CISP考試練習(xí)題及答案5-2023背題版

試題說(shuō)明

本套試題共包括1套試卷

每題均顯示答案和解析

ClSP考試練習(xí)題及答案5(500題)

ClSP考試練習(xí)題及答案5

L［單選題］以下標(biāo)準(zhǔn)內(nèi)容為“信息安全管理體系要求”的是哪個(gè)？

A)IS027000

B)ISO27001

C)ISO27002

D)ISO27003

答案:B

解析：

2.［單選題］建立計(jì)算機(jī)及其網(wǎng)絡(luò)設(shè)備的物理環(huán)境，必須要滿足《建筑與建筑群綜合布線系統(tǒng)

工程設(shè)計(jì)規(guī)范》的要求，計(jì)算機(jī)機(jī)房的室溫應(yīng)保持在

A)10°C至25℃之間

B)15°C至30℃之間

C)8°C至20℃之間

D)Io℃至28℃之間

答案:A

解析：

3.［單選題］86?以下哪個(gè)是ARP欺騙攻擊可能導(dǎo)致的后果？

A)ARP欺騙可直接獲得目標(biāo)主機(jī)的控制權(quán)

B)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)的系統(tǒng)崩潰，藍(lán)屏重啟

C)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)

D)ARP欺騙可導(dǎo)致目標(biāo)主機(jī)死機(jī)

答案:D

解析：

4.［單選題］中國(guó)信息安全測(cè)評(píng)中心對(duì)ClSP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書(shū)有效期內(nèi)

,應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)：

A)為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)

B)在信息安全公司從事保安工作

C)在公開(kāi)場(chǎng)合宣講安全知識(shí)

D)在學(xué)校講解信息安全課程

答案：B

解析：

5.［單選題］對(duì)戴明環(huán)(PDCA)方法的描述不正確的是：

A)"PDCAw的含義是P計(jì)劃，D實(shí)施，C檢查，A改進(jìn)；

B)“PDCA”循環(huán)又叫“戴明”環(huán)；

C)''PDCA”循環(huán)是只能用于信息安全管理體系有效改進(jìn)的工作程序；

D)“PDCA”循環(huán)是可用于任何一項(xiàng)活動(dòng)有效進(jìn)行的工作程序；

答案：C

解析：

6.［單選題］信息保障技術(shù)框架(IATF)是美國(guó)國(guó)家安全局(NSA)制定的，為

保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，關(guān)于IATF

的說(shuō)法錯(cuò)誤的是？

A)IATF的代表理論為“深度防御”。

B)IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，從多種不同的角度對(duì)信息

系統(tǒng)進(jìn)行防護(hù)。

OIATF關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施三個(gè)信息安全保

障領(lǐng)域。

D)IATF論述了系統(tǒng)工程、系統(tǒng)采購(gòu)、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周

期支持等過(guò)程。

答案：C

解析：

7.［單選題］自自42004年年11月起，國(guó)內(nèi)各有關(guān)部門(mén)在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)

,必須經(jīng)由以下哪個(gè)組織提出工作情況，協(xié)調(diào)一致后由該組織申報(bào)。

A)全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)

B)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TTCC226600)

C)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCCA)

D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)

答案：B

解析：

8.［單選題］在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSE

C)中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級(jí)別？

A)C2

B)C1

OB2

D)B1

答案:D

解析：

9.［單選題］以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？

A)Land

B）UDPFlood

C）Smurf

D）teardrop

答案:D

解析：

10.［單選題］作為一名信息安全專業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問(wèn)控制策略。由于該公

司的人員流動(dòng)較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來(lái)確定對(duì)信息資源的訪問(wèn)權(quán)限

,最應(yīng)該采用下列哪一種訪問(wèn)控制模型？

A）自主訪問(wèn)控制（DAC）

B）強(qiáng)制訪問(wèn)控制（MAC）

C）基于角色訪問(wèn)控制（RBAC）

D）最小特權(quán)（LEASTPrivilege）

答案：C

解析：

IL［單選題］基于密碼技術(shù)的訪問(wèn)控制是防止—的主要防護(hù)手段。（）

A）數(shù)據(jù)傳輸泄密

B）數(shù)據(jù)傳輸丟失

C）數(shù)據(jù)交換失敗

D）數(shù)據(jù)備份失敗

答案：A

解析：

12.［單選題］下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是：

A）國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）中的信

息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心

B）模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可

根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化

C）信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全

D）信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性.完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使

用的人員在能力和培訓(xùn)方面不需要投入

答案:D

解析：

13.［單選題］張主任的計(jì)算機(jī)使用WindoWS7操作系統(tǒng)，他常登陸的用戶名為Zhang.張主任給他個(gè)

人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問(wèn)這個(gè)目錄，管理員在某次維護(hù)中無(wú)意將

ZHANG這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為ZHANG張主任使用ZHANG這個(gè)用戶登錄系

統(tǒng)后，發(fā)現(xiàn)無(wú)法訪問(wèn)他原來(lái)文件夾，原因是：

A）任何一個(gè)新建用戶都需要經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)中的文件

B）windows7不認(rèn)為新建立的用戶zhang與原來(lái)的用戶zhang是同一個(gè)用戶，因此無(wú)權(quán)訪問(wèn)

C）用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來(lái)用戶的文件夾，因此無(wú)

法訪問(wèn)

D）新建的用戶zhang會(huì)繼承原來(lái)用戶的權(quán)限，之所以無(wú)權(quán)訪問(wèn)是因?yàn)槲募A經(jīng)過(guò)了加密

答案：B

解析：

14.［單選題］攻擊者通過(guò)向網(wǎng)絡(luò)或目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，修改目標(biāo)計(jì)算機(jī)上ARP緩存

,形成一個(gè)錯(cuò)誤的IP地L>MAC地址映射，這個(gè)錯(cuò)誤的映射在目標(biāo)主機(jī)在需要發(fā)送數(shù)據(jù)時(shí)封裝錯(cuò)誤

的MAC地址。欺騙攻擊過(guò)程如下圖示，其屬于欺騙攻擊中的哪一種欺騙攻擊的過(guò)程（）

aa:aa:aa:aa:aa

192.168.1.

ee:ee?:?:ee

A）ARP

B）IP

ODNS

D）SN

答案:A

解析：

15.［單選題］在制定一個(gè)正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素將是?

A）成立一個(gè)審查委員會(huì)

B）建立一個(gè)安全部門(mén)

C）向執(zhí)行層發(fā)起人提供有效支持

D）選擇一個(gè)安全流程的所有者

答案：C

解析：

16.［單選題］網(wǎng)絡(luò)安全協(xié)議包括（）。

A）SSL、TLS,IPSec.Telnet、SSH、SET等

B）POP3和IMAP4

C）SMTP

D）TCP/IP

答案:A

解析：

17.［單選題］在典型的Web應(yīng)用站點(diǎn)的層次結(jié)構(gòu)中，“中間件”是在哪里運(yùn)行的？

A）瀏覽器客戶端

B）Web服務(wù)器

C）應(yīng)用服務(wù)器

D）數(shù)據(jù)庫(kù)服務(wù)器

答案：C

解析：

18.［單選題］了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（）的關(guān)鍵，對(duì)于信息系統(tǒng)的管理人員和用戶

,都應(yīng)該了解社會(huì)工程學(xué)攻擊的概念和攻擊的（）。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)

培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊，如何判斷是否存在社會(huì)工程學(xué)攻擊，這樣才能更好地

保護(hù)信息系統(tǒng)和（）。因?yàn)槿绻麑?duì)攻擊方式有所了解，那么識(shí)破攻擊者的偽裝就（）。因此組織

應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育，向員工灌輸（），從而降低社會(huì)工程學(xué)攻擊的

