NISP復習測試卷含答案

第頁NISP復習測試卷含答案1.以下屬于哪一種認證實現(xiàn)方式：用戶登錄時，認證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子密鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS，AS用同樣的方法計算后，驗證比較兩個口令即可

驗證用戶身份A、口令序列B、時間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。2.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風險B、是否可以抵抗大部分風險C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風險控制在可接受的范圍內(nèi)【正確答案】：D解析：

判斷風險控制的標準是風險是否控制在接受范圍內(nèi)。3.了解社會工程學攻擊是應(yīng)對和防御()的關(guān)鍵,對于信息系統(tǒng)的管理人員和用戶,都應(yīng)該了解社會學的攻擊的概念和攻擊的()。組織機構(gòu)可采取對相關(guān)人員實施社會工程學培訓來幫助員工了解什么是社會工程學攻擊,如何判斷是否存在社會工程學攻擊,這樣才能更好的保護信息系統(tǒng)和()。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就()。因此組織機構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓和教育,向員工灌輸(),以降低社會工程學攻擊的風險。A、社會工程學攻擊;越容易;原理;個人數(shù)據(jù);安全意識B、社會工程學攻擊;原理;越容易;個人數(shù)據(jù);安全意識C、原理;社會工程學攻擊;個人數(shù)據(jù);越容易;安全意識D、社會工程學攻擊;原理;個人數(shù)據(jù);越容易;安全意識【正確答案】：D4.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種：A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C解析：

“針對每個用戶指明”5.以下哪些不是《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中闡述的我國網(wǎng)絡(luò)空間當前任務(wù)?A、捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)B、保護關(guān)鍵信息基礎(chǔ)設(shè)施C、提升網(wǎng)絡(luò)空間防護能力D、阻斷與國外網(wǎng)絡(luò)連接【正確答案】：D解析：

常識問題6.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有局限性，下列說法錯誤的是()A、對用戶知識要求高，配置、操作和管理使用過于簡單，容易遭到攻擊B、高虛頻率，入侵檢測系統(tǒng)會產(chǎn)生大量的警告信息和可疑的入侵行為記錄，用戶處理負擔很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被控制或者受到影響D、警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

“配置、操作和管理使用過于簡單，容易遭到攻擊”錯誤。7.小李在某單位是負責信息安全風險管理方面工作的部門領(lǐng)導,主要負責對所在行業(yè)的新人進行基本業(yè)務(wù)素質(zhì)培訓。一次培訓的時候,小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項()A、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例,因此具有隨意性B、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值,因此更具客觀性C、風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析D、半定量風險分析技術(shù)主要指在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素的賦值方式,實現(xiàn)對風險各要素的度量數(shù)值化【正確答案】：A解析：

定性風險分析是利用已識別風險的發(fā)生概率、風險發(fā)生對項目目標的相應(yīng)影響,以及其他因素。8.你是單位安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁,安全運維人員給出了針對此批漏洞修補的四個建議方案,請選擇其中一個最優(yōu)方案執(zhí)行()A、對于重要的服務(wù),應(yīng)在測試環(huán)境中安裝并確認補丁兼容性問題后再在正式生產(chǎn)環(huán)境中部署B(yǎng)、對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補丁,用戶終端計算機由于沒有重要數(shù)據(jù),由終端自行升級C、本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害,所以可以先不做處理D、由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞,為了避免安全風險,應(yīng)對單位所有的服務(wù)器和客戶端盡快安裝補丁【正確答案】：A解析：

對于重要的服務(wù),在測試環(huán)境中安裝并確定補丁的兼容性問題后再在正式生產(chǎn)環(huán)境中部署,這樣可以有效的避免應(yīng)補丁升級后可能會對系統(tǒng)服務(wù)造成不必要的影響。9.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為B、Https使用的端口和http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的【正確答案】：A解析：

HTTPS具有數(shù)據(jù)加密機制，HTTPS使用443端口，HTTP使用80端口，HTTPS協(xié)議完全可以獨立運行，傳輸加密后的用戶名和密碼。10.由于病毒攻擊、非法入侵等原因,校園網(wǎng)整體癱瘓,或者校園網(wǎng)絡(luò)中心全部DNS主WEB服務(wù)器不能正常工作;由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網(wǎng)出口中斷,屬于以下哪種級別事件()A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：A解析：

參考P147頁安全事件定級。11.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運行維護的安全管理問題【正確答案】：C解析：

信息安全工程作為信息安全保障的重要組成部門，主要是為了解決信息系統(tǒng)生命周期的過程安全問題。12.以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施？A、人民解放軍戰(zhàn)略支援部隊B、中國移動吉林公司C、重慶市公安局消防總隊D、上海市衛(wèi)生與計劃生育委員會【正確答案】：D解析：

關(guān)鍵信息基礎(chǔ):面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng);且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響重要行業(yè)正常運行，對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴重損失。13.1993年至1996年，歐美六國和美國商務(wù)部國家標準與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標準，簡稱CC標準，該安全評估標準的全稱為()A、《可信計算機系統(tǒng)評估準則》B、《信息技術(shù)安全評估準則》C、《可信計算機產(chǎn)品評估準則》D、《信息技術(shù)安全通用評估準則》【正確答案】：D14.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負責將權(quán)限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A、當用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C、通過角色，可實現(xiàn)對信息資源訪問的控制D、RBAC模型不能實現(xiàn)多級安全中的訪問控制【正確答案】：D解析：

RBAC模型能實現(xiàn)多級安全中的訪問控制。15.／etc/peddwd文件是UNIX／Linux安全的關(guān)鍵是文件之一，該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶ID(UID)、默認的用戶分組ID(GID)、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的passwd文件后，發(fā)現(xiàn)每個用戶的加密口令數(shù)據(jù)項都是顯示為“X”，下列選項中，對此現(xiàn)象的解釋正確的是()A、黑客竊取的passwd文件是假的B、用戶的登錄口令經(jīng)過不可逆轉(zhuǎn)的加密算法加密結(jié)果為“X”C、加密口令被轉(zhuǎn)移到了另一個文件里D、這些賬戶都被禁用了【正確答案】：C解析：

加密口令被轉(zhuǎn)移到了/etc/shadow文件里16.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護策略，以下不屬于數(shù)據(jù)庫防護策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補丁B、對存儲的敏感數(shù)據(jù)進行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務(wù)器進行重啟以確保數(shù)據(jù)庫運行良好【正確答案】：D解析：

