信息安全技術(shù)模擬習(xí)題+參考答案

信息安全技術(shù)模擬習(xí)題+參考答案一、單選題（共100題，每題1分，共100分）1.軟件開(kāi)發(fā)生命周期模型不包括A、瀑布模型B、快速原型模型C、線性模型D、迭代模型正確答案：C2.CC將評(píng)估過(guò)程劃分為功能和保證兩個(gè)部分，評(píng)估等級(jí)分為A、7個(gè)等級(jí)B、5個(gè)等級(jí)C、3個(gè)等級(jí)D、4個(gè)等級(jí)正確答案：A3.PKlI的核心是A、數(shù)字證書(shū)B(niǎo)、CAC、RAD、CRL正確答案：A4.下列選項(xiàng)中，不屬于緩沖區(qū)溢出的是()。A、棧溢出B、整數(shù)溢出C、堆溢出D、單字節(jié)溢出正確答案：B答案解析：緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，使得溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，理想的情況是程序檢查數(shù)據(jù)長(zhǎng)度并不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符，但是絕大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的儲(chǔ)存空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱(chēng)為"堆棧"。在各個(gè)操作進(jìn)程之間，指令會(huì)被臨時(shí)儲(chǔ)存在"堆棧”當(dāng)中，"堆棧”也會(huì)出現(xiàn)緩沖區(qū)溢出，單字節(jié)溢出是指程序中的緩沖區(qū)僅能溢出一個(gè)字節(jié)。故選擇B選項(xiàng)。5.關(guān)于GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》的優(yōu)點(diǎn)，說(shuō)法錯(cuò)誤的是A、評(píng)估結(jié)果最終是一個(gè)客觀參考性的結(jié)果，是一個(gè)通過(guò)或者未通過(guò)的聲明，但對(duì)企業(yè)的實(shí)際指導(dǎo)意義很強(qiáng)B、通過(guò)參數(shù)化，解決了安全特性在不同產(chǎn)品與系統(tǒng)之間存在的差異C、不再?gòu)?qiáng)調(diào)功能的級(jí)別，而是強(qiáng)調(diào)保證的級(jí)別，注重非技術(shù)性因素的評(píng)價(jià)D、提倡安全工程的思想，通過(guò)信息安全產(chǎn)品的評(píng)價(jià)，確保產(chǎn)品的安全性正確答案：A6.下列描述中，不屬于身份認(rèn)證手段的是A、基于消息認(rèn)證碼的認(rèn)證B、基于動(dòng)態(tài)短信密碼的認(rèn)證C、基于用戶(hù)名和密碼的認(rèn)證D、基于生物特征的認(rèn)證正確答案：A7.提出軟件安全開(kāi)發(fā)生命周期SDL模型的公司是()。A、微軟B、惠普C、IBMD、思科正確答案：A答案解析：安全開(kāi)發(fā)周期,即SecurityDevelopmentLifecycle(SDL),是微軟提出的從安全角度指導(dǎo)軟件開(kāi)發(fā)過(guò)程的管理模式。微軟于2004年將SDL引入其內(nèi)部軟件開(kāi)發(fā)流程中，目的是減少其軟件中的漏洞的數(shù)量和降低其嚴(yán)重級(jí)別。故選擇A選項(xiàng)。8.信息安全發(fā)展所經(jīng)歷的階段,不包括()。A、網(wǎng)絡(luò)安全階段B、信息安全保障階段C、通信保密階段D、計(jì)算機(jī)安全階段正確答案：A9.Ping命令利用的是A、ICMP協(xié)議B、TCP協(xié)議C、UDP協(xié)議D、SNMP協(xié)議正確答案：A10.UDPFlood攻擊是A、利用拒絕服務(wù)型漏洞發(fā)起的攻擊B、在應(yīng)用層發(fā)起的攻擊C、耗盡目標(biāo)主機(jī)網(wǎng)絡(luò)帶寬的攻擊D、在傳輸層保持長(zhǎng)時(shí)間連接的攻擊正確答案：C11.強(qiáng)制訪問(wèn)控制模型中，屬于保密性模型的是A、Bell-LapudulaB、BibaC、Clark-WilsonD、ChineseWall正確答案：A12.微軟公司安全公告中，危險(xiǎn)等級(jí)最高的漏洞等級(jí)是A、緊急B、警告C、嚴(yán)重D、重要正確答案：C13.有關(guān)RADIUS協(xié)議，下列說(shuō)法錯(cuò)誤的是A、RADIUS協(xié)議提供了完備的丟包處理及數(shù)據(jù)重傳機(jī)制B、RADIUS的審計(jì)獨(dú)立于身份驗(yàn)證和授權(quán)服務(wù)C、RADIUS的審計(jì)服務(wù)使用一個(gè)獨(dú)立的UDP端口進(jìn)行通訊D、RADIUS是一個(gè)客戶(hù)端/服務(wù)器協(xié)議，它運(yùn)行在應(yīng)用層，使用UDP協(xié)議正確答案：A14.