CISP考試2017專用試題庫

1、完美WORD格式1.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(chtical Information Infrastructure, CII)包括商用核 設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：A.這些行業(yè)都關(guān)系到國計(jì)民生，對經(jīng)濟(jì)運(yùn)行和國家安全影響深遠(yuǎn)B.這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D.這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失.關(guān)于我國信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說法不正確：2001-2

2、002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國信息安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)2003-2005年是逐步展開和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)27號(hào)文件)并頒布了國家信息安全戰(zhàn)略2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成功&2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐.依據(jù)國家標(biāo)準(zhǔn)/T20274信息系統(tǒng)安全保障評估框架，信息系統(tǒng)安全目標(biāo)(ISST) 中，安全保障目的指的是:整理分享完美WORD格式A、信息系統(tǒng)安全保障目的B、環(huán)境安

3、全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D.信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子 ？A.某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)行了沖正操作&C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看5.公司甲做了很多政府網(wǎng)站安全項(xiàng)目， 在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前

4、項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施， 但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個(gè)是錯(cuò)誤的：A.乙對信息安全不重視，低估了黑客能力，不舍得花錢 &B.甲在需求分析階段沒有進(jìn)行風(fēng)險(xiǎn)評估，所部署的加密針對性不足，造成浪費(fèi)C.甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D.乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求整理分享完美WORD格式6.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定 并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的 內(nèi)容也各不相同，以下說法不正確的是：A.與國家安

5、全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重 點(diǎn)B.美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理 職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)C.各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D.在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？A.防護(hù).檢測C .反應(yīng)D.策略&8.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：A.項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人 而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。B.項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根

6、據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。&C.項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。D.項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測量整理分享完美WORD格式(Measurable)、需相關(guān)方的一致同意(Agree to)、現(xiàn)實(shí)(Realistic)、有一定的 時(shí)限(Time-oriented)2008年1月2日，美目發(fā)布第54號(hào)總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃(Comprehensive National Cybersecurity Initiative , CNCI)。CNCI 計(jì)戈U建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防

7、線，強(qiáng)化未 來安全環(huán)境.從以上內(nèi)容，我們可以看出以下哪種分析是正確的：A. CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部 的C.CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)D. CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息 安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障&.下列對于信息安全保障深度防御模型的說法錯(cuò)誤的是：A .信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個(gè)重要組成部分，因此對信息安全的討論

8、必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B.信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息 安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C.信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信整理分享完美WORD格式息安全保障的重要組成部分。D.信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。.如圖，某用戶通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：個(gè)人房作登錄登錄名：卡（賺）導(dǎo)/手機(jī)號(hào)/別名F8嘉麻臨？A.個(gè)人網(wǎng)銀系統(tǒng)和用戶之間

9、的雙向鑒別B.由可信第三方完成的用戶身份鑒別C.個(gè)人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別*D.用戶對個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別12.如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給 Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是：整理分享完美WORD格式加密密鑰解密卷鑰密碼分析者A.此密碼體制為對稱密碼體制B.此密碼體制為私鑰密碼體制C.此密碼體制為單鑰密碼體制D.此密碼體制為公鑰密碼體制&13.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A.用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B.用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別C.用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)

10、發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D.用戶使用集成電路卡（如智能卡）完成身份鑒別&14.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法？A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法 &B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法整理分享完美WORD格式D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法15.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站， 該單位委托軟件測評機(jī) 構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項(xiàng)目 經(jīng)理提出了還需要對應(yīng)用網(wǎng)

11、站進(jìn)行一次滲透性測試， 作為安全主管，你需要提出 滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢？A.滲透測試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生 的漏洞&B.滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C.滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多16.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪 個(gè)是錯(cuò)誤的？A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C.用戶提交

12、的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是&D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)17.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想， 在有限 資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)， 避免防范不足帶來的直接損失，也需要關(guān)注 過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思 想的是：A.在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用， 經(jīng)費(fèi)中預(yù)留了安全測試、安全評審相整理分享完美WORD格式關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)&B.在軟件安全設(shè)計(jì)時(shí)，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計(jì)進(jìn)行評審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足C.確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全

