試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷13)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項選擇題，共250題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.（中等）以下關(guān)于WinD.ows服務(wù)描述說法錯誤的是：_________A)WIND.OWS服務(wù)通常是以管理員身份運行B)可以作為獨立的進(jìn)程運行或通過D.LL的形式依附在SVC.HOST進(jìn)程C)為提升系統(tǒng)的安全性，管理員應(yīng)盡量關(guān)閉不需要的系統(tǒng)服務(wù)D)WIND.OWS服務(wù)需要用戶交互登錄才能運行[單選題]2.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在符合性方面實施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪項控制目標(biāo)()A)符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性B)訪問控制的業(yè)務(wù)要求、用戶訪問管理C)符合法律要求D)信息系統(tǒng)審核考慮[單選題]3.19.CB/T20984-2007《信息安全技術(shù)信息安全義批詳選規(guī)范》、對10個（）進(jìn)行了定義闡述其相關(guān)關(guān)系，規(guī)定了（）的原理和（）規(guī)定了風(fēng)險評估實施的7個階段的具體方法和要求，規(guī)定了針對信息系統(tǒng)（)5個階段風(fēng)險評估的常見（），給出了風(fēng)險評估的一般計算方法和相關(guān)工具建議。A)風(fēng)險要素；風(fēng)險評估；實施流程；生命周期；工作形式B)風(fēng)險要素；實施流程；風(fēng)險評估；生命周期；工作形式C)風(fēng)險要素；生命周期；風(fēng)險評估；實施流程；工作形式D)風(fēng)險要素；工作形式；風(fēng)險評估；實施流程；生命周期[單選題]4.對照ISO/OSI參考模型各個層中的網(wǎng)絡(luò)安全服務(wù),在物理層可以采用哪種方式來加強(qiáng)通信線路的安全A)防竊聽技術(shù)B)防火墻技術(shù)C)防病毒技術(shù)D)防拒認(rèn)技術(shù)[單選題]5.在風(fēng)險管理中,殘余風(fēng)險是指實施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險,關(guān)于殘余風(fēng)險,下面描述錯誤的是()A)風(fēng)險處理措施確定以后,應(yīng)編制詳細(xì)的殘余風(fēng)險清單,并獲得管理層對殘余風(fēng)險的書面批準(zhǔn),這也是風(fēng)險管理中的一個重要過程B)管理層確認(rèn)接收殘余風(fēng)險,是對風(fēng)險評估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險,并理解在風(fēng)險一旦變?yōu)楝F(xiàn)實后,組織能夠且承擔(dān)引發(fā)的后果C)接收殘余風(fēng)險,則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制的提高安全保護(hù)措施的強(qiáng)度,對安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的限制D)如果殘余風(fēng)險沒有降低到可接受的級別,則只能被動的選擇接受風(fēng)險,即對風(fēng)險不進(jìn)行下一步的處理措施,接受風(fēng)險可能帶來的結(jié)果。[單選題]6.27.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（）。A)《風(fēng)險評估方案》B)《需要保護(hù)的資產(chǎn)清單》C)《風(fēng)險計算報告》D)《風(fēng)險程度等級列表》[單選題]7.23.以下哪項制度或標(biāo)準(zhǔn)被作為我國的一項基礎(chǔ)制度加以推行，并且有一定強(qiáng)制性，其實施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（）A)信息安全管理體系（ISMS）B)信息安全等級保護(hù)C)NISTSP800D)ISO270000系列[單選題]8.htaccess文件的作用描述錯誤的是A)自定義404錯誤頁面B)配置默認(rèn)文檔C)修改密碼D)可以禁止目錄列表[單選題]9.linux中關(guān)于登陸程序的配置文件默認(rèn)的為()A)/etc/pam.d/system-authB)/etc/login.defsC)/etc/shadowD)/etc/passwd[單選題]10.在IIS上，除了修改HTTP500的錯誤頁面信息外，另外一種屏蔽HTTP500錯誤信息的方式是()A)自定義腳本錯誤信息B)修改ISAPIC)修改WEB目錄權(quán)限D(zhuǎn))修改ASP執(zhí)行權(quán)限[單選題]11.王老師在教學(xué)生計算環(huán)境安全的課,課上講了計算機(jī)網(wǎng)絡(luò)常用的幾個命令,小李由于走神沒有跟上筆記,對于能收集和分析的原則印象模糊,而這是必考點,下面哪一項是正確的筆記A)ping;盡力而為B)ping;嚴(yán)防死守C)Tracert;嚴(yán)防死守D)Tracert;盡力而為[單選題]12.如何對信息安全風(fēng)險評估的過程進(jìn)行質(zhì)量監(jiān)控和管理?A)對風(fēng)險評估發(fā)現(xiàn)的漏洞進(jìn)行確認(rèn)B)針對風(fēng)險評估的過程文檔和結(jié)果報告進(jìn)行監(jiān)控和審查C)對風(fēng)險評估的信息系統(tǒng)進(jìn)行安全調(diào)查D)對風(fēng)險控制測措施有有效性進(jìn)行測試[單選題]13.當(dāng)一個應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在該系統(tǒng)重新上線前管理員不需查看：A)訪問控制列表B)系統(tǒng)服務(wù)配置情況C)審計記錄D)用戶帳戶和權(quán)限的設(shè)置[單選題]14.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾,關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi),并受到相應(yīng)保護(hù),該目標(biāo)可以通過以下控制措施來實現(xiàn),不包括哪一項()A)物理安全邊界、物理入口控制B)在安全區(qū)域工作,公共訪問、交接區(qū)安全C)通信安全、合規(guī)性D)辦公室、房間和設(shè)施的安全保護(hù),外部和環(huán)境威脅的安全防護(hù)[單選題]15.以下關(guān)于Web傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問題說法不正確的是().A)HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗證和缺乏狀態(tài)跟蹤等方面的安全問題B)Cookie是為了辨別用戶身份,進(jìn)行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù),用戶可以隨意查看存儲在Cookie中的數(shù)據(jù)，但其中的內(nèi)容不能被修改C)HTTP協(xié)議缺乏有效的安全機(jī)制,易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊D)針對HTTP協(xié)議存在的安全問題,使用HTTPS具有較高的安全性,可以通過證書來驗證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密[單選題]16.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞,被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù),由于系統(tǒng)備份是每周六進(jìn)行一次,事件發(fā)生時間為周三,因此導(dǎo)致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問,影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中,根據(jù)GB/Z20968-2007《信息安全事件分級分類指南》,該事件的準(zhǔn)確分類和定級應(yīng)該是()A)有害程序事件特別重大事件(I級)B)信息破壞事件重大事件(II級)C)有害程序事件較大事件(III級)D)信息破壞事件一般事件(IV級)[單選題]17.39.以下關(guān)于信息安全工程說法正確的是A)信息化建設(shè)中系統(tǒng)功能的實現(xiàn)是最重要的B)信息化建設(shè)可以先實施系統(tǒng)，而后對系統(tǒng)進(jìn)行安全加固C)信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實施信息安全建設(shè)D)信息化建設(shè)沒有必要涉及信息安全建設(shè)[單選題]18.王明買了一個新藍(lán)牙耳機(jī)，為了安全。以下哪一條建議不可取（）A)在選擇使用藍(lán)牙設(shè)備時，應(yīng)考慮設(shè)備的技術(shù)實現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B)選擇使用功能合適的設(shè)備而不是功能盡可能多的設(shè)備，盡量關(guān)閉不使用的服務(wù)及功能C)如果藍(lán)牙設(shè)備沒丟失，最好不要做任何操作D)在配對的時候使用隨機(jī)生成的密鑰，不使用時設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)[單選題]19.460.一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實施訪問控制，例如，在一個學(xué)校的教務(wù)系統(tǒng)中，教師能夠錄入學(xué)生的考試成績，學(xué)生只能查看自己的分?jǐn)?shù)，而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改，下列選項中，對訪問控制的作用的理解錯誤的是（）A)對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B)拒絕非法用戶的非授權(quán)訪問請求C)在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理D)防止對信息的非授權(quán)篡改和濫用[單選題]20.