CISP全真模拟题(2)1301.docx

CISP全真模拟题（2）1、 下列关于信息安全保障的说法错误的是：A 信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从资源、技术、管理的可行性和有效性做出权衡和取舍B 在信息系统生命周期中，从技术、管理、工程和人员等方面提出安全保障要求C 在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略D 信息安全保障的最终目标是要同时保障组织机构信息资产和信息系统资产参考答案：D2、 按照技术能力、所拥有的资源和破环力来排列，下列威胁中哪种威胁最大？A 个人黑客B 网络犯罪团伙C 网络战士D 商业间谍参考答案：B3、 信息安全发展各阶段中，下面哪一项是通信安全阶段主要面临的安全威胁？A 病毒B 非法访问C 信息泄露D 脆弱口令参考答案：C4、 信息系统安全主要从哪几个方面进行评估？A1个（技术）B2个（技术、管理）C3个（技术、管理、工程）D4个（技术、管理、工程、应用）参考答案：C5、 人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于：A 为了更好地完成组织机构的使命B 针对信息系统的攻击方式发生重大变化C 风险控制技术得到革命性的发展D 除了保密性，信息的完整性和可用性也引起了人们的关注参考答案：A6、 以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A 信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观证据向信息系统评估者提供主观信心的活动D 是主观和客观综合评估的结果参考答案：B7、 完整性机制可以防范以下哪种攻击？A 假冒源地址或用户的地址的欺骗攻击B 抵赖做过信息的递交行为C 数据传输中被窃听获取D 数据传输中被篡改或破环参考答案：D8、 依据国家标准GB/T20274信息系统安全保障评估框架，信息系统安全目标（ISST）是从信息系统安全保障_的角度来描述的信息系统安全保障方案。A 建设者B 所有者C 评估者D 制定者参考答案：A9、 P2DR模型相比PDR，增加了动态适应的特点，这是因为：A 策略（Policy）是基于人的决定，而人的思想是变化最快的因素，因此，P2DR模型就具备了动态特征B 策略是与风险相对应的，而风险是动态变化的，策略需要根据风险的动态变化而调整，因此，P2DR模型就具备了动态特征C 在现实情况中，需要不断调整和改善防护措施，使之逐步接近策略的要求，因此，P2DR模型就具备了动态特征D 以上说法都不对参考答案：B，理解：安全具有动态性。安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全，安全程度随着时间的变化而改变。在一个特定的时期内，在一定的安全策略下，系统是安全的。但是随着时间的演化和环境的变迁（如攻击技术的进步、新漏洞的暴露），系统可能会变的不安全。因此需要适应变化的环境并能做出相应的调整以确保安全防护。10、 依据国家标准GB/T20274信息系统安全保障评估框架，在信息系统安全目标中，评估对象包括哪些内容？A 信息系统管理体系、技术体系、业务体系B 信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程C 信息系统安全管理、信息系统安全技术和信息系统安全工程D 信息系统组织结构、管理制度、资产参考答案：B11、 我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是：A. WG 1B. WG 7C. WG 3D. WG 5参考答案：B12、 美国国防部公布的可信计算机系统评估准则（TCSEC）把计算机系统的安全分为个大的等级。A3B4C5D6参考答案：B13、 以下对确定信息系统的安全保护等级理解正确的是：A 信息系统的安全保护等级是信息系统的客观属性B 确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施C 确定信息系统的安全保护等级时应考虑风险评估的结果D 确定信息系统的安全保护等级时应仅考虑业务信息的安全性参考答案：A14、 依据GB/T 24364-2009 信息安全技术 信息安全应急响应计划规范，应急响应方法论的响应过程的第二步是A. 准备B. 确认C. 遏制D. 