信息安全師考試題庫(kù)考點(diǎn)

信息安全師考試題庫(kù)考點(diǎn)

1、單選如果出現(xiàn)IT人員和最終用戶(hù)職責(zé)分工的問(wèn)題，下面哪個(gè)選項(xiàng)是合適

的補(bǔ)償性控制？()

A.限制物理訪問(wèn)計(jì)算機(jī)設(shè)備

B.檢查應(yīng)用及事務(wù)處理日志

C.在聘請(qǐng)IT人員之前進(jìn)行背景檢查

D.在不活動(dòng)的特定時(shí)間后，鎖定用戶(hù)會(huì)話

正確答案：B

2、單選在評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。首先要查看()

A.控制措施已經(jīng)適當(dāng)

B.控制的有效性適當(dāng)

C.監(jiān)測(cè)資產(chǎn)有關(guān)風(fēng)險(xiǎn)的機(jī)制

D.影響資產(chǎn)的漏洞和威脅

TF確答案：D

3、土選、在計(jì)算可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時(shí)間時(shí)()

A.只需考慮停機(jī)時(shí)間的成本

B.需要分析恢宓操作的成本

C.停機(jī)時(shí)間成本和恢復(fù)操作成本都需要考慮

D.可以忽略間接的停機(jī)成本

正確答案：C

4、單選矩陣分析法通常是哪種風(fēng)險(xiǎn)評(píng)估采用的方法()

A.定性風(fēng)險(xiǎn)評(píng)估

B.定量分析評(píng)估

C.安全漏洞評(píng)估

D.安全管理評(píng)估

正確答案：A

5、單選單位中下面幾種人員中哪種安全風(fēng)險(xiǎn)最大？()

A.臨時(shí)員工

B.外部咨詢(xún)?nèi)藛T

C.現(xiàn)在對(duì)公司不滿(mǎn)的員工

D.離職的員工

正確答案：C

6、單選以下哪些不是介質(zhì)類(lèi)資產(chǎn)：()

A.紙質(zhì)義檔

B.存儲(chǔ)介質(zhì)

C.軟件介質(zhì)

D.憑證

正確答案：A

7、單選如果恢復(fù)時(shí)間目標(biāo)增加，則()

A.災(zāi)難容忍度增加

B.恢復(fù)成本增加

C.不能使用冷備援計(jì)算機(jī)中心

D.數(shù)據(jù)備份頻率增加

正確答案：A

8、單選下列對(duì)系統(tǒng)日志信息的操作中哪一項(xiàng)是最不應(yīng)當(dāng)發(fā)生的：()

A.對(duì)日志內(nèi)容進(jìn)行編輯

B.只抽取部分條目進(jìn)行保存和查看

C.月新的H志覆蓋舊的日志

D.使用專(zhuān)用工具對(duì)日志進(jìn)行分析正確答案：A

9、單選企業(yè)由于人力資源短缺，IT支持一直以來(lái)由一位最終用戶(hù)兼職，最恰

當(dāng)?shù)难a(bǔ)償性控制是：O

A.限制物理訪問(wèn)計(jì)算設(shè)備

B.檢查事務(wù)和應(yīng)用日志

C.雇用新1T員工之前進(jìn)行背景調(diào)查

D.在雙休日鎖定用戶(hù)會(huì)話

正確答案：B

10、填空題對(duì)目前大量的數(shù)據(jù)備份來(lái)說(shuō)，()是應(yīng)用得最廣的介質(zhì)。

正確答案：磁帶

11、單選數(shù)字證書(shū)在InternationalTelecommunicationsUnion(ITU)的哪

個(gè)標(biāo)準(zhǔn)中定義的？O

A.X.400

B.X.25

C.X.12

D.X.509

正確答案：D

12、單選在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，企業(yè)影響分析可以用來(lái)識(shí)別關(guān)鍵業(yè)務(wù)流

程和相應(yīng)的支持程序，它主要會(huì)影響到下面哪一項(xiàng)內(nèi)容的制定？()

A.維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的職責(zé)

B.選擇站點(diǎn)恢復(fù)供應(yīng)商的條件

C.恢復(fù)策略

D.關(guān)鍵人員的職責(zé)

正確答案：C

13、單選應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括：()

A.對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源(人財(cái)

物)等；

B.審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；

C.負(fù)責(zé)組織的外部協(xié)作工作

D.組織應(yīng)急響應(yīng)計(jì)劃演練

正確答案：D

14、單選以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利()

A.應(yīng)急委員會(huì)

B.各部門(mén)

C.管理層

D.外部專(zhuān)家

正確答案：C

15、單選第一個(gè)建立電子政務(wù)標(biāo)準(zhǔn)的國(guó)家是？()

A.英國(guó)

B.美國(guó)

C.德國(guó)

D.俄羅斯

正確答案：C

16、單選我國(guó)的信息安全保障基本原則是？()

A.正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全.

B.立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重。

C.強(qiáng)化未來(lái)安全環(huán)境，增強(qiáng)研究、開(kāi)發(fā)和教育以及投資先進(jìn)的技術(shù)來(lái)構(gòu)建將來(lái)

的環(huán)境。

D.明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑

國(guó)家信息安全保障體系。

正確答案：C

17、單選下列哪類(lèi)訪問(wèn)控制模型是基于安全標(biāo)簽實(shí)現(xiàn)的？()

A.自主訪問(wèn)控制

B.強(qiáng)制訪問(wèn)控制

C.基于規(guī)則的訪問(wèn)控制

D.基于身份的訪問(wèn)控制

正確答案：B

18、判斷題根據(jù)《兒童互聯(lián)網(wǎng)保護(hù)法》，美國(guó)的公共圖書(shū)館都必須給聯(lián)網(wǎng)計(jì)

算機(jī)安裝八色情過(guò)濾系統(tǒng)，否則圖書(shū)館將無(wú)法獲得政府提供的技術(shù)補(bǔ)助資金。

正確答案：對(duì)

19、單選Kerberos可以防止以下哪種攻擊？()

A.隧道攻擊。

B,重放攻擊。

C.破壞性攻擊。

D.處理攻擊。

正確答案：B

20、單選在橙皮書(shū)的概念中，信任是存在于以下哪一項(xiàng)中的？()

A.操作系統(tǒng)

B.網(wǎng)絡(luò)

C.數(shù)據(jù)庫(kù)

D.應(yīng)用程序系統(tǒng)

正確答案：A

21、單選風(fēng)險(xiǎn)分析的目標(biāo)是達(dá)到：()

八、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的價(jià)值平衡

B、風(fēng)險(xiǎn)影響和保獷性措施之間的操作平衡

C、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的技術(shù)平衡

D、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的邏輯平衡

正確答案：A

22、單選以下選項(xiàng)中那一項(xiàng)是對(duì)信息安全風(fēng)險(xiǎn)采取的糾正機(jī)制？()

A.訪問(wèn)控制

B.入侵檢測(cè)

C.災(zāi)難恢復(fù)

D.防病毒系統(tǒng)

正確答案：c

23、單速項(xiàng)目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是()

A.考慮安全開(kāi)發(fā)需要什么樣的資源與預(yù)算

B.考慮安全開(kāi)發(fā)在開(kāi)發(fā)生命周期各階段應(yīng)開(kāi)展哪些工作

C.對(duì)開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行信息安全培訓(xùn)