在密碼學(xué)的Kerchhof假設(shè)中,密碼系統(tǒng)的安全性僅依賴于_______。A)明文B)密文C)密鑰D)信道[單選題]21.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中一個重要文件，在進(jìn)行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：A)權(quán)限分離原則B)最小特權(quán)原則C)保護(hù)最薄弱環(huán)節(jié)的原則D)縱深防御的原則[單選題]22.符合復(fù)雜性要求的WindowsXP帳號密碼的最短長度為____。A)A4B)B6C)C8D)D10[單選題]23.有關(guān)系統(tǒng)工程的特點,以下錯誤的是()A)系統(tǒng)工程研究問題一般采用先決定整體框架,后進(jìn)入詳細(xì)設(shè)計的程序B)系統(tǒng)工程的基本特點,是需要把研究對象結(jié)構(gòu)為多個組織部分分別獨立研究C)系統(tǒng)工程研究強(qiáng)調(diào)多學(xué)科協(xié)作,根據(jù)研究問題涉及到的學(xué)科和專業(yè)范圍,組成一個知識結(jié)構(gòu)合理的專家體系D)系統(tǒng)工程研究是以系統(tǒng)思想為指導(dǎo),采取的理論和方法是綜合集成各學(xué)科、各領(lǐng)域的理論和方法[單選題]24.97.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（）A)PP2PB)L2TPC)SSLD)IPSec[單選題]25.20.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中一個重要文件，在進(jìn)行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：A)權(quán)限分離原則B)最小特權(quán)原則C)保護(hù)最薄弱環(huán)節(jié)的原則D)縱深防御的原則[單選題]26.Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限,假設(shè)某文件的訪問限制使用了755來表示,則下面哪項是正確的()A)這個文件可以被任何用戶讀和寫B(tài))這個可以被任何用戶讀和執(zhí)行C)這個文件可以被任何用戶寫和執(zhí)行D)這個文件不可以被所有用戶寫和執(zhí)行[單選題]27.美國計算機(jī)協(xié)會(ACM)宣布將2015年的ACM獎授予給WhitfieldDiffic和Wartfield下面哪項工作是他們的貢獻(xiàn)()。A)發(fā)明并第一個使用C語言B)第一個發(fā)表了對稱密碼算法思想C)第一個發(fā)表了非對稱密碼算法思想D)第一個研制出防火墻[單選題]28.哪種攻擊是攻擊者通過各種手段來小號網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源,最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)()A)拒絕服務(wù)B)緩沖區(qū)溢出C)DNS欺騙D)IP欺騙[單選題]29.某黑客通過分析和整理某報社記者小張的博客,找到一些有用的信息,通過偽裝的新聞線索,誘使其執(zhí)行木馬程序,從而控制了小張的電腦,并以她的電腦為攻擊的端口,使報社的局域網(wǎng)全部感染木馬病毒,為防范此類社會工程學(xué)攻擊,報社不需要做的是()A)加強(qiáng)信息安全意識培訓(xùn),提高安全防范能力,了解各種社會工程學(xué)攻擊方法,防止受到此類攻擊B)建立相應(yīng)的安全相應(yīng)應(yīng)對措施,當(dāng)員工受到社會工程學(xué)的攻擊,應(yīng)當(dāng)及時報告C)教育員工注重個人隱私保護(hù)D)減少系統(tǒng)對外服務(wù)的端口數(shù)量,修改服務(wù)旗標(biāo)[單選題]30.CISP證書需要幾年注冊一次（）A)1B)2C)3D)4[單選題]31.在TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機(jī)安全從低到高分為（）A)A;C1;C2;B1;B2;B3;DB)D;B1;B2;C1;C2;C3;AC)D;C1;C2;B1;B2;B3;AD)A;B1;B2;C1;C2;C3;D[單選題]32.由于信息系統(tǒng)的復(fù)雜性,因此需要一個通用的框架對其進(jìn)行解構(gòu)和描述,然后再基于此框架討論信息系統(tǒng)的()。在IATF中,將信息系統(tǒng)的信息安全保障技術(shù)層面分為以下四個焦點領(lǐng)域:():區(qū)域邊界即本地計算環(huán)境的外緣;();支持性基礎(chǔ)設(shè)施,在深度防御技術(shù)方案中推薦()原則、()原則。A)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;安全保護(hù)問題;本地的計算機(jī)環(huán)境;多點防御;分層防御B)安全保護(hù)問題;本地的計算機(jī)環(huán)境;多點防御;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;分層防御C)安全保護(hù)問題;本地的計算機(jī)環(huán)境;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;多點防御;分層防御D)本地的計算環(huán)境;安全保護(hù)問題;網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;多點防御;分層防御[單選題]33.47.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后，對于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不正確的是（）A)信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實施，因為這些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實際的或潛在的問題后，制定的能共同的和重復(fù)使用的規(guī)則B)信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因為這是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想C)信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動態(tài)控制的思想，因為安全問題是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)D)信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點，因為要對信息安全管理設(shè)計的方方面面實施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低[單選題]34.下?面關(guān)于SUID權(quán)限的描述錯誤的是A)SUID權(quán)限僅對任意文件有效B)執(zhí)行者對于該文件具有x的權(quán)限C)本權(quán)限僅在執(zhí)行該文件的過程中有效D)執(zhí)行者將具有該文件擁有者的權(quán)限[單選題]35.建立并完善()是有效應(yīng)對社會工程攻擊的方法,通過()的建立,使得信息系統(tǒng)用戶需要遵循()來實施某些操作,從而在一定程度上降低社會工程學(xué)的影響。例如對于用戶密碼的修改,由于相應(yīng)管理制度的要求,()需要對用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行,那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行(),因為他還需要想辦法擁有一個組織機(jī)構(gòu)內(nèi)部電話才能實施。A)信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊B)信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會工程學(xué)攻擊C)安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊D)信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會工程學(xué)攻擊[單選題]36.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是：A)確保采購/定制的設(shè)備，軟件和其他系統(tǒng)組件滿足已定義的安全要求B)確保整個系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C)確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特征能力D)確保信息系統(tǒng)的使用已得到授權(quán)[單選題]37.ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ（簡稱Ａｐａｃｈｅ）是一個開放源碼的ＷＥＢ服務(wù)運行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施（）A)安裝后，修改訪問控制配置文件B)安裝后，修改配置文件Httpd．Conf中的有關(guān)參數(shù)C)安裝后，刪除ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ源碼D)從正確的官方網(wǎng)站下載ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ，并安裝使用[單選題]38.超文本傳輸協(xié)議(HyperTextTransferProtocol,HTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議。下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議,具備用戶鑒別和通信數(shù)據(jù)加密等功能()。A)HTTPD協(xié)議B)HTTP1.0協(xié)議C)HTTPS協(xié)議D)HTTP1.1協(xié)議[單選題]39.建立應(yīng)急響應(yīng)計劃時候第一步應(yīng)該做什么?A)建立備份解決方案B)實施業(yè)務(wù)影響分析C)建立業(yè)務(wù)恢復(fù)計劃D)確定應(yīng)急人員名單[單選題]40.