風(fēng)險(xiǎn)。

A）社會(huì)工程學(xué)攻擊；越容易；原理；個(gè)人數(shù)據(jù)；安全意識(shí)

B）社會(huì)工程學(xué)攻擊；原理；越容易；個(gè)人數(shù)據(jù)；安全意識(shí)

C）原理；社會(huì)工程學(xué)攻擊；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)

D）社會(huì)工程學(xué)攻擊；原理；個(gè)人數(shù)據(jù)；越容易；安全意識(shí)

答案:D

解析：

19.［單選題］黑客造成的主要危害是

A）破壞系統(tǒng)、竊取信息及偽造信息

B）攻擊系統(tǒng)、獲取信息及假冒信息

C）進(jìn)入系統(tǒng)、損毀信息及謠傳信息

D）進(jìn)入系統(tǒng),獲取信息及偽造信息

答案:A

解析：

20.［單選題］王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，跟據(jù)任務(wù)

安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體，動(dòng)機(jī)，途徑等多種因素，分析

這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值，請(qǐng)問(wèn)，他這個(gè)工作屬于下列哪一個(gè)階段的工

作？

A）資產(chǎn)識(shí)別并貶值

B）脆弱性識(shí)別并貶值

C）威脅識(shí)別并貶值

D）確認(rèn)已有的安全措施并貶值

答案：C

解析:

21.［單選題］關(guān)于向DNS服務(wù)器提交動(dòng)態(tài)DNS更新，針對(duì)下列配置，描述正確的說(shuō)法為：

/etc/named.conf

options{

directory”∕var∕named”；

allow-update202.96.44,0/24；

）;

A）允許向本DNS服務(wù)器進(jìn)行區(qū)域傳輸?shù)闹鳈C(jī)IP列表為“/24”

B）允許向本DNS服務(wù)器進(jìn)行域名遞歸查詢的主機(jī)IP列表“/24”

C）允許向本DNS服務(wù)器提交動(dòng)態(tài)DNS更新的主機(jī)IP列表“202.96.44.0/24,,

D）缺省時(shí)為拒絕所有主機(jī)的動(dòng)態(tài)DNS更新提交。

答案：C

解析：

22.［單選題］IS027002中描述的11個(gè)信息安全管理控制領(lǐng)域不包括：

A）信息安全組織

B）資產(chǎn)管理

C）內(nèi)容安全

D）人力資源安全

答案：C

解析：

23.［單選題］對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝0,運(yùn)行系統(tǒng)要僅安裝經(jīng)過(guò)批準(zhǔn)的可執(zhí)行代碼，不

安裝開(kāi)發(fā)代碼和（），應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受

過(guò)培訓(xùn)的管理員，根據(jù)合適的（），進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫(kù)的更新；必要時(shí)在管理者批準(zhǔn)的情

況下，僅為了支持目的，才授予供應(yīng)商物理或運(yùn)輯訪問(wèn)權(quán)。并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能

安裝何種類型的軟件，組織宜定義井強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用OO不受控制的計(jì)算機(jī)設(shè)備上

的軟件安裝可能導(dǎo)政胞弱性，進(jìn)而導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反（）。

A）控制規(guī)程；編譯程序；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)

B）編譯程序；控制規(guī)程；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)

C）控制規(guī)程；管理授權(quán)；編譯程序；最小特權(quán)方針，知識(shí)產(chǎn)權(quán)

D）控制規(guī)程；最小特權(quán)方針；編譯程序；管理授權(quán)；知識(shí)產(chǎn)權(quán)

答案:A

解析：

24.［單選題］以下哪些是可能存在的威脅因素？

A）設(shè)備老化故障

B）病毒和蠕蟲(chóng)

C）系統(tǒng)設(shè)計(jì)缺陷

D）保安工作不得力

答案:B

解析:

25.［單選題］從歷史演進(jìn)來(lái)看，信息安全的發(fā)展經(jīng)歷了多個(gè)階段，其中，有一個(gè)階段的特點(diǎn)是：網(wǎng)絡(luò)

信息系統(tǒng)逐步形成，信息安全注重保護(hù)信息在存儲(chǔ)、處理和傳輸過(guò)程中免受非授權(quán)的訪問(wèn)，開(kāi)始使

用防火墻、防病毒、PKI和VPN等安全茶產(chǎn)品。這個(gè)階段是？

A）通信安全階段

B）計(jì)算機(jī)安全階段

C）信息系統(tǒng)安全階段

D）信息安全保障階段

答案：C

解析：

26.［單選題］下面對(duì)“零日（Zero-day）漏洞”的理解中，正確的是？

A）指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊，獲取主機(jī)權(quán)

限

B）指一個(gè)特定的漏洞，特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用

來(lái)攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施

C）指一類漏洞，即特別好被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻

擊目的

D）指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來(lái)說(shuō)，那些已經(jīng)被小部分人發(fā)現(xiàn)

,但是還未被公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞

答案:D

解析：

27.［單選題］隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，bWeb成為一種普適平臺(tái)，上面承載了越

來(lái)越多的核心業(yè)務(wù)。bWeb的開(kāi)放性帶來(lái)豐富資源、高效率、新工作方式的同時(shí)，也使機(jī)構(gòu)的重要

要信息息暴露在在越來(lái)越多的的威威脅中。去年，某個(gè)本科生院網(wǎng)站站遭

遭遇遇LSQL群注入（MassLSQLInjection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽

名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測(cè)防火墻，其原因不包括：：

A）狀態(tài)檢測(cè)防火墻可以應(yīng)用會(huì)話信息決定過(guò)濾規(guī)則

B）狀態(tài)檢測(cè)防火墻具有記錄通過(guò)每個(gè)包的詳細(xì)信息能力

C）狀態(tài)檢測(cè)防火墻過(guò)濾規(guī)則與應(yīng)用層無(wú)關(guān)，相比于包過(guò)濾防火墻更易安裝和使用

D）狀態(tài)檢測(cè)防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動(dòng)作

答案：C

解析：

28.［單選題］有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）,錯(cuò)誤的理解是？

A）SSE-CMM要求實(shí)踐組織與其他組織相互作用，如開(kāi)發(fā)、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等

B）SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的可度量的科目

C）基于SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施

D）SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)

答案：C

解析：

29.［單選題］國(guó)家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)，以下哪項(xiàng)屬于絕密級(jí)的描述？

A）能夠局部反應(yīng)國(guó)家防御和治安實(shí)力的

B）國(guó)際領(lǐng)先，并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的

C）處于國(guó)際先進(jìn)水平，并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的

D）我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的

傳統(tǒng)工藝

答案：B

解析：

30.［單選題］某公司在執(zhí)行災(zāi)難恢復(fù)測(cè)試時(shí).信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)行

速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：

A）災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告

B）災(zāi)難恢復(fù)測(cè)試計(jì)劃

C）災(zāi)難恢復(fù)計(jì)劃（DRP）

D）主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件

答案:A

解析：

3L［單選題］下列哪一個(gè)日志文件的大小是正常的（）

A）1KB

B）20KB

C）7,023KB

D）123,158KB

答案:D

解析：

32.［單選題］某軟件公司準(zhǔn)備提高其開(kāi)發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開(kāi)發(fā)生命周期的

討論，在下面的發(fā)言觀點(diǎn)中，正確的是

A）軟件的安全測(cè)試也很重要，考慮到程序員的專業(yè)性，如果該開(kāi)發(fā)人員已經(jīng)對(duì)軟件進(jìn)行了安全性測(cè)

試，就沒(méi)有必要再組織第三方進(jìn)行安全性測(cè)試

B）應(yīng)當(dāng)盡早在軟件開(kāi)發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行

漏洞修復(fù)所花的代價(jià)少得多

C）軟件安全開(kāi)發(fā)生命周期較長(zhǎng)、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施

