2025年CISP注册信息安全专业人员核心考点速记速练300题（附答案）

PAGEPAGE1一、单选题1.以下说法正确的是:.A、软件测试计划开始于软件设计阶段,完成于软件开发阶段B、验收测试是由承建方和用户按照用户使用手册执行软件验收C、软件测试的目的是为了验证软件功能是否正确D、监理工程师应按照有关标准审查提交的测试计划,并提出审查意见答案：D2.以下关于信息安全工程说法正确的是A、信息化建设中系统功能的实现是最重要的B、信息化建设可以先实施系统,而后对系统进行安全加固C、信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设D、信息化建设没有必要涉及信息安全建设答案：C3.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是A、防止对信息的非授权篡改和滥用B、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理C、拒绝非法用户的非授权访问请求D、对经过身份鉴别后的合法用户提供所有服务答案：D4.下列对密网功能描述不正确的是：A、可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B、吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C、可以进行攻击检测和实时报警D、可以对攻击活动进行监视、检测和分析答案：D5.下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的（）A、设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库B、使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据D、使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文数据答案：C6.某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址，但是该网络内有15台个人计算机，这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题，公司决定将这10个互联网地址集中起来使用，当任意一台个人计算机开机并连接网络时，管理中心从这10个地址中任意取出一个个尚未分配的IP地址分配给这个人的计算机。他关机时，管理中心将该地为收回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可供分配的IP地址，那么，每台个人计算机可以获取一个IP地址，并实现与互联网的连接。该公司使用的IP地址规划方式是A、动态分配地址B、静态NAT分配地址C、静态分配地址D、端口NAT分配地址答案：A7.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安[2010]303号）等文件,由公安部（）对等级保护测评机构管理,接受测评机构的申请、考核和定期（）,对不具备能力的测评机构则（）。A、测评体系;等级测评;等级保护评估中心;能力验证;取消授权B、等级测评;测评体系;等级保护评估中心;能力验证;取消授权C、测评体系;等级保护评估中心;能力验证;等级测评;取消授权D、测评体系;等级保护评估中心;等级测评;能力验证;取消授权答案：A8.传输控制协议（TCP）是传输层协议，以下关于TCP协议的说法，哪个是正确的?A、相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途B、TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此TCP协议能完全替代IP协议D、TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低答案：D9.关于信息安全，下列说法中正确的是____。（）A、信息安全等同于网络安全B、信息安全由技术措施实现C、信息安全应当技术与管理并重D、管理措施在信息安全中不重要答案：C10.信息安全的基本属性是（）。A、机密性B、可用性C、完整性D、上面3项都是答案：D11.下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则？A、《关于加强政府信息系统安全和保密管理工作的通知》B、《中华人民共和国计算机保护条例》C、《国家信息化领导小组关于加强信息安全保障工作的意见》D、《关于开展信息安全风险评估工作的意见答案：C12.GaryMcGraw博士及其合作者提出软件安全应由三根支柱来支撑，这三个支柱是？A、源代码审核，风险分析和渗透测试B、应用风险管理，软件安全接触点和安全知识C、威胁建模，渗透测试和软件安全接触点D、威胁建模，源代码审核和模糊测试答案：B13.以下关于项目的含义，理解错误的是（）A、项目是为达到特定的目的，使用一定资源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人、财、物等。D、项目目标要遵守SMART原则，即项目的目标要求具体（Specific）＞可测量（Measurable）＞需相关方的一致同意（Agreeto）、现实（Realistic）＞有一定的时限（Time-oriented）答案：B14.下列对于信息安全保障深度防御模型的说法错误的是：A、信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B、信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C、信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D、信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。答案：D15.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包括对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）A、资产清单B、资产负责人C、资产的可接受使用D、分类指南、信息的标记和处理答案：D16.小李在学习信息安全管理体系（InformationSocurityManagementSystem,ISMS）的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项（）A、监控和反馈ISMSB、实施和运行ISMSC、执行和检查ISMSD、沟通和咨询ISMS答案：B17.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，（计算机信息系统国家联网保密管理规定）是由下列哪个部门所指定的A、公安部B、国家保密局C、信息产业部D、国家密码管理委员会办公室答案：D18.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？A、软件在Linux下按照时，设定运行时使用nobody用户运行实例B、为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误C、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库D、软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限答案：B19.