NISP練習(xí)測(cè)試卷及答案

第頁(yè)NISP練習(xí)測(cè)試卷1.《信息安全保障技術(shù)框架》(InformationAssuranceTechnicalFramework，IATF)是由()發(fā)布的。A、中國(guó)B、美國(guó)C、歐盟D、俄羅斯【正確答案】：B解析：

信息安全保障技術(shù)框架由美國(guó)國(guó)家安全局發(fā)布，一般由英文翻譯過(guò)來(lái)的大多數(shù)都是美國(guó)人弄出來(lái)的。P28頁(yè)。2.信息安全是國(guó)家安全的重要組成部分，綜合研究當(dāng)前世界各國(guó)信息安全保障工作，總結(jié)錯(cuò)誤的是()A、各國(guó)普遍將與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、各國(guó)普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、各國(guó)普遍加強(qiáng)國(guó)際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國(guó)安全系統(tǒng)互通D、各國(guó)普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)【正確答案】：C解析：

“均同意建立一致的安全保障系統(tǒng)”錯(cuò)誤3.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計(jì)是遵循了發(fā)下哪個(gè)原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A4.信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng)，應(yīng)當(dāng)（）年進(jìn)行一次等級(jí)測(cè)評(píng)?A、0.5B、1C、2D、3【正確答案】：B解析：

等級(jí)保護(hù)三級(jí)系統(tǒng)一年測(cè)評(píng)一次，四級(jí)系統(tǒng)每半年測(cè)評(píng)一次。5.某商貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要，計(jì)劃編制本單位信息安全應(yīng)急響應(yīng)預(yù)案，在向主管領(lǐng)導(dǎo)寫(xiě)報(bào)告時(shí)，他列舉了編制信息安全應(yīng)急響應(yīng)預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是()A、編制應(yīng)急預(yù)案是國(guó)家網(wǎng)絡(luò)安全法對(duì)所有單位的強(qiáng)制要求，因此必須建設(shè)B、應(yīng)急預(yù)案是保障單位業(yè)務(wù)系統(tǒng)信息安全的重要措施C、應(yīng)急預(yù)案是提高應(yīng)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件能力，減少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運(yùn)行平穩(wěn)、安全、有序、高效的手段D、應(yīng)急預(yù)案是明確關(guān)鍵業(yè)務(wù)系統(tǒng)信息安全應(yīng)急響應(yīng)指揮體系和工作機(jī)制的重要方式【正確答案】：A解析：

編制應(yīng)急響應(yīng)預(yù)案并非對(duì)所有單位的強(qiáng)制要求。P150。6.防止非法授權(quán)訪問(wèn)數(shù)據(jù)文件的控制措施，哪項(xiàng)是最佳的方式：A、自動(dòng)文件條目B、磁帶庫(kù)管理程序C、訪問(wèn)控制軟件D、鎖定庫(kù)【正確答案】：C7.關(guān)于linux下的用戶和組，以下描述不正確的是A、在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B、系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C、用戶和組的關(guān)系可是多對(duì)一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組D、root是系統(tǒng)的超級(jí)用戶，無(wú)論是否文件和程序的所有者都具有訪問(wèn)權(quán)限【正確答案】：C解析：

一個(gè)用戶可以屬于多個(gè)組。8.風(fēng)險(xiǎn)分析師風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號(hào)應(yīng)填那個(gè)？()

A、安全資產(chǎn)價(jià)值大小等級(jí)B、脆弱性嚴(yán)重程度等級(jí)C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D、安全事件造成損失大小【正確答案】：D9.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問(wèn)，就可以無(wú)需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問(wèn)題的說(shuō)法正確的是:A、網(wǎng)站問(wèn)題是由于開(kāi)發(fā)人員不熟悉安全編碼，編寫(xiě)了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問(wèn)題B、網(wǎng)站問(wèn)題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題C、網(wǎng)站問(wèn)題是由于使用便利性提高，帶來(lái)網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問(wèn)題D、網(wǎng)站問(wèn)題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題【正確答案】：D解析：

網(wǎng)站問(wèn)題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題。10.訪問(wèn)控制方法可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色訪問(wèn)控制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問(wèn)控制模型，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在(1)自主訪問(wèn)控

制，(2)強(qiáng)制訪問(wèn)控制，(3)基于角色的訪問(wèn)控制(4)基于規(guī)則的訪問(wèn)控制中，能夠滿

足以上要求的選項(xiàng)有()A、只有(1)(2)B、只有(2)(3)C、只有(3)(4)D、只有(4)【正確答案】：C解析：

支持最小特權(quán)原則和職責(zé)分離原則，只有基于角色的訪問(wèn)控制滿足，所以排除A和

D，基于強(qiáng)制訪問(wèn)控制不滿足，所以排除B。11.以下關(guān)于網(wǎng)絡(luò)安全設(shè)備說(shuō)法正確的是()。A、入侵檢測(cè)系統(tǒng)的主要作用是發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或違反安全策略的行為B、安全隔離與信息交換系統(tǒng)也稱為網(wǎng)閘，需要信息交換時(shí)，同一時(shí)間可以和兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)連接C、虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中，利用隧道技術(shù)，建立一個(gè)永久、安全的通信網(wǎng)絡(luò)D、防火墻既能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離，又能實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離【正確答案】：A解析：

B在需要信息交換時(shí)，安全隔離與信息交換系統(tǒng)內(nèi)部隔離安全交換單元模擬形成開(kāi)關(guān)，同一時(shí)間只和一個(gè)網(wǎng)絡(luò)進(jìn)行連接，不會(huì)同時(shí)連接兩個(gè)網(wǎng)絡(luò)；C虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)中，利用隧道技術(shù)，建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)；D防火墻不能實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離。12.Alice有一個(gè)消息M通過(guò)密鑰K2生成一個(gè)密文E（K2，M）然后用K1生成一個(gè)MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個(gè)MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個(gè)過(guò)程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認(rèn)性D、保密性和消息完整性【正確答案】：D解析：

密文E（K2，M）保障保密性，消息驗(yàn)證碼MAC為C（K1，E（K2，M））保障完整性。13.在Windows文件系統(tǒng)中,_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3【正確答案】：B14.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是()A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C15.以下哪種風(fēng)險(xiǎn)被認(rèn)為是合理的風(fēng)險(xiǎn)()。A、殘余風(fēng)險(xiǎn)B、未識(shí)別的風(fēng)險(xiǎn)C、可接受的風(fēng)險(xiǎn)D、最小的風(fēng)險(xiǎn)【正確答案】：C解析：

殘余風(fēng)險(xiǎn)未必是可接受的風(fēng)險(xiǎn),如果殘余風(fēng)險(xiǎn)不可接受還要進(jìn)一步處理才行例如風(fēng)險(xiǎn)轉(zhuǎn)移,風(fēng)險(xiǎn)規(guī)避。16.依據(jù)國(guó)家GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

GB/T20274信息系統(tǒng)保障評(píng)估框架從管理、技術(shù)、工程和總體方面進(jìn)行評(píng)估。17.有關(guān)危害國(guó)家秘密安全的行為的法律責(zé)任，正確的是：A、嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無(wú)論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任B、非法獲取國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C、過(guò)失泄露國(guó)家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D、承擔(dān)了刑事責(zé)任，無(wú)需再承擔(dān)行政責(zé)任和／或其他處分【正確答案】：A18.某單位門(mén)戶網(wǎng)站開(kāi)發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是()。A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例B、深入分析網(wǎng)站測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重現(xiàn)并分析C、監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象【正確答案】：B解析：

