是：A、驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B、軟件測試的目的是為了驗證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標準審查提交的測試計劃，并提出審查意見D、軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段【正確答案】：C4.27.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項（）。A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“安施培訓(xùn)和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容【正確答案】：D5.93.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec)協(xié)議說法錯誤的是：A、在傳送模式中，保護的是IP負載。B、驗證頭協(xié)議(AuthenticationHeader，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作。C、在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。D、IPSec僅能保證傳輸數(shù)據(jù)的可認證性和保密性?！菊_答案】：D解析：

解釋：IPSEC可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務(wù)。6.488．下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是（）A、所謂需求管理，是指對需求開發(fā)的管理B、需求管理包括：需求獲取、需求分析、需求定義各需求驗證C、需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D、在需求管理中要求維持對原有需求和所有的產(chǎn)品需求的雙向跟蹤【正確答案】：D解析：

/view/51390fbe64ce0508763231126edb6f1aff007118.html，百度文庫。[解析]所有與需求直接相關(guān)的活動通稱為需求工程。需求工程的活動可分為需求開發(fā)和需求管理兩大類。其中，需求開發(fā)的目的是通過調(diào)查與分析，獲取用戶需求并定義產(chǎn)品需求。需求開發(fā)主要有需求獲取、需求分析、需求定義和需求驗證等4個過程。需求管理的目的是確保各方對需求的一致理解、管理和控制需求的變更，從需求到最終產(chǎn)品的雙向跟蹤。在需求管理中，要收集需求的變更和變更的理由，并且維持對原有需求和產(chǎn)品及構(gòu)件需求的雙向跟蹤。7.57.主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是（）A、主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關(guān)信息或數(shù)據(jù)B、客體也是一個實體，是操作的對象，是被規(guī)定需要保護的資源C、主體是動作的實施者，比如人、進程或設(shè)備等均是主體，這些對象不能被當作客體使用D、一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨立運行【正確答案】：C8.452.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。A、跨站腳本攻擊B、TCP會話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊【正確答案】：D9.393.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計時，為了避免數(shù)據(jù)誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該刪除操作才能生效，這種設(shè)計是遵循了發(fā)下哪個原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A10.558.漏洞掃描是信息系統(tǒng)風險評估中的常用技術(shù)措施,定期的漏洞掃描有助于組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具,用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進行學習后有如下理解,其中錯誤的是（）A、主動掃描工作方式類似于IDS(IntrusionDetectionSystems)B、CVE(CommonVulnerabilities&Exposures)為每個漏洞確定了唯一的名稱和標準化的描述C、X.Scanner采用多線程方式對指定IP地址段進行安全漏洞掃描D、ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞【正確答案】：A11.376.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、正黨代名和密碼，以防止攻擊者利用以上信息進行（）攻擊。A、默認口令B、字典C、暴力D、XSS【正確答案】：B12.86.下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標準：A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪問控制器訪問控制系統(tǒng)(TACACS+)D、點對點隧道協(xié)議(PPTP)【正確答案】：C解析：

解釋：TACACS+是AAA權(quán)限控制系統(tǒng)，不屬于VPN。13.268.信息安全標準化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據(jù)，同時也是保護國家利益，促進產(chǎn)業(yè)發(fā)展的重要手段之一，關(guān)于我國標準化工作，下面選項中描述錯誤的是（）A、、我國是在國家質(zhì)量監(jiān)督檢驗疫總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設(shè)專業(yè)技術(shù)委員會B、、事關(guān)國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，切實有效地保護國家利益和安全C、、我國歸口信息安全方面標準是“全國信息安全標準化技術(shù)委員會”，為加強有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D、、信息安全標準化工作是解決信息安全問題的重要技術(shù)支撐，其主要作業(yè)突出體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進性、可靠性和一致性【正確答案】：B14.633.信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（）,信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個（），因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種（）的信心。A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B15.558.漏洞掃描是信息系統(tǒng)風險評估中的常用技術(shù)措施,定期的漏洞掃描有助于組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具,用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進行學習后有如下理解,其中錯誤的是（）A、主動掃描工作方式類似于IDS(IntrusionDetectionSystems)B、CVE(CommonVulnerailities&Exposures)為每個漏洞確定了唯一的名稱和標準化的描述C、X.Sanner采用多線程方式對指定IP地址段進行安全漏洞掃描D、ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞【正確答案】：A解析：

