CISP相關精彩試題及問題詳解集

1、 實用文檔 A 1. 人們對信息安全的認識從信息技術安全發(fā)展到信息安全保障，主要是出于： A. 為了更好的完成組織機構的使命 B. 針對信息系統(tǒng)的攻擊方式發(fā)生重大變化 C. 風險控制技術得到革命性的發(fā)展 D. 除了保密性，信息的完整性和可用性也引起了人們的關注 C 信息系統(tǒng)安全保障評估框架中的信息系統(tǒng)安全保障級中的級別是指：2.GB/T 20274 對抗級A. B. 防護級 C. 能力級 D. 監(jiān)管級 3. 下面對信息安全特征和范疇的說法錯誤的是： C A. 信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術文件，還有考慮人員、管理、政策等眾多因素 B. 信息安全是一個動態(tài)的問題，他隨著

2、信息技術的發(fā)展普及，以及產業(yè)基礎，用戶認識、投入產出而發(fā)展 C. 信息安全是無邊界的安全，互聯(lián)網使得網絡邊界越來越模糊，因此確定一個組織的信息安全責任是沒有意義的 D. 信息安全是非傳統(tǒng)的安全，各種信息網絡的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點 4. 美國國防部提出的信息保障技術框架（IATF）在描述信息系統(tǒng)的安全需求時，將信息技術系統(tǒng)分為：B A. 內網和外網兩個部分 B. 本地計算機環(huán)境、區(qū)域邊界、網絡和基礎設施、支撐性基礎設施四個部分 C. 用戶終端、服務器、系統(tǒng)軟件、網絡設備和通信線路、應用軟件五個部分 D. 信用戶終端、服務器、系統(tǒng)軟件、網絡設備和通信線路、應用

3、軟件，安全防護措施六個部分 5. 關于信息安全策略的說法中，下面說法正確的是：C A. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎 B. 信息安全策略的制定是以信息系統(tǒng)的網絡？ C. 信息安全策略是以信息系統(tǒng)風險管理為基礎 D. 在信息系統(tǒng)尚未建設完成之前，無法確定信息安全策略 6. 下列對于信息安全保障深度防御模型的說法錯誤的是：C A. 信息安全外部環(huán)境：信息安全保障是組織機構安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。 B. 信息安全管理和工程：信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息

4、系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設信息系統(tǒng)。 C. 信息安全人才體系：在組織機構中應建立完善的安全意識，培訓體系無關緊要 實用文檔 D. 信息安全技術方案：“從外而內、自下而上、形成端到端的防護能力” 7. 全面構建我國信息安全人才體系是國家政策、組織機構信息安全保障建設和信息安全有關人員自身職業(yè)發(fā)展三方面的共同要求?！凹涌煨畔踩瞬排嘤?，增強全民信息安全意識”的指導精神，是以下哪一個國家政策文件提出的？ A A. 國家信息化領導小組關于加強信息安全保障工作的意見 B. 信息安全等級保護管理辦法 C.中華人民共和國計算機信息系統(tǒng)安全保護條例 D.關于加強政

5、府信息系統(tǒng)安全和保密管理工作的通知 8. 一家商業(yè)公司的網站發(fā)生黑客非法入侵和攻擊事件后，應及時向哪一個部門報案？A A. 公安部公共信息網絡安全監(jiān)察局及其各地相應部門 B. 國家計算機網絡與信息安全管理中心 C. 互聯(lián)網安全協(xié)會 D. 信息安全產業(yè)商會 9. 下列哪個不是商用密碼管理條例規(guī)定的內容：D A. 國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國的商用密碼管理工作 B. 商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專控管理 C. 商用密碼產品由國家密碼管理機構許可的單位銷售 D. 個人可以使用經國家密碼管理機構認可之外的商用密碼產品 10. 對涉

6、密系統(tǒng)進行安全保密測評應當依據以下哪個標準？B A. BMB20-2007涉及國家秘密的計算機信息系統(tǒng)分級保護管理規(guī)范 B. BMB22-2007涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南 C. GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則 D. GB/T20271-2006信息安全技術信息系統(tǒng)統(tǒng)用安全技術要求 11. 下面對于CC的“保護輪廓”（PP）的說法最準確的是：C A. 對系統(tǒng)防護強度的描述 B. 對評估對象系統(tǒng)進行規(guī)范化的描述 C. 對一類TOE的安全需求，進行與技術實現(xiàn)無關的描述 D. 由一系列保證組件構成的包，可以代表預先定義的保證尺度 12. 關于ISO/IE

7、C21827:2002(SSE-CMM)描述不正確的是：D A. SSE-CMM是關于信息安全建設工程實施方面的標準 B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程 C. SSE-CMM模型定義了一個安全工程應有的特征，這些特征是完善的安全工程的根本保證 D. SSE-CMM是用于對信息系統(tǒng)的安全等級進行評估的標準 13. 下面哪個不是ISO 27000系列包含的標準 D A. 信息安全管理體系要求 B. 信息安全風險管理 實用文檔 C. 信息安全度量 D. 信息安全評估規(guī)范 14. 以下哪一個關于信息安全評估的標準首先明確提出了保密性、完整性和可用性三項信息安全特征？

