CISP試題及答案-二套題

1、1.中國(guó)信息安全測(cè)評(píng)中心對(duì)CISP注冊(cè)信息安全專業(yè)人員有保持認(rèn)證要求，在證書有效期內(nèi)，應(yīng)完成至少6次完整的信息安全服務(wù)經(jīng)歷，以下哪項(xiàng)不是信息安全服務(wù)： A、為政府單位信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)B、在信息安全公司從事保安工作C、在公開場(chǎng)合宣講安全知識(shí)D、在學(xué)校講解信息安全課程2.確保信息沒(méi)有非授權(quán)泄密，即確保信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用，是指（）： A、完整性B、可用性C、保密性D、抗抵賴性3.下列信息系統(tǒng)安全說(shuō)法正確的是： A、加固所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備就可以保證網(wǎng)絡(luò)的安全B、只要資金允許就可以實(shí)現(xiàn)絕對(duì)的安全C、斷開所有的服務(wù)可以保證信息系統(tǒng)的安全D、信息系統(tǒng)安全狀態(tài)會(huì)隨著業(yè)

2、務(wù)的變化而變化，因此網(wǎng)絡(luò)安全狀態(tài)需要根據(jù)不同的業(yè)務(wù)而調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略4.OSI開放系統(tǒng)互聯(lián)安全體系構(gòu)架中的安全服務(wù)分為鑒別服務(wù)、訪問(wèn)控制、機(jī)密性服務(wù)、完整服務(wù)、抗抵賴服務(wù)，其中機(jī)密性服務(wù)描述正確的是： A、包括原發(fā)方抗抵賴和接受方抗抵賴B、包括連接機(jī)密性、無(wú)連接機(jī)密性、選擇字段機(jī)密性和業(yè)務(wù)流保密C、包括對(duì)等實(shí)體鑒別和數(shù)據(jù)源鑒別D、包括具有恢復(fù)功能的連接完整性、沒(méi)有恢復(fù)功能的連接完整性、選擇字段連接完整性、無(wú)連接完整性和選擇字段無(wú)連接完整性5.電子商務(wù)交易必須具備抗抵賴性，目的在于防止_。 A、一個(gè)實(shí)體假裝另一個(gè)實(shí)體B、參與此交易的一方否認(rèn)曾經(jīng)發(fā)生過(guò)此次交易C、他人對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的修改、

3、破壞D、信息從被監(jiān)視的通信過(guò)程中泄露出去6.下列哪一項(xiàng)準(zhǔn)確地描述了可信計(jì)算基（TCB）? A、TCB只作用于固件（Firmware）B、TCB描述了一個(gè)系統(tǒng)提供的安全級(jí)別C、TCB描述了一個(gè)系統(tǒng)內(nèi)部的保護(hù)機(jī)制D、TCB通過(guò)安全標(biāo)簽來(lái)表示數(shù)據(jù)的敏感性7.下面關(guān)于訪問(wèn)控制模型的說(shuō)法不正確的是： A、DAC模型中主體對(duì)它所屬的對(duì)象和運(yùn)行的程序有全部的控制權(quán)B、DAC實(shí)現(xiàn)提供了一個(gè)基于“need-to-know”的訪問(wèn)授權(quán)的方法，默認(rèn)拒絕任何人的訪問(wèn)。訪問(wèn)許可必須被顯示地賦予訪問(wèn)者C、在MAC這種模型里，管理員管理訪問(wèn)控制。管理員制定策略，策略定義了哪個(gè)主體能訪問(wèn)哪個(gè)對(duì)象。但用戶可以改變它。D、RBA

