CISP考試認(rèn)證(習(xí)題卷15)_第1頁(yè)
CISP考試認(rèn)證(習(xí)題卷15)_第2頁(yè)
CISP考試認(rèn)證(習(xí)題卷15)_第3頁(yè)
CISP考試認(rèn)證(習(xí)題卷15)_第4頁(yè)
CISP考試認(rèn)證(習(xí)題卷15)_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

試卷科目:CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷15)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分:?jiǎn)雾?xiàng)選擇題,共92題,每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.分析針對(duì)Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問(wèn)題的,就是說(shuō)攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)Web應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯(cuò)誤的是()A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯(cuò)誤的訪問(wèn)控制答案:D解析:[單選題]2.網(wǎng)絡(luò)隔離技術(shù),根據(jù)公認(rèn)的說(shuō)法,迄今已經(jīng)發(fā)展了____個(gè)階段。A)A六B)B五C)C四D)D三答案:B解析:[單選題]3.分析針對(duì)WeB的攻擊前,先要明白http協(xié)議本身是不存在安全性的問(wèn)題的,就是說(shuō)攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的weD應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)WeB應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯(cuò)誤的是()A)拒絕服務(wù)攻擊B)網(wǎng)址重定向C)傳輸保護(hù)不足D)錯(cuò)誤的訪問(wèn)控制答案:D解析:[單選題]4.我國(guó)標(biāo)準(zhǔn)《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336)對(duì)信息產(chǎn)品安全的測(cè)評(píng)認(rèn)證由低到高劃分了若干個(gè)級(jí)別,其中最低級(jí)別主要是面向個(gè)人及簡(jiǎn)單商用環(huán)境,需要保護(hù)的信息價(jià)值較低,該級(jí)別是()A)EAL1B)EAL3C)EAL5D)EAL7答案:A解析:[單選題]5.利用上面請(qǐng)求方法可以在HTTP響應(yīng)頭信息中,allow允許哪種請(qǐng)求方式A)GETB)POSTC)OPTIONSD)以上都是答案:C解析:[單選題]6.?進(jìn)不來(lái)??拿不走??看不懂??改不了??走不脫?是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中,?看不懂?是指下面那種安全服務(wù):A)、數(shù)據(jù)加密B)、身份認(rèn)證C)、數(shù)據(jù)完整性D)、訪問(wèn)控制答案:A解析:[單選題]7.《網(wǎng)絡(luò)安全法》于以下那個(gè)日期正式實(shí)施?A)2014年2月27日B)2015年6月26日C)2016年11月7日D)2017年6月1日答案:D解析:[單選題]8.SQLSever中可以使用哪個(gè)存儲(chǔ)過(guò)程調(diào)用操作系統(tǒng)命令,添加系統(tǒng)賬號(hào)?()?A)xp_dirtreeB)xp_xshellC)xp_cmdshellD)xpdeletekey答案:C解析:[單選題]9.下面對(duì)?零日(Zeroday)漏洞?的理解中,正確的是()A)指一個(gè)特定的漏洞,該漏洞每年1月1日零點(diǎn)發(fā)作,可以被攻擊者用來(lái)遠(yuǎn)程攻擊獲取主機(jī)權(quán)限B)指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞,該漏洞被?震網(wǎng)?病毒所利用,用來(lái)攻擊基礎(chǔ)設(shè)施C)指一類漏洞,即特別好被利用,一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊,且成功達(dá)到攻擊目標(biāo)D)指一類漏洞,即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞,一般來(lái)說(shuō)那些已經(jīng)被小部分人發(fā)現(xiàn),但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞答案:D解析:[單選題]10.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制,資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo),信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級(jí)別的保護(hù),通常采取以上哪項(xiàng)控制措施()A)資產(chǎn)清單B)資產(chǎn)責(zé)任人C)資產(chǎn)的可接受使用D)分類指南,信息的標(biāo)記和處理答案:D解析:P109頁(yè)。[單選題]11.企業(yè)信息安全事件的恢復(fù)過(guò)程中,以下哪個(gè)是最關(guān)鍵的A)應(yīng)用系統(tǒng)B)通信鏈路C)硬件/軟件D)數(shù)據(jù)答案:D解析:[單選題]12.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力,主要包括四個(gè)具體指標(biāo):恢復(fù)時(shí)間目標(biāo)(RecoveryTimeOhjective,RTO).恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective,RPO)降級(jí)操作目標(biāo)(DegradedOperationsObjective-DOO)和網(wǎng)絡(luò)恢復(fù)目標(biāo)(NeLworkRecoveryObjective-NRO),小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO-O,以下描述中,正確的是()。A)RPO-O,相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失,但需要進(jìn)行業(yè)務(wù)恢復(fù)處理,覆蓋原有信息B)RPO-O,相當(dāng)于所有數(shù)據(jù)全部丟失,需要進(jìn)行業(yè)務(wù)恢復(fù)處理。