第頁信息安全知識相關考試試卷含風險評估軟件開發等內容1.125.根據《關于開展信息安全風險評估工作的意見》的規定，錯誤的是：A、信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和檢查評估相互結合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應貫穿于網絡和信息系統建設運行的全過程D、開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導【正確答案】：A2.393.某電子商務網站架構設計時，為了避免數據誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該刪除操作才能生效，這種設計是遵循了發下哪個原則A、權限分離原則B、最小的特權原則C、保護最薄弱環節的原則D、縱深防御的原則【正確答案】：A3.156.下面哪項屬于軟件開發安全方面的問題（）A、軟件部署時所需選用服務性能不高，導致軟件執行效率低。B、應用軟件來考慮多線程技術，在對用戶服務時按序排隊提供服務C、應用軟件存在SQL注入漏洞，若被黑客利用能竊取數據庫所用數據D、軟件受許可證（license）限制，不能在多臺電腦上安裝。【正確答案】：C4.316.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是：A、組織內的信息安全方針文件、信息安全規章制度文件、信息安全相關操作規范文件等文檔是組織的工作標準，也是ISMS審核的依據B、組織內的業務系統日志文件、風險評估報告等文檔是對上一級文件的執行和記錄，對這些記錄不需要保護和控制C、組織在每份文件的首頁，加上文件修訂跟蹤表，顯示每一版本的版本號、發布日期、編寫人、審批人、主要修訂等內容D、層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立【正確答案】：B解析：解釋：信息安全管理體系運行記錄需要保護和控制。5.326.以下哪個屬性不會出現在防火墻的訪問控制策略配置中？A、本局域網內地址B、百度服務器地址C、HTTP協議D、病毒類型【正確答案】：D6.641.風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔，其中，明確評估的目的、職責、過程、相關的文檔要求，以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據的文檔是（）A《風險評估方案》B、《風險評估程序》C、《資產識別清單》D、《風險評估報告》【正確答案】：A7.609.在軟件開發過程中，常用圖作為描述攻擊，如DFD就是面向（）分析方法的描述工具，在一套分層DFD中，如果某一張圖中有N個加工（Process）則這張圖允許有（）張子圖，在一張DFD中任意兩個加工之間（）。在畫分層DFD時，應注意保持（）之間的平衡。DFD中從系統的輸入流到系統的輸出流的一連串交換形式一種信息流，這種信息流可分為交換流和事物流兩類。A、數據流；0^N；有0條或多條名字互不相同的數據流；父圖與其子圖B、數據流；I^N；有0條或多條名字互不相同的數據流；父圖與其子圖C、字節流；0^N；有0條或多條名字互不相同的數據流；父圖與其子圖D、數據流；0^N；有0條或多條名字互不相同的數據流；子圖之間【正確答案】：A解析：DFD是面向數據流分析方法的工具，核心在于描述數據流動與加工邏輯。分層DFD中，某圖含N個加工時可對應0至N張子圖（每個加工可獨立展開或不展開）；任意兩加工間允許存在多條名稱唯一的數據流，避免命名沖突。分層設計時需嚴格保持父圖與子圖的數據流一致性，確保分解過程不丟失或新增信息。信息流類型分為交換流（觸發式處理）和事物流（離散事務），貫穿系統輸入至輸出的變換過程。8.529.以下對于標準化特點的描述哪項是錯誤的?A、標準化的對象是共同的、可重復的事物。不是孤立的一件事、一個事物B、標準化必須是靜態的,相對科技的進步和社會的發展不能發現變化C、標準化的相對性,原有標準隨著社會發展和環境變化,需要更新D、標準化的效益,通過應用體現經濟和社會效益,否則就沒必要【正確答案】：B9.99.關于linux下的用戶和組，以下描述不正確的是。A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統的超級用戶，無論是否文件和程序的所有者都具有訪問權限【正確答案】：C解析：解釋：一個用戶可以屬于多個組。10.71.進入21世紀以來，信息安全成為世界各國安全戰略關注的重點，紛紛制定并頒布網絡空間安全戰略，但各國歷史、國情和文化不同，網絡空間安全戰略的內容也各不相同，以下說法不正確的是：A、與國家安全、社會穩定和民生密切相關的關鍵基礎設施是各國安全保障的重點B、美國尚未設立中央政府級的專門機構處理網絡信息安全問題，信息安全管理職能由不同政府部門的多個機構共同承擔C、各國普遍重視信息安全事件的應急響應和處理D、在網絡安全戰略中，各國均強調加強政府管理力度，充分利用社會資源，發揮政府與企業之間的合作關系【正確答案】：B解析：解釋：美國已經設立中央政府級的專門機構。11.625.下面哪一項情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統提示輸入用戶名和口令B、用戶在網絡上共享了自己編寫的一份Office文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容C、用戶使用加密軟件對自己家編寫的Offie文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容D、某個人嘗試登陸到你的計算機中，但是口令輸入的不對，系統提示口令錯誤，并將這次失敗的登陸過程記錄在系統日志中【正確答案】：A解析：身份鑒別（Authentication）的核心是驗證用戶身份的過程，通常通過憑證確認。根據《信息安全技術網絡安全等級保護基本要求》（GBT22239-2019），身份鑒別包括用戶提供有效標識并驗證。選項A中用戶輸入用戶名和口令屬于典型的身份驗證行為，符合該定義。選項B、C涉及數據加密，屬于保密性措施，與鑒別無關；選項D記錄失敗登錄屬于審計功能，并非鑒別過程本身。12.500．如下圖所示，兩份文件包含了不同的內容，卻擁有相同的SHA-1數字簽名a,這違背了安全的哈希函數（）性質。A、單向性B、弱抗碰撞性C、強抗碰撞性D、機密性【正確答案】：C13.32.作為信息安全從業人員，以下哪種行為違反了CISP職業道德準側（）A、抵制通過網絡系統侵犯公眾合法權益B、通過公眾網絡傳播非法軟件C、不在計算機網絡系統中進行造謠、欺詐、誹謗等活動D、幫助和指導信息安全同行提升信息安全保障知識和能力。【正確答案】：B解析：CISP職業道德準則要求從業人員遵守法律法規，維護網絡空間的合法性和安全性。根據《CISP職業道德準則》中對合法合規的要求，傳播非法軟件屬于明確禁止的行為，因其直接違反法律并危害信息安全。選項A和C所述行為屬于準則倡導的義務，選項D符合提升行業整體能力的要求，而選項B的傳播非法軟件行為與準則中的合法操作原則相抵觸。14.538.小張在一不知名的網站上下載了魯大師并進行了安裝,電腦安全軟件提示該軟件有惡意捆綁,小張驚出一身汗,因為他知道惡意代碼將隨之進入系統后會對他的系統信息安全造成極大的威脅,那么惡意代碼的軟件部署常的實現方式不包括（）A、攻擊者在獲得系統的上傳權限后,將惡意代碼部署到目標系統B、惡意代碼自身就是軟件的一部分,隨軟件部署傳播C、內嵌在軟件中,當文件被執行時進入目標系統D、惡意代碼通過網上激活【正確答案】：D解析：惡意代碼的軟件部署方式通常指其如何進入系統。選項A描述通過上傳權限部署，屬于主動攻擊手段；選項B屬于軟件捆綁，是常見傳播途徑；選項C為內嵌執行，利用合法文件觸發。選項D的“網上激活”涉及惡意代碼運行后的行為，而非部署階段實現方式。根據信息安全技術標準，惡意代碼生命周期中部署與激活屬不同階段。15.342.應急響應是信息安全事件管理的重要內容之一。關于應急響應工作，下面描述錯誤的是（）。A、信息安全應急響應，通常是指一個組織為了應對各種安全意外事件的發生所采取的防范措施。