13、編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D.在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運(yùn)行18.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A.VTP&L2FPPTPL2TP19.如圈所示，主體S對客體01有讀(R)權(quán)限，又t客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該圖所示的訪問控制實(shí)現(xiàn)方法是：A.訪問控制表(ACL)整理分享完美WORD格式B.訪問控制矩陣C.能力表(CL)&D.前綴表(Pro巾les)20.以下場景描述了基于角色的訪問控制模型 (Role-based AccessControl . RBAC):根據(jù)

14、組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯(cuò)誤的是：A.當(dāng)用戶請求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B.業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng) RBAC模型中的角色C.通過角色，可實(shí)現(xiàn)對信息資源訪問的控制D.RBAC模型不能實(shí)現(xiàn)多級安全中的訪問控制&21 .下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A.第二層隧道協(xié)議(L2TP)B. Internet 安全性(IPSEC)C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)&D .點(diǎn)對

15、點(diǎn)隧道協(xié)議(PPTP)22.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議(Kerberos)描述正確的是：A .該協(xié)議使用非對稱密鑰加密機(jī)制B.密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)部分組成C.該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D.使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境 &整理分享完美WORD格式23.鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的：A. 口令B.令牌&C.知識(shí)D.密碼24.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)？A.加密B.數(shù)字簽名&C.訪問控制D.路由控制25.某公司已有漏洞掃描和入侵檢測系統(tǒng) (Intrusien Det

16、ection System , IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A.選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B.選購任意一款品牌防火墻C.任意選購一款價(jià)格合適的防火墻產(chǎn)品D.選購一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻 &.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？A.網(wǎng)絡(luò)層&B.表示層整理分享完美WORD格式C.會(huì)話層D.物理層.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門主 管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行， 該設(shè)計(jì)是遵循了軟件安 全設(shè)計(jì)中的哪項(xiàng)原則？A.最小權(quán)限B.權(quán)

17、限分離&C.不信任D.縱深防御28.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(Internet Protocol Security , IPsec)協(xié)議說法錯(cuò) 誤的是：A.在傳送模式中，保護(hù)的是IP負(fù)載B.驗(yàn)證頭協(xié)議(Authentication Head , AH)和IP封裝安全載荷協(xié)議 (EncapsulatingSecurity Payload , ESP邨能以傳輸模式和隧道模式工作c .在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議(Internet Protocol , IP)包，包括IP 頭D.IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性 &29.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)

18、站所 面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以 下威脅中哪個(gè)可以歸入此類威脅？A.網(wǎng)站競爭對手可能雇傭攻擊者實(shí)施 DDoS攻擊，降低網(wǎng)站訪問速度整理分享完美WORD格式B.網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸 信息泄露，例如購買的商品金額等C.網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致， 可能數(shù)據(jù)被中途篡改D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式 獲得用戶密碼，以該用戶身份登錄修改用戶訂單

19、等信息&.以下關(guān)于PGP（Pretty Good Privacy）軟件敘述錯(cuò)誤的是：PGP可以實(shí)現(xiàn)對郵件的加密、簽名和認(rèn)證PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮PGP可以對郵件進(jìn)行分段和重組PGP采用SHA算法加密郵件&.入侵防御系統(tǒng)（IPS）是繼入侵檢測系統(tǒng)（IDS）后發(fā)展期出來的一項(xiàng)新的安全技 術(shù)，它與IDS有著許多不同點(diǎn)，請指出下列哪一項(xiàng)描述不符合 IPS的特點(diǎn)？A.用接到網(wǎng)絡(luò)線路中B.對異常的進(jìn)出流量可以直接進(jìn)行阻斷C.有可能造成單點(diǎn)故障D.不會(huì)影響網(wǎng)絡(luò)性能&.相比文件配置表（FAT）文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)（NTFS所具 有的優(yōu)勢？NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)

20、系統(tǒng)損壞和電 源故障等闖題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作整理分享完美WORD格式NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C.對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D.相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式&.某公司系統(tǒng)管理員最近正在部署一臺(tái) Web服務(wù)器，使用的操作系統(tǒng)是 windows ,在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給 領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進(jìn)行修改的策略 是：A.在網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)

