A.传输层、网络接口层、互联网络层 B.传输层、互联网络层、网络接口层 C.互联网络层、传输层、网络接口层 D.互联网络层、网络接口层、传输层
40.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A.ARP 协议是一个无状态的协议 B.为提高效率,ARP 信息在系统中会缓存 C.ARP 缓存是动态的,可被改写 D.ARP 协议是用于寻址的一个重要协议
41.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击
42.关于软件安全开发生命周期(SDL),下面说法错误的是: A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段 C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件
开发成本
43.在软件保障成熟度模型(Software Assurance Maturity ldode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:
A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动&部署
44.从系统工程的角度来处理信息安全问题,以下说法错误的是: A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。 45.小王是某大学计算科学与技术专业的毕业生,大四上学期开始找
工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全 风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果; (3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、
信息系统的安全要求报告。请问小王的所述论点中错误的是哪项: A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
B.第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字
D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书 46.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是: A.BP 是基于最新技术而制定的安全参数基本配置 B.大部分BP 是没有经过测试的
C.一项BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项BP 可以和其他BP 有重叠
47.以下哪一种判断信息系统是否安全的方式是最合理的? A.是否己经通过部署安全控制措施消灭了风险 B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型 D.是否已经将风险控制在可接受的范围内
48.以下关于信息安全法治建设的意义,说法错误的是: A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源 D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
49.小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预 期损失为多少: A.24 万 B.0.09 万 C.37.5 万 D.9 万
50.2005 年4 月1 日正式施行的《电子签名法》,被称为个“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是: A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名b人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书 C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务 D答案错
51.风险管理的监控与审查不包含: A.过程质量管理 B.成本效益管理
C.跟踪系统自身或所处环境的变化 D.协调内外部组织机构风险管理活动
52.信息安全等级保护分级要求,第三级适用正确的是: A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和