CISP考試練習(xí)題及答案4-2023練習(xí)版_第1頁
CISP考試練習(xí)題及答案4-2023練習(xí)版_第2頁
CISP考試練習(xí)題及答案4-2023練習(xí)版_第3頁
CISP考試練習(xí)題及答案4-2023練習(xí)版_第4頁
CISP考試練習(xí)題及答案4-2023練習(xí)版_第5頁
已閱讀5頁,還剩117頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

試題說明

本套試題共包括1套試卷

答案和解析在每套試卷后

ClSP考試練習(xí)題及答案4(500題)

ClSP考試練習(xí)題及答案4

L[單選題]以下哪些因素屬于信息安全特征?

A)系統(tǒng)和網(wǎng)絡(luò)的安全

B)系統(tǒng)和動態(tài)的安全

C)技術(shù)、管理、工程的安全

D)系統(tǒng)的安全;動態(tài)的安全;無邊界的安全;非傳統(tǒng)的安全

2.[單選題]下列哪一種情況會損害計算機(jī)安全策略的有效性?

A)發(fā)布安全策略時

B)重新檢查安全策略時

C)測試安全策略時

D)可以預(yù)測到違反安全策略的強(qiáng)制性措施時

3.[單選題]在LinUX系統(tǒng)中,下列哪項內(nèi)容不包含在∕etc∕passwd文件中?

A)用戶名

B)用戶口令明文

C)用戶主目錄

D)用戶登陸后使用的SHELL

4.[單選題]在信息系統(tǒng)設(shè)計階段,“安全產(chǎn)品選擇”處于風(fēng)險管理過程的哪個階段?

A)背景建立

B)風(fēng)險評估

C)風(fēng)險處理

D)批準(zhǔn)監(jiān)督

5.[單選題]在信息安全管理中進(jìn)行—,可以有效解決人員安全意識薄弱問題。()

A)內(nèi)容監(jiān)控

B)責(zé)任追查和懲處

C)安全教育和培訓(xùn)

D)訪問控制

6.[單選題]在信息安全策略體系中,下面哪一項屬于計算機(jī)或信息安全的強(qiáng)制

性規(guī)則?

A)標(biāo)準(zhǔn)(Standard)

B)安全策略(Securitypolicy)

C)方針(Guideline)

D)流程(Procedure)

7.[單選題]在工程實施階段,監(jiān)理機(jī)構(gòu)依據(jù)承建合同、安全設(shè)計方案、實施方案、實施記錄、國家

或地方相關(guān)標(biāo)準(zhǔn)和技術(shù)指導(dǎo)文件,對信息化工程進(jìn)行安全檢查,以驗證項目是否實現(xiàn)了項目設(shè)計

目標(biāo)和安全等級要求。

A)功能性

B)可用性

C)保障性

D)符合性

8.[單選題]以下哪一項是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險?

A)總風(fēng)險

B)最小化風(fēng)險

C)可接受風(fēng)險

D)殘余風(fēng)險

9.[單選題]為了防御網(wǎng)絡(luò)監(jiān)聽,最常用的方法是:()。

A)采用物理傳輸(非網(wǎng)絡(luò))

B)信息加密

C)無線網(wǎng)

D)使用專線傳輸

10.[單選題]23.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯誤的是:

A)應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采

取的措施

B)應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段

C)對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素

D)根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別:特別重大事件ɑ級)、

重大事件(H級)、較大事件(In級)和一般事件(IV級)

11.[單選題]某汽車保險公司有龐大的信貸數(shù)據(jù),基于這些可信的不可篡改的數(shù)據(jù),公司希望利用區(qū)

塊鏈的技術(shù),根據(jù)預(yù)先定義好的規(guī)則和條款,自動控制保險的理賠。這一功能主要利用了的區(qū)塊鏈

的O技術(shù)特點。

A)分布式賬本

B)非對稱加密和授權(quán)技術(shù)

C)共識機(jī)制

D)智能合約

12.[單選題]異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù),它是識別系統(tǒng)或用戶的非正常行為或

者對于計算機(jī)資源的非正常使用,從而檢測出入侵行為。下面說法錯誤的是()

A)在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運行過程中的異?,F(xiàn)象

B)實施異常入侵檢測,是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認(rèn)為有攻

擊發(fā)生

C)異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手

段向管理員報警

D)異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為

13.[單選題]以下工作哪個不是計算機(jī)取證準(zhǔn)備階段的工作

A)獲得授權(quán)

B)準(zhǔn)備工具

C)介質(zhì)準(zhǔn)備

D)保護(hù)數(shù)據(jù)

14.[單選題]4?金女士經(jīng)常通過計算機(jī)網(wǎng)絡(luò)購物,從安全角度看,下面那項是不好的操作習(xí)慣?

A)在使用網(wǎng)絡(luò)瀏覽器時,設(shè)置不在計算機(jī)中保留的網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)

B)為計算機(jī)安裝具有良好的聲譽的安全防護(hù)軟件,包括病毒查殺、安全監(jiān)察和安全加固方面的軟件

C)在IE的配置中,設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ACTIVEX控制

D)使用專用上網(wǎng)購物計算機(jī),安裝好軟件后不要對該計算機(jī)上的系統(tǒng)軟件、應(yīng)用軟件進(jìn)行升級

15.[單選題]下列哪項不是Kerberos密鑰分發(fā)服務(wù)(KDS)的一部分?

A)Kerberos票證授予服務(wù)器(TGS)。

B)Kerberos身份驗證服務(wù)器(KAS)。

C)存放用戶名和密碼的數(shù)據(jù)庫。

D)Kerberos票證吊銷服務(wù)器(TRS)。

16.[單選題]下列選項中,對風(fēng)險評估文檔的描述中正確的是()

A)評估結(jié)果文檔包括描述資產(chǎn)識別和賦值的結(jié)果,形成重要資產(chǎn)列表

B)描述評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃。選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施,明確責(zé)任

、進(jìn)度、資源,并通過對殘余風(fēng)險的評價以確定所選擇安全措施的有效性的《風(fēng)險評估程序》

C)在文檔分發(fā)過程中作廢文檔可以不用添加標(biāo)識進(jìn)行保留

D)對于風(fēng)險評估過程中形成的相關(guān)文檔行,還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處

置所需的控制

17.[單選題]以下關(guān)于項目的含義,理解錯誤的是

A)項目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、

服務(wù)或成果而進(jìn)行的一次性努力。

B)項目有明確的開始日期,結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機(jī)確定。

C)項目資源指完成項目所需要的人、財、物等。

D)項目目標(biāo)要遵守SMART原則,即項目的目標(biāo)要求具體(SPeeific)、可測量(Measurable),需相

關(guān)方的一致同意(Agreeto)、現(xiàn)(ReaIiStic)、有一定的時限(Time-Oriented)

18.[單選題]ApacheWeb服務(wù)器的配置文件一般位于∕usr/local/apache/conf目錄,其中用來

控制用戶訪問APaChe目錄的配置文件是:

A)httpd.conf

B)srLconf

C)access.Conf

D)inetd.Conf

19.[單選題]保證用戶和進(jìn)程完成自己的工作而又沒有從事其他操作可能,這樣能夠使失誤出

錯或蓄意襲擊造成的危害降低,這通常被稱為—O()

A)適度安全原則

B)授權(quán)最小化原則

C)分權(quán)原則

D)木桶原則

20.[單選題]以下關(guān)于國內(nèi)信息化發(fā)展的描述,錯誤的是()。

A)從20世紀(jì)90年代開始,我國把信息化提到了國家戰(zhàn)略高度。

B)成為聯(lián)合國衛(wèi)星導(dǎo)航委員會認(rèn)可的四大衛(wèi)星導(dǎo)航系統(tǒng)之一的北斗衛(wèi)星導(dǎo)航系統(tǒng)是由我國自主研制

的。

C)我國農(nóng)村寬帶人口普及率與城市的差距在最近三年來持續(xù)拉大。

D)經(jīng)過多年的發(fā)展,截至2013年底,我國在全球整體的信息與計算技術(shù)發(fā)展排名中已處于世界領(lǐng)先

水平。

21.[單選題]Linux文件系統(tǒng)采用的是樹型結(jié)構(gòu),在根目錄下默認(rèn)存在Var目錄,它的的功用是?