這道題考察的是對漏洞掃描技術(shù)和工具的理解。首先，我們需要知道漏洞掃描是信息系統(tǒng)風險評估中的重要環(huán)節(jié)，它幫助組織機構(gòu)發(fā)現(xiàn)系統(tǒng)中的安全漏洞。現(xiàn)在，我們逐一分析每個選項：A.主動掃描工作方式類似于IDS（IntrusionDetectionSystems）：這是不正確的。主動掃描實際上是模擬黑客攻擊，對目標系統(tǒng)進行探測，以發(fā)現(xiàn)潛在的安全漏洞。而IDS，即入侵檢測系統(tǒng)，是用于檢測網(wǎng)絡(luò)中違反安全策略的行為。兩者的工作原理和目的截然不同。B.CVE（CommonVulnerabilities&Exposures）為每個漏洞確定了唯一的名稱和標準化的描述：這是正確的。CVE是一個公開的字典，它為每個已知的安全漏洞分配了一個唯一的標識符和標準化的描述，這有助于安全研究人員和漏洞掃描工具準確地識別和報告漏洞。C.X.Scanner采用多線程方式對指定IP地址段進行安全漏洞掃描：這也是正確的。多線程掃描可以提高掃描效率，使得X.Scanner能夠更快地完成對指定IP地址段的安全漏洞掃描。D.ISS的SystemScanner通過依附于主機上的掃描器代理偵測主機內(nèi)部的漏洞：這同樣是正確的。一些高級的漏洞掃描工具，如ISS的SystemScanner，確實可以通過在主機上安裝掃描器代理來偵測主機內(nèi)部的漏洞，這種方式可以提供更深入、更準確的掃描結(jié)果。綜上所述，小李的理解中錯誤的是A選項：主動掃描工作方式類似于IDS。16.316.文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制C、組織在每份文件的首頁，加上文件修訂跟蹤表，顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當依據(jù)風險評估的結(jié)果建立【正確答案】：B解析：

解釋：信息安全管理體系運行記錄需要保護和控制。17.195.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：ü賬戶鎖定閥值3次無效登陸；賬戶鎖定時間10分鐘；復(fù)位賬戶鎖定計數(shù)器5分鐘；以下關(guān)于以上策略設(shè)置后的說法哪個是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響【正確答案】：B【正確答案】：B18.607.1998年英國公布標準的第二部分《信安全管理體系規(guī)范》，規(guī)定（）管理體系要求與（）要求，它是一個組織的全面或部分信息安全管理體系評估的（），它可以作為一個正式認證方案的（）。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及（）的責任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：D19.476．不同的信息安全風險評估方法可能得到不同的風險評估結(jié)果，所以組織機構(gòu)應(yīng)當根據(jù)各自的實際選擇適當?shù)娘L險評估方法。下面的描述中錯誤是（）A、定量風險分析試圖從財務(wù)數(shù)字上對安全進行評估得出可以量化的風險分析結(jié)果，以度量風險的可能性和缺失量B、定量風險分析相比定性風險分析能得到準確的數(shù)值，所以在實際工作中應(yīng)使用定量風險分析，而不應(yīng)選擇定性風險分析C、定性風險分析過程中往往需要憑借分析者的經(jīng)驗各直接進行，所以分析結(jié)果和風險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風險分析更具主觀性，面定量風險分析更具客觀性【正確答案】：B解析：

/NewsInfoList4905.html，中培課堂。答案為B。同A套題型中91題一樣。20.99.關(guān)于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限【正確答案】：C21.449.在Windows系統(tǒng)中，管理權(quán)限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B22.550.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：A、國家標準《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》GB/202714.1-2006）中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型,在信息系統(tǒng)安全保障具體操作時,可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全,而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面不需要投入【正確答案】：D23.346.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能（）。A、檢測并分析用戶和系統(tǒng)的活動B、核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識別違反安全策略的用戶活動【正確答案】：C解析：

