CISP考試認(rèn)證(習(xí)題卷34)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷34)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項選擇題，共92題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.（）在實施攻擊之前，需要盡量收集偽裝身份()，這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團(tuán)公司總部的()，那么他需要了解這個大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號等等。A)攻擊者:所需要的信息:系統(tǒng)管理員:基礎(chǔ)；內(nèi)部約定B)所需要的信息:基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C)攻擊者:所需要的信息:基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D)所需要的信息:攻擊者:基礎(chǔ)；系統(tǒng)管理員:內(nèi)部約定答案:C解析:[單選題]2.不需要經(jīng)常維護(hù)的垃圾郵件過濾技術(shù)是____。A)A指紋識別技術(shù)B)B簡單DNS測試C)C黑名單技術(shù)D)D關(guān)鍵字過濾答案:B解析:[單選題]3.宏病毒是一種寄存在文檔或模板宏中的計算機(jī)病毒，以下那種類型的文件不會被宏病毒感染：_________A)D.OC.B)XLSC)EXED)PPT答案:A解析:[單選題]4.數(shù)據(jù)加密標(biāo)準(zhǔn)D.ES采用的密碼類型是?A)、序列密碼B)、分組密碼C)、散列碼D)、隨機(jī)碼答案:B解析:[單選題]5.OSI模型把網(wǎng)絡(luò)通信工作分為七層,如圖所示,0SI模型的每一層只與相鄰的上下兩層直接通信,當(dāng)發(fā)送進(jìn)程需要發(fā)送信息時,它把數(shù)據(jù)交給應(yīng)用層。應(yīng)用層對數(shù)據(jù)進(jìn)行加工處理后,傳給表示層。再經(jīng)過一次加工后,數(shù)據(jù)被到會話層,這一過程一直繼續(xù)到物理層接收數(shù)據(jù)后進(jìn)行實際的傳輸,每一次的加工又稱為數(shù)據(jù)封裝。其中IP層對應(yīng)OSI模型中的那一層()A)應(yīng)用層B)傳輸層C)應(yīng)用層D)網(wǎng)絡(luò)層答案:D解析:[單選題]6.下面關(guān)于定性風(fēng)險評估方法的說法不正確的是A)易于操作,可以對風(fēng)險進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識B)主觀性強(qiáng),分析結(jié)果的質(zhì)量取決于風(fēng)險評估小組成員的經(jīng)驗和素質(zhì)C)"耗時短、成本低、可控性高"D)能夠提供量化的數(shù)據(jù)支持,易被管理層所理解和接受答案:D解析:[單選題]7.從歷史演進(jìn)來看，信息安全的發(fā)展經(jīng)歷了多個階段。其中，有一個階段的特點是：網(wǎng)絡(luò)信息系統(tǒng)逐步形成，信息安全注重保護(hù)信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個階段是？A)通信安全階段B)計算機(jī)安全階段C)信息系統(tǒng)安全階段D)信息安全保障階段答案:C解析:[單選題]8.信息系統(tǒng)安全工程師致力于為()和()分配安全性要求,并確保所標(biāo)識的0可以支持,這對于安全性尤其重要,因為諸如密鑰管理的服務(wù)通常被分配給外部系統(tǒng)。信息系統(tǒng)安全工程類別0)(例如加密和數(shù)字簽名)。信息系統(tǒng)安全工程師應(yīng)將機(jī)制與安全服務(wù)實力相匹配,應(yīng)用記錄缺陷,執(zhí)行相互依賴性分析,確定機(jī)制的可行性,并評估與機(jī)制相關(guān)的任何剩余風(fēng)險。A)外部系統(tǒng);目標(biāo);高級安全機(jī)制;外部系統(tǒng)B)外部系統(tǒng);目標(biāo);外部系統(tǒng);高級安全機(jī)制C)目標(biāo);外部系統(tǒng);高級安全機(jī)制;外部系統(tǒng)D)目標(biāo):外部系統(tǒng):外部系統(tǒng):高級安全機(jī)制答案:D解析:[單選題]9.ISMS審核時,對審核發(fā)現(xiàn)中,以下哪個是屬于嚴(yán)重不符合項?A)關(guān)鍵的控制程序沒有得到貫徹,缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項B)風(fēng)險評估方法沒有按照ISO27005(信息安全風(fēng)險管理)標(biāo)準(zhǔn)進(jìn)行C)孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題;D)審核員識別的可能改進(jìn)項答案:D解析:[單選題]10.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A)在軟件立項時考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測試、安全評審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實B)在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C)確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D)在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行答案:A解析:[單選題]11.30.從Linux內(nèi)核2.1版開始，實現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實現(xiàn)了超級用戶的特權(quán)分割，打破了UNIX/LINUX操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機(jī)制的理解錯誤的是（）A)普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能B)系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能C)進(jìn)程可以放棄自己的某些權(quán)能D)當(dāng)普通用戶的某些操作涉及特權(quán)操作時，仍然通過setuid答案:B解析:[單選題]12.