8、A A. ITSEC B. TCSEC C. GB/T9387.2 D.彩虹系列的橙皮書 15. 下面哪項不是信息安全等級保護管理辦法（公通字【2007】43號）規(guī)定的內容 D A. 國家信息安全等級保護堅持自主定級、自主保護的原則 B. 國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查 C. 跨省或全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級 D. 第二級信息系統(tǒng)應當每年至少進行一次等級測評，第三級信息系統(tǒng)應當每？少進行一次等級測評 16. 觸犯新刑法285條規(guī)定的非法侵入計算機系統(tǒng)罪可判處_A_。 A. 三年以下有期徒刑或拘役 B. 1000元罰款 C. 三年以

9、上五年以下有期徒刑 D. 10000元罰款 17. 常見密碼系統(tǒng)包含的元素是：C A. 明文，密文，信道，加密算法，解密算法 B. 明文，摘要，信道，加密算法，解密算法 C. 明文，密文，密鑰，加密算法，解密算法 D. 消息，密文，信道，加密算法，解密算法 18. 公鑰密碼算法和對稱密碼算法相比，在應用上的優(yōu)勢是： D A. 密鑰長度更長 B. 加密速度更快 C. 安全性更高 D. 密鑰管理更方便 19. 以下哪一個密碼學手段不需要共享密鑰？ B A.消息認證 B.消息摘要 C.加密解密 D.數字簽名 20. 下列哪種算法通常不被用戶保證保密性？ D A. AES B. RC4 實用文檔 C.

10、 RSA D. MD5 21.數字簽名應具有的性質不包括：C A. 能夠驗證簽名者 B. 能夠認證被簽名消息 C. 能夠保護被簽名的數據機密性 D. 簽名必須能夠由第三方驗證 22. 認證中心（CA）的核心職責是_A_。 A. 簽發(fā)和管理數字證書 B. 驗證信息 C. 公布黑名單 D. 撤銷用戶的證書 23. 以下對于安全套接層（SSL）的說法正確的是：C A. 主要是使用對稱密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性 B. 可以在網絡層建立VPN C. 主要使用于點對點之間的信息傳輸，常用Web server方式 D. 包含三個主要協(xié)議：AH,ESP,IKE 24. 下面對

11、訪問控制技術描述最準確的是：C A. 保證系統(tǒng)資源的可靠性 B. 實現(xiàn)系統(tǒng)資源的可追查性 C. 防止對系統(tǒng)資源的非授權訪問 D. 保證系統(tǒng)資源的可信性 25. 以下關于訪問控制表和訪問能力表的說法正確的是：D A. 訪問能力表表示每個客體可以被訪問的主體及其權限 B. 訪問控制表說明了每個主體可以訪問的客體及權限 C. 訪問控制表一般隨主體一起保存 D. 訪問能力表更容易實現(xiàn)訪問權限的傳遞，但回收訪問權限較困難 26. 下面哪一項訪問控制模型使用安全標簽（security labels）C A. 自主訪問控制 B. 非自主訪問控制 C. 強制訪問控制 D. 基于角色的訪問控制 27. 某個客戶

12、的網絡限制可以正常訪問internet互聯(lián)網，共有200臺終端PC但此客戶從ISP（互聯(lián)網絡服務提供商）里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網，要想讓全部200臺終端PC訪問internet互聯(lián)網最好采取什么辦法或技術：B A. 花更多的錢向ISP申請更多的IP地址 B. 在網絡的出口路由器上做源NAT 實用文檔 C. 在網絡的出口路由器上做目的NAT D. 在網絡出口處增加一定數量的路由器 28. WAPI采用的是什么加密算法？A A. 我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法 B. 國際上通行的商用加密標準 C. 國家密碼管理委員會辦公室批準的流加密標準

13、 D. 國際通行的哈希算法 29. 以下哪種無線加密標準的安全性最弱？A A. wep B. wpa C. wpa2 D. wapi 30. 以下哪個不是防火墻具備的功能？D A. 防火墻是指設置在不同網絡或網絡安全域（公共網和企業(yè)內部網）之間的一系列部件的組合 B. 它是不同網絡（安全域）之間的唯一出入口 C. 能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流 D. 防止來源于內部的威脅和攻擊 31. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括：D A. 不需要對原有的網絡配置進行修改 B. 性能比較高 C. 防火墻本身不容易受到攻擊 D. 易于在防火墻上

14、實現(xiàn)NAT 32. 有一類IDS系統(tǒng)將所觀察到的活動同認為正常的活動進行比較并識別重要的偏差來發(fā)現(xiàn)入侵事件，這種機制稱作：A A. 異常檢測 B. 特征檢測 C. 差距分析 D. 對比分析 33. 在Unix系統(tǒng)中，/etc/service文件記錄了什么內容？A A. 記錄一些常用的接口及其所提供的服務的對應關系 B. 決定inetd啟動網絡服務時，啟動哪些服務 C. 定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什么 D. 包含了系統(tǒng)的一些啟動腳本 34. 以下哪個對windows系統(tǒng)日志的描述是錯誤的？D A. windows系統(tǒng)默認有三個日志，系統(tǒng)日志、應用程序日志、安全日志 B. 系