D.購(gòu)買(mǎi)一定的安全工具，如代碼掃描工具等

正確答案：B

24、單選由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)

中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破

壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級(jí)別事件O

A.特別重大事件

B.重大事件

C.較大事件

D.一般事件

正確答案：A

25、單選以下哪個(gè)選項(xiàng)不是信息中心(IC)工作職能的一部分？()

A.準(zhǔn)備最終用戶(hù)的預(yù)算

B.選擇PC的硬件和軟件

C.保持所有PC的硬件和軟件的清單

D.提供被認(rèn)可的硬件和軟件的技術(shù)支持

正確答案：A

26、單選拒絕式服務(wù)攻擊會(huì)影響信息系統(tǒng)的哪個(gè)特性？()

A.完整性

B,可用性

C.機(jī)密性

D.可控性

正確答案：B

27、多選路由器可以通過(guò)()來(lái)限制帶寬。

A.源地址

B.目的地址

C.月戶(hù)

D.協(xié)議

正確答案：A,B,C,D

28、單選下述攻擊手段中不屬于DOS攻擊的是：()

A.Smurf攻擊

B.Land攻擊

C.Teardrop攻擊

D.CGT溢出攻擊

正確答案：D

29、單選下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容()

A.安全測(cè)試

B.對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估

C.防止敏感信息泄漏

D.人員培訓(xùn)

正確答案：A

30、單選風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具()

A.漏洞掃描工具

B.入侵檢測(cè)系統(tǒng)

C.安全審計(jì)工具

D.安全評(píng)估流程管理工具

正確答案：D

31、單選IPSEC的抗重放服務(wù)的實(shí)現(xiàn)原理是什么？()

A.使用序列號(hào)以及滑動(dòng)窗口原理來(lái)實(shí)現(xiàn)。

B.使用消息認(rèn)證碼的校驗(yàn)值來(lái)實(shí)現(xiàn)

C.在數(shù)據(jù)包中包含一個(gè)將要被認(rèn)證的共享秘密或密鑰來(lái)實(shí)現(xiàn)

D.使用ESP隧道模式對(duì)IP包進(jìn)行封裝即可實(shí)現(xiàn)。

正確答案：A

32、單選下面哪一個(gè)是定義深度防御安全原則的例子？()

A.使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量

B.在主機(jī)上使用防火墻和邏輯訪問(wèn)控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量

C.在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志

D.使用兩個(gè)防火墻檢查不同類(lèi)型進(jìn)入網(wǎng)絡(luò)的流量

正確答案：A

33、單選機(jī)構(gòu)應(yīng)該把信息系統(tǒng)安全看作：()

A.業(yè)務(wù)中心

B.風(fēng)險(xiǎn)中心

C.業(yè)務(wù)促進(jìn)因素

D.業(yè)務(wù)抑制因素

正確答案：C

34、單選信息安全管理措施不包括：()

A.安全策略

B.物理和環(huán)境安全

C.訪問(wèn)控制

D.安全范圍

正確答案：D

35、單選用于跟蹤路由的命令是()

A.nestat

B.regedit

C.systeminfo

D.tracert

正確答案：D

36、單選那種測(cè)試結(jié)果對(duì)開(kāi)發(fā)人員的影響最大()

A.單元測(cè)試和集成測(cè)試

B.系統(tǒng)測(cè)試

C.驗(yàn)收測(cè)試

D.滲透測(cè)試

正確答案：C

37、單選在Linux操作系統(tǒng)中，為了授權(quán)用戶(hù)具有管理員的某些個(gè)性需求的

權(quán)限所采取的措施是什么？()

A,告訴其他用戶(hù)root密碼

B.將普通用戶(hù)加入到管理員組

C.使用visudo命令授權(quán)用戶(hù)的個(gè)性需求

D.創(chuàng)建單獨(dú)的虛擬賬戶(hù)

正確答案：C

38、判斷題在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第二道防御屏障。

正確答案：錯(cuò)

39、填空題企業(yè)與消費(fèi)者之間的電子商務(wù)是企業(yè)透過(guò)()銷(xiāo)售產(chǎn)品或服務(wù)個(gè)

人消費(fèi)者。

正確答案：網(wǎng)絡(luò)

40、單選下面哪一種物理訪問(wèn)控制能夠?qū)Ψ鞘跈?quán)訪問(wèn)提供最高級(jí)別的安全？

()

A.bolting門(mén)鎖

B.Cipher密碼鎖

C.電子門(mén)鎖

D.指紋掃描器

正確答案：D

41、單選企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個(gè)()

A.管理層足夠重視

B.需要全員參與

C.不必遵循過(guò)程的方法

D.需要持續(xù)改進(jìn)

正確答案：C

42、單選下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的主要

過(guò)程：()

A.風(fēng)險(xiǎn)過(guò)程

B.保證過(guò)程

C.工程過(guò)程

D.評(píng)估過(guò)程

正確答案：D

43、單選事件響應(yīng)方法學(xué)定義了安全事件處理的流程，這個(gè)流程的順序是：

()

A.準(zhǔn)備一抑制一檢測(cè)一根除一恢復(fù)一跟進(jìn)

B.準(zhǔn)備一檢測(cè)一抑制一恢復(fù)一根除一跟進(jìn)

C.準(zhǔn)備一檢測(cè)一抑制一根除一恢復(fù)一跟進(jìn)

0.準(zhǔn)備一抑制一根除一檢測(cè)一恢復(fù)一跟進(jìn)

正確答案：C

44、單選組織允許外部通過(guò)互聯(lián)網(wǎng)訪問(wèn)組織的局域網(wǎng)之前，首先要考慮實(shí)施

以下哪項(xiàng)措施？()

A.保護(hù)調(diào)制解調(diào)器池。

B.考慮適當(dāng)?shù)纳矸蒡?yàn)證方式。

C.為用戶(hù)提供賬戶(hù)使用信息。

D.實(shí)施工作站鎖定機(jī)制。

正確答案：B

45、多選IPSec通過(guò)()實(shí)現(xiàn)密鑰交換、管理及安全協(xié)商。

A.AH

B.ESP

C.ISAKMP/Oakley

D.SKIP

正確答案：C,D

46、單選下面對(duì)于標(biāo)識(shí)和鑒別的解釋最準(zhǔn)確的是：()

A.標(biāo)識(shí)用于區(qū)別不同的用戶(hù)，而鑒別用于驗(yàn)證用戶(hù)身份的真實(shí)性

B.標(biāo)識(shí)用于區(qū)別不同的用戶(hù)，而鑒別用于賦予用戶(hù)權(quán)限

C.標(biāo)識(shí)用于保證用戶(hù)信息的完整性，而鑒別用于驗(yàn)證用戶(hù)身份的真實(shí)性

D.標(biāo)識(shí)用丁保證用戶(hù)信息的完整性，而鑒別用于賦予用戶(hù)權(quán)限

正確答案：A

47、單選以下哪一項(xiàng)屬于物理安全方面的管理控制措施？()

A.照明

B.護(hù)柱

C培訓(xùn)I

D.建筑設(shè)施的材料

正確答案：C

48、單選下列哪一項(xiàng)是一個(gè)適當(dāng)?shù)臏y(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃(RCP)?

