2024年信息安全工程師考試題庫（第一部分）

2024年信息安全工程師考試題庫（第一部分）1.ChinesEWall模型的設(shè)計宗旨是：()。A.用戶只能訪問哪些與已經(jīng)擁有的信息不沖突的信息B.用戶可以訪問所有信息C.用戶可以訪問所有已經(jīng)選擇的信息D.用戶不可以訪問哪些沒有選擇的信息正確答案:A解析：ChinesEWall模型是一種訪問控制模型，其設(shè)計宗旨是用戶只能訪問哪些與已經(jīng)擁有的信息不沖突的信息。這意味著用戶只能訪問那些與其已經(jīng)擁有的權(quán)限相符合的信息，而不能訪問那些與其權(quán)限沖突的信息。因此，選項A正確。選項B、C、D都與ChinesEWall模型的設(shè)計宗旨不符。

2.安全責(zé)任分配的基本原則是：()。A.“三分靠技術(shù)，七分靠管理”B.“七分靠技術(shù)，三分靠管理”C.“誰主管，誰負責(zé)”D.防火墻技術(shù)正確答案:C解析：本題考查的是安全責(zé)任分配的基本原則。選項A和B都涉及到技術(shù)和管理的比例，但并沒有明確指出責(zé)任分配的原則。選項D只是提到了防火墻技術(shù)，與題目無關(guān)。而選項C則明確指出了責(zé)任分配的原則，即由主管負責(zé)。因此，答案為C。

3.保證計算機信息運行的安全是計算機安全領(lǐng)域中最重要的環(huán)節(jié)之一，以下()不屬于

信息運行安全技術(shù)的范疇。A.風(fēng)險分析B.審計跟蹤技術(shù)C.應(yīng)急技術(shù)D.防火墻技術(shù)正確答案:B解析：本題考查計算機安全領(lǐng)域中信息運行安全技術(shù)的范疇。選項A、C、D都是與信息運行安全相關(guān)的技術(shù)，而選項B審計跟蹤技術(shù)雖然也是計算機安全領(lǐng)域中的一項技術(shù)，但是它主要是用于對計算機系統(tǒng)的操作進行監(jiān)控和記錄，以便于后續(xù)的審計和追蹤，不屬于信息運行安全技術(shù)的范疇。因此，本題的正確答案為B。

4.從風(fēng)險的觀點來看，一個具有任務(wù)緊急性，核心功能性的計算機應(yīng)用程序系統(tǒng)的開發(fā)和

維護項目應(yīng)該()。A.內(nèi)部實現(xiàn)B.外部采購實現(xiàn)C.合作實現(xiàn)D.多來源合作實現(xiàn)正確答案:A解析：本題考查的是從風(fēng)險的角度來看，一個具有任務(wù)緊急性，核心功能性的計算機應(yīng)用程序系統(tǒng)的開發(fā)和維護項目應(yīng)該采取哪種實現(xiàn)方式。根據(jù)風(fēng)險管理的原則，對于關(guān)鍵業(yè)務(wù)系統(tǒng)的開發(fā)和維護，應(yīng)該采取內(nèi)部實現(xiàn)的方式，這樣可以更好地控制項目進度和質(zhì)量，減少外部因素對項目的影響，降低項目風(fēng)險。因此，本題的正確答案是A。B、C、D三個選項都存在一定的風(fēng)險，不太適合開發(fā)和維護關(guān)鍵業(yè)務(wù)系統(tǒng)。

5.從風(fēng)險分析的觀點來看，計算機系統(tǒng)的最主要弱點是()。A.內(nèi)部計算機處理B.系統(tǒng)輸入輸出C.通訊和網(wǎng)絡(luò)D.外部計算機處理正確答案:B解析：計算機系統(tǒng)的弱點可以從多個角度來考慮，如技術(shù)、管理、人員等方面。從風(fēng)險分析的角度來看，計算機系統(tǒng)的弱點主要指的是可能導(dǎo)致系統(tǒng)遭受攻擊或失效的因素。根據(jù)選項，內(nèi)部計算機處理和外部計算機處理都屬于系統(tǒng)內(nèi)部的因素，通常不是系統(tǒng)最主要的弱點。而通訊和網(wǎng)絡(luò)是計算機系統(tǒng)中最容易受到攻擊的部分，因此也不是最主要的弱點。系統(tǒng)輸入輸出涉及到與外部環(huán)境的交互，是計算機系統(tǒng)中最容易受到攻擊的部分之一，因此是計算機系統(tǒng)的最主要弱點。因此，本題的正確答案為B。

6.從風(fēng)險管理的角度，以下哪種方法不可??？()A.接受風(fēng)險B.分散風(fēng)險C.轉(zhuǎn)移風(fēng)險D.拖延風(fēng)險正確答案:D解析：從風(fēng)險管理的角度來看，處理風(fēng)險的方法通常包括接受風(fēng)險、分散風(fēng)險、轉(zhuǎn)移風(fēng)險等策略，這些都是積極應(yīng)對風(fēng)險的方式。接受風(fēng)險意味著認識到風(fēng)險的存在并決定不采取任何行動來改變風(fēng)險水平；分散風(fēng)險則是通過多樣化的投資或操作來減少特定風(fēng)險的影響；轉(zhuǎn)移風(fēng)險則是通過保險、合同或其他方式將風(fēng)險轉(zhuǎn)移給第三方。相比之下，拖延風(fēng)險不是一個積極的風(fēng)險管理策略。拖延可能會使風(fēng)險加劇，導(dǎo)致更大的潛在損失或影響，因此不是一個可取的方法。所以，答案是D。

7.當(dāng)今IT的發(fā)展與安全投入，安全意識和安全手段之間形成()。A.安全風(fēng)險屏障B.安全風(fēng)險缺口C.管理方式的變革D.管理方式的缺

口正確答案:B解析：本題考察的是當(dāng)今IT發(fā)展中安全投入、安全意識和安全手段之間的關(guān)系。根據(jù)題干中的“形成”一詞，可以推斷出答案應(yīng)該是一個“關(guān)系”或“聯(lián)系”的詞語。根據(jù)選項，A選項“安全風(fēng)險屏障”不符合題意，C選項“管理方式的變革”與安全投入、安全意識和安全手段之間的關(guān)系不太相關(guān)，D選項“管理方式的缺口”也不符合題意。因此，正確答案應(yīng)該是B選項“安全風(fēng)險缺口”，意思是在安全投入、安全意識和安全手段之間存在著缺口或不足，導(dǎo)致安全風(fēng)險存在。

8.當(dāng)為計算機資產(chǎn)定義保險覆蓋率時，下列哪一項應(yīng)該特別考慮？()。A.已買的軟件B.定做的軟件C.硬件D.數(shù)據(jù)正確答案:D解析：本題考查的是計算機資產(chǎn)的保險覆蓋率，需要特別考慮的是哪一項。選項中，已買的軟件、定做的軟件和硬件都是計算機資產(chǎn)的組成部分，但是數(shù)據(jù)是計算機資產(chǎn)中最重要的部分，也是最難以替代的部分。因此，在為計算機資產(chǎn)定義保險覆蓋率時，特別需要考慮數(shù)據(jù)的保險覆蓋率。因此，本題的正確答案是D。

9.當(dāng)一個應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在

該系統(tǒng)重新上線前管理員不需查看：()A.訪問控制列表B.系統(tǒng)服務(wù)配置情況C.審計記錄D.用戶賬戶和權(quán)限的設(shè)置正確答案:C解析：這道題考察的是系統(tǒng)管理員在重新安裝和配置應(yīng)用系統(tǒng)后，上線前需要檢查的內(nèi)容。重新安裝系統(tǒng)意味著系統(tǒng)回到了初始狀態(tài)，此時需要確保所有安全設(shè)置和配置都正確。訪問控制列表、系統(tǒng)服務(wù)配置情況、用戶賬戶和權(quán)限的設(shè)置都是關(guān)鍵的安全配置，需要管理員重新檢查和配置。而審計記錄是記錄系統(tǒng)活動的日志，重新安裝系統(tǒng)后，舊的審計記錄不再適用，因此不需要查看。所以正確答案是C。

10.根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及國家秘密的計算機信息系統(tǒng)，不

得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行()。A.邏輯隔離B.物理隔離C.安裝防火墻D.VLAN劃分正確答案:B解析：根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及國家秘密的計算機信息系統(tǒng)必須實行物理隔離，不能直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，以確保國家秘密的安全。邏輯隔離、安裝防火墻、VLAN劃分等措施都可以增強信息系統(tǒng)的安全性，但不足以滿足涉及國家秘密的計算機信息系統(tǒng)的保密要求。因此，本題答案為B。

11.根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的安全保護等級由哪兩個定級要素

決定？()A.威脅、脆弱性B.系統(tǒng)價值、風(fēng)險C.信息安全、系統(tǒng)服務(wù)安全D.受侵害的客體、對客體造成侵害的程度業(yè)務(wù)正確答案:D解析：根據(jù)《信息系統(tǒng)安全等級保護定級指南》的規(guī)定，信息系統(tǒng)的安全保護等級由兩個定級要素決定，分別是受侵害的客體和對客體造成侵害的程度業(yè)務(wù)。因此，選項D為正確答案。選項A、B、C都涉及到信息系統(tǒng)安全保護的相關(guān)因素，但不是定級要素。

12.公司應(yīng)明確員工的雇傭條件和考察評價的方法與程序，減少因雇傭不當(dāng)而產(chǎn)生的安全風(fēng)

險。人員考察的內(nèi)容不包括()。A.身份考驗、來自組織和個人的品格鑒定B.家庭背景情況調(diào)查C.學(xué)歷和履歷的真實性和完整性D.學(xué)術(shù)及專業(yè)資格正確答案:B解析：本題考查的是公司應(yīng)明確員工的雇傭條件和考察評價的方法與程序，減少因雇傭不當(dāng)而產(chǎn)生的安全風(fēng)險。人員考察的內(nèi)容不包括哪些方面。根據(jù)題干中的關(guān)鍵詞“不包括”，我們需要排除選項中與人員考察無關(guān)的內(nèi)容。選項A中的“身份考驗、來自組織和個人的品格鑒定”與人員考察相關(guān)；選項C中的“學(xué)歷和履歷的真實性和完整性”與人員考察相關(guān)；選項D中的“學(xué)術(shù)及專業(yè)資格”也與人員考察相關(guān)。因此，正確答案為B，即“家庭背景情況調(diào)查”不屬于人員考察的內(nèi)容。

