NISP復習試題及答案

第頁NISP復習試題1.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個分析可能危害這些資產(chǎn)的主體、動機、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個工作屬于下面哪一個階段的工作()A、確認已有的安全措施并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、資產(chǎn)識別并賦值【正確答案】：C解析：

依據(jù)資產(chǎn)列表逐個分析可能危害這些資產(chǎn)的主體、動機、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值，屬于C威脅識別并賦值。2.某企業(yè)內(nèi)網(wǎng)中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內(nèi)部傳播，作為信息化負責人，你應(yīng)采取以下哪項策略()A、更換企業(yè)內(nèi)部殺毒軟件，選擇一個可以查殺到該病毒的軟件進行重新部署B(yǎng)、向企業(yè)內(nèi)部的計算機下發(fā)策略，關(guān)閉系統(tǒng)默認開啟的自動播放功能C、禁止在企業(yè)內(nèi)部使用如U盤、移動硬盤這類的移動存儲介質(zhì)D、在互聯(lián)網(wǎng)出口部署防病毒網(wǎng)關(guān)，防止來自互聯(lián)網(wǎng)的病毒進入企業(yè)內(nèi)部【正確答案】：B解析：

“關(guān)閉系統(tǒng)默認開啟的自動播放功能”可以防止移動存儲介質(zhì)插入電腦后自動打開，導致病毒被執(zhí)行。3.GB/T18336《信息技術(shù)安全性評估準則》是測評標準類中的重要標準，該標準定義了保護輪廊（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（）個遞增的評估保證等級。A、4B、5C、6D、7【正確答案】：D4.下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”?！菊_答案】：D解析：

正確描述是從內(nèi)而外，自上而下，從端到邊界的防護能力。5.下列選項中,對風險評估文檔的描述中正確的是()A、評估結(jié)果文檔包括描述資產(chǎn)識別和賦值的結(jié)果,形成重要資產(chǎn)列表B、描述評估結(jié)果中不可接受的風險制定風險處理計劃,選擇適當?shù)目刂颇繕思鞍踩胧?明確責任、進度、資源,并通過對殘余風險的評價以確定所選擇安全措施的有效性的《風險評估程序》C、在文檔分發(fā)過程中作廢文檔可以不用添加標識進行保留D、對于風險評估過程中形成的相關(guān)文檔行,還應(yīng)規(guī)定其標識、儲存、保護、檢索、保存期限以及處置所需的控制【正確答案】：D解析：

P260頁6.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號鎖定是為了解決暴力破解攻擊的。7.TCP/IP協(xié)議就Internet最基本的協(xié)議，也是Internet構(gòu)成的基礎(chǔ)，

TCP/IP通常被認為就是一個N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能，這里N應(yīng)等于()A、4B、5C、6D、7【正確答案】：A解析：

OSI7層和TCP/IP四層8.為了進一步提供信息安全的保障能力和防護水平，保障和促進信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號），對等級保護工作的開展提供宏觀指導和約束，明確了等級保護工作喲的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關(guān)于該文件，下面理解正確的是()A、該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作，其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個總體性指導文件，規(guī)定所有信息系統(tǒng)都要納入等級保護定級范圍D、該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位【正確答案】：A9.數(shù)據(jù)庫是一個單位或是一個應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲的是屬于企業(yè)和事業(yè)部門、團體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的,按一定的數(shù)據(jù)模型進行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng),毫無疑問會成為信息安全的重點防護對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問,對數(shù)據(jù)庫安全要求不包括下列()A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對數(shù)據(jù)庫的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責任審查等提供證據(jù)和跡象等【正確答案】：A解析：

A項不在數(shù)據(jù)庫安全存儲和安全訪問范疇。10.()在實施攻擊之前，需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個大型集團公司總部的()。那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團公司相關(guān)人員的綽號等等。A、攻擊者；所需要的信息；系統(tǒng)管理員；基礎(chǔ)；內(nèi)部約定B、所需要的信息；基礎(chǔ)；攻擊者；系統(tǒng)管理員；內(nèi)部約定C、攻擊者；所需要的信息；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定D、所需要的信息；攻擊者；基礎(chǔ)；系統(tǒng)管理員；內(nèi)部約定【正確答案】：C11.由于頻繁出現(xiàn)軟件運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是()。A、要求開發(fā)人員采用瀑布模型進行開發(fā)B、要求所有的開發(fā)人員參加軟件安全意識培訓C、要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題D、要求規(guī)范軟件編碼，并制定公司的安全編碼準則【正確答案】：A解析：

瀑布模型是一種開發(fā)模型與安全防護無關(guān)，有些題目可能會把瀑布模型換成其他不設(shè)計安全的模型，例如敏捷開發(fā)模型等。12.《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework，IATF)是由()發(fā)布的。A、中國B、美國C、歐盟D、俄羅斯【正確答案】：B解析：

信息安全保障技術(shù)框架由美國國家安全局發(fā)布，一般由英文翻譯過來的大多數(shù)都是美國人弄出來的。P28頁。13.以下對異地備份中心的理解最準確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風險的機率很小【正確答案】：D解析：

答案為D，建立異地備份中心的核心思想是減少相同區(qū)域性風險。14.等級保護實施根據(jù)-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》分為五大階段；()、總體規(guī)劃、設(shè)計實施、()和系統(tǒng)終止。但由于在開展等級保護試點工作時，大量信息系統(tǒng)已經(jīng)建設(shè)完成，因此根據(jù)實際情況逐步形成了()、備案、差距分析(也叫差距測評)、建設(shè)整改、驗收測評、定期復查為流程的()工作流程。和《等級保護實施指南》中規(guī)定的針對()的五大階段略有差異。A、運行維護；定級；定級；等級保護；信息系統(tǒng)生命周期B、定級；運行維護；定級；等級保護；信息系統(tǒng)生命周期C、定級運行維護；等級保護；定級；信息系統(tǒng)生命周期D、定級；信息系統(tǒng)生命周期；運行維護；定級；等級保護【正確答案】：B解析：

