CISP試題及答案-六套題

1、1C2A3D4B5C1、下列對(duì)于信息安全保障深度防御模型的說法錯(cuò)誤的是：A、信息安全外部環(huán)境、信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下B、信息安全管理和工程，信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)C、信息安全人才體系，在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分D、信息安全技術(shù)方案：“從外面內(nèi)，自下而上，形成邊界到端的防護(hù)能力”2、人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)

2、安全發(fā)展到信息安全保障，主要是由于：A、為了更好地完成組織機(jī)構(gòu)的使命B、針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C、風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D、除了保密性，信息的完整性和可用性也引起了人們的關(guān)注3、關(guān)于信息保障技術(shù)框架（IATF），下列哪種說法是錯(cuò)誤的？A、IATF強(qiáng)調(diào)深度防御，關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障B、IATF強(qiáng)調(diào)深度防御，即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C、IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來保障信息系統(tǒng)的安全D、IATF強(qiáng)調(diào)的是以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全4、信息系統(tǒng)保護(hù)輪廓（I

3、SPP）定義了_A、某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障要求B、某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障要求C、某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障目的D、某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障目的5、下面對(duì)于信息安全特征和范疇的說法錯(cuò)誤的是：A、信息安全是一個(gè)系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)問題，還要考慮人員、管理、政策等眾多因素B、信息安全是一個(gè)動(dòng)態(tài)的問題，它隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)、用戶認(rèn)識(shí)、投入產(chǎn)出而發(fā)展C、信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個(gè)組織的信息安全責(zé)任是沒有意義的D、信息安全是非傳統(tǒng)

4、的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)6C7A8B9C10D6、橢圓曲線密碼方案是指：A、基于橢圓曲線上的大整數(shù)分解問題構(gòu)建的密碼方案B、通過橢圓曲線方程求解的困難性構(gòu)建的密碼方案C、基于橢圓曲線上有限域離散對(duì)數(shù)問題構(gòu)建的密碼方案D、通過尋找是單向陷門函數(shù)的橢圓曲線函數(shù)構(gòu)建的密碼方案7、hash算法的碰撞是指：A、兩個(gè)不同的消息，得到相同的消息摘要B、兩個(gè)相同的消息，得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長8、Alice從Sue那里收到一個(gè)發(fā)給她的密文，其他人無法解密這個(gè)密文，Alice需要用哪個(gè)密鑰來解密這個(gè)密文？A、

5、Alice的公鑰B、Alice的私鑰C、Sue的公鑰D、Sue的私鑰9、數(shù)字簽名應(yīng)具有的性質(zhì)不包括：A、能夠驗(yàn)證簽名者B、能夠認(rèn)證被簽名消息C、能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性D、簽名必須能夠由第三方驗(yàn)證10、Alice有一個(gè)消息M通過密鑰K和MAC算法生成一個(gè)MAC為C（K,M），Alice將這個(gè)MAC附加在消息M后面發(fā)送給Bob，Bob用密鑰K和消息M計(jì)算MAC并進(jìn)行比較，這個(gè)過程可以提供什么安全服務(wù)？A、僅提供保密性B、僅提供不可否認(rèn)性C、提供消息認(rèn)證D、保密性和消息認(rèn)證11C12C13B14C15B11、時(shí)間戳的引入主要是為了防止：A、死鎖B、丟失C、重放D、擁塞12、與RSA（rivest

6、，shamir，adleman）算法相比，DSS（digital signature standard）不包括：A、數(shù)字簽名B、鑒別機(jī)制C、加密機(jī)制D、數(shù)據(jù)完整性13、在數(shù)字信封中，綜合使用對(duì)稱加密算法和公鑰加密算法的主要原因是：A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性B、綜合考慮對(duì)稱密鑰算法的密鑰分發(fā)難題和公鑰算法加解密效率較低的難題而采取的一種折中做法C、兩種加密算法的混用，可以提高加密的質(zhì)量，這是我國密碼政策所規(guī)定的要求D、數(shù)字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認(rèn)他收到了該信息，即抗接受方抵賴14、下列哪個(gè)選項(xiàng)是公鑰基礎(chǔ)設(shè)