下面有關(guān)我國標(biāo)準(zhǔn)化管理和組織機(jī)構(gòu)的說法錯誤的是？A)國家標(biāo)準(zhǔn)化管理委員會是統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主管機(jī)構(gòu)B)國家標(biāo)準(zhǔn)化技術(shù)委員會承擔(dān)著國家標(biāo)準(zhǔn)的制定和修改鞏工作C)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)信息安全技術(shù)標(biāo)準(zhǔn)的審查、批準(zhǔn)、編號和發(fā)布D)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員負(fù)責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標(biāo)準(zhǔn)年度計劃項目[單選題]41.SO27002(Informationtechnology-SecurtiyTechniques-Codeofpracticeforinformationmanagement)是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進(jìn)變化示意圖，途中括號空白處應(yīng)填寫？（）A)BS7799.1.3B)ISO17799C)AS/NZS4630D)NSTSP800-17[單選題]42.風(fēng)險評估實施過程中資產(chǎn)識別的依據(jù)是什么A)依據(jù)資產(chǎn)分類分級的標(biāo)準(zhǔn)B)依據(jù)資產(chǎn)調(diào)查的結(jié)果C)依據(jù)人員訪談的結(jié)果D)依據(jù)技術(shù)人員提供的資產(chǎn)清單[單選題]43.BLP模型基于兩種規(guī)則來保障數(shù)據(jù)的機(jī)秘度與敏感度,它們是什么?A)下讀,主體不可讀安全級別高于它的數(shù)據(jù);上寫,主體不可寫安全級別低于它的數(shù)據(jù)B)上讀,主體不可讀安全級別高于它的數(shù)據(jù);下寫,主體不可寫安全級別低于它的數(shù)據(jù)C)上讀,主體不可讀安全級別低于它的數(shù)據(jù);下寫,主體不可寫安全級別高于它的數(shù)據(jù)D)下讀,主體不可讀安全級別低于它的數(shù)據(jù);上寫,主體不可寫安全級別高于它的數(shù)據(jù)[單選題]44.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的A)SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B)SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù),因此存在數(shù)據(jù)泄露的可能C)SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證,因此導(dǎo)致了垃圾郵件問題D)SMTP和POP3協(xié)議由于協(xié)議簡單,易用性更高,更容易實現(xiàn)遠(yuǎn)程管理郵件[單選題]45.Oracle默認(rèn)情況下，口令的傳輸方式是（）？A)DES加密傳輸B)明文傳輸C)3DES加密傳輸D)MD5加密傳輸[單選題]46.()在實施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個大型集團(tuán)公司總部的()。那么他需要了解這個大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團(tuán)公司相關(guān)人員的綽號等等。A)攻擊者;所需要的信息;系統(tǒng)管理員;基礎(chǔ);內(nèi)部約定B)所需要的信息;基礎(chǔ);攻擊者;系統(tǒng)管理員;內(nèi)部約定C)攻擊者;所需要的信息;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定D)所需要的信息;攻擊者;基礎(chǔ);系統(tǒng)管理員;內(nèi)部約定[單選題]47.CSRF攻擊不能做什么()A)刪除用戶信息B)修改用戶權(quán)限C)盜取用戶憑證D)取消訂單[單選題]48.完整性機(jī)制可以防范以下哪種攻擊？A)假冒源地址或用戶的地址的欺騙攻擊B)抵賴做過信息的遞交行為C)數(shù)據(jù)傳輸中被竊聽獲取D)數(shù)據(jù)傳輸中被篡改或破壞[單選題]49.什么設(shè)備可以隔離ARP廣播幀A)路由器B)網(wǎng)橋C)以太網(wǎng)交換機(jī)D)集線器[單選題]50.1993年至1996年,歐美六國和美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標(biāo)準(zhǔn),簡稱CC標(biāo)準(zhǔn),該安全評估標(biāo)準(zhǔn)的全稱為()A)《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》B)《信息技術(shù)安全評估準(zhǔn)則》C)《可信計算機(jī)產(chǎn)品評估準(zhǔn)則》D)《信息技術(shù)安全通用評估準(zhǔn)則》[單選題]51.量子密碼學(xué)的理論基礎(chǔ)是______A)量子力學(xué)B)數(shù)學(xué)C)傳統(tǒng)密碼學(xué)D)天體物理學(xué)[單選題]52.信息安全管理措施不包括:A)安全策略B)物理和環(huán)境安全C)訪問控制D)安全范圍[單選題]53.數(shù)據(jù)庫是一個單位或是一個應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲的是屬于企業(yè)和事業(yè)部門、團(tuán)體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的,按一定的數(shù)據(jù)模型進(jìn)行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng),毫無疑問會成為信息安全的重點防護(hù)對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問,對數(shù)據(jù)庫安全要求不包括下列()A)向所有用戶提供可靠的信息服務(wù)B)拒絕執(zhí)行不正確的數(shù)據(jù)操作C)拒絕非法用戶對數(shù)據(jù)庫的訪問D)能跟蹤記錄,以便為合規(guī)性檢查、安全責(zé)任審查等提供證據(jù)和跡象等[單選題]54.家明在網(wǎng)上購買iphone，結(jié)果收到4個水果。家明自覺受騙，聯(lián)系電商，電商客服告訴家明，可能是訂單有誤，讓家明重新下單，店家將給家明2個iphone。如果家明報警，店家也無任何法律責(zé)任，因為家明已經(jīng)在簽收單上簽字了。為維護(hù)自身合法權(quán)益，家明應(yīng)該怎么做？A)為了買到IPHONE，再次交錢下單B)拉黑網(wǎng)店，再也不來這里買了C)向網(wǎng)站管理人員申訴，向網(wǎng)警報案D)和網(wǎng)店理論，索要貨款[單選題]55.關(guān)于（網(wǎng)絡(luò)安全法》域外適用效力的理解，以下哪項是錯的（）A)當(dāng)前對于域外的網(wǎng)攻擊，我國只能通過向來源國采取抗議B)對于來自境外的網(wǎng)絡(luò)安全成脅我國可以組織技術(shù)力量進(jìn)行監(jiān)測、防御和處置C)對于米自境外的網(wǎng)絡(luò)攻擊我國可以追究其法律責(zé)任D)對于來自境外的違法信息我國可以加以阻斷傳播[單選題]56.以下哪個模型主要用于醫(yī)療資料的保護(hù)?A)ChinesewAll模型B)BIBA模型C)ClArk-Wilson模型D)BMA模型[單選題]57.()第二十三條規(guī)定存儲、處理國家秘密的計算機(jī)信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))按照()實行分級保護(hù)。()應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。()、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行(三同步)。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng)()后,方可投入使用。A)《保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格B)《安全保密法》;涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢查合格C)《國家保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格D)《網(wǎng)絡(luò)保密法》;涉密程度;涉密系統(tǒng);保密設(shè)施;檢查合格[單選題]58.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheIntermetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個組織發(fā)布的（）A)國際標(biāo)準(zhǔn)化組織B)國際電工委員會C)國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D)Internet工程任務(wù)組[單選題]59.隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的出現(xiàn)與發(fā)展，數(shù)據(jù)庫所處的環(huán)境愈加復(fù)雜，數(shù)據(jù)庫面臨的各種安全威脅正與日劇增。對于數(shù)據(jù)庫安全防護(hù)相關(guān)描述中，錯誤的是（）A)數(shù)據(jù)庫安全防護(hù)是指保護(hù)數(shù)據(jù)運行安全以防止不合法的使用造成的數(shù)據(jù)泄露、更改或破壞，方式只包括安全審計B)安全審計主要是針對數(shù)據(jù)庫運行期間生產(chǎn)的各種日志，通過多個不同維度進(jìn)行綜合分析，從而發(fā)現(xiàn)影響數(shù)據(jù)庫運行安全的因素并采取相應(yīng)的應(yīng)對措施C)通過安全檢測盡早發(fā)現(xiàn)數(shù)據(jù)庫存在的安全缺陷（包括軟件漏洞及配置缺陷），然而通過安裝補丁、調(diào)整安全設(shè)置、制定安全策略等方法進(jìn)行彌補D)可根據(jù)數(shù)據(jù)庫業(yè)務(wù)需要，構(gòu)建完善的防護(hù)技術(shù)體系[單選題]60.80.