CISP參考題集(技術(shù)類)

1.中國信息安全測評(píng)中心對(duì)CISP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書有效期內(nèi)，應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)：B,

A、為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì),

B、在信息安全公司從事保安工作,

C、在公開場合宣講安全知識(shí),

D、在學(xué)校講解信息安全課程,

,,

2.確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用，是指（）：C,

A、完整性,

B、可用性,

C、保密性,

D、抗抵賴性,

,,

3.下列信息系統(tǒng)安全說法正確的是：D,

A、加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全,

B、只要資金允許就可以實(shí)現(xiàn)絕對(duì)的安全,

C、斷開所有的服務(wù)可以保證信息系統(tǒng)的安全,

D、信息系統(tǒng)安全狀態(tài)會(huì)隨著業(yè)務(wù)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)不同的業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略,

,,

4.OSI開放系統(tǒng)互聯(lián)安全體系構(gòu)架中的安全服務(wù)分為鑒別服務(wù)、訪問控制、機(jī)密性服務(wù)、完整服務(wù)、抗抵賴服務(wù)，其中機(jī)密性服務(wù)描述正確的是：B,

A、包括原發(fā)方抗抵賴和接受方抗抵賴,

B、包括連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性和業(yè)務(wù)流保密,

C、包括對(duì)等實(shí)體鑒別和數(shù)據(jù)源鑒別,

D、包括具有恢復(fù)功能的連接完整性、沒有恢復(fù)功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性,

,,

5.電子商務(wù)交易必須具備抗抵賴性，目的在于防止___。B,

A、一個(gè)實(shí)體假裝另一個(gè)實(shí)體,

B、參與此交易的一方否認(rèn)曾經(jīng)發(fā)生過此次交易,

C、他人對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的修改、破壞,

D、信息從被監(jiān)視的通信過程中泄露出去,

,,

6.下列哪一項(xiàng)準(zhǔn)確地描述了可信計(jì)算基（TCB）?C,

A、TCB只作用于固件（Firmware）,

B、TCB描述了一個(gè)系統(tǒng)提供的安全級(jí)別,

C、TCB描述了一個(gè)系統(tǒng)內(nèi)部的保護(hù)機(jī)制,

D、TCB通過安全標(biāo)簽來表示數(shù)據(jù)的敏感性,

,,

7.下面關(guān)于訪問控制模型的說法不正確的是：C,

A、DAC模型中主體對(duì)它所屬的對(duì)象和運(yùn)行的程序有全部的控制權(quán),

B、DAC實(shí)現(xiàn)提供了一個(gè)基于“need-to-know”的訪問授權(quán)的方法，默認(rèn)拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者,

C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個(gè)主體能訪問哪個(gè)對(duì)象。但用戶可以改變它。,

D、RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對(duì)象為某個(gè)類型，主體具有相應(yīng)的角色就可以訪問它。,

,,

8.安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪項(xiàng)最好描述了安全模型中的“簡單安全規(guī)則”？D,

A、Biba模型中的不允許向上寫,

B、Biba模型中的不允許向下讀,

C、Bell-Lapadula模型中的不允許向下寫,

D、Bell-Lapadula模型中的不允許向上讀,

,,

9.以下關(guān)于訪問控制模型錯(cuò)誤的是？C,

A、訪問控制模型主要有3種：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。,

B、自主訪問控制模型允許主體顯示地制定其他主體對(duì)該主體所擁有的信息資源是否可以訪問。,

C、基于角色的訪問控制RBAC中，“角色”通常是根據(jù)行政級(jí)別來定義的。,

D、強(qiáng)制訪問控制MAC是“強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從訪問控制政策,

,,

10.下面對(duì)于CC的“評(píng)估保證級(jí)”（EAL）的說法最準(zhǔn)確的是：D,

A、代表著不同的訪問控制強(qiáng)度,

B、描述了對(duì)抗安全威脅的能力級(jí)別,

C、是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對(duì)安全行為和安全功能的不同要求,

D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度,

,,

11.某公司的業(yè)務(wù)部門用戶需要訪問業(yè)務(wù)數(shù)據(jù)，這些用戶不能直接訪問業(yè)務(wù)數(shù)據(jù)，而只能通過外部程序來操作業(yè)務(wù)數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分？D,

A、Bell-Lapadula模型,

B、Biba模型,

C、信息流模型,

D、Clark-Wilson模型,

,,

12.以下哪一項(xiàng)關(guān)于Bell-Lapadula模型特點(diǎn)的描述是錯(cuò)誤的？B,

A、強(qiáng)調(diào)對(duì)信息保密性的保護(hù)，受到對(duì)信息保密要求較高的軍政機(jī)關(guān)和企業(yè)的喜愛,

B、既定義了主體對(duì)客體的訪問，也說明了主體對(duì)主體的訪問。因此。它適用于網(wǎng)絡(luò)系統(tǒng),

C、它是一種強(qiáng)制訪問控制模型，與自主訪問控制模型相比具有強(qiáng)耦合，集中式授權(quán)的特點(diǎn),

D、比起那些較新的模型而言，Bell-Lapadula定義的公理很簡單，更易于理解，與所使用的實(shí)際系統(tǒng)具有直觀的聯(lián)系,

,,

13.下面對(duì)于基于角色的訪問控制的說法錯(cuò)誤的是？D,

A、它將若干特定的用戶集合與權(quán)限聯(lián)系在一起,

B、角色一般可以按照部門、崗位、工程等與實(shí)際業(yè)務(wù)緊密相關(guān)的類別來劃分,

C、因?yàn)榻巧淖儎?dòng)往往低于個(gè)體的變動(dòng)，所以基于角色的訪問控制維護(hù)起來比較便利,

D、對(duì)于數(shù)據(jù)庫系統(tǒng)的適應(yīng)性不強(qiáng)，是其在實(shí)際使用中的主要弱點(diǎn),

,,

14.下面哪類訪問控制模型是基于安全標(biāo)簽實(shí)現(xiàn)的？B,

A、自主訪問控制,

B、強(qiáng)制訪問控制,

C、基于規(guī)則的訪問控制,

D、基于身份的訪問控制,

,,

15.根據(jù)PPDR模型：D,

A、一個(gè)信息系統(tǒng)的安全保障體系應(yīng)當(dāng)以人為核心、防護(hù)、檢測和恢復(fù)組成一個(gè)完整的、動(dòng)態(tài)的循環(huán),

B、判斷一個(gè)系統(tǒng)的安全保障能力，主要是安全策略的科學(xué)性與合理性，以及安全策略的落實(shí)情況,

C、如果安全防護(hù)時(shí)間小于檢測時(shí)間加響應(yīng)時(shí)間，則該系統(tǒng)一定是不安全的,

D、如果一個(gè)系統(tǒng)的安全防護(hù)時(shí)間為0，則系統(tǒng)的安全性取決于暴露時(shí)間,

,,

16.有關(guān)密碼學(xué)分支的定義，下列說法中錯(cuò)誤的是：B,

A、密碼學(xué)是研究信息系統(tǒng)安全保密的科學(xué)，由兩個(gè)相互對(duì)立、相互斗爭、而且又相輔相成、相互滲透的分支科學(xué)所組成的、分別稱為密碼編碼學(xué)和密碼分析學(xué),

B、密碼編碼學(xué)是對(duì)密碼體制、密碼體制的輸入輸出關(guān)系進(jìn)行分析、以便推出機(jī)密變量、包括明文在內(nèi)的敏感數(shù)據(jù),

C、密碼分析學(xué)主要研究加密信息的破譯或信息的偽造,

D、密碼編碼學(xué)主要研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)信息的隱藏,

,,

17.非對(duì)稱密鑰的密碼技術(shù)具有很多優(yōu)點(diǎn)，其中不包括：B,

A、可提供數(shù)字簽名、零知識(shí)證明等額外服務(wù),

B、加密/解密速度快，不需占用較多資源,

C、通信雙方事先不需要通過保密信道交換密鑰,

D、密鑰持有量大大減少,

,,

18.下列哪一項(xiàng)最好地描述了哈希算法、數(shù)字簽名和對(duì)稱密鑰算法分別提供的功能？C,

A、身份鑒別和完整性，完整性，機(jī)密性和完整性,

B、完整性，身份鑒別和完整性，機(jī)密性和可用性,

C、完整性，身份鑒別和完整性，機(jī)密性,

D、完整性和機(jī)密性，完整性，機(jī)密性,

,,

19.以下哪一項(xiàng)是基于一個(gè)大的整數(shù)很難分解成兩個(gè)素?cái)?shù)因數(shù)？B,

A、ECC,

B、RSA,

C、DES,

D、D-H,

,,

20、電子郵件的機(jī)密性與真實(shí)性是通過下列哪一項(xiàng)實(shí)現(xiàn)的？A,

A、用發(fā)送者的私鑰對(duì)消息進(jìn)行簽名，用接收者的公鑰對(duì)消息進(jìn)行加密,

B、用發(fā)送者的公鑰對(duì)消息進(jìn)行簽名，用接收者的私鑰對(duì)消息進(jìn)行加密,

C、用接受者的私鑰對(duì)消息進(jìn)行簽名，用發(fā)送者的公鑰對(duì)消息進(jìn)行加密,

D、用接受者的公鑰對(duì)消息進(jìn)行簽名，用發(fā)送者的私鑰對(duì)消息進(jìn)行加密,

,,

21、一名攻擊者試圖通過暴力攻擊來獲取？A,

A、加密密鑰,

B、加密算法,

C、公鑰,

D、密文,

,,

22、在標(biāo)準(zhǔn)GBXXXX-XX中對(duì)機(jī)房安全等級(jí)劃分正確的是？B,

A、劃分為A、B兩級(jí),

B、劃分為A、B、C三級(jí),

C、劃分為A、B、C、D四級(jí),

D、劃分為A、B、C、D、E五級(jí),

,,

23、指紋、虹膜、語音識(shí)別技術(shù)是以下哪一種鑒別方式的實(shí)例：A,

A、你是什么,

B、你有什么,

C、你知道什么,

D、你做了什么,

,,

25、在OSI模型中，主要針對(duì)遠(yuǎn)程終端訪問，任務(wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等以下是哪一層？C,

