CISP考試認(rèn)證(習(xí)題卷17)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷17)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：?jiǎn)雾?xiàng)選擇題，共92題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.使用nmap掃描FIN掃描，圣誕樹(shù)掃描，空掃描的命令A(yù))-sO,-sX,-sNB)-sF,-sX,-sPC)-sS,-sX,-sND)-sF,-sX,-sN答案:D解析:[單選題]2.對(duì)《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)運(yùn)行安全產(chǎn)生影響的攻擊行為主要是對(duì)以下哪個(gè)信息安全屬性造成影響（）A)保密性B)完整性C)可用性D)不可抵賴(lài)性答案:C解析:[單選題]3.物聯(lián)網(wǎng)將我們帶入一個(gè)復(fù)雜多元、綜合交互的新信息時(shí)代,物聯(lián)網(wǎng)安全成為關(guān)系國(guó)計(jì)民生的大事,直接影響到個(gè)人生活的社會(huì)穩(wěn)定。物聯(lián)網(wǎng)安全問(wèn)題必須引起高度重視,并從技術(shù)、標(biāo)準(zhǔn)和法律方面予以保障。物聯(lián)網(wǎng)的感知由安全技術(shù)主要包括()、()等實(shí)現(xiàn)RFID安全性機(jī)制所采用的方法主要有三類(lèi):()、()和()。傳感器網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含()、()和()A)RFID安全技術(shù);傳感器網(wǎng)絡(luò)安全技術(shù);內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶(hù)認(rèn)證,以及廣播認(rèn)證;物理機(jī)制,密碼機(jī)制,以及二者相結(jié)合的方法B)RFID安全技術(shù);傳感器技術(shù);物理機(jī)制、密碼機(jī)制,以及二者相結(jié)合的方法;實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶(hù)認(rèn)證,以及廣播認(rèn)證C)RFID安全技術(shù);傳感器網(wǎng)絡(luò)安全技術(shù);物理機(jī)制、密碼機(jī)制,以及二者相結(jié)合的方法;內(nèi)部實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶(hù)認(rèn)證,以及廣播認(rèn)證D)RFID技術(shù);傳感器技術(shù);物理機(jī)制、密碼機(jī)制,以及二者相結(jié)合的方法;實(shí)體認(rèn)證、網(wǎng)絡(luò)與用戶(hù)認(rèn)證,以及廣播認(rèn)證答案:C解析:[單選題]4.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用。A)二級(jí)以上B)三級(jí)以上C)四級(jí)以上D)五級(jí)以上答案:A解析:[單選題]5.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰(shuí)的責(zé)任A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運(yùn)行組答案:C解析:[單選題]6.一般地,IP分配會(huì)首先把整個(gè)網(wǎng)絡(luò)根據(jù)地域、區(qū)域,每個(gè)子區(qū)域從它的上一級(jí)區(qū)域里獲取IP地址段,這種分配方法稱(chēng)為()分配方法。A)自頂向下B)自下向上C)自左向右D)自右向左答案:A解析:[單選題]7.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的？A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一直制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果B)國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)組織通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)際標(biāo)準(zhǔn)條款為準(zhǔn)C)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)D)行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定，并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)和國(guó)務(wù)院有關(guān)行政主管部門(mén)備案，在公布國(guó)家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止答案:B解析:[單選題]8.當(dāng)使用移動(dòng)設(shè)備時(shí),應(yīng)特別注意確保()不外泄。移動(dòng)設(shè)備方針應(yīng)考慮與非保護(hù)環(huán)境移動(dòng)設(shè)備同時(shí)工作時(shí)的風(fēng)險(xiǎn)。當(dāng)在公共場(chǎng)所、會(huì)議室和其他不受保護(hù)的區(qū)域使用移動(dòng)計(jì)算設(shè)施時(shí),要加以小心。應(yīng)采取保護(hù)措施以避免通過(guò)這些設(shè)備存儲(chǔ)和處理的信息未授權(quán)的訪(fǎng)問(wèn)或泄露,如使用()、強(qiáng)制使用秘鑰身份驗(yàn)證信息。要對(duì)移動(dòng)計(jì)算設(shè)施進(jìn)行物理保護(hù),以防被偷竊,例如,特別是遺留在汽車(chē)和其他形式的交通工具上、旅館房間、會(huì)議中心和會(huì)議室。要為移動(dòng)計(jì)算機(jī)設(shè)施的被竊或丟失等情況建立一個(gè)符號(hào)法律、保險(xiǎn)和組織的其他安全要求的()。攜帶重要、敏感和或關(guān)鍵業(yè)務(wù)信息的設(shè)備不宜無(wú)人值守,若有可能,要以物理的方式鎖起來(lái),或使用()來(lái)保護(hù)設(shè)備。對(duì)于使用移動(dòng)計(jì)算設(shè)施的人員要安排培訓(xùn),以提高他們對(duì)這種工作方式導(dǎo)致的附加風(fēng)險(xiǎn)的意識(shí),并且要實(shí)施控制措施。A)加密技術(shù);業(yè)務(wù)信息;特定規(guī)程;專(zhuān)用鎖B)業(yè)務(wù)信息;特定規(guī)程;加密技術(shù);專(zhuān)用鎖C)業(yè)務(wù)信息;加密技術(shù);特定規(guī)程;專(zhuān)用鎖D)業(yè)務(wù)信息;專(zhuān)用鎖;加密技術(shù);特定規(guī)程答案:C解析:[單選題]9.