D項屬于運維但不屬于防護策略。17.某學員在學習國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡化的信息系統(tǒng)安全保障模型圖，如下所示。請為圖中括號空白處選擇合適的選項（）A、安全保障（方針和組織）B、安全防護（技術(shù)和管理）C、深度防御（策略、防護、檢測、響應(yīng)）D、保障要素（管理、工程、技術(shù)、人員）【正確答案】：D18.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件B、對信息安全事件進行有效管理和響應(yīng)，最小化事件所造成的損失和負面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息安全事件的發(fā)生【正確答案】：D解析：

安全事件無法杜絕。19.在一個網(wǎng)絡(luò)中,當擁有的網(wǎng)絡(luò)地址容量不夠多,或普通終端計算機沒有必要分配靜態(tài)IP地址時,可以采用通過在計算機連接到網(wǎng)絡(luò)時,每次為其臨時在IP地址池中選擇一個IP地址并分配的方式為()A、動態(tài)分配IP地址B、靜態(tài)分配IP地址C、網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址D、手動分配【正確答案】：A解析：

“沒有必要分配靜態(tài)”首先排除B,實際上題干介紹的是動態(tài)分配IP地址概述。20.風險評估的過程包括()、()、()和()四個階段。在信息安全風險管理過程中,風險評估建立階段的輸出,形成本階段的最終輸出《風險評估報告》,此文檔為風險處理活動提供輸入。()貫穿風險評估的四個階段。A、風險評估準備;風險要素識別;風險分析;監(jiān)控審查;風險結(jié)果判定;溝通咨詢B、風險評估準備;風險要素識別;監(jiān)控審查;風險分析;風險結(jié)果判定;溝通咨詢C、風險評估準備;監(jiān)控審查;風險要素識別;風險分析;風險結(jié)果判定;溝通咨詢D、風險評估準備;風險要素識別:風險分析:風險結(jié)果判定監(jiān)控審查,溝通咨詢【正確答案】：D21.二十世紀二十年代,德國發(fā)明家亞瑟謝爾比烏斯Enigma密碼機。按照密碼學發(fā)展歷史階段劃分,這個階段屬于()A、古典密碼階段。這一階段的密碼專家常常靠直覺和技巧來設(shè)計密碼,而不是憑借推理和證明,常用的密碼運算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算,形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備C、近代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”(TheCommunicationTheoryofSecretSystems)D、現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志,引發(fā)了密碼學歷史上的革命性的變革,同時,眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合【正確答案】：A解析：

Enigma密碼機,按照密碼學發(fā)展歷史階段劃分,這個階段屬于古典密碼階段。22.由于信息系統(tǒng)的復雜性，因此需要一個通用的框架對其進行解構(gòu)和描述，然后再基于此框架討論信息系統(tǒng)的()。在IATF中，將信息系統(tǒng)的信息安

全保障技術(shù)層面分為以下四個焦點領(lǐng)域：()：區(qū)域邊界即本地計算環(huán)境的外

緣；()；支持性基礎(chǔ)設(shè)施，在深度防御技術(shù)方案中推薦()原則、()原則。A、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；安全保護問題；本地的計算機環(huán)境；多點防御；分層防御B、安全保護問題；本地的計算機環(huán)境；多點防御；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；分層防御C、安全保護問題；本地的計算機環(huán)境；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點防御；分層防御D、本地的計算環(huán)境；安全保護問題；網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；多點防御；分層防御【正確答案】：C解析：

參考P29頁，IATF4個焦點領(lǐng)域。23.以下關(guān)于威脅建模流程步驟說法不正確的是()。A、威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析,評估被利用和攻擊發(fā)生的概率,了解被攻擊后資產(chǎn)的受損后果,并計算風險C、消減威脅是根據(jù)威脅的評估結(jié)果,確定是否要消除該威脅以及消減的技術(shù)措施,可以通過重新設(shè)計直接消除威脅,或設(shè)計采用技術(shù)手段來消減威脅D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅,它可能是惡意的,也可能不是惡意的,威脅就是漏洞【正確答案】：D解析：

識別威脅是發(fā)現(xiàn)組件或進程存在的威脅,威脅是一種不希望發(fā)生、對資產(chǎn)目標有害的事件。從本質(zhì)上看,威脅是潛在事件,它可能是惡意的,也可能不是惡意的。因此,威脅并不等于漏洞。P404頁。24.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導人宣貫風險評估準則D、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證【正確答案】：C解析：

C屬于風險評估階段，不屬于題干中的安全需求階段。25.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，以下哪個選項的內(nèi)容不屬于常規(guī)控制措施的范圍()A、安全事件管理、供應(yīng)商關(guān)系、業(yè)務(wù)安全性審計B、信息安全方針、信息安全組織、資產(chǎn)管理C、安全采購、開發(fā)與維護、合規(guī)性D、人力資源安全、物理和環(huán)境安全、通信安全【正確答案】：A解析：

ISO27001信息安全管理體系包含了14個控制域詳見P103頁，沒有業(yè)務(wù)安全性審計26.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能()。A、防止IP地址欺騙B、核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、識別違反安全策略的用戶活動D、檢測并分析用戶和系統(tǒng)的活動【正確答案】：A解析：

入侵檢測技術(shù)不包含防IP地址欺騙。27.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導做決策，以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

a是滲透測試的優(yōu)點，滲透測試是模擬攻擊的黑盒測試，有利于發(fā)現(xiàn)系統(tǒng)明顯的問題。28.超文本傳輸協(xié)議(HyperTextTransferProtocol，HTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議。下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能()。A、HTTPD協(xié)議B、HTTP1.0協(xié)議C、HTTPS協(xié)議D、HTTP1.1協(xié)議【正確答案】：C解析：

HTTPS協(xié)議，是以安全為目標的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認證保證了傳輸過程的安全性。29.1998年英國公布標準的第二部分《信安全管理體系規(guī)范》，規(guī)定()管理體系要求與()要求，它是一個組織的全面或部分信息安全管理體系評估的()，它可以作為一個正式認證方案的()。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及()的責任。A、信息安全；信息安全控制；根據(jù)；基礎(chǔ)；信息安全B、信息安全控制；信息安全；根據(jù)；基礎(chǔ)；信息安全C、信息安全控制；信息安全；基礎(chǔ)；根據(jù)；信息安全D、信息安全；信息安全控制；基礎(chǔ)；根據(jù)；信息安全【正確答案】：A30.優(yōu)秀源代碼審核工具有哪些特點()1安全性;2多平臺性;3可擴民性;4知識性;5集成性。A、12345B、234C、1234D、23【正確答案】：A解析：