修復(fù)數(shù)據(jù)丟失C)RPO-O,相當(dāng)于部分?jǐn)?shù)據(jù)丟失,需要進(jìn)行業(yè)務(wù)恢復(fù)處理,修復(fù)數(shù)據(jù)丟失D)RPO-O,相當(dāng)于沒(méi)有任何數(shù)據(jù)丟失,且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理答案:A解析:[單選題]13.下列關(guān)于面向?qū)ο鬁y(cè)試問(wèn)題的說(shuō)法中,不正確的是()A)在面向?qū)ο筌浖y(cè)試時(shí),設(shè)計(jì)每個(gè)類的測(cè)試用例時(shí),不僅僅要考慮用各個(gè)成員方法的輸入?yún)?shù),還需要考慮如何設(shè)計(jì)調(diào)用的序列B)構(gòu)造抽象類的驅(qū)動(dòng)程序會(huì)比構(gòu)造其他類的驅(qū)動(dòng)程序復(fù)雜C)類B繼承自類A,如果對(duì)B進(jìn)行了嚴(yán)格的測(cè)試,就意味著不需再對(duì)類A進(jìn)行測(cè)試D)在存在多態(tài)的情況下,為了達(dá)到較高的測(cè)試充分性,應(yīng)對(duì)所有可能的綁定都進(jìn)行測(cè)試答案:C解析:[單選題]14.下面有關(guān)軟件安全問(wèn)題的描述中,哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A)設(shè)計(jì)了三層WEB架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后直接訪問(wèn)數(shù)據(jù)庫(kù)B)使用C語(yǔ)言開(kāi)發(fā)時(shí),采用了一些存在安全問(wèn)題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出漏洞C)設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)D)使用了符合要求的密碼算法,但在使用算法接口時(shí),沒(méi)有按照要求生成密鑰,導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案:C解析:[單選題]15.18.信息可以以多種形式存在。它可以打印或?qū)懺诩埳稀⒁裕ǎ?、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用()。無(wú)論信息以什么形式存在,用哪種方法存儲(chǔ)或共享,都宜對(duì)它進(jìn)行適當(dāng)?shù)乇Wo(hù)。()是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)(),業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和()。A)語(yǔ)言表達(dá);電子方式存儲(chǔ);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化B)電子方式存儲(chǔ);語(yǔ)言表達(dá);連續(xù)性;信息安全;商業(yè)機(jī)遇最大化C)電子方式存儲(chǔ);連續(xù)性,語(yǔ)言表達(dá);信息安全;商業(yè)機(jī)遇最大化D)電子方式存儲(chǔ);語(yǔ)言表達(dá);信息安全;連續(xù)性;商業(yè)機(jī)遇最大化答案:D解析:[單選題]16.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明:風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是:A)R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù),A表示資產(chǎn),T表示威脅,V表示脆弱性B)L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C)F表示安全事件發(fā)生后造成的損失D)Ia,Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度答案:D解析:Ia資產(chǎn)A的價(jià)值:Va資產(chǎn)A的脆弱性。[單選題]17.2005年,RFC4301(RequestforComments4301:SecurityArchitecturefortheInternetProtocol)發(fā)布,用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu),描述如何在IP層(IPv4/IPv6)位流量提供安全業(yè)務(wù)。請(qǐng)問(wèn)此類RFC系列標(biāo)準(zhǔn)建議是由下面哪個(gè)組織發(fā)布的A)國(guó)際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization,ISO)B)國(guó)際電工委員會(huì)(InternationalElectrotechnicalCommission,IEC)C)國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織(ITUTelecommunicationStandardizationSector,ITU-T)D)Internet工程任務(wù)組(InternetEngineeringTaskForce,IETF)答案:D解析:Internet[單選題]18.96.以下關(guān)于UDP協(xié)議的說(shuō)法,哪個(gè)是錯(cuò)誤的?A)UDP具有簡(jiǎn)單高效的特點(diǎn),常被攻擊者用來(lái)實(shí)施流量型拒絕服務(wù)攻擊B)UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào),因此UDP可通過(guò)端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序C)相比TCP協(xié)議,UDP協(xié)議的系統(tǒng)開(kāi)銷更小,因此常用來(lái)傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D)UDP協(xié)議不僅具有流量控制,超時(shí)重發(fā)機(jī)制,還能提供加密等服務(wù),因此常用來(lái)傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù)答案:D解析:[單選題]19.