CISP考试认证(习题卷9)

试卷科目：CISP考试认证CISP考试认证(习题卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考试认证第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题,特别对于使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施,下列措施中错误的是()A)如果经费许可,可以使用自建服务器的即时通讯系统B)在组织机构安全管理体系中制定相应安全要求,例如禁止在即时通讯中传输敏感及以上级别的文档;建立管理流程及时将离职员工移除等C)选择在设计上已经为商业应用提供安全防护的即时通讯软件,例如提供传输安全性保护等即时通讯D)涉及重要操作包括转账无需方式确认[单选题]2.小张新购入了一台安装了windows操作系统的笔记本电脑,为了提升操作系统的安全性,小张在windows系统中的?本地安全策略?中,配置了四类安全策略:账号策略、本地策略、公钥策略和IP安全策略。那么该操作属于操作系统安全配置内容中的()A)关闭不必要的服务B)关闭不必要的端口C)制定操作系统安全策路D)开启审核策略[单选题]3.信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF），目的是为保障政府和工业的（）提供了（）。信息安全保障技术框架的核心思想是（）。深度防御战略的三个核心要素：（）、技术和运行（亦称为操作）A)信息基础设施；技术指南；深度防御；人员B)技术指南；信息基础设施；深度防御；人员C)信息基础设施；深度防御；技术指南；人员D)信息基础设施；技术指南；人员；深度防御[单选题]4.61.漏洞扫描是信息系统风险评估中的常用技术措施，定期的漏洞扫描有助于组织机构发现系统中存在集公司安全漏洞。漏洞扫描软件是实施漏洞扫描的工具，用于测试网络、操作系统、数据库及应用软件是否存在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如下理解，其中错误的是（）A)A主动扫描工作方式类似于IDS(IntrusionDetectionSystems)B)CVE(CommonVulnerabilities&Exposures)为每个漏洞确定了唯一的名称和标准化的描述C)X.Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描D)ISS的SystemScanner通过依附于主机上的扫描器代理侦测主机内部的漏洞[单选题]5.一般地，IP分配会首先把整个网络根据地域、区域。每个子域从它的上一级区域里获取IP地址段，这种分配方法为什么分配方法（）A)自顶向下B)自下向上C)自左向右D)自右向左[单选题]6.以下哪些是需要在信息安全策略中进行描述的:A)组织信息系统安全架构B)信息安全工作的基本原则C)组织信息安全技术参数D)组织信息安全实施手段[单选题]7.标准是标准化活动的成果，是为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规范性文件。关于标准和标准化，以下选项中理解错误的是（）A)标准化是一项活动，标准化工作的主要任务是定标准、组织实施以及对标准的实施进行监督，主要作用是为了预期的目的而改进产品、过程或服务的实用性，防止壁垒，促进合作B)标准化的对象不应是孤立的一件事或一个事物，而是共同的、可重复的事物，标准化的工作同时也具有动态性，即应随着科学的发展和社会的进步而不断修订标C)标准在国际贸易中有着重要作用，一方面，标准能打破技术壁垒，促进国际间的经贸发展和科学、技术、文化交流和合作；另一方面，标准也能成为新的技术壁垒，起到限制他国产品出口、保护本国产业的目的D)标准有着不同的分类，我国将现有标准分为强制性标准、推荐性标准和事实性标准三类，国家标准管理机构对着三类标准通过采取不同字头的方式分别编号后公开发布[单选题]8.关于禁止一机两用不正确的说法是:A)不准将计算机在连入公安网络的同时，又通过专线、代理服务器或拨号入网等方式连入国际互联网或其它网络。B)不准将未经杀毒处理过的、保存有从国际互联网或其他网络下载数据资料的软盘、光盘、活动硬盘、硬盘等存储设备在连入公安信息网的计算机上使用。C)不准将运行公安应用系统的服务器连入国际互联网或其它网络,但普通PC.机不受限制。D)不准将公安信息网直接连入国际互联网及其他网络或将公安信息数据传输到国际互联网或其他网络。[单选题]9.以下哪些因素属于信息安全特征?()A)系统和网络的安全B)系统和动态的安全C)技术、管理、工程的安全D)系统的安全;动态的安全;无边界的安全;非传统的安全[单选题]10.TCP/IP协iXInternetiRE议是einternet构成的基础，TCP/IP通常被认为是一个N层协议，每一层都使用它的下一层所提供的网络服务来完成自己的功能，这里N应等于（）A)4B)5C)6D)7[单选题]11.优秀源代码审核工具有哪些特点()1安全性;2多平台性;3可扩民性;4知识性;5集成性。A)12345B)234C)1234D)23[单选题]12.下面的角色对应的信息安全职责不合理的是：A)高级管理层--最终责任B)信息安全部门主管--提供各种信息安全工作必须的资源C)系统的普通使用者--遵守日常操作规范D)审计人员--检查安全策略是否被遵从[单选题]13.软件工程方法提出起源于软件危机，而其目的应该是最终解决软件的问题的是()A)质量保证B)生产危机C)生产工程化D)开发效率[单选题]14.回顾组织的风险评估流程时应首先A)鉴别对于信息资产威胁的合理性B)分析技术和组织弱点C)鉴别并对信息资产进行分级D)对潜在的安全漏洞效果进行评价[单选题]15.宏病毒是一种专门感染微软office格式文件的病毒，下列A)*.exeB)*.docC)*.xlsD)*.ppt[单选题]16.下列选项中,对物理与环境安全的近期内述出现错误的是()A)物理安全确保了系统在对信息进行采集、传输、处理等过程中的安全B)物理安全面对是环境风险及不可预知的人类活动,是一个非常关键的领域C)物理安全包括环境安全、系统安全、设施安全等D)影响物理安全的因素不仅包含自然因素,还包含人为因素[单选题]17.信息安全管理体系（InformationSecurityManagementSystem，ISMS）的内部审核和管理审核是两项重要的管理活动。关于这两者，下面描述错误的是？A)内部审核和管理审评都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施B)内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理审评会议的形式进行C)内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构D)组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核准使用，但在管理评审中，这些文件是被审对象[单选题]18.在linux下为某个文件添加权限命令chmod741中的4是什么意思A)执行权限B)只读权限C)只写权限D)所有权限[单选题]19.在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?A)标准(StAnDArD)B)安全策略(SeCuritypoliCy)C)方针(GuiDeline)D)流程(ProCeDure)[单选题]20.以下关于Windows操作系统身份标识与鉴别，说法不正确的是（）。A)本地安全授权机构（LSA）生成用户账户在该系统内唯一的安全标识符（SID）B)用户对鉴别信息的操作，如更改密码等都通过一个以Administrator权限运行的服务?SecurityAccountexpiredManager?