注冊信息安全專業人員考試一、選擇題1.自2004年1月起,各有關部門在申報信息安全國家標準計劃項目時,必須經由以下哪個組織提出工作情況,協調一致后由該組織申報。（）[單選題]*A.全國通信標準化技術委員會(TC485)B.全國信息安全標準化技術委員會(TC260)√C.中國通信標準化協會(CA)D.網絡與信息安全技術工作委員會2、安全管理體系,國際上有標準(InformationtechnologySecuritytechnformationsystems)(ISO/IEC27001-2013),而我國發布了《信息技術信息安全管理體系要求》(GBT22080-2008)請問,這兩個標準的關系是（）[單選題]*A.IDT(等同采用),此國家標準等同于該國際標準,僅有或沒有編輯性修改B.EQV(等效采用),此國家標準等效于該國家標準,技術上只有很小差異C.AEQ(等效采用),此國家標準不等效于該國家標準D.沒有采用與否的關系,兩者之間版本不同,不應直接比較√3、“cc”標準是測評標準類的重要標準,從該標準的內容來看,下面哪項內容是針對具體的被測評對象描述了該對象的安全要求及其相關安全功能和安全措施,相當于從廠商角度制定的產品或系統實現方案（）[單選題]*A.評估對象(TOE)B.保護輪廊(PP)C.安全目標(ST）√D.評估保證級(EAL)4、信息安全等級保護分級要求,第三級適用正確的是（）[單選題]*A.適用于一般的信息和信息系統,其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益B.適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害√C.適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統,其受到破壞后會對國家安全、社會秩序、經濟建設和公共利益造成較大損害D.適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重5、下面對國家秘密定級和范圍的描述中,哪項不符合《保守國家秘密法》要求:（）[單選題]*A.國家秘密及其密級的具體范圍,由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關機關規定B.各級國家機關、單位對所產生的國家秘密事項,應當按照國家秘密及其密級具體范圍的規定確定密級C.對是否屬于國家機密和屬于何種密級不明確的事項,可由各單位自行參考國家要求確定和定級,然后報國家保密工作部門確定√D.對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門,省、自治區、直轄市的保密工作部門。省、自治區政府所在地的市和經國務院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關確定。6、為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,加強在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理。2015年6月,第十二屆全國人大常委會第十五次會議初次審議了一部法律草案,并于7月6日起在網上全文公布,向社會公開征求意見,這部法律是（）[單選題]*A.《中華人民共和國保守國家秘密法》B.《中華人民共和國網絡安全法》√C.《中華人民共和國國家安全法》D.《中華人民共和國互聯網安全法》7、為了進一步提高信息安全的保障能力和防護水平,保障和促進信息化建設的健康發展,公安部等四部門聯合發布《關于信息安全等級保護工作的實施意見》(公通字[2004166號),對等級保護工作的開展提供宏觀指導和約東。明確了等級保護工作的基本內容、工作要求和實施計劃,以及各部門工作職責分工等。關于該文件,下面理解正確的是（）[單選題]*A.該文件是一個由部委發布的政策性文件,不屬于法律文件。√B.該文件適用于2004年的等級保護工作。其內容不能約束到2005年及之后的工作。C.該文件是一個總體性指導文件,規定了所有信息系統都要納入等級保護定級范圍D.該文件適用范圍為發文的這四個部門,不適用于其他部門和企業等單位8、分組密碼算法是一類十分重要的密碼算法,下面描述中,錯誤的是（）[單選題]*A.分組密碼算法要求輸入明文按組分成固定長度的塊B.分組密碼算法每次計算得到固定長度的密文輸出塊C.分組密碼算法也稱為序列密碼算法√D.常見的DES、IDEA算法都屬于分組密碼算法9、密碼學是網絡安全的基礎,但網絡安全不能單純依靠安全的密碼算法,密碼協議也是網絡安全的個重要組成部分。下面描述中,錯誤的是（）[單選題]*A在實際應用中,密碼協議應按照靈活性好、可擴展性高的方式制定,不要限制和框住所有的執行步驟,有些復雜的步驟可以不明確處理方式√B.密碼協議定義了兩方或多方之間為完成某項任務而制定的一系列步驟,協議中的每個參與方都必須了解協議,且按步驟執行C.根據密碼協議應用目的的不同,參與該協議的雙方可能是朋友和完全信任的人,也可能是敵人和互相完全不信任的人D.密碼協議(cryptographicprotoco1),有時也稱安全協議(securityprotoco1)是使用密碼學完成某項特定的任務并滿足安全需求,其目的是提供安全服務10、美國計算機協會(ACM)宣布將2015年的ACM獎授予給WhitfieldDiffiic和Artfield下面哪項工作是他們的貢獻（）[單選題]*A.發明并第一個使用c語言B.第一個發表了對稱密碼算法思想C.第一個發表了非對稱密碼算法思想√D.第一個研制出防火墻11、虛擬專用網絡(VPN)通常是指在公共網絡中利用隧道技術,建立一個臨時的、安全的網絡。這里的字母P的正確解釋是（）[單選題]*A.speciall-purpose,特定的、專用用途的B.Proprietary,專有的、專賣的C.Private,私有的、專有的√D.specific,特種的、具體的12、為防范網絡欺詐確保交易安全,網銀系統首先要求用戶安全登錄,然后使用“智能卡?短信證模式進行網上轉賬等交易。在此場景中用到下列哪些鑒別方法?（）[單選題]*A.實體“所知”以及實體“所有”的鑒別方法√B.實體“所有”以及實體“特征”的鑒別方法C.實體“所知”以及實體“特征”的鑒別方法D.實體“所有”以及實體“行為”的鑒別方法13、實體身份鑒別一般依據以下三種基本情況或這三種情況的組合:實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于實體特征的鑒別方法是（）[單選題]*A.將登錄口令設置為出生日期B.通過詢問和核對用戶的個人隱私信息來鑒C.使用系統定制的、在本系統專用的Ic卡進行鑒別D.通過掃臉和識別用戶的臉部信息來鑒別√14、常見的訪問控制模型包括自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯誤的是（）[單選題]*A.從安全性等級來看,這三個模型安全性從低到高的排序是自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型√B.自主訪問控制是一種廣泛應用的方法,資源的所有者(往往也是創建者)可以規定誰有權訪問它們的資源,具有較好的易用性和擴展性C.強制訪問控制模型要求主題和客體都一個固定的安全屬性,系統用該安全屬性來決定一個主體是否可以訪問某個客體。該模型具有一定的抗悉意程序攻擊能力,適用于專用或安全性要求較高的系統D.基于角色的訪問控制模型的基本思想是根據用戶所擔任的角色來決定用戶在系統中的訪問權限,該模型便于實施授權管理和安全約束,容易實現最小特權、職責分離等各種安全策略15、在信息系統中,訪問控制是重要的安全功能之一。