Q1. 您的生源地？（單選題）

Q2. 您家庭可支配的月收入？（單選題）

Q3. 分布式拒絕服務(wù)(DistributedDenialofServiceDDoS)攻擊指借助于客戶/服 務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)成多個(gè)目標(biāo)成功DDoS 攻擊，從而成培地提高拒絕服務(wù)攻擊的威力，一般來(lái)說(shuō)，DDoS攻擊的主要目的是 破壞目標(biāo)系統(tǒng)的(? )（單選題）

• A.保密性

• B.完整性

• C.可用性

• D.真實(shí)性

Q4. 根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)體系 建設(shè)試點(diǎn)工作的通知》(公信安【2009] 812號(hào)),關(guān)于推動(dòng)信息安全等級(jí)保護(hù)()建設(shè)和開(kāi)展()工作的通知(公信安【2010】303號(hào))等文件，由公安 部()對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，接受測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、考核和定期()， 對(duì)不具備能力的測(cè)評(píng)機(jī)構(gòu)則（）（單選題）

• A.等級(jí)測(cè)評(píng)；測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)

• B.測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；等級(jí)測(cè)評(píng)；能力驗(yàn)證；取消授權(quán)

• C.測(cè)評(píng)體系；等級(jí)測(cè)評(píng)；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；取消授權(quán)

• D.測(cè)評(píng)體系；等級(jí)保護(hù)評(píng)估中心；能力驗(yàn)證；等級(jí)評(píng)估；取消授權(quán)

Q5. 規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基，某 單位在實(shí)施風(fēng)段評(píng)估時(shí)，按照規(guī)范成了若干文檔，其中，下面（）中的文檔應(yīng) 屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)要素識(shí)別“階段輸出的文檔。（單選題）

• A.《風(fēng)險(xiǎn)評(píng)估方案》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的，范圍，目標(biāo)，評(píng)估步驟， 經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容。

• B.《風(fēng)險(xiǎn)評(píng)估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具 等內(nèi)容

• C.《風(fēng)險(xiǎn)評(píng)估準(zhǔn)側(cè)要求》，主要包括現(xiàn)有風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)，采用的風(fēng)險(xiǎn)分析方 法，要產(chǎn)分類標(biāo)準(zhǔn)等內(nèi)容。

• D.《己有安全措施列表》，主要包括經(jīng)驗(yàn)查確認(rèn)后的己有技術(shù)和管理各方面安全 措施等內(nèi)容

Q6. 某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目過(guò)需要分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全， 項(xiàng)且開(kāi)發(fā)人員決定用戶登錄時(shí)除了用產(chǎn)名口令認(rèn)證方式外、還加入基于數(shù)字證書 的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺(tái)數(shù)據(jù)庫(kù)中，請(qǐng) 問(wèn)以上安全設(shè)計(jì)的是哪項(xiàng)安全設(shè)計(jì)原則（）（單選題）

• A.小原最小特權(quán)原則

• B.職責(zé)分離原則

• C.縱深防御原則

• D.最少共享機(jī)制原則

Q7. 以下哪個(gè)是國(guó)際信息安全標(biāo)準(zhǔn)化組織的簡(jiǎn)稱（）（單選題）

• A.ANST

• B.ISO

• C.IEEE

• D.NIST

Q8. 某銀行網(wǎng)上交易系統(tǒng)開(kāi)發(fā)項(xiàng)目在設(shè)計(jì)階段分析系統(tǒng)運(yùn)行過(guò)程中可能存在的攻擊， 請(qǐng)問(wèn)以下擬采取的安全措施中，哪一質(zhì)不能降低該系統(tǒng)的亶攻擊面（）（單選題）

• A.遠(yuǎn)程用戶訪問(wèn)需進(jìn)行身份認(rèn)證

• B.遠(yuǎn)程用戶請(qǐng)問(wèn)時(shí)具有管理員權(quán)限

• C.關(guān)閉服務(wù)器端不必要的系統(tǒng)服務(wù)

• D.當(dāng)用戶訪問(wèn)其賬戶信息時(shí)使用嚴(yán)格的身份認(rèn)證機(jī)制

Q9. 某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開(kāi)發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開(kāi)發(fā)安全投入經(jīng)費(fèi) 研討時(shí)開(kāi)發(fā)部門和信息中心就發(fā)生了分歧，開(kāi)發(fā)部門認(rèn)為開(kāi)發(fā)階段無(wú)需投入，軟 件開(kāi)發(fā)完成后發(fā)現(xiàn)問(wèn)題后再針對(duì)性的解決，比前期安全投入要成本更低；信息中 心則認(rèn)為應(yīng)在軟件安全開(kāi)發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為 信安全專家，請(qǐng)選擇對(duì)軟件開(kāi)發(fā)安全投入的準(zhǔn)確說(shuō)法（）（單選題）

• A.信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問(wèn)題，總體經(jīng)費(fèi)投入 比軟件運(yùn)行后的費(fèi)用要低

• B.軟件開(kāi)發(fā)部門的說(shuō)法是正確的，因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在，安排人 員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低

• C.雙方的說(shuō)法都正確，需要根據(jù)具體情況分析是開(kāi)發(fā)階段投入解決問(wèn)題還是在上 線后再解決問(wèn)題費(fèi)用更低

• D.雙方的說(shuō)法都錯(cuò)誤，軟件安全問(wèn)題在任何時(shí)候投入解決都可以，只要是一樣的 問(wèn)題，解決的代價(jià)相同

Q10. 下列我國(guó)哪一個(gè)政策性文件明確了我國(guó)信息安全保障工作的方針和總體要求以 及加強(qiáng)信息安全保障工作的主要原則（）（單選題）

• A.《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》

• B.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

• C.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》

• D.《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》

Q11. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備 加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（）（單選題）

• A.要求開(kāi)發(fā)人員采用瀑布開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā)

• B.要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn)

• C.要求規(guī)范軟件編碼，并制定公司的安全編碼準(zhǔn)則

• D.要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題

Q12. 訪問(wèn)控制是對(duì)用戶或用戶組訪問(wèn)本地或網(wǎng)絡(luò)上的域資源進(jìn)行授權(quán)的一種機(jī)制。 在Windows2000以后的操作系統(tǒng)版本中，訪問(wèn)控制是一種雙重機(jī)制，它對(duì)用戶的 授權(quán)基于用戶權(quán)限和對(duì)象許可，-通常使用ACL、訪問(wèn)令牌和授權(quán)管理器來(lái)實(shí)現(xiàn)訪 問(wèn)控制功能。以下選項(xiàng)中，對(duì)Windows操作系統(tǒng)訪問(wèn)控制實(shí)現(xiàn)方法的理解錯(cuò)誤的 是（）（單選題）

• A ACL只能由管理員進(jìn)行管理

• B.ACL蠢對(duì)象安全希述符的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和組的SID

• C.訪問(wèn)令牌存儲(chǔ)著用戶的SID、組信息和分配給用戶的權(quán)限

• D.通過(guò)授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問(wèn)控制

Q13. 數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù) 庫(kù)的安全。以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是（）（單選題）

• A「最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，'分配最小的 特權(quán)，使得這些信息恰好能夠完成用戶的工作

