（新版）浙江計(jì)算機(jī)三級(jí)《信息安全技術(shù)》考前強(qiáng)化練習(xí)題庫(kù)（含答案）

PAGEPAGE1（新版）浙江計(jì)算機(jī)三級(jí)《信息安全技術(shù)》考前強(qiáng)化練習(xí)題庫(kù)（含答案）一、單選題1.下列關(guān)于事務(wù)處理的說(shuō)法中，錯(cuò)誤的是（）。A、事務(wù)處理是一種機(jī)制，用來(lái)管理必須成批執(zhí)行的SQL操作,以保證數(shù)據(jù)庫(kù)不包含不完整的操作結(jié)果B、利用事務(wù)處理，可以保證一組操作不會(huì)中途停止,它們或者作為整體執(zhí)行或者完全不執(zhí)行C、不能回退SELECT語(yǔ)句,因此事務(wù)處理中不能使用該語(yǔ)句D、在發(fā)出MIT或ROLLBACK語(yǔ)句之前，該事務(wù)將一直保持有效答案：C解析：[解析]由于事務(wù)是由幾個(gè)任務(wù)組成的，因此如果一個(gè)事務(wù)作為一個(gè)整體是成功的，則事務(wù)中的每個(gè)任務(wù)都必須成功。如果事務(wù)中有-部分失敗，則整個(gè)事務(wù)失敗。一個(gè)事務(wù)的任何更新要在系統(tǒng)上完全完成，如果由于某種原因出錯(cuò)，事務(wù)不能完成它的全部任務(wù)，系統(tǒng)將返回到事務(wù)開(kāi)始前的狀態(tài)。MIT語(yǔ)句用于告訴DBMS,事務(wù)處理中的語(yǔ)句被成功執(zhí)行完成了。被成功執(zhí)行完成后，數(shù)據(jù)庫(kù)內(nèi)容將是完整的。而ROLLBACK語(yǔ)句則是用于告訴DBMS,事務(wù)處理中的語(yǔ)句不能被成功執(zhí)行。不能回退SELECT語(yǔ)句，因此該語(yǔ)句在事務(wù)中必然成功執(zhí)行。故選擇C選項(xiàng)。2.下列選項(xiàng)中，不屬于應(yīng)急計(jì)劃三元素的是（）。A、基本風(fēng)險(xiǎn)評(píng)估B、事件響應(yīng)C、災(zāi)難恢復(fù)D、業(yè)務(wù)持續(xù)性計(jì)劃答案：A解析：[解析]應(yīng)急計(jì)劃三元素是事件響應(yīng)、災(zāi)難恢復(fù)、業(yè)務(wù)持續(xù)性計(jì)劃?；撅L(fēng)險(xiǎn)評(píng)估預(yù)防風(fēng)險(xiǎn),而應(yīng)急計(jì)劃則是當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)采取的措施。故選擇A選項(xiàng)。3.在Windows操作系統(tǒng)啟動(dòng)過(guò)程中，初始化工作后，從硬盤(pán)上讀取boot.ini文件并進(jìn)行系統(tǒng)選擇的程序是（）。A、NtldrB、Ntdetect.C、Ntoskrnl.exeD、Smss.exe答案：A解析：本題考查的是Windows操作系統(tǒng)啟動(dòng)過(guò)程中的程序。在Windows操作系統(tǒng)啟動(dòng)過(guò)程中，初始化工作后，從硬盤(pán)上讀取boot.ini文件并進(jìn)行系統(tǒng)選擇的程序是Ntldr。因此，本題的正確答案是A。Ntdetect.是用來(lái)檢測(cè)硬件配置的程序，Ntoskrnl.exe是Windows操作系統(tǒng)的內(nèi)核文件，Smss.exe是Windows操作系統(tǒng)的會(huì)話管理器。這些程序在Windows操作系統(tǒng)啟動(dòng)過(guò)程中也有重要的作用，但不是本題所問(wèn)的程序。4.IP地址的前兩個(gè)比特位為10,網(wǎng)絡(luò)號(hào)長(zhǎng)度有14位，這類IP地址屬于A、類B、類C、類D、類答案：B解析：IP地址的前兩個(gè)比特位為10，這是B類IP地址的特征。B類IP地址的網(wǎng)絡(luò)號(hào)長(zhǎng)度為14位，主機(jī)號(hào)長(zhǎng)度為16位。因此，該IP地址屬于B類IP地址。選項(xiàng)B為正確答案。5.建立信息安全管理框架時(shí)要確定管理目標(biāo)和選擇管理措施，其基本原則是A、有些風(fēng)險(xiǎn)的后果是無(wú)法用金錢(qián)來(lái)衡量的，所以費(fèi)用不應(yīng)考慮B、費(fèi)用應(yīng)不高于風(fēng)險(xiǎn)所造成的損失C、費(fèi)用應(yīng)不低于風(fēng)險(xiǎn)所造成的損失D、費(fèi)用與風(fēng)險(xiǎn)所造成的損失大致相當(dāng)即可答案：B解析：本題考察信息安全管理框架的基本原則。建立信息安全管理框架時(shí)，需要確定管理目標(biāo)和選擇管理措施。在選擇管理措施時(shí)，需要考慮費(fèi)用和風(fēng)險(xiǎn)所造成的損失之間的關(guān)系。根據(jù)常識(shí)和實(shí)踐經(jīng)驗(yàn)，費(fèi)用應(yīng)該不高于風(fēng)險(xiǎn)所造成的損失，這是信息安全管理框架的基本原則之一。因此，本題的正確答案是B。其他選項(xiàng)都與信息安全管理框架的基本原則相悖，可以排除。6.下列關(guān)于信息的四種定義中，我國(guó)學(xué)者鐘義信先生提出的是A、信息是用于減少不確定性的東西B、信息是人們?cè)谶m應(yīng)外部世界且這種適應(yīng)反作用于外部世界的過(guò)程中，同外部世界進(jìn)行相互交換的內(nèi)容的名稱C、信息是反映事物的形式、關(guān)系和差異的東西D、信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式答案：D解析：本題考查的是信息的定義，需要考生對(duì)信息的不同定義進(jìn)行理解和區(qū)分。四個(gè)選項(xiàng)中，A選項(xiàng)是香農(nóng)提出的信息定義，B選項(xiàng)是韋納提出的信息定義，C選項(xiàng)是馬克思主義哲學(xué)中的信息定義，D選項(xiàng)是鐘義信先生提出的信息定義。根據(jù)題干中的提示，我們可以知道答案是D選項(xiàng)。D選項(xiàng)中的“事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化的方式”是鐘義信先生對(duì)信息的定義，強(qiáng)調(diào)了信息與事物的運(yùn)動(dòng)狀態(tài)和變化方式密切相關(guān)。因此，本題的正確答案是D。7.網(wǎng)站掛馬能成功實(shí)施的前提條件,不包括A、攻擊者成功入侵了網(wǎng)站服務(wù)器，具有了網(wǎng)站中網(wǎng)頁(yè)的修改權(quán)限B、用戶計(jì)算機(jī)的瀏覽器或相關(guān)軟件模塊存在可利用漏洞C、用戶計(jì)算機(jī)中沒(méi)有安裝殺毒軟件或主動(dòng)防御軟件D、用戶訪問(wèn)了掛馬的網(wǎng)站答案：C解析：本題考查的是網(wǎng)站掛馬的前提條件，選項(xiàng)中除了C都是網(wǎng)站掛馬的前提條件。選項(xiàng)C是用戶計(jì)算機(jī)中沒(méi)有安裝殺毒軟件或主動(dòng)防御軟件，這是用戶計(jì)算機(jī)的安全問(wèn)題，與網(wǎng)站掛馬的前提條件無(wú)關(guān)。因此，選項(xiàng)C不包括在網(wǎng)站掛馬的前提條件中，是本題的答案。8.下列選項(xiàng)中，屬于單點(diǎn)登錄缺點(diǎn)的是A、需要將用戶信息放置在不同的存儲(chǔ)中B、需細(xì)致地分配用戶權(quán)限，否則易于造成用戶權(quán)限過(guò)大C、存在兩個(gè)以上認(rèn)證服務(wù)器時(shí)，需互相交換認(rèn)證信息D、簡(jiǎn)化了管理員的賬戶管理流程答案：B解析：?jiǎn)吸c(diǎn)登錄（SingleSign-On，簡(jiǎn)稱SSO）是一種身份認(rèn)證技術(shù)，允許用戶使用一組憑據(jù)（例如用戶名和密碼）登錄多個(gè)應(yīng)用程序。SSO的優(yōu)點(diǎn)包括簡(jiǎn)化用戶登錄流程、提高安全性和減少管理員的賬戶管理工作量。但是，SSO也存在一些缺點(diǎn)，其中選項(xiàng)B是其中之一。選項(xiàng)A：需要將用戶信息放置在不同的存儲(chǔ)中。這是SSO的一個(gè)優(yōu)點(diǎn)，因?yàn)樗试S用戶在多個(gè)應(yīng)用程序之間共享身份驗(yàn)證信息，而不需要在每個(gè)應(yīng)用程序中都輸入用戶名和密碼。選項(xiàng)B：需細(xì)致地分配用戶權(quán)限，否則易于造成用戶權(quán)限過(guò)大。這是SSO的一個(gè)缺點(diǎn)，因?yàn)橐坏┯脩舻卿浟艘粋€(gè)應(yīng)用程序，他們就可以訪問(wèn)所有與SSO相關(guān)的應(yīng)用程序，而不需要再次輸入憑據(jù)。如果用戶的權(quán)限過(guò)大，可能會(huì)導(dǎo)致安全問(wèn)題。選項(xiàng)C：存在兩個(gè)以上認(rèn)證服務(wù)器時(shí)，需互相交換認(rèn)證信息。這是SSO的一個(gè)實(shí)現(xiàn)細(xì)節(jié)，但不是缺點(diǎn)。選項(xiàng)D：簡(jiǎn)化了管理員的賬戶管理流程。這是SSO的一個(gè)優(yōu)點(diǎn)，因?yàn)樗试S管理員在一個(gè)地方管理用戶的身份驗(yàn)證信息，而不需要在每個(gè)應(yīng)用程序中都進(jìn)行管理。綜上所述，選項(xiàng)B是正確答案。9.為使審核效果最大化，并使體系審核過(guò)程的影響最小，下列必須的選項(xiàng)是A、體系審核應(yīng)對(duì)體系范圍內(nèi)部分安全領(lǐng)域進(jìn)行全面系統(tǒng)的審核B、應(yīng)由與被審核對(duì)象有直接責(zé)任的人員來(lái)實(shí)施C、組織機(jī)構(gòu)要對(duì)審核過(guò)程本身進(jìn)行安全控制D、對(duì)不符合項(xiàng)的糾正措施酌情跟蹤審查，并確定其有效性答案：C解析：本題考查的是體系審核的必要選項(xiàng)。根據(jù)題干，我們可以得出以下幾點(diǎn)：1.審核效果最大化：即要使審核結(jié)果盡可能準(zhǔn)確、全面，發(fā)現(xiàn)問(wèn)題并提出改進(jìn)措施。2.體系審核過(guò)程的影響最?。杭匆M可能減少審核過(guò)程對(duì)被審核對(duì)象的影響，避免干擾其正常運(yùn)營(yíng)。3.必須的選項(xiàng)：即必須要做的事情，不能省略。根據(jù)以上分析，我們可以逐一分析選項(xiàng)：A.體系審核應(yīng)對(duì)體系范圍內(nèi)部分安全領(lǐng)域進(jìn)行全面系統(tǒng)的審核。該選項(xiàng)雖然提到了全面系統(tǒng)的審核，但是只對(duì)部分安全領(lǐng)域進(jìn)行審核，不符合審核效果最大化的要求，因此不是必須的選項(xiàng)。B.應(yīng)由與被審核對(duì)象有直接責(zé)任的人員來(lái)實(shí)施。該選項(xiàng)只是提到了實(shí)施人員的要求，但并沒(méi)有涉及到審核效果和影響的問(wèn)題，因此不是必須的選項(xiàng)。C.組織機(jī)構(gòu)要對(duì)審核過(guò)程本身進(jìn)行安全控制。該選項(xiàng)提到了對(duì)審核過(guò)程本身進(jìn)行安全控制，可以保證審核的準(zhǔn)確性和全面性，同時(shí)也可以減少審核過(guò)程對(duì)被審核對(duì)象的影響，符合審核效果最大化和體系審核過(guò)程的影響最小的要求，因此是必須的選項(xiàng)。D.對(duì)不符合項(xiàng)的糾正措施酌情跟蹤審查，并確定其有效性。該選項(xiàng)只是提到了對(duì)不符合項(xiàng)的跟蹤審查和有效性的確定，但并沒(méi)有涉及到審核效果和影響的問(wèn)題，因此不是必須的選項(xiàng)。綜上所述，選項(xiàng)C是本題的正確答案。10.有關(guān)訪問(wèn)控制中主體和客體概念的說(shuō)法中，錯(cuò)誤的是FA、主體是一個(gè)主動(dòng)的實(shí)體，它提供對(duì)客體中的對(duì)象或數(shù)據(jù)的訪問(wèn)要求B、一個(gè)對(duì)象或數(shù)據(jù)可能是主體，也可能是客體C、主體只能是訪問(wèn)信息的程序、進(jìn)程D、客體是含有被訪問(wèn)信息的被動(dòng)實(shí)體答案：C解析：本題考察訪問(wèn)控制中主體和客體的概念。主體是指發(fā)起訪問(wèn)請(qǐng)求的實(shí)體，可以是人、程序、進(jìn)程等主動(dòng)的實(shí)體；客體是指被訪問(wèn)的對(duì)象或數(shù)據(jù)，是被動(dòng)實(shí)體。因此，選項(xiàng)A、B、D都是正確的說(shuō)法。而選項(xiàng)C中的“只能是訪問(wèn)信息的程序、進(jìn)程”是錯(cuò)誤的，因?yàn)橹黧w不僅可以是程序、進(jìn)程，還可以是人等其他實(shí)體。因此，本題的正確答案是C。11.下列選項(xiàng)中,不屬于分組密碼工作模式的是（）。A、ECBB、CCBC、FBD、OFB答案：B解析：[解析]CCB(密碼塊鏈接)，每個(gè)平文塊先與前一個(gè)密文塊進(jìn)行異或后，再進(jìn)行加密,沒(méi)有分組工作模式。