試卷科目：CISE考試練習(xí)CISE考試練習(xí)(習(xí)題卷2)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISE考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.由于病毒攻擊、非法侵入等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)絡(luò)中斷，屬于以下哪種級(jí)事件（）A)特別重大事件B)重大事件C)較大事件D)一般事件答案:D解析:[單選題]2.信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的（）和關(guān)鍵性予以分類(lèi)。信息資產(chǎn)的所有者應(yīng)對(duì)其分類(lèi)負(fù)責(zé)。分類(lèi)的結(jié)果表明了（），該價(jià)值取決于其對(duì)組織的敏感性和關(guān)鍵性如保密、完整性和有效性。信息要進(jìn)行標(biāo)記務(wù)體現(xiàn)其分類(lèi)，標(biāo)記的規(guī)程需要涵蓋物理和電子格式的（)。分類(lèi)信息的標(biāo)(）和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的形記和安全處理是信息共享的一個(gè)關(guān)鍵要求。式，標(biāo)記應(yīng)易于所機(jī)個(gè)質(zhì)類(lèi)型的處理方式，組織要建立與信息分的產(chǎn)處理、加工、存儲(chǔ)和（）。A)敏感性：物理標(biāo)簽：資產(chǎn)的價(jià)值：信息資產(chǎn)；交換規(guī)程B)敏感性；信息資產(chǎn)；資產(chǎn)的價(jià)值：物理標(biāo)簽；交換規(guī)程C)資產(chǎn)的價(jià)值；敏感性；信息資產(chǎn)；物理標(biāo)簽；交換規(guī)程D)敏感性；資產(chǎn)的價(jià)值；信息資產(chǎn)；物理標(biāo)簽；交換規(guī)程答案:D解析:[單選題]3.以下哪個(gè)是國(guó)際信息安全標(biāo)準(zhǔn)化組織的簡(jiǎn)稱(chēng)（）A)ANSTB)ISOC)IEEED)NIST答案:B解析:[單選題]4.在國(guó)家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面（）A)保障要素、生命周期和運(yùn)行維護(hù)B)保障要素、生命周期和安全特征C)規(guī)劃組織、生命周期和安全特征D)規(guī)劃組織、生命周期和運(yùn)行維護(hù)答案:B解析:[單選題]5.2008年1月2日，美國(guó)發(fā)布第54號(hào)總統(tǒng)令，建立國(guó)家網(wǎng)絡(luò)安全綜合計(jì)三道防線第一道防線，減少漏洞，yn侵第二道防線，全面應(yīng)對(duì)各類(lèi)威脅第三道防線，強(qiáng)化未來(lái)安全環(huán)境。從以上內(nèi)容，我們可以看出以下哪種分析是正確的（）A)CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B)從CNCI可以看出，威脅主要是來(lái)自外部的，而漏洞和隱患主要是存在于內(nèi)部的C)CNCI的目的是盡快研發(fā)并部署新技術(shù)和徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D)CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障答案:A解析:[單選題]6.信息安全風(fēng)險(xiǎn)管理過(guò)程的模型如圖所示。按照流程請(qǐng)問(wèn)信息安全風(fēng)險(xiǎn)管理包括哪（）六個(gè)方面的內(nèi)容。（）是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，（）則貫穿于這四個(gè)基本步驟中。A)背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢(xún)；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督；監(jiān)控審查和溝通咨詢(xún)B)背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢(xún)；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和監(jiān)控審查；批準(zhǔn)監(jiān)督和溝通咨詢(xún)C)背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢(xún)；背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和溝通咨詢(xún)；監(jiān)控審查和批準(zhǔn)監(jiān)督D)背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢(xún)；背景建立、風(fēng)險(xiǎn)評(píng)估、監(jiān)控審查和批準(zhǔn)監(jiān)督；風(fēng)險(xiǎn)處理和溝通咨詢(xún)答案:A解析:[單選題]7.網(wǎng)絡(luò)服務(wù)包括（）、私有網(wǎng)絡(luò)服務(wù)、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案，例如防火墻和入侵檢測(cè)系統(tǒng)。這些服務(wù)既包括簡(jiǎn)單的未受控的帶寬也包括復(fù)雜的（）。組織宜識(shí)別特殊服務(wù)的安全安排，例如（）、服務(wù)級(jí)別和管理要求。網(wǎng)絡(luò)服務(wù)提供商以安全方式管理商定服務(wù)的能力宜予以確定并（），還宜商定（）。組織宜確保網(wǎng)絡(luò)服務(wù)提供商實(shí)施了這些措施。A)接入服務(wù)；定期監(jiān)視；增值的提供；安全特性；審核的權(quán)利B)接入服務(wù)；安全特性；增值的提供；定期監(jiān)視；審核的權(quán)利C)增值的提供；接入服務(wù)；安全特性；定期監(jiān)視；審核的權(quán)利D)接入服務(wù)；增值的提供；安全特性；定期監(jiān)視；審核的權(quán)利答案:D解析:[單選題]8.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：（）A)信息系統(tǒng)集成項(xiàng)目要以滿(mǎn)足客戶(hù)和用戶(hù)的需求為根本出發(fā)點(diǎn)B)系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過(guò)程。C)信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是?總體規(guī)劃、分布實(shí)施?。D)信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程。答案:B解析:[單選題]9.信息系統(tǒng)建設(shè)完成后，到達(dá)（）的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)，進(jìn)行測(cè)評(píng)合格后方可投入使用。A)二級(jí)以上B)三級(jí)以上C)四級(jí)以上D)五級(jí)以上答案:A解析:[單選題]10.以下行為不屬于違反國(guó)家保密規(guī)定的行為：（）A)將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B)通過(guò)普通郵政等無(wú)保密措施的渠道傳遞國(guó)家秘密載體C)在私人交往中涉及國(guó)家秘密D)以不正當(dāng)手段獲取商業(yè)秘密答案:D解析:[單選題]11.保護(hù)-檢測(cè)-響應(yīng)（Protection-Detection-Response，PDR）模型是（）工作中常用的模型，其思想是承認(rèn)（）中漏洞的存在，正視系統(tǒng)面臨的（），通過(guò)采取適度防護(hù)、加強(qiáng)（）、落實(shí)對(duì)安全事件的響應(yīng)、建立對(duì)威脅的防護(hù)來(lái)保障系統(tǒng)的安全.A)信息系統(tǒng)；信息安全保障；威脅；檢測(cè)工作B)信息安全保障；信息系統(tǒng)；檢測(cè)工作；威脅C)信息安全保障；信息系統(tǒng)；威脅；檢測(cè)工作D)信息安全保障；威脅；信息系統(tǒng)；檢測(cè)工作答案:C解析:[單選題]12.組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和（）功能的訪問(wèn)。對(duì)5組級(jí)應(yīng)依基于各個(gè)業(yè)務(wù)應(yīng)用要求。訪問(wèn)控制策略還要與組織的訪問(wèn)向的限制安安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身以驗(yàn)證用戶(hù)身份。在需要強(qiáng)認(rèn)證和（）時(shí)，宜使用如加密、智能、今牌或生物手段等著代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對(duì)于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用，應(yīng)加以限制并（）。對(duì)程序源代碼和相關(guān)事項(xiàng)（例如設(shè)計(jì)、說(shuō)明書(shū)、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃）的訪問(wèn)宜嚴(yán)格控制，以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的（）。對(duì)于程序源代碼的保存，可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn)，更好的是放在（）中。