網(wǎng)絡(luò)信息安全評估與處置職業(yè)技能競賽備賽考試題庫（匯總）

PAGEPAGE1網(wǎng)絡(luò)信息安全評估與處置職業(yè)技能競賽備賽考試題庫（匯總）一、單選題1.FTP使用哪個TCP端口？A、．21B、23C、110D、53答案：A2.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運營B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項目一個重要任務(wù)就是識別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時修訂連續(xù)性計劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入答案：D3.以下那個鑒別方法具有最高的準(zhǔn)確率，從而可以代替電子銀行中所使用的個人標(biāo)識號（PIN）？A、．虹膜檢測B、．聲音檢測C、．掌紋檢測D、．指紋檢測答案：A4.以下對信息安全管理體系說法不正確的是：A、．基于國際標(biāo)準(zhǔn)ISO/IEC27000B、D．基于國際標(biāo)準(zhǔn)ISO/IEC、B．它是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法D、C．它是管理體系家族的一個成員答案：A5.在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？A、標(biāo)準(zhǔn)（StanB、DarC、D）D、安全策略（SeE、Curitypoli答案：A6.以下哪一種非對稱加密算法的速度最快？A、RSAB、ECCC、BlowfishD、IDEA答案：B7.抵御電子郵箱入侵措施中,不正確的是A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務(wù)器答案：D8.下列幾個OSI層中，哪一層能夠提供訪問控制服務(wù)？A、．傳輸層?B、．表示層C、．會話層D、．?dāng)?shù)據(jù)鏈路層答案：A9.常見密碼系統(tǒng)包含的元素是：A、明文、密文、信道、加密算法、解密算法B、明文，摘要，信道，加密算法,解密算法C、明文、密文、密鑰、加密算法、解密算法D、消息、密文、信道、加密算法、解密算法答案：C10.安全審計是對系統(tǒng)活動和記錄的獨立檢查和驗證，以下哪一項不是審計系統(tǒng)的A、輔助辨識和分析未經(jīng)授權(quán)的活動或攻擊B、對與己建立的安全策略的一致性進行核查C、及時阻斷違反安全策略的訪問D、幫助發(fā)現(xiàn)需要改進的安全控制措施答案：C11.數(shù)據(jù)庫管理系統(tǒng)類型有哪些A、繼承型數(shù)據(jù)庫、非繼承型數(shù)據(jù)庫B、關(guān)系型數(shù)據(jù)庫、非關(guān)系型數(shù)據(jù)庫C、關(guān)閉型數(shù)據(jù)庫、開放型數(shù)據(jù)庫D、以上都不是答案：B12.信息安全保障的最終目標(biāo)是：A、掌控系統(tǒng)的風(fēng)險，制定正確的策略B、確保系統(tǒng)的保密性、完整性和可用性C、是系統(tǒng)的技術(shù)、管理、工程過程和人員等安全保障質(zhì)量達到要求D、保障信息系統(tǒng)實現(xiàn)組織機構(gòu)的使命答案：D13.有關(guān)人員安全的描述不正確的是A、人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)B、重要或敏感崗位的人員入職之前，需要做好人員的背景檢查C、企業(yè)人員預(yù)算受限的情況下，職責(zé)分離難以實施，企業(yè)對此無能為力，也無需做任何工作D、人員離職之后，必須清除離職員工所有的邏輯訪問帳號答案：C14.IPSEC中的ESP機制最主要的作用是什么？A、．確認(rèn)信息包的來源B、．進行完整性驗證C、．提供機密性服務(wù)D、．抗重放攻擊答案：C15.SSE-CMM中第4級的名稱是什么？A、．充分定義級B、．計劃和跟蹤級C、．連續(xù)改進級D、．量化控制級答案：D16.下面哪個不是ISO27000系列包含的標(biāo)準(zhǔn)？A、《信息安全管理體系要求》B、《信息安全風(fēng)險管理》C、《信息安全度量》D、《信息安全評估規(guī)范》答案：D17.下列信息安全的認(rèn)識不正確的是：A、安全是會隨時間的推移而變化B、世上沒有100％的安全C、合理的投資加可識別的風(fēng)險即為安全D、安全是相對的,不安全是絕對的答案：C18.以下備份方式中，（）會備份系統(tǒng)中所有的數(shù)據(jù)A、全備份B、增量備份C、差分備份D、按需備份答案：A19.()是注入后根據(jù)頁面返回時間來得到數(shù)據(jù)庫信息的一種辦法A、聯(lián)合查詢B、基于錯誤的注入C、基于布爾的盲注D、基于時間的盲注答案：D20.輸入?yún)?shù)過濾可以預(yù)防以下哪些攻擊A、SQL注入、跨站腳本、緩沖區(qū)溢出B、SQL注入、跨站腳本、C、DNS毒藥D、SQL注入、跨站請求偽造、網(wǎng)絡(luò)竊聽E、跨站請求偽造、跨站腳本、答案：A21.下列關(guān)于計算機病毒感染能力的說法不正確的是A、能將自身代碼注入到引導(dǎo)區(qū)B、能講自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本中并執(zhí)行D、能將自身文件注入到文檔配置版的宏文件中答案：C22.靜態(tài)包過濾技術(shù)是防火墻早期采用的技術(shù)，請指出下列哪一項不屬于把過濾技術(shù)的操作對象？A、IP頭B、TCP頭C、ICMP報文D、http頭答案：D23.以下哪一項不是IDS可以解決的問題:A、彌補網(wǎng)絡(luò)協(xié)議的弱點B、識別和報告對數(shù)據(jù)文件的改動C、統(tǒng)計分析系統(tǒng)ongoing異常活動模式D、提升系統(tǒng)監(jiān)控能力答案：A24.下面一行是某個UNIX文件的詳情，關(guān)于該文件權(quán)限的描述不正確的是‘drwxr—xrwx2groupuser409605—0509：14fileA、這是一個目錄,名稱是‘file’B、文件屬組是groupC、“其他人”對該文件具有讀、寫、執(zhí)行權(quán)限D(zhuǎn)、user的成員對此文件沒有寫權(quán)限答案：B25.以下關(guān)于事故的征兆和預(yù)兆說法不正確的是A、預(yù)兆是事故可能在將來出現(xiàn)的標(biāo)志B、征兆是事故可能己經(jīng)發(fā)生或正在發(fā)生的標(biāo)志C、預(yù)兆和征兆的來源包括網(wǎng)絡(luò)和主機ID、S、防病毒軟件、系統(tǒng)和網(wǎng)絡(luò)日志E、所有事故的預(yù)兆和征兆都是可以發(fā)現(xiàn)的答案：D26.下面對能力成熟度模型解釋最準(zhǔn)確的是：A、它認(rèn)為組織的能力依賴于嚴(yán)格定義、管理完善、可測可控的有效業(yè)務(wù)過程B、它通過嚴(yán)格考察工程成果來判斷工程能力C、它與統(tǒng)計過程控制理論的出發(fā)點不同，所以應(yīng)用于不同領(lǐng)域D、它是隨著信息安全的發(fā)展而誕生的重要概念答案：A27.系統(tǒng)安全工程不包含以下哪個過程類:A、．工程過程類B、．組織過程類C、．管理過程類D、．項目過程類答案：C28.以下幾種VPN技術(shù)使用數(shù)據(jù)加密技術(shù)的是哪一個？A、MPLSVPNB、SSLVPNC、L2TPVPND、GREVPN答案：B29.我國信息系統(tǒng)安全等級保護工作環(huán)節(jié)依次是：A、定級-檢查-建設(shè)整改-等級測評-備案B、等級測評-建設(shè)整改-監(jiān)督檢查C、定級-備案-建設(shè)整改-等級測評-監(jiān)督檢查D、定級-等級測評-備案-建設(shè)整改-監(jiān)督檢查答案：C30.在C/S環(huán)境中，以下哪個是建立一個完整TCP連接的正確順序？A、．SYN，SYN/AB、CK，AC、KD、B．PassiveOpen，AE、CtiveOpen，A答案：D31.以下哪種安全機制不能用于實現(xiàn)“機密性服務(wù)”？A、．加密B、．訪問控制？？C、．通信填充D、．路由控制答案：B32.信息安全工程監(jiān)理的作用不包括下面哪一項?A、彌補建設(shè)單位在技術(shù)與管理上的經(jīng)驗不足B、幫助承建單位攻克技術(shù)難點，順利實施項目C、改善建設(shè)單位與承建單位之間的交流溝通D、通過監(jiān)理控制積極促進項目保質(zhì)按期完成答案：B33.下面關(guān)于PGP和PEM說法不對的是？A、．它們都能加密消息B、．它們都能簽名C、．它們用法一樣D、．都基于公鑰技術(shù)答案：C34.管理者何時可以根據(jù)風(fēng)險分析結(jié)果對已識別風(fēng)險不采取措施A、．當(dāng)必須的安全對策的成本高出實際風(fēng)險的可能造成的譴責(zé)負(fù)面影響時B、．當(dāng)風(fēng)險減輕方法提高業(yè)務(wù)生產(chǎn)力時C、．當(dāng)引起風(fēng)險發(fā)生的情況不在部門控制范圍之內(nèi)時D、．不可接受答案：A35.作為一個組織中的信息系統(tǒng)普通用戶，以下那一項是不應(yīng)該了解的？A、誰負(fù)責(zé)信息安全管理制度的制定和發(fā)布B、誰負(fù)責(zé)監(jiān)督安全制度的執(zhí)行C、信息系統(tǒng)發(fā)生災(zāi)難后,進行恢復(fù)工作的具體流程D、如果違反了安全制度可能會受到懲罰措施答案：C36.在下面的NT/2K安全模型的空白處，應(yīng)該是哪個安全組件？A、．LONGON過程（LP）B、．安全帳號管理(SAM)C、．安全參考監(jiān)控器（SRM）D、．本地安全授權(quán)（LSA）答案：B37.對信息安全的理解，正確的是A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的B、通過信息安全保障措施，確保信息不被丟失C、通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財務(wù)信息的完整性D、通過技術(shù)保障措施，確保信息系統(tǒng)及財務(wù)數(shù)據(jù)的完整性、機密性及可用性答案：A38.