CISO官方模擬題一

1、CISO模擬題一一、單選題。(共100題,共100分,每題1分)1. 以下關(guān)于安全套接層協(xié)議（Secure Sockets Layer,SSL）說法錯誤的是： a、SSL協(xié)議位于TCP/IP協(xié)議層和應(yīng)用協(xié)議之間 b、SSL協(xié)議廣泛應(yīng)用于web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸 c、SSL是一種可靠的端到端的安全服務(wù)協(xié)議 d、SSL是設(shè)計用來保護(hù)操作系統(tǒng)的 最佳答案是:d2. 部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（Internet Protocol Security Virtual Private Network, IPsec VPN)時,以下說法正確的是： a、配置MD5安全算法可以提供可靠地

2、數(shù)據(jù)加密 b、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證 c、部署Ipsec VPN 網(wǎng)絡(luò)時，需要考慮 IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（Security Authentication，SA)資源的消耗 d、報文驗證頭協(xié)議（Authentication Header，AH)可以提供數(shù)據(jù)機(jī)密性 最佳答案是:c3. 某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問，該訪問控制策略屬于以下哪一種： a、強(qiáng)制訪問控制 b、基于角色的訪問控制 c、自主訪問控制 d、基于任務(wù)的訪問控制

3、 最佳答案是:c4. 某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是： a、所選擇的特征（指紋）便于收集、測量和比較 b、每個人所擁有的指紋都是獨(dú)一無二的 c、指紋信息是每個人獨(dú)有的，指紋識別系統(tǒng)不存在安全威脅問題 d、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成 最佳答案是:c5. 為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法? a、實體“所知”以及實體“所有”的鑒別方法 b、實體“所有”以及實體“特征”的鑒別方法 c、實體“

4、所知”以及實體“特征”的鑒別方法 d、實體“所有”以及實體“行為”的鑒別方法 最佳答案是:a6. 以下場景描述了基于角色的訪問控制模型(Role-based Access ControlRBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位.職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是： a、當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕 b、業(yè)務(wù)系統(tǒng)中的崗位.職位或者分工，可對應(yīng)RBAC模型中的角色 c、通過角色，可實現(xiàn)對信息資源訪問的控制 d、RBAC模型不能實現(xiàn)多

5、級安全中的訪問控制 最佳答案是:d7. 關(guān)于Kerberos認(rèn)證協(xié)議，以下說法錯誤的是： a、只要用戶拿到了認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個服務(wù)器的認(rèn)證而不必重新輸入密碼 b、認(rèn)證服務(wù)器(AS)和票據(jù)授權(quán)服務(wù)器(TGS)是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全 c、該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三個階段，僅支持服務(wù)器對用戶的單向認(rèn)證 d、該協(xié)議是一種基于對稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜 最佳答案是:c

6、8. 傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個是正確的? a、相比傳輸層的另外一個協(xié)議UDP，TCP既提供傳輸可靠性，還同時具有更高的效率，因此具有廣泛的用途 b、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī) c、TCP協(xié)議具有流量控制.數(shù)據(jù)校驗.超時重發(fā).接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議 d、TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UDP低 最佳答案是:d9. S公司在全國有20個分支機(jī)構(gòu)，總部有10臺服務(wù)器.200個用戶終端，每個分支機(jī)構(gòu)都有一臺服務(wù)器.100個左右用戶終端，通過

7、專網(wǎng)進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標(biāo)專家，請給S公司選出設(shè)計最合理的一個： a、總部使用服務(wù)器.用戶終端統(tǒng)一作用10.0.1.X.各分支機(jī)構(gòu)服務(wù)器和用戶終端使用192.168.2.X192.168.20.X b、總部使用服務(wù)器使用11.用戶終端使用2212，分支機(jī)構(gòu)IP地址隨意確定即可 c、總部服務(wù)器使用10.0.1.X. 用戶終端根據(jù)部門劃分使用10.0.2.X.每個分支機(jī)構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段.另外一個做用戶終端地址段 d、因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)N

8、AT映射，因此IP地址無需特別規(guī)劃，各機(jī)構(gòu)自行決定即可 最佳答案是:c10. 以下關(guān)于WIndows系統(tǒng)賬號存儲管理機(jī)制SAM(Security Accounts Manager）的說法哪個是正確的： a、存儲在注冊中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性 b、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性 c、存續(xù)在冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便 d、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性 最佳答案是:d11. 由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置賬戶鎖定策略以對

