CISP考试认证(习题卷1)

试卷科目：CISP考试认证CISP考试认证(习题卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考试认证第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.下列关于软件安全开发中的BSL(BuildsecurityIn)系列模型说法错误的是（）A)BSL含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外B)软件安全的三根支柱是风险管理、软件安全触电和安全知识C)软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式D)BSL系列模型强调安全测试的重要性，要求安全测试贯穿整个开发过程及软件生命周期[单选题]2.()在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的()。例如攻击者要伪装成某个大型集团公司总部的()。那么他需要了解这个大型集团公司所处行业的一些行规或者()、公司规则制度、组织架构等信息,甚至包括集团公司相关人员的绰号等等。A)攻击者;所需要的信息;系统管理员;基础;内部约定B)所需要的信息;基础;攻击者;系统管理员;内部约定C)攻击者;所需要的信息;基础;系统管理员;内部约定D)所需要的信息;攻击者;基础;系统管理员;内部约定[单选题]3.信息资产敏感性指的是:A)机密性B)完整性C)可用性D)安全性[单选题]4.设计国家秘密的计算机信息系统，必须？A)实行逻辑隔离B)以上都不是C)实行物理隔离D)实行单向隔离[单选题]5.关于ISO/IEC21827:2002()描述不正确的是__________。A)SSE-CMM是关于信息安全建设工程实施方面的标准B)SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程C)SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的根本保证D)SSE-CMM是用于对信息系统的安全等级进行评估的标准[单选题]6.75.从系统工程的角度来处理信息安全问题，以下说法错误的是：A)系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南B)系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内C)系统安全工程能力成熟度模型（SSE-CMM）是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法D)系统安全工程能力成熟度模型（SSE-CMM）是在原有能力成熟度模型（CMM）的基础上。通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科[单选题]7.下列不属于网络蠕虫的恶意代码是A)冲击波;B)SQLSLA.MMER;C)熊猫烧香;D)红色代码[单选题]8.以下哪一个是包过滤防火墙的优点?A)可以与认证、授权等安全手段方便的集成。B)与应用层无关,无须改动任何客户机和主机的应用程序,易于安装和使用。C)提供透明的加密机制D)可以给单个用户授权[单选题]9.下图是使用CC标准进行信息安全评估的基本过程,在图(1)-(3)处填入构成评估相关要素的主要因素,下列选项中正确的是A)(1)评估方法学,(2)最终评估结果,(3)批准、认证B)(1)评估方法学,(2)认证过程,(3)最终评估结果C)(1)评估合理性,(2)最终评估结果,(3)批准、认证D)(1)评估合理性,(2)认证过程,(3)最终评估结果[单选题]10.为了不断完善一个组织的信息安全管理，应对组织的信息安全管理方法及实施情况进行独立评审，这种独立评审A)必须按固定的时间间隔来进行B)应当由信息系统的运行维护人员发起C)可以由内部审核部门或专业的第三方机构来实施D)结束后，评审者应组织针对不符合安全策略的问题设计和实施纠正措施[单选题]11.某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰，虽然有防火墙，但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统（NIDS），将IDS部署在防火墙后，以进行二次防御。那么NIDS不会在（）区域部署。A)DMZB)内网主干C)内网关键子网D)外网入口[单选题]12.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，列哪一项最好地描述了星或()完整性原则？A)Bell-LaPadula模型中的不允许向下写B)Bell-LaPadula模型中的不允许向上度C)Biba模型中的不允许向上写D)Biba模型中的不允许向下读[单选题]13.防止重发攻击最有效的方法是？()A)对用户账号和密码进行加密B)经常修改用户账号名称和密码C)使用复杂的账号名称和密码D)使用"一次一密"加密方式[单选题]14.互联网世界中有一个著名的说法：?你永远不知道网络的对面是一个人还是一条狗!?，这段话表明，网络安全中______。A)身份认证的重要性和迫切性B)网络上所有的活动都是不可见的C)网络应用中存在不严肃性D)计算机网络中不存在真实信息[单选题]15.15.怎样安全上网不中毒，现在是网络时代了，上网是每个人都会做的事，但网络病毒直是比较头疼的，电脑中毒了也比较麻烦。某员工为了防止在上网时中毒，使用了影子系统，他认为恶意代码会通过以下方式传播，但有一项是安全的，请问是(）A)A网页挂马B)B利用即时通讯的关系链或伪装P2P下载资源等方式传播到目标系统中C)Google认证过的插件D)垃圾邮件[单选题]16.数位物件识别号(Digital0bjectIdentifier,简称DOI)是一套识别数位资源的机制，涵括的对象有视频、报告或书籍等等。它既有一套为资源命名的机制，也有一套将识别号解析为具体位址的协定。DOI码由前缀和后缀两部分组成，之间用?/?分开，并且前级以?.?再分为两部分。以下是一个典型的DOI识别号，10.1006/jmbi.1998.2354，下列选项错误的是()A)?10.1006?是前级，由国际数位物件识别号基金会确定B)?10?为DOI目前唯的特定代码，用以将DOI与其他采用同样技术的系统区分开C)?1006是注册代理机构的代码，或出版社代码，用于区分不同的注册机构D)后缀部分为:jmbi.1998.2354，由资源发行者自行指定，用于区分一个单独的数字资料，不具有唯一性[单选题]17.以下哪些不是网络类资产:A)网络设备B)基础服务平台C)网络安全设备D)主干线路[单选题]18.许多安全漏洞一样是由于程序员的疏忽大意造成的。某公司程序员正在编写代码，他的任务是：打印输出一个字符串或者把这个串拷贝到某缓冲区内。为了节约时间和提高效率，他将代码：printf（%s，str）：省略为printf（str）。请问这会造成哪种安全漏洞（）A)整数溢出B)堆溢出C)格式化字符串D)缓冲区溢出[单选题]19.有关国家秘密，错误的是：A)国家秘密是关系国家安全和利益的事项B)国家秘密的确定没有正式的法定程序C)除了明确规定需要长期保密的，其他的国家秘密都是有保密期限的D)国家秘密只限一定范围的人知悉[单选题]20.以下哪组网络ID和子网掩码正确标识了从到55的所有IP地址A)B)C)D)92[单选题]21.组织建立业务连续性计划(BCP)的作用包括:A)在遭遇灾难事件时,能够最大限度地保护组织数据的实时性,完整性和一致性:B)提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用和数据:C)保证发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,降低损失:D)以上都是。[单选题]22.为了预防逻辑炸弹,项目经理采取的最有效的措施应该是A)对每日提交的新代码进行人工审计B)代码安全扫描C)安全意识教育D)安全编码培训教育[单选题]23.