網(wǎng)絡(luò)安全考試E

1、網(wǎng)絡(luò)安全考試E1. 關(guān)于微軟的 SDL 原則，棄用不安全的函數(shù)屬于哪個(gè)價(jià)格段？( ) A. 規(guī)劃B. 設(shè)計(jì)C. 實(shí)現(xiàn)(正確答案)D. 測試2. 優(yōu)秀源代碼審核工具有哪些特點(diǎn)( ) A 12345(正確答案)B 234C 1234D 23答案解析：3. 信息安全風(fēng)險(xiǎn)管理過程的模型如圖所示。按照流程，請問，信息安全風(fēng)險(xiǎn)管理包括六個(gè)方面的內(nèi)容 。_ 是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，_則貫穿于這四個(gè)基本步驟中。( )單選題 A. 背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督；監(jiān)控審查和溝通咨詢(正確答案)B. 背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)

2、督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理和監(jiān)控審查；批準(zhǔn)監(jiān)督和溝通咨詢C. 背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理和溝通咨詢；監(jiān)控審查和批準(zhǔn)監(jiān)督D. 背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評估、監(jiān)控審查和批準(zhǔn)監(jiān)督；風(fēng)險(xiǎn)處理和溝通咨詢答案解析：背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢。4. 某公司在討論如何確認(rèn)已有的安全措施，對于確認(rèn)已有這全措施，下列選項(xiàng)中近期內(nèi)述不正確的是( ) A對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施B. 安全措施主要有預(yù)防

3、性、檢測性和糾正性三種C. 安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅D對確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾貌活?正確答案)答案解析：置不顧是錯(cuò)誤的。5. 密碼是一種用來混淆的技術(shù)，使用者希望正常的(可識別的)信息轉(zhuǎn)變?yōu)闊o法識別的信息。但這種無法識別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊一個(gè)公司網(wǎng)站的賬號，小剛使用一個(gè)安全一點(diǎn)的密碼，請問以下選項(xiàng)中哪個(gè)密碼是最安全( ) A. 使用和與用戶名相同的口令B. 選擇可以在任何字典或語言中找到的口令C. C選擇任何和個(gè)人信息有關(guān)的口令D采取數(shù)字，字母和特殊符號混合并且易于記憶(正確答案)6.

4、 基于對_的信任，當(dāng)一個(gè)請求或命令來自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請求就可能被毫不懷疑的_在_中，攻擊者偽裝成“公安部門”人員要求受害者對權(quán)威的信任。在_中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進(jìn)行一次系統(tǒng)測試，要求( ) 等 。 A. 權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼(正確答案)B. 權(quán)威；執(zhí)行；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼C. 執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼D. 執(zhí)行；權(quán)威；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼答案解析：全靠理解。7. 在軟件項(xiàng)目開發(fā)過程中，評估軟件項(xiàng)目風(fēng)險(xiǎn)時(shí)，( )與風(fēng)險(xiǎn)無關(guān)。 A高級管理人員

5、是否正式承諾支持該項(xiàng)目B.開發(fā)人員和用戶是否充分理解系統(tǒng)的需求C最終用戶是否同意部署已開發(fā)的系統(tǒng)(正確答案)D開發(fā)需求的資金是否能按時(shí)到位8. 物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體，其安全性對信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對設(shè)施安全的保障的描述正確的是()。 A安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B建立安全區(qū)域需要建立安全屏蔽及訪問控制機(jī)制(正確答案)C. 由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D. 閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等

6、答案解析：B 描述了物理安全措施。9. 不同的信息安全風(fēng)險(xiǎn)評估方法可能得到不同的風(fēng)險(xiǎn)評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法。下面的描述中錯(cuò)誤是() A定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對安全進(jìn)行評估得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量B定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析(正確答案)C. 定性風(fēng)險(xiǎn)分析過程中往往需要憑借分析者的經(jīng)驗(yàn)各直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識技能密切相關(guān)D. 定性風(fēng)險(xiǎn)分析更具主觀性，面定量風(fēng)險(xiǎn)分析更具客觀性答案解析：10. 與瀏覽器兼容性測試不需要

7、考慮的問題是()。 A軟件是否可以在不同的 J2EE 中運(yùn)行B不同的瀏覽器是否可以提供合適的安全設(shè)置(正確答案)C腳本和插是否適用于不同的瀏覽器D符合最新 HTML 版本的頁面能否在瀏覽器中正確顯示答案解析：11. 下列關(guān)于測試方法的敘述中不正確的是() A從某種角度上講，白盒測試與墨盒測試都屬于動(dòng)態(tài)測試(正確答案)B功能測試屬于黑盒測試C. 結(jié)構(gòu)測試屬于白盒測試D. 對功能的測試通常是要考慮程序的內(nèi)部結(jié)構(gòu)的答案：De9951e79b89680203d86ba3.html，百度文庫中。解析 白盒測試是在程序員十分了解程序的前提下，對程序的邏輯結(jié)構(gòu)進(jìn)行的測試。而黑盒測試則將程序視為一個(gè)黑盒子，僅

