CISP考試認證(習題卷2)

試卷科目：CISP考試認證CISP考試認證(習題卷2)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認證第1部分：單項選擇題，共250題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.《信息安全技術信息安全風險評估規(guī)范》(GB/T20984-2007)中關于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是:A)規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B)設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性,提出安全功能需求C)實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別,并對系統(tǒng)建成后的安全功能進行驗證D)運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,是一種全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面[單選題]2.某公司在討論如何確認已有的安全措施,對于確認已有這全措施,下列選項中近期內(nèi)述不正確的是()A)對有效的安全措施繼續(xù)保持,以避免不必要的工作和費用,防止安全措施的重復實施B)安全措施主要有預防性、檢測性和糾正性三種C)安全措施的確認應評估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅D)對確認為不適當?shù)陌踩胧┛梢灾貌活橻單選題]3.30.某單位根據(jù)業(yè)務需要準備立項開發(fā)一個業(yè)務軟件，對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低;信息中心則認為應在軟件安全開發(fā)階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準確說法?A)信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經(jīng)費投入比軟件運行后的費用要低B)軟件開發(fā)部門的說法是正確的，因為軟件發(fā)現(xiàn)問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低C)雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費用更低D)雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同[單選題]4.相比FAT文件系統(tǒng),以下那個不是NTFS所具有的優(yōu)勢?（）A)NTFS使用事務日志自動記錄所有文件和文件夾更新,當出現(xiàn)系統(tǒng)損壞引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復未成功的操作。B)NTFS的分區(qū)上,可以為每個文件或文件夾設置單獨的許可權限C)對于大磁盤,NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下的EXT3文件格式。[單選題]5.計算機取證是將計算機調(diào)查和分析技術應用于對潛在的、有法律效應的確定和提取。以下關于計算機取證的描述中，錯誤的是A)計算機取證包括對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的提取和歸檔B)計算機取證圍繞電子證據(jù)進行，電子證據(jù)具有高科技性等特點C)計算機取證包括保護目標計算機系統(tǒng)，確定收集和保存電子證據(jù)，必須在開計算機的狀態(tài)下進行D)計算機取證是一門在犯罪進行過程中或之后收集證據(jù)[單選題]6.Hash算法的碰撞是指:A)兩個不同的消息,得到相同的消息摘要B)兩個相同的消息,得到不同的消息摘要C)消息摘要和消息的長度相同D)消息摘要比消息長度更長[單選題]7.風險分析師風險評估工作的一個重要內(nèi)容,GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風險大小,如下圖所示,圖中括號應填那個?()A)安全資產(chǎn)價值大小等級B)脆弱性嚴重程度等級C)安全風險隱患嚴重等級D)安全事件造成損失大小[單選題]8.45.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登錄時如用戶名或口令輸入錯誤，給用戶返回?用戶名或口令輸入錯誤?信息，輸入錯誤達到三次，將暫時禁止登錄該賬戶，請問以上安全設計遵循的是哪項安全設計原則：A)最小共享機制原則B)經(jīng)濟機制原則C)不信任原則D)默認故障處理保護原則[單選題]9.小李在上網(wǎng)時不小心點開了假冒某銀行的釣魚網(wǎng)站，誤輸入了銀行賬號與密碼損失上千元，他的操作如下圖所示，他所受到的攻擊是（）A)ARP欺騙B)DNS欺騙C)IP欺騙D)TCP會話劫持[單選題]10.SQLServer支持兩種身份驗證模式，即Windows身份驗證模式和混合模式。SQLServer的混合模式是指，當網(wǎng)絡用戶嘗試連接到SQLServer數(shù)據(jù)庫時（）A)Windows獲取用戶輸入的用戶和密碼，并提交給SQLServer進行身份驗證，并決定用戶的數(shù)據(jù)庫訪問權限B)SQLServer根據(jù)用戶輸入的用戶和密碼，提交給了windows進行身份驗證，并決定用戶的數(shù)據(jù)庫訪問權限C)SQLServer根據(jù)已在Windows網(wǎng)絡中登錄的用戶的網(wǎng)絡安全屬性，對用戶身份進行驗證，并決定用戶的數(shù)據(jù)訪問權限D(zhuǎn))登錄到本地Windows的用戶均可無限制訪問SQLServer數(shù)據(jù)庫[單選題]11.以下關于法律的說法錯誤的是A)法律是國家意志的統(tǒng)一體現(xiàn)，有嚴密的邏輯體現(xiàn)和效力B)法律可以是公開的，也可以是?內(nèi)部?的C)一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改D)法律對違法犯罪的后果有明確規(guī)定，是一種硬約束[單選題]12.55.（）在實施攻擊之前，需要盡量收集偽裝身份()，這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團公司總部的()，那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者(）、公司規(guī)則制度、組織架構等信息，甚至包括集團公司中相關人員的綽號等等。A)攻擊者:所需要的信息:系統(tǒng)管理員:基礎；內(nèi)部約定B)所需要的信息:基礎；攻擊者；系統(tǒng)管理員；內(nèi)部約定C)攻擊者:所需要的信息:基礎；系統(tǒng)管理員；內(nèi)部約定D)所需要的信息:攻擊者:基礎；系統(tǒng)管理員:內(nèi)部約定[單選題]13.自主訪問控制（DAC）是應用很廣泛的訪問控制方法，常用于多種商業(yè)系統(tǒng)中。以下對DAC模型的理解中，存在錯誤的是（）A)在DAC模型中，資源的所有者可以規(guī)定誰有權訪問它們的資源B)DAC是一種對單個用戶執(zhí)行訪問控制的過程和措施C)DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性可擴展性，可以抵御特洛伊木馬的攻擊D)在DAC中，具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其他主體[單選題]14.以下哪一種身份驗證機制為移動用戶帶來驗證問題?A)可重復使用的密碼機制B)一次性口令機制。C)挑戰(zhàn)響應機制。D)基于IP地址的機制[單選題]15.14.某單位計劃在今年開發(fā)一套辦公自動化（OA）系統(tǒng)，將集團公司各地的機構通過互聯(lián)網(wǎng)進行協(xié)同辦公，在OA系統(tǒng)的設計方案評審會上，提出了不少安全開發(fā)的建議，作為安全專家，請指出大家提供的建議中不太合適的一條？A)對軟件開發(fā)商提出安全相關要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B)要求軟件開發(fā)人員進行安全開發(fā)培訓，是開發(fā)人員掌握基本軟件安全開發(fā)知識C)要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞D)要求軟件開發(fā)商對軟件進行模塊化設計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對輸入數(shù)據(jù)進行校驗[單選題]16.PDCA特征的描述不正確的是A)順序進行,周而復始,發(fā)現(xiàn)問題,分析問題,然后是解決問題B)大環(huán)套小環(huán),安全目標的達成都是分解成多個小目標,一層層地解決問題C)階梯式上升,每次循環(huán)都要進行總結(jié),鞏固成績,改進不足D)信息安全風險管理的思路不符合PDCA的問題解決思路[單選題]17.以下說法正確的是:.A)軟件測試計劃開始于軟件設計階段,完成于軟件開發(fā)階段B)驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收C)軟件測試的目的是為了驗證軟件功能是否正確D)監(jiān)理工程師應按照有關標準審查提交的測試計劃,并提出審查意見[單選題]18.