文档库

最新最全的文档下载
当前位置:文档库 > 计算机三级信息安全技术 第一套(精编+解析)

计算机三级信息安全技术 第一套(精编+解析)

第一套

1.信息技术的产生与发展,大致经历的三个阶段是()。

A.电讯技术的发明、计算机技术的发展和互联网的使用

B.电讯技术的发明、计算机技术的发展和云计算的使用

C.电讯技术的发明、计算机技术的发展和个人计算机的使用

D.电讯技术的发明、计算机技术的发展和半导体技术的使用

【解析】信息技术的发展,大致分为电讯技术的发明(19世纪30年代开始)、计算机技术的发展(20世纪50年代开始)和互联网的使用(20世纪60年代开始)三个阶段。故选择A选项。

2.同时具有强制访问控制和自主访问控制属性的访问控制模型是()。

A.BLP

B.Biba

C.Chinese Wall

D.RBAC

【解析】BLP模型基于强制访问控制系统,以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证,类似于BLP保密模型,也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域,必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问,同时包括了强制访问控制和自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。故选择C 选项。

3.信息安全的五个基本属性是()。

A.机密性、可用性、可控性、不可否认性和安全性

B.机密性、可用性、可控性、不可否认性和完整性

C.机密性、可用性、可控性、不可否认性和不可见性

D.机密性、可用性、可控性、不可否认性和隐蔽性

【解析】信息安全的五个基本属性为:可用性(availability)、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可否认性(non-repudiation)。而安全性,不可见性和隐蔽性不属于信息安全的五个基本属性。故选择B选项。

4.下列关于信息安全的地位和作用的描述中,错误的是()。

A.信息安全是网络时代国家生存和民族振兴的根本保障

B.信息安全是信息社会健康发展和信息革命成功的关键因素

C.信息安全是网络时代人类生存和文明发展的基本条件

D.信息安全无法影响人们的工作和生活

【解析】信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露(比如商业科研项目数据,对手企业发展规划等)、防范青少年对不良信息的浏览(比如淫秽,色情,暴力等)、个人信息的泄露(比如银行卡号,身份证号等)等,因此D选项不正确。故选择D选项。

5.下列关于哈希函数的说法中,正确的是()。

A.哈希函数是一种双向密码体制

B.哈希函数将任意长度的输入经过变换后得到相同长度的输出

C.MD5算法首先将任意长度的消息填充为512的倍数,然后进行处理

D.SHA算法要比MD5算法更快

【解析】哈希函数将输入资料输出成较短的固定长度的输出,这个过程是单向的,逆向操作难以完成,故A、B选项错误;MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值;SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit,故耗时要更长,故D选项错误。故选择C选项。6.下列关于对称密码的描述中,错误的是()。

A.加解密处理速度快

B.加解密使用的密钥相同

C.密钥管理和分发简单

D.数字签名困难

【解析】对称加密系统通常非常快速,却易受攻击,因为用于加密的密钥必须与需要对消息进行解密的所有人一起共享,同一个密钥既用于加密也用于解密所涉及的文本,A、B正确;数字签名是非对称密钥加密技术与数字摘要技术的综合应用,在操作上会有一定的难度,故D正确。对称加密最大的缺点在于其密钥管理困难。故选择C选项。

7.下列攻击中,消息认证不能预防的是()。

A.伪装

B.内容修改

C.计时修改

D.发送方否认

【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等,但是发送方否认将无法保证。故选择D选项。

8.下列关于Diameter和RADIUS区别的描述中,错误的是()。

A.RADIUS运行在UDP协议上,并且没有定义重传机制;而Diameter运行在可靠的传输协议TCP、SCTP之上

B.RADIUS支持认证和授权分离,重授权可以随时根据需求进行;Diameter中认证与授权必须成对出现

C.RADIUS固有的客户端/服务器模式限制了它的进一步发展;Diameter采用了端到端模式,任何一端都可以发送消息以发起审计等功能或中断连接

D.RADIUS协议不支持失败恢复机制;而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误

【解析】RADIUS运行在UDP协议上,并且没有定义重传机制,而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制,每个会话方可以动态调整自己的接收窗口,以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制,而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离,重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。故选择B选项。

9. 下列关于非集中式访问控制的说法中,错误的是()。

A.Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录

B.Kerberos协议设计的核心是,在用户的验证过程中引入一个可信的第三方,即Kerberos验证服务器,它通常也称为密钥分发服务器,负责执行用户和服务的安全验证