,就可以解決90%以上的安全問(wèn)題

D）和傳統(tǒng)的軟件開(kāi)發(fā)階段相比，微軟提出的安全開(kāi)發(fā)生命周期（SeCUrityDevelopment

Lifecycle,SDD的最大特點(diǎn)是增加了一個(gè)專門(mén)的安全編碼階段

答案:B

解析：

33.［單選題］實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所知的鑒別方法

、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是（）

A）將登錄口令設(shè)置為出生日期

B）通過(guò)詢問(wèn)和核對(duì)用戶的個(gè)人隱私信息來(lái)鑒別

C）使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別

D）通過(guò)掃墻和識(shí)別用戶的臉部信息來(lái)鑒別

答案:D

解析：

34.［單選題］以下哪一項(xiàng)不是HS服務(wù)器支持的訪問(wèn)控制過(guò)濾類型？

A）網(wǎng)絡(luò)地址訪問(wèn)控制

B）Web服務(wù)器許可

C）NTFS許可

D）異常行為過(guò)濾

答案:D

解析：

35.［單選題］文件型病毒傳染的對(duì)象主要是（）類文件。

A）EXE和.WPS

B）CoM和.EXE

OWPS

D）DBF

答案:B

解析：

36.［單選題］由于發(fā)生了一起針對(duì)服務(wù)器口令暴力破解事件，管理員決定對(duì)設(shè)置賬戶鎖定策略進(jìn)行配

置，他的策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘：賬戶鎖定時(shí)間10分鐘賬戶鎖定策略3次無(wú)效

登錄：以下關(guān)于以上策略說(shuō)法正確的是？

A）設(shè)置賬戶鎖定策略，無(wú)法再進(jìn)行口令暴力量破解，所有驗(yàn)證密碼的用戶安全較強(qiáng)

B）如果正確用戶錯(cuò)誤驗(yàn)證3次密碼，那么該賬戶被鎖定10分鐘，10分鐘內(nèi)輸入正確的密碼，也

無(wú)法登錄

C）如果正常用戶連續(xù)輸入密碼猜解3次，那么該賬戶被鎖定5分鐘，5分鐘內(nèi)。。。也無(wú)法登錄

D）攻擊者進(jìn)行口令猜解時(shí)，只要連續(xù)輸錯(cuò)3次，該賬戶就被鎖定10分鐘，而正常用戶登錄不受

影響

答案：B

解析：

37.［單選題］windows文件系統(tǒng)權(quán)限管理作用訪問(wèn)控制列表（AccessControlList.ΛCL）機(jī)制,以

下哪個(gè)說(shuō)法是錯(cuò)誤的：

A）安裝WindoWS系統(tǒng)時(shí)要確保文件格式使用的是NTFS,因?yàn)閃indoWS的ACL機(jī)制需要NTFS文件格式

的支持

B）由于WindOWS操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問(wèn)權(quán)

限，為了作用上的便利，Windows上的AeL存在默認(rèn)設(shè)置安全性不高的問(wèn)題

Owindows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問(wèn)權(quán)限

信息是寫(xiě)在用戶數(shù)據(jù)庫(kù)中

D）由于AeL具有很好的靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立的用戶的權(quán)限

答案：C

解析：

38.［單選題］為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公共服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全

保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出份信息安全需求報(bào)告。關(guān)于此項(xiàng)

工作，下面說(shuō)法錯(cuò)誤的是

A）信息安全需求是安全方案設(shè)計(jì)和安全措施的依據(jù)

B）信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化.結(jié)構(gòu)化的語(yǔ)言來(lái)描述信息

系統(tǒng)安全保障需求

C）信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果.業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到

D）信息安全需求來(lái)自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案

答案:D

解析：

39.［單選題］對(duì)磁介質(zhì)的最有效好銷毀方法是？

A）格式化

B）物理破壞

C）消磁

D）刪除

答案:B

解析：

40.［單選題］108?為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對(duì)性的信息

安全保障方案，并將編制任務(wù)交給了小王，為此,小王決定首先編制出一份信息安全需求描述報(bào)告

,關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是（）

A）信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)

B）信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)

C）信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求

得到

D）信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開(kāi)編寫(xiě)

答案:A

解析：

41.［單選題］以下哪些不是可能存在的弱點(diǎn)問(wèn)題？

A）保安工作不得力

B）應(yīng)用系統(tǒng)存在BUg

C）內(nèi)部人員故意泄密

D）物理隔離不足

答案：C

解析：

42.［單選題］OSI開(kāi)放系統(tǒng)互聯(lián)安全體系構(gòu)架中的安全服務(wù)分為鑒別服務(wù)、訪問(wèn)控制、機(jī)密性服務(wù)、

完整服務(wù)、抗抵賴服務(wù)，其中機(jī)密性服務(wù)描述正確的是：

?）包括原發(fā)方抗抵賴和接受方抗抵賴

B）包括連接機(jī)密性、無(wú)連接機(jī)密性、選擇字段機(jī)密性和業(yè)務(wù)流保密

0包括對(duì)等實(shí)體鑒別和數(shù)據(jù)源鑒別

D）包括具有恢復(fù)功能的連接完整性、沒(méi)有恢復(fù)功能的連接完整性、選擇字段連接完整性、無(wú)連接完

整性和選擇字段無(wú)連接完整性

答案:B

解析：

43.［單選題］關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是

A）信息安全事件的種類很多，嚴(yán)重程度也不盡相同，其響應(yīng)和處理方式也應(yīng)各不相同。

B）對(duì)信息安全事件進(jìn)行分類和分級(jí)管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)。

C）能夠使事前準(zhǔn)備，事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性。

D）我國(guó)早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)病毒防范和“千年蟲(chóng)”問(wèn)題的解決

,關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。

答案:D

解析：

44.［單選題］一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒(méi)有數(shù)據(jù)損失，恢復(fù)時(shí)間目

標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？

A）一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來(lái)的熱站

B）多區(qū)域異步更新的分布式數(shù)據(jù)庫(kù)系統(tǒng)

C）一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站

D）一個(gè)同步過(guò)程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來(lái)的混站

答案:D

解析：

45.［單選題］在LinUX操作系統(tǒng)中，為了授權(quán)用戶具有管理員的某些個(gè)性需求

的權(quán)限所采取的措施是什么？

A）告訴其他用戶root密碼

B）將普通用戶加入到管理員組

C）使用ViSUdO命令授權(quán)用戶的個(gè)性需求

D）創(chuàng)建單獨(dú)的虛擬賬戶

答案：C

解析：

46.［單選題］最新的研究和統(tǒng)計(jì)表明，安全攻擊主要來(lái)自（）。

A）接入網(wǎng)

B）企業(yè)內(nèi)部網(wǎng)

C）公用IP網(wǎng)

D）個(gè)人網(wǎng)

答案：B

解析：

47.［單選題］開(kāi)發(fā)人員認(rèn)為系統(tǒng)架構(gòu)設(shè)計(jì)不合理，需要討論調(diào)整后，再次進(jìn)入編碼階段。開(kāi)發(fā)團(tuán)隊(duì)可

能采取的開(kāi)發(fā)方法為

A）瀑布模型

B）凈室模型

C）模型

D）迭代模型

答案:A

解析：

48.［單選題］關(guān)系數(shù)據(jù)庫(kù)的完整性規(guī)劃是數(shù)據(jù)庫(kù)設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述

正確的是

A）指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項(xiàng)

B）指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復(fù)

C）指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束

D）指數(shù)據(jù)表行必須滿足某種特定的數(shù)據(jù)類型或約束，比如在更新、插入或刪除記錄時(shí)，將關(guān)聯(lián)有關(guān)

