（必会）CISP注册信息安全专业人员考前巩固模考题库（附答案）

（必会）CISP注册信息安全专业人员考前巩固模考题库（附答案）1.组织中对于每个独立流程都有对应的业务连续性计划，但缺乏全面的业务连续性计划，应采取下面哪一项行动？A、建议建立全面的业务连续性计划B、确认所有的业务连续性计划是否相容C、接受已有业务连续性计划D、建议建立单独的业务连续性计划参考答案：B2.组织应开发和实施使用（）来保护信息的策略，基于风险评估，宜确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量。当实施组织的（）时，宜考虑我国应用密码技术的规定和限制，以及（）跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求，包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的（）要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外，秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行（）。A、加密控制措施；加密信息；密码策略；密钥管理；物理保护B、加密控制措施；密码策略；密钥管理；加密信息；物理保护C、加密控制措施；密码策略；加密信息；密钥管理；物理保护D、加密控制措施；物理保护；密码策略；加密信息；密钥管理参考答案：C3.组织实施的成熟性可以低成本地生产出高质量产品”在提高阿帕奇系统（ApacheHTTPServer）系统安全性时，下面哪项措施不属于安全配置内容A、不在Windows下安装Apache，只在Linux和Unix下安装B、安装Apache时，只安装需要的组件模块C、不使用操作系统管理员用户身份运行Apache，而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新参考答案：A4.组织内应急通知应主要采用以下哪种方式A、电话B、电子邮件C、人员D、公司OA参考答案：A5.组织内数据安全官的最为重要的职责是：A、推荐并监督数据安全策略B、在组织内推广安全意识C、制定IT安全策略下的安全程序/流程D、管理物理和逻辑访问控制参考答案：A6.自主访问控制与强制访问控制相比具有以下哪一个优点？A、具有较高的安全性B、控制粒度较大C、配置效率不高D、具有较强的灵活性参考答案：D7.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）。A、ACL在删除用户时，去除该用户所有的访问权限比较方便B、ACL对于统计某个主体能访问哪些客体比较方便C、ACL在增加客体时，增加相关的访问控制权限较为简单D、ACL是Bell-LaPadula模型的一种具体实现参考答案：C8.针对操作系统的漏洞作更深入的扫描，是（）型的漏洞评估产品。A、数据库B、主机型C、网络型D、以上都不正确参考答案：B9.在制定一个正式的企业安全计划时，最关键的成功因素将是？A、成立一个审查委员会B、建立一个安全部门C、向执行层发起人提供有效支持D、选择一个安全流程的所有者参考答案：C10.在正常情况下，Windows2000中建议关闭的服务是（）。A、TCP/IPNetBIOSHelperServiceB、LogicalDiskManagerC、RemoteProcedureCallD、SecurityAccountsManager参考答案：A11.在以下标准中,属于推荐性国家标准的是?A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X参考答案：A12.在业务持续性方面，如果要求不能丢失数据，则：A、RT0为B、RPO为OC、RTO和RPO都为OD、RTO、RPO没有关系参考答案：B13.在信息安全管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误的（）。A、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单C、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告D、背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告参考答案：B14.在信息安全管理的实施过程中，管理者的作用于信息安全管理体系能否成功实施非常重要，但是一下选项中不属于管理者应有职责的是（）A、制定并颁发信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求B、确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量，计划应具体、可事实C、向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性D、建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评过过程、确保信息安全风险评估技术选择合理、计算正确参考答案：D15.在网络安全体系构成要素中“响应”指的是（）。A、环境响应和技术响应B、一般响应和应急响应C、系统响应和网络响应D、硬件响应和软件响应参考答案：B16.在完成了业务影响分析〔BIA〕后，下一步的业务持续性计划应该是什么A、测试和维护业务持续性计划B、制定一个针对性计划C、制定恢复策略D、实施业务持续性计划参考答案：C17.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为（）。A、可接受使用策略AUPB、安全方针C、适用性声明D、操作规范参考答案：A18.在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?A、外部代理商的处理应该接受一个来自独立代理进行的I5审计。B、外部代理商的员工必须接受该组织的安全程序的培训。C、来自外部代理商的任何访问必须限制在停火区（DMZ）D、该组织应该进行风险评估,并制定和实施适当的控制。参考答案：D19.在数据链路层中MAC子层主要实现的功能是A、介质访问控制B、物理地址识别C、通信协议产生D、数据编码参考答案：A20.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是？A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关D、资产的价值无法估计参考答案：C21.在进行应用系统的测试时，应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：A、测试系统应使用不低于生产系统的访问控制措施B、为测试系统中的数据部署完善的备份与恢复措施C、在测试完成后立即清除测试系统中的所有敏感数据D、部署审计措施，记录生产数据的拷贝和使用参考答案：B22.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障模型>A、保障要素、生命周期和运行维护B、保障要素、生命周期和安全特征C、规划组织、生命周期和安全特征D、规划组织、生命周期和运行维护参考答案：B23.