第頁信息安全與質量管理相關知識試卷及答案要點1.[]防火墻是網絡信息系統建設中常常采用的一類產品,它在內外網隔離方面的作用是()A、既能物理隔離,又能邏輯隔離B、能物理隔離,但不能邏輯隔離C、不能物理隔離,但是能邏輯隔離D、不能物理隔離,也不能邏輯隔離【正確答案】：C解析：能邏輯隔離,不能物理隔離2.[]實體身份鑒別的方法多種多樣,且隨著技術的進步,鑒別方法的強度不斷提高,常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖,小王作為合法用戶使用自己的賬戶進行支付、轉賬等操作。這說法屬于下列選項中的()A、實體所知的鑒別方法B、實體所有的鑒別方法C、實體特征的鑒別方法D、實體所見的鑒別方法【正確答案】：C解析：指紋鑒別屬于實體特征。3.[]關于信息安全事件管理和應急響應,下列說法錯誤的是:()。A、應急響應是指組織為了應對突發重大信息安全事件的發生所做的準備,以及在事件發生后所采取的措施。B、應急響應方法,將應急響應管理過程分為遏制.根除.處置.恢復.報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統的重要程度.系統損失和社會影響三方面因素D、根據信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別:特別重要事件(I級).重大事件(II級).較大事件(III級)和一般事件(IV級)【正確答案】：B解析：應急響應的6個階段:準備檢測遏制根除恢復總結4.[]某網站為了開發的便利,使用SA連接數據庫,由于網站腳本中被發現存在SQL注入漏洞,導致攻擊者利用內置存儲過程XP_cmdshell刪除了系統中的一個重要文件,在進行問題分析時,作為安全專家,你應該指出該網站設計違反了以下哪項原則:A、權限分離原則B、最小特權原則C、保護最薄弱環節的原則D、縱深防御的原則【正確答案】：C解析：保障最弱環節,這個主要強調的是漏洞利用,有漏洞是違反了保護最薄弱環節5.[]在可信計算機系統評估準則(TCSEC)中,下列哪一項是滿足強制保護要求的最低級別?A、C2B、C1C、B2D、B1【正確答案】：D解析：TCSEC分為DCBA級別,D級是最小保護級,C級是可選保護級,B級是強制保護級分為B1-B2-B3,B1是強制最小保護級,A級是驗證保護級6.[].ISO9001-2000標準鼓勵在指定.實施質量管理體系以及改進其他有效性時采用過程方法,通過滿足顧客要求,增進客戶滿意,下圖是關于過程方法的示意圖,圖中括號空白處應填寫()。A、策略B、管理者C、組織D、活動【正確答案】：D解析：這個屬于ISMS的安全管理過程方法,責任人下邊的空應該填的是活動,記住即可7.[]針對軟件的拒絕服務攻擊是通過消耗系統資源使軟件無法響應正常請求的一種攻擊方式,在軟件開發時分析拒絕服務攻擊的威脅,以下哪個不是需要考慮的攻擊方式:A、攻擊者利用軟件存在邏輯錯誤,通過發送某種類型數據導致運算進入死循環,CPU資源占用始終100%B、攻擊者利用軟件腳本使用多重嵌套查詢,在數據量大時會導致查詢效率低,通過發送大量的查詢導致數據庫響應緩慢C、攻擊者利用軟件不自動釋放連接的問題,通過發送大量連接消耗軟件并發連接數,導致并發連接數耗盡而無法訪問D、攻擊者買通了IDC人員,將某軟件運行服務器的網線拔掉導致無法訪問【正確答案】：D解析：拔掉網線是物理破壞,不屬于消耗系統資源。8.[]為了能夠合理.有序地處理安全事件,應事先制定出事件應急響應方法和過程,有助于一個組織在事件發生時組織混亂的發生或是在混亂狀態中迅速恢復控制,將損失和負面印象降至最低。PDCERF方法論是一種廣泛使用的方法,其將應急響應分為六個階段,如下如所示,請為圖中括號空白處選擇合適的內容()。A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D9.[]客戶采購和使用云計算服務的過程可分為四個階段:規劃準備、選擇服務商和部署、運行監管、退出服務。如圖所示。在()階段,客戶應分析釆用云計算服務的效益,確定自身的數據和業務類型,判定是否適合采用云計算服務。A、退出服務B、規劃準備C、運行監管D、選擇服務商與部署【正確答案】：B解析：分析研判屬于PDCA中P的階段,這里就是規劃準備。10.[]2003年以來,我國高度重視信息安全保障工作,先后制定并發布了多個文件,從政策層面為開展并推進信息安全保障工作進行了規劃。下面選項中哪個不是我國發布的文件()。A、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)B、《國家網絡安全綜合計劃(CNCI)》(國令[2008]54號)C、《國家信息安全戰略報告》(國信[2005]2號)D、《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012]23號)【正確答案】：B解析：B是美國的文件。11.[]下列選項中,與面向構件提供者的構件測試目標無關的是().A、檢查為特定項目而創建的新構件的質量B、檢查在特定平臺和操作環境中構件的復用、打包、和部署C、盡可能多地揭示構件錯誤D、驗證構件的功能、借口、行為和性能【正確答案】：C12.[]王工是某單位的系統管理員,他在某次參加了單位組織的風險管理工作時,根據任務安排,他使用了Nessus工具來掃描和發現數據庫服務器的漏洞,根據風險管理的相關理論,他這個是掃描活動屬于下面哪一個階段的工作()A、風險分析B、風險要素識別C、風險結果判定D、風險處理【正確答案】：B解析：漏洞掃描屬于風險要素的脆弱性要素識別,風險要素包括資產、威脅、脆弱性、安全措施。13.[]網絡與信息安全應急預案是在分析網絡與信息系統突發事件后果和應急能力的基礎上,針對可能發生的重大網絡與信息系統突發事件,預先制定的行動計劃和應急對策。應急預案的實施需要各子系統的相互配合與協調,下面應急響應工作流程圖中,空白方框中從右到左依次填入的是()A、應急響應專家小組、應急響應技術保障小組、應急響應實施小組、應急響應日、常運行小組B、應急響應專家小組、應急響應實施小組、應急響應技術保障小組、應急響應曰常運行小組C、應急響應技術保障小組、應急響應專家小組、應急響應實施小組、應急響應曰常運行小組D、應急響應技術保障小組、應急響應專家小組、應急響應日常運行小組、應急響應實施小組【正確答案】：A14.[]Myera在1979年提出了一個重要觀點。使用人工和自動化的手段來運行或者測試某個系統的過程,其目的在于它是否滿足規定的要求或是弄清預期結果與實際結果之間的差異,那么他認為軟件測試目的是()A、證明程序正確B、驗證程序無錯誤C、改正程序錯誤D、查找程序錯誤【正確答案】：D15.[]2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上的信息化法律”,自此電子簽名與傳統手寫簽名和蓋章具有同等的法律效力。以下關于電子簽名說法錯誤的是:A、電子簽名——是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認證的,由依法設立的電子認證服務提供者提供認證服務D、電子簽名制作數據用于電子簽名時,屬于電子簽名人和電子認證服務提供者共有【正確答案】：D解析：電子簽名不可以與認證服務提供者共有,屬于電子簽名人專有。16.[]下圖是安全測試人員連接某遠程主機時的操作界面,請仔細分析該圖,下面選項中推斷正確的是()A、測試人員連接了遠程服務器的220端口B、測試人員的本地操作系統是LinuxC、服務器開啟了FTP服務,使用的服務器軟件為FTPServerD、遠程服務器的操作系統是Windows系統。【正確答案】：C17.[]小王進行資產評估的過程中,根據資產的表現形式對資產進行了分類,可將資產分為數據、軟件、硬件、服務、人員等類型。有一種類型的資產中含有源代碼、數據庫數據、系統文檔、運行管理規程、計劃、報告、用戶手冊、各類紙質的文檔等。請問這是哪種類型的資產()A、軟件B、硬件C、數據D、服務【正確答案】：C18.