9、抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計數(shù)器5分鐘，賬戶鎖定時間10分鐘，賬戶鎖定閥值3次無效登錄，以下關(guān)于以上策略設(shè)置后的說法哪個是正確的： a、設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯了密碼的用戶就會被鎖住 b、如果正常用戶不小心輸錯了3次密碼，那么該用戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng) c、如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該用戶賬號就被鎖定5分鐘，5分鐘內(nèi)即使提交了正確的密碼也無法登錄系統(tǒng) d、攻擊者在進(jìn)行口令破解時，只要連續(xù)輸錯3次密碼，該用戶就被鎖定10分鐘，而正常用戶登錄不受影響 最佳答案是:b12.

10、 關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是： a、數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù) b、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù) c、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù) d、計算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未儲存到固定存儲器上，利用日志文件中故障發(fā)生的數(shù)據(jù)值，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交 最佳答案是:d13. 安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作

11、系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運(yùn)行環(huán)境安全? a、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞 b、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤 c、操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅 d、將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能 最佳答案是:b14. 應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是? a

12、、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁 b、對存儲的敏感數(shù)據(jù)進(jìn)行安全加密 c、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng) d、定期對數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好 最佳答案是:d15. 數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全，以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是： a、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作 b、最大共享策略，在保證數(shù)據(jù)庫的完整性.保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息 c、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進(jìn)行劃分，粒度越小，安全級別越高，在實際中需要選擇最小

13、粒度 d、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分 最佳答案是:b16. 安全專家在對某網(wǎng)站進(jìn)行安全部署時，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是： a、為了提高Apache軟件運(yùn)行效率 b、為了提高Apache軟件的可靠性 c、為了避免攻擊者通過Apache獲得root權(quán)限 d、為了減少Apache上存在的漏洞 最佳答案是:c17. 數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝，TCPIP協(xié)議中，數(shù)據(jù)封裝的順序是： a、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層 b、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層 c、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層

14、 d、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層 最佳答案是:b18. 某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)，其中有一個公文分發(fā)，公文通知等為WORD文檔，廠商在進(jìn)行系統(tǒng)設(shè)計時使用了 FTP來對公文進(jìn)行分發(fā)，以下說法不正確的是 a、FTP協(xié)議明文傳輸數(shù)據(jù)，包括用戶名和密碼，攻擊者可能通過會話過程嗅探獲得FTP密碼，從而威脅 OA系統(tǒng) b、FTP協(xié)議需要進(jìn)行驗證才能訪問在，攻擊者可以利用FTP進(jìn)行口令的暴力破解 c、FTP協(xié)議已經(jīng)是不太使用的協(xié)議，可能與新版本的瀏覽器存在兼容性問題 d、FTP應(yīng)用需要安裝服務(wù)器端軟件，軟件存在漏洞可能會影響到OA系統(tǒng)的安全 最佳答案是:c19. 以下關(guān)于SMTP和POP3

15、協(xié)議的說法哪個是錯誤的： a、SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議 b、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄漏的可能 c、SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題 d、SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠(yuǎn)程管理郵件 最佳答案是:a20. 某公司在互聯(lián)網(wǎng)區(qū)域新建了一個WEB網(wǎng)站，為了保護(hù)該網(wǎng)站主頁安全性，尤其是不能讓攻擊者修改主頁內(nèi)容，該公司應(yīng)當(dāng)購買并部署下面哪個設(shè)備（） a、負(fù)載均衡設(shè)備 b、網(wǎng)頁防篡改系統(tǒng) c、網(wǎng)絡(luò)防病毒系統(tǒng) d、網(wǎng)絡(luò)審計系統(tǒng) 最佳答案是:b21. 小陳在某電器城購買了一臺冰箱，并留

16、下了個人姓名、電話在和電子郵件地址等信，第二天他收到了一封來自電器城提示他中獎的郵件上，查看該后他按照提示操作，納中獎稅款后并沒有得到中獎獎金，再打電話詢問電器城才得知電器城并沒有開的活動，根據(jù)上面的描述，由此可以推斷的是（） a、小陳在電器城登記個人信息時，應(yīng)當(dāng)使用加密手段 b、小陳遭受了釣魚攻擊，錢被騙走了 c、小陳的計算機(jī)中了木馬，被遠(yuǎn)程控制 d、小陳購買的凌波微步是智能凌波微步 ，能夠自己上網(wǎng) 最佳答案是:b22. 安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（Secure Multipurpose Internet Mail Extension，SMIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是（

