CISP参考题集(技术类)

1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务：B,

A、为政府单位信息系统进行安全方案设计,

B、在信息安全公司从事保安工作,

C、在公开场合宣讲安全知识,

D、在学校讲解信息安全课程,

,,

2.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其所用，是指（）：C,

A、完整性,

B、可用性,

C、保密性,

D、抗抵赖性,

,,

3.下列信息系统安全说法正确的是：D,

A、加固所有的服务器和网络设备就可以保证网络的安全,

B、只要资金允许就可以实现绝对的安全,

C、断开所有的服务可以保证信息系统的安全,

D、信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略,

,,

4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务，其中机密性服务描述正确的是：B,

A、包括原发方抗抵赖和接受方抗抵赖,

B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密,

C、包括对等实体鉴别和数据源鉴别,

D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性,

,,

5.电子商务交易必须具备抗抵赖性，目的在于防止___。B,

A、一个实体假装另一个实体,

B、参与此交易的一方否认曾经发生过此次交易,

C、他人对数据进行非授权的修改、破坏,

D、信息从被监视的通信过程中泄露出去,

,,

6.下列哪一项准确地描述了可信计算基（TCB）?C,

A、TCB只作用于固件（Firmware）,

B、TCB描述了一个系统提供的安全级别,

C、TCB描述了一个系统内部的保护机制,

D、TCB通过安全标签来表示数据的敏感性,

,,

7.下面关于访问控制模型的说法不正确的是：C,

A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权,

B、DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问。访问许可必须被显示地赋予访问者,

C、在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个主体能访问哪个对象。但用户可以改变它。,

D、RBAC模型中管理员定义一系列角色（roles）并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。,

,,

8.安全模型明确了安全策略所需的数据结构和技术，下列哪项最好描述了安全模型中的“简单安全规则”？D,

A、Biba模型中的不允许向上写,

B、Biba模型中的不允许向下读,

C、Bell-Lapadula模型中的不允许向下写,

D、Bell-Lapadula模型中的不允许向上读,

,,

9.以下关于访问控制模型错误的是？C,

A、访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制。,

B、自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问。,

C、基于角色的访问控制RBAC中，“角色”通常是根据行政级别来定义的。,

D、强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策,

,,

10.下面对于CC的“评估保证级”（EAL）的说法最准确的是：D,

A、代表着不同的访问控制强度,

B、描述了对抗安全威胁的能力级别,

C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求,

D、由一系列保证组件构成的包，可以代表预先定义的保证尺度,

,,

11.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？D,

A、Bell-Lapadula模型,

B、Biba模型,

C、信息流模型,

D、Clark-Wilson模型,

,,

12.以下哪一项关于Bell-Lapadula模型特点的描述是错误的？B,

A、强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱,

B、既定义了主体对客体的访问，也说明了主体对主体的访问。因此。它适用于网络系统,

C、它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的特点,

D、比起那些较新的模型而言，Bell-Lapadula定义的公理很简单，更易于理解，与所使用的实际系统具有直观的联系,

,,

13.下面对于基于角色的访问控制的说法错误的是？D,

A、它将若干特定的用户集合与权限联系在一起,

B、角色一般可以按照部门、岗位、工程等与实际业务紧密相关的类别来划分,

C、因为角色的变动往往低于个体的变动，所以基于角色的访问控制维护起来比较便利,

D、对于数据库系统的适应性不强，是其在实际使用中的主要弱点,

,,

14.下面哪类访问控制模型是基于安全标签实现的？B,

A、自主访问控制,

B、强制访问控制,

C、基于规则的访问控制,

D、基于身份的访问控制,

,,

15.根据PPDR模型：D,

A、一个信息系统的安全保障体系应当以人为核心、防护、检测和恢复组成一个完整的、动态的循环,

B、判断一个系统的安全保障能力，主要是安全策略的科学性与合理性，以及安全策略的落实情况,

C、如果安全防护时间小于检测时间加响应时间，则该系统一定是不安全的,

D、如果一个系统的安全防护时间为0，则系统的安全性取决于暴露时间,

,,

16.有关密码学分支的定义，下列说法中错误的是：B,

A、密码学是研究信息系统安全保密的科学，由两个相互对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学,

