【必做】CISP注册信息安全专业人员历年考试真题库及答案

【必做】CISP注册信息安全专业人员历年考试真题库及答案1.作为信息安全治理的成果，战略方针提供了：A、企业所需的安全要求B、遵从最佳实务的安全基准C、日常化制度化的解决方案D、风险暴露的理解参考答案：A2.组织与供给商协商服务水平协议，下面哪一个最先发生？A、制定可行性研究.B、检查是否符合公司策略.C、草拟服务水平协议.D、草拟服务水平要求参考答案：B3.组织应定期监控、审查、审计（）服务，确保协议中的信息安全条款和条件被遵守，信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或（）团队。另外，组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是（）要求的实现。当发现服务交付的不足时，宜采取（）.当供应商提供的服务，包括对（）方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。A、供应商;服务管理;信息安全;合适的措施;信息安全B、服务管理;供应商;信息安全;合适的措施;信息安全C、供应商;信息安全;服务管理;合适的措施;信息安全D、供应商;合适的措施;服务管理;信息安全;信息安全参考答案：A4.组织已经完成了年度风险评估，关于业务持续计划组织应执行下面哪项工作？A、回忆并评价业务持续计划是否恰当B、对业务持续计划进行完整的演练C、对职员进行商业持续计划的培训D、将商业持续计划通报关键联络人参考答案：A5.组织的安全策略可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全策略？A、应急计划B、远程方法C、电脑安全程序D、电子邮件个人隐私参考答案：C6.自主访问控制与强制访问控制相比具有以下哪一个优点？A、具有较高的安全性B、控制粒度较大C、配置效率不高D、具有较强的灵活性参考答案：D7.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）。A、ACL在删除用户时，去除该用户所有的访问权限比较方便B、ACL对于统计某个主体能访问哪些客体比较方便C、ACL在增加客体时，增加相关的访问控制权限较为简单D、ACL是Bell-LaPadula模型的一种具体实现参考答案：C8.自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报A、全国通信标准化技术委员会（TC485）B、全国信息安全标准化技术委员会（TC260）C、中国通信标准化协会（CCSA）D、网络与信息安全技术工作委员会参考答案：B9.注册或者浏览社交类网站时，不恰当的做法是：（）A、尽量不要填写过于详细的个人资料B、不要轻易加社交网站好友C、充分利用社交网站的安全机制D、信任他人转载的信息参考答案：D10.职责别离的主要目的是？A、防止一个人从头到尾整个控制某一交易或者活动B、不同部门的雇员不可以在一起工作C、对于所有的资源都必须有保护措施D、对于所有的设备都必须有操作控制措施参考答案：A11.针对软件的拒绝服务攻击时通过消耗系统资源是软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式？A、攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100%B、攻击者利用软件脚本使用多重账套查询在数据量大时会导致查询效率低，通过发送大量的查询导致数据库相应缓慢C、攻击者利用软件不自动释放连接的问题，通过发送大量连接的消耗软件并发生连接数，导致并发连接数耗尽而无法访问D、攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问参考答案：D12.早期IIS存在Unicode编码漏洞，可以使用形如Http：//8/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir的方式远程通过IIS执行系统命令，以下哪种方式可以解决此问题（）A、防火墙B、入侵检测系统C、安装IIS安全补丁D、垃圾邮件过滤系统参考答案：C13.在以下标准中，属于推荐性国家标准的是（）A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X参考答案：A14.在一个中断和灾难事件中，以下哪一项提供了持续运营的技术手段？A、负载平衡B、硬件冗余C、分布式备份D、高可用性处理参考答案：B15.在信息安全管理体系的实施过程中，管理者的作用对于信息安全管理体系能否成功实施非常重要，但是以下选项中不属于管理者应有职责的是（）。A、制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求B、确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量、计划应具体、可实施C、向组织传达满足信息安全的重要收，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性D、建立健全信息安全制度，明确信息安全风险管理作用，实施信息安全风险评估过程，确保信息安全风险评估技术选择合理、计算正确参考答案：D16.在信息安全管理日常工作中，需要与哪些机构保持联系？A、政府部门B、监管部门C、外部专家D、以上都是参考答案：D17.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的（）。A、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描述报告D、背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告参考答案：B18.在信息安全管理的实施过程中，管理者的作用于信息安全管理体系能否成功实施非常重要，但是一下选项中不属于管理者应有职责的是（）A、制定并颁发信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求B、确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量，计划应具体、可事实C、向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性D、建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评估过程、确保信息安全风险评估技术选择合理、计算正确参考答案：D19.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是（）A、所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的B、使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C、动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令D、通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型参考答案：C20.在网络安全体系构成要素中“响应”指的是（）。A、环境响应和技术响应B、一般响应和应急响应C、系统响应和网络响应D、硬件响应和软件响应参考答案：B21.在提供给一个外部代理商访问信息处理设施前，一个组织应该怎么做?A、外部代理商的处理应该接受一个来自独立代理进行的IS审计。B、外部代理商的员工必须接受该组织的安全程序的培训。C、来自外部代理商的任何访问必须限制在停火区（DMZ）D、该组织应该进行风险评估，并制定和实施适当的控制。参考答案：D22.