信息安全的五個(gè)基本屬性是()。A、機(jī)密性、可用性、可控性、不可否認(rèn)性和安全性B、機(jī)密性、可用性、可控性、不可否認(rèn)性和完整性C、機(jī)密性、可用性、可控性、不可否認(rèn)性和不可見(jiàn)性D、機(jī)密性、可用性、可控性、不可否認(rèn)性和隱蔽性正確答案：B答案解析：信息安全的五個(gè)基本屬性為:可用性(availability)、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可抵賴(lài)性(non-repudiation)。而安全性，不可見(jiàn)性和隱蔽性不屬于信息安全的五個(gè)基本屬性。故選擇B選項(xiàng)。15.將內(nèi)存中敏感區(qū)域設(shè)置為不可執(zhí)行(non-executable)狀態(tài),從而在溢出后即使跳轉(zhuǎn)到惡意代碼的地址，惡意代碼也將無(wú)法運(yùn)行,這種技術(shù)是A、GSB、ASLRC、SEHOPD、DEP正確答案：D16.沒(méi)有采用Feistel網(wǎng)絡(luò)的密碼算法是A、DESB、TwofishC、RC5D、AES正確答案：D17.下列行為沒(méi)有涉嫌違法的是()A、在和朋友的私人交往和通信中涉及企業(yè)秘密的B、在和朋友的私人交往和通信中涉及國(guó)家秘密的C、在和朋友的私人交往和通信中涉及彼此隱私的D、將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)的正確答案：C18.企業(yè)銷(xiāo)售商用密碼產(chǎn)品時(shí),應(yīng)向國(guó)家密碼管理機(jī)構(gòu)申請(qǐng),必需具備的條件是A、要求注冊(cè)資金超過(guò)200萬(wàn)B、有成熟的銷(xiāo)售制度C、有獨(dú)立的法人資格D、企業(yè)已經(jīng)上市正確答案：C19.網(wǎng)絡(luò)23端口對(duì)應(yīng)的協(xié)議為A、FTPB、SMTPC、HTTPD、TELNET正確答案：D20.Diffie-Hellman算法是一種A、密鑰交換協(xié)議B、數(shù)字簽名算法C、訪問(wèn)控制策略D、哈希算法正確答案：A21.TCP的端口號(hào)范圍是A、0-65535B、0-10240C、0-25500D、0-49958正確答案：A22.在數(shù)據(jù)庫(kù)內(nèi)部，有的內(nèi)置函數(shù)和過(guò)程存在嚴(yán)重的安全漏洞，比如緩沖區(qū)溢出漏洞。這些安全漏洞一一個(gè)重要的特征是A、每個(gè)安全漏洞只存在于相應(yīng)的某個(gè)具體版本B、容易被實(shí)施SQL注入攻擊C、內(nèi)部安全檢測(cè)對(duì)其無(wú)效D、以上都不是正確答案：A23.網(wǎng)絡(luò)端口所對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)中，錯(cuò)誤的是A、21端口為FTP服務(wù)B、80端口為HTTP服務(wù)C、23端口為T(mén)ELNET服務(wù)D、110端口為SMTP服務(wù)正確答案：D24.根據(jù)IDS檢測(cè)入侵行為的方式和原理的不同，IDS的檢測(cè)技術(shù)可以分為基于異常檢測(cè)和A、基于誤用檢測(cè)B、基于特征檢測(cè)C、于協(xié)議檢測(cè)D、基于統(tǒng)計(jì)檢測(cè)正確答案：A25.ISMS所體現(xiàn)的思想是A、治理為主B、評(píng)估為主C、預(yù)測(cè)為主D、預(yù)防控制為主正確答案：D26.針對(duì)HeapSpray，Windows系統(tǒng)最好的防范方法是A、開(kāi)啟GSB、開(kāi)啟ASLRC、開(kāi)啟SEHOPD、開(kāi)啟DEP正確答案：D27.下列技術(shù)中，不屬于誘騙式攻擊的是A、網(wǎng)站掛馬B、社會(huì)工程C、釣魚(yú)網(wǎng)站D、注入攻擊正確答案：D28.信息安全管理的主要內(nèi)容，包括A、信息安全管理認(rèn)證、信息安全風(fēng)險(xiǎn)管理和信息安全管理措施三個(gè)部分B、信息安全管理框架和實(shí)施、信息安全風(fēng)險(xiǎn)管理和信息安全管理措施三個(gè)部分C、信息安全管理策略、信息安全風(fēng)險(xiǎn)管理和信息安全管理措施三個(gè)部分D、信息安全管理體系、信息安全風(fēng)險(xiǎn)管理和信息安全管理措施三個(gè)部分正確答案：D29.下列選項(xiàng)中，不屬于應(yīng)急計(jì)劃三元素的是()。A、基本風(fēng)險(xiǎn)評(píng)估B、事件響應(yīng)C、災(zāi)難恢復(fù)D、業(yè)務(wù)持續(xù)性計(jì)劃正確答案：A答案解析：應(yīng)急計(jì)劃三元素是事件響應(yīng)、災(zāi)難恢復(fù)、業(yè)務(wù)持續(xù)性計(jì)劃?