2025年CISP注册信息安全专业人员考前冲刺必会500题-含答案

PAGEPAGE1一、单选题1.管理体系审计员进行通信访问控制审查，首先应该关注：A、维护使用各种系统资源的访问日志B、在用户访问系统资源之前的授权和认证C、通过加密或其他方式对存储在服务器上数据的充分保护D、确定是否可以利用终端系统资源的责任制和能力.答案：D2.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施A、资产清单B、资产责任人C、资产的可接受使用D、分类指南、信息的标记和处理答案：D3.以下关于代替密码的说法正确的是:A、明文根据密钥被不同的密文字母代替B、明文字母不变,仅仅是位置根据密钥发生改变C、明文和密钥的每个bit异或D、明文根据密钥作移位答案：A4.评估BCP时，以下哪一项应当最被关注：A、灾难等级基于受损功能的范围，而不是持续时间B、低级别灾难和软件事件之间的区别不清晰C、总体BCP被文档化，但详细恢复步骤没有规定D、宣布灾难的职责没有被识别答案：D5.传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。（）A、网络带宽B、数据包C、防火墙D、LINUX答案：A6.以下关于ISMS内部审核报告的描述不正确的是？A、内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B、内审报告中必须包含对不符合性项的改进建议C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。D、内审报告中必须包括对纠正预防措施实施情况的跟踪答案：D7.以下关于风险评估的描述不正确的是？A、作为风险评估的要素之一，威胁发生的可能需要被评估B、作为风险评估的要素之一，威胁发生后产生的影响需要被评估C、风险评估是风险管理的第一步D、风险评估是风险管理的最终结果答案：D8.有关质量管理，错误的是：A、质量管理是与指挥和控制组织质量相关的一系相互协调的活动，是为了实现质量目标，而进行的所有管理性质的活动B、规范质量管理体系相关活动的标准是ISO9000系列标准C、质量管理体系将资源与结果结合，以结果管理方法进行系统的管理D、质量管理体系从机构、程序、过程和总结四个方面进行规范来提升质量答案：C9.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包括对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）A、资产清单B、资产负责人C、资产的可接受使用D、分类指南、信息的标记和处理答案：D10.关于ARP欺骗原理和防范措施，下面理解错误的是（）A、ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文，使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中，从而起到冒充主机的目的B、单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由实施攻击C、解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存，如果发生硬件地址的更改，则需要人工更新缓存D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存，直接采用IP地址和其他主机进行连接答案：D11.应用安全，一般是指保障应用程序使用过程中和结果的安全。以下内容中不属于应用安全防护考虑的是？A、身份鉴别，应用系统应对登录的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随便更改权限，增加访问控制的力度，限制非法访问C、剩余信息保护，应用系统应加强硬盘、内存或缓存区中剩余信息的保护，防止存储在硬盘、内存或缓存区中的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件。包括机房环境，机房安全等级、机房的建造和机房的装修等答案：D12.68.关于信息安全保障技术框架（InformationAssuranceTehnicalFramework,IATF），下面描述错误的是（）A、IATF最初由美国国家安全局（NSA）发布，后来由国际标准化组织（ISO）转化为国际标准，供各个国家信息系统建设参考使用B、B.IATF是一个通用框架，可以用到多种应用场景中，通过对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题C、C.IATF提出了深度防御的战略思想，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁D、强调人、技术和操作是深度防御的三个主要层面，也就是说讨论人在技术支持下运行维护的信息安全保障问题答案：A13.在一份业务持续计划，下列发现中哪一项是最重要的？A、不可用的交互PBX系统B、骨干网备份的缺失C、用户PC机缺乏备份机制D、门禁系统的失效答案：B14.“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）A、评估对象（TOE）B、保护轮廊（PP）C、安全目标（ST）D、评估保证级（EAL）答案：C15.2006年5月8日电，中共中央办公厅、国务院办公厅印发了《2006-2020年国家信息化发展战略》。全文分（）部分共计约15000余字。对国内外的信息化发展做了宏观分析，对我国信息化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制定并实施了（）,初步建立了信息安全管理体制和（）。基础信息网络和重要信息系统的安全防护水平明显提高，互联网信息安全管理进一步加强。A、5个；信息化；基本形势；国家安全战略；工作机制B、6个；信息化；基本形势；国家信息安全战略；工作机制C、7个；信息化；基本形势；国家安全战略；工作机制D、8个；信息化；基本形势；国家信息安全战略；工作机制答案：B16.关于ARP欺骗原理和防范措施,下面理解错误的是（）.A、ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中,从而起到冒充主机的目的B、解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存,如果发生硬件地址的更改,则需要人工更新缓存C、单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存,直接采用IP地址和其他主机进行连接答案：D解析：如果不使用ARP协议可能会造成网络无法正常运行,因此不能避免使用该协议.17.下列对于访向控制模型分类说法正确的是:A、BLP模型和biba模型都是强制访问控制模型B、biba模型和ChineseWall模型都是完整性模型C、访问控制矩阵不属于自主访问控制模型D、基于角色的访问控制属于强制访问控制答案：A18.下图是安全测试人员连接某远程主机时的操作界面，请仔细分析该图，下面选项中推断正确的是（）C:\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主机的连接。C:DocumentsandSettings\lyxjaowei>.A、安全测试人员连接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务开启了FTP服务，使用的服务器软件名为FTPServerD、远程服务器的操作系统是Windows答案：D19.以下SQL语句建立的数据库对象是:A、表B、视图C、存储过程D、触发器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123答案：B20.不属于数据库加密方式的是（）？A、硬件/软件加密B、库内加密C、专用中间件加密D、库外加密答案：C21.