以下哪一個(gè)是數(shù)據(jù)保護(hù)的最重要的目標(biāo)?A)確定需要訪(fǎng)問(wèn)信息的人員B)確保信息的完整性C)拒絕或授權(quán)對(duì)系統(tǒng)的訪(fǎng)問(wèn)D)監(jiān)控邏輯訪(fǎng)問(wèn)答案:A解析:[單選題]10.()是行為人由于過(guò)錯(cuò)侵害人身、財(cái)產(chǎn)和(),依法應(yīng)承擔(dān)民事責(zé)任的(),以及按照法律特殊規(guī)定應(yīng)當(dāng)承提民事責(zé)任的(),侵權(quán)行為構(gòu)成要件,主要集中在以下幾個(gè)因素,即:過(guò)錯(cuò)、()、損害事實(shí)是否是侵權(quán)行為必要構(gòu)成要件上。2017年3月15日全國(guó)第十二屆全國(guó)人大五次會(huì)議表決通過(guò)了《中華人民共和國(guó)民法總則》,國(guó)家主席習(xí)近平簽署第66號(hào)主席令予以公布,民法總則將于2017年10月1日起施行。A)民事侵權(quán)行為;其他合法權(quán)益;不法行為;其他侵害行為;行為不法B)民事行為;權(quán)益;不法行為;其他侵害行為;不法行為C)民事行為;其他合法權(quán)益;不法行為;其他侵害行為;行為不法D)民事侵害行為;其他合法權(quán)益;不法行為;行為不法;其他侵害行為答案:A解析:[單選題]11.下列對(duì)于密鑰生命周期的說(shuō)法，錯(cuò)誤的是：A)密鑰生命周期越長(zhǎng)，其泄露的機(jī)會(huì)越大B)密鑰超過(guò)生命周期后就失去了價(jià)值，可以公開(kāi)C)密鑰生命周期應(yīng)該同密鑰保護(hù)數(shù)據(jù)的價(jià)值聯(lián)系起來(lái)D)公鑰密碼體制中的公鑰-私鑰對(duì)應(yīng)該定期更換答案:B解析:[單選題]12.Linux系統(tǒng)格式化分區(qū)用哪個(gè)命令：A)fdiskB)mvC)mountD)df答案:A解析:[單選題]13.96.若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制，人力資源安全劃分為3個(gè)控制階段，不包括哪一項(xiàng)（）A)任用之前B)任用中C)任用終止或變化D)任用后答案:D解析:[單選題]14.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò)程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在泥亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的，一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為6個(gè)階段，為準(zhǔn)備→檢測(cè)→遏制→根除→恢復(fù)→跟蹤總結(jié)。請(qǐng)問(wèn)下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤的是（）A)確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中最關(guān)鍵的步驟B)在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集C)制措施可能會(huì)因?yàn)槭录念?lèi)別和級(jí)別不同而完全不同、常見(jiàn)的制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線(xiàn)等D)應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)答案:A解析:[單選題]15.tcp/IP協(xié)議的4層網(wǎng)絡(luò)模型是A)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層B)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層C)應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D)會(huì)話(huà)層、數(shù)據(jù)連接層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層答案:B解析:[單選題]16.44.具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括1>安全事件（包括安全事故）報(bào)告制度2>安全等級(jí)保護(hù)制度3>信息系統(tǒng)安全監(jiān)控4>安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證制度A)1，2，4B)2，3C)2，3，4D)1，2，3答案:A解析:[單選題]17.468.隨著即時(shí)通訊軟件的普及使用，即時(shí)通訊軟件也被惡意代碼利用進(jìn)行傳播，以下哪項(xiàng)功能不是惡意代碼利用即時(shí)通訊進(jìn)行傳播的方式（）題目有歧義隨便選A)利用即時(shí)通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B)利用即時(shí)通訊軟件發(fā)送指向惡意網(wǎng)頁(yè)的URLC)利用即時(shí)通訊軟件發(fā)送指向惡意地址的二維碼D)利用即時(shí)通訊發(fā)送攜帶惡意代碼的TXT文檔答案:C解析:[單選題]18.公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶(hù)提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶(hù)訪(fǎng)問(wèn)量受限。雙方引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的？A)乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢(qián)B)甲在需求分析階段沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所部屬的加密針對(duì)性不足，造成浪費(fèi)C)甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D)乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求答案:A解析:[單選題]19.以下關(guān)于VPN說(shuō)法正確的是（）A)VPN指的是用戶(hù)自己租用線(xiàn)路,和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線(xiàn)路B)VPN不能做到信息認(rèn)證和身份認(rèn)證C)VPN指的是用戶(hù)通過(guò)公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接D)VPN只能提供身份不能提供加密數(shù)據(jù)的功能答案:C解析:[單選題]20.Hydra工具中的-L參數(shù)的含義是（）A)指定單個(gè)密碼B)指定一個(gè)密碼字典C)指定一個(gè)用戶(hù)名D)指定一個(gè)用戶(hù)名字典答案:D解析:[單選題]21.