CISP相關(guān)精彩試題及問題詳解集

1、1. 人們對信息安全的認識從信息技術(shù)安全發(fā)展到信息安全保障，主要是出于：AA. 為了更好的完成組織機構(gòu)的使命B. 針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C. 風(fēng)險控制技術(shù)得到革命性的發(fā)展D. 除了性，信息的完整性和可用性也引起了人們的關(guān)注2. GB/T 20274信息系統(tǒng)安全保障評估框架中的信息系統(tǒng)安全保障級中的級別是指：CA. 對抗級B. 防護級C. 能力級D. 監(jiān)管級3. 下面對信息安全特征和疇的說法錯誤的是：CA. 信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、 管理、政策等眾多因素B. 信息安全是一個動態(tài)的問題，他隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶認識

2、、 投入產(chǎn)出而發(fā)展C. 信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個組織的信息 安全責任是沒有意義的D. 信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有 不同于傳統(tǒng)安全的特點4. 美國國防部提出的信息保障技術(shù)框架（IATF）在描述信息系統(tǒng)的安全需求時，將信息技術(shù)系統(tǒng)分為：BA. 網(wǎng)和外網(wǎng)兩個部分B. 本地計算機環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個部分C. 用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個部分D. 信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件，安全防護措施六個 部分5. 關(guān)于信息安全策略的

3、說法中，下面說確的是：CA. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)B. 信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)？ ？C. 信息安全策略是以信息系統(tǒng)風(fēng)險管理為基礎(chǔ)D. 在信息系統(tǒng)尚未建設(shè)完成之前，無法確定信息安全策略6. 下列對于信息安全保障深度防御模型的說法錯誤的是：CA. 信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因 此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B. 信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來

4、建設(shè)信息系統(tǒng)。C. 信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系無關(guān)緊要D. 信息安全技術(shù)方案：“從外而、自下而上、形成端到端的防護能力”7. 全面構(gòu)建我國信息安全人才體系是國家政策、組織機構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求。“加快信息安全人才培訓(xùn)，增強全民信息安全意識”的指導(dǎo)精神，是以下哪一個國家政策文件提出的？AA. 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見B. 信息安全等級保護管理辦法C. 中華人民國計算機信息系統(tǒng)安全保護條例D. 關(guān)于加強政府信息系統(tǒng)安全和管理工作的通知8. 一家商業(yè)公司的發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時向哪一個

5、部門報案？AA. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門B. 國家計算機網(wǎng)絡(luò)與信息安全管理中心C. 互聯(lián)網(wǎng)安全協(xié)會D. 信息安全產(chǎn)業(yè)商會9. 下列哪個不是商用密碼管理條例規(guī)定的容：DA. 國家密碼管理委員會及其辦公室（簡稱密碼管理機構(gòu)）主管全國的商用密碼管理工作B. 商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？?管理C. 商用密碼產(chǎn)品由國家密碼管理機構(gòu)許可的單位銷售D. 個人可以使用經(jīng)國家密碼管理機構(gòu)認可之外的商用密碼產(chǎn)品10. 對涉密系統(tǒng)進行安全測評應(yīng)當依據(jù)以下哪個標準？BA. BMB20-2007涉及國家秘密的計算機信息系統(tǒng)分級保護管理規(guī)B. BMB2

6、2-2007涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南C. GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則D. GB/T20271-2006信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求11. 下面對于CC的“保護輪廓” （PP）的說法最準確的是：CA. 對系統(tǒng)防護強度的描述B. 對評估對象系統(tǒng)進行規(guī)化的描述C. 對一類TOE的安全需求，進行與技術(shù)實現(xiàn)無關(guān)的描述D. 由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度12. 關(guān)于 ISO/IEC21827:2002（SSE-CMM）描述不正確的是：DA. SSE-CMM是關(guān)于信息安全建設(shè)工程實施方面的標準B. SSE-CM M的目的是建立

7、和完善一套成熟的、可度量的安全工程過程C. SSE-CMM模型定義了一個安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證D. SSE-CMM是用于對信息系統(tǒng)的安全等級進行評估的標準13. 下面哪個不是ISO 27000系列包含的標準 DA. 信息安全管理體系要求B. 信息安全風(fēng)險管理C. 信息安全度量D. 信息安全評估規(guī)14. 以下哪一個關(guān)于信息安全評估的標準首先明確提出了性、完整性和可用性三項信息安全特征？ AA. ITSECB. TCSECC. GB/T9387.2D. 彩虹系列的橙皮書15. 下面哪項不是信息安全等級保護管理辦法（公通字【2007】43號）規(guī)定的容 DA. 國家信息

8、安全等級保護堅持自主定級、自主保護的原則B. 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查C. 跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級D. 第二級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第三級信息系統(tǒng)應(yīng)當每？ ？少進行 一次等級測評16. 觸犯新刑法285條規(guī)定的非法侵入計算機系統(tǒng)罪可判處_AA. 三年以下有期徒刑或拘役B. 1000元罰款C. 三年以上五年以下有期徒刑D. 10000元罰款17. 常見密碼系統(tǒng)包含的元素是：CA. 明文，密文，信道，加密算法，解密算法B. 明文，摘要，信道，加密算法，解密算法C. 明文，密文，密鑰，加密算法，解密算法D