在数字信封中，综合使用对称加密算法和公钥加密算法的主要原因是：A、混合使用两种加密方法可以增加破译者的难度，使其更加难以破译原文，从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用，可以提高加密的质量，这是我国密码政策所规定的要求D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息，即抗接受方抵赖参考答案：B23.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是（）A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关D、资产的价值无法估计参考答案：C24.在设计信息系统安全保障方案时，以下哪个做法是错误的：A、要充分切合信息安全需求并且实际可行B、要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本C、要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求D、要充分考虑用户管理和文化的可接受性，减少系统方案实施障碍参考答案：C25.在某信息系统的设计中，用户登录过程是这样的：（1）用户通过HTTP协议访问信息系统；（2）用户在登录页面输入用户名和口令；（3）信息系统在服务器端检查用户名和密码的正确性，如果正确，则鉴别完成。可以看出，这个鉴别过程属于（）。A、双向鉴别B、三向鉴别C、第三方鉴别D、单向鉴别参考答案：D26.在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领导对个体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的是自主访问控制机制的访问许可模式是（）。A、自由型B、有主型C、树状型D、等级性参考答案：D27.在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容：A、审核实施投资计划B、审核实施进度计划C、审核工程实施人员D、企业资质参考答案：A28.在某个公司中，以下哪个角色最适合评估信息安全的有效性?A、公司的专家B、业务经理C、IT审计员D、信息安全经理参考答案：C29.在进行应用系统的测试时，应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：A、测试系统应使用不低于生产系统的访问控制措施B、为测试系统中的数据部署完善的备份与恢复措施C、在测试完成后立即清除测试系统中的所有敏感数据D、部署审计措施，记录生产数据的拷贝和使用参考答案：B30.在进行业务连续性检测时，以下哪一个是被认为最重要的审查？A、热站的建立和有效是必要B、业务连续性手册是有效的和最新的C、保险责任范围是适当的并且保费有效D、及时进行介质备份和异地存储参考答案：D31.在进行风险分析的时候，发现预测可能造成的风险的经济损失时有一定困难。为了评估潜在的损失，应该：A、计算相关信息资产的摊销费用B、计算投资的回报C、应用定性的方法进行评估D、花费必要的时间去评估具体的损失的金额参考答案：C32.在极限测试过程中，贯穿始终的是（）A、单元测试和集成测试B、单元测试和系统测试C、集成测试和验收测试D、集成测试和系统测试参考答案：C33.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》中，信息系统安全保障模型包含哪几个方面?（）A、保障要素、生命周期和运行维护B、保障要素、生命周期和安全特征C、规划组织、生命周期和安全特征D、规划组织、生命周期和运行维护参考答案：B34.在国家标准《信息系统安全保障评估框架第部分：简介和一般模型》（GB/T20274.1-2006）中描述了信息系统安全保障模型，下面对这个模型理解错误的是（）A、该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的B、该模型是一个强调持续发的动态安全模型即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程C、该模型强调综合保障的观念，即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标D、模型将风险和策略作为信息系统安全保障的基础和核心，基干IATF模型改进，在其基础上增加了人员要素，强调信息安全的自主性参考答案：D35.在国家标准，CB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》中，信息系统安全保障模型包含哪几个方面？（）A、保障要素、生命周期和运行维护B、保障要素、生命周期和安全特征C、规划组织、生命周期和安全特征D、规划组织、生命周期和运行维护参考答案：B36.在对安全控制进行分析时，下面哪个描述是不准确的?A、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的;B、应确保选择对业务效率影响最小的安全措施C、选择好实施安全的时机和位置，提高安全控制的有效性;D、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应;参考答案：B37.在Windows系统中，存在默认共享功能，方便了局域网用户使用，但对个人用户来说有安全风险。如果电脑联网，网络上的任何人都可以通过共享使用或修改文件。小刘在装有WindowsXP系统的计算机上进行安全设置时，需要关闭默认共享。下列选项中，不能关闭默认共享的操作是（）A、将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”项中的“Autodisconnect”项键值改为0B、将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”项中的“AutoShareServer”项键值改为0C、将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”项中的“AutoShareWks”项键值改为0D、在命令窗口中输入命令，删除C盘默认共享：netshareC/del参考答案：A38.在Windows系统中，存在默认共享功能，但对个人用户来说存安全风险。如果电脑联网，网络上任何人都可以通过共享使用或修改。小刘在装有WindowsXP系统的计算机上进行安全设置时，需要关闭默认共享。下列选项中，不能关闭默认共享的操作是（）A、将“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\lenmanservorVnaraneters”项中的“Autodisconnect”项键值改为0B、将“HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Services\1nmanserver\paraneters项中的“AutoShareServer”项键值改为0C、将“HKEYLOCALMACHINESYSTEM\CurrentControlSetServices\lenmanserver\paraneters”项中的”AutoShareWks”项键值改为0D、在命令窗口中输入命令，删除C盘默认共享：netshareC/del参考答案：A39.在windowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用户访问日志、安全性日志、系统日志和IE日志B、应用程序日志、安全性日志、系统日志和IE日志C、网络攻击日志、安全性日志、记账日志和IE日志D、网络链接日志、安全性日志、服务日志和IE日志参考答案：B40.在Linux操作系统中，为了授权用户具有管理员的某些个性需求的权限所采取的措施是什么？A、告诉其他用户root密码B、将普通用户加入到管理员组C、使用visudo命令授权用户的个性需求D、创建单独的虚拟账户参考答案：C41.在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A、加密B、数字签名C、访问控制D、路由控制参考答案：B42.