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()A)软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决90%以上的安全问题。B)应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。C)和传统的软件开发阶段相比,微软提出的安全开发生命周期(SDL)最大特点是增加了一个专门的安全编码阶段D)软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。[单选题]24.以下列出了mac和散列函数的相似性,哪一项说法是错误的?A)MAC和散列函数都是用于提供消息认证B)MAC的输出值不是固定长度的,而散列函数的输出值是固定长度的C)MAC和散列函数都不需要密钥D)MAC和散列函数都不属于非对称加密算法[单选题]25.主要用于通信加密机制的协议是()A)HTTPB)FTPC)TELNETD)SSL[单选题]26.软件的可维护性可用七个质量特性来衡量,分别是:可理解性、可测试性、可修改性、可靠性、可移植性、可使用性和效率对于不同类型的维护,这些侧重点也是不同的,在可维护性的特性中相互促进的是（）A)A可理解性和可测试性B)B效率和可移植性C)C效率和可修改性D)效率和可理解性[单选题]27.()在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的()。例如攻击者要伪装成某个大型集推团公司总部的(),那么他需要了解这个大型集团公司所处行业的一些行规或者()、公司规则制度、组织架构等信息,甚至包括集团公司中相关人员的绰号等等。A)攻击者;所需要的信息;系统管理员;基础;内部约定B)所需要的信息;基础;攻击者;系统管理员;内部约定C)攻击者;所需要的信息:基础;系统管理员;内部约定D)所需要的信息;攻击者;基础;系统管理员;内部约定[单选题]28.在国家标准CB/T20274.12000《信息安全技术信息系统安全保障评估框架第一部分；简介和一般模型》中，信息系统安全保障模型包含哪几个方面？（）A)保障要素，生命周期和运行维护B)保障要素，生命周期和安全特征C)规划组织，生命周期和安全特征D)规划组织，生命周期和运行维护[单选题]29.在信息系统中，访向控制是重要的安全功能之一。它的任务是在用户对系统资源提供最大限度共享的基础上，对用户的访何权限进行管理，防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。下列选项中，对主体、客体和访问权服的描述中错误的是()A)对文件进行操作的用户是一种主体B)主体可以接收客体的信息和数据，也可能改变客体相关的信息C)访向权限是指主体对客体所允许的操作D)对目录的访问权展可分为读、写和柜绝访问[单选题]30.以下哪项不是信息安全的主要目标A)确保业务连续性B)保护信息免受各种威胁的损害C)防止黑客窃取员工个人信息D)投资回报和商业机遇最大化[单选题]31.UD.P协议和TC.P协议对应于ISO/OSI模型的哪一层？A)链路层B)传输层C)会话层D)表示层[单选题]32.在加固数据库时,以下哪个是数据库加固最需要考虑的?A)修改默认配置B)规范数据库所有的表空间C)存储数据被加密D)修改数据库服务的服务端口[单选题]33.BurpSuite是用于攻击（）的集成平台。A)web应用程序B)客户机C)服务器D)浏览器[单选题]34.对于数宇证书而言，一般采用的是哪个标准？A)ISO/IEC1540BB)802.11C)GB/T20984D)X.509[单选题]35.C.A.认证中心的主要作用是：A)、加密数据;B)、发放数字证书;C)、安全管理;D)、解密数据[单选题]36.数据保护最重要的目标是以下项目中的哪一个A)识别需要获得相关信息的用户B)确保信息的完整性C)对信息系统的访问进行拒绝或授权D)监控逻辑访问[单选题]37.配置帧中继连接时，逆向ARP有什么作用A)为远程节点分配DLCIB)使对等节点的请求无法识别本地第3层地址C)协商本地和远程帧中继节点之间的LMI封装D)创建从DLCI到远程节点第3层地址的映射[单选题]38.随着?互联网?概念的普及,越来越多的新兴住宅小区引入了?智能楼宇?的理念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。A)接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。B)核心层、汇聚层的设备和重要的接入层设备均应双机设备。C)规划网络IP地址,制定网络IP地址分配策略D)保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需求[单选题]39.某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公司网络管理员在了解情况后,给出了一些解决措施建议,作为信息安全主管,你必须指出不恰当的操作并阻止此次操作()A)由于单位并无专业网络安全应急人员,网络管理员希望出具授权书委托某网络安全公司技术人员对本次攻击进行取证B)由于公司缺乏备用硬盘,因此计划将恢复服务器上被删除的日志文件进行本地恢复后再提取出来进行取证C)由于公司缺乏备用硬盘,因此网络管理员申请采购与服务器硬盘同一型号的硬盘用于存储恢复出来的数据D)由于公司并无专业网络安全应急人员,因此由网络管理员负责此次事件的应急协调相关工作[单选题]40.下列()不属于口令入侵所使用的方法。A)暴力破解B)登录界面攻击法C)漏洞扫描D)网络监听[单选题]41.以下哪项是对抗ARP欺骗有效的手段？A)使用静态的ARP缓存B)在网络上阻止ARP报文的发送C)安装杀毒软件并更新到最新的病毒库D)使用linux系统提高安全性[单选题]42.24.陈工学习了信息安全风险的有关知识，了解到信息安全风险的构成过程，包括五个方面:起源、方式、途径、受体和后果。他画了下面这张图来描述信息安全风险的构成过程，图中空白处应该填写()A)信息载体B)措施C)脆弱性D)风险评估[单选题]43.下面对ISO27001的说法最准确的是：A)该标准的题目是信息安全管理体系实施指南B)该标准为度量信息安全管理体系的开发和实施提供的一套标准C)该标准提供了一组信息安全管理相关的控制和最佳实践D)该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型[单选题]44.GaryMcGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是().A)威胁建模、源代码审核和模糊测试B)应用风险管理、软件安全接触点和安全知识C)威胁建模、渗透测试和软件安全接触点D)源代码审核、风险分析和渗透测试[单选题]45.59.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。其中，主要执行如下工作应在哪一个阶段：关闭信息系统、和/或修改防火墙和路由器的过滤规则，拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等（）A)A．准备阶段B)B．遏制阶段C)C．根除阶段D)D．检测阶段[单选题]46.下面对于CC的?评估保证级?（EAL）的说法最准确的是：A)代表着不同的访问控制强度B)描述了对抗安全威胁的能力级别C)是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D)由一系列保证组件构成的包，可以代表预先定义的保证尺度[单选题]47.65.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常要在物理和环境安全方面实施规划控制，物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息以及信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，下列不包括哪一项（）A)物理安全边界、物理入口控制B)办公室、房间和设施的安全保护，外部和环境威胁的安全防护。C)在安全区域工作，公共访问、交接区安全D)人力资源安全[单选题]48.