【正文】 tudent(id CHAR(8)． Sname CHAR(20) NOT NULL， Sage SMALLINT．PRIMARYKEY(id)）。A 實體完整性B 二維表完整性C 參照完整性D 自定義完整性200．完整性檢查和控制的防范對象是，防止它們進入數(shù)據(jù)庫．A 不合語義的數(shù)據(jù)、不正確的數(shù)據(jù) B 非法用戶 C 非法操作 D 非法授權(quán)201．下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系A(chǔ) 訪問控制的粒度B 數(shù)據(jù)庫的大小C 關(guān)系表中屬性的數(shù)量D 關(guān)系表中元組的數(shù)量202．以下哪一項不是 IIS 服務(wù)器支持的訪問控制過濾類型?A、網(wǎng)絡(luò)地址訪問控制B、web 服務(wù)器許可C、NTFS 許可D、異常行為過濾203．ApacheWeb 服務(wù)器的配置文件一般位于/usr/local/apache/conf 目錄，其中用來控制用戶訪問Apaehe目錄的配置文件是:A、d．Conf B、srm．conf C、access．conf Dinetd．conf204．下列哪一項不是信息安全漏洞的載體?A、網(wǎng)絡(luò)協(xié)議 B、操作系統(tǒng) C、應(yīng)用系統(tǒng) D、業(yè)務(wù)數(shù)據(jù)205．下列哪些措施不是有效的緩沖區(qū)溢出的防護措施?A 使用標準的C 語言字符串庫進進行操作B 嚴格驗證輸入字符串長度C 過濾不合規(guī)則的字符D 使用第三方安全的字符串庫操作206．在某個攻擊中，由于系統(tǒng)用戶或系統(tǒng)管理員主動泄漏，使得攻擊者可以訪問系統(tǒng)資源 的行為被稱作:A 社會工程 B 非法竊取 C 電子欺騙 D 電子竊聽207．通過向被攻擊者發(fā)送大量的 ICMP 回應(yīng)請求，消耗被攻擊者的資源來進行響應(yīng)，直至被 攻擊者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊稱之為：A、Land 攻擊 B、Smurf 攻擊 C、PingofDeath 攻擊 D、ICMPFlood208．以下哪個攻擊步驟是 IP 欺騙（IPSpoof）系列攻擊中最關(guān)鍵和難度最高的?A 對被冒充的主機進行拒絕服務(wù)攻擊，使其無法對目標主，機進行響應(yīng)B 與目標主機進行會話，猜測目標主機的序號規(guī)則C 冒充受信主機想目標主機發(fā)送數(shù)據(jù)包，欺騙目標主機D 向目標主機發(fā)送指令，進行會話操作209．以下哪個不是 SOL 的思想之一?A、SDL 是持續(xù)改進的過程，通過持續(xù)改進和優(yōu)化以適用各種安全變化，追求最優(yōu)效果B、SDL 要將安全思想和意識嵌入到軟件團隊和企業(yè)文化中C、SDL 要實現(xiàn)安全的可度量性D、SDL 是對傳統(tǒng)軟件開發(fā)過程的重要補充，用于完善傳統(tǒng)軟件開發(fā)中的不足210．以下針對 SOL 的需求分析的描述最準確的是:A 通過安全需求分析，確定軟件安全需要的安全標準和相關(guān)要求B 通過安全需求分析，確定軟件安全需要的安全技術(shù)和工作陽呈C 通過安全窩求分析，確定軟件安全需要的安全標準和安全管理D 通過安全需求分析，確定軟件安全需要的安全技術(shù)和安全管理211．信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標是:A 避免系統(tǒng)軟硬件的損傷B 監(jiān)視系統(tǒng)用戶和維護人員的行為C 保護組織的信息資產(chǎn)D 給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準確記錄212．下面對 PDCA 模型的解釋不正確的是:A 通過規(guī)劃、實施、檢查和處置的工作程序不斷改進對系統(tǒng)的管理活動B 是一種可以應(yīng)用于信息安全管理活動持續(xù)改進的有效實踐方法C 也被稱為戴明環(huán)D 適用于對組織整體活動的優(yōu)化，不適合單個的過程以及個人213．在 POCA 摸型中，ACT(處置〕環(huán)節(jié)的信息安全管理活動是A 建立環(huán)境B 實施風險處理計劃C 持續(xù)的監(jiān)視與評審風險D 持續(xù)改進信息安全管理過程214．下述選項中對于風險管理的描述正確的是:A 安全必須是完美無缺、面面俱到的。