對于21年測試試卷2狀況的調(diào)查表_免費問卷模板-云調(diào)查

Q1. 您的生源地？（單選題）

Q2. 您家庭可支配的月收入？（單選題）

Q3. 分布式拒絕服務(DistributedDenialofServiceDDoS)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個成多個目標成功DDoS 攻擊，從而成培地提高拒絕服務攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標系統(tǒng)的(? )（單選題）

A.保密性
B.完整性
C.可用性
D.真實性

Q4. 根據(jù)《信息安全等級保護管理辦法》、《關于開展信息安全等級保護測評體系建設試點工作的通知》(公信安【2009] 812號),關于推動信息安全等級保護()建設和開展()工作的通知(公信安【2010】303號)等文件，由公安部()對等級保護測評機構管理，接受測評機構的申請、考核和定期()，對不具備能力的測評機構則（）（單選題）

A.等級測評；測評體系；等級保護評估中心；能力驗證；取消授權
B.測評體系；等級保護評估中心；等級測評；能力驗證；取消授權
C.測評體系；等級測評；等級保護評估中心；能力驗證；取消授權
D.測評體系；等級保護評估中心；能力驗證；等級評估；取消授權

Q5. 規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基，某單位在實施風段評估時，按照規(guī)范成了若干文檔，其中，下面（）中的文檔應屬于風險評估中“風險要素識別“階段輸出的文檔。（單選題）

A.《風險評估方案》，主要包括本次風險評估的目的，范圍，目標，評估步驟，經(jīng)費預算和進度安排等內(nèi)容。
B.《風險評估方法和工具列表》，主要包括擬用的風險評估方法和測試評估工具等內(nèi)容
C.《風險評估準側要求》，主要包括現(xiàn)有風險評估參考標準，采用的風險分析方法，要產(chǎn)分類標準等內(nèi)容。
D.《己有安全措施列表》，主要包括經(jīng)驗查確認后的己有技術和管理各方面安全措施等內(nèi)容

Q6. 某購物網(wǎng)站開發(fā)項目過需要分析進入系統(tǒng)設計階段，為了保證用戶賬戶的安全，項且開發(fā)人員決定用戶登錄時除了用產(chǎn)名口令認證方式外、還加入基于數(shù)字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設計的是哪項安全設計原則（）（單選題）

A.小原最小特權原則
B.職責分離原則
C.縱深防御原則
D.最少共享機制原則

Q7. 以下哪個是國際信息安全標準化組織的簡稱（）（單選題）

A.ANST
B.ISO
C.IEEE
D.NIST

Q8. 某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設計階段分析系統(tǒng)運行過程中可能存在的攻擊，請問以下擬采取的安全措施中，哪一質(zhì)不能降低該系統(tǒng)的亶攻擊面（）（單選題）

A.遠程用戶訪問需進行身份認證
B.遠程用戶請問時具有管理員權限
C.關閉服務器端不必要的系統(tǒng)服務
D.當用戶訪問其賬戶信息時使用嚴格的身份認證機制

Q9. 某單位根據(jù)業(yè)務需要準備立項開發(fā)一個業(yè)務軟件，對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認為應在軟件安全開發(fā)階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信安全專家，請選擇對軟件開發(fā)安全投入的準確說法（）（單選題）

A.信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經(jīng)費投入比軟件運行后的費用要低
B.軟件開發(fā)部門的說法是正確的，因為軟件發(fā)現(xiàn)問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低
C.雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費用更低
D.雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同

Q10. 下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全保障工作的主要原則（）（單選題）

A.《關于加強政府信息系統(tǒng)安全和保密管理工作的通知》
B.《中華人民共和國計算機信息系統(tǒng)安全保護條例》
C.《國家信息化領導小組關于加強信息安全保障工作的意見》
D.《關于開展信息安全風險評估工作的意見》

Q11. 由于頻繁出現(xiàn)軟件運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）（單選題）

A.要求開發(fā)人員采用瀑布開發(fā)模型進行開發(fā)
B.要求所有的開發(fā)人員參加軟件安全意識培訓
C.要求規(guī)范軟件編碼，并制定公司的安全編碼準則
D.要求增加軟件安全測試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問題

Q12. 訪問控制是對用戶或用戶組訪問本地或網(wǎng)絡上的域資源進行授權的一種機制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，-通常使用ACL、訪問令牌和授權管理器來實現(xiàn)訪問控制功能。以下選項中，對Windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）（單選題）

A ACL只能由管理員進行管理
B.ACL蠢對象安全希述符的基本組成部分，它包括有權訪問對象的用戶和組的SID
C.訪問令牌存儲著用戶的SID、組信息和分配給用戶的權限
D.通過授權管理器，可以實現(xiàn)基于角色的訪問控制

Q13. 數(shù)據(jù)庫的安全很復雜，往往需要考慮多種安全策略，才可以更好地保護數(shù)據(jù) 庫的安全。以下關于數(shù)據(jù)庫常用的安全策略理解不正確的是（）（單選題）

A「最小特權原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，'分配最小的特權，使得這些信息恰好能夠完成用戶的工作
B.最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息
C.粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度
D.按內(nèi)容存取控制策略，不同權限的用戶訪問數(shù)據(jù)庫的不同部分

Q14. 信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個控制目標。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理，應該實施常規(guī)的控制措施，不包括哪些選項（）（單選題）

A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責的分配
B.信息處理實施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系
C.與特定利益集團的聯(lián)系、信息安全的獨立評審
D.與外部各方相關風險的識別，處理外部各方協(xié)議中的安全問題

