注冊信息安全工程師復習測試卷含答案（一）

第頁注冊信息安全工程師復習測試卷含答案1.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并嚴格編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（）A、信息安全需求是安全方案設(shè)計和安全措施實施的依據(jù)B、信息安全需求應(yīng)當是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當基于信息安全風險評估結(jié)果，業(yè)務(wù)需求和有關(guān)政策法規(guī)和標準的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案【正確答案】：D解析：

先有需求，再有功能設(shè)計方案2.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的操作習慣（）A、使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)【正確答案】：A解析：

應(yīng)確保所使用的系統(tǒng)軟件和應(yīng)用軟件都安裝了最新的補丁3.小牛在對某公司的信息系統(tǒng)進行風險評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理該風險。請問這種風險處置的方法是？A、降低風險B、規(guī)避風險C、轉(zhuǎn)移風險D、放棄風險【正確答案】：B解析：

教材P143，放棄屬于風險規(guī)避4.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基礎(chǔ)。某單位的實施風險評估時，形成了《風險評估方案》應(yīng)是如下（）中的輸出結(jié)果。A、風險評估準備階段B、風險要素識別階段C、風險分析階段D、風險結(jié)果判定階段【正確答案】：A解析：

教材P260，風險評估各階段的輸出文檔，見上圖。5.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號），對等級保護工作的開展提供宏觀指導和約束。明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關(guān)于該文件，下面理解正確的是？A、該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D、該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位【正確答案】：A解析：

教材P616.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，指出了風險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項中描述錯誤的是？A、自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估B、檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風險評估C、信息安全風險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充D、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并堅持使用【正確答案】：D解析：

自評估和檢查評估不是互斥的7.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：（）A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

模糊測試：通過提供非預期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，強制軟件程序使用畸形數(shù)據(jù)，并觀察軟件運行情況的一種測試方法。8.《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》中辦發(fā){2003}27號明確了我國信息安全保障工作的（

）、加強信息安全保障工作的（

）、需要重點加強的信息安全保障工作。27號文的重大意義是，它標志著我國信息安全保障工作有了（

）、我國最近十余年的信息安全保障工作都是圍繞此政策性文件來（

）的、促進了我國（

）的各項工作。A、方針；主要原則；總體綱領(lǐng)；展開和推進；信息安全保障建設(shè)B、總體要求；總體綱領(lǐng)；主要原則；展開；信息安全保障建設(shè)C、方針和總體要求；主要原則；總體綱領(lǐng)；展開和推進；信息安全保障建設(shè)D、總體要求；主要原則；總體綱領(lǐng)；展開；信息安全保障建設(shè)【正確答案】：D解析：

教材P16

語文填空9.風險評估工具的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風險評估過程中的主要任務(wù)和作用原理，風險評估工具可以為以下幾類，其中錯誤的是：A、風險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風險評估工具C、風險評估輔助工具D、環(huán)境風險評估工具【正確答案】：D解析：

教材P228，風險評估工具的類型：

1.風險評估與管理工具

2.系統(tǒng)基礎(chǔ)平臺風險評估工具

3.風險評估輔助工具10.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C解析：

教材P306，DAC-自主訪問控制是一種對單個用戶執(zhí)行訪問控制的過程和措施

11.關(guān)于信息安全管理，下面理解片面的是（

）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務(wù)目標的重要保障B、信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，即有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅持管理與技術(shù)并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C解析：

教材P83，技術(shù)與管理的關(guān)系12.以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A、應(yīng)基于法律法規(guī)和用戶需求，進行需求分析和風險評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術(shù)產(chǎn)品C、應(yīng)在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實落實D、應(yīng)詳細規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容【正確答案】：A解析：

排除法，選面Ａ描述的是概念與需求階段的工作內(nèi)容13.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srL.confC、access.confD、inetd.conf【正確答案】：A解析：

Apache服務(wù)的配置文件httpd.conf14.關(guān)于業(yè)務(wù)連續(xù)性（BCP）以下說法最恰當?shù)氖牵篈、組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風險而建立的一個控制過程B、組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風險而建立的一個控制過程C、組織為避免所有業(yè)務(wù)功能因各種事件而中斷，減少業(yè)務(wù)風險而建立的一個控制過程D、組織為避免信息系統(tǒng)功能因各種事件而中斷，減少信息系統(tǒng)風險而建立的一個控制過程【正確答案】：B解析：

教材P135，BCP是為了保護關(guān)鍵業(yè)務(wù)功能。15.文檔體系建設(shè)是信息安全管理體系（ISMS）建設(shè)的直接體現(xiàn)，下列說法不正確的是：A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件，信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制C、組織在每份文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期，編寫人，審批人，主要修訂等內(nèi)容D、層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當依據(jù)風險評估的結(jié)果建立【正確答案】：B解析：

教材P101，應(yīng)保留過程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄16.《信息安全技術(shù)信息安全風險評估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是：A、規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證D、運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面【正確答案】：D解析：

《信息安全技術(shù)信息安全風險評估規(guī)范GB／T20984-2007》

1.規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。

2.設(shè)計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。

3.實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證。

4.運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。17.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的？A、小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自教給李強就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導申請升級郵件服務(wù)軟件【正確答案】：C解析：

