CISP考试练习题及答案1-2023背题版

试题说明

本套试题共包括1套试卷

每题均显示答案和解析

ClSP考试练习题及答案1（500题）

ClSP考试练习题及答案1

L［单选题］下列哪个是能执行系统命令的存储过程

A)Xp_subdirs

B)Xpmakecab

C)Xp_cmdshell

D)Xpregread

答案：C

解析:

2.［单选题］以下关于“最小特权”安全管理原则理解正确的是：

A）组织机构内的敏感岗位不能由一个人长期负责

B）对重要的工作进行分解，分配给不同人员完成

C）一个人有且仅有其执行岗位所足够的许可和权限

D）防止员工由一岗位变动到另一个岗位，累积越来越多的权限

答案：C

解析：

3.［单选题］主体和客体是访问控制模型中常用的概念，下面描述错误的是？

A）主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数据

B）客体也是一种实体，是操作的对象，是被规定需要保护的资源

C）主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作客体使用

D）一个主体为了完成任务，可以创建另外的主体，这些主体可以独立运行

答案：C

解析：

4.［单选题］CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性

?

A）结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和

扩展

B）表达方式的通用性，即给出通用的表达方式

C）独立性，它强调将安全的功能和保证分离

D）实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中

答案：C

解析：

5.［单选题］以下哪一个不是我国信息安全事件分级的分级要素

A）信息系统的重要程度

B）系统损失

C）系统保密级别

D）社会影响

答案：C

解析：

6.［单选题］小王在对某公司的信息系统进风风险评估后，因考虑到该业务系统中部分涉及金融交易

的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置

的方法是

A）转移风险

B）降低风险

C）放弃风险

D）规避风险

答案:D

解析：

7.［单选题］信息安全保障工作发展的几个阶段，下列哪个说法不正确

A）2001-2002年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息

安全保障工作的最高领导机构

B）2003-2005年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全

保障工作的意见》（中办发27号文件）并颁布了国家信息安全战略

C）2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成

D）2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈

出了坚实步伐

答案：C

解析：

8.［单选题］应当如何理解信息安全管理体系中的“信息安全策略”？

A）为了达到如何保护标准而提供的一系列建议

B）为了定义访问控制需求面产生出来的一些通用性指引

C）组织高层对信息安全工作意图的正式表达

D）一种分阶段的安全处理结果

答案：C

解析：

9.［单选题］下面哪项属于软件开发安全方面的问题O

A）软件部署时所需选用服务性能不高，导致软件执行效率低。

B）应用软件来考虑多线程技术，在对用户服务时按序排队提供服务

C）应用软件存在SQL注入漏洞，若被黑客利用能窃取数据库所用数据

D）软件受许可证（IiCenSe）限制，不能在多台电脑上安装。

答案：C

解析：

10.［单选题］信息安全管理体系的建立应基于最新的信息安全技术，因为这是国家有关信息安全的法

律和法规方面的要求，这体现以预防控制为主的思想

A）信息安全管理体系的建立应参照国际国内有关标准实施，因为这些标准是标准化组织在总结研究

了很多实际的或潜在的问题后，制定的能共同的和重复使用的规则

B）信息安全管理体系应强调全过程和动态控制的思想，因为安全问题是动态的，系统所处的安全环

境也不会一成不变的，不可能建设永远安全的系统

C）信息安全管理体系的建立应基于最新的信息安全技术，因为这是国家有关信息安全的法律和法规

方面的要求，这体现以预防控制为主的思想

D）信息安全管理体系应体现科学性和全面性的特点，因为要对信息安全管理涉及的方方面面实施较

为均衡的管理，避免遗漏某些方面而导致组织的整体信息安全水平过低

答案：C

解析：

IL［单选题］某电子商务网站最近发生了一起安全事件，出现了一个价值IOOO元的商品用1元被买

走的情况，经分析是由于设计时出于性能考虑，在浏览时使用HttP协议，攻击者通过伪造数据包

使得向购物车添加商品的价格被修改.利用此漏洞，攻击者将价值IOoo元的商品以1元添加到购

物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。

最正确的说法应该是？

A）该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行

安全改造，所有的访问都强制要求使用https

B）该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁

并采取相应的消减措施

C）该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可

以解决

D）该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

答案:B

解析：

12.［单选题］以下哪项不是记录控制的要求？

A）清晰、易于识别和检索

B）记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应

形成文件并实施

C）建立并保持，以提供证据

D）记录应尽可能的达到最详细

答案:D

解析：

13.［单选题］如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的

过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？

A）规划跟踪定义

B）充分定义级

C）量化控制级

D）持续改进级

答案:B

解析：

14.［单选题］若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制

措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标O

A）符合法律要求

B）信息系统审核考虑

C）访问控制的业务要求、用户访问管理

D）符合安全策略和标准以及技术符合性

答案：C

解析：

15.［单选题］下面关于定量风险评估方法的说法正确的选项是

A）易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进行标识

B）能够通过成本效益分析控制成本

C）"耗时短、成本低、可控性高"

D）主观性强，分析结果的质量取决于风险评估小组成员的经验和素质

答案:B

解析：

16.［单选题］WindowsNT中哪个文件夹存放SAM文件?

