注冊(cè)信息安全工程師復(fù)習(xí)試題(一)_第1頁(yè)
注冊(cè)信息安全工程師復(fù)習(xí)試題(一)_第2頁(yè)
注冊(cè)信息安全工程師復(fù)習(xí)試題(一)_第3頁(yè)
注冊(cè)信息安全工程師復(fù)習(xí)試題(一)_第4頁(yè)
注冊(cè)信息安全工程師復(fù)習(xí)試題(一)_第5頁(yè)
已閱讀5頁(yè),還剩95頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第頁(yè)注冊(cè)信息安全工程師復(fù)習(xí)試題1.公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)引入數(shù)字證書(shū)的概念,用來(lái)表示用戶(hù)的身份。下圖簡(jiǎn)要地描述了終端實(shí)體(用戶(hù))從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤銷(xiāo)和更新數(shù)字證書(shū)的流程。請(qǐng)為中間框空白處選擇合適的選項(xiàng)()。A、證書(shū)庫(kù)B、RAC、OCSPD、CRL庫(kù)【正確答案】:B解析:

教材P286,圖7-9RA-證書(shū)注冊(cè)機(jī)構(gòu)2.以下關(guān)于直接附加存儲(chǔ)(DAS)說(shuō)法錯(cuò)誤的是?A、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ),是一種常用的數(shù)據(jù)存儲(chǔ)方法B、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離,存取性能較高并且實(shí)施簡(jiǎn)單C、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴(lài)性強(qiáng),當(dāng)服務(wù)器發(fā)生故障時(shí),連續(xù)在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡(luò)附加存儲(chǔ)(NAS),DAS節(jié)省硬盤(pán)空間,數(shù)據(jù)非常集中,便于對(duì)數(shù)據(jù)進(jìn)行管理和備份【正確答案】:D解析:

教材P158,DAS-數(shù)據(jù)分散存儲(chǔ),不集中。3.在OSI參考模型中有7個(gè)層次,提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性,以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會(huì)話(huà)層D、物理層【正確答案】:A解析:

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴(lài)、訪問(wèn)控制服務(wù)。

4.風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估工作中的一個(gè)重要內(nèi)容,GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小,其中風(fēng)險(xiǎn)計(jì)算矩陣如下圖所示。請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容()A、安全資產(chǎn)價(jià)值大小等級(jí)B、脆弱性嚴(yán)重程度等級(jí)C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D、安全事件造成損失大小【正確答案】:D解析:

風(fēng)險(xiǎn)分析概率與影響矩陣

風(fēng)險(xiǎn)的基本屬性:1.風(fēng)險(xiǎn)發(fā)生的概率;2.風(fēng)險(xiǎn)一旦發(fā)生所帶來(lái)的影響/后果。5.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分,在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是:1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過(guò)程2.開(kāi)發(fā)恢復(fù)優(yōu)先級(jí)3.標(biāo)識(shí)關(guān)鍵的IT資源4.標(biāo)識(shí)中斷影響和允許的中斷時(shí)間A、1-3-4-2B、1-3-2-4C、1-2-3-4D、1-4-3-2【正確答案】:A解析:

教材P138,排序6.某銀行信息系統(tǒng)為了滿(mǎn)足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級(jí)改造,以下哪一項(xiàng)不是此次改造中信息系統(tǒng)安全需求分析過(guò)程需要考慮的主要因素?A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國(guó)家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(xiǎn)D、該銀行整體安全策略【正確答案】:C解析:

希望通過(guò)一次改造來(lái)解決所有安全風(fēng)險(xiǎn)問(wèn)題是不可能的7.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%,盡管網(wǎng)站沒(méi)有發(fā)現(xiàn)任何的性能下降或其他問(wèn)題,但為了安全起見(jiàn),他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施,作為主管負(fù)責(zé)人,請(qǐng)選擇有效的針對(duì)此問(wèn)題的應(yīng)對(duì)措施?A、在防火墻上設(shè)置策略,阻止所有的ICMP流量進(jìn)入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對(duì)即將來(lái)臨的拒絕服務(wù)攻擊【正確答案】:A解析:

阻止所有的ICMP流量是最有效的方式

8.以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施?A、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范B、為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息,收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴(lài)D、為了防止用戶(hù)提升權(quán)限,可以采用訪問(wèn)控制表的方式來(lái)管理權(quán)限【正確答案】:C解析:

防止發(fā)送方否認(rèn)應(yīng)該用數(shù)字簽名9.某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品,需要購(gòu)買(mǎi)防火墻,以下做法應(yīng)當(dāng)優(yōu)先考慮的是:A、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購(gòu)任意一款品牌防火墻C、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品D、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻【正確答案】:D解析:

聯(lián)動(dòng)功能是指不同類(lèi)型的設(shè)備之間的協(xié)同操作,在技術(shù)條件允許情況下,可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。

10.降低風(fēng)險(xiǎn)(或減低風(fēng)險(xiǎn))是指通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來(lái)降低風(fēng)險(xiǎn),下面哪個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施?A、減少威脅源。采用法律的手段制按計(jì)算機(jī)犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動(dòng)機(jī)B、簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的方式交予第三方公司完成,通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)C、減少脆弱性。及時(shí)給系統(tǒng)補(bǔ)丁,關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性D、減低威脅能力,采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力【正確答案】:B解析:

教材P142,合同不屬于風(fēng)險(xiǎn)降低,屬于轉(zhuǎn)移11.近年來(lái)利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生,防范這種攻擊比較有效的方法是?A、加強(qiáng)網(wǎng)站源代碼的安全性B、對(duì)網(wǎng)絡(luò)客戶(hù)端進(jìn)行安全評(píng)估C、協(xié)調(diào)運(yùn)營(yíng)商對(duì)域名解析服務(wù)器進(jìn)行加固D、在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)防火墻【正確答案】:C解析:

防范DNS劫持攻擊需要加固DNS服務(wù)器

12.以下哪項(xiàng)制度或標(biāo)準(zhǔn)被作為我國(guó)的一項(xiàng)基礎(chǔ)制度加以推行,并且有一定強(qiáng)制性,其實(shí)施的主要目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全?A、信息安全管理體系(ISMS)B、信息安全等級(jí)保護(hù)C、NISTSP800D、ISO270000系列【正確答案】:B解析:

題干所描述的正是等保的作用13.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)控制外部各方的目標(biāo)應(yīng)該包括下列哪個(gè)選項(xiàng)?A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門(mén)的聯(lián)系C、與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題【正確答案】:D解析:

教材P10614.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要,計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案,在向主管領(lǐng)導(dǎo)寫(xiě)報(bào)告時(shí),他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性,在他羅列的四條理由中,其中不適合作為理由的一條是?A、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B、應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力,減少突發(fā)事件造成的損失和危害,保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C、編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求,因此必須建設(shè)D、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施【正確答案】:C解析:

絕對(duì)化15.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊?A、LandB、UDPFloodC、SmurfD、teardrop【正確答案】:D解析:

教材P349,teardrop攻擊屬于碎片攻擊

16.由于頻繁出現(xiàn)燃機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象,某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理,在下面做法中,對(duì)于解決問(wèn)題沒(méi)有直接幫助的是?A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié),加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā),不能采用之前的Windows版本D、要求邀請(qǐng)專(zhuān)業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試,盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】:C解析:

任何操作系統(tǒng)都有漏洞,更換成Win8對(duì)解決問(wèn)題沒(méi)有幫助17.根據(jù)Bell-LaPedula模型安全策略,下圖中寫(xiě)和讀操作正確的是()A、可讀可寫(xiě)B(tài)、可讀不可寫(xiě)C、可寫(xiě)不可讀D、不可讀不可寫(xiě)【正確答案】:B解析:

教材P308,BLP模型:向下讀、向上寫(xiě)

秘密->機(jī)密->絕密

18.以下關(guān)于項(xiàng)目的含義,理解錯(cuò)誤的是?A、項(xiàng)目是為達(dá)到特定的目的,使用一定資源、在確定的期間內(nèi),為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B、項(xiàng)目有明確的開(kāi)始日期,結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定。C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D、項(xiàng)目目標(biāo)要遵守SMART原則,即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量(Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Time-oriented)【正確答案】:B解析:

