2025年CISP注册信息安全专业人员通关必做强化训练试题库500题及答案

PAGEPAGE1一、单选题1.早期IIS存在Unicode编码漏洞，可以使用形如Http://8/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir的方式远程通过IIS执行系统命令，以下哪种方式可以解决此问题（）A、防火墙B、入侵检测系统C、安装IIS安全补丁D、垃圾邮件过滤系统答案：C2.安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：A、为了提高Apache软件运行效率B、为了提高Apache软件的可靠性C、为了避免攻击者通过Apache获得root权限D、为了减少Apache上存在的漏洞答案：C3.在一个网络中，当拥有的网络地址容量不够多，或普通终端计算机没有必要分配静态IP地址时，可以采用通过在计算机连接到网络时，每次为其临时在IP地址池中选择一个IP地址并分配的方式为（）A、动态分配IP地址B、静态分配IP地址C、网络地址转换分配地址D、手动分配答案：A4.下列____不属于物理安全控制措施。（）A、门锁B、警卫C、口令D、围墙答案：C5.风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项（）。A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B6.PKI的主要组成不包括（）。A、证书授权CAB、SSLC、注册授权RAD、证书存储库CR答案：B7.以下关于法律的说法错误的是A、法律是国家意志的统一体现，有严密的逻辑体系和效力B、法律对违法犯罪的后果有明确规定，是一种“硬约束”C、法律可以是公开的，也可以是“内部”的D、一旦制定，就比较稳定，长期有效，不允许经常更改答案：C8.以下关于软件安全问题对应关系错误的是?（）A、缺点（Defect）一软件实现和设计上的弱点B、缺陷（Bug）一实现级上的软件问题C、瑕疵（Flaw）一种更深层次、设计层面的的问题D、故障（Failure）一由于软件存在缺点造成的一种外部表现，是静态的、程序执行过程中出现的行为表现答案：D9.VPN的英文全称是（）。A、VisualProtocolNetworkB、VirtualPrivateNetworkC、VirtualProtocolNetworkD、VisualPrivateNetwork答案：B10.电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。记录备份应当保存（）日。A、90B、60C、30D、10答案：B11.下列哪些内容应包含在信息系统战略计划中？A、已规划的硬件采购的规范B、将来业务目标的分析C、开发项目的目标日期D、信息系统不同的年度预算目标答案：B12.对于信息安全风险的描述不正确的是A、企业信息安全风险管理就是要做到零风险B、在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C、风险管理就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。D、风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。答案：A13.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性?A、结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展B、表达方式的通用性，即给出通用的表达方式C、独立性，它强调将安全的功能和保证分离D、实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中答案：C解析：CC标准前身是ITSEC，该标准在90年代就提出了安全功能和保证的分离，而CC标准是继承了ITSEC标准的优势，因此并不作为CC标准的先进性。14.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？A、网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息答案：D15.基于TCP的主机在进行一次TCP连接时简要进行三次握手,请求通信的主机A要与另一台主机B建立连接时,A需要先发一个SYN数据包向B主机提出连接请示,B收到后,回复一个ACK/SYN确认请示给A主机,然后A再次回应ACK数据包,确认连接请求。攻击通过伪造带有虚假源地址的SYN包给目标主机,使目标主机发送的ACK/SYN包得不到确认。一般情况下,目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假SYN包同时发送到目标主机时,目标主机上就会有大量的连接请示等待确认,当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受,这种SYNFlood攻击属于（）A、拒绝服务攻击B、分布式拒绝服务攻击C、缓冲区溢出攻击D、SQL注入攻击答案：A16.ISMS的审核的层次不包括以下哪个？A、符合性审核B、有效性审核C、正确性审核D、文件审核答案：C17.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）。A、ACL是Bell-LaPadula模型的一种具体实现B、ACL在删除用户时，去除该用户所有的访问权限比较方便C、ACL对于统计某个主体能访问哪些客体比较方便D、ACL管理或增加客体比较方便答案：D解析：P307页18.为保障信息系统的安全，某经营公共服务系统的公司准备并编制一份针对性的信息安全保障方案，并将编制任务交给了小王，为此，小王决定首先编制出份信息安全需求报告。关于此项工作，下面说法错误的是A、信息安全需求是安全方案设计和安全措施的依据B、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化.结构化的语言来描述信息系统安全保障需求C、信息安全需求应当基于信息安全风险评估结果.业务需求和有关政策法规和标准的合规性要求得到D、信息安全需求来自于该公众服务信息系统的功能设计方案答案：D19.关于密钥管理，下列说法错误的是A、科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于密钥的安全性B、保密通信过程中，通信方使用之前用过的会话密钥建立会话，不影响通信安全C、密钥管理需要考虑密钥产生，存储，备份，分配，更新，撤销等生命周期的每个过程D、在网络通信中，通信双方可DIFFIE-HELLMAN协议协商出会话密钥答案：B20.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是？A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事业发生后的应对措施B、应急响应工作有其鲜明的特点：具体高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时正确指挥、事件发生后全面总结D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处理和整体协调的重要性答案：C21.以下关于UDP协议的说法，哪个是错误的A、UDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程序C、相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据答案：D22.下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的？