B 最完備的信息安全策略就是最優(yōu)的風險管理對策C 在應(yīng)對信息安全風險時,要從經(jīng)濟、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍．D 防范不足就會造成損失:防范過多就可以避免損失。215．風險管理準備階段“建立背景”（對象確立）過程中不應(yīng)該做的是:A 分析系統(tǒng)的體系結(jié)構(gòu)B 分析系統(tǒng)的安全環(huán)境C 制定風險管理計劃D 調(diào)查系統(tǒng)的技術(shù)特性216．風險評估主要包括風險分析準備、風險要素識別、風險分析和風險結(jié)果判定四個主要過程，關(guān)于這些過程，以下的說法哪一個是正確的?A 風險分析準備的內(nèi)容是識別風險的影響和可能性B 風險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C 風險分析的內(nèi)容是識別風險的影響和可能性D 風險結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施217．下列對風險分析方法的描述正確的是:A 定量分析比定性分析方法使用的工具更多B 定性分析比定量分析方法使用的工具更多C 同一組織只用使用一種方法進行評估D．符合組織要求的風險評估方法就是最優(yōu)方法218．以下列哪種處置方法屬于轉(zhuǎn)移風險？ （外包和保險）A 部署綜合安全審計系統(tǒng)B 對網(wǎng)絡(luò)行為進行實時監(jiān)控C 制訂完善的制度體系D 聘用第三方專業(yè)公司提供維護外包服務(wù)219．在對安全控制進行分析時，下面哪個描述是不準確的?A 對每一項安全控制都應(yīng)該進行成本收益分析，以確定哪一項安全控制是必須的和有效的B 應(yīng)確保選擇對業(yè)務(wù)效率影響最小的安全措施C 選擇好實施安全控制的時機和位置，提高安全控制的有效性D 仔細評價引入的安全控制對正常業(yè)務(wù)帶來的影響，采取適當措施，盡可能減少負面效應(yīng)220．信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一項不是信息安全策略文檔 中必須包含的內(nèi)容:A 說明信息安全對組織的重要程度 B 介紹需要符合的法律法規(guī)要求C 信息安全技術(shù)產(chǎn)品的選型范圍 D 信息安全管理責任的定義221 當員工或外單位的工作人員離開組織或崗位變化時，必須進行以下的管理程序除了:A 明確此人不再具有以前的職責B 確保歸還應(yīng)當歸還的資產(chǎn)C 確保屬于以前職責的訪問權(quán)限被撤銷D 安全管理員陪同此人離開工作場所222．在一個有充分控制的信息處理計算中心中，下面酬的可以自同一個人執(zhí)行?A 安全管理和變更管理B 計算機操作和系統(tǒng)開發(fā)C 系統(tǒng)開發(fā)和變更管理D 系統(tǒng)開發(fā)和系統(tǒng)維護223．根據(jù)災(zāi)難恢復演練的深度不同，可以將演練分為三個級別，這三個級別按演練深度由低到高的排序 正確的是A 系統(tǒng)級演練、業(yè)務(wù)級演練、應(yīng)用級演練 B 系統(tǒng)級演練、應(yīng)用級演練、業(yè)務(wù)級演練C 業(yè)務(wù)級演練、應(yīng)用級演練、系統(tǒng)級演練 D 業(yè)務(wù)級演練、系統(tǒng)級演練、應(yīng)用級演練224．以下哪種情形下最適合使用同步數(shù)據(jù)備份策略?A 對災(zāi)難的承受能力高 B 恢復時間目標(RTO)長C 恢復點目標(RPO)短 D 恢復點目標(RPO)長225．當備份一個應(yīng)用程序系統(tǒng)的數(shù)據(jù)時，以下哪一項是應(yīng)該首先考慮的關(guān)鍵性問題?A 什么時候進行備份? B 在哪里進行備份?C 怎樣存儲備份? D 需要備份哪些數(shù)據(jù)?226．下面有關(guān)能力成熟度模型的說法錯誤的是A、能力成熟度模型可以分為過程能力方案(Continuous)和組織能力方案(Staged)兩類B、使用過程能力方案時，可以靈活選擇評估和改進C、使用組織機構(gòu)成熟度方案時，每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D、SSECMM 是一種屬于組織能力方案(Staged)的針對系統(tǒng)安全工程的能力成熟度模型227．下面對能力成熟度模型解釋最準確的是:A 它認為組織的能力依賴于嚴格定義、管理完善、可測可控的有效業(yè)務(wù)過程B 它通過嚴格考察工程成果來判斷工程能力C 它與統(tǒng)計過程控制理論的出發(fā)點不同，所以應(yīng)用于不同領(lǐng)域D 它是隨著信息安全的發(fā)展而誕生的重要概念228．