CISP相關(guān)試題和答案集

...wd......wd......wd...1.人們對信息安全的認(rèn)識從信息技術(shù)安全開展到信息安全保障，主要是出于：AA.為了更好的完成組織機(jī)構(gòu)的使命B.針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C.風(fēng)險(xiǎn)控制技術(shù)得到革命性的開展D.除了保密性，信息的完整性和可用性也引起了人們的關(guān)注2.?GB/T20274信息系統(tǒng)安全保障評估框架?中的信息系統(tǒng)安全保障級中的級別是指：CA.對抗級B.防護(hù)級C.能力級D.監(jiān)管級3.下面對信息安全特征和范疇的說法錯(cuò)誤的選項(xiàng)是：CA.信息安全是一個(gè)系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素B.信息安全是一個(gè)動(dòng)態(tài)的問題，他隨著信息技術(shù)的開展普及，以及產(chǎn)業(yè)根基，用戶認(rèn)識、投入產(chǎn)出而開展C.信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個(gè)組織的信息安全責(zé)任是沒有意義的D.信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)4.美國國防部提出的?信息保障技術(shù)框架?〔IATF〕在描述信息系統(tǒng)的安全需求時(shí)，將信息技術(shù)系統(tǒng)分為：BA.內(nèi)網(wǎng)和外網(wǎng)兩個(gè)局部B.本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和根基設(shè)施、支撐性根基設(shè)施四個(gè)局部C.用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個(gè)局部D.信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件，安全防護(hù)措施六個(gè)局部5.關(guān)于信息安全策略的說法中，下面說法正確的選項(xiàng)是：CA.信息安全策略的制定是以信息系統(tǒng)的規(guī)模為根基B.信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)C.信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為根基D.在信息系統(tǒng)尚未建設(shè)完成之前，無法確定信息安全策略6.以下對于信息安全保障深度防御模型的說法錯(cuò)誤的選項(xiàng)是：CA.信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個(gè)重要組成局部，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B.信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建設(shè)和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C.信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建設(shè)完善的安全意識，培訓(xùn)體系無關(guān)緊要D.信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成端到端的防護(hù)能力〞7.全面構(gòu)建我國信息安全人才體系是國家政策、組織機(jī)構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)開展三方面的共同要求?！凹涌煨畔踩瞬排嘤?xùn)，增強(qiáng)全民信息安全意識〞的指導(dǎo)精神，是以下哪一個(gè)國家政策文件提出的AA.?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見?B.?信息安全等級保護(hù)管理方法?C.?中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例?D.?關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知?8.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時(shí)向哪一個(gè)部門報(bào)案AA.公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門B.國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C.互聯(lián)網(wǎng)安全協(xié)會(huì)D.信息安全產(chǎn)業(yè)商會(huì)9.以下哪個(gè)不是?商用密碼管理?xiàng)l例?規(guī)定的內(nèi)容：DA.國家密碼管理委員會(huì)及其辦公室〔簡稱密碼管理機(jī)構(gòu)〕主管全國的商用密碼管理工作B.商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾鞢.商用密碼產(chǎn)品由國家密碼管理機(jī)構(gòu)許可的單位銷售D.個(gè)人可以使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品10.對涉密系統(tǒng)進(jìn)展安全保密測評應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)BA.BMB20-2007?涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理標(biāo)準(zhǔn)?B.BMB22-2007?涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南?C.GB17859-1999?計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)那么?D.GB/T20271-2006?信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求?11.下面對于CC的“保護(hù)輪廓〞〔PP〕的說法最準(zhǔn)確的是：CA.對系統(tǒng)防護(hù)強(qiáng)度的描述B.對評估對象系統(tǒng)進(jìn)展標(biāo)準(zhǔn)化的描述C.對一類TOE的安全需求，進(jìn)展與技術(shù)實(shí)現(xiàn)無關(guān)的描述D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度12.關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的選項(xiàng)是：DA.SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)B.SSE-CMM的目的是建設(shè)和完善一套成熟的、可度量的安全工程過程C.SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征，這些特征是完善的安全工程的基本保證D.SSE-CMM是用于對信息系統(tǒng)的安全等級進(jìn)展評估的標(biāo)準(zhǔn)13.下面哪個(gè)不是ISO27000系列包含的標(biāo)準(zhǔn)DA.?信息安全管理體系要求?B.?信息安全風(fēng)險(xiǎn)管理?C.?信息安全度量?D.?信息安全評估標(biāo)準(zhǔn)?14.以下哪一個(gè)關(guān)于信息安全評估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特征AA.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮書15.下面哪項(xiàng)不是?信息安全等級保護(hù)管理方法?〔公通字【2007】43號〕規(guī)定的內(nèi)容DA.國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原那么B.國家指定專門部門對信息系統(tǒng)安全等級保護(hù)工作進(jìn)展專門的監(jiān)視和檢查C.跨省或全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護(hù)等級D.第二級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)展一次等級測評，第三級信息系統(tǒng)應(yīng)當(dāng)每少進(jìn)展一次等級測評16.觸犯新刑法285條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪可判處___A__。A.三年以下有期徒刑或拘役B.1000元罰款C.三年以上五年以下有期徒刑D.10000元罰款17.常見密碼系統(tǒng)包含的元素是：CA.明文，密文，信道，加密算法，解密算法B.明文，摘要，信道，加密算法，解密算法C.明文，密文，密鑰，加密算法，解密算法D.消息，密文，信道，加密算法，解密算法18.公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：DA.密鑰長度更長B.加密速度更快C.安全性更高D.密鑰管理更方便19.以下哪一個(gè)密碼學(xué)手段不需要共享密鑰BA.消息認(rèn)證B.消息摘要C.加密解密D.數(shù)字簽名20.以下哪種算法通常不被用戶保證保密性DA.AESB.RC4C.RSAD.MD521.數(shù)字簽名應(yīng)具有的性質(zhì)不包括：CA.能夠驗(yàn)證簽名者B.能夠認(rèn)證被簽名消息C.能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性D.簽名必須能夠由第三方驗(yàn)證22.認(rèn)證中心〔CA〕的核心職責(zé)是__A___。A.簽發(fā)和管理數(shù)字證書B.驗(yàn)證信息C.公布黑名單D.撤銷用戶的證書23.以下對于安全套接層〔SSL〕的說法正確的選項(xiàng)是：CA.主要是使用對稱密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性B.可以在網(wǎng)絡(luò)層建設(shè)VPNC.主要使用于點(diǎn)對點(diǎn)之間的信息傳輸，常用Webserver方式D.包含三個(gè)主要協(xié)議：AH,ESP,IKE24.下面對訪問控制技術(shù)描述最準(zhǔn)確的是：CA.保證系統(tǒng)資源的可靠性B.實(shí)現(xiàn)系統(tǒng)資源的可追查性C.防止對系統(tǒng)資源的非授權(quán)訪問D.保證系統(tǒng)資源的可信性25.以下關(guān)于訪問控制表和訪問能力表的說法正確的選項(xiàng)是：DA.