1、精選優質文檔-傾情為你奉上1. 人們對信息安全的認識從信息技術安全發展到信息安全保障，主要是出于：AA. 為了更好的完成組織機構的使命B. 針對信息系統的攻擊方式發生重大變化C. 風險控制技術得到革命性的發展D. 除了保密性，信息的完整性和可用性也引起了人們的關注2.GB/T 20274信息系統安全保障評估框架中的信息系統安全保障級中的級別是指：CA. 對抗級B. 防護級C. 能力級D. 監管級3. 下面對信息安全特征和范疇的說法錯誤的是： CA. 信息安全是一個系統性的問題，不僅要考慮信息系統本身的技術文件，還有考慮人員、管理、政策等眾多因素B. 信息安全是一個動態的問題，他隨著信息技術的發

2、展普及，以及產業基礎，用戶認識、投入產出而發展C. 信息安全是無邊界的安全，互聯網使得網絡邊界越來越模糊，因此確定一個組織的信息安全責任是沒有意義的D. 信息安全是非傳統的安全，各種信息網絡的互聯互通和資源共享，決定了信息安全具有不同于傳統安全的特點4. 美國國防部提出的信息保障技術框架（IATF）在描述信息系統的安全需求時，將信息技術系統分為：BA. 內網和外網兩個部分B. 本地計算機環境、區域邊界、網絡和基礎設施、支撐性基礎設施四個部分C. 用戶終端、服務器、系統軟件、網絡設備和通信線路、應用軟件五個部分D. 信用戶終端、服務器、系統軟件、網絡設備和通信線路、應用軟件，安全防護措施六個部分

3、5. 關于信息安全策略的說法中，下面說法正確的是：CA. 信息安全策略的制定是以信息系統的規模為基礎B. 信息安全策略的制定是以信息系統的網絡？C. 信息安全策略是以信息系統風險管理為基礎D. 在信息系統尚未建設完成之前，無法確定信息安全策略6. 下列對于信息安全保障深度防御模型的說法錯誤的是：CA. 信息安全外部環境：信息安全保障是組織機構安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規和標準的外部環境制約下。B. 信息安全管理和工程：信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息系統的整個生命周期，在這個過程中，我們需要

4、采用信息系統工程的方法來建設信息系統。C. 信息安全人才體系：在組織機構中應建立完善的安全意識，培訓體系無關緊要D. 信息安全技術方案：“從外而內、自下而上、形成端到端的防護能力”7. 全面構建我國信息安全人才體系是國家政策、組織機構信息安全保障建設和信息安全有關人員自身職業發展三方面的共同要求。“加快信息安全人才培訓，增強全民信息安全意識”的指導精神，是以下哪一個國家政策文件提出的？ AA. 國家信息化領導小組關于加強信息安全保障工作的意見B. 信息安全等級保護管理辦法C.中華人民共和國計算機信息系統安全保護條例D.關于加強政府信息系統安全和保密管理工作的通知8. 一家商業公司的網站發生黑客

5、非法入侵和攻擊事件后，應及時向哪一個部門報案？AA. 公安部公共信息網絡安全監察局及其各地相應部門B. 國家計算機網絡與信息安全管理中心C. 互聯網安全協會D. 信息安全產業商會9. 下列哪個不是商用密碼管理條例規定的內容：DA. 國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國的商用密碼管理工作B. 商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專控管理C. 商用密碼產品由國家密碼管理機構許可的單位銷售D. 個人可以使用經國家密碼管理機構認可之外的商用密碼產品10. 對涉密系統進行安全保密測評應當依據以下哪個標準？BA. BMB20-2007涉及國家秘密的計

6、算機信息系統分級保護管理規范B. BMB22-2007涉及國家秘密的計算機信息系統分級保護測評指南C. GB17859-1999計算機信息系統安全保護等級劃分準則D. GB/T20271-2006信息安全技術信息系統統用安全技術要求11. 下面對于CC的“保護輪廓”（PP）的說法最準確的是：CA. 對系統防護強度的描述B. 對評估對象系統進行規范化的描述C. 對一類TOE的安全需求，進行與技術實現無關的描述D. 由一系列保證組件構成的包，可以代表預先定義的保證尺度12. 關于ISO/IEC21827:2002(SSE-CMM)描述不正確的是：DA. SSE-CMM是關于信息安全建設工程實施方面

7、的標準B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程C. SSE-CMM模型定義了一個安全工程應有的特征，這些特征是完善的安全工程的根本保證D. SSE-CMM是用于對信息系統的安全等級進行評估的標準13. 下面哪個不是ISO 27000系列包含的標準 D A. 信息安全管理體系要求B. 信息安全風險管理C. 信息安全度量D. 信息安全評估規范14. 以下哪一個關于信息安全評估的標準首先明確提出了保密性、完整性和可用性三項信息安全特征？AA. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮書15. 下面哪項不是信息安全等級保護管理辦法（公通字【2

