CISSP信息系统安全工程师认证考试题库（含AB卷）

CISSP信息系统安全工程师认证考试题库

（含A.B卷）

A卷：

单选题

1.hash算法的碰撞是指：

A、两个不同的消息，得到相同的消息摘要

B、两个相同的消息，得到不同的消息摘要

C、消息摘要和消息的长度相同

D、消息摘要比消息长度更长

参考答案：A

2.TACACS+协议提供了下列哪一种访问控制机制？

A、.强制访问控制

B、.自主访问控制

C、.分布式访问控制

D、.集中式访问控制

参考答案：D

3.以下关于“最小特权”安全管理原则理解正确的是：

A、组织机构内的敏感岗位不能由一个人长期负责

B、对重要的工作进行分解，分自己给不同人员完成

C、一个人有且仅有其执行岗位所足够的许可和权限

D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

参考答案：C

4.下面威胁中不属于抵赖行为的是：

A、发信者事后否认曾经发送过某条消息

B、收信者事后否认曾经接收过某条消息

C、发信者事后否认曾经发送过某条消息的内容

D、收信者接收消息后更改某部分内容

参考答案：D

5.当用户输入的数据被一个解释器当作命令或查询语句的一部分执

行时，就会产生哪种类型的漏洞？

A、.缓冲区溢出

B、.设计错误

C、.信息泄露

D、.代码注入

参考答案：D

6.在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息

系统的安全性，以下那一层次提供保密性、身份鉴别、数据完整性服

务？

A、网络层

B、表示层

C、会话层

D、物理层

参考答案：C

7.某系统被攻击者入侵，初步怀疑为管理员存在弱口令，攻击者从远

程终端以管理员身份登录进行系统进行了相应的破坏，验证此事应查

看：

A、系统日志

B、应用程序日志

C、安全日志

D、IIS日志

参考答案：C

8.完整性检查和控制的防范对象是,防止它们进入数据库。

A、.不合语义的数据，不正确的数据

B、.非法用户

C、.非法操作

D、.非法授权

参考答案：A

9.以下关于IS0/IEC27001标准说法不正确的是：

A、.本标准可被内部和外部相关方用于一致性评估，审核的重点就是

组织信息安全的现状，对部属的信息安全控制是好的还是坏的做出评

判

B、.本标准采用一种过程方法米建立、实施、运行、监视、评审、保

持和改进一个组织的ISMS

C、.目前国际标准化组织推出的四个管理体系标准：质量管理体系，

职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用

了相同的方法，即PDCA模型

D、.本标准注重监视和评审，因为监视和评审是持续改进的基础，如

果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”

参考答案：A

10.下面关于软件测试的说法错误的是：

A、.所谓“黑盒”测试就是测试过程不测试报告中进行描述，且对外

严格保密

B、.出于安全考虑，在测试过程中尽量不要使用真实的生产数据

C、.测试方案和测试结果应当成为软件开发项目文档的主要部分被妥

善的保存

D、.软件测试不仅应关注需要的功能是否可以被实现，还要注意是否

有不需要

参考答案：A

11.某公司正在进行信息安全风险评估,在决定信息资产的分类与分

级时，谁负有最终责任？

A、部门经理

B、高级管理层

C、信息资产所有者

D、最终用户

参考答案：C

12.在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于

A、.明文

B、.密文

C、.密钥

D、.信道

参考答案：C

13.对信息安全风险评估要素理解正确的是：

A、.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以

是硬件设备，也可以是业务系统，也可以是组织机构

B、.应针对构成信息系统的每个资产做风险评价

C、.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符

合性比对而找出的差距项

D、.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

参考答案：A

14.关于数据库注入攻击的说法错误的是：

A、它的主要原因是程序对用户的输入缺乏过滤

B、一般情况下防火墙对它无法防范

C、对它进行防范时要关注操作系统的版本和安全补丁

D、注入成功后可以获取部分权限

参考答案：C

15.为了保护DNS的区域传送(zonetransfer),你应该配置防火墙以

阻止1.UDP2.TCP3.534.52

A、1,3

B、2,3

C、1,4

D、2,4

参考答案：B

16.某单位采购主机入侵检测，用户提出了相关的要求，其中哪条是

主机入侵检测无法实现的？

A、精确地判断攻击行为是否成功

B、监控主机上特定用户活动、系统运行情况

C、监测到针对其他服务器的攻击行为

D、监测主机上的日志信息

参考答案：C

17.某个客户的网络现在可以正常访问Internet互联网，共有200台

终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公

有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部

200台终端PC访问Internet互联网最好采取什么方法或技术：

A、.花更多的钱向ISP申请更多的IP地址

B、.在网络的出口路由器上做源NAT

C、.在网络的出口路由器上做目的NAT

D、.在网络的出口处增加一定数量的路由器

参考答案：B

18.以下哪个一项数据传输方式难以通过网络窃听获取信息？

A、FTP传输文件

B、TELNET进行远程管理

C、URL以HTTPS开头的网页内容

D、经过TACACS+认证和授权后建立的链接

参考答案：C

19.SSL协议比IPSEC协议的优势在于：

A、实现简单、易于配置

B、能有效的工作在网络层

C、能支撑更多的应用层协议

D、能实现更高强度的加密

参考答案：A

20.为了增强电子邮件的安全性，人们经常使用PGP,它是：

A、.一种基于RSA的邮件加密软件

B、.一种基于白名单的反垃圾邮件软件

C、.基于SSL和VPN技术

D、.安全的电子邮箱

参考答案：A

21.下面对于“电子邮件炸弹”的解释最准确的是：

A、邮件正文中包含的恶意网站链接

B、邮件附件中具有强破坏性的病毒

C、社会工程的一种方式，具有恐吓内容的邮件

D、在短时间内发送大量邮件的软件，可以造成目标邮箱爆满

参考答案：D

22.某单位想用防火墙对telnet协议的命令进行限制，应选在什么类

型的防火墙？

A、包过滤技术

B、应用代理技术

C、状态检测技术

D、NAT技术

参考答案：B

23.时间戳的引入主要是为了防止：

A、.死锁

B、.丢失

C、.重放

D、.拥塞

参考答案：C

24.在Unix系统中，/etc/service文件记录T什么内容？

A、记录一些常用的接口及其所提供的服务的对应关系

B、决定inetd启动网络服务时，启动哪些服务

C、定义了系统缺省运行级别，系统进入新运行级别需要做什么

D、包含了系统的一些启动脚本

参考答案：A

25.下列对Kerberos协议特点描述不正确的是：

A、.协议采用单点登录技术，无法实现分布式网络环境下的认证

B、.协议与授权机制相结合，支持双向的身份认证

C、.只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通

过TGS完成到任一个服务器的认证而不必重新输入密码

D、.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严

重依赖于AS和TGS的性能和安全

参考答案：A

26.在一个有充分控制的信息处理计算中心中，下面酬的可以自同一

个人执行？

A、安全管理和变更管理

B、计算机操作和系统开发

C、系统开发和变更管理

D、系统开发和系统维护

参考答案：A

27.统计数据指出，对大多数计算机系统来说，最大的威胁是：

A、本单位的雇员

B、黑客和商业间谍

C、未受培训的系统用户

D、技术产品和服务供应商

参考答案：A

28.通常在设计VLAN时，以下哪一项不是VLAN的规划的方法？

A、.基于交换机端口

B、.基于网络层协议

C、.基于MAC地址

D、.基于数字证书

参考答案：D

29.域名注册信息可在哪里找到？

A、.路由表

B、.DNS记录

C、.whois数据库

D、.MIBs库

参考答案：B

30.安全审计是对系统活动和记录的独立检查和验证，以下哪一项不

是审计系统的作用：

A、.辅助辨识和分析未经授权的活动或攻击

B、.对与已建立的安全策略的一致性进行核查

C、.及时阻断违反安全策略的访问

D、.帮助发现需要改进的安全控制措施

参考答案：C

31.作为信息中心的主任，你发现没有足够的人力资源保证将数据库

管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成

了一定的安全风险，这时你应当怎么做？

A、.抱怨且无能为力

B、.向上级报告该情况，等待增派人手

C、.通过部署审计措施和定期审查来降低风险

D、.由于增加人力会造成新的人力成本，所以接受该风险

参考答案：C

32.下列关于计算机病毒感染能力的说法不正确的是:

A、.能将自身代码注入到引导区

B、.能将自身代码注入到扇区中的文件镜像

C、.能将自身代码注入文本文件中并执行

D、.能将自身代码注入到文档或模板的宏中代码

参考答案：C

33.PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测

和响应。这种模型的特点理解错误的是：

A、模型已入了动态时间基线，符合信息安全发展理念

B、模型强调持续的保护和响应，符合相对安全理念

C、模型是基于人为的管理和控制而运行的

D、模型引入了多层防御机制，符合安全的“木桶原理”

参考答案：C

34.恶意代码采用加密技术的目的是：

A、.加密技术是恶意代码自身保护的重要机制

B、.加密技术可以保证恶意代码不被发现

C、.加密技术可以保证恶意代码不被破坏

D、.以上都不正确

参考答案：A

35.下列哪些内容应包含在信息系统战略计划中？

A、.已规划的硬件采购的规范

B、.将来业务目标的分析

C、.开发项目的目标日期

D、.信息系统不同的年度预算目标

参考答案：B

36.应用软件的正确测试顺序是什么？

A、.集成测试、单元测试、系统测试、验收测试

B、.单元测试、系统测试、集成测试、验收测试

C、.验收测试、单元测试、集成测试、系统测试

D、.单元测试、集成测试、系统测试、验收测试

参考答案：D

37.存储过程是SQL语句的一个集合，在一个名称下存储，按独立单

元方式执行。以下哪一项不是使用存储过程的优点：

A、.提高性能，应用程序不用重复编译此过程

B、.降低用户查询数量，减轻网络拥塞

C、.语句执行过程中如果中断，可以进行数据回滚，保证数据的完整

性和一致性

D、.可以控制用户使用存储过程的权限，以增强数据库的安全性

参考答案：B

38.下面对访问控制技术描述最准确的是：

A、保证系统资源的可靠性

B、实现系统资源的可追查性

C、防止对系统资源的非授权访问

D、保证系统资源的可信性

参考答案：C

39.下列关于kerckhofff准则的说法正确的是：

A、保持算法的秘密性比保持密钥的秘密性要困难的多

B、密钥一旦泄漏，也可以方便的更换

C、在一个密码系统中，密码算法是可以公开的，密钥应保证安全

D、公开的算法能够经过更严格的安全性分析

参考答案：C

40.以下选项中哪一项是对于信息安全风险采取的纠正机制

A、访问控制

B、入侵检测

C、灾难恢复

D、防病毒系统

参考答案：C

41.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动:

A、设置网络链接时限

B、记录并分析系统错误日志

C、记录并分析用户和管理员操作日志

D、启用时钟同步

参考答案：A

42.专门负责数据库管理和维护的计算机软件系统称为：

A、.SQL-MS

B、.INFERENCECONTROL

C、.DBMS

D、.TRIGGER-MS

参考答案：C

43.下列对自主访问控制说法不正确的是：

A、自主访问控制允许客体决定主体对该客体的访问权限

B、自主访问控制具有较好的灵活性扩展性

C、自主访问控制可以方便地调整安全策略

D、自主访问控制安全性不高，常用于商业系统

参考答案：A

44.当员工或外单位的工作人员离开组织或岗位变化时，必须进行以

下的管理程序除了：

A、明确此人不再具有以前的职责

B、确保归还应当归还的资产

C、确保属于以前职责的访问权限被撤销

D、安全管理员陪同此人离开工作场所

参考答案：D

45.IATF深度防御战略的三个层面不包括：

A、人员

B、法律

C、技术

D、运行

参考答案：B

46.以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A、.出入的原因

B、.出入的时间

C、.出入口的位置

D、.是否成功进入

参考答案：A

47.以下人员中，谁负有决定信息分类级别的责任？

A、.用户

B、.数据所有者

C、.审计员

D、.安全员

参考答案：B

48.在数据库安全性控制中，授权的数据对象,授权子系统就

越灵活？

A、•粒度越小

B、.约束越细致

C、.范围越大

D、.约束范围大

参考答案：A

49.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf

目录，其中用来控制用户访问Apache目录的配置文件是：

A、.httpd.conf

B、.srm.conf

C、.access,conf

D、.inetd.conf

参考答案：A

50.关于PKI/CA证书，下面那一种说法是错误的？

A、证书上具有证书授权中心的数字签名

B、证书上列有证书拥有者的基本信息

C、证书上列有证书拥有者的公开密钥

D、证书上列有证书拥有者的秘密密钥

参考答案：D

51.以下对信息安全风险管理理解最准确的说法是:

A、了解风险

B、转移风险

C、了解风险并控制风险

D、了解风险并转移风险

参考答案：C

52.NAT技术不能实现以下哪个功能？

A、对应用层协议进行代理

B、隐藏内部地址

C、增加私有组织的地址空间

D、解决IP地址不足问题

参考答案：A

53.人们对信息安全的认识从信息技术安全发展到信息安全保障，主

要是由于：

A、为了更好地完成组织机构的使命

B、针对信息系统的攻击方式发生重大变化

C、风险控制技术得到革命性的发展

D、除了保密性，信息的完整性和可用性也引起了人们的关注

参考答案：A

54.以下哪一项是和电子邮件系统无关的？

A、PEM(PrivacyEnhancedmai1)

B、PGP(PrettyGoodprivacy)

C、X.500

D、X.400

参考答案：C

55.以下关于Linux超级权限的说明，不正确的是

A、.一般情况下，为了系统安全，对于一般常规级别的应用，不需要

root用户来操作完成

B、.普通用户可以通过su和sudo来获得系统的超级权限

C、.对系统日志的管理，添加和删除用户等管理工作，必须以root用

户登录才能进行

D>.root是系统的超级用户，无论是否为文件和程序的所有者都具有

访问权限

参考答案：C

56.某种防火墙的缺点是没有办法从非常细微之处来分析数据包，但

它的优点是非常快，这种防火墙是以下的哪一种？

A、电路级网关

B、应用级网关

C、会话层防火墙

D、包过滤防火墙

参考答案：A

57.在ISO的0SI安全体系结构中，以下哪一个安全机制可以提供抗

抵赖安全服务？

A、加密

B、数字签名

C、访问控制

D、路由控制

参考答案：B

58.杀毒软件报告发现病毒Macro.Melissa,由该病毒名称可以推断出

病毒类型是

A、文件型

B、引导型

C、目录型

D、宏病毒

参考答案：D

59.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?

