NISP復(fù)習(xí)試題附答案

第頁(yè)NISP復(fù)習(xí)試題附答案1.即時(shí)通訊安全是移動(dòng)互聯(lián)網(wǎng)時(shí)代每個(gè)用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問題,特別對(duì)于使用即時(shí)通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時(shí)通訊應(yīng)考慮許多措施,下列措施中錯(cuò)誤的是()A、如果經(jīng)費(fèi)許可,可以使用自建服務(wù)器的即時(shí)通訊系統(tǒng)B、在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時(shí)通訊中傳輸敏感及以上級(jí)別的文檔;建立管理流程及時(shí)將離職員工移除等C、選擇在設(shè)計(jì)上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時(shí)通訊軟件,例如提供傳輸安全性保護(hù)等即時(shí)通訊D、涉及重要操作包括轉(zhuǎn)賬無需方式確認(rèn)【正確答案】：D解析：

D項(xiàng)常識(shí)性錯(cuò)誤。2.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷【正確答案】：C解析：

C為緩沖區(qū)溢出的正確解釋。3.視窗操作系統(tǒng)（Windows）從哪個(gè)版本開始引入安全中心的概念？A、WinNTSP6B、Win2000SP4C、WinXPSP2D、Win2003SP1【正確答案】：C4.以下哪項(xiàng)不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？A、確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施B、編制和管理應(yīng)急響應(yīng)計(jì)劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D、評(píng)估事件的影響范圍，增強(qiáng)審計(jì)功能、備份完整系統(tǒng)【正確答案】：D解析：

D描述的是安全事件發(fā)生以后，不是應(yīng)急響應(yīng)的準(zhǔn)備。5.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞，隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施，請(qǐng)問該措施屬于哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：B解析：

關(guān)閉FTP服務(wù)屬于風(fēng)險(xiǎn)規(guī)避6.某公司財(cái)務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議,作為信息安全主管,你必須指出不恰當(dāng)?shù)牟僮鞑⒆柚勾舜尾僮?)A、由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對(duì)本次攻擊進(jìn)行取證B、由于公司缺乏備用硬盤,因此計(jì)劃將恢復(fù)服務(wù)器上被刪除的日志文件進(jìn)行本地恢復(fù)后再提取出來進(jìn)行取證C、由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請(qǐng)采購(gòu)與服務(wù)器硬盤同一型號(hào)的硬盤用于存儲(chǔ)恢復(fù)出來的數(shù)據(jù)D、由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負(fù)責(zé)此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作【正確答案】：B7.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z20986-2007《信息安全事件分級(jí)分類指南》，該事件的準(zhǔn)確分類和定級(jí)應(yīng)該是()A、有害程序事件特別重大事件(Ⅰ級(jí))B、信息破壞事件重大事件(Ⅱ級(jí))C、有害程序事件較大事件(Ⅲ級(jí))D、信息破壞事件一般事件(Ⅳ級(jí))【正確答案】：C解析：

木馬病毒為有害程序事件，系統(tǒng)數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問屬于較大事件(III級(jí))8.按照我國(guó)信息安全等級(jí)保護(hù)的有關(guān)政策和標(biāo)準(zhǔn)，有些信息系統(tǒng)只需自主定級(jí)、自主保護(hù)，按照要求向公安機(jī)關(guān)備案即可，可以不需要上級(jí)或主管部門來測(cè)評(píng)和檢查。此類信息系統(tǒng)應(yīng)屬于()。A、零級(jí)系統(tǒng)B、一級(jí)系統(tǒng)C、二級(jí)系統(tǒng)D、三級(jí)系統(tǒng)【正確答案】：B解析：

一級(jí)系統(tǒng)只需要自主定級(jí)備案，不需要測(cè)評(píng)。9.社會(huì)工程學(xué)本質(zhì)上是一種()，()通過種種方式來引導(dǎo)受攻擊者的()向攻擊者期望的方向發(fā)展。羅伯特?B?西奧迪尼(RobertBCialdini)在科學(xué)美國(guó)人(2001年2月)雜志中總結(jié)對(duì)()的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是()工程師在攻擊中所依賴的(有意思或者無意識(shí)的)。A、攻擊者；心理操縱；思維；心理操縱；思維；社會(huì)工程學(xué)B、攻擊者；心理操縱；心理操縱；社會(huì)工程學(xué)C、心理操縱；攻擊者；思維；心理操縱；社會(huì)工程學(xué)D、心理操縱；思維；心理操縱；攻擊者；社會(huì)工程學(xué)【正確答案】：C10.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是()。A、基于SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)【正確答案】：A解析：

SSE-CMM的工程不是獨(dú)立工程，而是與其他工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、通信工程等。P179。11.在數(shù)據(jù)庫(kù)安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象()，授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大【正確答案】：A解析：

數(shù)據(jù)粒度越細(xì)則授權(quán)策略越靈活便利。12.SARSA模型包括()，它是一個(gè)()，它在第一層從安全的角度定義了()。模型的每一層在抽象方面逐層減少，細(xì)節(jié)逐層增加，因此，它的層級(jí)都是建在其他層之上的，從策略逐漸到技術(shù)和解決方案的()。其思路上創(chuàng)新提出了一個(gè)包括戰(zhàn)略、概念、設(shè)計(jì)、實(shí)施、度量和審計(jì)層次的()A、五層；業(yè)務(wù)需求；分層模型；實(shí)施實(shí)踐；安全鏈條B、六層；分層模型；業(yè)務(wù)需求；實(shí)施實(shí)踐；安全鏈條C、五層；分層模型；業(yè)務(wù)需求；實(shí)施實(shí)踐；安全鏈條D、六層；分層模型；實(shí)施實(shí)踐；業(yè)務(wù)需求；安全鏈條【正確答案】：B解析：

SABSA舍伍德模型六層模型，從安全角度定義了業(yè)務(wù)需求13.依據(jù)國(guó)家GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

GB/T20274信息系統(tǒng)保障評(píng)估框架從管理、技術(shù)、工程和總體方面進(jìn)行評(píng)估。14.數(shù)字簽名不能實(shí)現(xiàn)的安全特性為()A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D解析：

數(shù)字簽名的作用不在于保密通信。15.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理風(fēng)險(xiǎn)，請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是()A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