信息安全保障框架（IATF）由美国国家安全局（NSA）发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中提出需要防护的三类“焦点区域”是：A、网络和基础设施:区域边界:重要服务器B、网络和基础设施:区域边界:计算环境C、网络机房环境:网络接口:计算环境D、网络机房环境:网络接口:重要服务器答案：B20.有关信息安全事件的描述不正确的是A、信息安全事件的处理应该分类、分级B、信息安全事件的数量可以反映企业的信息安全管控水平C、某个时期内企业的信息安全事件的数量为零，这意味着企业面临的信息安全风险很小D、信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯，以吸取教训、总结经验，防止类似事情再次发生答案：C21.下面哪个是管理业务连续性计划中最重要的方面?A、备份站点安全以及距离主站点的距离。B、定期测试恢复计划C、完全测试过的备份硬件在备份站点可有D、多个网络服务的网络连接是可用答案：B22.作为业务继续计划流程中的一部分,在业务影响分析中下面哪个选项应该最先确认?A、组织的风险,像单点失败或设备风险B、重要业务流程的威胁C、根据恢复优先级设定的重要业务流程D、重建业务的所需的资源答案：C23.为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能进行备份的过程称为灾难备份。灾难备份系统是用于灾难恢复目的，由和备用的网络系统组成的信息系统。A、数据备份系统B、数据处理系统C、数据备份系统、数据处理系统D、数据备份系统、备用数据处理系统答案：D24.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案，在向主管领导写报告时，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息体统突发事件能力，较少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段C、编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设D、应急预案是保障单位业务系统信息安全的重要措施答案：C25.对口令进行安全性管理和使用，最终是为了____。（）A、口令不被攻击者非法获得B、防止攻击者非法获得访问和操作权限C、保证用户帐户的安全性D、规范用户操作行为答案：B26.FTP（文件传输协议，FileTransferProtocol，简称FFP）服务、SMTP（简单邮件传输协议，SimpleMailTransferProtocol，简称SMTP）服务、HTTP（超文本传输协议，HyperTextTransportProtocol，简称HTTP）、HTTPS（加密并通过安全端口传输的另一种HTTP）服务分别对应的端口是____。A、A（25-21-80-554）B、B（21-25-80-443）C、C（21-110-80-554）D、D（21-25-443-554）答案：B27.小李在学习信息安全管理体系的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他存在一个空白处未填写,请帮他选择一个最合适的选项（）保持和改进ISMS→规划和建立ISMS→（）→监视和评审ISMS→监控和反馈ISMSA、实施和执行ISMSB、执行和检查ISMSC、沟通和咨询ISMS答案：B28.程序设计和编码的问题引入的风险为：A、网络钓鱼B、缓冲区溢出C、SYN攻击D、暴力破解答案：B29.下面哪项属于软件开发安全方面的问题（）A、软件部署时所需选用服务性能不高,导致软件执行效率低。B、应用软件来考虑多线程技术,在对用户服务时按序排队提供服务C、应用软件存在SQL注入漏洞,若被黑客利用能窃取数据库所用数据D、软件受许可证（license）限制,不能在多台电脑上安装。答案：C30.注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A、通信安全B、计算机安全C、信息安全D、信息安全保障答案：D31.以下SQL语句建立的数据库对象是:A、表B、视图C、存储过程D、触发器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient,DoctorWHEREdoctorID=123答案：B32.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf答案：A33.实施ISMS内审时，确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求，以下哪个不是？A、约定的标准及相关法律的要求B、已识别的安全需求C、控制措施有效实施和维护D、ISO13335风险评估方法答案：D34.____能够有效降低磁盘机械损坏给关键数据造成的损失。（）A、热插拔B、SCSIC、RAIDD、FAST-ATA答案：C35.下列哪一种方法属于基于实体“所有”鉴别方法？A、用户通过自己设置的口令登录系统，完成身份鉴别B、用户使用个人指坟，通过指纹识别系统的身份鉴别C、用户利用和系统协商的秘密函数.对系统发送的挑战进行正确应答，通过身份签别D、用户使用集成电路卡（如智能卡）完成身份鉴别答案：D36.下面哪一个不是脆弱性识别的手段A、人员访谈B、技术工具检测C、信息资产核查D、安全专家人工分析答案：C37.我国的信息安全保障基本原则是？A、正确处理安全与发展的关系，以安全保发展，在发展中求安全。B、立足国情，以我为主，坚持管理与技术并重。C、强化未来安全环境，增强研究、开发和教育以及投资先进的技术来构建将来的环境。D、明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。答案：C38.安全漏洞产生的原因不包括以下哪一点A、软件系统市场出现信息不对称现象B、软件系统代码的复杂性C、攻击者的恶意利用D、复杂异构的网络环境答案：C39.恢复策略的选择最可能取决于A、基础设施和系统的恢复成本B、恢复站点的可用性C、关键性业务流程D、事件响应流程答案：C40.下面哪一项不是ISMSPlan阶段的工作？A、定义ISMS方针B、实施信息安全风险评估C、实施信息安全培训D、定义ISMS范围答案：C41.安全多用途互联网邮件扩展（SecureMultipurposeInternetMailExtension,S/MIME）是指一种保障邮件安全的技术,下面描述错误的是（）A、S/MIME采用了非对称密码学机制B、S/MIME支持数字证书C、S/MIME采用了邮件防火墙技术D、S/MIME支持用户身份认证和邮件加密答案：C42.P2DR模型通过传统的静态安全技术和方法提高网络的防护能力，这些技术包括？A、实时监控技术。B、访问控制技术。C、信息加密技术。D、身份认证技术。答案：A43.为了解决操作人员执行日常备份的失误，管理层要求系统管理员签字日常备份，这是一个风险,,例子：A、防止B、转移C、缓解D、接受答案：C44.在使用系统安全工程-能力成熟度模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，正确的理解是：A、测量单位是基本实施（BasePractices，BP）B、测量单位是通用实施（GenericPractices，GP）C、测量单位是过程区域（ProcessAreas，PA）D、测量单位是公共特征（CommonFeatures，CF）答案：A45.管理评审的最主要目的是A、确认信息安全工作是否得到执行B、检查信息安全管理体系的有效性C、找到信息安全的漏洞D、考核信息安全部门的工作是否满足要求答案：B46.以下关于https协议http协议相比的优势说明，那个是正确的？