在GB/T18336《信息技术安全性评估准则》中，有关保护轮廓（ProtectionProfile，PP）和安全目标（SecurityTarget，ST）错误的是：A、PP是描述一类产品或系统的安全要求B、PP描述的安全要求与具体实现无关C、两份不同的ST不可能满足同一份PP的要求D、ST与具体的实现有关参考答案：C43.有关信息系统的设计、开发、实施、运行和维护过程中的安全问题，以下描述错误的是A、信息系统的开发设计，应该越早考虑系统的安全需求越好B、信息系统的设计、开发、实施、运行和维护过程中的安全问题，不仅仅要考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统C、信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理D、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险参考答案：C44.有关信息安全事件的描述不正确的是A、信息安全事件的处理应该分类、分级B、信息安全事件的数量可以反映企业的信息安全管控水平C、某个时期内企业的信息安全事件的数量为零，这意味着企业面临的信息安全风险很小D、信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯，以吸取教训、总结经验，防止类似事情再次发生参考答案：C45.有关项目管理，错误的理解是：A、项目管理是一门关于项目资金、时间、人力等资源控制的管理科学B、项目管理是运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理，不受项目资源的约束C、项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理D、项目管理是系统工程思想针对具体项目的实践应用参考答案：B46.有关系统工程的特点，以下错误的是A、系统工程研究强调多学科协作，根据研究问题涉及到的学科和专业范围，组成一个知识结构合理的专家体系B、系统工程研究是以系统思想为指导，采取的理论和方法是综合集成各学科、各领域的理论和方法C、系统工程研究问题一般采用先决定整体框架，后进入详细设计的程序D、系统工程的基本特点，是需要把研究对象解构为多个组成部分分别独立研究参考答案：D47.有关系统安全工程-能力成熟度模型（SEE-CMM）中的基本实施（BasePractices，BP），正确的理解是（）A、BP不限定于特定的方法或工具，不同的业务背景中可以使用不同的方法B、BP不是根据广泛的现有资料、实践和专家意见综合得出的C、BP不代表信息安全工程领域的最佳实践D、BP不是过程区域（ProcessAreas，PA）的强制项参考答案：A48.有关国家秘密，错误的是：A、国家秘密是关系国家安全和利益的事项B、国家秘密的确定没有正式的法定程序C、除了明确规定需要长期保密的，其他的园家秘密都是有保密期限的D、国家秘密只限一定范围的人知悉参考答案：B49.有关Kerberos说法以下哪项是正确的？A、它利用公钥加密技术。B、它依靠对称密码技术。C、它是第二方的认证系统。D、票据授予之后将加密数据，但以明文方式交换密码参考答案：B50.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码，并制定公司的安全编码准则D、要求增加软件安全测试环节，尽早发现软件安全问题参考答案：A51.由于发生了一起针对服务器口令暴力破解事件，管理员决定对设置账户锁定策略进行配置，他的策略如下：复位账户锁定计数器5分钟：账户锁定时间10分钟账户锁定策略3次无效登录：以下关于以上策略说法正确的是？A、设置账户锁定策略，无法再进行口令暴力量破解，所有验证密码的用户安全较强B、如果正确用户错误验证3次密码，那么该账户被锁定10分钟，10分钟内输入正确的密码，也无法登录C、如果正常用户连续输入密码猜解3次，那么该账户被锁定5分钟，5分钟内。。。也无法登录D、攻击者进行口令猜解时，只要连续输错3次，该账户就被锁定10分钟，而正常用户登录不受影响参考答案：B52.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：A、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的拥护就会被锁住B、如果正常用户部小心输错了3次密码，那么该账户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统C、如果正常用户不小心连续输入错误密码3次，那么该拥护帐号被锁定5分钟，5分钟内即使交了正确的密码，也无法登录系统D、攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常拥护登陆不受影响参考答案：B53.用于实现身份鉴别的安全机制是（）。A、加密机制和数字签名机制B、加密机制和访问控制机制C、数字签名机制和路由控制机制D、访问控制机制和路由控制机制参考答案：A54.用于查看/var/log/wtmp日志的命令是A、lastB、lastlogC、lastwtmpD、lastmp参考答案：A55.拥有电子资金转帐销售点设备的大型连锁商场，有中央通信处理器连接银行网络，对于通信处理机，下面哪一项是最好的灾难恢复计划。A、每日备份离线存储B、选择在线备份程序C、安装双通讯设备D、在另外的网络节点选择备份程序参考答案：D56.应急响应计划文档不应该A、分发给公司所有人员B、分发给参与应急响应工作的所有人员C、具有多份拷贝在不同的地点保存D、由专人负责保存与分发参考答案：A57.以下有关信息安全方面的业务连续性管理的描述，不正确的是A、信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时，能够及时恢复，保障企业业务持续运营B、企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务C、业务连续性计划文档要随着业务的外部环境的变化，及时修订连续性计划文档D、信息安全方面的业务连续性管理只与IT部门相关，与其他业务部门人员无须参入参考答案：D58.以下有关通信与日常操作描述不正确的选项是A、信息系统的变更应该是受控的B、企业在岗位设计和人职工作分配时应该遵循职责别离的原则C、移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏D、内部安全审计无需遵循独立性、客观性的原则参考答案：D59.以下系统工程说法错误的是A、系统工程是基本理论的技术实现B、系统工程是一种对所有系统都具有普遍意义的科学方法C、系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法D、系统工程是一种方法论参考答案：A60.以下谁具有批准应急响应计划的权利A、应急委员会B、各部门C、管理层D、外部专家参考答案：C61.以下属于哪一种认证实现方式：用户登录时，认证服务器（AuthenticationServer，AS）产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，并发送给AS，AS用同样的方法计算后，验证比较两个口令即可验证用户身份。A、口令序列B、时间同步C、挑战/应答D、静态口令参考答案：C62.以下哪一种备份方式再恢复时间上最快？A、增量备份B、差异备份C、完全备份D、磁盘备份参考答案：B63.以下哪一项是用于CC的评估级别？A、EAL1，EAL2，EAL3，EAL4，EAL5，EAL6，EAL7B、A1，B1，B2，B3，C2，C1，DC、E0，E1，E2，E3，E4，E5，E6D、AD0，AD1，AD2，AD3，AD4，AD5，AD6参考答案：A64.