9、. 消息，密文，信道，加密算法，解密算法18. 公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：DA. 密鑰長度更長B. 加密速度更快C. 安全性更高D. 密鑰管理更方便19. 以下哪一個密碼學(xué)手段不需要共享密鑰？BA. 消息認證B. 消息摘要C. 加密解密D. 數(shù)字簽名20. 下列哪種算法通常不被用戶保證性?A. AESB. RC4C. RSAD. MD521.數(shù)字簽名應(yīng)具有的性質(zhì)不包括： CA. 能夠驗證簽名者B. 能夠認證被簽名消息C. 能夠保護被簽名的數(shù)據(jù)性D. 簽名必須能夠由第三方驗證22.認證中心（CA）的核心職責是_AA. 簽發(fā)和管理數(shù)字證書B. 驗證信息C. 公布黑D. 撤銷

10、用戶的證書23. 以下對于安全套接層（SSL）的說確的是：CA. 主要是使用對稱密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)男院屯暾訠. 可以在網(wǎng)絡(luò)層建立 VPNC. 主要使用于點對點之間的信息傳輸，常用Web server方式D. 包含三個主要協(xié)議：AH,ESP,IKE24. 下面對訪問控制技術(shù)描述最準確的是：CA. 保證系統(tǒng)資源的可靠性B. 實現(xiàn)系統(tǒng)資源的可追查性C. 防止對系統(tǒng)資源的非授權(quán)訪問D. 保證系統(tǒng)資源的可信性25.以下關(guān)于訪問控制表和訪問能力表的說確的是：DA. 訪問能力表表示每個客體可以被訪問的主體及其權(quán)限B. 訪問控制表說明了每個主體可以訪問的客體及權(quán)限C. 訪問控制表

11、一般隨主體一起保存D. 訪問能力表更容易實現(xiàn)訪問權(quán)限的傳遞，但回收訪問權(quán)限較困難26.下面哪一項訪問控制模型使用安全標簽（ security labels ）CA. 自主訪問控制B. 非自主訪問控制C. 強制訪問控制D. 基于角色的訪問控制27.某個客戶的網(wǎng)絡(luò)限制可以正常訪問in ternet互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP （互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）里只獲得了16個公有的IPv4地址，最多也只有 16臺PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC訪問in ternet 互聯(lián)網(wǎng)最好采取什么辦法或技術(shù):A.花更多的錢向ISP申請更多的IP地址B.在網(wǎng)絡(luò)的出口路由器上做源NATC. 在網(wǎng)

12、絡(luò)的出口路由器上做目的NATD. 在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器28. WAPI采用的是什么加密算法？AA. 我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B. 國際上通行的商用加密標準C. 國家密碼管理委員會辦公室批準的流加密標準D. 國際通行的哈希算法29. 以下哪種無線加密標準的安全性最弱？AA. wepB. wpaC. wpa2D. wapi30. 以下哪個不是防火墻具備的功能？DA. 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)部網(wǎng)）之間的一系列部件的組 合B. 它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口C. 能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流D. 防止來

13、源于部的威脅和攻擊31. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括：DA. 不需要對原有的網(wǎng)絡(luò)配置進行修改B. 性能比較高C. 防火墻本身不容易受到攻擊D. 易于在防火墻上實現(xiàn)NAT32. 有一類IDS系統(tǒng)將所觀察到的活動同認為正常的活動進行比較并識別重要的偏差來發(fā)現(xiàn)入侵事件，這種機制稱作：AA. 異常檢測B. 特征檢測C. 差距分析D. 對比分析33. 在Unix系統(tǒng)中，/etc/service文件記錄了什么容？AA. 記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B. 決定inetd啟動網(wǎng)絡(luò)服務(wù)時，啟動哪些服務(wù)C. 定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什

14、么D. 包含了系統(tǒng)的一些啟動腳本34. 以下哪個對 windows系統(tǒng)日志的描述是錯誤的？DA. windows系統(tǒng)默認有三個日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器 的故障C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL （動態(tài)庫）失敗的信息D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等35. 在關(guān)系型數(shù)據(jù)庫系統(tǒng)過“視圖（view ）”技術(shù)，可以實現(xiàn)以下哪一種安全原則？AA. 縱深防御原則B. 最小權(quán)限原則C. 職責分離原則D. 安全性與便利性平衡原則36. 數(shù)據(jù)庫事務(wù)日志

15、的用途是什么？BA. 事務(wù)處理B. 數(shù)據(jù)恢復(fù)C. 完整性約束D. 性控制37. 下面對于cookie的說法錯誤的是：DA. cookie是一小段存儲在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B. cookie 可以存儲一些敏感的用戶信息，從而造成一定的安全風(fēng)險C. 通過cookie提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D. 防cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用 session驗證方法38. 攻擊者在遠程 WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本

16、將被解釋執(zhí)行，這是哪種類型的漏洞?DA. 緩沖區(qū)溢出B. SQL注入C. 設(shè)計錯誤D. 跨站腳本39. 通常在數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在？CA. 明文形式存在B. 服務(wù)器加密后的密文形式存在C. hash運算后的消息摘要值存在D. 用戶自己加密后的密文形式存在40. 下列屬于DDOS攻擊的是：BA. Men-in-Middle攻擊B. SYN洪水攻擊C. TCP連接攻擊D. SQL注入攻擊41. 如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者,這種情況屬于哪一種攻擊？DA. 重放攻擊B. Smurf 攻擊C. 字典攻擊D. 中間人攻擊42.