在国家标准《信息系统安全保障评估框架第部分：简介和一般模型》（GB/T20274.1-2006）中描述了信息系统安全保障模型，下面对这个模型理解错误的是（）A、该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的B、该模型是一个强调持续发的动态安全模型即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程C、该模型强调综合保障的观念，即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标D、模型将风险和策略作为信息系统安全保障的基础和核心，基干IATF模型改进，在其基础上增加了人员要素，强调信息安全的自主性参考答案：D24.在Linux系统中，下列哪项内容不包含在/etc/passwd文件中A、用户口令明文B、用户主目录C、用户名D、用户登录后使用的SHELL参考答案：A25.在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：A、防止出现数据范围以外的值B、防止出现错误的数据处理顺序C、防止缓冲区溢出攻击D、防止代码注入攻击参考答案：B26.在ISO／IEC17799中，防止恶意软件的目的就是为了保护软件和信息的（）。A、安全性B、完整性C、稳定性D、有效性参考答案：B27.在GB／T18336《信息技术安全性评估准则》中，有关保护轮廓（ProtectionProfile，PP）和安全目标（SecurityTarget，ST），错误的是A、PP是描述一类产品或系统的安全要求B、PP描述的安全要求与具体实现无关C、两份不同的ST不可能满足同一份PP的要求D、ST与具体的实现有关参考答案：C28.有关信息安全事件的描述不正确的是A、信息安全事件的处理应该分类、分级B、信息安全事件的数量可以反映企业的信息安全管控水平C、某个时期内企业的信息安全事件的数量为零，这意味着企业面临的信息安全风险很小D、信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯，以吸取教训、总结经验，防止类似事情再次发生参考答案：C29.有关项目管理，错误的理解是：A、项目管理是一门关于项目资金、时间、人力等资源控制的管理科学B、项目管理是运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理，不受项目资源的约束C、项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理D、项目管理是系统工程思想针对具体项目的实践应用参考答案：B30.有关系统安全工程-能力成熟度模型（SSE-CMM）中基本实施（BasePractice）正确的理解是：A、BP不限定于特定的方法工具，不同业务背景中可以使用不同的方法B、BP不是根据广泛的现有资料，实施和专家意见综合得出的C、BP不代表信息安全工程领域的最佳实践D、BP不是过程区域（ProcessAreas，PA）的强制项参考答案：A31.有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（GenericPractices,GP）,错误的理解是（）A、GP是涉及过程的管理、测量和制度化方面的活动B、GP适用于域维中部分过程区域（ProcessAreas,PA）的活动而非所有PA的活动C、在工程师实施时，GP应该作为基本实施（BasePractices,BP）的一部分加以执行D、在评估时，GP用于判定工程组织执行某个PA的能力参考答案：B32.有关能力成熟度模型（CMM）错误的理解是A、CMM的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率B、CMM的思想来源于项目管理和质量管理C、CMM是一种衡量工程实施能力的方法,是一种面向工程过程的方法D、CMM是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”参考答案：A33.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码，并制定公司的安全编码准则D、要求增加软件安全测试环节，尽早发现软件安全问题参考答案：A34.由于病毒攻击、非法入侵等原因，校园网整体瘫痪，或者校园网络中心全部DNS、主WEB服务器不能正常工作：由于病毒攻击、非法入侵、人为破坏或不可抗力等原因，造成校园网出口中断，属于以下哪种级别事件（）A、特别重大事件B、重大事件C、较大事件D、一般事件参考答案：D35.用来为网络中的主机自动分配IP地址、子网掩码、默认网关、WINS服务器地址的网络协议是：A、RPB、IGMPC、IC.MPD、D.HC.P参考答案：D36.拥有电子资金转帐销售点设备的大型连锁商场，有中央通信处理器连接银行网络，对于通信处理机，下面哪一项是最好的灾难恢复计划。A、每日备份离线存储B、选择在线备份程序C、安装双通讯设备D、在另外的网络节点选择备份程序参考答案：D37.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行安全加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好参考答案：D38.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是（）A、身份鉴别，应用系统应对登录的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问C、剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等参考答案：D39.以下有关访问控制的描述不正确的是A、口令是最常见的验证身份的措施，也是重要的信息资产，应妥善保护和管理B、系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，即分配给员工的访问权限只需满足其工作需要的权限，工作之外的权限一律不能分配C、单点登录系统（一次登录/验证，即可访问多个系统）最大的优势是提升了便利性，但是又面临着“把所有鸡蛋放在一个篮子”的风险；D、双因子认证（又称强认证）就是一个系统需要两道密码才能进入；参考答案：D40.以下哪种做法是正确的“职责别离”做法？A、程序员不允许访问产品数据文件B、程序员可以使用系统控制台C、控制台操作员可以操作磁带和硬盘D、磁带操作员可以使用系统控制台参考答案：A41.以下哪一项是DOS攻击的一个实例A、SQL注入B、IPSoofC、Smurf攻击D、字典破解参考答案：C42.以下哪一项不是我国信息安全保障工作的主要目标：A、保障和促进信息化发展B、维护企业与公民的合法权益C、构建高效的信息传播权益D、保护互联网知识产权参考答案：C43.以下哪一个是ITU的数字证书标准A、SSLB、SHTTPC、x.509D、SOCKS参考答案：A44.以下哪些因素属于信息安全特征?A、系统和网络的安全B、系統和动态的安全C、技术、管理、工程的安全D、系統的安全；动态的安全；无边界的安全；非传统的安全参考答案：D45.以下哪些是可能存在的威胁因素？A、设备老化故障B、病毒和蠕虫C、系统设计缺陷D、保安工作不得力参考答案：B46.以下哪些不属于脆弱性范畴？A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯参考答案：A47.以下哪项网络攻击会对《网络安全法》定义的网络运行安全造成影响A、DDoS攻击B、网页篡改C、个人信息泄露D、发布谣言信息参考答案：A48.以下哪项是ISMS文件的作用?A、是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客观证据--为满足相关方要求,以及持续改进提供依据D、以上所有参考答案：D49.以下哪项不是记录控制的要求？