即包括預防性措施，也包括事件發生后的應對措施B、應急響應工作有其鮮明的特點：具有高技術復雜性與專業性、強突發性、對知識經驗的高依賴性，以及需要廣泛的協調與合作C、應急響應是組織在處置應對突發重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發生時的正確指揮、事件發生后全面總結D、應急響應工作的起源和相關機構的成立和1988年11月發生的莫里斯蠕蟲病毒事件有關，基于該事件，人們更加重視安全事件的應急處置和整體協調的重要性【正確答案】：C16.5.操作系統用于管理計算機資源,控制整個系統運行,是計算機軟件的基礎。操作系統安全是計算、網絡及信息系統安全的基礎,一般操作系統都提供了相應的安全配置接口,小王新買了一臺計算機,開機后首先對自帶的Windows操作系統進行配置,他的主要操作有:(1)關閉不必要的服務和端口:(2)在“本地安全策略”中配置賬號策略、本地策略,公鑰策略和IP安全策略:(3)備份敏感文件,禁止建立空連接,下載最新補丁(4)關閉審核策略，開啟口令策略,開啟賬戶策略,這些操作中錯誤的是()A、操作(1),應該關閉不必要的服務和所有端口B、操作(2),在“本地安全策略”中不應該配置公鑰策略,而應該配置私鑰策略C、操作(3),備份敏感文件會導致這些文件遭到竊取的幾率增加D、操作(4),應該開啟審核策略【正確答案】：D17.617.2006年5月8日電，中共中央辦公廳、國務院辦公廳印發了《2006-2020年國家信息化發展戰略》。全文分（）部分共計約15000余字。對國內外的信息化發展做了宏觀分析，對我國信息化發展指導思想和戰略目標標準要闡述，對我國（）發展的重點、行動計劃和保障措施做了詳盡描述。該戰略指出了我國信息化發展的（），當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（）。基礎信息網絡和重要信息系統的安全防護水平明顯提高，互聯網信息安全管理進一步加強。A、5個；信息化；基本形勢；國家安全戰略；工作機制B、6個；信息化；基本形勢；國家信息安全戰略；工作機制C、7個；信息化；基本形勢；國家安全戰略；工作機制D、8個；信息化；基本形勢；國家信息安全戰略；工作機制【正確答案】：D18.603.系統安全工程能力成熟度模型評估方法（SSAM,SSE-CMMAppraisalMethod）是專門基于SSE-CMM的評估方法。它包含對系統安全工程-能力成熟度模型中定義的組織的（）流程能力和成熟度進行評估所需的（）。SSAM評估過程分為四個階段，（）、（）、（）、（）。A、信息和方向；系統安全工程；規劃；準備；現場；報告B、信息和方向；系統工程；規劃；準備；現場；報告C、系統安全工程；信息；規劃；準備；現場；報告D、系統安全工程；信息和方向；規劃；準備；現場；報告【正確答案】：D19.626.終端訪問控制器訪問控制系統（TERMINALAccessControllerAccess-ControlSystem,TACACS）,在認證過程中，客戶機發送一個START包給服務器，包的內容包括執行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個，序列號永遠為（）.服務器收到START包以后，回送一個REPLY包，表示認證繼續還是結束。A、0B、1C、2D、4【正確答案】：B20.373.訪問控制是對用戶或用戶訪問本地或網絡上的域資源進行法令一種機制。在Windows2000以后的操作系統版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現訪問控制功能。以下選項中，對windows操作系統訪問控制實現方法的理解錯誤的是（）ACL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權限D、通過授權管理器，可以實現基于角色的訪問控制【正確答案】：A21.47.按照我國信息安全等級保護的有關政策和標準。有些信息系統只需要自主定級、自主保護，按照要求向公安機關備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統應屬于：A、零級系統B、一級系統C、二級系統D、三級系統【正確答案】：B解析：我國信息安全等級保護制度中，一級系統由運營、使用單位依據相關標準自主定級、自主保護，備案后無需上級或主管部門進行測評檢查。根據《信息安全技術網絡安全等級保護定級指南》（GBT22240-2020），一級系統適用于受到破壞后對公民、法人和其他組織合法權益造成一般損害的信息系統，其保護要求相對較低，流程較為簡化。選項B符合一級系統的特征。選項A“零級系統”在等級保護標準中不存在；選項C、D對應的等級需要測評或更嚴格監管。22.158.以下關于https協議http協議相比的優勢說明，那個是正確的：A、Https協議對傳輸的數據進行加密，可以避免嗅探等攻擊行為B、Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協議是http協議的補充，不能獨立運行，因此需要更高的系統性能D、Https協議使用了挑戰機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的安全性【正確答案】：A解析：解釋：HTTPS具有數據加密機制。23.355.關于信息安全事件和應急響應的描述不正確的是（）A、、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響事件B、、至今已有一種信息安全策略或防護措施，能夠對信息及信息系統提供絕對的保護，這就使得信息安全事件的發生是不可能的C、、應急響應是指組織為了應對突發重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施D、、應急響應工作與其他信息安全管理工作將比有其鮮明的特點：具有高技術復雜性志專業性、強突發性、對知識經驗的高依賴性，以及需要廣泛的協調與合作【正確答案】：B24.224.規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，按照規范的風險評估實施流程，下面哪個文檔應當是風險要素識別階段的輸出成果（）A,《風險評估方案》B、《需要保護的資產清單》C、《風險計算報告》D、《風險程度等級列表》【正確答案】：B解析：規范的信息安全風險評估過程中，風險要素識別階段主要涉及識別關鍵資產、潛在威脅及脆弱性。根據《信息安全技術信息安全風險評估規范》（GBT20984-2007），該階段需明確需保護的資產，并形成清單。[A]《風險評估方案》屬于前期準備階段的輸出，用于規劃整體流程；[B]《需要保護的資產清單》直接對應資產識別任務的結果；[C]《風險計算報告》和[D]《風險程度等級列表》產生于后續風險分析及評價階段，用于量化風險值和確定優先級。25.472.密碼是一種用來混淆的技術，使用者希望正常的（可識別的）信息轉變為無法識別的信息。但這種無法識別信息部分是可以再加工并恢復和破解的，小剛是某公司新進的員工，公司要求他注冊一個公司網站的賬號，小剛使用一個安全一點的密碼，請問以下選項中哪個密碼是最安全（）A、使用和與用戶名相同的口令B、選擇可以在任何字典或語言中找到的口令C、選擇任何和個人信息有關的口令D、采取數字，字母和特殊符號混合并且易于記憶【正確答案】：D26.102.下列哪一些對信息安全漏洞的描述是錯誤的?A、漏洞是存在于信息系統的某種缺陷。B、漏洞存在于一定的環境中，寄生在一定的客體上(如TOE中、過程中等)。C、具有可利用性和違規性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統的弱點【正確答案】：D解析：解釋：漏洞是人為故意或非故意引入的弱點。27.230.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應急突發重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統的重要過程、系統損失和社會影響三方面。