7、施（PKI）的密鑰交換處理流程？（1）接收者解密并獲取會(huì)話密鑰（2）發(fā)送者請(qǐng)求接收者的公鑰（3）公鑰從公鑰目錄中被發(fā)送出去（4）發(fā)送者發(fā)送一個(gè)由接收者的公鑰加密過的會(huì)話密鑰A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密鑰協(xié)商方式有：A、一種，手工方式B、二種，手工方式、IKE自動(dòng)協(xié)商C、一種，IKE自動(dòng)協(xié)商D、二種，IKE自動(dòng)協(xié)商、隧道協(xié)商16A17D18B19D20D16、以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP17、與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？A、防護(hù)B、檢測C、反應(yīng)D、策略18、以

8、下有關(guān)訪問控制矩陣中行和列中元素的描述正確的是：A、行中放用戶名，列中放對(duì)象名B、行中放程序名，列中放用戶名C、列中放用戶名，行中放設(shè)備名D、列中放標(biāo)題，行中放程序19、下列哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互？A、強(qiáng)制訪問控制（MAC）B、集中式訪問控制（Decentralized Access Control）C、分布式訪問控制（Distributed AccessControl）D、自主訪問控制（DAC）20、以下哪一項(xiàng)不是BLP模型的主要任務(wù)：A、定義使得系統(tǒng)獲得“安全”的狀態(tài)集合B、檢查所有狀態(tài)的變化均始于一個(gè)“安全狀態(tài)”并終止于另一個(gè)“安全狀態(tài)”C、檢查系

9、統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”D、選擇系統(tǒng)的終止?fàn)顟B(tài)21D22A23A24B25D21、訪問控制表與訪問能力表相比，具有以下那個(gè)特點(diǎn)：A、訪問控制表更容易實(shí)現(xiàn)訪問權(quán)限的特點(diǎn)B、訪問能力表更容易瀏覽訪問權(quán)限C、訪問控制表回收訪問權(quán)限更困難D、訪問控制表更適用于集中式系統(tǒng)22、在Clark-Wilson模型中哪一項(xiàng)不是保證完整性任務(wù)的？A、防止職權(quán)的濫用B、防止非授權(quán)修改C、維護(hù)內(nèi)部和外部的一致性D、防止授權(quán)但不適當(dāng)?shù)匦薷?3、以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是：A、單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享B、使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問多個(gè)應(yīng)用C、單點(diǎn)登錄不

10、僅方便用戶使用，而且也便于管理D、使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)24、鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的：A、口令B、令牌C、知識(shí)D、密碼25、系統(tǒng)審計(jì)日志不包括以下哪一項(xiàng)：A、時(shí)間戳B、用戶標(biāo)識(shí)C、對(duì)象標(biāo)識(shí)D、處理結(jié)果26B27B28B29B30C26、以下哪一項(xiàng)不是審計(jì)措施的安全目標(biāo)：A、發(fā)現(xiàn)試圖繞過系統(tǒng)安全機(jī)制的訪問B、記錄雇員的工作效率C、記錄對(duì)訪問客體采用的訪問方式D、發(fā)現(xiàn)越權(quán)的訪問行為27、一個(gè)VLAN可以看做是一個(gè)：A、沖突域B、廣播域C、管理域D、阻塞域28、以下對(duì)RADIUS協(xié)議說法正確的是：A、它是一種B/S結(jié)構(gòu)的協(xié)議B、它是一項(xiàng)

11、通用的認(rèn)證計(jì)費(fèi)協(xié)議C、它使用TCP通信D、它的基本組件包括認(rèn)證、授權(quán)和加密29、UDP協(xié)議和TCP協(xié)議對(duì)應(yīng)于ISO/OSI模型的哪一層？A、鏈路層B、傳輸層C、會(huì)話層D、表示層30、路由器的擴(kuò)展訪問控制列表能夠檢查流量的那些基本信息？A、協(xié)議，vtan id，源地址，目標(biāo)地址B、協(xié)議，vian id，源端口，目標(biāo)端口C、源地址，目地地址，源端口，目標(biāo)端口，協(xié)議D、源地址，目地地址，源端口，目標(biāo)端口，交換機(jī)端口號(hào)31A32B33B34C5B31、TCP/IP中哪個(gè)協(xié)議是用來報(bào)告錯(cuò)誤并代表IP對(duì)消息進(jìn)行控制？A、ICMPB、IGMPC、ARPD、SNMP32、TCP采用第三次握手來建立一個(gè)連接，第

