【正文】 備，哪一項的交差錯判率（CER）最高？【答案】 C344. 為什么實現(xiàn)單點登錄的批處理文件及腳本文件需要被保護存儲？【答案】 C345. 下列哪個選項是描述*完整性公理的？【答案】 A346. 實施信息系統(tǒng)訪問控制首先需要進行如下哪一項工作？【答案】 D347. 某個機構(gòu)的網(wǎng)絡遭受多次入侵攻擊，下面那一種技術可以提前檢測到這種行為？ 【答案】 C348. 以下哪一個選項是從軟件自身功能出發(fā)，進行威脅分析【答案】 A349. 在軟件開發(fā)的需求定義階段，在軟件測試方面，以下哪一個選項被制定？【答案】 D350. 下面哪個功能屬于操作系統(tǒng)中的安全功能，禁止不合要求的對程序和數(shù)據(jù)的訪問【答案】 C351. DDoS攻擊的主要目換是:【答案】 B352. 下列哪個為我國計算機安全測評機構(gòu)【答案】 A353. Windows組策略適用于、D、OU【答案】 D354. 下列哪一個是國家推薦標準D. GA 2432000【答案】 A355. 黑客造成的主要危害是A. 破壞系統(tǒng)、竊取信息及偽造信息B. 攻擊系統(tǒng)、獲取信息及假冒信息C. 進入系統(tǒng)、損毀信息及謠傳信息D. 進入系統(tǒng)，獲取信息及偽造信息【答案】 A356. 下面哪一個不是對點擊劫持的描述，用于跟蹤網(wǎng)絡用戶并獲取私密信息，在用戶毫不知情的情況下完成攻擊【答案】 D357. 下面哪一層可以實現(xiàn)編碼，加密【答案】 B358. 下面哪一個描術錯誤的【答案】 D359. 特洛伊木馬攻擊的危脅類型屬于【答案】 B360. 如果雙方使用的密鑰不同，從其中的一個密鑰很難推出另外一個密鑰，這樣的系統(tǒng)稱為【答案】 C361. 在數(shù)據(jù)鏈路層中MAC子層主要實現(xiàn)的功能是【答案】 A362. 路由器工作在OSI的哪一層【答案】 C363. 以下哪個命令可以查看端口對應的PID ano /all【答案】 A364. 用于跟蹤路由的命令是【答案】 D365. CA的核心職責是【答案】 A366. 以下只用于密鑰交換的算法是【答案】 C367. 以下哪一個是ITU的數(shù)字證書標準【答案】 A368. 在TCP中的六個控制位哪一個是用來請求同步的【答案】 A369. 在TCP中的六個控制位哪一個是用來請求結(jié)束會話的【答案】 C370. 如果只能使用口令遠程認證，以下哪種方案安全性最好？，散列保護傳輸，固定密鑰加密保護傳輸，明文傳輸，增加隨機值，明文傳輸【答案】 C371. SSO（單點登錄）有若干實現(xiàn)方法，以下哪種方案不能實現(xiàn)SSO？ VPN網(wǎng)關【答案】 372. RADIUS是AAA協(xié)議，涉及三個主要角色：用戶PC，RADIUS客戶機，RADIUS服務器，以下說法不正確的是？、授權(quán)和記賬【答案】 373. 一家小型公司需要在兩地Ethernet之間進行安全通信，以下哪種方案最好？ VPN網(wǎng)關【答案】 374. 電子銀行普遍使用了網(wǎng)銀盾進行認證，下面說法正確的是？，因為證書丟了身份會被冒充，因為私鑰丟了身份會被冒充，只要證書有備份，網(wǎng)銀盾丟了無所謂【答案】 375. 一名安全顧問在分析DLP（數(shù)字防泄漏系統(tǒng)）產(chǎn)品的加密技術前，在密碼學認識上以下哪條是錯誤的？，DLP應選擇公鑰算法，但密鑰管理非常重要，需要特別關注。，需要特別關注，那最好了?！敬鸢浮?376. 計算機安全有許多最佳設計原則，以下哪個是錯誤的描述？【答案】 377. 密碼學產(chǎn)品涉及密鑰管理，這非常重要，以下哪一個不是密鑰管理的正確理念？，密鑰最好存放在只讀設備上，避免人為干預，密鑰應有主密鑰、子密鑰的層次，不能有2個以上的備份，增加泄露風險【答案】 378. 一個網(wǎng)站允許用戶上傳文件，但是必須攔截含有惡意代碼的文件，同時能提醒用戶上載失敗，以下哪種方案可行？【答案】 379. 網(wǎng)絡安全協(xié)議普遍使用公鑰密碼技術和對稱密碼技術，這么設計的一般原理是以下哪一條？，一方面利用公鑰便于密鑰分配、保護數(shù)據(jù)完整性的優(yōu)點，另一方面利用對稱密鑰加密強、速度快的優(yōu)點，安全協(xié)議都需要用到數(shù)字簽名，必須加入公鑰密碼技術才能彌補這個缺陷，必須加入對稱密碼技術才能彌補這個缺陷【答案】 380. 