CISP考試認證(習(xí)題卷16)

試卷科目：CISP考試認證CISP考試認證(習(xí)題卷16)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認證第1部分：單項選擇題，共92題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.組織應(yīng)定期監(jiān)控、審查、審計()服務(wù),確保協(xié)議中的信息安全條款和條件被遵守,信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責任分配給指定的個人或()團隊。另外,組織應(yīng)確保落實供應(yīng)商符合性審查和相關(guān)協(xié)議要求強制執(zhí)行的責任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是()要求的實現(xiàn)。當發(fā)服務(wù)交付的不足時,宜采取().當供應(yīng)商提供的服務(wù),包括對()方針、規(guī)程和控制措施的維持和改進等發(fā)生變更時,應(yīng)在考慮到其對業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評估風(fēng)險的基礎(chǔ)上管理。A)供應(yīng)商;服務(wù)管理;信息安全;合適的措施;信息安全B)服務(wù)管理;供應(yīng)商;信息安全;合適的措施;信息安全C)供應(yīng)商;信息安全;服務(wù)管理;合適的措施;信息安全D)供應(yīng)商;合適的措施;服務(wù)管理;信息安全;信息安全答案:A解析:P124[單選題]2.隨著?互聯(lián)網(wǎng)+?概念的普及，越來越多的新興住宅小區(qū)引入了?智能樓宇?的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用、穩(wěn)定、高效，計劃通過網(wǎng)絡(luò)冗余配置確保?智能樓宇?系統(tǒng)的正常運轉(zhuǎn)，下列選項中不屬于冗余配置的是()A)接入互聯(lián)網(wǎng)時，同時采用不同電信運營商線路，相互備份且互不影響B(tài))核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機熱備、C)規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D)保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要答案:C解析:[單選題]3.以下哪項制度或標準被作為我國的一項基礎(chǔ)制度加以推行,并且有一定強制性,其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。()A)信息安全管理體系(ISMS)B)信息安全等級保護C)ISO270000系列D)NISTSP800答案:B解析:信息安全等級保護制度(等保)是一項強制性基礎(chǔ)制度。P75頁。[單選題]4.相比文件配置表(FAT)文件系統(tǒng),以下哪個不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?A)NTFS使用事務(wù)日志自動記錄所有文件夾和文件更新,當出現(xiàn)系統(tǒng)損壞和電源故障等問題,而引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B)NTFS的分區(qū)上,可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限C)對于大磁盤,NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D)相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式答案:D解析:[單選題]5.關(guān)于暴力破解密碼，以下表述正確的是？（）A)就是使用計算機不斷嘗試密碼的所有排列組合，直到找出正確的密碼B)指通過木馬等侵入用戶系統(tǒng)，然后盜取用戶密碼C)指入侵者通過電子郵件哄騙等方法，使得被攻擊者提供密碼D)通過暴力威脅，讓用戶主動透露密碼答案:A解析:[單選題]6.提高Apache系統(tǒng)(ApacheHTTPServer)系統(tǒng)安全性時，下面哪項措施不屬于安全配置()?A)不在Windows下安裝Apache，只在Linux和Unix下安裝B)安裝Apache時，只安裝需要的組件模塊C)不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D)積極了解Apache的安全通告，并及時下載和更新答案:A解析:A不屬于安全配置，而屬于部署環(huán)境選擇。[單選題]7.隨著人們信息安全意識的不斷增強,版權(quán)保護也受到越來越多的關(guān)注。在版權(quán)保護方面國內(nèi)外使用較為廣泛的是數(shù)字對象標識符DOI(DigitalObjectIdentifier)系統(tǒng),它是由非贏利性組織國際DOI基金會IDF(InternationalDOIFoundation)研究設(shè)計的,在數(shù)字環(huán)境下標識知識產(chǎn)權(quán)對象的一種開放性系統(tǒng)。DOI系統(tǒng)工作流程如圖所示,則下面對于DOI系統(tǒng)認識正確的是()A)DOI是一個暫時性的標識號,由IntermationalDOIFoundation管理B)DOI的優(yōu)點有唯一性、持久性、兼容性、或操作性、動態(tài)更新C)DOI命名規(guī)則中前綴和后綴兩部之間用?;?