A選項(xiàng)應(yīng)為模擬異常用戶輸入行為；C監(jiān)測(cè)和記錄由輸入導(dǎo)致的任何崩潰或異常現(xiàn)象；D數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)是測(cè)試對(duì)象.19.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是()A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響事件B、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對(duì)的保護(hù)，這就使得信息安全事件的發(fā)生是不可能的C、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性志專業(yè)

性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對(duì)的保護(hù)。20.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過(guò)把SQL命令插入到web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷【正確答案】：C解析：

C為緩沖區(qū)溢出的正確解釋。21.通過(guò)對(duì)稱密碼算法進(jìn)行安全消息傳輸?shù)谋匾獥l件是：A、在安全的傳輸信道上進(jìn)行通信B、通訊雙方通過(guò)某種方式，安全且秘密地共享密鑰C、通訊雙方使用不公開(kāi)的加密算法D、通訊雙方將傳輸?shù)男畔A雜在無(wú)用信息中傳輸并提取【正確答案】：B22.惡意軟件抗分析技術(shù)的發(fā)展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術(shù),對(duì)惡意軟件的分析難度越來(lái)越大。對(duì)惡意代碼分析的研究已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。小趙通過(guò)查閱發(fā)現(xiàn)一些安全軟件的沙箱功能實(shí)際上是虛擬化技術(shù)的應(yīng)用,是動(dòng)態(tài)分析中廣泛采用的一種技術(shù)。小趙列出了一些動(dòng)態(tài)分析的知識(shí),其中錯(cuò)誤的是()A、動(dòng)態(tài)分析是指在虛擬運(yùn)行環(huán)境中,使用測(cè)試及監(jiān)控軟件,檢測(cè)惡意代碼行為,分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài),從而判斷惡意代碼的性質(zhì),并掌握其行為特點(diǎn)B、動(dòng)態(tài)分析針對(duì)性強(qiáng),并且具有較高的準(zhǔn)確性,但由于其分析過(guò)程中覆蓋的執(zhí)行路徑有限,分析的完整性難以保證C、動(dòng)態(tài)分析通過(guò)對(duì)其二進(jìn)制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機(jī)制D、動(dòng)態(tài)分析通過(guò)監(jiān)控系統(tǒng)進(jìn)程、文件和注冊(cè)表等方面出現(xiàn)的非正常操作和變化,可以對(duì)惡意代碼非法行為進(jìn)行分析【正確答案】：C23.以下關(guān)于軟件安全測(cè)試說(shuō)法正確的是（）A、軟件安全測(cè)試就是黑盒測(cè)試B、FUZZ測(cè)試是經(jīng)常采用的安全測(cè)試方法之一C、軟件安全測(cè)試關(guān)注的是軟件的功能D、軟件安全測(cè)試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問(wèn)題【正確答案】：B解析：

FUZZ測(cè)試是經(jīng)常采用的安全測(cè)試方法之一，軟件安全測(cè)試包括模糊測(cè)試、滲透測(cè)試、靜態(tài)代碼安全測(cè)試，只關(guān)注安全問(wèn)題。24.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么，以下選項(xiàng)（）應(yīng)放入到一級(jí)文件中.A、《風(fēng)險(xiǎn)評(píng)估報(bào)告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計(jì)劃》D、《單位信息安全方針》【正確答案】：D解析：

一級(jí)文件中一般為安全方針、策略文件；二級(jí)文件中一般為管理規(guī)范制度；三級(jí)文件一般為操作手冊(cè)和流程；四級(jí)文件一般表單和管理記錄。25.美國(guó)系統(tǒng)工程專家霍爾（A.D.Hall）在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu)，使系統(tǒng)工程的工作階段和步驟更為清晰明了，如圖所示，霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個(gè)活動(dòng)過(guò)程分為前后緊密銜接的（）階段和（）步驟，同時(shí)還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、和知識(shí)維所組成的三維空間結(jié)構(gòu)。A、五個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維B、七個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維C、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維D、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；空間維【正確答案】：B26.某單位的信息安全主管部門(mén)在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門(mén)將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是()A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)C、檢查評(píng)估可以由上級(jí)管理部門(mén)組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

自評(píng)估由本級(jí)單位發(fā)起，檢查評(píng)估由被評(píng)估組織的上級(jí)管理機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，P247頁(yè)。27.1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信安全管理體系規(guī)范》，規(guī)定()管理體系要求與()要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的()，它可以作為一個(gè)正式認(rèn)證方案的()。BS7799-1與BS7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及()的責(zé)任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：A28.下面哪一項(xiàng)情景屬于身份鑒別(Authentication)過(guò)程？()A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡(luò)上共享了自己編寫(xiě)的一份Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容C、中的內(nèi)容用戶使用加密軟件對(duì)自己家編寫(xiě)的Office文檔進(jìn)行加密，以阻止其他人得到這份拷貝后到文檔中的內(nèi)容D、某個(gè)人嘗試登陸到你的計(jì)算機(jī)中，但是口令輸入的不對(duì)，系統(tǒng)提示口令錯(cuò)誤，并將這次失

敗的登陸過(guò)程記錄在系統(tǒng)日志中【正確答案】：A29.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動(dòng)是：A、建立環(huán)境B、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃C、持續(xù)的監(jiān)視與評(píng)審風(fēng)險(xiǎn)D、持續(xù)改進(jìn)信息安全管理過(guò)程【正確答案】：D解析：

持續(xù)改進(jìn)信息安全管理過(guò)程屬于處置(ACT)階段。30.了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御()的關(guān)鍵,對(duì)于信息系統(tǒng)的管理人員和用戶,都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的()。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊,如何判斷是否存在社會(huì)工程學(xué)攻擊,這樣才能更好的保護(hù)信息系統(tǒng)和()。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就()。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育,向員工灌輸(),以降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)。A、社會(huì)工程學(xué)攻擊;越容易;原理;個(gè)人數(shù)據(jù);安全意識(shí)B、社會(huì)工程學(xué)攻擊;原理;越容易;個(gè)人數(shù)據(jù);安全意識(shí)C、原理;社會(huì)工程學(xué)攻擊;個(gè)人數(shù)據(jù);越容易;安全意識(shí)D、社會(huì)工程學(xué)攻擊;原理;個(gè)人數(shù)據(jù);越容易;安全意識(shí)【正確答案】：D31.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門(mén)主管經(jīng)理和人事部門(mén)人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全哪項(xiàng)原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御【正確答案】：B解析：

權(quán)限分離是將一個(gè)較大的權(quán)限分離為多個(gè)子權(quán)限組合操作來(lái)實(shí)現(xiàn)。32.2016年12月27日，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》(以下簡(jiǎn)稱：“戰(zhàn)略”)。全文共計(jì)()部分，6000余字。除了提出網(wǎng)絡(luò)安全空間總體發(fā)展()之外,其中主要對(duì)我國(guó)當(dāng)前面臨的網(wǎng)絡(luò)空間安全7大機(jī)遇思想，闡明了中國(guó)關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的重大立場(chǎng)和主張，明確了戰(zhàn)略方針和主要任務(wù)，切實(shí)維護(hù)國(guó)家在網(wǎng)絡(luò)空間的主權(quán)、安全、發(fā)展利益，是指導(dǎo)國(guó)家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件。《戰(zhàn)略》指出，網(wǎng)絡(luò)空間機(jī)遇和挑戰(zhàn)并存，機(jī)遇大于挑戰(zhàn)。必須堅(jiān)持積極利用、科學(xué)發(fā)展、依法管理、確保安全，堅(jiān)決維護(hù)網(wǎng)絡(luò)安全，最大限度利用網(wǎng)絡(luò)空間發(fā)展?jié)摿Γ没菁?3億多中國(guó)人民，造福全人類，()?！稇?zhàn)略》要求，要以()，貫徹落實(shí)創(chuàng)新、