8、007】43號）規定的內容 DA. 國家信息安全等級保護堅持自主定級、自主保護的原則B. 國家指定專門部門對信息系統安全等級保護工作進行專門的監督和檢查C. 跨省或全國統一聯網運行的信息系統可由主管部門統一確定安全保護等級D. 第二級信息系統應當每年至少進行一次等級測評，第三級信息系統應當每？少進行一次等級測評16. 觸犯新刑法285條規定的非法侵入計算機系統罪可判處_A_。A. 三年以下有期徒刑或拘役B. 1000元罰款C. 三年以上五年以下有期徒刑D. 10000元罰款17. 常見密碼系統包含的元素是：CA. 明文，密文，信道，加密算法，解密算法B. 明文，摘要，信道，加密算法，解密算法C

9、. 明文，密文，密鑰，加密算法，解密算法D. 消息，密文，信道，加密算法，解密算法18. 公鑰密碼算法和對稱密碼算法相比，在應用上的優勢是： DA. 密鑰長度更長B. 加密速度更快C. 安全性更高D. 密鑰管理更方便19. 以下哪一個密碼學手段不需要共享密鑰？ BA.消息認證B.消息摘要C.加密解密D.數字簽名20. 下列哪種算法通常不被用戶保證保密性？ DA. AESB. RC4C. RSAD. MD521.數字簽名應具有的性質不包括：CA. 能夠驗證簽名者B. 能夠認證被簽名消息C. 能夠保護被簽名的數據機密性D. 簽名必須能夠由第三方驗證22. 認證中心（CA）的核心職責是_A_。A.

10、簽發和管理數字證書B. 驗證信息C. 公布黑名單D. 撤銷用戶的證書23. 以下對于安全套接層（SSL）的說法正確的是：CA. 主要是使用對稱密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性B. 可以在網絡層建立VPNC. 主要使用于點對點之間的信息傳輸，常用Web server方式D. 包含三個主要協議：AH,ESP,IKE24. 下面對訪問控制技術描述最準確的是：CA. 保證系統資源的可靠性B. 實現系統資源的可追查性C. 防止對系統資源的非授權訪問D. 保證系統資源的可信性25. 以下關于訪問控制表和訪問能力表的說法正確的是：DA. 訪問能力表表示每個客體可以被訪問的主體及其

11、權限B. 訪問控制表說明了每個主體可以訪問的客體及權限C. 訪問控制表一般隨主體一起保存D. 訪問能力表更容易實現訪問權限的傳遞，但回收訪問權限較困難26. 下面哪一項訪問控制模型使用安全標簽（security labels）CA. 自主訪問控制B. 非自主訪問控制C. 強制訪問控制D. 基于角色的訪問控制27. 某個客戶的網絡限制可以正常訪問internet互聯網，共有200臺終端PC但此客戶從ISP（互聯網絡服務提供商）里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯網，要想讓全部200臺終端PC訪問internet互聯網最好采取什么辦法或技術：BA. 花更多的錢向IS

12、P申請更多的IP地址B. 在網絡的出口路由器上做源NATC. 在網絡的出口路由器上做目的NATD. 在網絡出口處增加一定數量的路由器28. WAPI采用的是什么加密算法？AA. 我國自主研發的公開密鑰體制的橢圓曲線密碼算法B. 國際上通行的商用加密標準C. 國家密碼管理委員會辦公室批準的流加密標準D. 國際通行的哈希算法29. 以下哪種無線加密標準的安全性最弱？AA. wepB. wpaC. wpa2D. wapi30. 以下哪個不是防火墻具備的功能？DA. 防火墻是指設置在不同網絡或網絡安全域（公共網和企業內部網）之間的一系列部件的組合B. 它是不同網絡（安全域）之間的唯一出入口C. 能根據

13、企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流D. 防止來源于內部的威脅和攻擊31. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優點不包括：DA. 不需要對原有的網絡配置進行修改B. 性能比較高C. 防火墻本身不容易受到攻擊D. 易于在防火墻上實現NAT 32. 有一類IDS系統將所觀察到的活動同認為正常的活動進行比較并識別重要的偏差來發現入侵事件，這種機制稱作：AA. 異常檢測B. 特征檢測C. 差距分析D. 對比分析33. 在Unix系統中，/etc/service文件記錄了什么內容？AA. 記錄一些常用的接口及其所提供的服務的對應關系B. 決定inetd啟動網絡服務