ECB(電碼本)模式是分組密碼的一種最基本的工作模式。在該模式下，待處理信息被分為大小合適的分組,然后分別對(duì)每一分組獨(dú)立進(jìn)行加密或解密處理。CFB(密文反饋),其需要初始化向量和密鑰兩個(gè)內(nèi)容,首先先對(duì)密鑰對(duì)初始向量進(jìn)行加密,得到結(jié)果(分組加密后)與明文進(jìn)行移位異或運(yùn)算后得到密文,然后前一次的密文充當(dāng)初始向量再對(duì)后續(xù)明文進(jìn)行加密。OFB(輸出反饋),需要初始化向量和密鑰，首先運(yùn)用密鑰對(duì)初始化向量進(jìn)行加密，對(duì)下個(gè)明文塊的加密。故選擇B選項(xiàng)。12.下列有關(guān)Diffie-Hellman算法的說(shuō)法中，錯(cuò)誤的是A、第一個(gè)實(shí)用的在非保護(hù)信道中創(chuàng)建共享密鑰的方法B、是一個(gè)匿名的密鑰交換協(xié)議C、存在遭受中間人攻擊的風(fēng)險(xiǎn)D、支持對(duì)所生成的密鑰的認(rèn)證答案：D解析：Diffie-Hellman算法是一種密鑰交換協(xié)議，其主要目的是在不安全的通信信道上協(xié)商出一個(gè)共享密鑰，以便進(jìn)行加密通信。該算法的基本思想是利用數(shù)學(xué)上的離散對(duì)數(shù)問(wèn)題，使得即使在公開(kāi)的通信信道上，也無(wú)法輕易地推算出密鑰的值。選項(xiàng)A正確，因?yàn)镈iffie-Hellman算法是第一個(gè)實(shí)用的在非保護(hù)信道中創(chuàng)建共享密鑰的方法。選項(xiàng)B正確，因?yàn)镈iffie-Hellman算法是一種匿名的密鑰交換協(xié)議，即在協(xié)商密鑰的過(guò)程中，雙方不需要互相認(rèn)證身份。選項(xiàng)C正確，因?yàn)镈iffie-Hellman算法存在遭受中間人攻擊的風(fēng)險(xiǎn)，即攻擊者可以在通信過(guò)程中截獲并篡改通信內(nèi)容，從而獲取密鑰或者偽造密鑰。選項(xiàng)D錯(cuò)誤，因?yàn)镈iffie-Hellman算法本身并不支持對(duì)所生成的密鑰的認(rèn)證，即無(wú)法確定密鑰的來(lái)源和真實(shí)性。因此，為了保證通信的安全性，通常需要在Diffie-Hellman算法的基礎(chǔ)上再進(jìn)行一些認(rèn)證和加密措施。13.操作系統(tǒng)內(nèi)核處于保護(hù)環(huán)結(jié)構(gòu)中的A、0環(huán)B、1環(huán)C、2環(huán)D、3環(huán)答案：A解析：操作系統(tǒng)內(nèi)核處于保護(hù)環(huán)結(jié)構(gòu)中，保護(hù)環(huán)結(jié)構(gòu)是指將操作系統(tǒng)的運(yùn)行環(huán)境劃分為多個(gè)層次，每個(gè)層次都有不同的特權(quán)級(jí)別，最高特權(quán)級(jí)別為0，最低特權(quán)級(jí)別為3。因此，操作系統(tǒng)內(nèi)核處于最高特權(quán)級(jí)別0環(huán)中，可以訪問(wèn)系統(tǒng)的所有資源和硬件設(shè)備，控制整個(gè)系統(tǒng)的運(yùn)行。因此，本題的答案為A。14.能對(duì)操作系統(tǒng)的服務(wù)進(jìn)行請(qǐng)求的是A、嵌入內(nèi)存管理B、進(jìn)程管理C、系統(tǒng)調(diào)用D、用戶接口答案：C解析：本題考查對(duì)操作系統(tǒng)服務(wù)請(qǐng)求的理解。選項(xiàng)A嵌入內(nèi)存管理是操作系統(tǒng)的一項(xiàng)服務(wù)，但是它并不能對(duì)操作系統(tǒng)的服務(wù)進(jìn)行請(qǐng)求，因此排除。選項(xiàng)B進(jìn)程管理也是操作系統(tǒng)的一項(xiàng)服務(wù)，但是同樣不能對(duì)操作系統(tǒng)的服務(wù)進(jìn)行請(qǐng)求，因此排除。選項(xiàng)D用戶接口是操作系統(tǒng)提供給用戶的一種交互方式，也不能對(duì)操作系統(tǒng)的服務(wù)進(jìn)行請(qǐng)求，因此排除。選項(xiàng)C系統(tǒng)調(diào)用是指用戶程序通過(guò)操作系統(tǒng)提供的接口向操作系統(tǒng)請(qǐng)求服務(wù)，因此是能對(duì)操作系統(tǒng)的服務(wù)進(jìn)行請(qǐng)求的選項(xiàng)，是本題的正確答案。因此，本題的答案是C。15.計(jì)算機(jī)使用應(yīng)遵守的道德規(guī)范，不包括（）。A、不經(jīng)常使用非正版軟件B、不破壞別人的計(jì)算機(jī)系統(tǒng)資源C、不制造傳播病毒程序D、不竊取別人的軟件資源答案：A解析：本題考查計(jì)算機(jī)使用應(yīng)遵守的道德規(guī)范。選項(xiàng)A、B、C、D都是計(jì)算機(jī)使用應(yīng)遵守的道德規(guī)范，但是題目要求選擇不包括的選項(xiàng)，因此答案為A。A選項(xiàng)中的“不經(jīng)常使用非正版軟件”是不符合計(jì)算機(jī)使用應(yīng)遵守的道德規(guī)范的行為，因?yàn)槭褂梅钦孳浖乔址钢R(shí)產(chǎn)權(quán)的行為，不僅違反法律法規(guī)，也不符合道德規(guī)范。B、C、D選項(xiàng)中的內(nèi)容都是計(jì)算機(jī)使用應(yīng)遵守的道德規(guī)范，即不破壞別人的計(jì)算機(jī)系統(tǒng)資源、不制造傳播病毒程序、不竊取別人的軟件資源。因此，本題的正確答案為A。16.下列選項(xiàng)中，不屬于銷售商用密碼產(chǎn)品必需的申請(qǐng)條件的是（）。A、有熟悉商用密碼產(chǎn)品知識(shí)和承擔(dān)售后服務(wù)的人員B、要求注冊(cè)資金超過(guò)200萬(wàn)人民幣C、有完善的銷售服務(wù)和安全管理規(guī)章制度D、有獨(dú)立的法人資格答案：B解析：本題考查銷售商用密碼產(chǎn)品必需的申請(qǐng)條件。根據(jù)選項(xiàng)內(nèi)容，A、C、D三個(gè)選項(xiàng)都是銷售商用密碼產(chǎn)品必需的申請(qǐng)條件，而B(niǎo)選項(xiàng)要求注冊(cè)資金超過(guò)200萬(wàn)人民幣，不屬于銷售商用密碼產(chǎn)品必需的申請(qǐng)條件。因此，答案選B。17.下列關(guān)于非對(duì)稱密碼的說(shuō)法中，錯(cuò)誤的是（）。A、基于難解問(wèn)題設(shè)計(jì)密碼是非對(duì)稱密碼設(shè)計(jì)的主要思想B、公開(kāi)密鑰密碼易于實(shí)現(xiàn)數(shù)字簽名C、公開(kāi)密鑰密碼的優(yōu)點(diǎn)在于從根本上克服了對(duì)稱密碼密鑰分配上的困難D、公開(kāi)密鑰密碼安全性高，與對(duì)稱密碼相比，更加適合于數(shù)據(jù)加密答案：D解析：本題考查非對(duì)稱密碼的基本概念和特點(diǎn)。非對(duì)稱密碼是一種使用不同的密鑰進(jìn)行加密和解密的密碼系統(tǒng)，其中公鑰用于加密，私鑰用于解密。根據(jù)這個(gè)特點(diǎn)，我們可以對(duì)選項(xiàng)進(jìn)行分析。A選項(xiàng)：基于難解問(wèn)題設(shè)計(jì)密碼是非對(duì)稱密碼設(shè)計(jì)的主要思想。這個(gè)說(shuō)法是正確的，因?yàn)榉菍?duì)稱密碼的設(shè)計(jì)思想就是利用數(shù)學(xué)難題，如大質(zhì)數(shù)分解等，來(lái)保證密碼的安全性。B選項(xiàng)：公開(kāi)密鑰密碼易于實(shí)現(xiàn)數(shù)字簽名。這個(gè)說(shuō)法也是正確的，因?yàn)榉菍?duì)稱密碼可以用于數(shù)字簽名，而數(shù)字簽名是一種用于驗(yàn)證數(shù)字信息完整性和真實(shí)性的技術(shù)。C選項(xiàng)：公開(kāi)密鑰密碼的優(yōu)點(diǎn)在于從根本上克服了對(duì)稱密碼密鑰分配上的困難。這個(gè)說(shuō)法也是正確的，因?yàn)閷?duì)稱密碼需要在通信雙方之間共享密鑰，而公開(kāi)密鑰密碼可以避免這個(gè)問(wèn)題。D選項(xiàng)：公開(kāi)密鑰密碼安全性高，與對(duì)稱密碼相比，更加適合于數(shù)據(jù)加密。這個(gè)說(shuō)法是錯(cuò)誤的，因?yàn)殡m然公開(kāi)密鑰密碼可以用于數(shù)字簽名和密鑰分配，但是在數(shù)據(jù)加密方面，對(duì)稱密碼仍然是更加高效和安全的選擇。因此，D選項(xiàng)是本題的錯(cuò)誤選項(xiàng)。綜上所述，本題的正確答案是D。18.“一個(gè)大學(xué)管理員在工作中只需要能夠更改學(xué)生的聯(lián)系信息，不過(guò)他可能會(huì)利用過(guò)高的數(shù)據(jù)庫(kù)更新權(quán)限來(lái)更改分?jǐn)?shù)”，這類數(shù)據(jù)庫(kù)安全威脅是A、合法的特權(quán)濫用B、過(guò)度的特權(quán)濫用C、特權(quán)提升D、不健全的認(rèn)證答案：B解析：本題考查的是數(shù)據(jù)庫(kù)安全威脅中的特權(quán)濫用問(wèn)題。根據(jù)題干中的描述，管理員只需要更改學(xué)生的聯(lián)系信息，但是他可能會(huì)利用過(guò)高的數(shù)據(jù)庫(kù)更新權(quán)限來(lái)更改分?jǐn)?shù)，這就是過(guò)度的特權(quán)濫用。因此，答案選B。其他選項(xiàng)的含義如下：A.合法的特權(quán)濫用：指擁有特權(quán)的用戶或程序員在合法的前提下，利用特權(quán)進(jìn)行不當(dāng)操作的行為。C.特權(quán)提升：指攻擊者通過(guò)某種手段獲取到比原本擁有的權(quán)限更高的權(quán)限，從而進(jìn)行攻擊的行為。D.不健全的認(rèn)證：指認(rèn)證機(jī)制存在漏洞或者被攻擊者繞過(guò)，從而導(dǎo)致攻擊者可以繞過(guò)認(rèn)證機(jī)制進(jìn)行攻擊的行為。19.下列選項(xiàng)中,被稱為半連接掃描的端口掃描技術(shù)是A、TCP全連接掃描B、TCPSYN掃描C、TCPFIN掃描D、ICMP掃描答案：B解析：本題考查端口掃描技術(shù)的分類和特點(diǎn)。半連接掃描是指發(fā)送SYN包到目標(biāo)主機(jī)的指定端口，如果該端口處于開(kāi)放狀態(tài)，則目標(biāo)主機(jī)會(huì)返回一個(gè)SYN/ACK包，表示該端口處于半連接狀態(tài)。此時(shí)，攻擊者可以選擇終止連接，不進(jìn)行后續(xù)的三次握手，從而不留下任何日志記錄。因此，半連接掃描是一種隱蔽性較強(qiáng)的端口掃描技術(shù)。A選項(xiàng)TCP全連接掃描是指發(fā)送SYN包到目標(biāo)主機(jī)的指定端口，如果該端口處于開(kāi)放狀態(tài)，則目標(biāo)主機(jī)會(huì)返回一個(gè)SYN/ACK包，攻擊者再發(fā)送一個(gè)ACK包，完成三次握手建立連接。這種掃描方式的優(yōu)點(diǎn)是準(zhǔn)確性高，缺點(diǎn)是易被檢測(cè)和防御。C選項(xiàng)TCPFIN掃描是指發(fā)送FIN包到目標(biāo)主機(jī)的指定端口，如果該端口處于關(guān)閉狀態(tài)，則目標(biāo)主機(jī)會(huì)返回一個(gè)RST包，表示該端口處于非半連接狀態(tài)。如果該端口處于開(kāi)放狀態(tài)，則目標(biāo)主機(jī)不會(huì)返回任何響應(yīng)。這種掃描方式的優(yōu)點(diǎn)是隱蔽性高，缺點(diǎn)是準(zhǔn)確性低。D選項(xiàng)ICMP掃描是指發(fā)送ICMPEchoRequest包到目標(biāo)主機(jī)的指定端口，如果該端口處于開(kāi)放狀態(tài)，則目標(biāo)主機(jī)會(huì)返回ICMPEchoReply包。這種掃描方式的優(yōu)點(diǎn)是簡(jiǎn)單易用，缺點(diǎn)是易被檢測(cè)和防御。綜上所述，B選項(xiàng)TCPSYN掃描是一種被稱為半連接掃描的端口掃描技術(shù)，是本題的正確答案。20.TCB是指A、可信密碼基B、可信計(jì)算基C、可信軟件棧D、可信存儲(chǔ)根答案：B解析：本題考查的是TCB的含義。TCB是TrustedputingBase的縮寫(xiě)，中文翻譯為可信計(jì)算基。它是指計(jì)算機(jī)系統(tǒng)中被信任的部分，包括硬件、操作系統(tǒng)、應(yīng)用程序等。TCB的安全性直接影響整個(gè)系統(tǒng)的安全性。選項(xiàng)A中的“可信密碼基”是錯(cuò)誤的，因?yàn)槊艽a基本上是用于身份驗(yàn)證和訪問(wèn)控制的，與TCB的概念不同。選項(xiàng)C中的“可信軟件?！笔遣粶?zhǔn)確的，因?yàn)門(mén)CB不僅包括軟件，還包括硬件。選項(xiàng)D中的“可信存儲(chǔ)根”也是不正確的，因?yàn)門(mén)CB不僅包括存儲(chǔ)，還包括處理器、操作系統(tǒng)等。因此，本題的正確答案是B，即“可信計(jì)算基”。21.