信息安全練習(xí)題(E)

模擬考試試卷（E）華為.HCS-19-369.V200Numbcr:13-369PassingScore:600TimeLimit:90minFileVersion:200HCIT-R&S-IESN H19-369(HuaweiCertifiednerjdksnfkwsnl)關(guān)于微軟的SDL原則，棄用不安全的函數(shù)屬于哪個(gè)價(jià)格段？（C）規(guī)劃設(shè)計(jì)實(shí)現(xiàn)測(cè)試Answer:C2.優(yōu)秀源代碼審核工具有哪些特點(diǎn)（A）１安全性２多平臺(tái)性３可擴(kuò)民性４知識(shí)性５集成性１２３４５２３４１２３４２３Answer:A解答：３.信息安全風(fēng)險(xiǎn)管理過(guò)程的模型如圖所示。按照流程，請(qǐng)問(wèn)，信息安全風(fēng)險(xiǎn)管理包括（）六個(gè)方面的內(nèi)容。（）是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，（）則貫穿于這四個(gè)基本步驟中。（A）背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督；監(jiān)控審查和溝通咨詢背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和監(jiān)控審查；批準(zhǔn)監(jiān)督和溝通咨詢背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和溝通咨詢；監(jiān)控審查和批準(zhǔn)監(jiān)督背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險(xiǎn)評(píng)估、監(jiān)控審查和批準(zhǔn)監(jiān)督；風(fēng)險(xiǎn)處理和溝通咨詢Answer:A解答：背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢。4.某公司在討論如何確認(rèn)已有的安全措施，對(duì)于確認(rèn)已有這全措施，下列選項(xiàng)中近期內(nèi)述不正確的是（D）對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施安全措施主要有預(yù)防性、檢測(cè)性和糾正性三種安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾貌活橝nswer:D解答：置不顧是錯(cuò)誤的。5.密碼是一種用來(lái)混淆的技術(shù)，使用者希望正常的（可識(shí)別的）信息轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的信息。但這種無(wú)法識(shí)別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊(cè)一個(gè)公司網(wǎng)站的賬號(hào)，小剛使用一個(gè)安全一點(diǎn)的密碼，請(qǐng)問(wèn)以下選項(xiàng)中哪個(gè)密碼是最安全（）使用和與用戶名相同的口令選擇可以在任何字典或語(yǔ)言中找到的口令選擇任何和個(gè)人信息有關(guān)的口令采取數(shù)字，字母和特殊符號(hào)混合并且易于記憶Answer:D6.基于對(duì)（）的信任，當(dāng)一個(gè)請(qǐng)求或命令來(lái)自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門”人員要求受害者對(duì)權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試，要求（）等。權(quán)威；執(zhí)行；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼權(quán)威；執(zhí)行；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼執(zhí)行；權(quán)威；電信詐騙；網(wǎng)絡(luò)攻擊；更改密碼執(zhí)行；權(quán)威；網(wǎng)絡(luò)攻擊；電信詐騙；更改密碼Answer:A。解答：全靠理解。7.在軟件項(xiàng)目開(kāi)發(fā)過(guò)程中，評(píng)估軟件項(xiàng)目風(fēng)險(xiǎn)時(shí)，（）與風(fēng)險(xiǎn)無(wú)關(guān)。高級(jí)管理人員是否正式承諾支持該項(xiàng)目開(kāi)發(fā)人員和用戶是否充分理解系統(tǒng)的需求最終用戶是否同意部署已開(kāi)發(fā)的系統(tǒng)開(kāi)發(fā)需求的資金是否能按時(shí)到位Answer:C解答：非大綱知識(shí)點(diǎn)，參考如下/view/b1d0f33e0a4c2e3f5727a5e9856a561252d32186.html，百度題庫(kù)，Answer為C8.物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理數(shù)據(jù)的載體，其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中，對(duì)設(shè)施安全的保障的描述正確的是（）。安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域建立安全區(qū)域需要建立安全屏蔽及訪問(wèn)控制機(jī)制由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機(jī)、數(shù)字式控制錄像設(shè)備后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等Answer:B解答：B描述了物理安全措施。9.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤是（）定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全進(jìn)行評(píng)估得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析過(guò)程中往往需要憑借分析者的經(jīng)驗(yàn)各直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)定性風(fēng)險(xiǎn)分析更具主觀性，面定量風(fēng)險(xiǎn)分析更具客觀性Answer:B/NewsInfoList4905.html，中培課堂。Answer為B。同A套題型中91題一樣。10.與瀏覽器兼容性測(cè)試不需要考慮的問(wèn)題是（）。軟件是否可以在不同的J2EE中運(yùn)行不同的瀏覽器是否可以提供合適的安全設(shè)置腳本和插是否適用于不同的瀏覽器符合最新HTML版本的頁(yè)面能否在瀏覽器中正確顯示Answer:A參考：/view/5d2efad1d05abe23482fb4daa58da0116c171fe6.html，百度文庫(kù)中。11.下列關(guān)于測(cè)試方法的敘述中不正確的是（）從某種角度上講，白盒測(cè)試與墨盒測(cè)試都屬于動(dòng)態(tài)測(cè)試功能測(cè)試屬于黑盒測(cè)試結(jié)構(gòu)測(cè)試屬于白盒測(cè)試對(duì)功能的測(cè)試通常是要考慮程序的內(nèi)部結(jié)構(gòu)的Answer:D/view/d81d85054b7302768e9951e79b89680203d86ba3.html，百度文庫(kù)中。[解析]白盒測(cè)試是在程序員十分了解程序的前提下，對(duì)程序的邏輯結(jié)構(gòu)進(jìn)行的測(cè)試。而黑盒測(cè)試則將程序視為一個(gè)黑盒子，僅僅是測(cè)試人員提供輸入數(shù)據(jù)，觀察輸出數(shù)據(jù)，并不了解程序是如何運(yùn)行的，結(jié)構(gòu)測(cè)試屬于白盒測(cè)試，關(guān)注的是如何選擇合適的程序或子程序路徑來(lái)執(zhí)行有效的檢查。功能測(cè)試則屬于黑盒測(cè)試，對(duì)功能的測(cè)試通常通過(guò)提供輸入數(shù)據(jù)，檢查實(shí)際輸出的結(jié)果，很少考慮程序的內(nèi)部結(jié)構(gòu)。12.小王學(xué)習(xí)了災(zāi)難備份的相關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識(shí)，小王對(duì)這種備份方式進(jìn)行對(duì)比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是（）完全備份、增量備份、差量備份完全備份、差量備份、增量備份增量備份、差量備份、完全備份差量備份、增量備份、完全備份Answer:B解析：完全備份是指?jìng)浞萑窟x中的文件夾，并不依賴文件的存檔屬性來(lái)確定備份哪些文件；增量備份是針對(duì)于上一次備份(無(wú)論是哪種備份)，備份上一次備份后，所有發(fā)生變化的文件；差異備份是針對(duì)完全備份，備份上一次的完全備份后發(fā)生變化的所有文件。三種備份方式在數(shù)據(jù)恢復(fù)速度方面由快到慢的順序?yàn)橥耆珎浞?、差異備份、增量備份?view/37c280655bcfa1c7aa00b52acfc789eb172d9ef6.html，百度文庫(kù)中。13.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測(cè)試關(guān)注的范疇（）。排版結(jié)構(gòu)的測(cè)試數(shù)據(jù)完整性測(cè)試客戶端兼容性的測(cè)試鏈接結(jié)構(gòu)的測(cè)試Answer:B/view/b90dee4d32687e21af45b307e87101f69e31fb1d.html，百度文庫(kù)中。[解析]Web應(yīng)用軟件表示層的測(cè)試主要集中在客戶端，測(cè)試的內(nèi)容包括：(1)排版結(jié)構(gòu)的測(cè)試；(2)鏈接結(jié)構(gòu)的測(cè)試；(3)客戶端程序的測(cè)試；(4)瀏覽器兼容性測(cè)試。14.在國(guó)家標(biāo)準(zhǔn)GB／T2024.