P416頁31.下圖是安全測試人員連接某遠程主機時的操作界面，請您仔細分析該圖，下面分析推理正確的是（）

A、安全測試人員鏈接了遠程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠程服務(wù)器開啟了FTP服務(wù)，使用的服務(wù)器軟件名FTPServerD、遠程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)【正確答案】：D32.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度(Defects/KLOC)來衡量軟件的安全性。假設(shè)某個軟件共有296萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是()。A、49B、0.49C、0.00049D、0.049【正確答案】：B解析：

千行代碼缺陷率=缺陷數(shù)/(代碼行數(shù)/1000)33.以下哪一項不屬于常見的風險評估與管理工具（）：A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經(jīng)驗的風險評估與管理工具【正確答案】：D解析：

D基于經(jīng)驗的風險評估工具不存在。34.下列選項中，哪個不是我國信息安全保障工作的主要內(nèi)容：A、加強信息安全標準化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標準體系B、建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實現(xiàn)國家信息安全自主可控目標C、建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D、加快信息安全學科建設(shè)和信息安全人才培養(yǎng)【正確答案】：B解析：

建立國家信息安全研究中心不是我國信息安全保障工作的主要內(nèi)容。35.關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是：A、在軟件開發(fā)的各個周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本【正確答案】：C解析：

設(shè)計階段是發(fā)現(xiàn)和改正問題的最佳階段。36.若一個組織聲稱自己的ISMS符合ISO/IBC27001或GB/T22080標準要求，其信息安全控制措施通常在以下方面實施常規(guī)控制，不包括哪一項()A、信息安全方針、信息安全組織、資產(chǎn)管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、符合性D、規(guī)劃與建立ISMS【正確答案】：D解析：

P103-128頁。37.某軟件在設(shè)計時，有三種用戶訪問模式，分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問)采用這三種訪問模式時，攻擊面最高的是()。A、僅管理員可訪問B、所有合法用戶可訪問C、允許匿名D、三種方式一樣【正確答案】：C解析：

D項是干擾項，D項的意思是三種方式攻擊面一樣。38.規(guī)范的實施流程和文檔管理,是信息安全風險評估能否取得成功的重要基礎(chǔ)。某單位在實施風險評估時,形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風險評估實施的各個階段中,該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下()中的輸出結(jié)果。A、風險要素識別B、風險結(jié)果判定C、風險分析D、風險評估準備【正確答案】：A解析：

在信息安全風險評估前,首先要進行的工作是資產(chǎn)分類與分級,資產(chǎn)清單作為資產(chǎn)登記的重要輸出物。P25339.以下系統(tǒng)工程說法錯誤的是：A、系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)B、系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法D、系統(tǒng)工程是一種方法論【正確答案】：A解析：

系統(tǒng)工程是方法論，不是技術(shù)實現(xiàn)。40.王明買了一個新的藍牙耳機,但王明聽說使用藍牙設(shè)備有一定的安全威脅,于是王明找到對藍牙技術(shù)有所了解的王紅,希望王紅能夠給自己一點建議,以下哪一條建議不可取()A、在選擇使用藍牙設(shè)備時,應(yīng)考慮設(shè)備的技術(shù)實現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力B、選擇使用工能合適的設(shè)備而不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能C、如果藍牙設(shè)備丟失,最好不要做任何操作D、在配對時使用隨機生成的密鑰、不使用時設(shè)置不可被其他藍牙設(shè)備發(fā)現(xiàn)【正確答案】：C解析：

如果藍牙設(shè)備丟失,應(yīng)把設(shè)備從已配對列表眾刪除。41.某公司財務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議,作為信息安全主管,你必須指出不恰當?shù)牟僮鞑⒆柚勾舜尾僮?)A、由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進行取證B、由于公司缺乏備用硬盤,因此計劃將恢復服務(wù)器上被刪除的日志文件進行本地恢復后再提取出來進行取證C、由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復出來的數(shù)據(jù)D、由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負責此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作【正確答案】：B42.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。43.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進行一次，事件發(fā)生時間為周三，因此導致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20986-2007《信息安全事件分級分類指南》，該事件的準確分類和定級應(yīng)該是()A、有害程序事件特別重大事件(Ⅰ級)B、信息破壞事件重大事件(Ⅱ級)C、有害程序事件較大事件(Ⅲ級)D、信息破壞事件一般事件(Ⅳ級)【正確答案】：C解析：

木馬病毒為有害程序事件，系統(tǒng)數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問屬于較大事件(III級)44.以下哪些是需要在信息安全策略中進行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實施手段【正確答案】：B解析：

安全策略是宏觀的原則性要求，不包括具體的架構(gòu)、參數(shù)和實施手段。45.以下哪一項不是我國信息安全保障的原則：A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅持以技術(shù)和管理并重。46.在某網(wǎng)絡(luò)機房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A、審核實施投資計劃B、審核實施進度計劃C、審核工程實施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項目招標開始到項目的驗收結(jié)束，在投資計劃階段沒有監(jiān)理。47.()第二十三條規(guī)定存儲、處理國家秘密的計算機信息系統(tǒng)(以下簡稱

涉密信息系統(tǒng))按照()實行分級保護。()應(yīng)當按照國家保密標準配備保密設(shè)施、設(shè)備。()、設(shè)備應(yīng)當與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行(三

同步)。涉密信息系統(tǒng)應(yīng)當按照規(guī)定，經(jīng)()后，方可投入使用。A、《保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格B、《安全保密法》；涉密程度；涉密信息系統(tǒng)；保密設(shè)施；檢查合格C、《國家保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格D、《網(wǎng)絡(luò)保密法》；涉密程度；涉密系統(tǒng)；保密設(shè)施；檢查合格【正確答案】：A解析：

《保密法》第二十三條規(guī)定存儲、處理國家秘密的計算機信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))按照涉密程度實行分級保護。涉密信息系統(tǒng)應(yīng)當按照國家保密標準配備保密設(shè)施、設(shè)備。保密設(shè)施、設(shè)備應(yīng)當與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行(三同步)。涉密信息系統(tǒng)應(yīng)當按照規(guī)定，經(jīng)檢查合格后，方可投入使用。P57頁。48.根據(jù)《關(guān)于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是()A、信息安全風險評估分自評估、檢查評估兩形式，應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效‘的原則開展C、信息安全風險評估應(yīng)管貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風險評估工作應(yīng)加強信息安全風險評估工作的組織領(lǐng)導【正確答案】：A解析：