協(xié)調(diào)、綠色、開(kāi)放、共享的發(fā)展理念，增強(qiáng)風(fēng)險(xiǎn)意識(shí)和危機(jī)意識(shí)，統(tǒng)籌國(guó)內(nèi)國(guó)際兩個(gè)大局，統(tǒng)籌發(fā)展安全兩件大事，積極防御、有效應(yīng)對(duì)，推進(jìn)網(wǎng)絡(luò)空間和平、安全、開(kāi)放、合作、有

序，維護(hù)國(guó)家主權(quán)、安全、發(fā)展利益，實(shí)現(xiàn)建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的()。A、4個(gè)；總體目標(biāo)；堅(jiān)定維護(hù)世界和平；總體國(guó)家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)B、5個(gè)；基本目標(biāo)；堅(jiān)定維護(hù)世界和平；總體國(guó)家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)C、6個(gè)；總體目標(biāo)；堅(jiān)定維護(hù)世界和平；總體國(guó)家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)D、7個(gè)；基本目標(biāo)；堅(jiān)定維護(hù)世界和平；總體國(guó)家安全觀為指導(dǎo)；戰(zhàn)略目標(biāo)【正確答案】：A解析：

《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》原文33.某信息安全公司的團(tuán)隊(duì)對(duì)某款名為“紅包快搶”的外掛進(jìn)行分析，發(fā)現(xiàn)此外掛是一個(gè)典型的木馬后門(mén)，使黑客能夠獲得受害者電腦的訪問(wèn)權(quán)。該后門(mén)程序?yàn)榱诉_(dá)到長(zhǎng)期駐留在受害者的計(jì)算機(jī)中，通過(guò)修改注冊(cè)表啟動(dòng)項(xiàng)來(lái)達(dá)到后門(mén)程序隨受害者計(jì)算機(jī)系統(tǒng)啟動(dòng)而啟動(dòng)。為防范此類木馬后門(mén)的攻擊，以下做法無(wú)用的是()。A、不隨意打開(kāi)來(lái)歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站B、不下載、不執(zhí)行、不接收來(lái)歷不明的軟件或文件C、修改用戶名和口令D、安裝反病毒軟件和防火墻，安裝專門(mén)的木馬防治軟件【正確答案】：C解析：

修改用戶名和口令不能防范此類攻擊。34.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，有五個(gè)方面：起源、方式、途徑、受體和后果，他畫(huà)了下面這張圖來(lái)描述信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，圖中空白處應(yīng)填寫(xiě)？()

A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評(píng)估【正確答案】：C35.關(guān)于信息安全保障技術(shù)框架(IATF),以下說(shuō)法不正確的是()。A、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制B、分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本C、IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù),使攻擊者即使攻破一層也無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施D、允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級(jí)保障解決方案,確保系統(tǒng)安全性【正確答案】：A解析：

IATF深度防御戰(zhàn)略要求在人、技術(shù)和操作3個(gè)核心要素來(lái)共同實(shí)現(xiàn)。36.以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是：A、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對(duì)應(yīng)RBAC模型中的角色C、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制D、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制【正確答案】：D解析：

RBAC模型能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制。37.以下列出了mac和散列函數(shù)的相似性,哪一項(xiàng)說(shuō)法是錯(cuò)誤的？A、MAC和散列函數(shù)都是用于提供消息認(rèn)證B、MAC的輸出值不是固定長(zhǎng)度的，而散列函數(shù)的輸出值是固定長(zhǎng)度的C、MAC和散列函數(shù)都不需要密鑰D、MAC和散列函數(shù)都不屬于非對(duì)稱加密算法【正確答案】：C解析：

(1)MAC：消息驗(yàn)證、完整性校驗(yàn)、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對(duì)稱。(2)哈希：消息驗(yàn)證、完整性校驗(yàn)；輸出是固定的；不需要密鑰；不是非對(duì)稱。38.某linux系統(tǒng)由于root口令過(guò)于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請(qǐng)問(wèn)以下描述哪個(gè)是正確的：A、該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無(wú)權(quán)執(zhí)行該文件C、該文件是一個(gè)后門(mén)程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個(gè)后門(mén)程序，由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test【正確答案】：D39.IPv4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題，為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全，因此IP包很容易被篡改，并重新計(jì)算校驗(yàn)和。IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn)，其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。下列選項(xiàng)中說(shuō)法錯(cuò)誤的是()A、對(duì)于IPv4,IPSec是可選的，對(duì)于IPv6，IPSec是強(qiáng)制實(shí)施的。B、IPSec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。C、IPSec是一個(gè)單獨(dú)的協(xié)議D、IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制?！菊_答案】：C解析：

IPSec不是一個(gè)單獨(dú)的協(xié)議，它還包括AH（網(wǎng)絡(luò)認(rèn)證協(xié)議）、ESP（載荷封裝協(xié)議）、IKE（密鑰管理協(xié)議）等。40.哪種攻擊是攻擊者通過(guò)各種手段來(lái)消耗網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源，最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)()A、拒絕服務(wù)B、緩沖區(qū)溢出C、DNS欺騙D、IP欺騙【正確答案】：A解析：

題干是針對(duì)拒絕服務(wù)攻擊的描述41.信息安全管理體系也采用了()模型，該模型可應(yīng)用于所有的()。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過(guò)必要的()，產(chǎn)生滿足這些要求和期望的()。A、ISMS；PDCA過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果B、PDCA;ISMSC、ISMS;PDCAD、PDCA;ISMS

過(guò)程；行動(dòng)和過(guò)程；信息安全結(jié)果

過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程

過(guò)程；信息安全結(jié)果；行動(dòng)和過(guò)程【正確答案】：B42.白盒測(cè)試的具體優(yōu)點(diǎn)是：A、其檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行B、在不知程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C、其確定程序準(zhǔn)確性成某程序的特定邏輯路徑的狀態(tài)D、其通過(guò)嚴(yán)格限制訪問(wèn)主機(jī)系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對(duì)程序功能的檢查【正確答案】：C43.信息安全管理體系ISMS是建立和維持信息安全管理體系的()，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理系統(tǒng)范圍、制定()、明確定管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織并保持一個(gè)文件化的信息安全()，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織管理的方法、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的()A、信息安全方針；標(biāo)準(zhǔn)；文件；管理體系；保證程度B、標(biāo)準(zhǔn)；文件；信息安全方針；管理體系；保證程度C、標(biāo)準(zhǔn)；信息安全方針；文件；管理體系；保證程度D、標(biāo)準(zhǔn)；管理體系；信息安全方針；文件；保證程度【正確答案】：C44.自主訪問(wèn)控制模型（DAC）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表（ACL）來(lái)表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制矩陣，通常使用由客體指向的鏈表來(lái)存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說(shuō)法正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便C、ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便D、ACL管理或增加客體比較方便【正確答案】：D解析：

P307頁(yè)45.在信息安全管理體系的實(shí)施過(guò)程中,管理者的作用對(duì)于信息安全管理體系能否成功實(shí)施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是()。A、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、可實(shí)施B、制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體要求C、建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程,確保信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)選擇合理、計(jì)算正確D、向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性【正確答案】：C解析：