Q15. 應用安全，一般是指保障應用程序使用過程和結果的安全。以下內(nèi)容中不屬于應用安全防護考慮的是（）。（單選題）

A.身份鑒別，應用系統(tǒng)應對登錄的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應用系統(tǒng)資源
B.安全標記，在應用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權限，增加訪問控制的力度，限制非法訪問
C.剩余信息保護，應用系統(tǒng)應加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權的訪問
D.機房與設施安全，保證應用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等

Q16. 老王是一名企業(yè)信息化負責人，由于企業(yè)員工在瀏覽網(wǎng)頁時總導致病毒感染系統(tǒng)，為了解決這一問題，老王要求信息安全員給出解決措施，信息安全員給出了四條措施建議，老王根據(jù)多年的信息安全管理經(jīng)驗，認為其中一條不太適合推廣，你認為是哪條措施（）（單選題）

A.采購防病毒網(wǎng)關并部署在企業(yè)互聯(lián)網(wǎng)出口中，實現(xiàn)對所有預覽網(wǎng)頁進行檢測，阻止網(wǎng)頁中的病毒進入網(wǎng)頁
B.采購并統(tǒng)一部屬企業(yè)防病毒軟件，信息化管理部門統(tǒng)一進行病毒庫升級，確保每臺計算機都具備有效的病毒檢測和查殺能力
C.制定制度禁止使用微軟的IE瀏覽器上網(wǎng)，統(tǒng)一要求使用Chrome瀏覽器
D.組織對員工進行一次上網(wǎng)行為安全培訓，提高企業(yè)員工在互聯(lián)網(wǎng)瀏覽時的安全意識。

Q17. 信云是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏補丁，安全運維人員給出了針對此批漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）（單選題）

A.由于本次發(fā)布的數(shù)個漏洞都屬于高危漏潤，為了避免安全風險，應對單位所有的服務器和客戶端盡快安裝補丁
B.本次發(fā)布的漏銅目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危險，所以可以先不做處理
C.對于重要的服務，應在測試壞境中安裝并確認補丁兼容性問題后再在正式生產(chǎn) 環(huán)境中部署
D.對于服務器等重要設備，立即使用系統(tǒng)更新功能安裝這批補丁，用戶終端計算機由于沒有重要數(shù)據(jù)，由終端自行升級。

Q18. 關于對信息安全事件進行分類分級管理的原因描述不正確的是（）（單選題）

A.信息安全事件的種類很多，嚴里程度也不盡相同，其響應和處理方式也應各不相同
B.對信息安全事件進行分類和分級管理，是有效防范和響應信息安全事件的基礎
C.能夠使事前準備、事中應對和事后處理的各項相關工作更具針對性和有效性
D.我國早期的計算機安全事行的應急響應工作主要括計算機病毒防范和“千年蟲” 問題的解決，關于網(wǎng)絡安全應急響應的起步最早

Q19. 有關系統(tǒng)安全工程能力成熟度模型(SSE-CMM),錯誤的理解是（）（單選題）

A.SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應商、集成商和咨詢服務商等
B.SSE-CMM可以使安全工程成為一個確定的，成熱的和可度量的科目
C.基于SSE-CMM的工程是獨立工程，與軟件工程，硬件工程，通信工程等分別規(guī) 劃實施
D.SSE-CMM覆蓋整個組織的活動，包括管理，組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動

Q20. 關于信息安全應急響應管理過程描述不正確的是（）（單選題）

A.基于戰(zhàn)響應工作的特點和事件的不規(guī)則性，事先制定出事件應急響應方法和過程，有助于一個組在事件發(fā)生時阻由混的發(fā)生成是在混亂狀態(tài)中迅速該復控制，將損失和負面影響降至最低
B.應急響應方法和過程并不是唯一的
C.一種被廣為接受的應象響應方法是將應急響應管理過程分為準備、檢測、遏制、根除，恢復和跟蹤總結6個階段
D.一種被廣為接受的成急響應方法是將應急響應管理過程分為準備，檢測，遏制、根除、恢復和跟蹤總結6個階段，這6個階的響應方法一定確保事件處理的成功

Q21. 小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質(zhì)培訓。一次增訓的時候，小李主要負責培訓講解風險評估方法，請問小李的所述論點中錯誤的是哪項（）（單選題）

A.風險評估方法包括，定性風險分析、定量風險分析以及半定量風險分析
B.定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性
C.插量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性
D.定量風險分新技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化

Q22. 某網(wǎng)絡安全公司基于網(wǎng)絡的實時入侵檢測技術，動態(tài)監(jiān)測來自于外部網(wǎng)絡和內(nèi)部網(wǎng)絡的所有訪問行為。當檢測統(tǒng)到來自內(nèi)外網(wǎng)絡對防火墻的抗攻擊行為，會及時響應，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡資源，提高了防御體系級別。但入侵檢測技術不能實現(xiàn)以下哪種功能（）（單選題）

A.檢測并分析用戶和系統(tǒng)的活動
B.核查系統(tǒng)的配置漏洞，評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性
C.防止IP地址欺騙
D.識別違反安全策略的用戶活動

Q23. Kerberos協(xié)議是一種集中訪問控制協(xié)議，它能在復雜的網(wǎng)絡環(huán)境中，為用戶提供安全的單點登錄服務，單點登錄是指用戶在網(wǎng)絡中進行一次身份認證，便可以訪間其授權的所有網(wǎng)絡資源，而不再需要其他的身份認證過程，實質(zhì)是消息M 在多個應用系統(tǒng)之間的傳遞成共享。其中，消息M是指以下選項中的（）（單選題）