他的任務是在用戶對系統資源提供最大限度共享的基礎上,對用戶的訪問權限進行管理,防止對信息的非授權篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權限。下列選項中,對主體、客體和訪問權限的描述中錯誤的是（）[單選題]*A.對文件進行操作的用戶是一種主體B.主體可以接受客體的信息和數據,也可能改變客體相關的信息C.訪問權限是指主體對客體所允許的操作D.對目錄的訪問權可分為讀、寫和拒絕訪問√16、小趙是某大學計算機科學與技術專業的畢業生,在前往一家大型企業應聘時,面試經理要求他給出該企業信息系統訪問控模型的設計思路。如果想要為一個存在大量用戶的信息系統實現自主訪問控制功能,在以下選項中,從時間和資源消耗的角度,下列選項中他應該采取的最合適的模型或方法是（）[單選題]*A.訪問控制列表(ACL)√B.能力表(CL)C.BLP模型D.Biba模型17、強制訪問控制是指主體和客體都有一個固定的安全屬性,系統用該安全屬性來決定一個主體是否可以訪問某個客體,具有較高的安全性。適用于專用或對安全性要求較高的系統,強制訪問控制模型有多種模型,如BLP、Biba、clark-Wilson和chinesc等。小李自學了BLP模型,并對該模型的特點進行了總結。以下4種對BLP模型的描述中,正確的是（）[單選題]*A.BLP模型用于保證系統信息的機密性,規則是向上讀,向下寫”B.BLP模型用于保證系統信息的機密性,規則是“向下讀,向上寫”√C.BLP模型用于保證系統信息的完整性,規則是“向上讀,向下寫D.BLP模型用于保證系統信息.的完整性,規則是“向下讀,向上寫18、訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制,他們具有不同的特點和應用場景。如果需要選擇一個訪問控制方法,要求能夠支持最小特權原則和職責分離原則,而且在不同的系統配置下可以具有不同的安全控制,那么在下列選項中,能夠滿足以上要求的選項是（）[單選題]*A.自主訪問控制B.強制訪問控制C.基于角色的訪問控制√D.以上選項都可以19、關于Wi-FI聯盟提出的安全協議WPA和WPA2的區別,下面描述正確的是（）[單選題]*A.WPA是有線局域安全協議,而WPA2是無線局域網協議B.WPA是適用于中國的無線局域安全協議,而WPA2適用于全世界的無線局域網協議C.WPA沒有使用密碼算法對接入進行認證,而WPA2使用了密碼算法對接入進行認證D.WPA是依照802.111標準草案制定的,而WPA2是依照802.111正式標準制定的√20、隨著高校業務資源逐漸向數據中心高度集中,Web成為一種普適平臺,上面承載了越來越多的核心業務。Web的開放性帶來豐富資源、高效率、新工作方式的同時,也使機構的重要信息暴露在越來越多的威脅中。去年,某個…網站遭遇SQL群注入(MassSQLInjectior)攻擊,網站發布的重要信息被簒改成為大量簽名,所以該校在某信息安全公司的建議下配置了狀態檢測防火墻,其原因不包括（）[單選題]*A.狀態檢測防火墻可以應用會話信息決定過濾規則B.狀態檢測防火墻具有記錄通過每個包的詳細信息能力C.狀態檢測防火墻過濾規則與應用層無關,相比于包過濾防火墻更易安裝和使用√D.狀態檢測防火墻結合網絡配置和安全規定做出接納、拒絕、身份認證或報警等處理動作答21、異常入侵檢測是入侵檢測系統常用的一種技術,它是識別系統或用戶的非正常行為或者對于計算機資源的非正常使用,從而檢測出入侵行為。下面說法錯誤的是（）[單選題]*A.在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統運行過程中的異常現象B.實施異常入侵檢測,是將當前獲取行為數據和已知入侵攻擊行為特征相比較,若匹配則認為有攻擊發生√C.異常入侵檢測可以通過獲得的網絡運行狀態數據,判斷其中是否含有攻擊的企圖,并通過多種手段向管理員報警D.異常入侵檢測不但可以發現從外部的攻擊,也可以發現內部的惡意行為22、某集團公司的計算機網絡中心內具有公司最重要的設備和信息數據。網絡曾在一段時間內依然遭受了幾次不小的破壞和干擾;雖然有防火墻但系統管理人員也未找到真正的事發原因。某網絡安全公司為該集團部署基于網絡的入侵檢測系統(NIDS)將DS部署在防火墻后,以進行二次防御。那NIDS不會在()區域部署。（）[單選題]*A.DMZ區域B.內網主干C.內網關鍵子網D.外網入口√23、入侵檢測系統有其技術優越性,但也有其局限性,下列說法錯誤的是（）[單選題]*A.對用戶知識要求高、配置、操作和管理使用過于簡單,容易遭到攻擊√B.入侵檢測系統會產生大量的警告消息和可疑的入侵行為記錄,用戶處理負擔很重C.入侵檢測系統在應對自身攻擊時,對其他數據的檢測可能會被抑制或者受到影響D.警告消息記錄如果不完整,可能無法與入侵行為關聯24、安全域是由一組具有相同安全保護需求并相互信任的系統組成的邏輯區域,下面哪項描述是錯誤的（）[單選題]*A.安全域劃分主要以業務需求、功能需求和安全需求為依據,和網絡、設備的物理部署位置無關√B.安全域劃分能把一個大規模復雜系統的安全問題,化解為更小區域的安全保護問題C.以安全域為基礎,可以確定該區域的信息系統安全保護等級和防護手段,從而使同一安全域內的資產實施統一的保護D.安全域邊界是安全事件發生時的抑制點,以安全域為基礎,可以對網絡和系統進行安全檢査和評估,因此安全域劃分和保護也是網絡防攻擊的有效防護方式25、小王是某通信運營商公司的網絡安全架構師,為該公司推出的一項新型通信系統項目做安全架構規劃,項目客戶要求對他們的大型電子商務網絡進行安全域的劃分,化解為小區域的安全保護,每個邏輯區域有各自的安全訪問控制和邊界控制策略,以實現大規模電子商務系統的信息保護小王對信息系統安全域(保護對象)的劃分不需要考慮的是（）[單選題]*A.業務系統邏輯和應用關聯性,業務系統是否需要對外連接B.安全要求的相似性,可用性、保密性和完整性的要求是否類似C.現有網絡結構的狀況,包括現有網路、地域和機房等D.數據庫的安全維護√26、在Windos7中,通過控制面板(管理工具ー一本地安全策略一一安全設置一一賬戶策略)可以進入操作系統的密碼策略設置界面,下面哪項內容不能在該界面進行設置（）[單選題]*A.密碼必須符合復雜性要求B.密碼長度最小值C.強制密碼歷史D.賬號鎖定時間√27、Linux系統中常用數字來表示文件的訪問權限,假設某文件的訪問限制使用了755來表示,則下面哪項是正確的（）111101101RWXR-XR-X[單選題]*A.這個文件可以被任何用戶讀和寫B.這個可以被任何用戶讀和執行√C.這個文件可以被任何用戶寫和執行D.這個文件不可以被所有用戶寫和執行28、操作系統用于管理計算機資源,控制整個系統運行,是計算機軟件的基礎。操作系統安全是計算、網絡及信息系統安全的基礎。一般操作系統都提供了相應的安全配置接口。小王新買了一臺計算機,開機后首先對自帶的Windows操作系統進行配置。他的主要操作有:(1)關閉不必要的服務和端口;(2)在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和iP安全策略(3)備份敏感文件,禁止建立空連接,下載最新補丁;(4)關閉審核策略,開啟口令策略,開啟賬號策略。這些操作中錯誤的是（）[單選題]*A.操作(1),應該關閉不必要的服務和所有端口B.操作(2),在“本地安全策略”中不應該配置公鑰策略,而應該配置私鑰策略C.操作(3),備份敏感文件會導致這些文件遭到竊取的幾率增加D.操作(4),應該開啟審核策略√29、在Windows系統中,存在默認共享功能,方便了局域網用戶使用,但對個人用戶來說存安全風險。如果電腦聯網,網絡上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統的計算機上進行安全設置時,需要關閉默認共享。