12、二次握手傳輸什么信息：A、SYNB、SYN+ACKC、ACKD、FIN33、某個(gè)客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng)，共有200臺(tái)終端PC但此客戶從ISP（互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）,互聯(lián)網(wǎng)最好采取什么方法或技術(shù)：A、花更多的錢向ISP申請(qǐng)更多的IP地址B、在網(wǎng)絡(luò)的出口路由器上做源NATC、在網(wǎng)絡(luò)的出口路由器上做目的NATD、在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器34、以下哪個(gè)一個(gè)項(xiàng)對(duì)“ARP”的解釋是正確的：A、Access routing protocol-訪問路由協(xié)議B、Access routing protocol-訪問解析協(xié)議C、Address resolution protocol

13、-地址解析協(xié)議D、Address recovery protocol-地址恢復(fù)協(xié)議35、下面對(duì)于X.25協(xié)議的說法錯(cuò)誤的是？A、傳輸速率可達(dá)到56KbpsB、其優(yōu)點(diǎn)是反復(fù)的錯(cuò)誤校驗(yàn)頗為費(fèi)時(shí)C、其缺點(diǎn)是反復(fù)的錯(cuò)誤校驗(yàn)頗為費(fèi)時(shí)D、由于它與TCP/IP協(xié)議相比處于劣勢，所以漸漸被后者淘汰36D37C38D39B40D36、下列對(duì)于DMZ區(qū)的說法錯(cuò)誤的是：A、它是網(wǎng)絡(luò)安全防護(hù)的一個(gè)“非軍事區(qū)”B、它是對(duì)“深度防御”概念的一種實(shí)現(xiàn)方案C、它是一種比較常用的網(wǎng)絡(luò)安全域劃分方式D、要想搭建它至少需要兩臺(tái)防火墻37、哪一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來控制訪問連續(xù)的能力？A、包過濾防火墻

14、B、狀態(tài)監(jiān)測防火墻C、應(yīng)用網(wǎng)關(guān)防火墻D、以上都不是38、以下哪一項(xiàng)不屬于入侵檢測系統(tǒng)的功能A、監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B、捕捉可疑的網(wǎng)絡(luò)活動(dòng)C、提供安全審計(jì)報(bào)告D、過濾非法的數(shù)據(jù)包39、下面哪一項(xiàng)不是通過IDS模型的組成部分：A、傳感器B、過濾器C、分析器D、管理器40、下面哪一項(xiàng)是對(duì)IDS的正確描述？A、基于特征（Signature-based）的系統(tǒng)可以檢測新的攻擊類型B、基于特征（Signature-based）的系統(tǒng)化基于行為（behavior-based）的系統(tǒng)產(chǎn)生更多的誤報(bào)C、基于行為（behavior-based）的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D、基于行為（behavi

15、or-based）的系統(tǒng)比基于特征（Signature-based）的系統(tǒng)有更高的誤報(bào)41D42B43D44D45D41、可信計(jì)算技術(shù)不能：A、確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊B、確保密鑰操作和存儲(chǔ)的安全C、確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性D、使計(jì)算機(jī)具有更高的穩(wěn)定性42、chmod 744 test命令執(zhí)行的結(jié)果是：A、test文件的所有者具有執(zhí)行讀寫權(quán)限，文件所屬的組合其它用戶有讀的權(quán)限B、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀的權(quán)限C、test文件的所有者具有執(zhí)行讀和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀的權(quán)限D(zhuǎn)