“實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程”不屬于管理者責(zé)任。46.信息安全管理體系（informationSecurityManagementSystem.簡(jiǎn)稱ISMS）的實(shí)施和運(yùn)行ISMS階段，是ISMS過(guò)程模型的實(shí)施階段（Do），下面給出了一些活動(dòng)①制定風(fēng)險(xiǎn)處理計(jì)劃②實(shí)施風(fēng)險(xiǎn)處理計(jì)劃③開(kāi)發(fā)有效性測(cè)量程序④實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃⑤管理ISMS的運(yùn)行⑥管理ISMS的資源⑦執(zhí)行檢測(cè)事態(tài)和響應(yīng)事件的程序⑧實(shí)施內(nèi)部審核⑨實(shí)施風(fēng)險(xiǎn)再評(píng)估選的活動(dòng)，選項(xiàng)（）描述了在此階段組織應(yīng)進(jìn)行的活動(dòng)。A、①②③④⑤⑥B、①②③④⑤⑥⑦C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨【正確答案】：B解析：

管理體系包括PDCA（Plan-Do-Check-Act）四個(gè)階段，題干中1-7的工作都屬于管理體系的實(shí)施階段（D-Do），而8和9屬于檢查階段（C-Check）。47.下圖是某單位對(duì)其主網(wǎng)站一天流量的監(jiān)測(cè)圖，如果該網(wǎng)站當(dāng)天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。（）A、跨站腳本攻擊B、TCP會(huì)話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊【正確答案】：D解析：

流量突增5倍以上，說(shuō)明是流量性的攻擊，最后可能的就是拒絕服務(wù)攻擊。48.信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中,通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析,制定并執(zhí)行相應(yīng)的安全保障策略,從技術(shù)、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性和可用性,降低安全風(fēng)險(xiǎn)到可接受的程度,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的業(yè)務(wù)。信息系統(tǒng)保障工作如圖所示。從該圖不難得出,信息系統(tǒng)是()。信息系統(tǒng)安全風(fēng)險(xiǎn)的因素主要有()

A、用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞B、用于采集、處理整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞、來(lái)自系統(tǒng)外部的威脅和人為操作引入的安全風(fēng)險(xiǎn)C、用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)來(lái)自系統(tǒng)外部的威脅和人為操作引入的安全風(fēng)險(xiǎn)D、用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和;信息系統(tǒng)自身存在的漏洞和來(lái)自系統(tǒng)外部的威脅【正確答案】：D解析：

信息系統(tǒng)是用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的綜合。信息系統(tǒng)安全風(fēng)險(xiǎn)是具體的風(fēng)險(xiǎn),產(chǎn)生風(fēng)險(xiǎn)的因素主要有信息系統(tǒng)自身存在的漏洞和來(lái)自系統(tǒng)外部的威脅。P31頁(yè)。49.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問(wèn)控制D、路由控制【正確答案】：B解析：

數(shù)字簽名可以提供抗抵賴、鑒別和完整性。50.如下圖所示，兩份文件包含了不同的內(nèi)容，卻擁有相同的SHA-1數(shù)字簽名

A,這違

背了安全的哈希函數(shù)（）性質(zhì)。

A、單向性;B、弱抗碰撞性;C、強(qiáng)抗碰撞性;D、機(jī)密性;【正確答案】：C解析：

該題目是違背了強(qiáng)抗碰撞性，P282頁(yè)51.安全審計(jì)是一種很常見(jiàn)的安全控制措施，它在信息全保障系統(tǒng)中，屬于()措施。A、保護(hù)B、檢測(cè)C、響應(yīng)D、恢復(fù)【正確答案】：B52.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級(jí)別事件()A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：A解析：

參考P147頁(yè)安全事件定級(jí)。53.應(yīng)用安全,一般是指保障應(yīng)用程序使用過(guò)程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是()。A、機(jī)房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件,包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等B、身份鑒別,應(yīng)用系統(tǒng)應(yīng)對(duì)登錄的用戶進(jìn)行身份鑒別,只有通過(guò)驗(yàn)證的用戶才能訪問(wèn)應(yīng)用系統(tǒng)資源C、安全標(biāo)記,在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記,主體不能隨意更改權(quán)限,增加訪問(wèn)控制的力度,限制非法訪問(wèn)D、剩余信息保護(hù),應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤(pán)、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù),防止存儲(chǔ)在硬盤(pán)、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問(wèn)【正確答案】：A54.某學(xué)員在學(xué)習(xí)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡(jiǎn)化的信息系統(tǒng)安全保障模型圖，如下所示。請(qǐng)為圖中括號(hào)空白處選擇合適的選項(xiàng)（）A、安全保障（方針和組織）B、安全防護(hù)（技術(shù)和管理）C、深度防御（策略、防護(hù)、檢測(cè)、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D55.訪問(wèn)控制是對(duì)用戶或用戶訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在

Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。以下選項(xiàng)中，對(duì)windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是()ACL只能由管理員進(jìn)行管理B、ACL是對(duì)象安全描述的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和級(jí)的SIDC、訪問(wèn)令牌存儲(chǔ)著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制【正確答案】：A56.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是:A、netshowB、netstatC、ipconfigD、Netview【正確答案】：B57.關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是()A、信息安全事件的種類很多，嚴(yán)重程度不盡相同，其響應(yīng)和處理方法也應(yīng)各不相同B、信息安全事件實(shí)行分類和分級(jí)管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)C、能夠使事前準(zhǔn)備，事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性D、我國(guó)早期的計(jì)算機(jī)安全事件的應(yīng)急響應(yīng)工作主要包括計(jì)算機(jī)病毒防范和“千年蟲(chóng)”問(wèn)題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早。【正確答案】：D解析：

D項(xiàng)不是信息安全事件進(jìn)行分類分級(jí)管理的原因，P146頁(yè)。58.以下哪些不是《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國(guó)網(wǎng)絡(luò)空間當(dāng)前任務(wù)?A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護(hù)能力D、阻斷與國(guó)外網(wǎng)絡(luò)連接【正確答案】：D解析：

常識(shí)問(wèn)題59.以下哪一項(xiàng)不屬于常見(jiàn)的風(fēng)險(xiǎn)評(píng)估與管理工具（）：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具【正確答案】：D解析：

D基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估工具不存在。60.即使最好用的安全產(chǎn)品也存在()。結(jié)果,在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。一種有效的對(duì)策是在敵手和它的目標(biāo)之間配備多種()。每一種機(jī)制都應(yīng)包括()兩種手段。A、安全缺陷;安全機(jī)制;外邊和內(nèi)部B、安全機(jī)制;安全缺陷;保護(hù)和檢測(cè)C、安全缺陷;安全機(jī)制;保護(hù)和檢測(cè)D、安全缺陷;保護(hù)和檢測(cè);安全機(jī)制【正確答案】：C61.2016年10月21日，美國(guó)東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國(guó)主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對(duì)人們生產(chǎn)生活造成嚴(yán)重影響。DDoS攻擊的主要目的是破壞系統(tǒng)的()。A、抗抵賴性B、保密性C、可用性D、不可否認(rèn)性【正確答案】：C解析：