分開D)DOI的體現(xiàn)形式只有網(wǎng)絡(luò)域名和字符碼兩種形式答案:B解析:[單選題]8.apache默認解析的后綴中不包括A)phtmlB)php3C)phtD)php5答案:C解析:[單選題]9.IPV4協(xié)議在設(shè)計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡(luò)方便地進行互聯(lián)、互通，僅僅依拿IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和，IETF于1994年開始制定IPSec協(xié)議標準，其設(shè)計目標是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性，下列選項中說法錯誤的是（）A)對于IPv4,IPSec是可選的，對于IPv6,IPSec是強制實施的。B)IPSec協(xié)議提供對IP及其上層協(xié)議的保護。C)IPSec是一個單獨的協(xié)議。D)ITSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制答案:C解析:[單選題]10.信息是流動的，在信息的流動過程中必須能夠識別所有可能途徑的（）與（）；而對于信息本身而言，信息的敏感性的定義是對信息保護的（）和(),信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的載體下，可能體現(xiàn)出信息的（）、臨時性和信息的交互場景，這使得風(fēng)險管理變得復(fù)雜和不可預(yù)測A)基礎(chǔ)；依據(jù)；載體；環(huán)境：永久性：風(fēng)險管理B)基礎(chǔ)；依據(jù)；載體；環(huán)境；風(fēng)險管理；永久性C)載體；環(huán)境；風(fēng)險管理；永久性；基礎(chǔ)；依據(jù)D)載體；環(huán)境；基礎(chǔ)；依據(jù)：風(fēng)險管理；永久性答案：答案:C解析:[單選題]11.（中等）使用不同的密鑰進地加解密，這樣的加密算法叫（）。A)對稱式加密算法B)非對稱式加密算法C)MD.5D)HA.SH算法答案:B解析:[單選題]12.PKI的主要理論基礎(chǔ)是()。A)對稱密碼算法B)公鑰密碼算法C)量子密碼D)摘要算法答案:B解析:[單選題]13.容災(zāi)項目實施過程的分析階段，需要進行____。A)A災(zāi)難分析B)B業(yè)務(wù)環(huán)境分析C)C當前業(yè)務(wù)狀況分析D)D以上均正確答案:D解析:[單選題]14.43.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是：A)網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B)網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C)網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)絡(luò)攻擊面增大，產(chǎn)生此安全問題D)網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題答案:D解析:[單選題]15.以下哪一項不是我國信息安全保障工作的主要目標()A)保障和促進信息化發(fā)展B)維護企業(yè)與公民的合法權(quán)益C)構(gòu)建高效的信息傳播渠道D)保護互聯(lián)網(wǎng)知識產(chǎn)權(quán)答案:C解析:[單選題]16.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標準建設(shè)是由哪個組織發(fā)布的（）A)國際標準化組織B)國際電工委員會C)國際電信聯(lián)盟遠程通信標準化組織D)Internet工程任務(wù)組答案:D解析:[單選題]17.小趙在去一家大型企業(yè)應(yīng)聘時，經(jīng)理要求他說出為該企業(yè)的信息系統(tǒng)設(shè)計自主訪問控制模型為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗看應(yīng)該采取的最合適的模型是（）A)按列讀取訪問控制矩形形成的訪問控制列表（ACL）B)按列讀取訪問控制矩形形成的能力表（CL）C)按行讀取訪問控制矩形形成的訪問控制列表（ACL）D)按行讀取訪問控制矩形形成的能力表（CL）答案:A解析:[單選題]18.信息安全管理體系ISMS是建立和維持信息安全管理體系的(),標準要求組織通過確定信息安全管理系統(tǒng)范圍、制定()、明確定管理職責、以風(fēng)險評估為基礎(chǔ)選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作,保持體系運作的有效性;信息安全管理體系應(yīng)形成一定的(),即組織應(yīng)建立并保持一個文件化的信息安全(),其中應(yīng)闡述被保護的資產(chǎn)、組織安全管理體系應(yīng)形成一定的(),即組織應(yīng)建立并保持一個文件化的信息安全(),其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理的方法、控制目標及控制方式和需要的()A)信息安全方針;標準;文件;管理體系;保證程度B)標準;文件;信息安全方針;管理體系;保證程度C)標準;信息安全方針;文件;管理體系;保證程度D)標準;管理體系;信息安全方針;文件;保證程度答案:C解析:[單選題]19.在信息安全管理的實施過程中,管理者的作用于信息安全管理體系能否成功實施非常重要,但是一下選項中不屬于管理者應(yīng)有職責的是()A)制定并頒發(fā)信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求B)確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定,目標應(yīng)明確、可度量,計劃應(yīng)具體、可事實C)向組織傳達滿足信息安全的重要性,傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D)建立健全信息安全制度,明確安全風(fēng)險管理作用,實施信息安全風(fēng)險評估過程、確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確答案:D解析:[單選題]20.