关于微软的SDL原则,弃用不安全的函数属于哪个阶段?()A)规则B)计划C)实现D)测试[单选题]49.机房中大量的电子的电子设备在与水的接触中会导致损坏的事故，即使在未运行期间，与水接触也会对计算机系统造成损坏。因此在机房环境安全策略和安全措施中都需要考虑解决水带来的安全问题。某公司在为机房选址和布置机房环境时考虑了这些措施：①将机房建在顶层，②在机房周围设置防水区③主供水管避开机房顶部④地板部署水浸探测器⑤使用专用精密空调保持机房恒温恒湿，其中属于防水措施的有（）A)①④B)②③C)③⑤D)③④[单选题]50.在以下标准中,属于推荐性国家标准的是（）A)GB/TXXXX.X-200XB)GBXXXX-200XC)DBXX/TXXX-200XD)GB/ZXXX-XXX-200X[单选题]51.火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系统,保护信息化相关人员和信息系统,将火灾导致的影响降低到可接受的程度。下列选项中,对火灾的预防、检测和抑制的措施描述错误的选项是()。A)将机房单独设置防火区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃烧材料,进出机房区域的门采用防火门或防火卷帘,机房通风管设防火栓B)火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等C)自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探测器报警,就立即启动灭火工作D)前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等[单选题]52.某万盏管理员小邓在流量监測中发现近期网站的入站ICMP流量上升250%尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施()A)在防火墙上设置策略，阻止所有的ICMP流量进入(关掉ping)B)删除服务器上的ping.exe程序C)增加带宽以应对可能的拒绝服务攻击D)增加网站服务以应对即将来临的拒绝服务攻击[单选题]53.41.有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（GenericPractices，GP），错误的理解是：A)GP是涉及过程的管理、测量和制度化方面的活动B)GP适用于域维中部分过程区域（ProcessAreas，PA）的活动而非所有PA的活动C)在工程师实施时，GP应该作为基本实施（BasePractices，BP）的一部分加以执行D)在评估时，GP用于判定工程组织执行某个PA的能力[单选题]54.网站的安全协议是https时，该网站浏览时会进行________处理。A)口令验证B)增加访问标记C)身份验证D)加密[单选题]55.TC.P采用第三次握手来建立一个连接，第二次握手传输什么信息：A)SYNB)SYN+A.C.KC)A.C.KD)FIN[单选题]56.采用?进程注入?可以____。A)A隐藏进程B)B隐藏网络端口C)C以其他程序的名义连接网络D)D以上都正确[单选题]57.以下关于ISMS内部审核报告的描述不正确的是?A)内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B)内审报告中必须包含对不符合性项的改进建议C)内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商,核实报告内容。D)内审报告中必须包括对纠正预防措施实施情况的跟踪[单选题]58.在典型的weB.应用站点的层次结构中，?中间件?是在哪里运行的？A)浏览器客户端B)WEB.服务器C)应用服务器D)数据库服务器[单选题]59.以下windows服务的说法错误的是A)为了提升系统的安全性管理员应尽量关闭不需要的服务B)可以作为独立的进程运行或以DLL的形式依附在Svchost.exeC)windows服务只有在用户成功登陆系统后才能运行D)windows服务通常是以管理员的身份运行的[单选题]60.TCP／IP协议是Internet构成的基础，TCP／IP通常被认为是一个N层协议，每一层都使用它的下一层所提供的网络服务来完成自己的功能，这里N应等于（）。A)4B)5C)6D)7[单选题]61.37.软件的可维护性可用七个质量特性来衡量，分别是:可理解性、可测试性、可修改性、可靠性、可移植性、可使用性和效率。对于不同类型的维护，这些侧重点也是不同的。在可维护性的特性中相互促进的是(）A)可理解性和可测试性B)效率和可移植性C)C效率和可修改性D)效率和可理解性[单选题]62.以下关于代替密码的说法正确的是:A)明文根据密钥被不同的密文字母代替B)明文字母不变,仅仅是位置根据密钥发生改变C)明文和密钥的每个bit异或D)明文根据密钥作移位[单选题]63.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面找描述中错误的是（）A)所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的B)使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C)动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令D)通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型[单选题]64.下图是一张图书销售系统数据库的图书表，其中包含（）个字段。A)、5B)、6C)、7D)、8[单选题]65.下列安全控制措施的分类中，哪个分类是正确的（p-预防性的，D-检测性的以及C-纠正性的控制）1、网络防火墙2、RAID级别33、银行账单的监督复审4、分配计算机用户标识5、交易日志A)p,p,C,d,andCB)d,C,c,d,andDC)p，C,d,p,andDD)p,d,p,p,andC[单选题]66.2016年11月7日,十二届全国人大常会第二十四次会议以154票赞成,1票弃权,表决通过了《网络安全法》。该法律由全国人民代表大会常务员会于2016年11月7日发布,自（）起施行。A)2018年1月1日B)2016年6月1日C)2017年6月1日D)2019年1月1日[单选题]67.下列工具中可以对Web表单进行暴力破解的是？（）A)BurpsuiteB)NmapC)SqlmapD)Appscan[单选题]68.许多web应用程序存在大量敏感数据，包括信用卡、杜保卡号码、身份认证证书等，Web应用这些敏感信息存储到数据库或者文件系统中，但是并使用适当的加密措施来保护。小李不想自己的银行卡密码被泄露，他一直极力避免不安全的密码存储，他总结出几种不安全的密码存储问题，其中有一项应该归为措施，请问是哪一项（）A)使用弱算法B)使用适当的加密措施或Hash算法C)不安全的密钥生成和储存D)不轮换密钥[单选题]69.目前应用面临的威胁越来越多,越来越难发现。对应用系统潜在的威胁目前还没有统一的分类,但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对,请问是下面哪一项()A)数据访问权限B)伪造身份C)钓鱼攻击D)远程渗透[单选题]70.关于WiFi联盟提出的安全协议WPA和WPA2的区别，下面描述正确的是（）A)WPA是有线局城安全协议，而WPA2是无线局城网协议B)WPA是适用于中国的无线局域安全协议，而WPA2是适用于全世界的无线局城网协议C)WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证D)WPA是依照802.11i标准草案制定的，而WPA2是依照802.11i正式标准制定的[单选题]71.以下说法正确的是()。A)软件测试计划开始于软件设计阶段,完成于软件开发阶段B)验收测试是由承建方和用户按照用户使用手册执行软件验收C)软件测试的目的是为了验证软件功能是否正确D)监理工程师应按照有关标准审查提交的测试计划,并提出审查意见[单选题]72.