CISP考试认证(习题卷14)

试卷科目：CISP考试认证CISP考试认证(习题卷14)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考试认证第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.定义ISMS范围时,下列哪项不是考虑的重点A)组织现有的部门B)信息资产的数量与分布C)信息技术的应用区域D)IT人员数量[单选题]2.有编辑／etc／passwd文件能力的攻击者可以通过把UID变为____就可以成为特权用户。A)A-1B)B0C)C1D)D2[单选题]3.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?A)加强网站源代码的安全性B)对网络客户端进行安全评估C)协调运营商对域名解析服务器进行加固D)在网站的网络出口部署应用级防火墙[单选题]4.信息发送者使用进行数字签名。A)己方的私钥B)己方的公钥C)对方的私钥D)对方的公钥[单选题]5.恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式属于()A)简单运行B)行为检测C)特征数据匹配D)特征码扫描[单选题]6.高层的协议将数据传递到网络层，形成__，然后传递到数据链路层A)数据段B)信元C)数据帧D)数据包[单选题]7.下面没有利用猜测密码口令方式进行传播的病毒是：A)高波变种3TB)迅猛姆马C)震荡波D)口令蠕虫[单选题]8.1993年至1996年,欧美六国和美国商务部国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准,简称CC标准,该安全评估标准的全称为()A)《可信计算机系统评估准则》B)《信息技术安全评估准则》C)《可信计算机产品评估准则》D)《信息技术安全通用评估准则》[单选题]9.33.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中，数据封装的顺序是：A)传输层、网络接口层、互联网络层B)传输层、互联网络层、网路接口层C)互联网络层、传输层、网络接口层D)互联网络层、网络接口层、传输层[单选题]10.对于Linux审计说法错误的是?A)Linux系统支持细粒度的审计操作B)Linux系统可以使用自带的软件发送审计日志到SOC平台C)Linux系统一般使用AuDitD进程产生日志文件D)Linux在seCure日志中登陆成功日志和审计日志是一个文件[单选题]11.默认情况下WINDOWS那个版本可以抓到LMhashA)xpB)vistaC)7D)2008[单选题]12.35.管理层应该表现对()，程序和控制措施的支持，并以身作则。管理职责要确保雇员和承包方人员都了解其()角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，并定期组织信息安全(）.组织要建立正式的()，确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定()，考虑例如违规的性质、重要性及对于业务的影响等因素，以及相关法律、业务合同和其他因素。A)信息安全:信息安全政策:教育和培训，纪律处理过程:分级的响应B)信息安全政策:信息安全；教育和培训:纪律处理过程；分级的响应C)信息安全政策:教育和培训:信息安全:纪律处理过程；分级的响应D)信息安全政策；纪律处理过程；信息安全:教育和培训:分级的响应[单选题]13.82.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：A)模拟正常用户输入行为，生成大量数据包作为测试用例B)数据处理点、数据通道的入口点和可信边界点往往不是测试对象C)监测和记录输入数据后程序正常运行的情况D)深入分析网站测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析[单选题]14.17.如下图所示，两份文件包含了不同的内容。却拥有相同的SHA-1数字签名a,这违背了安全的哈希函数的()A)单向性B)弱抗碰撞性C)强抗碰撞性D)机密性[单选题]15.以下关于Web传输协议、服务端和客户端软件的安全问、说法不正确的是（）A)HTTP协议主要存在明文传输数据、弱验证和缺乏状态跟踪等方面的安全问、B)HTTP协议缺乏有效的安全机制，易导致拒绝服务、电子欺骗、嗅探等攻击C)Cookie是为了所别用户身份，进行会话跟踪而存储在用户本地终端上的数据，用户可以随意查看存储在Cookie中的数据，但其中的内容不能被修改D)针对HTTP协议存在的安全问、，使用HTTPS具有较高的安全性，可以通过证书来验证服务器的身份，并为服务器和服务器之间的通信加密[单选题]16.以下关于数字签名说法正确的是()A)数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B)数字签名能够解决数据的加密传输,即安全传输问题C)数字签名一般采用对称加密机制D)数字签名能够解决篡改、伪造等安全性问题[单选题]17.以下关于信息安全工程说法正确的是()。A)信息化建设可以先实施系统,而后对系统进行安全加固B)信息化建设中系统功能的实现是最重要的C)信息化建设没有必要涉及信息安全建设D)信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设[单选题]18.U盘里有重要资料，同事临时借用，如何做更安全？A)同事关系较好可以借用B)删除文件之后再借C)同事使用U盘的过程中，全程查看D)将U盘中的文件备份到电脑之后，使用杀毒软件提供的?文件粉碎?功能将文件粉碎，然后再借给同事[单选题]19.防范密码嗅探攻击计算机系统的控制措施包括下列哪一项?A)静态和重复使用的密码。B)加密和重复使用的密码。C)一次性密码和加密。D)静态和一次性密码。[单选题]20.下列哪种方式可以解决网络安全四要素：A)防火墙B)入侵检测C)访问控D)PKI基础设施[单选题]21.以下哪项不是IDS可以解决的问题：A)弥补网络协议的弱点B)识别和报告对数据文件的改动C)统计分析系统中异常活动模式D)提升系统监控能力[单选题]22.作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是:1.标识关键的业务过程;2.开发恢复优先级;3.标识关键的IT资源;4.表示中断影响和允许的中断时间A)1-3-4-2B)1-3-2-4C)1-2-3-4D)1-4-3-2[单选题]23.信息安全管理组织说法以下说法不正确的是?A)信息安全管理组织人员应来自不同的部门。B)信息安全管理组织的所有人员应该为专职人员。C)信息安全管理组织应考虑聘请外部专家。D)信息安全管理组织应建立沟通、协调机制。[单选题]24.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的A)背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性B)背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C)背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描述报告D)背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告[单选题]25.2016年9月，一位安全研究人员在GoogleCloudIP上通过扫描，发现了完整的美国路易斯安邦州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码，以防止攻击者利用以上信息进行()攻击。A)默认口令B)字典C)暴力D)XSS[单选题]26.13.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求。随后，李强发现有向系统登录异常。请问以下说法哪个是正确的？