注冊信息安全專業(yè)人員考試模擬測試題(G)

1. CC 標準是目前系統(tǒng)安全認證方面最權威的標準，以下哪一項沒有體現(xiàn) CC 標準的先進性：

A. 結構的開放性B. 表達方式的通用性C. 獨立性D. 實用性

2. 根據《信息安全等級保護管理辦法》、《關于開展信息安全等級保護測評體系建設試點工作的通知》（公信安[2009]812 號），關于推動信息安全等級保護（）建設和開展( )工作的通知（公信安[2010]303 號）等文件，由公安部( )對等級保護測評機構管理，接受測評機構的申請、考核和定期（），對不具備能力的測評機構則 ( )

A.等級測評；測評體系；等級保護評估中心；能力驗證；取消授權B.測評體系；等級保護評估中心；等級測評；能力驗證；取消授權C.測評體系；等級測評；等級保護評估中心；能力驗證；取消授權D.測評體系；等級保護評估中心；能力驗證；等級測評；取消授權

3. 以下哪個現(xiàn)象較好的印證了信息安全特征中的動態(tài)性( )

A.經過數(shù)十年的發(fā)展，互聯(lián)網上已經接入了數(shù)億臺各種電子設備B 剛剛經過風險評估并針對風險采取處理措施后僅一周，新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風險 C 某公司的信息系統(tǒng)面臨了來自美國的“匿名者 ”黑客組織的攻擊

4. 老王是某政府信息中心主任。以下哪項項目是符合《保守國家移密法》要求的( )

A.老王安排下屬小李將損害的涉密計算機某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B.老王要求下屬小張把中心所有計算機貼上密級標志C.老王每天晚上 12 點將涉密計算機連接上互聯(lián)網更新殺毒軟件病毒庫D.老王提出對加密機和紅黑電源插座應該與涉密信息系統(tǒng)同步投入使用

5. 關于計算機取征描述不正確的是 ()

A.計算機取證是使用先進的技術和工具，按照標準規(guī)程全面的檢查計算機系統(tǒng)以提取和保護有關計算機犯罪的相關證據的活動B.取證的目的包括通過證據，查找肇事者，通過證據推斷犯罪過程，通過證據判斷受害者損失程度及涉及證據提供法律支持C.電子證據是計算機系統(tǒng)運行過程中產生的各種信息記錄及存儲的電子化資料及物品，對于電子證據取證工作主要圍繞兩方面進行證據的獲取和證據的保護D.計算機取證的過程，可以分為準備，保護，提取，分析和提交五個步驟

6. （）第 23 條規(guī)定存儲、處理國家機秘密的計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)），按照（）實行分級保護，（）應當按照國家保密標準配備保密設施、設備。（）、設備應當與涉密信息系統(tǒng)同步規(guī) 劃、同步建設、同步運行（三同步）。涉密信息系統(tǒng)應當按照規(guī)定，經（）后方可投入使用。

A.《保密法》；涉密程度；涉密信息系統(tǒng)；保密設施；檢查合格B.《國家保密法》；涉密程度；涉密系統(tǒng)；保密設施；檢查合格C.《網絡保密法》；涉密程度；涉密系統(tǒng)；保密設施；檢查合格D.《安全保密法》；涉密程度，涉密信息系統(tǒng)；保密設施；檢查合格

7. Linux 系統(tǒng)的安全設置主要從磁盤分區(qū)、賬戶安全設置、禁用危險服務、遠程登錄安全、用戶鑒別安全、審計策略、保護root賬戶、使用網絡防火墻和文件權限操作共 10 個方面來完成。小張在學習了Linux 系統(tǒng)安全的相關知識后，嘗試為自己計算機上的Linux 系統(tǒng)進行安全配置。下列選項是他的部分操作，其中不合理的是（）。

A. 編輯文件/etc/passwd，檢查文件中用戶 ID，禁用所有 ID=0 的用戶B. 編輯文件/etc/ssh/sshd _config, 將 Permit RootLogin 設置為 noC. 編輯文件 /etc/pam.d/system~auth ，設置 auth required pam tally. so onerr=fail deny=6 unlock_time-300D. 編輯文件/etc/profile, 設置 TMOUT=600