下列哪個是能執(zhí)行系統(tǒng)命令的存儲過程A)Xp_subdirsB)Xp_makecabC)Xp_cmdshellD)Xp_regread[單選題]19.以下關于風險評估的描述不正確的是?A)作為風險評估的要素之一,威脅發(fā)生的可能需要被評估B)作為風險評估的要素之一,威脅發(fā)生后產(chǎn)生的影響需要被評估C)風險評估是風險管理的第一步D)風險評估是風險管理的最終結(jié)果[單選題]20.不受限制的訪問生產(chǎn)系統(tǒng)程序的權限將授予以下哪些人?A)審計師B)不可授予任何人C)系統(tǒng)的屬主。D)只有維護程序員[單選題]21.19.關于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是（A)WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B)WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議C)WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D)WPA是依照802.11i標準草案制定的，而WPA2是依照802.11i正式標準制定的[單選題]22.針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，這是（？）防火墻的特點A)復合型防火墻B)應用級網(wǎng)關型C)代理服務型D)包過濾型[單選題]23.關于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A)WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B)WPA是適用于中國的無線局域安全協(xié)議,WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C)WPA沒有使用密碼算法對接入進行認證,而WPA2使用了密碼算法對接入進行認證D)WPA是依照802.11i標準草案制定的,而WPA2是按照802.11i正式標準制定的[單選題]24.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A)口令B)令牌C)知識D)常見的DES、IDEA算法都屬于分組密碼算法[單選題]25.使用熱站作為備份的優(yōu)點是:A)熱站的費用低B)熱站能夠延長使用時間C)熱站在短時間內(nèi)可運作D)熱站不需要和主站點兼容的設備和系統(tǒng)軟件[單選題]26.在信息系統(tǒng)設計階段,?安全產(chǎn)品選擇?處于風險管理過程的哪個階段?A)背景建立B)風險評估C)風險處理D)批準監(jiān)督[單選題]27.GB/T18336的最低級別是（）A)EAL1B)EAL3C)EAL5D)EAL7[單選題]28.SSE-CMM將域維中的工程過程類的（）過程區(qū)域劃分為（）過程區(qū)，分別是（）、（）、（）它們相互獨立。（）識別出所開發(fā)的產(chǎn)品或系統(tǒng)的風險，并對這些風險進行優(yōu)先級排序。針對風險所面臨的安全問題，系統(tǒng)安全工程過程要與其他工程一起來確定和實施解決方案。最后，由安全保證過程建立起解決方案的可信性并向用戶轉(zhuǎn)達這種（）-這三個過程共同實現(xiàn)了安全工程過程結(jié)果所要達到的安全目標。A)12個；三個；風險過程；工程過程；保證過程；工程過程；安全可信性B)12個；三個；風險過程；工程過程；保證過程；風險過程；安全可信性C)11個；三個；風險過程；工程過程；保證過程；風險過程；安全可信性D)11個；三個；風險過程；工程過程；保證過程；工程過程；安全可信性[單選題]29.以下關于Windows系統(tǒng)的賬號存儲管理機制(SecurityAccountsManager)的說法哪個是正確的:A)存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問,具有較高的安全性B)存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權訪問,具有較高的安全性C)存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問,靈活方便D)存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問,具有較高的安全性[單選題]30.世界上首例通過網(wǎng)絡攻擊癱瘓物理核設施的事件是？A)巴基斯坦核電站震蕩波事件B)以色列核電站沖擊波事件C)伊朗核電站震蕩波事件D)伊朗核電站震網(wǎng)（STUXNET）事件[單選題]31.以下哪一種不屬于php封裝協(xié)議（）A)http://B)zlib://C)ssh://D)globp://[單選題]32.某集團公司根據(jù)業(yè)務需要,在各地分支機構部署前置機,為了保證安全,集團總部要求前置機開放日志共享,由總部服務器采集進行集中分析,在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志,從而導致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應采取以下哪項處理措施()A)日志的存在就是安全風險,最好的辦法就是取消日志,通過設置讓前置機不記錄日志B)只允許特定的IP地址從前置機提取日志,對日志共享設置訪問密碼且限定訪問的時間C)由于共享導致了安全問題,應直接關閉日志共享,禁止總部提取日志進行分析D)為配合總部的安全策略,會帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風險[單選題]33.許多web應用程序存在大量敏感數(shù)據(jù),包括信用卡、杜?？ㄌ柎a、身份認證證書等,Web應用這些敏感信息存儲到數(shù)據(jù)庫或者文件系統(tǒng)中,但是并使用適當?shù)募用艽胧﹣肀Ｗo。小李不想自己的銀行卡密碼被泄露,他一直極力避免不安全的密碼存儲,他總結(jié)出幾種不安全的密碼存儲問題,其中有一項應該歸為措施,請問是哪一項()A)使用弱算法B)使用適當?shù)募用艽胧┗騂ash算法C)不安全的密鑰生成和儲存D)不輪換密鑰[單選題]34.()才是系統(tǒng)的軟肋,可以毫不夸張的說,人是信息系統(tǒng)安全防護體系中最不穩(wěn)定也是()。社會工程學攻擊是一種復雜的攻擊,不能等同于一般的(),很多即使是自認為非常警惕及小心的人,一樣會被高明的()所攻破。A)社會工程學;攻擊人的因素;最脆弱的環(huán)節(jié);欺騙方法B)人的因素:最脆弱的環(huán)節(jié);社會工程學攻擊;欺騙方法C)欺騙方法;最脆弱的環(huán)節(jié);人的因素;社會工程學攻擊D)人的因素;最脆弱的環(huán)節(jié);欺騙方法:社會工程學攻擊[單選題]35.92.基于對()的信任，當一個請求成命令來自一個?權威?人士時，這個請求就可能被毫不懷疑的（），在（）中，攻擊者偽裝成?公安部門?人員，要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對權威的信任。在()中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進行一次系統(tǒng)測試，要求（）等。A)A權威；執(zhí)行；電信詐騙；網(wǎng)絡攻擊；更改密碼B)B權威；執(zhí)行；網(wǎng)絡攻擊；電信詐騙；更改密碼C)C執(zhí)行；權威；電信詐騙；網(wǎng)絡攻擊；更改密碼D)D執(zhí)行；權威；網(wǎng)絡攻擊；電信詐騙；更改密碼[單選題]36.TCP/IP協(xié)議就Internet最基本的協(xié)議,也是Internet構成的基礎,TCP/IP通常被認為就是一個N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡服務來完成自己的功能,這里N應等于()A)4B)5C)6D)7[單選題]37.在一個中斷和災難事件中,以下哪一項提供了持續(xù)運營的技術手段?A)負載平衡B)硬件冗余C)分布式備份D)高可用性處理[單選題]38.84.計劃是組織根據(jù)環(huán)境的需要和自身的特點，確定組織在一定時期內(nèi)的目標，并通過計劃的編制、執(zhí)行和監(jiān)督來協(xié)調(diào)、組織各類資源以順利達到預期目標的過程。計劃編制的步驟流程如下圖所示，則空白方框處應該填寫的步驟為（）A)估計潛在的災難事件、選擇計劃策略B)估計潛在的災難事件、制定計劃策略C)選擇計劃策略、估計潛在的災難事件D)制定計劃策略、估計潛在的災難事件[單選題]39.IPv4協(xié)議在設計之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡方便地進行互聯(lián)、互通,僅僅依靠IP頭部的校驗和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標準,其設計目標是在IPv4和IPv6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機密性,有效抵御網(wǎng)絡攻擊,同時保持易用性。下列選項中說法錯誤的是()A)對于IPv4,IPSec是可選的,對于IPv6,IPSec是強制實施的。B)IPSec協(xié)議提供對IP及其上層協(xié)議的保護。