来实现C)Windows操作系统远程登录经历了SMB鉴别机制、LM鉴别机制、NTLM鉴别机制、Kerberos鉴别体系等阶段D)完整的安全标识符（SID）包括用户和组的安全描述，48比特的身份特权、修订版本和可变的验证值[单选题]21.下列关于逻辑覆盖的叙述中,说法错误的是A)对于多分支的判定,判定覆盖要使每一个判定方式获得每一种可能的值来测试B)语句覆盖较判定覆盖严格,但该测试仍不充分C)语句覆盖是比较弱的覆盖标准D)条件组合覆盖是比较强的覆盖标准[单选题]22.年1月2日,美国发布第54号总统令,建立国家网络安全综合计划(ComprchensiveNationalCybersecuityInitative,CNCI)。CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境。从以上内容,我们可以看出以下哪种分析是正确的:A)CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险B)从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的C)CNCI的目的是尽快研发并部署新技术和彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补D)CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障[单选题]23.以下关于在UNIX系统里启动与关闭服务的说法不正确的是?A)在UNIX系统中,服务可以通过inetD进程来启动B)通过在/etC/inetDConf文件中注释关闭正在运行的服务C)通过改变脚本名称的方式禁用脚本启动的服务D)在UNIX系统中,服务可以通过启动脚本来启动[单选题]24.以下对于WinD.ows系统的服务描述，正确的是：A)WIND.OWS服务必须是一个独立的可执行程序B)WIND.OWS服务的运行不需要用户的交互登录C)WIND.OWS服务都是随系统启动而启动，无需用户进行干预D)WIND.OWS服务都需要用户进行登录后，以登录用户的权限进行启动[单选题]25.在OSI模型中，主要针对远程终端访问，任务包括会话管理、传输同步以及活动管理等以下是哪一层？A)应用层B)物理层C)会话层D)网络层[单选题]26.17.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是（）A)BLP模型用于保证系统信息的机密性，规则是?向上读，向下写?B)BLP模型用于保证系统信息的机密性，规则是?向下读，向上写?C)BLP模型用于保证系统信息的完整性，规则是?向上读，向下写?D)BLP模型用于保证系统信息的完整性，规则是?向下读，向上写?[单选题]27.下列哪一项不属于Fuzz测试的特性？A)主要针对软件漏洞或可靠性错误进行测试B)采用大量测试用例进行激励、响应测试C)一种试探性测试方法，没有任何理论依据D)利用构造畸形的输入数据引发被测试目标产生异常[单选题]28.某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是（）A)所选择的特征(指纹)便于收集、测量和比较B)每个人所拥有的指纹都是独一无二的C)指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题D)此类系统一般由用户指纹信息采集和指纹信息识别两部分组成[单选题]29.SQL注入出password的字段值为?YWRtaW44ODg=?，这是采用了哪种加密方式（）A)md5B)base64C)AESD)DES[单选题]30.427.操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境,操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统的自身的不安全性,系统开发设计的不同而留下的破绽,都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标,按书中所学建立了相应的安全机制,这些机制不包括()A)标识与鉴别B)访问控制C)权限管理D)网络云盘存取保护[单选题]31.某公司建没面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为单位,并选择了H监理公司承担该项目的全程监理工作。目前,各个应用系统均已完成开发,M公司已经提交了验收申请。监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档A)项目计划书B)质量控制计划C)评审报告D)需求说明书[单选题]32.在PDRR模型中，____是静态防护转化为动态的关键，是动态响应的依据。A)A防护B)B检测C)C响应D)D恢复[单选题]33.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是()A)主体、访问控制决策、客体、访问控制实施B)主体、访问控制实施、客体、访问控制决策C)客体、访问控制决策、主体、访问控制实施D)客体、访问控制实施、主体、访问控制决策[单选题]34.规范形成了若干文档,其中,()中的文档应属于风险评估中?风险要素识别?阶段输出的文档。A)《风险评估方法》,主要包括本次风险评估的目的、范围、目标,评估步骤,经费预算和进度安排等内容B)《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C)《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法,资产分类标准等内容D)《已有安全措施列表》,主要经验检查确认后的已有技术和管理方面安全措施等内容[单选题]35.Hadoop是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前,Hadoop并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到Hadoop集群上,恶意的提交作业篡改分布式存储的数据伪装成NameNoTaskTracker接受任务等。在Hadoop2.0中引入Kerberos机制来解决用户到服务器认证问题,Kerberos认证过程不包括()A)获得票据许可票据B)获得服务许可票据C)获得密钥分配中心的管理权限D)获得服务[单选题]36.在现实的异构网络环境中,越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos协议不仅能在域内进行认证,也支持跨域认证,下图显示的是Kerberos协议实现跨域认证的7个步骤,其中有几个步骤出现错误,图中错误的描述正确的是:A)步骤1和步骤2发生错误,应该向本地AS请求并获得远程TGTB)步骤3和步骤4发生错误,应该向本地TGS请求并获得远程TGTC)步骤5和步骤6发生错误,应该向远程AS请求并获得远程TGTD)步骤5和步骤6发生错误,应该向远程TGS请求并获得远程SGT[单选题]37.52.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评。关于信息安全产品测评的意义，下列说法中不正确的是:A)有助于建立和实施信息安全产品的市场准入制度B)对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C)对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D)打破市场垄断，为信息安全产业发展创造一个良好的竞争环境[单选题]38.27.Linux系统中常用数字来表示文件的访问权限，假设某文件的访问限制使用了755来表示，则下面哪项是正确的（）A)这个文件可以被任何用户读和写B)这个可以被任何用户读和执行C)这个文件可以被任何用户写和执行D)这个文件不可以被所有用户写和执行[单选题]39.46.