以下哪一项是数据完整性得到保护的例子A、某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B、在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C、某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D、李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看参考答案：B65.以下哪一项是D.OS攻击的一个实例？A、SQL注入B、IPSPOOFC、SMURF攻击D、字典破解参考答案：C66.以下哪一项对安全风险的描述是准确的？A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。参考答案：C67.以下哪一项不在证书数据的组成中?A、版本信息B、有效使用期限C、签名算法D、版权信息参考答案：D68.以下哪一项不在数字证书数据的组成中?（）A、版本信息B、有效使用期限C、签名算法D、版权信息参考答案：D69.以下哪一项不属于信息安全工程监理模型的组成部分：（）A、监理咨询支撑要素B、控制和管理手段C、监理咨询阶段过程D、监理组织安全实施参考答案：D70.以下哪一项不属于Web应用软件表示层测试关注的范畴（）A、排版结构的测试B、数据完整性测试C、客户端兼容性的测试D、链接结构的测试参考答案：B71.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A、提高信息技术产品的国产化率B、保证信息安全资金注入C、加快信息安全人才培养D、重视信息安全应急处理工作参考答案：A72.以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容。A、出入的原因B、出入的时间C、出入口的位置D、是否成功进入参考答案：A73.以下哪一项不是工作在网络第二层的隧道协议：A、VTPB、L2FC、PPTPD、L2TP参考答案：A74.以下哪一项不是IIS服务器支持的访问控制过滤类型？A、网络地址访问控制B、WEB服务器许可C、NTFS许可D、异常行为过滤参考答案：D75.以下哪一个不是安全审计需要具备的功能？A、记录关键事件B、提供可集中处理审计日志的数据形式C、实时安全报警D、审计日志访问控制参考答案：D76.以下哪一个不是OSI安全体系结构中的安全机制A、数字签名B、路由控制C、数据交换D、抗抵赖参考答案：D77.以下哪些不属于脆弱性范畴？A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯参考答案：A78.以下哪些不是《国家网络空间安全战略》中阐述的我国网络空间当前任务？A、捍卫网络空间主权B、保护关键信息基础设施C、提升网络空间防护能力D、阻断与国外网络连接参考答案：D79.以下哪项是ISMS文件的作用?A、是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。B、是控制措施（Controls）的重要部分C、提供客观证据--为满足相关方要求，以及持续改进提供依据D、以上所有参考答案：D80.以下哪项不属于造成信息安全问题的自然环境因素？A、纵火。B、地震。C、极端天气。D、洪水。参考答案：A81.以下哪项不属于信息安全管理的工作内容A、信息安全培训B、信息安全考核C、信息安全规划D、安全漏洞扫描参考答案：D82.以下哪项不是应急响应准备阶段应该做的A、确定重要资产和风险，实施针对风险的防护措施B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、评估时间的影响范围，增强审计功能、备份完整系统参考答案：D83.以下哪个问题不是导致DNS欺骗的原因之一？A、DNS是一个分布式的系统B、为提高效率，DNS查询信息在系统中会缓存C、DNS协议传输没有经过加密的数据D、DNS协议是缺乏严格的认证参考答案：C84.以下哪个不可以作为ISMS管理评审的输入A、ISMS审计和评审的结果B、来自利益伙伴的反馈C、某个信息安全项目的技术方案D、预防和纠正措施的状态参考答案：C85.以下关于信息系统安全保障是主观和客观的结合说法错误的是：A、通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。B、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全C、是一种通过客观证据向信息系统所有者提供主观信心的活动D、是主观和客观综合评估的结果；参考答案：B86.以下关于信息安全工程说法正确的是：A、信息化建设中系统功能的实现是最重要的B、信息化建设可以先实施系统，而后对系统进行安全加固C、信息化建设中在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设D、信息化建设没有必要涉及信息安全建设参考答案：C87.以下关于网络安全设备说法正确的是：A、入侵检测系统的主要作用是发现并报告系统中未授权或违反安全策略的行为B、安全隔离与信息交换系统也称为网闸，需要信息交换时，同一时间可以和两个不同安全级别的网络连接C、虚拟专用网是在公共网络中，利用隧道技术，建立一个永久、安全的通信网络D、防火墙既能实现内外网物理隔离，又能实现内外网逻辑隔离参考答案：A88.以下关于模糊测试过程的说法正确的是：A、模糊测试的效果与覆盖能力，与输入样本选择不相关B、为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统可能无法恢复异常状态进行后续的测试C、通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需要进一步分析其危害性、影响范围和修复建议D、对于可能产生的大量异常报告，需要人工全部分析异常报告参考答案：C89.以下关于可信计算说法错误的是：A、可信的主要目的是要建立起主动防御的信息安全保障体系B、可信计算机安全评价标准（TCSEC、中第一次提出了可信计算机和可信计算基的概念C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D、可信计算平台出现后会取代传统的安全防护体系和方法参考答案：D90.以下关于开展软件安全开发必要性描述错误的是？（）A、软件应用越来越广泛B、软件应用场景越来越不安全C、软件安全问题普遍存在D、以上都不是参考答案：D91.以下关于互联网协议安全（InternetProtocolSecurity，IPsec）协议说法错误的是：A、在传送模式中，保护的是IP负载B、验证头协议（AuthenticationHead，AH）和IP封装安全载荷协议（EncapsulatingSecurityPayload，ESP）都能以传输模式和隧道模式工作C、在隧道模式中，保护的是整个互联网协议（InternetProtocol，IP）包，包括IP头D、IPsec仅能保证传输数据的可认证性和保密性参考答案：D92.以下关于国内信息化发展的描述，错误的是（）。A、从20世纪90年代开始，我国把信息化提到了国家战略高度。B、成为联合国卫星导航委员会认可的四大卫星导航系统之一的北斗卫星导航系统是由我国自主研制的。C、我国农村宽带人口普及率与城市的差距在最近三年来持续拉大。D、经过多年的发展，截至2013年底，我国在全球整体的信息与计算技术发展排名中已处于世界领先水平。参考答案：D93.以下关于访问控制模型错误的是？A、访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制。B、自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问。C、基于角色的访问控制RBAC中，“角色”通常是根据行政级别来定义的。D、强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策参考答案：C94.以下关于法律的说法错误的是A、法律是国家意志的统一体现，有严密的逻辑体系和效力B、法律对违法犯罪的后果有明确规定，是一种“硬约束”C、法律可以是公开的，也可以是“内部”的D、一旦制定，就比较稳定，长期有效，不允许经常更改参考答案：C95.