13.計算機信息的實體安全包括環(huán)境安全、設(shè)備安全、()三個方面。A.運行安全B.媒體安全C.信息安全D.人事安全正確答案:B解析：計算機信息的實體安全主要關(guān)注的是保護計算機硬件、存儲介質(zhì)以及運行環(huán)境免受物理威脅。這包括確保環(huán)境（如溫度、濕度、電磁干擾等）適合設(shè)備運行，設(shè)備（如服務(wù)器、路由器、存儲設(shè)備等）的物理安全，以及存儲數(shù)據(jù)的媒體（如硬盤、磁帶、光盤等）的安全。因此，媒體安全是計算機信息實體安全的重要組成部分，選項B正確。其他選項如運行安全、信息安全、人事安全，雖然也是計算機安全的重要方面，但不屬于實體安全的范疇。

14.目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多

門，《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》是由下列哪個部門所指定的規(guī)章制度？()A.公安部B.國家保密局C.信息產(chǎn)業(yè)部D.國家密碼管理委員會辦公室正確答案:B解析：《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》是為了加強計算機信息系統(tǒng)國際聯(lián)網(wǎng)的保密管理，確保國家秘密的安全，根據(jù)《中華人民共和國保守國家秘密法》和國家有關(guān)法規(guī)的規(guī)定，制定的規(guī)定。該規(guī)定由國家保密局頒布，于2000年1月1日開始施行。因此，選項B是正確的答案。

15.目前我國頒布實施的信息安全相關(guān)標(biāo)準(zhǔn)中，以下哪一個標(biāo)準(zhǔn)屬于強制執(zhí)行的標(biāo)準(zhǔn)？()A.GB/T18336-2001信息技術(shù)安全性評估準(zhǔn)則B.GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則C.GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)D.GA/T391-2002計算機信息系統(tǒng)安全等級保護管理要求正確答案:B解析：本題考查的是我國頒布實施的信息安全相關(guān)標(biāo)準(zhǔn)中，哪一個標(biāo)準(zhǔn)屬于強制執(zhí)行的標(biāo)準(zhǔn)。根據(jù)我國相關(guān)法律法規(guī)，強制執(zhí)行的標(biāo)準(zhǔn)是GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則，因此答案選B。其他選項雖然也是信息安全相關(guān)標(biāo)準(zhǔn)，但不屬于強制執(zhí)行的標(biāo)準(zhǔn)。

16.確保信息沒有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個人、實體或進程，不為其所

用，是指()。A.完整性B.可用性C.保密性D.抗抵賴性正確答案:C解析：本題考察的是信息安全中的三大要素之一——保密性。保密性是指確保信息只能被授權(quán)的人或?qū)嶓w訪問和使用，不被非授權(quán)的個人、實體或進程所知曉和使用。因此，本題的正確答案為C。完整性是指信息在傳輸或存儲過程中不被篡改或損壞，可用性是指信息在需要時能夠被及時訪問和使用，抗抵賴性是指確保信息的真實性和可信度，防止信息被否認或抵賴。這些都是信息安全中的重要概念，但不是本題所考察的答案。

17.如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的？()A.自動軟件管理B.書面化制度C.書面化方案D.書面化標(biāo)準(zhǔn)正確答案:A解析：本題考查的是對于程序變動的控制方法，選項中提供了四種方法，需要考生根據(jù)自己的知識和經(jīng)驗進行判斷和選擇。A選項是自動軟件管理，這種方法可以通過軟件工具來實現(xiàn)對程序變動的控制，可以自動化地進行版本控制、代碼審查、測試等操作，提高了效率和準(zhǔn)確性，同時也可以減少人為因素的干擾和誤操作，因此是最有效的方法。B、C、D選項都是書面化的方法，雖然可以規(guī)范化和明確化程序變動的流程和要求，但是仍然需要人工進行控制和執(zhí)行，容易出現(xiàn)疏漏和錯誤，收效甚微。綜上所述，本題正確答案為A。

18.如果將風(fēng)險管理分為風(fēng)險評估和風(fēng)險減緩，那么以下哪個不屬于風(fēng)險減緩的內(nèi)容？()A.計算風(fēng)險B.選擇合適的安全措施C.實現(xiàn)安全措施D.接受殘余風(fēng)險正確答案:A解析：風(fēng)險減緩是指在識別和評估風(fēng)險之后，采取措施來降低風(fēng)險的過程。在這個過程中，通常會選擇合適的安全措施（B選項），實現(xiàn)這些安全措施（C選項），并在實施安全措施后接受可能存在的殘余風(fēng)險（D選項）。而計算風(fēng)險（A選項）實際上是風(fēng)險評估階段的活動，它涉及到對潛在風(fēng)險的識別、分析和量化，以確定風(fēng)險的性質(zhì)、可能性和影響。因此，計算風(fēng)險不屬于風(fēng)險減緩的內(nèi)容，所以答案是A。

19.軟件供應(yīng)商或是制造商可以在他們自己的產(chǎn)品中或是客戶的計算機系統(tǒng)上安裝一個“后

門”程序。以下哪一項是這種情況面臨的最主要風(fēng)險？()A.軟件中止和黑客入侵B.遠程監(jiān)控和遠程維護C.軟件中止和遠程監(jiān)控D.遠程維護和黑客入侵正確答案:A解析：本題考察的是“后門”程序的風(fēng)險。后門程序是指在軟件或系統(tǒng)中預(yù)留的一種特殊程序，可以繞過正常的安全驗證，從而實現(xiàn)對系統(tǒng)的非法訪問和控制。因此，最主要的風(fēng)險是軟件中止和黑客入侵，即黑客可以利用后門程序入侵系統(tǒng)，造成系統(tǒng)崩潰或數(shù)據(jù)泄露等嚴(yán)重后果。選項B和D中提到的遠程監(jiān)控和遠程維護，雖然也可能利用后門程序?qū)崿F(xiàn)，但不是最主要的風(fēng)險。因此，答案選A。

20.管理審計指()A.保證數(shù)據(jù)接收方收到的信息與發(fā)送方發(fā)送的信息完全一致B.防止因數(shù)據(jù)被截獲而造成的泄密C.對用戶和程序使用資源的情況進行記錄和審查D.保證信息使用者都可正確答案:C解析：本題考查的是管理審計的定義。管理審計是指對用戶和程序使用資源的情況進行記錄和審查，以便發(fā)現(xiàn)和糾正不當(dāng)行為，保證系統(tǒng)的安全性和完整性。因此，選項C是正確答案。選項A和B分別涉及信息傳輸?shù)耐暾院捅Ｃ苄?，與管理審計無關(guān)；選項D則過于籠統(tǒng)，無法準(zhǔn)確描述管理審計的內(nèi)容。

21.為了保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當(dāng)終止與員工的聘用關(guān)系時下面哪一項是最好的

方法？()A.進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B.進行離職談話，禁止員工賬號，更改密碼C.讓員工簽署跨邊界協(xié)議D.列出員工在解聘前需要注意的所有責(zé)任正確答案:A解析：本題考察企業(yè)在終止與員工的聘用關(guān)系時如何保護知識產(chǎn)權(quán)和其它資產(chǎn)。選項A中提到了三種措施：進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼，這些措施都可以有效地保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)。選項B中沒有提到讓員工簽署保密協(xié)議這一重要措施，選項C中提到了跨邊界協(xié)議，但并不是所有員工都需要簽署跨邊界協(xié)議，因此不是最好的方法。選項D中列出員工在解聘前需要注意的所有責(zé)任，但并沒有具體的措施來保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)。因此，選項A是最好的方法。

22.為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能？()A.人際關(guān)系技能B.項目管理技能C.技術(shù)技能D.溝通技能正確答案:D解析：本題考察的是信息系統(tǒng)安全部門員工最需要哪一項技能。根據(jù)選項可知，A選項人際關(guān)系技能、B選項項目管理技能、C選項技術(shù)技能都是重要的技能，但是在信息系統(tǒng)安全部門員工中最需要的技能是溝通技能，因為信息系統(tǒng)安全部門員工需要與其他部門的員工進行溝通，需要向上級匯報工作進展情況，需要向下級傳達工作任務(wù)和要求，需要與客戶進行溝通等等，因此溝通技能是信息系統(tǒng)安全部門員工必備的技能。因此，本題的正確答案是D。

23.我國的國家秘密分為幾級？()A.3B.4C.5D.6正確答案:A解析：本題考查對我國國家秘密的了解。我國的國家秘密分為三級，分別是絕密級、機密級和秘密級。絕密級是最高級別的國家秘密，涉及國家安全和重大利益，只有極少數(shù)人掌握；機密級次之，涉及國家重要利益，只有必要人員掌握；秘密級是最低級別的國家秘密，涉及國家一般利益，只有需要知道的人員掌握。因此，本題的正確答案為A。

24.系統(tǒng)管理員屬于()。A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層，又可以劃為執(zhí)行層正確答案:C解析：系統(tǒng)管理員是負責(zé)計算機系統(tǒng)的維護、管理和安全的專業(yè)人員，其主要職責(zé)是執(zhí)行計算機系統(tǒng)的日常維護和管理工作，包括安裝、配置、維護和升級操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等。因此，系統(tǒng)管理員屬于執(zhí)行層。選項A、B和D都不正確，因為決策層主要負責(zé)制定組織的戰(zhàn)略和方針，管理層主要負責(zé)組織的管理和協(xié)調(diào)，既可以劃為管理層，又可以劃為執(zhí)行層的職位一般是中層管理人員，而系統(tǒng)管理員不屬于這些層次。因此，本題的正確答案是C。