15、統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器 實用文檔 的故障（動態(tài)鏈接庫）失敗DLLC. 應用日志跟蹤應用程序關聯(lián)的事件，例如應用程序產生的裝載 的信息 安全日志跟蹤各類網絡入侵事件，例如拒絕服務攻擊、口令暴力破解等D. A ）”技術，可以實現(xiàn)以下哪一種安全原則？view35. 在關系型數據庫系統(tǒng)中通過“視圖（ A. 縱深防御原則 B. 最小權限原則 C. 職責分離原則 D. 安全性與便利性平衡原則 B 36. 數據庫事務日志的用途是什么？ A. 事務處理 B. 數據恢復 C. 完整性約束 D. 保密性控制 D 的說法錯誤的是：37. 下面對于cookie 包含

16、的信息web應用程序可以讀取cookieA. cookie是一小段存儲在瀏覽器端文本信息， 可以存儲一些敏感的用戶信息，從而造成一定的安全風險B. cookie 欺騙提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做 cookieC. 通過cookie 驗證方法驗證方法，而使用sessionD. 防范cookie欺騙的一個有效方法是不使用cookie 代碼中插入具有惡意目的的數據，用戶認為該頁面是可頁面的HTML38. 攻擊者在遠程WEB這是哪種類型的漏洞？但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，信賴的，D A. 緩沖區(qū)溢出 B. SQL注入 設計錯誤C. D. 跨站腳本 39. 通常

17、在網站數據庫中，用戶信息中的密碼一項，是以哪種形式存在？ C A. 明文形式存在 B. 服務器加密后的密文形式存在 C. hash運算后的消息摘要值存在 D. 用戶自己加密后的密文形式存在 40.下列屬于DDOS攻擊的是：B A. Men-in-Middle攻擊 B. SYN洪水攻擊 C. TCP連接攻擊 D. SQL注入攻擊 41.如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者， 實用文檔 D 這種情況屬于哪一種攻擊？ 重放攻擊A. B. Smurf攻擊 C. 字典攻擊 中間人攻擊D. 42. 滲透性測試的第一步是： 信息收集A. 漏洞分析與目標選定B. 拒絕服

18、務攻擊C. 嘗試漏洞利用D. 43. 通過網頁上的釣魚攻擊來獲取密碼的方式，實質上是一種： 社會工程學攻擊A. 密碼分析學B. 旁路攻擊C. 暴力破解攻擊D. 以下哪個不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？44. A. 加強軟件的安全需求分析，準確定義安全需求 B. 設計符合安全準則的功能、安全功能與安全策略 規(guī)范開發(fā)的代碼，符合安全編碼規(guī)范C. 編制詳細軟件安全使用手冊，幫助設置良好的安全使用習慣D. 確立安全解決方案的置根據45.SSE-CMM信息安全工程過程可以劃分為三個階段，其中_ 信度并且把這樣的置信度傳遞給客戶。 保證過程A. 風險過程B. 工程和保證過程C

19、. D. 安全工程過程 下列哪項不是SSE-CMM模型中工程過程的過程區(qū)？46. 明確安全需求A. 評估影響B(tài). C. 提供安全輸入 D. 協(xié)調安全 工程過程區(qū)域中的風險過程包含哪些過程區(qū)域？47. SSE-CMM 評估威脅、評估脆弱性、評估影響A. B. 評估威脅、評估脆弱性、評估安全風險 C. 評估威脅、評估脆弱性、評估影響、評估安全風險 D. 評估威脅、評估脆弱性、評估影響、驗證和證實安全 48.在IT項目管理中為了保證系統(tǒng)的安全性，應當充分考慮對數據的正確處理，以下哪一項 實用文檔 不是對數據輸入進行校驗可以實現(xiàn)的安全目標： 防止出現(xiàn)數據范圍以外的值A. 防止出現(xiàn)錯誤的數據處理順序B.

20、 C. 防止緩沖區(qū)溢出攻擊 防止代碼注入攻擊D. 49.信息安全工程監(jiān)理工程師不需要做的工作是： A.編寫驗收測試方案 審核驗收測試方案B. 監(jiān)督驗收測試過程C. 審核驗收測試報告D. 50. 下面哪一項是監(jiān)理單位在招標階段質量控制的內容？ A. 協(xié)助建設單位提出工程需求，確定工程的整體質量目標 根據監(jiān)理單位的信息安全保障知識和項目經驗完成招標文件中的技術需求部分B. 進行風險評估和需求分析完成招標文件中的技術需求部分C. 對標書應答的技術部分進行審核，修改其中不滿足安全需求的內容D. 信息安全保障強調安全是動態(tài)的安全，意味著：51. 信息安全是一個不確定性的概念A. 信息安全是一個主觀的概念

21、B. 信息安全必須覆蓋信息系統(tǒng)整個生命周期，隨著安全風險的變化有針對性的進行調整C. 信息安全只能是保證信息系統(tǒng)在有限物理范圍內的安全，無法保證整個信息系統(tǒng)的安全D. ）52.關于信息保障技術框架（IATF，下列說法錯誤的是：強調深度防御，關注本地計算環(huán)境，區(qū)域邊界，網絡和基礎設施，支撐性基礎設施A. IATF 等多個領域的安全保障； IATF強調深度防御，即對信息系統(tǒng)采用多層防護，實現(xiàn)組織的業(yè)務安全運作B 強調從技術、管理和人等多個角度來保障信息系統(tǒng)的安全C. IATF D. IATF強調的是以安全監(jiān)測、漏洞監(jiān)測和自適用填充“安全間隙”為循環(huán)來提高網絡安全 53.下面哪一項表示了信息不被非法