放棄高風(fēng)險(xiǎn)模塊的功能，屬于風(fēng)險(xiǎn)規(guī)避。16.有關(guān)危害國(guó)家秘密安全的行為包括()A、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為,但不包括定密不當(dāng)行為C、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為,但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為D、嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為,但不包括保密行政管理部門的工作人員的違法行為【正確答案】：A解析：

A最全面,嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為17.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目。總體目標(biāo)就是用于交換式千兆以太網(wǎng)為主干，超五類雙絞線作水平布線，由大型交換機(jī)和路由器連通幾個(gè)主要的工作區(qū)域，在各區(qū)域建立一個(gè)閉路電視監(jiān)控系統(tǒng)，再把信號(hào)通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心，其中對(duì)交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一個(gè)不可缺少的步驟，下面對(duì)于交換機(jī)和路由器的安全配置，操作錯(cuò)誤的是()A、保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁B、控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口C、帶外管理交換機(jī)，如果不能實(shí)現(xiàn)的話，可以利用單獨(dú)的VLAN號(hào)進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)【正確答案】：A解析：

交換機(jī)和路由器的管理包括了版本更新，也包括了補(bǔ)丁管理。18.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了安裝FTP服務(wù)漏洞補(bǔ)丁程序并加固FTP服務(wù)安全措施，請(qǐng)問該措施屬于哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)轉(zhuǎn)移B、風(fēng)險(xiǎn)接受C、風(fēng)險(xiǎn)規(guī)避D、風(fēng)險(xiǎn)降低【正確答案】：D解析：

風(fēng)險(xiǎn)降低可采用預(yù)防性策略和反應(yīng)性策略兩種方案。P141頁(yè)。19.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM)中基本實(shí)施（BasePractice）正確的理解是：A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐D、BP不是過程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)【正確答案】：A解析：

BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的；代表著信息安全工程領(lǐng)域的最佳實(shí)踐；并且是過程區(qū)域（ProcessAreas，PA)的強(qiáng)制項(xiàng)。20.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)?A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接【正確答案】：D解析：

常識(shí)問題21.訪問控制是對(duì)用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在

Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是()ACL只能由管理員進(jìn)行管理B、ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問對(duì)象的用戶和級(jí)的SIDC、訪問令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制【正確答案】：A22.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題【正確答案】：D解析：

網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題。23.美國(guó)系統(tǒng)工程專家霍爾（A.D.Hall）在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu)，使系統(tǒng)工程的工作階段和步驟更為清晰明了，如圖所示，霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個(gè)活動(dòng)過程分為前后緊密銜接的（）階段和（）步驟，同時(shí)還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、和知識(shí)維所組成的三維空間結(jié)構(gòu)。A、五個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維B、七個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維C、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維D、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；空間維【正確答案】：B24.小張?jiān)谝徊恢木W(wǎng)站上下載了魯大師并進(jìn)行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張?bào)@出一身冷汗,因?yàn)樗缾阂獯a終隨之進(jìn)入系統(tǒng)后會(huì)對(duì)他的系統(tǒng)信息安全造成極大的威脅,那么惡意代碼的軟件部署常見的實(shí)現(xiàn)方式不包括()A、攻擊者在獲得系統(tǒng)的上傳權(quán)限后,將惡意部署到目標(biāo)系統(tǒng)B、惡意代碼自身就是軟件的一部分,隨軟件部署傳播C、內(nèi)鑲在軟件中,當(dāng)文件被執(zhí)行時(shí)進(jìn)入目標(biāo)系統(tǒng)D、惡意代碼通過網(wǎng)上激活【正確答案】：D解析：

“惡意代碼通過網(wǎng)上激活”錯(cuò)誤,一些惡意代碼一經(jīng)下載就可以自動(dòng)激活運(yùn)行。25.下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題（）A、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝?！菊_答案】：C解析：

ABD與安全無關(guān)。26.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯(cuò)誤的是()。A、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施B、根據(jù)信息安全事件的分級(jí)參考要素,可將信息安全事件劃分為4個(gè)級(jí)別:特別重大事件(I級(jí))、重大事件(II級(jí))、較大事件(III級(jí))和一般事件(IV級(jí))C、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段D、對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素【正確答案】：C解析：

應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段,為準(zhǔn)備->檢測(cè)->遏制->根除->恢復(fù)->跟蹤總結(jié)。P152頁(yè)。27.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識(shí)別的主要過程使用圖形來表示，如下圖所示，請(qǐng)為圖中空白框處選擇一個(gè)最合適的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性【正確答案】：B28.鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的：A、口令B、令牌C、知識(shí)D、密碼【正確答案】：B解析：

令牌是基于實(shí)體所有的鑒別方式。29.信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF),目的是為保障政府和工業(yè)的()提供了()。信息安全保障技術(shù)框架的一個(gè)核心思想是()。深度防御戰(zhàn)略的三個(gè)核心要素:()、技術(shù)和運(yùn)行(亦稱為操作)。A、信息基礎(chǔ)設(shè)施;深度防御;技術(shù)指南;人員B、技術(shù)指南;信息基礎(chǔ)設(shè)施;深度防御;人員C、信息基礎(chǔ)設(shè)施;技術(shù)指南;人員;深度防御D、信息基礎(chǔ)設(shè)施;技術(shù)指南;深度防御;人員【正確答案】：D解析：

P28頁(yè)30.根據(jù)《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》等國(guó)家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)按照《非涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》等要求進(jìn)行C、可委托同一專業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告D、此通知不要求將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容【正確答案】：C解析：

根據(jù)《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的規(guī)定，可委托同一專業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。31.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后,對(duì)于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是()。A、信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn),因?yàn)橐獙?duì)信息安全管理涉及的方方面面實(shí)施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低B、信息安全管理體系的建立應(yīng)參照國(guó)際國(guó)內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施,因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后,制定的能共同的和重復(fù)使用的規(guī)則C、信息安全管理體系的建立應(yīng)基于一次風(fēng)險(xiǎn)評(píng)估徹底解決所有安全問題的思想,因?yàn)檫@是國(guó)家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想D、信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動(dòng)態(tài)控制的思想,因?yàn)榘踩珕栴}是動(dòng)態(tài)的,系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)【正確答案】：C解析：

“一次風(fēng)險(xiǎn)評(píng)估徹底解決所有安全問題”錯(cuò)誤32.某項(xiàng)目組進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)由于時(shí)間有限,決定采用基于知識(shí)的分析方法,使用基于知識(shí)的分析方法進(jìn)行風(fēng)險(xiǎn)評(píng)估,最重要的在于評(píng)估信息的采集,該項(xiàng)目組對(duì)信息源進(jìn)行了討論,以下說法中不可行的是()A、可以通過對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查采集評(píng)估信息B、可以通過進(jìn)行實(shí)施考察的方式采集評(píng)估信息C、可以通過建立模型的方法采集評(píng)估信息D、可以制作問卷,進(jìn)行調(diào)查【正確答案】：C解析：