P76頁以過程管理方法進行的系統(tǒng)管理。P177頁15.現(xiàn)如今的時代是信息的時代，每天都會有大量的信息流通或交互，但自從斯諾登曝光美國政府的“棱鏡”計劃之后，信息安全問題也成為了每個人乃至整個國家所不得不重視的問題，而網(wǎng)絡(luò)信息對抗技術(shù)與電子信息對抗技術(shù)也成為了這個問題的核心。某公司為有效對抗信息收集和分析，讓該公司一位網(wǎng)絡(luò)工程師提出可行的參考建議，在該網(wǎng)絡(luò)工程師的建議中，錯誤的是()A、通過信息安全培訓，使相關(guān)信息發(fā)布人員了解信息收集的風險B、發(fā)布信息應(yīng)采取最小原則，所有不是必要的信息都不發(fā)布C、重點單位應(yīng)建立信息發(fā)布審查機制，對發(fā)布的信息進行審核，避免敏感信息的泄露D、增加系統(tǒng)中對外服務(wù)的端口數(shù)量，提高會話效率【正確答案】：D解析：

增加對外服務(wù)端口數(shù)量會有助于攻擊者進行信息收集16.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices，BP)，正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：

A錯誤，BP是基于最佳的工程過程實踐；B錯誤，BP是經(jīng)過測試的；D錯誤，一項BP和其他的BP是不重復。17.在信息系統(tǒng)設(shè)計階段，“安全產(chǎn)品選擇”處于風險管理過程的哪個階段?A、背景建立B、風險評估C、風險處理D、批準監(jiān)督【正確答案】：C解析：

“安全產(chǎn)品選擇”是為了進行風險處理。18.王明買了一個新的藍牙耳機,但王明聽說使用藍牙設(shè)備有一定的安全威脅,于是王明找到對藍牙技術(shù)有所了解的王紅,希望王紅能夠給自己一點建議,以下哪一條建議不可取()A、在選擇使用藍牙設(shè)備時,應(yīng)考慮設(shè)備的技術(shù)實現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B、選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C、如果藍牙設(shè)備丟失,最好不要做任何操作D、在配對時使用隨機生成的密鑰、不使用時設(shè)置不可被其他藍牙設(shè)備發(fā)現(xiàn)【正確答案】：C解析：

如果藍牙設(shè)備丟失,應(yīng)把設(shè)備從已配對列表眾刪除。19.在新的信息系統(tǒng)或增強已有()業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安全控制措施的要求。信息安全的系統(tǒng)要求與實施安全的過程宜在信息系統(tǒng)項目的早期階段被集成，在早期如設(shè)計階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個正式的()過程。通過()訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動、合同爭端和信息的泄露或修改。因此要進行詳細的風險評估并進行適當?shù)目刂?，包括驗證和保護數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的()。應(yīng)保護涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的()。A、披露和修改；信息系統(tǒng)；測試和獲取；公共網(wǎng)路；復制或重播B、信息系統(tǒng)；測試和獲?。慌逗托薷?；公共網(wǎng)路；復制或重播C、信息系統(tǒng)；測試和獲??；公共網(wǎng)路；披露和修改；復制或重播D、信息系統(tǒng)；公共網(wǎng)路；測試和獲??；披露和修改；復制或重播【正確答案】：C20.由于信息系統(tǒng)的復雜性，因此需要一個通用的框架對其進行解構(gòu)和描述，然后再基于此框架討論信息系統(tǒng)的()。在IATF中，將信息系統(tǒng)的信息安

全保障技術(shù)層面分為以下四個焦點領(lǐng)域：()：區(qū)域邊界即本地計算環(huán)境的外

緣；()；支持性基礎(chǔ)設(shè)施，在深度防御技術(shù)方案中推薦()原則、()原則。A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；安全保護問題；本地的計算機環(huán)境；多點防御；分層防御B、安全保護問題；本地的計算機環(huán)境；多點防御；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；分層防御C、安全保護問題；本地的計算機環(huán)境；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點防御；分層防御D、本地的計算環(huán)境；安全保護問題；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點防御；分層防御【正確答案】：C解析：

參考P29頁，IATF4個焦點領(lǐng)域。21.若一個組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項()A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

P103-128頁。22.規(guī)范的實施流程和文檔管理,是信息安全風險評估能否取得成果的重要基礎(chǔ)。某單位在實施風險評估時,按照規(guī)范形成了若干文檔,其中,下面()中的文檔應(yīng)屬于風險評估中“風險要素識別”階段輸出的文檔。A、《風險評估方法和工具列表》,主要包括擬用的風險評估方法和測試評估工具等內(nèi)容B、《已有安全措施列表》,主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容C、《風險評估方案》,主要包括本次風險評估的目的、范圍、目標、評估步驟、經(jīng)費預(yù)算和進度安排等內(nèi)容D、《風險評估準則要求》,主要包括現(xiàn)有風險評估參考標準、采用的風險分析方法、資產(chǎn)分類標準等內(nèi)容【正確答案】：B解析：

P256頁或者見下表:

23.為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。A、統(tǒng)一而精確地的時間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問源、訪問目標和訪問活動等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取【正確答案】：D解析：

日志只有授權(quán)用戶可以讀取。24.Alice有一個消息M通過密鑰K2生成一個密文E（K2，M）然后用K1生成一個MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個過程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認性D、保密性和消息完整性【正確答案】：D解析：

密文E（K2，M）保障保密性，消息驗證碼MAC為C（K1，E（K2，M））保障完整性。25.管理,是指()組織并利用其各個要素(人、財、物、信息和時空),借助(),完成該組織目標的過程。其中,()就像其他重要業(yè)務(wù)資產(chǎn)各()一樣,也對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn),因此需要加以適當?shù)乇Ｗo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅各()當中。A、管理手段;管理主體;信息;管理要素;脆弱性B、管理主體;管理手段;信息;管理要素;脆弱性C、管理主體;信息;管理手段;管理要素;脆弱性D、管理主體;管理要素;管理手段;信息;脆弱性【正確答案】：B26.以下哪種風險被認為是合理的風險()。A、殘余風險B、未識別的風險C、可接受的風險D、最小的風險【正確答案】：C解析：

殘余風險未必是可接受的風險,如果殘余風險不可接受還要進一步處理才行例如風險轉(zhuǎn)移,風險規(guī)避。27.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是：A、確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個系統(tǒng)已按照領(lǐng)導要求進行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D、確保信息系統(tǒng)的使用已得到授權(quán)【正確答案】：B解析：

