李成煜-NISP二級錯題

1. 您的姓名：

2. 自 2004 年 1 月起,各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時,必須經(jīng)由以下哪個組織提出工作情況,協(xié)調(diào)一致后由該組織申報。（）

全國通信標(biāo)準(zhǔn)化技術(shù)委員會（TC485）全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）中國通信標(biāo)準(zhǔn)化協(xié)會（CA）網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

3. 信息安全等級保護分級要求,第三級適用正確的是（）

適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權(quán)益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后, 會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴(yán)重

4. 下面對國家秘密定級和范圍的描述中,哪項不符合《保守國家秘密法》要求:（）

國家秘密及其密級的具體范圍,由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān) 規(guī)定各級國家機關(guān)、單位對所產(chǎn)生的國家秘密事項,應(yīng)當(dāng)按照國家秘密及其密級具體范圍的規(guī)定確定密級對是否屬于國家機密和屬于何種密級不明確的事項,可由各單位自行參考國家要求確定和定級,然后報國家保密工作部門確定對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門,省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作部門審定的機關(guān)確定。

5. 小趙是某大學(xué)計算機科學(xué)與技術(shù)專業(yè)的畢業(yè)生,在前往一家大型企業(yè)應(yīng)聘時,面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控模型的設(shè)計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能,在以下選項中,從時間和資源消耗的角度,下列選項中他應(yīng)該采取的最合適的模型或方法是（）

訪問控制列表（ACL）能力表（CL）BLP 模型Biba 模型

6. 隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中,Web 成為一種普適平臺,上面承載了越來越多的核心業(yè)務(wù)。 Web 的開放性帶來豐富資源、高效率、新工作方式的同時,也使機構(gòu)的重要信息暴露在越來越多的威脅中。去年,某個…網(wǎng)站遭遇 SQL 群注入（）攻擊,網(wǎng)站發(fā)布的重要信息被簒改成為大量簽名,所以該校在某信息安全公司的建議下配置了狀態(tài)檢測防火墻,其原因不包括（）

狀態(tài)檢測防火墻可以應(yīng)用會話信息決定過濾規(guī)則狀態(tài)檢測防火墻具有記錄通過每個包的詳細(xì)信息能力狀態(tài)檢測防火墻過濾規(guī)則與應(yīng)用層無關(guān),相比于包過濾防火墻更易安裝和使用狀態(tài)檢測防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報警等處理動作答

7. 操作系統(tǒng)用于管理計算機資源,控制整個系統(tǒng)運行,是計算機軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡(luò) 及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計算機,開機后首先對自帶的 Windows 操作系統(tǒng)進行配置。他的主要操作有:（1）關(guān)閉不必要的服務(wù)和端口;（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和 iP 安全策略（3）備份敏感文件,禁止建立空連接,下載最新補丁;（4）關(guān)閉審核策略,開啟口令策略,開啟賬號策略。這些操作中錯誤的是（）

操作（1）,應(yīng)該關(guān)閉不必要的服務(wù)和所有端口操作（2）,在“本地安全策略”中不應(yīng)該配置公鑰策略,而應(yīng)該配置私鑰策略操作（3）,備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加操作（4）,應(yīng)該開啟審核策略

8. 在 Windows 系統(tǒng)中,存在默認(rèn)共享功能,方便了局域網(wǎng)用戶使用,但對個人用戶來說存安全風(fēng)險。如果電腦聯(lián)網(wǎng),網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有 Windows XP 系統(tǒng)的計算機上進行安全設(shè)置時,需要關(guān)閉默認(rèn)共享。下列選項中,不能關(guān)閉默認(rèn)共享的操作是（）

HKEYLOCALMACHINE\SYSTEM\Currentcontrolset\Services\lenmanserver\paraneters 項中的 “ Autodisconnect"項鍵值改為 0將 “ HKEY LOCAL machinesystemcurrentcontrolset\Services\ lenmanserver \paraneters" 項中的 Autoshareserver"項鍵值改為 0HKEY LOCAL MACHINE\SYSTEM\Currentcontrolset Services\ lenmanserver\paraneters"I Autosharewks"項鍵值改為 0在命令窗口中輸入命令,刪除 C 盤默認(rèn)共享: net share C/del

9. ApacheHTTPServer（簡稱 Apache）是一個開放源碼的 Web 服務(wù)運行平臺,在使用過程中,該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)采取以下哪種措施（）

不選擇 Windows 平臺,應(yīng)選擇在 Linux 平臺下安裝使用安裝后,修改配置文件 httpd.conf 中的有關(guān)參數(shù)安裝后,刪除 ApscheHTTPServer 源碼從正確的官方網(wǎng)站下載 ApecheHTTPServer,并安裝使用

10. Internet Explorer,簡稱三,是微軟推出的一款 Web 瀏覽器,IE 中有很多安全設(shè)置選項,用來設(shè)置安全上網(wǎng) 環(huán)境和保護用戶隱私數(shù)據(jù)。以下哪項不是三中的安全配置項目（）

設(shè)置 Cookie 安全,允許用戶根據(jù)自己安全策略要求者、設(shè)置 Cookie 策略,包括從阻止所有 Cookie 到接受所有 Cookie,用戶也可以選擇刪除已經(jīng)保存過的用自動完成和密碼記憶功能,通過設(shè)置禁止 IE 自動記憶用戶輸入過的 Web 地址和表單,也禁止 IE 自動記憶表單中的用戶名和口令信息設(shè)置每個連接的最大請求數(shù),修改 Mukeepa; ivecquests,如果同時請求數(shù)達(dá)到閾值就不再響應(yīng)新的請求,從而保證了系統(tǒng)資源不會被某個鏈接大量占用為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別,用戶可以將各個不同的網(wǎng)站劃分到 Internet、本地 Internet、受信任的站點、受限制的站點等不同安全區(qū)域中,以采取不同的安全訪問策略

11. 為達(dá)到預(yù)期的攻擊目的,惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法,下面理解錯誤的是（）

隱藏惡意代碼進程,即將惡意代碼進程隱藏起來,或者改名和使用系統(tǒng)進程名,以更好的躲避檢測,迷惑用戶和安全檢測人員隱藏惡意代碼的網(wǎng)絡(luò)行為,復(fù)用通用的網(wǎng)絡(luò)端口,以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控隱藏惡意代碼的源代碼,刪除或加密源代碼,僅留下加密后的二進制代碼,以躲避用戶和安全檢測人員隱藏惡意代碼的文件,通過隱藏文件、采用流文件技術(shù)或 HOOK 技術(shù)、以躲避系統(tǒng)文件檢査和清除

12. 某網(wǎng)站為了更好向用戶提供服務(wù),在新版本設(shè)計時提供了用戶快捷登陸功能,用戶如果使用上次的 IP 地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導(dǎo)致大量用戶賬號被盜用,關(guān)于以上問題的說法正確的是（）

網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼導(dǎo)致攻擊面增大,產(chǎn)生此安全問題網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致,使用了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此問題網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加,導(dǎo)致網(wǎng)絡(luò)攻擊面增大,產(chǎn)生此安全問網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素,設(shè)計了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此安全問題

13. 下面有關(guān)軟件安全問題的描述中,哪項不是由于軟件設(shè)計缺陷引起的（）

設(shè)計了用戶權(quán)限分級機制和最小特權(quán)原則,導(dǎo)致軟件在發(fā)布運行后,系統(tǒng)管理員不能査看系統(tǒng)審計信息設(shè)計了采用不加鹽（SALT）的 SHA-1 算法對用戶口令進行加密存儲,導(dǎo)致軟件在發(fā)布運行后,不同的用戶如使用了相同的口令會得到相同的加密結(jié)果,從而可以假冒其他用戶登錄設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)設(shè)計了采用自行設(shè)計的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行保護,導(dǎo)致軟件在發(fā)布運行后,被攻擊對手截獲網(wǎng)絡(luò) 數(shù)據(jù)并破解后得到明文

14. 小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后,對于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是（）

信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實施,因為這些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實際的或潛在的問題后,制定的能共同的和重復(fù)使用的規(guī)則信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù),因為這是國家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想信息安全管理體系應(yīng)強調(diào)全過程和動態(tài)控制的思想,因為安全問題是動態(tài)的,系統(tǒng)所處的安全環(huán)境也不會一成不變的,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點,因為要對信息安全管理設(shè)計的方方面面實施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低

