核工業(yè)知識(shí)練習(xí)題 樣卷復(fù)習(xí)試題含答案

第頁核工業(yè)知識(shí)練習(xí)題樣卷復(fù)習(xí)試題含答案1.615.以下哪項(xiàng)是《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的總體方針和要求？A、堅(jiān)持積極攻擊、綜合防范的方針B、全面提高信息安全防護(hù)能力C、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全D、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)工業(yè)化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全【正確答案】：C2.454.以下哪些問題或概念不是公鑰密碼體制中經(jīng)常使用到的困難問題?A、、大整數(shù)分解B、、離散對(duì)數(shù)問題C、、背包問題D、、偽隨機(jī)數(shù)發(fā)生器【正確答案】：D3.110.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險(xiǎn)B、是否可以抵抗大部分風(fēng)險(xiǎn)C、是否建立了具有自適應(yīng)能力的信息安全模型保密D、是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)【正確答案】：D解析：

解釋：判斷風(fēng)險(xiǎn)控制的標(biāo)準(zhǔn)是風(fēng)險(xiǎn)是否控制在接受范圍內(nèi)。4.375.某黑客通過分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒，為防范此類社會(huì)工程學(xué)攻擊，報(bào)社不需要做的是（）A、加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力，了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告C、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)【正確答案】：D5.581.1993年至1996年，歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個(gè)供歐美各國通用的信息安全評(píng)估標(biāo)準(zhǔn)，簡稱CC標(biāo)準(zhǔn)，該安全評(píng)估標(biāo)準(zhǔn)的全稱為（）A、《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》B、《信息技術(shù)安全評(píng)估準(zhǔn)則》C、《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》D、《信息技術(shù)安全通用評(píng)估準(zhǔn)則》【正確答案】：D6.411.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B7.286.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：A、項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用【正確答案】：B解析：

解釋：項(xiàng)目管理受項(xiàng)目資源的約束。8.266.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是（）A、、要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)B、、要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)C、、要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D、、要求增加軟件安全測(cè)試環(huán)節(jié)，今早發(fā)現(xiàn)軟件安全問題【正確答案】：A9.355.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）A、、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響事件B、、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對(duì)的保護(hù)，這就使得信息安全事件的發(fā)生是不可能的C、、應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性志專業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B10.59.在入侵檢測(cè)（IDS）的運(yùn)行中，最常見的問題是：（）A、誤報(bào)檢測(cè)B、接收陷阱消息C、誤拒絕率D、拒絕服務(wù)攻擊【正確答案】：A11.81.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

解釋：個(gè)人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。12.626.終端訪問控制器訪問控制系統(tǒng)（TERMINALAccessControllerAccess-ControlSystem,TACACS）,在認(rèn)證過程中，客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器，包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開始時(shí)使用一個(gè)，序列號(hào)永遠(yuǎn)為（）.服務(wù)器收到START包以后，回送一個(gè)REPLY包，表示認(rèn)證繼續(xù)還是結(jié)束。A、0B、1C、2D、4【正確答案】：B解析：

解釋：參考書籍第315頁整段的內(nèi)容抄過來的。這是一個(gè)AAA系統(tǒng)，思科開發(fā)的產(chǎn)品，作為產(chǎn)品了解即可。13.297.關(guān)于我國加強(qiáng)信息安全保障工作的總體要求，以下說法錯(cuò)誤的是：A、堅(jiān)持積極防御、綜合防范的方針B、重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個(gè)人隱私保護(hù)意識(shí)【正確答案】：D14.89.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制保密【正確答案】：B解析：

解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。15.601.美國系統(tǒng)工程專家霍爾（A.D.Hall）在1969年利用機(jī)構(gòu)分析法提出著名的霍爾三維結(jié)構(gòu)，使系統(tǒng)工程的工作階段和步驟更為清晰明了，如圖所示，霍爾三維結(jié)構(gòu)是將系統(tǒng)工程整個(gè)活動(dòng)過程分為前后緊密銜接的（）階段和（）步驟，同時(shí)還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、和知識(shí)維所組成的三維空間結(jié)構(gòu)。A、五個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維B、七個(gè)；七個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維C、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；邏輯維D、七個(gè)；六個(gè)；專業(yè)知識(shí)和技能；時(shí)間維；空間維【正確答案】：B16.354.小牛在對(duì)某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理風(fēng)險(xiǎn)，請(qǐng)問這種風(fēng)險(xiǎn)處置的方法是（）A、、降低風(fēng)險(xiǎn)B、、規(guī)避風(fēng)險(xiǎn)C、、放棄風(fēng)險(xiǎn)D、、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B17.572.下列信息安全評(píng)估標(biāo)準(zhǔn)中，哪一個(gè)是我國信息安全評(píng)估的國家標(biāo)準(zhǔn)？（）A、TCSEC標(biāo)準(zhǔn)B、CC標(biāo)準(zhǔn)C、F標(biāo)準(zhǔn)D、ITSEC標(biāo)準(zhǔn)【正確答案】：B解析：

