CISP試題及答案-五套題

1、1.人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障，主要是出于：A.  為了更好的完成組織機(jī)構(gòu)的使命B.  針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C.  風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D.  除了保密性，信息的完整性和可用性也引起了人們的關(guān)注2.GB/T 20274信息系統(tǒng)安全保障評(píng)估框架中的信息系統(tǒng)安全保障級(jí)中的級(jí)別是指：A. 對(duì)抗級(jí)B. 防護(hù)級(jí)C. 能力級(jí)D. 監(jiān)管級(jí)3.下面對(duì)信息安全特征和范疇的說法錯(cuò)誤的是：A. 信息安全是一個(gè)系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素B. 信息安全是一個(gè)動(dòng)態(tài)的問題，他隨著信

2、息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶認(rèn)識(shí)、投入產(chǎn)出而發(fā)展C. 信息安全是無(wú)邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來(lái)越模糊，因此確定一個(gè)組織的信息安全責(zé)任是沒有意義的D. 信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)4. 美國(guó)國(guó)防部提出的信息保障技術(shù)框架（IATF）在描述信息系統(tǒng)的安全需求時(shí)，將信息技術(shù)系統(tǒng)分為：A. 內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分B. 本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個(gè)部分C. 用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個(gè)部分D. 信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件，安全防護(hù)措施

3、六個(gè)部分5. 關(guān)于信息安全策略的說法中，下面說法正確的是：A. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)B. 信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)？C. 信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為基礎(chǔ)D. 在信息系統(tǒng)尚未建設(shè)完成之前，無(wú)法確定信息安全策略6. 下列對(duì)于信息安全保障深度防御模型的說法錯(cuò)誤的是：A. 信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B. 信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們

4、需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。C. 信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系無(wú)關(guān)緊要D. 信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成端到端的防護(hù)能力”7.全面構(gòu)建我國(guó)信息安全人才體系是國(guó)家政策、組織機(jī)構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求?！凹涌煨畔踩瞬排嘤?xùn)，增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神，是以下哪一個(gè)國(guó)家政策文件提出的？A. 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見B. 信息安全等級(jí)保護(hù)管理辦法C.中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例D.關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知8. 一家商業(yè)公司的網(wǎng)站發(fā)生黑客非

5、法入侵和攻擊事件后，應(yīng)及時(shí)向哪一個(gè)部門報(bào)案？A. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門B. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C. 互聯(lián)網(wǎng)安全協(xié)會(huì)D. 信息安全產(chǎn)業(yè)商會(huì)9. 下列哪個(gè)不是商用密碼管理?xiàng)l例規(guī)定的內(nèi)容：A. 國(guó)家密碼管理委員會(huì)及其辦公室（簡(jiǎn)稱密碼管理機(jī)構(gòu)）主管全國(guó)的商用密碼管理工作B. 商用密碼技術(shù)屬于國(guó)家秘密，國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾鞢. 商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷售D. 個(gè)人可以使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品10. 對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)？A. BMB20-2007涉及國(guó)家秘密的計(jì)算機(jī)信息

6、系統(tǒng)分級(jí)保護(hù)管理規(guī)范B. BMB22-2007涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南C. GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則D. GB/T20271-2006信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求11. 下面對(duì)于CC的“保護(hù)輪廓”（PP）的說法最準(zhǔn)確的是：A. 對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述B. 對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述C. 對(duì)一類TOE的安全需求，進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述D. 由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度12. 關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是：A. SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)B.

7、SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程C. SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證D. SSE-CMM是用于對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估的標(biāo)準(zhǔn)13. 下面哪個(gè)不是ISO 27000系列包含的標(biāo)準(zhǔn)A. 信息安全管理體系要求B. 信息安全風(fēng)險(xiǎn)管理C. 信息安全度量D. 信息安全評(píng)估規(guī)范14. 以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特征？A. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮書15. 下面哪項(xiàng)不是信息安全等級(jí)保護(hù)管理辦法（公通字【2007】43號(hào)）規(guī)定

8、的內(nèi)容A. 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則B. 國(guó)家指定專門部門對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門的監(jiān)督和檢查C. 跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護(hù)等級(jí)D. 第二級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每？少進(jìn)行一次等級(jí)測(cè)評(píng)16. 觸犯新刑法285條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪可判處_。A. 三年以下有期徒刑或拘役B. 1000元罰款C. 三年以上五年以下有期徒刑D. 10000元罰款17. 常見密碼系統(tǒng)包含的元素是：A. 明文，密文，信道，加密算法，解密算法B. 明文，摘要，信道，加密算法，解密算法C. 明文，密文，密鑰，加密算法