A、清晰、易于识别和检索B、记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施C、建立并保持，以提供证据D、记录应尽可能的到达最详细参考答案：D50.以下哪个是恶意代码采用的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是参考答案：D51.以下哪个不属于信息安全的三要素之一？（）A、机密性B、完整性C、抗抵赖性D、可用性参考答案：C52.以下划Kerberos协议过程说法正确的是:A、协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务B、协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C、协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据:三是获得服务许可票据D、协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据:三是获得服务参考答案：D53.以下关于灾难恢复和数据备份的理解，说法正确的是：A、增量备份是备份从上次完全备份后更新的全部数据文件B、依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7个等级C、数据备份按数据类型划分可以划分为系统数据备份和用户数据备份D、如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了参考答案：C54.以下关于项目的含义，理解错误的是：A、项目是为达到特定的目的，使用一定资源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人、财、物等。D、项目目标要遵守SMART原则，即项目的目标要求具体（Specific）、可测量（Measurable）、需相关方的一致同意（Agreeto）、现实（Realistic）、有一定的时限（Time-oriented）参考答案：B55.以下关于威胁建模流程步骤说法不正确的是A、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险C、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁。D、识别威胁是发现组件或进程存在的威胁，它可能是恶意的，威胁就是漏洞。参考答案：D56.以下关于网络安全设备说法正确的是（）。A、入侵检测系统的主要作用是发现并报告系统中未授权或违反安全策略的行为B、安全隔离与信息交换系统也称为网闸,需要信息交换时,同一时间可以和两个不同安全级别的网络连接C、虚拟专用网是在公共网络中,利用隧道技术,建立一个永久、安全的通信网络D、防火墙既能实现内外网物理隔离,又能实现内外网逻辑隔离参考答案：A57.以下关于数字签名说法正确的是A、数字签名是在所有传输的数据后附加上一段和传输数据毫无关系的数字信息B、数字签名能解决数据的加密传输，即安全传输问题C、数字签名一般采用对称加密机制D、数字签名能解决算改，伪造等安全性问题参考答案：D58.以下关于软件安全测试说法正确的是（）A、软件安全测试就是黑盒测试B、FUZZ测试是经常采用的安全测试方法之一C、软件安全测试关注的是软件的功能D、软件安全测试可以发现软件中产生的所有安全问题参考答案：B59.以下关于开展软件安全开发必要性描述错误的是？（）A、软件应用越来越广泛B、软件应用场景越来越不安全C、软件安全问题普遍存在D、以上都不是参考答案：D60.以下关于检查评估和自评估说法错误的是（）.A、信息安全风险评估分自评估、检查评估两形式.应以检查评估为主,自评估和检查评估相互结合、互为补充B、自评估只能由组织自身发起并实施,对信息系统及其管理进行风险评估活动C、检查评估可以依据相关标准的要求,实施完整的风险评估,也可以在自评估实施的基础上,对关键环节或重点内容实施抽样评估D、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程参考答案：A61.以下关于国内信息化发展的描述，错误的是（）。A、从20世纪90年代开始，我国把信息化提到了国家战略高度。B、成为联合国卫星导航委员会认可的四大卫星导航系统之一的北斗卫星导航系统是由我国自主研制的。C、我国农村宽带人口普及率与城市的差距在最近三年来持续拉大。D、经过多年的发展，截至2013年底，我国在全球整体的信息与计算技术发展排名中已处于世界领先水平。参考答案：D62.以下关于对称密钥加密说法正确的是：（）。A、加密方和解密方可以使用不同的算法B、加密密钥和解密密钥可以是不同的C、加密密钥和解密密钥必须是相同的D、密钥的管理非常简单参考答案：C63.以下关于安全控制措施的选择，哪一个选项是错误的?A、维护成本需要被考虑在总体控制成本之内B、最好的控制措施应被不计成本的实施C、应考虑控制措施的成本效益D、在计算整体控制成本的时候，应考虑多方面的因素参考答案：B64.以下关于VPN说法正确的是（）A、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路B、VPN不能做到信息认证和身份认证C、VPN指的是用户通过公用网络建立的临时的、安全的连接D、VPN只能提供身份不能提供加密数据的功能参考答案：C65.以下关于ISMS内部审核报告的描述不正确的选项是？A、内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B、内审报告中必须包含对不符合性项的改良建议C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。D、内审报告中必须包括对纠正预防措施实施情况的跟踪参考答案：D66.以下工作哪个不是计算机取证准备阶段的工作A、获得授权B、准备工具C、介质准备D、保护数据参考答案：D67.以下对Windows账号的描述,正确的是:A、Windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B、Windows系统是采用用户名来标识用户对文件或文件夹的权限C、Windows系统默认会生成administrator和guest两个账号,两个账号都不允许改名和删除D、Windows系统默认生成administrator和guest两个账号,两个账号都可以改名和删除参考答案：A68.以下代码容易触发什么漏洞（）＜?php$$username=$$_GET["name"];Echo"欢迎您,".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代码注入参考答案：A69.以下场景描述了基于角色的访问控制模型（Role-basedAccessControl.RBAC、：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限（不同类别和级别的）分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：A、当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B、业务系统中的岗位、职位或者分工，可对应RBAC模型中的角色C、通过角色，可实现对信息资源访问的控制D、RBAC模型不能实现多级安全中的访问控制参考答案：D70.一组将输入转化为输出的相互关联或相互作用的什么叫做过程?A、数据B、信息流C、活动D、模块参考答案：C71.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是（）。