CISP考试认证(习题卷6)

试卷科目：CISP考试认证CISP考试认证(习题卷6)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考试认证第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.以下哪项网络攻击会对《网络安全法》定义的网络运行安全造成影响A)DDoS攻击B)网页篡改C)个人信息泄露D)发布谣言信息答案:A解析:[单选题]2.下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?A)虚拟专用网B)专线C)租用线路D)综合服务数字网、答案:A解析:[单选题]3.除以下哪项可作为ISMS审核(包括内审和外审)的依据,文件审核、现场审核的依据?A)机房登记记录B)信息安全管理体系C)权限申请记录D)离职人员的口述答案:D解析:[单选题]4.391.软件存在漏洞和缺陷是不可避免免的,实践中尝试用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是A)0.00049B)0.049C)0.49D)49答案:C解析:[单选题]5.Linux系统一般使用GRUB作为启动的MBR程序,GRUB如何配置才能放置用户加入单用户模式重置root密码?A)删除敏感的配置文件B)注释gruBConf文件中的启动项C)在对应的启动title上配置进入单用户的密码D)将GRUB程序使用非对称秘钥加密答案:C解析:[单选题]6.98.防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是（）。A)既能物理隔离，又能逻辑隔离B)能物理隔离，但不能逻辑隔离C)不能物理隔离，但是能逻辑隔离D)不能物理隔离，也不能逻辑隔离答案:C解析:[单选题]7.91.主体和客体是访问控制模型中常用的概念。下面描述中错误的是（）A)主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数据B)客体也是一种实体，是操作的对象，是被规定需要保护的资源C)主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作客体使用D)一个主体为了完成任务，可以创建另外的主体，这些主体可以独立运行答案:C解析:[单选题]8.信息安全风险评估的方式包括（）A)定量评估、定性评估、组合评估B)定量评估、定点评估、组合评估C)条件评估、完整评估、组合评估D)自评估、检查评估答案:D解析:[单选题]9.8密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法，密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是（）A)在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住所有的执行步骤，有些复杂的步骤可以不明确处理方式B)密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行C)根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信任的人，也可能是敌人和互相完全不信任的人D)密码协议（cryptographicprotocol），有时也称安全协议（securityprotocol），是使用密码学完成某项特定的任务并满足安全需求，其目的是提供安全服务答案:A解析:[单选题]10.查询DNS的客户端叫resolver，resolver查询某一个DNS服务器。服务器返回结果，可能有记录，也可能没有。但是不管如何，DNS查询结束递归查询：客户机向dns服务器发送请求，DNS服务器会使用一个准确的查询结果回复给客户机，如果DNS服务器本地没有储存查询的DNS信息，那么它会查询其他的DNS服务器，并将查询结果提交给客户机迭代查询：客户机向dns服务器发送请求，如果该服务器本地没有储存查询的DNS信息，那么它会告诉客户机另一台DNS服务器的地址，客户机在向这台DNS服务器查询DNS信息，依次循环直到返回结果下面linux权限对应错误的是A)rwx-r--r--622B)r-xr-xr-x555C)rwxr-xr-x755D)rwxw-702答案:A解析:[单选题]11.对涉密系统进行安全保密测评应当依据以下哪个标准？A)BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》B)BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》C)GB17859-1999《计算机信息系统安全保护等级划分准则》D)GB／T20271-2006《信息安全技术信息系统统用安全技术要求》答案:B解析:[单选题]12.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。强制访问控制模型有多种类型,如BLP、Biba、Clark-willson和ChineseWall等。小李自学了BLP模型,并对该模型的特点进行了总结。以下4种对BLP模型的描述中,正确的是()。A)BLP模型用于保证系统信息的完整性B)BLP模型的规则是?向下读,向上写?C)BLP的自主安全策略中,系统通过比较主体与客体的访问类属性控制主体对客体的访问D)BLP的强制安全策略使用一个访问控制矩阵表示答案:B解析:BLP模型是一种强制访问控制模型用以保障机密性,向上写,向下读,自主访问控制模型使用一个访问控制矩阵表示。[单选题]13.关系数据库的完整性规则是数据库设计的重要内容，下面关于?实体完整性?的描述正确的是？A)指数据表中列的完整性，主要用于保证操作的数据（记录）完整、不丢项B)指数据表中行的完整性，主要用于保证操作的数据（记录）非空、唯一且不重复C)指数据表中列必须满足某种特定的数据类型或约束，比如取值范围、数值精度等约束D)指数据表中行必须满足某种特定的数据姓雷或约束，比如在更新、插入或删除记录时，更将关联有关的记录一并处理才可以答案:B解析:[单选题]14.