的記錄一并處理才可以

答案:B

解析：

49.［單選題］及時(shí)審查系統(tǒng)訪問(wèn)審計(jì)記錄是以下哪種基本安全功能？

A）威懾。

B）規(guī)避。

C）預(yù)防。

D）檢測(cè)。

答案:D

解析：

50.［單選題］以下哪一個(gè)是在所有的WINDOWS2000和WINDOWS系統(tǒng)中都存在的

日志是？

A）目錄服務(wù)日志

B）文件復(fù)制日志

C）應(yīng)用服務(wù)日志

D）DNS服務(wù)日志

答案：C

解析：

51.［單選題］使用加密軟件加密數(shù)據(jù)時(shí)，往往使用數(shù)據(jù)庫(kù)系統(tǒng)自帶的加密方法加密數(shù)據(jù)，實(shí)施

A）DAC

B）DCA

OMAC

D）CAM

答案:A

解析：

52.［單選題］對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中，_是較輕的處罰方式。（）

A）警告

B）罰款

C）沒(méi)收違法所得

D）吊銷許可證

答案:A

解析：

53.［單選題］給EXCeI文件設(shè)置保護(hù)密碼，可以設(shè)置的密碼種類有（）。

A）刪除權(quán)限密碼

B）修改權(quán)限密碼

C）創(chuàng)建權(quán)限密碼

D）添加權(quán)限密碼

答案:B

解析：

54.［單選題］以下有關(guān)訪問(wèn)控制的描述不正確的是

A）口令是最常見(jiàn)的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)

和管理

B）系統(tǒng)管理員在給用戶分配訪問(wèn)權(quán)限時(shí)，應(yīng)該遵循“最小特權(quán)原

則”，即分配給員工的訪問(wèn)權(quán)限只需滿足其工作需要的權(quán)限，工作之外的

權(quán)限一律不能分配

C）單點(diǎn)登錄系統(tǒng)（一次登錄/驗(yàn)證，即可訪問(wèn)多個(gè)系統(tǒng)）最大的優(yōu)勢(shì)是提

升了便利性，但是又面臨著“把所有雞蛋放在一個(gè)籃子”的風(fēng)險(xiǎn)；

D）雙因子認(rèn)證（又稱強(qiáng)認(rèn)證）就是一個(gè)系統(tǒng)需要兩道密碼才能進(jìn)入；

答案:D

解析：

55.［單選題］部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityvirtualPrivate

NetworkIPsecVPN）時(shí)。以下說(shuō)法正確的是：

A）配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密

B）配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證

C）部署IPSeCVIPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段

,來(lái)減少I(mǎi)PSeC安全關(guān)聯(lián)（SeCUrityAuthentication,SA）資源的消耗

D）報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機(jī)密性

答案：C

解析：

56.［單選題］下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的選項(xiàng)是

A）通過(guò)將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來(lái)進(jìn)行計(jì)算的一種方法

B）采用文字形式或表達(dá)性的數(shù)值范圍來(lái)描述潛在后果的大小程度及這些后果發(fā)生的可能性

C）在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來(lái)源中得到的數(shù)據(jù)

D）定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析

答案:B

解析：

57.［單選題］防火墻提供的接入模式不包括

A）網(wǎng)關(guān)模式

B）透明模式

C）混合模式

D）旁路接入模式

答案:D

解析：

58.［單選題］以下對(duì)信息安全描述不正確的是

A）信息安全的基本要素包括保密性、完整性和可用性

B）信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行

C）信息安全就是不出安全事故/事件

D）信息安全風(fēng)險(xiǎn)是科技風(fēng)險(xiǎn)的一部分

答案：C

解析：

59.［單選題］下面說(shuō)法錯(cuò)誤的是o

A）由于基于主機(jī)的入侵檢測(cè)系統(tǒng)可以監(jiān)視一個(gè)主機(jī)上發(fā)生的全部事件，它們能夠檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不能檢測(cè)的攻擊

B）基于主機(jī)的入侵檢測(cè)系統(tǒng)可以運(yùn)行在交換網(wǎng)絡(luò)中

C）基于主機(jī)的入侵檢測(cè)系統(tǒng)可以檢測(cè)針對(duì)網(wǎng)絡(luò)中所有主機(jī)的網(wǎng)絡(luò)掃描

D）基于應(yīng)用的入侵檢測(cè)系統(tǒng)比起基于主機(jī)的入侵檢測(cè)系統(tǒng)更容易受到攻擊，因?yàn)閼?yīng)用

程序日志并不像操作系統(tǒng)審計(jì)追蹤日志那樣被很好地保護(hù)

答案：C

解析：

60.［單選題］通過(guò)以下哪個(gè)命令可以查看本機(jī)端口和外部連接狀況（）

A）netstat-an

B）netconn-an

C）netport-a

D)netstat-all

答案:A

解析：

61.［單選題］管理CiSCo路由器時(shí)，應(yīng)限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管

理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到管理員權(quán)限賬號(hào)

后執(zhí)行相應(yīng)操作。要做到這點(diǎn)，正確的操作順序應(yīng)該是()。

a、使用ROUter(Config)#usernamenormaluserpassword3d-zirc0nia創(chuàng)建登錄賬號(hào)

b、使用RoUter(Config)#usernamenormaluserprivilege1給創(chuàng)建賬號(hào)賦以低的權(quán)

限

c、使用ROUter(Config)#linevtyO4和ROUter(ConfigTine)#loginlocal啟用遠(yuǎn)程

登錄的本地驗(yàn)證

d、使用RoUter(Config)#servicePaSSWOrd-encryption對(duì)存儲(chǔ)密碼進(jìn)行加密

A)abed

B)bcda

C)adcb

D)dabc

答案:D

解析：

62.［單選題］關(guān)于標(biāo)準(zhǔn)、指南、程序的描述，哪一項(xiàng)是最準(zhǔn)確的？

A)標(biāo)準(zhǔn)是建議性的策略，指南是強(qiáng)制執(zhí)行的策略

B)程序?yàn)榉蠌?qiáng)制性指南的一般性建議

C)程序是為符合強(qiáng)制性指南的一般性建議

D)程序是為符合強(qiáng)制性標(biāo)準(zhǔn)的的說(shuō)明

答案:D

解析：

63.［單選題］在ISO/IEC17799中，防止惡意軟件的目的就是為了保護(hù)軟件和信息的—。()

A)安全性

B)完整性

C)穩(wěn)定性

D)有效性

答案:B

解析：

64.［單選題］《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》規(guī)定，—負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所安全

審

核和對(duì)違反網(wǎng)絡(luò)安全管理規(guī)定行為的查處。()

A)人民法院

B)公安機(jī)關(guān)

C)工商行政管理部門(mén)

D）國(guó)家安全部門(mén)

答案:B

解析：

65.［單選題］為了簡(jiǎn)化管理，通常對(duì)訪問(wèn)者（）,以避免訪問(wèn)控制表過(guò)于龐大。

A）分類組織成組

B）嚴(yán)格限制數(shù)量

C）按訪問(wèn)時(shí)間排序，刪除長(zhǎng)期沒(méi)有訪問(wèn)的用戶

D）不作任何限制

答案:A

解析：

66.［單選題］一般來(lái)說(shuō)，路由器工作在OSl七層模式的哪層？

A）三層，網(wǎng)絡(luò)層

B）二層，數(shù)據(jù)鏈路層

C）四層，傳輸層

D）七層，應(yīng)用層

答案:A

解析：

67.［單選題］下面不屬于SET交易成員的是

A）持卡人

B）電子錢(qián)包

C）支付網(wǎng)關(guān)

D）發(fā)卡銀行

答案:B

解析：

68.［單選題］用于跟蹤路由的命令是

A）nestat

B）regedit

C）systeminfo

D）tracert

答案:D

解析：

69.［單選題］3L安全管理體系，國(guó)際上有標(biāo)準(zhǔn)（InfOrmationtechnologySecuritytechniques

Informationsystems）（ISO/IEC27001：2013）,而我國(guó)發(fā)布了《信息技術(shù)信息安全管理體系要求

》（GB/T22080-2008）.請(qǐng)問(wèn)，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是？