下列選項中,不能關閉默認共享的操作是（）[單選題]*A.HKEYLOCALMACHINE\SYSTEM\Currentcontrolset\Services\lenmanserver\paraneters項中的“Autodisconnect"項鍵值改為0√B.將“HKEYLOCALmachinesystemcurrentcontrolset\Services\lenmanserver\paraneters"項中的Autoshareserver"項鍵值改為0C.HKEYLOCALMACHINE\SYSTEM\CurrentcontrolsetServices\lenmanserver\paraneters"IAutosharewks"項鍵值改為0D.在命令窗口中輸入命令,刪除C盤默認共享:netshareC/del30、從Linux內核21版開始,實現了基于權能的特權管理機制,實現了超級用戶的特權分割,打破了UNIXLINUX操作系統中超級用戶/普通用戶的概念,提高了操作系統的安全性。下列選項中,對特權管理機制的理解錯誤的是（）[單選題]*A.普通用戶及其shell沒有任何權能,而超級用戶及其shel1在系統啟動之初擁有全部權能B.系統管理員可以剝奪和恢復超級用戶的某些權能√C.進程可以放棄自己的某些權能D.當普通用戶的某些操作涉及特權操作時,仍然通過setuid實現31、關于數據庫恢復技術,下列說法不正確的是（）[單選題]*A.數據庫恢復技術的實現主要依靠各種數據的冗余和恢復機制技術來解決,當數據庫中數據被破壞時,可以利用冗余數據來進行修復B.數據庫管理員定期地將整個數據庫或部分數據庫文件備份到磁帶或另一個磁盤上保存起來是數據庫恢復中采用的基本技術C.日志文件在數據庫恢復中起著非常重要的作用,可以用來進行事物故障恢復和系統故障恢復,并協助后備副本進行介質故障恢復D.計算機系統發生故障導致數據未存儲到固定存儲器上,利用日志文件中故障發生前數據的值,將數據庫恢復到故障發生前的完整狀態,這一對事務的操作稱為提交√32、關系數據庫的完整性規則是數據庫設計的重要內容,下面關于“實體完整性”的描述正確的（）[單選題]*A.指數據表中列的完整性,主要用于保證操作的數據(記錄)完整、不丟項B.指數據表中行的完整性,主要用于保證操作的數據(記錄)非空、唯一且不重復√C.指數據表中列必須滿足某種特定的數據類型或約束,比如取值范圍、數值精度等約束D.指數據表中行必須滿足某種特定的數據姓雷或約束,比如在更新、插入或刪除記錄時,更將關聯有關的記錄一并處理才可以33、數據在進行傳輸前,需要由協議自上而下對數據進行封裝。TCP/IP協議中,數據封裝的順序是（）[單選題]*A.傳輸層、網絡接口層、互聯網絡層B.傳輸層、互聯網絡層、網路接口層√C.互聯網絡層、傳輸層、網絡接口層D.互聯網絡層、網絡接口層、傳輸層34、安全多用途互聯網郵件擴展(SecureNultipurposeInternetMailExtension,S/MIME)是指一種保障郵件安全的技術,下面描述錯誤的是（）[單選題]*A.S/MIME采用了非對稱密碼學機制B.S/MIME支持數字證書C.S/MIME采用了郵件防火墻技術√D.S/MIME支持用戶身份認證和郵件加密35、ApacheHTTPServer(簡稱Apache)是一個開放源碼的Web服務運行平臺,在使用過程中,該軟件默認會將自己的軟件名和版本號發送給客戶端。從安全角度出發,為隱藏這些信息,應當采取以下哪種措施（）[單選題]*A.不選擇Windows平臺,應選擇在Linux平臺下安裝使用B.安裝后,修改配置文件httpd.conf中的有關參數√C.安裝后,刪除ApscheHTTPServer源碼D.從正確的官方網站下載ApecheHTTPServer,并安裝使用36、InternetExplorer,是微軟推出的一款Web瀏覽器,IE中有很多安全設置選項,用來設置安全上網環境和保護用戶隱私數據。以下哪項不是安全配置項目（）[單選題]*A.設置Cookie安全,允許用戶根據自己安全策略要求者、設置Cookie策略,包括從阻止所有Cookie到接受所有Cookie,用戶也可以選擇刪除已經保存過的B.用自動完成和密碼記憶功能,通過設置禁止IE自動記憶用戶輸入過的Web地址和表單,也禁止IE自動記憶表單中的用戶名和口令信息C.設置每個連接的最大請求數,修改Mukeepa;ivecquests,如果同時請求數達到閾值就不再響應新的請求,從而保證了系統資源不會被某個鏈接大量占用√D.為網站設置適當的瀏覽器安全級別,用戶可以將各個不同的網站劃分到Internet、本地Internet、受信任的站點、受限制的站點等不同安全區域中,以采取不同的安全訪問策略37、下面對”零日(zero-day)漏洞”的理解中,正確的是（）[單選題]*A.指一個特定的漏洞,該漏洞每年1月1日零點發作,可以被攻擊者用來遠程攻擊,獲取主機權限B.指一個特定的漏洞,特指在2010年被發現出來的一種漏洞,該漏洞被“震網”病毒所利用用來攻擊伊朗布什爾核電站基礎設施C.指一類漏洞,即特別好被被利用,一旦成功利用該漏洞,可以在1天內完成攻擊,且成功達到攻擊目標D.指一類漏洞,即剛被發現后立即被惡意利用的安全漏洞。一般來說,那些已經被小部分人發現,但是還未公布、還不存在安全補丁的漏洞都是零日漏洞√38.為達到預期的攻擊目的,惡意代碼通常會被采用各種方法將自己隱藏起來。關于隱藏方法,下面理解錯誤的是()[單選題]*A.隱藏惡意代碼進程,即將惡意代碼進程隱藏起來,或者改名和使用系統進程名,以更好的躲避檢測,迷惑用戶和安全檢測人員B.隱藏惡意代碼的網絡行為,復用通用的網絡端口,以躲避網絡行為檢測和網絡監控C.隱藏惡意代碼的源代碼,刪除或加密源代碼,僅留下加密后的二進制代碼,以躲避用戶和安全檢測人員√D.隱藏惡意代碼的文件,通過隱藏文件、采用流文件技術或HOOK技術、以躲避系統文件檢査和清除39、某網站管理員小鄧在流量監測中發現近期網站的入站ICMP流量上升250%盡管網站沒有發現任何的性能下降或其他問題,但為了安全起見,他仍然向主管領導提出了應對措施,作為主管負責人,請選擇有效的針對此問題的應對措施:()[單選題]*A.在防火墻上設置策略,阻止所有的ICMP流量進入(關掉ping）√B.刪除服務器上的ping.exe程序C.增加帶寬以應對可能的拒絕服務攻擊D.增加網站服務以應對即將來臨的拒絕服務攻擊40、下面四款安全測試軟件中,主要用于WEB安全掃描的是()[單選題]*A.CiscoAuditingToolsB.AcunetixWebVulnerabilityScanner√C.NMAPD.ISSDatabaseScanner41、關于ARP欺騙原理和防范措施,下面理解錯誤的是()[單選題]*A.AR欺騙是指攻擊者直接向受害者主機發送錯誤的ARP應答報文,使得受害者主機將錯誤的硬件地址映射關系存入到ARP緩存中,從而起到冒充主機的目的B.單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內部子網,不能跨越路由實施攻擊C.解決ARP欺騙的一個有效方法是采用“靜態”的ARP緩存,如果發生硬件地址的更改,則需要人工更新緩存D.徹底解決ARP欺騙的方法是避免使用ARP協議和ARP緩存,直接采用IP地址和其他主機進行連接√42、在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中規定了軟件開發過程中的核心業務功能,下列哪個選項不屬于核心業務功能()[單選題]*A.治理,主要是管理軟件開發的過程和活動B.構造,主要是在開發項目中確定目標并開發軟件的過程與活動C.驗證,主要是測試和驗證軟件的過程與活動D.購置,主要是購買第三方商業軟件或者采用開源組件的相關管理過程與活動√43、針對軟件的拒絕服務攻擊時通過消耗系統資源是軟件無法響應正常請求的一種攻擊方式,在軟件開發時分析拒絕服務攻擊的威脅,以下哪個不是需要考慮的攻擊方式()[單選題]*A.