• B.最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度 地共享數(shù)據(jù)庫(kù)中的信息

• C.粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在 實(shí)際中需要選擇最小粒度

• D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分

Q14. 信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì) 組織內(nèi)部信息安全的有效管理，應(yīng)該實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)（）（單選題）

• A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配

• B.信息處理實(shí)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門的聯(lián)系

• C.與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評(píng)審

• D.與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別，處理外部各方協(xié)議中的安全問(wèn)題

Q15. 應(yīng)用安全，一般是指保障應(yīng)用程序使用過(guò)程和結(jié)果的安全。以下內(nèi)容中 不屬于應(yīng)用安全防護(hù)考慮的是（）。（單選題）

• A.身份鑒別，應(yīng)用系統(tǒng)應(yīng)對(duì)登錄的用戶進(jìn)行身份鑒別，只有通過(guò)驗(yàn)證的用戶才能 訪問(wèn)應(yīng)用系統(tǒng)資源

• B.安全標(biāo)記，在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限， 增加訪問(wèn)控制的力度，限制非法訪問(wèn)

• C.剩余信息保護(hù)，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù)，防止 存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問(wèn)

• D.機(jī)房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件，包括機(jī)房環(huán)境、 機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等

Q16. 老王是一名企業(yè)信息化負(fù)責(zé)人，由于企業(yè)員工在瀏覽網(wǎng)頁(yè)時(shí)總導(dǎo)致病毒感染 系統(tǒng)，為了解決這一問(wèn)題，老王要求信息安全員給出解決措施，信息安全員給出 了四條措施建議，老王根據(jù)多年的信息安全管理經(jīng)驗(yàn)，認(rèn)為其中一條不太適合 推廣，你認(rèn)為是哪條措施（）（單選題）

• A.采購(gòu)防病毒網(wǎng)關(guān)并部署在企業(yè)互聯(lián)網(wǎng)出口中，實(shí)現(xiàn)對(duì)所有預(yù)覽網(wǎng)頁(yè)進(jìn)行檢測(cè)， 阻止網(wǎng)頁(yè)中的病毒進(jìn)入網(wǎng)頁(yè)

• B.采購(gòu)并統(tǒng)一部屬企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)，確保 每臺(tái)計(jì)算機(jī)都具備有效的病毒檢測(cè)和查殺能力

• C.制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器

• D.組織對(duì)員工進(jìn)行一次上網(wǎng)行為安全培訓(xùn)，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時(shí)的安全意識(shí)。

Q17. 信云是單位安全主管，由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏補(bǔ)丁，安全運(yùn)維人員給出 了針對(duì)此批漏洞修補(bǔ)的四個(gè)建議方案，請(qǐng)選擇其中一個(gè)最優(yōu)方案執(zhí)行（）（單選題）

• A.由于本次發(fā)布的數(shù)個(gè)漏洞都屬于高危漏潤(rùn)，為了避免安全風(fēng)險(xiǎn)，應(yīng)對(duì)單位所有 的服務(wù)器和客戶端盡快安裝補(bǔ)丁

• B.本次發(fā)布的漏銅目前尚未出現(xiàn)利用工具，因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危險(xiǎn)，所 以可以先不做處理

• C.對(duì)于重要的服務(wù)，應(yīng)在測(cè)試壞境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再在正式生產(chǎn) 環(huán)境中部署

• D.對(duì)于服務(wù)器等重要設(shè)備，立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁，用戶終端計(jì)算 機(jī)由于沒(méi)有重要數(shù)據(jù)，由終端自行升級(jí)。

Q18. 關(guān)于對(duì)信息安全事件進(jìn)行分類分級(jí)管理的原因描述不正確的是（）（單選題）

• A.信息安全事件的種類很多，嚴(yán)里程度也不盡相同，其響應(yīng)和處理方式也應(yīng)各不 相同

• B.對(duì)信息安全事件進(jìn)行分類和分級(jí)管理，是有效防范和響應(yīng)信息安全事件的基礎(chǔ)

• C.能夠使事前準(zhǔn)備、事中應(yīng)對(duì)和事后處理的各項(xiàng)相關(guān)工作更具針對(duì)性和有效性

• D.我國(guó)早期的計(jì)算機(jī)安全事行的應(yīng)急響應(yīng)工作主要括計(jì)算機(jī)病毒防范和“千年蟲(chóng)” 問(wèn)題的解決，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的起步最早

Q19. 有關(guān)系統(tǒng)安全工程能力成熟度模型(SSE-CMM),錯(cuò)誤的理解是（）（單選題）

• A.SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等

• B.SSE-CMM可以使安全工程成為一個(gè)確定的，成熱的和可度量的科目

• C.基于SSE-CMM的工程是獨(dú)立工程，與軟件工程，硬件工程，通信工程等分別規(guī) 劃實(shí)施

• D.SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理，組織和工程活動(dòng)等，而不僅僅是系 統(tǒng)安全的工程活動(dòng)

Q20. 關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程描述不正確的是（）（單選題）

• A.基于戰(zhàn)響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過(guò) 程，有助于一個(gè)組在事件發(fā)生時(shí)阻由混的發(fā)生成是在混亂狀態(tài)中迅速該復(fù)控制， 將損失和負(fù)面影響降至最低

• B.應(yīng)急響應(yīng)方法和過(guò)程并不是唯一的

• C.一種被廣為接受的應(yīng)象響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為準(zhǔn)備、檢測(cè)、遏制、 根除，恢復(fù)和跟蹤總結(jié)6個(gè)階段

• D.一種被廣為接受的成急響應(yīng)方法是將應(yīng)急響應(yīng)管理過(guò)程分為準(zhǔn)備，檢測(cè)，遏制、 根除、恢復(fù)和跟蹤總結(jié)6個(gè)階段，這6個(gè)階的響應(yīng)方法一定確保事件處理的成功

Q21. 小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所 在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次增訓(xùn)的時(shí)候，小李主要負(fù)責(zé)培訓(xùn)講解 風(fēng)險(xiǎn)評(píng)估方法，請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)（）（單選題）

• A.風(fēng)險(xiǎn)評(píng)估方法包括，定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析

• B.定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有 隨意性

• C.插量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的 具體數(shù)字值，因此更具客觀性

• D.定量風(fēng)險(xiǎn)分新技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù) 對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化

Q22. 某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來(lái)自于外部網(wǎng)絡(luò)和 內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)行為。當(dāng)檢測(cè)統(tǒng)到來(lái)自內(nèi)外網(wǎng)絡(luò)對(duì)防火墻的抗攻擊行為，會(huì) 及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力， 更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。但入侵檢測(cè)技術(shù)不能實(shí)現(xiàn)以下 哪種功能（）（單選題）

• A.檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)

• B.核查系統(tǒng)的配置漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

• C.防止IP地址欺騙

• D.識(shí)別違反安全策略的用戶活動(dòng)

Q23. Kerberos協(xié)議是一種集中訪問(wèn)控制協(xié)議，它能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶 提供安全的單點(diǎn)登錄服務(wù)，單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可 以訪間其授權(quán)的所有網(wǎng)絡(luò)資源，而不再需要其他的身份認(rèn)證過(guò)程，實(shí)質(zhì)是消息M 在多個(gè)應(yīng)用系統(tǒng)之間的傳遞成共享。其中，消息M是指以下選項(xiàng)中的（）（單選題）