A、應(yīng)用層,

B、物理層,

C、會(huì)話層,

D、網(wǎng)絡(luò)層,

,,

27、下列哪個(gè)協(xié)議可以防止局域網(wǎng)的數(shù)據(jù)鏈路層的橋接環(huán)路B,

A、HSRP,

B、STP,

C、VRRP,

D、OSPF,

,,

28、以下哪個(gè)不是應(yīng)用層防火墻的特點(diǎn)C,

A、更有效地阻止應(yīng)用層攻擊,

B、工作在OSI模型的第七層,

C、速度快且對(duì)用戶透明,

D、比較容易進(jìn)行審計(jì),

,,

30、以下哪項(xiàng)不是IDS可以解決的問題：A,

A、彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點(diǎn),

B、識(shí)別和報(bào)告對(duì)數(shù)據(jù)文件的改動(dòng),

C、統(tǒng)計(jì)分析系統(tǒng)中異?；顒?dòng)模式,

D、提升系統(tǒng)監(jiān)控能力,

,,

31、私網(wǎng)地址用于配置本地網(wǎng)絡(luò)、下列地址中屬私網(wǎng)地址的是？C,

A、,

B、,

C、,

D、,

,,

32、下面哪類設(shè)備常用于風(fēng)險(xiǎn)分析過程中，識(shí)別系統(tǒng)中存在的脆弱性？C,

A、防火墻,

B、IDS,

C、漏洞掃描器,

D、UTM,

,,

33、當(dāng)一個(gè)應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在該系統(tǒng)重新上線前管理員不需查看：C,

A、訪問控制列表,

B、系統(tǒng)服務(wù)配置情況,

C、審計(jì)記錄,

D、用戶帳戶和權(quán)限的設(shè)置,

,,

34、網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間數(shù)據(jù)的安全交換，下列隔離技術(shù)中，安全性最好的是？A,

A、多重安全網(wǎng)關(guān),

B、防火墻,

C、VLAN隔離,

D、物理隔離,

,,

35、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？B,

A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志,

B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志,

C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志,

D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志,

,,

36、windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是B,

A、regswr32,

B、regedit,

C、regedit.msc,

D、regedit.mmc,

,,

37、以下windows服務(wù)的說法錯(cuò)誤的是（C）,

A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù),

B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exe,

C、windows服務(wù)只有在用戶成功登陸系統(tǒng)后才能運(yùn)行,

D、windows服務(wù)通常是以管理員的身份運(yùn)行的,

,,

38、Linux系統(tǒng)格式化分區(qū)用哪個(gè)命令：A,

A、fdisk,

B、mv,

C、mount,

D、df,

,,

39、下面一行是某個(gè)UNIX文件的詳情，關(guān)于該文件權(quán)限的描述不正確的是（B）,

A、這是一個(gè)目錄，名稱是“file”,

B、文件屬性是group,

C、“其他人”對(duì)該文件具有讀、寫、執(zhí)行權(quán)限,

D、user的成員對(duì)此文件沒有寫權(quán)限,

,,

40、LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個(gè)目錄B,

A、programfiles,

B、windows,

C、systemvolumeinformation,

D、TEMP,

,,

41、如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個(gè)服務(wù)：C,

A、DHCP,

B、NFS,

C、SAMBA,

D、SSH,

,,

42、數(shù)據(jù)庫管理員在檢查數(shù)據(jù)庫時(shí)發(fā)現(xiàn)數(shù)據(jù)庫的性能不理想，他準(zhǔn)備通過對(duì)部分?jǐn)?shù)據(jù)表實(shí)施去除規(guī)范性（denormanization）操作來提高數(shù)據(jù)庫性能，這樣做將增加下列哪項(xiàng)風(fēng)險(xiǎn)？D,

A、訪問的不一致,

B、死鎖,

C、對(duì)數(shù)據(jù)的非授權(quán)訪問,

D、數(shù)據(jù)完整性的損害,

,,

43、下面關(guān)于IIS報(bào)錯(cuò)信息含義的描述正確的是？B,

A、401-找不到文件,

B、403-禁止訪問,

C、404-權(quán)限問題,

D、500-系統(tǒng)錯(cuò)誤,

44、宏病毒是一種專門感染微軟office格式文件的病毒，下列（A）文件不可能感染該病毒。,

A、*.exe,

B、*.doc,

C、*.xls,

D、*.ppt,

,,

45、以下對(duì)于蠕蟲病毒的描述錯(cuò)誤的是：C,

A、蠕蟲的傳播無需用戶操作,

B、蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，導(dǎo)致DOS,

C、蠕蟲的傳播需要通過“宿主”程序或文件,

D、蠕蟲程序一般由“傳播模塊”、“隱藏模塊”、“目的功能模塊”構(gòu)成,

,,

46、為了防止電子郵件中的惡意代碼，應(yīng)該由____方式閱讀電子郵件A,

A、純文本,

B、網(wǎng)頁,

C、程序,

D、會(huì)話,

,,

47、以下哪一項(xiàng)不是流氓軟件的特征？D,

A、通常通過誘騙或和其他軟件捆綁在用戶不知情的情況下安裝,

B、通常添加驅(qū)動(dòng)保護(hù)使用戶難以卸載,

C、通常會(huì)啟動(dòng)無用的程序浪費(fèi)計(jì)算機(jī)的資源,

D、通常會(huì)顯示下流的言論,

,,

48、在典型的web應(yīng)用站點(diǎn)的層次結(jié)構(gòu)中，“中間件”是在哪里運(yùn)行的？C,

A、瀏覽器客戶端,

B、web服務(wù)器,

C、應(yīng)用服務(wù)器,

D、數(shù)據(jù)庫服務(wù)器,

,,

49、為了應(yīng)對(duì)日益嚴(yán)重的垃圾郵件問題，人們?cè)O(shè)計(jì)和應(yīng)用了各種垃圾郵件過濾機(jī)制，以下哪一項(xiàng)是耗費(fèi)計(jì)算資源最多的一種垃圾郵件過濾機(jī)制？D,

A、SMTP身份認(rèn)證,

B、逆向名字解析,

C、黑名單過濾,

D、內(nèi)容過濾,

,,

50、無論是哪一種web服務(wù)器，都會(huì)受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于：A,

A、設(shè)計(jì)型漏洞,

B、開發(fā)型漏洞,

C、運(yùn)行型漏洞,

D、以上都不是,

,,

51、基于攻擊方式可以將黑客攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，以下哪一項(xiàng)不屬于主動(dòng)攻擊?C,

A、中斷,

B、篡改,

C、偵聽,

D、偽造,

,,

52、關(guān)于黑客注入攻擊說法錯(cuò)誤的是：C,

A、它的主要原因是程序?qū)τ脩舻妮斎肴狈^濾,

B、一般情況下防火墻對(duì)它無法防范,

C、對(duì)它進(jìn)行防范時(shí)要關(guān)注操作系統(tǒng)的版本和安全補(bǔ)丁,

D、注入成功后可以獲取部分權(quán)限,

,,

54、下面對(duì)于Rootkit技術(shù)的解釋不準(zhǔn)確的是：B,

A、Rootkit是攻擊者用來隱藏自己和保留對(duì)系統(tǒng)的訪問權(quán)限的一組工具,

B、Rootkit是一種危害大、傳播范圍廣的蠕蟲,

C、Rootkit和系統(tǒng)底層技術(shù)結(jié)合十分緊密,

D、Rootkit的工作機(jī)制是定位和修改系統(tǒng)的特定數(shù)據(jù)改變系統(tǒng)的正常操作流程,

,,

55、以下對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是：D,

A、引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法,

B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對(duì)數(shù)據(jù)庫進(jìn)行非法的訪問,

C、一種很強(qiáng)大的木馬攻擊手段,

D、將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁中，從而達(dá)到惡意的目的,

,,

56、以下哪一項(xiàng)是常見WEB站點(diǎn)脆弱性掃描工具：A,

A、AppScan,

B、Nmap,

C、Sniffer,

D、LC,

,,

57、下面哪一項(xiàng)是黑客用來實(shí)施DDOS攻擊的工具：D,

A、LC5,

B、Rootkit,

C、Icesword,

D、Trinoo,

,,

58、對(duì)于信息系統(tǒng)訪問控制說法錯(cuò)誤的是？B,

A、應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求置頂清晰地訪問控制策略，并根據(jù)需要進(jìn)行評(píng)審和改進(jìn),

B、網(wǎng)絡(luò)訪問控制是訪問控制的重中之重，網(wǎng)絡(luò)訪問控制做好了操作系統(tǒng)和應(yīng)用層次的訪問控制問題就可以得到解決,

C、做好訪問控制工作不僅要對(duì)用戶的訪問活動(dòng)進(jìn)行嚴(yán)格管理，還要明確用戶在訪問控制中的有關(guān)責(zé)任,

D、移動(dòng)計(jì)算和遠(yuǎn)程工作技術(shù)在廣泛應(yīng)用給訪問控制帶來了新的問題，因此在訪問控制工作中要重點(diǎn)考慮對(duì)移動(dòng)計(jì)算設(shè)備和遠(yuǎn)程工作用戶的控制措施,