14、時，啟動哪些服務C. 定義了系統缺省運行級別，系統進入新運行級別需要做什么D. 包含了系統的一些啟動腳本34. 以下哪個對windows系統日志的描述是錯誤的？DA. windows系統默認有三個日志，系統日志、應用程序日志、安全日志B. 系統日志跟蹤各種各樣的系統事件，例如跟蹤系統啟動過程中的事件或者硬件和控制器的故障C. 應用日志跟蹤應用程序關聯的事件，例如應用程序產生的裝載DLL（動態鏈接庫）失敗的信息D. 安全日志跟蹤各類網絡入侵事件，例如拒絕服務攻擊、口令暴力破解等35. 在關系型數據庫系統中通過“視圖（view）”技術，可以實現以下哪一種安全原則？AA. 縱深防御原則B. 最小權限

15、原則C. 職責分離原則D. 安全性與便利性平衡原則36. 數據庫事務日志的用途是什么？BA. 事務處理B. 數據恢復C. 完整性約束D. 保密性控制37. 下面對于cookie的說法錯誤的是：DA. cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包含的信息B. cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C. 通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做 cookie欺騙D. 防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法38. 攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目

16、的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執行，這是哪種類型的漏洞？DA. 緩沖區溢出B. SQL注入C. 設計錯誤D. 跨站腳本39. 通常在網站數據庫中，用戶信息中的密碼一項，是以哪種形式存在？ CA. 明文形式存在B. 服務器加密后的密文形式存在C. hash運算后的消息摘要值存在D. 用戶自己加密后的密文形式存在40.下列屬于DDOS攻擊的是：BA. Men-in-Middle攻擊B. SYN洪水攻擊C. TCP連接攻擊D. SQL注入攻擊41.如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發送給接收者，這種情況屬于哪一種攻擊？

17、DA. 重放攻擊B. Smurf攻擊C. 字典攻擊D. 中間人攻擊42. 滲透性測試的第一步是：A. 信息收集B. 漏洞分析與目標選定C. 拒絕服務攻擊D. 嘗試漏洞利用43. 通過網頁上的釣魚攻擊來獲取密碼的方式，實質上是一種：A. 社會工程學攻擊B. 密碼分析學C. 旁路攻擊D. 暴力破解攻擊44.以下哪個不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？A. 加強軟件的安全需求分析，準確定義安全需求B. 設計符合安全準則的功能、安全功能與安全策略C. 規范開發的代碼，符合安全編碼規范D. 編制詳細軟件安全使用手冊，幫助設置良好的安全使用習慣45.根據SSE-CMM信息安全工程

18、過程可以劃分為三個階段，其中_確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶。A. 保證過程B. 風險過程C. 工程和保證過程D. 安全工程過程46.下列哪項不是SSE-CMM模型中工程過程的過程區？A. 明確安全需求B. 評估影響C. 提供安全輸入D. 協調安全47. SSE-CMM工程過程區域中的風險過程包含哪些過程區域？A. 評估威脅、評估脆弱性、評估影響B. 評估威脅、評估脆弱性、評估安全風險C. 評估威脅、評估脆弱性、評估影響、評估安全風險D. 評估威脅、評估脆弱性、評估影響、驗證和證實安全48.在IT項目管理中為了保證系統的安全性，應當充分考慮對數據的正確處理，以下哪一項不是

19、對數據輸入進行校驗可以實現的安全目標：A. 防止出現數據范圍以外的值B. 防止出現錯誤的數據處理順序C. 防止緩沖區溢出攻擊D. 防止代碼注入攻擊49.信息安全工程監理工程師不需要做的工作是：A.編寫驗收測試方案B.審核驗收測試方案C.監督驗收測試過程D.審核驗收測試報告50. 下面哪一項是監理單位在招標階段質量控制的內容？A. 協助建設單位提出工程需求，確定工程的整體質量目標B. 根據監理單位的信息安全保障知識和項目經驗完成招標文件中的技術需求部分C. 進行風險評估和需求分析完成招標文件中的技術需求部分D. 對標書應答的技術部分進行審核，修改其中不滿足安全需求的內容51. 信息安全保障強調安

20、全是動態的安全，意味著：A. 信息安全是一個不確定性的概念B. 信息安全是一個主觀的概念C. 信息安全必須覆蓋信息系統整個生命周期，隨著安全風險的變化有針對性的進行調整D. 信息安全只能是保證信息系統在有限物理范圍內的安全，無法保證整個信息系統的安全52.關于信息保障技術框架（IATF），下列說法錯誤的是：A. IATF強調深度防御，關注本地計算環境，區域邊界，網絡和基礎設施，支撐性基礎設施等多個領域的安全保障；BIATF強調深度防御，即對信息系統采用多層防護，實現組織的業務安全運作C. IATF強調從技術、管理和人等多個角度來保障信息系統的安全D. IATF強調的是以安全監測、漏洞監測和自適