下列關(guān)于Diameter和RADIUS區(qū)別的描述中，錯(cuò)誤的是（）。A、RADIUS運(yùn)行在UDP協(xié)議上，并且沒(méi)有定義重傳機(jī)制;而Diameter運(yùn)行在可靠的傳輸協(xié)議TCP、SCTP之上B、RADIUS支持認(rèn)證和授權(quán)分離，重授權(quán)可以隨時(shí)根據(jù)需求進(jìn)行;Diameter中認(rèn)證與授權(quán)必須成對(duì)出現(xiàn)C、RADIUS固有的客戶端/服務(wù)器模式限制了它的進(jìn)一步發(fā)展;Diameter采用了端到端模式,任何一端都可以發(fā)送消息以發(fā)起審計(jì)等功能或中斷連接D、RADIUS協(xié)議不支持失敗恢復(fù)機(jī)制;而Diameter支持應(yīng)用層確認(rèn),并且定義了失敗恢復(fù)算法和相關(guān)的狀態(tài)機(jī),能夠立即檢測(cè)出傳輸錯(cuò)誤答案：B解析：[解析]RADIUS運(yùn)行在UDP協(xié)議上,并且沒(méi)有定義重傳機(jī)制，而Diameter運(yùn)行在可靠的傳輸協(xié)議TCP、SCTP之上。Diameter還支持窗口機(jī)制，每個(gè)會(huì)話方可以動(dòng)態(tài)調(diào)整自己的接收窗口，以免發(fā)送超出對(duì)方處理能力的請(qǐng)求。RADIUS協(xié)議不支持失敗恢復(fù)機(jī)制，而Diameter支持應(yīng)用層確認(rèn)，并且定義了失敗恢復(fù)算法和相關(guān)的狀態(tài)機(jī),能夠立即檢測(cè)出傳輸錯(cuò)誤。RADIUS固有的C/S模式限制了它的進(jìn)一步發(fā)展。Diameter采用了peer-to-peer模式，peer的任何一端都可以發(fā)送消息以發(fā)起計(jì)費(fèi)等功能或中斷連接。Diameter還支持認(rèn)證和授權(quán)分離，重授權(quán)可以隨時(shí)根據(jù)需求進(jìn)行。而RADIUS中認(rèn)證與授權(quán)必須是成對(duì)出現(xiàn)的。故選擇B選項(xiàng)。22.下列選項(xiàng)中，不屬于代碼混淆技術(shù)的是（）。A、語(yǔ)法轉(zhuǎn)換B、控制流轉(zhuǎn)換C、數(shù)據(jù)轉(zhuǎn)換D、詞法轉(zhuǎn)換答案：A解析：[解析]代碼混淆技術(shù)在保持原有代碼功能的基礎(chǔ)上,通過(guò)代碼變換等混淆手段實(shí)現(xiàn)降低代碼的人工可讀性、隱藏代碼原始邏輯的技術(shù)。代碼混淆技術(shù)可通過(guò)多種技術(shù)手段實(shí)現(xiàn)，包括詞法轉(zhuǎn)換、控制流轉(zhuǎn)換、數(shù)據(jù)轉(zhuǎn)換。故選擇A選項(xiàng)。23.信息技術(shù)的飛速發(fā)展，對(duì)人類社會(huì)產(chǎn)生了重要影響，其主流是積極的，但也客觀存在一些負(fù)面影響。下列選項(xiàng)不屬于信息技術(shù)消極影響的是A、信息爆炸B、信息污染C、信息犯罪D、信息泛濫答案：A解析：本題考查信息技術(shù)的消極影響。選項(xiàng)A、B、C、D都是信息技術(shù)的消極影響，但是題目要求選出不屬于消極影響的選項(xiàng)，因此答案為A。信息爆炸是信息技術(shù)的積極影響，它使得人們可以更加方便地獲取信息，提高了信息的傳播效率和質(zhì)量。而信息污染、信息犯罪、信息泛濫等都是信息技術(shù)的消極影響，它們會(huì)對(duì)人們的生活和社會(huì)造成負(fù)面影響。24.下列關(guān)于IPS系統(tǒng)的描述中，錯(cuò)誤的是A、實(shí)現(xiàn)對(duì)傳輸內(nèi)容的深度檢測(cè)和安全防護(hù)B、控制臺(tái)以串聯(lián)方式部署在網(wǎng)絡(luò)中以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的攔截C、對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)的同時(shí)進(jìn)行過(guò)濾D、攔截黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒等惡意流量答案：B解析：本題考查對(duì)IPS系統(tǒng)的理解。IPS系統(tǒng)是入侵防御系統(tǒng)，主要用于檢測(cè)和防御網(wǎng)絡(luò)中的惡意流量，保護(hù)網(wǎng)絡(luò)安全。根據(jù)題目描述，選項(xiàng)A、C、D都是IPS系統(tǒng)的功能，而選項(xiàng)B描述的是控制臺(tái)的部署方式，與IPS系統(tǒng)的功能無(wú)關(guān)，因此選項(xiàng)B是錯(cuò)誤的。綜上所述，本題答案為B。25.電子認(rèn)證服務(wù)提供者被依法吊銷電子認(rèn)證許可證書(shū)的，其業(yè)務(wù)承接事項(xiàng)的處理按照下列哪個(gè)機(jī)構(gòu)的規(guī)定執(zhí)行（）。A、國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)B、公安部信息安全部門(mén)C、國(guó)家安全局D、所在轄區(qū)最高行政機(jī)關(guān)答案：A解析：本題考查的是電子認(rèn)證服務(wù)提供者被吊銷電子認(rèn)證許可證書(shū)后，其業(yè)務(wù)承接事項(xiàng)的處理機(jī)構(gòu)。根據(jù)《電子認(rèn)證服務(wù)管理辦法》第二十三條規(guī)定，電子認(rèn)證服務(wù)提供者被吊銷電子認(rèn)證許可證書(shū)的，應(yīng)當(dāng)停止業(yè)務(wù)承接事項(xiàng)，并按照國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)的規(guī)定處理。因此，本題答案為A。26.在微軟的SDL模型中，第O階段是A、項(xiàng)目啟動(dòng)階段B、定義需要遵守的安全設(shè)計(jì)原則C、準(zhǔn)備階段D、產(chǎn)品風(fēng)險(xiǎn)評(píng)估答案：C解析：微軟的SDL模型是一種軟件開(kāi)發(fā)過(guò)程模型，包括七個(gè)階段，分別是：準(zhǔn)備、定義、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、發(fā)布和響應(yīng)。第0階段是準(zhǔn)備階段，主要包括以下工作：1.確定項(xiàng)目的范圍和目標(biāo)，明確開(kāi)發(fā)的軟件產(chǎn)品的用途和功能。2.確定項(xiàng)目的約束條件，包括時(shí)間、預(yù)算、人力資源等。3.確定項(xiàng)目的開(kāi)發(fā)流程和開(kāi)發(fā)方法，包括開(kāi)發(fā)工具、開(kāi)發(fā)環(huán)境等。4.確定項(xiàng)目的安全需求和安全目標(biāo)，為后續(xù)的安全設(shè)計(jì)和開(kāi)發(fā)提供指導(dǎo)。因此，本題的正確答案是C，即準(zhǔn)備階段。其他選項(xiàng)中，A選項(xiàng)的項(xiàng)目啟動(dòng)階段是軟件開(kāi)發(fā)過(guò)程中的一個(gè)常見(jiàn)階段，但不是微軟SDL模型中的第0階段；B選項(xiàng)的定義需要遵守的安全設(shè)計(jì)原則是SDL模型中的第1階段；D選項(xiàng)的產(chǎn)品風(fēng)險(xiǎn)評(píng)估是SDL模型中的第2階段。27.下列關(guān)于信息安全威脅類型與實(shí)例的對(duì)應(yīng)關(guān)系中，錯(cuò)誤的是（）。A、人為過(guò)失或失敗行為;意外事故B、蓄意信息敲詐行為;非法使用硬件設(shè)備或信息C、蓄意破壞行為;破壞系統(tǒng)或信息D、蓄意軟件攻擊;病毒、蠕蟲(chóng)、宏、拒絕服務(wù)答案：B解析：本題考查的是信息安全威脅類型與實(shí)例的對(duì)應(yīng)關(guān)系。選項(xiàng)A中的人為過(guò)失或失敗行為和意外事故都是可能導(dǎo)致信息安全威脅的原因；選項(xiàng)C中的蓄意破壞行為指的是故意破壞系統(tǒng)或信息的行為；選項(xiàng)D中的蓄意軟件攻擊包括病毒、蠕蟲(chóng)、宏、拒絕服務(wù)等類型。而選項(xiàng)B中的非法使用硬件設(shè)備或信息并不是一種常見(jiàn)的信息安全威脅類型，因此選項(xiàng)B是錯(cuò)誤的。綜上所述，本題的正確答案為B。28.電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書(shū)應(yīng)當(dāng)載明的內(nèi)容,不包括A、證書(shū)涉及的私鑰B、證書(shū)持有人名稱C、證書(shū)序列號(hào)D、證書(shū)有效期答案：A解析：本題考查的是電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書(shū)應(yīng)當(dāng)載明的內(nèi)容。根據(jù)電子簽名法的相關(guān)規(guī)定，電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書(shū)應(yīng)當(dāng)包括證書(shū)持有人名稱、證書(shū)序列號(hào)、證書(shū)有效期等信息，但不應(yīng)包括證書(shū)涉及的私鑰。因此，選項(xiàng)A是不正確的，是本題的答案。29.信息技術(shù)的消極影響，不包括A、信息泛濫B、信息隱藏C、信息污染D、信息犯罪答案：B解析：本題考查信息技術(shù)的消極影響，要求考生從四個(gè)選項(xiàng)中選擇不屬于消極影響的選項(xiàng)。選項(xiàng)A、C、D都是信息技術(shù)的消極影響，只有選項(xiàng)B是不屬于消極影響的選項(xiàng)。因此，答案為B。30.屬于序列密碼算法的是A、RC4B、DESC、IDEAD、AES答案：A解析：本題考查的是密碼學(xué)中的序列密碼算法。序列密碼算法是一種基于密鑰流的加密算法，它將明文和密鑰流進(jìn)行異或運(yùn)算，得到密文。常見(jiàn)的序列密碼算法有RC4、Salsa20、ChaCha20等。選項(xiàng)A中的RC4就是一種序列密碼算法，因此選項(xiàng)A是正確答案。選項(xiàng)B中的DES是一種分組密碼算法，不屬于序列密碼算法。選項(xiàng)C中的IDEA也是一種分組密碼算法，不屬于序列密碼算法。選項(xiàng)D中的AES也是一種分組密碼算法，不屬于序列密碼算法。綜上所述，本題的正確答案是A。31.《信息安全等級(jí)保護(hù)管理辦法》的五個(gè)安全保護(hù)等級(jí)中，描述為“會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害”的是A、二級(jí)B、三級(jí)C、五級(jí)D、四級(jí)答案：D解析：本題考查對(duì)《信息安全等級(jí)保護(hù)管理辦法》中五個(gè)安全保護(hù)等級(jí)的理解。根據(jù)題干中的描述“會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害”，可以判斷該等級(jí)應(yīng)該是最高等級(jí)，即五級(jí)。而選項(xiàng)中只有D選項(xiàng)為四級(jí)，因此D選項(xiàng)為正確答案。其他選項(xiàng)的描述分別為：二級(jí)為“會(huì)對(duì)社會(huì)秩序和公共利益造成較大損害，或者對(duì)國(guó)家安全造成較大威脅”；三級(jí)為“會(huì)對(duì)社會(huì)秩序和公共利益造成一定損害，或者對(duì)國(guó)家安全造成一定威脅”；五級(jí)為“會(huì)對(duì)社會(huì)秩序和公共利益造成極其嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成極其嚴(yán)重威脅”。因此，本題答案為D。32.下列選項(xiàng)中，不屬于操作系統(tǒng)平臺(tái)中軟件漏洞的是A、XSS漏洞B、文件處理軟件漏洞C、瀏覽器軟件漏洞D、操作系統(tǒng)服務(wù)程序漏洞答案：A解析：本題考查的是操作系統(tǒng)平臺(tái)中軟件漏洞的分類。選項(xiàng)A的XSS漏洞是一種Web應(yīng)用程序漏洞，不屬于操作系統(tǒng)平臺(tái)中的軟件漏洞。選項(xiàng)B的文件處理軟件漏洞、選項(xiàng)C的瀏覽器軟件漏洞、選項(xiàng)D的操作系統(tǒng)服務(wù)程序漏洞都屬于操作系統(tǒng)平臺(tái)中的軟件漏洞。因此，本題的正確答案是A。33.下列關(guān)于防火墻DMZ區(qū)域的描述中，錯(cuò)誤的是（）。A、DMZ區(qū)域的計(jì)算機(jī)不能訪問(wèn)內(nèi)網(wǎng)的計(jì)算機(jī)B、外網(wǎng)的計(jì)算機(jī)不能訪問(wèn)DMZ區(qū)域的計(jì)算機(jī)C、內(nèi)網(wǎng)的計(jì)算機(jī)能訪問(wèn)DMZ區(qū)域的計(jì)算機(jī)D、MZ區(qū)域的計(jì)算機(jī)可以訪問(wèn)外網(wǎng)的計(jì)算機(jī)答案：B解析：防火墻DMZ區(qū)域是指在防火墻內(nèi)部設(shè)置的一個(gè)區(qū)域，用于放置一些對(duì)外提供服務(wù)的服務(wù)器，如Web服務(wù)器、郵件服務(wù)器等。