攻擊者利用軟件存在邏輯錯誤,通過發送某種類型數據導致運算進入死循環,CPU資源占用始終100%B.攻擊者利用軟件腳本使用多重賬套査詢在數據量大時會導致査詢效率低,通過發送大量的査詢導致數據庫相應緩慢C.攻擊者利用軟件不自動釋放連接的問題,通過發送大量連接的消耗軟件并發生連接數,導致并發連接數耗盡而無法訪問D.攻擊者買通了IDC人員,將某軟件運行服務器的網線拔掉導致無法訪問√44、某網站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登陸功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導致大量用戶賬號被盜用,關于以上問題的說法正確的是()[單選題]*A.網站問題是由于開發人員不熟悉安全編碼,編寫了不安全的代碼導致攻擊面增大,產生此安全問題B.網站問題是由于用戶缺乏安全意識導致,使用了不安全的功能,導致網站攻擊面增大,產生此問題C.網站問題是由于使用便利性提高帶來網站用戶數增加,導致網絡攻擊面增大,產生此安全問D.網站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網站攻擊面增大,產生此安全問題√45、下面有關軟件安全問題的描述中,哪項不是由于軟件設計缺陷引起的()[單選題]*A.設計了用戶權限分級機制和最小特權原則,導致軟件在發布運行后,系統管理員不能査看系統審計信息√B.設計了采用不加鹽(SALT)的SHA-1算法對用戶口令進行加密存儲,導致軟件在發布運行后,不同的用戶如使用了相同的口令會得到相同的加密結果,從而可以假冒其他用戶登錄C.設計了緩存用戶隱私數據機制以加快系統處理性能,導致軟件在發布運行后,被黑客攻擊獲取到用戶隱私數據D.設計了采用自行設計的加密算法對網絡傳輸數據進行保護,導致軟件在發布運行后,被攻擊對手截獲網絡數據并破解后得到明文46、某購物網站開發項目經過需求分析進入系統設計階段,為了保證用戶賬戶的安全,項目開發人員決定用戶登錄時如用戶名或口令輸入錯誤,給用戶返回用戶名或口令輸入錯誤”信息,輸入錯誤達到三次,將暫時禁止登錄該賬戶,請問以上安全設計遵循的是哪項安全設計原則:（）[單選題]*A.最小共享機制原則B.經濟機制原理C.不信任原則√D.默認故障處理保護原則47、為了保障系統安全,某單位需要對其跨地區大型網絡實時應用系統進行滲透測試,以下關于滲透測試過程的說法不正確的是（）[單選題]*A.由于在實際滲透測試過程中存在不可預知的風險,所以測試前要提醒用戶進行系統和數據備份,以便出現問題時可以及時恢復系統和數據B.滲透測試從“逆向”的角度出發,測試軟件系統的安全性,其價值在于可以測試軟件在實際系統中運行時的安全狀況C.滲透測試應當經過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D.為了深入發掘該系統存在的安全威脅應該在系統正常業務運行高峰期進行滲透測試√48、小王在學習信息安全管理體系相關知識之后,對于建立信息安全管理體系,自己總結了下面四條要求,其中理解不正確的是（）[單選題]*A.信息安全管理體系的建立應參照國際國內有關標準實施,因為這些標準是標準化組織在總結研究了很多實際的或潛在的問題后,制定的能共同的和重復使用的規則B.信息安全管理體系的建立應基于最新的信息安全技術,因為這是國家有關信息安全的法律和法規方面的要求,這體現以預防控制為主的思想√C.信息安全管理體系應強調全過程和動態控制的思想,因為安全問題是動態的,系統所處的安全環境也不會一成不變的,不可能建設永遠安全的系統D.信息安全管理體系應體現科學性和全面性的特點,因為要對信息安全管理設計的方方面面實施較為均衡的管理,避免遺漏某些方面而導致組織的整體信息安全水平過低49、美國國家標準與技術研究院(NationalInstituteofStandardsandTechnology,NIST)隸屬美國商務部,NIST發布的很多關于計算機安全的指南文檔。下面哪個文檔是由NIST發布的（）[單選題]*A.ISO27001(Informationtechnology-securitytechniquesInformtionsecuritymanagementsystems-requirements)B.X509InformationTechnology-openSystems-TheDirectory:AuthenticationFramcworkC.SP800-37(GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》√D.RFC2402（IPAuthenticatHeade）50、小牛在對某公司的信息系統進行風險評估后,因考慮到該業務系統中部分涉及金融交易的功能模塊風險太高,他建議該公司以放棄這個功能模塊的方式來處理該風險。請問這種風險處置的方法是（）[單選題]*A.降低風險B.規避風險√C.轉移風險D.放棄風險51、殘余風險是風險管理中的一個重要概念。在信息安全風險管理中,關于殘余風險描述錯誤的是（）[單選題]*A.殘余風險是采取了安全措施后,仍然可能存在的風險:一般來說,是在綜合考慮了安全成本與效益后不去控制的風險B.殘余風險應受到密切監視,它會隨著時間的推移而發生變化,可能會在將來誘發新的安全事件C.實施風險處理時,應將殘余風險清單告知信息系統所在組織的高管,使其了解殘余風險的存在和可能造成的后果D.信息安全風險處理的主要準則是盡可能降低和控制信息安全風險,以最小殘余風險值作為風險管理效果評估指標√52、在信息安全管理過程中,背景建立是實施工作的第一步。下面哪項理解是錯誤的（）[單選題]*A.背景建立的依據是國家、地區或行業的相關政策、法律、法規和標準,以及機構的使命、信息系統的業務目標和特性B.背景建立階段應識別需要保護的資產、面臨的威脅以及存在的脆弱性并分別賦值,同時確認已有的安全措施,形成需要保護的資產清單√C.背景建立階段應調查信息系統的業務目標、業務特性、管理特性和技術特性,形成信息系統的描述報告D.背景建立階段應分析信息系統的體系結構和關鍵要素,分析信息系統的安全環境和要求,形成信息系統的安全要求報告53、降低風險(或減低風險)是指通過對面臨風險的資產采取保護措施的方式來降低風險,下面哪個措施不屬于降低風險的措施（）[單選題]*A.減少威脅源。采用法律的手段制按計算機犯罪,發揮法律的威懾作用,從而有效遏制威脅源的動機B.簽訂外包服務合同。將有技術難點、存在實現風險的任務通過簽訂外部合同的方式交予第三方公司完成,通過合同責任條款來應對風險√C.減少脆弱性。及時給系統補丁,關閉無用的網絡服務端口,從而減少系統的脆弱性,降低被利用的可能性54、某單位在一次信息安全風險管理活動中,風險評估報告提出服務器A的FTP服務存在高風險漏洞。隨后該單位在風險處理時選擇了關閉FTP服務的處理措施。請問該措施屬于哪種風險處理方式（）[單選題]*A.風險降低B.風險規避√C.風險轉移D.風險接受55、小李在某單位是負責信息安全風險管理方面工作的部門領導,主要負責對所在行業的新人進行基本業務素質培訓,一次培訓的時候,小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項（）[單選題]*A.風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析B.定性風險分析需要憑借分析者的經驗和直覺或者業界的標準和慣例,因此具有隨意性√C.定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值因此更具有客觀性D.半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式,實現對風險各要素的度量數值化56、信息安全風險評估是信息安全風險管理工作中的重要環節。