C)IPSec是一個單獨的協(xié)議D)IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制。[單選題]40.基于對()的信任,當一個請求或命令來自一個?權威?人士時,這個請求就可能被毫不懷疑的()。在()中,攻擊者偽裝成?公安部門?人員要求受害者對權威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請求配合進行一次系統(tǒng)測試,要求()等。A)權威;執(zhí)行;電信詐騙;網(wǎng)絡攻擊;更改密碼B)權威;執(zhí)行;網(wǎng)絡攻擊;電信詐騙;更改密碼C)執(zhí)行;權威;電信詐騙;網(wǎng)絡攻擊;更改密碼D)執(zhí)行;權威;網(wǎng)絡攻擊;電信詐騙;更改密碼[單選題]41.開發(fā)保密的計算機應用系統(tǒng)時，研制人員與操作使用人員__________A)最好是同一批人B)應當分開C)不能有傳染病D)應做健康檢查[單選題]42.常規(guī)端口掃描和半開放式掃描的區(qū)別是？A)半開式采用UDP方式掃描B)沒區(qū)別C)掃描準確性不一樣D)沒有完成三次握手，缺少ACK過程[單選題]43.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關于殘余風險描述錯誤的是？A)殘余風險是采取了安全措施后，仍然可能存在的風險：一般來說，是在綜合考慮了安全成本與效益后不去控制的風險B)殘余風險應受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C)實施風險處理時，應將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果D)信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小殘余風險值作為風險管理效果評估指標[單選題]44.維基百科(Wikipedia)中,大數(shù)據(jù)則被定義為巨量數(shù)據(jù),也稱海量數(shù)據(jù)或大資料,是指所涉及的數(shù)據(jù)量規(guī)模巨大到無法人為的在合理時間內(nèi)達到取、管理、處理、并整理成為人類所能解讀的信息,大數(shù)據(jù)的四個特點:Volume、Velocity、vaey、Vaue,其中他們的含義分別為A)海量的數(shù)據(jù)規(guī)模;快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型,巨大的數(shù)據(jù)價值B)海量的數(shù)據(jù)規(guī)極;快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系;巨大的數(shù)據(jù)價值;多樣的數(shù)據(jù)類型C)海量的數(shù)據(jù)規(guī)模;巨大的數(shù)據(jù)價值;快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型D)巨大的數(shù)據(jù)價值;快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系;多樣的數(shù)據(jù)類型;海量的數(shù)據(jù)規(guī)模[單選題]45.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本,會將他的瀏覽器定向到旅游網(wǎng)站,旅游網(wǎng)站則獲得了他的社交網(wǎng)絡信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站,但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡信息(還有他的好友們的信息),于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面,截獲用戶的個人信息了。這種向Web頁面插入惡意html代碼的攻擊方式稱為()A)SQL注入攻擊B)緩沖區(qū)溢出攻擊C)分布式拒絕服務攻擊D)跨站腳本攻擊[單選題]46.TCP/IP協(xié)議就Internet最基本的協(xié)議，也是Internet構成的基礎，TCP/IP通常被認為就是一個N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡服務來完成自己的功能，這里N應等于（）A)4B)5C)6D)7[單選題]47.小陳自學了風評的相關國家準則后,將風險的公式用圖形來表示,下面F1,F2,F3,F4分別代表某種計算函數(shù),四張圖中,那個計算關系正確A)style="width:auto;"class="fr-ficfr-filfr-dib">B)style="width:auto;"class="fr-ficfr-filfr-dib">C)style="width:auto;"class="fr-ficfr-filfr-dib">D)style="width:auto;"class="fr-ficfr-filfr-dib">[單選題]48.BS7799這個標準是由下面哪個機構研發(fā)出來的?A)美國標準協(xié)會B)英國標準協(xié)會C)中國標準協(xié)會D)國際標準協(xié)會[單選題]49.以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴重威脅的是什么?A)發(fā)現(xiàn)不明的SUID可執(zhí)行文件B)發(fā)現(xiàn)應用的配置文件被管理員變更C)發(fā)現(xiàn)有惡意程序在實時的攻擊系統(tǒng)D)發(fā)現(xiàn)防護程序收集了很多黑客攻擊的源地址[單選題]50.企業(yè)安全架構(ShenwoodAppliedBusinessSecurityArchitecture,SABSA)是企業(yè)架構的一個子集,它定義了().包括各層級的()、流程和規(guī)程,以及它們與整個企業(yè)的戰(zhàn)略、戰(zhàn)術和運營鏈接的方式,用全面的、嚴格的方法描述了組成完整的信息安全管理體系(ISMS)所有組件的()。開發(fā)企業(yè)安全架構的很主要原因是確保安全工作以一個標準化的節(jié)省成本的方式與業(yè)務實踐相結(jié)合。架構在抽象層面工作,它提供了一個()。除了安全性之外,這種類型的架構讓組織更好的實現(xiàn)()、集成性、易用性、標準化和便于治理性:A)信息安全戰(zhàn)略;解決方案;結(jié)構和行為;可供參考的框架;互操作性;B)信息安全戰(zhàn)略;結(jié)構和行為;解決方案;可供參考的框架;互操作性;C)信息安全戰(zhàn)略;解決方案;可供參考的框架;結(jié)構和行為;互操作性;D)信息安全戰(zhàn)略;可供參考的框架;解決方案;結(jié)構和行為;互操作性;[單選題]51.在人力資源審計期間,安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個關于期望的IT服務水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應該做什么?A)為兩部門起草一份服務水平協(xié)議B)向高級管理層報告存在未被書面簽訂的協(xié)議C)向兩部門確認協(xié)議的內(nèi)容D)推遲審計直到協(xié)議成為書面文檔[單選題]52.下面關于訪問控制模型的說法不正確的是：A)DAC模型中主體對它所屬的對象和運行的程序有全部的控制權B)DAC實現(xiàn)提供了一個基于?need-to-know?的訪問授權的方法，默認拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者C)在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個主體能訪問哪個對象。但用戶可以改變它。D)RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設置對象為某個類型，主體具有相應的角色就可以訪問它。[單選題]53.Windows系統(tǒng)中,安全標識符(SID)是標識用戶、組和計算機賬戶的唯一編碼,在操作系統(tǒng)內(nèi)部使用,當授予用戶、組、服務或者其他安全主休訪問對象的權限時,操作系統(tǒng)會把SID和權限寫入對象的ACL中,小劉在學習了SID的組成后,為了鞏固所學知識,在自己計算機的Windows操作系統(tǒng)中使用whooml/users操作查看當前用戶的SID,得到是的SID為S-1-5-21-1534169462-1651380828-111620652-500。下列選項中,關于此SID的理解錯誤的是___A)前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B)第一個子頒發(fā)機構是21C)WindowsNT的SID的三個子頒發(fā)機構是1534169462、1651380828、111620651D)此SID以500結(jié)尾,表示內(nèi)置guest[單選題]54.14.（）把瀑布模型和專家系統(tǒng)結(jié)合在一起,在開發(fā)的各個階段上都利用相應的專家系統(tǒng)來幫助軟件人員完成開發(fā)工作。A)原型模型B)螺旋模型C)基于知識的智能模型D)噴泉模型[單選題]55.Nmap工具不可以執(zhí)行下列哪種方式掃描A)目錄遍歷掃描B)TCPSYN掃描C)TCPconnect掃描D)UDPport掃描[單選題]56.