9、，解密算法D. 消息，密文，信道，加密算法，解密算法18. 公鑰密碼算法和對(duì)稱密碼算法相比，在應(yīng)用上的優(yōu)勢(shì)是：A. 密鑰長(zhǎng)度更長(zhǎng)B. 加密速度更快C. 安全性更高D. 密鑰管理更方便19. 以下哪一個(gè)密碼學(xué)手段不需要共享密鑰？A.消息認(rèn)證B.消息摘要C.加密解密D.數(shù)字簽名20. 下列哪種算法通常不被用戶保證保密性？A. AESB. RC4C. RSAD. MD521.數(shù)字簽名應(yīng)具有的性質(zhì)不包括：A. 能夠驗(yàn)證簽名者B. 能夠認(rèn)證被簽名消息C. 能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性D. 簽名必須能夠由第三方驗(yàn)證22. 認(rèn)證中心（CA）的核心職責(zé)是_。A. 簽發(fā)和管理數(shù)字證書B. 驗(yàn)證信息C. 公布黑名單

10、D. 撤銷用戶的證書23. 以下對(duì)于安全套接層（SSL）的說法正確的是：A. 主要是使用對(duì)稱密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性B. 可以在網(wǎng)絡(luò)層建立VPNC. 主要使用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web server方式D. 包含三個(gè)主要協(xié)議：AH,ESP,IKE24. 下面對(duì)訪問控制技術(shù)描述最準(zhǔn)確的是：A. 保證系統(tǒng)資源的可靠性B. 實(shí)現(xiàn)系統(tǒng)資源的可追查性C. 防止對(duì)系統(tǒng)資源的非授權(quán)訪問D. 保證系統(tǒng)資源的可信性25. 以下關(guān)于訪問控制表和訪問能力表的說法正確的是：A. 訪問能力表表示每個(gè)客體可以被訪問的主體及其權(quán)限B. 訪問控制表說明了每個(gè)主體可以訪問的客體及權(quán)限

11、C. 訪問控制表一般隨主體一起保存D. 訪問能力表更容易實(shí)現(xiàn)訪問權(quán)限的傳遞，但回收訪問權(quán)限較困難26. 下面哪一項(xiàng)訪問控制模型使用安全標(biāo)簽（security labels）？A. 自主訪問控制B. 非自主訪問控制C. 強(qiáng)制訪問控制D. 基于角色的訪問控制27. 某個(gè)客戶的網(wǎng)絡(luò)限制可以正常訪問internet互聯(lián)網(wǎng)，共有200臺(tái)終端PC但此客戶從ISP（互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）里只獲得了16個(gè)公有的IPv4地址，最多也只有16臺(tái)PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺(tái)終端PC訪問internet互聯(lián)網(wǎng)最好采取什么辦法或技術(shù)：A. 花更多的錢向ISP申請(qǐng)更多的IP地址B. 在網(wǎng)絡(luò)的出口路由器上做源NAT

12、C. 在網(wǎng)絡(luò)的出口路由器上做目的NATD. 在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器28. WAPI采用的是什么加密算法？A. 我國(guó)自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B. 國(guó)際上通行的商用加密標(biāo)準(zhǔn)C. 國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D. 國(guó)際通行的哈希算法29. 以下哪種無(wú)線加密標(biāo)準(zhǔn)的安全性最弱？A. wepB. wpaC. wpa2D. wapi30. 以下哪個(gè)不是防火墻具備的功能？A. 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合B. 它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口C. 能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流D. 防

13、止來(lái)源于內(nèi)部的威脅和攻擊31. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點(diǎn)不包括：A. 不需要對(duì)原有的網(wǎng)絡(luò)配置進(jìn)行修改B. 性能比較高C. 防火墻本身不容易受到攻擊D. 易于在防火墻上實(shí)現(xiàn)NAT32. 有一類IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的偏差來(lái)發(fā)現(xiàn)入侵事件，這種機(jī)制稱作：A. 異常檢測(cè)B. 特征檢測(cè)C. 差距分析D. 對(duì)比分析33. 在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容？A. 記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系B. 決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)C. 定義了系統(tǒng)缺省運(yùn)行級(jí)別，系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做