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17：00到20：00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊A)跨站腳本（CrossSiteScripting，XSS）攻擊B)TCP會話劫持（TCPHijack）攻擊C)IP欺騙攻擊D)拒絕服務(wù)（DenialofService，DoS）攻擊答案:D解析:[單選題]13.77.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）A)A．喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B)B．實施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙C)C．搜集政治、軍事、經(jīng)濟(jì)等情報信息的情報機(jī)構(gòu)D)D．鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊答案:B解析:[單選題]14.重要數(shù)據(jù)要及時進(jìn)行（），以防出現(xiàn)意外情況導(dǎo)致數(shù)據(jù)丟失。A)殺毒B)加密C)備份D)格式化答案:C解析:[單選題]15.瀏覽網(wǎng)頁時，彈出?最熱門的視頻聊天室?的頁面，遇到這種情況，一般怎么辦？______A)現(xiàn)在網(wǎng)絡(luò)主播很流行，很多網(wǎng)站都有，可以點開看看B)安裝流行殺毒軟件，然后再打開這個頁面C)訪問完這個頁面之后，全盤做病毒掃描D)彈出的廣告頁面，風(fēng)險太大，不應(yīng)該去點擊答案:D解析:[單選題]16.下列對密網(wǎng)功能描述不正確的是：A)可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對真正目標(biāo)的攻擊B)吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來C)可以進(jìn)行攻擊檢測和實時報警D)可以對攻擊活動進(jìn)行監(jiān)視、檢測和分析答案:C解析:[單選題]17.以下對Windows系統(tǒng)的服務(wù)描述,正確的是:A)Windows服務(wù)必須是一個獨(dú)立的可執(zhí)行程序B)Windows服務(wù)的運(yùn)行不需要用戶的交互登陸C)Windows服務(wù)都是隨系統(tǒng)啟動而啟動,無需用戶進(jìn)行干預(yù)D)Windows服務(wù)都需要用戶進(jìn)行登陸后,以登錄用戶的權(quán)限進(jìn)行啟動答案:B解析:[單選題]18.Oracle默認(rèn)情況下，口令的傳輸方式是（）？A)DES加密傳輸B)明文傳輸C)3DES加密傳輸D)MD5加密傳輸答案:B解析:[單選題]19.下面關(guān)于ISO27002的說法錯誤的是：A)ISO27002的前身是ISO17799-1B)ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機(jī)構(gòu)選用，但不是全部C)ISO27002對于每個控制措施的表述分?控制措施?、?實施指南?、和?其他信息?三個部分來進(jìn)行描述D)ISO27002提出了十一大類的安全管理措施，其中風(fēng)險評估和處置是處于核心地位的一類安全措施答案:D解析:[單選題]20.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生,防范這種攻擊比較有效的方法是?A)加強(qiáng)網(wǎng)站源代碼的安全性B)對網(wǎng)絡(luò)客戶端進(jìn)行安全評估C)協(xié)調(diào)運(yùn)營商對域名解析服務(wù)器進(jìn)行加固D)在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻答案:C解析:[單選題]21.小李是某公司的系統(tǒng)規(guī)劃師，某天他針對公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設(shè)規(guī)劃圖，如下圖所示，請問這個圖形是依據(jù)下面哪個模型來繪制的（）A)PDRB)PPDRC)PDCAD)IATF答案:B解析:[單選題]22.以下說法正確的是()A)驗收測試是同承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收B)軟件測試的目的是為了驗證軟件功能是否正確C)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃，并提出審查意見D)軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段答案:C解析:[單選題]23.50.2005年,RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請問此類RFC系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的（）。A)國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）B)國際電工委員會（InternationalElectrotechnicalCommission，IEC）C)國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITUTelecommunicationStandardizationSecctor，ITU-T）D)Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）答案:D解析:[單選題]24.下列關(guān)于軟件安全開發(fā)中的BSL(BuildsecurityIn)系列模型說法錯誤的是（）A)BSL含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外B)軟件安全的三根支柱是風(fēng)險管理、軟件安全觸電和安全知識C)軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法，它提供了從不同角度保障安全的行為方式D)BSL系列模型強(qiáng)調(diào)安全測試的重要性，要求安全測試貫穿整個開發(fā)過程及軟件生命周期答案:D解析:[單選題]25.