[]在使用系統安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時,有關測量結果,錯誤的理解是:A、如果該組織在執行某個特定的過程區域時具備了一個特定級別的部分公共特征時,則這個組織在這個過程區域的能力成熟度未達到此級B、如果該組織某個過程區域(ProcessAreas,PA)具備了“定義標準過程”.“執行已定義的過程”兩個公共特征,則此過程區域的能力成熟度級別達到3級“充分定義級”C、如果某個過程區域(ProcessAreas,PA)包含4個基本實施(BasePractices,BP),執行此PA時執行了3個BP,則此過程區域的能力成熟度級別為0D、組織在不同的過程區域的能力成熟度可能處于不同的級別上【正確答案】：B解析：在SSE-CMM標準中,5個級別所對應的公共特征數量為14322,定義標準級屬于3級應該是具備3個公開特征,所以B答案里描述是錯誤的。所以選擇B19.[]由于發生了一起針對服務器的口令暴力破解攻擊,管理員決定對設置帳戶鎖定策略以對抗口令暴力破解。他設置了以下賬戶鎖定策略如下:賬戶鎖定閥值3次無效登陸;賬戶鎖定時間10分鐘;復位賬戶鎖定計數器5分鐘;以下關于以上策略設置后的說法哪個是正確的A、設置賬戶鎖定策略后,攻擊者無法再進行口令暴力破解,所有輸錯的密碼的擁護就會被鎖住B、如果正常用戶部小心輸錯了3次密碼,那么該賬戶就會被鎖定10分鐘,10分鐘內即使輸入正確的密碼,也無法登錄系統C、如果正常用戶不小心連續輸入錯誤密碼3次,那么該擁護帳號被鎖定5分鐘,5分鐘內即使交了正確的密碼,也無法登錄系統D、攻擊者在進行口令破解時,只要連續輸錯3次密碼,該賬戶就被鎖定10分鐘,而正常擁護登陸不受影響【正確答案】：B解析：答案為B,無論任任何用戶,連續輸入錯誤3次則鎖定10分鐘。20.[]信息安全是國家安全的重要組成部分,綜合研究當前世界各國信息安全保障工作,下面總結錯誤的是()A、各國普遍將與國家安全.社會穩定和民生密切相關的關鍵基礎設施作為信息安全保障的重點B、各國普遍重視戰略規劃工作,逐步發布網絡安全戰略.政策評估報告.推薦計劃等文件C、各國普遍加強國際交流與對話,均同意建立一致的安全保障系統,強化各國安全系統互通D、各國普遍積極推動信息安全立法和標準規范建設,重視應急響應.安全監督和安全測評【正確答案】：C解析：各國肯定是沒有建立統一的安全保障體系21.[]你是單位安全主管,由于微軟剛發布了數個系統漏洞補丁,安全運維人員給出了針對此漏洞修補的四個建議方案,請選擇其中一個最優方案執行()A、由于本次發布的數個漏洞都屬于高危漏洞,為了避免安全風險,應對單位所有服務器和客戶端請盡快安裝補丁B、本次發布的漏洞目前尚未出現利用工具,因此不會對系統產生實質性的危害,所以可以先不做處理C、對于重要的服務,應對測試環境中安裝并確認補丁兼容性問題后再在正式生產環境中部署D、對于服務器等重要設備,立即使用系統更新功能安裝這批補丁,用戶終端計算機由于沒有重要數據,由終端自行升級【正確答案】：C解析：有些補丁安裝后可能會產生兼容性問題,所以安裝前要做好測試和備份等工作。22.[]隨著信息安全涉及的范圍越來越廣,各個組織對信息安全管理的需求越來越迫切,越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系,提高組織的信息安全管理能力。關于ISMS下面描述錯誤的是()。A、在組織中,應由信息技術責任部門(如信息中心)制定并頒布信息安全方針,為組織的ISMS建設指向并提供總體綱領,明確總體要求B、組織的管理層應確保ISMS目標和相應的計劃得以規定,信息安全管理目標應明確、可度量,風險劃應具體,具備可行性C、組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內,應包括全體員工,同時到客戶、合作伙伴和供應商等外部各方D、組織的管理層應全面了解組織所面臨的信息安全風險,決定風險可接受級別和風險可接受準則,并確認接受相關殘余風險【正確答案】：A解析：由組織的信息安全委員會或者管理當局制定信息安全方針23.[]信息安全風險管理過程的模型如圖所示,按照流程。請問信息安全風險管理包括()六個方面的內容。()是信息安全風險管理的四個基本步驟。()則貫穿于這四個基本步驟中。A、背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢;背景建立、風險評估、風險處理和批準監督;監控審查和溝通咨詢B、背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢;背景建立、風險評估、風險處理和監控審查;批準監督和溝通咨詢C、背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢;背景建立、風險評估、風險處理和溝通咨詢;監控審查和批準監督D、背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢;背景建立、風險評估、監控審查和批準監督;風險處理和溝通咨詢【正確答案】：A24.[]()是行為人由于過錯侵害人身、財產和(),依法應承擔民事責任的(),以及按照法律特殊規定應承擔民事責任的(),侵權行為構成要件,主耍集中在一下幾個因素,即:過錯()、損害事實是否侵權行為必要構成要件上,2017年3月15日全國第十二屆全國人大第五次會議表決通過了《中華人民共和國民法總則》,國家主席習近平簽署第66號主席令予以公布,民法總則將于2017年10月1日起實行。A、民事侵權行為;其他合法行為;不法行為;其他侵害行為;行為不法B、民事行為;權益;不法行為;其他侵害行為;行為不法C、民事行為;其他合法行為;不法行為;其他侵害行為;行為不法D、民事侵權行為;其他合法行為;不法行為;行為不法;其他侵害行為【正確答案】：A25.[]小李是某公司系統規劃師,某天他針對公司信息系統的現狀,繪制了一張系統安全建設規劃圖,如下圖所示。請問這個圖形是依據下面哪個模型來繪制的()。A、PDRB、PPDRC、PDCAD、IATF【正確答案】：B解析：這個圖當中最上邊是方針政策,屬于Policy,左邊主體措施屬于protection,右邊客體對應的位置是Detection,最下邊是Response,所以應該是PPDR模型26.[]“CC”標準是測評標準類的重要標準,從該標準的內容來看,下面哪項內容是針對具體的被評測對象,描述了該對象的安全要求及其相關安全功能和安全措施,相當于從廠商角度制定的產品或系統實現方案()。A、評估對象(TOE)B、保護輪廓(PP)C、安全目標(ST)D、評估保證級(EAL)【正確答案】：C解析：安全目標(ST)27.[]某電子商務網站在開發設計時,使用了威脅建模的方法來分析電子商務網站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法。將威脅分為六類,為每一類威脅提供了標準的消減措施。Spooflng是STRIDE中欺騙類的威脅。以下威脅中哪個可以列入此類威脅()A、網站競爭對手可能雇傭攻擊者實施DDoS攻擊,降低網站訪問速度B、網站使用http協議進行瀏覽等操作,未對數據進行加密,可能導致用戶傳輸信息泄露,例如購買的商品金額等。C、網站使用http協議進行瀏覽等操作,無法確認數據與用戶發出是否一致,可能數據被中途篡改D、網站使用用戶名、密碼進行登錄驗證,攻擊者可能會利用弱口令或其他方式獲得用戶密碼。以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：題干中描述的是欺騙類攻擊,只有D項屬于此類。28.[]對抗監測技術是惡意代碼實現自身保護的重要機制。主要采用的是反調試技術。反調試技術可以分為動態反調試和靜態反調試。以下哪項屬于動態反調試技術()。A、加殼B、代碼混淆C、禁止跟蹤中斷D、加密【正確答案】：C解析：ABD都屬于靜態的29.[]風險處理是依據(),選擇和實施合適的安全措施,風險處理的目的是為了()始終控制在可接受的范圍內,風險處理的方式主要有()、()、()、和()四種方式A、風險;風險評估的結果;降低;規避;轉移;接受B、風險評估的結果;風險;降低;規避;轉移;接受C、風險評估;風險;降低;規避;轉移;接受D、風險;風險評估;降低;規避;轉移;接受【正確答案】：B30.