操作系統(tǒng)與信息安全知識單選題試卷及答案1.在Windows系統(tǒng)中,管理權限最高的組是:[單選題]A.everyoneB.administrator(正確答案)C.powerusersD.users答案解析：

超級管理員組administrator2.下列關于kerckhof準則的說法正確的是:[單選題]A.保持算法的秘密性比保持密鑰的秘密性要困難的多B.密鑰一旦泄漏,也可以方便的更換C.在一個密碼系統(tǒng)中,密碼算法是可以公開的,密鑰應保證安全(正確答案)D.公開的算法能夠經(jīng)過更嚴格的安全性分析答案解析：

柯克霍夫原則:密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。3.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?[單選題]A.用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B.應用程序日志、安全性日志、系統(tǒng)日志和IE日志(正確答案)C.網(wǎng)絡攻擊日志、安全性日志、記賬日志和IE日志D.網(wǎng)絡鏈接日志、安全性日志、服務日志和IE日志4.操作系統(tǒng)安全的基礎是建立在:[單選題]A.安全安裝B.安全配置C.安全管理D.以上都對(正確答案)5.信息發(fā)送者使用___________進行數(shù)字簽名。[單選題]A.己方的私鑰(正確答案)B.己方的公鑰C.對方的私鑰D.對方的公鑰答案解析：

私鑰加密，公鑰解密，公鑰私鑰成對出現(xiàn)。6.以下列出了mac和散列函數(shù)的相似性,哪一項說法是錯誤的?[單選題]A.MAC和散列函數(shù)都是用于提供消息認證B.MAC的輸出值不是固定長度的,而散列函數(shù)的輸出值是固定長度的C.MAC和散列函數(shù)都不需要密鑰(正確答案)D.MAC和散列函數(shù)都不屬于非對稱加密算法答案解析：

(1)MAC:消息驗證、完整性校驗、抗重放攻擊;輸出不固定的;MAC需密鑰;不是非對稱。(2)哈希:消息驗證、完整性校驗;輸出是固定的;不需要密鑰;不是非對稱。7.下面哪種方法產(chǎn)生的密碼是最難記憶的?[單選題]A.將用戶的生日倒轉或是重排B.將用戶的年薪倒轉或是重排C.將用戶配偶的名字倒轉或是重排D.用戶隨機給出的字母(正確答案)答案解析：

隨機的最難記8.以下關于https協(xié)議http協(xié)議相比的優(yōu)勢說明,那個是正確的[單選題]A.Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密,可以避免嗅探等攻擊行為(正確答案)B.Https使用的端口和http不同,讓攻擊者不容易找到端口,具有較高的安全性C.Https協(xié)議是http協(xié)議的補充,不能獨立運行,因此需要更高的系統(tǒng)性能D.Https協(xié)議使用了挑戰(zhàn)機制,在會話過程中不傳輸用戶名和密碼,因此具有較高的答案解析：

HTTPS具有數(shù)據(jù)加密機制，HTTPS使用443端口，HTTP使用80端口，HTTPS協(xié)議完全可以獨立運行，傳輸加密后的用戶名和密碼。9.設計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的:[單選題]A.要充分切合信息安全需求并且實際可行B.要充分考慮成本效益,在滿足合規(guī)性要求和風險處置要求的前提下,盡量控制成本C.要充分采取新技術,在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術投入保值要求(正確答案)D.要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙答案解析：

安全領域一般選擇經(jīng)過檢驗的、成熟、安全的技術方案，一般不選最新的。10.Windows文件系統(tǒng)權限管理訪問控制列表（AccessControlList,ACL）機制,以下哪個說法是錯誤的:[單選題]A.安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機制需要NTFS文件格式的支持B.由于Windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權限,為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C.Windows的ACL機制中,文件和文件夾的權限是與主體進行關聯(lián)的,即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中(正確答案)D.由于ACL具有很好的靈活性,在實際使用中可以為每一個文件設定獨立用戶的權限答案解析：

C項，與客體進行關聯(lián)，用戶的權限寫在文件夾和文件的數(shù)據(jù)庫中。11.關于我國信息安全保障的基本原則,下列說法中不正確的是:[單選題]A.要與國際接軌,積極吸收國外先進經(jīng)驗并加強合作,遵循國際標準和通行做法,堅持管理與技術并重(正確答案)B.信息化發(fā)展和信息安全不是矛盾的關系,不能犧牲一方以保證另一方C.在信息安全保障建設的各項工作中,既要統(tǒng)籌規(guī)劃,又要突出重點D.在國家信息安全保障工作中,要充分發(fā)揮國家、企業(yè)和個人的積極性,不能忽視任何一方的作用。答案解析：

我國信息安全保障首先要遵循國家標準。12.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后,認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關檢查評估的特點和要求整理成如下四條報告給單位領導,其中描述錯誤的是()[單選題]A.檢查評估可依據(jù)相關標準的要求,實施完整的風險評估過程;也可在自評估的基礎上,對關鍵環(huán)節(jié)或重點內容實施抽樣評估B.檢查評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點是針對存在的問題進行檢查和評測(正確答案)C.檢查評估可以由上級管理部門組織,并委托有資質的第三方技術機構實施D.檢查評估是通過行政手段加強信息安全管理的重要措施,具有強制性的特點答案解析：