在国家标准GB／T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》中，信息系统安全保障模型包含哪几个方面？（）A)保障要素、生命周期和运行维护B)保障要素、生命周期和安全特征C)规划组织、生命周期和安全特征D)规划组织、生命周期和运行维护答案:B解析:[单选题]15.根据Bell-LaPadula模型安全策略，下图中写和读操作正确的是（）A)可写可读B)可读不可写C)可写不可读D)不可读不可写答案:D解析:[单选题]16.一个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于A)冷站B)温站C)直线站点D)镜像站点答案:A解析:[单选题]17.关于信息安全事件管理和应急响应，以下说法错误的是：A)应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B)应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段C)对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素D)根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件（Ⅰ级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级）答案:B解析:[单选题]18.关于补丁安装时应注意的问、，以下说法正确的是（）A)在补丁安装部署之前不需要进行测试，因为补丁发布之前厂商已经经过了测试B)补丁的获取有严格的标准,必须在厂商的官网上获取C)信息系统打补丁时需要做好备份和相应的应急措施D)补丁安装部署时关闭和重启系统不会产生影响答案:C解析:[单选题]19.小李既属于?一般用户?组，又属于?高级用户?组，现要访问?工作文档?目录，已知?一般用户?组对于此文件夹的操作权限是?只读?，?高级用户?组对此文件夹的操作权限是?可写?，那么小李现在可对?工作文档?目录进行什么操作？A)仅可读B)仅可写C)既可读又可写D)权限冲突，无法做任何操作答案:C解析:[单选题]20.以下哪一项是D.OS攻击的一个实例？A)SQL注入B)IPSPOOFC)SMURF攻击D)字典破解答案:C解析:[单选题]21.以下列出了mac和散列函数的相似性,哪一项说法是错误的?A)MAC和散列函数都是用于提供消息认证B)MAC的输出值不是固定长度的,而散列函数的输出值是固定长度的C)MAC和散列函数都不需要密钥D)MAC和散列函数都不属于非对称加密算法答案:C解析:[单选题]22.企业ISMS(信息安全管理体系)建设的原则不包括以下哪个A)管理层足够重视B)需要全员参与C)不必遵循过程的方法D)需要持续改进答案:C解析:[单选题]23.防御文件包含漏洞的方法不包括什么A)禁止文件名中包含字母和数字之外的字符B)禁止自定义文件名C)文件名中禁止出现目录名D)禁止文件上传答案:D解析:[单选题]24.由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部DNS、主WEB服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件A)特别重大事件B)重大事件C)较大事件D)一般事件答案:A解析:[单选题]25.公钥基础设施(PublicKeyInfrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项()。class="fr-ficfr-dibcursor-hover"A)OCSPB)证书库C)CRL库D)RA答案:D解析:PKI由:CA、RA、证书库和终端实体等部分。P286页[单选题]26.关于数据库恢复技术，下列说法不正确的是？A)数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复B)数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术C)日志文件在数据库恢复中起着非常重要的作用，可以用来进行事物故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复D)计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交答案:D解析:D描述的是回滚[单选题]27.注册或者浏览社交类网站时，不恰当的做法是：（）A)尽量不要填写过于详细的个人资料B)不要轻易加社交网站好友C)充分利用社交网站的安全机制D)信任他人转载的信息答案:D解析:[单选题]28.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化,自主访问控制和强制访问控制难以适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC模型可以分为RBAC0、RBAC1、RBAC2和RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是()。A)RBACO是基于模型,RBAC1、RBAC2和RBAC3都包含RBAC0B)RBAC1在RBAC0的基础上,加入了角色等级的概念C)RBAC2在RBAC1的基础上,加入了约束的概念D)RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束答案:C解析:RBAC2在RBAC0的基础上,加入了约束的概念,P313页[单选题]29.以下对于标准化特点的描述哪项是错误的?（）A)标准化的对象是共同的、可重复的事物。