DDOS(分布式拒絕服務(wù)攻擊)主要攻擊目標(biāo)所提供的服務(wù)，以破壞可用性為主要目的。P350頁(yè)。62.王明買了一個(gè)新的藍(lán)牙耳機(jī),但王明聽(tīng)說(shuō)使用藍(lán)牙設(shè)備有一定的安全威脅,于是王明找到對(duì)藍(lán)牙技術(shù)有所了解的王紅,希望王紅能夠給自己一點(diǎn)建議,以下哪一條建議不可取()A、在選擇使用藍(lán)牙設(shè)備時(shí),應(yīng)考慮設(shè)備的技術(shù)實(shí)現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B、選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C、如果藍(lán)牙設(shè)備丟失,最好不要做任何操作D、在配對(duì)時(shí)使用隨機(jī)生成的密鑰、不使用時(shí)設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)【正確答案】：C解析：

如果藍(lán)牙設(shè)備丟失,應(yīng)把設(shè)備從已配對(duì)列表眾刪除。63.恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjective，RTO)和恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective，RPO)是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個(gè)重要指標(biāo)，隨著信息系統(tǒng)越來(lái)越重要和信息技術(shù)越來(lái)越先進(jìn)，這兩個(gè)指標(biāo)的數(shù)值越來(lái)越小。小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是()。A、不可以為0，RPO也不可以為0B、可以為0，RPO也可以為0C、可以為0，RPO不可以為0D、不可以為0，RPO可以為0【正確答案】：B解析：

RPO和RTO兩個(gè)指標(biāo)從不用的角度來(lái)反映災(zāi)難備份和恢復(fù)的能力，RTO和RPO都

為0是最完美的解決方案，因?yàn)樵趦蓚€(gè)值都為0的情況下，意味著系統(tǒng)永不中斷服務(wù)，而且完全沒(méi)有數(shù)據(jù)丟失。P156頁(yè)。64.通過(guò)向被攻擊者發(fā)送大量的ICMP回應(yīng)請(qǐng)求，消耗被攻擊者的資源來(lái)進(jìn)行響應(yīng)，直至被攻擊者再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，這種攻擊稱之為：A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood【正確答案】：D解析：

發(fā)送大量的ICMP回應(yīng)請(qǐng)求為ICMPFlood。65.優(yōu)秀源代碼審核工具有哪些特點(diǎn)()1安全性;2多平臺(tái)性;3可擴(kuò)民性;4知識(shí)性;5集成性。A、12345B、234C、1234D、23【正確答案】：A解析：

P416頁(yè)66.風(fēng)險(xiǎn)，在GB/T22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面，如財(cái)務(wù)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級(jí)別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等。ISO/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模型，如圖所示。請(qǐng)結(jié)合此圖，怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響？()A、組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立相應(yīng)的保護(hù)要求，通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響B(tài)、加強(qiáng)防護(hù)措施，降低風(fēng)險(xiǎn)C、減少資產(chǎn)降低風(fēng)險(xiǎn)D、減少威脅和脆弱點(diǎn)，降低風(fēng)險(xiǎn)【正確答案】：A解析：

通過(guò)題干，是針對(duì)組織產(chǎn)生的影響，B項(xiàng)不是所有的加強(qiáng)防護(hù)措施都可以降低風(fēng)險(xiǎn)，有時(shí)候接受風(fēng)險(xiǎn)，轉(zhuǎn)移風(fēng)險(xiǎn)，規(guī)避風(fēng)險(xiǎn)都有可能使用；C項(xiàng)不現(xiàn)實(shí)，D項(xiàng)威脅來(lái)自外部，不可控，很難減少，但可以通過(guò)減少脆弱性來(lái)減少風(fēng)險(xiǎn)，所以選A。67.信息安全風(fēng)險(xiǎn)等級(jí)的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對(duì)【正確答案】：D解析：

影響風(fēng)險(xiǎn)等級(jí)的要素包括：威脅、資產(chǎn)、脆弱性。68.小李在檢查公司對(duì)外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒(méi)有找到資源、數(shù)據(jù)庫(kù)連接錯(cuò)誤、寫(xiě)臨時(shí)文件錯(cuò)誤等問(wèn)題時(shí)，會(huì)將詳細(xì)的錯(cuò)誤原因在結(jié)果頁(yè)面上顯示出來(lái)。從安全角度考慮，小李決定修改代碼，將詳細(xì)的錯(cuò)誤原因都隱藏起來(lái)，在頁(yè)面上僅僅告知用戶“抱歉，發(fā)生內(nèi)部錯(cuò)誤！”。請(qǐng)問(wèn)，這種處理方法的主要目的是()。A、最小化反饋信息B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、避免緩沖區(qū)溢出【正確答案】：A解析：

最小化反饋是指在程序內(nèi)部處理時(shí)，盡量將少的信息反饋到運(yùn)行界面，即避免給予不可靠用戶過(guò)多信息，防止不可靠用戶據(jù)此猜測(cè)軟件程序的運(yùn)行處理機(jī)制。P413頁(yè)。69.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后,對(duì)于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是()。A、信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn),因?yàn)橐獙?duì)信息安全管理涉及的方方面面實(shí)施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過(guò)低B、信息安全管理體系的建立應(yīng)參照國(guó)際國(guó)內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施,因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問(wèn)題后,制定的能共同的和重復(fù)使用的規(guī)則C、信息安全管理體系的建立應(yīng)基于一次風(fēng)險(xiǎn)評(píng)估徹底解決所有安全問(wèn)題的思想,因?yàn)檫@是國(guó)家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想D、信息安全管理體系應(yīng)強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制的思想,因?yàn)榘踩珕?wèn)題是動(dòng)態(tài)的,系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)【正確答案】：C解析：

“一次風(fēng)險(xiǎn)評(píng)估徹底解決所有安全問(wèn)題”錯(cuò)誤70.以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A、LandB、UDPFloodC、SmurfD、Teardrop【正確答案】：D解析：

Teardrop屬于碎片攻擊，不屬于流量型拒絕服務(wù)攻擊。71.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來(lái)處理該風(fēng)險(xiǎn)。請(qǐng)問(wèn)這種風(fēng)險(xiǎn)處置的方法是()。A、放棄風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、降低風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

風(fēng)險(xiǎn)規(guī)避：在某些情形下，變更、延緩或停止某種服務(wù)或業(yè)務(wù)功能，可能是合適的方法。根據(jù)題干“建議放棄這個(gè)功能模塊”判斷為風(fēng)險(xiǎn)規(guī)避。P143頁(yè)。72.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營(yíng)成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C73.下列關(guān)于軟件安全開(kāi)發(fā)中的BSI(BuildSecurityIn)系列模型說(shuō)法錯(cuò)誤的是()。A、軟件安全的三根支柱是風(fēng)險(xiǎn)管理、軟件安全觸點(diǎn)和安全知識(shí)B&I含義是指將安全內(nèi)建到軟件開(kāi)發(fā)過(guò)程中，而不是可有可無(wú)，更不是游離于軟件開(kāi)發(fā)生命周期之外C、B&I系列模型強(qiáng)調(diào)安全測(cè)試的重要性，要求安全測(cè)試貫穿整個(gè)開(kāi)發(fā)過(guò)程及軟件生命周期D、軟件安全觸點(diǎn)是軟件開(kāi)發(fā)生命周期中一套輕量級(jí)最優(yōu)工程化方法，它提供了從不同角度

保障安全的行為方式【正確答案】：C解析：

BSI認(rèn)為軟件安全有3根支柱：風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)，其強(qiáng)調(diào)了在軟件的整個(gè)生命周期中風(fēng)險(xiǎn)管理的重要性，并要求風(fēng)險(xiǎn)管理框架貫穿整個(gè)開(kāi)發(fā)過(guò)程。P403頁(yè)。74.國(guó)家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)，以下哪項(xiàng)屬于絕密級(jí)的描述()A、能夠局部反應(yīng)國(guó)家防御和治安實(shí)力的B、我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會(huì)效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝C、處于國(guó)際先進(jìn)水平，并且有軍事用途或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的D、國(guó)際領(lǐng)先，并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的【正確答案】：D解析：