訪問能力表表示每個(gè)客體可以被訪問的主體及其權(quán)限B.訪問控制表說明了每個(gè)主體可以訪問的客體及權(quán)限C.訪問控制表一般隨主體一起保存D.訪問能力表更容易實(shí)現(xiàn)訪問權(quán)限的傳遞，但回收訪問權(quán)限較困難26.下面哪一項(xiàng)訪問控制模型使用安全標(biāo)簽〔securitylabels〕CA.自主訪問控制B.非自主訪問控制C.強(qiáng)制訪問控制D.基于角色的訪問控制27.某個(gè)客戶的網(wǎng)絡(luò)限制可以正常訪問internet互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP〔互聯(lián)網(wǎng)絡(luò)服務(wù)提供商〕里只獲得了16個(gè)公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC訪問internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù)：BA.花更多的人民幣向ISP申請更多的IP地址B.在網(wǎng)絡(luò)的出口路由器上做源NATC.在網(wǎng)絡(luò)的出口路由器上做目的NATD.在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器28.WAPI采用的是什么加密算法AA.我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B.國際上通行的商用加密標(biāo)準(zhǔn)C.國家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D.國際通行的哈希算法29.以下哪種無線加密標(biāo)準(zhǔn)的安全性最弱AA.wepB.wpaC.wpa2D.wapi30.以下哪個(gè)不是防火墻具備的功能DA.防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域〔公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)〕之間的一系列部件的組合B.它是不同網(wǎng)絡(luò)〔安全域〕之間的唯一出入口C.能根據(jù)企業(yè)的安全政策控制〔允許、拒絕、監(jiān)測〕出入網(wǎng)絡(luò)的信息流D.防止來源于內(nèi)部的威脅和攻擊31.橋接或透明模式是目前對比流行的防火墻部署方式，這種方式的優(yōu)點(diǎn)不包括：DA.不需要對原有的網(wǎng)絡(luò)配置進(jìn)展修改B.性能對比高C.防火墻本身不容易受到攻擊D.易于在防火墻上實(shí)現(xiàn)NAT32.有一類IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)展對比并識別重要的偏差來發(fā)現(xiàn)入侵事件，這種機(jī)制稱作：AA.異常檢測B.特征檢測C.差距分析D.比照分析33.在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容AA.記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B.決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)C.定義了系統(tǒng)缺省運(yùn)行級別，系統(tǒng)進(jìn)入新運(yùn)行級別需要做什么D.包含了系統(tǒng)的一些啟動(dòng)腳本34.以下哪個(gè)對windows系統(tǒng)日志的描述是錯(cuò)誤的DA.windows系統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志B.系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件或者硬件和控制器的故障C.應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL〔動(dòng)態(tài)鏈接庫〕失敗的信息D.安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等35.在關(guān)系型數(shù)據(jù)庫系統(tǒng)中通過“視圖〔view〕〞技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原那么AA.縱深防御原那么B.最小權(quán)限原那么C.職責(zé)別離原那么D.安全性與便利性平衡原那么36.數(shù)據(jù)庫事務(wù)日志的用途是什么BA.事務(wù)處理B.數(shù)據(jù)恢復(fù)C.完整性約束D.保密性控制37.下面對于cookie的說法錯(cuò)誤的選項(xiàng)是：DA.cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B.cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C.通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做cookie欺騙D.防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法38.攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞DA.緩沖區(qū)溢出B.SQL注入C.設(shè)計(jì)錯(cuò)誤D.跨站腳本39.通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項(xiàng)，是以哪種形式存在CA.明文形式存在B.服務(wù)器加密后的密文形式存在C.hash運(yùn)算后的消息摘要值存在D.用戶自己加密后的密文形式存在40.以下屬于DDOS攻擊的是：BA.Men-in-Middle攻擊B.SYN洪水攻擊C.TCP連接攻擊D.SQL注入攻擊41.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊DA.重放攻擊B.Smurf攻擊C.字典攻擊D.中間人攻擊42.滲透性測試的第一步是：A.信息收集B.漏洞分析與目標(biāo)選定C.拒絕服務(wù)攻擊D.嘗試漏洞利用43.通過網(wǎng)頁上的釣魚攻擊來獲取密碼的方式，實(shí)質(zhì)上是一種：A.社會(huì)工程學(xué)攻擊B.密碼分析學(xué)C.旁路攻擊D.暴力破解攻擊44.以下哪個(gè)不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法A.加強(qiáng)軟件的安全需求分析，準(zhǔn)確定義安全需求B.設(shè)計(jì)符合安全準(zhǔn)那么的功能、安全功能與安全策略C.標(biāo)準(zhǔn)開發(fā)的代碼，符合安全編碼標(biāo)準(zhǔn)D.編制詳細(xì)軟件安全使用手冊，幫助設(shè)置良好的安全使用習(xí)慣45.根據(jù)SSE-CMM信息安全工程過程可以劃分為三個(gè)階段，其中____確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶。A.保證過程B.風(fēng)險(xiǎn)過程C.工程和保證過程D.安全工程過程46.以下哪項(xiàng)不是SSE-CMM模型中工程過程的過程區(qū)A.明確安全需求B.評估影響C.提供安全輸入D.協(xié)調(diào)安全47.SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域A.評估威脅、評估脆弱性、評估影響B(tài).評估威脅、評估脆弱性、評估安全風(fēng)險(xiǎn)C.評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險(xiǎn)D.評估威脅、評估脆弱性、評估影響、驗(yàn)證和證實(shí)安全48.在IT工程管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對數(shù)據(jù)的正確處理，以下哪一項(xiàng)不是對數(shù)據(jù)輸入進(jìn)展校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo)：A.防止出現(xiàn)數(shù)據(jù)范圍以外的值B.防止出現(xiàn)錯(cuò)誤的數(shù)據(jù)處理順序C.防止緩沖區(qū)溢出攻擊D.防止代碼注入攻擊49.信息安全工程監(jiān)理工程師不需要做的工作是：A.編寫驗(yàn)收測試方案B.審核驗(yàn)收測試方案C.監(jiān)視驗(yàn)收測試過程D.審核驗(yàn)收測試報(bào)告50.下面哪一項(xiàng)為哪一項(xiàng)監(jiān)理單位在招標(biāo)階段質(zhì)量控制的內(nèi)容A.協(xié)助建設(shè)單位提出工程需求，確定工程的整體質(zhì)量目標(biāo)B.根據(jù)監(jiān)理單位的信息安全保障知識和工程經(jīng)歷完成招標(biāo)文件中的技術(shù)需求局部C.進(jìn)展風(fēng)險(xiǎn)評估和需求分析完成招標(biāo)文件中的技術(shù)需求局部D.對標(biāo)書應(yīng)答的技術(shù)局部進(jìn)展審核，修改其中不滿足安全需求的內(nèi)容51.信息安全保障強(qiáng)調(diào)安全是動(dòng)態(tài)的安全，意味著：A.信息安全是一個(gè)不確定性的概念B.信息安全是一個(gè)主觀的概念C.信息安全必須覆蓋信息系統(tǒng)整個(gè)生命周期，隨著安全風(fēng)險(xiǎn)的變化有針對性的進(jìn)展調(diào)整D.信息安全只能是保證信息系統(tǒng)在有限物理范圍內(nèi)的安全，無法保證整個(gè)信息系統(tǒng)的安全52.關(guān)于信息保障技術(shù)框架〔IATF〕，以下說法錯(cuò)誤的選項(xiàng)是：A.IATF強(qiáng)調(diào)深度防御，關(guān)注本地計(jì)算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和根基設(shè)施，支撐性根基設(shè)施等多個(gè)領(lǐng)域的安全保障；B．IATF強(qiáng)調(diào)深度防御，即對信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C.IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來保障信息系統(tǒng)的安全D.IATF強(qiáng)調(diào)的是以安全監(jiān)測、漏洞監(jiān)測和自適用填充“安全間隙〞為循環(huán)來提高網(wǎng)絡(luò)安全53.下面哪一項(xiàng)表示了信息不被非法篡改的屬性A.可存在性B.完整性C.準(zhǔn)確性D.參考完整性54.