25.下列哪一個說法是正確的？()A.風(fēng)險越大，越不需要保護B.風(fēng)險越小，越需要保護C.風(fēng)險越大，越需要保護D.越是中等風(fēng)險，越需要保護正確答案:C解析：本題考察的是風(fēng)險與保護的關(guān)系。風(fēng)險越大，意味著可能會面臨更大的損失，因此需要更多的保護措施來降低風(fēng)險。選項A的說法是錯誤的，因為風(fēng)險越大，需要更多的保護措施來降低風(fēng)險。選項B的說法也是錯誤的，因為風(fēng)險越小，雖然可能面臨的損失較小，但仍需要保護措施來防范風(fēng)險。選項D的說法也是不準(zhǔn)確的，因為中等風(fēng)險需要根據(jù)具體情況來考慮是否需要保護措施。因此，選項C是正確的，風(fēng)險越大，越需要保護。

26.下面哪類訪問控制模型是基于安全標(biāo)簽實現(xiàn)的？()A.自主訪問控制B.強制訪問控制C.基于規(guī)則的訪問控制D.基于身份的訪問控制正確答案:B解析：本題考查的是訪問控制模型中基于安全標(biāo)簽實現(xiàn)的類型。訪問控制模型是指對系統(tǒng)資源進行訪問控制的一種模型，常見的訪問控制模型有自主訪問控制、強制訪問控制、基于規(guī)則的訪問控制和基于身份的訪問控制等。自主訪問控制是指用戶對自己的資源擁有完全的控制權(quán)，可以自由地決定資源的訪問權(quán)限，而不受其他用戶或管理員的限制?；谏矸莸脑L問控制是指根據(jù)用戶的身份信息來控制其對系統(tǒng)資源的訪問權(quán)限，通常需要用戶進行身份認證和授權(quán)操作?；谝?guī)則的訪問控制是指根據(jù)預(yù)先設(shè)定的規(guī)則來控制用戶對系統(tǒng)資源的訪問權(quán)限，通常需要管理員進行規(guī)則配置和管理。強制訪問控制是指根據(jù)安全標(biāo)簽來控制用戶對系統(tǒng)資源的訪問權(quán)限，安全標(biāo)簽是對資源和用戶進行分類和標(biāo)記的一種方式，通常由管理員進行標(biāo)記和管理。在強制訪問控制模型中，用戶的訪問權(quán)限是由系統(tǒng)強制執(zhí)行的，而不是由用戶自主決定的。因此，本題的正確答案是B，即強制訪問控制。

27.下面哪項能夠提供最佳安全認證功能？()A.這個人擁有什么B.這個人是什么并且知道什么C.這個人是什么D.這個人知道什么正確答案:B解析：“這個人是什么并且知道什么”包含了多種認證因素，既包括身份識別（這個人是什么），又包括對特定知識或信息的掌握（這個人知道什么），這種組合方式相較于單純的“擁有什么”“是什么”或“知道什么”等單一因素，能夠提供更全面、更可靠的安全認證，降低了單一認證方式可能存在的漏洞或被冒用的風(fēng)險。所以選項B是最佳安全認證功能。

28.下面哪一個是國家推薦性標(biāo)準(zhǔn)？()A.GB/T18020-1999應(yīng)用級防火墻安全技術(shù)要求B.SJ/T30003-93電子計算機機房施工及驗收規(guī)范C.GA243-2000計算機病毒防治產(chǎn)品評級準(zhǔn)則D.ISO/IEC15408-1999信息技術(shù)安全性評估準(zhǔn)則正確答案:A解析：本題考查的是國家推薦性標(biāo)準(zhǔn)的認識。選項A中的GB/T18020-1999是應(yīng)用級防火墻安全技術(shù)要求，是國家推薦性標(biāo)準(zhǔn)；選項B中的SJ/T30003-93是電子計算機機房施工及驗收規(guī)范，不是國家推薦性標(biāo)準(zhǔn)；選項C中的GA243-2000是計算機病毒防治產(chǎn)品評級準(zhǔn)則，不是國家推薦性標(biāo)準(zhǔn)；選項D中的ISO/IEC15408-1999是信息技術(shù)安全性評估準(zhǔn)則，不是國家推薦性標(biāo)準(zhǔn)。因此，本題的答案是A。

29.下面哪一項關(guān)于對違反安全規(guī)定的員工進行懲戒的說法是錯誤的？()A.對安全違規(guī)的發(fā)現(xiàn)和驗證是進行懲戒的重要前提B.懲戒措施的一個重要意義在于它的威懾性C.處于公平，進行懲戒時不應(yīng)考慮員工是否是初犯，是否接受過培訓(xùn)D.盡管法律訴訟是一種嚴(yán)厲有效的懲戒手段，但使用它時一定要十分慎重正確答案:C解析：本題考查對于對違反安全規(guī)定的員工進行懲戒的相關(guān)知識。下面分別對每個選項進行解析：A.對安全違規(guī)的發(fā)現(xiàn)和驗證是進行懲戒的重要前提。這個說法是正確的。對于員工的安全違規(guī)行為，必須要有確鑿的證據(jù)和證明，才能進行懲戒。B.懲戒措施的一個重要意義在于它的威懾性。這個說法也是正確的。懲戒措施的一個重要目的就是為了讓員工認識到自己的錯誤，并且對其他員工起到威懾作用，避免類似的安全違規(guī)行為再次發(fā)生。C.處于公平，進行懲戒時不應(yīng)考慮員工是否是初犯，是否接受過培訓(xùn)。這個說法是錯誤的。在進行懲戒時，應(yīng)該考慮員工是否是初犯，是否接受過培訓(xùn)等因素，以便更加公平地進行懲戒。D.盡管法律訴訟是一種嚴(yán)厲有效的懲戒手段，但使用它時一定要十分慎重。這個說法也是正確的。法律訴訟是一種嚴(yán)厲有效的懲戒手段，但是在使用它時必須要十分慎重，避免對員工造成不必要的傷害。綜上所述，選項C是錯誤的，是本題的正確答案。

30.下面哪一項最好地描述了風(fēng)險分析的目的？()A.識別用于保護資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B.識別資產(chǎn)以及保護資產(chǎn)所使用的技術(shù)控制措施C.識別資產(chǎn)、脆落性并計算潛在的風(fēng)險D.識別同責(zé)任義務(wù)有直接關(guān)系的威脅正確答案:C解析：風(fēng)險分析的目的是識別資產(chǎn)、脆弱性并計算潛在的風(fēng)險。選項A描述的是保護資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度，屬于風(fēng)險管理的一部分，不是風(fēng)險分析的目的。選項B描述的是識別資產(chǎn)以及保護資產(chǎn)所使用的技術(shù)控制措施，也是風(fēng)險管理的一部分，不是風(fēng)險分析的目的。選項D描述的是識別同責(zé)任義務(wù)有直接關(guān)系的威脅，屬于風(fēng)險評估的一部分，不是風(fēng)險分析的目的。因此，選項C最好地描述了風(fēng)險分析的目的。

31.下面哪一項最好地描述了組織機構(gòu)的安全策略？()A.定義了訪問控制需求的總體指導(dǎo)方針B.建議了如何符合標(biāo)準(zhǔn)C.表明管理意圖的高層陳述D.表明所使用的技術(shù)控制措施的高層陳述正確答案:A解析：答案解析：組織機構(gòu)的安全策略是指導(dǎo)整個組織信息安全工作的基礎(chǔ)，它涉及到如何保護組織的資產(chǎn)、數(shù)據(jù)以及系統(tǒng)的安全性。安全策略應(yīng)該具有指導(dǎo)性和概括性，為具體的安全控制措施提供方向和依據(jù)。A選項“定義了訪問控制需求的總體指導(dǎo)方針”最符合安全策略的定義，它強調(diào)了策略對訪問控制需求的總體指導(dǎo)，這是安全策略的核心內(nèi)容之一。B選項“建議了如何符合標(biāo)準(zhǔn)”更多地是在描述一種建議或指南，而不是策略本身。C選項“表明管理意圖的高層陳述”雖然涉及到了管理意圖，但并未明確指出這是關(guān)于安全控制的總體指導(dǎo)方針。D選項“表明所使用的技術(shù)控制措施的高層陳述”更多地是在描述技術(shù)控制措施，而不是策略本身。因此，A選項最好地描述了組織機構(gòu)的安全策略。

32.下面哪一種風(fēng)險對電子商務(wù)系統(tǒng)來說是特殊的？()A.服務(wù)中斷B.應(yīng)用程序系統(tǒng)欺騙C.未授權(quán)的信息泄露D.確認信息發(fā)送錯誤正確答案:D解析：本題考查的是電子商務(wù)系統(tǒng)中的特殊風(fēng)險。選項A、B、C都是電子商務(wù)系統(tǒng)中常見的風(fēng)險，而選項D則是特殊的風(fēng)險。確認信息發(fā)送錯誤指的是在交易過程中，由于系統(tǒng)或人為原因，確認信息發(fā)送錯誤，導(dǎo)致交易信息不準(zhǔn)確或者交易失敗。這種風(fēng)險對電子商務(wù)系統(tǒng)來說是特殊的，因為它直接影響到交易的準(zhǔn)確性和可靠性，可能會導(dǎo)致用戶的不滿和投訴，甚至?xí)绊懙诫娮由虅?wù)系統(tǒng)的聲譽和信譽。因此，本題的正確答案是D。

33.下面有關(guān)我國標(biāo)準(zhǔn)化管理和組織機構(gòu)的說法錯誤的是？()A.國家標(biāo)準(zhǔn)化管理委員會是統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主管機構(gòu)B.國家標(biāo)準(zhǔn)化技術(shù)委員會承擔(dān)國家標(biāo)準(zhǔn)的制定和修改工作C.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負責(zé)信息安全技術(shù)標(biāo)準(zhǔn)的審查、批準(zhǔn)、編號和發(fā)布D.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標(biāo)準(zhǔn)年度技術(shù)項目正確答案:C解析：根據(jù)我國的標(biāo)準(zhǔn)化管理和組織機構(gòu)，題目中關(guān)于全國信息安全標(biāo)準(zhǔn)化技術(shù)委員的說法是錯誤的。題目中選項C表示全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負責(zé)信息安全技術(shù)標(biāo)準(zhǔn)的審查、批準(zhǔn)、編號和發(fā)布。實際上，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會并非負責(zé)具體標(biāo)準(zhǔn)的審查、批準(zhǔn)等工作。它主要負責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標(biāo)準(zhǔn)年度技術(shù)項目，并不直接參與具體標(biāo)準(zhǔn)的制訂和發(fā)布。因此,選項C是錯誤的答案。