A、Https协议对传输的数据进行加密，可以避免嗅探等攻击行为B、Https使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性C、Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能D、Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性答案：A47.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A、提高信息技术产品的国产化率B、保证信息安全资金投入C、加快信息安全人才培养D、重视信息安全应急处理工作答案：A解析：提高信息技术产品的国产化率不属于九项重点工作内容之一。48.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：（1）自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击，小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息，以上四个观点中，有一个观点是正确的，它是（）A、观点（1）B、观点（2）C、观点（3）D、观点（4）答案：D49.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题答案：D50.为达到预期的攻击目的恶意代码通常会采用各种方法将自己隐藏起来来。关于隐藏方法，下面理解错误的是？A、隐藏恶意代码进程，即将恶意代码进程隐藏起来，或者改名和使用系统进程名，以更好的躲避检测，迷惑用户和安全检测人员B、隐藏恶意代码的网络行为，复用通用的网络端口或者不使用网络端口，以躲避网络行为检测和网络监控C、隐藏恶意代码的源代码，删除或加密源代码，仅留下加密后的二进制代码，以躲避用户和安全检测人员D、隐藏恶意代码的文件，通过隐藏文件、采用流文件技术或HOOK技术，以躲避系坟文件检查和清除答案：C51.43.信息安全风险管理是基于（）的信息安全管理，也就是，始终以（）为主线进行信息安全的管理。应根据实际（）的不同来理解信息安全风险管理的侧重点，即（）选择的范围和对象重点应有所不同。A、风险:风险:信息系统；风险管理B、B.风险:风险:风险管理；信息系统C、C.风险管理；信息系统；风险:风险D、D.风险管理；风险；风险；信息系统答案：A52.关于源代码审核，下列说法正确的是？A、源代码审核往往需要大量的时间，采用人工审核费时费力，但可以通过多人并行审核来弥补这个缺点。B、源代码审核工具应当以检查源代码的功能是否完整、是否执行正确为主要功能。C、使用源代码审核工具自动化执行代码检查和分析，能够极大提高软件可靠性并节省软件开发和测试的成本，已经取代了人工审核方式。D、源代码审核是指无需运行被测代码，仅对源代码检查分析，检查并报告源代码中可能隐藏的错误和缺陷。答案：D53.关于信息安全管理体系,国际上有标准（ISO/IEC27001:2013）而我国发布了《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）请问,这两个标准的关系是:A、IDT（等同采用）,此国家标准等同于该国际标准,仅有或没有编辑性修改B、EQV（等效采用）,此国家标准不等效于该国际标准C、NEQ（非等效采用）,此国家标准不等效于该国际标准D、没有采用与否的关系,两者之间版本不同,不应该直接比较答案：D54.对一项应用的控制进行了检查,将会评估A、该应用在满足业务流程上的效率B、任何被发现风险影响C、业务流程服务的应用D、应用程序的优化答案：B55.为什么要对于动态路由协议采用认证机制？A、保证路由信息完整性B、保证路由信息机密性C、保证网络路由的健壮D、防止路由回路答案：A56.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取（）A、在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力B、选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能C、如果蓝牙设备丢失,最好不要做任何操作D、在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案：C57.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO（恢复点目标）指标为3小时。请问这意味着（）A、该信息系统发生重大安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作B、该信息系统发生重大安全事件后,工作人员应在3小时内完整应急处理工作并恢复对外运行C、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力D、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据答案：D58.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案，在向主管领导写报告时，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息系统突发事件能力，减少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段C、编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设D、应急预案是保障单位业务系统信息安全的重要措施答案：C59.Internet上很多软件的签名认证都来自_______公司。A、BaltimoreB、EntrustC、SunD、VeriSign答案：D60.数据库事务日志的用途是什么？A、事务处B、数据恢复C、完整性约束D、保密性控制答案：B61.有什么方法可以测试办公部门的无线安全？A、nWardialing战争语言B、n社会工程学C、n战争驾驶D、n密码破解答案：D62.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是？A、身份鉴别，应用系统应对登录的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随便更改权限，增加访问控制的力度，限制非法访问C、剩余信息保护，应用系统层面应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区中的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等答案：D63.以下角色谁应该承担决定信息系统资源所需的保护级别的主要责任？A、信息系统安全专家B、业务主管C、安全主管D、系统审查员答案：B64.下面哪一个机构不属于美国信息安全保障管理部门？A、国土安全部。B、国防部。C、国家基础设施参谋委员会。D、国家标准技术研究所。答案：C65.Windows系统的用户帐号有两种基本类型，分别是全局帐号和____。A、A本地帐号B、B域帐号C、C来宾帐号D、D局部帐号答案：A66.在PDR模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保护检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策略实施的。如图所示。在PPDR模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、（）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的（）。