不是孤立的一件事、一个事物B)标准化必须是静态的,相对科技的进步和社会的发展不能发现变化C)标准化的相对性,原有标准随着社会发展和环境变化,需要更新D)标准化的效益,通过应用体现经济和社会效益,否则就没必要答案:B解析:标准化是动态的,会随着科技的进步和社会的发展与时俱进。[单选题]30.以下描述中不属于SSH用途的为?A)用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境B)用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输C)进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性D)SCP远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障答案:C解析:[单选题]31.IS09001-200标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写A)策略B)管理者C)组织D)活动答案:D解析:[单选题]32.SO9001-2000标准鼓励在制定、实施质量管理体系以及改进其有效性时对采用的过程方法,通过满足顾客要求,增进顾客满意,下图是关于过程方法示意图,空白处应填写()A)策略B)管理者C)组织D)活动答案:D解析:[单选题]33.下列哪项是系统问责时不需要的?A)认证B)鉴定C)授权D)审计答案:C解析:[单选题]34.71.信息安全管理体系(ISMS)的建设和实施是一个组织的战略性举措。若一个组织声称自己的ISKS符合1S0/IBC27001或CB/T22080标准要求，则需实施准要求，则需实施以下ISMS建设的各项工作，哪项不属于ISMS建设的工作(）A)规划与建立B)实施和运行C)监视和评审D)保持和审核答案:D解析:[单选题]35.某公司建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M公司为实施单位，并选择了H监理公司承担该项目的全程监理工作。目前，各个应用系统均已完成开发，M公司已经提交了验收申请。监理公司需要对M公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档？A)项目计划书B)质量控制计划C)评审报告D)需求说明书答案:D解析:[单选题]36.打电话诈骗密码属于________攻击方式。A)木马B)社会工程学C)电话系统漏洞D)拒绝服务答案:B解析:[单选题]37.nmap的-sV是什么操作（）A)TCP全连接扫描B)FIN扫描C)版本扫描D)全面扫描答案:C解析:[单选题]38.小李是某公司系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全建设规划图,如下图所示。请问这个图形是依据下面哪个模型来绘制的()class="fr-ficfr-filfr-dibcursor-hover"A)PDRB)PPDRC)PDCAD)IATF答案:B解析:[单选题]39.469.PDCA循环又叫戴明环，是管理学常用的一种模型。关于PDCA四个字母，下面理解错误的是（）A)P是Plan，指分析问题、发现问题、确定方针、目标和活动计划B)D是Do，指实施、具体运作，实现计划中的内容C)C是Check，指检查、总结执行计划的结果，明确效果，找出问题D)A是Aim，指瞄准问题，抓住安全事件的核心，确定责任答案:D解析:[单选题]40.下列内容过滤技术中在我国没有得到广泛应用的是____。A)A内容分级审查B)B关键字过滤技术C)C启发式内容过滤技术D)D机器学习技术答案:A解析:[单选题]41.5.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁定计数器5分钟账户锁定时间10分钟账户锁定阈值3次无效登录以下关于以上策略设置后的说法哪个是正确的：A)设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错了密码的用户就会被锁住B)如果正常用户不小心输错了3次密码，那么该账户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统C)如果正常用户不小心连接输入错误密码3次，那么该用户账户就被锁定5分钟，5分钟内即使提交了正确的密码，也无法登录系统D)攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常用户登陆不受影响答案:B解析:[单选题]42.维基百科(Wikipedia)中,大数据则被定义为巨量数据,也称海量数据或大资料,是指所涉及的数据量规模巨大到无法人为的在合理时间内达到取、管理、处理、并整理成为人类所能解读的信息,大数据的四个特点:Volume、Velocity、vaey、Vaue,其中他们的含义分别为A)海量的数据规模;快速的数据流转和动态的数据体系;多样的数据类型,巨大的数据价值B)海量的数据规极;快速的数据流转和动态的数据体系;巨大的数据价值;多样的数据类型C)海量的数据规模;巨大的数据价值;快速的数据流转和动态的数据体系;多样的数据类型D)巨大的数据价值;快速的数据流转和动态的数据体系;多样的数据类型;海量的数据规模答案:A解析:[单选题]43.以下对windows账号的描述，正确的是：A)windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B)windows系统是采用用户名来标识用户对文件或文件夹的权限C)windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除D)windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除答案:A解析:[单选题]44.风险评估的过程包括()、()、()和()四个阶段。