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面()保障要素、生命周期和運(yùn)行維護(hù)保障要素、生命周期和安全特征規(guī)劃組織、生命周期和安全特征規(guī)劃組織、生命周期和運(yùn)行維護(hù)Answer:B15.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)？捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施提升網(wǎng)絡(luò)空間防護(hù)能力阻斷與國(guó)外網(wǎng)絡(luò)連接Answer:D16在信息安全保障工作中人才是非常重要的因素，近年來(lái)，我國(guó)一直調(diào)試重視我國(guó)信自成安全人才隊(duì)伍培養(yǎng)建設(shè)。在以下關(guān)于我國(guó)關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是（）。在《中胃信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的中意見(jiàn)》（中辦發(fā)[2003]27號(hào)）中，針對(duì)信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神2015年，為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng)，經(jīng)報(bào)國(guó)務(wù)院學(xué)位委員會(huì)批準(zhǔn)，國(guó)務(wù)院學(xué)位委員會(huì)、教育部決定“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全“一級(jí)學(xué)科，這對(duì)于我國(guó)網(wǎng)絡(luò)信息安全人才成體系化、規(guī)模化、系統(tǒng)培養(yǎng)到積極的推到作用經(jīng)過(guò)十余年的發(fā)展，我國(guó)信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息全從人員的數(shù)量較多，能同社會(huì)實(shí)際需求相匹配；同時(shí)，高效信息安全專業(yè)畢業(yè)人才的合能力要求高、知識(shí)更全面，因面社會(huì)化培養(yǎng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上除正規(guī)大學(xué)教育外，我國(guó)信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)休系，包括“注冊(cè)信息安全專業(yè)人員(CISP)”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證Answer:C17.王明買了一個(gè)新的藍(lán)牙耳機(jī)，但王明聽(tīng)說(shuō)使用藍(lán)牙設(shè)備有一定的安全威脅，于是王明找到對(duì)藍(lán)牙技術(shù)有所了解的王紅，希望王紅能夠給自己一點(diǎn)建議，以下哪一條建議不可取（）在選擇使用藍(lán)牙設(shè)備時(shí)，應(yīng)考慮設(shè)備的技術(shù)實(shí)現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能如果藍(lán)牙設(shè)備丟失，最好不要做任何操作在配對(duì)時(shí)使用隨機(jī)生成的密鑰、不使用時(shí)設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)Answer:C18.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注（）由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)獨(dú)測(cè)試在測(cè)試的過(guò)程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從面導(dǎo)致這些系統(tǒng)的測(cè)試失敗在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多的時(shí)間每年都是同相同的員工執(zhí)行此測(cè)試由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒(méi)有使用災(zāi)難推薦計(jì)劃（DRP）文檔Answer:B19.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前，Hadoop并不存在安全認(rèn)證一說(shuō)。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡意的提交作業(yè)篡改分布式存儲(chǔ)的數(shù)據(jù)偽裝成NameNo安康頭發(fā)TaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機(jī)制來(lái)解決用戶到服務(wù)器認(rèn)證問(wèn)題，Kerberos認(rèn)證過(guò)程不包括（）獲得票據(jù)許可票據(jù)獲得服務(wù)許可票據(jù)獲得密鑰分配中心的管理權(quán)限獲得服務(wù)Answer:C20.下面哪個(gè)階段不屬于軟件的開(kāi)發(fā)時(shí)期詳細(xì)設(shè)計(jì)總體設(shè)計(jì)編碼需求分析Answer:B解答：來(lái)源于百度知道2011-11-21的一條網(wǎng)友回答。21.下列關(guān)于軟件需求管理與需求開(kāi)發(fā)的論述正確的是（）所謂需求管理，是指對(duì)需求開(kāi)發(fā)的管理需求管理包括：需求獲取、需求分析、需求定義各需求驗(yàn)證需求開(kāi)發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過(guò)程在需求管理中要求維持對(duì)原有需求和所有的產(chǎn)品需求的雙向跟蹤Answer:D/view/51390fbe64ce0508763231126edb6f1aff007118.html，百度文庫(kù)。[解析]所有與需求直接相關(guān)的活動(dòng)通稱為需求工程。需求工程的活動(dòng)可分為需求開(kāi)發(fā)和需求管理兩大類。其中，需求開(kāi)發(fā)的目的是通過(guò)調(diào)查與分析，獲取用戶需求并定義產(chǎn)品需求。需求開(kāi)發(fā)主要有需求獲取、需求分析、需求定義和需求驗(yàn)證等4個(gè)過(guò)程。需求管理的目的是確保各方對(duì)需求的一致理解、管理和控制需求的變更，從需求到最終產(chǎn)品的雙向跟蹤。在需求管理中，要收集需求的變更和變更的理由，并且維持對(duì)原有需求和產(chǎn)品及構(gòu)件需求的雙向跟蹤。22.信息安全是通過(guò)實(shí)施一組合適的（）而達(dá)到的，包括策略、過(guò)程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的（）過(guò)程，以確保滿足該組織的特定安全和（）。這個(gè)過(guò)程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過(guò)程組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過(guò)程控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過(guò)程控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過(guò)程Answer:C解答：教材文章中的一段：“信息安全是通過(guò)實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個(gè)過(guò)程應(yīng)與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行。”23.了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（）的關(guān)鍵，對(duì)于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的（）。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊，如何判斷是否存在社會(huì)工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和（）。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就（）。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育，向員工灌輸（），人機(jī)降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)。社會(huì)工程學(xué)攻擊；越容易；原理；個(gè)人數(shù)據(jù)；安全意識(shí)社會(huì)工程學(xué)攻擊；原理；越容易；個(gè)人數(shù)據(jù)；安全意識(shí)原理；社會(huì)工程學(xué)攻擊；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)社會(huì)工程學(xué)攻擊；原理；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)Answer:D24.某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)的CSO，請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)？（）Ａ.公司自身?yè)碛袃?yōu)秀的技術(shù)人員，系統(tǒng)也是自己開(kāi)發(fā)的，無(wú)需進(jìn)行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案五個(gè)階段，流程完善可用公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型公司應(yīng)急預(yù)案對(duì)事件分類依據(jù)GB/Z20986–2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》，分為7個(gè)基本類別，預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)Answer:A25.