A)應(yīng)用系統(tǒng)；身份驗(yàn)證；嚴(yán)格控制；保密性；源程序庫(kù)B)身份驗(yàn)證；應(yīng)用系統(tǒng)；嚴(yán)格控制；保密性；源程序庫(kù)C)應(yīng)用系統(tǒng)；應(yīng)用系統(tǒng)；身份驗(yàn)證；保密性；源程序庫(kù)D)應(yīng)用系統(tǒng)；保密性；身份驗(yàn)證；嚴(yán)格控制；源程序庫(kù)答案:A解析:[單選題]13.某云平臺(tái)要推出一項(xiàng)新的加密服務(wù)，包含快速加密與加密傳輸?shù)墓δ?，與此同時(shí)需要兼顧平臺(tái)有限的密鑰存儲(chǔ)空間，可以采用以下哪類(lèi)方案（）。A)使用對(duì)稱(chēng)密碼算法對(duì)原始信息進(jìn)行加解密，使用公鑰算法實(shí)現(xiàn)通信B)使用公鑰密碼算法對(duì)原始信息進(jìn)行加解密，使用公鑰算法實(shí)現(xiàn)通信C)使用對(duì)稱(chēng)密碼算法對(duì)原始信息進(jìn)行加解密，使用私鑰算法實(shí)現(xiàn)通信D)使用公鑰密碼算法對(duì)原始信息進(jìn)行加解密，使用私鑰算法實(shí)現(xiàn)通信答案:A解析:[單選題]14.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進(jìn)行一次，事件發(fā)生時(shí)間為周三，因此導(dǎo)致該公司三個(gè)工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無(wú)法訪問(wèn)，影響到了與公司有業(yè)務(wù)往來(lái)部分分公司業(yè)務(wù)，在事故處理報(bào)告中，根據(jù)GB/Z20986-2007《信息安全事件分級(jí)分類(lèi)指南》，該事件的準(zhǔn)確分類(lèi)和定級(jí)應(yīng)該是（）A)有害程序事件，特別重大事件（I級(jí)）B)信息破壞事件，重大事件（II級(jí)）C)有害程序事件，較大事件（III級(jí)）D)信息破壞事件，一般事件（IV級(jí)）答案:C解析:[單選題]15.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來(lái)自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)行為。當(dāng)檢測(cè)統(tǒng)到來(lái)自?xún)?nèi)外網(wǎng)絡(luò)對(duì)防火墻的抗攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。但入侵檢測(cè)技術(shù)不能實(shí)現(xiàn)以下哪種功能（）A)檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)B)核查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C)防止IP地址欺騙D)識(shí)別違反安全策略的用戶(hù)活動(dòng)答案:C解析:[單選題]16.訪問(wèn)控制是對(duì)用戶(hù)或用戶(hù)組訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶(hù)的授權(quán)基于用戶(hù)權(quán)限和對(duì)象許可，通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪間控制功能。以下選項(xiàng)中，對(duì)Windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）A)ACL只能由管理員進(jìn)行管理B)ACL是對(duì)象安全描述符的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶(hù)和組的SIDC)訪問(wèn)令牌存儲(chǔ)著用戶(hù)的SID、組信息和分配給用戶(hù)的權(quán)限D(zhuǎn))通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制答案:A解析:[單選題]17.北京某公司利用SSE-CMM對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（）A)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定文了6個(gè)能力級(jí)別，當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過(guò)程域中的基本實(shí)踐時(shí)，該過(guò)程域的過(guò)程能力是0級(jí)B)達(dá)到SSE-CMM最高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過(guò)程，每次執(zhí)行的結(jié)果質(zhì)量必須相同C)系統(tǒng)安全工程能力成熟度模型（SSE-MM4）定義了3個(gè)風(fēng)險(xiǎn)過(guò)程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性，評(píng)價(jià)影響D)SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性答案:A解析:[單選題]18.近幾年，無(wú)線通信技術(shù)迅猛發(fā)展，廣泛應(yīng)用于各個(gè)領(lǐng)域。而無(wú)線信道是一個(gè)開(kāi)放性信道，它在賦予無(wú)線用戶(hù)通信自由的同時(shí)也給無(wú)線通信網(wǎng)絡(luò)帶來(lái)一些不安全因素。下列選項(xiàng)中，對(duì)無(wú)線通信技術(shù)的安全特點(diǎn)描述正確的是()。A)無(wú)線通道是一個(gè)開(kāi)放性通道，任何具有適當(dāng)無(wú)線設(shè)備的人均可以通過(guò)搭線竊聽(tīng)而獲得網(wǎng)絡(luò)通信內(nèi)容B)通過(guò)傳輸流分析，攻擊者可以掌握精確的通信內(nèi)容C)對(duì)于無(wú)線局域網(wǎng)絡(luò)和無(wú)線個(gè)人區(qū)域網(wǎng)絡(luò)來(lái)說(shuō)，它們的通信內(nèi)容更容易被竊聽(tīng)D)群通信方式可以防止網(wǎng)絡(luò)外部人員獲取網(wǎng)絡(luò)內(nèi)部通信內(nèi)容答案:C解析:[單選題]19.一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成，而其安全性是由下列哪個(gè)選項(xiàng)決定的（）A)加密算法B)解密算法C)加密和解密算法D)密鑰答案:D解析:[單選題]20.PDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的是（）A)A是Act或Adjust，指持續(xù)改進(jìn)問(wèn)題B)D是Do，指實(shí)施、具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容C)C是Check，指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問(wèn)題D)Prepare，指分析問(wèn)題、發(fā)現(xiàn)問(wèn)題、確定方針、目標(biāo)和活動(dòng)計(jì)劃答案:D解析:[單選題]21.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）A)要求開(kāi)發(fā)人員采用瀑布開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā)B)要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)C)要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則D)要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題答案:A解析:[單選題]22.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中辦發(fā)［2003］）、加強(qiáng)信息安全保障工作的（）、27號(hào)明確了我國(guó)信息安全保障工作的（它標(biāo)志著我國(guó)信息安需要重點(diǎn)加強(qiáng)的信息安全保障工作。27號(hào)文的重大意義是，加強(qiáng)的信息，我國(guó)最近十余年的信息安全保障工作都是國(guó)統(tǒng)政策性文件來(lái)（）的、促進(jìn)了我國(guó)（）的各項(xiàng)工作。A)方針；主要原則；總體綱領(lǐng)；展開(kāi)和推進(jìn)；信息安全保障建設(shè)B)總體要求；總體綱領(lǐng)；主要原則；展開(kāi)；信息安全保障建設(shè)C)方針和總體要求；主要原則；總體綱領(lǐng)；展開(kāi)和推進(jìn)；信息安全保障建設(shè)D)總體要求；主要原則；總體綱領(lǐng)；展開(kāi)；信息安全保障建設(shè)答案:C解析:[單選題]23.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一，關(guān)于應(yīng)急響應(yīng)工作，下面描述錯(cuò)誤的是（）A)信息安全應(yīng)急響應(yīng)，通常是指一個(gè)組織為了應(yīng)對(duì)各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對(duì)措施B)應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專(zhuān)業(yè)性、強(qiáng)突發(fā)性、對(duì)知識(shí)經(jīng)驗(yàn)的高依賴(lài)性，以及需要廣泛的協(xié)調(diào)與合作C)應(yīng)急響應(yīng)是組織在處置應(yīng)對(duì)突發(fā)/重大信息安全事件時(shí)的工作，其主要包括西部分工作：安全事件發(fā)生時(shí)正確指揮、事件發(fā)生后全面總結(jié)D)應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲(chóng)病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性答案:C解析:[單選題]24.