來(lái)自終端的電磁泄露風(fēng)險(xiǎn),因?yàn)樗鼈?A)導(dǎo)致噪音污染B)n破壞處理程序C)n產(chǎn)生危險(xiǎn)水平的電流D)n可以被捕獲并還原答案:D解析:[單選題]20.27.Linux系統(tǒng)中常用數(shù)字來(lái)表示文件的訪問(wèn)權(quán)限,假設(shè)某文件的訪問(wèn)限制使用了755來(lái)表示,則下面哪項(xiàng)是正確的()A)這個(gè)文件可以被任何用戶讀和寫(xiě)B(tài))這個(gè)可以被任何用戶讀和執(zhí)行C)這個(gè)文件可以被任何用戶寫(xiě)和執(zhí)行D)這個(gè)文件不可以被所有用戶寫(xiě)和執(zhí)行答案:B解析:[單選題]21.在提供給一個(gè)外部代理商訪問(wèn)信息處理設(shè)施前,一個(gè)組織應(yīng)該怎么做?A)外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS審計(jì)。B)外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C)來(lái)自外部代理商的任何訪問(wèn)必須限制在?;饏^(qū)(DMZ)D)該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定和實(shí)施適當(dāng)?shù)目刂?。答?D解析:[單選題]22.密碼處理依靠使用密鑰,密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個(gè)密鑰算法在加密數(shù)據(jù)與解密時(shí)使用相同的密鑰?A)、散列算法B)、隨機(jī)數(shù)生成算法C)、對(duì)稱密鑰算法D)、非對(duì)稱密鑰算法答案:C解析:[單選題]23.下面哪一個(gè)不是高層安全方針?biāo)P(guān)注的A)識(shí)別關(guān)鍵業(yè)務(wù)目標(biāo)B)定義安全組織職責(zé)C)定義安全目標(biāo)D)定義防火墻邊界防護(hù)策略答案:D解析:[單選題]24.某銀行有5臺(tái)交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò),在基于以太網(wǎng)的通信中,計(jì)算機(jī)A需要與計(jì)算機(jī)B通信,A必須先廣播?ARP請(qǐng)求信息?,獲取計(jì)算機(jī)B的物理地址。每到月底時(shí)用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢。銀行經(jīng)調(diào)查發(fā)現(xiàn)為了當(dāng)其中一臺(tái)交換機(jī)收到ARP請(qǐng)求后,會(huì)轉(zhuǎn)發(fā)給接收端口以外的其他端口,ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機(jī)上。為降低網(wǎng)絡(luò)的帶寬消耗,將廣播流限制在固定區(qū)域內(nèi),可以采用的技術(shù)是()A)VLAN劃分B)動(dòng)態(tài)分配地址C)為路由交換設(shè)備修改默認(rèn)口令D)設(shè)立入侵防御系統(tǒng)答案:A解析:[單選題]25.CB/T20984-2007《信息安全技術(shù)信息安全義批詳選規(guī)范》、對(duì)10個(gè)()進(jìn)行了定義闡述其相關(guān)關(guān)系,規(guī)定了()的原理和()規(guī)定了風(fēng)險(xiǎn)評(píng)估實(shí)施的7個(gè)階段的具體方法和要求,規(guī)定了針對(duì)信息系統(tǒng)()5個(gè)階段風(fēng)險(xiǎn)評(píng)估的常見(jiàn)(),給出了風(fēng)險(xiǎn)評(píng)估的一般計(jì)算方法和相關(guān)工具建議。A)風(fēng)險(xiǎn)要素;風(fēng)險(xiǎn)評(píng)估;實(shí)施流程;生命周期;工作形式B)風(fēng)險(xiǎn)要素;實(shí)施流程;風(fēng)險(xiǎn)評(píng)估;生命周期;工作形式C)風(fēng)險(xiǎn)要素;生命周期;風(fēng)險(xiǎn)評(píng)估;實(shí)施流程;工作形式D)風(fēng)險(xiǎn)要素;工作形式;風(fēng)險(xiǎn)評(píng)估;實(shí)施流程;生命周期答案:A解析:[單選題]26.風(fēng)險(xiǎn),在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面,如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等:目標(biāo)也可能有不同的級(jí)別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等,ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型,如圖所示。請(qǐng)結(jié)合此圖,怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響?()A)組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求,通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響B(tài))加強(qiáng)防護(hù)措施,降低風(fēng)險(xiǎn)C)減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D)減少資產(chǎn)降低風(fēng)險(xiǎn)答案:A解析:[單選題]27.TCP/IP協(xié)議是Internet構(gòu)成的基礎(chǔ),TCP/IP通常被認(rèn)為是一個(gè)N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的功能,這里N應(yīng)等于()。A)4B)5C)6D)7答案:A解析:[單選題]28.某公司內(nèi)網(wǎng)的Web開(kāi)發(fā)服務(wù)器只對(duì)內(nèi)網(wǎng)提供訪問(wèn)(Web服務(wù)器監(jiān)聽(tīng)8080端口,內(nèi)網(wǎng)信任網(wǎng)段為/24)。管理員李工使用iptables來(lái)限制訪問(wèn)。下列正確的iptables規(guī)則是A)iptables-AINPUT-ptcp-s--dport8080-jACCEPTB)iptables-AINPUT-ptcp--dport8080-jACCEPTC)iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD)iptables-AINPUT-ptcp/24--dport8080-jACCEPT答案:C解析:[單選題]29.安全審計(jì)是事后認(rèn)定違反安全規(guī)則行為的分析技術(shù),在檢測(cè)違反安全規(guī)則方面、準(zhǔn)確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以對(duì)事件發(fā)生的事后分析方面,都發(fā)揮著巨大的作用。