安全管理體系,國(guó)際上有標(biāo)準(zhǔn)(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我國(guó)發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008).請(qǐng)問(wèn),這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是()A)IDT(等同采用),此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn),僅有或沒(méi)有編輯性修改B)EQV(等效采用),此國(guó)家標(biāo)準(zhǔn)等效于該國(guó)家標(biāo)準(zhǔn),技術(shù)上只有很小差異C)AEQ(等效采用),此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)家標(biāo)準(zhǔn)D)沒(méi)有采用與否的關(guān)系,兩者之間版本不同,不應(yīng)直接比較答案:D解析:[單選題]22.下面關(guān)于SSRF漏洞描述正確的是A)SSRF漏洞就是服務(wù)端請(qǐng)求偽造漏洞B)SSRF漏洞只存在于PHP語(yǔ)言中C)SSRF漏洞無(wú)法修復(fù)D)SSRF漏洞是針對(duì)瀏覽器的漏洞答案:A解析:[單選題]23.當(dāng)前網(wǎng)絡(luò)中的鑒別技術(shù)正在快速發(fā)展，以前我們主要通過(guò)賬號(hào)密碼的方式驗(yàn)證用戶(hù)身份，現(xiàn)在我們會(huì)用到U盾識(shí)別、指紋識(shí)別、面部識(shí)別、虹膜識(shí)別等多種鑒別方式。請(qǐng)問(wèn)下列哪種說(shuō)法是正確的。A)面部識(shí)別依靠每個(gè)人的臉型作為鑒別依據(jù)，面部識(shí)別無(wú)法偽造B)指紋識(shí)別相對(duì)傳統(tǒng)的密碼識(shí)別更加安全C)使用多種鑒別方式比單一的鑒別方式相對(duì)安全D)U盾由于具有實(shí)體唯一性，被銀行廣泛使用，使用U盾沒(méi)有安全風(fēng)險(xiǎn)答案:C解析:[單選題]24.IP欺騙（IPSpoof）是發(fā)生在TC.P/IP協(xié)議中______層的問(wèn)題A)網(wǎng)絡(luò)接口層B)互聯(lián)網(wǎng)網(wǎng)絡(luò)層C)傳輸層D)應(yīng)用層答案:B解析:[單選題]25.在確定威脅的可能性時(shí),可以不考慮以下哪個(gè)?A)威脅源B)潛在弱點(diǎn)C)現(xiàn)有控制措施D)攻擊所產(chǎn)生的負(fù)面影響答案:D解析:[單選題]26.以下哪個(gè)不屬于信息安全的三要素之一?A)機(jī)密性B)完整性C)抗抵賴(lài)性D)可用性答案:C解析:[單選題]27.TACACS+協(xié)議提供了下列哪一種訪(fǎng)問(wèn)控制機(jī)制？A)強(qiáng)制訪(fǎng)問(wèn)控制B)自主訪(fǎng)問(wèn)控制C)分布式訪(fǎng)問(wèn)控制D)集中式訪(fǎng)問(wèn)控制答案:D解析:[單選題]28.急響應(yīng)是信息安全事件管理的重要內(nèi)容之一，關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是：（）A)信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事情發(fā)生后的應(yīng)對(duì)措施B)應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具體高技術(shù)復(fù)雜性與專(zhuān)業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴(lài)性，以及需要廣泛的協(xié)調(diào)與合作C)應(yīng)急響應(yīng)時(shí)組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部分工作：安全事件發(fā)生時(shí)正確指揮、事件發(fā)生后全面總結(jié)D)應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲(chóng)病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性答案:C解析:[單選題]29.什么協(xié)議用于映射物理地址和臨時(shí)網(wǎng)絡(luò)地址A)ftpB)arpC)snmpD)dhcp答案:B解析:[單選題]30.以下哪項(xiàng)可以修復(fù)命令執(zhí)行漏洞（）A)網(wǎng)站使用世界上最好的PHP語(yǔ)言編寫(xiě)B(tài))php中禁用一些危險(xiǎn)函數(shù)C)調(diào)用iconv()函數(shù)進(jìn)行轉(zhuǎn)碼D)參數(shù)值盡量不使用引號(hào)包裹答案:B解析:[單選題]31.哪一項(xiàng)不是業(yè)務(wù)影響分析(BIA)的工作內(nèi)容A)確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)B)確定公司的關(guān)鍵系統(tǒng)和業(yè)務(wù)C)確定業(yè)務(wù)面臨風(fēng)險(xiǎn)時(shí)的潛在損失和影響D)確定支持公司運(yùn)行的關(guān)鍵系統(tǒng)答案:C解析:[單選題]32.SSAM過(guò)程的主要工作產(chǎn)品是()和()。()包括()和().()表示組織的每個(gè)PA的能力水平。()考察了評(píng)估組織的優(yōu)缺點(diǎn)。它通常是為被評(píng)估方開(kāi)發(fā)的,但可以被評(píng)估方的要求提交給評(píng)估組織。評(píng)估報(bào)告僅供被評(píng)估方使用,并包括每個(gè)調(diào)查結(jié)果及其對(duì)被評(píng)估方需求影響的詳細(xì)信息。A)評(píng)估報(bào)告;調(diào)查結(jié)果簡(jiǎn)報(bào);調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)估資料;評(píng)估結(jié)果清單;評(píng)級(jí)概況調(diào)查結(jié)果B)調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)估報(bào)告;調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)估資料;評(píng)估結(jié)果清單;評(píng)級(jí)概況;調(diào)查結(jié)果C)調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)估報(bào)告;評(píng)估資料;調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)級(jí)概況;調(diào)查結(jié)果D)調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)估報(bào)告;調(diào)查結(jié)果簡(jiǎn)報(bào);評(píng)級(jí)概況;評(píng)估資料;評(píng)估結(jié)果清單;調(diào)查結(jié)果答案:B解析:[單選題]33.