試題說明

本套試題共包括1套試卷

每題均顯示答案和解析

ClSP考試練習(xí)題及答案3（500題）

ClSP考試練習(xí)題及答案3

L［單選題］哪個(gè)端口被設(shè)計(jì)用作開始一個(gè)SNMPTrap?

A）TCP161

B）UDP161

C）UDP162

D）TCP169

答案：C

解析：

2.［單選題］O通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。

A）AccessVPN

B）IntranetVPN

C）ExtranetVPN

D）InternetVPN

答案:B

解析：

3.［單選題］以下關(guān)于模糊測試過程的說法正確的是

A）模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)

B）為保障安全測試的效果和自動(dòng)化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢

復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試

C）通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就

需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議

D）對于可能產(chǎn)生的大量異常報(bào)告，需要人工全部分析異常報(bào)告

答案：C

解析：

4.［單選題］2008年1月8日，布什以第54號(hào)國家安全總統(tǒng)令和第23號(hào)國土

安全總統(tǒng)令的形式簽署的文件是？

A）國家網(wǎng)絡(luò)安全戰(zhàn)略。

B）國家網(wǎng)絡(luò)安全綜合計(jì)劃。

C）信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃。

D）強(qiáng)化信息系統(tǒng)安全國家計(jì)劃。

答案:B

解析：

5.［單選題］下列哪一些對信息安全漏洞的描述是錯(cuò)誤的？

A）漏洞是存在于信息系統(tǒng)的某種缺陷。

B）漏洞存在于一定的環(huán)境中，寄生在一定的客體上（如TOE中、過程中等）。

C）具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系

統(tǒng)安全帶來威脅和損失。

D）漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)

答案：D

解析：

6.［單選題］王明買了一個(gè)新的藍(lán)牙耳機(jī)，但王明聽說使用藍(lán)牙設(shè)備有一定的安全威脅，于是王明找

到對藍(lán)牙技術(shù)有所了解的王紅，希望王紅能夠給自己一.點(diǎn)建議，以下哪一條建議不可取（）

A）在選擇使用藍(lán)牙設(shè)備時(shí)，應(yīng)考慮設(shè)備的技術(shù)實(shí)現(xiàn)及設(shè)置是否具備防止上述安全威脅的能力

B）選擇使用功能合適的設(shè)備面不是功能盡可能多的設(shè)備、盡量關(guān)閉不使用的服務(wù)及功能

C）如果藍(lán)牙設(shè)備丟失，最好不要做任何操作

D）在配對時(shí)使用隨機(jī)生成的密鑰、不使用時(shí)設(shè)置不可被其他藍(lán)牙設(shè)備發(fā)現(xiàn)

答案：C

解析：

7.［單選題］167.以下對于信息安全事件理解錯(cuò)誤的是：

A）信息安全時(shí)間，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害

,或在信息系統(tǒng)內(nèi)發(fā)生對社會(huì)造成負(fù)面影響的事件。

B）對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)

略的一部分。

C）應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。

D）通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事

件的發(fā)生。

答案:D

解析：

8.［單選題］為了簡化管理，通常對訪問者（），以避免訪問控制表過于龐大。

A）分類組織成組

B）嚴(yán)格限制數(shù)量

C）按訪問時(shí)間排序，刪除長期沒有訪問的用戶

D）不作任何限制

答案:A

解析：

9.［單選題］關(guān)于《商用密碼管理?xiàng)l例》，正確的是：

A）商用密碼技術(shù)屬于國家秘密；

B）商用密碼可以對涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)

C)國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行認(rèn)證管理；

D)國內(nèi)用戶可以使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品

答案:A

解析：

10.［單選題］以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被盜用時(shí)是不推薦使用的方法：

A)禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I/O設(shè)備

B)對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除

C)將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎

D)用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件

答案:D

解析：

11」單選題］118?關(guān)于標(biāo)準(zhǔn)，下面哪項(xiàng)理解是錯(cuò)誤的？

A)標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同重復(fù)使用的一

種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動(dòng)的重要成果

B)國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)

準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)

C)行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同

樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時(shí)，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)

D)地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國

務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止

答案:B

解析：

12.［單選題］小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評(píng)估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位

機(jī)房的總價(jià)值為200萬元人民幣，暴露系數(shù)(EXPoSUreFactor,E

F)是25%,年度發(fā)生率(AnnUaliZedRateofOccurrence,ARc))為0.1,那么小王計(jì)算的年度預(yù)期損

失(AnnUaliZedLossExpectancy,ΛL

E)應(yīng)該是()。

A)5萬元人民幣

B)50萬元人民幣

02.5萬元人民幣

D)25萬元人民幣

答案:A

解析：

13.［單選題］下列信息安全評(píng)估標(biāo)準(zhǔn)中，哪一個(gè)是我國信息安全評(píng)估的國家標(biāo)準(zhǔn)？()

A)TCSEC標(biāo)準(zhǔn)

B)CC標(biāo)準(zhǔn)

OFC標(biāo)準(zhǔn)

D)ITSEC標(biāo)準(zhǔn)

答案：B

解析：

14.［單選題］信息安全保障是網(wǎng)絡(luò)時(shí)代各國維護(hù)國家安全和利益的首要任務(wù)，以下哪個(gè)國家最早將網(wǎng)

絡(luò)安全上升為國家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計(jì)劃。

A）中國

B）俄羅斯

C）美國

D）英國

答案：C

解析：

15.［單選題］特洛伊木馬攻擊的危脅類型屬于

A）授權(quán)侵犯威脅

B）植入威脅

C）滲入威脅

D）破壞威脅

答案:B

解析：

16.［單選題］TCP∕IP中哪個(gè)協(xié)議是用來報(bào)告錯(cuò)誤并代表IP對消息進(jìn)行控制？

A）ICMP

B）IGMP

OARP

D）SNMP

答案:A

解析：

17.［單選題］應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容，基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性

0事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂

狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降到最低，應(yīng)急響應(yīng)方法和過程并不是唯一的，一種被廣

為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個(gè)階段。為準(zhǔn)備f檢測f通知f根除f恢復(fù)f跟

蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯(cuò)誤的是？

A）確定重要資產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對風(fēng)險(xiǎn)和防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟

B）在檢測階段，首先要進(jìn)行監(jiān)測，報(bào)告及信息收集

C）控制措施可能會(huì)因?yàn)闀r(shí)間的類別和級(jí)別不同而完全不同，常見的控制措施有，完全關(guān)閉所有系統(tǒng)

,關(guān)掉網(wǎng)絡(luò)等

D）應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，其次恢復(fù)相關(guān)的系統(tǒng)

答案:A

解析：

18.［單選題］48.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任

務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個(gè)分析可能危害這些資產(chǎn)的主體、動(dòng)機(jī)、途徑等多種因素，分