检测这一环节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括；实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件，通过及时的响应措施将网络系统的（）调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。A、评估与执行；访问控制；安全状态；安全性B、评估与执行；安全状态；访问控制；安全性C、访问控制；评估与执行；安全状态；安全性D、安全状态，评估与执行；访问控制；安全性答案：A67.在Clark-Wilson模型中哪一项不是保证完整性任务的？A、防止职权的滥用B、防止非授权修改C、维护内部和外部的一致性D、防止授权但不适当地修改答案：A68.PKI的性能中，信息通信安全通信的关键是__________A、透明性B、易用性C、互操作性D、跨平台性答案：C69.小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理风险，请问这种风险处置的方法是（）A、降低风险B、规避风险C、放弃风险D、转移风险答案：B解析：放弃高风险模块的功能，属于风险规避。70.下列对于信息安全保障深度防御模型的说法错误的是：A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下B、信息安全管理和工程，信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统C、信息安全人才体系，在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分D、信息安全技术方案：“从外面内，自下而上，形成边界到端的防护能力”答案：C71.在信息处理设施〔IPF〕的硬件更换之后，业务连续性流程经理首先应该实施以下哪项活动？A、验证与热门站点的兼容性B、检查实施报告C、进行灾难恢复计划的演练D、更新信息资产清单答案：D72.“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA过程）又叫（）,是管理学中的一个通用模型,最早由（）于1930年构想,后来被美国质量管理专家（）博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。PDCA循环就是按照“规划、实施、检查、处置”的顺序进行质量管理,并且循环不止地进行下去的（）,建立符合国际标准ISO9001的质量管理体系即是一个典型的PDCA过程,建立IS014001环境管理体系、IS020000I服务（）也是一个类似的过程。A、质量环;休哈特;戴明;管理体系;科学程序B、质量环;戴明;休哈特;管理体系;科学程序C、质量环:戴明;休哈特;科学程序;管理体系D、质量环;休哈特;戴明;科学程序;管理体系答案：D73.国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则？A、统筹规划B、分级建设C、资源共享D、平战结合答案：B74.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行：A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN划分答案：B75.在信息安全管理日常工作中，需要与哪些机构保持联系？A、政府部门B、监管部门C、外部专家D、以上都是答案：D76.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项？A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物力和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与建立ISMS答案：D77.根据相关标准，信息安全风险管理可分为背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询等阶段。按照该框架，文档《风险分析报告》应属于哪个阶段的输出成果（）。A、批准监督B、监控审查C、风险处理D、风险评估答案：D78.下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小？A、功能点（FP）B、计划评价与审查技术（PERT）C、快速应用开发（RAD）D、关键路径方法（CPM）答案：A79.以下属于哪一种认证实现方式：用户登录时，认证服务器（AuthenticationServer，AS）产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，并发送给AS,AS用同样的方法计算后，验证比较两个口令即可验证用户身份。A、口令序列B、时间同步C、挑战/应答D、静态口令答案：C80.以下SQL语句建立的数据库对象是:Createviewpatientsfordoctorsasselectpatient.*frompatient,doctorwheredoctor.id=123"A、表B、视图C、存储过程D、触发器答案：B81.在信息安全管理工作中“符合性”的含义不包括哪一项？A、对法律法规的符合B、对安全策略和标准的符合C、对用户预期服务效果的符合D、通过审计措施来验证符合情况答案：C82.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是（）A、所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的B、使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C、动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令D、通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型答案：C解析：动态口令方案要求其口令不能被收集和预测。83.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一，他是政府进行宏观管理的重要依据，同时也是保护国家利益，促进产业发展的重要手段之一，关于我国信息安全标准化工作，下面选项中描述错误的是？A、我国是在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有专业技术委员会。B、因事关国家安全利益，信息安全因此不能和国际标准相同，而是要通过本国组织和专家制定标准，切实有效地保护国家利益和安全C、我国归口信息安全方面标准的是“全国信息安全标准技术委员会”，为加强有关工作，2016在其下设立“大数据安全特别工作组”D、信息安全标准化工作是解决信息安全问题的重要技术支撑，其主要作用突出地体现在能够确保有关产品，设施的技术先进性，可靠性和一致性。答案：B84.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是？A、从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型B、自主访问控制是一种广泛应用的方法，资源的所有者（往往也是创建者）可以规定谁有权访问它们的资源，具有较好的易用性和扩展性C、强制访问控制模型要求主题和客体都一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统D、基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略答案：A85.