年1月2日，美國(guó)發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（ComprchensiveNationalCybersecuityInitative,CNCI）。CNCI計(jì)劃建立三道防線(xiàn)：第一道防線(xiàn)，減少漏洞和隱患，預(yù)防入侵；第二道防線(xiàn)，全面應(yīng)對(duì)各類(lèi)威脅；第三道防線(xiàn)，強(qiáng)化未來(lái)安全環(huán)境。從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A)CNCI是以風(fēng)險(xiǎn)為核心，三道防線(xiàn)首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B)從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D)CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障答案:A解析:[單選題]34.依據(jù)信息系統(tǒng)安全保障模型,以下那個(gè)不是安全保證對(duì)象A)機(jī)密性B)管理C)過(guò)程D)人員答案:A解析:[單選題]35.根據(jù)我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需要自主定級(jí)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需向上級(jí)或主管部門(mén)來(lái)測(cè)評(píng)和檢查，此類(lèi)信息系統(tǒng)應(yīng)屬于（）A)零級(jí)系統(tǒng)B)一級(jí)系統(tǒng)C)二級(jí)系統(tǒng)D)三級(jí)系統(tǒng)答案:C解析:[單選題]36.397.密碼是一種用來(lái)混淆的技術(shù),使用者希望將正常的(可識(shí)別的)信息轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的信息。但這種無(wú)法識(shí)別的信息部分是可以再加工并恢復(fù)和破解的,小剛是某公司新進(jìn)的員工,公司要求他注冊(cè)一個(gè)公司網(wǎng)站的帳號(hào),小剛使用一個(gè)安全一點(diǎn)的密碼,請(qǐng)問(wèn)一下選項(xiàng)中哪個(gè)密碼是最安全的()A)使用和與用戶(hù)名相同的口令B)選擇可以在任何字典或語(yǔ)言中找到的口令C)選擇任何和個(gè)人信息有關(guān)的口令D)采取數(shù)字、字母和特殊符號(hào)混合并且易于記憶答案:D解析:[單選題]37.在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí),企業(yè)影響分析可以用來(lái)識(shí)別關(guān)鍵業(yè)務(wù)流程和相應(yīng)的支持程序,它主要會(huì)影響到下面哪一項(xiàng)內(nèi)容的制定?A)維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的職責(zé)B)選擇站點(diǎn)恢復(fù)供應(yīng)商的條件C)恢復(fù)策略D)關(guān)鍵人員的職責(zé)答案:C解析:[單選題]38.下面有關(guān)能力成熟度模型的說(shuō)法錯(cuò)誤的是：A)能力成熟度模型可以分為過(guò)程能力方案（Continuous）和組織能力方案（Staged）兩類(lèi)B)使用過(guò)程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或那些過(guò)程域C)使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)于一組已經(jīng)定義好的過(guò)程域D)SSE-CMM是一種屬于組織能力方案（Staged）的針對(duì)系統(tǒng)安全工程的能力成熟度模型答案:D解析:[單選題]39.風(fēng)險(xiǎn)，在GB／T22081中定義為事態(tài)的概率及其結(jié)果的組合，風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面，如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級(jí)別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等。ISO／IBC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型，如圖所示，請(qǐng)結(jié)合此圖，怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響？（）A)組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立響應(yīng)的保護(hù)要求，通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響B(tài))加強(qiáng)防護(hù)措施，降低風(fēng)險(xiǎn)C)減少威脅和脆弱點(diǎn)降低風(fēng)險(xiǎn)D)減少資產(chǎn)降低風(fēng)險(xiǎn)答案:A解析:[單選題]40.在一個(gè)分布式環(huán)境中,以下哪一項(xiàng)能夠最大程度減輕服務(wù)器故障的影響?A)冗余路徑B)(服務(wù)器)集群C)撥號(hào)備份鏈路D)備份電源答案:B解析:[單選題]41.以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測(cè)試關(guān)注的范疇()。A)排版結(jié)構(gòu)的測(cè)試B)數(shù)據(jù)完整性測(cè)試C)客戶(hù)端兼容性的測(cè)試D)鏈接結(jié)構(gòu)的測(cè)試答案:B解析:/view/b90dee4d32687e21af45b307e87101f69e31fb1d.html,百度文庫(kù)中。Web應(yīng)用軟件表示層的測(cè)試主要集中在客戶(hù)端,測(cè)試的內(nèi)容包括:(1)排版結(jié)構(gòu)的測(cè)試;(2)鏈接結(jié)構(gòu)的測(cè)試;(3)客戶(hù)端程序的測(cè)試;(4)瀏覽器兼容性測(cè)試。[單選題]42.以下哪一種不屬于php封裝協(xié)議（）A)http://B)zlib://C)ssh://D)globp://答案:C解析:[單選題]43.以下哪個(gè)現(xiàn)象較好地印證了信息安全特征中的動(dòng)態(tài)性（)A)經(jīng)過(guò)數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺(tái)各種電子設(shè)備B)剛剛經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估并針對(duì)風(fēng)險(xiǎn)采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風(fēng)險(xiǎn)C)某公司的信息系統(tǒng)面臨了來(lái)自美國(guó)的?匿名者?