以下关于代替密码的说法正确的是：A、明文根据密钥被不同的密文字母代替。B、明文字母不变，仅仅是位置根据密钥发生改变。C、明文和密钥的每个bit异或。D、明文根据密钥作移位。参考答案：A96.以下关于UDP协议的说法，哪个是错误的A、UDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程序C、相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据参考答案：D97.以下关于SMTP和POP3协议的说法哪个是错误的？A、SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议B、SMTP和POP3协议明文传输数据，因此存在数据泄露的可能C、SMTP和POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题D、SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件参考答案：A98.以下关于RBAC模型的说法正确的是A、该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B、一个用户必项扮演并激活某种角色，才能对一个对象进行访问或执行某种摸作C、在该模型中，每个用户只能有一个角色D、在该模型中，权限与用户关联，用户与角色关联参考答案：B99.以下关于LINUX超级权限的说明，不正确的是A、一般情况下，为了系统安全，对于一般常规级别的应用，不需要ROOT用户来操作完成B、普通用户可以通过SU和SUDO来获得系统的超级权限C、对系统日志的管理，添加和删除用户等管理工作，必须以ROOT用户登录才能进行D、ROOT是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限参考答案：C100.以下关于ISO/IEC27001标准说法不正确的是：A、本标准可被内部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对部属的信息安全控制是好的还是坏的做出评判B、本标准采用一种过程方法米建立、实施、运行、监视、评审、保持和改进一个组织的ISMSC、目前国际标准化组织推出的四个管理体系标准：质量管理体系，职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用了相同的方法，即PDCA模型D、本标准注重监视和评审，因为监视和评审是持续改进的基础，如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”参考答案：A101.以下关于ISMS内部审核报告的描述不正确的是？A、内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B、内审报告中必须包含对不符合性项的改进建议C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。D、内审报告中必须包括对纠正预防措施实施情况的跟踪参考答案：D102.以下关于HTTPS协议与HTTP协议相比的优势说明，哪个是正确的？A、HTTPS协议对传输的数据进行了加密，可以避免嗅探等攻击行为B、HTTPS使用的端口与HTTP不同，让攻击者不容易找到端口，具有较高的安全性C、HTTPS协议是HTTP协议的补充，不能独立运行，因此需要更高的系统性能D、HTTPS协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性参考答案：A103.以下关于CA认证中心说法正确的是：（）。A、CA认证是使用对称密钥机制的认证方法B、CA认证中心只负责签名，不负责证书的产生C、CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份D、CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心参考答案：C104.以下关于“最小特权”安全管理原则理解正确的是：A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解，分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限参考答案：C105.以下岗位哪个在招聘前最需要进行背景调查？A、采购人员B、销售人员C、财务总监D、行政人员参考答案：C106.以下发现属于Linux系统严重威胁的是什么？A、发现不明的SUID可执行文件B、发现应用的配置文件被管理员变更C、发现有恶意程序在实时的攻击系统D、发现防护程序收集了很多黑客攻击的源地址参考答案：A107.以下对于信息安全事件理解错误的是：A、信息安全时间，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。B、对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分。C、应急响应是信息安全事件管理的重要内容。D、通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生。参考答案：D108.以下对Kerberos协议过程说法正确的是：A、协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务B、协助可以分为两个步骤：一是获得票据许可票据；二是获取请求服务C、协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据D、协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务参考答案：D109.以下代码容易触发什么漏洞（）＜?php$$username=$$_GET["name"];Echo"欢迎您，".$username."!";?>1234A、XSS漏洞B、SQLiC、OS命令注入D、代码注入参考答案：A110.以下不是信息资产是哪一项?A、服务器B、机房空调C、鼠标垫D、U盘参考答案：C111.以下不是接入控制的功能的是（）A、阻止非法用户进入系统B、组织非合法人浏览信息C、允许合法用户人进入系统D、使合法人按其权限进行各种信息活动参考答案：B112.以下SQL语句建立的数据库对象是：Createviewpatientsfordoctorsasselectpatient.*frompatient，doctorwheredoctor.id=123"A、表B、视图C、存储过程D、触发器参考答案：B113.以下SQL语句建立的数据库对象是：A、表B、视图C、存储过程D、触发器CREATEVIEWPatientsForDoctorsrsASSELECTPatient.*FROMPatient，DoctorWHEREdoctorID=123参考答案：B114.以下《关于加强政府信息安全和保密管理工作的通知》和《关于印发政府信息系统安全检查办法》错误的是：A、明确检查方式“以自查为主、抽查为辅”，按需要进行技术检测；B、明确对信息安全工作“谁主管谁负责、谁运行谁负责、谁使用谁负责”；C、明确安全管理措施和手段必须坚持管理制度加技术手段；D、明确工信部具体负责组织检查参考答案：D115.以下（）不是包过滤防火墙主要过滤的信息？A、源IP地址B、目的IP地址C、TCP源端口和目的端口D、时间参考答案：D116.一组将输入转化为输出的相互关联或相互作用的什么叫做过程?A、数据B、信息流C、活动D、模块参考答案：C117.一上组织财务系统灾难恢复计划声明恢复点目标（RPO）是没有数据损失，恢复时间目标（RTO）是72小时。以下哪一技术方案是满足需求且最经济的？