()

A.試運(yùn)行

B.紙面測(cè)試

C.單元

D.系統(tǒng)

正確答案：B

49、單選對(duì)于Linux審計(jì)說(shuō)法錯(cuò)誤的是？()

A.Linux系統(tǒng)支持細(xì)粒度的審計(jì)操作

B.Linux系統(tǒng)可以使用自帶的軟件發(fā)送審計(jì)日志到SOC平臺(tái)

C.Linux系統(tǒng)一般使用auditd進(jìn)程產(chǎn)生日志文件

D.Linux在secure日志中登陸成功日志和審計(jì)Fl志是一個(gè)文件

正確答案：D

50、單選評(píng)估應(yīng)急響應(yīng)計(jì)劃時(shí)，下列哪一項(xiàng)應(yīng)當(dāng)最被關(guān)注：()

A.災(zāi)難等級(jí)基于受損功能的范圍，而不是持續(xù)時(shí)間

B.低級(jí)別災(zāi)難和軟件事件之間的區(qū)別不清晰

C.總體應(yīng)急響應(yīng)計(jì)劃被文檔化，但詳細(xì)恢復(fù)步喉沒(méi)有規(guī)定

D.事件通告的職貢沒(méi)有被識(shí)別

正確答案：D

51、單選信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門(mén)并具備相關(guān)角色和工作職責(zé)的

代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？O

A.管理人員、用戶(hù)、應(yīng)用設(shè)計(jì)人員

B.系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專(zhuān)員

C.內(nèi)部審計(jì)人員、安全專(zhuān)員、領(lǐng)域?qū)＜?/p>

D.應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員

正確答案：D

52、單選數(shù)據(jù)保護(hù)最重要的目標(biāo)是以下項(xiàng)目中的哪一個(gè)()

A.識(shí)別需要獲得相關(guān)信息的用戶(hù)

B.確保信息的完整性

C.對(duì)信息系統(tǒng)的訪問(wèn)進(jìn)行拒絕或授權(quán)

D.監(jiān)控邏輯訪問(wèn)

正確答案：B

53、單選根據(jù)PPDR模型：()

A.一個(gè)信息系統(tǒng)的安全保障體系應(yīng)當(dāng)以人為核心，防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)

完整的、動(dòng)態(tài)的循環(huán)

B.判斷一個(gè)系統(tǒng)系統(tǒng)的安全保障能力，主要看安全策略的科學(xué)性與合理性，以

及安全策略的落實(shí)情況

C.如果安全防護(hù)時(shí)間小于檢測(cè)時(shí)間加響應(yīng)時(shí)間，這該系統(tǒng)一定是不安全的

D.如果一個(gè)系統(tǒng)的安全防護(hù)時(shí)間為0,則系統(tǒng)的安全性取決于暴露時(shí)間

正確答案：D

54、單選下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？()

A.哈龍氣體

B.濕管

C.干管

D.二氧化碳?xì)?/p>

正確答案：A

55、單選以下標(biāo)準(zhǔn)內(nèi)容為“信息安全管理體系要求”的是哪個(gè)？()

A.IS027000

B.IS027001

C.IS027002

D.IS027003

正確答案：B

56、單選以下關(guān)于風(fēng)險(xiǎn)評(píng)估的描述不正確的是？()

A.作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生的可能需要被評(píng)估

B.作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評(píng)估

C.風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步

D.風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最終結(jié)果

正確答案：D

57、單選下列關(guān)于互惠原則說(shuō)法不正確的是()。

A、互惠原則是網(wǎng)絡(luò)道德的主要原則之一

B、網(wǎng)絡(luò)信息交流和網(wǎng)絡(luò)服務(wù)具有雙向性

C、網(wǎng)絡(luò)主體只承擔(dān)義務(wù)

D、互惠原則本質(zhì)上體現(xiàn)的是賦予網(wǎng)絡(luò)主體平等與公正

正確答案：C

58、單選下列哪一種行為通常不是在信息系統(tǒng)生存周期中的運(yùn)行維護(hù)階段中

發(fā)生的？()

A.進(jìn)行系統(tǒng)備份

B.管理加密密鑰

C.認(rèn)可安全控制措施

D.升級(jí)安全軟件

正確答案：C

59、單選下列生物識(shí)別設(shè)備，哪一項(xiàng)的交差錯(cuò)判率(CER)最高？()

A.虹膜識(shí)別設(shè)備

B.手掌識(shí)別設(shè)備

C.聲音識(shí)別設(shè)備

D.指紋識(shí)別設(shè)備

正確答案：C

60、單選一個(gè)組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面

的災(zāi)難恢復(fù)計(jì)劃的評(píng)估，具有成本效益的方式，應(yīng)建議使用：()

A.數(shù)據(jù)恢復(fù)測(cè)試

B.充分的業(yè)務(wù)測(cè)試

C.前后測(cè)試

D.預(yù)案測(cè)試

正確答案：D

61、單選組織的災(zāi)難恢復(fù)計(jì)劃應(yīng)該：()

A.減少恢復(fù)時(shí)間，降低恢復(fù)費(fèi)用

B.增加恢復(fù)時(shí)間，提高恢復(fù)費(fèi)用

C.減少恢復(fù)的持續(xù)時(shí)間，提高恢復(fù)費(fèi)用

D.對(duì)恢復(fù)時(shí)間和費(fèi)用都不影響

正確答案：A

62、單選在數(shù)據(jù)庫(kù)的安全評(píng)估過(guò)程中，下面那項(xiàng)是指系統(tǒng)能夠?qū)Ω陡鞣N可能

地攻擊的能力。()

A、可行性

B、系統(tǒng)靈活性

C、用戶(hù)地方便性

D、完整性

正確答案：A

63、判斷題訪問(wèn)控制的主要作用是防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，

允許合法用戶(hù)訪問(wèn)受保護(hù)的網(wǎng)絡(luò)資源，允許合法的用戶(hù)對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)

行非授權(quán)的訪問(wèn)。

正確答案：錯(cuò)

64、單選默認(rèn)情況下Linux主機(jī)在機(jī)房托管期間被惡意用戶(hù)進(jìn)行了SSH遠(yuǎn)程

的暴力破解，此時(shí)安全工程師需要拒絕其訪問(wèn)的源地址，應(yīng)該使用那種方式查

詢(xún)其訪問(wèn)的記錄？O

A.cat/var/log/secure

B.who

C.whoami

D.cat/etc/security/access.log

正確答案：A

65、單選以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？()

A.內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果

B.內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議

C.內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)

商，核實(shí)報(bào)告內(nèi)容。

D.內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤

正確答案：D

66、單選默認(rèn)情況下，SQLServer的監(jiān)聽(tīng)端口是()。

A、1434

B、1433

C、3305

D、3306

正確答案：B

67、單選以下哪一個(gè)不是網(wǎng)絡(luò)隱藏技術(shù)？()

A.端口復(fù)用

B.〃無(wú)端口技術(shù)〃

C.反彈端口技術(shù)

D.DLL注入

正確答案：D

68、單選如果雙方使用的密鑰不同，從其中的一個(gè)密鑰很難推出另外一個(gè)密

鑰，這樣的系統(tǒng)稱(chēng)為()