析這些因素出現(xiàn)及造成損失的可能性之一，并為其賦值。請問，他這個(gè)工作屬于下列哪一個(gè)階段的

工作

A）確認(rèn)已有的安全措施并賦值

B）威脅識(shí)別并賦值

C）脆弱性識(shí)別并賦值

D）資產(chǎn)識(shí)別并賦值

答案：D

解析：

19.［單選題］來自終端的電磁泄露風(fēng)險(xiǎn)，因?yàn)樗鼈儯?/p>

A）導(dǎo)致噪音污染

B）n破害處理程序

On產(chǎn)生危險(xiǎn)水平的電流

D）n可以被捕獲并復(fù)原

答案:D

解析：

20.［單選題］5.信息安全保障是網(wǎng)絡(luò)時(shí)代各國維護(hù)國家安全和利益的首要任務(wù)，以下哪個(gè)國家最早

將網(wǎng)絡(luò)安全上升為國家安全戰(zhàn)略，并制定相關(guān)戰(zhàn)略計(jì)劃。

A）中國

B）俄羅斯

C）美國

D）英國

答案：C

解析：

21.［單選題］小王創(chuàng)建了一個(gè)新的公司安全策略，為了防止外來員或內(nèi)部員進(jìn)行訪問權(quán)限，對每個(gè)用

戶進(jìn)行了權(quán)限劃分，并且設(shè)置了不同的權(quán)限訪問的不同的資源，以下說法對的

A）強(qiáng)制訪問控制

B）自主訪問控制

C）基于角色的訪問控制

D）沒有安全策略

答案:A

解析：

22.［單選題］組織與供給商協(xié)商服務(wù)水平協(xié)議，下面哪一個(gè)最先發(fā)生？

A）制定可行性研究.

B）檢查是否符合公司策略.

C）草擬服務(wù)水平協(xié)議.

D）草擬服務(wù)水平要求

答案:B

解析:

23.［單選題］ISMS的審核的層次不包括以下哪個(gè)？

A）符合性審核

B）有效性審核

C）正確性審核

D）文件審核

答案：C

解析：

24.［單選題］信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)

評(píng)估工作的意見》（國信辦（2006）5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并

對兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是

A）檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估

B）自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估

C）信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充

D）自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用

答案:D

解析：

25.［單選題UinuX主機(jī)中關(guān)于以下說法不正確的是（）

A）PASS一MAX一DAYS9是0指登陸密碼有效期為90天。

B）PASSJvARN_AGE是7指登陸密碼過期7天前提示修改。

C）FALJDELAY10是指錯(cuò)誤登陸限制為10次。

D）SYSLOG_SG_ENABye當(dāng)S限定超級(jí)用于組管理日志時(shí)使用。

答案：C

解析：

26.［單選題］訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。在

Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和

對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項(xiàng)中，對WindOWS操

作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是OO

A）訪問令牌存儲(chǔ)著用戶的SID）組信息和分配給用戶的權(quán)限

B）ACL是對象安全描述符的基本組成部分，它包括有權(quán)訪問對象的用戶和組的SlD

C）ACL只能由管理員進(jìn)行管理

D）通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制

答案：C

解析：

27.［單選題］某公司在討論如何確認(rèn)已有的安全措施，對于確認(rèn)已有安全措施，下列選項(xiàng)中描述不

正確的是（）

A）對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施

B）安全措施主要有預(yù)防性、檢測性和糾正性三種

C）安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅

D）對確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾弥活?/p>

答案:D

解析：

28.［單選題］以下對RADlUS協(xié)議說法正確的是：

A）它是一種B/S結(jié)構(gòu)的協(xié)議

B）它是一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議

C）它使用TCP通信

D）它的基本組件包括認(rèn)證、授權(quán)和加密

答案:B

解析：

29.［單選題］向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當(dāng)做什

么？

A）該外部機(jī)構(gòu)的過程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)

B）該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂?/p>

C）該外部機(jī)構(gòu)的任何訪問應(yīng)被限制在DMZ區(qū)之內(nèi)

D）應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序

答案:B

解析：

30.［單選題］信息安全政策聲明：”每個(gè)人必須在進(jìn)入每一個(gè)控制門時(shí)，都必須讀取自己的證件

”，防范的是哪一種攻擊方式？

A）尾隨PiggybaCking

B）肩窺ShoUldersurfing

ODumpsterdiving

D）冒充Impersonation

答案:A

解析：

31.［單選題］49?由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟

件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？

A）要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)

B）要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)

C）要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則

D）要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題

答案:A

解析：

32.［單選題］DES的解密和加密使用相同的算法，只是將什么的使用次序反過來？

A）密碼

B）密文

C）子密鑰

D）密鑰

答案：C

解析：

33.［單選題］小王學(xué)習(xí)了災(zāi)難備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、增最備

份、差量備份，為了鞏固所學(xué)知識(shí)，小王對這三種備份方式進(jìn)行對比，其中在數(shù)據(jù)恢復(fù)速度方面三

種備份方式由快到慢的順序是（）

A）完全備份、增量備份、差量備份

B）完全各份、差量備份、增量備份

C）增量備份、差量各份、完全備份

D）差量備份、增量備份、完全備份

答案:B

解析：

34.［單選題］下列關(guān)于安全審計(jì)的內(nèi)容說法中錯(cuò)誤的是（）。

A）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行

日志記錄。

B）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否

成功及其他與審計(jì)相關(guān)的信息。

C）應(yīng)能根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成報(bào)表。

D）為了節(jié)約存儲(chǔ)空間，審計(jì)記錄可以隨意刪除、修改或覆蓋。

答案：D

解析：

35.［單選題］以下哪項(xiàng)是多級(jí)安全策略的必要組成部分？

A）主體、客體的敏感標(biāo)簽和自主訪問控制。

B）客體敏感標(biāo)簽和強(qiáng)制訪問控制。

C）主體的安全憑證、客體的安全標(biāo)簽和強(qiáng)制訪問控制。

D）主體、客體的敏感標(biāo)簽和對其“系統(tǒng)高安全模式”的評(píng)價(jià)

答案：C

解析：

36.［單選題］高層管理者對信息安全管理的承諾以下說法不正確的是？

A）制定、評(píng)審、批準(zhǔn)信息安全方針。

B）為信息安全提供明確的方向和支持。

C）為信息安全提供所需的資源。

D）對各項(xiàng)信息安全工作進(jìn)行執(zhí)行、監(jiān)督與檢查。

答案：D

解析：

37.［單選題］當(dāng)計(jì)算機(jī)A要訪問計(jì)算機(jī)B時(shí)，計(jì)算機(jī)C要成功進(jìn)行ARP欺騙攻擊，C操作如下

