（必会）CISP注册信息安全专业人员考前巩固模考题库300题（带答案）

PAGEPAGE1一、单选题1.防止擅自使用资料档案的最有效的预防方法是:A、自动化的档案访问入口B、磁带库管理C、使用访问控制软件答案：C2.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是A、各国普遍将国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的中重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流和对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应，安全监管和安全测评答案：C3.一般网络设备上的SNMP默认可读团体字符串是：A、PUBLICB、CISCOC、DEFAULTD、PRIVATE答案：A4.为了保障网络安全,维护网络安全空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,2015年6月,第十二届全国人大常委会第十五次会议初次审议了一部法律草案,并与7月6日起在网上全文公布,向社会公开征求意见,这部法律草案是（）A、《中华人民共和国保守国家秘密法（草案）》B、《中华人民共和国网络安全法（草案）》C、《中华人民共和国国家安全法（草案）》D、《中华人民共和国互联网安全法（草案）》答案：B5.以下关于ISMS内部审核报告的描述不正确的选项是？A、内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B、内审报告中必须包含对不符合性项的改良建议C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。D、内审报告中必须包括对纠正预防措施实施情况的跟踪答案：D6.密码是一种用来混淆的技术，使用者希望正常的（可识别的）信息转变为无法识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的，小刚是某公司新进的员工，公司要求他注册一个公司网站的账号，小刚使用一个安全一点的密码，请问以下选项中哪个密码是最安全（）A、使用和与用户名相同的口令B、选择可以在任何字典或语言中找到的口令C、选择任何和个人信息有关的口令D、采取数字，字母和特殊符号混合并且易于记忆答案：D解析：常识问题7.管理层应该表现对（），程序和控制措施的支持，并以身作则。管理职责要确保雇员和承包方人员都了解其（）角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，并定期组织信息安全（）.组织要建立正式的（），确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定（），考虑例如违规的性质、重要性及对于业务的影响等因素，以及相关法律、业务合同和其他因素。A、信息安全:信息安全政策:教育和培训，纪律处理过程:分级的响应B、信息安全政策:信息安全；教育和培训:纪律处理过程；分级的响应C、信息安全政策:教育和培训:信息安全:纪律处理过程；分级的响应D、信息安全政策；纪律处理过程；信息安全:教育和培训:分级的响应答案：B8.有关能力成熟度模型（CMM）错误的理解是A、CMM的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率B、CMM的思想来源于项目管理和质量管理C、CMM是一种衡量工程实施能力的方法,是一种面向工程过程的方法D、CMM是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”答案：A9.违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的，处（）日以下拘留。A、5B、15C、20D、30答案：A10.实施信息系统访问控制首先需要进行如下哪一项工作？A、信息系统资产分类B、信息系统资产标识C、创建访问控制列表D、梳理信息系统相关信息资产答案：D11.关于信息安全管理体系（InformationSecurityManagementSystems，ISMS），下面描述错误的是（）。A、概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分B、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素C、同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容D、管理体系（ManagementSystems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用答案：C解析：虽然信息安全管理体系建设回提出一些技术要求，但是并没有完整的要求构建技术防护体系。12.下面哪一项不是ISMSPlan阶段的工作？A、定义ISMS方针B、实施信息安全风险评估C、实施信息安全培训D、定义ISMS范围答案：C13.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是（）A、各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评答案：C14.美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology,NIST）隶属美国商务部，NIST发布的很多关于计算机安全的指南文档。下面哪个文档是由NIST发布的？A、ISO27001《Informationtechnology-Securitytechniques-Informtionsecuritymanagementsystems-Requirements》B、X.509《InformationTechnology-OpenSystems-TheDirectory:AuthenticationFramcwork》C、SP800-37《GuideforApplyingtheRiskManagementFramcworktoFederalInformationSystems》D、RFC2402《IPAuthenticatHeader》答案：C15.在网络安全体系构成要素中“响应”指的是（）。A、环境响应和技术响应B、一般响应和应急响应C、系统响应和网络响应D、硬件响应和软件响应答案：B16.为了预防逻辑炸弹，项目经理采取的最有效的措施应该是A、对每日提交的新代码进行人工审计B、代码安全扫描C、安全意识教育D、安全编码培训教育答案：A17.某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用Http下载代替FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的（）A、程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求B、程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能C、程序员在软件编码时,缺乏足够的经验,编写了不安全的代码D、程序员在进行软件测试时,没有针对软件安全需求进行安全测试答案：B18.