A）∖%Systemroot%

B）∖%Systemroot%∖system32∖sam

C）∖%Systemroot%∖system32∖config

D）∖%Systemroot%∖config

答案：C

解析：

17.［单选题］CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体

的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的

产品或系统实现方案？

A）评估对象（TOE）

B）保护轮廊（PP）

C）安全目标（AT）

D）评估保证级（EAL）

答案：C

解析：

18.［单选题］风险，在GB/T22081中定义为事态的概率及其结果的组合。风险的目标可能有很多不

同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等：目标也可能有不同的级

别，如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IBC13335-1中揭示了风险

各要素关系模型，如图所示。请结合此图，怎么才能降低风险对组织产生的影响？

A）组织应该根据风险建立响应的保护要求，通过构架防护措施降低风险对组织产生的影响

B）加强防护措施，降低风险

C）减少威胁和脆弱点降低风险

D）减少资产降低风险

答案:A

解析：

19.［单选题］关于业务连续性计划（bcp）以下说法最恰当的是

A）组织为避免所有业务功能因重大事件而中断，减少业务风险而建立的控制过程；

B）组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程;

C）组织为避免所有业务功能因各种事件而中断，减少业务风险而建立的一个控制过程;

D）组织为避免信息系统功能因各种事件而中断，减少信息系统而建立的一个控制过程。

答案:B

解析：

20.［单选题］进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空

间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正

确的是：

A）与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

B）美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门

的多个机构共同承担

C）各国普遍重视信息安全事件的应急响应和处理

D）在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的

合作关系

答案:B

解析：

21.［单选题］操作系统安全技术主要包括（）、访问控制、文件系统安全、安全审计等方面。数据库

安全技术包括数据库的安全特性和O,数据库完整性要求和O,以及数据库（）、安全监控和

安全审计等。

A）备份恢复；身份鉴别；安全功能；安全防护

B）身份鉴别；安全功能；安全防护；备份恢复

C）身份鉴别；安全功能；备份恢复；安全防护

D）身份鉴别；备份恢复；安全功能；安全防护

答案:B

解析：

22.［单选题］2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法

律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是

A）电子签名一是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内

容的数据

B）电子签名适用于民事活动中的合同或者其他文件、单证等文书

C）电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务

D）电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有

答案:D

解析：

23.［单选题］以下系统工程说法错误的是

A）系统工程是基本理论的技术实现

B）系统工程是一种对所有系统都具有普遍意义的科学方法

C）系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

D）系统工程是一种方法论

答案:A

解析：

24.［单选题］风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别

是什么？

A）评估结果的客观性

B）评估工具的专业程度

C）评估人员的技术能力

D）评估报告的形式

答案:A

解析：

25.［单选题］“Select*fromadminwhereusername='admin'andpassword='"&

request（upassw）&"'''如何通过验证

A）,l?or,1?=,1?

B）1or1=1

01?or,1?=,1

D）,l?=,l?

答案：C

解析：

26.［单选题］以下哪一项不是我国信息安全保障的原则？

A）立足国情，以我为主，坚持以技术为主

B）正确处理安全与发展的关系，以安全保发展，在发展中求安全

C）统筹规划，突出重点，强化基础性工作

D）明确国家，企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体

系

答案:A

解析：

27.［单选题］基于对（）的信任，当一个请求成命令来自一个“权威”人士时，这个请求就可能被毫不

怀疑的（），在（）中，攻击者伪装成“公安部门”人员，要求受害者转账到所谓“安全账户”就

是利用了受害者对权威的信任。在（）中，攻击者可能伪装成监管部门、信息系统管理人员等身份

,去要求受害者执行操作，例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求

O等。

A）权威；执行；电信诈骗；网络攻击；更改密码

B）权威；执行；网络攻击；电信诈骗；更改密码

C）执行；权威；电信诈骗；网络攻击；更改密码

D）执行；权威；网络攻击；电信诈骗；更改密码

答案:A

解析：

28.［单选题］数据保密性安全服务的基础是（）。

A）数据完整性机制

B）数字签名机制

C）访问控制机制

D）加密机制

答案：D

解析：

29.［单选题］信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施

,既包括预防性措也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，在下面的应

急响应管理流程图中，空白方框填写正确的选项是（）

A）培训阶段

B）文档阶段

C）报告阶段

D）检测阶段

答案：D

解析：

30.［单选题］关于信息安全事件和应急响应的描述不正确的是

A）至今，已有一种信息安全策略或防护施，能够对信息及信息系统提供绝对的保护，这就使得信息

安全事件的发生是不可能的

B）应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采

取的措施。

C）应急响应工作与其他信息安全管理工作相比有其鲜明的特点：具有高技术复杂性与专业性、强突

发性、对知识经验的高依赖性，以及需要广泛的协调与合作。

D）信息安全事件，是指由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害

,或者在信息系统内发生对社会造成负面影响的事件

答案:A

解析：

31.［单选题］根据国际上对数据备份能力的定义，下面不属于容灾备份类型？（）

A）存储介质容灾备份

B）业务级容灾备份

C）系统级容灾备份

D）数据级容灾备份

答案：C

解析：

32.［单选题］某个客户的网络现在可以正常访问Internet互联网，共有200台终端Pe但此客户从

ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网

,要想让全部200台终端PC访问InteI`net互联网最好采取什么方法或技术：

A）花更多的钱向ISP申请更多的IP地址

B）在网络的出口路由器上做源NAT

C）在网络的出口路由器上做目的NAT

D）在网络出口处增加一定数量的路由器

答案:B

解析：

33.［单选题］关于安全策略的说法，不正确的是

A）得到安全经理的审核批准后发布

B）应采取适当的方式让有关人员获得并理解最新版本的策略文档

C）控制安全策略的发布范围，注意保密

D）系统变更后和定期的策略文件评审和改进

答案:A

解析：

34.［单选题］美国计算机协会（ACM）宣布将2015年的ACM奖授予给MIitfieldDiffiC和Wartfield下面

哪项工作是他们的贡献（）。

A）发明并第一个使用C语言

B）第一个发表了对称密码算法思想

C）第一个发表了非对称密码算法思想

D）第一个研制出防火墙

答案：C

解析：

35.［单选题］访问控制矩阵是自主访问控制的实现机制.以下对访问控制矩阵说法正确的是：

A）一般访问控制矩阵中列表示客体，行表示主体

B）访问控制矩阵中的元素规定了相应主体对相应客体的访问权

C）访问控制矩阵按列读取形成访问能力表

D）访问控制矩阵按行读取形成访问控制表

答案:A

解析：

36.［单选题］对一项应用的控制进行了检查,将会评估

A）该应用在满足业务流程上的效率

B）任何被发现风险影响

C）业务流程服务的应用

D）应用程序的优化

答案:B

解析：

37.［单选题］下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强

信息安全保障工作的主要原则？

A）《关于加强政府信息系统安全和保密管理工作的通知》

B）《中华人民共和国计算机保护条例》

C）《国家信息化领导小组关于加强信息安全保障工作的意见》

D）《关于开展信息安全风险评估工作的意见》

答案：C

解析：

38.［单选题］在逻辑访问控制中如果用户账户被共享，这种局面可能造成的最大风险是：

A）非授权用户可以使用ID擅自进入.