在國家網絡與信息安全協調小組發布的《關于開展信息安全風險評估工作的意見》(國信辦[200615號)中,風險評估分為自評估和檢查評估兩種形式,并對兩種工作形勢提出了有關工作原則和要求。下面選項中描述正確的是（）[單選題]*A.信息安全風險評估應以自評估為主,自評估和檢査評估相互結合、互為補充√B.信息安全風險評估應以檢查評估為主,自評估和檢査評估相互結合、互為補充C.自評估和檢查評估時相互排斥的,單位應慎重地從兩種工作形式選擇一個,并長期使用D.自評估和檢查評估是相互排斥的,無特殊理由的單位均應選擇檢査評估,以保證安全效果57、信息安全風險評估是信息安全風險管理工作中的重要環節。在〈關于開展信息安全風險評估工作的意見》(國信辦[2006]5號)中,指出了風險評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關工作原則和要求。下面選項中描述錯誤的是（）[單選題]*A.自評估是由信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估B.檢查評估是指信息系統上級管理部門組織的國家有關職能部門依法開展的風險評估C.信息安全風險評估應以自評估為主,自評估和檢査評估相互結合、互為補充D.自評估和檢査評估是相互排斥的,單位應慎重地從兩種工作形式選擇一個,并堅持√58、王工是某單位的系統管理員,他在某次參加了單位組織的風險管理工作時,發現當前案例中共有兩個重要資產:資產A1和資產A2其中資產A1面臨兩個主要威脅,威脅T1和威脅T2而資產A2面臨個主要威脅,威脅『39威脅T1可以利用的資產A1存在的兩個脆弱性;脆弱性V和脆弱性V2威脅T2可以利用的資產A1存在的三個脆弱性,脆弱性V3、脆弱性V4和脆弱性V5威脅T3可以利用的資產A2存在的兩個脆弱性;脆弱性Vδ和脆弱性V7根據上述條件,請問:使用相乘法時,應該為資產A1計算幾個風險值（）[單選題]*A.2B.3C.5√D.659、在信息安全管理體系的實施過程中,管理者的作用對于信息安全管理體系能否成功實施非常重要,但是以下選項中不屬于管理者應有職責的是（）[單選題]*A.制定并頒布信息安全方針,為組織的信息安全管理體系建設指明方向并提供總體綱領,明確總體要求B.確保組織的信息安全管理體系目標和相應的計劃得以制定,目標應明確、可度量,計劃應具體、可實施C.向組織傳達滿足信息安全的重要性,傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性D.建立健全信息安全制度,明確安全風險管理作用,實施信息安全風險評估過程,確保信息安全風險評估技術選擇合理、計算正確√60、信息安全管理體系(nformationSecurityManagementSystem,ISMS)的內部審核和管理審核是兩項重要的管理活動。關于這兩者,下面描述錯誤的是（）[單選題]*A.內部審核和管理審評都很重要,都是促進ISMS持續改進的重要動力,也都應當按照一定的周期實施B.內部審核的實施方式多采用文件審核和現場審核的形式,而管理評審的實施方式多采用召開管理審評會議的形式進行C.內部審核的實施主體由組織內部的ISMS內審小組,而管理評審的實施主體是由國家政策指定的第三方技術服務機構√D.組織的信息安全方針、信息安全目標和有關ISMS文件等,在內部審核中作為審核準使用,但在管理評審中,這些文件是被審對象61、隨著信息安全涉及的范圍越來越廣,各個組織對信息安全管理的需求越來越迫切,越來越多的組織開始嘗試使用參考lS27001介紹的ISMS來實施信息安全管理體系,提高組織的信息安全管理能力。關于ISMS,下面描述錯誤的是（）[單選題]*A.在組織中,應有信息技術責任部門(如信息中心)制定并頒布信息安全方針,為組織的ISMS建設指明方向并提供總體綱領,明確總體要求√B.組織的管理層應確保ISMS目標和相應的計劃得以制定,信息安全管理目標應明確、可度量,風險管理計劃應具體、具備可行性C.組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內,應包括全體員工,同時也應傳達客戶、合作伙伴和供應商等外部各方D.組織的管理層應全面了解組織所面臨的信息安全風險,決定風險可接受級別和風險可接受準則,并確認接受和相關殘余風險62、在風險管理中,殘余風險是指在實施了新的或增強的安全措施后還剩下的風險,關于殘余風險,下面描述錯誤的是（）[單選題]*A.風險處理措施確定以后,應編制詳細的殘余風險清單,并獲得管理層對殘余風險的書面批準,這也是風險管理中的一個重要過程B.管理層確認接受殘余風險,是對風險評估工作的一種肯定,表示管理層已經全面了解了組織所面臨的風險,并理解在風險一旦變為現實后,組織能夠且必須承擔引發的后果C.接受殘余風險,則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制地提高安全保護措施的強度,對安全保護措施的選擇要考慮到成本和技術的等因素的限制D.如果殘余風險沒有降低到可接受的級別,則只能被動地選擇接受風險,即對風險不采取進一步的處理措施,接受風險可能帶來的結果√63、GBT22080-2008《信息技術安全技術信息安全管理體系要求》指出,建立信息安全管理體系應參照PDCA模型進行,即信息安全管理體系應包括建立ISMS、實施和運行SMS、監視和評審ISMS、保持和改進ISMS等過程,并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）[單選題]*A.“制定ISMS方針”是建立ISMS階段工作內容B.“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內容C.“進行有效性測量”是監視和評審ISMS階段工作內容D.“實施內部審核”是保持和改進ISMS階段工作內容√64、若一個組織聲稱自己的ISMS符合SO/EC27001或GBT22080標準要求,其信息安全控制措施通常在以下方面實施常規控制,不包括哪一項[單選題]*A.信息安全方針、信息安全組織、資產管理B.人力資源安全、物力和環境安全、通信和操作管理C.訪問控制、信息系統獲取、開發和維護、符合性D.規劃與建立ISMS√65、信息安全組織的管理涉及內部組織和外部各方面兩個控制目標,為了實現對組織內部信息安全的有效管理,應該實施常規的控制措施,不包括哪些選項（）[單選題]*A.信息安全的管理承諾、信息安全協調、信息安全職責的分配B.信息處理設施的授權過程、保密性協議、與政府部門的聯系C.與特定利益集團的聯系、信息安全的獨立評審D.與外部各方相關風險的識別、處理外部各方協議中的安全問題√66、若一個組織聲稱自己的ISMS符合ISO川EC27001或GBT22080標準要求,其信息安全措施通常需要在資產管理方面實施常規控制,資產管理包含對資產負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護,通常采取以下哪項控制措施（）[單選題]*A.資產清單B.資產責任人C.資產的可接受使用D.分類指南、信息的標記和處理√67、應急響應時信息安全事件管理的重要內容之一。關于應急響應工作,下面描述錯誤的是（）[單選題]*A.信息安全應急響應,通常是指一個組織為了應對各種安全意外事件的發生所采取的防范措施,既包括預防性措施,也包括事業發生后的應對措施B.應急響應工作有其鮮明的特點:具體高技術復雜性與專業性、強突發性、對知識經驗的高依賴性,以及需要廣泛的協調與合作C.應急響應時組織在處置應對突發/重大信息安全事件時的工作,其主要包括兩部分工作：安全事件發生時正確指揮、事件發生后全面總結√D.