基于知識(shí)的風(fēng)險(xiǎn)評(píng)估方法和基于模型的風(fēng)險(xiǎn)評(píng)估方法是并列關(guān)系33.Linux系統(tǒng)的安全設(shè)置中，對(duì)文件的權(quán)限操作是一項(xiàng)關(guān)鍵操作。通過對(duì)文件權(quán)限的設(shè)置，能夠保障不同用戶的個(gè)人隱私和系統(tǒng)安全。文件fiB.c的文件屬性信息如下圖所示，小張想要修改其文件權(quán)限，為文件主增加執(zhí)行權(quán)限，并刪除組外其他用戶的寫權(quán)限，那么以下操作中正確的是（）A、#chmodu+x,a-wfiB.cB、#chmodug+x,o-wfiB.cC、#chmod764fiB.cD、#chmod467fiB.c【正確答案】：C34.以下場(chǎng)景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過角色，可實(shí)現(xiàn)對(duì)信息資源訪問的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制【正確答案】：D解析：

RBAC模型能實(shí)現(xiàn)多級(jí)安全中的訪問控制。35.賬號(hào)鎖定策略中對(duì)超過一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號(hào)鎖定是為了解決暴力破解攻擊的。36.下面哪一項(xiàng)安全控制措施不是用來檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的：A、設(shè)置網(wǎng)絡(luò)連接時(shí)限B、記錄并分析系統(tǒng)錯(cuò)誤日志C、記錄并分析用戶和管理員操作日志D、啟用時(shí)鐘同步【正確答案】：A解析：

A屬于防護(hù)措施；BCD屬于檢測(cè)措施，可以用來檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。37.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項(xiàng)錯(cuò)誤的是A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威

脅。C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)【正確答案】：D解析：

R-抵賴是無法通過過濾、流控和隱私保護(hù)實(shí)現(xiàn)的，R-抵賴的實(shí)現(xiàn)方式包括數(shù)字簽名、

安全審計(jì)、第三方公證。38.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB／T20984-2007）中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是：A、規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

該題目來源于《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB／T20984-2007），評(píng)估內(nèi)容包括威脅、脆弱性和影響。39.公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure，PKI)引入數(shù)字證書的概念，用來表示用戶的身份。下圖簡(jiǎn)要地描述了終端實(shí)體(用戶)從認(rèn)證權(quán)威機(jī)構(gòu)CA申請(qǐng)、撤銷和更新數(shù)字證書的流程。請(qǐng)為中間框空白處選擇合適的選項(xiàng)()。A、OCSPB、證書庫(kù)CRL庫(kù)D、RA【正確答案】：D解析：

PKI由：CA、RA、證書庫(kù)和終端實(shí)體等部分。P286頁(yè)40.以下關(guān)于可信計(jì)算說法錯(cuò)誤的是：A、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系B、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法【正確答案】：D解析：

可信計(jì)算平臺(tái)出現(xiàn)后不會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法。41.在某次信息安全應(yīng)急響應(yīng)過程中,小王正在實(shí)施如下措施:消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請(qǐng)問,按照PDCERF應(yīng)急響應(yīng)方法,這些工作應(yīng)處于以下哪個(gè)階段()A、遏制階段B、檢測(cè)階段C、準(zhǔn)備階段D、根除階段【正確答案】：D解析：

常見的根除措施有消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。P154頁(yè)。42.老王是某政府信息中心主任。以下哪項(xiàng)項(xiàng)目是符合《保守國(guó)家秘密法》要求的()A、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志B、老王提出對(duì)加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用C、老王安排下屬小李將損害的涉密計(jì)算機(jī)的某國(guó)外品牌硬盤送到該品牌中國(guó)區(qū)維修中心修理D、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫(kù)【正確答案】：B解析：

保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運(yùn)行(三同步)。P57頁(yè)，A項(xiàng)非涉密計(jì)算機(jī)不應(yīng)貼涉密標(biāo)識(shí)，C涉密計(jì)算機(jī)應(yīng)送往有涉密資質(zhì)的維修中心，D項(xiàng)目涉密計(jì)算機(jī)不上網(wǎng)。43.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)器的漏洞，根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論，他這個(gè)是掃描活動(dòng)屬于下面哪一個(gè)階段的工作()A、風(fēng)險(xiǎn)分析B、風(fēng)險(xiǎn)要素識(shí)別C、風(fēng)險(xiǎn)結(jié)果判定D、風(fēng)險(xiǎn)處理【正確答案】：B解析：

漏洞掃描屬于風(fēng)險(xiǎn)要素的脆弱性要素識(shí)別，風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。44.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制，人力資源安全劃分為3個(gè)控制階段，不包括哪一項(xiàng)()A、任用之前B、任用中C、任用終止或變化D、任用后【正確答案】：D解析：

P10645.風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的一個(gè)重要步驟，有關(guān)安全要素，請(qǐng)選擇一個(gè)最合適的選項(xiàng)()。A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性【正確答案】：B解析：

風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。46.ISO2007：2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》為在組織內(nèi)為建立、實(shí)施、保持和不斷改進(jìn)()制定了要求。ISO27001標(biāo)準(zhǔn)的前身為()的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于1993年由()立項(xiàng)，于1995年英國(guó)首次出版BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的()，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一()，并且適用大、中、小組織。A、ISMS；德國(guó)；德國(guó)貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)B、ISMS；法國(guó)；法國(guó)貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)C、ISMS；英國(guó)；英國(guó)貿(mào)易工業(yè)部；實(shí)施規(guī)則；參考基準(zhǔn)D、ISMS；德國(guó)；德國(guó)貿(mào)易工業(yè)部；參考基準(zhǔn)；實(shí)施規(guī)則【正確答案】：C47.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問題，以下說法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測(cè)試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測(cè)試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會(huì)產(chǎn)生影響【正確答案】：C48.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是()。A、要求開發(fā)人員采用瀑布模型進(jìn)行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題D、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則【正確答案】：A解析：