A)公用的臨時文件存儲點

B)系統(tǒng)提供這個目錄是讓用戶臨時掛載其他的文件系統(tǒng)

C)某些大文件的溢出區(qū)

D)最龐大的目錄,要用到的應(yīng)用程序和文件幾乎都在這個目錄

22.[單選題]安全脆弱性是產(chǎn)生安全事件的—o()

A)內(nèi)因

B)外因

C)根本原因

D)不相關(guān)因素

23.[單選題]下列哪一項是首席安全官的正常職責(zé)?

A)定期審查和評價安全策略

B)執(zhí)行用戶應(yīng)用系統(tǒng)和軟件測試與評價

C)授予或廢除用戶對IT資源的訪問權(quán)限

D)批準(zhǔn)對數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問權(quán)限

24.[單選題]2003年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個文件,從政策層

面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件

A)《國家信息安全戰(zhàn)略報告》(國信[2005]2號)

B)《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012]23號)

C)《國家網(wǎng)絡(luò)安全綜合計劃(CNCI)》(國令[2008]54號)

D)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)

25.[單選題]Linux系統(tǒng)格式化分區(qū)用哪個命令:

A)fdisk

B)mv

C)mount

D)df

26.[單選題]在一個分布式環(huán)境中,以下哪一項能夠最大程度減輕服務(wù)器故障

的影響?

A)冗余路徑

B)(服務(wù)器)集群

C)撥號備份鏈路

D)備份電源

27.[單選題]76.規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。某單

位在實施風(fēng)險評估時,按照規(guī)范形成了若干文檔,其中,下面O中的文檔應(yīng)屬于風(fēng)險評估中“風(fēng)

險要素識別”階段輸出的文檔。

A)《風(fēng)險評估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、資產(chǎn)分類標(biāo)準(zhǔn)

等內(nèi)容

B)《風(fēng)險評估方法和工具列表》,主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容

C)《風(fēng)險評估方案》,主要包括本次風(fēng)險評估的目的、范圍、目標(biāo)、評估步驟、經(jīng)費預(yù)算和進(jìn)度安

排等內(nèi)容

D)《已有安全措施列表》,主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容

28.[單選題]計算機(jī)病毒最重要的特征是_____

A)隱蔽性

B)傳染性

C)潛伏性

D)表現(xiàn)性

29.[單選題]相對于不存在災(zāi)難恢復(fù)計劃,和當(dāng)前災(zāi)難恢復(fù)計劃的成本比照,最接近的是:

A)增加

B)減少

C)保持不變

D)不可預(yù)知

30.[單選題]對安全策略的描述不正確的選項是

A)信息安全策略(或者方針)是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方

向,用于指導(dǎo)信息安全管理體系的建立和實施過程

B)策略應(yīng)有一個屬主,負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略

C)安全策略的內(nèi)容包括管理層對信息安全目標(biāo)和原則的聲明和承諾;

D)安全策略一旦建立和發(fā)布,則不可變更;

31.[單選題]某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件,出現(xiàn)了一個價值IOOO元的商品用1元被買走

的情況,經(jīng)分析是由于設(shè)計時出于性能考慮,在瀏覽時時使HttP協(xié)議,攻擊者通過偽造數(shù)據(jù)包使得

向購物車添加商品的價格被修改。利用此漏洞,攻擊者將價值IOOO元的商品以1元添加到購物車中

,而付款時又沒有驗證的環(huán)節(jié),導(dǎo)致以上問題。對于網(wǎng)站的這個問題原因分析及解決措施,最正確

的說法應(yīng)該是?

A)該問題的產(chǎn)生是由于編碼缺陷,通過對網(wǎng)站進(jìn)行修改,在進(jìn)行訂單付款時進(jìn)行商品價格驗證就可

以解決

B)該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位,沒有找到該威脅

并采取相應(yīng)的消減措施

C)該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的,為了避免再發(fā)生類似的問題,應(yīng)對全網(wǎng)站進(jìn)行

安全改造,所有的訪問都強(qiáng)制要求使用https

D)該問題的產(chǎn)生不是網(wǎng)站的問題,應(yīng)報警要求尋求警察介入,嚴(yán)懲攻擊者即可

32.[單選題]下面哪一個不是系統(tǒng)設(shè)計階段風(fēng)險管理的工作內(nèi)容

A)安全技術(shù)選擇

B)軟件設(shè)計風(fēng)險控制

C)安全產(chǎn)品選擇

D)安全需求分析

33.[單選題]實體身份鑒別般依據(jù)以下三種基本情況或這三種情況的組合:實體所知的鑒別方法.實體

所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于實體特征的鑒別方法是()

A)將登錄口令設(shè)置為出生日期

B)通過詢問和核對用戶的個人隱私信息來鑒別

C)使用系統(tǒng)定制的.在本系統(tǒng)專用的IC卡進(jìn)行鑒別

D)通過掃描和識別用戶的臉部信息來鑒別

34.[單選題]下列哪一項是一個適當(dāng)?shù)臏y試方法適用于業(yè)務(wù)連續(xù)性計劃

(BCP)?

A)試運行

B)紙面測試

C)單元

D)系統(tǒng)

35.[單選題]企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是

A)企業(yè)應(yīng)該建立和維護(hù)一個完整的信息資產(chǎn)清單,并明確信息資產(chǎn)的管

控責(zé)任;

B)企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求,采取對應(yīng)的

管控措施;

C)企業(yè)的信息資產(chǎn)不應(yīng)該分類分級,所有的信息系統(tǒng)要統(tǒng)一對待

D)企業(yè)可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別所有的信息資

產(chǎn)

36.[單選題]隨著信息技術(shù)的不斷發(fā)展,信息系統(tǒng)的重要性也越來越突出,而與此同時,發(fā)生的信息

安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源,下面描述正確的是?

A)信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要,同時自身在開發(fā)、部署和使用過程

中存在的脆弱性,導(dǎo)致了諸多的信息安全事件發(fā)生。因此,杜絕脆弱性的存在是解決信息安全問題

的根本所在

B)信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛,接

觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能遭受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統(tǒng)就

可以解決信息安全問題

C)信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個方面兩個方面分析,因為信息系統(tǒng)自身存在脆弱性

,同時外部又有威脅源,從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此,要防范信息安全風(fēng)險,需從

內(nèi)外因同時著手

D)信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用,內(nèi)因和外因都可能導(dǎo)致安全事

件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊、本地破壞和內(nèi)外

勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此,對人這個因素的防范應(yīng)是安全工作重點

37.[單選題]下列哪一項體現(xiàn)了適當(dāng)?shù)穆氊?zé)分離?