[]某項目的主要內容為建造A類機房,監理單位需要根據《電子信息系統機房設計規范》(GB50174-2008)的相關要求,對承建單位的施工設計方案進行審核,以下關于監理單位給出的審核意見錯誤的是:A、在異地建立備份機房,設計時應與主用機房等級相同B、由于高端小型機發熱量大,因此采用活動地板下送風,上回風的方式C、因機房屬于A級主機房,因此設計方案中應考慮配備柴油發電機,當市電發生故障時,所配備的柴油發動機應能承擔全部負荷的需要D、A級主機房應設置自動噴水滅火系統【正確答案】：D解析：機房不能用噴水滅火,根據不同類型的火災,可以選用,二氧化碳、氣體、哈龍替代物等。31.[]信息安全風險評估是針對事物潛在影響正常執行器職能的行為產生于優減有破壞的因素進行識別、評價的過程下列選項中不屬于風險評估要素的是()A、資產B、脆弱性C、威脅D、安全需求【正確答案】：D32.[]2008年1月2日,美國發布第54號總統令,建立國家網絡安全綜合計劃(ComprehensiveNationalCybersecurityInitiative,CNCI)。CNCI計劃建立三道防線:第一道防線,減少漏洞和隱患,預防入侵。第二道防線,全面應對各類威脅;第三道防線,強化未來安全環境。從以上內容,我們可以看出一下哪一分析是正確的:A、CNCI是以風險為核心,三道防線首要的任務是降低其網絡鎖面臨的風險B、從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內部的CNCI的目的是盡快研發并部署新技術徹底改變其糟糕的網絡安全現狀,而不是在現在的網絡基礎上修修補補D、CNCI徹底改變了以往的美國信息安全戰略,不再把關鍵設施視為信息安全保障重點,二十追求所有網絡和系統的全面安全保障【正確答案】：A解析：CNCI是以風險為核心,三道防線首要的任務是降低其網絡鎖面臨的風險33.[]訪問控制是對用戶或用戶組訪問本地或網絡上的域資源進行授權的一種機制。在window2000以后的操作系統版本中,訪問控制是一種雙重機制,它對用戶的授權基于用戶權限和對象許可,通常使用ACL.訪問令牌和授權管理器來實現訪問控制功能。以下選項中,對Windows操作系統訪問控制實現方法的理解錯誤的是()。ACL只能由管理員進行管理B、ACL是對象安全描述符的基本組成部分,它包括有權訪問對象的用戶和組的SIDC、訪問令牌存儲著用戶的SID.組信息和分配給用戶的權限D、通過授權管理器,可以實現基于角色的訪問控制【正確答案】：A解析：ACL靈活性很好,用戶自己也可以修改相應權限,管理員可以管理用戶也可管理。MAC強制訪問控制一般必須由管理員管理,用戶沒有權限來修改權限34.[]應急響應是信息安全事件管理的重要內容之一。關于應急響應工作,下面描述錯誤的是()。A、信息安全應急響應,通常是指一個組織為了應對各種安全意外事件的發生所采取的防范措施,既包括預防性措施,也包括事件發生后的應對措施B、應急響應工作有其鮮明的特點:具有高技術復雜性與專業性、強突發性、對知識經驗的高依賴性,以及需要廣泛的協調與合作C、應急響應是組織在處置應對突發重大信息安全事件時的工作,其主要包括兩部分工作:安全事件發生時正確指揮、事件發生后全面總結D、應急響應工作的起源和相關機構的成立和1988年11月發生的莫里斯蠕蟲病毒事件有關,基于該事件,人們更加重視安全事件的應急處置和整體協調的重要性【正確答案】：C解析：少事前的準備階段35.[]定量風險分析是從財務數字上對安全風險進行評估,得出可以量化的風險分析結果,準確度量風險的可能性和損失量。小王采用該方法來為單位機房計算火災的風險大小。假設單位機房的總價值為200萬元人民幣,暴露系數(ExposureFactor,EF)是X,年度發生率(AnnualizedRateofOccurrence,ARO)為0.1,而小王計算的年度預期損失(AnnualizedLossExpectancy,ALE)值為5萬元人民幣。由此,X值應該是()。A、2.5%B、25%C、5%D、50%【正確答案】：B解析：ALE=資產?EF?ARO,根據題目給出的提示5=200?X?0.1,那么X=0.25=25%36.[]關于國家關鍵基礎設施保護,2012年國務院下發了《關于大力推進信息化發展和切實保障信息安全的若干意見》的23號文。明確指出()A、大力推進信息化發展和切實保障信息安全,對調整經濟結構、轉變發展方式,保障和改善民生,維護國家安全具有重大意義。B、信息安全工作的戰略統籌和綜合協調不夠,重要信息系統和基礎信息網絡防護能力不夠。C、設立國家安全委員會,完善國家安全體制和國家安全戰略,確保國家安全。D、公共通信和信息服務,能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全,國計民生、公共利益的基礎設施。【正確答案】：A37.[]若一個組織聲稱自己的ISMS符合ISOIEC27001或GBT22080標準要求,其信息安全控制措施通常需要在資產管理方面實施常規控制,資產管理包含對資產負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護,通常采取以下哪項控制措施()。A、資產清單B、資產責任人C、資產的可接受使用D、分類指南.信息的標記和處理【正確答案】：D解析：ABC屬于資產負責內容。38.[]某電子商務網絡架構設計時,為了避免數據誤操作,在管理員進行訂單刪除時,需要由審核員進行審核后刪除操作才能生效。這種設計是遵循了以下哪個原則:()A、權限分離原則B、最小特權原則C、保護最薄弱環節的原則D、縱深防御的原則【正確答案】：A解析：權限分離原則39.[]為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,加強在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,2015年6月,第十二屆全國人大常委會第十五次會議初次審議了一部法律草案,并于7月6日起在網上全文公布,向社會公開征求意見。這部法律草案是()A、《中華人民共和國保守國家秘密法(草案)》B、《中華人民共和國網絡安全法(草案)》C、《中華人民共和國國家安全發(草案)》D、《中華人民共和國互聯網安全法(草案)》【正確答案】：B解析：《中華人民共和國網絡安全法(草案)》40.[]王工是某單位的系統管理員,他在某次參加了單位組織的風險管理工作時,根據任務安排,他依據已有的資產列表,逐個分析可能危害這些資產的主體、動機、途徑等多種因素,分析這些因素出現及造成損失的可能性大小,并為其賦值。請問,他這個工作屬于下面哪一個階段的工作()。A、資產識別并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、確認已有的安全措施并賦值【正確答案】：C解析：危害資產的主體、動機、途徑等,這些都屬于外部的威脅。41.[]在設計信息系統安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規性要求和風險處理要求的前提下,盡量控制成本C、要充分采取新技術,在使用過程中不斷完善成熟,精益求精,實現技術投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統方案實施障礙【正確答案】：C解析：找到最合適的,排除法C答案更適合這個題目42.[]kerberos協議是常用的集中訪問控制協議,通過可信第三的認證服務,減輕應用服務器的負擔。Kerberos的運行環境由秘鑰分發中心(KDC)、應用服務器和客戶端三個部分組成。其中,KDC認證服務器AS和票據授權服務器TGS兩部分。下圖展示了Kerberos協議的三個階段,分別為(1)Kerberos獲得服務許可票據,(2)Kerberos獲得服務,(3)Kerberos獲得票據許可票據。下列選項中對這三個階段的排序正確的是()A、1——2——3B、3——2——1C、2——1——3D、3——1——2【正確答案】：D解析：先要從AS獲得TGT(空票),再到TGS申請SGT(對空票蓋章生效),最后獲得服務。