14、什么D. 包含了系統(tǒng)的一些啟動(dòng)腳本34. 以下哪個(gè)對(duì)windows系統(tǒng)日志的描述是錯(cuò)誤的？A. windows系統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件或者硬件和控制器的故障C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接庫(kù)）失敗的信息D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等35. 在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過“視圖（view）”技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原則？A. 縱深防御原則B. 最小權(quán)限原則C. 職責(zé)分離原則D. 安全性與便利性平衡原則36. 數(shù)據(jù)庫(kù)事務(wù)日志的

15、用途是什么？A. 事務(wù)處理B. 數(shù)據(jù)恢復(fù)C. 完整性約束D. 保密性控制37. 下面對(duì)于cookie的說法錯(cuò)誤的是：A. cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B. cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C. 通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做 cookie欺騙D. 防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法38. 攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被

16、解釋執(zhí)行，這是哪種類型的漏洞？A. 緩沖區(qū)溢出B. SQL注入C. 設(shè)計(jì)錯(cuò)誤D. 跨站腳本39. 通常在網(wǎng)站數(shù)據(jù)庫(kù)中，用戶信息中的密碼一項(xiàng)，是以哪種形式存在？A. 明文形式存在B. 服務(wù)器加密后的密文形式存在C. hash運(yùn)算后的消息摘要值存在D. 用戶自己加密后的密文形式存在40.下列屬于DDOS攻擊的是：A. Men-in-Middle攻擊B. SYN洪水攻擊C. TCP連接攻擊D. SQL注入攻擊41.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊？A. 重放攻擊B. Smurf攻擊C. 字典攻擊D. 中間人攻擊42. 滲透性測(cè)試的第

17、一步是：A. 信息收集B. 漏洞分析與目標(biāo)選定C. 拒絕服務(wù)攻擊D. 嘗試漏洞利用43. 通過網(wǎng)頁(yè)上的釣魚攻擊來(lái)獲取密碼的方式，實(shí)質(zhì)上是一種：A. 社會(huì)工程學(xué)攻擊B. 密碼分析學(xué)C. 旁路攻擊D. 暴力破解攻擊44.以下哪個(gè)不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？A. 加強(qiáng)軟件的安全需求分析，準(zhǔn)確定義安全需求B. 設(shè)計(jì)符合安全準(zhǔn)則的功能、安全功能與安全策略C. 規(guī)范開發(fā)的代碼，符合安全編碼規(guī)范D. 編制詳細(xì)軟件安全使用手冊(cè)，幫助設(shè)置良好的安全使用習(xí)慣45.根據(jù)SSE-CMM信息安全工程過程可以劃分為三個(gè)階段，其中_確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶。A.

18、 保證過程B. 風(fēng)險(xiǎn)過程C. 工程和保證過程D. 安全工程過程46.下列哪項(xiàng)不是SSE-CMM模型中工程過程的過程區(qū)？A. 明確安全需求B. 評(píng)估影響C. 提供安全輸入D. 協(xié)調(diào)安全47. SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域？A. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài). 評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)C. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全48.在IT項(xiàng)目管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理，以下哪一項(xiàng)不是對(duì)數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo)：A. 防止出現(xiàn)數(shù)據(jù)范圍以外的值B. 防止出現(xiàn)錯(cuò)誤的

19、數(shù)據(jù)處理順序C. 防止緩沖區(qū)溢出攻擊D. 防止代碼注入攻擊49.信息安全工程監(jiān)理工程師不需要做的工作是：A.編寫驗(yàn)收測(cè)試方案B.審核驗(yàn)收測(cè)試方案C.監(jiān)督驗(yàn)收測(cè)試過程D.審核驗(yàn)收測(cè)試報(bào)告50. 下面哪一項(xiàng)是監(jiān)理單位在招標(biāo)階段質(zhì)量控制的內(nèi)容？A. 協(xié)助建設(shè)單位提出工程需求，確定工程的整體質(zhì)量目標(biāo)B. 根據(jù)監(jiān)理單位的信息安全保障知識(shí)和項(xiàng)目經(jīng)驗(yàn)完成招標(biāo)文件中的技術(shù)需求部分C. 進(jìn)行風(fēng)險(xiǎn)評(píng)估和需求分析完成招標(biāo)文件中的技術(shù)需求部分D. 對(duì)標(biāo)書應(yīng)答的技術(shù)部分進(jìn)行審核，修改其中不滿足安全需求的內(nèi)容52. 信息安全保障強(qiáng)調(diào)安全是動(dòng)態(tài)的安全，意味著：A. 信息安全是一個(gè)不確定性的概念B. 信息安全是一個(gè)主觀的概念