B）用户访问管理费时.

C）很容易猜测密码.

D）无法确定用户责任

答案:D

解析：

39.［单选题］密码是一种用来混滑的技术，使用者希望将正常的（可识别的）信息转变为无法识别的

信息。但这种无法识信息部分是可以再加工并恢复和破解的，小刚是某公司新进的员工，公司要求

他注册一个公司网站的账号，小刚使用一个安全一点的密码，请问以下选项中那个密码最安全。

A）使用和与用户名相同的口令

B）选择可以在任何字典或语言中找到的口令

C）选择任何和个人信息有关的口令

D）采取数字，字母和特殊符号混合并且易于记忆

答案：D

解析：

40.［单选题］以下关于ISMS内部审核报告的描述不正确的是？

A）内审报告是作为内审小组提交给管理者代表或最高管理者的工

作成果

B）内审报告中必须包含对不符合性项的改进建议

C）内审报告在提交给管理者代表或者最高管理者之前应该受审方管理

者沟通协商，核实报告内容。

D）内审报告中必须包括对纠正预防措施实施情况的跟踪

答案:D

解析：

41.［单选题］某项目的主要内容为建造A类机房，监理单位需要根据《电子信息系统机房设计规范

》（GB50174-2008）的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审

核意见错误的是：

A）在异地建立备份机房时,设计时应与主用机房等级相同

B）由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式

C）因机房属于A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴

油发电机应能承担全部负荷的需要

D）A级主机房应设置洁净气体灭火系统

答案：B

解析：

42.［单选题］关于ARP欺骗原理和防范措施，下面理解错误的是？

A）ΛRP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文，使得受害者主机将错误的硬件

地址映射关系存入到ARP缓存中，从而起到冒充主机的目的

B）单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由实施攻击

C）解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存，如果发生硬件地址的更改，则需要

人工更新缓存

D）彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存，直接采用IP地址和其他主机进行

连接

答案:D

解析：

43.［单选题］下列哪项内容描述的是缓冲区溢出漏洞？

A）通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执

行恶意的SQL命令

B）攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是

当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C）当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上

D）信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷

答案：C

解析：

44.［单选题］下列选项中不属于人员安全管理措施的是—。（）

A）行为监控

B）安全培训

C）人员离岗

D）背景/技能审查

答案:A

解析：

45.［单选题］在确定威胁的可能性时，可以不考虑以下哪个？

A）威胁源

B）潜在弱点

C）现有控制措施

D）攻击所产生的负面影响

答案：D

解析：

46.［单选题］王工是某某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前

案例中共有两个重要资产：资产AI和资产A2；其中资产Al面临两个主要威胁,威胁TI和威胁T2；而资产

A2面临一个主要威胁,威胁T3；威胁Tl可以利用资产Al存在的两个脆弱性；脆弱性Vl和脆弱性V2；威

胁T可以利用的资产Al在的三个脆弱性，脆弱性V3脆弱性V4和脆弱性V5；威胁T3可以利用资产A2存在

的两个脆弱性；脆弱性V6和脆弱性V7,根据以上条件，请问，使用相乘法时，应该为资产Al计算几

个风险值

A）2

B）3

05

D）6

答案：C

解析：

47.［单选题］对安全策略的描述不正确的选项是？

A）信息安全策略应得到组织的最高管理者批准。

B）策略应有一个所有者，负责按复查程序维护和复查该策略。

C）安全策略应包括管理层对信息安全管理工作的承诺。

D）安全策略一旦建立和发布，则不可变更。

答案:D

解析：

48.［单选题］以下关于对称密钥加密说法正确的是：（）。

A）加密方和解密方可以使用不同的算法

B）加密密钥和解密密钥可以是不同的

0加密密钥和解密密钥必须是相同的

D）密钥的管理非常简单

答案：C

解析：

49.［单选题］包过滤防火墙工作在OSl网络参考模型的一

A）物理层

B）数据链路层

C）网络层

D）应用层

答案：C

解析：

50.［单选题］企业ISMS（信息安全管理体系）建设的原则不包括以下哪个

A）管理层足够重视

B）需要全员参与

C）不必遵循过程的方法

D）需要持续改良

答案：c

解析：

51.［单选题］以下关于https协议http协议相比的优势说明，那个是正确的：

A)HttPS协议对传输的数据进行加密，可以避免嗅探等攻击行为

B)HttPS使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性

C)HttPS协议是http协议的补充，不能独立运行，因此需要更高的系统性能

D)HttPS协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的

答案:A

解析：

52.［单选题］以下关于项目的含义，理解错误的是：

A)项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、

服务或成果而进行的一次性努力。

B)项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。

C)项目资源指完成项目所需要的人、财、物等。

D)项目目标要遵守SMART原则，即项目的目标要求具体(SPeCific)、可测量(Measurable),需相关

方的一致同意(Agreeto)、现实(ReaIiStic)、有一定的时限(Timeoriented)