為了防止授權(quán)用戶不會對數(shù)據(jù)進行未經(jīng)授權(quán)的修改，需要實施對數(shù)據(jù)的完整性保護，下列哪一項最好地描述了星或(﹡-）完整性原則A、B、ell-LaPaC、Dula模型中的不允許向下寫D、B.E、Bell-LaPa答案：C39.SYNFlood攻擊是利用()協(xié)議缺陷進行攻擊A、網(wǎng)絡(luò)接口層B、互聯(lián)網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層答案：C40.Wireshark排除ARP包的過濾規(guī)則為A、!!arpB、!arpC、!=arpD、noarp答案：B41.公司有一臺WindowsServer2003服務(wù)器被入侵，管理員想調(diào)取windows日志分析，他需要查找的文件是A、\%SystemRoot%\System32\B、Config\*.evtC、\%SystemRoot%\System32\winevt\Logs\*.evtxD、C.E、C:\Users\a答案：A42.在使用SQLMAP對目標(biāo)網(wǎng)址進行測試時，如果已經(jīng)知道數(shù)據(jù)庫類型為Oracle，則可用下列哪個參數(shù)來加快測試進度A、=--wizarB、D=oraC、leD、B.--E、Data答案：C43.主要用于加密機制的協(xié)議是A、HTTPB、FTPC、TELNETD、SSL答案：D44.有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是A、認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）B、根據(jù)對象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C、認(rèn)可是由某權(quán)威機構(gòu)依據(jù)程序?qū)δ硤F體或個人具有從事特定任務(wù)的能力給予的正式承認(rèn)D、企業(yè)通過ISO27001認(rèn)證則說明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求答案：D45.信息安全管理措施不包括：A、安全策略B、物理和環(huán)境安全C、訪問控制D、安全范圍答案：D46.應(yīng)對信息安全風(fēng)險的主要目標(biāo)是什么?A、消除可能會影響公司的每一種威脅B、管理風(fēng)險，以使由風(fēng)險產(chǎn)生的問題降至最低限度C、盡量多實施安全措施以消除資產(chǎn)暴露在其下的每一種風(fēng)險D、盡量忽略風(fēng)險，不使成本過高答案：B47.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)對應(yīng)OSI模型的哪幾層？A、．上三層B、．只對應(yīng)網(wǎng)絡(luò)層C、．下3層D、．只對應(yīng)物理層答案：C48.橋接或透明模式是目前比較流行的防火墻部署方式,這種方式？A、不需要對原有的網(wǎng)絡(luò)配置進行修改B、性能比較高C、防火墻本身不容易受到攻擊D、易于在防火墻上實現(xiàn)NAT答案：A49.以下哪一項不是IDS可以解決的問題：A、彌補網(wǎng)絡(luò)協(xié)議的弱點B、識別和報告對數(shù)據(jù)文件的改動C、統(tǒng)計分析系統(tǒng)中異常活動模式D、提升系統(tǒng)監(jiān)控能答案：A50.安全隔離網(wǎng)閘與防火墻相比，需要采取更強的安全隔離技術(shù)，請指出下列哪一項技術(shù)不會在安全隔離網(wǎng)閘中使用A、專用的安全通信協(xié)議B、專用的硬件通信通道C、應(yīng)用層的數(shù)據(jù)交換D、支持?jǐn)?shù)據(jù)包路由答案：D51.在人力資源審計期間，安全管理體系內(nèi)審員被告知在ITA、為兩部門起草一份服務(wù)水平協(xié)議B、向高級管理層報告存在未被書面簽訂的協(xié)議C、向兩部門確認(rèn)協(xié)議的內(nèi)容D、推遲審計直到協(xié)議成為書面文檔答案：C52.以下哪一種身份驗證機制為移動用戶帶來驗證問題？A、可重復(fù)使用的密碼機制B、一次性口令機制。C、挑戰(zhàn)響應(yīng)機制。D、基于IP地址的機制答案：D53.下面哪一個情景屬于身份鑒別（Authentication）過程A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫的一份OffiC、e文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改D、用戶使用加密軟件對自己編寫的OffiE、Ce文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容答案：A54.在缺省安裝數(shù)據(jù)庫管理系統(tǒng)MySQL后，root用戶擁有所有權(quán)限且是空口令，為了安全起見，必須為root用戶設(shè)置口令，以下口令設(shè)置方法中，不正確的是A、使用MySQL自帶的命令mysqladmin設(shè)置root口令B、使用setpassword設(shè)置口令C、wuD、登錄數(shù)據(jù)庫,修改數(shù)據(jù)庫mysql下user表的字段內(nèi)容設(shè)置口令答案：D55.Windownt/2k中的.pwl文件是？A、．路徑文件B、．口令文件C、．打印文件D、．列表文件答案：B56.從分析方式上入侵檢測技術(shù)可以分為：A、．基于標(biāo)志檢測技術(shù)、基于狀態(tài)檢測技術(shù)B、．基于異常檢測技術(shù)、基于流量檢測技術(shù)C、．基于誤用檢測技術(shù)、基于異常檢測技術(shù)D、．基于標(biāo)志檢測技術(shù)、基于誤用檢測技術(shù)答案：C57.在NT中，怎樣使用注冊表編輯器來嚴(yán)格限制對注冊表的訪問？A、．HKEY_B、CURRENT_C、ONFIG，連接網(wǎng)絡(luò)注冊、登陸密碼、插入用戶ID、E、B．HKEY_LO答案：C58.下列哪項不是Kerberos密鑰分發(fā)服務(wù)（KDS）的一部分？A、KerB、eros票證授予服務(wù)器（TGS）。C、B.KerD、Beros身份驗證服務(wù)器（KAS）。E、存放用戶名和密碼的數(shù)據(jù)庫。答案：D59.下列哪項是多級安全策略的必要組成部分？A、主體、客體的敏感標(biāo)簽和自主訪問控制。B、客體敏感標(biāo)簽和強制訪問控制。C、主體的安全憑證、客體的安全標(biāo)簽和強制訪問控制。D、主體、客體的敏感標(biāo)簽和對其“系統(tǒng)高安全模式”的評價答案：C60.以下哪個是數(shù)據(jù)庫管理員（DBA）可以行使的職責(zé)？A、．系統(tǒng)容量規(guī)劃B、．計算機的操作C、．應(yīng)用程序開發(fā)D、．應(yīng)用程序維護答案：A61.下列哪種處置方法屬于轉(zhuǎn)移風(fēng)險？A、部署綜合安全審計系統(tǒng)B、對網(wǎng)絡(luò)行為進行實時監(jiān)控C、制訂完善的制度體系D、聘用第三方專業(yè)公司提供維護外包服務(wù)答案：D62.以下哪一種人給公司帶來最大的安全風(fēng)險？A、臨時工B、咨詢?nèi)藛TC、以前員工D、當(dāng)前員工答案：D63.以下哪個標(biāo)準(zhǔn)描述了典型的安全服務(wù)和OSI模型中7層的對應(yīng)關(guān)系？A、．ISO/IEB、C7498-2C、B．BS7799D、C．通用評估準(zhǔn)則答案：A64.、系統(tǒng)工程霍爾三維結(jié)構(gòu)模型從時間維、邏輯維、A、三個坐標(biāo)對系統(tǒng)工程進行程序化A、階段維B、進程維C、知識維D、工作步驟維答案：C65.某機構(gòu)通過一張網(wǎng)絡(luò)拓?fù)鋱D為甲方編寫了信息安全規(guī)劃并實施，其后發(fā)現(xiàn)實施后出現(xiàn)諸多安全隱患并影響業(yè)務(wù)運行效率，其根本的原因是A、設(shè)計方技術(shù)能力不夠B、沒有參照國家相關(guān)要求建立規(guī)劃設(shè)計C、沒有和用戶共同確立安全需求D、沒有成熟實施團隊和實施計劃答案：C66.在自主訪問環(huán)境中，以下哪個實體可以將信息訪問權(quán)授予給其他人？A、經(jīng)理B、集團負(fù)責(zé)人C、安全經(jīng)理D、數(shù)據(jù)所有者答案：D67.國際標(biāo)準(zhǔn)化組織ISO下屬208個技術(shù)委員會（TCs），531個分技術(shù)委員會（SCs),2378個工作組(WGs）,其中負(fù)責(zé)信息安全技術(shù)標(biāo)準(zhǔn)化的組織是：A、ISO/IEB、CC、B.ISO/IED、CJTE、C1答案：C68.PDR模型和P2DR模型采用了動態(tài)循環(huán)的機制實現(xiàn)系統(tǒng)保護、檢測和響應(yīng)。這種模型的特點理解錯誤的是：A、模型已入了動態(tài)時間基線，符合信息安全發(fā)展理念B、模型強調(diào)持續(xù)的保護和響應(yīng)，符合相對安全理念C、模型是基于人為的管理和控制而運行的D、模型引入了多層防御機制，符合安全的“木桶原理”答案：C69.以下對蠕蟲病毒的描述錯誤的是:A、蠕蟲的傳播無需用戶操作B、蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)寬帶，導(dǎo)致C、DOSD、蠕蟲的傳播需要通過“宿主”程序或文件E、蠕蟲程序一般由“傳播模塊、“隱藏模塊”和變異模塊“答案：C70.下列哪項不屬于常見的XSS攻擊手段和目的A、盜用B、Cookie，獲取敏感信息C、利用可被攻擊的域受到其他域信任的特點，以受信任來源身份請求一些平時不允許的操作D、利用iframe以用戶的身份執(zhí)行一些管理動作E、注入payloa答案：D71.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpB、D.C、onfD、B.srm.E、Conf答案：A72.攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？A、緩沖區(qū)溢出B、SQL注入C、設(shè)計錯誤D、跨站腳本答案：D73.