下面關(guān)于隔離網(wǎng)閘的說法，正確的是____。A)A能夠發(fā)現(xiàn)已知的數(shù)據(jù)庫漏洞B)B可以通過協(xié)議代理的方法，穿透網(wǎng)閘的安全控制C)C任何時刻，網(wǎng)閘兩端的網(wǎng)絡(luò)之間不存在物理連接D)D在OSI的二層以上發(fā)揮作用答案:C解析:[單選題]26.93.軟件開發(fā)模型是指軟件開發(fā)全部過程、活動和任務(wù)的結(jié)構(gòu)框架，最早出現(xiàn)的軟件開發(fā)模型是1970年WRoyce提出的瀑布模型。常見模型的模型有演化模型、螺旋模型、噴泉模型、智能模型等。下列軟件開發(fā)模型中，支持需求不明確，特別是大型軟件系統(tǒng)的開發(fā)，并支持多軟件開發(fā)的方法的模型是()A)A原型模型B)瀑布模型C)噴泉模型D)螺旋模型答案:D解析:[單選題]27.以下關(guān)于風(fēng)險，說法錯誤的是：_________A)風(fēng)險是客觀存在的B)任何措施都無法完全清除風(fēng)險C)可以采取適當(dāng)措施，徹底清除風(fēng)險D)風(fēng)險是指一種可能性答案:C解析:[單選題]28.44.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務(wù)影響越來越重要，計劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫報告時，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是()A)應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式B)應(yīng)急預(yù)案是提高應(yīng)對網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段C)編制應(yīng)急預(yù)案是國家網(wǎng)絡(luò)安全法對所有單位的強(qiáng)制要求，因此必須建設(shè)D)應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施答案:D解析:[單選題]29.在信息安全管理過程中，背景建立是實施工作的第一步。下面哪項理解是錯誤的A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B)背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報告答案:B解析:[單選題]30.下面有關(guān)我國標(biāo)準(zhǔn)化管理和組織機(jī)構(gòu)的說法錯誤的是？A)國家標(biāo)準(zhǔn)化管理委員會是統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主管機(jī)構(gòu)B)國家標(biāo)準(zhǔn)化技術(shù)委員會承擔(dān)著國家標(biāo)準(zhǔn)的制定和修改鞏工作C)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)信息安全技術(shù)標(biāo)準(zhǔn)的審查、批準(zhǔn)、編號和發(fā)布D)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標(biāo)準(zhǔn)年度計劃項目答案:C解析:[單選題]31.在信息系統(tǒng)中，訪問控制是最重要的安全功能之一。訪問控制模型將所有實體分為主體和客體兩大類，通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項中，對主體，客體和訪問權(quán)限的描述中正確的是（）A)對文件進(jìn)行操作的用戶是一種主體B)用戶調(diào)度并運(yùn)行的某個進(jìn)程是一種客體C)主體與客體的關(guān)系是固定的，不能互換D)一個主體為了完成任務(wù)，可以創(chuàng)建另外的客體，并使這些子客體獨(dú)立運(yùn)行答案:A解析:[單選題]32.我國等級保護(hù)政策發(fā)展的正確順序是（）①等級保護(hù)相關(guān)政策文件頒布②計算機(jī)系統(tǒng)安全保護(hù)等級劃分思想提出③等級保護(hù)相關(guān)標(biāo)準(zhǔn)發(fā)布④網(wǎng)絡(luò)安全法將等級保護(hù)制度作為基本國策⑤等級保護(hù)工作試點A)①②③④⑤B)②③①⑤④C)②⑤①③④D)①②④③⑤答案:C解析:[單選題]33.即時通信安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問題，特別對于使用即時通信進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時通信應(yīng)考慮許多措施，下列措施中錯誤的是（）A)如果經(jīng)費(fèi)許可，可以使用自建服務(wù)器的即時通信系統(tǒng)B)在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求，例如禁止在即時通信中傳輸敏感及以上級別的文檔；建立管理流程及時將離職員工移除等C)選擇在設(shè)計上已經(jīng)成為商業(yè)應(yīng)用提供安全防護(hù)的即時通訊軟件，例如提供傳輸安全性保護(hù)等即時通訊D)涉及重要操作包括轉(zhuǎn)賬無需方式確認(rèn)答案:D解析:D項常識性錯誤。[單選題]34.1998年英國公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》,規(guī)定()管理體系要求與()要求,它是一個組織的全面或部分信息安全管理體系評估的(),它可以作為一個正式認(rèn)證方案的()。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展,同時還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及()的責(zé)任。