瀑布模型是一種開發(fā)模型與安全防護(hù)無關(guān)，有些題目可能會(huì)把瀑布模型換成其他不設(shè)計(jì)安全的模型，例如敏捷開發(fā)模型等。49.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是()。A、應(yīng)急響應(yīng)方法和過程并不是唯一的B、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段，這6個(gè)階段的響應(yīng)方法一定能確保事件處理的成功C、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段D、基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低【正確答案】：B解析：

一定能確保事件處理成功，過于絕對(duì)。P152頁(yè)。50.若一個(gè)組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)()A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

P103-128頁(yè)。51.訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色訪問控制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問控制模型，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在(1)自主訪問控

制，(2)強(qiáng)制訪問控制，(3)基于角色的訪問控制(4)基于規(guī)則的訪問控制中，能夠滿

足以上要求的選項(xiàng)有()A、只有(1)(2)B、只有(2)(3)C、只有(3)(4)D、只有(4)【正確答案】：C解析：

支持最小特權(quán)原則和職責(zé)分離原則，只有基于角色的訪問控制滿足，所以排除A和

D，基于強(qiáng)制訪問控制不滿足，所以排除B。52.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前,Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上,惡意的提交作業(yè)篡改分布式存儲(chǔ)的數(shù)據(jù)偽裝成NameNoTaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機(jī)制來解決用戶到服務(wù)器認(rèn)證問題,Kerberos認(rèn)證過程不包括()A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)【正確答案】：C解析：

ABD是Kerberos認(rèn)證的三步曲53.以下關(guān)于數(shù)字簽名說法正確的是()A、數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C、數(shù)字簽名一般采用對(duì)稱加密機(jī)制D、數(shù)字簽名能夠解決篡改、偽造等安全性問題【正確答案】：D解析：

數(shù)字簽名的作用就是“解決篡改、偽造等安全性問題”，A項(xiàng)毫無關(guān)系是錯(cuò)誤的，B項(xiàng)數(shù)字簽名的作用不是用來加密傳輸?shù)模珻項(xiàng)數(shù)字簽名一般采用非對(duì)稱加密機(jī)制。54.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，

以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會(huì)話層D、物理層【正確答案】：A解析：

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。55.防止非法授權(quán)訪問數(shù)據(jù)文件的控制措施，哪項(xiàng)是最佳的方式：A、自動(dòng)文件條目B、磁帶庫(kù)管理程序C、訪問控制軟件D、鎖定庫(kù)【正確答案】：C56.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全哪項(xiàng)原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

權(quán)限分離是將一個(gè)較大的權(quán)限分離為多個(gè)子權(quán)限組合操作來實(shí)現(xiàn)。57.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁,安全運(yùn)維人員給出了針對(duì)此批漏洞修補(bǔ)的四個(gè)建議方案,請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行()A、對(duì)于重要的服務(wù),應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署B(yǎng)、對(duì)于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁,用戶終端計(jì)算機(jī)由于沒有重要數(shù)據(jù),由終端自行升級(jí)C、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害,所以可以先不做處理D、由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏洞,為了避免安全風(fēng)險(xiǎn),應(yīng)對(duì)單位所有的服務(wù)器和客戶端盡快安裝補(bǔ)丁【正確答案】：A解析：

對(duì)于重要的服務(wù),在測(cè)試環(huán)境中安裝并確定補(bǔ)丁的兼容性問題后再在正式生產(chǎn)環(huán)境中部署,這樣可以有效的避免應(yīng)補(bǔ)丁升級(jí)后可能會(huì)對(duì)系統(tǒng)服務(wù)造成不必要的影響。58.火災(zāi)是機(jī)房日常運(yùn)營(yíng)中面臨最多的安全威脅之一，火災(zāi)防護(hù)的工作是通過構(gòu)建火災(zāi)預(yù)防、檢測(cè)和響應(yīng)系統(tǒng)，保護(hù)信息化相關(guān)人員和信息系統(tǒng)，將火災(zāi)導(dǎo)致的影響降低到可接受的程度。下列選項(xiàng)中，對(duì)火災(zāi)的預(yù)防、檢測(cè)和抑制的措施描述錯(cuò)誤的選項(xiàng)是()。A、將機(jī)房單獨(dú)設(shè)置防火區(qū)，選址時(shí)遠(yuǎn)離易燃易爆物品存放區(qū)域，機(jī)房外墻使用非燃燒材料，進(jìn)出機(jī)房區(qū)域的門采用防火門或防火卷簾，機(jī)房通風(fēng)管設(shè)防火栓B、火災(zāi)探測(cè)器的具體實(shí)現(xiàn)方式包括；煙霧檢測(cè)、溫度檢測(cè)、火焰檢測(cè)、可燃?xì)怏w檢測(cè)及多種檢測(cè)復(fù)合等C、自動(dòng)響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時(shí)設(shè)立兩組獨(dú)立的火災(zāi)探測(cè)器，只要有一個(gè)探測(cè)器報(bào)警，就立即啟動(dòng)滅火工作D、前在機(jī)房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等【正確答案】：C解析：

自動(dòng)相應(yīng)一般多個(gè)探測(cè)器報(bào)警才會(huì)啟動(dòng)滅火工作，單個(gè)報(bào)警器報(bào)警容易誤報(bào)。59.關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是()A、信息安全事件的種類很多，嚴(yán)重程度不盡相同，其響應(yīng)和處理方法也應(yīng)各不相同B、信息安全事件實(shí)行分類和分級(jí)管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性D、我國(guó)早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)病毒防范和“千年蟲”問題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。【正確答案】：D解析：

D項(xiàng)不是信息安全事件進(jìn)行分類分級(jí)管理的原因，P146頁(yè)。60.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅()A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息C、網(wǎng)站使用使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等【正確答案】：B61.殺毒軟件一般是通過對(duì)代碼與特征庫(kù)中的特征碼進(jìn)行比對(duì),判斷這個(gè)文件是否是為惡意代碼,如果是則進(jìn)女聯(lián)系到病毒庫(kù)中對(duì)該病毒的描述,從而確認(rèn)其行為,達(dá)到分析的目