4、C模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對(duì)象為某個(gè)類型，主體具有相應(yīng)的角色就可以訪問(wèn)它。8.安全模型明確了安全策略所需的數(shù)據(jù)結(jié)構(gòu)和技術(shù)，下列哪項(xiàng)最好描述了安全模型中的“簡(jiǎn)單安全規(guī)則”？ A、Biba模型中的不允許向上寫B(tài)、Biba模型中的不允許向下讀C、Bell-Lapadula模型中的不允許向下寫D、Bell-Lapadula模型中的不允許向上讀9.以下關(guān)于訪問(wèn)控制模型錯(cuò)誤的是？ A、訪問(wèn)控制模型主要有3種：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。B、自主訪問(wèn)控制模型允許主體顯示地制定其他主體對(duì)該主體所擁有的信息資源是否可以

5、訪問(wèn)。C、基于角色的訪問(wèn)控制RBAC中，“角色”通常是根據(jù)行政級(jí)別來(lái)定義的。D、強(qiáng)制訪問(wèn)控制MAC是“強(qiáng)加”給訪問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策10.下面對(duì)于CC的“評(píng)估保證級(jí)”（EAL）的說(shuō)法最準(zhǔn)確的是： A、代表著不同的訪問(wèn)控制強(qiáng)度B、描述了對(duì)抗安全威脅的能力級(jí)別C、是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對(duì)安全行為和安全功能的不同要求D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度11.某公司的業(yè)務(wù)部門用戶需要訪問(wèn)業(yè)務(wù)數(shù)據(jù)，這些用戶不能直接訪問(wèn)業(yè)務(wù)數(shù)據(jù)，而只能通過(guò)外部程序來(lái)操作業(yè)務(wù)數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分？ A、Bell-Lapadula模型B、Biba模型C、信息

6、流模型D、Clark-Wilson模型12.以下哪一項(xiàng)關(guān)于Bell-Lapadula模型特點(diǎn)的描述是錯(cuò)誤的？ A、強(qiáng)調(diào)對(duì)信息保密性的保護(hù)，受到對(duì)信息保密要求較高的軍政機(jī)關(guān)和企業(yè)的喜愛B、既定義了主體對(duì)客體的訪問(wèn)，也說(shuō)明了主體對(duì)主體的訪問(wèn)。因此。它適用于網(wǎng)絡(luò)系統(tǒng)C、它是一種強(qiáng)制訪問(wèn)控制模型，與自主訪問(wèn)控制模型相比具有強(qiáng)耦合，集中式授權(quán)的特點(diǎn)D、比起那些較新的模型而言，Bell-Lapadula定義的公理很簡(jiǎn)單，更易于理解，與所使用的實(shí)際系統(tǒng)具有直觀的聯(lián)系13.下面對(duì)于基于角色的訪問(wèn)控制的說(shuō)法錯(cuò)誤的是？ A、它將若干特定的用戶集合與權(quán)限聯(lián)系在一起B(yǎng)、角色一般可以按照部門、崗位、工程等與實(shí)際業(yè)務(wù)緊密

7、相關(guān)的類別來(lái)劃分C、因?yàn)榻巧淖儎?dòng)往往低于個(gè)體的變動(dòng)，所以基于角色的訪問(wèn)控制維護(hù)起來(lái)比較便利D、對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)的適應(yīng)性不強(qiáng)，是其在實(shí)際使用中的主要弱點(diǎn)14.下面哪類訪問(wèn)控制模型是基于安全標(biāo)簽實(shí)現(xiàn)的？ A、自主訪問(wèn)控制B、強(qiáng)制訪問(wèn)控制C、基于規(guī)則的訪問(wèn)控制D、基于身份的訪問(wèn)控制15.根據(jù)PPDR模型： A、一個(gè)信息系統(tǒng)的安全保障體系應(yīng)當(dāng)以人為核心、防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的、動(dòng)態(tài)的循環(huán)B、判斷一個(gè)系統(tǒng)的安全保障能力，主要是安全策略的科學(xué)性與合理性，以及安全策略的落實(shí)情況C、如果安全防護(hù)時(shí)間小于檢測(cè)時(shí)間加響應(yīng)時(shí)間，則該系統(tǒng)一定是不安全的D、如果一個(gè)系統(tǒng)的安全防護(hù)時(shí)間為0，則系統(tǒng)的安全性取決于暴