A.安全憑證
B.用戶名
C.加密密鑰
D.會話密鑰

Q24. 隨菩信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考IS027001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力，關于ISMS,下面描述錯誤的是（）（單選題）

A.在組織中，應由信息技術責任部門(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求
B.組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體，具備可行性
C.組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內(nèi)，應包括全體員工，同時，也應傳達到客戶、合作伙件和供應商等外部各方
D.組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘余風險

Q25. 有關能力成熟度模型(CMM),錯誤的理解是（）（單選題）

A.CMM的基本思想是，因為問題是由技術落后引起的，所以新技術的運用會在一定程度上提高質(zhì)量，生產(chǎn)率和利潤率
B.CMM的思想來源于項目管理和質(zhì)量管理
C.CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法
D.CMM是建立在統(tǒng)計過程控制理論基礎上的，它基于這樣一個假設，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量的產(chǎn)品”

Q26. 信息系統(tǒng)安全保障評估概念和關系如圖所示，信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的(? ?)。向信息系統(tǒng)的所有相關方提供信息系統(tǒng)的(? ?)能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是(? ?)，信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個(? ?)，因此信息系統(tǒng)安全保障的評估也應該提供一種(? ?)的信心。（單選題）

A.安全保障工作:客觀證據(jù):信息系統(tǒng):生命周期:動態(tài)持續(xù)
B.客觀證據(jù):安全保障工作:信息系統(tǒng):生命周期:動態(tài)持續(xù)
C.客觀證據(jù)，安全保障工作:生命期:倍息系統(tǒng);動態(tài)持續(xù)
D.客觀證據(jù):安全保障工作;動態(tài)持續(xù);信息系統(tǒng);生命周期

Q27. 以下關于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecuritylPsec)協(xié)議說法錯誤的是（）（單選題）

A.在傳送模式中，保護的是IP負載
B.驗證頭協(xié)議(Authenticationllead , AH)和IP封裝安全載荷協(xié)議 (EncapsulatingSecurityPayload, ESP)都能以傳輸模式和隧道模式工作
C.在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議(InternetProtocol, IP)包，包括IP頭
D.IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性

Q28. 應急響應是信息安全事件管的重要內(nèi)容，基于應急響應工作的特點和事件的不規(guī)性，事先制定出事件響應方法和過程，有助于一個組在事件發(fā)生時阻止混亂狀態(tài)態(tài)中迅速恢復控制，將損降到最低。應急響應方法和過程并不是唯一，一種被廣為接受的應急響應方法是將應響應管理過程分6個階段，為準備-檢測-遇制-根除-恢復-跟蹤總結，請問下列說法有關于信息安全應急響應管理過程錯誤的是（）（單選題）

A.確定重要產(chǎn)和風險，實施針對風險的防護措施是信息安全應急響應規(guī)劃過程中最關鍵的步驟
B.在檢測階段，首先要進行監(jiān)測、報告及信息收集
C.遇到遏制可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關閉所有系統(tǒng)、拔掉網(wǎng)線等
D.應按照應急響應計劃中事先制定的業(yè)務恢復優(yōu)選順序和恢復步驟，順次恢復相關的系統(tǒng)

Q29. 與PDR模型相比，P2DR模型則更強調(diào)(),既強調(diào)系統(tǒng)安全的()，并且以安全檢測、()和自適應填充“安全間隙"為循環(huán)來提高（）（單選題）

A.漏銅檢測；控制和對抗；動態(tài)性；網(wǎng)絡安全
B.動態(tài)性；控制和對抗；漏洞監(jiān)測；網(wǎng)絡安全
C.控制和對抗；漏銅監(jiān)測；動態(tài)性；網(wǎng)絡安全
D.控制和對抗；動態(tài)性；漏洞監(jiān)測；網(wǎng)絡安全

Q30. 關于信息安全管理，下面理解片面的是（）（單選題）

A. 信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務目標的重要保障
B. 信息安全管理是一個不斷演進，循環(huán)發(fā)展的動態(tài)過程，不是一成不變的
C. 在信息安全建設中，技術是基礎，管理是撥高，既有效的管理依賴于良好的技術基礎
D. 堅持管理與技術并重的原則，是我=我國加強信息安全保障工作的主要原則之一。

Q31. 以下關于威脅建模流程步驟說法不正確的是（）（單選題）

A.威脅建模主要流程包括四步，確定建對象、識別威脅、評估威脅和消減威脅
B.評估威脅是對威脅進行分析，評估被利用和擊發(fā)生的率，了解被攻擊后資產(chǎn)的受模后果，并計算風險
C.消減威脅是根據(jù)威脅的評估結果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除成脅，或設計采用技術手段來消減威脅
D.識別威脅是發(fā)現(xiàn)組件或進程存在的威驗，它可能是故意的，也可能不是故意的，威脅就是漏洞

Q32. “統(tǒng)一威脅管理”是將防病毒、入侵檢測和防火墻等安全需求統(tǒng)一管理，日前市場上已經(jīng)出現(xiàn)了多種此類安全設備，這里“統(tǒng)一威脅管理”常常被簡稱為（）（單選題）

A.UTM
B.FW
C.IDS
D.SOC

Q33. PKI的主要理論基礎是（）（單選題）

A.對稱密碼算法
B.公鑰密碼算法
C.量子密碼
D.摘要算法

Q34. 某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設計階段，為了保證用戶帳戶的安全，項目開發(fā)人員決定用戶登錄時如果用戶名或口令輸入錯誤，給用戶返回“用戶名成口令輸入錯誤"信息，輸入錯誤達到三次，將暫時禁止登錄該帳戶，請問以上安全設計遵循的是哪項安全設計原則(? ?)（單選題）