为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，加强在中华人民共和国境内建建设、运营、维护和使用网络，以及网络安全的监督管理。52015年年66月，第十二届全国国人大常委会第十五次会议初次审议了一部法律草案，并于于77月月66日起在网上全文公公布，向社会公开征求意见，这部法律草案是（）A、《中华人民共和国保守国家秘密法（草案）》B、《中华人民共和国网络安全法（草案））》C、《中华人民共和国国家安全法（草案）》D、《中华人民共和国互联网安全法（草案）》答案：B86.在PDR模型的基础上，发展成为了（Policy-Protection-Detetion-Response,PPDR）模型，即策略-防护-检测-响应。模型的核心是：所有防护、检测、响应都是依据安全策略实施的。在PPDR模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制定、（）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的（）。检测这一环节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括：实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的（）调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。A、评估与执行；访问控制；安全状态；安全性B、评估与执行；安全状态；访问控制；安全性C、访问控制；评估与执行；安全状态；安全性D、安全状态；评估与执行；访问控制；安全性答案：A87.在一家企业的业务持续性计划中，什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是：A、对这种情况的评估可能会延迟B、灾难恢复计划的执行可能会被影响C、团队通知可能不会发生D、对潜在危机的识别可能会无效答案：B88.下列选项中，对风险评估文档的描述中正确的是（）A、评估结果文档包括描述资心识别和赋值的结果，形成重要资产列表义B、描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》C、在文档分发过程中作废文档可以不用添加标识进行保留人D、对于风险评估过程中形成的相关文档行，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制答案：D89.以下有关信息安全方面的业务连续性管理的描述，不正确的是A、信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时，能够及时恢复，保障企业业务持续运营B、企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务C、业务连续性计划文档要随着业务的外部环境的变化，及时修订连续性计划文档D、信息安全方面的业务连续性管理只与IT部门相关，与其他业务部门人员无须参入答案：D90.目前，信息系统面临外部攻击者的恶意攻击威胁，从或胁能力和掌握资源分，这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的是A、喜欢恶作剧、实现自我挑战的娱乐型黑客B、实施犯罪、获取非法经济利益网络犯罪团伙C、搜集政治、军事、经济等情报信息的情报机构D、巩固战略优势，执行军事任务、进行目标破坏的信息作战部队答案：B91.安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中，注意到生产数据被用于测试环境测试，这种情况下存在哪种最有可能的潜在风险？A、测试环境可能没有充足的控制确保数据的精确性B、测试环境可能由于使用生产数据而产生不精确的结果C、测试环境的硬件可能与生产环境的不同D、测试环境可能没有充分的访问控制以确保数据机密性答案：D92.如图一所示:主机A和主机B需要通过IPSec隧道模式保护二者之间的通信流量,这种情况下IPSec的处理通常发生在哪二个设备中?A、主机A和安全网关1B、主机B和安全网关2C、主机A和主机B中D、安全网关1和安全网关2中答案：D93.无线网络安全实施技术规范的服务集标识符（SSID）最多可以有（）个字符？A、16B、128C、64D、32答案：D94.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立答案：B95.下面哪一个不是系统运行维护阶段风险管理的工作内容A、安全运行和管理B、安全测试C、变更管理D、风险再次评估答案：B96.下列关于风险的说法，____是错误的。（）A、风险是客观存在的B、导致风险的外因是普遍存在的安全威胁C、导致风险的外因是普遍存在的安全脆弱性D、风险是指一种可能性答案：C97.关于信息安全管理体系的作用，下面理解错误的是A、对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查B、对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入C、对外而言，有助于使各利益相关方对组织充满信心D、对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任答案：B98.TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制？A、ICMPB、IGMPC、ARPD、SNMP答案：A99.社会工程学是（）与（）结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（）,随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的“弱点”,而人性是（）,这使得它几乎是永远有效的（）。A、网络安全;心理学;攻击方式;永恒存在的;攻击方式B、网络安全;攻击方式;心理学;永恒存在的;攻击方式C、网络安全;心理学;永恒存在的;攻击方式D、网络安全;攻击方式;心理学;攻击方式;永恒存在的答案：A100.为了进一步提供信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）,对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作哟的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是（）A、该文件是一个由部委发布的政策性文件,不属于法律文件B、该文件适用于2004年的等级保护工作,其内容不能约束到2005年及之后的工作C、该文件是一个总体性指导文件,规定所有信息系统都要纳入等级保护定级范围D、该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位答案：A101.应急响应哪一个阶段用来降低事件再次发生的风险A、遏制B、根除C、跟踪D、恢复答案：C102.Linux系统中常用数字来表示文件的访问权限，假设某文件的访问限制使用了755来表示，则下面哪项是正确的A、这个文件可以被任何用户读和写B、这个可以被任何用户读和执行C、这个文件可以被任何用户写和执行D、这个文件不可以被所有用户写和执行答案：B103.一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由下列哪个选项觉得的？A、加密算法B、解密算法C、加密和解密算法D、密钥答案：D104.