A、对经过身份鉴别后的合法用户提供所有服务B、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理C、拒绝非法用户的非授权访问请求D、防止对信息的非授权篡改和滥用参考答案：A72.一般网络设备上的SNMP默认可读团体字符串是：A、PUBLICB、CISCOC、DEFAULTD、PRIVATE参考答案：A73.要在Cisco路由器上设定“showlogging”只能在特权模式下执行，以下的操作正确的是：（）A、Router（config）#loggingtrapinformationB、Router（config）#set‘showlogging’execC、Router（config）#showloggingD、Router（config）#privilegeexeclevel15showlogging参考答案：D74.信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；而对于信息本身而言，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的载体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。A、基础；依据;载体;环境;永久性;风险管理B、基础;依据;载体;环境;风险管理;永久性C、载体;环境;风险管理;永久性;基础;依据D、载体;环境;基础;依据;风险管理;永久性参考答案：D75.信息风险主要指那些？（）A、信息存储安全B、信息传输安全C、信息访问安全D、以上都正确参考答案：D76.信息安全应急响应计划总则中，不包括以下哪个A、编制目的B、编制依据C、工作原则D、角色职责参考答案：D77.信息安全应急响应计划的制定是一个周而复始、持续改进的过程，以下哪个阶段不在其中？A、应急响应需求分析和应急响应策略的确定;B、编制应急响应计划文档；C、应急响应计划的测试、部训、演练和维护D、应急响应计划的废弃与存档参考答案：D78.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是（）A、各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评参考答案：C79.信息安全审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求，这个工作一般由谁完成？A、机构内部人员B、外部专业机构C、独立第三方机构D、以上皆可参考答案：D80.信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A、ISMS是一个遵循PDCA模式的动态发展的体系B、ISMS是一个文件化、系统化的体系C、ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D、ISMS应该是一步到位的，应该解决所有的信息安全问题参考答案：D81.信息安全风险值应该是以下哪些因素的函数?（）A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度参考答案：A82.信息安全风险评估是信息安全管理体系建立的基础，以下说法中错误的是？A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是安全风险评估；B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估；C、风险评估可以确定需要实施的具体安全控制措施；D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。参考答案：C83.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形势提出了有关工作原则和要求。下面选项中描述正确的是？A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充C、自评估和检查评估时相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用D、自评估和检查评估是相互排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果参考答案：A84.信息安全风险管理是基于（）的信息安全管理,也就是,始终以（）为主线进行信息安全的管理。应根据实际（）的不同来理解信息安全风险管理的侧重点,即（）选择的范围和对象重点应有所不同。A、风险;风险;信息系统:风险管理B、风险;风险;风险管理;信息系统C、风险管理;信息系统;风险;风险D、风险管理;风险;风险;信息系统参考答案：A85.信息安全风险管理的对象不包括如下哪项A、信息自身B、信息载体C、信息网络D、信息环境参考答案：C86.校园网内由于病毒攻击、非法入侵等原因，200台以内的用户主机不能正常工作，属于以下哪种级别事件A、特别重大事件B、重大事件C、较大事件D、一般事件参考答案：D87.小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、访问控制列表（ACL）参考答案：D88.小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估:2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估:3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估:4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:A、第一个观点B、第二个观点C、第三个观点D、第四个观点参考答案：D89.小王在学习定量风险评估⽅法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数（ExposureFactor,EF）是25%，年度发生率（AnnualizedRateofOccurrence，ARO）为0.2，那么小王计算的年度预期损失（AnnualizedLossExpectancy，ALE）应该是A、400万元人民币B、20万元人民币C、100万元人民币D、180万元人民币参考答案：B90.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是（）。A、放弃风险B、规避风险C、降低风险D、转移风险参考答案：B91.小李在学习信息安全管理体系的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他存在一个空白处未填写,请帮他选择一个最合适的选项（）保持和改进ISMS→规划和建立ISMS→（）→监视和评审ISMS→监控和反馈ISMSA、实施和执行ISMSB、执行和检查ISMSC、沟通和咨询ISMS参考答案：B92.小李在上网时不小心点开了假冒某银行的钓鱼网站，误输入了银行账号与密码损失上千元，他的操作如右图所示，他所受到的攻击是（）A、ARP欺骗B、DNS欺骗C、IP欺骗D、TCP会话参考答案：B93.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项：A、风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析B、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性C、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化参考答案：B94.