34.項目管理是信息安全工程師基本理論，以下哪項對項目管理的理解是正確的？()A.項目管理的基本要素是質(zhì)量，進度和成本B.項目管理的基本要素是范圍，人力和溝通C.項目管理是從項目的執(zhí)行開始到項目結(jié)束的全過程進行計劃、組織D.項目管理是項目的管理者，在有限的資源約束下，運用系統(tǒng)的觀點，方法和理論，

對項目涉及的技術(shù)工作進行有效地管理正確答案:A解析：本題考查對項目管理的基本要素的理解。選項A正確地指出了項目管理的基本要素是質(zhì)量、進度和成本，這三個要素是項目管理中最為重要的方面，也是項目管理的核心內(nèi)容。選項B中的范圍、人力和溝通雖然也是項目管理中的重要方面，但并不是其基本要素。選項C中的計劃、組織雖然是項目管理中的重要環(huán)節(jié)，但并不能完整地概括項目管理的基本要素。選項D中的有限資源約束、系統(tǒng)觀點、方法和理論等雖然也是項目管理中的重要內(nèi)容，但并不能完整地概括項目管理的基本要素。因此，本題的正確答案是A。

35.信息安全的金三角是()。A.可靠性，保密性和完整性B.多樣性，冗余性和模化性C.保密性，完整性和可用性D.多樣性，保密性和完整性正確答案:C解析：本題考查的是信息安全的金三角，即信息安全的三個基本要素。根據(jù)常識和相關(guān)知識可知，信息安全的金三角是保密性、完整性和可用性。選項A中的可靠性不屬于信息安全的基本要素；選項B中的多樣性、冗余性和?；砸膊皇切畔踩幕疽?；選項C中的保密性、完整性和可用性正好符合信息安全的金三角；選項D中的多樣性不屬于信息安全的基本要素。因此，本題的正確答案是C。

36.信息安全風(fēng)險缺口是指()。A.IT的發(fā)展與安全投入，安全意識和安全手段的不平衡B.信息化中，信息不足產(chǎn)生的漏洞C.計算機網(wǎng)絡(luò)運行，維護的漏洞D.計算中心的火災(zāi)隱患正確答案:A解析：本題考查的是信息安全風(fēng)險缺口的定義。選項A中提到了IT的發(fā)展與安全投入、安全意識和安全手段的不平衡，這正是信息安全風(fēng)險缺口的定義。選項B中提到的是信息不足產(chǎn)生的漏洞，與信息安全風(fēng)險缺口的定義不符。選項C中提到的是計算機網(wǎng)絡(luò)運行、維護的漏洞，也不是信息安全風(fēng)險缺口的定義。選項D中提到的是計算中心的火災(zāi)隱患，與信息安全風(fēng)險缺口的定義無關(guān)。因此，本題的正確答案是A。

37.信息安全風(fēng)險應(yīng)該是以下哪些因素的函數(shù)？()A.信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性等B.病毒、黑客、漏洞等C.保密信息如國家密碼、商業(yè)秘密等D.網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜的程度正確答案:A解析：本題考查信息安全風(fēng)險的因素。信息安全風(fēng)險是指在信息系統(tǒng)中，由于各種因素的影響，導(dǎo)致信息系統(tǒng)無法正常運行，或者信息系統(tǒng)中的信息被非法獲取、篡改、破壞等情況的可能性。因此，信息安全風(fēng)險應(yīng)該是以下因素的函數(shù)：信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性等。選項A正確。選項B、C、D都是信息安全風(fēng)險的具體表現(xiàn)，不是信息安全風(fēng)險的因素，因此不正確。綜上所述，本題答案為A。

38.信息安全工程師監(jiān)理的職責(zé)包括？()A.質(zhì)量控制，進度控制，成本控制，合同管理，信息管理和協(xié)調(diào)B.質(zhì)量控制，進度控制，成本控制，合同管理和協(xié)調(diào)C.確定安全要求，認可設(shè)計方案，監(jiān)視安全態(tài)勢，建立保障證據(jù)和協(xié)調(diào)D.確定安全要求，認可設(shè)計方案，監(jiān)視安全態(tài)勢和協(xié)調(diào)正確答案:A解析：本題考察信息安全工程師監(jiān)理的職責(zé)。選項A中列舉了信息安全工程師監(jiān)理的全部職責(zé)，包括質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)。選項B中缺少了信息管理的職責(zé)，選項C中列舉了部分職責(zé)，缺少了質(zhì)量控制、進度控制、成本控制和合同管理的職責(zé)，選項D中缺少了質(zhì)量控制、進度控制、成本控制和合同管理的職責(zé)。因此，答案為A。

39.信息安全管理最關(guān)注的是？()A.外部惡意攻擊B.病毒對PC的影響C.內(nèi)部惡意攻擊D.病毒對網(wǎng)絡(luò)的影響正確答案:C解析：信息安全管理最關(guān)注的是內(nèi)部惡意攻擊。雖然外部惡意攻擊和病毒對PC和網(wǎng)絡(luò)的影響也是信息安全管理需要關(guān)注的問題，但是內(nèi)部惡意攻擊更加難以防范和控制，因為內(nèi)部人員已經(jīng)獲得了系統(tǒng)的訪問權(quán)限，可以更容易地獲取敏感信息或者破壞系統(tǒng)。因此，信息安全管理需要加強對內(nèi)部人員的監(jiān)管和控制，以防止內(nèi)部惡意攻擊的發(fā)生。

40.信息分類是信息安全管理工作的重要環(huán)節(jié)，下面哪一項不是對信息進行分類時需要重點

考慮的？()A.信息的價值B.信息的時效性C.信息的存儲方式D.法律法規(guī)的規(guī)定正確答案:C解析：本題考查信息分類的重點考慮因素。信息分類是信息安全管理工作的重要環(huán)節(jié)，通過對信息進行分類，可以更好地進行信息安全管理。在信息分類時，需要重點考慮信息的價值、時效性、法律法規(guī)的規(guī)定等因素。而信息的存儲方式雖然也是一個重要因素，但并不是信息分類時需要重點考慮的因素，因此選項C是本題的正確答案。

41.信息網(wǎng)絡(luò)安全的第三個時代是()A.主機時代，專網(wǎng)時代，多網(wǎng)合一時代B.主機時代，PC時代，網(wǎng)絡(luò)時代C.PC時代，網(wǎng)絡(luò)時代，信息時代D.2001年，2002年，2003年正確答案:A解析：本題考查信息網(wǎng)絡(luò)安全的發(fā)展歷程。根據(jù)題干中的“第三個時代”，可以推斷出信息網(wǎng)絡(luò)安全已經(jīng)經(jīng)歷了兩個時代。根據(jù)選項進行分析：A.主機時代，專網(wǎng)時代，多網(wǎng)合一時代。這個選項中，第一個時代是主機時代，即計算機主機時代，第二個時代是專網(wǎng)時代，即局域網(wǎng)和廣域網(wǎng)時代，第三個時代是多網(wǎng)合一時代，即互聯(lián)網(wǎng)時代。這個選項符合信息網(wǎng)絡(luò)安全的發(fā)展歷程，因此是正確答案。B.主機時代，PC時代，網(wǎng)絡(luò)時代。這個選項中，第一個時代是主機時代，符合信息網(wǎng)絡(luò)安全的發(fā)展歷程，但是第二個時代是PC時代，而不是專網(wǎng)時代，不符合題意。C.PC時代，網(wǎng)絡(luò)時代，信息時代。這個選項中，第一個時代是PC時代，不符合信息網(wǎng)絡(luò)安全的發(fā)展歷程，因為計算機主機時代是信息網(wǎng)絡(luò)安全的起點。因此，這個選項也不是正確答案。D.2001年，2002年，2003年。這個選項中，給出的是具體的年份，不符合信息網(wǎng)絡(luò)安全的發(fā)展歷程，因此也不是正確答案。綜上所述，正確答案是A。

42.一個公司在制定信息安全體系框架時，下面哪一項是首要考慮和制定的？()A.安全策略B.安全標(biāo)準(zhǔn)C.操作規(guī)程D.安全基線正確答案:A解析：在制定信息安全體系框架時，公司需要首先確立一套明確的安全策略，作為后續(xù)制定安全標(biāo)準(zhǔn)、操作規(guī)程和安全基線的基石。安全策略為整個信息安全體系提供了方向和指導(dǎo)，確保了信息安全工作的系統(tǒng)性和一致性。因此，首要考慮和制定的是安全策略，選項A正確。

43.以下哪個不屬于信息安全的三要素之一？()A.機密性B.完整性C.抗抵賴性D.可用性正確答案:C解析：本題考查的是信息安全的三要素，即機密性、完整性和可用性?？沟仲囆圆粚儆谛畔踩娜刂?，因此選項C為本題的正確答案。機密性是指信息只能被授權(quán)的人或?qū)嶓w訪問和使用，不被未授權(quán)的人或?qū)嶓w獲取和利用。完整性是指信息在傳輸、存儲和處理過程中不被篡改、損壞或丟失，保持原始狀態(tài)和價值?？捎眯允侵感畔⒃谛枰獣r能夠及時、準(zhǔn)確地被授權(quán)的人或?qū)嶓w訪問和使用，不受任何干擾或阻礙?？沟仲囆允侵冈谛畔⒔换ミ^程中，發(fā)送方不能否認已經(jīng)發(fā)送過信息，接收方也不能否認已經(jīng)接收到信息。雖然抗抵賴性也是信息安全的一個重要方面，但不屬于信息安全的三要素之一。