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安[2010]303号）等文件,由公安部（）对等级保护测评机构管理,接受测评机构的申请、考核和定期（）,对不具备能力的测评机构则（）。A、测评体系;等级测评;等级保护评估中心;能力验证;取消授权B、等级测评;测评体系;等级保护评估中心;能力验证;取消授权C、测评体系;等级保护评估中心;能力验证;等级测评;取消授权D、测评体系;等级保护评估中心;等级测评;能力验证;取消授权答案：A19.用来为网络中的主机自动分配IP地址、子网掩码、默认网关、WINS服务器地址的网络协议是：A、RPB、IGMPC、IC.MPD、D.HC.P答案：D20.在信息安全管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误的（）。A、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单C、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告D、背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告答案：B21.定期对系统和数据进行备份，在发生灾难时进行恢复。该机制时为了满足信息安全的（）属性。A、真实性B、完整性C、不可否认性D、可用性答案：D22.我国标准《信息安全风险管理指南》（CB/Z24364）给出了信息安全风险管理的内容和过程。可以用下图来表示，图中空白处应该填写（）A、风险计算B、风险评估C、风险预测D、风险处理答案：D23.小王在学习定量风险评估⽅法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数（ExposureFactor,EF）是25%，年度发生率（AnnualizedRateofOccurrence，ARO）为0.2，那么小王计算的年度预期损失（AnnualizedLossExpectancy，ALE）应该是A、400万元人民币B、20万元人民币C、100万元人民币D、180万元人民币答案：B24.以下关于数字签名说法正确的是A、数字签名是在所有传输的数据后附加上一段和传输数据毫无关系的数字信息B、数字签名能解决数据的加密传输，即安全传输问题C、数字签名一般采用对称加密机制D、数字签名能解决算改，伪造等安全性问题答案：D25.社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工程学利用的是人性的“弱点”，而人性是（）,这使得它几乎是永远有效的（）A、网络安全；心理学；攻击方式；永恒存在的；攻击方式B、网络安全；攻击方式；心理学；永恒存在的；攻击方式C、网络安全；心理学；永恒存在的；攻击方式D、网络安全；攻击方式；心理学；攻击方式；永恒存在的答案：A26.有关信息安全事件的描述不正确的是A、信息安全事件的处理应该分类、分级B、信息安全事件的数量可以反映企业的信息安全管控水平C、某个时期内企业的信息安全事件的数量为零，这意味着企业面临的信息安全风险很小D、信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯，以吸取教训、总结经验，防止类似事情再次发生答案：C27.你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）A、由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有的服务器和客户端尽快安装补丁B、本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所以可以先不做处理C、对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署D、对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算机由于没有重要数据，由终端自行升级答案：C28.下列哪个是能执行系统命令的存储过程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread答案：C29.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO（恢复点目标）指标为3小时.请问这意味着:.A、若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据B、若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统运行3小时后能恢复全部数据C、该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行D、该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作答案：A解析：RPO是指在业务恢复后的数据与最新数据之间的差异程度,这个程度使用时间作为衡量指标.如：RPO=0,说明数据是实时备份,不会出现数据丢失的情况.30.为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制答案：D31.关于标准,下面哪项理解是错误的:.A、标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件.标准是标准化活动的重要成果B、行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准.同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准C、国际标准是由国际标准化组织通过并公开发布的标准.同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准D、地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止答案：C解析：国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国家标准条款为准32.为了预防计算机病毒，应采取的正确措施是（）。A、每天都对计算机硬盘和软件进行格式化B、不用盗版软件和来历不明的软盘C、不同任何人交流D、不玩任何计算机游戏答案：B33.有关项目管理，错误的理解是：A、项目管理是一门关于项目资金、时间、人力等资源控制的管理科学B、项目管理是运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理，不受项目资源的约束C、项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理D、项目管理是系统工程思想针对具体项目的实践应用答案：B解析：项目管理受项目资源的约束。34.LINUX系统的/etc目录从功能上看相当于windows的哪个目录A、programfilesB、windowsC、systemvolumeinformationD、TEMP答案：B35.对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保A、信息资产被过度保护B、不考虑资产的价值，基本水平的保护都会被实施C、对信息资产实施适当水平的保护D、对所有信息资产保护都投入相同的资源答案：C36.