2024年CISP認(rèn)證備考試題庫匯總（含答案）

PAGEPAGE12024年CISP認(rèn)證備考試題庫匯總（含答案）一、單選題1.數(shù)據(jù)在進(jìn)行傳輸前,需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中,數(shù)據(jù)封裝的順序是:A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層答案：B解析：答案為B。2.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平,保障和促進(jìn)信息化建設(shè)的健康發(fā)展,

公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實施意見》(公通字[2004]66號),對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束,明確了等級保護(hù)工作的基本內(nèi)容、工作要求和實施計劃,以及各部門工作職責(zé)分工等,關(guān)于該文件,下面理解正確的是A、該文件時一個由部委發(fā)布的政策性文件,不屬于法律文件B、該文件適用于2004年的等級保護(hù)工作,其內(nèi)容不能越蘇到2005年及之后的工作C、該文件時一個總體性知道文件,規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍D、該文件使用范圍為發(fā)文的這四個部門,不適用于其他部門和企業(yè)等單位答案：A解析：答案為A。3.關(guān)于秘鑰管理,下列說法錯誤的是:A、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密,而應(yīng)基于秘鑰的安全性B、保密通信過程中,通信方使用之前用過的會話秘鑰建立會話,不影響通信安全C、秘鑰管理需要考慮秘鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每

一個環(huán)節(jié)D、在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會話秘鑰答案：B4.C.C.標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項沒有體現(xiàn)C.C.標(biāo)準(zhǔn)

的先進(jìn)性:A、結(jié)構(gòu)的開放性B、表達(dá)方式的通用性C、獨立性D、實用性答案：C5.系統(tǒng)安全工程能力成熟度模型評估方法(SSAM,SSE-C.MMAppraisalMethoD.)是專門基于SSE-C.MM的評估方法。它包含對系統(tǒng)安全工程-能力成熟度模型中定義的組織的()流程能力和成熟度進(jìn)行評估所需的()。SSAM評估過程分為四個階段,()、()、()、()。A、信息和方向;系統(tǒng)安全工程;規(guī)劃;準(zhǔn)備;現(xiàn)場;報告B、信息和方向;系統(tǒng)工程;規(guī)劃;準(zhǔn)備;現(xiàn)場;報告C、系統(tǒng)安全工程;信息;規(guī)劃;準(zhǔn)備;現(xiàn)場;報告D、系統(tǒng)安全工程;信息和方向;規(guī)劃;準(zhǔn)備;現(xiàn)場;報告答案：D6.某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng),通過公開

招標(biāo)選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作,目前,

各個應(yīng)用系統(tǒng)均已完成開發(fā),M公司已經(jīng)提交了驗收申請,監(jiān)理公司需要對A公司提

交的軟件配置文件進(jìn)行審查,在以下所提交的文檔中,哪一項屬于開發(fā)類文檔:A、項目計劃書B、質(zhì)量控制計劃C、評審報告D、需求說明書答案：D解析：ABC其均屬于項目管理文檔。需求說明書、設(shè)計說明書、測試方案、測試用例等屬于開發(fā)類文檔。7.如下圖所示,Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob,Bob再用自己的私鑰

解密,恢復(fù)出明文以下說法正確的是:

A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制答案：D8.風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟,小李將風(fēng)險要素識別的主要過程使

用圖形來表示,如下圖所示,請為圖中空白框處選擇一個最合適的選項()。

A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性答案：B9.某政府機構(gòu)擬建設(shè)一機房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,項目分二期,一期目標(biāo)為年內(nèi)實現(xiàn)系統(tǒng)上線運營,二期目標(biāo)為次年上半年完成運行系統(tǒng)風(fēng)險的處理:招標(biāo)文件經(jīng)營管理層審批后發(fā)布,就此工程項目而言,以下正確的是:A、此項目將項目目標(biāo)分解為系統(tǒng)上線運營和運行系統(tǒng)風(fēng)險處理分期實施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解析：本題目描述不符合信息安全工程的“同步規(guī)劃、同步實施”的基本原則。10.從SAB.SA的發(fā)展過程,可以看出整個SAB.SA在安全架構(gòu)中的生命周期(如下圖所示),在此SAB.SA生命周期中,前兩個階段的過程被歸類為所謂的(),其次是(),它包含了建筑設(shè)計中的()、物理設(shè)計、組件設(shè)計和服務(wù)管理設(shè)計,再者就是(),緊隨其后的則是()A、設(shè)計;戰(zhàn)略與規(guī)劃;邏輯設(shè)計;實施;管理與衡量B、戰(zhàn)略與規(guī)劃;邏輯設(shè)計;設(shè)計;實施;管理與衡量C、戰(zhàn)略與規(guī)劃;實施;設(shè)計;邏輯設(shè)計;管理與衡量D、戰(zhàn)略與規(guī)劃;設(shè)計;邏輯設(shè)計;實施;管理與衡量答案：D11.關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是:A、資產(chǎn)識別是指對需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心,針對每一項需求保護(hù)的資產(chǎn),識別可能被威脅利用的弱點,并對脆弱性的嚴(yán)重程度進(jìn)行評估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺答案：D解析：安全措施既包括技術(shù)層面,也包括管理層面。12.自主訪問控制模型(DAC)的訪問控制關(guān)系可以用訪問控制(ACL)來表示,該ACL利用在

客體上附加一個主體明細(xì)表的方法來表示訪問控制矩陣,通常使用由客體指向的鏈表來存

儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是()A、ACL是Bell-LaPadula模型的一種具體實現(xiàn)B、ACL在刪除用戶時,去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL在增加客體時,增加相關(guān)的訪問控制權(quán)限較為簡單答案：D13.關(guān)于信息安全管理體系的作用,下面理解錯誤的是A、對內(nèi)而言,有助于建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有據(jù)可查B、對內(nèi)而言,是一個光花錢不掙錢的事情,需要組織通過其他方法收入來彌補投入C、對外而言,有助于使各科室相關(guān)方對組織充滿信心D、對外而言,規(guī)范工作流程要求,幫助界定雙方各自信息安全責(zé)任答案：B14.以下哪一項不是信息安全管理工作必須遵循的原則?A、風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮,并要貫穿于整個系統(tǒng)開發(fā)過程之

中B、風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護(hù)、直至廢棄的整個生命周期內(nèi)的持續(xù)

性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強,實施成本會相對

較低D、在系統(tǒng)正式運行后,應(yīng)注重殘余風(fēng)險的管理,以提高快速反應(yīng)能力答案：C解析：安全措施投入應(yīng)越早則成本越低,C答案則成本會上升。15.小明是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生,大四上學(xué)期開始找工作,期望謀求一份技術(shù)管理的職位,一次面試中,某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的背景建立的幾本概念與認(rèn)識,小明的主要觀點包括:(1)背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象,以及對象的特性和安全要求,完成信息安全風(fēng)險管理項目的規(guī)劃和準(zhǔn)備;(2)背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行,雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果(3)背景建立包括:風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信

息安全分析(4.)背景建立的階段性成果包括:風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告、請問小明的論點中錯誤的是哪項:A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點答案：B解析：背景建立是根據(jù)政策、法律、標(biāo)準(zhǔn)、業(yè)務(wù)、系統(tǒng)、組織等現(xiàn)狀來開展。16.風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟,有關(guān)安全要素,請選擇一個最合適

的選項()。A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性答案：B解析：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。17.在GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》(CC標(biāo)準(zhǔn))中,有關(guān)保護(hù)輪

廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST),錯誤的是:A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實現(xiàn)有關(guān)C答案：C解析：PP代表的安全需求,ST代表的是安全方案,多個ST可以滿足同一個PP。法規(guī)政策與標(biāo)準(zhǔn)18.以下哪個是惡意代碼采用的隱藏技術(shù):A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是答案：D19.火災(zāi)是機房日常運營中面臨最多的安全威脅之一,火災(zāi)防護(hù)的工作是通過構(gòu)建火災(zāi)預(yù)防、檢測和響應(yīng)系統(tǒng),保護(hù)信息化相關(guān)人員和信息系統(tǒng),將火災(zāi)導(dǎo)致的影響降

低到可接受的程度。下列選項中,對火災(zāi)的預(yù)防、檢測和抑制的措施描述錯誤的選項是()。A、將機房單獨設(shè)置防火區(qū),選址時遠(yuǎn)離易燃易爆物品存放區(qū)域,機房外墻使用非燃

燒材料,進(jìn)出機房區(qū)域的門采用防火門或防火卷簾,機房通風(fēng)管設(shè)防火栓B、火災(zāi)探測器的具體實現(xiàn)方式包括;煙霧檢測、溫度檢測、火焰檢測、可燃?xì)怏w檢

測及多種檢測復(fù)合等C、自動響應(yīng)的火災(zāi)抑制系統(tǒng)應(yīng)考慮同時設(shè)立兩組獨立的火災(zāi)探測器,只要有一個探

測器報警,就立即啟動滅火工作D、前在機房中使用較多的氣體滅火劑有二氧化碳、七氟丙烷、三氟甲烷等答案：C20.某公司開發(fā)了一個游戲網(wǎng)站,但是由于網(wǎng)站軟件存在漏洞,在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)

包時總是會丟失一些數(shù)據(jù),如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時,總是會有3到5

個字節(jié)不能傳送到對方,關(guān)于此案例,可以推斷的是()A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題答案：B21.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議,WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制定的答案：D解析：答案為D。22.ISO27002(Informationtechnology-Securitytechniques0Codeofpraticefor

Inforeationsecuritymanagcacnt)是重要的信息安全管理標(biāo)準(zhǔn)之一,下圖是關(guān)于其演

進(jìn)變化示意圖,圖中括號空白處應(yīng)填寫()

A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37

16/36答案：B23.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管理審核是兩項重要的管理活動,關(guān)于這兩者,下面描述的錯誤是A、內(nèi)部審核和管理評審都很重要,都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力,也都應(yīng)當(dāng)按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式,而管理評審的實施方式多采用召開管理評審會議形式進(jìn)行C、內(nèi)部審核的實施主體組織內(nèi)部的ISMS內(nèi)審小組,而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核標(biāo)準(zhǔn)使用,但在管理評審總,這些文件時被審對象答案：C解析：管理評審的實施主體由用戶的管理者來進(jìn)行選擇。24.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是:A、確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特性的能力D、確保信息系統(tǒng)的使用已得到授權(quán)答案：B25.設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),在使用過程中不斷完善成熟,精益求精,實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案實施障礙答案：C26.強制訪問控制是指主體和客體都有一個固定的安全屬性,系統(tǒng)用該安全屬性來決定一個

主體是否可以訪問某個客體,具有較高的安全性,適用于專用或?qū)Π踩暂^高的系統(tǒng)。強

制訪問控制模型有多種類型,如BLP、Biba、Clark-Willson和ChineseWall等。小李自學(xué)

了BLP模型,并對該模型的特點進(jìn)行了總結(jié)。以下4鐘對BLP模型的描述中,正確的是():A、BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是“向上讀,向下寫”B、BLP模型用于保證系統(tǒng)信息的機密性,規(guī)則是“向下讀,向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向上讀,向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性,規(guī)則是“向下讀,向上寫”答案：B27.我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面,以

下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是:A、建全國家信息安全組織與管理體制機制,加強信息安全工作的組織保障B、建設(shè)信息安全基礎(chǔ)設(shè)施,提供國家信息安全保障能力支撐C、建立信息安全技術(shù)體系,實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新D、建立信息安全人才培養(yǎng)體系,加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)答案：C解析：實現(xiàn)自主創(chuàng)新在過去的的保障中為自主可控。28.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試,下列問題中哪個最應(yīng)該引起關(guān)注()A、由于有限的測試時間窗,僅僅測試了最必的系統(tǒng),其他系統(tǒng)在今年的剩余時間里陸續(xù)獨測試B、在測試的過程中,有些備份系統(tǒng)有缺陷或者不能正常工作,從面導(dǎo)致這些系統(tǒng)的測試失敗C、在開啟備份站點之前關(guān)閉和保護(hù)原生產(chǎn)站點的過程比計劃需要多得多的時間D、每年都是同相同的員工執(zhí)行此測試由于所有的參與者都很熟悉每一個恢復(fù)步驟,因而沒有使用災(zāi)難毆打推薦計劃

(DRP)文檔答案：B29.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后,認(rèn)

識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式,該部門將有檢查評

估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo),其中描述錯誤的是A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實施完整的風(fēng)險評估過程;也可在自評估的基礎(chǔ)上,對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織,并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施D、檢查評估是通過行政手段加強信息安全管理的重要措施,具有強制性的特點答案：B解析：檢查評估可以由上級單位發(fā)起,本級單位發(fā)起叫做自評估。30.PDCERF方法是信息安全應(yīng)急響應(yīng)工作中常用的一種方法,它將應(yīng)急響應(yīng)分成六個階段。其

中,主要執(zhí)行如下工作應(yīng)在哪一個階段:關(guān)閉信息系統(tǒng)、和/或修改防火墻和路由器的過濾

規(guī)則,拒絕來自發(fā)起攻擊的嫌疑主機流量、和/或封鎖被攻破的登錄賬號等()A、準(zhǔn)備階段B、遏制階段C、根除階段D、檢測階段答案：B解析：拒絕來自發(fā)起攻擊的嫌疑主機流量等做法屬于遏制階段的工作。31.某公司在執(zhí)行災(zāi)難恢復(fù)測試時.信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點

的服務(wù)器的運行速度緩慢,為了找到根本愿因,他應(yīng)該首先檢查:A、災(zāi)難恢復(fù)站點的錯誤事件報告B、災(zāi)難恢復(fù)測試計劃C、災(zāi)難恢復(fù)計劃(DRP)D、主站點和災(zāi)難恢復(fù)站點的配置文件答案：A32.入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安全技術(shù),它與

IDS有著許多不同點,請指出下列哪一項描述不符合IPS的特點?A、串接到網(wǎng)絡(luò)線路中B、對異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點故障D、不會影響網(wǎng)絡(luò)性能答案：D解析：IPS在串聯(lián)情況下,會影響網(wǎng)絡(luò)性能。33.恢復(fù)時間目標(biāo)(RTO)和恢復(fù)點目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩個值能否為零,正確的選項是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為0答案：A解析：RTO恢復(fù)的速度和效率,也是系統(tǒng)中斷的時間。RPO恢復(fù)到歷史時間的階段,系統(tǒng)數(shù)據(jù)的損失量。34.信息安全風(fēng)險等級的最終因素是:A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對答案：B35.下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的:A、設(shè)置網(wǎng)絡(luò)連接時限B、記錄并分析系統(tǒng)錯誤日志C、記錄并分析用戶和管理員操作日志D、啟用時鐘同步答案：A解析：A屬于防護(hù)措施;BCD屬于檢測措施,可以用來檢測未經(jīng)授權(quán)的信息處理活動。36.當(dāng)前,應(yīng)用軟件安全已經(jīng)日益引起人們的重視,每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項中,哪個與應(yīng)用軟件漏洞成因無關(guān):A、傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B、開發(fā)人員對信息安全知識掌握不足C、相比操作系統(tǒng)而言,應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D、應(yīng)用軟件的功能越來越多,軟件越來越復(fù)雜,更容易出現(xiàn)漏洞答案：C論高級和低級語言都存在漏洞。37.業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是:A、讓系統(tǒng)自己處理異常B、調(diào)試方便,應(yīng)該讓更多的錯誤更詳細(xì)的顯示出來C、捕獲錯誤,并拋出前臺顯示