,,

59、下面哪一項(xiàng)最好地描述了組織機(jī)構(gòu)的安全策略？c,

A、定義了訪問控制需求的總體指導(dǎo)方針,

B、建議了如何符合標(biāo)準(zhǔn),

C、表明管理者意圖的高層陳述,

D、表明所使用的技術(shù)控制措施的高層陳述,

,,

60、資產(chǎn)管理是信息安全管理的重要內(nèi)容，而清楚的識(shí)別信息系統(tǒng)相關(guān)的財(cái)產(chǎn)，并編制資產(chǎn)清單是資產(chǎn)管理的重要步驟。下面關(guān)于資產(chǎn)清單的說法錯(cuò)誤的是：B,

A、資產(chǎn)清單的編制是風(fēng)險(xiǎn)管理的一個(gè)重要的先決條件,

B、信息安全管理中所涉及的信息資產(chǎn)，即業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、培訓(xùn)材料等,

C、在制定資產(chǎn)清單的時(shí)候應(yīng)根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值和安全分類，確定與資產(chǎn)重要性相對(duì)應(yīng)的保護(hù)級(jí)別,

D、資產(chǎn)清單中應(yīng)當(dāng)包括將資產(chǎn)從災(zāi)難中恢復(fù)而需要的信息，如資產(chǎn)類型、格式、位置、備份信息、許可信息等,

,,

61、為什么一個(gè)公司內(nèi)部的風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)?wèi)?yīng)該由來自不同部門的人員組成？C,

A、確保風(fēng)險(xiǎn)評(píng)估過程是公平的,

B、因?yàn)轱L(fēng)險(xiǎn)正是由于這些來自不同部門的人員所引起的，因此他們應(yīng)該承擔(dān)風(fēng)險(xiǎn)評(píng)估的職責(zé),

C、因?yàn)椴煌块T的人員對(duì)本部門所面臨的風(fēng)險(xiǎn)最清楚，由此進(jìn)行的風(fēng)險(xiǎn)評(píng)估也最接近于實(shí)際情況,

D、風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)不應(yīng)該由來自不同部門的人員組成，而應(yīng)該由一個(gè)來自公司外部的小型團(tuán)隊(duì)組成,

,,

62、信息分類是信息安全管理工作的重要環(huán)節(jié)，下面那一項(xiàng)不是對(duì)信息進(jìn)行分類時(shí)需要重點(diǎn)考慮的？C,

A、信息的價(jià)值,

B、信息的時(shí)效性,

C、信息的存儲(chǔ)方式,

D、法律法規(guī)的規(guī)定,

,,

63、下面哪一項(xiàng)關(guān)于對(duì)違反安全規(guī)定的員工進(jìn)行懲戒的說法是錯(cuò)誤的？C,

A、對(duì)安全違規(guī)的發(fā)現(xiàn)和驗(yàn)證是進(jìn)行懲戒的重要前提,

B、懲戒措施的一個(gè)重要意義在于它的威懾性,

C、出于公平，進(jìn)行懲戒時(shí)不應(yīng)考慮員工是否是初犯，是否接受過培訓(xùn),

D、盡管法律訴訟是一種嚴(yán)厲有效的懲戒手段，但使用它時(shí)一定要十分慎重,

,,

64、風(fēng)險(xiǎn)分析的目標(biāo)是達(dá)到：A,

A、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的價(jià)值平衡,

B、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的操作平衡,

C、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的技術(shù)平衡,

D、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的邏輯平衡,

,,

65、以下對(duì)“信息安全風(fēng)險(xiǎn)”的描述正確的是A,

A、是來自外部的威脅利用了系統(tǒng)自身存在脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn),

B、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn),

C、是來自外部的威脅利用了系統(tǒng)自身存在的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn),

D、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn),

,,

66、在ISO27001-2005中，制定風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該在PDCA的哪個(gè)階段進(jìn)行？A,

A、Plan,

B、Do,

C、Check,

D、Act,

,,

67、在冗余磁盤陳列中，以下不具有容錯(cuò)技術(shù)的是——A,

A、RAID0,

B、RAID1,

C、RAID3,

D、RAID5,

,,

,,

68、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過；C,

A、服務(wù)水平目標(biāo)（SLO）,

B、恢復(fù)時(shí)間目標(biāo)(RTO),

C、恢復(fù)點(diǎn)目標(biāo)(RPO),

D、停用的最大可接受程度(MAO),

,,

,,

69、以下對(duì)信息安全應(yīng)急響應(yīng)說法錯(cuò)誤的是？D,

A、明確處理安全事件的工作職責(zé)和工作流程是應(yīng)急響應(yīng)工作中非常重要的--------,

B、僅僅處理好緊急事件不是應(yīng)急工作的的全部，通過信息安全事件進(jìn)行總結(jié)和學(xué)習(xí)是很重要--------,

C、對(duì)安全事件的報(bào)告和對(duì)安全弱點(diǎn)的報(bào)告都是信息安全事件管理的重要內(nèi)容,

D、作為一個(gè)單位的信息安全主管，在安全事件中主要任務(wù)------------------完全是執(zhí)法機(jī)構(gòu)的事,

,,

,,

71、目前數(shù)據(jù)大集中是我國重要的大型分布式信息系統(tǒng)建設(shè)和發(fā)展的趨勢，數(shù)據(jù)大集中就是將數(shù)據(jù)集中存儲(chǔ)和管理，為業(yè)務(wù)信息系統(tǒng)的運(yùn)行搭建了統(tǒng)一的數(shù)據(jù)平臺(tái)，對(duì)這種做法的認(rèn)識(shí)正確的是？D,

A．?dāng)?shù)據(jù)庫系統(tǒng)龐大會(huì)提高管理成本,

B．?dāng)?shù)據(jù)庫系統(tǒng)龐大會(huì)降低管理效率,

C．?dāng)?shù)據(jù)的集中會(huì)降低風(fēng)險(xiǎn)的可控性,

D.數(shù)據(jù)的集中會(huì)造成風(fēng)險(xiǎn)的集中,

,,

72、對(duì)程序源代碼進(jìn)行訪問控制管理時(shí)，以下那種做法是錯(cuò)誤的？C,

A．若有可能，在實(shí)際生產(chǎn)系統(tǒng)中不保留源程序庫。,

B．對(duì)源程序庫的訪問進(jìn)行嚴(yán)格的審計(jì),

C．技術(shù)支持人員應(yīng)可以不受限制的訪問源程序,

D．對(duì)源程序庫的拷貝應(yīng)受到嚴(yán)格的控制規(guī)程的制約,

,,

73、以下對(duì)系統(tǒng)日志信息的操作中哪項(xiàng)是最不應(yīng)當(dāng)發(fā)生的？A,

A、對(duì)日志內(nèi)容進(jìn)行編輯,

B、只抽取部分條目進(jìn)行保存和查看,

C、用新的日志覆蓋舊的日志,

D、使用專用工具對(duì)日志進(jìn)行分析,

,,

74、以下哪一項(xiàng)是對(duì)信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋：C,

A、沒有適當(dāng)?shù)馁|(zhì)量管理工具,

B、經(jīng)常變化的用戶需求,

C、用戶參與需求挖掘不夠,

D、項(xiàng)目管理能力不強(qiáng),

,,

75、許多安全管理工作在信息系統(tǒng)生存周期中的運(yùn)行維護(hù)階段發(fā)生。以下哪一種行為通常是不是在這一階段中發(fā)生的？C,

A、進(jìn)行系統(tǒng)備份,

B、管理加密密鑰,

C、認(rèn)可安全控制措施,

D、升級(jí)安全軟件,

,,

76、在信息安全管理工作中“符合性”的含義不包括哪一項(xiàng)？C,

A、對(duì)法律法規(guī)的符合,

B、對(duì)安全策略和標(biāo)準(zhǔn)的符合,

C、對(duì)用戶預(yù)期服務(wù)效果的符合,

D、通過審計(jì)措施來驗(yàn)證符合情況,

,,

,,

77、下面哪一項(xiàng)最準(zhǔn)確的闡述了安全監(jiān)測措施和安全審計(jì)措施之間的區(qū)別？C,

A、審計(jì)措施不能自動(dòng)執(zhí)行，而檢測措施可以自動(dòng)執(zhí)行,

B、監(jiān)視措施不能自動(dòng)執(zhí)行，而審計(jì)措施可以自動(dòng)執(zhí)行,

C、審計(jì)措施是一次性地或周期性地進(jìn)行，而監(jiān)測措施是實(shí)時(shí)地進(jìn)行,

D、監(jiān)測措施一次性地或周期性地進(jìn)行，而審計(jì)措施是實(shí)時(shí)地進(jìn)行,

,,

,,

78、口令是驗(yàn)證用戶身份的最常用手段，以下哪一種口令的潛在風(fēng)險(xiǎn)影響范圍最大？D,

A、長期沒有修改的口令,

B、過短的口令,

C、兩個(gè)人公用的口令,

D、設(shè)備供應(yīng)商提供的默認(rèn)口令,

,,

79、系統(tǒng)工程是信息安全工程的基礎(chǔ)學(xué)科，錢學(xué)森說：“系統(tǒng)工程時(shí)組織管理系統(tǒng)規(guī)劃，研究、制造、實(shí)驗(yàn)，科學(xué)的管理方法，使一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法，以下哪項(xiàng)對(duì)系統(tǒng)工程的理解是正確的A,

A、系統(tǒng)工程是一種方法論,

B、系統(tǒng)工程是一種技術(shù)實(shí)現(xiàn),

C、系統(tǒng)工程是一種基本理論,

D、系統(tǒng)工程不以人參與系統(tǒng)為研究對(duì)象,

,,

80、項(xiàng)目管理是信息安全工程的基本理論，以下哪項(xiàng)對(duì)項(xiàng)目管理的理解是正確的：A,

A、項(xiàng)目管理的基本要素是質(zhì)量，進(jìn)度和成本,

B、項(xiàng)目管理的基本要素是范圍，人力和溝通,

C、項(xiàng)目管理是從項(xiàng)目的執(zhí)行開始到項(xiàng)目結(jié)束的全過程進(jìn)行計(jì)劃、組織,

D、項(xiàng)目管理是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)，方法和理論。對(duì)項(xiàng)目涉及的技術(shù)工作進(jìn)行有效地管理,

