1. 人們對信息安全的認識從信息技術(shù)安全發(fā)展到信息安全保障，主要是出于：A. 為了更好的完成組織機構(gòu)的使命B. 針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C. 風險控制技術(shù)得到革命性的發(fā)展D. 除了保

1. 人們對信息安全的認識從信息技術(shù)安全發(fā)展到信息安全保障，主要是出于：

A. 為了更好的完成組織機構(gòu)的使命

B. 針對信息系統(tǒng)的攻擊方式發(fā)生重大變化

C. 風險控制技術(shù)得到革命性的發(fā)展

D. 除了保密性，信息的完整性和可用性也引起了人們的關(guān)注

2. 《GB/T 20274信息系統(tǒng)安全保障評估框架》中的信息系統(tǒng)安全保障級中的級別是指：

A. 對抗級 B. 防護級

C. 能力級

D. 監(jiān)管級

3. 下面對信息安全特征和范疇的說法錯誤的是：

A. 信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素

B. 信息安全是一個動態(tài)的問題，他隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶認識、投入產(chǎn)出而發(fā)展

C. 信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個組織的信息安全責任是沒有意義的

D. 信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點

4. 美國國防部提出的《信息保障技術(shù)框架》（IATF ）在描述信息系統(tǒng)的安全需求時，將信息技術(shù)系統(tǒng)分為：

A. 內(nèi)網(wǎng)和外網(wǎng)兩個部分

B. 本地計算機環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個部分

C. 用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個部分

D. 信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件，安全防護措施六個部分

5. 關(guān)于信息安全策略的說法中，下面說法正確的是：

A. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)

B. 信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)？？？

C. 信息安全策略是以信息系統(tǒng)風險管理為基礎(chǔ)

D. 在信息系統(tǒng)尚未建設(shè)完成之前，無法確定信息安全策略

6. 下列對于信息安全保障深度防御模型的說法錯誤的是：

A. 信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。

B. 信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。

C. 信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系無關(guān)緊要

D. 信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成端到端的防護能力”

7. 全面構(gòu)建我國信息安全人才體系是國家政策、組織機構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求?！凹涌煨畔踩瞬排嘤?xùn)，增強全民信息安全意識”的指導(dǎo)精神，是以下哪一個國家政策文件提出的？

A. 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 B. 《信息安全等級保護管理辦法》

C. 《中華人民共和國計算機信息系統(tǒng)安全保護條例》

D. 《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》

8. 一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時向哪一個部門報案？ A. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門

B. 國家計算機網(wǎng)絡(luò)與信息安全管理中心

C. 互聯(lián)網(wǎng)安全協(xié)會

D. 信息安全產(chǎn)業(yè)商會

9. 下列哪個不是《商用密碼管理條例》規(guī)定的內(nèi)容：

A. 國家密碼管理委員會及其辦公室（簡稱密碼管理機構(gòu)）主管全國的商用密碼管理工作

B. 商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專控管理 C. 商用密碼產(chǎn)品由國家密碼管理機構(gòu)許可的單位銷售

D. 個人可以使用經(jīng)國家密碼管理機構(gòu)認可之外的商用密碼產(chǎn)品

10. 對涉密系統(tǒng)進行安全保密測評應(yīng)當依據(jù)以下哪個標準？ A. BMB20-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護管理規(guī)范》

B. BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》

C. GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》

D. GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》

11. 下面對于CC 的“保護輪廓”（PP ）的說法最準確的是：

A. 對系統(tǒng)防護強度的描述 B. 對評估對象系統(tǒng)進行規(guī)范化的描述

C. 對一類TOE 的安全需求，進行與技術(shù)實現(xiàn)無關(guān)的描述

D. 由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度

12. 關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是：

A. SSE-CMM是關(guān)于信息安全建設(shè)工程實施方面的標準

B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程 C. SSE-CMM模型定義了一個安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證