B是錯誤的，不是按照領(lǐng)導要求進行了部署和配置。28.哪種攻擊是攻擊者通過各種手段來消耗網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源，最終導致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)()A、拒絕服務(wù)B、緩沖區(qū)溢出C、DNS欺騙D、IP欺騙【正確答案】：A解析：

題干是針對拒絕服務(wù)攻擊的描述29.在軟件保障成熟度模型(SoftwareAssurnceMaturityMode,SAMM)

中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能()A、管理，主要是管理軟件開發(fā)的過程和活動B、構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C、驗證，主要是測試和驗證軟件的過程和活動D、購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動【正確答案】：D解析：

注意題干核心：軟件開發(fā)過程中的核心業(yè)務(wù)功能30.以下關(guān)于威脅建模流程步驟說法不正確的是()。A、威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析,評估被利用和攻擊發(fā)生的概率,了解被攻擊后資產(chǎn)的受損后果,并計算風險C、消減威脅是根據(jù)威脅的評估結(jié)果,確定是否要消除該威脅以及消減的技術(shù)措施,可以通過重新設(shè)計直接消除威脅,或設(shè)計采用技術(shù)手段來消減威脅D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅,它可能是惡意的,也可能不是惡意的,威脅就是漏洞【正確答案】：D解析：

識別威脅是發(fā)現(xiàn)組件或進程存在的威脅,威脅是一種不希望發(fā)生、對資產(chǎn)目標有害的事件。從本質(zhì)上看,威脅是潛在事件,它可能是惡意的,也可能不是惡意的。因此,威脅并不等于漏洞。P404頁。31.視窗操作系統(tǒng)（Windows）從哪個版本開始引入安全中心的概念？A、WinNTSP6B、Win2000SP4C、WinXPSP2D、Win2003SP1【正確答案】：C32.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風險管理的相關(guān)理論，他這個是掃描活動屬于下面哪一個階段的工作()A、風險分析B、風險要素識別C、風險結(jié)果判定D、風險處理【正確答案】：B解析：

漏洞掃描屬于風險要素的脆弱性要素識別，風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。33.自主訪問控制(DAC)是應(yīng)用很廣泛的訪問控制方法,常用于多種商業(yè)系統(tǒng)中。以下對DAC模型的理解中,存在錯誤的是()A、在DAC模型中,資源的所有者可以規(guī)定誰有權(quán)訪問它們的資源B、DAC是一種對單個用戶執(zhí)行訪問控制的過程和措施C、DAC可為用戶提供靈活調(diào)整的安全策略,具有較好的易用性可擴展性,可以抵御特洛伊木馬的攻擊D、在DAC中,具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體【正確答案】：C解析：

DAC不能抵御特洛伊木馬攻擊,P306頁34.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是：A、資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D解析：

安全措施既包括技術(shù)層面，也包括管理層面。35.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復出明文。以下說法正確的是：A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：

題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對于公鑰而言，則為非對稱密碼體制，非對稱密碼體制又稱為公鑰密碼體制。36.隨著計算機在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來越多樣化，自主訪問控制和強制訪問控制難以適應(yīng)需求，基于角色的訪問控制(RBAC)逐漸成為安全領(lǐng)域的一個研究熱點。RBAC模型可以分為RBAC0、RBAC1、RBAC2和RBAC3四種類型，它們之間存在相互包含關(guān)系。下列選項中，對它們之間的關(guān)系描述錯誤的是()。A、RBACO是基于模型，RBAC1、RBAC2和RBAC3都包含RBAC0B、RBAC1在RBAC0的基礎(chǔ)上，加入了角色等級的概念C、RBAC2在RBAC1的基礎(chǔ)上，加入了約束的概念D、RBAC3結(jié)合RBAC1和RBAC2，同時具備角色等級和約束【正確答案】：C解析：

RBAC2在RBAC0的基礎(chǔ)上，加入了約束的概念，P313頁37.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息

(還有他的好友們的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個人信息了。這種向Web頁面插入惡意html代碼的攻擊方式稱為()A、SQL注入攻擊B、緩沖區(qū)溢出攻擊C、分布式拒絕服務(wù)攻擊D、跨站腳本攻擊【正確答案】：D解析：

跨站腳本是由于網(wǎng)頁支持腳本的執(zhí)行，而程序員又沒有對用戶輸入的數(shù)據(jù)進行嚴格控制，使得攻擊者可以向Web頁面插入惡意HTML代碼，當用戶瀏覽網(wǎng)頁時，嵌入其中的HTML代碼會被執(zhí)行，從而實現(xiàn)攻擊者的特殊目的。38.作為信息安全從業(yè)人員,以下哪種行為違反了CISP職業(yè)道德準則()A、不在計算機網(wǎng)絡(luò)系統(tǒng)中進行造謠、欺詐、誹謗等活動B、通過公眾網(wǎng)絡(luò)傳播非法軟件C、幫助和指導信息安全同行提升信息安全保障知識和能力D、抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益【正確答案】：B解析：

違反了職業(yè)道德中的“誠實守信,遵紀守法”準則。39.Windows操作系統(tǒng)的注冊表運行命令是：A、Regsvr32B、RegeditC、Regedit.mscD、Regedit.mmc【正確答案】：B40.隨機進程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對于隨機進程名技術(shù)，描述正確的是()。A、隨機進程名技術(shù)每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱B、惡意代碼生成隨機進程名稱的目的是使進程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C、惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D、隨機進程名技術(shù)雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身【正確答案】：A解析：

B惡意代碼生成隨機進程名稱的目的是使進程名稱不固定，殺毒軟件是按照特征碼掃描和行為檢測進行病毒進程查殺；C惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，進程管理器中可以所有的進程；D找到惡意代碼進程名稱不意味能找到程序本身以及存儲路徑。P370。41.為推動和規(guī)范我國信息安全等級保護工作，我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標準，這些標準可以按照等級保護工作的工作階段大致分類。下面四個標準中，（）規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)容。A、GB／T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB／T22240-2008《信息系統(tǒng)安全保護等級定級指南》C、GB／T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》D、GB／T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B42.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進行滲透測試，以下關(guān)于滲透測試過程的說法不正確的是()。A、由于在實際滲透測試過程中存在不可預(yù)知的風險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復系統(tǒng)和數(shù)據(jù)B、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進行滲透測試C、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況D、滲透測試應(yīng)當經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟【正確答案】：B解析：