12/26D、捕獲錯誤,只顯示簡單的提示信息,或不顯示任何信息答案：D解析：D為正確的處理方法。38.關(guān)于監(jiān)理過程中成本控制,下列說法中正確的是?A、成本只要不超過預(yù)計的收益即可B、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項目保質(zhì)按期完成C、成本應(yīng)控制得越低越好D、成本控制由承建單位實現(xiàn),監(jiān)理單位只能記錄實際開銷答案：D解析：D為正確答案。39.我國黨和政府一直重視信息安全工作,我國信息安全保障工作也取得了明顯成效,關(guān)于我

國信息安全實踐工作,下面說法錯誤的是()A、加強信息安全標(biāo)準(zhǔn)化建設(shè),成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”制訂和發(fā)布了大

批信息安全技術(shù),管理等方面的標(biāo)準(zhǔn)。B、重視信息安全應(yīng)急處理工作,確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動了應(yīng)急處理和信息通報技術(shù)合作工作進(jìn)展C、推進(jìn)信息安全等級保護(hù)工作,研究制定了多個有關(guān)信息安全等級保護(hù)的規(guī)范和標(biāo)準(zhǔn),重點保障了關(guān)系國定安全,經(jīng)濟命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性D、實施了信息安全風(fēng)險評估工作,探索了風(fēng)險評估工作的基本規(guī)律和方法,檢驗并修改完善

了有關(guān)標(biāo)準(zhǔn),培養(yǎng)和鍛煉了人才隊伍答案：B解析：工業(yè)和信息化部牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”。40.2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上的信息化

法律”,自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽

名說法錯誤的是:A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明

簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時,屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有答案：D解析：電子簽名不可以與認(rèn)證服務(wù)提供者共有。41.下面有關(guān)軟件安全問題的描述中,哪項應(yīng)是由于軟件設(shè)計缺陷引起的()A、設(shè)計了三層WEB架構(gòu),但是軟件存在SQL注入漏洞,導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時,采用了一些存在安全問題的字符串處理函數(shù),導(dǎo)致存在緩沖區(qū)溢出

漏洞C、設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運行后,被黑客攻

擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法,但在使用算法接口時,沒有按照要求生成密鑰,導(dǎo)致黑客

攻擊后能破解并得到明文數(shù)據(jù)答案：C42.下面哪項屬于軟件開發(fā)安全方面的問題()A、軟件部署時所需選用服務(wù)性能不高,導(dǎo)致軟件執(zhí)行效率低。B、應(yīng)用軟件來考慮多線程技術(shù),在對用戶服務(wù)時按序排隊提供服務(wù)C、應(yīng)用軟件存在SQL注入漏洞,若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D、軟件受許可證(license)限制,不能在多臺電腦上安裝。答案：C43.組織建立業(yè)務(wù)連續(xù)性計劃(BCP)的作用包括:A、在遭遇災(zāi)難事件時,能夠最大限度地保護(hù)組織數(shù)據(jù)的實時性,完整性和一致性;B、提供各種恢復(fù)策略選擇,盡量減小數(shù)據(jù)損失和恢復(fù)時間,快速恢復(fù)操作系統(tǒng)、應(yīng)用

和數(shù)據(jù);C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或災(zāi)難情況時,能夠持續(xù)服務(wù),確保業(yè)

務(wù)系統(tǒng)的不間斷運行,降低損失;D、以上都是。答案：D44.關(guān)于信息安全管理,說法錯誤的是:A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性,以及業(yè)務(wù)運

作的持續(xù))而進(jìn)行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程,依賴于建立信息安全組織、明確信

息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機制等多

方面非技術(shù)性的努力。C、實現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個靜態(tài)過程。答案：D45.某公司在執(zhí)行災(zāi)難恢復(fù)測試時.信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點的服務(wù)器的運

行速度緩慢,為了找到根本愿因,他應(yīng)該首先檢查:A、災(zāi)難恢復(fù)站點的錯誤事件報告B、災(zāi)難恢復(fù)測試計劃

16/23

保密注冊信息安全專業(yè)人員考試模擬考試試卷C、災(zāi)難恢復(fù)計劃(DRP)D、主站點和災(zāi)難恢復(fù)站點的配置文件答案：A解析：答案為A。46.下圖是安全測試人員連接某遠(yuǎn)程主機時的操作界面,請您仔細(xì)分析該圖,下面分析推理正

確的是()

A、安全測試人員鏈接了遠(yuǎn)程服務(wù)器的220端口B、安全測試人員的本地操作系統(tǒng)是LinuxC、遠(yuǎn)程服務(wù)器開啟了FTP服務(wù),使用的服務(wù)器軟件名FTPServerD、遠(yuǎn)程服務(wù)器的操作系統(tǒng)是windows系統(tǒng)答案：D47.在某網(wǎng)絡(luò)機房建設(shè)項目中,在施工前,以下哪一項不屬于監(jiān)理需要審核

的內(nèi)容:A、審核實施投資計劃B、審核實施進(jìn)度計劃C、審核工程實施人員D、企業(yè)資質(zhì)答案：A48.在數(shù)據(jù)庫安全性控制中,授權(quán)的數(shù)據(jù)對象,授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大答案：A49.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性,在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期

的討論,在下面的發(fā)言觀點中,正確的是()A、軟件安全開發(fā)生命周期較長,而其中最重要的是要在軟件的編碼安全措施,就可以

解決90%以上的安全問題。B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段增加一定的安全措施,這樣可以比在軟件發(fā)

布以后進(jìn)行漏洞修復(fù)所花的代價少得多。C、和傳統(tǒng)的軟件開發(fā)階段相比,微軟提出的安全開發(fā)生命周期(SDL)最大特點是增加

了一個專門的安全編碼階段。D、軟件的安全測試也很重要,考試到程序員的專業(yè)性,如果該開發(fā)人員已經(jīng)對軟件進(jìn)

行了安全性測試,就沒有必要再組織第三方進(jìn)行安全性測試。答案：B解析：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計階段。C-SDL最大的特點是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測試是必要的軟件安全測試類型。50.某學(xué)員在學(xué)習(xí)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分:簡介和一般模型》(GB/T20274.1-2006)后,繪制了一張簡化的信息系統(tǒng)安全保障模型圖,如下所示。請為圖中括

號空白處選擇合適的選項()

A、安全保障(方針和組織)B、安全防護(hù)(技術(shù)和管理)C、深度防御(策略、防護(hù)、檢測、響應(yīng))D、保障要素(管理、工程、技術(shù)、人員)答案：D51.小李去參加單位組織的信息安全培訓(xùn)后,他把自己對管理信息管理體系ISMS的理解畫了

一張圖,但是他還存在一個空白處未填寫,請幫他選擇一個合適的選項()

A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS答案：C52.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A、WPA是有線局域安全協(xié)議,而WPA2是無線局域網(wǎng)協(xié)議B、WPA是適用于中國的無線局域安全協(xié)議,而WPA2是使用于全世界的無線