21、用填充“安全間隙”為循環來提高網絡安全53.下面哪一項表示了信息不被非法篡改的屬性？A. 可生存性B. 完整性C.準確性D.參考完整性54. 以下關于信息系統安全保障是主觀和客觀的結合說法最準確的是：A信息系統安全保障不僅涉及安全技術，還應綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統安全B.通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向信息系統的所有者提供其現有安全保障工作是否滿足其安全保障目標的信心。C. 是一種通過客觀證據向信息系統評估者提供主觀信心的活動D. 是主觀和客觀綜合評估的結果55. 公鑰密碼算法和對稱密碼算法相比，在應用上的優勢是：A. 密鑰長度更長B

22、. 加密速度更快C. 安全性更高D. 密鑰管理更方便56. 以下哪種公鑰密碼算法既可以用于數據加密又可以用于密鑰交換？A. DSSB. Diffse-HellmanC. RSAD AES57. 目前對MD5，SHA1算法的攻擊是指：A. 能夠構造出兩個不同的消息，這兩個消息產生了相同的消息摘要B. 對于一個已知的消息摘要，能夠構造出一個不同的消息，這兩個消息產生了相同的消息摘要。C 對于一個已知的消息摘要，能夠恢復其原始消息D. 對于一個已知的消息，能夠構造一個不同的消息摘要，也能通過驗證。58、 DSA算法不提供以下哪種服務？A. 數據完整性B. 加密C. 數字簽名D. 認證59.關于PKI

23、/CA證書，下面哪一種說法是錯誤的：A. 證書上具有證書授權中心的數字簽名B. 證書上列有證書擁有者的基本信息C. 證書上列有證書擁有者的公開密鑰D. 證書上列有證書擁有者的秘密密鑰60 認證中心（CA）的核心職責是_?A. 簽發和管理數字證書B. 驗證信息C. 公布黑名單D. 撤銷用戶的證書61 下列哪一項是虛擬專用網絡（VPN）的安全功能?A. 驗證，訪問控制和密碼B. 隧道，防火墻和撥號C. 加密，鑒別和密鑰管理D. 壓縮，解密和密碼62 以下對Kerberos協議過程說法正確的是:A. 協議可以分為兩個步驟：一是用戶身份鑒別：二是獲取請求服務B. 協議可以分為兩個步驟：一是獲得票據許可

24、票據；二是獲取請求服務C. 協議可以分為三個步驟：一是用戶身份鑒別；二是獲得票據許可票據；三是獲得服務許可票據D. 協議可以分為三個步驟：一是獲得票據許可票據；二是獲得服務許可票據；三是獲得服務63 在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統的安全性。以下哪一層提供了保密性、身份鑒別、數據完整性服務？A. 網絡層B. 表示層C. 會話層D. 物理層64 以下哪種無線加密標準的安全性最弱？A .WepB WpaC Wpa2D Wapi65. Linux系統的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bin

25、/sh,以下關于該賬號的描述不正確的是：A. backup賬號沒有設置登錄密碼B. backup賬號的默認主目錄是/var/backupsC. Backup賬號登錄后使用的shell是bin/shD. Backup賬號是無法進行登錄66 以下關于linux超級權限的說明，不正確的是：A. 一般情況下，為了系統安全，對于一般常規級別的應用，不需要root用戶來操作完成B. 普通用戶可以通過su和sudo來獲得系統的超級權限C. 對系統日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進行D. Root是系統的超級用戶，無論是否為文件和程序的所有者都具有訪問權限67 在WINDOWS

26、操作系統中，欲限制用戶無效登錄的次數，應當怎么做？A. 在“本地安全設置”中對“密碼策略”進行設置B. 在“本地安全設置”中對“賬戶鎖定策略”進行設置C. 在“本地安全設置”中對“審核策略”進行設置D. 在“本地安全設置”中對“用戶權利指派”進行設置68.以下對WINDOWS系統日志的描述錯誤的是：A. windows系統默認的由三個日志，系統日志，應用程序日志，安全日志B系統日志跟蹤各種各樣的系統事件，例如跟蹤系統啟動過程中的事件或者硬件和控制器的故障。C應用日志跟蹤應用程序關聯的事件，例如應用程序產生的裝載DLL（動態鏈接庫）失敗的信息D. 安全日志跟蹤各類網絡入侵事件，例如拒絕服務攻擊、