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個臨時的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是A)Special-purpose，特定的、專用用途的B)Proprietary，專有的、專賣的C)Private，私有的、專有的D)Specific，特種的、具體的答案:C解析:[單選題]21.為了增強電子郵件的安全性，人們經(jīng)常使用PGP，它是：A)一種基于RSA的郵件加密軟件B)一種基于白名單的反垃圾郵件軟件C)基于SSL和VPN技術(shù)D)安全的電子郵箱答案:A解析:[單選題]22.下列哪個漏洞不是由于未對輸入做過濾造成的？A)D.OS攻擊B)SQL注入C)日志注入D)命令行注入答案:A解析:[單選題]23.在自主訪問環(huán)境中,以下哪個實體可以將信息訪問權(quán)授予給其他人?A)經(jīng)理B)集團負責人C)安全經(jīng)理D)數(shù)據(jù)所有者答案:D解析:[單選題]24.下列選項中，對物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯誤的是（）A)物理安全確保了系統(tǒng)在對信息進行采集、傳輸、處理等過程中的安全B)物理安全面對是環(huán)境風(fēng)險及不可預(yù)知的人類活動，是一個非常關(guān)鍵的領(lǐng)域C)物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D)影響物理安全的因素不僅包含自然因素，還包含人為因素答案:A解析:[單選題]25.信息安全工程監(jiān)理的職責包括：（）A)質(zhì)量控制.進度控制.成本控制.合同管理.信息管理和協(xié)調(diào)B)質(zhì)量控制.進度控制.成本控制.合同管理和協(xié)調(diào)C)確定安全要求.認可設(shè)計方案.監(jiān)視安全態(tài)勢.建立保障證據(jù)和協(xié)調(diào)D)確定安全要求.認可設(shè)計方案.監(jiān)視安全態(tài)勢和協(xié)調(diào)答案:A解析:[單選題]26.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行業(yè)務(wù)影響分析(BIA)時的步驟是：1.標識關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級;3.標識關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時間A)１-3-4-2B)１-3-2-4C)１-2-3-4D)１-4-3-2答案:D解析:BIA是BCM的基礎(chǔ)，BIA的調(diào)查流程為計劃、數(shù)據(jù)收集、數(shù)據(jù)分析、行程報告、展示發(fā)現(xiàn)、進入下一階段。數(shù)據(jù)收集的內(nèi)容：1、功能關(guān)鍵性評估、關(guān)鍵業(yè)務(wù)流程、功能關(guān)系；2、影響/最大宕機時間（為每個在第一階段識別出的關(guān)鍵業(yè)務(wù)區(qū)做中斷影響評估并識別最大可接受中斷時間）；3、支持功能的關(guān)鍵設(shè)備和資源；4、關(guān)鍵任務(wù)記錄（業(yè)務(wù)流程繼續(xù)所需的信息，不是恢復(fù)后的系統(tǒng)或應(yīng)用所能提供的）；5、網(wǎng)絡(luò)和系統(tǒng)需求[單選題]27.以下對于IATF信息安全保障技術(shù)框架的說法錯誤的是：A)它由美國國家安全局公開發(fā)布B)它的核心思想是信息安全深度防御（Defense-in-Depth）C)它認為深度防御應(yīng)當從策略、技術(shù)和運行維護三個層面來進行D)它將信息系統(tǒng)保障的技術(shù)層面分為計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)置和支撐性技術(shù)設(shè)施4個部分答案:C解析:[單選題]28.某公司建沒面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開招標選擇M公司為單位,并選擇了H監(jiān)理公司承擔該項目的全程監(jiān)理工作。目前,各個應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗收申請。監(jiān)理公司需要對A公司提交的軟件配置文件進行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔A)項目計劃書B)質(zhì)量控制計劃C)評審報告D)需求說明書答案:D解析:[單選題]29.76.下列信息安全評估標準中，哪一個是我國信息安全評估的國家標準？（）A)TCSEC標準B)CC標準C)FC標準D)ITSEC標準答案:B解析:[單選題]30.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒,由于企業(yè)部署的殺毒軟件,為了解決該病毒在企業(yè)內(nèi)部傳播,作為信息化負責人,你應(yīng)采取以下哪項策略()A)更換企業(yè)內(nèi)部殺毒軟件,選擇一個可以查殺到該病毒的軟件進行重新部署B(yǎng))向企業(yè)內(nèi)部的計算機下發(fā)策略,關(guān)閉系統(tǒng)默認開啟的自動播放功能C)禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D)在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān),防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內(nèi)部答案:B解析:?關(guān)閉系統(tǒng)默認開啟的自動播放功能?可以防止移動存儲介質(zhì)插入電腦后自動打開,導(dǎo)致病毒被執(zhí)行。[單選題]31.以下哪項不屬于防止口令被猜測的措施？A)嚴格限定從一個給定的終端進行認證的次數(shù)B)確保口令不在終端上再現(xiàn)C)防止用戶使用太短的口令D)使用機器產(chǎn)生的口令答案:B解析:[單選題]32.