解釋：入侵檢測技術(shù)是發(fā)現(xiàn)安全攻擊，不能防止IP欺騙。24.486.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前，Hadoop并不存在安全認證一說。認集群內(nèi)所有的節(jié)點都是可靠的，值得信賴的。用戶與服務(wù)器進行交互時并不需要進行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NameNo安康頭發(fā)TaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機制來解決用戶到服務(wù)器認證問題，Kerberos認證過程不包括（）A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)【正確答案】：C25.321.業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯誤更詳細的顯示出來C、捕獲錯誤，并拋出前臺顯示D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息【正確答案】：D解析：

解釋：D為正確的處理方法。26.507.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護，以下關(guān)于用戶隱私保護的說法錯誤的是？A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B、當用戶的數(shù)據(jù)由于某種原因要被使用時，給客戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C27.640.在網(wǎng)絡(luò)交易發(fā)達的今天，貿(mào)易雙方可以通過簽署電子合同來保障自己的合法權(quán)益。某中心推出電子簽名服務(wù)，不屬于電子簽名的基本特性的是（）。A、不可偽造性B、不可否認性C、保證消息完整性D、機密性【正確答案】：D28.201.安全多用途互聯(lián)網(wǎng)郵件擴展(SecureMultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（）A、S/MIME采用了非對稱密碼學機制B、S/MIME支持數(shù)字證書C、S/MIME采用了郵件防火墻技術(shù)D、S/MIME支持用戶身份認證和郵件加密【正確答案】：C解析：

解釋：S/MIME是郵件安全協(xié)議，不是防火墻技術(shù)。29.388.Kerberos協(xié)議是一種集中訪問控制協(xié)議，他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點登錄服務(wù)。單點登錄是指用戶在網(wǎng)絡(luò)中進行一次身份認證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不在需要其他的認證過程，實質(zhì)是消息M在多個應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰【正確答案】：A30.572.下列信息安全評估標準中，哪一個是我國信息安全評估的國家標準？（）A、TCSEC標準B、CC標準C、FC標準D、ITSEC標準【正確答案】：B解析：

來源：書籍242頁的描述，實際情況CC不是我國的標準。但是書籍說CC是我國等同采用的標準，于是就成為了CC是我國的標準。31.204.下面信息安全漏洞理解錯誤的是：A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟損失D、由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的【正確答案】：B解析：

解釋：安全漏洞可以有意產(chǎn)生，也會無意產(chǎn)生。32.150.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法B、P不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實踐D、BP不是過程區(qū)域（ProcessAreas，PA)的強制項【正確答案】：A解析：

在系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中，基本實施（BasePractice，BP）是指為實現(xiàn)安全目標而必須執(zhí)行的一系列基礎(chǔ)活動和任務(wù)。BP的核心特點在于其靈活性和適用性，即它并不限定于特定的方法或工具，而是允許在不同業(yè)務(wù)背景和環(huán)境下，根據(jù)實際需要選擇和使用最合適的方法。這一特點確保了SSE-CMM的廣泛適用性和實用性。因此，選項A“BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法”是對BP正確理解的描述。33.436.如圖所示，主體S對客體01有讀（R）權(quán)限，對客體02有讀（R）、寫（）權(quán)限。該圖所示的訪問控制實現(xiàn)方法是：A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）【正確答案】：C34.225.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應(yīng)有職責的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定，目標應(yīng)明確、可度量，計劃應(yīng)具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程、確保信息安全風險評估技術(shù)選擇合理、計算正確【正確答案】：D解析：

解釋：D不屬于管理者的職責。35.241.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實施（GenericPractices，GP）錯誤理解是：A、GP是涉及過程的管理、測量和制度化方面的活動B、GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動C、在工程實施時，GP應(yīng)該作為基本實施（BasePraties，BP）的一部分加以執(zhí)行D、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力【正確答案】：B解析：