风险分析阶段的主要工作就是（）。A、判断安全事件造成的损失对单位组织的影响B、完成风险的分析和计算C、完成风险的分析D、完成风险的分析和计算，综合安全事件所作用的信息资产价值及脆弱性的严重程度，判断安全事件造成的损失对单位组织的影响，即安全风险答案：D37.小李在学习信息安全管理体系的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他存在一个空白处未填写,请帮他选择一个最合适的选项（）保持和改进ISMS→规划和建立ISMS→（）→监视和评审ISMS→监控和反馈ISMSA、实施和执行ISMSB、执行和检查ISMSC、沟通和咨询ISMS答案：B38.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为____。（）A、可接受使用策略AUPB、安全方针C、适用性声明D、操作规范答案：A39.风险评估的过程包括（）、（）、（）和（）四个阶段。在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输入。（）风险评估的四个阶段。A、风险评估准备;风险要素识别;风险分析;监控审查;风险结果判定;沟通咨询B、风险评估准备;风险要素识别;监控审查;风险分析;风险结果判定;沟通咨询C、风险评估准备;监控审查;风险要素识别;风险分析;风险结果判定;沟通咨询D、风险评估准备;风险要素识别:风险分析:风险结果判定监控审查,沟通咨询答案：D40.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项：A、风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析B、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性C、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化答案：B41.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于____措施。（）A、保护B、检测C、响应D、恢复答案：B42.授权访问信息资产的责任人应该是A、资产保管员B、安全管理员C、资产所有人D、安全主管答案：C43.及时审查系统访问审计记录是以下哪种基本安全功能？A、威慑。B、躲避。C、预防。D、检测。答案：D44.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的（）A、乙对信息安全不重视，低估了黑客能力，不舍得花钱B、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C、甲未充分考虑网游网站的业务与政府网站业务的区别D、乙要综合考虑业务、合规性和风险，与甲方共同确定网站安全需求答案：A45.关于向DNS服务器提交动态DNS更新，针对下列配置，描述正确的说法为：/etc/named.confOptions{Directory“/var/named”;Allow-update/24;};A、允许向本DNS服务器进行区域传输的主机IP列表为“/24”B、允许向本DNS服务器进行域名递归查询的主机IP列表“/24”C、允许向本DNS服务器提交动态DNS更新的主机IP列表“/24”D、缺省时为拒绝所有主机的动态DNS更新提交。答案：C46.对一项应用的控制进行了检查,将会评估A、该应用在满足业务流程上的效率B、任何被发现风险影响C、业务流程服务的应用D、应用程序的优化答案：B47.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:保密A、httpd.confB、srLconfC、access.confD、Inet.conf答案：A48.IKE协议由（）协议混合而成。A、ISAKMP、Oakley、SKEMEB、AH、ESPC、L2TP、GRED、以上皆不是答案：A49.组织内应急通知应主要采用以下哪种方式A、电话B、电子邮件C、人员D、公司OA答案：A50.（）第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护。（）应当按照国家保密标准配备保密设施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经（）后，方可投入使用。A、《保密法》；涉密程度；涉密信息系统；保密设施；检查合格B、《安全保密法》；涉密程度；涉密信息系统；保密设施；检查合格C、《国家保密法》；涉密程度；涉密系统；保密设施；检查合格D、《网络保密法》；涉密程度；涉密系统；保密设施；检查合格答案：A解析：《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经检查合格后，方可投入使用。51.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题答案：D52.安全管理体系，国际上有标准（InformationtechnologySecuritytechniquesInformationsystems）（ISO/IEC27001:2013），而我国发布了《信息技术信息安全管理体系要求》（GB/T22080-2008）.请问，这两个标准的关系是？A、IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改B、EQV（等效采用），此国家标准等效于该国家标准，技术上只有很小差异C、AEQ（等效采用），此国家标准不等效于该国家标准D、没有采用与否的关系，两者之间版本不同，不应直接比较答案：A53.PPTP和L2TP最适合于（）。A、局域网B、企业内部虚拟网C、企业扩展虚拟网D、远程访问虚拟专用网答案：D54.为了不断完善一个组织的信息安全管理，应对组织的信息安全管理方法及实施情况进行独立评审，这种独立评审。A、必须按固定的时间间隔来进行B、应当由信息系统的运行维护人员发起C、可以由内部审核部门或专业的第三方机构来实施D、结束后，评审者应组织针对不符合安全策略的问题设计和实施纠正措施答案：C55.以下关于开展软件安全开发必要性描述错误的是？（）A、软件应用越来越广泛B、软件应用场景越来越不安全C、软件安全问题普遍存在D、以上都不是答案：D56.构成风险的关键因素有哪些？A、人，财，物B、技术，管理和操作C、资产，威胁和弱点D、资产，可能性和严重性答案：C57.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P，D，R代表分别代表（）。A、保护检测响应B、策略检测响应C、策略检测恢复D、保护检测恢复答案：A58.访问控制是对用户或用户组访问本地或网络上的域资源进行授权的一种机制。在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对Windows操作系统访问控制实现方法的理解错误的是（）A、ACL只能由管理员进行管理B、ACL是对象安全描述符的基本组成部分，它包括有权访问对象的用户和组的SIDC、访问令牌存储着用户的SID、组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制答案：A59.PKI支持的服务不包括（）。