自評估由本級單位發(fā)起，檢查評估由被評估組織的上級管理機關或業(yè)務主管機關發(fā)起，P247頁。13.關于信息安全管理,下面理解片面的是()[單選題]A.信息安全管理是組織整體管理的重要、固有組成部分,它是組織實現(xiàn)其業(yè)務目標的重要保障B.信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程,不是一成不變的C.信息安全建設中,技術是基礎,管理是拔高,即有效的管理依賴于良好的技術基礎(正確答案)D.堅持管理與技術并重的原則,是我國加強信息安全保障工作的主要原則之一答案解析：

C是片面的，應為技管并重，P83頁。14.為了進一步提供信息安全的保障能力和防護水平,保障和促進信息化建設的健康發(fā)展,公安部等四部門聯(lián)合發(fā)布《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）,對等級保護工作的開展提供宏觀指導和約束,明確了等級保護工作喲的基本內容、工作要求和實施計劃,以及各部門工作職責分工等。關于該文件,下面理解正確的是()[單選題]A.該文件是一個由部委發(fā)布的政策性文件,不屬于法律文件(正確答案)B.該文件適用于2004年的等級保護工作,其內容不能約束到2005年及之后的工作C.該文件是一個總體性指導文件,規(guī)定所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件適用范圍為發(fā)文的這四個部門,不適用于其他部門和企業(yè)等單位15.下面有關軟件安全問題的描述中,哪項應是由于軟件設計缺陷引起的()[單選題]A.設計了三層WEB架構,但是軟件存在SQL注入漏洞,導致被黑客攻擊后直接訪問數(shù)據(jù)庫B.使用C語言開發(fā)時,采用了一些存在安全問題的字符串處理函數(shù),導致存在緩沖區(qū)溢出漏洞C.設計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能,導致軟件在發(fā)布運行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)(正確答案)D.使用了符合要求的密碼算法,但在使用算法接口時,沒有按照要求生成密鑰,導致黑客攻擊后能破解并得到明文數(shù)據(jù)16.通過對稱密碼算法進行安全消息傳輸?shù)谋匾獥l件是:[單選題]A.在安全的傳輸信道上進行通信B.通訊雙方通過某種方式,安全且秘密地共享密鑰(正確答案)C.通訊雙方使用不公開的加密算法D.通訊雙方將傳輸?shù)男畔A雜在無用信息中傳輸并提取17.Windows系統(tǒng)下,哪項不是有效進行共享安全的防護措施?[單選題]A.使用netshare\\\c$/delete命令,刪除系統(tǒng)中的c$等管理共享,并重啟系統(tǒng)(正確答案)B.確保所有的共享都有高強度的密碼防護C.禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表鍵值D.安裝軟件防火墻阻止外面對共享目錄的連接18.以下對Windows賬號的描述,正確的是:[單選題]A.Windows系統(tǒng)是采用SID（安全標識符）來標識用戶對文件或文件夾的權限(正確答案)B.Windows系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權限C.Windows系統(tǒng)默認會生成administrator和guest兩個賬號,兩個賬號都不允許改名和刪除D.Windows系統(tǒng)默認生成administrator和guest兩個賬號,兩個賬號都可以改名和刪除答案解析：

guest可以改名和刪除，administrator不可以。19.以下關于代替密碼的說法正確的是:[單選題]A.明文根據(jù)密鑰被不同的密文字母代替(正確答案)B.明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個bit異或D.明文根據(jù)密鑰作移位20.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效,已經(jīng)替代DES成為新的據(jù)加密標準。其算法的信息塊長度和加密密鑰是可變的,以下哪一種不是其可能的密鑰長度?[單選題]A.64bit(正確答案)B.128bitC.192bitD.256bit答案解析：

AES密鑰長度由128位、192位、256位三種。21.以下對Windows系統(tǒng)的服務描述,正確的是:[單選題]A.Windows服務必須是一個獨立的可執(zhí)行程序B.Windows服務的運行不需要用戶的交互登陸(正確答案)C.Windows服務都是隨系統(tǒng)啟動而啟動,無需用戶進行干預D.Windows服務都需要用戶進行登陸后,以登錄用戶的權限進行啟動22.Alice有一個消息M通過密鑰K2生成一個密文E（K2,M）然后用K1生成一個MAC為C（K1,E（K2,M））,Alice將密文和MAC發(fā)送給Bob,Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較,假如相同再用K2解密Alice發(fā)送的密文,這個過程可以提供什么安全服務?[單選題]A.僅提供數(shù)字簽名B.僅提供保密性C.僅提供不可否認性D.保密性和消息完整性(正確答案)答案解析：

密文E（K2，M）保障保密性，消息驗證碼MAC為C（K1，E（K2，M））保障完整性。23.以下關于windowsSAM(安全賬號管理器)的說法錯誤的是:[單選題]A.安全賬號管理器(SAM)具體表現(xiàn)就是%SystemRoot%\system32\config\samB.安全賬號管理器(SAM)存儲的賬號信息是存儲在注冊表中C.安全賬號管理器(SAM)存儲的賬號信息administrator和system是可讀和可寫的(正確答案)D.安全賬號管理器(SAM)是windows的用戶數(shù)據(jù)庫系統(tǒng)進程通過SecurityAccountsManager服務進行訪問和操作答案解析：