D、根據信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別，特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B解析：應急響應管理流程的核心階段劃分存在關鍵知識點錯誤。根據國際通用標準，應急響應流程應為準備、檢測分析、遏制、根除、恢復、事后總結六個階段（NIST標準），或簡化為遏制、隔離、恢復、報告、跟蹤五階段。B選項將"隔離"錯誤表述為"處置"，并多出冗余階段，混淆了事件處置流程的核心環節。信息安全事件分級依據系統重要性、損失程度和社會影響三要素（C正確），劃分為四級（D正確），而應急響應定義本身涵蓋事前準備和事后措施（A正確）。28.337.為保障信息系統的安全，某經營公眾服務系統的公司準備并編制一份針對性的信息安全保障方案，并嚴格編制任務交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關于此項工作，下面說法錯誤的是（）A、、信息安全需求是安全方案設計和安全措施實施的依據B、、信息安全需求應當是從信息系統所有者（用戶）的角度出發，使用規范化，結構化的語言來描述信息系統安全保障需求C、、信息安全需求應當基于信息安全風險評估結果，業務需求和有關政策法規和標準的合規性要求得到D、、信息安全需求來自于該公眾服務信息系統的功能設計方案【正確答案】：D29.361.應急響應是信息安全事件管理的重要內容。基于應急響應工作的特點和事件的不規則性，事先創定出事件應急響應方法和過程，有助于一個組織在事件發生時阻止混亂的發生成是在混亂狀態中迅速恢復控制，將損失和負面影響降到最低。應急響應方法和過程并不是唯一的。一種被廣為接受的應急響應方法是將應急響應管理過程分為6個階段，為準備→檢測→遏制-，根除→恢復→跟蹤總結。請問下列說法有關于信息安全應急響應管理過程錯誤的是():A、、確定重要資產和風險，實施針對風險的防護措施是信息安全應急響應規劃過程中最關鍵的步驟B、、在檢測階段，首先要進行監測、報告及信息收集C、、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關閉所有系統、拔掉網線等D、、應按照應急響應計劃中事先制定的業務恢復優先順序和恢復步驟，順次恢復相關的系統【正確答案】：C30.309.為了解風險和控制風險，應當及時進行風險評估活動，我國有關文件指出：風險評估的工作形式可分為自評估和檢查評估兩種，關于自評估，下面選項中描述錯誤的是()。A、自評估是由信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估B、自評估應參照相應標準、依據制定的評估方案和準則，結合系統特定的安全要求實施C、自評估應當是由發起單位自行組織力量完成，而不應委托社會風險評估服務機構來實施D、周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統變化部分進行【正確答案】：C31.602.社會工程學是（）與（）結合的學科，準確來說，它不是一門科學，因為它不能總是重復合成功，并且在信息充分多的情況下它會失效。基于系統、體系、協議等技術體系缺陷的（），隨著時間流逝最終都會失效，因為系統的漏洞可以彌補，體系的缺陷可能隨著技術的發展完善或替代，社會工程學利用的是人性的“弱點”，而人性是（）,這使得它幾乎是永遠有效的（）。A、網絡安全；心理學；攻擊方式；永恒存在的；攻擊方式B、網絡安全；攻擊方式；心理學；永恒存在的；攻擊方式C、網絡安全；心理學；永恒存在的；攻擊方式D、網絡安全；攻擊方式；心理學；攻擊方式；永恒存在的【正確答案】：A32.59.在入侵檢測（IDS）的運行中，最常見的問題是：（）A、誤報檢測B、接收陷阱消息C、誤拒絕率D、拒絕服務攻擊【正確答案】：A33.267.根據信息安全風險要素之間的關系，下圖中空白處應該填寫（）A、資產B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：信息安全風險要素的核心關聯中，脆弱性是威脅能夠利用的資產固有弱點，二者結合導致風險產生。題目空白處需體現威脅與脆弱性之間的因果關系——威脅通過利用系統或資產存在的脆弱性（如技術缺陷或管理漏洞），觸發安全事件并形成實際風險。選項中僅"脆弱性"準確對應這一承上啟下的核心要素。34.318.在工程實施階段，監理機構依據承建合同、安全設計方案、實施方案、實施記錄、國家或地方相關標準和技術指導文件，對信息化工程進行安全____檢查，以驗證項目是否實現了項目設計目標和安全等級要求。A、功能性B、可用性C、保障性D、符合【正確答案】：D解析：監理機構在信息化工程安全監理中的職責，依據相關標準和合同文件，通過檢查驗證項目是否達到設計目標和安全等級要求。《信息化工程安全監理規范》明確指出此類檢查的核心是確認實際實施與合同、設計文件的吻合程度。選項A（功能性）、B（可用性）、C（保障性）均屬于工程特性指標，而題干強調的是對標準、合同及設計目標的“驗證”，屬于合規性審查。選項D（符合）直接對應“驗證”目的，描述了檢查的性質。35.435.常見密碼系統包含的元素是：A、明文，密文，信道，加密算法，解密算法B、明文，摘要，信道，加密算法，解密算法C、明文，密文，密鑰，加密算法，解密算法D、消息，密文，信道，加密算法，解密算法【正確答案】：C36.588.系統流程圖是描繪系統物理模型的傳統工具。（如下圖）它的基本思想是用圖形符號以黑盒子形式描繪系統里面的每個部件（程序、文件、數據庫、表格、人工過程等）。表達信息在各個部件之間流動的情況，那么系統流程圖用于可行性分析的（）的描述。A、當前運行系統B、當前邏輯模型C、目標系統D、新系統【正確答案】：B解析：系統流程圖作為一種傳統工具，主要用于物理模型的描述，以圖形符號展現系統內部各部件的信息流動。根據《系統分析與設計方法》相關內容，可行性分析階段需明確系統的邏輯結構，當前邏輯模型反映現有系統的業務過程和數據流程，系統流程圖通過抽象化的“黑盒子”形式，將物理部件轉換為邏輯層面的表達，從而支持可行性評估。選項B符合該階段對現有系統邏輯結構的分析需求，其他選項或涉及物理細節或未完成的設計，與流程圖在此階段的作用不符。37.478．下列關于測試方法的敘述中不正確的是（）A、從某種角度上講，白盒測試與墨盒測試都屬于動態測試B、功能測試屬于黑盒測試C、結構測試屬于白盒測試D、對功能的測試通常是要考慮程序的內部結構的【正確答案】：D38.118.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響的事件B、對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰略的一部分C、應急響應是信息安全事件管理的重要內容D、通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統提供保護，杜絕信息安全事件的發生【正確答案】：D解析：解釋：安全事件無法杜絕。39.539.操作系統是作為一個支撐軟件,使得你的程序或別的應用系統在上面正常運行的一個環境。操作系統提供了多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而下的破綻,都給網絡安全留下隱患。某公司的網絡維護師為實現該公司操作系統的安全目標,按書中所學建立了相應的安全機制,這些機制不包括（）A、標識與鑒別B、訪問控制C、權限管理D、網絡云盤存取保護【正確答案】：D40.152.信息安全管理體系（informationSecurityManagementSystem.簡稱ISMS）的實施和運行ISMS階段，是ISMS過程模型的實施階段（Do），下面給出了一些活動①制定風險處理計劃②實施風險處理計劃③開發有效性測量程序④實施培訓和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執行檢測事態和響應事件的程序⑧實施內部審核⑨實施風險再評估選的活動，選項（）描述了在此階段組織應進行的活動。A、①②③④⑤⑥B、①②③④⑤⑥⑦C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨【正確答案】：B解析：解釋：管理體系包括PDCA（Plan-Do-Check-Act）四個階段，題干中1-7的工作都屬于管理體系的實施階段（D-Do），而8和9屬于檢查階段（C-Check）。