黑客組織的攻擊D)某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍然產(chǎn)生了泄露答案:B解析:體現(xiàn)出了動(dòng)態(tài)性[單選題]44.在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候,發(fā)現(xiàn)預(yù)測(cè)可能造成的風(fēng)險(xiǎn)的經(jīng)濟(jì)損失時(shí)有一定困難。為了評(píng)估潛在的損失,應(yīng)該:A)計(jì)算相關(guān)信息資產(chǎn)的攤銷(xiāo)費(fèi)用B)計(jì)算投資的回報(bào)C)應(yīng)用定性的方法進(jìn)行評(píng)估D)花費(fèi)必要的時(shí)間去評(píng)估具體的損失的金額答案:C解析:[單選題]45.當(dāng)備份一個(gè)應(yīng)用程序系統(tǒng)的數(shù)據(jù)時(shí)，以下哪一項(xiàng)是應(yīng)該首先考慮的關(guān)鍵性問(wèn)題？A)什么時(shí)候進(jìn)行備份？B)在哪里備份？C)怎樣存儲(chǔ)備份？D)需要備份哪些數(shù)據(jù)？答案:D解析:[單選題]46.Linux系統(tǒng)文件的訪(fǎng)權(quán)限屬性通過(guò)9個(gè)字符來(lái)表示,分別表示文件所屬組用戶(hù)和其他用戶(hù)對(duì)文件的讀(r)、寫(xiě)(w)及執(zhí)行(x)r的權(quán)限。文件usr/bin/passwd的屬性信息發(fā)信息如下圖所示,在文件權(quán)限中還出現(xiàn)了一位S,下列選項(xiàng)中對(duì)這一位S的理解正確的是()-r-s-x1roodroot10704Apr2011:55/usr/bin/passwdA)文件權(quán)限出現(xiàn)了錯(cuò)誤,出現(xiàn)s的位應(yīng)該改為xB)s表示sticky位,設(shè)置sticky位后就算用戶(hù)對(duì)目錄具有寫(xiě)權(quán)限,也不能剩除讀文件C)s表示SGID位,文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn))S表示SUID位。文件在執(zhí)行階段具有文件所有者的權(quán)限答案:D解析:[單選題]47.49.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該操作才能生效，這種設(shè)計(jì)是遵循了以下哪個(gè)原則：A)權(quán)限分離原則B)A、最小特權(quán)原則C)B、保護(hù)XXX環(huán)節(jié)的原則D)縱深防御的原則答案:A解析:[單選題]48.P2DR模型是一個(gè)用于描述網(wǎng)絡(luò)動(dòng)態(tài)安全的模型，這個(gè)模型經(jīng)常使用圖形的形式來(lái)形象表達(dá)，如下圖所示，請(qǐng)問(wèn)如中空白處應(yīng)填寫(xiě)是A)執(zhí)行（do）B)檢測(cè)（detection）C)數(shù)據(jù)（data）D)持續(xù)（duration）答案:B解析:[單選題]49.許多web應(yīng)用程序存在大量敏感數(shù)據(jù),包括信用卡、杜保卡號(hào)碼、身份認(rèn)證證書(shū)等,Web應(yīng)用這些敏感信息存儲(chǔ)到數(shù)據(jù)庫(kù)或者文件系統(tǒng)中,但是并使用適當(dāng)?shù)募用艽胧﹣?lái)保護(hù)。小李不想自己的銀行卡密碼被泄露,他一直極力避免不安全的密碼存儲(chǔ),他總結(jié)出幾種不安全的密碼存儲(chǔ)問(wèn)題,其中有一項(xiàng)應(yīng)該歸為措施,請(qǐng)問(wèn)是哪一項(xiàng)()A)使用弱算法B)使用適當(dāng)?shù)募用艽胧┗騂ash算法C)不安全的密鑰生成和儲(chǔ)存D)不輪換密鑰答案:B解析:[單選題]50.P2DR模型中的?反應(yīng)?是在檢測(cè)到安全漏洞和安全事件時(shí),通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài),這些措施包括?A)關(guān)閉服務(wù)。B)向上級(jí)匯報(bào)。C)跟蹤。D)消除影響。答案:B解析:[單選題]51.以下哪個(gè)是國(guó)際位息安全標(biāo)準(zhǔn)化組積的簡(jiǎn)稱(chēng)()A)ANSIB)ISOC)IEEED)NIST答案:B解析:AD是美國(guó)的,C是技術(shù)標(biāo)準(zhǔn),B里面有安全標(biāo)準(zhǔn)[單選題]52.下列關(guān)于邏輯履蓋的敘述中，說(shuō)法錯(cuò)誤的是（）A)對(duì)于多分支的判定，判定覆蓋要使每一個(gè)判定方式獲得每一種可能的值來(lái)測(cè)試B)語(yǔ)句覆蓋較判定覆蓋嚴(yán)格，但該測(cè)試仍不充分C)語(yǔ)句覆蓋是比較弱的覆蓋標(biāo)準(zhǔn)D)條件組合覆蓋是比較強(qiáng)的覆蓋標(biāo)準(zhǔn)答案:B解析:[單選題]53.以下哪一項(xiàng)是常見(jiàn)WEB站點(diǎn)脆弱性?huà)呙韫ぞ撸篈)AppScanB)NmapC)SnifferD)LC答案:A解析:[單選題]54.在Linux系統(tǒng)中,下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中()A)用戶(hù)名B)用戶(hù)口令明文C)用戶(hù)主目錄D)用戶(hù)登錄后使用的SHELL答案:B解析:[單選題]55.以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是()。A)威脅建模主要流程包括四步:確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅B)評(píng)估威脅是對(duì)威脅進(jìn)行分析,評(píng)估被利用和攻擊發(fā)生的概率,了解被攻擊后資產(chǎn)的受損后果,并計(jì)算風(fēng)險(xiǎn)C)消減威脅是根據(jù)威脅的評(píng)估結(jié)果,確定是否要消除該威脅以及消減的技術(shù)措施,可以通過(guò)重新設(shè)計(jì)直接消除威脅,或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅D)識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅,它可能是惡意的,也可能不是惡意的,威脅就是漏洞答案:D解析:識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅,威脅是一種不希望發(fā)生、對(duì)資產(chǎn)目標(biāo)有害的事件。從本質(zhì)上看,威脅是潛在事件,它可能是惡意的,也可能不是惡意的。因此,威脅并不等于漏洞。P404頁(yè)。