B、密码编码学是对密码体制、密码体制的输入输出关系进行分析、以便推出机密变量、包括明文在内的敏感数据,

C、密码分析学主要研究加密信息的破译或信息的伪造,

D、密码编码学主要研究对信息进行编码，实现信息的隐藏,

,,

17.非对称密钥的密码技术具有很多优点，其中不包括：B,

A、可提供数字签名、零知识证明等额外服务,

B、加密/解密速度快，不需占用较多资源,

C、通信双方事先不需要通过保密信道交换密钥,

D、密钥持有量大大减少,

,,

18.下列哪一项最好地描述了哈希算法、数字签名和对称密钥算法分别提供的功能？C,

A、身份鉴别和完整性，完整性，机密性和完整性,

B、完整性，身份鉴别和完整性，机密性和可用性,

C、完整性，身份鉴别和完整性，机密性,

D、完整性和机密性，完整性，机密性,

,,

19.以下哪一项是基于一个大的整数很难分解成两个素数因数？B,

A、ECC,

B、RSA,

C、DES,

D、D-H,

,,

20、电子邮件的机密性与真实性是通过下列哪一项实现的？A,

A、用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密,

B、用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密,

C、用接受者的私钥对消息进行签名，用发送者的公钥对消息进行加密,

D、用接受者的公钥对消息进行签名，用发送者的私钥对消息进行加密,

,,

21、一名攻击者试图通过暴力攻击来获取？A,

A、加密密钥,

B、加密算法,

C、公钥,

D、密文,

,,

22、在标准GBXXXX-XX中对机房安全等级划分正确的是？B,

A、划分为A、B两级,

B、划分为A、B、C三级,

C、划分为A、B、C、D四级,

D、划分为A、B、C、D、E五级,

,,

23、指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例：A,

A、你是什么,

B、你有什么,

C、你知道什么,

D、你做了什么,

,,

25、在OSI模型中，主要针对远程终端访问，任务包括会话管理、传输同步以及活动管理等以下是哪一层？C,

A、应用层,

B、物理层,

C、会话层,

D、网络层,

,,

27、下列哪个协议可以防止局域网的数据链路层的桥接环路B,

A、HSRP,

B、STP,

C、VRRP,

D、OSPF,

,,

28、以下哪个不是应用层防火墙的特点C,

A、更有效地阻止应用层攻击,

B、工作在OSI模型的第七层,

C、速度快且对用户透明,

D、比较容易进行审计,

,,

30、以下哪项不是IDS可以解决的问题：A,

A、弥补网络协议的弱点,

B、识别和报告对数据文件的改动,

C、统计分析系统中异常活动模式,

D、提升系统监控能力,

,,

31、私网地址用于配置本地网络、下列地址中属私网地址的是？C,

A、,

B、,

C、,

D、,

,,

32、下面哪类设备常用于风险分析过程中，识别系统中存在的脆弱性？C,

A、防火墙,

B、IDS,

C、漏洞扫描器,

D、UTM,

,,

33、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：C,

A、访问控制列表,

B、系统服务配置情况,

C、审计记录,

D、用户帐户和权限的设置,

,,

34、网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换，下列隔离技术中，安全性最好的是？A,

A、多重安全网关,

B、防火墙,

C、VLAN隔离,

D、物理隔离,

,,

35、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？B,

A、用户访问日志、安全性日志、系统日志和IE日志,

B、应用程序日志、安全性日志、系统日志和IE日志,

C、网络攻击日志、安全性日志、记账日志和IE日志,

D、网络链接日志、安全性日志、服务日志和IE日志,

,,

36、windows操作系统的注册表运行命令是B,

A、regswr32,

B、regedit,

C、regedit.msc,

D、regedit.mmc,

,,

37、以下windows服务的说法错误的是（C）,

A、为了提升系统的安全性管理员应尽量关闭不需要的服务,

B、可以作为独立的进程运行或以DLL的形式依附在Svchost.exe,

C、windows服务只有在用户成功登陆系统后才能运行,

D、windows服务通常是以管理员的身份运行的,

,,

38、Linux系统格式化分区用哪个命令：A,

A、fdisk,

B、mv,

C、mount,

D、df,

,,

39、下面一行是某个UNIX文件的详情，关于该文件权限的描述不正确的是（B）,

A、这是一个目录，名称是“file”,

B、文件属性是group,

C、“其他人”对该文件具有读、写、执行权限,

D、user的成员对此文件没有写权限,

,,

40、LINUX系统的/etc目录从功能上看相当于windows的哪个目录B,

A、programfiles,

B、windows,

C、systemvolumeinformation,

D、TEMP,

,,

41、如果想用windows的网上邻居方式和linux系统进行文件共享，那么在linux系统中要开启哪个服务：C,

A、DHCP,

B、NFS,

C、SAMBA,

D、SSH,

,,

42、数据库管理员在检查数据库时发现数据库的性能不理想，他准备通过对部分数据表实施去除规范性（denormanization）操作来提高数据库性能，这样做将增加下列哪项风险？D,