的。下列對(duì)惡意代碼靜態(tài)分析的說法中,錯(cuò)誤的是()A、靜態(tài)分析不需要實(shí)際執(zhí)行惡意代碼,它通過對(duì)其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制B、靜態(tài)分析通過查找惡意代碼二進(jìn)制程序中嵌入的可疑字符串,如:文件名稱、URL地址、域名、調(diào)用函數(shù)等來進(jìn)行分析判斷C、靜態(tài)分析檢測(cè)系統(tǒng)函數(shù)的運(yùn)行狀態(tài),數(shù)據(jù)流轉(zhuǎn)換過程,能判別出惡意代碼行為和正常軟件操作D、靜態(tài)分析方法可以分析惡意代碼的所有執(zhí)行路徑,但是隨著程序復(fù)雜度的提高,冗余路徑增多,會(huì)出現(xiàn)分析效率很低的情況【正確答案】：C解析：

無法檢測(cè)運(yùn)行狀態(tài)，P371。62.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A63.在以下標(biāo)準(zhǔn)中,屬于推薦性國(guó)家標(biāo)準(zhǔn)的是A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正確答案】：A解析：

A為國(guó)標(biāo)推薦標(biāo)準(zhǔn);B為國(guó)標(biāo)強(qiáng)制標(biāo)準(zhǔn);C為地方標(biāo)準(zhǔn);D為國(guó)標(biāo)指導(dǎo)標(biāo)準(zhǔn)。64.以下對(duì)Kerberos協(xié)議過程說法正確的是:()A、協(xié)議可以分為兩個(gè)步驟:一是用戶身份鑒別;二是獲取請(qǐng)求服務(wù)B、協(xié)議可以分為兩個(gè)步驟:一是獲得票據(jù)許可票據(jù);二是獲取請(qǐng)求服務(wù)C、協(xié)議可以分為三個(gè)步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個(gè)步驟:一是獲得票據(jù)許可票據(jù)二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)【正確答案】：D65.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識(shí)，小王對(duì)這三種備份方式進(jìn)行對(duì)比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B解析：

全部備份是對(duì)整個(gè)系統(tǒng)所有文件進(jìn)行完全備份，包括所有系統(tǒng)和數(shù)據(jù)；增量備份是每次備份的數(shù)據(jù)相當(dāng)于上一次備份后增加和修改過的數(shù)據(jù)；差分備份是每次備份的數(shù)據(jù)是相對(duì)于上一次全備份之后新增加和修改過的數(shù)據(jù)。所以單獨(dú)就該題來說，如果采用的是完全備份方式，數(shù)據(jù)丟失后只需要恢復(fù)最近的一次完全

備份的數(shù)據(jù)；如果采用的是差分備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)和最近一次差分備份的數(shù)據(jù)；如果采用的是增量備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)，以及后面一次次增量備份的數(shù)據(jù)。所以對(duì)比起來，完全備份方式恢復(fù)起來最快，增量最慢。66.信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》(國(guó)信辦(2006)5號(hào))中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是()。A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充C、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長(zhǎng)期使用D、自評(píng)估和檢查評(píng)估是相互排斥的，無特殊理由單位均應(yīng)選擇檢查評(píng)估，以保證安全效果【正確答案】：A解析：

信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。67.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí)，發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RPO(恢復(fù)點(diǎn)目標(biāo))指標(biāo)為3小時(shí)。請(qǐng)問這意味著()。A、若該信息系統(tǒng)發(fā)生重大信息安全事件，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)B、若該信息系統(tǒng)發(fā)生重大信息安全事件，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)運(yùn)行3小時(shí)后能恢復(fù)全部數(shù)據(jù)C、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完成應(yīng)急處理工作，并恢復(fù)對(duì)外運(yùn)行D、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問題定位和應(yīng)急處理工作【正確答案】：A解析：

RPO是指在業(yè)務(wù)恢復(fù)后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度，這個(gè)程度使用時(shí)間作為衡量指標(biāo)。如：RPO=0，說明數(shù)據(jù)是實(shí)時(shí)備份，不會(huì)出現(xiàn)數(shù)據(jù)丟失的情況。P156。68.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國(guó)路易斯安邦州290萬選民數(shù)據(jù)庫(kù)。這套數(shù)據(jù)庫(kù)中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊(cè)日期與編號(hào)、正黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行（）攻擊。A、默認(rèn)口令B、字典C、暴力D、XSS【正確答案】：B69.密碼是一種用來混淆的技術(shù),使用者希望正常的(可識(shí)別的)信息轉(zhuǎn)變?yōu)闊o法識(shí)別的信息。但這種無法識(shí)別信息部分是可以再加工并恢復(fù)和破解的,小剛是某公司新進(jìn)的員工,公司要求他注冊(cè)一個(gè)公司網(wǎng)站的賬號(hào),小剛使用一個(gè)安全一點(diǎn)的密碼,請(qǐng)問以下選項(xiàng)中哪個(gè)密碼是最安全()A、使用和與用戶名相同的口令B、選擇可以在任何字典或語言中找到的口令C、選擇任何和個(gè)人信息有關(guān)的口令D、采取數(shù)字,字母和特殊符號(hào)混合并且易于記憶【正確答案】：D解析：

常識(shí)問題70.Linux系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個(gè)方面來完成。小張?jiān)趯W(xué)習(xí)了Linux系統(tǒng)安全的相關(guān)知識(shí)后，嘗試為自己計(jì)算機(jī)上的Linux系統(tǒng)進(jìn)行安全配置。下列選項(xiàng)是他的部分操作，其中不合理的是()。A、編輯文件/etc/pam.d/system-auth，設(shè)置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300B、編輯文件/etc/profile，設(shè)置TMOUT=600C、編輯文件/etc/passwd，檢查文件中用戶ID，禁用所有ID=0的用戶D、編輯文件/etc/ssh/sshd_config，將PermitRootLogin設(shè)置為no【正確答案】：C解析：

ID為0的用戶為root用戶，通常不使用root用戶遠(yuǎn)程運(yùn)維，但也不應(yīng)本地禁用。71.以下關(guān)于Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制（SecurityAccountsManager）的說法哪個(gè)是正確的：A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D解析：

SecurityAccountsManager只有system賬號(hào)才能訪問。72.在現(xiàn)實(shí)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實(shí)現(xiàn)安全的互操作。即進(jìn)行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進(jìn)行認(rèn)證，也支持跨域認(rèn)證，下圖顯示的是Kerberos協(xié)議實(shí)現(xiàn)跨域認(rèn)證的7個(gè)步驟，其中有幾個(gè)步驟出現(xiàn)錯(cuò)誤，圖中錯(cuò)誤的描述正確的是：()