[單選題]56.1993年至1996年，歐美六國(guó)和美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個(gè)供歐美各國(guó)通用的信息安全評(píng)估標(biāo)準(zhǔn)，簡(jiǎn)稱(chēng)CC標(biāo)準(zhǔn)，該安全評(píng)估標(biāo)準(zhǔn)的全稱(chēng)為（）A)《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》B)《信息技術(shù)安全評(píng)估準(zhǔn)則》C)《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》D)《信息技術(shù)安全通用評(píng)估準(zhǔn)則》答案:D解析:[單選題]57.以下關(guān)于windowsSAM(安全賬號(hào)管理器)的說(shuō)法錯(cuò)誤的是:A)安全賬號(hào)管理器(SAM)具體表現(xiàn)就是%SystemRoot%\system32\config\samB)安全賬號(hào)管理器(SAM)存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中C)安全賬號(hào)管理器(SAM)存儲(chǔ)的賬號(hào)信息administrator和system是可讀和可寫(xiě)的D)安全賬號(hào)管理器(SAM)是windows的用戶(hù)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)程通過(guò)SecurityAccountsManager服務(wù)進(jìn)行訪(fǎng)問(wèn)和操作答案:C解析:[單選題]58.以下windows服務(wù)的說(shuō)法錯(cuò)誤的是A)為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B)可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeC)windows服務(wù)只有在用戶(hù)成功登陸系統(tǒng)后才能運(yùn)行D)windows服務(wù)通常是以管理員的身份運(yùn)行的答案:C解析:[單選題]59.注入語(yǔ)句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser>0不僅可以判斷服務(wù)器的后臺(tái)數(shù)據(jù)庫(kù)是否為SQL-SERVER，還可以得到（）A)當(dāng)前連接數(shù)據(jù)庫(kù)的用戶(hù)數(shù)據(jù)B)當(dāng)前連接數(shù)據(jù)庫(kù)的用戶(hù)名C)當(dāng)前連接數(shù)據(jù)庫(kù)的用戶(hù)口令D)當(dāng)前連接的數(shù)據(jù)庫(kù)名答案:B解析:[單選題]60.社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最脆弱的環(huán)節(jié)，即?人?這個(gè)環(huán)節(jié)上。這些社會(huì)工程黑客在某黑客大會(huì)上成功攻入世界五百?gòu)?qiáng)公司，其中一名自稱(chēng)是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安全工程部門(mén)的合約雇員，在詢(xún)問(wèn)關(guān)于工作滿(mǎn)意度以及食堂食物質(zhì)量問(wèn)題后，雇員開(kāi)始透露其他信息，包括：操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵件及瀏覽器。為對(duì)抗此類(lèi)信息收集和分析，公司需要做的是（）A)通過(guò)信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息最小化原則B)減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)C)關(guān)閉不必要的服務(wù)，部署防火墻、IDS等措施D)系統(tǒng)安全管理員使用漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)答案:C解析:[單選題]61.信息安全評(píng)估流程分為A)PP、SC和TOEB)TT、ST和TOEC)PT、ST和CEMD)PP、ST和CEM答案:B解析:[單選題]62.Linux系統(tǒng)的安全設(shè)置主要從磁盤(pán)分區(qū)、賬戶(hù)安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶(hù)鑒別安全、審計(jì)策略、保護(hù)root賬戶(hù)、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來(lái)完成，小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自己計(jì)算機(jī)的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理是（）A)編輯文件/etc/passwd，檢查文件中用戶(hù)ID，禁用所有的ID=0的用戶(hù)B)編輯文件/etc/ssh/sshd_config，將Penmitroorlogin設(shè)置為noC)編輯文件/etc/pam.d/system-auth，設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D)編輯文件/etc/profile，設(shè)置TMOUT=600答案:A解析:[單選題]63.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?（）A)ARP協(xié)議是一個(gè)無(wú)狀態(tài)的協(xié)議B)為提高效率,ARP信息在系統(tǒng)中會(huì)緩存C)ARP緩存是動(dòng)態(tài)的,可被改寫(xiě)D)ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議答案:D解析:D不是導(dǎo)致欺騙的根源。[單選題]64.ApacheHTTPServer（簡(jiǎn)稱(chēng)Apache）是一個(gè)開(kāi)放源碼的Web服務(wù)運(yùn)行平臺(tái)，在使用過(guò)程中，該軟件默認(rèn)會(huì)將自己的軟件名和版本號(hào)發(fā)送給客戶(hù)端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施？A)不選擇Windows平臺(tái)，應(yīng)選擇在Linux平臺(tái)下安裝使用B)安裝后，修改配置文件httpD、conf中的有關(guān)參數(shù)C)安裝后，刪除ApacheHTTPServer源碼D)從正確的官方網(wǎng)站下載ApacheHTTPServer，并安裝使用答案:B解析:[單選題]65.某軟件在設(shè)計(jì)時(shí),有三種用戶(hù)訪(fǎng)問(wèn)模式,分別是僅管理員可訪(fǎng)問(wèn)、所有合法用戶(hù)可訪(fǎng)問(wèn)和允許匿名訪(fǎng)問(wèn))采用這三種訪(fǎng)問(wèn)模式時(shí),攻擊面最高的是()。A)僅管理員可訪(fǎng)問(wèn)B)所有合法用戶(hù)可訪(fǎng)問(wèn)C)允許匿名D)三種方式一樣答案:C解析:D項(xiàng)是干擾項(xiàng),D項(xiàng)的意思是三種方式攻擊面一樣。[單選題]66.