43.[]某網站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登錄功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導致大量用戶賬號被盜用,關于以上問題的說法正確的是:A、網站問題是由于開發人員不熟悉安全編碼,編寫了不安全的代碼,導致攻擊面增大,產生此安全問題B、網站問題是由于用戶缺乏安全意識導致,使用了不安全的功能,導致網站攻擊面增大,產生此問題C、網站問題是由于使用便利性提高,帶來網站用戶數增加,導致網站攻擊面增大,產生此安全問題D、網站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網站攻擊面增大,產生此問題【正確答案】：D解析：題干說的是設計,答案要從設計回答,所以應是設計了不安全的功能44.[]GaryMcGraw博士及其合作者提出軟件安全應由三根支柱來支撐,這三個支柱是()。A、源代碼審核、風險分析和滲透測試B、應用風險管理、軟件安全接觸點和安全知識C、威脅建模、滲透測試和軟件安全接觸點D、威脅建模、源代碼審核和模糊測試【正確答案】：B解析：詳見軟件安全開發中BSI系列模型PPT45.[]在信息安全風險管理過程中,背景建立是實施工作的第一步。下面哪項理解是錯誤的()。A、背景建立的依據是國家.地區或行業的相關政策.法律.法規和標準,以及機構的使命.信息系統的業務目標和特性B、背景建立階段應識別需要保護的資產.面臨的威脅以及存在的脆弱性,并分別賦值,同時確認已有的安全措施,形成需要保護的資產清單C、背景建立階段應調查信息系統的業務目標.業務特性和技術特性,形成信息系統的描述報告D、背景建立階段應分析信息系統的體系結構和關鍵要素,分析信息系統的安全環境和要求,形成信息系統的安全要求報告【正確答案】：B解析：B答案描述的不是背景建立階段,是風險識別解讀。錯46.[]在網絡信息系統中對用戶進行認證識別時,口令是一種傳統但仍然使用廣泛的方法,口令認證過程中常常使用靜態口令和動態口令。下面描述中錯誤的是()。A、所謂靜態口令方案,是指用戶登錄驗證身份的過程中,每次輸入的口令都是固定、靜止不變的B、使用靜態口令方案時,即使對口令進行簡單加密或哈希后進行傳輸,攻擊者依然可能通過重放攻擊來欺騙信息系統的身份認證模塊C、動態口令方案中通常需要使用密碼算法產生較長的口令序列,攻擊者如果連續地收集到足夠多的歷史口令,則有可能預測出下次要使用的口令D、通常,動態口令實現方式分為口令序列、時間同步以及挑戰應答等幾種類型【正確答案】：C解析：此題沒有正確答案,所有的選項都是正確的,可能糾結于C,其實C是正確的,C說了使用動態口令時使用口令序列,口令序列意味著生成口令時都與這個序列有關,如果收集到足夠多的口令,就有可能猜出口令序列,有了口令序列就能知道下一個口令是什么。但是A呢書上原話說的是“每次輸入的口令都是固定不變的”沒有“靜止”兩個字,但是加在這里的,也不好判斷,也能說的過去,所以此題不確定選擇哪一個。統合考慮出題人,他可能想考動態口令的題吧,所以暫時選擇一個動態口令C答案47.[]SSE-CMM體系結構的設計師可在整個安全工程范圍內決定()組織的()。這個體系結構的目標是清晰地從管理和制度化特征中分離出安全工程的基本特征。為了保證這種分離,這個模型是兩維的,分別稱為“域(Domain)”和“能力(Capability)”。域維由所有定義安全工程的()構成。能力維(CapabilityDimension)代表組織能力,它由過程管理和()能力構成。這些實施活動被稱作“公共特征(CcmimonFeatures)”,可在廣泛的域中應用。能否執行某一個特定的公共特征是一個組織能力的標志。通過設置這兩個相互依賴的維,SSE-CMM在各個能力級別上覆蓋了整個安全活動范圍。A、安全工程;過程區;制度化;成熟性B、安全工程;過程區;成熟性;制度化C、安全工程;成熟性;過程區;制度化D、安全工程;制度化;成熟性;過程區【正確答案】：C48.[]社會工程學是()與()結合的科學,準確來說,它不是一門科學,因為它不能總是重復和成功,并且在信息充分多的情況下會失敗。基于系統、體系、協議等技術體系缺陷的(),隨著時間流逝最終都會失敗,因為系統的漏洞可以彌補,體系的缺陷可能隨著計算書的發展完善或替代。社會工程學利用的是人性的“弱點”,而人性是(),這使得它幾乎可以說是永遠有效的()A、網絡安全;心理學;攻擊方式;永恒存在的;攻擊方式B、網絡安全;攻擊方式;心理學;永恒存在的;攻擊方式C、網絡安全;心理學;永恒存在的;攻擊方式;攻擊方式D、網絡安全;攻擊方式;心理學;攻擊方式;永恒存在的【正確答案】：A49.[]某軟件公司準備提高其開發軟件的安全性,在公司內部發起了有關軟件開發生命周期的討論,在下面的發言觀點中,不正確的是()A、軟件安全開發應當涉及軟件開發整個生命周期,即要在軟件開發生命周期的各個階段都要采取一些措施來確保軟件的安全性B、應當盡早在軟件開發的需求和設計階段就增加一定的安全措施,這樣可以比在軟件發布以后進行漏洞修復所話的代價少得多C、和傳統的軟件開發階段相比,應當增加一個專門的安全編碼階段D、安全測試階段非常重要,有必要采取一些安全測試方法學和測試手段來確保軟件的安全性【正確答案】：C解析：這個題,C和D答案都說的比較片面,安全措施應該貫穿整個生命周期,C答案保提到了編碼階段,D答案提到了測試階段。統合考慮,C答案中提到了與傳統的開發相比,只增加一個安全編碼階段并不合適,應該是全階段的。所以選擇C更恰當一些50.[]我國標準《信息技術安全性評估準則》(GBT18336)對信息產品安全的測評認證由低到高劃分了若干個級別,其中最低級別主要是面向個人及簡單商用環境,需要保護的信息價值較低,該級別是()。A、EAL1B、EAL3C、EAL5D、EAL7【正確答案】：A解析：EAL從1級到7級,最低級是1級51.[]隨機進程名稱是惡意代碼迷惑管理員和系統安全檢查人員的技術手段之一,以下對隨機進程名技術,描述正確的是()A、隨機進程名技術雖然每次進程名都是隨機的,但是只要找到了進程名稱,就找到了惡意代碼程序本身B、惡意代碼使用隨機進程名稱的目的是使進程名稱不固定,因為殺毒軟件是按照進程名稱進行病毒進程查殺C、惡意代碼使用隨機進程名是通過生成特定格式的進程名稱,使進程管理器中看不到惡意代碼的進程D、隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱,通過不固定的進程名稱使自己不容易被發現真實的惡意代碼程序名稱【正確答案】：D解析：隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱,通過不固定的進程名稱使自己不容易被發現真實的惡意代碼程序名稱52.[]設計信息系統安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規性要求和風險處置要求的前提下,盡量控制成本C、要充分采取新技術,在使用過程中不斷完善成熟,精益求精,實現技術投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統方案實施障礙【正確答案】：C解析：新技術并不是安全保障方案首選或重點考慮的因素,只要能夠更好的滿足安全的需求,是不是新技術并不重要。53.[]隨著計算機網絡技術的出現與發展,數據庫所處的環境愈加復雜,數據庫面臨的各種安全威脅正與日倶增。對于數據庫安全防護相關描述中,錯誤的是()A、數據庫安全防護是指保護數據庫運行安全以防止不合法的使用造成的數據泄露、更改或破壞,方式只包括安全審計B、安全審計主要是針對據庫運行期間產生的各種日志,通過多個不同維度進行綜合分析,從而發現影響數據庫運行安全的因素并采取相應的應對措施C、通過安全檢測盡早發現數據庫存在的安全缺陷(包括軟件漏洞及配置缺陷),然而通過安裝補了、調整安全設置、制定安全策略等方法進行彌補D、可根據數據庫業務需要,構建完善的防護技術體系【正確答案】：A解析：不是只有審計,還包括事前檢測與事中監控。54.[]在現實的異構網絡環境中,越來越多的信息需要實現安全的互操作,即進行跨域信息交換和處理。