41.294.以下說法正確的是：A、驗收測試是由承建方和用戶按照用戶使用手冊執行軟件驗收B、軟件測試的目的是為了驗證軟件功能是否正確C、監理工程師應按照有關標準審查提交的測試計劃，并提出審查意見D、軟件測試計劃開始于軟件設計階段，完成于軟件開發階段【正確答案】：C42.630.目前應用面臨的威脅越來越多，越來越難發現。對應用系統潛在的威脅目前還沒有統一的分類，但小趙認為同事小李從對應用系統的攻擊手段角度出發所列出的四項例子中有一項不對，請問是下面哪一項（）A、數據訪問權限B、偽造身份C、釣魚攻擊D、遠程滲透【正確答案】：C43.51.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或對安全性較高的系統。強制訪問控制模型有多種類型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自學了BLP模型，并對該模型的特點進行了總結。以下4鐘對BLP模型的描述中，正確的是（）：A、BLP模型用于保證系統信息的機密性，規則是“向上讀，向下寫”B、LP模型用于保證系統信息的機密性，規則是“向下讀，向上寫”C、BLP模型用于保證系統信息的完整性，規則是“向上讀，向下寫”D、BLP模型用于保證系統信息的完整性，規則是“向下讀，向上寫”【正確答案】：B解析：BLP模型屬于強制訪問控制模型，側重于機密性保護。該模型由Bell和LaPadula提出，核心規則為“簡單安全特性”（不可上讀）和“*-特性”（不可下寫）。選項A的規則方向與BLP相反；選項B正確對應機密性及“下讀、上寫”原則；選項C、D將模型目的混淆為完整性（Biba模型用于完整性）。文獻參考：Bell-LaPadula模型定義于《SecureComputerSystems:MathematicalFoundations》。44.487．下面哪個階段不屬于軟件的開發時期A、詳細設計B、總體設計C、編碼D、需求分析【正確答案】：B45.240.有關系統安全工程-能力成熟度模型（sse-cmm）中的基本實施（BasePractices，BP），正確的理解是：A、BP是基于最新技術而制定的安全參數基本配置B、大部分P是沒有進過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：系統安全工程-能力成熟度模型（SSE-CMM）中定義的基本實施（BP）是模型的核心組成部分，用于描述安全工程過程中應包含的關鍵活動。根據SSE-CMM標準文檔，基本實施被設計為適用于組織整個生存周期，而非局限于某一特定工程階段。選項A混淆了BP與具體技術配置的關系；選項B錯誤地描述BP未經過驗證，而實際上BP是經過提煉的實踐；選項D中提到的重疊雖可能存在，但并非BP的固有特性。選項C準確反映了BP的全局性和跨階段適用性特點。46.127.自2004年1月起，國內各有關部門在申報信息安全國家標準計劃項目時，必須經由以下哪個組織提出工作意見，協調一致后由該組織申報。A、全國通信標準化技術委員會(TC485)B、全國信息安全標準化技術委員會(TC260)C、中國通信標準化協會(CCSA)D、網絡與信息安全技術工作委員會【正確答案】：B解析：解釋：答案為B。47.202.應用安全，一般是指保障應用程序使用過程和結果的安全。以下內容中不屬于應用安全防護考慮的是（）A、身份鑒別，應用系統應對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應用系統資源B、安全標記，在應用系統層面對主體和客體進行標記，主體不能隨意更改權限，增加訪問C、剩余信息保護，應用系統應加強硬盤、內存或緩沖區中剩余信息的保護，防止存儲在硬盤、內存或緩沖區的信息被非授權的訪問D、機房與設施安全，保證應用系統處于有一個安全的環境條件，包括機房環境、機房安全等級、機房的建造和機房的裝修等【正確答案】：D48.25.隨機進程名稱是惡意代碼迷惑管理員和系統安全檢查人員的技術手段之一,以下對于隨機進程名技術。描述正確的是（）。A、隨機進程名技術雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身B、惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C、惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D、隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發現真實的惡意代碼程序名稱【正確答案】：D解析：隨機進程名技術屬于惡意代碼對抗檢測的常見手段。該技術通過動態生成不同的進程名稱，避免使用固定標識，增加識別和追蹤難度。選項D準確反映了這一機制的核心目的：進程名動態變化使惡意代碼的真實身份難以關聯，提升隱蔽性。選項A混淆了進程名與程序實體關系；選項B錯誤假設殺毒軟件僅依賴名稱查殺；選項C描述的是進程隱藏技術而非名稱隨機化。此知識點可見《網絡安全攻防技術實戰》中對抗檢測策略相關內容。49.283.以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊A、LndB、UDPFloodC、SmurfD、Tearrop【正確答案】：D解析：流量型拒絕服務攻擊通過發送海量數據包耗盡目標資源，Land攻擊偽造源IP和目標IP相同的SYN包引發自攻，UDPFlood以大量UDP報文淹沒帶寬，Smurf利用ICMP廣播放大流量形成反射攻擊；而TearDrop通過發送異常分片偏移的IP包觸發協議棧重組漏洞導致系統崩潰，屬于畸形報文攻擊而非流量壓制型，故答案為D。50.404.ISO9001-2000標準在制定、實施質量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關于過程方法的示意圖，圖中括號空白處應填寫（）A、策略B、管理者C、組織D、活動【正確答案】：D解析：ISO9001-2000標準的過程方法強調質量管理體系通過相互關聯的過程管理實現顧客滿意。過程方法的基本邏輯為“輸入—活動—輸出”，其中活動是輸入轉化為輸出的核心環節。ISO9001:2000條款將過程定義為“使用資源將輸入轉化為輸出的活動系統”。示意圖中，輸入通過特定環節轉化為輸出，該環節即為實施轉換的“活動”。選項D“活動”對應這一邏輯，其余選項如策略、管理者、組織均未體現過程轉換的本質。51.8.SABSA模型包括(),它是個(),它在第一層從安全的角度定義了()。模型的每一層在抽象方向少，細節逐層增加，因此，它的層級都是建在其他層之上的，從策略逐漸到技術和解決方案的()。其思提出了個包括、戰略、概念、設計、實施、度量和審計層次的（）A、五層：業務需求:分層模型:實施實踐:安全鏈條B、六層：分層模型:業務需求:實施實踐:安全鏈條C、五層:分層模型:業務需求:實施實踐:安全鏈條D、六層:分層模型:實施實踐:業務需求:安全鏈條【正確答案】：B52.437.社會工程學定位在計算機信息安全工作鏈的一個最脆弱的環節，即“人”這個環節上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司，其中一名自稱是CSO雜志做安全調查，半小時內，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關于工作滿意度以及食堂食物質量問題后，雇員開始透露其他信息，包括：操作系統、服務包、殺毒軟件、電子郵件及瀏覽器。為對抗此類信息收集和分析，公司需要做的是（）A、、通過信息安全培訓，使相關信息發布人員了解信息收集風險，發布信息最小化原則B、、減少系統對外服務的端口數量，修改服務旗標C、、關閉不必要的服務，部署防火墻、IDS等措施D、、系統安全管理員使用漏洞掃描軟件對系統進行安全審計【正確答案】：A解析：社會工程學攻擊利用人為因素突破安全防線，核心在于防范非授權信息泄露。根據最小化原則和信息安全風險管理要求，防御此類攻擊需針對人員意識薄弱環節，通過培訓使員工識別敏感信息詢問并遵循必要限度披露。