15. 殘余風(fēng)險是風(fēng)險管理中的一個重要概念。在信息安全風(fēng)險管理中,關(guān)于殘余風(fēng)險描述錯誤的是（）

殘余風(fēng)險是采取了安全措施后,仍然可能存在的風(fēng)險:一般來說,是在綜合考慮了安全成本與效益后不去控制的風(fēng)險殘余風(fēng)險應(yīng)受到密切監(jiān)視,它會隨著時間的推移而發(fā)生變化,可能會在將來誘發(fā)新的安全事件實施風(fēng)險處理時,應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風(fēng)險的存在和可能造成的后果信息安全風(fēng)險處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險,以最小殘余風(fēng)險值作為風(fēng)險管理效果評估指標(biāo)

16. 王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時,發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn):資產(chǎn) A1 和資產(chǎn) A2 其中資產(chǎn) A1 面臨兩個主要威脅,威脅 T1 和威脅 T2 而資產(chǎn) A2 面臨個主要威脅, 威脅『39 威脅 T1 可以利用的資產(chǎn) A1 存在的兩個脆弱性;脆弱性 V 和脆弱性 V2 威脅 T2 可以利用的資產(chǎn) A1 存在的三個脆弱性,脆弱性 V3、脆弱性 V4 和脆弱性 V5 威脅 T3 可以利用的資產(chǎn) A2 存在的兩個脆弱性; 脆弱性 Vδ和脆弱性 V7 根據(jù)上述條件,請問:使用相乘法時,應(yīng)該為資產(chǎn) A1 計算幾個風(fēng)險值（）

2356

17. 2003 年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個文件,從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件（）

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27 號）《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》（國令[2008]54 號）《國家信息安全戰(zhàn)略報告》（國信[2005]2 號）《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012123 號）

18. 在信息安全保障工作中,人オ是非常重要的因素,近年來,我國一直高度重視我國信息安全人オ隊伍的培養(yǎng)和建設(shè)。在以下關(guān)于我國關(guān)于人オ培養(yǎng)工作的描述中,錯誤的是（）

在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》仲辦發(fā)[2003]27 號）中,針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快新鮮全人才培養(yǎng),增強全民信息安全意識”的指導(dǎo)精神2015 年,為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),經(jīng)報國務(wù)院學(xué)位委員會批準(zhǔn),國務(wù)院學(xué)位委員會、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科,這對于我國網(wǎng)絡(luò)信息安全人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)起到積極的推動作用經(jīng)過十余年的發(fā)展,我國信息安全人オ培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多, 基本能同社會實際需求相匹配;同時,高校信息安全專業(yè)畢業(yè)人オ的綜合能力要求高、知識更全面,因而社會化培養(yǎng)應(yīng)重點放在非安全專業(yè)人才培養(yǎng)上除正規(guī)大學(xué)教育外,我國信息安全人オ非學(xué)歷教育已基本形成了以各種認(rèn)證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系,包括“注冊信息安全專業(yè)人員（CISP）”資質(zhì)認(rèn)證和一些大型企業(yè)的信息安全資質(zhì)認(rèn)證

19. 從系統(tǒng)工程的角度來處理信息安全問題,以下說法錯誤的是: （）

系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險,建立一組平衡的安全需求,融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋,證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求,或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是一種衡量安全工程實踐能力的方法,是一種使用面向開發(fā)的方法系統(tǒng)安全工程能力成熟度模型（SSE-CMD 是在原有能力成熟度模型（CM 的基礎(chǔ)上。通過對安全工作過程進行管理的途徑,將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進學(xué)科

20. 在使用系統(tǒng)安全工程-能力成熟度模型（）對一個組織的安全工程能力成熟度進行測量時,有關(guān) 測量結(jié)果,錯誤的理解是（）

如果該組織在執(zhí)行某個特定的過程區(qū)域時具備某一個特定級別的部分公共特征時,則這個組織在這個過程區(qū)域的能力成熟度未達(dá)到此級如果該組織某個過程區(qū)域（ Process Areas,PA）具備了“定義標(biāo)準(zhǔn)過程”、“執(zhí)行已定義的過程”兩個公共特征,則過程區(qū)域的能力成熟度級別達(dá)到 3 級“充分定義級”如果某個過程區(qū)域（ Process Areas,PA）包含 4 個基本實施（ Base Practices,BP）,執(zhí)行此 PA 時執(zhí)了 3 個 BP,則此過程區(qū)域的能力成熟度級別為 0組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上

21. 我國信息安全保障工作先后經(jīng)歷了啟動、逐步展開和積極推進,以及深化落實三個階段,我國信息安全保障各階段說法不正確的是（）

2001 年,國家信息化領(lǐng)導(dǎo)小組重組,網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立,我國信息安全保障工作正式啟動2003 年 7 月,國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強信息安全保障工作的意見》（中辦發(fā) 27 號文件）, 明確了“積極防御、綜合防范”的國家信息安全保障工作方針2003 年,中辦發(fā) 27 號文件的發(fā)布標(biāo)志著我國信息安全保障進入深化落實階段在深化落實階段,信息安全法律法規(guī)、標(biāo)準(zhǔn)化,信息安全基礎(chǔ)設(shè)施建設(shè),以及信息安全等級保護和風(fēng)險評估取得了新進展

22. 我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面,以下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是（）

健全國家信息安全組織與管理體制機制,加強信息安全工作的組織保障建設(shè)信息安全基礎(chǔ)設(shè)施,提供國家信息安全保障能力支撐建立信息安全技術(shù)體系,實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新建立信息安全人才培養(yǎng)體系,加快信息安全科學(xué)建設(shè)和信息安全人才培養(yǎng)

23. 某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進行升級改造,以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素（）

信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國家以及金融行業(yè)安全標(biāo)信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險該銀行整體安全策略

24. 信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn),從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)提供商以及人員進行測試和評估,以下關(guān)于信息安全測評說法不正確的是（）

信息產(chǎn)品安全評估是測評機構(gòu)對產(chǎn)品的安全性做出的獨立評價,增強用戶對已評估產(chǎn)品安全的信任目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類型信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件可能造成的危害程度,提出有針對性的安全防護策略和整改措施

25. 在設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的（）

要充分切合信息安全需求并且實際可行要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險處置要求的前提下,盡量控制成本要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術(shù)投入保值要求要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙

26. 某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略,針對每個用戶指明能夠訪問的資源,對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種: （）

強制訪問控制:BLP BIBA CLARK-WILSON CHINESE-WALL基于角色的訪問控制:RBAC自主訪問控制：ACL CL基于任務(wù)的訪問控制

27. 以下場景描述了基于角色的訪問控制模型（）F 根據(jù)組織的業(yè)務(wù)要求或管理要求,在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負(fù)責(zé)將權(quán)限（不同類別和級別的）分別賦予承擔(dān) 不同工作職責(zé)的用戶。關(guān)于 RBAC 模型,下列說法錯誤的是（）

當(dāng)用戶請求訪問某資源時,如果其操作權(quán)限不再用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi),訪問請求將被拒絕業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工,可對應(yīng) RBAC 模型中的角色通過角色,可實現(xiàn)對信息資源訪問的控制RBAC 模型不能實現(xiàn)多級安全中的訪問控制

28. 傳輸控制協(xié)議（）是傳輸層協(xié)議,以下關(guān)于 TCP 協(xié)議的說法,哪個是正確的? （）

相比傳輸層的另外一個協(xié)議 UDP,TCP 既提供傳輸可靠性,還同時具有更高的效率,因此具有廣泛的用途TCP 協(xié)議包頭中包含了源 IP 地址和目的 IP 地址,因此 TCP 協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機TCP 協(xié)議具有流量控制、數(shù)據(jù)校驗、超時重發(fā)、接收確認(rèn)等機制,因此 TCP 協(xié)議能完全替代 IP 協(xié)議TCP 協(xié)議雖然高可靠,但是相比 UDP 協(xié)議機制過于復(fù)雜,傳輸效率要比 UDP 低

29. 以下關(guān)于 UDP 協(xié)議的說法,哪個是錯誤的? （）

UDP 具有簡單高效的特點,常被攻擊者用來實施流量型拒絕服務(wù)攻擊UDP 協(xié)議包頭中包含了源端口號和目的端口號,因此 UDP 可通過端口號將數(shù)據(jù)包送達(dá)正確的程序相比 TCP 協(xié)議,UDP 協(xié)議的系統(tǒng)開銷更小,因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)UDP 協(xié)議不僅具有流量控制,超時重發(fā)機制,還能提供加密等服務(wù),因此常用來傳輸如視頻會話這類需要隱私保護的數(shù)據(jù)