A、设计了用户权限分级机制和最小特权原则，导致软件在发布运行后，系统管理员不能查看系统审计信息B、设计了采用不加盐（SALT）的SHA-1算法对用户口令进行加密存储，导致软件在发布运行后，不同的用户如使用了相同的口令会得到相同的加密结果，从而可以假冒其他用户登录C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、设计了采用自行设计的加密算法对网络传输数据进行保护，导致软件在发布运行后，被攻击对手截获网络数据并破解后得到明文答案：A23.对安全策略的描述不正确的选项是A、信息安全策略〔或者方针〕是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程B、策略应有一个属主，负责按复查程序维护和复查该策略C、安全策略的内容包括管理层对信息安全目标和原则的声明和承诺；D、安全策略一旦建立和发布，则不可变更；答案：D24.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面那种安全服务：A、、数据加密B、、身份认证C、、数据完整性D、、访问控制答案：A25.以下对Kerberos协议过程说法正确的是：A、协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务B、协助可以分为两个步骤：一是获得票据许可票据；二是获取请求服务C、协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据D、协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务答案：D26.Windows系统中，安全标识符（SID）是标识用户、组和计算机账户的唯一编码，在操作系统内部使用。当授予用户、组、服务或者其他安全主体访问对象的权限时，操作系统会把SID和权限写入对象的ACL中。小刘在学习了SID的组成后，为了巩固所学知识，在自己计算机的Windows操作系统中使用whoami/users操作查看当前用户的SID。得到的SID为S-1-5-21-1534169462-1651380828-111620651-500。下列选项中，关于此SID的理解错误的是A、前三位S-1-5表示此SID是由WindowsNT颁发的B、第一个子颁发机构是21C、此SID以500结尾，表示内置guest账户D、WindowsNT的SID的三个子颁发机构是1534169462、1651380828、111620651答案：C27.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P，D，R代表分别代表（）。A、保护检测响应B、策略检测响应C、策略检测恢复D、保护检测恢复答案：A28.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：A、乙对信息安全不重视，低估了黑客能力，不舍得花钱B、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C、甲未充分考虑网游网站的业务与政府网站业务的区别D、乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求答案：A29.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定，以下正确的是：A、涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行B、非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等有关要求进行C、可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告D、通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容答案：C30.IKE协议由（）协议混合而成。A、ISAKMP、Oakley、SKEMEB、AH、ESPC、L2TP、GRED、以上皆不是答案：A31.对信息安全风险评估要素理解正确的是:A、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构B、应针对构成信息系统的每个资产做风险评价C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁答案：A解析：B错误,应该是抽样评估:C错误,应该其描述的是差距分析:D错误,应该是威胁包括人为威胁和环境威胁。32.当涉及到信息算计系统犯罪取证时，应与哪个部门取得联系？A、监管机构B、重要客户C、供应商D、政府部门答案：D33.信息安全风险管理是基于（）的信息安全管理,也就是,始终以（）为主线进行信息安全的管理。应根据实际（）的不同来理解信息安全风险管理的侧重点,即（）选择的范围和对象重点应有所不同。A、风险;风险;信息系统:风险管理B、风险;风险;风险管理;信息系统C、风险管理;信息系统;风险;风险D、风险管理;风险;风险;信息系统答案：A解析：P84页34.以下关于软件安全测试说法正确的是（）A、软件安全测试就是黑盒测试B、FUZZ测试是经常采用的安全测试方法之一C、软件安全测试关注的是软件的功能D、软件安全测试可以发现软件中产生的所有安全问题答案：B35.域名注册信息可在哪里找到？A、路由器B、DNS记录C、Whois数据库D、MIBs库答案：C36.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别，但入侵检测技术不能实现以下哪种功能（）A、检测并分析用户和系统的活动B、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反安全策略的用户活动答案：C37.小王在学习信息安全管理体系相关知识之后，对于建立信息安全管理体系，自己总结了下面四条要求，其中理解不正确的是？A、信息安全管理体系的建立应参照国际国内有关标准实施，因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后，制定的能共同的和重复使用的规则B、信息安全管理体系的建立应基于最新的信息安全技术，因为这是国家有关信息安全的法律和法规方面的要求，这体现以预防控制为主的思想C、信息安全管理体系应强调全过程和动态控制的思想，因为安全问题是动态的，系统所处的安全环境也不会一成不变的，不可能建设永远安全的系统D、信息安全管理体系应体现科学性和全面性的特点，因为要对信息安全管理设计的方方面面实施较为均衡的管理，避免遗漏某些方面而导致组织的整体信息安全水平过低答案：B38.有关项目管理，错误的理解是：A、项目管理是一门关于项目资金、时间、人力等资源控制的管理科学B、项目管理是运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理，不受项目资源的约束C、项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理D、项目管理是系统工程思想针对具体项目的实践应用答案：B解析：项目管理受项目资源的约束。39.Windows操作系统中可以创建、修改和删除用户账户，可以安装程序并访问操作所有文件，也可以对系统配置进行更改的用户帐户是（）。A、来宾账户B、Guest账户C、管理员账户D、受限账户答案：C40.二十世纪二十年代，德国发明家亚瑟谢尔比乌斯（ArthurScherbius）发明了Enigma密码机。按密码学发展历史阶段划分，这个阶段属于A、古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是凭借推理和证明，常用密码运算方法包括替代方法和置换方法B、近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步曲机电密码设备C、现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”（"TheCommunicationTheoryofSecretSystems”）为理论基础，开始了对密码学的科学探索D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历史上的革命性怕变革，同时，众多的密码算法开始应用于非机密单位和商业场合答案：A41.