從歷史演進(jìn)來看，信息安全的發(fā)展經(jīng)歷了多個階段。其中，有一個階段的特點是：網(wǎng)絡(luò)信息系統(tǒng)逐步形成，信息安全注重保護(hù)信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個階段是（）A)通信安全階段B)計算機(jī)安全階C)信息系統(tǒng)安全階段D)信息安全保障階段[單選題]61.Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是()。A)PP2PB)L2TPC)SSLD)IPSec[單選題]62.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的A)SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B)SMTP和POP3協(xié)議銘文傳輸數(shù)據(jù),因此存在數(shù)據(jù)泄露的可能C)SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證,因此導(dǎo)致了垃圾郵件問題D)SMTP和POP3協(xié)議由于協(xié)議簡單,易用性更高,更容易實現(xiàn)遠(yuǎn)程管理郵件[單選題]63.下面哪一個不是脆弱性識別的手段A)人員訪談B)技術(shù)工具檢測C)信息資產(chǎn)核查D)安全專家人工分析[單選題]64.一名技術(shù)人員正編輯ACL115，并將其重新應(yīng)用到路由器，在將ACL重新應(yīng)用到路由器時向其中添加access-list115permittcpany55established命令會產(chǎn)生什么結(jié)果A)會允許所有來自/16的流量B)會允許所有發(fā)往/16的TCP流量C)會允許任何發(fā)送至/16的SYN數(shù)據(jù)包D)會允許對網(wǎng)絡(luò)/16所發(fā)出流量響應(yīng)[單選題]65.sql注入時，根據(jù)數(shù)據(jù)庫報錯信息MicrosoftJETDatabase，通?？梢耘袛喑鰯?shù)據(jù)庫的類型：()。A)MicrosoftSQLserverB)MySQLC)OracleD)Access[單選題]66.風(fēng)險分析的目的是?A)在實施保護(hù)所需的成本與風(fēng)險可能造成的影響之間進(jìn)行技術(shù)平衡;B)在實施保護(hù)所需的成本與風(fēng)險可能造成的影響之間進(jìn)行運作平衡;C)在實施保護(hù)所需的成本與風(fēng)險可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡;D)在實施保護(hù)所需的成本與風(fēng)險可能造成的影響之間進(jìn)行法律平衡;[單選題]67.實施身份鑒別的方法多種多樣,且隨著技術(shù)的進(jìn)步,鑒別方法的強(qiáng)度不斷提高,常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖,小王作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這說法屬于下列選項中的()A)實體所知的鑒別方法B)實體所有的鑒別方法C)實體特征的鑒別方法D)實體所見的鑒別方法[單選題]68.信息收集是()攻擊實施的基礎(chǔ),因此攻擊者在實施前會對目標(biāo)進(jìn)行(),了解目標(biāo)所有相關(guān)的()。這些資料和信息對很多組織機(jī)構(gòu)來說都是公開或看無用的,然而對攻擊者來說,這些信息都是非常有價值的,這些信息收集得越多,離他們成功得實現(xiàn)()就越近。如果為信息沒有價值或價值的非常低,組織機(jī)構(gòu)通常不會采取措施(),這正是社會工程學(xué)攻擊者所希望的。A)信息收集;社會工程學(xué);資料和信息;身份偽裝;進(jìn)行保護(hù)B)社會工程學(xué);信息收集;資料和信息;身份偽裝;進(jìn)行保護(hù)C)社會工程學(xué);信息收集;身份偽裝;資料和信息;進(jìn)行保護(hù)D)信息收集;資料和信息;社會工程學(xué);身份偽裝;進(jìn)行保護(hù)[單選題]69.某信息安全公司的團(tuán)隊對某款名為?紅包快搶?的外掛進(jìn)行分析,發(fā)現(xiàn)此外掛是一個典型的木馬后門,使黑客能夠獲得受害者電腦的訪問權(quán),該后門程序為了達(dá)到長期駐留在受害都的計算機(jī)中,通過修改注冊表啟動項來達(dá)到后門程序隨受害者計算機(jī)系統(tǒng)啟動而啟動,這防范此類木馬后門的攻擊,以下做法無用的是()A)不下載,不執(zhí)行、不接收不來歷明的軟件B)不隨意打開來歷不明的郵件,不瀏覽不健康不正規(guī)的網(wǎng)站C)使用共享文件夾D)安裝反病毒軟件和防火墻,安裝專門的木馬防治軟件[單選題]70.21.微軟提出了STRIDE模型，其中，R是Repudiation（抵賴）的縮寫，關(guān)于此項安全要求，下面描述錯誤的是（）A)某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱?我沒有下載過數(shù)據(jù)?，軟件系統(tǒng)中的這種威脅就屬于R威脅B)解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計等技術(shù)措施C)R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高D)解決R威脅，也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進(jìn)行[單選題]71.下面哪一項最好地描述了組織機(jī)構(gòu)的安全策略？A)定義了訪問控制需求的總體指導(dǎo)方針B)建議了如何符合標(biāo)準(zhǔn)C)表明管理者意圖的高層陳述D)表明所使用的技術(shù)控制措施的高層陳述[單選題]72.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（SecureMultipurposeInternetMailExtension，S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯誤的是？A)S/MIME采用了非對稱密碼學(xué)機(jī)制B)S/MIME支持?jǐn)?shù)字證書C)S/MIME采用了郵件防火墻技術(shù)D)S/MIME支持用戶身份認(rèn)證和郵件加密[單選題]73.關(guān)于linux下的用戶和組，以下描述不正確的是A)在linux中，每一個文件和程序都?xì)w屬于一個特定的?用戶?B)系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C)用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D)root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]74.信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進(jìn)行測試和評估，以下關(guān)于信息安全測評說法不正確的是？A)信息產(chǎn)品安全評估是測評機(jī)構(gòu)對產(chǎn)品的安全性做出的獨立評價，增強(qiáng)用戶對已評估產(chǎn)品安全的信任B)目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型C)信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價D)信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出有針對性的安全防護(hù)策略和整改措施[單選題]75.惡意代碼問題，不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。目前國際上一些發(fā)達(dá)國家（如美國，德國，日本等）均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長期的研究，并取得了一定的成功。程序員小張想開發(fā)一款惡意代碼的檢測軟件，經(jīng)過相關(guān)準(zhǔn)備后，他在如下選項中選擇了一個最正確的代碼的檢測思路進(jìn)行了軟件開發(fā)，你認(rèn)為是哪一個（）A)簡單運行B)發(fā)送者身份判斷C)禁止未識別軟件運行D)特征碼掃描[單選題]76.103.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中哪個最應(yīng)該引起關(guān)注()A)由于有限的測試時間窗，僅僅測試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時間里陸續(xù)單獨測試B)在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗C)在開啟備份站點之前關(guān)閉和保護(hù)原生產(chǎn)站點的過程比計劃需要多得多的時間D)每年都是由相同的員工執(zhí)行此測試，由于所有的參與者都很熟悉每一個恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)計劃(DRP)文檔[單選題]77.下列哪項攻擊會對《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運行安全造成影響？()A)DDoS攻擊B)網(wǎng)頁篡改C)個人信息泄露D)發(fā)布謠言信息[單選題]78.方法指導(dǎo)類標(biāo)準(zhǔn)主要包括GB/T-T25058-2010-《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等。其中《等級保護(hù)實施指南》原以()政策文件方式發(fā)布,后修改后以標(biāo)準(zhǔn)發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()做了詳細(xì)規(guī)定。狀況分析類標(biāo)準(zhǔn)主要包括GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》和GB/T284492012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》等。其中在()工作期間還發(fā)布過《等級保護(hù)測評準(zhǔn)則》等文件,后經(jīng)過修改以《等級保護(hù)測評要求》發(fā)布。