152. 小明是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的背景建立的几本概念与认识,小明的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理 项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果 (3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析(4.)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告请问小明的论点中错误的是哪项:

25. 关于补丁安装时应注意的问题,以下说法正确的是

24. 关于信息安全管理体系的作用,下面理解错误的是

22. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项

21. Kerberos 协议是一种集中访问控制协议,他能在复杂的网络环境中,为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不在需要其他的认证过程,实质是消息 M 在多个应用系统之间的传递或共享。其中消息 M 是指以下选项中的()

19. 小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的 RPO(恢复点目标)指标为 3 小时。请问这意味着()

18. 某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击,以下做法无用的是()

16. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为 3 个控制阶段,不包括哪一项()

15. 模糊测试也称 Fuzz 测试,是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是()

14. 某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向 Web 页面插入恶意 html 代码的攻击方式称为()

12. 小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制与强制访问控制,为了赶上课程进度,他向同班的小李借来课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是()