答案：B

解析：

53.［单选题］根据《关于开展信息安全风险评估工作的意见》的规定，错误的是

A)信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合

、互为补充

B)信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展

C)信息安全风险评估应贯穿于网络和信息系统建设运行的全过程

D)开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导

答案:A

解析：

54.［单选题］管理评审的最主要目的是

A)确认信息安全工作是否得到执行

B)检查信息安全管理体系的有效性

C)找到信息安全的漏洞

D)考核信息安全部门的工作是否满足要求

答案:B

解析：

55.［单选题］一个个人经济上存在问题的公司职员有权独立访问高敏感度的信

息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险

A)开除这名职员

B)限制这名职员访问敏感信息

C）删除敏感信息

D）将此职员送公安部门

答案：B

解析：

56.［单选题］信息安全的基本属性是（）o

A）机密性

B）可用性

C）完整性

D）上面3项都是

答案:D

解析：

57.［单选题］注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？

A）通信安全

B）计算机安全

C）信息安全

D）信息安全保障

答案:D

解析：

58.［单选题］保障UNlX/Linux系统帐号安全最为关键的措施是—。

A）文件∕etc∕passwd和∕etc∕group必须有写保护

B）删除∕etc∕passwD）/etc/group

C）设置足够强度的帐号密码

D）使用ShadOW密码

答案:A

解析：

59.［单选题］信息系统建设完成后，（）的信息系统的运营使用单位应当选择符合国家规定的测评机

构进行测评合格后方可投入使用。

A）二级以上

B）三级以上

C）四级以上

D）五级以上

答案:A

解析：

60.［单选题］系统审计日志不包括以下哪一项：

A）时间戳

B）用户标识

C）对象标识

D）处理结果

答案:D

解析：

61.［单选题］有关危害国家秘密安全的行为，包括：

A）严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、

保密行政管理部门的工作人员的违法行为

B）严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部

门的工作人员的违法行为，但不包括定密不当行为

C）严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为，但不包括公

共信息网络运营商及服务商不履行保密义务的行为

D）严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为

,但不包括保密行政管理部门的工作人员的违法行为

答案:A

解析：

62.［单选题］对信息安全风险评估要素理解正确的是

A）资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统

,也可以是组织机构

B）应针对构成信息系统的每个资产做风险评价

C）脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项

D）信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

答案:A

解析：

63.［单选题］在以下标准中，属于推荐性国家标准的是？

A）GB∕TXXXX.X-200X

B）GBXXXX-200X

C）I）BXX∕TXXX-200X

D）GB∕ZXXX-XXX-200X

答案:A

解析：

64.［单选题］使用热站作为备份的优点是：

A）热站的费用低

B）热站能够延长使用时间

C）热站在短时间内可运作

D）热站不需要和主站点兼容的设备和系统软件

答案：C

解析：

65.［单选题］信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括（

）六个方面的内容。（）是信息安全风险管理的四个基本步骤，（）则贯穿于这四个基本步骤中。

A）背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险

处理和批准监督；监控审查和沟通咨询

B）背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险

处理和监控审查；批准监督和沟通咨询

C）背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险

处理和沟通咨询；监控审查和批准监督

D）背景建立，风险评估、风险处理、批准监督、监控审查和沟通咨询:背景建立、风险评估、监控

审查和批准监督；风险处理和沟通咨询

答案:A

解析:

66.［单选题］以下关于https协议与http协议相比的优势说明，哪个是正确的？

A）https协议对传输的数据进行了加密，可以避免嗅探等攻击行为

B）https使用的端口与http不同，让攻击者不容易找到端口，具有较高的安全性

Ohttps协议是http协议的补充，不能独立运行，因此需要更高的系统性能

D）https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性

答案：C

解析：

67.［单选题］随着互联网的迅猛发展、WEB信息的增加，用户要在信息海洋里查找自己所需的信息

,就象大海捞针一样，搜索引擎技术恰好解决了这难题。以下关于搜索引擎技术特点的描述中错误

的是（）

A）搜索引擎以一定的策略在Web系统中搜索和发现信息

B）搜索引擎可以分为目录导航式与网页索引式

C）搜索器在Internet上逐个访问Web站点。并建立一个网站的关键字列表索引器功能是理解搜

索器获取的信息向用户显示查询结果

D）索引器功能是理解搜索器获取的信息，向用户显示查询结果

答案:A

解析：

68.［单选题］要很好的评估信息安全风险，可以通过：

A）评估IT资产和IT项目的威胁

B）用公司的以前的真的损失经验来决定现在的弱点和威胁

C）审查可比较的组织公开的损失统计

D）审查在审计报告中的可识别的IT控制缺陷

答案:A

解析：

69.［单选题］信息安全活动应由来自组织不同部门并具备相关角色和工作职责

的代表进行，下面哪项包括非典型的安全协调应包括的人员？

A）管理人员、用户、应用设计人员

B）系统运维人员、内部审计人员、安全专员

C）内部审计人员、安全专员、领域专家

D）应用设计人员、内部审计人员、离职人员

答案:D

解析：

70.［单选题］对于LinUX审计说法错误的是？

A）Linux系统支持细粒度的审计操作

B）Linux系统可以使用自带的软件发送审计日志至IJSoC平台

OLinux系统一般使用auditd进程产生日志文件

D）Linux在SeCUre日志中登陆成功日志和审计日志是一个文件

答案:D

解析：

71.［单选题］64.关于信息安全管理体系（InfOrmatiOnSecurityManagement

Systems,ISMS）,下面描述错误的是

A）管理体系（ManagementSystems）是为达到组织目标的策略、程序、指南和相关资源的框架，信

息安全管理体系是管理体系思想和方法在信息安全领域的应用

B）信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用

方法的体系，包括组织架构、方针、活动、职责及相关实践要素

C）概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照IS027001标准

定义的管理体系，它是一个组织整体管理体系的组成部分

D）概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照IS027001标准

定义的管理体系，它是一个组织整体管理体系的组成部分

答案:D

解析：

72.［单选题］在信息系统中，访问控制是重要的安全功能之一。他的任务是在用户对系

统资源提供最最大限度共享的基础上，对用户的访问权限进行管理，防止对信息

的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类，通过对主体身

份的识别来限制其对客体的的访问权限。下列选项中，对主体、客体和访问权限的描述中错

误的是：：

A）对文件进行操作的用户是一种主体

B）主体可以接受客体的信息和数据，也可能改变客体相关的信息

C）访问权限是指主体对客体所允许的操作

D）对目录的访问权可分为读、写和拒绝访问

答案:D

解析：

73.［单选题］相比文件配置表（FAT）文件系统，以下哪个不是新技术文件系统（NTFS）所具有的优势?