信息资产分级的最关键要素是A)价值B)时间C)安全性D)所有者[单选题]73.28.随着?互联网+?概念的普及，越来越多的新兴住宅小区引入了?智能楼宇?的理念，某物业为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用、稳定、高效，计划通过网络冗余配置确保?智能楼宇?系统的正常运转，下列选项中不属于冗余配置的是()A)接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响B)核心层、汇聚层的设备和重要的接入层设备均应双机热备、C)规划网络IP地址，制定网络IP地址分配策略D)保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业务高峰期和业务发展需要[单选题]74.WinD.ows操作系统提供的完成注册表操作的工具是：（）。A)SYSKEYB)MSC.ONFIGC)IPC.ONFIGD)REGED.IT[单选题]75.系统工程是信息安全工程的基础学科，钱学森说：?系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的A)系统工程是一种方法论B)系统工程是一种技术实现C)系统工程是一种基本理论D)系统工程不以人参与系统为研究对象[单选题]76.iis不可以解析哪个后缀A)aspB)asaC)cerD)cep[单选题]77.在实施风险分析期间,识别出威胁和潜在影响后应该A)识别和评定管理层使用的风险评估方法B)识别信息资产和基本系统C)揭示对管理的威胁和影响D)识别和评价现有控制[单选题]78.HTTP1.1那种请求方式未被定义A)TARCEB)PUSHC)CONNECTD)DELETE[单选题]79.下列哪种处置方法属于转移风险？A)部署综合安全审计系统B)对网络行为进行实施监控C)制定完善的制度体系D)聘用第三方专业公司提供维护外包服务[单选题]80.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性？A)结构的开放性，即功能和保证要求都可以在具体的?保户轮廓?和?安全目标?中进一步细化和扩展B)表达方式的通用性，即给出通用的表达表示C)独立性，它强调将安全的功能和保证分离D)实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中[单选题]81.PDCA特征的描述不正确的是A)顺序进行,周而复始,发现问题,分析问题,然后是解决问题B)大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C)阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D)信息安全风险管理的思路不符合PDCA的问题解决思路[单选题]82.当曾经用于存放机密资料的PC在公开市场出售时A)对磁盘进行消磁B)n对磁盘低级格式化C)删除数据D)对磁盘重整[单选题]83.下面不属于容灾内容的是____。A)A灾难预测B)B灾难演习C)C风险分析D)D业务影响分析[单选题]84.Linux系统文件中访问权限属性通过9个字符来表示，分别表示文件属主、文件所属组用户和其他用户对文件的读（r）、写（w）及执行（x）的权限。文件usr/bin/passwd的属性信息如下图所示，在文件权限中还出现了一位s，下列选项中对这一位s的理解正确的是？A)文件权限出现了错误，出现s的位应该改为xB)s表示sticky位，设置sticky位后，就算用户对目录具有写权限，也不能删除该文件C)s表示SGID位，文件在执行阶段具有文件所在组的权限D)s表示SUID位，文件在执行阶段具有文件所有者的权限[单选题]85.下列关于軟件需求管理与需求开发的论述正确的是()A)所谓需求管理,是指对需求开发的管理B)需求管理包括:需求获取、需求分析、需求定义各需求验证C)需求开发是将用户需求转换为应用系统成果的过程D)在需求管理中要求维持对原有需求和所有的产品需求的双向跟踪[单选题]86.常见的访间控制模型包括自主访间控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是（）A)从全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型B)自主访问控制是一种广泛应用的方法，资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源，具有较好的易用性和可扩展性C)强制访问控制模型要求主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统D)基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略[单选题]87.信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的发掘和对的理解，以经济，科学的方法来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。A)安全风险B)安全保障C)安全技术D)安全管理[单选题]88.某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:A)报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的B)核实用户的访问权限是基于用所必需原则的C)建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致D)建议终止用户的活动日志能被定期审查[单选题]89.释放计算机当前获得的IP地址，使用的命令是：_________A)IPC.ONFIGB)IPC.ONFIG/A.LLC)IPC.ONFIG/RENEWD)IPC.ONFIG/RELEA.SE[单选题]90.13.物联网将我们带入一个复杂多元、综合交互的新信息时代，物联网安全成为关系国计民生的大事，直接影响到个人生活和社会稳定。物联网安全问题必须引起高度重视，并从技术、标准和法律方面予以保障。物联网的感知层安全技术主要包括()、()等。实现RFID安全性机制所采用的方法主要有三类；（）、（）和（）。传感器网络认证技术主要包含()、()和()。A)RFID安全技术；传感器网络安全技术；内部实体认证、网络与用户认证，以及广播认证；物理机制、密码机制，以及二者相结合的方法B)RFLD安全技术；传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证C)RFID安全技术；传感器网络安全技术；物理机制、密码机制，以及二者相结合的方法；内部实体认证、网络与用户认证，以及广播认证D)RFID技术；传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证[单选题]91.在sendmail服务器中使用access.db数据库进行基于主机地址的访问控制，当Sendmail已经配置了基于用户帐号的SMTP认证后，出于安全考虑应配置只允许Sendmail服务器本机中的用户可以任意向外发送邮件，则access文件中不应该包括()配置记录。A)localhost.localdomainRELAYB)localhostRELAYC)RELAYD)RELAY[单选题]92.关于微软的SDL原则,弃用不安全的函数属于哪个价格段?(C)A)规划B)设计C)实现D)测试[单选题]93.GaryMcGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。A)威胁建模、源代码审核和模糊测试B)应用风险管理、软件安全接触点和安全知识C)威胁建模、渗透测试和软件安全接触点D)源代码审核、风险分析和渗透测试[单选题]94.424.下列选项中，对风险评估文档的描述中正确的是()A)评估结果文档包括描述资产识别和赋值的结果，形成重要资产列表项B)描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》C)在文档分发过程中作废文档可以不用添加标识进行保留人D)对于风险评估过程中形成的相关文档行，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制[单选题]95.