但安全審計(jì)也有無(wú)法實(shí)現(xiàn)的功能,以下哪個(gè)需求是網(wǎng)絡(luò)安全審計(jì)無(wú)法實(shí)現(xiàn)的功能()A)發(fā)現(xiàn)系統(tǒng)中存儲(chǔ)的漏洞和缺陷B)發(fā)現(xiàn)用戶的非法操作行為C)發(fā)現(xiàn)系統(tǒng)中存在后門(mén)及惡意代碼D)發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱答案:D解析:[單選題]30.下面哪項(xiàng)是信息安全管理體系中CHECK(檢查)中的工作內(nèi)容?A)按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審B)實(shí)施所選擇的控制措施C)采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D)確保改進(jìn)達(dá)到了預(yù)期目標(biāo)答案:A解析:[單選題]31.以下哪一個(gè)不是網(wǎng)絡(luò)隱藏技術(shù)?A)端口復(fù)用B)"無(wú)端口技術(shù)"C)反彈端口技術(shù)D)DLL注入答案:D解析:[單選題]32.相比文件配置表(FAT)文件系統(tǒng),以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)?A)NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新,當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問(wèn)題而引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B)NTFS的分區(qū)上,可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C)對(duì)于大磁盤(pán),NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容Linux下EXT2文件格式答案:D解析:[單選題]33.根據(jù)信息安全風(fēng)險(xiǎn)要素之間的關(guān)系,下圖中空白處應(yīng)該填寫(xiě)()A)資產(chǎn)B)安全事件C)脆弱性D)安全措施答案:C解析:風(fēng)險(xiǎn)的原理是威脅利用脆弱性,造成對(duì)資產(chǎn)的風(fēng)險(xiǎn)。[單選題]34.風(fēng)險(xiǎn)控制是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇和實(shí)施合適的安全措施。下面哪個(gè)不是風(fēng)險(xiǎn)控制的方式?A)規(guī)避風(fēng)險(xiǎn)B)轉(zhuǎn)移風(fēng)險(xiǎn)C)接受風(fēng)險(xiǎn)D)降低風(fēng)險(xiǎn)答案:C解析:[單選題]35.82.在Linux系統(tǒng)中,下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A)用戶名B)用戶口令C)C.用戶主目錄D)D.用戶登錄后使用的SHELL答案:B解析:[單選題]36.關(guān)于信息安全管理,說(shuō)法錯(cuò)誤的是:A)信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性,以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。B)信息安全管理是一個(gè)多層面、多因素的過(guò)程,依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。C)實(shí)現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D)信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個(gè)靜態(tài)過(guò)程。答案:D解析:信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個(gè)動(dòng)態(tài)過(guò)程。[單選題]37.14.某單位計(jì)劃在今年開(kāi)發(fā)一套辦公自動(dòng)化(OA)系統(tǒng),將集團(tuán)公司各地的機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公,在OA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上,提出了不少安全開(kāi)發(fā)的建議,作為安全專家,請(qǐng)指出大家提供的建議中不太合適的一條?A)對(duì)軟件開(kāi)發(fā)商提出安全相關(guān)要求,確保軟件開(kāi)發(fā)商對(duì)安全足夠的重視,投入資源解決軟件安全問(wèn)題B)要求軟件開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)培訓(xùn),是開(kāi)發(fā)人員掌握基本軟件安全開(kāi)發(fā)知識(shí)C)要求軟件開(kāi)發(fā)商使用Java而不是ASP作為開(kāi)發(fā)語(yǔ)言,避免產(chǎn)生SQL注入漏洞D)要求軟件開(kāi)發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì),各模塊明確輸入和輸出數(shù)據(jù)格式,并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)答案:C解析:[單選題]38.設(shè)施、網(wǎng)絡(luò)、平臺(tái)、介質(zhì)、應(yīng)用類信息資產(chǎn)的保密期限為A)3年B)長(zhǎng)期C)4月D)短期答案:B解析:[單選題]39.有關(guān)信息安全事件的描述不正確的是?A)信息安全事件的處理應(yīng)該分類、分級(jí)B)信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C)對(duì)于一些信息安全隱患,如果還沒(méi)造成損失,就沒(méi)必要進(jìn)行報(bào)告。D)信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯,以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn),防止類似事情再次發(fā)生答案:C解析:[單選題]40.20.隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中,Web成為一種普適平臺(tái),上面承載了越來(lái)越多的核心業(yè)務(wù)。Web的開(kāi)放性帶來(lái)豐富資源、高效率、新工作方式的同時(shí),也使機(jī)構(gòu)的重要信息暴露在越來(lái)越多的威脅中。