微软提出了stride模型，其中R是（Repudiation抵赖）的缩写，关于此项安全要素，下面说法错误的是？A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁为R威胁B、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”，软件系统中的这种威胁为R威胁C、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术措施来解决D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决答案：D105.在你对远端计算机进行ping操作，不同操作系统回应的数据包中初始TTL是IP协议包中的一个值，它告诉网络，数据包在网络中的时间是否太长而应被丢弃，（简而言之，你可以通过TTL值推算一下下列数据包已经超过了多少个路由器）根据回应的数据包中的TTL，可以大致判断（）A、内存容量B、操作系统的类型C、对方物理位置D、对方的MAC地址答案：B106.保密行政管理部门在（）的基础上对系统进行审批，对符合要求的涉密信息系统批准其投入使用。A、验收B、系统测评C、检查D、评审答案：B107.下列哪种算法通常不被用于保证机密性？A、AESB、RC4C、RSAD、MD5答案：D108.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A、网站竞争对手可能雇佣攻击者实施rooS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息答案：D109.我国刑法____规定了非法侵入计算机信息系统罪。A、第284条B、第285条C、第286条D、第287条答案：B110.一下那些不属于现代密码学研究A、Enigma密码机的分析频率B、diffie-herrman密码交换C、查分分析和线性分析答案：A111.自主访问控制（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中。以下对DAC模型的理解中，存在错误的是（）。A、在DAC模型中，资源的所有者可以规定谁有权访问它们的资源B、DAC是一种对单个用户执行访问控制的过程和措施C、DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击D、在DAC中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体答案：C112.下列哪项是用于降低风险的机制A、安全和控制实践B、财产和责任保险C、审计与认证D、合同和服务水平协议答案：A113.当更新一个正在运行的在线订购系统时，更新都记录在一个交易磁带和交易日志副本。在一天业务结束后，订单文件备份在磁带上。在备份过程中，驱动器故障和订单文件丢失。以下哪项对于恢复文件是必须的？A、前一天的备份文件和当前的交易磁带B、前一天的交易文件和当前的交易磁带C、当前的交易磁带和当前的交易日志副本D、当前的交易日志副本和前一天的交易交易文件答案：A114.以下哪一项是基于一个大的整数很难分解成两个素数因数？A、ECCB、RSAC、DESD、D-H答案：B115.61.在风险管理中，残余风险是指在实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）A、风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B、管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且必须承担引发的后果C、接受残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制地提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术的等因的限制D、如果残余风险没有降低到可接受的级别，则只能被动地选择接受风险，即对风险不采取进一步的处理措施，接受风险可能带来的结果答案：D116.以下关于Linux用户和组的描述不正确的是：A、在linux中，每一个文件和程序都归属于一个特定的“用户”B、系统中的每一个用户都必须至少属于一个用户组C、用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D、Root是系统的超级用户，无论是否文件和程序的所有者都且有访问权限答案：D117.以下哪个不是应用层防火墙的特点A、更有效地阻止应用层攻击B、工作在OSI模型的第七层C、速度快且对用户透明D、比较容易进行审计答案：C118.以下有关通信与日常操作描述不正确的选项是A、信息系统的变更应该是受控的B、企业在岗位设计和人职工作分配时应该遵循职责别离的原则C、移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏D、内部安全审计无需遵循独立性、客观性的原则答案：D119.下列选项中，对物理与环境安全的描述出现错误的是（）。A、物理安全确保了系统在对信息进行采集、传输、存储、处理等过程中的安全B、物理安全面对的是环境风险及不可预知的人类活动，是一个非常关键的领域C、物理安全包括环境安全、系统安全、设施安全等D、影响物理安全的因素不仅包含自然因素，还包含人为因素答案：C120.下面对于cookie的说法错误的是：A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法答案：C121.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现控制外部各方的目标应该包括下列哪个选项（）A、信息安全的管理承诺.信息安全协调.信息安全职责的分配B、信息处理设施的授权过程.保密性协议.与政府部门的联系C、与特定利益集团的联系.信息安全的独立评审D、与外部各方相关风险的识别.处理外部各方协议中的安全问题答案：D122.以下关于风险评估的描述不正确的是？A、作为风险评估的要素之一，威胁发生的可能需要被评估B、作为风险评估的要素之一，威胁发生后产生的影响需要被评估C、风险评估是风险管理的第一步D、风险评估是风险管理的最终结果答案：D123.由于病毒攻击、非法入侵等原因,校园网部分楼宇出现网络瘫痪,或者FTP及部分网站服务器不能响应用户请求,属于以下哪种级别事件A、特别重大事件B、重大事件C、较大事件D、一般事件答案：C124.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢，为了找到根本愿因，他应该首先检查：A、灾难恢复站点的错误事件报告B、灾难恢复测试计划C、灾难恢复计划（DRP）D、主站点和灾难恢复站点的配置文件答案：A125.安全扫描可以____。（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击，分析所有的数据流答案：C126.防火墙能够____。（）A、防范恶意的知情者B、防范通过它的恶意连接C、防备新的网络安全问题D、完全防止传送已被病毒感染的软件和文件答案：B127.为达到预期的攻击目的,恶意代码通常会被采用各种方法将自己隐藏起来。