• A.安全憑證

• B.用戶名

• C.加密密鑰

• D.會(huì)話密鑰

Q24. 隨菩信息安全涉及的范圍越來(lái)越廣，各個(gè)組織對(duì)信息安全管理的需求越來(lái)越 迫切，越來(lái)越多的組織開(kāi)始嘗試使用參考IS027001介紹的ISMS來(lái)實(shí)施信息安全 管理體系，提高組織的信息安全管理能力，關(guān)于ISMS,下面描述錯(cuò)誤的是（）（單選題）

• A.在組織中，應(yīng)由信息技術(shù)責(zé)任部門(如信息中心)制定并頒布信息安全方針，為 組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求

• B.組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明 確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性

• C.組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全 體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙件和供應(yīng)商等外部各方

• D.組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級(jí)別和 風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘余風(fēng)險(xiǎn)

Q25. 有關(guān)能力成熟度模型(CMM),錯(cuò)誤的理解是（）（單選題）

• A.CMM的基本思想是，因?yàn)閱?wèn)題是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會(huì)在一 定程度上提高質(zhì)量，生產(chǎn)率和利潤(rùn)率

• B.CMM的思想來(lái)源于項(xiàng)目管理和質(zhì)量管理

• C.CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過(guò)程的方法

• D.CMM是建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的，它基于這樣一個(gè)假設(shè)，即“生產(chǎn)過(guò) 程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量的產(chǎn)品”

Q26. 信息系統(tǒng)安全保障評(píng)估概念和關(guān)系如圖所示，信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的 評(píng)估。通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的(? ?)。向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的(? ?)能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是(? ?)，信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，涉及信息系統(tǒng)整個(gè)(? ?)，因此信息 系統(tǒng)安全保障的評(píng)估也應(yīng)該提供一種(? ?)的信心。（單選題）

• A.安全保障工作:客觀證據(jù):信息系統(tǒng):生命周期:動(dòng)態(tài)持續(xù)

• B.客觀證據(jù):安全保障工作:信息系統(tǒng):生命周期:動(dòng)態(tài)持續(xù)

• C.客觀證據(jù)，安全保障工作:生命期:倍息系統(tǒng);動(dòng)態(tài)持續(xù)

• D.客觀證據(jù):安全保障工作;動(dòng)態(tài)持續(xù);信息系統(tǒng);生命周期

Q27. 以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecuritylPsec)協(xié)議說(shuō)法錯(cuò)誤的 是（）（單選題）

• A.在傳送模式中，保護(hù)的是IP負(fù)載

• B.驗(yàn)證頭協(xié)議(Authenticationllead , AH)和IP封裝安全載荷協(xié)議 (EncapsulatingSecurityPayload, ESP)都能以傳輸模式和隧道模式工作

• C.在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議(InternetProtocol, IP)包，包括IP頭

• D.IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性

Q28. 應(yīng)急響應(yīng)是信息安全事件管的重要內(nèi)容，基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的 不規(guī)性，事先制定出事件響應(yīng)方法和過(guò)程，有助于一個(gè)組在事件發(fā)生時(shí)阻止混亂 狀態(tài)態(tài)中迅速恢復(fù)控制，將損降到最低。應(yīng)急響應(yīng)方法和過(guò)程并不是唯一，一種 被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)響應(yīng)管理過(guò)程分6個(gè)階段，為準(zhǔn)備-檢測(cè)-遇 制-根除-恢復(fù)-跟蹤總結(jié)，請(qǐng)問(wèn)下列說(shuō)法有關(guān)于信息安全應(yīng)急響應(yīng)管理過(guò)程錯(cuò)誤 的是（）（單選題）

• A.確定重要產(chǎn)和風(fēng)險(xiǎn)，實(shí)施針對(duì)風(fēng)險(xiǎn)的防護(hù)措施是信息安全應(yīng)急響應(yīng)規(guī)劃過(guò)程中 最關(guān)鍵的步驟

• B.在檢測(cè)階段，首先要進(jìn)行監(jiān)測(cè)、報(bào)告及信息收集

• C.遇到遏制可能會(huì)因?yàn)槭录念悇e和級(jí)別不同而完全不同。常見(jiàn)的遏制措施有： 完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等

• D.應(yīng)按照應(yīng)急響應(yīng)計(jì)劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)選順序和恢復(fù)步驟，順次恢復(fù)相 關(guān)的系統(tǒng)

Q29. 與PDR模型相比，P2DR模型則更強(qiáng)調(diào)(),既強(qiáng)調(diào)系統(tǒng)安全的()，并 且以安全檢測(cè)、()和自適應(yīng)填充“安全間隙"為循環(huán)來(lái)提高（）（單選題）

• A.漏銅檢測(cè)；控制和對(duì)抗；動(dòng)態(tài)性；網(wǎng)絡(luò)安全

• B.動(dòng)態(tài)性；控制和對(duì)抗；漏洞監(jiān)測(cè)；網(wǎng)絡(luò)安全

• C.控制和對(duì)抗；漏銅監(jiān)測(cè)；動(dòng)態(tài)性；網(wǎng)絡(luò)安全

• D.控制和對(duì)抗；動(dòng)態(tài)性；漏洞監(jiān)測(cè)；網(wǎng)絡(luò)安全

Q30. 關(guān)于信息安全管理，下面理解片面的是（）（單選題）

• A. 信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目 標(biāo)的重要保障

• B. 信息安全管理是一個(gè)不斷演進(jìn)，循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程，不是一成不變的

• C. 在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是撥高，既有效的管理依賴于良好的技 術(shù)基礎(chǔ)

• D. 堅(jiān)持管理與技術(shù)并重的原則，是我=我國(guó)加強(qiáng)信息安全保障工作的主要原則之一。

Q31. 以下關(guān)于威脅建模流程步驟說(shuō)法不正確的是（）（單選題）

• A.威脅建模主要流程包括四步，確定建對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅

• B.評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和擊發(fā)生的率，了解被攻擊后資產(chǎn)的 受模后果，并計(jì)算風(fēng)險(xiǎn)

• C.消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施， 可以通過(guò)重新設(shè)計(jì)直接消除成脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅

• D.識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威驗(yàn)，它可能是故意的，也可能不是故意的， 威脅就是漏洞

Q32. “統(tǒng)一威脅管理”是將防病毒、入侵檢測(cè)和防火墻等安全需求統(tǒng)一管理，日 前市場(chǎng)上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡(jiǎn)稱為（）（單選題）

• A.UTM

• B.FW

• C.IDS

• D.SOC

Q33. PKI的主要理論基礎(chǔ)是（）（單選題）

• A.對(duì)稱密碼算法

• B.公鑰密碼算法

• C.量子密碼

• D.摘要算法

Q34. 某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶帳戶的 安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登錄時(shí)如果用戶名或口令輸入錯(cuò)誤，給用戶返回“用戶名成口令輸入錯(cuò)誤"信息，輸入錯(cuò)誤達(dá)到三次，將暫時(shí)禁止登錄該帳戶， 請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則(? ?)（單選題）