局域網(wǎng)協(xié)議C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證,而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的,而WPA2是按照802.11i正式標(biāo)準(zhǔn)制

定的答案：D53.小王學(xué)習(xí)了災(zāi)難備份的相關(guān)知識,了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份,為了鞏固所學(xué)知識,小王對這種備份方式進(jìn)行對比,其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序是()A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份答案：B解析：完全備份是指備份全部選中的文件夾,并不依賴文件的存檔屬性來確定備份哪些文件;增量備份是針對于上一次備份(無論是哪種備份),備份上一次備份后,所有發(fā)生變化的文件;差異備份是針對完全備份,備份上一次的完全備份后發(fā)生變化的所有文件。三種備份方式在數(shù)據(jù)恢復(fù)速度方面由快到慢的順序為完全備份、差異備份、增量備份。https://wenku.baidu./view/37c280655bcfa1c7aa00b52acfc789eb172d9ef6.html,百度文庫中。54.某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析,在開發(fā)時要求程序員編寫安全的

代碼,但是在部署時由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備

份,為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題,一下那種測試方式是最佳的測試方法。A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試答案：C55.入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安

全技術(shù),它與IDS有著許多不同點,請指出下列哪一項描述不符合IPS的特

點?A、串接到網(wǎng)絡(luò)線路中B、對異常的進(jìn)出流量可以直接進(jìn)行阻斷C、有可能造成單點故障D、不會影響網(wǎng)絡(luò)性能答案：D56.在實施信息安全風(fēng)險評估時,需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值,關(guān)于資產(chǎn)價

值的評估,以下選項中正確的是()A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護(hù)費用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計答案：C解析：答案為C。57.在ISO的OSI安全體系結(jié)構(gòu)中,以下哪一個安全機制可以提供抗抵賴安全服務(wù)?A、加密B、數(shù)字簽名C、訪問控制D、路由控制答案：B解析：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。58.恢復(fù)時間目標(biāo)(RTO)和恢復(fù)點目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念,關(guān)于這兩

個值能否為零,正確的選項是()A、RTO可以為0,RPO也可以為0B、RTO可以為0,RPO不可以為0C、RTO不可以為0,但RPO可以為0D、RTO不可以為0,RPO也不可以為0答案：A59.物理安全是一個非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體,其安全性對信息系統(tǒng)至關(guān)重要。下列選項中,對設(shè)施安全的保障的描述正確的是()。A、安全區(qū)域不僅包含物理區(qū)域,還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問控制機制C、由于傳統(tǒng)門鎖容易被破解,因此禁止采用門鎖的方式進(jìn)行邊界防護(hù)D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機、數(shù)字式控制錄像設(shè)備后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等答案：B解析：B描述了物理安全措施。60.關(guān)于信息安全管理,下面理解片面的是()A、信息安全管理是組織整體管理的重要、固有組成部分,它是組織實現(xiàn)其業(yè)務(wù)目標(biāo)的重要

保障B、信息安全管理是一個不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程,不是一成不變的C、在信息安全建設(shè)中,技術(shù)是基礎(chǔ),管理是拔高,有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅持管理與技術(shù)并重的原則,是我國加強信息安全保障工作的主要原則之一答案：C61.以下哪項制度或標(biāo)準(zhǔn)被作為我國的一項基礎(chǔ)制度加以推行,并且有一定強制性,其實施的主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全()A、信息安全管理體系(ISMS)B、信息安全等級保護(hù)C、NISTSP800D、ISO270000系統(tǒng)答案：B解析：信息安全等級保護(hù)制度重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。62.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進(jìn),以及深化落實三個階段,以下關(guān)于我國信息安全保障各階段說法不正確的是:A、2001國家信息化領(lǐng)導(dǎo)小組重組,網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立,我國信息安全保障工作正式啟動B、2003年7月,國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強信息安全保障工作的意見》(中辦發(fā)27號文),明確了“積極防御、綜合防范“的國家信息安全保障方針C、2003年中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實階段D、在深化落實階段,信息安全法律法規(guī)、標(biāo)準(zhǔn)化,信息安全基礎(chǔ)設(shè)施建設(shè),以及信息安全等級保護(hù)和風(fēng)險評估取得了新進(jìn)展。答案：C解析：2006年進(jìn)入到深化落實階段。63.以下哪一項不是我國信息安全保障的原則:A、立足國情,以我為主,堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點,強化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責(zé)任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國家

信息安全保障體系答案：A解析：堅持技術(shù)和管理并重。信息64.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(CriticalInformationInfrastructure,CII)包括

商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)

療、能源、銀行和金融、國防工業(yè)基地等等,美國政府強調(diào)重點保障這些基

礎(chǔ)設(shè)施信息安全,其主要原因不包括:A、這些行業(yè)都關(guān)系到國計民生,對經(jīng)濟運行和國家安全影響深遠(yuǎn)B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患,而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件,會造成廣泛而嚴(yán)重的損失。答案：C65.在可信計算機系統(tǒng)評估準(zhǔn)則(TCSEC)中,下列哪一項是滿足強制保護(hù)要求的最低級別?A、C2B、C1C、B2D、B1答案：D解析：DC1C2B1B2B3A級別。66.數(shù)據(jù)庫的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護(hù)數(shù)據(jù)庫的安全。

以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是:A、最小特權(quán)原則,是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下,分配最小的特權(quán),使得這些信息恰好能夠完成用戶的工作B、最大共享策略,在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下,最大程度地共享數(shù)據(jù)庫中的信息C、粒度最小的策略,將數(shù)據(jù)庫中數(shù)據(jù)項進(jìn)行劃分,粒度越小,安全級別越高,在實際中需要選擇最小粒度D、按內(nèi)容存取控制策略,不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分答案：B解析：數(shù)據(jù)庫安全策略應(yīng)為最小共享。67.Hadoop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoop1.0.0版本之前,Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時并不需要進(jìn)行驗證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop集群上,惡意的提交作業(yè)篡改分布式存儲的數(shù)據(jù)偽裝成NameNo安康頭發(fā)TaskTracker接受任務(wù)等。在Hadoop2.0中引入Kerberos機制來解決用戶到服務(wù)器認(rèn)證問題,Kerberos認(rèn)證過程不包括()A、獲得票據(jù)許可票據(jù)B、獲得服務(wù)許可票據(jù)C、獲得密鑰分配中心的管理權(quán)限D(zhuǎn)、獲得服務(wù)答案：C68.小王在學(xué)習(xí)定量風(fēng)險評估方法后,決定試著為單位機房計算火災(zāi)的風(fēng)險大小,假設(shè)單位機

房的總價值為200萬元人民幣,暴露系數(shù)(ExposureFactor,EF)是25%,年度發(fā)生率

(AnnualizedRateofOccurrence,ARO)為0.1,那么小王計算的年度預(yù)期損失(Annualized

LossExpectancy,ALE)應(yīng)該是()。A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣答案：A解析：計算方法為200萬*25%*0.1=5萬。10/2669.最小特權(quán)是軟件安全設(shè)計的基本原則,某應(yīng)用程序在設(shè)計時,設(shè)計人員給出了以

下四種策略,其中有一個違反了最小特權(quán)的原則,作為評審專家,請指出是哪一個?A、軟件在Linux下按照時,設(shè)定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù),在備份模塊運行時,以數(shù)據(jù)

庫備份操作員賬號連接數(shù)據(jù)庫C、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息,使用了一個日志用

戶賬號連接數(shù)據(jù)庫,該賬號僅對日志表擁有權(quán)限D(zhuǎn)、為了保證軟件在Windows下能穩(wěn)定的運行,設(shè)定運行權(quán)限為system,確保系統(tǒng)運