A、非对称密钥技术及证书管理B、目录服务C、对称密钥的产生和分发D、访问控制服务答案：D60.安全多用途互联网邮件扩展（SecureNultipurposeInternetMailPxtension，S/MIME）是指一种保障邮件安全的技术，下面描述错误的是（）A、S/MIME采用了非对称密码学机制B、S/MIME支持数字证书C、S/MIME采用了邮件防火墙技术D、S/MIME支持用户身份认证和邮件加密答案：C61.国际联网采用（）制定的技术标准、安全标准、资费政策，以利于提高服务质量和水平。A、企业统一B、单位统一C、国家统一D、省统一答案：C62.实现源的不可否认业务中，第三方既看不到原数据，又节省了通信资源的是_______A、源的数字签字B、可信赖第三方的数字签字C、可信赖第三方对消息的杂凑值进行签字D、可信赖第三方的持证答案：C63.以下哪一项不是我国信息安全保障工作的主要目标：A、保障和促进信息化发展B、维护企业与公民的合法权益C、构建高效的信息传播权益D、保护互联网知识产权答案：C64.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包括对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）A、资产清单B、资产负责人C、资产的可接受使用D、分类指南、信息的标记和处理答案：D65.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性?A、结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展B、表达方式的通用性，即给出通用的表达方式C、独立性，它强调将安全的功能和保证分离D、实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中答案：C66.下面对自由访问控制（DAC）描述正确的是A、比较强制访问控制而言不太灵活B、基于安全标签C、关注信息流D、在商业环境中广泛使用答案：D67.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（）A、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测C、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点答案：B解析：自评估由本级单位发起，检查评估由被评估组织的上级管理机关或业务主管机关发起，P247页。68.不能有效减少收到垃圾邮件数量的方法是（）。A、尽量不要在公共场合留下自己的电子邮件地址B、采用垃圾邮件过滤器C、安装入侵检测工具D、收到垃圾邮件后向有关部门举报答案：C69.基于TCP的主机在进行一次TCP连接时简要进行三次握手,请求通信的主机A要与另一台主机B建立连接时,A需要先发一个SYN数据包向B主机提出连接请示,B收到后,回复一个ACK/SYN确认请示给A主机,然后A再次回应ACK数据包,确认连接请求。攻击通过伪造带有虚假源地址的SYN包给目标主机,使目标主机发送的ACK/SYN包得不到确认。一般情况下,目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假SYN包同时发送到目标主机时,目标主机上就会有大量的连接请示等待确认,当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受,这种SYNFlood攻击属于（）A、拒绝服务攻击B、分布式拒绝服务攻击C、缓冲区溢出攻击D、SQL注入攻击答案：A70.以下哪种做法是正确的“职责别离”做法？A、程序员不允许访问产品数据文件B、程序员可以使用系统控制台C、控制台操作员可以操作磁带和硬盘D、磁带操作员可以使用系统控制台答案：A71.32.信息安全风险评估师信息安全风险管理工作中的重要环节。在《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，指出了风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求。下面选项中描述错误的是？A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的风险评估C、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充D、自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个，并坚持使用答案：D72.Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是:A、此密码体制为对称密码体制B、此密码体制为私钥密码体制C、此密码体制为单钥密码体制D、此密码体制为公钥密码体制答案：D73.在业务持续性方面，如果要求不能丢失数据，则：A、RT0为B、RPO为OC、RTO和RPO都为OD、RTO、RPO没有关系答案：B74.下面对信息安全漏洞的理解中，错误的是A、讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使⽤等阶段中均有可能产生漏洞B、信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造的C、信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很多的经济损失D、由于人类思维谁能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生信息安全漏洞是不可避免的答案：B75.以下关于国内信息化发展的描述，错误的是（）。A、从20世纪90年代开始，我国把信息化提到了国家战略高度。B、成为联合国卫星导航委员会认可的四大卫星导航系统之一的北斗卫星导航系统是由我国自主研制的。C、我国农村宽带人口普及率与城市的差距在最近三年来持续拉大。D、经过多年的发展，截至2013年底，我国在全球整体的信息与计算技术发展排名中已处于世界领先水平。答案：D76.在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?A、外部代理商的处理应该接受一个来自独立代理进行的I5审计。B、外部代理商的员工必须接受该组织的安全程序的培训。C、来自外部代理商的任何访问必须限制在停火区（DMZ）D、该组织应该进行风险评估,并制定和实施适当的控制。答案：D77.内部审核的最主要目的是A、检查信息安全控制措施的执行情况B、检查系统安全漏洞C、检查信息安全管理体系的有效性D、检查人员安全意识答案：A78.以下哪项是ISMS文件的作用?A、是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客观证据--为满足相关方要求,以及持续改进提供依据D、以上所有答案：D79.黑客造成的主要危害是A、破坏系统、窃取信息及伪造信息B、攻击系统、获取信息及假冒信息C、进入系统、损毁信息及谣传信息D、进入系统，获取信息及伪造信息答案：A80.信息安全风险值应该是以下哪些因素的函数?（）A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度答案：A81.以下哪些不属于脆弱性范畴？A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯答案：A82.