作为单位新上任的CS0,你组织了一次本单位的安全评估工作以了解单位安全现状。在漏洞扫描报告发现了某部署在内网且仅对内部服务的业务系统存在一个漏洞,对比上一年度的漏洞扫描报告,发现这个已经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题处理（）A、向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险B、既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会C、让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理D、D.让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞答案：C42.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一？A、提高信息技术产品的国产化率B、保证信息安全资金投入＆C、加快信息安全人才培养D、重视信息安全应急处理工作答案：B43.由于病毒攻击、非法入侵等原因，校园网部分园区瘫痪，或者邮件、计费服务器不能正常工作，属于以下哪种级别事件A、特别重大事件B、重大事件C、较大事件D、一般事件答案：B44.在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A、加密B、数字签名C、访问控制D、路由控制答案：B45.以下哪一项表达了适当的职责别离？A、磁带操作员被允许使用系统控制台。B、操作员是不允许修改系统时间。C、允许程序员使用系统控制台。D、控制台操作员被允许装载磁带和磁盘。答案：B46.以下关于https协议http协议相比的优势说明，那个是正确的？A、Https协议对传输的数据进行加密，可以避免嗅探等攻击行为B、Https使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性C、Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能D、Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性答案：A47.某网站管理员小邓在流量监测中发现近期网站的人站ICMP流量上升了250%尽管网站没有发现任何的性能下降或其他问题，但是为了安全起见，他仍然向主管领导提出了相应措施，作为主管负责人，请选择有效的针对此问题的应对措施？A、在防火墙上设置策略，阻止说有的ICMP流量进入（关掉ping）B、删除服务器上的ping.exe程序C、增加宽带以应对可能的拒绝服务攻击D、增加网站服务器以应对即将来临的拒绝服务攻击答案：A48.安全脆弱性是产生安全事件的____。（）A、内因B、外因C、根本原因D、不相关因素答案：A49.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是（）A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码,并制定公司的安全编码准则D、要求增加软件安全测试环节,尽早发现软件安全问题答案：A50.对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是：A、在使用来自外部的移动介质前，需要进行安全扫描B、限制用户对管理员权限的使用C、开放所有端口和服务，充分使用系统资源D、不要从不可信来源下载或执行应用程序答案：C51.Hadop是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前，Hadoop并不存在安全认证一说。认集群内所有的节点都是可靠的，值得信赖的。用户与服务器进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop集群上，恶意的提交作业，篡改分布式存储的数据，伪装成NameNo或者TaskTracker接受任务等。在Hadoop2.0中引入了Kerberos机制来解决用户到服务器的认证问题，Kerber的认证过程不包括（）A、获得票据许可票据B、获得服务许可票据C、获得密钥分配中心的管理权限D、获得服务答案：C52.SSE-CMM工程过程区域中的风险过程包含哪些过程区域：A、评估威胁、评估脆弱性、评估影响B、评估威胁、评估脆弱性、评估安全风险C、评估威胁、评估脆弱性、评估影响、评估安全风险D、评估威胁、评估脆弱性、评估影响、验证和证实安全答案：C53.根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定：A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务答案：D54.应急响应哪一个阶段用来降低事件再次发生的风险A、遏制B、根除C、跟踪D、恢复答案：C55.关于信息安全，下列说法中正确的是____。（）A、信息安全等同于网络安全B、信息安全由技术措施实现C、信息安全应当技术与管理并重D、管理措施在信息安全中不重要答案：C56.安全管理体系，国际上有标准（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我国发布了《信息技术信息安全管理体系要求》（GB/T22080-2008）.请问，这两个标准的关系是（）A、IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改B、EQV（等效采用），此国家标准等效于该国家标准，技术上只有很小差异C、AEQ（等效采用），此国家标准不等效于该国家标准D、没有采用与否的关系，两者之间版本不同，不应直接比较答案：D57.UNIX下哪个工具或命令可以查看打开端口对应的程序A、netstat-anoB、fportC、lsof-iD、lsof-p答案：C58.应用安全，一般是指保障应用程序使用过程中和结果的安全。以下内容中不属于应用安全防护考虑的是？A、身份鉴别，应用系统应对登录的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随便更改权限，增加访问控制的力度，限制非法访问C、剩余信息保护，应用系统应加强硬盘、内存或缓存区中剩余信息的保护，防止存储在硬盘、内存或缓存区中的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件。包括机房环境，机房安全等级、机房的建造和机房的装修等答案：D59.信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,总结错误的是（）A、各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点B、各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全监管和安全测评答案：C60.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效，已经替代DES成为新的据加密标准。其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥长度？A、64bitB、128bitC、192bitD、256bit答案：A解析：AES密钥长度由128位、192位、256位三种。61.风险评估相关政策，目前主要有（）。（国信办[2006]5号）。