44.以下哪一項安全目標(biāo)在當(dāng)前計算機系統(tǒng)安全建設(shè)中是最重要的？()A.目標(biāo)應(yīng)該具體B.目標(biāo)應(yīng)該清晰C.目標(biāo)應(yīng)該是可實現(xiàn)的D.目標(biāo)應(yīng)該進行良好的定義正確答案:C解析：在計算機系統(tǒng)安全建設(shè)中，安全目標(biāo)的設(shè)定是至關(guān)重要的。選項A“目標(biāo)應(yīng)該具體”和選項B“目標(biāo)應(yīng)該清晰”都是目標(biāo)設(shè)定的基本要求，但它們并不特指安全建設(shè)的核心要素。選項D“目標(biāo)應(yīng)該進行良好的定義”同樣是一個通用的目標(biāo)設(shè)定原則，也不特指安全建設(shè)的重點。而選項C“目標(biāo)應(yīng)該是可實現(xiàn)的”直接關(guān)聯(lián)到安全建設(shè)的實際執(zhí)行和成效。一個不可實現(xiàn)的安全目標(biāo)，無論多么具體、清晰或定義良好，都無法有效指導(dǎo)安全實踐。因此，在當(dāng)前計算機系統(tǒng)安全建設(shè)中，最重要的安全目標(biāo)是那些可以實際達成、能夠有效提升系統(tǒng)安全性的目標(biāo)。所以，答案是C。

45.以下哪一項計算機安全程序的組成部分是其它組成部分的基礎(chǔ)？()A.制度和措施B.漏洞分析C.意外事故處理計劃D.采購計劃正確答案:A解析：計算機安全程序包括制度和措施、漏洞分析、意外事故處理計劃、采購計劃等多個組成部分。其中，制度和措施是計算機安全程序的基礎(chǔ)，它們是制定和實施計算機安全策略的重要手段，包括安全政策、安全標(biāo)準(zhǔn)、安全規(guī)范、安全管理制度等。漏洞分析、意外事故處理計劃、采購計劃等都是在制度和措施的基礎(chǔ)上進行的，因此選項A正確。

46.以下哪一項是對信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋？()A.沒有適當(dāng)?shù)馁|(zhì)量管理工具B.經(jīng)常變化的用戶需求C.用戶參與需求挖掘不夠D.項目管理能力不強正確答案:C解析：本題考察信息系統(tǒng)不能滿足用戶需求的原因。選項A、B、D都可能導(dǎo)致信息系統(tǒng)不能滿足用戶需求，但是選項C是最好的解釋。因為用戶參與需求挖掘不夠，說明信息系統(tǒng)開發(fā)過程中沒有充分了解用戶需求，導(dǎo)致最終的信息系統(tǒng)不能滿足用戶需求。因此，選項C是本題的正確答案。

47.以下哪一種人給公司帶來了最大的安全風(fēng)險？()A.臨時工B.咨詢?nèi)藛TC.以前的員工D.當(dāng)前的員工正確答案:D解析：本題考查的是企業(yè)安全管理方面的知識。選項中給出了四種人員類型，需要判斷哪一種人員給公司帶來了最大的安全風(fēng)險。A選項臨時工，由于臨時工的工作時間較短，對公司的安全風(fēng)險影響相對較小，因此排除。B選項咨詢?nèi)藛T，咨詢?nèi)藛T一般只是提供咨詢服務(wù)，不會直接參與公司的運營和管理，因此對公司的安全風(fēng)險影響相對較小，排除。C選項以前的員工，雖然以前的員工可能已經(jīng)離職，但是他們可能還保留著公司的機密信息，如果這些信息被泄露出去，對公司的安全風(fēng)險影響較大，但是相對于當(dāng)前的員工，以前的員工已經(jīng)離職，對公司的安全風(fēng)險影響相對較小，排除。D選項當(dāng)前的員工，當(dāng)前的員工是公司的核心力量，如果員工在工作中存在安全意識不強、操作不規(guī)范等問題，就會給公司帶來安全風(fēng)險，因此選項D是正確答案。綜上所述，本題正確答案為D。

48.以下哪種安全模型未使用針對主客體的訪問控制機制？()A.基于角色模型B.自主訪問控制模型C.信息流模型D.強制訪問控制模型正確答案:C解析：本題考查的是安全模型中的訪問控制機制。訪問控制是指對系統(tǒng)中的資源進行控制和管理，以保證只有經(jīng)過授權(quán)的用戶才能訪問資源。常見的訪問控制機制有基于角色模型、自主訪問控制模型、信息流模型和強制訪問控制模型等。其中，基于角色模型和自主訪問控制模型都是針對主客體的訪問控制機制，即通過對用戶和資源進行分類和分組，實現(xiàn)對用戶訪問資源的控制。強制訪問控制模型則是通過對用戶和資源進行標(biāo)記和分類，實現(xiàn)對用戶訪問資源的控制。而信息流模型則是一種基于信息流的訪問控制機制，它主要關(guān)注的是信息的流向和傳遞，而不是針對主客體的訪問控制。因此，本題的正確答案是C。

49.以下哪種措施既可以起到保護的作用還能起到恢復(fù)的作用？()A.對參觀者進行登記B.備份C.實施業(yè)務(wù)持續(xù)性計劃D.口令正確答案:C解析：本題考查的是信息安全中的保護和恢復(fù)措施。選項A對于保護信息有一定作用，但并不能起到恢復(fù)作用；選項B備份只能起到恢復(fù)作用，不能保護信息；選項D口令只能起到保護作用，不能恢復(fù)信息。而選項C實施業(yè)務(wù)持續(xù)性計劃既可以在信息遭受破壞時起到保護作用，又可以在信息遭受破壞后恢復(fù)信息，因此是既能保護又能恢復(fù)的措施。因此，本題的正確答案是C。

50.以下哪種風(fēng)險被定義為合理的風(fēng)險？()A.最小的風(fēng)險B.可接受風(fēng)險C.殘余風(fēng)險D.總風(fēng)險正確答案:B解析：本題考察風(fēng)險管理中的概念。根據(jù)風(fēng)險管理的基本原則，風(fēng)險無法完全消除，只能通過采取措施來降低風(fēng)險。因此，合理的風(fēng)險是指在采取措施后，剩余的風(fēng)險是可接受的。因此，選項B“可接受風(fēng)險”是正確答案。選項A“最小的風(fēng)險”是不合理的，因為在實際情況中，為了達到某種目標(biāo)，可能需要承擔(dān)一定的風(fēng)險。選項C“殘余風(fēng)險”是指在采取措施后，剩余的風(fēng)險，與選項B的含義相同。選項D“總風(fēng)險”是指在未采取措施前的風(fēng)險，與本題無關(guān)。因此，本題答案為B。

51.以下人員中，誰負有決定信息分類級別的責(zé)任？()A.用戶B.數(shù)據(jù)所有者C.審計員D.安全官正確答案:B解析：在信息管理和安全領(lǐng)域，決定信息分類級別的責(zé)任通常落在數(shù)據(jù)所有者身上。數(shù)據(jù)所有者是擁有數(shù)據(jù)并決定其使用、分享和保護方式的人或組織。他們負責(zé)確定數(shù)據(jù)的敏感度、合規(guī)性和安全需求，從而決定適當(dāng)?shù)姆诸惣墑e。因此，選項B“數(shù)據(jù)所有者”是正確答案。

52.有三種基本的鑒別的方式：你知道什么，你有什么,以及()。A.你需要什么B.你看到什么C.你是什么D.你做什么正確答案:C解析：鑒別身份的方式通?；趥€人所知道的信息（如密碼、安全問題答案等）、擁有的物品（如身份證、鑰匙等）或個人的生物特征（如指紋、面部識別等）。這三種方式覆蓋了大多數(shù)常見的身份鑒別方法。選項C“你是什么”指的是個人的生物特征或身份屬性，是一種常見的鑒別方式。其他選項A“你需要什么”、B“你看到什么”和D“你做什么”雖然在某些情況下也可能與身份鑒別相關(guān)，但它們不被視為基本的鑒別方式。因此，正確答案是選項C。

53.在對一個企業(yè)進行信息安全體系建設(shè)中，下面哪種方法是最佳的？()A.自下而上B.自上而下C.上下同時開展D.以上都不正確正確答案:B解析：自上而下的方法通常是在企業(yè)信息安全體系建設(shè)中的最佳選擇。這種方法強調(diào)從管理層和領(lǐng)導(dǎo)層開始，制定全面的信息安全策略和政策，并確保其在整個組織中得到貫徹執(zhí)行。自上而下的方法的優(yōu)點包括：-明確的領(lǐng)導(dǎo)和方向：管理層的支持和參與確保了信息安全被視為企業(yè)的重要目標(biāo)，并為整個組織提供了明確的指導(dǎo)。-全面的策略和政策：能夠制定整體的信息安全策略和政策，涵蓋組織的各個方面，包括人員、流程和技術(shù)。-資源分配：管理層可以更好地分配資金、人力和技術(shù)資源，以確保信息安全項目得到充分支持。-風(fēng)險管理：能夠從組織的整體角度進行風(fēng)險評估和管理，制定相應(yīng)的控制措施來降低風(fēng)險。-文化變革：推動整個組織形成信息安全文化，使員工意識到信息安全的重要性，并積極參與保護企業(yè)的信息資產(chǎn)。相比之下，自下而上的方法可能缺乏足夠的管理層支持和資源，難以在整個組織中推廣和實施。上下同時開展的方法可能導(dǎo)致混亂和不協(xié)調(diào)。因此，自上而下的方法更有利于確保信息安全體系的有效建設(shè)和實施。選項B是正確的答案。

54.在風(fēng)險分析中，下列不屬于軟件資產(chǎn)的是()A.計算機操作系統(tǒng)B.網(wǎng)絡(luò)操作系統(tǒng)C.應(yīng)用軟件源代碼D.外來惡意代碼正確答案:D解析：軟件資產(chǎn)是指企業(yè)擁有的軟件產(chǎn)品、工具、應(yīng)用程序等，這些資產(chǎn)可以幫助企業(yè)提高業(yè)務(wù)效率、降低成本、增強競爭力。在風(fēng)險分析中，軟件資產(chǎn)的安全性和穩(wěn)定性是非常重要的因素。選項A、B、C都屬于軟件資產(chǎn)，而選項D外來惡意代碼是一種安全威脅，不屬于軟件資產(chǎn)。因此，正確答案是D。