自評為主，檢查為輔49.若一個組織聲稱自己的ISMS符合ISO／IEC27001或GB／T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標，信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以上哪項控制措施()A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南，信息的標記和處理【正確答案】：D解析：

P109頁。50.有關(guān)項目管理，錯誤的理解是：A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用【正確答案】：B解析：

項目管理受項目資源的約束。51.關(guān)于信息安全管理體系的作用，下面理解錯誤的是()。A、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補投入對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責任B、對外而言，有助于使各利益相關(guān)方對組織充滿信心C、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查【正確答案】：A52.惡意代碼經(jīng)過20多年的發(fā)展,破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高,網(wǎng)絡(luò)播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱蟆Ｐ±畎l(fā)現(xiàn)在自己的電腦查出病毒的過程中,防病毒軟件通過對有毒件的檢測,將軟件行為與惡意代碼行為模型進行匹配,判斷出該軟件存在惡意代碼,這種方式屬于()A、簡單運行B、行為檢測C、特征數(shù)據(jù)匹配D、特征碼掃描【正確答案】：B解析：

惡意代碼檢測包括特征碼掃描和行為檢測,行為檢測是防病毒軟件通過對軟件的行為檢測,將軟件行為與惡意代碼行為模型進行匹配,以判斷是否為惡意代碼。P370頁53.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是()。A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標破壞的信息作戰(zhàn)部隊C、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙D、搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)【正確答案】：C解析：

A屬于個人威脅；B和D屬于國家威脅。54.網(wǎng)絡(luò)與信息安全應(yīng)急預案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預先制定的行動計劃或應(yīng)急對策。應(yīng)急預案的實施需要各子系統(tǒng)相互與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依欠填入的是（）。

A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組；B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運行小組；C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組；D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運行小組、應(yīng)急響應(yīng)實施小組；【正確答案】：A解析：

P149圖4-155.依據(jù)國家GB/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(ISST)中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

GB/T20274信息系統(tǒng)保障評估框架從管理、技術(shù)、工程和總體方面進行評估。56.信息收集是()攻擊實施的基礎(chǔ),因此攻擊者在實施前會對目標進行(),了解目標所有相關(guān)的()。這些資料和信息對很多組織機構(gòu)來說都是公開或看無用的,然而對攻擊者來說,這些信息都是非常有價值的,這些信息收集得越多,離他們成功得實現(xiàn)()就越近。如果為信息沒有價值或價值的非常低,組織機構(gòu)通常不會采取措施(),這正是社會工程學攻擊者所希望的。A、信息收集;社會工程學;資料和信息;身份偽裝;進行保護B、社會工程學;信息收集;資料和信息;身份偽裝;進行保護C、社會工程學;信息收集;身份偽裝;資料和信息;進行保護D、信息收集;資料和信息;社會工程學;身份偽裝;進行保護【正確答案】：B57.ISO27002（Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理標準之一，下圖是關(guān)于其演進變化示意圖，圖中括號空白處應(yīng)填寫（）

A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37【正確答案】：B58.訪問控制的實施一般包括兩個步驟，首先要鑒別主體的合法身份，接著根據(jù)當前系統(tǒng)的訪問控制規(guī)則授予相應(yīng)用戶的訪問權(quán)限。在此過程中，涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中，你認為那個是正確的：()

A、1是主體，2是客體,3是實施，4是決策B、1是客體，2是主體3是決策，4是實施C、1實施，2是客體3是主題，4是決策D、1是主體，2是實施3是客體，4是決策【正確答案】：D解析：

P30659.在信息安全保障工作中人才是非常重要的因素,近年來,我國一直調(diào)試重視我國信自成安全人才隊伍培養(yǎng)建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中,錯誤的是()。A、在《中國信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的中意見》(中辦發(fā)[2003]27號)中,針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快網(wǎng)絡(luò)空間安全人才培養(yǎng)增強全民信息安全意識”的指導精神B.2015年,為加快網(wǎng)絡(luò)安全高層次人才培養(yǎng),經(jīng)報國務(wù)院學位委員會批準,國務(wù)院學位委員會、教育部決定“工學”門類下增設(shè)“網(wǎng)絡(luò)空間安全“一級學科,這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)培養(yǎng)到積極的推到作用C、經(jīng)過十余年的發(fā)展,我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息全從人員的數(shù)量較多,能同社會實際需求相匹配;同時,高效信息安全專業(yè)畢業(yè)人才的合能力要求高、知識更全面,因面社會化培養(yǎng)重點放在非安全專業(yè)人才培養(yǎng)上D、除正規(guī)大學教育外,我國信息安全非學歷教育已基本形成了以各種認證為核心,輔以各種職業(yè)技能培訓的信息安全人才培訓休系,包括“注冊信息安全專業(yè)人員(CISP)”資質(zhì)認證和一些大型企業(yè)的信息安全資質(zhì)認證【正確答案】：C解析：

常識問題60.訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色訪問控制，它們具有不同的特點和應(yīng)用場景。如果需要選擇一個訪問控制模型，要求能夠支持最小特權(quán)原則和職責分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在(1)自主訪問控

制，(2)強制訪問控制，(3)基于角色的訪問控制(4)基于規(guī)則的訪問控制中，能夠滿

足以上要求的選項有()A、只有(1)(2)B、只有(2)(3)C、只有(3)(4)D、只有(4)【正確答案】：C解析：

支持最小特權(quán)原則和職責分離原則，只有基于角色的訪問控制滿足，所以排除A和

D，基于強制訪問控制不滿足，所以排除B。61.以下哪個現(xiàn)象較好的印證了信息安全特征中的動態(tài)性()A、經(jīng)過數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺各種電子設(shè)備B、剛剛經(jīng)過風險評估并針對風險采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風險C、某公司的信息系統(tǒng)面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍然產(chǎn)生了泄露【正確答案】：B解析：

B體現(xiàn)出了動態(tài)性62.信息安全風險值應(yīng)該是以下哪些因素的函數(shù)？()A、信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復雜程度【正確答案】：A解析：