；撅L(fēng)險(xiǎn)評(píng)估預(yù)防風(fēng)險(xiǎn),而應(yīng)急計(jì)劃則是當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)采取的措施。故選擇A選項(xiàng)。30.電子認(rèn)證服務(wù)提供者被依法吊銷(xiāo)電子認(rèn)證許可證書(shū)的，其業(yè)務(wù)承接事項(xiàng)的處理按照下列哪個(gè)機(jī)構(gòu)的規(guī)定執(zhí)行()。A、國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)B、公安部信息安全部門(mén)C、國(guó)家安全局D、所在轄區(qū)最高行政機(jī)關(guān)正確答案：A31.下列協(xié)議中，可為電子郵件提供數(shù)字簽名和數(shù)據(jù)加密功能的是()。A、SMTPB、S/MIMEC、SETD、POP3正確答案：B答案解析：SMTP:簡(jiǎn)單郵件傳輸協(xié)議,它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來(lái)控制信件的中轉(zhuǎn)方式。SET:安全電子交易協(xié)議;POP3:郵局協(xié)議的第3個(gè)版本，它是規(guī)定個(gè)人計(jì)算機(jī)如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進(jìn)行收發(fā)郵件的協(xié)議。S/MIME為多用途網(wǎng)際郵件擴(kuò)充協(xié)議，在安全方面的功能又進(jìn)行了擴(kuò)展，它可以把MIME實(shí)體(此如數(shù)字簽名和加密信息等)封裝成安全對(duì)象。故選擇B選32.下列選項(xiàng)中,不能用于產(chǎn)性認(rèn)證碼的是()A、數(shù)字簽名B、哈希函數(shù)C、消息認(rèn)證碼D、消息加密正確答案：A33.下列選項(xiàng)中，誤用檢測(cè)技術(shù)不包括的是()。A、統(tǒng)計(jì)分析B、專(zhuān)家系統(tǒng)C、狀態(tài)轉(zhuǎn)換分析D、模型推理正確答案：A34.當(dāng)用戶(hù)雙擊自己Web郵箱中郵件的主題時(shí)，觸發(fā)了郵件正文頁(yè)面中的XSS漏洞，這種XSS漏洞屬于()。A、反射型XSSB、存儲(chǔ)型XSSC、CSRF-basedXSSD、DOM-basedXSS正確答案：B35.信息安全屬性中，含義是“保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶(hù)篡改”的是()。A、機(jī)密性B、不可否認(rèn)性C、完整性D、可用性正確答案：C36.為了劫持進(jìn)程的控制權(quán)，漏洞利用的核心是利用程序漏洞去執(zhí)行A、shellcodeB、返回地址C、可執(zhí)行程序D、exploit正確答案：A37.下列關(guān)于結(jié)構(gòu)化查詢(xún)語(yǔ)言基本命令的說(shuō)法中，錯(cuò)誤的是()。A、創(chuàng)建基本表的基本命令是CREATEB、插入數(shù)據(jù)的基本命令是INSERTC、修改基本表的基本命令是ALERTD、刪除基本表的基本命令是DELETE正確答案：D38.下列選項(xiàng)中，不屬于木馬隱藏技術(shù)的是A、線程插入B、DLL動(dòng)態(tài)劫持C、RootKit技術(shù)D、反彈端口正確答案：D39.不能通過(guò)消息認(rèn)證技術(shù)解決的攻擊是A、泄密B、計(jì)時(shí)修改C、順序修改D、內(nèi)容修改正確答案：A40.TCSEC將計(jì)算機(jī)系統(tǒng)安全劃分為()。A、三個(gè)等級(jí)七個(gè)級(jí)別B、四個(gè)等級(jí)七個(gè)級(jí)別C、五個(gè)等級(jí)七個(gè)級(jí)別D、六個(gè)等級(jí)七個(gè)級(jí)別正確答案：B41.下列關(guān)于加密算法應(yīng)用范圍的描述中，正確的是A、DSS用于數(shù)字簽名，RSA用于加密和簽名B、DSS用于密鑰交換，IDEA用于加密和簽名C、DSS用于數(shù)字簽名，MD5用于加密和簽名D、DSS用于加密和簽名，MD5用于完整性校驗(yàn)正確答案：A42.信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度，取決于A、受保護(hù)的資產(chǎn)對(duì)安全的依賴(lài)程度和所面臨風(fēng)險(xiǎn)的嚴(yán)重程度B、受保護(hù)的資產(chǎn)對(duì)安全的關(guān)聯(lián)程度和所面臨風(fēng)險(xiǎn)的復(fù)雜程度C、受保護(hù)的資產(chǎn)對(duì)安全的敏感程度和所面臨風(fēng)險(xiǎn)的嚴(yán)重程度D、受保護(hù)的資產(chǎn)對(duì)安全的敏感程度和所面臨風(fēng)險(xiǎn)的復(fù)雜程度正確答案：D43.