A)信息安全;信息安全控制;根據(jù);基礎(chǔ);信息安全B)信息安全控制;信息安全;根據(jù);基礎(chǔ);信息安全C)信息安全控制;信息安全;基礎(chǔ);根據(jù);信息安全D)信息安全;信息安全控制;基礎(chǔ);根據(jù);信息安全答案:D解析:[單選題]35.若需要修改TOMCAT的監(jiān)聽地址，應(yīng)修改哪個配置?文件A)tomcat.xmlB)server.xmlC)web.xmlD)tomcat-users.xml答案:B解析:[單選題]36.計算機(jī)取證是將計算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效應(yīng)的確定和提取。以下關(guān)于計算機(jī)取證的描述中，錯誤的是A)計算機(jī)取證包括對以磁介質(zhì)編碼信息方式存儲的計算機(jī)證據(jù)的提取和歸檔B)計算機(jī)取證圍繞電子證據(jù)進(jìn)行，電子證據(jù)具有高科技性等特點C)計算機(jī)取證包括保護(hù)目標(biāo)計算機(jī)系統(tǒng)，確定收集和保存電子證據(jù)，必須在開計算機(jī)的狀態(tài)下進(jìn)行D)計算機(jī)取證是一門在犯罪進(jìn)行過程中或之后收集證據(jù)答案:C解析:[單選題]37.操作系統(tǒng)安全的基礎(chǔ)是建立在A)安全安裝B)安全配置C)安全管理D)以上都對答案:D解析:[單選題]38.94.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯誤的是（）A)各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點B)各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進(jìn)計劃等文件C)各國普遍加強(qiáng)國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D)各國普遍積極推動信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評答案:C解析:[單選題]39.測試程序變更管理流程時,安全管理體系內(nèi)審員使用的最有效的方法是:A)由系統(tǒng)生成的信息跟蹤到變更管理文檔B)檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C)由變更管理文檔跟蹤到生成審計軌跡的系統(tǒng)D)檢查變更管理文檔中涉及的證據(jù)的完整性答案:A解析:[單選題]40.下面關(guān)于CSRF漏洞的防御方法不正確的是A)驗證RefererB)添加token驗證C)增加驗證碼D)更換瀏覽器答案:D解析:[單選題]41.在對業(yè)務(wù)持續(xù)性計劃進(jìn)行驗證時,以下哪項最為重要A)數(shù)據(jù)備份準(zhǔn)時執(zhí)行B)備份站點已簽訂合約,并且在需要時可以使用C)人員安全計劃部署適當(dāng)D)保險答案:C解析:[單選題]42.在GSM系統(tǒng)中手機(jī)與基站通信時，基站可以對手機(jī)的身份進(jìn)行認(rèn)證，而手機(jī)卻不能對基站的身份進(jìn)行認(rèn)證，因此"偽基站"系統(tǒng)可以發(fā)送與正規(guī)基站相同的廣播控制信號，攻擊者從中可以監(jiān)聽通話、獲取語音內(nèi)容與用戶識別碼等關(guān)鍵信息。GSM所采用的鑒別類型屬于（）A)單項鑒別B)雙向鑒別C)第三方鑒別D)實體特征鑒別答案:A解析:[單選題]43.等級保護(hù)定級階段主要包括哪2個步驟A)系統(tǒng)識別與描述、等級確定B)系統(tǒng)描述、等級確定C)系統(tǒng)識別、系統(tǒng)描述D)系統(tǒng)識別與描述、等級分級答案:A解析:[單選題]44.以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施?（）A)人民解放軍戰(zhàn)略支援部隊B)中國移動吉林公司C)重慶市公安局消防總隊D)上海市衛(wèi)生與計劃生育委員會答案:D解析:關(guān)鍵信息基礎(chǔ):面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng);且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故,會影響重要行業(yè)正常運(yùn)行,對國家政治、經(jīng)濟(jì)、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴(yán)重?fù)p失。[單選題]45.風(fēng)險評估的基本要素包括脆弱性、資產(chǎn)、威脅、風(fēng)險及安全措施,下面給出的風(fēng)險評估部分基本要素之間的關(guān)系圖,哪項是錯誤的()。A)style="width:auto;"class="fr-ficfr-filfr-dib">B)style="width:auto;"class="fr-ficfr-filfr-dib">C)style="width:auto;"class="fr-ficfr-filfr-dib">D)style="width:auto;"class="fr-ficfr-filfr-dib">答案:D解析:[單選題]46.40.小李和小劉需要為公司新建的信息管理系統(tǒng)設(shè)計訪問控制方法，他們在討論中針對采用自主訪問控制還是強(qiáng)制訪問控制產(chǎn)生了分歧小李認(rèn)為應(yīng)該采用自主訪問控制的方法，他的觀點主要有：（1）自主訪問控制可為用戶提供靈活、可調(diào)整的安全策略，具有較好的易用性和可擴(kuò)展性；（2）自主訪問控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問控制的方法，他的觀點主要有：（3）強(qiáng)制訪問控制中，用戶不能通過運(yùn)行程序來改變他自己及任何客體的安全屬性，因為安全性較高；（4）強(qiáng)制訪問控制能夠保護(hù)敏感信息。請問以上四種觀點中，不正確的是（）A)觀點（1），因為自主訪問控制的安全策略是固定的，主體的反問權(quán)限不能改變B)觀點（2），因為在自主訪問控制中，操作系統(tǒng)無法區(qū)分對文件的訪問權(quán)限是由合法用戶修改，還是由惡意攻擊的程序修改的C)觀點（3），因為在強(qiáng)制訪問控制中，安全級別最高的用戶可以修改安全屬性D)觀點（4），因為在強(qiáng)制訪問控制中，用戶可能無意中泄漏機(jī)密信息答案:B解析:[單選題]47.