A)小张服务态度不好，如果把李强的邮件收下来亲自交给李强就不会发生这个问题B)事件属于服务器故障，是偶然事件，影响单位领导申请购买新的服务器C)单位缺乏良好的密码修改操作流程或者小张没按操作流程工作D)事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件[单选题]27.以下哪一个是对?最小特权?这一人员安全管理原则的正确理解：A)组织机构内的敏感岗位不能由一个人长期负责B)对重要的工作进行分解，分配给不同人员完成C)一个人有且仅有其他执行岗位所足够的许可和权限D)防止员工由一个岗位变动到另一个岗位，累积越来越多的权限[单选题]28.什么是数据库安全的第一道保障A)操作系统的安全B)数据库管理系统层次C)网络系统的安全D)数据库管理员[单选题]29.信息安全策略,声称?密码的显示必须以掩码的形式?的目的是防范下面哪种攻击风险?A)尾随B)垃圾搜索C)肩窥D)冒充[单选题]30.59.某公司中标了某项软件开发项目后，在公司内部研讨项目任务时，项目组认为之前在VPN技术方面积累不够，导致在该项目中难以及时完成VPN功能模块，为解决该问题，公司高层决定接受该项目任务，同时将该VPN功能模块以合同形式委托另外一家安全公司完成，要求其在指定时间内按照任务需求书完成工作，否则承担相应责任。在该案例中公司高层采用哪种风险处理方式A)风险降低B)风险规避C)风险转移D)风险接受[单选题]31.下图中描述网络动态安全的P2DR模型，这个模型经常使用图形的形式来表达的下图空白处应填A)策略B)方针C)人员D)项目[单选题]32.有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是()。A)基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施B)SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目C)SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等D)SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动[单选题]33.关键信息基础设施的建设和其配套的安全技术措施应该（）A)同步规划、同步建设、同步废弃B)同步规划、同步建设、同步使用C)同步建设、同步验收、同步运维D)同步设计、同步验收、同步运维[单选题]34.Unix的哪个目录是用来放置各种配置文件的？A)/SB.INB)/ETC..C)/PROC.D)/D.WR[单选题]35.信息资产面临的主要威胁来源主要包括A)自然灾害B)系统故障C)内部人员操作失误D)以上都包括[单选题]36.CISP的中文翻译是？A)注册信息安全专家B)中国信息安全注册人员C)中国信息安全专家D)注册信息安全专业人员[单选题]37.以下关于直接附加存储（DAS）说法错误的是？A)DAS能够在服务器物理位置比较分散的情况下实现大容量存储，是一种常用的数据存储方法B)DAS实现了操作系统与数据的分离，存取性能较高并且实施简单C)DAS的缺点在于对服务器依赖性强，当服务器发生故障时，连续在服务器上的存储设备中的数据不能被存取D)较网络附加存储（NAS），DAS节省硬盘空间，数据非常集中，便于对数据进行管理和备份[单选题]38.何种情况下，一个组织应当对公众和媒体公告其信息系统中发生的信息安全A)当信息安全事件的负面影响扩展到本组织以外时B)只要发生了安全事件就应当公告C)只有公众的生命财产安全受到巨大危害时才公告D)当信息安全事件平息之后[单选题]39.S公司在全国有20个分支机构，总部有10台服务器、200个用户终端，每个分支机构都有一台服务器、100个左右用户终端，通过专用进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给S公司选出设计最合理的一个：A)总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务和用户终端使用192.168.2.x~192.168.20.xB)总部使用服务器使用~11、用户终端使用2~212，分支机构IP地址随意确定即可C)总部服务器使用10.0.1.x、用户终端根据部门划分使用10.0.2.x、每个分支机构分配两个A类地址段，一个用做服务器地址段、另外一个做用户终端地址段D)因为通过互联网连接，访问的是互联网地址，内部地址经NAT映射，因此IP地址无需特别规划，各机构自行决定即可[单选题]40.假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备:A)是多余的,因为它们完成了同样的功能,但要求更多的开销B)是必须的,可以为预防控制的功效提供检测C)是可选的,可以实现深度防御D)在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已经足够[单选题]41.安全领域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域,下面哪项描述是错误的()A)安全域划分主要以业务需求、功能需求和安全需求为依据,和网络、设备的物理部署位置无关B)安全域划分能把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题C)以安全域为基础,可以确定该区域的信息系统安全保护等级和防护手段。从而使同一安全域内的资产实施统一的保护D)安全域边界是安全事件发生时的抑制点,以安全域为基础,可以对网络和系统进行安全检查和评估,因此安全域划分和保护也是网络防攻击的有效防护方式[单选题]42.信息系统安全保护等级为3级的系统,应当()年进行一次等级测评?A)0.5B)1C)2D)3[单选题]43.恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概念，关于这两个值能否为零，正确的选项是（）A)RTO可以为0，RPO也可以为0B)RTO可以为0，RPO不可以为0C)RTO不可以为0，但RPO可以为0D)RTO不可以为0，RPO也不可以为0[单选题]44.31.20世纪20年代，德国发明家亚瑟.谢尔比乌斯（Aunturscherbius）和理查德.里特（RichardRitter）发明了ENIGMA密码机，看密码学发展历史阶段划分，这个阶段属于（）A)古典阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是推理和证明。常用的密码运算方法包括替代方法和置换方法。B)近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步的机电密码设备C)现代密码学的早期发展阶段。这一阶段以香农的论文?保密系统的通信理论?（thecommunicationtheoryofsecretsystems)为理论基础，开始了对密码学的科学探索。D)现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历史上的革命性的变革，同时，众多的密码算法开始应用于非机密单位和商业场合。[单选题]45.防火墙通常采用哪两种核心技术？()A)包过滤和应用代理B)协议分析和应用代理C)协议分析和协议代理D)包过滤和协议分析[单选题]46.Ipsec（lPSecurity）协议标准的设计目标是在lPv4和lPv6环境中为网络层流量提供灵活、透明的安全服务，保护TCP／IP通信免遭窃听和篡改，保证数据的完整性和机密性下面选项中哪项描述是错误的（）A)IPSec协议不支持使用数字证书B)IPSec协议对于IPv4和IPv6网络都是适用的C)IPSec有两种工作模式：传输模式和隧道模式D)IPSec协议包括封装安全载荷（ESP）和鉴别头（AH）两种通信保护机制[单选题]47.质量保证小组通常负责：A)确保从系统处理收到的输出是完整的B)监督计算机处理任务的执行C)确保程序、程序的更改以及存档符合制定的标准D)设计流程来保护数据，以免被意外泄露、更改或破坏[单选题]48.59.