安全域是由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項描述是錯誤的A)安全域劃分主要以業(yè)務需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡、設備的物理部署位置無關B)安全域劃分能把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題C)以安全域為基礎，可以確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段，從而使同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護D)安全域邊界是安全事件發(fā)生時的抑制點，以安全域為基礎，可以對網(wǎng)絡和系統(tǒng)進行安全檢查和評估，因此安全域劃分和保護也是網(wǎng)絡防攻擊的有效防護方式[單選題]57.由于IT的發(fā)展,災難恢復計劃在大型組織中的應用也發(fā)生了變化。如果新計劃沒有被測試下面哪項是最主要的風險A)災難性的斷電B)資源的高消耗C)"恢復的總成本不能被最小化"D)用戶和恢復團隊在實施計劃時可能面臨服務器問題[單選題]58.394.小陳自學了信息安全風險評估的相關國家標準后,將風險計算的有關公式使用圖形來表示,下面四個圖中F1、F2、F3、F4分別代表某種計算函數(shù)。四張圖中,計算關系表達正確的是:F3A)F1B)F2C)F3D)F4[單選題]59.攻擊者可以使用ping,或某一個系統(tǒng)命令獲得目標網(wǎng)絡的信息,攻擊者利用此命令,能收集到目標之間經(jīng)過的路由設備IP地址,選擇其中存在安全防護相對薄弱的路由設備實施攻擊,或者控制路由設備,對目標網(wǎng)絡實現(xiàn)嗅探等其他攻擊。這個命令為A)ipconfigB)ipconfigallC)showD)tracert[單選題]60.2016年10月21日,美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件,此次事件是由于美國主要DNS服務商Dyn遭遇大規(guī)模DDos攻擊所致,影響規(guī)模驚人,對人們生產(chǎn)生活造成嚴重影響.DDoS攻擊的主要目的是破壞系統(tǒng)的()A)抗抵賴性B)保密性C)可用性D)不可否認性[單選題]61.隨機進程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術手段之一，以下對于隨機進程名技術，描述正確的是A)隨機進程名技術雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身B)惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C)惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D)隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱[單選題]62.在邏輯訪問控制中如果用戶賬戶被共享,這種局面可能造成的最大風險是:A)非授權用戶可以使用ID擅自進入、B)用戶訪問管理費時、C)很容易猜測密碼、D)無法確定用戶責任[單選題]63.以下關于UDP協(xié)議的說法，哪個是錯誤的?A)UDP具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務攻擊B)UDP協(xié)議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數(shù)據(jù)包送達正確的程序C)相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流量需求的應用數(shù)據(jù)D)UDP協(xié)議不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務，因此常用來傳輸如視頻會話這類需要隱私保護的數(shù)據(jù)[單選題]64.下面安全策略的特性中,不包括哪一項?A)指導性B)靜態(tài)性C)可審核性D)非技術性[單選題]65.電腦中安裝哪種軟件，可以減少病毒、特洛伊木馬程序和蠕蟲的侵害？（）A)VPN軟件B)殺毒軟件C)備份軟件D)安全風險預測軟件[單選題]66.在PDR模型的基礎上,發(fā)展成為了(Policy-Protection-Detection-Response,PPDR)模型,即策略-保護-檢測-響應。模型的核心是:所有的防護、檢測、響應都是依據(jù)安全策略實施的。如圖所示。在PPDR模型中,策略指的是信息系統(tǒng)的安全策略,包括訪問控制策略、加密通信策略、身份認證測錄、備份恢復策略等。策略體系的建立包括安全策略的制定、()等;防護指的是通過部署和采用安全技術來提高網(wǎng)絡的防護能力,如()、防火墻、入侵檢測、加密技術、身份認證等技術;檢測指的是利用信息安全檢測工具,監(jiān)視、分析、審計網(wǎng)絡活動,了解判斷網(wǎng)絡系統(tǒng)的()。檢測這一環(huán)節(jié),使安全防護從被動防護演進到主動防御,是整個模型動態(tài)性的體現(xiàn),主要方法包括;實時監(jiān)控、檢測、報警等;響應指的是在檢測到安全漏洞和安全事件,通過及時的響應措施將網(wǎng)絡系統(tǒng)的()調(diào)整到風險最低的狀態(tài),包括恢復系統(tǒng)功能和數(shù)據(jù),啟動備份系統(tǒng)等。啟動備份系統(tǒng)等。其主要方法包括:關閉服務、跟蹤、反擊、消除影響等。A)評估與執(zhí)行;訪問控制;安全狀態(tài);安全性B)評估與執(zhí)行;安全狀態(tài);訪問控制;安全性C)訪問控制;評估與執(zhí)行;安全狀態(tài);安全性D)安全狀態(tài),評估與執(zhí)行;訪問控制;安全性[單選題]67.以下哪項參數(shù)用于唯一標識一個無線網(wǎng)絡，使其與其它網(wǎng)絡區(qū)分開來A)SSIDB)OFDMC)WEPD)DSSS[單選題]68.下面對"零日（zero-day）漏洞"的理解中，正確的是（）A)指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊，獲取主機權限B)指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被"震網(wǎng)"病毒所利用，用來攻擊伊朗布什爾核電站基礎設施C)指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內(nèi)文完成攻擊，且成功達到攻擊目標D)指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞[單選題]69.Ipsec（lPSecurity）協(xié)議標準的設計目標是在IPv4和IPv6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性下面選項中哪項描述是錯誤的（）A)IPSec協(xié)議不支持使用數(shù)字證書B)IPSec協(xié)議對于IPv4和IPv6網(wǎng)絡都是適用的C)IPSec有兩種工作模式：傳輸模式和隧道模式D)IPSec協(xié)議包括封裝安全載荷（ESP）和鑒別頭（AH）兩種通信保護機制[單選題]70.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全保障工作的主要原則()A)《關于加強政府信息系統(tǒng)安全和保密管理工作的通知》B)《中華人民共和國計算機信息系統(tǒng)安全保護條例》C)《國家信息化領導小組關于加強信息安全保障工作的意見》D)《關于開展信息安全風險評估工作的意見》[單選題]71.下列選項中,對風險評估文檔的描述中正確的是()A)評估結(jié)果文檔包括描述資產(chǎn)識別和賦值的結(jié)果,形成重要資產(chǎn)列表B)描述評估結(jié)果中不可接受的風險制定風險處理計劃,選擇適當?shù)目刂颇繕思鞍踩胧?明確責任、進度、資源,并通過對殘余風險的評價以確定所選擇安全措施的有效性的《風險評估程序》C)在文檔分發(fā)過程中作廢文檔可以不用添加標識進行保留D)對于風險評估過程中形成的相關文檔行,還應規(guī)定其標識、儲存、保護、檢索、保存期限以及處置所需的控制[單選題]72.自助訪問控制（DAC）是應用很廣泛的訪問控制方法，常用于多種商業(yè)系統(tǒng)中，以下對DAC模型的理解中，存在錯誤的是（）A)在DAC模型中，資源的所有者可以規(guī)定誰有權訪問他們的資源B)DAC是一種對單個用戶執(zhí)行訪問控制的過程和措施C)DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性和可擴展性，可以抵御特洛伊木馬的攻擊D)在DAC中，具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體[單選題]73.北京京某公司利用SSE-CMM對其自身工程隊伍能力進行自我改善，其理解正確的是（）A)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了6個能力級別。當工程隊伍不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力是0級B)達到SSE-CMM最高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行的結(jié)果質(zhì)量必須相同C)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了3個風險過程：評價威脅，評價脆弱性，評價影響D)SSE-CMM強調(diào)系統(tǒng)安全工程與其他工程學科的區(qū)別性和獨立性。