17、 ）。 a、SMIME采用了非對稱密碼學(xué)機(jī)制 b、SMIME支持?jǐn)?shù)字證書 c、SMIME采用了郵件防火墻技術(shù) d、SMIME支持用戶身份認(rèn)證和郵件加密 最佳答案是:c23. 小王在某Web軟件公司工作，她在工作中主要負(fù)責(zé)對互聯(lián)網(wǎng)信息服務(wù)（Internet Information Services，IIS）軟件進(jìn)行安全配置，這是屬于（ ）方面的安全工作。 a、Web服務(wù)支撐軟件 b、Web應(yīng)用程序 c、Web瀏覽器 d、通信協(xié)議 最佳答案是:a24. 為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項內(nèi)容要在他的考慮范圍內(nèi)? a、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識

18、的培訓(xùn) b、針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn) c、針對SQL注入漏洞的安全編程培訓(xùn) d、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn) 最佳答案是:c25. 關(guān)于惡意代碼，以下說法錯誤的是： a、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。 b、按照運(yùn)行平臺，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒.文件傳播型病毒。 c、不感染的依附性惡意代碼無法單獨(dú)執(zhí)行 d、為了對目標(biāo)系統(tǒng)實施攻擊和破壞活動，傳播途徑是惡意代碼賴以生存和繁殖的基本條件 最佳答案是:d26. 以下可能存在sql注入攻擊的部分是： a、get請求參數(shù) b、post請求參數(shù) c、cookie值 d、以上均有可能 最佳答案是:d2

19、7. 某公司已有漏洞掃描和入侵檢測系統(tǒng)(Intrusien Detection System，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是： a、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可 b、選購任意一款品牌防火墻 c、任意選購一款價格合適的防火墻產(chǎn)品 d、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻 最佳答案是:d28. 某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施： a、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入（關(guān)掉ping）

20、b、刪除服務(wù)器上的ping.exe程序 c、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊 d、增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊 最佳答案是:a29. 軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失，在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是： a、在軟件立項時考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測試.安全評審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實 b、在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足 c、確保對軟編碼人員進(jìn)行安全培訓(xùn)，

21、使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼 d、在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析.模糊測試.滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行 最佳答案是:d30. 在軟件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能： a、治理，主要是管理軟件開發(fā)的過程和活動 b、構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動 c、驗證，主要是測試和驗證軟件的過程與活動 d、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動 最佳答案

22、是:d31. 由于頻繁出現(xiàn)軟件運(yùn)行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（ ） a、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn) b、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查 c、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本 d、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題 最佳答案是:c32. 微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，關(guān)于此項錯誤的是: a、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟

23、件R威脅 b、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。 c、對于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計等技術(shù) d、對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù) 最佳答案是:d33. 某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時如果用戶名或口令輸入錯誤，給用戶返回“用戶名或口令輸入錯誤”信息，輸入錯誤達(dá)到三次，將暫時禁止登錄該賬戶，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則： a、最少共享機(jī)制原則 b、經(jīng)濟(jì)機(jī)制原則 c、不信任原則 d、默認(rèn)故障處理保護(hù)原則 最佳答案是:c34. 以下

24、哪一項不是常見威脅對應(yīng)的消減措施： a、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范 b、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性 c、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴 d、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限 最佳答案是:c35. 為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是 a、由于在實際滲透測試過程中存在不可預(yù)知的風(fēng)險，所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復(fù)系統(tǒng)和數(shù)據(jù) b、滲透測試從“逆向”的角度出發(fā)，測試軟件系

25、統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運(yùn)行時的安全狀況 c、滲透測試應(yīng)當(dāng)經(jīng)過方案制定.信息收集.漏洞利用.完成滲透測試報告等步驟 d、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試 最佳答案是:d36. 信息安全工程作為信息安全保障的重要組成部門，主要是為了解決: a、信息系統(tǒng)的技術(shù)架構(gòu)安全問題 b、信息系統(tǒng)組成部門的組件安全問題 c、信息系統(tǒng)生命周期的過程安全問題 d、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題 最佳答案是:c37. 系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時間維，邏輯維和知識維組成，有關(guān)此模型，錯誤的是： a、霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框