在系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中，通用實施（GenericPractices，GP）涉及對過程的管理、測量和制度化方面的活動，這是其基本定義和作用。同時，GP在評估時用于判定工程組織執(zhí)行某個過程區(qū)域（ProcessAreas，PA）的能力，這也是其重要的應(yīng)用環(huán)節(jié)。然而，GP并非僅適用于域維中部分PA的活動，而是應(yīng)該作為基本實施（BasePractices，BP）的一部分，在工程實施時全面加以執(zhí)行。因此，選項B“GP適用于域維中部分過程區(qū)域（ProcessAractices，PA）活動而非所有PA的活動”是對GP的錯誤理解。36.156.下面哪項屬于軟件開發(fā)安全方面的問題（）A、軟件部署時所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺電腦上安裝?！菊_答案】：C37.47.按照我國信息安全等級保護的有關(guān)政策和標準。有些信息系統(tǒng)只需要自主定級、自主保護，按照要求向公安機關(guān)備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于：A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：B解析：

根據(jù)我國信息安全等級保護的相關(guān)政策和標準，信息系統(tǒng)的安全保護等級分為五級，其中一級信息系統(tǒng)為最低級別。對于一級信息系統(tǒng)，其安全保護要求相對較低，只需進行自主定級、自主保護，并按照要求向公安機關(guān)備案，而無需上級或主管部門進行測評和檢查。因此，題目中描述的信息系統(tǒng)應(yīng)屬于一級系統(tǒng)。38.36.某軟件在設(shè)計時，有三種用戶訪問模式，分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問)采用這三種訪問模式時，攻擊面最高的是()。A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名D、三種方式一樣【正確答案】：C39.232.恢復(fù)時間目標（RTO）和恢復(fù)點目標（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個值能否為零，正確的選項是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

解釋：RTO可以為0，RPO也可以為0。40.501.信息安全管理體系也采用了（）模型可應(yīng)用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的（），產(chǎn)生滿足這些要求和期望的（）。A、ISMS：PDCA過程；行動和過程；信息安全結(jié)果B、PDCA；ISMS過程；行動和過程；信息安全結(jié)果C、ISMS：PDCA過程；信息安全結(jié)果；行動和過程D、PDCA；ISMS過程；信息安全結(jié)果；行動和過程【正確答案】：B41.143.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是：A、測量單位是基本實施(BsePrctices，BP)B、測量單位是通用實踐(GenericPractices，GP)C、測量單位是過程區(qū)域(ProessAreas，PA)D、測量單位是公共特征(CommonFeatures，CF)【正確答案】：D解析：

在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進行測量時，其測量單位是公共特征(CommonFeatures,CF)。這是SSECMM模型特有的評估單位，用于衡量組織在安全工程方面的能力成熟度水平。42.630.目前應(yīng)用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙認為同事小李從對應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對，請問是下面哪一項（）A、數(shù)據(jù)訪問權(quán)限B、偽造身份C、釣魚攻擊D、遠程滲透【正確答案】：C43.361.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先創(chuàng)定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備→檢測→遏制-，根除→恢復(fù)→跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是():A、、確定重要資產(chǎn)和風險，實施針對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)【正確答案】：C44.577.信息時流動的，在信息的流動過程中必須能夠識別所有可能途徑的（）與（）；面對于信息本身，信息的敏感性的定義是對信息保護的（）和（），信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的截體下，可能體現(xiàn)出信息的（）、臨時性和信息的交互場景，這使得風險管理變得復(fù)雜和不可預(yù)測。A、基礎(chǔ)；依據(jù)；載體；環(huán)境；永久性；風險管理B、基礎(chǔ)；依據(jù)；載體；環(huán)境；風險管理；永久性C、載體；環(huán)境；風險管理；永久性；基礎(chǔ)；依據(jù)D、載體；環(huán)境；基礎(chǔ)；依據(jù)；風險管理；永久性【正確答案】：D45.492．強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或?qū)Π踩砸筝^高的系統(tǒng)。強制訪問控制模型有多種類型，如BLP、Biba、Clark-willson和ChineseWall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）。A、BLP模型用于保證系統(tǒng)信息的完整性BLP模型的規(guī)則是“向下讀，向上寫”C、BLP的自主安全策略中，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對客體的訪問D、BLP的強制安全策略使用一個訪問控制矩陣表示【正確答案】：B解析：