重在“特別重大影響”。75.規(guī)范的實(shí)施流程和文檔管理,是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),按照規(guī)范形成了若干文檔,其中,下面()中的文檔應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)要素識(shí)別”階段輸出的文檔。A、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》,主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容B、《已有安全措施列表》,主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容C、《風(fēng)險(xiǎn)評(píng)估方案》,主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、范圍、目標(biāo)、評(píng)估步驟、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容D、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》,主要包括現(xiàn)有風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、資產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容【正確答案】：B解析：

P256頁(yè)或者見(jiàn)下表:

76.Windows系統(tǒng)下，哪項(xiàng)不是有效進(jìn)行共享安全的防護(hù)措施？A、使用netshare\\\c$/delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)B、確保所有的共享都有高強(qiáng)度的密碼防護(hù)C、禁止通過(guò)“空會(huì)話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊(cè)表鍵值D、安裝軟件防火墻阻止外面對(duì)共享目錄的連接【正確答案】：A77.信息安全風(fēng)險(xiǎn)管理是基于()的信息安全管理,也就是,始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即()選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。A、.風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理B、風(fēng)險(xiǎn);風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;信息系統(tǒng)C、風(fēng)險(xiǎn)管理;信息系統(tǒng);風(fēng)險(xiǎn);風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn);風(fēng)險(xiǎn);信息系統(tǒng)【正確答案】：A解析：

P84頁(yè)78.我國(guó)黨和政府一直重視信息安全工作，我國(guó)信息安全保障工作也取得了明顯成效，關(guān)于我國(guó)信息安全實(shí)踐工作，下面說(shuō)法錯(cuò)誤的是()A、加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作，確定由國(guó)家密碼管理局牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”推動(dòng)了應(yīng)急處理和信息通報(bào)技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級(jí)保護(hù)工作，研究制定了多個(gè)有關(guān)信息安全等級(jí)保護(hù)的規(guī)范和標(biāo)準(zhǔn)，重點(diǎn)保障了關(guān)系國(guó)定安全，經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全性D、實(shí)施了信息安全風(fēng)險(xiǎn)評(píng)估工作，探索了風(fēng)險(xiǎn)評(píng)估工作的基本規(guī)律和方法，檢驗(yàn)并修改完善

了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊(duì)伍【正確答案】：B解析：

工業(yè)和信息化部牽頭成立“國(guó)家網(wǎng)絡(luò)應(yīng)急中心”。79.具有行政法律責(zé)任強(qiáng)制力的安全管理規(guī)定和安全制度包括()(1)安全事件(包括安全事故)報(bào)告制度(2)安全等級(jí)保護(hù)制度(3)信息系統(tǒng)安全監(jiān)控(4)安全專用產(chǎn)品銷售許可證制度A、2,3B、1,2,3C、2,3,4D、1,2,4【正確答案】：D解析：

(1)來(lái)源于《安全生產(chǎn)法》第八十條,(2)(4)是常識(shí)。80.信息安全工程作為信息安全保障的重要組成部門(mén)，主要是為了解決:A、信息系統(tǒng)的技術(shù)架構(gòu)安全問(wèn)題B、信息系統(tǒng)組成部門(mén)的組件安全問(wèn)題C、信息系統(tǒng)生命周期的過(guò)程安全問(wèn)題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問(wèn)題【正確答案】：C解析：

信息安全工程作為信息安全保障的重要組成部門(mén)，主要是為了解決信息系統(tǒng)生命周期的過(guò)程安全問(wèn)題。81.為保障信息系統(tǒng)的安全，某經(jīng)營(yíng)公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報(bào)告。關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是()。A、信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫(xiě)信息安全保障方案的前提和依據(jù)B、信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開(kāi)編寫(xiě)C、信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)【正確答案】：D解析：

信息安全需求報(bào)告不應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰寫(xiě)，而應(yīng)該依據(jù)現(xiàn)有安全現(xiàn)狀，痛點(diǎn)以及客戶需求來(lái)寫(xiě)。82.在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)用戶進(jìn)行認(rèn)證識(shí)別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過(guò)程中常常使用靜態(tài)口令和動(dòng)態(tài)口令。下面描述中錯(cuò)誤的是()A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過(guò)程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對(duì)口令進(jìn)行簡(jiǎn)單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過(guò)重放攻擊來(lái)欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動(dòng)態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長(zhǎng)的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測(cè)出下次要使用的口令D、通常，動(dòng)態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

動(dòng)態(tài)口令方案要求其口令不能被收集和預(yù)測(cè)。83.以下說(shuō)法正確的是()。A、軟件測(cè)試計(jì)劃開(kāi)始于軟件設(shè)計(jì)階段,完成于軟件開(kāi)發(fā)階段B、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收C、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確D、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃,并提出審查意見(jiàn)【正確答案】：D解析：

軟件測(cè)試開(kāi)始與軟件設(shè)計(jì)階段,在軟件開(kāi)發(fā)完成以后還有回歸測(cè)試,驗(yàn)收測(cè)試;驗(yàn)收測(cè)試一般按照軟件開(kāi)發(fā)預(yù)期(軟件開(kāi)發(fā)需求或者合同)來(lái)進(jìn)行;軟件測(cè)試的目的是檢驗(yàn)它是否滿足規(guī)定的需求或是弄清預(yù)期結(jié)果與實(shí)際結(jié)果之間的差異。P416頁(yè)84.組織建立業(yè)務(wù)連續(xù)性計(jì)劃（BCP)的作用包括：A、在遭遇災(zāi)難事件時(shí)，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性，完整性和一致性；B、提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí)，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；D、以上都是?！菊_答案】：D85.在信息安全保障工作中人才是非常重要的因素,近年來(lái),我國(guó)一直調(diào)試重視我國(guó)信自成安全人才隊(duì)伍培養(yǎng)建設(shè)。在以下關(guān)于我國(guó)關(guān)于人才培養(yǎng)工作的描述中,錯(cuò)誤的是()。A、在《中國(guó)信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的中意見(jiàn)》(中辦發(fā)[2003]27號(hào))中,針對(duì)信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神B.2015年,為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng),經(jīng)報(bào)國(guó)務(wù)院學(xué)位委員會(huì)批準(zhǔn),國(guó)務(wù)院學(xué)位委員會(huì)、教育部決定“工學(xué)”門(mén)類下增設(shè)“網(wǎng)絡(luò)空間安全“一級(jí)學(xué)科,這對(duì)于我國(guó)網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)培養(yǎng)到積極的推到作用C、經(jīng)過(guò)十余年的發(fā)展,我國(guó)信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息全從人員的數(shù)量較多,能同社會(huì)實(shí)際需求相匹配;同時(shí),高效信息安全專業(yè)畢業(yè)人才的合能力要求高、知識(shí)更全面,因面社會(huì)化培養(yǎng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學(xué)教育外,我國(guó)信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)休系,包括“注冊(cè)信息安全專業(yè)人員(CISP)”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證【正確答案】：C解析：

常識(shí)問(wèn)題86.下圖是安全測(cè)試人員連接某遠(yuǎn)程主機(jī)時(shí)的操作界面，請(qǐng)您仔細(xì)分析該圖，下面分析推理正確的是（）