下列關(guān)于邏輯覆蓋的敘述中，說(shuō)法錯(cuò)誤的是（）A)對(duì)于多分支的判定，判定覆蓋要使每一個(gè)判定方式獲得每一種可能的值來(lái)測(cè)試B)語(yǔ)句覆蓋較判定覆蓋嚴(yán)格，但該測(cè)試仍不充分C)語(yǔ)句覆蓋是比較弱的覆蓋標(biāo)準(zhǔn)D)條件組合覆蓋是比較強(qiáng)的覆蓋標(biāo)準(zhǔn)答案:B解析:[單選題]25.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測(cè)試，下列問(wèn)題中哪個(gè)最應(yīng)該引起關(guān)注()A)由于有限的測(cè)試時(shí)間窗，僅僅測(cè)試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測(cè)試B)在測(cè)試的過(guò)程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測(cè)試失敗C)在開(kāi)啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過(guò)程比計(jì)劃需要多得多得時(shí)間D)每年都是由相同的員工執(zhí)行此測(cè)試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒(méi)有使用災(zāi)難恢復(fù)計(jì)劃（DRP）文檔答案:D解析:[單選題]26.由于密碼技術(shù)都依賴(lài)于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說(shuō)法錯(cuò)誤的是（）A)科克霍夫在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴(lài)于對(duì)加密體制或算法的保密，而依賴(lài)于密鑰B)在保密通信過(guò)程中，通信雙方可以一直使用之前用過(guò)的會(huì)話密鑰，不影響安全性C)密鑰管理需要在安全策略的指導(dǎo)下處理密鑰生命周期的整個(gè)過(guò)程，包括產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷(xiāo)等D)在保密通信過(guò)程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話密鑰進(jìn)行保密通信答案:B解析:[單選題]27.針對(duì)軟件的拒絕服務(wù)攻擊時(shí)通過(guò)消耗系統(tǒng)資源是軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下那個(gè)不是需要考慮的攻擊方式（）A)攻擊者利用軟件存在邏輯錯(cuò)誤，通過(guò)發(fā)送某種類(lèi)型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100％B)攻擊者利用軟件腳本使用多重帳套查詢(xún)?cè)跀?shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢(xún)效率低，通過(guò)發(fā)送大量的查詢(xún)導(dǎo)致數(shù)據(jù)庫(kù)相應(yīng)緩慢C)攻擊者利用軟件不自動(dòng)釋放鏈接的問(wèn)題，通過(guò)發(fā)送大量鏈接的消耗軟件并發(fā)生連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn)D)攻擊者買(mǎi)通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn)答案:D解析:[單選題]28.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面的工作的部門(mén)領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn).一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法.請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)。（）A)風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)，以及半定量風(fēng)險(xiǎn)分析B)定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直分析覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C)定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D)半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化答案:B解析:[單選題]29.作為企業(yè)網(wǎng)絡(luò)應(yīng)用核心之一，電子郵件為企業(yè)進(jìn)行信息交流提供了有力支持，在帶給人們便利的同時(shí)，電子郵件也帶來(lái)了諸如垃圾信息、密碼被破譯、郵件被監(jiān)聽(tīng)等安全問(wèn)題，隨著安全電子郵件技術(shù)的發(fā)展，電子郵件所遭遇的安全問(wèn)題正在被逐步化解，下列四項(xiàng)中，不屬于典型的電子郵件安全標(biāo)準(zhǔn)的是()A)S/MIMEB)PGPC)CRCD)PEM答案:C解析:[單選題]30.內(nèi)容安全是我國(guó)信息安全保障工作中的一個(gè)重要環(huán)節(jié)，互聯(lián)網(wǎng)所帶來(lái)的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越來(lái)越受到重視，以下哪個(gè)描述不屬于內(nèi)容安全的范疇（）A)某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì)，對(duì)向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核，確保無(wú)侵犯版權(quán)行為后才能在網(wǎng)站上進(jìn)行發(fā)布B)某網(wǎng)站采取了技術(shù)措施，限制對(duì)同一IP地址對(duì)網(wǎng)站的并發(fā)連接，避免爬蟲(chóng)通過(guò)大量的訪問(wèn)采集網(wǎng)站發(fā)布數(shù)據(jù)C)某論壇根據(jù)相關(guān)法律要求，進(jìn)行了大量的關(guān)鍵詞過(guò)濾，使用戶(hù)無(wú)法發(fā)布包含被過(guò)濾關(guān)鍵詞的相關(guān)內(nèi)容D)某論壇根據(jù)國(guó)家相關(guān)法律要求，為了保證用戶(hù)信息泄露，對(duì)所有用戶(hù)信息，包括用戶(hù)名、密碼、身份證號(hào)等都進(jìn)行了加密的存儲(chǔ)答案:B解析:[單選題]31.安全審計(jì)是一種很常見(jiàn)的安全控制措施，它在信息安全保障體系中，屬于（）措施。A)保護(hù)B)檢測(cè)C)響應(yīng)D)恢復(fù)答案:B解析:[單選題]32.在信息安全保障工作中，人才是非常重要的因素，近年來(lái)，我國(guó)一直高度重視我國(guó)信息安全人才隊(duì)伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國(guó)關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是（）A)在《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)［2003］27號(hào)）中，針對(duì)信息安全人才建設(shè)與培養(yǎng)工作提出了?加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)?的指導(dǎo)精神B)2015年，為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，經(jīng)報(bào)國(guó)務(wù)院學(xué)位委員會(huì)批準(zhǔn)，國(guó)務(wù)院學(xué)位委員會(huì)、教育部決定在?工學(xué)?門(mén)類(lèi)下增設(shè)?網(wǎng)絡(luò)安全空間?一級(jí)學(xué)科，這對(duì)于我國(guó)網(wǎng)絡(luò)安全人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)起到積極作用C)經(jīng)過(guò)十余年的發(fā)展，我國(guó)信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多，基本能同社會(huì)實(shí)際需求相匹配；同時(shí)，高校信息安全專(zhuān)業(yè)畢業(yè)人才的綜合能力要求高、知識(shí)更全面，因而社會(huì)化培養(yǎng)應(yīng)重點(diǎn)放在非安全專(zhuān)業(yè)人才培養(yǎng)上D)除正規(guī)大學(xué)教育外，我國(guó)信息安全非學(xué)歷教育己基本形成了以各種認(rèn)證為核心，輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系，包括?注冊(cè)信息安全專(zhuān)業(yè)人員（CISP）?