A.最少共享機制原則
B.經(jīng)濟機制原則
C.不信任原則
D.默認故障處理保護原則

Q35. 關于ARP欺騙原理和防范措施，下面理解錯誤的是（）（單選題）

A.ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應答報文，使得受害者主機將錯誤的硬件地址映射關系存入到ARP緩存中，從而起到冒充主機的目的
B.單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實施攻擊
C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，需要人工更新緩存
D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機進行連接

Q36. 小張新購入了一臺安裝了 Windows操作系統(tǒng)的筆記本電腦，為了提升操作系統(tǒng)的安全性，小張在Window系統(tǒng)中的“本地安全策略"中，配置了四類安全策略:賬號策略、本地策略、公鑰策略和IP安全策略。那么該操作屬于操作系統(tǒng)安全配置內(nèi)容中的（）（單選題）

A.關閉不必要的服務
B.制定操作系統(tǒng)安全策略
C.關閉不必要的端口
D.開啟審核策略

Q37. 為保障信息系統(tǒng)安全，某經(jīng)商公司服務系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并將編制任務交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關于此項工作，下面說法錯誤的是（）（單選題）

A.信息安全需求報告應該根據(jù)公司服務信息系統(tǒng)的功能設計方案為主要內(nèi)容來撰寫
B.信息安全需求描述報告設計是信息安全保障方案的前提和依據(jù)
C.信息安全需求描述報告應當基于信息安全風險評估結果和關于政策法規(guī)和標準的合規(guī)性要求得到
D.信息安全需求描述報告的主體內(nèi)容可以按照技術，管理和工程等方面需要展開編寫

Q38. 某銀行有5臺交換機連接了大量交易機構的網(wǎng)絡(如圖所示)在基于以太網(wǎng)的通信中，計算機A需要與計算機B通信，A必須先廣播“ARP請求信息“，獲取計算機B的物理地址。每到月底時用戶發(fā)現(xiàn)該銀行網(wǎng)絡服務速度極其緩慢，銀行經(jīng)調(diào)查后發(fā)現(xiàn)為了當其中一臺交換機收到ARP請求后，會轉(zhuǎn)發(fā)給接收端口以外的其他所有端口, ARP請求會被轉(zhuǎn)發(fā)到網(wǎng)絡中的所有客戶機上，為降低網(wǎng)絡的帶寬消耗，將廣播流限制在固定區(qū)域內(nèi)，可以采用的技術是（? ）（單選題）

A. WLAN劃分
B.動態(tài)分配地址
C.為路由交換設備修改默認口令
D.設立入侵防御系統(tǒng)

Q39. 某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告，該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡信息，雖然該用戶沒有主動訪間該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡信息(還有他的好友的信息)，于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個人信息了。這種向Web頁面插入惡意htmi代碼的攻擊方式稱為（）（單選題）

A.分布式拒絕服式攻擊
B.跨站腳本攻擊
C.SQL注入攻擊
D緩沖區(qū)溢出攻擊

Q40. 若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（）（單選題）

A.任用之前
B.任用中
C.任用終止或變化
D.任用公示

Q41. 社會工程學定位在計算機信息安全工作鏈的一個最重要的環(huán)節(jié)，即“人”這個環(huán)節(jié)上，這些社會工程黑客在某黑客大會上成功收入世界五百強公司，其中一名自稱為是CSO雜志做安全調(diào)查，半小時內(nèi)，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關于工作滿意度以及食堂食物質(zhì)量問題后，雇員開始透露其他信息，包括，操作系統(tǒng)，服務包，殺毒軟件，電子郵件及瀏覽器。為對執(zhí)此類信息收集和分析，公司需要做的是（）（單選題）

A.通過信息安全培訓，使相關信息發(fā)布人員了解信息收集風險，發(fā)布信息采取最小化原則
B.減少系統(tǒng)對外服務的端口數(shù)量，修改服務旗標
C.關閉不必要的服務，部署防火墻，IDS等措施
D.系統(tǒng)安全管理員使用漏銅掃描軟件對系統(tǒng)進行安全審計

Q42. 在軟件保障成熟度模型(SoftwareAssuranceMaturityModeSAMM )中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能（）（單選題）

A.治理，主要是管理軟件開發(fā)的過程和活動
B.構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動
C.驗證，主要是測試和驗證軟件的過程與活動
D.購置，主要是購買第三方商業(yè)軟件或者采用開組件的相關管理過程與活動

Q43. 駐訪問控制模型（）的訪問控制關系可以用訪問控制表(ACL)來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制柜原，通常使用由客體指向的鏈表來儲存書籍，下面選項中正確的是(? )（單選題）

A.ACL是Bell-Lapadula模式的一種具體實現(xiàn)
B.ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便。
C.ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便
D.ACL在增加客體時:增加相關的訪問控制權限比較簡單

Q44. 某單位在實施信息安全風險評估后，形成了若干文檔，下面（）中的檔不應屬于風險評必中“風險評估準備"階段輸出的文檔。（單選題）

A.《風險評估工作計劃》，主要包括本次風險評估的目的意義、范圍、目標、組織結構，角色及職責，經(jīng)費預算“和進度安排內(nèi)容
B.《風險評估方法和工具表》，主要包括擬用的風險評估方法和測試估工等內(nèi)容
C.《己有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術和管理各方面安全措施等內(nèi)容
D.《風險評估準側要求》，主要報告風險評估風險評估參考標準，采用的風險分析方法，風險計算方法，資產(chǎn)分類標準，要產(chǎn)分類準則等內(nèi)容