17、滲透性測試的第- -步是A. 信息收集B. 漏洞分析與目標選定C. 拒絕服務(wù)攻擊D. 嘗試漏洞利用43. 通過網(wǎng)頁上的釣魚攻擊來獲取密碼的方式，實質(zhì)上是一種:A. 社會工程學(xué)攻擊B. 密碼分析學(xué)C. 旁路攻擊D. 暴力破解攻擊44. 以下哪個不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法?A. 加強軟件的安全需求分析，準確定義安全需求B. 設(shè)計符合安全準則的功能、安全功能與安全策略C. 規(guī)開發(fā)的代碼，符合安全編碼規(guī)D. 編制詳細軟件安全使用手冊，幫助設(shè)置良好的安全使用習(xí)慣確立安全解決方案的置45. 根據(jù)SSE-CMM信息安全工程過程可以劃分為三個階段，其中 信度并且把這樣的置信度

18、傳遞給客戶。A. 保證過程B. 風(fēng)險過程C. 工程和保證過程D. 安全工程過程46. 下列哪項不是SSE-CMM模型中工程過程的過程區(qū)?A. 明確安全需求B. 評估影響C. 提供安全輸入D. 協(xié)調(diào)安全47. SSE-CMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域?A. 評估威脅、評估脆弱性、評估影響B(tài). 評估威脅、評估脆弱性、評估安全風(fēng)險C. 評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險D. 評估威脅、評估脆弱性、評估影響、驗證和證實安全48. 在IT項目管理中為了保證系統(tǒng)的安全性，應(yīng)當充分考慮對數(shù)據(jù)的正確處理，以下哪一項 不是對數(shù)據(jù)輸入進行校驗可以實現(xiàn)的安全目標：A. 防止出現(xiàn)數(shù)據(jù)圍以外的值

19、B. 防止出現(xiàn)錯誤的數(shù)據(jù)處理順序C. 防止緩沖區(qū)溢出攻擊D. 防止代碼注入攻擊49. 信息安全工程監(jiān)理工程師不需要做的工作是：A. 編寫驗收測試方案B. 審核驗收測試方案C. 監(jiān)督驗收測試過程D. 審核驗收測試報告50. 下面哪一項是監(jiān)理單位在招標階段質(zhì)量控制的容？A. 協(xié)助建設(shè)單位提出工程需求，確定工程的整體質(zhì)量目標B根據(jù)監(jiān)理單位的信息安全保障知識和項目經(jīng)驗完成招標文件中的技術(shù)需求部分C. 進行風(fēng)險評估和需求分析完成招標文件中的技術(shù)需求部分D. 對標書應(yīng)答的技術(shù)部分進行審核，修改其中不滿足安全需求的容51. 信息安全保障強調(diào)安全是動態(tài)的安全，意味著：A. 信息安全是一個不確定性的概念B. 信

20、息安全是一個主觀的概念C. 信息安全必須覆蓋信息系統(tǒng)整個生命周期，隨著安全風(fēng)險的變化有針對性的進行調(diào)整D信息安全只能是保證信息系統(tǒng)在有限物理圍的安全，無法保證整個信息系統(tǒng)的安全52. 關(guān)于信息保障技術(shù)框架（IATF），下列說法錯誤的是：A. IATF強調(diào)深度防御，關(guān)注本地計算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支撐性基礎(chǔ)設(shè)施 等多個領(lǐng)域的安全保障；B. IATF強調(diào)深度防御，即對信息系統(tǒng)采用多層防護，實現(xiàn)組織的業(yè)務(wù)安全運作C. IATF強調(diào)從技術(shù)、管理和人等多個角度來保障信息系統(tǒng)的安全D. IATF強調(diào)的是以安全監(jiān)測、漏洞監(jiān)測和自適用填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全53. 下面哪一項表示了信息

21、不被非法篡改的屬性？A. 可生存性B. 完整性C. 準確性D. 參考完整性54. 以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準確的是：A. 信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統(tǒng)安全B. 通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。C. 是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動D. 是主觀和客觀綜合評估的結(jié)果55. 公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：A. 密鑰長度更長B. 加密速度更快C. 安全性更高D. 密鑰管理更方便5