信息安全管理体系（InformationSecurityManagementSystem，ISMS）的内部审核和管理审核是两项重要的管理活动。关于这两者，下面描述错误的是（）A)内部审核和管理审评都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施B)内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理审评会议的形式进行C)内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构D)组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核准使用，但在管理评审中，这些文件是被审对象[单选题]49.16.下面对零日(zero-day)漏洞的理解中,正确的是A)指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B)指一个特定的漏洞在2010年被发现出来的一种洞,该漏洞被震网病毒所利用,用来攻击伊朗布什尔核电站基础设施C)指一类漏洞,特别好被利用,一旦成功利用该类漏洞可以在1天内完成攻击且成功达到攻击目标D)一类漏洞,刚被发现后立即被恶意利用的安全漏洞一般来说,那些已经被人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞[单选题]50.90.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程，下列选项中不属于风险评估要素的是()。A)资产B)脆弱性C)威胁D)安全需求[单选题]51.关于恶意代码,以下说法错误的是:3/16注册信息安全专业人员考试模拟考试试卷A)从传播范围来看,恶意代码呈现多平台传播的特征。B)按照运行平台,恶意代码可以分为网络传播型病毒、文件传播型病毒。C)不感染的依附性恶意代码无法单独执行D)为了对目标系统实施攻击和破坏,传播途径是恶意代码赖以生存和繁殖的基本条件[单选题]52.如果想用winD.ows的网上邻居方式和linux系统进行文件共享，那么在linux系统中要开启哪个服务：A)D.HC.PB)NFSC)SA.MB.A.D)SSH[单选题]53.下面对于Rootkit技术的解释不准确的是：A)Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具B)Rootkit是一种危害大、传播范围广的蠕虫C)Rootkit和系统底层技术结合十分紧密D)Rootkit的工作机制是定位和修改系统的特定数据改变系统的正常操作流程[单选题]54.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()A)TCSEC标准B)CC标准C)FC标准D)ITSEC标准[单选题]55.下面那个是administrator的SIDA)S-1-5-21-1459253261-319776089-1172113026-100B)S-1-5-21-1459253261-319776089-1172113026-500C)S-1-5-21-1459253261-319776089-1172113026-1000D)S-1-5-21-1459253261-319776089-1172113026-1001[单选题]56.某单位开发一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析,模糊测试等软件测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试,模糊测试的优势给领导做决策,以下哪条是渗透性的优势?A)渗透测试使用人工进行测试,不依赖软件,因此测试更准确B)渗透测试是用软件代替人工的一种测试方法。因此测试效率更高C)渗透测试以攻击者思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞D)渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多[单选题]57.关于Linux下的用户和组，以下描述不正确的是？A)在Linux中，每一个文件和程序都归属于一个特定的?用户?B)系统中的每一个用户都必须至少属于一个用户组C)用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D)root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限[单选题]58.通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:A)Land攻击B)Smurf攻击C)PingofDeath攻击D)ICMPFlood[单选题]59.安全审计是一种很常见的安全控制措施,它在信息全保障系统中,属于()措施。A)保护B)检测C)响应D)恢复[单选题]60.54.以下SQL语句建立的数据库对象是：CreateViewPatientsForDocotorsAsSelectPatientFROMPatient,DocotorWheredocotorID＝123A)表B)视图C)存储过程D)触发器[单选题]61.系统上线前应当对系统安全配置进行检查,不包括下列哪种安全检查A)主机操作系统安全配置检查B)网络设备安全配置检查C)系统软件安全漏洞检查D)数据库安全配置检查[单选题]62.关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是()A)WPA是有线局域安全协议,而WPA2是无线局域网协议B)WPA是适用于中国的无线局域安全协议,WPA2是使用于全世界的无线局域网协议C)WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证D)WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制定的[单选题]63.某银行有5台交换机连接了大量交易机构的网络(如图所示),在基于以太网的通信中,计算机A需要与计算机B通信,A必须先广播请求信息;,获取计算机B的物理地址.每到月底时用户发现该银行网络服务速度极其缓慢.银行经调查后发现为了当其中一台交换机收到ARP请求后,会转发给接收端口以外的其他所有端口,ARP请求会被转发到网络中的所有客户机上.为降低网络的带宽消耗，将广播流限制在固定区域内,可以采用的技术是().A)动态分配地址B)配置虚拟专用网络C)VLAN划分D)为路由交换设备修改默认口令[单选题]64.风险处理是依据(),选择和实施合适的安全措施。风险处理的目的是为了将()始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和()四种方式。A)风险;风险评估的结果;降低;规避;转移;接受B)风险评估的结果;风险;降低;规避;转移;接受C)风险评估;风险;降低;规避;转移;接受D)风险;风险评估;降低;规避;转移;接受[单选题]65.下列哪项是系统问责时不需要的?A)认证B)鉴定C)授权D)审计[单选题]66.43.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登陆功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是：A)网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码导致攻击面增大，产生此安全问题B)网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C)网站问题是由于使用便利性提高带来网站用户数增加，导致网络攻击面增大，产生此安全问题D)网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此安全问题[单选题]67.SQL杀手蠕虫病毒发作的特征是什么？()A)攻击个人PC终端B)大量消耗网络带宽C)攻击手机网络D)破坏PC游戏程序[单选题]68.