主要内容包括分析信息系统资产的（），评估信息系统面临的（）、存在的（）、已有的安全措施和残余风险的影响等、两类信息系统的（）、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。A、《关于开展信息安全风险评估工作的意见》；重要程度；安全威胁；脆弱性；工作开展B、《关于开展风险评估工作的意见》；安全威胁；重要程度；脆弱性；工作开展C、《关于开展风险评估工作的意见》；重要程度；安全威胁；脆弱性；工作开展D、《关于开展信息安全风险评估工作的意见》；脆弱性；重要程度；安全威胁；工作开展答案：A62.小强接到电话，对方称他的快递没有及时领取，请联系XXXX电话，小强拨打该电话后提供自己的私人信息后，对方告知小强并没有快递。过了一个月之后，小强的多个账号都无法登录。在这个事件当中，请问小强最有可能遇到了什么情况？（）A、快递信息错误而已，小强网站账号丢失与快递这件事情无关B、小强遭到了社会工程学诈骗，得到小强的信息从而反推出各种网站的账号密码C、小强遭到了电话诈骗，想欺骗小强财产D、小强的多个网站账号使用了弱口令，所以被盗。答案：B63.由于Internet的安全问题日益突出，基于TCP/IP协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议，用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是A、L2TPB、SSLC、PP2PD、IPSec答案：B64.在cisco网络设备中，以下命令都可以对口令进行加密，其中最安全的是：A、enablepassword***B、enablesecret***C、username***password***D、servicepassword-encryption答案：B65.信息安全风险管理的最终责任人是？A、决策层B、管理层C、执行层D、支持层答案：A66.ISO27002中描述的11个信息安全管理控制领域不包括：A、信息安全组织B、资产管理C、内容安全D、人力资源安全答案：C67.-个密码系统至少由明文、密文、加密算法、解密算法和密钥五部分组成,而其安全性是由下列哪个选项决定的A、加密算法B、解密算法C、加密和解密算法D、密钥答案：D68.美国国家标准与技术研究院（NationalInstituteofStandardsAndTechnology，NIST）隶属美国商务部，NIST发布的很多关于计算机安全的指南文档。下面哪个文档是由NIST发布的？A、ISO27001《Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology-OpenSystems-TheDirectory：AuthenticationFramework》C、SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》D、RFC2402《IPAuthenticateHeader》答案：C69.在windowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用户访问日志、安全性日志、系统日志和IE日志B、应用程序日志、安全性日志、系统日志和IE日志C、网络攻击日志、安全性日志、记账日志和IE日志D、网络链接日志、安全性日志、服务日志和IE日志答案：B70.40.有关系统安全工程-能力成熟度模型（SSE-CMM）中的基本实施（BasePractices，BP），正确的理解是：A、BP是基于最新技术而制定的安全参数基本配置B、大部分BP是没有经过测试的C、一项BP是用于组织的生存周期而非仅适用于工程的某一特定阶段D、一项BP可以和其他BP重叠答案：C71.在一个中断和灾难事件中，以下哪一项提供了持续运营的技术手段？A、负载平衡B、硬件冗余C、分布式备份D、高可用性处理答案：B72.企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:A、限制物理访问计算设备B、检查事务和应用日志C、雇用新IT员工之前进行背景调查D、在双休日锁定用户会话答案：B73.关于我国加强信息安全保障工作的主要原则，以下说法错误的是：A、立足国情，以我为主，坚持技术与管理并重B、正确处理安全和发展的关系，以安全保发展，在发展中求安全C、统筹规划，突出重点，强化基础工作D、全面提高信息安全防护能力，保护公众利益，维护国家安全答案：D74.信息系统审核员应该预期谁来授权对生产数据和生产系统的访问？A、流程所有者B、系统管理员C、安全管理员D、数据所有者答案：D75.以下关于可信计算说法错误的是:A、可信的主要目的是要建立起主动防御的信息安全保障体系B、可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算基的概念C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D、可信计算平台出现后会取代传统的安全防护体系和方法答案：D解析：可信计算平台出现后不会取代传统的安全防护体系和方法。76.某网盘查被发现泄露了大量私人信息，通过第三方网盘搜索引擎可查询到该网盘用户的大量照片，通讯录，该网盘建议用户使用“加密分享”功能，以避免消息泄露，“加密分享”可以采用以下哪些算法（）A、MD5算法，SHA-1算法B、DSA算法，RSA算法C、SHA-1算法,SM2算法D、RSA算法，SM2算法答案：D77.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?A、软件在Linux下按照时，设定运行时使用nobody用户运行实例B、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误答案：D解析：SYSTEM权限是最大权限，违反了最小特权的原则。78.信息安全管理组织说法以下说法不正确的选项是？A、信息安全管理组织人员应来自不同的部门。B、信息安全管理组织的所有人员应该为专职人员。C、信息安全管理组织应考虑聘请外部专家。D、信息安全管理组织应建立沟通、协调机制。答案：B79.在风险管理中，残余风险是指在实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）A、风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B、管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一日变为现实后，组织能够且必须承担引发的后果C、接受残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制地提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术的等因素的限制D、如果残余风险没有降低到可按受的级别，则只能被动地选择接受风险，即对风险不采取进步的处理措施，接受风险可能带来的结果答案：D80.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权.该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动.为防范此类木马后门的攻击,以下做法无用的是:.A、不随意打开来历不明的邮件,不浏览不健康不正规的网站B、不下载、不执行、不接收来历不明的软件或文件C、修改用户名和口令D、安装反病毒软件和防火墙,安装专门的木马防治软件答案：C解析：修改用户名和口令不能防范此类攻击.81.为了解决操作人员执行日常备份的失误，管理层要求系统管理员签字日常备份，这是一个风险,,例子：A、防止B、转移C、缓解D、接受答案：C82.