SAM文件只有system可讀和可寫的24.常見密碼系統(tǒng)包含的元素是:[單選題]A.明文,密文,信道,加密算法,解密算法B.明文,摘要,信道,加密算法,解密算法C.明文,密文,密鑰,加密算法,解密算法(正確答案)D.消息,密文,信道,加密算法,解密算法25.社會工程學定位在計算機信息安全工作鏈的一個最脆弱的環(huán)節(jié),即“人”這個環(huán)節(jié)上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司,其中一名自稱是CSO雜志做安全調查,半小時內,攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員,在詢問關于工作滿意度以及食堂食物質量問題后,雇員開始透露其他信息,包括:操作系統(tǒng)、服務包、殺毒軟件、電子郵件及瀏覽器。為對抗此類信息收集和分析,公司需要做的是()[單選題]A.通過信息安全培訓,使相關信息發(fā)布人員了解信息收集風險,發(fā)布信息最小化原則(正確答案)B.減少系統(tǒng)對外服務的端口數(shù)量,修改服務旗標C.關閉不必要的服務,部署防火墻、IDS等措施D.系統(tǒng)安全管理員使用漏洞掃描軟件對系統(tǒng)進行安全審計26.基于TCP的主機在進行一次TCP連接時簡要進行三次握手,請求通信的主機A要與另一臺主機B建立連接時,A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接請示,B收到后,回復一個ACK/SYN確認請示給A主機,然后A再次回應ACK數(shù)據(jù)包,確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機,使目標主機發(fā)送的ACK/SYN包得不到確認。一般情況下,目標主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標主機時,目標主機上就會有大量的連接請示等待確認,當這些未釋放的連接請示數(shù)量超過目標主機的資源限制時。正常的連接請示就不能被目標主機接受,這種SYNFlood攻擊屬于()[單選題]A.拒絕服務攻擊(正確答案)B.分布式拒絕服務攻擊C.緩沖區(qū)溢出攻擊D.SQL注入攻擊答案解析：

SYNFlood屬于拒絕服務攻擊的一種，并未體現(xiàn)出來分布式。27.信息安全是國家安全的重要組成部分,綜合研究當前世界各國信息安全保障工作,總結錯誤的是()[單選題]A.各國普遍將與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施作為信息安全保障的重點B.各國普遍重視戰(zhàn)略規(guī)劃工作,逐步發(fā)布網(wǎng)絡安全戰(zhàn)略、政策評估報告、推進計劃等文件C.各國普遍加強國際交流與對話,均同意建立一致的安全保障系統(tǒng),強化各國安全系統(tǒng)互通(正確答案)D.各國普遍積極推動信息安全立法和標準規(guī)范建設,重視應急響應、安全監(jiān)管和安全測評答案解析：

“均同意建立一致的安全保障系統(tǒng)”錯誤28.公鑰密碼的應用不包括:[單選題]A.數(shù)字簽名B.非安全信道的密鑰交換C.消息認證碼(正確答案)D.身份認證答案解析：

ABD都是是公鑰密碼應用的范疇。29.Hash算法的碰撞是指:[單選題]A.兩個不同的消息,得到相同的消息摘要(正確答案)B.兩個相同的消息,得到不同的消息摘要C.消息摘要和消息的長度相同D.消息摘要比消息長度更長答案解析：

P282頁30.實施災難恢復計劃之后,組織的災難前和災難后運營成本將:[單選題]A.降低B.不變（保持相同）C.提高(正確答案)D.提高或降低（取決于業(yè)務的性質）31.自主訪問控制模型（）的訪問控制關系可以用訪問控制表（ACL）來表示,該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲相關數(shù)據(jù)。下面選項中說法正確的是（）。[單選題]A.ACL是Bell-LaPadula模型的一種具體實現(xiàn)B.ACL在刪除用戶時,去除該用戶所有的訪問權限比較方便C.ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D.ACL管理或增加客體比較方便(正確答案)答案解析：

P307頁32.在入侵檢測（IDS）的運行中,最常見的問題是:()[單選題]A.誤報檢測(正確答案)B.接收陷阱消息C.誤拒絕率D.拒絕服務攻擊答案解析：

P35433.什么是系統(tǒng)變更控制中最重要的內容?[單選題]A.所有的變更都必須文字化,并被批準(正確答案)B.變更應通過自動化工具來實施C.應維護系統(tǒng)的備份D.通過測試和批準來確保質量34.IPv4協(xié)議在設計之初并沒有過多地考慮安全問題,為了能夠使網(wǎng)絡方便地進行互聯(lián)、互通,僅僅依靠IP頭部的校驗和字段來保證IP包的安全,因此IP包很容易被篡改,并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標準,其設計目標是在IPv4和IPv6環(huán)境中為網(wǎng)絡層流量提供靈活、透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機密性,有效抵御網(wǎng)絡攻擊,同時保持易用性。下列選項中說法錯誤的是()[單選題]A.對于IPv4,IPSec是可選的,對于IPv6,IPSec是強制實施的。B.IPSec協(xié)議提供對IP及其上層協(xié)議的保護。C.IPSec是一個單獨的協(xié)議(正確答案)D.IPSec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制。答案解析：

IPSec不是一個單獨的協(xié)議，它還包括AH（網(wǎng)絡認證協(xié)議）、ESP（載荷封裝協(xié)議）、IKE（密鑰管理協(xié)議）等。35.小陳學習了有關信息安全管理體系的內容后,認為組織建立信息安全管理體系并持續(xù)運行,比起簡單地實施信息安全管理,有更大的作用,他總結了四個方面的作用,其中總結錯誤的是()[單選題]A.可以建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有章可循,有據(jù)可查B.可以強化員工的信息安全意識,建立良好的安全作業(yè)習慣,培育組織的信息安全企業(yè)文化C.可以增強客戶、業(yè)務伙伴、投資人對該組織保障其業(yè)務平臺和數(shù)據(jù)信息的安全信心D.可以深化信息安全管理,提高安全防護效果,使組織通過國際標準化組織的ISO9001認證(正確答案)答案解析：