22、6. 以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？A. DSSB. Diffse-Hellma nC. RSAD AES57. 目前對MD5 SHA1算法的攻擊是指：A. 能夠構(gòu)造出兩個不同的消息，這兩個消息產(chǎn)生了相同的消息摘要B. 對于一個已知的消息摘要，能夠構(gòu)造出一個不同的消息，這兩個消息產(chǎn)生了相同的消息 摘要。C. 對于一個已知的消息摘要，能夠恢復(fù)其原始消息D. 對于一個已知的消息，能夠構(gòu)造一個不同的消息摘要，也能通過驗證。58. DSA算法不提供以下哪種服務(wù)？A. 數(shù)據(jù)完整性B. 加密C. 數(shù)字簽名D. 認證59. 關(guān)于PKI/CA證書，下面哪一種說法是錯誤的：A. 證書

23、上具有證書授權(quán)中心的數(shù)字簽名B. 證書上列有證書擁有者的基本信息C. 證書上列有證書擁有者的公開密鑰D. 證書上列有證書擁有者的秘密密鑰60認證中心（CA）的核心職責是 ?A. 簽發(fā)和管理數(shù)字證書B. 驗證信息C. 公布黑D. 撤銷用戶的證書61下列哪一項是虛擬專用網(wǎng)絡(luò)（ VPN的安全功能？A. 驗證，訪問控制和密碼B. 隧道，防火墻和撥號C. 加密，鑒別和密鑰管理D. 壓縮，解密和密碼62以下對Kerberos協(xié)議過程說確的是：A.協(xié)議可以分為兩個步驟：一是用戶身份鑒別：二是獲取請求服務(wù)B.協(xié)議可以分為兩個步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)C.協(xié)議可以分為三個步驟：一是用戶身份鑒別

24、；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D.協(xié)議可以分為三個步驟：一是獲得票據(jù)許可票據(jù)； 二是獲得服務(wù)許可票據(jù)； 三是獲得服務(wù)63在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性。以下 哪一層提供了性、身份鑒別、數(shù)據(jù)完整性服務(wù)？A. 網(wǎng)絡(luò)層B. 表示層C. 會話層D. 物理層64以下哪種無線加密標準的安全性最弱？A .WepB WpaC Wpa2D Wapi65. Linux 系統(tǒng)的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bi n/sh,以下關(guān)于該賬號的描述不正確的是：A. backup賬號沒有

25、設(shè)置登錄密碼B. backup 賬號的默認主目錄是 /var/backupsC. Backup賬號登錄后使用的 shell是bin/shD. Backup賬號是無法進行登錄66以下關(guān)于linux超級權(quán)限的說明，不正確的是：A. 一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應(yīng)用，不需要root用戶來操作完成B. 普通用戶可以通過 su和sudo來獲得系統(tǒng)的超級權(quán)限C. 對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進行D. Root是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都具有訪問權(quán)限67 在WINDOW操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應(yīng)當怎么做？A. 在“本

26、地安全設(shè)置”中對“密碼策略”進行設(shè)置B. 在“本地安全設(shè)置”中對“賬戶鎖定策略”進行設(shè)置C. 在“本地安全設(shè)置”中對“審核策略”進行設(shè)置D. 在“本地安全設(shè)置”中對“用戶權(quán)利指派”進行設(shè)置68.以下對 WINDOW系統(tǒng)日志的描述錯誤的是：A. windows系統(tǒng)默認的由三個日志，系統(tǒng)日志，應(yīng)用程序日志，安全日志B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器 的故障。C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL （動態(tài)庫）失敗的信 息D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等69以下關(guān)于windows SAM （

27、安全賬戶管理器）的說法錯誤的是：A. 安全賬戶管理器（SAM具體表現(xiàn)就是 SystemRoot%system32config'samB. 安全賬戶管理器（SAM存儲的賬號信息是存儲在注冊表中C. 安全賬戶管理器（SAM存儲的賬號信息對 administrator和system是可讀和可寫的D. 安全賬戶管理器（SAM是windows的用戶數(shù)據(jù)庫，系統(tǒng)進程通過Security AccountsManager服務(wù)進行訪問和操作70在關(guān)系型數(shù)據(jù)庫系統(tǒng)過“視圖（view）”技術(shù)，可以實現(xiàn)以下哪一種安全原則？A. 縱深防御原則B. 最小權(quán)限原則C. 職責分離原則D. 安全性與便利性平衡原則71、

28、下列哪項不是安全管理方面的標準?A ISO27001B ISO13335C GB/T22080D GB/T18336 72、目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出 多門，計算機信息系統(tǒng)國際聯(lián)網(wǎng)管理規(guī)定是由下列哪個部門所制定的規(guī)章制度A. 公安部B. 國家密碼局C. 信息產(chǎn)業(yè)部D. 國家密碼管理委員會辦公室73、下列哪項不是信息安全等級保護管理辦法（公通字200743號）規(guī)定的容:A. 國家信息安全等級保護堅持自主定級，自主保護的原則。B. 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查。C. 跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一

29、確定安全保護等級D. 第二級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第三級信息系統(tǒng)應(yīng)當每半年至少進行 一次等級測評。74、刑法第六章第 285、286、287條對計算機犯罪的容和量刑進行了明確的規(guī)定，下列 哪一項不是其中規(guī)定的罪行？A. 非法入侵計算機信息系統(tǒng)罪B. 破壞計算機信息系統(tǒng)罪C. 利用計算機實施犯罪D. 國家重要信息系統(tǒng)管理者玩忽職守罪75、一家商業(yè)公司的發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時向哪一個部門報案?A. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門B. 國家計算機網(wǎng)絡(luò)與信息安全管理中心C. 互聯(lián)網(wǎng)安全協(xié)會D. 信息安全產(chǎn)業(yè)商會76、下列哪個不是商用密碼管理條例規(guī)定的容？A.