A)磁帶操作員被允許使用系統(tǒng)控制臺。

B)操作員是不允許修改系統(tǒng)時間。

C)允許程序員使用系統(tǒng)控制臺。

D)控制臺操作員被允許裝載磁帶和磁盤。

38.[單選題]由于IT的發(fā)展,災(zāi)難恢復(fù)計劃在大型組織中的應(yīng)用也發(fā)生了變化。

如果新計劃沒有被測試下面哪項是最主要的風(fēng)險

A)災(zāi)難性的斷電

B)資源的高消耗

C)恢復(fù)的總成本不能被最小化

D)用戶和恢復(fù)團(tuán)隊在實施計劃時可能面臨服務(wù)器問題

39.[單選題]以下哪一項是首席安全官的正常職責(zé)?

A)定期審查和評價安全策略

B)執(zhí)行用戶應(yīng)用系統(tǒng)和軟件測試與評價

C)授予或廢除用戶對IT資源的訪問權(quán)限

D)批準(zhǔn)對數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問權(quán)限

40.[單選題]下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)

A)第二層隧道協(xié)議(L2TP)

B)Internet安全性(IPSEC)

O終端訪問控制器訪問控制系統(tǒng)(TACACS+)

D)點對點隧道協(xié)議(PPTP)

41.[單選題]依據(jù)信息系統(tǒng)安全保障模型,以下那個不是安全保證對象

A)機(jī)密性

B)管理

C)過程

D)人員

42.[單選題]一個數(shù)據(jù)包過濾系統(tǒng)被設(shè)計成只允許你要求服務(wù)的數(shù)據(jù)包進(jìn)入,而過濾掉不

必要的服務(wù)。這屬于什么基本原則?

A)最小特權(quán);

B)阻塞點;

C)失效保護(hù)狀態(tài);

D)防御多樣化

43.[單選題]基于TCP的主機(jī)在進(jìn)行一次TCP連接時需要進(jìn)行三次握手。請求通信的主機(jī)A要與另一臺

主機(jī)B建立連接時,A需要先發(fā)一個SYN數(shù)據(jù)包向B主機(jī)提出連接請求,B收到后,回復(fù)一個AeK/SYN確

認(rèn)請求給A主機(jī),然后A再次回應(yīng)ACK數(shù)據(jù)包,確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包

給目標(biāo)主機(jī),使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下,目標(biāo)主機(jī)會等一段時間后才會

放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標(biāo)主機(jī)時,目標(biāo)主機(jī)上就會有大量的連接請求

等待確認(rèn),當(dāng)這些未釋放的連接請求數(shù)量超過目標(biāo)主機(jī)的資源限制時,正常的連接請求就不能被目

標(biāo)主機(jī)接受。這種SYNFIOOd攻擊屬于

A)SQL注入攻擊

B)緩沖區(qū)溢出攻擊

C)分布式拒絕服務(wù)攻擊

D)拒絕服務(wù)攻擊

44.[單選題]某網(wǎng)盤被發(fā)現(xiàn)泄露了大量私人信息,通過第三方網(wǎng)盤搜索引擎可查詢到該網(wǎng)盤用戶的大

量照片、通訊錄。該網(wǎng)盤建議用戶使用“加密分享”功能,以避免消息泄露,“加密分享”可以采

用以下哪些算法O

A)MD5算法,SHA-I算法

B)DSA算法,RSA算法

OSHA-I算法,SM2算法

D)RSA算法,SM2算法

45.[單選題]美國的關(guān)鍵信息基礎(chǔ)設(shè)施(CritiCalInformationInfrastructure,Cn)包括商用核

設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國

防工業(yè)基地等等,美國政府強(qiáng)調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全,其主要原因不包括

A)這些行業(yè)都關(guān)系到國計民生,對經(jīng)濟(jì)運行和國家安全影響深遠(yuǎn)

B)這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域

C)這些行業(yè)信息系統(tǒng)普遍存在安全隱患,而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出

D)這些行業(yè)發(fā)生信息安全事件,會造成廣泛而嚴(yán)重的損失

46.[單選題]ISMS審核常用的審核方法不包括?

A)糾正預(yù)防

B)文件審核

C)現(xiàn)場審核

D)滲透測試

47.[單選題]為推動我國信息安全等級保護(hù)工作,我國制定和發(fā)布了信息安全等級保護(hù)標(biāo)準(zhǔn)其中、屬

于國家制定標(biāo)準(zhǔn),且在信息安全等級保護(hù)標(biāo)準(zhǔn)體系中處于基礎(chǔ)地位的是O

A)GB∕T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》

B)GB∕T22240-2008《信息系統(tǒng)安全等級保護(hù)等級定級指南》

OGB/25058-2010《信息系統(tǒng)安全等級保護(hù)實施指南》

D)GB17859-1999<《計算進(jìn)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

48.[單選題]以下哪組全部是完整性模型?

A)BLP模型和BIBA模型

B)BIBΛ模型和Clark—Wilson模型

OChinesewall模型和BlBA模型

D)Clark—Wilson模型和ChineSewall模型

49.[單選題]漏洞掃描是信息系統(tǒng)風(fēng)險評估中的常用技術(shù)措施,定期的漏洞掃描有助于組織機(jī)構(gòu)發(fā)現(xiàn)

系統(tǒng)中存在的安全漏洞。漏洞掃描軟件是實施漏洞掃描的工具,用于測試網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫

及應(yīng)用軟件是否存在漏洞。某公司安全管理組成員小李對漏洞掃描技術(shù)和工具進(jìn)行學(xué)習(xí)后有如下理

解,其中錯誤的是()

A)主動掃描工作方式類似于IDS(IntrusionDetectionSystems)

B)CVE(ComonVulnerabilities&EXPOSUreS)為每個漏洞確定了唯一的名稱和標(biāo)準(zhǔn)化的描述

OX.Scanner采用多線程方式對指定IP地址段進(jìn)行安全漏洞掃描

D)ISS的SystemScanmer通過依附于主機(jī)上的掃描器代理偵測主機(jī)內(nèi)部的漏洞

50.[單選題]在信息安全策略體系中,下面哪一項屬于電腦或信息安全的強(qiáng)制性規(guī)則?

A)標(biāo)準(zhǔn)(Standard)

B)安全策略(Securitypolicy)

C)方針(Guideline)

D)流程(Procedure)

51.[單選題]在網(wǎng)絡(luò)安全體系構(gòu)成要素中“響應(yīng)”指的是()。

A)環(huán)境響應(yīng)和技術(shù)響應(yīng)

B)一般響應(yīng)和應(yīng)急響應(yīng)

C)系統(tǒng)響應(yīng)和網(wǎng)絡(luò)響應(yīng)

D)硬件響應(yīng)和軟件響應(yīng)

52.[單選題]按照我國信息安全等級保護(hù)的有關(guān)政策和標(biāo)準(zhǔn),有些信息系統(tǒng)只需要自主定級、自主保

護(hù)、按照要求向公安機(jī)關(guān)備案即可,可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬

于?

A)零級系統(tǒng)

B)一級系統(tǒng)

C)二級系統(tǒng)

D)三級系統(tǒng)

53.[單選題]Linux文件系統(tǒng)采用的是樹型結(jié)構(gòu),在根目錄下默認(rèn)存在Var目

錄,它的的功用是?