A、DSS

B、Diffie-Hellman

C、RSA

D、AES

参考答案：C

60.下列哪一项不属于Fuzz测试的特性

A、主要针对软件漏洞或可靠性错误进行测试

B、采用大量测试用例进行漏洞-相应测试

C、一种试探性测试方法，没有任何理论依据

D、利用构造畸形的输入数据引发被测试目标产生异常

参考答案：C

61.以下哪种无线加密标准中那一项的安全性最弱？

A、wep

B、wpa

C、wpa2

D、wapi

参考答案：A

62.下面哪一项内容更准确地描述了网络接口层（即数据链路层）可能

存在的安全攻击？

A、ARP欺骗、分片攻击、synflood等

B、ARP欺骗、macfloodin,嗅探等

C、死亡之ping、macflooding>嗅探等

D、IP源地址欺骗、ARP欺骗、嗅探等

参考答案：C

63.当发现信息系统被攻击时，以下哪一项是首先应该做的?

A、切断所有可能导致入侵的通信线路

B、采取措施遏制攻击行为

C、判断哪些系统和数据遭到了破坏

D、与有关部门联系

参考答案：B

64.以下哪个不是SDL的思想之一：

A、.SDL是持续改进的过程，通过持续改进和优化以适用各种安全变

化，追求最优效果

B、.SDL要将安全思想和意识嵌入到软件团队和企业文化中

C、.SDL要实现安全的可度量性

D、.SDL是对传统软件开发过程的重要补充，用于完善传统软件开发

中的不足

参考答案：D

65.常见密码系统包含的元素是:

A、明文，密文,信道，加密算法,解密算法

B、明文，摘要,信道，加密算法,解密算法

C、明文，密文,密钥，加密算法,解密算法

D、消息，密文,信道，加密算法,解密算法

参考答案：C

66.计算机取证的合法原则是：

A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履

行相关法律手续

B、计算机取证在任何时候都必须保证符合相关法律法规

C、计算机取证只能由执法机构才能执行，以确保其合法性

D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则

参考答案：B

67.通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源

来进行响应，直至被攻击者再也无法处理有效地网络信息流时，这种

攻击称之为：

A、.Land攻击

B、.Smurf攻击

C、.PingofDeath攻击

D、.ICMPFlood

参考答案：D

68.有一些信息安全事件是由于信息系统中多个部分共同作用造成的,

人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法

是：

A、.配置网络入侵检测系统以检测某些类型的违法或误用行为

B、.使用防病毒软件，并且保持更新为最新的病毒特征码

C、.将所有公共访问的服务放在网络非军事区（DMZ）

D、.使用集中的日志审计工具和事件关联分析软件

参考答案：D

69.下列哪一项安全控制措施不是用来检测未经授权的信息处理活动

的：

A、.设置网络连接时限

B、.记录并分析系统错误日志

C、.记录并分析用户和管理员操作日志

D、.启用时钟同步

参考答案：A

70.以下哪个是ARP欺骗攻击可能导致的后果？

A、.ARP欺骗可直接获得目标主机的控制权

B、.ARP欺骗可导致目标主机的系统崩溃，蓝屏重启

C、.ARP欺骗可导致目标主机无法访问网络

D、.ARP欺骗可导致目标主机死机

参考答案：C

71.以下哪项是对抗ARP欺骗有效的手段？

A、.使用静态的ARP缓存

B、.在网络上阻止ARP报文的发送

C、.安装杀毒软件并更新到最新的病毒库

D、.使用Linux系统提高安全性

参考答案：A

72.在某个攻击中，由于系统用户或系统管理员主动泄漏，使得攻击

者可以访问系统资源的行为被称作:

A、社会工程

B、非法窃取

C、电子欺骗

D、电子窃听

参考答案：A

73.Windows系统下，哪项不是有效进行共享安全的防护措施？

A、.使用netshare\\\c$/delete命令,删除系统中的c$等管理共享,

并重启系统

B、.确保所有的共享都有高强度的密码防护

C、.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配

置和注册表键值

D、.安装软件防火墙阻止外面对共享目录的连接

参考答案：A

74.拒绝服务攻击导致的危害中，以下哪个说法是不正确的：

A、.网络带宽被耗尽，网络被堵塞，无法访问网络

B、.主机资源被耗尽，主机无法响应请求

C、.应用资源被耗尽，应用无法响应请求

D、.应用系统被破坏，应用无法响应请求

参考答案：D

75.在一个使用ChineseWall模型建立访问控制的信息系统中，数据

W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣

冲突域中，那么可以确定一个新注册的用户：

A、只有访问了W之后，才可以访问X

B、只有访问了W之后，才可以访问Y和Z中的一个

C、无论是否访问W,都只能访问Y和Z中的一个

D、无论是否访问W,都不能访问Y或Z

参考答案：C

76.Linux系统对文件的权限是以模式位的形式来表示，对于文件名

为test的一个文件，属于admin组中user用户，以下哪个是该文件

正确的模式表示？

A、.rwxr-xr-x3useradminlO24Sepl311:58test

B、.drwxr-xr-x3useradminl024Sep1311:58test

C、.rwxr-xr-x3adminuserlO24Sepl311:58test

D、.drwxr-xr-x3adminuserlO24Sepl311:58test

参考答案：A

77.CC标准是目前国际通行的信息安全技术产品安全性评价规范，关

于其先进性说法错误的是：

A、它基于保护轮廓和安全目标提出安全需求，具有灵活性和合理性

B、它基于功能要求和保证要求进行安全评估，能够实现分级评估目

标

C、它不仅考虑了保密性评估要求，还考虑了完整性和可用性多方面

安全要求

D、它划分为A、B、C、D四个等级，实现分级别的安全性评测

参考答案：D

78.为了保护系统日志可靠有效，以下哪一项不是日志必需具备的特

征：

A、统一面精确地的时间

B、全面覆盖系统资产

C、包括访问源、访问日志和访问活动等重要信息

D、可以让系统的所有用户方便的读取

参考答案：D

79.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组

织层面的过程进行规范的定义？

A、.2级—计划和跟踪

B、.3级—充分定义

C、.4级——量化控制

D、.5级—持续改进

参考答案：A

80.下列安全控制措施的分类中，哪个分类是正确的（P-预防性的，

D-检测性的以及C-纠正性的控制）：

1.网络防火墙

2.RAID级别

3.银行账单的监督复审

4.分配计算机用户标识

5.交易日志

A、)P,P,C,D,andC

B、）D,C,C,D,andD

C、）P,C,D,P,andD

D、）P,D,P,P,andC

参考答案：C

81.下面对WAPI描述不正确的是：

A、.安全机制由WAI和WPI两部分组成

B、.WAI实现对用户身份的鉴别

C、.WPI实现对传输的数据加密

D、.WAI实现对传输的数据加密

参考答案：D

82.以下哪一种备份方式在恢复时间上最快？

A、.增量备份

B、.差异备份

C、.完全备份

D、.磁盘镜像

参考答案：A

83.某公司正在对一台关键业务服务器进行风险评估：该服务器价值

138000元，针对某个特定威胁的暴露因子（EF）是45%,该威胁的年

度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年

度预期损失值（ALE）是多少？

A、.1800元

B、.62100元

C、.140000元

D、.6210元

参考答案：D

84.下列哪一项是虚拟专用网络（VPN）的安全功能

A、验证，访问控制和密码

B、隧道，防火墙和拨号

C、加密，鉴别和密钥管理

D、压缩，解密和密码

参考答案：C

85.HTTPS采用协议实现安全网站访问。

A、SSL

B、IPSec

C、PGP

D、SET

参考答案：A

86.通过对称密码算法进行安全消息传输的必要条件是：

A、.在安全的传输信道上进行通信

B、.通讯双方通过某种方式，安全且秘密地共享密钥

C、.通讯双方使用不公开的加密算法

D、.通讯双方将传输的信息夹杂在无用信息中传输并提取

参考答案：B

87.桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的

优点不包括：

A、.不需要对原有的网络配置进行修改

B、.性能比较高

C、.防火墙本身不容易受到攻击

D、.易于在防火墙上实现NAT

参考答案：D

88.以下关于代替密码的说法正确的是：

A、.明文根据密钥被不同的密文字母代替

B、.明文字母不变，仅仅是位置根据密钥发生改变

C、.明文和密钥的每个bit异或

D、.明文根据密钥作移位

参考答案：A

89.在Unix系统中输入命令"is—altest”显示如下"-rwxr-xr-

x3rootrootl024Sepl311:58test”