8、僅是測試人員提供輸入數(shù)據(jù)，觀察輸出數(shù)據(jù)，并不了解程序是如何運(yùn)行的，結(jié)構(gòu)測試屬于白盒測試，關(guān)注的是如何選擇合適的程序或子程序路徑來執(zhí)行有效的檢查。功能測試則屬于黑盒測試，對功能的測試通常通過提供輸入數(shù)據(jù)， 檢查實(shí)際輸出的結(jié)果，很少考慮程序的內(nèi)部結(jié)構(gòu)。12. 小王學(xué)習(xí)了災(zāi)難備份的相關(guān)知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識，小王對這種備份方式進(jìn)行對比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是() A完全備份、增量備份、差量備份B完全備份、差量備份、增量備份(正確答案)C增量備份、差量備份、完全備份D差量備份、增量備份、完全備份答案解析：完全備份是指

9、備份全部選中的文件夾，并不依賴文件的存檔屬性來確定備份哪些文件；增量備份是針對于上一次備份(無論是哪種備份)，備份上一次備份后，所有發(fā)生變化的文件；差異備份是針對完全備份，備份上一次的完全備份后發(fā)生變化的所有文件。三種備份方式在數(shù)據(jù)恢復(fù)速度方面由快到慢的順序?yàn)橥耆珎浞?、差異備份、增量備份?3. 以下哪一項(xiàng)不屬于 Web 應(yīng)用軟件表示層測試關(guān)注的范疇()。 A排版結(jié)構(gòu)的測試(正確答案)B. 數(shù)據(jù)完整性測試C. 客戶端兼容性的測試D鏈接結(jié)構(gòu)的測試答案：Be21af45b307e87101f69e31fb1d.html，百度文庫中。解析 Web 應(yīng)用軟件表示層的測試主要集中在客戶端，測試的內(nèi)容包括

10、：(1)排版結(jié)構(gòu)的測試；(2)鏈接結(jié)構(gòu)的測試；(3)客戶端程序的測試；(4)瀏覽器兼容性測試。14. 在國家標(biāo)準(zhǔn) GBT2024.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面( )單選題 A保障要素、生命周期和運(yùn)行維護(hù)B保障要素、生命周期和安全特征(正確答案)C規(guī)劃組織、生命周期和安全特征D規(guī)劃組織、生命周期和運(yùn)行維護(hù)15. 以下哪些不是國家網(wǎng)絡(luò)空間安全戰(zhàn)略中闡述的我國網(wǎng)絡(luò)空間當(dāng)前任務(wù)？  A捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C提升網(wǎng)絡(luò)空間防護(hù)能力D阻斷與國外網(wǎng)絡(luò)連接(正確答案)16 在信息安全保障工作中人才是非常

11、重要的因素，近年來，我國一直調(diào)試重視我國信自成安全人才隊(duì)伍培養(yǎng)建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是()。 A. 在中國信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的中意見(中辦發(fā)200327 號)中，針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強(qiáng)全民信息安全意識”的指導(dǎo)精神B. 2015 年，為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng)，經(jīng)報(bào)國務(wù)院學(xué)位委員會 批準(zhǔn)，國務(wù)院學(xué)位委員會、教育部決定“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全“一級學(xué)科，這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)培養(yǎng)到積極的推到作用C. 經(jīng)過十余年的發(fā)展，我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息

12、全從人員的數(shù)量較多 ， 能同社會實(shí)際需求相匹配；同時(shí)，高效信息安全專業(yè)畢業(yè)人才的合能力要求高、知識更全面，因面社會化培養(yǎng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上(正確答案)D. 除正規(guī)大學(xué)教育外，我國信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)休系，包括“注冊信息安全專業(yè)人員(CISP)”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證17. 王明買了一個(gè)新的藍(lán)牙耳機(jī)，但王明聽說使用藍(lán)牙設(shè)備有一定的安全威脅，于是王明找到對藍(lán)牙技術(shù)有所了解的王紅，希望王紅能夠給自己一點(diǎn)建議，以下哪一條建議不可取() A在選擇使用藍(lán)牙設(shè)備時(shí)，應(yīng)考慮設(shè)備的技術(shù)實(shí)現(xiàn)及設(shè)置是否具備防止上述安全威脅

13、的能力B選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C. 如果藍(lán)牙設(shè)備丟失，最好不要做任何操作(正確答案)D. 在配對時(shí)使用隨機(jī)生成的密鑰、不使用時(shí)設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)18. 某公司正在進(jìn)行 IT 系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中哪個(gè)最應(yīng)該引起關(guān)注() A由于有限的測試時(shí)間窗，僅僅測試了最必的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)獨(dú)測試B在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從面導(dǎo)致這些系統(tǒng)的測試失敗(正確答案)C在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D每年都是同相同的員工執(zhí)行此測試由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，

14、因而沒有使用災(zāi)難推薦計(jì)劃(DRP)文檔19. Hadoop 是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在 Hadoop1.0.0 版本之前，Hadoop 并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到 Hadoop 集群上，惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成 Name No 安康頭發(fā)TaskTracker 接受任務(wù)等。在 Hadoop2.0 中引入 Kerberos 機(jī)制來解決用戶到服務(wù)器認(rèn)證問題，Kerberos 認(rèn)證過程不包括() A獲得票據(jù)許可票據(jù)B獲得服務(wù)許可票據(jù)C獲得密鑰分配中心的管