22、篡改的屬性？ 可生存性A. 完整性B. C.準確性 D.參考完整性 54. 以下關于信息系統(tǒng)安全保障是主觀和客觀的結合說法最準確的是：安全工程和人員安全等，還應綜合考慮安全管理，A信息系統(tǒng)安全保障不僅涉及安全技術， 以全面保障信息系統(tǒng)安全B.通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。 C. 是一種通過客觀證據向信息系統(tǒng)評估者提供主觀信心的活動 D. 是主觀和客觀綜合評估的結果 實用文檔 55. 公鑰密碼算法和對稱密碼算法相比，在應用上的優(yōu)勢是： A. 密鑰長度更長 B. 加密速度更快 C. 安全性更高 密鑰管理

23、更方便D. 56. 以下哪種公鑰密碼算法既可以用于數據加密又可以用于密鑰交換？A. DSS B. Diffse-Hellman C. RSA D AES 算法的攻擊是指：57. 目前對MD5，SHA1 能夠構造出兩個不同的消息，這兩個消息產生了相同的消息摘要A. 對于一個已知的消息摘要，能夠構造出一個不同的消息，這兩個消息產生了相同的消息B. 摘要。 對于一個已知的消息摘要，能夠恢復其原始消息C 對于一個已知的消息，能夠構造一個不同的消息摘要，也能通過驗證。D. 58、 DSA算法不提供以下哪種服務？ 數據完整性A. 加密B. 數字簽名C. D. 認證 59.關于PKI/CA證書，下面哪一種說

24、法是錯誤的： A. 證書上具有證書授權中心的數字簽名 B. 證書上列有證書擁有者的基本信息 C. 證書上列有證書擁有者的公開密鑰 D. 證書上列有證書擁有者的秘密密鑰 _? ）的核心職責是CA60 認證中心（ 簽發(fā)和管理數字證書A. B. 驗證信息 C. 公布黑名單 撤銷用戶的證書D. ? ）的安全功能下列哪一項是虛擬專用網絡（VPN61 A. 驗證，訪問控制和密碼B. 隧道，防火墻和撥號 C. 加密，鑒別和密鑰管理 D. 壓縮，解密和密碼 實用文檔 : Kerberos協(xié)議過程說法正確的是62 以下對 A. 協(xié)議可以分為兩個步驟：一是用戶身份鑒別：二是獲取請求服務 B. 協(xié)議可以分為兩個步驟

25、：一是獲得票據許可票據；二是獲取請求服務三是獲得服務許二是獲得票據許可票據；一是用戶身份鑒別；C. 協(xié)議可以分為三個步驟： 可票據三是獲得服一是獲得票據許可票據；二是獲得服務許可票據；D. 協(xié)議可以分為三個步驟： 務 個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性。以下參考模型中有OSI63 在7 哪一層提供了保密性、身份鑒別、數據完整性服務？ A. 網絡層 B. 表示層 C. 會話層 物理層D. 64 以下哪種無線加密標準的安全性最弱？A .Wep B Wpa C Wpa2 D Wapi passwd中，某用戶條目65. Linux系統(tǒng)的用戶信息保存在 backup:*:34:34:ba

26、ckup:/var/backups:/bin/sh,以下關于該賬號的描述不正確的是： A. backup賬號沒有設置登錄密碼/var/backups B. backup賬號的默認主目錄是bin/sh shell是C. Backup賬號登錄后使用的 賬號是無法進行登錄D. Backup 超級權限的說明，不正確的是：66 以下關于linux 用戶來操作完成A. 一般情況下，為了系統(tǒng)安全，對于一般常規(guī)級別的應用，不需要root 來獲得系統(tǒng)的超級權限su和普通用戶可以通過B. sudo 用戶登錄才能進行C. 對系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root 是系統(tǒng)的超級用戶，無論是否為文件和

27、程序的所有者都具有訪問權限D. Root 操作系統(tǒng)中，欲限制用戶無效登錄的次數，應當怎么做？WINDOWS 67 在A. 在“本地安全設置”中對“密碼策略”進行設置 B. 在“本地安全設置”中對“賬戶鎖定策略”進行設置 C. 在“本地安全設置”中對“審核策略”進行設置 D. 在“本地安全設置”中對“用戶權利指派”進行設置 68.以下對WINDOWS系統(tǒng)日志的描述錯誤的是： A. windows系統(tǒng)默認的由三個日志，系統(tǒng)日志，應用程序日志，安全日志 B系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。 實用文檔 （動態(tài)鏈接庫）失敗DLLC應用日志跟蹤應用程序關聯(lián)