A）NTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操

作失败后，系统能利用日志文件重做或恢复未成功的操作

B）NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限

C）对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率

D）相比FAT文件系统，NTFS文件系统能有效的兼容IinUX下EXT2文件格式

答案:D

解析：

74.［单选题］在对安全控制进行分析时，下面哪个描述是不准确的？

A）对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的

B）应确保选择对业务效率影响最小的安全措施

C）选择好实施安全控制的时机和位置，提高安全控制的有效性

D）仔细评价引入的安全控制对正常业务的影响，采取适当措施，尽可能减少负面效应

答案:B

解析：

75.［单选题］PingofDeath攻击的原理是

A）IP标准中数据包的最大长度限制是65536

B）攻击者发送多个分片，总长度大于65536

C）操作系统平台未对分片进行参数检查

D）IPv4协议的安全机制不够充分

答案：C

解析：

76」单选题］38.层次化的文档是信息安全管理体系（简称ISMS）建设的直接体现，也是ISMS建设

的成果之一，通常将ISMS的文档结构规划为4层金字塔机构，那么以下选项O应放入到一级

文件中。

A）《风险评估报告》

B）《人力资源安全管理规定》

C）GSMS内部审核计划》

D）《单位信息安全方针》

答案:D

解析：

77.［单选题］206.某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经

理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则？

A）最小权限

B）权限分离

C）不信任

D）纵深防御

答案：B

解析：

78.［单选题］小张在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新

人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式。小张认为：1.