A、安全測(cè)試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測(cè)試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開(kāi)啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)【正確答案】：D87.業(yè)務(wù)系統(tǒng)運(yùn)行中異常錯(cuò)誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯(cuò)誤更詳細(xì)的顯示出來(lái)C、捕獲錯(cuò)誤，并拋出前臺(tái)顯示D、捕獲錯(cuò)誤，只顯示簡(jiǎn)單的提示信息，或不顯示任何信息【正確答案】：D解析：

D為正確的處理方法，符合最小化反饋原則。88.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，我國(guó)有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤的是()。A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評(píng)估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來(lái)實(shí)施D、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行【正確答案】：C解析：

自評(píng)估也可以委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來(lái)實(shí)施。89.下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題（）A、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來(lái)考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝。【正確答案】：C解析：

ABD與安全無(wú)關(guān)。90.進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史、國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：A、與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)B、美國(guó)尚未設(shè)立中央政府級(jí)的專門(mén)機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門(mén)的多個(gè)機(jī)構(gòu)共同承擔(dān)C、各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系【正確答案】：B解析：

美國(guó)已經(jīng)設(shè)立中央政府級(jí)的專門(mén)機(jī)構(gòu)。91.如圖一所示:主機(jī)A和主機(jī)B需要通過(guò)IPSec隧道模式保護(hù)二者之間的通信流量,這種情況下IPSec的處理通常發(fā)生在哪二個(gè)設(shè)備中?（）

A、主機(jī)A和安全網(wǎng)關(guān)1;B、主機(jī)B和安全網(wǎng)關(guān)2;C、主機(jī)A和主機(jī)B中;D、安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2中;【正確答案】：D92.某單位在一次信息安全風(fēng)險(xiǎn)管理活動(dòng)中，風(fēng)險(xiǎn)評(píng)估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞，隨后該單位在風(fēng)險(xiǎn)處理時(shí)選擇了關(guān)閉FTP服務(wù)的處理措施，請(qǐng)問(wèn)該措施屬于哪種風(fēng)險(xiǎn)處理方式()A、風(fēng)險(xiǎn)降低B、風(fēng)險(xiǎn)規(guī)避C、風(fēng)險(xiǎn)轉(zhuǎn)移D、風(fēng)險(xiǎn)接受【正確答案】：B解析：

關(guān)閉FTP服務(wù)屬于風(fēng)險(xiǎn)規(guī)避93.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于。A、明文B、密文C、密鑰D、信道【正確答案】：C解析：

柯克霍夫原則：密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。94.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是A、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本D、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題【正確答案】：C解析：

統(tǒng)一采用Windows8系統(tǒng)對(duì)軟件安全無(wú)幫助。95.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是()。A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

TCP/IP協(xié)議模型自上而下分別是:應(yīng)用層、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層96.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認(rèn)證碼D、身份認(rèn)證【正確答案】：C解析：

ABD都是是公鑰密碼應(yīng)用的范疇。97.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是()A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式，應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效‘的原則開(kāi)展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)管貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

自評(píng)為主，檢查為輔98.在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中部署防火墻，往往用于提高內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。某公司準(zhǔn)備部署一臺(tái)防火墻來(lái)保護(hù)內(nèi)網(wǎng)主機(jī)，下列選項(xiàng)中部署位置正確的是()A、內(nèi)網(wǎng)主機(jī)——交換機(jī)——防火墻——外網(wǎng)B、防火墻——內(nèi)網(wǎng)主機(jī)——交換機(jī)——外網(wǎng)C、內(nèi)網(wǎng)主機(jī)——防火墻——交換機(jī)——外網(wǎng)D、防火墻——交換機(jī)——內(nèi)網(wǎng)主機(jī)——外網(wǎng)【正確答案】：A解析：

防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)邊界。99.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPsec)協(xié)議說(shuō)法錯(cuò)誤的是()。A、Ipse僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性B、驗(yàn)證頭協(xié)議(AuthenticationHead，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作C、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議(InternetProtocol，IP)包，包括IP頭D、在傳送模式中，保護(hù)的是IP負(fù)載【正確答案】：A解析：

IPsec協(xié)議中通過(guò)封裝安全載荷協(xié)議加密需要保護(hù)的載荷數(shù)據(jù)，為這些數(shù)據(jù)提供機(jī)密性和完整性保護(hù)能力。100.某單位需要開(kāi)發(fā)一個(gè)網(wǎng)站，為了確保開(kāi)發(fā)出安全的軟件。軟件開(kāi)發(fā)商進(jìn)行了OA系統(tǒng)的威脅建模，根據(jù)威脅建模，SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個(gè)屬于修改設(shè)計(jì)消除威脅的做法()A、在編碼階段程序員進(jìn)行培訓(xùn)，避免程序員寫(xiě)出存在漏洞的代碼B、對(duì)代碼進(jìn)行嚴(yán)格檢查，避免存在SQL注入漏洞的腳本被發(fā)布C、使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁(yè)面D、在網(wǎng)站中部署防SQL注入腳本，對(duì)所有用戶提交數(shù)據(jù)進(jìn)行過(guò)濾【正確答案】：C解析：

A項(xiàng)是加強(qiáng)安全培訓(xùn)，B和D是進(jìn)行安全加固，只有C是修改了設(shè)計(jì)。101.老王是某政府信息中心主任。以下哪項(xiàng)項(xiàng)目是符合《保守國(guó)家秘密法》要求的()A、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級(jí)標(biāo)志B、老王提出對(duì)加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用C、老王安排下屬小李將損害的涉密計(jì)算機(jī)的某國(guó)外品牌硬盤(pán)送到該品牌中國(guó)區(qū)維修中心修理D、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫(kù)【正確答案】：B解析：

保密設(shè)施、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運(yùn)行(三同步)。P57頁(yè)，A項(xiàng)非涉密計(jì)算機(jī)不應(yīng)貼涉密標(biāo)識(shí)，C涉密計(jì)算機(jī)應(yīng)送往有涉密資質(zhì)的維修中心，D項(xiàng)目涉密計(jì)算機(jī)不上網(wǎng)。102.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識(shí)，小王對(duì)這三種備份方式進(jìn)行對(duì)比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B解析：

全部備份是對(duì)整個(gè)系統(tǒng)所有文件進(jìn)行完全備份，包括所有系統(tǒng)和數(shù)據(jù)；增量備份是每次備份的數(shù)據(jù)相當(dāng)于上一次備份后增加和修改過(guò)的數(shù)據(jù)；差分備份是每次備份的數(shù)據(jù)是相對(duì)于上一次全備份之后新增加和修改過(guò)的數(shù)據(jù)。所以單獨(dú)就該題來(lái)說(shuō)，如果采用的是完全備份方式，數(shù)據(jù)丟失后只需要恢復(fù)最近的一次完全

備份的數(shù)據(jù)；如果采用的是差分備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)和最近一次差分備份的數(shù)據(jù)；如果采用的是增量備份方式，則需要恢復(fù)最近一次完全備份的數(shù)據(jù)，以及后面一次次增量備份的數(shù)據(jù)。所以對(duì)比起來(lái)，完全備份方式恢復(fù)起來(lái)最快，增量最慢。103.PKI的主要理論基礎(chǔ)是()。A、摘要算法B、對(duì)稱密碼算法C、量子密碼D、公鑰密碼算法【正確答案】：D解析：

PKI(公鑰基礎(chǔ)設(shè)施)，也稱公開(kāi)密鑰基礎(chǔ)設(shè)施。P286頁(yè)。104.一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰5部分組成,而其安全性是由下列哪個(gè)選項(xiàng)決定的()。A、加密和解密算法B、解密算法C、密鑰D、加密算法【正確答案】：C解析：