20、C. 信息安全必須覆蓋信息系統(tǒng)整個(gè)生命周期，隨著安全風(fēng)險(xiǎn)的變化有針對(duì)性的進(jìn)行調(diào)整D. 信息安全只能是保證信息系統(tǒng)在有限物理范圍內(nèi)的安全，無(wú)法保證整個(gè)信息系統(tǒng)的安全53.關(guān)于信息保障技術(shù)框架（IATF），下列說法錯(cuò)誤的是：A. IATF強(qiáng)調(diào)深度防御，關(guān)注本地計(jì)算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；BIATF強(qiáng)調(diào)深度防御，即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C. IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來(lái)保障信息系統(tǒng)的安全D. IATF強(qiáng)調(diào)的是以安全監(jiān)測(cè)、漏洞監(jiān)測(cè)和自適用填充“安全間隙”為循環(huán)來(lái)提高網(wǎng)絡(luò)安全54.下面哪一項(xiàng)表示了信息不被非法篡改的屬性？A.

21、 可生存性B. 完整性C.準(zhǔn)確性D.參考完整性55. 以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法最準(zhǔn)確的是：A信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統(tǒng)安全B.通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。C. 是一種通過客觀證據(jù)向信息系統(tǒng)評(píng)估者提供主觀信心的活動(dòng)D. 是主觀和客觀綜合評(píng)估的結(jié)果56 公鑰密碼算法和對(duì)稱密碼算法相比，在應(yīng)用上的優(yōu)勢(shì)是：A.  密鑰長(zhǎng)度更長(zhǎng)B.  加密速度更快C.  安全性更高D.  密鑰

22、管理更方便57. 以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換？A. DSSB. Diffse-HellmanC. RSA&D AES58. 目前對(duì)MD5，SHA1算法的攻擊是指：A. 能夠構(gòu)造出兩個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了相同的消息摘要B. 對(duì)于一個(gè)已知的消息摘要，能夠構(gòu)造出一個(gè)不同的消息，這兩個(gè)消息產(chǎn)生了相同的消息摘要。C 對(duì)于一個(gè)已知的消息摘要，能夠恢復(fù)其原始消息D. 對(duì)于一個(gè)已知的消息，能夠構(gòu)造一個(gè)不同的消息摘要，也能通過驗(yàn)證。59 DSA算法不提供以下哪種服務(wù)？A.  數(shù)據(jù)完整性B.  加密&C.  數(shù)字簽名D. 

23、; 認(rèn)證60.關(guān)于PKI/CA證書，下面哪一種說法是錯(cuò)誤的：A. 證書上具有證書授權(quán)中心的數(shù)字簽名B. 證書上列有證書擁有者的基本信息C. 證書上列有證書擁有者的公開密鑰D. 證書上列有證書擁有者的秘密密鑰&61 認(rèn)證中心（CA）的核心職責(zé)是_?A.  簽發(fā)和管理數(shù)字證書B.  驗(yàn)證信息C.  公布黑名單D.  撤銷用戶的證書62 下列哪一項(xiàng)是虛擬專用網(wǎng)絡(luò)（VPN）的安全功能?A.  驗(yàn)證，訪問控制和密碼B.  隧道，防火墻和撥號(hào)C.  加密，鑒別和密鑰管理D.  壓縮，解密和密碼63 以下對(duì)Kerbero

24、s協(xié)議過程說法正確的是:A.  協(xié)議可以分為兩個(gè)步驟：一是用戶身份鑒別：二是獲取請(qǐng)求服務(wù)B.  協(xié)議可以分為兩個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲取請(qǐng)求服務(wù)C.  協(xié)議可以分為三個(gè)步驟：一是用戶身份鑒別；二是獲得票據(jù)許可票據(jù)；三是獲得服務(wù)許可票據(jù)D.  協(xié)議可以分為三個(gè)步驟：一是獲得票據(jù)許可票據(jù)；二是獲得服務(wù)許可票據(jù)；三是獲得服務(wù)64 在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性。以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？A.  網(wǎng)絡(luò)層B.  表示層C.  會(huì)話層D.  物理層6