C.分布式的异构网络环境中,在用户必须向每个要访问的服务器或服务提供凭证的情况下,使用Kerberos协议能够有效地简化网络的验证过程

D.在许多应用中,Kerberos协议需要结合额外的单点登录技术以减少用户在不同服务器中的认证过程

【解析】Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,故D选项说法错误,无需基于主机地址的信任,不要求网络上所有主机的

物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。故选择D 选项。

10.IKE协议属于混合型协议,由三个协议组成。下列协议中,不属于IKE协议的是()。

A.Oakley

B.Kerberos

C.SKEME

D.ISAKMP

【解析】IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议,B选项错误。故选择B选项。

11.下列组件中,典型的PKI系统不包括()。

A.CA

B.RA

C.CDS

D.LDAP

【解析】一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA 用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。故选择C选项。

12.下列协议中,状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是()。

A.TCP

B.UDP

C.ICMP

D.FTP

【解析】状态检测防火墙在处理无连接状态的UDP、ICMP等协议时,无法提供动态的链接状态检查,而且当处理FTP存在建立两个TCP连接的协议时,针对FTP协议的被动模式,要在连接状态表中允许相关联的两个连接。而在FTP的标准模式下,FTP客户端在内网,服务器端在外网,由于FTP的数据连接是从外网服务器到内网客户端的一个变化的端口,因此状态防火墙需要打开整个端口范围才能允许第二个连接通过,在连接量非常大的网络,这样会造成网络的迟滞现象。状态防火墙可以通过检查TCP的标识位获得断开连接的信息,从而动态的将改连接从状态表中删除。故选择A选项。

13.下列选项中,不属于分组密码工作模式的是()。

A.ECB

http://www.wendangku.net/doc/2a5eec7f4793daef5ef7ba0d4a7302768f996fd1.htmlB

C.CFB

D.OFB

【解析】CCB(密码块链接),每个平文块先与前一个密文块进行异或后,再进行加密,没有分组工作模式。ECB(电码本)模式是分组密码的一种最基本的工作模式。在该模式下,待处理信息被分为大小合适的分组,然后分别对每一分组独立进行加密或解密处理。CFB(密文反馈),其需要初始化向量和密钥两个内容,首先先对密钥对初始向量进行加密,得到结果(分组加密后)与明文进行移位异或运算后得到密文,然后前一次的密文充当初始向量再对后续明文进行加密。OFB(输出反馈),需要初始化向量和密钥,首先运用密钥对初始化向量进行加密,对下个明文块的加密。故选择B选项。

14.下列关于访问控制主体和客体的说法中,错误的是()。

A.主体是一个主动的实体,它提供对客体中的对象或数据的访问要求

B.主体可以是能够访问信息的用户、程序和进程

C.客体是含有被访问信息的被动实体

D.一个对象或数据如果是主体,则其不可能是客体

【解析】主体是指提出访问资源具体请求,是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体,客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。因此,可以主体可以是另外一个客体。故选择D选项。

15.下列关于进程管理的说法中,错误的是()。

A.用于进程管理的定时器产生中断,则系统暂停当前代码执行,进入进程管理程序

B.操作系统负责建立新进程,为其分配资源,同步其通信并确保安全

C.进程与CPU的通信是通过系统调用来完成的

D.操作系统维护一个进程表,表中每一项代表一个进程

【解析】进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。而不是通过系统调用来完成的。故选择C选项。

16.下列关于守护进程的说法中,错误的是()。

A.Unix/Linux系统大多数服务都是通过守护进程实现的

B.守护进程常常在系统引导装入时启动,在系统关闭时终止

C.守护进程不能完成系统任务

D.如果想让某个进程不因为用户或终端或其它变化而受到影响,就必须把这个进程变

成一个守护进程

【解析】在linux或者unix操作系统中在系统的引导的时候会开启很多服务,这些服务就叫做守护进程。为了增加灵活性,root可以选择系统开启的模式,这些模式叫做运行级别,每一种运行级别以一定的方式配置系统。守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。守护进程常常在系统引导装入时启动,在系统关闭时终止。Linux系统有很多守护进程,大多数服务都是通过守护进程实现的,同时,守护进程还能完成许多系统任务,例如,作业规划进程crond、打印进程lqd等,故选择C选项。