D. SSE-CMM是用于對信息系統(tǒng)的安全等級進行評估的標準

13. 下面哪個不是ISO 27000系列包含的標準 A. 《信息安全管理體系要求》

B. 《信息安全風險管理》

C. 《信息安全度量》

D. 《信息安全評估規(guī)范》

14. 以下哪一個關(guān)于信息安全評估的標準首先明確提出了保密性、完整性和可用性三項信息安全特征？

A. ITSEC

B. TCSEC

C. GB/T9387.2

D. 彩虹系列的橙皮書

15. 下面哪項不是《信息安全等級保護管理辦法》（公通字【2007】43號）規(guī)定的內(nèi)容

A. 國家信息安全等級保護堅持自主定級、自主保護的原則

B. 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查 C. 跨省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級

D. 第二級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第三級信息系統(tǒng)應(yīng)當每？？？少進行一次等級測評

16. 觸犯新刑法285條規(guī)定的非法侵入計算機系統(tǒng)罪可判處_____。 A. 三年以下有期徒刑或拘役

B. 1000元罰款

C. 三年以上五年以下有期徒刑

D. 10000元罰款

17. 常見密碼系統(tǒng)包含的元素是： A. 明文，密文，信道，加密算法，解密算法

B. 明文，摘要，信道，加密算法，解密算法

C. 明文，密文，密鑰，加密算法，解密算法

D. 消息，密文，信道，加密算法，解密算法

18. 公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：

A. 密鑰長度更長 B. 加密速度更快

C. 安全性更高

D. 密鑰管理更方便

19. 以下哪一個密碼學(xué)手段不需要共享密鑰？

A. 消息認證

B. 消息摘要

C. 加密解密

D. 數(shù)字簽名

20. 下列哪種算法通常不被用戶保證保密性？

A. AES

B. RC4

C. RSA

D. MD5

21. 數(shù)字簽名應(yīng)具有的性質(zhì)不包括：

A. 能夠驗證簽名者

B. 能夠認證被簽名消息

C. 能夠保護被簽名的數(shù)據(jù)機密性

D. 簽名必須能夠由第三方驗證

22. 認證中心（CA ）的核心職責是_____。

A. 簽發(fā)和管理數(shù)字證書

B. 驗證信息

C. 公布黑名單

D. 撤銷用戶的證書

23. 以下對于安全套接層（SSL ）的說法正確的是：

A. 主要是使用對稱密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性

B. 可以在網(wǎng)絡(luò)層建立VPN

C. 主要使用于點對點之間的信息傳輸，常用Web server方式

D. 包含三個主要協(xié)議：AH,ESP ,IKE

24. 下面對訪問控制技術(shù)描述最準確的是：

A. 保證系統(tǒng)資源的可靠性

B. 實現(xiàn)系統(tǒng)資源的可追查性

C. 防止對系統(tǒng)資源的非授權(quán)訪問

D. 保證系統(tǒng)資源的可信性

25. 以下關(guān)于訪問控制表和訪問能力表的說法正確的是：

A. 訪問能力表表示每個客體可以被訪問的主體及其權(quán)限

B. 訪問控制表說明了每個主體可以訪問的客體及權(quán)限

C. 訪問控制表一般隨主體一起保存

D. 訪問能力表更容易實現(xiàn)訪問權(quán)限的傳遞，但回收訪問權(quán)限較困難

26. 下面哪一項訪問控制模型使用安全標簽（security labels）？

A. 自主訪問控制

B. 非自主訪問控制

C. 強制訪問控制

D. 基于角色的訪問控制

27. 某個客戶的網(wǎng)絡(luò)限制可以正常訪問internet 互聯(lián)網(wǎng)，共有200臺終端PC 但此客戶從ISP （互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）里只獲得了16個公有的IPv4地址，最多也只有16臺PC 可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC 訪問internet 互聯(lián)網(wǎng)最好采取什么辦法或技術(shù)：