下列哪一项不属于Fuzz测试的特性？A、主要针对软件漏洞或可靠性错误进行测试B、采用大量测试用例进行激励、响应测试C、一种试探性测试方法，没有任何理论依据D、利用构造畸形的输入数据引发被测试目标产生异常答案：C83.以下场景描述了基于角色的访问控制模型（Role-basedAccessControl.RBAC、：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限（不同类别和级别的）分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：A、当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B、业务系统中的岗位、职位或者分工，可对应RBAC模型中的角色C、通过角色，可实现对信息资源访问的控制D、RBAC模型不能实现多级安全中的访问控制答案：D84.信息风险主要指那些？（）A、信息存储安全B、信息传输安全C、信息访问安全D、以上都正确答案：D85.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？A、网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息答案：D86.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是？A、要求开发人员采用敏捷开发模型进行开发。B、要求所有的开发人员参加软件安全意识培训。C、要求规范软件编码，并制定公司的安全编码准则。D、要求增加软件安全测试环节，尽早发现软件安全问题。答案：A87.信息安全风险管理的对象不包括如下哪项A、信息自身B、信息载体C、信息网络D、信息环境答案：C88.以下有关访问控制的描述不正确的是A、口令是最常见的验证身份的措施，也是重要的信息资产，应妥善保护和管理B、系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，即分配给员工的访问权限只需满足其工作需要的权限，工作之外的权限一律不能分配C、单点登录系统（一次登录/验证，即可访问多个系统）最大的优势是提升了便利性，但是又面临着“把所有鸡蛋放在一个篮子”的风险；D、双因子认证（又称强认证）就是一个系统需要两道密码才能进入；答案：D89.3）下面关于信息安全系统保障模型的说法不正确的是？A、国家标准《信息系统安全保障评估框架第一部分，简介和一般模型》（GB/T202741：2008）中的信息系统安全保障模型的风险和策略作为基础和核心B、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和量化C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D、信息系统安全保障主要确保信息系统的保密性，完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入答案：D90.在数据链路层中MAC子层主要实现的功能是A、介质访问控制B、物理地址识别C、通信协议产生D、数据编码答案：A91.按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护、按照要求向公安机关备案即可，可以不需要上级或主管部门来测评和检查。此类信息系统应属于A、零级系统B、一级系统C、二级系统D、三级系统答案：B92.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是（）A、身份鉴别，应用系统应对登录的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问C、剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等答案：D解析：机房与设施安全属于物理安全，不属于应用安全93.信息安全审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求，这个工作一般由谁完成？A、机构内部人员B、外部专业机构C、独立第三方机构D、以上皆可答案：D94.不是计算机病毒所具有的特点____。（）A、传染性B、破坏性C、潜伏性D、可预见性答案：D95.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项？A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物力和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与建立ISMS答案：D96.CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）。A、不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件；B、热爱信息安全工作岗位和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责的提出应对信息安全问题的建设和帮助；C、自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为；D、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升安全实践能力，以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为答案：A97.WINDOWS系统，下列哪个命令可以列举本地所有用户列表A、netuserB、netviewC、netnameD、netaccounts答案：A98.关于风脸评估准备阶段工作内容叙途错误的是：A、制订风险评估方案，确定风险评估的实施方案.包括风险评估的工作过程、活动、子活动、每项活动的输入和输出结果B、选择风险评估方法和工具，从现有风险评估方法和工具库汇总选择合适的风险评估方法和工具C、制订组织机构自己的风脸评估准则，相关准则可以不需要得到被评估方的认可D、风脸评估方案应获得管理决策层的认可、批准和支持答案：C99.PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等（）A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B100.IS090012000标准跪在制定.实施质量管理体系以及改进其有效性时采用过程方法，通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图，图中括号空白处应填写（）A、策略B、管理者C、组织D、活动答案：D101.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身份登录进行系统进行了相应的破坏,验证此事应查看.（）A、系统日志B、应用程序日志C、安全日志D、IIS日志答案：C102.信息安全风险管理是基于（）的信息安全管理,也就是,始终以（）为主线进行信息安全的管理。应根据实际（）的不同来理解信息安全风险管理的侧重点,即（）选择的范围和对象重点应有所不同。A、风险;风险;信息系统:风险管理B、风险;风险;风险管理;信息系统C、风险管理;信息系统;风险;风险D、风险管理;风险;风险;信息系统答案：A103.