/NewsInfo/5155.html，中培課堂。選項部分相似。46.222.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是：A、資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D47.58.數(shù)字簽名不能實現(xiàn)的安全特性為（）A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D48.72.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)?A、防護B、檢測C、反應(yīng)D、策略【正確答案】：D49.336.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關(guān)于我國信息安全實踐工作，下面說法錯誤的是（）A、、加強信息安全標準化建設(shè)，成立了“全國信息安全標準化技術(shù)委員會”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標準。B、、重視信息安全應(yīng)急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動了應(yīng)急處理和信息通報技術(shù)合作工作進展C、、推進信息安全等級保護工作，研究制定了多個有關(guān)信息安全等級保護的規(guī)范和標準，重點保障了關(guān)系國定安全，經(jīng)濟命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性D、實施了信息安全風險評估工作，探索了風險評估工作的基本規(guī)律和方法，檢驗并修改完善了有關(guān)標準，培養(yǎng)和鍛煉了人才隊伍【正確答案】：B50.632.某單位在進行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務(wù)已經(jīng)過期，漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計人員對這份報告的說法正確的是（）A、內(nèi)部審計人員的質(zhì)疑是對的，由于沒有更新漏洞庫，因此這份漏洞掃描報告準確性無法保證B、內(nèi)部審計人員質(zhì)疑是錯的，漏洞掃描軟件是正版采購，因此掃描結(jié)果是準確的C、內(nèi)部審計人員的質(zhì)疑是正確的，因為漏洞掃描報告是軟件提供，沒有經(jīng)過人為分析，因此結(jié)論不會準確D、內(nèi)部審計人員的質(zhì)疑是錯誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃描結(jié)果是準確的【正確答案】：A51.147.某單位開發(fā)一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析，模糊測試等軟件測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性的優(yōu)勢？A、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確B、滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C、滲透測試以攻擊者思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：C解析：

解釋：C是滲透測試的優(yōu)點。52.278.對惡意代碼的預(yù)防，需要采取增強安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯誤的是：A、在使用來自外部的移動介質(zhì)前，需要進行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序【正確答案】：C53.180.以下Windows系統(tǒng)的賬號存儲管理機制SAM（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性【正確答案】：D54.30.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內(nèi)部傳播，作為信息化負責人，你應(yīng)采取以下哪項策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個可以查殺到該病毒的軟件進行重新部署B(yǎng)、向企業(yè)內(nèi)部的計算機下發(fā)策略，關(guān)閉系統(tǒng)默認開啟的自動播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內(nèi)部【正確答案】：B55.78.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D56.443.視窗操作系統(tǒng)（Windows）從哪個版本開始引入安全中心的概念？A、WinNTSP6B、Win2000SP4C、WinXPSP2D、Win2003SP1【正確答案】：C57.98.某公司系統(tǒng)管理員最近正在部署一臺Web服務(wù)器，使用的操作系統(tǒng)是windows，在進行日志安全管理設(shè)置時，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進行參考，其中能有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進行修改的策略是：A、網(wǎng)絡(luò)中單獨部署syslog服務(wù)器，將Web服務(wù)器的日志自動發(fā)送并存儲到該syslog日志服務(wù)器中B、嚴格設(shè)置We日志權(quán)限，只有系統(tǒng)權(quán)限才能進行讀和寫等操作C、對日志屬性進行調(diào)整，加大日志文件大小、延長覆蓋時間、設(shè)置記錄更多信息等D、使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間【正確答案】：A解析：

這道題考查應(yīng)對攻擊者修改日志的策略。在實際的網(wǎng)絡(luò)環(huán)境中，將Web服務(wù)器的日志自動發(fā)送并存儲到單獨部署的syslog服務(wù)器中，能有效避免攻擊者獲得系統(tǒng)權(quán)限后對本地日志的修改。其他選項如嚴格設(shè)置權(quán)限、調(diào)整日志屬性、獨立分區(qū)存儲，雖有一定作用，但不能完全防止攻擊者對本地日志的篡改。所以選擇A選項。58.89.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制保密【正確答案】：B解析：

解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。59.293.以下哪一項不屬于常見的風險評估與管理工具：A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經(jīng)驗的風險評估與管理工具【正確答案】：D解析：