A.常規(guī)加密系統(tǒng)

B.單密鑰加密系統(tǒng)

C.公鑰加密系統(tǒng)

D.對(duì)■稱(chēng)加密系統(tǒng)

正確答案：C

69、判斷題互聯(lián)網(wǎng)不良信息泛濫的原因有多種，網(wǎng)絡(luò)道德觀念的缺乏屬其中

一種。

正確答案：錯(cuò)

70、單選下面哪一個(gè)不是脆弱性識(shí)別的手段()

A.人員訪談

B.技術(shù)工具檢測(cè)

C.信息資產(chǎn)核查

D.安全專(zhuān)家人工分析

正確答案：C

71、單選內(nèi)部審計(jì)部門(mén)，從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會(huì)報(bào)告，

最有可能：O

A.導(dǎo)致對(duì)其審計(jì)獨(dú)立性的質(zhì)疑

B.報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)

C.加強(qiáng)了審計(jì)建議的執(zhí)行

D.在建議中采取更對(duì)有效行動(dòng)

正確答案：A

72、單選如果惡意開(kāi)發(fā)人員想在代碼中隱藏邏輯炸彈，什么預(yù)防方式最有

效？()

A.源代碼周期性安全掃描

B.源代碼人工審計(jì)

C.滲透測(cè)試

D.對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行不間斷監(jiān)測(cè)記錄

正確答案：B

73、單選從安全的角度來(lái)看，數(shù)據(jù)庫(kù)視圖(view)的主要用途是：()

A.確保相關(guān)完整性

B.方便訪問(wèn)數(shù)據(jù)

C.限制用戶(hù)對(duì)數(shù)據(jù)的訪問(wèn).

D.提供審計(jì)跟蹤

正確答案：C

74、單選有關(guān)人員安全的描述不正確的是()

A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)

B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業(yè)人員預(yù)算受限的情況下，職責(zé)分離難以實(shí)施，企業(yè)對(duì)此無(wú)能為力，也無(wú)

需做任何工作

D.人員離職之后，必須清除離職員工所有的邏輯訪問(wèn)帳號(hào)

正確答案：C

75、單選評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到，可以通過(guò)：()

A.評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅

B.月公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅

C.審查可比較的組織出版的損失數(shù)據(jù)

I).一句審計(jì)拔高審查IT控制弱點(diǎn)

正確答案：A

76、填空題蹭網(wǎng)指攻擊者使用自己計(jì)算機(jī)中的無(wú)線網(wǎng)卡連接他人的無(wú)線路由

器上網(wǎng)，而不是通過(guò)()提供的線路上網(wǎng)。

正確答案：正規(guī)的ISP

77、單選以下不屬于Linux安全加固的內(nèi)容是什么？()

A.配置iptables

B.配置Tcpwapper

C.啟用Selinux

D.修改root的UID

正確答案：D

78、單選Apache服務(wù)器對(duì)目錄的默認(rèn)訪問(wèn)控制是什么？()

A.“Deny”from“AH”

B.OrderDeny,"All”

C.OrderDeny,Allow

D."Allow”from“All”

正確答案：A

79、單選風(fēng)險(xiǎn)評(píng)估的過(guò)程中，首先要識(shí)別信息資產(chǎn)，資產(chǎn)識(shí)別時(shí)\以下哪個(gè)

不是需要遵循的原則？O

A.只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類(lèi)識(shí)別

B.所有公司資產(chǎn)都要識(shí)別

C.可以從業(yè)務(wù)流程出發(fā)，識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)

D.資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶(hù)

正確答案：B

80、單定ISMS審核時(shí)，對(duì)審核發(fā)現(xiàn)中，以下哪個(gè)是屬于嚴(yán)重不符合項(xiàng)？()

A.關(guān)鍵的控制程序沒(méi)有得到貫徹，缺乏標(biāo)準(zhǔn)規(guī)定的耍求可構(gòu)成嚴(yán)重不符合項(xiàng)

B.風(fēng)險(xiǎn)評(píng)估方法沒(méi)有按照IS027005(信息安全風(fēng)險(xiǎn)管理)標(biāo)準(zhǔn)進(jìn)行

C.孤立的偶發(fā)性的且對(duì)信息安全管理體系無(wú)直接影響的問(wèn)題；

D.審核員識(shí)別的可能改進(jìn)項(xiàng)

正確答案：D

81、單選下面哪一個(gè)不是高層安全方針?biāo)P(guān)注的()

A.識(shí)別關(guān)鍵業(yè)務(wù)目標(biāo)

B.定義安全組織職責(zé)

C.定義安全目標(biāo)

D.定義防火墻邊界防護(hù)策略

正確答案：D

82、單選黑客進(jìn)行攻擊的最后一個(gè)步驟是：()

A.偵查與信息收集

B.漏洞分析與目標(biāo)選定

C.獲取系統(tǒng)權(quán)限

D.打掃戰(zhàn)場(chǎng)、清楚證據(jù)

正確答案：D

83、%選信息資產(chǎn)分級(jí)的最關(guān)鍵要素是()

A.價(jià)值

B.時(shí)間

C.安全性

D.所有者

正確答案：A

84、單選制定應(yīng)急響應(yīng)策略主要需要考慮()

A.系統(tǒng)恢復(fù)能力等級(jí)劃分

B.系統(tǒng)恢復(fù)資源的要求

C.費(fèi)用考慮

D.人員考慮

正確答案：C

85、單選自主性、自律性()和多元性都是網(wǎng)絡(luò)道德的特點(diǎn).

A、統(tǒng)一性

B、同一性

C、開(kāi)放性

D、復(fù)雜性

正確答案：C

86、單選下面關(guān)于定量風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是()

A.易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)

B.能夠通過(guò)成本效益分析控制成本

C.〃耗時(shí)短、成本低、可控性高〃

D.主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)

正確答案：B

87、單選在系統(tǒng)實(shí)施后評(píng)審過(guò)程中，應(yīng)該執(zhí)行下面哪個(gè)活動(dòng)？()

A.月戶(hù)驗(yàn)收測(cè)試

B.投資收益分析

C.激活審計(jì)模塊

D.更新未來(lái)企業(yè)架構(gòu)

正確答案：B

88、單選在客戶(hù)/服務(wù)器系統(tǒng)中，安全方面的改進(jìn)應(yīng)首先集中在：()

A,應(yīng)用軟件級(jí)

B.數(shù)據(jù)庫(kù)服務(wù)器級(jí)

C.數(shù)據(jù)庫(kù)級(jí)

D.應(yīng)用服務(wù)器級(jí)

正確答案：C

89、單選以下哪一個(gè)選項(xiàng)是從軟件自身功能出發(fā)，進(jìn)行威脅分析()

A.攻擊面分析

B.威脅建模

C.架構(gòu)設(shè)計(jì)

D.詳細(xì)設(shè)計(jì)

正確答案：A

90、單選()的主要任務(wù)是指對(duì)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用程序或用戶(hù)使用資源的情況

進(jìn)行記錄和審計(jì)，用以保證數(shù)據(jù)的安全。

A、數(shù)據(jù)庫(kù)備份

B、數(shù)據(jù)庫(kù)恢復(fù)