應急響應工作的起源和相關機構的成立和198年11月發生的莫里斯蠕蟲病毒事件有關,基于該事件,人們更加重視安全事件的應急處理和整體協調的重要性68、我國依照信息系統的重要程度、安全事件造成的系統損失以及帶來的社會影響等因素,將信息安全事件分為若干個級別,其中,能夠對特別重要的信息系統產生特別嚴重影響或破壞的信息安全事件,如使特別重要信息系統遭受特別重大的系統損失,如造成系統大面積癱瘓,使其喪失業務處理能力,或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞的,應屬于哪一級信息安全事件（）[單選題]*A.I級√B.皿級C.W級D.特別級69、恢復時間目標(RecoveryTimeObjective,RTO)和恢復點目標(RECOVERYPointObjective,RPO)是業務連續性和災難恢復工作中的兩個重要指標,隨著信息系統越來越重要和信息技術越來越先進,這兩個指標的數值越來越小。小華準備為其工作的信息系統擬定RTO和RPO指標,則以下描述中,正確的是（）[單選題]*A.RTO可以為0,RPO也可以為0√B.RTO可以為0,RPO不可以為C.RT0不可以為0,RPO可以為0D.RT0不可以為0,RPO也不可以為070、隨著信息技術的不斷發展,信息系統的重要性也越來越突出,而與此同時,發生的信息安全事件也越來越多。綜合分析信息安全問題產生的根源,下面描述正確的是（）[單選題]*A.信息系統自身存在脆弱性是根本原因。信息系統越來越重要,同時自身在開發、部署和使用過程中存在的脆弱性,導致了諸多的信息安全事件發生。因此,杜絕脆弱性的存在是解決信息安全問題的根本所在B.信息系統面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者。信息系統應用越來越廣泛,接觸信息系統的人越多,信息系統越可能遭受攻擊。因此,避免有惡意攻擊可能的人接觸信息系統就可以解決信息安全問題C.信息安全問題產生的根源要從內因和外因兩個方面分析,因為信息系統自身存在脆弱性,同時外部又有威脅源,從而導致信息系統可能發生安全事件。因此,要防范信息安全風險,需從內外因同時著手√D.信息安全問題的根本原因是內因、外因和人三個因素的綜合作用,內因和外因都可能導致安全事件的發生,但最重要的還是人的因素,外部攻擊者和內部工作人員通過遠程攻擊、本地破壞和外勾結等手段導致安全事件發生。因此,對人這個因素的防范應是安全工作重點71、關于信息安全保障技術框架(InformationAssuranceTehnicalFrameworkat-),下面描述錯誤的是（）[單選題]*A.IATF最初由美國國家安全局(NSA)發布,后來由國際標準化組織(IS0)轉化為國際標準,供各個國家信息系統建設參考使用√B.IATF是一個通用框架,可以用到多種應用場景中,通過對復雜信息系統進行解構和描述,然后再以此框架討論信息系統的安全保護問題C.IATF提出了深度防御的戰略思想,并提供一個框架進行多層保護,以此防范信息系統面臨的各種威脅D.強調人、技術和操作是深度防御的三個主要層面,也就是說討論人在技術支持下運行維護的信息安全保障問題72、關于信息安全保障技術框架(IATF)以下說法不正確的是（）[單選題]*A.分層策略允許在適當的時候采用低安全級保障解決方案以便降低信息安全保障的成本B.IATF從人、技術和操作三個層面提供一個框架實施多層保護,使攻擊者即使攻破一層也無法破壞整個信息基礎設施C.允許在關鍵區域(例如區域邊界)使用高安全級保障解決方案,確保系統安全性D.IATF深度防御戰略要求在網絡體系結構的各個可能位置實現所有信息安全保障機制√73、2003年以來,我國高度重視信息安全保障工作,先后制定并發布了多個文件,從政策層面為開展并推進信息安全保障工作進行了規劃。下面選項中哪個不是我國發布的文件（）[單選題]*A.《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)B.《國家網絡安全綜合計劃(CNCI)》(國令[2008]54號)√C.《國家信息安全戰略報告》(國信[2005]2號)D.《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012123號)74、在信息安全保障工作中,人オ是非常重要的因素,近年來,我國一直高度重視我國信息安全人オ隊伍的培養和建設。在以下關于我國關于人オ培養工作的描述中,錯誤的是（）[單選題]*A.在《國家信息化領導小組關于加強信息安全保障工作的意見》仲辦發[2003]27號)中,針對信息安全人才建設與培養工作提出了“加快新鮮全人才培養,增強全民信息安全意識”的指導精神B.2015年,為加快網絡空間安全高層次人才培養,經報國務院學位委員會批準,國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科,這對于我國網絡信息安全人才成體系化、規模化、系統化培養起到積極的推動作用C.經過十余年的發展,我國信息安全人オ培養已經成熟和體系化,每年培養的信息安全從業人員的數量較多,基本能同社會實際需求相匹配;同時,高校信息安全專業畢業人オ的綜合能力要求高、知識更全面,因而社會化培養應重點放在非安全專業人才培養上√D.除正規大學教育外,我國信息安全人オ非學歷教育已基本形成了以各種認證為核心,輔以各種職業技能培訓的信息安全人才培訓體系,包括“注冊信息安全專業人員(CISP)”資質認證和一些大型企業的信息安全資質認證75、2008年1月2日,美國發布第54號總統令,建立國家網絡安全綜合計劃(ComprehensiveNationalCybersecurityInitative,CNcI)。CNCI計劃建立三道防線:第一道防線,減少漏洞和隱患,預防入侵;第二道防線,全面應對各類威脅;第三道防線,強化未來安全環境。從以上內容,我們可以看出以下哪種分析是正確的:（）[單選題]*A.CNCI是以風險為核心,三道防線首要的任務是降低其網絡所面臨的風險√B.從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內部的C.CNCI的目的是盡快研發并部署新技術和徹底改變其糟糕的網絡安全現狀,而不是在現在的網絡基礎上修修補補D.CNCI徹底改變了以往的美國信息安全戰略,不再把關鍵基礎設施視為信息安全保障重點,而是追求所有網絡和系統的全面安全保障76、公司甲做了很多政府網站安全項目,在為網游公司乙的網站設計安全保障方案時,借鑒以前項目經驗,為乙設計了多重數據加密安全措施,但用戶提出不需要這些加密措施,理由是影響了網站性能,使用戶訪問量受限。雙方引起爭議。下面說法哪個是錯誤的（）[單選題]*A.乙對信息安全不重視,低估了黑客能力,不舍得花錢√B.甲在需求分析階段沒有進行風險評估,所部屬的加密針對性不足,造成浪費C.甲未充分考慮網游網站的業務與政府網站業務的區別D.乙要綜合考慮業務、合規性和風險,與甲共同確定網站安全需求77、為保障信息系統的安全,某經營公共服務系統的公司準備并編制一份針對性的信息安全保障方案,并將編制任務交給了小王,為此,小王決定首先編制出一份信息安全需求報告。關于此項工作,下面說法錯誤的是（）[單選題]*A.信息安全需求是安全方案設計和安全措施的依據B.信息安全需求應當是從信息系統所有者(用戶)的角度出發,使用規范化、結構化的語言來描述信息系統安全保障需求C.信息安全需求應當基于信息安全風險評估結果、業務需求和有關政策法規和標準的合規性要求得到D.信息安全需求來自于該公眾服務信息系統的功能設計方案√78、從系統工程的角度來處理信息安全問題,以下說法錯誤的是:（）[單選題]*A.系統安全工程旨在了解企業存在的安全風險,建立一組平衡的安全需求,融合各種工程學科的努力將此安全需求轉換為貫穿系統整個生存期的工程實施指南B.系統安全工程需對安全機制的正確性和有效性做出詮釋,證明安全系統的信任度能夠達到企業的要求,或系統遺留的安全薄弱性在可容許范圍之內C.系統安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法,是一種使用面向開發的方法√D.