以下哪项不是网络入侵检测系统的优点:A、不影响现有网络架构和数据源；B、与操作系统无关；C、实时监视和检测网络攻击或者滥用D、可以分析加密数据答案：D22.在进行人员的职责定义时，在信息安全方面应考虑什么因素？A、人员的背景、资质的可靠性B、人员需要履行的信息安全职责C、人员的工作能力D、人员沟通、协调能力答案：B23.下面哪项属于软件开发安全方面的问题？A、软件部署时对所选用的服务器性能不高，导致软件执行效率低B、应用软件未考虑多线程技术，在对多用户服务时按序排对提供服务C、应用软件存在SQL注入漏洞,若被黑客利用能窃取数据库所有数据D、软件受许可证（LICENSE）限制，不能在多台电脑上安装答案：C24.下面对于CC的“评估保证级”（EAL）的说法最准确的是：A、代表着不同的访问控制强度B、描述了对抗安全威胁的能力级别C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D、由一系列保证组件构成的包，可以代表预先定义的保证尺度答案：D25.Redis数据库的默认端口是哪个A、3306B、1433C、1521D、6379答案：D26.业务系统运行中异常错误处理合理的方法是A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息答案：D27.构成风险的关键因素有哪些？A、人，财，物B、技术，管理和操作C、资产，威胁和弱点D、资产，可能性和严重性答案：C28.信息系统审核员应该预期谁来授权对生产数据和生产系统的访问？A、流程所有者B、系统管理员C、安全管理员D、数据所有者答案：D29.下列哪项是用于降低风险的机制A、安全和控制实践B、财产和责任保险C、审计与认证D、合同和服务水平协议答案：A30.密码处理依靠使用密钥，密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥？A、、散列算法B、、随机数生成算法C、、对称密钥算法D、、非对称密钥算法答案：C31.下列关于kerckhof准则的说法正确的是:A、保持算法的秘密性比保持密钥的秘密性要困难的多B、密钥一旦泄漏,也可以方便的更换C、在一个密码系统中,密码算法是可以公开的,密钥应保证安全D、公开的算法能够经过更严格的安全性分析答案：C32.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:A、SSHB、HTTPC、FTPD、SMTP答案：A33.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是（）A、信息安全风险评估分自评估、检查评估两形式,应以检查评估为主,自评估和检查评估相互结合、互为补充B、信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效‘的原则开展C、信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程D、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导答案：A解析：自评为主,检查为辅34.以下对跨站脚本攻击（XSS）的解释最准确的一项是：A、引诱用户点击虚假网络链接的一种攻击方法B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C、一种很强大的木马攻击手段D、将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的答案：D35.下面哪一项不是虚拟专用网络（VPN）协议标准：A、第二层隧道协议（L2TP）B、Internet安全性（IPSEC、C、终端访问控制器访问控制系统（TACACS+）D、点对点隧道协议（PPTP）答案：C36.下面哪项属于软件开发安全方面的问题A、软件部署时对所选用的服务器性能不高，导致软件执行效率低B、应用软件未考虑多线程技术，在对多用户服务时按序排对提供服务C、应用软件存在SQL注入漏洞,若被黑客利用能窃取数据库所有数据D、软件受许可证（LICENSE）限制，不能在多台电脑上安装答案：C37.在现实的异构网络环境中，越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos协议不仅能在域内进行认证，也支持跨域认证，下图显示的是Kerberos协议实现跨域认证的7个步骤，其中有几个步骤出现错误，图中错误的描述正确的是A、步骤1和步骤2发生错误，应该向本地AS请求并获得远程TGTB、步骤3和步骤4发生错误，应该向本地TGS请求并获得远程TGTC、步骤5和步骤6发生错误，应该向远程AS请求并获得远程TGTD、步骤5和步骤6发生错误，应该向远程TGS请求并获得远程TGT答案：B38.属于操作系统自身的安全漏洞的是：（）。A、操作系统自身存在的“后门”B、QQ木马病毒C、管理员账户设置弱口令D、电脑中防火墙未作任何访问限制答案：A39.ISMS审核时，首次会议的目的不包括以下哪个？A、明确审核目的、审核准则和审核范围B、明确审核员的分工C、明确接受审核方责任，为配合审核提供必要资源和授权D、明确审核进度和审核方法，且在整个审核过程中不可调整答案：D40.下面关于定性风险评估方法的说法正确的选项是A、通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法B、采用文字形式或表达性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性C、在后果和可能性分析中采用数值，并采用从各种各样的来源中得到的数据D、定性风险分析提供了较好的成本效益分析答案：B41.ISO27002中描述的11个信息安全管理控制领域不包括：A、信息安全组织B、资产管理C、内容安全D、人力资源安全答案：C42.以下角色谁应该承担决定信息系统资源所需的保护级别的主要责任？A、信息系统安全专家B、业务主管C、安全主管D、系统审查员答案：B43.信息收集是（）攻击实施的基础，因此攻击者在实施前会对目标进行（），了解目标所有相关的（）。这些资料和信息对很多组织机构来说都是公开或看无用的，然而对攻击者来说，这些信息都是非常有价值的，这些信息收集得越多，离他们成功得实现（）就越近。如果为信息没有价值或价值的非常低，组织机构通常不会采取措施（），这正是社会工程学攻击者所希望的。A、信息收集；社会工程学；资料和信息；身份伪装；进行保护B、社会工程学；信息收集；资料和信息；身份伪装；进行保护C、社会工程学；信息收集；身份伪装；资料和信息；进行保护D、信息收集；资料和信息；社会工程学；身份伪装；进行保护答案：B44.组织的安全策略可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全策略？A、应急计划B、远程方法C、电脑安全程序D、电子邮件个人隐私答案：C45./etc/passwd文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（GID）、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的passwd文件后，发现每个用户的加密的口令数据项都显示为’x’。下列选项中，对此现象的解释正确的是？A、黑客窃取的passwd文件是假的B、用户的登录口令经过不可逆的加密算法加密结果为‘X‘C、加密口令被转移到了另一个文件里D、这些账户都被禁用了答案：C46.某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址，但是该网络内有15台个人计算机，这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题，公司决定将这10个互联网地址集中起来使用，当任意一台个人计算机开机并连接网络时，管理中心从这10个地址中任意取出一个个尚未分配的IP地址分配给这个人的计算机。