16、、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權(quán)限，文件所屬的組和其它用戶有讀和寫的權(quán)限43、Linux系統(tǒng)的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh，以下關(guān)于該賬號(hào)的描述不正確的是：A、backup賬號(hào)沒有設(shè)置登錄密碼B、backup賬號(hào)的默認(rèn)主目錄是/var/backupsC、backup賬號(hào)登陸后使用的shell是/bin/shD、backup賬號(hào)是無法進(jìn)行登錄44、以下對(duì)windows賬號(hào)的描述，正確的是：A、windows系統(tǒng)是采用SID（安全標(biāo)識(shí)符）來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限B、windows系統(tǒng)是采

17、用用戶名來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限C、windows系統(tǒng)默認(rèn)會(huì)生成administration和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都不允許改名和刪除D、windows系統(tǒng)默認(rèn)生成administration和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都可以改名和刪除45、以下哪一項(xiàng)不是IIS服務(wù)器支持的訪問控制過濾類型？A、網(wǎng)絡(luò)地址訪問控制B、web服務(wù)器許可C、NTFS許可D、異常行為過濾46D47C48B49D50C46、以下哪個(gè)對(duì)windows系統(tǒng)日志的描述是錯(cuò)誤的？A、windows系統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志，應(yīng)用程序日志，安全日志B、系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件或者

18、硬件和控制器的故障C、應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接庫）失敗的信息D、安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等47、為了實(shí)現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMS提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由三部分組成，以下哪一項(xiàng)不是完整性規(guī)則的內(nèi)容？A、完整性約束條件B、完整性檢查機(jī)制C、完整性修復(fù)機(jī)制D、違約處理機(jī)制48、數(shù)據(jù)庫事務(wù)日志的用途是什么？A、事務(wù)日志B、數(shù)據(jù)恢復(fù)C、完整性約束D、保密性控制49、以下哪一項(xiàng)不是SQL語言的功能A、數(shù)據(jù)定義B、數(shù)據(jù)檢查C、數(shù)據(jù)操縱D、數(shù)據(jù)加密50、以下哪一項(xiàng)是和電子郵件系

19、統(tǒng)無關(guān)的？A、PEMB、PGPC、X.500D、X.40051C52C53C54D55D51、下面對(duì)于cookie的說法錯(cuò)誤的是：A、cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B、cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C、通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而是用session驗(yàn)證方法52、電子商務(wù)安全要求的四個(gè)方面是：A、傳輸?shù)母咝浴?shù)據(jù)的完整性、交易各方的身份認(rèn)證和交易的不可抗抵賴B、存儲(chǔ)的安全性、傳輸?shù)母咝?/p>

20、、數(shù)據(jù)的完整性和交易各方的身份認(rèn)證C、傳輸?shù)陌踩?、?shù)據(jù)的完整性、交易各方的身份認(rèn)證和交易不可抵賴性D、存儲(chǔ)的安全性、傳輸?shù)母咝浴?shù)據(jù)的完整性和交易的不可抵賴性53、Apache Web 服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf54、以下哪個(gè)是惡意代碼采用的隱藏技術(shù)A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是55、下列那種技術(shù)不是惡意代碼的生存技術(shù)？A、反跟蹤技術(shù)B、加密技術(shù)C、模糊變換技術(shù)D、自動(dòng)解壓縮技術(shù)

21、56B57B58D59D60D56、以下對(duì)于蠕蟲病毒的說法錯(cuò)誤的是：A、通常蠕蟲的傳播無需用戶的操作B、蠕蟲病毒的主要危害體現(xiàn)在對(duì)數(shù)據(jù)保密性的破壞C、蠕蟲的工作原理與病毒相似，除了沒有感染文件階段D、是一段能不以其他程序?yàn)槊浇椋瑥囊粋€(gè)電腦系統(tǒng)復(fù)制到另一個(gè)電腦系統(tǒng)的程序57、被以下哪種病毒感染后，會(huì)使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響的，DNS和IIS服務(wù)遭到非法拒絕等。A、高波變種3TB、沖擊波C、震蕩波D、尼姆達(dá)病毒58、當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或