DMZ區(qū)域與內(nèi)網(wǎng)和外網(wǎng)都有聯(lián)系，因此需要進(jìn)行安全設(shè)置。A選項(xiàng)正確，DMZ區(qū)域的計(jì)算機(jī)不能訪問(wèn)內(nèi)網(wǎng)的計(jì)算機(jī)，這是為了防止DMZ區(qū)域的計(jì)算機(jī)被攻擊后，攻擊者進(jìn)一步攻擊內(nèi)網(wǎng)的計(jì)算機(jī)。B選項(xiàng)錯(cuò)誤，外網(wǎng)的計(jì)算機(jī)可以訪問(wèn)DMZ區(qū)域的計(jì)算機(jī)，否則DMZ區(qū)域的服務(wù)器就無(wú)法對(duì)外提供服務(wù)。C選項(xiàng)正確，內(nèi)網(wǎng)的計(jì)算機(jī)能訪問(wèn)DMZ區(qū)域的計(jì)算機(jī)，這是為了方便內(nèi)網(wǎng)的用戶訪問(wèn)DMZ區(qū)域的服務(wù)器。D選項(xiàng)正確，DMZ區(qū)域的計(jì)算機(jī)可以訪問(wèn)外網(wǎng)的計(jì)算機(jī)，這是為了DMZ區(qū)域的服務(wù)器能夠與外部進(jìn)行通信，如Web服務(wù)器需要與外部用戶進(jìn)行通信。34.不屬于應(yīng)急計(jì)劃三元素的是A、基本風(fēng)險(xiǎn)評(píng)估B、事件響應(yīng)C、災(zāi)難恢復(fù)D、業(yè)務(wù)持續(xù)性計(jì)劃答案：A解析：本題考查應(yīng)急計(jì)劃的三個(gè)基本元素，即事件響應(yīng)、災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計(jì)劃。基本風(fēng)險(xiǎn)評(píng)估不屬于應(yīng)急計(jì)劃的三個(gè)基本元素，因此選項(xiàng)A為正確答案。事件響應(yīng)是指在事件發(fā)生后，及時(shí)采取措施，防止事態(tài)擴(kuò)大，保護(hù)人員和財(cái)產(chǎn)安全，盡快恢復(fù)正常生產(chǎn)和工作秩序。災(zāi)難恢復(fù)是指在災(zāi)難發(fā)生后，通過(guò)采取一系列措施，恢復(fù)受災(zāi)區(qū)域的基礎(chǔ)設(shè)施、生產(chǎn)設(shè)備和生活設(shè)施，以及恢復(fù)受災(zāi)人員的生產(chǎn)和生活秩序。業(yè)務(wù)持續(xù)性計(jì)劃是指在突發(fā)事件發(fā)生后，通過(guò)采取一系列措施，確保企業(yè)的業(yè)務(wù)能夠持續(xù)運(yùn)營(yíng)，保障客戶的利益和企業(yè)的聲譽(yù)。35.下列關(guān)于Kerberos協(xié)議的說(shuō)法中，錯(cuò)誤的是（）。A、支持單點(diǎn)登錄B、支持雙向的身份認(rèn)證C、身份認(rèn)證采用的是非對(duì)稱加密機(jī)制D、通過(guò)交換"跨域密鑰”實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證答案：C解析：Kerberos協(xié)議是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，用于在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證。下列關(guān)于Kerberos協(xié)議的說(shuō)法中，錯(cuò)誤的是C選項(xiàng)。Kerberos協(xié)議采用的是對(duì)稱加密機(jī)制，而不是非對(duì)稱加密機(jī)制。對(duì)稱加密機(jī)制是指加密和解密使用相同的密鑰，而非對(duì)稱加密機(jī)制則是使用一對(duì)密鑰，即公鑰和私鑰。Kerberos協(xié)議通過(guò)交換"跨域密鑰"實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證，支持單點(diǎn)登錄和雙向的身份認(rèn)證。因此，選項(xiàng)C是錯(cuò)誤的。36.使用Is命令查看UNIX文件權(quán)限顯示的結(jié)果為"drW-"，說(shuō)明擁有者對(duì)該文件A、可讀可寫(xiě)B(tài)、只讀不寫(xiě)C、只寫(xiě)不讀D、不讀不寫(xiě)答案：B37.風(fēng)險(xiǎn)評(píng)估分為A、第三方評(píng)估和檢查評(píng)估B、專業(yè)機(jī)構(gòu)評(píng)估和檢查評(píng)估C、行業(yè)評(píng)估和檢查評(píng)估D、自評(píng)估和檢查評(píng)估答案：D解析：本題考查風(fēng)險(xiǎn)評(píng)估的分類。風(fēng)險(xiǎn)評(píng)估是指對(duì)某一事物或活動(dòng)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估，以確定其可能存在的風(fēng)險(xiǎn)和危害程度，并采取相應(yīng)的措施進(jìn)行預(yù)防和控制。根據(jù)題目所給選項(xiàng)，可以看出風(fēng)險(xiǎn)評(píng)估分為第三方評(píng)估、專業(yè)機(jī)構(gòu)評(píng)估、行業(yè)評(píng)估和自評(píng)估四種類型。而答案為D選項(xiàng)，即自評(píng)估和檢查評(píng)估。自評(píng)估是指企業(yè)或組織自行對(duì)自身的風(fēng)險(xiǎn)進(jìn)行評(píng)估，檢查評(píng)估則是指由相關(guān)部門(mén)或機(jī)構(gòu)對(duì)企業(yè)或組織進(jìn)行風(fēng)險(xiǎn)檢查和評(píng)估。因此，D選項(xiàng)是本題的正確答案。38.中央于年9月頒布的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)27號(hào)文件)，標(biāo)志著我國(guó)信息安全保障體系建設(shè)工作的開(kāi)始A、2003B、2001C、1999D、2005答案：A解析：根據(jù)題干中提到的關(guān)鍵詞“中央”、“國(guó)家信息化領(lǐng)導(dǎo)小組”、“信息安全保障工作”的時(shí)間線索“于...年9月頒布”的提示，可以推斷出這是一道考查歷史事件時(shí)間的題目。根據(jù)選項(xiàng)中的年份，依次進(jìn)行排除，最終得出正確答案為A，即2003年。39.信息安全風(fēng)險(xiǎn)管理主要包括A、風(fēng)險(xiǎn)的消除、風(fēng)險(xiǎn)的評(píng)估和風(fēng)險(xiǎn)控制策略B、風(fēng)險(xiǎn)的審核、風(fēng)險(xiǎn)的評(píng)估和風(fēng)險(xiǎn)控制策略C、風(fēng)險(xiǎn)的產(chǎn)生、風(fēng)險(xiǎn)的評(píng)估和風(fēng)險(xiǎn)控制策略D、風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估和風(fēng)險(xiǎn)控制策略答案：D解析：本題考查信息安全風(fēng)險(xiǎn)管理的基本概念和流程。信息安全風(fēng)險(xiǎn)管理主要包括風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估和風(fēng)險(xiǎn)控制策略。選項(xiàng)A中的“風(fēng)險(xiǎn)的消除”不符合實(shí)際情況，因?yàn)樾畔踩L(fēng)險(xiǎn)是無(wú)法完全消除的，只能通過(guò)控制策略來(lái)降低風(fēng)險(xiǎn)；選項(xiàng)B中的“風(fēng)險(xiǎn)的審核”也不正確，因?yàn)轱L(fēng)險(xiǎn)管理的第一步是識(shí)別風(fēng)險(xiǎn)，而不是審核風(fēng)險(xiǎn)；選項(xiàng)C中的“風(fēng)險(xiǎn)的產(chǎn)生”也不準(zhǔn)確，因?yàn)轱L(fēng)險(xiǎn)是由各種因素引起的，而不是單純的產(chǎn)生。因此，正確答案為D。40.下列關(guān)于非集中式訪問(wèn)控制的說(shuō)法中，錯(cuò)誤的是（）。A、Hotmail、Yahoo、163等知名網(wǎng)站上使用的通行證技術(shù)應(yīng)用了單點(diǎn)登錄B、Kerberos協(xié)議設(shè)計(jì)的核心是，在用戶的驗(yàn)證過(guò)程中引入一個(gè)可信的第三方，即Kerberos驗(yàn)證服務(wù)器，它通常也稱為密鑰分發(fā)服務(wù)器，負(fù)責(zé)執(zhí)行用戶和服務(wù)的安全驗(yàn)證C、分布式的異構(gòu)網(wǎng)絡(luò)環(huán)境中，在用戶必須向每個(gè)要訪問(wèn)的服務(wù)器或服務(wù)提供憑證的情況下，使用Kerberos協(xié)議能夠有效地簡(jiǎn)化網(wǎng)絡(luò)的驗(yàn)證過(guò)程D、在許多應(yīng)用中，Kerberos協(xié)議需要結(jié)合單點(diǎn)登錄技術(shù)以減少用戶在不同服務(wù)器中的認(rèn)證過(guò)程答案：D解析：本題考查的是非集中式訪問(wèn)控制的相關(guān)知識(shí)。非集中式訪問(wèn)控制是指在分布式的異構(gòu)網(wǎng)絡(luò)環(huán)境中，用戶必須向每個(gè)要訪問(wèn)的服務(wù)器或服務(wù)提供憑證的情況下，使用的一種訪問(wèn)控制方式。A選項(xiàng)說(shuō)的是Hotmail、Yahoo、163等知名網(wǎng)站上使用的通行證技術(shù)應(yīng)用了單點(diǎn)登錄，這是正確的，因?yàn)閱吸c(diǎn)登錄是一種集中式訪問(wèn)控制技術(shù)，與非集中式訪問(wèn)控制無(wú)關(guān)。B選項(xiàng)說(shuō)的是Kerberos協(xié)議設(shè)計(jì)的核心是，在用戶的驗(yàn)證過(guò)程中引入一個(gè)可信的第三方，即Kerberos驗(yàn)證服務(wù)器，它通常也稱為密鑰分發(fā)服務(wù)器，負(fù)責(zé)執(zhí)行用戶和服務(wù)的安全驗(yàn)證，這是正確的，與非集中式訪問(wèn)控制有關(guān)。C選項(xiàng)說(shuō)的是分布式的異構(gòu)網(wǎng)絡(luò)環(huán)境中，在用戶必須向每個(gè)要訪問(wèn)的服務(wù)器或服務(wù)提供憑證的情況下，使用Kerberos協(xié)議能夠有效地簡(jiǎn)化網(wǎng)絡(luò)的驗(yàn)證過(guò)程，這也是正確的，與非集中式訪問(wèn)控制有關(guān)。D選項(xiàng)說(shuō)的是在許多應(yīng)用中，Kerberos協(xié)議需要結(jié)合單點(diǎn)登錄技術(shù)以減少用戶在不同服務(wù)器中的認(rèn)證過(guò)程，這是錯(cuò)誤的，因?yàn)镵erberos協(xié)議是一種非集中式訪問(wèn)控制技術(shù)，與單點(diǎn)登錄技術(shù)無(wú)關(guān)。綜上所述，本題的正確答案是D。41.為了風(fēng)險(xiǎn)管理的需要，一本方針手冊(cè)還是必要的。手冊(cè)一般包括的內(nèi)容有A、信息安全方針的闡述B、控制目標(biāo)與控制方式描述C、程序或其引用D、以上全包括答案：D解析：本題考察的是風(fēng)險(xiǎn)管理中方針手冊(cè)的內(nèi)容。根據(jù)題干中的描述，方針手冊(cè)一般包括信息安全方針的闡述、控制目標(biāo)與控制方式描述、程序或其引用三個(gè)方面的內(nèi)容。因此，選項(xiàng)D“以上全包括”是正確的答案。選項(xiàng)A、B、C都只涉及到方針手冊(cè)中的一部分內(nèi)容，不全面，因此不是正確答案。42.軟件的動(dòng)態(tài)安全檢測(cè)技術(shù)不包括A、詞法分析B、模糊測(cè)試C、智能模糊測(cè)試D、動(dòng)態(tài)污點(diǎn)跟蹤答案：A解析：本題考查的是軟件的動(dòng)態(tài)安全檢測(cè)技術(shù)，選項(xiàng)中有三個(gè)與模糊測(cè)試相關(guān)，一個(gè)與動(dòng)態(tài)污點(diǎn)跟蹤相關(guān)，而詞法分析與動(dòng)態(tài)安全檢測(cè)技術(shù)無(wú)關(guān)。因此，答案為A。43.電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)妥善保存與認(rèn)證相關(guān)的信息，信息保存期限至少為電子簽名認(rèn)證證書(shū)失效后A、5年B、3年C、1年D、2年答案：A解析：本題考查的是電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)妥善保存與認(rèn)證相關(guān)的信息的保存期限。根據(jù)題干中的提示，信息保存期限至少為電子簽名認(rèn)證證書(shū)失效后，因此正確答案應(yīng)該是保存期限最長(zhǎng)的選項(xiàng)。