他关机时，管理中心将该地为收回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可供分配的IP地址，那么，每台个人计算机可以获取一个IP地址，并实现与互联网的连接。该公司使用的IP地址规划方式是A、动态分配地址B、静态NAT分配地址C、静态分配地址D、端口NAT分配地址答案：A47.王工是某某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2；其中资产A1面临两个主要威胁，威胁T1和威胁T2；而资产A2面临一个主要威胁，威胁T3；威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2；威胁T2可以利用的资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性；脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值？A、2B、3C、5D、6答案：C48.BCM设计为了保证单位的业务不中断，以下说法正确的是？A、BCM的设计是为了保证重要业务或突发事件中断后能够恢复B、BCM的设计是为了保证一般业务或突发事件中。。。C、BCM的设计是为保证所有业务中断或突发事件。。。D、BCM就是应急预案的集合。。。。答案：A49.某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是A、软件安全开发生命周期较长、阶段较多，而其中最重要的是要在软件的编码阶段做好安全措施，就可以解决90%以上的安全问题B、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多C、和传统的软件开发阶段相比，微软提出的安全开发生命周期（SecurityDevelopmentLifecycle，SDL）的最大特点是增加了一个专门的安全编码阶段D、软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要在组织第三方进行安全性测试答案：B50.信息安全管理体系（简称ISMS）的内部审核是两项重要的管理活动，关于这两者，下面描述错误的是？A、内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也是应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式采用公开管理评审会议的形式进行C、内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策制定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核准则使用，但在管理评审中，这些文件是被审对象答案：C51.恢复时间目标（RecoveryTimeObjective,KTO）和恢复点目标（RecoveryPointObjective,RPO）是业务连续性和灾难恢复工作中的两个重要指标，随着信息系统越来越重要和信息技术越来越先进，这两个指标的数值越来越小，小华准备为其工作的信息系统拟定RTO和RPO指标，则以下描述中，正确的是（）A、RTO可以为0，RPO也可以为0B、RTO可以为0，RTO不可以为0C、RTO不可以为0，RPO可以为0D、RTO不可以为0，RPO也不可以为0答案：A52.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式：A、攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100％B、攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢C、攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问D、攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问答案：D53.下列不属于防火墙核心技术的是____。（）A、（静态／动态）包过滤技术B、NAT技术C、应用代理技术D、日志审计答案：D54.规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础。某单位在实施风险评估时，按照规范形成了若干文档，其中，下面（）中的文档应属于风险评估中“风险要素识别”阶段输出的文档。A、《风险评估准则要求》，主要包括现有风险评估参考标准、采用的风险分析方法、资产分类标准等内容B、《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容C、《风险评估方案》，主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容D、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容答案：D55.root是UNIX系统中最为特殊的一个账户，它具有最大的系统权限：下面说法错误的是：A、应严格限制使用root特权的人数。B、不要作为root或以自己的登录户头运行其他用户的程序，首先用su命令进入用户的户头。C、决不要把当前工作目录排在PATH路径表的前边，那样容易招引特洛伊木马。当系统管理员用su命令进入root时，他的PATH将会改变，就让PATH保持这样，以避免特洛伊木马的侵入。D、不同的机器采用相同的root口令。答案：D56.在网络交易发达的今天,贸易双方可以通过签署电子合同来保障自己的合法权益。某中心推出电子签名服务,按照如图方式提供电子签名,不属于电子签名的基本特性的是（）。1415A、不可伪造性B、不可否认性C、保证消息完整性D、机密性答案：D57.ISO9001-2000标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写（）A、策略B、管理者C、组织D、活动答案：D58.你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？A、pingB、nslookupC、tracertD、ipconfig答案：C59.以下有关信息安全方面的业务连续性管理的描述，不正确的是A、信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时，能够及时恢复，保障企业业务持续运营B、企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务C、业务连续性计划文档要随着业务的外部环境的变化，及时修订连续性计划文档D、信息安全方面的业务连续性管理只与IT部门相关，与其他业务部门人员无须参入答案：D60.Windows服务说法错误的是（）A、为了提升系统的安全性管理员应尽量关闭不需要的服务B、可以作为独立的进程运行或以DLL的形式依附在SvchostC、Windows服务只有在用户成功登录系统后才能运行D、Windows服务通常是以管理员的身份运行的答案：C61.下面哪个命令可以打印Linux下的所有进程信息A、ls-dB、ls-lC、suD、ps-ef答案：D62.异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是？A、在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象B、实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生C、异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警D、异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为答案：B63.作为业务持续性计划的一部分，在进行业务影响分析（BIT）时的步骤是：标识关键的业务过程;2.开发恢复优先级;3.标识关键的IT资源;4.