15、理權(quán)限(正確答案)D獲得服務(wù)20. 下面哪個(gè)階段不屬于軟件的開發(fā)時(shí)期 A詳細(xì)設(shè)計(jì)B總體設(shè)計(jì)(正確答案)C編碼D需求分析答案解析：來源于百度知道 2011-11-21 的一條網(wǎng)友回答。21. 下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是() A所謂需求管理，是指對需求開發(fā)的管理B需求管理包括：需求獲取、需求分析、需求定義各需求驗(yàn)證C需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D在需求管理中要求維持對原有需求和所有的產(chǎn)品需求的雙向跟蹤(正確答案)22. 信息安全是通過實(shí)施一組合適的_而達(dá)到的，包括策略、過程、規(guī)程、_以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評審和改進(jìn)包含這些控制措施的_過程

16、，以確保滿足該組織的特定安全和_。這個(gè)過程宜與其他業(yè)務(wù)()聯(lián)合進(jìn)行。 A信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過程(正確答案)B組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程C控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程D控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過程答案：C其他業(yè)務(wù)管理過程聯(lián)合進(jìn)行?！?3. 了解社會工程學(xué)攻擊是應(yīng)對和防御_的關(guān)鍵，對于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會學(xué)的攻擊的概念和攻擊的_。組織機(jī)構(gòu)可采取對相關(guān)人員實(shí)施社會工程學(xué)培訓(xùn)來幫助員工了解什么是社會工程學(xué)攻擊，如何判斷是否存在社會工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和_。因?yàn)槿?/p>

17、果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就_。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓(xùn)和教育，向員工灌輸()，人機(jī)降低社會工程學(xué)攻擊的風(fēng)險(xiǎn)。 A. 社會工程學(xué)攻擊；越容易；原理；個(gè)人數(shù)據(jù)；安全意識B社會工程學(xué)攻擊；原理；越容易；個(gè)人數(shù)據(jù)；安全意識C原理；社會工程學(xué)攻擊；個(gè)人數(shù)據(jù)；越容易；安全意識D社會工程學(xué)攻擊；原理；個(gè)人數(shù)據(jù)；越容易；安全意識(正確答案)24. 某 IT 公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請你指出存在問題的是哪個(gè)總結(jié)？() A公司自身擁有

18、優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行(正確答案)B. 公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案五個(gè)階段，流程完善可用C. 公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D公司應(yīng)急預(yù)案對事件分類依據(jù) GB/Z 20986 2007信息安全技術(shù)信息安全事件分類分級指南，分為 7 個(gè)基本類別，預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)25. 強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安

19、全屬性決定一個(gè)主體是否可以訪問某個(gè)客體，具有較高的安全性，適用于專用或?qū)Π踩砸筝^高的系統(tǒng)。強(qiáng)制訪問控制模型有多種類型，如 BLP、Biba、Clark-willson 和 ChineseWall 等。小李自學(xué)了 BLP 模型，并對該模型的特點(diǎn)進(jìn)行了總結(jié)。以下 4 種對BLP 模型的描述中，正確的是()。 ABLP 模型用于保證系統(tǒng)信息的完整性BBLP 模型的規(guī)則是“向下讀，向上寫”(正確答案)CBLP 的自主安全策略中，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對客體的訪問DBLP 的強(qiáng)制安全策略使用一個(gè)訪問控制矩陣表示26. 對操作系統(tǒng)軟件安裝方面應(yīng)建立安裝_，運(yùn)行系統(tǒng)要化安裝經(jīng)過批準(zhǔn)的

20、可執(zhí)行代碼，不安裝開發(fā)代碼和_，應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員，根據(jù)合適的_，進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新；必要時(shí)在管理者批準(zhǔn)情況下，僅為了支持目的才授予供應(yīng)商物理或邏輯訪問權(quán)， 并且要監(jiān)督供應(yīng)商的活動(dòng)。對于用戶能安裝何種類型的軟件，組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用_。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反。() A控制規(guī)程； 編譯程序； 管理授權(quán)； 最小特權(quán)方針； 知識產(chǎn)權(quán)(正確答案)B. 編譯程序； 控制規(guī)程； 管理授權(quán)； 最小特權(quán)方針； 知識產(chǎn)權(quán)C. 控制規(guī)程； 管

21、理授權(quán)； 編譯程序； 最小特權(quán)方針； 知識產(chǎn)權(quán)D. 控制規(guī)程； 最小特權(quán)方針；編譯程序； 管理授權(quán)； 知識產(chǎn)權(quán)27. 網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)相互與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依欠填入的是()。單選題 A應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組(正確答案)B應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組C應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施

22、小組、應(yīng)急響應(yīng)日常運(yùn)行小組D應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組答案解析：參考教材第 154 頁圖 4-1 的內(nèi)容。28. SQL Server 支持兩種身份驗(yàn)證模式，即 Windows 身份驗(yàn)證模式和混合模式。SQL Server 的混全模式是指：當(dāng)網(wǎng)絡(luò)用戶嘗試接到 SQL Server 數(shù)據(jù)庫時(shí)，()單選題 A. Windows 獲取用戶輸入的用戶和密碼，并提交給 SQL Serve 進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限B. SQL Serve 根據(jù)用戶輸入的用戶和密碼，并提交給 Windows 進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限C. SQL