21、到 該syslog日志服務(wù)器中&B.嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作C.對日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長日志覆蓋時(shí)間、設(shè)置記錄更 多信息等D.使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間.關(guān)于linux下的用戶和組，以下描述不正確的是。A.在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”B.系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組C.用戶和組的關(guān)系可以是多對一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多 個(gè)組*D. root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)

22、境安全 必不可少的工作，某管理員對即將上線的 Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安 全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全 ？整理分享完美WORD格式A.操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B.為了方便進(jìn)行數(shù)據(jù)備份，安裝 Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C,所有 數(shù)據(jù)和操作系統(tǒng)都存放在C盤&C.操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D.將默認(rèn)的管理員賬號(hào)Administrator 改名，降低口令暴力破解攻擊的發(fā)生可 能.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活？A.粒度越小&B.約束越細(xì)致C.范圍越大D.約束范圍大37.

23、下列哪一些對信息安全漏洞的描述是錯(cuò)誤的 ？A.漏洞是存在于信息系統(tǒng)的某種缺陷。B.漏洞存在于一定的環(huán)境中，寄生在一定的客體上 （如TOE中、過程中等）。C.具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者 利用，從而給信息系統(tǒng)安全帶來威脅和損失。D.漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn) &38 .賬號(hào)鎖定策略中對超過一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對抗以下哪 種攻擊？A .分布式拒絕服務(wù)攻擊（DDoS）B.病毒傳染整理分享完美WORD格式C. 口令暴力破解&D.緩沖區(qū)溢出攻擊39.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進(jìn)行封裝，TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序

24、是：A .傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層 &C.互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D.互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層40.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一 ？A. ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議B.為提高效率，ARP信息在系統(tǒng)中會(huì)緩存C. ARP緩存是動(dòng)態(tài)的，可被改寫D.ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議41 .張三將微信個(gè)人頭像換成微信群中某好友頭像， 并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊？A. 口令攻擊B.暴力破解C.拒絕服務(wù)攻擊D.社會(huì)工程學(xué)攻擊&42.關(guān)于軟件安全開發(fā)生命周期(SDL

25、),下面說法錯(cuò)誤的是：A.在軟件開發(fā)的各個(gè)周期都要考慮安全因素B.軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段整理分享完美WORD格式C.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本&D.在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本43.在軟件保障成熟度模型(Software Assurance Maturity ldode , SAMM)中, 規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能：A.治理，主要是管理軟件開發(fā)的過程和活動(dòng)B.構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)C.驗(yàn)證，主要是

26、測試和驗(yàn)證軟件的過程與活動(dòng)D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)&部署44.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯(cuò)誤的是：A.系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指 南。B.系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信 任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方 法，是一種使用面向開發(fā)的方法。&D.系統(tǒng)安全工程能力成熟度模型(SSE-CMM

27、)是在原有能力成熟度模型(CMM) 的基礎(chǔ)上，通過對安全工作過程進(jìn)行管理的途徑， 將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完 好定義的、成熟的、可測量的先進(jìn)學(xué)科。45 .小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望整理分享完美WORD格式謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識(shí)，小王的主要觀點(diǎn)包括：（1）背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)驗(yàn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；（2）背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果；（3）背景建立包

28、括：風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、 信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃 書、信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)告、信息系統(tǒng)的安全要求報(bào)告。請問小王的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：A.第一個(gè)觀點(diǎn)，背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象B.第二個(gè)觀點(diǎn)，背景建立的依據(jù)是國家、地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī) 和標(biāo)準(zhǔn)C.第三個(gè)觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不 同名字&D.第四個(gè)觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書46.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實(shí)施（BasePractices ,

29、 BP）,正確的理解是：A. BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B.大部分BP是沒有經(jīng)過測試的一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段&一項(xiàng)BP可以和其他BP有重疊47.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的？整理分享完美WORD格式A.是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險(xiǎn)B.是否可以抵抗大部分風(fēng)險(xiǎn)C.是否建立了具有自適應(yīng)能力的信息安全模型D.是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi) &48.以下關(guān)于信息安全法治建設(shè)的意義，說法錯(cuò)誤的是：A .信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B.明確違反信息安全的行為，并對該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯 罪活