典型的社工攻擊18.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進行，即信息安全管理體系應(yīng)包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應(yīng)實施若干活動。請選出以下描述錯誤的選項？A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容【正確答案】：D解析：

教材P96，“實施內(nèi)部審核”屬于監(jiān)視和評審階段19.關(guān)于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處【正確答案】：D解析：

教材P415，A\C明顯錯誤

選項B：非預期的輸入是模糊測試20.為達到預期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯誤的是？A、隱藏惡意代碼進程，即將惡意代碼進程隱藏起來，或者改名和使用系統(tǒng)進程名，以更好的躲避檢測，迷惑用戶和安全檢測人員B、隱藏惡意代碼的網(wǎng)絡(luò)行為，復用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控C、隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進制代碼，以躲避用戶和安全檢測人員D、隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除【正確答案】：C解析：

隱藏通常包括本地隱藏和通信隱藏。其中本地隱藏有文件隱藏、進程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。網(wǎng)絡(luò)隱藏主要包括通信內(nèi)部隱藏和傳輸通道隱藏。21.有關(guān)項目管理，錯誤的理解是：A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用【正確答案】：B解析：

項目管理的三重約束：時間+成本+質(zhì)量22.某次對某系統(tǒng)進行安全測試時，李工發(fā)現(xiàn)一個URL“http：///downloaD.jsp?path=uploads/test.jpg”，你覺得此URL最有可能存在什么漏洞（）A、任意文件下載漏洞B、SQL注入漏洞C、未驗證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】：A解析：

URL中有download和path，顯然屬于文件下載漏洞23.《信息安全保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）是由下面哪個國家發(fā)布的？A、中國B、美國C、俄羅斯D、歐盟【正確答案】：B解析：

教材P15，IATF模型由美國發(fā)布24.以下對異地備份中心的理解最準確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風險的機率很小【正確答案】：D解析：

教材P169，一般選址原則：避免災(zāi)難備份中心與生產(chǎn)中心同時遭受同類風險。25.以下哪些是需要在信息安全策略中進行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實施手段【正確答案】：B解析：

教材P103，Policy方針、策略－確定信息安全工作的總體目標和基本原則26.層次化的文檔是信息安全管理體系（簡稱ISMS）建設(shè)的直接體現(xiàn)，也是ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔機構(gòu)，那么以下選項（）應(yīng)放入到一級文件中。A、《風險評估報告》B、《人力資源安全管理規(guī)定》C、《ISMS內(nèi)部審核計劃》D、《單位信息安全方針》【正確答案】：D解析：

教材P99，信息安全方針屬于一級文件27.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPsec）協(xié)議說法錯誤的是？A、在傳送模式中，保護的是IP負載B、驗證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D、IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性【正確答案】：D解析：

教材P338，IPSec是一組基于密碼學的安全的開放網(wǎng)絡(luò)安全協(xié)議，工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認證、機密性防護、有限的數(shù)據(jù)流機密性保護以及抗重放攻擊等安全服務(wù)。

28.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選項最合適的是：A、通用布纜系統(tǒng)工程B、電子設(shè)備機房系統(tǒng)工程C、計算機網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用【正確答案】：D解析：

信息化工程中廣泛采用工程監(jiān)理制度29.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？A、實體“所知”以及實體“所有”的鑒別方法B、實體“所有”以及實體“特征”的鑒別方法C、實體“所知”以及實體“特征”的鑒別方法D、實體“所有”以及實體“行為”的鑒別方法【正確答案】：A解析：

教材P294，智能卡-所有；短信-所知30.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在符合性方面實施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪些控制目標？A、符合法律要求B、符合安全策略和標準以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務(wù)要求、用戶訪問管理【正確答案】：D解析：

教材P127-128，符合性包括兩個方面：符合法律和合同規(guī)定、信息安全審查31.下面的角色對應(yīng)的信息安全職責不合理的是：A、高級管理層——最終責任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無法提供各種信息安全工作必須的資源32.根據(jù)《信息安全等級保護管理辦法》、《關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護（

）建設(shè)和開展（

）工作的通知（公信安[2010]303號）等文件，由公安部（

）對等級保護測評機構(gòu)管理，接受測評機構(gòu)的申請、考核和定期（

）。對不具備能力的測評機構(gòu)（

）。A、等級測評；測評體系；等級保護評估中心；能力驗證；取消授權(quán)B、測評體系；等級保護評估中心；等級測評；能力驗證；取消授權(quán)C、測評體系；等級測評；等級保護評估中心；能力驗證；取消授權(quán)D、測評體系；等級保護評估中心；能力驗證；等級測評；取消授權(quán)【正確答案】：C解析：

根據(jù)《信息安全等級保護管理辦法》、《關(guān)于開展信息安全等級保護測評體系建設(shè)試點工作的通知》（公信安[20091812號）、關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安[2010]303號）等文件，由公安部等級保護評估中心對等級保護測評機構(gòu)管理，接受測評機構(gòu)的申請、考核和定期能力驗證。對不具備能力的測評機構(gòu)取消授權(quán)。33.根據(jù)信息安全風險要素之間的關(guān)系，下圖中空白處應(yīng)該填寫（）A、資產(chǎn)B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