強(qiáng)制訪問(wèn)控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體，具有較高的安全性，適用于專用或?qū)Π踩砸筝^高的系統(tǒng)。強(qiáng)制訪問(wèn)控制模型有多種類型，如BLP、Biba、Clark-willson和ChineseWall等。小李自學(xué)了BLP模型，并對(duì)該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對(duì)BLP模型的描述中，正確的是（）。BLP模型用于保證系統(tǒng)信息的完整性BLP模型的規(guī)則是“向下讀，向上寫(xiě)”BLP的自主安全策略中，系統(tǒng)通過(guò)比較主體與客體的訪問(wèn)類屬性控制主體對(duì)客體的訪問(wèn)BLP的強(qiáng)制安全策略使用一個(gè)訪問(wèn)控制矩陣表示Answer:B/NewsInfo/5155.html，中培課堂。選項(xiàng)部分相似。26.對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝（），運(yùn)行系統(tǒng)要化安裝經(jīng)過(guò)批準(zhǔn)的可執(zhí)行代碼，不安裝開(kāi)發(fā)代碼和（），應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受過(guò)培訓(xùn)的管理員，根據(jù)合適的（），進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫(kù)的更新；必要時(shí)在管理者批準(zhǔn)情況下，僅為了支持目的才授予供應(yīng)商物理或邏輯訪問(wèn)權(quán)，并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能安裝何種類型的軟件，組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用（）。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反（）?？刂埔?guī)程；編譯程序；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)編譯程序；控制規(guī)程；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)控制規(guī)程；管理授權(quán)；編譯程序；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)控制規(guī)程；最小特權(quán)方針；編譯程序；管理授權(quán)；知識(shí)產(chǎn)權(quán)Answer:A27.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對(duì)可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對(duì)策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)相互與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依欠填入的是（）。應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運(yùn)行小組、應(yīng)急響應(yīng)實(shí)施小組Answer:A解答：參考教材第154頁(yè)圖4-1的內(nèi)容。28.SQLServer支持兩種身份驗(yàn)證模式，即Windows身份驗(yàn)證模式和混合模式。SQLServer的混全模式是指：當(dāng)網(wǎng)絡(luò)用戶嘗試接到SQLServer數(shù)據(jù)庫(kù)時(shí)，（）Windows獲取用戶輸入的用戶和密碼，并提交給SQLServe進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫(kù)訪權(quán)限SQLServe根據(jù)用戶輸入的用戶和密碼，并提交給Windows進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫(kù)訪權(quán)限SQLServe根據(jù)已在Windows網(wǎng)絡(luò)中登錄的用戶的網(wǎng)絡(luò)安全屬性，對(duì)用戶進(jìn)行身份驗(yàn)證，并決定用戶的數(shù)據(jù)庫(kù)訪權(quán)限登錄到本地Windows的用戶均可無(wú)限制訪問(wèn)SQLServe數(shù)據(jù)庫(kù)Answer為：C，非大綱范圍。/view/c8b9921da9114431b90d6c85ec3a87c240288aec.html，百度文庫(kù)第7題。29.物聯(lián)網(wǎng)將我們帶入一個(gè)復(fù)雜多元、綜合交互的新信息時(shí)代，物聯(lián)網(wǎng)安全成為關(guān)系國(guó)計(jì)民生的大事，直接影響到個(gè)人生活的社會(huì)穩(wěn)定。物聯(lián)網(wǎng)安全問(wèn)題必須引起高度重視，并從技術(shù)、標(biāo)準(zhǔn)和法律方面予以保障。物聯(lián)網(wǎng)的感知由安全技術(shù)主要包括（）、（）等實(shí)現(xiàn)RFID安全性機(jī)制所采用的方法主要有三類：（）、（）和（）。傳感器網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含（）、（）和（）RFID安全技術(shù)；傳感器網(wǎng)絡(luò)安全技術(shù)；內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證；物理機(jī)制，密碼機(jī)制，以及二者相結(jié)合的方法RFID安全技術(shù)；傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證RFID安全技術(shù)；傳感器網(wǎng)絡(luò)安全技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證RFID技術(shù)；傳感器技術(shù)；物理機(jī)制、密碼機(jī)制，以及二者相結(jié)合的方法；實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶認(rèn)證，以及廣播認(rèn)證Answer:C解答：該內(nèi)容來(lái)源于互聯(lián)網(wǎng)。30.建立并完善（）是有效應(yīng)對(duì)社會(huì)工程攻擊的方法，通過(guò)（）的建立，使得信息系統(tǒng)用戶需要遵循（）來(lái)實(shí)施某些操作，從而在一定程度上降低社會(huì)工程學(xué)的影響。例如對(duì)于用戶密碼的修改，由于相應(yīng)管理制度的要求，（）需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行，那么來(lái)自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行（），因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。信息安全管理體系；安全管理制度；規(guī)范；網(wǎng)絡(luò)管理員；社會(huì)工程學(xué)攻擊信息安全管理體系；安全管理制度；網(wǎng)絡(luò)管理員；規(guī)范；社會(huì)工程學(xué)攻擊安全管理制度；信息安全管理體系；規(guī)范；網(wǎng)絡(luò)管理員；社會(huì)工程學(xué)攻擊信息安全管理體系；網(wǎng)絡(luò)管理員；安全管理制度；規(guī)范；社會(huì)工程學(xué)攻擊Answer:A解答：該題目請(qǐng)以理解為主，源于2011年新浪博客。31.怎樣安全上網(wǎng)不中毒，現(xiàn)在是網(wǎng)絡(luò)時(shí)代了，上網(wǎng)是每個(gè)人都會(huì)做的事，但網(wǎng)絡(luò)病毒一直是比較頭疼的，電腦中毒也比較麻煩。某員工為了防止在上網(wǎng)時(shí)中毒使用了影子系統(tǒng)，他認(rèn)為惡代碼會(huì)通過(guò)以下方式傳播，但有一項(xiàng)是安全的，請(qǐng)問(wèn)是（）網(wǎng)頁(yè)掛馬利用即時(shí)通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中Google認(rèn)證過(guò)的插件垃圾郵件解答：C解釋：來(lái)源于國(guó)外的翻譯的題目。32.管理，是指（）組織并利用其各個(gè)要素（人、財(cái)、物、信息和時(shí)空），借助（），完成該組織目標(biāo)的過(guò)程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)各（）一樣，也對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來(lái)越廣的威脅各（）當(dāng)中。管理手段；管理主體；信息；管理要素；脆弱性管理主體；管理手段；信息；管理要素；脆弱性管理主體；信息；管理手段；管理要素；脆弱性管理主體；管理要素；管理手段；信息；脆弱性Answer:B33.如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名a,這違背了安全的哈希函數(shù)（）性質(zhì)。單向性弱抗碰撞性強(qiáng)抗碰撞性機(jī)密性Answer:C解釋：該題目是違背了強(qiáng)抗碰撞性，Answer應(yīng)為C。34.信息安全管理體系也采用了（）模型可應(yīng)用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過(guò)必要的（），產(chǎn)生滿足這些要求和期望的（）。