A、访问的不一致,

B、死锁,

C、对数据的非授权访问,

D、数据完整性的损害,

,,

43、下面关于IIS报错信息含义的描述正确的是？B,

A、401-找不到文件,

B、403-禁止访问,

C、404-权限问题,

D、500-系统错误,

44、宏病毒是一种专门感染微软office格式文件的病毒，下列（A）文件不可能感染该病毒。,

A、*.exe,

B、*.doc,

C、*.xls,

D、*.ppt,

,,

45、以下对于蠕虫病毒的描述错误的是：C,

A、蠕虫的传播无需用户操作,

B、蠕虫会消耗内存或网络带宽，导致DOS,

C、蠕虫的传播需要通过“宿主”程序或文件,

D、蠕虫程序一般由“传播模块”、“隐藏模块”、“目的功能模块”构成,

,,

46、为了防止电子邮件中的恶意代码，应该由____方式阅读电子邮件A,

A、纯文本,

B、网页,

C、程序,

D、会话,

,,

47、以下哪一项不是流氓软件的特征？D,

A、通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装,

B、通常添加驱动保护使用户难以卸载,

C、通常会启动无用的程序浪费计算机的资源,

D、通常会显示下流的言论,

,,

48、在典型的web应用站点的层次结构中，“中间件”是在哪里运行的？C,

A、浏览器客户端,

B、web服务器,

C、应用服务器,

D、数据库服务器,

,,

49、为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制？D,

A、SMTP身份认证,

B、逆向名字解析,

C、黑名单过滤,

D、内容过滤,

,,

50、无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于：A,

A、设计型漏洞,

B、开发型漏洞,

C、运行型漏洞,

D、以上都不是,

,,

51、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击?C,

A、中断,

B、篡改,

C、侦听,

D、伪造,

,,

52、关于黑客注入攻击说法错误的是：C,

A、它的主要原因是程序对用户的输入缺乏过滤,

B、一般情况下防火墙对它无法防范,

C、对它进行防范时要关注操作系统的版本和安全补丁,

D、注入成功后可以获取部分权限,

,,

54、下面对于Rootkit技术的解释不准确的是：B,

A、Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具,

B、Rootkit是一种危害大、传播范围广的蠕虫,

C、Rootkit和系统底层技术结合十分紧密,

D、Rootkit的工作机制是定位和修改系统的特定数据改变系统的正常操作流程,

,,

55、以下对跨站脚本攻击（XSS）的解释最准确的一项是：D,

A、引诱用户点击虚假网络链接的一种攻击方法,

B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问,

C、一种很强大的木马攻击手段,

D、将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的,

,,

56、以下哪一项是常见WEB站点脆弱性扫描工具：A,

A、AppScan,

B、Nmap,

C、Sniffer,

D、LC,

,,

57、下面哪一项是黑客用来实施DDOS攻击的工具：D,

A、LC5,

B、Rootkit,

C、Icesword,

D、Trinoo,

,,

58、对于信息系统访问控制说法错误的是？B,

A、应该根据业务需求和安全要求置顶清晰地访问控制策略，并根据需要进行评审和改进,

B、网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决,

C、做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任,

D、移动计算和远程工作技术在广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施,

,,

59、下面哪一项最好地描述了组织机构的安全策略？c,

A、定义了访问控制需求的总体指导方针,

B、建议了如何符合标准,

C、表明管理者意图的高层陈述,

D、表明所使用的技术控制措施的高层陈述,

,,

60、资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤。下面关于资产清单的说法错误的是：B,

A、资产清单的编制是风险管理的一个重要的先决条件,

B、信息安全管理中所涉及的信息资产，即业务数据、合同协议、培训材料等,

C、在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别,

D、资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等,

,,

61、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成？C,

A、确保风险评估过程是公平的,

B、因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责,

C、因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况,

D、风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成,

,,

62、信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时需要重点考虑的？C,

A、信息的价值,

B、信息的时效性,

C、信息的存储方式,

D、法律法规的规定,

,,

63、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？C,

A、对安全违规的发现和验证是进行惩戒的重要前提,

B、惩戒措施的一个重要意义在于它的威慑性,

C、出于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训,

D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重,

,,

64、风险分析的目标是达到：A,

A、风险影响和保护性措施之间的价值平衡,

B、风险影响和保护性措施之间的操作平衡,

C、风险影响和保护性措施之间的技术平衡,

D、风险影响和保护性措施之间的逻辑平衡,

,,

65、以下对“信息安全风险”的描述正确的是A,

A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险,

B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险,

C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险,

D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险,

,,

66、在ISO27001-2005中，制定风险处置计划应该在PDCA的哪个阶段进行？A,

A、Plan,

B、Do,

C、Check,

D、Act,

,,

67、在冗余磁盘陈列中，以下不具有容错技术的是——A,

A、RAID0,

B、RAID1,

C、RAID3,

D、RAID5,

,,

,,

68、为了达到组织灾难恢复的要求，备份时间间隔不能超过；C,

A、服务水平目标（SLO）,

B、恢复时间目标(RTO),

C、恢复点目标(RPO),

D、停用的最大可接受程度(MAO),

,,

,,

69、以下对信息安全应急响应说法错误的是？D,

A、明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的--------,

B、仅仅处理好紧急事件不是应急工作的的全部，通过信息安全事件进行总结和学习是很重要--------,

C、对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要内容,

D、作为一个单位的信息安全主管，在安全事件中主要任务------------------完全是执法机构的事,

,,

,,

71、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势，数据大集中就是将数据集中存储和管理，为业务信息系统的运行搭建了统一的数据平台，对这种做法的认识正确的是？D,

A．数据库系统庞大会提高管理成本,

B．数据库系统庞大会降低管理效率,

C．数据的集中会降低风险的可控性,

D.数据的集中会造成风险的集中,

,,

72、对程序源代码进行访问控制管理时，以下那种做法是错误的？C,

A．若有可能，在实际生产系统中不保留源程序库。,

B．对源程序库的访问进行严格的审计,

C．技术支持人员应可以不受限制的访问源程序,

D．对源程序库的拷贝应受到严格的控制规程的制约,

,,

73、以下对系统日志信息的操作中哪项是最不应当发生的？A,

A、对日志内容进行编辑,

B、只抽取部分条目进行保存和查看,

C、用新的日志覆盖旧的日志,

D、使用专用工具对日志进行分析,

,,

74、以下哪一项是对信息系统经常不能满足用户需求的最好解释：C,

A、没有适当的质量管理工具,

B、经常变化的用户需求,

C、用户参与需求挖掘不够,

D、项目管理能力不强,

,,

75、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的？C,

A、进行系统备份,

B、管理加密密钥,

C、认可安全控制措施,

D、升级安全软件,

,,

76、在信息安全管理工作中“符合性”的含义不包括哪一项？C,

A、对法律法规的符合,

B、对安全策略和标准的符合,

C、对用户预期服务效果的符合,

D、通过审计措施来验证符合情况,

,,

,,

77、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别？C,

A、审计措施不能自动执行，而检测措施可以自动执行,

B、监视措施不能自动执行，而审计措施可以自动执行,

C、审计措施是一次性地或周期性地进行，而监测措施是实时地进行,

D、监测措施一次性地或周期性地进行，而审计措施是实时地进行,

,,

,,

78、口令是验证用户身份的最常用手段，以下哪一种口令的潜在风险影响范围最大？D,

A、长期没有修改的口令,

B、过短的口令,

C、两个人公用的口令,

D、设备供应商提供的默认口令,

,,

79、系统工程是信息安全工程的基础学科，钱学森说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的A,

A、系统工程是一种方法论,

B、系统工程是一种技术实现,

C、系统工程是一种基本理论,

D、系统工程不以人参与系统为研究对象,

,,

80、项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的：A,

A、项目管理的基本要素是质量，进度和成本,

B、项目管理的基本要素是范围，人力和沟通,

C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织,

D、项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理,

,,

81、在信息系统的设计阶段必须做以下工作除了：C,

A、决定使用哪些安全控制措施,

B、对设计方案的安全性进行评估,

C、开发信息系统的运行维护手册,

D、开发测试、验收和认可方案,

,,

,,

82、进行信息安全管理体系的建设是一个涉及企业文化，信息系统特点，法律法规等多方面因素的负杂过程，人们在这样的过程中总结了许多经验，下面哪一项是最不值得赞同的？d,

A、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持,

B、制定的信息安全管理措施应当与组织的文化环境相匹配,

C、应该对ISO27002等国际标注批判地参考，不能完全照搬,

D、借助有经验的大型国际咨询公司，往往可以提高管理体系的执行效,

,,

83、信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的发掘和对——————的理解，以经济，科学的方法来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。A,

A、安全风险,

B、安全保障,

C、安全技术,

D、安全管理,

,,

84、关于SSE-CMM的描述错误的是：D,

A、1993年4月美国国家安全局资助，有安全工业界，英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。,