系統(tǒng)的保密性不依賴于加密體制和算法的保密,而依賴于密。P271頁(yè)。105.張主任的計(jì)算機(jī)使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang,張主任給他個(gè)人文件夾設(shè)置了權(quán)限為只有zhang這個(gè)用戶有權(quán)訪問(wèn)這個(gè)目錄，管理員在某次維護(hù)中無(wú)意將zhang這個(gè)用戶刪除了，隨后又重新建了一個(gè)用戶名為zhang，張主任使用zhang這個(gè)用戶登陸系統(tǒng)后，發(fā)現(xiàn)無(wú)法訪問(wèn)他原來(lái)的個(gè)人文件夾，原因是()A、任何一個(gè)新建用戶都需要經(jīng)過(guò)授權(quán)才能訪問(wèn)系統(tǒng)中的文件B、windows不認(rèn)為新建立的用戶zhang與原來(lái)的用戶zhang是同一個(gè)用戶，因此無(wú)權(quán)訪問(wèn)C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會(huì)自動(dòng)刪除，新建用戶找不到原來(lái)用戶的文件夾，因此無(wú)法訪問(wèn)D、新建的用戶zhang會(huì)繼承原來(lái)用戶的權(quán)限，之所以無(wú)權(quán)訪問(wèn)時(shí)因?yàn)槲募A經(jīng)過(guò)了加密【正確答案】：B解析：

用戶的真正標(biāo)識(shí)是SID，系統(tǒng)根據(jù)SID來(lái)判斷是否是同一個(gè)用戶，新建用戶名雖然相

同，但是SID不同，所以系統(tǒng)認(rèn)為不是同一個(gè)用戶。106.關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是：A、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本【正確答案】：C解析：

設(shè)計(jì)階段是發(fā)現(xiàn)和改正問(wèn)題的最佳階段。107.若一個(gè)組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)()A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

P103-128頁(yè)。108.下面的角色對(duì)應(yīng)的信息安全職責(zé)不合理的是：A、高級(jí)管理層——最終責(zé)任B、信息安全部門(mén)主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計(jì)人員——檢查安全策略是否被遵從【正確答案】：B解析：

通常由管理層提供各種信息安全工作必須的資源。109.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過(guò)部署安全控制措施消滅了風(fēng)險(xiǎn)B、是否可以抵抗大部分風(fēng)險(xiǎn)C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)【正確答案】：D解析：

判斷風(fēng)險(xiǎn)控制的標(biāo)準(zhǔn)是風(fēng)險(xiǎn)是否控制在接受范圍內(nèi)。110.建立并完善()是有效應(yīng)對(duì)社會(huì)工程攻擊的方法,通過(guò)()的建立,使得信息系統(tǒng)用戶需要遵循()來(lái)實(shí)施某些操作,從而在一定程度上降低社會(huì)工程學(xué)的影響。例如對(duì)于用戶密碼的修改,由于相應(yīng)管理制度的要求,()需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行,那么來(lái)自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行(),因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。A、信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會(huì)工程學(xué)攻擊B、信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會(huì)工程學(xué)攻擊C、安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會(huì)工程學(xué)攻擊D、信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會(huì)工程學(xué)攻擊【正確答案】：A111.下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是：A、信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”?！菊_答案】：D解析：

正確描述是從內(nèi)而外，自上而下，從端到邊界的防護(hù)能力。112.某單位在進(jìn)行內(nèi)部安全評(píng)估時(shí)，安全員小張使用了單位采購(gòu)的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報(bào)告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報(bào)告在內(nèi)部審計(jì)時(shí)被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購(gòu)于三年前，服務(wù)已經(jīng)過(guò)期，漏洞庫(kù)是半年前最后一次更新的。關(guān)于內(nèi)部審計(jì)人員對(duì)這份報(bào)告的說(shuō)法正確的是()A、內(nèi)部審計(jì)人員的質(zhì)疑是對(duì)的，由于沒(méi)有更新漏洞庫(kù)，因此這份漏洞掃描報(bào)告準(zhǔn)確性無(wú)法保證B、內(nèi)部審計(jì)人員質(zhì)疑是錯(cuò)的，漏洞掃描軟件是正版采購(gòu)，因此掃描結(jié)果是準(zhǔn)確的C、內(nèi)部審計(jì)人員的質(zhì)疑是正確的，因?yàn)槁┒磼呙鑸?bào)告是軟件提供，沒(méi)有經(jīng)過(guò)人為分析，因此結(jié)論不會(huì)準(zhǔn)確D、內(nèi)部審計(jì)人員的質(zhì)疑是錯(cuò)誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃

描結(jié)果是準(zhǔn)確的【正確答案】：A解析：

漏洞庫(kù)半年不更新又可能會(huì)漏報(bào)一些最新的漏洞。113.以下哪一項(xiàng)不是我國(guó)信息安全保障的原則：A、立足國(guó)情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國(guó)情，以我為主，堅(jiān)持以技術(shù)和管理并重。114.()攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊,大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過(guò)()才能實(shí)施成功的。即使是最簡(jiǎn)單的“直接攻擊”也需要進(jìn)行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個(gè)身份需要的()A、社會(huì)工程學(xué):精心策劃;前期的準(zhǔn)備;偽裝的身份;一些特征B、精心策劃;社會(huì)工程學(xué);前期的準(zhǔn)備;偽裝的身份;一些特征C、精心策劃;社會(huì)工程學(xué);偽裝的身份;前期的準(zhǔn)備:一些特征D、社會(huì)工程學(xué);偽裝的身份;精心策劃;前期的準(zhǔn)備;一些特征【正確答案】：A解析：

P221頁(yè)115.即時(shí)通訊安全是移動(dòng)互聯(lián)網(wǎng)時(shí)代每個(gè)用戶和組織機(jī)構(gòu)都應(yīng)該認(rèn)真考慮的問(wèn)題,特別對(duì)于使用即時(shí)通訊進(jìn)行工作交流和協(xié)作的組織機(jī)構(gòu)。安全使用即時(shí)通訊應(yīng)考慮許多措施,下列措施中錯(cuò)誤的是()A、如果經(jīng)費(fèi)許可,可以使用自建服務(wù)器的即時(shí)通訊系統(tǒng)B、在組織機(jī)構(gòu)安全管理體系中制定相應(yīng)安全要求,例如禁止在即時(shí)通訊中傳輸敏感及以上級(jí)別的文檔;建立管理流程及時(shí)將離職員工移除等C、選擇在設(shè)計(jì)上已經(jīng)為商業(yè)應(yīng)用提供安全防護(hù)的即時(shí)通訊軟件,例如提供傳輸安全性保護(hù)等即時(shí)通訊D、涉及重要操作包括轉(zhuǎn)賬無(wú)需方式確認(rèn)【正確答案】：D解析：

D項(xiàng)常識(shí)性錯(cuò)誤。116.數(shù)據(jù)庫(kù)的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是()。A、粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度B、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作C、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分D、最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息【正確答案】：D解析：

數(shù)據(jù)庫(kù)安全一般遵循最小化原則。117.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問(wèn)、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。

該目標(biāo)可以通過(guò)以下控制措施來(lái)實(shí)現(xiàn)，不包括哪一項(xiàng)A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問(wèn)、交接區(qū)安全D、人力資源安全【正確答案】：D解析：

D和物理環(huán)境安全無(wú)關(guān)。118.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動(dòng)是：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A119.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分