去年,某個(gè)本科院校網(wǎng)站遭遇SQL群注入(MassSQLInjection)攻擊,網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名,所以該校在某信息安全公司的建議下配置了狀態(tài)檢測(cè)防火墻,其原因不包括:A)狀態(tài)檢測(cè)防火墻可以應(yīng)用會(huì)話信息決定過(guò)濾規(guī)則B)狀態(tài)檢測(cè)防火墻具有記錄通過(guò)每個(gè)包的詳細(xì)信息能力C)狀態(tài)檢測(cè)防火墻過(guò)濾規(guī)則與應(yīng)用層無(wú)關(guān),相比于包過(guò)濾防火墻更易安裝和使用D)狀態(tài)檢測(cè)防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動(dòng)作答案:C解析:[單選題]41.在信息安全管理體系的實(shí)施過(guò)程中,管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()。A)確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可實(shí)施B)制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求C)建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程,確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確D)向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性答案:C解析:?實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程?不屬于管理者責(zé)任。[單選題]42.2005年,RFC4301(RequestforComments4301:SecurityArchitecturefortheIntermetProtocol)發(fā)布,用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu),描述如何在IP層(IPv4/IPv6)為流量提供安全業(yè)務(wù),請(qǐng)問(wèn)此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個(gè)組織發(fā)布的()A)國(guó)際標(biāo)準(zhǔn)化組織B)國(guó)際電工委員會(huì)C)國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D)Internet工程任務(wù)組答案:D解析:[單選題]43.下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容A)安全測(cè)試B)檢查與配置C)配置變更D)人員培訓(xùn)答案:C解析:[單選題]44.IPv4訪問(wèn)列表末尾隱含拒絕哪種協(xié)議A)IPB)TCPC)UDPD)HTTP答案:A解析:[單選題]45.以下對(duì)信息安全管理的描述錯(cuò)誤的是A)信息安全管理的核心就是風(fēng)險(xiǎn)管理B)人們常說(shuō),三分技術(shù),七分管理,可見(jiàn)管理對(duì)信息安全的重要性C)安全技術(shù)是信息安全的構(gòu)筑材料,安全管理是真正的粘合劑和催化劑D)信息安全管理工作的重點(diǎn)是信息系統(tǒng),而不是人答案:D解析:[單選題]46.82.下列哪一項(xiàng)不屬于模糊測(cè)試(fuzz)的特性A)主要針對(duì)軟件漏洞或可靠性錯(cuò)誤進(jìn)行測(cè)試B)采用大量測(cè)試用例進(jìn)行激勵(lì)響應(yīng)測(cè)試C)一種試探性測(cè)試方法,沒(méi)有任何理論依據(jù)D)利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試目標(biāo)產(chǎn)生異常答案:C解析:[單選題]47.基于攻擊方式可以將黑客攻擊分為主動(dòng)攻擊和被動(dòng)攻擊,以下哪一項(xiàng)不屬于主動(dòng)攻擊A)中斷B)篡改C)偵聽(tīng)D)偽造答案:C解析:[單選題]48.POP服務(wù)器使用的端口號(hào)是____。A)TC.P端口25B)TC.P端口110C)TC.P端口143D)TC.P端口23答案:B解析:[單選題]49.負(fù)責(zé)授權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于:A)數(shù)據(jù)擁有者B)安全管理員C)IT安全經(jīng)理D)請(qǐng)求者的直接上司答案:A解析:[單選題]50.下列關(guān)于軟件安全開(kāi)發(fā)中的BSI(BuildSecurityIn)系列模型說(shuō)法錯(cuò)誤的是()A)BIS含義是指將安全內(nèi)建到軟件開(kāi)發(fā)過(guò)程中,而不是可有可無(wú),更不是游離于軟件開(kāi)發(fā)生命周期之外B)軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全測(cè)試C)軟件安全觸點(diǎn)是軟件開(kāi)發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法,它提供了從不同角度保障安全的行為方式D)BSI系列模型強(qiáng)調(diào)應(yīng)該使用工程化的方法來(lái)保證軟件安全,即在整個(gè)軟件開(kāi)發(fā)生命周期中都要確保將安全作為軟件的一個(gè)有機(jī)組成部分答案:B解析:[單選題]51.某公司為加強(qiáng)員工的信息安全意識(shí),對(duì)公司員工進(jìn)行了相關(guān)的培訓(xùn),在介紹如何防范第三方人員通過(guò)社會(huì)工程學(xué)方式入侵公司信息系統(tǒng)時(shí),提到了以下幾點(diǎn)要求,其中在日常工作中錯(cuò)誤的是()A)不輕易泄露敏感信息B)在相信任何人之前先校驗(yàn)其真實(shí)的身份C)不違背公司的安全策略D)積極配合來(lái)自電話、郵件的任何業(yè)務(wù)要求、即便是馬上提供本人的口令信息答案:D解析:[單選題]52.windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是A)regswr32B)regeditC)regedit.mscD)regedit.mmc答案:B解析:[單選題]53.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問(wèn)制定訪問(wèn)策略,針對(duì)每個(gè)用戶指明能夠訪問(wèn)的資源,對(duì)于不在指定資源列表中的對(duì)象不允許訪問(wèn)。該訪問(wèn)控制策略屬于以下哪一種:A)強(qiáng)制訪問(wèn)控制B)基于角色的訪問(wèn)控制C)自主訪問(wèn)控制D)基于任務(wù)的訪問(wèn)控制答案:A解析:[單選題]54.?