23、 Serve 根據(jù)已在 Windows 網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性，對用戶進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫訪權(quán)限(正確答案)D. 登錄到本地 Windows 的用戶均可無限制訪問 SQL Serve 數(shù)據(jù)庫29. 物聯(lián)網(wǎng)將我們帶入一個(gè)復(fù)雜多元、綜合交互的新信息時(shí)代，物聯(lián)網(wǎng)安全成為關(guān)系國計(jì)民生的大事，直接影響到個(gè)人生活的社會穩(wěn)定。物聯(lián)網(wǎng)安全問題必須引起高度重視，并從技術(shù)、標(biāo)準(zhǔn)和法律方面予以保障。物聯(lián)網(wǎng)的感知由安全技術(shù)主要包括_、 _等 實(shí)現(xiàn) RFID 安全性機(jī)制所采用的方法主要有三類：_、 _和_。傳感器網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含_、 _和_ ARFID 安全技術(shù)； 傳感器網(wǎng)絡(luò)安全技術(shù)；內(nèi)部實(shí)體認(rèn)

24、證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證；物理機(jī)制，密碼機(jī)制， 以及二者相結(jié)合的方法BRFID 安全技術(shù)； 傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證CRFID 安全技術(shù)；傳感器網(wǎng)絡(luò)安全技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法； 內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證(正確答案)DRFID 技術(shù)； 傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證答案解析：該內(nèi)容來源于互聯(lián)網(wǎng)。30. 建立并完善_是有效應(yīng)對社會工程攻擊的方法，通過_的建立，使得信息系統(tǒng)用戶需要遵循_來實(shí)施某些操作，從而在一定程度上降低

25、社會工程學(xué)的影響。例如對于用戶密碼的修改，由于相應(yīng)管理制度的要求，,_需要對用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行，那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行_，因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。( ) A信息安全管理體系；安全管理制度； 規(guī)范；網(wǎng)絡(luò)管理員；社會工程學(xué)攻擊(正確答案)B信息安全管理體系；安全管理制度； 網(wǎng)絡(luò)管理員；規(guī)范；社會工程學(xué)攻擊C安全管理制度；信息安全管理體系； 規(guī)范；網(wǎng)絡(luò)管理員；社會工程學(xué)攻擊D信息安全管理體系； 網(wǎng)絡(luò)管理員；安全管理制度；規(guī)范；社會工程學(xué)攻擊答案解析：該題目請以理解為主，源于 2011 年新浪博客。31. 怎樣安全上網(wǎng)不中毒，現(xiàn)在

26、是網(wǎng)絡(luò)時(shí)代了，上網(wǎng)是每個(gè)人都會做的事，但網(wǎng)絡(luò)病毒一直是比較頭疼的，電腦中毒也比較麻煩。某員工為了防止在上網(wǎng)時(shí)中毒使用了影子系統(tǒng)，他認(rèn)為惡代碼會通過以下方式傳播，但有一項(xiàng)是安全的，請問是() A. 網(wǎng)頁掛馬(正確答案)B. 利用即時(shí)通訊的關(guān)系鏈或偽裝 P2P 下載資源等方式傳播到目標(biāo)系統(tǒng)中CGoogle 認(rèn)證過的插件D垃圾郵件答案解析：C32. 管理，是指_組織并利用其各個(gè)要素(人、財(cái)、物、信息和時(shí)空)，借助()，完成該組織目標(biāo)的過程。其中，_像其他重要業(yè)務(wù)資產(chǎn)各_一樣，也 對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)

27、致信息暴露于日益增多的、范圍越來越廣的威脅各()當(dāng)中。 A管理手段；管理主體；信息；管理要素；脆弱性B管理主體；管理手段；信息；管理要素；脆弱性(正確答案)C管理主體；信息；管理手段；管理要素；脆弱性D管理主體；管理要素；管理手段；信息；脆弱性33. 如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的 SHA- 1 數(shù)字簽名 a,這違背了安全的哈希函數(shù)()性質(zhì)。單選題 A. 單向性(正確答案)B. 弱抗碰撞性C 強(qiáng)抗碰撞性D機(jī)密性34. 信息安全管理體系也采用了()模型可應(yīng)用于所有的()。ISMS 把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的()，產(chǎn)生滿足這些要求和期望的()。 AISM

28、S：PDCA 過程；行動(dòng)和過程；信息安全結(jié)果BPDCA；ISMS 過程；行動(dòng)和過程；信息安全結(jié)果(正確答案)CISMS：PDCA 過程；信息安全結(jié)果；行動(dòng)和過程DPDCA；ISMS 過程；信息安全結(jié)果；行動(dòng)和過程35. 以下對 Kerberos 協(xié)議過程說法正確的是：() A. 協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請求服務(wù)B. 協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)C. 協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù) 二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)(正確答案)36. 下列選項(xiàng)中

29、，對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是() A. 物理安全確保了系統(tǒng)在對信息進(jìn)行采集、傳輸、處理等過程中的安全(正確答案)B. 物理安全面對是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng)，是一個(gè)非常關(guān)鍵的領(lǐng)域C物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D影響物理安全的因素不僅包含自然因素，還包含人為因素37. 風(fēng)險(xiǎn)處理是依據(jù)()，選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將()始終控制在可接愛的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有()、()、()和()四種方式。 A風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B風(fēng)險(xiǎn)評估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受(正確答案)C風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受D風(fēng)險(xiǎn)