以下哪一項不是建筑物的自動化訪問審計系統(tǒng)記錄的日志的內(nèi)容：A)出入的原因B)出入的時間C)出入口的位置D)是否成功進入答案:A解析:[單選題]33.為增強Web應(yīng)用程序的安全性,某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓(xùn),下面哪項內(nèi)容不在考慮范圍內(nèi)()A)關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓(xùn)B)針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn)C)針對SQL注入漏洞的安全編程培訓(xùn)D)關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn)答案:D解析:[單選題]34.各國在信息安全保障組織架構(gòu)有兩種主要形式，一種是由一個部門集中管理國家信息安全相關(guān)工作，另一種是多個部門分別管理，同時加強協(xié)調(diào)工作。下列各國中，哪一個國家是采取多部門協(xié)調(diào)的做法.（）。A)德國B)法國C)美國D)以上國家都不是答案:D解析:[單選題]35.下面哪一個機構(gòu)不屬于美國信息安全保障管理部門?A)國土安全部。B)國防部。C)國家基礎(chǔ)設(shè)施顧問委員會。D)國家標準技術(shù)研究所。答案:C解析:[單選題]36.非對稱密碼算法具有很多優(yōu)點，其中不包括：A)、可提供數(shù)字簽名、零知識證明等額外服務(wù);B)、加密/解密速度快，不需占用較多資源;C)、通信雙方事先不需要通過保密信道交換密鑰;D)、密鑰持有量大大減少答案:B解析:[單選題]37.2014年，互聯(lián)網(wǎng)上爆出近幾十萬12306網(wǎng)站的用戶信息，12306官方網(wǎng)站稱是通過________方式泄露的。A)拖庫;B)撞庫;C)木馬;D)信息明文存儲答案:B解析:[單選題]38.86.信息安全測評是指依據(jù)相關(guān)標準，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進行測試和評估，以下關(guān)于信息安全測評說法不正確的是：A)信息產(chǎn)品安全評估是測評機構(gòu)對產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安全的信任B)目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型C)信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價D)信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出有針對性的安全防護策略和整改措施答案:B解析:[單選題]39.對于青少年而言，日常上網(wǎng)過程中，下列選項，存在安全風(fēng)險的行為是？A)將電腦開機密碼設(shè)置成復(fù)雜的15位強密碼B)安裝盜版的操作系統(tǒng)C)在QQ聊天過程中不點擊任何不明鏈接D)避免在不同網(wǎng)站使用相同的用戶名和口令答案:B解析:[單選題]40.風(fēng)險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則A)只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別B)所有公司資產(chǎn)都要識別C)可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D)資產(chǎn)識別務(wù)必明確責任人、保管者和用戶答案:B解析:[單選題]41.張三將微信個人頭像換成微信群中某好友頭像,并將昵稱改為該好友的昵稱,然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?（）A)口令攻擊B)暴力破解C)拒絕服務(wù)攻擊D)社會工程學(xué)攻擊答案:D解析:D屬于社會工程學(xué)攻擊。[單選題]42.恢復(fù)時間目標(RecoveryTimeObjective,KTO)和恢復(fù)點目標(RecoveryPointObjective,RPO)是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個重要指標,隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進,這兩個指標的數(shù)值越來越小,小華準備為其工作的信息系統(tǒng)擬定RTO和RPO指標,則以下描述中,正確的是()A)RTO可以為0,RPO也可以為0B)RTO可以為0,RTO不可以為0C)RTO不可以為0,RPO可以為0D)RTO不可以為0,RPO也不可以為0答案:A解析:[單選題]43.65.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常要在物理和環(huán)境安全方面實施規(guī)劃控制，物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾，關(guān)鍵或敏感的信息以及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)，并受到相應(yīng)保護，該目標可以通過以下控制措施來實現(xiàn)，下列不包括哪一項（）A)物理安全邊界、物理入口控制B)辦公室、房間和設(shè)施的安全保護，外部和環(huán)境威脅的安全防護。C)在安全區(qū)域工作，公共訪問、交接區(qū)安全D)人力資源安全答案:D解析:[單選題]44.為某航空公司的訂票系統(tǒng)設(shè)計業(yè)務(wù)連續(xù)性計劃時,最適用于異地數(shù)據(jù)轉(zhuǎn)移/備份的方法是:A)文件映像處理B)電子鏈接C)硬盤鏡像D)熱備中心配置答案:D解析:[單選題]45.