风险评估工作形式包括：自评估和检查评估；2.自评估是指信息系统拥有、运营或使用单位发起的

对本单位信息系统进行风险评估；3.检查评估是信息系统上级管理部门组织或者国家有关职能部门

依法开展的风险评估；4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个

,非此即彼。请问小张的所述论点中错误的是哪项

A）第一个观点

B）第四个观点

C）第三个观点

D）第二个观点

答案:B

解析：

79.［单选题］假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：

A）是多余的，因为它们完成了同样的功能，但要求更多的开销

B）是必须的，可以为预防控制的功效提供检测

C）是可选的，可以实现深度防御

D）在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足

够

答案:B

解析：

80.［单选题］软件安全设计和开发中应考虑用户隐私包，以下关于用户隐私保护的说法错误的是

A）告诉用户需要收集什么数据及搜集到的数据会如何被使用

B）当用户的数据由于某种原因要被使用时，给客户选择是否允许

C）用户提交的用户名和密码属于隐私数据，其他都不是

D）确保数据的使用符合国家、地方、行业的相关法律法规

答案：C

解析：

81.［单选题］小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中针对

采用自主访问控制还是强制访问控制产生了分歧，小李认为应该采用自主访问控制的方法，他的观

点主要有：（1）自主访问控制可为用户提供灵活，可调整的安全策略，具有较好的易用性和可扩

展性；（2）自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法，他

的观点主要有：（3）强制访问控制中，用户不能通过运行程序来改变他自己及任何客体的安全属

性，因此安全性较高；（4）强制访问控制能够保护敏感信息。请问以上四个观点中，正确的观点

是？

A）观点（1）,因为自主访问控制的安全策略是固定的，主体的访问权限不能被改变

B）观点（2）,因为在自主访问访问控制中，操作系统无法区分对文件的访问权限是由合法用户修

改，还是由恶意攻击的程序修改的

C）观点（3）,因为在强制访问控制中，安全级别最高的用户可以修改安全属性

D）观点（4）,因为在强制访问控制中，用户可能无意中泄露机密信息

答案:A

解析：

82.［单选题］46.北京某公司利用SSEYMM对其自身工程队伍能力进行自我改善，其理解正确的是

A）系统安全工程能力成熟度模型（SSE-CMM）定义了6个能力级别。当工程队伍不能执行一个过程域中

的基本实践时，该过程域的过程能力是

B）达到SSE-CMM最级以后，工程队伍执行同一个过程，每次执行的结果质量必须相同。

C）系统安全工程能力成熟度模型（SSE-CMM）定义了3个风险过程：评价威胁，评价脆弱性，评价影响

O

D）SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性。

答案:A

解析：

83.［单选题］以下哪个属性不会出现在防火墙的访问控制策略配置中？

A）本局域网内地址

B）百度服务器地址

OHTTP协议

D）病毒类型

答案:D

解析：

84.［单选题］某网盘被发现泄露了大量私人信息，通过第三方网盘搜索引擎可查询到该网盘用户的大

量照片、通讯录。网盘建议用户使用“加密分享”功能，以避免消息泄露，“加密分享”可以采用

以下哪些算法（）

A）MD5算法，SHA-I算法

B）DSA算法，RSA算法

OSHA-I算法，SM2算法

D）RSA算法，SM2算法

答案:D

解析：

85.［单选题］安全模型是用于精确和形式地描述信息系统的安全特征，解释系统安全相关行为。关于

它的作用描述不正确的选项是？

A）准确的描述安全的重要方面与系统行为的关系。

B）开发出一套安全性评估准则，和关键的描述变量。

C）提高对成功实现关键安全需求的理解层次。

D）强调了风险评估的重要性。

答案:D

解析：

86.［单选题］以下哪种为丢弃废旧磁带前的最正确处理方式？

A）复写磁带

B）初始化磁带卷标

C）对磁带进行消磁

D）删除磁带

答案：C

解析：

87.［单选题］以下属于哪一种认证实现方式：用户登录时，认证服务器（Authentication

Server,AS）产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混

合计算后作为一次性口令，并发送给AS,AS用同样的方法计算后，验证比较两个口令即可验证用户身

份。

A）口令序列

B）时间同步

C）挑战/应答

D）静态口令

答案：C

解析：

88.［单选题］下面哪种方法在数据中心灭火最有效并且是环保的？

A）哈龙气体

B）湿管

C）干管

D）二氧化碳气

答案:A

解析：

89.［单选题］在评估逻辑访问控制时，应该首先做什么

A）把应用在潜在访问路径上的控制项记录下来

B）在访问路径上测试控制来检测是否他们具功能化

C）按照写明的策略和实践评估安全环境

D）对信息流程的安全风险进行了解

答案:D

解析：

90.［单选题］信息安全风险评估是针对事物潜在影响正常执行器职能的行为产生于优减有破坏的因

素进行识别、评价的过程下列选项中不属于风险评估要素的是（）

A）资产

B）脆弱性

C）威胁

D）安全需求

答案：D

解析：

91.［单选题］资产清单可包括？

A）服务及无形资产

B）信息资产

C）人员

D）以上所有

答案:D

解析：

92.［单选题］关于Kerberos认证协议，以下说法错误的是：

A）只要用户拿到了认证服务器（AS）发送的票据（TGT）并且该TGT没过期，就可以使用该TGT

通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码

B）认证服务（AS）和票据授权（TGS）是集中式管理，容易形成瓶颈，系统的性能和安全也严重依

赖于AS和TGS的性能和安全

C）该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服

务器对用户的单向认证

D）该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂

答案：C

解析：

93.［单选题］信息安全管理体系（informationSecurityManagementSystem.ISMS）的内部审核和

管理审核是两项重要的管理活动，关于这两者，下面描述错误的是O

A）内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实

施

B）内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理

评审会议的形式进行

C）内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第

三方技术服务机构

D）组织的信息安全方针，信息目标和有关ISMS文件等，在内部审核中作为审核准则使用，但在管理

评审中，这些文件是被审对象

答案：C

解析：

94.［单选题］通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻

击者再也无法处理有效的网络信息流时，这种攻击被称之为：

A）LAND攻击

B）SmUrf攻击

C）PingofDeath攻击

D）ICMPFlood

答案：D

解析：

95.［单选题］以下关于在UNlX系统里启动与关闭服务的说法不正确的是？

A）在UNlX系统中，服务可以通过inetd进程来启动

B）通过在∕etc∕inetd.COnf文件中注释关闭正在运行的服务

C）通过改变脚本名称的方式禁用脚本启动的服务

D）在UNIX系统中，服务可以通过启动脚本来启动

答案:B

解析：

96.［单选题］关于恶意代码，以下说法错误的是？

A）从传播范围来看，恶意代码呈现多平台传播的特征

B）按照运行平台，恶意大妈可以分为网络传播型病毒，文件传播型病毒等

0不感染的依附性恶意代码无法单独执行

D）为了对目标系统实施攻击和破坏活动，传播途径是恶意代码赖以生存和繁殖的基本条件

答案:B

解析：

97.［单选题］以下关于项目的含义，理解错误的是：

A）项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、

服务或成果而进行的一次性努力。

B）项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。

C）项目资源指完成项目所需要的人、财、物等。

D）项目目标要遵守SMART原则，即项目的目标要求具体（SPeCific）、可测量（Measurable）,需相

关方的一致同意（Agreeto）、现（ReaiiStic）、有一定的时限（Time-Oriented）

答案:B

解析：

98.［单选题］以下哪项不属于信息系统安全保障模型包含的方面？

A）保障要素。

B）生命周期。

C）安全特征。

D）通信安全。

答案:D

解析：

99」单选题］33.安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限

降低为nobOdy用户，以下操作的主要目的是：

A）为了提高Apache软件运行效率

B）为了提高Apache软件的可靠性