某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議,該系統(tǒng)運(yùn)行過(guò)程中被攻擊者通過(guò)FTP對(duì)OA系統(tǒng)中的腳本文件進(jìn)行了篡改,安全專(zhuān)家提出使用Http下載代替FTP功能以解決以上問(wèn)題,該安全問(wèn)題的產(chǎn)生主要是在哪個(gè)階段產(chǎn)生的()A)程序員在進(jìn)行安全需求分析時(shí),沒(méi)有分析出OA系統(tǒng)開(kāi)發(fā)的安全需求B)程序員在軟件設(shè)計(jì)時(shí),沒(méi)遵循降低攻擊面的原則,設(shè)計(jì)了不安全的功能C)程序員在軟件編碼時(shí),缺乏足夠的經(jīng)驗(yàn),編寫(xiě)了不安全的代碼D)程序員在進(jìn)行軟件測(cè)試時(shí),沒(méi)有針對(duì)軟件安全需求進(jìn)行安全測(cè)試答案:B解析:FTP功能本身沒(méi)有問(wèn)題,但是不太安全容易被攻擊,所以選B。[單選題]67.下面哪個(gè)階段不屬于軟件的開(kāi)發(fā)時(shí)期()A)詳細(xì)設(shè)計(jì)B)總體設(shè)計(jì)C)編碼D)需求分析答案:D解析:[單選題]68.下面不是保護(hù)數(shù)據(jù)庫(kù)安全涉及到的任務(wù)是____。A)A確保數(shù)據(jù)不能被未經(jīng)過(guò)授權(quán)的用戶(hù)執(zhí)行存取操作B)B防止未經(jīng)過(guò)授權(quán)的人員刪除和修改數(shù)據(jù)C)C向數(shù)據(jù)庫(kù)系統(tǒng)開(kāi)發(fā)商索要源代碼，做代碼級(jí)檢查D)D監(jiān)視對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)和更改等使用情況答案:C解析:[單選題]69.一個(gè)組織的系統(tǒng)安全能力成熟度達(dá)到哪個(gè)級(jí)別以后，就可以對(duì)組織層面的過(guò)程進(jìn)行規(guī)范的定義？A)2級(jí)--計(jì)劃和跟蹤B)3級(jí)充分定義C)4級(jí)--量化控制D)5級(jí)--持續(xù)改進(jìn)答案:B解析:[單選題]70.下面關(guān)于響應(yīng)的說(shuō)法正確的是____。A)A主動(dòng)響應(yīng)和被動(dòng)響應(yīng)是相互對(duì)立的，不能同時(shí)采用B)B被動(dòng)響應(yīng)是入侵檢測(cè)系統(tǒng)中的唯一響應(yīng)方式C)C入侵檢測(cè)系統(tǒng)提供的警報(bào)方式只能是顯示在屏幕上的警告信息或窗口D)D主動(dòng)響應(yīng)的方式可以是自動(dòng)發(fā)送郵件給入侵發(fā)起方的系統(tǒng)管理員請(qǐng)求協(xié)助以識(shí)別問(wèn)題和處理問(wèn)題答案:D解析:[單選題]71.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯(cuò)誤的理解是()。A)基于SSE-CMM的工程是獨(dú)立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施B)SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C)SSE-CMM要求實(shí)施組織與其他組織相互作用,如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢(xún)服務(wù)商等D)SSE-CMM覆蓋整個(gè)組織的活動(dòng),包括管理、組織和工程活動(dòng)等,而不僅僅是系統(tǒng)安全的工程活動(dòng)答案:A解析:SSE-CMM的工程不是獨(dú)立工程,而是與其他工程并行且相互作用,包括企業(yè)工程、軟件工程、硬件工程、通信工程等。P179。[單選題]72.440.隨機(jī)進(jìn)程名稱(chēng)是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)，描述正確的是（）A)隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程名都是隨機(jī)的，但是只要找到了進(jìn)程名稱(chēng)，就找到了惡意代碼程序本身B)惡意代碼生成隨機(jī)進(jìn)程名稱(chēng)的目的是使用進(jìn)程名稱(chēng)不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱(chēng)進(jìn)行病毒進(jìn)程查殺C)惡意代碼使用隨機(jī)進(jìn)程名是通過(guò)生成特定格式的進(jìn)程名稱(chēng)，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程D)隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱(chēng)，通過(guò)不固定的進(jìn)程名稱(chēng)使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱(chēng)答案:D解析:[單選題]73.2014年2月，我國(guó)成立了（），習(xí)近平總書(shū)記擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)。A)中央網(wǎng)絡(luò)技術(shù)和信息化領(lǐng)導(dǎo)小組B)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組C)中央網(wǎng)絡(luò)安全和信息技術(shù)領(lǐng)導(dǎo)小組D)中央網(wǎng)絡(luò)信息和安全領(lǐng)導(dǎo)小組答案:B解析:[單選題]74.系統(tǒng)上線(xiàn)前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查,不包括下列哪種安全檢查A)主機(jī)操作系統(tǒng)安全配置檢查B)網(wǎng)絡(luò)設(shè)備安全配置檢查C)系統(tǒng)軟件安全漏洞檢查D)數(shù)據(jù)庫(kù)安全配置檢查答案:C解析:[單選題]75.下面不是Oracle數(shù)據(jù)庫(kù)支持的備份形式的是____。A)A冷備份B)B溫備份C)C熱備份D)D邏輯備份答案:B解析:[單選題]76.信息時(shí)流動(dòng)的，在信息的流動(dòng)過(guò)程中必須能夠識(shí)別所有可能途徑的（）與（）；面對(duì)于信息本身，信息的敏感性的定義是對(duì)信息保護(hù)的（）和（），信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了（）的效果，不同的截體下，可能體現(xiàn)出信息的（）、臨時(shí)性和信息的交互場(chǎng)景，這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測(cè)。A)基礎(chǔ)；依據(jù)；截體；環(huán)境；永久性；風(fēng)險(xiǎn)管理B)基礎(chǔ)；依據(jù)；截體；環(huán)境；風(fēng)險(xiǎn)管理；永久性C)截體；環(huán)境；風(fēng)險(xiǎn)管理；永久性；基礎(chǔ)；依據(jù)D)截體；環(huán)境；基礎(chǔ)；依據(jù)；風(fēng)險(xiǎn)管理；永久性答案:D解析:[單選題]77.