教材P245，風險評估要素關(guān)系34.在某信息系統(tǒng)的設(shè)計中，用戶登錄過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);(2)用戶在登錄頁面輸入用戶名和口令；(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正確性,如果正確，則鑒別完成?？梢钥闯觯@個鑒別過程屬于？A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別【正確答案】：A解析：

只是服務(wù)器鑒別客戶端-單向鑒別

35.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是：A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務(wù)提供者共有【正確答案】：D解析：

《中華人民共和國電子簽名法》

第十三條電子簽名同時符合下列條件的，視為可靠的電子簽名：

（一）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

（二）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

（三）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

（四）簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。

當事人也可以選擇使用符合其約定的可靠條件的電子簽名。36.關(guān)于Linux下的用戶和組，以下描述不正確的是？A、在Linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限【正確答案】：C解析：

一個用戶可以屬于多個組37.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是？A國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入【正確答案】：D解析：

選項Ｄ中的描述“單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入”有誤38.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則？A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合【正確答案】：B解析：

教材P169，《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》--做好重要信息系統(tǒng)災(zāi)難備份工作的基本原則重要信息系統(tǒng)災(zāi)難備份建設(shè)工作要堅持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的原則，充分調(diào)動和發(fā)揮各方面的積極性，提高抵御災(zāi)難破壞能力和災(zāi)難恢復能力。39.下面對國家秘密定級和范圍的描述中，哪項不符合《保守國家秘密法》要求？A、國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān)規(guī)定B、各級國家機關(guān)、單位對所產(chǎn)生的國家秘密事項，應(yīng)當按照國家秘密及其密級具體范圍的規(guī)定確定密級C、對是否屬于國家機密和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門確定D、對是否屬于國家秘密和屬于何種密級不明確的事項。由國家保密工作部門，省、自治區(qū)、直轄市的保密工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準的較大的市的保密工作部門或者國家保密工作部門審定的機關(guān)確定?！菊_答案】：C解析：

選項C中的描述“由各單位自行參考國家要求確定和定級”，有誤。

選項A--《保密法》第十一條；選項B--《保密法》第十四條；選項D--《保密法》第二十條40.Linux系統(tǒng)文件中訪問權(quán)限屬性通過9個字符來表示，分別表示文件屬主、文件所屬組用戶和其他用戶對文件的讀（r）、寫（w）及執(zhí)行（x）的權(quán)限。文件usr/bin/passwd的屬性信息如下圖所示，在文件權(quán)限中還出現(xiàn)了一位s，下列選項中對這一位s的理解正確的是？A、文件權(quán)限出現(xiàn)了錯誤，出現(xiàn)s的位應(yīng)該改為xB、s表示sticky位，設(shè)置sticky位后，就算用戶對目錄具有寫權(quán)限，也不能刪除該文件C、s表示SGID位，文件在執(zhí)行階段具有文件所在組的權(quán)限D(zhuǎn)、s表示SUID位，文件在執(zhí)行階段具有文件所有者的權(quán)限【正確答案】：D解析：

setuid：設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限，相當于臨時擁有文件所有者的身份41.操作系統(tǒng)用于管理計算機資源，控制整個系統(tǒng)運行，是計算機軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計算機，開機后首先對自帶的Windows操作系統(tǒng)進行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補?。唬?）關(guān)閉審核策略，開啟口令策略，開啟賬號策略。這些操作中錯誤的是？A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略C、操作（3），備份敏感文件會導致這些文件遭到竊取的幾率增加D、操作（4），應(yīng)該開啟審核策略【正確答案】：D解析：

審核策略應(yīng)該開啟以實現(xiàn)跟蹤和監(jiān)控

操作系統(tǒng)安全配置主要包括：操作系統(tǒng)安全策略、開啟賬戶策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟賬戶策略、備份敏感文件、不顯示上次登錄名、禁止建立空鏈接和下載最新補丁。

42.Windows系統(tǒng)中，安全標識符（SID）是標識用戶、組和計算機賬戶的唯一編碼，在操作系統(tǒng)內(nèi)部使用。當授予用戶、組、服務(wù)或者其他安全主體訪問對象的權(quán)限時，操作系統(tǒng)會把SID和權(quán)限寫入對象的ACL中，小劉在學習了SID的組成后，為了鞏固所學知識，在自己計算機的Windows操作系統(tǒng)中使用whoami/user操作查看當前用戶的SID。得到的SID為S-1-5-21-1534169462-1651380828-111620651-500，下列選項中，關(guān)于此SID的理解錯誤的是？A、前三位S-1-5表示此SID是由WindowsNT頒發(fā)的B、第一個子頒發(fā)機構(gòu)是21C、WindowsNT的SID的三個子頒發(fā)機構(gòu)是1534169462、1651380828、111620651D、此SID以500結(jié)尾，表示內(nèi)置guest賬戶【正確答案】：D解析：

教材P357，SID的內(nèi)容包括：用戶和組的安全描述；48-bit的身份特權(quán)；修訂版本；可變的驗證值。SID尾數(shù)值500：內(nèi)置管理員賬號