ISMS：PDCA過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果PDCA；ISMS過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果ISMS：PDCA過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程PDCA；ISMS過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程Answer:B35.以下對(duì)Kerberos協(xié)議過(guò)程說(shuō)法正確的是：（）協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù)協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)Answer:D36.下列選項(xiàng)中，對(duì)物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是（）物理安全確保了系統(tǒng)在對(duì)信息進(jìn)行采集、傳輸、處理等過(guò)程中的安全物理安全面對(duì)是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng)，是一個(gè)非常關(guān)鍵的領(lǐng)域物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等影響物理安全的因素不僅包含自然因素，還包含人為因素Answer:A37.風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將（）始終控制在可接愛(ài)的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）和（）四種方式。風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受風(fēng)險(xiǎn)評(píng)估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；降低；規(guī)避；轉(zhuǎn)移；接受Answer:B38.信息收集是（）攻擊實(shí)施的基礎(chǔ)，因此攻擊者在實(shí)施前會(huì)對(duì)目標(biāo)進(jìn)行（），了解目標(biāo)所有相關(guān)的（）。這些資料和信息對(duì)很多組織機(jī)構(gòu)來(lái)說(shuō)都是公開(kāi)或看無(wú)用的，然而對(duì)攻擊者來(lái)說(shuō)，這些信息都是非常有價(jià)值的，這些信息收集得越多，離他們成功得實(shí)現(xiàn)（）就越近。如果為信息沒(méi)有價(jià)值或價(jià)值的非常低，組織機(jī)構(gòu)通常不會(huì)采取措施（），這正是社會(huì)工程學(xué)攻擊者所希望的。信息收集；社會(huì)工程學(xué)；資料和信息；身份偽裝；進(jìn)行保護(hù)社會(huì)工程學(xué)；信息收集；資料和信息；身份偽裝；進(jìn)行保護(hù)社會(huì)工程學(xué)；信息收集；身份偽裝；資料和信息；進(jìn)行保護(hù)信息收集；資料和信息；社會(huì)工程學(xué)；身份偽裝；進(jìn)行保護(hù)Answer:B39.信息是流動(dòng)的，在信息的流動(dòng)過(guò)程中必須能夠識(shí)別所有可能途徑的（）與（）；而對(duì)于信息本身而言，信息的敏感性的定義是對(duì)信息保護(hù)的（）和(),信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時(shí)性和信息的交互場(chǎng)景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測(cè)?基礎(chǔ)；依據(jù)；載體；環(huán)境：永久性：風(fēng)險(xiǎn)管理基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性載體；環(huán)境；風(fēng)險(xiǎn)管理；永久性；基礎(chǔ)；依據(jù)；載體；環(huán)境；基礎(chǔ)；依據(jù)：風(fēng)險(xiǎn)管理；永久性Answer:D40.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說(shuō)法錯(cuò)誤的是？告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給客戶選擇是否允許用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)Answer:C41.隨著時(shí)代的發(fā)展，有根多偉人都為通信亊業(yè)的發(fā)展貢獻(xiàn)出自己力量，根據(jù)常識(shí)可知以下哪項(xiàng)是正確的？（）19世紀(jì)中葉以后，隨著電磁技術(shù)的發(fā)展，誕生了筆記本電腦，通信領(lǐng)域產(chǎn)生了根本性的飛躍，開(kāi)始了人類通信新時(shí)代1837年，美國(guó)人費(fèi)曼發(fā)明了電報(bào)機(jī)，可將信息轉(zhuǎn)換成電脈沖傳向目的地，再轉(zhuǎn)換為原來(lái)的信息，從而實(shí)現(xiàn)了長(zhǎng)途電報(bào)通信1875年，貝爾（Bell)發(fā)明了電話機(jī)?1878年在相距300公里的波士頓和紐約之間進(jìn)行了首次長(zhǎng)途電話實(shí)驗(yàn)1906年美國(guó)物理學(xué)家摩斯發(fā)明出無(wú)線電廣播?法國(guó)人克拉維爾建立了英法第一條商用無(wú)線電線路，推動(dòng)了無(wú)線電技術(shù)的進(jìn)一步發(fā)展Answer:C42.隨著人們信息安全意識(shí)的不斷增強(qiáng)，版權(quán)保護(hù)也受到越來(lái)越多的關(guān)注。在版權(quán)保護(hù)方面國(guó)內(nèi)外使用較為廣泛的是數(shù)字對(duì)象標(biāo)識(shí)符DOI(DigitalObjectIdentifier)系統(tǒng)，它是由非贏利性組織國(guó)際DOI基金會(huì)IDF(InternationalDOIFoundation)研究設(shè)計(jì)的，在數(shù)字環(huán)境下標(biāo)識(shí)知識(shí)產(chǎn)權(quán)對(duì)象的一種開(kāi)放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示，則下面對(duì)于DOI系統(tǒng)認(rèn)識(shí)正確的是（）DOI是一個(gè)暫時(shí)性的標(biāo)識(shí)號(hào)，由IntermationalDOIFoundation管理DOI的優(yōu)點(diǎn)有唯一性、持久性、兼容性、或操作性、動(dòng)態(tài)更新DOI命名規(guī)則中前綴和后綴兩部之間用“；”分開(kāi)DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式Answer:B43.關(guān)于我國(guó)信息安全保障的基本原則，下列說(shuō)法中不正確的是：要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲—方以保證另一方在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用Answer:A44.攻擊者通過(guò)向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上ARP緩存，形成一個(gè)錯(cuò)誤的IP地址<->MAC地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)送數(shù)據(jù)時(shí)封裝錯(cuò)誤的MAC地址。欺騙攻擊過(guò)程如下圖所示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過(guò)程（）ARPIPDNSSNAnswer:A45.組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和()功能的訪間。對(duì)訪間的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求,訪問(wèn)控制策略還要與組織的訪問(wèn)策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和()時(shí),宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并()。對(duì)程序源代碼和相關(guān)事項(xiàng)(例如設(shè)計(jì)、說(shuō)明書(shū)、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃的訪問(wèn)宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存，可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn),更好的是放在()中應(yīng)用系統(tǒng):身份驗(yàn)證:嚴(yán)格控制;保密性:源程序庫(kù)身份驗(yàn)證;應(yīng)用系統(tǒng);嚴(yán)格控制:保密性;源程序庫(kù)應(yīng)用系統(tǒng);嚴(yán)格控制:身份驗(yàn)證;保密性;源程序庫(kù)應(yīng)用系統(tǒng);保密性;身份驗(yàn)證;嚴(yán)格控制;源程序庫(kù)Answer:A46.OSI模型把網(wǎng)絡(luò)通信工作分為七層,如圖所示,0SI模型的每一層只與相鄰的上下兩層直接通信,當(dāng)發(fā)送進(jìn)程需要發(fā)送信息時(shí),它把數(shù)據(jù)交給應(yīng)用層。應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行加工處理后,傳給表示層。再經(jīng)過(guò)一次加工后,數(shù)據(jù)被到會(huì)話層,這一過(guò)程一直繼續(xù)到物理層接收數(shù)據(jù)后進(jìn)行實(shí)際的傳輸,每一次的加工又稱為數(shù)據(jù)封裝。其中IP層對(duì)應(yīng)OSI模型中的那一層()應(yīng)用層傳輸層應(yīng)用層網(wǎng)絡(luò)層Answer:D47.