ISO9001是質量認證不是安全管理認證，應通過ISO27001認證。36.隨著“互聯(lián)網(wǎng)”概念的普及,越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念,某物業(yè)為提供高檔次的服務,防止網(wǎng)絡主線路出現(xiàn)故障,保證小區(qū)內網(wǎng)絡服務的可用,穩(wěn)定、高效,計劃通過網(wǎng)絡冗余配置的是（）。[單選題]A.接入互聯(lián)網(wǎng)時,同時采用不同電信運營商線路,相互備份且互不影響。(正確答案)B.核心層、匯聚層的設備和重要的接入層設備均應雙機設備。C.規(guī)劃網(wǎng)絡IP地址,制定網(wǎng)絡IP地址分配策略D.保證網(wǎng)絡帶寬和網(wǎng)絡設備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期和業(yè)務發(fā)展需求答案解析：

“防止網(wǎng)絡主線路出現(xiàn)故障”，所以應做線路備份。37.在網(wǎng)絡信息系統(tǒng)建設中部署防火墻,往往用于提高內部網(wǎng)絡的安全防護能力。某公司準備部署一臺防火墻來保護內網(wǎng)主機,下列選項中部署位置正確的是()[單選題]A.內網(wǎng)主機——交換機——防火墻——外網(wǎng)(正確答案)B.防火墻——內網(wǎng)主機——交換機——外網(wǎng)C.內網(wǎng)主機——防火墻——交換機——外網(wǎng)D.防火墻——交換機——內網(wǎng)主機——外網(wǎng)答案解析：

防火墻一般部署在內網(wǎng)和外網(wǎng)邊界。38.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡上的域資源進行法令一種機制。在Windows2000以后的操作系統(tǒng)版本中,訪問控制是一種雙重機制,它對用戶的授權基于用戶權限和對象許可,通常使用ACL、訪問令牌和授權管理器來實現(xiàn)訪問控制功能。以下選項中,對windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）[單選題]A.ACL只能由管理員進行管理(正確答案)B.ACL是對象安全描述的基本組成部分,它包括有權訪問對象的用戶和級的SIDC.訪問令牌存儲著用戶的SID,組信息和分配給用戶的權限D.通過授權管理器,可以實現(xiàn)基于角色的訪問控制39.某黑客通過分析和整理某報社記者小張的博客,找到一些有用的信息,通過偽裝的新聞線索,誘使其執(zhí)行木馬程序,從而控制了小張的電腦,并以她的電腦為攻擊的端口,使報社的局域網(wǎng)全部感染木馬病毒,為防范此類社會工程學攻擊,報社不需要做的是()[單選題]A.加強信息安全意識培訓,提高安全防范能力,了解各種社會工程學攻擊方法,防止受到此類攻擊B.建立相應的安全相應應對措施,當員工受到社會工程學的攻擊,應當及時報告C.教育員工注重個人隱私保護D.減少系統(tǒng)對外服務的端口數(shù)量,修改服務旗標(正確答案)答案解析：

D和社工無關。40.2016年9月,一位安全研究人員在GoogleCloudIP上通過掃描,發(fā)現(xiàn)了完整的美國路易斯安邦州290萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、正黨代名和密碼,以防止攻擊者利用以上信息進行（）攻擊。[單選題]A.默認口令B.字典(正確答案)C.暴力D.XSS答案解析：

答案;B41.模糊測試,也稱Fuzz測試,是一種通過提供非預期的輸入并監(jiān)視異常結果來發(fā)現(xiàn)軟件故障的方法。下面描述正確的是()[單選題]A.模糊測試本質上屬于黑盒測試(正確答案)B.模糊測試本質上屬于白盒測試C.模糊測試有時屬于黑盒測試,有時屬于白盒測試,取決于其使用的測試方法D.模糊測試既不屬于黑盒測試,也不屬于白盒測試42.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求,其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制,人力資源安全劃分為3個控制階段,不包括哪一項()[單選題]A.任用之前B.任用中C.任用終止或變化D.任用后(正確答案)答案解析：

P10643.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領域包括安全區(qū)域和設備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區(qū)域內并受到相應保護。該目標可以通過以下控制措施來實現(xiàn),不包括哪一項[單選題]A.物理安全邊界、物理入口控制B.辦公室、房間和設施的安全保護。外部和環(huán)境威脅的安全防護C.在安全區(qū)域工作。公共訪問、交接區(qū)安全D.人力資源安全(正確答案)答案解析：

D和物理環(huán)境安全無關。44.關于補丁安裝時應注意的問題,以下說法正確的是[單選題]A.在補丁安裝部署之前不需要進行測試,因為補丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B.補丁的獲取有嚴格的標準,必須在廠商的官網(wǎng)上獲取C.信息系統(tǒng)打補丁時需要做好備份和相應的應急措施(正確答案)D.補丁安裝部署時關閉和重啟系統(tǒng)不會產(chǎn)生影響45.某電子商務網(wǎng)站架構設計時,為了避免數(shù)據(jù)誤操作,在管理員進行訂單刪除時,需要由審核員進行審核后該刪除操作才能生效,這種設計是遵循了發(fā)下哪個原則[單選題]A.權限分離原則(正確答案)B.最小的特權原則C.保護最薄弱環(huán)節(jié)的原則D.縱深防御的原則46.關于Kerberos認證協(xié)議,以下說法錯誤的是:[單選題]A.只要用戶拿到了認證服務器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒有過期,就可以使用該TGT通過票據(jù)授權服務器（TGS）完成到任一個服務器的認證而不必重新輸入密碼B.認證服務器（AS）和票據(jù)授權服務器（TGS）是集中式管理,容易形成瓶頸,系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全C.該協(xié)議通過用戶獲得票據(jù)許可票據(jù)、用戶獲得服務許可票據(jù)、用戶獲得服務三個階段,僅支持服務器對用戶的單向認證(正確答案)D.該協(xié)議是一種基于對稱密碼算法的網(wǎng)絡認證協(xié)議,隨用戶數(shù)量增加,密鑰管理較復雜答案解析：