OO

A）冒充B并將B的物理地址回復(fù)給A

B）將C的IP和一個(gè)錯(cuò)誤的物理地址回復(fù)給A

C）冒充B并將B的IP和物理地址回復(fù)給A

D）冒充B并將B的IP和一個(gè)錯(cuò)誤的物理地址回復(fù)給A

答案：D

解析：

38.［單選題］以下關(guān)于代替密碼的說法正確的是：

A）明文根據(jù)密鑰被不同的密文字母代替

B）明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變

C）明文和密鑰的每個(gè)bit異或

D）明文根據(jù)密鑰作了移位

答案:A

解析：

39.［單選題］DHCP監(jiān)聽（DHCPSnooping）是一種DHCP安全特性，可以有效防范DHCPSnoOPing攻擊，

以下哪條不是該安全持性的描述：

A）比較DHCP請求報(bào)文的（報(bào)文頭里的）源MAC地址和（報(bào)文內(nèi)容里的）DHCP客戶機(jī)的硬件地址（即

CHADDR字段）是否一致。

B）將交換機(jī)端口分信任端口、非信任端口兩類。

C）限制端口被允許訪問的MAC地址的最大條目

D）對端口的DHCP報(bào)文進(jìn)行限速

答案:D

解析：

40.［單選題］在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值

的評(píng)估，以下選項(xiàng)中正確的是？

A）資產(chǎn)的價(jià)值指采購費(fèi)用

B）資產(chǎn)的價(jià)值指維護(hù)費(fèi)用

C）資產(chǎn)的價(jià)值與其重要性密切相關(guān)

D）資產(chǎn)的價(jià)值無法估計(jì)

答案：C

解析：

41.［單選題］在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活？

A）粒度越小

B）約束越細(xì)致

C）范圍越大

D）約束范圍大

答案:A

解析：

42.［單選題］若一個(gè)?組織聲稱自己的ISMS符合ISO/IEC27001或CB/T22080標(biāo)準(zhǔn)要求，其信息安全控

制措施通常需要在資產(chǎn)管理方面實(shí)施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo)

O對資產(chǎn)負(fù)責(zé)的控制目標(biāo)是實(shí)現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)。這一控制目標(biāo)的實(shí)現(xiàn)由以下控制措

施的落實(shí)來保障。不包括哪一項(xiàng)？

A）資產(chǎn)清單

B）資產(chǎn)責(zé)任人

C）資產(chǎn)的可接受使用

D）分類指南、信息的標(biāo)記和處理

答案:D

解析：

43.［單選題］美國計(jì)算機(jī)協(xié)會(huì)（ACM）宣布將2015年的ACM獎(jiǎng)授予給WhitfieldDiffic和

Wartfield下面哪項(xiàng)工作是他們的貢獻(xiàn)？

A）發(fā)明并第一個(gè)使用C語言

B）第一個(gè)發(fā)表了對稱密碼算法思想

C）第一個(gè)發(fā)表了非對稱密碼算法思想

D）第一個(gè)研制出防火墻

答案：C

解析：

44.［單選題］為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備編制一份針對性的信息安全

保障方案，并將編制任務(wù)交給了小王，為此,小王決定首先編制出一份信息安全需求描述報(bào)告，關(guān)于

此項(xiàng)工作，下面說法錯(cuò)誤的是（）

A）信息安全需求報(bào)告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來撰寫

B）信息安全需求描述報(bào)告是設(shè)計(jì)和撰寫信息安全保障方案的前提和依據(jù)

C）信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告結(jié)果和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求

得到

D）信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫

答案:A

解析：

45.［單選題］由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安

全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？

A）要求開發(fā)人員采用敏捷開發(fā)模型進(jìn)行開發(fā)。

B）要求所有的開發(fā)人員參加軟件安全意識(shí)培訓(xùn)|。

C）要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則。

D）要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題

答案:A

解析：

46.［單選題］下面不是UNIX/Linux操作系統(tǒng)的密碼設(shè)置原則的是。

A）密碼最好是英文字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符等的結(jié)合

B）不要使用英文單詞，容易遭到字典攻擊

C）不要使用自己、家人、寵物的名字

D）一定要選擇字符長度為8的字符串作為密碼

答案:D

解析：

47.［單選題］向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當(dāng)做什么？

A）該外部機(jī)構(gòu)的過程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)

B）該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂?/p>

C）該外部機(jī)構(gòu)的任何訪問應(yīng)被限制在DMZ區(qū)之內(nèi)

D）應(yīng)當(dāng)給該外部機(jī)構(gòu)的職工培訓(xùn)其安全程序

答案:B

解析：

48.［單選題］怎樣安全上網(wǎng)不中毒，現(xiàn)在是網(wǎng)絡(luò)時(shí)代了，上網(wǎng)是每個(gè)人都會(huì)做的事，但網(wǎng)絡(luò)病毒直是

比較頭疼的，電腦中毒了也比較麻煩。某員工為了防止在上網(wǎng)時(shí)中毒，使用了影子系統(tǒng)，他認(rèn)為惡

意代碼會(huì)通過以下方式傳播，但有一項(xiàng)是安全的，請問是（）

A）網(wǎng)頁掛馬

B）利用即時(shí)通訊的關(guān)系鏈或偽裝P2P下載資源等方式傳播到目標(biāo)系統(tǒng)中

C）Google認(rèn)證過的插件

D）垃圾郵件

答案：C

解析：

49.［單選題］某公司在測試災(zāi)難恢復(fù)計(jì)劃時(shí)是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運(yùn)營所必要的關(guān)鍵數(shù)據(jù)沒有被保留，可能

由于什么沒有明確導(dǎo)致的？

A）服務(wù)中斷的時(shí)間間隔

B）目標(biāo)恢復(fù)時(shí)間（RTO）

C）服務(wù)交付目標(biāo)

D）目標(biāo)恢復(fù)點(diǎn)（RPO）

答案:D

解析：

50.［單選題］關(guān)于信息安全保障技術(shù)框架（InfOrmatiOnAssuranceTechnical

Framework,IATF）,下面描述錯(cuò)誤的是

A）強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個(gè)主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息

安全保障問題

B）IATF是一個(gè)通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再

以此框架討論信息系統(tǒng)的安全保護(hù)問題

C）IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各

個(gè)國家信息系統(tǒng)建設(shè)參考使用

D）IATF提出了深度防御的戰(zhàn)略思想，并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種

威脅

答案：C

解析：

51.［單選題］下面對于SSE-CMM保證過程的說話錯(cuò)誤的是：

A）保證是指安全需求得到滿足的可信任程度

B）信任程度來自于對安全工程過程結(jié)果的判斷

C）自驗(yàn)證與證實(shí)安全的主要手段包括觀察、論證、分析和測試

D）PA“建立保證論據(jù)”為PA“驗(yàn)證與證實(shí)安全”提供了證據(jù)支持

答案：B

解析：

52.［單選題］分布式拒絕服務(wù)（DiStribUtedDenialofService,DDOS）攻擊指借助于客戶/服務(wù)器技

術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕

服務(wù)攻擊的威力。一般來說，DDoS攻擊的主要目的的是破壞目標(biāo)系統(tǒng)的

A）可用性

B）完整性

C）保密性

D）真實(shí)性

答案:A

解析：

53.［單選題］用戶身份鑒別是通過—完成的。（）

A）口令驗(yàn)證

B）審計(jì)策略

C）存取控制

D）查詢功能

答案:A

解析：

54.［單選題］防止靜態(tài)信息被非授權(quán)訪問和防止動(dòng)態(tài)信息被截取解密是—o（）

A）數(shù)據(jù)完整性

B）數(shù)據(jù)可用性

C）數(shù)據(jù)可靠性

D）數(shù)據(jù)保密性

答案:D

解析：

55.［單選題］安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描

述是錯(cuò)誤的（）。

A）安全域劃分主要以業(yè)務(wù)需求.功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò).設(shè)備的物理部署位置無關(guān)