在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输入。()风险评估的四个阶段。A)风险评估准备;风险要素识别;风险分析;监控审查;风险结果判定;沟通咨询B)风险评估准备;风险要素识别;监控审查;风险分析;风险结果判定;沟通咨询C)风险评估准备;监控审查;风险要素识别;风险分析;风险结果判定;沟通咨询D)风险评估准备;风险要素识别:风险分析:风险结果判定监控审查,沟通咨询答案:D解析:[单选题]45.个人问责不包括下列哪一项?A)访问规则。B)策略与程序。C)审计跟踪。D)唯一身份标识符。答案:B解析:[单选题]46.72.2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（ComprchensiveNationalCybersecuityInitative,CNCI）。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境。从以上内容，我们可以看出以下哪种分析是正确的：A)CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险B)从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的C)CNCI的目的是尽快研发并部署新技术和彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补D)CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障答案:A解析:[单选题]47.信息发送者使用（）进行数字签名。A)己方的私钥B)己方的公钥C)对方的私钥D)对方的公钥答案:A解析:[单选题]48.63.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项（）A)信息安全方针、信息安全组织、资产管理B)人力资源安全、物力和环境安全、通信和操作管理C)访问控制、信息系统获取、开发和维护、符合性D)规划与建立ISMS答案:D解析:[单选题]49.1988年美国一名大学生编写了一个程序，这是史上第一个通过Internet传播的计算机病毒。你知道这个病毒叫什么吗？A)小球病毒B)莫里斯蠕虫病毒C)红色代码D)震荡波答案:B解析:[单选题]50.在冗余磁盘阵列中，以下不具有容错技术的是A)RA.ID.0B)RA.ID.1C)RA.ID.3D)RA.ID.5答案:A解析:[单选题]51.以下有关信息安全方面的业务连续性管理的描述,不正确的是A)信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营B)企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务C)业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档D)信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入答案:D解析:[单选题]52.拒绝服务攻击导致的危害中，以下哪个说法是不正确的：A)网络带宽被耗尽，网络被堵塞，无法访问网络B)主机资源被耗尽，主机无法响应请求C)应用资源被耗尽，应用无法响应请求D)应用系统被破坏，应用无法响应请求答案:D解析:[单选题]53.应急响应领导小组组长应由以下哪个选项担任?A)最高管理层B)信息技术部门领导C)业务部门领导D)外部专家答案:A解析:[单选题]54.下列哪一个子网掩码可允许IP网络上的每一个子网容纳2040台主机A)B)C)D)答案:C解析:[单选题]55.51.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的（）。A)背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性B)背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C)背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描述报告D)背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告答案:B解析:[单选题]56.21.风险处理是依据()，选择和实施合适的安全措施。风险处理的目的是为了将()始终控制在可接受的范围内。风险处理的方式主要有()、()、()和()四种方式。A)风险；风险评估的结果；降低；规避；转移；接受B)风险评估的结果；风险；降低；规避；转移；接受C)风险评估；风险；降低；规避；转移；接受D)风险；风险评估降低；规避；转移；接受答案:B解析:[单选题]57.?在选择外部供货生产商时,评价标准按照重要性的排列顺序是:1.供货商与信息系统部门的接近程度;2.供货商雇员的态度;3.供货商的信誉、专业知识、技术;4.供货商的财政状况和管理情况.A)4,3,1,2B)3,4,2,1C)3,2,4,1D)1,2,3,4答案:B解析:[单选题]58.如下措施不能有效防御XSS的是A)同源策略B)编码C)过滤D)CSP（内容安全策略）答案:B解析:[单选题]59.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取()A)在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力B)选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能C)如果蓝牙设备丢失,最好不要做任何操作D)在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案:C解析:如果蓝牙设备丢失,应把设备从已配对列表众删除。[单选题]60.