資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證。答案:C解析:[單選題]33.關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的（）A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件B)國(guó)際標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)際標(biāo)準(zhǔn)條約為準(zhǔn)C)行業(yè)標(biāo)準(zhǔn)是針對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)而又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn).同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國(guó)家標(biāo)準(zhǔn)條款為準(zhǔn)D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)制定，并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門(mén)和國(guó)務(wù)院有關(guān)行政主管部門(mén)備案，在公布國(guó)家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止答案:B解析:[單選題]34.組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問(wèn)題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保持足夠的支持技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采?。ǎ?。當(dāng)供應(yīng)商提供的服務(wù)，包活對(duì)（）方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理。A)供應(yīng)商；服務(wù)管理；信息安全；合適的措施；信息安全B)服務(wù)管理；供應(yīng)商；信息安全；合適的措施；信息安全C)供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全D)供應(yīng)商；信息安全；服務(wù)管理；合適的措施；信息安全答案:A解析:[單選題]35.惡意代碼問(wèn)題，不僅使企業(yè)和用戶(hù)蒙受了巨大的經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。目前國(guó)際上一些發(fā)達(dá)國(guó)家（如美國(guó)，德國(guó)，日本等）均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長(zhǎng)期的研究，并取得了一定的成功。程序員小張想開(kāi)發(fā)一款?lèi)阂獯a的檢測(cè)軟件，經(jīng)過(guò)相關(guān)準(zhǔn)備后，他在如下選項(xiàng)中選擇了一個(gè)最正確的代碼的檢測(cè)思路進(jìn)行了軟件開(kāi)發(fā)，你認(rèn)為是哪一個(gè)（）A)簡(jiǎn)單運(yùn)行B)發(fā)送者身份判斷C)禁止未識(shí)別軟件運(yùn)行D)特征碼掃描答案:D解析:[單選題]36.系統(tǒng)安全工程能力成熟度模型評(píng)估方法（SSAM，SSE-CMMAppraisalMethod）是專(zhuān)門(mén)基于SSE-CMM的評(píng)估方法。它包含對(duì)系統(tǒng)安全工程能力成熟度模型中定義的組織的（）流程能力和成熟度進(jìn)行評(píng)估所需的（）。SSAM評(píng)估過(guò)程分為四個(gè)階段，（）、（）、（）（）。A)信息和方向；系統(tǒng)安全工程；規(guī)劃；準(zhǔn)備；現(xiàn)場(chǎng)；報(bào)告B)信息和方向；系統(tǒng)工程；規(guī)劃；準(zhǔn)備；現(xiàn)場(chǎng)；報(bào)告C)系統(tǒng)安全工程；信息；規(guī)劃；準(zhǔn)備；現(xiàn)場(chǎng)；報(bào)告D)系統(tǒng)安全工程；信息和方向；規(guī)劃；準(zhǔn)備；現(xiàn)場(chǎng)；報(bào)告答案:D解析:[單選題]37.?規(guī)劃（plan）-實(shí)施（Do）-檢查（Check）-處置（Act）?（PDCA過(guò)程）又叫（），是管理學(xué)中的一個(gè)通用模型，最早由（）于1930年構(gòu)想，后來(lái)被美國(guó)質(zhì)量管理專(zhuān)家（）博士在1950年再度挖掘出來(lái)，并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程。PDCA循環(huán)就是按照?規(guī)劃、實(shí)施、檢查、處置?的順序進(jìn)行質(zhì)量管理，并且循環(huán)不止地進(jìn)行下去的（），建立符合國(guó)際標(biāo)準(zhǔn)ISO9001的質(zhì)量管理體系即是一個(gè)典型的PDCA過(guò)程建立ISO14001環(huán)境管理體系，ISO20000IT服務(wù)（）也是一個(gè)類(lèi)似的過(guò)程。A)質(zhì)量環(huán)、休哈特、戴明、管理體系、科學(xué)程序B)質(zhì)量環(huán)、戴明、休哈特、管理體系、科學(xué)程序C)質(zhì)量環(huán)、戴明、休哈特、科學(xué)程序、管理體系D)質(zhì)量環(huán)、休哈特、戴明、科學(xué)程序、管理體系答案:D解析:[單選題]38.在信息安全風(fēng)險(xiǎn)管理過(guò)程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯(cuò)誤的（）A)背景建立的依據(jù)是國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標(biāo)和特性B)背景建立階段應(yīng)識(shí)別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性，并分別賦值，同時(shí)確認(rèn)已有的安全措施，形成需要保護(hù)的資產(chǎn)清單C)背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告D)背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的安全要求報(bào)告答案:B解析:[單選題]39.某網(wǎng)站為了開(kāi)發(fā)的便利，使用SA鏈接數(shù)據(jù)庫(kù)，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過(guò)程XP＿Ccmdshe11刪除了系統(tǒng)中的一個(gè)重要文件，在進(jìn)行問(wèn)題分析時(shí)，作為安全專(zhuān)家，你應(yīng)該指出該網(wǎng)站設(shè)計(jì)違反了以下哪項(xiàng)原則：（）A)權(quán)限分離原則B)最小特權(quán)原則C)保護(hù)最薄弱環(huán)節(jié)的原則D)縱深防御的原則答案:B解析:[單選題]40.下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是（）A)國(guó)家標(biāo)準(zhǔn)＜信息系統(tǒng)安全保障評(píng)估框架第一部分；簡(jiǎn)介和一般模型＞（GB/18336.1-2006）中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B)模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可跟據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C)信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全D)信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性，完整性和可用性，單位對(duì)信息系統(tǒng)維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入答案:D解析:[單選題]41.GaryMcGraw博士及其合作者提出軟件安全應(yīng)由三根支柱來(lái)支撐，這三個(gè)支柱是（）A)源代碼審核、風(fēng)險(xiǎn)分析和滲透測(cè)試B)應(yīng)用風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)C)威脅建模、滲透測(cè)試和軟件安全接觸點(diǎn)D)威脅建模、源代碼審核和模糊測(cè)試答案:B解析:[單選題]42.根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是（）。A)信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B)信息安全風(fēng)險(xiǎn)評(píng)估工作要按照?嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效?的原則開(kāi)展C)信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)答案:A解析:[單選題]43.為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作，我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級(jí)保護(hù)工作的工作階段分級(jí).