30、 國家密碼管理委員會及其辦公室（簡稱密碼管理機構(gòu)）主管全國的商用密碼管理工作B. 商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專 控管理C. 商用密碼產(chǎn)品由國家密碼管理機構(gòu)許可的單位銷售D. 個人可以使用經(jīng)國家密碼管理機構(gòu)認可之外的商用密碼產(chǎn)品77、下面關(guān)于中華人民國保守國家秘密法的說法錯誤的是:A. 秘密都有時間性，永久是沒有的B. 法規(guī)定一切公民都有保守國家秘密的義務(wù)C. 國家秘密的級別分為“絕密”“”“秘密”三級D. 在給文件確定密級時，從的目的出發(fā)，應(yīng)將密級盡量定高78. 數(shù)據(jù)庫事務(wù)日志的用途是A. 事務(wù)處理B. 數(shù)據(jù)恢復(fù)C. 完整性約束D. 性控制79.

31、下面對于cookie的說法錯誤的是：A. cookie 是一小段存儲在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息。B. cookie 可以存儲一些敏感的用戶信息，從而造成一定的安全風(fēng)險C. 通過cookie提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D. 防cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用 session驗證方法。80. 攻擊者在遠程 WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可 信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳步將被解釋執(zhí)行，這是哪種類型的漏洞?A. 緩沖區(qū)溢出B. sql注入C. 設(shè)

32、計錯誤D. 跨站腳本81. 通常在數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在?A. 明文形式存在B. 服務(wù)器加密后的密文形式存在C. hash運算后的消息摘要值存在D. 用戶自己加密后的密文形式存在82. 下列對跨站腳本攻擊（XSS的描述正確的是：A. XSS攻擊指的是惡意攻擊者往WED頁面里插入惡意代碼，當用戶瀏覽瀏覽該頁之時，嵌入其中WEB里面的代碼會執(zhí)行，從而達到惡意攻擊用戶的特殊目的B. XSS攻擊時DDO敦擊的一種變種C. XSS攻擊就是CC攻擊D. XSS攻擊就是利用被控制的機器不斷地向被攻擊發(fā)送訪問請求，迫使IIS連接數(shù)超出限制,當CPU資源或者帶寬資源耗盡，那么也就被攻擊

33、垮了，從而達到攻擊目的83下列哪種技術(shù)不是惡意代碼的生產(chǎn)技術(shù)？A. 反跟蹤技術(shù)、B. 加密技術(shù)C. 模糊變換技術(shù)D. 自動解壓縮技術(shù)84當用戶輸入的數(shù)據(jù)被一個解釋器當做命令或查詢語句的一部分執(zhí)行時，就會產(chǎn)生哪種類 型的漏洞？A. 緩沖區(qū)溢出B. 設(shè)計錯誤C. 信息泄露D. 代碼注入85 Smurf利用下列哪種協(xié)議進行攻擊?A. ICMPB. IGMPC. TCPD. UDP86.如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者,這種情況屬于哪一種攻擊？A. 重放攻擊B. Smurf 攻擊C. 字典攻擊D. 中間人攻擊87滲透性測試的第- -步是A. 信息收集B. 漏

34、洞分析與目標選定C. 拒絕服務(wù)攻擊D. 嘗試漏洞利用88軟件安全開發(fā)中軟件安全需求分析階段的主要目的是：A. 確定軟件的攻擊面，根據(jù)攻擊面制定軟件安全防護策略B. 確定軟件在計劃運行環(huán)境中運行的最低安全要求C. 確定安全質(zhì)量標準，實施安全和隱私風(fēng)險評估D. 確定開發(fā)團隊關(guān)鍵里程碑和交付成果 89.管理者何時可以根據(jù)風(fēng)險分析結(jié)果對已識別的風(fēng)險不采取措施？A. 當必須的安全對策的成本高出實際風(fēng)險的可能造成的潛在費用時B. 當風(fēng)險減輕方法提高業(yè)務(wù)生產(chǎn)力時C. 當引起風(fēng)險發(fā)生的情況不在部門控制圍之時D. 不可接受 90以下關(guān)于風(fēng)險管理的描述不正確的是：A風(fēng)險的4種控制方法有：降低風(fēng)險/轉(zhuǎn)嫁風(fēng)險/規(guī)避風(fēng)