,,

81、在信息系統(tǒng)的設(shè)計(jì)階段必須做以下工作除了：C,

A、決定使用哪些安全控制措施,

B、對(duì)設(shè)計(jì)方案的安全性進(jìn)行評(píng)估,

C、開發(fā)信息系統(tǒng)的運(yùn)行維護(hù)手冊(cè),

D、開發(fā)測試、驗(yàn)收和認(rèn)可方案,

,,

,,

82、進(jìn)行信息安全管理體系的建設(shè)是一個(gè)涉及企業(yè)文化，信息系統(tǒng)特點(diǎn)，法律法規(guī)等多方面因素的負(fù)雜過程，人們?cè)谶@樣的過程中總結(jié)了許多經(jīng)驗(yàn)，下面哪一項(xiàng)是最不值得贊同的？d,

A、成功的信息安全管理體系建設(shè)必須得到組織的高級(jí)管理的直接支持,

B、制定的信息安全管理措施應(yīng)當(dāng)與組織的文化環(huán)境相匹配,

C、應(yīng)該對(duì)ISO27002等國際標(biāo)注批判地參考，不能完全照搬,

D、借助有經(jīng)驗(yàn)的大型國際咨詢公司，往往可以提高管理體系的執(zhí)行效,

,,

83、信息系統(tǒng)安全保障工程是一門跨學(xué)科的工程管理過程，他是基于對(duì)信息系統(tǒng)安全保障需求的發(fā)掘和對(duì)——————的理解，以經(jīng)濟(jì)，科學(xué)的方法來設(shè)計(jì)、開發(fā)、和建設(shè)信息系統(tǒng)，以便他能滿足用戶安全保障需求的科學(xué)和藝術(shù)。A,

A、安全風(fēng)險(xiǎn),

B、安全保障,

C、安全技術(shù),

D、安全管理,

,,

84、關(guān)于SSE-CMM的描述錯(cuò)誤的是：D,

A、1993年4月美國國家安全局資助，有安全工業(yè)界，英國國防部辦公室和加拿大通信安全機(jī)構(gòu)共同組成SSE-CMM項(xiàng)目組。,

B、SSE-CMM的能力級(jí)別分為6個(gè)級(jí)別。,

C、SSE-CMM講安全工程過程劃分為三類：風(fēng)險(xiǎn)、工程和保證。,

D、SSE的最高能力級(jí)別是量化控制,

,,

,,

85、下面對(duì)SSE-CMM說法錯(cuò)誤的是？D,

A、它通過域維和能力維共同形成對(duì)安全工程能力的評(píng)價(jià),

B、域維定義了工程能力的所有實(shí)施活動(dòng),

C、能力維定義了工程能力的判斷標(biāo)注,

D、“公共特征”是域維中對(duì)獲得過程區(qū)目標(biāo)的必要步驟的定義,

,,

86在SSE-CMM中對(duì)工程過程能力的評(píng)價(jià)分為三個(gè)層次，由宏,

觀到微觀依次是A,

A能力級(jí)別-公共特征（CF）-通用實(shí)踐（GP）,

B能力級(jí)別-通用實(shí)踐-（GP）-公共特征（CF）,

C通用實(shí)踐-（GP）-能力級(jí)別-公共特征（CF）,

D公共特征（CF）-能力級(jí)別-通用實(shí)踐-（GP）、,

,,

,,

87、如果可以在組織范圍定義文檔化的標(biāo)準(zhǔn)過程，在所有的項(xiàng)目規(guī)劃、執(zhí)行和跟蹤已定義的過程，并且可以很好地協(xié)調(diào)項(xiàng)目活動(dòng)和組織活動(dòng)，則組織的安全能力成熟度可以達(dá)到？B,

A、規(guī)劃跟蹤定義,

B、充分定義級(jí),

C、量化控制級(jí),

D、持續(xù)改進(jìn)級(jí),

,,

88、“配置管理”是系統(tǒng)工程的重要概念，他在軟件工程和信息安全工程中得到廣泛應(yīng)用下面對(duì)“配置管理”解釋最準(zhǔn)確的是？B,

A、配置管理的本質(zhì)是變更流程管理,

B、配置管理是一個(gè)對(duì)系統(tǒng)（包括軟件、硬件、文檔、測試設(shè)備、開發(fā)\維護(hù)設(shè)備）所有變化進(jìn)行控制的過程,

C、配置管理是對(duì)信息系統(tǒng)的技術(shù)參數(shù)進(jìn)行管理,

D、管理配置是對(duì)系統(tǒng)基線和源代碼的版本進(jìn)行管理,

,,

89、根據(jù)SSE-CMM以下哪項(xiàng)不是在安全工程過程中實(shí)施安全控制時(shí)需要做的？A,

A、獲得用戶對(duì)安全需求的理解,

B、建立安全控制的職責(zé),

C、管理安全控制的配置,

D、進(jìn)行針對(duì)安全控制的教育培訓(xùn),

,,

90、下面哪條不屬于SSE-CMM中能力級(jí)別3“充分定義”級(jí)的基本內(nèi)容：A,

A、改進(jìn)組織能力,

B、定義標(biāo)準(zhǔn)過程,

C、協(xié)調(diào)安全實(shí)施,

D、執(zhí)行已定義的過程,

,,

91、下面哪項(xiàng)不是工程實(shí)施階段信息安全工程監(jiān)理的主要目標(biāo)？C,

A、明確工程實(shí)施計(jì)劃、對(duì)于計(jì)劃的調(diào)整必須合理、受控,

B、促使工程中所適用的產(chǎn)品和服務(wù)符合承建合同及國家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn),

C、促使業(yè)務(wù)單位與承建單位充分溝通，形成深化的安全需求,

D、促使工程實(shí)施過程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符,

,,

92、在國家標(biāo)準(zhǔn)中，屬于強(qiáng)制性標(biāo)準(zhǔn)的是：B,

A、GB/TXXXX-X-200X,

B、GBXXXX-200X,

C、DBXX/TXXX-200X,

D、QXXX-XXX-200X,

,,

93、在何種情況下，一個(gè)組織應(yīng)對(duì)公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全事件？A,

A、當(dāng)信息安全事件的負(fù)面影響擴(kuò)展到本組織意外時(shí),

B、只要發(fā)生了安全事件就應(yīng)當(dāng)公告,

C、只有公眾的什么財(cái)產(chǎn)安全受到巨大危害時(shí)才公告,

D、當(dāng)信息安全事件平息之后,

,,

94、下面對(duì)ISO27001的說法最準(zhǔn)確的是：D,

A、該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南,

B、該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn),

C、該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐,

D、該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個(gè)模型,

,,

95、ISO27002、ITIL和COBIT在IT管理內(nèi)容上各有優(yōu)勢、但側(cè)重點(diǎn)不同，其各自重點(diǎn)分別在于：A,

A、IT安全控制、IT過程管理和IT控制和度量評(píng)價(jià),

B、IT過程管理、IT安全控制和IT控制和度量評(píng)價(jià),

C、IT控制和度量評(píng)價(jià)、IT安全控制和IT安全控制,

D、IT過程管理、IT控制和度量評(píng)價(jià)、IT安全控制,

,,

96、以下對(duì)于IATF信息安全保障技術(shù)框架的說法錯(cuò)誤的是：,C

A、它由美國國家安全局公開發(fā)布,

B、它的核心思想是信息安全深度防御（Defense-in-Depth）,

C、它認(rèn)為深度防御應(yīng)當(dāng)從策略、技術(shù)和運(yùn)行維護(hù)三個(gè)層面來進(jìn)行,

D、它將信息系統(tǒng)保障的技術(shù)層面分為計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)置和支撐性技術(shù)設(shè)施4個(gè)部分,

,,

97、根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，信息系統(tǒng)的安全保護(hù)等級(jí)由哪兩個(gè)定級(jí)要素決定：D,

A、威脅、脆弱性,

B、系統(tǒng)價(jià)值、風(fēng)險(xiǎn),

C、信息安全、系統(tǒng)服務(wù)安全,

D、受侵害的客體、對(duì)客體造成侵害的程度業(yè)務(wù),

,,

98、下面對(duì)國家秘密定級(jí)和范圍的描述中，哪項(xiàng)不符合《保守國家秘密法》要求：C,

A、國家秘密和其密級(jí)的具體范圍，由國家保密工作部門分別會(huì)同外交、公安、國家安全和其他中央有關(guān)規(guī)定,

B、各級(jí)國家機(jī)關(guān)、單位對(duì)所產(chǎn)生的秘密事項(xiàng)，應(yīng)當(dāng)按照國家秘密及其密級(jí)的具體范圍的規(guī)定確定密級(jí),

C、對(duì)是否屬于國家和屬于何種密級(jí)不明確的事項(xiàng)，可有各單位自行參考國家要求確定和定級(jí)，然后報(bào)國家保密工作部門備案。,

D、對(duì)是否屬于國家和屬于何種密級(jí)不明確的事項(xiàng)，由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機(jī)關(guān)確定,

,,

99、下面有關(guān)我國標(biāo)準(zhǔn)化管理和組織機(jī)構(gòu)的說法錯(cuò)誤的是？C,

A、國家標(biāo)準(zhǔn)化管理委員會(huì)是統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主管機(jī)構(gòu),

B、國家標(biāo)準(zhǔn)化技術(shù)委員會(huì)承擔(dān)著國家標(biāo)準(zhǔn)的制定和修改鞏工作,

C、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)信息安全技術(shù)標(biāo)準(zhǔn)的審查、批準(zhǔn)、編號(hào)和發(fā)布,

D、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標(biāo)準(zhǔn)年度計(jì)劃項(xiàng)目,

,,

100、我國規(guī)定商用密碼產(chǎn)品的研發(fā)、制造、銷售和使用采取專控管理，必須經(jīng)過審批，所依據(jù)的是：A,

A、商用密碼管理?xiàng)l例,

B、中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,

C、計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定,

D、中華人民共和國保密法,

,,

"1.