Kerberos由MIT于1988年開發(fā)，用于分布式環(huán)境中，完成服務器與用戶之間的相互認證。47.某單位系統(tǒng)管理員對組織內核心資源的訪問制定訪問策略,針對每個用戶指明能夠訪問的資源,對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種:[單選題]A.強制訪問控制B.基于角色的訪問控制C.自主訪問控制(正確答案)D.基于任務的訪問控制答案解析：

“針對每個用戶指明”48.防火墻是網(wǎng)絡信息系統(tǒng)建設中常采用的一類產(chǎn)品,它在內外網(wǎng)隔離方面的作用是()[單選題]A.既能物理隔離,又能邏輯隔離B.能物理隔離,但不能邏輯隔離C.不能物理隔離,但是能邏輯隔離(正確答案)D.不能物理隔離,也不能邏輯隔離49.以下關于Windows系統(tǒng)的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的:[單選題]A.存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問,具有較高的安全性B.存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權訪問,具有較高的安全性C.存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問,靈活方便D.存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問,具有較高的安全性(正確答案)答案解析：

SecurityAccountsManager只有system賬號才能訪問。50.強制訪問控制是指主體和客體都有一個固定的安全屬性,系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體,具有較高的安全性,適用于專用或對安全性較高的系統(tǒng)。強制訪問控制模型有多種類型,如BLP、Biba、Clark-Willson和ChineseWall等。小李自學了BLP模型,并對該模型的特點進行了總結。以下4鐘對BLP模型的描述中,正確的是():[單選題]A.BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是“向上讀,向下寫”B.BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是“向下讀,向上寫”(正確答案)C.BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向上讀,向下寫”D.BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向下讀,向上寫”答案解析：

BLP模型保證機密性，向下讀，向上寫;Biba保障完整性，向上讀向下寫。51.信息安全風險等級的最終因素是:[單選題]A.威脅和脆弱性B.影響和可能性C.資產(chǎn)重要性D.以上都不對(正確答案)答案解析：

影響風險等級的要素包括:威脅、資產(chǎn)、脆弱性。52.對系統(tǒng)工程（SystemsEngineering,SE）的理解,以下錯誤的是:[單選題]A.系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進行研究B.系統(tǒng)工程不屬于技術實現(xiàn),而是一種方法論C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學方法(正確答案)D.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法答案解析：

系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法。53.2005年,RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發(fā)布,用以取代原先的RFC2401,該標準建議規(guī)定了IPsec系統(tǒng)基礎架構,描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務。請問此類RFC系列標準建議是由下面哪個組織發(fā)布的（）。[單選題]A.國際標準化組織（InternationalOrganizationforStandardization,ISO）B.國際電工委員會（InternationalElectrotechnicalCommission,IEC）C.國際電信聯(lián)盟遠程通信標準化組織（ITUTelecommunicationStandardizationSecctor,ITU-T）D.Internet工程任務組（InternetEngineeringTaskForce,IETF）(正確答案)54.GB/T18336《信息技術安全性評估準則》是測評標準類中的重要標準,該標準定義了保護輪廊（ProtectionProfile,PP）和安全目標（SecurityTarget,ST）的評估準則,提出了評估保證級（EvaluationAssuranceLevel,EAL）,其評估保證級共分為（）個遞增的評估保證等級。[單選題]A.4B.5C.6D.7(正確答案)55.在網(wǎng)絡信息系統(tǒng)中對用戶進行認證識別時,口令是一種傳統(tǒng)但仍然使用廣泛的方法,口令認證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是()[單選題]A.所謂靜態(tài)口令方案,是指用戶登錄驗證身份的過程中,每次輸入的口令都是固定、靜止不變的B.使用靜態(tài)口令方案時,即使對口令進行簡單加密或哈希后進行傳輸,攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認證模塊C.動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列,攻擊者如果連續(xù)地收集到足夠多的歷史口令,則有可能預測出下次要使用的口令(正確答案)D.通常,動態(tài)口令實現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應答等幾種類型答案解析：

動態(tài)口令方案要求其口令不能被收集和預測。56.“統(tǒng)一威脅管理”是將防病毒,入侵檢測和防火墻等安全需求統(tǒng)一管理,目前市場上已經(jīng)出現(xiàn)了多種此類安全設備,這里“統(tǒng)一威脅管理”常常被簡稱為()[單選題]A.UTM(正確答案)B.FWC.IDSD.SOC答案解析：

答案:A57.以下哪一項不是常見威脅對應的消減措施:[單選題]A.假冒攻擊可以采用身份認證機制來防范B.為了防止傳輸?shù)男畔⒈淮鄹?收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C.為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息,收發(fā)雙方可以使用消息驗證碼來防止抵賴(正確答案)D.為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息,收發(fā)雙方可以使用消息驗證碼來防止抵賴答案解析：