信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是社会工程学攻击者所希望的。A)信息收集;社会工程学;资料和信息;身份伪装;进行保护B)社会工程学;信息收集;资料和信息;身份伪装;进行保护C)社会工程学;信息收集;身份伪装;资料和信息;进行保护D)信息收集;资料和信息;社会工程学;身份伪装;进行保护答案:B解析:[单选题]61.许多黑客都利用系统和软件中的漏洞进行攻击，对此，以下最有效的解决方案是什么？()A)安装防火墙B)安装入侵检测系统C)给系统和软件更新安装最新的补丁D)安装防病毒软件答案:C解析:[单选题]62.杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否是为恶意代码,如果是则进入联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目的。下列对恶意代码静态分析的说法中,错误的是()A)静态分析不需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制B)静态分析通过查找恶意代码二进制程序中嵌入的可疑字符串,如:文件名称、URL地址、域名、调用函数等来进行析判断C)静态分析检测系统函数的运行状态,数据流转换过程,能判别出恶意代码行为和正常软件操作D)静态分析方法可以分析恶意代码的所有执行路径,但是随着程序复杂度的提高,冗余路径增多,会出现分析效率很低的情况答案:C解析:无法检测运行状态,P371。[单选题]63.下面哪个功能属于操作系统中的安全功能A)控制用户的作业排序和运行B)对计算机用户访问系统和资源情况进行记录C)保护系统程序和作业,禁止不合要求的对程序和数据的访问D)实现主机和外设的并行处理以及异常情况的处理答案:C解析:[单选题]64.某用户通过账号，密码和验证码成功登陆某银行的个人网银系统，此过程属于以下哪一类：A)个人网银和用户之间的双向鉴别B)由可信第三方完成的用户身份鉴别C)个人网银系统对用户身份的单向鉴别D)用户对个人网银系统合法性单向鉴别答案:C解析:[单选题]65.以下哪个不是《国家网络安全战略》中阐述的（）A)捍卫网络空间主机B)保护关键基础设施C)提升网络空间防护能力D)阻断与国外网络连接答案:D解析:[单选题]66.?短信轰炸机?软件会对我们的手机造成怎样的危害（）A)短时内大量收到垃圾短信，造成手机死机B)会使手机发送带有恶意链接的短信C)会损害手机中的SIM卡D)会大量发送垃圾短信，永久损害手机的短信收发功能答案:A解析:[单选题]67.某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则？A)最小权限B)权限分离C)不信任D)纵深防御答案:B解析:[单选题]68.电脑中安装哪种软件，可以减少病毒、特洛伊木马程序和蠕虫的侵害？（）A)VPN软件B)杀毒软件C)备份软件D)安全风险预测软件答案:B解析:[单选题]69.以下哪些不是网络类资产:A)网络设备B)基础服务平台C)网络安全设备D)主干线路答案:B解析:[单选题]70.下面对零日（zero-day）漏洞的理解中，正确的是()A)指一个特定的漏洞，该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击，获取主机权限B)指一个特定的漏洞精指在200被发现出来的一种洞，该漏洞被震网病毒所利用，用来攻击伊朗布什尔核电站基础设施C)指一类漏洞,特别好被利用，一旦成功利用该类漏洞可以在1天内完成攻击且成功达到攻击目标D)-类漏洞，刚被发现后立即被恶意利用的安全漏洞一般来说,那些已经被儿人发现，但是还未公开、还不存在安全补丁的漏洞都是零日漏洞答案:D解析:[单选题]71.以下关于检查评估和自评估说法错误的是()。A)信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充B)自评估只能由组织自身发起并实施,对信息系统及其管理进行风险评估活动C)检查评估可以依据相关标准的要求,实施完整的风险评估,也可以在自评估实施的基础上,对关键环节或重点内容实施抽样评估D)信息安全风险评估应贯穿于网络和信息系统建设运行的全过程答案:A解析:信息安全风险评估分自评估、检查评估两形式。应以自评估为主,自评估和检查评估相互结合、互为补充。[单选题]72.某linux系统由于root口令过于简单,被攻击者猜解后获得了root口令,发现被攻击后,管理员更改了root口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下-r-s--x--x1testtdst10704apr152002/home/test/sh请问以下描述哪个是正确的:A)该文件是一个正常文件,test用户使用的shell,test不能读该文件,只能执行B)该文件是一个正常文件,是test用户使用的shell,但test用户无权执行该文件C)该文件是一个后门程序,该文件被执行时,运行身份是root,test用户间接获得了root权限D)该文件是一个后门程序,由于所有者是test,因此运行这个文件时文件执行权限为test答案:D解析:[单选题]73.87.下列关于软件安全开发中的BSI（BuildSecurityIn)系列模型说法错误的是（）A)BSI含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外B)软件安全的三根支柱是风险管理、软件安全接触点和安全测试C)软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式D)BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分答案:B解析:[单选题]74."统一威胁管理"是将防病毒，入侵检测和防火墙等安全需求统一管理，目前市场上已经出现了多种此类安全设备，这里"统一威胁管理"常常被简称为（）A)UTMB)FWC)IDSD)SOC答案:A解析:[单选题]75.