异常入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是（）A)在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象B)异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生C)异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警D)异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为[单选题]96.5.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁定计数器5分钟账户锁定时间10分钟账户锁定阈值3次无效登录以下关于以上策略设置后的说法哪个是正确的：A)设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错了密码的用户就会被锁住B)如果正常用户不小心输错了3次密码，那么该账户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统C)如果正常用户不小心连接输入错误密码3次，那么该用户账户就被锁定5分钟，5分钟内即使提交了正确的密码，也无法登录系统D)攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常用户登陆不受影响[单选题]97.目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是____。A)A磁盘B)B磁带C)C光盘D)D软盘[单选题]98.419.信息是流动的,在信息的流动过程中必须能够识别所有可能途径的()与();而对于信息本身而言,信息的敏感性的定义是对信息保护的()和(),信息在不同的环境存储和表现的形式也决定了()的效果,不同的载体下,可能体现出信息的()、临时性和信息的交互场景,这使得风险管理变得复杂和不可预测。A)基础、依据、载体、环境、永久性、风险管理B)基础、依据、载体、环境、风险管理、永久性C)载体、环境、风险管理、永久性、基础、依据D)载体、环境、基础、依据、风险管理、永久性[单选题]99.下面有关能力成熟度模型的说法错误的是：A)能力成熟度模型可以分为过程能力方案（C.ONTINUOUS）和组织能力方案（STA.GED.）两类B)使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域C)使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D)SSE-C.MM是一种属于组织能力方案（STA.GED.）的针对系统安全工程的能力成熟度模型[单选题]100.灾难恢复的最终目标是：A)恢复信息系统及保障业务运作的连续B)恢复业务数据C)恢复信息系统D)保护组织声誉[单选题]101.对于人肉搜索，应持有什么样的态度？A)主动参加B)关注进程C)积极转发D)不转发，不参与[单选题]102.老王是某政府信息中心主任。以下哪项项目是符合《保守国家秘密法》要求的()A)老王要求下属小张把中心所有计算机贴上密级标志B)老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用C)老王安排下属小李将损害的涉密计算机的某国外品牌硬盘送到该品牌中国区维修中心修理D)老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库[单选题]103.信息安全工程作为信息安全保障的重要组成部分，主要是为了解决？A)信息系统的技术架构安全问题B)信息系统组成部门的组件安全问题C)信息系统生命周期的过程安全问题D)信息系统运行维护的安全管理问题[单选题]104.如果向Apache的访问日志中写入一句话木马，需要如何操作才能将一句话写入到日志中A)在URL后面，加上一句话的url编码格式的内容B)在URL后面，加上一句话的base64编码格式的内容C)在访问的URL数据体中，直接插入一句话源码D)在访问的URLhttp请求头部，插入basic字段，并将一句话编码为base64[单选题]105.以下哪个策略是对抗A.RP欺骗有效地的手段？A)使用静态的A.RP缓存B)在网络上阻止A.RP报文的发送C)安装杀毒软件并更新到最新的病毒库D)使用LINUX系统提高安全性[单选题]106.SQL注入攻击是黑客对数据库进行攻击的常用手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部份程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使用应用程序存在安全隐患,小李在对某ASP网站进行测试时,采用经典的1=1,1=2测试法,测试发现1=1时网页显示正常,1=2时报错,于是小李得出了四条猜测,则下列说法错误的是A)该网站可能存在漏洞B)攻击者可以根据报错信息获得的信息,从而进一步实施攻击C)如果在网站前布署一台H3C的IPS设备阻断,攻击者得不到任何有效信息D)该网站不可以进行SQL注入攻击[单选题]107.在新的信息系统或增强已有()业务要求陈述中,应规定对安全控制措施的要求。信息安全的系统要求与实施安全的过程宜在信息系统项目的早期阶段被集成,在早期如设计阶段引入控制措施的更高效和节省。如果购买产品,则宜遵循一个正式的()过程。通过()访问的应用易受到许多网络威胁,如欺诈活动、合同争端和信息的泄露或修改。因此要进行详细的风险评估并进行适当的控制,包括验证和保护数据传输的加密方法等,保护在公共网络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的()。应保护涉及到应用服务交换的信息以防不完整的传输、路由错误、未经授权的改变、擅自披露、未经授权的()。A)披露和修改;信息系统;测试和获取;公共网路;复制或重播B)信息系统;测试和获取;披露和修改;公共网路;复制或重播C)信息系统;测试和获取;公共网路;披露和修改;复制或重播D)信息系统;公共网路;测试和获取;披露和修改;复制或重播[单选题]108.2.以下关于Windows系统的账号存储管理机制（SecurityAccountsManager）的说法哪个是正确的：A)存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B)存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性C)存储在注册表中的账号数据任何用户都可以直接访问，灵活方便D)存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性[单选题]109.老王是某政府信息中心主任，以下哪项项目是符合《保守国家秘密法》要求的？A)老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B)老王要求下属小张把中心所有计算机贴上密级标志C)老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D)老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用[单选题]110.我国信息系统安全等级保护工作环节依次是（）A)定级-检查-建设整改-等级测评-备案B)等级测评-建设整改-监督检查C)定级-备案-建设整改-等级测评-监督检查D)定级--等级测评-备案-建设整改-监督检查[单选题]111.61.