CC標(biāo)準(zhǔn)，即通用評(píng)估準(zhǔn)則（CommonCriteria），是國際公認(rèn)的信息安全評(píng)估標(biāo)準(zhǔn)，也被我國采納為國家標(biāo)準(zhǔn)，用于對(duì)信息技術(shù)產(chǎn)品和系統(tǒng)的安全性進(jìn)行評(píng)估。18.17.（）第23條規(guī)定存儲(chǔ)、處理國家機(jī)秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)），按照（）實(shí)行分級(jí)保護(hù)，（）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。（）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定，經(jīng)（）后方可投入使用。A、·《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格C、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A19.119.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測(cè)控制設(shè)備：A、是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ?，但要求更多的開銷B、是必須的，可以為預(yù)防控制的功效提供檢測(cè)C、是可選的，可以實(shí)現(xiàn)深度防御D、在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制功能已經(jīng)足夠【正確答案】：C20.507.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶隱私保護(hù)，以下關(guān)于用戶隱私保護(hù)的說法錯(cuò)誤的是？A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給客戶選擇是否允許C、用戶提交的用戶名和密碼屬于隱私數(shù)據(jù)，其他都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C21.161.為推動(dòng)和規(guī)范我國信息安全等級(jí)保護(hù)工作，我國制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級(jí)保護(hù)工作的工作階段大致分類。下面四個(gè)標(biāo)準(zhǔn)中，（）規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)、對(duì)象、流程、方法及等級(jí)變更等內(nèi)容。A、GB／T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B、GB／T22240-2008《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》C、GB／T25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D、GB／T20269-2006《信息系統(tǒng)安全管理要求》【正確答案】：B解析：

解釋：答案為B。22.439.信息安全是國家安全的重要組成部分，綜合研究當(dāng)前世界各國信息安全保障工作，下面總結(jié)錯(cuò)誤的是（）A、、各國普遍將與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)B、、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件C、、各國普遍加強(qiáng)國際交流與對(duì)話，均同意建立一致的安全保障系統(tǒng)，強(qiáng)化各國安全系統(tǒng)互通D、、各國普遍積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測(cè)評(píng)【正確答案】：C23.125.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A解析：

解釋：信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估（自查）為主。24.466.下面哪種方法產(chǎn)生的密碼是最難記憶的？A、將用戶的生日倒轉(zhuǎn)或是重排B、將用戶的年薪倒轉(zhuǎn)或是重排C、將用戶配偶的名字倒轉(zhuǎn)或是重排D、用戶隨機(jī)給出的字母【正確答案】：D25.43.在Linux系統(tǒng)中，下列哪項(xiàng)內(nèi)容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令明文C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B26.346.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測(cè)到來自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過防火墻的攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。但入侵檢測(cè)技術(shù)不能實(shí)現(xiàn)以下哪種功能（）。A、檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)B、核查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識(shí)別違反安全策略的用戶活動(dòng)【正確答案】：C27.106.關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯(cuò)誤的是：A、在軟件開發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測(cè)修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本【正確答案】：C28.165.微軟SDL將軟件開發(fā)生命周期制分為七個(gè)階段，并列出了十七項(xiàng)重要的安全活動(dòng)。其中“棄用不安全的函數(shù)”屬于（）的安全活動(dòng)A、要求階段B、設(shè)計(jì)階段C、實(shí)施階段D、驗(yàn)證階段【正確答案】：C29.170.金女士經(jīng)常通過計(jì)算機(jī)在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項(xiàng)是不好的習(xí)慣：A使用專用上網(wǎng)購物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件，應(yīng)用軟件進(jìn)行升級(jí)B為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)【正確答案】：A解析：

解釋：A為正確答案。30.459.操作系統(tǒng)安全的基礎(chǔ)是建立在：A、安全安裝B、安全配置C、安全管理D、以上都對(duì)【正確答案】：D31.64.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號(hào)明確了我國信息安全保障工作的（）,是加強(qiáng)信息安全保障工作的()，需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是。它標(biāo)志著我國信息安全保障工作有了（），我國最近十余年的信息安全保障工作都是圍繞此政策性文件來()的、促進(jìn)了我國（）的各項(xiàng)工作。A、方針:主要原則:總體綱領(lǐng):展開和推進(jìn):信息安全保障建設(shè)B、總體要求:總體綱領(lǐng):主要原則:展開:信息安全保障建設(shè)C、方針和總體要求:主要原則:總體綱領(lǐng):展開和推進(jìn):信息安全保障建設(shè)D、總體要求:主要原則:總體綱領(lǐng):展開:信息安全保障建設(shè)【正確答案】：B解析：27號(hào)文標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)。32.98.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：A、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中B、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間【正確答案】：A解析：