在正常業(yè)務(wù)運行高峰期進行滲透測試可能會影響系統(tǒng)正常運行。43.關(guān)于補丁安裝時應(yīng)注意的問題，以下說法正確的是A、在補丁安裝部署之前不需要進行測試，因為補丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B、補丁的獲取有嚴格的標準,必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補丁時需要做好備份和相應(yīng)的應(yīng)急措施D、補丁安裝部署時關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響【正確答案】：C44.我國標準《信息安全風險管理指南》(GB/Z24364)給出了信息安全風險管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應(yīng)該填寫()。

A、風險評價B、風險計算C、風險預(yù)測D、風險處理【正確答案】：D解析：

背景建立、風險評估、風險處理和批準監(jiān)督是信息安全風險管理的4個具體步驟,監(jiān)控審查和溝通咨詢則貫穿于這4個基本步驟中。P89頁。45.管理層應(yīng)該表現(xiàn)對(),程序和控制措施的支持,并以身作則。管理職責要確保雇員和承包方人員都了()角色和職責,并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀律處理過程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素。A、信息安全:信息安全政策:教育和培訓;紀律處理過程:分級的響應(yīng)B、信息安全政策:信息安全:教育和培訓:紀律處理過程:分級的響應(yīng)C、信息安全政策:教育和培訓:信息安全;紀律處理過程:分級的響應(yīng)D、信息安全政策:紀律處理過程信息安全;教育和培訓:分級的響應(yīng)【正確答案】：B解析：

P107頁46.關(guān)于密鑰管理，下列說法錯誤的是()A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于密鑰的安全性B、保密通信過程，通信使用之前用過的會話密鑰建立會話，不影響通信安全C、密鑰管理需要考慮密鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D、在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰【正確答案】：B解析：

會話密鑰不應(yīng)重復使用，如果使用用過的會影響通信安全。47.以下哪個現(xiàn)象較好的印證了信息安全特征中的動態(tài)性()A、經(jīng)過數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺各種電子設(shè)備B、剛剛經(jīng)過風險評估并針對風險采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風險C、某公司的信息系統(tǒng)面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍然產(chǎn)生了泄露【正確答案】：B解析：

B體現(xiàn)出了動態(tài)性48.在規(guī)定的時間間隔或重大變化發(fā)生時，組織的()和實施方法(如信息安全的控制目標、控制措施、方針、過程和規(guī)程)應(yīng)()。獨立評審宜由管理者啟動，由獨立被評審范圍的人員執(zhí)行，例如內(nèi)部審核部、獨立的管理人員或?qū)ｉT進行這種評審的第三方組織。從事這些評審的人員宜具備適當?shù)?)。管理人員宜對自己職責范圍內(nèi)的信息處理是否符合合適的安全策略、標準和任何其他安全要求進行()。為了日常評審的效率，可以考慮使用自動測量和()。評審結(jié)果和管理人員采取的糾正措施宜被記錄，且這些記錄宜予以維護。A、信息安全管理；獨立審查；報告工具；技能和經(jīng)驗；定期評審B、信息安全管理；技能和經(jīng)驗；獨立審查；定期評審；報告工具C、獨立審查；信息安全管理；技能和經(jīng)驗；定期評審；報告工具D、信息安全管理；獨立審查；技能和經(jīng)驗；定期評審；報告工具【正確答案】：D49.小陳學習了有關(guān)信息安全管理體系的內(nèi)容后，認為組織建立信息安全管理體系并持續(xù)運行，比起簡單地實施信息安全管理，有更大的作用，他總結(jié)了四個方面的作用，其中總結(jié)錯誤的是()A、可以建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強化員工的信息安全意識，建立良好的安全作業(yè)習慣，培育組織的信息安全企業(yè)文化C、可以增強客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護效果，使組織通過國際標準化組織的ISO9001認證【正確答案】：D解析：

ISO9001是質(zhì)量認證不是安全管理認證，應(yīng)通過ISO27001認證。50.目前應(yīng)用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙認為同事小李從對應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對，請問是下面哪一項()A、數(shù)據(jù)訪問權(quán)限B、偽造身份C、釣魚攻擊D、遠程滲透【正確答案】：A解析：

BCD都是常見的威脅方式，A項至少一種數(shù)據(jù)訪問控制方式。51.有關(guān)能力成熟度模型(CMM)，錯誤的理解是()。A、CMM的基本思想是，因為問題是由技術(shù)落后引起的，所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM是思想來源于項目管理和質(zhì)量管理CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本的生產(chǎn)出高質(zhì)量產(chǎn)品【正確答案】：A解析：

P17852.以下哪個選項不是信息安全需求的來源?A、法律法規(guī)與合同條約的要求B、組織的原則、目標和規(guī)定C、風險評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警【正確答案】：D解析：

安全需求來源于內(nèi)部驅(qū)動，D是外部參考要素，不屬于信息安全需求的主要來源。53.()在實施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的

()。例如攻擊者要偽裝成某個大型集團公司總部的(),那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團公司中相關(guān)人員的綽號等等。A、攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定B、所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C、攻擊者;所需要的信息:基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D、所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定【正確答案】：C54.信息安全風險管理過程中，背景建立是實施工作的第一步，下面哪項是錯誤的()A、背景建立的依據(jù)是國家，地區(qū)行業(yè)的相關(guān)政策、法律、法規(guī)和標準，以及機構(gòu)的使命，信息系統(tǒng)的業(yè)務(wù)目標和特性B、背景建立階段應(yīng)識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性，并分別賦值，同時確認已有的安全措施，形成需要保護的資產(chǎn)清單C、前景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標、業(yè)務(wù)特性、管理特性和技術(shù)特性、形成信息系統(tǒng)的描述報告D、背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全需求報告【正確答案】：B解析：

P8955.根據(jù)Bell-LaPedula模型安全策略，下圖中寫和讀操作正確的是（）A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：B解析：

BLP模型嚴禁橫向流通56.小牛在對某公司的信息系統(tǒng)進行風險評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理風險，請問這種風險處置的方法是()A、降低風險B、規(guī)避風險C、放棄風險D、轉(zhuǎn)移風險【正確答案】：B解析：