8、露時(shí)間16.有關(guān)密碼學(xué)分支的定義，下列說(shuō)法中錯(cuò)誤的是： A、密碼學(xué)是研究信息系統(tǒng)安全保密的科學(xué)，由兩個(gè)相互對(duì)立、相互斗爭(zhēng)、而且又相輔相成、相互滲透的分支科學(xué)所組成的、分別稱為密碼編碼學(xué)和密碼分析學(xué)B、密碼編碼學(xué)是對(duì)密碼體制、密碼體制的輸入輸出關(guān)系進(jìn)行分析、以便推出機(jī)密變量、包括明文在內(nèi)的敏感數(shù)據(jù)C、密碼分析學(xué)主要研究加密信息的破譯或信息的偽造D、密碼編碼學(xué)主要研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)信息的隱藏17.非對(duì)稱密鑰的密碼技術(shù)具有很多優(yōu)點(diǎn)，其中不包括： A、可提供數(shù)字簽名、零知識(shí)證明等額外服務(wù)B、加密/解密速度快，不需占用較多資源C、通信雙方事先不需要通過(guò)保密信道交換密鑰D、密鑰持有量大大減少18.下

9、列哪一項(xiàng)最好地描述了哈希算法、數(shù)字簽名和對(duì)稱密鑰算法分別提供的功能？ A、身份鑒別和完整性，完整性，機(jī)密性和完整性B、完整性，身份鑒別和完整性，機(jī)密性和可用性C、完整性，身份鑒別和完整性，機(jī)密性D、完整性和機(jī)密性，完整性，機(jī)密性19.以下哪一項(xiàng)是基于一個(gè)大的整數(shù)很難分解成兩個(gè)素?cái)?shù)因數(shù)？ A、ECCB、RSAC、DESD、D-H20、電子郵件的機(jī)密性與真實(shí)性是通過(guò)下列哪一項(xiàng)實(shí)現(xiàn)的？ A、用發(fā)送者的私鑰對(duì)消息進(jìn)行簽名，用接收者的公鑰對(duì)消息進(jìn)行加密B、用發(fā)送者的公鑰對(duì)消息進(jìn)行簽名，用接收者的私鑰對(duì)消息進(jìn)行加密C、用接受者的私鑰對(duì)消息進(jìn)行簽名，用發(fā)送者的公鑰對(duì)消息進(jìn)行加密D、用接受者的公鑰對(duì)消息進(jìn)行簽

10、名，用發(fā)送者的私鑰對(duì)消息進(jìn)行加密21、一名攻擊者試圖通過(guò)暴力攻擊來(lái)獲取？ A、加密密鑰B、加密算法C、公鑰D、密文22、在標(biāo)準(zhǔn)GBXXXX-XX中對(duì)機(jī)房安全等級(jí)劃分正確的是？ A、劃分為A、B兩級(jí)B、劃分為A、B、C三級(jí)C、劃分為A、B、C、D四級(jí)D、劃分為A、B、C、D、E五級(jí)23、指紋、虹膜、語(yǔ)音識(shí)別技術(shù)是以下哪一種鑒別方式的實(shí)例： A、你是什么B、你有什么C、你知道什么D、你做了什么24、在OSI模型中，主要針對(duì)遠(yuǎn)程終端訪問(wèn)，任務(wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等以下是哪一層？A、應(yīng)用層B、物理層C、會(huì)話層D、網(wǎng)絡(luò)層25、下列哪個(gè)協(xié)議可以防止局域網(wǎng)的數(shù)據(jù)鏈路層的橋接環(huán)路 A、HSRPB