行正常,不會因為權(quán)限不足產(chǎn)生運行錯誤答案：D70.關(guān)于信息安全管理,說法錯誤的是:A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性,以及業(yè)務(wù)運作的

持續(xù))而進(jìn)行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程,依賴于建立信息安全組織、明確信息安全

角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術(shù)

性的努力。C、實現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個靜態(tài)過程。答案：D解析：信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是一個動態(tài)過程。71.安全的運行環(huán)境是軟件安全的基礎(chǔ),操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少

的工作,某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項安全部署工作,其

中哪項設(shè)置不利于提高運行環(huán)境安全?A、操作系統(tǒng)安裝完成后安裝最新的安全補丁,確保操作系統(tǒng)不存在可被利用的安全

漏洞B、為了方便進(jìn)行數(shù)據(jù)備份,安裝Windows操作系統(tǒng)時只使用一個分區(qū)

C,所有數(shù)據(jù)和

操作系統(tǒng)都存放在C盤C、操作系統(tǒng)上部署防病毒軟件,以對抗病毒的威脅D、將默認(rèn)的管理員賬號Administrator改名,降低口令暴力破解攻擊的發(fā)生可能答案：B解析：操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。72.根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定,錯誤的是:A、信息安全風(fēng)險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主,自評估和檢查

評估相互結(jié)合、互為補充B、信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實效”的

原則開展C、信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風(fēng)險評估工作應(yīng)加強信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)答案：A解析：信息安全風(fēng)險評估應(yīng)以自評估(自查)為主。73.關(guān)于linux下的用戶和組,以下描述不正確的是。A、在linux中,每一個文件和程序都?xì)w屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可以是多對一,一個組可以有多個用戶,一個用戶不能屬

于多個組D、root是系統(tǒng)的超級用戶,無論是否文件和程序的所有者都具有訪問權(quán)限答案：C74.風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟,有關(guān)安全要素,請選擇一

個最合適的選項()。A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性答案：B75.下列關(guān)于軟件安全開發(fā)中的BSI(BuildSecurityIn)系列模型說法錯誤的是()A、BIS含義是指將安全內(nèi)建到軟件開發(fā)過程中,而不是可有可無,更不是游離于軟件開發(fā)

生命周期之外B、軟件安全的三根支柱是風(fēng)險管理、軟件安全觸點和安全測試C、軟件安全觸點是軟件開發(fā)生命周期中一套輕量級最優(yōu)工程化方法,它提供了從不同角

度保障安全的行為方式

3/36D、BSI系列模型強調(diào)應(yīng)該使用工程化的方法來保證軟件安全,即在整個軟件開發(fā)生命周期

中都要確保將安全作為軟件的一個有機組成部分答案：B76.關(guān)于信息安全事件管理和應(yīng)急響應(yīng),以下說法錯誤的是:A、應(yīng)急響應(yīng)是指組織為了應(yīng)急突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以

及在事件發(fā)生后所采取的措施B、應(yīng)急響應(yīng)方法,將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告

和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統(tǒng)的重要過程、系統(tǒng)損失和社會影響三方面因素。D、根據(jù)信息安全事件的分級參考要素,可將信息安全事件劃分為4個級別,

特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV

級)答案：B解析：包括六個階段準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)。77.2005年,RFC4301(Requestforments4301:SecurityArchitecturefortheIntermetProtocol)發(fā)布,用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu),描述如何在IP層(IPv4/IPv6)為流量提供安全業(yè)務(wù),請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個組織發(fā)布的()A、國際標(biāo)準(zhǔn)化組織B、國際電工委員會C、國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D、Internet工程任務(wù)組答案：D解析：D為正確答案。78.以下關(guān)于信息安全法治建設(shè)的意義,說法錯誤的是:A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為,并對該行為進(jìn)行相應(yīng)的處罰,以打擊信息安全

犯罪活動C、信息安全主要是技術(shù)問題,技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成,需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系答案：C79.風(fēng)險管理的監(jiān)控與審查不包含:A、過程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動答案：D解析：監(jiān)控和審查不包括協(xié)調(diào)溝通工作。風(fēng)險管理包括背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督等四個過程,以及監(jiān)控審查和溝通咨詢等兩個貫穿。法規(guī)政策與標(biāo)準(zhǔn)80.與瀏覽器兼容性測試不需要考慮的問題是()。A、軟件是否可以在不同的J2EE中運行B、不同的瀏覽器是否可以提供合適的安全設(shè)置C、腳本和插是否適用于不同的瀏覽器D、符合最新HTML版本的頁面能否在瀏覽器中正確顯示答案：A解析：參考:。Https://wenku.baidu./view/5d2efad1d05abe23482fb4daa58da0116c171fe6.html,百度文庫中。81.關(guān)于標(biāo)準(zhǔn),下面哪項理解是錯誤的()A、標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序,經(jīng)協(xié)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件,標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B、國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公布的標(biāo)準(zhǔn),同樣是強制性標(biāo)準(zhǔn),當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)。C、行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn),同樣是強制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時,應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。D、地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制度,冰報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管培訓(xùn)部門備案,在公布國家標(biāo)準(zhǔn)后,該地方標(biāo)準(zhǔn)即應(yīng)廢止。答案：B解析：當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突,應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)。82.關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是:A、資產(chǎn)識別是指對需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心,針對每一項需求保護(hù)的資產(chǎn),識別可能被威脅利用的弱點,

并對脆弱性的嚴(yán)重程度進(jìn)行評估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作,牽涉到具體方面包括:物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺答案：D解析：安全措施既包括技術(shù)層面,也包括管理層面。83.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn),以下那一項不是體現(xiàn)

CC標(biāo)準(zhǔn)的先進(jìn)性?A、結(jié)構(gòu)的開放性,即功能和保證要求都可以砸具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴展B、表達(dá)方式的通用性,即給出通用的表達(dá)方式C、獨立性,它強調(diào)將安全的功能和保證分離D、實用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評

估過程中答案：C解析：TCSEC->ITSEC標(biāo)準(zhǔn)->CC標(biāo)準(zhǔn)(產(chǎn)品安全開發(fā)、安全測評的標(biāo)準(zhǔn)EAL1-7)。ITSEC標(biāo)準(zhǔn)實現(xiàn)了功能和保證的分離,CC是繼承這個特點。84.在規(guī)定的時間間隔或重大變化發(fā)生時,組織的額()和實施方法(如信息安全的

控制目標(biāo)、控制措施、方針、過程和規(guī)程)應(yīng)()。獨立評審宜由管理者啟動,由

獨立被評審范圍的人員執(zhí)行,例如內(nèi)部審核部、獨立的管理人員或?qū)ｉT進(jìn)行這種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)?)。管理人員宜對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行()。為了日常功評審的效率,可以考慮使用自動測量和()。評審結(jié)果和管理人員采取

的糾正措施宜被記錄,且這些記錄宜予以維護(hù)。A、信息安全管理;獨立審查;報告工具;技能和經(jīng)驗;定期評審B、信息安全管理;技能和經(jīng)驗;獨立審查;定期評審;報告工具C、獨立審查;信息安全管理;技能和經(jīng)驗;定期評審;報告工具D、信息安全管理;獨立審查;技能和經(jīng)驗;定期評審;報告工具答案：D85.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標(biāo)。為了實現(xiàn)對組織內(nèi)部信息安全的有效管理,實施常規(guī)的控制措施,不包括哪些選項()A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系.C、與特定利益集團的聯(lián)系。信息安全的獨立評審D、與外部各方相關(guān)風(fēng)險的識別、處理外部各方協(xié)議中的安全問題答案：D86.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivate

Network,IPsecVPN)時,以下說法正確的是:A、配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡(luò)時,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點使用可

以聚合的IP地址段,來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資

源的消耗D、報文驗證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機密性答案：C解析：MD5哈希函數(shù)只有完整性;AES是對稱加密算法實現(xiàn)保密性;AH協(xié)議提供消息認(rèn)證、完整性校驗和抗重放攻擊。密碼應(yīng)用87.關(guān)于ARP欺騙原理和防范措施,下面理解錯誤的是()A、ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤的ARP應(yīng)答報文。使得受害

者主機將錯誤的硬件地址映射關(guān)系存到ARP緩存中,從而起到冒充主機的目的B、單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由

實施攻擊C、解決ARP欺騙的一個有效方法是采用“靜態(tài)”的APP緩存,如果發(fā)生硬件地

址的更改,則需要人工更新緩存D、徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存。直接采用IP地址

和其地主機進(jìn)行連接答案：D88.實施災(zāi)難恢復(fù)計劃之后,組織的災(zāi)難前和災(zāi)難后運營成本將:A、降低B、不變(保持相同)C、提高D、提高或降低(取決于業(yè)務(wù)的性質(zhì))答案：C89.關(guān)于補丁安裝時應(yīng)注意的問題,以下說法正確的是A、在補丁安裝部署之前不需要進(jìn)行測試,因為補丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B、補丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補丁時需要做好備份和相應(yīng)的應(yīng)急措施D、補丁安裝部署時關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響答案：C90.在設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的:A、要充分切合信息安全需求并且實際可行B、要充分考慮成本效益,在滿足合規(guī)性要求和風(fēng)險處置要求的前提下,盡量控制成本C、要充分采取新技術(shù),使用過程中不斷完善成熟,精益求精,實現(xiàn)技術(shù)投入保值要求D、要充分考慮用戶管理和文化的可接受性,減少系統(tǒng)方案障礙答案：C解析：設(shè)計信息系統(tǒng)安全保障方案應(yīng)采用合適的技術(shù)。91.安全漏洞產(chǎn)生的原因不包括以下哪一點()A、軟件系統(tǒng)代碼的復(fù)雜性B、軟件系統(tǒng)市場出現(xiàn)信息不對稱現(xiàn)象C、復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境D、攻擊者的惡意利用答案：D92.關(guān)于信息安全保障的概念,下面說法錯誤的是:A、信息系統(tǒng)面臨的風(fēng)險和威脅是動態(tài)變化的,信息安全保障強調(diào)動態(tài)的安全理念B、信息安全保障已從單純保護(hù)和防御階段發(fā)展為集保護(hù)、檢測和響應(yīng)為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下,可單純依靠技術(shù)措施來保障信息安全D、信息安全保障把信息安全從技術(shù)擴展到管理,通過技術(shù)、管理和工程等措施的綜合融合,形成對信息、信息系統(tǒng)及業(yè)務(wù)使命的保障答案：C解析：網(wǎng)絡(luò)空間安全不能單純依靠技術(shù)措施來保障。93.選擇信息系統(tǒng)部署的場地應(yīng)考慮組織機構(gòu)對信息安全的需求并將安全性防在重

要的位置,信息資產(chǎn)的保護(hù)很大程度上取決與場地的安全性,一個部署在高風(fēng)險場所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性的。為了保護(hù)環(huán)境安全,在下列

選項中,公司在選址時最不應(yīng)該選址的場地是().A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑答案：D94.2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意

義上的信息化法律”,自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效

力。以下關(guān)于電子簽名說法錯誤的是:A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份

并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證

服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時,屬于電子簽名人和電子認(rèn)證服務(wù)提供

者共有答案：D95.信息安全工程監(jiān)理的職責(zé)包括:A、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)B、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)C、確定安全要求、認(rèn)可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認(rèn)可設(shè)計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)答案：A解析：A為監(jiān)理的內(nèi)容。96.RFC系列標(biāo)準(zhǔn)是由()發(fā)布的:A、國際標(biāo)準(zhǔn)化組織(ISO)B、國際電工委員會(IEC)C、國際貿(mào)易中心(ITC)D、互聯(lián)網(wǎng)工程任務(wù)組(IETF)答案：D97.對信息安全風(fēng)險評估要素理解正確的是:A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同,既可以是硬件設(shè)備,也

可以是業(yè)務(wù)系統(tǒng),也可以是組織機構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出

的差距項D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案：A解析：B錯誤,應(yīng)該是抽樣評估;C錯誤,應(yīng)該其描述的是差距分析;D錯誤,應(yīng)該是威脅包括人為威脅和環(huán)境威脅。98.ApacheHttpServer(簡稱Apache)是

一個開放源碼的WEB服務(wù)運行平臺,在使用過程中,該軟件默認(rèn)會將自己

的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā),為隱藏這些信息,應(yīng)當(dāng)

采取以下那種措施()A、不選擇Windows平臺,應(yīng)選擇在Linux平臺下安裝使用B、安裝后,修改配置文件httpDconf中的有關(guān)參數(shù)C、安裝后,刪除ApacheHttpServer源碼D、從正確的官方網(wǎng)站下載ApacheHttpServer,并安裝使用答案：B解析：關(guān)于Apache的安全配置均在httpDconf文件中配置。安全漏洞和惡意代碼99.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測

評機構(gòu)對軟件進(jìn)行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線

前,項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透性測試,作為安全主管,

你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以

下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯誤等運行維護(hù)期

產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效率更高C、滲透測試使用人工進(jìn)行測試,不依賴軟件,因此測試更準(zhǔn)確D、滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多答案：A100.以下哪一項不屬于常見的風(fēng)險評估與管理工具:A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具B、基于知識的風(fēng)險評估與管理工具C、基于模型的風(fēng)險評估與管理工具D、基于經(jīng)驗的風(fēng)險評估與管理工具

6/26答案：D解析：D基于經(jīng)驗的風(fēng)險評估工具不存在。101.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志答案：B102.ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于()A、BS7799-1《信息安全實施細(xì)則》B、BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準(zhǔn)則(簡稱ITSEC)D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)答案：B解析：BS7799-1發(fā)展為ISO27002;BS7799-2發(fā)展為ISO27001;TCSEC發(fā)展為ITSEC;ITSEC發(fā)展為CC。103.公司甲做了很多政府網(wǎng)站安全項目,在為網(wǎng)游公司乙的網(wǎng)站設(shè)計

方案時,借鑒以前項目經(jīng)驗,為乙設(shè)計了多重數(shù)據(jù)加密安全措施,但用戶提

出不需要這些加密措施,理由是影響了網(wǎng)站性能,使用戶訪問量受限,雙方

引起爭議。下面說法哪個是錯誤的:A、乙對信息安全不重視,低估了黑客能力,不舍得花錢B、甲在需求分析階段沒有進(jìn)行風(fēng)險評估,所部署的加密針對性不足,造成浪

費C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險,與甲共同確定網(wǎng)站安全需求答案：A104.下列哪一些對信息安全漏洞的描述是錯誤的?A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中,寄生在一定的客體上(如TOE中、過程中等)。C、具有可利用性和違規(guī)性,它本身的存在雖不會造成破壞,但是可以被攻擊者利用,

從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點答案：D解析：漏洞是人為故意或非故意引入的弱點。105.主機A向主機B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對流量進(jìn)行保護(hù)時,主機A