C、數(shù)據(jù)庫(kù)審計(jì)

D、數(shù)據(jù)庫(kù)轉(zhuǎn)儲(chǔ)

正確答案：C

91、單選以下關(guān)于標(biāo)準(zhǔn)的描述，那一項(xiàng)是正確的？()

A.標(biāo)準(zhǔn)是高級(jí)管理層對(duì)支持信息安全的聲明

B.標(biāo)準(zhǔn)是建立有效安全策略的第一要素

C.標(biāo)準(zhǔn)用來(lái)描述組織內(nèi)安全策略如何實(shí)施的

D.標(biāo)準(zhǔn)是高級(jí)管理層建立信息系統(tǒng)安全的指示

正確答案：C

92、單選構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些？()

A.人,財(cái)，物

B.技術(shù)，管理和操作

C.資產(chǎn)，威脅和弱點(diǎn)

D.資產(chǎn)，可能性和嚴(yán)重性

正確答案：C

93、單選在下面的權(quán)限中，可更改數(shù)據(jù)表的權(quán)限是()

A、ALTER

B、GRANT

C、FLUSH

D、RESET

正確答案：A

94、單選某公司的在實(shí)施一個(gè)DRP項(xiàng)目，項(xiàng)目按照計(jì)劃完成后。聘請(qǐng)了專(zhuān)家

團(tuán)隊(duì)進(jìn)行評(píng)審，評(píng)審過(guò)程中發(fā)現(xiàn)了幾個(gè)方而的問(wèn)題，以下哪個(gè)代表最大的風(fēng)險(xiǎn)

()

A.沒(méi)有執(zhí)行DRP測(cè)試

B.災(zāi)難恢復(fù)策略沒(méi)有使用熱站進(jìn)行恢復(fù)

C.進(jìn)行了BIA,但其結(jié)果沒(méi)有被使用

D.災(zāi)難恢復(fù)經(jīng)理近期離開(kāi)了公司

正確答案：C

95、單選在制定組織間的保密協(xié)議，以下哪一個(gè)不是需要考慮的內(nèi)容？()

A.需要保護(hù)的信息。

B.l辦議期望持續(xù)時(shí)間。

C.合同雙方的人員數(shù)量要求。

D.違反協(xié)議后采取的措施。

正確答案：C

96、單選那一類(lèi)防火嚕具有根據(jù)傳輸信息的內(nèi)容(如關(guān)鍵字、文件類(lèi)型)來(lái)

控制訪問(wèn)鏈接的能力？O

A.包過(guò)濾防火墻

B.狀態(tài)檢測(cè)防火墻

C.應(yīng)用網(wǎng)關(guān)防火墻

D.以上都不能

正確答案：C

97、單選以下哪一個(gè)不是VLAN的劃分方式()

A.根據(jù)TCP端口來(lái)劃分

B.根據(jù)MAC地址來(lái)劃分

C.根據(jù)IP組播劃分

D.〃根據(jù)網(wǎng)絡(luò)層劃分〃

正確答案：A

98、單選()在信息安全的服務(wù)中，訪問(wèn)控制的作用是什么？

A、如何確定自己的身份，如利用一個(gè)帶有密碼的用戶(hù)帳號(hào)登錄

B、賦予用戶(hù)對(duì)文件和目錄的權(quán)限

C、保護(hù)系統(tǒng)或主機(jī)上的數(shù)據(jù)不被非認(rèn)證的用戶(hù)訪問(wèn)

D、提供類(lèi)似網(wǎng)絡(luò)中“劫持”這種手段的攻擊的保護(hù)措施

正確答案：B

99、單選降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)，可能的處理手段不包括哪些()

A.通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷

B.通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；

C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊

D.通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)

正確答案：D

100、單選變更控制是信息系統(tǒng)運(yùn)行管理的重要的內(nèi)容，在變更控制的過(guò)程

中：()

A.應(yīng)該盡量追求效率，而沒(méi)有任何的程序和核查的阻礙。

B.應(yīng)該將重點(diǎn)放在風(fēng)險(xiǎn)發(fā)生后的糾正措施上。

C.應(yīng)該很好的定義和實(shí)施風(fēng)險(xiǎn)規(guī)避的措施。

D.如果是公司領(lǐng)導(dǎo)要求的，對(duì)變更過(guò)程不需要追蹤和審查

正確答案：C

101、單選以下對(duì)信息安全管理的描述錯(cuò)誤的是()

A.保密性、完整性、可用性

B.抗抵賴(lài)性、可追溯性

C.真實(shí)性私密性可靠性

D.增值性

正確答案：D

102、單選在制定一個(gè)正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素將是？()

A.成立一個(gè)審查委員會(huì)

B.建立一個(gè)安全部門(mén)

C.向執(zhí)行層發(fā)起人提供有效支持

D.選擇一個(gè)安全流程的所有者

正確答案：B

103、單選要求用戶(hù)必須登陸，并且用戶(hù)有能力創(chuàng)建群組標(biāo)識(shí)的最低安全級(jí)別

是哪一級(jí)？()

A.D

B.C1

C.C2

D.B1

正確答案：C

104、單選下列幾個(gè)0SI層中，哪一層既提供機(jī)密性服務(wù)又提供完整性服務(wù)？

()

A.數(shù)據(jù)鏈路層

B.物理層

C.應(yīng)用層

D.表示層

正確答案：C

105、單選在正常情況下，應(yīng)急計(jì)劃應(yīng)該至少多久進(jìn)行一次針對(duì)正確性和完整

性的檢查()

A.1年

B.2年

C.半年

D.5年

正確答案：A

106、單選?在選擇外部供貨生產(chǎn)商時(shí),評(píng)價(jià)標(biāo)準(zhǔn)按照重要性的排列順序是：

()

1.供貨商與信息系統(tǒng)部門(mén)的接近程度

2.供貨商雇員的態(tài)度

3.供貨商的信譽(yù)、專(zhuān)業(yè)知識(shí)、技術(shù)

4.供貨商的財(cái)政狀況和管理情況

A.4,3,1,2

B.3,4,2,1

C.3,2,4,1

D.1,2,3,4

正確答案：B

107、單選2012年3月份，美國(guó)總統(tǒng)奧巴馬宣布啟動(dòng)(),旨在提高從龐大而

復(fù)雜的科學(xué)數(shù)據(jù)中提取知識(shí)的能力。

A、大數(shù)據(jù)研究與開(kāi)發(fā)計(jì)劃

B、大數(shù)據(jù)獲取與提取計(jì)劃

C、大數(shù)據(jù)安全保護(hù)計(jì)劃

D、DT計(jì)劃

正確答案：A

108、單選如果只能使用口令遠(yuǎn)程認(rèn)證，以下哪種方案安全性最好？()

A.高質(zhì)量靜態(tài)口令，散列保護(hù)傳輸

B.高質(zhì)量靜態(tài)口令，固定密鑰加密保護(hù)傳輸

C.動(dòng)態(tài)隨機(jī)口令，明文傳輸

D.高質(zhì)量靜態(tài)口令，增加隨機(jī)值，明文傳輸

正確答案：C

109、單選什么類(lèi)型的軟件應(yīng)用測(cè)試被用于測(cè)試的最后階段，并且通常包含不

屬于開(kāi)發(fā)團(tuán)隊(duì)之內(nèi)的用戶(hù)成員？()