• A.最少共享機(jī)制原則

• B.經(jīng)濟(jì)機(jī)制原則

• C.不信任原則

• D.默認(rèn)故障處理保護(hù)原則

Q35. 關(guān)于ARP欺騙原理和防范措施，下面理解錯(cuò)誤的是（）（單選題）

• A.ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤的ARP應(yīng)答報(bào)文，使得受害者 主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的

• B.單純利用ARP欺騙攻擊時(shí)，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí) 施攻擊

• C.解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址 的更改，需要人工更新緩存

• D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和 其他主機(jī)進(jìn)行連接

Q36. 小張新購(gòu)入了一臺(tái)安裝了 Windows操作系統(tǒng)的筆記本電腦，為了提升操作系 統(tǒng)的安全性，小張?jiān)赪indow系統(tǒng)中的“本地安全策略"中，配置了四類安全策 略:賬號(hào)策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安 全配置內(nèi)容中的（）（單選題）

• A.關(guān)閉不必要的服務(wù)

• B.制定操作系統(tǒng)安全策略

• C.關(guān)閉不必要的端口

• D.開(kāi)啟審核策略

Q37. 為保障信息系統(tǒng)安全，某經(jīng)商公司服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的 信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份 信息安全需求描述報(bào)告，關(guān)于此項(xiàng)工作，下面說(shuō)法錯(cuò)誤的是（）（單選題）

• A.信息安全需求報(bào)告應(yīng)該根據(jù)公司服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案為主要內(nèi)容來(lái)撰 寫

• B.信息安全需求描述報(bào)告設(shè)計(jì)是信息安全保障方案的前提和依據(jù)

• C.信息安全需求描述報(bào)告應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和關(guān)于政策法規(guī)和標(biāo)準(zhǔn) 的合規(guī)性要求得到

• D.信息安全需求描述報(bào)告的主體內(nèi)容可以按照技術(shù)，管理和工程等方面需要展開(kāi) 編寫

Q38. 某銀行有5臺(tái)交換機(jī)連接了大量交易機(jī)構(gòu)的網(wǎng)絡(luò)(如圖所示)在基于以太網(wǎng)的 通信中，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信，A必須先廣播“ARP請(qǐng)求信息“，獲取 計(jì)算機(jī)B的物理地址。每到月底時(shí)用戶發(fā)現(xiàn)該銀行網(wǎng)絡(luò)服務(wù)速度極其緩慢，銀行 經(jīng)調(diào)查后發(fā)現(xiàn)為了當(dāng)其中一臺(tái)交換機(jī)收到ARP請(qǐng)求后，會(huì)轉(zhuǎn)發(fā)給接收端口以外的 其他所有端口, ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的所有客戶機(jī)上，為降低網(wǎng)絡(luò)的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術(shù)是（? ）（單選題）

• A. WLAN劃分

• B.動(dòng)態(tài)分配地址

• C.為路由交換設(shè)備修改默認(rèn)口令

• D.設(shè)立入侵防御系統(tǒng)

Q39. 某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告，該廣告含有一個(gè)跨站腳本， 會(huì)將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息，雖然該 用戶沒(méi)有主動(dòng)訪間該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有 他的好友的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶 的個(gè)人信息了。這種向Web頁(yè)面插入惡意htmi代碼的攻擊方式稱為（）（單選題）

• A.分布式拒絕服式攻擊

• B.跨站腳本攻擊

• C.SQL注入攻擊

• D緩沖區(qū)溢出攻擊

Q40. 若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制，人力資源安全劃 分為3個(gè)控制階段，不包括哪一項(xiàng)（）（單選題）

• A.任用之前

• B.任用中

• C.任用終止或變化

• D.任用公示

Q41. 社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個(gè)最重要的環(huán)節(jié)，即“人”這 個(gè)環(huán)節(jié)上，這些社會(huì)工程黑客在某黑客大會(huì)上成功收入世界五百?gòu)?qiáng)公司，其中一 名自稱為是CSO雜志做安全調(diào)查，半小時(shí)內(nèi)，攻擊者選擇了在公司工作兩個(gè)月安 全工程部門的合約雇員，在詢問(wèn)關(guān)于工作滿意度以及食堂食物質(zhì)量問(wèn)題后，雇員 開(kāi)始透露其他信息，包括，操作系統(tǒng)，服務(wù)包，殺毒軟件，電子郵件及瀏覽器。 為對(duì)執(zhí)此類信息收集和分析，公司需要做的是（）（單選題）

• A.通過(guò)信息安全培訓(xùn)，使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn)，發(fā)布信息采取最 小化原則

• B.減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量，修改服務(wù)旗標(biāo)

• C.關(guān)閉不必要的服務(wù)，部署防火墻，IDS等措施

• D.系統(tǒng)安全管理員使用漏銅掃描軟件對(duì)系統(tǒng)進(jìn)行安全審計(jì)

Q42. 在軟件保障成熟度模型(SoftwareAssuranceMaturityModeSAMM )中，規(guī)定了 軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能（）（單選題）

• A.治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng)

• B.構(gòu)造，主要是在開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng)

• C.驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng)

• D.購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開(kāi)組件的相關(guān)管理過(guò)程與活動(dòng)

Q43. 駐訪問(wèn)控制模型（）的訪問(wèn)控制關(guān)系可以用訪問(wèn)控制表(ACL)來(lái)表示， 該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪問(wèn)控制柜原，通常使用 由客體指向的鏈表來(lái)儲(chǔ)存書籍，下面選項(xiàng)中正確的是(? )（單選題）

• A.ACL是Bell-Lapadula模式的一種具體實(shí)現(xiàn)

• B.ACL在刪除用戶時(shí)，去除該用戶所有的訪問(wèn)權(quán)限比較方便。

• C.ACL對(duì)于統(tǒng)計(jì)某個(gè)主體能訪問(wèn)哪些客體比較方便

• D.ACL在增加客體時(shí):增加相關(guān)的訪問(wèn)控制權(quán)限比較簡(jiǎn)單

Q44. 某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文檔，下面（）中的檔不應(yīng)屬于風(fēng)險(xiǎn)評(píng)必中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備"階段輸出的文檔。（單選題）

• A.《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的意義、范圍、目標(biāo)、組 織結(jié)構(gòu)，角色及職責(zé)，經(jīng)費(fèi)預(yù)算“和進(jìn)度安排內(nèi)容

• B.《風(fēng)險(xiǎn)評(píng)估方法和工具表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試估工等內(nèi)容

• C.《己有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全 措施等內(nèi)容

• D.《風(fēng)險(xiǎn)評(píng)估準(zhǔn)側(cè)要求》，主要報(bào)告風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)，采用的風(fēng)險(xiǎn)分 析方法，風(fēng)險(xiǎn)計(jì)算方法，資產(chǎn)分類標(biāo)準(zhǔn)，要產(chǎn)分類準(zhǔn)則等內(nèi)容

Q45. 曲于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常要 的環(huán)節(jié)，下列關(guān)于密鑰管理說(shuō)法錯(cuò)誤的是（）（單選題）