技術層面的端口控制或漏洞審計無法阻止社交誘導導致的信息主動泄露，唯有提升人員安全素養才能有效阻斷社會工程攻擊鏈條。53.288.關于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預期的輸入并監視異常結果來發現軟件故障，從而定位可能導致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經取代了傳統的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處【正確答案】：D54.176.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼的算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱作序列密碼算法D、常見的ES、IEA算法都屬于分組密碼算法【正確答案】：C解析：分組密碼算法和序列密碼算法是密碼學中的兩類不同加密方式。分組密碼算法將明文劃分為固定長度的塊進行處理，例如DES、AES等，每個明文塊生成等長的密文塊。序列密碼算法則逐比特或逐字節加密，如RC4。國際標準中明確區分這兩類算法（如NISTSP800-38A）。選項C將分組密碼與序列密碼等同，與定義矛盾。選項A、B描述了分組密碼的基本特征，符合標準定義；選項D提到的“ES”可能為DES筆誤，“IEA”可能指IDEA，均屬于分組密碼。55.12.CC標準是目前系統安全認證方面最權威的標準，以下哪一項沒有體現CC標準的先進性：A、結構的開放性B、表達方式的通用性C、獨立性D、實用性【正確答案】：C56.34.安全漏洞產生的原因不包括以下哪一點()A、軟件系統代碼的復雜性B、軟件系統市場出現信息不對稱現象C、復雜異構的網絡環境D、攻擊者的惡意利用【正確答案】：D57.416.某學員在學習國家標準《信息系統安全保障評估框架第一部分：簡介和一般模型》（GBT20274.1-2006）后，繪制了一張簡化的信息系統安全保障模型圖，如下所示。請為圖中括號空白處選擇合適的選項（）A、安全保障（方針和組織）B、安全防護（技術和管理）C、深度防御（策略、防護、檢測、響應）D、保障要素（管理、工程、技術、人員）【正確答案】：D58.474.在軟件項目開發過程中，評估軟件項目風險時，（）與風險無關。A、高級管理人員是否正式承諾支持該項目B、開發人員和用戶是否充分理解系統的需求C、最終用戶是否同意部署已開發的系統D、開發需求的資金是否能按時到位【正確答案】：C59.122.《信息安全技術信息安全風險評估規范》（GBT20984-2007）中關于信息系統生命周期各階段的風險評估描述不正確的是：A、規劃階段風險評估的目的是識別系統的業務戰略，以支撐系統安全需求及安全戰略等B、設計階段的風險評估需要根據規劃階段所明確的系統運行環境、資產重要性，提出安全功能需求C、實施階段風險評估的目的是根據系統安全需求和運行環境對系統開發、實施過程進行風險識別，并對系統建成后的安全功能進行驗證D、運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種全面的風險評估。評估內容包括對真實運行的信息系統、資產、脆弱性等各方面【正確答案】：D解析：解釋：該題目來源于《信息安全技術信息安全風險評估規范》（GBT20984-2007），其原文描述D為“是一種較全面的風險評估”。60.181.某公司的對外公開網站主頁經常被黑客攻擊后修改主頁內容，該公司應當購買并部署下面哪個設備（）A、安全路由器B、網絡審計系統C、網頁防篡改系統D、虛擬專用網（VirtualPrivateNetwork，VPN）系統【正確答案】：C解析：解釋：網頁防篡改系統用來防范WEB篡改。61.621.隨著計算機在商業和民用領域的應用，安全需求變得越來越多樣化，自主訪問控制和強制訪問控制難以適應需求，基于角色的訪問控制（RBAC）逐漸成為安全領域的一個研究熱點。RBAC模型可以分為RBAC0、RBAC1、RBAC2和RBAC3四種類型，它們之間存在相互包含關系。下列選項中，對它們之間的關系描述錯誤的是（）。A、RBACO是基于模型，RBAC1、RBAC2和RBAC3都包含RBAC0B、RBAC1在RBAC0的基礎上，加入了角色等級的概念C、RBAC2在RBAC1的基礎上，加入了約束的概念D、RBAC3結合RBAC1和RBAC2，同時具備角色等級和約束【正確答案】：C62.142.下面關于信息系統安全保障的說法不正確的是：A、信息系統安全保障與信息系統的規劃組織、開發采購、實施交付、運行維護和廢棄等生命周期密切相關B、信息系統安全保障要素包括信息的完整性、可用性和保密性C、信息系統安全需要從技術、工程、管理和人員四個領域進行綜合保障D、信息系統安全保障需要將信息系統面臨的風險降低到可接受的程度，從而實現其業務使命【正確答案】：B63.569.信息安全風險值應該是以下哪些因素的函數？（）A、信息資產的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業秘密等D、網絡、系統、應用的復雜程度【正確答案】：A64.278.對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關于以下預防措施或意識，說法錯誤的是：A、在使用來自外部的移動介質前，需要進行安全掃描B、限制用戶對管理員權限的使用C、開放所有端口和服務，充分使用系統資源D、不要從不可信來源下載或執行應用程序【正確答案】：C65.254.關于信息安全管理體系，國際上有標準（ISOIEC27001:2013）而我國發布了《信息技術安全技術信息安全管理體系要求》(GBT22080-2008）請問，這兩個標準的關系是：A、IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改B、EQV(等效采用)，此國家標準不等效于該國際標準C、NEQ（非等效采用），此國家標準不等效于該國際標準D、沒有采用與否的關系，兩者之間版本不同，不應該直接比較【正確答案】：D66.469.優秀源代碼審核工具有哪些特點（）１安全性２多平臺性３可擴民性４知識性５集成性A、12345B、234C、1234D、23【正確答案】：A67.159.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據各自的實際情況選擇適當的風險評估方法。下面的描述中錯誤的是（）。A、定量風險分析試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，以度量風險的可能性和缺失量B、定量風險分析相比定性風險分析能得到準確的數值，所以在實際工作中應使用定量風險分析，而不應選擇定性風險分析C、定性風險分析過程中，往往需要憑借分析者的經驗和直覺進行，所以分析結果和風險評估團隊的素質、經驗和知識技能密切相關D、定性風險分析更具主觀性，而定量風險分析更具客觀性【正確答案】：B解析：信息安全風險評估方法中，定量分析通過財務數據量化風險的可能性和影響，定性分析依賴經驗和直覺，結果受團隊能力影響。定性分析主觀性強，定量更具客觀性。選項B錯誤認為定量分析更準確，應完全替代定性，忽視了實際應用中定性方法的必要性。定量方法需要充足數據支持，而許多場景難以量化，兩者應結合使用。參考來源：《信息安全風險管理實踐指南》。68.90.某公司已有漏洞掃描和入侵檢測系統(IntrusionDetectionSystem，IDS)產品，需要購買防火墻，以下做法應當優先考慮的是：A、選購當前技術最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產品D、選購一款同已有安全產品聯動的防火墻【正確答案】：D69.616.隨著計算機和網絡技術的迅速發展，人們對網絡的依賴性達到了前所未有的程度，網絡安全也面臨著越來越嚴峻的考驗。如何保障網絡安全就顯得非常重要，而網絡安全評估是保證網絡安全的重要環節。以下不屬于網絡安全評估內容的是（）A、數據加密B、漏洞檢測C、風險評估D、安全審計【正確答案】：A70.34.