30、；風(fēng)險(xiǎn)評估；降低；規(guī)避；轉(zhuǎn)移；接受38. 信息收集是()攻擊實(shí)施的基礎(chǔ)，因此攻擊者在實(shí)施前會對目標(biāo)進(jìn)行()，了解目標(biāo)所有相關(guān)的()。這些資料和信息對很多組織機(jī)構(gòu)來說都是公開或看無用的，然而對攻擊者來說，這些信息都 是非常有價(jià)值的，這些信息收集得越多，離他們成功得實(shí)現(xiàn)()就越近。如果為信息沒有價(jià)值或價(jià)值的非常低，組織機(jī)構(gòu)通常不會采取措施()，這正是社會工程學(xué)攻擊者所希望的。 A信息收集；社會工程學(xué)；資料和信息；身份偽裝 ；進(jìn)行保護(hù)B社會工程學(xué)；信息收集；資料和信息；身份偽裝 ；進(jìn)行保護(hù)(正確答案)C社會工程學(xué)；信息收集；身份偽裝；資料和信息 ；進(jìn)行保護(hù)D信息收集；資料和信息；社會工程學(xué)；身份偽裝

31、 ；進(jìn)行保護(hù)39. 信息是流動(dòng)的，在信息的流動(dòng)過程中必須能夠識別所有可能途徑的()與()；而對于信息本身而言，信息的 敏感性的定義是對信息保護(hù)的()和( ),信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了()的效果，不同的載體下， 可能體現(xiàn)出信息的()、臨時(shí)性和信息的交互場景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測 A. 基礎(chǔ)；依據(jù)；載體；環(huán)境：永久性：風(fēng)險(xiǎn)管理B.基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性C.載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性；基礎(chǔ)；依據(jù)；D.載體；環(huán)境；基礎(chǔ)；依據(jù)：風(fēng)險(xiǎn)管理；永久性(正確答案)40. 軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法錯(cuò)誤的是？ A.告訴用戶需要

32、收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B. 當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給客戶選擇是否允許C.用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是(正確答案)D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)41. 隨著時(shí)代的發(fā)展，有根多偉人都為通信亊業(yè)的發(fā)展貢獻(xiàn)出自己力量，根據(jù)常識可知以下哪項(xiàng)是正確的？() A.19 世紀(jì)中葉以后，隨著電磁技術(shù)的發(fā)展，誕生了筆記本電腦，通信領(lǐng)域產(chǎn)生了根本性的飛躍，開始了人類通信新時(shí)代B.1837 年，美國人費(fèi)曼發(fā)明了電報(bào)機(jī)，可將信息轉(zhuǎn)換成電脈沖傳向目的地，再轉(zhuǎn)換為原來的信息，從而實(shí)現(xiàn)了長途電報(bào)通信C.1875 年，貝爾(Bell) 發(fā)明了電話機(jī) 1878

33、 年在相距 300 公里的波士頓和紐約之間進(jìn)行了首次長途電話實(shí)驗(yàn)(正確答案)D.1906 年美國物理學(xué)家摩斯發(fā)明出無線電廣播法國人克拉維爾建立了英法第一條商用無線電線路，推動(dòng)了無線電技術(shù)的進(jìn)一步發(fā)展42. 隨著人們信息安全意識的不斷增強(qiáng)，版權(quán)保護(hù)也受到越來越多的關(guān)注。在版權(quán)保護(hù)方面國內(nèi)外使用較為廣泛的是數(shù)字對象標(biāo)識符DOI (Digital Object Identifier)系統(tǒng)，它是由非贏利性組織國際DOI 基金會IDF (International DOI Foundation)研究設(shè)計(jì)的，在數(shù)字環(huán)境下標(biāo)識知識產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI 系統(tǒng)工 作流程如圖所示， 則下面對于 DOI

34、 系統(tǒng)認(rèn)識正確的是()單選題 A. DOI 是一個(gè)暫時(shí)性的標(biāo)識號，由Intermational DOI Foundation 管理B. DOI 的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新(正確答案)C. DOI 命名規(guī)則中前綴和后綴兩部之間用“ ； ”分開D. DOI 的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式43. 關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：() A.要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重(正確答案)B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲方以保證另一方C. 在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃

35、，又要突出重點(diǎn)D. 在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用44. 攻擊者通過向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的 ARP 應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上 ARP 緩存，形成一個(gè)錯(cuò)誤的 IP 地址 地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)送數(shù)據(jù)時(shí)封裝錯(cuò)誤的MAC 地址。欺騙攻擊過程如下圖所示， 其屬于欺騙攻擊中的哪一種欺騙攻擊的過程() A.ARP(正確答案)B.IPC.DNSD.SN45. 組織應(yīng)依照已確定的訪問控制策略限制對信息和( )功能的訪間。對訪間的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求,訪問控制策略還要與組織的訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對系統(tǒng)和應(yīng)用

36、的訪問。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和()時(shí),宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并()。對程序源代碼和相關(guān)事項(xiàng)(例如設(shè)計(jì)、說明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃 的訪問宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價(jià)值的知識產(chǎn)權(quán)的()。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實(shí)現(xiàn),更好的是放在( )中 A.應(yīng)用系統(tǒng):身份驗(yàn)證:嚴(yán)格控制;保密性:源程序庫(正確答案)B.身份驗(yàn)證;應(yīng)用系統(tǒng);嚴(yán)格控制:保密性;源程序庫C.