对它的含义解释错误的是：

A、这是一个文件，而不是目录

B、的拥有者可以对这个文件进行读、写和执行的操作

C、文件所属组的成员有可以读它，也可以执行它

D、其它所有用户只可以执行它

参考答案：D

90.监听网络流量获取密码，之后使用这个密码试图完成未经授权访

问的攻击方式被称为：

A、穷举攻击

B、字典攻击

C、社会工程攻击

D、重放攻击

参考答案：D

91.以下关于VPN说法正确的是：

A、VPN指的是用户自己租用线路，和公共网络完全隔离的、安全的线

路

B、VPN是用户通过公用网络建立的临时的安全的连接

C、VPN不能做到信息验证和身份认证

D、VPN只能提供身份认证、不能提供加密数据的功能

参考答案：B

92.下列哪些选项不属于NIDS的常见技术？

A、.协议分析

B、.零拷贝

C、.SYNCookie

D、.IP碎片从重组

参考答案：C

93.风险是需要保护的()发生损失的可能性，它是()和()综合结果。

A、资产，攻击目标，威胁事件

B、设备、威胁、漏洞

C、资产，威胁，漏洞

D、以上都不对

参考答案：C

94.以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A、组织机构内的敏感岗位不能由一个人长期负责

B、对重要的工作进行分解，分配给不同人员完成

C、一个人有且仅有其执行岗位所足够的许可和权限

D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

参考答案：A

95.你来到服务器机房隔壁的一间办公室，发现窗户坏了。由于这不

是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。你

离开后，没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性

相关的威胁真正出现的可能性会有什么影响？

A、.如果窗户被修好，威胁真正出现的可能性会增加

B、.如果窗户被修好，威胁真正出现的可能性会保持不变

C、.如果窗户没有被修好，威胁真正出现的可能性会下降

D、.如果窗户没有被修好，威胁真正出现的可能性会增加

参考答案：D

96.下列哪一项不是信息安全漏洞的载体？

A、网络协议

B、操作系统

C、应用系统

D、业务数据

参考答案：D

97.在对安全控制进行分析时，下面哪个描述是不准确的？

A、.对每一项安全控制都应该进行成本收益分析，以确定哪一项安全

控制是必须的和有效的

B、.应确保选择对业务效率影响最小的安全措施

C、.选择好实施安全控制的时机和位置，提高安全控制的有效性

D、.仔细评价引入的安全控制对正常业务带来的影响，采取适当措施,

尽可能减少负面效应

参考答案：B

98.某单位通过防火墙进行互联网接入，外网口地址为，内网口地址

为，这种情况下防火墙工作模式为：

A、透明模式

B、路由模式

C、代理模式

D、以上都不对

参考答案：B

99.以下哪种情形下最适合使用同步数据备份策略？

A、对灾难的承受能力高

B、恢复时间目标(RTO)长

C、恢复点目标(RPO)短

D、恢复点目标(RPO)长

参考答案：C

100.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己

的公钥并发送给接收者，这种情况属于哪一种攻击？

A、.重放攻击

B、.Smurf攻击

C、.字典攻击

D、.中间人攻击

参考答案：D

101.以下对Windows账号的描述，正确的是：

A、.Windows系统是采用SID（安全标识符）来标识用户对文件或文

件夹的权限

B、.Windows系统是采用用户名来标识用户对文件或文件夹的权限

C、.Windows系统默认会生成administrator和guest两个账号，两

个账号都不允许改名和删除

D、.Windows系统默认生成administrator和guest两个账号，两个

账号都可以改名和删除

参考答案：A

102.以下哪一项是已经被确认了的具有一定合理性的风险？

A、总风险

B、最小化风险

C、可接受风险

D、残余风险

参考答案：C

103.Alice有一个消息M通过密钥K2生成一个密文E(K2,M)然后

用K1生成一个MAC为C(KI,E(K2,M)),Alice将密文和MAC发送

给Bob,Bob用密钥K1和密文生成一个MAC并和Alice的MAC比较,

假如相同再用K2解密Alice发送的密文，这个过程可以提供什么安

全服务？

A、.仅提供数字签名

B、.仅提供保密性

C、.仅提供不可否认性

D、.保密性和消息完整性

参考答案：D

104.以下对单点登录技术描述不正确的是：

A、单点登录技术实质是安全凭证在多个用户之间的传递或共享

B、使用单点登录技术用户只需在登录时进行一次注册，就可以访问

多个应用

C、单点登录不仅方便用户使用，而且也便于管理

D、使用单点登录技术能简化应用系统的开发

参考答案：A

105.以下哪一项是和电子邮件系统无关的？

A、PEM(Privacyenhancedmai1)

B、PGP(PrettygoodPrivacy)