解釋：D基于經(jīng)驗的風險評估工具不存在。60.94.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?A、網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導(dǎo)致用戶傳輸信息泄露，如購買的商品金額等C、網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D61.352.二十世紀二十年代，德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機，按照密碼學發(fā)展歷史階段劃分，這個階段屬于（）A、、古典密碼階段。這一階段的密碼專家常?？恐庇X和技術(shù)來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和轉(zhuǎn)換方法B、、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備C、、現(xiàn)代密碼學早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基礎(chǔ)，開始了對密碼學的科學探索D、、現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志，引發(fā)了密碼學歷【正確答案】：A62.337.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并嚴格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A、、信息安全需求是安全方案設(shè)計和安全措施實施的依據(jù)B、、信息安全需求應(yīng)當是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、、信息安全需求應(yīng)當基于信息安全風險評估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標準的合規(guī)性要求得到D、、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案【正確答案】：D63.83.以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

解釋：L2F、PPTP、L2TP均為二層隧道協(xié)議。64.245.具有行政法律責任強制的安全管理規(guī)定和安全制度包括1>安全事件（包括安全事故）報告制度2>安全等級保護制度3>信息系統(tǒng)安全監(jiān)控4>安全專用產(chǎn)品銷售許可證制度A、1，2，4B、2，3C、2，3,4D、1，2,3【正確答案】：A解析：

解釋：1\2\4均為管理規(guī)定和安全制度。65.531.風險,在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風險的目標可能有很多不同的方面,如財務(wù)目標、健康和人身安全目標、信息安全目標和環(huán)境目標等:目標也可能有不同的級別,如戰(zhàn)略目標、組織目標、項目目標、產(chǎn)品目標和過程目標等,ISO/IEC13335-1中揭示了風險各要素關(guān)系模型,如圖所示。請結(jié)合此圖,怎么才能降低風險對組織產(chǎn)生的影響?()A、組織應(yīng)該根據(jù)風險建立響應(yīng)的保護要求,通過構(gòu)架防護措施降低風險對組織產(chǎn)生的影響B(tài)、加強防護措施,降低風險C、減少威脅和脆弱點降低風險D、減少資產(chǎn)降低風險【正確答案】：A66.476．不同的信息安全風險評估方法可能得到不同的風險評估結(jié)果，所以組織機構(gòu)應(yīng)當根據(jù)各自的實際選擇適當?shù)娘L險評估方法。下面的描述中錯誤是（）A、定量風險分析試圖從財務(wù)數(shù)字上對安全進行評估得出可以量化的風險分析結(jié)果，以度量風險的可能性和缺失量B、定量風險分析相比定性風險分析能得到準確的數(shù)值，所以在實際工作中應(yīng)使用定量風險分析，而不應(yīng)選擇定性風險分析C、定性風險分析過程中往往需要憑借分析者的經(jīng)驗各直接進行，所以分析結(jié)果和風險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風險分析更具主觀性，面定量風險分析更具客觀性【正確答案】：B67.361.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。基于應(yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先創(chuàng)定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備→檢測→遏制-，根除→恢復(fù)→跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是():A、確定重要資產(chǎn)和風險，實施針對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)【正確答案】：C解析：

解釋：不能完全關(guān)閉系統(tǒng)的操作。68.554.方法指導(dǎo)類標準主要包括GB/T-T25058-2010-《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》GB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等。其中《等級保護實施指南》原以()政策文件方式發(fā)布,后修改后以標準發(fā)布。這些標準主要對如何開展()做了詳細規(guī)定。狀況分析類標準主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護測評準則》等文件,后經(jīng)過修改以《等級保護測評要求》發(fā)布。這些標準主要對如何開展()工作做出了()A公安部；等級保護試點；等級保護工作；等級保護測評；詳細規(guī)定.B公安部；等級保護工作；等級保護試點；等級保護測評；詳細規(guī)定C、公安部；等級保護工作；等級保護測評；等級保護試點；詳細規(guī)定D公安部；等級保護工作；等級保護試點；詳細規(guī)定；等級保護測評【正確答案】：B69.280.下列關(guān)于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C70.120.關(guān)于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：A、立足國情，以我為主，堅持技術(shù)與管理并重B、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作D、全面提高信息安全防護能力，保護公眾利益，維護國家安全【正確答案】：D解析：