以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準(zhǔn)確的是：A．信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統(tǒng)安全B.通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。C.是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動(dòng)D.是主觀和客觀綜合評估的結(jié)果55.公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：A.密鑰長度更長B.加密速度更快C.安全性更高D.密鑰管理更方便56.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換A.DSSB.Diffse-HellmanC.RSADAES57.目前對MD5，SHA1算法的攻擊是指：A.能夠構(gòu)造出兩個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了一樣的消息摘要B.對于一個(gè)的消息摘要，能夠構(gòu)造出一個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了一樣的消息摘要。C．對于一個(gè)的消息摘要，能夠恢復(fù)其原始消息D.對于一個(gè)的消息，能夠構(gòu)造一個(gè)不同的消息摘要，也能通過驗(yàn)證。58、DSA算法不提供以下哪種服務(wù)A.數(shù)據(jù)完整性B.加密C.數(shù)字簽名D.認(rèn)證59.關(guān)于PKI/CA證書，下面哪一種說法是錯(cuò)誤的：A.證書上具有證書授權(quán)中心的數(shù)字簽名B.證書上列有證書擁有者的基本信息C.證書上列有證書擁有者的公開密鑰D.證書上列有證書擁有者的秘密密鑰60認(rèn)證中心〔CA〕的核心職責(zé)是_________?A.簽發(fā)和管理數(shù)字證書B.驗(yàn)證信息C.公布黑名單D.撤銷用戶的證書61以下哪一項(xiàng)為哪一項(xiàng)虛擬專用網(wǎng)絡(luò)〔VPN〕的安全功能?A.驗(yàn)證，訪問控制和密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼62以下對Kerberos協(xié)議過程說法正確的選項(xiàng)是:A.協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別：二是獲取請求服務(wù)B.協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)C.協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D.協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)63在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性。以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)A.網(wǎng)絡(luò)層B.表示層C.會(huì)話層D.物理層64以下哪種無線加密標(biāo)準(zhǔn)的安全性最弱A.WepBWpaCWpa2DWapi65.Linux系統(tǒng)的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號的描述不正確的選項(xiàng)是：A.backup賬號沒有設(shè)置登錄密碼B.backup賬號的默認(rèn)主目錄是/var/backupsC.Backup賬號登錄后使用的shell是bin/shD.Backup賬號是無法進(jìn)展登錄66以下關(guān)于linux超級權(quán)限的說明，不正確的選項(xiàng)是：A.一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應(yīng)用，不需要root用戶來操作完成B.普通用戶可以通過su和sudo來獲得系統(tǒng)的超級權(quán)限C.對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進(jìn)展D.Root是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都具有訪問權(quán)限67在WINDOWS操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應(yīng)當(dāng)若何做A.在“本地安全設(shè)置〞中對“密碼策略〞進(jìn)展設(shè)置B.在“本地安全設(shè)置〞中對“賬戶鎖定策略〞進(jìn)展設(shè)置C.在“本地安全設(shè)置〞中對“審核策略〞進(jìn)展設(shè)置D.在“本地安全設(shè)置〞中對“用戶權(quán)利指派〞進(jìn)展設(shè)置68.以下對WINDOWS系統(tǒng)日志的描述錯(cuò)誤的選項(xiàng)是：A.windows系統(tǒng)默認(rèn)的由三個(gè)日志，系統(tǒng)日志，應(yīng)用程序日志，安全日志B．系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件或者硬件和控制器的故障。C．應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL〔動(dòng)態(tài)鏈接庫〕失敗的信息D.安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等69以下關(guān)于windowsSAM〔安全賬戶管理器〕的說法錯(cuò)誤的選項(xiàng)是：A.安全賬戶管理器〔SAM〕具體表現(xiàn)就是%SystemRoot%\system32\config\samB.安全賬戶管理器〔SAM〕存儲(chǔ)的賬號信息是存儲(chǔ)在注冊表中C.安全賬戶管理器〔SAM〕存儲(chǔ)的賬號信息對administrator和system是可讀和可寫的D.安全賬戶管理器〔SAM〕是windows的用戶數(shù)據(jù)庫，系統(tǒng)進(jìn)程通過SecurityAccountsManager服務(wù)進(jìn)展訪問和操作70在關(guān)系型數(shù)據(jù)庫系統(tǒng)中通過“視圖〔view〕〞技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原那么A.縱深防御原那么B.最小權(quán)限原那么C.職責(zé)別離原那么D.安全性與便利性平衡原那么71、以下哪項(xiàng)不是安全管理方面的標(biāo)準(zhǔn)AISO27001BISO13335CGB/T22080DGB/T1833672、目前，我國信息安全管理格局是一個(gè)多方“齊抓共管〞的體制，多頭管理現(xiàn)狀決定法出多門，?計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定?是由以下哪個(gè)部門所制定的規(guī)章制度?A.公安部B.國家密碼局C.信息產(chǎn)業(yè)部D.國家密碼管理委員會(huì)辦公室73、以下哪項(xiàng)不是?信息安全等級保護(hù)管理方法?〔公通字[2007]43號〕規(guī)定的內(nèi)容：A．國家信息安全等級保護(hù)堅(jiān)持自主定級，自主保護(hù)的原那么。B．國家指定專門部門對信息系統(tǒng)安全等級保護(hù)工作進(jìn)展專門的監(jiān)視和檢查。C．跨省或全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護(hù)等級D．第二級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)展一次等級測評，第三級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)展一次等級測評。74、?刑法?第六章第285、286、287條對計(jì)算機(jī)犯罪的內(nèi)容和量刑進(jìn)展了明確的規(guī)定，以下哪一項(xiàng)不是其中規(guī)定的罪行A.非法入侵計(jì)算機(jī)信息系統(tǒng)罪B.破壞計(jì)算機(jī)信息系統(tǒng)罪C.利用計(jì)算機(jī)實(shí)施犯罪D.國家重要信息系統(tǒng)管理者玩忽職守罪75、一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時(shí)向哪一個(gè)部門報(bào)案A.公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門B.國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C.互聯(lián)網(wǎng)安全協(xié)會(huì)D.信息安全產(chǎn)業(yè)商會(huì)76、以下哪個(gè)不是?商用密碼管理?xiàng)l例?規(guī)定的內(nèi)容A.國家密碼管理委員會(huì)及其辦公室〔簡稱密碼管理機(jī)構(gòu)〕主管全國的商用密碼管理工作B.商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾鞢.商用密碼產(chǎn)品由國家密碼管理機(jī)構(gòu)許可的單位銷售D.個(gè)人可以使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品77、下面關(guān)于?中華人民共和國保守國家秘密法?的說法錯(cuò)誤的選項(xiàng)是：A.秘密都有時(shí)間性，永久保密是沒有的B.?保密法?規(guī)定一切公民都有保守國家秘密的義務(wù)C.國家秘密的級別分為“絕密〞“機(jī)密〞“秘密〞三級D.在給文件確定密級時(shí)，從保密的目的出發(fā)，應(yīng)將密級盡量定高78.數(shù)據(jù)庫事務(wù)日志的用途是:A.事務(wù)處理B.數(shù)據(jù)恢復(fù)C.完整性約束D．保密性控制79.下面對于cookie的說法錯(cuò)誤的選項(xiàng)是：A.cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息。B.cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C.通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做cookie欺騙D.防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法。80.攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳步將被解釋執(zhí)行，這是哪種類型的漏洞A.緩沖區(qū)溢出B.sql注入C.設(shè)計(jì)錯(cuò)誤D.