3G智能手機通過WAP（無線應用協(xié)議）網(wǎng)關上網(wǎng)，WAP使用什么協(xié)議保證安全性？【答案】 381. 數(shù)字簽名總是和散列函數(shù)聯(lián)合使用，以下哪一條是最正確的描述？，速度太慢，利用散列函數(shù)能將原始消息轉(zhuǎn)換成唯一的摘要，使數(shù)字簽名一次完成，散列函數(shù)能將原始消息轉(zhuǎn)換成唯一的摘要，兩者結(jié)合使用保護了消息的完整性和真實性，數(shù)字簽名無法完成，散列函數(shù)毫無意義【答案】 382. 公鑰算法無論基于哪種數(shù)學難題，他們都有哪一個共同的特點？【答案】 383. 軟件系統(tǒng)加固的重要工作之一是及時更新以彌補漏洞，以下哪個不是加固更新包？（Hotfix）（Service pack）（Firmware）包（Patch）【答案】 384. 一組安全顧問團隊給一個公司的做全面安全滲透測試，以下不正確的說法是？，可以采用白盒或黑盒測試方法，白盒測試能發(fā)現(xiàn)更多的漏洞，黑盒測試更貼合實際。，公司里越少人知道越好，可以充分發(fā)揮滲漏威力。，因此安全顧問可以私下保留發(fā)現(xiàn)的漏洞供未來使用。，但安全顧問不可以私下保留發(fā)現(xiàn)的漏洞，除非獲得公司使用授權(quán)?！敬鸢浮?385. BS7799這個標準是由下面哪個機構(gòu)研發(fā)出來的？【答案】 B386. 以下哪個標準是ISO 27001的前身標準？B. BS7750【答案】 C387. 以下標準內(nèi)容為“信息安全管理體系要求”的是哪個？ 27000 27001 27002 27003【答案】 B388. 信息安全屬性不包括以下哪個？【答案】 D389. 以下對信息安全描述不正確的是、完整性和可用性、可靠、正常地運行【答案】 C390. 以下對信息安全管理的描述錯誤的是，三分技術，七分管理，可見管理對信息安全的重要性，安全管理是真正的粘合劑和催化劑，而不是人【答案】 D391. 以下不是信息資產(chǎn)是哪一項？【答案】 C392. 企業(yè)按照ISO 27001標準建立信息安全管理體系的過程中，對關鍵成功因素的描述不正確的是，只要IT部門的人員參入即可、員工能夠理解企業(yè)信息安全策略、指南和標準，并遵照執(zhí)行【答案】 A393. 信息安全管理手段不包括以下哪一項【答案】 B394. 信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是、系統(tǒng)化的體系，應該解決所有的信息安全問題【答案】 D395. 構(gòu)成風險的關鍵因素有哪些？，財，物，管理和操作，威脅和弱點，可能性和嚴重性【答案】 C396. 對于信息安全風險的描述不正確的是，風險就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響及其潛在可能性，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。【答案】 A397. 降低企業(yè)所面臨的信息安全風險的手段，以下說法不正確的是？、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；，防范黑客和惡意軟件的攻擊，轉(zhuǎn)嫁所有的安全風險責任【答案】 D398. 風險評估的基本過程是怎樣的？，識別各種可能的威脅和嚴重的弱點，最終確定風險，找到風險所在，查看相關的管理和技術措施是否到位，完全取決于評估者的經(jīng)驗所在【答案】 A399. 以下對企業(yè)信息安全活動的組織描述不正確的是。，包括簽署相關協(xié)議之前，不應該授權(quán)給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定。，應該完全相信員工，不應該對內(nèi)部員工采取安全管控措施【答案】 D400. 企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是，并明確信息資產(chǎn)的管控責任；，采取對應的管控措施；，所有的信息系統(tǒng)要統(tǒng)一對待【答案】 C401. 