在风险管理中，残余风险是指在实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）A)风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B)管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且必须承担引发的后果C)接受残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制地提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术的等因的限制D)如果残余风险没有降低到可接受的级别，则只能被动地选择接受风险，即对风险不采取进一步的处理措施，接受风险可能带来的结果[单选题]112.88.1993年至1996年，欧美六国七方和美国商务由国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准，简称CC标准，该安全评估标准的全称为（）A)《可信计算机系统评估准则)B)《信息技术安全评估准则》C)《可信计算机产品评估准则》D)《信息技术安全通用评估准则》[单选题]113.有编辑/etc/passwd文件能力的攻击者可以通过把UID变为()就可以成为特权用户。A)-1B)0C)1D)2[单选题]114.某汽车保险公司有庞大的信贷数据，基于这些可信的不可篡改的数据，公司希望利用区块链的技术，根据预先定义好的规则和条款，自动控制保险的理赔。这一功能主要利用了区块链的（）技术特点。A)分布式账本B)非对称加密和授权技术C)共识机制D)智能合约[单选题]115.下面哪个功能属于操作系统中的安全功能A)控制用户的作业排序和运行B)对计算机用户访问系统和资源情况进行记录C)保护系统程序和作业,禁止不合要求的对程序和数据的访问D)实现主机和外设的并行处理以及异常情况的处理[单选题]116.组织内应急通知应主要采用以下哪种方式A)电话B)电子邮件C)人员D)公司OA[单选题]117.组织第一次建立业务连续性计划时，最为重要的活动是：A)制定业务连续性B)进行业务影响分析C)进行灾难恢复演练D)构建灾备系统[单选题]118.作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险。这时你应当怎么做？A)抱怨且无能为力B)向上级报告该情况，等待增派人手C)通过部署审计措施和定期审查来降低风险D)由于增加人力会造成新的人力成本，所以接受该风险[单选题]119.由于Internet的安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全.其中,属于或依附于传输层的安全协议是().A)IPSecB)PP2PC)L2TPD)SSL[单选题]120.保护-监测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模型，其思想是承认()中漏洞的存在，正视系统面临的()，通过采取适度防护、加强()、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。A)信息系统；信息安全保障；威胁；检测工作B)信息安全保障；信息系统；检测工作；威胁C)信息安全保障；信息系统；威胁；检测工作D)信息安全保障；威胁；信息系统；检测工作[单选题]121.下面对零日（zero-day）漏洞的理解中，正确的是()A)指一个特定的漏洞，该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击，获取主机权限B)指一个特定的漏洞精指在200被发现出来的一种洞，该漏洞被震网病毒所利用，用来攻击伊朗布什尔核电站基础设施C)指一类漏洞,特别好被利用，一旦成功利用该类漏洞可以在1天内完成攻击且成功达到攻击目标D)-类漏洞，刚被发现后立即被恶意利用的安全漏洞一般来说,那些已经被儿人发现，但是还未公开、还不存在安全补丁的漏洞都是零日漏洞[单选题]122.残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是()A)残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B)残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C)实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D)信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标[单选题]123.11.为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用?智能卡+短信认证?模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法？A)实体?所知?以及实体?所有?的鉴别方法B)实体?所有?以及实体?特征?的鉴别方法C)实体?所知?以及实体?特征?的鉴别方法D)实体?所有?以及实体?行为?的鉴别方法[单选题]124.关于适度玩网络游戏的相关安全建议，以下哪项是最不妥当的行为（）?A)选择网络游戏运营商时，要选择合法正规的运营商B)保留有关凭证，如充值记录、协议内容、网上转账记录等，以便日后维权使用C)在网吧玩游戏的时候，登录网银购买游戏币D)不要轻易购买大金额的网游道具[单选题]125.IPSecVPN安全技术没有用到（）？A)端口映射技术B)隧道技术C)加密技术D)入侵检测技术[单选题]126.下面哪一项不是ISMSPlAn阶段的工作?A)定义ISMS方针B)实施信息安全风险评估C)实施信息安全培训D)定义ISMS范围[单选题]127.ISO27001认证项目一般有哪几个阶段?A)管理评估,技术评估,操作流程评估B)确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C)产品方案需求分析,解决方案提供,实施解决方案D)基础培训,RA培训,文件编写培训,内部审核培训[单选题]128.下面哪个文档是由Nist发布的（）A)ISO-27001B)X.509iTUC)SP800-37D)RFC2402[单选题]129.下列选项中,与面向构件提供者的构件测试目标无关的是().A)检查为特定项目而创建的新构件的质量B)检查在特定平台和操作环境中构件的复用、打包和部署C)尽可能多地揭示构件错误D)验证构件的功能、接口、行为和性能[单选题]130.小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是()。A)信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低B)信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则C)信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想D)信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统[单选题]131.2006年5月8日电,中共中央办公厅、国务院办公厅印发了《2006-2020年国家信息化发展战略》。全文分()部分共计约15000余字。对国内外的信息化发展做了宏观分析,对我国信息化发展指导思想和战略目标标准要阐述,对我国()发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的(),当前我国信息安全保障工作逐步加强。制定并实施了(),初步建立了信息安全管理体制和()。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。A)5个;信息化;基本形势;国家安全战略;工作机制B)6个;信息化;基本形势;国家信息安全战略;工作机制C)7个;信息化;基本形势;国家安全战略;工作机制D)8个;信息化;基本形势;国家信息安全战略;工作机制[单选题]132.以下哪一项不是常见威胁对应的消减措施？A)假冒攻击可以采用身份认证机制来防范B)为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C)为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D)为了防止用户提升权限，可以采用访问控制表的方式来管理权限[单选题]133.