A）IDT（等同采用），此國(guó)家標(biāo)準(zhǔn)等同于該國(guó)際標(biāo)準(zhǔn)，僅有或沒(méi)有編輯性修改

B）EQV（等效采用），此國(guó)家標(biāo)準(zhǔn)等效于該國(guó)家標(biāo)準(zhǔn)，技術(shù)上只有很小差異

OAEQ（等效采用），此國(guó)家標(biāo)準(zhǔn)不等效于該國(guó)家標(biāo)準(zhǔn)

D）沒(méi)有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較

答案:A

解析：

70.［單選題］下面技術(shù)中不能防止網(wǎng)絡(luò)釣魚(yú)攻擊的是：

A）在主頁(yè)的底部設(shè)有一個(gè)明顯鏈接，以提醒用戶注意有關(guān)電子郵件詐騙的問(wèn)題

B）利用數(shù)字證書(shū)（如USBKEY）進(jìn)行登錄

C）根據(jù)互聯(lián)網(wǎng)內(nèi)容分級(jí)聯(lián)盟（ICRA）提供的內(nèi)容分級(jí)標(biāo)準(zhǔn)對(duì)網(wǎng)站內(nèi)容進(jìn)行分級(jí)

D）安裝殺毒軟件和防火墻、及時(shí)升級(jí)、打補(bǔ)丁、加強(qiáng)員工安全意識(shí)

答案：C

解析：

71.［單選題］以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是

A）威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅

B）評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并

計(jì)算風(fēng)險(xiǎn)

C）消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過(guò)重新設(shè)

計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅。

D）識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。

答案:D

解析：

72.［單選題］UNIX中，默認(rèn)的共享文件系統(tǒng)在哪個(gè)位置（）

A）/sbin∕

B）∕use∕local∕

C）/export/

D）∕usr∕

答案：C

解析：

73.［單選題］ISO17799/ISO27001最初是由__提出的國(guó)家標(biāo)準(zhǔn)。（）

A）美國(guó)

B）澳大利亞

C）英國(guó)

D）中國(guó)

答案：C

解析：

74.［單選題］在風(fēng)險(xiǎn)處置過(guò)程中，應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在哪種情況下采用？

A）負(fù)面影響損失小于安全投入

B）負(fù)面影響損失和安全投入持平

C）負(fù)面影響損失和安全投入都很小

D）安全投入小于負(fù)面影響損失

答案:D

解析：

75.［單選題］在招聘過(guò)程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問(wèn)題時(shí)，以下做法正確的選項(xiàng)是?

A）繼續(xù)執(zhí)行招聘流程。

B）停止招聘流程，取消應(yīng)聘人員資格。

C）與應(yīng)聘人員溝通出現(xiàn)的問(wèn)題。

D）再進(jìn)行一次背景調(diào)查。

答案:B

解析：

76.［單選題］某臺(tái)路由器上配置了如下一條訪問(wèn)列表

access-list4deny202.38.0.00.0.255.255

access-list4permit202.38.160.155

表示：（）

A）只禁止源地址為202.38.0.0網(wǎng)段的所有訪問(wèn)；

B）只允許目的地址為202.38.0.0網(wǎng)段的所有訪問(wèn)；

C）檢查源IP地址，禁止202.38.0.0大網(wǎng)段的主機(jī)，但允許其中的202.38.160.0

小網(wǎng)段上的主機(jī)；

D）檢查目的IP地址，禁止202.38.0.0大網(wǎng)段的主機(jī)，但允許其中的202.38.160.0

小網(wǎng)段的主機(jī)；

答案：C

解析：

77.［單選題］信息安全政策聲明：”每個(gè)人必須在進(jìn)入每一個(gè)控制門(mén)時(shí)，都必須

讀取自己的證件”，防范的是哪一種攻擊方式？

A）尾隨PiggybaCking

B）肩窺ShOUldersurfing

C）Dumpsterdiving

D）冒充Impersonation

答案:A

解析：

78.［單選題］有關(guān)數(shù)字簽名的作用，哪一點(diǎn)不正確。（）

A）唯一地確定簽名人的身份

B）對(duì)簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證

C）發(fā)信人無(wú)法對(duì)信件的內(nèi)容進(jìn)行抵賴

D）權(quán)威性

答案：D

解析：

79.［單選題］下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是：

A）信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息

安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B）信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信

息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)

建設(shè)信息系統(tǒng)。

C）信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組

成部分。

D）信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。

答案:D

解析：

80.［單選題］以下信息安全原則，哪一項(xiàng)是錯(cuò)誤的？

A）實(shí)施最小授權(quán)原則

B）假設(shè)外部系統(tǒng)是不安全的

C）消除所有級(jí)別的信息安全風(fēng)險(xiǎn)

D）最小化可信任的系統(tǒng)組件

答案：C

解析：

81.［單選題］微軟提出了STRlDE模型，其中R是RePUdiatiOn（抵賴）的縮寫(xiě)，關(guān)于此項(xiàng)錯(cuò)誤的事是。

A）某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒(méi)有下載過(guò)數(shù)據(jù)“軟件R威脅

B）某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。

C）對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)

D）對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過(guò)濾、流量控制等技術(shù)

答案:D

解析:針對(duì)抵賴攻擊措施是安全審計(jì)和數(shù)字簽名。

82.［單選題］下列對(duì)審計(jì)系統(tǒng)基本組成描述正確的是：

A）審計(jì)系統(tǒng)一般包括三個(gè)部分：日志記錄、日志分析和日志處理

B）審計(jì)系統(tǒng)一般包含兩個(gè)部分：日志記錄和日志處理

C）審計(jì)系統(tǒng)一般包含兩個(gè)部分：日志記錄和日志分析

D）審計(jì)系統(tǒng)一般包含三個(gè)部分：日志記錄、日志分析和日志報(bào)告

答案:D

解析：

83.［單選題］制定應(yīng)急響應(yīng)策略主要需要考慮

A）系統(tǒng)恢復(fù)能力等級(jí)劃分

B）系統(tǒng)恢復(fù)資源的要求

C）費(fèi)用考慮

D）人員考慮

答案:D

解析：

84.［單選題］企業(yè)信息安全事件的恢復(fù)過(guò)程中，以下哪個(gè)是最關(guān)鍵的？

A）數(shù)據(jù)

B）應(yīng)用系統(tǒng)

C）通信鏈路

D）硬件/軟件

答案:A

解析：

85.［單選題］下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：

A）用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別

B）用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別

C）用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別

D）用戶使用集成電路卡（如智能卡）完成身份鑒別

答案:D

解析：

86.［單選題］隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺(tái)，上面承載了越來(lái)

越多的核心業(yè)務(wù)。Web的開(kāi)放性帶來(lái)豐富資源、高效率、新工作方式的同時(shí)，也使機(jī)構(gòu)的重要信息暴

露在越來(lái)越多的威脅中。去年，某高校本科生院網(wǎng)站遭遇SQL群注入（MaSSSQLInjeCtiOn）攻擊，網(wǎng)

站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測(cè)防火

墻，其原因不包括O

A）狀態(tài)監(jiān)測(cè)防火墻具有記錄通過(guò)每個(gè)包的詳細(xì)信息能力

B）狀態(tài)監(jiān)測(cè)防火墻過(guò)濾規(guī)則與應(yīng)用層無(wú)關(guān)，相比于包過(guò)濾防火墻更易安裝和使用

C）狀態(tài)監(jiān)測(cè)防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動(dòng)作