43.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性？A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保戶輪廓”和“安全目標”中進一步細化和擴展B、表達方式的通用性，即給出通用的表達表示C、獨立性，它強調(diào)將安全的功能和保證分離D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中【正確答案】：C解析：

教材P233，CC沒有強調(diào)獨立性44.某Linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s-x-x1roottest10704Apr152002/home/test/sh請問以下描述哪個是正確的：A、該文件是一個正常文件，是test用戶使用的shell，test不能讀該文件，只能執(zhí)行B、該文件是一個正常文件，是test用戶使用的shell，但test用戶無權(quán)執(zhí)行該文件C、該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root，test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個后門程序，可由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test【正確答案】：C解析：

－s：SUID位，即可以執(zhí)行，又設(shè)置了SUID位45.某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個價值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計時出于性能考慮，在瀏覽時使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改。利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗證的環(huán)節(jié)，導致以上問題。對于網(wǎng)站的這個問題原因分析及解決措施，最正確的說法應(yīng)該是？A、該問題的產(chǎn)生是由于使用了不安全的協(xié)議導致的，為了避免再發(fā)生類似的問題，應(yīng)對全網(wǎng)站進行安全改造，所有的訪問都強制要求使用httpsB、該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施C、該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進行修改，在進行訂單付款時進行商品價格驗證就可以解決D、該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報警要求尋求警察介入，嚴懲攻擊者即可【正確答案】：C解析：

如題所述攻擊者修改了網(wǎng)站上商品的價格完成交易，屬于編碼缺陷46.某項目的主要內(nèi)容為建造A類機房，監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機房設(shè)計規(guī)范》（GB50174-2008）的相關(guān)要求，對承建單位的施工設(shè)計方案進行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯誤的是：A、在異地建立備份機房時，設(shè)計時應(yīng)與主用機房等級相同B、由于高端小型機發(fā)熱量大，因此采用活動地板上送風，下回風的方式C、因機房屬于A級主機房，因此設(shè)計方案中應(yīng)考慮配備柴油發(fā)電機，當市電發(fā)生故障時，所配備的柴油發(fā)電機應(yīng)能承擔全部負荷的需要D、A級主機房應(yīng)設(shè)置潔凈氣體滅火系統(tǒng)【正確答案】：B解析：

《電子信息系統(tǒng)機房設(shè)計規(guī)范》(GB50174-2008)

送風方式有三種：下送上回，上送上回，側(cè)送側(cè)回；（沒有下回風）47.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度（Defects/KLOC）來衡量軟件的安全性，假設(shè)某個軟件共有29.6萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是？A、0.00049B、0.049C、0.49D、49【正確答案】：C解析：

軟件缺陷密度使用千行代碼缺陷率來衡量，（145/296000）*1000=0.4948.私有IP地址是一段保留的IP地址。只使用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是（

）。A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址C、A類、B類和C類地址中都可以設(shè)置私有地址D、A類、B類和C類地址中都沒有私有地址【正確答案】：C解析：

私有IP地址：

A類：10.*.*.*/8

B類：172.16.*.*~172.31.*.*/16

C類：192.168.*.*/16

49.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于？A、BS7799-1《信息安全實施細則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準則（簡稱ITSEC）D、信息技術(shù)安全評估通用標準（簡稱CC）【正確答案】：B解析：

信息安全管理體系是按照ISO/IEC27001標準《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進行建立的，ISO/IEC27001標準是由BS7799-2標準發(fā)展而來。

BS7799-1(ISO/IEC1799:2000)《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則，主要為組織制定其信息安全策略和進行有效的信息安全控制提供了一個大眾化的最佳慣例。

BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。50.主體和客體是訪問控制模型中常用的概念。下面描述種錯誤的是？A、主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關(guān)信息或數(shù)據(jù)B、客體也是一種實體，是操作的對象，是被規(guī)定需要保護的資源C、主體是動作的實施者，比如人、進程或設(shè)備等均是主體，這些對象不能被當作客體使用D、一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨立運行【正確答案】：C解析：

教材P305，主體和客體的關(guān)系是相對的，角色可以互換51.為了能夠合理、有序地處理安全事件，應(yīng)事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低。PDCERF方法論是一種廣泛使用的方法，其將應(yīng)急響應(yīng)分成六個階段，如下圖所示，請為圖中括號空白處選擇合適的內(nèi)容（）。A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D解析：

應(yīng)急響應(yīng)分成準備(Preparation)、檢測(Detection)、抑制(Containment)、根除(Eradication)、恢復(Recovery)、跟蹤(Follow-up)6個階段的工作52.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成功的重要基礎(chǔ)。某單位在實施風險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（

）中的輸出結(jié)果。A、風險評估準備B、風險要素識別C、風險分析D、風險結(jié)果判定【正確答案】：B解析：

教材P260，風險評估各階段的輸出文檔，見上圖。

53.關(guān)于數(shù)據(jù)庫恢復技術(shù)，下列說法不正確的是？A、數(shù)據(jù)庫恢復技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復機制技術(shù)來解決，當數(shù)據(jù)庫中數(shù)據(jù)被破壞時，可以利用冗余數(shù)據(jù)來進行修復B、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分數(shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫恢復中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復中起著非常重要的作用，可以用來進行事物故障恢復和系統(tǒng)故障恢復，并協(xié)助后備副本進行介質(zhì)故障恢復D、計算機系統(tǒng)發(fā)生故障導致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將數(shù)據(jù)庫恢復到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交【正確答案】：D解析：

