1虛擬化(D)直接部署于裸機之上，提供能夠創(chuàng)建、送行和銷毀虛擬服務器的能力。

A:硬件層

B:服務層

C:數(shù)據(jù)層

D:軟件層

2.訪問控制能夠?qū)崿F(xiàn)(A)

A:為合法用戶分配訪問權限

B:用戶遠程登錄

C:用戶特征提取

D:識別合法用戶

3.風險評估實施過程中資產(chǎn)識別的依據(jù)是（D）

A:依據(jù)資產(chǎn)調(diào)查的結(jié)果

B:依據(jù)人員訪談的結(jié)果

C:依據(jù)技術人員提供的資產(chǎn)清單

D:依據(jù)資產(chǎn)分類分級的標準

4.以下不屬于防病毒技術的是(B)。

A:系統(tǒng)監(jiān)控、讀寫控制

B:對可執(zhí)行程序加密

C:對文件進行效驗

D:保護引導區(qū)

5.構成無線傳感器網(wǎng)絡的三個要素包括傳感器、感知對象和(D)。

A:網(wǎng)絡

B:使用者

C:應用程序

D:觀察者

6.早期的DOS系統(tǒng)屬于可信計算機系統(tǒng)安全評價準則(TCSEC) 標準中(A )

A:D1級

B:B3級

C:C1級

D:C2級

7.風險識別階段包含識別（A）

A:以上都是

B:資產(chǎn)

C:脆弱性

D:威脅

8.哪一種數(shù)據(jù)備份方式可以保證最高的RPO要求(B)

A:磁盤復制

B:同步復制

C:異步復制

D:定點拷貝復制

9.對分析結(jié)果使用國家許可的算法進行(A)并加蓋時間戳。

A:數(shù)字簽名

B:哈希

C加密

D:壓縮

10.軟件安全測試的目的是( B)

A:證明軟件的正確性

B:發(fā)現(xiàn)軟件運行中不安全的行為

C:解決軟件中隱藏的錯誤

D:發(fā)現(xiàn)軟件中隱藏的錯誤

11.釣魚網(wǎng)站的危害主要是(B)。

A:體現(xiàn)黑客技術

B:竊取個人隱私信息

C:單純的對某網(wǎng)頁進行掛馬

D:破壞計算機系統(tǒng)

12.從風險處置的角度，以下哪種方法不可取（D）

A:接受風險

B:轉(zhuǎn)移風險

C:降低風險

D:拖延風險

13.CISAW模型的本質(zhì)對象是(C )

A:事務

B:活動

C:業(yè)務

D:事件

14.下面哪一個不是脆弱性識別的手段（D）

A:人員訪談

B:安全專家人工分析

C:技術工具檢測

D:信息資產(chǎn)核查

15 windowsXP系統(tǒng)登錄不涉及以下哪些模塊(B)。

A:GINA

B:RPC

C:LSA

D:WINLOGON

16.風險分析的目的是（B）

A:辨認出更多的風險，為風險評價、風險應對決策提供輸入

B:建立對風險的理解，為風險評價、風險應對決策提供輸入

C:明確風險發(fā)生后的影響程度

D:明確風險發(fā)生的可能性

17.以下哪種風險被定義為合理的風險（C）

A:殘余風險

B:最小的風險

C:可接受的風險

D:總風險

18.流量分析工具有什么用途（B）

A:主要是從系統(tǒng)日志中讀取出曾經(jīng)發(fā)生的安全事件，以此降低人工審計的工作量

B:主要是對網(wǎng)絡流量進行分析，從中發(fā)現(xiàn)異常訪問行為

C:可以自動阻斷攻擊或入侵

D:主要是對入侵、攻擊、非法訪問等行為檢測

19.定性風險分析工具和技術不包括（D）

A:風險數(shù)據(jù)質(zhì)量評估

B:概率及影響矩陣

C:風險緊急度評估

D:建模技術

20.1SO/IEC TR 13335提到的4種風險分析方法不包括(C)。

A:詳細風險分析

B:基線方法

C:正式方法

D:組合方法

21損失抑制是指采取措施使在(C)或事故發(fā)生后能減少發(fā)生范圍或損失程度

A:風險事故發(fā)生前

B:風險因素形成后

C:風險事故發(fā)生時

D:風險因素形成前

22.風險的大小本質(zhì)上決定于不幸事件發(fā)生的概率及其發(fā)生后果的嚴重性。實踐中，要確定后風險等級，通常需要將這兩個變量結(jié)合起來加以判斷。 以下正確的判斷是（C）