8. PDCA 循環(huán)又叫戴明環(huán)，是管理學常用的一種模型。關于 PDCA 四個字母，下面理解錯誤的是 ( )

A.P 是Plan，指分析問題、發(fā)現(xiàn)問題、確定方針、目標和活動計劃B.D 是Do，指實施、具體運作，實現(xiàn)計劃中的內容C.C 是Check，指檢查、總結執(zhí)行計劃的結果，明確效果，找出問題 D.A 是 Aim，指瞄準問題，抓住安全事件的核心，確定責任

9. 在國家標準 GB/T 20274. 1-2006《信息安全技術信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個方面? ( )

A.保障要素、生命周期和運行維護B.保障要素、生命周期和安全特征C.規(guī)劃組織、生命周期和安全特征D.規(guī)劃組織、生命周期和運行維護

10. 目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從成脅能力和掌握資源分，這些威脅可以按照個人或脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是 ( )

A. 喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B. 實施犯罪、獲取非法經濟利益網絡犯罪團伙C. 搜集政治、軍事、經濟等情報信息的情報機構D. 鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務、進行目標破壞的信息作戰(zhàn)部隊

11. 若一個組織聲稱自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 標準要求，其信息安全控制措施通常需要在資產管理方面安施常規(guī)控制，資產管理包含對資產負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施 ( )

A. 資產清單B. 資產責任人C. 資產的可接受使用D. 分類指南，信息的標記和處理

12. 有關質量管理，錯誤的理解是（）。

A.質量管理是與指揮和控制組織質量相關的一系列相互協(xié)調的活動，是為了實現(xiàn)質量目標，而進行的所有管理性質的活動B.規(guī)范質量管理體系相關活動的標準是 ISO 9000 系列標準C 質量管理體系將資源與結果結合，以結果管理方法進行系統(tǒng)的管理E. 質量管理體系從機構，程序、過程和總結四個方面進行規(guī)范來提升質量

13. 在某信息系統(tǒng)的設計中，用戶登錄過程是這樣的: (1)用戶通過 HYPERLINK "HTTP" HTTP 協(xié)議訪問信息系統(tǒng); (2)用戶在登錄頁面輸入用戶名和口令； (3)信息系統(tǒng)在服務器端檢查用戶名和密碼的正確性, 如果正確，則鑒別完成?？梢钥闯觯@個鑒別過程屬于 ( )

A. 單向鑒別B 雙向鑒別C 三向鑒別D.第三方鑒別

14. 隨機進程名稱是惡意代碼迷惑管琊員和系統(tǒng)安全檢查人員的技術手段之一,以下對于隨機進程名技術。描述正確的是（）。

A. 隨機進程名技術雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身B. 惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C. 惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D 隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱

15. 隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式

A. 利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B. 利用即時通訊軟件發(fā)送指向惡意網頁的 URLC. 利用即時通訊軟件發(fā)送指向惡意地址的二維碼D. 利用即時通訊發(fā)送攜帶惡意代碼的 JPG 圖片

16. GB/T 22080-2008 《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照 PDCA 模型進行，即信息安全管理體系應包括建立 ISMS、實施和運行 ISMS、監(jiān)視和評審 ISMS、保持和改進 ISMS 等過程，并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）。

A.“制定 ISMS 方針 ”是建立 ISMS 階段工作內容B.“安施培訓和意識教育計劃 ”是實施和運行 ISMS 階段工作內容C.“進行有效性測量 ”是監(jiān)視和評審 ISMS 階段工作內容D.“實施內部審核 ”是保持和改進 ISMS 階段工作內容

17. 某單位需要開發(fā)一個網站，為了確保開發(fā)出安全的軟件。軟件開發(fā)商進行了OA 系統(tǒng)的威脅建模，根據威脅建模，SQL 注入是網站系統(tǒng)面臨的攻擊威脅之一，根據威脅建模的消減威脅的做法。以下哪個屬于修改設計消除威脅的做法 ( )