選項D描述的是“回滾”54.國際標準化組織（InternationalOrganizationforStandardization）對信息安全的定義為？A、保護信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可能性、可控性和不可否認性B、信息安全，有時縮寫為InfoSec,是防止未經(jīng)授權(quán)的訪問、使用、披露、中斷、修改、檢查、記錄或破壞信息的做法。它是一個可以用于任何形式數(shù)據(jù)（例如電子、物理）的通用術(shù)語C、在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力，這些事件和行為將威脅所存儲或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可能性、真實性、完整性和機密性D、為數(shù)據(jù)處理系統(tǒng)建立和采取技術(shù)、管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的惡意的原因而受到破壞、更改、泄露【正確答案】：D解析：

教材P1，ISO對信息安全的定義描述。55.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個應(yīng)用，除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應(yīng)用進行安全整改以解決明文傳輸數(shù)據(jù)的問題，以下哪個應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題？A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

SSH:SecurityShell

Port:22，提供加密通訊，代替telnet的明文通訊

56.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分，不屬于正確劃分級別的是？A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D解析：

教材P146，按重要程度劃分：特別重要、重要、一般。57.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導做決策，以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

教材P422

滲透測試：是一種模擬攻擊者進行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法。58.根據(jù)《關(guān)于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是：A、信息安全風險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風險評估工作應(yīng)加強信息安全風險評估工作的組織領(lǐng)導【正確答案】：A解析：

教材P247，信息安全風險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充59.美國計算機協(xié)會（ACM）宣布將2015年的ACM獎授予給WhitfieldDiffie和Wartfield，下面哪項工作是他們的貢獻（）。A、發(fā)明并第一個使用C語言B、第一個發(fā)表了對稱密碼算法思想C、第一個發(fā)表了非對稱密碼算法思想D、第一個研制出防火墻【正確答案】：C解析：

教材P270，WhitfieldDiffie和MartinHellman在1976年第一個提出公鑰密碼算法，標志著密碼學進入了現(xiàn)代密碼階段。60.以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分？A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實施【正確答案】：D解析：

信息安全工程監(jiān)理的信息安全工程監(jiān)理模型由三部分組成，即

1.咨詢監(jiān)理支撐要素

2.監(jiān)理咨詢階段過程

3.控制管理措施61.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護策略，以下不屬于數(shù)據(jù)庫防護策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補丁B、對存儲的敏感數(shù)據(jù)進行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務(wù)器進行重啟以確保數(shù)據(jù)庫運行良好【正確答案】：D解析：

數(shù)據(jù)庫服務(wù)器不能定期重啟，要時刻ONLINE62.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（）A、軟件安全開發(fā)生命周期較長、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要在組織第三方進行安全性測試【正確答案】：B解析：

軟件安全問題越早解決成本越低63.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是？ACL是Bell-LaPadula模型的一種具體實現(xiàn)B、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單【正確答案】：B解析：

教材P306

選項A：Bell-LaPadula模型應(yīng)用是MAC，ACL屬于DAC模型。

選項C：CL在統(tǒng)計某個主體能訪問哪些客體時比較方便

64.以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法？A、禁用主機的CD驅(qū)動、USB接口等I／O設(shè)備B、對不再使用的硬盤進行嚴格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機粉碎D、用快速格式化刪除存儲介質(zhì)中的保密文件【正確答案】：D解析：

格式化后還可以利用工具恢復數(shù)據(jù)65.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當優(yōu)先考慮的是：A、選購當前技術(shù)最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

聯(lián)動功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。

66.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是？A、資產(chǎn)識別是指對需要保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D解析：

教材P257，確認已有安全措施包括：技術(shù)層面、組織層面和管理層面。67.在提高阿帕奇系統(tǒng)安全性時，下面哪項措施不屬于安全配置內(nèi)容？A、不在Windows下安裝Apache，只在Linus和Unix下安裝B、安裝Apache時，只安裝需要的組件模塊C、不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D、積極了解Apache的安全通告并及時下載和更新【正確答案】：A解析：

Windows下也有Apache版本68.下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B、描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C、向相關(guān)組織和領(lǐng)導人宣貫風險評估準則D、對系統(tǒng)規(guī)劃中安全實現(xiàn)的可能性進行充分分析和論證【正確答案】：C解析：

領(lǐng)導人不必知道風險評估準則69.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：A、權(quán)限分離原則B、最小特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：B解析：

SA是數(shù)據(jù)庫最大用戶權(quán)限，違反了最小特權(quán)原則。70.依據(jù)國家標準/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標（ISST）中，安全保障目的指的是：A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的【正確答案】：D解析：

教材P35，強調(diào)綜合保障的觀念：整體安全＼管理安全＼技術(shù)安全＼工程安全71.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關(guān)于殘余風險描述錯誤的是？A、殘余風險是采取了安全措施后，仍然可能存在的風險：一般來說，是在綜合考慮了安全成本與效益后不去控制的風險B、殘余風險應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C、實施風險處理時，應(yīng)將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果D、信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小殘余風險值作為風險管理效果評估指標【正確答案】：D解析：