17.在Unix系统中,改变文件分组的命令是()。

A.chmod

B.chown

C.chgrp

D.who

【解析】chmod:文件/目录权限设置命令;chown:改变文件的拥有者;chgrp:变更文件与目录的所属群组,设置方式采用群组名称或群组识别码皆可;who:显示系统登陆者。故选择C选项。

下列选项中,不属于Windows环境子系统的是()。

A.POSIX

B.OS/2

C.Win32

D.Win8

【解析】Windows有3个环境子系统:Win32、POSIX和OS/2;POSIX子系统,可以在Windows下编译运行使用了POSIX库的程序,有了这个子系统,就可以向Windows移植

一些重要的UNIX/Linux应用。OS/2子系统的意义跟POSIX子系统类似。Win32子系统比较特殊,如果没有它,整个Windows系统就不能运行,其他两个子系统只是在需要时才被启动,而Wind32子系统必须始终处于运行状态。故选择D选项。

19.下列有关视图的说法中,错误的是()。

A.视图是从一个或几个基本表或几个视图导出来的表

B.视图和表都是关系,都存储数据

C.视图和表都是关系,使用SQL访问它们的方式一样

D.视图机制与授权机制结合起来,可以增加数据的保密性

【解析】视图是原始数据库数据的一种变换,是查看表中数据的另外一种方式。可以将视图看成是一个移动的窗口,通过它可以看到感兴趣的数据。视图是从一个或多个实际表中获得的,这些表的数据存放在数据库中。那些用于产生视图的表叫做该视图的基表。一个视图也可以从另一个视图中产生。视图的定义存在数据库中,与此定义相关的数据并没有再存一份于数据库中,通过视图看到的数据存放在基表中,而不是存放在视图中,视图不存储数据,故B选项说法不正确。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上,但不能授权到数据库特定行和特定的列上。故选择B选项。

20.下列关于事务处理的说法中,错误的是()。

A.事务处理是一种机制,用来管理必须成批执行的SQL操作,以保证数据库不包含不完整的操作结果

B.利用事务处理,可以保证一组操作不会中途停止,它们或者作为整体执行或者完全不执行

C.不能回退SELECT语句,因此事务处理中不能使用该语句

D.在发出COMMIT或ROLLBACK语句之前,该事务将一直保持有效

【解析】由于事务是由几个任务组成的,因此如果一个事务作为一个整体是成功的,则事务中的每个任务都必须成功。如果事务中有一部分失败,则整个事务失败。一个事务的任何更新要在系统上完全完成,如果由于某种原因出错,事务不能完成它的全部任务,系统将返回到事务开始前的状态。COMMIT语句用于告诉DBMS,事务处理中的语句被成功执行完成了。被成功执行完成后,数据库内容将是完整的。而ROLLBACK语句则是用于告诉DBMS,事务处理中的语句不能被成功执行。不能回退SELECT语句,因此该语句在事务中必然成功执行。故选择C选项。

21.P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型。在该模型的四个组成部分中,核心是()。

A.策略

B.防护

C.检测

D.响应

【解析】P2DR模型包括四个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和Response(响应),在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。故选择A选项。

22.下列选项中,ESP协议不能对其进行封装的是()。

A.应用层协议

B.传输层协议

C.网络层协议

D.链路层协议

【解析】ESP协议主要设计在IPv4 和IPv6 中提供安全服务的混合应用。IESP 通过加密需要保护的数据以及在ESP 的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法,能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性,但是,ESP协议无法封装链路层协议。故选择D选项。

23. Kerberos协议是分布式网络环境的一种()。

A.认证协议

B.加密协议

C.完整性检验协议

D.访问控制协议

【解析】Kerberos 是一种网络认证协议,而不是加密协议或完整性检验协议。其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务。故选择A选项。

24. 下列选项中,用户认证的请求通过加密信道进行传输的是()。

A.POST

B.HTTP

C.GET

D.HTTPS

【解析】HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个

URI scheme,句法类同http体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,因此用户认证的请求通过加密信道进行传输,现在它被广泛用于万维网上安全敏感的通讯。故选择D选项。

25.AH协议具有的功能是()。

A.加密

B.数字签名

C.数据完整性鉴别

D.协商相关安全参数

【解析】AH协议用以保证数据包的完整性和真实性,防止黑客阶段数据包或向网络中插入伪造的数据包。考虑到计算效率,AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。故选择C选项。