A、一个可以在8小时内用异步事务的备份日志运行起来的热站B、多区域异步更新的分布式数据库系统C、一个同步更新数据和主备系统的热站D、一个同步过程数据拷备、可以48小时内运行起来的混站参考答案：D118.一个组织中的信息系统普通用户，以下哪一项是不应该了解的？A、谁负责信息安全管理制度的制定和发布B、谁负责都督信息安全制度的执行C、信息系统发生灾难后，进行恢复工作的具体流程＆D、如果违反了制度可能受到的惩戒措施参考答案：C119.一个信息管理系统通常会对用户进行分组并实施访问控制，例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改，下列选项中，对访问控制的作用的理解错误的是？A、对经过身份鉴别后的合法用户提供所有服务B、拒绝非法用户的非授权访问请求C、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D、防止对信息的非授权篡改和滥用参考答案：A120.一个公司解雇了一个数据库管理员，并且解雇时立刻取消了数据库管理员对公司所有系统的访问权，但是数据管理员威胁说数据库在两个月内将被删除，除非公司付他一大笔钱。数据管理员最有可能采用下面哪种手段删除数据库？A、放置病毒B、蠕虫感染C、DoS攻击D、逻辑炸弹攻击参考答案：D121.业务系统运行中异常错误处理合理的方法是A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息参考答案：D122.要安全浏览网页，不应该（）。A、在公用计算机上使用“自动登录”和“记住密码”功能B、禁止开启A.C.TIVEX控件和JA.VA.脚本C、定期清理浏览器C.OOKIESD、定期清理浏览器缓存和上网历史记录参考答案：A123.虚拟专用网络（VPN）通常是指在公共网络中利用隧道技术，建立一个临时的、安全的网络。这里的字母P的正确解释是？A、sPccial-purpose，特定的、专用用途的B、Proprietary，专有的、专卖的C、Private，私有的、专有的D、sPecific，特种的、具体的参考答案：C124.信息资产面临的主要威胁来源主要包括A、自然灾害B、系统故障C、内部人员操作失误D、以上都包括参考答案：D125.信息资产分级的最关键要素是A、价值B、时间C、安全性D、所有者参考答案：A126.信息系统建设完成后，（）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。A、二级以上B、三级以上C、四级以上D、五级以上参考答案：B127.信息系统安全保护等级为3级的系统，应当在（）年进行一次等级测评？A、0.5B、1C、2D、3参考答案：B128.信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；而对于信息本身而言，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的载体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。A、基础；依据;载体;环境;永久性;风险管理B、基础;依据;载体;环境;风险管理;永久性C、载体;环境;风险管理;永久性;基础;依据D、载体;环境;基础;依据;风险管理;永久性参考答案：D129.信息可以以多种形式存在。它可以打印或写在纸上、以（）、用邮寄或电子手段传送、呈现在胶片上或用（）。无论信息以什me式存在，用哪种方法存储或共享，都宜对它进行适当地保护。是保护信息免受各种威胁的损害，以确保业务（），业务风险最小化，投资回报和（）。A、语言表达；电子方式存储；信息安全；连续性；商业机遇最大化B、电子方式存储；语言表达；连续性；信息安全；商业机遇最大化C、电子方式存储；连续性，语言表达；信息安全；商业机遇最大化D、电子方式存储；语言表达；信息安全；连续性；商业机遇最大化参考答案：A130.信息发送者使用进行数字签名。A、己方的私钥B、己方的公钥C、对方的私钥D、对方的公钥参考答案：A131.信息安全需求获取的主要手段A、信息安全风险评估B、领导的指示C、信息安全技术D、信息安全产品参考答案：A132.信息安全是通过实施一组合适的（）而达到的，包括策略、过程、规程、（）以及软件和硬件功能。在必要时需建立、安施、监视、评审和改进包含这些控制措施的（）过程，以确保满足该组织的特定安全和（），这个过程宜与其他业务（）联合进行。A、信息安全管理；控制措施；组织结构；业务目标；管理过程B、组织结构；控制措施；信息安全管理；业务目标；管理过程C、控制措施；组织结构；信息安全管理；业务目标；管理过程D、控制措施；组织结构；业务目标；信息安全管理；管理过程参考答案：C133.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是A、各国普遍将国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的中重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流和对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应，安全监管和安全测评参考答案：C134.信息安全事件和分类方法有多种，依据GB/Z20986-2007《信息安全技术自信安全事件分类分级指南》，信息安全事件分为7个基本类别，描述正确的是（）A、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件B、网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件C、网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件D、网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件参考答案：A135.信息安全审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求，这个工作一般由谁完成？A、机构内部人员B、外部专业机构C、独立第三方机构D、以上皆可参考答案：D136.信息安全管理体系策略文件中第一层文件是？A、信息安全工作程序B、信息安全方针政策C、信息安全作业指导书D、信息安全工作记录参考答案：B137.信息安全管理体系ISMS是建立和维持信息安全管理体系的（），标准要求组织通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的（）A、信息安全方针；标准；文件；管理体系；保证程度B、标准；文件；信息安全方针；管理体系；保证程度C、标准；信息安全方针；文件；管理体系；保证程度D、标准；管理体系；信息安全方针；文件；保证程度参考答案：C138.信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A、ISMS是一个遵循PDCA模式的动态发展的体系B、ISMS是一个文件化、系统化的体系C、ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D、ISMS应该是一步到位的，应该解决所有的信息安全问题参考答案：D139.信息安全管理体系（InformationSecurityManagementSystem，ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述的错误是A、内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核标准使用，但在管理评审总，这些文件时被审对象参考答案：C140.信息安全风险值应该是以下哪些因素的函数?（）A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度参考答案：A141.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程，下列选项中不属于风险评估要素的是（）。