人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:",

A.為了更好地完成組織機(jī)構(gòu)的使命&,

B.針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化,

C.風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展,

"D.除了保密性,信息的完整性和可用性也引起人們的關(guān)注",

,,

2.

信息安全保障的最終目標(biāo)是:,

"A.掌握系統(tǒng)的風(fēng)險(xiǎn),制定正確的策略",

B.確保系統(tǒng)的保密性、完整性和可用性,

C.使系統(tǒng)的技術(shù)、管理、工程過程和人員等安全保障要素達(dá)到要求&,

D.保障信息系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命,

,,

3.

關(guān)于信息保障技術(shù)框架（IATF），下列哪種說法是錯(cuò)誤的？,

"A．IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；",

"B.IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作",

C.IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來保障信息系統(tǒng)的安全；,

D.IATF強(qiáng)調(diào)的是以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全&,

,,

4.

依據(jù)國家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)（ISST）是從信息系統(tǒng)安全保障____的角度來描述的信息系統(tǒng)安全保障方案。,

A.建設(shè)者,

B.所有者,

C.評(píng)估者&,

D.制定者,

,,

5.

以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法錯(cuò)誤的是：,

A.通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。,

B.信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全&,

C.是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng),

D.是主觀和客觀綜合評(píng)估的結(jié)果；,

,,

6.

信息系統(tǒng)保護(hù)輪廓（ISPP）定義了__.,

A.

某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障要求,

B.

某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障要求&,

C.

某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障目的,

D.

某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障目的,

,,

7.

以下對(duì)PPDR模型的解釋錯(cuò)誤的是：,

A．該模型提出以安全策略為核心，防護(hù)、檢測和恢復(fù)組成一個(gè)完整的，,

B．該模型的一個(gè)重要貢獻(xiàn)是加進(jìn)了時(shí)間因素，而且對(duì)如何實(shí)現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述,

C．該模型提出的公式1：Pt>Dt+Rt，代表防護(hù)時(shí)間大于檢測時(shí)間加響應(yīng)時(shí)間,

D．該模型提出的公式1：Pt＝Dt+Rt，代表防護(hù)時(shí)間為0時(shí)，系統(tǒng)檢測時(shí)間等于檢測時(shí)間加響應(yīng)時(shí)間&,

,,

8.

以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)作內(nèi)容之一？,

A．提高信息技術(shù)產(chǎn)品的國產(chǎn)化率,

B．保證信息安全資金投入&,

C．加快信息安全人才培養(yǎng),

D．重視信息安全應(yīng)急處理工作,

,,

9.

誰首先提出了擴(kuò)散－混淆的概念并應(yīng)用于密碼學(xué)領(lǐng)域？,

A.

香農(nóng)&,

B.

Shamir,

C.

Hellman,

D.

圖靈,

,,

10.

以下哪些問題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問題？,

A．大整數(shù)分解,

B．離散對(duì)數(shù)問題,

C．背包問題,

D．偽隨機(jī)數(shù)發(fā)生器&,

,,

11.

下列關(guān)于kerckhofff準(zhǔn)則的合理性闡述中，哪一項(xiàng)是正確的？,

A.

保持算法的秘密比保持密鑰的秘密性要困難得多,

B.

密鑰一旦泄漏，也可以方便地更換,

C.

在一個(gè)密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全&,

D.

公開的算法能夠經(jīng)過更嚴(yán)格的安全性分析,

,,

12.

以下關(guān)于RSA算法的說法，正確的是：,

A.

RSA不能用于數(shù)據(jù)加密,

B.

RSA只能用于數(shù)字簽名,

C.

RSA只能用于密鑰交換,

D.

RSA可用于加密，數(shù)字簽名和密鑰交換體制&,

,,

13.

Hash算法的碰撞是指：,

A.

兩個(gè)不同的消息，得到相同的消息摘要&,

B.

兩個(gè)相同的消息，得到不同的消息摘要,

C.

消息摘要和消息的長度相同,

D.

消息摘要比消息的長度更長,

,,

14.

下列哪種算法通常不被用于保證機(jī)密性？,

A.

AES,

B.

RC4,

C.

RSA,

D.

MD5&,

,,

15.

數(shù)字證書的功能不包括：,

A.

加密,

B.

數(shù)字簽名,

C.

身份認(rèn)證,

D.

消息摘要&,

,,

16.

下列哪一項(xiàng)是注冊(cè)機(jī)構(gòu)（RA）的職責(zé)？,

A．證書發(fā)放,

B．證書注銷,

C．提供目錄服務(wù)讓用戶查詢,

D．審核申請(qǐng)人信息&,

,,

17.

IPsec工作模式分別是：,

A.

一種工作模式：加密模式,

B.

三種工作模式：機(jī)密模式、傳輸模式、認(rèn)證模式,

C.

兩種工作模式：隧道模式、傳輸模式&,

D.

兩種工作模式：隧道模式、加密模式,

,,

18.

下列哪些描述同SSL相關(guān)？,

A.

公鑰使用戶可以交換會(huì)話密鑰，解密會(huì)話密鑰并驗(yàn)證數(shù)字簽名的真實(shí)性&,

B.

公鑰使用戶可以交換會(huì)話密鑰，驗(yàn)證數(shù)字簽名的真實(shí)性以及加密數(shù)據(jù),

C.

私鑰使用戶可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會(huì)話密鑰。,

19.

下列關(guān)于IKE描述不正確的是：,

A．IKE可以為IPsec協(xié)商關(guān)聯(lián),

B．IKE可以為RIPV2\OSPPV2等要求保密的協(xié)議協(xié)商安全參數(shù)&,

C．IKE可以為L2TP協(xié)商安全關(guān)聯(lián),

D．IKE可以為SNMPv3等要求保密的協(xié)議協(xié)調(diào)安全參數(shù),

,,

20.

下面哪一項(xiàng)不是VPN協(xié)議標(biāo)準(zhǔn)？,

A.

L2TP,

B.

IPSec,

C.

TACACS&,

D.

PPTP,

,,

21.

自主訪問控制與強(qiáng)制訪問控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？,

A．具有較高的安全性,

B．控制粒度較大,

C．配置效率不高,

D．具有較強(qiáng)的靈活性&,

,,

22.

以下關(guān)于ChineseWall模型說法正確的是,

A.

Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取銀行c中的數(shù)據(jù)&,

B.

模型中的有害客體是指會(huì)產(chǎn)生利益沖突，不需要限制的數(shù)據(jù),

C.

Bob可以讀銀行a的中的數(shù)據(jù)，則他不能讀取石油公司u中的數(shù)據(jù),

D.

Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由則Bob可以往石油公司u中寫數(shù)據(jù),

,,

23.

以下關(guān)于BLP模型規(guī)則說法不正確的是：,

A．BLP模型主要包括簡單安全規(guī)則和*-規(guī)則,

B．*-規(guī)則可以簡單表述為下寫&,

C．主體可以讀客體，當(dāng)且僅當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限,

D．主體可以讀客體，當(dāng)且僅當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限,

,,

24.

以下關(guān)于RBAC模型說法正確的是：,

A．該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來決定用戶在系統(tǒng)中的訪問權(quán)限,

B．一個(gè)用戶必須扮演并激活某種角色，才能對(duì)一個(gè)象進(jìn)行訪問或執(zhí)行某種操作&,

C．在該模型中，每個(gè)用戶只能有一個(gè)角色,

D．在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián),

,,

25.

下列對(duì)常見強(qiáng)制訪問控制模型說法不正確的是：,

A．BLP影響了許多其他訪問控制模型的發(fā)展,

B．Clark-Wilson模型是一種以事物處理為基本操作的完整性模型,

C．ChineseWall模型是一個(gè)只考慮完整性的安全策略模型&,

D．Biba模型是一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型,

,,

26.

訪問控制的主要作用是：,

A.

防止對(duì)系統(tǒng)資源的非授權(quán)訪問,

B.

在安全事件后追查非法訪問活動(dòng),

C.

防止用戶否認(rèn)在信息系統(tǒng)中的操作,

D.

以上都是&,

,,

27.

作為一名信息安全專業(yè)人員，你正在為某公司設(shè)計(jì)信息資源的訪問控制策略。由于該公司的人員流動(dòng)較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來確定對(duì)信息資源的訪問權(quán)限，最應(yīng)該采用下列哪一種訪問控制模型？,

A．自主訪問控制（DAC）,

B．強(qiáng)制訪問控制(MAC),

C．基于角色訪問控制(RBAC)&,

D．最小特權(quán)(LEASTPrivilege),

,,

28.

下列對(duì)kerberos協(xié)議特點(diǎn)描述不正確的是：,

A.

協(xié)議采用單點(diǎn)登錄技術(shù)，無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證—,

B.

協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證,

C.

只要用戶拿到了TGT并且TGT沒有過期，就可以使用該TGT通過TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼,

D.

AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全,

,,

29.

以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是：,

A．單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享&,

B．使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問多個(gè)應(yīng)用,

C．單點(diǎn)登錄不僅方便用戶使用，而且也便于管理,

D．使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā),

,,

30.

下列對(duì)標(biāo)識(shí)和鑒別的作用說法不正確的是：,

A.

它們是數(shù)據(jù)源認(rèn)證的兩個(gè)因素,

B.

在審計(jì)追蹤記錄時(shí)，它們提供與某一活動(dòng)關(guān)聯(lián)的確知身份,

C.

標(biāo)識(shí)與鑒別無法數(shù)據(jù)完整性機(jī)制結(jié)合起來使用&,

D.