表示中断影响和允许的中断时间A、１-3-4-2B、１-3-2-4C、1－2－3－4D、１－4－3－2答案：A64.风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项（）A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B65.2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（ComprchensiveNationalCybersecuityInitative,CNCI）。CNCI计划建立三道防线:第一道防线，减少漏洞和隐患，预防入侵:第二道防线，全面应对各类威胁;第三道防线，强化未来安全环境。从以上内容，我们可以看出以下哪种分析是正确的:A、CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险B、从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的C、CNCI的目的是尽快研发并部署新技术和彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补D、CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障答案：A66.根据《计算机信息系统国际联网保密管理规定》的规定，上网信息的保密管理坚持____的原则CA、国家公安部门负责B、国家保密部门负责C、“谁上网谁负责”D、用户自觉答案：C67.在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?A、外部代理商的处理应该接受一个来自独立代理进行的IS审计。B、外部代理商的员工必须接受该组织的安全程序的培训。C、来自外部代理商的任何访问必须限制在停火区（DMZ）D、该组织应该进行风险评估,并制定和实施适当的控制。答案：D68./etc/passw文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（GID）、用户信息、用户登录目录以及登录后使用的shell程序。某黒客设法窃取了银行账户管理系统的passwd文件后，发现每个用户的加密口令数据项都显示为‘x’。下列选项中，对此现象的解释正确的是（）A、黒客窃取的passwd文件是假的B、加密口令被转移到了另一个文件里C、这些账户都被禁用了D、用户的登录口令经过不可逆的加密算法加密结果为‘x’答案：B69.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题答案：D70.在你对终端计算机进行Ping操作，不同操作系统回应的数据包含中初始TTL值是不同的，TTL是IP协议包中的一个信，它告诉网络，数据包在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过TTL值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断（）A、内存容量B、操作系统的类型C、对方物理位置D、对方的MAC地址答案：B71.根据《互联网电子公告服务管理规定》规定，（）发现电子公告服务系统中出现明显属于该办法第九条所列的禁止信息内容之一的，应当立即删除，保存有关记录，并向国家有关机关报告。A、电子公告用户B、电子公告浏览者C、互联单位D、电子公告服务提供者答案：D72.下面对“零日（Zero-day）漏洞”的理解中，正确的是？A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指一个特定的漏洞，特指在2010年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施C、指一类漏洞，即特别好被利用，一旦成功利用该漏洞，可以在1天内完成攻击，且成功达到攻击目的D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未被公开、还不存在安全补丁的漏洞都是零日漏洞答案：D73.下面哪一层可以实现编码，加密A、传输层B、会话层C、网络层D、物理层答案：B74.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题C、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题D、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题答案：C75.在某信息系统的设计中，用户登录过程是这样的：（1）用户通过HTTP协议访向信息系统；（2）用户在登录页面输入用户名和口令；（3）信息系统在服务器端检查用户名和密码的正确性，如果正确则鉴别完成。可以看出？A、单向鉴别B、双向鉴别C、三向鉴别D、第三方鉴别答案：A76.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取（）A、在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力B、选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能C、如果蓝牙设备丢失,最好不要做任何操作D、在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案：C77.风险评估的过程包括（）、（）、（）和（）四个阶段。在信息安全风险管理过程中，风险评估活动接受背景建立阶段的输出，形成本阶段的最终输出《风险评估报告》，此文档为风险处理活动提供输入。（）和（）贯穿风险评估的四个阶段。A、风险评估准备；风险要素识别；风险分析；监控审查；风险结果判定；沟通咨询B、风险评估准备；风险要素识别；监控审查风险分析；风险结果判定；沟通咨询C、风险评估准备；监控审查；风险要素识别；风险分析；风险结果判定；沟通咨询D、风险评估准备；风险要素识别；风险分析；风险结果判定:监控审查沟通咨询答案：D78.《网络安全法》共计（），（），主要内容包括：网络空间主权原则，网络运行安全制度、（）、网络信息保障制度、（）、等级保护制度、（）等。A、9章；49条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度B、8章；79条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度C、8章；49条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度D、7章；79条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度答案：D79.对于信息安全风险的描述不正确的是A、企业信息安全风险管理就是要做到零风险B、在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C、风险管理就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。D、风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。答案：A80.IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素？A、操作系统的安全加固B、输入数据的校验C、数据处理过程控制D、输出数据的验证答案：A81.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的（）。A、背景建立的依据是国家.地区或行业的相关政策.法律.法规和标准，以及机构的使命.信息系统的业务目标和特性B、背景建立阶段应识别需要保护的资产.面临的威胁以及存在的脆弱性并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C、背景建立阶段应调查信息系统的业务目标.