D）狀態(tài)監(jiān)測(cè)防火墻可以應(yīng)用會(huì)話信息決定過(guò)濾規(guī)則

答案:B

解析：

87.［單選題］信息安全管理體系ISMS要求建立過(guò)程體系，該過(guò)程體系是如下?；A(chǔ)上構(gòu)建的

A）IATF

B）P2DR

0PDCERF

D）PDCA

答案:D

解析：

88.［單選題］以下對(duì)RADIUS協(xié)議說(shuō)法正確的是：

A）它是一種B/S結(jié)構(gòu)的協(xié)議

B）它是一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議

C）它使用TCP通信

D）它的基本組件包括認(rèn)證、授權(quán)和加密

答案:B

解析：

89.［單選題］目前發(fā)展很快的安全電子郵件協(xié)議是,這是一個(gè)允許發(fā)送加密和有簽名郵

件的協(xié)議。______

A）IPSec

B）SMTP

C）S/MIME

D）TCP/IP

答案：C

解析：

90.［單選題］以下對(duì)信息安全描述不正確的是

A）信息安全的基本要素包括保密性、完整性和可用性

B）信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安

全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性

C）信息安全就是不出安全事故/事件

D）信息安全不僅僅只考慮防止信息泄密就可以了

答案：C

解析：

91.［單選題］有關(guān)質(zhì)量管理，錯(cuò)誤的是：

A）質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系相互協(xié)調(diào)的活動(dòng)，是為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的

所有管理性質(zhì)的活動(dòng)

B）規(guī)范質(zhì)量管理體系相關(guān)活動(dòng)的標(biāo)準(zhǔn)是IS09000系列標(biāo)準(zhǔn)

C）質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進(jìn)行系統(tǒng)的管理

D）質(zhì)量管理體系從機(jī)構(gòu)、程序、過(guò)程和總結(jié)四個(gè)方面進(jìn)行規(guī)范來(lái)提升質(zhì)量

答案：C

解析：

92.［單選題］關(guān)于源代碼審核，下列說(shuō)法正確的是：

A）人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)

B）源代碼審核通過(guò)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點(diǎn)

的薄弱之處

C）使用工具進(jìn)行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核

D）源代碼審核是對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處

答案:D

解析：

93.［單選題］通過(guò)社會(huì)工程的方法進(jìn)行非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)可以通過(guò)以下方法防止:

A）安全意識(shí)程序

B）非對(duì)稱加密

C）入侵偵測(cè)系統(tǒng)

D）非軍事區(qū)

答案:A

解析：

94.［單選題］由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主

WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口

中斷，屬于以下哪種級(jí)別事件

A）特別重大事件

B）重大事件

C）較大事件

D）一般事件

答案:A

解析：

95.［單選題］在信息系統(tǒng)安全中，風(fēng)險(xiǎn)由以下哪兩種因素共同構(gòu)成的？

A）攻擊和脆弱性

B）威脅和攻擊

C）威脅和脆弱性

D）威脅和破壞

答案：C

解析：

96.［單選題］目前發(fā)展很快的基于PKl的安全電子郵件協(xié)議是

A）S/MIME

B）POP

C）SMTP

D）IMAP

答案:A

解析：

97.［單選題］相比文件配置表（FAT）文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)（NTFS）所具有的優(yōu)勢(shì)？

A）NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問(wèn)題而引起

操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作

B）NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限

C）對(duì)于大磁盤(pán)，NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率

D）相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容IinUX下EXT2文件格式

答案:D

解析：

98.［單選題］以下對(duì)PPDR模型的解釋錯(cuò)誤的是:

A）該模型提出以安全策略為核心，防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的，

B）該模型的一個(gè)重要貢獻(xiàn)是加進(jìn)了時(shí)間因素，而且對(duì)如何實(shí)現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述

C）該模型提出的公式1：Pt>Dt+Rt,代表防護(hù)時(shí)間大于檢測(cè)時(shí)間加響應(yīng)時(shí)間

D）該模型提出的公式1：Pt=Dt+Rt,代表防護(hù)時(shí)間為O時(shí)，系統(tǒng)檢測(cè)時(shí)間等于檢測(cè)時(shí)間加響應(yīng)時(shí)間

答案:D

解析：

99.［單選題］在風(fēng)險(xiǎn)管理工作中“監(jiān)控審查”的目的，一是;二是

A）保證風(fēng)險(xiǎn)管理過(guò)程的有效性,保證風(fēng)險(xiǎn)管理成本的有效性

B）保證風(fēng)險(xiǎn)管理結(jié)果的有效性,保證風(fēng)險(xiǎn)管理成本的有效性

C）保證風(fēng)險(xiǎn)管理過(guò)程的有效性,保證風(fēng)險(xiǎn)管理活動(dòng)的決定得到認(rèn)可

D）保證風(fēng)險(xiǎn)管理結(jié)果的有效性,保證風(fēng)險(xiǎn)管理活動(dòng)的決定得到認(rèn)可

答案：C

解析：

100.［單選題］87.小李在學(xué)習(xí)信息安全管理體系（ISMS）的有關(guān)知識(shí)后，按照自己的理解畫(huà)了一張圖

來(lái)描述安全管理過(guò)程，但是他還存在一個(gè)空白處未填寫(xiě)，請(qǐng)幫他選擇一個(gè)最合適的選項(xiàng)：

A）實(shí)施和運(yùn)行ISMS

B）執(zhí)行和檢查ISMS

C）監(jiān)控和反饋ISMS

D）溝通和咨詢ISMS

答案：A

解析：

IOL［單選題］以下哪個(gè)選項(xiàng)不是信息安全需求的來(lái)源

A）法律法規(guī)與合同條約的要求

B）組織的原則、目標(biāo)和規(guī)定

C）風(fēng)險(xiǎn)評(píng)估的結(jié)果

D）安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警

答案:D

解析：

102.［單選題］下列軟件開(kāi)發(fā)模型中，支持需求不明確，特別是大型軟件系統(tǒng)的開(kāi)發(fā)，并支持多種軟

件開(kāi)發(fā)方法的模型是（）。

A）原型模型

B）瀑布模型

C）噴泉模型

D）螺旋模型

答案:D

解析：

103.［單選題］用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（）。

≡l

()an

A）加密機(jī)制和數(shù)字簽名機(jī)制

B）加密機(jī)制和訪問(wèn)控制機(jī)制

C）數(shù)字簽名機(jī)制和路由控制機(jī)制

D）訪問(wèn)控制機(jī)制和路由控制機(jī)制

答案:A

解析：

104.［單選題］IinuX中關(guān)于登陸程序的配置文件默認(rèn)的為（B）

A）∕etc∕pam.d/system-auth

B）∕etc∕login.defs

C）∕etc∕shadow

D）∕etc∕passwd

答案：B

解析：

105.［單選題］與瀏覽器兼容性測(cè)試不需要考慮的問(wèn)題是（）

A）軟件是否可以在不同的J2EE中運(yùn)行

B）不同的瀏覽器是否可以提供合適的安全設(shè)置

O腳本和插件是否適用于不同的瀏覽器

D）符合最新HIML版本的頁(yè)面能否在瀏覽器中正確顯示

答案:A

解析：

106.［單選題］某公司開(kāi)發(fā)了一個(gè)游戲網(wǎng)站，但由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸中傳輸大量數(shù)

據(jù)包時(shí)總會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不

能傳輸?shù)綄?duì)方。關(guān)于此案例可推？

A）該網(wǎng)站軟件存在保密性方面安全問(wèn)題

B）該網(wǎng)站軟件存在完整性方面安全問(wèn)題

C）該網(wǎng)站軟件存在可用性方面安全問(wèn)題

D）該網(wǎng)站軟件存在不可否認(rèn)性方面安全問(wèn)題

答案:B

解析：

107.［單選題］為了防止電子郵件中的惡意代碼，應(yīng)該由—方式閱讀電子郵件

A）純文本

B）網(wǎng)頁(yè)