Q45. 曲于密碼技術都依賴于密鑰，因此密鑰的安全管理是密碼技術應用中非常要的環(huán)節(jié)，下列關于密鑰管理說法錯誤的是（）（單選題）

A.科克霍夫在在《軍事密碼學》中指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴與秘鑰。
B.在保密通信過程中，通信雙方可以一直使用之前用過的會話秘鑰，不影響安全 '性
C.密陰管理要在安全策略的指導下處理秘鑰生命周期的整個過程，包括產(chǎn)生，存儲、備份、分配、更新、等
D.在保密通信過程中，通信雙方也可利用Dirfle-IEmalm協(xié)協(xié)商出會話秘鑰進行保密通信。

Q46. 某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：（）（單選題）

A.模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例
B.數(shù)據(jù)處理點，數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象
C.監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況
D.深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析

Q47. 小王學習了災難備份的有關知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為了鞏固所學知識，小王對這三種備份方式進行了對比，其中在數(shù)據(jù)恢復速度方面三種備份方式由怏到慢的順序是（）。（單選題）

A.完全備份、增量備份、差異備份
B.完全備份、差異備份、增量備份
C.增量備份、差異備份、完全備份
D.差異備份、增量備份、完全備份

Q48. 在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)X 在一個興趣沖突，數(shù)據(jù)Y和Z在另一個信息興趣沖突域中，那么可以確定一個新注冊的用戶（）（單選題）

A.只有訪問了 W之后，才可以訪問X
B.只有訪問了 W之后，才可以訪問Y和Z中的一個
C.無論是否訪問W,都只能訪問Y和Z中的一個
D.無論是否訪問W,都不能訪問Y或Z

Q49. 關于我國信息安全保障的基本原則，下列說法中不正確的是（）（單選題）

A.要與國際接軌，積極吸收國外先進經(jīng)驗并加強合作，遵循國際標準和通行做法，堅持管理與技術
B.信息化發(fā)展和信息安全不是矛盾的關系，不能犧牲一方以保證另一方
C.在信息安全保障建設的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點
D.在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用

Q50. 小張是一名CISP人員。某天他聽到小李說某電商平臺在“雙十一"節(jié)期間某款平板電腦如果輸入1111,購買產(chǎn)品的單價就會變?yōu)?元。請問以下哪項行為符合作為CISP的職業(yè)道德（）（單選題）

A.按照小李的說法嘗試，發(fā)現(xiàn)成功后立即付款購買
B.在微博上將該信息發(fā)布
C.對該電商平臺進行一次滲透測試，查找所有可能的漏洞
D.打電話或發(fā)郵件告知該電商平臺存在錯誤

Q51. 社會工程學是()與()結合的學科，準確來說，它不是一門科學，因為它不能總是重復和成功，并且在信息充分多的情況下它會失效?；谙到y(tǒng)、體系、協(xié)議等技術體系缺陷的()，隨著時間流逝最終都會失效，因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術的發(fā)展完善或替代。社會工程學利用的是人性的“弱點",而人性是()，這使得它幾乎可以說是永遠有效的（）（單選題）

A.網(wǎng)絡安全；心理學；攻擊方式；永恒存在的；攻擊方式
B.網(wǎng)絡安全；攻擊方式；心理學；永恒存在的；攻擊方式
C.網(wǎng)絡安全；心理學；永恒存在的；攻擊方式；攻擊方式
D.網(wǎng)絡安全；攻擊方式；心理學；攻擊方式；永恒存在的

Q52. 一般地，IP分配會首先把整個網(wǎng)絡根據(jù)地域、區(qū)域。每個子區(qū)域從它的上一級區(qū)域里獲取IP地址段，這種分配方法為什么分配方法（）（單選題）

A.自頂向下
B.自下向上
C.自左向右
D.自右向左

Q53. 入侵檢測系統(tǒng)(IntrusionDetectionSysytem, IDS)是用于發(fā)現(xiàn)并報告系統(tǒng)中未授權或違反安全策略行為的設備。在入侵檢測中有這樣一種方法，任何的正常行為都是有一定的規(guī)律的并且可以通過分析這些行為產(chǎn)生的日志信息(假定日志信息足夠安全)總結出這些規(guī)律。而入侵和濫用行為則通常和正常的行為存在嚴重的差異，通過檢查這些差異就可以檢測這些入侵，請問該入侵檢測方法為（）（單選題）

A.基于異常的入侵檢測
B.基于誤用的入侵檢測
C.基于自治代理技術
D.自適應模型生成特性的入侵檢測

Q54. 年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件(?? )（單選題）

A.《國家信息化領導小組關于加強信息安全保障工作的27號)意見》(中辦發(fā)【2003]
B.《國家網(wǎng)絡安全綜合計劃(CNCI)》(國令【2008】54號)
C.《國家信息安全戰(zhàn)略報告》(國信【2005] 2號)
D.《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012123號)

Q55. 目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）（單選題）

A.喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客
B.實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡犯罪團伙
C.搜集政治、軍事、經(jīng)濟等情報信息的情報機構
D.鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務、進行目標破壞的信息作戰(zhàn)部隊

Q56. 關于源代碼審核，下列說法正確的是（）（單選題）

A.源代碼審核往往需要大量的時間，采用人工審核費事費力，但可以通過多人并行審核來彌補這個缺點。
B.源代碼審核工具應當以檢查源代碼的功能是否完整、是否執(zhí)行正確為主要功能。
C.使用源代碼審核工具自動化執(zhí)行代碼檢查和分析，能夠極大提高軟件可靠性并節(jié)省軟件開發(fā)和測試的成本，已經(jīng)取代人工審核方式。
D.源代碼審核是指無需運行被測代碼，僅對源代碼檢查分析，檢測并報告源代碼中可能隱藏的錯誤和缺陷。