30. Windows 文件系統(tǒng)權(quán)限管理訪問控制列表（）機制,以下哪個說法是錯誤的（）

安裝 Windows 系統(tǒng)時要確保文件格式使用的是 NTFS,因為 Windows 的 ACL 機制需要 NTFS 文件格式的支持由于 Windows 操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限,為了使用上的便利, Windows 上的 ACL 存在默認(rèn)設(shè)置安全性不高的問題Windows的 ACL機制中,文件和文件夾的權(quán)限是與主體進行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中由于 ACL 具有很好的靈活性,在實際使用中可以為每一個文件設(shè)定獨立用戶的權(quán)限

31. 加密文件系統(tǒng)（）是 Windows 操作系統(tǒng)的一個組件。以下說法錯誤的是（）

EFS 采用加密算法實現(xiàn)透明的文件加密和解密,任何不擁有合適密鑰的個人或者程序都不能加密數(shù)據(jù)EFS 以公鑰加密為基礎(chǔ),并利用了 Windows 系統(tǒng)中的 Cryptoapi 體系結(jié)構(gòu)EFS 加密系統(tǒng)適用于 NTFS 文件系統(tǒng)和 FAT32 文件系統(tǒng)（ Windows7 環(huán)境下）EFS 加密過程對用戶透明,ES 加密的用戶驗證過程是在登錄 Windows 時進行

32. 數(shù)據(jù)庫的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是: （）

最小特權(quán)原則,是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下,分配最小的特權(quán),使得這些信息恰好能夠完成用戶的工作最大共享策略,在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下,最大程度也共享數(shù)據(jù)庫中的信息粒度最小策略,將數(shù)據(jù)庫中的數(shù)據(jù)項進行劃分,粒度越小,安全級別越高,在實際中需要選擇最小粒度按內(nèi)容存取控制策略,不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分

33. 下面對信息安全漏洞的理解中,錯誤的是（）

討論漏洞應(yīng)該從生命周期的角度出發(fā),信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段,由于設(shè)計、開發(fā)等相關(guān) 人員無意中產(chǎn)生的缺陷所造成的信息安全漏洞如果被惡意攻擊者成功利用,可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害,甚至帶來很大的經(jīng)濟損失由于人類思維能力、計算機計算能力的局限性等因素,所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的

34. 某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性,在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論,在下面的發(fā)言觀點中,正確的是（）

軟件安全開發(fā)生命周期較長、階段較多,而其中最重要的是要在軟件的編碼階段做好安全措施就可以解決 90%以上的安全問題應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施,這樣可以比在軟件發(fā)布以后進行漏洞修復(fù)所花的代價少得多和傳統(tǒng)的軟件開發(fā)階段相比,微軟提出的安全開發(fā)生命周期（ Security Development Lifecycle,SDL）的最大特點是增加了一個專門的安全編碼階段軟件的安全測試也很重要,考慮到程序員的專業(yè)性,如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試,就沒有必要在組織第三方進行安全性測試

35. 某網(wǎng)站為了開發(fā)的便利,使用 SA 連接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在 SQL 注入漏洞,導(dǎo)致攻擊者利用內(nèi)置存儲過程 cmd shell 刪除了系統(tǒng)中一個重要文件,在進行問題分析時,作為安全專家,你應(yīng)該指出該網(wǎng) 站設(shè)計違反了以下哪項原則: （）

權(quán)限分離原貝最小特權(quán)原則保護最薄弱環(huán)節(jié)的原則縱深防御的原則

36. 以下哪項制度或標(biāo)準(zhǔn)被作為我國的一項基礎(chǔ)制度加以推行,并且有一定強制性,其實施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（）

信息安全管理體系（ISMS信息安全等級保護NIST SP800 系列ISO270000 系列

37. 小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生,大四上學(xué)期開始找工作,期望謀求一份技術(shù)管理的職位一次面試中,某公司的技術(shù)經(jīng)理讓小王讀一讀信息安全風(fēng)險管理中的背景建立”的基本概念與認(rèn)識。小明的主要觀點包括:（1）背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象,以及對象的特性和安全要求, 完成信息安全風(fēng)險管理項目的規(guī)劃和準(zhǔn)備（2）背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行,雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果;（3）背景建立包括:風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析;（4）背景建立的階段性成果包括:風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的論點中錯誤的是哪項: （）

第一個觀點,背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象第二個觀點,背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)第三個觀點,背景建立中的信息系統(tǒng)調(diào)査與信息系統(tǒng)分析是同一件事的兩個不同名字第四個觀點,背景建立的階段性成果中不包括有風(fēng)險管理計劃書

38. 關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是（）

資產(chǎn)識別是指對需要保護的資產(chǎn)和系統(tǒng)等進行識別和分類威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性脆弱性識別以資產(chǎn)為核心,針對每一項需要保護的資產(chǎn),識別可能被威脅利用的弱點,并對脆弱性的嚴(yán)重程度進行評估確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng) 用平臺

39. 某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后,認(rèn)識到信息安全風(fēng)險評估分為自評估和檢査評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo),其中描述錯誤的是（）

檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實施完整的風(fēng)險評估過程;也可在自評估的基礎(chǔ)上,對關(guān)鍵環(huán)節(jié)或重點內(nèi) 容實施抽樣評估檢査評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點是針對存在的問題進行檢查和評測檢査評估可以由上級管理部門組織,并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施檢査評估是通過行政手段加強信息安全管理的重要措施,具有強制性的特點

40. 在某次信息安全應(yīng)急響應(yīng)過程中,小王正在實施如下措施:消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質(zhì)等。請問按照 PDCER-應(yīng)急響應(yīng) 方法這些工作應(yīng)處于以下哪個階段（）

準(zhǔn)備階段檢測階段遏制階段根除階段

41. 某政府機構(gòu)擬建設(shè)一機房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,項目分二期,一期目標(biāo)為年底前實現(xiàn)系統(tǒng)上線運營;二期目標(biāo)為次年上半年完成運行系統(tǒng)風(fēng)險的處理;招標(biāo)文件經(jīng)管理層審批后發(fā)布。就此工程項目而言,下列選項正確的是（）

此項目將項目目標(biāo)分解為系統(tǒng)上線運營和運行系統(tǒng)風(fēng)險處理分期實施,具有合理性和可行性在工程安全建理的參與下,確保了此招標(biāo)文件的合理性工程規(guī)劃不符合信息安全工程的基本原則招標(biāo)文件經(jīng)管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃

42. 系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時間維、邏輯維和知識維組成。有關(guān)此模型,錯誤的是（）

霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架時間維表示系統(tǒng)工程活動從開始到結(jié)束按時間順序排列的全過程邏輯維的七個步驟與時間維的七個階段嚴(yán)格對應(yīng),即時間維第一階段應(yīng)執(zhí)行邏輯維第一步驟的活動,時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動知識維列舉可能需要運用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會科學(xué)和藝術(shù)等各種知識和技能

43. 信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的總要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選項最合適的是: （）

通用布纜系統(tǒng)工程電子設(shè)備機房系統(tǒng)工程計算機網(wǎng)絡(luò)系統(tǒng)工程以上都適用

44. 以下關(guān)于信息安全工程說法正確的是（）

信息化建設(shè)中系統(tǒng)功能的實現(xiàn)是最重要的信息化建設(shè)可以先實施系統(tǒng),而后對系統(tǒng)進行安全加固信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全,在建設(shè)階段要同步實施信息安全建設(shè)信息化建設(shè)沒有必要涉及信息安全建設(shè)

45. 有關(guān)系統(tǒng)安全工程-能力成熟度模型（）中的通用實施（）錯誤的理解是（）

GP 是涉及過程的管理、測量和制度化方面的活動GP 適用于域維中部分過程區(qū)域（ Process Areas,PA）的活動而非所有 PA 的活動在工程師實施時,GP 應(yīng)該作為基本實施（ Basepractices,BP）的一部分加以執(zhí)行在評估時,GP 用于判定工程組織執(zhí)行某個 PA 的能力

46. 信息系統(tǒng)建設(shè)完成后,（）的信息系統(tǒng)的運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機構(gòu)進行測評合格后方可投入使用（）

二級以上三級以上四級以上五級以上

47. 為了進一步提供信息安全的保障能力和防護水平,保障和促進信息化建設(shè)的健康發(fā)展,公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004166 號）,對等級保護工作的開展提供宏觀指導(dǎo)和約束,明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃,以及各部門工作職責(zé)分工等。關(guān)于該文件,下面理解正確的是（）

該文件是一個由部委發(fā)布的政策性文件,不屬于法律文件該文件適用于 2004 年的等級保護工作,其內(nèi)容不能約束到 2005 年及之后的工作該文件是一個總體性指導(dǎo)文件,規(guī)定所有信息系統(tǒng)都要納入等級保護定級范圍D.該文件適用范圍為發(fā)文的這四個部門,不適用于其他部門和企業(yè)等單位