小李去参加单位组织的信息安全管理体系（InformationSecurityManagementSystem.ISMS）的理解画了一下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。A、监控和反馈ISMSB、批准和监督ISMSC、监视和评审ISMSD、沟通和咨询ISMS参考答案：C95.小李既属于“一般用户”组，又属于“高级用户”组，现要访问“工作文档”目录，已知“一般用户”组对于此文件夹的操作权限是“只读”，“高级用户”组对此文件夹的操作权限是“可写”，那么小李现在可对“工作文档”目录进行什么操作？A、仅可读B、仅可写C、既可读又可写D、权限冲突，无法做任何操作参考答案：C96.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO（恢复点目标）指标为3小时.请问这意味着:.A、若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据B、若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统运行3小时后能恢复全部数据C、该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行D、该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作参考答案：A97.小陈某电器城购买了一台冰箱，并留下了个人姓名、电话和电子邮件地址等信息，第二天他收了一封邮件他中奖的邮件，查看该邮件后他按照提示操作缴纳中奖税款后并没有得到中奖金，再成才得知电器城共没有中奖的活动、在此案例中，下面描述量误的是（）A、小陈应当注意保护自已的隐私，没有必要告诉别人的信息不要登记和公和给别人B、小陈钱被偷走了，这类网络犯罪哪案件也应该向公安局报案C、邮件服务运营高商通过技术手段，可以在一定程度上阻止此类的钓鱼邮件和明哄骗邮件D、小陈应当向电器城索，追回损失参考答案：D98.下系统工程说法错误的是：A、系统工程是基本理论的技术实现B、系统工程是一种对所有系统都具有普遍意义的科学方法C、系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法D、系统工程是一种方法论参考答案：A99.下述选项中对于“风险管理”的描述正确的是：A、安全必须是完美无缺、面面俱到的。B、最完备的信息安全策略就是最优的风险管理对策。C、在解决、预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍D、防范不足就会造成损失；防范过多就可以避免损失。参考答案：C100.下面有关能力成熟度模型的说法错误的是：A、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类B、使用过程能力方案时，可以灵活选择评估和改进哪个或那些过程域C、使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D、SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型参考答案：D101.下面哪一种物理访问控制能够对非授权访问提供最高级别的安全？A、bolting门锁B、Cipher密码锁C、电子门锁D、指纹扫描器参考答案：D102.下面哪一项不是风险评估的过程？A、风险因素识别B、风险程度分析C、风险控制选择D、风险等级评价参考答案：C103.下面哪一项不是安全编程的原则：A、尽可能使用高级语言进行编程B、尽可能让程序只实现需要的功能C、不要信任用户输入的数据D、尽可能考虑到意外的情况，并设计妥善的处理方法参考答案：A104.下面哪一项不是ISMSPlan阶段的工作？A、定义ISMS方针B、实施信息安全风险评估C、实施信息安全培训D、定义ISMS范围参考答案：C105.下面哪一个是定义深度防御安全原则的例子？A、使用由两个不同提供商提供的防火墙检查进入网络的流量B、在主机上使用防火墙和逻辑访问控制来控制进入网络的流量C、在数据中心建设中不使用明显标志D、使用两个防火墙检查不同类型进入网络的流量参考答案：A106.下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容：A、改进组织能力B、定义标准过程C、协调安全实施D、执行已定义的过程参考答案：A107.下面哪个组合不是是信息资产A、硬件、软件、文档资料B、关键人员C、组织提供的信息服务D、桌子、椅子参考答案：D108.下面哪个是管理业务连续性计划中最重要的方面?A、备份站点安全以及距离主站点的距离。B、定期测试恢复计划C、完全测试过的备份硬件在备份站点可有D、多个网络服务的网络连接是可用参考答案：B109.下面关于信息系统安全保障模型的说法不正确的是:A、国家标准《信息系统安全保障评估框架第一部分:简介和一般模型）（GB/T20274.1-2006）中的信息系统安全保障模型将风险和策略作为基础和核心B、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D、信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入参考答案：D110.下面对自由访问控制（DAC）描述正确的是A、比较强制访问控制而言不太灵活B、基于安全标签C、关注信息流D、在商业环境中广泛使用参考答案：D111.下面对信息安全漏洞的理解中，错误的是A、讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使⽤等阶段中均有可能产生漏洞B、信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造的C、信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很多的经济损失D、由于人类思维谁能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生信息安全漏洞是不可避免的参考答案：B112.下面对“零日（zero-day）漏洞”的理解中，正确的是（）A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指一个特定的漏洞，特指在2010年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施C、指一类漏洞，即特别好被被利用，一旦成功利用该漏洞，可以在1天内完成攻击，且成功达到攻击目标D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞。一般来说，那些已经被小部分人发现，但是还未公布、还不存在安全补丁的漏洞都是零日漏洞参考答案：D113.下列哪一些对信息安全漏洞的描述是错误的？A、漏洞是存在于信息系统的某种缺陷。B、漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等）。C、具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。D、漏洞都是人为故意引入的一种信息系统的弱点参考答案：D114.下列哪一项不属于Fuzz测试的特性？A、主要针对软件漏洞或可靠性错误进行测试B、采用大量测试用例进行激励、响应测试C、一种试探性测试方法，没有任何理论依据D、利用构造畸形的输入数据引发被测试目标产生异常参考答案：C115.