C、X.500

D、X.400

参考答案：C

106.以下对Kerberos协议过程说法正确的是：

A、协议可以分为两个步骤:一是用户身份鉴别；二是获取请求服务

B、协议可以分为两个步骤:一是获得票据许可票据；二是获取请求服

务

C、协议可以分为三个步骤:一是用户身份鉴别；二是获得票据许可票

据；三是获得服务许可票据

D、协议可以分为三个步骤:一是获得票据许可票据；二是获得服务许

可票据；三是获得服务

参考答案：D

107.信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各

个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是

必须进行的工作：

A、.明确业务对信息安全的要求

B、.识别来自法律法规的安全要求

C、.论证安全要求是否正确完善

D、.通过测试证明系统的功能和性能可以满足安全要求

参考答案：D

108.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效,

已经替代DES成为新的数据加密标准。其算法的信息块长度和加密密

钥是可变的，以下哪一种不是其可能的密钥长度？

A、.64bit

B、.128bit

C、.192bit

D、.256bit

参考答案：A

109.下列哪些描述同SSL相关？

A、公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的

真实性

B、公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密

数据

C、私钥使用户可以创建数字签名、验证数字签名的真实性并交换会

话密钥

D、私钥使用户可以创建数字签名、加密数据和解密会话密钥

参考答案：B

110.下面哪一个情景属于身份鉴别(Authentication)过程？

A、.用户依照系统提示输入用户名和口令

B、.用户在网络上共享了自己编写的一份Office文档，并设定哪些

用户可以阅读，哪些用户可以修改

C、.用户使用加密软件对自己编写的Office文档进行加密，以阻止

其他人得到这份拷贝后看到文档中的内容

D、.某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提

示口令错误，并将这次失败的登陆过程纪录在系统日志中

参考答案：A

111.在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其

它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项

不是必须做的：

A、.测试系统应使用不低于生产系统的访问控制措施

B、.为测试系统中的数据部署完善的备份与恢复措施

C、.在测试完成后立即清除测试系统中的所有敏感数

D、.部署审计措施，记录生产数据的拷贝和使用

参考答案：B

112.完整性机制可以防范以下哪种攻击？

A、假冒源地址或用户的地址的欺骗攻击

B、抵赖做过信息的递交行为

C、数据传输中被窃听获取

D、数据传输中被篡改或破坏

参考答案：D

113.下列对密网功能描述不正确的是：

A、.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击

B、.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录

下来

C、.可以进行攻击检测和实时报警

D、.可以对攻击活动进行监视、检测和分析

参考答案：C

114.以下一项是数据完整性得到保护的例子？

A、某网站在访问量突然增加时对用户连接数量进行了限制，保证己

登录的用户可以完成操作

B、在提款过程中ATM终端发生故障，银行业务系统及时对该用户的

帐户余顺进行了冲正操作

C、某网管系统具有严格的审计功能，可以确定哪个管理员在何时对

核心交换机进行了什么操作

D、李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装

成清沽工的商业间谍无法查看

参考答案：B

115.以下哪个攻击步骤是IP欺骗（IPSpoof）系列攻击中最关键和难

度最高的？

A、.对被冒充的主机进行拒绝服务攻击，使其无法对目标主机进行响

应

B、.与目标主机进行会话，猜测目标主机的序号规则

C、.冒充受信主机向目标主机发送数据包，欺骗目标主机

D、.向目标主机发送指令，进行会话操作

参考答案：B

116.以下哪一项都不是PKI/CA要解决的问题：

A、可用性、身份鉴别

B、可用性、授权与访问控制

C、完整性、授权与访问控制

D、完整性、身份鉴别

参考答案：B

117.下列对常见强制访问控制模型说法不正确的是：

A、BLP模型影响了许多其他访问控制模型的发展

B、Clark-Wilson模型是一种以事物处理为基本操作的完整性模型

C、ChineseWall模型是一个只考虑完整性的安全策略模型

D、Biba模型是一种在数学上与BLP模型对偶的完整性保护模型

参考答案：C

118.以下哪种方法不能有效提高WLAN的安全性：

A、.修改默认的服务区标识符(SSID)

B、.禁止SSID广播

C、.启用终端与AP间的双向认证

D、.启用无线AP的开放认证模式

参考答案：D

H9.按照技术能力、所拥有的资源和破坏力来排列，下列威胁中哪种

威胁最大？

A、个人黑客

B、网络阳罪团伙

C、网络战士

D、商业间谍

参考答案：D

120.以下哪一项不是PKI/CA要解决的问题：

A、可用性、身份鉴别

B、可用性、授权与访问控制

C、完整性、授权与访问控制

D、完整性、身份鉴别

参考答案：B

121.信息安全策略是管理层对信息安全工作意图和方向的正式表述,

以下哪一项不是信息安全策略文档中必须包含的内容：

A、.说明信息安全对组织的重要程度

B、.介绍需要符合的法律法规要求

C、.信息安全技术产品的选型范围

D、.信息安全管理责任的定义

参考答案：C

122.“TCPSYNPlooding”建立大量处于半连接状态的TCP连接，其攻

击目标是网络的0

A、保密性

B、完整性

C、真实性

D、可用性

参考答案：D

123.下列保护系统账户安全的措施中，哪个措施对解决口令暴力破解

无帮助？

A、设置系统的账户锁定策略，在用户登录输入错误次数达到一定数

量时对账户进行锁定

B、更改系统内置管理员的用户名

C、给管理员账户一个安全的口令

D、使用屏幕保护并设置返回时需要提供口令

参考答案：D

124.令牌(Tokens),智能卡及生物检测设备同时用于识别和鉴别，

依据的是以下哪个原则？

A、.多因素鉴别原则

B、.双因素鉴别原则

C、.强制性鉴别原则

D、.自主性鉴别原则

参考答案：B

125.在IT项目管理中为了保证系统的安全性，应当充分考虑对数据

的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目

标：

A、防止出现数据范围以外的值

B、防止出现错误的数据处理顺序

C、防止缓冲区溢出攻击

D、防止代码注入攻击

参考答案：B

126.在应用层协议中，可使用传输层的TCP协议，又可用UDP

协议。

A、SMTP

B、DNS

C、HTTP

D、FTP

参考答案：B

127.应急方法学定义了安全事件处理的流程，这个流程的顺序是：

A、准备-遏制-检测-根除-恢复-跟进

B、准备-检测-遏制-恢复-根除-跟进

C、准备-检测-遏制-根除-恢复-跟进

D、准备-遏制-根除-检测-恢复-跟进

参考答案：C

128.以下对于安全套接层（SSL）的说法正确的是：

A、.主要是使用对称密钥体制和X509数字证书技术保护信息传输的

机密性和完整性

B、.可以在网络层建立VPN

C、.主要适用于点对点之间的信息传输，常用Webserver方式

D、.包含三个主要协议：A

H、ESP、IKE

参考答案：C

129.路由器的标准访问控制列表以什么作为判别条件

A、.数据包的大小

B、.数据包的源地址

C、.数据包的端口号

D、.数据包的目的地址

参考答案：B

130.美国国防部公布的《可信计算机系统评估准则》（TCSEC）把计算

机系统的安全分为个大的等级。

A、3

B、4

C、5

D、6

参考答案：B

131.风险管理中使用的控制措施，不包括以下哪种类型？

A、预防性控制措施

B、管理性控制措施

C、检查性控制措施

D、纠正性控制措施

参考答案：B

132.WPA2包含下列哪个协议标准的所有安全特性？

A、IEEE802.11b

B、IEEE802.11c

C、IEEE802.11g

D、IEEE802.Hi

参考答案：A

B卷：

1：下列哪一项不正确？C

A.保密性的违反包括人为错误

B.保密性的违反包括管理监督

C.保密性的违反仅限于直接故意攻击

D.当传输未正确加密时保密性违反可能发生

javascript:void(null)