以下哪个选项是缺乏适当的安全控制的表现A)威胁B)脆弱性C)资产D)影响[单选题]69.以下哪一项是在兼顾可用性的基础上，防范SQL注入攻击最有效的手段：A)删除存在注入点的网页B)对数据库系统的管理C)对权限进行严格的控制，对WEB.用户输入的数据进行严格的过滤D)通过网络防火墙严格限制INTERNET用户对WEB.服务器的访问[单选题]70.在TCP中的六个控制位哪一个是用来请求同步的A)SYNB)ACKC)FIND)RST[单选题]71.433.信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的所有者应对其分类负责,分类的结果表明了(),该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的()。分类信息的标记和安全处理是信息共享的一个关键要求。()和元数据标签是常见的形式。标记应易于辨认,规程应对标记附着的位置和方式给于指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和()。A)敏感性;物理标签;资产的价值;信息资产;交换规程B)敏感性;信息资产;资产的价值:物理标签;交换规程C)资产的价值;敏感性;信息资产;物理标签;交换规程D)敏感性;资产的价值;信息资产;物理标签;交换规程[单选题]72.97.某信息安全公司的团队对某款名为?红包快抢?的外挂进行分析发现此外挂是一个典型的木马后门，使黑客能够获得受害者电脑的访问权，该后门程序为了达到长期驻留在受害者的计算机中，通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击，以下做法无用的是（）A)不下载、不执行、不接收来历不明的软件和文件B)不随意打开来历不明的邮件，不浏览不健康不正规的网站C)使用共享文件夹D)安装反病毒软件和防火墙，安装专门的木马防范软件[单选题]73.下图是使用CC标准进行的信息安全评估的基本过程，在图中（1）~（3）处填入构成评估相关要素的主要因素，下列选项中正确的是（）A)(1)评估方法学(2)最终评估结果(3)批准、认证B)(1)评估方法学(2)认证过程(3)最终评估结果C)(1)评估合理性(2)最终评估结果(3)批准、认证D)(1)评估合理性(2)认证过程(3)最终评估结果[单选题]74.近年来，电子邮件用户和公司面临的安全性风险日益严重，以下不属于电子邮件安全威胁的是：_________A)SMTP的安全漏洞B)电子邮件群发C)邮件炸弹D)垃圾邮件[单选题]75.时间的流逝对服务中断损失成本和中断恢复成本会有什么影响?A)两个成本增加B)中断的损失成本增加,中断恢复的成本随时问的流逝而减少C)两个成本都随时间的流逝而减少D)没有影响[单选题]76.下图是使用CC标准进行的信息安全评估的基本过程，在图中（1）~（3）处填入构成评估相关要素的主要因素，下列选项中正确的是（）A)（1）评估方法学（2）最终评估结果（3）批准、认证B)（1）评估方法学（2）认证过程（3）最终评估结果C)（1）评估合理性（2）最终评估结果（3）批准、认证D)（1）评估合理性（2）认证过程（3）最终评估结果[单选题]77.以下对信息安全管理的描述错误的是A)信息安全管理的核心就是风险管理B)人们常说,三分技术,七分管理,可见管理对信息安全的重要性C)安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D)信息安全管理工作的重点是信息系统,而不是人[单选题]78.下面选项属于社会工程学攻击选项的是（）?A)逻辑炸弹B)木马C)包重放D)网络钓鱼[单选题]79.风险评估实施过程中资产识别的范围主要包括什么类别A)网络硬件资产B)数据资产C)软件资产D)以上都包括[单选题]80.63.()才是系统的软肋，可以毫不夸张的说，人是信息系统安全防护体系中最不稳定也是()。社会工程学攻击是一种复杂的攻击，不能等同于一般的()，很多即使是自认为非常警惕及小心的人，一样会被高明的()所攻破。A)社会工程学；攻击人的因素；最脆弱的环节；欺骗方法B)人的因素:最脆弱的环节；社会工程学攻击；欺骗方法C)欺骗方法；最脆弱的环节；人的因素；社会工程学攻击D)人的因素；最脆弱的环节；欺骗方法:社会工程学攻击[单选题]81.在GB／T18336《信息技术安全性评估准则》（CC标准）中，有关保护轮廓(ProtectionProfile，PP)和安全目标(SecurityTarget，ST)，错误的是：A)PP是描述一类产品或系统的安全要求B)PP描述的安全要求与具体实现无关C)两份不同的ST不可能满足同一份PP的要求D)ST与具体的实现有关[单选题]82.入侵检测系统有其技术优越性,但也有局限性,下列说法错误的是()A)对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击B)高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重C)入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响D)警告消息记录如果不完整,可能无法与入侵行为关联[单选题]83.《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A)规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等B)设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求C)实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证D)运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面标准原文?较全面?[单选题]84.windows文件系统权限管理使用访问控制列表(AccessControlList.ACL)机制,以下哪个说法是错误的:A)安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持B)由于Windows操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C)Windows的ACL机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中的D)由于ACL具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限[单选题]85.不能防止计算机感染病毒的措施是_____。A)A定时备份重要文件B)B经常更新操作系统C)C除非确切知道附件内容，否则不要打开电子邮件附件D)D重要部门的计算机尽量专机专用与外界隔绝[单选题]86.实施逻辑访问安全时,以下哪项不是逻辑访问?A)用户ID。B)访问配置文件。C)员工胸牌。D)密码。[单选题]87.8密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法，密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是（）A)在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住所有的执行步骤，有些复杂的步骤可以不明确处理方式B)密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行C)根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信任的人，也可能是敌人和互相完全不信任的人D)密码协议（cryptographicprotocol），有时也称安全协议（securityprotocol），是使用密码学完成某项特定的任务并满足安全需求，其目的是提供安全服务[单选题]88.459.