B）安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題

C）以安全域?yàn)榛A(chǔ)，可以確定該區(qū)或的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段，從而使同一安全域內(nèi)的

資產(chǎn)實(shí)施統(tǒng)的保護(hù)

D）安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)。以安全域?yàn)榛A(chǔ)，可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)

估，因此安全城劃方式分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式

答案:A

解析：

56.［單選題］如果恢復(fù)時(shí)間目標(biāo)增加，則

A）災(zāi)難容忍度增加

B）恢復(fù)成本增加

C）不能使用冷備援計(jì)算機(jī)中心

D）數(shù)據(jù)備份頻率增加

答案:A

解析：

57.［單選題］以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的選項(xiàng)是？

A）內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果

B）內(nèi)審報(bào)告中必須包含對不符合性項(xiàng)的改良建議

C）內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。

D）內(nèi)審報(bào)告中必須包括對糾正預(yù)防措施實(shí)施情況的跟蹤

答案：D

解析：

58.［單選題］一個(gè)組織的系統(tǒng)安全能力成熟度模型達(dá)到哪個(gè)級(jí)別以后，就可以考慮為過程域（PR）的

實(shí)施提供充分的資源？

A）2級(jí)一一計(jì)劃和跟蹤

B）3級(jí)充分定義

04級(jí)一一最化控制

D）5級(jí)一一持續(xù)改進(jìn)

答案:B

解析：

59.［單選題］P2DR模型通過傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護(hù)能力，

這些技術(shù)包括？

A）實(shí)時(shí)監(jiān)控技術(shù)。

B）訪問控制技術(shù)。

C）信息加密技術(shù)。

D）身份認(rèn)證技術(shù)。

答案:A

解析：

60.［單選題］殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述

錯(cuò)誤的是？

A）殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來說，是在綜合考慮了安全成本與效

益后不去控制的風(fēng)險(xiǎn)

B）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來誘發(fā)新的安全事件

C）實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和

可能造成的后果

D）信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管

理效果評(píng)估指標(biāo)

答案:D

解析：

61.［單選題］以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子？

A）某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作

B）在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)行了沖正操作

C）某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)行了什么操作

D）李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看

答案:B

解析：

62.［單選題］信息安全管理體系（ISMS）的建設(shè)和實(shí)施是一個(gè)組織的戰(zhàn)略性，若一個(gè)組織聲稱自己的

ISMS符合IS0/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，則需實(shí)施準(zhǔn)要求，則需實(shí)施以下ISMS建設(shè)的各項(xiàng)

工作，哪一項(xiàng)不屬于ISMS建設(shè)的工作？

A）規(guī)劃與建立ISMS

B）實(shí)施與運(yùn)行ISMS

C）監(jiān)視和評(píng)審ISMS

D）保持和審核ISMS

答案:D

解析：

63.［單選題］下列哪項(xiàng)是用于降低風(fēng)險(xiǎn)的機(jī)制

A）安全和控制實(shí)踐

B）財(cái)產(chǎn)和責(zé)任保險(xiǎn)

C）審計(jì)與認(rèn)證

D）合同和服務(wù)水平協(xié)議

答案：A

解析：

64.［單選題］32.信息安全風(fēng)險(xiǎn)評(píng)估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全

風(fēng)險(xiǎn)評(píng)估工作的意見》（國信辦［2006］5號(hào)）中，指出了風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式

,并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是？

A）自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估

B）檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估

C）信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充

D）自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并堅(jiān)持使用

答案:D

解析：

65.［單選題］傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（）基礎(chǔ)上的（）。

A）可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議

B）不可靠的傳輸服務(wù)，S-HTTP協(xié)議

C）可靠的傳輸服務(wù)，S-HTTP協(xié)議

D）不可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議

答案:A

解析：

66.［單選題］測試程序變更管理流程時(shí)，安全管理體系內(nèi)審員使用的最有效的方法是：

A）由系統(tǒng)生成的信息跟蹤到變更管理文檔

B）檢查變更管理文檔中涉及的證據(jù)的精確性和正確性

C）由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)

D）檢查變更管理文檔中涉及的證據(jù)的完整性

答案:A

解析：

67.［單選題］小李在上網(wǎng)時(shí)不小心點(diǎn)開了假冒某銀行的釣魚網(wǎng)站，誤輸入了銀行帳號(hào)與密碼？

A）ARP欺騙

B）TCP會(huì)話劫持

C）IP欺騙

D）DNS欺騙

答案:D

解析：

68.［單選題］自主訪問控制與強(qiáng)制訪問控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？

A）具有較高的安全性

B）控制粒度較大

C）配置效率不高

D）具有較強(qiáng)的靈活性

答案：D

解析：

69.［單選題］負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于：

A）IS審計(jì)員.

B）管理層.

C）外部審計(jì)師.

D）程序開發(fā)人員.

答案:B

解析：

70.［單選題］PDCA循環(huán)又叫戴明環(huán)，是管理學(xué)常用的一種模型。關(guān)于PDCA四個(gè)字母，下面理解錯(cuò)誤的

是（）

A）P是Plan,指分析問題、發(fā)現(xiàn)問題、確定方針、目標(biāo)和活動(dòng)計(jì)劃

B）D是Do,指實(shí)施、具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容

C）C是CheCk,指檢查、總結(jié)執(zhí)行計(jì)劃的結(jié)果，明確效果，找出問題

D）A是Aim,指瞄準(zhǔn)問題，抓住安全事件的核心，確定責(zé)任

答案:D

解析：

71.［單選題］在招聘過程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問題時(shí)，以下

做法正確的是？

A）繼續(xù)執(zhí)行招聘流程。

B）停止招聘流程，取消應(yīng)聘人員資格。

C）與應(yīng)聘人員溝通出現(xiàn)的問題。

D）再進(jìn)行一次背景調(diào)查。

答案：B

解析：

72.［單選題］入侵檢測技術(shù)可以分為誤用檢測和一兩大類。（）

A）病毒檢測

B）詳細(xì)檢測

C）異常檢測

D）漏洞檢測

答案：c

解析：

73.［單選題］《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)

維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的—的安全。（）

A）計(jì)算機(jī)

B）計(jì)算機(jī)軟件系統(tǒng)

C）計(jì)算機(jī)信息系統(tǒng)