A)公用的臨時文件存儲點

B)系統(tǒng)提供這個目錄是讓用戶臨時掛載其他的文件系統(tǒng)

C)某些大文件的溢出區(qū)

D)最龐大的目錄,要用到的應(yīng)用程序和文件幾乎都在這個目錄

54.[單選題]PKI是__o()

A)PrivateKeyInfrastructure

B)Publi

C)KeyInstitute

C)Public)KeyInfrastructure

D)PrivateKeyInstitute

55.[單選題]小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險評估后,因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交

易的功能模塊風(fēng)險太高,他建議該公司以放棄這個功能模塊的方式來處理該風(fēng)險。請問這種風(fēng)險處

置的方法是

A)降低風(fēng)險

B)規(guī)避風(fēng)險

C)轉(zhuǎn)移風(fēng)險

D)放棄風(fēng)險

56.[單選題]下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是:

?)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)中的信息

系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心

B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型,在信息系統(tǒng)安全保障具體操作時,可

根據(jù)具體環(huán)境和要求進(jìn)行改動和細(xì)化

C)信息系統(tǒng)安全保障強(qiáng)調(diào)的是動態(tài)持續(xù)性的長效安全,而不僅是某時間點下的安全

D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性,單位對信息系統(tǒng)運行維護(hù)和

使用的人員在能力和培訓(xùn)方面不需要投入

57.[單選題]在邏輯訪問控制中如果用戶賬戶被共享,這種局面可能造成的最大

風(fēng)險是:

A)非授權(quán)用戶可以使用ID擅自進(jìn)入.

B)用戶訪問管理費時.

C)很容易猜測密碼.

D)無法確定用戶責(zé)任

58.[單選題]下面哪種方法可以替代電子銀行中的個人標(biāo)識號(PINs)的作用?

A)虹膜檢測技術(shù)

B)語音標(biāo)識技術(shù)

C)筆跡標(biāo)識技術(shù)

D)指紋標(biāo)識技術(shù)

59.[單選題]以下哪一項對安全風(fēng)險的描述是準(zhǔn)確的?

A)安全風(fēng)險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損

失或損害的可能性。

B)安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)

損失事實。

C)安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)

損失或損害的可能性

D)安全風(fēng)險是指資產(chǎn)的脆弱性被威脅利用的情形。

60.[單選題]239.在實施信息安全風(fēng)險評估時,需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值,關(guān)于資

產(chǎn)價值的評估,以下選項中正確的是?

A)資產(chǎn)的價值指采購費用

B)資產(chǎn)的價值指維護(hù)費用

C)資產(chǎn)的價值與其重要性密切相關(guān)

D)資產(chǎn)的價值無法估計

61.[單選題]在軟件保障成熟度模型(SOftWareAssuranceMaturityMode,SAMM)中規(guī)定了軟件開發(fā)

過程中的核心業(yè)務(wù)功能,下列哪個選項不屬于核心業(yè)務(wù)功能:

A)治理,主要是管理軟件開發(fā)的過程和活動

B)構(gòu)造,主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動

C)驗證,主要是測試和驗證軟件的過程與活動

D)購置,主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與

62.[單選題]38.P2DR模型是一個用于描述網(wǎng)絡(luò)動態(tài)安全的模型,這個模型經(jīng)常使用圖形的形式來形

象表達(dá),如下圖所示,請問圖中空白處應(yīng)填寫?

A)持續(xù)(duration)

B)數(shù)據(jù)(data)

C)檢測(detection)

D)執(zhí)行(do)

63.[單選題]即時通訊安全是移動互聯(lián)網(wǎng)時代每個用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問題,特別對于

使用即時通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時通訊應(yīng)考慮許多措施,下列描施中錯

誤的是()

A)如果經(jīng)費許可,可以使用自建服務(wù)器的即時通訊系統(tǒng)

B)在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時通訊中傳輸敏感及以上級別的文

檔;建立管理流程及時將員工移除等

C)選擇在設(shè)計上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時通訊軟件,例如提供傳輸安全性保護(hù)等即時通

D)涉及重要操作包括轉(zhuǎn)賬無需方式確認(rèn)

64.[單選題]ISO安全體系結(jié)構(gòu)中的對象認(rèn)證服務(wù),使用()完成。

A)加密機(jī)制

B)數(shù)字簽名機(jī)制

C)訪問控制機(jī)制

D)數(shù)據(jù)完整性機(jī)制

65.[單選題]在什么情況下,熱站會作為一個恢復(fù)策略被執(zhí)行?

A)低災(zāi)難容忍度

B)高恢復(fù)點目標(biāo)(RPO)

C)高恢復(fù)時間目標(biāo)(RTO)

D)高災(zāi)難容忍度

66.[單選題]P2DR模型通過傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護(hù)能力,這些技術(shù)包括?

A)實時監(jiān)控技術(shù)。

B)訪問控制技術(shù)。

C)信息加密技術(shù)。

D)身份認(rèn)證技術(shù)。

67.[單選題]∕etc∕passw文件是UNIX/Linux安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的

登錄名、加密的口令數(shù)據(jù)項、用戶ID(UlD)、默認(rèn)的用戶分組ID(GID)、用戶信息、用戶登錄目

錄以及登錄后使用的Shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的PaSSWd文件后,發(fā)現(xiàn)每個用

戶的加密口令數(shù)據(jù)項都顯示為'x'。下列選項中,對此現(xiàn)象的解釋正確的是O

?)黑;客竊取的PaSSWd文件是假的

B)加密口令被轉(zhuǎn)移到了另一個文件里

C)這些賬戶都被禁用了

D)用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為'x'

68.[單選題]近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生,防范這種攻擊比較有效的方

法是?

A)加強(qiáng)網(wǎng)站源代碼的安全性

B)對網(wǎng)絡(luò)客戶端進(jìn)行安全評估

C)協(xié)調(diào)運營商對域名解析服務(wù)器進(jìn)行加固

D)在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻

69.[單選題]關(guān)于我國加強(qiáng)信息安全保障工作的總體要求,以下說法錯誤的是?

A)堅持積極防御、綜合防范的方針

B)重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全

C)創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境

D)提高個人隱私保護(hù)意識

70.[單選題]如果有一名攻擊者在搜索引擎中搜索doc+XXX.Com"找到XXX.Com網(wǎng)站上所有的

word文檔。該攻擊者通過搜索".mdb"、".ini”+城名,找到該域名下的mdb庫文件、ini配置文

件等非公開信息,通過這些敏感信息對該網(wǎng)站進(jìn)行攻擊,請問這屬于()

A)定點挖掘

B)攻擊定位

C)網(wǎng)絡(luò)實施嗅探

D)溢出攻擊

71.[單選題]應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作,下面描述錯誤的是

A)應(yīng)急響應(yīng)工作有其鮮明的特點:具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性

,以及需要廣泛的協(xié)調(diào)與合作

B)應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān),基于該事

件,人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性

C)信息安全應(yīng)急響應(yīng),通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施,既

包括預(yù)防性措施,也包括事件發(fā)生后的應(yīng)對措施

D)應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作,其主要包括兩部分工作:安全事件

發(fā)生時正確指揮、事件發(fā)生后全面總結(jié)

72.[單選題]安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展(SecureMultipurposeInternetMail

Extension,S∕MIME)是指一種保障郵件安全的技術(shù),下面描述錯誤的是()。

A)S∕MIME采用了非對稱密碼學(xué)機(jī)制

B)S∕MIME支持?jǐn)?shù)字證書

C)S∕MIME采用了郵件防火墻技術(shù)

D)S∕MIME支持用戶身份認(rèn)證和郵件加密

73.[單選題]以下關(guān)于可信計算說法錯誤的是:

A)可信的主要目的是要建立起主動防御的信息安全保障體系

B)可信計算機(jī)安全評價標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計算機(jī)和可信計算基的概念