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本,會將他的瀏覽器定向到旅游網(wǎng)站,旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站,但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息),于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面,截獲用戶的個人信息了。這種向Web頁面插入惡意html代碼的攻擊方式稱為()A)SQL注入攻擊B)緩沖區(qū)溢出攻擊C)分布式拒絕服務(wù)攻擊D)跨站腳本攻擊答案:D解析:跨站腳本是由于網(wǎng)頁支持腳本的執(zhí)行,而程序員又沒有對用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格控制,使得攻擊者可以向Web頁面插入惡意HTML代碼,當(dāng)用戶瀏覽網(wǎng)頁時,嵌入其中的HTML代碼會被執(zhí)行,從而實現(xiàn)攻擊者的特殊目的。[單選題]48.以下哪個問題不是導(dǎo)致DNS欺騙的原因之一？A)DNS是一個分布式的系統(tǒng)B)為提高效率，DNS查詢信息在系統(tǒng)中會緩存C)DNS協(xié)議傳輸沒有經(jīng)過加密的數(shù)據(jù)D)DNS協(xié)議是缺乏嚴(yán)格的認(rèn)證答案:A解析:[單選題]49.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)……DDoS攻擊所致，影響規(guī)模驚人，對人們成產(chǎn)生活造成嚴(yán)重影響，DDoS攻擊的主要目的是破壞系……()A)保密性B)可用性C)不可否認(rèn)性D)抗……性答案:B解析:[單選題]50.項目經(jīng)理欲提高信息系統(tǒng)安全性,他首先要做的工作是A)考慮安全開發(fā)需要什么樣的資源與預(yù)算B)考慮安全開發(fā)在開發(fā)生命周期各階段應(yīng)開展哪些工作C)對開發(fā)團(tuán)隊進(jìn)行信息安全培訓(xùn)D)購買一定的安全工具,如代碼掃描工具等答案:B解析:[單選題]51.王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時,根據(jù)任務(wù)安排,他依據(jù)已有的資產(chǎn)列表,逐個分析可能危害這些資產(chǎn)的主體、動機(jī)、途徑等多種因素,分析這些因素出現(xiàn)及造成損失的可能性大小,并為其賦值.請問,他這個工作屬于下面哪一個階段的工作().A)確認(rèn)已有的安全措施并賦值B)脆弱性識別并賦值C)威脅識別并賦值D)資產(chǎn)識別并賦值答案:D解析:資產(chǎn)列表分析屬于資產(chǎn)識別并賦值階段工作.[單選題]52.組織的安全策略可以是廣義的,也可以是狹義的,下面哪一條是屬于廣義的安全策略?A)應(yīng)急計劃B)遠(yuǎn)程辦法C)計算機(jī)安全程序D)電子郵件個人隱私答案:C解析:[單選題]53.以下哪一項關(guān)于Bell-Lapadula模型特點的描述是錯誤的？A)強(qiáng)調(diào)對信息保密性的保護(hù)，受到對信息保密要求較高的軍政機(jī)關(guān)和企業(yè)的喜愛B)既定義了主體對客體的訪問，也說明了主體對主體的訪問。因此。它適用于網(wǎng)絡(luò)系統(tǒng)C)它是一種強(qiáng)制訪問控制模型，與自主訪問控制模型相比具有強(qiáng)耦合，集中式授權(quán)的特點D)比起那些較新的模型而言，Bell-Lapadula定義的公理很簡單，更易于理解，與所使用的實際系統(tǒng)具有直觀的聯(lián)系答案:B解析:[單選題]54.以下說法正確的是()。A)軟件測試計劃開始于軟件設(shè)計階段,完成于軟件開發(fā)階段B)驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收C)軟件測試的目的是為了驗證軟件功能是否正確D)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃,并提出審查意見答案:D解析:軟件測試開始與軟件設(shè)計階段,在軟件開發(fā)完成以后還有回歸測試,驗收測試;驗收測試一般按照軟件開發(fā)預(yù)期(軟件開發(fā)需求或者合同)來進(jìn)行;軟件測試的目的是檢驗它是否滿足規(guī)定的需求或是弄清預(yù)期結(jié)果與實際結(jié)果之間的差異。P416頁[單選題]55.從SABSA的發(fā)展過程，可以看出整個SABSA在安全架構(gòu)中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的（），其次是（），它包含了建筑設(shè)計中的（）、物理設(shè)計、組件設(shè)計和服務(wù)管理設(shè)計，再者就是（），緊隨其后的則是（）class="fr-ficfr-dibcursor-hover"A)設(shè)計；戰(zhàn)略與規(guī)劃；邏輯設(shè)計；實施；管理與衡量B)戰(zhàn)略與規(guī)劃；邏輯設(shè)計；設(shè)計；實施；管理與衡量C)戰(zhàn)略與規(guī)劃；實施；設(shè)計；邏輯設(shè)計；管理與衡量D)戰(zhàn)略與規(guī)劃；設(shè)計；邏輯設(shè)計；實施；管理與衡量答案:D解析:P42[單選題]56.校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因,200臺以內(nèi)的用戶主機(jī)不能正常工作,屬于以下哪種級別事件A)特別重大事件B)重大事件C)較大事件D)一般事件答案:D解析:[單選題]57.關(guān)于計算機(jī)取證描述正確的是（）A)計算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面地檢查計算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計算機(jī)犯罪的相關(guān)證據(jù)的活動B)取證的目的包括：通過證據(jù)查找肇事者，通過證據(jù)推斷受害都損失程度及收集證據(jù)提供法律支持C)電子證據(jù)是計算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的各種信息記錄存儲的電子化資料及物品，對于電子證據(jù)，取證工作主要圍繞兩方面進(jìn)行，證據(jù)的獲取和證據(jù)的保護(hù)D)計算機(jī)取證的過程可以分為準(zhǔn)備、保護(hù)、提取、分析和提交5個步驟答案:A解析:跟602題重復(fù)但是602問的是不正確的。