30、動(dòng)C.信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源 &D.信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系49 .小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受 某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬，災(zāi)害將導(dǎo)致資產(chǎn) 總價(jià)值損失二成四（24%）,歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三 次，請問小張最后得到的年度預(yù)期損失為多少：24 萬0. 09 萬37. 5 萬D.9 萬&50. 2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義 上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。 以下關(guān)于電子簽名說法

31、錯(cuò)誤的是：整理分享完美WORD格式A.電子簽名一一是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表 明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B.電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書C.電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服 務(wù).風(fēng)險(xiǎn)管理的監(jiān)控與審查不包含：A.過程質(zhì)量管理B,成本效益管理&C .跟蹤系統(tǒng)自身或所處環(huán)境的變化D.協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng).信息安全等級保護(hù)分級要求，第三級適用正確的是：A,適用于一般的信息和信息系統(tǒng)，具受到破壞后，會(huì)對公民、法人和其他組織 的權(quán)益有一定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B.適用于一定程度

32、上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信 息和信息系統(tǒng)，具受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益 造成一定損害&C.適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)， 其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害 D,適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系 統(tǒng)的核心子系統(tǒng)。具受到破壞后，會(huì)對國家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利 益造成特別嚴(yán)重?fù)p害.下面哪一項(xiàng)安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動(dòng)的：整理分享完美WORD格式A.設(shè)置網(wǎng)絡(luò)連接時(shí)限&B .記錄并分析系統(tǒng)錯(cuò)誤日志C.記錄并分析用戶和

33、管理員操作日志D.啟用時(shí)鐘同步.有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：A.嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論是否產(chǎn)生泄密實(shí)際后果，都要依法追 究責(zé)任&B.非法獲取國家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C.過失泄露國家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D .承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和/或其他處分.以下對于信息安全事件理解錯(cuò)誤的是：A .信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會(huì)造成負(fù)面影響的事件B.對信息安全事件進(jìn)行有效管理和響應(yīng)， 最小化事件所造成的損失和負(fù)面影響, 是組織信息安全戰(zhàn)略的一部分C

34、.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D.通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保 護(hù)，杜絕信息安全事件的發(fā)生&.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A.是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ埽蟾嗟拈_銷B,是必須的，可以為預(yù)防控制的功效提供檢測 &C,是可選的，可以實(shí)現(xiàn)深度防御整理分享完美WORD格式D.在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制的功能已經(jīng)足夠.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤的是：A.立足國情，以我為主，堅(jiān)持技術(shù)與管理并重B.正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)

35、展中求安全C.統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D.全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全&58.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則 ？A.風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過 程之中B.風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的 持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對性會(huì)更強(qiáng)，實(shí)施成本會(huì) 相對較低&D.在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力59.信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T 20984-2007中關(guān)于信息系 統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估描述不正確的是：A.規(guī)劃階段

36、風(fēng)險(xiǎn)評估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B.設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性， 提出安全功能需求C.實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過整理分享完美WORD格式程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D.運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是：A.資產(chǎn)識(shí)別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu) &B.應(yīng)針對構(gòu)

37、成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C.脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅.以下哪些是需要在信息安全策略中進(jìn)行描述的：A.組織信息系統(tǒng)安全架構(gòu)B.信息安全工作的基本原則&C、組織信息安全技術(shù)參數(shù)D、組織信息安全實(shí)施手段62.根據(jù)關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見的規(guī)定，錯(cuò)誤的是：A.信息安全風(fēng)險(xiǎn)評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充B.信息安全風(fēng)險(xiǎn)評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C .信息安全風(fēng)險(xiǎn)評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系