A、步驟1和步驟2發(fā)生錯(cuò)誤，應(yīng)該向本地AS請(qǐng)求并獲得遠(yuǎn)程TGTB、步驟3和步驟4發(fā)生錯(cuò)誤，應(yīng)該向本地TGS請(qǐng)求并獲得遠(yuǎn)程TGTC、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程AS請(qǐng)求并獲得遠(yuǎn)程TGTD、步驟5和步驟6發(fā)生錯(cuò)誤，應(yīng)該向遠(yuǎn)程TGS請(qǐng)求并獲得遠(yuǎn)程SGT【正確答案】：B73.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測(cè)試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D解析：

D屬于項(xiàng)目的驗(yàn)收階段，不屬于IT項(xiàng)目的立項(xiàng)階段，題干屬于立項(xiàng)階段。74.下圖描繪了信息安全管理體系的PDCA模型其中，建立ISMS中，組織應(yīng)根據(jù)業(yè)務(wù)、

組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的

詳細(xì)說明和正當(dāng)性理由。組織應(yīng)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，監(jiān)視和

評(píng)審ISMS（）。實(shí)施和運(yùn)行ISMS中，組織應(yīng)為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)模ǎ?、資源、

職責(zé)和優(yōu)選順序，監(jiān)視和評(píng)審ISMS中，組織應(yīng)執(zhí)行監(jiān)視與評(píng)審規(guī)程和其他（）。以迅速檢

測(cè)過程運(yùn)行結(jié)果中的錯(cuò)誤，迅速識(shí)別圖的和得逞的安全違規(guī)和事件，使管理者能夠確定分配

給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否按期望執(zhí)行，通過使用指示器幫助檢

測(cè)安全事態(tài)并預(yù)防安全事件，確定解決安全違規(guī)的措施是否有效，保持和改進(jìn)ISMS中，組

織應(yīng)經(jīng)常進(jìn)行ISMS改進(jìn)，采取合適的糾正和（），從其他組織和組織自身的安全經(jīng)驗(yàn)中（）。

A、方針；管理措施；控制措施；預(yù)防措施；吸取措施B、方針；控制措施；管理措施；預(yù)防措施；吸取措施C、方針；預(yù)防措施；管理措施；控制措施；吸取措施D、方針；吸取措施；管理措施；控制措施；預(yù)防措施【正確答案】：A75.應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫(kù)防護(hù)策略，以下不屬于數(shù)據(jù)庫(kù)防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫(kù)軟件安全補(bǔ)丁B、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng)D、定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良好【正確答案】：D解析：

D項(xiàng)屬于運(yùn)維但不屬于防護(hù)策略。76.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的()A、設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫(kù)B、使用C語言開發(fā)時(shí)，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C77.2006年5月8日電，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》。全文分()部分共計(jì)約15000余字。對(duì)國(guó)內(nèi)外的信息化發(fā)展做了宏觀分析，對(duì)我國(guó)信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標(biāo)標(biāo)準(zhǔn)要闡述，對(duì)我國(guó)()發(fā)展的重點(diǎn)、行動(dòng)計(jì)劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國(guó)信息化發(fā)展的()，當(dāng)前我國(guó)信息安全保障工作逐步加強(qiáng)。制定并實(shí)施了(),初步建立了信息安全管理體制和()?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高，互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。A、5個(gè)；信息化；基本形勢(shì)；國(guó)家安全戰(zhàn)略；工作機(jī)制B、6個(gè)；信息化；基本形勢(shì)；國(guó)家信息安全戰(zhàn)略；工作機(jī)制C、7個(gè)；信息化；基本形勢(shì)；國(guó)家安全戰(zhàn)略；工作機(jī)制D、8個(gè)；信息化；基本形勢(shì)；國(guó)家信息安全戰(zhàn)略；工作機(jī)制【正確答案】：B78.信息安全風(fēng)險(xiǎn)管理過程中，背景建立是實(shí)施工作的第一步，下面哪項(xiàng)是錯(cuò)誤的()A、背景建立的依據(jù)是國(guó)家，地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命，信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B、背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性，并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C、前景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性、形成信息系統(tǒng)的描述報(bào)告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全需求報(bào)告【正確答案】：B解析：

P8979.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖，如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)（）A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測(cè)、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D80.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是：A、此密碼體制為對(duì)稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：

題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對(duì)于公鑰而言，則為非對(duì)稱密碼體制，非對(duì)稱密碼體制又稱為公鑰密碼體制。81.安全漏洞產(chǎn)生的原因不包括以下哪一點(diǎn)()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場(chǎng)出現(xiàn)信息不對(duì)稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用【正確答案】：D解析：

攻擊者的惡意利用是安全漏洞產(chǎn)生導(dǎo)致的結(jié)果。82.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題【正確答案】：C解析：

信息安全工程作為信息安全保障的重要組成部門，主要是為了解決信息系統(tǒng)生命周期的過程安全問題。83.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯(cuò)誤的是()。A、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全知識(shí)B&I含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外C、B&I系列模型強(qiáng)調(diào)安全測(cè)試的重要性，要求安全測(cè)試貫穿整個(gè)開發(fā)過程及軟件生命周期D、軟件安全觸點(diǎn)是軟件開發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法，它提供了從不同角度

保障安全的行為方式【正確答案】：C解析：

BSI認(rèn)為軟件安全有3根支柱：風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)，其強(qiáng)調(diào)了在軟件的整個(gè)生命周期中風(fēng)險(xiǎn)管理的重要性，并要求風(fēng)險(xiǎn)管理框架貫穿整個(gè)開發(fā)過程。P403頁(yè)。84.隨著“互聯(lián)網(wǎng)”概念的普及，越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用，穩(wěn)定、高效，計(jì)劃通過網(wǎng)絡(luò)冗余配置的是（）。A、接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營(yíng)商線路，相互備份且互不影響。B、核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)設(shè)備。C、規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求【正確答案】：A解析：

“防止網(wǎng)絡(luò)主線路出現(xiàn)故障”，所以應(yīng)做線路備份。85.對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對(duì)信息系統(tǒng)進(jìn)行劃分，不屬于正確劃分級(jí)別的是()。A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、關(guān)鍵信息系統(tǒng)D、一般信息系統(tǒng)【正確答案】：C解析：

信息系統(tǒng)重要程度劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)三級(jí)。P146頁(yè)。86.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可

少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪

項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)

C，所有數(shù)據(jù)和操作系

統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅D、將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能【正確答案】：B解析：