以下關(guān)于軟件安全問(wèn)題對(duì)應(yīng)關(guān)系錯(cuò)誤的是?()缺點(diǎn)(Defect)軟件實(shí)現(xiàn)和設(shè)計(jì)上的弱點(diǎn)缺陷(Bug)-實(shí)現(xiàn)級(jí)上的軟件問(wèn)題瑕疵(Flaw)-種更深層次、設(shè)計(jì)層面的的問(wèn)題故障(Failure)-由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn),是靜態(tài)的、程序執(zhí)行過(guò)程中出現(xiàn)的行為表現(xiàn)Answer:C解釋：非CISP來(lái)源，來(lái)源于CISSP的曾經(jīng)的練習(xí)題，是翻譯的，可參考百度文庫(kù)2017年04月18日關(guān)于《軟件安全錯(cuò)誤區(qū)別》ISO/IEC/IEEE24765-2010的翻譯。Bug,defect,error,fault,failure,mistake等區(qū)別。48.自主訪問(wèn)控制(DAC)是應(yīng)用很廣泛的訪問(wèn)控制方法,常用于多種商業(yè)系統(tǒng)中。以下對(duì)DAC模型的理解中,存在錯(cuò)誤的是（）在DAC模型中,資源的所有者可以規(guī)定誰(shuí)有權(quán)訪問(wèn)它們的資源DAC是一種對(duì)單個(gè)用戶執(zhí)行訪問(wèn)控制的過(guò)程和措施DAC可為用戶提供靈活調(diào)整的安全策略,具有較好的易用性可擴(kuò)展性,可以抵御特洛伊木馬的攻擊在DAC中,具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體Answer:C49.惡意代碼經(jīng)過(guò)20多年的發(fā)展,破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹?lái)越大。小李發(fā)現(xiàn)在自己的電腦查出病毒的過(guò)程中,防病毒軟件通過(guò)對(duì)有毒件的檢測(cè),將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A簡(jiǎn)單運(yùn)行行為檢測(cè)特征數(shù)據(jù)匹配特征碼掃描Answer:B解釋：CISP知識(shí)點(diǎn)范圍內(nèi)，在知識(shí)點(diǎn)理解的基礎(chǔ)上，進(jìn)一步參考“防病毒軟件通過(guò)對(duì)有毒軟件的檢測(cè)，將軟件行為與惡意代碼為模型進(jìn)行匹配”參考教材第388頁(yè)第三段的內(nèi)容。50.信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?()信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性病毒、黑客、漏洞等保密信息如國(guó)家秘密、商業(yè)秘密等網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度Answer:A51.管理層應(yīng)該表現(xiàn)對(duì)(),程序和控制措施的支持,并以身作則。管理職責(zé)要確保雇員和承包方人員都了()角色和職責(zé),并遵守相應(yīng)的條款和條件。組織要建立信息安全意識(shí)計(jì)劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過(guò)程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素。信息安全:信息安全政策:教育和培訓(xùn);紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)B信息安全政策:信息安全:教育和培訓(xùn):紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)C信息安全政策:教育和培訓(xùn):信息安全;紀(jì)律處理過(guò)程:分級(jí)的響應(yīng)D信息安全政策:紀(jì)律處理過(guò)程信息安全;教育和培訓(xùn):分級(jí)的響應(yīng)Answer:B解釋：CISP知識(shí)點(diǎn)范圍內(nèi)，但內(nèi)容需要理解或背誦，來(lái)源于教材第113頁(yè)，第一段和第二段，請(qǐng)背誦下來(lái)，最好要理解。52.近幾年,無(wú)線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個(gè)領(lǐng)域。而無(wú)線信道是一個(gè)開(kāi)放性信道,它在賦予無(wú)線用戶通信自由的同時(shí)也給無(wú)線通信網(wǎng)絡(luò)帶來(lái)一些不安全因素,下列選項(xiàng)中,對(duì)無(wú)線通信技術(shù)的安全特點(diǎn)描述正確的是（）無(wú)線信道是一個(gè)開(kāi)放信道,任何具有適當(dāng)無(wú)線設(shè)備的人均可以通過(guò)搭線竊聽(tīng)而獲得網(wǎng)絡(luò)通信內(nèi)容通過(guò)傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容對(duì)于無(wú)線局域網(wǎng)絡(luò)和無(wú)線個(gè)人區(qū)域網(wǎng)絡(luò)來(lái)說(shuō),它們的通信內(nèi)容更容易被竊聽(tīng)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容Answer:C53.軟件的可維護(hù)性可用七個(gè)質(zhì)量特性來(lái)衡量,分別是:可理解性、可測(cè)試性、可修改性、可靠性、可移植性、可使用性和效率對(duì)于不同類型的維護(hù),這些側(cè)重點(diǎn)也是不同的,在可維護(hù)性的特性中相互促進(jìn)的是（）A可理解性和可測(cè)試性B效率和可移植性C效率和可修改性效率和可理解性Answer:A非學(xué)習(xí)大綱范圍，/view/60bd00480722192e4436f61f.html《軟件工程課自測(cè)題及Answer3》54下列選項(xiàng)中對(duì)信息系統(tǒng)審計(jì)概念的描述中不正確的是()信息系統(tǒng)審計(jì),也可稱作IT審計(jì)或信息系統(tǒng)控制審計(jì)信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程,審計(jì)對(duì)象是信息系統(tǒng)相關(guān)控制,審計(jì)目標(biāo)則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性信息系統(tǒng)審計(jì)是單一的概念,是對(duì)會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查從信息系統(tǒng)審計(jì)內(nèi)容上看,可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì),例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績(jī)效審計(jì)等。Answer:C55.隨著互聯(lián)網(wǎng)的迅猛發(fā)展、WEB信息的增加,用戶要在信息海洋里查找自己所需的信息,就象大海撈針一樣,索引擎技術(shù)恰好解決了這一難題。以下關(guān)于搜索引擎技術(shù)特點(diǎn)的描述中錯(cuò)誤的是()搜索引擎以一定的策略在Web系統(tǒng)中搜索和發(fā)現(xiàn)信息搜索引擎可以分為目錄導(dǎo)航式與網(wǎng)頁(yè)索引式搜索器在Internet上逐個(gè)訪問(wèn)Web站點(diǎn),并建立一個(gè)網(wǎng)站的關(guān)鍵字列表索引器功能是理解搜索器獲取的信息,向用戶顯示查詢結(jié)果Answer:D解釋：來(lái)源于希賽網(wǎng)的軟考練習(xí)題。56.“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act)”(PDCA過(guò)程)又叫(),是管理學(xué)中的一個(gè)通用模型,最早由()于1930年構(gòu)想,后來(lái)被美國(guó)質(zhì)量管理專家()博士在1950年再度挖掘出來(lái),并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程。PDCA循環(huán)就是按照“規(guī)劃、實(shí)施、檢查、處置”的順序進(jìn)行質(zhì)量管理,并且循環(huán)不止地進(jìn)行下去的(),建立符合國(guó)際標(biāo)準(zhǔn)ISO9001的質(zhì)量管理體系即是一個(gè)典型的PDCA過(guò)程,建立IS014001環(huán)境管理體系、IS020000I服務(wù)()也是一個(gè)類似的過(guò)程。質(zhì)量環(huán);休哈特;戴明;管理體系;科學(xué)程序質(zhì)量環(huán);戴明;休哈特;管理體系;科學(xué)程序C質(zhì)量環(huán):戴明;休哈特;科學(xué)程序;管理體系D.質(zhì)量環(huán);休哈特;戴明;科學(xué)程序;管理體系A(chǔ)nswer:D解釋：源于質(zhì)量管理體系。57.ZigBee主要的信息安全服務(wù)為()、()、()、()。訪問(wèn)控制使設(shè)備能夠選擇其愿意與之通信的其他設(shè)備。為了實(shí)現(xiàn)訪問(wèn)控制,設(shè)備必須在ACL中維護(hù)一個(gè)(),表明它愿意接受來(lái)自這些設(shè)備的數(shù)據(jù)。數(shù)據(jù)加密使用的密鑰可能是一組設(shè)備共享,或者兩兩共享。數(shù)據(jù)加密服務(wù)于Beacon、command以及數(shù)據(jù)載荷。數(shù)據(jù)()主要是利用消息完整性校驗(yàn)碼保證沒(méi)有密鑰的節(jié)點(diǎn)不會(huì)修改傳輸中的消息,進(jìn)一步確認(rèn)消息來(lái)自一個(gè)知道()的節(jié)點(diǎn)訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播保護(hù);設(shè)備列表;完整性:密鑰訪問(wèn)控制、加密、完整性、序列抗重播保護(hù);設(shè)備列表;完整性;密鑰訪問(wèn)控制、加密、數(shù)據(jù)完整性、序列抗重播保護(hù);列表;完整性;密鑰訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、序列抗重播;列表;完整性;密鑰Answer:A解釋：源于無(wú)線通信安全技術(shù)，豆丁網(wǎng)2014.10.18介紹。