根據(jù)相關(guān)法律法規(guī)，電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)妥善保存與認(rèn)證相關(guān)的信息，信息保存期限一般為5年。因此，本題的正確答案為A選項(xiàng)。44.下列選項(xiàng)中，不能有效檢測(cè)采用加殼技術(shù)的惡意程序的是（）。A、主動(dòng)防御技術(shù)B、特征碼查殺技術(shù)C、虛擬機(jī)查殺技術(shù)D、啟發(fā)式查殺技術(shù)答案：B解析：本題考查的是惡意程序檢測(cè)技術(shù)。加殼技術(shù)是指將惡意程序進(jìn)行加密或壓縮等處理，使其難以被檢測(cè)出來(lái)。針對(duì)加殼技術(shù)的惡意程序，常用的檢測(cè)技術(shù)包括主動(dòng)防御技術(shù)、虛擬機(jī)查殺技術(shù)和啟發(fā)式查殺技術(shù)。而特征碼查殺技術(shù)是指通過(guò)查找惡意程序的特征碼來(lái)進(jìn)行檢測(cè)，對(duì)于加殼技術(shù)的惡意程序，由于其特征碼已經(jīng)被加密或壓縮，因此無(wú)法有效檢測(cè)。因此，本題的正確答案是B。45.根據(jù)水印的加載位置，軟件水印可以分為A、代碼水印和數(shù)據(jù)水印B、靜態(tài)水印和動(dòng)態(tài)水印C、源碼水印和可執(zhí)行程序水印D、圖像水印和音頻水印答案：A解析：本題考察的是軟件水印的分類。根據(jù)水印的加載位置，軟件水印可以分為代碼水印和數(shù)據(jù)水印。代碼水印是指將水印嵌入到軟件的源代碼中，而數(shù)據(jù)水印則是將水印嵌入到軟件的數(shù)據(jù)文件中。因此，選項(xiàng)A是正確的。選項(xiàng)B中的靜態(tài)水印和動(dòng)態(tài)水印是指根據(jù)水印的特點(diǎn)進(jìn)行分類的，與水印的加載位置無(wú)關(guān)。選項(xiàng)C中的源碼水印和可執(zhí)行程序水印也是指根據(jù)水印的嵌入位置進(jìn)行分類的，但與本題所考察的分類不符。選項(xiàng)D中的圖像水印和音頻水印則是指其他領(lǐng)域的水印分類，與軟件水印無(wú)關(guān)。因此，本題的正確答案是A。46.將可執(zhí)行文件進(jìn)行解壓縮或者解密,從而使可執(zhí)行文件還原為可執(zhí)行的正常狀態(tài)的技術(shù)是A、軟件脫殼B、逆向分析C、軟件加殼D、反跟蹤反調(diào)試答案：A解析：本題考查的是對(duì)于可執(zhí)行文件的處理技術(shù)。選項(xiàng)A中的“軟件脫殼”是指將加殼后的可執(zhí)行文件進(jìn)行解壓縮或解密，使其還原為可執(zhí)行的正常狀態(tài)。因此，A選項(xiàng)是本題的正確答案。選項(xiàng)B中的“逆向分析”是指通過(guò)對(duì)程序進(jìn)行反匯編、反編譯等技術(shù)手段，分析程序的結(jié)構(gòu)和功能。雖然逆向分析也可以用于處理可執(zhí)行文件，但不是本題所考查的技術(shù)。選項(xiàng)C中的“軟件加殼”是指將可執(zhí)行文件進(jìn)行加密或壓縮，以保護(hù)程序的安全性和防止被破解。與本題所考查的技術(shù)相反。選項(xiàng)D中的“反跟蹤反調(diào)試”是指通過(guò)一系列技術(shù)手段，防止程序被調(diào)試或跟蹤。與本題所考查的技術(shù)無(wú)關(guān)。綜上所述，本題的正確答案是A。47.組織機(jī)構(gòu)進(jìn)行信息安全管理體系認(rèn)證的目的，一般包括A、獲得最佳的信息安全運(yùn)行方式B、保證商業(yè)安全C、降低風(fēng)險(xiǎn)，避免損失D、以上都是答案：D解析：組織機(jī)構(gòu)進(jìn)行信息安全管理體系認(rèn)證的目的是為了確保其信息安全管理體系的有效性和可靠性，從而保護(hù)組織機(jī)構(gòu)的信息資產(chǎn)，避免信息泄露、損失和風(fēng)險(xiǎn)。因此，選項(xiàng)A、B、C都是組織機(jī)構(gòu)進(jìn)行信息安全管理體系認(rèn)證的目的，故答案為D。48.基于軟件技術(shù)的安全保護(hù)方法不包括A、軟件加殼B、加密狗C、反調(diào)試反跟蹤技術(shù)D、數(shù)字水印答案：B解析：本題考查的是基于軟件技術(shù)的安全保護(hù)方法，選項(xiàng)中不包括的是哪一項(xiàng)。A選項(xiàng)中的“軟件加殼”是一種常見(jiàn)的軟件保護(hù)技術(shù)，可以將軟件代碼進(jìn)行加密和混淆，增加破解難度，提高軟件安全性。B選項(xiàng)中的“加密狗”是一種硬件保護(hù)技術(shù)，通過(guò)將加密算法和密鑰存儲(chǔ)在加密狗中，實(shí)現(xiàn)對(duì)軟件的保護(hù)，防止軟件被盜版和破解。C選項(xiàng)中的“反調(diào)試反跟蹤技術(shù)”是一種防止軟件被調(diào)試和跟蹤的技術(shù)，可以有效防止黑客攻擊和惡意軟件的侵入。D選項(xiàng)中的“數(shù)字水印”是一種將特定信息嵌入到數(shù)字內(nèi)容中的技術(shù)，可以用于版權(quán)保護(hù)和防止盜版。綜上所述，選項(xiàng)B中的“加密狗”是一種硬件保護(hù)技術(shù)，不屬于基于軟件技術(shù)的安全保護(hù)方法，因此是本題的正確答案。49.由用戶選出或由系統(tǒng)分配給用戶的可在較長(zhǎng)時(shí)間內(nèi)用戶所專用的秘密密鑰是A、用戶密鑰B、密鑰加密密鑰C、會(huì)話密鑰D、主機(jī)主密鑰答案：A解析：本題考查的是密鑰管理的相關(guān)知識(shí)。根據(jù)題意，用戶選出或由系統(tǒng)分配給用戶的可在較長(zhǎng)時(shí)間內(nèi)用戶所專用的秘密密鑰是用戶密鑰，因此答案為A。選項(xiàng)B中的密鑰加密密鑰是用于加密其他密鑰的密鑰，不是用戶所專用的密鑰。選項(xiàng)C中的會(huì)話密鑰是在通信過(guò)程中臨時(shí)生成的密鑰，用于保證通信的機(jī)密性和完整性，不是長(zhǎng)期使用的密鑰。選項(xiàng)D中的主機(jī)主密鑰是用于保護(hù)主機(jī)的密鑰，不是用戶所專用的密鑰。因此，本題的正確答案為A。50.人為的網(wǎng)絡(luò)攻擊是信息安全問(wèn)題產(chǎn)生的A、內(nèi)因B、外因C、既是內(nèi)因,也是外因D、既不是內(nèi)因，也不是外因答案：B解析：本題考查信息安全問(wèn)題產(chǎn)生的原因。根據(jù)題干中的“人為的網(wǎng)絡(luò)攻擊”，可以判斷這是一種外部因素，即外因。因此，答案為B。其他選項(xiàng)都與題干不符。51.屬于數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)的是A、數(shù)據(jù)庫(kù)入侵檢測(cè)防護(hù)B、服務(wù)發(fā)現(xiàn)C、滲透測(cè)試D、內(nèi)部安全檢測(cè)答案：A解析：本題考察的是數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)，選項(xiàng)中只有A選項(xiàng)“數(shù)據(jù)庫(kù)入侵檢測(cè)防護(hù)”屬于數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)的范疇，因此答案為A。B選項(xiàng)的服務(wù)發(fā)現(xiàn)是指在網(wǎng)絡(luò)中發(fā)現(xiàn)可用的服務(wù)，不屬于數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)的范疇。C選項(xiàng)的滲透測(cè)試是指模擬黑客攻擊的方式來(lái)測(cè)試系統(tǒng)的安全性，不屬于數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)的范疇。D選項(xiàng)的內(nèi)部安全檢測(cè)是指對(duì)內(nèi)部員工的安全行為進(jìn)行監(jiān)控和檢測(cè)，也不屬于數(shù)據(jù)庫(kù)動(dòng)態(tài)安全防護(hù)的范疇。因此，本題的正確答案為A。52.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》將信息系統(tǒng)安全分為五個(gè)等級(jí)。下列選項(xiàng)中，不包括的是（）。A、訪問(wèn)驗(yàn)證保護(hù)級(jí)B、系統(tǒng)審計(jì)保護(hù)級(jí)C、安全標(biāo)記保護(hù)級(jí)D、協(xié)議保護(hù)級(jí)答案：D解析：本題考查的是《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中的五個(gè)安全保護(hù)級(jí)別。根據(jù)題目要求，我們需要找出不包括在其中的選項(xiàng)。A、B、C、D四個(gè)選項(xiàng)中，只有D選項(xiàng)是不在《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中的。因此，本題的答案是D。53.訪問(wèn)控制所保護(hù)的客體屬性，不包括（）。A、糾正性B、可用性C、完整性D、機(jī)密性答案：A解析：本題考查訪問(wèn)控制的概念。訪問(wèn)控制是指對(duì)系統(tǒng)中的資源進(jìn)行保護(hù)，以確保只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)這些資源。訪問(wèn)控制所保護(hù)的客體屬性包括機(jī)密性、完整性、可用性，但不包括糾正性。因此，本題的正確答案為A。54.TCP的端口號(hào)范圍是A、0-65535B、0-10240C、0-25500D、0-49958答案：A解析：TCP協(xié)議的端口號(hào)范圍是0-65535，其中0-1023是系統(tǒng)保留端口，一般用于常見(jiàn)的服務(wù)，如HTTP服務(wù)的端口號(hào)為80，F(xiàn)TP服務(wù)的端口號(hào)為21等。而1024-65535是用戶端口，用于一般的應(yīng)用程序。因此，本題的正確答案為A。55.下列選項(xiàng)中，不屬于緩沖區(qū)溢出的是（）。A、棧溢出B、整數(shù)溢出C、堆溢出D、單字節(jié)溢出答案：B解析：[解析]緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，使得溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，理想的情況是程序檢查數(shù)據(jù)長(zhǎng)度并不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符，但是絕大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的儲(chǔ)存空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為"堆棧"。在各個(gè)操作進(jìn)程之間，指令會(huì)被臨時(shí)儲(chǔ)存在"堆?！碑?dāng)中，"堆?！币矔?huì)出現(xiàn)緩沖區(qū)溢出，單字節(jié)溢出是指程序中的緩沖區(qū)僅能溢出一個(gè)字節(jié)。故選擇B選項(xiàng)。56.下列協(xié)議中，不能防范網(wǎng)絡(luò)嗅探的是A、VPNB、SMTPC、SSHD、SSL答案：B解析：本題考查的是網(wǎng)絡(luò)安全協(xié)議的特點(diǎn)和功能。網(wǎng)絡(luò)嗅探是指黑客通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包的方式獲取網(wǎng)絡(luò)通信內(nèi)容的行為，因此防范網(wǎng)絡(luò)嗅探的協(xié)議應(yīng)該具有加密傳輸、身份認(rèn)證等安全特性。A.VPN（虛擬私人網(wǎng)絡(luò)）是一種通過(guò)公共網(wǎng)絡(luò)建立加密通道的安全通信方式，可以有效防范網(wǎng)絡(luò)嗅探，因此選項(xiàng)A是正確的。B.SMTP（簡(jiǎn)單郵件傳輸協(xié)議）是一種用于電子郵件傳輸?shù)膮f(xié)議，不具備加密傳輸和身份認(rèn)證等安全特性，容易被黑客監(jiān)聽(tīng)和竊取郵件內(nèi)容，因此選項(xiàng)B是錯(cuò)誤的。C.SSH（安全外殼協(xié)議）是一種用于遠(yuǎn)程登錄和文件傳輸?shù)陌踩珔f(xié)議，具有加密傳輸和身份認(rèn)證等安全特性，可以有效防范網(wǎng)絡(luò)嗅探，因此選項(xiàng)C是正確的。D.SSL（安全套接層協(xié)議）是一種用于Web瀏覽器和服務(wù)器之間的安全通信協(xié)議，具有加密傳輸和身份認(rèn)證等安全特性，可以有效防范網(wǎng)絡(luò)嗅探，因此選項(xiàng)D是正確的。綜上所述，本題的正確答案是B。57.信息安全屬性中，含義是“保證信息不被竊聽(tīng)，或竊聽(tīng)者不能了解信息的真實(shí)含義”的是（）。A、機(jī)密性B、完整性C、不可否認(rèn)性D、可用性答案：A解析：本題考查的是信息安全屬性中的機(jī)密性。