根除参考答案：B15、 下列信息安全相应的标准中是信息安全管理体系标准而不是主要用于对信息系统本身进行安全评价的标准。A TCSEC（橘皮书）B 信息技术安全评估准则ITSECC 信息技术安全评估通用标准CCD ISO/IEC27000参考答案：D16、 是目前国际通行的信息技术产品安全性评估标准A TCSECB ITSECC CCD IATF参考答案：C17、 下列哪项不是信息安全等级保护管理办法（公通字200743号）规定的内容？A. 国家信息安全等级保护坚持自主定级、自主保护的原则B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D. 涉及国家秘密的信息系统不进行分等级保护参考答案：D18、 下面有关我信息安全管理体制的说法错误的是A. 目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面B. 我国的信息安全保障工作综合利用法律、管理和技术的手段C. 我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针D. 我国对于信息安全责任的原则是谁主管、谁负责；谁经营、谁负责参考答案：C19、 以下哪一项不是我国与信息安全有关的国家法律？A. 信息安全等级保护管理办法B. 中华人民共和国保守国家秘密法C. 中华人民共和国刑法D. 中华人民共和国国家安全法参考答案：A20、 目前我国形成了相关部门各司其职、相互配合，综合利用法律、管理和技术手段，共同维护国家信息安全的一个多方“齐抓共管”的信息安全管理体系。“相关部门”不包括：A. 工业和信息化部B. 新闻办C. 国家保密局D. 安监局参考答案：D21、 下面哪一项不是注册信息安全专业人员（CISP）职业准则的规定?A. 必须诚实，公正，负责，守法B. 必须勤奋和胜任工作，提高专业能力和水平C. 对中国信息安全测评中心（CNITSEC）针对注册信息安全专业人员（CISP）而进行的调查应给予充分的合作D. 在本单位负责的信息系统出现重大安全问题时必须向有关用户进行解释参考答案：D22、 通过对称密码算法进行安全消息传输的必要条件是：A 在安全的传输信道上进行通信B 通讯双方通过某种方式，安全且秘密地共享密钥C 通讯双方使用不公开的加密算法D 通讯双方将传输的信息夹杂在无用信息中传输并提取参考答案：B23、 以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题？A 大整数分解B 离散对数问题C 背包问题D 伪随机数发生器参考答案：D，说明：背包问题，即：选择不同价格、不同体积的物品放置于一个背包中，要求价格总量最大。24、 常用的混合加密（Hybrid Encryption）方案指的是：A 使用对称加密进行通信数据加密，使用公钥加密进行会话密钥协商B 使用公钥加密进行通信数据加密，使用对称加密进行会话密钥协商C 少量数据使用公钥加密，大量数据则使用对称加密D 大量数据使用公钥加密，少量数据则使用对称加密参考答案：A25、 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A DSSB Diffie-HellmanC RSAD AES参考答案：C26、 下列哪一项不是hash算法的特点？A 对于一个很长的消息，可以通过一个很短的摘要进行校验B 通过摘要本身，在计算可行性意义下难以得到原始的消息C 两个消息即使差别很小，其hash值也会发生很大改变D 通过hash值可以判定消息是否来自某特定的创建者参考答案：D27、 数字签名技术主要应用哈希函数算法和非对称密钥算法，这两种算法的主要作用是：A 前者用来检验数据是否被篡改，后者用来确认数据发送方的身份B 前者用来对数据进行加密，后者用来对数据进行解密C 前者保证数据的抗抵赖性，后者用来保证数据的完整性D 前者用来建立加密通道，后者用来进行身份鉴别参考答案：A28、 数字证书的功能不包括：A 加密B 数字签名C 身份认证D 消息摘要参考答案：D29、 下列哪一项功能可以不由认证中心CA完成？A 撤消和中止用户的证书B 产生并分发CA的公钥C 在请求实体和它的公钥间建立链接D 发放并分发用户的证书参考答案：C30、 SSL协议包括四个子协议，其中哪一个子协议提供消息源认证、数据加密以及数据完整服务？A SSL握手协议B 更改密码规格协议C SSL记录协议层D 警告协议参考答案：C，理解：SSL记录协议为SSL连接提供了两种服务:一是机密性,二是消息完整性。