35、險/接受風(fēng)險B信息安全風(fēng)險管理是否成功在于風(fēng)險是否被切實消除了C組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要處理的信息安全風(fēng)險D信息安全風(fēng)險管理是基于可接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進行識別、控制、降 低或轉(zhuǎn)移的過程91如果你作為甲方負責監(jiān)管一個信息安全工程項目的實施，當乙方提出一項工程變更時你 最應(yīng)當關(guān)注的是：A. 變更的流程是否符合預(yù)先的規(guī)定B. 變更是否項目進度造成拖延C. 變更的原因和造成的影響D. 變更后是否進行了準確的記錄92應(yīng)當如可理解信息安全管理體系中的“信息安全策略”？A為了達到如何保護標準而提出的一系列建議B為了定義訪問控制需求而產(chǎn)生出來的一些通用性指引C

36、組織高層對信息安全工作意圖的正式表達D一種分階段的安全處理結(jié)果 93以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A. 組織機構(gòu)的敏感崗位不能由一個人長期負責B. 對重要的工作進行分解，分配給不同人員完成C. 一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn). 防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限94作為一個組織中的信息系統(tǒng)普通用戶，以下哪一項不是必須了解的?A. 誰負責信息安全管理制度的制度和發(fā)布B. 誰負責監(jiān)督信息安全制度的執(zhí)行C. 信息系統(tǒng)發(fā)生災(zāi)難后，進行恢復(fù)的整體工作流程D. 如果違反了安全制度可能會受到的懲戒措施95職責分離是信息安全管理的一個基本概念，其關(guān)鍵是權(quán)力不能

37、過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員（單獨進行操作）可以對應(yīng)用程序系統(tǒng)特征或控制功能進行破壞。當以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責分離”原則的違背？A. 數(shù)據(jù)安全管理員B. 數(shù)據(jù)安全分析員C. 系統(tǒng)審核員D. 系統(tǒng)程序員96在國家標準信息系統(tǒng)恢復(fù)規(guī)中，根據(jù) -要素，將災(zāi)難恢復(fù)等級劃分為 級A. 7，6B. 6，7C. 7，7D. 6，697在業(yè)務(wù)持續(xù)性計劃中，RTO旨的是:A. 災(zāi)難備份和恢復(fù)B. 恢復(fù)技術(shù)項目C. 業(yè)務(wù)恢復(fù)時間目標D. 業(yè)務(wù)恢復(fù)點目標98應(yīng)急方法學(xué)定義了安全事件處理的流程，這個流程的順序是:A. 準備-抑制-檢測-根除-恢復(fù)-跟進B.

38、準備-檢測-抑制-恢復(fù)-根除-跟進C. 準備-檢測-抑制-根除-恢復(fù)-跟進D. 準備-抑制-根除-檢測-恢復(fù)-跟進99. 下面有關(guān)能力成熟度模型的說法錯誤的是：A. 能力成熟度模型可以分為過程能力方案（ Continuous ）和組織能力方案（Staged ）兩類B. 使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域C. 使用組織機構(gòu)成熟度方案時，每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D SSE-CMM是種屬于組織能力方案（Staged ）的針對系統(tǒng)安全工程的能力成熟度模型100. 下面哪一項為系統(tǒng)安全工程成熟度模型提供了評估方法:ASSEB. SSAMC. SSRD. CEM

39、101、下面關(guān)于信息安全保障的說法錯誤的是：A. 信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B. 信息系統(tǒng)安全保障要素包括信息的完整性，可用性和性C. 信息安全保障和信息安全技術(shù)并列構(gòu)成實現(xiàn)信息安全的兩大主要手段D. 信息安全保障是以業(yè)務(wù)目標的實現(xiàn)為最終目的，從風(fēng)險和策略出發(fā)，實施各種保障要素, 在系統(tǒng)的生命周期確保信息的安全屬性。102、以下哪一項是數(shù)據(jù)完整性得到保護的例子？A. 某在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B. 在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作C. 某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管

40、理員在何時對核心交換機進行了什么操 作D. 先生在每天下班前將重要文件鎖在檔案室的柜中，使偽裝成清潔工的商業(yè)間諜無法查看103、 注重安全管理體系建設(shè)，人員意識的培訓(xùn)和教育，是信息安全發(fā)展哪一個階段的特點？A. 通信安全B. 計算機安全C. 信息安全D. 信息安全保障104、以下哪一項不是我國國務(wù)院信息化辦公室為加強信息安全保障明確提出的九項重點工 作容之一？A. 提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B. 保證信息安全資金注入C. 加快信息安全人才培養(yǎng)D. 重視信息安全應(yīng)急處理工作105、以下關(guān)于置換密碼的說確的是：A. 明文根據(jù)密鑰被不同的密文字母代替B. 明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C.