A、资产B、跪弱性C、威胁D、安全需求参考答案：D142.信息安全风险管理是基于（）的信息安全管理，也就是，始终以（）为主线进行信息安全的管理。应根据实际（）的不同来理解信息安全风险管理的侧重点，即（）选择的范围和对象重点应有所不同。A、风险;风险;信息系统：风险管理B、风险;风险;风险管理;信息系统C、风险管理;信息系统;风险;风险D、风险管理;风险;风险;信息系统参考答案：A143.信息安全风险管理过程中，背景建立是实施工作的第一步，下面哪项是错误的（）A、背景建立的依据是国家，地区行业的相关政策、法律、法规和标准，以及机构的使命，信息系统的业务目标和特性B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性，并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单C、前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告D、背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全需求报告参考答案：B144.信息安全风险管理的最终责任人是？A、决策层B、管理层C、执行层D、支持层参考答案：A145.信息安全风险管理的对象不包括如下哪项A、信息自身B、信息载体C、信息网络D、信息环境参考答案：C146.信息安全的基本属性是（）。A、机密性B、可用性C、完整性D、上面3项都是参考答案：D147.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一，他是政府进行宏观管理的重要依据，同时也是保护国家利益，促进产业发展的重要手段之一，关于我国信息安全标准化工作，下面选项中描述错误的是？A、我国是在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有专业技术委员会。B、因事关国家安全利益，信息安全因此不能和国际标准相同，而是要通过本国组织和专家制定标准，切实有效地保护国家利益和安全C、我国归口信息安全方面标准的是“全国信息安全标准技术委员会”，为加强有关工作，2016在其下设立“大数据安全特别工作组”D、信息安全标准化工作是解决信息安全问题的重要技术支撑，其主要作用突出地体现在能够确保有关产品，设施的技术先进性，可靠性和一致性。参考答案：B148.信息安全保障框架（IATF）由美国国家安全局（NSA）发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中提出需要防护的三类“焦点区域”是：A、网络和基础设施：区域边界：重要服务器B、网络和基础设施：区域边界：计算环境C、网络机房环境：网络接口：计算环境D、网络机房环境：网络接口：重要服务器参考答案：B149.信息安全保障技术框架（InformetionAssuranceTechnicalFromwork，IATF），目的是为保障政府和工业的（）提供了（），信息安全保障技术框架的一个核心思想是（），深度防御战略的三个核心要素：（）、技术和运行（亦称为操作）A、信息基础设施：技术指南：深度防御：人员B、技术指南：信息基础设施：深度防御：技术指南：人员C、信息基础设施：深度防御：技术指南：人员D、信息基础设施：技术指南：人员：深度防御参考答案：A150.校园网内由于病毒攻击、非法入侵等原因，200台以内的用户主机不能正常工作，属于以下哪种级别事件A、特别重大事件B、重大事件C、较大事件D、一般事件参考答案：D151.小赵在去一家大型企业应聘时，经理要求他说出为该企业的信息系统设计自主访问控制模型为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗看应该采取的最合适的模型是A、按列读取访问控制矩形形成的访问控制列表（ACL）B、按列读取访问控制矩形形成的能力表（CL）C、按行读取访问控制矩形形成的访问控制列表（ACL）D、按行读取访问控制矩形形成的能力表（CL）参考答案：A152.小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。从时间和资源消耗的角度如果想要为一个存在大量用户的信息系统实现自主访问控制选项，下列选项中他应该采取的最合适的模型或方法是（）A、访问控制列表（ACL）B、能力表（CLC、BLP模型D、Biba模型参考答案：A153.小张在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式。小张认为：1.风险评估工作形式包括：自评估和检查评估；2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼。请问小张的所述论点中错误的是哪项A、第一个观点B、第四个观点C、第三个观点D、第二个观点参考答案：B154.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数（ExposureFactor，EF）是25%，年度发生率（AnnualizedRateofOccurrence，ARO）为0.2，那么小王计算的年度预期损失（AnnualizedLossExpectancy，ALE）应该是（）。A、180万元人民币B、100万元人民币C、400万元人民币D、20万元人民币参考答案：D155.小王是某通信运营商公司的网络按武安架构师，为该公司推出的一项新型通信系统项目做安全架构规划，项目客户要求对他们的大型电子商务网络进行安全域的划分，化解为小区域的安全保护，每个逻辑区域有各自的安全访问控制和边界控制策略，以实现大规模电子商务系统的信息保护。小王对信息系统安全域（保护对象）的划分不需要考虑的是？A、业务系统逻辑和应用关联性，业务系统是否需要对外连接B、安全要求的相似性，可用性、保密性和完整性的要求是否类似C、现有网络结构的状况，包括现有网路、地域和机房等D、数据库的安全维护参考答案：D156.小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：（1）背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备;（2）背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果;（3）背景建立包括：风险管理准备、信息系统调查、信息系统分析和信息安全分析;（4）背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：A、第一个观点.背景建立的目的只是为了明确信息安全风险管理的范围和对象B、第二个观点，背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准C、第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字D、第四个观点，背景建立的阶段性成果中不包括有风险管理计划书参考答案：C157.小王是某大学计算机科学与技术专业的学生，最近因为生病缺席了几堂信息安全课程，这几次课的内容是自主访问控制与强制访问控制。为了赶上课程进度，他向同班的小李借来了课堂笔记，进行自学。而小李在听课时由于经常走神，所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容，其中出现错误的选项是A、它是一种对单个用户执行访问控制的过程和措施B、强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体D、安全属性是强制性的规定，它由安全管理员或操作系统根据限定的规则确定，不能随意修改参考答案：A158.