为了实现这两种服务, SSL记录协议对接收的数据和被接收的数据工作过程是如何实现的呢? SSL记录协议接收传输的应用报文,将数据分片成可管理的块,进行数据压缩(可选),应用MAC,接着利用IDEA、DES、3DES或其他加密算法进行数据加密,最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,然后交给更高级用户31、 IPSec协议的AH子协议不能提供下列哪一项服务？A 数据源认证B 数据包重放C 访问控制D 机密性参考答案：D32、 下面对访问控制技术描述最准确的是：A 保证系统资源的可靠性B 实现系统资源的可追查性C 防止对系统资源的非授权访问D 保证系统资源的可信性参考答案：C33、 下列对自主访问控制说法不正确的是：A 自主访问控制允许客体决定主体对该客体的访问权限B 自主访问控制具有较好的灵活性和可扩展性C 自主访问控制可以方便地调整安全策略D 自主访问控制安全性不高，常用于商业系统参考答案：A34、 自主访问控制与强制访问控制相比具有以下哪一个优点？A 具有较高的安全性B 控制粒度较大C 配置效率不高D 具有较强的灵活性参考答案：D35、 以下关于BLP模型规则说法不正确的是：A BLP模型主要包括简单安全规则和*-规则B *-规则可以简单表述为向下写C 主体可以读客体，当且仅当主体的安全级可以支配客体的安全级，且主体对该客体具有自主型读权限D 主体可以写客体，当且仅当客体的安全级可以支配主体的安全级，且主体对客体具有自主型写权限参考答案：B36、 在一个使用Chinese Wall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣冲突域中，那么可以确定一个新注册的用户：A 只有访问了W之后，才可以访问XB 只有访问了W之后，才可以访问Y和Z中的一个C 无论是否访问W，都只能访问Y和Z中的一个D 无论是否访问W，都不能访问Y或Z参考答案：C37、 以下关于RBAC模型的说法正确的是：A 该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限。B 一个用户必须扮演并激活某种角色，才能对一个对象进行访问或执行某种操作C 在该模型中，每个用户只能有一个角色D 在该模型中，权限与用户关联，用户与角色关联参考答案：B38、 下列对Kerberos协议描述正确的是：A 该协议使用非对称密钥加密机制B 密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C 该协议完成身份鉴别后将获取用户票据许可票据D 使用该协议不需要时钟基本同步的环境参考答案：C39、 遵守相同访问控制策略的集合被称为？A 访问控制列表B 安全域C 可信计算基（TCB）D 访问主体参考答案：B40、 一个较为可靠的鉴别系统一般是由以下哪几部分组成：A 验证者、被验证者和中间人B 验证者、被验证者和可信赖方C 验证者和被验证者D 验证者、被验证者和鉴别方参考答案：B41、 下列对蜜网关键技术描述不正确的是：A 数据捕获技术能够检测并审计黑客攻击的所有行为数据B 数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图C 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全D 通过数据控制、捕获和分析，能对攻击活动进行监视、分析和阻止参考答案：D42、 下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？A 数据完整性B 数据保密性C 公证D 抗抵赖参考答案：C43、 802.11i无线安全标准为提高安全性引入了新的什么技术？A WEPB WPAC TKIPD SSL参考答案：B44、 下面对WAPI描述不正确的是：A 安全机制由WAI和WPI两部分组成B WAI实现对用户身份的鉴别C WPI实现对传输的数据加密D WAI实现对传输的数据加密参考答案：D, 理解：WAPI由WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastructure）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。45、 下列关于防火墙的主要功能包括：A 访问控制B 内容控制C 数据加密D 查杀病毒参考答案：A46、 简单包过滤防火墙主要工作在A 链路层/网络层B 网络层/传输层C 应用层D 会话层参考答案：B47、 以下哪一项不是应用层防火墙的特点？