D）計(jì)算機(jī)操作人員

答案：C

解析：

74.［單選題］當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，以下哪一項(xiàng)是信息安全專業(yè)人

士最重要的考慮因素？該提供商：

A）滿足并超過行業(yè)安全標(biāo)準(zhǔn)

B）同意可以接受外部安全審查

C）其服務(wù)和經(jīng)驗(yàn)有很好的市場聲譽(yù)

D）符合組織的安全策略

答案:D

解析：

75.［單選題］SHA算法中，輸入的消息長度小于264比特，輸出壓縮值為__比特。

A）120

B）140

0160

D）264

答案：C

解析：

76.［單選題］當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類

型的漏洞？

A）緩沖區(qū)溢出

B）設(shè)計(jì)錯(cuò)誤

C）信息泄盡

D）代碼注入

答案:D

解析：

77.［單選題］信息系統(tǒng)管理體系（ISMS）的實(shí)施和運(yùn)行ISMS階段，是ISMS過程模型的實(shí)施階段。

下面給出了一些備選的活動(dòng)，選項(xiàng)（）描述了在些階段組織應(yīng)進(jìn)行的活動(dòng)1、制定風(fēng)險(xiǎn)處理計(jì)劃

2、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃3、開發(fā)有效性測量程序4、實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃5、管理ISMS的運(yùn)行6、

管理ISMS的資源7、執(zhí)行檢測事態(tài)和響應(yīng)事件的程序8、實(shí)施內(nèi)部審核9、實(shí)施風(fēng)險(xiǎn)再評(píng)估

A）123456

B）1234567

C）12345678

D）123456789

答案:B

解析：

78.［單選題］假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個(gè)字母加5,即a加密成f。這

種算法的密鑰就是5,那么它屬于（）。

A）對稱加密技術(shù)

B）分組密碼技術(shù)

C）公鑰加密技術(shù)

D）單向函數(shù)密碼技術(shù)

答案:A

解析：

79.［單選題］以下關(guān)于軟件安全問題對應(yīng)關(guān)系錯(cuò)誤的是？（）

A）缺點(diǎn)（DefeCt）一軟件實(shí)現(xiàn)和設(shè)計(jì)上的弱點(diǎn)

B）缺陷（BUg）—實(shí)現(xiàn)級(jí)上的軟件問題

C）瑕疵（FIaW）一種更深層次、設(shè)計(jì)層面的的問題

D）故障（FailUre）—由于軟件存在缺點(diǎn)造成的一種外部表現(xiàn)，是靜態(tài)的、程序執(zhí)行過程中出現(xiàn)的行

為表現(xiàn)

答案:D

解析：

80.［單選題］關(guān)于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面

描述錯(cuò)誤的是？

A）信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用

方法的體系，包括組織架構(gòu)、方針、活動(dòng)、職責(zé)及相關(guān)實(shí)踐要素

B）管理體系（ManagementSystems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信

息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用

C）概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照IS027001標(biāo)

準(zhǔn)定義的管理體系，它是一個(gè)組織整體管理體系的組成部分

D）同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織架構(gòu)、健全信息安全管理制

度、構(gòu)建信息安全技術(shù)防護(hù)體系和加強(qiáng)人員的安全意識(shí)等內(nèi)容

答案:D

解析：

81.［單選題］關(guān)于加密橋技術(shù)實(shí)現(xiàn)的描述正確的是

A）與密碼設(shè)備無關(guān)，與密碼算法無關(guān)

B）與密碼設(shè)備有關(guān)，與密碼算法無關(guān)

C）與密碼設(shè)備無關(guān)，與密碼算法有關(guān)

D）與密碼設(shè)備有關(guān)，與密碼算法有關(guān)

答案:A

解析：

82.［單選題］惡意代碼采用加密技術(shù)的目的是：

A）加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制

B）加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)

C）加密技術(shù)可以保證惡意代碼不被破壞

D）以上都不正確

答案:A

解析：

83.［單選題］要使CiSeO運(yùn)行的配置顯示密碼進(jìn)行加密，需要運(yùn)行什么命令：

A）servicepassword-encryption

B）password-encryption

C）serviceencryption-password

D）passwordhash

答案：C

解析：

84.［單選題］以下哪個(gè)技術(shù)是將WLAN技術(shù)與數(shù)字無繩電話技術(shù)相結(jié)合的產(chǎn)物（）？

A）藍(lán)牙技術(shù)

B）HomeRF技術(shù)

C）UWB技術(shù)

D）ZigBee

答案:B

解析：

85.［單選題］攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答請求的攻擊方

式是（）o

A）拒絕服務(wù)攻擊

B）地址欺騙攻擊

C）會(huì)話劫持

D）信號(hào)包探測程序攻擊

答案:A

解析：

86.［單選題］設(shè)計(jì)信息安全策略時(shí)，最重要的一點(diǎn)是所有的信息安全策略應(yīng)該：

A）非現(xiàn)場存儲(chǔ)

B）b）由IS經(jīng)理簽署

C）發(fā)布并傳播給用戶

D）經(jīng)常更新

答案：c

解析：

87.［單選題］有關(guān)危害國家秘密安全的行為，包括：

A）嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為

、保密行政管理部門的工作人員的違法行為

B）嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理

部門的工作人員的違法行為，但不包括定密不當(dāng)行為

C）嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括

公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為

D）嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為

,但不包括保密行政管理部門的工作人員的違法行為

答案:A

解析：

88.［單選題］以下哪項(xiàng)不是網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn)：

A）不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)源；

B）與操作系統(tǒng)無關(guān)；

C）實(shí)時(shí)監(jiān)視和檢測網(wǎng)絡(luò)攻擊或者濫用

D）可以分析加密數(shù)據(jù)

答案:D

解析：

89.［單選題］以下關(guān)于IPSECVPN技術(shù)說法正確的是？

A）IPSCEVPN不能進(jìn)行NAT穿越

B）IPSCEVPN不能支持外部單點(diǎn)對內(nèi)部網(wǎng)絡(luò)的訪問形式

C）IPSCEVPN不僅可以認(rèn)證雙方身份還可以對傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完。。

D）IPSCEVPN有三種模式，傳輸模式、路由模式、通道模式

答案：c

解析：

90.［單選題］P2DR模型中的“反應(yīng)”是在檢測到安全漏洞和安全事件時(shí)，通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)

系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)，這些措施包括？

A）關(guān)閉服務(wù)。

B）向上級(jí)匯報(bào)。

C）跟蹤。

D）消除影響。

答案:B

解析：

91.［單選題］微軟提出了STRlDE模型，其中R是RePUdiatiOn（抵賴）的縮寫，關(guān)于此項(xiàng)安全要求下面

描述錯(cuò)誤的是

A）某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”軟件系統(tǒng)中的這種威脅就屬于R

威脅

B）解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措

施

OR威脅是STRlDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高

D）解決R威脅，也應(yīng)按照確定建模對象、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來進(jìn)行

答案：C

解析：

92.［單選題］負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于：

A）IS審計(jì)員.