28、的事件，例如應用程序產生的裝載 的信息 D. 安全日志跟蹤各類網絡入侵事件，例如拒絕服務攻擊、口令暴力破解等 windows SAM（安全賬戶管理器）的說法錯誤的是：69 以下關于%SystemRoot%system32configsam ）具體表現(xiàn)就是A. 安全賬戶管理器（SAM SAM）存儲的賬號信息是存儲在注冊表中B. 安全賬戶管理器（ 是可讀和可寫的）存儲的賬號信息對C. 安全賬戶管理器（SAMadministrator和systemSecurity Accounts 的用戶數據庫，系統(tǒng)進程通過D. 安全賬戶管理器（SAM）是windows 服務進行訪問和操作Manager 70 在關

29、系型數據庫系統(tǒng)中通過“視圖（view）”技術，可以實現(xiàn)以下哪一種安全原則？ 縱深防御原則A. 最小權限原則B. 職責分離原則C. D.安全性與便利性平衡原則 71、下列哪項不是安全管理方面的標準？A ISO27001 B ISO13335 C GB/T22080 D GB/T18336 、目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出72? 多門，計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定是由下列哪個部門所制定的規(guī)章制度 公安部A. 國家密碼局B. 信息產業(yè)部C. 國家密碼管理委員會辦公室D. （公通字200743號）規(guī)定的內容：73、下列哪項不是信息安全等級保護管理辦法

30、 A國家信息安全等級保護堅持自主定級，自主保護的原則。 B國家指定專門部門對信息系統(tǒng)安全等級保護工作進行專門的監(jiān)督和檢查。 C跨省或全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護等級第二級信息系統(tǒng)應當每年至少進行一次等級測評，第三級信息系統(tǒng)應當每半年至少進行D 一次等級測評。 條對計算機犯罪的內容和量刑進行了明確的規(guī)定，下287、286、刑法第六章第74、285 列哪一項不是其中規(guī)定的罪行？ A.非法入侵計算機信息系統(tǒng)罪破壞計算機信息系統(tǒng)罪 B.C.利用計算機實施犯罪 D.國家重要信息系統(tǒng)管理者玩忽職守罪 實用文檔 75、一家商業(yè)公司的網站發(fā)生黑客非法入侵和攻擊事件后，應及時向哪一個部

31、門報案？ A. 公安部公共信息網絡安全監(jiān)察局及其各地相應部門 B. 國家計算機網絡與信息安全管理中心 C. 互聯(lián)網安全協(xié)會 信息安全產業(yè)商會D. 76、下列哪個不是商用密碼管理條例規(guī)定的內容？ 國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國的商用密碼管理工作A. 商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專B. 控管理 商用密碼產品由國家密碼管理機構許可的單位銷售C. 個人可以使用經國家密碼管理機構認可之外的商用密碼產品D. 77、下面關于中華人民共和國保守國家秘密法的說法錯誤的是： 秘密都有時間性，永久保密是沒有的 A. 保密法規(guī)定一切公民都有保守國家

32、秘密的義務B. “機密”“秘密”三級C. 國家秘密的級別分為“絕密” 在給文件確定密級時，從保密的目的出發(fā)，應將密級盡量定高D. : 78.數據庫事務日志的用途是 A. 事務處理 B.數據恢復 C.完整性約束 保密性控制D 的說法錯誤的是：79. 下面對于cookie 包含的信息。是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookieA. cookie B. cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險 欺騙通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做C.cookie 驗證方法，而使用cookiesession驗證方法。D.防范cookie欺騙的

33、一個有效方法是不使用 代碼中插入具有惡意目的的數據，用戶認為該頁面是可WEB頁面的HTML80. 攻擊者在遠程 嵌入其中的腳步將被解釋執(zhí)行，這是哪種類型的漏洞？信賴的，但是當瀏覽器下載該頁面， 緩沖區(qū)溢出A. B. sql注入 C.設計錯誤 跨站腳本D. 通常在網站數據庫中，用戶信息中的密碼一項，是以哪種形式存在？81. A. 明文形式存在 B.服務器加密后的密文形式存在 C.hash運算后的消息摘要值存在 D.用戶自己加密后的密文形式存在 實用文檔 82.下列對跨站腳本攻擊（XSS）的描述正確的是：頁面里插入惡意代碼，當用戶瀏覽瀏覽該頁之時，嵌WEDA. XSS攻擊指的是惡意攻擊者往 里面的

34、代碼會執(zhí)行，從而達到惡意攻擊用戶的特殊目的入其中WEB DDOSB.XSS攻擊時攻擊的一種變種 C.XSS攻擊就是CC攻擊連接數超出D.XSS攻擊就是利用被控制的機器不斷地向被攻擊網站發(fā)送訪問請求，迫使IIS 限制，當CPU資源或者帶寬資源耗盡，那么網站也就被攻擊垮了，從而達到攻擊目的 83 下列哪種技術不是惡意代碼的生產技術？ A. 反跟蹤技術、 加密技術B. C. 模糊變換技術 D. 自動解壓縮技術 當用戶輸入的數據被一個解釋器當做命令或查詢語句的一部分執(zhí)行時，就會產生哪種類84 型的漏洞？ 緩沖區(qū)溢出A. 設計錯誤B. C. 信息泄露 代碼注入D. 85 Smurf 利用下列哪種協(xié)議進行