這些標(biāo)準(zhǔn)主要對如何開展()工作做出了()A)公安部;等級保護(hù)試點;等級保護(hù)工作;等級保護(hù)測評;詳細(xì)規(guī)定.B)公安部;等級保護(hù)工作;等級保護(hù)試點;等級保護(hù)測評;詳細(xì)規(guī)定C)公安部;等級保護(hù)工作;等級保護(hù)測評;等級保護(hù)試點;詳細(xì)規(guī)定D)公安部;等級保護(hù)工作;等級保護(hù)試點;詳細(xì)規(guī)定;等級保護(hù)測評[單選題]79.為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由三部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容？A)完整性約束條件B)完整性檢查機(jī)制C)完整性修復(fù)機(jī)制D)違約處理機(jī)制[單選題]80.軟件存在洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度(Defects/KLOC)來衡量軟件的安全性，假設(shè)某個軟件共有296萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是()A)0．00049B)0．049C)0.49D)49[單選題]81.在以下的認(rèn)證方式中，最不安全的是？()A)PAPB)CHAPC)MS-CHAPD)SPAP[單選題]82.2006年5月8日電,中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全文()部分共計約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析,對我國信息化發(fā)展指導(dǎo)思想和戰(zhàn)略目標(biāo)標(biāo)準(zhǔn)要闡述,對我國()發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的(),當(dāng)前我國信息安全保障工作逐步加強(qiáng)。制定并實施了(),初步建立了信息安全管理體制和()?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高,互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。A)5個;信息化;基本形勢;國家安全戰(zhàn)略;工作機(jī)制B)6個;信息化;基本形勢;國家信息安全戰(zhàn)略;工作機(jī)制C)7個;信息化;基本形勢;國家安全戰(zhàn)略;工作機(jī)制D)8個;信息化;基本形勢;國家信息安全戰(zhàn)略;工作機(jī)制[單選題]83.55.在某信息系統(tǒng)的設(shè)計中，用戶登錄過程是這樣的（1）用戶通過HTTP協(xié)議訪問信息系統(tǒng)；（2）用戶在登錄頁面輸入用戶名和口令；（3）信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性，如果正確，則鑒別完成?？梢钥闯?，這個鑒別過程屬于（）。A)單向鑒別B)雙向鑒別C)三向鑒別D)第三方鑒別[單選題]84.418.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護(hù),以下關(guān)于用戶隱私保護(hù)的說法錯誤的是?A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)[單選題]85.420.下列選項中對信息系統(tǒng)審計概念的描述中不正確的是()A)信息系統(tǒng)審計,也可稱作IT審計或信息系統(tǒng)控制審計B)信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程,審計對象是信息系統(tǒng)相關(guān)控制,審計目標(biāo)是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實性、完整性等相關(guān)屬性C)信息系統(tǒng)審計是單一的概念,是對會計信息系統(tǒng)的安全性、有效性進(jìn)行檢查D)從信息系審計內(nèi)容上看,可以將信息系統(tǒng)審計分為不同專項審計,例如安全審計、項日合規(guī)審計、績效審計等[單選題]86.從系統(tǒng)結(jié)構(gòu)上來看，入侵檢測系統(tǒng)可以不包括____。A)A數(shù)據(jù)源B)B分析引擎C)C審計D)D響應(yīng)[單選題]87.下面哪種VPN技術(shù)工作的網(wǎng)絡(luò)協(xié)議層次最高A)IPSECVPNB)SSLVPNC)L2TPVPND)GREVPN[單選題]88.VPN的加密手段為()?A)具有加密功能的防火墻B)具有加密功能的路由器C)VPN內(nèi)的各臺主機(jī)對各自的信息進(jìn)行相應(yīng)的加密D)單獨的加密設(shè)備[單選題]89.106.信息安全是通過實施一組合適的（）而達(dá)到的，包括策略、過程、規(guī)程、（）以及軟件和硬件功能。在必要時需建立、安施、監(jiān)視、評審和改進(jìn)包含這些控制措施的()過程，以確保滿足該組織的特定安全和（），這個過程宜與其他業(yè)務(wù)（）聯(lián)合進(jìn)行。A)信息安全管理；控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；管理過程B)B組織結(jié)構(gòu)；控制措施；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程C)控制措施；組織結(jié)構(gòu)；信息安全管理；業(yè)務(wù)目標(biāo)；管理過程D)D控制措施；組織結(jié)構(gòu)；業(yè)務(wù)目標(biāo)；信息安全管理；管理過程[單選題]90.以下關(guān)于Linux超級權(quán)限的說明，不正確的是A)一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應(yīng)用，不需要root用戶來操作完成B)普通用戶可以通過su和sudo來獲得系統(tǒng)的超級權(quán)限C)對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進(jìn)行D)root是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都具有訪問權(quán)限[單選題]91.以下哪項活動對安全編碼沒有幫助A)代碼審計B)安全編碼規(guī)范C)編碼培訓(xùn)D)代碼版本管理[單選題]92.84.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是：A)健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障B)建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐C)建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新D)建立信息安全人才培養(yǎng)體系，加快信息安全科學(xué)建設(shè)和信息安全人才培養(yǎng)[單選題]93.438.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對人們生產(chǎn)生活造成了嚴(yán)重影響，DDos攻擊的主要目的是破壞系統(tǒng)的（）A)保密性B)可用性C)不可否認(rèn)性D)抗抵賴性[單選題]94.關(guān)于linux下的用戶和組,以下描述不正確的是。A)在linux中,每一個文件和程序都?xì)w屬于一個特定的?用戶?B)系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C)用戶和組的關(guān)系可是多對一,一個組可以有多個用戶,一個用戶不能屬于多個組D)root是系統(tǒng)的超級用戶,無論是否文件和程序的所有者都具有訪問權(quán)限[單選題]95.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A)強(qiáng)制訪問控制B)基于角色的訪問控制C)自主訪問控制D)基于任務(wù)的訪問控制[單選題]96.在確定威脅的可能性時,可以不考慮以下哪個?A)威脅源B)潛在弱點C)現(xiàn)有控制措施D)攻擊所產(chǎn)生的負(fù)面影響[單選題]97.在進(jìn)行業(yè)務(wù)連續(xù)性檢測時,下列哪一個是被認(rèn)為最重要的審查?A)熱站的建立和有效是必要B)業(yè)務(wù)連續(xù)性手冊是有效的和最新的C)保險責(zé)任范圍是適當(dāng)?shù)牟⑶冶ＹM有效D)及時進(jìn)行介質(zhì)備份和異地存儲[單選題]98.2016年9月,一位安全研究人員在GoogleCloudIP上通過掃描,發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、正黨代名和密碼,以防止攻擊者利用以上信息進(jìn)行()攻擊。A)默認(rèn)口令B)字典C)暴力D)XSS[單選題]99.關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計的重要內(nèi)容，下面關(guān)于?實體完整性?的描述正確的是？A)指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項B)指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復(fù)C)指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束D)指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以[單選題]100.隨著計算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用,安全需求變得越來越多樣化,自主訪問控制和強(qiáng)制訪問控制難以適應(yīng)需求,基于角色的訪問控制(RBAC)逐漸成為安全領(lǐng)域的一個研究熱點。RBAC模型可以分為RBAC0、RBAC1、RBAC2和RBAC3四種類型,它們之間存在相互包含關(guān)系。下列選項中,對它們之間的關(guān)系描述錯誤的是()。A)RBACO是基于模型,RBAC1、RBAC2和RBAC3都包含RBAC0B)RBAC1在RBAC0的基礎(chǔ)上,加入了角色等級的概念C)RBAC2在RBAC1的基礎(chǔ)上,加入了約束的概念D)RBAC3結(jié)合RBAC1和RBAC2,同時具備角色等級和約束[單選題]101.iptables中默認(rèn)的表名是____。A)AfilterB)BfirewallC)CnatD)Dmangle[單選題]102.