下列哪項不是信息系統(tǒng)安全工程能力成熟度模型（SSECMM）的主要過程:A 風險過程 B 保證過程 C 工程過程 D 評估過程229．SSECMM，即系統(tǒng)安全工程能力成熟度模型,它的六個級別,其中計劃和跟蹤級著重于A 規(guī)范化地裁剪組織層面的過程定義B 項目層面定義、計劃和執(zhí)行問題C 測量D 一個組織或項目執(zhí)行了包含基本實施的過程230．信息安全工程監(jiān)理模型不包括下面哪一項?A 監(jiān)理咨詢服務(wù) B 咨詢監(jiān)理支撐要素C 監(jiān)理咨詢階段過程 D 控制管理措施231．信息安全工程監(jiān)理工程師不需要做的工作是:A 編寫驗收測試方案 B 審核驗收測試方案C 監(jiān)督驗收測試過程 D 審核驗收測試報告232．信息安全工程監(jiān)理的作用不包括下面哪一項?A 彌補建設(shè)單位在技術(shù)與管理上的經(jīng)驗不足B 幫助承建單位攻克技術(shù)難點，順利實施項目C 改善建設(shè)單位與承建單位之間的交流溝通D 通過監(jiān)理控制積極促進項目保質(zhì)按期完成233．美國國防部公布的《可信計算機系統(tǒng)評估準則》(TCSEC)把計算機系統(tǒng)的安全分為 個大的等級。A、3 B、4 C、5 D、6234．以下對確定信息系統(tǒng)的安全保護等級理解正確的是:A 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性B 確定信息系統(tǒng)的安全保護等級時應(yīng)考慮已采取或?qū)⒉扇〉陌踩Ｗo措施C 確定信息系統(tǒng)的安全保護等級時應(yīng)考慮風險評估的結(jié)果D 確定信息系統(tǒng)的安全保護等級時應(yīng)僅考慮業(yè)務(wù)信息的安全性235．依據(jù) GB/T243642009《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范》，應(yīng)急響應(yīng)方法論的響應(yīng)過程的第二步是A 準備 B 確認 C 遏制 D 根除236．各國在信息安全保障組織架構(gòu)有兩種主要形式，一種是由一個部門集中管理國家信息安全相關(guān)工作， 另一種是多個部門分別管理，同時加強協(xié)調(diào)工作。下列各國中，哪一個國家是采取多部門協(xié)調(diào)的做法:A 德國 C 法國 C 美國 D 以上國家都不是237．下列哪項不是《信息安全等級保護管理辦法》(公通字[2007]43 號)規(guī)定的內(nèi)容:A 國家信息安全等級保護堅持自主定級、自主保護的原則B 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查C 跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級D 涉及國家秘密的信息系統(tǒng)不進行分等級保護238．下面有關(guān)我信息安全管理體制的說法錯誤的是A 目前我國的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面B 我國的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C 我國的信息安全管理應(yīng)堅持及時檢測、快速響應(yīng)、綜合治理的方針D 我國對于信息安全責任的原則是誰主管、誰負責；誰經(jīng)營、誰負責239．以下哪一項不是我國與信息安全有關(guān)的國家法律?A、《信息安全等級保護管理辦法》 B、《中華人民共和國保守國家秘密法》C、《中華人民共和國刑法》 D、《中華人民共和國國家安全法》240．根據(jù)我國信息安全管理體系，黨政機關(guān)信息網(wǎng)絡(luò)的安全保衛(wèi)任務(wù)有下列哪個單位負責?A 公安機關(guān)B 國家安全機關(guān)C 國家保密工作部門D 國家密碼主管部門241．下列哪個不是《商用密碼管理條例》規(guī)定的內(nèi)容?A 國家密碼管理委員會及其辦公室(簡稱密碼管理機構(gòu))主管全國的商用密碼管理工作B 商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾鞢 商用密碼產(chǎn)品由國家密碼管理機構(gòu)許可的單位銷售D 個人可以使用經(jīng)國家密碼管理機構(gòu)認可之外的商用密碼產(chǎn)品