A. 花更多的錢向ISP 申請更多的IP 地址

B. 在網(wǎng)絡(luò)的出口路由器上做源NAT

C. 在網(wǎng)絡(luò)的出口路由器上做目的NAT

D. 在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器

28. WAPI采用的是什么加密算法？

A. 我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法

B. 國際上通行的商用加密標準

C. 國家密碼管理委員會辦公室批準的流加密標準

D. 國際通行的哈希算法

29. 以下哪種無線加密標準的安全性最弱？

A. wep

B. wpa

C. wpa2

D. wapi

30. 以下哪個不是防火墻具備的功能？

A. 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合

B. 它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口

C. 能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流

D. 防止來源于內(nèi)部的威脅和攻擊

31. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括：

A. 不需要對原有的網(wǎng)絡(luò)配置進行修改

B. 性能比較高

C. 防火墻本身不容易受到攻擊

D. 易于在防火墻上實現(xiàn)NAT

32. 有一類IDS 系統(tǒng)將所觀察到的活動同認為正常的活動進行比較并識別重要的偏差來發(fā)現(xiàn)入侵事件，這種機制稱作：

A. 異常檢測

B. 特征檢測

C. 差距分析

D. 對比分析

33. 在Unix 系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容？

A. 記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系

B. 決定inetd 啟動網(wǎng)絡(luò)服務(wù)時，啟動哪些服務(wù)

C. 定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什么

D. 包含了系統(tǒng)的一些啟動腳本

34. 以下哪個對windows 系統(tǒng)日志的描述是錯誤的？

A. windows系統(tǒng)默認有三個日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志

B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障

C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL （動態(tài)鏈接庫）失敗的

信息

D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等

35. 在關(guān)系型數(shù)據(jù)庫系統(tǒng)中通過“視圖（view ）”技術(shù)，可以實現(xiàn)以下哪一種安全原則？

A. 縱深防御原則

B. 最小權(quán)限原則

C. 職責分離原則

D. 安全性與便利性平衡原則

36. 數(shù)據(jù)庫事務(wù)日志的用途是什么？

A. 事務(wù)處理

B. 數(shù)據(jù)恢復(fù)

C. 完整性約束

D. 保密性控制

37. 下面對于cookie 的說法錯誤的是：

A. cookie是一小段存儲在瀏覽器端文本信息，web 應(yīng)用程序可以讀取cookie 包含的信息

B. cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險

C. 通過cookie 提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做 cookie 欺騙

D. 防范cookie 欺騙的一個有效方法是不使用cookie 驗證方法，而使用session 驗證方法

38. 攻擊者在遠程WEB 頁面的HTML 代碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？

A. 緩沖區(qū)溢出

B. SQL注入

C. 設(shè)計錯誤

D. 跨站腳本

39. 通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在？

A. 明文形式存在

B. 服務(wù)器加密后的密文形式存在

C. hash運算后的消息摘要值存在

D. 用戶自己加密后的密文形式存在

40. 下列屬于DDOS 攻擊的是：

A. Men-in-Middle攻擊

B. SYN洪水攻擊

C. TCP連接攻擊

D. SQL注入攻擊

41. 如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊？

A. 重放攻擊

B. Smurf攻擊

C. 字典攻擊

D. 中間人攻擊

42. 滲透性測試的第一步是：

A. 信息收集

B. 漏洞分析與目標選定

C. 拒絕服務(wù)攻擊

D. 嘗試漏洞利用

43. 通過網(wǎng)頁上的釣魚攻擊來獲取密碼的方式，實質(zhì)上是一種：

A. 社會工程學(xué)攻擊

B. 密碼分析學(xué)

C. 旁路攻擊

D. 暴力破解攻擊

44. 以下哪個不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？

A. 加強軟件的安全需求分析，準確定義安全需求

B. 設(shè)計符合安全準則的功能、安全功能與安全策略

C. 規(guī)范開發(fā)的代碼，符合安全編碼規(guī)范

D. 編制詳細軟件安全使用手冊，幫助設(shè)置良好的安全使用習慣

45. 根據(jù)SSE-CMM 信息安全工程過程可以劃分為三個階段，其中____確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶。

A. 保證過程

B. 風險過程

C. 工程和保證過程

D. 安全工程過程

46. 下列哪項不是SSE-CMM 模型中工程過程的過程區(qū)？

A. 明確安全需求

B. 評估影響

C. 提供安全輸入

D. 協(xié)調(diào)安全

47. SSE-CMM工程過程區(qū)域中的風險過程包含哪些過程區(qū)域？

A. 評估威脅、評估脆弱性、評估影響

B. 評估威脅、評估脆弱性、評估安全風險

C. 評估威脅、評估脆弱性、評估影響、評估安全風險

D. 評估威脅、評估脆弱性、評估影響、驗證和證實安全

48. 在IT 項目管理中為了保證系統(tǒng)的安全性，應(yīng)當充分考慮對數(shù)據(jù)的正確處理，以下哪一項不是對數(shù)據(jù)輸入進行校驗可以實現(xiàn)的安全目標：