A. 在編碼階段程序員進行培訓，避免程序員寫出存在漏洞的代碼B. 對代碼進行嚴格檢查，避免存在 SQL 注入漏洞的腳本被發(fā)布C. 使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據都使用靜態(tài)頁面D. 在網站中部署防 SQL 注入腳本，對所有用戶提交數(shù)據進行過濾

18. 信息系統(tǒng)安全保障評估概念和關系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán) 境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的 ( ) , 向信息系統(tǒng)的所有相關方提供信息系統(tǒng)的（）能夠實現(xiàn)其安全保障策略，能夠將其所面臨的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（），信息系統(tǒng)不僅包含了僅討論技術的信息技術系統(tǒng)，還包括同信息系統(tǒng)所處的運行環(huán)境相關的人和管理等領域。信息系統(tǒng)安全保障是一個動態(tài) 持續(xù)的過程，涉及信息系統(tǒng)整個（），因此信息系統(tǒng)安全保障的評估也應該提供一種（）的信心。

A．安全保障工作；客觀證據；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B．客觀證據；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C．客觀證據；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D．客觀證據；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期

19. 某企業(yè)內網中感染了一種依靠移動存儲進行傳播的特洛伊木馬病毒，由于企業(yè)部署的殺毒軟件，為了解決該病毒在企業(yè)內部傳播，作為信息化負責人，你應采取以下哪項策略()

A.更換企業(yè)內部殺毒軟件，選擇一個可以查殺到該病毒的軟件進行重新部署B.向企業(yè)內部的計算機下發(fā)策略，關閉系統(tǒng)默認開啟的自動播放功能C.禁止在企業(yè)內部使用如 U 盤、移動硬盤這類的移動存儲介質D.在互聯(lián)網出口部署防病毒網關，防止來自互聯(lián)網的病毒進入企業(yè)內部

20. 分布式拒絕服務（Distributed Denial of Service, DDos）攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺。對一個或多個目標發(fā)動 DDoS 攻擊，從而成倍地提高拒絕服務攻擊的威力。一般來說，DDoS 攻擊的主要目的是破壞目標系統(tǒng)的 ()

A．保密性B．完整性C．可用性D．真實性

21. 作為信息安全從業(yè)人員，以下哪種行為違反了CISP 職業(yè)道德準側 ()

A．抵制通過網絡系統(tǒng)侵犯公眾合法權益B．通過公眾網絡傳播非法軟件C．不在計算機網絡系統(tǒng)中進行造謠、欺詐、誹謗等活動D．幫助和指導信息安全同行提升信息安全保障知識和能力。

22. Apache HYPERLINK "HTTPServer" HTTP Server（簡稱 Apache）是個開放源碼的 Web 服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應當采取以下哪種措施()

A.不選擇Windons平臺，應選擇在Linux平臺下安裝使用B.安裝后。修改配置文件 HYPERLINK "httpd.conf" httpd.conf中的有關參數(shù)C.安裝后。刪除Apache HYPERLINK "HTTPServer" HTTP Server源碼D.從正確的官方網站下載Apache HYPERLINK "HTTPServer" HTTP Server. 并安裝使用

23. 安全漏洞產生的原因不包括以下哪一點()

A．軟件系統(tǒng)代碼的復雜性B．軟件系統(tǒng)市場出現(xiàn)信息不對稱現(xiàn)象C．復雜異構的網絡環(huán)境D．攻擊者的惡意利用

24. 某 IT 公司針對信息安全事件已經建立了完善的預案，在年度企業(yè)信息安全總結會上，信息安全管理員對今年應急預案工作做出了四個總結，其中有一項總結工作是錯誤，作為企業(yè)的 CSO，請你指出存在問題的是哪個總結？ ()