27、口令暴力破解等69 以下關于windows SAM（安全賬戶管理器）的說法錯誤的是：A. 安全賬戶管理器（SAM）具體表現就是%SystemRoot%system32configsamB. 安全賬戶管理器（SAM）存儲的賬號信息是存儲在注冊表中C. 安全賬戶管理器（SAM）存儲的賬號信息對administrator和system是可讀和可寫的D. 安全賬戶管理器（SAM）是windows的用戶數據庫，系統進程通過Security Accounts Manager服務進行訪問和操作70 在關系型數據庫系統中通過“視圖（view）”技術，可以實現以下哪一種安全原則？A.縱深防御原則 B.最小權限原

28、則 C.職責分離原則 D.安全性與便利性平衡原則71、下列哪項不是安全管理方面的標準？A ISO27001B ISO13335C GB/T22080D GB/T1833672、目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現狀決定法出多門，計算機信息系統國際聯網保密管理規定是由下列哪個部門所制定的規章制度?A.公安部B.國家密碼局C.信息產業部D.國家密碼管理委員會辦公室73、下列哪項不是信息安全等級保護管理辦法（公通字200743號）規定的內容：A國家信息安全等級保護堅持自主定級，自主保護的原則。B國家指定專門部門對信息系統安全等級保護工作進行專門的監督和檢查。C跨省或全國

29、統一聯網運行的信息系統可由主管部門統一確定安全保護等級D第二級信息系統應當每年至少進行一次等級測評，第三級信息系統應當每半年至少進行一次等級測評。74、刑法第六章第285、286、287條對計算機犯罪的內容和量刑進行了明確的規定，下列哪一項不是其中規定的罪行？A.非法入侵計算機信息系統罪B.破壞計算機信息系統罪C.利用計算機實施犯罪D.國家重要信息系統管理者玩忽職守罪75、一家商業公司的網站發生黑客非法入侵和攻擊事件后，應及時向哪一個部門報案？A.  公安部公共信息網絡安全監察局及其各地相應部門B.  國家計算機網絡與信息安全管理中心C.  互聯網安全協會D.&#

30、160; 信息安全產業商會76、下列哪個不是商用密碼管理條例規定的內容？A.  國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國的商用密碼管理工作B.  商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專控管理C.  商用密碼產品由國家密碼管理機構許可的單位銷售D.  個人可以使用經國家密碼管理機構認可之外的商用密碼產品77、下面關于中華人民共和國保守國家秘密法的說法錯誤的是：A.  秘密都有時間性，永久保密是沒有的B.  保密法規定一切公民都有保守國家秘密的義務C.  國家秘密的級別分為“絕

31、密”“機密”“秘密”三級D.  在給文件確定密級時，從保密的目的出發，應將密級盡量定高78.數據庫事務日志的用途是:A. 事務處理B.數據恢復C.完整性約束D保密性控制79. 下面對于cookie的說法錯誤的是：A. cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包含的信息。B. cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C.通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D.防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法。80. 攻擊者在遠程WEB頁面的H

32、TML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳步將被解釋執行，這是哪種類型的漏洞？A. 緩沖區溢出B. sql注入C.設計錯誤D.跨站腳本81. 通常在網站數據庫中，用戶信息中的密碼一項，是以哪種形式存在？A. 明文形式存在B.服務器加密后的密文形式存在C.hash運算后的消息摘要值存在D.用戶自己加密后的密文形式存在82.下列對跨站腳本攻擊（XSS）的描述正確的是：A. XSS攻擊指的是惡意攻擊者往WED頁面里插入惡意代碼，當用戶瀏覽瀏覽該頁之時，嵌入其中WEB里面的代碼會執行，從而達到惡意攻擊用戶的特殊目的B.XSS攻擊時DDOS攻擊的一

33、種變種C.XSS攻擊就是CC攻擊D.XSS攻擊就是利用被控制的機器不斷地向被攻擊網站發送訪問請求，迫使IIS連接數超出限制，當CPU資源或者帶寬資源耗盡，那么網站也就被攻擊垮了，從而達到攻擊目的83 下列哪種技術不是惡意代碼的生產技術？A. 反跟蹤技術、B. 加密技術C. 模糊變換技術D. 自動解壓縮技術84 當用戶輸入的數據被一個解釋器當做命令或查詢語句的一部分執行時，就會產生哪種類型的漏洞？A. 緩沖區溢出B. 設計錯誤C. 信息泄露D. 代碼注入85 Smurf 利用下列哪種協議進行攻擊？A. ICMPB. IGMPC. TCPD. UDP86.如果一名攻擊者截獲了一個公鑰，然后他將這個