B、SSE-CMM的能力级别分为6个级别。,

C、SSE-CMM讲安全工程过程划分为三类：风险、工程和保证。,

D、SSE的最高能力级别是量化控制,

,,

,,

85、下面对SSE-CMM说法错误的是？D,

A、它通过域维和能力维共同形成对安全工程能力的评价,

B、域维定义了工程能力的所有实施活动,

C、能力维定义了工程能力的判断标注,

D、“公共特征”是域维中对获得过程区目标的必要步骤的定义,

,,

86在SSE-CMM中对工程过程能力的评价分为三个层次，由宏,

观到微观依次是A,

A能力级别-公共特征（CF）-通用实践（GP）,

B能力级别-通用实践-（GP）-公共特征（CF）,

C通用实践-（GP）-能力级别-公共特征（CF）,

D公共特征（CF）-能力级别-通用实践-（GP）、,

,,

,,

87、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？B,

A、规划跟踪定义,

B、充分定义级,

C、量化控制级,

D、持续改进级,

,,

88、“配置管理”是系统工程的重要概念，他在软件工程和信息安全工程中得到广泛应用下面对“配置管理”解释最准确的是？B,

A、配置管理的本质是变更流程管理,

B、配置管理是一个对系统（包括软件、硬件、文档、测试设备、开发\维护设备）所有变化进行控制的过程,

C、配置管理是对信息系统的技术参数进行管理,

D、管理配置是对系统基线和源代码的版本进行管理,

,,

89、根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的？A,

A、获得用户对安全需求的理解,

B、建立安全控制的职责,

C、管理安全控制的配置,

D、进行针对安全控制的教育培训,

,,

90、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容：A,

A、改进组织能力,

B、定义标准过程,

C、协调安全实施,

D、执行已定义的过程,

,,

91、下面哪项不是工程实施阶段信息安全工程监理的主要目标？C,

A、明确工程实施计划、对于计划的调整必须合理、受控,

B、促使工程中所适用的产品和服务符合承建合同及国家相关法律、法规和标准,

C、促使业务单位与承建单位充分沟通，形成深化的安全需求,

D、促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符,

,,

92、在国家标准中，属于强制性标准的是：B,

A、GB/TXXXX-X-200X,

B、GBXXXX-200X,

C、DBXX/TXXX-200X,

D、QXXX-XXX-200X,

,,

93、在何种情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全事件？A,

A、当信息安全事件的负面影响扩展到本组织意外时,

B、只要发生了安全事件就应当公告,

C、只有公众的什么财产安全受到巨大危害时才公告,

D、当信息安全事件平息之后,

,,

94、下面对ISO27001的说法最准确的是：D,

A、该标准的题目是信息安全管理体系实施指南,

B、该标准为度量信息安全管理体系的开发和实施提供的一套标准,

C、该标准提供了一组信息安全管理相关的控制和最佳实践,

D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型,

,,

95、ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于：A,

A、IT安全控制、IT过程管理和IT控制和度量评价,

B、IT过程管理、IT安全控制和IT控制和度量评价,

C、IT控制和度量评价、IT安全控制和IT安全控制,

D、IT过程管理、IT控制和度量评价、IT安全控制,

,,

96、以下对于IATF信息安全保障技术框架的说法错误的是：,C

A、它由美国国家安全局公开发布,

B、它的核心思想是信息安全深度防御（Defense-in-Depth）,

C、它认为深度防御应当从策略、技术和运行维护三个层面来进行,

D、它将信息系统保障的技术层面分为计算环境、区域边界、网络和基础设置和支撑性技术设施4个部分,

,,

97、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定：D,

A、威胁、脆弱性,

B、系统价值、风险,

C、信息安全、系统服务安全,

D、受侵害的客体、对客体造成侵害的程度业务,

,,

98、下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：C,

A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定,

B、各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级,

C、对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案。,

D、对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定,

,,

99、下面有关我国标准化管理和组织机构的说法错误的是？C,

A、国家标准化管理委员会是统一管理全国标准化工作的主管机构,

B、国家标准化技术委员会承担着国家标准的制定和修改巩工作,

C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布,

D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目,

,,

100、我国规定商用密码产品的研发、制造、销售和使用采取专控管理，必须经过审批，所依据的是：A,

A、商用密码管理条例,

B、中华人民共和国计算机信息系统安全保护条例,

C、计算机信息系统国际联网保密管理规定,

D、中华人民共和国保密法,

,,

"1.

人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:",

A.为了更好地完成组织机构的使命&,

B.针对信息系统的攻击方式发生重大变化,

C.风险控制技术得到革命性的发展,

"D.除了保密性,信息的完整性和可用性也引起人们的关注",

,,

2.

信息安全保障的最终目标是:,

"A.掌握系统的风险,制定正确的策略",

B.确保系统的保密性、完整性和可用性,

C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求&,

D.保障信息系统实现组织机构的使命,

,,

3.

关于信息保障技术框架（IATF），下列哪种说法是错误的？,

"A．IATF强调深度防御（Defense-in-Depth）,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障；",

"B.IATF强调深度防御（Defense-in-Depth）,即对信息系统采用多层防护，实现组织的业务安全运作",

C.IATF强调从技术、管理和人等多个角度来保障信息系统的安全；,

D.IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全&,

,,

4.

依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）是从信息系统安全保障____的角度来描述的信息系统安全保障方案。,

A.建设者,

B.所有者,

C.评估者&,

D.制定者,

,,

5.

以下关于信息系统安全保障是主观和客观的结合说法错误的是：,

A.通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。,

B.信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全&,

C.是一种通过客观证据向信息系统所有者提供主观信心的活动,

D.是主观和客观综合评估的结果；,

,,

6.

信息系统保护轮廓（ISPP）定义了__.,

A.

某种类型信息系统的与实现无关的一组系统级安全保障要求,

B.

某种类型信息系统的与实现相关的一组系统级安全保障要求&,

C.

某种类型信息系统的与实现无关的一组系统级安全保障目的,

D.

某种类型信息系统的与实现相关的一组系统级安全保障目的,

,,

7.

以下对PPDR模型的解释错误的是：,

A．该模型提出以安全策略为核心，防护、检测和恢复组成一个完整的，,

B．该模型的一个重要贡献是加进了时间因素，而且对如何实现系统安全状态给出了操作的描述,

C．该模型提出的公式1：Pt>Dt+Rt，代表防护时间大于检测时间加响应时间,

D．该模型提出的公式1：Pt＝Dt+Rt，代表防护时间为0时，系统检测时间等于检测时间加响应时间&,

,,

8.

以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一？,

A．提高信息技术产品的国产化率,

B．保证信息安全资金投入&,

C．加快信息安全人才培养,

D．重视信息安全应急处理工作,

,,

9.

谁首先提出了扩散－混淆的概念并应用于密码学领域？,

A.

香农&,

B.

Shamir,

C.

Hellman,

D.

图灵,

,,

10.