2：STRIDE通常用于评估针对应用程序或操作系统的威胁有关，下

列哪一项不包括STRIDE元素？D

A.欺骗

B.权限提升

C.否认

D.披露

解析:信息披露不等于披露

3：下列哪一项是机密数据的最低军事数据分类B

A.敏感

B.机密

C.专有

D.隐私

解析:机密、秘密、绝密的统项为数据分类，机密低于秘密

4：数据分类都用于关注安全控制，除了已下哪一个？D

A：存储

B：处理

C：分层

D:转移

5：下列哪一项不是有效的风险定义?B

A、几率、可能和机会的评估

B移除脆弱性或防止一个（或多个）特定攻击发生的任何事情

C风险:威胁*脆弱性

D每个暴露实例

解析:B属于风险实施过程

6、以下哪一项没有具体或直接关系到组织的安全功能管理?A

A、员工工作满意度

B、度量

C、信息安全策略

D、预算

解析：安全管理通常包括预算、指标、资源、信息安全策略的评估

以及评估安全程序的完整性和有效性

7、通过特定的威胁/脆弱性/风险关系，已经执行了基本的定量风险

分析，选择一个可能的对策当再次计算时，下列哪个因素会变化D

A、暴露因子

B、单一损失期望

C、资产价值

D、年发生比率

对策直接影响年发生比，这主要是因为对策被设计用于组织风险的

发生，从而减少年发生比的频率

8、对于那些对业务连续性计划开发负责的人来说，第一步应该执行

什么？B

A.团队选择

B.业务组织分析

C.资源需求分析

D.法律和法规性评估

解析：首先分析业务组织，然后组件BCP团队，然后分析风险、制

定BCP方案，给最高领导人确定，最后实施和维护

9、下列哪一项BIA条款表示了特定风险每年预计损失的货币量:C

A、ARO

B、SLE

C、ALE

D、EF

解析：ALE=SLE*ARO,这里是我概念记混了.ALE为年度损失期望，

SLE为单一损失期望

10、在哪个业务连续性计划任务中，会设计流程和机制以减少BCP

团队认定的不可接受的风险？C

A、策略阶段

B、业务影响评估

C、条款和流程

D、资源优先级

解析：预备和处理阶段，BCP团队实际上位缓解的策略开发阶段认

为不可接受的风险设计规程和机制

n、安装冗余通信链路，这是利用了什么类型的缓解条款?D

A加固系统

B定义系统

C减轻系统

D更换系统

解析:这是替换系统的一个例子，冗余通信链路是备用系统的一种形

式。

12、那条法律首先要求美国联邦的相关计算机系统操作者接受计算

机安全问题的定期培训？A

A、计算机安全法案

B、国际基础设施保护法案

C、计算机欺诈和滥用法案

D、电子通信隐私法案

解析：《计算机安全法案》要求强制性的对涉及管理、使用或操作包

含敏感信息的联邦计算机系统的所有人定期培训

13、什么是计算机系统最广泛的类别，这个类别收计算机欺诈和滥

用方案（修正案）保护？

A、政府所属系统

B、联邦相关系统

C、用于洲际贸易的系统

D、美国境内系统

解析：《计算机滥用修正案》包括了州间贸易使用的素有系统，这覆

盖了美国的部分的系统（但不是全部）

14、Mattew最近编写了一个创新算法去解决一个数学问题，并且他

希望与全世界分享。但是，在技术杂志上发布软件代码之前，他想

获得一些知识产权方面的保护，下列哪个保护最适合他？

A版权

B商标

C专利

D商业秘密

解析：版权法时Matthew可以使用的知识产权的唯一类型，商标不

适合这种情况，专利权不适合数学算法

15、什么法律禁止政府机构泄密个人提交给政府保护环境下的信

息？

A、隐私法案

B、电子通信隐私法案

C、健康保险流通与责任法案

D、Gramm-Leach-Bliley法案

解析：美国的《隐私法案》限制了政府机构使用公民在某种情况下

透露给他们的信息的方法

16、软件行业使用什么法律来正式的派发大量许可，并试着标准化

从一个州到另一个州的使用？

A计算机安全法案

B统一计算机信息处理法案

C数字千禧年版权法案

DGramm-Leach-BliIry法案

解析：《美国同意计算机信息处理法案》试图实施一个有关所有州都

采纳的计算机处理的标准法律架构

17、以下哪一项许可协议类型不需要用户在执行之前确认他们已经

阅读了协议？

A、标准许可协议

B、拆封协议

C、单击许可协议

D、口头协议

解析：B收缩性薄膜包装的许可证协议在用户打开软件包装时生效

18、在美国专利保护期是多长？

A、提交申请日开始14年

B、专利获得日开始14年

C、提交申请日开始20年

D、专利获得日开始20年

解析：美国专利发从专利申请提交到专利和商标局的时候就开始提

供20年的独家使用权

19、在处理关于欧盟数据隐私法令下的个人信息时，以下哪一项不

是有效的法律依据？

A、合同

B、法律义务

C、市场需求

D、赞成

解析：欧盟隐私法指令的定义，市场销售需要不是处理个人信息的

有效基础

20、以下哪一项基于Blowfish并能保护免受彩虹表袭击?C

A、3DES

B、AES

C、bcrypt

D、SCP

解析：bcrypt基于Blowfish,添加128位附加为作为盐以防止彩虹

表攻击

21、以下哪一项是对数据所有者确立的“行为规则”的最好定义？

A、确保用户只被授予对他们所需要东西的访问权

B、决定对系统有访问权的人

C、识别对数据的恰当使用和保护

D、对系统实施安全控制

解析：行为规则是被适当和保护数据的规则

22、在欧盟数据保护法的北京下，以下哪一个是数据处理者？

A、代表数据控制者处理个人数据的实体

B、控制数据处理的实体

C、处理数据的计算系统

D、处理数据的网络

解析：欧盟保护法定义数据处理器为〃仅代表数据控制器处理个人数

据的自然人或法人〃

23、以下的选项中，哪一项可以在补牺牲安全性的情况下阻止丢失

时间的发生？D

A、标记场外保存的介质

B、不要把数据存储在场地外

C、将场地外的备份全部摧毁

D、使用安全的场地外存储设备

23、在以下选项中、关于备份介质不遵守哪一项策略？B

A、介质销毁

B、记录保存

C、配置管理

D、版本控制

解析：人员没有遵守记录保留策略

24、高级加密标准使用的分块大小是多少？

A、32

B、64

C、128

D、可变

解析：AES加密标准使用128块大小

25、什么类型的密码系统经常利用一个通道，借助一本著名的书来

加密秘钥？B

A、Vername加密

B、轮换秘钥加密

C、Skipjack加密

D、Twofish加密

解析：滚动秘钥密码使用书籍的一段话作为加密

26、哪个入围的AES利用了预白造化和后白噪声化技术？B

A、Rijndael

B、Twofish

C、Blowfish

D、Skipjack

解析：Twofish算法使用预白化合后白化技术

27、John想要产生2048位的消息摘要，并计划发送给Mary,如果使

用SHA-1散列算法，这条特定消息的消息摘要长度是多少？

A、160位

B、512位

C、1024位

D、2048位

解析：SHA-1散列总生成160的消息摘要

28、下列哪个算法不受数字签名标准支持?

A、数字签名算法

B、RSA

C、EIGammalDSA

D、ElipticCurveDSA

解析：C数字签名允许的算法：数字签名算法，RSA、椭圆曲线DSA

结合SHA-1散列函数生成的数字签名

29、系统鉴定是什么？

A、正式可接受的系统配置生命

B、为了每个硬件和软件组件都满足集成标准，对制造商目标进行功

能评价

C、证明计算机系统实施安全策略的可接受的测试结果

D、指定两台机器之间的安全通信过程

解析：A鉴定是正式验收的过程

30、哪个Bell-LaPADULA属性阻止低级别的主体访问高级别的客体

A、星安全属性

B、不准向上写属性

C、不准向上读属性

D、不准向下读属性

解析：C,不准向上读的属性也被称为简单安全属性，禁止主体读取

更高安全级别的客体

31、许多PC操作系统提供一个功能，这个功能使他们能够支持但处

理系统的多个应用程序同时执行，什么术语描述这种能力？

A、多程序

B、多线程

C、多任务

D、多处理器

解析：C多任务处理指同事处理多个任务

32、什么技术为组织提供对BYOD设备的最佳控制

A、应用白名单

B、移动设备管理

C、加密移动存储

D、地理标记

解析：B移动设备管理（皿M）是一种软件解决方案，其他均为MDM

解决方案的一部分

33、三个应用程序在支持多任务处理的单核单处理器系统上运行，

这些应用程序的其中一个为文字处理程序，并同时管理两个线程，

其他两个应用程序只使用一个线程来运行，在任何给定时间有多少

个应用线程在处理器上运行？

A、1

B、2

C、3

D、4

解析：A单处理系统一次只能处理一个线程，

34、什么类型的美国联邦计算机系统要求所有访问系统的个人都需

要知道所有由系统处理的信息？

A、专有模式

B、系统高级模式

C、间隔模式

D、多级模式

解析:A专有系统中，所有用户都是最高级别，对系统所处理全部信

息的“知其所需”权限

35、减少移动设备上的数据丢失风险的最有效手段是什么，例如笔

记本电脑？

A、设置强登录密码

B、减少存储在移动设备上的敏感信息

C、使用一根电缆

D、加密硬盘

解析：B保持系统上最小敏感数据是降低风险的唯一方法

36、什么类型的电气部件作为构建动态RAM芯片的主要部分

A、电容器

B、电阻器

C、触发器

D、晶体管

解析：A动态RAM上有很多电容器，每个电容器上都存有电荷

37、在下列哪种安全模式中，你会放心所有用户都通过系统处理所

有信息的访问权限，但不必知道所有的信息

A、专有模式

B、系统高级模式

C、间隔模式

D、多级模式

解析：B所有用户必须具有对系统处理的所有信息的适当安全许可

和访问特权，但是只需要对系统处理的部分信息具有“知其所需”

权限

38、什么类型的存储设备通常用于包含一台计算机的主板BIOS?