关于隐藏方法,下面理解错误的是（）A、隐藏恶意代码进程,即将恶意代码进程隐藏来,或者改名和使用系统进程名,以更好的躲避检测,迷惑用户和安全检测人员B、隐藏恶意代码的网络行为,复用通用的网络端口,以躲避网络行为检测和网络监控C、隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码,以躲避用户和安全检测人员D、隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术、以躲避系统文件检査和清除答案：C128.8）数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是：A、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作B、最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度也共享数据库中的信息C、粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度D、按内容存取控制策略，不同权限的用户访问数据库的不同部分答案：C129.以下哪一个是ITU的数字证书标准A、SSLB、SHTTPC、x.509D、SOCKS答案：A130.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一，也是政府进行宏观管理的重要依据，同时也是保护国家利益、促进产业发展的重要手段之一。关于我国信息安全标准化工作，下面选项中描述错误的是（）。A、因事关国家安全利益，信息安全因此不能和国际标准相同，而是要通过本国组织和专家制订标准，切实有效地保护国家利益和安全B、信息安全标准化工作是解决信息安全问题的重要技术支撑，其主要作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性C、我国是在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有专业技术委员会D、我国归口信息安全方面标准的是“全国信息安全标准化技术委员会”，为加强有关工作，2016在其下设立“大数据安全特别工作组”答案：A131.（）在实施攻击之前，需要尽量收集伪装身份（），这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的（），那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司中相关人员的绰号等等。A、攻击者；所需要的信息；系统管理员；基础；内部约定B、所需要的信息；基础；攻击者；系统管理员；内部约定C、攻击者；所需要的信息；基础；系统管理员；内都约定D、所需要的信息；攻击者；基础；系统管理员；内部约定答案：C132.身份认证中的证书由__________A、政府机构发行B、银行发行C、企业团体或行业协会发行D、认证授权机构发行答案：A133.小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式,小张认为：1．风险评估工作形式包括：自评估和检查评估；2．自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3．检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；4．对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼，请问小张的所述论点中错误的是哪项：A、第一个观点B、第二个观点C、第三个观点D、第四个观点答案：D134.软件安全设计和开发中应考虑用户隐私包，以下关于用户隐私保护的说法错误的是A、告诉用户需要收集什么数据及搜集到的数据会如何被使用B、当用户的数据由于某种原因要被使用时，给客户选择是否允许C、用户提交的用户名和密码属于隐私数据，其他都不是D、确保数据的使用符合国家、地方、行业的相关法律法规答案：C135.GB/T22080-2008《信息技术安全技术信息安全管理体系要求》指出，建立信息安全管理体系应参照PDCA模型进行，即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程，并在这些过程中应实施若干活动。请选出以下描述错误的选项（）。A、“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容B、“进行有效性测量”是监视和评审ISMS阶段工作内容C、“实施内部审核”是保持和改进ISMS阶段工作内容D、“制定ISMS方针”是建立ISMS阶段工作内容答案：C136.我国正式公布了电子签名法，数字签名机制用于实现____需求。（）A、抗否认B、保密性C、完整性D、可用性答案：A137.当曾经用于存放机密资料的PC在公开市场出售时A、对磁盘进行消磁B、对磁盘低级格式化C、删除数据D、对磁盘重整答案：A138.以下关于安全控制措施的选择，哪一个选项是错误的?A、维护成本需要被考虑在总体控制成本之内B、最好的控制措施应被不计成本的实施C、应考虑控制措施的成本效益D、在计算整体控制成本的时候，应考虑多方面的因素答案：B139.进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C、各国普遍重视信息安全事件的应急响应和处理D、在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系答案：B140.30.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是？A、从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型B、自主访问控制是一种广泛应用的方法，资源的所有者（往往也是创建者）可以规定谁有权访问它们的资源，具有较好的易用性和扩展性C、强制访问控制模型要求主题和客体都一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统D、基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略答案：A141.2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署的文件是？A、国家网络安全战略。B、国家网络安全综合计划。C、信息基础设施保护计划。D、强化信息系统安全国家计划。答案：B142.外部组织使用组织敏感信息资产时，以下正确的做法是？A、确保使用者得到正确的信息资产。B、与信息资产使用者签署保密协议。C、告知信息资产使用的时间限制。D、告知信息资产的重要性。答案：B143.在信息系统安全中，暴露由以下哪两种因素共同构成的？A、攻击和脆弱性B、威胁和攻击C、威胁和脆弱性D、威胁和破坏答案：A144.以下关于直接附加存储（DirectAttachedStorage，DAS）说法错误的是A、DAS能够在服务器物理位置比较分散的情况下实现大容量存储．是一种常用的数据存储方法B、DAS实现了操作系统与数据的分离，存取性能较高并且实施简单C、DAS的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储设备中的数据不能被存取D、较网络附加存储（NetworkAttachedStorage，NAS），DAS节省硬盘空间，数据非常集中，便于对数据进行管理和备份答案：D145.公安部网络违法案件举报网站的网址是____。（）A、B、C、D、答案：C146.何种情况下，一个组织应当对公众和媒体公告其信息系统中发生的信息安全A、当信息安全事件的负面影响扩展到本组织以外时B、只要发生了安全事件就应当公告C、只有公众的生命财产安全受到巨大危害时才公告D、当信息安全事件平息之后答案：A147.风险评估的基本过程是怎样的？