C)可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)

用系統(tǒng)可信

D)可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法

74.[單選題]某單位計劃在今年開發(fā)一套辦公自動化(OA)系統(tǒng),將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)

行協(xié)同辦公,在OA系統(tǒng)的設(shè)計方案評審會上,提出了不少安全開發(fā)的建議,作為安全專家,請指

出大家提的建議中不太合適的一條

A)對軟件開發(fā)商提出安全相關(guān)要求,確保軟件開發(fā)商對安全足夠的重視,投入資源解決軟件安全問

B)要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn),使開發(fā)人員掌握基本軟件安全開發(fā)知識

C)要求軟件開發(fā)商使用JaVa而不是ASP作為開發(fā)語言,避免產(chǎn)生SQL注入漏洞

D)要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計,各模塊明確輸入和輸出數(shù)據(jù)格式,并在使用前對輸入數(shù)

據(jù)進(jìn)行校驗

75.[單選題]小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后,認(rèn)為組織建立信息安全管理體系并持續(xù)

運行,比起簡單地實施信息安全管理,有更大的作用,他總結(jié)了四個方面的作用,其中總結(jié)錯誤的

是?

A)可以建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有章可循,有據(jù)可查

B)可以強(qiáng)化員工的信息安全意識,建立良好的安全作業(yè)習(xí)慣,培育組織的信息安全企業(yè)文化

C)可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心

D)可以深化信息安全管理,提高安全防護(hù)效果,使組織通過國際標(biāo)準(zhǔn)化組織的IS09001認(rèn)證

76.[單選題]當(dāng)保護(hù)組織的信息系統(tǒng)時,在網(wǎng)絡(luò)防火墻被破壞以后,通常的下一道防線是以下哪一項

2

A)個人防火墻

B)防病毒軟件

C)入侵檢測系統(tǒng)

D)虛擬局域網(wǎng)設(shè)置

77.[單選題]關(guān)于源代碼,描述錯誤的是?

A)源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題

B)源代碼審核過程遵循PDCA模型

C)源代碼審核方式包括人工審核和工具審核

D)源代碼審核工具包括商業(yè)工具和開源工具

78.[單選題]下列對蜜網(wǎng)功能描述不正確的是:

A)可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對真正目標(biāo)的攻擊

B)吸引入侵者來嗅探、攻擊,同時不被覺察地將入侵者的活動記錄下來

C)可以進(jìn)行攻擊檢測和實時報警

D)可以對攻擊活動進(jìn)行監(jiān)視、檢測和分析

79.[單選題]人們對信息安全的認(rèn)識從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:

A)為了更好地完成組織機(jī)構(gòu)的使命

B)針對信息系統(tǒng)的攻擊方式發(fā)生重大變化

C)風(fēng)險控制技術(shù)得到革命性的發(fā)展

D)除了保密性,信息的完整性和可用性也引起人們的關(guān)注

80.[單選題]我國刑法—規(guī)定了非法侵入計算機(jī)信息系統(tǒng)罪。

A)第284條

B)第285條

C)第286條

D)第287條

81.[單選題]一般網(wǎng)絡(luò)設(shè)備上的SNMP默認(rèn)可讀團(tuán)體字符串是:

A)PUBLIC

B)CISCO

C)DEFAULT

D)PRIVATE

82.[單選題]恢復(fù)策略的選擇最可能取決于

A)基礎(chǔ)設(shè)施和系統(tǒng)的恢復(fù)成本

B)恢復(fù)站點的可用性

C)關(guān)鍵性業(yè)務(wù)流程

D)事件響應(yīng)流程

83.[單選題]ARP欺騙工作在:

A)數(shù)據(jù)鏈路層

B)網(wǎng)絡(luò)層

C)傳輸層

D)應(yīng)用層

84.[單選題]下列對垮站腳本攻擊(XSS)描述正確的是:

A)XSS攻擊指的是惡意攻擊者往WEB頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁之時,嵌入其中WEB里面的代

碼會被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的.

B)XSS攻擊是DDOS攻擊的一種變種

OXSS.攻擊就是CC攻擊

D)XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問請求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源

或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的

85.[單選題]針對軟件的拒絕服務(wù)攻擊時通過消耗系統(tǒng)資源是軟件無法響應(yīng)正常請求的一種攻擊方式

,在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅,以下哪個不是需要考慮的攻擊方式

A)攻擊者利用軟件存在邏輯錯誤,通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運算進(jìn)入死循環(huán),CPU資源占用始終

100%

B)攻擊者利用軟件腳本使用多重賬套查詢在數(shù)據(jù)量大時會導(dǎo)致查詢效率低,通過發(fā)送大量的查詢導(dǎo)

致數(shù)據(jù)庫相應(yīng)緩慢

C)攻擊者利用軟件不自動釋放連接的問題,通過發(fā)送大量連接的消耗軟件并發(fā)生連接數(shù),導(dǎo)致并發(fā)

連接數(shù)耗盡而無法訪問

D)攻擊者買通了IDC人員,將某軟件運行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問

86.[單選題]在LinUX系統(tǒng)中,下面哪條命令可以找到文件系統(tǒng)中的具有SUid∕sgid標(biāo)記

位的文件:

A)find/-typed?(-perm-4000-perm-2000?)-print

B)find/-typef?(-perm-4000-perm-2000?)-print

C)find/-typef?(-perm-4000-perm-2000?)-print

D)find/-nouser-o-nogroup-print

87.[單選題]以下哪一項不是常見威脅對應(yīng)的消減措施:

A)假冒攻擊可以采用身份認(rèn)證機(jī)制來防范

B)為了防止傳輸?shù)男畔⒈淮鄹?,收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性

C)為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息,收發(fā)雙方可以使用消息驗證碼來防止抵賴

D)為了防止用戶提升權(quán)限,可以采用訪問控制表的方式來管理權(quán)限

88.[單選題]9L信息安全事件的分類方法有多種,依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全

事件分類分級指南》,信息安全事件分為7個基本類別,描述正確的

A)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性

事件和其他信息安全事件。

B)有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件

和其他信息安全事件。

C)網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性

事件和其他信息安全事件。

D)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件

和其他信息安全事件。

89.[單選題]PKI所管理的基本元素是—o()

A)密鑰

B)用戶身份

C)數(shù)字證書

D)數(shù)字簽名

90.[單選題]“CC”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn),從該標(biāo)準(zhǔn)的內(nèi)容來看,下面哪項內(nèi)容是針對具體

的被測評對象,描述了該對象的安全要求及其相關(guān)安全功能和安全措施,相當(dāng)于從廠商角度制定的

產(chǎn)品或系統(tǒng)實現(xiàn)方案()

A)評估對象(ToE)

B)保護(hù)輪廊(PP)

C)安全目標(biāo)(ST)

D)評估保證級(EAL)

91.[單選題]下面關(guān)于IS027002的說法錯誤的是:

A)IS027002的前身是IS017799T

B)ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機(jī)構(gòu)選用,但不是全部

C)ISO27002對于每個控制措施的表述分“控制措施”,“實施指南”和“其他信息”三個部分來進(jìn)

行描述

D)ISo27002提出了十一大類的安全管理措施,其中風(fēng)險評估和處置是處于核心地位的一類安全措施

92.[單選題]以下系統(tǒng)工程說法錯誤的是:

A)系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)

B)系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法

C)系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法

D)系統(tǒng)工程是一種方法論

93.[單選題]在信息安全風(fēng)險管理過程中,背景建立是實施工作的第一步。下面哪項理解是錯誤的?