48. 在可信計算機系統(tǒng)評估準(zhǔn)則（）中,下列哪一項是滿足強制保護要求的最低級別? （）

C2ClB2B1

49. 關(guān)于標(biāo)準(zhǔn),下面哪項理解是錯誤的（）

標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)商一直制定并由公認(rèn)機構(gòu)批準(zhǔn),共同重復(fù)使用的種規(guī)范性文件。標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果國際標(biāo)準(zhǔn)是由國家標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn),當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā) 生沖突時,應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)。同樣是強制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時,應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)行業(yè)標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定,并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān) 行政主管部門備案,在公布國家標(biāo)準(zhǔn)之后,該地方標(biāo)準(zhǔn)即應(yīng)廢止

50. 20054F, RFC4301 （Request for Comments4301 Security Architecture for theInternet Protocol）發(fā)布,用以取代原先的 RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了 Psec 系統(tǒng)基礎(chǔ)架構(gòu),描述如何在 IP 層（IPv4IPv6）位流量提供安全業(yè)務(wù)。請問此類 RFC 系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的（）

國際標(biāo)準(zhǔn)化組織（ International Organization for Standardization,IS0）國際電工委員會（ Int erna tio nal Elec trot echnical Commission,IEC）國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ ITU Telecommunication StandardizationSector, ITU-TInternet 工程任務(wù)組（ Internet Engineering Task Force,IETF）

51. 以下說法正確的是（）

驗收測試是同承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收軟件測試的目的是為了驗證軟件功能是否正確監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審査提交的測試計劃,并提出審查意見軟件測試計劃開始于軟件設(shè)計階段,完成于軟件開發(fā)階段

52. 在某網(wǎng)絡(luò)機房建設(shè)項目中,在施工前,以下哪一項不屬于監(jiān)理需要審核的內(nèi)容:（）

審核實施投資計劃審核實施進度計劃審核工程實施人員企業(yè)資質(zhì)

53. 以下系統(tǒng)工程說法錯誤的是（）

系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)系統(tǒng)工程是一種對所有系統(tǒng)都具有普片意義的科學(xué)方法系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法系統(tǒng)工程是一種方法論

54. “統(tǒng)一威脅管理”是將防病毒,入侵檢測和防火墻等安全需求統(tǒng)一管理,目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備,這里“統(tǒng)一威脅管理”'常常被簡稱為（）

UTMFWIDSSAC

55. 某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù),動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為,會及時響應(yīng)并通知防火墻實時阻斷攻擊源,從而進一步提高了系統(tǒng)的抗攻擊能力,更有效地保護了網(wǎng)絡(luò)資源,提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能（）

檢測并分析用戶和系統(tǒng)的活動核查系統(tǒng)的配置漏洞,評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性防止 IP 地址欺騙識別違反安全策略的用戶活動

56. Gary Mcgraw 博士及其合作者提出軟件安全模型 BSI，該模型應(yīng)由三根支柱來支撐,這三個支柱是（）

源代碼審核、風(fēng)險分析和滲透測試應(yīng)用風(fēng)險管理、安全接觸點和安全知識威脅建模、滲透測試和軟件安全接觸點威脅建模、源代碼審核和模糊測試

57. 國務(wù)院信息化工作辦公室于 2004 年 7 月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》, 該文件中指出了我國在災(zāi)備工作原則,下面哪項不屬于該工作原則（）

統(tǒng)籌規(guī)劃分組建設(shè)資源共享平戰(zhàn)結(jié)合

58. Windows 系統(tǒng)中,安全標(biāo)識符（）是標(biāo)識用戶、組和計算機賬戶的唯一編碼,在操作系統(tǒng)內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時,操作系統(tǒng)會把 SID 和權(quán)限寫入對象的 ACI 中, 小劉在學(xué)習(xí)了 SID 的組成后,為了現(xiàn)固所學(xué)知識,在自己計算機的 Windows 操作系統(tǒng)中使 whoami/ users 操作査看當(dāng)前用戶的 SID。得到的 SlID 為 S-1-5-21-1534169462-1651380828-111620651-500,下列選項中, 關(guān)于此 SID 的理解錯誤的是（）

前三位 S-1-5 表示此 SID 是由 Windows NT 頒發(fā)的第一個子頒發(fā)機構(gòu)是 21Windows NTE 的 SID 的三個子頒發(fā)機構(gòu)是 1534169462、1651380828、11620651此 SID 以 500 結(jié)尾,表示內(nèi)置 guest 賬戶

59. letc/passwd 文件是 Unxlinux 安全的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶 ID（）、默認(rèn)的用戶分組 ID（）、用戶信息、用戶登錄目錄以及登錄后使用的 Shell 程序。某黑客設(shè)法竊取了銀行賬戶管理系統(tǒng)的 passwd 文件后,發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都顯示為 x。下列選項中,對此現(xiàn)象的解釋正確的是（）

黑客竊取的 passwd 文件是假的用戶的登錄口令經(jīng)過不可逆的加密算法加密結(jié)果為'x加密口令被轉(zhuǎn)移到了另一個文件里這些賬戶都被禁用了

60. Linux 系統(tǒng)文件中訪問權(quán)限屬性通過 9 個字符來表示,分別表示文件屬主、文件所屬組用戶和其他用戶對文件的讀（）、寫（）及執(zhí)行（）的權(quán)限。文件 usr/bin/ passwd 的屬性信息如下圖所示,在文件權(quán)限中還出現(xiàn)了一位 S,下列選項中對這一位 s 的理解正確的是（） - r-s --x - x 1 root root10704Apr2011: 55/usr/bin/passwd （）

文件權(quán)限出現(xiàn)了錯誤,出現(xiàn) s 的位應(yīng)該改為 xS 表示 sticky.位,設(shè)置 sticky 位后,就算用戶對目錄具有寫權(quán)限,也不能刪除該文件S 表示 SGID 位,文件在執(zhí)行階段具有文件所在組的權(quán)限S 表示 SUID 位,文件在執(zhí)行階段具有文件所有者的權(quán)限

61. Linux 系統(tǒng)的安全設(shè)置主要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險服務(wù)、遠(yuǎn)程登錄安全、用戶鑒別安全、審計策略、保護 root 賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共 10 個面來完成。小張在學(xué)習(xí)了 Linux 系統(tǒng)安全的相關(guān)知識后,嘗試為自己計算機上的 Linux 系統(tǒng)進行安全配置。下列選項是他的部分操作,其中不合理的是（）

編輯文件/etc/ passwd.檢査文件中用戶 ID,禁用所有 ID=0 的用戶編輯文件/etc/ssh/ sshd config,將 Permitrootlogin 設(shè)置為 no編輯文件/etc/pam,d/ system-auth,設(shè)置 auth required pam tal1y.so Oner=faildeny=unlock time=300編輯文件/etc/ profile,設(shè)置 TMOUT=600

62. 某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點項目。總體目標(biāo)就是用交換式水平布線,由大型的交換機和路由器連通幾個主要的工作區(qū)域,在各個區(qū)域建立通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心。其中對交換機和路由器進行配置是網(wǎng)絡(luò)安全中的一,和路由器的安全配置,操作錯誤的是（）

保持當(dāng)前版本的操作系統(tǒng),不定期更新交換機操作系統(tǒng)補丁控制交換機的物理訪問端口,關(guān)閉空閑的物理端口帶外管理交換機,如果不能實現(xiàn)的話,就可以利用單獨的 VLAN 號進行帶內(nèi)管理安全配置必要的網(wǎng)絡(luò)服務(wù),關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)

63. 隨著互聯(lián)網(wǎng)”概念的普及,越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念,某物業(yè)為提供高檔次的服務(wù),防止網(wǎng)絡(luò)主線路出現(xiàn)故障,保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用,穩(wěn)定、高效,計劃通過網(wǎng)絡(luò)冗余配置的是（）

接入互聯(lián)網(wǎng)時,同時采用不同電信運營商線路,相互備份且互不影響。核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機設(shè)備。規(guī)劃網(wǎng)絡(luò) IP 地址,制定網(wǎng)絡(luò) IP 地址分配策略保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具務(wù)冗余空間,滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求

64. 訪問控制是對用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進行法令一種機制。在 Windows2000 以后的操作系統(tǒng)版本中,訪問控制是一種雙重機制,它對用戶的授權(quán)基于用戶權(quán)限和對象許可,通常使用 ACL、訪問令牌和授權(quán)管理器來實現(xiàn)訪問控制功能。以下選項中對 windows 操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）