B）管理層.

C）外部審計(jì)師.

D）程序開發(fā)人員.

答案:B

解析：

93.［單選題］IPSec協(xié)議和（）VPN隧道協(xié)議處于同一層。

A）PPTP

B）L2TP

OGRE

D）以上皆是

答案：C

解析：

94.［單選題］下列對于信息安全保障深度防御模型的說法錯(cuò)誤的是：

A）信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個(gè)重要組成部分，因此對信息

安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B）信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信

息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們需要采用信息系統(tǒng)工程的方法

來建設(shè)信息系統(tǒng)。

C）信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要

組成部分。

D）信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。

答案:D

解析：

95.［單選題］以下劃Kerberos協(xié)議過程說法正確的是

A）協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別；二是獲取請求服務(wù)

B）協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)

C）協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)：三是獲得服務(wù)許可票據(jù)

D）協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)：三是獲得服務(wù)

答案：D

解析：

96.［單選題］下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是

A）信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)和廢棄等生命周期

密切相關(guān)

B）信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性

C）信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障

D）信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其業(yè)務(wù)使命

答案:B

解析：

97.［單選題］對信息安全的理解，正確的選項(xiàng)是

A）信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實(shí)現(xiàn)的

B）通過信息安全保障措施，確保信息不被喪失

C）通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性

D）通過技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性

答案:A

解析：

98.［單選題］”會(huì)話偵聽和劫持技術(shù)”是屬于（）的技術(shù)。

A）密碼分析還原

B）協(xié)議漏洞滲透

C）應(yīng)用漏洞分析與滲透

D）DOS攻擊

答案:B

解析：

99.［單選題］在戴明環(huán)（PDCA）模型中，處置（ACT）環(huán)節(jié)的信息安全管理活動(dòng)是：

A）建立環(huán)境

B）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃

C）持續(xù)的監(jiān)視與評(píng)審風(fēng)險(xiǎn)

D）持續(xù)改進(jìn)信息安全管理過程

答案:D

解析：

100.［單選題］安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少

的工作，某管理員對即將上線的WindoWS操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利

于提高運(yùn)行環(huán)境安全？

A）操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞

B）為了方便進(jìn)行數(shù)據(jù)備份，安裝WindOWS操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)

C）所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤

C）操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D）將默認(rèn)的管理員賬號(hào)AdminiStratOr改名，降低口令暴力破解攻擊的發(fā)生可能

答案：B

解析：

101.［單選題］完整性檢查和控制的規(guī)范對像是----,防止它們進(jìn)入數(shù)據(jù)庫

A）不全語義的數(shù)據(jù)、不正確的數(shù)據(jù)

B）非法用戶

O非法操作

D）非法授權(quán)

答案:A

解析：

102.［單選題］以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl.RBAC）：根據(jù)

組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限（不同

類別和級(jí)別的）分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是：

A）當(dāng)用戶請求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將

被拒絕

B）業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工可對應(yīng)RBAC,模型中的角色

C）通過角色，可實(shí)現(xiàn)對信息資源訪問的控制

D）RBΛC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問控制

答案：C

解析：

103.［單選題］根據(jù)SSE-CMM以下哪項(xiàng)不是在安全工程過程中實(shí)施安全控制時(shí)需要做的？

A）獲得用戶對安全需求的理解

B）建立安全控制的職責(zé)

C）管理安全控制的配置

D）進(jìn)行針對安全控制的教育培訓(xùn)

答案:A

解析：

104.［單選題］PDR安全模型屬于—類型。

A）時(shí)間模型

B）作用模型

C）結(jié)構(gòu)模型

D）關(guān)系模型

答案：A

解析：

105.［單選題］在軟件程序測試的哪個(gè)階段一個(gè)組織應(yīng)該進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)測試？

A）可接受性測試

B）系統(tǒng)測試

C）集成測試

D）單元測試

答案：C

解析：

106.［單選題］下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的主要過程：

A）風(fēng)險(xiǎn)過程

B）保證過程

C）工程過程

D）評(píng)估過程

答案:D

解析：

107.［單選題］傳輸線路是信息發(fā)送設(shè)備和接受設(shè)備之間的物理通路，針對傳輸線路的攻擊是攻擊者

常用的方式，不同傳輸介質(zhì)具有不同的安全特性。同軸電纜、雙絞線和光纖是廣泛使用的有線傳輸

介質(zhì)。下列選項(xiàng)中，對有線傳輸介質(zhì)的描述正確的是（）。

A）同軸電纜顯著的特征是頻帶較寬，其中高端的頻帶最大可達(dá)到IOOGHz

B）在雙線線外包裹一層金屬屏蔽層，可解決抗干擾能力差的問題

C）由于光在塑料的保護(hù)套中傳輸損耗非常低，因此光纖可用于長距離的信息傳遞

D）光纖通信傳輸具有高帶寬、信號(hào)衰減小、無電磁干擾、不易被竊聽、成本低廉等特點(diǎn)

答案:B

解析：

108.［單選題］“公開密鑰密碼體制”的含義是（）。

A）將所有密鑰公開

B）將私有密鑰公開，公開密鑰保密

C）將公開密鑰公開，私有密鑰保密

D）兩個(gè)密鑰相同

答案：C

解析：

109.［單選題］統(tǒng)計(jì)數(shù)據(jù)指出，對大多數(shù)計(jì)算機(jī)系統(tǒng)來說，最大的威脅是：

A）本單位的雇員

B）黑客和商業(yè)間諜

C）未受培訓(xùn)的系統(tǒng)用戶

D）技術(shù)產(chǎn)品和服務(wù)供應(yīng)商

答案：A

解析：

110.［單選題］根據(jù)BS7799的規(guī)定，訪問控制機(jī)制在信息安全保障體系中屬于—環(huán)節(jié)。（）

A）保護(hù)

B)檢測

C)響應(yīng)

D)恢復(fù)

答案:A

解析：

IlL［單選題］隨著計(jì)算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用，安全需求變得越來越多樣化，自主訪問控制和

強(qiáng)制訪問控制難以適應(yīng)需求，基于角色的訪問控制(RBAC)逐漸成為安全領(lǐng)域的一個(gè)研究熱點(diǎn)。

RBAC模型可以分為RBACO、RBACKRBΛC2和RBAC3四種類型，他們之間存在相互包含的關(guān)系。

下列選項(xiàng)中，對這四種類型之間的關(guān)系描述錯(cuò)誤的是？

A)RBACO是基本模型，RBACLRBAC2和RBAC3都包含RBACO

B)RBACl在RBACO的基礎(chǔ)上，加入了角色等級(jí)的概念

C)RBAC2在RBACl的基礎(chǔ)上，加入了約束的概念

D)RBAC3結(jié)合了RBACl和RBAC2,同事具備角色等級(jí)和約束

答案：C

解析：

112.［單選題］關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)以下說法最恰當(dāng)?shù)氖牵?/p>