11、、STPC、VRRPD、OSPF26、以下哪個(gè)不是應(yīng)用層防火墻的特點(diǎn) A、更有效地阻止應(yīng)用層攻擊B、工作在OSI模型的第七層C、速度快且對(duì)用戶透明D、比較容易進(jìn)行審計(jì)27、以下哪項(xiàng)不是IDS可以解決的問(wèn)題： A、彌補(bǔ)網(wǎng)絡(luò)協(xié)議的弱點(diǎn)B、識(shí)別和報(bào)告對(duì)數(shù)據(jù)文件的改動(dòng)C、統(tǒng)計(jì)分析系統(tǒng)中異?；顒?dòng)模式D、提升系統(tǒng)監(jiān)控能力28、私網(wǎng)地址用于配置本地網(wǎng)絡(luò)、下列地址中屬私網(wǎng)地址的是？ A、B、C、D、29、下面哪類設(shè)備常用于風(fēng)險(xiǎn)分析過(guò)程中，識(shí)別系統(tǒng)中存在的脆弱性？ A、防火墻B、IDSC、漏洞掃描器D、UTM30、當(dāng)一個(gè)應(yīng)用系統(tǒng)被攻擊

12、并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在該系統(tǒng)重新上線前管理員不需查看： A、訪問(wèn)控制列表B、系統(tǒng)服務(wù)配置情況C、審計(jì)記錄D、用戶帳戶和權(quán)限的設(shè)置31、網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間數(shù)據(jù)的安全交換，下列隔離技術(shù)中，安全性最好的是？ A、多重安全網(wǎng)關(guān)B、防火墻C、VLAN隔離D、物理隔離32、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？ A、用戶訪問(wèn)日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安

13、全性日志、服務(wù)日志和IE日志33、windows操作系統(tǒng)的注冊(cè)表運(yùn)行命令是 A、regswr32B、regeditC、regedit.mscD、regedit.mmc34、以下windows服務(wù)的說(shuō)法錯(cuò)誤的是A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)B、可以作為獨(dú)立的進(jìn)程運(yùn)行或以DLL的形式依附在Svchost.exeC、windows服務(wù)只有在用戶成功登陸系統(tǒng)后才能運(yùn)行D、windows服務(wù)通常是以管理員的身份運(yùn)行的35、Linux系統(tǒng)格式化分區(qū)用哪個(gè)命令： A、fdiskB、mvC、mountD、df36、下面一行是某個(gè)UNIX文件的詳情，關(guān)于該文件權(quán)限的描述不正確的是A、這是一

14、個(gè)目錄，名稱是“file”B、文件屬性是groupC、“其他人”對(duì)該文件具有讀、寫、執(zhí)行權(quán)限D(zhuǎn)、user的成員對(duì)此文件沒(méi)有寫權(quán)限37、LINUX系統(tǒng)的/etc目錄從功能上看相當(dāng)于windows的哪個(gè)目錄 A、program filesB、windowsC、system volume informationD、TEMP38、如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進(jìn)行文件共享，那么在linux系統(tǒng)中要開啟哪個(gè)服務(wù)： A、DHCPB、NFSC、SAMBAD、SSH39、數(shù)據(jù)庫(kù)管理員在檢查數(shù)據(jù)庫(kù)時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)的性能不理想，他準(zhǔn)備通過(guò)對(duì)部分?jǐn)?shù)據(jù)表實(shí)施去除規(guī)范性（denormanization