放棄高風險模塊的功能，屬于風險規(guī)避。57.實體身份鑒別的方法多種多樣，且隨著技術(shù)的進步，鑒別方法的強度不斷提高，常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖，小王作為合法用戶使用自己的賬戶進行支付、轉(zhuǎn)賬等操作。這說法屬于下列選項中的（）A、實體所知的鑒別方法B、實體所有的鑒別方法C、實體特征的鑒別方法D、實體所見的鑒別方法【正確答案】：C58.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是()A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響事件B、至今已有一種信息安全策略或防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護，這就使得信息安全事件的發(fā)生是不可能的C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點：具有高技術(shù)復雜性志專業(yè)

性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護。59.按照我國信息安全等級保護的有關(guān)政策和標準，有些信息系統(tǒng)只需自主定級、自主保護，按照要求向公安機關(guān)備案即可，可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于()。A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：B解析：

一級系統(tǒng)只需要自主定級備案，不需要測評。60.某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時進行確認才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全哪項原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

權(quán)限分離是將一個較大的權(quán)限分離為多個子權(quán)限組合操作來實現(xiàn)。61.下圖是安全測試人員連接某遠程主機時的操作界面，請您仔細分析該圖，下面分析推理正確的是（）

A、安全測試人員鏈接了遠程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠程服務(wù)器開啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、遠程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)【正確答案】：D62.根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是：A、涉密信息系統(tǒng)的風險評估應(yīng)按照《信息安全等級保護管理辦法》等國家有關(guān)保密規(guī)定和標準進行B、非涉密信息系統(tǒng)的風險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等要求進行C、可委托同一專業(yè)測評機構(gòu)完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務(wù)項目驗收的重要內(nèi)容【正確答案】：C解析：

根據(jù)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》的規(guī)定，可委托同一專業(yè)測評機構(gòu)完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告。63.方法指導類標準主要包括GB/T-T25058-2010-《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》GB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等。其中《等級保護實施指南》原以()政策文件方式發(fā)布,后修改后以標準發(fā)布。這些標準主要對如何開展()做了詳細規(guī)定。狀況分析類標準主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護測評準則》等文件,后經(jīng)過修改以《等級保

護測評要求》發(fā)布。這些標準主要對如何開展()工作做出了()A、公安部；等級保護試點；等級保護工作；等級保護測評；詳細規(guī)定.B、公安部；等級保護工作；等級保護試點；等級保護測評；詳細規(guī)定C、公安部；等級保護工作；等級保護測評；等級保護試點；詳細規(guī)定D、公安部；等級保護工作；等級保護試點；詳細規(guī)定；等級保護測評【正確答案】：B64.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制表(ACL)來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是()。ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便B、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL是Bell-LaPadula模型的一種具體實現(xiàn)【正確答案】：B65.應(yīng)用安全,一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是()。A、機房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件,包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等B、身份鑒別,應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進行身份鑒別,只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源C、安全標記,在應(yīng)用系統(tǒng)層面對主體和客體進行標記,主體不能隨意更改權(quán)限,增加訪問控制的力度,限制非法訪問D、剩余信息保護,應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護,防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問【正確答案】：A66.Kerberos協(xié)議是一種集中訪問控制協(xié)議，它能在復雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點登錄服務(wù)。單點登錄是指用戶在網(wǎng)絡(luò)中進行一次身份認證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不再需要其他的身份認證過程，實質(zhì)是消息M在多個應(yīng)用系統(tǒng)之間的傳遞或共享。其中，消息M是指以下選項中的()。A、安全憑證B、加密密鑰C、會話密鑰D、用戶名【正確答案】：A解析：

單點登錄是指用戶在網(wǎng)絡(luò)中進行一次身份認證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不再需要其他的身份認證過程，實質(zhì)是安全憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享。P300頁。67.下圖顯示了SSAM的四個階段和每個階段工作內(nèi)容。與之對應(yīng)，（）的目的是建立評估框架，并為現(xiàn)場階段準備后勤方面的工作。（）的目的是準備評估團隊進行現(xiàn)場活動，并通過問卷進行數(shù)據(jù)的初步收集和分析。（）主要是探索初步數(shù)據(jù)分析結(jié)果，以及為被評組織的專業(yè)人員提供與數(shù)據(jù)采集和證實過程的機會，小組對在此就三個階段中采集到的所有數(shù)據(jù)進行（）。并將調(diào)查結(jié)果呈送個發(fā)起者。

A、現(xiàn)場階段；規(guī)劃階段；準備階段；最終分析B、準備階段；規(guī)劃階段；現(xiàn)場階段；最終分析C、規(guī)劃階段；現(xiàn)場階段；準備階段；最終分析D、規(guī)劃階段；準備階段；現(xiàn)場階段；最終分析【正確答案】：D68.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的通用實施(GenericPractices，GP)，錯誤的理解是()。A、在工程實施時，GP應(yīng)該作為基本實施(BasePractices，BP)的一部分加以執(zhí)行B、GP適用于域維中部分過程區(qū)域(ProcessAreas，PA)的活動而非所有PA的活動C、在評估時，GP用于判定工程組織執(zhí)行某個PA的能力D、GP是涉及過程的管理、測量和制度化方面的活動【正確答案】：A解析：

通用實施(GenericPractices，GP)，又被稱之為“公共特征”的邏輯域組成。通用實施可應(yīng)用到每一個過程區(qū)，但第一個公共特征“執(zhí)行基本實施”例外。69.下列選項中，哪個不是我國信息安全保障工作的主要內(nèi)容：A、加強信息安全標準化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標準體系B、建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實現(xiàn)國家信息安全自主可控目標C、建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D、加快信息安全學科建設(shè)和信息安全人才培養(yǎng)【正確答案】：B解析：

建立國家信息安全研究中心不是我國信息安全保障工作的主要內(nèi)容。70.下列對網(wǎng)絡(luò)認證協(xié)議Kerberos描述正確的是：A、該協(xié)議使用非對稱密鑰加密機制B、密鑰分發(fā)中心由認證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成C、該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D、使用該協(xié)議不需要時鐘基本同步的環(huán)境【正確答案】：C解析：