ACL 只能由管理員進行管理ACL 是對象安全描述的基本組成部分,它包括有權(quán)訪問對象的用戶和級的 SID訪問令牌存儲著用戶的 SID,組信息和分配給用戶的權(quán)限通過授權(quán)管理器,可以實現(xiàn)基于角色的訪問控制

65. 社會工程學(xué)定位在計算機信息安全工作鏈的一個最脆弱的環(huán)節(jié),即人”這個環(huán)節(jié)上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司,其中一名自稱是 CSO 雜志做安全調(diào)査,半小時內(nèi),攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員,在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后,雇員開始透露其他信息,包括:操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵件及測覽器。為對抗此類信息收集和分析,公司需要做的是（）

通過信息安全培訓(xùn),使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險,發(fā)布信息采取最小化原則減少系統(tǒng)對外服務(wù)的端口數(shù)量,修改服務(wù)旗標(biāo)關(guān)閉不必要的服務(wù),部署防火墻、IDS 等措施系統(tǒng)安全管理員使用漏洞掃描軟件對系統(tǒng)進行安全審計

66. 2016 年 9 月,一位安全研究人員在 Google Cloud IP 上通過掃描,發(fā)現(xiàn)了完整的美國路易斯安邦州 290 萬選民數(shù)據(jù)庫。這套數(shù)據(jù)庫中囊括了諸如完整姓名、電子郵箱地址、性別與種族、選民狀態(tài)、注冊日期與編號、正黨代名和密碼,以防止攻擊者利用以上信息進行（）攻擊。（）

默認(rèn)口令字典暴力XSS

67. 基于 TCP 的主機在進行一次 TcP 連接時簡要進行三次握手,請求通信的主機 A 要與另一臺主機 B 建立連接時,A 需要先發(fā)一個 SYN 數(shù)據(jù)包向 B 主機提出連接請示,B 收到后,回復(fù)一個 ACK/SYN 確認(rèn)請示給 A 主機,然后 A 再次回應(yīng) ACK 數(shù)據(jù)包,確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的 SYN 包給目標(biāo)主機, 使目標(biāo)主機發(fā)送的 ACSYN 包得不到確認(rèn)。一般情況下,目標(biāo)主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發(fā)送到目標(biāo)主機時,目標(biāo)主機上就會有大量的連接請示等待確認(rèn),當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機的資源限制時。正常的連接請示就不能被目標(biāo)主機接受,這種 Syn food 攻擊屬于（）

拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊SQL 注入攻擊

68. 小王是某大學(xué)計算機科學(xué)與技術(shù)專業(yè)的學(xué)生,最近因為生病缺席了幾堂信息安全課程,這幾次課的內(nèi)容是自主訪問控制與強制訪問控制,為了趕上課程進度,他向同班的小李借來課堂筆記,進行自學(xué)。而小李在聽課時由于經(jīng)常走神,所以筆記中會出現(xiàn)一些錯誤。下列選項是小李筆記中關(guān)于強制訪問控制模型的內(nèi)容,其中出現(xiàn)錯誤的選項是（）

強制訪問控制是指主體和客體都有一個固定的安全屬性,系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體安全屬性是強制性的規(guī)定,它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定,不能隨意修改系統(tǒng)通過比較客體玫主體的安全屬性來決定主體是否可以訪問客體它是一種對單個用戶執(zhí)行訪問控制的過程和措施

69. 訪問控制的實施一般包括兩個步驟首先要鑒別主體的合法身份,根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)限。在此過涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中,標(biāo)有數(shù)字的方框代表了主體、客體、訪問控制實施部件和訪問控制決策部件。下列選項中,標(biāo)有數(shù)字 1、2、3、4 的方框分別對應(yīng)的實體或部件正確的是（）

主體、訪問控別決策、客體、訪問控制實施主體、訪問控制實施,客體、訪問控制決策客體、訪問控制決策、主體、訪問控制實施客體、訪問控制實施、主體、訪問控制決策

70. 在信息系統(tǒng)中,訪問控制是重要的安全功能之一,它的任務(wù)是在用）系統(tǒng)資源提供最大限度共享的基礎(chǔ)上, 對用戶的訪問權(quán)限進行管理,防止對信息的非授權(quán)算改和濫用。訪問控制模型將實體劃分為主體和客體兩類, 通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項中,對主體、客體和訪問權(quán)限的描述中錯誤的是（）

對文件進行操作的用戶是一種主體主體可以接收客體的信息和數(shù)也可能改變客體相關(guān)的信息訪問權(quán)限是指主體對客體所允許的操作對目錄的訪問權(quán)限可分為讀、寫

71. 根據(jù) 3 ell-lapadua 模型安全策略,下圖中寫和讀操作正確的是（）

可寫可讀可讀不可寫可寫不可讀不可讀不可寫

72. 小李在上網(wǎng)時不小心點開了假冒某銀行的釣魚網(wǎng)站,誤輸入了銀行賬號與密碼損失上千元,他的操作如右圖所示,他所受到的攻擊是（）

ARP 欺騙DNS 欺騙IP 欺騙TCP 會話

73. 隨著互聯(lián)網(wǎng)+概念的普及,越來越多的新興住宅小區(qū)引入了智能樓宇”的理念,某物業(yè)為提供高檔次的服務(wù),防止網(wǎng)絡(luò)主線路出現(xiàn)故障,保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用、穩(wěn)定、高效,計劃通過網(wǎng)絡(luò)冗余配置確保”智能樓宇”系統(tǒng)的正常運轉(zhuǎn),下列選項中不屬于冗余配置的是（）

接入互聯(lián)網(wǎng)時,同時采用不同電信運葦商線路,相互備份且互不影響核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機熱備規(guī)劃網(wǎng)絡(luò) IP 地址,制定網(wǎng)絡(luò) IP 地址分配策略保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要

74. 20 世紀(jì) 20 年代,德國發(fā)明家亞瑟?謝爾比鳥斯（）和理査德,里特（ Richard Ritter 發(fā)明了 ENIGMA 密碼機,看密碼學(xué)發(fā)展歷史階段劃分,這個階段屬于（）

古典密碼階段;這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼,而不是推理和證明.常用的密碼運算方法包括替代方法和置換方法。近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算,形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（ the communication theory Of secret systems）為理論基礎(chǔ),開始了對密碼學(xué)的科學(xué)探索。現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志,引發(fā)了密碼學(xué)歷史上的革命性的變革,同時,眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合

75. 某軟件在設(shè)計時,有三種用戶訪問模式,分別是僅管理員可訪問,所有合法用戶可訪問和允許匿名訪問請問采用這三種訪問模式時,攻擊面最高的是（）

僅管理員可訪問所有合法用戶可訪問允許匿名訪問三種方式都一樣

76. 某單位開發(fā)了個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線前,項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測試的優(yōu)勢?（）

滲透測試以攻擊者的思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯等運行維護所產(chǎn)生的漏洞滲透測試是用軟件代替人工的一種測試方法,因此測試效更高滲透測試使用人工進行測試,不依賴軟件,因此測試更準(zhǔn)洞更多酒滲透測試中必須要査滲透測試必須査看看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多

77. 國家科學(xué)技術(shù)秘密的密級分為絕密級、機密級、密級,以下娜塊屬于絕密級的描述? （）

處于國際先進水平、并且有軍事用途或者對經(jīng)濟建設(shè)具有重要影響的能夠局部及應(yīng)國家防制和治安實力的我國獨有不要自己條件因素制約.能體現(xiàn)民族特色的精華,并且社會效益或者經(jīng)濟效益顯著的傳統(tǒng)工藝國際領(lǐng)先.并且對國防建設(shè)或者經(jīng)濟建設(shè)具有特別重大影響的

78. GBT18336 的最低級別是（）

ELA1ELA3ELA5ELA7

79. 鑒別是用戶進入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)時,和密碼就是對用戶身份進行鑒別。鑒別通過,即可以實現(xiàn)兩的連接。例如,一個用戶被服務(wù)器鑒別通過后,則被服務(wù)器用戶,オ可以進行后續(xù)訪問。鑒別是對信息的一項安全屬性該屬性屬于下列選項中的（）

保密性可用性真實性完整性

80. 某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設(shè)計階段分析系統(tǒng)運行過程中可能存在的攻擊,請問以下哪一項工作不能降低該系統(tǒng)的受攻擊面（）