凱撒密碼?的密碼系統(tǒng)在密碼學(xué)的發(fā)展階段中屬于哪個(gè)階段?A)第一階段:古典密碼(ClassicalCryptography)階段B)第二階段:近代密碼階段C)第三階段:現(xiàn)代密碼學(xué)階段D)第四階段:自1976年開(kāi)始一直延續(xù)到現(xiàn)在答案:A解析:[單選題]55.下面哪一項(xiàng)不是黑客攻擊在信息收集階段使用的工具或命令:A)NmapB)NslookupC)LCD)Xscan答案:C解析:[單選題]56.關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是:A)資產(chǎn)識(shí)別是指對(duì)需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B)威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C)脆弱性識(shí)別以資產(chǎn)為核心,針對(duì)每一項(xiàng)需求保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D)確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)答案:D解析:安全措施既包括技術(shù)層面,也包括管理層面。[單選題]57.恢復(fù)階段的行動(dòng)一般包括A)建立臨時(shí)業(yè)務(wù)處理能力B)修復(fù)原系統(tǒng)損害C)在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力D)避免造成更大損失答案:D解析:[單選題]58.MSSQL中可以用來(lái)執(zhí)行系統(tǒng)命令的擴(kuò)展是哪個(gè)A)xp_loginconfigB)sp_addextendedprocC)sp_dropextendedprocD)xp_cmdshell答案:D解析:[單選題]59.當(dāng)客戶需要訪問(wèn)組織信息資產(chǎn)時(shí),下面正確的做法是?A)應(yīng)向其傳達(dá)信息安全要求及應(yīng)注意的信息安全問(wèn)題。B)盡量配合客戶訪問(wèn)信息資產(chǎn)。C)不允許客戶訪問(wèn)組織信息資產(chǎn)。D)不加干涉,由客戶自己訪問(wèn)信息資產(chǎn)。答案:A解析:[單選題]60.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評(píng)估,就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的(),向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的()能夠?qū)崿F(xiàn)其安全保障策略,能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是(),信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng),還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程,涉及信息系統(tǒng)整個(gè)(),因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種()的信心。class="fr-ficfr-dibcursor-hover"A)客觀證據(jù);安全保障工作;動(dòng)態(tài)持續(xù);信息系統(tǒng);生命周期B)安全保障工作;客觀證據(jù);信息系統(tǒng);生命周期;動(dòng)態(tài)持續(xù)C)客觀證據(jù);安全保障工作;信息系統(tǒng);生命周期;動(dòng)態(tài)持續(xù)D)客觀證據(jù);安全保障工作;生命周期;信息系統(tǒng);動(dòng)態(tài)持續(xù)答案:C解析:P33頁(yè)。[單選題]61.評(píng)估T風(fēng)險(xiǎn)被很好的達(dá)到,可以通過(guò):A)評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B)用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C)審查可比較的組織出版的損失數(shù)據(jù)D)一句審計(jì)拔高審查IT控制弱點(diǎn)答案:A解析:[單選題]62.小張是信息安全風(fēng)險(xiǎn)管理方面的專家,被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估,已知:核心機(jī)房的總價(jià)價(jià)值一百萬(wàn),災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%),歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次,請(qǐng)問(wèn)小張最后得到的年度預(yù)期損失為多少:A)24萬(wàn)B)0.09萬(wàn)C)37.5萬(wàn)D)9萬(wàn)答案:D解析:計(jì)算公式為100萬(wàn)*24%*(3/8)=9萬(wàn)[單選題]63.關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是()A)信息安全事件的種類很多,嚴(yán)重程度不盡相同,其響應(yīng)和處理方法也應(yīng)各不相同B)信息安全事件實(shí)行分類和分級(jí)管理,是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C)能夠使事前準(zhǔn)備,事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性D)我國(guó)早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)病毒防范和?千年蟲(chóng)?問(wèn)題的解決,關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。答案:D解析:D項(xiàng)不是信息安全事件進(jìn)行分類分級(jí)管理的原因,P146頁(yè)。[單選題]64.下面四款安全測(cè)試軟件中,主要用于WEB安全掃描的是?A)CiscoAuditingToolsB)AcunetixWebVulnerabilityScannerC)NMAPD)ISSDatabaseScanner答案:B解析:[單選題]65.作為信息安全管理人員,你認(rèn)為變更管理過(guò)程最重要的是?A)變更過(guò)程要留痕B)變更申請(qǐng)與上線提出要經(jīng)過(guò)審批C)變更過(guò)程要堅(jiān)持環(huán)境分離和人員分離原則D)變更要與容災(zāi)預(yù)案同步答案:B解析:[單選題]66.