• A.科克霍夫在在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴于對(duì)加密體制或算法 的保密，而依賴與秘鑰。

• B.在保密通信過(guò)程中，通信雙方可以一直使用之前用過(guò)的會(huì)話秘鑰，不影響安全 '性

• C.密陰管理要在安全策略的指導(dǎo)下處理秘鑰生命周期的整個(gè)過(guò)程，包括產(chǎn)生，存 儲(chǔ)、備份、分配、更新、等

• D.在保密通信過(guò)程中，通信雙方也可利用Dirfle-IEmalm協(xié)協(xié)商出會(huì)話秘鑰進(jìn)行 保密通信。

Q46. 某單位門戶網(wǎng)站開(kāi)發(fā)完成后，測(cè)試人員使用模糊測(cè)試進(jìn)行安全性測(cè)試，以下 關(guān)于模糊測(cè)試過(guò)程的說(shuō)法正確的是：（）（單選題）

• A.模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測(cè)試用例

• B.數(shù)據(jù)處理點(diǎn)，數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測(cè)試對(duì)象

• C.監(jiān)測(cè)和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況

• D.深入分析網(wǎng)站測(cè)試過(guò)程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測(cè)試人員手工重 現(xiàn)并分析

Q47. 小王學(xué)習(xí)了災(zāi)難備份的有關(guān)知識(shí)，了解到常用的數(shù)據(jù)備份方式包括完全備份、 增量備份、差量備份，為了鞏固所學(xué)知識(shí)，小王對(duì)這三種備份方式進(jìn)行了對(duì)比， 其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由怏到慢的順序是（）。（單選題）

• A.完全備份、增量備份、差異備份

• B.完全備份、差異備份、增量備份

• C.增量備份、差異備份、完全備份

• D.差異備份、增量備份、完全備份

Q48. 在一個(gè)使用ChineseWall模型建立訪問(wèn)控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)X 在一個(gè)興趣沖突，數(shù)據(jù)Y和Z在另一個(gè)信息興趣沖突域中，那么可以確定一個(gè)新 注冊(cè)的用戶（）（單選題）

• A.只有訪問(wèn)了 W之后，才可以訪問(wèn)X

• B.只有訪問(wèn)了 W之后，才可以訪問(wèn)Y和Z中的一個(gè)

• C.無(wú)論是否訪問(wèn)W,都只能訪問(wèn)Y和Z中的一個(gè)

• D.無(wú)論是否訪問(wèn)W,都不能訪問(wèn)Y或Z

Q49. 關(guān)于我國(guó)信息安全保障的基本原則，下列說(shuō)法中不正確的是（）（單選題）

• A.要與國(guó)際接軌，積極吸收國(guó)外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作，遵循國(guó)際標(biāo)準(zhǔn)和通行做法， 堅(jiān)持管理與技術(shù)

• B.信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方

• C.在信息安全保障建設(shè)的各項(xiàng)工作中，既要統(tǒng)籌規(guī)劃，又要突出重點(diǎn)

• D.在國(guó)家信息安全保障工作中，要充分發(fā)揮國(guó)家、企業(yè)和個(gè)人的積極性，不能忽 視任何一方的作用

Q50. 小張是一名CISP人員。某天他聽(tīng)到小李說(shuō)某電商平臺(tái)在“雙十一"節(jié)期間某 款平板電腦如果輸入1111,購(gòu)買產(chǎn)品的單價(jià)就會(huì)變?yōu)?元。請(qǐng)問(wèn)以下哪項(xiàng)行為符 合作為CISP的職業(yè)道德（）（單選題）

• A.按照小李的說(shuō)法嘗試，發(fā)現(xiàn)成功后立即付款購(gòu)買

• B.在微博上將該信息發(fā)布

• C.對(duì)該電商平臺(tái)進(jìn)行一次滲透測(cè)試，查找所有可能的漏洞

• D.打電話或發(fā)郵件告知該電商平臺(tái)存在錯(cuò)誤

Q51. 社會(huì)工程學(xué)是()與()結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門科學(xué)，因 為它不能總是重復(fù)和成功，并且在信息充分多的情況下它會(huì)失效?；谙到y(tǒng)、體 系、協(xié)議等技術(shù)體系缺陷的()，隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏 洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會(huì)工程學(xué)利用的是 人性的“弱點(diǎn)",而人性是()，這使得它幾乎可以說(shuō)是永遠(yuǎn)有效的（）（單選題）

• A.網(wǎng)絡(luò)安全；心理學(xué)；攻擊方式；永恒存在的；攻擊方式

• B.網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；永恒存在的；攻擊方式

• C.網(wǎng)絡(luò)安全；心理學(xué)；永恒存在的；攻擊方式；攻擊方式

• D.網(wǎng)絡(luò)安全；攻擊方式；心理學(xué)；攻擊方式；永恒存在的

Q52. 一般地，IP分配會(huì)首先把整個(gè)網(wǎng)絡(luò)根據(jù)地域、區(qū)域。每個(gè)子區(qū)域從它的上一 級(jí)區(qū)域里獲取IP地址段，這種分配方法為什么分配方法（）（單選題）

• A.自頂向下

• B.自下向上

• C.自左向右

• D.自右向左

Q53. 入侵檢測(cè)系統(tǒng)(IntrusionDetectionSysytem, IDS)是用于發(fā)現(xiàn)并報(bào)告系統(tǒng)中 未授權(quán)或違反安全策略行為的設(shè)備。在入侵檢測(cè)中有這樣一種方法，任何的正常 行為都是有一定的規(guī)律的并且可以通過(guò)分析這些行為產(chǎn)生的日志信息(假定日志 信息足夠安全)總結(jié)出這些規(guī)律。而入侵和濫用行為則通常和正常的行為存在嚴(yán) 重的差異，通過(guò)檢查這些差異就可以檢測(cè)這些入侵，請(qǐng)問(wèn)該入侵檢測(cè)方法為（）（單選題）

• A.基于異常的入侵檢測(cè)

• B.基于誤用的入侵檢測(cè)

• C.基于自治代理技術(shù)

• D.自適應(yīng)模型生成特性的入侵檢測(cè)

Q54. 年以來(lái)，我國(guó)高度重視信息安全保障工作，先后制定并發(fā)布了多個(gè)文件，從政策層面為開(kāi)展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng) 中哪個(gè)不是我國(guó)發(fā)布的文件(?? )（單選題）

• A.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的27號(hào))意見(jiàn)》(中辦發(fā)【2003]

• B.《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》(國(guó)令【2008】54號(hào))

• C.《國(guó)家信息安全戰(zhàn)略報(bào)告》(國(guó)信【2005] 2號(hào))

• D.《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)[2012123號(hào))

Q55. 目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握能 力和掌握資源分，這些威脅可以按照個(gè)人威脅、組織威脅和國(guó)家威脅三個(gè) 層面劃分，則下面選項(xiàng)中屬于組織威脅的是（）（單選題）

• A.喜歡惡作劇、實(shí)現(xiàn)自我挑戰(zhàn)的娛樂(lè)型黑客

• B.實(shí)施犯罪、獲取非法經(jīng)濟(jì)利益網(wǎng)絡(luò)犯罪團(tuán)伙

• C.搜集政治、軍事、經(jīng)濟(jì)等情報(bào)信息的情報(bào)機(jī)構(gòu)