企業(yè)ISMS(信息安全管理體系)建設的原則不包括以下哪個【答案】 C402. PDCA特征的描述不正確的是，周而復始，發(fā)現(xiàn)問題，分析問題，然后是解決問題，安全目標的達成都是分解成多個小目標，一層層地解決問題，每次循環(huán)都要進行總結(jié)，鞏固成績，改進不足【答案】 D403. 以下有關通信與日常操作描述不正確的是？，應該采取有效措施，防止信息泄漏 ，無需形成操作手冊?！敬鸢浮?C404. 有關信息安全事件的描述不正確的是？、分級，如果還沒造成損失，就沒必要進行報告。，以吸取教訓、總結(jié)經(jīng)驗，防止類似事情再次發(fā)生【答案】 C405. 以下哪項不屬于信息安全管理的工作內(nèi)容【答案】 D406. 以下哪項不是信息安全的主要目標【答案】 C407. 信息安全需求獲取的主要手段【答案】 A408. 下面哪項不是實施信息安全管理的關鍵成功因素【答案】 C409. 下面哪一個不是高層安全方針所關注的【答案】 D410. 誰對組織的信息安全負最終責任？【答案】 B411. ISO27004是指以下哪個標準A.《信息安全管理體系要求》B.《信息安全管理實用規(guī)則》C.《信息安全管理度量》D.《ISMS實施指南》【答案】 C412. 下面哪一項不是ISMS Plan階段的工作？【答案】 C413. 下面哪一項不是ISMS Check階段的工作？【答案】 A414. 定義ISMS范圍時，下列哪項不是考慮的重點【答案】 D415. 當選擇的控制措施成本高于風險帶來的損失時，應考慮【答案】 D416. 關于控制措施選擇描述不正確的是，不管成本都應該首先選擇【答案】 B417. 信息資產(chǎn)分級的最關鍵要素是【答案】 A418. 管理評審的最主要目的是【答案】 B419. 內(nèi)部審核的最主要目的是【答案】 A420. 在某個公司中,以下哪個角色最適合評估信息安全的有效性?【答案】 C421. 安全評估人員正為某個醫(yī)療機構(gòu)的生產(chǎn)和測試環(huán)境進行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風險？【答案】 D422. 在軟件程序測試的哪個階段一個組織應該進行體系結(jié)構(gòu)設計測試?【答案】 C423. 什么類型的軟件應用測試被用于測試的最后階段，并且通常包含不屬于開發(fā)團隊之內(nèi)的用戶成員?【答案】 D424. 在系統(tǒng)實施后評審過程中，應該執(zhí)行下面哪個活動？【答案】 B425. 某公司的在實施一個DRP項目,項目按照計劃完成后。聘請了專家團隊進行評審，評審過程中發(fā)現(xiàn)了幾個方而的問題,以下哪個代表最大的風險，但其結(jié)果沒有被使用【答案】 C426. 在設計某公司技術性的恢復策略時,以下哪個方面是安全人員最為關注的?【答案】 B427. 時間的流逝對服務中斷損失成本和中斷恢復成本會有什么影響？，中斷恢復的成本隨時問的流逝而減少【答案】 B428. 恢復策略的選擇最可能取決于【答案】 C429. 某公司在測試災難恢復計劃時是發(fā)現(xiàn)恢復業(yè)務運營所必要的關鍵數(shù)據(jù)沒有被保留,可能由于什么沒有明確導致的?(RTO)(RPO)【答案】 D430. 下面哪個是管理業(yè)務連續(xù)性計劃中最重要的方面??！敬鸢浮?B431. 一個組織的災難恢復(DR，disaster recovery)策略的變更時將公司的關鍵任務應用的恢復點目標(RPO)被縮短了，下述哪個是該變更的最顯著風險？【答案】 C432. 在加固數(shù)據(jù)庫時,以下哪個是數(shù)據(jù)庫加固最需要考慮的？【答案】 A433. 數(shù)據(jù)庫管理員執(zhí)行以下那個動作可能會產(chǎn)生風險?【答案】 B434. 一個公司解雇了一個數(shù)據(jù)庫管理員,并且解雇時立刻取消了數(shù)據(jù)庫管理員對公司所有系統(tǒng)的訪問權(quán),但是數(shù)據(jù)管理員威脅說數(shù)據(jù)庫在兩個月內(nèi)將被刪除，除非公司付他一大筆錢。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫？【答案】 D435. 20世紀70－90年代，信息安全所面臨的威脅主要是非法訪問、惡意代碼和脆弱口令等，請問這是信息安全發(fā)展的什么階段？?！敬鸢浮?B436. 以下哪項不屬于造成信息安全問題的自然環(huán)境因素？。