Kerberos協議不僅能在域內進行認證,也支持跨域認證。下圖顯示的是Kerberos協議實現跨域認證的7個步驟,其中有幾個步驟出現錯誤。下列血項中,對圖中出現的錯誤描述正確的是()A、步驟1和2發生錯誤,應該向本地AS請求并獲得遠程TGTB、步驟3和4發生錯誤,應該向本地TGS請求并獲得遠程TGTC、步驟5和6發生錯誤,應該向遠程AS請求并獲得遠程TGTD、步驟5和6發生錯誤,應該向遠程TGS請求并獲得遠程TGT【正確答案】：B解析：請求的是本地TGS獲得遠程TGT55.[]安全多用途互聯網郵件擴展(SecureMultipurposeInternetMailExtension,SMIME)是指一種保障郵件安全的技術,下面描述錯誤的是()。A、SMIME采用了非對稱密碼學機制B、SMIME支持數字證書C、SMIME采用了郵件防火墻技術D、SMIME支持用戶身份認證和郵件加密【正確答案】：C解析：采用郵件防火墻墻的功能應該是反垃圾郵件網關。SMIME這種協議,這個協議就是你正文的內容以及附件兒里邊的內容。它的功能要更廣一些。郵件網關是防垃圾郵件。這個防垃圾郵件和你要保護這郵件里邊兒內容的安全,這是兩碼事兒。這是兩個不同的需求。56.[]信息系統安全保護等級為3級的系統,應當()年進行一次等級測評?A、0.5B、1C、2D、3【正確答案】：B解析：等保二級通常是兩年一次,三級是一年一次,四級半年一次,五級隨時可能要測評。57.ISO9001-2000標準在制定、實施質量管理體系以及改進其有效性時采用過程方法,通過滿足顧客要求增進顧客滿意。下圖是關于過程方法的示意圖,圖中括號空白處應填寫()A、策略B、管理者C、組織D、活動【正確答案】：D58.[]P2DR模型是一個用于描述網絡動態安全的模型,這個模型經常使用圖形的形式來形象表達,如下圖所示,請問圖中空白處應填寫是()。A.執行(do)B、A.檢測(detection)C、A.數據(data)D、A.持續(duration)`【正確答案】：B解析：檢測59.[]機房中大量的電子設備在與水的接觸中會導致損壞的事故。即使在未運行期間,與水接觸也會對計算機系統造成損壞。因此在機房環境安全策略和安全措施中,都需要考慮解決水帶來的安全問題。某公司在為機房選址和布置機房環境時考慮了這些措施:①將機房建在頂層。②在機房周圍設置防水區。③主供水管避開機房頂部。④地板部署水浸探測器⑤使用專用精密空調保持機房恒溫。其中屬于防水措施的有()A、①④B、②③C、③⑤D、③④【正確答案】：D60.[]在某次信息安全應急響應過程中,小王正在實施如下措施:消除或阻斷攻擊源、找到并消除系統的脆弱性漏洞、修改安全策略、加強防范措施、格式化被感染而已程序的介質等。請問,按照PDCERF應急響應方法,這些工作應處于以下哪個階段()A、準備階段B、檢測階段C、遏制階段D、根除階段【正確答案】：D解析：根除階段61.[]評估保證級(EAL)就是GBT18336.3中預先定義的一些保證包。下表是CC標準的第三部分已經預定義的7個EAL,表中(1)~(4)處應分別填入()A、(1)結構測試(2)功能測試(3)半形式化驗證的設計和測試(4)半形式化驗證的設計、測試和復查B、(1)結構測試(2)功能測試(3)形式化驗證的設計、測試和復查(4)形式化驗證的設計和測試C、(1)功能測試(2)結構測試(3)半形式化驗證的設計和測試(4)半形式化驗證的設計、測試和復查D、(1)功能測試(2)結構測試(3)半形式化驗證的設計和測試(4)形式化驗證的設計和測試【正確答案】：D62.[]下面哪個階段不屬于軟件的開發時期()A、詳細設計B、總體設計C、編碼D、需求分析【正確答案】：D63.[]根據《關于開展信息安全風險評估工作的意見》的規定,錯誤的是:A、信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主,自評估和檢查評估相互結合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應貫穿于網絡和信息系統建設運行的全過程D、開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導【正確答案】：A解析：應以自評估為主64.[]GBT18336《信息技術安全性評估準則》是測評標準類中的重要標準,該標準定義了保護輪廓(protectionprofile,EAL)和安全目標(securitytarget,ST)的評估準則,提出了評估保證級(EvaluationAssurancelevel,EAL),其評估保證級共分為()個遞增的評估保證等級。A、4B、5C、6D、7【正確答案】：D解析：EAL級別從1-71級最小,7級最高65.[]入侵檢測系統(IntrusionDeectionSystem,IDS)是用于發現并報告系統中未授權或違反安全策略行為的設備,在入侵檢測中有這樣的一種方法,任何的正常行為都是有一定的規律的并且可以通過分析這些行為產生的日志信息(假定曰志信息足夠安全)總結出這些規律,而入侵和濫用行為則通常和正常的行為存在嚴重的差異,通過檢查這些差異就可以檢測這些入侵,請問該入侵檢測方法為()A、基于異常的入侵檢測B、基于誤用的入侵檢測C、基于自治代理技術D、自適應模型生成特性的入侵檢測【正確答案】：A66.[]有關系統安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices,BP),正確的理解是:A、BP不限定于特定的方法或工具,不同的業務背景中可以使用不同的方法BP不是根據廣泛的現有資料、實踐和專家意見綜合得出的C、BP不代表信息安全工程領域的最佳實踐D、BP不是過程區域(ProcessAreas,PA)的強制項【正確答案】：A解析：BP不限定于特定的方法或工具,不同的業務背景中可以使用不同的方法。這是BP的正確描述67.[]GBT22080-2008《信息技術安全技術信息安全管理體系要求》指出,建立信息安全管理體系應參照PDCA模型進行,即信息安全管理體系應包括建立ISMS,實施和運行ISMS、監視和評審ISMS、保持和改進ISMS等過程,并在這些過程中應實施若干活動。請選出下列描述性錯誤的選項()A、“制定ISMS方針”是建立ISMS階段工作內容B、“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內容C、“進行有效性測量”是監視和評審ISMS階段工作內容D、“實施內部審核”是保持和改進ISMS階段工作內容【正確答案】：D解析：解析實施內部審核是監視和評審的工作內容68.[]當使用移動設備吋,應特別注意確保()不外泄。移動設備方針應考慮與非保護環境移動設備同時工作時的風險。當在公共場所、會議室和其他不受保護的區域使用移動計算設施吋,要加以小心。應釆取保護措施以避免通過這些設備存儲和處理的信息未授權的訪問或泄露,如使用()、強制使用密鑰身份驗證信息。要對移動計算設施進行物理保護,以防被偷竊,例如,特別是一流在汽車和其他形式的交通工具上、旅館房間、會議中心和會議室。要為移動計算設施的被竊或丟失等情況建立一個符合法律、保險和組織的其他安全要求的(),攜帶重耍、敏感或關鍵業務信息的設備不宜無人值守,若有可能,要以物理的方式鎖起來,或使用()來保護設備。對于使用移動計算設施的人員要安排培訓,以提高他們對這種工作方式導致的附加風險的意識,并且要實施控制措施。A、加密技術;業務信息;特定規程;專用鎖B、業務信息;特定規程;加密技術;專用鎖C、業務信息;加密技術;特定規程;專用鎖D、業務信息,專用鎖;加密技術;特定規程【正確答案】：C69.[]虛擬專用網絡(VPN)通常是指在公共網絡中利用隧道技術,建立一個臨時的、安全的網絡,這里的字母P的正確解釋是()A、Specific-purpose,特定,專用用途的B、Proprietary,專有的、專賣的C、Private,私有的、專有的D、Specific,特種的、具體的【正確答案】：C解析：幻燈片原文70.