跨站腳本81.通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項(xiàng)，是以哪種形式存在A.明文形式存在B.服務(wù)器加密后的密文形式存在C.hash運(yùn)算后的消息摘要值存在D.用戶自己加密后的密文形式存在82.以下對跨站腳本攻擊〔XSS〕的描述正確的選項(xiàng)是：A.XSS攻擊指的是惡意攻擊者往WED頁面里插入惡意代碼，當(dāng)用戶瀏覽瀏覽該頁之時(shí)，嵌入其中WEB里面的代碼會(huì)執(zhí)行，從而到達(dá)惡意攻擊用戶的特殊目的B.XSS攻擊時(shí)DDOS攻擊的一種變種C.XSS攻擊就是CC攻擊D.XSS攻擊就是利用被控制的機(jī)器不斷地向被攻擊網(wǎng)站發(fā)送訪問請求，迫使IIS連接數(shù)超出限制，當(dāng)CPU資源或者帶寬資源耗盡，那么網(wǎng)站也就被攻擊垮了，從而到達(dá)攻擊目的83以下哪種技術(shù)不是惡意代碼的生產(chǎn)技術(shù)A.反跟蹤技術(shù)、B.加密技術(shù)C.模糊變換技術(shù)D.自動(dòng)解壓縮技術(shù)84當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)做命令或查詢語句的一局部執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類型的漏洞A.緩沖區(qū)溢出B.設(shè)計(jì)錯(cuò)誤C.信息泄露D.代碼注入85Smurf利用以下哪種協(xié)議進(jìn)展攻擊A.ICMPB.IGMPC.TCPD.UDP86.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊A.重放攻擊B.Smurf攻擊C.字典攻擊D.中間人攻擊87滲透性測試的第一步是:A.信息收集B.漏洞分析與目標(biāo)選定C.拒絕服務(wù)攻擊D.嘗試漏洞利用88軟件安全開發(fā)中軟件安全需求分析階段的主要目的是：A.確定軟件的攻擊面，根據(jù)攻擊面制定軟件安全防護(hù)策略B.確定軟件在方案運(yùn)行環(huán)境中運(yùn)行的最低安全要求C.確定安全質(zhì)量標(biāo)準(zhǔn)，實(shí)施安全和隱私風(fēng)險(xiǎn)評估D.確定開發(fā)團(tuán)隊(duì)關(guān)鍵里程碑和交付成果89.管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對已識別的風(fēng)險(xiǎn)不采取措施A．當(dāng)必須的安全對策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的潛在費(fèi)用時(shí)B．當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C．當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門控制范圍之內(nèi)時(shí)D．不可承受90以下關(guān)于風(fēng)險(xiǎn)管理的描述不正確的選項(xiàng)是：A風(fēng)險(xiǎn)的4種控制方法有：降低風(fēng)險(xiǎn)/轉(zhuǎn)嫁風(fēng)險(xiǎn)/躲避風(fēng)險(xiǎn)/承受風(fēng)險(xiǎn)B信息安全風(fēng)險(xiǎn)管理是否成功在于風(fēng)險(xiǎn)是否被切實(shí)消除了C組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要處理的信息安全風(fēng)險(xiǎn)D信息安全風(fēng)險(xiǎn)管理是基于可承受的成本，對影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)展識別、控制、降低或轉(zhuǎn)移的過程91如果你作為甲方負(fù)責(zé)監(jiān)管一個(gè)信息安全工程工程的實(shí)施，當(dāng)乙方提出一項(xiàng)工程變更時(shí)你最應(yīng)當(dāng)關(guān)注的是：A.變更的流程是否符合預(yù)先的規(guī)定B.變更是否工程進(jìn)度造成拖延C.變更的原因和造成的影響D.變更后是否進(jìn)展了準(zhǔn)確的記錄92應(yīng)當(dāng)如可理解信息安全管理體系中的“信息安全策略〞A為了到達(dá)若何保護(hù)標(biāo)準(zhǔn)而提出的一系列建議B為了定義訪問控制需求而產(chǎn)生出來的一些通用性指引C組織高層對信息安全工作意圖的正式表達(dá)D一種分階段的安全處理結(jié)果93以下關(guān)于“最小特權(quán)〞安全管理原那么理解正確的選項(xiàng)是：A.組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長期負(fù)責(zé)B.對重要的工作進(jìn)展分解，分配給不同人員完成C.一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn).防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來越多的權(quán)限94作為一個(gè)組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)不是必須了解的A.誰負(fù)責(zé)信息安全管理制度的制度和發(fā)布B.誰負(fù)責(zé)監(jiān)視信息安全制度的執(zhí)行C.信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)展恢復(fù)的整體工作流程D.如果違反了安全制度可能會(huì)受到的懲戒措施95職責(zé)別離是信息安全管理的一個(gè)基本概念，其關(guān)鍵是權(quán)力不能過分集中在某一個(gè)人手中。職責(zé)別離的目的是確保沒有單獨(dú)的人員〔單獨(dú)進(jìn)展操作〕可以對應(yīng)用程序系統(tǒng)特征或控制功能進(jìn)展破壞。當(dāng)以下哪一類人員訪問安全系統(tǒng)軟件的時(shí)候，會(huì)造成對“職責(zé)別離〞原那么的違背A．?dāng)?shù)據(jù)安全管理員B．?dāng)?shù)據(jù)安全分析員C．系統(tǒng)審核員D．系統(tǒng)程序員96在國家標(biāo)準(zhǔn)?信息系統(tǒng)恢復(fù)標(biāo)準(zhǔn)?中，根據(jù)----要素，將災(zāi)難恢復(fù)等級劃分為_____級A．7，6B．6，7C．7，7D．6，697在業(yè)務(wù)持續(xù)性方案中，RTO指的是：A．災(zāi)難備份和恢復(fù)B．恢復(fù)技術(shù)工程C．業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)D．業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)98應(yīng)急方法學(xué)定義了安全事件處理的流程，這個(gè)流程的順序是：A.準(zhǔn)備-抑制-檢測-鏟除-恢復(fù)-跟進(jìn)B.準(zhǔn)備-檢測-抑制-恢復(fù)-鏟除-跟進(jìn)C.準(zhǔn)備-檢測-抑制-鏟除-恢復(fù)-跟進(jìn)D.準(zhǔn)備-抑制-鏟除-檢測-恢復(fù)-跟進(jìn)99.下面有關(guān)能力成熟度模型的說法錯(cuò)誤的選項(xiàng)是：A.能力成熟度模型可以分為過程能力方案〔Continuous〕和組織能力方案〔Staged〕兩類B.使用過程能力方案時(shí)，可以靈活選擇評估和改良哪個(gè)或哪些過程域C.使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級別都對應(yīng)于一組已經(jīng)定義好的過程域DSSE-CMM是一種屬于組織能力方案〔Staged〕的針對系統(tǒng)安全工程的能力成熟度模型100.下面哪一項(xiàng)為系統(tǒng)安全工程成熟度模型提供了評估方法：A.ISSEB.SSAMC.SSRD.CEM101、下面關(guān)于信息安全保障的說法錯(cuò)誤的選項(xiàng)是：A.信息安全保障的概念是與信息安全的概念同時(shí)產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技術(shù)并列構(gòu)成實(shí)現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)為最終目的，從風(fēng)險(xiǎn)和策略出發(fā)，實(shí)施各種保障要素，在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性。102、以下哪一項(xiàng)為哪一項(xiàng)數(shù)據(jù)完整性得到保護(hù)的例子A.某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)展了限制，保證已登錄的用戶可以完成操作B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)展了沖正操作C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)展了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看103、注重安全管理體系建設(shè)，人員意識的培訓(xùn)和教育，是信息安全開展哪一個(gè)階段的特點(diǎn)A.通信安全B.計(jì)算機(jī)安全C.信息安全D.信息安全保障104、以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B.保證信息安全資金注入C.加快信息安全人才培養(yǎng)D.重視信息安全應(yīng)急處理工作105、以下關(guān)于置換密碼的說法正確的選項(xiàng)是：A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個(gè)bit異或D.明文根據(jù)密鑰作了移位106、以下關(guān)于代替密碼的說法正確的選項(xiàng)是：A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個(gè)bit異或D.明文根據(jù)密鑰作了移位107、常見密碼系統(tǒng)包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密鑰、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法108、在密碼學(xué)的Kerchhoff假設(shè)中，密碼系統(tǒng)的安全性僅依賴于____________________A.明文B.密文C.密鑰D.信道109、PKI在驗(yàn)證一個(gè)數(shù)字證書時(shí)需要查看_________來確認(rèn)該證書是否已經(jīng)作廢A.ARL