在你对远端计算机进行ping操作，不同操作系统回应的数据包中初始TTL值是不同的，TTL是IP协议包中的一个值，它告诉网络，数据包在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过TTL值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断（）A、内存容量B、操作系统的类型C、对方物理位置D、对方的MAC地址答案：B83.下列哪种算法通常不被用于保证机密性？A、AESB、RC4C、RSAD、MD5答案：D84.部署互联网协议安全虚拟专用网（InternetProtocolSecurityVirtualPrivateNetwork.IPsecVPN）时，以下说法正确的是？A、配置MD5安全算法可以提供可靠地数据加密B、配置AES算法可以提供可靠的数据完整性验证C、部署IPaecVPN网络时，需要虑IP地址的规划，尽量在分文节点使用可以聚合的lP地址段，来减少IPaec安全关联（SecurityAuthentication.SA）资源的消耗D、报文验证头协议（AuthenticationHeader.AH）可以提供数据机密性答案：C85.作为业务持续性计划的一部分，在进行业务影响分析（BIT）时的步骤是：标识关键的业务过程;2.开发恢复优先级;3.标识关键的IT资源;4.表示中断影响和允许的中断时间A、１-3-4-2B、１-3-2-4C、1－2－3－4D、１－4－3－2答案：A86.微软提出了STRIDE模型，其中R是Repudiation（抵赖）的缩写，关于此项安全要求下面描述错误的是？A、某用户在登录系统并下载数据后，却声称“我没有下载过数据”软件系统中的这种威胁就属于R威胁B、解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施C、R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高D、解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行答案：C87.微软提出了stride模型，其中R是（Repudiation抵赖）的缩写，关于此项安全要素，下面说法错误的是？A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁为R威胁B、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”，软件系统中的这种威胁为R威胁C、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术措施来解决D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决答案：D88.操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的Windows操作系统进行配置。他的主要操作有:1（）关闭不必要的服务和端口;2（）在“在本地安全策略”重配置账号策略、本地策略、公钥策略和IP安全策略;3（）备份敏感文件,禁止建立空连接,下载最新补丁;4（）关闭审核策略,开启口令策略,开启账号策略。这些操作中错误的是（）A、操作（1）,应该关闭不必要的服务和所有端口B、操作（2）,在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略C、操作（3）,备份敏感文件会导致这些文件遭到窃取的几率增加D、操作（4）,应该开启审核策略答案：D89.以下哪一个是包过滤防火墙的优点?A、可以与认证、授权等安全手段方便的集成。B、与应用层无关,无须改动任何客户机和主机的应用程序,易于安装和使用。C、提供透明的加密机制D、可以给单个用户授权答案：C90.Linux系统的用户信息保存在passwd中，某用户条目backup:*:34:34:backup:/var/backups:/bin/sh，以下关于该账号的描述不正确的是：A、backup账号没有设置登录密码B、backup账号的默认主目录是/var/backupsC、backup账号登陆后使用的shell是/bin/shD、backup账号是无法进行登录答案：D91.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安[2010]303号）等文件,由公安部（）对等级保护测评机构管理,接受测评机构的申请、考核和定期（）,对不具备能力的测评机构则（）。A、测评体系;等级测评;等级保护评估中心;能力验证;取消授权B、等级测评;测评体系;等级保护评估中心;能力验证;取消授权C、测评体系;等级保护评估中心;能力验证;等级测评;取消授权D、测评体系;等级保护评估中心;等级测评;能力验证;取消授权答案：A92.WinD.ows操作系统提供的完成注册表操作的工具是：（）。A、SYSKEYB、MSC.ONFIGC、IPC.ONFIGD、REGED.IT答案：D93.关于监理过程中成本控制，下列说法中正确的是?A、成本只要不超过预计的收益即可B、成本应控制得越低越好C、成本控制由承建单位实现，监理单位只能记录实际开销D、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成答案：D94.下列关于风险的说法，____是正确的。（）A、可以采取适当措施，完全清除风险B、任何措施都无法完全清除风险C、风险是对安全事件的确定描述D、风险是固有的，无法被控制答案：B95.风险评估的过程包括（）、（）、（）和（）四个阶段。在信息安全风险管理过程中，风险评估活动接受背景建立阶段的输出，形成本阶段的最终输出《风险评估报告》，此文档为风险处理活动提供输入。（）和（）贯穿风险评估的四个阶段。A、风险评估准备；风险要素识别；风险分析；监控审查；风险结果判定；沟通咨询B、风险评估准备；风险要素识别；监控审查风险分析；风险结果判定；沟通咨询C、风险评估准备；监控审查；风险要素识别；风险分析；风险结果判定；沟通咨询D、风险评估准备；风险要素识别；风险分析；风险结果判定:监控审查沟通咨询答案：D96.某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应在软件安全开发阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家，请选择对软件开发安全投入的准确说法?A、信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比软件运行后的费用要低B、软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员进行代码修订更简单，因此费用更低C、双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低D、双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问题，解决的代价相同答案：A97.应急响应时信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是？A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事业发生后的应对措施B、应急响应工作有其鲜明的特点：具体高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应时组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时正确指挥、事件发生后全面总结D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处理和整体协调的重要性答案：D98.