A 更有效的阻止应用层攻击B 工作在OSI模型的第七层C 速度快且对用户透明D 比较容易进行审计参考答案：C48、 哪类防火墙具有撮据传输信息的内容(如关键字、文件类型)来控制访问连接的能力？A 包过滤防火墙B 状态检测防火墙C 应用网关防火墙D 以上都不能参考答案：C49、 下面哪一项不是IDS的主要功能：A 监控和分析用户和系统活动B 统计分析异常活动模式C 对被破坏的数据进行修复D 识别活动模式以反映已知攻击参考答案：C50、 下列哪些选项不属于NIDS的常见技术？A 协议分析B 零拷贝C SYN CookieD IP碎片重组参考答案：D，理解：NIDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。NIDS不能处理加密后的数据，如果数据传输中被加密，即使只是简单的替换，NIDS也难以处理，例如采用SSH、HTTPS、带密码的压缩文件等手段，都可以有效的防止NIDS的检测。 NIDS难以检测重放攻击、中间人攻击、对网络监听也无能为力。 目前的NIDS还难以有效的检测DDoS攻击。有些NIDS不能对IP分片进行重组，或者超过了其处理能力，因此对该攻击规避后可以躲过NIDS的检测。51、 当网络安全管理员发现原有的IDS不能检测到新的攻击类型时，应采取下列哪项措施最为有效？A 配置防火墙B 购买或更新特征库C 关闭IDS直到得到新的IDS应用程序D 定义一个新的规则来检测攻击参考答案：B52、 Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？A rwxr-xr-x 3 user admin 1024 Sep 13 11:58 testB drwxr-xr-x 3 user admin 1024 Sep 13 11:58 testC rwxr-xr-x 3 admin user 1024 Sep 13 11:58 testD drwxr-xr-x 3 admin user 1024 Sep 13 11:58 test参考答案：A53、 默认情况，Linux系统中用户登录密码信息存放在哪个文件中？A /etc/groupB /etc/userinfoC /etc/shadowD /etc/profie参考答案：C54、 Windows系统中，路由跟踪命令是：A tracertB tracerouteC routetraceD trace参考答案：A55、 以下对于Windows系统的服务描述，正确的是：A windows服务必须是一个独立的可执行程序B Windows服务的运行不需要用户的交互登录C windows服务都是随系统启动而启动，无需用户进行干预D windows服务都需要用户进行登录后，以登录用户的权限进行启动参考答案：B56、 以下关于windows SAM（安全账号管理器）的说法错误的是：A 安全账号管理器（SAM）具体表现就是%SystemRoot%system32configsamB 安全账号管理器（SAM）存储的账号信息是存储在注册表中C 安全帐号管理器（SAM）存储的帐号信息对administrator和system是可读和可写的D 安全帐号管理器（SAM）是windows的用户数据库，系统进程通过Security Accounts Manager服务进行访问和操作参考答案：C57、 下列哪一项与数据库的安全有直接关系？A 访问控制的粒度B 数据库的大小C 关系表中属性的数量D 关系表中元组的数量参考答案：A58、 完整性检查和控制的防范对象是，防止它们进入数据库。A 不合语义的数据、不正确的数据B 非法用户C 非法操作D 非法授权参考答案：A，理解：数据的完整性是为了防止数据库中存在不符合语义的数据，也就是防止数据库中出现不正确的数据。数据的安全性是保护数据库防止恶意的破坏和非法的存取。因此，完整性检查和控制的防范对象是不合语义、不正确的数据，防止它们进入数据库。安全性控制的防范对象是非法用户和非法操作，防止他们对数据库中数据的非法存取。59、 下列SQL语句给出关系型数据库中的哪一类完整性约束条件？CREATE TABLE Student( id CHAR(8),SnameCHAR(20) NOT NULL, Sage SMALLINT, PRIMARY KEY(id) );A 实体完整性B 二维表完整性C 参照完整性D 自定义完整性参考答案：A，理解：实体完整性和参照完整性适用于任何关系型数据库系统，它主要是针对关系的主关键字和外部关键字取值必须有效而做出的约束。