以下关于项目的含义，理解错误的是：A、项目是为达到特定的目的，使用一定资源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人、财、物等。D、项目目标要遵守SMART原则，即项目的目标要求具体（Specific）、可测量（Measurable）、需相关方的一致同意（Agreeto）、现实（Realistic）、有一定的时限（Time-oriented）答案：B104.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求。随后，李强发现有向系统登录异常。请问以下说法哪个是正确的（）A、小张服务态度不好，如果把李强的邮件收下来亲自教给李强就不会发生这个问题B、事件属于服务器故障，是偶然事件，影响单位领导申请购买新的服务器C、单位缺乏良好的密码修改操作流程或者小张没按操作流程工作D、事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件答案：C105.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户帐户安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则:A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则答案：C106.下列关于计算机病毒感染能力的说法不正确的是：A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入文本文件中并执行D、能将自身代码注入到文档或模板的宏中代码答案：C107.在GB／T18336《信息技术安全性评估准则》中，有关保护轮廓（ProtectionProfile，PP）和安全目标（SecurityTarget，ST），错误的是A、PP是描述一类产品或系统的安全要求B、PP描述的安全要求与具体实现无关C、两份不同的ST不可能满足同一份PP的要求D、ST与具体的实现有关答案：C108.组织应开发和实施使用（）来保护信息的策略，基于风险评估，宜确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量。当实施组织的（）时，宜考虑我国应用密码技术的规定和限制，以及（）跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求，包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的（）要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外，秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行（）。A、加密控制措施；加密信息；密码策略；密钥管理；物理保护B、加密控制措施；密码策略；密钥管理；加密信息；物理保护C、加密控制措施；密码策略；加密信息；密钥管理；物理保护D、加密控制措施；物理保护；密码策略；加密信息；密钥管理答案：C109.口令是验证用户身份的最常用手段，以下哪一种口令的潜在风险影响范围最大？A、长期没有修改的口令B、过短的口令C、两个人公用的口令D、设备供应商提供的默认口令答案：D110.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行安全加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好答案：D111.量子密码学的理论基础是______A、量子力学B、数学C、传统密码学D、天体物理学答案：A112.CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）。A、不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件；B、热爱信息安全工作岗位和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责的提出应对信息安全问、的建设和帮助；C、自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为；D、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升安全实践能力，以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。答案：A113.根据Bell-LaPedula模型安全策略，下图中写和读操作正确的是A、可读可写B、可读不可写C、可写不可读D、不可读不可写答案：B114.由于病毒攻击、非法入侵等原因，校园网整体瘫痪，或者校园网络中心全部DNS、主WEB服务器不能正常工作：由于病毒攻击、非法入侵、人为破坏或不可抗力等原因，造成校园网出口中断，属于以下哪种级别事件（）A、特别重大事件B、重大事件C、较大事件D、一般事件答案：D115.以下对Windows账号的描述,正确的是:A、Windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B、Windows系统是采用用户名来标识用户对文件或文件夹的权限C、Windows系统默认会生成administrator和guest两个账号,两个账号都不允许改名和删除D、Windows系统默认生成administrator和guest两个账号,两个账号都可以改名和删除答案：A解析：guest可以改名和删除,administrator不可以。116.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则答案：C117.信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；而对于信息本身而言，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的载体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。A、基础；依据;载体;环境;永久性;风险管理B、基础;依据;载体;环境;风险管理;永久性C、载体;环境;风险管理;永久性;基础;依据D、载体;环境;基础;依据;风险管理;永久性答案：D118.容灾的目的和实质是____。A、A数据备份B、B心理安慰C、C保持信息系统的业务持续性D、D系统的有益补充答案：C119.组织中对于每个独立流程都有对应的业务连续性计划，但缺乏全面的业务连续性计划，应采取下面哪一项行动？A、建议建立全面的业务连续性计划B、确认所有的业务连续性计划是否相容C、接受已有业务连续性计划D、建议建立单独的业务连续性计划答案：B120.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）。A、ACL在删除用户时，去除该用户所有的访问权限比较方便B、ACL对于统计某个主体能访问哪些客体比较方便C、ACL在增加客体时，增加相关的访问控制权限较为简单D、ACL是Bell-LaPadula模型的一种具体实现答案：C121.（）第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护。