系統安全工程能力成熟度模型(SSE-CMD是在原有能力成熟度模型(CM的基礎上。通過對安全工作過程進行管理的途徑,將系統安全工程轉變為一個完好定義的、成熟的、可測量的先進學科79、某項目的主要內容為建造A類機房,監理單位需要根據《電子信息系統機房設計規范》(GB50174-2008)的相關要求,對承建單位的施工設計方案進行審核,以下關于監理單位給出的審核意見錯誤的是（）[單選題]*A.在異地建立備份機房,設計時應與主要機房等級相同B.由于高端小型機發熱量大,因此采用活動地板下送風,上回風的方式C.因機房屬于A級主機房,因此設計方案中應考慮配備柴油發電機,當市電發生故障時所配備的柴油發電機應能承擔全部負荷的需要D.A級主機房應設置自動噴水滅火系統√80、某公司建設面向內部員工的辦公自動化系統和面向外部客戶的營銷系統,通過公開招標選擇M公司為實施單位,并選擇了H監理公司承擔該項目的全程監理工作。目前,各個應用系統均已完成開發,M公司已經提交了驗收申請。監理公司需要對M公司提交的軟件配置文件進行審査,在以下所提交的文檔中,哪一項屬于開發類文檔:（）[單選題]*A.項目計劃書B.質量控制計劃C.評審報告D.需求說明書√81、有關系統安全工程-能力成熟度模型(SEE-CMM)中的基本實施(BasePractices,BP),正確的理解是:（）[單選題]*A.BP不限定于特定的方法或工具,不同的業務背景中可以使用不同的方法√B.BP不是根據廣泛的現有資料、實踐和專家意見綜合得出的C.BP不代表信息安全工程領域的最佳實踐D.BP不是過程區域(ProcessAreas,PA)的強制項82、在使用系統安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時,有關測量結果,錯誤的理解是（）[單選題]*A.如果該組織在執行某個特定的過程區域時具備某一個特定級別的部分公共特征時,則這個組織在這個過程區域的能力成熟度未達到此級B.如果該組織某個過程區域(ProcessAreas,PA)具備了“定義標準過程”、“執行已定義的過程”兩個公共特征,則過程區域的能力成熟度級別達到3級“充分定義級”√C.如果某個過程區域(ProcessAreas,PA)包含4個基本實施(BasePractices,BP),執行此PA時執了3個BP,則此過程區域的能力成熟度級別為0D.組織在不同的過程區域的能力成熟度可能處于不同的級別上83、從歷史演進來看,信息安全的發展經歷了多個階段。其中,有一個階段的特點是:網絡信息系統逐步形成,信息安全注重保護信息在存儲、處理和傳輸過程中免受非授權的訪問,開始使用防火墻、防病毒PKI和VPN等安全產品。這個階段是（）[單選題]*A.通信安全階段B.計算機安全階C.信息系統安全階段√D.信息安全保障階段84、下面關于信息系統安全保障模型的說法不正確的是（）[單選題]*A.國家標準《信息系統安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1B.模型中的信息系統生命周期模型是抽象的概念性說明模型,在信息系統安全保障具體操作時,可根據具體環境和要求進行改動和細化C.信息系統安全保障強調的是動態持續性的長效安全,而不僅是某時間點下的安全D.信息系統安全保障主要是確保信息系統的保密性、完整性和可用性,單位對信息系統運行維護和使用的人員在能力和培訓方面不需要投入√85、《信息安全保障技術框架》(InformationAssuranceTechnicalFramework,IATF)是由哪個下面哪個國家發布的（）[單選題]*A中國B.美國√C.俄羅斯D.歐盟86、我國信息安全保障工作先后經歷了啟動、逐步展開和積極推進,以及深化落實三個階段,我國信息安全保障各階段說法不正確的是（）[單選題]*A.2001年,國家信息化領導小組重組,網絡與信息安全協調小組成立,我國信息安全保障工作正式啟動B2003年7月,國家信息化領導小組制定出臺了《關于加強信息安全保障工作的意見》(中辦發27號文件),，明確了“積極防御、綜合防范”的國家信息安全保障工作方針C.2003年,中辦發27號文件的發布標志著我國信息安全保障進入深化落實階段√D.在深化落實階段,信息安全法律法規、標準化,信息安全基礎設施建設,以及信息安全等級保護和風險評估，取得了新進展87、我國信息安全保障建設包括信息安全組織與管理體制、基礎設施、技術體系等方面,以下關于信息安全保障建設主要工作內容說法不正確的是（）[單選題]*A.健全國家信息安全組織與管理體制機制,加強信息安全工作的組織保障B.建設信息安全基礎設施,提供國家信息安全保障能力支撐C.建立信息安全技術體系,實現國家信息化發展的自主創新√D.建立信息安全人才培養體系,加快信息安全科學建設和信息安全人才培養88、某銀行信息系統為了滿足業務發展的需要準備進行升級改造,以下哪一項不是此次改造中信息系統安全需求分析過程需要考慮的主要因素（）[單選題]*A.信息系統安全必須遵循的相關法律法規,國家以及金融行業安全標B.信息系統所承載該銀行業務正常運行的安全需求C.消除或降低該銀行信息系統面臨的所有安全風險√D.該銀行整體安全策略89.信息安全測評是指依據相關標準,從安全功能等角度對信息技術產品、信息系統、服務提供商以及人員進行測試和評估,以下關于信息安全測評說法不正確的是（）[單選題]*A.信息產品安全評估是測評機構對產品的安全性做出的獨立評價,增強用戶對已評估產品安全的信任B.目前我國常見的信息系統安全測評包括信息系統風險評估和信息系統安全保障測評兩種類型√C.信息安全工程能力評估是對信息安全服務提供者的資格狀況、技術實力和實施服務過程質量保證能力的具體衡量和評價D.信息系統風險評估是系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件可能造成的危害程度,提出有針對性的安全防護策略和整改措施90、美國的關鍵信息基礎設施(criticalnformationnfrastructure,CI)包括商用核設施、政府設施、交通系統、飲用水和廢水處理系統、公共健康和醫療、能源、銀行和金融、國防工業基地等等,美國政府強調重點保障這些基礎設施信息安全,其主要原因不包括（）[單選題]*A.這些行業都關系到國計民生,對經濟運行和國家安全影響深遠B.這些行業都是信息化應用廣泛的領域C.這些行業信息系統普遍存在安全隱患,而且信息安全專業人士缺乏的現象比其他行業更突出√D.這些行業發生信息安全事件,會造成廣泛而嚴重的損失91、在設計信息系統安全保障方案時,以下哪個做法是錯誤的（）[單選題]*A.要充分切合信息安全需求并且實際可行B.要充分考慮成本效益,在滿足合規性要求和風險處置要求的前提下,盡量控制成本C.要充分采取新技術,在使用過程中不斷完善成熟,精益求精,實現技術投入保值要求√D.要充分考慮用戶管理和文化的可接受性,減少系統方案實施障礙92、部署互聯網協議安全虛擬專用網(InternetprotocolSecurityVirtualPrivateNetwork,IpsecVPN)時,以下說法正確的是（）[單選題]*A.配置MD5安全算法可以提供可靠地數據加密B.配置AES算法可以提供可靠的數據完整性驗證C.部署IpsecVPN網絡時,需要考慮IP地址的規劃,盡量在分支節點使用可以聚合的IP地址段,來減少Ipsec安全關聯(SecurityAuthentication,SA)資源的消耗√D.報文驗證頭協議(AuthenticationHeader,AH)可以提供數據機密性93、某單位系統管理員對組織內核心資源的訪問制定訪問策略,針對每個用戶指明能夠訪問的資源,對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種:（）[單選題]*A.強制訪問控制:BLPBIBACLARK-WILSONCHINESE-WALLB.基于角色的訪問控制:RBACC.