某项目的主要内容为建造A类机房，监理单位需要根据《电子信息系统机房设计规范》（GB50174-2008）的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是：A、在异地建立备份机房时，设计时应与主用机房等级相同B、由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式C、因机房属于A级主机房，因此设计方案中应考虑配备柴油发电机,当市电发生故障时，所配备的柴油发电机应能承担全部负荷的需要D、A级主机房应设置洁净气体灭火系统答案：B99.下列选项中，对风险评估文档的描述中正确的是（）A、评估结果文档包括描述资心识别和赋值的结果，形成重要资产列表义B、描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》C、在文档分发过程中作废文档可以不用添加标识进行保留人D、对于风险评估过程中形成的相关文档行，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制答案：D100.以下无线加密标准中哪一种安全性最弱？A、WEPB、WPA.C、WPA.2D、WA.P答案：A101.随着即时通讯软件的普及使用，即时通讯软件也被恶意代码利用进行传播，以下哪项功能不是恶意代码利用即时通讯进行传播的方式A、利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件B、利用即时通讯软件发送指向恶意网页的URLC、利用即时通讯软件发送指向恶意地址的二维码D、利用即时通讯发送携带恶意代码的JPG图片答案：C102.对攻击面（Attacksurface）的正确定义是:A、一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低B、对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大C、一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大D、一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大答案：B103.关于标准，下面哪项理解是错误的（）A、标准是在一定范围内为了获得最佳秩序，经协协商一致制定并由公认机构批准，共同重复使用的一种规范性文件，标准是标准化活动的重要成果B、国际标准是由国际标准化组织通过并公布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突，应以国际标准条款为准。C、行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准。D、地方标准由省、自治区、直辖市标准化行政主管部门制度，冰报国务院标准化行政主管部门和国务院有关行政主管培训部门备案，在公布国家标准后，该地方标准即应废止。答案：B解析：当国家标准和国际标准的条款发生冲突，应以国家标准条款为准。104.主体和客体是访问控制模型中常用的概念.下面描述中错误的是:.A、主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用B、一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行C、主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据D、客体也是一种实体,是操作的对象,是被规定需要保护的资源答案：A解析：进程或设备等可以作为客体使用105.采取适当的安全控制措施，可以对风险起到____作用。（）A、促进B、增加C、减缓D、清除答案：C106.下列哪个是能执行系统命令的存储过程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread答案：C107.根据《计算机信息系统国际联网保密管理规定》的规定，保密审批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批____。（）A、领导责任制B、专人负责制C、民主集中制D、职能部门监管责任制答案：A108.安全多用途互联网邮件扩展（SecureNultipurposeInternetMailPxtension，S/MIME）是指一种保障邮件安全的技术，下面描述错误的是（）A、S/MIME采用了非对称密码学机制B、S/MIME支持数字证书C、S/MIME采用了邮件防火墙技术D、S/MIME支持用户身份认证和邮件加密答案：C109.降低风险的控制措施有很多，下面哪一个不属于降低风险的措施？A、在网络上部署防火墙B、对网络上传输的数据进行加密C、制定机房安全管理制度D、购买物理场所的财产保险答案：D110.小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四（24%），历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少A、24万B、0．09万C、37.5万D、9万答案：C111.安全管理评估工具通常不包括A、调查问卷B、检查列表C、访谈提纲D、漏洞扫描答案：D112.关于ARP欺骗原理和防范措施,下面理解错误的是（）.A、ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中,从而起到冒充主机的目的B、解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存,如果发生硬件地址的更改,则需要人工更新缓存C、单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存,直接采用IP地址和其他主机进行连接答案：D解析：如果不使用ARP协议可能会造成网络无法正常运行,因此不能避免使用该协议.113.以下哪些是信息资产无需明确的A、所有者B、管理者C、厂商D、使用者答案：C114.关于对信息安全事件进行分类分级管理的原因描述不正确的是？A、信息安全事件的种类很多，严重程度也不尽相同，其响应和处理方式也应各不相同。B、对信息安全事件进行分类和分级管理，是有效防范和响应信息安全事件的基础。C、能够使事前准备，事中应对和事后处理的各项相关工作更具针对性和有效性。D、我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决，关于网络安全应急响应的起步最早。答案：D115.在linux系统中，你看到一个文件的属主和属组都是root，它的权限是-rwxrwxr--,那么下面的描述中哪个是不正确的？（）A、root用户具有读取的权限B、root用户具有修改的权限C、其他用户具有读取的权限D、其他用户具有修改的权限答案：D116.某黒客通过分析和整理某报社记者小张的博客，找到一些有用的信息，通过伪装的新闻线索，诱使其执行木马程序，从中控制了小张的电脑，并以她的电脑为攻击的端口，使报社的局域网全部感染木马病毒。为防范此类社会工程学攻击，报社不需要做的是A、减少系统对外服务的端口数量，修改服务旗标B、教育员工注重个人隐私保护C、建立相应的安全相应应对措施，当员工受到社会工程学的攻击，应当及时报告D、加强信息安全意识培训，提高安全防范能力，了解各种社会工程学攻击方法，防止受到此类攻击答案：A117.下列哪一项信息不包含在X.509规定的数字证书中？A、证书有效期B、证书持有者的公钥C、证书颁发机构的签名D、证书颁发机构的私钥答案：D118.在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：A、测试系统应使用不低于生产系统的访问控制措施B、为测试系统中的数据部署完善的备份与恢复措施C、在测试完成后立即清除测试系统中的所有敏感数据D、部署审计措施，记录产生数据的拷贝和使用答案：B119.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[20091812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安[2010]303号）等文件，由公安部（）对等级保护测评机构管理，接受测评机构的申请、考核和定期（）。