下列哪个是能执行系统命令的存储过程A、Xp_subdirsB、Xp_makecabC、Xp_cmdshellD、Xp_regread参考答案：C116.下列关于计算机病毒感染能力的说法不正确的是：A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入文本文件中并执行D、能将自身代码注入到文档或模板的宏中代码参考答案：C117.下列对于信息安全保障深度防御模型的说法错误的是：A、信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B、信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C、信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D、信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。参考答案：D118.下列安全控制措施的分类中,哪个分类是正确的（P-预防性的,D-检测性的以及,C-纠正性的控制）:网络防火墙;RAID级别3;银行账单的监督复审;分配计算机用户标识;交易日志;A、P,P,C,D,andC;B、D,C,C,D,andD;C、P,C,D,P,andDD、P,D,P,P,andC;参考答案：C119.物理安全是一个非常关键的领域包括环境安全、设施安全与传输安全。其中，信息系统的设施作为直存储、处理数据的载体，其安全性对信息系统至关重要。下列选项中，对设施安全的保障的描述正确的是（）。A、安全区域不仅包含物理区域，还包含信息系统等软件区域B、建立安全区域需要建立安全屏蔽及访问控制机制C、由于传统门锁容易被破解，因此禁止采用门锁的方式进行边界防护D、闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备，后端设备包括中央控制设备、监视器等参考答案：B120.我国正式公布了电子签名法，数字签名机制用于实现（）需求。A、抗否认B、保密性C、完整性D、可用性参考答案：A121.我国标准《信息安全风险管理指南》（CB/Z24364）给出了信息安全风险管理的内容和过程。可以用下图来表示，图中空白处应该填写（）A、风险计算B、风险评估C、风险预测D、风险处理参考答案：D122.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立参考答案：B123.违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的，处（）日以下拘留。A、5B、15C、20D、30参考答案：A124.为了预防逻辑炸弹，项目经理采取的最有效的措施应该是A、对每日提交的新代码进行人工审计B、代码安全扫描C、安全意识教育D、安全编码培训教育参考答案：A125.为了预防计算机病毒，应采取的正确措施是（）。A、每天都对计算机硬盘和软件进行格式化B、不用盗版软件和来历不明的软盘C、不同任何人交流D、不玩任何计算机游戏参考答案：B126.为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？A、人际关系技能B、项目管理技能C、技术技能D、沟通技能参考答案：D127.为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制参考答案：D128.为了解风险和控制风险，应当及时进行风险评估活动，我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、自评估应参照相应标准、依据制定的评估方案和评估准则，结合系统特定的安全要求实施C、自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施D、周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行参考答案：C129.为了不断完善一个组织的信息安全管理，应对组织的信息安全管理方法及实施情况进行独立评审，这种独立评审。A、必须按固定的时间间隔来进行B、应当由信息系统的运行维护人员发起C、可以由内部审核部门或专业的第三方机构来实施D、结束后，评审者应组织针对不符合安全策略的问题设计和实施纠正措施参考答案：C130.为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是（）。A、由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据B、为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试C、渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况D、渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤参考答案：B131.为了保障网络安全,维护网络安全空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,2015年6月,第十二届全国人大常委会第十五次会议初次审议了一部法律草案,并与7月6日起在网上全文公布,向社会公开征求意见,这部法律草案是（）A、《中华人民共和国保守国家秘密法（草案）》B、《中华人民共和国网络安全法（草案）》C、《中华人民共和国国家安全法（草案）》D、《中华人民共和国互联网安全法（草案）》参考答案：B132.为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并将编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）A、信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写B、信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据C、信息安全需求描述报告应当基于信息安全风险评估结果和有关政策法规和标准的合规性要求得到D、信息安全需求描述报告的主题内容可以按照技术，管理和工程等方面需求展开编写参考答案：A133.微软提出了stride模型，其中R是（Repudiation抵赖）的缩写，关于此项安全要素，下面说法错误的是？A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁为R威胁B、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”，软件系统中的这种威胁为R威胁C、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术措施来解决D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决参考答案：D134.网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应针对可能发生的重大网络与信息系统突发事件,预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合与协调,下面应急响应工作流程图中,空白方框中从右到左依次填入的是（）A、应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组B、应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组C、应急响应技术保障小组、应急响应专家小组、应急响应实施小组。