25、5 以下哪種無(wú)線加密標(biāo)準(zhǔn)的安全性最弱？A .WepB WpaC Wpa2D Wapi66.Linux系統(tǒng)的用戶信息保存在passwd中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號(hào)的描述不正確的是：A.  backup賬號(hào)沒有設(shè)置登錄密碼&B.  backup賬號(hào)的默認(rèn)主目錄是/var/backupsC.  Backup賬號(hào)登錄后使用的shell是、bin/shD.  Backup賬號(hào)是無(wú)法進(jìn)行登錄67 以下關(guān)于lixun超級(jí)權(quán)限的說明，不正確的是：A.  一般情況下，為

26、了系統(tǒng)安全，對(duì)于一般常規(guī)級(jí)別的應(yīng)用，不需要root用戶來(lái)操作完成B.  普通用戶可以通過su和sudo來(lái)獲得系統(tǒng)的超級(jí)權(quán)限C.  對(duì)系統(tǒng)日志的管理，添加和刪除用戶等管理工作，必須以root用戶登錄才能進(jìn)行D.  Root是系統(tǒng)的超級(jí)用戶，無(wú)論是否為文件和程序的所有者都具有訪問權(quán)限68 在WINDOWS操作系統(tǒng)中，欲限制用戶無(wú)效登錄的次數(shù)，應(yīng)當(dāng)怎么做？A.  在“本地安全設(shè)置”中對(duì)“密碼策略”進(jìn)行設(shè)置B.  在“本地安全設(shè)置”中對(duì)“賬戶鎖定策略”進(jìn)行設(shè)置C.  在“本地安全設(shè)置”中對(duì)“審核策略”進(jìn)行設(shè)置D.  在“本地安全設(shè)置

27、”中對(duì)“用戶權(quán)利指派”進(jìn)行設(shè)置69.以下對(duì)WINDOWS系統(tǒng)日志的描述錯(cuò)誤的是：A. windows系統(tǒng)默認(rèn)的由三個(gè)日志，系統(tǒng)日志，應(yīng)用程序日志，安全日志B系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過程中的事件或者硬件和控制器的故障。C應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接庫(kù)）失敗的信息D. 安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等70 以下關(guān)于windows SAM（安全賬戶管理器）的說法錯(cuò)誤的是：A.  安全賬戶管理器（SAM）具體表現(xiàn)就是%SystemRoot%system32configsamB.  安全賬

28、戶管理器（SAM）存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中C.  安全賬戶管理器（SAM）存儲(chǔ)的賬號(hào)信息對(duì)administrator和system是可讀和可寫的D.  安全賬戶管理器（SAM）是windows的用戶數(shù)據(jù)庫(kù)，系統(tǒng)進(jìn)程通過Security Accounts Manager服務(wù)進(jìn)行訪問和操作71 在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過“視圖（view）”技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原則？A.縱深防御原則 B.最小權(quán)限原則 C.職責(zé)分離原則 D.安全性與便利性平衡原則78.數(shù)據(jù)庫(kù)事務(wù)日志的用途是:A. 事務(wù)處理B.數(shù)據(jù)恢復(fù)C.完整性約束D保密性控制79. 下面對(duì)于cookie的說法錯(cuò)誤的是

29、：A. cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息。B. cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn)C.通過cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過身份驗(yàn)證的攻擊叫做cookie欺騙D.防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法。80. 攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳步將被解釋執(zhí)行，這是哪種類型的漏洞？A. 緩沖區(qū)溢出B. sql注入C.設(shè)計(jì)錯(cuò)誤D.跨站腳本81. 通常在網(wǎng)站數(shù)據(jù)庫(kù)中，用

30、戶信息中的密碼一項(xiàng)，是以哪種形式存在？A. 明文形式存在B.服務(wù)器加密后的密文形式存在C.hash運(yùn)算后的消息摘要值存在D.用戶自己加密后的密文形式存在82.下列對(duì)跨站腳本攻擊（XSS）的描述正確的是：A. XSS攻擊指的是惡意攻擊者往WED頁(yè)面里插入惡意代碼，當(dāng)用戶瀏覽瀏覽該頁(yè)之時(shí)，嵌入其中WEB里面的代碼會(huì)執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的B.XSS攻擊時(shí)DDOS攻擊的一種變種C.XSS攻擊就是CC攻擊D.XSS攻擊就是利用被控制的機(jī)器不斷地向被攻擊網(wǎng)站發(fā)送訪問請(qǐng)求，迫使IIS連接數(shù)超出限制，當(dāng)CPU資源或者帶寬資源耗盡，那么網(wǎng)站也就被攻擊垮了，從而達(dá)到攻擊目的83 下列哪種技術(shù)不是惡意