15、）操作來(lái)提高數(shù)據(jù)庫(kù)性能，這樣做將增加下列哪項(xiàng)風(fēng)險(xiǎn)？ A、訪問(wèn)的不一致B、死鎖C、對(duì)數(shù)據(jù)的非授權(quán)訪問(wèn)D、數(shù)據(jù)完整性的損害40、下面關(guān)于IIS報(bào)錯(cuò)信息含義的描述正確的是？ A、401-找不到文件B、403-禁止訪問(wèn)C、404-權(quán)限問(wèn)題D、500-系統(tǒng)錯(cuò)誤41、宏病毒是一種專門感染微軟office格式文件的病毒，下列（ ）文件不可能感染該病毒。 A、*.exeB、*.docC、*.xlsD、*.ppt42、以下對(duì)于蠕蟲病毒的描述錯(cuò)誤的是： A、蠕蟲的傳播無(wú)需用戶操作B、蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，導(dǎo)致DOSC、蠕蟲的傳播需要通過(guò)“宿主”程序或文件D、蠕蟲程序一般由“傳播模塊”、“隱藏模塊”、“目的功能

16、模塊”構(gòu)成43、為了防止電子郵件中的惡意代碼，應(yīng)該由_方式閱讀電子郵件 A、純文本B、網(wǎng)頁(yè)C、程序D、會(huì)話44、以下哪一項(xiàng)不是流氓軟件的特征？ A、通常通過(guò)誘騙或和其他軟件捆綁在用戶不知情的情況下安裝B、通常添加驅(qū)動(dòng)保護(hù)使用戶難以卸載C、通常會(huì)啟動(dòng)無(wú)用的程序浪費(fèi)計(jì)算機(jī)的資源D、通常會(huì)顯示下流的言論45、在典型的web應(yīng)用站點(diǎn)的層次結(jié)構(gòu)中，“中間件”是在哪里運(yùn)行的？ A、瀏覽器客戶端B、web服務(wù)器C、應(yīng)用服務(wù)器D、數(shù)據(jù)庫(kù)服務(wù)器46、為了應(yīng)對(duì)日益嚴(yán)重的垃圾郵件問(wèn)題，人們?cè)O(shè)計(jì)和應(yīng)用了各種垃圾郵件過(guò)濾機(jī)制，以下哪一項(xiàng)是耗費(fèi)計(jì)算資源最多的一種垃圾郵件過(guò)濾機(jī)制？ A、SMTP身份認(rèn)證B、逆向名字解析C、

17、黑名單過(guò)濾D、內(nèi)容過(guò)濾47、無(wú)論是哪一種web服務(wù)器，都會(huì)受到HTTP協(xié)議本身安全問(wèn)題的困擾，這樣的信息系統(tǒng)安全漏洞屬于： A、設(shè)計(jì)型漏洞B、開發(fā)型漏洞C、運(yùn)行型漏洞D、以上都不是48、基于攻擊方式可以將黑客攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，以下哪一項(xiàng)不屬于主動(dòng)攻擊A、中斷B、篡改C、偵聽D、偽造49、關(guān)于黑客注入攻擊說(shuō)法錯(cuò)誤的是： A、它的主要原因是程序?qū)τ脩舻妮斎肴狈^(guò)濾B、一般情況下防火墻對(duì)它無(wú)法防范C、對(duì)它進(jìn)行防范時(shí)要關(guān)注操作系統(tǒng)的版本和安全補(bǔ)丁D、注入成功后可以獲取部分權(quán)限50、下面對(duì)于Rootkit技術(shù)的解釋不準(zhǔn)確的是： A、Rootkit是攻擊者用來(lái)隱藏自己和保留對(duì)系統(tǒng)的訪問(wèn)權(quán)限的一組

18、工具B、Rootkit是一種危害大、傳播范圍廣的蠕蟲C、Rootkit和系統(tǒng)底層技術(shù)結(jié)合十分緊密D、Rootkit的工作機(jī)制是定位和修改系統(tǒng)的特定數(shù)據(jù)改變系統(tǒng)的正常操作流程51、以下對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項(xiàng)是： A、引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的訪問(wèn)C、一種很強(qiáng)大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網(wǎng)頁(yè)中，從而達(dá)到惡意的目的52、以下哪一項(xiàng)是常見WEB站點(diǎn)脆弱性掃描工具： A、AppScanB、NmapC、SnifferD、LC53、下面哪一項(xiàng)是黑客用來(lái)實(shí)施DDOS攻擊的工具： A、LC5B、Ro