A:低可能性與輕微后果則為高風險

B:高可能性與嚴重后果則為低風險

C:低可能性與輕微后果則為低風險

D:高可能性與輕微后果則為高風險

23.資產(chǎn)的CIA三性包括（C）

A:可用性

B:保密性

C:以上都是

D:完整性

24.TCP連接掃描主要是利用( )信息判斷日標端口狀態(tài)。（D）

A: SYN包

B: ICMP

C: UPD

D: ACK包

25.合適的信息資產(chǎn)存放的安全措施維護是誰的責任（B）

A:系統(tǒng)運行組

B:數(shù)據(jù)和系統(tǒng)所有者

C:系統(tǒng)管理員

D:安全管理員

26.關于入侵檢測原理的說法錯誤的是(D),

A:可利用模式匹配方法檢測入侵行為

B:指的是根據(jù)非正常行為和使用計算機資源非正常情況檢測出入侵行為

C:網(wǎng)絡入侵檢測保護范圍為內(nèi)部子網(wǎng)

D:不能檢測未知入侵行為

27云平臺(D)是指如何保證用戶可以安全地訪問各種業(yè)務應用，同時避免來自網(wǎng)絡的攻擊造成破壞。

A:硬件安全

B:軟件安全

C:操作安全

D:接口安全

28 (B)不屬于網(wǎng)站滲透測試的內(nèi)容。

A: SQL注入

B: 防火墻日志審查

C: 跨站攻擊

D:防火墻遠程探測與攻擊

29.在風險分析中，下列不屬于軟件資產(chǎn)的是（C）

A:網(wǎng)絡操作系統(tǒng)

B:計算機操作系統(tǒng)

C:外來惡意代碼

D:應用軟件源代碼

30采用虛擬機遷移技術可以在某些服務器故障癱瘓時，將業(yè)務自動切換到網(wǎng)絡其他相同環(huán)境的虛擬服務器中，以達到(B)的目的。

A:防毒

B:業(yè)務連續(xù)性

C:節(jié)省成本

D:防入侵

31.通過風險管理可以降低風險反映了風險的（D）

A:客觀性

B:偶然性

C:必然性

D:可變性

32在風險處置過程中，應當考慮的風險處置措施，通常在哪種情況下采用（D）

A:負面影響損失和安全投入都很小

B:負面影響損失小于安全投入

C:負面影響損失和安全投入持平

D:安全投入小于負面影響損失

33.對可能引起損失的事故進行研究，并探究其原因和結(jié)果的種方法，稱為（C）

A:失誤樹分析

B:風險清單

C:事故分析

D:威脅分析

34.風險管理的本質(zhì)對象是指（D）

A:軟件

B:硬件

C:系統(tǒng)

D:業(yè)務

35.物聯(lián)網(wǎng)的三個基本特征不包括(A)

A:多重處理

B:智能處理

C:可靠傳輸

D:全面感知

36.通常情況下，怎樣計算風險（C）

A:用影響除以發(fā)生概率就得出了風險。

B:將可能性等級加上影響就得出了風險

C:將可能性等級乘以影響就得出了風險。

D:用概率作為指數(shù)對影響進行乘方運算就得出了風險

37.風險控制是依據(jù)風險評估的結(jié)果，選擇和實施合適的安全措施，下面哪個不是風險控制的方式（B）

A:降低風險

B:接受風險

C:轉(zhuǎn)移風險

D:規(guī)避風險

38.信息安全風險評估對象確立的主要依據(jù)是（D）

A:系統(tǒng)的業(yè)務目標和特性

B:系統(tǒng)的網(wǎng)絡環(huán)境

C:系統(tǒng)設備的類型

D:系統(tǒng)的技術架構

39.防范網(wǎng)絡監(jiān)聽最有效的方法是(C)