安全漏洞產生的原因不包括以下哪一點()A、軟件系統代碼的復雜性B、軟件系統市場出現信息不對稱現象C、復雜異構的網絡環境D、攻擊者的惡意利用【正確答案】：D71.100.安全的運行環境是軟件安全的基礎，操作系統安全配置是確保運行環境安全必不可少的工作，某管理員對即將上線的Windows操作系統進行了以下四項安全部署工作，其中哪項設置不利于提高運行環境安全?A、操作系統安裝完成后安裝最新的安全補丁，確保操作系統不存在可被利用的安全漏洞B、為了方便進行數據備份，安裝Windows操作系統時只使用一個分區C，所有數據和操作系統都存放在C盤C、操作系統上部署防病毒軟件，以對抗病毒的威脅D、將默認的管理員賬號Administrator改名，降低口令暴力破解攻擊的發生可能【正確答案】：B解析：操作系統安全配置中，合理分區是基本要求。Microsoft安全指南建議將系統文件與用戶數據分離，避免單點故障導致的數據全盤丟失。選項B將所有數據與系統置于同一分區，若系統遭受攻擊或崩潰，數據難以隔離和保護，增加了安全風險。其他選項如補丁更新、防病毒軟件部署、默認賬戶改名均為常見安全加固措施。72.592.分析針對Web的攻擊前，先要明白http協議本身是不存在安全性的問題的，就是說攻擊者不會把它當作攻擊的對象。而是應用了http協議的服務器或則客戶端、以及運行的服務器的wed應用資源才是攻擊的目標。針對Web應用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當中錯誤的是（）A、拒絕服務攻擊B、網址重定向C、傳輸保護不足D、錯誤的訪問控制【正確答案】：D73.475．物理安全是一個非常關鍵的領域包括環境安全、設施安全與傳輸安全。其中，信息系統的設施作為直存儲、處理數據的載體，其安全性對信息系統至關重要。下列選項中，對設施安全的保障的描述正確的是（）。A、安全區域不僅包含物理區域，還包含信息系統等軟件區域B、建立安全區域需要建立安全屏蔽及訪問控制機制C、由于傳統門鎖容易被破解，因此禁止采用門鎖的方式進行邊界防護D、閉路電視監控系統的前端設備包括攝像機、數字式控制錄像設備后端設備包括中央控制設備、監視器等【正確答案】：B解析：解答：B描述了物理安全措施。74.296.國家科學技術秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述?A、處于國際先進水平，并且有軍事用途或者對經濟建設具有重要影響的B、能夠局部反應國家防御和治安實力的C、我國獨有、不受自然條件因素制約、能體現民族特色的精華，并且社會效益或者經濟效益顯著的傳統工藝D、國際領先，并且對國防建設或者經濟建設具有特別重大影響的【正確答案】：D解析：解釋：D為絕密級。75.132.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應對突發重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統的重要程度、系統損失和社會影響三方面因素D、根據信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件(Ⅰ級)、重大事件(Ⅱ級)、較大事件(Ⅲ級)和一般事件(Ⅳ級)【正確答案】：B76.203.ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ（簡稱Ａｐａｃｈｅ）是一個開放源碼的ＷＥＢ服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發送給客戶端。從安全角度出發，為隱藏這些信息，應當采取以下那種措施（）A、安裝后，修改訪問控制配置文件B、安裝后，修改配置文件Httpd．Conf中的有關參數C、安裝后，刪除ＡｐａｈｅＨｔｔｐＳｅｒｖｅｒ源碼D、從正確的官方網站下載ＡｐａｃｈｅＨｔｔｐＳｅｒｖｅｒ，并安裝使用【正確答案】：B解析：Apache的安全配置中，隱藏服務器版本信息需要修改`httpd.conf`文件。Apache官方文檔指出，通過設置`ServerTokens`和`ServerSignature`參數可控制返回客戶端的服務器信息。選項B涉及直接修改該配置文件，選項A與訪問控制相關，選項C不影響已安裝的二進制文件，選項D雖安全但不解決版本信息問題。77.455.如下圖所示，Alice用Bob的密鑰加密明文，將密文發送給Bob，Bob再用自己的私鑰解密，恢復出明文以下說法正確的是：A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制【正確答案】：D解析：在密碼學中，公鑰密碼體制（非對稱密碼）的特點是使用一對密鑰：公鑰和私鑰。公鑰用于加密，私鑰用于解密。題目中，Alice使用Bob的密鑰加密，Bob用私鑰解密，符合公鑰密碼的定義。對稱密碼（私鑰、單鑰）要求加解密使用相同密鑰，與題干描述的密鑰使用方式不符。RSA等公鑰算法正是基于這一機制。選項D正確，其他選項均指向對稱密碼，故排除。78.348.以下哪一項不是常見威脅對應的消減措施：A、假冒攻擊可以采用身份認證機制來防范B、為了防止傳輸的信息被篡改，收發雙方可以使用單向Hash函數來驗證數據的完整性C、為了防止發送方否認曾經發送過的消息，收發雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權限，可以采用訪問控制表的方式來管理權限【正確答案】：C79.72.與PDR模型相比，P2DR模型多了哪一個環節?A、防護B、檢測C、反應D、策略【正確答案】：D解析：PDR模型包含防護（Protection）、檢測（Detection）、響應（Response）。P2DR模型在PDR基礎上引入了策略（Policy）作為核心，用于指導安全活動的整體框架與決策。策略環節的加入使模型更強調動態調整與全局管理。該內容源自經典網絡安全模型對比分析。選項D對應策略，其余選項均為PDR原有部分。80.426.以下對Windows賬號的描述，正確的是：A、Windows系統是采用SID（安全標識符）來標識用戶對文件或文件夾的權限B、Windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、Windows系統默認會生成administrator和guest兩個賬號，兩個賬號都不允許改名和刪除D、Winows系統默認生成aministrator和guest兩個賬號，兩個賬號都可以改名和刪除【正確答案】：A解析：Windows系統的權限管理機制中，SID（安全標識符）是核心概念。每個用戶、組在創建時會被分配唯一的SID，系統通過SID而非用戶名來記錄和驗證權限（微軟官方文檔《Windows安全標識符》）。選項A正確描述了這一機制。選項B錯誤，因用戶名僅用于交互顯示，權限綁定的是SID。選項C中"administrator不允許改名"不符合實際，該內置賬戶允許重命名但不可刪除；選項D錯誤，guest賬戶可禁用但不可刪除。兩個默認賬戶均無法徹底刪除，僅能禁用或重命名（Windows本地安全策略說明）。81.512.組織應依照已確定的訪問控制策略限制對信息和()功能的訪間。對訪間的限制要基于各個業務應用要求,訪問控制策略還要與組織的訪問策略一致。應建立安全登錄規程控制實現對系統和應用的訪問。宜選擇合適的身份驗證技術以驗證用戶身份。在需要強認證和()時,宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應建立交互式的口令管理系統,并確保使用優質的口令。對于可能覆蓋系統和應用的控制措施的實用工具和程序的使用,應加以限制并()。對程序源代碼和相關事項(例如設計、說明書、驗證計劃和確認計劃的訪問宜嚴格控制，以防引入非授權功能、避免無意識的變更和維持有價值的知識產權的（）。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現,更好的是放在()中A、應用系統:身份驗證:嚴格控制;保密性:源程序庫B、身份驗證;應用系統;嚴格控制:保密性;源程序庫C、應用系統;嚴格控制:身份驗證;保密性;源程序庫D、應用系統;保密性;身份驗證;嚴格控制;源程序庫【正確答案】：A82.636.