下圖顯示了SSAM的四個階段和每個階段工作內(nèi)容。與之對應(yīng),()的目的是建立評估框架,并為現(xiàn)場階段準備后勤方面的工作。()的目的是準備評估團隊進行現(xiàn)場活動,并通過問卷進行數(shù)據(jù)的初步收集和分析。()主要是探索初步數(shù)據(jù)分析結(jié)果,以及為被評組織的專業(yè)人員提供與數(shù)據(jù)采集和證實過程的機會,小組對在此就三個階段中采集到的所有數(shù)據(jù)進行()。并將調(diào)查結(jié)果呈送個發(fā)起者1A)現(xiàn)場階段;規(guī)劃階段;準備階段;最終分析B)準備階段;規(guī)劃階段;現(xiàn)場階段;最終分析C)規(guī)劃階段;現(xiàn)場階段;準備階段;最終分析D)規(guī)劃階段;準備階段;現(xiàn)場階段;最終分析答案:D解析:[單選題]46.97.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（）A)PP2PB)L2TPC)SSLD)IPSec答案:C解析:[單選題]47.企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A)企業(yè)應(yīng)該建立和維護一個完整的信息資產(chǎn)清單,并明確信息資產(chǎn)的管控責任;B)企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求,采取對應(yīng)的管控措施;C)企業(yè)的信息資產(chǎn)不應(yīng)該分類分級,所有的信息系統(tǒng)要統(tǒng)一對待D)企業(yè)可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別所有的信息資產(chǎn)答案:C解析:[單選題]48.從Linux內(nèi)核2.1版開始,實現(xiàn)了基于權(quán)能的特權(quán)管理機制,實現(xiàn)了對超級用戶的特權(quán)分割,打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念,提高了操作系統(tǒng)的安全性。下列選項中,對特權(quán)管理機制的理解錯誤的是()。A)進程可以放棄自己的某些權(quán)能B)普通用戶及其shell沒有任何權(quán)能,而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能C)當普通用戶的某些操作設(shè)計特權(quán)操作時,仍然通過setuid實現(xiàn)D)系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能答案:D解析:在Linux操作系統(tǒng)中,root用戶是最高權(quán)限用戶,系統(tǒng)管理員不可以剝奪和恢復(fù)超級用戶的某些權(quán)能[單選題]49.SO9001－2000標準鼓勵在制定、實施質(zhì)量管理體系以及改進其有效性時對采用的過程方法，通過滿足顧客要求，增進顧客滿意，下圖是關(guān)于過程方法示意圖，空白處應(yīng)填寫（）A)策略B)管理者C)組織D)活動答案:D解析:[單選題]50.風(fēng)險，在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標可能有很多不同的方面，如財務(wù)目標、健康和人身安全目標，信息安全目標和環(huán)境目標等目標也可能有不同的級別，如戰(zhàn)略目標、組織目標、項目目標、產(chǎn)品目標和過程目標等．ISO/IEC13335-1中揭示了風(fēng)險各要素關(guān)系模型，如圖所示。請結(jié)合此圖，怎么才能降低風(fēng)險對組織產(chǎn)生的影響？A)組織應(yīng)該根據(jù)風(fēng)險建立響應(yīng)的保護要求，通過構(gòu)架防護措施降低風(fēng)險對組織產(chǎn)生的影響B(tài))加強防護措施，降低風(fēng)險C)減少威脅和脆弱點降低風(fēng)險D)減少資產(chǎn)降低風(fēng)險答案:A解析:[單選題]51.58.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責的是（）A)制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B)確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定，目標應(yīng)明確、可度量，計劃應(yīng)具體、可實施C)向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D)建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評估過程，確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確答案:D解析:[單選題]52.如果你作為甲方負責監(jiān)管一個信息安全工程項目的實施，當乙方提出一項工程變更時你最應(yīng)當關(guān)注的是：A)變更的流程是否符合預(yù)先的規(guī)定B)變更是否會對項目進度造成拖延C)變更的原因和造成的影響D)變更后是否進行了準確的記錄答案:C解析:[單選題]53.在路由器的全局配置模式下添加enablesecret命令時，此命令的結(jié)果是什么A)它將使用MD5加密來保護特權(quán)EXEC級別訪問B)它將使用7類加密而且僅加密特權(quán)EXEC級別口令C)它將使用7類加密，以防屏幕上顯示的所有口令可讀D)它將使用MD5加密來保護僅在PAP和CHAP身份驗證過程中使用的口令答案:A解析:[單選題]54.