[]在某個信息系統實施案例中,A單位(甲方)允許B單位(乙方)在甲方的測試天南地北中開發和部署業務系統,同時為防范風險,A單位在和B公司簽訂的合同中,制定有關條款,明確了如果由于B公司操作原因引起的設備損壞,則B公司需按價賠償。可以看出,該賠償條款應用了發風險管理中()的風險處置措施。A、降低風險B、規避風險C、轉移風險D、拒絕風險【正確答案】：C71.[]RBAC分為0、1、2、3四個等級,下面說法不正確的是A、RBAC0是基礎,rbac1、rbac2、rbac3都是在其基礎上衍生出來的B、RBAC1在rbac0的基礎上增加了角色集成關系C、RBAC2在rbac1的基礎上增加了約束D、RBAC3包含了rbac1和rbac2的所有功能【正確答案】：C解析：RBAC2是在RBAC0模型基礎之上增加了角色約束72.[]hash算法的碰撞是指:A、兩個不同的消息,得到相同的消息摘要B、兩個相同的消息,得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長【正確答案】：A解析：內容不同,但HASH值一樣即為碰撞。73.[]實體身份鑒別一般依據以下三種基本情況或這三種情況的組合:實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于使用基于實體特征的鑒別方法是()。A、將登錄口令設置為出生日期B、通過詢問和核對用戶的個人隱私信息來鑒別C、使用系統定制的、在本系統專用的IC卡進行鑒別D、通過掃描和識別用戶的臉部信息來鑒別【正確答案】：D解析：實體特征,代表例子就是你長這樣,他長那樣。74.[]下圖是使用CC標準進行的信息安全評估的基本過程,在圖中(1)~(3)處填入構成評估相關要素的主要因素,下列選項中正確的是()A、(1)評估方法學(2)最終評估結果(3)批準、認證B、(1)評估方法學(2)認證過程(3)最終評估結果C、(1)評估合理性(2)最終評估結果(3)批準、認證D、(1)評估合理性(2)認證過程(3)最終評估結果【正確答案】：A75.[]在一個網絡中,當擁有的網絡域址容量不夠多,終端計算機沒有必要分配靜態IP地域時,可以采用過在計算機連拔到網絡時,每次為其臨時在IP地址中選擇一個IP地址并分配的方式為()A、動態分配IP地址B、靜態分配IP地址C、網絡域址轉換分配地址D、手動分配【正確答案】：A76.[]信息安全管理體系是()按照信息安全管理體系()的要求,制定信息安全管理(),采用風險管理的方法進行信息安全(),實施、評審檢查、改進的信息安全管理執行的()。信息安全管理體系是按照ISOIEC27001標準《信息技術安全技術信息安全管理體系要求》的要求進行建立的。A、組織機構單位;方針和策略;相關標準;管理計劃;工作體系B、組織機構單位;相關標準;方針和策略;管理計劃;工作體系C、組織機構單位;相關標準;工作體系;管理計劃;方針和策略D、組織機構單位;工作體系;相關標準;方針和策略;管理計劃【正確答案】：B77.[]小王在學習定量風險評估方法后,決定試著為單位機房計算火宅的風險大小。假設單位機房的總價值為200萬元人民幣,暴露系數(ExposureFactor,EF)是25%,年度發生率(AnnualizedTateofOccurrence,ARO)為0.1,那么小王計算的年度預期損失(AnnulizedLossExpectancy,ALE)應該是()A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣【正確答案】：A解析：200x0.25x0.178.[]Hadoop是目前廣泛應用的大數據處理分析平臺。在Hadoop1.0.0版本之前,Hadoop并不存在安全認證一說。默認集群內所有的節點都是可靠的,值得信賴的。用戶與服務器進行交互時并不需要進行驗證。導致存在惡意用戶偽裝成真正的用戶或者服務器入侵到Hadoop集群上,惡意的提交作業,纂改分布式存儲的數據,偽裝成NameNode或者TaskTracker接受任務等。在Hadoop2.0中引入了Kerberos機制來解決用戶到服務器的認證問題,Kerberos的認證過程不包括()A、獲得票據許可票據B、獲得服務許可票據C、獲得密鑰分配中心的管理權限D、獲得服務【正確答案】：C79.[]關于信息安全應急響應管理過程中描述不正確的是()A、基于應急響應工作的特點和事件的不規則性,事先制定出事件應急響應方法和過程,有助于一個組織在事件發生時阻止混亂的發生或是在混亂狀態中迅速恢復控制,將損失和負面影響降至最低B、應急響應方法和過程并不是唯一的C、一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢查、遏制、根除、恢復和跟蹤總結6個階段D、一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢查、遏制、根除、恢復和跟蹤總結6個階段,這6個應急響應方法一定確保事件處理的成功【正確答案】：D解析：并不能保證一定成功80.[]以下行為不屬于違反國家保密規定的行為:A、將涉密計算機.涉密存儲設備接入互聯網及其他公共信息網絡B、通過普通郵政等無保密措施的渠道傳遞國家秘密載體C、在私人交往中設計國家秘密D、以不正當手段獲得商業秘密【正確答案】：D81.[]在信息系統中,訪問控制是重要的安全功能之一。它得任務是在用戶對系統資源提供最大達限度共享的基礎上,對用戶的訪問權限進行管理,防止對信息的非授權篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類,通過對主體身份的識別來限制其對客體的訪問權限。下列選項中,對主體、客體和訪問權限的描述錯誤的是()A、對文件進行操作的用戶是一種主體B、主體可以接受客體的信息和數據,也可能改變客體相關的信息C、訪問權限是指主體對客體所允許的操作D、對目錄的訪問權限可分為讀、寫和拒絕訪問【正確答案】：D解析：對目錄只有讀和寫,文件有讀寫執行和拒絕訪問82.[]信息安全風險評估是信息安全風險管理工作中的重要環節。在《關于開展信息安全風險評估工作的意見》(國信辦(2006)5號)中,指出了風險評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關工作原則和要求。下面選項中描述錯誤的是()。A、自評估是由信息系統擁有.運營或使用單位發起的對本單位信息系統進行的風險評估B、檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估C、信息安全風險評估應以自評估為主,自評估和檢查評估相互結合.互為補充D、自評估和檢查評估是相互排斥的,單位應慎重地從兩種工作形式選擇一個,并堅持使用【正確答案】：D解析：二者不排斥,檢查評估是上級要求的,必須要做,自評估是自己發起,有需求就可以進行。83.[]軟件開發模型是指對軟件開發安全部過程、活動和任務的結構框架,最早出現的軟件開發模型是1970年W.Royce提出的瀑布模型,常見模型的模型有演化模型、螺旋模型、噴泉模型、智能模型等。下列軟件開發模型中,支持需求不明確,特別是大型軟件系統的開發。并支持多軟件開發的方法的模型是()A、原型模型B、瀑布模型C、噴泉模型D、螺旋模型【正確答案】：D84.[]近年來利用DNS劫持攻擊大型網站惡性攻擊事件時有發生,防范這種攻擊比較有效的方法是?A、加強網站源代碼的安全性B、對網絡客戶端進行安全評估C、協調運營商對域名解析服務器進行加固D、在網站的網絡出口部署應用級防火墻【正確答案】：C解析：題干問的是DNS,C選項與DNS安全直接相關,而且協調運營商對域名解析服務器進行加固的確是DNS防護的主要手段。85.[]某信息安全公司的團隊對某名為“紅包快搶”的外掛進行分析,發現此外掛是一個典型的木馬后門。使黑客能夠獲得受害者電腦的訪問權。該后門程序為了達到長期駐留在受害者的計算機中,通過修改注冊表啟動項來達到后門程序隨受害者計算機系統啟動而啟動。為了防范此類木馬后門的攻擊。以下做法無用的是()。A、不下載、不執行、不接收來歷不明的軟件或文件B、不隨意打開來歷不明的郵件,不瀏覽不健康不正規的網站C、使用共享文件D、安裝反病毒軟件和防火墻,安裝專門的木馬防治軟件【正確答案】：C解析：木馬防范與使用共享文件無關86.