操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。87.選擇信息系統(tǒng)部署的場(chǎng)地應(yīng)考慮組織機(jī)構(gòu)對(duì)信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保護(hù)很大程度上取決與場(chǎng)地的安全性，一個(gè)部署在高風(fēng)險(xiǎn)場(chǎng)所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性的。為了保護(hù)環(huán)境安全，在下列選項(xiàng)中，公司在選址時(shí)最不應(yīng)該選址的場(chǎng)地是()A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D88.殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中,關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是()A、殘余風(fēng)險(xiǎn)是采取了安全措施后,仍然可能存在的風(fēng)險(xiǎn),一般來說,是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)理,它會(huì)隨著時(shí)間的推移而發(fā)生變化,可能會(huì)在將來誘發(fā)新的安全事件C、實(shí)施風(fēng)險(xiǎn)處理時(shí),應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風(fēng)險(xiǎn)的存在和可能造成的后果D、信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn),以最小的殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)【正確答案】：A89.有關(guān)能力成熟度模型(CMM)，錯(cuò)誤的理解是()。A、CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一定程度上提高質(zhì)量、生產(chǎn)率和利潤(rùn)率B、CMM是思想來源于項(xiàng)目管理和質(zhì)量管理CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本的生產(chǎn)出高質(zhì)量產(chǎn)品【正確答案】：A解析：

P17890.目前應(yīng)用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對(duì)應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙認(rèn)為同事小李從對(duì)應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項(xiàng)例子中有一項(xiàng)不對(duì)，請(qǐng)問是下面哪一項(xiàng)()A、數(shù)據(jù)訪問權(quán)限B、偽造身份C、釣魚攻擊D、遠(yuǎn)程滲透【正確答案】：A解析：

BCD都是常見的威脅方式，A項(xiàng)至少一種數(shù)據(jù)訪問控制方式。91.目前,很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí),均要求產(chǎn)品需通過安全測(cè)評(píng)。關(guān)于信息安全產(chǎn)品測(cè)評(píng)的意義,下列說法中不正確的是:()A、有助于建立和實(shí)施信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度B、對(duì)用戶采購(gòu)信息安全產(chǎn)品,設(shè)計(jì)、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)

指導(dǎo)C、對(duì)信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督D、打破市場(chǎng)壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的競(jìng)爭(zhēng)環(huán)境【正確答案】：D解析：

題干中信息安全產(chǎn)品測(cè)評(píng)的主要目的是安全作用，不是經(jīng)濟(jì)作用。92.哪種攻擊是攻擊者通過各種手段來消耗網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源，最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)()A、拒絕服務(wù)B、緩沖區(qū)溢出C、DNS欺騙D、IP欺騙【正確答案】：A解析：

題干是針對(duì)拒絕服務(wù)攻擊的描述93.某linux系統(tǒng)由于root口令過于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請(qǐng)問以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個(gè)后門程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門程序，由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test【正確答案】：D94.以下關(guān)于項(xiàng)目的含義,理解錯(cuò)誤的是()。A、項(xiàng)目有明確的開始日期,結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定B、項(xiàng)目目標(biāo)要遵守SMART原則,即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量(Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Time-oriented)C、項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等D、項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力【正確答案】：A解析：

結(jié)束日期并非由領(lǐng)導(dǎo)者隨機(jī)確定,項(xiàng)目上習(xí)慣把驗(yàn)收?qǐng)?bào)告日期視為結(jié)束日期,另有約定的以約定為準(zhǔn)。95.GB／T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評(píng)審ISMS、保持和改進(jìn)ISMS等過程，

并在這些過程中應(yīng)實(shí)施若干活動(dòng)，請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)()A、“制定ISMS方針”是建產(chǎn)ISMS階段工作內(nèi)容B、“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃“是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容C、“進(jìn)行有效性測(cè)量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容D、“實(shí)施內(nèi)部審核”是保護(hù)和改進(jìn)ISMS階段工作內(nèi)容【正確答案】：D解析：

“實(shí)施內(nèi)部審核”是監(jiān)視和評(píng)審階段的工作內(nèi)容。P98頁(yè)96.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于。A、明文B、密文C、密鑰D、信道【正確答案】：C解析：

柯克霍夫原則：密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。97.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，

下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)A、關(guān)于網(wǎng)站身份鑒別技術(shù)方面安全知識(shí)的培訓(xùn)B、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)C、針對(duì)SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)【正確答案】：D解析：

D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。98.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

通常由管理層提供各種信息安全工作必須的資源。99.關(guān)于我國(guó)信息安全保障的基本原則，下列說法中不正確的是：A、要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法，堅(jiān)持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)D、在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽視任何一方的作用?！菊_答案】：A解析：

我國(guó)信息安全保障首先要遵循國(guó)家標(biāo)準(zhǔn)。100.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是【正確答案】：D解析：

惡意代碼采用的隱藏技術(shù)包括：文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏等。101.下列選項(xiàng)中,對(duì)物理與環(huán)境安全的近期內(nèi)述出現(xiàn)錯(cuò)誤的是()A、物理安全確保了系統(tǒng)在對(duì)信息進(jìn)行采集、傳輸、處理等過程中的安全B、物理安全面對(duì)是環(huán)境風(fēng)險(xiǎn)及不可預(yù)知的人類活動(dòng),是一個(gè)非常關(guān)鍵的領(lǐng)域C、物理安全包括環(huán)境安全、系統(tǒng)安全、設(shè)施安全等D、影響物理安全的因素不僅包含自然因素,還包含人為因素【正確答案】：C解析：

物理安全是保護(hù)信息穩(wěn)定、可靠的運(yùn)行,確保信息系統(tǒng)在對(duì)信息進(jìn)行采集、傳輸、存儲(chǔ)、處理等過程中不會(huì)因?yàn)樽匀灰蛩亍⑷藶橐蛩氐仍驅(qū)е路?wù)中斷、數(shù)據(jù)丟失、破壞等問題,P319頁(yè)。102.在PDR模型的基礎(chǔ)上，發(fā)展成為了（Policy-Protection-Detection-Response,PPDR）

模型，即策略-保護(hù)-檢測(cè)-響應(yīng)。模型的核心是：所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策

略實(shí)施的。在PPDR模型中，策略指的是信息系統(tǒng)的安全策略，包括訪問控制策略、加密通

信策略、身份認(rèn)證測(cè)錄、備份恢復(fù)策略等。策略體系的建立包括安全策略的制定、（）等；

防護(hù)指的是通過部署和采用安全技術(shù)來提高網(wǎng)絡(luò)的防護(hù)能力，如（）、防火墻、入侵檢測(cè)、

加密技術(shù)、身份認(rèn)證等技術(shù)；檢測(cè)指的是利用信息安全檢測(cè)工具，監(jiān)視、分析、審計(jì)網(wǎng)絡(luò)活