34、公鑰替換為自己的公鑰并發送給接收者，這種情況屬于哪一種攻擊？A. 重放攻擊B. Smurf攻擊C.字典攻擊D.中間人攻擊87 滲透性測試的第一步是:A. 信息收集B. 漏洞分析與目標選定C. 拒絕服務攻擊D. 嘗試漏洞利用88 軟件安全開發中軟件安全需求分析階段的主要目的是：A. 確定軟件的攻擊面，根據攻擊面制定軟件安全防護策略B. 確定軟件在計劃運行環境中運行的最低安全要求C. 確定安全質量標準，實施安全和隱私風險評估D. 確定開發團隊關鍵里程碑和交付成果89.管理者何時可以根據風險分析結果對已識別的風險不采取措施？A當必須的安全對策的成本高出實際風險的可能造成的潛在費用時B當風險減輕方法提

35、高業務生產力時C當引起風險發生的情況不在部門控制范圍之內時D不可接受90 以下關于風險管理的描述不正確的是：A風險的4種控制方法有：降低風險/轉嫁風險/規避風險/接受風險B信息安全風險管理是否成功在于風險是否被切實消除了C組織應依據信息安全方針和組織要求的安全保證程度來確定需要處理的信息安全風險D信息安全風險管理是基于可接受的成本，對影響信息系統的安全風險進行識別、控制、降低或轉移的過程91如果你作為甲方負責監管一個信息安全工程項目的實施，當乙方提出一項工程變更時你最應當關注的是：A. 變更的流程是否符合預先的規定B. 變更是否項目進度造成拖延C. 變更的原因和造成的影響D. 變更后是否進行了

36、準確的記錄92 應當如可理解信息安全管理體系中的“信息安全策略”？A為了達到如何保護標準而提出的一系列建議B為了定義訪問控制需求而產生出來的一些通用性指引C組織高層對信息安全工作意圖的正式表達D一種分階段的安全處理結果93 以下關于“最小特權”安全管理原則理解正確的是：A. 組織機構內的敏感崗位不能由一個人長期負責B. 對重要的工作進行分解，分配給不同人員完成C. 一個人有且僅有其執行崗位所足夠的許可和權限D. 防止員工由一個崗位變動到另一個崗位，累積越來越多的權限94 作為一個組織中的信息系統普通用戶，以下哪一項不是必須了解的？A. 誰負責信息安全管理制度的制度和發布B. 誰負責監督信息安全

37、制度的執行C. 信息系統發生災難后，進行恢復的整體工作流程D. 如果違反了安全制度可能會受到的懲戒措施95 職責分離是信息安全管理的一個基本概念，其關鍵是權力不能過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員（單獨進行操作）可以對應用程序系統特征或控制功能進行破壞。當以下哪一類人員訪問安全系統軟件的時候，會造成對“職責分離”原則的違背？A數據安全管理員B數據安全分析員C系統審核員D系統程序員96 在國家標準信息系統恢復規范中，根據-要素，將災難恢復等級劃分為_級A 7，6B 6，7C 7，7D 6，697 在業務持續性計劃中，RTO指的是：A災難備份和恢復B恢復技術項目C業務恢復時

38、間目標D業務恢復點目標98 應急方法學定義了安全事件處理的流程，這個流程的順序是：A. 準備-抑制-檢測-根除-恢復-跟進B. 準備-檢測-抑制-恢復-根除-跟進C. 準備-檢測-抑制-根除-恢復-跟進D. 準備-抑制-根除-檢測-恢復-跟進99.下面有關能力成熟度模型的說法錯誤的是：A.能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B.使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域C.使用組織機構成熟度方案時，每一個能力級別都對應于一組已經定義好的過程域D SSE-CMM是一種屬于組織能力方案（Staged）的針對系統安全工程的能力成

39、熟度模型100.下面哪一項為系統安全工程 成熟度模型提供了評估方法：A.ISSEB.SSAMC.SSRD.CEM101、下面關于信息安全保障的說法錯誤的是：A.信息安全保障的概念是與信息安全的概念同時產生的B.信息系統安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技術并列構成實現信息安全的兩大主要手段D.信息安全保障是以業務目標的實現為最終目的，從風險和策略出發，實施各種保障要素，在系統的生命周期內確保信息的安全屬性。102、以下哪一項是數據完整性得到保護的例子？A.某網站在訪問量突然增加時對用戶連接數量進行了限制，保證已登錄的用戶可以完成操作B.在提款過程中ATM終端