機(jī)密性是指保證信息不被竊聽(tīng)，或竊聽(tīng)者不能了解信息的真實(shí)含義。因此，本題的正確答案為A。選項(xiàng)B的完整性是指信息在傳輸或存儲(chǔ)過(guò)程中不被篡改、刪除或插入，保證信息的完整性和準(zhǔn)確性；選項(xiàng)C的不可否認(rèn)性是指在信息傳輸過(guò)程中，發(fā)送方不能否認(rèn)已經(jīng)發(fā)送過(guò)信息，接收方也不能否認(rèn)已經(jīng)接收到信息；選項(xiàng)D的可用性是指信息系統(tǒng)在需要時(shí)能夠及時(shí)、可靠地提供服務(wù)，保證信息系統(tǒng)的正常運(yùn)行。這些選項(xiàng)雖然也是信息安全屬性，但與本題所考查的機(jī)密性不符。58.下列關(guān)于信息安全管理基本技術(shù)要求所涉及的五個(gè)層面的描述中，正確的是（）。A、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全B、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全C、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全D、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全答案：B解析：本題考查信息安全管理基本技術(shù)要求的五個(gè)層面。根據(jù)常識(shí)和相關(guān)知識(shí)可知，信息安全管理基本技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面。因此，選項(xiàng)B“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全”是正確的描述，是本題的正確答案。選項(xiàng)A“路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全”中的“路由安全”和“協(xié)議安全”不屬于信息安全管理基本技術(shù)要求的五個(gè)層面，選項(xiàng)C“路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全”中的“協(xié)議安全”也不屬于五個(gè)層面，選項(xiàng)D“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全”中的“協(xié)議安全”同樣不屬于五個(gè)層面。因此，選項(xiàng)B是本題的正確答案。59.信息安全管理基本管理要求涉及五個(gè)方面內(nèi)容，即A、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全B、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全C、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全D、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和傳輸安全答案：B解析：本題考查信息安全管理基本管理要求的內(nèi)容。根據(jù)題干所述，信息安全管理基本管理要求涉及五個(gè)方面內(nèi)容，分別是物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全。因此，答案為B。選項(xiàng)A中的“路由安全”和選項(xiàng)C中的“協(xié)議安全”都不屬于信息安全管理基本管理要求的內(nèi)容。選項(xiàng)D中的“傳輸安全”也不在其中。60.不屬于哈希函數(shù)特點(diǎn)的是A、可逆性B、單向性C、高靈敏性D、抗碰撞性答案：A解析：哈希函數(shù)是一種將任意長(zhǎng)度的消息壓縮到固定長(zhǎng)度的輸出的函數(shù)。它具有以下特點(diǎn)：A.不可逆性：哈希函數(shù)是單向的，即從哈希值無(wú)法推導(dǎo)出原始消息。B.單向性：哈希函數(shù)是單向的，即從原始消息無(wú)法推導(dǎo)出哈希值。C.高靈敏性：哈希函數(shù)對(duì)輸入數(shù)據(jù)的任何細(xì)微變化都會(huì)產(chǎn)生不同的哈希值。D.抗碰撞性：哈希函數(shù)應(yīng)該具有抗碰撞性，即對(duì)于不同的輸入數(shù)據(jù)，哈希值相同的概率非常小。因此，不屬于哈希函數(shù)特點(diǎn)的是可逆性，即選項(xiàng)A。61.在Windows系統(tǒng)中，可以通過(guò)修改日志文件訪問(wèn)權(quán)限防止日志信息被清空,但采用的文件系統(tǒng)格式必須是A、FATB、FAT32C、NTFSD、OS答案：C解析：本題考查的是Windows系統(tǒng)中防止日志信息被清空的方法，需要采用的文件系統(tǒng)格式是什么。根據(jù)常識(shí)和相關(guān)知識(shí)點(diǎn)，我們可以得出以下解析：Windows系統(tǒng)中，日志文件是用來(lái)記錄系統(tǒng)運(yùn)行狀態(tài)和事件的重要文件，可以幫助管理員進(jìn)行故障排查和安全審計(jì)。為了保證日志信息的完整性和可靠性，需要采取一些措施來(lái)防止日志被篡改或清空。其中一種方法就是修改日志文件的訪問(wèn)權(quán)限，只允許特定的用戶或程序?qū)ζ溥M(jìn)行讀取和寫(xiě)入，從而防止未經(jīng)授權(quán)的訪問(wèn)和修改。但是，要想實(shí)現(xiàn)這種權(quán)限控制，必須使用支持訪問(wèn)控制列表（ACL）的文件系統(tǒng)格式，例如NTFS。NTFS是Windows系統(tǒng)中常用的文件系統(tǒng)格式，具有許多優(yōu)點(diǎn)，如支持大容量存儲(chǔ)、文件加密、壓縮和權(quán)限控制等。相比之下，F(xiàn)AT和FAT32等早期的文件系統(tǒng)格式則不支持ACL，無(wú)法實(shí)現(xiàn)對(duì)日志文件的精細(xì)控制，容易被攻擊者利用漏洞進(jìn)行篡改或刪除。因此，本題的正確答案是C，即NTFS。選項(xiàng)A、B和D都是不正確的，因?yàn)樗鼈兌疾恢С諥CL，無(wú)法滿足日志文件的安全需求。62.建立完善的信息安全管理體系(ISMS)要求體現(xiàn)A、事先評(píng)估為主的思想B、預(yù)防控制為主的思想C、最小代價(jià)為主的思想D、處理及時(shí)為主的思想答案：B解析：本題考查信息安全管理體系(ISMS)的要求體現(xiàn)。正確答案為B，即預(yù)防控制為主的思想。解析：ISMS是指建立在信息安全管理原則基礎(chǔ)上的一套完整的信息安全管理體系，包括信息安全政策、信息安全組織、信息安全資產(chǎn)管理、人員安全管理、物理環(huán)境安全管理、通信和操作管理、訪問(wèn)控制管理、信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)、信息安全事件管理、信息安全持續(xù)改進(jìn)等方面。其中，預(yù)防控制為主的思想是ISMS的重要要求之一，即通過(guò)預(yù)防控制措施，盡可能地避免信息安全事件的發(fā)生，減少信息安全風(fēng)險(xiǎn)。因此，本題答案為B。其他選項(xiàng)中，事先評(píng)估為主的思想是ISMS中的另一個(gè)重要要求，但不是本題的答案；最小代價(jià)為主的思想和處理及時(shí)為主的思想也是ISMS中的要求，但不是預(yù)防控制為主的思想。63.下列選項(xiàng)中，屬于可執(zhí)行代碼靜態(tài)安全檢測(cè)技術(shù)的是A、基于詞法分析和數(shù)據(jù)流分析的安全檢測(cè)技術(shù)B、基于符號(hào)執(zhí)行和模型檢驗(yàn)的安全檢測(cè)技術(shù)C、基于模糊測(cè)試和智能模糊測(cè)試的安全檢測(cè)技術(shù)D、基于程序結(jié)構(gòu)和程序語(yǔ)義的安全檢測(cè)技術(shù)答案：D解析：本題考查的是可執(zhí)行代碼靜態(tài)安全檢測(cè)技術(shù)，即在程序運(yùn)行前對(duì)程序進(jìn)行安全檢測(cè)。選項(xiàng)中，A、C兩項(xiàng)都是基于動(dòng)態(tài)測(cè)試的技術(shù)，無(wú)法在程序運(yùn)行前進(jìn)行安全檢測(cè)，因此排除。B項(xiàng)基于符號(hào)執(zhí)行和模型檢驗(yàn)，雖然可以在程序運(yùn)行前進(jìn)行安全檢測(cè)，但是其實(shí)現(xiàn)較為復(fù)雜，需要對(duì)程序進(jìn)行符號(hào)執(zhí)行，因此不屬于靜態(tài)安全檢測(cè)技術(shù)。D項(xiàng)基于程序結(jié)構(gòu)和程序語(yǔ)義，可以在程序運(yùn)行前進(jìn)行安全檢測(cè)，且實(shí)現(xiàn)相對(duì)簡(jiǎn)單，因此是可執(zhí)行代碼靜態(tài)安全檢測(cè)技術(shù)的一種。因此，本題答案為D。64.《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所涉及到的基本技術(shù)要求，不包含A、物理安全B、存儲(chǔ)安全C、網(wǎng)絡(luò)安全D、應(yīng)用安全答案：B解析：本題考查的是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本技術(shù)要求，要求考生了解這些技術(shù)要求的內(nèi)容和范圍。根據(jù)選項(xiàng)可知，A、C、D三個(gè)選項(xiàng)都是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中所涉及到的基本技術(shù)要求，而B(niǎo)選項(xiàng)不在其中，因此答案為B。65.從事電子認(rèn)證服務(wù),應(yīng)當(dāng)向國(guó)務(wù)院信息產(chǎn)業(yè)主管部]提出申請(qǐng),并提交符合法律的相關(guān)材料。主管部門(mén)應(yīng)當(dāng)自接到申請(qǐng)起____日內(nèi)作出許可或者不予許可的決定。A、45B、35C、15D、55答案：A解析：根據(jù)題干中的“主管部門(mén)應(yīng)當(dāng)自接到申請(qǐng)起____日內(nèi)作出許可或者不予許可的決定。”可知，應(yīng)當(dāng)填入一個(gè)具體的數(shù)字，表示主管部門(mén)作出決定的時(shí)間限制。根據(jù)電子認(rèn)證服務(wù)的相關(guān)法律規(guī)定，申請(qǐng)人提交申請(qǐng)后，主管部門(mén)應(yīng)當(dāng)在45日內(nèi)作出許可或者不予許可的決定。因此，本題的答案為A。66.在對(duì)一一個(gè)計(jì)算機(jī)硬件資產(chǎn)的跟蹤識(shí)別管理中，不能有效地識(shí)別該資產(chǎn)的屬性是A、資產(chǎn)編號(hào)B、MAC地址C、產(chǎn)品序列號(hào)D、軟件版本號(hào)答案：D解析：本題考查計(jì)算機(jī)硬件資產(chǎn)的跟蹤識(shí)別管理，要求識(shí)別該資產(chǎn)的屬性。選項(xiàng)A、B、C都是計(jì)算機(jī)硬件資產(chǎn)的重要屬性，可以用來(lái)識(shí)別和跟蹤管理。而選項(xiàng)D的軟件版本號(hào)是軟件的屬性，不是硬件資產(chǎn)的屬性，因此不能有效地識(shí)別該資產(chǎn)的屬性。因此，本題的正確答案是D。67.關(guān)于用戶數(shù)字證書(shū)對(duì)應(yīng)用戶私鑰的描述，錯(cuò)誤的是A、用戶的私鑰被保存在硬件的證書(shū)存儲(chǔ)介質(zhì)中不會(huì)被讀出B、涉及私鑰的運(yùn)算均在硬件的證書(shū)存儲(chǔ)介質(zhì)中完成C、用戶的私鑰一般保存在更安全的硬件證書(shū)介質(zhì)中提交給用戶D、用戶的私鑰保存在數(shù)字證書(shū)中下發(fā)給用戶答案：D解析：本題考察用戶數(shù)字證書(shū)和私鑰的關(guān)系。數(shù)字證書(shū)是由證書(shū)頒發(fā)機(jī)構(gòu)（CA）頒發(fā)的，其中包含了用戶的公鑰和一些用戶信息，但不包含用戶的私鑰。用戶的私鑰是由用戶自己生成并保存的，一般保存在硬件證書(shū)介質(zhì)中，如USBKey、智能卡等，以保證私鑰的安全性。因此，選項(xiàng)A、B、C都是正確的描述，而選項(xiàng)D是錯(cuò)誤的描述，因?yàn)橛脩舻乃借€不會(huì)保存在數(shù)字證書(shū)中下發(fā)給用戶。68.下列選項(xiàng)中，不屬于PKI信任模型的是（）。A、網(wǎng)狀信任模型B、鏈狀信任模型C、層次信任模型D、橋證書(shū)認(rèn)證機(jī)構(gòu)信任模型答案：B69.