37、應(yīng)用系統(tǒng);嚴(yán)格控制:身份驗(yàn)證;保密性;源程序庫D.應(yīng)用系統(tǒng);保密性;身份驗(yàn)證;嚴(yán)格控制;源程序庫46. OSI 模型把網(wǎng)絡(luò)通信工作分為七層,如圖所示,0SI 模型的每一層只與相鄰的上下兩層直接通信,當(dāng)發(fā)送進(jìn)程需要發(fā)送信息時(shí),它把數(shù)據(jù)交給應(yīng)用層。應(yīng)用層對數(shù)據(jù)進(jìn)行加工處理后,傳給表示層。再經(jīng)過一次加工后,數(shù)據(jù)被到會話層, 這一過程一直繼續(xù)到物理層接收數(shù)據(jù)后進(jìn)行實(shí)際的傳輸,每一次的加工又稱為數(shù)據(jù)封裝。其中 IP 層對應(yīng)OSI 模型中的那一層()單選題 A. 應(yīng)用層B.傳輸層C.應(yīng)用層D.網(wǎng)絡(luò)層(正確答案)47. 以下關(guān)于軟件安全問題對應(yīng)關(guān)系錯(cuò)誤的是?() A.缺點(diǎn)( Defect)軟件實(shí)現(xiàn)和設(shè)計(jì)上的

38、弱點(diǎn)B. 缺陷(Bug)-實(shí)現(xiàn)級上的軟件問題C. 瑕疵(Flaw)-種更深層次、設(shè)計(jì)層面的的問題(正確答案)D. 故障( Failure)-由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn),是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行為表現(xiàn)48. 自主訪問控制（）是應(yīng)用很廣泛的訪問控制方法,常用于多種商業(yè)系統(tǒng)中。以下對 DAC 模型的理解中,存在錯(cuò)誤的是() A.在 DAC 模型中,資源的所有者可以規(guī)定誰有權(quán)訪問它們的資源B.DAC 是一種對單個(gè)用戶執(zhí)行訪問控制的過程和措施C.DAC 可為用戶提供靈活調(diào)整的安全策略,具有較好的易用性可擴(kuò)展性,可以抵御特洛伊木馬的攻擊(正確答案)D.在 DAC 中,具有某種訪問能力的主體

39、能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體49. 惡意代碼經(jīng)過 20 多年的發(fā)展,破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱?。小李發(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測, 將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于( ) A 簡單運(yùn)行B.行為檢測(正確答案)C.特征數(shù)據(jù)匹配D.特征碼掃描50. 信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?( ) A.信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性(正確答案)B.病毒、黑客、漏洞等C.保密信息如國家秘密、商業(yè)秘密等D.網(wǎng)絡(luò)、系統(tǒng)、應(yīng)

40、用的復(fù)雜程度51. 管理層應(yīng)該表現(xiàn)對 ( ),程序和控制措施的支持, 并以身作則。管理職責(zé)要確保雇員和承包方人員都了( )角色和職責(zé),并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計(jì)劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀(jì)律處理過程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素。 A.信息安全:信息安全政策:教育和培訓(xùn);紀(jì)律處理過程:分級的響應(yīng)B 信息安全政策:信息安全:教育和培訓(xùn):紀(jì)律處理過程:分級的響應(yīng)(正確答案)C 信息安全政策:教育和培訓(xùn):信息安全;紀(jì)律處理過程:分級的響應(yīng)D 信息安全政策

41、:紀(jì)律處理過程信息安全;教育和培訓(xùn):分級的響應(yīng)52. 近幾年,無線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個(gè)領(lǐng)域。而無線信道是一個(gè)開放性信道,它在賦予無線用戶通信自由的同時(shí)也給無線通信網(wǎng)絡(luò)帶來一些不安全因素,下列選項(xiàng)中,對無線通信技術(shù)的安全特點(diǎn)描述正確的是() A.無線信道是一個(gè)開放信道,任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B.通過傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容C.對于無線局域網(wǎng)絡(luò)和無線個(gè)人區(qū)域網(wǎng)絡(luò)來說,它們的通信內(nèi)容更容易被竊聽(正確答案)D.群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容53. 軟件的可維護(hù)性可用七個(gè)質(zhì)量特性來衡量,分別是:可理解性、可測試性、可

42、修改性、可靠性、可移植性、可使用性和效率對于不同類型的維護(hù),這些側(cè)重點(diǎn)也是不同的,在可維護(hù)性的特性中相互促進(jìn)的是( ) A 可理解性和可測試性(正確答案)B 效率和可移植性C 效率和可修改性D.效率和可理解性54 下列選項(xiàng)中對信息系統(tǒng)審計(jì)概念的描述中不正確的是( ) A.信息系統(tǒng)審計(jì),也可稱作 IT 審計(jì)或信息系統(tǒng)控制審計(jì)B. 信息系統(tǒng)審計(jì)是一個(gè)獲取并評價(jià)證據(jù)的過程,審計(jì)對象是信息系統(tǒng)相關(guān)控制,審計(jì)目標(biāo)則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性C. 信息系統(tǒng)審計(jì)是單一的概念,是對會計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查(正確答案)D. 從信息系統(tǒng)審計(jì)內(nèi)容

43、上看,可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì),例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績效審計(jì)等。55. 隨著互聯(lián)網(wǎng)的迅猛發(fā)展、WEB 信息的增加,用戶要在信息海洋里查找自己所需的信息,就象大海撈針一樣, 索引擎技術(shù)恰好解決了這一難題。以下關(guān)于搜索引擎技術(shù)特點(diǎn)的描述中錯(cuò)誤的是( )單選題 A.搜索引擎以一定的策略在 Web 系統(tǒng)中搜索和發(fā)現(xiàn)信息B.搜索引擎可以分為目錄導(dǎo)航式與網(wǎng)頁索引式C.搜索器在 Internet 上逐個(gè)訪問 Web 站點(diǎn),并建立一個(gè)網(wǎng)站的關(guān)鍵字列表D.索引器功能是理解搜索器獲取的信息, 向用戶顯示查詢結(jié)果(正確答案)56. “規(guī)劃(Plan)-實(shí)施(Do)-檢查( Check)-處置(Ac