业务特性.管理特性和技术特性，形成信息系统的描述报告D、背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告答案：B82.网络安全的最后一道防线是__________A、数据加密B、访问控制C、接入控制D、身份识别答案：A83.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则：A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则答案：C84.关于信息安全事件管理和应急响应，以下说法错误的是：A、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。B、对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素。C、根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）。D、应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段。答案：D85.防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是（）。A、既能物理隔离，又能逻辑隔离B、能物理隔离，但不能逻辑隔离C、不能物理隔离，但是能逻辑隔离D、不能物理隔离，也不能逻辑隔离答案：C86.部署互联网协议安全虚拟专用网（InternetprotocolSecurityvirtualPrivateNetworkIPsecVPN）时。以下说法正确的是A、配置MD5安全算法可以提供可靠地数据加密B、配置AES算法可以提供可靠的数据完整性验证C、部署IPsecVIPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPsec安全关联（SecurityAuthentication，SA）资源的消耗D、报文验证头协议（AuthenticationHeader，AH）可以提供数据机密性答案：C87.相对于现有杀毒软件在终端系统中提供保护不同，__在内外网络边界处提供更加主动和积极的病毒保护。（）A、防火墙B、病毒网关C、IPSD、IDS答案：B88.下列关于计算机病毒感染能力的说法不正确的是A、能将自身代码注入到引导区B、能讲自身代码注入到扇区中的文件镜像C、能将自身代码注入文本中并执行D、能将自身文件注入到文档配置版的宏文件中答案：C89.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求。随后，李强发现有向系统登录异常。请问以下说法哪个是正确的（）A、小张服务态度不好，如果把李强的邮件收下来亲自教给李强就不会发生这个问题B、事件属于服务器故障，是偶然事件，影响单位领导申请购买新的服务器C、单位缺乏良好的密码修改操作流程或者小张没按操作流程工作D、事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件答案：C90.模糊测试，也称Fuzz测试，是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下列描述正确的A、模糊测试有时属于黒盒测试，有时属于白盒测试，取决于其使用的测试方法B、模糊测试本质上属于白盒测试C、模糊测试本质上属于黑盒测试D、模糊测试既不属于黒盒测试，也不属于白盒测试答案：C91.下列哪一项是注册机构（RA）的职责？A、证书发放B、证书注销C、提供目录服务让用户查询D、审核申请人信息答案：D92.有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（GenericPractices，GP）错误理解是：A、GP是涉及过程的管理、测量和制度化方面的活动B、GP适用于域维中部分过程区域（ProcessAractices，PA）活动而非所有PA的活动C、在工程实施时，GP应该作为基本实施（BasePractices，BP）的一部分加以执行D、在评估时，GP用于判定工程组织执行某个PA的能力答案：B解析：GP适用于域维中所有PA活动。93.LINUX系统的/etc目录从功能上看相当于windows的哪个目录A、programfilesB、windowsC、systemvolumeinformationD、TEMP答案：B94.评估IT风险被很好的到达，可以通过：A、评估IT资产和IT项目总共的威胁B、用公司的以前的真的损失经验来决定现在的弱点和威胁C、审查可比较的组织出版的损失数据D、一句审计拔高审查IT控制弱点答案：A95.以下哪个是恶意代码采用的隐藏技术：A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是答案：D96.信息安全管理体系（InformationSecurityManagementSystem,ISMS）的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是A、内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件时被审对象答案：C97./etc/passwd文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（GID）、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的passwd文件后，发现每个用户的加密的口令数据项都显示为“X”。下列选项中，对此现象的解释正确的是？A、黑客窃取的passwd文件是假的B、用户的登录口令经过不可逆的加密算法加密结果为“x”C、加密口令被转移到了另一个文件里D、这些账户都被禁用了答案：C98.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于安全保障建设主要工作内容说法不正确的是:A、建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障B、建设信息安全基础设施,提供国家信息安全保障能力支撑C、建立信息安全技术体系,实现国家信息化发展的自主创新D、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养答案：C99.即使最好用的安全产品也存在（）。结果，在任何的系统中敌手最终都能够找出一个被开发出的漏洞，一种有效的对策是在敌手和安的目标之间配备多种（），每一种机制都应包括（）两种手段A、安全机制：安全缺陷：保护和检测B、安全缺陷：安全机制：保护和检测C、安全缺陷：保护和检测：安全机制D、安全缺陷：安全机制：外边和内部答案：B100.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行：A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN划分答案：B101.不受限制的访问生产系统程序的权限将授予以下哪些人?A、审计师B、不可授予任何人C、系统的属主。D、只有维护程序员答案：B102.36.某网站管理员小邓在流量监测中发现近期网站的人站ICMP流量上升了250%尽管网站没有发现任何的性能下降或其他问题，但是为了安全起见，他仍然向主管领导提出了相应措施，作为主管负责人，请选择有效的针对此问题的应对措施？A、在防火墙上设置策略，阻止说有的ICMP流量进入（关掉ping）B、删除服务器上的ping.exe程序C、增加宽带以应对可能的拒绝服务攻击D、增加网站服务器以应对即将来临的拒绝服务攻击答案：A103.在信息安全管理体系的实施过程中，管理者的作用对于信息安全管理体系能否成功实施非常重要，但是以下选项中不属于管理者应有职责的是？