消息驗證碼不能防止抵賴，而是提供消息鑒別、完整性校驗和抗重放攻擊。58.國務院信息化工作辦公室于2004年7月份下發(fā)了《關于做好重要信息系統(tǒng)災難備份工作的通知》,該文件中指出了我國在災備工作原則,下面哪項不屬于該工作原則()[單選題]A.統(tǒng)籌規(guī)劃B.分組建設(正確答案)C.資源共享D.平戰(zhàn)結合答案解析：

災備工作原則包括統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合。59.關于信息安全事件和應急響應的描述不正確的是()[單選題]A.信息安全事件,是指由于自然或人為以及軟、硬件本身缺陷或故障的原因,對信息系統(tǒng)造成危害,或在信息系統(tǒng)內發(fā)生對社會造成負面影響事件B.至今已有一種信息安全策略或防護措施,能夠對信息及信息系統(tǒng)提供絕對的保護,這就使得信息安全事件的發(fā)生是不可能的(正確答案)C.應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備,以及在事件發(fā)生后所采取的措施D.應急響應工作與其他信息安全管理工作將比有其鮮明的特點:具有高技術復雜性志專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性,以及需要廣泛的協(xié)調與合作答案解析：

目前不存在一種信息安全策略或防護措施，能夠對信息及信息系統(tǒng)提供絕對的保護。60.信息安全事件和分類方法有多種,依據(jù)GB/Z20986-2007《信息安全技術自信安全事件分類分級指南》,信息安全事件分為7個基本類別,描述正確的是()[單選題]A.有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件(正確答案)B.網(wǎng)絡貢獻事件、拒絕服務攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件C.網(wǎng)絡攻擊事件、網(wǎng)絡釣魚事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件D.網(wǎng)絡攻擊事件、網(wǎng)絡掃描竊聽事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件答案解析：

根據(jù)標準知識點，安全事件分為:有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件。61.王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風險管理工作時,根據(jù)任務安排,他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務器的漏洞,根據(jù)風險管理的相關理論,他這個是掃描活動屬于下面哪一個階段的工作()[單選題]A.風險分析B.風險要素識別(正確答案)C.風險結果判定D.風險處理答案解析：

漏洞掃描屬于風險要素的脆弱性要素識別，風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。62.某市環(huán)衛(wèi)局網(wǎng)絡建設是當?shù)卣顿Y的重點項目。總體目標就是用于交換式千兆以太網(wǎng)為主干,超五類雙絞線作水平布線,由大型交換機和路由器連通幾個主要的工作區(qū)域,在各區(qū)域建立一個閉路電視監(jiān)控系統(tǒng),再把信號通過網(wǎng)絡傳輸?shù)礁鞅O(jiān)控中心,其中對交換機和路由器進行配置是網(wǎng)絡安全中的一個不可缺少的步驟,下面對于交換機和路由器的安全配置,操作錯誤的是()[單選題]A.保持當前版本的操作系統(tǒng),不定期更新交換機操作系統(tǒng)補丁(正確答案)B.控制交換機的物理訪問端口,關閉空閑的物理端口C.帶外管理交換機,如果不能實現(xiàn)的話,可以利用單獨的VLAN號進行帶內管理D.安全配置必要的網(wǎng)絡服務,關閉不必要的網(wǎng)絡服務答案解析：

交換機和路由器的管理包括了版本更新，也包括了補丁管理。63.組織第一次建立業(yè)務連續(xù)性計劃時,最為重要的活動是:[單選題]A.制定業(yè)務連續(xù)性策略(正確答案)B.進行業(yè)務影響分析C.進行災難恢復演練D.構建災備系統(tǒng)64.防止非法授權訪問數(shù)據(jù)文件的控制措施,哪項是最佳的方式:[單選題]A.自動文件條目B.磁帶庫管理程序C.訪問控制軟件(正確答案)D.鎖定庫65.白盒測試的具體優(yōu)點是:[單選題]A.其檢查程序是否可與系統(tǒng)的其他部分一起正常運行B.在不知程序內部結構下確保程序的功能性操作有效C.其確定程序準確性成某程序的特定邏輯路徑的狀態(tài)(正確答案)D.其通過嚴格限制訪問主機系統(tǒng)的受控或虛擬環(huán)境中執(zhí)行對程序功能的檢查66.為某航空公司的訂票系統(tǒng)設計業(yè)務連續(xù)性計劃時,最適用于異地數(shù)據(jù)轉移/備份的方法是:[單選題]A.文件映像處理B.電子鏈接C.硬盤鏡像D.熱備中心配置(正確答案)67.組織內人力資源部門開發(fā)了一套系統(tǒng),用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有員工都可以登錄系統(tǒng)完成相關需要員工配合的工作,以下哪項技術可以保證數(shù)據(jù)的保密性:[單選題]A.SSL加密(正確答案)B.雙因子認證C.加密會話cookieD.IP地址校驗68.以下哪一項不是我國信息安全保障的原則:[單選題]A.立足國情,以我為主,堅持以技術為主(正確答案)B.正確處理安全與發(fā)展的關系,以安全保發(fā)展,在發(fā)展中求安全C.統(tǒng)籌規(guī)劃,突出重點,強化基礎性工作D.明確國家、企業(yè)、個人的責任和義務,充分發(fā)揮各方面的積極性,共同構筑國家信息安全保障體系答案解析：