信息安全風險三要素：資產(chǎn)、威脅、脆弱性63.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計文檔時，發(fā)現(xiàn)其中標注該信息系統(tǒng)的RPO(恢復點目標)指標為3小時。請問這意味著()。A、若該信息系統(tǒng)發(fā)生重大信息安全事件，工作人員在完成處置和災(zāi)難恢復工作后，系統(tǒng)至多能丟失3小時的業(yè)務(wù)數(shù)據(jù)B、若該信息系統(tǒng)發(fā)生重大信息安全事件，工作人員在完成處置和災(zāi)難恢復工作后，系統(tǒng)運行3小時后能恢復全部數(shù)據(jù)C、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時內(nèi)完成應(yīng)急處理工作，并恢復對外運行D、該信息系統(tǒng)發(fā)生重大信息安全事件后，工作人員應(yīng)在3小時內(nèi)到位，完成問題定位和應(yīng)急處理工作【正確答案】：A解析：

RPO是指在業(yè)務(wù)恢復后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度，這個程度使用時間作為衡量指標。如：RPO=0，說明數(shù)據(jù)是實時備份，不會出現(xiàn)數(shù)據(jù)丟失的情況。P156。64.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：A、建立環(huán)境B、實施風險處理計劃C、持續(xù)的監(jiān)視與評審風險D、持續(xù)改進信息安全管理過程【正確答案】：D解析：

持續(xù)改進信息安全管理過程屬于處置(ACT)階段。65.在國家標準GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個方面？()A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運行維護【正確答案】：B解析：

在國家標準GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含保障要素、生命周期和安全特征3方面。P35頁。66.規(guī)范的實施流程和文檔管理，是信息安全風險評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實施風險評估時，形成了《風險評估方案》并得到了管理決策層的認可，在風險評估實施的各個階段中，該《風險評估方案》應(yīng)是如下()中的輸出結(jié)果。A、風險評估準備階段B、風險要素識別階段C、風險分析階段D、風險結(jié)果判定階段【正確答案】：A解析：

《風險評估方案》屬于風險評估準備階段的結(jié)果。67.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會工程學攻擊【正確答案】：D解析：

D屬于社會工程學攻擊。68.安全漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。當前，網(wǎng)絡(luò)安全漏洞掃描技術(shù)的兩

大核心技術(shù)是()。A、PING掃描技術(shù)和端口掃描技術(shù)B、端口掃描技術(shù)和漏洞掃描技術(shù)C、操作系統(tǒng)探測和漏洞掃描技術(shù)D、PING掃描技術(shù)和操作系統(tǒng)探測【正確答案】：B解析：

概念題69.現(xiàn)如今的時代是信息的時代，每天都會有大量的信息流通或交互，但自從斯諾登曝光美國政府的“棱鏡”計劃之后，信息安全問題也成為了每個人乃至整個國家所不得不重視的問題，而網(wǎng)絡(luò)信息對抗技術(shù)與電子信息對抗技術(shù)也成為了這個問題的核心。某公司為有效對抗信息收集和分析，讓該公司一位網(wǎng)絡(luò)工程師提出可行的參考建議，在該網(wǎng)絡(luò)工程師的建議中，錯誤的是()A、通過信息安全培訓，使相關(guān)信息發(fā)布人員了解信息收集的風險B、發(fā)布信息應(yīng)采取最小原則，所有不是必要的信息都不發(fā)布C、重點單位應(yīng)建立信息發(fā)布審查機制，對發(fā)布的信息進行審核，避免敏感信息的泄露D、增加系統(tǒng)中對外服務(wù)的端口數(shù)量，提高會話效率【正確答案】：D解析：

增加對外服務(wù)端口數(shù)量會有助于攻擊者進行信息收集70.基于TCP的主機在進行一次TCP連接時簡要進行三次握手，請求通信的主機A要與另一臺主機B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接請示，B收到后，回復一個ACK/SYN確認請示給A主機，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機，使目標主機發(fā)送的ACK/SYN包得不到確認。一般情況下，目標主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標主機時，目標主機上就會有大量的連接請示等待確認，當這些未釋放的連接請示數(shù)量超過目標主機的資源限制時。正常的連接請示就不能被目標主機接受，這種SYNFlood攻擊屬于()A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊【正確答案】：A解析：

SYNFlood屬于拒絕服務(wù)攻擊的一種，并未體現(xiàn)出來分布式。71.風險評估的工具中，()是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判

斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A、脆弱性掃描工具B、滲透測試工具C、拓撲發(fā)現(xiàn)工具D、安全審計工具【正確答案】：B72.我國等級保護政策發(fā)展的正確順序是()。①等級保護相關(guān)政策文件頒布②計算機系統(tǒng)安全保護等級劃分思想提出③等級保護相關(guān)標準發(fā)布④網(wǎng)絡(luò)安全法將等級保護制度作為基本國策⑤等級保護工作試點A、①②③④⑤B、②⑤①③④C、①②④③⑤D、②③①⑤④【正確答案】：B解析：

計算機系統(tǒng)安全保護等級劃分思想提出(1994-1999);等級保護工作試點(2002-2006);等級保護相關(guān)政策文件頒布(2004-2009);等級保護相關(guān)標準發(fā)布(2008-2014);網(wǎng)絡(luò)安全法明確我國實行網(wǎng)絡(luò)安全等級保護制度(2016);P61頁73.老王是一名企業(yè)信息化負責人，由于企業(yè)員工在瀏覽網(wǎng)頁時總導致病毒感染系統(tǒng)，

為了解決這一問題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，老王根據(jù)多年的信息安全管理經(jīng)驗，認為其中一條不太適合推廣，你認為是哪條措施()A、采購防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實現(xiàn)對所有瀏覽網(wǎng)頁進行檢測，阻止網(wǎng)頁中的病毒進入內(nèi)網(wǎng)B、組織對員工進行一次上網(wǎng)行為安全培訓，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識C、采購并統(tǒng)一部署企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進行病毒庫升級，確保每臺計算機都具備有效的病毒檢測和查殺能力D、制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器【正確答案】：D解析：

更換瀏覽器并不能防范病毒感染系統(tǒng)，而且很多軟件和應(yīng)用與微軟IE瀏覽器做了適配，強制更換Chrome瀏覽器不適合推廣。74.風險要素識別是風險評估實施過程中的一個重要步驟，有關(guān)安全要素，請選擇一個最合適的選項()。A、識別面臨的風險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性【正確答案】：B解析：

風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。75.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。（）A、跨站腳本攻擊B、TCP會話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊【正確答案】：D解析：

流量突增5倍以上，說明是流量性的攻擊，最后可能的就是拒絕服務(wù)攻擊。76.以下對單點登錄技術(shù)描述不正確的是:()。A、單點登錄技術(shù)實質(zhì)是安全憑證在多個用戶之間的傳遞或共享B、使用單點登錄技術(shù)用戶只需在登錄時進行一次注冊,就可以訪問多個應(yīng)用C、單點登錄不僅方便用戶使用,而且也便于管理D、使用單點登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)【正確答案】：A解析：