A:漏洞掃描

B:采用無線網(wǎng)絡傳輸

C:數(shù)據(jù)加密

D:安裝防火墻

40.物聯(lián)網(wǎng)中采用RFID標簽是對物體(A)的標識。

A:靜態(tài)屬性

B:可變屬性

C:最終屬性

D:動態(tài)屬性

41.以下哪一項對安全風險的描述是準確的（B）

A:安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實

B:安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。

C:安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。

D:安全風險是指資產(chǎn)的脆弱性被威脅利用的情形

42實施網(wǎng)絡監(jiān)視不包括(A)。

A:視頻監(jiān)控

B:事件監(jiān)視

C:全內(nèi)容監(jiān)視

D:無內(nèi)容監(jiān)視

43.以下哪些不屬于脆弱性范疇（D）

A:操作系統(tǒng)漏洞

B:人員的不良操作習慣

C:應用程序BUG

D:黑客攻擊

44、下列哪種處置方法屬于轉(zhuǎn)移風險（A）

A:聘用第三方專業(yè)公司提供維護外包服務

B:部署綜合安全審計系統(tǒng)

C:對網(wǎng)絡行為進行實時監(jiān)控

D:制定完善的制度體系

45.構成風險存在與否的三個基本條件是:風險因素、風險事故和（D）

A:獲利的可能

B:風險發(fā)生的頻率

C:風險發(fā)生的時間

D:損失

46.引起損失的間接原因是（B）

A:損失頻率

B:風險因素

C:損失程度

D:風險事件

47.(D) 指通過考慮風險發(fā)生的概率及風險發(fā)生后對項目目標及其他因素的影響，對已識別風險的優(yōu)先級進行評估。

A:風險管理

B:風險控制

C:風險應對計劃編制

D:定性風險分析

48.風險的特征，除了具有客觀性和偶然性之外，還具有（D）

A:可預測性

B:確定性

C:穩(wěn)定性

D:可變性

49.以下關于風險管理的描述不正確的是（D）

A:信息安全風險管理是基于可接受的成本，對影響信息系統(tǒng)的安全風險進行識別或消除的過程

B:風險的四種控制方法有:減低風險/ 轉(zhuǎn)嫁風險/ 規(guī)避風險/ 接受風險

C:組織應根據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全

D:信息安全風險管理是否成功在于風險是否切實被消除了

50下列哪一個說法是正確的（A）

A:風險越大，越需要保護

B:越是中等風險，越需要保護

C;風險越小，越需要保護

D:風險越大，越不需要保護

51.威脅識別工具IDS有什么用途（B）

A可以自動阻斷攻擊或入侵

B:主要是對入侵、攻擊、非法訪問等行為檢測

C:主要是對網(wǎng)絡流量進行分析， 從中發(fā)現(xiàn)異常訪問行為

D:主要是從系統(tǒng)日志中讀取出曾經(jīng)的終發(fā)生的安全事件，以此降低人工審計的工作量

52.以下關于網(wǎng)閘與防火墻的說法錯誤的是( D)