分析系統(tǒng)功能的重要性分析從哪里可以訪問這些功能采取合理措施降低特權(quán)分析系統(tǒng)應(yīng)滿足的性能要求

81. 小李和小劉需要為公司新建的信息管理系統(tǒng)設(shè)計訪問控制方法,他們在討論中針對采用自主訪問控制還是強制訪問控制產(chǎn)生了分歧小李認(rèn)為應(yīng)該采用自主訪問控制的方法,他的觀點主要有:（1）自主訪問控制可為用戶提供靈活、可調(diào)整的安全策略,具有較好的易用性和可擴展性;（2）自主訪問控制可以抵御木馬程序的攻擊。小劉認(rèn)為應(yīng)該采用強制訪問控制的方法,他的觀點主要有:（3）強制訪問控制中,用戶不能通過運行程序來改變他自己及任何客體的安全屬性,因為安全性較高;（4）強制訪問控制能夠保護敏感信息。請問以上四種觀點中,正確的是（）

觀點（1）觀點（2）觀點（3）觀點（4）

82. 在國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第部分:簡介和一般模型》（GBT202741-2006）中描述了信息系統(tǒng)安全保障模型,下面對這個模型理解錯誤的是（）

該模型強調(diào)保護信息系統(tǒng)所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性等安全特征不被破壞,從而達(dá)到實現(xiàn)組織機構(gòu)使命的目的該模型是一個強調(diào)持續(xù)發(fā)的動態(tài)安全模型即信息系統(tǒng)安全保障應(yīng)該貫穿于整個信息系統(tǒng)生命周期的全過程該模型強調(diào)綜合保障的觀念,即信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障來實施和實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)模型將風(fēng)險和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心,基干 IATF 模型改進,在其基礎(chǔ)上增加了人員要素,強調(diào)信息安全的自主性

83. 下列選項中,對圖中出現(xiàn)的錯誤描述正確的是（）

步驟 1 和 2 發(fā)生錯誤,步驟 3 和 4 發(fā)生錯誤步驟 4 和 5 發(fā)生錯誤步驟 5 和 6 發(fā)生錯誤

84. TCP/IP 協(xié) X nternetilr=議是 einternet 構(gòu)成的基礎(chǔ), TCP/IP 通常被認(rèn)為是一個 N 層協(xié)議,每層都使用它的下一層所提供的網(wǎng)絡(luò)服務(wù)來完成自己的功能,這里 N 應(yīng)等于（）

4567

85. Linux 系統(tǒng)的安全設(shè)置中,對文件的權(quán)限操作是一項關(guān)鍵操作。通過對文件權(quán)限的設(shè)置,能夠保障不同用戶的個人隱私和系統(tǒng)安全。文具 fib.c 的文件屬性信息如下圖所示,小張想要修改其文件權(quán)限,為文件屬主增加執(zhí)行權(quán)限,并刪除組外其他用戶的寫權(quán)限,那么以下操作中正確的是（）

#chmod u+x a-w fib. C#chmod ug+x, o-w fib#chmod 764 fib. cChmod 674 fib.C

86. 在工程實施階段,以下哪一項不屬于監(jiān)理機構(gòu)的監(jiān)理重點: （）

督促承建單位嚴(yán)格按照經(jīng)審批的實施方案進行施工審查承建單位施工人員的身份與資格部署工程實施人員安全管理措施督促承建單位嚴(yán)格遵守業(yè)主單位相關(guān)安全管理規(guī)

87. 風(fēng)險分析是風(fēng)險評估工作中的一個重要內(nèi)容,GB3T20984-2007 在資料性附錄中給出了一種矩陣法來計算信息安全風(fēng)險大小,其中風(fēng)險計算矩陣如下圖所示,請為途中括號空白處選擇合適的內(nèi)容（）

安全資產(chǎn)價值大小等級脆弱性嚴(yán)重程度等級安全風(fēng)險隱患嚴(yán)重等級安全事件造成損失大小

88. Ipsec（）協(xié)議標(biāo)準(zhǔn)的設(shè)計目標(biāo)是在 IPv4 和 Pv6 環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護 TCP/IP 通信免遭竊聽和改,保證數(shù)據(jù)的完整性和機密性下面選項中哪項描述是錯誤的（）

Ipsec 協(xié)議不支持使用數(shù)字證書I Psec 協(xié)議對于 IPv4 和 Pv6 網(wǎng)絡(luò)都是適用的II Psec 有兩種工作模式:傳輸模式和隧道模式Ipsec 協(xié)議包括封裝安全載荷（ESP）和鑒別頭（AH）兩種通信保護機制

89. 安全漏洞產(chǎn)生的原因不包括以下哪一點（）

軟件系統(tǒng)代碼的復(fù)雜性軟件系統(tǒng)市場出現(xiàn)的信息不對稱現(xiàn)象復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境攻擊者的惡意利用

90. 關(guān)于計算機取證描述不正確的是（）

計算機取證是使用先進的技術(shù)和工具,按照標(biāo)準(zhǔn)規(guī)程全面地檢査計算機系統(tǒng),以提取和保護有關(guān)計算機犯罪的相關(guān)證據(jù)的活動取證的目的包括:通過證據(jù)査找肇事者、通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害者損失程度及收集證據(jù)提供法律支持電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品。對于電子證據(jù),取證工作主要圍繞兩方面進行:證據(jù)的獲取和證據(jù)的保護計算機取證的過程可以分為準(zhǔn)備、保護、提取、分析和提交 5 個步驟

91. 某攻擊者想通過遠(yuǎn)程控制軟件潛伏在某監(jiān)控方的 Unix 系統(tǒng)的計算機中,如果攻擊者打算長時間地遠(yuǎn)程監(jiān)控某服務(wù)器上的存儲的敏感數(shù)據(jù),必須要能夠清除在監(jiān)控方計算機中存在的系統(tǒng)日志。否則當(dāng)監(jiān)控方査看己的系統(tǒng)日志的時候,就會發(fā)現(xiàn)被監(jiān)控以及訪問的痕跡。不屬于清除痕跡的方法是（）

竊取 root 權(quán)限修改 wtmp/ wtmpxutmpx 和 Q1 astro 三個主要日志文件采用干擾手段影響系統(tǒng)防火墻的審計功能保留攻擊時產(chǎn)生的臨時文件修改登錄日志,偽造成功的登錄日志,增加審計難度

92. 某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)通過公開招標(biāo)選擇 M 公司為承建單位并選擇了 H 監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作,目前各個應(yīng)用系統(tǒng)均已完成開發(fā) M 公司已經(jīng) 提交了驗收申請監(jiān)理公司需要對 A 公司提交的軟件配置文件進行審査在以下所提交的文檔中哪一項屬于開發(fā)類文檔（）

項目計劃質(zhì)量控制計劃評審報告需求說明書

93. 某公司中標(biāo)了某項軟件開發(fā)項目后,在公司內(nèi)部研討項目任務(wù)時,項目組認(rèn)為之前在 VPN 技術(shù)方面積累不夠,導(dǎo)致在該項目中難以及時完成 VPN 功能模塊,為解決該問題,公司高層決定接受該項目任務(wù),同時將該 VPN 功能模塊以合同形式委托另外一家安全公司完成,要求其在指定時間內(nèi)按照任務(wù)需求書完成工作, 否則承擔(dān)相應(yīng)責(zé)任。在該案例中公司高層采用哪種風(fēng)險處理方式（）

風(fēng)險降低風(fēng)險規(guī)避鳳險轉(zhuǎn)移風(fēng)險接受

94. 在工程實施階段,監(jiān)理機構(gòu)依據(jù)承建合同、安全設(shè)計方案、實施方案、實施記錄、國家或地方相關(guān)標(biāo) 準(zhǔn)和技術(shù)指導(dǎo)文件,對信息化工程進行安全檢査,以驗證項目是否實現(xiàn)了項目設(shè)計目標(biāo)和安全等級要求（）

功能性可用性保障性符合性

95. 規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估性能否取得成果的重要基礎(chǔ)。某單位在實施風(fēng)險評估時,形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可。在風(fēng)險評估實施的各個階段中,該《風(fēng)險評估方案》應(yīng)是如下（）中的輸出結(jié)果。（）

風(fēng)險評估準(zhǔn)備階段風(fēng)險要素識別階段風(fēng)險分析階段風(fēng)險結(jié)果判定階段

96. GPT18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護輪廓（）和安全目標(biāo)（）的評估準(zhǔn)則。提出了評估保證級（ evaluationassurance evel。 Eal）期評估保證級共分為（）個遞增的評估保證等級（）