A錯誤，因為使用對稱密碼；B錯誤，因為密鑰分發(fā)中心不包括客戶機；D錯誤，因為協(xié)議需要時鐘同步。三個步驟：1）身份認證后獲得票據(jù)許可票據(jù)；2）獲得服務(wù)許可票據(jù)；3）獲得服務(wù)。71.安全審計是一種很常見的安全控制措施，它在信息全保障系統(tǒng)中，屬于()措施。A、保護B、檢測C、響應(yīng)D、恢復【正確答案】：B72.在Windows文件系統(tǒng)中,_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3【正確答案】：B73.二十世紀二十年代,德國發(fā)明家亞瑟謝爾比烏斯Enigma密碼機。按照密碼學發(fā)展歷史階段劃分,這個階段屬于()A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼,而不是憑借推理和證明,常用的密碼運算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算,形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備C、近代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”(TheCommunicationTheoryofSecretSystems)D、現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志,引發(fā)了密碼學歷史上的革命性的變革,同時,眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合【正確答案】：A解析：

Enigma密碼機,按照密碼學發(fā)展歷史階段劃分,這個階段屬于古典密碼階段。74.關(guān)于標準,下面哪項理解是錯誤的()。A、標準是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認機構(gòu)批準,共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B、行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準,當行業(yè)標準和國家標準的條款發(fā)生沖突時,應(yīng)以國家標準條款為準C、國際標準是由國際標準化組織通過并公開發(fā)布的標準。同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突時,應(yīng)以國際標準條款為準D、地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定,并報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管部門備案,在公布國家標準之后,該地方標準即應(yīng)廢止【正確答案】：C解析：

國際標準是由國際標準化組織通過并公布的標準,同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突,應(yīng)以國家標準條款為準。75.()攻擊是建立在人性“弱點”利用基礎(chǔ)上的攻擊,大部分的社會工程學攻擊都是經(jīng)過()才能實施成功的。即使是最簡單的“直接攻擊”也需要進行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個身份需要的()A、社會工程學:精心策劃;前期的準備;偽裝的身份;一些特征B、精心策劃;社會工程學;前期的準備;偽裝的身份;一些特征C、精心策劃;社會工程學;偽裝的身份;前期的準備:一些特征D、社會工程學;偽裝的身份;精心策劃;前期的準備;一些特征【正確答案】：A解析：

P221頁76.以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換?A、DSSB、Diffie-HellmanC、RSAD、AES【正確答案】：C解析：

DSS是一種數(shù)字簽名標準,嚴格來說不算加密算法;Diffie-Hellman并不是加密算法，而是一種密鑰建立的算法；AES算法是一種對稱密碼算法，可以用于數(shù)據(jù)加密。77.信息安全風險值應(yīng)該是以下哪些因素的函數(shù)？()A、信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復雜程度【正確答案】：A解析：

信息安全風險三要素：資產(chǎn)、威脅、脆弱性78.信息應(yīng)按照其法律要求、價值、對泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對其分類負責。分類的結(jié)果表明了(),該價值取決于其對組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進行標記并體現(xiàn)其分類,標記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標記和安全處理是信息共享的一個關(guān)鍵要求。()和元數(shù)據(jù)標簽是常見的形式。標記應(yīng)易于辨認,規(guī)程應(yīng)對標記附著的位置和方式給出指導,并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲和()A、敏感性;物理標簽;資產(chǎn)的價值;信息資產(chǎn);交換規(guī)程B、敏感性;信息資產(chǎn);資產(chǎn)的價值;物理標簽;交換規(guī)程C、資產(chǎn)的價值;敏感性;信息資產(chǎn);物理標簽;交換規(guī)程D、敏感性；資產(chǎn)的價值；信息資產(chǎn)物理標簽；交換規(guī)程【正確答案】：D解析：

來源于27002標準的原文79.某單位在一次信息安全風險管理活動中，風險評估報告提出服務(wù)器A的FTP服務(wù)存在高風險漏洞。隨后該單位在風險處理時選擇了安裝FTP服務(wù)漏洞補丁程序并加固FTP服務(wù)安全措施，請問該措施屬于哪種風險處理方式()A、風險轉(zhuǎn)移B、風險接受C、風險規(guī)避D、風險降低【正確答案】：D解析：

風險降低可采用預(yù)防性策略和反應(yīng)性策略兩種方案。P141頁。80.關(guān)于我國加強信息安全保障工作的總體要求，以下說法錯誤的是：（）A、堅持積極防御、綜合防范的方針B、重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個人隱私保護意識【正確答案】：D解析：

提高個人隱私保護意識不屬于（2003年）我國加強信息安全保障工作的總體要求。81.軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A、在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B、在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C、確保對軟編碼人員進行安全培訓，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行【正確答案】：D解析：

軟件的安全測試根據(jù)實際情況進行測試措施的選擇和組合。82.以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施？A、人民解放軍戰(zhàn)略支援部隊B、中國移動吉林公司C、重慶市公安局消防總隊D、上海市衛(wèi)生與計劃生育委員會【正確答案】：D解析：

關(guān)鍵信息基礎(chǔ):面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng);且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響重要行業(yè)正常運行，對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴重損失。83.風險評估的工具中，()是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判

斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A、脆弱性掃描工具B、滲透測試工具C、拓撲發(fā)現(xiàn)工具D、安全審計工具【正確答案】：B84.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作,下面描述錯誤的是()。A、信息安全應(yīng)急響應(yīng),通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施,既包括預(yù)防性措施,也包括事件發(fā)生后的應(yīng)對措施B、應(yīng)急響應(yīng)工作的起源和相關(guān)機構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān),基于該事件,人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性C、應(yīng)急響應(yīng)工作有其鮮明的特點:具有高技術(shù)復雜性與專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性,以及需要廣泛的協(xié)調(diào)與合作D、應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作,其主要包括兩部分工作:安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結(jié)【正確答案】：D解析：