單點登錄技術(shù)實質(zhì)是安全憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享。77.下面哪種方法產(chǎn)生的密碼是最難記憶的？A、將用戶的生日倒轉(zhuǎn)或是重排B、將用戶的年薪倒轉(zhuǎn)或是重排C、將用戶配偶的名字倒轉(zhuǎn)或是重排D、用戶隨機給出的字母【正確答案】：D解析：

隨機的最難記78.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpdconfB、srlconfC、access．confD、Inet.conf【正確答案】：A解析：

根據(jù)題干本題選擇A。79.由于頻繁出現(xiàn)計算機運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓B、要求增加軟件源代碼審核環(huán)節(jié)，加強對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。80.具有行政法律責任強制力的安全管理規(guī)定和安全制度包括()(1)安全事件(包括安全事故)報告制度(2)安全等級保護制度(3)信息系統(tǒng)安全監(jiān)控(4)安全專用產(chǎn)品銷售許可證制度A、2,3B、1,2,3C、2,3,4D、1,2,4【正確答案】：D解析：

(1)來源于《安全生產(chǎn)法》第八十條,(2)(4)是常識。81.下面哪項屬于軟件開發(fā)安全方面的問題（）A、軟件部署時所需選用服務(wù)性能不高，導致軟件執(zhí)行效率低。B、應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D、軟件受許可證（license）限制，不能在多臺電腦上安裝?！菊_答案】：C解析：

ABD與安全無關(guān)。82.最小特權(quán)是軟件安全設(shè)計的基本原則，某應(yīng)用程序在設(shè)計時，設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專家，請指出是哪一個?A、軟件在Linux下按照時，設(shè)定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運行，設(shè)定運行權(quán)限為system，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤【正確答案】：D解析：

SYSTEM權(quán)限是最大權(quán)限，違反了最小特權(quán)的原則。83.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯誤的是()。A、軟件安全的三根支柱是風險管理、軟件安全觸點和安全知識B&I含義是指將安全內(nèi)建到軟件開發(fā)過程中，而不是可有可無，更不是游離于軟件開發(fā)生命周期之外C、B&I系列模型強調(diào)安全測試的重要性，要求安全測試貫穿整個開發(fā)過程及軟件生命周期D、軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法，它提供了從不同角度

保障安全的行為方式【正確答案】：C解析：

BSI認為軟件安全有3根支柱：風險管理、軟件安全接觸點和安全知識，其強調(diào)了在軟件的整個生命周期中風險管理的重要性，并要求風險管理框架貫穿整個開發(fā)過程。P403頁。84.計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代，某公司為減少計算機系統(tǒng)漏洞，對公司計算機系統(tǒng)進行了如下措施，其中錯誤的是()A、減少系統(tǒng)日志的系統(tǒng)開銷B、禁用或刪除不需要的服務(wù)，降低服務(wù)運行權(quán)限C、設(shè)置策略避免系統(tǒng)出現(xiàn)弱口令并對口令猜測進行防護D、對系統(tǒng)連續(xù)進行限制，通過軟件防火墻等技術(shù)實現(xiàn)對系統(tǒng)的端口連續(xù)進行控制【正確答案】：A解析：

系統(tǒng)日志不應(yīng)該減少85.數(shù)據(jù)庫是一個單位或是一個應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲的是屬于企業(yè)和事業(yè)部門、團體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的,按一定的數(shù)據(jù)模型進行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng),毫無疑問會成為信息安全的重點防護對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問,對數(shù)據(jù)庫安全要求不包括下列()A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對數(shù)據(jù)庫的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責任審查等提供證據(jù)和跡象等【正確答案】：A解析：

A項不在數(shù)據(jù)庫安全存儲和安全訪問范疇。86.某單位在一次信息安全風險管理活動中，風險評估報告提出服務(wù)器A的FTP服務(wù)存在高風險漏洞。隨后該單位在風險處理時選擇了安裝FTP服務(wù)漏洞補丁程序并加固FTP服務(wù)安全措施，請問該措施屬于哪種風險處理方式()A、風險轉(zhuǎn)移B、風險接受C、風險規(guī)避D、風險降低【正確答案】：D解析：

風險降低可采用預防性策略和反應(yīng)性策略兩種方案。P141頁。87.以下哪個是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是【正確答案】：D解析：

惡意代碼采用的隱藏技術(shù)包括：文件隱藏、進程隱藏、網(wǎng)絡(luò)連接隱藏等。88.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中,關(guān)于殘余風險描述錯誤的是()A、殘余風險是采取了安全措施后,仍然可能存在的風險,一般來說,是在綜合考慮了安全成本與效益后不去控制的風險B、殘余風險應(yīng)受到密切監(jiān)理,它會隨著時間的推移而發(fā)生變化,可能會在將來誘發(fā)新的安全事件C、實施風險處理時,應(yīng)將殘余風險清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風險的存在和可能造成的后果D、信息安全風險處理的主要準則是盡可能降低和控制信息安全風險,以最小的殘余風險值作為風險管理效果評估指標【正確答案】：A89.陳工學習了信息安全風險的有關(guān)知識，了解到信息安全風險的構(gòu)成過程，有五個方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風險的構(gòu)成過程，圖中空白處應(yīng)填寫？()

A、信息載體B、措施C、脆弱性D、風險評估【正確答案】：C90.與PDR模型相比，P2DR模型則更強調(diào)()，即強調(diào)系統(tǒng)安全的()，并且以安全檢測、()和自適應(yīng)填充“安全間隙”為循環(huán)來提高()A、漏洞監(jiān)測：控制和對抗：動態(tài)性：網(wǎng)絡(luò)安全B、動態(tài)性：控制和對抗：漏洞監(jiān)測：網(wǎng)絡(luò)安全C、控制和對抗：漏洞監(jiān)測：動態(tài)性：網(wǎng)絡(luò)安全D、控制和對抗：動態(tài)性：漏洞監(jiān)測：網(wǎng)絡(luò)安全【正確答案】：D解析：