26.下列选项中,不属于IPv4中TCP/IP协议栈安全缺陷的是()。

A.没有为通信双方提供良好的数据源认证机制

B.没有为数据提供较强的完整性保护机制

C.没有提供复杂网络环境下的端到端可靠传输机制

D.没有提供对传输数据的加密保护机制

此题我不会,点击加入错题库

参考答案:C您的答案:

图文解析:

【解析】IPv4中TCP/IP协议栈,没有口令保护,远程用户的登录传送的帐号和密码都是明文,这是Telnet致命的弱点;认证过程简单,只是验证连接者的帐户和密码;传送的

数据没有加密等。IPv4中TCP/IP协议栈提供了端到端可靠传输机制。故选择C选项。

27.下列协议中,可为电子邮件提供数字签名和数据加密功能的是()。

A.SMTP

B.S/MIME

C.SET

D.POP3

【解析】SMTP:简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SET:安全电子交易协议;POP3:邮局协议的第3个版本,它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。S/MIME 为多用途网际邮件扩充协议,在安全方面的功能又进行了扩展,它可以把MIME实体(比如数字签名和加密信息等)封装成安全对象。故选择B选

28.在计算机网络系统中,NIDS的探测器要连接的设备是()。

A.路由器

B.防火墙

C.网关设备

D.交换机

【解析】NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS提供的功能主要有数据的收集,如数据包嗅探;事件的响应,如利用特征匹配或异常识别技术检测攻击,并产生响应;事件的分析,事件数据存储。所以其探测器要连接在交换机上。故选择D选项。

29.下列网络地址中,不属于私有IP地址的是()。

A.10.0.0.0

B.59.64.0.0

C.172.16.0.0

D.192.168.0.0

【解析】私有IP地址范围:

A: 10.0.0.0~10.255.255.255 即10.0.0.0/8

B:172.16.0.0~172.31.255.255即172.16.0.0/12

C:192.168.0.0~192.168.255.255 即192.168.0.0/16

故选择B选项。

30.下列选项中,软件漏洞网络攻击框架性工具是()。

A.BitBlaze

B.Nessus

C.Metasploit

D.Nmap

【解析】BitBlaze平台由三个部分组成:Vine,静态分析组件,TEMU,动态分析组件,Rudder,结合动态和静态分析进行具体和符号化分析的组件。Nessus?是目前全世界最多人使用的系统漏洞扫描与分析软件。Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工具包。故选择C选项。

31.OWASP的十大安全威胁排名中,位列第一的是()。

A.遭破坏的认证和会话管理

B.跨站脚本

C.注入攻击

D.伪造跨站请求

【解析】OWASP的十大安全威胁排名:第一位: 注入式风险;第二位: 跨站点脚本(简称XSS);第三位: 无效的认证及会话管理功能;第四位: 对不安全对象的直接引用;第五位: 伪造的跨站点请求(简称CSRF);第六位: 安全配置错误;第七位: 加密存储方面的不安全因素;第八位: 不限制访问者的URL;第九位: 传输层面的保护力度不足;第十位: 未经验证的重新指向及转发。故选择C选项。

32.提出软件安全开发生命周期SDL模型的公司是()。

A.微软

B.惠普

C.IBM

D.思科

【解析】安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。微软于2004年将SDL引入其内部软件开发流程中,目的是减少其软件中的漏洞的数量和降低其严重级别。故选择A选项。

33.下列选项中,不属于代码混淆技术的是()。

A.语法转换

B.控制流转换

C.数据转换

D.词法转换

【解析】代码混淆技术在保持原有代码功能的基础上,通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可通过多种技术手段实现,包括词法转换、控制流转换、数据转换。故选择A选项。

34.下列选项中,不属于漏洞定义三要素的是()。

A.漏洞是计算机系统本身存在的缺陷

B.漏洞的存在和利用都有一定的环境要求

C.漏洞在计算机系统中不可避免

D.漏洞的存在本身是没有危害的,只有被攻击者恶意利用,才能带来威胁和损失

【解析】漏洞的定义包含以下三个要素:首先,漏洞是计算机系统本身存在的缺陷;其次,漏洞的存在和利用都有一定的环境要求;最后,漏洞存在的本身是没有危害的,只有被攻击者恶意利用,才能给计算机系统带来威胁和损失。故选择C选项。