“最小殘余風險值”表述有問題72.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

能力表CL表示每個主體可以訪問的客體及權(quán)限73.關(guān)于信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF），下面描述錯誤的是（）A、IATF最初由美國國家安全局（NSA）發(fā)布，后來由國際標準化組織（ISO）轉(zhuǎn)化為國際標準，供各個國家信息系統(tǒng)建設(shè)參考使用B、IATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復雜信息系統(tǒng)進行解構(gòu)和描述，然后再以此框架討論信息系統(tǒng)的安全保護問題C、IATF提出了深度防御的戰(zhàn)略思想，并提供一個框架進行多層保護，以此防范信息系統(tǒng)面臨的各種威脅D、強調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運行維護的信息安全保障問題【正確答案】：A解析：

教材P28，IATF沒有被采納為國際標準74.最小特權(quán)是軟件安全設(shè)計的基本原則，某應(yīng)用程序在設(shè)計時，設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專家，請指出是哪一個？A、軟件在Linux下安裝時，設(shè)定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運行，設(shè)定運行權(quán)限為system，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤【正確答案】：D解析：

system是系統(tǒng)的最高權(quán)限，選項D為軟件運行賦予了過高權(quán)限，違反了最小特權(quán)原則75.由于Internet的安全問題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專家在協(xié)議的不同層次設(shè)計了相應(yīng)的安全通信協(xié)議，用來保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是？A、PP2PB、L2TPC、SSLD、IPSec【正確答案】：C解析：

PPTP、L2TP—數(shù)據(jù)鏈路層；IPSec網(wǎng)絡(luò)層

76.美國的關(guān)鍵信息基礎(chǔ)設(shè)施（CriticalInformationInfrastructure，CII）包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括？A、這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人士缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失【正確答案】：C解析：

A、B、D描述的均為這些行業(yè)對國家安全和國計民生的重要性77.在某個信息系統(tǒng)實施案例中，A單位（甲方）允許B公司（乙方）在甲方的測試中開發(fā)和部署業(yè)務(wù)系統(tǒng)，同時為防范風險，A單位在和B公司簽訂合同中，制定有關(guān)條款，明確了如果由于B公司操作原因引起的設(shè)備損壞，則B公司需按價賠償?？梢钥闯?，該賠償條款應(yīng)用了風險管理中（）的風險處置措施。A、降低風險B、規(guī)避風險C、轉(zhuǎn)移風險D、拒絕風險【正確答案】：C解析：

教材P142，合同屬于風險轉(zhuǎn)移78.以下哪一項不是我國信息安全保障的原則？A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

教材P16，立足國情，以我為主，堅持管理與技術(shù)并重79.關(guān)于我國加強信息安全保障工作的總體要求，以下說法錯誤的是：A、堅持積極防御、綜合防范的方針B、重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個人隱私保護意識【正確答案】：D解析：

教材P16，信息安全保障工作的總體要求：

堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。80.某公司在執(zhí)行災(zāi)難恢復測試時，信息安全專業(yè)人員注意到災(zāi)難恢復站點的服務(wù)器的運行速度緩慢，為了找到根本原因，他應(yīng)該首先檢查？A、災(zāi)難恢復站點的錯誤事件報告B、災(zāi)難恢復測試計劃C、災(zāi)難恢復計劃（DRP）D、主站點和災(zāi)難恢復站點的配置文件【正確答案】：A解析：

找原因查日志81.某集團公司信息安全管理員根據(jù)領(lǐng)導安排制定了下一年度的培訓工作計劃，提出了四大培訓任務(wù)和目標。關(guān)于這四個培訓任務(wù)和目標，作為主管領(lǐng)導，以下選項中正確的是？A、由于網(wǎng)絡(luò)安全上升到國家安全的高度，因此網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團公司下屬公司的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓B、對下級單位的網(wǎng)絡(luò)安全管理崗人員實施全面安全培訓，計劃全員通過CISP持證培訓以確保人員能力得到保障C、對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進行安全基礎(chǔ)培訓，使相關(guān)人員對網(wǎng)絡(luò)安全有所了解D、對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓，實現(xiàn)全員信息安全意識教育【正確答案】：D解析：

選項A、C、D所描述的內(nèi)容在實際中都需要做，但D最優(yōu)，符合題意。

若題目中問題改為“以下選項中不正確的是?”，答案為B。82.信息系統(tǒng)安全保障評估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（

），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（

）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（

），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個（

），因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種（

）的信心。A、安全保障工作：客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B解析：

教材P32-P3383.小王是某大學計算科學與技術(shù)專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術(shù)管理的職位。一次面試中，某公司的技術(shù)經(jīng)理讓小王讀一讀信息安全風險管理中的“背景建立”的基本概念與認識。小明的主要觀點包括：（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規(guī)劃和準備；（2）背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果；（3）背景建立包括：風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的論點中錯誤的是哪項？A、第一個觀點，背景建立的目的只是為了明確信息安全風險管理的范圍和對象B、第二個觀點，背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準C、第三個觀點，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字D、第四個觀點，背景建立的階段性成果中不包括有風險管理計劃書【正確答案】：B解析：