实体完整性：是指关系的主关键字不能重复也不能取“空值；参照完整性：是定义建立关系之间联系的主关键字与外部关键字引用的约束条件。用户定义完整性；是根据应用环境的要求和实际的需要，对某一具体应用所涉及的数据提出约束性条件。这一约束机制一般不应由应用程序提供，而应有由关系模型提供定义并检验，用户定义完整性主要包括字段有效性约束和记录有效性。60、 以下哪一项不是IIS服务器支持的访问控制过滤类型？A 网络地址访问控制B web服务器许可C NTFS许可D 异常行为过滤参考答案：D61、 Apache Web服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A httpd.confB srm.confC access.confD inetd.conf参考答案：A62、 下列哪个是病毒的特性？A 不感染、依附性B 不感染、独立性C 可感染、依附性D 可感染、独立性参考答案：C63、 下面关于恶意软件描述错误的是：A 蠕虫是值一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去B 逻辑炸弹属于不传染的依附性恶意代码C 病毒和木马的主要区别在于木马不进行自我复制和传播D 为防止恶意软件传播，在局域网入口处安装防火墙是最有效的措施参考答案：D64、 下列哪一项不是信息安全漏洞的载体？A 网络协议B 操作系统C 应用系统D 业务数据参考答案：D65、 下列哪些措施不是有效的缓冲区溢出的防护措施？A 使用标准的C语言字符串库进行操作B 严格验证输入字符串长度C 过滤不合规则的字符D 使用第三方安全的字符串库操作参考答案：A66、 在某个攻击中，由于系统用户或系统管理员主动泄漏，使得攻击者可以访问系统资源的行为被称作：A 社会工程B 非法窃取C 电子欺骗D 电子窃听参考答案：A67、 通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：A Land攻击B Smurf攻击C Ping of Death攻击D ICMP Flood参考答案：D68、 以下哪个攻击步骤是IP欺骗(IP Spoof)系列攻击中最关键和难度最高？A 对被冒充的主机进行拒绝服务攻击，使其无法对目标主机进行响应B 与目标主机进行会话，猜测目标主机的序号规则C 冒充受信主机想目标主机发送数据包，欺骗目标主机D 向目标主机发送指令，进行会话操作参考答案：B69、 下面哪一项内容更准确地描述了网络层可能存在的安全攻击？A IP源地址欺骗、IP数据包伪造、嗅探等B IP数据包伪造、嗅探、TCP会话劫持等C syn flood、IP数据包伪造、分片攻击等D IP数据包伪造、udp flood、Smurf等参考答案：A70、 以下哪个不是SDL的思想之一？A SDL是持续改进的过程，通过持续改进和优化以适用各种安全变化，追求最优效果B SDL要将安全思想和意识嵌入到软件团队和企业文化中C SDL要实现安全的可度量性D SDL是对传统软件开发过程的重要补充，用于完善传统软件开发中的不足参考答案：D，P565，理解：SDL是微软提出的从安全角度指导软件开发过程的管理模式。71、 以下针对SDL的需求分析的描述最准确的是：A 通过安全需求分析，确定软件安全需要的安全标准和相关要求B 通过安全需求分析，确定软件安全需要的安全技术和工作流程C 通过安全需求分析，确定软件安全需要的安全标准和安全管理D 通过安全需求分析，确定软件安全需要的安全技术和安全管理参考答案：A 72、 信息安全管理者需要完成方方面面的繁杂工作，这些日常工作根本的目标是：A 避免系统软硬件的损伤B 监视系统用户和维护人员的行为C 保护组织的信息资产D 给入侵行为制造障碍，并在发生入侵后及时发现、准确记录参考答案：C73、 下面对PDCA模型的解释不正确的是：A 通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B 是一种可以应用于信息安全管理活动持续改进的有效实践方法C 也被称为“戴明环”D 适用于对组织整体活动的优化，不适合单人的过程以及个人参考答案：D74、 以下对PDCA循环特点描述不正确的是：A 按顺序进行，周而复始，不断循环B 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题C 每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环D 可以由任何一个阶段开始，周而复始，不断循环参考答案：D75、 在PDCA模型中，ACT（处置）环节的信息安全管理活动是：A 建立环境B 实施风险处理计划C 持续的监视与评审风险D 持续改进信息安全管理过程参考答案：D76、 下述选项中对于“风险管理”的描述正确的是：A 安全必须是完美无缺、面面俱到的。