B.CSS

C.KMS

D.CRL110、一項(xiàng)功能可以不由認(rèn)證中心CA完成A.撤銷和中止用戶的證書B.產(chǎn)生并分布CA的公鑰C.在請求實(shí)體和它的公鑰間建設(shè)鏈接D.發(fā)放并分發(fā)用戶的證書111、一項(xiàng)為哪一項(xiàng)虛擬專用網(wǎng)絡(luò)〔VPN〕的安全功能A.驗(yàn)證，訪問控制盒密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼112、為了防止授權(quán)用戶不會(huì)對數(shù)據(jù)進(jìn)展未經(jīng)授權(quán)的修改，需要實(shí)施對數(shù)據(jù)的完整性保護(hù)，列哪一項(xiàng)最好地描述了星或〔*-〕完整性原那么A.Bell-LaPadula模型中的不允許向下寫B(tài).Bell-LaPadula模型中的不允許向上度C.Biba模型中的不允許向上寫D.Biba模型中的不允許向下讀113、下面哪一個(gè)情景屬于身份鑒別〔Authentication〕過程A.用戶依照系統(tǒng)提示輸入用戶名和口令B.用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C.用戶使用加密軟件對自己編寫的office文檔進(jìn)展加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D.某個(gè)人嘗試登錄到你的計(jì)算機(jī)中，但是口令輸入的不對，系統(tǒng)提示口令錯(cuò)誤，并將這次失敗的登錄過程記錄在系統(tǒng)日志中114、以下對Kerberos協(xié)議特點(diǎn)描述不正確的選項(xiàng)是：A.協(xié)議采用單點(diǎn)登錄技術(shù)，無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證B.協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證C.只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼D.AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全115、TACACS+協(xié)議提供了以下哪一種訪問控制機(jī)制A.強(qiáng)制訪問控制B.自主訪問控制C.分布式訪問控制D.集中式訪問控制116、以下對蜜網(wǎng)功能描述不正確的選項(xiàng)是：A.可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對真正目標(biāo)的攻擊B.吸引入侵者來嗅探、攻擊，同時(shí)不被覺察地將入侵者的活動(dòng)記錄下來C.可以進(jìn)展攻擊檢測和實(shí)時(shí)報(bào)警D.可以對攻擊活動(dòng)進(jìn)展監(jiān)視、檢測和分析117、以下對審計(jì)系統(tǒng)基本組成描述正確的選項(xiàng)是：A.審計(jì)系統(tǒng)一般包括三個(gè)局部：日志記錄、日志分析和日志處理B.審計(jì)系統(tǒng)一般包含兩個(gè)局部：日志記錄和日志處理C.審計(jì)系統(tǒng)一般包含兩個(gè)局部：日志記錄和日志分析D.審計(jì)系統(tǒng)一般包含三個(gè)局部：日志記錄、日志分析和日志報(bào)告118、在ISO的OSI安全體系構(gòu)造中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)A.加密B.數(shù)字簽名C.訪問控制D.路由控制119、在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)A.網(wǎng)絡(luò)層B.表示層C會(huì)話層D.物理層120、WAPI采用的是什么加密算法A.我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B.國際上通行的商用加密標(biāo)準(zhǔn)C.國家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D.國際通行的哈希算法121、通常在VLAN時(shí)，以下哪一項(xiàng)不是VLAN的規(guī)劃方法A.基于交換機(jī)端口B.基于網(wǎng)絡(luò)層協(xié)議C.基于MAC地址D.基于數(shù)字證書122、某個(gè)客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP〔互聯(lián)網(wǎng)絡(luò)服務(wù)提供商〕里只獲得了16個(gè)公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC訪問Internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù)：A、花更多的人民幣向ISP申請更多的IP地址B、在網(wǎng)絡(luò)的出口路由器上做源NATC、在網(wǎng)絡(luò)的出口路由器上做目的NATD、在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器123、以下哪一個(gè)數(shù)據(jù)傳輸方式難以通過網(wǎng)絡(luò)竊聽獲取信息A.FTP傳輸文件B.TELNET進(jìn)展遠(yuǎn)程管理C.URL以S開頭的網(wǎng)頁內(nèi)容D.經(jīng)過TACACS+認(rèn)證和授權(quán)后建設(shè)的連接124、橋接或透明模式是目前對比流行的防火墻部署方式，這種方式的優(yōu)點(diǎn)不包括：A.不需要對原有的網(wǎng)絡(luò)配置進(jìn)展修改B.性能對比高C.防火墻本身不容易受到攻擊D.易于在防火墻上實(shí)現(xiàn)NAT125、下面哪一項(xiàng)為哪一項(xiàng)對IDS的正確描述A、基于特征〔Signature-based〕的系統(tǒng)可以檢測新的攻擊類型B、基于特征〔Signature-based〕的系統(tǒng)化基于行為〔behavior-based〕的系統(tǒng)產(chǎn)生更多的誤報(bào)C、基于行為〔behavior-based〕的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D、基于行為〔behavior-based〕的系統(tǒng)比基于特征〔Signature-based〕的系統(tǒng)有更高的誤報(bào)126、以下哪些選項(xiàng)不屬于NIDS的常見技術(shù)A.協(xié)議分析B.零拷貝C.SYN