A、PROM

B、EEPROM

C、ROM

D、EPROM

解析：B为了便于将阿里固件的更新，BIOS和设备固件通常被存储

在EEPROM芯片上

39、什么类型的寻址方案是数据实际提供给CPU作为参数传递给指

令？

A、直接寻址

B、立即寻址

C、基址偏移

D、间接寻址

解析：立即寻址中，CPU实际上并不需要从存储器中检索任何数

据，数据就包含在指令本身中，可以被立即处理

40、为了维持最有效和安全的服务器机房，一下哪一项不必是真

的？

A、必须和人共存

B、必须包括非水灭火装置的使用

C、湿度必须保持在40%-60%之间

D、温度必须保持在华氏60到75度

解析：为了保持有效性和安全性，计算机机房不需要与人相协调,

与人不协调的服务器机房提供了对攻击的更高的保护等级

41、周边安全设备或机制的最常见形式是什么？D

A、保安人员

B、栅栏

C、CCTV

D、照明

42、以下哪一个不最不能抵抗EMI?B

A、细缆

B、10Base-TUTP

C、10Base5

D、同轴电缆

43-----------防火墙是第三代防火墙B

A、应用级网关

B、状态监测

C、电路级网关

D、静态数据包过滤

44、关于防火墙，下列哪一项不是正确的？B

A、他们都能记录流量信息

B、他们都能隔离病毒

C、他们能基于可疑攻击发出问题报警

D、他们仍不能防止内部攻击

45、下列哪个不是可路由协议？D

A、OSFP

B、BGP

C、RPC

D、RIP

46、-------是一种数据链路层连接机制，使用分组交换技术在通

信方之间建立虚电路B

A、ISDN

B、帧中继

C、SMDS

D、ATM

解析：帧中继是二层连接机制，使用分组交换和在通信端点之间建

立虚电路

47、如果网络使用NAT代理、需要怎样才能允许外部客户端通过内

部系统发起连接会话？

A、IPSec隧道

B、静态NAT

C、静态私有IP地址

D、反向域名解析

解析：需要静态模式的NAT来允许外部实体启动与NAT代理之后的内

部系统的通信

48、除了维护、更新系统和进行物理访问控制，下面哪一项是应对

PBX欺骗和滥用最有效反之措施B

A、加密通信

B、修改默认密码

C、使用传输日志

D、录音和归档所有的会话

解析：更改PBX系统上的默认密码能够有效的增强安全性

49、用户登录ID和密码登录。登录ID的目的是什么？

A、认证

B、授权

C、问责

D、识别

解析：D,用户使用登录ID来申明身份，登录ID和密码的组合提供

身份认证，主体认证被授权访问客体，记录和审计提供可问责性

50、Kerberos的主要目的是什么？

A、机密性

B、完整性

C、认证

D、可问责性

解析：Kerberos的主要目的是认证C

51、RADIUS架构中，网络接入服务器的功能是什么？

A、认证服务器

B、客户端

C、AAA月艮务器

D、防火墙

解析：网络访问服务器是RADIUS架构中的客户端，RADIUS服务器

是认证服务器B

52、一个表包含多个客体和主体，并确定每个主体具体访问时都有

不同的客体，这个表被称为什么？B

A、访问控制列表

B、访问控制矩阵

C、联合

D、蠕变特权

解析：访问控制矩阵包含多个对象，列出主体对每个对象的访问，

访问控制矩阵内的任何特定对象的单个主体列表使访问控制列表

53、谁或什么根据自主访问控制模型授予权限给用户？D

A、管理员

B、访问控制列表

C、分配标签

D、数据监管者

解析：访问控制列表包含多个对象，并且列出主体对每个对象的访

问

54、以下哪个模型也被称为基于身份的访问控制模型？A

A、自主访问控制

B、基于角色的访问控制

C、基于规则的访问控制

D、强制访问控制

解析：自主访问控制模型是基于身份的访问控制模型

55、集中授权可以确定用户可以根据组织层级结构来访问哪些文

件，一下哪项最能说明这一点？D

A、自主访问控制模型

B、访问控制列表

C、基于规则的访问控制列表

D、基于角色的访问控制列表

解析：基于角色的访问控制模型可以基于组织的层次结构，将用户

分组到角色，它是一个非自主访问控制模型

56、以下哪一项设计基于角色的访问控制模型？A

A、基于角色的访问控制模型允许多个组中的用户成员资格

B、基于角色的访问控制模型允许单个组里的用户成员资格

C、基于角色的访问控制模型是非分层的

D、基于角色的访问控制使用标签

解析：role-BAC模型是基于角色或组成员资格，用户可以是多个租

的成员，用不仅限于单个角色

57、什么类型的访问控制依赖于使用标签？C

A、自主访问控制模型

B、非自主访问控制模型

C、强制访问控制模型

D、基于角色的访问控制模型

解析：强制访问控制依赖于对主体和客体使用标签

58、以下哪一项最能说明强制访问控制模型的特点？D

A、采用显示拒绝理念

B、宽松的

C、基于规则的

D、静止

解析：强制访问控制时禁止的，他使用标签而不是规则

59、为某个特定系统规划安全测试计划时不用考虑下列哪个因素？

A、存储在系统上的信息的敏感度

B、执行测试的难度

C、利用新测试工具进行试验的意愿

D、系统对攻击者的吸引力

解析：C,存储在系统上的敏感信息、执行测试的难度和攻击者针对

系统的可能性都是计划安全测试任务时的有效考虑因素，尝试新测

试工具的需求不应影响生产测试计划

60、以下哪一项一般不包括在安全评估中？

A、漏洞扫描

B、风险评估

C、漏洞缓解

D、威胁评估

解析：C,安全评估包括旨在识别漏洞的许多类型的测试，评估报告

通常包括缓解建议，然而评估并不包括实际缓解这些漏洞

61、组织确保用户被授予仅需要执行具体工作任务的数据访问权

限，他们是一下哪些原则

A、最小特权原则

B、职责分离

C、知其所需原则

D、基于角色的访问控制

解析：C：知其所需：获取了解或拥有执行特定工作任务所要求的数

据，最小特权原则包括权限和许可，最小特权原则在IT安全中无效

62、下列选项中，对于特殊权限什么不是相关的有效安全做法？

A、监控特权分配

B、授予管理员和操作员同等访问权限

C、监控特权使用

D、只授予受信员工访问权限

解析：B,不应该向管理员和操作人员授予相同权限，应该仅向个人

授予执行工作所需的特权，并且只应该向受信任的个人授予访问权

限

63、组织使用的是软件即服务（Saas）这种基于云的服务来与其他

组织共享，这种描述是以下哪种类型的部署模式？

A、共有

B、私有

C、共同

D、混合

解析：C：公共云模型包括可供消费者出租或租赁的资产

64、下列哪一项是在检测和确认事件发生后最好的响应？

A、控制它

B、报告他

C、修复它

D、收集证据

解析:A：遏制是检测和验证时间后的第一步，限制事件的影响和范

围，修复可以采取步骤防止事件彩复发，这不是第一步，重要是遏