下面四個(gè)標(biāo)準(zhǔn)中，（）規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)、對(duì)象、流程、方法及登記變更等內(nèi)容：A)GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B)GB/T《信息系統(tǒng)安全保護(hù)登記定級(jí)指南》C)GB/T《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》D)GB/T《信息系統(tǒng)安全管理要求》答案:B解析:[單選題]44.為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過(guò)程的說(shuō)法不正確的是（）A)由于在實(shí)際滲透測(cè)試過(guò)程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試前要提醒用戶(hù)進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問(wèn)題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)B)滲透測(cè)試從?逆向?的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況C)滲透測(cè)試應(yīng)當(dāng)經(jīng)過(guò)方案制定、信息收集、漏洞利用、完成滲透測(cè)試報(bào)告等步驟D)為了深入發(fā)掘該系統(tǒng)存在的安全威脅應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試答案:D解析:[單選題]45.關(guān)于信息安全保障技術(shù)框架（IATF），以下說(shuō)法不正確的是（）A)分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本B)IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破-層也無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施C)允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性D)IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制答案:D解析:[單選題]46.在某信息系統(tǒng)的設(shè)計(jì)中，用戶(hù)登錄過(guò)程是這樣的（1）用戶(hù)通過(guò)HITP協(xié)議訪問(wèn)信息系統(tǒng)，（2）用戶(hù)在登錄頁(yè)，面輸入用戶(hù)名和口令：（3）信息系統(tǒng)在服務(wù)器端檢查用戶(hù)名和密碼的正確性，如果正確，則鑒別完成，可以看出，這個(gè)鑒別過(guò)程屬于（）A)單向鑒別B)雙向鑒別C)三向簽別D)第三方鑒別答案:A解析:[單選題]47.關(guān)于信息安全管理體系的作用，下面理解錯(cuò)誤的是（）A)對(duì)內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實(shí)現(xiàn)有?法?可依，有章可循，有據(jù)可查B)對(duì)內(nèi)而言，是一個(gè)光花錢(qián)不掙錢(qián)的事情，需要組織通過(guò)其他方面收入來(lái)彌補(bǔ)投C)對(duì)外而言，有助于使各利益相關(guān)方對(duì)組織充滿(mǎn)信心D)對(duì)外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任答案:B解析:[單選題]48.即使最好用的安全產(chǎn)品也存在（）的結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個(gè)被開(kāi)發(fā)出的漏洞。一種有效的對(duì)策是在敵手和它的目標(biāo)之間配備多種（）。每一種機(jī)制都應(yīng)包括（）兩種手段。A)安全機(jī)制：安全缺陷：保護(hù)和檢測(cè)B)安全缺陷：安全機(jī)制：保護(hù)和檢測(cè)C)安全缺陷；保護(hù)和檢測(cè)；安全機(jī)制D)安全缺陷；安全機(jī)制；外邊和內(nèi)部答案:B解析:[單選題]49.信息安全標(biāo)準(zhǔn)化工作是我國(guó)信息安全保障工作的重要組成部分之一，進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的是政于段之一。關(guān)于我國(guó)信息安全標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是（）A)我國(guó)是在國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管理全國(guó)標(biāo)準(zhǔn)化工作，下設(shè)有專(zhuān)業(yè)技術(shù)委員會(huì)B)因事關(guān)國(guó)家安全利益，信息安全因此不能和國(guó)際標(biāo)準(zhǔn)相同，而是要通過(guò)本國(guó)組織和專(zhuān)家制定標(biāo)準(zhǔn)，確實(shí)有效地保護(hù)國(guó)家利益和安全C)我國(guó)歸口信息安全方面標(biāo)準(zhǔn)的是?全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)?，為加強(qiáng)相關(guān)工作，2016在其下設(shè)立?大數(shù)據(jù)安全特別工作組?D)信息安全標(biāo)準(zhǔn)化工作是解決信息安全問(wèn)題的重要技術(shù)支撐，其主要作用突出地體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性答案:B解析:[單選題]50.關(guān)于源代碼審核，下列說(shuō)法正確的是（）A)源代碼審核往往需要大量的時(shí)間，采用人工審核費(fèi)事費(fèi)力，但可以通過(guò)多人并行審核來(lái)彌補(bǔ)這個(gè)缺點(diǎn)B)源代碼審核工具應(yīng)當(dāng)以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能C)使用源代碼審核工具自動(dòng)化執(zhí)行代碼檢查和分析，能夠極大提高軟件可靠性節(jié)省軟件開(kāi)發(fā)和測(cè)試的成本，已經(jīng)取代人工審核方式D)源代碼審核是指無(wú)需運(yùn)行被測(cè)代碼，僅對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代中可能隱藏的錯(cuò)誤和缺陷答案:D解析:[單選題]51.網(wǎng)頁(yè)防篡改是對(duì)Web頁(yè)面文件進(jìn)行完整性保護(hù)的技術(shù)措施，可以用于Web服務(wù)器，也可以用于中間件服務(wù)器其采用Web服務(wù)器底層文件過(guò)濾驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合，所檢測(cè)的文件類(lèi)型不限，可以是一個(gè)html文件也可以是一段動(dòng)態(tài)代碼，執(zhí)行準(zhǔn)確率高，下列對(duì)于網(wǎng)頁(yè)防篡改產(chǎn)品的技術(shù)原理描述中錯(cuò)誤的是（）。A)載波監(jiān)聽(tīng)多路訪問(wèn)技術(shù)B)摘要循環(huán)技術(shù)C)事件觸發(fā)技術(shù)D)底層過(guò)濾技術(shù)答案:A解析:[單選題]52.有關(guān)能力成熟度模型（CMM），理解錯(cuò)誤的是（）A)CM的基本思想是，因?yàn)閱?wèn)題是由技術(shù)落后引起的，所以新技術(shù)，的運(yùn)用會(huì)在一定程度上提高質(zhì)量，生產(chǎn)率和利潤(rùn)率B)CMM的思想源于項(xiàng)目管理和質(zhì)量管理C)CMM是一種衡量工程實(shí)施能力的方法，是一種面相工程過(guò)程的方法D)CMM是建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即?生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品?答案:A解析:[單選題]53.有關(guān)危害國(guó)家秘密安全的行為包括（）A)嚴(yán)重違反保密規(guī)定行為，定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門(mén)的工作人員的違法行為B)嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為，保密行政管理部門(mén)的工作人員的違法行為，但不包括定密不當(dāng)行為C)嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門(mén)的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為D)嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為、單不包括保密行政管理部門(mén)的工作人員的違法行為答案:A解析:[單選題]54.P2DR模型是一個(gè)用于描述網(wǎng)絡(luò)動(dòng)態(tài)安全的模型，這個(gè)模型經(jīng)常使用圖形的形式來(lái)形象表達(dá)，如下圖所示：請(qǐng)問(wèn)圖中空白處應(yīng)填寫(xiě)是（）A)執(zhí)行（do）B)檢測(cè)（detection）C)數(shù)據(jù)（data）D)持續(xù)（direction）答案:B解析:[單選題]55.某公司一名員工在瀏覽網(wǎng)頁(yè)時(shí)電腦遭到攻擊，同公司的技術(shù)顧問(wèn)立即判斷這是跨站腳本引起的，并告訴該員工跨站腳本分為三種類(lèi)型，該員工在這三種類(lèi)型中又添一種，打算考考公司的小張，你能找到該員工新增的錯(cuò)誤答案嗎？