A . 公司自身擁有優(yōu)秀的技術人員，系統(tǒng)也是自己開發(fā)的，無需進行應急演練工作，因此今年的僅制定了應急演練相關流程及文檔，為了不影響業(yè)務，應急演練工作不舉行B．公司制定的應急演練流程包括應急事件通報、確定應急事件優(yōu)先級應急響應啟動實施、應急響應時間后期運維、更新現(xiàn)在應急預案五個階段，流程完善可用C．公司應急預案包括了基本環(huán)境類、業(yè)務系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應急事件類型D．公司應急預案對事件分類依據GB/Z20986 - 2007《信息安全技術信息安全事件分類分級指南》，分為 7 個基本類別，預案符合國家相關標準

25. 某軟件在設計時，有三種用戶訪問模式，分別是僅管理員可訪問、所有合法用戶可訪問和允許匿名訪問)采用這三種訪問模式時，攻擊面最高的是()。

A．僅管理員可訪問B．所有合法用戶可訪問C．允許匿名D．三種方式一樣

26. 王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產：資產A1和資產A2，其中資產A1面臨兩個主要威脅: 威脅T1和威脅T2: 而資產 A2 面臨一個主要威脅: 威脅T3；威脅T1可以利用的資產A1存在的兩個脆性: 脆弱性V1和脆弱性V2；威脅 T2 可以利用的資產A1存在的三個脆弱性：脆弱性V3、脆弱性 V4 和脆弱性V5; 威脅 T3 可以利用的資產 A2 存在的兩個脆弱性: 脆弱性 V6 和脆弱性V7; 根據上述條件，請問:使用相乘法時，應該為資產A1計算幾個風險值( )

A.2B.3C.5D.6

27. 某政府機構委托開發(fā)商開發(fā)了一個 OA系統(tǒng)。其中公交分發(fā)功能使用了FTP協(xié)議，該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改，安全專家提出使用 HYPERLINK "Http" Http下載代替FTP功能以解決以上問題，該安全問題的產生主要是在哪個階段產生的()

A程序員在進行安全需求分析時，沒有分析出OA系統(tǒng)開發(fā)的安全需求B.程序員在軟件設計時，沒遵循降低攻擊面的原則，設計了不安全的功能C.程序員在軟件編碼時，缺乏足夠的經驗，編寫了不安全的代碼D.程序員在進行軟件測試時，沒有針對軟件安全需求進行安全測試

28. 從SABSA的發(fā)展過程，可以看出整個SABSA在安全架構中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的（），其次是（），它包含了建筑設計中的（）、物理設計、組件設計和服務管理設計，再者就是（），緊隨其后的則是 ( )

A. 設計；戰(zhàn)略與規(guī)劃；邏輯設計；實施；管理與衡量B. 戰(zhàn)略與規(guī)劃；邏輯設計；設計；實施；管理與衡量C. 戰(zhàn)略與規(guī)劃；實施；設計；邏輯設計；管理與衡量D. 戰(zhàn)略與規(guī)劃；設計；邏輯設計；實施；管理與衡量

29. 隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切。越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關于ISMS。下面描述錯誤的是（）。

A.在組織中，應由信息技術責任部門(如信息中心)制定井頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求B.組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體，具備可行性C.組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內。應包括全體員工，同時，也應傳達到客戶、合作伙伴和供應商等外部各方D.組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘余風險

30. 小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小。假設單位機房的總價值為400萬元人民幣，暴露系數(shù)(Exposure Factor,EF)是25%，年度發(fā)生率(Annualized Rate of Occurrence, ARO)是0.2,那么小王計算的年度預期損失（Annualized Loss Expectancy, ALE) 應該是( )。

A. 100萬元人民幣B.400萬元人民幣C.20萬元人民幣D.180萬人民幣

31. 隨著信息技術的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來，綜合分析信息安全問題產生的根源，下面描述正確的是 ( )

A.信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存性，導致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B.信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應用越來越廣泛，接觸越多，信息系統(tǒng)越可能遭受攻擊，因此避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C.信息安全問題，產生的根源要從內因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性同時外部又有威脅源，從而導致信息系統(tǒng)可能發(fā)生安全事件，因此要防范安全風險，需從內外因同時著手D.信息安全問題的根本原因是內因、外因和人三個因素的綜合作用，內因和外因都可能導致安全事件的發(fā) 生，但最重要的還是人的因素，外部攻擊者和內部工作人員通過遠程攻擊，本地破壞和內外勾結等手段導致安全事件發(fā)生，因此對人這個因素的防范應是安全工作重點