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安【2009】812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安【2010】303号）等文件，由公安部（）对等级保护测评机构管理，接受测评机构的申请、考核和定期（），对不具备能力的测评机构则（）。A)等级测评，测评体系，等级保护评估中心，能力验证：取消授权B)测评体系：等级保护评估中心，等级测评，能力验证：取消授权C)测评体系：等级测评，等级保护评估中心：能力验证，取消授权D)测评体系：等级保护评估中心，能力验证：等级测评：取消授权[单选题]89.（）攻击是建立在人性"弱点"利用基础上的攻击，大部分的社会工程学攻击都是经过（）才能实施成功的。即时是最简单的"直接攻击"也需要进行（）。如果希望受害者攻击者所需要的（），攻击者就必要具备这个身份所需要的（）A)社会工程学、精心策划、前期的准备、伪装的身份、一些特征B)精心策划、社会工程学、前期的准备、伪装的身份、一些特征C)精心策划、社会工程学、伪装的身份、前期的准备、一些特征D)社会工程学、伪装的身份、精心策划、前期的准备、一些特征[单选题]90.()攻击是建立在人性?弱点?利用基础上的攻击,大部分的社会工程学攻击都是经过()才能实施成功的。即使是最简单的?直接攻击?也需要进行()。如果希望受害者接受攻击者所(),攻击者就必须具备这个身份需要的()A)社会工程学:精心策划;前期的准备;伪装的身份;一些特征B)精心策划;社会工程学;前期的准备;伪装的身份;一些特征C)精心策划;社会工程学;伪装的身份;前期的准备:一些特征D)社会工程学;伪装的身份;精心策划;前期的准备;一些特征[单选题]91.以下哪个说法最符合《网络安全法》中关于网络的定义（）A)计算机局域网B)包含服务器、交换机等设备的系统C)覆盖处理各种信息的设备的网络空间D)人与人交往联系的社会网络[单选题]92.以下关于信息安全保障说法中哪一项不正确？A)信息安全保障是为了支撑业务高效稳定的运行B)以安全促发展，在发展中求安全C)信息安全保障不是持续性开展的活动D)信息安全保障的实现，需要将信息安全技术与管理相结合[单选题]93.某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()A)安全路由器B)网络审计系统C)网页防篡改系统D)虚拟专用网(VirtualPrivateNetwork,VPN)系统[单选题]94.如果恶意开发人员想在代码中隐藏逻辑炸弹,什么预防方式最有效?A)源代码周期性安全扫描B)源代码人工审计C)渗透测试D)对系统的运行情况进行不间断监测记录[单选题]95.自主访问控制模型(DAC)的访问控制关系可以用访问控制表(ACL)来表示,该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是()。A)ACL在删除用户时,去除该用户所有的访问权限比较方便B)ACL在增加客体时,增加相关的访问控制权限较为简单C)ACL对于统计某个主体能访问哪些客体比较方便D)ACL是Bell-LaPadula模型的一种具体实现[单选题]96.42.针对软件的拒绝服务攻击时通过消耗系统资源是软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式A)攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100%B)攻击者利用软件脚本使用多重账套查询在数据量大时会导致查询效率低，通过发送大量的查询导致数据库相应缓慢C)攻击者利用软件不自动释放连接的问题，通过发送大量连接的消耗软件并发生连接数，导致并发连接数耗尽而无法访问D)攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问[单选题]97.以下关于https协议http协议相比的优势说明,那个是正确的:A)Https协议对传输的数据进行加密,可以避免嗅探等攻击行为B)Https使用的端口http不同,让攻击者不容易找到端口,具有较高的安全性C)Https协议是http协议的补充,不能独立运行,因此需要更高的系统性能D)Https协议使用了挑战机制,在会话过程中不传输用户名和密码,因此具有较高的[单选题]98.关于ARP欺骗原理和防范措施,下面理解错误的是()。A)ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中,从而起到冒充主机的目的B)解决ARP欺骗的一个有效方法是采用?静态?的ARP缓存,如果发生硬件地址的更改,则需要人工更新缓存C)单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击D)彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存,直接采用IP地址和其他主机进行连接[单选题]99.风险分析是风险评估工作中的一个重要内容，下面描述了信息安全风险分析的过程，请为图中括号空白处选择合适的内容（）A)需要保护的资产清单B)已有安全措施列表C)安全风险等级列表D)信息安全风险评估策略[单选题]100.以下哪一项不属于Web应用软件表示层测试关注的范畴()。A)排版结构的测试B)数据完整性测试C)客户端兼容性的测试D)链接结构的测试[单选题]101.依据国家GB/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是（）A)信息系统安全保障目的B)环境安全保障目的C)信息系统安全保障目的和环境安全保障目的D)信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的[单选题]102.（）是行为人由于过错侵害人身、财产和（），依法应承担民事责任的（），以及按照法律特殊规定应当承担民事责任的（），侵权行为构成要件，主要集中在以下几个因素，即：过错、（）、损害事实是否是侵权行为必要构成要件上。2017年3月15日全第十二届全国人大五次会议表决通过了《中华人民共和国民法总则》，国家主席习近平签署第66号主席令予以公布，民法总则将于2017年10月1日起施行。A)民事侵权行为；其他合法权益；不法行为；其他侵害行为；行为不法B)民事行为；权益；不法行为；其他侵害行为；不法行为C)民事行为；其他合法权益；不法行为；其他侵害行为；行为不法D)民事侵害行为；其他合法权益；不法行为；行为不法；其他侵害行为[单选题]103.开发软件所需高成本和产品的低质量之间有着尖锐的矛盾，这种现象称作()A)软件工程B)软件周期C)软件危机D)软件产生[单选题]104.密码分析的目的是什么？A)、确定加密算法的强度B)、增加加密算法的代替功能C)、减少加密算法的换位功能D)、确定所使用的换位[单选题]105.下面哪一项不是虚拟专用网络（VPN）协议标准：A)第二层隧道协议（L2TP）B)Internet安全性（IPSEC）C)终端访问控制器访问控制系统（TACACS+）D)点对点隧道协议（PPTP）[单选题]106.当交换机收到一个目的mac为68-A3-C4-29-82-F2的数据包，但此MAC地址不在交换机的MAC地址表中，交换机会怎么处理这个数据？A)交换机将数据报发送给默认网关B)交换机将会把数据包丢弃，因为它并没有这个MAC地址C)交换机将发送一个ARP请求给它的全部接口（除去接收接口）D)交换机把数据包从所有接口复制发送一遍（除去接收接口）[单选题]107.以下哪个攻击步骤是IP欺骗（IPSpoof）系列攻击中最关键和难度最高的？A)对被冒充的主机进行拒绝服务攻击，使其无法对目标主机进行响应B)与目标主机进行会话，猜测目标主机的序号规则C)冒充受信主机向目标主机发送数据包，欺骗目标主机D)向目标主机发送指令，进行会话操作[单选题]108.外部组织使用组织敏感信息资产时,以下正确的做法是?A)确保使用者得到正确的信息资产。B)与信息资产使用者签署保密协议。C)告知信息资产使用的时间限制。D)告知信息资产的重要性。[单选题]109.382.管理，是指(）组织并利用其各个要素(人、财、物、信息和时空)，借助()，完成该组织目标的过程。