作為一種必要支持，訪問控制的執(zhí)行依賴于標(biāo)識(shí)和鑒別確知的身份,

,,

31.

下面哪一項(xiàng)不屬于集中訪問控制管理技術(shù)？,

A．RADIUS,

B．TEMPEST&,

C．TACACS,

D．Diameter,

,,

32.

安全審計(jì)是系統(tǒng)活動(dòng)和記錄的獨(dú)立檢查和驗(yàn)證，以下哪一項(xiàng)不是審計(jì)系統(tǒng)的作用？,

A．輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊,

B．對(duì)與已建立的安全策略的一致性進(jìn)行核查,

C．及時(shí)阻斷違反安全策略的致性的訪問&,

D．幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施,

,,

33.

下列對(duì)蜜網(wǎng)關(guān)鍵技術(shù)描述不正確的是：,

A.

數(shù)據(jù)捕獲技術(shù)能夠檢測并審計(jì)黑客的所有行為數(shù)據(jù),

B.

數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)，使用工具及其意圖,

C.

通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全&,

D.

通過數(shù)據(jù)控制、捕獲和分析，能對(duì)活動(dòng)進(jìn)行監(jiān)視、分析和阻止,

,,

34.

以下哪種無線加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？,

A．Wep&,

B．wpa,

C．wpa2,

D．wapi,

,,

35.

路由器的標(biāo)準(zhǔn)訪問控制列表以什么作為判別條件？,

A.

數(shù)據(jù)包的大小,

B.

數(shù)據(jù)包的源地址&,

C.

數(shù)據(jù)包的端口號(hào),

D.

數(shù)據(jù)包的目的地址,

,,

36.

通常在設(shè)計(jì)VLAN時(shí)，以下哪一項(xiàng)不是VIAN規(guī)劃方法？,

A．基于交換機(jī)端口,

B．基于網(wǎng)絡(luò)層協(xié)議,

C．基于MAC地址,

D．基于數(shù)字證書&,

,,

37.

防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換（MAT）的主要作用是：,

A．提供代理服務(wù),

B．隱藏內(nèi)部網(wǎng)絡(luò)地址&,

C．進(jìn)行入侵檢測,

D．防止病毒入侵,

,,

38.

哪一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來控制訪問連接的能力？,

A．包過濾防火墻,

B．狀態(tài)檢測防火墻,

C．應(yīng)用網(wǎng)關(guān)防火墻&,

D．以上都不能,

,,

39.

以下哪一項(xiàng)不屬于入侵檢測系統(tǒng)的功能？,

A．監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流,

B．捕捉可疑的網(wǎng)絡(luò)活動(dòng),

C．提供安全審計(jì)報(bào)告,

D．過濾非法的數(shù)據(jù)包&,

,,

40.下面哪一項(xiàng)不是通用IDS模型的組成部分:,

A.傳感器,

B.過濾器&,

C.分析器,

D.管理器,

,,

"44.windows操作系統(tǒng)中,令人欲限制用戶無效登錄的次數(shù),應(yīng)當(dāng)怎么做?",

A.在”本地安全設(shè)置”中對(duì)”密碼策略”進(jìn)行設(shè)置,

B.在”本地安全設(shè)置”中對(duì)”用戶鎖定策略”進(jìn)行設(shè)置&,

C.在”本地安全設(shè)置”中對(duì)”審核策略”進(jìn)行設(shè)置,

D.在”本地安全設(shè)置”中對(duì)”用戶權(quán)利措施”進(jìn)行設(shè)置,

,,

,,

46.下列哪一項(xiàng)與數(shù)據(jù)庫的安全的直接關(guān)系？,

A.訪問控制的程度&,

B．?dāng)?shù)據(jù)庫的大小,

C．關(guān)系表中屬性的數(shù)量,

D．關(guān)系表中元組的數(shù)量,

,,

47.ApacheWeb服務(wù)器的配置文件一般位于//local/spache/conf目錄.其中用來控制用戶訪問Apache目錄的配置文件是:,

A.httqd.conf&,

B.srm.conf,

C.access.conf,

D.inetd.conf,

,,

48.關(guān)于計(jì)算機(jī)病毒具有的感染能力不正確的是:,

A.能將自身代碼注入到引導(dǎo)區(qū),

B.能將自身代碼注入到限區(qū)中的文件鏡像,

C.能將自身代碼注入文本文件中并執(zhí)行&,

D.能將自身代碼注入到文檔或模板的宏中代碼,

,,

49.蠕蟲的特性不包括:,

A.文件寄生&,

B.拒絕服務(wù),

C.傳播快,

D.隱蔽性好,

,,

"50.關(guān)于網(wǎng)頁中的惡意代碼,下列說法錯(cuò)誤的是:",

A.網(wǎng)頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用,

B.網(wǎng)頁中的惡意代碼可以修改系統(tǒng)注冊(cè)表,

C.網(wǎng)頁中的惡意代碼可以修改系統(tǒng)文件&,

D.網(wǎng)頁中的惡意代碼可以竊取用戶的機(jī)密文件,

,,

"51.當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時(shí),就會(huì)產(chǎn)生哪種類型的漏洞?",

A.緩沖區(qū)溢出,

B.設(shè)計(jì)錯(cuò)誤,

C.信息泄露,

D.代碼注入&,

,,

52.下列哪一項(xiàng)不是信息安全漏洞的載體?,

A.網(wǎng)絡(luò)協(xié)議,

B.操作系統(tǒng),

C.應(yīng)用系統(tǒng),

D.業(yè)務(wù)數(shù)據(jù)&,

,,

"53.攻擊者使用偽造的SYN包,包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址,這樣被攻擊方會(huì)給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)建一個(gè)連接,每一個(gè)這樣的連接都將保持到超時(shí)為止,這樣過多的空連接會(huì)耗盡被攻擊方的資源,導(dǎo)致拒絕服務(wù).這種攻擊稱為之為:",

A.Land攻擊&,

B.Smurf攻擊,

C.PingofDeath攻擊,

D.ICMPFlood,

,,

54.以下哪個(gè)攻擊步驟是IP欺騙(IPSPoof)系列攻擊中最關(guān)鍵和難度最高的?,

"A.對(duì)被冒充的主機(jī)進(jìn)行拒絕服務(wù),使其無法對(duì)目標(biāo)主機(jī)進(jìn)行響應(yīng)",

"B.與目標(biāo)主機(jī)進(jìn)行會(huì)話,猜測目標(biāo)主機(jī)的序號(hào)規(guī)則&",

"C.冒充受信主機(jī)想目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包,欺騙目標(biāo)主機(jī)",

"D.向目標(biāo)主機(jī)發(fā)送指令,進(jìn)行會(huì)話操作",

,,

"55.以下針對(duì)Land攻擊的描述,哪個(gè)是正確的?",

"A.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報(bào)文,導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)",

"B.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請(qǐng)求,導(dǎo)致目標(biāo)主機(jī)處理錯(cuò)誤形成拒絕服務(wù)&",

"C.Land攻擊是一種利用協(xié)議漏洞進(jìn)行攻擊的方式,通過發(fā)送定制的錯(cuò)誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯(cuò)誤而崩潰",

"D.Land是一種利用系統(tǒng)漏洞進(jìn)行攻擊的方式,通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰",

,,

56.下列對(duì)垮站腳本攻擊(XSS)描述正確的是:,

"A.XSS攻擊指的是惡意攻擊者往WEB頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中WEB里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的.&",

B.XSS攻擊是DDOS攻擊的一種變種,

C.XSS.攻擊就是CC攻擊,

"D.XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問請(qǐng)求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的",

,

57.下列哪一項(xiàng)不屬于FUZZ測試的特性?,

A.主要針對(duì)軟件漏洞或可靠性錯(cuò)誤進(jìn)行測試.,

B.采用大量測試用例進(jìn)行激勵(lì)響應(yīng)測試,

"C.一種試探性測試方法,沒有任何依據(jù)&",

D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常&,

,,

58.對(duì)攻擊面(Attacksurface)的正確定義是:,

"A.一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合,軟件存在的攻擊面越多,軟件的安全性就越低",

"B.對(duì)一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合,一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大&",

"C.一個(gè)軟件系統(tǒng)的功能模塊的集合,軟件的功能模塊越多,可被攻擊的點(diǎn)也越多,安全風(fēng)險(xiǎn)也越大",

"D.一個(gè)軟件系統(tǒng)的用戶數(shù)量的集合,用戶的數(shù)量越多,受到攻擊的可能性就越大,安全風(fēng)險(xiǎn)也越大",

,,

59.以下哪個(gè)不是軟件安全需求分析階段的主要任務(wù)?,

A.確定團(tuán)隊(duì)負(fù)責(zé)人和安全顧問&,

B.威脅建模,

C.定義安全和隱私需求(質(zhì)量標(biāo)準(zhǔn)),

D.設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄,

,,

60.風(fēng)險(xiǎn)評(píng)估方法的選定在PDCA循環(huán)中的那個(gè)階段完成？,

A.實(shí)施和運(yùn)行,

B.保持和改進(jìn),

C.建立&,

D.監(jiān)視和評(píng)審,

,,

61.下面關(guān)于ISO27002的說法錯(cuò)誤的是:,

A.ISO27002的前身是ISO17799-1,

"B.ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用,但不是全部",

C.ISO27002對(duì)于每個(gè)措施的表述分”控制措施”、“實(shí)施指南”、和“其它信息”三個(gè)部分來進(jìn)行描述,

D．ISO27002提出了十一大類的安全管理措施，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施&,

,,

62.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：,

A．安全必須是完美無缺、面面俱到的。,

B．最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。,

C．在解決、預(yù)防信息安全問題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍&,

D．防范不足就會(huì)造成損失；防范過多就可以避免損失。,

,,

63.風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過程，關(guān)于這些過程，以下的說法哪一個(gè)是正確的?,