應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備,以及在事件發(fā)生后所采取的措施。85.COBIT（信息和相關(guān)技術(shù)的控制目標）是國際專業(yè)協(xié)會ISACA為信息技術(shù)（IT）管理和IT治理創(chuàng)建的良好實踐框架。COBIT提供了一套可實施的“信息技術(shù)控制”并圍繞IT相關(guān)流程和推動因素的邏輯框架進行組織。COBIT模型如圖所示，按照流程，請問，COBIT組件包括（）、()、（）、（）、（）、等部分。A、流程描述、框架、控制目標、管理指南、成熟度模型B、框架、流程描述、管理目標、控制目標、成熟度模型C、框架、流程描述、控制目標、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標、成熟度模型【正確答案】：C86.假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A、是多余的，因為它們完成了同樣的功能，但要求更多的開銷B、是必須的，可以為預(yù)防控制的功效提供檢測C、是可選的，可以實現(xiàn)深度防御D、在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制功能已經(jīng)足夠【正確答案】：C87.信息是流動的,在信息的流動過程中必須能夠識別所有可能途徑的()與();面對于信息本身,信息的敏感性的定義是對信息保護的()和(),信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了()的效果,不同的截體下,可能體現(xiàn)出信息的()、臨時性和信息的交互場景,這使得風險管理變得復雜和不可預(yù)測。A、基礎(chǔ);依據(jù);載體;環(huán)境;永久性;風險管理B、基礎(chǔ);依據(jù);載體;環(huán)境;風險管理;永久性C、載體;環(huán)境;風險管理;永久性;基礎(chǔ);依據(jù)D、載體;環(huán)境;基礎(chǔ);依據(jù);風險管理;永久性【正確答案】：D88.有關(guān)質(zhì)量管理，錯誤的理解是()。A、質(zhì)量管理是與指揮和控制組織質(zhì)量相關(guān)的一系列相互協(xié)調(diào)的活動，是為了實現(xiàn)質(zhì)量目標，而進行的所有管理性質(zhì)的活動B、規(guī)范質(zhì)量管理體系相關(guān)活動的標準是ISO9000系列標準C、質(zhì)量管理體系將資源與結(jié)果結(jié)合，以結(jié)果管理方法進行系統(tǒng)的管理D、質(zhì)量管理體系從機構(gòu)，程序、過程和總結(jié)四個方面進行規(guī)范來提升質(zhì)量【正確答案】：C解析：

質(zhì)量管理體系是組織內(nèi)部建立的、為實現(xiàn)質(zhì)量目標所必需的系統(tǒng)性質(zhì)量管理模式，是組織的一項戰(zhàn)略決策。它將資源與過程結(jié)合，P177頁89.以下關(guān)于Windows操作系統(tǒng)身份標識與鑒別,說法不正確的是()。A、Windows操作系統(tǒng)遠程登錄經(jīng)歷了SMB鑒別機制、LM鑒別機制、NTLM鑒別機制、Kerberos鑒別體系等階段B、完整的安全標識符(SID)包括用戶和組的安全描述,48比特的身份特權(quán)、修訂版本和可變的驗證值C、本地安全授權(quán)機構(gòu)(LSA)生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標識符(SID)D、用戶對鑒別信息的操作,如更改密碼等都通過一個以Administrator權(quán)限運行的服務(wù)“SecurityAccountsManager”來實現(xiàn)【正確答案】：D解析：

用戶對鑒別信息的操作,如更改密碼等都通過一個以system權(quán)限運行的服務(wù)“SecurityAccountsManager”來實現(xiàn)。P357頁。90.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是()。A、應(yīng)急響應(yīng)方法和過程并不是唯一的B、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結(jié)6個階段，這6個階段的響應(yīng)方法一定能確保事件處理的成功C、一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結(jié)6個階段D、基于應(yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低【正確答案】：B解析：

一定能確保事件處理成功，過于絕對。P152頁。91.自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標準計劃項目時，必須經(jīng)由以下哪個組織提出工作意見，協(xié)調(diào)一致后由該組織申報。A、全國通信標準化技術(shù)委員會(TC485)B、全國信息安全標準化技術(shù)委員會(TC260)C、中國通信標準化協(xié)會(CCSA)D、網(wǎng)絡(luò)與信息安全技術(shù)工作委員會【正確答案】：B92.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁,安全運維人員給出了針對此批漏洞修補的四個建議方案,請選擇其中一個最優(yōu)方案執(zhí)行()A、對于重要的服務(wù),應(yīng)在測試環(huán)境中安裝并確認補丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署B(yǎng)、對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補丁,用戶終端計算機由于沒有重要數(shù)據(jù),由終端自行升級C、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害,所以可以先不做處理D、由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞,為了避免安全風險,應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補丁【正確答案】：A解析：

對于重要的服務(wù),在測試環(huán)境中安裝并確定補丁的兼容性問題后再在正式生產(chǎn)環(huán)境中部署,這樣可以有效的避免應(yīng)補丁升級后可能會對系統(tǒng)服務(wù)造成不必要的影響。93.下列選項分別是四種常用的資產(chǎn)評估方法，哪個是目前采用最為廣泛的資產(chǎn)評估方法()。A、基于知識的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D94.一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個選項決定的()。A、加密和解密算法B、解密算法C、密鑰D、加密算法【正確答案】：C解析：

系統(tǒng)的保密性不依賴于加密體制和算法的保密,而依賴于密。P271頁。95.以下關(guān)于可信計算說法錯誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機安全評價標準(TCSEC)中第一次提出了可信計算機和可信計算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護體系和方法【正確答案】：D解析：

可信計算平臺出現(xiàn)后不會取代傳統(tǒng)的安全防護體系和方法。96.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為B、Https使用的端口和http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的【正確答案】：A解析：

HTTPS具有數(shù)據(jù)加密機制，HTTPS使用443端口，HTTP使用80端口，HTTPS協(xié)議完全可以獨立運行，傳輸加密后的用戶名和密碼。97.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯誤的是()。A、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備,以及在事件發(fā)生后所采取的措施B、根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別:特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)C、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段D、對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素【正確答案】：C解析：

應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段,為準備->檢測->遏制->根除->恢復->跟蹤總結(jié)。P152頁。98.信息安全風險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對【正確答案】：D解析：

影響風險等級的要素包括：威脅、資產(chǎn)、脆弱性。99.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有局限性，下列說法錯誤的是()A、對用戶知識要求高，配置、操作和管理使用過于簡單，容易遭到攻擊B、高虛頻率，入侵檢測系統(tǒng)會產(chǎn)生大量的警告信息和可疑的入侵行為記錄，用戶處理負擔很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被控制或者受到影響D、警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