[單選題]74.89.社會工程學定位在計算機信息安全工作鏈的一個最脆弱的環(huán)節(jié)，即?人?這個環(huán)節(jié)上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司，其中一名自稱是CSO雜志做安全調(diào)查，半小時內(nèi)，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其他信息，包括：操作系統(tǒng)、服務包、殺毒軟件、電子郵件及瀏覽器。為對抗此類信息收集和分析，公司需要做的是（）A)通過信息安全培訓，使相關信息發(fā)布人員了解信息收集風險，發(fā)布信息采取最小化原則B)減少系統(tǒng)對外服務的端口數(shù)量，修改服務旗標C)關閉不必要的服務，部署防火墻、IDS等措施D)系統(tǒng)安全管理員使用漏洞掃描軟件對系統(tǒng)進行安全審計[單選題]75.拿到一個windows下的webshell，我想看一下主機的名字，如下命令做不到的是()A)hostnameB)systeminfoC)ipconfig/allD)set[單選題]76.以下哪一項不是信息系統(tǒng)集成項目的特點？A)信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點B)系統(tǒng)集成就是選擇最好的產(chǎn)品和技術，開發(fā)相應的軟件和硬件，將其集成到信息系統(tǒng)的過程C)信息系統(tǒng)集成項目的指導方法是?總體規(guī)劃、分步實施?D)信息系統(tǒng)集成包含技術，管理和商務等方面，是一項綜合性的系統(tǒng)工程[單選題]77.85.某銀行信息系統(tǒng)為了滿足業(yè)務發(fā)展的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A)信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標B)信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C)消除或降低該銀行信息系統(tǒng)面臨的所有安全風險D)該銀行整體安全策略[單選題]78.《信息安全保障技術框架》（InformationAssuranceTechnicalFramework，IATF）是由下面哪個國家發(fā)布的？A)中國B)美國C)俄羅斯D)歐盟[單選題]79.小王是某大學計算科學與技術專業(yè)的畢業(yè)生,大四上學期開始找工作,期望謀求一份技術管理的職位,一次面試中,某公司的技術經(jīng)理讓小王談一談信息安全風險管理中的?背景建立?的基本概念與認識,小王的主要觀點包括:(1)背景建立的目的是為了明確信息安全風險管理的范圍和對象,以及對象的特性和安全要求,完成信息安全風驗管理項目的規(guī)劃和準備;(2)背景建立根據(jù)組織機構相關的行業(yè)經(jīng)驗執(zhí)行,雄厚的經(jīng)驗有助于達到事半功倍的效果;(3)背景建立包括:風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析;(4)背景建立的階段性成果包括:風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的所述論點中錯誤的是哪項:A)第一個觀點.背景建立的目的只是為了明確信息安全風險管理的范圍和對象B)第二個觀點,背景建立的依據(jù)是國家、地區(qū)域行業(yè)的相關政策、法律、法規(guī)和標準C)第三個觀點,背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字D)第四個觀點,背景建立的階段性成果中不包括有風險管理計劃書[單選題]80.單點登錄系統(tǒng)主要的關切是什么?A)密碼一旦泄露,最大程度的非授權訪問將可能發(fā)生。B)將增加用戶的訪問權限。C)用戶的密碼太難記。D)安全管理員的工作量會增加。[單選題]81.為了應對日益嚴重的垃圾郵件問題，人們設計和應用了各種垃圾郵件過濾機制，以下哪一項是耗費計算資源最多的一種垃圾郵件過濾機制？A)SMTP身份認證B)逆向名字解析C)黑名單過濾D)內(nèi)容過濾[單選題]82.關于信息安全保障的概念,下面說法錯誤的是:A)信息系統(tǒng)面臨的風險和威脅是動態(tài)變化的,信息安全保障強調(diào)動態(tài)的安全理念B)信息安全保障已從單純保護和防御階段發(fā)展為集保護、檢測和響應為一體的綜合階段C)在全球互聯(lián)互通的網(wǎng)絡空間環(huán)境下,可單純依靠技術措施來保障信息安全D)信息安全保障把信息安全從技術擴展到管理,通過技術、管理和工程等措施的綜合融合,形成對信息、信息系統(tǒng)及業(yè)務使命的保障[單選題]83.以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分：（）A)監(jiān)理咨詢支撐要素B)控制和管理手段C)監(jiān)理咨詢階段過程D)監(jiān)理組織安全實施[單選題]84.2008年1月2日，美國發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡安全綜合計劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；第三道防線，強化未來安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A)CNCI是以風險為核心，三道防線首要的任務是降低其網(wǎng)絡所面臨的風險B)從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術徹底改變其糟糕的網(wǎng)絡安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡基礎上修修補補D)CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關鍵基礎設施視為信息安全保障重點，而是追求所有網(wǎng)絡和系統(tǒng)的全面安全保障[單選題]85.在軟件程序測試的哪個階段一個組織應該進行體系結(jié)構設計測試?A)可接受性測試B)系統(tǒng)測試C)集成測試D)單元測試[單選題]86.當建立一個業(yè)務持續(xù)性計劃時,使用下面哪一個工具用來理解組織業(yè)務流程?A)業(yè)務持續(xù)性自我評估B)資源的恢復分析C)風險評估和業(yè)務影響評估D)差異分析[單選題]87.關于信息安全策略文件以下說法不正確的是哪個?A)信息安全策略文件應由管理者批準、發(fā)布。B)信息安全策略文件并傳達給所有員工和外部相關方。C)信息安全策略文件必須打印成紙質(zhì)文件進行分發(fā)。D)信息安全策略文件應說明管理承諾,并提出組織的管理信息安全的方法。[單選題]88.下列哪一個安全公告來自于微軟（）A)CWE-22B)CVE-2018-3191C)MS17-010D)S2-057[單選題]89.EFS可以用在什么文件系統(tǒng)下（）A)FAT16B)FAT32C)NTFSD)以上都可以[單選題]90.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標之間配備多種（）。每一種機制都應包括（）兩種手段。A)安全機制；安全缺陷；保護和檢測B)安全缺陷；安全機制；保護和檢測C)安全缺陷；保護和檢測；安全機制D)安全缺陷；安全機制；外邊和內(nèi)部[單選題]91.在部署風險管理程序的時候,哪項應該最先考慮到:A)組織威脅,弱點和風險概括的理解B)揭露風險的理解和妥協(xié)的潛在后果C)基于潛在結(jié)果的風險管理優(yōu)先級的決心D)風險緩解戰(zhàn)略足夠在一個可以接受的水平上保持風險的結(jié)果[單選題]92.隨著即時通訊軟件的普及使用,即時通訊軟件也被惡意代碼利用進行傳播,以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式()A)利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B)利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URLC)利用即時通訊軟件發(fā)送指向惡意地址的二維碼D)利用即時通訊發(fā)送攜帶惡意代碼的txt文檔[單選題]93.什么是系統(tǒng)變更控制中最重要的內(nèi)容?A)所有的變更都必須文字化,并被批準B)變更應通過自動化工具來實施C)應維護系統(tǒng)的備份D)通過測試和批準來確保質(zhì)量[單選題]94.風險處理是依據(jù)（），選擇和實施合適的安全措施。風險處理的目的是為了將（）始終控制在可接愛的范圍內(nèi)。風險處理的方式主要有（）、（）、（）和（）四種方式。A)風險；風險評估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B)風險評估的結(jié)果；風險；降低；規(guī)避；轉(zhuǎn)移；接受C)風險評估；風險；降低；規(guī)避；轉(zhuǎn)移；接受D)風險；風險評估；降低；規(guī)避；轉(zhuǎn)移；接受答案：[單選題]95.第三方軟件提權不包括下列（）A)數(shù)據(jù)庫提權B)MYSQL提權C)linux提權D)搜狗輸入法提權[單選題]96.