和主機B的IP地址在應(yīng)該在下列哪個范圍?A、~55B、~55C、~55D、不在上述范圍內(nèi)答案：D解析：傳輸模式下不更換原有的IP包頭,隧道模式需要新的IP包頭(將原IP包頭進(jìn)行封裝)。軟件安全開106.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù),下列說法不正確的是:A、數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機制技術(shù)來解決,當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時,可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)B、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來,是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用,可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù),并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)D、計算機系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上,利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán),將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài),這一對事務(wù)的操作稱為提交答案：D解析：利用日志文件中故障發(fā)生前數(shù)據(jù)的循環(huán),將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài),這一對事務(wù)的操作稱為回滾。107.作為信息安全從業(yè)人員,以下哪種行為違反了C.ISP職業(yè)道德準(zhǔn)側(cè)()A、抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過公眾網(wǎng)絡(luò)傳播非法軟件C、不在計算機網(wǎng)絡(luò)系統(tǒng)中進(jìn)行造謠、欺詐、誹謗等活動D、幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力。答案：B108.防止非法授權(quán)訪問數(shù)據(jù)文件的控制措施,哪項是最佳的方式:A、自動文件條目B、磁帶庫管理程序C、訪問控制軟件D、鎖定庫答案：C109.由于頻繁出現(xiàn)計算機運行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象,某軟件公司準(zhǔn)備加

強軟件安全開發(fā)管理,在下面做法中,對于解決問題沒有直接幫助的是()A、要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)B、要求增加軟件源代碼審核環(huán)節(jié),加強對軟件代碼的安全性審查C、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā),不能采用之前的Windows版本D、要求邀請專業(yè)隊伍進(jìn)行第三方安全性測試,盡量從多角度發(fā)現(xiàn)軟件安全問題答案：C110.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機構(gòu)的使命B、機構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機構(gòu)的組織結(jié)構(gòu)和管理制度答案：C解析：業(yè)務(wù)特性從機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程獲取。111.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選擇最合適的是:A、通用布纜系統(tǒng)工程B、電子設(shè)備機房系統(tǒng)工程C、計算機網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用答案：D解析：答案為D。112.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是:A、信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護(hù)和廢

棄等生命周期密切相關(guān)B、信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C、信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進(jìn)行綜合保障D、信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險降低到可接受的程度,從而實現(xiàn)其

業(yè)務(wù)使命答案：B113.在可信計算機系統(tǒng)評估準(zhǔn)則(TCSEC)中,下列哪一項是滿足強制保護(hù)要求的最低級別?A、C2B、C1C、B2D、B1答案：D解析：答案為B1。114.二十世紀(jì)二十年代,德國發(fā)明家亞瑟謝爾比烏斯發(fā)明了Engmia密碼機,按照密碼學(xué)發(fā)展

歷史階段劃分,這個階段屬于()A、古典密碼階段。這一階段的密碼專家常?？恐庇X和技術(shù)來設(shè)計密碼,而不是憑借推理和

證明,常用的密碼運算方法包括替代方法和轉(zhuǎn)換方法()B、近代密碼發(fā)展階段。這一階段開始使用機械代替手工計算,形成了機械式密碼設(shè)備和更

進(jìn)一步的機電密碼設(shè)備C、現(xiàn)代密碼學(xué)的早起發(fā)展階段。這一階段以香農(nóng)的論文“保密系統(tǒng)的通信理論”為理論基

礎(chǔ),開始了對密碼學(xué)的科學(xué)探索

19/26D、現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志,引發(fā)了密碼學(xué)歷答案：B解析：根據(jù)密碼學(xué)發(fā)展階段的知識點,Engmia密碼機屬于近代密碼學(xué)發(fā)展階段的產(chǎn)物。115.某集團公司根據(jù)業(yè)務(wù)需求,在各地分支機構(gòu)部屬前置機,為了保證安

全,集團總部要求前置機開放日志共享,由總部服務(wù)器采集進(jìn)行集中分析,

在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機種提取日志,從而導(dǎo)致部分

敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項處理措施?A、由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行

分析B、為配合總部的安全策略,會帶來一定的安全問題,但不影響系統(tǒng)使用,

因此接受此風(fēng)險C、日志的存在就是安全風(fēng)險,最好的辦法就是取消日志,通過設(shè)置前置機

不記錄日志D、只允許特定的IP地址從前置機提取日志,對日志共享設(shè)置訪問密碼且

限定訪問的時間答案：D116.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級改造,以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D、該銀行整體安全策略答案：C117.不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果,所以組織機構(gòu)應(yīng)當(dāng)根據(jù)

各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是()。A、定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估,得出可以量化的風(fēng)險分析結(jié)

果,以度量風(fēng)險的可能性和缺失量B、定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值,所以在實際工作中應(yīng)使用定量

風(fēng)險分析,而不應(yīng)選擇定性風(fēng)險分析C、定性風(fēng)險分析過程中,往往需要憑借分析者的經(jīng)驗和直接進(jìn)行,所以分析結(jié)果和風(fēng)

險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風(fēng)險分析更具主觀性,而定量風(fēng)險分析更具客觀性答案：B解析：實際工作中根據(jù)情況選擇定量、定性或定量與定性相結(jié)合。118.為了能夠合理、有序地處理安全事件,應(yīng)事件制定出事件應(yīng)急響應(yīng)方法和過程,有助于一

個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制,將損失和負(fù)面影響

降至最低。PDCERF方法論是一種防范使用的方法,其將應(yīng)急響應(yīng)分成六個階段,如下圖所

示,請為圖中括號空白處選擇合適的內(nèi)容()

A、培訓(xùn)階段B、文檔階段C、報告階段D、檢測階段答案：D119.具有行政法律責(zé)任強制的安全你管理規(guī)定和安全制度包括

1>安全事件(包括安全事故)報告制度

2>安全等級保護(hù)制度3>信息系統(tǒng)安全監(jiān)控

4>安全專用產(chǎn)品銷售許可證制度A、1,2,4B、2,3C、2,3,4D、1,2,3答案：A120.安全審計師一種很常見的安全控制措施,它在信息全保障系統(tǒng)中,屬于()措施。A、保護(hù)B、檢測C、響應(yīng)D、恢復(fù)答案：B121.WindowsNT提供的分布式安全環(huán)境又被稱為:A、域(Domain)B、工作組C、對等網(wǎng)D、安全網(wǎng)答案：A122.某單位信息安全崗位員工,利用個人業(yè)余時間,在社交網(wǎng)絡(luò)平臺上向業(yè)內(nèi)同不定

期發(fā)布信息安全相關(guān)知識和前沿動態(tài)資訊,這一行為主要符合以下哪一條注冊信息安

全專業(yè)人員(CISP)職業(yè)道德準(zhǔn)則:A、避免任何損害CISP聲譽形象的行為B、自覺維護(hù)公眾信息安全,拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)泄露個人隱私的行為C、幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力D、不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件答案：C123.以下哪一項不是我國信息安全保障的原則:A、立足國情,以我為主,堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全C、統(tǒng)籌規(guī)劃,突出重點,強化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責(zé)任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國家信息安