• D.鞏固戰(zhàn)略優(yōu)勢(shì)，執(zhí)行軍事任務(wù)、進(jìn)行目標(biāo)破壞的信息作戰(zhàn)部隊(duì)

Q56. 關(guān)于源代碼審核，下列說(shuō)法正確的是（）（單選題）

• A.源代碼審核往往需要大量的時(shí)間，采用人工審核費(fèi)事費(fèi)力，但可以通過(guò)多人并 行審核來(lái)彌補(bǔ)這個(gè)缺點(diǎn)。

• B.源代碼審核工具應(yīng)當(dāng)以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能。

• C.使用源代碼審核工具自動(dòng)化執(zhí)行代碼檢查和分析，能夠極大提高軟件可靠性并 節(jié)省軟件開(kāi)發(fā)和測(cè)試的成本，已經(jīng)取代人工審核方式。

• D.源代碼審核是指無(wú)需運(yùn)行被測(cè)代碼，僅對(duì)源代碼檢查分析，檢測(cè)并報(bào)告源代碼 中可能隱藏的錯(cuò)誤和缺陷。

Q57. 國(guó)務(wù)院信息化工作辦公室于2004年9月份下發(fā)了《關(guān)于做好重要信息系 統(tǒng)災(zāi)難備份工作的通知》,該文件中指出了我國(guó)在災(zāi)備工作原則，下面哪項(xiàng) 不屬于該工作原則（）。（單選題）

• A.統(tǒng)籌規(guī)劃

• B.分級(jí)建設(shè)

• C.資源共享

• D. 平戰(zhàn)結(jié)合

Q58. 在某次信息安全應(yīng)急響應(yīng)過(guò)程中，小王正在實(shí)施如下措施：消除或阻斷攻 擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)等。請(qǐng)問(wèn)，按照PDCERF應(yīng)急響應(yīng)方法,這些工作應(yīng) 處于以下哪個(gè)階段（）（單選題）

• A.準(zhǔn)備階段

• B.檢測(cè)階段

• C.遏制階段

• D.根除階段

Q59. 降低風(fēng)險(xiǎn)(或減低風(fēng)險(xiǎn))是指通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方 式來(lái)降低風(fēng)險(xiǎn)，下面哪個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）。（單選題）

• A.減少威脅源，采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有 效遏制威脅源的動(dòng)機(jī)

• B.簽訂外包服務(wù)合同，將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的 方式交予第三方公司完成，通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)

• C.減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力

• D.減少脆弱性，及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的 脆弱性，降低被利用的可能性

Q60. 安全領(lǐng)域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯 區(qū)域，下面哪項(xiàng)描述是錯(cuò)誤的（）（單選題）

• A.安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物 理部署位置無(wú)關(guān)

• B.安全域劃分能把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的安全保護(hù) 問(wèn)題

• C.以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)和防護(hù)手段，從而 使同一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)

• D.安全域邊界是安全事件發(fā)生時(shí)的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對(duì)網(wǎng)絡(luò)和系統(tǒng) 進(jìn)行安全檢查和評(píng)估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式

Q61. 根據(jù)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的規(guī)定，錯(cuò)誤的是：（）（單選題）

• A.信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和 檢查評(píng)估互相結(jié)合、互為補(bǔ)充

• B.信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效” 的原則開(kāi)展

• C.信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程

• D.開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)

Q62. 信息安全組織的管理涉及內(nèi)部和外部各方兩個(gè)控制目標(biāo)。為了實(shí)現(xiàn)對(duì)組織 內(nèi)部信息安全的有效管理，應(yīng)該實(shí)施常規(guī)的控制措施，不包括哪些選項(xiàng)（）。（單選題）

• A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配

• B.信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門的聯(lián)系

• C.與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評(píng)審

• D.與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題.

Q63. 以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：（）（單選題）

• A.信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)

• B.系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開(kāi)發(fā)相應(yīng)的軟件和硬件，將其集成到信 息系統(tǒng)的過(guò)程。

• C.信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分布實(shí)施”。

• D.信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程。

Q64. 關(guān)于SMTP和POP3的說(shuō)法哪個(gè)是錯(cuò)誤的是（）（單選題）

• A.是一種基于ASCII的編碼請(qǐng)求/響應(yīng)的模式的協(xié)議

• B.明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能

• C.缺乏嚴(yán)格的用戶認(rèn)證，因此導(dǎo)致了垃圾郵件問(wèn)題

• D.協(xié)議過(guò)于簡(jiǎn)單，易用性更高，更容易實(shí)現(xiàn)遠(yuǎn)程管理郵件

Q65. 對(duì)信息安全事件的分級(jí)參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。依據(jù)信息系統(tǒng)的重要程度對(duì)系統(tǒng)進(jìn)行劃分，不屬于正確劃分 級(jí)別的是：( )（單選題）

• A.特別重要信息系統(tǒng)

• B.重要信息系統(tǒng)

• C.一般信息系統(tǒng)

• D.關(guān)鍵信息系統(tǒng)

Q66. 國(guó)家科學(xué)技術(shù)秘密的密級(jí)分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)，以下哪項(xiàng)屬于絕密的描述（）（單選題）

• A.處于國(guó)際先進(jìn)水平，并且有軍事用速或者對(duì)經(jīng)濟(jì)建設(shè)具有重要影響的

• B.能夠局部反應(yīng)國(guó)家防御和治安實(shí)力的

• C.我國(guó)獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會(huì)或經(jīng)濟(jì) 效益辭顯著的傳統(tǒng)工藝

• D.國(guó)際領(lǐng)先，并且對(duì)國(guó)防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的

Q67. 實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所 知的鑒別方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下面選項(xiàng) 中屬于使用基于實(shí)體特征的鱉別方法的是（）。（單選題）

• A.將登錄口令設(shè)置為出生日期

• B.通過(guò)詢問(wèn)和核對(duì)用戶的個(gè)人隱私信息來(lái)鑒別

• C.使用系統(tǒng)定制的，在本系統(tǒng)專用的IC卡進(jìn)行鑒別

• D.通過(guò)掃描和識(shí)別用戶的臉部信息來(lái)鑒別

Q68. 訪問(wèn)控制方法可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控 制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問(wèn)控制方法，要 求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具 有不同的安全控制，那么在下列選項(xiàng)中，能夠滿足以上要求的選項(xiàng)是（）。（單選題）

• A.自主訪問(wèn)控制

• B.強(qiáng)制訪問(wèn)控制

• C.基于角色的訪問(wèn)控制

• D.以上選項(xiàng)都可以

Q69. 風(fēng)藍(lán)原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R (A,T,V) =R(L(T,V), F(Ia,Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是：（）（單選題）

• A.R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性

• B.L表示威脅利用資產(chǎn)脆弱性導(dǎo)致安全事件的可能性

• C.F表示安全事件發(fā)生后造成的損失

• D.Ia, Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)(應(yīng)為脆弱性)的 嚴(yán)重程度.