A、制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求B、确保组织的信息安全管理体系目标河相拥的计划得以制定，目标应明确、可度量，计划应具体、可实施C、向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性D、建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评估过程，确保信息安全风险评估技术选择合理、计算正确答案：D104.IS090012000标准跪在制定.实施质量管理体系以及改进其有效性时采用过程方法，通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图，图中括号空白处应填写（）A、策略B、管理者C、组织D、活动答案：D105.windows文件系统权限管理使用访问控制列表（AccessControlList.ACL）机制,以下哪个说法是错误的:A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持B、由于Windows操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C、Windows的ACL机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中的D、由于ACL具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限答案：C106.某企业内网中感染了一种依靠移动存储进行传播的特洛伊木马病毒,由于企业部署的杀毒软件,为了解决该病毒在企业内部传播,作为信息化负责人,你应采取以下哪项策略（）A、更换企业内部杀毒软件,选择一个可以查杀到该病毒的软件进行重新部署B、向企业内部的计算机下发策略,关闭系统默认开启的自动播放功能C、禁止在企业内部使用如U盘、移动硬盘这类的移动存储介质D、在互联网出口部署防病毒网关,防止来自互联网的病毒进入企业内部答案：B解析：“关闭系统默认开启的自动播放功能”可以防止移动存储介质插入电脑后自动打开,导致病毒被执行。107.根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程A、未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进B、未实施、基本实施、计划跟踪，充分定义、量化控制和持续改进C、基本实施、计划跟踪、充分定义、量化控制和持续改进等5个D、基本实施、计划跟踪、量化控制、充分定义和持续改进等5个答案：B108.应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性，事先制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制，将损失和负面影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段，为准备－>检测－〉遏制－〉根除－〉恢复－〉跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是（）。A、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤，顺次恢复相关的系统B、在检测阶段，首先要进行监测、报告及信息收集C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有：完全关闭所有系统、拔掉网线等D、确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤答案：C解析：关闭相关系统而不是关闭所有系统。P153页。109.关于微软的SDL原则，弃用不正确的函数属于哪个阶段A、规划B、设计C、实施D、测试答案：C110.关于信息安全策略文件的评审以下说法不正确的是哪个？A、信息安全策略应由专人负责制定、评审。B、信息安全策略评审每年应进行两次，上半年、下半年各进行一次。C、在信息安全策略文件的评审过程中应考虑组织业务的重大变化。D、在信息安全策略文件的评审过程中应考虑相关法律法规及技术环境的重大变化。答案：B111.关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是（）A、WPA是有线局域安全协议,而WPA2是无线局域网协议B、WPA是适用于中国的无线局域安全协议,WPA2是使用于全世界的无线局域网协议C、WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证D、WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制定的答案：D112.小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系中部分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是（）。A、降低风险B、规避风险C、转移风险D、放弃风险答案：B113.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:A、设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住B、如果正常用户部小心输错了3次密码,那么该账户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统C、如果正常用户不小心连续输入错误密码3次,那么该拥护帐号被锁定5分钟,5分钟内即使交了正确的密码,也无法登录系统D、攻击者在进行口令破解时,只要连续输错3次密码,该账户就被锁定10分钟,而正常拥护登陆不受影响答案：B114.关于信息安全管理体系的作用，下面理解错误的是？A、对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查B、对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入C、对外而言，有助于使各利益相关方对组织充满信心D、对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任答案：B115.对信息安全的理解，正确的选项是A、信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的B、通过信息安全保障措施，确保信息不被丧失C、通过信息安全保证措施，确保固定资产及相关财务信息的完整性D、通过技术保障措施，确保信息系统及财务数据的完整性、机密性及可用性答案：A116.以下哪些是可能存在的威胁因素？A、设备老化故障B、病毒和蠕虫C、系统设计缺陷D、保安工作不得力答案：B117.小强接到电话，对方称他的快递没有及时领取，请联系XXXX电话，小强拨打该电话后提供自己的私人信息后，对方告知小强并没有快递。过了一个月之后，小强的多个账号都无法登录。在这个事件当中，请问小强最有可能遇到了什么情况？（）A、快递信息错误而已，小强网站账号丢失与快递这件事情无关B、小强遭到了社会工程学诈骗，得到小强的信息从而反推出各种网站的账号密码C、小强遭到了电话诈骗，想欺骗小强财产D、小强的多个网站账号使用了弱口令，所以被盗。答案：B118.关于《商用密码管理条例》，正确的是：A、商用密码技术属于国家秘密；B、商用密码可以对涉及国家秘密内容的信息进行加密保护C、国家对商用密码产品的科研、生产、销售和使用实行认证管理；D、国内用户可以使用自行研制的或者境外生产的密码产品答案：A119.误用入侵检测技术的核心问题是_______的建立以及后期的维护和更新。A、异常模型B、规则集处理引擎C、网络攻击特征库D、审计日志答案：C120.安全评估技术采用____这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。