35.下列关于堆(heap)和栈(stack)在内存中增长方向的描述中,正确的是()。

A.堆由低地址向高地址增长,栈由低地址向高地址增长

B.堆由低地址向高地址增长,栈由高地址向低地址增长

C.堆由高地址向低地址增长,栈由高地址向低地址增长

D.堆由高地址向低地址增长,栈由低地址向高地址增长

【解析】堆生长方向是向上的,也就是向着内存增加的方向;栈相反。故选择B选项。

36.下列选项中,不属于缓冲区溢出的是()。

A.栈溢出

B.整数溢出

C.堆溢出

D.单字节溢出

【解析】缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,使得溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为"堆栈"。

在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出,单字节溢出是指程序中的缓冲区仅能溢出一个字节。故选择B选项。

37.在信息安全事故响应中,必须采取的措施中不包括()。

A.建立清晰的优先次序

B.清晰地指派工作和责任

C.保护物理资产

D.对灾难进行归档

【解析】信息安全应急响应的核心是为了保障业务,在具体实施应急响应的过程中就需要通过不断的总结和回顾来完善应急响应管理体系。编写安全指南:针对可能发生的安全事件安全问题,对判断过程进行详细描述。同时,安全指南也是管理层支持组织IT的一个证明。明确职责规范:明确IT用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责,在发生安全事件时可以很快定位相应人员。信息披露:明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略:安全事件越重大,需要的授权也越大。设置优先级:制定优先级表,根据安全事件导致的后果顺序采用相应的应急措施。判断采用调查和评估安全事件的方法:通过判断潜在和持续的损失程度、原因等采用不同的方法。通知受影响各方:对所有受影响的组织内部各部门和外部机构都进行通报,并建立沟通渠道。安全事件的评估:对安全事件做评估,包括损失、响应时间、提交策略的有效性、调查的有效性等,并对评估结果进行归档。故选择C选项。

38.下列关于系统整个开发过程的描述中,错误的是()。

A.系统开发分为五个阶段,即规划、分析、设计、实现和运行

B.系统开发每个阶段都会有相应的期限

C.系统的生命周期是无限长的

D.系统开发过程的每一个阶段都是一个循环过程

【解析】系统开发分为五个阶段,即规划、分析、设计、实现和运行。故A正确。系统开发每个阶段都会有相应的期限。故B正确。系统生命周期就是系统从产生构思到不再使用的整个生命历程。任何系统都会经历一个发生、发展和消亡的过程。而不是系统的生命周期是无限长的。故选择C选项。

39.在信息安全管理中的控制策略实现后,接下来要采取的措施不包括()。

A.确定安全控制的有效性

B.估计残留风险的准确性

C.对控制效果进行监控和衡量

D.逐步消减安全控制方面的开支

【解析】一旦实现了控制策略,就应该对控制效果进行监控和衡量,从而来确定安全控制的有效性,并估计残留风险的准确性。整个安全控制是一个循环过程,不会终止,只要机构继续运转,这个过程就会继续,并不是说这方面的预算就可以减少。故选择D 选项。

40.下列关于信息安全管理体系认证的描述中,错误的是()。

A.信息安全管理体系第三方认证,为组织机构的信息安全体系提供客观评价

B.每个组织都必须进行认证

C.认证可以树立组织机构的信息安全形象

D.满足某些行业开展服务的法律要求

【解析】引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。通过进行信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,但不是所以的组织都必须进行认证,故B选项说法错误。通过认证能保证和证明组织所有的部门对信息安全的承诺。获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。企

业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。故选择B选项。

41.依据涉密信息系统分级保护管理规范和技术标准,涉密信息系统建设使用单位将保密级别分为三级。下列分级正确的是()。

A.秘密、机密和要密

B.机密、要密和绝密

C.秘密、机密和绝密

D.秘密、要密和绝密

【解析】涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。故选择C选项。

42.基本安全要求中基本技术要求从五个方面提出。下列选项中,不包含在这五个方面的是()。

A.物理安全

B.路由安全

C.数据安全

D.网络安全

【解析】基本安全要求中基本技术要求从五个方面提出:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;路由安全不是基本安全要求中基本技术。故选择B选项。

43.下列选项中,不属于应急计划三元素的是()。

A.基本风险评估

B.事件响应