下列關于面向對象測試問題的說法中，不正確的是（）A、在面向對象軟件測試時，設計每個類的測試用例時，不僅僅要考慮用各個成員方法的輸入參數，還需要考慮如何設計調用的序列B、構造抽象類的驅動程序會比構造其他類的驅動程序復雜C、類B繼承自類A，如果對B進行了嚴格的測試，就意味著不需再對類A進行測試D、在存在多態的情況下，為了達到較高的測試充分性，應對所有可能的綁定都進行測試【正確答案】：C83.52.一個信息管理系統通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統中，教師能夠錄入學生的考試成績，學生只能查看自己的分數，而學校教務部門的管理人員能夠對課程信息、學生的選課信息等內容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是：A、對經過身份鑒別后的合法用戶提供所有服務B、拒絕非法用戶的非授權訪問請求C、在用戶對系統資源提供最大限度共享的基礎上，對用戶的訪問權進行管理D、防止對信息的非授權篡改和濫用【正確答案】：A84.48.小李在檢查公司對外服務網站的源代碼時，發現程序在發生諸如沒有找到資源、數據庫連接錯誤、寫臨時文件錯誤等問題時，會將詳細的錯誤原因在結果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。將詳細的錯誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發生內部錯誤!”.請問，這種處理方法的主要目的是()。A避免緩沖區溢出B、安全處理系統異常C安全使用臨時文件D、最小化反饋信息【正確答案】：D解析：該題考察錯誤信息處理的安全原則。依據安全最佳實踐，系統應避免向用戶暴露詳細錯誤信息，防止攻擊者利用這些信息進行定向攻擊。例如，泄露數據庫結構或文件路徑可能增加系統遭受攻擊的風險。修改后僅顯示通用提示，減少了潛在的信息泄露渠道。選項D符合這一原則，其他選項與錯誤信息處理無直接關聯。85.619.終端訪問控制器訪問控制系統（TerminalAccessControllerAccess-ControlSystem,TACACS）由RFC1492定義，標準的TACACS協議只認證用戶是否可以登錄系統，目前已經很少使用，TACACS+協議由Cisco公司提出，主要應用于Ciso公司的產品中，運行與TCP協議之上。TACACS+協議分為（）兩個不同的過程A、認證和授權B、加密和認證C、數字簽名和認證D、訪問控制和加密【正確答案】：A86.118.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響的事件B、對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰略的一部分C、應急響應是信息安全事件管理的重要內容D、通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統提供保護，杜絕信息安全事件的發生【正確答案】：D87.65.某銀行網上交易系統開發項目在最好階段分析系統運行過程中可能存在的攻擊，請問以下中，哪一項不能降低該系統的受攻擊面（）A、遠程用戶或頻繁運行身份認證B、遠程用戶訪問需要管理員權限C、關閉不必要的系統服務D、當用戶訪問其賬戶采用嚴格的身份認證規則【正確答案】：B88.590.在PDR模型的基礎上，發展成為了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保護-檢測-響應。模型的核心是：所有的防護、檢測、響應都是依據安全策略實施的。在PPDR模型中，策略指的是信息系統的安全策略，包括訪問控制策略、加密通信策略、身份認證測錄、備份恢復策略等。策略體系的建立包括安全策略的制定、（）等；防護指的是通過部署和采用安全技術來提高網絡的防護能力，如（）、防火墻、入侵檢測、加密技術、身份認證等技術；檢測指的是利用信息安全檢測工具，監視、分析、審計網絡活動，了解判斷網絡系統的（）。檢測這一環節，使安全防護從被動防護演進到主動防御，是整個模型動態性的體現，主要方法包括；實時監控、檢測、報警等；響應指的是在檢測到安全漏洞和安全事件，通過及時的響應措施將網絡系統的（）調整到風險最低的狀態，包括恢復系統功能和數據，啟動備份系統等。啟動備份系統等。其主要方法包括：關閉服務、跟蹤、反擊、消除影響等。A、評估與執行；訪問控制；安全狀態；安全性B、評估與執行；安全狀態；訪問控制；安全性C、訪問控制；評估與執行；安全狀態；安全性D、安全狀態，評估與執行；訪問控制；安全性【正確答案】：A89.74.2008年1月2日，美國發布第54號總統令，建立國家網絡安全綜合計劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；第三道防線，強化未來安全環境．從以上內容，我們可以看出以下哪種分析是正確的：A、CNCI是以風險為核心，三道防線首要的任務是降低其網絡所面臨的風險B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內部的C、NI的目的是盡快研發并部署新技術徹底改變其糟糕的網絡安全現狀，而不是在現在的網絡基礎上修修補補D、CNCI徹底改變了以往的美國信息安全戰略，不再把關鍵基礎設施視為信息安全保障重點，而是追求所有網絡和系統的全面安全保障【正確答案】：A解析：美國第54號總統令建立的國家網絡安全綜合計劃（CNCI）明確提出了三道防線的戰略框架：預防入侵、應對威脅、強化未來安全環境。該計劃的核心邏輯圍繞風險管理展開，通過減少系統漏洞（第一道防線）、及時響應攻擊（第二道防線）以及構建長期安全能力（第三道防線），系統性降低網絡風險。選項A符合CNCI公開文件中“以風險為核心”的戰略導向，三道防線均服務于風險緩解的核心目標，體現了網絡安全防御體系的層次化設計原則。其他選項與CNCI官方表述存在偏差。90.14.以下哪個現象較好的印證了信息安全特征中的動態性()A、經過數十年的發展，互聯網上已經接入了數億臺各種電子設備B、剛剛經過風險評估并針對風險采取處理措施后僅一周，新的系統漏洞使得信息系統面臨新的風險C、某公司的信息系統面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產品，但服務器中數據仍然產生了泄露【正確答案】：B91.536.惡意軟件抗分析技術的發展,惡意軟件廣泛使用了加殼、加密、混淆等抗分析技術，對惡意軟件的分析難度越來越大。對惡意代碼分析的研究已經成為信息安全領域的一個研究熱點。小趙通過查閱發現一些安全軟件的沙箱功能實際上是虛擬化技術的應用,是動態分析中廣泛采用的一種技術。小趙列出了一些動態分析的知識,其中錯誤的是（）A、動態分析是指在虛擬運行環境中,使用測試及監控軟件,檢測惡意代碼行為,分析其執行流程及處理數據的狀態,從而判斷惡意代碼的性質,并掌握其行為特點B、動態分析針對性強,并且具有較高的準確性,但由于其分析過程中覆蓋的執行路徑有限,分析的完整性難以保證C、動態分析通過對其二進制文件的分析,獲得惡意代碼的基本結構和特征,了解其工作方式和機制D、動態分析通過監控系統進程、文件和注冊表等方面出現的非正常操作和變化,可以對惡意代碼非法行為進行分析【正確答案】：C92.571.軟件危機是指落后的軟件生產方式無法滿足迅速增長的計算機軟件需求，從而導致軟件開發與維護過程中出現一系列嚴重問題的現象。為了克服軟件危機，人們提出了用（）的原理來設計軟件，這就是軟件工程誕生的基礎A、數學B、軟件學C、運籌學D、工程學【正確答案】：D93.268.信息安全標準化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據，同時也是保護國家利益，促進產業發展的重要手段之一，關于我國標準化工作，下面選項中描述錯誤的是（）A、我國是在國家質量監督檢驗疫總局管理下，由國家標準化管理委員會統一管理全國標準化工作，下設專業技術委員會B、事關國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，切實有效地保護國家利益和安全C、我國歸口信息安全方面標準是“全國信息安全標準化技術委員會”，為加強有關工作，2016在其下設立“大數據安全特別工作組”D、信息安全標準化工作是解決信息安全問題的重要技術支撐，其主要作業突出體現在能夠確保有關產品、設施的技術先進性、可靠性和一致性【正確答案】：B解析：我國信息安全標準化工作遵循國際標準化的通用規則，并在必要時結合國情制定自主標準，而非完全排斥國際標準。