35、攻擊？A. ICMP B. IGMP C. TCP D. UDP 然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者，86.如果一名攻擊者截獲了一個公鑰， 這種情況屬于哪一種攻擊？ A. 重放攻擊 B. Smurf攻擊 C.字典攻擊 D.中間人攻擊 : 87 滲透性測試的第一步是 A. 信息收集 漏洞分析與目標選定B. 拒絕服務攻擊C. 嘗試漏洞利用D. 88 軟件安全開發(fā)中軟件安全需求分析階段的主要目的是： 確定軟件的攻擊面，根據攻擊面制定軟件安全防護策略A. B. 確定軟件在計劃運行環(huán)境中運行的最低安全要求 C. 確定安全質量標準，實施安全和隱私風險評估 實用文檔 確定開發(fā)團隊關鍵里程碑和交付

36、成果D. 管理者何時可以根據風險分析結果對已識別的風險不采取措施？89. A當必須的安全對策的成本高出實際風險的可能造成的潛在費用時 B當風險減輕方法提高業(yè)務生產力時 C當引起風險發(fā)生的情況不在部門控制范圍之內時 不可接受D 以下關于風險管理的描述不正確的是：90 規(guī)避風險種控制方法有：降低風險/轉嫁風險/接受風險A風險的4 信息安全風險管理是否成功在于風險是否被切實消除了B 組織應依據信息安全方針和組織要求的安全保證程度來確定需要處理的信息安全風險C信息安全風險管理是基于可接受的成本，對影響信息系統(tǒng)的安全風險進行識別、控制、降D 低或轉移的過程 如果你作為甲方負責監(jiān)管一個信息安全工程項目的實

37、施，當乙方提出一項工程變更時你91 最應當關注的是： A. 變更的流程是否符合預先的規(guī)定 B. 變更是否項目進度造成拖延 變更的原因和造成的影響C. 變更后是否進行了準確的記錄D. 92 應當如可理解信息安全管理體系中的“信息安全策略”？ A為了達到如何保護標準而提出的一系列建議 B為了定義訪問控制需求而產生出來的一些通用性指引 組織高層對信息安全工作意圖的正式表達C 一種分階段的安全處理結果D 93 以下關于“最小特權”安全管理原則理解正確的是： A. 組織機構內的敏感崗位不能由一個人長期負責 B. 對重要的工作進行分解，分配給不同人員完成 一個人有且僅有其執(zhí)行崗位所足夠的許可和權限C. D

38、. 防止員工由一個崗位變動到另一個崗位，累積越來越多的權限 94 作為一個組織中的信息系統(tǒng)普通用戶，以下哪一項不是必須了解的？ A. 誰負責信息安全管理制度的制度和發(fā)布B. 誰負責監(jiān)督信息安全制度的執(zhí)行 C. 信息系統(tǒng)發(fā)生災難后，進行恢復的整體工作流程 D. 如果違反了安全制度可能會受到的懲戒措施 95 職責分離是信息安全管理的一個基本概念，其關鍵是權力不能過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員（單獨進行操作）可以對應用程序系統(tǒng)特征或控制功能進行破壞。當以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責分離”原則的違背？ 實用文檔 數據安全管理員A B數據安全分析員 C系

39、統(tǒng)審核員 系統(tǒng)程序員D 級-要素，將災難恢復等級劃分為_96 在國家標準信息系統(tǒng)恢復規(guī)范中，根據6 ，A 77 ，B 67 ，C 76 ， 6D 指的是：在業(yè)務持續(xù)性計劃中，RTO97 災難備份和恢復A B恢復技術項目 業(yè)務恢復時間目標C 業(yè)務恢復點目標D 應急方法學定義了安全事件處理的流程，這個流程的順序是：98 -跟進抑制-檢測-根除-恢復-A. 準備 跟進抑制-恢復-根除-B. 準備-檢測 跟進根除抑制-恢復-C. 準備-檢測- -檢測-恢復跟進-D. 準備抑制-根除- 99.下面有關能力成熟度模型的說法錯誤的是： ）兩類Continuous）和組織能力方案（StagedA.能力成熟度模

40、型可以分為過程能力方案（ 使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域B. C.使用組織機構成熟度方案時，每一個能力級別都對應于一組已經定義好的過程域 是一種屬于組織能力方案（Staged）的針對系統(tǒng)安全工程的能力成熟度模型D SSE-CMM 成熟度模型提供了評估方法：100.下面哪一項為系統(tǒng)安全工程A.ISSE B.SSAM C.SSR D.CEM 101、下面關于信息安全保障的說法錯誤的是： 信息安全保障的概念是與信息安全的概念同時產生的A.信息系統(tǒng)安全保障要素包括信息的完整性，可用性和保密性 B.C.信息安全保障和信息安全技術并列構成實現(xiàn)信息安全的兩大主要手段 D.信息安全

41、保障是以業(yè)務目標的實現(xiàn)為最終目的，從風險和策略出發(fā)，實施各種保障要素，在系統(tǒng)的生命周期內確保信息的安全屬性。 102、以下哪一項是數據完整性得到保護的例子？ A.某網站在訪問量突然增加時對用戶連接數量進行了限制，保證已登錄的用戶可以完成操作 實用文檔 銀行業(yè)務系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作B.在提款過程中ATM終端發(fā)生故障，可以確定哪個管理員在何時對核心交換機進行了什么操某網管系統(tǒng)具有嚴格的審計功能，C. 作使偽裝成清潔工的商業(yè)間諜無法D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中， 查看 103、注重安全管理體系建設，人員意識的培訓和教育，是信息安全發(fā)展哪一個階段的特點？ A