教材P90，背景建立是建立在業(yè)務(wù)需求的基礎(chǔ)上，通過有效的風險評估和國家、地區(qū)、行業(yè)相關(guān)法律法規(guī)及標準的約束下獲得背景依據(jù)。84.二十世紀二十年代，德國發(fā)明家亞瑟謝爾比烏斯（ArthurScherbius）發(fā)明了Enigma密碼機。按密碼學發(fā)展歷史階段劃分，這個階段屬于？A、古典密碼階段。這一階段的密碼專家常常靠直覺和技巧來設(shè)計密碼，而不是憑借推理和證明，常用密碼運算方法包括替代方法和置換方法B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設(shè)備和更進一步曲機電密碼設(shè)備C、現(xiàn)代密碼學的早期發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”（"TheCommunicationTheoryofSecretSystems”）為理論基礎(chǔ)，開始了對密碼學的科學探索D、現(xiàn)代密碼學的近期發(fā)展階段。這一階段以公鑰密碼思想為標志，引發(fā)了密碼學歷史上的革命性怕變革，同時，眾多的密碼算法開始應(yīng)用于非機密單位和商業(yè)場合【正確答案】：A解析：

教材P269，轉(zhuǎn)輪機的出現(xiàn)是古典密碼學發(fā)展成熟的重要標志之一

85.以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對該行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動C、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標準和完善的技術(shù)體系【正確答案】：C解析：

信息安全問題的產(chǎn)生既有技術(shù)原因，也有管理原因。86.王工是某某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；而資產(chǎn)A2面臨一個主要威脅，威脅T3；威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性；脆弱性V6和脆弱性V7。根據(jù)上述條件，請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計算幾個風險值？A、2B、3C、5D、6【正確答案】：C解析：

A1:T1，T2；A1:v3，v4，v5，V1，V2

T1*(V1，V2)=1*2=2

T2*(v3，v4，v5)=1*3=387.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）中的基本實施（BasePractices，BP），正確的理解是：A、BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B、大部分BP是沒有經(jīng)過測試的C、一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D、一項BP可以和其他BP有重疊【正確答案】：C解析：

教材P181，BP的特性：

1.應(yīng)用于整個組織生命周期

2.和其他BP互不覆蓋

3.代表安全業(yè)界“最好的實施”

4.在業(yè)務(wù)環(huán)境下不指定特定的方法和工具88.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導提出了應(yīng)對措施，作為主管負責人，請選擇有效的針對此問題的應(yīng)對措施？A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進入B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)以應(yīng)對即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

阻止所有的ICMP流量是最有效的方式

89.在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?A、網(wǎng)絡(luò)層B、表示層C、會話層D、物理層【正確答案】：A解析：

網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。

90.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是？A、在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象B、實施異常入侵檢測，是將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生C、異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D、異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為【正確答案】：B解析：

教材P353，選項B的描述“將當前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發(fā)生”是誤用檢測

91.以下哪個選項不是信息安全需求的來源?A、法律法規(guī)與合同條約的要求B、組織的原則、目標和規(guī)定C、風險評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預警【正確答案】：D解析：

選項Ｄ屬于維護保障92.對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關(guān)于以下預防措施或意識，說法錯誤的是？A、在使用來自外部的移動介質(zhì)前，需要進行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序【正確答案】：C解析：

端口開放意味著風險，因此不用的端口要關(guān)閉93.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備-檢測-根除-恢復-跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是（）。A、確定重要資產(chǎn)和風險，實施對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復優(yōu)先順序和恢復步驟，順序恢復相關(guān)的系統(tǒng)【正確答案】：C解析：

教材P153，關(guān)閉相關(guān)系統(tǒng)94.系統(tǒng)安全工程-能力成熟度模型（SystemsSecurityEngineering-Capabilitymaturitymodel，SSE-CMM）定義的包含評估威脅、評估脆弱性、評估影響和評估安全風險的基本過程領(lǐng)域是？A、風險過程B、工程過程C、保證過程D、評估過程【正確答案】：A解析：

教材P183，風險過程包括四個PA：評估威脅、評估脆弱性、評估影響和評估安全風險。95.以下場景描述了基于角色的訪問控制模型（Role-basedAccessControl，RBAC）：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工。管理員負責將權(quán)限（不同類別和級別的）分別賦予承擔不同工作職責的用戶。關(guān)于RBAC模型，下列說法錯誤的是？A、當用戶請求訪問某資源時，如果其操作權(quán)限不再用戶當前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B、業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C、通過角色，可實現(xiàn)對信息資源訪問的控制D、RBAC模型不能實現(xiàn)多級安全中的訪問控制【正確答案】：D解析：

教材P312，RBAC有四個級別，RBAC0-3

96.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理97.恢復時間目標（RecoveryTimeObjective，RTO）和恢復點目標（RECOVERYPointObjective，RPO）是業(yè)務(wù)連續(xù)性和災(zāi)難恢復工作中的兩個重要指標，隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進，這兩個指標的數(shù)值越來越小。小華準備為其工作的信息系統(tǒng)擬定RTO和RPO指標，則以下描述中，正確的是？A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