19、otkitC、IceswordD、Trinoo54、對(duì)于信息系統(tǒng)訪問(wèn)控制說(shuō)法錯(cuò)誤的是？ A、應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求置頂清晰地訪問(wèn)控制策略，并根據(jù)需要進(jìn)行評(píng)審和改進(jìn)B、網(wǎng)絡(luò)訪問(wèn)控制是訪問(wèn)控制的重中之重，網(wǎng)絡(luò)訪問(wèn)控制做好了操作系統(tǒng)和應(yīng)用層次的訪問(wèn)控制問(wèn)題就可以得到解決C、做好訪問(wèn)控制工作不僅要對(duì)用戶的訪問(wèn)活動(dòng)進(jìn)行嚴(yán)格管理，還要明確用戶在訪問(wèn)控制中的有關(guān)責(zé)任D、移動(dòng)計(jì)算和遠(yuǎn)程工作技術(shù)在廣泛應(yīng)用給訪問(wèn)控制帶來(lái)了新的問(wèn)題，因此在訪問(wèn)控制工作中要重點(diǎn)考慮對(duì)移動(dòng)計(jì)算設(shè)備和遠(yuǎn)程工作用戶的控制措施55、下面哪一項(xiàng)最好地描述了組織機(jī)構(gòu)的安全策略？ A、定義了訪問(wèn)控制需求的總體指導(dǎo)方針B、建議了如何符合標(biāo)準(zhǔn)C、

20、表明管理者意圖的高層陳述D、表明所使用的技術(shù)控制措施的高層陳述56、資產(chǎn)管理是信息安全管理的重要內(nèi)容，而清楚的識(shí)別信息系統(tǒng)相關(guān)的財(cái)產(chǎn)，并編制資產(chǎn)清單是資產(chǎn)管理的重要步驟。下面關(guān)于資產(chǎn)清單的說(shuō)法錯(cuò)誤的是： A、資產(chǎn)清單的編制是風(fēng)險(xiǎn)管理的一個(gè)重要的先決條件B、信息安全管理中所涉及的信息資產(chǎn)，即業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、培訓(xùn)材料等C、在制定資產(chǎn)清單的時(shí)候應(yīng)根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值和安全分類，確定與資產(chǎn)重要性相對(duì)應(yīng)的保護(hù)級(jí)別D、資產(chǎn)清單中應(yīng)當(dāng)包括將資產(chǎn)從災(zāi)難中恢復(fù)而需要的信息，如資產(chǎn)類型、格式、位置、備份信息、許可信息等57、為什么一個(gè)公司內(nèi)部的風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)?wèi)?yīng)該由來(lái)自不同部門的人員組成？ A、確保風(fēng)險(xiǎn)評(píng)估

21、過(guò)程是公平的B、因?yàn)轱L(fēng)險(xiǎn)正是由于這些來(lái)自不同部門的人員所引起的，因此他們應(yīng)該承擔(dān)風(fēng)險(xiǎn)評(píng)估的職責(zé)C、因?yàn)椴煌块T的人員對(duì)本部門所面臨的風(fēng)險(xiǎn)最清楚，由此進(jìn)行的風(fēng)險(xiǎn)評(píng)估也最接近于實(shí)際情況D、風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)不應(yīng)該由來(lái)自不同部門的人員組成，而應(yīng)該由一個(gè)來(lái)自公司外部的小型團(tuán)隊(duì)組成58、信息分類是信息安全管理工作的重要環(huán)節(jié)，下面那一項(xiàng)不是對(duì)信息進(jìn)行分類時(shí)需要重點(diǎn)考慮的？ A、信息的價(jià)值B、信息的時(shí)效性C、信息的存儲(chǔ)方式D、法律法規(guī)的規(guī)定59、下面哪一項(xiàng)關(guān)于對(duì)違反安全規(guī)定的員工進(jìn)行懲戒的說(shuō)法是錯(cuò)誤的？ A、對(duì)安全違規(guī)的發(fā)現(xiàn)和驗(yàn)證是進(jìn)行懲戒的重要前提B、懲戒措施的一個(gè)重要意義在于它的威懾性C、出于公平，進(jìn)行懲戒時(shí)