A.Alpha測(cè)試

B.白盒測(cè)試

C.回歸測(cè)試

D.Beta測(cè)試

正確答案：D

110、單選在確定威脅的可能性時(shí)，可以不考慮以下哪個(gè)？()

A.威脅源

B.潛在弱點(diǎn)

C.現(xiàn)有控制措施

D.攻擊所產(chǎn)生的負(fù)面影響

正確答案：D

111、單選應(yīng)用軟件測(cè)試的正確順序是：()

A.集成測(cè)試、單元測(cè)試、系統(tǒng)測(cè)試、驗(yàn)收測(cè)試

B.單元測(cè)試、系統(tǒng)測(cè)試、集成測(cè)試、驗(yàn)收測(cè)試

C.驗(yàn)收測(cè)試、單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試

D.單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試、驗(yàn)收測(cè)試

正確答案：D

112、判斷題網(wǎng)絡(luò)道德的本質(zhì)是社會(huì)道德，是社會(huì)道德在網(wǎng)絡(luò)領(lǐng)域中的新體

現(xiàn)。

正確答案：對(duì)

113、單選以下對(duì)于IPsec協(xié)議說(shuō)法正確的是：()

A.鑒別頭(AH)協(xié)議，不能加密包的任何部分

B.IPsec工作在應(yīng)用層，并為應(yīng)用層以下的網(wǎng)絡(luò)通信提供VPN功能

C.IPsec關(guān)注與鑒別、加密和完整性保護(hù)，密鑰管理不是IPs“本身需要關(guān)注的

D.在使用傳輸模式時(shí)，IPsec為每個(gè)包建立一個(gè)新的包頭，而在隧道模式下使用

原始包頭

正確答案：A

114、單選FTP使用哪個(gè)TCP端口？()

A.21

B.23

C.110

D.5

正確答案：A

115、單或TCP三次握手協(xié)議的第一步是發(fā)送一個(gè)：()

A.SYN包

B.ACK包

C.UDP包

D.null包

正確答案：A

116、單選()安裝Windows2000時(shí)，推薦使用哪種文件格式?

A、NTFS

B、FAT

C、FAT32

D、Linux

正確答案：A

117、單選LDAP使用哪個(gè)端口？()

A.TCP139

B.TCP119

C.UDP139

D.UDP389

正確答案：D

118、填空題防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))之間，實(shí)施

()的一個(gè)或一組系統(tǒng)。

正確答案：訪問(wèn)控制策略

119、填空題無(wú)線網(wǎng)絡(luò)不受()的限制，可以在無(wú)線網(wǎng)的信號(hào)覆蓋區(qū)域任何一

個(gè)位置接入網(wǎng)絡(luò)。

正確答案：空間

120、判斷題VLAN技術(shù)是基于應(yīng)用層和網(wǎng)絡(luò)層之間的隔離技術(shù)。

正確答案：錯(cuò)

121、單選數(shù)據(jù)庫(kù)的()是指如何組織、管理、保護(hù)和處理敏感信息的指導(dǎo)思

想。它包括安全管理策略、訪問(wèn)控制策略和信息控制策略。

A、安全策略

B、管理策略

C、控制策略

D、訪問(wèn)策略

正確答案：A

122、單選OSI的第五層是：()

A.會(huì)話層

B.傳輸層

C網(wǎng)單層

D.表示層

正確答案：A

123、單選為什么實(shí)現(xiàn)單點(diǎn)登錄的批處理文件及腳本文件需要被保護(hù)存儲(chǔ)？

()

A.因?yàn)樽钚∈跈?quán)原則

B.因?yàn)樗鼈儾豢梢员徊僮鲉T訪問(wèn)到

C.因?yàn)樗鼈兛赡馨脩?hù)身份信息

D.因?yàn)橹仨氃瓌t

正確答案：C

124、單選風(fēng)險(xiǎn)控制是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。下

面哪個(gè)不是風(fēng)險(xiǎn)控制的方式？()

A.規(guī)避風(fēng)險(xiǎn)

B.轉(zhuǎn)移風(fēng)險(xiǎn)

C.接受風(fēng)險(xiǎn)

D.降低風(fēng)險(xiǎn)

正確答案：C

125、單選()默認(rèn)情況下，所有用戶(hù)對(duì)新創(chuàng)建的文件共享有什么權(quán)限？

A、讀取

B、完全控制

C、寫(xiě)入

D、修改

正確答案：B

126、單選信息安全管理體系要求的核心內(nèi)容是？()

A.風(fēng)險(xiǎn)評(píng)估

B.關(guān)鍵路徑法

C.PDCA循環(huán)

D.PERT

正確答案：C

127、單選下列哪項(xiàng)是系統(tǒng)問(wèn)責(zé)所需要的？()

A.授權(quán)。

B.多人共用同一帳號(hào)。

C.審計(jì)機(jī)制。

D.系統(tǒng)設(shè)計(jì)的形式化驗(yàn)證

正確答案：C

128、單選以下哪一項(xiàng)是和電子郵件系統(tǒng)無(wú)關(guān)的？()

A.PEM(Privacyenhancedmai1)

B.PGP(Prettygoodprivacy)

C.X.500

D.X.400

正確答案：C

129、單選TCP握手中，縮寫(xiě)RST指的是什么？()

A.Reset

B.Response

C.ReplyState

D.Rest

正確答案：A

130、單選在執(zhí)行風(fēng)險(xiǎn)分析的時(shí)候，預(yù)期年度損失(ALE)的計(jì)算是：()

A.全部損失乘以發(fā)生頻率

B.全部損失費(fèi)用+實(shí)際替代費(fèi)用

C.單次預(yù)期損失乘以發(fā)生頻率

D.資產(chǎn)價(jià)值乘以發(fā)生頻率

正確答案：C

131、單選以下哪個(gè)與電子郵件系統(tǒng)沒(méi)有直接關(guān)系？()

A.PEM

B.PGP

C.X.500

D.X.400

正確答案：c

132、單選信息系統(tǒng)審核員應(yīng)該預(yù)期誰(shuí)來(lái)授權(quán)對(duì)生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問(wèn)？

()

A.流程所有者

B.系統(tǒng)管理員

C.安全管理員

D.數(shù)據(jù)所有者

正確答案：D

133、單選回顧組織的風(fēng)險(xiǎn)評(píng)估流程時(shí)應(yīng)首先()

A.鑒別對(duì)于信息資產(chǎn)威脅的合理性

B.分析技術(shù)和組織弱點(diǎn)

C.鑒別并對(duì)信息資產(chǎn)進(jìn)行分級(jí)

D.對(duì)潛在的安全漏洞效果進(jìn)行評(píng)價(jià)

正確答案：C

134、單選FINGER服務(wù)使月哪個(gè)TCP端口？()

A.69

B.119

C.79

D.70

正確答案：B

135、單選較低的恢復(fù)時(shí)間目標(biāo)(恢復(fù)時(shí)間目標(biāo))的會(huì)有如下結(jié)果：()

A.更高的容災(zāi)