微软提出了striderrepudiation（抵赖）的缩写R，关于此项安全要求，下面说法错误的是（A)某用户在登录系统并下载数据后，却声称?我没有下载过数据?，软件系统中的这种威胁属于R威胁B)某用户在网络通信中传输完数据后，却声称?这些数据不是我传输的?，软件系统中的这种威胁属于R威胁C)对于R威胁，可以选择使用如强认证、数字签名，安全审计等技术措施来解决D)D对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决[单选题]40.恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式属于()A)简单运行B)行为检测C)特征数据匹配D)特征码扫描[单选题]41.互联网出口必须向公司信息化主管部门进行____后方可使用。A)备案审批B)申请C)说明D)报备[单选题]42.小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户?抱歉,发生内部错误!?。请问,这种处理方法的主要目的是()。A)最小化反馈信息B)安全处理系统异常C)安全使用临时文件D)避免缓冲区溢出[单选题]43.在国家标准中，属于强制性标准的是：A)GB/TXXXX-X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)QXXX-XXX-200X[单选题]44.内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:A)导致对其审计独立性的质疑B)报告较多业务细节和相关发现C)加强了审计建议的执行D)在建议中采取更对有效行动[单选题]45.56.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击，请问以下拟采取的安全措施中，哪一项不能降低该系统的受攻击面：A)远程用户访问需进行身份管理B)远程用户访问时具有管理员权限C)关闭服务器端不必要的系统服务D)当用户访问其账户信息时使用严格的身份认证机制[单选题]46.?CC?标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案？A)评估对象（TOE）B)保护轮廊（PP）（用户角度）C)安全目标（ST））（厂商角度）D)评估保证级（EAL）[单选题]47.447.对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用哪种方式来加强通信线路的安全（）A)防窃听技术B)防火墙技术C)防病毒技术D)NULL[单选题]48.CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）A)不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为，不在公共网络传播反动、暴力、黄色、低俗信息及非法软件。B)热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命；为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；帮助和知道信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提供出应对信息安全问题的建议和帮助C)自觉维护国家信息安全，拒绝并地址泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为D)通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；以CISP身份为荣，积极参加各种证后活动，避免任何损害CISP声誉形象的行为[单选题]49.18.信息可以以多种形式存在。它可以打印或写在纸上、以（）、用邮寄或电子手段传送、呈现在胶片上或用（）。无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当地保护。()是保护信息免受各种威胁的损害，以确保业务（），业务风险最小化，投资回报和（）。A)语言表达；电子方式存储；信息安全；连续性；商业机遇最大化B)电子方式存储；语言表达；连续性；信息安全；商业机遇最大化C)电子方式存储；连续性，语言表达；信息安全；商业机遇最大化D)电子方式存储；语言表达；信息安全；连续性；商业机遇最大化[单选题]50.某单位对其主网站的一天访问流量监测图，图显示该网站在当天17：00到20：00间受到了攻击，则从数据分析，这种攻击类型最可能属于下面什么攻击A)跨站脚本（CrossSiteScripting，XSS）攻击B)TCP会话劫持（TCPHijack）攻击C)IP欺骗攻击D)拒绝服务（DenialofService，DoS）攻击[单选题]51.风险评估的基本过程是怎样的?A)识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险B)通过以往发生的信息安全事件,找到风险所在C)风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位D)风险评估并没有规律可循,完全取决于评估者的经验所在[单选题]52.下面对于数据库视图的描述正确的是____。A)A数据库视图也是物理存储的表B)B可通过视图访问的数据不作为独特的对象存储，数据库内实际存储的是SELECT语句C)C数据库视图也可以使用UPDATE或DELETE语句生成D)D对数据库视图只能查询数据，不能修改数据[单选题]53.电子邮件客户端通常需要用协议来发送邮件。A)仅SMTPB)仅POPC)SMTP和POPD)以上都不正确[单选题]54.51.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的（）。A)背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性B)背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C)背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描述报告D)背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告[单选题]55.73.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限。双方引起争议。下面说法哪个是错误的：A)乙对信息安全不重视，低估了黑客能力，不舍得花钱B)甲在需求分析阶段没有进行风险评估，所部属的加密针对性不足，造成浪费C)甲未充分考虑网游网站的业务与政府网站业务的区别D)乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求[单选题]56.某公司在测试灾难恢复计划时是发现恢复业务运营所必要的关键数据没有被保留,可能由于什么没有明确导致的?A)服务中断的时间间隔B)目标恢复时间(RTO)C)服务交付目标D)目标恢复点(RPO)[单选题]57.我们常提到的在WinD.ows操作系统中安装VMwA.re，运行Linux虚拟机属于（）。A)存储虚拟化B)内存虚拟化C)系统虚拟化D)网络虚拟化[单选题]58.18.开发软件所需高成本和产品的低质量之间有着尖锐的矛盾，这种现象称作()A)软件工程B)软件周期C)软件危机D)软件产生[单选题]59.21.异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是（）A)在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象B)实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生C)异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警D)异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为[单选题]60.