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?()A)保障要素、生命周期和运行维护B)保障要素、生命周期和安全特征C)规划组织、生命周期和安全特征D)规划组织、生命周期和运行维护[单选题]134.以下哪一项不属于恶意代码？A)病毒B)蠕虫C)宏D)特洛伊木马[单选题]135.计算机网络通信时，利用（）协议获得对方的MAC地址A)ARPB)RARPC)UDPD)TCP[单选题]136.下面哪一项最好地描述了风险分析的目的?A)识别用于保护资产的责任义务和规章制度B)识别资产以及保护资产所使用的技术控制措施C)识别资产、脆弱性并计算潜在的风险D)识别同责任义务有直接关系的威胁[单选题]137.关于秘钥管理,下列说法错误的是:A)科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性B)保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全C)秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节D)在网络通信中。通信双方可利用Diffie-He11man协议协商出会话秘钥[单选题]138.某单位计划在今年开发一套办公自动化（OA）系统，将集团公司各地的机构通过互联网进行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指出大家提供的建议中不太合适的一条？A)对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题B)要求软件开发人员进行安全开发培训，是开发人员掌握基本软件安全开发知识C)要求软件开发商使用Java而不是ASP作为开发语言，避免产生SQL注入漏洞D)要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对输入数据进行校验[单选题]139.小王学习了灾备备份的有关知识,了解到常用的数据备份方式包括完全备份、增量备份、差量备份,为了巩固所学知识,小王对这三种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序是()A)完全备份、增量备份、差量备份B)完全备份、差量备份、增量备份C)增量备份、差量备份、完全备份D)差量备份、增量备份、完全备份[单选题]140.MySQL在5.6版本的时候增加了to_base64和from_base64函数，在此之前没有内部函数，只能使用User-Defined-FunctionMysql中不用的注释符有A)#B)*/C)--a--+D)<!--...-->[单选题]141.以下哪项不是应急响应准备阶段应该做的？A)确定重要资产和风险，实施针对风险的防护措施B)编制和管理应急响应计划C)建立和训练应急响应组织和准备相关的资源D)评估时间的影响范围，增强审计功能、备份完整系统[单选题]142.在业务持续性计划中,下面哪一项具有最高的优先级?A)恢复关键流程B)恢复敏感流程C)恢复站点D)将运行过程重新部署到一个替代的站点[单选题]143.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?（）A)DSSB)Diffie-HellmanC)RSAD)AES[单选题]144.小张发现某网站可以观看?XX魔盗团2?，但是必须下载专用播放器，家明应该怎么做？A)安装播放器观看B)打开杀毒软件，扫描后再安装C)先安装，看完电影后再杀毒D)不安装，等待正规视频网站上线后再看[单选题]145.以下哪一个是数据保护的最重要的目标?A)确定需要访问信息的人员B)确保信息的完整性C)拒绝或授权对系统的访问D)监控逻辑访问[单选题]146.下面哪一个不是高层安全方针所关注的A)识别关键业务目标B)定义安全组织职责C)定义安全目标D)定义防火墙边界防护策略[单选题]147.老王是一名企业信息化负责人,由于企业员工在浏览网页时总导致病毒感染系统,为了解决这一问题,老王要求信息安全员给出解决措施,信息安全员给出了四条措施建议,老王根据多年的信息安全管理经验,认为其中一条不太适合推广,你认为是哪条措施()A)采购防病毒网关并部署在企业互联网出口中,实现对所有浏览网页进行检测,阻止网页中的病毒进入内网B)组织对员工进行一次上网行为安全培训,提高企业员工在互联网浏览时的安全意识C)采购并统一部署企业防病毒软件,信息化管理部门统一进行病毒库升级,确保每台计算机都具备有效的病毒检测和查杀能力D)制定制度禁止使用微软的IE浏览器上网,统一要求使用Chrome浏览器[单选题]148.下面哪一个情景属于身份鉴别()过程？A)用户依照系统提示输入用户名和口令B)用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C)用户使用加密软件对自己编写的office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D)某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中[单选题]149.某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:A)强制访问控制B)基于角色的访问控制C)自主访问控制D)基于任务的访问控制[单选题]150.（）在实施攻击之前，需要尽量收集伪装身份()，这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的()，那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司中相关人员的绰号等等。A)攻击者:所需要的信息:系统管理员:基础；内部约定B)所需要的信息:基础；攻击者；系统管理员；内部约定C)攻击者:所需要的信息:基础；系统管理员；内部约定D)所需要的信息:攻击者:基础；系统管理员:内部约定[单选题]151.451.即使最好的安全产品也存在（）。结果，在任何的系统中敌手最终都能够找出一个被开发出的漏洞。一种有效的对策是在敌手和它的目标之间配备多种（）。每一种机制都应包括（）两种手段A)安全机制；安全缺陷；保护和检测B)安全缺陷；安全机制；保护和检测C)安全缺陷；保护和检测；安全机制D)安全缺陷；安全机制；外边和内部[单选题]152.76.下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？（）A)TCSEC标准B)CC标准C)FC标准D)ITSEC标准[单选题]153.在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务？A)网络层B)表示层C)会话层D)物理层[单选题]154.计算机应急响应小组的简称是：A)CERTB)FIRSTC)SANAD)CEAT[单选题]155.信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。A)中国B)俄罗斯C)美国D)英国[单选题]156.即使最好用的安全产品也存在()。结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞。一种有效的对策是在敌手和它的目标之间配备多种()。每一种机制都应包括()两种手段。A)安全缺陷;安全机制;外边和内部B)安全机制;安全缺陷;保护和检测C)安全缺陷;安全机制;保护和检测D)安全缺陷;保护和检测;安全机制[单选题]157.下面不是保护数据库安全涉及到的任务是____。A)A确保数据不能被未经过授权的用户执行存取操作B)B防止未经过授权的人员删除和修改数据C)C向数据库系统开发商索要源代码，做代码级检查D)D监视对数据的访问和更改等使用情况[单选题]158.下面哪个口令的安全性最高（）A)INTEGRITY1234567890B)!