A)背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn),以及機(jī)構(gòu)的使命、信息系

統(tǒng)的業(yè)務(wù)目標(biāo)和特性

B)背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性,并分別賦值,同時確認(rèn)已

有的安全措施,形成需要保護(hù)的資產(chǎn)清單

C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描

述報告

D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信

息系統(tǒng)的安全要求報告

94.[單選題]小李和小劉需要為公司新搭建的信息管理系統(tǒng)設(shè)計訪問控制方法,他們在討論中就應(yīng)該

采用自主訪問控制還是強(qiáng)制訪問控創(chuàng)產(chǎn)生了分歧。小本認(rèn)為應(yīng)該采用自主訪問控制的方法,他的觀

點主要有;(1)自主訪向控制方式,可為用戶提供靈活、可調(diào)整的安全策略,合法用戶可以修改任一

文件的存取控制信息;(2)自主訪問控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強(qiáng)制訪問控制

的方法,他的觀點主要有;(3)強(qiáng)制訪問控制中,只有文件的擁有者可以修改文件的安全屬性,因此

安全性較高;(4)強(qiáng)制訪問控制能夠保護(hù)敏感信息。以上四個觀點中,只有一個觀點是正確的,它是

().

A)觀點(1)

B)觀點(2)

C)觀點(3)

D)觀點(4)

95.[單選題]有關(guān)人員安全的描述不正確的選項是

A)人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)

B)重要或敏感崗位的人員入職之前,需要做好人員的背景檢查

C)企業(yè)人員預(yù)算受限的情況下,職責(zé)別離難以實施,企業(yè)對此無能為力,也無需做任何工作

D)人員離職之后,必須清除離職職工所有的邏輯訪問帳號

96.[單選題]下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞?

A)通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達(dá)到欺騙服務(wù)器

執(zhí)行惡意的SQL命令

B)攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁面是可信賴的

,但是當(dāng)瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行。

C)當(dāng)計算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上

D)信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中,有意或無意產(chǎn)生的缺陷

97.[單選題]如果一個信息系統(tǒng),其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后,會對社會

秩序和公共利益造成一定損害,但不損害國家安全;本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)

進(jìn)行自主保護(hù),必要時,信息安全監(jiān)管職能部門對其進(jìn)行指導(dǎo)。那么該信息系統(tǒng)屬于等級保

護(hù)中的—o()

A)強(qiáng)制保護(hù)級

B)監(jiān)督保護(hù)級

C)指導(dǎo)保護(hù)級

D)自主保護(hù)級

98.[單選題]某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重要項目??傮w目標(biāo)就是用交換式千兆以太網(wǎng)為

主干,超五類雙線線作水平布線,由大型的交換機(jī)和路由器連通幾個主要的工作區(qū)域,在各區(qū)域建

立一個閉路電視監(jiān)控系統(tǒng),再把信號通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心。其中對交換機(jī)和路由器進(jìn)行配置

是網(wǎng)絡(luò)安全中的一個不可缺少的步驟,下面對于交換機(jī)和路由器的安全配置,操作錯誤的是?

A)保持當(dāng)前版本的操作系統(tǒng),不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁

B)控制交換機(jī)的物理訪問端口,關(guān)閉空閑的物理端口

C)帶外管理交換機(jī),如果不能實現(xiàn)的話,可以利用單獨的VLAN號進(jìn)行帶內(nèi)管理

D)安全配置必要的網(wǎng)絡(luò)服務(wù),關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)

99.[單選題]以下哪一個是對于參觀者訪問數(shù)據(jù)中心的最有效的控制?

A)陪同參觀者

B)參觀者佩戴證件

C)參觀者簽字

D)參觀者由工作人員抽樣檢查

IOO.[單選題]在軟件保障成熟度模型(SOftWareASSUranCeMatUrityldode,SAMM)中,規(guī)定了軟件

開發(fā)過程中的核心業(yè)務(wù)功能,下列哪個選項不屬于核心業(yè)務(wù)功能

A)治理,主要是管理軟件開發(fā)的過程和活動

B)構(gòu)造,主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動

C)驗證,主要是測試和驗證軟件的過程與活動

D)購置,主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動

101.[單選題]以下哪一項不是信息安全管理工作必須遵循的原則?

A)風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮,并要貫穿于整個系統(tǒng)開發(fā)過程之中

B)風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護(hù)、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作

C)由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強(qiáng),實施成本會相對較低

D)在系統(tǒng)正式運行后,應(yīng)注重殘余風(fēng)險的管理,以提高快速反應(yīng)能力

102.[單選題]在設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的?

A)要充分切合信息安全需求并且實際可行

B)要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險處置要求的前提下,盡量控制成本

C)要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術(shù)投入保值要求

D)要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙

103.[單選題]下面對于數(shù)據(jù)庫視圖的描述正確的是o

A)數(shù)據(jù)庫視圖也是物理存儲的表

B)可通過視圖訪問的數(shù)據(jù)不作為獨特的對象存儲,數(shù)據(jù)庫內(nèi)實際存儲的是SELECT語句

C)數(shù)據(jù)庫視圖也可以使用UPDATE或DELETE語句生成

D)對數(shù)據(jù)庫視圖只能查詢數(shù)據(jù),不能修改數(shù)據(jù)

104.[單選題]路由器工作在OSl的哪一層

A)傳輸層

B)數(shù)據(jù)鏈路層

C)網(wǎng)絡(luò)層

D)應(yīng)用層

105.[單選題]計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在()上蓄意破壞的搗亂程序。

A)內(nèi)存

B)軟盤

C)存儲介質(zhì)

D)網(wǎng)絡(luò)

106.[單選題]《信息安全保障技術(shù)框架》(InfOrmationAssuranceTechnical

Framework,IATF)是由哪個下面哪個國家發(fā)布的()。

A)美國

B)歐盟

C)中國

D)俄羅斯

107.[單選題]依據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988),需要備用場地

但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級的第幾級?

A)2

B)3

04

D)5

108.[單選題]SSEYMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域:

A)評估威脅、評估脆弱性、評估影響

B)評估威脅、評估脆弱性、評估安全風(fēng)險

C)評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險

D)評估威脅、評估脆弱性、評估影響、驗證和證實安全

109.[單選題]為了保障系統(tǒng)安全,某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進(jìn)行滲透測試,以

下關(guān)于滲透測試過程的說法不正確的是

A)滲透測試從“逆向”的角度出發(fā),測試軟件系統(tǒng)的安全性,其價值在于可以測試軟件在實際系統(tǒng)

中運行時的安全狀況

B)由于在實際滲透測試過程中存在不可預(yù)知的風(fēng)險,所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份

,以便出現(xiàn)問題時可以及時恢復(fù)系統(tǒng)和數(shù)據(jù)

C)滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟

D)為了深入發(fā)掘該系統(tǒng)存在的安全威脅,應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進(jìn)行滲透測試

110.[單選題]29?王工是某某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時,發(fā)

現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn):資產(chǎn)Al和資產(chǎn)A2;其中資產(chǎn)Al面臨兩個主要威脅,威脅Tl

和威脅T2;而資產(chǎn)A2面臨一個主要威脅,威脅T3;威脅Tl可以利用的資產(chǎn)Al存在的兩個脆

弱性;脆弱性Vl和脆弱性V2;威脅T2可以利用的資產(chǎn)Al存在的三個脆弱性,脆弱性V3、脆

弱性V4和脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性;脆弱性V6和脆弱性

V7.根據(jù)上述條件,請問:使用相乘法時,應(yīng)該為資產(chǎn)Al計算幾個風(fēng)險值?