41、 明文和密鑰的每個 bit異或D. 明文根據(jù)密鑰作了移位106、以下關(guān)于代替密碼的說確的是：A. 明文根據(jù)密鑰被不同的密文字母代替B. 明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C. 明文和密鑰的每個 bit異或D. 明文根據(jù)密鑰作了移位107、常見密碼系統(tǒng)包含的元素是：A. 明文、密文、信道、加密算法、解密算法B. 明文、摘要、信道、加密算法、解密算C. 明文、密文、密鑰、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法108、在密碼學(xué)的 Kerchhoff假設(shè)中，密碼系統(tǒng)的安全性僅依賴于 A. 明文B. 密文C. 密鑰D. 信道109、 PKI在驗證一個數(shù)字證書時需要查看 來確認

42、該證書是否已經(jīng)作廢A. ARLB. CSSC. KMSD. CRL110、一項功能可以不由認證中心CA完成?A. 撤銷和中止用戶的證書B. 產(chǎn)生并分布CA的公鑰C. 在請體和它的公鑰間建立D. 發(fā)放并分發(fā)用戶的證書111、一項是虛擬專用網(wǎng)絡(luò)（VPN的安全功能？A. 驗證，訪問控制盒密碼B. 隧道，防火墻和撥號C. 加密，鑒別和密鑰管理D. 壓縮，解密和密碼112、為了防止授權(quán)用戶不會對數(shù)據(jù)進行未經(jīng)授權(quán)的修改，需要實施對數(shù)據(jù)的完整性保護, 列哪一項最好地描述了星或（*-）完整性原則？A. Bell-LaPadula模型中的不允許向下寫B(tài). Bell-LaPadula模型中的不允許向上度C. Bi

43、ba模型中的不允許向上寫D. Biba模型中的不允許向下讀 113、下面哪一個情景屬于身份鑒別（ Authe nticati on ）過程？A. 用戶依照系統(tǒng)提示輸入用戶名和口令B. 用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C. 用戶使用加密軟件對自己編寫的office文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的容D. 某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失敗的登錄過程記錄在系統(tǒng)日志中114、下列對Kerberos協(xié)議特點描述不正確的是：A. 協(xié)議采用單點登錄技術(shù)，無法實現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認證B

44、. 協(xié)議與授權(quán)機制相結(jié)合，支持雙向的身份認證C. 只要用戶拿到了 TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務(wù) 器的認證而不必重新輸入密碼D. AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全115、TACACS協(xié)議提供了下列哪一種訪問控制機制?A. 強制訪問控制B. 自主訪問控制C. 分布式訪問控制D. 集中式訪問控制 116、下列對蜜網(wǎng)功能描述不正確的是：A. 可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對真正目標的攻擊B. 吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來C. 可以進行攻擊檢測和實時報警D. 可

45、以對攻擊活動進行監(jiān)視、檢測和分析117、下列對審計系統(tǒng)基本組成描述正確的是：A. 審計系統(tǒng)一般包括三個部分：日志記錄、日志分析和日志處理B. 審計系統(tǒng)一般包含兩個部分：日志記錄和日志處理C. 審計系統(tǒng)一般包含兩個部分：日志記錄和日志分析D. 審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志報告118、在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)?A. 加密B. 數(shù)字簽名C. 訪問控制D. 路由控制119、在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以 下哪一層提供了性、身份鑒別、數(shù)據(jù)完整性服務(wù)？A. 網(wǎng)絡(luò)層B. 表示層C會話層D. 物

46、理層 120、WAPI采用的是什么加密算法？A. 我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B. 國際上通行的商用加密標準C國家密碼管理委員會辦公室批準的流加密標準D. 國際通行的哈希算法 121、通常在 VLAN時，以下哪一項不是 VLAN的規(guī)劃方法?A. 基于交換機端口B. 基于網(wǎng)絡(luò)層協(xié)議C. 基于MAC地址D. 基于數(shù)字證書122、某個客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問ISP （互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）里只獲得了訪問互聯(lián)網(wǎng)，要想讓全部200臺終端In ternet 互聯(lián)網(wǎng)，共有 200臺終端PC但此客戶從 16個公有的IPv4地址，最多也只有 16臺PC可以 PC訪問In ternet 互聯(lián)網(wǎng)最好

47、采取什么方法或技術(shù)：A、花更多的錢向ISP申請更多的IP地址B在網(wǎng)絡(luò)的出口路由器上做源NATC在網(wǎng)絡(luò)的出口路由器上做目的NATD在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器123、以下哪一個數(shù)據(jù)傳輸方式難以通過網(wǎng)絡(luò)竊聽獲取信息?A. FTP傳輸文件B. TELNET進行遠程管理C. URL以HTTPS開頭的網(wǎng)頁容D. 經(jīng)過TACACS認證和授權(quán)后建立的連接124、橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括:A. 不需要對原有的網(wǎng)絡(luò)配置進行修改B. 性能比較高C. 防火墻本身不容易受到攻擊D. 易于在防火墻上實現(xiàn)NAT 125、下面哪一項是對IDS的正確描述？A、基于特征(Sig n