下列選項(xiàng)中，不屬于非對(duì)稱(chēng)密鑰體制優(yōu)點(diǎn)的是A、可支持?jǐn)?shù)字簽名服務(wù)B、加解密速度快，不需占用較多的資源C、通信方事先不需要通過(guò)保密信道交換密鑰D、可支持身份鑒別正確答案：B答案解析：非對(duì)稱(chēng)密鑰體制是指加密和解密使用不同的密鑰，常見(jiàn)的非對(duì)稱(chēng)密鑰體制有RSA、ECC等。非對(duì)稱(chēng)密鑰體制相對(duì)于對(duì)稱(chēng)密鑰體制具有以下優(yōu)點(diǎn)：A.可支持?jǐn)?shù)字簽名服務(wù)：非對(duì)稱(chēng)密鑰體制可以用于數(shù)字簽名，保證數(shù)據(jù)的完整性和真實(shí)性。C.通信方事先不需要通過(guò)保密信道交換密鑰：非對(duì)稱(chēng)密鑰體制中，加密和解密使用不同的密鑰，通信雙方不需要事先通過(guò)保密信道交換密鑰。D.可支持身份鑒別：非對(duì)稱(chēng)密鑰體制可以用于身份鑒別，保證通信雙方的身份真實(shí)性。B.加解密速度快，不需占用較多的資源：這個(gè)選項(xiàng)是錯(cuò)誤的，非對(duì)稱(chēng)密鑰體制的加解密速度相對(duì)較慢，需要占用較多的資源。綜上所述，選項(xiàng)B不屬于非對(duì)稱(chēng)密鑰體制的優(yōu)點(diǎn)。44.信息安全的發(fā)展大致經(jīng)歷了三個(gè)階段。下列選項(xiàng)中，不屬于這三個(gè)階段的是A、通信保密階段B、計(jì)算機(jī)安全階段C、信息安全保障階段D、互聯(lián)網(wǎng)使用階段正確答案：D答案解析：本題考查的是信息安全的發(fā)展歷程，需要考生對(duì)信息安全的發(fā)展有一定的了解。根據(jù)題目所述，信息安全的發(fā)展大致經(jīng)歷了三個(gè)階段，分別是通信保密階段、計(jì)算機(jī)安全階段和信息安全保障階段。因此，選項(xiàng)A、B、C都屬于信息安全的發(fā)展階段。而選項(xiàng)D“互聯(lián)網(wǎng)使用階段”并不是信息安全的發(fā)展階段，因此選D。45.SYN-Flood屬于A、IP協(xié)議層攻擊B、TCP協(xié)議層攻擊C、UDP協(xié)議層攻擊D、應(yīng)用層協(xié)議攻擊正確答案：B46.CBC是指A、電子密碼本模式B、密碼分組鏈模式C、輸出反饋模式D、密碼反饋模式正確答案：B47.在軟件設(shè)計(jì)初期，就需要按照安全設(shè)計(jì)的原則對(duì)軟件進(jìn)行全面考慮下列不屬于安全設(shè)計(jì)原則的是A、全面防御原則B、最多公用原則C、開(kāi)放設(shè)計(jì)原則D、權(quán)限分開(kāi)原則正確答案：B48.電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書(shū)應(yīng)當(dāng)載明的內(nèi)容,不包括A、證書(shū)有效期B、證書(shū)涉及的私鑰C、證書(shū)持有人名稱(chēng)D、證書(shū)序列號(hào)正確答案：B49.信息安全管理體系評(píng)審程序，不包括A、編制評(píng)審計(jì)劃B、復(fù)核評(píng)審報(bào)告C、準(zhǔn)備評(píng)審資料D、召研評(píng)審會(huì)議正確答案：B50.“一個(gè)大學(xué)管理員在工作中只需要能夠更改學(xué)生的聯(lián)系信息，不過(guò)他可能會(huì)利用過(guò)高的數(shù)據(jù)庫(kù)更新權(quán)限來(lái)更改分?jǐn)?shù)”，這類(lèi)數(shù)據(jù)庫(kù)安全威脅是A、過(guò)度的特權(quán)濫用B、特權(quán)提升C、不健全的認(rèn)證D、合法的特權(quán)濫用正確答案：A51.依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，涉密信息系統(tǒng)建設(shè)使用單位將保密級(jí)別分為三級(jí)。下列分級(jí)正確的是()。A、秘密、機(jī)密和要密B、機(jī)密、要密和絕密C、秘密、機(jī)密和絕密D、秘密、要密和絕密正確答案：C答案解析：涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。故選擇C選項(xiàng)。52.屬于哈希函數(shù)特點(diǎn)的是A、單向性B、擴(kuò)充性C、可逆性D、難計(jì)算正確答案：A答案解析：哈希函數(shù)是一種將任意長(zhǎng)度的消息壓縮到固定長(zhǎng)度的消息摘要的函數(shù)。它具有以下特點(diǎn)：A.單向性：即從哈希值推導(dǎo)出原始消息是不可行的，因此哈希函數(shù)可以用于加密和數(shù)字簽名等安全應(yīng)用。B.擴(kuò)充性：即對(duì)于任意長(zhǎng)度的輸入消息，哈希函數(shù)都能夠生成固定長(zhǎng)度的哈希值。C.不可逆性：即對(duì)于給定的哈希值，找到一個(gè)與之對(duì)應(yīng)的原始消息是困難的。D.易計(jì)算性：即對(duì)于任意長(zhǎng)度的輸入消息，計(jì)算其哈希值是相對(duì)容易的。