項(xiàng)目的臨時(shí)性特征決定了項(xiàng)目要有明確的開(kāi)始時(shí)間和結(jié)束時(shí)間19.軟件安全設(shè)計(jì)和開(kāi)發(fā)中應(yīng)考慮用戶(hù)隱私保護(hù),以下關(guān)于用戶(hù)隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的?A、告訴用戶(hù)需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶(hù)的數(shù)據(jù)由于某種原因要被使用時(shí),給用戶(hù)選擇是否允許C、用戶(hù)提交的用戶(hù)名和密碼屬于隱私數(shù)據(jù),其它都不是D、確保數(shù)據(jù)的使用符合國(guó)家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】:C解析:

教材P409,隱私保護(hù)原則:系統(tǒng)收集到的用戶(hù)信息都必須實(shí)施妥善和安全的保護(hù)20.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL),下面說(shuō)法錯(cuò)誤的是:A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié),過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患,將極大減少整個(gè)軟件開(kāi)發(fā)成本【正確答案】:C解析:

教材P402,選項(xiàng)C的后半句描述有問(wèn)題21.應(yīng)用安全,一般是指保障應(yīng)用程序使用過(guò)程和結(jié)果的安全,以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是?A、身份鑒別,應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶(hù)進(jìn)行身份鑒別,只有通過(guò)驗(yàn)證的用戶(hù)才能訪問(wèn)應(yīng)用系統(tǒng)資源B、安全標(biāo)記,在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記,主體不能隨意更改權(quán)限,增加訪問(wèn)控制的力度,限制非法訪問(wèn)C、剩余信息保護(hù),應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤(pán)、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù),防止存儲(chǔ)在硬盤(pán)、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問(wèn)D、機(jī)房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件,包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等【正確答案】:D解析:

選項(xiàng)D屬于物理安全,不屬于應(yīng)用安全

22.根據(jù)信息安全風(fēng)險(xiǎn)要素之間的關(guān)系,下圖中空白處應(yīng)該填寫(xiě)()A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】:C解析:

教材P245,風(fēng)險(xiǎn)評(píng)估要素關(guān)系23.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM(SecurityAccountsManager)的說(shuō)法哪個(gè)是正確的?A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶(hù)都可以訪問(wèn),具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶(hù)才有權(quán)訪問(wèn),具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶(hù)都可以直接訪問(wèn),靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶(hù)才能訪問(wèn),具有較高的安全性【正確答案】:D解析:

dows桌面環(huán)SYSTEM是至高無(wú)上的超級(jí)管理員帳戶(hù)。默認(rèn)情況下,我們無(wú)法直接在登錄對(duì)話(huà)框上以SYSTEM帳戶(hù)的身份登錄到Win境。24.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是?A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】:B解析:

TCP/IP協(xié)議棧:應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)路接口層,數(shù)據(jù)封裝,自上而下25.為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作,我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)可以依照等級(jí)保護(hù)工作的工作階段分級(jí)。下面四個(gè)標(biāo)準(zhǔn)中,(

)規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù),對(duì)象,流程,方法及登記變更等內(nèi)容。A、GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB/T22240-2008《信息系統(tǒng)安全保護(hù)登記定級(jí)指南》C、GB/T25058-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D、GB/T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】:B解析:

GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》,該標(biāo)準(zhǔn)對(duì)如何進(jìn)行信息系統(tǒng)定級(jí)做出指導(dǎo)。該標(biāo)準(zhǔn)已經(jīng)被《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》取代。26.風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含?A、過(guò)程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)【正確答案】:D解析:

選項(xiàng)D屬于溝通咨詢(xún)27.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪些控制目標(biāo)?A、符合法律要求B、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問(wèn)控制的業(yè)務(wù)要求、用戶(hù)訪問(wèn)管理【正確答案】:D解析:

教材P127-128,符合性包括兩個(gè)方面:符合法律和合同規(guī)定、信息安全審查28.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門(mén)領(lǐng)導(dǎo),主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn),一次培訓(xùn)的時(shí)候,小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)?A、風(fēng)險(xiǎn)評(píng)估方法包括:定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例,因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值,因此更具有客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式,實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化【正確答案】:B解析:

定性風(fēng)險(xiǎn)分析具有主觀性,但不能隨意29.由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊,管理員決定對(duì)設(shè)置帳戶(hù)鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶(hù)鎖定策略如下:復(fù)位賬戶(hù)鎖定計(jì)數(shù)器5分鐘;賬戶(hù)鎖定時(shí)間10分鐘;賬戶(hù)鎖定閥值3次無(wú)效登陸。以下關(guān)于以上策略設(shè)置后的說(shuō)法哪個(gè)是正確的?A、設(shè)置賬戶(hù)鎖定策略后,攻擊者無(wú)法再進(jìn)行口令暴力破解,所有輸錯(cuò)的密碼的用戶(hù)就會(huì)被鎖住B、如果正常用戶(hù)部小心輸錯(cuò)了3次密碼,那么該賬戶(hù)就會(huì)被鎖定10分鐘,10分鐘內(nèi)即使輸入正確的密碼,也無(wú)法登錄系統(tǒng)C、如果正常用戶(hù)不小心連續(xù)輸入錯(cuò)誤密碼3次,那么該用戶(hù)帳號(hào)被鎖定5分鐘,5分鐘內(nèi)即使交了正確的密碼,也無(wú)法登錄系統(tǒng)D、攻擊者在進(jìn)行口令破解時(shí),只要連續(xù)輸錯(cuò)3次密碼,該賬戶(hù)就被鎖定10分鐘,而正常擁護(hù)登陸不受影響【正確答案】:B解析:

選項(xiàng)A:內(nèi)置管理員賬號(hào)不受影響

選項(xiàng)C:會(huì)鎖定10分鐘

選項(xiàng)D:正常用戶(hù)登錄輸入錯(cuò)誤也會(huì)鎖定30.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞,被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù),由于系統(tǒng)備份是每周六進(jìn)行一次,事件發(fā)生時(shí)間為周三,因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪問(wèn),影響到了與公司有業(yè)務(wù)往來(lái)部分公司業(yè)務(wù)。在事故處理報(bào)告中,根據(jù)GB/Z20686-2007,《信息安全事件分級(jí)分類(lèi)指南》,該事件的準(zhǔn)確分類(lèi)和定級(jí)應(yīng)該是?A、有害程序事件特別重大事件(I級(jí))B、信息破壞事件重大事件(II級(jí))C、有害程序事件較大事件(III級(jí))D、信息破壞事件一般事件(IV級(jí))【正確答案】:C解析:

教材P146-P147,木馬病毒屬于有害程序事件,信息安全事件分為四個(gè)級(jí)別:特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))、一般事件(IV級(jí)),其中:較大事件(III級(jí))包括的情況如下:會(huì)使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失,或使重要的信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失,產(chǎn)出較大的社會(huì)影響。影響OA系統(tǒng)屬于較大事件。31.關(guān)于密鑰管理,下列說(shuō)法錯(cuò)誤的是:A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密,而應(yīng)基于密鑰的安全性B、保密通信過(guò)程中,通信方使用之前用過(guò)的會(huì)話(huà)密鑰建立會(huì)話(huà),不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷(xiāo)等生命周期過(guò)程的每一個(gè)環(huán)節(jié)D、在網(wǎng)絡(luò)通信中,通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話(huà)密鑰【正確答案】:B解析:

教材P271,如果密鑰泄露,通信方使用之前用過(guò)的會(huì)話(huà)密鑰建立會(huì)話(huà)將導(dǎo)致保密性問(wèn)題32.SABSA模型包括(

),它是一個(gè)(

),它在第一層從安全的角度定義了(

)。模型的每一層在抽象方面逐層減少,細(xì)節(jié)逐層增加,因此,它們層級(jí)都是建在其他層之上的,從策略逐漸到技術(shù)和解決方案的(

)。其思路上創(chuàng)新提出了一個(gè)包括戰(zhàn)略、概念、設(shè)計(jì)、實(shí)施、度量和審計(jì)層次的(

)。A、五層:業(yè)務(wù)需求;分層模型;實(shí)施實(shí)踐;安全鏈條B、六層:分層模型;業(yè)務(wù)需求;實(shí)施實(shí)踐;安全鏈條C、五層:分層模型;業(yè)務(wù)需求;實(shí)施實(shí)踐;安全鏈條D、六層:分層模型;實(shí)施實(shí)踐;業(yè)務(wù)需求;安全鏈條【正確答案】:B解析:

教材P3933.下面對(duì)“零日(zero-day)漏洞”的理解中,正確的是()A、指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來(lái)遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B、指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞,該漏洞被“震網(wǎng)”病毒所利用,用來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C、指一類(lèi)漏洞,即特別好被利用,一旦成功利用該漏洞,可以在1天內(nèi)完成攻擊,且成功達(dá)到攻擊目標(biāo)D、指一類(lèi)漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來(lái)說(shuō),那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞【正確答案】:D解析:

零日漏洞—?jiǎng)偙话l(fā)現(xiàn)還未打補(bǔ)丁就被利用的漏洞34.移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能,與傳統(tǒng)的基于口令的鑒別技術(shù)相比,關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是?A、所選擇的特征(指紋)便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無(wú)二的C、指紋信息是每個(gè)人都有的,指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題D、此類(lèi)系統(tǒng)一般由用戶(hù)指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】:C解析:

指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題—絕對(duì)化35.在國(guó)家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】:B解析:

教材P35,圖1-9

信息系統(tǒng)安全保障模型:保障要素、安全特征、生命周期36.從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題,以下說(shuō)法錯(cuò)誤的是?A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn),建立一組平衡的安全需求,融合各種工程學(xué)科的努力,將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南B、系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋?zhuān)C明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求,或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法,是一種使用面向開(kāi)發(fā)的方法D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上。通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科【正確答案】:C解析:

教材P178,SSE-CMM是一種面向工程過(guò)程的方法。37.在某次信息安全應(yīng)急響應(yīng)過(guò)程中,小王正在實(shí)施如下措施:消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請(qǐng)問(wèn),按照PDCERF應(yīng)急響應(yīng)方法,這些工作應(yīng)處于以下哪個(gè)階段?A、準(zhǔn)備階段B、檢測(cè)階段C、遏制階段D、根除階段【正確答案】:D解析:

教材P153,典型特征“格式化”屬于根除階段38.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后,認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行,比起簡(jiǎn)單地實(shí)施信息安全管理,有更大的作用,他總結(jié)了四個(gè)方面的作用,其中總結(jié)錯(cuò)誤的是?A、可以建立起文檔化的信息安全管理規(guī)范,實(shí)現(xiàn)有“法”可依,有章可循,有據(jù)可查B、可以強(qiáng)化員工的信息安全意識(shí),建立良好的安全作業(yè)習(xí)慣,培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶(hù)、業(yè)務(wù)伙伴、投資人對(duì)該組織保障其業(yè)務(wù)平臺(tái)和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理,提高安全防護(hù)效果,使組織通過(guò)國(guó)際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證【正確答案】:D解析:

ISO9001是質(zhì)量管理體系標(biāo)準(zhǔn)39.老王是某政府信息中心主任,以下哪項(xiàng)項(xiàng)目是符合《保守國(guó)家秘密法》要求的?A、老王安排下屬小李將損害的涉密計(jì)算機(jī)某國(guó)外品牌硬盤(pán)送到該品牌中國(guó)區(qū)維修中心修理B、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志C、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫(kù)D、老王提出對(duì)加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用【正確答案】:D解析:

選項(xiàng)A、C明顯錯(cuò)誤,

選項(xiàng)B《中華人民共和國(guó)保守國(guó)家秘密法》第十七條

第十七條機(jī)關(guān)、單位對(duì)承載國(guó)家秘密的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體(以下簡(jiǎn)稱(chēng)國(guó)家秘密載體)以及屬于國(guó)家秘密的設(shè)備、產(chǎn)品,應(yīng)當(dāng)做出國(guó)家秘密標(biāo)志。

不屬于國(guó)家秘密的,不應(yīng)當(dāng)做出國(guó)家秘密標(biāo)志。40.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》(國(guó)信辦[2006]5號(hào))中,指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式,并對(duì)兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是?A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門(mén)組織的國(guó)家有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主,自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充D、自評(píng)估和檢查評(píng)估是相互排斥的,單位應(yīng)慎重地從兩種工作形式選擇一個(gè),并堅(jiān)持使用【正確答案】:D解析:

自評(píng)估和檢查評(píng)估不是互斥的41.入侵檢測(cè)系統(tǒng)有其技術(shù)優(yōu)越性,但也有其局限性,下列說(shuō)法錯(cuò)誤的是()。A、對(duì)用戶(hù)知識(shí)要求高、配置、操作和管理使用過(guò)于簡(jiǎn)單,容易遭到攻擊B、入侵檢測(cè)系統(tǒng)會(huì)產(chǎn)生大量的警告消息和可疑的入侵行為記錄,用戶(hù)處理負(fù)擔(dān)很重C、入侵檢測(cè)系統(tǒng)在應(yīng)對(duì)自身攻擊時(shí),對(duì)其他數(shù)據(jù)的檢測(cè)可能會(huì)被抑制或者受到影響D、警告消息記錄如果不完整,可能無(wú)法與入侵行為關(guān)聯(lián)【正確答案】:A解析:

教材P254,配置、操作和管理使用過(guò)于簡(jiǎn)單—描述有誤42.張三將微信個(gè)人頭像換成微信群中某好友頭像,并將昵稱(chēng)改為該好友的昵稱(chēng),然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類(lèi)攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會(huì)工程學(xué)攻擊【正確答案】:D解析:

換頭像,典型的社會(huì)工程學(xué)攻擊43.在戴明環(huán)(PDCA)模型中,處置(ACT)環(huán)節(jié)的信息安全管理活動(dòng)是?A、建立環(huán)境B、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃C、持續(xù)的監(jiān)視與評(píng)審風(fēng)險(xiǎn)D、持續(xù)改進(jìn)信息安全管理過(guò)程【正確答案】:D解析:

PDCA循環(huán)又稱(chēng)戴明環(huán),P(plan計(jì)劃)—D(do實(shí)施)--C(check檢查)—A(act改進(jìn)),持續(xù)改進(jìn)屬于PDCA中的A階段。44.小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè)的畢業(yè)生,在前往一家大型企業(yè)應(yīng)聘時(shí),面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問(wèn)控模型的設(shè)計(jì)思路。如果想要為一個(gè)存在大量用戶(hù)的信息系統(tǒng)實(shí)現(xiàn)自主訪問(wèn)控制功能,在以下選項(xiàng)中,從時(shí)間和資源消耗的角度,下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是?A、訪問(wèn)控制列表(ACL)B、能力表(CL)C、BLP模型D、Biba模型【正確答案】:A解析:

教材P307,ACL可以決定任何一個(gè)特定的主體是否可對(duì)某一個(gè)客體進(jìn)行訪問(wèn),訪問(wèn)控制表是自主訪問(wèn)控制實(shí)現(xiàn)中比較好的一種方法45.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實(shí)施(BasePractices,BP)正確的理解是?A、BP不限定于特定的方法工具,不同業(yè)務(wù)背景中可以使用不同的方法不限工具,必須按步驟執(zhí)行BP不是根據(jù)廣泛的現(xiàn)有資料,實(shí)施和專(zhuān)家意見(jiàn)綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐代表最佳實(shí)踐D、BP不是過(guò)程區(qū)域【正確答案】:A解析:

教材P181,選項(xiàng)A:不限工具,必須按步驟執(zhí)行

選項(xiàng)B:BP是最佳實(shí)踐,所以要根據(jù)廣泛的現(xiàn)有資料和專(zhuān)家意見(jiàn)得出。

選項(xiàng)C:代表最佳實(shí)踐

選項(xiàng)D:基本實(shí)施定義了獲得過(guò)程區(qū)域目標(biāo)的必要步驟,所以是強(qiáng)制項(xiàng)46.CISP的中文翻譯是?A、注冊(cè)信息安全專(zhuān)家B、中國(guó)信息安全注冊(cè)人員C、中國(guó)信息安全專(zhuān)家D、注冊(cè)信息安全專(zhuān)業(yè)人員【正確答案】:D解析:

解析:CISP-(CertifiedInformationSecurityProfessional)注冊(cè)信息安全專(zhuān)業(yè)人員

47.“統(tǒng)一威脅管理”是將防病毒,入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理,目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類(lèi)安全設(shè)備,這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱(chēng)為?A、UTMB、FWC、IDSD、SOC【正確答案】:A解析:

UTM--UnitedThreatManagement統(tǒng)一威脅管理48.在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)用戶(hù)進(jìn)行認(rèn)證識(shí)別時(shí),口令是一種傳統(tǒng)但仍然使用廣泛的方法,口令認(rèn)證過(guò)程中常常使用靜態(tài)口令和動(dòng)態(tài)口令。下面描述中錯(cuò)誤的是?A、所謂靜態(tài)口令方案,是指用戶(hù)登錄驗(yàn)證身份的過(guò)程中,每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí),即使對(duì)口令進(jìn)行簡(jiǎn)單加密或哈希后進(jìn)行傳輸,攻擊者依然可能通過(guò)重放攻擊來(lái)欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動(dòng)態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長(zhǎng)的口令序列,攻擊者如果連續(xù)地收集到足夠多的歷史口令,則有可能預(yù)測(cè)出下次要使用的口令D、通常,動(dòng)態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類(lèi)型【正確答案】:C解析:

教材P295,動(dòng)態(tài)口令方案中每次使用的口令不同,不能從密碼歷史中得到之前的口令

49.某次對(duì)某系統(tǒng)進(jìn)行安全測(cè)試時(shí),李工發(fā)現(xiàn)一個(gè)URL“http:///downloaD.jsp?path=uploads/test.jpg”,你覺(jué)得此URL最有可能存在什么漏洞()A、任意文件下載漏洞B、SQL注入漏洞C、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】:A解析:

URL中有download和path,顯然屬于文件下載漏洞50.InternetExplorer,簡(jiǎn)稱(chēng)IE,是微軟公司推出的一款Web瀏覽器,IE中有很多安全設(shè)置選項(xiàng),用來(lái)設(shè)置安全上網(wǎng)環(huán)境和保護(hù)用戶(hù)隱私數(shù)據(jù)。以下哪項(xiàng)不是IE中的安全配置項(xiàng)目?A、設(shè)置Cookie安全,允許用戶(hù)根據(jù)自己安全策略要求者、設(shè)置Cookie策略,包括從阻止所有Cookie到接受所有Cookie,用戶(hù)也可以選擇刪除已經(jīng)保存過(guò)的CookieB、禁用自動(dòng)完成和密碼記憶功能,通過(guò)設(shè)置禁止IE自動(dòng)記憶用戶(hù)輸入過(guò)的Web地址和表單,也禁止IE自動(dòng)記憶表單中的用戶(hù)名和口令信息C、設(shè)置每個(gè)連接的最大請(qǐng)求數(shù),修改MuKeepAliveRequests,如果同時(shí)請(qǐng)求數(shù)達(dá)到閾值就不再響應(yīng)新的請(qǐng)求,從而保證了系統(tǒng)資源不會(huì)被某個(gè)鏈接大量占用D、為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級(jí)別,用戶(hù)可以將各個(gè)不同的網(wǎng)站劃分到Internet、本地Internet、受信任的站點(diǎn)、受限制的站點(diǎn)等不同安全區(qū)域中,以采取不同的安全訪問(wèn)策略【正確答案】:C解析:

設(shè)置最大連接數(shù)應(yīng)該在注冊(cè)表中進(jìn)行設(shè)置,不能在IE中設(shè)置。

選項(xiàng)A:IE->設(shè)置->隱私->設(shè)置->高級(jí)->Cookie

選項(xiàng)B:IE->設(shè)置->內(nèi)容->自動(dòng)完成->設(shè)置->表單上的用戶(hù)名和密碼

選項(xiàng)D:IE->設(shè)置->安全51.在以下標(biāo)準(zhǔn)中,屬于推薦性國(guó)家標(biāo)準(zhǔn)的是?A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正確答案】:A解析:

教材P69,GB/T-推薦性國(guó)家標(biāo)準(zhǔn)52.關(guān)于我國(guó)加強(qiáng)信息安全保障工作的總體要求,以下說(shuō)法錯(cuò)誤的是:A、堅(jiān)持積極防御、綜合防范的方針B、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個(gè)人隱私保護(hù)意識(shí)【正確答案】:D解析:

教材P16,信息安全保障工作的總體要求:

堅(jiān)持積極防御、綜合防范的方針,全面提高信息安全防護(hù)能力,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保障和促進(jìn)信息化發(fā)展,保護(hù)公眾利益,維護(hù)國(guó)家安全。53.以下哪些是需要在信息安全策略中進(jìn)行描述的:A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)施手段【正確答案】:B解析:

教材P103,Policy方針、策略-確定信息安全工作的總體目標(biāo)和基本原則54.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作,下面描述錯(cuò)誤的是?A、信息安全應(yīng)急響應(yīng),通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施,既包括預(yù)防性措施,也包括事業(yè)發(fā)生后的應(yīng)對(duì)措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn):具體高技術(shù)復(fù)雜性與專(zhuān)業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴(lài)性,以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)是組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作,其主要包括兩部分工作:安全事件發(fā)生時(shí)正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲(chóng)病毒事件有關(guān),基于該事件,人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性【正確答案】:C解析:

教材P145,應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施。55.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明:風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va)),以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是?A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù),A表示資產(chǎn),T表示威脅,V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia,Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度【正確答案】:D解析:

教材P257,風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))

?R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)

?A表示資產(chǎn)

?T表示威脅

?V表示脆弱性

?Ia表示安全事件所作用的資產(chǎn)價(jià)值

?Va表示脆弱性嚴(yán)重程度

?L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

?F表示安全事件發(fā)生后造成的損失56.某共享文件夾的NTFS權(quán)限和共享權(quán)限設(shè)置的并不一致,則對(duì)于登錄該文件夾所在主機(jī)的本地用戶(hù)而言,下列()有效。A、文件夾的NTFS權(quán)限B、文件夾的共享權(quán)限C、文件夾的共享權(quán)限和NTFS權(quán)限兩者的累加權(quán)限D(zhuǎn)、文件夾的共享權(quán)限和NTFS權(quán)限兩者中最嚴(yán)格的那個(gè)權(quán)限【正確答案】:A解析:

本地登錄時(shí)只受本地NTFS權(quán)限影響57.信息安全工程作為信息安全保障的重要組成部分,主要是為了解決?A、信息系統(tǒng)的技術(shù)架構(gòu)安全問(wèn)題B、信息系統(tǒng)組成部門(mén)的組件安全問(wèn)題C、信息系統(tǒng)生命周期的過(guò)程安全問(wèn)題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問(wèn)題【正確答案】:C解析:

教材P175,信息安全工程就是要解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題58.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制,不包括哪一項(xiàng)?A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物力和環(huán)境安全、通信和操作管理C、訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS【正確答案】:D解析:

教材P103,信息安全控制措施來(lái)自14個(gè)控制類(lèi)

59.在數(shù)據(jù)庫(kù)安全性控制中,授權(quán)的數(shù)據(jù)對(duì)象(),授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大【正確答案】:A解析:

授權(quán)的數(shù)據(jù)對(duì)象粒度越小,授權(quán)子系統(tǒng)就越靈活

60.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別,下面描述正確的是?A、WPA是有線局域安全協(xié)議,而WPA2是無(wú)線局域網(wǎng)協(xié)議B、WPA是適用于中國(guó)的無(wú)線局域安全協(xié)議,而WPA2適用于全世界的無(wú)線局域網(wǎng)協(xié)議C、WPA沒(méi)有使用密碼算法對(duì)接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對(duì)接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的【正確答案】:D解析:

教材P341,WPA-802.11i草案,WPA2-802.11i正式標(biāo)準(zhǔn)

61.以下哪一項(xiàng)不屬于常見(jiàn)的風(fēng)險(xiǎn)評(píng)估與管理工具:A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具【正確答案】:D解析:

教材P228,風(fēng)險(xiǎn)評(píng)估與管理工具的類(lèi)型:基于標(biāo)準(zhǔn)、基于知識(shí)、基于模型62.以下系統(tǒng)工程說(shuō)法錯(cuò)誤的是?A、系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B、系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論【正確答案】:A解析:

教材P175,系統(tǒng)工程不屬于基本理論,也不屬于技術(shù)基礎(chǔ),它所研究的重點(diǎn)是方法論。63.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說(shuō)法錯(cuò)誤的是:A、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段C、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素D、根據(jù)信息安全事件的分級(jí)參考要素,可將信息安全事件劃分為4個(gè)級(jí)別:特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))和一般事件(IV級(jí))【正確答案】:B解析:

教材P152-154,應(yīng)急響應(yīng)管理過(guò)程分為:準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤總結(jié)64.在Linux系統(tǒng)中,下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A、用戶(hù)名B、用戶(hù)口令…C、用戶(hù)主目錄D、用戶(hù)登錄后使用的SHELL【正確答案】:B解析:

passwd文件是保存Linux系統(tǒng)用戶(hù)信息的文件

1、用戶(hù)名:它唯一的標(biāo)志了一個(gè)用戶(hù),用戶(hù)登錄時(shí)就用戶(hù)它。

2、密碼:以前用戶(hù)的加密都是被保存在/etc/passwd文件中的第2個(gè)字段中,并且每個(gè)用戶(hù)都可以讀取,隨著計(jì)算機(jī)性能的發(fā)展,暴力破解變得相對(duì)比較容易,因此,現(xiàn)在linux采用一種“影子密碼”,用戶(hù)的密碼被保存在專(zhuān)門(mén)的/etc/shadow文件中,其權(quán)限不允許普通用戶(hù)查看,root用戶(hù)可以查看,了解詳細(xì)信息可執(zhí)行man5shadow。

3、用戶(hù)ID:USERID,簡(jiǎn)稱(chēng)UID,用一個(gè)整數(shù)表示。0是系統(tǒng)管理員賬號(hào),1-499是系統(tǒng)保留賬號(hào),500+即一般賬號(hào)

4、用戶(hù)組ID:簡(jiǎn)稱(chēng)GID,GID唯一的標(biāo)識(shí)了一個(gè)用戶(hù)組。

5、comment:給用戶(hù)賬號(hào)做注釋用的

6、主目錄:用戶(hù)的家目錄

7、登錄的shell:登錄shell通常是/bin/bash65.某軟件在設(shè)計(jì)時(shí),有三種用戶(hù)訪問(wèn)模式,分別是僅管理員可訪問(wèn)、所有合法用戶(hù)可訪問(wèn)和允許匿名訪問(wèn))采用這三種訪問(wèn)模式時(shí),攻擊面最高的是()。A、僅管理員可訪問(wèn)B、所有合法用戶(hù)可訪問(wèn)C、允許匿名D、三種方式一樣【正確答案】:C解析:

“允許匿名訪問(wèn)”的攻擊面最高66.從歷史演進(jìn)來(lái)看,信息安全的發(fā)展經(jīng)歷了多個(gè)階段。其中,有一個(gè)階段的特點(diǎn)是:網(wǎng)絡(luò)信息系統(tǒng)逐步形成,信息安全注重保護(hù)信息在存儲(chǔ)、處理和傳輸過(guò)程中免受非授權(quán)的訪問(wèn),開(kāi)始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個(gè)階段是?A、通信安全階段B、計(jì)算機(jī)安全階段C、信息系統(tǒng)安全階段D、信息安全保障階段【正確答案】:C解析:

教材P15,信息系統(tǒng)安全也曾被稱(chēng)為網(wǎng)絡(luò)安全,主要是保護(hù)信息在存儲(chǔ)、處理和傳輸過(guò)程中免受非授權(quán)的訪問(wèn),防止授權(quán)用戶(hù)的拒絕服務(wù),同時(shí)檢測(cè)、記錄和對(duì)抗此類(lèi)威脅。為了抵御這些威脅,人們開(kāi)始使用防火墻、防病毒、PKI、VPN等安全產(chǎn)品。67.根據(jù)相關(guān)標(biāo)準(zhǔn),信息安全風(fēng)險(xiǎn)管理可分為背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢(xún)等階段。按照該框架,文檔《風(fēng)險(xiǎn)分析報(bào)告》應(yīng)屬于哪個(gè)階段的輸出成果?A、風(fēng)險(xiǎn)評(píng)估B、風(fēng)險(xiǎn)處理C、批準(zhǔn)監(jiān)督D、監(jiān)控審查【正確答案】:A解析:

教材P90,風(fēng)險(xiǎn)評(píng)估后產(chǎn)生《風(fēng)險(xiǎn)分析報(bào)告》68.不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果,所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況,選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是?A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,得出可以量化的風(fēng)險(xiǎn)分析結(jié)果,以度量風(fēng)險(xiǎn)的可能性和損失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值,所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析,而不應(yīng)選擇定性風(fēng)險(xiǎn)分析C、定性風(fēng)險(xiǎn)分析過(guò)程中,往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行,所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀性,而定量風(fēng)險(xiǎn)分析更具客觀性【正確答案】:B解析:

實(shí)際工作中定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析都可以采用69.在某個(gè)信息系統(tǒng)實(shí)施案例中,A單位(甲方)允許B公司(乙方)在甲方的測(cè)試中開(kāi)發(fā)和部署業(yè)務(wù)系統(tǒng),同時(shí)為防范風(fēng)險(xiǎn),A單位在和B公司簽訂合同中,制定有關(guān)條款,明確了如果由于B公司操作原因引起的設(shè)備損壞,則B公司需按價(jià)賠償。可以看出,該賠償條款應(yīng)用了風(fēng)險(xiǎn)管理中()的風(fēng)險(xiǎn)處置措施。A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、轉(zhuǎn)移風(fēng)險(xiǎn)D、拒絕風(fēng)險(xiǎn)【正確答案】:C解析:

教材P142,合同屬于風(fēng)險(xiǎn)轉(zhuǎn)移70.信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF)由美國(guó)國(guó)家安全局(NSA)發(fā)布,最初目的是為保障美國(guó)政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南,其中,提出需要防護(hù)的三類(lèi)“焦點(diǎn)區(qū)域”是?A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、重要服務(wù)器B、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境C、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、計(jì)算環(huán)境D、網(wǎng)絡(luò)機(jī)房環(huán)境、網(wǎng)絡(luò)接口、重要服務(wù)器【正確答案】:B解析:

教材P29,四類(lèi)焦點(diǎn)區(qū)域:網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境、支撐性基礎(chǔ)設(shè)施71.數(shù)據(jù)庫(kù)的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是?A、最小特權(quán)原則,是讓用戶(hù)可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下,分配最小的特權(quán),使得這些信息恰好能夠完成用戶(hù)的工作B、最大共享策略,在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下,最大程度也共享數(shù)據(jù)庫(kù)中的信息C、粒度最小策略,將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分,粒度越小,安全級(jí)別越高,在實(shí)際中需要選擇最小粒度D、按內(nèi)容存取控制策略,不同權(quán)限的用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的不同部分【正確答案】:C解析:

數(shù)據(jù)庫(kù)安全粒度要根據(jù)實(shí)際需要進(jìn)行選擇,稱(chēng)為最適粒度安全策略。72.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制,資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類(lèi)兩個(gè)控制目標(biāo)。信息分類(lèi)控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù),通常采取以下哪項(xiàng)控制措施?A、資產(chǎn)清單B、資產(chǎn)責(zé)任人C、資產(chǎn)的可接受使用D、分類(lèi)指南、信息的標(biāo)記和處理【正確答案】:D解析:

教材P109,8.2:信息分類(lèi)、信息的標(biāo)記、資產(chǎn)的處理73.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法,它將應(yīng)急響應(yīng)分成六個(gè)階段。其中,主要執(zhí)行如下工作應(yīng)在哪一個(gè)階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過(guò)濾規(guī)則,拒絕來(lái)自發(fā)起攻擊的嫌疑主機(jī)流量、和/或封鎖被攻破的登錄賬號(hào)等。(

)A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測(cè)階段【正確答案】:B解析:

教材P153,典型特征“關(guān)閉系統(tǒng)”屬于遏制階段74.國(guó)家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí),以下哪項(xiàng)屬于絕密級(jí)的描述?A、處于國(guó)際先進(jìn)水平,并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的B、能夠局部反應(yīng)國(guó)家防御和治安實(shí)力的C、我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華,并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D、國(guó)際領(lǐng)先,并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】:D解析:

國(guó)家科學(xué)技術(shù)秘密的密級(jí)

(一)絕密級(jí)

1、國(guó)際領(lǐng)先,并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的;