A)組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程；

B)組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程；

C)組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風(fēng)險(xiǎn)而建立的一個(gè)控制過程；

D)組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)而建立的一個(gè)控制過程。

答案:B

解析：

113.［單選題］在思科路由器中，為實(shí)現(xiàn)超時(shí)10分鐘后自動(dòng)斷開連接，實(shí)現(xiàn)的命令應(yīng)

為下列哪一個(gè)。()

A)exec-timeout100

B)exec-timeout010

C)idle-timeout100

D)idle-timeout010

答案:A

解析：

114.［單選題］按照BLP模型規(guī)則，以下哪種訪問才能被授權(quán)

A)Bob的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Bob請求寫該文件

B)BOb的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，Bob請求讀該文件

C)AliCe的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，AIiCe請求寫該文件

D)AIiCe的安全級(jí)是機(jī)密，文件的安全級(jí)是機(jī)密，AIiCe請求讀該文件

答案：D

解析：

115.［單選題］操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個(gè)系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)

安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買

了一臺(tái)計(jì)算機(jī)，開機(jī)后首先對自帶的WindoWS操作系統(tǒng)進(jìn)行配置。他的主要操作有：（1）關(guān)閉不

必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號(hào)策略、本地策略、公鑰策略和IP安

全策略；（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)丁；（4）關(guān)閉審核策略，開啟口令策

略，開啟賬號(hào)策略。這些操作中錯(cuò)誤的是？

A）操作（1）,應(yīng)該關(guān)閉不必要的服務(wù)和所有端口

B）操作（2）,在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略

C）操作（3）,備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加

D）操作（4）,應(yīng)該開始審核策略

答案:D

解析：

116.［單選題］下面哪一項(xiàng)不是通過IDS模型的組成部分：

A）傳感器

B）過濾器

C）分析器

D）管理器

答案：B

解析：

117.［單選題］在風(fēng)險(xiǎn)分析中，以下哪種說法是正確的？

A）定量影響分析的主要優(yōu)點(diǎn)是它對風(fēng)險(xiǎn)進(jìn)行排序并對那些需要立即改善

的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。

B）定性影響分析可以很容易地對控制進(jìn)行成本收益分析。

C）定量影響分析不能用在對控制進(jìn)行的成本收益分析中。

D）定量影響分析的主要優(yōu)點(diǎn)是它對影響大小給出了一個(gè)度量

答案:D

解析：

118.［單選題］小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)

聘時(shí)，面試經(jīng)理理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設(shè)計(jì)思路。如果想要為

一個(gè)存在大量用戶的信信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項(xiàng)中，從時(shí)間和

資源消耗的角度，下列選項(xiàng)中中他應(yīng)該采取的（最合適的模型或方法是（）

A）訪問控制列表（AACCLL）

B）能力表（CL）

OBLP模型

D）Biba模型

答案:A

解析：

119.［單選題］數(shù)據(jù)庫事務(wù)日志的用途是:

A）事務(wù)處理

B）數(shù)據(jù)恢復(fù)

C）完整性約束

D）保密性控制

答案:B

解析：

120.［單選題］應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括：

A）對應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財(cái)物）等;

B）審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；

C）負(fù)責(zé)組織的外部協(xié)作工作

D）組織應(yīng)急響應(yīng)計(jì)劃演練

答案:D

解析：

121.［單選題］事件響應(yīng)六個(gè)階段定義了安全事件處理的流程，這個(gè)流程的順序是

A）準(zhǔn)洛—遏制一確認(rèn)一根除一恢復(fù)一跟蹤

B）準(zhǔn)備一確認(rèn)一遏制一恢復(fù)一根除一跟蹤

C）準(zhǔn)備一確認(rèn)一遏制一根除一恢復(fù)一跟蹤

D）準(zhǔn)備一遏制一根除一確認(rèn)一恢復(fù)一跟蹤

答案:B

解析：

122.［單選題］WIND0WS系統(tǒng)，下列哪個(gè)命令可以列舉出本地所有運(yùn)行中的服務(wù)

A）netview

B）netuse

C）netstart

D）netstatistics

答案：C

解析：

123.［單選題］與OSl參考模型的網(wǎng)絡(luò)層相對應(yīng)的與TCP/IP協(xié)議中層次是：

A）HTTP

B）TCP

C）UDP

D）IP

答案:D

解析：

124.［單選題］下列關(guān)于防火墻的錯(cuò)誤說法是—o（）

A）防火墻工作在網(wǎng)絡(luò)層

B）對IP數(shù)據(jù)包進(jìn)行分析和過濾

C）重要的邊界保護(hù)機(jī)制

D）部署防火墻，就解決了網(wǎng)絡(luò)安全問題

答案:D

解析：

125.［單選題］由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分樓宇出現(xiàn)網(wǎng)絡(luò)癱瘓，

或者FTP及部分網(wǎng)站服務(wù)器不能響應(yīng)用戶請求，屬于以下哪種級(jí)別事件

A）特別重大事件

B）重大事件

C）較大事件

D）一般事件

答案：C

解析：

126.［單選題］在信息安全保障工作中，人才是非常重要的因素，近年來，我國一直高度重視我國信

息安全人才隊(duì)伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中，錯(cuò)誤的是？

A）在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)L2003］27號(hào)）中，針對

信息安全人才建設(shè)與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神

B）2015年，為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，經(jīng)報(bào)國務(wù)院學(xué)位委員會(huì)批準(zhǔn)，國務(wù)院學(xué)位委員

會(huì)、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科，這對于我國網(wǎng)絡(luò)信息安全人才

成體系化、規(guī)模化、系統(tǒng)化培養(yǎng)起到積極的推動(dòng)作用

C）經(jīng)過十余年的發(fā)展，我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化，每年培養(yǎng)的信息安全從業(yè)人員的

數(shù)量較多，基本能同社會(huì)實(shí)際需求相匹配；同時(shí)，高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高、

知識(shí)更全面，因而社會(huì)化培養(yǎng)應(yīng)重點(diǎn)放在非安全專業(yè)人才培養(yǎng)上

D）除正規(guī)大學(xué)教育外，我國信息安全人才非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以各種職

業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系，包括“注冊信息安全專業(yè)人員（CISP）”資質(zhì)認(rèn)證和一些大

型企業(yè)的信息安全資質(zhì)認(rèn)證

答案：C

解析：

127.［單選題］主要用于防火墻的VPN系統(tǒng)，與互聯(lián)網(wǎng)密鑰交換IKE有關(guān)的框架協(xié)議是—

A）IPSec

B）L2F

OPPTP

D）GRE

答案:A

解析：

128.［單選題］GB∕T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息

安全谷那里體系應(yīng)參照PDCA模型進(jìn)行，即信息安全谷那里體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行

ISMS、監(jiān)視和評(píng)審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)。請選出以