IEEE802.15.4規(guī)范是一種經(jīng)濟(jì)、高效、低數(shù)據(jù)速率(<250kbps)、工作在2.4GHz和868/915MHz的無(wú)線技術(shù)。58在一個(gè)網(wǎng)絡(luò)中,當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多,或普通終端計(jì)算機(jī)沒(méi)有必要分配靜態(tài)IP地址時(shí),可以采用通過(guò)在計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí),每次為其臨時(shí)在IP地址池中選擇一個(gè)IP地址并分配的方式為()動(dòng)態(tài)分配IP地址靜態(tài)分配IP地址網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址手動(dòng)分配Answer:A59.信息安全風(fēng)險(xiǎn)管理是基于()的信息安全管理,也就是,始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即()選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)Answer:A60.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要,計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案,在向主管領(lǐng)導(dǎo)寫(xiě)報(bào)告時(shí),他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性,在他羅列的四條理由中,其中不適合作為理由的一條是()應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力,減少突發(fā)事件造成的損失和危害,保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求,因此必須建設(shè)應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施Answer:C61.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動(dòng),用檢錯(cuò)或糾錯(cuò)技術(shù)來(lái)確保正確的傳輸,確保解決該層的流量控制問(wèn)題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()報(bào)文比特流幀包Answer:C62.以下對(duì)于標(biāo)準(zhǔn)化特點(diǎn)的描述哪項(xiàng)是錯(cuò)誤的?標(biāo)準(zhǔn)化的對(duì)象是共同的、可重復(fù)的事物。不是孤立的一件事、一個(gè)事物B標(biāo)準(zhǔn)化必須是靜態(tài)的,相對(duì)科技的進(jìn)步和社會(huì)的發(fā)展不能發(fā)現(xiàn)變化C.標(biāo)準(zhǔn)化的相對(duì)性,原有標(biāo)準(zhǔn)隨著社會(huì)發(fā)展和環(huán)境變化,需要更新D.標(biāo)準(zhǔn)化的效益,通過(guò)應(yīng)用體現(xiàn)經(jīng)濟(jì)和社會(huì)效益,否則就沒(méi)必要Answer:B63.以下哪個(gè)是國(guó)際信息安全標(biāo)準(zhǔn)化組織的簡(jiǎn)稱?ANSIISOIEEENISTAnswer:B解釋：題目描述不嚴(yán)謹(jǐn)。64.風(fēng)險(xiǎn),在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面,如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級(jí)別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等,ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型,如圖所示。請(qǐng)結(jié)合此圖,怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響?()組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求,通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響加強(qiáng)防護(hù)措施,降低風(fēng)險(xiǎn)C減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D.減少資產(chǎn)降低風(fēng)險(xiǎn)Answer:A解釋：題目13335標(biāo)準(zhǔn)已過(guò)期。65.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ┯捎趩挝徊o(wú)專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書(shū)委托某網(wǎng)絡(luò)安全公司技術(shù)人員對(duì)本次攻擊進(jìn)行取證由于公司缺乏備用硬盤,因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來(lái)進(jìn)行取證由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請(qǐng)采購(gòu)與服務(wù)器硬盤同一型號(hào)的硬盤用于存儲(chǔ)恢復(fù)出來(lái)的數(shù)據(jù)由于公司并無(wú)專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作Answer:B66.在你對(duì)遠(yuǎn)端計(jì)算機(jī)進(jìn)行ping操作,不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL值是不同的,TTL是IP協(xié)議包中的一個(gè)值,它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長(zhǎng)而應(yīng)被丟棄。(簡(jiǎn)而言之,你可以通過(guò)TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過(guò)了多少個(gè)路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TL值,可以大致判斷()內(nèi)存容量操作系統(tǒng)的類型對(duì)方物理位置對(duì)方的MAC地址Answer:B67.()攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊,大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過(guò)()才能實(shí)施成功的。即使是最簡(jiǎn)單的“直接攻擊”也需要進(jìn)行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個(gè)身份需要的()社會(huì)工程學(xué):精心策劃;前期的準(zhǔn)備;偽裝的身份;一些特征精心策劃;社會(huì)工程學(xué);前期的準(zhǔn)備;偽裝的身份;一些特征精心策劃;社會(huì)工程學(xué);偽裝的身份;前期的準(zhǔn)備:一些特征社會(huì)工程學(xué);偽裝的身份;精心策劃;前期的準(zhǔn)備;一些特征Answer:A解釋：書(shū)本的229頁(yè)，右邊最下面的一段話。68內(nèi)容安全是我國(guó)信息安全保障工作中的一個(gè)重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來(lái)的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越越受到重視,以下哪個(gè)描述不屬于內(nèi)容安全的范疇()某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì),對(duì)向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核,確保無(wú)侵犯版權(quán)行為后才能在網(wǎng)站好進(jìn)行發(fā)布B某網(wǎng)站采取了技術(shù)措施,限制對(duì)同一P地址對(duì)網(wǎng)站的并發(fā)連接,避免爬蟲(chóng)通過(guò)大量的訪問(wèn)采集網(wǎng)站發(fā)布數(shù)據(jù)C.某論壇根據(jù)相關(guān)法律要求,進(jìn)行了大量的關(guān)鍵詞過(guò)濾,使用戶無(wú)法發(fā)布包含被過(guò)濾關(guān)鍵詞的相關(guān)內(nèi)容D.某論壇根據(jù)國(guó)家相關(guān)法律要求,為了保證用戶信息泄露,對(duì)所有用戶信息,包括用戶名、密碼、身份證號(hào)等都進(jìn)行了加密的存儲(chǔ)Answer:D69.惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù)，對(duì)惡意軟件的分析難度越來(lái)越大。對(duì)惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。