A:防火墻是邏輯隔離

B:網(wǎng)間更強調(diào)安全性

C:網(wǎng)閘嚴格禁止內(nèi)外網(wǎng)絡直接連接

D:網(wǎng)閘是物理隔離

53安全漏洞產(chǎn)生的原因很多，其中口令過于簡單，很容易被攻擊者猜中屬于(A)。

A:配置管理和使用不當也能產(chǎn)生安全漏洞

B:技術實現(xiàn)不充分

C:以上都不正確

D:系統(tǒng)和軟件的設計存在缺陷

54.威脅識別工具IPS有什么用途（D）

A:主要是對入侵、攻擊、非法訪問等行為檢測

B:主要是對網(wǎng)絡流量進行分析，從中發(fā)現(xiàn)異常訪問行為

C:主要是從系統(tǒng)日志中讀取出曾經(jīng)發(fā)生的安全事件，以此降低人工審計的工作量

D:可以自動阻斷攻擊或入侵

55.不具備容錯能力的RAID技術是(D)。

A:RAID5技術

B:RAID4技術

C:RAID1技術

D:RAIDO技術

56無論是對原始磁盤還是對分離的、固定的或可以移動的存儲介質(zhì)，取證工具必須做到(D)。

A:按文件復制

B:按目錄復制

C:按操作系統(tǒng)復制

D:按比特流復制

57應對信息安全風險的主要目標是什么（B）

A:盡量多實施安全措施以消除資產(chǎn)暴露在其下的每種風險

B:管理風險，以使由風險產(chǎn)生的問題降至最低限度

C:消除可能會影響公司的每一種威脅

D:盡量忽略風險，不使成本過高

58.門禁系統(tǒng)早期被人稱為(A)

A:電子鎖

B:防盜門

C:貓眼

D:電子眼

59.對“不確定性”，以下陳述正確的是(B)。

A:不可能改變不確定性的程度

B:不確定性是指信息的缺乏

C:不確定性是指只知道事件發(fā)生的概率

D:不確定性是指不知道事件發(fā)生的概率

60.在風險評估的基本問題中，“風險發(fā)生的可能性”這一問題通過什么過程給與回答（C）

A:風險評估

B:風險識別

C:風險分析

D:風險感知

61.我國為加強商用密碼管理，保護信息安全，保護公民和組織的合法權益，維護國家的安全和利益，制定了(D)。

A:《中華人民共和國計算機信息系統(tǒng)安全保護條例》

B:《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》

C:《計算機軟件保護條例》

D:《商用密碼管理條例》

62如果“一個風險事件的發(fā)生機會是45次中出現(xiàn)15次，基F類似事件的經(jīng)驗，在下個項目上，這個風險事件發(fā)生的概率是多少(A)。

A:33%

B:90%

C:45%

D:15%

63.管理者何時可以根據(jù)風險分析結(jié)果對已識別風險不采取措施（C）

A:當引起風險發(fā)生的情況不在部門控制范圍之內(nèi)時

B:當風險減輕方法提高業(yè)務生產(chǎn)力時

C當必須的安全對策的成本高出實際風險的可能造成的譴責負面影響時

D:不可接受

64.對于“利益相關方”的概念，以下陳述錯誤的是(B)

A:對于一項決策或活動，可以感知被它影響的個人或組織

B決策者自己不屬于利益相關方

C對于一項決策或活動， 可以都響它的個人或組織

D:對于一項決策或活動， 可以被它影響的個人或組織

65.以下哪項措施不是用來支持“最小權限”原則的（A）

A:只允許系統(tǒng)軟件和應用系統(tǒng)需要使用的數(shù)據(jù)通過防大墻

B:管理員應使用普通用戶價進行常規(guī)視作，如閱讀郵件

C嚴格限制系統(tǒng)管理員的數(shù)量

D,將系統(tǒng)用戶的角色分為管理員、審計員和普通用戶

66在確定成脅的可能性時，可以不考慮以下哪個（C）

A攻擊所產(chǎn)生的負面影響

B:潛在弱點

C:現(xiàn)有控制措施

D:威脅源

67.通過日志審查。(ACD)。

A:能夠進行流量統(tǒng)計分析

B:能夠完全避免內(nèi)部人員監(jiān)守自盜

C:能夠監(jiān)控異常訪問

D:他夠生成調(diào)研報告

68.實現(xiàn)RFID安全性機制所采用的方法主要有物理方法、( B)以及者結(jié) 合的方法。

A:認證機制

B:密碼機制

C:混淆機制

D:守護機制

69產(chǎn)生緩沖區(qū)溢出的根本原因是(B)。

A:堆棧使用頻繁

B:很多C/C 請l直函數(shù)沒有檢查數(shù)據(jù)寫入緩沖區(qū)的數(shù)據(jù)長度

C:緩沖區(qū)過小

D:緩沖區(qū)過大

70.WindowsNT登錄過程中啟動的第一個安個組件是(C)