C）为了避免攻击者通过Apache获得root权限

D）为了减少Apache上存在的漏洞

答案：C

解析：

100.［单选题］软件安全设计和开发中应考虑用户隐私保护，以下关于用户隐私保护的说法错误的是？

A）告诉用户需要收集什么数据及搜集到的数据会如何被使用

B）当用户的数据由于某种原因要被使用时，给客户选择是否允许

C）用户提交的用户名和密码属于隐私数据，其他都不是

D）确保数据的使用符合国家、地方、行业的相关法律法规

答案：C

解析：

IOL［单选题］我国的信息安全测评主要对象不包括？

A）信息产品安全测评。

B）信息安全人员资质测评。

C）服务商资质测评。

D）信息保障安全测评。

答案:D

解析：

102.［单选题］下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强

信息安全保障工作的主要原则？

A）《关于加强政府信息系统安全和保密管理工作的通知》

B）《中华人民共和国计算机信息系统安全保护条例》

C）《关于开展信息安全风险评估工作的意见》

D）《国家信息化领导小组关于加强信息安全保障工作的意见》

答案：D

解析：

103.［单选题］在进行Sniffer监听时，系统将本地网络接口卡设置成何种侦听模式？

A）unicast单播模式

B）Broadcast（广播模式）

OMulticast（组播模式）

D）PromiSCUoUS混杂模式，

答案:D

解析：

104.［单选题］S公司在全国有20个分支机构，总部有10台服务器、200个用户终端，每个分支机构都

有一台服务器、100个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家

集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给S公司选出设计最合理的一个

A）总部使用服务器、用户终端统一作用10.0∙LX、各分支机构服务器和用户终端使用

192.168.2.X~192.168.20.X

B）总部使用服务器使用10.0.1.「11、用户终端使用10.0.1.12~212,分支机构IP地址随意确定即

可

C）总部服务器使用10.O.1.X、用户终端根据部门划分使用10.0.2.X、每个分支机构分配两个A类

地址段，一个用做服务器地址段、另外一个做用户终端地址段

D）因为通过互联网连接，访问的是互联网地址，内部地址经NAT映射，因此IP地址无需特别规划

,各机构自行决定即可

答案：C

解析：

105.［单选题］以下厂商为电子商务提供信息产品硬件的是_____

A）ΛOL

B）YAHOO

C）IBM

D）MICROSOFT

答案：C

解析：

106.［单选题］133.《信息安全保障技术框架》（IATF）是由哪个国家发布的？

A）中国

B）美国

C）俄罗斯

D）欧盟

答案:B

解析：

107.［单选题］拥有电子资金转帐销售点设备的大型连锁商场，有中央通信处理器连接银行网络，对

于通信处理机，下面哪一项是最好的灾难恢复计划。

A）每日备份离线存储

B）选择在线备份程序

C）安装双通讯设备

D）在另外的网络节点选择备份程序

答案:D

解析：

108.［单选题］对于信息安全策略的描述错误的是？

A）信息安全策略是以风险管理为基础，需要做到面面俱到，杜绝风险的

存在。

B）信息安全策略是在有限资源的前提下选择最优的风险管理对策。

C）防范不足会造成直接的损失；防范过多又会造成间接的损失。

D）信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡

和取舍。

答案:A

解析：

109.［单选题］风险分析的目的是？

A）在实施保护所需的成本与风险可能造成的影响之间进行技术平

衡；

B）在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；

C）在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；

D）在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；

答案：C

解析：

Ilo.［单选题］IinuX系统中如何禁止按ControI-AIt-DeIete关闭计算机（）

A）把系统中“∕sys∕inittabw文件中的对应一行注释掉

B）把系统中“/sysconf/inittab,,文件中的对应一行注释掉

C）把系统中“∕sysnet∕inittabw文件中的对应一行注释掉

D）把系统中“∕sysconf∕init”文件中的对应一行注释掉

答案:B

解析：

Ill.［单选题］在IinUX系统中配置文件通常存放在什么目录下---？

A)/boot

B)/etc

C)∕dev

D)∕lib

答案:B

解析：

112.［单选题］微软提出了STRlDE模型，其中R是RePUdiatiOn（抵赖）的缩写，关于此项安全要求下面

描述错误的是

A）某用户在登录系统并下载数据后，却声称“我没有下载过数据”软件系统中的这种威胁就属于R威

胁

B）解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施

C）R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高

D）解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行

答案：C

解析：

113.［单选题］下面哪项不是实施信息安全管理的关键成功因素

A）理解组织文化

B）得到高层承诺

C）部署安全产品

D）纳入奖惩机制

答案：C

解析:

114.［单选题］有关信息系统的设计、开发、实施、运行和维护过程中的安全问题，

以下描述错误的是

A）信息系统的开发设计，应该越早考虑系统的安全需求越好

B）信息系统的设计、开发、实施、运行和维护过程中的安全问题，

不仅仅要考虑提供一个安全的开发环境，同时还要考虑开发出安全的系

统

C）信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密

钥的管理

D）运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全

风险

答案：C

解析：

115.［单选题］（）才是系统的软肋，可以毫不夸张的说，人是信息系统安全防护体系中最不稳定也是

Oo（）社会工程学攻击是一种复杂的攻击，不能等同于一般的（），很多即使是自认为非常警惕及小

心的人，一样会被高明的（）所攻破。

A）社会工程学；攻击人的因素；最脆弱的环节；欺骗方法

B）人的因素：最脆弱的环节；社会工程学攻击；欺骗方法

C）欺骗方法；最脆弱的环节；人的因素；社会工程学攻击

D）人的因素；最脆弱的环节；欺骗方法：社会工程学攻击

答案:D

解析：

116.［单选题］下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系？

A）脆弱性增加了威胁，威胁利用了风险并导致了影响

B）风险引起了脆弱性并导致了影响，影响又引起了威胁

C）风险允许威胁利用脆弱性，并导致了影响

D）威胁利用脆弱性并产生影响的可能性称为风险，影响是威胁已造成损害的实例

答案:D

解析：

117.［单选题］当网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络

的所有访问行为，当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火

墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御

体系级别。但入侵检测技术不能实现以下哪种功能

A）检测并分析用户和系统的活动

B）检查系统的配置漏洞，评估系统关键资源和数据文件的完整性

C）防止IP地址欺骗

D）识别违反安全策略的用户活动

答案：B

解析：

118.［单选题］下列关于信息的说法—是错误的。

A）信息是人类社会发展的重要支柱

B）信息本身是无形的

C）信息具有价值，需要保护

D）信息可以以独立形态存在

答案:D

解析：

119.［单选题］审核在实施审核时，所使用的检查表不包括的内容有？

A）审核依据

B）审核证据记录

C）审核发现

D）数据收集方法和工具

答案：C

解析：

120.［单选题］下列的.犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。

A）窃取国家秘密

B）非法侵入计算机信息系统

C）破坏计算机信息系统

D）利用计算机实施金融诈骗

答案:A

解析：

121.［单选题］下列哪个选项是描述*-完整性公理的？

A）Biba模型中不能向上写

B）Biba模型中不能向下读

OBLP模型中不能向下写

D）BLP模型中不能向上读

答案:A

解析：

122.［单选题］信息安全管理工作小组可就哪些问题向外部安全专家或特定外部

组织寻求信息安全方面的建议？

A）相关安全信息的最佳实践和最新状态知识。

B）尽早接受到关于攻击和脆弱点的警告、建议和补丁

C）分享和交换关于新的技术、产品、威胁或脆弱点信息

D）以上都是

答案：D

解析：

123.［单选题］公安部网络违法案件举报网站的网址是—o（）

A）WWW.netpolice.cn

B）www.gongan.cn

C）http：〃Www.