其中，（）就像其他重要业务资产和()一样，也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和()当中。A)管理手段；管理主体；信息管理要素；脆弱性B)管理主体；管理手段；信息;管理要素；脆弱性C)管理主体；信息；管理手段；管理要素；脆弱性D)管理主体；管理要素；管理手段；信息；脆弱性[单选题]110.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务：A)为政府单位信息系统进行安全方案设计B)在信息安全公司从事保安工作C)在公开场合宣讲安全知识D)在学校讲解信息安全课程[单选题]111.IPV4协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依拿IP头部的校验和字段来保证IP包的安全,因此IP包很容易被篡改,并重新计算校验和,IETF于1994年开始制定IPSec协议标准,其设计目标是在IPV4和IPV6环境中为网络层流量提供灵活、透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性,下列选项中说法错误的是()A)对于IPv4,IPSec是可选的,对于IPv6,IPSec是强制实施的。B)IPSec协议提供对IP及其上层协议的保护。C)IPSec是一个单独的协议。D)ITSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制[单选题]112.为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，下面哪项内容不在考虑范围内A)关于网站身份鉴别技术方面安全知识的培训B)针对OpenSSL心脏出血漏洞方面安全知识的培训C)针对SQL注入漏洞的安全编程培训D)关于ARM系统漏洞挖掘方面安全知识的培训[单选题]113.在国家标准《信息系统安全保障评估框架第部分：简介和一般模型》（GB／T20274．1－2006）中描述了信息系统安全保障模型，下面对这个模型理解错误的是（）A)该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的B)该模型是一个强调持续发展的动态安全模型即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程C)该模型强调综合保障的观念，即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标D)模型将风险和策略作为信息系统安全保障的基础和核心，基干IATF模型改进，在其基础上增加了人员要素，强调信息安全的自主性[单选题]114.以下哪一个选项是从软件自身功能出发,进行威胁分析A)攻击面分析B)威胁建模C)架构设计D)详细设计[单选题]115.一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由下列哪个选项决定的()。A)加密和解密算法B)解密算法C)密钥D)加密算法[单选题]116.具有行政法律责任强制力的安全管理规定和安全规范制度包括一、安全事件(包括安全事故)报告制度二、安全等级保护制度三、信息体统安全监控四、安全专用产品销售许可证制度"A)1,2,4B)2,3C)2,3,4D)1,2,3[单选题]117.基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击A)中断B)篡改C)侦听D)伪造[单选题]118.关于标准，下面哪项理解是错误的？A)标准是在一定范围内为了获得最佳秩序，经协商一直制定并由公认机构批准，共同重复使用的一种规范性文件。标准是标准化活动的重要成果B)国际标准是由国际标准组织通过并公开发布的标准。同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准C)行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准D)行业标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止[单选题]119.对于关键信息基础设施的理解以下哪项是正确的()A)关键信息基础设施是国家最为重要的设施,包括三峡大坝水利设施、神舟载人航天设施和高铁网络设施B)等级保护定级的系统属于关键信息基础设施C)我国总体国家安全观将信息安全作为国家安全的一个重要组成部分,说明缺少信息安全我国的国家安全将无法得到保障D)关键信息基础设施不会向公众提供服务,所以受到攻击损害后不会影响到我们日常生活[单选题]120.我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，我国信息安全保障各阶段说法不正确的是？A)2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动B)2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》（中办发27号文件），明确了?积极防御、综合防范?的国家信息安全保障工作方针C)2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段D)在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展[单选题]121.企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:A)限制物理访问计算设备B)检查事务和应用日志C)雇用新IT员工之前进行背景调查D)在双休日锁定用户会话[单选题]122.分析针对WeB的攻击前,先要明白http协议本身是不存在安全性的问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或则客户端、以及运行的服务器的weD应用资源才是攻击的目标。针对WeB应用的攻击,我们归纳出了12种,小陈列举了其中的4种,在这四种当中错误的是()A)拒绝服务攻击B)网址重定向C)传输保护不足D)错误的访问控制[单选题]123.关于标准,下面哪项理解是错误的()。A)标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件。标准是标准化活动的重要成果B)行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准C)国际标准是由国际标准化组织通过并公开发布的标准。同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准D)地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止[单选题]124.下列选项中,对图中出现的错误描述正确的是()A)步骤1和2发生错误,应该向本地AS请求并获得远程TGTB)步骤3和4发生错误,应该本地TGS请求并获得远程TGTC)步骤5和6发生错误,应该向远程AS请求并获得远程TGTD)步骤5和6发生错误,应该向远程TGS请求并获得远程TGT[单选题]125.下面哪一项不是风险评估的过程?A)风险因素识别B)风险程度分析C)风险控制选择D)风险等级评价[单选题]126.在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务。A)网络层B)表示层C)会话层D)物理层[单选题]127.提高阿帕奇系统(ApacheHTTPServer)系统安全性时,下面哪项措施不属于安全配置()?A)不在Windows下安装Apache,只在Linux和Unix下安装B)安装Apache时,只安装需要的组件模块C)不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行D)积极了解Apache的安全通告,并及时下载和更新[单选题]128.