26、架 b、時間維表示系統(tǒng)工程活動從開始到結(jié)束按時間順序排列的全過程 c、邏輯維的七個步驟與時間維的七個階段嚴(yán)格對應(yīng)，即時間維第一階段應(yīng)執(zhí)行邏輯維步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動 d、知識維利率可能需要運(yùn)用的工程，醫(yī)學(xué)，建筑，商業(yè)，法律，管理，社會科學(xué)和藝術(shù)等多種知識和技能 最佳答案是:c38. 有關(guān)質(zhì)量管理，錯誤的理解是： a、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動，是為了實現(xiàn)質(zhì)量目標(biāo)而進(jìn)行的所有管理性質(zhì)的活動 b、規(guī)范質(zhì)量管理體系相關(guān)活動的標(biāo)準(zhǔn)是 ISO 9000系列標(biāo)準(zhǔn) c、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理 d、質(zhì)量管理體系從機(jī)

27、構(gòu)，程序，過程和總結(jié)四個方面進(jìn)行規(guī)范來提升質(zhì)量 最佳答案是:c39. 以下關(guān)于項目的含義，理解錯誤的是： a、項目是為達(dá)到特定的目的，使用一定資源，在確定的期間內(nèi)，為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。 b、項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機(jī)確定。 c、項目資源指完成項目所需要的人、財、物等。 d、項目目標(biāo)要遵守SMART原則，即項目的目標(biāo)要求具體(Specific)、可測量（Measurable)、需相關(guān)方的一致同意(Agree to)、現(xiàn)實(Realistic)、有一定的時限(Time-oriented)。 最佳答案是:b40. 以下哪一項

28、不是信息系統(tǒng)集成項目的特點： a、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。 b、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程。 c、信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃，分步實施”。 d、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程。 最佳答案是:b41. 某項目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范(GB50174-2008)的相關(guān)要求，對承建單位的施工設(shè)計方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯誤的是： a、在異地建立備份機(jī)房時，設(shè)計時應(yīng)與主用機(jī)房等級相同 b、由于高端小型機(jī)發(fā)熱量大，因

29、此采用活動地板上送風(fēng)，下回風(fēng)的方式 c、因機(jī)房屬于A級主機(jī)房，因此設(shè)計方案中應(yīng)考慮配備柴油發(fā)電機(jī)，當(dāng)市電發(fā)生故障時，所配備的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要 d、A級主機(jī)房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng) 最佳答案是:b42. 某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作，目前，各個應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗收申請，監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔： a、項目計劃書 b、質(zhì)量控制計劃 c、評審報告 d、需求說明書 最佳答案是:d43.

30、系統(tǒng)安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model，SSE-CMM)定義的包含評估威脅.評估脆弱牲.評估影響和評估安全風(fēng)險的基本過程領(lǐng)域是： a、風(fēng)險過程 b、工程過程 c、保證過程 d、評估過程 最佳答案是:a44. 在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)對一個組織的安全工程能力成熟度進(jìn)行測量時，有關(guān)測量結(jié)果，錯誤理解的是： a、如果該組織在執(zhí)行某個特定的過程區(qū)域具備了一個特定級別的部門公共特征時，則這個組織過程的能力成熟度未達(dá)到此級別 b、如果該組織某個過程區(qū)域（Process Areas

31、 PA)具備了定義標(biāo)準(zhǔn)過程、執(zhí)行已定義的過程，兩個公共特征，則此工程區(qū)域的能力成熟度級別達(dá)到3級充分定義級 c、如果某個過程區(qū)域（Prpcess Areas，PA ）包含的4個基本措施（Base Practices，BP)執(zhí)行此BP時執(zhí)行了3個BP 此過程區(qū)域的能力成熟度級別為0 d、組織在不同的過程區(qū)域能力成熟度可能處于不同的級別上 最佳答案是:b45. 以下關(guān)于信息安全工程說法正確的是： a、信息化建設(shè)中系統(tǒng)功能的實現(xiàn)是最重要的 b、信息化建設(shè)可以先實施系統(tǒng)，然后對系統(tǒng)進(jìn)行安全加固 c、信息化建設(shè)在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實施信息安全建設(shè) d、信息化建設(shè)沒有必要涉及信息安