48、ature-based )的系統(tǒng)可以檢測新的攻擊類型B 基于特征(Sig nature-based )的系統(tǒng)化基于行為(behavior-based )的系統(tǒng)產(chǎn)生更多的 誤報C基于行為(behavior-based )的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D 基于行為(behavior-based )的系統(tǒng)比基于特征(Sig nature-based )的系統(tǒng)有更高的誤 報NIDS的常見技術(shù)?126、下列哪些選項不屬于A. 協(xié)議分析B. 零拷貝C. SYN CookieD. IP碎片重組127、在 UNIX 系統(tǒng)中輸入命令 “ IS-AL TEST ” 顯示如下“-rwxr-xr-x 3

49、root root 1024 Sep 1311:58 test "對它的含義解釋錯誤的是:A. 這是一個文件，而不是目錄B. 文件的擁有者可以對這個文件進行讀、寫和執(zhí)行的操作C. 文件所屬組的成員有可以讀它，也可以執(zhí)行它D. 其它所有用戶只可以執(zhí)行它128、 在Unix系統(tǒng)中，/etc/service文件記錄了什么容？A、記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B決定inetd啟動網(wǎng)絡(luò)服務(wù)時，啟動那些服務(wù)C定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什么D包含了系統(tǒng)的一些啟動腳本129、以下對 windows賬號的描述，正確的是：A、windows系統(tǒng)是采用SID (安全標識

50、符)來標識用戶對文件或文件夾的權(quán)限B windows系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權(quán)限C、 windows系統(tǒng)默認會生成 administration和guest兩個賬號，兩個賬號都不允許改名和 刪除D、 windows系統(tǒng)默認生成administration和guest兩個賬號，兩個賬號都可以改名和刪除130、以下對于 Windows系統(tǒng)的服務(wù)描述，正確的是：A windows服務(wù)必須是一個獨立的可執(zhí)行程序B windows服務(wù)的運行不需要用戶的交互登錄C windows服務(wù)都是隨系統(tǒng)的啟動而啟動，無需用戶進行干預(yù)D、windows服務(wù)都需要用戶進行登錄后，以登錄用戶的權(quán)限進行啟

51、動131、以下哪一項不是IIS服務(wù)器支持的訪問控制過濾類型？A. 網(wǎng)絡(luò)地址訪問控制B. WEB服務(wù)器許可C. NTFS許可D. 異常行為過濾132、為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向 DBMS出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個不是完整性規(guī)則的容？A. 完整性約束條件B. 完整性檢查機制C. 完整性修復(fù)機制D. 違約處理機制133、數(shù)據(jù)庫事務(wù)日志的用途是什么？A. 事務(wù)處理B. 數(shù)據(jù)恢復(fù)C. 完整性約束D. 性控制134、下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系?A. 訪問控制的粒度B. 數(shù)據(jù)庫的大小C. 關(guān)系表中屬性的數(shù)量D. 關(guān)系表中元組的數(shù)量1

52、35、下面對于cookie的說法錯誤的是：A cookie是一小段存儲在瀏覽器端文本信息，web應(yīng)用程序可以讀取 cookie包含的信息B cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風(fēng)險C、 通過cookie提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D、 防cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用 session驗證方法 136、以下哪一項是和電子系統(tǒng)無關(guān)的?A PEMB PGPC X500D X400137、Apache Web服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apach

53、e目錄的配置文件是：A、httpd.co nfB srm.confC access.confD inetd.conf 138、 Java安全模型（JSM是在設(shè)計虛擬機（JVN）時，引入沙箱（sandbox）機制，其主 要目的是：A、為服務(wù)器提供針對惡意客戶端代碼的保護B為客戶端程序提供針對用戶輸入惡意代碼的保護C為用戶提供針對惡意網(wǎng)絡(luò)移動代碼的保護D提供事件的可追查性139、惡意代碼采用加密技術(shù)的目的是：A. 加密技術(shù)是惡意代碼自身保護的重要機制B. 加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)C. 加密技術(shù)可以保證惡意代碼不被破壞D. 以上都不正確140、惡意代碼反跟蹤技術(shù)描述正確的是：A反跟蹤技術(shù)可以

54、減少被發(fā)現(xiàn)的可能性B. 反跟蹤技術(shù)可以避免所有殺毒軟件的查殺C反跟蹤技術(shù)可以避免惡意代碼被消除D.以上都不是 141、下列關(guān)于計算機病毒感染能力的說法不正確的是:A. 能將自身代碼注入到引導(dǎo)區(qū)B. 能將自身代碼注入到扇區(qū)中的文件鏡像C. 能將自身代碼注入文本文件中并執(zhí)行D. 能將自身代碼注入到文檔或模板的宏中代碼142、當用戶輸入的數(shù)據(jù)被一個解釋器當作命令或查詢語句的一部分執(zhí)行時，就會產(chǎn)生哪種 類型的漏洞？A. 緩沖區(qū)溢出B. 設(shè)計錯誤C. 信息泄露D. 代碼注入143、完整性檢查和控制的防對象是 ,防止它們進入數(shù)據(jù)庫。A. 不合語義的數(shù)據(jù)、不正確的數(shù)據(jù)B. 非法用戶C. 非法數(shù)據(jù)D. 非法授權(quán)144、