下面关于信息系统安全保障的说法不正确的是：A)信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关B)信息系统安全保障要素包括信息的完整性、可用性和保密性C)信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障D)信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命[单选题]129.29.根据我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护，按照要求向公安机关备案即可，可以不需向上级或主管部门来测评和检查，此类信息系统应属于（）A)零级系统B)一级系统C)二级系统D)三级系统[单选题]130.393.我国标准《信息安全风险管理指南》(GB/Z24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写:A)风险计算B)风险评价C)预测D)风险处理[单选题]131.以下标准内容为?信息安全管理体系要求?的是哪个?A)ISO27000B)ISO27001C)ISO27002D)ISO27003[单选题]132.不恰当的异常处理,是指WEB应用在处理内部异常、错误时处理不当,导致会给攻击者透露出过多的WEB应用架构信息和安全配置信息。某软件开发团队的成员经常册到处理内部异常,他知道如果错误时处理不当,导致会给攻击者透露出过多的WEB应用架构信息和安全配置信息。这会导致A)堆栈追溯B)蠕虫传播C)钓鱼网站D)拒绝服务[单选题]133.2008年1月8日,布什以第54号国家安全总统令和第23号国土安全总统令的形式签署的文件是?A)国家网络安全战略。B)国家网络安全综合计划。C)信息基础设施保护计划。D)强化信息系统安全国家计划。[单选题]134.在GB/T18336《信息技术安全性评估准则》(CC标准)中,有关保护轮廓(ProtectionProfile,PP)和安全目标(SecurityTarget,ST),错误的是:A)PP是描述一类产品或系统的安全要求B)PP描述的安全要求与具体实现无关C)两份不同的ST不可能满足同一份PP的要求D)ST与具体的实现有关C[单选题]135.53.下面关于信息系统安全保障模型的说法不正确的是:A)国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B)模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C)信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D)信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入[单选题]136.一般地,IP分配会首先把整个网络根据地域、区域,每个子区域从它的上一级区域里获取IP地址段,这种分配方法称为()分配方法。A)自顶向下B)自下向上C)自左向右D)自右向左[单选题]137.计算机网络组织结构中有两种基本结构，分别是域和____。A)A用户组B)B工作组C)C本地组D)D全局组[单选题]138.安全管理体系,国际上有标准(InformationtechnologySecuritytechniquesInformationsystems)(ISO/IEC27001:2013),而我国发布了《信息技术信息安全管理体系要求》(GB/T22080-2008).请问,这两个标准的关系是()A)IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改B)EQV(等效采用),此国家标准等效于该国家标准,技术上只有很小差异C)AEQ(等效采用),此国家标准不等效于该国家标准D)没有采用与否的关系,两者之间版本不同,不应直接比较[单选题]139.网络安全技术可以分为主动防御技术和被动防御技术两大类，以下属于主动防御技术的是()A)蜜罐技术B)入侵检测技术C)防火墙技术D)恶意代码扫描技术[单选题]140.在规定的时间间隔或重大变化发生时,组织的()和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应()。独立评审宜由管理者启动,由独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行()。为了日常评审的效率,可以考虑使用自动测量和()。评审结果和管理人员采取的纠正措施宜被记录,且这些记录宜予以维护。A)信息安全管理;独立审查;报告工具;技能和经验;定期评审B)信息安全管理;技能和经验;独立审查;定期评审;报告工具C)独立审查;信息安全管理;技能和经验;定期评审;报告工具D)信息安全管理;独立审查;技能和经验;定期评审;报告工具[单选题]141.国际标准化组织对信息安全的定义为()A)保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性B)信息安全,有时缩写为InfoSec,是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据(例如电子、物理)的通用术语C)在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力,这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性D)为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露[单选题]142.以下关于安全控制措施的选择,哪一个选项是错误的?A)维护成本需要被考虑在总体控制成本之内B)最好的控制措施应被不计成本的实施C)应考虑控制措施的成本效益D)在计算整体控制成本的时候,应考虑多方面的因素[单选题]143.为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。A)GB/T20271-2006《信息系统通用安全技术要求》B)GB/T22240-2008《信息系统安全保护等级定级指南》C)GB/T25070-2010《信息系统等级保护安全设计技术要求》D)GB/T20269-2006《信息系统安全管理要求》[单选题]144.关于我国信息安全保障的基本原则，下列说法中不正确的是：A)要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理与技术并重B)信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方C)在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点D)在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方的作用。[单选题]145.关于黑客的主要攻击手段，以下描述不正确的是？（）A)包括社会工程学攻击B)包括暴力破解攻击C)直接渗透攻击D)不盗窃系统资料[单选题]146.一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向那一家A)公安部公共信息网络安全监察及其各地相应部门B)国家计算机网络与信息安全管理中心C)互联网安全协会D)信息安全产业商会[单选题]147.合适的信息资产存放的安全措施维护是谁的责任A)安全管理员B)系统管理员C)数据和系统所有者D)系统运行组[单选题]148.Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？A)rwxr-xr-x3useradmin1024Sep1311:58testB)drwxr-xr-x3useradmin1024Sep1311:58testC)rwxr-xr-x3adminuser1024Sep1311:58testD)drwxr-xr-x3adminuser1024Sep1311:58test[单选题]149.在工程实施阶段，监理机构依据承建合同、安全设计方案、实施方案、实施记录、国家或地方相关标准和技术指导文件，对信息化工程进行安全（）检查，以验证项目是否实现了项目设计目标和安全等级要求。