不恰当的异常处理，是指Web应用在处理内部异常、错误时处理不当，导致会给攻击者透露出过多的Web应用架构信息和安全配置信息。某软件开发团队的成员经常遇到处理内部异常，他知道如果错误时处理不当，导致会给攻击者透露出过多的Web应用架构信息和安全配置信息。这会导致（）A)堆栈追溯B)蠕虫传播C)钓鱼网站D)拒绝服务[单选题]61.由于IP协议提供无连接的服务，在传送过程中若发生差错就需要哪一个协议向源节点报告差错情况，以便源节点对此做出相应的处理（）A)TCPB)UDPC)ICMPD)RARP[单选题]62.ISO/IEC27002由以下哪一个标准演变而来?A)BS7799-1B)BS7799-2C)ISO/IEC17799D)ISO/IEC13335[单选题]63.某攻击者想通过远程控制潜伏在对方unix系统中，以下不属于清除日志的方法：A)窃取root权限，修改wtmp/tmpx，utmp/utmpx和lastlog三个主要日志文件B)保留攻击时产生的临时文件C)修改登录日志，伪造成功的登录日志，增加审计难度D)采用干扰手段影响系统防火墙的审计功能[单选题]64.自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报A)全国通信标准化技术委员会(TC485)B)全国信息安全标准化技术委员会(TC260)C)中国通信标准化协会(CCSA)D)网络与信息安全技术工作委员会[单选题]65.在某信息系统的设计中，用户登录过程是这样的：（1）用户通过HTTP协议访问信息系统；（2）用户在登录页面输入用户名和口令；（3）信息系统在服务器端检查用户名和密码的正确性,如果正确，则鉴别完成。可以看出，这个鉴别过程属于A)单向鉴别B)双向鉴别C)三向鉴别D)第三方鉴别[单选题]66.负责授权访问业务系统的职责应该属于:A)数据拥有者B)安全管理员C)IT安全经理D)请求者的直接上司[单选题]67.当WinD.ows系统出现某些错误而不能正常启动或运行时，为了提高系统自身的安全性，在启动时可以进入模式。A)异常B)安全C)命令提示符D)单步启动[单选题]68.密码处理依靠使用密钥，密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥？A)、散列算法B)、随机数生成算法C)、对称密钥算法D)、非对称密钥算法[单选题]69.下列关于软件需求管理与需求开发的论述正确的是()A)所谓需求管理,是指对需求开发的管理B)需求管理包括:需求获取、需求分析、需求定义各需求验证C)需求开发是将用户需求转换为应用系统成果的过程D)在需求管理中要求维持对原有需求和所有的产品需求的双向跟踪[单选题]70.以下有关访问控制的描述不正确的是A)口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理B)系统管理员在给用户分配访问权限时,应该遵循?最小特权原则?,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配C)单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着?把所有鸡蛋放在一个篮子?的风险;D)双因子认证(又称强认证)就是一个系统需要两道密码才能进入;[单选题]71.某公司正在对一台关键业务服务器进行风险评估，该服务器价值138000元，针对某个特定威胁的暴露因子()是45%，该威胁的年度发生率()为每10年发生一次，根据以上信息，该服务器的年度预期损失值()是多少？A)1800元B)62100元C)140000元D)6210元[单选题]72.-般常见的Windows操作系统与Linux系统的管理员密码最大长度分别为____和____。A)A12-8B)B14-10C)C12-10D)D14-8[单选题]73.为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A)完整性约束条件B)完整性检查机制C)完整性修复机制D)违约处理机制[单选题]74.在一个有充分控制的信息处理计算中心中，下面哪项任务可以由同一个人执行？A)安全管理和变更管理B)计算机操作和系统开发C)系统开发和变更管理D)系统开发和系统维护[单选题]75.36.近几年，无线通信技术迅猛发展，广泛应用于各个领域。而无线信道是一个开放性信道，它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素。下列选项中，对无线通信技术的安全特点描述正确的是A)无线信道是一个开放性信道，任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容B)通过传输流分析，攻击者可以掌握精确的通信内容C)C对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听D)群通信方式可以防止网络外部人员获取网络内部通信内容[单选题]76.某公司为加强员工的信息安全意识，对公司员工进行了相关的培训，在介绍如何防范第三方人员通过社会工程学方式入侵公司信息系统时，提到了以下几点要求，其中在日常工作中错误的是（）A)不轻易泄露敏感信息B)在相信任何人之前先校验其真实的身份C)不违背公司的安全策略D)积极配合来自电话、邮件的任何业务要求、即便是马上提供本人的口令信息[单选题]77.基于对()的信任,当一个请求成命令来自一个?权威?人士时,这个请求就可能被毫不怀疑的(),在()中,攻击者伪装成?公安部门?人员,要求受害者转账到所谓?安全账户?就是利用了受害者对权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等。A)权威;执行;电信诈骗;网络攻击;更改密码B)权威;执行;网络攻击;电信诈骗;更改密码C)执行;权威;电信诈骗;网络攻击;更改密码D)执行;权威;网络攻击;电信诈骗;更改密码[单选题]78.CA的核心职责是A)签发和管理证书B)审核用户真实信息C)发布黑名单D)建立实体链路安全[单选题]79.由于Internet的安全问题日益突出，基于TCP/IP协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议，用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是A)PP2PB)L2TPC)SSLD)IPSec[单选题]80.所有进入物理安全区域的人员都需经过A)考核B)授权C)批准D)认可[单选题]81.50.安全漏洞产生的原因不包括以下哪一点（）A)软件系统代码的复杂性B)软件系统市场出现的信息不对称现象C)复杂异构的网络环境D)攻击者的恶意利用[单选题]82.信息安全管理体系（ISMS）的建设和实施是一个组织的战略性举措。若一个组织声称自己的ISMS符合ISO/IBC27001或G8/T22080标准要求，则需实施准要求，则需实施以下ISMS建设的各项工作。哪一项不属于ISMS建设的工作（）A)规划与建立ISMSB)实施和运行ISMSC)监视和评审ISMSD)保持和审核ISMS[单选题]83.SQL注入攻击是黑客对数据库进行攻击的常用手段之一，随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使用应用程序存在安全隐患，小李在对某asp网站进行测试时，采用经典的1=1，1=2测试法，测试发现1=1时网页显示正常，1=2时报错，于是小李得出了四条猜测，则下列说法错误的是（）A)该网站可能存在漏洞B)攻击者可以根据报错信息获得的信息，从而进一步实施攻击C)如果在网站前布署一台H3C的IPS设备阻断，攻击者得不到任何有效信息D)该网站不可以进行SQL注入攻击[单选题]84.57.