@7ES6RFE,,,D.195D.S@@SD.A.C)PA.SSW@OD.A.SSW@OD.A.SSW@OD.D)IC.HUNQIUA.D.MIN123456[单选题]159.你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此漏洞修补的四个建议方案,请选择其中一个最优方案执行()A)由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁B)本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理C)对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署D)对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级[单选题]160.有关系统工程的特点说法错误的是（）A)系统工程是基本理论的技术实现B)系统工程是一种对所有系统都具有普遍意义的科学方法C)系统工程是织管理系统规划、研究、制造、试验、使用的科学方法D)系统工程是一种方法论[单选题]161.Backup命令的功能是用于完成UNIX／Linux文件的备份，下面说法不正确的是____。A)ABackup-c命令用于进行完整备份B)BBackup-p命令用于进行增量备份C)CBackup-f命令备份由file指定的文件D)DBackup-d命令当备份设备为磁带时使用此选项[单选题]162.风险评估的工具中,()是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性,这类工具通常包括黑客工具、脚本文件。A)脆弱性扫描工具B)渗透测试工具C)拓扑发现工具D)安全审计工具[单选题]163.21.超文本传输协议(HyperTextTransferProtocol,HTTP)是互联网上广泛使用的一种网络协议，下面哪种协议基于HTTP并结合SSL协议，具备用户鉴别和通信数据加密等功能()A)HTTP1.0协议B)HTTP1.1协议C)HTTPS协议D)HTTPD协议[单选题]164.下列哪一项不属于模糊测试(fuzz)的特性A)主要针对软件漏洞或可靠性错误进行测试B)采用大量测试用例进行激励响应测试C)一种试探性测试方法，没有任何理论依据D)利用构造畸形的输入数据引发被测试目标产生异常[单选题]165.信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时需要重点考虑的？A)信息的价值B)信息的时效性C)信息的存储方式D)法律法规的规定[单选题]166.近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个开放性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素,下列选项中,对无线通信技术的安全特点描述正确的是()A)无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容B)通过传输流分析,攻击者可以掌握精确的通信内容C)对于无线局域网络和无线个人区域网络来说,它们的通信内容更容易被窃听D)群通信方式可以防止网络外部人员获取网络内部通信内容[单选题]167.小斌正在对小明的网站进行渗透测试，经过一段时间的探测后，小斌发现小明的网站存在一个sql注入漏洞：/user/says.php?uid=1845%20skey=2014该地址是用于搜索用户曾经的发言的页面,会返回一些留言信息，小斌简单测试后发现/user/says.php?uid=1845%20skey=2014'%20or%202-1%20--%20返回错误信息/user/says.php？uid=1845%20skey=2014'%20)%20or%201-1%20--%20却返回空白信息则小明网站该处逻辑可能的sql语句是：()A)select*fromuser_sayswheredeleted=0anduid=$uidandskeylike"%$skey%"B)select*fromuser_sayswheredeleted=0and(uid=$uidandskeylike'%$skey%')C)select*fromuser_sayswheredeleted=0and(uid=$uidandskey='$key')D)select*fromuser_sayswheredeleted=0anduid=$uidandskey='$key'[单选题]168.如果将允许使用中继链路的VLAN范围设置为默认值，表示允许哪些VLANA)允许所有VLAN使用中继链路B)只允许VLAN1使用中继链路C)只允许本征VLAN使用中继链路D)交换机将通过VTP来协商允许使用中继链路的VLAN[单选题]169.在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?A)网络层B)表示层C)会话层D)物理层[单选题]170.对于Linux的安全加固项说法错误的是哪项?A)使用unAme-A确认其内核是否有漏洞B)检查系统是否有重复的UID用户C)查看login、Defs文件对于密码的限制D)查看hosts文件确保TCpwApper生效[单选题]171.下面哪一个描术错误的A)TCP是面向连接可靠的传输控制协议B)UDP是无连接用户数据报协议C)UDP相比TCP的优点是速度快D)TCP/IP协议本身具有安全特性[单选题]172.85.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是（）A)资产的价值指采购费用B)资产的价值指维护费用C)资产的价值与其重要性密切相关D)资产的价值无法估计[单选题]173.在可信计算机系统评估准则中，计算机系统安全等级要求最高的是:A)、C.1级B)、D.级C)、B.1级D)、A.1级[单选题]174.以下描述中不属于SSH用途的为?A)用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境B)用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输C)进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性D)SCP远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障[单选题]175.2016年12月27日，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》（以下简称：?战略?）。全文共计（）部分，6000余字。其中主要对我国当前面临的网络空间安全7大机遇思想，阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务，切实维护国家在网络空间的主权、安全、发展利益，是指导国家网络安全工作的纲领性文件。《战略》指出，网络空间机遇和挑战并存，机遇大于挑战。必须坚持积极利用、科学发展、依法管理、确保安全，坚决维护网络安全，最大限度利用网络空间发展潜力，更好惠及13亿多中国人民，造福全人类，（）。《战略》要求，要以（），贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识，统筹国内国际两个大局，统筹发展安全两件大事，积极防御、有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的（）。A)4个；总体目标；坚定维护世界和平；总体国家安全观为指导；战略目标B)5个；基本目标；坚定维护世界和平；总体国家安全观为指导；战略目标C)6个；总体目标；坚定维护世界和平；总体国家安全观为指导；战略目标D)7个；基本目标；坚定维护世界和平；总体国家安全观为指导；战略目标[单选题]176.根据Bell-Lapadula模型安全策略,下图中写和读操作正确的是:A)可读可写B)可读不可写C)可写不可读D)不可读不可写[单选题]177.某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时