（）A、安全扫描器B、安全扫描仪C、自动扫描器D、自动扫描仪答案：A121.下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的？A、设计了用户权限分级机制和最小特权原则，导致软件在发布运行后，系统管理员不能查看系统审计信息B、设计了采用不加盐（SALT）的SHA-1算法对用户口令进行加密存储，导致软件在发布运行后，不同的用户如使用了相同的口令会得到相同的加密结果，从而可以假冒其他用户登录C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、设计了采用自行设计的加密算法对网络传输数据进行保护，导致软件在发布运行后，被攻击对手截获网络数据并破解后得到明文答案：A122.实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常见的方法有利用口令鉴别.令牌鉴别.指纹鉴别等。如图，小王在登陆某移动支付平台时，首先需要通过指纹对用户身份进行鉴别。通过鉴别后，他才能作为合法用户使用自己的账户进行支付.转账等操作。这种鉴别方法属于下列选项中的（）A、实体所知的鉴别方法B、实体所有的鉴别方法C、实体特征的鉴别方法D、实体所见的鉴别方法答案：C123.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?A、软件在Linux下按照时，设定运行时使用nobody用户运行实例B、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误答案：D解析：SYSTEM权限是最大权限，违反了最小特权的原则。124.信息安全事件的分类方法有多种，依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》，信息安全事件分为7个基本类别,描述正确的A、网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。B、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。C、网络攻击事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。D、网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。答案：B125.有关危害国家秘密安全的行为，包括：A、严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为B、严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为，但不包括定密不当行为C、严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为D、严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为答案：A126.小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：1．风险评估工作形式包括：自评估和检查评估；2．自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3．检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；4．对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼.请问小张的所述论点中错误的是哪项：A、第一个观点B、第二个观点C、第三个观点D、第四个观点答案：D解析：正确的做法为“自评估”和“检查评估”相互结合和互为补充。127.安全模型是用于精确和形式地描述信息系统的安全特征，解释系统安全相关行为。关于它的作用描述不正确的选项是？A、准确的描述安全的重要方面与系统行为的关系。B、开发出一套安全性评估准则，和关键的描述变量。C、提高对成功实现关键安全需求的理解层次。D、强调了风险评估的重要性。答案：D128.有什么方法可以测试办公部门的无线安全？A、nWardialing战争语言B、n社会工程学C、n战争驾驶D、n密码破解答案：D129.如果可能最应该得到第一个应急事件通知的小组是A、应急响应领导小组B、应急响应日常运行小组C、应急响应技术保障小组D、应急响应实施小组答案：B130.假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：A、是多余的，因为它们完成了同样的功能，但要求更多的开销B、是必须的，可以为预防控制的功效提供检测C、是可选的，可以实现深度防御D、在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制功能已经足够答案：C131.以下对RADIUS协议说法正确的是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它使用TCP通信D、它的基本组件包括认证、授权和加密答案：B132.在使用系统安全工程-能力成熟模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误的理解是（）A、如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时，则这个组织在这个过程区域的能力成熟度未达到此级B、如果该组织某个过程区域（（ProcessArea,,PA）具备了定义标准过程”、“执行已定义的过程两个公共特征,则此过程区域的能力成熟度级别达到3级充分定义级C、如果某个过程区域（（ProcessAreaPA））包含4个基本实施（BaseParctices,BP）执行此PA时执行了3个BP,则此过程区域能力成熟度级别为0D、组织在不同的过程区域的能力成熟可能处于不同的级别上答案：B133.规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单41位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下（）A、风险评估准备B、风险要素识别C、风险分析D、风险结果判定答案：B解析：风险评估包括四个阶段：风险评估准备阶段、风险要素识别阶段、风险分析阶段和风险结果判定阶段。其中评估方案、工具、团队、人员、计划、准则都属于准备阶段；资产识别、威胁识别、脆弱性识别、安全措施识别都属于要素识别阶段。134.某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？A、1800元B、62100元C、140000元D、6210元答案：D135.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:A、SSHB、HTTPC、FTPD、SMTP答案：A136.访问控制表与访问能力表相比，具有以下那个特点：A、访问控制表更容易实现访问权限的特点B、访问能力表更容易浏览访问权限C、访问控制表回收访问权限更困难D、访问控制表更适用于集中式系统答案：D137.用于实现身份鉴别的安全机制是（）。A、加密机制和数字签名机制B、加密机制和访问控制机制C、数字签名机制和路由控制机制D、访问控制机制和路由控制机制答案：A138.87.关于微软的SDL原则，禁用不安全的函数属于哪个阶段?（）A、规划B、设计C、实现D、测试答案：C139.基于网络的入侵检测系统的信息源是_______。A、系统的审计日志B、事件分析器C、应用程序的事务日志文件D、网络中的数据包答案：D140.对信息安全的理解，正确的是A、信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的B、通过信息安全保障措施，确保信息不被丢失C、通过信息安全保证措施，确保固定资产及相关财务信息的完整性D、通过技术保障措施，确保信息系统及财务数据的完整性、机密性及可用性答案：A141.