制事件时保护证据，收集证据将在遏制后发生

65、下列哪一项描述了以未打补丁和未收保护的安全漏洞和错误数

据设计虚假网络以吸引攻击者？

A、IDS

B、密网

C、填充单元

D、伪权限

解析：B,蜜罐是单独的计算机，创建用于入侵者的现金的整个网

络，伪权限（由许多蜜罐和密网使用）是有意植入系统中以诱骗攻

击者的错误漏洞

66、下列选项中，反恶意软件保护的最佳方式是什么？

A、每个系统多个解决方案

B、整个组织一个解决方案

C、不同的位置部署反恶意软件保护

D、所有边界网络不折不扣的过滤内容

解析：多个解决方案提供最佳解决方案，这涉及在几个不同位置部

署反恶意软件保护

67、什么可以用来减少使用非统计方法的日志或审计数据量

A、阀值级别

B、取样

C、日志分析

D、报警触发器

解析：A,阀值是非统计抽样的一种形式，抽样是一种从审计日志提

取有意义数据的统计方法

68、什么是灾难恢复计划的最终目标？

A、防止业务中断

B、建立临时业务运营

C、恢复正常的业务活动

D、最小化灾难影响

解析：C,一旦灾难终端业务运行，DRP目标是尽快恢复正常的业务

活动。因此，灾难恢复计划是在业务连续性计划停止的地方起作用

69、下面有关业务连续性计划和灾难恢复计划的描述中哪一个是不

正确的？

A、业务连续性计划的重点是当灾难发生时保持业务功能不间断

B、企业可以选择是否定制业务连续性计划或灾难恢复计划

C、业务连续性计划弥补了灾难计划的不是

D、灾难恢复计划指导组织恢复主站点的正常运营

解析：灾难恢复计划在业务连续性计划终止时开始

70、百年一遇洪水，对于应急准备的官员是什么意思？

A、最后一次袭击该区域的任何类型的洪水超过100年之久

B、在任何一年洪水发生的可能性在1/100的级别

C、预计该区域由于洪水带来的问题至少100年是安全的

D、对该地区最后一次严重洪水袭击已过100年之久

解析B

71、什么类型的备份包括所有文件自最近一次完整备份依赖存储修

改文件的拷贝？

A、差异备份

B、部分部分

C、增量备份

D、数据库备份

解析：A,差异备份中是存储哪些自从最近一次完整备份依赖被修改

过的所有文件的副本，无论间隔期内是否创建了增量备份或差异备

份

72、黑客行动主义者具有以下哪些因素驱使？BD

A、财务收益

B、快感

C、技能

D、政治信仰

解析：黑客行动注意者经常将正值冬季和黑客的刺激结合在一起

73、什么类型的事故的特点是获得更多的特权级别？

A、危机

B、拒绝服务

C、恶意代码

D、扫描

解析：A

74、什么是识别系统中异常和可疑的最好方法？

A、注意最新攻击

B、配置IDS检测并报告所有的异常流量

C、知道正常系统活动的样子

D、研究主要攻击活动类似的特征

解析：c

75、如果需要没收一台疑似不为组织工作的攻击者计算机，什么法

律渠道最合适？

A、员工签订同意协议

B、搜查令

C、没有合法渠道是必要的

D、自愿同意

解析：B,因为不为组织工作职能使用搜查令

76、什么是道德？D

A、强制要求履行的工作要求行动

B、专业操守的法律

C、由专业机构规定的条例

D、个人行为的准则

解析；道德规范就是个人的行为规范D

77、下列哪个操作被认为不可接受的，并根据RFC1087“道德规范

与互联网”是不道德的？

A、行动危机机密信息的保密性

B、行动损害了用户隐私

C、扰乱组织活动的行为

D、一台被用于执行违反规定的安全策略操作的计算机

解析：B确定了行为在RFC1087进行了说明

78、以下哪个选项不属于DevOps模型的三个组件之一？

A、信息安全

B、软件开发

C、质量保证

D、IT运维

解析：ADevOps模型的三个要素是软件开发、质量保证和IT操作

79、什么样的数据库技术可以组织“未授权用户通过正常无权访问

信息的提示来确定信息级别”这样的事情发生？

A、推理

B、操纵

C、多实例

D、聚合

解析：C多实例准许多条记录的插入，看起来在一个数据库中有相

同的主键值

80、在软件成熟度模型SW-CMM中，组织达到哪个阶段就可以使用定

量的方法获得组织开发过程的详细理解？

A、初始化

B、可重复

C、可定义

D、可管理

解析：D在可管理阶段，SW-CMM的第四季，组织使用定量措施来详

细了解开发过程

81、当数据从一个较高分类级别到达一个较低分类级别时，数据库

会发生以下哪类安全风险？

A、聚合

B、推理

C、污染

D、多实例

解析：C污染是指较高分类几倍的数据和/或知其所需需求与来自较

低分类级别的数据和/或须知需求的混合

82、Tom建立了数据库表，这个表包含名字、电话号码、业务相关

的客户ID,这个表还包含了30个客户的信息，请问这个表的度是

多少？

A、2

B、3

C、30

D、未定义

解析:B表的基数是指标中的行，而表的度是列数

83、在强制访问控制中，敏感标记包含什么信息？

A、对象的分级、分类设置以及区间设置

B、对象的分级和区间设置

C、对象的分级、分类设置

D、对象的分级设置

解析：C敏感标记包含对象的分级（高危、敏感）、分类设置（格子

模型的安全域）

84、下面哪项是多级安全策略的必要组成部分？

A、适合于唯一客体的敏感标记和强制访问控制

B、适合于主体域客体的敏感标记以及“高级别系统”评价

C、主体安全申明&适合于唯一客体的敏感标记和强制访问标记

D、适合于主体与客体的敏感标记和自主访问控制

解析：组织信息从较高安全级别流向较低安全级别的策略被称为多

级安全策略，C具体原因不知

85、下列哪一项是Kerberos提供的主要服务？

A、不可抵赖性

B、授权

C、认证

D、保密

解析：C,Kerberos提供授权和认证服务，最主要的服务为认证服

务

86、以下按个安全模型中通过主题的声明与客体的分级相比较，这

样可以应用来控制主体到客体的交互发生的控制？

A、访问控制矩阵

B、Biba模型

C、获取授予模型

D、Bel”LaPadula模型

解析：通过主题的声明与客体的分级相比较为多级安全策略的概

念，bell-lapadula模型分类信息泄露或传输至较低的安全许可级

别，所以该题选D

87、什么样的证书被用于验证用户的身份？

A、代码签名证书

B、根证书

C、属性证书

D、公钥证书

解析：D,未找到理由，可能是公钥证书是密钥对，通过密钥对可以

验证用户的身份

88、主体控制访访问客体必须设置

A、访问规则

B、接入终端

C、识别控制

D、访问矩阵

解析：A、访问规则：控制使用访问规则来限制主体对客体的访问

89、适用于用作备份媒体存储的区域的对策是？

A、检测/行政

B、预防/物理

C、预防/技术

D、预防/行政

解析：A,备份媒体存储的区域对策，属于预防/物理策略