2、能夠?qū)е赂咝录夹g(shù)領(lǐng)域突破的;

3、能夠整體反映國(guó)家防御和治安實(shí)力的。

(二)機(jī)密級(jí)

1、處于國(guó)際先進(jìn)水平,并且具有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的;

2、能夠局部反映國(guó)家防御和治安實(shí)力的;

3、我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華,并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝。

(三)秘密級(jí)

1、處于國(guó)際先進(jìn)水平,并且與國(guó)外相比在主要技術(shù)方面具有優(yōu)勢(shì),社會(huì)效益或者經(jīng)濟(jì)效益較大的;

2、我國(guó)獨(dú)有、受一定自然條件因素制約,并且社會(huì)效益或者經(jīng)濟(jì)效益很大的傳統(tǒng)工藝。75.通過(guò)向被攻擊者發(fā)送大量的ICMP回應(yīng)請(qǐng)求,消耗被攻擊者的資源來(lái)進(jìn)行響應(yīng),直至被攻擊者再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí),這種攻擊稱(chēng)之為?A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood【正確答案】:D解析:

ICMPFLOOD是一種DDOS攻擊,該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包,消耗主機(jī)資源,主機(jī)資源耗盡后就會(huì)癱瘓或者無(wú)法提供其他服務(wù)。

76.ApacheHTTPServer(簡(jiǎn)稱(chēng)Apache)是一個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái),在使用過(guò)程中,該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶(hù)端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)采取以下哪種措施?A、不選擇Windows平臺(tái),應(yīng)選擇在Linux平臺(tái)下安裝使用B、安裝后,修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后,刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer,并安裝使用【正確答案】:B解析:

Apache服務(wù)器的配置信息全部存儲(chǔ)在主配置文件/etc/httpd/conf/httpd.conf中77.隨著信息安全涉及的范圍越來(lái)越廣,各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切,越來(lái)越多的組織開(kāi)始嘗試使用參考ISO27001介紹的ISMS來(lái)實(shí)施信息安全管理體系,提高組織的信息安全管理能力。關(guān)于ISMS下面描述錯(cuò)誤的是?A、在組織中,應(yīng)由信息技術(shù)責(zé)任部門(mén)(如信息中心)制定并頒布信息安全方針,為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定,信息安全管理目標(biāo)應(yīng)明確、可度量,風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體、具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi),應(yīng)包括全體員工,同時(shí),也應(yīng)傳達(dá)客戶(hù)、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn),決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則,并確認(rèn)接受和相關(guān)殘余風(fēng)險(xiǎn)【正確答案】:A解析:

教材P103,信息安全方針由管理層制定78.國(guó)際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization)對(duì)信息安全的定義為?A、保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可能性、可控性和不可否認(rèn)性B、信息安全,有時(shí)縮寫(xiě)為InfoSec,是防止未經(jīng)授權(quán)的訪問(wèn)、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個(gè)可以用于任何形式數(shù)據(jù)(例如電子、物理)的通用術(shù)語(yǔ)C、在既定的密級(jí)條件下,網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力,這些事件和行為將威脅所存儲(chǔ)或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可能性、真實(shí)性、完整性和機(jī)密性D、為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的惡意的原因而受到破壞、更改、泄露【正確答案】:D解析:

教材P1,ISO對(duì)信息安全的定義描述。79.下面哪一項(xiàng)不是虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn):A、第二層隧道協(xié)議(L2TP)B、Internet安全性(IPSEC)C、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)D、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)【正確答案】:C解析:

教材P304,終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)是Cisco專(zhuān)屬協(xié)議

80.國(guó)務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,該文件中指出了我國(guó)在災(zāi)備工作原則,下面哪項(xiàng)不屬于該工作原則?A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】:B解析:

教材P169,《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》--做好重要信息系統(tǒng)災(zāi)難備份工作的基本原則重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅(jiān)持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則,充分調(diào)動(dòng)和發(fā)揮各方面的積極性,提高抵御災(zāi)難破壞能力和災(zāi)難恢復(fù)能力。81.Linux系統(tǒng)的安全設(shè)置主要從磁盤(pán)分區(qū)、賬戶(hù)安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶(hù)鑒別安全、審計(jì)策略、保護(hù)root賬戶(hù)、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來(lái)完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后,嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作,其中不合理的是?A、編輯文件/etc/passwD.檢查文件中用戶(hù)ID,禁用所有ID=0的用戶(hù)B、編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為noC、編輯文件/etc/pam.d/system-auth,設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D、編輯文件/etc/profile,設(shè)置TMOUT=600【正確答案】:A解析:

root用戶(hù):用戶(hù)ID為0的用戶(hù),也被稱(chēng)為超級(jí)用戶(hù),root用戶(hù)在系統(tǒng)上擁有完全權(quán)限,可以修改和刪除任何文件,可以運(yùn)行任何命令,可以取消任何進(jìn)程。root用戶(hù)負(fù)責(zé)增加和保留其他用戶(hù)、配置硬件、添加系統(tǒng)軟件。82.Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob。Bob再用自己的私鑰解密,恢復(fù)出明文。以下說(shuō)法正確的是:A、此密碼體制為對(duì)稱(chēng)密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】:D解析:

公鑰密碼體制中每個(gè)用戶(hù)都有一個(gè)密鑰對(duì),題干所述為公鑰加密,私鑰解密,用于確認(rèn)收件人,稱(chēng)為數(shù)字信封。83.分組密碼算法是一類(lèi)十分重要的密碼算法,下面描述中,錯(cuò)誤的是()A、分組密碼算法要求輸入明文按組分成固定長(zhǎng)度的塊B、分組密碼算法每次計(jì)算得到固定長(zhǎng)度的密文輸出塊C、分組密碼算法也稱(chēng)為序列密碼算法D、常見(jiàn)的DES、IDEA算法都屬于分組密碼算法【正確答案】:C解析:

分組密碼也稱(chēng)為塊密碼,序列密碼也稱(chēng)為流密碼。84.在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí),需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類(lèi)和賦值,關(guān)于資產(chǎn)價(jià)值的評(píng)估,以下選項(xiàng)中正確的是?A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)【正確答案】:C解析:

資產(chǎn)賦值的原則85.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BasePractices,BP),正確的理解是:A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒(méi)有經(jīng)過(guò)測(cè)試的C、一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項(xiàng)BP可以和其他BP有重疊【正確答案】:C解析:

教材P181,BP的特性:

1.應(yīng)用于整個(gè)組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實(shí)施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具86.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中,在施工前,以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容?A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】:A解析:

投資審核不是監(jiān)理的職責(zé)87.以下說(shuō)法正確的是?A、驗(yàn)收測(cè)試是由承建方和用戶(hù)按照用戶(hù)使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃,并提出審查意見(jiàn)D、軟件測(cè)試計(jì)劃開(kāi)始于軟件設(shè)計(jì)階段,完成于軟件開(kāi)發(fā)階段【正確答案】:C解析:

排除法

選項(xiàng)A:驗(yàn)收測(cè)試,系統(tǒng)開(kāi)發(fā)生命周期方法論的一個(gè)階段,這是相關(guān)的用戶(hù)和/或獨(dú)立測(cè)試人員根據(jù)測(cè)試計(jì)劃和結(jié)果對(duì)系統(tǒng)進(jìn)行測(cè)試和接收。它讓系統(tǒng)用戶(hù)決定是否接收系統(tǒng)。

選項(xiàng)B:軟件測(cè)試不只包括功能測(cè)試

選項(xiàng)D:軟件測(cè)試存在于軟件的整個(gè)生命周期88.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中,無(wú)法在Internet上使用。關(guān)于私有地址,下面描述正確的是(

)。A類(lèi)和B類(lèi)地址中沒(méi)有私有地址,C類(lèi)地址中可以設(shè)置私有地址B、A類(lèi)地址中沒(méi)有私有地址,B類(lèi)和C類(lèi)地址中可以設(shè)置私有地址C、A類(lèi)、B類(lèi)和C類(lèi)地址中都可以設(shè)置私有地址D、A類(lèi)、B類(lèi)和C類(lèi)地址中都沒(méi)有私有地址【正確答案】:C解析:

私有IP地址:

A類(lèi):10.*.*.*/8

B類(lèi):172.16.*.*~172.31.*.*/16

C類(lèi):192.168.*.*/16

89.下面對(duì)信息安全漏洞的理解中,錯(cuò)誤的是?A、討論漏洞應(yīng)該從生命周期的角度出發(fā),信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開(kāi)發(fā)、部署或維護(hù)階段,由于設(shè)計(jì)、開(kāi)發(fā)等相關(guān)人員無(wú)意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用,可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來(lái)安全損害,甚至帶來(lái)很大的經(jīng)濟(jì)損失D、由于人類(lèi)思維能力、計(jì)算機(jī)計(jì)算能力的局限性等因素,所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的【正確答案】:B解析:

排除法:A、C、D都正確,選項(xiàng)B:有些漏洞是人為設(shè)置的基于管理的目的留的“后門(mén)”90.在Windows7中,通過(guò)控制面板(管理工具——本地安全策略——安全設(shè)置——賬戶(hù)策略)可以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面,下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置()A、密碼必須符合復(fù)雜性要求B、密碼長(zhǎng)度最小值C、強(qiáng)制密碼歷史D、賬號(hào)鎖定時(shí)間【正確答案】:D解析:

賬號(hào)鎖定時(shí)間在賬號(hào)鎖定策略中91.某單位門(mén)戶(hù)網(wǎng)站開(kāi)發(fā)完成后,測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試,以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是:()A、模擬正常用戶(hù)輸入行為,生成大量數(shù)據(jù)包作為測(cè)試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析網(wǎng)站測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因,必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析【正確答案】:D解析:

模糊測(cè)試:通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障的方法,強(qiáng)制軟件程序使用畸形數(shù)據(jù),并觀察軟件運(yùn)行情況的一種測(cè)試方法。92.為保障信息系統(tǒng)的安全,某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案,并嚴(yán)格編制任務(wù)交給了小王,為此,小王決定首先編制出一份信息安全需求描述報(bào)告,關(guān)于此項(xiàng)工作,下面說(shuō)法錯(cuò)誤的是()A、信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者(用戶(hù))的角度出發(fā),使用規(guī)范化,結(jié)構(gòu)化的語(yǔ)言來(lái)描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果,業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來(lái)自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案【正確答案】:D解析:

先有需求,再有功能設(shè)計(jì)方案93.美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsAndTechnology,NIST)隸屬美國(guó)商務(wù)部,NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的?A、ISO27001《Informationtechnology–Securitytechniques–Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology–OpenSystems–TheDirectory:AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IPAuthenticateHeader》【正確答案】:C解析:

SP800是美國(guó)NIST(NationalInstituteofStandardsandTechnology)發(fā)布的一系列關(guān)于信息安全的指南(SP是SpecialPublications的縮寫(xiě))。文檔很多,也很細(xì),在NIST的標(biāo)準(zhǔn)系列文件中,雖然NISTSP并不作為正式法定標(biāo)準(zhǔn),但在實(shí)際工作中,已經(jīng)成為美國(guó)和國(guó)際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。NISTSP800系列成為指導(dǎo)美國(guó)信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。94.以下可能存在SQL注入攻擊的部分是?A、GET請(qǐng)求參數(shù)B、Post請(qǐng)求參數(shù)Cookie值D、以上均有可能【正確答案】:D解析:

SQL注入式攻擊中凡是可以傳遞到數(shù)據(jù)庫(kù)的數(shù)據(jù)都是攻擊對(duì)象95.實(shí)體身份鑒別的方法多種多樣,且隨著技術(shù)的進(jìn)步,鑒別方法的強(qiáng)度不斷提高,常見(jiàn)的方法有利用口令鑒別、令牌鑒別、指紋鑒別等。小王在登陸某移動(dòng)支付平臺(tái)時(shí),首先需要通過(guò)指紋對(duì)用戶(hù)身份進(jìn)行鑒別。通過(guò)鑒別后,他才能作為合法用戶(hù)使用自己的賬戶(hù)進(jìn)行支付、轉(zhuǎn)賬等操作。這種鑒別方法屬于下列選項(xiàng)中的?A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見(jiàn)的鑒別方法【正確答案】:C解析:

教材P294,指紋屬于實(shí)體特征96.下面有關(guān)軟件安全問(wèn)題的描述中,哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了三層WEB架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后直接訪問(wèn)數(shù)據(jù)庫(kù)B、使用C語(yǔ)言開(kāi)發(fā)時(shí),采用了一些存在安全問(wèn)題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶(hù)隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶(hù)隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時(shí),沒(méi)有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】:C解析:

題干強(qiáng)調(diào)軟件設(shè)計(jì)缺陷,選項(xiàng)A中的SQL注入漏洞是由軟件編碼問(wèn)題導(dǎo)致的97.以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】:A解析:

"27號(hào)文"的主要任務(wù)(重點(diǎn)加強(qiáng)的安全保障工作):

1.實(shí)行信息安全等級(jí)保護(hù);

2.加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè);

3.建設(shè)和完善信息安全監(jiān)控體系;

4.重視信息安全應(yīng)急處理工作;--選項(xiàng)D

5.加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā),推進(jìn)信息安全產(chǎn)業(yè)發(fā)展;

6.加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè);

7.加快信息安全人才培養(yǎng),增強(qiáng)全民信息安全意識(shí);--選項(xiàng)C

8.保證信息安全資金;--選項(xiàng)B

9.加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo),建立健全信息安全管理責(zé)任制。98.入侵防御系統(tǒng)(IPS)是繼入侵檢測(cè)系統(tǒng)(IDS)后發(fā)展起來(lái)的一項(xiàng)新的安全技術(shù),它與IDS有著許多不同點(diǎn),請(qǐng)指出下列哪一項(xiàng)描述不符合IPS的特點(diǎn)?A、串接到網(wǎng)絡(luò)線路中B、對(duì)異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點(diǎn)故障D、不會(huì)影響網(wǎng)絡(luò)性能【正確答案】:D解析:

IPS設(shè)備要串聯(lián)到網(wǎng)絡(luò)中,因此會(huì)影響性能99.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)?A、信息系統(tǒng)集成項(xiàng)目要以滿(mǎn)足客戶(hù)和用戶(hù)的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù),開(kāi)發(fā)相應(yīng)的軟件和硬件,將其集成到信息系統(tǒng)的過(guò)程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù),管理和商務(wù)等方面,是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】:B解析:

信息系統(tǒng)集成項(xiàng)目實(shí)施過(guò)程中不追求最好的產(chǎn)品和技術(shù),可能有風(fēng)險(xiǎn)。100.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開(kāi)發(fā)一個(gè)業(yè)務(wù)軟件,對(duì)于軟件開(kāi)發(fā)安全投入經(jīng)費(fèi)研討時(shí)開(kāi)發(fā)部門(mén)和信息中心就發(fā)生了分歧,開(kāi)發(fā)部門(mén)認(rèn)為開(kāi)發(fā)階段無(wú)需投入,軟件開(kāi)發(fā)完成后發(fā)現(xiàn)問(wèn)題后再針對(duì)性的解決,比前期安全投入要成本更低;信息中心則認(rèn)為應(yīng)在軟件安全開(kāi)發(fā)階段投入,后期解決代價(jià)太大,雙方爭(zhēng)執(zhí)不下,作為信息安全專(zhuān)家,請(qǐng)選擇對(duì)軟件開(kāi)發(fā)安全投入的準(zhǔn)確說(shuō)法?A、信息中心的考慮是正確的,在軟件立項(xiàng)投入解決軟件安全問(wèn)題,總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低B、軟件開(kāi)發(fā)部門(mén)的說(shuō)法是正確的,因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在,安排人員進(jìn)行代碼修訂更簡(jiǎn)單,因此費(fèi)用更低C、雙方的說(shuō)法都正確,需要根據(jù)具體情況分析是開(kāi)發(fā)階段投入解決問(wèn)題還是在上線后再解決問(wèn)題費(fèi)用更低D、雙方的說(shuō)法都錯(cuò)誤,軟件安全問(wèn)題在任何時(shí)候投入解決都可以,只要是一樣的問(wèn)題,解決的代價(jià)相同【正確答案】:A解析:

項(xiàng)管常識(shí)-軟件安全問(wèn)題越早解決成本越低101.訪問(wèn)控制方法可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制,他們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問(wèn)控制方法,要求能夠支持最小特權(quán)原則和職責(zé)分離原則,而且在不同的系統(tǒng)配置下可以具有不同的安全控制,那么在下列選項(xiàng)中,能夠滿(mǎn)足以上要求的選項(xiàng)是()。A、自主訪問(wèn)控制B、強(qiáng)制訪問(wèn)控制C、基于角色的訪問(wèn)控制D、以上選項(xiàng)都可以【正確答案】:C解析:

教材P315,RBAC較好地支持最小特權(quán)原則,還能實(shí)施職責(zé)分離原則102.某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后,形成了若干文檔,下面(

)中的文檔不應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出的文檔。A、《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》,主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》,主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C、《已有安全措施列表》,主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》,主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、資產(chǎn)分類(lèi)標(biāo)準(zhǔn)、資產(chǎn)分類(lèi)準(zhǔn)則等內(nèi)容【正確答案】:C解析:

教材P260,風(fēng)險(xiǎn)評(píng)估各階段的輸出文檔,見(jiàn)下圖。

103./etc/passwd文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶(hù)登錄時(shí)校驗(yàn)用戶(hù)的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶(hù)ID(UID)、默認(rèn)的用戶(hù)分組ID(GID)、用戶(hù)信息、用戶(hù)登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶(hù)管理系統(tǒng)的passwd文件后,發(fā)現(xiàn)每個(gè)用戶(hù)的加密的口令數(shù)據(jù)項(xiàng)都顯示為’x’。下列選項(xiàng)中,對(duì)此現(xiàn)象的解釋正確的是?A、黑客竊取的passwd文件是假的B、用戶(hù)的登錄口令經(jīng)過(guò)不可逆的加密算法加密結(jié)果為‘X‘C、加密口令被轉(zhuǎn)移到了另一個(gè)文件里D、這些賬戶(hù)都被禁用了【正確答案】:C解析:

影子口令系統(tǒng)把口令文件分成兩部分:/etc/passwd和影子口令文件。影子口令文件保存加密的口令;/etc/passwd中的coded-password域都被置為"X"或其他替代符號(hào)。影子口令文件只能被root或像passwd這樣的set_uid程序在需要合法訪問(wèn)時(shí)讀取,其他所有非授權(quán)用戶(hù)都被拒絕訪問(wèn)。104.公司甲做了很多政府網(wǎng)站安全項(xiàng)目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí),借鑒以前項(xiàng)目經(jīng)驗(yàn),為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施,但用戶(hù)提出不需要這些加密措施,理由是影響了網(wǎng)站性能,使用戶(hù)訪問(wèn)量受限。雙方引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的?A、乙對(duì)信息安全不重視,低估了黑客能力,不舍得花錢(qián)B、甲在需求分析階段沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估,所部屬的加密針對(duì)性不足,造成浪費(fèi)C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn),與甲共同確定網(wǎng)站安全需求【正確答案】:A解析:

排除法105.目前,信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅,從威脅能力和掌握資源分,這些威脅可以按照個(gè)人威脅、組織威脅和國(guó)家威脅三個(gè)層面劃分,則下面選項(xiàng)中屬于組織威脅的是?A、喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂(lè)型黑客B、實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C、搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)D、鞏固戰(zhàn)略?xún)?yōu)勢(shì),執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)【正確答案】:B解析:

教材P46,A:個(gè)人威脅;C:國(guó)家威脅;D:國(guó)家威脅106.Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來(lái)表示,對(duì)于文件名為test的一個(gè)文件,屬于Admin組中user用戶(hù),以下哪個(gè)是該文件正確的模式表示?A、-rwxr-xr-x3userAdmin1024Sep1311:58testB、drwxr-xr-x3userAdmin1024Sep1311:58testC、rwxr-xr-x3Adminuser1024Sep1311:58testD、drwxr-xr-x3Adminuser1024Sep1311:58test【正確答案】:A解析:

-rwxr-xr-x3useradmin1024Sep1311:58test

第一個(gè)字符代表文件(-)、目錄(d),鏈接(l),其余字符每3個(gè)一組(rwx),讀(r)、寫(xiě)(w)、執(zhí)行(x);3表示連接的文件數(shù);User表示用戶(hù);Admin表示用戶(hù)所在的組;1024表示文件大??;Sep1311:58表示是最后修改時(shí)間;Test表示文件名

107.某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求前置機(jī)開(kāi)放日志共享,有總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取哪項(xiàng)處理措施?A、由于共享導(dǎo)致了安全問(wèn)題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析B、為配合總部的安全策略,會(huì)帶來(lái)一定的安全問(wèn)題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)C、日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過(guò)設(shè)置讓前置機(jī)不記錄日志D、只允許特定的IP地址從前置機(jī)提取日志,對(duì)日志共享設(shè)置,對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間【正確答案】:D解析:

選項(xiàng)A\B\C的描述均有明顯錯(cuò)誤-絕對(duì)化,選項(xiàng)D是正確的策略設(shè)置

108.以下關(guān)于https協(xié)議與http協(xié)議相比交的優(yōu)勢(shì)說(shuō)明,那個(gè)是正確的?A、Https協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密,可以避免嗅探等攻擊行為B、Https使用的端口與http不同,讓攻擊者不容易找到端口,具有較高的安全性C、Https協(xié)議是http協(xié)議的補(bǔ)充,不能獨(dú)立運(yùn)行,因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機(jī)制,在會(huì)話(huà)過(guò)程中不傳輸用戶(hù)名和密碼,因此具有較高的安全性【正確答案】:A解析:

HTTPS(HyperTextTransferProtocoloverSecureSocketLayer),是以安全為目標(biāo)的HTTP通道,在HTTP的基礎(chǔ)上通過(guò)傳輸加密和身份認(rèn)證保證了傳輸過(guò)程的安全性

。HTTPS在HTTP的基礎(chǔ)下加入SSL,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊,例如交易支付等方面

109.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問(wèn)制定訪問(wèn)策略,針對(duì)每個(gè)用戶(hù)指明能夠訪問(wèn)的資源,對(duì)于不在指定資源列表中的對(duì)象不允許訪問(wèn)。該訪問(wèn)控制策略屬于以下哪一種?A、強(qiáng)制訪問(wèn)控制B、基于角色的訪問(wèn)控制C、自主訪問(wèn)控制D、基于任務(wù)的訪問(wèn)控制【正確答案】:C解析:

教材P306,DAC-自主訪問(wèn)控制是一種對(duì)單個(gè)用戶(hù)執(zhí)行訪問(wèn)控制的過(guò)程和措施

110.對(duì)于數(shù)字證書(shū)而言,一般采用的是哪個(gè)標(biāo)準(zhǔn)?A、ISO/IEC15408B、802.11C、GB/T20984D、X.509【正確答案】:D解析:

教材P287,國(guó)際標(biāo)準(zhǔn)X.509定義了電子證書(shū)的規(guī)范格式

選項(xiàng)A:CC標(biāo)準(zhǔn)以“ISO/IEC15408-1999”編號(hào)正式列入國(guó)際標(biāo)準(zhǔn)系列

選項(xiàng)B:802.11

無(wú)線局域網(wǎng)標(biāo)準(zhǔn)

選項(xiàng)C:GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》

111.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過(guò)部署安全控制措施消滅了風(fēng)險(xiǎn)B、是否可以抵抗大部分風(fēng)險(xiǎn)C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)【正確答案】:D解析:

風(fēng)險(xiǎn)管理的目標(biāo)就是把風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)112.自2004年1月起,國(guó)內(nèi)各有關(guān)部門(mén)在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí),必須經(jīng)由以下哪個(gè)組織提出工作情況,協(xié)調(diào)一致后由該組織申報(bào)。A、全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)B、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)C、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCCA)D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)【正確答案】:B解析:

教材P68113.Windows系統(tǒng)中,安全標(biāo)識(shí)符(SID)是標(biāo)識(shí)用戶(hù)、組和計(jì)算機(jī)賬戶(hù)的唯一編碼,在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶(hù)、組、服務(wù)或者其他安全主體訪問(wèn)對(duì)象的權(quán)限時(shí),操作系統(tǒng)會(huì)把SID和權(quán)限寫(xiě)入對(duì)象的ACL中,小劉在學(xué)習(xí)了SID的組成后,為了鞏固所學(xué)知識(shí),在

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論