P27頁91.2016年12月27日，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組批準，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》(以下簡稱：“戰(zhàn)略”)。全文共計()部分，6000余字。除了提出網(wǎng)絡(luò)安全空間總體發(fā)展()之外,其中主要對我國當前面臨的網(wǎng)絡(luò)空間安全7大機遇思想，闡明了中國關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的重大立場和主張，明確了戰(zhàn)略方針和主要任務(wù)，切實維護國家在網(wǎng)絡(luò)空間的主權(quán)、安全、發(fā)展利益，是指導國家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件?！稇?zhàn)略》指出，網(wǎng)絡(luò)空間機遇和挑戰(zhàn)并存，機遇大于挑戰(zhàn)。必須堅持積極利用、科學發(fā)展、依法管理、確保安全，堅決維護網(wǎng)絡(luò)安全，最大限度利用網(wǎng)絡(luò)空間發(fā)展?jié)摿?，更好惠?3億多中國人民，造福全人類，()?！稇?zhàn)略》要求，要以()，貫徹落實創(chuàng)新、

協(xié)調(diào)、綠色、開放、共享的發(fā)展理念，增強風險意識和危機意識，統(tǒng)籌國內(nèi)國際兩個大局，統(tǒng)籌發(fā)展安全兩件大事，積極防御、有效應(yīng)對，推進網(wǎng)絡(luò)空間和平、安全、開放、合作、有

序，維護國家主權(quán)、安全、發(fā)展利益，實現(xiàn)建設(shè)網(wǎng)絡(luò)強國的()。A、4個；總體目標；堅定維護世界和平；總體國家安全觀為指導；戰(zhàn)略目標B、5個；基本目標；堅定維護世界和平；總體國家安全觀為指導；戰(zhàn)略目標C、6個；總體目標；堅定維護世界和平；總體國家安全觀為指導；戰(zhàn)略目標D、7個；基本目標；堅定維護世界和平；總體國家安全觀為指導；戰(zhàn)略目標【正確答案】：A解析：

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》原文92.以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：A、禁用主機的CD驅(qū)動、USB接口等I／O設(shè)備B、對不再使用的硬盤進行嚴格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機粉碎D、用快速格式化刪除存儲介質(zhì)中的保密文件【正確答案】：D解析：

快速格式化刪除存儲介質(zhì)中的保密文件不能防止信息泄露。快速格式化只是刪除了文件索引，并沒有真正的刪除文件，可以通過工具進行恢復。93.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令

的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是A、所選擇的特征(指紋)便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人獨有的，指紋識別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統(tǒng)存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。94.如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob，Bob再用自己的私鑰解密，恢復出明文以下說法正確的是：（）A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：公鑰密碼體制：公鑰加密私鑰解密，私鑰加密，公鑰解密，公私鑰成對出現(xiàn)。95.在現(xiàn)實的異構(gòu)網(wǎng)絡(luò)環(huán)境中，越來越多的信息需要實現(xiàn)安全的互操作。即進行跨域信息交換和處理。Kerberos協(xié)議不僅能在域內(nèi)進行認證，也支持跨域認證，下圖顯示的是Kerberos協(xié)議實現(xiàn)跨域認證的7個步驟，其中有幾個步驟出現(xiàn)錯誤，圖中錯誤的描述正確的是：()

A、步驟1和步驟2發(fā)生錯誤，應(yīng)該向本地AS請求并獲得遠程TGTB、步驟3和步驟4發(fā)生錯誤，應(yīng)該向本地TGS請求并獲得遠程TGTC、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程AS請求并獲得遠程TGTD、步驟5和步驟6發(fā)生錯誤，應(yīng)該向遠程TGS請求并獲得遠程SGT【正確答案】：B96.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是()。ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機的目的B、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存C、單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接【正確答案】：D解析：

如果不使用ARP協(xié)議可能會造成網(wǎng)絡(luò)無法正常運行，因此不能避免使用該協(xié)議。97.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法?A、實體“所知”以及實體“所有”的鑒別方法B、實體“所有”以及實體“特征”的鑒別方法C、實體“所知”以及實體“特征”的鑒別方法D、實體“所有”以及實體“行為”的鑒別方法【正確答案】：A解析：

題目中安全登錄會涉及到賬號密碼為實體所知，智能卡和短信是實體所有。98.以下對異地備份中心的理解最準確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風險的機率很小【正確答案】：D解析：

答案為D，建立異地備份中心的核心思想是減少相同區(qū)域性風險。99.在實施信息安全風險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是（）A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護費用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計【正確答案】：C100.以下哪項的行為不屬于違反國家保密規(guī)定的行為()A、以不正當手段獲取商業(yè)秘密B、在私人交往中涉及國家秘密C、將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)D、通過普通郵政等無保密措施的渠道傳遞國家秘密載體【正確答案】：A解析：

A屬于商業(yè)秘密,不屬于國家秘密。101.以下對Kerberos協(xié)議過程說法正確的是:()A、協(xié)議可以分為兩個步驟:一是用戶身份鑒別;二是獲取請求服務(wù)B、協(xié)議可以分為兩個步驟:一是獲得票據(jù)許可票據(jù);二是獲取請求服務(wù)C、協(xié)議可以分為三個步驟:一是用戶身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)D、協(xié)議可以分為三個步驟:一是獲得票據(jù)許可票據(jù)二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)【正確答案】：D102.TCP/IP協(xié)議就Internet最基本的協(xié)議，也是Internet構(gòu)成的基礎(chǔ)，

TCP/IP通常被認為就是一個N層協(xié)議，每一層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能，這里N應(yīng)等于()A、4B、5C、6D、7【正確答案】：A解析：

OSI7層和TCP/IP四層103.在你對遠端計算機進行ping操作,不同操作系統(tǒng)回應(yīng)的數(shù)據(jù)包中初始TTL值是不同的,TTL是IP協(xié)議包中的一個值,它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。(簡而言之,你可以通過TTL值推算一下下列數(shù)據(jù)包已經(jīng)通過了多少個路由器)根據(jù)回應(yīng)的數(shù)據(jù)包中的TL值,可以大致判斷()A、內(nèi)存容量B、操作系統(tǒng)的類型C、對方物理位置D、對方的MAC地址【正確答案】：B解析：

TTL是TimeToLive的縮寫,該字段指定IP包被路由器丟棄之前允許通過的最大網(wǎng)段數(shù)量,Widows操作系統(tǒng)默認是128,Linux默認是64,每經(jīng)過一個路由器減1。104.關(guān)于標準,下面哪項理解是錯誤的()。A、標準是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認機構(gòu)批準,共同重復使用的一種規(guī)范性文件。標準是標準化活動的重要成果B、行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準,當行業(yè)標準和國家標準的條款發(fā)生沖突時,應(yīng)以國家標準條款為準C、國際標準是由國際標準化組織通過并公開發(fā)布的標準。同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突時,應(yīng)以國際標準條款為準D、地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定,并報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管部門備案,在公布國家標準之后,該地方標準即應(yīng)廢止【正確答案】：C解析：