自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相比具有以下哪一個(gè)優(yōu)點(diǎn)?A)具有較高的安全性B)控制粒度較大C)配置效率不高D)具有較高的靈活性答案:D解析:[單選題]67.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡(jiǎn)要進(jìn)行三次握手,請(qǐng)求通信的主機(jī)A要與另一臺(tái)主機(jī)B建立連接時(shí),A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī)提出連接請(qǐng)示,B收到后,回復(fù)一個(gè)ACK/SYN確認(rèn)請(qǐng)示給A主機(jī),然后A再次回應(yīng)ACK數(shù)據(jù)包,確認(rèn)連接請(qǐng)求。攻擊通過(guò)偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī),使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下,目標(biāo)主機(jī)會(huì)等一段時(shí)間后才會(huì)放棄這個(gè)連接等待。因此大量虛假SYN包同時(shí)發(fā)送到目標(biāo)主機(jī)時(shí),目標(biāo)主機(jī)上就會(huì)有大量的連接請(qǐng)示等待確認(rèn),當(dāng)這些未釋放的連接請(qǐng)示數(shù)量超過(guò)目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請(qǐng)示就不能被目標(biāo)主機(jī)接受,這種SYNFlood攻擊屬于A)拒絕服務(wù)攻擊B)分布式拒絕服務(wù)攻擊C)緩沖區(qū)溢出攻擊D)SQL注入攻擊答案:A解析:[單選題]68.系統(tǒng)管理員屬于?A)決策層B)管理層C)執(zhí)行層D)既可以劃為管理層,又可以劃為執(zhí)行層答案:C解析:[單選題]69.小李在某單位是負(fù)責(zé)信息安全險(xiǎn)管理方面工作的部門(mén)領(lǐng)導(dǎo),主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候,小李主要負(fù)責(zé)講風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)()A)定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例,因此具有隨意性B)定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值,因此更具客觀性C)風(fēng)險(xiǎn)評(píng)估方法包括:定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析D)半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式,實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化答案:A解析:定性風(fēng)險(xiǎn)分析是利用已識(shí)別風(fēng)險(xiǎn)的發(fā)生概率、風(fēng)險(xiǎn)發(fā)生對(duì)項(xiàng)目目標(biāo)的相應(yīng)影響,以及其他因素。[單選題]70.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù),動(dòng)態(tài)監(jiān)測(cè)來(lái)自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)行為。當(dāng)檢測(cè)到來(lái)自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過(guò)防火墻的攻擊行為,會(huì)及時(shí)響應(yīng),并通知防火墻實(shí)時(shí)阻斷攻擊源,從而進(jìn)一步提高了系統(tǒng)的抗政擊能力,更有效地保護(hù)了網(wǎng)絡(luò)資源,提高了防御體系級(jí)別,但入侵檢測(cè)技術(shù)不能實(shí)現(xiàn)以下哪種功能()。A)檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)B)核查系統(tǒng)的配置漏洞,評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C)防止IP地址欺騙D)識(shí)別違反安全策略的用戶活動(dòng)答案:B解析:[單選題]71.系統(tǒng)安全工程-能力成熟度模型(SystemsSecurityEngineering-Capabilitymaturitymodel,SSE-CMM)定義的包含評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響和評(píng)估安全風(fēng)險(xiǎn)的基本過(guò)程領(lǐng)域是()A)風(fēng)險(xiǎn)過(guò)程B)工程過(guò)程C)保證過(guò)程D)評(píng)估過(guò)程答案:A解析:[單選題]72.信息的存在及傳播方式A)存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B)記憶在人的大腦里C)、通過(guò)網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D)通過(guò)投影儀顯示答案:D解析:[單選題]73.《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework,IATF)是由下面哪個(gè)國(guó)家發(fā)布的?A)中國(guó)B)美國(guó)C)俄羅斯D)歐盟答案:B解析:[單選題]74.之前版本的中間件未出現(xiàn)過(guò)解析漏洞的是()A)apacheB)iisC)tomcatD)ngnix答案:C解析:[單選題]75.10.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù),建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是()。A)sPccial-purpose,特定的、專用用途的B)Proprietary,專有的、專賣(mài)的C)Private,私有的、專有的D)sPecific,特種的、具體的答案:C解析:[單選題]76.下面不是數(shù)據(jù)庫(kù)的基本安全機(jī)制的是____。A)A用戶認(rèn)證B)B用戶授權(quán)C)C審計(jì)功能D)D電磁屏蔽答案:D解析:[單選題]77.2.為了保障網(wǎng)絡(luò)安全,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展,加強(qiáng)在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)安全的監(jiān)督管理。