Cookie

D.IP碎片重組127、在UNIX系統(tǒng)中輸入命令“IS-ALTEST〞顯示如下：“-rwxr-xr-x3rootroot1024Sep1311：58test〞對它的含義解釋錯(cuò)誤的選項(xiàng)是：A.這是一個(gè)文件，而不是目錄B.文件的擁有者可以對這個(gè)文件進(jìn)展讀、寫和執(zhí)行的操作C.文件所屬組的成員有可以讀它，也可以執(zhí)行它D.其它所有用戶只可以執(zhí)行它128、在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容A、記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B、決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)那些服務(wù)C、定義了系統(tǒng)缺省運(yùn)行級別，系統(tǒng)進(jìn)入新運(yùn)行級別需要做什么D、包含了系統(tǒng)的一些啟動(dòng)腳本129、以下對windows賬號的描述，正確的選項(xiàng)是：A、windows系統(tǒng)是采用SID〔安全標(biāo)識符〕來標(biāo)識用戶對文件或文件夾的權(quán)限B、windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C、windows系統(tǒng)默認(rèn)會(huì)生成administration和guest兩個(gè)賬號，兩個(gè)賬號都不允許改名和刪除D、windows系統(tǒng)默認(rèn)生成administration和guest兩個(gè)賬號，兩個(gè)賬號都可以改名和刪除130、以下對于Windows系統(tǒng)的服務(wù)描述，正確的選項(xiàng)是：A、windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、windows服務(wù)的運(yùn)行不需要用戶的交互登錄C、windows服務(wù)都是隨系統(tǒng)的啟動(dòng)而啟動(dòng)，無需用戶進(jìn)展干預(yù)D、windows服務(wù)都需要用戶進(jìn)展登錄后，以登錄用戶的權(quán)限進(jìn)展啟動(dòng)131、以下哪一項(xiàng)不是IIS服務(wù)器支持的訪問控制過濾類型A.網(wǎng)絡(luò)地址訪問控制B.WEB服務(wù)器許可C.NTFS許可D.異常行為過濾132、為了實(shí)現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)那么來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)那么主要由3局部組成，以下哪一個(gè)不是完整性規(guī)那么的內(nèi)容A.完整性約束條件B.完整性檢查機(jī)制C.完整性修復(fù)機(jī)制D.違約處理機(jī)制133、數(shù)據(jù)庫事務(wù)日志的用途是什么A.事務(wù)處理B.數(shù)據(jù)恢復(fù)C.完整性約束D.保密性控制134、以下哪一項(xiàng)與數(shù)據(jù)庫的安全有直接關(guān)系A(chǔ).訪問控制的粒度B.數(shù)據(jù)庫的大小C.關(guān)系表中屬性的數(shù)量D.關(guān)系表中元組的數(shù)量135、下面對于cookie的說法錯(cuò)誤的選項(xiàng)是：A、cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B、cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C、通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法136、以下哪一項(xiàng)為哪一項(xiàng)和電子郵件系統(tǒng)無關(guān)的A、PEMB、PGPC、X500D、X400137、ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、d.confB、srm.confC、access.confD、inetd.conf138、Java安全模型〔JSM〕是在設(shè)計(jì)虛擬機(jī)〔JVN〕時(shí)，引入沙箱〔sandbox〕機(jī)制，其主要目的是：A、為服務(wù)器提供針對惡意客戶端代碼的保護(hù)B、為客戶端程序提供針對用戶輸入惡意代碼的保護(hù)C、為用戶提供針對惡意網(wǎng)絡(luò)移動(dòng)代碼的保護(hù)D、提供事件的可追查性139、惡意代碼采用加密技術(shù)的目的是：A.加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制B.加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)C.加密技術(shù)可以保證惡意代碼不被破壞D.以上都不正確140、惡意代碼反跟蹤技術(shù)描述正確的選項(xiàng)是：A反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性B.反跟蹤技術(shù)可以防止所有殺毒軟件的查殺C.反跟蹤技術(shù)可以防止惡意代碼被消除D.以上都不是141、以下關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的選項(xiàng)是：A.能將自身代碼注入到引導(dǎo)區(qū)B.能將自身代碼注入到扇區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼142、當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢語句的一局部執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類型的漏洞A.緩沖區(qū)溢出B.設(shè)計(jì)錯(cuò)誤C.信息泄露D.代碼注入143、完整性檢查和控制的防范對象是________,防止它們進(jìn)入數(shù)據(jù)庫。A.不合語義的數(shù)據(jù)、不正確的數(shù)據(jù)B.非法用戶C.非法數(shù)據(jù)D.非法授權(quán)144、存儲(chǔ)過程是SQL語句的一個(gè)集合，在一個(gè)名稱下儲(chǔ)存，按獨(dú)立單元方式執(zhí)行，以下哪一項(xiàng)不是使用存儲(chǔ)過程的優(yōu)點(diǎn)：A.提高性能，應(yīng)用程序不用重復(fù)編譯此過程B.降低用戶查詢數(shù)量，減輕網(wǎng)絡(luò)擁塞C.語句執(zhí)行過程中如果中斷，可以進(jìn)展數(shù)據(jù)回滾，保證數(shù)據(jù)的完整性和一致性D.可以控制用戶使用存儲(chǔ)過程的權(quán)限，以增強(qiáng)數(shù)據(jù)庫的安全性145、以下哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞A、通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終到達(dá)欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷146、以下工作哪個(gè)不是計(jì)算機(jī)取證準(zhǔn)備階段的工作A.獲得授權(quán)B.準(zhǔn)備工具C.介質(zhì)準(zhǔn)備D.保護(hù)數(shù)據(jù)147、以下哪個(gè)問題不是導(dǎo)致DNS欺騙的原因之一A.DNS是一個(gè)分布式的系統(tǒng)B.為提高效率，DNS查詢信息在系統(tǒng)中會(huì)緩存C.DNS協(xié)議傳輸沒有經(jīng)過加密的數(shù)據(jù)D.DNS協(xié)議是缺乏嚴(yán)格的認(rèn)證148、以下哪個(gè)是ARP欺騙攻擊可能導(dǎo)致的后果A.ARP欺騙可直接獲得目標(biāo)主機(jī)的控制權(quán)B.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)的系統(tǒng)崩潰，藍(lán)屏重啟C.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)D.ARP欺騙可導(dǎo)致目標(biāo)主機(jī)149、以下哪個(gè)攻擊步驟是IP欺騙〔IPSpoof〕系列攻擊中最關(guān)鍵和難度最高的A.對被冒充的主機(jī)進(jìn)展拒絕服務(wù)攻擊，使其無法對目標(biāo)主機(jī)進(jìn)展響應(yīng)B.與目標(biāo)主機(jī)進(jìn)展會(huì)話，猜想目標(biāo)主機(jī)的序號規(guī)那么C.冒充受信主機(jī)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，欺騙目標(biāo)主機(jī)D.向目標(biāo)主機(jī)發(fā)送指令，進(jìn)展會(huì)話操作150、以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A.LandB.UDP