A、识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最终确定风险B、通过以往发生的信息安全事件，找到风险所在C、风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位D、风险评估并没有规律可循，完全取决于评估者的经验所在答案：A148.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?A、加密B、数字签名C、访问控制D、路由控制答案：B149.信息安全管理体系（InformationSecurityManagementSystem,ISMS）的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是A、内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件时被审对象答案：C150.linux主机中关于以下说法不正确的是（）A、PASS_MAX_DAYS9是0指登陆密码有效期为90天。B、PASS_WARN_AGE是7指登陆密码过期7天前提示修改。C、FALL_DELAY10是指错误登陆限制为10次。D、SYSLOG_SG_ENABye当s限定超级用于组管理日志时使用。答案：C151.SQLServer支持两种身份验证模式,即Windows身份验证模式和混合模式。SQLServer的混全模式是指:当网络用户尝试接到SQLServer数据库时,（）A、Windows获取用户输入的用户和密码,并提交给SQLServe进行身份验证,并决定用户的数据库访权限B、SQLServe根据用户输入的用户和密码,并提交给Windows进行身份验证,并决定用户的数据库访权限C、SQLServe根据已在Windows网络中登录的用户的网络安全属性,对用户进行身份验证,并决定用户的数据库访权限D、登录到本地Windows的用户均可无限制访问SQLServe数据库答案：C152.下面对零日（zero-day）漏洞的理解中,正确的是A、指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B、指一个特定的漏洞在2010年被发现出来的一种洞,该漏洞被震网病毒所利用,用来攻击伊朗布什尔核电站基础设施C、指一类漏洞,特别好被利用,一旦成功利用该类漏洞可以在1天内完成攻击且成功达到攻击目标D、一类漏洞,刚被发现后立即被恶意利用的安全漏洞一般来说,那些已经被人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞答案：D153.内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能：A、导致对其审计独立性的质疑B、报告较多业务细节和相关发现C、加强了审计建议的执行D、在建议中采取更对有效行动答案：A154.某用户通过账号，密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一项？A、个人银行和用户之间双向鉴别B、由可信的第三方完成的用户身份鉴别C、个人网银系统对用户身份的单向鉴别D、用户对个人网银系统合法性的单向鉴别答案：C155.电子商务交易必须具备抗抵赖性，目的在于防止___。A、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去答案：B156.下图是安全测试人员连接某远程主机时的操作界面，请仔细分析该图，下面选项中推断正确的是（）C:\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主机的连接。C:DocumentsandSettings\lyxjaowei>.A、安全测试人员连接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务开启了FTP服务，使用的服务器软件名为FTPServerD、远程服务器的操作系统是Windows答案：D157.下列关于信息系统生命周期中安全需求说法不准确的是A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证答案：C158.下图显示了SSAM的四个阶段和每个阶段工作内容。与之对应,（）的目的是建立评估框架,并为现场阶段准备后勤方面的工作。（）的目的是准备评估团队进行现场活动,并通过问卷进行数据的初步收集和分析。（）主要是探索初步数据分析结果,以及为被评组织的专业人员提供与数据采集和证实过程的机会,小组对在此就三个阶段中采集到的所有数据进行（）。并将调查结果呈送个发起者。A、现场阶段;规划阶段;准备阶段;最终分析B、准备阶段;规划阶段;现场阶段;最终分析C、规划阶段;现场阶段;准备阶段;最终分析D、规划阶段;准备阶段;现场阶段;最终分析答案：D159.6）张主任的计算机使用windows７操作系统，他常登陆的用户名为zhang.张主任给他个人文件夹设置了权限为只有zhang这个用户有权访问这个目录，管理员在某次维护中无意将ZHANG这个用户删除了,随后又重新建了一个用户名为ZHANG张主任使用ZHANG这个用户登录系统后，发现无法访问他原来文件夹，原因是：A、任何一个新建用户都需要经过授权才能访问系统中的文件B、windows7不认为新建立的用户zhang与原来的用户zhang是同一个用户，因此无权访问C、用户被删除后，该用户创建的文件夹也会自动删除，新建用户找不到原来用户的文件夹，因此无法访问D、新建的用户zhang会继承原来用户的权限，之所以无权访问是因为文件夹经过了加密答案：B160.在实施风险分析期间，识别出威胁和潜在影响后应该A、识别和评定管理层使用的风险评估方法B、识别信息资产和基本系统C、揭示对管理的威胁和影响D、识别和评价现有控制答案：D161.Linux系统对文件的权限是以模式位的形式来表示,对于文件名为test的一个文件,属于admin组中user用户,以下哪个是该文件正确的模式表示?A、-rwxr-xr-x3useradmin1024Sep1311:58testB、drwxr-xr-x3useradmin1024Sep1311:58testC、-rwxr-xr-x3adminuser1024Sep1311:58testD、drwxr-xr-x3adminuser1024Sep1311:58test答案：A解析：题目考核的是linux系统的权限表达格式。162.要在Cisco路由器上设定“showlogging”只能在特权模式下执行，以下的操作正确的是：（）A、Router（config）#loggingtrapinformationB、Router（config）#set‘showlogging’execC、Router（config）#showloggingD、Router（config）#privilegeexeclevel15showlogging答案：D163.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项（）A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B164.部署互联网协议安全虚拟专用网（InternetProtocolSecurityVirtualPrivateNetwork.IPsecVPN）时，以下说法正确的是？A、配置MD5安全算法可以提供可靠地数据加密B、配置AES算法可以提供可靠的数据完整性验证C、部署IPaecVPN网络时，需要虑IP地址的规划，尽量在分文节点使用可以聚合的lP地址段，来减少IPaec安全关联（SecurityAuthentication.SA）资源的消耗D、报文验证头协议（AuthenticationHeader.AH）可以提供数据机密性答案：C165.以下不是接入控制的功能的是_______A、阻止非法用户进入系统B、组织非合法人浏览信