方法指导类标准主要包括GB/T_25058-2010_《信息安全技术_信息系统安全等级保护实施指南》GB/T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保护实施指南》原以()政策文件方式发布，后修改后以标准发布。这些标准主要对如何开展()做了详细规定。状况分析类标准主要包括GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T284492012《信息安全技术信息系统安全等级保护测评过程指南》等。其中在()工作期间还发布过《等级保护测评准则》等文件，后经过修改以《等级保护测评要求》发布。这些标准主要对如何开展()工作做出了（）A)公安部；等级保护试点；等级保护工作；等级保护测评；详细规定B)公安部；等级保护工作；等级保护试点；等级保护测评；详细规定C)公安部；等级保护工作；等级保护测评；等级保护试点；详细规定D)公安部:等级保护工作；级等级保护试点;详细规定;等级保护测评[单选题]85.ZigBee主要的信息安全服务为()、()、()、()。访问控制使设备能够选择其愿意与之通信的其他设备。为了实现访问控制,设备必须在ACL中维护一个(),表明它愿意接受来自这些设备的数据。数据加密使用的密钥可能是一组设备共享,或者两两共享。数据加密服务于Beacon、command以及数据载荷。数据()主要是利用消息完整性校验码保证没有密钥的节点不会修改传输中的消息,进一步确认消息来自一个知道()的节点A)访问控制、数据加密、数据完整性、序列抗重播保护;设备列表;完整性:密钥B)访问控制、加密、完整性、序列抗重播保护;设备列表;完整性;密钥C)访问控制、加密、数据完整性、序列抗重播保护;列表;完整性;密钥D)访问控制、数据加密、数据完整性、序列抗重播;列表;完整性;密钥[单选题]86.某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP()里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术：A)花更多的钱向ISP申请更多的IP地址B)在网络的出口路由器上做源NATC)在网络的出口路由器上做目的NATD)在网络出口处增加一定数量的路由器[单选题]87.自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作情况，协调一致后由该组织申报。A)全国通信标准化技术委员会（TC485）B)全国信息安全标准化技术委员会（TC260）C)中国通信标准化协会（CCCA）D)网络与信息安全技术工作委员会[单选题]88.微信收到?微信团队?的安全提示：?您的微信账号在16:46尝试在另一个设备登录。登录设备：XX品牌XX型号?。这时我们应该怎么做（）A)有可能是误报，不用理睬B)确认是否是自己的设备登录，如果不是，则尽快修改密码C)自己的密码足够复杂，不可能被破解，坚决不修改密码D)拨打110报警，让警察来解决[单选题]89.如下措施不能有效防御XSS的是A)同源策略B)编码C)过滤D)CSP（内容安全策略）[单选题]90.如果一个网站存在CSRF可以通过CSRF漏洞做那些事情A)获取网站用户注册的个人资料信息B)修改网站用户的个人资料信息C)冒充网站用户的身份发布信息D)以上都可以[单选题]91.在评估信息系统的管理风险。首先要查看A)控制措施已经适当B)控制的有效性适当C)监测资产有关风险的机制D)影响资产的漏洞和威胁[单选题]92.74.以下关于开展软件安全开发必要性描述错误的是？（）A)软件应用越来越广泛B)软件应用场景越来越不安全C)软件安全问题普遍存在D)以上都不是[单选题]93.2016年10月21日，美国东部地区发生大规模断网事件，此次事件是由于美国主要DNS服务……DDoS攻击所致，影响规模惊人，对人们成产生活造成严重影响，DDoS攻击的主要目的是破坏系……()A)保密性B)可用性C)不可否认性D)抗……性[单选题]94.HADoop是目前广泛应用的大数据处理分析平台。在HADoop1.0.0版本之前,HADoop并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到HADoop集群上,恶意的提交作业篡改分布式存储的数据伪装成NAmeNo安康头发TAskTrACker接受任务等。在HADoop2.0中引入KerBeros机制来解决用户到服务器认证问题,KerBeros认证过程不包括()A)获得票据许可票据B)获得服务许可票据C)获得密钥分配中心的管理权限D)获得服务[单选题]95.435.老王是一名企业信息化负责人，由于企业员工在浏览网页时总导致病毒感染系统，为了解这一问题，老王要求信息安全员给出解决措施，信息安全给出了四条措施建议，老王多年的信息安全管理经验，认为其中一条不太适合推广，你认为是哪条措施（）A)采购防病毒的网关并部署在企业互联网出口中，实现对所有浏览网页进行检测，阻止网页中的病毒检测和查杀能力B)采购并统一部署企业防病毒软件，信息化管理部门统一进行病毒库升级，确保每台计算机都具备有效的病毒检测和查杀能力C)制定制度禁止使用微软的IE浏览器上网，统一要求使用Chrome浏览器D)组织对员工进行一次上网行为安全培训，提高企业员工在互联网浏览时的安全意识[单选题]96.高层管理者对信息安全管理的承诺以下说法不正确的是?A)制定、评审、批准信息安全方针。B)为信息安全提供明确的方向和支持。C)为信息安全提供所需的资源。D)对各项信息安全工作进行执行、监督与检查。[单选题]97.分析针对Web的攻击前，先要明白http协议本身是不存在安全性的问题的，就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或则客户端、以及运行的服务器的wed应用资源才是攻击的目标。针对Web应用的攻击，我们归纳出了12种，小陈列举了其中的4种，在这四种当中错误的是（）A)拒绝服务攻击B)网址重定向C)传输保护不足D)错误的访问控制[单选题]98.风险评估相关政策，目前主要有()(国信办[2006]5号)。主要内容包括:分析信息系统资产的(），评估信息系统面临的()、存在的()、已有的安全措施和残余风险的影响等、两类信息系统的(）、涉密信息系统参照?分级保护?、非涉密信息系统参照?等级保护?。A)《关于开展信息安全风险评估工作的意见》；重要程度:安全威胁:脆弱性；工作开展B)《关于开展风险评估工作的意见》；安全威胁重要程度脆弱性:工作开展C)《关于开展风险评估工作的意见》；重要程度；安全威胁:脆弱性:工作开展D)《关于开展信息安全风险评估工作的意见》；脆弱性；重要程度安全威胁:工作开展[单选题]99.密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是()。A)密码协议(cryptographicprotocol),有时也称安全协议(securityprotocol),是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务B)根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人C)在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式D)密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行[单选题]100.ISO27002（Informationtechnology-Securitytechniques0Codeofpraticeforinforeationsecuritymanagcacnt）是重要的信息安全管理标准之一，下图是关于其演进变化示意图，图中括号空白处应填写A)BS7799.1.3B)ISO17799C)AS/NZS4630D)NISTSP800-37[单选题]101.TCP/IP协议的4层概念模型是?A)应用层、传输层、网络层和网络接口层B)应用层、传输层、网络层和物理层C)应用层、数据链路层、网络层和网络接口层D)会话层、数据链路层、网络层和网络接口层[单选题]102.