22、查詢語句的一部分執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類型的漏洞？A、緩沖區(qū)溢出B、設(shè)計(jì)錯(cuò)誤C、信息泄露D、代碼注入59、下面對(duì)漏洞出現(xiàn)在軟件開發(fā)的各個(gè)階段的說法中錯(cuò)誤的是？A、漏洞可以在設(shè)計(jì)階段產(chǎn)生B、漏洞可以在實(shí)現(xiàn)過程中產(chǎn)生C、漏洞可以在運(yùn)行過程中產(chǎn)生D、漏洞可以在驗(yàn)收過程中產(chǎn)生60、DNS欺騙是發(fā)生在TCP/IP協(xié)議中_層的問題A、網(wǎng)絡(luò)接口層B、互聯(lián)網(wǎng)網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層61B62D63A64B65C61、IP欺騙（IP Spoof）是發(fā)生在TCP/IP協(xié)議中_層的問題A、網(wǎng)絡(luò)接口層B、互聯(lián)網(wǎng)網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層62、分片攻擊問題發(fā)生在：A、數(shù)據(jù)包被發(fā)送時(shí)B、數(shù)據(jù)包在傳輸過程中C、數(shù)據(jù)包被接收

23、時(shí)D、數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行重組時(shí)63、下面關(guān)于軟件測試的說法錯(cuò)誤的是：A、所謂“黑盒”測試就是測試過程不測試報(bào)告中進(jìn)行描述，且對(duì)外嚴(yán)格保密B、出于安全考慮，在測試過程中盡量不要使用真實(shí)的生產(chǎn)數(shù)據(jù)C、測試方案和測試結(jié)果應(yīng)當(dāng)成為軟件開發(fā)項(xiàng)目文檔的主要部分被妥善的保存D、軟件測試不僅應(yīng)關(guān)注需要的功能是否可以被實(shí)現(xiàn)，還要注意是否有不需要的功能被實(shí)現(xiàn)了64、傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是：A、傳統(tǒng)軟件開發(fā)方法將軟件開發(fā)分為需求分析、架構(gòu)設(shè)計(jì)、代碼編寫、測試和運(yùn)行維護(hù)五個(gè)階段B、傳統(tǒng)的軟件開發(fā)方法，注重軟件功能實(shí)現(xiàn)和保證，缺乏對(duì)安全問題進(jìn)行處理的任務(wù)、里程碑與方法論，也缺乏定義對(duì)安全問

24、題的控制與檢查環(huán)節(jié)C、傳統(tǒng)的軟件開發(fā)方法，將軟件安全定義為編碼安全，力圖通過規(guī)范編碼解決安全問題，缺乏全面性D、傳統(tǒng)的軟件開發(fā)方法僅從流程上規(guī)范軟件開發(fā)過程，缺乏對(duì)人員的培訓(xùn)要求，開發(fā)人員是軟件安全缺陷產(chǎn)生的根源65、對(duì)攻擊面（Attack surface）的正確定義是：A、一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的安全性就越低B、對(duì)一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合，一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大C、一個(gè)軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多，可被攻擊的點(diǎn)也越多，安全風(fēng)險(xiǎn)也越大D、一個(gè)軟件系統(tǒng)的用戶數(shù)量的集合，用戶的數(shù)量越多，受到攻擊的可能性就越大，安全風(fēng)險(xiǎn)也越

25、大66D67D68B69A70D66、下面對(duì)PDCA模型的解釋不正確的是：A、通過規(guī)劃、實(shí)施、檢查和處置的工作程序不斷改進(jìn)對(duì)系統(tǒng)的管理活動(dòng)B、是一種可以應(yīng)用于信息安全管理活動(dòng)持續(xù)改進(jìn)的有效實(shí)踐方法C、也被稱為“戴明環(huán)”D、適用于對(duì)組織整體活動(dòng)的優(yōu)化，不適合單個(gè)的過程以及個(gè)人67、下面關(guān)于ISO27002的說法錯(cuò)誤的是：A、ISO27002的前身是ISO17799-1B、ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用，但不是全部C、ISO27002對(duì)于每個(gè)控制措施的表述分“控制措施”，“實(shí)施指南”和“其他信息”三個(gè)部分來進(jìn)行描述D、ISO27002提出了十一大類的安全管理措