D）www.110.cn

答案：C

解析：

124.［单选题］为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成？

A）确保风险评估过程是公平的

B）因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责

C）因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况

D）风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成

答案：C

解析：

125.［单选题］安全策略体系文件应当包括的内容不包括

A）信息安全的定义、总体目标、范围及对组织的重要性

B）对安全管理职责的定义和划分

C）口令、加密的使用是阻止性的技术控制措施；

D）违反安全策略的后果

答案：C

解析：

126.［单选题］（）是一个对称DES加密系统，它使用一个集中式的专钥密码功能，系统的核心是

KDCo

A）TACACS

B）RADIUS

C）Kerberos

D）PKI

答案：C

解析：

127.［单选题］计算机网络硬件设备中的无交换能力的交换机（集线器）属于哪一层

共享设备（）。

A）物理层

B）数据链路层

C）传输层

D）网络层

答案:A

解析：

128.［单选题］下列哪项不是信息系统的安全工程的能力成熟度模型（SSE-CMM）的主要过程：

A）风险评估

B）保证过程

C）工程过程

D）评估过程

答案：A

解析：

129.［单选题］6L一个信息管理系统通常会对用户进行分组并实施访问控制，例如，在一个学校的

教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理

人员能够对课程信息、学生的选课信息等内容进行修改，下列选项中，对访问控制的作用的理解错

误的是？

A）对经过身份鉴别后的合法用户提供所有服务

B）拒绝非法用户的非授权访问请求

C）在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理

D）防止对信息的非授权篡改和滥用

答案:A

解析：

130.［单选题］在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生

产系统中的数据，如果需要使用时，以下哪一项不是必须做的：

A）测试系统应使用不低于生产系统的访问控制措施

B）为测试系统中的数据部署完善的备份与恢复措施

C）在测试完成后立即清除测试系统中的所有敏感数据

D）部署审计措施，记录产生数据的拷贝和使用

答案:B

解析：

131.［单选题］在信息安全管理体系的实施过程中，管理者的作用对于信息安全管理体系能否成功实

施非常重要，但是以下选项中不属于管理者应有职责的是：

A）制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体

要求

B）确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确.可度量，计划应具体.可

实施

C）向组织传达满足信息安全的重要性，传达满足信息安全要求,达成信息安全目标.符合信息安全方

针.履行法律责任和持续改进的重要性

D）建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评估过程，确保信息安全风

险评估技术选择合理.计算正确

答案:D

解析：

132.［单选题］当发生灾难时，以下哪一项能保证业务交易的有效性

A）从当前区域外的地方持续每小时1次地传送交易磁带

B）从当前区域外的地方持续每天1次地传送交易磁带

C）抓取交易以整合存储设备

D）从当前区域外的地方实时传送交易磁带

答案:D

解析：

133.［单选题］近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方

法是？

A）加强网站源代码的安全性

B）对网络客户端进行安全评估

C）协调运营商对域名解析服务器进行加固

D）在网站的网络出口部署应用级防火墙

答案：C

解析：

134.［单选题］为了保障网络安全，维护网络空间主权和国家安全、社会公共利益、保护公民、法人

和其他组织的合法权益，促进经济社会信息化发展，加强在中华人民共和国境内建设、运营、维

护和使用网络，以及网络安全的监督管理，2015年6月，第十二届全国人大常委会第十五次会议

初次审议了一部法律草案，并于7月6日起在网上全文公布，向社会公开征求意见。这部法律的

草案是？

A）《中华人民共和国保守国家秘密法（草案）》

B）《中华人民共和国网络安全法（草案）》

C）《中华人民共和国国家安全法（草案）》

D）《中华人民共和国互联网安全法（草案）》

答案：C

解析：

135.［单选题］为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下

哪一项是耗费计算资源最多的一种垃圾邮件过滤机制？

A）SMTP身份认证

B）逆向名字解析

C）黑名单过滤

D）内容过滤

答案:D

解析：

136.［单选题］Kerberos协议是一种集中访问控制协议，它能在复杂的网络环境中，为用户提供安全

的单点登录服务，单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资

源，而不再需要请他的身份认证过程，实质是消息M在多个应用系统之间的传递或共享。其中，消

息M是一下选项中的

A）安全凭证

B）用户名

C）加密密钥

D）会话密钥

答案:A

解析：

137.［单选题］linuX中要想查看对一个文件的是否具有-rwxr-r-权限，使用的命令为（）

A）#ls-1∕etc∕passwd744

B）#ls-1∕etc∕shadow740

C）#ls-1∕etc∕rc3.d665

D）#ls-1/etc/inet.conf700

答案:A

解析：

138.［单选题］ApacheWeb服务器的配置文件一般位于∕usr∕local∕apache∕conf目录，其中用来控制

用户访问APaChe目录的配置文件是：

A）httpd.conf

B）srm.conf

C）access,conf

D）inetd.conf

答案:A

解析：

139.［单选题L—是企业信息安全的核心。（）

A）安全教育

B）安全措施

C）安全管理

D）安全设施

答案：C

解析：

140.［单选题］以下哪项不属于PDCA循环的特点？

A）按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，

不断循环

B）组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层

一层地解决问题

C）每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次

PDCA循环

D）D.组织中的每个部分，不包括个人，均可以PDCA循环，大环套小环，

一层一层地解决问题

答案：D

解析：

141.［单选题］以下属于哪一种认证实现方式：用户登录时，认证服务器（Authentication

Se