動(dòng)，了解判斷網(wǎng)絡(luò)系統(tǒng)的（）。檢測(cè)這一環(huán)節(jié)，使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御，是

整個(gè)模型動(dòng)態(tài)性的體現(xiàn)，主要方法包括；實(shí)時(shí)監(jiān)控、檢測(cè)、報(bào)警等；響應(yīng)指的是在檢測(cè)到安

全漏洞和安全事件，通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的（）調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)，包括恢

復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。啟動(dòng)備份系統(tǒng)等。其主要方法包括：關(guān)閉服務(wù)、跟蹤、

反擊、消除影響等。A、評(píng)估與執(zhí)行；訪問控制；安全狀態(tài)；安全性B、評(píng)估與執(zhí)行；安全狀態(tài)；訪問控制；安全性C、訪問控制；評(píng)估與執(zhí)行；安全狀態(tài)；安全性D、安全狀態(tài)，評(píng)估與執(zhí)行；訪問控制；安全性【正確答案】：A103.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用【正確答案】：B解析：

項(xiàng)目管理受項(xiàng)目資源的約束。104.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：1．標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程;2．開發(fā)恢復(fù)優(yōu)先級(jí);3．標(biāo)識(shí)關(guān)鍵的IT資源;4．表示中斷影響和允許的中斷時(shí)間A、1-3-4-2B、1-3-2-4C、1-2-3-4D、1-4-3-2【正確答案】：A解析：

根據(jù)BCM的分析過程順序?yàn)锳。105.網(wǎng)絡(luò)交易發(fā)達(dá)的今天，貿(mào)易雙方可以通過簽署電子合同來保障自己的合法權(quán)益。某中心推出電子簽名服務(wù)，按照如圖方式提供電子簽名，不屬于電子簽名的基本特性的是（）。

A、不可偽造性B、不可否認(rèn)性C、保證消息完整性D、機(jī)密性【正確答案】：D106.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是不推薦使用的方法：A、禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I／O設(shè)備B、對(duì)不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D、用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件【正確答案】：D解析：

快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件不能防止信息泄露?？焖俑袷交皇莿h除了文件索引，并沒有真正的刪除文件，可以通過工具進(jìn)行恢復(fù)。107.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法,密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中,錯(cuò)誤的是()。A、密碼協(xié)議(cryptographicprotocol),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議,其目的是提供安全服務(wù)B、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人C、在實(shí)際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定,不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式D、密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而指定的一系列步驟,協(xié)議中的每個(gè)參與方都必須了解協(xié)議,且按步驟執(zhí)行【正確答案】：C解析：

“不要限制和框住所有的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式”錯(cuò)誤108.關(guān)于源代碼審核，描述正確的是A、源代碼審核過程遵循信息安全保障技術(shù)框架模型(IATF)，在執(zhí)行時(shí)應(yīng)一步一步嚴(yán)格執(zhí)行B、源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題，相關(guān)的審核工具既有商業(yè)開源工具C、源代碼審核如果想要有效率高，則主要依賴人工審核而不是工具審核，因?yàn)槿斯ぶ悄艿模?/p>

需要人的腦袋來判斷D、源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測(cè)試【正確答案】：B解析：

A錯(cuò)誤，因?yàn)镮ATF不用于代碼審核；C錯(cuò)誤，因?yàn)槿斯ず凸粝嘟Y(jié)合；D錯(cuò)誤，安全

測(cè)試由需求確定。109.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動(dòng)訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息

(還有他的好友們的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了。這種向Web頁(yè)面插入惡意html代碼的攻擊方式稱為()A、SQL注入攻擊B、緩沖區(qū)溢出攻擊C、分布式拒絕服務(wù)攻擊D、跨站腳本攻擊【正確答案】：D解析：

跨站腳本是由于網(wǎng)頁(yè)支持腳本的執(zhí)行，而程序員又沒有對(duì)用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格控制，使得攻擊者可以向Web頁(yè)面插入惡意HTML代碼，當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)，嵌入其中的HTML代碼會(huì)被執(zhí)行，從而實(shí)現(xiàn)攻擊者的特殊目的。110.以下哪個(gè)是國(guó)際信息安全標(biāo)準(zhǔn)化組織的簡(jiǎn)稱?()ANSIB、ISOC、IEED、NIST【正確答案】：B解析：

ANSI:美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)(AMERICANNATIONALSTANDARDSINSTITUTE);ISO:國(guó)際標(biāo)準(zhǔn)化組織(InternationalOrganizationforStandardization);IEE:國(guó)際電氣工程師學(xué)會(huì)(TheInstitutionofElectricalEngineers);NIST:美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsandTechnology)直屬美國(guó)商務(wù)部,從事物理、生物和工程方面的基礎(chǔ)和應(yīng)用研究。111.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以提供抗抵賴、鑒別和完整性。112.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是()。A、IPSecB、PP2PC、L2TPD、SSL【正確答案】：D解析：

IPSec工作在網(wǎng)絡(luò)層，PP2P和L2TP工作在數(shù)據(jù)鏈路層，SSL工作在傳輸層。P338頁(yè)。113.小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后，認(rèn)為組織建立信息安全管理體系并持續(xù)運(yùn)行，比起簡(jiǎn)單地實(shí)施信息安全管理，有更大的作用，他總結(jié)了四個(gè)方面的作用，其中總結(jié)錯(cuò)誤的是()A、可以建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強(qiáng)化員工的信息安全意識(shí)，建立良好的安全作業(yè)習(xí)慣，培育組織的信息安全企業(yè)文化C、可以增強(qiáng)客戶、業(yè)務(wù)伙伴、投資人對(duì)該組織保障其業(yè)務(wù)平臺(tái)和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護(hù)效果，使組織通過國(guó)際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證【正確答案】：D解析：

ISO9001是質(zhì)量認(rèn)證不是安全管理認(rèn)證，應(yīng)通過ISO27001認(rèn)證。114.Windows文件系統(tǒng)權(quán)限管理訪問控制列表（AccessControlList，ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的：A、安裝Windows系統(tǒng)時(shí)要確保文件格式使用的是NTFS，因?yàn)閃indows的ACL機(jī)制需要N