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議,以下關(guān)于TCP協(xié)議的說法,哪個是正確的?A)相比傳輸層的另外一個協(xié)議UDP,TCP既提供傳輸可靠性,還同時具有更高的效率,因此具有廣泛的用途B)TCP協(xié)議包頭中包含了源IP地址和目的IP地址,因此TCP協(xié)議負責將數(shù)據(jù)傳送到正確的主機C)TCP協(xié)議具有流量控制、數(shù)據(jù)校驗、超時重發(fā)、接收確認等機制,因此TCP協(xié)議能完全替代IP協(xié)議D)TCP協(xié)議雖然高可靠,但是相比UDP協(xié)議機制過于復(fù)雜,傳輸效率要比UDP低答案:D解析:TCP協(xié)議高可靠,相比UDP協(xié)議機制過于復(fù)雜,傳輸效率要比UDP低。[單選題]55.如果有一位攻擊者在搜索引擎中搜索?.doc+?來尋找XXX.com網(wǎng)站上所有WORD文件，同時通過?.mdb??.ini?等關(guān)鍵字來找到該網(wǎng)站下的mdb庫文件，配置信息等非公開信息，請問這屬于（）類型的攻擊？A)定點挖掘B)攻擊定位C)網(wǎng)絡(luò)嗅探D)溢出攻擊答案:A解析:[單選題]56.TCP/IP協(xié)議是Internet構(gòu)成的基礎(chǔ),TCP/IP通常被認為是一個N層協(xié)議,每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能,這里N應(yīng)等于()。A)4B)5C)6D)7答案:A解析:[單選題]57.56.在某網(wǎng)絡(luò)機房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A)A．審核實施投資計劃B)B．審核實施進度計劃C)C．審核工程實施人員D)D．企業(yè)資質(zhì)答案:A解析:[單選題]58.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中,無法在Internet上使用。關(guān)于私有地址,下面描述正確的是()。A)A類地址中沒有私有地址,B類和C類地址中可以設(shè)置私有地址B)A類、B類和C類地址中都可以設(shè)置私有地址C)A類和B類地址中沒有私有地址,C類地址中可以設(shè)置私有地址D)A類、B類和C類地址中都沒有私有地址答案:B解析:私有地址就是在互聯(lián)網(wǎng)上不使用,而被用在局域網(wǎng)絡(luò)中的地址。A、B、C類地址中均可設(shè)置是由地址,其中:A類私有地址是到55;B類私有地址到55;C類私有地址是到55。[單選題]59.自ISO27001:2006標準發(fā)布以來，此標準在國際上獲得了空前的認可，相當數(shù)量的組織采納并進行了（）的認證，在我國，自從2008年將ISO27001:2006轉(zhuǎn)化為國家標準CB/T22080:2008以來，信息安全管理（）在國內(nèi)進一步獲得了全面推廣。越來越多的行業(yè)和組織認識到（）的重要性，并把它作為（）工作之一開展起來。依據(jù)慣例，ISO組織每5年左右會對標準進行一次升級。2013年10月19日，ISO組織正式發(fā)布了新版的信息安全管理（）（ISO27001：2013）A)體系認證；信息安全管理體系；信息安全；基礎(chǔ)管理；體系標準B)信息安全管理體系；體系認證；信息安全；基礎(chǔ)管理；體系標準C)信息安全管理體系；信息安全；基礎(chǔ)管理；體系認證；體系標準D)信息安全管理體系；基礎(chǔ)管理；體系認證；信息安全；體系標準答案:B解析:[單選題]60.在以下標準中,屬于推薦性國家標準的是（）A)GB/TXXXX.X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)GB/ZXXX-XXX-200X答案:A解析:A為國標推薦標準;B為國標強制標準;C為地方標準;D為國標指導(dǎo)標準。[單選題]61.下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞?A)通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令B)攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認為該頁面是可信賴的,但是當瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行。C)當計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D)信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中,有意或無意產(chǎn)生的缺陷答案:C解析:C為緩沖區(qū)溢出的正確解釋。[單選題]62.在系統(tǒng)實施后評審過程中,應(yīng)該執(zhí)行下面哪個活動?A)用戶驗收測試B)投資收益分析C)激活審計模塊D)更新未來企業(yè)架構(gòu)答案:B解析:[單選題]63.以下哪個是常用WEB漏洞掃描工具（）A)AcunetixWVSB)hydraC)中國菜刀D)NMAP答案:A解析:[單選題]64.審核在實施審核時，所使用的檢查表不包括的內(nèi)容有A)審核依據(jù)B)審核證據(jù)記錄C)審核發(fā)現(xiàn)D)數(shù)據(jù)收集方法和工具答案:C解析:[單選題]65.某單位在一次信息安全風(fēng)險管理活動中,風(fēng)險評估報告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險漏洞,隨后該單位在風(fēng)險處理時選擇了關(guān)閉FTP服務(wù)的處理措施,請問該措施屬于哪種風(fēng)險處理方式()A)風(fēng)險降低B)風(fēng)險規(guī)避C)風(fēng)險轉(zhuǎn)移D)風(fēng)險接受答案:B解析:關(guān)閉FTP服務(wù)屬于風(fēng)險規(guī)避[單選題]66.降低風(fēng)險(或減低風(fēng)險)指通過對面的風(fēng)險的資產(chǎn)采取保護措施的方式來降低風(fēng)險,下面那個措施不屬于降低風(fēng)險的措施()A)減少威脅源,采用法律的手段制裁計算機的犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動機B)簽訂外包服務(wù)合同,將有計算難點,存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成,通過合同責任條款來應(yīng)對風(fēng)險C)減低威脅能力,采取身份認證措施,從而抵制身份假冒這種威脅行為的能力D)減少脆弱性,及時給系統(tǒng)打補丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性答案:B解析:[單選題]67.