綜上所述，選項(xiàng)A正確，屬于哈希函數(shù)的特點(diǎn)之一。53.下列關(guān)于系統(tǒng)維護(hù)注意事項(xiàng)的描述中，錯(cuò)誤的是()。A、在系統(tǒng)維護(hù)過(guò)程中，要注意對(duì)維護(hù)過(guò)程進(jìn)行記錄B、維護(hù)人員接收到一個(gè)更改要求，必須納入這個(gè)更改C、保存所有源文件的最近版本是極其重要的，應(yīng)建立備份和清理檔案D、一旦系統(tǒng)投入使用，維護(hù)人員就應(yīng)及時(shí)修正收到的錯(cuò)誤，并提供維護(hù)報(bào)告正確答案：B答案解析：A選項(xiàng)：在系統(tǒng)維護(hù)過(guò)程中，要注意對(duì)維護(hù)過(guò)程進(jìn)行記錄，這是正確的。記錄維護(hù)過(guò)程可以幫助維護(hù)人員更好地了解系統(tǒng)的維護(hù)歷史，以便更好地進(jìn)行維護(hù)工作。B選項(xiàng)：維護(hù)人員接收到一個(gè)更改要求，必須納入這個(gè)更改，這是錯(cuò)誤的。維護(hù)人員需要對(duì)更改要求進(jìn)行評(píng)估，確定是否需要進(jìn)行更改，以及更改的影響范圍和風(fēng)險(xiǎn)等，然后再?zèng)Q定是否納入更改。C選項(xiàng)：保存所有源文件的最近版本是極其重要的，應(yīng)建立備份和清理檔案，這是正確的。保存源文件的最近版本可以幫助維護(hù)人員更好地了解系統(tǒng)的歷史版本，以便更好地進(jìn)行維護(hù)工作。同時(shí)，建立備份和清理檔案可以保證數(shù)據(jù)的安全性和可靠性。D選項(xiàng)：一旦系統(tǒng)投入使用，維護(hù)人員就應(yīng)及時(shí)修正收到的錯(cuò)誤，并提供維護(hù)報(bào)告，這是正確的。維護(hù)人員需要及時(shí)修正系統(tǒng)中出現(xiàn)的錯(cuò)誤，以保證系統(tǒng)的正常運(yùn)行。同時(shí)，提供維護(hù)報(bào)告可以幫助其他人員更好地了解系統(tǒng)的維護(hù)情況，以便更好地進(jìn)行協(xié)作和維護(hù)工作。綜上所述，選項(xiàng)B是錯(cuò)誤的，其他選項(xiàng)都是正確的。54.國(guó)家信息安全漏洞共享平臺(tái)的英文縮寫(xiě)是()。A、CVEB、BugTraqC、EDBD、CNVD正確答案：D55.涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)所劃分的三個(gè)密級(jí)中，不包含的是()。A、秘密B、保密C、機(jī)密D、絕密正確答案：B56.下列關(guān)于信息資產(chǎn)評(píng)估的描述中，錯(cuò)誤的是()。A、在對(duì)機(jī)構(gòu)的每一項(xiàng)資產(chǎn)歸類(lèi)時(shí)，應(yīng)提出一些問(wèn)題，來(lái)確定用于信息資產(chǎn)評(píng)估或者影響評(píng)估的權(quán)重標(biāo)準(zhǔn)B、在開(kāi)始清單處理過(guò)程之前，機(jī)構(gòu)應(yīng)確定一些評(píng)估信息資產(chǎn)價(jià)值的最佳標(biāo)準(zhǔn)C、應(yīng)該給每項(xiàng)資產(chǎn)分配相同權(quán)重D、當(dāng)提出和回答每個(gè)問(wèn)題時(shí)，應(yīng)該準(zhǔn)備一個(gè)工作表,記錄答案，用于以后的分析正確答案：C57.Web安全防護(hù)技術(shù)，不包括A、客戶(hù)端安全防護(hù)B、通信信道安全防護(hù)C、UPS安全防護(hù)D、服務(wù)器端安全防護(hù)正確答案：C58.機(jī)構(gòu)想要提供電子認(rèn)證服務(wù),應(yīng)具備的必須條件包括A、專(zhuān)業(yè)營(yíng)銷(xiāo)人員B、具有符合國(guó)家安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備C、電子證書(shū)開(kāi)發(fā)人員D、具有當(dāng)?shù)孛艽a管理機(jī)構(gòu)同意使用密碼的證明文件正確答案：B59.國(guó)家秘密的保密期限不能確定時(shí)，應(yīng)當(dāng)根據(jù)事項(xiàng)的性質(zhì)和特點(diǎn)，確定下列選項(xiàng)中的()。A、限定保密領(lǐng)域B、最長(zhǎng)保密期限C、解密對(duì)象D、解密條件正確答案：D60.