A:LSA

B:GINA

C:Winlogon

D:SSPI

71. is031000標準提出了(C) 項風險管理原則。

A:八

B:十

C:十一

D:十二

72.主機的加固包括(B)

A:硬件加固

B:硬件和軟件加固

C:軟件加固

D:上述答案均不完整

73.不屬于非對稱加密算法的優(yōu)點是(C),

A:以上都不是

B:密鑰管理簡單

C:加密/解密速度快

D:具有認證功能

74.風險評話實施過程中脆弱性識別上要包括（A）

A:技術漏洞與管理漏洞

B:軟件開發(fā)漏洞

C:上機系統(tǒng)漏洞

D:網(wǎng)站應用漏洞

75.德爾菲技術是種非常有用的風險識別方法，其主要優(yōu)勢在(D)。

A:有助于綜合考慮決策者對風險的態(tài)度

B:能夠為決策者提供系列圖表 式的決策選擇

C:可以明確表示出特定變量出現(xiàn)的概率

D:減少分析過程中的偏見，防止任何個人對結(jié)果施加不當?shù)倪^大影響

76.某網(wǎng)站的流量突然激增，訪問該網(wǎng)站響應慢，則該網(wǎng)站最有可能受到的攻擊是(B),

A:特洛伊木馬

B:DoS

C:SQL注入攻擊

D:端口掃描

77.某項目經(jīng)理說，“我知道有風險存在，而且注意到其可能的后果我愿意等著看會發(fā)生什么事，萬一它們確實發(fā)生，我接受其結(jié)果”，他對于減少風險采用的是什么方式(D)。

A:轉(zhuǎn)移

B:問避

C:降低

D:接受

78.如果將風險管理分為風險評估和風險處置，那么以下哪個不屬于風險處置的內(nèi)容（B）

A:接受殘余風險

B:計算風險

C.選擇合適的安全措施

D:實現(xiàn)安全措施

79: ISO 31000 :2009在引言中說:實施并保持與本國際標準相致的風險管理可以使組織能夠獲得(C)項幫助。這也是組織實施風險管理的意義所在。

A:15

B:11

C:17

D:16

80.下面哪項不是風險評估的過程（C）

A:風險等級評價

B:風險因素識別

C:風險控制選擇

D:風險程度分析

81.下面屬于信息化安全實施原則的是(ABCD)

A:靠成本費用控制與風險平衡的原則

B:全員參與的原則

C:預防控制為主的思想原則

D:動態(tài)管理的原則

82.下面哪些行為可能使信息面臨威脅(ABCD)。

A:購買正版殺毒軟件，但沒有及時升級

B:用缺省的登錄方式直接將系統(tǒng)連接到互聯(lián)網(wǎng)

C:安裝防火墻時，對于如何訪止危險的進出流量未作出配置

D:不定期掃描漏洞，在發(fā)現(xiàn)系統(tǒng)漏洞后不及時修補和更新

83.實現(xiàn)TCP/IP連接斷開的技術包括(ABC)

A:網(wǎng)絡地址轉(zhuǎn)換

B:應用層代理

C:網(wǎng)閘

D:防火墻

84.在信息安全風險評估準備階段，機構應做好的工作有(ABD)。

A:獲得最高管理者對風險評估策劃的批準

B:建立系統(tǒng)性的風險評估方法

C:建立適當?shù)慕M織結(jié)構

D:確定風險評估的目標和范圍

85.風險評估報告可包括(ABCD).