以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题？,

A．大整数分解,

B．离散对数问题,

C．背包问题,

D．伪随机数发生器&,

,,

11.

下列关于kerckhofff准则的合理性阐述中，哪一项是正确的？,

A.

保持算法的秘密比保持密钥的秘密性要困难得多,

B.

密钥一旦泄漏，也可以方便地更换,

C.

在一个密码系统中，密码算法是可以公开的，密钥应保证安全&,

D.

公开的算法能够经过更严格的安全性分析,

,,

12.

以下关于RSA算法的说法，正确的是：,

A.

RSA不能用于数据加密,

B.

RSA只能用于数字签名,

C.

RSA只能用于密钥交换,

D.

RSA可用于加密，数字签名和密钥交换体制&,

,,

13.

Hash算法的碰撞是指：,

A.

两个不同的消息，得到相同的消息摘要&,

B.

两个相同的消息，得到不同的消息摘要,

C.

消息摘要和消息的长度相同,

D.

消息摘要比消息的长度更长,

,,

14.

下列哪种算法通常不被用于保证机密性？,

A.

AES,

B.

RC4,

C.

RSA,

D.

MD5&,

,,

15.

数字证书的功能不包括：,

A.

加密,

B.

数字签名,

C.

身份认证,

D.

消息摘要&,

,,

16.

下列哪一项是注册机构（RA）的职责？,

A．证书发放,

B．证书注销,

C．提供目录服务让用户查询,

D．审核申请人信息&,

,,

17.

IPsec工作模式分别是：,

A.

一种工作模式：加密模式,

B.

三种工作模式：机密模式、传输模式、认证模式,

C.

两种工作模式：隧道模式、传输模式&,

D.

两种工作模式：隧道模式、加密模式,

,,

18.

下列哪些描述同SSL相关？,

A.

公钥使用户可以交换会话密钥，解密会话密钥并验证数字签名的真实性&,

B.

公钥使用户可以交换会话密钥，验证数字签名的真实性以及加密数据,

C.

私钥使用户可以创建数字签名，加密数据和解密会话密钥。,

19.

下列关于IKE描述不正确的是：,

A．IKE可以为IPsec协商关联,

B．IKE可以为RIPV2\OSPPV2等要求保密的协议协商安全参数&,

C．IKE可以为L2TP协商安全关联,

D．IKE可以为SNMPv3等要求保密的协议协调安全参数,

,,

20.

下面哪一项不是VPN协议标准？,

A.

L2TP,

B.

IPSec,

C.

TACACS&,

D.

PPTP,

,,

21.

自主访问控制与强制访问控制相比具有以下哪一个优点？,

A．具有较高的安全性,

B．控制粒度较大,

C．配置效率不高,

D．具有较强的灵活性&,

,,

22.

以下关于ChineseWall模型说法正确的是,

A.

Bob可以读银行a的中的数据，则他不能读取银行c中的数据&,

B.

模型中的有害客体是指会产生利益冲突，不需要限制的数据,

C.

Bob可以读银行a的中的数据，则他不能读取石油公司u中的数据,

D.

Bob可以读银行a的中的数据，Alice可以读取银行b中的数据，他们都能读取在油公司u中的数据，由则Bob可以往石油公司u中写数据,

,,

23.

以下关于BLP模型规则说法不正确的是：,

A．BLP模型主要包括简单安全规则和*-规则,

B．*-规则可以简单表述为下写&,

C．主体可以读客体，当且仅当主体的安全级可以支配客体的安全级，且主体对该客体具有自主型读权限,

D．主体可以读客体，当且仅当客体的安全级可以支配主体的安全级，且主体对该客体具有自主型读权限,

,,

24.

以下关于RBAC模型说法正确的是：,

A．该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限,

B．一个用户必须扮演并激活某种角色，才能对一个象进行访问或执行某种操作&,

C．在该模型中，每个用户只能有一个角色,

D．在该模型中，权限与用户关联，用户与角色关联,

,,

25.

下列对常见强制访问控制模型说法不正确的是：,

A．BLP影响了许多其他访问控制模型的发展,

B．Clark-Wilson模型是一种以事物处理为基本操作的完整性模型,

C．ChineseWall模型是一个只考虑完整性的安全策略模型&,

D．Biba模型是一种在数学上与BLP模型对偶的完整性保护模型,

,,

26.

访问控制的主要作用是：,

A.

防止对系统资源的非授权访问,

B.

在安全事件后追查非法访问活动,

C.

防止用户否认在信息系统中的操作,

D.

以上都是&,

,,

27.

作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？,

A．自主访问控制（DAC）,

B．强制访问控制(MAC),

C．基于角色访问控制(RBAC)&,

D．最小特权(LEASTPrivilege),

,,

28.

下列对kerberos协议特点描述不正确的是：,

A.

协议采用单点登录技术，无法实现分布式网络环境下的认证—,

B.

协议与授权机制相结合，支持双向的身份认证,

C.

只要用户拿到了TGT并且TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码,

D.

AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全,

,,

29.

以下对单点登录技术描述不正确的是：,

A．单点登录技术实质是安全凭证在多个用户之间的传递或共享&,

B．使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用,

C．单点登录不仅方便用户使用，而且也便于管理,

D．使用单点登录技术能简化应用系统的开发,

,,

30.

下列对标识和鉴别的作用说法不正确的是：,

A.

它们是数据源认证的两个因素,

B.

在审计追踪记录时，它们提供与某一活动关联的确知身份,

C.

标识与鉴别无法数据完整性机制结合起来使用&,

D.

作为一种必要支持，访问控制的执行依赖于标识和鉴别确知的身份,

,,

31.

下面哪一项不属于集中访问控制管理技术？,

A．RADIUS,

B．TEMPEST&,

C．TACACS,

D．Diameter,

,,

32.

安全审计是系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用？,

A．辅助辨识和分析未经授权的活动或攻击,

B．对与已建立的安全策略的一致性进行核查,

C．及时阻断违反安全策略的致性的访问&,

D．帮助发现需要改进的安全控制措施,

,,

33.

下列对蜜网关键技术描述不正确的是：,

A.

数据捕获技术能够检测并审计黑客的所有行为数据,

B.

数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动，使用工具及其意图,

C.

通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全&,

D.

通过数据控制、捕获和分析，能对活动进行监视、分析和阻止,

,,

34.