內(nèi)部審計師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計師應(yīng)當(dāng)?shù)贸鲆韵履捻椊Y(jié)論：A、這種缺乏了解會導(dǎo)致不經(jīng)意地泄露敏感信息B、信息安全不是對所有職能都是關(guān)鍵的C、IS審計應(yīng)當(dāng)為那些雇員提供培訓(xùn)D、該審計發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對員工進行繼續(xù)教育答案：A74.從目前的情況看，對所有的計算機系統(tǒng)來說，以下哪種威脅是最為嚴(yán)重的，可能造成巨大的損害？A、沒有充分訓(xùn)練或粗心的用戶B、第三方C、黑客D、心懷不滿的雇員答案：D75.公鑰基礎(chǔ)設(shè)施中不包括以下哪一項？A、B、CRLC、B、RAD、C、IKEE、D、答案：C76.下面哪一項不屬于集中訪問控制管理技術(shù)？A、RADIUSB、TEMPESTC、TACA答案：B77.在提供給一個外部代理商訪問信息處理設(shè)施前，一個組織應(yīng)該怎么做？A、外部代理商的處理應(yīng)該接受一個來自獨立代理進行的IS審計。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來自外部代理商的任何訪問必須限制在?；饏^(qū)（D、MZ）E、該組織應(yīng)該進行風(fēng)險評估，并制定和實施適當(dāng)?shù)目刂啤４鸢福篋78.組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：A、推薦并監(jiān)督數(shù)據(jù)安全策略B、在組織內(nèi)推廣安全意識C、制定IT安全策略下的安全程序/流程D、管理物理和邏輯訪問控制答案：A79.以下哪個是局域網(wǎng)中常見的被動威脅？A、．拒絕式服務(wù)攻擊B、．IP欺騙C、．嗅探D、．消息服務(wù)的修改答案：C80.SSE—CMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域？A、評估威脅、評估脆弱性、評估影響B(tài)、評估威脅、評估脆弱行、評估安全風(fēng)險C、評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險D、評估威脅、評估脆弱性、評估影響、驗證和證實安全答案：C81.在ISO的OSI模型中，為應(yīng)用層送來的命令和數(shù)據(jù)進行解釋說明的是那個層次？A、表示層B、會話層C、傳輸層D、網(wǎng)絡(luò)層答案：A82.以下哪種措施既可以起到保護的作用還能起到恢復(fù)的作用？A、．對參觀者進行登記B、．備份C、．實施業(yè)務(wù)持續(xù)性計劃（包括備份？）D、．口令答案：C83.在IT項目管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對數(shù)據(jù)的正確處理，以下哪一項不是對數(shù)據(jù)輸入進行校驗可以實現(xiàn)的安全目標(biāo):A、防止出現(xiàn)數(shù)據(jù)范圍以外的值B、防止出現(xiàn)錯誤的數(shù)據(jù)處理順序C、防止緩沖區(qū)溢出攻擊D、防止代碼注入攻擊答案：B84.SSL提供那些協(xié)議上的數(shù)據(jù)安全：A、HTTP，F(xiàn)TP和TB、CP/IPC、SKIP，SNMP和IPD、C、UE、DP，VPN和SONET答案：A85.以下關(guān)于軟件安全測試說法正確的是？A、軟件安全測試就是黑盒測試。B、Fuzz測試是經(jīng)常采用的安全測試方法之一。C、軟件安全測試關(guān)注的是軟件的功能。D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題。答案：B86.以下列出了mac和散列函數(shù)的相似性,哪一項說法是錯誤的？A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長度的，而散列函數(shù)的輸出值是固定長度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對稱加密算法答案：C87.下面對于標(biāo)識和鑒別的解釋最準(zhǔn)確的是：A、標(biāo)識用于區(qū)別不同的用戶，而鑒別用于驗證用戶身份的真實性B、標(biāo)識用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限C、標(biāo)識用于保證用戶信息的完整性，而鑒別用于驗證用戶身份的真實性D、標(biāo)識用于保證用戶信息的完整性，而鑒別用于賦予用戶權(quán)限答案：A88.下列哪一種密鑰生命周期最短A、公鑰B、私鑰C、會話密鑰D、秘密密鑰答案：C89.以下對RADIUS協(xié)議說法正確的是：A、它是一種B/S結(jié)構(gòu)的協(xié)議B、它是一項通用的認(rèn)證計費協(xié)議C、它使用TCP通信D、它的基本組件包括認(rèn)證、授權(quán)和加密答案：B90.Windows系統(tǒng)下，哪項不是有效進行共享安全的防護措施A、使用netshare\\\B、C$/C、Delete命令，刪除系統(tǒng)中的D、C$等管理共享，并重啟系統(tǒng)E、確保所有的共享都有高強度的密碼防護答案：A91.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？A、B、DSSC、B.D、iffie—HellmanE、C.RSA答案：C92.下面對于強制訪問控制的說法錯誤的是？A、它可以用來實現(xiàn)完整性保護，也可以用來實現(xiàn)機密性保護B、在強制訪問控制的系統(tǒng)中，用戶只能定義客體的安全屬性C、它在軍方和政府等安全要求很高的地方應(yīng)用較多D、它的缺點是使用中的便利性比較低答案：B93.以下哪一項是常見Web站點脆弱性掃描工具：A、SnifferB、NmapC、AppsD、CanE、D.L答案：C94.組織機構(gòu)應(yīng)根據(jù)事故類型建立揭制策略，需要考慮以下幾個因素，除了：A、實施策略需要的時間和資源B、攻擊者的動機C、服務(wù)可用性D、證據(jù)保留的時間答案：D95.制定數(shù)據(jù)備份方案時，需要考慮的兩個因素為適合的備份時間和A、備份介質(zhì)B、備份的存儲位置C、備份數(shù)據(jù)量D、恢復(fù)數(shù)據(jù)的最大允許時間答案：D96.下列哪種技術(shù)不是惡意代碼的生存技術(shù)？A、反跟蹤技術(shù)B、加密技術(shù)C、模糊變換技術(shù)D、自動解壓縮技術(shù)答案：D97.下面哪一項組成了CIA三元組？A、保密性，完整性，保障B、保密性，完整性，可用性C、保密性，綜合性，保障D、保密性，綜合性，可用性答案：B98.依據(jù)GB/T24364-2009《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范》，應(yīng)急響應(yīng)方法論的響應(yīng)過程的第二步是A、準(zhǔn)備B、確認(rèn)C、遏制D、根除答案：B99.WindowsNT中，存放注冊日志和regedit.exe命令的文件夾是哪里？A、．\%Systemroot%\system32B、．\%Systemroot%\systemC、．\%Systemroot%\system32\D、ConfigE、D．\%Systemroot%答案：D100.簡單包過濾防火墻主要工作在A、鏈路層/網(wǎng)絡(luò)層B、網(wǎng)絡(luò)層/傳輸層C、應(yīng)用層D、會話層答案：B101.用來為網(wǎng)絡(luò)中的主機自動分配IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、WINS服務(wù)器地址的網(wǎng)絡(luò)協(xié)議是？A、RPB、IGMPC、ICMPD、HCP答案：D102.DNS查詢（queries）工具中的DNS服務(wù)使用哪個端口？A、．UB、DP53C、B.TD、CP23E、C.U答案：A103.小明在分析一個數(shù)據(jù)包的時候，想要過濾get或post數(shù)據(jù)包，下面哪個命令正確A、http.request.methoB、D==GETorhttp.request.metho|D==POST|B.http.request.metho|D==GETan|Dhttp.request.metho|D==POST|C.http.request.metho|D==GET|D.http.request.metho|D==POSTC、D==POST|B.http.request.metho|D==GETan|Dhttp.request.metho|D==POST|C.http.request.metho|D==GET|D.http.request.metho|D==POSTD、B.http.request.methoE、D==GETan|Dhttp.request.metho|D==POST|C.http.request.metho|D==GET|D.http.request.metho|D==POST答案：A104.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準(zhǔn)確的是A、信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全B、通過技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心C、是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動D、是主觀和客觀綜合評估的結(jié)果答案：B105.按照SSE-CMM,能力級別第三級是指：A、定量控制B、計劃和跟蹤C、持續(xù)改進D、充分定義答案：D106.以下哪一項不是《GB/T20274信息安全保障評估框架》給出的信息安全保障模型具備的特點A、強調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)性，即強調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個信息系統(tǒng)生命周期的全過程B、強調(diào)信息系統(tǒng)安全保障的概念，通過綜合技術(shù)、管理、工程和人員的安全保障要求來實施和實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)C、以安全概念和關(guān)系為基礎(chǔ)，將安全威脅和風(fēng)險控制措施作為信息系統(tǒng)安全保障的基礎(chǔ)和核心D、通過以風(fēng)險和策略為基礎(chǔ)，在整個信息系統(tǒng)的生命周期中實施技術(shù)、管理、工程和人員保障要素，從而使信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征答案：C107.