[]王明買了一個新的藍牙耳機,但王明聽說使用藍牙設備有一定的安全威脅,于是王明找到藍牙技術有所了解的王紅,希望王紅能夠給自己一點建議,以下哪一條建議不可取()A、在選擇使用藍牙設備時,應考慮設備的技術實現及設置是否舉辦防止上述安全威脅的能力B、選擇使用功能合適的設備而不是功能盡可能多的設備、就盡量關閉不使用的服務及功能C、如果藍牙設備丟失,最好不要做任何操作D、在配對時使用隨機生成的密鑰、不使用時設置不可被其他藍牙設備發現【正確答案】：C87.[]鑒別是用戶進入系統的第一道安全防線。用戶登錄系統時,輸入用戶名和密碼就是對用戶身份進行鑒別,鑒別通過,即可以實現兩個實體之間的連接。例如,一個用戶被服務器鑒別通過后,則被服務器認為是合法用戶,才可以進行后續訪問。鑒別是對信息的一項安全屬性進行驗證,該屬性屬于下列選項中的()。A、保密性B、可用性C、真實性D、完整性【正確答案】：C解析：鑒別是對身份的真實性認證88.[]CC標準是計算機安全認證的國際標準(ISOIEC15408)。CC標準中四個關鍵概念,分別為TOE、PP、ST、EAL,它們的含義分別是()()()()A、保護輪廓;安全目標;評估對象;評估保證級B、保護輪廓;評估對象;評估保證級;安全目標C、評估對象;保護輪廓;安全目標;評估保證級D、評估對象;保護輪廓;評估保證級;安全目標【正確答案】：C89.[]信息系統安全工程師(),(),()文檔的系統安全性。系統測試和評估可能揭示意外的漏洞;必須評估與這些漏洞相關的風險和可能的人物影響。將結果反饋給設計工程師進行迭代過程。信息系統安全工程師與認證和認證人員協調,以確保所需求文件的()。信息系統安全工程師還負責()任務,以確保安全設計得到正確實施。A、監視接口;配置;集成;完整性;監控B、監視接口;集成;配置;完整性;監控C、監視接口;集成;完整性;配置;D、監視接口;配置;集成;監控;完整性【正確答案】：B90.[]某攻擊者想通過遠程控制軟件潛伏在某監控方的linux系統的計算機中,如果攻擊者打算長時間地遠程監控某服務區上的存儲的敏感數據。必須要能夠清除在監控方計算機中存在的系統日志。否則當監控方查看自己的系統日志的時候,就會發現被監控以及訪問的痕跡。不屬于清除痕跡的方法是()A、竊取root權限修改wtmpwtmpx、utmputmpx和lastlog三個主要日志文件B、采用干擾手段影響系統防火墻的審計功能C、保留攻擊時產生的臨時文件D、修改登錄日志,偽造成功的登錄日志,增加審計難度【正確答案】：C解析：13ABD三項都與日志和審計有關,只用C項無關。91.[]PDCERF方法是信息安全應急響應工作中常用的一種方法,它將應急響應分成六個階段。其中,主要執行如下工作應在哪一個階段:關閉信息系統、和或修改防火墻和路由器的過濾規則,拒絕來自發起攻擊的嫌疑主機流量、和或封鎖被攻破的登錄賬號等()A、準備階段B、遏制階段C、根除階段D、檢測階段【正確答案】：B解析：拒絕來自發起攻擊的嫌疑主機流量等做法屬于遏制階段的工作。92.[]以下關于災難恢復的數據備份和理解,說法正確的是:A、增量備份是備份從上次完全備份后更新的全部數據文件B、依據具備的災難恢復資源程度的不同,災難恢復能力分為7個等級C、數據備份按數據類型劃分可以劃分為系統數據備份和用戶數據備份D、如果系統在一段時間內沒有出現問題,就可以不用再進行容災演練了【正確答案】：C解析：數據備份按數據類型劃分可以劃分為系統數據備份和用戶數據備份93.[]小趙是一名小公司的數據庫維護人員,他以長期的實踐為基礎,從數據資源的保護角度出發,歸納出常見的應用系統主要威脅,其中不符合出發點的是()A、數據機密性保護B、競爭狀態C、備份容災D、數據訪問控制【正確答案】：B解析：競爭狀態主要是從進程的角度出發,而不是數據角度。94.[]系統安全工程—能力成熟度模型(SystemsSecurityEngineering-Capabilitymaturitymodel,SSE-CMM)定義的包含評估威脅、評估脆弱性、評估影響和評估安全風險的基本過程領域是:A、風險過程B、工程過程C、保證過程D、評估過程【正確答案】：A解析：風險過程95.[]以下哪一項不是我國信息安全保障工作的主要目標:A、保障和促進信息化發展B、維護企業與公民的合法權益C、構建高效的信息傳播渠道D、保護互聯網知識產權【正確答案】：C解析：27號文原文目標保障和促進信息化發展維護企業與公民的合法權益構建安全可信的??網絡信息傳播秩序保護互聯??網知識產權96.[]降低風險(或減低風險),是通過對面臨風險的資產采取保護措施的方式來降低風險,下面那個措施不屬于降低風險措施()A、減少威脅源,采用法律的手段制裁計算機犯罪,發揮法律的威懾作用,從而有效遏制威脅源的動機>B、簽訂外包服務合同,持有技術觀點,存在實現風險的任務通過簽訂外部合同的方式交予第三方公司完成,通過合同責任條款來應對風險C、減低危險能力,采取身份認證措施,從而抵制身份假冒這種威脅行為的能力D、減少脆弱性,及時給系統打補丁,關閉無用的網絡服務端口,從而減少系統的脆弱性,降低被利用的可能性【正確答案】：B解析：B為轉移風險。97.[]軟件需求分析是保證軟件質量的重要步驟,它的實施應該是在()A、編碼階段B、軟件開發全過程C、軟件定義階段D、軟件設計階段【正確答案】：C98.[]某政府機構委托開發商開發了一個OA系統,其中公文分發功能使用了FTP協議,該系統運行過程中被攻擊者通過FTP對OA系統中的腳本文件進行了篡改,安全專家提出使用Http下載代替FTP功能以解決以上問題,該安全問題的產生主要是在哪個階段產生的:A、程序員在進行安全需求分析時,沒有分析出OA系統開發的安全需求B、程序員在軟件設計時,沒遵循降低攻擊面的原則,設計了不安全的功能C、程序員在軟件編碼時,缺乏足夠的經驗,編寫了不安全的代碼D、程序員在進行軟件測試時,沒有針對軟件安全需求進行安全測試【正確答案】：B解析：設計是用來滿足需求的,使用FTP協議是為了滿足公文分發功能,在設計的時候并沒有考慮安全,只考慮了功能,導致安全事件。99.[]即使最好用的安全產品也存在(),結果,在任何的系統中都敵手最終能夠找出一個被開發出的漏洞。一種有效的對策是在敵手和它的目標之間配備多個()。這些機制中的每一個都必5須是敵手的唯一的障礙。進而。每一個機制都應包括()兩種手段。這些手段增加了敵手被檢測的風險,減少了他們成功的機會或成功滲透的機會、在網絡()邊界裝配嵌套防火墻(與入侵檢測結合)是分層保衛的實例。內部防火墻支持更細粒度的()和()。A、安全機制;內部缺點;保護和檢測;外邊和內部;訪問控制;數據濾波B、內部缺點;安全機制;保護和檢測;外邊和內部;訪問控制;數據濾波C、內部缺點;保護和檢測;安全機制;外邊和內部;訪問控制;數據濾波D、內部缺點;安全機制;外邊和內部;保護和檢測;訪問控制;數據濾波【正確答案】：B100.[]微軟SDL將軟件開發生命周期劃分為七個階段,并提出了十七項重要的安全活動,其中“威脅建模”屬于()的安全活動。A、要求(Requirements)階段B、設計(Design)階段C、實施(Implementation)D、驗證(Verification)階段【正確答案】：B解析：威脅建模屬于涉及階段101.[]信息安全風險值應該是以下哪些因素的函數?()A、信息資產的價值、面臨的威脅以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如國家秘密、商業秘密等D、網絡、系統、應用的復雜程度【正確答案】：A102.[]用QFSATC工具進行軟件分析測試時,以下說法錯誤的是()A、白盒測試又稱為程序結構測試,它主要進行程序邏輯結構的覆蓋測試B、在進行測試之前,必須先建立以.prj為后綴的測試項目C、被測源文件可放在任意目錄下D、進行軟件靜態分析不必運行被測程序【正確答案】：B103.[]操作系統是作為一個支撐軟件,使得你的程序或別的應用系統在上面正常運行的一個環境,操作系統提供了更好的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不而下的破綻,都給網絡安全留下隱患。