下列哪種說法正確描述了生成樹路徑開銷A)根據(jù)環(huán)路中連接的交換機(jī)總數(shù)計算B)根據(jù)給定路徑上所有交換機(jī)的使用率計算C)根據(jù)給定路徑上交換機(jī)的網(wǎng)橋優(yōu)先級計算D)根據(jù)給定路徑上每個交換機(jī)端口的端口開銷值（由端口速度決定）的總和計算[單選題]103.隨著即時通訊軟件的普及使用,即時通訊軟件也被惡意代碼利用進(jìn)行傳播,以下哪項功能不是惡意代碼利用即時通訊進(jìn)行傳播的方式A)利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B)利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URLC)利用即時通訊軟件發(fā)送指向惡意地址的二維碼D)利用即時通訊發(fā)送攜帶惡意代碼的JPG圖片[單選題]104.以下哪些是可能存在的威脅因素A)病毒和蠕蟲B)設(shè)備老化故障C)系統(tǒng)設(shè)計缺陷D)保安工作不得力[單選題]105.要安全瀏覽網(wǎng)頁，不應(yīng)該（）。A)在公用計算機(jī)上使用?自動登錄?和?記住密碼?功能B)禁止開啟A.C.TIVEX控件和JA.VA.腳本C)定期清理瀏覽器C.OOKIESD)定期清理瀏覽器緩存和上網(wǎng)歷史記錄[單選題]106.78.有關(guān)能力成熟度模型（），錯誤的理解是：A)A．CMM基本思想是，因為問題是由技術(shù)落后引起的所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B)B．CMM的思想來源于項目管理和質(zhì)量管理C)CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D)D．CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即?生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品?[單選題]107.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強(qiáng)發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的？A)小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來親自教給李強(qiáng)就不會發(fā)生這個問題B)事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C)單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D)事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請升級郵件服務(wù)軟件[單選題]108.以下對使用云計算服務(wù)的理解哪一個是正確的？A)云計算是高科技，XX是大公司，所以XX云上的虛擬機(jī)肯定安全，可以放心存放用戶的各種信息B)云計算里的虛擬機(jī)不是自己的主機(jī)，可以隨便折騰，安裝各種惡意軟件C)云中的主機(jī)也需要考慮安全性，云服務(wù)商應(yīng)該定期打補丁，安裝殺毒軟件D)云計算中的數(shù)據(jù)存放在別人的電腦中，不安全，不要使用[單選題]109.軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶隱私保護(hù),以下關(guān)于用戶隱私保護(hù)的說法錯誤的是()A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)[單選題]110.下面對零日(zero-day)漏洞的理解中,正確的是A)指一個特定的漏洞,該漏洞每年1月1日零點發(fā)作,可以被攻擊者用來遠(yuǎn)程攻擊,獲取主機(jī)權(quán)限B)指一個特定的漏洞在2010年被發(fā)現(xiàn)出來的一種洞,該漏洞被震網(wǎng)病毒所利用,用來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施C)指一類漏洞,特別好被利用,一旦成功利用該類漏洞可以在1天內(nèi)完成攻擊且成功達(dá)到攻擊目標(biāo)D)一類漏洞,剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞一般來說,那些已經(jīng)被人發(fā)現(xiàn),但是還未公開、還不存在安全補丁的漏洞都是零日漏洞[單選題]111.等級保護(hù)實施根據(jù)GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》分為五大階段;()、總體規(guī)劃、設(shè)計實施、()和系統(tǒng)終止。但由于在開展等級保護(hù)試點工作時,大量信息系統(tǒng)已經(jīng)建設(shè)完成,因此根據(jù)實際情況逐步形成了()、備案、差距分析(也叫差距測評)、建設(shè)整改、驗收測評、定期復(fù)查為流程的()工作流程。和《等級保護(hù)實施指南》中規(guī)定的針對()的五大階段略有差異。A)運行維護(hù);定級;定級;等級保護(hù);信息系統(tǒng)生命周期B)定級;運行維護(hù);定級;等級保護(hù);信息系統(tǒng)生命周期C)定級運行維護(hù);等級保護(hù);定級;信息系統(tǒng)生命周期D)定級;信息系統(tǒng)生命周期;運行維護(hù);定級;等級保護(hù)[單選題]112.?統(tǒng)一威脅管理?是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里?統(tǒng)一威脅管理?常常被簡稱為？A)UTMB)FWC)IDSD)SOC[單選題]113.信息發(fā)送者使用（）進(jìn)行數(shù)字簽名。A)己方的私鑰B)己方的公鑰C)對方的私鑰D)對方的公鑰[單選題]114.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計數(shù)器5分鐘；賬戶鎖定時間10分鐘；賬戶鎖定閥值3次無效登陸。以下關(guān)于以上策略設(shè)置后的說法哪個是正確的？A)設(shè)置賬戶鎖定策略后，攻擊者無法再進(jìn)行口令暴力破解，所有輸錯的密碼的用戶就會被鎖住B)如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無法登錄系統(tǒng)C)如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該用戶帳號被鎖定5分鐘，5分鐘內(nèi)即使交了正確的密碼，也無法登錄系統(tǒng)D)攻擊者在進(jìn)行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護(hù)登陸不受影響[單選題]115.Oracle數(shù)據(jù)庫中，以下()命令可以刪除整個表中的數(shù)據(jù)，并且無法回滾。A)DropB)DeleteC)TruncateD)Cascade[單選題]116.98.小王學(xué)習(xí)了災(zāi)難備份的有關(guān)知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學(xué)知識，小王對這三種備份方式進(jìn)行對比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A)完全備份、增量備份、差量備份B)完全備份、差量備份、增量備份C)增量備份、差量備份、完全備份D)差量備份、增量備份、完全備份[單選題]117.對于重要的計算機(jī)系統(tǒng)，更換操作人員時，應(yīng)當(dāng)______系統(tǒng)的口令密碼。A)立即改變B)一周內(nèi)改變C)一個月內(nèi)改變D)3天內(nèi)改變[單選題]118.OSI開放系統(tǒng)互聯(lián)安全體系構(gòu)架中的安全服務(wù)分為鑒別服務(wù)、訪問控制、機(jī)密性服務(wù)、完整服務(wù)、抗抵賴服務(wù)，其中機(jī)密性服務(wù)描述正確的是：A)包括原發(fā)方抗抵賴和接受方抗抵賴B)包括連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性和業(yè)務(wù)流保密C)包括對等實體鑒別和數(shù)據(jù)源鑒別D)包括具有恢復(fù)功能的連接完整性、沒有恢復(fù)功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性[單選題]119.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的？A)SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B)SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C)SMTP和POP3協(xié)議缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問題D)SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠(yuǎn)程管理郵件[單選題]120.根據(jù)《信息安全等級保護(hù)管理辦法》、《關(guān)于開展信息安全等級保護(hù)測評體系建設(shè)試點工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護(hù)（）建設(shè)和開展（）工作的通知（公信安[2010]303號）等文件，由公安部（）對等級保護(hù)測評機(jī)構(gòu)管理，接受測評機(jī)構(gòu)的申請、考核和定期（）。對不具備能力的測評機(jī)構(gòu)A)等級測評；測評體系；等級保護(hù)評估中心；能力驗證；取消授權(quán)B)測評體系；等級保護(hù)評估中心；等級測評；能力驗證；取消授權(quán)C)測評體系；等級測評；等級保護(hù)評估中心；能力驗證；取消授權(quán)D)測評體系；等級保護(hù)評估中心；能力驗證；等級測評；取消授權(quán)[單選題]121.某網(wǎng)站在設(shè)計時經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在Web目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類似問題，以下哪種測試方式是最佳的測試方式？A)模糊測試B)源代碼測試C)滲透測試D)軟件功能測試[單選題]122.這段代碼存在的安全問題，不會產(chǎn)生什么安全漏洞？（）<?php$username=$_GET(username);Echo$uername；Mysql_query("select*fromorderswhereusername="$username"）；?