C）程序

D）會(huì)話

答案:A

解析：

108.［單選題］以下哪些問(wèn)題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問(wèn)題？

A）大整數(shù)分解

B）離散對(duì)數(shù)問(wèn)題

C）背包問(wèn)題

D）偽隨機(jī)數(shù)發(fā)生器

答案:D

解析：

109.［單選題］以下哪一個(gè)不是VLAN的劃分方式

A）根據(jù)TCP端口來(lái)劃分

B）根據(jù)MAC地址來(lái)劃分

C）根據(jù)IP組播劃分

D）根據(jù)網(wǎng)絡(luò)層劃分

答案:A

解析：

110.［單選題］使用漏洞庫(kù)匹配的掃描方法，能發(fā)現(xiàn)_

A）未知的漏洞

B）已知的漏洞

C）自行設(shè)計(jì)的軟件中的漏洞

D）所有的漏洞

答案:B

解析：

Ill.［單選題］安全審計(jì)跟蹤是—O（）

A）安全審計(jì)系統(tǒng)檢測(cè)并追蹤安全事件的過(guò)程

B）安全審計(jì)系統(tǒng)收集易于安全審計(jì)的數(shù)據(jù)

C）人利用日志信息進(jìn)行安全事件分析和追溯的過(guò)程

D）對(duì)計(jì)算機(jī)系統(tǒng)中的某種行為的詳盡跟蹤和觀察

答案:A

解析：

112.［單選題］以下關(guān)于風(fēng)險(xiǎn)評(píng)估的描述不正確的選項(xiàng)是？

A）作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生的可能需要被評(píng)估

B）作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評(píng)估

C）風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步

D）風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最終結(jié)果

答案:D

解析：

113.［單選題］下列屬于良性病毒的是

A）黑色星期五病毒

B）火炬病毒

C）米開(kāi)朗基羅病毒

D）揚(yáng)基病毒

答案:D

解析：

∏4.［單選題］信息安全事件的分類方法有多種，依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件

分類分級(jí)指南》，信息安全事件分為7個(gè)基本類別，描述正確的

A）網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性

事件和其他信息安全事件。

B）有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件

和其他信息安全事件。

C）網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性

事件和其他信息安全事件。

D）網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚(yú)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件

和其他信息安全事件。

答案:B

解析：

115.［單選題］假設(shè)使用一種加密算法，它的加密方法很簡(jiǎn)單：將每一個(gè)字母加5,即a加密成f。這

種算法的密鑰就是5,那么它屬于（）。

A）對(duì)稱加密技術(shù)

B）分組密碼技術(shù)

C）公鑰加密技術(shù)

D）單向函數(shù)密碼技術(shù)

答案:A

解析：

116.［單選題］維持對(duì)于信息資產(chǎn)的適當(dāng)?shù)陌踩胧┑呢?zé)任在于

A）安全管理員

B）系統(tǒng)管理員

C）數(shù)據(jù)和系統(tǒng)的所有者

D）系統(tǒng)作業(yè)人員

答案:A

解析：

117.［單選題］小王在某web軟件公司工作，她在工作中主要負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)（IlS）軟件進(jìn)

行安全配置，這是屬于（）方面的安全工作。

A）web服務(wù)支撐軟件

B）web應(yīng)用程序

C）web瀏覽器

D）通信協(xié)議

答案:A

解析：

118.［單選題］關(guān)于口令認(rèn)證機(jī)制，下列說(shuō)法正確的是—o（）

A）實(shí)現(xiàn)代價(jià)最低，安全性最高

B）實(shí)現(xiàn)代價(jià)最低，安全性最低

C）實(shí)現(xiàn)代價(jià)最高，安全性最高

D）實(shí)現(xiàn)代價(jià)最高，安全性最低

答案:B

解析：

119.［單選題］下列事項(xiàng)是我國(guó)在2009年下發(fā)的關(guān)于政府信息系統(tǒng)安全保障工作的政策文件：

A）《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高校

B）《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》（國(guó)發(fā)辦17號(hào)）

C）《國(guó)務(wù)院辦公廳關(guān)于印發(fā)＜政府信息系統(tǒng)安全檢查辦法〉的通知》（國(guó)辦發(fā)28號(hào)）

D）《國(guó)務(wù)院辦公廳關(guān)于印發(fā)〈國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案〉的通知》（國(guó)辦函168

答案：C

解析：

120.［單選題］作為信息安全從業(yè)人員，以下哪種行為違反了ClSP職業(yè)道德準(zhǔn)則

A）抵制通過(guò)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益

B）通過(guò)公眾網(wǎng)絡(luò)傳播非法軟件

C）不在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行欺詐，誹謗等活動(dòng)

D）幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力

答案:B

解析：

121.［單選題］關(guān)于信息安全策略文件以下說(shuō)法不正確的是哪個(gè)？

A）信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。

B）信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。

C）信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。

D）信息安全策略文件應(yīng)說(shuō)明管理承諾，并提出組織的管理信息安全的方

法。

答案：C

解析：

122.［單選題］為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以

下關(guān)于滲透測(cè)試過(guò)程的說(shuō)法不正確的是？

A）由于在實(shí)際滲透測(cè)試過(guò)程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份

,以便出現(xiàn)問(wèn)題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)

B）滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)

中運(yùn)行時(shí)的安全狀況

C）滲透測(cè)試應(yīng)當(dāng)經(jīng)過(guò)方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟

D）為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試

答案:D

解析：

123.［單選題］以下哪些不屬于脆弱性范疇？

A）黑客攻擊

B）操作系統(tǒng)漏洞

C）應(yīng)用程序BUG

D）人員的不良操作習(xí)慣

答案:A

解析：

124.［單選題］加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows操作系統(tǒng)的一個(gè)組件。以

下說(shuō)法錯(cuò)誤的是？

A）EFS采用加密算法實(shí)現(xiàn)透明的文件加密和解密，任何不擁有合適密鑰的個(gè)人或者程序都不能解密

數(shù)據(jù)

B）EFS以公鑰加密為基礎(chǔ)，并利用了Windows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)

OEFS加密系統(tǒng)適用于NTFS文件系統(tǒng)和FAT32文件系統(tǒng)（Window7環(huán)境下）

D）EFS加密過(guò)程對(duì)用戶透明，EFS加密的用戶驗(yàn)證過(guò)程是在登錄Windows時(shí)進(jìn)行的

答案：C

解析：

125.［單選題］下列關(guān)于密鑰交換協(xié)議（IKE）描述不正確的是

A）IKE可以為IPSeC協(xié)商安全關(guān)聯(lián)

B）IKE可以為RIPv2.OSPFYL等要求保密的協(xié)議協(xié)商安全參數(shù)

OIKE可以為L(zhǎng)2TP協(xié)商安全關(guān)聯(lián)

D）IKE可以為SNMPv3等要求保密的協(xié)議協(xié)商安全參數(shù)

答案：C

解析：

126.［單選題］以下關(guān)于LlNUX超級(jí)權(quán)限的說(shuō)明，不正確的是

A）一般情況下，為了系統(tǒng)安全，對(duì)于一般常規(guī)級(jí)別的應(yīng)用，不需要ROOT用戶來(lái)操作完成

B）普通用戶可以通過(guò)SU和SUDO來(lái)獲得系統(tǒng)的超級(jí)權(quán)限

C）對(duì)系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以ROOT用戶登錄才能進(jìn)行

D）ROOT是系統(tǒng)的超級(jí)用戶，無(wú)論是否為文件和程序的所有者都具有訪問(wèn)權(quán)限

答案：C

解析：

127.［單選題］所有進(jìn)入物理安全區(qū)域的人員都需經(jīng)過(guò)

A）考核

B）授權(quán)