解釋：在多重備份存儲(chǔ)情況下，可以防護(hù)日志被篡改的攻擊（前提非實(shí)時(shí)同步）。33.162.某移動(dòng)智能終端支持通過指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是：A、所選擇的特征（指紋）便于收集、測(cè)量和比較B、每個(gè)人所擁有的指紋都是獨(dú)一無二的C、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成【正確答案】：C34.493．對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝（），運(yùn)行系統(tǒng)要化安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼，不安裝開發(fā)代碼和（），應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員，根據(jù)合適的（），進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新；必要時(shí)在管理者批準(zhǔn)情況下，僅為了支持目的才授予供應(yīng)商物理或邏輯訪問權(quán)，并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能安裝何種類型的軟件，組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用（）。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反（）。A、控制規(guī)程；編譯程序；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)B、編譯程序；控制規(guī)程；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)C、控制規(guī)程；管理授權(quán)；編譯程序；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)D、控制規(guī)程；最小特權(quán)方針；編譯程序；管理授權(quán)；知識(shí)產(chǎn)權(quán)【正確答案】：A解析：

在操作系統(tǒng)軟件安裝方面，建立控制規(guī)程能夠保障安裝的規(guī)范性和安全性。運(yùn)行系統(tǒng)應(yīng)安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼而非開發(fā)代碼和編譯程序。更新操作需由受過培訓(xùn)的管理員依據(jù)管理授權(quán)進(jìn)行。對(duì)于用戶軟件安裝類型應(yīng)按最小特權(quán)方針定義并執(zhí)行嚴(yán)格方針。不受控的安裝易導(dǎo)致諸多問題并違反知識(shí)產(chǎn)權(quán)。綜合分析，選項(xiàng)A正確。35.353.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為400萬元人民幣，暴露系數(shù)是25%，年度發(fā)生率為0.2，那么小王計(jì)算的年度預(yù)期損失應(yīng)該是（）A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣D、180萬元人民幣【正確答案】：C解析：

解釋：根據(jù)ALE=SLE*ARO=AV*EF*ARO的公式進(jìn)行計(jì)算。36.469.優(yōu)秀源代碼審核工具有哪些特點(diǎn)（）１安全性２多平臺(tái)性３可擴(kuò)民性４知識(shí)性５集成性A、12345B、234C、1234D、23【正確答案】：A解析：

解答：/question/140265005276882645.html，百度知道的回答，一.可理解性、二.可靠性、三.可測(cè)試性、四.可修改性、五.可移植性、六.效率、七.可使用性。37.284.傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說法，哪個(gè)是正確的?A、相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途B、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)C、TP協(xié)議具有流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制，因此TP協(xié)議能完全替代IP協(xié)議D、TCP協(xié)議雖然高可靠，但是相比UP協(xié)議機(jī)制過于復(fù)雜，傳輸效率要比UP低【正確答案】：D解析：

TCP協(xié)議具有高可靠性，通過流量控制、數(shù)據(jù)校驗(yàn)、超時(shí)重發(fā)、接收確認(rèn)等機(jī)制確保了數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和完整性。然而，這些機(jī)制也增加了TCP協(xié)議的復(fù)雜性和處理開銷，導(dǎo)致其傳輸效率相比UDP協(xié)議要低。UDP協(xié)議則更側(cè)重于數(shù)據(jù)傳輸?shù)乃俣群托剩惶峁┫馮CP那樣的可靠性保障。因此，TCP協(xié)議和UDP協(xié)議各有優(yōu)缺點(diǎn)，適用于不同的應(yīng)用場景。選項(xiàng)D準(zhǔn)確地描述了TCP協(xié)議相對(duì)于UDP協(xié)議的特點(diǎn)。38.408.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是（）A、CL是Bell-LPdul模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便C、AL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D、ACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限較為簡單【正確答案】：D解析：

在自主訪問控制模型（DAC）中，訪問控制列表（ACL）是在客體上附加一個(gè)主體明細(xì)表來表示訪問控制矩陣的。這種方式通常使用由客體指向的鏈表來存儲(chǔ)相關(guān)數(shù)據(jù)。分析各選項(xiàng)：39.462.小李是某公司系統(tǒng)規(guī)劃師，某天他針對(duì)公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設(shè)規(guī)劃圖，如下圖所示。請(qǐng)問這個(gè)圖形是依據(jù)下面哪個(gè)模型來繪制的（）A、PDRB、PPDRC、PDAD、IATF【正確答案】：B解析：