國際標準是由國際標準化組織通過并公布的標準,同樣是強制性標準,當國家標準和國際標準的條款發(fā)生沖突,應(yīng)以國家標準條款為準。105.目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品需通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:()A、有助于建立和實施信息安全產(chǎn)品的市場準入制度B、對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學公正的專業(yè)

指導C、對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴格的規(guī)范引導和質(zhì)量監(jiān)督D、打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境【正確答案】：D解析：

題干中信息安全產(chǎn)品測評的主要目的是安全作用，不是經(jīng)濟作用。106.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個是正確的：A、該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test【正確答案】：D107.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風險管理的相關(guān)理論，他這個是掃描活動屬于下面哪一個階段的工作()A、風險分析B、風險要素識別C、風險結(jié)果判定D、風險處理【正確答案】：B解析：

漏洞掃描屬于風險要素的脆弱性要素識別，風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。108.軟件危機是指落后的軟件生產(chǎn)方式無法滿足迅速增長的計算機軟件需求，從而導致軟件開發(fā)與維護過程中出現(xiàn)一系列嚴重問題的現(xiàn)象。為了克服軟件危機，人們提出了用()的原理來設(shè)計軟件，這就是軟件工程誕生的基礎(chǔ)。A、數(shù)學B、軟件學C、運籌學D、工程學【正確答案】：D解析：

軟件學科全稱：計算機軟件工程學,P392頁。109.相比FAT文件系統(tǒng),以下那個不是NTFS所具有的優(yōu)勢?A、NTFS使用事務(wù)日志自動記錄所有文件和文件夾更新,當出現(xiàn)系統(tǒng)損壞引起操作失敗后,系統(tǒng)能利用日志文件重做或恢復未成功的操作。B、NTFS的分區(qū)上,可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限C、對于大磁盤,NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D、相比FAT文件系統(tǒng),NTFS文件系統(tǒng)能有效的兼容linux下的EXT3文件格式。【正確答案】：D110.國家對信息安全建設(shè)非常重視，如國家信息化領(lǐng)導小組在()中確定要求，“信息安全建設(shè)是信息化的有機組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運行維護費用?！眹野l(fā)展改革委所下發(fā)的()要求；電子政務(wù)工程建設(shè)項目必須同步考慮安全問題，提供安全專項資金，信息安全風險評估結(jié)論是項目驗收的重要依據(jù)。在我國2017年正式發(fā)布的()中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。”信息安全工程就是要解決信息系統(tǒng)生命周期的“過程安全”問題。A、《關(guān)于加強信息安全保障工作的意見》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《網(wǎng)絡(luò)安全法》B、《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》；《網(wǎng)絡(luò)安全法》C、《網(wǎng)絡(luò)安全法》；《關(guān)于加強信息安全保障工作的意見>>;D、《網(wǎng)絡(luò)安全法》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》【正確答案】：A111.在Linux系統(tǒng)中，下列哪項內(nèi)容不包含在/etc/passwd文件中()A、用戶名B、用戶口令明文C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B解析：

在Linux，操作系統(tǒng)中，用戶口令是通過哈希后保存在/etc/shadow文件中的112.()攻擊是建立在人性“弱點”利用基礎(chǔ)上的攻擊,大部分的社會工程學攻擊都是經(jīng)過()才能實施成功的。即使是最簡單的“直接攻擊”也需要進行()。如果希望受害者接受攻擊者所(),攻擊者就必須具備這個身份需要的()A、社會工程學:精心策劃;前期的準備;偽裝的身份;一些特征B、精心策劃;社會工程學;前期的準備;偽裝的身份;一些特征C、精心策劃;社會工程學;偽裝的身份;前期的準備:一些特征D、社會工程學;偽裝的身份;精心策劃;前期的準備;一些特征【正確答案】：A解析：

P221頁113.物理安全是一個非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體,其安全性對信息系統(tǒng)至關(guān)重要。下列選項中,對設(shè)施安全的保障的描述正確的是()。A、安全區(qū)域不僅包含物理區(qū)域,還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問控制機制C、由于傳統(tǒng)門鎖容易被破解,因此禁止采用門鎖的方式進行邊界防護D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機、數(shù)字式控制錄像設(shè)備,后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等【正確答案】：B解析：

A物理安全包括信息系統(tǒng)所在物理區(qū)域,但不包含軟件區(qū)域,C“進展采用門鎖方式”錯誤,D數(shù)字式控制錄像設(shè)備屬于后端設(shè)備,B描述了物理安全措施。114.關(guān)于我國信息安全保障的基本原則，下列說法中不正確的是：A、要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標準和通行做法，堅持管理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D、在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。【正確答案】：A解析：

我國信息安全保障首先要遵循國家標準。115.信息安全保障是網(wǎng)絡(luò)時代各國維護國家安全和利益的首要任務(wù)，以下哪個國家最早將網(wǎng)絡(luò)安全上長升為國家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計劃。A、中國B、俄羅斯C、美國D、英國【正確答案】：C116.某公司在討論如何確認已有的安全措施,對于確認已有這全措施,下列選項中近期內(nèi)述不正確的是()A、對有效的安全措施繼續(xù)保持,以避免不必要的工作和費用,防止安全措施的重復實施B、安全措施主要有預防性、檢測性和糾正性三種C、安全措施的確認應(yīng)評估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅D、對確認為不適當?shù)陌踩胧┛梢灾貌活櫋菊_答案】：D解析：

常識性錯誤。117.以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A、LandB、UDPFloodC、SmurfD、Teardrop【正確答案】：D解析：

Teardrop屬于碎片攻擊，不屬于流量型拒絕服務(wù)攻擊。118.在window系統(tǒng)中用于顯示本機各網(wǎng)絡(luò)端口詳細情況的命令是:A、netshowB、netstatC、ipconfigD、Netview【正確答案】：B119.關(guān)于計算機取證描述不正確的是()。A、取證的目的包括：通過證據(jù)查找肇事者、通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持B、計算機取證的過程可以分為準備、保護、提取、分析和提交5個步驟C、電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品。對于電子證據(jù)，取證工作主要圍繞兩方面進行：證據(jù)的獲取和證據(jù)的保護D、計算機取證是使用先進的技術(shù)和工具，按照標準規(guī)程全面地檢查