下面有關軟件安全問題的描述中，哪項不是由于軟件設計缺陷引起的（）A)設計了用戶權限分級機制和最小特權原則，導致軟件在發(fā)布運行后，系統(tǒng)管理員不能查看系統(tǒng)審計信息B)設計了采用不加鹽（SALT）的SHA-1算法對用戶口令進行加密存儲，導致軟件在發(fā)布運行后，不同的用戶如使用了相同的口令會得到相同的加密結(jié)果，從而可以假冒其他用戶登錄C)設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D)設計了采用自行設計的加密算法對網(wǎng)絡傳輸數(shù)據(jù)進行保護，導致軟件在發(fā)布運行后，被攻擊對手截獲網(wǎng)絡數(shù)據(jù)并破解后得到明文[單選題]97.下列哪一項不是信息安全漏洞的載體？A)網(wǎng)絡協(xié)議B)操作系統(tǒng)C)應用系統(tǒng)D)業(yè)務數(shù)據(jù)[單選題]98.根據(jù)BEII-lapadula模型安全策略，下圖中寫和讀操作正確的是A)可讀可寫B(tài))可讀不可寫C)可寫不可讀D)不可讀不可寫[單選題]99.以下哪個是ARP欺騙攻擊可能導致的后果？A)ARP欺騙可直接獲得目標主機的控制權B)ARP欺騙可導致目標主機的系統(tǒng)崩潰，藍屏重啟C)ARP欺騙可導致目標主機無法訪問網(wǎng)絡D)ARP欺騙可導致目標主機死機[單選題]100.在課堂上,四名同學分別對WEP\IEEB802.11i與WAPI三個安全協(xié)議在鑒別與加密方面哪一個做的更好做出了回答,請問哪一個同學回答的更準確()A)WEP更好,因為其使用開放式系統(tǒng)鑒別或共享密鑰鑒別B)IEE.802.11i更好,因為支持各種鑒別方式C)WAPI更好,因為采用公鑰數(shù)字證書作為身份憑證:無線用戶與無線接入點地位對等,實現(xiàn)無線接入點的接入控制;客戶端支持多證書,方便用戶多處使用D)都一樣[單選題]101.下面那一項不是風險評估的目的?A)分析組織的安全需求B)制訂安全策略和實施安防措施的依據(jù)C)組織實現(xiàn)信息安全的必要的、重要的步驟D)完全消除組織的風險[單選題]102.張三將微信個人頭像換成微信群中某好友頭像,并將昵稱改為該好友的昵稱,然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?（）A)口令攻擊B)暴力破解C)拒絕服務攻擊D)社會工程學攻擊[單選題]103.92.基于TCP的主機在進行一次TCP連接時簡要進行三次握手，請求通信的主機A要與另一臺主機B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接請示，B收到后，回復一個ACK/SYN確認請示給A主機，然后A再次回應ACK數(shù)據(jù)包，確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機，使目標主機發(fā)送的ACK/SYN包得不到確認。一般情況下，目標主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標主機時，目標主機上就會有大量的連接請示等待確認，當這些未釋放的連接請示數(shù)量超過目標主機的資源限制時。正常的連接請示就不能被目標主機接受，這種SYNFlood攻擊屬于（）A)拒絕服務攻擊B)分布式拒絕服務攻擊C)緩沖區(qū)溢出攻擊D)SQL注入攻擊[單選題]104.下列關于IS015408信息技術安全評估準則(簡稱CC)通用性的特點，即給出通用的表達方式，描述不正確的是A)如果用戶、開發(fā)者、評估者和認可者都使用CC語言，互相就容易理解溝通B)通用性的特點對規(guī)范實用方案的編寫和安全測試評估都具有重要意義C)通用性的特點是在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評定和評估結(jié)果國際互認的需要D)通用性的特點使得CC也適用于對信息安全建設工程實施的成熟度進行評估[單選題]105.43.TCP／IP協(xié)議是Internet構成的基礎，TCP／IP通常被認為是一個N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡服務來完成自己的功能，這里N應等于（）。A)4B)5C)6D)7[單選題]106.從內(nèi)存角度看,修復漏洞的安全補丁可以分為文件補丁和內(nèi)存補丁,關于文件補丁理解錯誤的是()A)文件補丁又稱為熱補丁B)安裝文件補丁時,應該停止運行原有軟件C)文件補丁的優(yōu)點是直接對待修補的文件進行修改,一步到位D)安裝文件補丁前應該經(jīng)過測試,確保能夠正常運行[單選題]107.406.我國標準《信息安全風險管理指南》(GB/Z24364)給出了信息安全風險管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應該填寫:A)風險計算B)風險評價C)預測D)風險處理[單選題]108.下列不屬于垃圾郵件過濾技術的是____。A)A軟件模擬技術B)B貝葉斯過濾技術C)C關鍵字過濾技術D)D黑名單技術[單選題]109.設計信息安全策略時,最重要的一點是所有的信息安全策略應該:A)非現(xiàn)場存儲B)由IS經(jīng)理簽署C)發(fā)布并傳播給用戶D)經(jīng)常更新[單選題]110.下圖顯示了SSAM的四個階段和每個階段工作內(nèi)容。與之對應,()的目的是建立評估框架,并為現(xiàn)場階段準備后勤方面的工作。()的目的是準備評估團隊進行現(xiàn)場活動,并通過問卷進行數(shù)據(jù)的初步收集和分析。()主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評組織的專業(yè)人員提供與數(shù)據(jù)采集和證實過程的機會,小組對在此就三個階段中采集到的所有數(shù)據(jù)進行()。并將調(diào)查結(jié)果呈送個發(fā)起者1A)現(xiàn)場階段;規(guī)劃階段;準備階段;最終分析B)準備階段;規(guī)劃階段;現(xiàn)場階段;最終分析C)規(guī)劃階段;現(xiàn)場階段;準備階段;最終分析D)規(guī)劃階段;準備階段;現(xiàn)場階段;最終分析[單選題]111.下面哪一項不是黑客攻擊在信息收集階段使用的工具或命令：A)NmapB)NslookupC)LCD)Xscan[單選題]112.進入21世紀以來,信息安全成為世界各國安全戰(zhàn)略關注的重點,紛紛制定并頒布網(wǎng)絡空間安全戰(zhàn)略,但各國歷史、國情和文化不同,網(wǎng)絡空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說法不正確的是:A)與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施是各國安全保障的重點B)美國尚未設立中央政府級的專門機構處理網(wǎng)絡信息安全問題,信息安全管理職能由不同政府部門的多個機構共同承擔C)各國普遍重視信息安全事件的應急響應和處理D)在網(wǎng)絡安全戰(zhàn)略中,各國均強調(diào)加強政府管理力度,充分利用社會資源,發(fā)揮政府與企業(yè)之間的合作關系[單選題]113.在入侵檢測(IDS)的運行中,最常見的問題是:()A)誤報檢測B)接收陷阱消息C)誤拒絕率D)拒絕服務攻擊[單選題]114.以下關于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說法錯誤的是？A)在傳送模式中，保護的是IP負載B)驗證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C)在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D)IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性[單選題]115.下面關于SSRF漏洞描述正確的是A)SSRF漏洞就是服務端請求偽造漏洞B)SSRF漏洞只存在于PHP語言中C)SSRF漏洞無法修復D)SSRF漏洞是針對瀏覽器的漏洞[單選題]116.某軟件開發(fā)團隊負責某新型火箭控制系統(tǒng)軟件的開發(fā)工作,該團隊成員均為8年以上開發(fā)經(jīng)驗的軟件開發(fā)工程師,并且數(shù)學功底深厚,在該火箭控制系統(tǒng)開發(fā)之前,團隊需要確定選擇該項目的開發(fā)模型,作為該團隊的項目經(jīng)理,你認為應該選擇哪一個模型最為合適A)瀑布模型B)凈空模型C)原型模型D)迭代模型[單選題]117.風險評估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A)脆弱性掃描工具B)滲透測試工具C)拓撲發(fā)現(xiàn)工具D)安全審計工具[單選題]118.美國系統(tǒng)工程專家霍爾(A.D.Hall)在1969年利用機構分析法提出著名的霍爾三維結(jié)構,使系統(tǒng)工程的工作階段和步驟更為清晰明了,如圖所示,霍爾三維結(jié)構是將系統(tǒng)工程整個活動過程分為前后緊密銜接的()階段和()步驟,同時還考慮了為完全這些階段和步驟所需要的各種()。這樣,就形成了由()、()、和知識維所組成的三維空間結(jié)構。8A)五個;七個;專業(yè)知識和技能;時間維;邏輯維B)七個;七個;專業(yè)知識和技能;時間維;邏輯維C)七個;六個;專業(yè)知識和技能;時間維;邏輯維D)七個;六個;專業(yè)知識和技能;時間維;空間維[單選題]119.PKI的主要理論基礎是().A)摘要算法B)對稱密碼算法C)量子密碼D)公鑰密碼算法[單選題]120.D.ES算法密鑰是64位，因為其中一些位是用作校驗的，密鑰的實際有效位是________位。