A)功能性B)可用性C)保障性D)符合性[单选题]150.某公司开发了一个游戏网站，但是由于网站软件存在问题，结果在软件上线后被黑客攻击，其数据库中的网游用户真实身份被黑客看到。关于此案例，可以推断的是（）A)该网站软件存在保密性方面安全问题B)该网站软件存在完整性方面安全问题C)该网站软件存在可用性方面安全问题D)该网站软件存在不可否认性方面安全问题[单选题]151.以下对跨站脚本攻击（XSS）的解释最准确的一项是：A)引诱用户点击虚假网络链接的一种攻击方法B)构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C)一种很强大的木马攻击手段D)将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的[单选题]152.下面对零日(zero-day)漏洞的理解中,正确的是A)指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B)指一个特定的漏洞在2010年被发现出来的一种洞,该漏洞被震网病毒所利用,用来攻击伊朗布什尔核电站基础设施C)指一类漏洞,特别好被利用,一旦成功利用该类漏洞可以在1天内完成攻击且成功达到攻击目标D)一类漏洞,刚被发现后立即被恶意利用的安全漏洞一般来说,那些已经被人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞[单选题]153.项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的：A)项目管理的基本要素是质量，进度和成本B)项目管理的基本要素是范围，人力和沟通C)项目管理是从项目的执行开始到项目结束的全过程进行计划、组织D)项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理[单选题]154.以下说法正确的是()A)验收测试是同承建方和用户按照用户使用手册执行软件验收B)软件测试的目的是为了验证软件功能是否正确C)监理工程师应按照有关标准审查提交的测试计划，并提出审查意见D)软件测试计划开始于软件设计阶段，完成于软件开发阶段[单选题]155.422.以下哪个是国际信息安全标准化组织的简称()A)ANSIB)ISOC)IEEED)NIST[单选题]156.下图排序你认为哪个是正确的.A)1是主体，2是客体,3是实施，4是决策B)1是客体，2是主体3是决策，4是实施C)1实施，2是客体3是主题，4是决策D)1是主体，2是实施3是客体，4是决策[单选题]157.49.某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要由审核员进行审核后该操作才能生效，这种设计是遵循了以下哪个原则：A)权限分离原则B)A、最小特权原则C)B、保护XXX环节的原则D)纵深防御的原则[单选题]158.某公司已有漏洞扫描和入侵检测系统(IntrusionDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:A)选购当前技术最先进的防火墙即可B)选购任意一款品牌防火墙C)任意选购一款价格合适的防火墙产品D)选购一款同已有安全产品联动的防火墙[单选题]159.下面哪种方法在数据中心灭火最有效并且是环保的?A)哈龙气体B)湿管C)干管D)二氧化碳气[单选题]160.安全模型是用于精确和形式地描述信息系统的安全特征,解释系统安全相关行为。关于它的作用描述不正确的是?A)准确的描述安全的重要方面与系统行为的关系。B)开发出一套安全性评估准则,和关键的描述变量。C)提高对成功实现关键安全需求的理解层次。D)强调了风险评估的重要性。[单选题]161.好友的QQ突然发来一个网站链接要求投票，最合理的做法是（）A)因为是其好友信息，直接打开链接投票B)可能是好友QQ被盗，发来的是恶意链接，先通过手机跟朋友确认链接无异常后，再酌情考虑是否投票C)不参与任何投票。D)把好友加入黑名单[单选题]162.有关质量管理，错误的理解是（）。A)质量管理是与指挥和控制组织质量相关的一系列相互协调的活动，是为了实现质量目标，而进行的所有管理性质的活动B)规范质量管理体系相关活动的标准是ISO9000系列标准C)质量管理体系将资源与结果结合，以结果管理方法进行系统的管理D)质量管理体系从机构，程序、过程和总结四个方面进行规范来提升质量[单选题]163.依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）中，安全保障目的指的是：A)信息系统安全保障目的B)环境安全保障目的C)信息系统安全保障目的和环境安全保障目的D)信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的[单选题]164.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是？A)加强网站源代码的安全性B)对网络客户端进行安全评估C)协调运营商对域名解析服务器进行加固D)在网站的网络出口部署应用级防火墙[单选题]165.某集团公司更具业务需要，在各地分支机构部署前置机，为了保证安全，将集团总部要求前置机开放日志由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?()A)由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析B)为配合总部的安全策略，会带来一定的安全问题，但不能响系统使用，因此接受此风险C)日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志D)只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间[单选题]166.拒绝服务攻击不包括哪项A)land攻击B)ARP攻击C)畸形报文攻击D)DDOS[单选题]167.主体是使信息在客体间流动的一种实体，通常，主体是指人，进程，或设备，下列不属于主体的是A)对文件操作的用户B)用户调度并运行的某个进程C)调一个进程的设备D)数据块[单选题]168.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性（）A)结构的开放性，即功能和保证要求都可以具体的保护轮廓和安全目标中进一步细化和扩展B)表达方式的通用性，即给出通用的表达方式C)独决性，它强调将安全的功能和保证分离D)实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中[单选题]169.34.国家科学技术秘密的密级分为绝密级、机密级、密级，以下哪块属于绝密级的描述?A)处于国际先进水平、并且有军事用途或者对经济建设具有重要影响的B)能够局部及应国家防治和治安实力的C)我国独有、不要自己条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺D)国际领先、并且对国防建设或者经济建设具有特别重大影响的[单选题]170.某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势？A)渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏B)渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C)渗透测试使用人工进行测试，不依赖软件，因此测试更准确D)渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多[单选题]171.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于_______月。A)1个月。B)3个月。C)6个月。D)12个月。[单选题]172.微软SDL将软件开发生命周期制分为七个阶段，并列出了十七项重要的安全活动。其中?弃用