26、施，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施68、下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述不正確的是：A、風(fēng)險(xiǎn)管理員是指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)，它通常包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)溝通B、風(fēng)險(xiǎn)管理的目的是了解風(fēng)險(xiǎn)并采取措施處置風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)消除C、風(fēng)險(xiǎn)管理是信息安全工作的重要基礎(chǔ)，因此信息安全風(fēng)險(xiǎn)管理必須貫穿到信息安全保障工作、信息系統(tǒng)的整個(gè)生命周期中D、在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，應(yīng)通過信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)一步明確安全需求和安全目標(biāo)。69、在信息安全領(lǐng)域，風(fēng)險(xiǎn)的四要素是指？A、資產(chǎn)及其價(jià)值、威脅、脆弱性、現(xiàn)有的和計(jì)劃的控制措施B、資產(chǎn)及其價(jià)值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計(jì)劃

27、的控制措施C、完整性、可用性、機(jī)密性、不可抵賴性D、減低風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)70、在信息安全風(fēng)險(xiǎn)管理體系中分哪五個(gè)層面？A、決策層、管理層、執(zhí)行層、支持層、用戶層B、決策層、管理層、建設(shè)層、維護(hù)層、用戶層C、管理層、建設(shè)層、運(yùn)行層、支持層、用戶層D、決策層、管理層、執(zhí)行層、監(jiān)控層、用戶層71C72C73B74D75B71、在風(fēng)險(xiǎn)管理工作中“監(jiān)控審查”的目的，一是_;二是_.A、保證風(fēng)險(xiǎn)管理過程的有效性，保證風(fēng)險(xiǎn)管理成本的有效性B、保證風(fēng)險(xiǎn)管理結(jié)果的有效性，保證風(fēng)險(xiǎn)管理成本的有效性C、保證風(fēng)險(xiǎn)管理過程的有效性，保證風(fēng)險(xiǎn)管理活動(dòng)的決定得到認(rèn)可D、保證風(fēng)險(xiǎn)管理結(jié)果的有效性，保證風(fēng)險(xiǎn)管理

28、活動(dòng)的決定得到認(rèn)可72、下列安全控制措施的分類中，哪個(gè)分類是正確的（p-預(yù)防性的，D-檢測性的以及C-糾正性的控制）1、網(wǎng)絡(luò)防火墻2、編輯和確認(rèn)程序3、賬戶應(yīng)付支出報(bào)告4、賬戶應(yīng)付對(duì)賬5、RAID級(jí)別36、銀行賬單的監(jiān)督復(fù)審7、分配計(jì)算機(jī)用戶標(biāo)識(shí)8、交易日志A、P,P,D,P,P,C,D,andCB、D,P,P,P,C,C,D, andDC、P,P,D,D,C,D,P, andCD、P,D,C,C,D,P,P, andD73、信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，下列描述不正確的是：A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充B、檢查評(píng)估可在自評(píng)估實(shí)施的基礎(chǔ)上

29、，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估C、檢查評(píng)估也可委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，但評(píng)估結(jié)果僅對(duì)檢查評(píng)估的發(fā)起單位負(fù)責(zé)D、檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織有關(guān)職能部門開展的風(fēng)險(xiǎn)評(píng)估74、某公司正在對(duì)一臺(tái)關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行風(fēng)險(xiǎn)評(píng)估，該服務(wù)器價(jià)值138000元，針對(duì)某個(gè)特定威脅的暴露因子（EF）是45%，該威脅的年度發(fā)生率（ARO）為每10年發(fā)生1次。根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值（ALE）是多少？A、1800元B、62100元C、140000元D、6210元75、下列哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略計(jì)劃中？A、已規(guī)劃的硬件采購的規(guī)范B、將來業(yè)務(wù)目標(biāo)的分析C、開發(fā)項(xiàng)目的目標(biāo)日期D、信息系統(tǒng)