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项（）A、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性B、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性C、风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化参考答案：A159.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：（1）自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击；小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息。以上四个观点中，有一个观点是正确的，它是（）A、观点（1）B、观点（2）C、观点（3）D、观点（4）参考答案：D160.小红和小明在讨论有关于现在世界上的IP地址数量有限的问题，小红说他看到有新闻说在2011年2月3日，全球互联网IP地址相关管理组织宣布现有的互联网IP地址已于当天划分给所有的区城互联网注册管理机构，IP地址总库已经枯竭，小明吓了一跳觉得以后上网会成问题，小红安慰道，不用担心，现在IPv6已经被试用它有好多优点呢，以下小红说的优点中错误的是（）A、网络地址空间的得到极大扩展B、IPv6对多播进行了改进，使得具有更大的多播地址空间C、繁杂报头格式D、良好的扩展性参考答案：C161.小东在自己的笔记本上发现如下记录：不同操作系统的IP协议栈实现之间存在细微的差别，通过这些差别，可以区分出目标操作系统的类型及版本。但他忘了写上这种方法的名字，请问这种方法叫（）A、TCP/IP协议栈指纹识别法B、正向地址答案说明C、间接交付D、分组交付参考答案：A162.向外部机构提供其信息处理设施的物理访问权限前，组织应当做什么?A、该外部机构的过程应当可以被独立机构进行IT审计B、该组织应执行一个风险评估，设计并实施适当的控制C、该外部机构的任何访问应被限制在DMZ区之内D、应当给该外部机构的员工培训其安全程序参考答案：B163.相对于不存在灾难恢复计划，和当前灾难恢复计划的成本比照，最接近的是：A、增加B、减少C、保持不变D、不可预知参考答案：A164.下图显示了SSAM的四个阶段和每个阶段工作内容。与之对应，（）的目的是建立评估框架，并为现场阶段准备后勤方面的工作。的目的是准备评估团队进行现场活动，并通过问卷进行数据的初步收集和分析。主要是探索初步数据分析结果，以及为被评组织的专业人员提供与数据采集和证实过程的机会，小组对在此就三个阶段中采集到的所有数据进行（）。并将调查结果呈送个发起者。A、现场阶段;规划阶段;准备阶段;最终分析B、准备阶段;规划阶段;现场阶段;最终分析C、规划阶段;现场阶段;准备阶段;最终分析D、规划阶段;准备阶段;现场阶段;最终分析参考答案：D165.下图是安全测试人员连接某远程主机时的操作界面，请仔细分析该图，下面选项中推断正确的是（）C：\WIINDONS\system32\cmd.exe220Serv-UFTP.Server.V6.O.for.WinSock.ready...“Quit.221.Goodbye!失去了跟主机的连接。C：DocumentsandSettings\lyxjaowei>.A、安全测试人员连接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务开启了FTP服务，使用的服务器软件名为FTPServerD、远程服务器的操作系统是Windows参考答案：D166.下图是安全测试人员连接某远程主机时的操作界面，请您仔细分析该图，下面分析推理正确的是（）A、安全测试人员链接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务器开启了FTP服务，使用的服务器软件名FTPServerD、远程服务器的操作系统是windows系统参考答案：D167.下图描绘了信息安全管理体系的PDCA模型其中，建立ISMS中，组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。组织应根据业3务、组织、位置、资产和技术等方面的特性，监视和评审ISMS（）。实施和运行ISMS中，组织应为管理信息安全风险识别适当的（）、资源、职责和优选顺序，监视和评审ISMS中，组织应执行监视与评审规程和其他（）。以迅速检测过程运行结果中的错误，迅速识别图的和得逞的安全违规和事件，使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行，通过使用指示器帮助检测安全事态并预防安全事件，确定解决安全违规的措施是否有效，保持和改进ISMS中，组织应经常进行ISMS改进，采取合适的纠正和（），从其他组织和组织自身的安全经验中（）。A、方针;管理措施;控制措施;预防措施;吸取措施B、方针;控制措施;管理措施;预防措施;吸取措施C、方针;预防措施;管理措施;控制措施;吸取措施D、方针;吸取措施;管理措施;控制措施;预防措施参考答案：A168.下述关于安全扫描和安全扫描系统的描述错误的是（）。A、安全扫描在企业部署安全策略中处于非常重要地位B、安全扫描系统可用于管理和维护信息安全设备的安全C、安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性D、安全扫描系统是把双刃剑参考答案：B169.下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的（）A、设计了三层Web架构，但是软件存在SQL注入漏洞，导致被黑客攻击后能直接访问数据库B、使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据参考答案：C170.下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的（）A、设计了用户权限分级机制和最小特权原则，导致软件在发布运行后，系统管理员不能查看系统审计信息B、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据C、设计了采用不加盐（SALT）的SHA-1算法对用户口令进行加密存储，导致软件在发布运行后，不同的用户如使用了相同的口令会得到相同的加密结果，从而可以假冒其他用户登录D、设计了采用自行设计的加密算法对网络传输数据进行保护，导致软件在发布运行后，被攻击对手截获网络数据并破解后得到明参考答案：A171.下面有关能力成熟度模型的说法错误的是：A、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类B、使用过程能力方案时，可以灵活选择评估和改进哪个或那些过程域C、使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D、SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型参考答案：D172.下面四款安全测试软件中，主里用于WEB安全扫描的是？A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner参考答案：B173.下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?A、完整性控制的需求是基于风险分析的结果B、控制已经过了测试C、安全控制标准是基于风险分析的结果D、控制是在可重复的基础上被测试的参考答案：D174.下面哪一项为系统安全工程能力成熟度模型提供了评估方法？A、ISSEB、SSAMC、SSRD、CEM参考答案：B175.下面哪一项不是虚拟专用网络（VPN）协议标准：A、第二层隧道协议（L2TP）B、Internet安全性（IPSEC）C、终端访问控制器访问控制系统（TACACS+）D、点对点隧道协议（PPTP）参考答案：C176.下面哪一项不是ISMSCheck阶段的工作？A、安全事件响应B、安全内部审核C、管理评审D、更新安全计划参考答案：A177.下面哪一个机构不属于美国信息安全