下描述錯(cuò)誤的選項(xiàng)？

A)“制定ISMS方針”是建立ISMS階段工作內(nèi)容

B)“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容

C)“進(jìn)行有效性測量”是監(jiān)視和評(píng)審ISMS階段工作內(nèi)容

D)“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容

答案:D

解析：

129.［單選題］下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是：

A)能將自身代碼注入到引導(dǎo)區(qū)

B)能將自身代碼注入到扇區(qū)中的文件鏡像

C)能將自身代碼注入文本文件中并執(zhí)行

D)能將自身代碼注入到文檔或模板的宏中代碼

答案：C

解析：

130.［單選題］通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進(jìn)行響應(yīng)，直至被

攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時(shí)，這種攻擊稱之為：

A)Land攻擊

B)Smurf攻擊

C)PingofDeath攻擊

D)ICMPFlood

答案:D

解析：

131.［單選題］以下哪個(gè)模型主要用于醫(yī)療資料的保護(hù)？

A)Chinesewall模型

B)BlBA模型

OClark-Wilson模型

D)BMA模型

答案:D

解析：

132.［單選題］安全專家在對某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降

低為nobody用戶，以下操作的主要目的是：

A)為了提高Apache軟件運(yùn)行效率

B)為了提高Apache軟件的可靠性

C)為了避免攻擊者通過Apache獲得root權(quán)限

D)為了減少Apache上存在的漏洞

答案：C

解析：

133.［單選題］美國計(jì)算機(jī)協(xié)會(huì)(ACM)宣布將2015年的ACM圖靈獎(jiǎng)授予給WhitfieldDiffie和

MartinHeIIman.下面哪項(xiàng)工作是他們的貢獻(xiàn)？

A）發(fā)明并第一個(gè)使用C語言

B）第一個(gè)發(fā)表了對稱密碼算法思想

C）第一個(gè)發(fā)表了非對稱密碼算法思想

D）第一個(gè)研制出防火墻.

答案：C

解析：

134.［單選題］下面哪一項(xiàng)為系統(tǒng)安全工程能力成熟度模型提供了評(píng)估方法？

A）ISSE

B）SSAM

OSSR

D）CEM

答案:B

解析：

135.［單選題］Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoopl.0.0版本之前，Hadoop

并不存在安全認(rèn)證一說。默認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的，值得信賴的。用戶與服務(wù)器進(jìn)行交互

時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上，惡

意的提交作業(yè)，纂改分布式存儲(chǔ)的數(shù)據(jù)，偽裝成NameNode或者TaSkTraCker接受任務(wù)等。在

Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題，Kerberos的認(rèn)證過程不包

括（）

A）獲得票據(jù)許可票據(jù)

B）獲得服務(wù)許可票據(jù)

C）獲得密鑰分配中心的管理權(quán)限

D）獲得服務(wù)

答案：C

解析：

136.［單選題］《信息安全保障技術(shù)框架》（IATF）是由哪個(gè)國家發(fā)布的？

A）中國

B）美國

C）俄羅斯

D）歐盟

答案：B

解析：

137.［單選題］信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說法不正確：

A）2001-2002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國信息

安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)

B）2003-2005年是逐步展開和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強(qiáng)信息安全

保障工作的意見》（中辦發(fā)27號(hào)文件）并頒布了國家信息安全戰(zhàn)略

C）2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成

D）2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁

出了堅(jiān)實(shí)步伐

答案：C

解析：

138.［單選題］設(shè)置IP地址MAC綁定的目的：

A）防止泄露網(wǎng)絡(luò)拓?fù)?/p>

B）防止非法接入

C）加強(qiáng)認(rèn)證

D）防止DOS攻擊

答案:B

解析：

139.［單選題］在OSl模型中，主要針對遠(yuǎn)程終端訪問，任務(wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等

以下是哪一層？

A）應(yīng)用層

B）物理層

C）會(huì)話層

D）網(wǎng)絡(luò)層

答案：C

解析：

140.［單選題］下列選項(xiàng)中，與面向構(gòu)件提供者的構(gòu)件測試目標(biāo)無關(guān)的是（）.

A）檢查為特定項(xiàng)目而創(chuàng)建的新構(gòu)件的質(zhì)量

B）檢查在特定平臺(tái)和操作環(huán)境中構(gòu)件的復(fù)用、打包、和部署

C）盡可能多地揭示構(gòu)件錯(cuò)誤

D）驗(yàn)證構(gòu)件的功能、借口、行為和性能

答案:A

解析：

141.［單選題］組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”在提高阿帕奇系統(tǒng)（APaCheHTTP

SerVer）系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容

A）不在Windows下安裝Apache,只在LinUX和Unix下安裝

B）安裝Apache時(shí)，只安裝需要的組件模塊

C）不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache,而是采用權(quán)限受限的專用用戶賬號(hào)來運(yùn)行

D）積極了解Apache的安全通告，并及時(shí)下載和更新

答案：A

解析：

142.［單選題］信息的存在及傳播方式

A）存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中

B）記憶在人的大腦里

C）通過網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播

D）通過投影儀顯示

答案:D

解析：

143.［單選題］某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrUSienDeteetionSySten1,IDS）產(chǎn)品，需要

購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：

A）選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可

B）選購任意一款品牌防火墻

C）任意選購一款價(jià)格合適的防火墻產(chǎn)品

D）選購一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻

答案:D

解析：

144.［單選題］下面哪個(gè)模型和軟件安全開發(fā)無關(guān)？

A）微軟提出的“安全開發(fā)生命周期”

B）GrayMgGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuiidingSecurityIN.BSI）

C）OWASP維護(hù)的“軟件保證成熟度模型（SOftWareASSUranCeMatUnityMOde.SAMM）

D）美國提出的“信息安全保障技術(shù)框架（InfornlatiOnASSUranCeTeChniCaIFrameWOrk.IATF）

答案:D

解析：

145.［單選題］以下SQL語句建立的數(shù)據(jù)庫對象是:CREATEVICEPatientsForDoctorsASSELECT

Patient.*FROMPatient,DoctorWHEREdoctorID=123

A）表

B）視圖

C）存儲(chǔ)過程

D）觸發(fā)器

答案:B

解析：

146.［單選題］以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)作內(nèi)容

之一？

A）提高信息技術(shù)產(chǎn)品的國產(chǎn)化率

B）保證信息安全資金投入&

C）加快信息安全人才培養(yǎng)

D）重視信息安全應(yīng)急處理工作

答案:B

解析：

147.［單選題］區(qū)別脆弱性評(píng)估和滲透測試是脆弱性評(píng)估

A）檢查基礎(chǔ)設(shè)施并探測脆弱性，然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失

B）和滲透測試為不同的名稱但是同一活動(dòng)

C）是通過自動(dòng)化工具執(zhí)行，而滲透測試是一種完全的手動(dòng)過程

D）是通過商業(yè)工具執(zhí)行，而滲透測試是執(zhí)行公共進(jìn)程

答案:A

解析：

148.［單選題］微軟提出了stride模型，其中R是（RePUdi