2015年6月,第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議了一部法律草案,并于7月6日起在網(wǎng)上全文公布,向社會(huì)公開(kāi)征求意見(jiàn),這部法律草案是()A)《中華人民共和國(guó)保守國(guó)家秘密法(草案)》B)《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》C)《中華人民共和國(guó)國(guó)家安全法(草案)》D)《中華人民共和國(guó)互聯(lián)網(wǎng)安全法(草案)》答案:B解析:[單選題]78.55.在某信息系統(tǒng)的設(shè)計(jì)中,用戶登錄過(guò)程是這樣的(1)用戶通過(guò)HTTP協(xié)議訪問(wèn)信息系統(tǒng);(2)用戶在登錄頁(yè)面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確,則鑒別完成??梢钥闯?,這個(gè)鑒別過(guò)程屬于()。A)單向鑒別B)雙向鑒別C)三向鑒別D)第三方鑒別答案:A解析:[單選題]79.99.Kerberos協(xié)議是一種集中訪問(wèn)控制協(xié)議,他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,為用戶提供安全的單點(diǎn)登錄服務(wù)。單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證,便可以訪問(wèn)其授權(quán)的所有網(wǎng)絡(luò)資源,而不在需要其他的認(rèn)證過(guò)程,實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項(xiàng)中的()A)安全憑證B)用戶名C)加密密鑰D)會(huì)話密鑰答案:A解析:[單選題]80.下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是:()A)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型,在信息系統(tǒng)安全保障具體操作時(shí),可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C)信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全,而不僅是某時(shí)間點(diǎn)下的安全D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入答案:D解析:?單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入?錯(cuò)誤。[單選題]81.等級(jí)保護(hù)實(shí)施根據(jù)GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》分為五大階段;()、總體規(guī)劃、設(shè)計(jì)實(shí)施、()和系統(tǒng)終止。但由于在開(kāi)展等級(jí)保護(hù)試點(diǎn)工作時(shí),大量信息系統(tǒng)已經(jīng)建設(shè)完成,因此根據(jù)實(shí)際情況逐步形成了()、備案、差距分析(也叫差距測(cè)評(píng))、建設(shè)整改、驗(yàn)收測(cè)評(píng)、定期復(fù)查為流程的()工作流程。和《等級(jí)保護(hù)實(shí)施指南》中規(guī)定的針對(duì)()的五大階段略有差異。A)運(yùn)行維護(hù);定級(jí);定級(jí);等級(jí)保護(hù);信息系統(tǒng)生命周期B)定級(jí);運(yùn)行維護(hù);定級(jí);等級(jí)保護(hù);信息系統(tǒng)生命周期C)定級(jí)運(yùn)行維護(hù);等級(jí)保護(hù);定級(jí);信息系統(tǒng)生命周期D)定級(jí);信息系統(tǒng)生命周期;運(yùn)行維護(hù);定級(jí);等級(jí)保護(hù)答案:B解析:[單選題]82.作為業(yè)務(wù)繼續(xù)計(jì)劃流程中的一部分,在業(yè)務(wù)影響分析中下面哪個(gè)選項(xiàng)應(yīng)該最先確認(rèn)?A)組織的風(fēng)險(xiǎn),像單點(diǎn)失敗或設(shè)備風(fēng)險(xiǎn)B)重要業(yè)務(wù)流程的威脅C)根據(jù)恢復(fù)優(yōu)先級(jí)設(shè)定的重要業(yè)務(wù)流程D)重建業(yè)務(wù)的所需的資源答案:C解析:[單選題]83.下面哪種方法可以替代電子銀行中的個(gè)人標(biāo)識(shí)號(hào)(PINs)的作用?A)虹膜檢測(cè)技術(shù)B)語(yǔ)音標(biāo)識(shí)技術(shù)C)筆跡標(biāo)識(shí)技術(shù)D)指紋標(biāo)識(shí)技術(shù)答案:A解析:[單選題]84.85.某項(xiàng)目組進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)由于時(shí)間有限,決定采用基于知識(shí)的分析方法,使用基于知識(shí)的分析方法進(jìn)行風(fēng)險(xiǎn)評(píng)估,最重要的在于評(píng)估信息的采集。該項(xiàng)目組對(duì)信息源進(jìn)行了討論,以下說(shuō)法中不可行的是()A)可以通過(guò)對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查采集評(píng)估信息。B)可以通過(guò)進(jìn)行實(shí)地考察的方式采集評(píng)估信息。C)可以通過(guò)建立模型的方法采集評(píng)估信息。D)可以制作問(wèn)卷,進(jìn)行調(diào)查。答案:C解析:[單選題]85.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段,為了保證用戶賬戶的安全,項(xiàng)目開(kāi)發(fā)人員決定用戶登錄時(shí)如用戶名或口令輸入錯(cuò)誤,給用戶返回?用戶名或口令輸入錯(cuò)誤?信息,輸入錯(cuò)誤達(dá)到三次,將暫時(shí)禁止登錄該賬戶,請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則?A)最小共享機(jī)制原則B)經(jīng)濟(jì)機(jī)制原則C)不信任原則D)默認(rèn)故障處理保護(hù)原則答案:C解析:三次密碼錯(cuò)誤后禁止登錄,屬于不信任原則[單選題]86.WindowsNT提供的分布式安全環(huán)境又被稱為:A)域(Domain)B)工作組C)對(duì)等網(wǎng)D)安全網(wǎng)答案:A解析:[單選題]87.關(guān)于ARP欺騙原理和防范措施,下面理解錯(cuò)誤的是()。A)AR

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論