B.成本較高

C.更長(zhǎng)的中斷時(shí)間

D.更多許可的數(shù)據(jù)丟失

正確答案：B

136、單選網(wǎng)絡(luò)“抄襲”糾紛頻發(fā)反映了()

A、互聯(lián)網(wǎng)產(chǎn)業(yè)創(chuàng)新活力不足

B、互聯(lián)網(wǎng)誠(chéng)信缺失

C、互聯(lián)網(wǎng)市場(chǎng)行為亟待規(guī)范

D、互聯(lián)網(wǎng)立法工作的滯后

正確答案：A

137、單選下列幾個(gè)0SI層中，哪一層能夠提供訪問(wèn)控制服務(wù)？()

A.傳輸層

B.表示層

C.會(huì)話層

D.數(shù)據(jù)鏈路層

正確答案：A

138、單選在一個(gè)業(yè)務(wù)繼續(xù)計(jì)劃的模擬演練中，發(fā)現(xiàn)報(bào)警系統(tǒng)嚴(yán)重受到設(shè)施破

壞。下列選項(xiàng)中，哪個(gè)是可以提供的最佳建議：()

A.培訓(xùn)救護(hù)組如何使用報(bào)警系統(tǒng)

B.報(bào)警系統(tǒng)為備份提供恢復(fù)

C.建立冗余的報(bào)警系統(tǒng)

D.把報(bào)警系統(tǒng)存放地窖里

正確答案：c

139、單或系統(tǒng)上線前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查，不包括下列哪種安全檢

查()

A.主機(jī)操作系統(tǒng)安全配置檢查

B.網(wǎng)絡(luò)設(shè)備安全配置檢查

C.系統(tǒng)軟件安全漏洞檢查

D.數(shù)據(jù)庫(kù)安全配置檢查

正確答案：C

140、單選以下哪個(gè)標(biāo)準(zhǔn)是IS027001的前身標(biāo)準(zhǔn)？()

A.BS5750

B.BS7750

C.BS7799

D.BS15000

正確答案：C

141、單選信息安全管理手段不包括以下哪一項(xiàng)()

A.技術(shù)

B.流程

C.人員

D.市場(chǎng)

正確答案：B

142、判斷題對(duì)錢(qián)財(cái)?shù)呢澙芬彩蔷W(wǎng)絡(luò)違法犯罪行為的原始動(dòng)力。

正確答案：對(duì)

143、多選交換機(jī)可根據(jù)()來(lái)限制應(yīng)用數(shù)據(jù)流的最大流量。

A.IP地址

B.網(wǎng)絡(luò)連接數(shù)

C.協(xié)議

D.端口

正確答案：A,C,D

144、單選以下哪項(xiàng)是組織中為了完成信息安全目標(biāo)，針對(duì)信息系統(tǒng)，遵循安

全黃略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)

調(diào)和控制等活動(dòng)？()

A.反應(yīng)業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng)；

B.來(lái)自所有級(jí)別管理者的可視化的支持與承諾；

C.提供適當(dāng)?shù)囊庾R(shí)、教育與培訓(xùn)

D.以上所有

正確答案：D

145、單選P2DR模型通過(guò)傳統(tǒng)的靜態(tài)安全技術(shù)和方法提高網(wǎng)絡(luò)的防護(hù)能力，這

些技術(shù)包括？()

A.實(shí)時(shí)監(jiān)控技術(shù)。

B.訪問(wèn)控制技術(shù)。

C.信息加密技術(shù)。

D.身份認(rèn)證技術(shù)。

正確答案：A

146、單選對(duì)于外部組織訪問(wèn)企業(yè)信息資產(chǎn)的過(guò)程中相關(guān)說(shuō)法不正確的是？

()

A.為了信息資產(chǎn)更加安全，禁止外部組織人員訪問(wèn)信息資產(chǎn)。

B.應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護(hù)。

C.訪問(wèn)前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。

D.應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求°

正確答案：A

147、填空題在企業(yè)推進(jìn)信息化的過(guò)程中應(yīng)()風(fēng)險(xiǎn)。

正確答案：認(rèn)真防范

148、單選降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的手段，以下說(shuō)法不正確的是？

()

A.通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷

B.通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；

C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊

D.通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)責(zé)任

正確答案：D

149、單選“進(jìn)不來(lái)”“拿不走”“看不懂”“改不了”“走不脫”是網(wǎng)絡(luò)信

息安全建設(shè)的目的。其中，“看不懂”是指下面那種安全服務(wù)：()

A.數(shù)據(jù)加密

B.身份認(rèn)證

C.數(shù)據(jù)完整性

D.訪問(wèn)控制

正確答案：A

150、單選安全技術(shù)評(píng)估工具通常不包括()

A.漏洞掃描工具

B.入侵檢測(cè)系統(tǒng)

C.調(diào)查問(wèn)卷

D.滲透測(cè)試工具

正確答案：C

151、‘單星安全開(kāi)發(fā)制度中，QA最關(guān)注的的制度是（）

A.系統(tǒng)后評(píng)價(jià)規(guī)定

B.可行性分析與需求分析規(guī)定

C.安全開(kāi)發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)

D.需求變更規(guī)定

正確答案：C

152、問(wèn)答題入侵檢測(cè)系統(tǒng)分為哪幾種，各有什么特點(diǎn)？

正確答案：主機(jī)型入侵檢測(cè)系統(tǒng)（HIDS）,網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)（NIDS）o

HIDS一般部署在下述四種情況下：

1）網(wǎng)絡(luò)帶寬高太高無(wú)法進(jìn)行網(wǎng)絡(luò)監(jiān)控

2）網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS的開(kāi)銷(xiāo)

3）網(wǎng)絡(luò)環(huán)境是高度交換且交換機(jī)上沒(méi)有鏡像端口

4）不需耍廣泛的入侵檢測(cè)HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源；

檢測(cè)主機(jī)上的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多，所以主

機(jī)檢測(cè)系統(tǒng)誤報(bào)率比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的誤報(bào)率要低：他除了檢測(cè)自身的主機(jī)

以外，根本不檢測(cè)網(wǎng)絡(luò)上的情況，而且對(duì)入侵行為分析的工作量將隨著主機(jī)數(shù)

量的增加而增加，因此全面部署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)比較大，企業(yè)很難將所

有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)進(jìn)行保護(hù)，那些未安裝主

機(jī)入侵檢測(cè)系統(tǒng)的機(jī)器將成為保護(hù)的忙點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊的

目標(biāo)。依賴(lài)于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒(méi)有配置日志功

能，則必須重新配置，這將給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來(lái)不可預(yù)見(jiàn)的性能影響。

NIDS一般部署在比較重要的網(wǎng)段內(nèi)，它不需要改變服務(wù)器等主機(jī)的配置，由于

他不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、

I/O與磁盤(pán)等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)上

的數(shù)據(jù)包。通過(guò)線路竊聽(tīng)的手段對(duì)捕獲的網(wǎng)絡(luò)分組進(jìn)行處理，從中獲取有用的

信息。一個(gè)網(wǎng)段上只需要安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以檢測(cè)整個(gè)網(wǎng)絡(luò)的

情況，比較容易實(shí)現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)

正接受者越來(lái)越大的挑戰(zhàn)，

153、判斷題標(biāo)準(zhǔn)訪問(wèn)控制列表通過(guò)網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類(lèi)型進(jìn)行信息流