32. 在Linux系統(tǒng)中，下列哪項內容不包含在/etc/passwd文件中 ()

A．用戶名B．用戶口令明文C．用戶主目錄D．用戶登錄后使用的 SHELL

33. 即使最好用的安全產品也存在（）。結果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策時在敵手和它的目標之間配備多種（）。每一種機制都應包括（）兩種手段。

A．安全機制；安全缺陷；保護和檢測B．安全缺陷；安全機制；保護和檢測C．安全缺陷；保護和檢測；安全機制；D．安全缺陷；安全機制；保護和檢測

34. 某攻擊者想通過遠程控制軟件潛伏在某監(jiān)控方的UNIX系統(tǒng)的計算機中，如果攻擊者打算長時間地遠程監(jiān)控某服務器上的存儲的敏感數(shù)據，必須要能夠清除在監(jiān)控方計算機中存在的系統(tǒng)日志。否則當監(jiān)控方查看自己的系統(tǒng)日志的時候，就會發(fā)現(xiàn)被監(jiān)控以及訪向的痕跡。不屬于清除痕跡的方法是()。

A.竊取 root 權限修改 wtmp/wtmpx、utmp/utmpx 和 lastlog 三個主要日志文件B.采用干擾手段影響系統(tǒng)防火墻的審計功能C 保留攻擊時產生的臨時文件D. 修改登錄日志，偽造成功的登錄日志，增加審計難度

35. 信息安全組織的管理涉及內部組織和外部各方兩個控制目標。為了實現(xiàn)對組織內部信息安全的有效管理，實施常規(guī)的控制措施，不包括哪些選項()

A.信息安全的管理承諾、信息安全協(xié)調、信息安全職責的分配B.信息處理設施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系.C 與特定利益集團的聯(lián)系。信息安全的獨立評審D.與外部各方相關風險的識別、處理外部各方協(xié)議中的安全問題

36. 按照我國信息安全等級保護的有關政策和標準。有些信息系統(tǒng)只需要自主定級、自主保護，按照要求向公安機關備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應屬于：

A.零級系統(tǒng)B 一級系統(tǒng)C 二級系統(tǒng)D 三級系統(tǒng)

37. 小李在檢查公司對外服務網站的源代碼時，發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據庫連接錯誤、寫臨時文件錯誤等問題時，會將詳細的錯誤原因在結果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。將詳細的錯誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發(fā)生內部錯誤! ”.請問，這種處理方法的主要目的是()。

A 避免緩沖區(qū)溢出B.安全處理系統(tǒng)異常C 安全使用臨時文件D.最小化反饋信息

38. 關于 ARP 欺騙原理和防范措施，下面理解錯誤的是( )

A． ARP 欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的 ARP 應答報文。使得受害者主機將錯誤的硬件地址映射關系存到 ARP 緩存中，從而起到冒充主機的目的B．單純利用ARP 欺騙攻擊時，ARP 欺騙通常影響的是內部子網，不能跨越路由實施攻擊C. 解決 ARP 欺騙的一個有效方法是采用“靜態(tài) ”的 APP 緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D．徹底解決 ARP 欺騙的方法是避免使用ARP 協(xié)議和 ARP 緩存。直接采用 IP 地址和其地主機進行連接

39. 組織內人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有員工都可以登錄系統(tǒng)完成相關需要員工配合的工作，以下哪項技術可以保證數(shù)據的保密性：

A.SSL 加密B.雙因子認證C.加密會話 cookieD.IP 地址校驗

40. 強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性，適用于專用或對安全性較高的系統(tǒng)。強制訪問控制模型有多種類型，如 BLP、Biba、Clark-Willson 和 ChineseWall 等。小李自學了 BLP 模型，并對該模型的特點進行了總結。以下 4 鐘對 BLP 模型的描述中，正確的是 ( ) :