Flood

C.Smurf

DTeardrop

151、如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊A.重放攻擊B.Smurf攻擊C.字典攻擊D.中間人攻擊152、域名注冊信息可在哪里找到A.路由器B.DNS記錄C.Whois數(shù)據(jù)庫D.MIBs庫153、網(wǎng)絡(luò)管理員定義“noipdirectedbroadcast〞以減輕下面哪種攻擊A.DIECAST

B.SMURFC.BATCAST

D.COKE

154、下面哪一項(xiàng)不是黑客攻擊在信息收集階段使用的工具或命令：A.Nmap

B.Nslookup

C.LCD.Xscan

155、下面關(guān)于軟件測試的說法錯(cuò)誤的選項(xiàng)是：A、所謂“黑盒〞測試就是測試過程不測試報(bào)告中的進(jìn)展描述，切對外嚴(yán)格保密B、出于安全考慮，在測試過程中盡量不要使用真實(shí)的生產(chǎn)數(shù)據(jù)C、測試方案和測試結(jié)果應(yīng)當(dāng)成為軟件開發(fā)工程文檔的主要局部被妥善的保存D、軟件測試不僅應(yīng)關(guān)注需要的功能是否可以被實(shí)現(xiàn)，還要注意是否有不需要的功能被實(shí)現(xiàn)了156、以下哪一項(xiàng)不屬于Fuzz測試的特性A、主要針對軟件漏洞或可靠性錯(cuò)誤進(jìn)展測試B、采用大量測試用例進(jìn)展鼓勵(lì)、響應(yīng)測試C、一種試探性測試方法，沒有任何理論依據(jù)D、利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常157、Shellcode是什么A.是用C語言編寫的一段完成特殊功能代碼B.是用匯編語言編寫的一段完成特殊功能代碼C.是用機(jī)器碼組成的一段完成特殊功能代碼D.命令行下的代碼編寫158、通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進(jìn)展響應(yīng)，直至被攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時(shí)，這種攻擊被稱之為：A.LAND攻擊B.Smurf攻擊C.PingofDeath攻擊D.ICMP