38、統(tǒng)建設(shè)運(yùn)行的全過程整理分享完美WORD格式D.開展信息安全風(fēng)險(xiǎn)評估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的組織領(lǐng)導(dǎo)&63. RPC系列標(biāo)準(zhǔn)是由（）發(fā)布的：A.國際標(biāo)準(zhǔn)化組織（ISO）B.國際電工委員會(huì)（IEC）C.國際貿(mào)易中心（ITC）D.互聯(lián)網(wǎng)工程任務(wù)組IETF&.對于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn) ？ISO/IEC 15408802. 11GB/T 20984X.509&.下面的角色對應(yīng)的信息安全職責(zé)不合理的是：A.高級管理層一一最終責(zé)任B.信息安全部門主管一一提供各種信息安全工作必須的資源C.系統(tǒng)的普通使用者一一遵守日常操作規(guī)范D.審計(jì)人員一一檢查安全策略是否被遵從. CC標(biāo)準(zhǔn)是目前系統(tǒng)安全

39、認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？A.結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展B.表達(dá)方式的通用性，即給出通用的表達(dá)方式C .獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離整理分享完美WORD格式D.實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估 過程中&67.自2004年1月起，國內(nèi)各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)， 必須經(jīng)由以下哪個(gè)組織提出工作意見，協(xié)調(diào)一致后由該組織申報(bào)。A.全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)B.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)&C.中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)D

40、,網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì).風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：風(fēng)險(xiǎn)值=R (A, T, V)=R(L(T, V), F(Ia , Va)以下關(guān)于上式各項(xiàng)說明錯(cuò)誤的是：R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性F表示安全事件發(fā)生后造成的損失Ia, Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對應(yīng)資產(chǎn)(應(yīng)為脆弱性) 的嚴(yán)重程度&.為了不斷完善一個(gè)組織的信息安全管理，應(yīng)對組織的信息安全管理方法及實(shí) 施情況進(jìn)行獨(dú)立評審，這種獨(dú)立評審。A.必須按固定的時(shí)間問隔來進(jìn)行B.應(yīng)當(dāng)由信息系統(tǒng)的運(yùn)行維護(hù)人員發(fā)起C.可以由內(nèi)部審核部門或?qū)I(yè)的

41、第三方機(jī)構(gòu)來實(shí)施 &D.結(jié)束后，評審者應(yīng)組織針對不符合安全策略的問題設(shè)計(jì)和實(shí)施糾正措施整理分享完美WORD格式70.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被溢用時(shí)是不推薦使用的方法：A,禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I/O設(shè)備B.對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C,將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D.用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件 &71.在進(jìn)行應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的：A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C.在測試完成后立即清除測試系統(tǒng)中的所有

42、敏感數(shù)據(jù)D.部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用72.為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)不是日志必需具備的特征。A.統(tǒng)一而精確地的時(shí)間B.全面覆蓋系統(tǒng)資產(chǎn)C.包括訪問源、訪問目標(biāo)和訪問活動(dòng)等重要信息D.可以讓系統(tǒng)的所有用戶方便的讀取&73.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯(cuò)誤的是：A.應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤6個(gè)階段&C.對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響整理分享完美WORD格式三方面因素D.根據(jù)信息安全事件的

43、分級參考要素，可將信息安全事件劃分為4個(gè)級別：特別重大事件（I級）、重大事件（II級）、較大事件（田級）和一般事件（IV級）74.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：A.監(jiān)理咨詢支撐要素B.控制和管理手段C.監(jiān)理咨詢階段過程D.監(jiān)理組織安全實(shí)施&75.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A .增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件&B.依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為 7個(gè)等級C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D .如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系

44、統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司為承建單位，并選擇了 H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請，監(jiān)理公司需要對 A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開發(fā)類文檔：A.項(xiàng)目計(jì)劃書B.質(zhì)量控制計(jì)劃整理分享完美WORD格式C.評審報(bào)告D.需求說明書&.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi) 容：A.審核實(shí)施投資計(jì)劃&B.審核實(shí)施進(jìn)度計(jì)劃C.審核工程實(shí)施人員D.企業(yè)資質(zhì).以下關(guān)于直接附加存儲(chǔ)(Direct Attached Storage, DAS)說法錯(cuò)誤的是：DAS能夠在服