B 最完备的信息安全策略就是最优的风险管理对策。C 在应对信息安全风险时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。D 防范不足就会造成损失；防范过多就可以避免损失。参考答案：C77、 在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：A 分析系统的体系结构B 分析系统的安全环境C 制定风险管理计划D 调查系统的技术特性参考答案：C78、 风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？A 风险分析准备的内容是识别风险的影响和可能性B 风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C 风险分析的内容是识别风险的影响和可能性D 风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施参考答案：C，P227，理解：b实际上是风险分析的工作，d实际上是风险识别，识别与进一步分析风险的影响以及程度是风险分析的工作。79、 应对信息安全风险的主要目标是什么？A 消除可能会影响公司的每一种威胁B 管理风险，以使由风险产生的问题降至最低限度C 尽量多实施安全措施以消除资产暴露在其下的每一种风险D 尽量忽略风险，不使成本过高参考答案：B80、 风险是需要保护的（ ）发生损失的可能性，它是（ ）和（ ）综合结果。A 资产，攻击目标，威胁事件B 设备，威胁，漏洞C 资产，威胁，漏洞D 以上都不对参考答案：C81、 下列对风险分析方法的描述正确的是：A 定量分析比定性分析方法使用的工具更多B 定性分析比定量分析方法使用的工具更多C 同一组织只用使用一种方法进行评估D 符合组织要求的风险评估方法就是最优方法参考答案：D82、 下列哪种处置方法属于转移风险？A 部署综合安全审计系统B 对网络行为进行实时监控C 制订完善的制度体系D 聘用第三方专业公司提供维护外包服务参考答案：D83、 在对安全控制进行分析时，下面哪个描述是不准确的？A 对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的B 应确保选择对业务效率影响最小的安全措施C 选择好实施安全控制的时机和位置，提高安全控制的有效性D 仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应参考答案：B84、 某公司正在进行安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A 部门经理B 高级管理层C 信息资产所有者D 最终用户参考答案：C85、 以下哪一项不是信息安全策略文档中必须包含的内容：A 说明信息安全对组织的重要程度B 介绍需要符合的法律法规要求C 信息安全技术产品的选型范围D 信息安全管理责任的定义参考答案：C86、 以下哪一项措施不是用来支持“最小权限”原则的？A 严格限制系统管理员的数量B 管理员应使用普通用户身份进行常规操作，如阅读邮件C 将系统用户的角色分为管理员、审计员和普通用户。D 只允许系统软件和应用系统需要使用的数据通过防火墙参考答案：D，参见P368，访问控制策略87、 当员工或外单位的工作人员离开组织或岗位变化时，必须进行以下的管理程序除了：A 明确此人不再具有以前的职责B 确保归还应当归还的资产C 确保属于以前职责的访问权限被撤销D 安全管理员陪同此人离开工作场所参考答案： D 88、 在一个有充分控制的信息处理计算中心中，下面哪项任务可以由同一个人执行？A 安全管理和变更管理B 计算机操作和系统开发C 系统开发和变更管理D 系统开发和系统维护参考答案：B89、 根据灾难恢复演练的深度不同，可以将演练分为三个级别，这三个级别按演练深度由低到高的排序正确的是：A 系统级演练、业务级演练、应用级演练B 系统级演练、应用级演练、业务级演练C 业务级演练、应用级演练、系统级演练D 业务级演练、系统级演练