解釋：D描述的是信息安全保障工作目標；ABC描述的是信息安全保障的原則。71.570.以下關(guān)于開展軟件安全開發(fā)必要性描錯誤的是？（）A、軟件應(yīng)用越來越廣泛B、軟件應(yīng)用場景越來越不安全C、軟件安全問題普遍存在D、以上都不是【正確答案】：D72.269.最小特權(quán)是軟件安全設(shè)計的基本原則，某應(yīng)用程序在設(shè)計時，設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專家，請指出是哪一個?A、軟件在Linux下按照時，設(shè)定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Winows下能穩(wěn)定的運行，設(shè)定運行權(quán)限為system，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤【正確答案】：D解析：

最小特權(quán)原則是軟件安全設(shè)計中的重要原則，要求每個軟件模塊或進程只擁有完成其任務(wù)所需的最小權(quán)限。分析各選項：73.455.如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob，Bob再用自己的私鑰解密，恢復(fù)出明文以下說法正確的是：A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、、此密碼體制為公鑰密碼體制【正確答案】：D74.238.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是：A、通用布纜系統(tǒng)工程B、電子設(shè)備機房系統(tǒng)工程C、計算機網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用【正確答案】：D75.385.某信息安全公司的團隊對某款名為“紅包快搶”的外掛進行分析發(fā)現(xiàn)此外掛是一個典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)，該后門程序為了達到長期駐留在受害者的計算機中，通過修改注冊表啟動項來達到后門程序隨受害者計算機系統(tǒng)啟動而啟動為防范此類木馬的攻擊，以下做法無用的是（）A、不下載、不執(zhí)行、不接收來歷不明的軟件和文件B、不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站C、使用共享文件夾D、安裝反病毒軟件和防火墻，安裝專門的木馬防范軟件【正確答案】：C76.22.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面安施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南，信息的標記和處理【正確答案】：D77.576.組織應(yīng)依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認證和（）時，宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具和程序的使用，應(yīng)加以限制并（）。對程序源代碼和相關(guān)事項（例如設(shè)計、說明書、驗證計劃和確認計劃）的訪問宜嚴格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的（）。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn)，更好的是放在()中。A、應(yīng)用系統(tǒng)；身份驗證；嚴格控制；保密性；源程序庫B、身份驗證；應(yīng)用系統(tǒng)；嚴格控制；保密性；源程序庫C、應(yīng)用系統(tǒng)；嚴格控制；身份驗證；保密性；源程序庫D、應(yīng)用系統(tǒng)；保密性；身份驗證；嚴格控制；源程序庫【正確答案】：A解析：

解釋：來源于教材第117頁9.4.5表格之下的所有部分，到118頁的最上面一段。78.318.在工程實施階段，監(jiān)理機構(gòu)依據(jù)承建合同、安全設(shè)計方案、實施方案、實施記錄、國家或地方相關(guān)標準和技術(shù)指導(dǎo)文件，對信息化工程進行安全____檢查，以驗證項目是否實現(xiàn)了項目設(shè)計目標和安全等級要求。A、功能性B、可用性C、保障性D、符合【正確答案】：D79.122.《信息安全技術(shù)信息安全風險評估規(guī)范》（GB／T20984-2007）中關(guān)于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是：A、規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證D、運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D80.391.關(guān)于信息安全管理體系的作用，下面理解錯誤的是A、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有據(jù)可查B、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方法收入來彌補投入C、對外而言，有助于使各科室相關(guān)方對組織充滿信心D、對外而言，規(guī)范工作流程要求，幫助界定雙方各自信息安全責任【正確答案】：B81.406.Windows文件系統(tǒng)權(quán)限管理訪問控制列表（AccessControlList，ACL）機制，以下哪個說法是錯誤的：A、安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS，因為Windows的CL機制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對每個文件和目錄設(shè)置嚴格的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認設(shè)置安全性不高的問題C、Windows的AL機制中，文件和文件夾權(quán)限與主體進行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性，在實際使用中可以為每一個文件設(shè)定獨立用戶的權(quán)限【正確答案】：C解析：