下列情景屬于身份認(rèn)證(Authentication)過(guò)程的是A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫(xiě)的一份Office文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C、用戶使用加密軟件對(duì)自己編寫(xiě)的Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D、某個(gè)人嘗試登錄到你的計(jì)算機(jī)中，但是輸入的口令不對(duì)，系統(tǒng)提示口令錯(cuò)誤，并將這次失敗的登錄過(guò)程紀(jì)錄在系統(tǒng)日志中答案：A解析：身份認(rèn)證是指驗(yàn)證用戶身份的過(guò)程，通常需要用戶提供用戶名和口令等信息。選項(xiàng)A描述了用戶依照系統(tǒng)提示輸入用戶名和口令的情景，屬于身份認(rèn)證過(guò)程。選項(xiàng)B描述了用戶設(shè)定文檔的訪問(wèn)權(quán)限，屬于訪問(wèn)控制的范疇。選項(xiàng)C描述了用戶對(duì)文檔進(jìn)行加密，屬于數(shù)據(jù)保護(hù)的范疇。選項(xiàng)D描述了登錄失敗的情景，屬于安全審計(jì)的范疇。因此，答案為A。70.用戶賬戶管理,不包括（）。A、共享用戶賬戶B、建立用戶賬戶C、維護(hù)用戶賬戶D、關(guān)閉用戶賬戶答案：A解析：本題考查用戶賬戶管理的相關(guān)知識(shí)點(diǎn)，要求排除其中不包括的選項(xiàng)。根據(jù)題目所給的四個(gè)選項(xiàng)，可以得出以下解析：A.共享用戶賬戶：指多個(gè)用戶共用同一個(gè)賬戶，這種方式不利于賬戶管理和安全性，因此不應(yīng)該包括在用戶賬戶管理中。B.建立用戶賬戶：指創(chuàng)建新的用戶賬戶，是用戶賬戶管理的基本操作之一，應(yīng)該包括在用戶賬戶管理中。C.維護(hù)用戶賬戶：指對(duì)已有的用戶賬戶進(jìn)行修改、更新、維護(hù)等操作，也是用戶賬戶管理的重要內(nèi)容之一，應(yīng)該包括在用戶賬戶管理中。D.關(guān)閉用戶賬戶：指停用或刪除不再使用的用戶賬戶，也是用戶賬戶管理的重要內(nèi)容之一，應(yīng)該包括在用戶賬戶管理中。綜上所述，根據(jù)題目要求排除不包括的選項(xiàng)，答案為A，即共享用戶賬戶不屬于用戶賬戶管理的內(nèi)容之一。71.下列關(guān)于棧的描述中，正確的是（）。A、棧空間的增長(zhǎng)方向是從高地址向低地址增長(zhǎng)，數(shù)據(jù)寫(xiě)入棧幀的填充方向是從低地址向高地址增長(zhǎng)B、?？臻g的增長(zhǎng)方向是從低地址向高地址增長(zhǎng)，數(shù)據(jù)寫(xiě)入棧幀的填充方向是從低地址向高地址增長(zhǎng)C、棧空間的增長(zhǎng)方向是從高地址向低地址增長(zhǎng)，數(shù)據(jù)寫(xiě)入棧幀的填充方向是從高地址向低地址增長(zhǎng)D、?？臻g的增長(zhǎng)方向是從低地址往高地址增長(zhǎng)，數(shù)據(jù)寫(xiě)入棧幀的填充方向是從高地址向低地址增長(zhǎng)答案：A解析：棧是一種后進(jìn)先出（LastInFirstOut，LIFO）的數(shù)據(jù)結(jié)構(gòu)，它的特點(diǎn)是只能在一端進(jìn)行插入和刪除操作。在計(jì)算機(jī)中，棧通常是由操作系統(tǒng)自動(dòng)分配和管理的，用于存儲(chǔ)函數(shù)調(diào)用時(shí)的局部變量、函數(shù)參數(shù)、返回地址等信息。?？臻g的增長(zhǎng)方向是由操作系統(tǒng)決定的，不同的操作系統(tǒng)可能有不同的規(guī)定。在一些操作系統(tǒng)中，?？臻g的增長(zhǎng)方向是從高地址向低地址增長(zhǎng)，而在另一些操作系統(tǒng)中則是從低地址向高地址增長(zhǎng)。因此，選項(xiàng)A和C都有可能是正確的。但是，數(shù)據(jù)寫(xiě)入棧幀的填充方向是由編譯器決定的，通常是從低地址向高地址增長(zhǎng)。這是因?yàn)樵诤瘮?shù)調(diào)用時(shí)，參數(shù)和局部變量的存儲(chǔ)順序是按照它們?cè)诤瘮?shù)定義中出現(xiàn)的順序來(lái)確定的，而函數(shù)的參數(shù)通常是先定義的，所以它們?cè)跅械牡刂肥禽^低的。因此，選項(xiàng)A是正確的，選項(xiàng)B、C、D都是錯(cuò)誤的。72.能提供電子郵件數(shù)字簽名和數(shù)據(jù)加密功能的協(xié)議是A、S/MIMEB、SMTPC、POP3D、SSH答案：A解析：本題考查的是電子郵件安全協(xié)議。S/MIME（Secure/MultipurposeInternetMailExtensions）是一種常用的電子郵件安全協(xié)議，它可以提供電子郵件數(shù)字簽名和數(shù)據(jù)加密功能，保證郵件的機(jī)密性和完整性。SMTP（SimpleMailTransferProtocol）是電子郵件傳輸協(xié)議，POP3（PostOfficeProtocolversion3）是電子郵件接收協(xié)議，SSH（SecureShell）是一種安全的遠(yuǎn)程登錄協(xié)議，它們都不是提供電子郵件安全功能的協(xié)議。因此，本題的正確答案是A。73.網(wǎng)絡(luò)內(nèi)容監(jiān)控的主要方法是A、網(wǎng)絡(luò)輿情分析B、惡意代碼誘捕C、網(wǎng)絡(luò)監(jiān)測(cè)D、網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾答案：A解析：本題考查網(wǎng)絡(luò)內(nèi)容監(jiān)控的主要方法。選項(xiàng)A、B、C、D分別為網(wǎng)絡(luò)輿情分析、惡意代碼誘捕、網(wǎng)絡(luò)監(jiān)測(cè)、網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾。根據(jù)常識(shí)和專業(yè)知識(shí)，網(wǎng)絡(luò)內(nèi)容監(jiān)控的主要方法是網(wǎng)絡(luò)輿情分析，因?yàn)榫W(wǎng)絡(luò)輿情分析可以對(duì)網(wǎng)絡(luò)上的信息進(jìn)行全面、深入的分析和監(jiān)控，從而及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)上的問(wèn)題和風(fēng)險(xiǎn)。因此，本題的正確答案為A。選項(xiàng)B、C、D雖然也與網(wǎng)絡(luò)內(nèi)容監(jiān)控有關(guān)，但并非主要方法，因此不是本題的正確答案。74.有關(guān)單點(diǎn)登錄，說(shuō)法錯(cuò)誤的是A、用戶只需要進(jìn)行一-次驗(yàn)證,便可以訪問(wèn)到自己所需的網(wǎng)絡(luò)、信息和其他資源B、單點(diǎn)登錄可以細(xì)致地分配用戶權(quán)限，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制C、消除了多個(gè)系統(tǒng)中的用戶密碼進(jìn)行同步時(shí)的風(fēng)險(xiǎn)D、Hotmail、Yahoo、163等知名網(wǎng)站上使用的通行證技術(shù)都是單點(diǎn)登錄技術(shù)答案：B解析：?jiǎn)吸c(diǎn)登錄（SingleSign-On，簡(jiǎn)稱SSO）是一種身份認(rèn)證技術(shù)，它允許用戶只需要進(jìn)行一次驗(yàn)證，便可以訪問(wèn)到自己所需的網(wǎng)絡(luò)、信息和其他資源，從而提高了用戶的使用體驗(yàn)和工作效率。因此，選項(xiàng)A是正確的。單點(diǎn)登錄可以細(xì)致地分配用戶權(quán)限，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，這是單點(diǎn)登錄的一個(gè)重要特點(diǎn)，也是其被廣泛應(yīng)用的原因之一。因此，選項(xiàng)B是錯(cuò)誤的。單點(diǎn)登錄消除了多個(gè)系統(tǒng)中的用戶密碼進(jìn)行同步時(shí)的風(fēng)險(xiǎn)，因?yàn)橛脩糁恍枰M(jìn)行一次驗(yàn)證，就可以訪問(wèn)到多個(gè)系統(tǒng)中的資源，不需要在每個(gè)系統(tǒng)中都輸入密碼。因此，選項(xiàng)C是正確的。Hotmail、Yahoo、163等知名網(wǎng)站上使用的通行證技術(shù)都是單點(diǎn)登錄技術(shù)，這是事實(shí)。因此，選項(xiàng)D是正確的。綜上所述，選項(xiàng)B是錯(cuò)誤的，是本題的答案。75.有關(guān)數(shù)據(jù)庫(kù)安全，說(shuō)法錯(cuò)誤的是A、用戶可能將合法的數(shù)據(jù)庫(kù)權(quán)限用于未經(jīng)授權(quán)的目的，這種威脅是過(guò)度的特權(quán)濫用B、為不同的用戶定義不同的視圖，可以限制各個(gè)用戶的訪問(wèn)范圍C、攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞將普通用戶的權(quán)限轉(zhuǎn)換為管理員權(quán)限D(zhuǎn)、薄弱的身份驗(yàn)證方案可以使攻擊者竊取或以其它方法獲得登錄憑據(jù)，從而獲取合法的數(shù)據(jù)庫(kù)用戶的身份答案：A解析：A選項(xiàng)說(shuō)法錯(cuò)誤，因?yàn)檫^(guò)度的特權(quán)濫用是指用戶利用其擁有的權(quán)限進(jìn)行未經(jīng)授權(quán)的操作，而不是將合法的權(quán)限用于未經(jīng)授權(quán)的目的。B選項(xiàng)說(shuō)法正確，為不同的用戶定義不同的視圖可以限制各個(gè)用戶的訪問(wèn)范圍，從而提高數(shù)據(jù)庫(kù)的安全性。C選項(xiàng)說(shuō)法正確，攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞將普通用戶的權(quán)限轉(zhuǎn)換為管理員權(quán)限，從而獲取更高的權(quán)限。D選項(xiàng)說(shuō)法正確，薄弱的身份驗(yàn)證方案可以使攻擊者竊取或以其它方法獲得登錄憑據(jù)，從而獲取合法的數(shù)據(jù)庫(kù)用戶的身份，從而進(jìn)行未經(jīng)授權(quán)的操作。綜上所述，選項(xiàng)A說(shuō)法錯(cuò)誤，是本題的正確答案。76.美國(guó)第一個(gè)用于軍事目的的計(jì)算機(jī)網(wǎng)絡(luò)ARPAnet出現(xiàn)在A、20世紀(jì)60年代末B、20世紀(jì)70年代末C、20世紀(jì)80年代末D、20世紀(jì)90年代末答案：A解析：本題考查的是計(jì)算機(jī)網(wǎng)絡(luò)的歷史，需要考生對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展有一定的了解。ARPAnet是美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（ARPA）于20世紀(jì)60年代末建立的第一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，旨在為軍方提供一種分布式的通信方式，以保證在核戰(zhàn)爭(zhēng)中通信的可靠性。因此，本題的答案為A。77.下列選項(xiàng)中，不屬于數(shù)據(jù)庫(kù)滲透測(cè)試的是A、監(jiān)聽(tīng)器安全特性分析B、用戶名和密碼滲透C、漏洞分析D、發(fā)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)端口答案：D解析：本題考查的是數(shù)據(jù)庫(kù)滲透測(cè)試的相關(guān)知識(shí)。選項(xiàng)A、B、C都是數(shù)據(jù)庫(kù)滲透測(cè)試中常見(jiàn)的內(nèi)容，而選項(xiàng)D則是發(fā)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)端口，屬于信息收集的范疇，不屬于數(shù)據(jù)庫(kù)滲透測(cè)試的內(nèi)容。因此，本題的正確答案為D。78.TCP全連接掃描是A、TCPSYN掃描B、TCPFIN掃描C、TCPACK掃描D、TCP三次握手掃描答案：D解析：TCP全連接掃描是指掃描器向目標(biāo)主機(jī)發(fā)送完整的TCP三次握手，以確認(rèn)目標(biāo)主機(jī)是否開(kāi)放了指定的端口。因此，答案為D，即TCP三次握手掃描。其他選項(xiàng)的解釋如下：A.TCPSYN掃描：掃描器向目標(biāo)主機(jī)發(fā)送TCPSYN包，如果目標(biāo)主機(jī)回復(fù)了TCPSYN/ACK包，則表示該端口開(kāi)放；如果目標(biāo)主機(jī)回復(fù)了TCPRST包，則表示該端口關(guān)閉。B.TCPFIN掃描：掃描器向目標(biāo)主機(jī)發(fā)送TCPFIN包，如果目標(biāo)主機(jī)回復(fù)了TCPRST包，則表示該端口關(guān)閉；如果目標(biāo)主機(jī)沒(méi)有回復(fù)，則表示該端口開(kāi)放。C.TCPACK掃描：掃描器向目標(biāo)主機(jī)發(fā)送TCPACK包，如果目標(biāo)主機(jī)回復(fù)了TCPRST包，則表示該端口關(guān)閉；如果目標(biāo)主機(jī)沒(méi)有回復(fù)，則表示該端口過(guò)濾。