A)2

B)3

05

D)6

IlL[單選題]有關(guān)國家秘密,錯誤的是:

A)國家秘密是關(guān)系國家安全和利益的事項

B)國家秘密的確定沒有正式的法定程序

C)除了明確規(guī)定需要長期保密的,其他的園家秘密都是有保密期限的

D)國家秘密只限一定范圍的人知悉

112.[單選題]把明文變成密文的過程,叫作—

A)加密

B)密文

C)解密

D)加密算法

113.[單選題]組織建立業(yè)務(wù)連續(xù)性計劃(BCP)的作用包括:

A)在遭遇災(zāi)難事件時,能夠最大限度地保護(hù)組織數(shù)據(jù)的實時性,完整性和一致性;

B)提供各種恢復(fù)策略選擇,盡量減小數(shù)據(jù)損失和恢復(fù)時間,快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù);

C)保證發(fā)生各種不可預(yù)料的故障、破壞性事故或災(zāi)難情況時,能夠持續(xù)服務(wù),確保業(yè)務(wù)系統(tǒng)的不

間斷運行,降低損失;

D)以上都是

114.[單選題]系統(tǒng)地識別和管理組織所應(yīng)用的過程,特別是這些過程之間的相互作用,稱為什么?

A)戴明循環(huán)

B)過程方法

C)管理體系

D)服務(wù)管理

115.[單選題]OSI模型把網(wǎng)絡(luò)通信工作分為七層,如圖所示,OSl模型的每一層只與相鄰的上下兩

層直接通信,當(dāng)發(fā)送進(jìn)程需要發(fā)送信息時,它把數(shù)據(jù)交給應(yīng)用層。應(yīng)用層對數(shù)據(jù)進(jìn)行加工處理后

,傳給表示層。再經(jīng)過一次加工后,數(shù)據(jù)被送到會話層。這一過程一直繼續(xù)到物理層接收數(shù)據(jù)后進(jìn)

行實際的傳輸,每一次的加工又稱為數(shù)據(jù)封裝。其中IP層對應(yīng)OSl模型中的哪一層()

S.會話以

£會MU■f

■f行功級鼻

?信3X

wɑ?i?往上M

HFU

s.網(wǎng)絡(luò)發(fā)

Z敷知鎮(zhèn)路葉-?2.數(shù)卅,跳層;

ZZEZ

L物瓦層上L物理層

HfUt的打理件S

A)應(yīng)用層

B)傳輸層

C)應(yīng)用層

D)網(wǎng)絡(luò)層

116.[單選題]為了預(yù)防邏輯炸彈,項目經(jīng)理采取的最有效的措施應(yīng)該是

A)對每日提交的新代碼進(jìn)行人工審計

B)代碼安全掃描

C)安全意識教育

D)安全編碼培訓(xùn)教育

117.[單選題]最終提交給普通終端用戶,并且要求其簽署和遵守的安全策略是—O()

A)口令策略

B)保密協(xié)議

C)可接受使用策略

D)責(zé)任追究制度

118.[單選題]某公司現(xiàn)有35臺計算機(jī),把子網(wǎng)掩碼設(shè)計成多少最合適()

Λ)255.255.255.224

B)255.255.255.192

0255.255.255.128

D)255.255.255.255

119.[單選題]關(guān)于業(yè)務(wù)連續(xù)性(BCP)以下說法最恰當(dāng)?shù)氖?/p>

A)組織為避免所有業(yè)務(wù)功能因重大事件而中斷,減少業(yè)務(wù)風(fēng)險而建立的一個控制過程

B)組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷,減少業(yè)務(wù)風(fēng)險而建立的一個控制過程

C)組織為避免所有業(yè)務(wù)功能因各種事件而中斷,減少業(yè)務(wù)風(fēng)險而建立的一個控制過程

D)組織為避免信息系統(tǒng)功能因各種事件而中斷,減少信息系統(tǒng)風(fēng)險而建立的一個控制過程

120.[單選題]信息安全的基本屬性是()。

A)機(jī)密性

B)可用性

C)完整性

D)上面3項都是

121.[單選題]下列對密網(wǎng)功能描述不正確的是:

A)可以吸引或轉(zhuǎn)移攻擊者的注意力,延緩他們對真正目標(biāo)的攻擊

B)吸引入侵者來嗅探、攻擊,同時不被覺察地將入侵者的活動記錄下來

C)可以進(jìn)行攻擊檢測和實時報警

D)可以對攻擊活動進(jìn)行監(jiān)視、檢測和分析

122.[單選題]有關(guān)危害國家秘密安全的行為的法律責(zé)任,正確的是?

A)嚴(yán)重違反保密規(guī)定行為只要發(fā)生,無論是否產(chǎn)生實際后果,都要依法追究責(zé)任

B)非法獲取國家秘密,不會構(gòu)成刑事犯罪,不需要承擔(dān)刑事責(zé)任

C)過失泄密國家秘密,不會構(gòu)成刑事犯罪,不需要承擔(dān)刑事責(zé)任

D)承擔(dān)了刑事責(zé)任,無需再承擔(dān)行政責(zé)任

123.[單選題]在網(wǎng)絡(luò)攻擊的多種類型中,攻擊者竊取到系統(tǒng)的訪問權(quán)并盜用資源的攻擊形式屬于哪

一種?()

A)拒絕服務(wù)

B)侵入攻擊

C)信息盜竊

D)信息篡改

124.[單選題]校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因,200臺以內(nèi)的用戶主機(jī)不能正常工作,屬于

以下哪種級別事件

A)特別重大事件

B)重大事件

C)較大事件

D)一般事件

125.[單選題]信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行,下面哪

項包括非典型的安全協(xié)調(diào)應(yīng)包括的人員?

A)管理人員、用戶、應(yīng)用設(shè)計人員

B)系統(tǒng)運維人員、內(nèi)部審計人員、安全專員

C)內(nèi)部審計人員、安全專員、領(lǐng)域?qū)<?/p>

D)應(yīng)用設(shè)計人員、內(nèi)部審計人員、離職人員

126.[單選題]為了達(dá)到組織災(zāi)難恢復(fù)的要求,備份時間間隔不能超過;

A)服務(wù)水平目標(biāo)(SLO)

B)恢復(fù)時間目標(biāo)(RTO)

C)恢復(fù)點目標(biāo)(RPO)

D)停用的最大可接受程度(MAO)

127.[單選題]下面對信息安全漏洞的理解中錯誤的是?

A)討論漏洞應(yīng)該從生命周期的角度出發(fā),信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護(hù)和

使用等階段中均有可能產(chǎn)生漏洞

B)信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護(hù)階段,由于設(shè)計、開

發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的

C)信息安全漏洞如果被惡意攻擊者成功利用,可能會給信息產(chǎn)品和倍息系統(tǒng)帶來安全損害,甚至帶

來很大的經(jīng)濟(jì)報失

D)由于人類思維誰能力、計算機(jī)計算能力的局限性等因素,所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息

安全漏洞是不可避免的

128.[單選題]下列()行為,情節(jié)較重的,處以5日以上10日以下的拘留。

A)未經(jīng)允許重裝系統(tǒng)

B)故意卸載應(yīng)用程序

C)在互聯(lián)網(wǎng)上長時間聊天的

D)故意制作、傳播計算機(jī)病毒等破壞性程序,影響計算機(jī)信息系統(tǒng)正常運行

129.[單選題]VPN的英文全稱是()。

A)VisualProtocolNetwork

B)VirtualPrivateNetwork

OVirtualProtocolNetwork

D)VisualPrivateNetwork

130.[單選題]備份過濾王數(shù)據(jù)是備份哪些內(nèi)容?