Flood159、以下哪種方法不能有效提高WLAN的安全性：A.修改默認(rèn)的服務(wù)區(qū)標(biāo)識符〔SSID〕B.制止SSID播送C.啟用終端與AP間的雙向認(rèn)證D.啟用無線AP的開放認(rèn)證模式160、以下哪項(xiàng)是對抗ARP欺騙有效的手段A.使用靜態(tài)的ARP緩存B.在網(wǎng)絡(luò)上阻止ARP報(bào)文的發(fā)送C.安裝殺毒軟件并更新到最新的病毒庫D.使用linux系統(tǒng)提高安全性161、下面關(guān)于ISO27002的說法錯(cuò)誤的選項(xiàng)是：A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息安全管理最正確實(shí)踐供組織機(jī)構(gòu)選用，但不是全部C.ISO27002對于每個(gè)控制措施的表述分“控制措施〞、“實(shí)施指南〞、和“其他信息〞三個(gè)局部來進(jìn)展描述D.ISO27002提出了十一大類的安全管理措施，其中風(fēng)險(xiǎn)評估和處置是處于核心地位的一類安全措施162、下面哪一項(xiàng)安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動(dòng)的：A.設(shè)置網(wǎng)絡(luò)連接時(shí)限B.記錄并分析系統(tǒng)錯(cuò)誤日志C.記錄并分析用戶和管理員操作日志D.啟用時(shí)鐘同步163、以下安全控制措施的分類中，哪個(gè)分類是正確的〔p-預(yù)防性的，D-檢測性的以及C-糾正性的控制〕1、網(wǎng)絡(luò)防火墻2、RAID級別33、銀行賬單的監(jiān)視復(fù)審4、分配計(jì)算機(jī)用戶標(biāo)識5、交易日志A、p,p,c,d,andCB、d,c,c,d,andDC、p,c,d,p,andDD、p,d,p,p,andC164、風(fēng)險(xiǎn)評估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過程，關(guān)于這些過程，以下的說法哪一個(gè)是正確的A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識別風(fēng)險(xiǎn)的影響和可能性B.風(fēng)險(xiǎn)要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C.風(fēng)險(xiǎn)分析的內(nèi)容是識別風(fēng)險(xiǎn)的影響和可能性D.風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施165、你來到服務(wù)器機(jī)房股比的一間辦公室，發(fā)現(xiàn)窗戶壞了，由于這不是你的辦公室，你要求在這里辦公的員工請維修工來把窗戶修好，你離開后，沒有再過問這扇窗戶的事情。這件事情的結(jié)果對與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響A.如果窗戶被修好，威脅真正出現(xiàn)的問題性會(huì)增加B.如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變C.如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會(huì)下降D.如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會(huì)增加166、在對安全控制進(jìn)展分析時(shí)，下面哪個(gè)描述是不準(zhǔn)確的A.對每一項(xiàng)安全控制都應(yīng)該進(jìn)展成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的B.應(yīng)確保選擇對業(yè)務(wù)效率影響最小的安全措施C.選擇好實(shí)施安全控制的時(shí)機(jī)和位置，提高安全控制的有效性D.仔細(xì)評價(jià)引入的安全控制對正常業(yè)務(wù)的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)167、以下哪一項(xiàng)不是信息安全管理工作必須遵循的原那么A.風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之處就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B.風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對較低D.在系統(tǒng)正式運(yùn)行后，應(yīng)注重剩余風(fēng)險(xiǎn)的管理，以提高快速反響能力168、對信息安全風(fēng)險(xiǎn)評估要素理解正確的選項(xiàng)是：A.資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B.應(yīng)針對構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D.信息系統(tǒng)面臨的安全威脅僅包括人為成心威脅、人為非成心威脅169、以下哪一項(xiàng)不是建筑物的自動(dòng)化訪問審計(jì)系統(tǒng)記錄的日志的內(nèi)容：A.出入的原因B.出入的時(shí)間C.出入口的位置D.是否成功進(jìn)入170、信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一項(xiàng)不是信息安全策略文檔中必須包含的內(nèi)容：A.說明信息安全對組織的重要程度B.介紹需要符合的法律法規(guī)要求C.信息安全技術(shù)產(chǎn)品的選型范圍D.信息安全管理責(zé)任的定義171、作為信息中心的主任，你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員的崗位分配給兩個(gè)不同的人擔(dān)任，這種情況造成了一定的安全風(fēng)險(xiǎn)。這時(shí)你應(yīng)當(dāng)若何做A.抱怨且無能為力B.向上級報(bào)告該情況，等待增派人手C.通過部署審計(jì)措施和定期審查來降低風(fēng)險(xiǎn)D.由于增加人力會(huì)造成新的人力成本，所以承受該風(fēng)險(xiǎn)172、以下人員中，誰負(fù)有決定信息分類級別的責(zé)任A.用戶B.數(shù)據(jù)所有者C.審計(jì)員D.安全官173、某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)展風(fēng)險(xiǎn)評估，該服務(wù)器價(jià)值138000元，針對某個(gè)特定威脅的暴露因子〔EF〕是45%，該威脅的年度發(fā)生率〔ARO〕為每10年發(fā)生一次，根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值〔ALE〕是多少A、1800元B、62100元C、140000元D、6210元174、以下哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略方案中A.已規(guī)劃的硬件采購的標(biāo)準(zhǔn)B.將來業(yè)務(wù)目標(biāo)的分析C.開發(fā)工程的目標(biāo)日期D.信息系統(tǒng)不同的年度預(yù)算目標(biāo)175、ISO27002中描述的11個(gè)信息安全管理控制領(lǐng)域不包括：A.信息安全組織B.資產(chǎn)管理C.內(nèi)容安全D.人力資源安全176、依據(jù)國家標(biāo)準(zhǔn)?信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?〔GB/T20988〕，需要備用場地但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級的第幾級A.2B.3

C.4

D.5

177、以下哪一種備份方式在恢復(fù)時(shí)間上最快A.增量備份B.差異備份C.完全備份D.磁盤備份178、計(jì)算機(jī)應(yīng)急響應(yīng)小組的簡稱是：A.CERTB.FIRST

C.SANA

D.CEAT

179、有一些信息安全事件是由于信息系統(tǒng)中多個(gè)局部共同作用造成的，人們稱這類事件為“多組件事故〞，應(yīng)對這類安全事件最有效的方法是：A.配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為B.使用防病毒軟件，并且保持更新為最新的病毒特征碼C.將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)〔DMZ〕D.使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件180、依據(jù)國家標(biāo)準(zhǔn)?信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?〔GB/T20988〕，災(zāi)難恢復(fù)管理過程的主要步驟是災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)制定和管理；其中災(zāi)難恢復(fù)策略實(shí)現(xiàn)不包括以下哪一項(xiàng)A.分析業(yè)務(wù)功能B.選擇和建設(shè)災(zāi)難備份中心C.實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案D.實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護(hù)能力181、在進(jìn)展應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能防止使用包含個(gè)人隱私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須作的：A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C.在測試完成后立即去除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用182、下面有關(guān)能力成熟度模型的說法錯(cuò)誤的選項(xiàng)是：A.能力成熟度模型可以分為過程能力方案〔Continuous〕和組織能力方案〔Staged〕兩類B.使用過程能力方案時(shí)，可以靈活選擇評估和改良哪個(gè)或那些過程域C.使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D.SSE-CMM是一種屬于組織能力方案〔Staged〕的針對系統(tǒng)安全工程的能力成熟度模型183、一個(gè)組織的系統(tǒng)安全能力成熟度到達(dá)哪個(gè)級別以后，就可以對組織層面的過程進(jìn)展標(biāo)準(zhǔn)的定義A.2級——方案和跟蹤B.3級-——充分定義C.4級——量化控制D.5級——持續(xù)改良184、以下哪項(xiàng)不是信息系統(tǒng)的安全工程的能力成熟度模型〔SSE-CMM〕的主要過程：A、風(fēng)險(xiǎn)評估B、保證過程C、工程過程D、評估過程185、SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域：A.評估威脅、評估脆弱性、評估影響B(tài).評估威脅、評估脆弱性、評估安全風(fēng)險(xiǎn)C.評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險(xiǎn)D.評估威脅、評估脆弱性、評估影響、驗(yàn)證和證實(shí)安全186、信息系統(tǒng)安全工程〔ISSE〕的一個(gè)重要目標(biāo)就是在IT工程的各個(gè)階段充分考慮安全因素，在IT工程的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)展的工作：A.明確業(yè)務(wù)對信息安全的要求B.識別來自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求187、信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是：A.信息化建設(shè)的完畢就是信息安全建設(shè)的開場B.信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實(shí)施C.信息化建設(shè)和信息安全建設(shè)是交替進(jìn)展的，無法區(qū)分誰先誰后D.以上說法都正確188、如果你作為甲方負(fù)責(zé)監(jiān)管一個(gè)信息安全工程工程的實(shí)施，當(dāng)乙方提出一項(xiàng)工程變更時(shí)你最應(yīng)當(dāng)關(guān)注的是：A.變更的流程是否符合預(yù)先的規(guī)定B.變更是否會(huì)對工程進(jìn)度造成拖延C.變更的原因和造成的影響D.變更后是否進(jìn)展了準(zhǔn)確的記錄189、以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義〞階段的信息安全工作的正確描述A.應(yīng)基于法律法規(guī)和用戶需求，進(jìn)展需求分析和風(fēng)險(xiǎn)評估，從信息系統(tǒng)建設(shè)的開場就綜合信息系統(tǒng)安全保障的考慮B.應(yīng)充分調(diào)研信息安全技術(shù)開展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C.應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的標(biāo)準(zhǔn)并切實(shí)落實(shí)D.應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容190、在進(jìn)展應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能防止使用包含個(gè)人隱私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必