以下哪种无线加密标准中哪一项的安全性最弱？,

A．Wep&,

B．wpa,

C．wpa2,

D．wapi,

,,

35.

路由器的标准访问控制列表以什么作为判别条件？,

A.

数据包的大小,

B.

数据包的源地址&,

C.

数据包的端口号,

D.

数据包的目的地址,

,,

36.

通常在设计VLAN时，以下哪一项不是VIAN规划方法？,

A．基于交换机端口,

B．基于网络层协议,

C．基于MAC地址,

D．基于数字证书&,

,,

37.

防火墙中网络地址转换（MAT）的主要作用是：,

A．提供代理服务,

B．隐藏内部网络地址&,

C．进行入侵检测,

D．防止病毒入侵,

,,

38.

哪一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问连接的能力？,

A．包过滤防火墙,

B．状态检测防火墙,

C．应用网关防火墙&,

D．以上都不能,

,,

39.

以下哪一项不属于入侵检测系统的功能？,

A．监视网络上的通信数据流,

B．捕捉可疑的网络活动,

C．提供安全审计报告,

D．过滤非法的数据包&,

,,

40.下面哪一项不是通用IDS模型的组成部分:,

A.传感器,

B.过滤器&,

C.分析器,

D.管理器,

,,

"44.windows操作系统中,令人欲限制用户无效登录的次数,应当怎么做?",

A.在”本地安全设置”中对”密码策略”进行设置,

B.在”本地安全设置”中对”用户锁定策略”进行设置&,

C.在”本地安全设置”中对”审核策略”进行设置,

D.在”本地安全设置”中对”用户权利措施”进行设置,

,,

,,

46.下列哪一项与数据库的安全的直接关系？,

A.访问控制的程度&,

B．数据库的大小,

C．关系表中属性的数量,

D．关系表中元组的数量,

,,

47.ApacheWeb服务器的配置文件一般位于//local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是:,

A.httqd.conf&,

B.srm.conf,

C.access.conf,

D.inetd.conf,

,,

48.关于计算机病毒具有的感染能力不正确的是:,

A.能将自身代码注入到引导区,

B.能将自身代码注入到限区中的文件镜像,

C.能将自身代码注入文本文件中并执行&,

D.能将自身代码注入到文档或模板的宏中代码,

,,

49.蠕虫的特性不包括:,

A.文件寄生&,

B.拒绝服务,

C.传播快,

D.隐蔽性好,

,,

"50.关于网页中的恶意代码,下列说法错误的是:",

A.网页中的恶意代码只能通过IE浏览器发挥作用,

B.网页中的恶意代码可以修改系统注册表,

C.网页中的恶意代码可以修改系统文件&,

D.网页中的恶意代码可以窃取用户的机密文件,

,,

"51.当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?",

A.缓冲区溢出,

B.设计错误,

C.信息泄露,

D.代码注入&,

,,

52.下列哪一项不是信息安全漏洞的载体?,

A.网络协议,

B.操作系统,

C.应用系统,

D.业务数据&,

,,

"53.攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创建一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝服务.这种攻击称为之为:",

A.Land攻击&,

B.Smurf攻击,

C.PingofDeath攻击,

D.ICMPFlood,

,,

54.以下哪个攻击步骤是IP欺骗(IPSPoof)系列攻击中最关键和难度最高的?,

"A.对被冒充的主机进行拒绝服务,使其无法对目标主机进行响应",

"B.与目标主机进行会话,猜测目标主机的序号规则&",

"C.冒充受信主机想目标主机发送数据包,欺骗目标主机",

"D.向目标主机发送指令,进行会话操作",

,,

"55.以下针对Land攻击的描述,哪个是正确的?",

"A.Land是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络",

"B.Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务&",

"C.Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃",

"D.Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃",

,,

56.下列对垮站脚本攻击(XSS)描述正确的是:,

"A.XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的.&",

B.XSS攻击是DDOS攻击的一种变种,

C.XSS.攻击就是CC攻击,

"D.XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的",

,

57.下列哪一项不属于FUZZ测试的特性?,

A.主要针对软件漏洞或可靠性错误进行测试.,

B.采用大量测试用例进行激励响应测试,

"C.一种试探性测试方法,没有任何依据&",

D.利用构造畸形的输入数据引发被测试目标产生异常&,

,,

58.对攻击面(Attacksurface)的正确定义是:,

"A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低",

"B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大&",

"C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大",

"D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大",

,,

59.以下哪个不是软件安全需求分析阶段的主要任务?,

A.确定团队负责人和安全顾问&,

B.威胁建模,

C.定义安全和隐私需求(质量标准),

D.设立最低安全标准/Bug栏,

,,

60.风险评估方法的选定在PDCA循环中的那个阶段完成？,

A.实施和运行,

B.保持和改进,

C.建立&,

D.监视和评审,

,,

61.下面关于ISO27002的说法错误的是:,

A.ISO27002的前身是ISO17799-1,

"B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部",

C.ISO27002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述,

D．ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施&,

,,

62.下述选项中对于“风险管理”的描述正确的是：,

A．安全必须是完美无缺、面面俱到的。,

B．最完备的信息安全策略就是最优的风险管理对策。,

C．在解决、预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍&,

D．防范不足就会造成损失；防范过多就可以避免损失。,

,,

63.风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的?,

A.风险分析准备的内容是识别风险的影响和可能性,

B．风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度,

C．风险分析的内容是识别风险的影响和可能性&,

D．风险结果判定的内容是发现系统存在的威胁、脆弱和控制措施,

,,

64.你来到服务器机房隔壁的一间办公室，发现窗户坏了。由于这不是你的办公室，你要求在这办公的员工请维修工来把窗户修好。你离开后，没有再过问这事。这件事的结果对与持定脆弱性相关的威胁真正出现的可能性会有什么影响？,