A. 防止出現(xiàn)數(shù)據(jù)范圍以外的值

B. 防止出現(xiàn)錯誤的數(shù)據(jù)處理順序

C. 防止緩沖區(qū)溢出攻擊

D. 防止代碼注入攻擊

49. 信息安全工程監(jiān)理工程師不需要做的工作是：

A. 編寫驗收測試方案

B. 審核驗收測試方案

C. 監(jiān)督驗收測試過程

D. 審核驗收測試報告

50. 下面哪一項是監(jiān)理單位在招標階段質(zhì)量控制的內(nèi)容？

A. 協(xié)助建設(shè)單位提出工程需求，確定工程的整體質(zhì)量目標

B. 根據(jù)監(jiān)理單位的信息安全保障知識和項目經(jīng)驗完成招標文件中的技術(shù)需求部分

C. 進行風險評估和需求分析完成招標文件中的技術(shù)需求部分

D. 對標書應(yīng)答的技術(shù)部分進行審核，修改其中不滿足安全需求的內(nèi)容

52. 信息安全保障強調(diào)安全是動態(tài)的安全，意味著：

A. 信息安全是一個不確定性的概念

B. 信息安全是一個主觀的概念

C. 信息安全必須覆蓋信息系統(tǒng)整個生命周期，隨著安全風險的變化有針對性的進行調(diào)整

D. 信息安全只能是保證信息系統(tǒng)在有限物理范圍內(nèi)的安全，無法保證整個信息系統(tǒng)的安全

53. 關(guān)于信息保障技術(shù)框架（IATF ），下列說法錯誤的是：

A. IATF強調(diào)深度防御，關(guān)注本地計算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支撐性基礎(chǔ)設(shè)施等多個領(lǐng)域的安全保障；

B ．IATF 強調(diào)深度防御，即對信息系統(tǒng)采用多層防護，實現(xiàn)組織的業(yè)務(wù)安全運作

C. IATF強調(diào)從技術(shù)、管理和人等多個角度來保障信息系統(tǒng)的安全

D. IATF強調(diào)的是以安全監(jiān)測、漏洞監(jiān)測和自適用填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全

54. 下面哪一項表示了信息不被非法篡改的屬性？

A. 可生存性

B. 完整性

C. 準確性

D. 參考完整性

55. 以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準確的是：

A ．信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統(tǒng)安全

B. 通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。

C. 是一種通過客觀證據(jù)向信息系統(tǒng)評估者提供主觀信心的活動

D. 是主觀和客觀綜合評估的結(jié)果

56 公鑰密碼算法和對稱密碼算法相比，在應(yīng)用上的優(yōu)勢是：

A. 密鑰長度更長

B. 加密速度更快

C. 安全性更高

D. 密鑰管理更方便

57. 以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？

A. DSS

B. Diffse-Hellman

C. RSA&

D AES

58. 目前對MD5，SHA1算法的攻擊是指：

A. 能夠構(gòu)造出兩個不同的消息，這兩個消息產(chǎn)生了相同的消息摘要

B. 對于一個已知的消息摘要，能夠構(gòu)造出一個不同的消息，這兩個消息產(chǎn)生了相同的消息摘要。

C ．對于一個已知的消息摘要，能夠恢復(fù)其原始消息

D. 對于一個已知的消息，能夠構(gòu)造一個不同的消息摘要，也能通過驗證。

59 DSA算法不提供以下哪種服務(wù)？

A. 數(shù)據(jù)完整性

B. 加密&

C. 數(shù)字簽名

D. 認證

60. 關(guān)于PKI/CA證書，下面哪一種說法是錯誤的：

A. 證書上具有證書授權(quán)中心的數(shù)字簽名

B. 證書上列有證書擁有者的基本信息

C. 證書上列有證書擁有者的公開密鑰

D. 證書上列有證書擁有者的秘密密鑰&

61 認證中心（CA ）的核心職責是_________?