因此，以上三種掃描方式都不是TCP全連接掃描。79.信息系統(tǒng)安全保障的幾個(gè)方面，不包括（）.A、生命周期B、安全技術(shù)C、保障要素D、安全特征答案：B解析：本題考查信息系統(tǒng)安全保障的幾個(gè)方面，要求考生從四個(gè)選項(xiàng)中選擇不屬于信息系統(tǒng)安全保障的方面。根據(jù)選項(xiàng)內(nèi)容，A、C、D三個(gè)選項(xiàng)都與信息系統(tǒng)安全保障有關(guān)，而B(niǎo)選項(xiàng)是“安全技術(shù)”，并不是信息系統(tǒng)安全保障的方面，因此B選項(xiàng)是本題的正確答案。綜上所述，本題的正確答案是B。80.GB/T22239標(biāo)準(zhǔn)(《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》)提出和規(guī)定了對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，稱為A、基本安全要求B、基本保護(hù)要求C、最高安全要求D、最高保護(hù)要求答案：A解析：本題考查的是GB/T22239標(biāo)準(zhǔn)中對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求的命名。根據(jù)題干中的描述，可以知道這個(gè)命名是“基本安全要求”，因此答案為A。選項(xiàng)B、C、D都與題干描述不符。81.針對(duì)80端口傳輸?shù)臄?shù)據(jù)，專用的Web防火墻比普通的網(wǎng)絡(luò)防火墻增加了A、對(duì)應(yīng)用層的過(guò)濾B、對(duì)網(wǎng)絡(luò)層的過(guò)濾C、對(duì)傳輸層的過(guò)濾D、對(duì)鏈路層的過(guò)濾答案：A解析：本題考查的是Web防火墻和普通網(wǎng)絡(luò)防火墻的區(qū)別。根據(jù)題目中的提示，針對(duì)80端口傳輸?shù)臄?shù)據(jù)，專用的Web防火墻比普通的網(wǎng)絡(luò)防火墻增加了什么。根據(jù)常識(shí)可知，80端口是HTTP協(xié)議的默認(rèn)端口，因此可以推斷出本題考查的是Web應(yīng)用層的過(guò)濾。A選項(xiàng)表示對(duì)應(yīng)用層的過(guò)濾，符合題目要求，因此是正確答案。B、C、D選項(xiàng)分別表示對(duì)網(wǎng)絡(luò)層、傳輸層、鏈路層的過(guò)濾，與題目要求不符，因此是錯(cuò)誤選項(xiàng)。綜上所述，本題的正確答案是A。82.有關(guān)數(shù)據(jù)庫(kù)安全,說(shuō)法錯(cuò)誤的是（）。A、備份數(shù)據(jù)庫(kù)是否加密,對(duì)數(shù)據(jù)庫(kù)安全影響不大B、SQL注入攻擊利用的是SQL語(yǔ)法，可以不受限制地訪問(wèn)整個(gè)數(shù)據(jù)庫(kù)，也可以達(dá)到控制服務(wù)器的目的C、攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞將普通用戶的權(quán)限轉(zhuǎn)換為管理員權(quán)限D(zhuǎn)、薄弱的身份驗(yàn)證方案可以使攻擊者竊取或以其它方法獲得登錄憑據(jù)，從而獲取合法的數(shù)據(jù)庫(kù)用戶的身份答案：A解析：備份數(shù)據(jù)庫(kù)是否加密對(duì)數(shù)據(jù)庫(kù)安全影響很大，因?yàn)槿绻麄浞菸募还粽攉@取，其中的敏感信息就會(huì)暴露。因此，備份數(shù)據(jù)庫(kù)時(shí)應(yīng)該加密保護(hù)。SQL注入攻擊是一種常見(jiàn)的數(shù)據(jù)庫(kù)攻擊方式，攻擊者可以通過(guò)構(gòu)造惡意的SQL語(yǔ)句來(lái)繞過(guò)身份驗(yàn)證，訪問(wèn)或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。因此，應(yīng)該采取措施防止SQL注入攻擊，如使用參數(shù)化查詢、過(guò)濾輸入等。攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞來(lái)提升權(quán)限，從而獲取更高的權(quán)限。因此，應(yīng)該及時(shí)更新數(shù)據(jù)庫(kù)軟件，修復(fù)漏洞。薄弱的身份驗(yàn)證方案會(huì)使攻擊者竊取或以其它方法獲得登錄憑據(jù)，從而獲取合法的數(shù)據(jù)庫(kù)用戶的身份。因此，應(yīng)該采用強(qiáng)密碼策略、多因素身份驗(yàn)證等措施來(lái)加強(qiáng)身份驗(yàn)證。綜上所述，選項(xiàng)A錯(cuò)誤，應(yīng)該選擇A作為答案。83.基本安全要求中基本技術(shù)要求從五個(gè)方面提出。下列選項(xiàng)中，不包含在這五個(gè)方面的是（）。A、物理安全B、路由安全C、數(shù)據(jù)安全D、網(wǎng)絡(luò)安全答案：B解析：[解析]基本安全要求中基本技術(shù)要求從五個(gè)方面提出:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù);路由安全不是基本安全要求中基本技術(shù)。故選擇B選項(xiàng)。84.安全組織的職能包括（）,A、負(fù)責(zé)與各級(jí)國(guó)家信息安全主管機(jī)關(guān)、技術(shù)保衛(wèi)機(jī)構(gòu)建立日常工作關(guān)系B、對(duì)計(jì)算機(jī)信息安全工作表現(xiàn)優(yōu)秀的人員給予表彰C、建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程、制度D、以上三條全包括答案：D解析：本題考查安全組織的職能。選項(xiàng)A表述了安全組織與國(guó)家信息安全主管機(jī)關(guān)、技術(shù)保衛(wèi)機(jī)構(gòu)建立日常工作關(guān)系的職能；選項(xiàng)B表述了安全組織對(duì)計(jì)算機(jī)信息安全工作表現(xiàn)優(yōu)秀的人員給予表彰的職能；選項(xiàng)C表述了安全組織建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程、制度的職能。綜合以上三個(gè)選項(xiàng)，可以得出答案為D，即以上三條全包括。85.信息安全管理體系認(rèn)證基于A、自愿原則B、強(qiáng)制原則C、國(guó)家利益原則D、企業(yè)利益原則答案：A解析：本題考查信息安全管理體系認(rèn)證的基礎(chǔ)原則。根據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：2013，信息安全管理體系認(rèn)證應(yīng)基于自愿原則，即企業(yè)自愿申請(qǐng)認(rèn)證，自愿接受認(rèn)證機(jī)構(gòu)的審核和評(píng)估。因此，選項(xiàng)A為正確答案。選項(xiàng)B“強(qiáng)制原則”不符合實(shí)際情況，因?yàn)樾畔踩芾眢w系認(rèn)證是企業(yè)自愿申請(qǐng)的，不存在強(qiáng)制要求。選項(xiàng)C“國(guó)家利益原則”和信息安全管理體系認(rèn)證無(wú)關(guān)，不是正確答案。選項(xiàng)D“企業(yè)利益原則”雖然與企業(yè)自愿申請(qǐng)認(rèn)證有關(guān)，但不是信息安全管理體系認(rèn)證的基礎(chǔ)原則，因此不是正確答案。綜上所述，本題正確答案為A。86.下列選項(xiàng)中，不屬于審核準(zhǔn)備工作內(nèi)容的是（）。A、編制審核計(jì)劃B、加強(qiáng)安全意識(shí)教育C、收集并審核有關(guān)文件D、準(zhǔn)備審核工作文件--編寫(xiě)檢查表答案：B解析：[解析]審核是指為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的獨(dú)立的并形成文件的過(guò)程。加強(qiáng)安全教育與審核對(duì)象沒(méi)有關(guān)系。故選擇B選項(xiàng)。87.信息安全屬性中，含義是“保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改”的是（）。A、機(jī)密性B、完整性C、不可否認(rèn)性D、可用性答案：B解析：本題考查的是信息安全屬性中的概念。選項(xiàng)A機(jī)密性是指保護(hù)信息不被未經(jīng)授權(quán)的個(gè)人或?qū)嶓w訪問(wèn)。選項(xiàng)C不可否認(rèn)性是指確保通信雙方不能否認(rèn)已經(jīng)發(fā)生的通信事實(shí)。選項(xiàng)D可用性是指確保信息系統(tǒng)和網(wǎng)絡(luò)服務(wù)可用并且對(duì)授權(quán)用戶可用。因此，正確答案為B完整性，它是指保證數(shù)據(jù)的完整性和準(zhǔn)確性，防止數(shù)據(jù)被非法用戶篡改。88.將攻擊數(shù)據(jù)包的源地址和目的地址都設(shè)置成目標(biāo)主機(jī)的IP地址，這種攻擊是（）。A、Land攻擊B、ACK-Flood攻擊C、SYN-Flood攻擊D、PortConnectionFlood攻擊答案：A解析：本題考查的是網(wǎng)絡(luò)安全中的攻擊類型。攻擊者將攻擊數(shù)據(jù)包的源地址和目的地址都設(shè)置成目標(biāo)主機(jī)的IP地址，這種攻擊被稱為L(zhǎng)and攻擊。選項(xiàng)解析：A.Land攻擊：攻擊者將攻擊數(shù)據(jù)包的源地址和目的地址都設(shè)置成目標(biāo)主機(jī)的IP地址，使得目標(biāo)主機(jī)不斷地向自己發(fā)送數(shù)據(jù)包，導(dǎo)致目標(biāo)主機(jī)癱瘓。B.ACK-Flood攻擊：攻擊者向目標(biāo)主機(jī)發(fā)送大量的ACK數(shù)據(jù)包，使得目標(biāo)主機(jī)無(wú)法處理正常的網(wǎng)絡(luò)請(qǐng)求。C.SYN-Flood攻擊：攻擊者向目標(biāo)主機(jī)發(fā)送大量的SYN數(shù)據(jù)包，使得目標(biāo)主機(jī)無(wú)法處理正常的網(wǎng)絡(luò)請(qǐng)求。D.PortConnectionFlood攻擊：攻擊者向目標(biāo)主機(jī)發(fā)送大量的連接請(qǐng)求，使得目標(biāo)主機(jī)無(wú)法處理正常的網(wǎng)絡(luò)請(qǐng)求。綜上所述，本題的正確答案為A。89.信息安全管理體系審核，包括兩個(gè)方面的審核，即A、管理和技術(shù)B、控制和技術(shù)C、管理和流程D、控制和流程答案：A解析：本題考查信息安全管理體系審核的方面。信息安全管理體系審核包括管理和技術(shù)兩個(gè)方面的審核，因此選項(xiàng)A正確。選項(xiàng)B、C、D中，控制、流程均屬于管理方面，而技術(shù)則屬于技術(shù)方面，因此不符合題意，排除。綜上所述，答案為A。90.OSI/RM參考模型定義了7個(gè)層次，從下到上依次是A、物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層B、物理層、數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡(luò)層、會(huì)話層、表示層和應(yīng)用層C、物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、會(huì)話層、傳輸層、表示層和應(yīng)用層D、物理層、數(shù)據(jù)鏈路層、傳輸層、會(huì)話層、網(wǎng)絡(luò)層、表示層和應(yīng)用層答案：A解析：OSI/RM參考模型定義了7個(gè)層次，從下到上依次是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。因此，本題的正確答案是A。其他選項(xiàng)的順序與OSI/RM參考模型定義的層次順序不符。91.根據(jù)數(shù)據(jù)采集方式的不同，IDS可以分為A、NIDS和FIDSB、NIDS和HIDSC、RIDS和BIDSD、RIDS和HIDS答案：B解析：IDS是入侵檢測(cè)系統(tǒng)的縮寫(xiě)，根據(jù)數(shù)據(jù)采集方式的不同，IDS可以分為NIDS、HIDS、RIDS和FIDS四種類型。NIDS（Network-basedIntrusionDetectionSystem）是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，它通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)流量來(lái)檢測(cè)入侵行為。HIDS（Host-basedIntrusionDetectionSystem）是基于主機(jī)的入侵檢測(cè)系統(tǒng)，它通過(guò)監(jiān)控主機(jī)上的系統(tǒng)日志、文件系統(tǒng)、進(jìn)程等來(lái)檢測(cè)入侵行為。RIDS（Router-basedIntrusionDete