45、務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ).是一種常 用的數(shù)據(jù)存儲(chǔ)方法&DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單DAS的缺點(diǎn)在于對服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取D.較網(wǎng)絡(luò)附加存儲(chǔ)(Network Attached Storage, NAS), DAS節(jié)省硬盤空間,數(shù)據(jù)非常集中，便于對數(shù)據(jù)進(jìn)行管理和備份.某公司在執(zhí)行災(zāi)難恢復(fù)測試時(shí).信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服 務(wù)器的運(yùn)行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A.災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告B.災(zāi)難恢復(fù)測試計(jì)劃C.災(zāi)難恢復(fù)計(jì)劃(DRP)D.主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文

46、件整理分享完美WORD格式80.以下對異地備份中心的理解最準(zhǔn)確的是：A.與生產(chǎn)中心不在同一城市B.與生產(chǎn)中心距離100公里以上C.與生產(chǎn)中心距離200公里以上D.與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險(xiǎn)的機(jī)率很小&81 .作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIa)時(shí)的步驟是:.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程.開發(fā)恢復(fù)優(yōu)先級.標(biāo)識(shí)關(guān)鍵的IT資源.表示中斷影響和允許的中斷時(shí)間A. 1 -3-4-2D . 1 一 4 一 3 一 2&.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSZ-CMM),錯(cuò)誤的理解是：SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集 成商和咨詢服務(wù)商等SSE-CMM可以使

47、安全工程成為一個(gè)確定的、成熟的和可度量的科目C.基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分 別規(guī)劃實(shí)施&D.SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)整理分享完美WORD格式.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A .信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù) 和廢棄等生命周期密切相關(guān)B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C.信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障D.信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí) 現(xiàn)其業(yè)務(wù)使命.在

48、使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個(gè)組織的安全工程能 力成熟度進(jìn)行測量時(shí)，正確的理解是：A.測量單位是基本實(shí)施(Base Practices , BP)B.測量單位是通用實(shí)施(Generic Practices , GP)&C .測量單位是過程區(qū)域(Process Areas , PA)D.測量單位是公共特征(Common Features , CF)85.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：A.國家標(biāo)準(zhǔn)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型(GB/T20274. 1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心B.模型中的信息系統(tǒng)生命周

49、期模型是抽象的概念性說明模型，在信息系統(tǒng)安全 保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化C .信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的 安全D .信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對 信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入&整理分享完美WORD格式86.信息系統(tǒng)安全工程（ISSE珀一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮 安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A.明確業(yè)務(wù)對信息安全的要求B.識(shí)別來自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全

50、要求 &87.關(guān)于信息安全保障技術(shù)框架（IATF）,以下說法不正確的是：A.分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級保障解決方案以便降低信息安全保障的成本B. IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使 攻破一層也無法破壞整個(gè)信息基礎(chǔ)設(shè)施C.允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案，確保系統(tǒng)安全 性D. IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制&88.以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正 確描述？A.應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評估，從信息系統(tǒng)建設(shè)的開 始就綜合信息系統(tǒng)安全保

51、障的考慮&B.應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進(jìn)的安全 解決方案和技術(shù)產(chǎn)品C.應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)整理分享完美WORD格式范并切實(shí)落實(shí)D.應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容89 .信息安全工程監(jiān)理的職責(zé)包括：A.質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)&B.質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C.確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D.確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢和協(xié)調(diào).關(guān)于信息安全保障的概念，下面說法錯(cuò)誤的是：A .信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變

52、化的，信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理 念B.信息安全保障已從單純的保護(hù)和防御階段發(fā)展為集保護(hù)、檢測和響應(yīng)為一體 的綜合階段C.在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來保障信息安全&D .信息安全保障把信息安全從技術(shù)擴(kuò)展到管理，通過技術(shù)、管理和工程等措施 的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務(wù)使命的保障.關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是 ？A .成本只要不超過預(yù)計(jì)的收益即可B.成本應(yīng)控制得越低越好C.成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開銷D,成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成&.有關(guān)危害國家秘密安全的行為，包括：A.嚴(yán)重違反保密規(guī)定行為、定密