55.在國家標(biāo)準(zhǔn)中，屬于強制性標(biāo)準(zhǔn)的是：()A.GB/TXXXX-X-200XB.GBXXXX-200XC.DBXX/TXXX-200XD.QXXX-XXX-200X正確答案:B解析：國家標(biāo)準(zhǔn)的編號由國家標(biāo)準(zhǔn)代號（GB）、發(fā)布順序號和發(fā)布年代號組成，強制性國家標(biāo)準(zhǔn)代號為GB，推薦性國家標(biāo)準(zhǔn)代號為GB/T。DBXX/T一般是地方標(biāo)準(zhǔn)，QXXX-XXX通常是企業(yè)標(biāo)準(zhǔn)。在國家標(biāo)準(zhǔn)中，GBXXXX-200X表示強制性標(biāo)準(zhǔn)，GB/TXXXX-X-200X表示推薦性標(biāo)準(zhǔn)。所以屬于強制性標(biāo)準(zhǔn)的是選項B。

56.在任何情況下，一個組織應(yīng)對公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全事件？()A.當(dāng)信息安全事件的負面影響擴展到本組織意外時B.只要發(fā)生了安全事件就應(yīng)當(dāng)公告C.只有公眾的什么財產(chǎn)安全受到巨大危害時才公告D.當(dāng)信息安全事件平息之后正確答案:A解析：本題考查組織在信息安全事件發(fā)生后應(yīng)當(dāng)如何公告。選項B和C都是極端的，不是所有的安全事件都需要公告，只有當(dāng)負面影響擴展到組織之外時才需要公告。選項D也不正確，因為即使事件平息，公眾和媒體也需要知道事件的發(fā)生和處理過程。因此，正確答案為A。

57.在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？()A.標(biāo)準(zhǔn)（Standard）B.安全策略（Securitypolicy）C.方針（GuidelinE）D.流程(Proecdure)正確答案:A解析：在信息安全策略體系中，標(biāo)準(zhǔn)（Standard）是指計算機或信息安全的強制性規(guī)則，是信息安全策略體系中最具體、最嚴(yán)格的規(guī)定，它規(guī)定了信息系統(tǒng)的安全要求、技術(shù)標(biāo)準(zhǔn)、實施方法和測試要求等。安全策略（Securitypolicy）、方針（Guideline）和流程（Procedure）都是信息安全策略體系中的重要組成部分，但它們并不是強制性規(guī)則，而是指導(dǎo)性的、建議性的規(guī)定。因此，本題的正確答案是A。

58.在信息安全管理工作中“符合性”的含義不包括哪一項？()A.對法律法規(guī)的符合B.對安全策略和標(biāo)準(zhǔn)的符合C.對用戶預(yù)期服務(wù)效果的符合D.通過審計措施來驗證符合情況正確答案:C解析：本題考查信息安全管理中“符合性”的含義。符合性是指企業(yè)或組織在信息安全管理中，按照相關(guān)的法律法規(guī)、安全策略和標(biāo)準(zhǔn)等要求，采取相應(yīng)的措施，確保信息系統(tǒng)的安全性、可靠性和完整性。選項A、B、D都是符合性的具體表現(xiàn)，而選項C“對用戶預(yù)期服務(wù)效果的符合”不屬于符合性的含義，因此選C。

59.在許多組織機構(gòu)中，產(chǎn)生總體安全性問題的主要原因是()。A.缺少安全性管理B.缺少故障管理C.缺少風(fēng)險分析D.缺少技術(shù)控制機制正確答案:A解析：在許多組織機構(gòu)中，總體安全性問題的產(chǎn)生往往與管理層面的缺失緊密相關(guān)。安全性管理是一個綜合性的概念，它涵蓋了風(fēng)險評估、故障預(yù)防、技術(shù)控制等多個方面。當(dāng)安全性管理不到位時，組織機構(gòu)就容易面臨各種安全威脅和風(fēng)險。對比選項B、C、D，雖然它們也都是安全性問題的重要方面，但都是安全性管理的一部分。缺少故障管理可能導(dǎo)致對潛在問題的忽視，缺少風(fēng)險分析可能導(dǎo)致對威脅的認知不足，缺少技術(shù)控制機制可能導(dǎo)致安全漏洞的存在。然而，這些問題都可以歸結(jié)為缺少有效的安全性管理。因此，產(chǎn)生總體安全性問題的主要原因是缺少安全性管理，選項A是正確的。

60.職責(zé)分離是信息安全管理的一個基本概念。其關(guān)鍵是權(quán)利不能過分集中在某一個人手中。

職責(zé)分離的目的是確保沒有單獨的人員()可以對應(yīng)用程序系統(tǒng)特征或控制功

能進行破壞。當(dāng)以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責(zé)分離”原則的違背？

（）A.數(shù)據(jù)安全管理員B.數(shù)據(jù)安全分析員C.系統(tǒng)審核員D.系統(tǒng)程序員正確答案:D解析：職責(zé)分離的目的是通過將不同的職責(zé)分配給不同的人員，以減少潛在的安全風(fēng)險。在信息安全管理中，系統(tǒng)程序員負責(zé)開發(fā)和維護應(yīng)用程序系統(tǒng)的軟件。如果系統(tǒng)程序員同時擁有對安全系統(tǒng)軟件的訪問權(quán)限，他們就有可能對系統(tǒng)的特征或控制功能進行破壞，從而違背了職責(zé)分離的原則。而數(shù)據(jù)安全管理員、數(shù)據(jù)安全分析員和系統(tǒng)審核員的職責(zé)主要是與數(shù)據(jù)安全和系統(tǒng)審核相關(guān)，他們的工作重點不在于直接訪問和修改安全系統(tǒng)軟件。因此，正確答案是選項D。

61.中國電信的崗位描述中都應(yīng)明確包含安全職責(zé)，并形成正式文件記錄在案，對于安全職

責(zé)的描述應(yīng)包括()。A.落實安全政策的常規(guī)職責(zé)B.執(zhí)行具體安全程序或活動的特定職責(zé)C.保護具體資產(chǎn)的特定職責(zé)D.以上都對正確答案:D解析：在一個企業(yè)中，安全職責(zé)是多方面且全面的。落實安全政策的常規(guī)職責(zé)確保整個組織遵循統(tǒng)一的安全策略和方向；執(zhí)行具體安全程序或活動的特定職責(zé)可使各項安全措施切實落地實施；保護具體資產(chǎn)的特定職責(zé)明確了對具體資產(chǎn)保護的責(zé)任歸屬。中國電信作為大型企業(yè)，崗位描述中的安全職責(zé)需要包括這些層面，這樣才能構(gòu)建全面、有效的安全管理體系。所以ABC三個選項均是需要包含的內(nèi)容，即選項D正確。

62.終端安全管理目標(biāo)：規(guī)范支撐系統(tǒng)中終端用戶的行為，降低來自支撐系統(tǒng)終端的安全威

脅，重點解決以下哪些問題？()。A.終端接入和配置管理；終端賬號、秘密、漏洞補丁等系統(tǒng)安全管理；桌面及主機設(shè)

置管理；終端防病毒管理B.終端賬號、秘密、漏洞補丁等系統(tǒng)安全管理；桌面及主機設(shè)置管理；終端防病毒管

理C.終端接入和配置管理；桌面及主機設(shè)置管理；終端防病毒管理D.終端接入和配置管理；終端賬號、秘密、漏洞補丁等系統(tǒng)安全管理；桌面及主機設(shè)

置管理正確答案:A解析：終端安全管理需要全面考慮多個方面。終端接入和配置管理能確保只有授權(quán)的終端接入系統(tǒng)并正確配置；終端賬號、秘密、漏洞補丁等系統(tǒng)安全管理可保障賬戶安全、及時修補漏洞，降低安全風(fēng)險；桌面及主機設(shè)置管理保證系統(tǒng)環(huán)境安全穩(wěn)定；終端防病毒管理能有效抵御病毒等惡意軟件的威脅。A選項包含了終端安全管理目標(biāo)中重點要解決的全部內(nèi)容，而B選項缺少終端接入和配置管理；C選項缺少終端賬號、秘密、漏洞補丁等系統(tǒng)安全管理；D選項也同樣不完整。所以正確答案是A。

63.著名的橘皮書指的是()。A.可信計算機系統(tǒng)評估標(biāo)準(zhǔn)(TCSEC)B.信息安全技術(shù)評估標(biāo)準(zhǔn)（ITSEC）C.美國聯(lián)邦標(biāo)準(zhǔn)（FC）D.通用準(zhǔn)則（CC）正確答案:A解析：本題考查的是計算機安全領(lǐng)域的知識點。橘皮書是指可信計算機系統(tǒng)評估標(biāo)準(zhǔn)（TCSEC），也稱為“橙皮書”，是美國國家安全局（NSA）于1983年發(fā)布的一份計算機安全標(biāo)準(zhǔn)，用于評估計算機系統(tǒng)的安全性。因為封面為橙色，所以被稱為“橘皮書”。因此，本題的正確答案為A。其他選項分別是歐洲的信息安全技術(shù)評估標(biāo)準(zhǔn)（ITSEC）、美國聯(lián)邦標(biāo)準(zhǔn)（FC）和通用準(zhǔn)則（CC），與橘皮書無關(guān)。

64.資產(chǎn)的敏感性通常怎樣進行劃分？()A.絕密、機密、敏感B.機密、秘密、敏感和公開C.絕密、機密、秘密、敏感和公開等五類D.絕密、高度機密、秘密、敏感和公開等五類正確答案:C解析：本題考察資產(chǎn)敏感性的劃分。資產(chǎn)敏感性的劃分是信息安全管理的基礎(chǔ)，不同的敏感性級別需要采取不同的保護措施。根據(jù)國家保密局的規(guī)定，資產(chǎn)的敏感性通常劃分為五類，分別是絕密、機密、秘密、敏感和公開。因此，本題的正確答案為C。選項A和D中的“高度機密”屬于錯誤選項，選項B中的“秘密和公開”也不全面，因此都不是正確答案。

65.重要系統(tǒng)關(guān)鍵操作操作日志保存時間至少保存()個月。A.1B.2C.3D.4正確答案:C解析：本題考查的是信息安全中的日志管理知識點。在重要系統(tǒng)中，關(guān)鍵操作的操作日志應(yīng)當(dāng)被保存一定的時間，以便于后續(xù)的審計和追溯。根據(jù)國家相關(guān)規(guī)定，一般要求至少保存3個月，因此本題的答案為C。