22、不應(yīng)考慮員工是否是初犯，是否接受過(guò)培訓(xùn)D、盡管法律訴訟是一種嚴(yán)厲有效的懲戒手段，但使用它時(shí)一定要十分慎重60、風(fēng)險(xiǎn)分析的目標(biāo)是達(dá)到： A、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的價(jià)值平衡B、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的操作平衡C、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的技術(shù)平衡D、風(fēng)險(xiǎn)影響和保護(hù)性措施之間的邏輯平衡61、以下對(duì)“信息安全風(fēng)險(xiǎn)”的描述正確的是 A、是來(lái)自外部的威脅利用了系統(tǒng)自身存在脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn)B、是系統(tǒng)自身存在的威脅利用了來(lái)自外部的脆弱性作用于資產(chǎn)形成風(fēng)險(xiǎn)C、是來(lái)自外部的威脅利用了系統(tǒng)自身存在的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn)D、是系統(tǒng)自身存在的威脅利用了來(lái)自外部的脆弱性作用于網(wǎng)絡(luò)形成風(fēng)險(xiǎn)62、在ISO2

23、7001-2005中，制定風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該在PDCA的哪個(gè)階段進(jìn)行？A、PlanB、DoC、CheckD、Act63、在冗余磁盤陳列中，以下不具有容錯(cuò)技術(shù)的是 A、RAID 0B、RAID 1C、RAID 3D、RAID 564、為了達(dá)到組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不能超過(guò)；A、服務(wù)水平目標(biāo)（SLO）B、恢復(fù)時(shí)間目標(biāo)(RTO)C、恢復(fù)點(diǎn)目標(biāo)(RPO)D、停用的最大可接受程度(MAO)65、以下對(duì)信息安全應(yīng)急響應(yīng)說(shuō)法錯(cuò)誤的是？A、明確處理安全事件的工作職責(zé)和工作流程是應(yīng)急響應(yīng)工作中非常重要的-B、僅僅處理好緊急事件不是應(yīng)急工作的的全部，通過(guò)信息安全事件進(jìn)行總結(jié)和學(xué)習(xí)是很重要-C、對(duì)安全事件的

24、報(bào)告和對(duì)安全弱點(diǎn)的報(bào)告都是信息安全事件管理的重要內(nèi)容D、作為一個(gè)單位的信息安全主管，在安全事件中主要任務(wù)-完全是執(zhí)法機(jī)構(gòu)的事66、目前數(shù)據(jù)大集中是我國(guó)重要的大型分布式信息系統(tǒng)建設(shè)和發(fā)展的趨勢(shì)，數(shù)據(jù)大集中就是將數(shù)據(jù)集中存儲(chǔ)和管理，為業(yè)務(wù)信息系統(tǒng)的運(yùn)行搭建了統(tǒng)一的數(shù)據(jù)平臺(tái)，對(duì)這種做法的認(rèn)識(shí)正確的是？ A數(shù)據(jù)庫(kù)系統(tǒng)龐大會(huì)提高管理成本B數(shù)據(jù)庫(kù)系統(tǒng)龐大會(huì)降低管理效率C數(shù)據(jù)的集中會(huì)降低風(fēng)險(xiǎn)的可控性D. 數(shù)據(jù)的集中會(huì)造成風(fēng)險(xiǎn)的集中67、對(duì)程序源代碼進(jìn)行訪問(wèn)控制管理時(shí)，以下那種做法是錯(cuò)誤的？ A若有可能，在實(shí)際生產(chǎn)系統(tǒng)中不保留源程序庫(kù)。B對(duì)源程序庫(kù)的訪問(wèn)進(jìn)行嚴(yán)格的審計(jì)C技術(shù)支持人員應(yīng)可以不受限制的訪問(wèn)源程序D