A.BLP 模型用于保證系統(tǒng)信息的機密性，規(guī)則是“ 向上讀，向下寫 ”B. BLP 模型用于保證系統(tǒng)信息的機密性，規(guī)則是“ 向下讀，向上寫 ”C. BLP 模型用于保證系統(tǒng)信息的完整性，規(guī)則是“ 向上讀，向下寫 ”D. BLP 模型用于保證系統(tǒng)信息的完整性，規(guī)則是“ 向下讀，向上寫 ”

41. 一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務部門的管理人員能夠對課程信息、學生的選課信息等內容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是：

A.對經過身份鑒別后的合法用戶提供所有服務B.拒絕非法用戶的非授權訪問請求C.在用戶對系統(tǒng)資源提供最大限度共享的基礎上，對用戶的訪問權進行管理D.防止對信息的非授權篡改和濫用

42. 信息安全風險等級的最終因素是：

A.威脅和脆弱性B.影響和可能性C.資產重要性D. 以上都不對

43. 實施災難恢復計劃之后，組織的災難前和災難后運營成本將：

A. 降低B.不變（保持相同）C.提高D.提高或降低（取決于業(yè)務的性質）

44. 自主訪問控制模型（）的訪問控制關系可以用訪問控制表（ACL）來表示，該 ACL 利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數(shù)據。下面選項中說法正確的是（）。

A. ACL 是 Bell-LaPadula 模型的一種具體實現(xiàn)B. ACL 在刪除用戶時，去除該用戶所有的訪問權限比較方便C. ACL 對于統(tǒng)計某個主體能訪問哪些客體比較方便D. ACL 管理或增加客體比較方便

45. 二十世紀二十年代，德國發(fā)明家亞瑟.謝爾比烏斯（Arthur Scherbius）發(fā)明了 Engmia 密碼機。按照密碼學發(fā)展歷史階段劃分，這個階段屬于 ( )

A.古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和置換方法B.近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備。C.現(xiàn)代密碼學的早期發(fā)展階段。這一階段以香農的論文“保密系統(tǒng)的通信理論 ”（“The Communication Theory of Secret Systems ”）為理論基礎，開始了對密碼學的科學探索。D.現(xiàn)代密碼學的近代發(fā)展階段。這一階段以公鑰密碼思想為標準，引發(fā)了密碼學歷史上的革命性的變革，同時，眾多的密碼算法開始應用于非機密單位和商業(yè)場合。

46. 主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是 ( )

A.主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關信息或數(shù)據B.客體也是一個實體，是操作的對象，是被規(guī)定需要保護的資源C.主體是動作的實施者，比如人、進程或設備等均是主體，這些對象不能被當作客體使用D.一個主體為了完成任務，可以創(chuàng)建另外的主體，這些主體可以獨立運行

47. 數(shù)字簽名不能實現(xiàn)的安全特性為 ( )

A. 防抵賴B. 防偽造C. 防冒充D.保密通信

48. 在入侵檢測（IDS）的運行中，最常見的問題是： ()

A.誤報檢測B.接收陷阱消息C.誤拒絕率D.拒絕服務攻擊

49. 什么是系統(tǒng)變更控制中最重要的內容？

A.所有的變更都必須文字化，并被批準B.變更應通過自動化工具來實施C.應維護系統(tǒng)的備份D.通過測試和批準來確保質量

50. IPv4 協(xié)議在設計之初并沒有過多地考慮安全問題，為了能夠使網絡方便地進行互聯(lián)、互通，僅僅依靠 IP 頭部的校驗和字段來保證 IP 包的安全，因此 IP 包很容易被篡改，并重新計算校驗和。IETF 于 1994 年開始制定 IPSec 協(xié)議標準，其設計目標是在 IPv4 和 IPv6 環(huán)境中為網絡層流量提供靈活、透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，保證數(shù)據的完整性和機密性，有效抵御網絡攻擊，同時保持易用性。下列選項中說法錯誤的是 ( )