________是在蜜罐技術(shù)上逐步發(fā)展起來(lái)的一個(gè)新的概念，在其中可以部署一個(gè)或者多個(gè)蜜罐，來(lái)構(gòu)成一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)。A)蜜網(wǎng)B)陷阱C)誘餌D)迷宮答案:A解析:[單選題]78.41.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的通用實(shí)施（GenericPractices，GP），錯(cuò)誤的理解是：A)GP是涉及過(guò)程的管理、測(cè)量和制度化方面的活動(dòng)B)GP適用于域維中部分過(guò)程區(qū)域（ProcessAreas，PA）的活動(dòng)而非所有PA的活動(dòng)C)在工程師實(shí)施時(shí)，GP應(yīng)該作為基本實(shí)施（BasePractices，BP）的一部分加以執(zhí)行D)在評(píng)估時(shí)，GP用于判定工程組織執(zhí)行某個(gè)PA的能力答案:B解析:[單選題]79.軟件危機(jī)是指落后的軟件生產(chǎn)方式無(wú)法滿(mǎn)足迅速增長(zhǎng)的計(jì)算機(jī)軟件需求,從而導(dǎo)致軟件開(kāi)發(fā)與維護(hù)過(guò)程中出現(xiàn)一系列嚴(yán)重問(wèn)題的現(xiàn)象。為了克服軟件危機(jī),人們提出了用()的原理來(lái)設(shè)計(jì)軟件,這就是軟件工程誕生的基礎(chǔ)。A)數(shù)學(xué)B)軟件學(xué)C)運(yùn)籌學(xué)D)工程學(xué)答案:D解析:軟件學(xué)科全稱(chēng):計(jì)算機(jī)軟件工程學(xué),P392頁(yè)。[單選題]80.配置幀中繼連接時(shí)，逆向ARP有什么作用A)為遠(yuǎn)程節(jié)點(diǎn)分配DLCIB)使對(duì)等節(jié)點(diǎn)的請(qǐng)求無(wú)法識(shí)別本地第3層地址C)協(xié)商本地和遠(yuǎn)程幀中繼節(jié)點(diǎn)之間的LMI封裝D)創(chuàng)建從DLCI到遠(yuǎn)程節(jié)點(diǎn)第3層地址的映射答案:D解析:[單選題]81.如果向Apache的訪(fǎng)問(wèn)日志中寫(xiě)入一句話(huà)木馬，需要如何操作才能將一句話(huà)寫(xiě)入到日志中A)在URL后面，加上一句話(huà)的url編碼格式的內(nèi)容B)在URL后面，加上一句話(huà)的base64編碼格式的內(nèi)容C)在訪(fǎng)問(wèn)的URL數(shù)據(jù)體中，直接插入一句話(huà)源碼D)在訪(fǎng)問(wèn)的URLhttp請(qǐng)求頭部，插入basic字段，并將一句話(huà)編碼為base64答案:D解析:[單選題]82.進(jìn)入21世紀(jì)以來(lái),信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn),紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略,但各國(guó)歷史、國(guó)情和文化不同,網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說(shuō)法不正確的是:A)與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B)美國(guó)尚未設(shè)立中央政府級(jí)的專(zhuān)門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題,信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C)各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D)在網(wǎng)絡(luò)安全戰(zhàn)略中,各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度,充分利用社會(huì)資源,發(fā)揮政府與企業(yè)之間的合作關(guān)系答案:B解析:[單選題]83.實(shí)施ISMS內(nèi)審時(shí),確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序應(yīng)該要符合相關(guān)要求,以下哪個(gè)不是?A)約定的標(biāo)準(zhǔn)及相關(guān)法律的要求B)已識(shí)別的安全需求C)控制措施有效實(shí)施和維護(hù)D)ISO13335風(fēng)險(xiǎn)評(píng)估方法答案:D解析:[單選題]84.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？A)LandB)UDPFloodC)SmurfD)teardrop答案:D解析:teardrop屬于碎片攻擊[單選題]85.443.信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示(參見(jiàn)G試卷18題)。信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的()，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的()能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是()，信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，涉及信息系統(tǒng)整個(gè)()，因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種()的信心。（）A)安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)B)客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動(dòng)態(tài)持續(xù)C)客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動(dòng)態(tài)持續(xù)D)客觀證據(jù)；安全保障工作；動(dòng)態(tài)持續(xù)；信息系統(tǒng)；生命周期答案:B解析:[單選題]86.惡意代碼經(jīng)過(guò)20多年的發(fā)展,破壞性、種類(lèi)和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹?lái)越大。小李發(fā)現(xiàn)在自己的電腦查出病毒的過(guò)程中,防病毒軟件通過(guò)對(duì)有毒件的檢測(cè),將軟件行為與惡意代碼行為模型進(jìn)行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A)簡(jiǎn)單運(yùn)行B)行為檢測(cè)C)特征數(shù)據(jù)匹配D)特征碼掃描答案:B解析:惡意代碼檢測(cè)包括特征碼掃描和行為檢測(cè)，