在信息資產(chǎn)管理中,不屬于標(biāo)準(zhǔn)信息系統(tǒng)因特網(wǎng)組件的是A、保護(hù)設(shè)備(如防火墻、代理服務(wù)器)B、網(wǎng)絡(luò)設(shè)備(如路由器、集線器、交換機(jī))C、服務(wù)器D、不間斷電源正確答案：D61.1996年提出，并逐漸形成國(guó)際標(biāo)準(zhǔn)ISO15408的標(biāo)準(zhǔn)是A、信息技術(shù)安全評(píng)價(jià)通用標(biāo)準(zhǔn)(CC)B、可信計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)(TCSEC)C、信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(ITSEC)D、信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南正確答案：A62.Kerberos協(xié)議設(shè)計(jì)的核心是A、在用戶(hù)的驗(yàn)證過(guò)程中引入一個(gè)可信的第三方，即Kerberos驗(yàn)證服務(wù)器B、用戶(hù)必須向每個(gè)要訪問(wèn)的服務(wù)器或服務(wù)提供憑證C、結(jié)合單點(diǎn)登錄技術(shù)以增加用戶(hù)在不同服務(wù)器中的認(rèn)證過(guò)程D、增加網(wǎng)絡(luò)的驗(yàn)證過(guò)程正確答案：A答案解析：Kerberos協(xié)議是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)的核心是在用戶(hù)的驗(yàn)證過(guò)程中引入一個(gè)可信的第三方，即Kerberos驗(yàn)證服務(wù)器。該服務(wù)器負(fù)責(zé)頒發(fā)票據(jù)，用戶(hù)使用票據(jù)向服務(wù)器證明自己的身份，然后使用票據(jù)向其他服務(wù)器或服務(wù)進(jìn)行認(rèn)證和授權(quán)。因此，選項(xiàng)A是正確的。選項(xiàng)B和C描述的是Kerberos協(xié)議的一些特點(diǎn)，但不是其核心設(shè)計(jì)。選項(xiàng)D則是錯(cuò)誤的，因?yàn)镵erberos協(xié)議并沒(méi)有增加網(wǎng)絡(luò)的驗(yàn)證過(guò)程，而是通過(guò)引入可信的第三方來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性。63.屬于內(nèi)核隱藏技術(shù)的是A、DLL動(dòng)態(tài)劫持技術(shù)B、RootKit技術(shù)C、線程插入技術(shù)D、端口反彈技術(shù)正確答案：B64.信息安全等級(jí)保護(hù)的基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和幾個(gè)層面提出A、數(shù)據(jù)操作B、數(shù)據(jù)備份C、數(shù)據(jù)安全D、數(shù)據(jù)存儲(chǔ)正確答案：C65.下列不屬于風(fēng)險(xiǎn)控制的基本策略的是()。A、采取安全措施，消除或減少漏洞的不可控制的殘留風(fēng)險(xiǎn)(避免)B、將風(fēng)險(xiǎn)轉(zhuǎn)移到其他區(qū)域，或轉(zhuǎn)移到外部(轉(zhuǎn)移)C、消除漏洞產(chǎn)生的影響(消除)D、了解產(chǎn)生的后果，并接受沒(méi)有控制或緩解的風(fēng)險(xiǎn)(接受)正確答案：C66.Linux系統(tǒng)啟動(dòng)后運(yùn)行的第一個(gè)進(jìn)程是()。A、sysiniB、loginC、bootD、init正確答案：D67.有關(guān)數(shù)據(jù)庫(kù)安全，說(shuō)法錯(cuò)誤的是A、通過(guò)視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶(hù)隱藏起來(lái)，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)B、未限制輸入的字符數(shù)，未對(duì)輸入數(shù)據(jù)做潛在指令的檢查，都將增加SQL注入的風(fēng)險(xiǎn)C、防火墻能對(duì)SQL注入漏洞進(jìn)行有效防范D、為了避免SQL注入，在設(shè)計(jì)應(yīng)用程序時(shí)，要完全使用參數(shù)化查詢(xún)來(lái)設(shè)計(jì)數(shù)據(jù)訪問(wèn)功能正確答案：C68.PKI系統(tǒng)中，OCSP服務(wù)器的功能是()。A、OCSP服務(wù)器為用戶(hù)提供證書(shū)在線狀態(tài)的查詢(xún)B、OCSP服務(wù)器為用戶(hù)提供證書(shū)的存儲(chǔ)C、0CSP服務(wù)器為用戶(hù)提供證書(shū)真實(shí)性的驗(yàn)證D、OCSP服務(wù)器為用戶(hù)提供證書(shū)的下載正確答案：A答案解析：PKI系統(tǒng)中，OCSP服務(wù)器的主要功能是為用戶(hù)提供證書(shū)在線狀態(tài)的查詢(xún)。當(dāng)用戶(hù)需要驗(yàn)證某個(gè)證書(shū)的有效性時(shí)，可以向OCSP服務(wù)器發(fā)送查詢(xún)請(qǐng)求，OCSP服務(wù)器會(huì)返回該證書(shū)的在線狀態(tài)，告訴用戶(hù)該證書(shū)是否被吊銷(xiāo)或者是否還有效。因此，選項(xiàng)A是正確的。