項目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是A、考慮安全開發(fā)需要什么樣的資源與預(yù)算B、考慮安全開發(fā)在開發(fā)生命周期各階段應(yīng)開展哪些工作C、對開發(fā)團隊進行信息安全培訓(xùn)D、購買一定的安全工具，如代碼掃描工具等答案：B108.總部和分支機構(gòu)通訊的VPN解決方案比較適合使用哪種體系結(jié)構(gòu)的VPN？A、網(wǎng)關(guān)到網(wǎng)關(guān)B、主機到網(wǎng)關(guān)C、主機到主機D、主機到網(wǎng)閘答案：A109.通過對稱密碼算法進行安全消息傳輸?shù)谋匾獥l件是A、在安全的傳輸信道上進行通信B、通訊雙方通過某種方式，安全且秘密地共享密鑰C、通訊雙方使用不公開的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取答案：B110.ISO/IEC17799源于以下哪個標(biāo)準(zhǔn)？A、B、S7799-1C、B.D、BS7799-2E、C.答案：A111.防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的主要作用是：A、提供代理服務(wù)B、隱藏內(nèi)部網(wǎng)絡(luò)地址C、進行入侵檢測D、防止病毒入侵答案：B112.以下哪一項是偽裝成有用程序的惡意軟件？A、．計算機病毒B、．特洛伊木馬C、．邏輯炸彈D、．蠕蟲程序答案：B113.開發(fā)人員認(rèn)為系統(tǒng)架構(gòu)設(shè)計不合理，需要討論調(diào)整后，再次進入編碼階段。開發(fā)團隊可能采取的開發(fā)方法為A、瀑布模型B、凈室模型C、XP模型D、迭代模型答案：A114.對能力成熟度模型解釋最準(zhǔn)確的是？A、它認(rèn)為組織的能力依賴與嚴(yán)格定義，管理完善，可測可控的有效業(yè)務(wù)過程。B、通過嚴(yán)格考察工程成果來判斷工程能力。C、它與統(tǒng)計過程控制的理論出發(fā)點不同，所以應(yīng)用于不同領(lǐng)域。D、它是隨著信息安全的發(fā)展而誕生的重要概念。答案：A115.信息安全保障強調(diào)安全是動態(tài)的安全，意味著：A、信息安全是一個不確定性的概念B、信息安全是一個主觀的概念C、信息安全必須覆蓋信息系統(tǒng)整個生命周期，隨著安全風(fēng)險的變化有針對性地進行調(diào)整D、信息安全只能保證信息系統(tǒng)在有限物理范圍內(nèi)的安全，無法保證整個信息系統(tǒng)的安全答案：C116.IP欺騙（IPSpoof）是利用TCP/IP協(xié)議中()的漏洞進行攻擊的：A、對源IP地址的鑒別方式B、結(jié)束會話時的四次握手過程C、IP協(xié)議尋址機制D、TCP尋址機制答案：C117.分片攻擊發(fā)生在A、數(shù)據(jù)包被發(fā)送時B、數(shù)據(jù)包在傳輸過程中C、數(shù)據(jù)包被接收時D、數(shù)據(jù)包的數(shù)據(jù)進行重組時答案：D118.一個單位在處理一臺儲存過高密級信息的計算機是首先應(yīng)該做什么？A、將硬盤的每一個比特寫成“O”B、將硬盤徹底毀壞C、選擇秘密信息進行刪除D、進行低級格式化答案：C119.當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時，就會產(chǎn)生哪種類型的漏洞A、緩沖區(qū)溢出B、設(shè)計錯誤C、信息泄露D、代碼注入答案：D120.SSE-CMM可以對獲取組織、工程組織、A、產(chǎn)生作用A、采購組織B、開發(fā)組織C、集成組織D、認(rèn)證組織答案：D121.以下對信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性B、信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運行的連續(xù)性C、信息安全就是不出安全事故/事件D、信息安全不僅僅只考慮防止信息泄密就可以了答案：C122.下列哪項不是《信息安全等級保護管理辦法》(公通字[2007]43號)規(guī)定的內(nèi)容:A、國家信息安全等級保護堅持自主定級、自主保護的原則B、國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查C、跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級D、涉及國家秘密的信息系統(tǒng)不進行分等級保護答案：D123.下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系A(chǔ)、訪問控制的粒度B、數(shù)據(jù)庫的大小C、關(guān)系表中屬性的數(shù)量D、關(guān)系表中元組的數(shù)量答案：A124.及時審查系統(tǒng)訪問審計記錄是以下哪種基本安全功能？A、威懾。B、規(guī)避。C、預(yù)防。D、檢測。答案：D125.信息系統(tǒng)生命周期階段正確的劃分是A、設(shè)計、實施、運維、廢棄B、規(guī)劃、實施、運維、廢棄C、規(guī)劃、設(shè)計、實施、運維、廢棄D、設(shè)計、實施、運行答案：C126.令牌（Tokens），智能卡及生物檢測設(shè)備同時用于識別和鑒別，依據(jù)的是以下哪個原則A、多因素鑒別原則B、雙因素鑒別原則C、強制性鑒別原則D、自主性鑒別原則答案：B127.下面哪一項最好地描述了風(fēng)險分析的目的？A、識別用于保護資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B、識別資產(chǎn)以及保護資產(chǎn)所使用的技術(shù)控制措施C、識別資產(chǎn)、脆弱性并計算潛在的風(fēng)險D、識別同責(zé)任義務(wù)有直接關(guān)系的威脅答案：C128.以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題?A、大整數(shù)分解B、離散對數(shù)問題C、背包問題D、偽隨機數(shù)發(fā)生器答案：D129.對于信息系統(tǒng)訪問控制說法錯誤的是？A、應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求制定清晰的訪問控制策略，并根據(jù)需要進行評審和改進。B、網(wǎng)絡(luò)訪問控制是訪問控制的重中之重，網(wǎng)絡(luò)訪問控制做好了操作系統(tǒng)和應(yīng)用層次的訪問控制就會解決C、做好訪問控制工作不僅要對用戶的訪問活動進行嚴(yán)格管理，還要明確用戶在訪問控制中的有關(guān)責(zé)任D、移動計算和遠程工作技術(shù)的廣泛應(yīng)用給訪問控制帶來新的問題，因此在訪問控制工作要重點考慮對移動計算設(shè)備和遠程工作用戶的控制措施答案：B130.下列哪些選項不屬于NIDS的常見技術(shù)?A、協(xié)議分析B、零拷貝C、SYND、CookieE、IP碎片重組答案：C131.在業(yè)務(wù)持續(xù)性方面，如果要求不能丟失數(shù)據(jù)，則：A、．RTO為0B、．RPO為0C、TRO和RPO都為0D、．和TRO、RPO沒有關(guān)系答案：B132.IPSECVPN中，以下那個算法可以實現(xiàn)對消息源進行認(rèn)證？A、IDEAB、AESC、3DESD、SHA1答案：D133.“數(shù)據(jù)備份”實際上包含了兩層意思，即A、數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)B、數(shù)據(jù)備份和數(shù)據(jù)保留C、數(shù)據(jù)檢測和數(shù)據(jù)還原D、數(shù)據(jù)備份和數(shù)據(jù)檢測答案：A134.以下對審核發(fā)現(xiàn)描述正確的是A、用作依據(jù)的一組方針、程序或要求B、與審核準(zhǔn)則有關(guān)的并且能夠證實的記錄、事實陳述或其他信息C、將收集到的審核證據(jù)依照審核準(zhǔn)則進行評價的結(jié)果，可以是合格/符合項，也可以是不合格/不符合項D、對審核對象的物理位置、組織結(jié)構(gòu)、活動和過程以及時限的描述答案：C135.向外部機構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當(dāng)做什么？A、該外部機構(gòu)的過程應(yīng)當(dāng)可以被獨立機構(gòu)進行IT審計B、該組織應(yīng)執(zhí)行一個風(fēng)險評估，設(shè)計并實施適當(dāng)?shù)目刂艭、該外部機構(gòu)的任何訪問應(yīng)被限制在D、MZ區(qū)之內(nèi)E、應(yīng)當(dāng)給該外部機構(gòu)的員工培訓(xùn)其安全程序答案：B136.安全開發(fā)制度中，QA最關(guān)注的的制度是A、系統(tǒng)后評價規(guī)定B、可行性分析與需求分析規(guī)定C、安全開發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)D、需求變更規(guī)定答案：C137.關(guān)于加密算法的應(yīng)用范圍，說話正確的有()A、B、DSS用于數(shù)字簽名，RSA用于加密和簽名C、B.D、SS用于密鑰交換，IE、DEA用于加密和簽名答案：A138.下面關(guān)于計算機惡意代碼發(fā)展趨勢的說法錯誤的是：A、木馬和病毒盜竊日益猖獗B、利用病毒犯罪的組織性和趨利性增加C、綜合利用多種編程新技術(shù)、對抗性不斷增加D、復(fù)合型病毒減少，而自我保護功能增加答案：D139.系統(tǒng)管理人員在對web訪問日志進行日志審計時發(fā)現(xiàn)日志系統(tǒng)中存在大量的404錯誤標(biāo)志信息，那么可以判斷出攻擊者嘗試哪種方式進行攻擊A、口令爆破攻擊B、SQL注入攻擊C、目錄探測攻擊D、XSS注入攻擊答案：C140.以下哪兩個安全模型分別是多級完整性模型和多邊保密模型？A、B、iC、Ba模型和D、Bell一LapaE、Dula模型答案：D141.