根據(jù)題目描述，小李繪制的系統(tǒng)安全建設(shè)規(guī)劃圖所依據(jù)的模型是PPDR。PPDR模型包括四個(gè)主要部分：保護(hù)（Protection）、預(yù)防（Prevention）、檢測(cè)（Detection）和響應(yīng)（Response）。這一模型為信息系統(tǒng)的安全建設(shè)提供了一個(gè)全面的框架，涵蓋了從預(yù)防措施到檢測(cè)與響應(yīng)的各個(gè)環(huán)節(jié)，確保了系統(tǒng)安全性的全面提升。40.504．風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將（）始終控制在可接愛的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）和（）四種方式。A、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估的結(jié)果；降低；規(guī)避；轉(zhuǎn)移；接受B、風(fēng)險(xiǎn)評(píng)估的結(jié)果；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受C、風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)；降低；規(guī)避；轉(zhuǎn)移；接受D、風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；降低；規(guī)避；轉(zhuǎn)移；接受【正確答案】：B41.489．信息安全是通過實(shí)施一組合適的（）而達(dá)到的，包括策略、過程、規(guī)程、（）以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的（）過程，以確保滿足該組織的特定安全和（）。這個(gè)過程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A、信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過程B、組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程C、控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程D、控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過程【正確答案】：C42.254.關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)（ISO/IEC27001:2013）而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）請(qǐng)問，這兩個(gè)標(biāo)準(zhǔn)的關(guān)系是：A、IDT(等同采用)，此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B、EQV(等效采用)，此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)C、NEQ（非等效采用），此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較【正確答案】：D43.576.組織應(yīng)依照已確定的訪問控制策略限制對(duì)信息和（）功能的訪問。對(duì)訪問的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求，訪問控制策略還要與組織訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和（）時(shí)，宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用，應(yīng)加以限制并（）。對(duì)程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存，可以通過這種代碼的中央存儲(chǔ)控制來實(shí)現(xiàn)，更好的是放在()中。A、應(yīng)用系統(tǒng)；身份驗(yàn)證；嚴(yán)格控制；保密性；源程序庫B、身份驗(yàn)證；應(yīng)用系統(tǒng)；嚴(yán)格控制；保密性；源程序庫C、應(yīng)用系統(tǒng)；嚴(yán)格控制；身份驗(yàn)證；保密性；源程序庫D、應(yīng)用系統(tǒng)；保密性；身份驗(yàn)證；嚴(yán)格控制；源程序庫【正確答案】：A44.309.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，我國有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤的是()。A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評(píng)估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來實(shí)施D、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行【正確答案】：C解析：

解釋：自評(píng)估可以委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來實(shí)施。45.180.以下Windows系統(tǒng)的賬號(hào)存儲(chǔ)管理機(jī)制SAM（SecurityAccountsManager）的說法哪個(gè)是正確的：A、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有System賬號(hào)才能訪問，具有較高的安全性【正確答案】：D解析：

解釋：D為正確答案。46.497．建立并完善（）是有效應(yīng)對(duì)社會(huì)工程攻擊的方法，通過（）的建立，使得信息系統(tǒng)用戶需要遵循（）來實(shí)施某些操作，從而在一定程度上降低社會(huì)工程學(xué)的影響。例如對(duì)于用戶密碼的修改，由于相應(yīng)管理制度的要求，（）需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行，那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行（），因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施。A、信息安全管理體系；安全管理制度；規(guī)范；網(wǎng)絡(luò)管理員；社會(huì)工程學(xué)攻擊B、信息安全管理體系；安全管理制度；網(wǎng)絡(luò)管理員；規(guī)范；社會(huì)工程學(xué)攻擊C、安全管理制度；信息安全管理體系；規(guī)范；網(wǎng)絡(luò)管理員；社會(huì)工程學(xué)攻擊D、信息安全管理體系；網(wǎng)絡(luò)管理員；安全管理制度；規(guī)范；社會(huì)工程學(xué)攻擊【正確答案】：A解析：

建立信息安全管理體系是有效應(yīng)對(duì)社會(huì)工程攻擊的方法之一，安全管理制度是體系的一部分，這些制度可以規(guī)范用戶在信息系統(tǒng)中的操作，從而降低社會(huì)工程學(xué)的影響。在具體操作中，網(wǎng)絡(luò)管理員需要根據(jù)規(guī)范來實(shí)施某些操作。例如在修改用戶密碼時(shí)，網(wǎng)絡(luò)管理員需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)，以防止外部攻擊偽裝成內(nèi)部工作人員進(jìn)行社會(huì)工程學(xué)攻擊。因此，選項(xiàng)A是正確答案。47.78.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

解釋：實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。48.586.下列選項(xiàng)分別是四種常用的資產(chǎn)評(píng)估方法，哪個(gè)是目前采用最為廣泛的資產(chǎn)評(píng)估方法（）。A、基于知識(shí)的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D49.376.2016年9月，一位安全研究人員在GoogleCloudIP上通過掃描，發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊(cè)日期與編號(hào)、正黨代名和密碼，以防止攻擊者利用以上信息進(jìn)行（）攻擊。A、、默認(rèn)口令B、、字典C、、暴力D、、XSS【正確答案】：B解析：