()在實施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個大型集推團公司總部的(),那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團公司中相關(guān)人員的綽號等等。A)攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定B)所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C)攻擊者;所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D)所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定答案:C解析:[單選題]68.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中,越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進行認證,也支持跨域認證,下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認證的7個步驟,其中有幾個步驟出現(xiàn)錯誤,圖中錯誤的描述正確的是:()A)步驟1和步驟2發(fā)生錯誤,應(yīng)該向本地AS請求并獲得遠程TGTB)步驟3和步驟4發(fā)生錯誤,應(yīng)該向本地TGS請求并獲得遠程TGTC)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠程AS請求并獲得遠程TGTD)步驟5和步驟6發(fā)生錯誤,應(yīng)該向遠程TGS請求并獲得遠程SGT答案:B解析:[單選題]69.下列哪一項技術(shù)可以用于保護通信數(shù)據(jù)的完整性？A)數(shù)字簽名B)準備備用的通訊通道C)通過冗余通道設(shè)備D)數(shù)據(jù)壓縮答案:A解析:[單選題]70.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個價值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計時出于性能考慮，在瀏覽時時使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改。利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗證的環(huán)節(jié)，導(dǎo)致以上問題。對于網(wǎng)站的這個問題原因分析及解決措施，最正確的說法應(yīng)該是？A)該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對全網(wǎng)站進行安全改造，所有的訪問都強制要求使用httpsB)該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C)該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進行修改，在進行訂單付款時進行商品價格驗證就可以解決D)該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報警要求尋求警察介入，嚴懲攻擊者即可答案:B解析:[單選題]71.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），下面描述錯誤的是A)IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標準化組織（ISO）轉(zhuǎn)化為國際標準，供各個國家信息系統(tǒng)建設(shè)參考使用B)IATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C)IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D)強調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運行維護的信息安全保障問題答案:A解析:[單選題]72.76.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險服務(wù)、遠程登錄安全、用戶鑒別安全、審計策略、保護root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個方面來完成。小張在學(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識后，嘗試為自己計算機上的Linux系統(tǒng)進行安全配置。下列選項是他的部分操作，其中不合理的是（）A)A．編輯文件/etc/passwd.檢查文件中用戶ID，禁用所有ID=0的用戶B)B．編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為noC)編輯文件/etc/pam.d/system-auth,設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D)編輯文件/etc/profile,設(shè)置TMOUT=600答案:A解析:[單選題]73.由于Internet的安全問題日益突出,基于TCP/IP協(xié)議,相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議,用來保障網(wǎng)絡(luò)各層次的安全.