4567

97. 一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如,在一個學(xué)校的教務(wù)系統(tǒng)中,教師能夠錄入學(xué)生的考試成績,學(xué)生只能査看自己的分?jǐn)?shù),而學(xué)校教務(wù)部門的管理人員能夠?qū)φn程信息、學(xué)生的選課信息等內(nèi)容進行修改。下列選項中,對訪問控制的作用的理解錯誤的是（）

經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)拒絕非法用戶的非授權(quán)訪問請求在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)進行管理防止對信息的非授權(quán)篡改和濫用

98. 目前,很多行業(yè)用戶在進行信息安全產(chǎn)品選項時,均要求產(chǎn)品高通過安全測評。關(guān)于信息安全產(chǎn)品測評的意義,下列說法中不正確的是:（）

有助于建立和實施信息安全產(chǎn)品的市場準(zhǔn)入制度對用戶采購信息安全產(chǎn)品,設(shè)計、建設(shè)、使用和管理安全的信息系統(tǒng)提供科學(xué)公正的專業(yè)指導(dǎo)對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)以及信息安全服務(wù)的組織提供嚴(yán)格的規(guī)范引導(dǎo)和質(zhì)量監(jiān)督打破市場壟斷,為信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的競爭環(huán)境

99. 下列選項中,哪個不是我國信息安全保障工作的主要內(nèi)容（）

加強信息安全標(biāo)準(zhǔn)化工作,積極米用“等同采用、修改采用.制定”等多種方式,盡快建立標(biāo)準(zhǔn)體系建立國家信息安全研究中心,加快建立國家急需的信息安全技術(shù)體系,實現(xiàn)國家信息安全自主可控目標(biāo)建設(shè)和完善信息安全基礎(chǔ)設(shè)施,提供國家信息安全保障能力支撐加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)

100. 規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ),某單位在實施風(fēng)險評估時, 形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中,該《待評估信息系統(tǒng)相關(guān) 設(shè)備及資產(chǎn)清單》應(yīng)是如下 0）中的輸出結(jié)果。（）

風(fēng)險評估準(zhǔn)備風(fēng)險要素識別風(fēng)險分析風(fēng)險結(jié)果判定

101. SO 27002（）是重要的信息安全管理標(biāo)準(zhǔn)之一,下圖是關(guān)于其演進變化示意圖,途中括號空白處應(yīng)填寫? （）

7799.1.3IS017799AS/NZS4630NST SP800-17

102. TCP/IP 協(xié)議族是為實現(xiàn)異構(gòu)網(wǎng)互聯(lián)推出的協(xié)議規(guī)范,具有較好的開放性, internet 是在 TCP/P 協(xié)議族的基礎(chǔ)上構(gòu)建的。但由于 TCP/P 協(xié)議族在設(shè)計初期過于關(guān)注其開放性和便利性,對安全性考慮較少,因此其中很多協(xié)議存在安全隱患,例如,攻擊者可以利用 TCP 協(xié)議的三次握手機制實現(xiàn) DS 攻擊,也可以通過猜測 TCP 會話中的序號來偽造數(shù)據(jù)包那么上述例子中的情況可能發(fā)生在（）

應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層

103. 關(guān)于源代碼審核,下列說法正確的是（）

源代碼市核往往需要大量的時間采用人工市核費時費力,但可以通過多人并行市核來彌補這個缺點源代碼審核工具應(yīng)當(dāng)以檢査源代碼的功能是否完整、是否執(zhí)行正確為主要功能使用代碼核王共動化行代嗎檢和分析,能夠大提高軟件可性開節(jié)省件開發(fā)和測試的成本, 已經(jīng)取代了人工審核方式源代碼審核是指無需運行被測代碼,僅對源代碼檢査分析,檢測并報告源代碼中可能胞藏的識和塊陷

104. 與 PDR 模型相比,P2DR 模型則更強調(diào)（）,即強調(diào)系統(tǒng)安全的（）,并且以安全檢測、（）和自適應(yīng)填充安全間隙為循環(huán)來提高（）。（）

漏洞監(jiān)測;控制和對抗;動態(tài)性;網(wǎng)絡(luò)安全動態(tài)性;控制和對抗;漏洞監(jiān)測;網(wǎng)絡(luò)安全控制和對抗:漏洞監(jiān)測;動態(tài)性;網(wǎng)絡(luò)安全控制和對抗;動態(tài)性;漏洞監(jiān)測:網(wǎng)絡(luò)安全

105. 王工是某單位的系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時,根據(jù)任務(wù)安排,他依據(jù)已有的資產(chǎn)列表,逐個分析可能危害這些資產(chǎn)的主體、動機、威脅途徑等多種因素,分析這些因素出現(xiàn)及造成損失的可能性大小,并為其賦值。請問,他這個工作屬于下面哪一個階段的工作（）

資產(chǎn)識別并賦值脆弱性識別并賦值威脅識別并賦值確認(rèn)已有的安全措施并賦值

106. （）第二十三條規(guī)定存儲、處理國家秘密的就計算機信息系統(tǒng)（以下簡稱泄密信息系統(tǒng)）按照 O 實行分級保護。（0）應(yīng)當(dāng)按照國家保密標(biāo)準(zhǔn)配備保密設(shè)施、設(shè)備。①）、設(shè)備應(yīng)當(dāng)與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行（三同步）。涉密信息系統(tǒng)應(yīng)當(dāng)按照規(guī)定,經(jīng) 0）后,方可投入使用（）

《保密法》:涉密程度;涉密信息系統(tǒng);保密設(shè)施;檢査合格《國家保密法》涉密程度;涉密系統(tǒng);保密設(shè)施;檢査合格《網(wǎng)絡(luò)保密度;涉密系統(tǒng);査合格《安全保密度;涉密信息系施:檢查合格

107. 風(fēng)險,在 GBT22081 中定義為時態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標(biāo)可能有很多不同的方面,如財務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等;目標(biāo)也可能有不同的級別,如戰(zhàn)略目標(biāo)、組織目標(biāo)、項目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。 SO/EC13335-1 中揭示了風(fēng)險各要素關(guān)系模型,如圖所示,請結(jié)合此圖,怎么オ能降低風(fēng)險對組織產(chǎn)生的影響?（）

組織應(yīng)該根據(jù)風(fēng)險建立響應(yīng)的保護要求,通過構(gòu)架防護措施降低風(fēng)險對組織產(chǎn)生的影響加強防護措施,降低風(fēng)險減少威脅和脆弱點,降低風(fēng)險減少資產(chǎn)降低風(fēng)險。

108. 以下有關(guān)系統(tǒng)工程說法錯誤的是（）

系統(tǒng)工程不屬于基本理論、也不屬于技術(shù)基礎(chǔ),它研究的重點是方法論系統(tǒng)工程的目的是實現(xiàn)總體效果最優(yōu)化,即從復(fù)雜問題的總體入手,認(rèn)為總體大于和,各部分雖然存在不足,但總體可以優(yōu)化系統(tǒng)工程只需使用定量分析的方法,通過建立實際對象的數(shù)學(xué)模型,應(yīng)用合適的優(yōu)化算法對模決…問題霍爾三維結(jié)構(gòu)將系統(tǒng)工程整個活動過程分為前后緊密銜接的 7 個階段和 7 個步驟

109. 某 T 公司針對信息安全事件已經(jīng)建立了完善的預(yù)案,在年度企業(yè)信息安全總結(jié)會上,信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)。其中有一項總結(jié)工作是錯誤,作為企業(yè) 的 CS,請你指出存在問題的是哪個總結(jié)?（）

公司制定的應(yīng)急演練流程包括應(yīng)急事件通報,確定應(yīng)急事件優(yōu)先級、應(yīng)急響應(yīng)啟動實施、應(yīng)急響應(yīng)時間后期運維，更新現(xiàn)有應(yīng)急預(yù)案五個階段。流程完善可用。公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類。安全事件類和其他類,基本覆蓋了各類應(yīng) 急事件類型。公司應(yīng)急預(yù)案事件分類依據(jù) GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》分為 7 個基本類。預(yù)案符合國家相關(guān)標(biāo)準(zhǔn)。公司成立了信息安全應(yīng)急相應(yīng)組織。該組織由業(yè)務(wù)和技術(shù)人員組成,劃分成應(yīng)急響應(yīng)領(lǐng)導(dǎo) 小組、技術(shù)保障小組、專家小組。實施小組和日常運行小組。

110. 下列關(guān)于軟件安全開發(fā)中的 BSI（）系列模型說法錯誤的是（）

BSL 含義是指將安全內(nèi)建到軟件開發(fā)過程中,而不是可有可無,更不是游離于軟件開發(fā)生命周期之外軟件安全的三根支柱是風(fēng)險管理、軟件安全觸點和安全知識軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法,它提供了從不同角度保障安全的行為方式BSI 系列模型強調(diào)安全測試的重要性,要求安全測試貫穿整個開發(fā)過程及軟件生命周期