字典攻擊是一種通過嘗試使用預(yù)定義的字典中的單詞或短語來破解密碼的攻擊方式。在這個(gè)場景中，攻擊者獲取了選民數(shù)據(jù)庫中的大量個(gè)人信息，包括姓名、電子郵箱地址、正黨代名和密碼等。這些信息可以被用來構(gòu)建或優(yōu)化字典，從而增加字典攻擊的成功率。因此，為了防止攻擊者利用這些信息進(jìn)行字典攻擊，必須加強(qiáng)數(shù)據(jù)庫的安全防護(hù)。50.413.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D51.348.以下哪一項(xiàng)不是常見威脅對(duì)應(yīng)的消減措施：A、假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗(yàn)證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C52.394.實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高，常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖，小王作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這說法屬于下列選項(xiàng)中的（）A、實(shí)體所知的鑒別方法B、實(shí)體所有的鑒別方法C、實(shí)體特征的鑒別方法D、實(shí)體所見的鑒別方法【正確答案】：C53.629.信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標(biāo)準(zhǔn)要求組織通過確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的（）.A、信息安全方針；標(biāo)準(zhǔn)；文件；管理體系；保證程度B、標(biāo)準(zhǔn)；文件；信息安全方針；管理體系；保證程度C、標(biāo)準(zhǔn)；信息安全方針；文件；管理體系；保證程度D、標(biāo)準(zhǔn)；管理體系；信息安全方針；文件；保證程度【正確答案】：C54.493．對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝（），運(yùn)行系統(tǒng)要化安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼，不安裝開發(fā)代碼和（），應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員，根據(jù)合適的（），進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新；必要時(shí)在管理者批準(zhǔn)情況下，僅為了支持目的才授予供應(yīng)商物理或邏輯訪問權(quán)，并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能安裝何種類型的軟件，組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針，宜使用（）。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露；整體性損失或其他信息安全事件或違反（）。A、控制規(guī)程；編譯程序；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)B、編譯程序；控制規(guī)程；管理授權(quán)；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)C、控制規(guī)程；管理授權(quán)；編譯程序；最小特權(quán)方針；知識(shí)產(chǎn)權(quán)D、控制規(guī)程；最小特權(quán)方針；編譯程序；管理授權(quán)；知識(shí)產(chǎn)權(quán)【正確答案】：A55.375.某黑客通過分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒，為防范此類社會(huì)工程學(xué)攻擊，報(bào)社不需要做的是（）A、、加強(qiáng)信息安全意識(shí)培訓(xùn)，提高安全防范能力，了解各種社會(huì)工程學(xué)攻擊方法，防止受到此類攻擊B、、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施，當(dāng)員工受到社會(huì)工程學(xué)的攻擊，應(yīng)當(dāng)及時(shí)報(bào)告C、、教育員工注重個(gè)人隱私保護(hù)D、、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)【正確答案】：D56.519.近幾年,無線通信技術(shù)迅猛發(fā)展,廣泛應(yīng)用于各個(gè)領(lǐng)域。而無線信道是一個(gè)開放性信道,它在賦予無線用戶通信自由的同時(shí)也給無線通信網(wǎng)絡(luò)帶來一些不安全因素,下列選項(xiàng)中,對(duì)無線通信技術(shù)的安全特點(diǎn)描述正確的是（）A、無線信道是一個(gè)開放信道,任何具有適當(dāng)無線設(shè)備的人均可以通過搭線竊聽而獲得網(wǎng)絡(luò)通信內(nèi)容B、通過傳輸流分析,攻擊者可以掌握精確的通信內(nèi)容C、對(duì)于無線局域網(wǎng)絡(luò)和無線個(gè)人區(qū)域網(wǎng)絡(luò)來說,它們的通信內(nèi)容更容易被竊聽D、群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容【正確答案】：C57.357.若一個(gè)組織聲稱自己的ISMS符合ISO/TEC27001或GB22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，不包括哪一項(xiàng)（）A、、信息安全方針、信息安全組織、資產(chǎn)管理B、、人力資源安全、物理和環(huán)境安全、通信和操作管理C、、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性D、、規(guī)劃與建立ISMS【正確答案】：D解析：