RTO和RPO都可以為0，而且可以同時為0。

RTO恢復時間目標（RecoveryTimeObjective）是系統(tǒng)發(fā)生故障到恢復業(yè)務(wù)所需要的時間。RPO=0，說明服務(wù)不會中斷。

RPO恢復點目標（RecoveryPointObjective）是指業(yè)務(wù)恢復后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度，RPO=0，說明數(shù)據(jù)是實時備份的，不會出現(xiàn)數(shù)據(jù)丟失的情況。

所以，兩個值都為0的情況下，意味著系統(tǒng)永不中斷服務(wù)，而且數(shù)據(jù)完全沒有丟失。

98.GB/T18336《信息技術(shù)安全性評估準則》是測評標準類中的重要標準，該標準定義了保護輪廊（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（

）個遞增的評估保證等級。A、4B、5C、6D、7【正確答案】：D解析：

教材P236，EAL-評估保證級

EAL１：功能測試

EAL2：結(jié)構(gòu)測試

EAL3：系統(tǒng)地測試和檢查

EAL4：系統(tǒng)地設(shè)計、測試和復查

EAL5：半形式化設(shè)計和測試

EAL6：半形式化驗證的設(shè)計和測試

EAL7：形式化驗證的設(shè)計和測試99.由于頻繁出現(xiàn)燃機運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是？A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓B、要求增加軟件源代碼審核環(huán)節(jié)，加強對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進行開發(fā)，不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：C解析：

任何操作系統(tǒng)都有漏洞，更換成Win8對解決問題沒有幫助100.在信息系統(tǒng)設(shè)計階段“安全產(chǎn)品選擇”處于風險管理過程的哪個階段?A、背景建立B、風險評估C、風險處理D、批準監(jiān)督【正確答案】：C解析：

教材P90，產(chǎn)品選擇屬于風險處理101.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進行認證識別時，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是？A、所謂靜態(tài)口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時，即使對口令進行簡單加密或哈希后進行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預測出下次要使用的口令D、通常，動態(tài)口令實現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

教材P295，動態(tài)口令方案中每次使用的口令不同，不能從密碼歷史中得到之前的口令

102.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是？A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

網(wǎng)閘可以進行物理隔離103.以下哪一項不是信息系統(tǒng)集成項目的特點？A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)相應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程C、信息系統(tǒng)集成項目的指導方法是“總體規(guī)劃、分步實施”D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項綜合性的系統(tǒng)工程【正確答案】：B解析：

信息系統(tǒng)集成項目實施過程中不追求最好的產(chǎn)品和技術(shù)，可能有風險。104.某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞，被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù)，由于系統(tǒng)備份是每周六進行一次，事件發(fā)生時間為周三，因此導致該公司三個工作日的數(shù)據(jù)丟失并使得OA系統(tǒng)在隨后兩天內(nèi)無法訪問，影響到了與公司有業(yè)務(wù)往來部分公司業(yè)務(wù)。在事故處理報告中，根據(jù)GB/Z20686-2007，《信息安全事件分級分類指南》，該事件的準確分類和定級應(yīng)該是?A、有害程序事件特別重大事件（I級）B、信息破壞事件重大事件（II級）C、有害程序事件較大事件（III級）D、信息破壞事件一般事件（IV級）【正確答案】：C解析：

教材P146-P147，木馬病毒屬于有害程序事件，信息安全事件分為四個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）、一般事件（IV級），其中：較大事件（III級）包括的情況如下：會使特別重要的信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要的信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，產(chǎn)出較大的社會影響。影響OA系統(tǒng)屬于較大事件。105.以下關(guān)于帳戶策略中密碼策略中各項策略的作用說明，哪個是錯誤的：A、“密碼必須符合復雜性要求”是用于避免用戶產(chǎn)生1234，111這樣的口令B、“密碼長度最小值”是強制用戶使用一定長度以上的密碼C、“強制密碼歷史”是強制用戶不能再為使用曾經(jīng)使用過的低密碼D、“密碼最長存留期”是為了避免用戶使用密碼時間過長而不更換【正確答案】：C解析：

“強制密碼歷史”需要設(shè)置記住密碼的數(shù)量106.以下關(guān)于災(zāi)難恢復和數(shù)據(jù)備份的理解，說法正確的是？A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災(zāi)難恢復資源程度的不同，災(zāi)難恢復能力分為7個等級C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災(zāi)演練了【正確答案】：C解析：

選項A：增量備份是每次備份的數(shù)據(jù)相當于上一次備份后增加或修改過的數(shù)據(jù)

選項B：災(zāi)難恢復能為分6級

選項D：明顯錯誤107.下面哪一項不是虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議標準：A、第二層隧道協(xié)議（L2TP）B、Internet安全性（IPSEC）C、終端訪問控制器訪問控制系統(tǒng)（TACACS+）D、點對點隧道協(xié)議（PPTP）【正確答案】：C解析：

教材P304，終端訪問控制器訪問控制系統(tǒng)(TACACS+)是Cisco專屬協(xié)議

108.有關(guān)能力成熟度模型（CMM）錯誤的理解是？A、CMM的基本思想是，因為問題是由技術(shù)落后引起的，所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM的思想來源于項目管理和質(zhì)量管理CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計過程