C）批準(zhǔn)

D）認(rèn)可

答案：B

解析：

128.［單選題］某公司的對(duì)外公開(kāi)網(wǎng)站主頁(yè)經(jīng)常被黑客攻擊后修改主頁(yè)內(nèi)容，該公司應(yīng)當(dāng)購(gòu)買(mǎi)并部署

下面哪個(gè)設(shè)備（）,可以提高對(duì)此類威脅的防護(hù)能力。

A）安全路由器

B）網(wǎng)絡(luò)審計(jì)系統(tǒng)

C）網(wǎng)頁(yè)防篡改系統(tǒng)

D）虛擬專用網(wǎng)系統(tǒng)

答案：C

解析：

129.［單選題］對(duì)于信息安全策略的描述錯(cuò)誤的選項(xiàng)是？

A）信息安全策略是以風(fēng)險(xiǎn)管理為基礎(chǔ)，需要做到面面俱到，杜絕風(fēng)險(xiǎn)的存在。

B）信息安全策略是在有限資源的前提下選擇最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。

C）防范不足會(huì)造成直接的損失；防范過(guò)多又會(huì)造成間接的損失。

D）信息安全保障需要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。

答案:A

解析：

130.［單選題］有效減少偶然或故意的未授權(quán)訪問(wèn)、誤用和濫用的有效方法是如下

哪項(xiàng)？

A）訪問(wèn)控制

B）職責(zé)分離

C）加密

D）認(rèn)證

答案:B

解析：

131.［單選題］以下哪一種防病毒軟件的實(shí)施策略在內(nèi)部公司網(wǎng)絡(luò)中是最有效的：

A）服務(wù)器防毒軟件

B）病毒墻

C）工作站防病毒軟件

D）病毒庫(kù)及時(shí)更新

答案:D

解析：

132.［單選題］近幾年，無(wú)線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個(gè)領(lǐng)域。而無(wú)線信道是一個(gè)開(kāi)放性信

道，它在賦予無(wú)線用戶通信自由的同時(shí)也給無(wú)線通信網(wǎng)絡(luò)帶來(lái)一些不安全因素。下列選項(xiàng)中，對(duì)無(wú)

線通信技術(shù)的安全特點(diǎn)描述正確的是

A）無(wú)線信道是一個(gè)開(kāi)放性信道，任何具有適當(dāng)無(wú)線設(shè)備的人均可以通過(guò)搭線竊聽(tīng)而獲得網(wǎng)絡(luò)通信內(nèi)

容

B）通過(guò)傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容

C）對(duì)于無(wú)線局城網(wǎng)絡(luò)和無(wú)線個(gè)人區(qū)城網(wǎng)絡(luò)來(lái)說(shuō)，它們的通信內(nèi)容更容易被竊聽(tīng)

D）群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容

答案：C

解析：

133.［單選題］Kerberos依賴什么加密方式？

A）E1Gamal密碼加密

B）秘密密鑰加密。

C）Blowfish加密。

D）公鑰加密。

答案：B

解析：

134.［單選題］在信息安全管理體系的實(shí)施過(guò)程，管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非

常重要，但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）。

A）制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要

求

B）確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量、計(jì)劃應(yīng)具體、

可實(shí)施

C）想組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求,達(dá)成信息安全目標(biāo)、符合信息安全方

針、旅行法律責(zé)任和持續(xù)改進(jìn)的重要性

D）建立健全信息安全制度，明確風(fēng)險(xiǎn)管理作用，實(shí)話信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，確保信息安全風(fēng)險(xiǎn)評(píng)

估技術(shù)選擇合理、計(jì)算正確

答案:D

解析：

135.［單選題］從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是：

A）系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努

力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。

B）系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的

要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。

C）系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開(kāi)

發(fā)的方法。

D）系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是在原有能力成熟度模型（CMM）的基礎(chǔ)上，通過(guò)對(duì)安全工

作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測(cè)量的先進(jìn)學(xué)科。

答案:B

解析:SSE-CMM是面向工程過(guò)程的方法。

136.［單選題］ISO27OO1認(rèn)證項(xiàng)目一般有哪幾個(gè)階段？

A）管理評(píng)估，技術(shù)評(píng)估，操作流程評(píng)估

B）確定范圍和安全方針，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)控制（文件編寫(xiě)），體系運(yùn)行，認(rèn)證

C）產(chǎn)品方案需求分析，解決方案提供，實(shí)施解決方案

D）基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫(xiě)培訓(xùn)，內(nèi)部審核培訓(xùn)

答案:B

解析：

137.［單選題］63.操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作

系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小

王新買(mǎi)了一臺(tái)計(jì)算機(jī)，開(kāi)機(jī)后首先對(duì)自帶的WindOWS操作系統(tǒng)進(jìn)行配置。他的主要操作有

：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號(hào)策略、本地策略、公鑰

策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)丁；（4）關(guān)閉審核策略

,開(kāi)啟口令策略，開(kāi)啟賬號(hào)策略。這些操作中錯(cuò)誤的是？

A）操作（1）,應(yīng)該關(guān)閉不必要的服務(wù)和所有端口

B）操作（2）,在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略

C）操作（3）,備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加

D）操作（4）,應(yīng)該開(kāi)始審核策略

答案:D

解析：

138.［單選題］覆蓋全省乃至全國(guó)的黨政機(jī)關(guān)、商業(yè)銀行的計(jì)算機(jī)網(wǎng)絡(luò)屬于（）。

A）廣域網(wǎng)

B）局域網(wǎng)

C）城域網(wǎng)

D）國(guó)際互聯(lián)網(wǎng)

答案:A

解析：

139.［單選題］PKI的主要組成不包括（）o

A）證書(shū)授權(quán)CA

B）SSL

C）注冊(cè)授權(quán)RA

D）證書(shū)存儲(chǔ)庫(kù)CR

答案:B

解析：

140.［單選題］以下對(duì)KerberoS協(xié)議過(guò)程說(shuō)法正確的是:

A）協(xié)議可以分為兩個(gè)步驟一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù)

B）協(xié)助可以分為兩個(gè)步驟一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)

C）協(xié)議可以分為三個(gè)步驟一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)

D）協(xié)議可以分為三個(gè)步驟一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)

答案:D

解析:

141.［單選題］組織建立業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的作用包括：

A）在遭遇災(zāi)難事件時(shí)，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性，完整性和一致性；

B）提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；

C）保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí)，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間

斷運(yùn)行，降低損失；

D）以上都是。

答案：D

解析：

142.［單選題］在設(shè)計(jì)某公司技術(shù)性的恢復(fù)策略時(shí)，以下哪個(gè)方面是安全人員最

為關(guān)注的？

?）目標(biāo)恢復(fù)時(shí)間RTO

B）業(yè)務(wù)影響分析

C）從嚴(yán)重災(zāi)難中恢復(fù)的能力

D）目標(biāo)恢復(fù)點(diǎn)RPO

答案:B

解析：

143.［單選題］下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國(guó)家秘密法》要求

A）國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部門(mén)分別會(huì)同外交、公安、國(guó)家安全和其他中央

有關(guān)機(jī)關(guān)規(guī)定。

B）各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定

密級(jí)。

C）對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)

,然后報(bào)國(guó)家保密工作部門(mén)確定。

D）對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，由國(guó)家保密工作部門(mén)，省、自治區(qū)、直轄市

的保密工作部門(mén)，省、自治區(qū)政府所在地的市和經(jīng)國(guó)務(wù)院批準(zhǔn)的較大的市的保密工作部門(mén)或者國(guó)家

保密工作部門(mén)審定的機(jī)關(guān)確定。

答案：C

解析：

144.［單選題］某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分析電子商務(wù)網(wǎng)站所面臨的威

脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消

減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅？

A）網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度

B）網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作