以下對Windows系統(tǒng)的服務(wù)描述，正確的是A、WinB、Dows服務(wù)必須是一個獨立的可執(zhí)行程序C、B.WinD、ows服務(wù)的運行不需要用戶的交互登陸E、C.Win答案：B142.TCP/IP的第四層有兩個協(xié)議，分別是TCP和UDP，TCP協(xié)議的特點是什么？UDP協(xié)議的特點是什么？A、．TB、CP提供面向連接的路服務(wù)，UC、DP提供無連接的數(shù)據(jù)報服務(wù)D、B．TE、CP提供面向連接的路服務(wù)，U答案：A143.以下關(guān)于Linux用戶和組的描述不正確的是:A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、Root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都且有訪問權(quán)限答案：D144.下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系？A、訪問控制的粒度B、數(shù)據(jù)庫的大小C、關(guān)系表中屬性的數(shù)量D、關(guān)系表中元組的數(shù)量答案：A145.為了預(yù)防邏輯炸彈，項目經(jīng)理采取的最有效的措施應(yīng)該是A、對每日提交的新代碼進行人工審計B、代碼安全掃描C、安全意識教育D、安全編碼培訓(xùn)教育答案：A146.互聯(lián)網(wǎng)目前主要使用以下哪個協(xié)議？A、．SNAB、．C、DED、CnetE、C．T答案：C147.攻擊者通過對目標(biāo)主機進行端口掃可以直接獲得A、目標(biāo)主機的操作系統(tǒng)信息B、目標(biāo)主機開放端口服務(wù)信息C、目標(biāo)主機的登錄口令D、目標(biāo)主機的硬件設(shè)備信息答案：B148.以下哪項機制與數(shù)據(jù)處理完整性相關(guān)A、數(shù)據(jù)庫事務(wù)完整性機制B、數(shù)據(jù)庫自動備份復(fù)制機制C、雙機并行處理，并相互驗證D、加密算法答案：D149.在局域網(wǎng)環(huán)境中，以下哪一項技術(shù)主要是用來提供網(wǎng)絡(luò)冗余?A、網(wǎng)絡(luò)鏡像B、RAIC、D5D、HSRP和STPE、全雙工通信答案：A150.IPSec協(xié)議中的AH協(xié)議不能提供下列哪一項服務(wù)?A、數(shù)據(jù)源認(rèn)證B、數(shù)據(jù)包重放C、訪問控制D、機密性答案：D151.為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由三部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容A、完整性約束條件B、完整性檢查機制C、完整性修復(fù)機制D、違約處理機制答案：C152.組成IPSec的主要安全協(xié)議不包括以下哪一項？A、．ESPB、．DSSC、D．AHD、C．IKE答案：B153.下列那一項是對信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋A、沒事適當(dāng)?shù)馁|(zhì)量管理工具B、經(jīng)常變化的用戶需求C、用戶參與需求挖掘不夠D、項目管理能力不強答案：C154.有關(guān)Kerberos說法下列哪項是正確的？A、它利用公鑰加密技術(shù)。B、它依靠對稱密碼技術(shù)。C、它是第二方的認(rèn)證系統(tǒng)。D、票據(jù)授予之后將加密數(shù)據(jù)，但以明文方式交換密碼答案：B155.以下對PDCA循環(huán)解釋不正確的是:A、．P（Process）：處理B、．D（Do）：實施C、．C（Check）：檢查D、．A（Action）：行動答案：A156.PKI在驗證一個數(shù)字證書時需要查看-—來確認(rèn)A、RLB、C、SSD、C.KMSE、D.答案：D157.下面那一項不是通用IDS模型的組成部分：A、傳感器B、過濾器C、分析器D、管理器答案：B158.隨機數(shù)在密碼學(xué)中的應(yīng)用不包括A、秘鑰分配體制中使用一次性隨機數(shù)防止重放攻擊B、隨機數(shù)隨機數(shù)字序列應(yīng)滿足隨機性但可被預(yù)測C、隨機數(shù)作為會話秘鑰D、以隨機數(shù)產(chǎn)生公鑰秘鑰算法中的秘鑰答案：B159.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度？A、．64BitB、．128BitC、．192Bit答案：A160.PKI在驗證一個數(shù)字證書時需要查看（）來確認(rèn)該證書是否已經(jīng)作廢A、RLB、C、SSD、C.KMSE、D.答案：D161.按照BLP模型規(guī)則，以下哪種訪問不能被授權(quán)A、B、oC、B的安全級是（機密，{NUD、C，EUR}），文件的安全級是（機密，{NUE、C，EUR，AM答案：D162.FINGER服務(wù)使用哪個TCP端口？（Finger服務(wù)可用于查詢用戶的信息，包括網(wǎng)上成員的真實姓名、用戶名、最近登錄時間和地點等，要關(guān)閉）A、．69B、119C、79D、70答案：C163.下面哪一項不是安全編程的原則A、盡可能使用高級語言進行編程B、盡可能讓程序只實現(xiàn)需要的功能C、不要信任用戶輸入的數(shù)據(jù)D、盡可能考慮到意外的情況，并設(shè)計妥善的處理方法答案：A164.關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是?A、．成本只要不超過預(yù)計的收益即可B、．成本應(yīng)控制得越低越好C、．成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷D、．成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項目保質(zhì)按期完成答案：D165.ISMS所要求的文件應(yīng)予以保護和控制，應(yīng)編制形成文件控制程序，系列哪項不是該程序所規(guī)定的管理措施？A、確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識B、防止作廢文件的非預(yù)期使用C、確保文件可以為需要者所獲得，但防止需要者對文件進行轉(zhuǎn)移、存儲和銷毀D、確保在使用處可獲得適用文件的最新版本答案：C166.tcp/IP協(xié)議的4層網(wǎng)絡(luò)模型是?A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會話層、數(shù)據(jù)連接層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層答案：B167.下面對于CC的“保護輪廓”(PP）的說法最準(zhǔn)確的是：A、對系統(tǒng)防護強度的描述B、對評估對象系統(tǒng)進行規(guī)范化的描述C、對一類TOE的安全需求，進行與技術(shù)實現(xiàn)無關(guān)的描述D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度答案：C168.下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的?A、完整性控制的需求是基于風(fēng)險分析的結(jié)果B、控制已經(jīng)過了測試C、安全控制規(guī)范是基于風(fēng)險分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測試的答案：D169.一個單位分配到的網(wǎng)絡(luò)地址是掩碼是24。單位管理員將本單位的網(wǎng)絡(luò)又分成了4個子網(wǎng),則每個子網(wǎng)的掩碼是什么？最大號的子網(wǎng)地址是什么？A、．24和4B、．48和4C、．和2D、．和2答案：B170.常用的混合加密（HybridEncryption）方案指的是A、使用對稱加密進行通信數(shù)據(jù)加密，使用公鑰加密進行會話密鑰協(xié)商B、使用公鑰加密進行通信數(shù)據(jù)加密，使用對稱加密進行會話密鑰協(xié)商C、少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)則使用對稱加密D、大量數(shù)據(jù)使用公鑰加密，少量數(shù)據(jù)則使用對稱加密答案：A171.下列對密網(wǎng)功能描述不正確的是:A、可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對真正目標(biāo)的攻擊B、吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來C、可以進行攻擊檢測和實時報警D、可以對攻擊活動進行監(jiān)視、檢測和分析答案：D172.在進行災(zāi)難恢復(fù)需求分析的過程中，進行哪項工作可以幫助充分了解技術(shù)系統(tǒng)對業(yè)務(wù)重要性？A、業(yè)務(wù)影響分析（B、IA）C、B、確定災(zāi)難恢復(fù)目標(biāo)D、C、制定災(zāi)難恢復(fù)策略E、D、制定災(zāi)難恢復(fù)預(yù)案答案：A173.NT服務(wù)器中，secEvent.evt文件存儲在哪個位置？A、．\%SystemRoot%\logsB、．\%SystemRoot%\System32\logsC、．\%SystemRoot%\System32\D、ConfigE、D．\%SystemRoot%\答案：C174.ISMS的審核的層次不包括以下哪個？A、符合性審核B、有效性審核C、正確性審核D、文件審核答案：C175.管理體系審計員進行通信訪問控制審查，首先應(yīng)該關(guān)注：A、維護使用各種系統(tǒng)資源的訪問日志B、在用戶訪問系統(tǒng)資源之前的授權(quán)和認(rèn)證C、通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護D、確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力.答案：D176.關(guān)于信息安全技術(shù)控制審計工具的描述，哪項是錯誤的A、不能完全取代人工審計分析過程B、審計工具可能帶來審計風(fēng)險C、審計工具結(jié)果與審計項對應(yīng)，無需人工分析D、部分審計工具對人員能力有較高要求答案：C177.