32、全建設(shè) 最佳答案是:c46. 某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是（ ） a、該網(wǎng)站軟件存在保密性方面安全問題 b、該網(wǎng)站軟件存在完整性方面安全問題 c、該網(wǎng)站軟件存在可用性方面安全問題 d、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題 最佳答案是:b47. 關(guān)于信息安全保障技術(shù)框架(IATF)，以下說法不正確的是： a、分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本 b、IATF從人.技術(shù)和操作三個層面提供一個框架實施

33、多層保護(hù)，使攻擊者即使攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施 c、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性 d、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實現(xiàn)所有信息安全保障機(jī)制 最佳答案是:d48. 進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史.國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是： a、與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點 b、美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機(jī)構(gòu)共同承擔(dān) c、各

34、國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理 d、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系 最佳答案是:b49. 我國信息安全保障工作先后經(jīng)歷了啟動、逐步展開和積極推進(jìn)，以及深化落實三個階段，以下關(guān)于我國信息安全保障各階段說法不正確的是： a、2001年，國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動 b、2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了關(guān)于加強(qiáng)信息信息安全保障工作的意見（中辦發(fā)27號文件），明確了“積極防御、綜合防范”的國家信息安全保障工作方針 c、2003年，中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全

35、保障進(jìn)入深化落實階段 d、在深化落實階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級保護(hù)和風(fēng)險評估取得了新進(jìn)展 最佳答案是:c50. 我國信息安全保障建設(shè)包括信息安全組織與管理體制.基礎(chǔ)設(shè)施.技術(shù)體系等方面，以下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是： a、健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障 b、建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐 c、建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新 d、建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng) 最佳答案是:c51. 以下哪一項不是我國信息安全保障工作的主要目標(biāo)

36、： a、保障和促進(jìn)信息化發(fā)展 b、維護(hù)企業(yè)與公民的合法權(quán)益 c、構(gòu)建高效的信息傳播渠道 d、保護(hù)互聯(lián)網(wǎng)知識產(chǎn)權(quán) 最佳答案是:c52. 美國的關(guān)鍵信息基礎(chǔ)設(shè)施(critical Information Infrastructure，CII)包括商用設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強(qiáng)調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括： a、這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟(jì)運(yùn)行和國家安全影響深遠(yuǎn) b、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域 c、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出 d、這些

37、行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴(yán)重的損失 最佳答案是:c53. 2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃（Comprehensive National Cybersecurity Initiative，CNCI)。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境，從以上內(nèi)容，我們可以看出以下哪種分析是正確的： a、CNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險 b、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的 c、CNCI的目的是盡快研發(fā)并部

38、署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ) d、CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障 最佳答案是:a54. 公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個是錯誤的： a、乙對信息安全不重視，低估了黑客能力，不舍得花錢 b、甲在需求分析階段沒有進(jìn)行風(fēng)險評估，所部署的加密針對性不足，造成浪費(fèi) c、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)

39、務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別 d、乙要綜合考慮業(yè)務(wù).合規(guī)性和風(fēng)險，與甲共同確定網(wǎng)站安全需求 最佳答案是:a55. 以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是： a、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié) b、明確違反信息安全的行為，并對該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動 c、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源 d、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系 最佳答案是:c56. 2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是： a、電子

40、簽名是指數(shù)據(jù)電文中以電子形式所含.所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù) b、電子簽名適用于民事活動中的合同或者其他文件.單證等文書 c、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù) d、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有 最佳答案是:d57. 假設(shè)網(wǎng)絡(luò)中的一個設(shè)備發(fā)生故障，那么在下哪一種局域網(wǎng)結(jié)構(gòu)更容易面臨全面癱瘓？ a、星型 b、總線 c、環(huán)型 d、全連接 最佳答案是:a58. 下面對國家秘密定級和范圍的描述中，哪項不符合保守國家秘密法要求： a、家涉密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國.他

41、中央有關(guān)機(jī)關(guān)規(guī)定。 b、各級國家機(jī)關(guān)、單位對所生的國家秘密事項，應(yīng)當(dāng)按照國家秘密及其密級.定確定密級。 c、對是否屬于國家秘密和屬于何種密級不明確的事項，可由各單位自行參考國.定級，然后報國家保密工作部門確定。 d、對是否屬于國家.的事項，由國家保密工作部門， 最佳答案是:c59. 有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是： a、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論是否產(chǎn)生泄密實際后果，都要依法追究責(zé)任 b、非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任 c、過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任 d、承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任或其他處分 最佳答案是:a60.