40、發生故障，銀行業務系統及時對該用戶的賬戶余額進行了沖正操作C.某網管系統具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業間諜無法查看103、注重安全管理體系建設，人員意識的培訓和教育，是信息安全發展哪一個階段的特點？A.通信安全B.計算機安全C.信息安全D.信息安全保障104、以下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出的九項重點工作內容之一？A.提高信息技術產品的國產化率B.保證信息安全資金注入C.加快信息安全人才培養D.重視信息安全應急處理工作105、以下關于置換密碼的說法正確

41、的是：A.明文根據密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據密鑰發生改變C.明文和密鑰的每個bit異或D.明文根據密鑰作了移位106、以下關于代替密碼的說法正確的是：A.明文根據密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據密鑰發生改變C.明文和密鑰的每個bit異或D.明文根據密鑰作了移位107、常見密碼系統包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密鑰、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法108、在密碼學的Kerchhoff假設中，密碼系統的安全性僅依賴于_ A.明文B.

42、密文C.密鑰D.信道109、PKI在驗證一個數字證書時需要查看_來確認該證書是否已經作廢A.ARL B.CSS C.KMS D.CRL 110、一項功能可以不由認證中心CA完成？A.撤銷和中止用戶的證書B.產生并分布CA的公鑰C.在請求實體和它的公鑰間建立鏈接D.發放并分發用戶的證書111、一項是虛擬專用網絡（VPN）的安全功能？A.驗證，訪問控制盒密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼112、為了防止授權用戶不會對數據進行未經授權的修改，需要實施對數據的完整性保護，列哪一項最好地描述了星或（*-）完整性原則？A.Bell

43、-LaPadula模型中的不允許向下寫B.Bell-LaPadula模型中的不允許向上度C.Biba模型中的不允許向上寫D.Biba模型中的不允許向下讀113、下面哪一個情景屬于身份鑒別（Authentication）過程？A.用戶依照系統提示輸入用戶名和口令B.用戶在網絡上共享了自己編寫的一份Office文檔，并設定哪些用戶可以閱讀，哪些用戶可以修改C.用戶使用加密軟件對自己編寫的office文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的內容D.某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統提示口令錯誤，并將這次失敗的登錄過程記錄在系統日志中114、下列對Kerberos協議特

44、點描述不正確的是：A.協議采用單點登錄技術，無法實現分布式網絡環境下的認證B.協議與授權機制相結合，支持雙向的身份認證C.只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務器的認證而不必重新輸入密碼D.AS和TGS是集中式管理，容易形成瓶頸，系統的性能和安全也嚴重依賴于AS和TGS的性能和安全115、TACACS+協議提供了下列哪一種訪問控制機制？A.強制訪問控制B.自主訪問控制C.分布式訪問控制D.集中式訪問控制116、下列對蜜網功能描述不正確的是：A.可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊B.吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者

45、的活動記錄下來C.可以進行攻擊檢測和實時報警D.可以對攻擊活動進行監視、檢測和分析117、下列對審計系統基本組成描述正確的是：A.審計系統一般包括三個部分：日志記錄、日志分析和日志處理B.審計系統一般包含兩個部分：日志記錄和日志處理C.審計系統一般包含兩個部分：日志記錄和日志分析D.審計系統一般包含三個部分：日志記錄、日志分析和日志報告118、在ISO的OSI安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務？A.加密B.數字簽名C.訪問控制D.路由控制119、在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統的安全性，以下哪一層提供了保密性、身份鑒別、數據完整性服務？A.

46、網絡層B.表示層C會話層D.物理層120、WAPI采用的是什么加密算法？A.我國自主研發的公開密鑰體制的橢圓曲線密碼算法B.國際上通行的商用加密標準C.國家密碼管理委員會辦公室批準的流加密標準D.國際通行的哈希算法121、通常在VLAN時，以下哪一項不是VLAN的規劃方法？A.基于交換機端口B.基于網絡層協議C.基于MAC地址D.基于數字證書122、某個客戶的網絡現在可以正常訪問Internet互聯網，共有200臺終端PC但此客戶從ISP（互聯網絡服務提供商）里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯網，要想讓全部200臺終端PC訪問Internet互聯網最好采取什么

47、方法或技術：A、花更多的錢向ISP申請更多的IP地址B、在網絡的出口路由器上做源NAT C、在網絡的出口路由器上做目的NAT D、在網絡出口處增加一定數量的路由器123、以下哪一個數據傳輸方式難以通過網絡竊聽獲取信息？A.FTP傳輸文件B.TELNET進行遠程管理C.URL以HTTPS開頭的網頁內容D.經過TACACS+認證和授權后建立的連接124、橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優點不包括：A.不需要對原有的網絡配置進行修改B.性能比較高C.防火墻本身不容易受到攻擊D.易于在防火墻上實現NAT 125、下面哪一項是對IDS的正確描述？A、