>A)命令執(zhí)行漏洞B)SQL注入漏洞C)文件包含漏洞D)反射XSS漏洞[單選題]123.關(guān)于我國加強(qiáng)信息安全保障工作的總體要求,以下說法錯誤的是:()A)堅持積極防御、綜合防范的方針B)重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C)創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D)提高個人隱私保護(hù)意識[單選題]124.PKI的主要理論基礎(chǔ)是()。A)對稱密碼算法B)公鑰密碼算法C)量子密碼D)摘要算法[單選題]125.小張是信息安全風(fēng)險管理方面的專家,被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險進(jìn)行評估,已知:核心機(jī)房的總價價值一百萬,災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%),歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次,請問小張最后得到的年度預(yù)期損失為多少:A)24萬B)0.09萬C)37.5萬D)9萬[單選題]126.某電子商務(wù)網(wǎng)戰(zhàn)在開發(fā)設(shè)計時，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅（）A)網(wǎng)站竟?fàn)帉κ挚赡芄蛡蚬粽邔嵤〥DOS攻擊，降低網(wǎng)站訪問速度B)網(wǎng)站使用HTTP協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購買的商品金額等C)網(wǎng)站使用HTTP協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致辭，可能數(shù)據(jù)被中途篡改D)網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息[單選題]127.在2014年巴西世界杯舉行期間，一些黑客組織攻擊了世界杯贊助商及政府網(wǎng)站，制了大量網(wǎng)絡(luò)流量，阻塞正常用戶訪問網(wǎng)站。這種攻擊類型屬于下面什么攻擊（）A)跨站腳本（crosssitescripting,XSS)攻擊B)TCP會話劫持（TCPHIJACK)攻擊C)ip欺騙攻擊D)拒絕服務(wù)（denialservice.dos）攻擊[單選題]128.以下代碼容易觸發(fā)什么漏洞（）<?php$username=$_GET["name"];Echo"歡迎您,".$username."!";?>1234A)XSS漏洞B)SQLiC)OS命令注入D)代碼注入[單選題]129.關(guān)于補丁安裝時應(yīng)注意的問、，以下說法正確的是（）A)在補丁安裝部署之前不需要進(jìn)行測試，因為補丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B)補丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C)信息系統(tǒng)打補丁時需要做好備份和相應(yīng)的應(yīng)急措施D)補丁安裝部署時關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響[單選題]130.POP服務(wù)器使用的端口號是____。A)TC.P端口25B)TC.P端口110C)TC.P端口143D)TC.P端口23[單選題]131.下圖是風(fēng)險評估要素的關(guān)系圖,依次填入圖(1)~(5)資產(chǎn)評估要素之間的關(guān)系下列選項中正確的是A)(1)暴露(2)利用(3)增加(4)抵御(5)降低B)(1)利用(2)暴露(3)降低(4)抵御(5)增加C)(1)利用(2)降低(3)暴露(4)抵御(5)增加D)(1)暴露(2)利用(3)增加(4)抵御(5)增加[單選題]132.作為單位新上任的cso,你組織了一次本單位的安全評估工作以了解單位安全現(xiàn)狀。在漏洞掃描報告中,你發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個漏洞,對比上一年度的漏洞掃描報告,發(fā)現(xiàn)這個漏洞之前已經(jīng)報告出來,經(jīng)詢問安全管理員得知,這個業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉,因此無法修復(fù)。對于這個問題,你應(yīng)該如何處理()A)向公司管理層提出此問題,要求立即立項重新開發(fā)此業(yè)務(wù)系統(tǒng),避免單位中存在這樣的安全風(fēng)險B)既然此問題不是新發(fā)現(xiàn)的問題,之前已經(jīng)存在,因此與自己無關(guān),可以不予理會C)讓安全管理人員重新評估此漏洞存在的安全風(fēng)險并給出進(jìn)一步的防護(hù)措施后再考慮如何處理D)讓安全管理員找出驗收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼,自己修改解決這個漏洞[單選題]133.以下哪一個不是OSI安全體系結(jié)構(gòu)中的安全機(jī)制A)數(shù)字簽名B)路由控制C)數(shù)據(jù)交換D)抗抵賴[單選題]134.S公司在全國有20個分支機(jī)構(gòu),總部由10臺服務(wù)器、200個用戶終端,每個分支機(jī)構(gòu)都有一臺服務(wù)器、100個左右用戶終端,通過專網(wǎng)進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計方案中,四家集成商給出了各自的IP地址規(guī)劃和分配的方法,作為評標(biāo)專家,請給5公司選出設(shè)計最合理的一個:A)總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機(jī)構(gòu)服務(wù)器和用戶終端使用192.168.2.x192.168.20.xB)總部服務(wù)器使用-11、用戶終端使用2-212,分支機(jī)構(gòu)IP地址隨意確定即可C)總部服務(wù)器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x,每個分支機(jī)構(gòu)分配兩個A類地址段,一個用做服務(wù)器地址段、另外一個做用戶終端地址段D)因為通過互聯(lián)網(wǎng)連接,訪問的是互聯(lián)網(wǎng)地址,內(nèi)部地址經(jīng)NAT映射,因此IP地址無需特別規(guī)劃,各機(jī)構(gòu)自行決定即可。[單選題]135.455.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)先方案執(zhí)行（）A)由于本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害B)本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害，所以可以先不做處理C)對于重要的服務(wù)，應(yīng)在測試環(huán)境中安裝并確認(rèn)補丁兼容性問題后再正式生產(chǎn)環(huán)境中部署D)對于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補丁，用戶終端計算機(jī)由于沒有重要數(shù)據(jù)，由終端自行升級[單選題]136.83.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段，為了保證用戶帳戶安全，項目開發(fā)人員決定用戶登錄時除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用SHA－1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則：A)最小特權(quán)原則B)職責(zé)分離原則C)縱深防御原則D)最少共享機(jī)制原則[單選題]137.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效,已經(jīng)替代DES成為新的據(jù)加密標(biāo)準(zhǔn)。其算法的信息塊長度和加密密鑰是可變的,以下哪一種不是其可能的密鑰長度?A)64bitB)128bitC)192bitD)256bit[單選題]138.信息安全需求獲取的主要手段A)信息安全風(fēng)險評估B)領(lǐng)導(dǎo)的指示C)信息安全技術(shù)D)信息安全產(chǎn)品[單選題]139.安全漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。當(dāng)前,網(wǎng)絡(luò)安全漏洞掃描技術(shù)的兩大核心技術(shù)是()。A)PING掃描技術(shù)和端口掃描技術(shù)B)端口掃描技術(shù)和漏洞掃描技術(shù)C)操作系統(tǒng)探測和漏洞掃描技術(shù)D)PING掃描技術(shù)和操作系統(tǒng)探測[單選題]140.下列選項中，與面向構(gòu)件提供者的構(gòu)件測試目標(biāo)無關(guān)的是（）.A)檢查為特定項目而創(chuàng)建的新構(gòu)件的質(zhì)量B)檢查在特定平臺和操作環(huán)境中構(gòu)件的復(fù)用、打包和部署C)盡可能多地揭示構(gòu)件錯誤D)驗證構(gòu)件的功能、接口、行為和性能[單選題]141.80.關(guān)于惡意代碼的守護(hù)進(jìn)程的功能，以下說法正確的是：A)隱藏惡意代碼B)加大監(jiān)測力度C)傳播惡意代碼D)監(jiān)視惡意代碼主體程序是否正常[單選題]142.建立并完善()是有效應(yīng)對社會工程攻擊的方法,通過()的建立,使得信息系統(tǒng)用戶需要遵循()來實施某些操作,從而在一定程度上降低社會工程學(xué)的影響。例如對于用戶密碼的修改,由于相應(yīng)管理制度的要求,()需要對用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行,那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行(),因為他還需要想辦法擁有一個組織機(jī)構(gòu)內(nèi)部電話才能實施。A)信息安全管理體系;安全管理制度;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊B)信息安全管理體系;安全管理制度;網(wǎng)絡(luò)管理員;規(guī)范;社會工程學(xué)攻擊C)安全管理制度;信息安全管理體系;規(guī)范;網(wǎng)絡(luò)管理員;社會工程學(xué)攻擊D)信息安全管理體系;網(wǎng)絡(luò)管理員;安全管理制度;規(guī)范;社會工程學(xué)攻擊[單選題]143.