其中,屬于或依附于傳輸層的安全協(xié)議是().A)IPSecB)PP2PC)L2TPD)SSL答案:D解析:IPSec(Internet協(xié)議安全性)是主要的互聯(lián)網(wǎng)絡(luò)層安全通信協(xié)議,有效解決了在互聯(lián)網(wǎng)絡(luò)層上存在的安全問題；網(wǎng)絡(luò)接口層安全協(xié)議主要有PP2P、L2TP等,PP2P、L2TP協(xié)議通過建立專用通信鏈路,在主機或路由器之間提供安全保證；傳輸層安全通信協(xié)議主要有SSL和TLS等協(xié)議,根據(jù)傳輸層的特點,傳輸層的安全主要在端到端實現(xiàn),可以提供基于進程到進程的安全通信[單選題]74.負責制定、執(zhí)行和維護內(nèi)部安全控制制度的責任在于:A)IS審計員、B)管理層、C)外部審計師、D)程序開發(fā)人員、答案:B解析:[單選題]75.66.以下哪一項不是常見威脅對應(yīng)的消減措施：A)假冒攻擊可以采用身份認證機制來防范B)為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C)為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D)D．為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限答案:C解析:[單選題]76.關(guān)于"WannaCry"勒索病毒軟件描述正確的是A)利用RDP協(xié)議漏洞傳播B)利用SMB協(xié)議漏洞傳播C)利用HTTP協(xié)議漏洞傳播D)利用FTP協(xié)議傳播答案:B解析:[單選題]77.62.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項（）A)?制定ISMS方針?是建立ISMS階段工作內(nèi)容B)?實施培訓(xùn)和意識教育計劃?是實施和運行ISMS階段工作內(nèi)容C)?進行有效性測量?是監(jiān)視和評審ISMS階段工作內(nèi)容D)?實施內(nèi)部審核?是保持和改進ISMS階段工作內(nèi)容答案:D解析:[單選題]78.風(fēng)險評估工具的使用在一定程度上解決了手動評估的局限性,最主要的是它能夠?qū)＜抑R進行集中,使專家的經(jīng)驗知識被廣泛使用,根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用愿理,風(fēng)險評估工具可以為以下幾類,其中錯誤的是:A)風(fēng)險評估與管理工具B)系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C)風(fēng)險評估輔助工具D)環(huán)境風(fēng)險評估工具答案:D解析:通常情況下信息安全風(fēng)險評估工具不包括環(huán)境評估工具。[單選題]79.64.安全審計是事后認定違反安全規(guī)則行為的分析技術(shù)，在檢測違反安全規(guī)則方面、準確發(fā)現(xiàn)系統(tǒng)發(fā)生的事件以及對事件發(fā)生的事后分析方面，都發(fā)揮著巨大的作用。但安全審計也有無法實現(xiàn)的功能，以下哪個需求是網(wǎng)絡(luò)安全審計無法實現(xiàn)的功能()A)發(fā)現(xiàn)系統(tǒng)中存儲的漏洞和缺陷B)發(fā)現(xiàn)用戶的非法操作行為C)發(fā)現(xiàn)系統(tǒng)中存在后門及惡意代碼D)發(fā)現(xiàn)系統(tǒng)中感染的惡意代碼類型及名稱答案:D解析:[單選題]80.下面哪種方法產(chǎn)生的密碼是最難記憶的?A)將用戶的生日倒轉(zhuǎn)或是重排B)將用戶的年薪倒轉(zhuǎn)或是重排C)將用戶配偶的名字倒轉(zhuǎn)或是重排D)用戶隨機給出的字母答案:D解析:隨機的最難記[單選題]81.審計依據(jù)就像一把?尺子",審計人員用它來衡量信息系統(tǒng)的?長短?。審計目的不同,審計依據(jù)就可能不同。根據(jù)審計目的,依次選擇表中的(1)-(4)的審計依據(jù)。A)商業(yè)銀行信息科技風(fēng)險管理指引:GBT2229信息系統(tǒng)安全等級保護基本要求:SOEC27001信息安全管理體系要求:組織信息安全規(guī)章制度B)商業(yè)銀行信息科技風(fēng)險管理指引:SO/EC27001信息安全管理體系要求GB22239信息系統(tǒng)安全等級保護基本要求:組織信息安全規(guī)章制度C)ISO/EC27001信息安全管理體系要求:組織信息安全規(guī)章制度:商業(yè)銀行信息科技風(fēng)險管理指引GBT22239信息系統(tǒng)安全等級保護基本要求D)SOEC27001信息安全管理體系要求:GB/2229信息系統(tǒng)安全等級保護基本要求:組織信息安全規(guī)章制度:商業(yè)銀行信息科技風(fēng)險管理指引答案:A解析:[單選題]82.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A)強制訪問控制B)基于角色的訪問控制C)自主訪問控制D)基于任務(wù)的訪問控制答案:C解析:[單選題]83.A.TM機是我們?nèi)粘４嫒‖F(xiàn)金都會接觸的設(shè)備，以下關(guān)于A.TM機的說法正確的是？A)所有A.TM機運行的都是專業(yè)操作系統(tǒng)，無法利用公開漏洞進行攻擊，非常安全，B)A.TM機可能遭遇病毒侵襲C)A.TM機無法被黑客通過網(wǎng)絡(luò)進行攻擊D)A.TM機只有在進行系統(tǒng)升級時才無法運行，其他時間不會出現(xiàn)藍屏等問題。答案:B解析:[單選題]84.字典攻擊是黑客利用自動執(zhí)行的程序猜測用戶名和密碼，審計這類攻擊通常需要借助A)全面的日志記錄和強壯的加密B)全面的日志記錄和入侵監(jiān)測系統(tǒng)C)強化的驗證方法和強壯的加密D)強化的驗證方法和入侵監(jiān)測系統(tǒng)答案:B解析:[單選題]85.一個組織已經(jīng)創(chuàng)建了一個策略來定義用戶禁止訪問的網(wǎng)站類型。哪個是最有效的技術(shù)來達成這個策略?A)、狀態(tài)檢測防火墻B)網(wǎng)