此題A選項與D選項都是正確的，在教材?計算機(jī)取證與保全?部分可以找到原文，但是建議選擇A[單選題]58.下圖是一張圖書銷售系統(tǒng)數(shù)據(jù)庫的圖書表，其中包含（）個字段。A)、5B)、6C)、7D)、8答案:C解析:[單選題]59.世紀(jì)20年代,德國發(fā)明家亞瑟.謝爾比烏斯(Aunturscherbius)和理查德.里特(RichardRitter)發(fā)明了ENIGMA密碼機(jī),看密碼學(xué)發(fā)展歷史階段劃分,這個階段屬于():A)古典階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼,而不是推理和證明。常用的密碼運(yùn)算方法包括替代方法和置換方法。B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計算,形成了機(jī)械式密碼設(shè)備和更進(jìn)一步的機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?(thecommunicationtheoryofsecretsystems)為理論基礎(chǔ),開始了對密碼學(xué)的科學(xué)探索。D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志,引發(fā)了密碼學(xué)歷史上的革命性的變革,同時,眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合。(說明:此題基于老版教材對于密碼學(xué)4個歷史時期分類)答案:A解析:[單選題]60.在SSE-CMM中對工程過程能力的評價分為三個層次，由宏觀到微觀依次是A)能力級別-公共特征（CF）-通用實踐（GP）B)能力級別-通用實踐-（GP）-公共特征（CFC)通用實踐-（GP）-能力級別-公共特征（CF）D)公共特征（CF）-能力級別-通用實踐-（GP）答案:A解析:[單選題]61.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A)口令B)令牌C)知識D)常見的DES、IDEA算法都屬于分組密碼算法答案:B解析:[單選題]62.以下關(guān)于模糊測試過程的說法正確的是？A)模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B)為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試C)通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D)對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告答案:C解析:[單選題]63.75.軟件危機(jī)是指落后的軟件生產(chǎn)方式無法滿足迅速增長的計算機(jī)軟件需求，從而導(dǎo)致軟件開發(fā)與維護(hù)過程中出現(xiàn)一系列嚴(yán)重問題的現(xiàn)象。為了克服軟件危機(jī)，人們提出了用（）的原理來設(shè)計軟件，這就是軟件工程誕生的基礎(chǔ)。A)數(shù)學(xué)B)軟件學(xué)C)運(yùn)籌學(xué)D)工程學(xué)答案:D解析:[單選題]64.在二層交換局域網(wǎng)絡(luò)中，交換機(jī)通過識別（）地址進(jìn)行交換A)IPB)MA.C.C)IPXD)SWITC.H答案:B解析:[單選題]65.基于對()的信任,當(dāng)一個請求或命令來自一個?權(quán)威?人士時,這個請求就可能被毫不懷疑的()。在()中,攻擊者偽裝成?公安部門?人員要求受害者對權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請求配合進(jìn)行一次系統(tǒng)測試,要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼答案:A解析:[單選題]66.以下對Kerberos協(xié)議過程說法正確的是:()A)協(xié)議可以分為兩個步驟:一是用戶身份鑒別;二是獲取請求服務(wù)B)協(xié)議可以分為兩個步驟:一是獲得票據(jù)許可票據(jù);二是獲取請求服務(wù)C)協(xié)議可以分為三個步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)D)協(xié)議可以分為三個步驟:一是獲得票據(jù)許可票據(jù)二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)答案:D解析:[單選題]67.當(dāng)保護(hù)組織的信息系統(tǒng)時,在網(wǎng)絡(luò)防火墻被破壞以后,通常的下一道防線是下列哪一項?A)個人防火墻B)防病毒軟件C)入侵檢測系統(tǒng)D)虛擬局域網(wǎng)設(shè)置答案:C解析:[單選題]68.429.如果有一名攻擊者在搜索引擎中搜索?.doc+XX.com?找到XXX.com網(wǎng)站上所有的word文檔。該攻擊者通過搜索?.mdb?、?.ini?+域名,找到該域名下的mdb庫文件、ini配置文件等非公開信息,通過這些敏感信息對該網(wǎng)站進(jìn)行攻擊,請問這屬于()A)定點挖掘B)攻擊定位C)網(wǎng)絡(luò)攻擊嗅探D)溢出攻擊答案:A解析:[單選題]69.453.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅？（）A)網(wǎng)站競爭對手可能雇傭攻擊者實施DDos攻擊，降低網(wǎng)站訪問速度B)網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購買的商品金額等C)網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D)網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息答案:D解析:[單選題]70.36.InternetExplorer，簡稱IE，是微軟推出的一款Web瀏覽器，IE中有很多安全設(shè)置選項，用來設(shè)置安全上網(wǎng)環(huán)境和保護(hù)用戶隱私數(shù)據(jù)。