Q70. 為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建 設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí) 施意見(jiàn)》(公通字[20041 66號(hào)),對(duì)等級(jí)保護(hù)工作的開(kāi)展提供宏觀指導(dǎo)和 約束，明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）（單選題）

• A.該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件

• B.該文件適用于2004年的等級(jí)保護(hù)工作，其內(nèi)容不能約束到2005年及以后的工 作

• C.該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范 圍

• D.該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位

Q71. 殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個(gè)重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯(cuò)誤的是（）（單選題）

• A.殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)；一般來(lái)說(shuō)，是在綜合考 慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)

• B.殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會(huì)隨著時(shí)間的推移而發(fā)生變化，可能會(huì)在將來(lái)誘 發(fā)新的安全事件

• C.實(shí)施風(fēng)險(xiǎn)處理時(shí)，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解 殘余風(fēng)險(xiǎn)的存在和可能造成的后果

• D.信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余 風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果評(píng)估指標(biāo)

Q72. 由于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非 常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說(shuō)法錯(cuò)誤的是（）。（單選題）

• A.科克霍夫在《軍事密碼學(xué)》中指出系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的 保密，而依賴于密鑰

• B.在保密通信過(guò)程中，通信雙方可以一直使用之前用過(guò)的會(huì)話密鑰，不影響安全 性

• C.密鑰管理需要在安全策略的指導(dǎo)下處理密鑰生命周期的整個(gè)過(guò)程，包括生產(chǎn)、 存儲(chǔ)、備份、分配、更新、撤銷等

• D.在保密通信過(guò)程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話密鑰進(jìn) 行保密通信

Q73. 關(guān)于矗代碼的守護(hù)進(jìn)程的功能，以下說(shuō)法正確的是（）。（單選題）

• A.隱藏惡意代碼

• B.加大檢測(cè)難度

• C.傳播惡意代碼

• D.監(jiān)視惡意代碼主體程序是否正常

Q74. 為推動(dòng)和規(guī)范我國(guó)信息安全等級(jí)保護(hù)工作，我國(guó)制定和發(fā)布了信息安全等級(jí)保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以依照等級(jí)保護(hù)工作的工作 階段分級(jí).下面四個(gè)標(biāo)準(zhǔn)中，(? ?)規(guī)定了等級(jí)保護(hù)定級(jí)階段的依據(jù)、對(duì)象、流程、方法及登記變更等內(nèi)容：（單選題）

• A.GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》

• B.GB/T《信息系統(tǒng)安全保護(hù)登記定級(jí)指南》

• C.GB/T《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

• D.GB/T《信息系統(tǒng)安全管理要求》

Q75. 某網(wǎng)站為了開(kāi)發(fā)的便利，使用SA鏈接數(shù)據(jù)庫(kù)，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲(chǔ)過(guò)程XP. Ccmdshell刪除了系統(tǒng)中 的一個(gè)重要文件，在進(jìn)行問(wèn)題分析時(shí)，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè) 計(jì)違反了以下哪項(xiàng)原則：(? ?)（單選題）

• A.權(quán)限分離原則

• B.最小特權(quán)原則

• C.保護(hù)最薄弱環(huán)節(jié)的原則

• D.縱深防御的原則

Q76. 密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法， 密碼協(xié)議也是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。下面描述中錯(cuò)誤的是（）（單選題）

• A.在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制 和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式

• B.密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中 的每個(gè)參與方都必須了解協(xié)議，且按步驟執(zhí)行

• C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人

• D.密碼協(xié)議(cryptographicprotocol ),有時(shí)也稱安全協(xié)議(securityprotocol),是使用密碼x學(xué)完成某項(xiàng)特定的任務(wù)并滿是安全需求， 其目的是提供安全服務(wù)。

Q77. 為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然 后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)最中用到 下列哪些鑒別方法？（）（單選題）

• A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法

• B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法

• C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法

• D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法

Q78. 信息安全標(biāo)準(zhǔn)化工作是我國(guó)信息安全保障工作的重要組成部分之一，也 是政府進(jìn)行宏觀管理的重要依據(jù)，同時(shí)也是保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的 重要手段之一。關(guān)于我國(guó)信息安全標(biāo)準(zhǔn)化工作，下面選項(xiàng)中描述錯(cuò)誤的是（）（單選題）

• A.我國(guó)是在國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下，由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)統(tǒng)一管 理全國(guó)標(biāo)準(zhǔn)化工作，下設(shè)有專業(yè)技術(shù)委員會(huì).

• B.因事關(guān)國(guó)家安全利益，信息安全因此不能和國(guó)際標(biāo)準(zhǔn)相同，而是要通過(guò)本國(guó)組 織和專家制定標(biāo)準(zhǔn)，確實(shí)有效地保護(hù)國(guó)家利益和安全

• C.我國(guó)歸口信息安全方面標(biāo)準(zhǔn)的是“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”，為加強(qiáng) 相關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”

• D.信息安全標(biāo)準(zhǔn)化工作是解決信息安全問(wèn)題的重要技術(shù)支撐，其主要作用突出地 體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性

Q79. 系統(tǒng)工程的模型之一霍爾三維結(jié)構(gòu)模型由時(shí)間維、邏輯維和知識(shí)維組成。 有關(guān)此模型，錯(cuò)誤的是（）（單選題）

• A.霍爾三維結(jié)構(gòu)體系形象地描述了系統(tǒng)工程研究的框架

• B.時(shí)間維表示系統(tǒng)工程活動(dòng)從開(kāi)始到結(jié)束按時(shí)間順序排列的全過(guò)程

• C.邏輯維的七個(gè)步驟與時(shí)間維的七個(gè)階段嚴(yán)格對(duì)應(yīng)，即時(shí)間維第一階段應(yīng)執(zhí)行邏 輯維第一步驟的活動(dòng)，時(shí)間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動(dòng)

• D.知識(shí)維列舉可能需要運(yùn)用的工程、醫(yī)學(xué)、建筑、商業(yè)、法律、管理、社會(huì)科學(xué) 和藝術(shù)等各種知識(shí)和技能

Q80. P2DR模型是一個(gè)用于描述網(wǎng)絡(luò)動(dòng)態(tài)安全的模型，這個(gè)模型經(jīng)常使用圖形 的形式來(lái)形象表達(dá)，如下圖所示：請(qǐng)問(wèn)圖中空白處應(yīng)填寫是（）（單選題）

• A.執(zhí)行(do)

• B.檢測(cè)(detection)

• C.數(shù)據(jù)(data)

• D.持續(xù)(direction)

Q81. 規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重 要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段 的輸出成果（）（單選題）

• A.《風(fēng)險(xiǎn)評(píng)估方案》

• B.《需要保護(hù)的資產(chǎn)清單》

• C.《風(fēng)險(xiǎn)計(jì)算報(bào)告》

• D.《風(fēng)險(xiǎn)程度等級(jí)列表》

Q82. 某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分析電子商務(wù)網(wǎng) 站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為6 類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，spoofing是STRIDE中欺騙類的威 脅。以下威脅中哪個(gè)可以歸入此類威脅（）（單選題）

• A.網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDOS攻擊，降低網(wǎng)站訪問(wèn)速度；