小趙通過(guò)查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實(shí)際上是虛擬化技術(shù)的應(yīng)用,是動(dòng)態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動(dòng)態(tài)分析的知識(shí),其中錯(cuò)誤的是（）A、動(dòng)態(tài)分析是指在虛擬運(yùn)行環(huán)境中,使用測(cè)試及監(jiān)控軟件,檢測(cè)惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài),從而判斷惡意代碼的性質(zhì),并掌握其行為特點(diǎn)動(dòng)態(tài)分析針對(duì)性強(qiáng),并且具有較高的準(zhǔn)確性,但由于其分析過(guò)程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證動(dòng)態(tài)分析通過(guò)對(duì)其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制動(dòng)態(tài)分析通過(guò)監(jiān)控系統(tǒng)進(jìn)程、文件和注冊(cè)表等方面出現(xiàn)的非正常操作和變化,可以對(duì)惡意代碼非法行為進(jìn)行分析Answer:C70.安全評(píng)估技術(shù)采用()這一工具,它是一種能夠自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。安全掃描器安全掃描儀自動(dòng)掃描器自動(dòng)掃描儀Answer:A解釋：來(lái)源CISSP的，參考百度問(wèn)答庫(kù)，某信息安全知識(shí)競(jìng)賽題目。71.小張?jiān)谝徊恢木W(wǎng)站上下載了魯大師并進(jìn)行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張?bào)@出一身汗,因?yàn)樗缾阂獯a將隨之進(jìn)入系統(tǒng)后會(huì)對(duì)他的系統(tǒng)信息安全造成極大的威脅,那么惡意代碼的軟件部署常的實(shí)現(xiàn)方式不包括（）攻擊者在獲得系統(tǒng)的上傳權(quán)限后,將惡意代碼部署到目標(biāo)系統(tǒng)惡意代碼自身就是軟件的一部分,隨軟件部署傳播內(nèi)嵌在軟件中,當(dāng)文件被執(zhí)行時(shí)進(jìn)入目標(biāo)系統(tǒng)惡意代碼通過(guò)網(wǎng)上激活A(yù)nswer:D72.操作系統(tǒng)是作為一個(gè)支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而下的破綻,都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護(hù)師為實(shí)現(xiàn)該公司操作系統(tǒng)的安全目標(biāo),按書(shū)中所學(xué)建立了應(yīng)的安全機(jī)制,這些機(jī)制不包括（）標(biāo)識(shí)與鑒別訪問(wèn)控制權(quán)限管理網(wǎng)絡(luò)云盤存取保護(hù)Answer:D73.信息安全應(yīng)急響應(yīng),是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施,既包括預(yù)防性措施也包括事件發(fā)生后的應(yīng)對(duì)措施。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的,在下面的應(yīng)急響應(yīng)管理流程圖中,空白方填寫(xiě)正確的選項(xiàng)是（）培訓(xùn)階段文檔階段報(bào)告階段D檢測(cè)階段Answer:D74.即時(shí)通訊安全是移動(dòng)互聯(lián)網(wǎng)時(shí)代每個(gè)用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問(wèn)題,特別對(duì)于使用即時(shí)通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時(shí)通訊應(yīng)考慮許多措施,下列措施中錯(cuò)誤的是()如果經(jīng)費(fèi)許可,可以使用自建服務(wù)器的即時(shí)通訊系統(tǒng)在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時(shí)通訊中傳輸敏感及以上級(jí)別的文檔;建立管理流程及時(shí)將離職員工移除等選擇在設(shè)計(jì)上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時(shí)通訊軟件,例如提供傳輸安全性保護(hù)等即時(shí)通訊涉及重要操作包括轉(zhuǎn)賬無(wú)需方式確認(rèn)Answer:D75.如果有一名攻擊者在搜索引擎中搜索“.doc+XXX.com”找到XXX.com網(wǎng)站上所有的word文檔。該攻擊者通過(guò)搜索“mdb”、“.ini”+域名,找到該域名下的mdb庫(kù)文件、ini配置文件等非公開(kāi)信息,通過(guò)這些敏感信息對(duì)該網(wǎng)站進(jìn)行攻擊,請(qǐng)問(wèn)這屬于()定點(diǎn)挖掘攻擊定位網(wǎng)絡(luò)實(shí)施嗅探溢出攻擊Answer:A源于CISSP的習(xí)題。76.以下哪些因素屬于信息安全特征?()系統(tǒng)和網(wǎng)絡(luò)的安全系統(tǒng)和動(dòng)態(tài)的安全技術(shù)、管理、工程的安全D系統(tǒng)的安全;動(dòng)態(tài)的安全;無(wú)邊界的安全;非傳統(tǒng)的安全Answer:D77.以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是:()。單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè),就可以訪問(wèn)多個(gè)應(yīng)用單點(diǎn)登錄不僅方便用戶使用,而且也便于管理使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)Answer:A78.某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃,提出了四大培訓(xùn)任務(wù)和目標(biāo),關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo),作為主管領(lǐng)導(dǎo),以下選項(xiàng)中正確的是()由于網(wǎng)絡(luò)安全上升到國(guó)家安全的高度,因此網(wǎng)絡(luò)安全必須得到足夠的重視,因此安排了對(duì)集團(tuán)公司下屬公司的總經(jīng)理(一把手)的網(wǎng)絡(luò)安全法培訓(xùn)對(duì)下級(jí)單位的網(wǎng)絡(luò)安全管理崗人員實(shí)施全面安全培訓(xùn),計(jì)劃全員通過(guò)CISP持證培訓(xùn)以確保人員能力得到保障對(duì)其他信息化相關(guān)人員(網(wǎng)絡(luò)管理員、軟件開(kāi)發(fā)人員)也進(jìn)行安全基礎(chǔ)培訓(xùn),使相關(guān)人員對(duì)網(wǎng)絡(luò)安全有所了解對(duì)全體員工安排信息安全意識(shí)及基礎(chǔ)安全知識(shí)培訓(xùn),實(shí)現(xiàn)全員信息安全意識(shí)教育Answer:A79.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。()和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的形式。標(biāo)記應(yīng)易于辨認(rèn),規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo),并考慮到信息被訪問(wèn)的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲(chǔ)和()敏感性;物理標(biāo)簽;資產(chǎn)的價(jià)值;信息資產(chǎn);交換規(guī)程敏感性;信息資產(chǎn);資產(chǎn)的價(jià)值;物理標(biāo)簽;交換規(guī)程資產(chǎn)的價(jià)值;敏感性;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)物理標(biāo)簽；交換規(guī)程Answer:D來(lái)源于27002標(biāo)準(zhǔn)的原文。80.殺毒軟件一般是通過(guò)對(duì)代碼與特征庫(kù)中的特征碼進(jìn)行比對(duì),判斷這個(gè)文件是否是為惡意代碼,如果是則進(jìn)女聯(lián)系到病毒庫(kù)中對(duì)該病毒的描述,從而確認(rèn)其行為,達(dá)到分析的目的。下列對(duì)惡意代碼靜態(tài)分析的說(shuō)法中,錯(cuò)誤的是()靜態(tài)分析不需要實(shí)際執(zhí)行惡意代碼,它通過(guò)對(duì)其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制靜態(tài)分析通過(guò)查找惡意代碼二進(jìn)制程序中嵌入的可疑字符串,如:文件名稱、URL地址、域名、調(diào)用函數(shù)等來(lái)進(jìn)行分析判斷靜態(tài)分析檢測(cè)系統(tǒng)函數(shù)的運(yùn)行狀態(tài),數(shù)據(jù)流轉(zhuǎn)換過(guò)程,能判別出惡意代碼行為和正常軟件操作靜態(tài)分析方法可以分析惡意代碼的所有執(zhí)行路徑,但是隨著程序復(fù)雜度的提高,冗余路徑增多,會(huì)出現(xiàn)分析效率很低的情況Answer:C無(wú)法檢測(cè)運(yùn)行狀態(tài).81.數(shù)據(jù)庫(kù)是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲(chǔ)的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫(kù)中的數(shù)據(jù)是從全局觀點(diǎn)出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲(chǔ)。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對(duì)某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫(kù)作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的系統(tǒng),毫無(wú)疑問(wèn)會(huì)成為信息安全的重點(diǎn)防護(hù)對(duì)象。