42、關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯誤的是： a、立足國情，以我為主，堅持技術(shù)與管理并重 b、正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全 c、統(tǒng)籌規(guī)劃，突出重點，強(qiáng)化基礎(chǔ)工作 d、全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全 最佳答案是:d61. 根據(jù)關(guān)于開展信息安全風(fēng)險評估工作的意見的規(guī)定，錯誤的是： a、信息安全風(fēng)險評估分自評估.檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合.互為補(bǔ)充 b、信息安全風(fēng)險評估工作要按照“嚴(yán)密組織.規(guī)范操作.講求科學(xué).注重實效”的原則開展 c、信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程 d、開展信息安全

43、風(fēng)險評估工作應(yīng)加強(qiáng)信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo) 最佳答案是:a62. 標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的成果，是為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件，關(guān)于標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化，以下選項中理解錯誤的是（） a、標(biāo)準(zhǔn)化是一項活動，標(biāo)準(zhǔn)化工作的主要任務(wù)是定標(biāo)準(zhǔn)、組織實施以及對標(biāo)準(zhǔn)的實施進(jìn)行監(jiān)督，主要作用是為了預(yù)期的目的而改進(jìn)產(chǎn)品、過程或服務(wù)的實用性，防止壁壘，促進(jìn)合作 b、標(biāo)準(zhǔn)化的對象不應(yīng)是孤立的一件事或一個事物，而是共同的、可重復(fù)的事物，標(biāo)準(zhǔn)化的工作同時也具有動態(tài)性，即應(yīng)隨著科學(xué)的發(fā)展和社會的進(jìn)步而不斷修訂標(biāo)準(zhǔn) c、標(biāo)準(zhǔn)在國際貿(mào)易中有著重要作用，一方面，標(biāo)準(zhǔn)能打破技

44、術(shù)壁壘，促進(jìn)國際間的經(jīng)貿(mào)發(fā)展和科學(xué)、技術(shù)、文化交流和合作；另一方面，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘，起到限制他國產(chǎn)品出口、保護(hù)本國產(chǎn)業(yè)的目的 d、標(biāo)準(zhǔn)有著不同的分類，我國將現(xiàn)有標(biāo)準(zhǔn)分為強(qiáng)制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)和事實性標(biāo)準(zhǔn)三類，國家標(biāo)準(zhǔn)管理機(jī)構(gòu)對這三類標(biāo)準(zhǔn)通過采取不同字頭的方式分別編號后公開發(fā)布 最佳答案是:d63. 為推動和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類。下面四個標(biāo)準(zhǔn)中，（ ）規(guī)定了等級保護(hù)定級階段的依據(jù).對象.流程.方法及等級變更等內(nèi)容。 a、GB/T 20271-2006信息系統(tǒng)通用安全技術(shù)要求

45、b、GB/T 22240-2008信息系統(tǒng)安全保護(hù)等級定級指南 c、GB/T 25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求 d、GB/T 20269-2006信息系統(tǒng)安全管理要求 最佳答案是:b64. 在建立連續(xù)在線監(jiān)控系統(tǒng)時，IS審計師首先應(yīng)該識別： a、合理的目標(biāo)下限 b、組織中高風(fēng)險領(lǐng)域 c、輸出文件的位置和格式 d、帶來最大潛在回報的應(yīng)用程序 最佳答案是:b65. 某公司系統(tǒng)管理員最近正在部署一臺Web服務(wù)器，使用的操作系統(tǒng)是Windows，在進(jìn)行日志安全管理設(shè)置時，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進(jìn)行修改的策略是： a、在

46、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動發(fā)送并存儲到該syslog日志服務(wù)器中 b、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作 c、對日志屬性進(jìn)行調(diào)整，加大日志文件大小，延長日志覆蓋時間，設(shè)置記錄更多信息等 d、使用獨(dú)立的分區(qū)用于存儲日志，并且保留足夠大的日志空間 最佳答案是:a66. 關(guān)于信息安全管理，說法錯誤的是： a、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)）而進(jìn)行的計劃、組織、指揮和控制的一系列活動。 b、信息安全管理是一個多層面.多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制訂信息安全方針策略