選項(xiàng)B、C、D都與OCSP服務(wù)器的功能不符，因此都是錯(cuò)誤的。69.災(zāi)難恢復(fù)中，可用于恢復(fù)持續(xù)性之外的其他意圖的選項(xiàng),不包括A、電子拱橋B、即時(shí)監(jiān)控C、遠(yuǎn)程日志D、數(shù)據(jù)庫(kù)鏡像正確答案：B70.最早的代換密碼是A、Caesar密碼B、DES密碼C、AES密碼D、Rijndael密碼正確答案：A71.不能對(duì)ARP欺騙攻擊起到防范和檢測(cè)作用的是A、IDSB、IP和MAC雙向靜態(tài)綁定C、PKID、ARP防火墻正確答案：C答案解析：ARP欺騙攻擊是指攻擊者通過(guò)偽造ARP響應(yīng)包，將自己的MAC地址偽裝成目標(biāo)主機(jī)的MAC地址，從而使得攻擊者可以竊取目標(biāo)主機(jī)的網(wǎng)絡(luò)流量或者進(jìn)行中間人攻擊等惡意行為。為了防范和檢測(cè)ARP欺騙攻擊，可以采取以下措施：A.IDS（入侵檢測(cè)系統(tǒng)）可以通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)流量和主機(jī)行為等方式，檢測(cè)到ARP欺騙攻擊的發(fā)生，并及時(shí)發(fā)出警報(bào)，但是IDS本身并不能防止ARP欺騙攻擊的發(fā)生。B.IP和MAC雙向靜態(tài)綁定是指在網(wǎng)絡(luò)設(shè)備中預(yù)先配置好IP地址和MAC地址的對(duì)應(yīng)關(guān)系，從而防止ARP欺騙攻擊的發(fā)生。當(dāng)網(wǎng)絡(luò)設(shè)備收到一個(gè)ARP請(qǐng)求時(shí)，會(huì)先檢查該請(qǐng)求中的IP地址是否與預(yù)先配置的IP地址相匹配，如果匹配，則直接將預(yù)先配置的MAC地址返回給請(qǐng)求方，否則拒絕該請(qǐng)求。這種方法可以有效地防止ARP欺騙攻擊的發(fā)生。C.PKI（公鑰基礎(chǔ)設(shè)施）是一種用于管理數(shù)字證書(shū)和密鑰的框架，可以用于實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名等安全功能，但是并不能直接防止ARP欺騙攻擊的發(fā)生。D.ARP防火墻是一種專(zhuān)門(mén)用于防范ARP欺騙攻擊的設(shè)備，可以通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)流量和ARP請(qǐng)求等方式，檢測(cè)到ARP欺騙攻擊的發(fā)生，并及時(shí)阻止攻擊者的惡意行為。ARP防火墻通常會(huì)采用IP和MAC地址的綁定、ARP緩存表的監(jiān)測(cè)和ARP欺騙攻擊的防御等多種技術(shù)手段，可以有效地防止ARP欺騙攻擊的發(fā)生。綜上所述，選項(xiàng)C是不能對(duì)ARP欺騙攻擊起到防范和檢測(cè)作用的。72.不屬于訪問(wèn)控制實(shí)現(xiàn)方法的是A、行政性訪問(wèn)控制B、虛擬性訪問(wèn)控制C、邏輯/技術(shù)性訪問(wèn)控制D、物理性訪問(wèn)控制正確答案：B73.下列選項(xiàng)中，屬于可執(zhí)行代碼靜態(tài)安全檢測(cè)技術(shù)的是A、基于符號(hào)執(zhí)行和模型檢驗(yàn)的安全檢測(cè)技術(shù)B、基于模糊測(cè)試和智能模糊測(cè)試的安全檢測(cè)技術(shù)C、基于詞法分析和數(shù)據(jù)流分析的安全檢測(cè)技術(shù)D、基于程序結(jié)構(gòu)和程序語(yǔ)義的安全檢測(cè)技術(shù)正確答案：D74.下列選項(xiàng)中，不能防范網(wǎng)絡(luò)嗅探工具對(duì)數(shù)據(jù)包嗅探的技術(shù)是A、VPNB、VLANC、SSLD、SSH正確答案：B75.系統(tǒng)安全維護(hù)的正確步驟是()。A、報(bào)告錯(cuò)誤，報(bào)告錯(cuò)誤報(bào)告，處理錯(cuò)誤B、報(bào)告錯(cuò)誤，處理錯(cuò)誤，處理錯(cuò)誤報(bào)告C、處理錯(cuò)誤，報(bào)告錯(cuò)誤，處理錯(cuò)誤報(bào)告D、發(fā)現(xiàn)錯(cuò)誤，處理錯(cuò)誤，報(bào)告錯(cuò)誤正確答案：B76.使用Is命令查看UNIX文件權(quán)限顯示的結(jié)果為"dr---W-"，說(shuō)明擁有者對(duì)該文件A、不讀不寫(xiě)B(tài)、只寫(xiě)不讀C、只讀不寫(xiě)D、可讀可寫(xiě)正確答案：D77.下列選項(xiàng)中，不屬于信息安全風(fēng)險(xiǎn)評(píng)估基本方法的是()。A、基本風(fēng)險(xiǎn)評(píng)估B、長(zhǎng)遠(yuǎn)風(fēng)險(xiǎn)評(píng)估C、基本風(fēng)險(xiǎn)評(píng)估和詳細(xì)風(fēng)險(xiǎn)評(píng)估相結(jié)合D、詳細(xì)風(fēng)險(xiǎn)評(píng)估正確答案：B78.