A:殘余風險描述

B建議的風險控制措施

C:安全問題歸納及描述、風險等級、安全建議

D:風險評估范圍和計算方法

86.以下屬于Snort的運行方式的有(ABD)

A:嗅探器

B:NIDS

C:WEB服務

D:抓包器

87.以下每個關于避免風險的說法正確的是(BCD)。

A:接受風險事件帶來的后果

B.聚焦于排除產(chǎn)生風險的因素

C.如果用戶能更好地減輕風險的話，則將風險留給用戶

D:包括決定不去投標認為風險過大的項目

88.信息安全風險評估實施流程包括的環(huán)節(jié)有(ABCD )。

A:已采取的安全措施的確認

B:資產(chǎn)、威脅，脆弱性的識別和賦值

C:評估準備階段

D:風險識別和分析

89.對于殘余風險，機構應該(ACD)。

A:必要時可接受殘余風險

B:不斷調(diào)整或增加控制措施以降低殘余風險

C:確保殘余風險降到最低

D:對F不可接受范圍內(nèi)的風險，應在選擇適當?shù)目刂拼胧┖?，對殘余風險進行再評估

90.關于DMZ的說法正確的有(BCD)

A:與內(nèi)網(wǎng)安全級別相同

B:是非軍事化區(qū)的意思

C:安全策略允許情況下，可讓外網(wǎng)主機訪問

D:放置服務器等設備

91: IPSec可以提供哪些安全服務(ABD)

A:數(shù)據(jù)完整性

B:數(shù)據(jù)來源認證

C:防端口掃描

D:數(shù)據(jù)機密性

92.下列關于防火墻的說法錯誤的有(ABC)

A:相對包過濾防火墻，應用代理防火墻能實現(xiàn)用戶的透明

B:防火墻只能劃分兩個安全域

C.防火墻能夠完全保障內(nèi)網(wǎng)安全

D:防火墻的安全功能是根據(jù)安全策略的要求而設定的

93.風險管理應該為組織目標做出貢獻，這些目標包括(ABCD).

A:產(chǎn)品質(zhì)量

B:人身健康與安全

C:環(huán)境保護

D:運營效率

94.下面描述哪些體現(xiàn)了信息化安全的特點(ABCD)。

A:在信息化安全過程中，人始終是個重要的角色

B:信息化安全是相對的，是一個過程，不是靜止不變的

C:信息化安全是需要定期進行風險評估的

D:信息化安全是一個不斷對付攻擊的循環(huán)過程

95.關于脆弱性以下表示正確的有(BCD)。

A:脆弱性評估就是漏洞掃描

B:起不到應有作用的或沒有正確實施的安全保護措施本身就可能是脆弱性

C:如果沒有相應的威脅發(fā)生，單純的脆弱性并不會對資產(chǎn)造成損害

D:脆弱性是資產(chǎn)本身存在的，可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損壽

96.以下技術中，屬于在線分析的有(ABD)

A:統(tǒng)計分析

B:模型推理

C:完整性分析

D:專家系統(tǒng)

97.以下技術中，屬于網(wǎng)閘的斷開技術的有(ACD)

A:基于內(nèi)存總線的開關技術

B:NDIS

C:基于SCSI的開關技術

D:單向傳輸技術

98.應用代理技術能夠?qū)崿F(xiàn)的有（ACD）

A:只允許文件下載，不允許文件上傳

B:防御密碼嗅探

C:對訪問網(wǎng)絡的用戶范圍進行限制

D:對用戶進行認證

99.一個完整的電子郵件地址由(ABC)組成。

A:主機名

B:域名

C:登錄名

D:用戶名

100.下面屬于風險評估內(nèi)容的是(ABCD)。

A:有哪些要保護的資產(chǎn)，包括硬件和軟件等

B:溝通和交流

C:安防控制措施評估

D:根據(jù)資產(chǎn)所處的環(huán)境進行威脅識別和評價

101.某物流公司(上百名員工)在年初發(fā)生一起嚴重泄密事件：一員工因?qū)静粷M， 在離職半年后將其在職期間竊取的員工工資表(該表以excel文檔保存在人事經(jīng)理主機上)以匿名郵件的形式發(fā)給公司里每個人，公司內(nèi)部震動很大，一些不滿薪金制度的員工還遞上了辭呈。IT主管于是從網(wǎng)上下載一個文檔加密軟件提交予人事部，要求其將相關重要文檔加密存放。請就上述事件指出該物流公司在信息安全防護措施方面具有哪些問題(至少列出六點)，并為防止類似事件發(fā)生給出一個整體安全集成解決方案。