A.對于 IPv4, IPSec 是可選的，對于 IPv6 ，IPSec 是強制實施的。B. IPSec 協(xié)議提供對 IP 及其上層協(xié)議的保護。C. IPSec 是一個單獨的協(xié)議D. IPSec 安全協(xié)議給出了封裝安全載荷和鑒別頭兩種通信保護機制。

51. 小趙是某大學計算機科學與技術專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應聘時，面試經理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應該采取的最合適的模型或方法是（）。

A.訪問控制列表（ACL）B.能力表（CL）C.BLP 模型D.Biba 模型

52. 分布式拒絕服務（Distributed Denial of Service DDOS)攻擊指借助于客戶/ 服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動 DDOS 攻擊，從而成倍地提高拒絕服務攻擊的威力，一般來說。DDOS 攻擊的主要目的是破壞目標系統(tǒng)的 ()

A．保密性B．完整性C．可用性D．真實性

53. 《國家信息化領導小組關于加強信息安全保障工作的意見》中辦發(fā)[2003]27 號明確了我國信息安全保障工作的（） ,是加強信息安全保障工作的( ) ，需要重點加強的信息安全保障工作。27 號文的重大意義是。它標志著我國信息安全保障工作有了（），我國最近十余年的信息安全保障工作都是圍繞此政策性文件來( ) 的、促進了我國（）的各項工作。

A.方針: 主要原則: 總體綱領: 展開和推進: 信息安全保障建設B.總體要求: 總體綱領: 主要原則: 展開: 信息安全保障建設C.方針和總體要求: 主要原則: 總體綱領: 展開和推進: 信息安全保障建設D.總體要求: 主要原則: 總體綱領: 展開: 信息安全保障建設

54. 某銀行網上交易系統(tǒng)開發(fā)項目在最好階段分析系統(tǒng)運行過程中可能存在的攻擊，請問以下中，哪一項不能降低該系統(tǒng)的受攻擊面 ()

A. 遠程用戶或頻繁運行身份認證B. 遠程用戶訪問需要管理員權限C．關閉不必要的系統(tǒng)服務D. 當用戶訪問其賬戶采用嚴格的身份認證規(guī)則

55. 與 PDR 模型相比，P2DR 模型則更強調（） ,即強調系統(tǒng)安全的（），并且以安全檢測、（）和自適應填充“安全間隙“為循環(huán)來提高（）。

A．漏洞監(jiān)測；控制和對抗；動態(tài)性；網絡安全B．動態(tài)性；控制和對抗；漏洞監(jiān)測；網絡安全C．控制和對抗；漏洞監(jiān)測；動態(tài)性；網絡安全D．控制和對抗；動態(tài)性；漏洞監(jiān)測；網絡安全

56. 你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行 ()

A.由于本次發(fā)布的數(shù)個漏洞都屬于高危漏洞，為了避免安全風險，應對單位所有的服務器和客戶端盡快安裝補丁B．本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具，因此不會對系統(tǒng)產生實質性危害，所以可以先不做處理C．對于重要的服務，應在測試環(huán)境中安裝并確認補丁兼容性問題后再在正式生產環(huán)境中部署D．對于服務器等重要設備，立即使用系統(tǒng)更新功能安裝這批補丁，用戶終端計算機由于沒有重要數(shù)據，由終端自行升級

57. 關于《網絡安全法》域外適用效力的理解，以下哪項是錯誤的()

A 當前對于境外的網絡攻擊，我國只能通過向來源國采取抗議B 對于來自境外的網絡安全威脅我國可以組織技術力量進行監(jiān)測、防御和處置C 對于來自境外的違法信息,我國可以加以阻斷傳播D 對于來自境外網絡攻擊,我國可以追究法律責任

更多問卷復制此問卷

99国产精品久久99久久久,国产婷婷色综合av蜜臀av,成人午夜福利视频,激情久久av一区av二区av三区,√天堂资源地址在线官网

注冊信息安全專業(yè)人員考試模擬測試題(G)