（）A)反射型XSSB)存儲(chǔ)型XSSC)基于INTEL的XSSD)基于DOM的XSS答案:C解析:[單選題]56.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪項(xiàng)沒(méi)有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性（）A)結(jié)構(gòu)的開(kāi)放性，即功能和保證要求都可以在具體的?保護(hù)輪廓?和?安全目標(biāo)?中進(jìn)一步細(xì)化和擴(kuò)展B)表達(dá)方式的通用性，即給出通用的表達(dá)方式C)獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離程中D)實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開(kāi)發(fā)、生產(chǎn)、測(cè)試和評(píng)估過(guò)答案:C解析:[單選題]57.某汽車(chē)保險(xiǎn)公司有龐大的信貸數(shù)據(jù)，基于這些可信的不可篡改的數(shù)據(jù)，公司希望利用區(qū)塊鏈的技術(shù)，根據(jù)預(yù)先定義好的規(guī)則和條款，自動(dòng)控制保險(xiǎn)的理賠。這一功能主要利用了的區(qū)塊鏈的（）技術(shù)特點(diǎn)A)分布式賬本B)非對(duì)稱(chēng)加密和授權(quán)技術(shù)C)共識(shí)機(jī)制D)智能合約答案:D解析:[單選題]58.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是（）A)項(xiàng)目是為達(dá)到特定的目的，使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力B)項(xiàng)目有明確的開(kāi)始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來(lái)隨機(jī)確定C)項(xiàng)目資源指完成項(xiàng)目所需要的人，財(cái)，物等D)項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體（Specific）、可測(cè)量（Measurable）、需相關(guān)方的一致同意（Agreeto）、現(xiàn)實(shí)（Realistic）、有定的時(shí)限（Time-oriented）答案:B解析:[單選題]59.信息安全管理體系（informationsecuritymanagementsystem、isms）的內(nèi)部審核和管理審核是二項(xiàng)重要的管理活動(dòng)。關(guān)于這二者，下面描述錯(cuò)誤的是（）A)內(nèi)部審核和管理審評(píng)都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B)內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開(kāi)管理審評(píng)會(huì)議的形式進(jìn)行C)內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國(guó)家政策制定的第三方技術(shù)服務(wù)機(jī)構(gòu)D)組織的信息安全方針、信息安全目標(biāo)和有關(guān)的ISMS文件等，在內(nèi)部審計(jì)中作為審核準(zhǔn)使用，但在管理評(píng)審中，這些文件是被審對(duì)象答案:C解析:[單選題]60.在一個(gè)使用Chinesewall型建立訪問(wèn)控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)x在一個(gè)興趣沖突，數(shù)據(jù)Y和Z在另一個(gè)信息興趣沖突域中，那么可以確定一個(gè)新注冊(cè)的用戶(hù)（）A)只有訪問(wèn)了W之后，才可以訪問(wèn)XB)只有訪問(wèn)了W之后，才可以訪問(wèn)Y和Z中的一個(gè)C)無(wú)論是否訪問(wèn)W，都只能訪問(wèn)Y和Z中的一個(gè)D)無(wú)論是否訪問(wèn)W，都不能訪問(wèn)Y或Z答案:C解析:[單選題]61.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開(kāi)放，總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志，從而導(dǎo)致信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施（）A)由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B)為配合總部的安全策略，會(huì)帶來(lái)一定的安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)C)日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置讓前置機(jī)不記錄日志D)只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間答案:D解析:[單選題]62.惡意代碼的防范在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的今天給計(jì)算機(jī)安全性帶來(lái)了新的挑戰(zhàn)。在internet安全事件中惡意代碼造成的損失所占比重最大。某公司為進(jìn)行惡意代碼預(yù)防，通過(guò)網(wǎng)上查詢(xún)找到惡意代碼預(yù)防的三個(gè)方面的措施，張主管發(fā)現(xiàn)下列選項(xiàng)中有一項(xiàng)不屬于上述的三個(gè)方面，請(qǐng)問(wèn)是哪一項(xiàng)()A)安全策略B)安裝最新的安全補(bǔ)丁C)減輕威脅D)減少漏洞答案:B解析:[單選題]63.在使用系統(tǒng)安全工程一能力成熟度模型（SSE-CMM）對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是（）A)如果該組織在執(zhí)行某個(gè)特定的過(guò)程區(qū)域時(shí)具備利潤(rùn)一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過(guò)程區(qū)域的能力成熟度未達(dá)到此級(jí)B)如果該組織某個(gè)過(guò)程區(qū)域（ProcessAreas，PA）具備了?定義標(biāo)準(zhǔn)過(guò)程?、執(zhí)行已定義的過(guò)程?兩個(gè)公共特征，則過(guò)程區(qū)域的能力成熟度級(jí)別達(dá)3級(jí)＂充C)如果某個(gè)過(guò)程區(qū)域（processareas，PA）包含4個(gè)基本實(shí)施，執(zhí)行此PA分定義級(jí)時(shí)執(zhí)行了3個(gè)BP，則此過(guò)程區(qū)域的能力成熟度級(jí)別為0D)組織在不同的過(guò)程區(qū)域的能力成熟度可能處于不同的級(jí)別上答案:B解析:[單選題]64.信息安全管理體系（ISMS）的建設(shè)和實(shí)施是一個(gè)組織的戰(zhàn)略性舉措，若一個(gè)組織聲稱(chēng)自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，則需實(shí)施準(zhǔn)確要求，并需要實(shí)施以下ISMS建設(shè)的各項(xiàng)工作，哪一項(xiàng)不屬王ISMS建設(shè)的工作（）A)規(guī)劃與建立ISMSB)實(shí)施和運(yùn)行ISMSC)監(jiān)視和評(píng)審ISMSD)保持和審核ISMS答案:D解析:[單選題]65.小李在檢查公司對(duì)外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒(méi)有找到資源、數(shù)據(jù)庫(kù)連接錯(cuò)誤、寫(xiě)臨時(shí)文件錯(cuò)誤等問(wèn)題時(shí)，會(huì)將詳細(xì)的錯(cuò)誤原因在結(jié)果頁(yè)面上顯示出來(lái)。從安全角度考慮，小李決定修改代碼，將詳細(xì)的錯(cuò)誤原因都隱藏起來(lái)，在頁(yè)面上僅僅告知用戶(hù)?抱歉，發(fā)生內(nèi)部錯(cuò)誤?.請(qǐng)問(wèn)，這種處理方法的主要目的是（）。A)避免緩沖區(qū)溢出B)安全處理系統(tǒng)異常C)安全使用臨時(shí)文件D)最小化反饋信息答案:D解析:[單選題]66.?統(tǒng)一威脅管理?是將防病毒、入便檢測(cè)和防火墻等安全需求統(tǒng)一管理，目前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類(lèi)安全設(shè)備，這里?統(tǒng)一威脅管理?常常被簡(jiǎn)稱(chēng)為（）A)UTMB)FWC)IDSD)SOC答案:A解析:[單選題]67.有關(guān)系統(tǒng)工程的特點(diǎn)說(shuō)法錯(cuò)誤的是（）A)系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B)系統(tǒng)工程是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法C)系統(tǒng)工程是織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D)系統(tǒng)工程是一種方法論答案:A解析:[單選題]68.Windows系統(tǒng)中，安全標(biāo)識(shí)符（SID）是標(biāo)識(shí)用戶(hù)、組和計(jì)算機(jī)賬戶(hù)的唯一編碼，在操作系統(tǒng)內(nèi)部使用，當(dāng)授予用戶(hù)、組、服務(wù)或者其他安全主體訪問(wèn)對(duì)象的權(quán)限時(shí)，操作系統(tǒng)會(huì)把SID和權(quán)限寫(xiě)入對(duì)象的ACL中。