數(shù)據(jù)庫(kù)安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲(chǔ)和安全訪問(wèn),對(duì)數(shù)據(jù)庫(kù)安全要求不包括下列()向所有用戶提供可靠的信息服務(wù)拒絕執(zhí)行不正確的數(shù)據(jù)操作拒絕非法用戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等Answer:A82.目前,很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí),均要求產(chǎn)品需通過(guò)安全測(cè)評(píng)。關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義,下列說(shuō)法中不正確的是:有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度對(duì)用戶采購(gòu)信息安全產(chǎn)品,設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)對(duì)信息安全產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督打破市場(chǎng)壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境Answer:D83.下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是：國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》GB/202714.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型,在信息系統(tǒng)安全保障具體操作時(shí),可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全,而不僅是某時(shí)間點(diǎn)下的安全信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入Answer:D84.風(fēng)險(xiǎn)評(píng)估相關(guān)政策,目前主要有()(國(guó)信辦[2006]5號(hào))。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(),評(píng)估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等、兩類信息系統(tǒng)的()、涉密信息系統(tǒng)參照“分級(jí)保護(hù)”、非涉密信息系統(tǒng)參照“等級(jí)保護(hù)”?！蛾P(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》；重要程度；安全威脅；脆弱性；工作開(kāi)展《關(guān)于開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》;安全威脅；重要程度；脆弱性；工作開(kāi)展《關(guān)于開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》;重要程度;安全威脅;脆弱性;工作開(kāi)展《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》脆弱性;重要程度;安全威脅;工作開(kāi)展Answer:A85.()在實(shí)施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的(),那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團(tuán)公司中相關(guān)人員的綽號(hào)等等。攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定攻擊者;所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定Answer:C86.小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問(wèn)題,小紅說(shuō)他看到有新聞?wù)f在2011年2月3日,全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天劃分給所有的區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu),IP地址總庫(kù)已經(jīng)枯竭,小明嚇了一跳覺(jué)得以后上網(wǎng)會(huì)成問(wèn)題,小紅安慰道,不用擔(dān)心,現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢,以下小紅說(shuō)的優(yōu)點(diǎn)中錯(cuò)誤的是()網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展IPv6對(duì)多播進(jìn)行了改進(jìn),使得具有更大的多播地址空間繁雜報(bào)頭格式良好的擴(kuò)展性Answer:C87方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T-T25058-2010-《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等。其中《等級(jí)保護(hù)實(shí)施指南》原以()政策文件方式發(fā)布,后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對(duì)如何開(kāi)展()做了詳細(xì)規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等。其中在()工作期間還發(fā)布過(guò)《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》等文件,后經(jīng)過(guò)修改以《等級(jí)保護(hù)測(cè)評(píng)要求》發(fā)布。這些標(biāo)準(zhǔn)主要對(duì)如何開(kāi)展()工作做出了()A公安部；等級(jí)保護(hù)試點(diǎn)；等級(jí)保護(hù)工作；等級(jí)保護(hù)測(cè)評(píng)；詳細(xì)規(guī)定.B公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)試點(diǎn)；等級(jí)保護(hù)測(cè)評(píng)；詳細(xì)規(guī)定公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)測(cè)評(píng)；等級(jí)保護(hù)試點(diǎn)；詳細(xì)規(guī)定D公安部；等級(jí)保護(hù)工作；等級(jí)保護(hù)試點(diǎn)；詳細(xì)規(guī)定；等級(jí)保護(hù)測(cè)評(píng)Answer:B88.下列選項(xiàng)中,對(duì)風(fēng)險(xiǎn)評(píng)估文檔的描述中正確的是()評(píng)估結(jié)果文檔包括描述資產(chǎn)識(shí)別和賦值的結(jié)果,形成重要資產(chǎn)列表描述評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃,選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施,明確責(zé)任、進(jìn)度、資源,并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)以確定所選擇安全措施的有效性的《風(fēng)險(xiǎn)評(píng)估程序》在文檔分發(fā)過(guò)程中作廢文檔可以不用添加標(biāo)識(shí)進(jìn)行保留對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文檔行,還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制Answer:D89.下列軟件開(kāi)發(fā)模型中,支持需求不明確,特別是大型軟件系統(tǒng)的開(kāi)發(fā),并支持多種軟件開(kāi)發(fā)方法的模型是（）原型模型瀑布模型噴泉模型螺旋模型Answer:D90供電安全是所有電子設(shè)備都需要考慮的問(wèn)題,只有持續(xù)平穩(wěn)的電力供應(yīng)才能保障電子設(shè)備作穩(wěn)定可靠因此電力供應(yīng)需要解決問(wèn)題包括兩個(gè),一是確保電力供應(yīng)不中斷、二是確保電力供應(yīng)平穩(wěn)。下列選項(xiàng)中,對(duì)電力供應(yīng)的保障措施的描述正確的是（）可以采用雙路供電來(lái)確保電力供應(yīng)穩(wěn)定性UPS可提供持續(xù)、平穩(wěn)的電力供應(yīng),不會(huì)受到電涌的影響可以部署電涌保護(hù)器來(lái)確保電力供應(yīng)穩(wěn)定性發(fā)動(dòng)機(jī)供電是目前電力防護(hù)最主要的技術(shù)措施Answer:C解釋：該Answer按照理論和實(shí)踐的合理分析，Answer為C。教材第337頁(yè)。91.漏洞掃描是信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的常用技術(shù)措施,定期的漏洞掃描有助于組織機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。漏洞掃描軟件是實(shí)施漏洞掃描的工具,用于測(cè)試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對(duì)漏洞掃描技術(shù)和工具進(jìn)行學(xué)習(xí)后有如下理解,其中錯(cuò)誤的是（）主動(dòng)掃描工作方式類似于IDS(IntrusionDetectionSystems)CVE(CommonVulnerabilities&Exposures)為每個(gè)漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述X.Scanne