42、.通信安全 B.計算機安全 C.信息安全 D.信息安全保障 、以下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出的九項重點工104 作內容之一？ 提高信息技術產品的國產化率A. B.保證信息安全資金注入 C.加快信息安全人才培養(yǎng) D.重視信息安全應急處理工作 105、以下關于置換密碼的說法正確的是： A.明文根據密鑰被不同的密文字母代替 B.明文字母不變，僅僅是位置根據密鑰發(fā)生改變 C.明文和密鑰的每個bit異或 D.明文根據密鑰作了移位 106、以下關于代替密碼的說法正確的是： A.明文根據密鑰被不同的密文字母代替 B.明文字母不變，僅僅是位置根據密鑰發(fā)生改變 明文和密鑰的每個b

43、it異或C. D.明文根據密鑰作了移位 107、常見密碼系統(tǒng)包含的元素是： A.明文、密文、信道、加密算法、解密算法 明文、摘要、信道、加密算法、解密算B. C.明文、密文、密鑰、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 _ 108、在密碼學的Kerchhoff假設中，密碼系統(tǒng)的安全性僅依賴于 A.明文 B.密文 C.密鑰 D.信道 來確認該證書是否已經作廢在驗證一個數字證書時需要查看、109PKI_ 實用文檔 A.ARL B.CSS C.KMS D.CRL 完成？、一項功能可以不由認證中心CA110 撤銷和中止用戶的證書A. CA的公鑰產生并分布B. 在請求實體和它的公鑰

44、間建立鏈接C. 發(fā)放并分發(fā)用戶的證書D. ）的安全功能？、一項是虛擬專用網絡（VPN111 A.驗證，訪問控制盒密碼 B.隧道，防火墻和撥號 C.加密，鑒別和密鑰管理 D.壓縮，解密和密碼 、為了防止授權用戶不會對數據進行未經授權的修改，需要實施對數據的完整性保護，112 *-）完整性原則？列哪一項最好地描述了星或（ A.Bell-LaPadula模型中的不允許向下寫 B.Bell-LaPadula模型中的不允許向上度 C.Biba模型中的不允許向上寫 D.Biba模型中的不允許向下讀 ）過程？Authentication113、下面哪一個情景屬于身份鑒別（ 用戶依照系統(tǒng)提示輸入用戶名和口令A

45、.文檔，并設定哪些用戶可以閱讀，哪些用戶OfficeB.用戶在網絡上共享了自己編寫的一份 可以修改文檔進行加密，以阻止其他人得到這份拷貝后看用戶使用加密軟件對自己編寫的officeC. 到文檔中的內容并將這次失但是口令輸入的不對，系統(tǒng)提示口令錯誤，D.某個人嘗試登錄到你的計算機中， 敗的登錄過程記錄在系統(tǒng)日志中 Kerberos協(xié)議特點描述不正確的是：114、下列對 A.協(xié)議采用單點登錄技術，無法實現(xiàn)分布式網絡環(huán)境下的認證 B.協(xié)議與授權機制相結合，支持雙向的身份認證 C.只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務器的認證而不必重新輸入密碼 D.AS

46、和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全 115、TACACS+協(xié)議提供了下列哪一種訪問控制機制？ A.強制訪問控制 B.自主訪問控制 實用文檔 C.分布式訪問控制 D.集中式訪問控制 116、下列對蜜網功能描述不正確的是： A.可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊 B.吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來 可以進行攻擊檢測和實時報警C. 可以對攻擊活動進行監(jiān)視、檢測和分析D. 、下列對審計系統(tǒng)基本組成描述正確的是：117 審計系統(tǒng)一般包括三個部分：日志記錄、日志分析和日志處理A. 審計系統(tǒng)一般包含兩個部

47、分：日志記錄和日志處理B. C.審計系統(tǒng)一般包含兩個部分：日志記錄和日志分析 審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志報告D. 安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務？的OSI118、在ISO A.加密 B.數字簽名 C.訪問控制 D.路由控制 個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性，以參考模型中有7OSI119、在 下哪一層提供了保密性、身份鑒別、數據完整性服務？ A.網絡層 B.表示層 C會話層 D.物理層 采用的是什么加密算法？WAPI120、 我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法A. 國際上通行的商用加密標準B. C.國家密碼管理委員會辦

48、公室批準的流加密標準 D.國際通行的哈希算法 VLAN的規(guī)劃方法？121、通常在VLAN時，以下哪一項不是 A.基于交換機端口 基于網絡層協(xié)議B.MAC地址C.基于 D.基于數字證書 122、某個客戶的網絡現(xiàn)在可以正常訪問Internet互聯(lián)網，共有200臺終端PC但此客戶從ISP（互聯(lián)網絡服務提供商）里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網，要想讓全部200臺終端PC訪問Internet互聯(lián)網最好采取什么方法或技術： A、花更多的錢向ISP申請更多的IP地址 實用文檔 NAT B、在網絡的出口路由器上做源 NAT C、在網絡的出口路由器上做目的 D、在網絡出口處