A的正確描述為立足國情，以我為主，堅持以技術和管理并重。69.下列選項中,哪個不是我國信息安全保障工作的主要內容:[單選題]A.加強信息安全標準化工作,積極采用“等同采用、修改采用、制定”等多種方式,盡快建立和完善我國信息安全標準體系B.建立國家信息安全研究中心,加快建立國家急需的信息安全技術體系,實現(xiàn)國家信息安全自主可控目標(正確答案)C.建設和完善信息安全基礎設施,提供國家信息安全保障能力支撐D.加快信息安全學科建設和信息安全人才培養(yǎng)答案解析：

建立國家信息安全研究中心不是我國信息安全保障工作的主要內容。70.關于信息安全管理,說法錯誤的是:[單選題]A.信息安全管理是管理者為實現(xiàn)信息安全目標（信息資產(chǎn)的CIA等特性,以及業(yè)務運作的持續(xù)）而進行的計劃、組織、指揮、協(xié)調和控制的一系列活動。B.信息安全管理是一個多層面、多因素的過程,依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方針策略標準規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術性的努力。C.實現(xiàn)信息安全,技術和產(chǎn)品是基礎,管理是關鍵。D.信息安全管理是人員、技術、操作三者緊密結合的系統(tǒng)工程,是一個靜態(tài)過程。(正確答案)答案解析：

信息安全管理是人員、技術、操作三者緊密結合的系統(tǒng)工程，是一個動態(tài)過程。71.根據(jù)信息安全風險要素之間的關系,下圖中空白處應該填寫()[單選題]A.資產(chǎn)B.安全事件C.脆弱性(正確答案)D.安全措施答案解析：

風險的原理是威脅利用脆弱性，造成對資產(chǎn)的風險。72.以下哪個選項不是信息安全需求的來源?[單選題]A.法律法規(guī)與合同條約的要求B.組織的原則、目標和規(guī)定C.風險評估的結果D.安全架構和安全廠商發(fā)布的病毒、漏洞預警(正確答案)答案解析：

安全需求來源于內部驅動，D是外部參考要素，不屬于信息安全需求的主要來源。73.下列關于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是:[單選題]A.確保采購定制的設備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B.確保整個系統(tǒng)已按照領導要求進行了部署和配置(正確答案)C.確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D.確保信息系統(tǒng)的使用已得到授權答案解析：

B是錯誤的，不是按照領導要求進行了部署和配置。74.下列關于信息系統(tǒng)生命周期中安全需求說法不準確的是:[單選題]A.明確安全總體方針,確保安全總體方針源自業(yè)務期望B.描述所涉及系統(tǒng)的安全現(xiàn)狀,提交明確的安全需求文檔C.向相關組織和領導人宣貫風險評估準則(正確答案)D.對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證答案解析：

C屬于風險評估階段，不屬于題干中的安全需求階段。75.小張在某單位是負責事信息安全風險管理方面工作的部門領導,主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓。一次培訓的時候,小張主要負責講解風險評估工作形式,小張認為:1.風險評估工作形式包括:自評估和檢查評估;2.自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行風險評估;3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關職能部門依法開展的風險評估;4.對信息系統(tǒng)的風險評估方式只能是“自評估”和“檢查評估”中的一個,非此即彼.請問小張的所述論點中錯誤的是哪項:[單選題]A.第一個觀點B.第二個觀點C.第三個觀點D.第四個觀點(正確答案)答案解析：

正確的做法為“自評估”和“檢查評估”相互結合和互為補充。76.在現(xiàn)實的異構網(wǎng)絡環(huán)境中,越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內進行認證,也支持跨域認證,下圖顯示的是[單選題]A.步驟1和步驟2發(fā)生錯誤,應該向本地AS請求并獲得遠程TGTB.步驟3和步驟4發(fā)生錯誤,應該向本地TGS請求并獲得遠程TGT(正確答案)C.步驟5和步驟6發(fā)生錯誤,應該向遠程AS請求并獲得遠程TGTD.步驟5和步驟6發(fā)生錯誤,應該向遠程TGS請求并獲得遠程SGT77.下圖中描述網(wǎng)絡動態(tài)安全的P2DR模型,這個模型經(jīng)常使用圖形的形式來表達,下圖空白處應填()[單選題]A.策略(正確答案)B.方針C.人員D.項目78.風險評估工具的使用在一定程度上解決了手動評估的局限性,最主要的是它能夠將專家知識進行集中,使專家的經(jīng)驗知識被廣泛使用,根據(jù)在風險評估過程中的主要任務和作用愿理,風險評估工具可以為以下幾類,其中錯誤的是:[單選題]A.風險評估與管理工具B.系統(tǒng)基礎平臺風險評估工具C.風險評估輔助工具D.環(huán)境風險評估工具(正確答案)答案解析：

通常情況下信息安全風險評估工具不包括環(huán)境評估工具。79.為了解風險和控制風險,應當及時進行風險評估活動,我國有關文件指出:風險評估的工作形式可分為自評估和檢查評估兩種,關于自評估,下面選項中描述錯誤的是()。[單選題]A.自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B.自評估應參照相應標準、依據(jù)制定的評估方案和準則,結合系統(tǒng)特定的安全要求實施C.自評估應當是由發(fā)起單位自行組織力量完成,而不應委托社會風險評估服務機構來實施(正確答案)D.周期性的自評估可以在評估流程上適當簡化,如重點針對上次評估后系統(tǒng)變化部分進行答案解析：