A)、60B)、56C)、54D)、48[單選題]121.49.關于標準，下面哪項理解是錯誤的（）。A)標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認機構批準，共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B)國際標準是由國家標準組織通過并公開發(fā)布的標準。同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突時，應以國際標準條款為準C)行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術要求而制定的標準。同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準D)行業(yè)標準由省、自治區(qū)、直轄市標準化行政主管部門制定，并報國務院標準化行政主管部門和國務院有關行政主管部門備案，在公布國家標準之后，該地方標準即應廢止[單選題]122.428.即時通訊安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機構都應該認真考慮的問題,特別對于使用即時通訊進行工作交流和協(xié)作的組織機構。安全使用即時通訊應考慮許多措施,下列措施中錯誤的是()A)如果經(jīng)費許可,可以使用自建服務器的即時通訊系統(tǒng)B)在組織機構安全管理體系中制定相應安全要求,例如禁止在即時通訊中傳輸敏感及以上級別的文檔;建立管理流程及時將離職員工移除C)選擇在設計上已經(jīng)為商業(yè)應用提供安全防護的即時通訊軟件,例如提供傳輸安全性保護等即時通訊D)涉及重要操作包括轉(zhuǎn)賬無需方式確認[單選題]123.在一個業(yè)務繼續(xù)計劃的模擬演練中,發(fā)現(xiàn)報警系統(tǒng)嚴重受到設施破壞。下列選項中,哪個是可以提供的最佳建議:A)培訓救護組如何使用報警系統(tǒng)B)報警系統(tǒng)為備份提供恢復C)建立冗余的報警系統(tǒng)D)把報警系統(tǒng)存放地窖里[單選題]124.實體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于實體特征的鑒別方法是？A)將登錄口令設置為出生日期B)通過詢問和核對用戶的個人隱私信息來鑒別C)使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進行鑒別D)通過掃描和識別用戶的臉部信息來鑒別[單選題]125.程序設計和編碼的問題引入的風險為:A)"網(wǎng)絡釣魚"B)"緩沖區(qū)溢出"C)"SYN攻擊"D)暴力破解[單選題]126.關于信息安全體系，國際上有iso/iec27001：2013而我國發(fā)布了《信息技術安全技術信息安全管理體系要求》（GB/T22080）請問這兩個標準的關系是：（）A)IDT等同采用，僅有或有編輯性修改B)EQV等效采用，技術上只有很小差異C)NEQ非等效采用，D)兩者之間沒有關系，版本不同，不應直接比較[單選題]127.構成風險的關鍵因素有哪些A)資產(chǎn)，威脅和弱點B)人，財，物C)技術，管理和操作D)資產(chǎn)，可能性和嚴重性[單選題]128.隨著?互聯(lián)網(wǎng)?概念的普及，越來越多的新興住宅小區(qū)引入了?智能樓宇?的理念，某物業(yè)為提供高檔次的服務，防止網(wǎng)絡主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡服務的可用，穩(wěn)定、高效，計劃通過網(wǎng)絡冗余配置的是（）。A)接入互聯(lián)網(wǎng)時，同時采用不同電信運營商線路，相互備份且互不影響。B)核心層、匯聚層的設備和重要的接入層設備均應雙機設備。C)規(guī)劃網(wǎng)絡IP地址，制定網(wǎng)絡IP地址分配策略D)保證網(wǎng)絡帶寬和網(wǎng)絡設備的業(yè)務處理能力具務冗余空間，滿足業(yè)務高峰期和業(yè)務發(fā)展需求[單選題]129.關于信息安全應急響應管理過程描述不正確的是()。A)應急響應方法和過程并不是唯一的B)一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結(jié)6個階段,這6個階段的響應方法一定能確保事件處理的成功C)一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結(jié)6個階段D)基于應急響應工作的特點和事件的不規(guī)則性,事先制定出事件應急響應方法和過程,有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制,將損失和負面影響降至最低[單選題]130.當涉及到信息算計系統(tǒng)犯罪取證時,應與哪個部門取得聯(lián)系?A)監(jiān)管機構B)重要客戶C)供應商D)政府部門[單選題]131.Windows系統(tǒng)下，哪項不是有效進行共享安全的防護措施？A)使用netshare\\\c$/delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)B)確保所有的共享都有高強度的密碼防護C)禁止通過?空會話?連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表鍵值D)安裝軟件防火墻阻止外面對共享目錄的連接[單選題]132.下列角色誰應該承擔決定信息系統(tǒng)資源所需的保護級別的主要責任?A)信息系統(tǒng)安全專家B)業(yè)務主管C)安全主管D)系統(tǒng)審查員[單選題]133.下列內(nèi)容過濾技術中在我國沒有得到廣泛應用的是____。A)A內(nèi)容分級審查B)B關鍵字過濾技術C)C啟發(fā)式內(nèi)容過濾技術D)D機器學習技術[單選題]134.在window系統(tǒng)中用于顯示本機各網(wǎng)絡端口詳細情況的命令是:A)netshowB)netstatC)ipconfigD)Netview[單選題]135.430.以下哪些因素屬于信息安全特征?()A)系統(tǒng)和網(wǎng)絡的安全B)系統(tǒng)和動態(tài)的安全C)技術、管理、工程的安全D)系統(tǒng)的安全;動態(tài)的安全;無邊界的安全;非傳統(tǒng)的安全[單選題]136.如圖所示，主體S對客體01有讀（R）權限，對客體02有讀（R）、寫（）權限。該圖所示的訪問控制實現(xiàn)方法是A)訪問控制表（ACL）B)訪問控制矩陣C)能力表（CL）D)前綴表（Profiles）[單選題]137.美國的關鍵信息基礎設施（CriticalInformationInfrastructure，CII）包括商用核設施、政府設施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎設施信息安全，其主要原因不包括？A)這些行業(yè)都關系到國計民生，對經(jīng)濟運行和國家安全影響深遠B)這些行業(yè)都是信息化應用廣泛的領域C)這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D)這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失[單選題]138.2014年，互聯(lián)網(wǎng)上爆出近幾十萬12306網(wǎng)站的用戶信息，12306官方網(wǎng)站稱是通過________方式泄露的。A)拖庫;B)撞庫;C)木馬;D)信息明文存儲[單選題]139.哪個鍵唯一標識表組中的行A)本地鍵B)超鍵C)主鍵D)外鍵[單選題]140.下列不屬于WEB安全性測試的范疇的是A)客戶端內(nèi)容安全性B)日志功能C)服務端內(nèi)容安全性D)數(shù)據(jù)庫內(nèi)容安全性[單選題]141.你是單位的安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）A)由于本次發(fā)布的漏洞都屬于高危漏洞，為了避免安全風險，應對單位所有的服務器和客戶端盡快安裝補丁B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性的危害，所以可以先不做處理C)對于重要任務，應在測試環(huán)境中安裝并確認補丁兼容性問題后再正式生產(chǎn)環(huán)境中部署D)對于服務器等重要設備，立即使用系統(tǒng)更新功能安裝這些補丁，用戶終端計算機由于沒有重要數(shù)據(jù)，由終端自行升級[單選題]142.發(fā)現(xiàn)一臺被病毒感染的終端后,首先應:A)拔掉網(wǎng)線B)判斷病毒的性質(zhì)、采用的端口C)在網(wǎng)上搜尋病毒解決方法D)呼叫公司技術人員[單選題]143.67.恢復時間目標（RecoveryTimeObjective,RTO）和恢復點目標（RECOVERYPointObjective,RPO）是業(yè)務連續(xù)性和災難恢復工作中的兩個重要指標，隨著信息系統(tǒng)越來越重要和信息技術越來越先進，這兩個指標的數(shù)值越來越小。小華準備為其工作的信息系統(tǒng)擬定RTO和RPO指標，則以下描述中，正確的是（）A)RTO可以為0，RPO也可以為0B)RTO可以為0，RPO不可以為0C)RTO不可以為0，RPO可以為0D)RTO不可以為0，RPO也不可以為0[單選題]144.由于ICMP消息沒有目的端口和源端口，而只有消息類型代碼。