處理報廢電腦的流程時，以下哪一個選項對于安全專業(yè)人員來說是最重要考慮的內(nèi)容？A、在扇區(qū)這個級別上，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開組織前沒有進行重新格式化。B、硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C、在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D、由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進行登記并粉碎。答案：B178.近代密碼學(xué)比古典密碼學(xué)本質(zhì)上的進步是什么？A、保密是基于密鑰而不是密碼算法B、采用了非對稱密鑰算法C、加密的效率大幅提升D、虛擬專用網(wǎng)絡(luò)（VPN）的應(yīng)用。答案：C179.TCP握手中，縮寫RST指的是什么？A、．ResetB、．ResponseC、．ReplyStateD、．Rest答案：A180.信息安全管理體系是基于()的方法，來建立、實施、運作、監(jiān)視、評審、保持和改進信息安全。A、信息安全B、業(yè)務(wù)風(fēng)險C、信息系統(tǒng)防護D、安全風(fēng)險答案：B181.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行A、邏輯隔離B、物理隔離C、安裝防火墻D、VLAN劃分答案：B182.信息安全應(yīng)急響應(yīng)計劃的制定是一個周而復(fù)始的、持續(xù)改進的過程，以下哪個階段不在其A、應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的制定B、編制應(yīng)急響應(yīng)計劃文檔C、應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護D、應(yīng)急響應(yīng)計劃的廢棄與存檔答案：D183.惡意代碼反跟蹤技術(shù)描述正確的是A、反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性B、反跟蹤技術(shù)可以避免所有殺毒軟件的查殺C、反跟蹤技術(shù)可以避免惡意代碼被清除D、以上都不正確答案：A184.下面哪一項不是VPN協(xié)議標(biāo)準(zhǔn)：A、L2TPB、IPSeC、D、C、TAE、CA答案：C185.下面哪一項是緩沖溢出的危害？A、可能導(dǎo)致shellB、CoC、De的執(zhí)行而非法獲取權(quán)限，破壞系統(tǒng)的保密性D、B執(zhí)行shellE、Co答案：D186.目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，（計算機信息系統(tǒng)國家聯(lián)網(wǎng)保密管理規(guī)定）是由下列哪個部門所指定的A、公安部B、國家保密局C、信息產(chǎn)業(yè)部D、國家密碼管理委員會辦公室答案：D187.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，保密審核實行部門管理，有關(guān)單位應(yīng)當(dāng)根據(jù)國家保密法規(guī)，建立健全上網(wǎng)信息保密審批()。A、領(lǐng)導(dǎo)責(zé)任制B、專人負(fù)責(zé)制C、民主集中制D、職能部門監(jiān)管責(zé)任制答案：A188.互聯(lián)網(wǎng)的管理是？A、．集中式的B、．半集中式的C、．分布式的D、．半分布式的答案：C189.以下關(guān)于代替密碼的說法正確的是A、明文根據(jù)密鑰被不同的密文字母代替B、明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C、明文和密鑰的每個D、Bit異或E、明文根據(jù)密鑰作移位答案：A190.安全審計是對系統(tǒng)活動和記錄的獨立檢查和驗證，以下哪一項不是審計系統(tǒng)的作用A、輔助辨識和分析未經(jīng)授權(quán)的活動或攻擊B、對與已建立的安全策略的一致性進行核查C、及時阻斷違反安全策略的訪問D、幫助發(fā)現(xiàn)需要改進的安全控制措施答案：C191.為了增強電子郵件的安全性，人們經(jīng)常使用PGP，它是A、一種基于RSA的郵件加密軟件B、一種基于白名單的反垃圾郵件軟件C、基于SSL和VPN技術(shù)D、安全的電子郵箱答案：A192.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A、高級管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從答案：B193.信息安全工作具有投資收益的要求，以下關(guān)于信息安全與業(yè)務(wù)發(fā)展的關(guān)系說法最準(zhǔn)確的是：A、信息安全的投入很容易測算其產(chǎn)生收益的B、信息安全為業(yè)務(wù)發(fā)展提供基礎(chǔ)安全保障C、信息安全與網(wǎng)絡(luò)信息系統(tǒng)有著密切聯(lián)系D、信息安全的投入是不能測算其產(chǎn)生收益的答案：B194.有一類IDS系統(tǒng)將所觀察到的活動同認(rèn)為正常的活動進行比較并識別重要的XX來發(fā)現(xiàn)入侵事件，這種機制稱作：A、異常檢測B、特征檢測C、差距分析E.比對分析答案：A195.ISO27001認(rèn)證項目一般有哪幾個階段？A、管理評估，技術(shù)評估，操作流程評估B、確定范圍和安全方針，風(fēng)險評估，風(fēng)險控制（文件編寫），體系運行，認(rèn)證C、產(chǎn)品方案需求分析，解決方案提供，實施解決方案D、基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫培訓(xùn)，內(nèi)部審核培訓(xùn)答案：B196.下列關(guān)于Kerberos的描述，哪一項是正確的？A、埃及神話中的有三個頭的狗。B、安全模型。C、遠程身份驗證撥入用戶服務(wù)器。D、一個值得信賴的第三方認(rèn)證協(xié)議。答案：D197.如果一名攻擊者截獲了一個公鑰,然后他將這個公鑰替換為自己的公鑰并發(fā)送給接受者，這種情況屬于哪一種攻擊?A、重放攻擊B、Smurt攻擊C、字典攻擊D、中間人攻擊答案：D198.依據(jù)信息系統(tǒng)安全保障模型，以下那個不是安全保證對象A、機密性B、管理C、過程D、人員答案：A199.資產(chǎn)的敏感性通常怎樣進行劃分？A、．絕密、機密、秘密、敏感B、．機密、秘密、敏感和公開C、．絕密、機密、秘密、敏感和公開等五類D、．絕密、高度機密、秘密、敏感和公開等五類答案：C200.以下那個不是計算機取證工作的作用？A、通過證據(jù)查找肇事者B、通過證據(jù)推斷犯罪過程C、通過證據(jù)判斷受害者損失程度D、恢復(fù)數(shù)據(jù)降低損失答案：D201.在反射型xss中，需要彈出一個窗口，下列不能實現(xiàn)彈窗的函數(shù)是A、lert()B、write()C、prompt()D、E、Confirm()答案：B202.在風(fēng)險管理準(zhǔn)備階段“建立背景"（對象建立）過程中不用設(shè)置的是：A、分析系統(tǒng)的體系結(jié)構(gòu)B、分析系統(tǒng)的安全環(huán)境C、制定風(fēng)險管理計劃D、調(diào)查系統(tǒng)的技術(shù)特性答案：C203.以下哪一項不應(yīng)被看做防火墻的主要功能?A、協(xié)議過濾B、包交換C、訪問控制規(guī)則的實現(xiàn)D、審計能力的擴展答案：B204.以下哪種訪問控制策略需要安全標(biāo)簽？A、．基于角色的策略B、．基于標(biāo)識的策略C、．用戶指向的策略D、．強制訪問控制策略答案：D205.根據(jù)《信息系統(tǒng)安全保障評估框架第四部分:工程保障》安全工程過程A、未實施、基本實施、計劃跟蹤、量化控制、充分定義和持續(xù)改進B、未實施、基本實施、計劃跟蹤，充分定義、量化控制和持續(xù)改進C、基本實施、計劃跟蹤、充分定義、量化控制和持續(xù)改進等5個D、基本實施、計劃跟蹤、量化控制、充分定義和持續(xù)改進等5個答案：B206.以下關(guān)于Linux超級權(quán)限的說明，不正確的是A、一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應(yīng)用，不需要root用戶來操作完成B、普通用戶可以通過su和suC、Do來獲得系統(tǒng)的超級權(quán)限D(zhuǎn)、對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進行E、root是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都具有訪問權(quán)限答案：C207.在《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中，根據(jù)()要素，X災(zāi)難恢復(fù)等級劃分為()X.A、7；6B、8；7C、7；7D、8；6答案：A208.下面哪一個不屬于基于OSI七層協(xié)議的安全體系結(jié)構(gòu)的5種服務(wù)之一？A、數(shù)據(jù)完整性B、數(shù)據(jù)保密性C、數(shù)字簽名D、抗抵賴答案：C209.()設(shè)備可以隔離ARP廣播幀A、．路由器B、．網(wǎng)橋C、．以太網(wǎng)交換機D、．集線器答案：A210.在NT中，如果config.pol已經(jīng)禁止了對注冊表的訪問，那么黑客能夠繞過這個限制嗎？怎樣實現(xiàn)？A、．不可以B、．可以通過時間服務(wù)來啟動注冊表編輯器C、．可以通過在本地計算機刪除D、Config.pol文件E、D．可以通過pole答案：B211.“如果任何一條線路壞了，那么只有連在這條線路上的終端受影響。”上述情況發(fā)生在哪種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)中？A、．星型網(wǎng)B、．樹型網(wǎng)C、．環(huán)型網(wǎng)D、．混合網(wǎng)答案：A2.22是哪類地址？A、．A類B、．C、B類D、C．E、C類答案：B213.下面那一項表示了信息不被非法篡改的屬性A、可生存性B、完整性C、準(zhǔn)確性D、參考完整性答案：B214.