這道題考查Windows文件系統(tǒng)權(quán)限管理的知識。NTFS格式支持ACL機制，A選項正確。Windows系統(tǒng)文件眾多，ACL存在默認設(shè)置安全性不高的情況，B選項合理。在Windows的ACL機制中，文件和文件夾的訪問權(quán)限信息并非寫在用戶數(shù)據(jù)庫中，C選項錯誤。ACL靈活性好，可為每個文件設(shè)定獨立用戶權(quán)限，D選項正確。綜上所述，答案選C。82.53.信息安全風險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對【正確答案】：B83.26.隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式A、利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B、利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URLC、利用即時通訊軟件發(fā)送指向惡意地址的二維碼D、利用即時通訊發(fā)送攜帶惡意代碼的JPG圖片【正確答案】：D解析：

這道題考查對惡意代碼利用即時通訊傳播方式的了解。在網(wǎng)絡(luò)安全領(lǐng)域，惡意代碼常通過即時通訊軟件傳播。A選項的文件傳送、B選項的惡意網(wǎng)頁URL鏈接、C選項的惡意二維碼都能用于傳播惡意代碼。而JPG圖片通常無法直接攜帶惡意代碼，所以答案選D。84.183.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（enialofService，oS）攻擊【正確答案】：D解析：

拒絕服務(wù)（DenialofService，DoS）攻擊是通過向目標服務(wù)器發(fā)送大量無效或高流量的請求，使其資源耗盡或過載，從而導(dǎo)致服務(wù)中斷或性能嚴重下降。根據(jù)題目描述，網(wǎng)站在特定時間段內(nèi)受到攻擊，且從數(shù)據(jù)分析來看，這種攻擊導(dǎo)致了服務(wù)的中斷或性能下降，這與DoS攻擊的特征相符合。因此，可以判斷這種攻擊類型最可能屬于拒絕服務(wù)（DoS）攻擊。85.193.口令破解是針對系統(tǒng)進行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是A、密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應(yīng)對口令暴力破解攻擊【正確答案】：D解析：

解釋：.賬戶鎖定策略也適用于administrator賬戶。86.273.以下關(guān)于可信計算說法錯誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機安全評價標準(TCSEC)中第一次提出了可信計算機和可信計算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護體系和方法【正確答案】：D解析：

解釋：可信計算平臺出現(xiàn)后不會取代傳統(tǒng)的安全防護體系和方法。87.195.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：ü賬戶鎖定閥值3次無效登陸；賬戶鎖定時間10分鐘；復(fù)位賬戶鎖定計數(shù)器5分鐘；以下關(guān)于以上策略設(shè)置后的說法哪個是正確的A、設(shè)置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的擁護就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D、攻擊者在進行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響【正確答案】：B【正確答案】：B解析：

這道題考查對賬戶鎖定策略的理解。在設(shè)置的策略中，當賬戶鎖定閥值為3次無效登陸，鎖定時間10分鐘，復(fù)位計數(shù)器5分鐘。若正常用戶輸錯3次密碼，就會被鎖定10分鐘，期間即使輸入正確密碼也無法登錄。A選項說法太絕對，C選項鎖定時間錯誤，D選項正常用戶登錄會受影響。所以答案選B。88.25.隨機進程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一,以下對于隨機進程名技術(shù)。描述正確的是（）。A、隨機進程名技術(shù)雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身B、惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C、惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D、隨機進程名技術(shù)每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱【正確答案】：D89.307.小李在某單位是負責信息安全風險管理方面工作的部門領(lǐng)導(dǎo)，主要負責對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項：A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風險分析技術(shù)主要指在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化【正確答案】：B解析：

解釋：定性分析不能靠直覺、不能隨意。90.537.安全評估技術(shù)采用()這一工具,它是一種能夠自動檢測遠程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。A、安全掃描器B、安全掃描儀C、自動掃描器D、自動掃描儀【正確答案】：A91.390.風險分析師風險評估工作的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風險大小，如下圖所示，圖中括號應(yīng)填那個？A、安全資產(chǎn)價值大小等級B、脆弱性嚴重程度等級C、安全風險隱患嚴重等級D、安全事件造成損失大小【正確答案】：D92.134.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災(zāi)演練了【正確答案】：C93.528.數(shù)據(jù)鏈路層負責監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點的信息流動,用檢錯或糾錯技術(shù)來確保正確的傳輸,確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A、報文B、比特流C、幀D、包【正確答案】：C94.396.關(guān)于Kerberos認證協(xié)議，以下說法錯誤的是：A、只要用戶拿到了認證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個服務(wù)器