下列選項(xiàng)中，不屬于分布式訪問(wèn)控制方法的是()。A、SSOB、KerberosC、SESAMED、RADIUS正確答案：D79.Unix系統(tǒng)最重要的網(wǎng)絡(luò)服務(wù)進(jìn)程是()。A、inetdB、netdC、inetD、sysnet正確答案：A80.數(shù)據(jù)庫(kù)中，不能保證數(shù)據(jù)完整性的功能是A、約束B(niǎo)、規(guī)則C、默認(rèn)D、視圖正確答案：D81.為客體分配訪問(wèn)權(quán)限是實(shí)施組織機(jī)構(gòu)安全性策略的重要部分，分配權(quán)限時(shí)依據(jù)的重要原則是A、最少特權(quán)B、無(wú)特權(quán)C、最大特權(quán)D、特權(quán)等同正確答案：A82.下列選項(xiàng)中，不屬于漏洞定義三要素的是()。A、漏洞是計(jì)算機(jī)系統(tǒng)本身存在的缺陷B、漏洞是由于計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和運(yùn)行中的疏漏而導(dǎo)致的C、漏洞的存在和利用都有一定的環(huán)境要求D、漏洞的存在本身是沒(méi)有危害的，只有被攻擊者惡意利用，才能帶來(lái)威脅和損失正確答案：B83.下列關(guān)于訪問(wèn)控制技術(shù)的說(shuō)法中，錯(cuò)誤的是()A、TACACS+使用傳輸控制協(xié)議(TCP)，而RADIUS使用用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)B、RADIUS從用戶(hù)角度結(jié)合了認(rèn)證和授權(quán)，而TACACS+分離了這兩個(gè)操作C、TACACS使用固定的密碼進(jìn)行認(rèn)證，而TACACS+允許用戶(hù)使用動(dòng)態(tài)密碼，這樣可以提供更強(qiáng)大的保護(hù)D、RADIUS將加密客戶(hù)端和服務(wù)器之間的所有數(shù)據(jù)，而TACACS+僅需要加密傳送的密碼正確答案：D84.下列關(guān)于保護(hù)環(huán)的說(shuō)法中，錯(cuò)誤的是()。A、3環(huán)中的主體不能直接訪問(wèn)1環(huán)中的客體，1環(huán)中的主體同樣不能直接訪問(wèn)3環(huán)中的客體B、保護(hù)環(huán)對(duì)工作在環(huán)內(nèi)的進(jìn)程能夠訪問(wèn)什么、能夠執(zhí)行什么命令提出了嚴(yán)格的界線和定義C、保護(hù)環(huán)在主體和客體之間提供了一個(gè)中間層，當(dāng)一個(gè)主體試圖訪問(wèn)一個(gè)客體時(shí)，可以用它來(lái)進(jìn)行訪問(wèn)控制D、在內(nèi)環(huán)中執(zhí)行的進(jìn)程往往處于內(nèi)核模式，在外環(huán)中工作的進(jìn)程則處于用戶(hù)模式正確答案：A答案解析：保護(hù)環(huán)是一種安全機(jī)制，用于保護(hù)操作系統(tǒng)和應(yīng)用程序不受惡意軟件和攻擊的影響。它將系統(tǒng)分為多個(gè)環(huán)，每個(gè)環(huán)都有不同的權(quán)限和訪問(wèn)級(jí)別。下列關(guān)于保護(hù)環(huán)的說(shuō)法中，錯(cuò)誤的是A選項(xiàng)，因?yàn)?環(huán)中的主體可以通過(guò)1環(huán)中的代理訪問(wèn)1環(huán)中的客體，1環(huán)中的主體也可以通過(guò)3環(huán)中的代理訪問(wèn)3環(huán)中的客體。因此，A選項(xiàng)的說(shuō)法是錯(cuò)誤的。B、C、D選項(xiàng)的說(shuō)法都是正確的。85.軟件漏洞產(chǎn)生的原因，不包括A、軟件技術(shù)和代碼規(guī)模的快速發(fā)展B、軟件設(shè)計(jì)開(kāi)發(fā)運(yùn)行階段的疏漏C、軟件編譯過(guò)程中沒(méi)有采用/GS安全選項(xiàng)D、軟件安全測(cè)試技術(shù)的滯后正確答案：C86.下列選項(xiàng)中，屬于信息系統(tǒng)的安全考核指標(biāo)的是A、訪問(wèn)方法B、數(shù)據(jù)完整性C、用戶(hù)類(lèi)型D、計(jì)算能力正確答案：B87.信息安全管理體系審核，包括兩個(gè)方面的審核，即A、控制和流程B、管理和流程C、控制和技術(shù)D、管理和技術(shù)正確答案：D88.信息安全是網(wǎng)絡(luò)時(shí)代國(guó)家生存和民族振興的A、首要條件B、根本保障C、前提條件D、關(guān)鍵因素正確答案：B89.違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處以幾年以下有期徒刑或者拘役A、7年B、5年C、3年D、10年正確答案：B90.指令寄存器eip中存放的指針始終指向A、基地址B、返回地址C、棧幀的頂部地址D、棧幀的底部地址正確答案：B91.下列選項(xiàng)中,不應(yīng)被列為國(guó)家秘密的是()。A、國(guó)防