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)？A、．防護B、．檢測C、．反應(yīng)D、．策略答案：D215.下面哪一個不是系統(tǒng)實施階段風(fēng)險管理的工作內(nèi)容A、安全測試B、檢查與配置C、配置變更D、人員培訓(xùn)答案：C216.一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后，就可以考為過程域（PA）的實施提供充分的資源?A、2級-—計劃和跟蹤B、3級——充分定義C、4級——量化控制D、5級——持續(xù)改進答案：B217.下列哪個是蠕蟲的特征？A、．不感染、依附性B、．不感染、獨立性C、．可感染、依附性D、．可感染、獨立性答案：D218.某個計算機系統(tǒng)遭到了38000次攻擊，其中有65％成功，而這中間又有96％沒有被檢測到，檢測到的則有74％沒有上報，那么總共上報了多少次攻擊？A、．144B、．388C、．267D、．721答案：C219.從風(fēng)險分析的觀點來看，計算機系統(tǒng)的最主要安全脆弱性存在于——A、．計算機內(nèi)部處理B、．系統(tǒng)輸入輸出C、．網(wǎng)絡(luò)和通訊D、．?dāng)?shù)據(jù)存儲介質(zhì)答案：B220.備份NT/2K的注冊表可以使用以下哪個命令？A、．ntB、aC、kup［D、BAE、CKUPPATH］/R答案：D221.TACACS+協(xié)議提供了下列哪一種訪問控制機制A、強制訪問控制B、自主訪問控制C、分布式訪問控制D、集中式訪問控制答案：D222.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經(jīng)替代DES成為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的，以下哪一種不是其可能的密鑰長度A、64B、itC、128D、BitE、192答案：A223.衡量殘余風(fēng)險應(yīng)當(dāng)考慮的因素為：A、威脅，風(fēng)險，資產(chǎn)價值B、\、威脅，資產(chǎn)價值，脆弱性C、單次損失，年度發(fā)生率D、威脅，脆弱性，資產(chǎn)價值，控制措施效果答案：D224.下面哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互？A、強制訪問控制（MAC）B、集中式訪問控制（DecentralizedAccesscontrol）C、分布式訪問控制（DistributedAccesscontrol）D、自主訪問控制（DAC）答案：D225.以下哪一項是DOS攻擊的一個實例？A、SQL注入B、IPSoofC、Smurf攻擊D、字典破解答案：C226.以下哪項不是風(fēng)險評估階段應(yīng)該做的？A、對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價B、對信息資產(chǎn)面對的各種威脅和脆弱性進行評估C、對已存在的成規(guī)劃的安全控制措施進行界定。D、，根據(jù)評估結(jié)果實施相應(yīng)的安全控制措施答案：D227.在許多組織機構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：A、缺少安全性管理B、缺少故障管理C、缺少風(fēng)險分析D、缺少技術(shù)控制機制答案：A228.WAPI采用的是什么加密算法？A、我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B、國際上通用的商用加密標(biāo)準(zhǔn)C、國家密碼管理委員會辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D、國際通行的哈希算法答案：A229.某公司web服務(wù)器遭遇攻擊。管理員排查得知攻擊者IP為10110115，現(xiàn)使用iptables來限制該IP對80端口訪問。下列正確的iptables規(guī)則是A、iptaB、les-AINPUT-ptC、p-s15--D、port80-jE、DROP答案：A230.下列關(guān)于kerckhofff準(zhǔn)則的說法正確的是：A、保持算法的秘密性比保持密鑰的秘密性要困難的多B、密鑰一旦泄漏，也可以方便的更換C、在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全D、公開的算法能夠經(jīng)過更嚴(yán)格的安全性分析答案：C231.以下那一項不是應(yīng)用層防火墻的特點？A、更有效的阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對用戶透明D、比較容易進行審計答案：C232.通過網(wǎng)頁上的釣魚攻擊來獲取密碼的方式，實質(zhì)上是一種:A、．社會工程學(xué)攻擊B、．密碼分析學(xué)C、．旁路攻擊D、．暴力破解攻擊答案：A233.信息技術(shù)安全評估通用標(biāo)準(zhǔn)(cc)標(biāo)準(zhǔn)主要包括哪幾個部分?A、．通用評估方法、安全功能要求、安全保證要求B、．簡介和一般模型、安全功能要求、安全保證要求、PP和ST產(chǎn)生指南C、．簡介和一般模型、安全功能要求、安全保證要求D、．簡介和一般模型、安全要求、PP和ST產(chǎn)生指南答案：C234.下面關(guān)于ISO27002說法錯誤的是？A、．ISO27002前身是ISO17799—1B、．ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機構(gòu)選用，但不是全部C、．ISO27002對于每個控制措施的表述分：“控制措施、實施指南和其他信息”三個部分來進行描述D、．ISO27002提出了十一大類安全管理措施，其中風(fēng)險評估和處置是處于核心地位的一類安全措施？答案：D235.以下哪種無線加密標(biāo)準(zhǔn)中那一項的安全性最弱？A、wepB、wpaC、wpa2D、wapi答案：A236.橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括A、不需要對原有的網(wǎng)絡(luò)配置進行修改B、性能比較高C、防火墻本身不容易受到攻擊D、易于在防火墻上實現(xiàn)NAT答案：D237.以下關(guān)于代替密碼的說法正確的是：A、．明文根據(jù)密鑰被不同的密文字母代替B、．明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C、．明文和密鑰的每個Bit異D、．明文根據(jù)密鑰作移位答案：A238.公鑰密碼的應(yīng)用不包括：A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證答案：C239.美國國家安全局的《信息保障技術(shù)框架》IATF，在描述信息系統(tǒng)的安全需求時將信息系統(tǒng)分為A、內(nèi)網(wǎng)和外網(wǎng)兩個部分B、本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施四個部分C、用戶終端、服務(wù)器、系統(tǒng)軟件網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)用軟件五個部分D、用戶終端、服務(wù)器、系統(tǒng)軟件網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)用軟件、安全防護六個級別答案：B240.以下哪種不是火災(zāi)探測器類型A、電離型煙傳感器B、光電傳感器C、聲學(xué)震動探測系統(tǒng)D、溫度傳感器答案：C241.在風(fēng)險分析中，下列不屬于軟A、．計算機操作系統(tǒng)B、．網(wǎng)絡(luò)操作系統(tǒng)C、．應(yīng)用軟件源代碼D、．外來惡意代碼答案：D242.哪些行為是社會工程學(xué)攻擊A、發(fā)送帶有病毒的郵件B、冒充保潔人員進入辦公場所C、利用網(wǎng)絡(luò)檢查等借口，要求開放相關(guān)網(wǎng)絡(luò)訪問D、以上內(nèi)容都包括答案：D243.以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：A、禁用主機的B、CC、D驅(qū)動、USD、B接口等IO設(shè)備E、對不再使用的硬盤進行嚴(yán)格的數(shù)據(jù)清除答案：D244.在信息安全審計中使用審計工具的目的是A、查找安全漏洞B、修補安全漏洞C、發(fā)現(xiàn)不符合項、缺乏控制或控制無效等作為安全審計分析的基礎(chǔ)D、以上描述都不對答案：C245.數(shù)據(jù)庫語句中，執(zhí)行（）命令可以進入MyDB數(shù)據(jù)庫A、B、CREATEC、DATAD、BASEMyE、D答案：B246.Unix系統(tǒng)中存放每個用戶信息的文件是A、/sys/passwB、DC、B./sys/passworD、E、C./et答案：D247.()是目前國際通行的信息技術(shù)產(chǎn)品安全性評估標(biāo)準(zhǔn)？A、TB、CSEC、D、B.ITSEE、C答案：C248.以下哪個不屬于防火墻典型的組件或者功能？A、．協(xié)議過濾B、．應(yīng)用網(wǎng)關(guān)C、．?dāng)U展的日志容量D、．?dāng)?shù)據(jù)包路由答案：D249.我國的國家秘密分為幾級？A、．3B、．4C、．5D、．6答案：A250.WindowsNT中哪個文件夾存放SAM文件？A、．\%Systemroot%B、．\%Systemroot%\system32\samC、．\%Systemroot%\system32\D、ConfigE、D．\%Systemr答案：C251.降低風(fēng)險的控制措施有很多，下面哪一個不屬于降低風(fēng)險的措施？A、在網(wǎng)絡(luò)上部署防火墻B、對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進行加密C、制定機房安全管理制度D、購買物理場所的財產(chǎn)保險答案：D252.