Q57. 國務院信息化工作辦公室于2004年9月份下發(fā)了《關于做好重要信息系統(tǒng)災難備份工作的通知》,該文件中指出了我國在災備工作原則，下面哪項不屬于該工作原則（）。（單選題）

A.統(tǒng)籌規(guī)劃
B.分級建設
C.資源共享
D. 平戰(zhàn)結合

Q58. 在某次信息安全應急響應過程中，小王正在實施如下措施：消除或阻斷攻擊源、找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質(zhì)等。請問，按照PDCERF應急響應方法,這些工作應處于以下哪個階段（）（單選題）

A.準備階段
B.檢測階段
C.遏制階段
D.根除階段

Q59. 降低風險(或減低風險)是指通過對面臨風險的資產(chǎn)采取保護措施的方式來降低風險，下面哪個措施不屬于降低風險的措施（）。（單選題）

A.減少威脅源，采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機
B.簽訂外包服務合同，將有技術難點、存在實現(xiàn)風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險
C.減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力
D.減少脆弱性，及時給系統(tǒng)打補丁，關閉無用的網(wǎng)絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性

Q60. 安全領域是由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項描述是錯誤的（）（單選題）

A.安全域劃分主要以業(yè)務需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡、設備的物理部署位置無關
B.安全域劃分能把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題
C.以安全域為基礎，可以確定該區(qū)域的信息系統(tǒng)安全保護等級和防護手段，從而使同一安全域內(nèi)的資產(chǎn)實施統(tǒng)一的保護
D.安全域邊界是安全事件發(fā)生時的抑制點，以安全域為基礎，可以對網(wǎng)絡和系統(tǒng) 進行安全檢查和評估，因此安全域劃分和保護也是網(wǎng)絡防攻擊的有效防護方式

Q61. 根據(jù)《關于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是：（）（單選題）

A.信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和檢查評估互相結合、互為補充
B.信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效” 的原則開展
C.信息安全風險評估應貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程
D.開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導

Q62. 信息安全組織的管理涉及內(nèi)部和外部各方兩個控制目標。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理，應該實施常規(guī)的控制措施，不包括哪些選項（）。（單選題）

A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責的分配
B.信息處理設施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系
C.與特定利益集團的聯(lián)系、信息安全的獨立評審
D.與外部各方相關風險的識別、處理外部各方協(xié)議中的安全問題.

Q63. 以下哪一項不是信息系統(tǒng)集成項目的特點：（）（單選題）

A.信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點
B.系統(tǒng)集成就是選擇最好的產(chǎn)品和技術，開發(fā)相應的軟件和硬件，將其集成到信息系統(tǒng)的過程。
C.信息系統(tǒng)集成項目的指導方法是“總體規(guī)劃、分布實施”。
D.信息系統(tǒng)集成包含技術，管理和商務等方面，是一項綜合性的系統(tǒng)工程。

Q64. 關于SMTP和POP3的說法哪個是錯誤的是（）（單選題）

A.是一種基于ASCII的編碼請求/響應的模式的協(xié)議
B.明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能
C.缺乏嚴格的用戶認證，因此導致了垃圾郵件問題
D.協(xié)議過于簡單，易用性更高，更容易實現(xiàn)遠程管理郵件

Q65. 對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對系統(tǒng)進行劃分，不屬于正確劃分級別的是：( )（單選題）

A.特別重要信息系統(tǒng)
B.重要信息系統(tǒng)
C.一般信息系統(tǒng)
D.關鍵信息系統(tǒng)

Q66. 國家科學技術秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密的描述（）（單選題）

A.處于國際先進水平，并且有軍事用速或者對經(jīng)濟建設具有重要影響的
B.能夠局部反應國家防御和治安實力的
C.我國獨有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會或經(jīng)濟效益辭顯著的傳統(tǒng)工藝
D.國際領先，并且對國防建設或者經(jīng)濟建設具有特別重大影響的

Q67. 實體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實體所知的鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于使用基于實體特征的鱉別方法的是（）。（單選題）

A.將登錄口令設置為出生日期
B.通過詢問和核對用戶的個人隱私信息來鑒別
C.使用系統(tǒng)定制的，在本系統(tǒng)專用的IC卡進行鑒別
D.通過掃描和識別用戶的臉部信息來鑒別

Q68. 訪問控制方法可分為自主訪問控制、強制訪問控制和基于角色的訪問控制，它們具有不同的特點和應用場景。如果需要選擇一個訪問控制方法，要求能夠支持最小特權原則和職責分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項中，能夠滿足以上要求的選項是（）。（單選題）

A.自主訪問控制
B.強制訪問控制
C.基于角色的訪問控制
D.以上選項都可以

Q69. 風藍原理可以用下面的范式形式化地加以說明：風險值=R (A,T,V) =R(L(T,V), F(Ia,Va))以下關于上式各項說明錯誤的是：（）（單選題）

A.R表示安全風險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性
B.L表示威脅利用資產(chǎn)脆弱性導致安全事件的可能性
C.F表示安全事件發(fā)生后造成的損失
D.Ia, Va分別表示安全事件作用全部資產(chǎn)的價值與其對應資產(chǎn)(應為脆弱性)的嚴重程度.