49、增加一定數量的路由器 123、以下哪一個數據傳輸方式難以通過網絡竊聽獲取信息？ 傳輸文件A.FTP 進行遠程管理B.TELNET 以C.URLHTTPS開頭的網頁內容 經過TACACS+認證和授權后建立的連接D. 124、橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括： A.不需要對原有的網絡配置進行修改 B.性能比較高 C.防火墻本身不容易受到攻擊 NAT D.易于在防火墻上實現(xiàn) 的正確描述？、下面哪一項是對IDS125 Signature-based）的系統(tǒng)可以檢測新的攻擊類型A、基于特征（）的系統(tǒng)產生更多的）的系統(tǒng)化基于行為（behavior-basedB、基于特征（

50、Signature-based 誤報 ）的系統(tǒng)維護狀態(tài)數據庫來與數據包和攻擊相匹配behavior-basedC、基于行為（）的系統(tǒng)有更高的誤）的系統(tǒng)比基于特征（Signature-basedD、基于行為（behavior-based 報 NIDS的常見技術？126、下列哪些選項不屬于 協(xié)議分析A. B.零拷貝 C.SYN Cookie D.IP碎片重組 ：示”顯如下入UNIX系統(tǒng)中輸命令“IS-AL TEST127、在 test”對它的含義解釋錯誤的是：root root 1024 Sep 13 11：58 “-rwxr-xr-x 3 A.這是一個文件，而不是目錄 B.文件的擁有者可以對這個

51、文件進行讀、寫和執(zhí)行的操作 C.文件所屬組的成員有可以讀它，也可以執(zhí)行它 D.其它所有用戶只可以執(zhí)行它 /etc/service文件記錄了什么內容？、在Unix系統(tǒng)中，128 、記錄一些常用的接口及其所提供的服務的對應關系A 啟動網絡服務時，啟動那些服務、決定inetdB C、定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什么 、包含了系統(tǒng)的一些啟動腳本 D 賬號的描述，正確的是：、以下對129windows 實用文檔 系統(tǒng)是采用SID（安全標識符）來標識用戶對文件或文件夾的權限windowsA、 系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權限B、windows兩個賬號，兩個賬號都不允許改名

52、和和系統(tǒng)默認會生成administrationguestC、windows 刪除 和兩個賬號，兩個賬號都可以改名和刪除guestD、windows系統(tǒng)默認生成administration 系統(tǒng)的服務描述，正確的是：、以下對于Windows130 服務必須是一個獨立的可執(zhí)行程序、windowsA 服務的運行不需要用戶的交互登錄、windowsB windows服務都是隨系統(tǒng)的啟動而啟動，無需用戶進行干預、C windows服務都需要用戶進行登錄后，以登錄用戶的權限進行啟動D、 服務器支持的訪問控制過濾類型？、以下哪一項不是IIS131 A.網絡地址訪問控制 B.WEB服務器許可 C.NTFS許可

53、 D.異常行為過濾 提出一組完整性規(guī)則來檢查數DBMS數據庫管理員應向132、為了實現(xiàn)數據庫的完整性控制， 3部分組成，以下哪一個不是完整性規(guī)則的內容？據庫中的數據，完整性規(guī)則主要由 A.完整性約束條件 B.完整性檢查機制 C.完整性修復機制 D.違約處理機制 133、數據庫事務日志的用途是什么？ A.事務處理 數據恢復B. C.完整性約束 D.保密性控制 134、下列哪一項與數據庫的安全有直接關系？ A.訪問控制的粒度 B.數據庫的大小 關系表中屬性的數量C. 關系表中元組的數量D. 的說法錯誤的是：135、下面對于cookieA、cookie是一小段存儲在瀏覽器端文本信息，web應用程序可

54、以讀取cookie包含的信息 B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險 C、通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙 D、防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法 136、以下哪一項是和電子郵件系統(tǒng)無關的？ 實用文檔 PEM A、 、PGP B 、X500 C 、X400 D 目錄，其中用來/usr/local/apache/conf137、Apache Web 服務器的配置文件一般位于 Apache目錄的配置文件是：控制用戶訪問 httpd.conf A、 srm.conf B

55、、 access.conf C、 inetd.conf D、 ）機制，其主安全模型（JSM）是在設計虛擬機（JVN）時，引入沙箱（sandbox138、Java 要目的是： 、為服務器提供針對惡意客戶端代碼的保護A B、為客戶端程序提供針對用戶輸入惡意代碼的保護 C、為用戶提供針對惡意網絡移動代碼的保護 D、提供事件的可追查性 、惡意代碼采用加密技術的目的是：139 加密技術是惡意代碼自身保護的重要機制A. B.加密技術可以保證惡意代碼不被發(fā)現(xiàn) C.加密技術可以保證惡意代碼不被破壞 D.以上都不正確 、惡意代碼反跟蹤技術描述正確的是：140 反跟蹤技術可以減少被發(fā)現(xiàn)的可能性A B.反跟蹤技術可以避免所有殺毒軟件的查殺 C.反跟蹤技術可以避免惡意代碼被消除 D.以上都不是 14