47、標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機(jī)制等多方面的非技術(shù)性的努力。 c、實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。 d、信息安全是人員、技術(shù)、操作三者緊密合作的系統(tǒng)工程，是一個靜態(tài)過程。 最佳答案是:d67. 以下哪個選項不是信息安全需求較為常見的來源？ a、法律法規(guī)與合同條約的要求 b、組織的原則、目標(biāo)和規(guī)定 c、風(fēng)險評估的結(jié)果 d、安全架構(gòu)和安全廠商發(fā)布的漏洞、病毒預(yù)警 最佳答案是:d68. 下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是： a、確保采購定制的設(shè)備.軟件和其他系統(tǒng)組件滿足已定義的安全要求 b、確保整個系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置 c、確保系統(tǒng)使用人員已具備

48、使用系統(tǒng)安全功能和安全特性的能力 d、確保信息系統(tǒng)的使用已得到授權(quán) 最佳答案是:b69. 下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是： a、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望 b、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔 c、向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險評估準(zhǔn)則 d、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進(jìn)行充分分析和論證 最佳答案是:c70. 信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，以下說法錯誤的是？ a、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是信息安全風(fēng)險評估 b、風(fēng)險評估可以對信息資產(chǎn)進(jìn)行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆

49、弱性進(jìn)行評估 c、風(fēng)險評估可以確定需要實施的具體安全控制措施 d、風(fēng)險評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險處置，本質(zhì)上，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合。 最佳答案是:c71. 小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機(jī)房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機(jī)房的總價值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25，年度發(fā)生率(Annualized Rate ofOccurrence，ARO)為01，那么小王計算的年度預(yù)期損失(Annualized Loss Expectancy，ALE)應(yīng)該是()。 a、5萬元人民幣 b、50萬元人民幣 c、25萬元人民幣 d

50、、25萬元人民幣 最佳答案是:a72. 規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，按照規(guī)范形成了若干文檔，其中，下面（ ）中的文檔應(yīng)屬于風(fēng)險評估中“風(fēng)險要素識別”階段輸出的文檔。 a、風(fēng)險評估方案，主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容 b、風(fēng)險評估方法和工具列表，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容 c、風(fēng)險評估準(zhǔn)則要求，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容 d、已有安全措施列表，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容 最佳答案是:d73. 小張在某單

51、位是負(fù)責(zé)事信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時候，小張主要負(fù)責(zé)講解風(fēng)險評估工作形式，小張認(rèn)為：1風(fēng)險評估工作形式包括：自評估和檢查評估；2自評估是指信息系統(tǒng)擁有.運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險評估；3檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險評估；4對信息系統(tǒng)的風(fēng)險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼，請問小張的所述論點中錯誤的是哪項： a、第一個觀點 b、第二個觀點 c、第三個觀點 d、第四個觀點 最佳答案是:d74. 關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是： a、資產(chǎn)識別

52、是指對需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類 b、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性 c、脆弱性識別以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估 d、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺 最佳答案是:d75. 小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點中錯誤的是哪項： a、風(fēng)險評估方法包括：定性風(fēng)險分析.定量風(fēng)險分析以及半定量風(fēng)險分析 b

53、、定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性 c、定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性 d、半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實現(xiàn)對風(fēng)險各要素的度量數(shù)值化 最佳答案是:b76.風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va)以下關(guān)于上式各項說明錯誤的是： a、R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性 b、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性 c、F表示安全事件發(fā)生后

54、造成的損失 d、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度 最佳答案是:d77. 風(fēng)險評估工具的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用原理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是： a、風(fēng)險評估與管理工具 b、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具 c、風(fēng)險評估輔助工具 d、環(huán)境風(fēng)險評估工具 最佳答案是:d78. 為了解風(fēng)險和控制風(fēng)險，應(yīng)當(dāng)及時進(jìn)行風(fēng)險評估活動，我國有關(guān)文件指出：風(fēng)險評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項中描述錯誤的是( )。 a、自評估是由

55、信息系統(tǒng)擁有.運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估 b、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn).依據(jù)制定的評估方案和評估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實施 c、自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險評估服務(wù)機(jī)構(gòu)來實施 d、周期性的自評估可以在評估流程上適當(dāng)簡化，如重點針對上次評估后系統(tǒng)變化部分進(jìn)行 最佳答案是:c79. 某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是( )。 a、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估 b、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進(jìn)行檢查和評測 c、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實施 d、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點 最佳答案是