有關(guān)信息系統(tǒng)的設(shè)計、開發(fā)、實施、運行和維護過程中的安全問題，以下描述錯誤的是A、信息系統(tǒng)的開發(fā)設(shè)計，應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計、開發(fā)、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發(fā)環(huán)境，同時還要考慮開發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D、運營系統(tǒng)上的敏感、真實數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險答案：C253.下面對于SSL工作過程的說法錯誤的是：A、加密過程使用的加密算法是通過握手協(xié)議確定的B、通信雙方的身份認(rèn)證是通過記錄協(xié)議實現(xiàn)的C、警告協(xié)議用于指示在什么時候發(fā)生了錯誤D、通信雙方的身份認(rèn)證需要借助于PKI/答案：B254.評估IT風(fēng)險被很好的達到，可以通過：A、評估IT資產(chǎn)和IT項目總共的威脅B、用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C、審查可比較的組織出版的損失數(shù)據(jù)D、一句審計拔高審查IT控制弱點答案：A255.通過社會工程的方法進行非授權(quán)訪問的風(fēng)險可以通過以下方法避免：A、安全意識程序B、非對稱加密C、入侵偵測系統(tǒng)D、非軍事區(qū)答案：A256.以下對于蠕蟲病毒的錯誤說法是()A、通常蠕蟲的傳播無需用戶的操作B、蠕蟲病毒的主要危害體現(xiàn)在對數(shù)據(jù)保密的破壞C、蠕蟲的工作原理與病毒相似，除了沒有感染文件D、是一段能不以其他程序為媒介，從一個電腦系統(tǒng)復(fù)制到另一個電腦系統(tǒng)答案：B257.LDAP使用哪個端口？（LDAP輕量，根據(jù)目錄樹的結(jié)構(gòu)給予不同的員工組不同的權(quán)限）A、．TB、CP139C、B.TD、CP119E、C.U答案：D258.拿下mysql后可以通過udf來進行提權(quán)，那么對能夠進行udf提權(quán)的mysql用戶的權(quán)限要求為A、insert和B、Delete權(quán)限C、B.seleD、Ct和E、Delete權(quán)限答案：A259.哪個端口被設(shè)計用作開始一個SNMPTrap？A、．TB、CP161C、B.UD、P161E、C.U答案：C260.關(guān)于PKI/CA證書，下面那一種說法是錯誤的？A、證書上具有證書授權(quán)中心的數(shù)字簽名B、證書上列有證書擁有者的基本信息C、證書上列有證書擁有者的公開密鑰D、證書上列有證書擁有者的秘密密鑰答案：D261.校驗和（FCS）可以防止下列那類攻擊？A、．重放攻擊B、．中間人攻擊C、．竊聽D、．復(fù)制攻擊答案：B262.下面對于“電子郵件炸彈”的解釋最準(zhǔn)確的是：A、郵件正文中包含的惡意網(wǎng)站鏈接B、郵件附件中具有強破壞性的病毒C、社會工程的一種方式，具有恐嚇內(nèi)容的郵件D、在短時間內(nèi)發(fā)送大量郵件軟件，可以造成目標(biāo)郵箱爆滿答案：D263.以下選項中那一項是對信息安全風(fēng)險采取的糾正機制?A、．訪問控制B、．入侵檢測C、．災(zāi)難恢復(fù)D、．防病毒系統(tǒng)答案：C264.EthernetMAC地址是多少位？A、．36位B、．32位C、．24位D、．48位答案：D265.信息系統(tǒng)的價值確定需要與哪個部門進行有效溝通確定？A、系統(tǒng)維護部門B、系統(tǒng)開發(fā)部門C、財務(wù)部門D、業(yè)務(wù)部門答案：D266.指紋、虹膜、語音識別技術(shù)是以下哪一種鑒別方式的實例：A、你是什么B、你有什么C、你知道什么D、你做了什么答案：A267.劃分VLAN主要解決什么問題？A、隔離廣播B、解決安全性C、隔離故障域D、解決帶寬問題答案：D268.以下哪個選項不是信息安全需求的來源？A、法律法規(guī)與合同條約的要求B、組織的原則、目標(biāo)和規(guī)定C、風(fēng)險評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的漏洞、病毒預(yù)警答案：D269.以下哪個是可以用于連接兩個或多個局域網(wǎng)最簡單的網(wǎng)絡(luò)裝置？A、．路由器B、．網(wǎng)橋C、．網(wǎng)關(guān)D、．防火墻答案：B270.下列哪項不屬于社會工程人員所精通的5項說服技巧A、目標(biāo)明確B、構(gòu)建共識C、脫離環(huán)境D、靈活應(yīng)變答案：C271.下面安全策略的特性中，不包括哪一項？A、指導(dǎo)性B、靜態(tài)性C、可審核性D、非技術(shù)性答案：B272.“通知相關(guān)人員ISMS的變更”是建立信息安全管理體系哪個階段的活動？A、規(guī)劃和建立B、實施和運行C、監(jiān)視和評審D、保持和改進答案：D273.為中國信息安全測評中心cisp注冊信息安全專業(yè)人員,對通過cisp之外還需要滿足一基本要求,以下哪一項不屬于這些基本要求：A、滿足注冊信息安全人員（B、Cisp）注冊資質(zhì)的教育背景要求C、同意并遵守注冊信息安全專業(yè)人員（D、Cisp）執(zhí)業(yè)準(zhǔn)則E、在政府機關(guān)或重要信息系統(tǒng)的主管后運營單位從事信息安全保障工作或為其提供安全答案：C274.在BS779-2:2002版中，下列對P-D-C-A過程的描述錯誤的是？A、P代表PLAN,即建立ISMS環(huán)境&風(fēng)險評估B、C、D代表D、O,即實現(xiàn)并運行ISMSE、C.答案：D275.那一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來控制訪問鏈接的能力？A、．包過濾防火墻B、．狀態(tài)檢測防火墻C、．應(yīng)用網(wǎng)關(guān)防火墻D、．以上都不能答案：C276.在一個使用ChineseWall模型建立訪問控制的消息系統(tǒng)中,A、只有訪問了W之后，才可以訪問XB、只有訪問了W之后,才可以訪問Y和Z中的一個C、無論是否訪問W,都只能訪問Y和Z中的一個E.無論是否訪問W，都不能訪問Y或Z答案：C277.TACACS(終端訪問控制器訪問控制系統(tǒng),AAA認(rèn)證協(xié)議的一種？)使用哪個端口？A、．TB、CP69C、B.TD、CP49(TAE、CA答案：D278.以下選項中,不是社會工程學(xué)特點的是A、社會工程學(xué)利用的是信息安全防護鏈條中最薄弱的環(huán)節(jié)B、社會工程學(xué)不能掌握人們在非正常意識以外的行為C、社會工程學(xué)的風(fēng)險和影響不高,這些攻擊容易被跟蹤和識別D、社會工程學(xué)攻擊通常會以交談、欺騙假冒或口語等方式進行答案：C279.關(guān)于凱撒密碼說法錯誤的是A、凱撒密碼是一種替換加密技術(shù)B、凱撒密碼是以羅馬共和時期愷撒的名字命名C、凱撒密碼較容易解密D、凱撒解密后不可解密答案：D280.以下哪一項不是我國國務(wù)院信息化辦公室為加強信息安全保障明確提出的九項重點工作內(nèi)容A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作答案：A281.以下哪個工具可以抹去所有NT/2K配置，并將其還原到初始狀態(tài)？A、．RollB、aC、k.exeD、B．ReE、Cover.exe答案：A282.下面哪一項是社會工程？A、．緩沖器溢出B、．SQL注入攻擊C、．電話聯(lián)系組織機構(gòu)的接線員詢問用戶名和口令D、．利用PK/CA構(gòu)建可信網(wǎng)絡(luò)答案：C283.一個組織將制定一項策略以定義了禁止用戶訪問的WEBA、狀態(tài)檢測防火墻B、WE內(nèi)容過濾器C、WED、B緩存服務(wù)器E、應(yīng)該代理服務(wù)器答案：B284.風(fēng)險分析的目的是？A、在實施保護所需的成本與風(fēng)險可能造成的影響之間進行技術(shù)平衡；B、在實施保護所需的成本與風(fēng)險可能造成的影響之間進行運作平衡；C、在實施保護所需的成本與風(fēng)險可能造成的影響之間進行經(jīng)濟平衡；D、在實施保護所需的成本與風(fēng)險可能造成的影響之間進行法律平衡；答案：C285.一個組織已經(jīng)創(chuàng)建了一個策略來定義用戶禁止訪問的網(wǎng)站類型。哪個是最有效的技術(shù)來達成這個策略？A、狀態(tài)檢測防火墻B、C、網(wǎng)頁內(nèi)容過濾D、網(wǎng)頁緩存服務(wù)器E、D.答案：B286.下列對于網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos）描述正確的是：A、該協(xié)議使用非對稱密鑰加密機制B、密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時鐘基本同步的環(huán)境答案：C287.以下哪個是技術(shù)性最強的計算機系統(tǒng)攻擊手法？A、．口令猜測B、．?dāng)?shù)據(jù)包偵聽C、．口令破解D、．?dāng)?shù)據(jù)包欺騙答案：D288.哪一項不是管理層承諾完成的？A、確定組織的總體安全目標(biāo)B、購買性能良好的信息安全產(chǎn)品C、推動安全意識教育D、評審安全策略的有效性答案：B289.UDP協(xié)議和TCP協(xié)議對應(yīng)于ISO/OSI模型的那一層：A、鏈路層B、傳輸層C、會話層D、表示層答案：B290.以下選項中哪一項是對于信息安全風(fēng)險采取的糾正機制？A、訪問控制B、入侵檢測C、災(zāi)難恢復(fù)D、防病毒系統(tǒng)答案：C291.下面關(guān)于密碼算法的說法錯誤的是？A、分組密碼又稱作塊加密B、流密碼又稱作序列密碼C、D、ES算法采用的是流密碼E、序列密碼每次加密一位或一個字節(jié)的明文答案：C292.以下哪個是被動攻擊的例子？A、．通信量分析B、．消息修改C、．消息延遲D、．消息刪減答案：A293.簡單包過濾防火墻主要工作在：A、鏈接層/網(wǎng)絡(luò)層B、網(wǎng)絡(luò)層/傳輸層C、應(yīng)用層D、回話層答案：B294.惡意軟件不包括A、病毒B、蠕蟲C、病菌D、特洛伊木馬答案：C295.在信息系統(tǒng)的開發(fā)和維護過程中，以下哪一種做法是不應(yīng)該被贊成的。A、在購買軟件包后，依靠本單位的技術(shù)力量對軟件包進行修改，加強代碼的安全性。B、當(dāng)操作系統(tǒng)變更后，對業(yè)務(wù)應(yīng)用系統(tǒng)進行測試和評審。C、在需要是對操作