通常最好由谁来确定系统和数据的敏感性级别?A)审计师B)终端用户C)拥有者D)系统分析员答案:C解析:[单选题]76.62.组织应开发和实施使用()来保护信息的策略，基于风险评估，需确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量。当实施组织的()时，宜考虑我国应用密码技术的规定和限制，以及()跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求，包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的()要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外，秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行().A)加密控制措施；加密信息:密码策略:密钥管理物理保护B)加密控制措施:密码策略；密钥管理:加密信息物理保护C)加密控制措施:密码策略:加密信息；密钥管理；物理保护D)加密控制措施；物理保护:密码策略；加密信息；密钥管理答案:C解析:[单选题]77.为了进一步提高信息安全的保障能力和防护水平，保障和促进信息化建设的健康发展，公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对等级保护工作的开展提供宏观指导和约束。明确了等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分工等。关于该文件，下面理解正确的是？A)该文件是一个由部委发布的政策性文件，不属于法律文件B)该文件适用于2004年的等级保护工作。其内容不能约束到2005年及之后的工作C)该文件是一个总体性指导文件，规定了所有信息系统都要纳入等级保护定级范围D)该文件适用范围为发文的这四个部门，不适用于其他部门和企业等单位答案:A解析:[单选题]78.53.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了关闭FTP服务的处理措施。请问该措施属于哪种风险处理方式（）A)风险降低B)风险规避C)风险转移D)风险接受答案:B解析:[单选题]79.以下不可以表示电子邮件可能是欺骗性的是____。A)A它要求您点击电子邮件中的链接并输入您的帐户信息B)B传达出一种紧迫感C)C通过姓氏和名字称呼您D)D它要求您验证某些个人信息答案:C解析:[单选题]80.在人力资源审计期间,安全管理体系内审员被告知在IT部门和人力资源部门中有一个关于期望的IT服务水平的口头协议。安全管理体系内审员首先应该做什么?A)为两部门起草一份服务水平协议B)向高级管理层报告存在未被书面签订的协议C)向两部门确认协议的内容D)推迟审计直到协议成为书面文档答案:C解析:[单选题]81.保留给自环测试的IP地址是：A)B)C)D)答案:D解析:[单选题]82.2016年10月21日，美国东部地区发生大规模断网事件，此次事件是由于美国主要DNS服务商Dyn遭遇大规模DDos攻击所致，影响规模惊人，对人们生产生活造成严重影响。DDoS攻击的主要目的是破坏系统的（）。A)抗抵赖性B)保密性C)可用性D)不可否认性答案:C解析:DDOS（分布式拒绝服务攻击）主要攻击目标所提供的服务，以破坏可用性为主要目的。P350页。[单选题]83.关于监理过程中成本控制,下列说法中正确的是?A)成本只要不超过预计的收益即可B)成本应控制得越低越好C)成本控制由承建单位实现,监理单位只能记录实际开销D)成本控制的主要目的是在批准的预算条件下确保项目保质按期完成答案:D解析:[单选题]84.下列生物识别设备,哪一项的交差错判率(CER)最高?A)虹膜识别设备B)手掌识别设备C)声音识别设备D)指纹识别设备答案:C解析:[单选题]85.下面不是UNIX／Linux操作系统的密码设置原则的是____。A)A密码最好是英文字母、数字、标点符号、控制字符等的结合B)B不要使用英文单词，容易遭到字典攻击C)C不要使用自己、家人、宠物的名字D)D一定要选择字符长度为8的字符串作为密码答案:D解析:[单选题]86.实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()class="fr-ficfr-filfr-dibcursor-hover"A)实体所知的鉴别方法B)实体所有的鉴别方法C)实体特征的鉴别方法D)实体所见的鉴别方法答案:C解析:[单选题]87.金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的操作习惯()A)使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件、应用软件进行升级B)为计算机安装具有良好声誉的安全防护软件,包括病毒查杀、安全检查和安全加固方面的软件C)在IE的配置中,设置只能下载和安装经过签名的、安全的ActiveX控件D)在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据答案:A解析:安装好软件后应及时对该计算机上的系统软件、应用软件进行升级,以增加操作系统的安全性。[单选题]88.以下对Windows系统的服务描述，正确的是A)Windows服务必须是一个独立的可执行程序B)Windows服务的运行不需要用户的交互登陆C)Windows服务都是随系统启动而启动，无需用户进行干预D)Windows服务都需要用户进行登陆后，以登录用户的权限进行启动答案:B解析:[单选题]89.社会工程学是()与()结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的(),随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的?弱点?,而人性是()这使得它几乎是永远有效的(