A．如果窗户被修好，威胁真正出现的可能性会增加,

B．如果窗户被修好，威胁真正出现的可能性会保持不变,

C．如果窗户没被修好，威胁真正出现的可能性会下降,

D．如果窗户没被修好，威胁真正出现的可能性会增加&,

,,

65.在对安全控制进行分析时，下面哪个描述是错误的？,

A．对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的,

B．应选择对业务效率影响最小的安全措施&,

C．选择好实施安全控制的时机和位置，提高安全控制的有效性,

D．仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应,

,,

66.以下哪一项不是信息安全管理工作必须遵循的原则？,

A．风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中,

B．风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作,

C．由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低&,

D．在系统正式运行后，应注重残余风险的管理，以提高快速反应能力,

,,

67.对于信息系统风险管理描述不正确的是：,

A.漏洞扫描是整个安全评估阶段重要的数据来源而非全部,

B．风险管理是动态发展的，而非停滞、静态的,

C．风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义,

D．风险评估最重要的因素是技术测试工具&,

,,

68.下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系？,

A．脆弱性增加了威胁，威胁利用了风险并导致了暴露,

B．风险引起了脆弱性并导致了暴露，暴露又引起了威胁,

C．风险允许威胁利用脆弱性，并导致了暴露,

D．威胁利用脆弱性并产生影响的可能性称为风险，暴露是威胁已造成损害的实例&,

,,

69.统计数据指出，对大多数计算机系统来说，最大的威胁是：,

A．本单位的雇员&,

B．黑客和商业间谍,

C．未受培训的系统用户,

D．技术产品和服务供应商,

,,

70．风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么？,

A．评估结果的客观性&,

B．评估工具的专业程度,

C．评估人员的技术能力,

D．评估报告的形式,

,,

71.应当如何理解信息安全管理体系中的“信息安全策略”？,

A．为了达到如何保护标准而提供的一系列建议,

B．为了定义访问控制需求面产生出来的一些通用性指引,

C．组织高层对信息安全工作意图的正式表达&,

D．一种分阶段的安全处理结果,

,,

72.以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？,

A．外来人员在进行系统维护时没有收到足够的监控,

B．一个人拥有了不是其完成工作所必要的权限&,

C．敏感岗位和重要操作长期有一个人独自负责,

D．员工由一个岗位变动到另一人岗位，累积越来越多权限,

,,

73.一个组织中的信息系统普通用户，以下哪一项是不应该了解的？,

A．谁负责信息安全管理制度的制定和发布,

B．谁负责都督信息安全制度的执行,

C．信息系统发生灾难后，进行恢复工作的具体流程&,

D．如果违反了制度可能受到的惩戒措施,

,,

,,

75.一上组织财务系统灾难恢复计划声明恢复点目标（RPO）是没有数据损失，恢复时间目标（RTO）是72小时。以下哪一技术方案是满足需求且最经济的？,

A．一个可以在8小时内用异步事务的备份日志运行起来的热站,

B．多区域异步更新的分布式数据库系统,

C．一个同步更新数据和主备系统的热站,

D．一个同步过程数据拷备、可以48小时内运行起来的混站&,

,,

"76.依据国家标准《信息安全信息系统灾难恢复规范》（GB/T20988）,灾难恢复管理过程的主要的步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理；其中灾难恢复策略实现不包括以下哪一项？（20110519）",