控制，且只允許過(guò)濾目的地址。

正確答案：錯(cuò)

154、多選網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一般包括。

A.網(wǎng)絡(luò)探測(cè)引擎

B.數(shù)據(jù)管理中心

C.審計(jì)中心

D.聲光報(bào)警系統(tǒng)

正確答案：A,B,C

155、單選安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪一項(xiàng)最好

地描述了安全模型中的“簡(jiǎn)單安全規(guī)則”？()

A.Biba模型中的不允許向上寫(xiě)

B.Biba模型中的不允許向下讀

C.Bell-LaPadula模型中的不允許向下寫(xiě)

D.Bell-LaPadula模型中的不允許向上讀

正確答案：D

156、單選災(zāi)難性恢復(fù)計(jì)劃(DRP)基丁?：()

A.技術(shù)方面的業(yè)務(wù)連續(xù)性計(jì)劃

B.操作部分的業(yè)務(wù)連續(xù)性計(jì)劃

C.功能方面的業(yè)務(wù)連續(xù)性計(jì)劃

D.總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計(jì)劃

正確答案：A

157、填空題即使在企業(yè)環(huán)境中，()作為企業(yè)縱深防御的一部分也是十分必

要的。

正確答案：個(gè)人防火墻

158、單選下列哪一個(gè)是PKI體系中用以對(duì)證書(shū)進(jìn)行訪問(wèn)的協(xié)議？()

A.SSL

B.LDAP

C.CA

D.IKE

正確答案：B

159、單選下面哪一層可以實(shí)現(xiàn)編碼，加密()

A.傳輸層

B.會(huì)話層

C.網(wǎng)絡(luò)層

D.物理層

正確答案：B

160、單選下面哪一項(xiàng)不是安全編程的原則()

A.盡可能使用高級(jí)語(yǔ)言進(jìn)行編程

B.盡可能讓程序只實(shí)現(xiàn)需要的功能

C.不要信任用戶(hù)輸入的數(shù)據(jù)

D.盡可能考慮到意外的情況，并設(shè)計(jì)妥善的處理方法

正確答案：A

161、單選某公司在測(cè)試災(zāi)難恢復(fù)計(jì)劃時(shí)是發(fā)現(xiàn)恢復(fù)業(yè)務(wù)運(yùn)營(yíng)所必要的關(guān)鍵數(shù)

據(jù)沒(méi)有被保留，可能由于什么沒(méi)有明確導(dǎo)致的？O

A.服務(wù)中斷的時(shí)間間隔

B.目標(biāo)恢復(fù)時(shí)間(RTO)

C.服務(wù)交付目標(biāo)

D.目標(biāo)恢復(fù)點(diǎn)(RPO)

正確答案：D

162、單選()如果有大量計(jì)算機(jī)需要頻繁的分析，則可利用哪個(gè)命令工具進(jìn)

行批處理分析？

A、dumpel

showpriv

C、Secedit,exe

D、gpolmig.exe

正確答案：C

163、單選下列哪一項(xiàng)準(zhǔn)確地描述了可信計(jì)算基(TCB)?()

A.TCB只作用于固件(FirmwarE.

B.TCB描述了一個(gè)系統(tǒng)提供的安全級(jí)別

C.TCB描述了一個(gè)系統(tǒng)內(nèi)部的保護(hù)機(jī)制

D.TCB通過(guò)安全標(biāo)簽來(lái)表示數(shù)據(jù)的敏感性

正確答案：B

164、單選下列哪項(xiàng)是私有IP地址？()

A.10.5.42.5

B.172.76.42.5

C.172.90.42.5

D.241.16.42.5

正確答案：A

165、填空題我國(guó)的信息化發(fā)展不平衡，總的來(lái)說(shuō)，()信息化指數(shù)高，從東

部到西部信息化指數(shù)逐漸降低。

正確答案：東部沿海地區(qū)

166、單選()在訪問(wèn)控制中，對(duì)網(wǎng)絡(luò)資源的訪問(wèn)是基于什么的？

A、用戶(hù)

B、權(quán)限

C、訪問(wèn)對(duì)象

D、工作組

正確答案：B

167、單選“配置管理”是系統(tǒng)工程中的重要概念，它在軟件工程和信息安全

工程中得到了廣泛的應(yīng)用，下列對(duì)于“配置管理”的解釋最準(zhǔn)確的是？()

A.配置管理的本質(zhì)是變更流程管理

B.配置管理是一個(gè)對(duì)系統(tǒng)(包括軟件、硬件、文檔、測(cè)試設(shè)備、開(kāi)發(fā)/維護(hù)設(shè)

備)的所有變化進(jìn)行控制的過(guò)程

C.管理配置是對(duì)信息系統(tǒng)的技術(shù)參數(shù)進(jìn)行管理

D.管理配置是對(duì)系統(tǒng)基線和源代碼的版本進(jìn)行管理

正確答案：B

168、單選下列對(duì)跨站腳本攻擊(XSS)的解釋最準(zhǔn)確的一項(xiàng)是：()

A.引誘用戶(hù)點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法

B.構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢(xún)語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的訪問(wèn)

C.一種很強(qiáng)大的木馬攻擊手段

D.將惡意代碼嵌入到用戶(hù)瀏覽的web網(wǎng)頁(yè)中，從而達(dá)到惡意的目的

正確答案：D

169、單選組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：()

A.推薦并監(jiān)督數(shù)據(jù)安全策略

B.在組織內(nèi)推廣安全意識(shí)

C.制定IT安全策略下的安全程序/流程

D.管理物理和邏輯訪問(wèn)控制

正確答案：A

170、單選組織回顧信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃時(shí)應(yīng)：()

A.每半年演練一次

R.周期性回顧并更新

C.經(jīng)首席執(zhí)行官(CEO)認(rèn)可

D.與組織的所有部門(mén)負(fù)責(zé)人溝通

正確答案：B

171、單選以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么？()

A.發(fā)現(xiàn)不明的SUID可執(zhí)行文件

B.發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更

C.發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)

D.發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址

正確答案：A

172、單選以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：()

A.組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)

B.對(duì)重要的工作進(jìn)行分解，分配給不同人員完成

C.一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限

D.防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限

正確答案：C

173、單選以下哪個(gè)命令可以查看端口對(duì)應(yīng)的PID()

A.netstat-ano

B.ipconfig/all

C.tracert

D.netsh

正確答案：A

174、判斷題雙因子鑒別不僅要求訪問(wèn)者知道一些鑒別信息，還需要訪問(wèn)者擁

有鑒別特征。

正確答案：對(duì)

175、填空題物流是電子商務(wù)()的基礎(chǔ)。

正確答案：市場(chǎng)發(fā)展

176、單選下列對(duì)于CC的“評(píng)估保證級(jí)”(EAL)的說(shuō)法最準(zhǔn)確的是：()

A.代表著不同的訪問(wèn)控制強(qiáng)度

B.描述了對(duì)抗安全威脅的能力級(jí)別

C.是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對(duì)安全行為和安全功能的不同要求

D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度

正確答案：D

177、單選面向?qū)ο蟮拈_(kāi)發(fā)方法中，以下哪些機(jī)制對(duì)安全有幫助()

A.封裝

B