小劉在學(xué)習(xí)了SID的組成后，為了鞏固所學(xué)知識(shí)，在自己計(jì)算機(jī)的Windows操作系統(tǒng)中使用whoami/user操作查看當(dāng)前用戶(hù)的SI得到的SID為S-1-5-21-1534169462-1651380828-111620651-500．下列選項(xiàng)中，關(guān)于此SID的理解錯(cuò)誤的是（）A)前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B)第一個(gè)子頒發(fā)機(jī)構(gòu)是21C)WindowsAT的SID的三個(gè)子頒發(fā)機(jī)構(gòu)是1534169462、1651380828、111620651D)此SID以500結(jié)尾，表示內(nèi)置guest賬戶(hù)答案:D解析:[單選題]69.信息安全管理體系（InformationsecurityManagementSystem，簡(jiǎn)稱(chēng)ISMS）是1998年前后從（）發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（ManagementSystem，MS）思想和方法（）的應(yīng)用。近年來(lái)，伴隨著ISMS（)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國(guó)、各種類(lèi)型、各種規(guī)模的組織解決（）的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其（）的一種有效途徑。A)英國(guó)：信息安全領(lǐng)域；國(guó)際標(biāo)準(zhǔn)；信息安全問(wèn)題；信息安全水平和能力B)法國(guó)；信息安全領(lǐng)域；國(guó)際標(biāo)準(zhǔn)；信息安全問(wèn)題；信息安全水平和能力C)英國(guó)；國(guó)際標(biāo)準(zhǔn)；信息安全領(lǐng)域；信息安全問(wèn)題；信息安全水平和能力D)德國(guó)；信息安全問(wèn)題；信息安全領(lǐng)域；國(guó)際標(biāo)準(zhǔn)；信息安全水平和能力答案:A解析:[單選題]70.下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則（）A)《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》D)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》答案:C解析:[單選題]71.某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶(hù)賬戶(hù)的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶(hù)登錄時(shí)除了用戶(hù)名口令認(rèn)證方式外，還加入基于數(shù)字證書(shū)的身份認(rèn)證功能，同時(shí)用戶(hù)口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則（）A)最小特權(quán)原則B)職責(zé)分離原則C)縱深防御原則D)最少共享機(jī)制原則答案:C解析:[單選題]72.隨著信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越迫切，越來(lái)越多的組織開(kāi)始嘗試使用參考IS027001介紹的ISMS來(lái)實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯(cuò)誤的是（）.A)在組織中，應(yīng)由信息技術(shù)責(zé)任部門(mén)（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)、明確總體要求B)組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性C)組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶(hù)、合作伙伴和供應(yīng)商等外部各方D)組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)答案:A解析:[單選題]73.下面有關(guān)軟件安全問(wèn)題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()A)設(shè)計(jì)了用戶(hù)權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息B)設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶(hù)口令進(jìn)行加密存儲(chǔ)，＇導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶(hù)如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶(hù)登錄C)設(shè)計(jì)了緩存用戶(hù)隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶(hù)隱私數(shù)據(jù)D)設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文答案:D解析:[單選題]74.老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁(yè)時(shí)總導(dǎo)致病毒感染系統(tǒng)，為了解決這一問(wèn)題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，，老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一條不太適合推廣，你認(rèn)為是哪條措施（）A)采購(gòu)防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對(duì)所有預(yù)覽網(wǎng)頁(yè)進(jìn)行檢測(cè)，阻止網(wǎng)頁(yè)中的病毒進(jìn)入網(wǎng)頁(yè)B)采購(gòu)并統(tǒng)一部屬企業(yè)防病毒軟件，信息化管理部門(mén)統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)，確保每臺(tái)計(jì)算機(jī)都具備有效的病毒檢測(cè)和查殺能力C)制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器D)組織對(duì)員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)答案:C解析:[單選題]75.社會(huì)工程學(xué)是（）與（）結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門(mén)科學(xué)，因?yàn)樗荒芸偸侵貜?fù)和成功，并且在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的（），隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會(huì)工程學(xué)利用的是人性的?弱點(diǎn)?，而人性是（），這使得它幾乎可以說(shuō)是永遠(yuǎn)有效的（）。A)網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式B)網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式C)網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式；攻擊方式D)網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的答案:A解析:[單選題]76.在一個(gè)軟件開(kāi)發(fā)的過(guò)程中，團(tuán)隊(duì)內(nèi)部需要進(jìn)行恰當(dāng)合適的交流與溝通，那么開(kāi)發(fā)人員和測(cè)試人員交流的細(xì)節(jié)是（）A)軟件設(shè)計(jì)報(bào)告B)軟件缺陷報(bào)告C)測(cè)試說(shuō)明文檔D)測(cè)試執(zhí)行報(bào)告答案:B解析:[單選題]77.信息安全事件的分類(lèi)方法有很多種，依據(jù)GB/Z20986-2007《信息安全技全事件分類(lèi)分級(jí)指南》，信息安全事件分7個(gè)基本類(lèi)別，描述正確的是（）A)有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件B)網(wǎng)絡(luò)攻擊事件、拒絕服務(wù)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件C)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)釣魚(yú)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備故障、災(zāi)害性事件和其他信息安全事件D)網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件答案:A解析:[單選題]78.