对不具备能力的测评机构A、等级测评；测评体系；等级保护评估中心；能力验证；取消授权B、测评体系；等级保护评估中心；等级测评；能力验证；取消授权C、测评体系；等级测评；等级保护评估中心；能力验证；取消授权D、测评体系；等级保护评估中心；能力验证；等级测评；取消授权答案：C120.发现一台被病毒感染的终端后，首先应：A、拔掉网线B、判断病毒的性质、采用的端口C、在网上搜寻病毒解决方法D、呼叫公司技术人员答案：A121.信息系统在什么阶段要评估风险？（）A、只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。B、只在规划设计阶段进行风险评估，以确定信息系统的安全目标。C、只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否。D、信息系统在其生命周期的各阶段都要进行风险评估答案：D122.部署互联网协议安全虚拟专用网（InternetProtocolSecurityVirtualPrivateNetwork,IPsecVPN）时,以下说法正确的是（）。A、部署IPsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联（SecurityAuthentication,SA、资源的消耗B、配置AES算法可以提供可靠的数据完整性验证C、配置MD5安全算法可以提供可靠地数据加密D、报文验证头协议（AuthenticationHeader,AH）可以提供数据机密性答案：A解析：MD5是单向函数提供数据完整性验证,AES是数据加密算法提供数据机密性保护,AH提供身份验证和数据完整性保护。123.78.有关系统安全工程-能力成熟度模型（SEE-CMM）中的基本实施（BasePractices，BP），正确的理解是：A、BP不限定于特定的方法或工具，不同的业务背景中可以使用不同的方法B、B.BP不是根据广泛的现有资料、实践和专家意见综合得出的C、C.BP不代表信息安全工程领域的最佳实践D、D.BP不是过程区域（ProcessAreas,PA）的强制项答案：A124.在系统实施后评审过程中，应该执行下面哪个活动？A、用户验收测试B、投资收益分析C、激活审计模块D、更新未来企业架构答案：B125.关于信息安全管理，下面理解片面的是（）A、信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障B、信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的C、信息安全建设中，技术是基础，管理是拔高，即有效的管理依赖于良好的技术基础D、坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一答案：C解析：C是片面的，应为技管并重，P83页。126.风险计算原理可以用下面的范式形式化地加以说明：风险值=R（A）T，V）=R（L（T，V），F（Ia，Va））以下关于上式各项说明错误的是：A、R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性B、L表示威胁利资产脆弱性导致安全事件的可能性C、F表示安全事件发生后造成的损失D、Ia，Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度答案：D127.组织与供应商协商服务水平协议,下面哪一个最先发生?A、制定可行性研究、B、检查是否符合公司策略、C、草拟服务水平协议、D、草拟服务水平要求答案：B128.访问控制是对用户或用户组访问本地或网络上的域资源进行授权的一种机制。在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对Windows操作系统访问控制实现方法的理解错误的是（）A、ACL只能由管理员进行管理B、ACL是对象安全描述符的基本组成部分，它包括有权访问对象的用户和组的SIDC、访问令牌存储着用户的SID、组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制答案：A129.某公司已有漏洞扫描和入侵检测系统（IntrusienDetectionSystem，IDS）产品，需要购买防火墙，以下做法应当优先考虑的是A、选购当前技术最先进的防火墙即可B、选购任意一款品牌防火墙C、任意选购一款价格合适的防火墙产品D、选购一款同已有安全产品联动的防火墙答案：D130.自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报A、全国通信标准化技术委员会（TC485）B、全国信息安全标准化技术委员会（TC260）C、中国通信标准化协会（CCSA）D、网络与信息安全技术工作委员会答案：B131.物理安全是一个非常关键的领域，包括环境安全、设施安全与传输安全。其中，信息系统的设施作为直接存储、处理数据的载体，其安全性对信息系统至关重要。下列选项中，对让施安全的保障措施的描述正确的是（）A、安全区域不仅包含物理区城，还包含信息系统等软件区域B、建立安全区城需要建立安全屏蔽及访问控制机制C、由于传统门锁容易被破解，因此禁止采用门锁的方式进行边界防护D、闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备，后端设备包括中央控制设备、监视器等答案：B132.258.小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：1，背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风险管理项目的规划和准备；2.背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；3.背景建立包括：风险管理准备，信息系统调查，信息统分析和信息安全分析；4.背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析报告请问小王的所述点中错误的是哪项：A、第一个观点：背景建立的目的只是为了明确信息安全风险管理的范围和对象B、第二个观点：背景建立的依据是国家、地区行业的相关政策、法律、法规和标准C、第三个观点：背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字D、第四个观点：背景建立的阶段性成果中不包括有风险管理计划书答案：B133.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常要在物理和环境安全方面实施规划控制，物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息以及信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，下列不包括哪一项（）A、物理安全边界、物理入口控制B、办公室、房间和设施的安全保护，外部和环境威胁的安全防护。C、通信安全、合规性D、在安全区域工作，公共访问、交接区安全答案：C134.我国的信息安全测评主要对象不包括？A、信息产品安全测评。B、信息安全人员资质测评。C、服务商资质测评。D、信息保障安全测评。答案：D135.以下最有效的防范上传漏洞的方式是什么？A、用黑名单的方式验证文件后缀，上传后保存文件名不变B、验证文件头，确定是否为图片格式，上传后保存文件名不变C、验证上传文件的内容，匹配关键字来确定是否允许上传，上传后保持文件名不变D、不做任何验证，上传后的文件名由系统自动修改为随机字符串加图片后缀的形式答案：D136.在PDR模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保护检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策略实施的。