应急响应日常运行小组D、应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响应实施小组参考答案：A135.王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他依据已有的资产列表，逐个分析可能危害这些资产的主体，动机，途径等多种因素，分析这些因素出现及造成损失的可能性大小，并为其赋值。请问，他这个工作属于下面哪一个阶段的工作（）A、资产识别并赋值B、脆弱性识别并赋值C、威胁识别并赋值D、确认已有的安全措施并赋值参考答案：C136.私有IP地址是一段保留的IP地址，只使用在局域网中，无法在Internet上使用。关于私有地址下面描述正确的是？A、A类和B类地址中没有私有地址，C类地址中可以设置私有地址B、A类地址中没有私有地址，B类和C类地址中可以设置私有地址C、A类、B类和C类地址中都可以设置私有地址D、A类、B类和C类地址中都没有私有地址参考答案：C137.数字签名要预先使用单向Hash函数进行处理的原因是（）。A、多一道加密工序使密文更难破译B、提高密文的计算速度C、缩小签名密文的长度，加快数字签名和验证签名的运算速度D、保证密文能正确还原成明文参考答案：C138.数位物件识别号（Digital0bjectIdentifier,简称DOI）是一套识别数位资源的机制，涵括的对象有视频、报告或书籍等等。它既有一套为资源命名的机制，也有一套将识别号解析为具体位址的协定。DOI码由前缀和后缀两部分组成，之间用“/”分开，并且前级以“.”再分为两部分。以下是一个典型的DOI识别号，10.1006/jmbi.1998.2354，下列选项错误的是（）A、“10.1006”是前级，由国际数位物件识别号基金会确定B、“10”为DOI目前唯的特定代码，用以将DOI与其他采用同样技术的系统区分开C、“1006是注册代理机构的代码，或出版社代码，用于区分不同的注册机构D、后缀部分为:jmbi.1998.2354，由资源发行者自行指定，用于区分一个单独的数字资料，不具有唯一性参考答案：D139.数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层参考答案：B140.数据库是一个单位或是一个应用领城的通用数据处理系统，它存储的是属于企业和事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发建立的，按一定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系，从而可提供一切必要的存取路径，且数据不再针对某一应用，而是面向全组织，具有整体的结构化特征。数据库作为应用系统数据存储的系统，毫无疑间会成为信息安全的重点防护对象。数据库安全涉及到数据资产的安全存储和安全访问，对数据库安全要求不包括下列（）A、向所有用户提供可靠的信息服务B、拒绝执行不正确的数据操作C、拒绝非法用户对数据库的访问D、能跟踪记录，以便为合规性检查、安全责任审查等提供证据和迹象等参考答案：A141.授权访问信息资产的责任人应该是A、资产保管员B、安全管理员C、资产所有人D、安全主管参考答案：C142.实现源的不可否认业务中，第三方既看不到原数据，又节省了通信资源的是（）A、源的数字签字B、可信赖第三方的数字签字C、可信赖第三方对消息的杂凑值进行签字D、可信赖第三方的持证参考答案：C143.实施灾难恢复计划之后,组织的灾难前和灾难后运营成本将:A、降低B、不变（保持相同）C、提高D、提高或降低（取决于业务的性质）参考答案：C144.实施信息系统访问控制首先需要进行如下哪一项工作？A、信息系统资产分类B、信息系统资产标识C、创建访问控制列表D、梳理信息系统相关信息资产参考答案：D145.实施ISMS内审时，确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求，以下哪个不是？A、约定的标准及相关法律的要求B、已识别的安全需求C、控制措施有效实施和维护D、ISO13335风险评估方法参考答案：D146.社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工程学利用的是人性的“弱点”，而人性是（）,这使得它几乎是永远有效的（）A、网络安全；心理学；攻击方式；永恒存在的；攻击方式B、网络安全；攻击方式；心理学；永恒存在的；攻击方式C、网络安全；心理学；永恒存在的；攻击方式D、网络安全；攻击方式；心理学；攻击方式；永恒存在的参考答案：A147.若一个组织声称自己的ISMS符合ISO/IEC27001或GR/T22080标难要求，其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标（）A、符合法律要求B、符合安全策略和标准以及技术符合性C、信息系统审核考虑D、访问控制的业务要求、用户访问管理参考答案：D148.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项A、物理安全边界、物理入口控制B、办公室、房间和设施的安全保护。外部和环境威胁的安全防护C、在安全区域工作。公共访问、交接区安全D、人力资源安全参考答案：D149.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项？A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物力和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与建立ISMS参考答案：D150.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包括对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）A、资产清单B、资产负责人C、资产的可接受使用D、分类指南、信息的标记和处理参考答案：D151.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接受者，这种情况属于哪一种攻击？A、重放攻击B、Smurt攻击C、字典攻击D、中间人攻击参考答案：D152.容灾的目的和实质是（）。A、A数据备份B、B心理安慰C、C保持信息系统的业务持续性D、D系统的有益补充参考答案：C153.人员入职过程中，以下做法不正确的是？A、入职中签署劳动合同及保密协议。B、分配工作需要的最低权限。C、允许访问企业所有的信息资产。D、进行安全意思培训。参考答案：C154.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是（）A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”参考答案：B155.评估IT风险被很好的到达，可以通过：A、评估IT资产和IT项目总共的威胁B、用公司的以前的真的损失经验来决定现在的弱点和威胁C、审查可比较的组织出版的损失数据D、一句审计拔高审查IT控制弱点参考答案：A156.你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）A、由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有的服务器和客户端尽快安装补丁B、本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所以可以先不做处理C、对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署D、对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算机由于没有重要数据，由终端自行升级参考答案：C157.