A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性,

B．風(fēng)險(xiǎn)要素識(shí)別的內(nèi)容是識(shí)別可能發(fā)生的安全事件對(duì)信息系統(tǒng)的影響程度,

C．風(fēng)險(xiǎn)分析的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性&,

D．風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施,

,,

64.你來到服務(wù)器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請(qǐng)維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結(jié)果對(duì)與持定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響？,

A．如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)增加,

B．如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變,

C．如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會(huì)下降,

D．如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會(huì)增加&,

,,

65.在對(duì)安全控制進(jìn)行分析時(shí)，下面哪個(gè)描述是錯(cuò)誤的？,

A．對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的,

B．應(yīng)選擇對(duì)業(yè)務(wù)效率影響最小的安全措施&,

C．選擇好實(shí)施安全控制的時(shí)機(jī)和位置，提高安全控制的有效性,

D．仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng),

,,

66.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則？,

A．風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中,

B．風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作,

C．由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低&,

D．在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力,

,,

67.對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)管理描述不正確的是：,

A.漏洞掃描是整個(gè)安全評(píng)估階段重要的數(shù)據(jù)來源而非全部,

B．風(fēng)險(xiǎn)管理是動(dòng)態(tài)發(fā)展的，而非停滯、靜態(tài)的,

C．風(fēng)險(xiǎn)評(píng)估的結(jié)果以及決策方案必須能夠相互比較才可以具有較好的參考意義,

D．風(fēng)險(xiǎn)評(píng)估最重要的因素是技術(shù)測試工具&,

,,

68.下列哪一項(xiàng)準(zhǔn)確地描述了脆弱性、威脅、暴露和風(fēng)險(xiǎn)之間的關(guān)系？,

A．脆弱性增加了威脅，威脅利用了風(fēng)險(xiǎn)并導(dǎo)致了暴露,

B．風(fēng)險(xiǎn)引起了脆弱性并導(dǎo)致了暴露，暴露又引起了威脅,

C．風(fēng)險(xiǎn)允許威脅利用脆弱性，并導(dǎo)致了暴露,

D．威脅利用脆弱性并產(chǎn)生影響的可能性稱為風(fēng)險(xiǎn)，暴露是威脅已造成損害的實(shí)例&,

,,

69.統(tǒng)計(jì)數(shù)據(jù)指出，對(duì)大多數(shù)計(jì)算機(jī)系統(tǒng)來說，最大的威脅是：,

A．本單位的雇員&,

B．黑客和商業(yè)間諜,

C．未受培訓(xùn)的系統(tǒng)用戶,

D．技術(shù)產(chǎn)品和服務(wù)供應(yīng)商,

,,

70．風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)和第三方評(píng)估。這兩種評(píng)估方式最本質(zhì)的差別是什么？,

A．評(píng)估結(jié)果的客觀性&,

B．評(píng)估工具的專業(yè)程度,

C．評(píng)估人員的技術(shù)能力,

D．評(píng)估報(bào)告的形式,

,,

71.應(yīng)當(dāng)如何理解信息安全管理體系中的“信息安全策略”？,

A．為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提供的一系列建議,

B．為了定義訪問控制需求面產(chǎn)生出來的一些通用性指引,

C．組織高層對(duì)信息安全工作意圖的正式表達(dá)&,

D．一種分階段的安全處理結(jié)果,

,,

72.以下哪一個(gè)是對(duì)人員安全管理中“授權(quán)蔓延”這概念的正確理解？,

A．外來人員在進(jìn)行系統(tǒng)維護(hù)時(shí)沒有收到足夠的監(jiān)控,

B．一個(gè)人擁有了不是其完成工作所必要的權(quán)限&,

C．敏感崗位和重要操作長期有一個(gè)人獨(dú)自負(fù)責(zé),

D．員工由一個(gè)崗位變動(dòng)到另一人崗位，累積越來越多權(quán)限,

,,

73.一個(gè)組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)是不應(yīng)該了解的？,

A．誰負(fù)責(zé)信息安全管理制度的制定和發(fā)布,

B．誰負(fù)責(zé)都督信息安全制度的執(zhí)行,

C．信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)工作的具體流程&,

D．如果違反了制度可能受到的懲戒措施,

,,

,,

75.一上組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃聲明恢復(fù)點(diǎn)目標(biāo)（RPO）是沒有數(shù)據(jù)損失，恢復(fù)時(shí)間目標(biāo)（RTO）是72小時(shí)。以下哪一技術(shù)方案是滿足需求且最經(jīng)濟(jì)的？,

A．一個(gè)可以在8小時(shí)內(nèi)用異步事務(wù)的備份日志運(yùn)行起來的熱站,

B．多區(qū)域異步更新的分布式數(shù)據(jù)庫系統(tǒng),

C．一個(gè)同步更新數(shù)據(jù)和主備系統(tǒng)的熱站,

D．一個(gè)同步過程數(shù)據(jù)拷備、可以48小時(shí)內(nèi)運(yùn)行起來的混站&,

,,

"76.依據(jù)國家標(biāo)準(zhǔn)《信息安全信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988）,災(zāi)難恢復(fù)管理過程的主要的步驟是災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理；其中災(zāi)難恢復(fù)策略實(shí)現(xiàn)不包括以下哪一項(xiàng)？（20110519）",

A．分析業(yè)務(wù)功能,

B．選擇和建設(shè)災(zāi)難備份中心,

C．實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案,

D．實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護(hù)能力,

,,

77.以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：,

A．同步復(fù)制&,

B．異步復(fù)制,

C．定點(diǎn)拷貝復(fù)制,

D．基于磁盤的復(fù)制,

,,

78.當(dāng)公司計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊，進(jìn)行現(xiàn)場保護(hù)應(yīng)當(dāng):,

1〉指定可靠人員看守,

2〉無特殊且十分必須原因禁止任何人員進(jìn)出現(xiàn)場,

3〉應(yīng)采取措施防人為地刪除或修改現(xiàn)場計(jì)算機(jī)信息系統(tǒng)保留的數(shù)據(jù)和其他電子痕跡,

4〉無行列且十分必須原因禁止任何人員接觸現(xiàn)場計(jì)算機(jī),

A．1，2,

B．1，2，3,

C．2，3,

D．1，2，3，4&,

,,

79.有一些信息安全事件是由于信息系統(tǒng)中多個(gè)部分共同作用造成的，人們稱這類事件為“多組件事故”，應(yīng)對(duì)這類安全事件最有效的方法是：,

A．配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為,

B．使用防病毒軟件，并且保持更新為最新的病毒特征碼,

C．將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)（DMZ）,

D.使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件,

,,

80.下列哪項(xiàng)是基于系統(tǒng)的輸入、輸出和文件的數(shù)目和復(fù)雜性測量信息系統(tǒng)的大?。?

A．功能點(diǎn)（FP）&,

B．計(jì)劃評(píng)價(jià)與審查技術(shù)（PERT）,

C．快速應(yīng)用開發(fā)（RAD）,

D．關(guān)鍵路徑方法（CPM）,

,,

,,

82.下面哪一項(xiàng)為系統(tǒng)安全工程能力成熟度模型提供了評(píng)估方法？,

A.ISSE,

B.SSAM&,

C.SSR,

D.CEM,

,,

83.一個(gè)組織的系統(tǒng)安全能力成熟度模型達(dá)到哪個(gè)級(jí)別以后，就可以考慮為過程域（PR）的實(shí)施提供充分的資源？,

A．2級(jí)――計(jì)劃和跟蹤,

B．3級(jí)――充分定義&,

C．4級(jí)――最化控制,

D．5級(jí)――持續(xù)改進(jìn),

,,

84.IT工程建設(shè)與IT安全工程建設(shè)脫節(jié)是眾多安全風(fēng)險(xiǎn)涌現(xiàn)的根源，同時(shí)安全風(fēng)險(xiǎn)也越來越多地體現(xiàn)在應(yīng)用層。因此迫切需要加強(qiáng)對(duì)開發(fā)階段的安全考慮，特別是要加強(qiáng)對(duì)數(shù)據(jù)安全性的考慮，以下哪項(xiàng)工作是在IT項(xiàng)目的開發(fā)階段不需要重點(diǎn)考慮的安全因素？,

A．操作系統(tǒng)的安全加固&,

B．輸入數(shù)據(jù)的校驗(yàn),

C．?dāng)?shù)據(jù)處理過程控制,

D．輸出數(shù)據(jù)的驗(yàn)證,

,,

1信息安全發(fā)展各階段中，下面哪一項(xiàng)是信息安全所面臨的主要威脅,

A病毒,

B非法訪問,

C信息泄漏,

D---口令,

3.關(guān)于信息保障技術(shù)框架IATF，下列說法錯(cuò)誤的是,

AIATF強(qiáng)調(diào)深度防御，關(guān)注本地計(jì)算環(huán)境，區(qū)域邊境，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障,

BIATF強(qiáng)調(diào)深度防御，針對(duì)信息系統(tǒng)采取多重防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作。,

CIATF強(qiáng)調(diào)從技術(shù)，管理和人等多個(gè)角度來保障信息系統(tǒng)的安全,

DIATF強(qiáng)調(diào)的是以安全檢測訪問監(jiān)測和自適應(yīng)填充“安全問責(zé)”為循環(huán)來提高網(wǎng)絡(luò)安全,

4.美國國家安全局的《信息保障技術(shù)框架》IATF，在描述信息系統(tǒng)的安全需求時(shí)將信息系統(tǒng)分為,

A內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分,

B本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施四個(gè)部分,

C用戶終端、服務(wù)器、系統(tǒng)軟件網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)用軟件五個(gè)部分,

D用戶終端、服務(wù)器、系統(tǒng)軟件網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)用軟件、安全防護(hù)六個(gè)級(jí)別,