44、t)”(PDCA 過程)又叫( ),是管理學(xué)中的一個(gè)通用模型,最早由( ) 于 1930 年構(gòu)想,后來被美國質(zhì)量管理專家( )博士在 1950 年再度挖掘出來,并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程。PDCA 循環(huán)就是按照“規(guī)劃、實(shí)施、檢查、處置”的順序進(jìn)行質(zhì)量管理,并且循環(huán)不止地進(jìn)行下去的( ), 建立符合國際標(biāo)準(zhǔn) ISO 9001 的質(zhì)量管理體系即是一個(gè)典型的 PDCA 過程,建立 IS0 14001 環(huán)境管理體系、IS0 20000I 服務(wù) ( )也是一個(gè)類似的過程。 A. 質(zhì)量環(huán); 休哈特 ;戴明; 管理體系; 科學(xué)程序B. 質(zhì)量環(huán); 戴明; 休哈特; 管理體系; 科學(xué)程序C 質(zhì)

45、量環(huán): 戴明; 休哈特; 科學(xué)程序; 管理體系D.質(zhì)量環(huán); 休哈特;戴明; 科學(xué)程序; 管理體系(正確答案)57. ZigBee 主要的信息安全服務(wù)為( )、 ( )、( )、( )。訪問控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實(shí)現(xiàn)訪問控制,設(shè)備必須在 ACL 中維護(hù)一個(gè)( ),表明它愿意接受來自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享,或者兩兩共享。數(shù)據(jù)加密服務(wù)于 Beacon、 command 以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗(yàn)碼保證沒有密鑰的節(jié)點(diǎn)不會修改傳輸中的消息,進(jìn)一步確認(rèn)消息來自一個(gè)知道( )的節(jié)點(diǎn) A.訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護(hù)

46、;設(shè)備列表;完整性:密鑰(正確答案)B.訪問控制、加密、完整性、序列抗重播保護(hù);設(shè)備列表;完整性;密鑰C.訪問控制、加密、數(shù)據(jù)完整性、序列抗重播保護(hù);列表;完整性;密鑰D.訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播;列表;完整性;密鑰58 在一個(gè)網(wǎng)絡(luò)中,當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多,或普通終端計(jì)算機(jī)沒有必要分配靜態(tài)IP 地址時(shí),可以采用通過在計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí),每次為其臨時(shí)在 IP 地址池中選擇一個(gè) IP 地址并分配的方式為( ) A.動(dòng)態(tài)分配 IP 地址(正確答案)B.靜態(tài)分配 IP 地址C.網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址D.手動(dòng)分配59. 信息安全風(fēng)險(xiǎn)管理是基于( )的信息安全管理,也就是,始終以(

47、)為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際( ) 的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即( )選擇的范圍和對象重點(diǎn)應(yīng)有所不同。 A. 風(fēng)險(xiǎn); 風(fēng)險(xiǎn); 信息系統(tǒng): 風(fēng)險(xiǎn)管理(正確答案)B. 風(fēng)險(xiǎn); 風(fēng)險(xiǎn); 風(fēng)險(xiǎn)管理; 信息系統(tǒng)C. 風(fēng)險(xiǎn)管理; 信息系統(tǒng); 風(fēng)險(xiǎn);風(fēng)險(xiǎn)D. 風(fēng)險(xiǎn)管理; 風(fēng)險(xiǎn); 風(fēng)險(xiǎn) ;信息系統(tǒng)60. 某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要,計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案,在向主管領(lǐng)導(dǎo)寫報(bào)告時(shí),他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性,在他羅列的四條理由中,其中不適合作為理由的一條是( ) A. 應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制

48、的重要方式B. 應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力,減少突發(fā)事件造成的損失和危害,保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C. 編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強(qiáng)制要求,因此必須建設(shè)(正確答案)D.應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施61. 數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動(dòng),用檢錯(cuò)或糾錯(cuò)技術(shù)來確保正確的傳輸,確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是( ) A. 報(bào) 文B.比特流C.幀(正確答案)D.包62. 以下對于標(biāo)準(zhǔn)化特點(diǎn)的描述哪項(xiàng)是錯(cuò)誤的? A.標(biāo)準(zhǔn)化的對象是共同的、可重復(fù)的事物。不是孤立的一件事、一個(gè)事物B 標(biāo)準(zhǔn)化必須是靜態(tài)的,相對科技的

49、進(jìn)步和社會的發(fā)展不能發(fā)現(xiàn)變化(正確答案)C.標(biāo)準(zhǔn)化的相對性,原有標(biāo)準(zhǔn)隨著社會發(fā)展和環(huán)境變化,需要更新D.標(biāo)準(zhǔn)化的效益,通過應(yīng)用體現(xiàn)經(jīng)濟(jì)和社會效益,否則就沒必要63. 以下哪個(gè)是國際信息安全標(biāo)準(zhǔn)化組織的簡稱? A. ANSIB. ISO(正確答案)C. IEEED. NIST64. 風(fēng)險(xiǎn),在 GB /T 22081 中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面,如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等, ISO / IEC 13335-1 中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型,如圖所示。請結(jié)合