31、代碼的生產(chǎn)技術(shù)？A.  反跟蹤技術(shù)、B.  加密技術(shù)C.  模糊變換技術(shù)D.  自動(dòng)解壓縮技術(shù)84 當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)做命令或查詢語(yǔ)句的一部分執(zhí)行時(shí)，就會(huì)產(chǎn)生哪種類型的漏洞？A.  緩沖區(qū)溢出B.  設(shè)計(jì)錯(cuò)誤C.  信息泄露D.  代碼注入85 Smurf 利用下列哪種協(xié)議進(jìn)行攻擊？A.  ICMPB.  IGMPC.  TCPD.  UDP86.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊？A. 重放攻擊B

32、. Smurf攻擊C.字典攻擊D.中間人攻擊87 滲透性測(cè)試的第一步是:A.  信息收集B.  漏洞分析與目標(biāo)選定C.  拒絕服務(wù)攻擊D.  嘗試漏洞利用88 軟件安全開發(fā)中軟件安全需求分析階段的主要目的是：A.  確定軟件的攻擊面，根據(jù)攻擊面制定軟件安全防護(hù)策略B.  確定軟件在計(jì)劃運(yùn)行環(huán)境中運(yùn)行的最低安全要求C.  確定安全質(zhì)量標(biāo)準(zhǔn)，實(shí)施安全和隱私風(fēng)險(xiǎn)評(píng)估D.  確定開發(fā)團(tuán)隊(duì)關(guān)鍵里程碑和交付成果89.管理者何時(shí)可以根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)已識(shí)別的風(fēng)險(xiǎn)部采取措施？A當(dāng)必須的安全對(duì)策的成本高出實(shí)際風(fēng)險(xiǎn)的可能造成的潛在費(fèi)用

33、時(shí)B當(dāng)風(fēng)險(xiǎn)減輕方法提高業(yè)務(wù)生產(chǎn)力時(shí)C當(dāng)引起風(fēng)險(xiǎn)發(fā)生的情況不在部門控制范圍之內(nèi)時(shí)D不可接受90 以下關(guān)于風(fēng)險(xiǎn)管理的描述不正確的是：A風(fēng)險(xiǎn)的4種控制方法有：降低風(fēng)險(xiǎn)/轉(zhuǎn)嫁風(fēng)險(xiǎn)/規(guī)避風(fēng)險(xiǎn)/接受風(fēng)險(xiǎn)B信息安全風(fēng)險(xiǎn)管理是否成功在于風(fēng)險(xiǎn)是否被切實(shí)消除了C組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來(lái)確定需要處理的信息安全風(fēng)險(xiǎn)D信息安全風(fēng)險(xiǎn)管理是基于可接受的成本，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、控制、降低或轉(zhuǎn)移的過程91如果你作為甲方負(fù)責(zé)監(jiān)管一個(gè)信息安全工程項(xiàng)目的實(shí)施，當(dāng)乙方提出一項(xiàng)工程變更時(shí)你最應(yīng)當(dāng)關(guān)注的是：A.  變更的流程是否符合預(yù)先的規(guī)定B.  變更是否項(xiàng)目進(jìn)度造成拖延C.&

34、#160; 變更的原因和造成的影響D.  變更后是否進(jìn)行了準(zhǔn)確的記錄92 應(yīng)當(dāng)如可理解信息安全管理體系中的“信息安全策略”？A為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提出的一系列建議B為了定義訪問控制需求而產(chǎn)生出來(lái)的一些通用性指引C組織高層對(duì)信息安全工作意圖的正式表達(dá)D一種分階段的安全處理結(jié)果93 以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：A.  組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé)B.  對(duì)重要的工作進(jìn)行分解，分配給不同人員完成C.  一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn).  防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限94 作為一個(gè)