下面对ISO27001的说法最准确的是：A、该标准的题目是信息安全管理体系实施指南B、该标准为度量信息安全管理体系的开发和实施提供的一套标准C、该标准提供了一组信息安全管理相关的控制和最佳实践D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型答案：D142.下列关于软件安全开发中的BSI（BuildSecurityIn）系列模型说法错误的是（）A、BIS含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外B、软件安全的三根支柱是风险管理、软件安全争触点和安全测试C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式D、BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分答案：B143.以下关于RBAC模型的说法正确的是A、该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B、一个用户必项扮演并激活某种角色,才能对一个对象进行访问或执行某种摸作C、在该模型中,每个用户只能有一个角色D、在该模型中,权限与用户关联,用户与角色关联答案：B144.信息化建设和信息安全建设的关系应当是：A、信息化建设的结束就是信息安全建设的开始B、信息化建设和信息安全建设应同步规划、同步实施C、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后D、以上说法都正确答案：B145.66.IPV4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依拿IP头部的校验和字段来保证IP包的安全，因此IP包很容易被篡改，并重新计算校验和，IETF于1994年开始制定IPSec协议标准，其设计目标是在IPV4和IPV6环境中为网络层流量提供灵活、透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性，下列选项中说法错误的是（）A、A对于IPv4,IPSec是可选的，对于IPv6,IPSec是强制实施的。B、B.IPSec协议提供对IP及其上层协议的保护。C、C.IPSec是一个单独的协议。D、D.ITSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制答案：C146.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是？A、各国普遍将国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的中重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流和对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应，安全监管和安全测评答案：C147.根据信息安全风险要素之间的关系,下图中空白处应该填写（）A、资产B、安全事件C、脆弱性D、安全措施答案：C解析：风险的原理是威胁利用脆弱性,造成对资产的风险。148.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和Chines-Wall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是（）A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”答案：B149.按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护、按照要求向公安机关备案即可，可以不需要上级或主管部门来测评和检查。此类信息系统应属于A、零级系统B、一级系统C、二级系统D、三级系统答案：B150.在实施风险分析期间，识别出威胁和潜在影响后应该A、识别和评定管理层使用的风险评估方法B、识别信息资产和基本系统C、揭示对管理的威胁和影响D、识别和评价现有控制答案：D151.在Windos7中，通过控制面板（管理工具--本地安全策略--安全设置--账户策略）可以进入操作系统的密码策略设置界面，下面哪项内容不能在该界面进行设置？A、密码必须符合复杂性要求B、密码长度最小值C、强制密码历史D、账号锁定时间答案：D152.以下无线加密标准中哪一种安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P答案：A153.某贸易公司的OA系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统中的数据，由于系统备份是每周六进行一次，事件发生时间为周三，因此导致该公司三个工作日的数据丢失并使得OA系统在随后两天内无法访问，影响到了与公司有业务往来部分公司业务。在事故处理报告中，根据GB/Z20986-2007《信息安全事件分级分类指南》，该事件的准确分类和定级应该是（）A、有害程序事件特别重大事件（Ⅰ级）B、信息破坏事件重大事件（Ⅱ级）C、有害程序事件较大事件（Ⅲ级）D、信息破坏事件一般事件（Ⅳ级）答案：C解析：木马病毒为有害程序事件，系统数据丢失并使得OA系统在随后两天内无法访问属于较大事件（III级）154.随着时代的发展，有很多伟人都为通信事业的发展贡献出自己力量，根据常识可知以下哪项是正确的（）A、19世纪中叶以后，随着电磁技术的发展，诞生了笔记本电脑，通信领域产生了根本性的飞跃，开始了人类通信新时代B、1837年，美国人费曼发明了电报机，可将信息转换成电脉冲传向目的地，再转换为原来的信息，从而实现了长途电报通信C、1875年，贝尔（Bell）发明了电话机。1878年在相距300公里的波土顿和纽约之间进行了首次长途电话实验，获得了成功D、1906年美国物理学家摩斯发明出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路，推动了无线电技术的进一步发展答案：C155.下面对“零日（Zero-day）漏洞”的理解中，正确的是？A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指一个特定的漏洞，特指在2010年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施C、指一类漏洞，即特别好被利用，一旦成功利用该漏洞，可以在1天内完成攻击，且成功达到攻击目的D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未被公开、还不存在安全补丁的漏洞都是零日漏洞答案：D156.金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的操作习惯（）A、使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件、应用软件进行升级B、为计算机安装具有良好声誉的安全防护软件，包括病毒查杀、安全检查和安全加固方面的软件C、在IE的配置中，设置只能下载和安装经过签名的、安全的ActiveX控件D、在使用网络浏览器时，设置不在计算机中保留网络历史记录和表单数据答案：A157.信息安全风险评估是信息安全风险管理工作中的重要环节，在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办（2006）5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求，下面选项中描述正确的是（）。A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充C、自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用D、自评