全保障體系答案：A解析：A的正確描述為立足國情,以我為主,堅持以技術(shù)和管理并重。124.下列關(guān)于軟件需求管理與需求開發(fā)的論述正確的是()A、所謂需求管理,是指對需求開發(fā)的管理B、需求管理包括:需求獲取、需求分析、需求定義各需求驗證C、需求開發(fā)是將用戶需求轉(zhuǎn)換為應(yīng)用系統(tǒng)成果的過程D、在需求管理中要求維持對原有需求和所有的產(chǎn)品需求的雙向跟蹤答案：D解析：https://wenku.baidu./view/51390fbe64ce0508763231126edb6f1aff007118.html,百度文庫。[解析]所有與需求直接相關(guān)的活動通稱為需求工程。需求工程的活動可分為需求開發(fā)和需求管理兩大類。其中,需求開發(fā)的目的是通過調(diào)查與分析,獲取用戶需求并定義產(chǎn)品需求。需求開發(fā)主要有需求獲取、需求分析、需求定義和需求驗證等4個過程。需求管理的目的是確保各方對需求的一致理解、管理和控制需求的變更,從需求到最終產(chǎn)品的雙向跟蹤。在需求管理中,要收集需求的變更和變更的理由,并且維持對原有需求和產(chǎn)品及構(gòu)件需求的雙向跟蹤。125.以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分:A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實施答案：D解析：監(jiān)理模型包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。應(yīng)急響應(yīng)與災(zāi)備恢復(fù)126.以下哪一項不是信息系統(tǒng)集成項目的特點:A、信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù),開發(fā)相應(yīng)的軟件和硬件,將其集成到信息系統(tǒng)的

過程C、信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實施”D、信息系統(tǒng)集成包含技術(shù),管理和商務(wù)等方面,是一項綜合性的系統(tǒng)工程答案：B127.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分,信息安全工程監(jiān)理適用的信息化工程中,以下選擇最合適的是:A、通用布纜系統(tǒng)工程B、電子設(shè)備機房系統(tǒng)工程C、計算機網(wǎng)絡(luò)系統(tǒng)工程D、以上都適用答案：D解析：ABC都包括相應(yīng)的監(jiān)理工作。128.某社交網(wǎng)站的用戶點擊了該網(wǎng)站上的一個廣告。該廣告含有一個跨站腳本,會將他的瀏覽

器定向到旅游網(wǎng)站,旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動訪問該旅

游網(wǎng)站,但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息(還有他的好友們的信息),于是犯罪

分子便可以躲藏在社交網(wǎng)站的廣告后面,截獲用戶的個人信息了,這種向Web頁面插入惡

意html代碼的攻擊方式稱為()A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊

7/36答案：B129.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段,為了保證用戶賬戶的安全,

項目開發(fā)人員決定用戶登陸時除了用戶名口令認(rèn)證方式外,還加入基于數(shù)字證書的身

份認(rèn)證功能,同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中,請問以上安

全設(shè)計遵循的是哪項安全設(shè)計原則:A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機制原則答案：C130.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試,下列問題中哪個最應(yīng)該引起關(guān)注()A、由于有限的測試時間窗,僅僅測試了最必須的系統(tǒng),其他系統(tǒng)在今年的剩余時間里陸續(xù)單獨測試B、在測試的過程中,有些備份系統(tǒng)有缺陷或者不能正常工作,從而導(dǎo)致這些系統(tǒng)的測試失敗C、在開啟備份站點之前關(guān)閉和保護(hù)原生產(chǎn)站點的過程比計劃需要多得多的時間D、每年都是由相同的員工執(zhí)行此測試,由于所有的參與者都很熟悉每一個恢復(fù)步驟,因而沒有使用災(zāi)難恢復(fù)計劃(D.RP)文檔答案：B131.GB/T18336<<信息技術(shù)安全性評估準(zhǔn)則>>(CC)是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義了保護(hù)輪廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST)的評估準(zhǔn)則,提出了評估保證級(EvaluationAssuranceLevel,EAL),其評估保證級共分為()個遞增的評估保證等級A、4B、5C、6D、7答案：D解析：EAL1~EAL7,EAL7是最高,EAL1是最低。132.某政府機構(gòu)擬建設(shè)一機房,在工程安全監(jiān)理單位參與下制定了招標(biāo)文件,

項目分二期,一期目標(biāo)為年內(nèi)實現(xiàn)系統(tǒng)上線運營,二期目標(biāo)為次年上半年完

成運行系統(tǒng)風(fēng)險的處理:招標(biāo)文件經(jīng)營管理層審批后發(fā)布,就此工程項目而

言,以下正確的是:A、此項目將項目目標(biāo)分解為系統(tǒng)上線運營和運行系統(tǒng)風(fēng)險處理分期實施,具有合理性和可行性B、在工程安全監(jiān)理的參與下,確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營管理層審批,表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃答案：C解析：安全工程的原則是同步規(guī)劃、同步實施。133.關(guān)于我國信息安全保障的基本原則,下列說法中不正確的是:A、要與國際接軌,積極吸收國外先進(jìn)經(jīng)驗并加強合作,遵循國際標(biāo)準(zhǔn)和通行做法,堅持管

理與技術(shù)并重B、信息化發(fā)展和信息安全不是矛盾的關(guān)系,不能犧牲一方以保證另一方C、在信息安全保障建設(shè)的各項工作中,既要統(tǒng)籌規(guī)劃,又要突出重點D、在國家信息安全保障工作中,要充分發(fā)揮國家、企業(yè)和個人的積極性,不能忽視任何

一方的作用。答案：A解析：我國信息安全保障首先要遵循國家標(biāo)準(zhǔn)。16/26134.在某信息系統(tǒng)的設(shè)計中,用戶登陸過程是這樣的:(1)用戶通過HTTP協(xié)議訪問信息系統(tǒng);

2)用戶在登陸頁面輸入用戶名和口令;(3)信息系統(tǒng)在服務(wù)器端檢查用戶名和密碼的正

確性,如果正確,則鑒別完成。可以看出,這個鑒別過程屬于()。A、單向鑒別B、雙向鑒別C、三向鑒別D、第三方鑒別答案：A135.什么是系統(tǒng)變更控制中最重要的內(nèi)容?A、所有的變更都必須文字化,并被批準(zhǔn)B、變更應(yīng)通過自動化工具來實施

第11頁共24頁C、應(yīng)維護(hù)系統(tǒng)的備份D、通過測試和批準(zhǔn)來確保質(zhì)量答案：A136.某單位人員管理系統(tǒng)在人員離職時進(jìn)行賬號刪除,需要離職員工所在部

門主管經(jīng)理和人事部門人員同時進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行,該設(shè)計是遵循

了軟件安全哪項原則A、最小權(quán)限B、權(quán)限分離C、不信任D、縱深防御答案：B137.終端訪問控制器訪問控制系統(tǒng)(TERMINALAC.C.essC.ontrollerAC.C.ess-C.ontrolSystem,TAC.AC.S),在認(rèn)證過程中,客戶機發(fā)送一個START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個認(rèn)證會話開始時使用一個,序列號永遠(yuǎn)為().服務(wù)器收到START包以后,回送一REPLY包,表示認(rèn)證繼續(xù)還是結(jié)束。A、0B、1C、2D、4答案：B138.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ),但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)

絡(luò)安全的一個重要組成部分。下面描述中,錯誤的是()A、在實際應(yīng)用中,密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定,不要限制和框住的執(zhí)行步驟,有些復(fù)雜的步驟可以不明確處理方式。B、密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟,協(xié)議中的每個參與方都必須了解協(xié)議,且按步驟執(zhí)行。C、根據(jù)密碼協(xié)議應(yīng)用目的的不同,參與該協(xié)議的雙方可能是朋友和完全信息的人,也可能是敵人和互相完全不信任的人。D、密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議,其末的是提供安全服務(wù)。答案：A解析：密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟,有些復(fù)雜的步驟必須要明確處理方式。139.北京某公司利用SSE-CMM對其自身工程隊伍能力進(jìn)