48、基于特征（Signature-based）的系統可以檢測新的攻擊類型B、基于特征（Signature-based）的系統化基于行為（behavior-based）的系統產生更多的誤報C、基于行為（behavior-based）的系統維護狀態數據庫來與數據包和攻擊相匹配D、基于行為（behavior-based）的系統比基于特征（Signature-based）的系統有更高的誤報126、下列哪些選項不屬于NIDS的常見技術？A.協議分析B.零拷貝C.SYN Cookie D.IP碎片重組127、在UNIX系統中輸入命令“IS-AL TEST”顯示如下：“-rwxr-

49、xr-x 3 root root 1024 Sep 13 11：58 test”對它的含義解釋錯誤的是：A.這是一個文件，而不是目錄B.文件的擁有者可以對這個文件進行讀、寫和執行的操作C.文件所屬組的成員有可以讀它，也可以執行它D.其它所有用戶只可以執行它128、在Unix系統中，/etc/service文件記錄了什么內容？A、記錄一些常用的接口及其所提供的服務的對應關系B、決定inetd啟動網絡服務時，啟動那些服務C、定義了系統缺省運行級別，系統進入新運行級別需要做什么 D、包含了系統的一些啟動腳本12

50、9、以下對windows賬號的描述，正確的是：A、windows系統是采用SID（安全標識符）來標識用戶對文件或文件夾的權限B、windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、windows系統默認會生成administration和guest兩個賬號，兩個賬號都不允許改名和刪除D、windows系統默認生成administration和guest兩個賬號，兩個賬號都可以改名和刪除130、以下對于Windows系統的服務描述，正確的是：A、windows服務必須是一個獨立的可執行程序B、windows服務的運行不需要用戶的交互登錄C、windows服務都是隨系統的啟動而啟動，無

51、需用戶進行干預D、windows服務都需要用戶進行登錄后，以登錄用戶的權限進行啟動131、以下哪一項不是IIS服務器支持的訪問控制過濾類型？A.網絡地址訪問控制B.WEB服務器許可C.NTFS許可D.異常行為過濾132、為了實現數據庫的完整性控制，數據庫管理員應向DBMS提出一組完整性規則來檢查數據庫中的數據，完整性規則主要由3部分組成，以下哪一個不是完整性規則的內容？A.完整性約束條件B.完整性檢查機制C.完整性修復機制D.違約處理機制133、數據庫事務日志的用途是什么？A.事務處理B.數據恢復C.完整性約束D.保密性控制134、下列哪一項與數據庫的安全有直接關系？A.訪問控制的粒度B.數據

52、庫的大小C.關系表中屬性的數量D.關系表中元組的數量135、下面對于cookie的說法錯誤的是：A、cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包含的信息B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C、通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法136、以下哪一項是和電子郵件系統無關的？A、PEM B、PGP C、X500 D、X400 137、Apache W

53、eb 服務器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、 httpd.conf  B、srm.conf C、access.conf D、inetd.conf 138、Java安全模型（JSM）是在設計虛擬機（JVN）時，引入沙箱（sandbox）機制，其主要目的是：A、為服務器提供針對惡意客戶端代碼的保護B、為客戶端程序提供針對用戶輸入惡意代碼的保護C、為用戶提供針對惡意網絡移動代碼的保護D、提供事件的可追查性139、惡意代碼采用加密技術的目的是：A.加密技

54、術是惡意代碼自身保護的重要機制B.加密技術可以保證惡意代碼不被發現C.加密技術可以保證惡意代碼不被破壞D.以上都不正確140、惡意代碼反跟蹤技術描述正確的是：A反跟蹤技術可以減少被發現的可能性B.反跟蹤技術可以避免所有殺毒軟件的查殺C.反跟蹤技術可以避免惡意代碼被消除D.以上都不是141、下列關于計算機病毒感染能力的說法不正確的是：A.能將自身代碼注入到引導區B.能將自身代碼注入到扇區中的文件鏡像C.能將自身代碼注入文本文件中并執行D.能將自身代碼注入到文檔或模板的宏中代碼142、當用戶輸入的數據被一個解釋器當作命令或查詢語句的一部分執行時，就會產生哪種類型的漏洞？A.緩沖區溢出B.設計錯誤C.信息泄露D.代碼注入143、完整性檢查和控制的防范對象是_,防止它們進入數據庫。A.不合語義的數據、不正確的數據B.非法用戶C.非法數據D.非法授權144、存儲過程是SQL語句的一個集合，在一個名稱下儲存，按獨立單元方式執行，以下哪一項不是使用存儲過程的優點：A.提高性能，應用程序不用