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:A)与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B)美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担C)各国普遍重视信息安全事件的应急响应和处理D)在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系[单选题]103.serv-u提权后的权限A)ROOTB)GUESTC)ADMIND)SYSTEM[单选题]104.72.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法。下面的描述中，错误的是（）。A)A．定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B)B．定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C)C．定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D)D．定性风险分析更具主观性，而定量风险分析更具客观性[单选题]105.传输层如何让主机能同时针对不同应用程序维护多个通信流A)使用错误控制机制B)使用只适合多个并发传输的无连接协议C)使用多个第2层源地址D)使用多个端口[单选题]106.终端访问控制器访问控制系统(TERMINALAccessControllerAccess-ControlSystem,TACACS),在认证过程中,客户机发送一个START包给服务器,包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个,序列号永远为().服务器收到START包以后,回送一个REPLY包,表示认证继续还是结束。A)0B)1C)2D)4[单选题]107.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：A)在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实B)在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C)确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D)在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行[单选题]108.在信息安全管理工作中?符合性?的含义不包括哪一项？A)对法律法规的符合B)对安全策略和标准的符合C)对用户预期服务效果的符合D)通过审计措施来验证符合情况[单选题]109.老王是某政府信息中心主任，以下哪项项目是符合《保守国家秘密法》要求的()A)老王安排下属小李将损害的涉密计算机的某国外品牌硬盘送到该品牌中国区维修中心修理B)老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库C)老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用D)老王要求下属小张把中心所有计算机贴上密级标志[单选题]110.12.下面对信息安全漏洞的理解中，错误的是（）A)讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞B)信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造成的C)信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很大的经济损失D)由于人类思维能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生信息安全漏洞是不可避免的[单选题]111.在你对远端计算机进行ping操作,不同操作系统回应的数据包中初始TTL值是不同的,TTL是IP协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可以通过TTL值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的TL值,可以大致判断()A)内存容量B)操作系统的类型C)对方物理位置D)对方的MAC地址[单选题]112.域名注册信息可在哪里找到？A)路由器B)DNS记录C)Whois数据库D)MIBs库[单选题]113.如果想用windows的网上邻居方式和linux系统进行文件共享，那么在linux系统中要开启哪个服务：A)DHCPB)NFSC)SAMBAD)SSH[单选题]114.通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:A)安全意识程序B)非对称加密C)入侵侦测系统D)非军事区[单选题]115.如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：A)变更的流程是否符合预先的规定B)变更是否会对项目进度造成拖延C)变更的原因和造成的影响D)变更后是否进行了准确的记录[单选题]116.如图所示,主体S对客体01有读(R)权限,对客体02有读(R)、写()权限。该图所示的访问控制实现方法是:A)访问控制表(ACL)B)访问控制矩阵C)能力表(CL)D)前缀表(Profiles)[单选题]117.下列关于servicepassword-encryption命令的说法中哪项正确A)servicepassword-encryption命令应在特权执行模式提示符下输入B)servicepassword-encryption命令只加密控制台与VTY端口的口令C)servicepassword-encryption命令对运行配置中先前未加密的所有口令进D)若要查看通过servicepassword-encryption命令加密的口令，可输入noservicepassword-encryption命令[单选题]118.根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的？A)获得用户对安全需求的理解B)建立安全控制的职责C)管理安全控制的配置D)进行针对安全控制的教育培训[单选题]119.分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()。A)分组密码算法要求输入明文按组分成固定长度的块B)分组密码算法也称为序列密码算法C)分组密码算法每次计算得到固定长度的密文输出块D)常见的DES、IDEA算法都属于分组密码算法[单选题]120.xxxxxx法律责任强制力的安全管理规定和安全制度包括（）1Xxxxx事件（包括安全事故）报告制度2安全等级保护制度3信息系统安全监控、4安xxxx制度A)x，x，4B)x，3C)2，3，4D)1，2，3[单选题]121.有关数据的使用,错误的是?A)告诉用户需要收集什么数据及搜集到的数据会如何被使用B)当用户的数据由于某种原因要被使用时,给客户选择是否允许C)用户提交的用户名和密码属于隐私数据,其他都不是D)确保数据的使用符合国家、地方、行业的相关法律法规[单选题]122.以下关于UDP协议的说法,哪个是错误的?A)UDP具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击B)UDP协议包头中包含了源端口号和目的端口号,因此UDP可通过端口号将数据包送达正确的程序C)相比TCP协议,UDP协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据D)UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据[单选题]123.