53、不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行整理分享完美WORD格式保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B.嚴(yán)重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為C.嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為D.嚴(yán)重違反保密規(guī)定行為、定密不當(dāng)行為、公共信息網(wǎng)絡(luò)運(yùn)營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為.下列關(guān)于ISO15408信息技術(shù)安全評估準(zhǔn)則（簡稱CC）通用性的特點(diǎn)，即給 出通用的

54、表達(dá)方式，描述不正確的是 OA .如果用戶、開發(fā)者、評估者和認(rèn)可者都使用 CC語言，互相就容易理解溝通B,通用性的特點(diǎn)對規(guī)范實(shí)用方案的編寫和安全測試評估都具有重要意義C.通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢下，進(jìn)行合格評定和評估結(jié)果國際互認(rèn)的需要D.通用性的特點(diǎn)使得CC也適用于對信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評估.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的運(yùn)營使用單位應(yīng)當(dāng)選擇符合國家規(guī) 定的測評機(jī)構(gòu)進(jìn)行測評合格后方可投入使用。A,二級以上B.三級以上&C.四級以上D.五級以上95.有關(guān)國家秘密，錯(cuò)誤的是：A.國家秘密是關(guān)系國家安全和利益的事項(xiàng)整理分享完美WORD格式B.國家秘密的確

55、定沒有正式的法定程序 &C.除了明確規(guī)定需要長期保密的，其他的國家秘密都是有保密期限的D.國家秘密只限一定范圍的人知悉96.在可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的 最低級別？ A. C2C1B2B1&.對涉密系統(tǒng)進(jìn)行安全保密測評應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)？BMB20-2007涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范BMB22-2007涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南&GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T20271-2006信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求. ISO/IBC27001信息技術(shù)安全技術(shù)信息安全管理體系要求

56、的內(nèi)容是基 于。A. BS7799-1信息安全實(shí)施細(xì)則B.BS7799-2信息安全管理體系規(guī)范C .信息技術(shù)安全評估準(zhǔn)則（簡稱ITSEC）D.信息技術(shù)安全評估通用標(biāo)準(zhǔn)（簡稱CC）99.在GB/T 18336信息技術(shù)安全性評估準(zhǔn)則中，有關(guān)保護(hù)輪廓（ProtectionProfile, PP）和安全目標(biāo)（SecurityTarget , ST）,錯(cuò)誤的是：整理分享完美WORD格式PP是描述一類產(chǎn)品或系統(tǒng)的安全要求PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C.兩份不同的ST不可能滿足同一份PP的要求D. ST與具體的實(shí)現(xiàn)有關(guān).以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一

57、 ？A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率&B .保證信息安全資金投入C.加快信息安全人才培養(yǎng)D.重視信息安全應(yīng)急處理工作.最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則， 作為評審專家，請指出是哪一個(gè)？A.軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody 用戶運(yùn)行實(shí)例B.軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫備份操作員賬號(hào)連接數(shù)據(jù)庫C.軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫，該賬號(hào)僅對日志表擁有權(quán)限D(zhuǎn).為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定

58、運(yùn)行權(quán)限為system ,確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤 &102.某單位計(jì)劃在今年開發(fā)一套辦公自動(dòng)化（OA）系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)整理分享完美WORD格式通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在 OA系統(tǒng)的設(shè)計(jì)方案評審會(huì)上，提出了不少安全 開發(fā)的建議，作為安全專家，請指出大家提的建議中不太合適的一條？A,對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B.要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知 識(shí)C.要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏 洞&D.要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計(jì)，各模

59、塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對輸入數(shù)據(jù)進(jìn)行校驗(yàn)103.某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對于軟件開發(fā)安全投入 經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投 入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低； 信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟 件開發(fā)安全投入的準(zhǔn)確說法？A .信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低&B.軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排 人員進(jìn)行代碼修訂更簡單，因此費(fèi)用

60、更低C.雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低整理分享完美WORD格式D.雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同104.某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施？A.由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析B.為配合總部的安全策略，會(huì)帶來一定的安全問題，但不影