ISO/IEC27001和GB/T22080是信息安全管理系統(tǒng)（ISMS）的標(biāo)準(zhǔn)，它們?cè)敿?xì)規(guī)定了組織應(yīng)實(shí)施的信息安全控制措施。這些控制措施通常涵蓋信息安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制，以及信息系統(tǒng)獲取、開發(fā)和維護(hù)等多個(gè)方面。規(guī)劃與建立ISMS是ISMS建設(shè)的初期階段，而不是信息安全控制措施常規(guī)控制的一部分。因此，當(dāng)一個(gè)組織聲稱其ISMS符合這些標(biāo)準(zhǔn)要求時(shí)，其信息安全控制措施不包括規(guī)劃與建立ISMS本身，而是集中在已建立ISMS的持續(xù)運(yùn)行和改進(jìn)上。58.28.某單位需要開發(fā)一個(gè)網(wǎng)站，為了確保開發(fā)出安全的軟件。軟件開發(fā)商進(jìn)行了OA系統(tǒng)的威脅建模，根據(jù)威脅建模，SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個(gè)屬于修改設(shè)計(jì)消除威脅的做法（）A、在編碼階段程序員進(jìn)行培訓(xùn)，避免程序員寫出存在漏洞的代碼B、對(duì)代碼進(jìn)行嚴(yán)格檢查，避免存在SQL注入漏洞的腳本被發(fā)布C、使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁面D、在網(wǎng)站中部署防SQL注入腳本，對(duì)所有用戶提交數(shù)據(jù)進(jìn)行過濾【正確答案】：C59.202.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安全防護(hù)考慮的是（）A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登陸的用戶進(jìn)行身份鑒別，只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，增加訪問C、剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)的信息被非授權(quán)的訪問D、機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等【正確答案】：D解析：

解釋：機(jī)房與設(shè)施安全屬于物理安全，不屬于應(yīng)用安全。60.178.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時(shí)，以下說法正確的是：A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C、部署IPseVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPse安全關(guān)聯(lián)（SeurityAuthentiation,SA）資源的消耗D、報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeaer,AH）可以提供數(shù)據(jù)機(jī)密性【正確答案】：C解析：

在部署IPsecVPN時(shí)，對(duì)于IP地址的規(guī)劃是一個(gè)重要考慮因素。通過在分支節(jié)點(diǎn)使用可以聚合的IP地址段，能夠有效地減少IPsec安全關(guān)聯(lián)（SA）資源的消耗。這是因?yàn)镮PsecSA是為每個(gè)獨(dú)特的IP地址對(duì)建立的，使用可聚合的地址段可以減少所需的SA數(shù)量，從而優(yōu)化資源利用。A選項(xiàng)中的MD5算法主要用于數(shù)據(jù)完整性驗(yàn)證，而非提供數(shù)據(jù)加密；B選項(xiàng)中的AES算法是一種加密算法，用于提供數(shù)據(jù)加密而非數(shù)據(jù)完整性驗(yàn)證；D選項(xiàng)中的報(bào)文驗(yàn)證頭協(xié)議（AH）主要用于確保數(shù)據(jù)的完整性和真實(shí)性，但并不提供數(shù)據(jù)機(jī)密性。因此，C選項(xiàng)是正確的。61.264.以下哪項(xiàng)是對(duì)系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容【正確答案】：A62.80.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)?A、滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞B、滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效率更高C、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確D、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多【正確答案】：A63.277.下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令B、攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C、當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D、信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷【正確答案】：C解析：

解釋：C為緩沖區(qū)溢出的正確解釋。64.291.在信息系統(tǒng)設(shè)計(jì)階段，“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過程的哪個(gè)階段?A、背景建立B、風(fēng)險(xiǎn)評(píng)估C、風(fēng)險(xiǎn)處理D、批準(zhǔn)監(jiān)督【正確答案】：C解析：

解釋：“安全產(chǎn)品選擇”是為了進(jìn)行風(fēng)險(xiǎn)處理。65.325.在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測(cè)人員，你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題：A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A66.349.以下關(guān)于模糊測(cè)試過程的說法正確的是：A、模糊測(cè)試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B、為保障安全測(cè)試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測(cè)試C、通過異常樣本重視異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D、對(duì)于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告【正確答案】：C67.136.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

解釋：監(jiān)理從項(xiàng)目招標(biāo)開始到項(xiàng)目的驗(yàn)收結(jié)束，在投資計(jì)劃階段沒有監(jiān)理。68.498.怎樣安全上網(wǎng)不中毒，現(xiàn)在是網(wǎng)絡(luò)時(shí)代了，上網(wǎng)是每個(gè)人都會(huì)做的事，但網(wǎng)絡(luò)病毒一直是比較頭疼的，電腦中毒也比較麻煩。某員工為了防止在上網(wǎng)時(shí)中毒使用了影子系統(tǒng)，他認(rèn)為惡代碼會(huì)通過以下方式傳播，但有一項(xiàng)是安全的，請(qǐng)問是（）A、網(wǎng)頁掛馬B、利用即時(shí)通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中C、Google認(rèn)證過的插件D、垃圾郵件【正確答案】：C69.413.為了能夠合理、有序地處理安全事件，應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低。PDCERF方法論是一種防范使用的方法，其將應(yīng)急響應(yīng)分成六個(gè)階段，如下圖所示，請(qǐng)為圖中括號(hào)空白處選擇合適的內(nèi)容（）A、培訓(xùn)階段B、文檔階段C、報(bào)告階段D、檢測(cè)階段【正確答案】：D70.548.數(shù)據(jù)庫是一個(gè)單位或是一個(gè)應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲(chǔ)的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個(gè)人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點(diǎn)出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲(chǔ)。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對(duì)某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的系統(tǒng),毫無疑問會(huì)成為信息安全的重點(diǎn)防護(hù)對(duì)象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲(chǔ)和安全訪問,對(duì)數(shù)據(jù)庫安全要求不包括下列()A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對(duì)數(shù)據(jù)庫的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等【正確答案】：A71.182.關(guān)于惡意代碼，以下說法錯(cuò)誤的是：A、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征。B、按照運(yùn)行平臺(tái)，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無法單獨(dú)執(zhí)行D、為了對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