下列哪一项信息不包含在X.509规定的数字证书中？A)证书有效期B)证书持有者的公钥C)证书颁发机构的签名D)证书颁发机构的私钥[单选题]124.kerberos协议是常用的集中访问控制协议,通过可信第三的认证服务,减轻应用Kerberos的运行环境由秘钥分发中心(KDC)、应用服务器和客户端三个部分组成,认证服务器AS和票据授权服务器A)1--2--3B)3--2--1C)2--1--3D)3--1--2[单选题]125.在Windows7中，通过控制面板（管理工具--本地安全策略--安全设置--账户策略）可以进入操作系统的密码策略设置界面，下面哪项内容不能在该界面进行设置A)密码必须符合复杂性要求B)密码长度最小值C)强制密码历史D)账号锁定时间[单选题]126.攻击者通过对目标主机进行端口扫可以直接获得（）。A)目标主机的操作系统信息B)目标主机开放端口服务信息C)目标主机的登录口令D)目标主机的硬件设备信息[单选题]127.自ISO27001.2006标准发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了（）的认证，在我国，自从2008年将ISO27001.2006转化为国家标准CB/T22080.2008以来，信息安全管理（）在国内进一步获得了全面推广。越来越多的行业和组织认识到（）的重要性，并把它作为（）工作之一开展起来。依据惯例，ISO组织每5年左右会对标准进行一次升级。2013年10月19日，ISO组织正式发布了新版的信息安全管理（）（ISO27001：2013）。A)体系认证；信息安全管理体系；信息安全；基础管理；体系标准B)信息安全管理体系；体系认证；信息安全；基础管理；体系标准C)信息安全管理体系；信息安全；基础管理；体系认证；体系标准D)信息安全管理体系；基础管理；体系认证；信息安全；体系标准[单选题]128.如果有一位攻击者在搜索引擎中搜索?.doc+?来寻找XXX.com网站上所有WORD文件，同时通过?.mdb??.ini?等关键字来找到该网站下的mdb库文件，配置信息等非公开信息，请问这属于（）类型的攻击？A)定点挖掘B)攻击定位C)网络嗅探D)溢出攻击[单选题]129.桥接或通明模式是比较流行防火墙部署方式，这种方式A)不需要对原有的网络配置进行修改B)性能比较高C)防火墙本身不容易受到攻击D)易于在防火墙上实现NAT[单选题]130.关于标准，下面哪项理解是错误的（）。A)标准是在一定范围内为了获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规范性文件。标准是标准化活动的重要成果B)行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准C)国际标准是由国际标准化组织通过并公开发布的标准。同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准D)地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止[单选题]131.小赵在去一家大型企业应聘时，经理要求他说出为该企业的信息系统设计自主访问控制模型为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗看应该采取的最合适的模型是（）A)按列读取访问控制矩形形成的访问控制列表（ACL）B)按列读取访问控制矩形形成的能力表（CL）C)按行读取访问控制矩形形成的访问控制列表（ACL）D)按行读取访问控制矩形形成的能力表（CL）[单选题]132.34.信息安全风险值应该是以下哪些因素的函数?()A)信息资产的价值、面临的威胁以及自身存在的脆弱性B)病毒、黑客、漏洞等C)保密信息如国家秘密、商业秘密等D)网络、系统、应用的复杂程度[单选题]133.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？A)强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程。B)强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标。C)以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心。D)通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征。[单选题]134.秀源代码审核工具有哪些特点（）（１）安全性（２）多平台性(３)可扩民性(４)知识性(５)集成性A)12345B)234C)1234D)23[单选题]135.下列关于强制访问控制模型的选项中，没有出现错误的是（）A)强制访问控制是指用户（而非文件）具有一个固定的安全属性，系统用该安全属性来决定一个用户是否可以访问某个文件B)安全属性是强制性的规定，当它由用户或操作系统根据限定的规则确定后，不能随意修改C)如果系统认为具有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使用该用户具有访问该文件的权利D)它是一种对单个用户执行访问控制的过程和措施[单选题]136.GB／T22080-2008《信息技术安全技术信息安全管理体系要求》指出，建立信息安全管理体系应参照PDCA模型进行，即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程，并在这些过程中应实施若干活动，请选出以下描述错误的选项（）A)制定ISMS方针是建产ISMS阶段工作内容B)实施培训和意识教育计划是实施和运行ISMS阶段工作内容C)进行有效性测量是监视和评审ISMS阶段工作内容D)实施内部审核是保护和改进ISMS阶段工作内容[单选题]137.30.关于信息安全事件管理和应急响应，以下说法错误的是：A)应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B)应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段C)对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素D)根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）[单选题]138.下列关于kerckhof准则的说法正确的是A)保持算法的秘密性比保持密钥的秘密性要困难的多B)密钥一旦泄漏，也可以方便的更换C)在一个密码系统中，密码算法是可以公开的，密钥应保证安全D)公开的算法能够经过更严格的安全性分析[单选题]139.7.加密文件系统（EncryptingFileSystem，EFS）是Windows操作系统的一个组件。以下说法错误的是（）。A)EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能加密数据B)EFS以公钥加密为基础，并利用了Windows系统中的CryptoAPI体系结构C)EFS加密系统使用NTFS文件系统和FAT32文件系统（Windows7环境下）D)EFS加密过程对用户透明，EFS加密的用户验证过程是在登录Windows时进行的[单选题]140.随着人们信息安全意识的不断增强,版权保护也受到越来越多的关注。在版权保护方面国内外使用较为广泛的是数字对象标识符DOI(DigitalObjectIdentifier)系统,它是由非贏利性组织国际DOI基金会IDF(InternationalDOIFoundation)研究设计的,在数字环境下标识知识产权对象的一种开放性系统。