以下哪項不IE中的安全配置項目（）A)設(shè)置Cookie安全，允許用戶根據(jù)自己安全策略要求者、設(shè)置Cookie策略，包括從阻止所有Cookie到接受所有Cookie，用戶也可以選擇刪除已經(jīng)保存過的CookieB)禁用自動完成和密碼記憶功能，通過設(shè)置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁止IE自動記憶表單中的用戶名和口令信息C)設(shè)置每個連接的最大請求數(shù)，修改MuKeepA;ivEcquests，如果同時請求數(shù)達(dá)到閾值就不再響應(yīng)新的請求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用D)為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別，用戶可以將各個不同的網(wǎng)站劃分到Internet、本地Internet、受信任的站點、受限制的站點等不同安全區(qū)域中，以采取不同的安全訪問策略答案:C解析:[單選題]71.GB／T18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了評估對象（TargetofEvaluation，TOE）、保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）等術(shù)語。關(guān)于安全目標(biāo)(ST)，下面選項中描述錯誤的是()。A)ST閘述了安全要求，具體說明了一個既定被評估產(chǎn)品或評估對象的安全功能B)ST包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施C)ST對于產(chǎn)品和系統(tǒng)來講，相當(dāng)于要求了其安全實現(xiàn)方案D)ST從用戶角度描述，代表了用戶想要的東西，而不是廠商聲稱提供的東西答案:D解析:[單選題]72.以下哪個選項是缺乏適當(dāng)?shù)陌踩刂频谋憩F(xiàn)A)威脅B)脆弱性C)資產(chǎn)D)影響答案:B解析:[單選題]73.以下哪項不屬于信息安全管理的工作內(nèi)容A)信息安全培訓(xùn)B)信息安全考核C)信息安全規(guī)劃D)安全漏洞掃描答案:D解析:[單選題]74.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A)訪問控制表(ACL)B)訪問控制矩陣C)能力表(CL)D)前綴表(Profiles)答案:A解析:定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。)[單選題]75.為了能夠合理、有序地處理安全事件，應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種廣泛使用的方法，其將應(yīng)急響應(yīng)分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容A)培訓(xùn)階段B)文檔階段C)報告階段D)檢測階段答案:D解析:[單選題]76.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補(bǔ)丁,安全運(yùn)維人員給出了針對此漏洞修補(bǔ)的四個建議方案,請選擇其中一個最優(yōu)方案執(zhí)行()A)由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞,為了避免安全風(fēng)險,應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害,所以可以先不做處理C)對于重要的服務(wù),應(yīng)在測試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署D)對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁,用戶終端計算機(jī)由于沒有重要數(shù)據(jù),由終端自行升級答案:C解析:[單選題]77.王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時,根據(jù)任務(wù)安排,他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞,根據(jù)風(fēng)險管理的相關(guān)理論,他這個是掃描活動屬于下面哪一個階段的工作()A)風(fēng)險分析B)風(fēng)險要素識別C)風(fēng)險結(jié)果判定D)風(fēng)險處理答案:B解析:漏洞掃描屬于風(fēng)險要素的脆弱性要素識別,風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。[單選題]78.數(shù)據(jù)完整性約束指的是為了防止不符合規(guī)范的數(shù)據(jù)進(jìn)入數(shù)據(jù)庫,在用戶對數(shù)據(jù)進(jìn)行插入、修改、刪除等操作時,DBMS自動按照一定的約束條件對數(shù)據(jù)進(jìn)行監(jiān)測,使不符合規(guī)范的數(shù)據(jù)不能進(jìn)入數(shù)據(jù)庫,以確保數(shù)據(jù)庫中存儲的數(shù)據(jù)正確、有效、相容。有一個關(guān)系:學(xué)生(學(xué)號、姓名、系別),規(guī)定學(xué)號的值域是8個數(shù)字組成的字串【這里有表格描述】,這一規(guī)則屬于class="fr-ficfr-dibcursor-hover">A)實體完整性約束B)參照完整性約束C)用戶自定義完整性約束D)關(guān)鍵字完整性約束答案:A解析:[單選題]79.殘余風(fēng)險是風(fēng)險管理中的一個重要概念。在信息安全風(fēng)險管理中，關(guān)于殘余風(fēng)險描述錯誤的是？A)殘余風(fēng)險是采取了安全措施后，仍然可能存在的風(fēng)險：一般來說，是在綜合考慮了安全成本與效益后不去控制的風(fēng)險B)殘余風(fēng)險應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C)實施風(fēng)險處理時，應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險的存在和可能造成的后果D)信息安全風(fēng)險處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險，以最小殘余風(fēng)險值作為風(fēng)險管理效果評估指標(biāo)答案:D解析:[單選題]80.37.