自主訪問控制：ACLCL√D.基于任務的訪問控制94、主體和客體是訪問控制模型中常用的概念。下面描述種錯誤的是（）[單選題]*A.主體是訪問的發起者,是一個主動的實體,可以操作被動實體的相關信息或數據B.客體也是一種實體,是操作的對象,是被規定需要保護的資源C.主體是動作的實施者,比如人、進程或設備等均是主體,這些對象不能被當作客體使用√D.一個主體為了完成任務,可以創建另外的主體,這些主體可以獨立運行95、以下場景描述了基于角色的訪問控制模型(Role-basedAccesscontrol,RBAC)F根據組織的業務要求或管理要求,在業務系統中設置若干崗位、職位或分工。管理員負責將權限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關于RBAC模型,下列說法錯誤的是（）[單選題]*A.當用戶請求訪問某資源時,如果其操作權限不再用戶當前被激活角色的授權范圍內,訪問請求將被拒絕B.業務系統中的崗位、職位或者分工,可對應RBAC模型中的角色C.通過角色,可實現對信息資源訪問的控制D.RBAC模型不能實現多級安全中的訪問控制√96、自主訪問控制模型（）的訪問控制關系可以用訪問控制(ACL)來表示,該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法正確的是（）[單選題]*A.ACL是Be1l-Lapadula模型的一種具體實現B.ACL在刪除用戶時,去除該用戶所有的訪問權限比較方便C.ACL對于統計某個主體能訪問哪些客體比較方便D.ACL在增加客體時,增加相關的訪問控制權限較為簡單√97、關于Kerberos認證協議,以下說法錯誤的是（）[單選題]*A.只要用戶拿到了認證服務器(AS)發送的票據許可票據(TGT)并且該TGT沒有過期,就可以使用該TGT通過票據授權服務器(TGS)完成到任一個服務器的認證而不必重新輸入密碼B.認證服務器(AS)和票據授權服務器(TGS)是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴于AS和TS的性能和安全C.該協議通過用戶獲得票據許可票據、用戶獲得服務許可票據、用戶獲得服務三個階段,僅支持服務器對用戶的單向認證√D.該協議是一種基于對稱密碼算法的網絡認證協議,隨用戶數量增加,密鑰管理較復雜98、傳輸控制協議(TCP)是傳輸層協議,以下關于TCP協議的說法,哪個是正確的?（）[單選題]*A.相比傳輸層的另外一個協議UDP,TCP既提供傳輸可靠性,還同時具有更高的效率,因此具有廣泛的用途B.TCP協議包頭中包含了源IP地址和目的IP地址,因此TCP協議負責將數據傳送到正確的主機C.TCP協議具有流量控制、數據校驗、超時重發、接收確認等機制,因此TCP協議能完全替代IP協議D.TCP協議雖然高可靠,但是相比UDP協議機制過于復雜,傳輸效率要比UDP低√99、以下關于UDP協議的說法,哪個是錯誤的?（）[單選題]*A.UDP具有簡單高效的特點,常被攻擊者用來實施流量型拒絕服務攻擊B.UDP協議包頭中包含了源端口號和目的端口號,因此UDP可通過端口號將數據包送達正確的程序C.相比TCP協議,UDP協議的系統開銷更小,因此常用來傳送如視頻這一類高流量需求的應用數據D.UDP協議不僅具有流量控制,超時重發機制,還能提供加密等服務,因此常用來傳輸如視頻會話這類需要隱私保護的數據√100、由于Internet的安全問題日益突出,基于TCP/IP協議,相關組織和專家在協議的不同層次設計了相應的安全通信協議,用來保障網絡各層次的安全。其中,屬于或依附于傳輸層的安全協議是（）[單選題]*A.PP2PB.L2TPC.SSL√D.IPSEC101、防火墻是網絡信息系統建設中常常采用的一類產品,它在內外網隔離方面的作用是（）[單選題]*A.既能物理隔離,又能邏輯隔離B.能物理隔離,但不能邏輯隔離C.不能物理隔離,但是能邏輯隔離√D.不能物理隔離,也不能邏輯隔離102、異常入侵檢測系統常用的一種技術,它是識別系統或用戶的非正常行為或者對于計算機資源的非正常使用,從而檢測出入侵行為。下面說法錯誤的是（）[單選題]*A.在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統運行過程中的異常現象B.異常入侵檢測,是將當前獲取行為數據和已知入侵攻擊行為特征相比較,若匹配則認為有攻擊發生√C.異常入侵檢測可以通過獲得的網絡運行狀態數據,判斷其中是否含有攻擊的企圖,并通過多種手段向管理員報警D.異常入侵檢測不但可以發現從外部的攻擊,也可以發現內部的惡意行為103、S公司在全國有20個分支機構,總部有10臺服務器、200個用戶終端,每個分支機構都有一臺服務器、100個左右用戶終端,通過專用進行互聯互通。公司招標的網絡設計方案中,四家集成商給出了各自的IP地址規劃和分配的方法,作為評標專家,請給S公司選出設計最合理的一個:（）[單選題]*A.總部使用服務器、用戶終端統一使用10.0.1.x、各分支機構服務和用戶終端使用192.168.2.x192.168.20.xB.總部使用服務器使用11、用戶終端使用2212,分支機構IP地址隨意確定即可C.總部服務器使用10.0.1.x、用戶終端根據部門劃分使用10.0.2.x、每個分支機構分配兩個A類地址段,一個用做服務器地址段、另外一個做用戶終端地址段√D.因為通過互聯網連接,訪問的是互聯網地址,內部地址經NAT映射,因此IP地址無需特別規劃,各機構自行決定即可104、私有IP地址是一段保留的IP地址。只使用在局域網中,無法在Internet上使用。關于私有地址,下面描述正確的是（）[單選題]*A.A類和B類地址中沒有私有地址,C類地址中可以設置私有地址B.A類地址中沒有私有地址,B類和類地址中可以設置私有地址C.A類、B類和C類地址中都可以設置私有地址√D.A類、B類和C類地址中都沒有私有地址105、張主任的計算機使用Windows7操作系統,他常登陸的用戶名為zhang,張主任給他個人文件夾設置了權限為只有zhang這個用戶有權訪問這個目錄,管理員在某次維護中無意將zhang這個用戶刪除了,隨后又重新建了一個用戶名為zhang,張主任使用zhang這個用戶登錄系統后,發現無法訪問他原來的個人文件夾,原因是（）[單選題]*A.任何一個新建用戶都需要經過授權才能訪問系統中的文件√B.Windows7不認為新建立的用戶zhang與原來的用戶zhang是同一個用戶,因此無權訪C.用戶被刪除后,該用戶創建的文件夾也會自動刪除,新建用戶找不到原來用戶的文件夾,因此無法訪問D.新建的用戶zhang會繼承原來用戶的權限,之所以無權訪問是因為文件夾經過了加密106、以下關于Windows系統的賬號存儲管理機制(SecurityAccountsManager)的說法哪個是正確的（）[單選題]*A.存儲在注冊表中的賬號數據是管理員組用戶都可以訪問,具有較高的安全性B.存儲在注冊表中的賬號數據只有administrator賬戶オ有權訪問,具有較高的安全性C.存儲在注冊表中的賬號數據任何用戶都可以直接訪問,靈活方便D.存儲在注冊表中的賬號數據有只有System賬戶オ能訪問,具有較高的安全性√107、口令破解是針對系統進行攻擊的常用方法,Windows系統安全策略中應對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略,關于這兩個策略說明錯誤的是（）[單選題]*A.密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進行管控B.密碼策略對系統中所有的用戶都有效C.賬戶鎖定策略的主要作用是應對口令暴力破解攻擊,能有效的保護所有系統用戶被口令暴力破解攻擊D.賬戶鎖定策略只適用于普通用戶,無法保護管理員administrator賬戶應對口令暴力破解攻擊√108、Windows文件系統權限管理訪問控