DOI系统工作流程如图所示,则下面对于DOI系统认识正确的是()A)DOI是一个暂时性的标识号,由IntermationalDOIFoundation管理B)DOI的优点有唯一性、持久性、兼容性、或操作性、动态更新C)DOI命名规则中前缀和后缀两部之间用?;?分开D)DOI的体现形式只有网络域名和字符码两种形式[单选题]141.为了开发高质量的软件,软件效率成为最受关注的话题。那么开发效率主要取决于以下两点:开发新功能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率,应()。A)随机地选取测试数据B)取一切可能的输入数据为测试数据C)在完成编码以后制定软件的测试计划D)选择发现错误可能性最大的数据作为测试用例[单选题]142.DMZ区域A)内网可以直接访问,外网不行B)外网可以直接访问,内网不行C)内外网都不行D)内网都可以[单选题]143.关于linux下的用户和组,以下描述不正确的是。A)在linux中,每一个文件和程序都归属于一个特定的?用户?B)系统中的每一个用户都必须至少属于一个用户组C)用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组D)root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限[单选题]144.Windows上，想要查看进程在打开那些文件，可以使用哪个命令或工具A)openfilesB)dirC)listD)filelist[单选题]145.以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?（）A)大整数分解B)离散对数问题C)背包问题D)伪随机数发生器[单选题]146.某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素？A)信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准B)信息系统所承载该银行业务正常运行的安全需求C)消除或降低该银行信息系统面临的所有安全风险D)该银行整体安全策略[单选题]147.社会工程学是()与()结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的(),随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的?弱点?,而人性是()这使得它几乎是永远有效的()。A)网络安全;心理学;攻击方式;永恒存在的;攻击方式B)网络安全;攻击方式;心理学;永恒存在的;攻击方式C)网络安全;心理学;永恒存在的;攻击方式D)网络安全;攻击方式;心理学;攻击方式;永恒存在的[单选题]148.5.安全管理体系，国际上有标准（InformationtechnologySecuritytechniquesInformationsystems）(ISO/IEC27001:2013)，而我国发布了《信息技术信息安全管理体系要求》（GB/T22080-2008）.请问，这两个标准的关系是（）A)IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改B)EQV（等效采用），此国家标准等效于该国家标准，技术上只有很小差异C)AEQ（等效采用），此国家标准不等效于该国家标准D)没有采用与否的关系，两者之间版本不同，不应直接比较[单选题]149.文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是:A)组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS审核的依据B)组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制C)组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D)层次化的文档是ISMS建设的直接体现,文档体系应当依据风险评估的结果建立[单选题]150.恶意软件抗分析技术的发展,恶意软件广泛使用了加壳、加密、混淆等抗分析技术,对恶意软件的分析难度越来越大。对恶意代码分析的研究已经成为信息安全领域的一个研究热点。小赵通过查阅发现一些安全软件的沙箱功能实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术。小赵列出了一些动态分析的知识,其中错误的是()A)动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点B)动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路径有限,分析的完整性难以保证C)动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制D)动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对恶意代码非法行为进行分析[单选题]151.以下哪个属性不会出现在防火墙的访问控制策略配置中？A)本局域网内地址B)百度服务器地址C)HTTP协议D)病毒类型[单选题]152.目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:()A)有助于建立和实施信息安全产品的市场准入制度B)对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C)对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D)打破市场垄断,为信息安全产业发展创造一个良好的竞争环境[单选题]153.weblogic有几个默认账户与密码形同的账号不包括那个A)adminB)weblogicC)guestD)system[单选题]154.SQLServer支持两种身份验证模式,即Windows身份验证模式和混合模式。SQLServer的混合模式是指,当网络用户尝试连接到SQLServer数据库时,()A)Windows获取用户输入的用户和密码,并提交给SQLServer进行身份验证,并决定用户的数据库访问权限B)SQLServer根据用户输入的用户和密码,提交给Windows进行身份验证,并决定用户的数据库访问权限C)SOLServer根据已在Windows网络中登录的用户的网络安全属性,对用户身份进行验证,井决定用户的数据访问权限D)登录到本地Windows的用户均可无限制访问SQLServer数据库[单选题]155.近几年，无线通信技术迅猛发展，广泛应用于各个领域。而无线信道是一个开放性信道，它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素。下列选项中，对无线通信技术的安全特点描述正确的是（）A)无线通道是一个开放性通道，任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容B)通过传输流分析，攻击者可以掌握精确的通信内容C)对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听D)群通信方式可以防止网络外部人员获取网络内部通信内容[单选题]156.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现控制外部各方的目标应该包括下列哪个选项？A)信息安全的管理承诺、信息安全协调、信息安全职责的分配B)信息处理设施的授权过程、保密性协议、与政府部门的联系C)与特定利益集团的联系、信息安全的独立评审D)与外部各方相关风险的识别、处理外部各方协议中的安全问题[单选题]157.对于青少年而言，日常上网过程中，下列选项，存在安全风险的行为是？A)将电脑开机密码