内部审核的最主要目的是A、检查信息安全控制措施的执行情况B、检查系统安全漏洞C、检查信息安全管理体系的有效性D、检查人员安全意识参考答案：A158.目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是（）。A、磁盘B、磁带C、光盘D、软盘参考答案：B159.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评。关于信息安全产品测评的意义，下列说法中不正确的是:A、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D、打破市场垄断，为信息安全产业发展创造一个良好的竞争环境参考答案：D160.某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用Http下载代替FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的（）A、程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求B、程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能C、程序员在软件编码时,缺乏足够的经验,编写了不安全的代码D、程序员在进行软件测试时,没有针对软件安全需求进行安全测试参考答案：B161.某系统的/.rhosts文件中，存在一行的内容为“++”，并且开放了rlogin服务，则有可能意味着：A、任意主机上，只有root用户可以不提供口令就能登录该系统B、任意主机上，任意用户都可以不提供口令就能登录该系统C、只有本网段的任意用户可以不提供口令就能登录该系统D、任意主机上，任意用户，都可以登录，但是需要提供用户名和口令参考答案：B162.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身份登录进行系统进行了相应的破坏,验证此事应查看.（）A、系统日志B、应用程序日志C、安全日志D、IIS日志参考答案：C163.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题参考答案：D164.某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?A、由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析B、为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险C、日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志D、只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间参考答案：D165.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则参考答案：C166.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户帐户安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则:A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则参考答案：C167.某公司已有漏洞扫描和入侵检测系统（IntrusienDetectionSystem，IDS）产品，需要购买防火墙，以下做法应当优先考虑的是A、选购当前技术最先进的防火墙即可B、选购任意一款品牌防火墙C、任意选购一款价格合适的防火墙产品D、选购一款同已有安全产品联动的防火墙参考答案：D168.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:A、项目计划书B、质量控制计划C、评审报告D、需求说明书参考答案：D169.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？A、网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息参考答案：D170.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求。随后，李强发现有向系统登录异常。请问以下说法哪个是正确的（）A、小张服务态度不好，如果把李强的邮件收下来亲自教给李强就不会发生这个问题B、事件属于服务器故障，是偶然事件，影响单位领导申请购买新的服务器C、单位缺乏良好的密码修改操作流程或者小张没按操作流程工作D、事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件参考答案：C171.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（）A、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测C、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点参考答案：B172.某IT公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO,请你指出存在问题的是哪个总结?A、公司自身拥有优秀的技术人员，系统也是自己开发的，无需进行应急演练工作，因此今年的仅制定了应急演练相关流程及文档，为了不影响业务，应急演练工作不举行B、公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急顾案五个阶段，流程完善可用C、公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类，基本覆盖了各类应急事件类型D、公司应急预案对事件分类依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》，分为7个基本类别，预案符合国家相关标准参考答案：A173.密码是一种用来混淆的技术，使用者希望正常的（可识别的）信息转变为无法识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的，小刚是某公司新进的员工，公司要求他注册一个公司网站的账号，小刚使用一个安全一点的密码，请问以下选项中哪个密码是最安全（）A、使用和与用户名相同的口令B、选择可以在任何字典或语言中找到的口令C、选择任何和个人信息有关的口令D、采取数字，字母和特殊符号混合并且易于记忆参考答案：D174.美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology,NIST）隶属美国商务部，NIST发布的很多关于计算机安全的指南文档。下面哪个文档是由NIST发布的？A、ISO27001《Informationtechnology-Securitytechniques-Informtionsecuritymanagementsystems-Requirements》B、X.509《InformationTechno