“配置、操作和管理使用過于簡單，容易遭到攻擊”錯誤。100.信息安全風險管理過程的模型如圖所示。按照流程，請問，信息安全風險管理包括（）六個方面的內(nèi)容。（）是信息安全風險管理的四個基本步驟，（）則貫穿于這四個基本步驟中.；A、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風險評估、風險處理和批準監(jiān)督；監(jiān)控審查和溝通咨詢；B、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風險評估、風險處理和監(jiān)控審查；批準監(jiān)督和溝通咨詢；C、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風險評估、風險處理和溝通咨詢；監(jiān)控審查和批準監(jiān)督；D、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風險評估、監(jiān)控審查和批準監(jiān)督；風險處理和溝通咨詢。【正確答案】：A解析：

背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢。101.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是()。ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機的目的B、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存C、單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接【正確答案】：D解析：

如果不使用ARP協(xié)議可能會造成網(wǎng)絡(luò)無法正常運行，因此不能避免使用該協(xié)議。102.安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可

少的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其中哪

項設(shè)置不利于提高運行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B、為了方便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)

C，所有數(shù)據(jù)和操作系

統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D、將默認的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能【正確答案】：B解析：

操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。103.下列關(guān)于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。104.在設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的()A、要充分考慮成本效益,在滿足合規(guī)性要求和風險處置要求的前提下,盡量控制成本B、要充分符合信息安全需求并且實際可行C、要使用當前最新的技術(shù)和成本最高的設(shè)備,從而保障信息系統(tǒng)的絕對安全D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙【正確答案】：C解析：

“要使用當前最新的技術(shù)和成本最高的設(shè)備”錯誤,使用經(jīng)過檢驗成熟及安全的技術(shù)或設(shè)備。105.在Linux系統(tǒng)中，下列哪項內(nèi)容不包含在/etc/passwd文件中()A、用戶名B、用戶口令明文C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B解析：

在Linux，操作系統(tǒng)中，用戶口令是通過哈希后保存在/etc/shadow文件中的106.以下屬于哪一種認證實現(xiàn)方式：用戶登錄時，認證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子密鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS，AS用同樣的方法計算后，驗證比較兩個口令即可

驗證用戶身份A、口令序列B、時間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。107.小張在某單位是負責事信息安全風險管理方面工作的部門領(lǐng)導，主要負責對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓。一次培訓的時候，小張主要負責講解風險評估工作形式，小張認為：1.風險評估工作形式包括：自評估和檢查評估；2.自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行風險評估；3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風險評估；4.對信息系統(tǒng)的風險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.請問小張的所述論點中錯誤的是哪項：A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點【正確答案】：D解析：

正確的做法為“自評估”和“檢查評估”相互結(jié)合和互為補充。108.如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob，Bob再用自己的私鑰解密，恢復出明文以下說法正確的是：（）A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：公鑰密碼體制：公鑰加密私鑰解密，私鑰加密，公鑰解密，公私鑰成對出現(xiàn)。109.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A、LandB、UDPFloodC、SmurfD、Teardrop【正確答案】：D解析：

Teardrop屬于碎片攻擊，不屬于流量型拒絕服務(wù)攻擊。110.以下哪些是需要在信息安全策略中進行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實施手段【正確答案】：B解析：

安全策略是宏觀的原則性要求，不包括具體的架構(gòu)、參數(shù)和實施手段。111.SARSA模型包括()，它是一個()，它在第一層從安全的角度定義了()。模型的每一層在抽象方面逐層減少，細節(jié)逐層增加，因此，它的層級都是建在其他層之上的，從策略逐漸到技術(shù)和解決方案的()。其思路上創(chuàng)新提出了一個包括戰(zhàn)略、概念、設(shè)計、實施、度量和審計層次的()A、五層；業(yè)務(wù)需求；分層模型；實施實踐；安全鏈條B、六層；分層模型；業(yè)務(wù)需求；實施實踐；安全鏈條C、五層；分層模型；業(yè)務(wù)需求；實施實踐；安全鏈條D、六層；分層模型；實施實踐；業(yè)務(wù)需求；安全鏈條【正確答案】：B解析：

SABSA舍伍德模型六層模型，從安全角度定義了業(yè)務(wù)需求112.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的()A、要充分企切合信息安全需求并且實際可行B、要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本C、要充分采取新技術(shù)，在使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保障要求D、要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實驗障礙【正確答案】：C解析：

安全保障方案，一般謹慎選擇新技術(shù)，大部分情況選擇一些經(jīng)過檢驗的成熟的安全技

術(shù)。113.信息安全是通過實施一組合適的()而達到的,包括策略、過程、規(guī)程、()以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進包含這些控制措施的()過程,以確保滿足該組織的特定安全和()。這個過程宜與其他業(yè)務(wù)()聯(lián)合進行。A、信息安全管理;控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標;管理過程B、組織結(jié)構(gòu);控制措施;信息安全管理;業(yè)務(wù)目標;管理過程C、控制措施;組織結(jié)構(gòu);信息安全管理;業(yè)務(wù)目標;管理過程D、控制措施;組織結(jié)構(gòu);業(yè)務(wù)目標;信息安全管理;管理過程【正確答案】：C解析：

P103頁114.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是()A、軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問題。B、應(yīng)當盡早在軟件開發(fā)的需求和設(shè)計階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少得多。C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期(SDL)最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試。【正確答案】：B解析：

A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計階段。C-SDL最大的特點是增加了安全培訓和應(yīng)急響應(yīng)。D-第三方測試是必要的軟件安全測試類型。115.某政府機構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問題，該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的()A、程序員在進行安全需求分析時，沒有分析出OA系統(tǒng)開發(fā)的安全需求B、程序員在軟件設(shè)計時，沒遵循降低攻擊面的原則，設(shè)計了不安全的功能C、程序員在軟件編碼時，缺乏足夠的經(jīng)驗，編寫了不安全的代碼D、程序員在進行軟件測試時，沒有針對軟件安全需求進行安全測試【正確答案】：B解析：

FTP功能本身沒有問題，但是不太安全容易被攻擊，所以選B。116.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性()A、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中B、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護輪廓”和“安全目標”中進一步細化和擴展