通常過濾系統(tǒng)基于（）來過濾ICMP數(shù)據(jù)包。A)狀態(tài)B)消息類型C)IP地址D)端口[單選題]145.恢復時間目標(RecoveryTimeobjective，RT0)和恢復點目標(RecoveryPointobieetive，RPO)是業(yè)務連續(xù)性和災難恢復工作中的兩個重要指標，隨著信息系統(tǒng)越來越重要和信息技術越來越先進，這兩個指標的數(shù)值越來越小。小華準備為其工作的信息系統(tǒng)擬定RT0和RPO指標，則以下描述中，正確的是（）A)RT0可以為0，RPO也可以為0B)RT0可以為0，RP0不可以為0C)RT0不可以為0，RPO可以為0D)RT0不可以為0，RPO也不可以為0[單選題]146.主機A向主機B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對經(jīng)過互聯(lián)網(wǎng)的數(shù)據(jù)流量進行保護時,主機A和主機B的IP地址在應該在下列哪個范圍?A)~55B)~55C)~55D)不在上述范圍內(nèi)[單選題]147.下面對?零日(Zeroday)漏洞?的理解中,正確的是()A)指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠程攻擊獲取主機權限B)指一個特定的漏洞,特指在2010年被發(fā)現(xiàn)出來的一種漏洞,該漏洞被?震網(wǎng)?病毒所利用,用來攻擊基礎設施C)指一類漏洞,即特別好被利用,一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊,且成功達到攻擊目標D)指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來說那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公開、還不存在安全補丁的漏洞都是零日漏洞[單選題]148.下面關于DMZ區(qū)的說法錯誤的是____。A)A通常DMZ包含允許來自互聯(lián)網(wǎng)的通信可進入的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等B)B內(nèi)部網(wǎng)絡可以無限制地訪問外部網(wǎng)絡以及DMZC)CDMZ可以訪問內(nèi)部網(wǎng)絡D)D有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采用NAT方式工作，而內(nèi)部防火墻采用透明模式工作以減少內(nèi)部網(wǎng)絡結(jié)構的復雜程度[單選題]149.91.小李和小劉需要為公司新搭建的信息管理系統(tǒng)設計訪問控制方法，他們在討論中就應該采用自主訪問控制還是強制訪問控制產(chǎn)生了分歧。小本認為應該采用自主訪問控制的方法，他的觀點主要有；(1)自主訪問控制方式，可為用戶提供靈活、可調(diào)整的安全策略，合法用戶可以修改任一文件的存取控制信息；(2)自主訪問控制可以抵御木馬程序的攻擊。小劉認為應該采用強制訪問控制的方法，他的觀點主要有；(3)強制訪問控制中，只有文件的擁有者可以修改文件的安全屬性，因此安全性較高；(4)強制訪問控制能夠保護敏感信息。以上四個觀點中，只有一個觀點是正確的，它是().A)觀點(1)B)觀點(2)C)觀點(3)D)觀點(4)[單選題]150.業(yè)務系統(tǒng)運行中異常錯誤處理合理的方法是？A)讓系統(tǒng)自己處理異常B)調(diào)試方便，應該讓更多的錯誤更詳細的顯示出來C)捕獲錯誤，并拋出前臺顯示D)捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息[單選題]151.災備指標是指信息安全系統(tǒng)的容災抗毀能力,主要包括四個具體指標:恢復時間目標(RecoveryTimeOhjective,RTO).恢復點目標(RecoveryPointObjective,RPO)降級操作目標(DegradedOperationsObjective-DOO)和網(wǎng)絡恢復目標(NeLworkRecoveryObjective-NRO),小華準備為其工作的信息系統(tǒng)擬定恢復點目標RPO-O,以下描述中,正確的是()。A)RPO-O,相當于沒有任何數(shù)據(jù)丟失,但需要進行業(yè)務恢復處理,覆蓋原有信息B)RPO-O,相當于所有數(shù)據(jù)全部丟失,需要進行業(yè)務恢復處理。修復數(shù)據(jù)丟失C)RPO-O,相當于部分數(shù)據(jù)丟失,需要進行業(yè)務恢復處理,修復數(shù)據(jù)丟失D)RPO-O,相當于沒有任何數(shù)據(jù)丟失,且不需要進行業(yè)務恢復處理[單選題]152.444.以下關于Windows操作系統(tǒng)身份標識與鑒別，說法不正確的是（）A)本地安全授權機構（LSA）生成用戶帳戶在該系統(tǒng)內(nèi)唯一的安全標識符（SID）B)用戶對鑒別信息的操作，如更改密碼等都通過一個以Administrator權限運行的服務?SecurityAccountsManager?來實現(xiàn)C)Windows操作系統(tǒng)遠程登錄經(jīng)歷了SMB鑒別機制、LM鑒別機制、Kerberos鑒別體系等階段D)完整的安全標識符（SID）包括用戶和組的安全描述，48比特的身份特權、修訂版本和可變的驗證值[單選題]153.63.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項（）A)信息安全方針、信息安全組織、資產(chǎn)管理B)人力資源安全、物力和環(huán)境安全、通信和操作管理C)訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D)規(guī)劃與建立ISMS[單選題]154.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復出明文。以下說法正確的是A)此密碼體制為對稱密碼體制B)此密碼體制為私鑰密碼體制C)此密碼體制為單鑰密碼體制D)此密碼體制為公鑰密碼體制[單選題]155.401.以下哪一項不屬于Web應用軟件表示層測試關注的范疇()A)排版結(jié)構的測試B)數(shù)據(jù)完整性測試C)客戶端兼容性的測試D)鏈接結(jié)構的測試[單選題]156.45.數(shù)據(jù)鏈路層負責監(jiān)督相鄰網(wǎng)絡節(jié)點的信息流動，用檢錯或糾錯技術來確保正確的傳輸，確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A)報文B)比特流C)幀D)包[單選題]157.在window系統(tǒng)中用于顯示本機各網(wǎng)絡端口詳細情況的命令是.（）A)NetshowB)netstatC)ipconfigD)netview[單選題]158.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)？A)防護B)檢測C)反應D)策略[單選題]159.微軟提出了STRIDE模型,其中Repudation(抵賴)的縮寫,關于此項安全要求,下面描述錯誤的是()A)某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后,卻聲稱?我沒有下載過數(shù)據(jù)?,軟件系統(tǒng)中的這種威脅就屬于R威脅B)解決R威脅,可以選擇使用抗抵賴性服務技術來解決,如強認證、數(shù)字簽名、安全審計等技術措施C)R威脅是STRIDE六種威脅中第三嚴重的威脅,比D威脅和E威脅的嚴重程度更高D)解決R威脅,也應按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行[單選題]160.從系統(tǒng)工程的角度來處理信息安全問題,以下說法錯誤的是:A)系統(tǒng)安全工程旨在了解企業(yè)存在的安全風險,建立一組平衡的安全需求,融合各種工程學科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。B)系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋,證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求,或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法,是一種使用面向開發(fā)的方法。D)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上,通過對安全工作過程進行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進學科。[單選題]161.SQLSever中可以使用哪個存儲過程調(diào)用操作系統(tǒng)命令，添加系統(tǒng)賬號？（）？A)xp_dirtreeB)xp_xshellC)xp_cmdshellD)xpdeletekey[單選題]162.恢復階段的行動一般包括A)建立臨時業(yè)務處理能力B)修復原系統(tǒng)損害C)在原系統(tǒng)或新設施中恢復運行業(yè)務能力D)避免造成更大損失[單選題]163.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對人們生產(chǎn)生活造成了嚴重影響，DDos攻擊的主要目的是破壞系統(tǒng)的（）A)保密性B)可用性C)不可否認性D)抗抵賴性[單選題]164.Windo