35、組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)不是必須了解的？A.  誰(shuí)負(fù)責(zé)信息安全管理制度的制度和發(fā)布B.  誰(shuí)負(fù)責(zé)監(jiān)督信息安全制度的執(zhí)行C.  信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)的整體工作流程D.  如果違反了安全制度可能會(huì)受到的懲戒措施95 職責(zé)分離是信息安全管理的一個(gè)基本概念，其關(guān)鍵是權(quán)力不能過分集中在某一個(gè)人手中。職責(zé)分離的目的是確保沒有單獨(dú)的人員（單獨(dú)進(jìn)行操作）可以對(duì)應(yīng)用程序系統(tǒng)特征或控制功能進(jìn)行破壞。當(dāng)以下哪一類人員訪問安全系統(tǒng)軟件的時(shí)候，會(huì)造成對(duì)“職責(zé)分離”原則的違背？A數(shù)據(jù)安全管理員B數(shù)據(jù)安全分析員C系統(tǒng)審核員D系統(tǒng)程序員96 在國(guó)家標(biāo)準(zhǔn)信息系統(tǒng)恢復(fù)規(guī)

36、范中，根據(jù)-要素，將災(zāi)難恢復(fù)等級(jí)劃分為_級(jí)A 7，6B 6，7C 7，7D 6，697 在業(yè)務(wù)持續(xù)性計(jì)劃中，RTO指的是：A災(zāi)難備份和恢復(fù)B恢復(fù)技術(shù)項(xiàng)目C業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)D業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)98 應(yīng)急方法學(xué)定義了安全事件處理的流程，這個(gè)流程的順序是：A.     準(zhǔn)備-抑制-檢測(cè)-根除-恢復(fù)-跟進(jìn)B.     準(zhǔn)備-檢測(cè)-抑制-恢復(fù)-根除-跟進(jìn)C.     準(zhǔn)備-檢測(cè)-抑制-根除-恢復(fù)-跟進(jìn)D.     準(zhǔn)備-抑制-根除-檢測(cè)-恢復(fù)-跟進(jìn)9

37、9.下面有關(guān)能力成熟度模型的說法錯(cuò)誤的是：A.能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B.使用過程能力方案時(shí)，可以靈活選擇評(píng)估和改進(jìn)哪個(gè)或哪些過程域C.使用組織機(jī)構(gòu)成熟度方案時(shí)，每一個(gè)能力級(jí)別都對(duì)應(yīng)于一組已經(jīng)定義好的過程域D SSE-CMM是一種屬于組織能力方案（Staged）的針對(duì)系統(tǒng)安全工程的能力成熟度模型100.下面哪一項(xiàng)為系統(tǒng)安全工程 成熟度模型提供了評(píng)估方法：A.ISSEB.SSAMC.SSRD.CEM101 根據(jù)SSE-CMM信息安全工程過程可以劃分為三個(gè)階段，其中_確立安全解決方案的置信度并且把這樣的置信度傳遞給顧客。A保證過程

38、B風(fēng)險(xiǎn)過程C工程和保證過程D安全工程過程102 SSE-CMM工程過程區(qū)域中的風(fēng)險(xiǎn)過程包含哪些過程區(qū)域？A.  評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響B(tài).  評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)C.  評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)D.  評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全103.SSE-CMM包含六個(gè)級(jí)別，其中計(jì)劃與跟蹤級(jí)著重于：A. 規(guī)范化地裁剪組織層面的過程定義B. 項(xiàng)目層面定義、計(jì)劃和執(zhí)行問題C.測(cè)量D.一個(gè)組織或項(xiàng)目執(zhí)行了包含基本實(shí)施的過程104在IT項(xiàng)目管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理，以下哪一項(xiàng)不是對(duì)

39、數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo)：A.  防止出現(xiàn)數(shù)據(jù)范圍以外的值B.  防止出現(xiàn)錯(cuò)誤的數(shù)據(jù)處理順序C.  防止緩沖區(qū)溢出攻擊D.  防止代碼注入攻擊105.信息系統(tǒng)安全工程（ISSE）的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A.明確業(yè)務(wù)對(duì)信息安全的要素B.識(shí)別來(lái)自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測(cè)試證明系統(tǒng)的功能和性能可以滿足安全要求106信息安全工程監(jiān)理工程師不需要做的工作是：A.  編寫驗(yàn)收測(cè)試方案&B.  審核驗(yàn)收測(cè)試方案C.  監(jiān)督驗(yàn)收測(cè)試過程D.  審核驗(yàn)收測(cè)試報(bào)告107 以下關(guān)于CC標(biāo)準(zhǔn)說法錯(cuò)誤的是：