某公司的網絡維護師為實現該公司操作系統的安全目標,按書中所學建立了相應的安全機制,這些機制不包括()A、標識與鑒別B、訪問控制C、權限管理D、網絡云盤存取保護【正確答案】：D104.[]“統一威脅管理”是將防病毒,入侵檢測和防火墻等安全需求統一管理,目前市場上已經出現了多種此類安全設備,這里“統一威脅管理”常常被簡稱為()A、UTMB、FWC、IDSD、SOC【正確答案】：A105.[]以下關于SMTP和POP3協議的說法哪個是錯誤的:A、SMTP和POP3協議是一種基于ASCII編碼的請求響應模式的協議B、SMTP和POP3協議是以明文傳輸數據,因此存在數據泄漏的可能C、SMTP和POP3協議缺乏嚴格的用戶認證,因為導致了垃圾郵件問題D、SMTP和POP3協議由于協議簡單,易用性好,更容易實現遠程管理郵件【正確答案】：C106.[]軟件存在漏洞和缺陷是不可避免的,實踐中常使用軟件缺陷密度(DefectsKLOC)來衡量軟件的安全性,假設某個軟件共有29.6萬行源代碼,總共被檢測出145個缺陷,則可以計算出其軟件缺陷密度值是()。A、0.00049B、0.049C、0.49D、49C【正確答案】：C解析：缺陷代碼行而代碼行是KLOC千行計算107.[]PKI的主要理論基礎()A、堆成密碼算法B、公鑰密碼算法C、量子密碼D、摘要算法【正確答案】：B108.[]組織應依照己確定的訪問控制策略限制對信息和()功能的訪問。對訪問的限制要基于各個業務應用要求,訪問控制策略還要與組織的訪問策略一致。應建立安全登錄規程控制實現對系統和應用的訪問。宜選擇合適的身份驗證技術以驗證用戶身份。在需要強認證和()時,宜使用如加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應建立交互式的口令管理系統,并確保使用優質的口令。對于可能覆蓋系統和應用的控制措施的實用工具和程序的使用,應加以限制并()。對程序源代碼和相關事項(例如設計、說明書、驗證計劃和確認計劃)的訪問宜嚴格控制,以防引入非授權功能、避免無意識的變更和維持有價值的知識產權()。對于程序源代碼的保存,可以通過這利1代碼的中央存儲控制來實現,更好的放在()中。A、應用系統;身份驗證;嚴格控制;保密性;源程序庫B、身份驗證;應用系統;嚴格控制;保密性;源程序庫C、應用系統;嚴格控制;身份驗證;保密性;源程序庫D、應用系統;保密性;身份驗證;嚴格控制;源程序庫【正確答案】：A109.[]劃分網絡安全域是指按照不同區域的不同功能目的和安全要求,將網絡劃分為不同的安全域,以便實施不同的安全策略,所以某大型企業需耍進行網絡安全域劃分,為更好地進行網絡的安全防護,應根據用戶實際網絡的具體情況來劃分,以下哪一條是正確的網絡安全域劃分原則()A、網路的拓撲結構不需耍進行嚴格的規劃、設計和管理,一經確定,不能輕易更改,如因業務需求,確實需對網絡的整體拓撲結構進行調整和改變,需按照相應的運輸管理流程上報B、不需要按照網絡分層設計的原則進行規劃,層次劃分和設計合理清晰C、網絡按訪問控制策略劃分成不同的安全域,將有相同安全需求的網絡設備劃分到一個安全域,采取相同或類似的安全策略,對重要網段進行重點保護D、不用使用防火墻等安全設備、VLAN或其他訪問控制方式與技術,將重要網段與其他網段隔離開,在不同安全域之間設置訪問控制措施【正確答案】：C110.[]若一個組織聲稱自己的ISMS符合ISOTEC27001或GB22080標準要求,其信息安全控制措施通常在以下方面實施常規控制,不包括哪一項()A、信息安全方針、信息安全組織、資產管理B、人力資源安全、物理和環境安全、通信和操作管理C、訪問控制、信息系統獲取、開發和維護、符合性D、規劃與監理ISMS【正確答案】：D解析：D屬于ISMS的工作階段,不屬于措施。111.[]某單位信息安全崗位員工,利用個人業余時間,在社交網絡平臺上向業內同行不定期發布信息安全相關知識和前沿動態資訊。這一行業主要符合以下哪一條注冊信息安全專業人員(CISP)職業道德準則:A、避免任何損害CISP聲譽形象的行為B、自覺維護公眾信息安全,拒絕并抵制通過計算機網絡系統泄露個人隱私的行為C、幫助和指導信息安全同行提升信息安全保障知識和能力D、不在公眾網絡傳播反動、暴力、黃色、低俗信息及非法軟件【正確答案】：C解析：參考幻燈片的內容112.[]王工是某單位的系統管理員,他在某次參加了單位組織的風險管理工作時,發現當前案例中共有兩個重要資產:資產A1和資產A2;其中資產A1面臨兩個主要威脅:威脅T1和威脅T2;而資產A2面臨一個主要威脅;威脅T3:威脅T1可以利用的資產A1存在的兩個脆弱性;威脅性V1和脆弱性V2;威脅2可以利用的資產A1存在的三個脆弱性,脆弱性V3.脆弱性V4和脆弱性V5;威脅T3可以利用的資產A2存在的兩個脆弱性;脆弱性V6和脆弱性V7.根據上述條件,請問:使用相乘法時,應該為資產A1計算幾個風險值()。A、2B、3C、5D、6【正確答案】：C解析：根據題目,最后問的是A1有幾個風險值?具體計算方法,風險值是由威脅與脆弱性相乘得出一個風險。由此可以計算,A1有2個威脅T1,T2,T1下有2個脆弱性V1,V2,通過計算T1有2個風險值,T2下有3個脆弱性V3,V4,V5;T2有3個風險值,一共有5個風險值。選擇C113.[]計算機漏洞是在硬件、軟件、協議的具體實現成系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。在病毒肆意的信息不安全時代,某公司為減少計算機系統漏洞,對公司計算機系統進行了如下措施,其中錯誤的是()A、減少系統日志的系統開銷B、禁用或刪除不需要的服務,降低服務運行權限C、設置策略避免系統出現弱口令并對口令猜測進行防護D、對系統連接進行限制,通過軟件防火墻等技術實現對系統的端口連接進行控制【正確答案】：A解析：日志主要和審計相關,記錄操作過程,不能用來減少漏洞。114.[]加密文件系統(EncryptingFileSystem,EFS)是Windows操作系統的一個組件,以下說法錯誤的是()A、EFS采用加密算法實現透明的文件加密和解密,任何不擁有合適密鑰的個人或者程序都不能解密數據B、EFS以公鑰加密為基礎,并利用了widows系統中的CryptoAPI體系結構C、EFS加密系統適用于NTFS文件系統合FAT32文件系統(Windows環境下)D、EFS加密過程對用戶透明,EFS加密的用戶驗證過程是在登陸windows時進行的【正確答案】：C解析：答案為C,FAT32不支持EFS加密。115.[]惡意代碼的防范在計算機網絡飛速發展的今天給計算機安全性帶來了新的挑戰。在internet安全事件中惡意代碼造成的損失所占比重更大。某公司為進行惡意代碼防范,通過網上查詢到惡意代碼預防的三個方面的措施,張主管發現下列選項中有一項不屬于上述的三個方面,請問是哪一項()A、安全策略B、安裝最新的安全補丁C、減輕威脅D、減少漏洞【正確答案】：B解析：詳見計算環境安全中的惡意代碼的預防技術PPT,ACD是該PPT內容中的三個大項。116.[]小陳學習了有關信息安全管理體系管理體系的內容后,認為組織建立信息安全管理體系并持續運行,比起簡單地實施信息安全管理,有更大的作用,他總結了四個方面的作用,其中總結錯誤的是()。A、可以建立起文檔化的信息安全管理規范,實現有“法”可依,有章可循,有據可查B、可以強化員工的信息安全意識,建立良好的安全作業習慣,培育組織的信息安全企業文化C、可以增強客戶.業務伙伴.投資人對該組織保障其業務平臺和數據信息的安全信心D、可以深化信息安全管理,提高安全防護效果,使組織通過國際標準化組織的ISO9001認證【正確答案】：D解析：是27001的組織,不是ISO9001117.[]以下關于信息安全法制建設的意義,說法錯誤的是:A、信息安全法律環境是信息安全保障體系中的必要環節B、明確違反信息安全的行為,并對該行為進行相應的處罰,以打擊信息安全犯罪活動C、信息安全主要是技術問題,技術漏洞是信息犯罪的根源D、信息安全產業的逐漸形成,需要成熟的技術標準和完善的技術體系【正確答案】：C解析：C答案說的太片面了。使用排除法也得選C118.[]由于病毒攻擊,非法入侵等原因,校園網整體癱瘓,或者校園網絡中心全部DNS、主WEB服務器不能正常工作;由于病毒攻擊、非法