安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展（S/MIME）是指一種保障郵件安全的技術(shù)，下面描述錯(cuò)誤的是（）A)S/MIME采用了非對(duì)稱(chēng)密碼學(xué)機(jī)制B)S/MIME支持?jǐn)?shù)字證書(shū)C)S/MIME采用了郵件防火墻技術(shù)D)S/MIME支持用戶(hù)身份認(rèn)證和郵件加密答案:C解析:[單選題]79.2003年以來(lái)，我國(guó)高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開(kāi)展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個(gè)不是我國(guó)發(fā)布的文件（）。A)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)【2003】27號(hào)）B)《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》（國(guó)令【2008】54號(hào)）C)《國(guó)家信息安全戰(zhàn)略報(bào)告》（國(guó)信【2005】2號(hào)）D)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)【2012】23號(hào)）答案:B解析:[單選題]80.關(guān)于信息安全管理，下面理解片面的是（）A)A信息安全管理是組織整體管理的重要、國(guó)有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B)信息安全管理是一個(gè)不斷演進(jìn)，循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的C)在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴(lài)于良好的技術(shù)基礎(chǔ)D)堅(jiān)持管理與技術(shù)并重的原則，是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一。答案:C解析:[單選題]81.你是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏補(bǔ)丁，安全運(yùn)維人員給出了針對(duì)此批漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行（）A)由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏潤(rùn)，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有的服務(wù)器和客戶(hù)端盡快安裝補(bǔ)丁B)本次發(fā)布的漏銅目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危險(xiǎn)，所以可以先不做處理C)對(duì)于重要的服務(wù)，應(yīng)在測(cè)試壞境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再在正式生產(chǎn)環(huán)境中部署D)對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶(hù)終端計(jì)算機(jī)由于沒(méi)有重要數(shù)據(jù)，由終端自行升級(jí)答案:C解析:[單選題]82.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下（）中的輸出結(jié)果A)險(xiǎn)評(píng)估準(zhǔn)備階段B)風(fēng)險(xiǎn)要素識(shí)別階段C)風(fēng)險(xiǎn)分析階段D)風(fēng)險(xiǎn)結(jié)果判定階段答案:A解析:[單選題]83.SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一，隨著B(niǎo)／S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使用應(yīng)用程序存在安全隱患，小李在對(duì)某asp網(wǎng)站進(jìn)行測(cè)試時(shí)，采用經(jīng)典的1＝1,1＝2測(cè)試法，測(cè)試發(fā)現(xiàn)1＝1時(shí)網(wǎng)頁(yè)顯示正常，1＝2時(shí)報(bào)錯(cuò)，于是小李得出了四條猜測(cè)，則下列說(shuō)法錯(cuò)誤的是（）A)該網(wǎng)站可能存在漏洞B)攻擊者可以根據(jù)報(bào)錯(cuò)信息獲得的信息，從而進(jìn)一步實(shí)施攻擊C)如果在網(wǎng)站前布署一臺(tái)H3C的IPS設(shè)備阻斷，攻擊者得不到任何有效信息D)該網(wǎng)站不可以進(jìn)行SQL注入攻擊答案:D解析:[單選題]84.關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（）A)ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文，使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的B)單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C)解決ARP欺騙的一個(gè)有效方法是采用?靜態(tài)?的ARP緩存，如果發(fā)生硬件地址的更改，需要人工更新緩存D)徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接答案:D解析:[單選題]85.數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是（）A)最小特權(quán)原則，是讓用戶(hù)可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶(hù)的工作B)最大共享策略，在保好能夠完成用產(chǎn)性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息C)粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度D)按內(nèi)容存取控制策略，不同權(quán)限的用戶(hù)訪間數(shù)據(jù)庫(kù)的不同部分答案:C解析:[單選題]86.系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。有關(guān)此模型，錯(cuò)誤的是（）A)霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架B)時(shí)間維表示系統(tǒng)工程活動(dòng)從開(kāi)始到結(jié)束按時(shí)間順序排列的全過(guò)程C)邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)D)知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué)和藝術(shù)等各種知識(shí)和技能答案:C解析:[單選題]87.安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描述是錯(cuò)誤的（）A)安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理安全部署位置無(wú)關(guān)B)安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的安全保護(hù)問(wèn)題C)以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段，從而使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)D)安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效保護(hù)方式答案:A解析:[單選題]88.在密碼學(xué)的Kerchhoff假設(shè)中，密碼系統(tǒng)的安全性?xún)H依賴(lài)于（）。A)明文B)密文C)密鑰D)信道答案:C解析:[單選題]89.災(zāi)備指標(biāo)是指信息安全系統(tǒng)的容災(zāi)抗毀能力，主要包括四個(gè)具體指標(biāo)：恢復(fù)時(shí)間目標(biāo)（RecoverTimeobjective，RTO）、恢復(fù)點(diǎn)目標(biāo)(RecoveryPointobjective,RPO)、降級(jí)操作目標(biāo)(DegradedOperationsObjective-D00)和網(wǎng)絡(luò)恢復(fù)目標(biāo)（NetwordRecoveryobjective-NRO），小華準(zhǔn)備為其工作的信息系統(tǒng)擬定恢復(fù)點(diǎn)目標(biāo)RPO＝0，則以下描述中，正確的是（）。A)RPO＝0，相關(guān)于沒(méi)有任何數(shù)據(jù)丟失，但需要進(jìn)行業(yè)務(wù)恢復(fù)處理，覆蓋原有信息B)RPO＝0，相關(guān)于所有數(shù)據(jù)全部丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失C)RPO＝0，相關(guān)于部分?jǐn)?shù)據(jù)丟失，需要進(jìn)行業(yè)務(wù)恢復(fù)處理，修復(fù)數(shù)據(jù)丟失D)RPO＝0，相關(guān)于沒(méi)有任何數(shù)據(jù)丟失，且不需要進(jìn)行業(yè)務(wù)恢復(fù)處理答案:D解析:[單選題]90.91．某國(guó)貿(mào)公司信息安全管理員考慮到信息系統(tǒng)對(duì)業(yè)務(wù)影響越來(lái)越重要，計(jì)劃編制本單位信息安全應(yīng)急響預(yù)案，在向主管領(lǐng)導(dǎo)寫(xiě)報(bào)告時(shí)，他列舉了編制信息安全應(yīng)急預(yù)案的好處和重要性，在他羅列的四條理由中，其中不適合作