,,

5.下面那一項(xiàng)表示了信息不被非法篡改的屬性,

A可生存性,

B完整性,

C準(zhǔn)確性,

D參考完整性,

6.以下關(guān)于信息系統(tǒng)安全保障是主關(guān)和客觀的結(jié)論說法準(zhǔn)確的是,

A信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還綜合參考安全管理安全工程和人員安全等以安全保障信息系統(tǒng)安全,

B通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心,

C是一種通過客觀保證向信息系統(tǒng)評(píng)估者提供主觀信心的活動(dòng),

D,

,,

,,

,,

11一下那些不屬于現(xiàn)代密碼學(xué)研究,

AEnigma密碼機(jī)的分析頻率,

B--,

Cdiffie-herrman密碼交換,

D查分分析和線性分析,

12.常見密碼系統(tǒng)包含的元素是：,

A.明文、密文、信道、加密算法、解密算法,

B.明文，摘要，信道，加密算法，解密算法,

C.明文、密文、密鑰、加密算法、解密算法,

D.消息、密文、信道、加密算法、解密算法,

,,

13.公鑰密碼的應(yīng)用不包括：,

A.數(shù)字簽名,

B.非安全信道的密鑰交換,

C.消息認(rèn)證碼,

D.身份認(rèn)證,

,,

14.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？,

A.DSS,

B.Diffie-Hellman,

C.RSA,

D.AES,

,,

15.目前對(duì)MD5，SHAI算法的攻擊是指：,

A.能夠構(gòu)造出兩個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了相同的消息摘要,

B.對(duì)于一個(gè)已知的消息，能夠構(gòu)造出一個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了相同的消息摘要,

C.對(duì)于一個(gè)已知的消息摘要，能夠恢復(fù)其原始消息,

D.對(duì)于一個(gè)已知的消息，能夠構(gòu)造一個(gè)不同的消息摘要，也能通過驗(yàn)證。,

,,

21下列對(duì)訪問控制的說法正確的是,

A訪問控制模型是對(duì)一系列的訪問控制的描述，,

22下列對(duì)強(qiáng)制訪問控制描述不正確的是,

A主題對(duì)客體的所有訪問,

B強(qiáng)制訪問控制時(shí)，主體和客體分配一個(gè)安全屬性,

C客體的創(chuàng)建者無權(quán)控制客體的訪問權(quán)限,

D強(qiáng)制訪問控制不可與自主訪問控制訪客使用,

23一下那些模型關(guān)注與信息安全的完整性,

ABIBA模型和BELL-LAPADULA模型,

Ｂbell-lapadula模型和chianswell模型,

CBiba模型和ciark-wllear,

Dciark-wllear模型和chianswell模型,

24按照BLP模型規(guī)則，以下哪種訪問才能被授權(quán),

ABob的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Bob請(qǐng)求寫該文件,

BBob的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Bob請(qǐng)求讀該文件,

CAlice的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Alice請(qǐng)求寫該文件,

DAlice的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Alice請(qǐng)求讀該文件,

,,

25.在一個(gè)使用ChineseWall模型建立訪問控制的消息系統(tǒng)中，————,

A.只有訪問了W之后，才可以訪問X,

B.只有訪問了W之后，才可以訪問Y和Z中的一個(gè),

C.無論是否訪問W，都只能訪問Y和Z中的一個(gè),

D.無論是否訪問W，都不能訪問Y或Z,

,,

26.以下關(guān)于RBAC模型的說法正確的是：,

A.該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來決定用戶在系統(tǒng)中的訪問權(quán)限,

B.一個(gè)用戶必須扮演并激活某種角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪問或執(zhí)行某種操作,

C.在該模型中，每個(gè)用戶只能有一個(gè)角色,

D.在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián),

,,

27.以下對(duì)Kerberos協(xié)議過程說法正確的是：,

A.協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請(qǐng)求服務(wù),

B.協(xié)助可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù),

C.協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù),

D.協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù),

,,

29.基于生物特征的鑒別系統(tǒng)一般使用哪個(gè)參數(shù)來判斷系統(tǒng)的準(zhǔn)確度？,

A.錯(cuò)誤拒絕率,

B.錯(cuò)誤監(jiān)測率,

C.交叉錯(cuò)判率,

D.錯(cuò)誤接受率,

,,

30.下列對(duì)密網(wǎng)功能描述不正確的是：,

A.可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對(duì)真正目標(biāo)的攻擊,

B.吸引入侵者來嗅探、攻擊，同時(shí)不被覺察地將入侵者的活動(dòng)記錄下來,

C.可以進(jìn)行攻擊檢測和實(shí)時(shí)報(bào)警,

D.可以對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測和分析,

,,

31.下面哪一個(gè)不屬于基于OSI七層協(xié)議的安全體系結(jié)構(gòu)的5種服務(wù)之一？,

A.數(shù)據(jù)完整性,

B.數(shù)據(jù)保密性,

C.數(shù)字簽名,

D.抗抵賴,

,,

33.以下哪種方法不能有效保障WLN的安全性,

A禁止默認(rèn)的服務(wù)SSID,

B禁止SSID廣播,

C啟用終端與AP的雙面認(rèn)證,

D啟用無線AP的—認(rèn)證測試,

,,

35.簡單包過濾防火墻主要工作在：,

A.鏈接層/網(wǎng)絡(luò)層,

B.網(wǎng)絡(luò)層/傳輸層,

C.應(yīng)用層,

D.回話層,

,,

36.以下哪一項(xiàng)不是應(yīng)用層防火墻的特點(diǎn)？,

A.更有效的阻止應(yīng)用層攻擊,

B.工作在OSI模型的第七層,

C.速度快且對(duì)用戶透明,

D.比較容易進(jìn)行審計(jì),

,,

39.下面哪一項(xiàng)不是IDS的主要功能？,

A.監(jiān)控和分析用戶系統(tǒng)活動(dòng),

B.統(tǒng)計(jì)分析異?；顒?dòng)模式,

C.對(duì)被破壞的數(shù)據(jù)進(jìn)行修復(fù),

D.識(shí)別活動(dòng)模式以反映已知攻擊,

,,

40.有一類IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的XX來發(fā)現(xiàn)入侵事件，這種機(jī)制稱作：,

A.異常檢測,

B.特征檢測,

C.差距分析,

D.比對(duì)分析,

,,

41.以下關(guān)于Linux用戶和組的描述不正確的是：,

A.在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”,

B.系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組,

C.用戶和組的關(guān)系可以是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組,

D.Root是系統(tǒng)的超級(jí)用戶，無論是否文件和程序的所有者都且有訪問權(quán)限,

,,

42.以下關(guān)于linux超級(jí)權(quán)限的說明，不正確的是：,

A.一般情況下，為了系統(tǒng)安全，對(duì)于一般常規(guī)級(jí)別的應(yīng)用，不需要root用戶來操作完成,

B.普通用戶可以通過su和sudo來獲取系統(tǒng)的超級(jí)權(quán)限,

C.對(duì)系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進(jìn)行,

D.Root是系統(tǒng)的超級(jí)用戶，無論是否為文件和程序的所有者都只有訪問權(quán)限,

,,

43.在windows操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應(yīng)當(dāng)怎么做？,

A.在“本地安全設(shè)置”中對(duì)“密碼策略”進(jìn)行設(shè)置,

B.在“本地安全設(shè)置”中對(duì)“賬戶鎖定策略”進(jìn)行設(shè)置,

C.在“本地安全設(shè)置”中對(duì)“審核策略”進(jìn)行設(shè)置,

D.在“本地安全設(shè)置”中對(duì)“用戶權(quán)利指派”進(jìn)行設(shè)置,

,,

44.以下對(duì)windows系統(tǒng)日志的描述錯(cuò)誤的是：,

A.Windows系統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志,

B.系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件X再XX控制器的故障,

C.應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接XX）XXX,

D安全日志跟蹤網(wǎng)絡(luò)入侵事件，**拒絕服務(wù)攻擊，口令暴力破解等。,

46為了實(shí)現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員向提出一組完整行規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整行規(guī)則主要有三部分組成，一下那一個(gè)不是完整性規(guī)則的內(nèi)容,

A完整新約束條件,

B完整新檢查機(jī)制,

C完整新修復(fù)機(jī)制,

D違約處理機(jī)制,

47.數(shù)據(jù)庫事務(wù)日志的用途是：,

A.事務(wù)處理,

B.數(shù)據(jù)恢復(fù),

C.完整性約束,

D.保密性控制,

,,

48.攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？,

A.緩沖區(qū)溢出,

B.SQL注入,

C.設(shè)計(jì)錯(cuò)誤,

D.跨站腳本,

,,

49.通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項(xiàng)，是以哪種形式存在？,

A.明文形式存在,

B.服務(wù)器加密后的密文形式存在,

C.Hasn運(yùn)算后的消息摘要值存在,

D.用戶自己加密后的密文形式存在,

,,

50.下列對(duì)跨站腳本攻擊（XSS）的描述正確的是：,

A.XSS攻擊指的是惡意攻擊在WEB頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁面時(shí)嵌入其中WEB頁面的代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的,

B.XSS攻擊是DOOS攻擊的一種變種,

C.XSS攻擊就是CC攻擊,

D.XSS攻擊就是利用被控制的機(jī)器不斷地向被攻擊網(wǎng)站發(fā)送訪問請(qǐng)求，迫使HS連接X超出限制，當(dāng)CPU———————耗盡，那么網(wǎng)站也就被攻擊垮了，從而達(dá)到攻擊的目的。,

,,

51.下列哪種惡意代碼不具備“不感染、依附性”的特點(diǎn)？,

A.后門,

B.*門,

C.木馬,

D.蠕蟲,

52.下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是,

A能將自身代碼注入到引導(dǎo)區(qū),

B能講自身代碼注入到扇區(qū)中的文件鏡像,

C能將自身代碼注入文本中并執(zhí)行,

D能將自身文件注入到文檔配置版的宏文件中,