Q70. 為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關于信息安全等級保護工作的實施意見》(公通字[20041 66號),對等級保護工作的開展提供宏觀指導和約束，明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關于該文件，下面理解正確的是（）（單選題）

A.該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件
B.該文件適用于2004年的等級保護工作，其內(nèi)容不能約束到2005年及以后的工作
C.該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍
D.該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位

Q71. 殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關于殘余風險描述錯誤的是（）（單選題）

A.殘余風險是采取了安全措施后，仍然可能存在的風險；一般來說，是在綜合考慮了安全成本與效益后不去控制的風險
B.殘余風險應受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件
C.實施風險處理時，應將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果
D.信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小殘余風險值作為風險管理效果評估指標

Q72. 由于密碼技術都依賴于密鑰，因此密鑰的安全管理是密碼技術應用中非常重要的環(huán)節(jié)，下列關于密鑰管理說法錯誤的是（）。（單選題）

A.科克霍夫在《軍事密碼學》中指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰
B.在保密通信過程中，通信雙方可以一直使用之前用過的會話密鑰，不影響安全性
C.密鑰管理需要在安全策略的指導下處理密鑰生命周期的整個過程，包括生產(chǎn)、存儲、備份、分配、更新、撤銷等
D.在保密通信過程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰進行保密通信

Q73. 關于矗代碼的守護進程的功能，以下說法正確的是（）。（單選題）

A.隱藏惡意代碼
B.加大檢測難度
C.傳播惡意代碼
D.監(jiān)視惡意代碼主體程序是否正常

Q74. 為推動和規(guī)范我國信息安全等級保護工作，我國制定和發(fā)布了信息安全等級保護工作所需要的一系列標準，這些標準可以依照等級保護工作的工作階段分級.下面四個標準中，(? ?)規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及登記變更等內(nèi)容：（單選題）

A.GB/T20271-2006《信息系統(tǒng)通用安全技術要求》
B.GB/T《信息系統(tǒng)安全保護登記定級指南》
C.GB/T《信息系統(tǒng)等級保護安全設計技術要求》
D.GB/T《信息系統(tǒng)安全管理要求》

Q75. 某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程XP. Ccmdshell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應該指出該網(wǎng)站設計違反了以下哪項原則：(? ?)（單選題）

A.權限分離原則
B.最小特權原則
C.保護最薄弱環(huán)節(jié)的原則
D.縱深防御的原則

Q76. 密碼學是網(wǎng)絡安全的基礎，但網(wǎng)絡安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡安全的一個重要組成部分。下面描述中錯誤的是（）（單選題）

A.在實際應用中，密碼協(xié)議應按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復雜的步驟可以不明確處理方式
B.密碼協(xié)議定義了兩方或多方之間為完成某項任務而制定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行
C.根據(jù)密碼協(xié)議應用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人
D.密碼協(xié)議(cryptographicprotocol ),有時也稱安全協(xié)議(securityprotocol),是使用密碼x學完成某項特定的任務并滿是安全需求，其目的是提供安全服務。

Q77. 為防范網(wǎng)絡欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場最中用到下列哪些鑒別方法？（）（單選題）

A.實體“所知”以及實體“所有”的鑒別方法
B.實體“所有”以及實體“特征”的鑒別方法
C.實體“所知”以及實體“特征”的鑒別方法
D.實體“所有”以及實體“行為”的鑒別方法

Q78. 信息安全標準化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據(jù)，同時也是保護國家利益、促進產(chǎn)業(yè)發(fā)展的重要手段之一。關于我國信息安全標準化工作，下面選項中描述錯誤的是（）（單選題）

A.我國是在國家質(zhì)量監(jiān)督檢驗檢疫總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設有專業(yè)技術委員會.
B.因事關國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，確實有效地保護國家利益和安全
C.我國歸口信息安全方面標準的是“全國信息安全標準化技術委員會”，為加強相關工作，2016在其下設立“大數(shù)據(jù)安全特別工作組”
D.信息安全標準化工作是解決信息安全問題的重要技術支撐，其主要作用突出地體現(xiàn)在能夠確保有關產(chǎn)品、設施的技術先進性、可靠性和一致性

Q79. 系統(tǒng)工程的模型之一霍爾三維結構模型由時間維、邏輯維和知識維組成。有關此模型，錯誤的是（）（單選題）

A.霍爾三維結構體系形象地描述了系統(tǒng)工程研究的框架
B.時間維表示系統(tǒng)工程活動從開始到結束按時間順序排列的全過程
C.邏輯維的七個步驟與時間維的七個階段嚴格對應，即時間維第一階段應執(zhí)行邏輯維第一步驟的活動，時間維第二階段應執(zhí)行邏輯維第二步驟的活動
D.知識維列舉可能需要運用的工程、醫(yī)學、建筑、商業(yè)、法律、管理、社會科學和藝術等各種知識和技能

Q80. P2DR模型是一個用于描述網(wǎng)絡動態(tài)安全的模型，這個模型經(jīng)常使用圖形的形式來形象表達，如下圖所示：請問圖中空白處應填寫是（）（單選題）

A.執(zhí)行(do)
B.檢測(detection)
C.數(shù)據(jù)(data)
D.持續(xù)(direction)

Q81. 規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎。按照規(guī)范的風險評估流程，下面哪個文檔應當是風險要素識別階段的輸出成果（）（單選題）

A.《風險評估方案》
B.《需要保護的資產(chǎn)清單》
C.《風險計算報告》
D.《風險程度等級列表》

Q82. 某電子商務網(wǎng)站在開發(fā)設計時，使用了威脅建模方法來分析電子商務網(wǎng) 站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為6 類，為每一類威脅提供了標準的消減措施，spoofing是STRIDE中欺騙類的威脅。以下威脅中哪個可以歸入此類威脅（）（單選題）

A.網(wǎng)站競爭對手可能雇傭攻擊者實施DDOS攻擊，降低網(wǎng)站訪問速度；
B.網(wǎng)站使用hup協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息泄露，例如購買的商品金額等；
C.網(wǎng)站使用ht印協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改
D.網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等