A．分析业务功能,

B．选择和建设灾难备份中心,

C．实现灾备系统技术方案,

D．实现灾备系统技术支持和维护能力,

,,

77.以下哪一种数据告缺方式可以保证最高的RPO要求：,

A．同步复制&,

B．异步复制,

C．定点拷贝复制,

D．基于磁盘的复制,

,,

78.当公司计算机网络受到攻击，进行现场保护应当:,

1〉指定可靠人员看守,

2〉无特殊且十分必须原因禁止任何人员进出现场,

3〉应采取措施防人为地删除或修改现场计算机信息系统保留的数据和其他电子痕迹,

4〉无行列且十分必须原因禁止任何人员接触现场计算机,

A．1，2,

B．1，2，3,

C．2，3,

D．1，2，3，4&,

,,

79.有一些信息安全事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法是：,

A．配置网络入侵检测系统以检测某些类型的违法或误用行为,

B．使用防病毒软件，并且保持更新为最新的病毒特征码,

C．将所有公共访问的服务放在网络非军事区（DMZ）,

D.使用集中的日志审计工具和事件关联分析软件,

,,

80.下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小？,

A．功能点（FP）&,

B．计划评价与审查技术（PERT）,

C．快速应用开发（RAD）,

D．关键路径方法（CPM）,

,,

,,

82.下面哪一项为系统安全工程能力成熟度模型提供了评估方法？,

A.ISSE,

B.SSAM&,

C.SSR,

D.CEM,

,,

83.一个组织的系统安全能力成熟度模型达到哪个级别以后，就可以考虑为过程域（PR）的实施提供充分的资源？,

A．2级――计划和跟踪,

B．3级――充分定义&,

C．4级――最化控制,

D．5级――持续改进,

,,

84.IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素？,

A．操作系统的安全加固&,

B．输入数据的校验,

C．数据处理过程控制,

D．输出数据的验证,

,,

1信息安全发展各阶段中，下面哪一项是信息安全所面临的主要威胁,

A病毒,

B非法访问,

C信息泄漏,

D---口令,

3.关于信息保障技术框架IATF，下列说法错误的是,

AIATF强调深度防御，关注本地计算环境，区域边境，网络和基础设施，支撑性基础设施等多个领域的安全保障,

BIATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作。,

CIATF强调从技术，管理和人等多个角度来保障信息系统的安全,

DIATF强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全,

4.美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为,

A内网和外网两个部分,

B本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分,

C用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分,

D用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别,

,,

5.下面那一项表示了信息不被非法篡改的属性,

A可生存性,

B完整性,

C准确性,

D参考完整性,

6.以下关于信息系统安全保障是主关和客观的结论说法准确的是,

A信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全,

B通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心,

C是一种通过客观保证向信息系统评估者提供主观信心的活动,

D,

,,

,,

,,

11一下那些不属于现代密码学研究,

AEnigma密码机的分析频率,

B--,

Cdiffie-herrman密码交换,

D查分分析和线性分析,

12.常见密码系统包含的元素是：,

A.明文、密文、信道、加密算法、解密算法,

B.明文，摘要，信道，加密算法，解密算法,

C.明文、密文、密钥、加密算法、解密算法,

D.消息、密文、信道、加密算法、解密算法,

,,

13.公钥密码的应用不包括：,

A.数字签名,

B.非安全信道的密钥交换,

C.消息认证码,

D.身份认证,

,,

14.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？,

A.DSS,

B.Diffie-Hellman,

C.RSA,

D.AES,

,,

15.目前对MD5，SHAI算法的攻击是指：,

A.能够构造出两个不同的消息，这两个消息产生了相同的消息摘要,

B.对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要,

C.对于一个已知的消息摘要，能够恢复其原始消息,

D.对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。,

,,

21下列对访问控制的说法正确的是,

A访问控制模型是对一系列的访问控制的描述，,

22下列对强制访问控制描述不正确的是,

A主题对客体的所有访问,

B强制访问控制时，主体和客体分配一个安全属性,

C客体的创建者无权控制客体的访问权限,

D强制访问控制不可与自主访问控制访客使用,

23一下那些模型关注与信息安全的完整性,

ABIBA模型和BELL-LAPADULA模型,

Ｂbell-lapadula模型和chianswell模型,

CBiba模型和ciark-wllear,

Dciark-wllear模型和chianswell模型,

24按照BLP模型规则，以下哪种访问才能被授权,

ABob的安全级是机密，文件的安全级是机密，Bob请求写该文件,

BBob的安全级是机密，文件的安全级是机密，Bob请求读该文件,

CAlice的安全级是机密，文件的安全级是机密，Alice请求写该文件,

DAlice的安全级是机密，文件的安全级是机密，Alice请求读该文件,

,,

25.在一个使用ChineseWall模型建立访问控制的消息系统中，————,

A.只有访问了W之后，才可以访问X,

B.只有访问了W之后，才可以访问Y和Z中的一个,

C.无论是否访问W，都只能访问Y和Z中的一个,

D.无论是否访问W，都不能访问Y或Z,

,,

26.以下关于RBAC模型的说法正确的是：,

A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限,

B.一个用户必须扮演并激活某种角色，才能对一个对象进行访问或执行某种操作,

C.在该模型中，每个用户只能有一个角色,

D.在该模型中，权限与用户关联，用户与角色关联,

,,

27.以下对Kerberos协议过程说法正确的是：,

A.协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务,

B.协助可以分为两个步骤：一是获得票据许可票据；二是获取请求服务,

C.协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据,

D.协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务,

,,

29.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度？,

A.错误拒绝率,

B.错误监测率,

C.交叉错判率,

D.错误接受率,

,,

30.下列对密网功能描述不正确的是：,

A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击,

B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来,

C.可以进行攻击检测和实时报警,

D.可以对攻击活动进行监视、检测和分析,

,,

31.下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？,

A.数据完整性,

B.数据保密性,

C.数字签名,

D.抗抵赖,

,,

33.以下哪种方法不能有效保障WLN的安全性,

A禁止默认的服务SSID,

B禁止SSID广播,

C启用终端与AP的双面认证,

D启用无线AP的—认证测试,

,,

35.简单包过滤防火墙主要工作在：,

A.链接层/网络层,

B.网络层/传输层,

C.应用层,

D.回话层,

,,

36.以下哪一项不是应用层防火墙的特点？,

A.更有效的阻止应用层攻击,

B.工作在OSI模型的第七层,

C.速度快且对用户透明,

D.比较容易进行审计,

,,

39.下面哪一项不是IDS的主要功能？,

A.监控和分析用户系统活动,

B.统计分析异常活动模式,

C.对被破坏的数据进行修复,

D.识别活动模式以反映已知攻击,

,,

40.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX来发现入侵事件，这种机制称作：,

A.异常检测,

B.特征检测,

C.差距分析,

D.比对分析,

,,

41.以下关于Linux用户和组的描述不正确的是：,

A.在linux中，每一个文件和程序都归属于一个特定的“用户”,

B.系统中的每一个用户都必须至少属于一个用户组,

C.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组,

D.Root是系统的超级用户，无论是否文件和程序的所有者都且有访问权限,

,,

42.以下关于linux超级权限的说明，不正确的是：,

A.一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成,

B.普通用户可以通过su和sudo来获取系统的超级权限,

C.对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行,

D.Root是系统的超级用户，无论是否为文件和程序的所有者都只有访问权限,

,,

43.在windows操作系统中，欲限制用户无效登录的次数，应当怎么做？,

A.在“本地安全设置”中对“密码策略”进行设置,

B.在“本地安全设置”中对“账户锁定策略”进行设置,

C.在“本地安全设置”中对“审核策略”进行设置,

D.在“本地安全设置”中对“用户权利指派”进行设置,

,,

44.以下对windows系统日志的描述错误的是：,

A.Windows系统默认有三个日志，系统日志、应用程序日志、安全日志,

B.系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件X再XX控制器的故障,

C.应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接XX）XXX,

D安全日志跟踪网络入侵事件，**拒绝服务攻击，口令暴力破解等。,

46为了实现数据库的完整性控制，数据库管理员向提出一组完整行规则来检查数据库中的数据，完整行规则主要有三部分组成，一下那一个不是完整性规则的内容,

A完整新约束条件,

B完整新检查机制,

C完整新修复机制,

D违约处理机制,

47.数据库事务日志的用途是：,

A.事务处理,

B.数据恢复,

C.完整性约束,

D.保密性控制,

,,

48.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？,

A.缓冲区溢出,

B.SQL注入,

C.设计错误,

D.跨站脚本,

,,

49.通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？,

A.明文形式存在,

B.服务器加密后的密文形式存在,

C.Hasn运算后的消息摘要值存在,

D.用户自己加密后的密文形式存在,

,,

50.下列对跨站脚本攻击（XSS）的描述正确的是：,

A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码，当用户浏览该页面时嵌入其中WEB页面的代码会被执行，从而达到恶意攻击用户的特殊目的,

B.XSS攻击是DOOS攻击的一种变种,

C.XSS攻击就是CC攻击,

D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使HS连接X超出限制，当CPU———————耗尽，那么网站也就被攻击垮了，从而达到攻击的目的。,

,,

51.下列哪种恶意代码不具备“不感染、依附性”的特点？,

A.后门,

B.*门,

C.木马,

D.蠕虫,

52.下列关于计算机病毒感染能力的说法不正确的是,

A能将自身代码注入到引导区,

B能讲自身代码注入到扇区中的文件镜像,

C能将自身代码注入文本中并执行,

D能将自身文件注入到文档配置版的宏文件中,