解釋：按照運(yùn)行平臺(tái)，惡意代碼可以分為Windows平臺(tái)、Linux平臺(tái)、工業(yè)控制系統(tǒng)等。72.342.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是（）。A、信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施。即包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對(duì)措施B、應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作C、應(yīng)急響應(yīng)是組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括兩部分工作：安全事件發(fā)生時(shí)的正確指揮、事件發(fā)生后全面總結(jié)D、應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性【正確答案】：C解析：

解釋：應(yīng)急響應(yīng)是安全事件發(fā)生前的充分準(zhǔn)備和事件發(fā)生后的響應(yīng)處理。73.329.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫中，請(qǐng)問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則【正確答案】：C74.464.根據(jù)BEII—lapadula模型安全策略，下圖中寫和讀操作正確的是：A、可讀可寫B(tài)、可讀不可寫C、可寫不可讀D、不可讀不可寫【正確答案】：D75.389.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對(duì)組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn)，不包括哪一項(xiàng)A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全【正確答案】：D76.398.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問制定訪問策略，針對(duì)每個(gè)用戶指明能夠訪問的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問。該訪問控制策略屬于以下哪一種：A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C77.58.數(shù)字簽名不能實(shí)現(xiàn)的安全特性為（）A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D78.98.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：A、網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中B、嚴(yán)格設(shè)置We日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長覆蓋時(shí)間、設(shè)置記錄更多信息等D、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間【正確答案】：A解析：

這道題考查應(yīng)對(duì)攻擊者修改日志的策略。在實(shí)際的網(wǎng)絡(luò)環(huán)境中，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到單獨(dú)部署的syslog服務(wù)器中，能有效避免攻擊者獲得系統(tǒng)權(quán)限后對(duì)本地日志的修改。其他選項(xiàng)如嚴(yán)格設(shè)置權(quán)限、調(diào)整日志屬性、獨(dú)立分區(qū)存儲(chǔ)，雖有一定作用，但不能完全防止攻擊者對(duì)本地日志的篡改。所以選擇A選項(xiàng)。79.293.以下哪一項(xiàng)不屬于常見的風(fēng)險(xiǎn)評(píng)估與管理工具：A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具【正確答案】：D80.179.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個(gè)臨時(shí)的，安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是（）A、Specil-purpose.特定、專用用途的B、Proprietary專有的、專賣的C、Private私有的、專有的D、Specific特種的、具體的【正確答案】：C解析：

在虛擬專用網(wǎng)絡(luò)（VPN）的術(shù)語中，字母P代表的是Private，意為私有的、專有的。VPN通過在公共網(wǎng)絡(luò)中建立安全的私有連接，確保數(shù)據(jù)傳輸?shù)乃矫苄院桶踩浴?1.311.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計(jì)算的保密年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)該是()。A、5萬元人民幣B、50萬元人民幣C、2．5萬元人民幣D、25萬元人民幣【正確答案】：A解析：

解釋：計(jì)算方法為200萬*25%*0.1=5萬。82.125.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的規(guī)定，錯(cuò)誤的是：A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程D、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)【正確答案】：A83.472.密碼是一種用來混淆的技術(shù)，使用者希望正常的（可識(shí)別的）信息轉(zhuǎn)變?yōu)闊o法識(shí)別的信息。但這種無法識(shí)別信息部分是可以再加工并恢復(fù)和破解的，小剛是某公司新進(jìn)的員工，公司要求他注冊(cè)一個(gè)公司網(wǎng)站的賬號(hào)，小剛使用一個(gè)安全一點(diǎn)的密碼，請(qǐng)問以下選項(xiàng)中哪個(gè)密碼是最安全（）A、使用和與用戶名相同的口令B、選擇可以在任何字典或語言中找到的口令C、選擇任何和個(gè)人信息有關(guān)的口令D、采取數(shù)字，字母和特殊符號(hào)混合并且易于記憶【正確答案】：D84.213.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度（Ｄｅｆｅｃｔｓ／ＫＬＯＣ）來衡量軟件的安全性，假設(shè)某個(gè)軟件共有２９．６萬行源代碼，總共被檢測(cè)出１４５個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是A、0.00049B、0.049C、0.49D、49【正確答案】：C解析：

解釋：千行代碼缺陷率計(jì)算公式，145/(29.5*10)=0.49。85.115.信息安全等級(jí)保護(hù)要求中，第三級(jí)適用的正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一般損害C、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害D、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害【正確答案】：B解析：