安全審計師一種很常見的安全控制措施,它在信息全保障系統(tǒng)中,屬于()措施。A)保護(hù)B)檢測C)響應(yīng)D)恢復(fù)[單選題]144.如果可以在組織范圍定義文檔化的標(biāo)準(zhǔn)過程，在所有的項目規(guī)劃、執(zhí)行和跟蹤已定義的過程，并且可以很好地協(xié)調(diào)項目活動和組織活動，則組織的安全能力成熟度可以達(dá)到？A)規(guī)劃跟蹤定義B)充分定義級C)量化控制級D)持續(xù)改進(jìn)級[單選題]145.下面哪一項不是安全編程的原則：A)盡可能使用高級語言進(jìn)行編程B)盡可能讓程序只實現(xiàn)需要的功能C)不要信任用戶輸入的數(shù)據(jù)D)盡可能考慮到意外的情況，并設(shè)計妥善的處理方法[單選題]146.33.某單位開發(fā)了個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機(jī)構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢?A)滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯等運行維護(hù)所產(chǎn)生的漏洞B)滲透測試是用軟件代替人工的一種測試方法，因此測試效更高C)滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D)滲透測試必須查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多[單選題]147.()才是系統(tǒng)的軟助,可以毫不夸張的說,人是信息系統(tǒng)安全防護(hù)體系中最不穩(wěn)定也是(),社會工程學(xué)攻擊是一種復(fù)雜的攻擊,不能等同于一般的(),很多即使是自認(rèn)為非常警惕及小心的人,一樣會被高明的()所攻破。A)社會工程學(xué);攻擊人的因素;最脆弱的環(huán)節(jié);欺騙方法B)人的因素最脆弱的環(huán)節(jié);社會工程學(xué)攻擊;欺騙方法C)欺騙方法,最脆弱的環(huán)節(jié);人的因素;社會工程學(xué)攻擊D)人的因素,最脆弱的環(huán)節(jié);欺騙方法:社金工程學(xué)攻擊[單選題]148.以下列出了mac和散列函數(shù)的相似性,哪一項說法是錯誤的？A)MAC和散列函數(shù)都是用于提供消息認(rèn)證B)MAC的輸出值不是固定長度的，而散列函數(shù)的輸出值是固定長度的C)MAC和散列函數(shù)都不需要密鑰D)MAC和散列函數(shù)都不屬于非對稱加密算法[單選題]149.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出,建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)行,即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程并在這些過程中應(yīng)實施若干活動,請選出以下描述錯誤的選項()A)?制定ISMS方針?是建產(chǎn)ISMS階段工作內(nèi)容B)?實施培訓(xùn)和意識教育計劃?是實施和運行ISMS階段工作內(nèi)容C)?進(jìn)行有效性測量?是監(jiān)視和評審ISMS階段工作內(nèi)容D)?實施內(nèi)部審核?是保護(hù)和改進(jìn)ISMS階段工作內(nèi)容[單選題]150.79.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則？A)《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條列》C)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》D)《關(guān)于開展信息安全風(fēng)險評估工作意見》[單選題]151.66.以下哪一項不是常見威脅對應(yīng)的消減措施：A)假冒攻擊可以采用身份認(rèn)證機(jī)制來防范B)為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C)為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D)D．為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限[單選題]152.以下關(guān)于Web傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問題說法不正確的是()。A)HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗證和缺乏狀態(tài)跟蹤等方面的安全問題B)Cookie是為了辨別用戶身份,進(jìn)行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù),用戶可以隨意查看存儲在Cookie中的數(shù)據(jù),但其中的內(nèi)容不能被修改C)HTTP協(xié)議缺乏有效的安全機(jī)制,易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊D)針對HTTP協(xié)議存在的安全問題,使用HTTPS具有較高的安全性,可以通過證書來驗證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密[單選題]153.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?A)用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B)應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C)網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D)網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志[單選題]154.下列有關(guān)隱私權(quán)的表述,錯誤的是()A)網(wǎng)絡(luò)時代,隱私權(quán)的保護(hù)受到較大沖擊B)雖然網(wǎng)絡(luò)世界不同于現(xiàn)實世界,但也需要保護(hù)個人隱私C)由于網(wǎng)絡(luò)是虛擬世界,所以在網(wǎng)上不需要保護(hù)個人的隱私D)可以借助法律來保護(hù)網(wǎng)絡(luò)隱私權(quán)[單選題]155.在Windos系統(tǒng)中,存在默認(rèn)共享功能,方便為了局域網(wǎng)用戶使用,但對個人用戶來說存在安全風(fēng)險。如果電腦聯(lián)網(wǎng),網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計算機(jī)上進(jìn)行安全設(shè)置是,需要關(guān)閉默認(rèn)共享。下列選項中,能關(guān)閉默認(rèn)共享的操作是()A)?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項中的?Autodisconnect?項鍵值改為0B)將?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項中的?AutoShareServer?項鍵值改為0C)將?HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Lanmanserver\parameters?項中的?AutoShareWks?項鍵值改為0D)在命令窗口輸入命令,刪除C盤默認(rèn)共享:netshareC/del[單選題]156.企業(yè)在選擇防病毒產(chǎn)品時不應(yīng)該考慮的指標(biāo)為____。A)A產(chǎn)品能夠從一個中央位置進(jìn)行遠(yuǎn)程安裝、升級B)B產(chǎn)品的誤報、漏報率較低C)C產(chǎn)品提供詳細(xì)的病毒活動記錄D)D產(chǎn)品能夠防止企業(yè)機(jī)密信息通過郵件被傳出[單選題]157.惡意代碼問題,不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失,而且使國家的安全面臨著嚴(yán)重威脅。目前國際上一些發(fā)達(dá)國家(如美國,德國,日本等)均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長期的研究,并取得了一定的成功。程序員小張想開發(fā)一款惡意代碼的檢測軟件,經(jīng)過相關(guān)準(zhǔn)備后,他在如下選項中選擇了一個最正確的代碼的檢測思路進(jìn)行了軟件開發(fā),你認(rèn)為是哪一個()A)簡單運行B)發(fā)送者身份判斷C)禁止未識別軟件運行D)特征碼掃描[單選題]158.怎樣安全上網(wǎng)不中毒,現(xiàn)在是網(wǎng)絡(luò)時代了,上網(wǎng)是每個人都會做的事,但網(wǎng)絡(luò)病毒一直是比較頭疼的,電腦中毒也比較麻煩。某員工為了防止在上網(wǎng)時中毒使用了影子系統(tǒng),他認(rèn)為惡代碼會通過以下方式傳播,但有一項是安全的,請問是()A)網(wǎng)頁掛馬B)利用即時通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中C)Google認(rèn)證過的插件D)垃圾郵件[單選題]159.信息系統(tǒng)建設(shè)完成后,()的信息系統(tǒng)的而運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機(jī)構(gòu)進(jìn)行測評合格后方可投入使用A)二級以上B)三級以上C)四級以上D)五級以上[單選題]160.下列哪個不屬于密碼破解的方式（）A)密碼學(xué)分析B)撞庫C)暴力破解D)字典破解[單選題]161.關(guān)于信息安全管理,下面理解片面的是()A)信息安全管理是組織整體管理的重要、固有組成部分,它是組織實現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B)信息安全管理是一個不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程,不是一成不變的C)信息安全建設(shè)中,技術(shù)是基礎(chǔ),管理是拔高,即有效的管理依賴于良好的技術(shù)基礎(chǔ)D)堅持管理與技術(shù)并重的原則,是我國加強(qiáng)信息安全保障工作的主要原則之一[單選題]162.100.