A. 簽發(fā)和管理數(shù)字證書

B. 驗證信息

C. 公布黑名單

D. 撤銷用戶的證書

62 下列哪一項是虛擬專用網(wǎng)絡(luò)（VPN ）的安全功能?

A. 驗證，訪問控制和密碼

B. 隧道，防火墻和撥號

C. 加密，鑒別和密鑰管理

D. 壓縮，解密和密碼

63 以下對Kerberos 協(xié)議過程說法正確的是:

A. 協(xié)議可以分為兩個步驟：一是用戶身份鑒別：二是獲取請求服務(wù)

B. 協(xié)議可以分為兩個步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請求服務(wù)

C. 協(xié)議可以分為三個步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)

D. 協(xié)議可以分為三個步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)

64 在OSI 參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性。以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？

A. 網(wǎng)絡(luò)層

B. 表示層

C. 會話層

D. 物理層

65 以下哪種無線加密標準的安全性最弱？

A .Wep

B Wpa

C Wpa2

D Wapi

66.Linux 系統(tǒng)的用戶信息保存在passwd 中，某用戶條目

backup:*:34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號的描述不正確的是：

A. backup 賬號沒有設(shè)置登錄密碼&

B. backup 賬號的默認主目錄是/var/backups

C. Backup 賬號登錄后使用的shell 是、bin/sh

D. Backup 賬號是無法進行登錄

67 以下關(guān)于lixun 超級權(quán)限的說明，不正確的是：

A. 一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應(yīng)用，不需要root 用戶來操作完成

B. 普通用戶可以通過su 和sudo 來獲得系統(tǒng)的超級權(quán)限

C. 對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root 用戶登錄才能進行

D. Root 是系統(tǒng)的超級用戶，無論是否為文件和程序的所有者都具有訪問權(quán)限

68 在WINDOWS 操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應(yīng)當怎么做？

A. 在“本地安全設(shè)置”中對“密碼策略”進行設(shè)置

B. 在“本地安全設(shè)置”中對“賬戶鎖定策略”進行設(shè)置

C. 在“本地安全設(shè)置”中對“審核策略”進行設(shè)置

D. 在“本地安全設(shè)置”中對“用戶權(quán)利指派”進行設(shè)置

69. 以下對WINDOWS 系統(tǒng)日志的描述錯誤的是：

A. windows系統(tǒng)默認的由三個日志，系統(tǒng)日志，應(yīng)用程序日志，安全日志

B ．系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。

C ．應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL （動態(tài)鏈接庫）失敗的信息

D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等

70 以下關(guān)于windows SAM（安全賬戶管理器）的說法錯誤的是：

A. 安全賬戶管理器（SAM ）具體表現(xiàn)就

是SystemRootsystem32configsam

B. 安全賬戶管理器（SAM ）存儲的賬號信息是存儲在注冊表中

C. 安全賬戶管理器（SAM ）存儲的賬號信息對administrator 和system 是可讀和可寫的

D. 安全賬戶管理器（SAM ）是windows 的用戶數(shù)據(jù)庫，系統(tǒng)進程通過Security Accounts Manager 服務(wù)進行訪問和操作

71 在關(guān)系型數(shù)據(jù)庫系統(tǒng)中通過“視圖（view ）”技術(shù)，可以實現(xiàn)以下哪一種安全原則？

A. 縱深防御原則 B. 最小權(quán)限原則 C. 職責分離原則 D. 安全性與便利性平衡原則

78. 數(shù)據(jù)庫事務(wù)日志的用途是:

A. 事務(wù)處理

B. 數(shù)據(jù)恢復(fù)

C. 完整性約束

D ．保密性控制

79. 下面對于cookie 的說法錯誤的是：

A. cookie 是一小段存儲在瀏覽器端文本信息，web 應(yīng)用程序可以讀取cookie 包含的信息。

B. cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險

C. 通過cookie 提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie 欺騙

D. 防范cookie 欺騙的一個有效方法是不使用cookie 驗證方法，而使用session 驗證方法。