• B.網(wǎng)站使用hup協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信 息泄露，例如購(gòu)買的商品金額等；

• C.網(wǎng)站使用ht印協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可 能數(shù)據(jù)被中途篡改

• D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲 得用戶密碼，以該用戶身份登錄修改用戶訂單等

Q83. 一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組 成，而其安全性是由下列哪個(gè)選項(xiàng)決定的（）（單選題）

• A.加密算法

• B.解密算法

• C.加密和解密算法

• D.密鑰

Q84. 基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)需要進(jìn)行三次握手。請(qǐng)求通信的 主機(jī)A要與另一臺(tái)主機(jī)B建立連接時(shí)，A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī) 提出連接要求，B收到后，回復(fù)一個(gè)ACK/SYN確認(rèn)請(qǐng)求給A主機(jī)。然后A再 次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請(qǐng)求。攻擊通過(guò)偽造帶有虛假源地址的SYN包 給目標(biāo)主機(jī)，使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo) 主機(jī)會(huì)等一段時(shí)間后才會(huì)放棄這個(gè)連接等待，因此大量虛假SYN包同時(shí)發(fā)送 到目標(biāo)主機(jī)時(shí)，目標(biāo)主機(jī)上就會(huì)有大量的連接請(qǐng)求等待確認(rèn)，當(dāng)這些未釋放 的連接請(qǐng)求數(shù)量超過(guò)目標(biāo)主機(jī)的資源限制時(shí)，正常的連接請(qǐng)求就不能被目 標(biāo)主機(jī)接受。這種SYNFlood攻擊屬于(? ?)（單選題）

• A.拒絕服務(wù)攻擊

• B.分布式拒絕服務(wù)攻擊

• C.緩沖區(qū)溢出攻擊

• D.SQL注入攻擊

Q85. 某汽車保險(xiǎn)公司有龐大的信貸數(shù)據(jù)，基于這些可信的不可篡改的數(shù)據(jù)，公 司希望利用區(qū)塊鏈的技術(shù)，根據(jù)預(yù)先定義好的規(guī)則和條款，自動(dòng)控制保險(xiǎn)的 理賠。這一功能主要利用了的區(qū)塊鏈的（）技術(shù)特點(diǎn)（單選題）

• A.分布式賬本

• B.非對(duì)稱加密和授權(quán)技術(shù)

• C.共識(shí)機(jī)制

• D.智能合約

Q86. IPv4協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題，為了能夠使網(wǎng)絡(luò)方便地 進(jìn)行互聯(lián)互通，僅僅依靠IP頭部校驗(yàn)和字段來(lái)保證IP包的安全，因此IP包 很容易被篡改，并重新計(jì)算校驗(yàn)和。IETF于1994年開(kāi)始制定IPSec協(xié)議標(biāo)準(zhǔn), 其設(shè)計(jì)目標(biāo)是在IPv4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活，透明的安全服務(wù) 保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò) 攻擊，同時(shí)保持易用性，下列選項(xiàng)中說(shuō)法錯(cuò)誤的是（）（單選題）

• A.對(duì)于IPv4, Ipsec是可選的，對(duì)于IPv6, Ipsec是強(qiáng)制實(shí)施的

• B.Ipsec協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)

• C.Ipsec是一個(gè)單獨(dú)的協(xié)議

• D.Ipsec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護(hù)機(jī)制

Q87. 下面對(duì)“零日(Zeroday)漏洞”的理解中，正確的是（）（單選題）

• A.指一個(gè)特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來(lái)遠(yuǎn)程攻擊, 獲取主機(jī)權(quán)限

• B.指一個(gè)特定的漏洞,特指在2010年被發(fā)現(xiàn)出來(lái)的一種漏洞，該漏洞被“震網(wǎng)”病 毒所利用，用來(lái)攻擊基礎(chǔ)設(shè)施

• C.指一類漏洞，即特別好被利用，一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊, 且成功達(dá)到攻擊目標(biāo)

• D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來(lái)說(shuō)那些已經(jīng)被小 部分人發(fā)現(xiàn)，但是還未公開(kāi)、還不存在安全補(bǔ)丁的漏洞都是零日漏洞

Q88. 有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是（）（單選題）

• A項(xiàng)目管理是一門關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理學(xué)科

• B.項(xiàng)目管理是運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論,對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地 管理,不受項(xiàng)目資源的約束

• C.項(xiàng)目管理包括對(duì)項(xiàng)目范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)、 集成的管理

• D.項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用

Q89. 規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估結(jié)能否取得成果的重要 基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí),形成了《風(fēng)險(xiǎn)評(píng)估方案》并得到了管理決 策層的認(rèn)可。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該“《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下(? ? )中的輸出結(jié)果（單選題）

• A.險(xiǎn)評(píng)估準(zhǔn)備階段

• B.風(fēng)險(xiǎn)要素識(shí)別階段

• C.風(fēng)險(xiǎn)分析階段

• D.風(fēng)險(xiǎn)結(jié)果判定階段

Q90. 下圖是使用CC標(biāo)準(zhǔn)進(jìn)行信息安全評(píng)估的基本過(guò)程在圖(1) - (3)處填 入構(gòu)成評(píng)估相關(guān)要素的主要因素，下列選項(xiàng)中正確的是（）（單選題）

• A.（1）評(píng)估方法學(xué)（2）最終評(píng)估結(jié)果（3）批準(zhǔn)、認(rèn)證

• B.（1）評(píng)估方法學(xué)（2）認(rèn)證過(guò)程（3）最終評(píng)估結(jié)果

• C.（1）評(píng)估合理性（2）最終評(píng)估結(jié)果（3）批準(zhǔn)、認(rèn)證

• D.（1）評(píng)估合理性（2）認(rèn)證過(guò)程（3）最終評(píng)估結(jié)果

Q91. Myers在1979年提出了一個(gè)重要觀點(diǎn)，使用人工和自動(dòng)化的手段來(lái)運(yùn)行 或者測(cè)試某個(gè)系統(tǒng)的過(guò)程，其目的在于是否滿足規(guī)定的需求或是弄清預(yù)期結(jié) 果與實(shí)際結(jié)果之間的差異，那么他認(rèn)為軟件測(cè)試目的是（）。（單選題）

• A.證明程序正確

• B.驗(yàn)證程序無(wú)錯(cuò)誤

• C.改正程序錯(cuò)誤

• D.查找程序錯(cuò)誤

Q92. 風(fēng)險(xiǎn)，在GB/T22801中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo) 可能有很多不同的方面，如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo) 和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級(jí)別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目 標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等。IS0/IEC13335-1中揭示了風(fēng)險(xiǎn)各要素關(guān)系模 型，如圖所示。請(qǐng)結(jié)合此圖，怎么才能降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響？( )（單選題）

• A.組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立相應(yīng)的保護(hù)要求，通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn) 生的影響。

• B.加強(qiáng)防護(hù)措施，降低風(fēng)險(xiǎn)。

• C.減少威脅和脆弱點(diǎn)，降低風(fēng)險(xiǎn)。 注減小資產(chǎn)降低風(fēng)險(xiǎn)。

Q93. 請(qǐng)您留下您的姓名，年齡與聯(lián)系方式（填空題）