30、不同的年度預(yù)算目標(biāo)76D77C78B79B80A76、以下哪一個(gè)是對(duì)人員安全管理中“授權(quán)蔓延”這概念的正確理解？A、外來人員在進(jìn)行系統(tǒng)維護(hù)時(shí)沒有收到足夠的監(jiān)控B、一個(gè)人擁有了不是其完成工作所必要的權(quán)限C、敏感崗位和重要操作長期有一個(gè)人獨(dú)自負(fù)責(zé)D、員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累計(jì)越來越多的權(quán)限77、ISO27002中描述的11個(gè)信息安全管理控制領(lǐng)域不包括：A、信息安全組織B、資產(chǎn)管理C、內(nèi)容安全D、人力資源安全78、依據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T20988），需要備用場地但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級(jí)的第幾級(jí)？A、2B、3C、4D、579、以下哪一種備份

31、方式再恢復(fù)時(shí)間上最快？A、增量備份B、差異備份C、完全備份D、磁盤備份80、計(jì)算機(jī)應(yīng)急響應(yīng)小組的簡稱是：A、CERTB、FIRSTC、SANAD、CEAT81D82D83B84C85B81、為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)不是日志必需具備的特征。A、統(tǒng)一而精確地的時(shí)間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問源、訪問目標(biāo)和訪問活動(dòng)等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取82、依據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T20988），災(zāi)難恢復(fù)管理過程的主要步驟是災(zāi)難恢復(fù)需求分析，災(zāi)難恢復(fù)策略制定，災(zāi)難恢復(fù)預(yù)案制定和管理，其中災(zāi)難恢復(fù)策略實(shí)現(xiàn)不包括以下哪一項(xiàng)？A、分析業(yè)務(wù)功能B、選擇和建設(shè)

32、災(zāi)難備份中心C、實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案D、實(shí)現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護(hù)能力83、在進(jìn)行應(yīng)用系統(tǒng)的的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人隱私和其他敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)。以下哪一項(xiàng)不是必須做的：A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)關(guān)系的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用84、下列有關(guān)能力成熟度模型的說法錯(cuò)誤的是：A、能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B、使用過程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或哪些過程域C、使用

33、組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)一組已經(jīng)定義好的過程域D、SSE-CMM是一種屬于組織能力方案（Staged）的針對(duì)系統(tǒng)安全工程的能力成熟度模型85、一個(gè)組織的系統(tǒng)安全能力成熟度達(dá)到哪個(gè)級(jí)別以后，就可以對(duì)組織層面的過程進(jìn)行規(guī)范的定義？A、2級(jí)計(jì)劃和跟蹤B、3級(jí)充分定義C、4級(jí)量化控制D、5級(jí)持續(xù)改進(jìn)86D87C88D89B90C86、下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的主要過程：A、風(fēng)險(xiǎn)過程B、保證過程C、工程過程D、評(píng)估過程87、SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域？A、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài)、評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)

34、C、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D、評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全88、信息系統(tǒng)安全工程（ISSE）的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對(duì)信息安全的要求B、識(shí)別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測試證明系統(tǒng)的功能和性能可以滿足安全需求89、信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是：A、信息化建設(shè)的結(jié)果就是信息安全建設(shè)的開始B、信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實(shí)施C、信息化建設(shè)和信息安全建設(shè)是交替進(jìn)行的，無法區(qū)分誰先誰后D、以上說法都正確90、如果你作為

35、甲方負(fù)責(zé)監(jiān)管一個(gè)信息安全工程項(xiàng)目的實(shí)施，當(dāng)乙方提出一項(xiàng)工程變更時(shí)你最應(yīng)當(dāng)關(guān)注的是：A、變更的流程是否符合預(yù)先的規(guī)定B、變更是否會(huì)對(duì)項(xiàng)目進(jìn)度造成拖延C、變更的原因和造成的影響D、變更后是否進(jìn)行了準(zhǔn)確地記錄91A92B93D94D95C91、以下哪項(xiàng)是對(duì)系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述？A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容92、在進(jìn)行應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人隱私和其他敏感信息的實(shí)