（）应当按照国家保密标准配备保密设施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定,经（）后,方可投入使用。A、《保密法》;涉密程度;涉密信息系统;保密设施;检查合格B、《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格C、《国家保密法》;涉密程度;涉密系统;保密设施;检查合格D、《网络保密法》;涉密程度;涉密系统;保密设施;检查合格答案：A解析：《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定,经检查合格后,方可投入使用。P57页。122.以下代码容易触发什么漏洞（）＜?php$$username=$$_GET["name"];Echo"欢迎您,".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代码注入答案：A123.国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则？A、统筹规划B、分级建设C、资源共享D、平战结合答案：B124.小张在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式。小张认为：1.风险评估工作形式包括：自评估和检查评估；2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼。请问小张的所述论点中错误的是哪项A、第一个观点B、第四个观点C、第三个观点D、第二个观点答案：B125.计算机取证的合法原则是：A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续B、计算机取证在任何时候都必须保证符合相关法律法规C、计算机取证只能由执法机构才能执行，以确保其合法性D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则答案：C126.数字签名要预先使用单向Hash函数进行处理的原因是（）。A、多一道加密工序使密文更难破译B、提高密文的计算速度C、缩小签名密文的长度，加快数字签名和验证签名的运算速度D、保证密文能正确还原成明文答案：C127.自主访问控制与强制访问控制相比具有以下哪一个优点？A、具有较高的安全性B、控制粒度较大C、配置效率不高D、具有较强的灵活性答案：D128.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是（）A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”答案：B129.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:A、项目计划书B、质量控制计划C、评审报告D、需求说明书答案：D130.PKI的主要理论基础是（）。A、对称密码算法B、公钥密码算法C、量子密码D、摘要算法答案：B131.BS7799这个标准是由下面哪个机构研发出来的？A、美国标准协会B、英国标准协会C、中国标准协会D、国际标准协会答案：B132.以下关于VPN说法正确的是（）A、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路B、VPN不能做到信息认证和身份认证C、VPN指的是用户通过公用网络建立的临时的、安全的连接D、VPN只能提供身份不能提供加密数据的功能答案：C133.信息安全应急响应计划的制定是一个周而复始、持续改进的过程，以下哪个阶段不在其中？A、应急响应需求分析和应急响应策略的确定;B、编制应急响应计划文档；C、应急响应计划的测试、部训、演练和维护D、应急响应计划的废弃与存档答案：D134.小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、访问控制列表（ACL）答案：D解析：目前Wiondows和linux操作系统使用的都是ACL，访问控制表（ACL）是在每个文件下面附着一个客户权限表，正常情况下一个系统客户数再多也不会有文件的数量多，所以选D；而BLP模型、Biba模型属于强制访问控制模型，与题干不符。135.评估IT风险被很好的到达，可以通过：A、评估IT资产和IT项目总共的威胁B、用公司的以前的真的损失经验来决定现在的弱点和威胁C、审查可比较的组织出版的损失数据D、一句审计拔高审查IT控制弱点答案：A136.对信息安全的理解，正确的是A、信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的B、通过信息安全保障措施，确保信息不被丢失C、通过信息安全保证措施，确保固定资产及相关财务信息的完整性D、通过技术保障措施，确保信息系统及财务数据的完整性、机密性及可用性答案：A137.在ISO／IEC17799中，防止恶意软件的目的就是为了保护软件和信息的____。（）A、安全性B、完整性C、稳定性D、有效性答案：B138.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是？A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关D、资产的价值无法估计答案：C139.数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层答案：B140.人员入职过程中，以下做法不正确的是？A、入职中签署劳动合同及保密协议。B、分配工作需要的最低权限。C、允许访问企业所有的信息资产。D、进行安全意思培训。答案：C141.安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：A、为了提高Apache软件运行效率B、为了提高Apache软件的可靠性C、为了避免攻击者通过Apache获得root权限D、为了减少Apache上存在的漏洞答案：C解析：避免攻击者通过Apache获得root权限。142.PKI管理对象不包括（）。A、ID和口令B、证书C、密钥D、证书撤消答案：A143.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是（）。A、对经过身份鉴别后的合法用户提供所有服务B、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理C、拒绝非法用户的非授权访问请求D、防止对信息的非授权篡改和滥用答案：A解析：访问控制的核心：允许合法用户的授权访问，防止非法用户的访问和合法用户的越权访问。。P304页。144.关于软件安全开发生命周期（SDL），下面说法错误的是：A、在软件开发的各个周期都要考虑安全因素B、软件安全开发生命周期要综合采用技术、管理和工程等手段C、测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本D、在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本答案：C145.在制定一个正式的企业安全计划时，最关键的成功因素将是？A、成立一个审查委员会B、建立一个安全部门C、向执行层发起人提供有效支持D、选择一个安全流程的所有者答案：C146.