自評估也可以委托社會風險評估服務機構來實施。80.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié),在國家網(wǎng)絡與信息安全協(xié)調小組發(fā)布的《關于開展信息安全風險評估工作的意見》(國信辦(2006)5號)中,風險評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關工作原則和要求,下面選項中描述正確的是()。[單選題]A.信息安全風險評估應以自評估為主,自評估和檢查評估相互結合、互為補充(正確答案)B.信息安全風險評估應以檢查評估為主,自評估和檢查評估相互結合、互為補充C.自評估和檢查評估是相互排斥的,單位應慎重地從兩種工作形式選擇一個,并長期使用D.自評估和檢查評估是相互排斥的,無特殊理由單位均應選擇檢查評估,以保證安全效果答案解析：

信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充。81.規(guī)范的實施流程和文檔管理,是信息安全風險評估結能否取得成果的重要基礎,某單位在實施風險評估時,形成了《風險評估方案》并得到了管理決策層的認可,在風險評估實施的各個階段中,該《風險評估方案》應是如下()中的輸出結果。[單選題]A.風險評估準備階段(正確答案)B.風險要素識別階段C.風險分析階段D.風險結果判定階段答案解析：

《風險評估方案》屬于風險評估準備階段的結果。82.風險要素識別是風險評估實施過程中的一個重要步驟,有關安全要素,請選擇一個最合適的選項()。[單選題]A.識別面臨的風險并賦值B.識別存在的脆弱性并賦值(正確答案)C.制定安全措施實施計劃D.檢查安全措施有效性答案解析：

風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。83.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現(xiàn),下列說法不正確的是:[單選題]A.組織內的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關操作規(guī)范文件等文檔是組織的工作標準,也是ISMS審核的依據(jù)B.組織內的業(yè)務系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄,對這些記錄不需要保護和控制(正確答案)C.組織在每份文件的首頁,加上文件修訂跟蹤表,以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內容D.層次化的文檔是ISMS建設的直接體現(xiàn),文檔體系應當依據(jù)風險評估的結果建立答案解析：

信息安全管理體系運行記錄需要保護和控制。84.以下系統(tǒng)工程說法錯誤的是:[單選題]A.系統(tǒng)工程是基本理論的技術實現(xiàn)(正確答案)B.系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法C.系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法D.系統(tǒng)工程是一種方法論答案解析：

系統(tǒng)工程是方法論，不是技術實現(xiàn)。85.訪問控制的實施一般包括兩個步驟,首先要鑒別主體的合法身份,接著根據(jù)當前系統(tǒng)的訪問控制規(guī)則授予相應用戶的訪問權限。在此過程中,涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中,你認為那個是正確的:()[單選題]A.1是主體,2是客體,3是實施,4是決策B.1是客體,2是主體,3是決策,4是實施C.1是實施,2是客體,3是主題,4是決策D.1是主體,2是實施,3是客體,4是決策(正確答案)答案解析：

P30686.組織建立業(yè)務連續(xù)性計劃（BCP)的作用包括:[單選題]A.在遭遇災難事件時,能夠最大限度地保護組織數(shù)據(jù)的實時性,完整性和一致性;B.提供各種恢復策略選擇,盡量減小數(shù)據(jù)損失和恢復時間,快速恢復操作系統(tǒng)、應用和數(shù)據(jù);C.保證發(fā)生各種不可預料的故障、破壞性事故或災難情況時,能夠持續(xù)服務,確保業(yè)務系統(tǒng)的不間斷運行,降低損失;D.以上都是。(正確答案)87.業(yè)務系統(tǒng)運行中異常錯誤處理合理的方法是:[單選題]A.讓系統(tǒng)自己處理異常B.調試方便,應該讓更多的錯誤更詳細的顯示出來C.捕獲錯誤,并拋出前臺顯示D.捕獲錯誤,只顯示簡單的提示信息,或不顯示任何信息(正確答案)答案解析：

D為正確的處理方法，符合最小化反饋原則。88.以下哪項不是應急響應準備階段應該做的?[單選題]A.確定重要資產(chǎn)和風險,實施針對風險的防護措施B.編制和管理應急響應計劃C.建立和訓練應急響應組織和準備相關的資源D.評估事件的影響范圍,增強審計功能、備份完整系統(tǒng)(正確答案)答案解析：

D描述的是安全事件發(fā)生以后，不是應急響應的準備。89.以下屬于哪一種認證實現(xiàn)方式:用戶登錄時,認證服務器（AuthenticationServer,AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶,用戶用某種單向算法將自己的口令、種子密鑰和隨機數(shù)混合計算后作為一次性口令,并發(fā)送給AS,AS用同樣的方法計算后,驗證比較兩個口令即可驗證用戶身份[單選題]A.口令序列B.時間同步C.挑戰(zhàn)/應答(正確答案)D.靜態(tài)口令答案解析：

題干描述的是C的解釋。90.在對某面向互聯(lián)網(wǎng)提供服務的某應用服務器的安全檢測中發(fā)現(xiàn),服務器上開放了以下幾個應用,除了一個應用外其他應用都存在明文傳輸信息的安全問題,作為一名檢測人員,你需要告訴用戶對應用進行安全整改以外解決明文傳輸數(shù)據(jù)的問題,以下哪個應用已經(jīng)解決了明文傳輸數(shù)據(jù)問題:[單選題]A.SSH(正確答案)B.HTTPC.FTPD.SMTP答案解析：

SSH具備數(shù)據(jù)加密保護的功能。91.陳工學習了信息安全風險的有關知識,了解到信息安全風險的構成過程,有五個方面:起源、方式、途徑、受體和后果,他畫了下面這張圖來描述信息安全風險的構成過程,圖中空白處應填寫?()[單選題]A.信息載體B.措施C.脆弱性(正確答案)D.風險