Q83. 一個密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五部分組成，而其安全性是由下列哪個選項決定的（）（單選題）

A.加密算法
B.解密算法
C.加密和解密算法
D.密鑰

Q84. 基于TCP的主機在進行一次TCP連接時需要進行三次握手。請求通信的主機A要與另一臺主機B建立連接時，A需要先發(fā)一個SYN數(shù)據(jù)包向B主機提出連接要求，B收到后，回復一個ACK/SYN確認請求給A主機。然后A再次回應ACK數(shù)據(jù)包，確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機，使目標主機發(fā)送的ACK/SYN包得不到確認。一般情況下，目標主機會等一段時間后才會放棄這個連接等待，因此大量虛假SYN包同時發(fā)送到目標主機時，目標主機上就會有大量的連接請求等待確認，當這些未釋放的連接請求數(shù)量超過目標主機的資源限制時，正常的連接請求就不能被目標主機接受。這種SYNFlood攻擊屬于(? ?)（單選題）

A.拒絕服務攻擊
B.分布式拒絕服務攻擊
C.緩沖區(qū)溢出攻擊
D.SQL注入攻擊

Q85. 某汽車保險公司有龐大的信貸數(shù)據(jù)，基于這些可信的不可篡改的數(shù)據(jù)，公司希望利用區(qū)塊鏈的技術，根據(jù)預先定義好的規(guī)則和條款，自動控制保險的理賠。這一功能主要利用了的區(qū)塊鏈的（）技術特點（單選題）

A.分布式賬本
B.非對稱加密和授權技術
C.共識機制
D.智能合約

Q86. IPv4協(xié)議在設計之初并沒有過多地考慮安全問題，為了能夠使網(wǎng)絡方便地進行互聯(lián)互通，僅僅依靠IP頭部校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開始制定IPSec協(xié)議標準, 其設計目標是在IPv4和IPv6環(huán)境中為網(wǎng)絡層流量提供靈活，透明的安全服務保護TCP/IP通信免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機密性，有效抵御網(wǎng)絡攻擊，同時保持易用性，下列選項中說法錯誤的是（）（單選題）

A.對于IPv4, Ipsec是可選的，對于IPv6, Ipsec是強制實施的
B.Ipsec協(xié)議提供對IP及其上層協(xié)議的保護
C.Ipsec是一個單獨的協(xié)議
D.Ipsec安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制

Q87. 下面對“零日(Zeroday)漏洞”的理解中，正確的是（）（單選題）

A.指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠程攻擊, 獲取主機權限
B.指一個特定的漏洞,特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用來攻擊基礎設施
C.指一類漏洞，即特別好被利用，一且成功利用該類漏洞,可以在1天內(nèi)完成攻擊, 且成功達到攻擊目標
D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，一般來說那些已經(jīng)被小部分人發(fā)現(xiàn)，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞

Q88. 有關項目管理，錯誤的理解是（）（單選題）

A項目管理是一門關于項目資金、時間、人力等資源控制的管理學科
B.項目管理是運用系統(tǒng)的觀點、方法和理論,對項目涉及的全部工作進行有效地管理,不受項目資源的約束
C.項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風險、采購、集成的管理
D.項目管理是系統(tǒng)工程思想針對具體項目的實踐應用

Q89. 規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎。某單位在實施風險評估時,形成了《風險評估方案》并得到了管理決策層的認可。在風險評估實施的各個階段中，該“《風險評估方案》應是如下(? ? )中的輸出結果（單選題）

A.險評估準備階段
B.風險要素識別階段
C.風險分析階段
D.風險結果判定階段

Q90. 下圖是使用CC標準進行信息安全評估的基本過程在圖(1) - (3)處填入構成評估相關要素的主要因素，下列選項中正確的是（）（單選題）

A.（1）評估方法學（2）最終評估結果（3）批準、認證
B.（1）評估方法學（2）認證過程（3）最終評估結果
C.（1）評估合理性（2）最終評估結果（3）批準、認證
D.（1）評估合理性（2）認證過程（3）最終評估結果

Q91. Myers在1979年提出了一個重要觀點，使用人工和自動化的手段來運行或者測試某個系統(tǒng)的過程，其目的在于是否滿足規(guī)定的需求或是弄清預期結果與實際結果之間的差異，那么他認為軟件測試目的是（）。（單選題）

A.證明程序正確
B.驗證程序無錯誤
C.改正程序錯誤
D.查找程序錯誤

Q92. 風險，在GB/T22801中定義為事態(tài)的概率及其結果的組合。風險的目標可能有很多不同的方面，如財務目標、健康和人身安全目標、信息安全目標和環(huán)境目標等；目標也可能有不同的級別，如戰(zhàn)略目標、組織目標、項目目標、產(chǎn)品目標和過程目標等。IS0/IEC13335-1中揭示了風險各要素關系模型，如圖所示。請結合此圖，怎么才能降低風險對組織產(chǎn)生的影響？( )（單選題）

A.組織應該根據(jù)風險建立相應的保護要求，通過構架防護措施降低風險對組織產(chǎn) 生的影響。
B.加強防護措施，降低風險。
C.減少威脅和脆弱點，降低風險。注減小資產(chǎn)降低風險。

Q93. 請您留下您的姓名，年齡與聯(lián)系方式（填空題）

日本免费A在线|国产又硬又粗又黄又猛|色天使久久综合给合久久97色|亚洲欧美人成人综合在线观看

對于21年測試試卷2狀況的調(diào)查表

相關專題

熱門問卷

最新問卷