111. GB/T220802008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出,建立信息安全管理體系應(yīng)參照模型進行,及信息安全管理體系應(yīng)建立 ISMS,實施和運行 SMS,監(jiān)視和評審 ISMS 保持和改進 ISMS 等過程,并在這些過程中應(yīng)實施若干活動,請選出以下描述錯誤的選項（）

“制定 ISMS 方針”是建立 ISMS 階段工作內(nèi)容“實施培訓(xùn)和意識教育計劃”是實施和運行 ISMS 階段工作內(nèi)容“進行有效性測量”是監(jiān)視和評審 ISMS 階段工作內(nèi)容“實施內(nèi)部審核”是保持和改進 ISMS 階段工作內(nèi)容

112. 以下關(guān)于 Windows 操作系統(tǒng)身份標(biāo)識與鑒別，說法不正確的是（）

本地安全授權(quán)機構(gòu)（LSA）生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標(biāo)識符（SID）用戶對鑒別信息的操作，如更改密碼等都通過一個以 Administrator 權(quán)限運行的服務(wù) “Security Accounts Manager”來實現(xiàn)Windows 操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了 SMB 鑒別機制、LM 鑒別機制、Kerberos 鑒別體系等階段完整的安全標(biāo)識符（SID）包括用戶和組的安全描述，48 比特的身份特權(quán)、修訂版本和可變的驗證值

113. 以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（）協(xié)議說法錯誤的是？（）

在傳送模式中，保護的是 IP 負(fù)載驗證頭協(xié)議（Authentication Header，AH）和 IP 封裝安全載荷協(xié)議（Encapsulating Security Payload，ESP）都能以傳輸模式和隧道模式工作在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議 Internet Protocol ，IP 包，包括 IP 頭IPSec 僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性

114. 北京某公司利用 SSE-CMM 對其自身工程隊伍能力進行自我改善，其理解正確的是：（）

系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了 6 個能力級別，當(dāng)工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力是 0 級達(dá)到 SSE-CMM 最高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行結(jié)果質(zhì)量必須相同。系統(tǒng)安全工程能力成熟度模型（SSE-CMM）定義了 3 個風(fēng)險過程：評價威脅，評價脆弱性，評價影響。SSE-CMM 強調(diào)系統(tǒng)安全工程與其他工程科學(xué)的區(qū)別和獨立性。

115. 關(guān)于信息安全管理體系（），下面描述錯誤的是（）。

信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實踐要素管理體系（Management Systems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用.概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照 IS027001 標(biāo)準(zhǔn)定義的管理體系，它是一個組織整體管理體系的組成部分同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構(gòu)、健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護體系和加強人員的安全意識等內(nèi)容

116. 金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習(xí)慣？（）

使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟件進行升級為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件在 IE 的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的 ActiveX 控件在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)

117. 關(guān)于 ARP 欺騙原理和防范措施，下面理解錯誤的是（）

ARP 欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的 ARP 應(yīng)答報文。使得受害者主機將錯誤的硬件地址映射關(guān)系存到 ARP 緩存中，從而起到冒充主機的目的單純利用 ARP 欺騙攻擊時，ARP 欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊解決 ARP 欺騙的一個有效方法是采用“靜態(tài)”的 APP 緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存徹底解決 ARP 欺騙的方法是避免使用 ARP 協(xié)議和 ARP 緩存。直接采用 IP 地址和其地主機進行連接

118. 以下關(guān)于項目的含義，理解錯誤的是（）。

項目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務(wù)或成果而進行的一次性努力項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進度來隨機確定項目資源指完成項目所需要的人、財、物等項目目標(biāo)要遵守 SMART 原則，即項目的目標(biāo)要求具體（Specific）、可測量（Measurable）、需相關(guān)方的一致同意（Agree to）、現(xiàn)實（Realistic）、有一定的時限（Time-oriented）

119. 某單位在一次信息安全風(fēng)險管理活動中，風(fēng)險評估報告提出服務(wù)器的 FIP 服務(wù)存在高風(fēng)險漏洞。隨后該單位在風(fēng)險處理時選擇了安裝 FTP 服務(wù)洞補丁程序并加固 FTP 服務(wù)安全措施，請問該措施屬于哪種風(fēng)險處理方式（）

風(fēng)險降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險接受

120. 關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（）

標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn)，共同重復(fù)使用的一種規(guī)范性文件，標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn)，同樣是強制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)，同樣是強制性標(biāo)準(zhǔn)，當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制度，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管培訓(xùn)部門備案，在公布國家標(biāo)準(zhǔn)后，該地方標(biāo)準(zhǔn)即應(yīng)廢止。

121. GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護輪期（ProtectionProfile.PP）和安全目標(biāo)（Security Target.ST）的評估準(zhǔn)則，提出了評估保證級（Evaluation Aanurane Level，EAL），其評估保證級共分為（）個遞增的評估保證等級。

4567

122. 二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯（arthur Scherbius）發(fā)明了 Enigma 密碼機，按照密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于（）。

古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和置換方法近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步的機電密碼設(shè)備現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（“The Communication Theory of Secret Systems”）為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性的變革，同時，眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合

123. 以下關(guān)于 Web 傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問題說法不正確的是（）。

HTTP 協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗證和缺乏狀態(tài)跟蹤等方面的安全問題HTTP 協(xié)議缺乏有效的安全機制，易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊Cookie 是為了辨別用戶身份，進行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù)，用戶可以隨意查看存儲在 Cookie 中的數(shù)據(jù)，但其中的內(nèi)容不能被修改針對 HTP 協(xié)議存在的安全問題，使用 HTTPS 具有較高的安全性，可以通過證書來驗證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密

124. 老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁時總導(dǎo)致病毒感染系統(tǒng)，為了解決這一問題，老王求信息安全員給出解決措施，信息安全員給出了四條措施建議，老王根據(jù)多年的信息安全管理經(jīng)驗，認(rèn)為其中不太適合推廣，你認(rèn)為是哪條措施（）

采購防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中,實現(xiàn)對所有瀏覽網(wǎng)頁進行檢測,阻止網(wǎng)頁中的病毒進入內(nèi)網(wǎng)采購并統(tǒng)一部署企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進行病毒庫升級，確保每臺計算機都具備有效的病毒檢測和查殺能力制定制度禁止使用微軟的 IE 瀏覽器上網(wǎng)，統(tǒng)一要求使用 Chrome 瀏覽器組織對員工進行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識

125. 某信息安全公司的團隊對某款名為“紅包快搶”的外掛進行分析，發(fā)現(xiàn)此外掛是一個典型的木馬后門，使黑客能夠獲得受害者電腦的訪問權(quán)。該后門程序為了達(dá)到長期駐留在受害者的計算機中，通過修改注冊表啟動項來達(dá)到后門程序隨受害者計算機系統(tǒng)啟動而啟動。為防范此類木馬后門的攻擊，以下做法無用的是（）。

不下載、不執(zhí)行、不接收來歷不明的軟件或文件修改用戶名和口令不隨意打開來歷不明的郵件，不瀏覽不健康不正規(guī)的網(wǎng)站安裝反病毒軟件和防火墻，安裝專門的木馬防治軟件

126. 小趙是某大學(xué)計算機科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計思路。如果想要為一個存在大最用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應(yīng)該采取的最合適的模型或方法是（）。

訪問控制列表（ACL）能力表（CL）BLP 模型Biba 模型

127. 保護-檢測-響應(yīng)（Protection-Detection-Response，PDR）模型是（）工作中常用的模型，其思想是承認(rèn)（）中漏洞的存在，正視系統(tǒng)面臨的（），通過采取適度防護、加強（）、落實對安全事件的響應(yīng)、建立對威勝的防護來保障系統(tǒng)的安全。

信息系統(tǒng);信息安全保障:威脅;檢測工作信息安全保障;信息系統(tǒng);檢測工作;威脅信危安全保障;信息系統(tǒng);威助;檢測工作信息安全保障;信息系統(tǒng); 威脅;檢測工作信息安全保障; 威脅; 信息系統(tǒng); 檢測工作

更多問卷復(fù)制此問卷

日本天天日天天操|女神c逼99精品|99福利视频一区|美女视频ww久久|国产激情综合五月|加勒比无码天天操|五月天婷婷丁香花|欧美大香蕉网综合网|久久99国产99|亚洲中文字幕射精

李成煜-NISP二級錯題