常用的混合加密（HybridEncryption）方案指的是:A、使用对称加密进行通信数据加密，使用公钥加密进行会话密钥协商B、使用公钥加密进行通信数据加密，使用对称加密进行会话密钥协商C、少量数据使用公钥加密，大量数据则使用对称加密D、大量数据使用公钥加密，少量数据则使用对称加密答案：A147.小李在上网时不小心点开了假冒某银行的钓鱼网站，误输入了银行账号与密码损失上千元，他的操作如右图所示，他所受到的攻击是（）A、ARP欺骗B、DNS欺骗C、IP欺骗D、TCP会话答案：B148.下列对于信息安全保障深度防御模型的说法错误的是：A、信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B、信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C、信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D、信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。答案：D149.微软提出了stride模型，其中R是（Repudiation抵赖）的缩写，关于此项安全要素，下面说法错误的是？A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁为R威胁B、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”，软件系统中的这种威胁为R威胁C、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术措施来解决D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决答案：D150.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项A、物理安全边界、物理入口控制B、办公室、房间和设施的安全保护。外部和环境威胁的安全防护C、在安全区域工作。公共访问、交接区安全D、人力资源安全答案：D151.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评。关于信息安全产品测评的意义，下列说法中不正确的是:A、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D、打破市场垄断，为信息安全产业发展创造一个良好的竞争环境答案：D152.关于ARP欺骗原理和防范措施,下面理解错误的是（）A、ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文。使得受害者主机将错误的硬件地址映射关系存到ARP缓存中,从而起到冒充主机的目的B、单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击C、解决ARP欺骗的一个有效方法是采用“静态”的APP缓存,如果发生硬件地址的更改,则需要人工更新缓存D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存。直接采用IP地址和其地主机进行连接答案：D153.降低风险（或减低风险）是指通过对面临风险的资产采取保护措施的方式来降低风险，下面哪个措施不属于降低风险的措施？A、减少危险源。采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制危险源的动机B、签订外包服务合同。将有技术难点、存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险C、减低危险能力。采取身份认证措施，从而抵制身份假冒这种威胁行为的能力D、减少脆弱性。及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性答案：B154.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接受者，这种情况属于哪一种攻击？A、重放攻击B、Smurt攻击C、字典攻击D、中间人攻击答案：D155.小李既属于“一般用户”组，又属于“高级用户”组，现要访问“工作文档”目录，已知“一般用户”组对于此文件夹的操作权限是“只读”，“高级用户”组对此文件夹的操作权限是“可写”，那么小李现在可对“工作文档”目录进行什么操作？A、仅可读B、仅可写C、既可读又可写D、权限冲突，无法做任何操作答案：C156.以下关于安全控制措施的选择，哪一个选项是错误的?A、维护成本需要被考虑在总体控制成本之内B、最好的控制措施应被不计成本的实施C、应考虑控制措施的成本效益D、在计算整体控制成本的时候，应考虑多方面的因素答案：B157.下面关于信息系统安全保障模型的说法不正确的是:A、国家标准《信息系统安全保障评估框架第一部分:简介和一般模型）（GB/T20274.1-2006）中的信息系统安全保障模型将风险和策略作为基础和核心B、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D、信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入答案：D158.关于恶意代码的守护进程的功能，以下说法正确的是（）A、加大检测难度B、隐藏恶意代码C、监视恶意代码主体程序是否正常D、传播恶意代码答案：C159.一组将输入转化为输出的相互关联或相互作用的什么叫做过程?A、数据B、信息流C、活动D、模块答案：C160.数位物件识别号（Digital0bjectIdentifier,简称DOI）是一套识别数位资源的机制，涵括的对象有视频、报告或书籍等等。它既有一套为资源命名的机制，也有一套将识别号解析为具体位址的协定。DOI码由前缀和后缀两部分组成，之间用“/”分开，并且前级以“.”再分为两部分。以下是一个典型的DOI识别号，10.1006/jmbi.1998.2354，下列选项错误的是（）A、“10.1006”是前级，由国际数位物件识别号基金会确定B、“10”为DOI目前唯的特定代码，用以将DOI与其他采用同样技术的系统区分开C、“1006是注册代理机构的代码，或出版社代码，用于区分不同的注册机构D、后缀部分为:jmbi.1998.2354，由资源发行者自行指定，用于区分一个单独的数字资料，不具有唯一性答案：D161.Smurf利用下列哪种协议进行攻击？A、ICMPB、IGMPC、TCPD、UDP答案：A162.以下关于国内信息化发展的描述，错误的是（）。A、经过多年的发展，截至2013年底，我国在全球整体的信息与计算技术发展排名中已处于世界领先水平。B、我国农村宽带人口普及率与城市的差距在最近三年来持续拉大。C、成为联合国卫星导航委员会认可的四大卫星导航系统之一的北斗卫星导航系统是由我国自主研制的。D、从20世纪90年代开始，我国把信息化提到了国家战略高度答案：A163.90.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全管理能力。关于ISMS，下面描述错误的是A、组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险B、组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体，具备可行性C、组织的信息安全目标、信息安全方