為達(dá)到預(yù)期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯誤的是（）A)隱藏惡意代碼進(jìn)程，即將惡意代碼進(jìn)程隱藏起來，或者改名和使用系統(tǒng)進(jìn)程名，以更好的躲避檢測，迷惑用戶和安全檢測人員B)隱藏惡意代碼的網(wǎng)絡(luò)行為，復(fù)用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控C)隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進(jìn)制代碼，以躲避用戶和安全檢測人員D)隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除答案:C解析:[單選題]81.于對()的信任,當(dāng)一個請求或命令來自一個?權(quán)威?人士時,這個請求就可能被毫不懷疑的()。在()中,攻擊者偽裝成?公安部門?人員,要求受害者轉(zhuǎn)賬到所謂?安全賬戶?就是利用了受害者對權(quán)威的信任。在()中,攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份,去要求受害者執(zhí)行操作,例如偽裝成系統(tǒng)管理員,告訴用戶請求配合進(jìn)行一次系統(tǒng)測試要求()等。A)權(quán)威;執(zhí)行;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼B)權(quán)威;執(zhí)行;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼C)執(zhí)行;權(quán)威;電信詐騙;網(wǎng)絡(luò)攻擊;更改密碼D)執(zhí)行;權(quán)威;網(wǎng)絡(luò)攻擊;電信詐騙;更改密碼答案:A解析:[單選題]82.信息安全管理體系要求的核心內(nèi)容是?A)風(fēng)險評估B)關(guān)鍵路徑法C)PDCA循環(huán)D)PERT答案:C解析:[單選題]83.49.某公司財務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù)，包括系統(tǒng)日志，公司網(wǎng)絡(luò)管理員在了解情況后，給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮?)A)由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進(jìn)行取證B)由于公司缺乏備用硬盤，因此計劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來進(jìn)行取證C)由于公司缺乏備用硬盤，因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復(fù)出來的數(shù)據(jù)D)由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員，因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作答案:B解析:[單選題]84.信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié),在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險評估工作的意見》(國信辦(2006)5號)中,風(fēng)險評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關(guān)工作原則和要求,下面選項中描述正確的是()。A)信息安全風(fēng)險評估應(yīng)以自評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充B)信息安全風(fēng)險評估應(yīng)以檢查評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充C)自評估和檢查評估是相互排斥的,單位應(yīng)慎重地從兩種工作形式選擇一個,并長期使用D)自評估和檢查評估是相互排斥的,無特殊理由單位均應(yīng)選擇檢查評估,以保證安全效果答案:A解析:信息安全風(fēng)險評估應(yīng)以自評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充。[單選題]85.47.中國電信重慶分公司的關(guān)鍵信息基確設(shè)施保護(hù)工作應(yīng)由以下哪個組織負(fù)責(zé)具體管理實施()，由哪個組織負(fù)責(zé)統(tǒng)解協(xié)調(diào)()?①中國電信集團(tuán)②中共重慶市委網(wǎng)信辦③重慶市通信管理局④中央網(wǎng)信辦A)①,④B)③C)④D)①②答案:D解析:[單選題]86.小李在學(xué)習(xí)信息安全管理體系（InformationSecurityManagementSystem，ISMS）的有關(guān)知識后，按照自己的理解畫了一張圖來描述安全管理過程，但是他存在一個空白處未填寫，請幫他選擇一個最合適的選項A)監(jiān)控和反饋ISMSB)實施和運(yùn)行ISMSC)執(zhí)行和檢查ISMSD)溝通和咨詢ISMS答案:B解析:[單選題]87.63.()才是系統(tǒng)的軟肋，可以毫不夸張的說，人是信息系統(tǒng)安全防護(hù)體系中最不穩(wěn)定也是()。社會工程學(xué)攻擊是一種復(fù)雜的攻擊，不能等同于一般的()，很多即使是自認(rèn)為非常警惕及小心的人，一樣會被高明的()所攻破。A)社會工程學(xué)；攻擊人的因素；最脆弱的環(huán)節(jié)；欺騙方法B)人的因素:最脆弱的環(huán)節(jié)；社會工程學(xué)攻擊；欺騙方法C)欺騙方法；最脆弱的環(huán)節(jié)；人的因素；社會工程學(xué)攻擊D)人的因素；最脆弱的環(huán)節(jié)；欺騙方法:社會工程學(xué)攻擊答案:D解析:[單選題]88.小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位。一次面試中，某公司的技術(shù)經(jīng)理讓小王讀一讀信息