50、此圖,怎么才能降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響?( )單選題 A.組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求,通過構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對組織產(chǎn)生的影響(正確答案)B.加強(qiáng)防護(hù)措施,降低風(fēng)險(xiǎn)C 減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D.減少資產(chǎn)降低風(fēng)險(xiǎn)65. 某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮?) A. 由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進(jìn)行取證B. 由于公司缺乏備用硬盤,因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取

51、出來進(jìn)行取證(正確答案)C.由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復(fù)出來的數(shù)據(jù)D.由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作66. 在你對遠(yuǎn)端計(jì)算機(jī)進(jìn)行 ping 操作,不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始 TTL 值是不同的, TTL 是 IP 協(xié)議包中的一個(gè)值,它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長而應(yīng)被丟棄。(簡而言之,你可以通過 TTL 值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個(gè)路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的 TL 值,可以大致判斷( ) A. 內(nèi)存容量B. 操作系統(tǒng)的類型(正確答案)C.對方物理位置D.對方的 MAC

52、 地址67.( )攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊,大部分的社會工程學(xué)攻擊都是經(jīng)過( )才能實(shí)施成功的。即使是最簡單的“直接攻擊”也需要進(jìn)行 ( )。如果希望受害者接受攻擊者所( ),攻擊者就必須具備這個(gè)身份需要的 ( ) A. 社會工程學(xué): 精心策劃; 前期的準(zhǔn)備; 偽裝的身份; 一些特征(正確答案)B. 精心策劃; 社會工程學(xué); 前期的準(zhǔn)備; 偽裝的身份; 一些特征C. 精心策劃; 社會工程學(xué); 偽裝的身份; 前期的準(zhǔn)備: 一些特征D. 社會工程學(xué); 偽裝的身份; 精心策劃; 前期的準(zhǔn)備; 一些特征68 內(nèi)容安全是我國信息安全保障工作中的一個(gè)重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆發(fā)是

53、使得內(nèi)容安全越 越受到重視,以下哪個(gè)描述不屬于內(nèi)容安全的范疇 ( ) A.某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì),對向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核,確保無侵犯版權(quán)行為后才能在網(wǎng)站好進(jìn)行發(fā)布B 某網(wǎng)站采取了技術(shù)措施,限制對同一P 地址對網(wǎng)站的并發(fā)連接,避免爬蟲通過大量的訪問采集網(wǎng)站發(fā)布數(shù)據(jù)C. 某論壇根據(jù)相關(guān)法律要求, 進(jìn)行了大量的關(guān)鍵詞過濾, 使用戶無法發(fā)布包含被過濾關(guān)鍵詞的相關(guān)內(nèi)容D. 某論壇根據(jù)國家相關(guān)法律要求,為了保證用戶信息泄露,對所有用戶信息,包括用戶名、密碼、身份證號等都進(jìn)行了加密的存儲(正確答案)69. 惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù)，對惡意

54、軟件的分析難度越來越大。對惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。小趙通過查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實(shí)際上是虛擬化技術(shù)的應(yīng)用,是動(dòng)態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動(dòng)態(tài)分析的知識,其中錯(cuò)誤的是( ) A、動(dòng)態(tài)分析是指在虛擬運(yùn)行環(huán)境中,使用測試及監(jiān)控軟件,檢測惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài), 從而判斷惡意代碼的性質(zhì),并掌握其行為特點(diǎn)B.動(dòng)態(tài)分析針對性強(qiáng),并且具有較高的準(zhǔn)確性,但由于其分析過程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證C.動(dòng)態(tài)分析通過對其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制(正確答案)D.動(dòng)態(tài)分析通過監(jiān)控系統(tǒng)進(jìn)

55、程、文件和注冊表等方面出現(xiàn)的非正常操作和變化,可以對惡意代碼非法行為進(jìn)行分析70. 安全評估技術(shù)采用()這一工具,它是一種能夠自動(dòng)檢測遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。 A.安全掃描器(正確答案)B.安全掃描儀C.自動(dòng)掃描器D.自動(dòng)掃描儀71. 小張?jiān)谝徊恢木W(wǎng)站上下載了魯大師并進(jìn)行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張?bào)@出一身汗,因?yàn)樗缾阂獯a將隨之進(jìn)入系統(tǒng)后會對他的系統(tǒng)信息安全造成極大的威脅,那么惡意代碼的軟件部署常的實(shí)現(xiàn)方式不包括( ) A.攻擊者在獲得系統(tǒng)的上傳權(quán)限后,將惡意代碼部署到目標(biāo)系統(tǒng)B.惡意代碼自身就是軟件的一部分,隨軟件部署傳播C.內(nèi)嵌在軟件中,當(dāng)文件被執(zhí)行時(shí)進(jìn)入目標(biāo)系統(tǒng)D.惡意代碼通過網(wǎng)上激活(正確答案)72. 操作系統(tǒng)是作為一個(gè)支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計(jì)的不周而下的破綻, 都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實(shí)現(xiàn)該公司操作系統(tǒng)的安全目標(biāo),按書中所學(xué)建立了 應(yīng)的安全機(jī)制, 這些機(jī)制不包括() A.標(biāo)識與鑒別B.訪問控制C.