66.安全基線達標(biāo)管理辦法規(guī)定：BSS系統(tǒng)口令設(shè)置應(yīng)遵循的內(nèi)控要求是()A.數(shù)字+字母B.數(shù)字+字母+符號C.數(shù)字+字母+字母大小寫D.數(shù)字+符號正確答案:C解析：本題考查的是安全基線達標(biāo)管理辦法中對BSS系統(tǒng)口令設(shè)置的內(nèi)控要求。根據(jù)選項可知，口令設(shè)置應(yīng)包含數(shù)字和字母，并且要求字母大小寫都要包含，因此選項C為正確答案。選項A和D都沒有要求包含字母，選項B雖然包含符號，但沒有要求字母大小寫都要包含，因此都不符合要求。

67.不屬于安全策略所涉及的方面是()。A.物理安全策略B.訪問控制策略C.信息加密策略D.防火墻策略正確答案:D解析：本題考查的是安全策略的相關(guān)知識。安全策略是指為保護計算機系統(tǒng)和網(wǎng)絡(luò)安全而采取的一系列措施和方法。常見的安全策略包括物理安全策略、訪問控制策略、信息加密策略等。而防火墻策略雖然也是保護計算機系統(tǒng)和網(wǎng)絡(luò)安全的一種措施，但是它屬于網(wǎng)絡(luò)安全策略的范疇，不屬于安全策略所涉及的方面。因此，本題的答案為D。

68.“中華人民共和國保守國家秘密法”第二章規(guī)定了國家秘密的范圍和密級，國家秘密的密

級分為：()。A.“普密”、“商密”兩個級別B.“低級”和“高級”兩個級別C.“絕密”、“機密”、“秘密”三個級別D.“一密”、“二密”，“三密”、“四密”四個級別正確答案:C解析：本題考查對《中華人民共和國保守國家秘密法》第二章的理解。根據(jù)該章節(jié)內(nèi)容可知，國家秘密的密級分為“絕密”、“機密”、“秘密”三個級別，因此選項C為正確答案。選項A、B、D均與該章節(jié)內(nèi)容不符。

69.對MBOSS系統(tǒng)所有資產(chǎn)每年至少進行()次安全漏洞自評估。A.1B.2C.3D.4正確答案:A解析：根據(jù)題目所給的條件，要求對MBOSS系統(tǒng)所有資產(chǎn)每年至少進行一次安全漏洞自評估，因此選項A正確。選項B、C、D都超過了要求的最低次數(shù)，不符合題意。

70.下列情形之一的程序，不應(yīng)當(dāng)被認定為《中華人民共和國刑法》規(guī)定的“計算機病毒等

破壞性程序”的是：()。A.能夠盜取用戶數(shù)據(jù)或者傳播非法信息的B.能夠通過網(wǎng)絡(luò)、存儲介質(zhì)、文件等媒介，將自身的部分、全部或者變種進行復(fù)制、

傳播，并破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的C.能夠在預(yù)先設(shè)定條件下自動觸發(fā)，并破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的D.其他專門設(shè)計用于破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的程序正確答案:A解析：本題考查對《中華人民共和國刑法》中計算機病毒等破壞性程序的定義和特征的理解。根據(jù)《中華人民共和國刑法》第二百六十七條的規(guī)定，計算機病毒等破壞性程序是指能夠通過網(wǎng)絡(luò)、存儲介質(zhì)、文件等媒介，將自身的部分、全部或者變種進行復(fù)制、傳播，并破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的程序。因此，選項B、C、D都符合計算機病毒等破壞性程序的定義和特征。而選項A中的“能夠盜取用戶數(shù)據(jù)或者傳播非法信息的”并沒有提到破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序，因此不符合計算機病毒等破壞性程序的定義和特征。因此，選項A是本題的正確答案。

71.中國電信各省級公司爭取在1-3年內(nèi)實現(xiàn)CTG-MBOSS系統(tǒng)安全基線“達標(biāo)”()級以

上。A.A級B.B級C.C級D.D級正確答案:C解析：本題考查的是對CTG-MBOSS系統(tǒng)安全基線的了解。CTG-MBOSS系統(tǒng)是中國電信的一種業(yè)務(wù)支撐系統(tǒng)，安全基線是指系統(tǒng)的安全保障措施達到的最低標(biāo)準(zhǔn)。根據(jù)題目所述，中國電信各省級公司爭取在1-3年內(nèi)實現(xiàn)CTG-MBOSS系統(tǒng)安全基線“達標(biāo)”級以上，因此答案應(yīng)為C級。

72.下面對國家秘密定級和范圍的描述中，哪項不符合《保守國家秘密法》要求？()A.國家秘密和其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安

全和其他中央有關(guān)規(guī)定B.各級國家機關(guān)、單位對所產(chǎn)生的秘密事項，應(yīng)當(dāng)按照國家秘密及其密級的具體范圍

的規(guī)定確定密級C.對是否屬于國家和屬于何種密級不明確的事項，可有各單位自行參考國家要求確定

和定級，然后國家保密工作部門備案D.對是否屬于國家和屬于何種密級不明確的事項，由國家保密工作部門，省、自治區(qū)、

直轄市的保密工作部門，省、自治區(qū)、直轄市的保密工作部門，省、自治區(qū)政府所在地的市正確答案:C解析：依據(jù)《保守國家秘密法》，對是否屬于國家秘密和屬于何種密級不明確的事項，應(yīng)當(dāng)依照法定程序確定，而不是由各單位自行確定和定級后僅備案。應(yīng)由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門，以及省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門來確定，C選項不符合要求，ABD選項表述正確。所以答案選C。

73.獲取支付結(jié)算、證劵交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認證信息()組以上的可

以被《中華人民共和國刑法》認為是非法獲取計算機信息系統(tǒng)系統(tǒng)認定的“情節(jié)嚴(yán)重”。A.5B.10C.-15D.20正確答案:B解析：本題考查的是網(wǎng)絡(luò)安全法中的相關(guān)規(guī)定。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第四十一條規(guī)定，未經(jīng)網(wǎng)絡(luò)用戶同意，獲取其個人信息的，應(yīng)當(dāng)停止違法行為，刪除已經(jīng)獲取的個人信息，采取補救措施，防止個人信息泄露，不得非法出售、非法向他人提供、非法公開個人信息。情節(jié)嚴(yán)重的，由公安機關(guān)依法查處。根據(jù)該條規(guī)定，獲取支付結(jié)算、證劵交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認證信息，屬于非法獲取個人信息的行為，情節(jié)嚴(yán)重的將被依法查處。因此，答案為B，即10組以上的身份認證信息被認為是非法獲取計算機信息系統(tǒng)認定的“情節(jié)嚴(yán)重”。

74.基準(zhǔn)達標(biāo)項滿()分作為安全基線達標(biāo)合格的必要條件。A.50B.60C.70D.80正確答案:B解析：本題考查對于安全基線達標(biāo)合格的必要條件的理解。根據(jù)題干中的信息，基準(zhǔn)達標(biāo)項滿分作為安全基線達標(biāo)合格的必要條件，因此選項B的60分為正確答案。選項A的50分、選項C的70分、選項D的80分均不符合題意。因此，本題答案為B。

75.《國家保密法》對違法人員的量刑標(biāo)準(zhǔn)是()。A.國家機關(guān)工作人員違法保護國家秘密的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)

重的，處三年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑B.國家機關(guān)工作人員違法保護國家秘密的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)

重的，處四年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處四年以上七年以下有期徒刑C.國家機關(guān)工作人員違法保護國家秘密的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)重的，

處五年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處五年以上七年以下有期徒刑D.-國家機關(guān)工作人員違法保護國家秘密的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)重，

處七年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處七年以下有期徒刑正確答案:A解析：《中華人民共和國保守國家秘密法》第三十一條規(guī)定：國家機關(guān)工作人員違反保守國家秘密法的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑。所以選項A正確。

76.$HOME/.netrC文件包含下列哪種命令的自動登錄信息？()A.rshB.sshC.ftpD.rlogin正確答案:C解析：在Unix/Linux系統(tǒng)中，.netrc文件通常用于存儲FTP客戶端的自動登錄信息，包括用戶名、密碼、FTP服務(wù)器的主機名等。當(dāng)用戶使用FTP客戶端連接到遠程服務(wù)器時，F(xiàn)TP客戶端會讀取.netrc文件中的登錄信息，并自動進行登錄。rsh、ssh、rlogin等命令通常不需要使用.netrc文件進行自動登錄，它們有自己的身份驗證和登錄機制。因此，選項C是正確答案。

77./etc/ftpuser文件中出現(xiàn)的賬戶的意義表示()。A.該賬戶不可登錄ftpB.該賬戶可以登錄ftpC.沒有關(guān)系D.缺少正確答案:A解析：/etc/ftpuser文件是用來限制FTP用戶登錄的，其中列出的賬戶表示不允許登錄FTP的用戶。因此，出現(xiàn)在/etc/ftpuser文件中的賬戶意味著該賬戶不可登錄FTP，選項A正確。選項B錯誤，因為該文件中列出的賬戶不能登錄FTP。選項C和D也都不正確。

78.按TCSEC標(biāo)準(zhǔn)，WinNT的安全級別是()。A.C2B.B2C.C3D.B1正確答案:A解析：TCSEC（TrustedComputerSystemEvaluationCriteria，可信計算機系統(tǒng)評估準(zhǔn)則）是美國國防部制定的計算機系統(tǒng)安全評估標(biāo)準(zhǔn)，也稱為“橙皮書”。根據(jù)TCSEC標(biāo)準(zhǔn)，WinNT的安全級別為C2級別，因此選項A正確。B2級別要求比C2更高，C3級別要求比B2更高，B1級別要求比C2更低。

79.Linux系統(tǒng)/etC目錄從功能上看相當(dāng)于Windows的哪個目錄？()A.programfilesB.WindowsC.systemvolumEinformationD.TEMP正確答案:B解析：Linux系統(tǒng)的/etc目錄存放的是系統(tǒng)的配置文件，類似于Windows系統(tǒng)的Windows目錄，而Windows目錄存放的是操作系統(tǒng)的核心文件，因此從功能上看，Linux系統(tǒng)的/etc目錄相當(dāng)于Windows系統(tǒng)的Windows目錄。因此，本題的正確答案為B。選項A的programfiles目錄存放的是應(yīng)用程序的安裝文件；選項C的systemvolumeinformation目錄存放的是系統(tǒng)還原點和卷影副本；選項D的TEMP目錄存放的是臨時文件。