解釋：題目中B為等級(jí)保護(hù)三級(jí)，該考點(diǎn)為等級(jí)保護(hù)定級(jí)指南。86.294.以下說法正確的是：A、驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收B、軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確C、監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見D、軟件測(cè)試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段【正確答案】：C87.347.GaryMcGraw博士及其合作者提出軟件安全BSI模型應(yīng)由三根支柱來支撐，這三個(gè)支柱是（）。A、源代碼審核、風(fēng)險(xiǎn)分析和滲透測(cè)試B、風(fēng)險(xiǎn)管理、安全接觸點(diǎn)和安全知識(shí)C、威脅建模、滲透測(cè)試和軟件安全接觸點(diǎn)D、威脅建模、源代碼審核和模糊測(cè)試【正確答案】：B解析：

解釋：BSI的模型包括風(fēng)險(xiǎn)管理、安全接觸點(diǎn)和安全知識(shí)。88.596.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報(bào)告中，根據(jù)GB/Z20968-2007《信息安全事件分級(jí)分類指南》，該事件的準(zhǔn)確分類和定級(jí)應(yīng)該是（）A、有害程序事件特別重大事件（I級(jí)）B、信息破壞事件重大事件（II級(jí)）C、有害程序事件較大事件（III級(jí)）D、信息破壞事件一般事件(IV級(jí))【正確答案】：D89.569.信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)？（）A、信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度【正確答案】：A90.630.目前應(yīng)用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對(duì)應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙認(rèn)為同事小李從對(duì)應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項(xiàng)例子中有一項(xiàng)不對(duì)，請(qǐng)問是下面哪一項(xiàng)（）A、數(shù)據(jù)訪問權(quán)限B、偽造身份C、釣魚攻擊D、遠(yuǎn)程滲透【正確答案】：C91.325.在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測(cè)人員，你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題：A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

解釋：SSH具備數(shù)據(jù)加密保護(hù)的功能。92.645.在極限測(cè)試過程中，貫穿始終的是()A、單元測(cè)試和集成測(cè)試B、單元測(cè)試和系統(tǒng)測(cè)試C、集成測(cè)試和驗(yàn)收測(cè)試D、集成測(cè)試和系統(tǒng)測(cè)試【正確答案】：C解析：

解答：來源于計(jì)算機(jī)等級(jí)考試-軟件測(cè)評(píng)工程師，考試資料網(wǎng)PPK。其C答案來源于百度題庫。，標(biāo)準(zhǔn)知識(shí)點(diǎn)是單元測(cè)試和驗(yàn)收測(cè)試是其中的重要兩個(gè)過程，C貼近。93.595.在新的信息系統(tǒng)或增強(qiáng)已有()業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。信息安全的系統(tǒng)要求與實(shí)施安全的過程宜在信息系統(tǒng)項(xiàng)目的早期階段被集成，在早期如設(shè)計(jì)階段引入控制措施的更高效和節(jié)省。如果購買產(chǎn)品，則宜遵循一個(gè)正式的（）過程。通過（）訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動(dòng)、合同爭端和信息的泄露或修改。因此要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估并進(jìn)行適當(dāng)?shù)目刂?，包括?yàn)證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的（）。應(yīng)保護(hù)涉及到應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯(cuò)誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的（）。A、披露和修改；信息系統(tǒng)；測(cè)試和獲??；公共網(wǎng)路；復(fù)制或重播B、信息系統(tǒng)；測(cè)試和獲??；披露和修改；公共網(wǎng)路；復(fù)制或重播C、信息系統(tǒng)；測(cè)試和獲?。还簿W(wǎng)路；披露和修改；復(fù)制或重播D、信息系統(tǒng)；公共網(wǎng)路；測(cè)試和獲?。慌逗托薷?；復(fù)制或重播【正確答案】：C94.546.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對(duì)其分類負(fù)責(zé)。分類的結(jié)果表明了(),該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進(jìn)行標(biāo)記并體現(xiàn)其分類,標(biāo)記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。()和元數(shù)據(jù)標(biāo)簽是常見的形式。標(biāo)記應(yīng)易于辨認(rèn),規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo),并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲(chǔ)和()A、敏感性;物理標(biāo)簽;資產(chǎn)的價(jià)值;信息資產(chǎn);交換規(guī)程B、敏感性;信息資產(chǎn);資產(chǎn)的價(jià)值;物理標(biāo)簽;交換規(guī)程C、資產(chǎn)的價(jià)值;敏感性;信息資產(chǎn);物理標(biāo)簽;交換規(guī)程D、敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)物理標(biāo)簽；交換規(guī)程【正確答案】：D解析：

來源于27002標(biāo)準(zhǔn)的原文。95.407.ISO27002（Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進(jìn)變化示意圖，圖中括號(hào)空白處應(yīng)填寫（）A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37【正確答案】：B96.1.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分