國際標準如ISOIEC系列常被各國采納，我國同樣在部分領域采用國際標準的基礎上進行補充或調整。全國信息安全標準化技術委員會（TC260）負責歸口管理，部分標準與國際接軌，例如等同采用ISOIEC27001為國家標準GBT22080。選項B中“不能和國際標準相同”的表述違背了標準化工作“積極采用國際標準”的原則。選項D的“技術先進性”雖非標準化首要目的，但“確保一致性”符合標準化的核心作用。TC260于2016年設立大數據安全特別工作組，選項C正確。選項A描述的標準化管理體系符合《中華人民共和國標準化法》規定。94.83.以下哪一項不是工作在網絡第二層的隧道協議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：網絡第二層（數據鏈路層）的隧道協議主要用于封裝和傳輸數據鏈路層幀。VTP（VLANTrunkingProtocol）是Cisco開發的用于同步交換機間VLAN信息的協議，屬于網絡管理協議，不具備隧道功能。L2F、L2TP和PPTP均為典型的數據鏈路層隧道協議。參考RFC2661（L2TP）、RFC2637（PPTP）、Cisco文檔（L2FVTP）。選項A不具備隧道功能，其余選項均為第二層隧道協議。95.245.具有行政法律責任強制的安全管理規定和安全制度包括1>安全事件（包括安全事故）報告制度2>安全等級保護制度3>信息系統安全監控4>安全專用產品銷售許可證制度A、1，2，4B、2，3C、2，3,4D、1，2,3【正確答案】：A96.282.通過向被攻擊者發送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網絡信息流時，這種攻擊稱之為：A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊保密D、ICMPFlood【正確答案】：D解析：該題目涉及網絡攻擊類型識別。根據題干描述，攻擊者通過發送大量ICMP回應請求耗盡目標資源，屬于典型的洪水攻擊方式。ICMPFlood直接利用ICMP協議（如Ping命令）進行流量淹沒，符合題干特征。Land攻擊利用偽造源IP的TCP數據包，Smurf攻擊利用IP廣播地址放大流量，PingofDeath通過發送超大數據包導致系統崩潰。參考《網絡安全原理與實踐》（RFC792對ICMP協議的定義），選項D準確對應題干描述的攻擊手法。97.421.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統災難恢復中重要概念，關于這兩個值能否為零，正確的選項是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：恢復時間目標（RTO）指災難后系統恢復所需的最長時間，恢復點目標（RPO）指允許的最大數據丟失量。根據《信息系統災難恢復規范》及相關標準，RTO為0表示實時恢復（如高可用集群瞬時切換），RPO為0表示數據零丟失（通過同步復制技術實現）。選項A提到兩者均可為0，技術層面存在可能，例如金融核心系統采用實時雙活架構，實現故障秒級切換且數據實時同步，此時RTO和RPO均趨近于0。選項B、C、D認為至少一個不可為0，忽略了實際案例中通過冗余資源投入可實現的理論極限。98.593.某商貿公司信息安全管理員考慮到信息系統對業務影響越來越重要，計劃編制本單位信息安全應急響應預案，在向主管領導寫報告時，他列舉了編制信息安全應急響應預案的好處和重要性，在他羅列的四條理由中，其中不適合作為理由的一條是（）A、應急預案是明確關鍵業務系統信息安全應急響應指揮體系和工作機制的重要方式B、應急預案是提高應對網絡和信息體統突發事件能力，較少突發事件造成的損失和危害，保障信息系統運行平穩、安全、有序、高效的手段C、編制應急預案是國家網絡安全法對所有單位的強制要求，因此必須建設D、應急預案是保障單位業務系統信息安全的重要措施【正確答案】：C解析：《中華人民共和國網絡安全法》第五十三條要求關鍵信息基礎設施運營者制定應急預案，但并未強制所有單位編制。選項C將適用范圍擴大至所有單位，與法規表述不符。選項A、B、D均對應應急預案的實際功能，如明確工作機制、提升應急能力、保障業務安全等核心價值。選項C錯誤在于擴大了法律強制范圍。99.396.關于Kerberos認證協議，以下說法錯誤的是：A、只要用戶拿到了認證服務器（AS）發送的票據許可票據（TGT）并且該TGT沒有過期，就可以使用該TGT通過票據授權服務器（TGS）完成到任一個服務器的認證而不必重新輸入密碼B、認證服務器（AS）和票據授權服務器（TGS）是集中式管理，容易形成瓶頸，系統的性能和安全也嚴重依賴于AS和TGS的性能和安全C、該協議通過用戶獲得票據許可票據、用戶獲得服務許可票據、用戶獲得服務三階段，僅支持服務器對用戶的單向認證D、該協議是一種基于對稱密碼算法的網絡認證協議，隨用戶數量增加，密鑰管理較復雜【正確答案】：C解析：Kerberos認證協議中，認證過程分為獲取票據許可票據（TGT）、獲取服務許可票據（ST）、獲取服務三個階段。Kerberos不僅實現服務器對用戶的認證，也通過服務票據中的加密部分確保用戶對服務器的認證，形成雙向認證。選項C錯誤描述為“僅支持單向認證”。《網絡安全協議分析與案例實踐》明確指出Kerberos雙向認證特性。選項A正確，TGT有效期內無需重復認證；選項B正確，ASTGS集中式架構存在單點問題；選項D正確，對稱加密導致密鑰管理復雜度隨用戶量增加。100.211.某軟件公司準備提高其開發軟件的安全性，在公司內部發起了有關軟件開發生命周期的討論，在下面的發言觀點中，正確的是（）A、軟件安全開發生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決９０％以上的安全問題B、應當盡早在軟件開發的需求和設計階段就增加一定的安全措施，這樣可以比在軟件發布以后進行漏洞修復所花的代價少的多。C、和傳統的軟件開發階段相比，微軟提出的安全開發生命周期的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業性，如果該開發人員已經對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試【正確答案】：B解析：軟件安全開發的核心在于早期介入。微軟安全開發生命周期（SDL）強調在需求階段識別安全需求，設計階段實施威脅建模。選項A忽略需求與設計階段的關鍵作用，僅關注編碼階段不符合SDL原則；選項C錯誤描述SDL特點，其核心并非新增安全編碼階段，而是將安全活動集成到各階段；選項D違反獨立驗證原則，第三方測試可避免開發盲區。選項B符合"左移"理念，修復成本隨階段推移呈指數級增長，相關理論可參考NIST《安全開發生命周期指南》中關于漏洞修復成本曲線的研究。101.267.根據信息安全風險要素之間的關系，下圖中空白處應該填寫（）A、、資產B、、安全事件C、、脆弱性D、、安全措施【正確答案】：C102.591.現如今的時代是信息的時代，每天都會有大量的信息流通或交互，但自從斯諾登曝光美國政府的“棱鏡”計劃之后，信息安全問題也成為了每個人乃至整個國家所不得不重視的問題，而網絡信息對抗技術與電子信息對抗技術也成為了這個問題的核心。某公司為有效對抗信息收集和分析，讓該公司一位網絡工程師提出可行的參考建議，在改網絡工程師的建議中錯誤的是（）A、通過信息安全培訓，使相關信息發布人員了解信息收集的風險B、發布信息應采取最小原則，所有不是必要的信息都不發布C、重點單位應建立信息發布審查機制，對發布的信息進行審核，避免敏感信息的泄露D、增加系統中對外服務的端口數量，提高會話效率【正確答案】：D解析：信息安全對抗技術中，合理的安全策略應減少潛在攻擊面。美國國家標準與技術研究院（NIST）SP800-53提出系統需限制開放端口以降低風險。選項D建議增加對外服務端口數量，這會擴大系統暴露面，攻擊者可能利用多余端口進行入侵或數據竊取，違背最小權限原則。其他選