80.Linux系統(tǒng)格式化分區(qū)用哪個命令？()A.fdiskB.mvC.mountD.dF正確答案:A解析：本題考查Linux系統(tǒng)中格式化分區(qū)的命令。選項中，只有A選項fdisk是用來對磁盤進行分區(qū)和格式化的命令，因此答案為A。其他選項的解釋：B.mv是用來移動或重命名文件或目錄的命令，與格式化分區(qū)無關(guān)。C.mount是用來掛載文件系統(tǒng)的命令，與格式化分區(qū)無關(guān)。D.dF是一個不存在的命令，與格式化分區(qū)無關(guān)。

81.在Unix系統(tǒng)中，當(dāng)用ls命令列出文件屬性時，如果顯示-rwxrwxrwx,意思是()。A.前三位rwx表示文件屬主的訪問權(quán)限；中間三位rwx表示文件同組用戶的訪問權(quán)限；

后三位rwx表示其他用戶的訪問權(quán)限B.前三位rwx表示文件同組用戶的訪問權(quán)限；中間三位rwx表示文件屬主的訪問權(quán)限；

后三位rwx表示其他用戶的訪問權(quán)限C.前三位rwx表示文件同域用戶的訪問權(quán)限；中間三位rwx表示文件屬主的訪問權(quán)限；

后三位rwx表示其他用戶的訪問權(quán)限D(zhuǎn).前三位rwx表示文件屬主的訪問權(quán)限；中間三位rwx表示文件同組用戶的訪問權(quán)限；

后三位rwx表示同域用戶的訪問權(quán)限正確答案:A解析：在Unix系統(tǒng)中，文件屬性包括文件類型和文件權(quán)限。文件類型包括普通文件、目錄、鏈接文件等，文件權(quán)限包括讀、寫、執(zhí)行權(quán)限。當(dāng)用ls命令列出文件屬性時，如果顯示-rwxrwxrwx，其中第一個字符"-"表示這是一個普通文件，后面的字符中，每三個字符為一組，分別表示文件屬主、文件同組用戶和其他用戶的訪問權(quán)限。其中，r表示讀權(quán)限，w表示寫權(quán)限，x表示執(zhí)行權(quán)限，-表示沒有相應(yīng)的權(quán)限。因此，選項A描述的是正確的文件權(quán)限表示方法，是本題的正確答案。

82.Linux系統(tǒng)通過()命令給其他用戶發(fā)消息。A.lessB.mesgC.writED.echoto正確答案:C解析：本題考查Linux系統(tǒng)中給其他用戶發(fā)送消息的命令。根據(jù)選項可知，選項A的less命令是用于查看文件內(nèi)容的，與題目無關(guān)；選項B的mesg命令是用于控制終端接收消息的權(quán)限，也與題目無關(guān)；選項D的echoto命令是錯誤的，因為Linux中沒有這個命令。因此，正確答案為C，即Linux系統(tǒng)通過write命令給其他用戶發(fā)消息。write命令的格式為：writeusername[ttyname]，其中username為接收消息的用戶名，ttyname為終端設(shè)備名，如果不指定則默認為當(dāng)前終端。

83.Linux中，向系統(tǒng)中某個特定用戶發(fā)送信息，用什么命令？()A.wallB.writEC.mesgD.netsenD正確答案:B解析：本題考查Linux中向特定用戶發(fā)送信息的命令。選項中，A選項的wall命令是向所有用戶發(fā)送信息的命令，不符合題意；C選項的mesg命令是控制是否接收其他用戶發(fā)送的信息的命令，也不符合題意；D選項的netsend命令是Windows系統(tǒng)中向特定用戶發(fā)送信息的命令，與Linux系統(tǒng)無關(guān)。因此，正確答案為B選項的write命令，該命令可以向指定用戶發(fā)送信息。

84.防止系統(tǒng)對ping請求做出回應(yīng)，正確的命令是：()。A.echo0>/proc/sys/net/ipv4/icmp_ehco_ignore_allB.echo0>/proc/sys/net/ipv4/tcp_syncookiesC.echo1>/proc/sys/net/ipv4/icmp_echo_ignore_allD.echo1>/proc/sys/net/ipv4/tcp_syncookies正確答案:C解析：本題考查的是Linux系統(tǒng)中防止ping請求的命令。ping命令是通過ICMP協(xié)議實現(xiàn)的，因此需要修改ICMP相關(guān)的配置。正確的命令是echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all，其中1表示忽略所有ICMP回顯請求，即不回應(yīng)ping請求。因此，選項C是正確答案。選項A和B分別是關(guān)閉ICMP回顯請求和啟用TCPSYNcookies的命令，與本題無關(guān)。選項D是啟用TCPSYNcookies的命令，也與本題無關(guān)。

85.NT/2K模型符合哪個安全級別？()A.B2B.C2C.B1D.C1正確答案:B解析：答案：B、C2解析：根據(jù)題目描述，需要確定NT/2K模型符合哪個安全級別。NT/2K是指WindowsNT和Windows2000操作系統(tǒng)。而安全級別通常是指根據(jù)不同的信息安全標(biāo)準(zhǔn)或體系，對計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)或軟件進行評估和分類的一種等級劃分。根據(jù)常見的信息安全級別劃分標(biāo)準(zhǔn)，B2（有時也稱為低水平）表示在這個級別上，系統(tǒng)具有明確定義和執(zhí)行的政策和程序，能夠保護機密性和完整性，但可能沒有足夠的保障來保證可用性。C2（有時也稱為中水平）表示在這個級別上，系統(tǒng)具有更高的安全性能，包括嚴(yán)格的身份驗證、訪問控制、審計和其他安全功能。它提供了更多的防御措施，以保護系統(tǒng)免受未經(jīng)授權(quán)的訪問和攻擊。根據(jù)題目描述，NT/2K模型符合B2或C2安全級別中的哪一個。根據(jù)常見情況，NT/2K模型符合C2安全級別。因此，選項B、C2是正確答案。

86.ReDFlagLinux指定域名服務(wù)器位置的文件是()。A.etc/hostsB.etc/networksC.etc/rosolv.conFD./.profilE正確答案:C解析：本題考查的是Linux系統(tǒng)中指定域名服務(wù)器位置的文件。根據(jù)Linux系統(tǒng)的常規(guī)設(shè)置，域名解析的配置文件是resolv.conf，而不是hosts、networks或.profile等文件。因此，正確答案為C。

87.Solaris操作系統(tǒng)下，下面哪個命令可以修改/n2kuser/.profilE文件的屬性為所有用戶可讀、

科協(xié)、可執(zhí)行？()A.chmoD744/n2kuser/.profilEB.chmoD755/n2kuser/.profilEC.chmoD766/n2kuser/.profilED.chmoD777/n2kuser/.profilE正確答案:D解析：在Solaris操作系統(tǒng)中，`chmod`命令用于修改文件或目錄的權(quán)限。權(quán)限用三個數(shù)字表示，分別代表文件所有者、用戶組和其他用戶的權(quán)限。每個數(shù)字可以是0到7之間的任意一個值，其中：-0表示沒有權(quán)限。-1表示執(zhí)行權(quán)限（x）。-2表示寫權(quán)限（w）。-4表示讀權(quán)限（r）。-7表示讀、寫和執(zhí)行權(quán)限（rwx）。因此，要將文件`/n2kuser/.profile`的屬性修改為所有用戶可讀、科協(xié)可執(zhí)行，可以使用以下命令：`chmod777/n2kuser/.profile`其中，777表示所有用戶都具有讀、寫和執(zhí)行權(quán)限。所以，正確答案是D。

88.如何配置，使得用戶從服務(wù)器A訪問服務(wù)器B而無需輸入密碼？()A.利用NIS同步用戶的用戶名和密碼B.在兩臺服務(wù)器上創(chuàng)建并配置/.rhost文件C.在兩臺服務(wù)器上創(chuàng)建并配置$HOME/.netrC文件D.在兩臺服務(wù)器上創(chuàng)建并配置/etc/hosts.equiv文件正確答案:D解析：本題考察的是如何配置使得用戶從服務(wù)器A訪問服務(wù)器B時無需輸入密碼。選項A提到了NIS，但是NIS是一種用戶認證和授權(quán)的服務(wù)，不涉及到無需密碼訪問的問題，因此排除。選項B提到了/.rhost文件，這個文件是用來配置遠程主機的信任關(guān)系的，但是這個文件需要在每個用戶的home目錄下配置，不太實用，因此排除。選項C提到了$HOME/.netrc文件，這個文件是用來配置FTP客戶端的，不涉及到SSH認證，因此排除。選項D提到了/etc/hosts.equiv文件，這個文件是用來配置主機之間的信任關(guān)系的，可以實現(xiàn)無需密碼訪問，因此是正確答案。因此，本題的答案是D。

89.Solaris系統(tǒng)使用什么命令查看已有補丁列表？()A.unamE–anB.showrevC.oslevel–rD.swlist–lproduct‘PH??’正確答案:C解析：本題考查的是Solaris系統(tǒng)中查看已有補丁列表的命令。選項A的命令unamE–an是用來查看系統(tǒng)的主機名和操作系統(tǒng)信息的，與題目無關(guān)；選項B的命令showrev是用來查看系統(tǒng)版本和硬件信息的，也與題目無關(guān)；選項D的命令swlist–lproduct‘PH??’是用來列出已安裝的軟件包及其版本信息的，不是查看補丁列表的命令。因此，正確答案為C，即使用命令oslevel–r來查看已有補丁列表。

90.Unix系統(tǒng)中存放每個用戶信息的文件是()。A./sys/passwDB./sys/passworDC./etc/passworDD./etc/passwD正確答案:D解析：Unix系統(tǒng)中存放每個用戶信息的文件是/etc/passwd，選項D正確。選項A和B中的passwD和passworD拼寫錯誤，選項