如图所示。在PPDR模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、（）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的（）。检测这一环节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括；实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件，通过及时的响应措施将网络系统的（）调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。A、评估与执行；访问控制；安全状态；安全性B、评估与执行；安全状态；访问控制；安全性C、访问控制；评估与执行；安全状态；安全性D、安全状态，评估与执行；访问控制；安全性答案：A137.（）第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护。（）应当按照国家保密标准配备保密设施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经（）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系统；保密设施；检查合格B、《安全保密法》；涉密程度；涉密信息系统；保密设施；检查合格C、《国家保密法》；涉密程度；涉密系统；保密设施；检查合格D、《网络保密法》；涉密程度；涉密系统；保密设施；检查合格答案：A解析：《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经检查合格后，方可投入使用。138.ApacheHTTPServer（简称Apache）是一个开放源码的Web服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发，为隐藏这些信息，应当采取以下哪种措施？A、不选择Windows平台，应选择在Linux平台下安装使用B、安装后，修改配置文件httpD、conf中的有关参数C、安装后，删除ApacheHTTPServer源码D、从正确的官方网站下载ApacheHTTPServer，并安装使用答案：B139.ISO27004是指以下哪个标准A、《信息安全管理体系要求》B、《信息安全管理实用规则》C、《信息安全管理度量》D、《ISMS实施指南》答案：C140.以下哪项不属于信息系统安全保障模型包含的方面？A、保障要素。B、生命周期。C、安全特征。D、通信安全。答案：D141.GB/T18336的最低级别是（）A、ELA1B、ELA3C、ELA5D、ELA7答案：A142.以下可能存在SQL注入攻击的部分是？A、GET请求参数B、POST请求参数C、COOKIE值D、以上均有可能答案：D143.下列对于访向控制模型分类说法正确的是:A、BLP模型和biba模型都是强制访问控制模型B、biba模型和ChineseWall模型都是完整性模型C、访问控制矩阵不属于自主访问控制模型D、基于角色的访问控制属于强制访问控制答案：A144.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是:A、最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作B、最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度也共享数据库中的信息C、粒度最小策略,将数据库中的数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度D、按内容存取控制策略,不同权限的用户访问数据库的不同部分答案：B145.下列选项中，哪个不是我国信息安全保障工作的主要内容A、加强信息安全标准化工作，积极采用“等同采用、修改采用、制定”等多种方式，尽快建立和完善我国信息安全标准体系B、建立国家信息安全研究中心，加快建立国家急需的信息安全技术体系，实现国家信息安全自主可控目标C、建设和完善信息安全基础设施，提供国家信息安全保障能力支撑D、加快信息安全学科建设和信息安全人才培养答案：B146.安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：A、为了提高Apache软件运行效率B、为了提高Apache软件的可靠性C、为了避免攻击者通过Apache获得root权限D、为了减少Apache上存在的漏洞答案：C147.层次化的文档是信息安全管理体系《informationSecurityManagementSystem.ISMS》建设的直接体系，也ISMS建设的成果之一，通常将ISMS的文档结构规划为4层金字塔结构，那么，以下选项（）应放入到一级文件中.A、《风险评估报告》B、《人力资源安全管理规定》C、《ISMS内部审核计划》D、《单位信息安全方针》答案：D解析：一级方针和手册；二级是管理制度；三级是操作的手册；四级是表格记录单据。148.以下哪个选项不是防火墙技术？A、IP地址欺骗防护B、NATC、访问控制D、SQL注入攻击防护答案：D149.规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下（）中的输出结果。A、风险要素识别B、风险分析C、风险结果判定D、风险评估准备答案：A150.安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：A、为了提高Apache软件运行效率B、为了提高Apache软件的可靠性C、为了避免攻击者通过Apache获得root权限D、为了减少Apache上存在的漏洞答案：C解析：避免攻击者通过Apache获得root权限。151.41.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础。按照规范的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果A、《风险程度等级列表》B、《风险评估方案》C、《风险计算报告》D、《需要保护的资产清单》答案：D152.王工是某某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，跟据任务安排，他依据已有的资产列表，逐个分析可能危害这些资产的主体，动机，途径等多种因素，分析这些因素出现及造成损失的可能性大小，并为其赋值，请问，他这个工作属于下列哪一个阶段的工作？A、资产识别并贬值B、脆弱性识别并贬值C、威胁识别并贬值D、确认已有的安全措施并贬值答案：C153.入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点，请指出下列哪一项描述不符合IPS的特点?A、串接到网络线路中B、对异常的进出流量可以直接进行阻断C、有可能造成单点故障D、不会影响网络性能答案：D154.关于标准,下面哪项理解是错误的（）。A、标准是在一定范围内为了获得最佳秩序,经协商一直制定并由公认机构批准,共同重复使用的一种规范性文件。标准是标准化活动的重要成果B、国际标准是由国家标准组织通过并公开发布的标准。同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准C、行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准D、行业标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止答案：B155.以下哪个模型主要用于医疗资料的保护？A、Chinesewall模型B、BIBA模型C、Clark－Wilson模型D、BMA模型答案：D156.以下哪一项不是工作在网络第二层的隧道协议