A)過濾控制臺目錄

B)過濾核心目錄

C)核心目錄下的ACCERS目錄

D)核心目錄下的幾個目錄

131.[單選題]一個組織的系統(tǒng)安全能力成熟度達(dá)到哪個級別以后,就可以對組織層面的過程進(jìn)行規(guī)

范的定義?

A)2級-計劃和跟蹤

B)3級-充分定義

C)4級-量化控制

D)5級-持續(xù)改進(jìn)

132.[單選題]ISO∕IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于

Λ)BS7799-1《信息安全實施細(xì)則》

B)BS7799-2《信息安全管理體系規(guī)范》

C)信息技術(shù)安全評估準(zhǔn)則(簡稱ITSEC)

D)信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)

133.[單選題]以下哪一種人給公司帶來最大的安全風(fēng)險?

A)臨時工

B)咨詢?nèi)藛T

C)以前職工

D)當(dāng)前職工

134.[單選題]ApacheWeb服務(wù)器的配置文件一般位于//local/SPaChe/conf目錄.其中用來控制用

戶訪問APaehe目錄的配置文件是:

A)httqd.conf

B)srm.conf

C)access,conf

D)inetd.conf

135.[單選題]自2004年1月起,國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時,必須經(jīng)由

以下哪個組織提出工作意見,協(xié)調(diào)一致后由該組織申報

A)全國通信標(biāo)準(zhǔn)化技術(shù)委員會(TC485)

B)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)

C)中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)

D)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

136.[單選題]你來到服務(wù)器機(jī)房股比的一間辦公室,發(fā)現(xiàn)窗戶壞了,由于這不是你的辦公室,你要

求在這里辦公的員工請維修工來把窗戶修好,你離開后,沒有再過問這扇窗戶的事情。這件事情的

結(jié)果對與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會有什么影響?

A)如果窗戶被修好,威脅真正出現(xiàn)的問題性會增加

B)如果窗戶被修好,威脅真正出現(xiàn)的可能性會保持不變

C)如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會下降

D)如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會增加

137.[單選題]PKI在驗證一個數(shù)字證書時需要查看—來確認(rèn)該證書是否已經(jīng)作廢

A)ΛRL

B)CSS

C)KMS

D)CRL

138.[單選題]PKI管理對象不包括()。

A)ID和口令

B)證書

C)密鑰

D)證書撤消

139.[單選題]下面對國家秘密定級和范圍的描述中,哪項不符合《保守國家秘密法》要求:

A)國家秘密和其密級的具體范圍,由國家保密工作部門分別會同外交、公安、國家安全和其他中央

有關(guān)規(guī)定

B)各級國家機(jī)關(guān)、單位對所產(chǎn)生的秘密事項,應(yīng)當(dāng)按照國家秘密及其密級的具體范圍的規(guī)定確定密

C)對是否屬于國家和屬于何種密級不明確的事項,可有各單位自行參考國家要求確定和定級,然后

報國家保密工作部門備案。

D)對是否屬于國家和屬于何種密級不明確的事項,由國家保密工作部門,省、自治區(qū)、直轄市的保

密工作部門,省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密

工作部門審定的機(jī)關(guān)確定

140.[單選題]第四代移動通信技術(shù)(4G)是()集合體?

A)3G與WLAN

B)3G與LAN

O2G與3G

D)3G與WAN

141.[單選題]以下哪一個不是風(fēng)險控制的主要方式

A)規(guī)避方式

B)轉(zhuǎn)移方式

C)降低方式

D)隔離方式

142.[單選題]某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析,在開發(fā)時要求程序員編寫安全的代碼

,但是在部署時由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份,為了發(fā)現(xiàn)系統(tǒng)中

是否存在其他類擬問題,一下那種測試方式是最佳的測試方法。

A)模糊測試

B)源代碼測試

C)滲透測試

D)軟件功能測試

143.[單選題]以下哪個不是軟件安全需求分析階段的主要任務(wù)?

A)確定團(tuán)隊負(fù)責(zé)人和安全顧問

B)威脅建模

C)定義安全和隱私需求(質(zhì)量標(biāo)準(zhǔn))

D)設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄

144.[單選題]以下哪項不是IDS可以解決的問題:

A)彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點

B)識別和報告對數(shù)據(jù)文件的改動

C)統(tǒng)計分析系統(tǒng)中異常活動模式

D)提升系統(tǒng)監(jiān)控能力

145.[單選題]小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生,大四上學(xué)期開始找工作,期望謀求一份

技術(shù)管理的職位,一次面試中,某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的“背景建立

”的基本概念與認(rèn)識,小王的主要觀點包括:1,背景建立的目的是為了明確信息安全風(fēng)險管理的

范圍和對象,以及對象的特性和安全要求,完成信息安全風(fēng)險管理項目的規(guī)劃和準(zhǔn)備;2.背景建

立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行,雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果;3.背景建立包括

:風(fēng)險管理準(zhǔn)備,信息系統(tǒng)調(diào)查,信息統(tǒng)分析和信息安全分析;4.背景建立的階段性成果包括

:風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告請問小王的所述點中錯誤的是哪項

A)第一個觀點:背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象

B)第二個觀點:背景建立的依據(jù)是國家、地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)

C)第三個觀點:背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字

D)第四個觀點:背景建立的階段性成果中不包括有風(fēng)險管理計劃書

146.[單選題]風(fēng)險管理的監(jiān)控與審查不包含:

A)過程質(zhì)量管理

B)成本效益管理

C)跟蹤系統(tǒng)自身或所處環(huán)境的變化

D)協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險管理活動

147.[單選題]為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡

+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法?

A)實體“所知”以及實體“所有”的鑒別方法

B)實體“所有”以及實體“特征”的鑒別方法

C)實體“所知”以及實體“特征”的鑒別方法

D)實體“所有”以及實體“行為”的鑒別方法

148.[單選題]有編輯∕etc∕passwd文件能力的攻擊者可以通過把UlD變?yōu)榫涂梢猿蔀樘貦?quán)

用戶。

A)-l

B)0

Ol

D)2

149.[單選題]授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是

A)資產(chǎn)保管員

B)安全管理員

C)資產(chǎn)所有人

D)安全主管

150.[單選題]以下關(guān)于模糊測試過程的說法正確的是:

A)模糊測試的效果與覆蓋能力,與輸入樣本選擇不相關(guān)

B)為保障安全測試的效果和自動化過程,關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場保護(hù)記錄,系統(tǒng)可能無法恢

復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試

C)通過異常樣本重現(xiàn)異常,人工分析異常原因,判斷是否為潛在的安全漏洞,如果是安全漏洞,就

需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議

D)對于可能產(chǎn)生的大量異常報告,需要人工全部分析異常報告

151.[單選題]以下可能存在SQL注入攻擊的部分是?

A)GET請求參數(shù)

B)POST請求參數(shù)

OCOOKIE值

D)以上均有可能

152.[單選題]一個較為可靠的鑒別系統(tǒng)一般是由以下哪幾部份組成:

A)驗證者、被驗證者和中間人

B)驗證者、被驗證者和可信賴方

C)驗證者和被驗證者

D)驗證者、被驗證者和鑒別方

153.[單選題]33.信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安

全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險評估工作的意見》

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論