25、對(duì)源程序庫(kù)的拷貝應(yīng)受到嚴(yán)格的控制規(guī)程的制約68、以下對(duì)系統(tǒng)日志信息的操作中哪項(xiàng)是最不應(yīng)當(dāng)發(fā)生的？ A、對(duì)日志內(nèi)容進(jìn)行編輯B、只抽取部分條目進(jìn)行保存和查看C、用新的日志覆蓋舊的日志D、使用專用工具對(duì)日志進(jìn)行分析69、以下哪一項(xiàng)是對(duì)信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋： A、沒(méi)有適當(dāng)?shù)馁|(zhì)量管理工具B、經(jīng)常變化的用戶需求C、用戶參與需求挖掘不夠D、項(xiàng)目管理能力不強(qiáng)70、許多安全管理工作在信息系統(tǒng)生存周期中的運(yùn)行維護(hù)階段發(fā)生。以下哪一種行為通常是不是在這一階段中發(fā)生的？ A、進(jìn)行系統(tǒng)備份B、管理加密密鑰C、認(rèn)可安全控制措施D、升級(jí)安全軟件71、在信息安全管理工作中“符合性”的含義不包括哪一項(xiàng)？ A、

26、對(duì)法律法規(guī)的符合B、對(duì)安全策略和標(biāo)準(zhǔn)的符合C、對(duì)用戶預(yù)期服務(wù)效果的符合D、通過(guò)審計(jì)措施來(lái)驗(yàn)證符合情況72、下面哪一項(xiàng)最準(zhǔn)確的闡述了安全監(jiān)測(cè)措施和安全審計(jì)措施之間的區(qū)別？A、審計(jì)措施不能自動(dòng)執(zhí)行，而檢測(cè)措施可以自動(dòng)執(zhí)行B、監(jiān)視措施不能自動(dòng)執(zhí)行，而審計(jì)措施可以自動(dòng)執(zhí)行C、審計(jì)措施是一次性地或周期性地進(jìn)行，而監(jiān)測(cè)措施是實(shí)時(shí)地進(jìn)行D、監(jiān)測(cè)措施一次性地或周期性地進(jìn)行，而審計(jì)措施是實(shí)時(shí)地進(jìn)行73、口令是驗(yàn)證用戶身份的最常用手段，以下哪一種口令的潛在風(fēng)險(xiǎn)影響范圍最大？A、長(zhǎng)期沒(méi)有修改的口令B、過(guò)短的口令C、兩個(gè)人公用的口令D、設(shè)備供應(yīng)商提供的默認(rèn)口令74、系統(tǒng)工程是信息安全工程的基礎(chǔ)學(xué)科，錢學(xué)森說(shuō)：“系統(tǒng)工

27、程時(shí)組織管理系統(tǒng)規(guī)劃，研究、制造、實(shí)驗(yàn)，科學(xué)的管理方法，使一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法，以下哪項(xiàng)對(duì)系統(tǒng)工程的理解是正確的A、系統(tǒng)工程是一種方法論B、系統(tǒng)工程是一種技術(shù)實(shí)現(xiàn)C、系統(tǒng)工程是一種基本理論D、系統(tǒng)工程不以人參與系統(tǒng)為研究對(duì)象75、項(xiàng)目管理是信息安全工程的基本理論，以下哪項(xiàng)對(duì)項(xiàng)目管理的理解是正確的：A、項(xiàng)目管理的基本要素是質(zhì)量，進(jìn)度和成本B、項(xiàng)目管理的基本要素是范圍，人力和溝通C、項(xiàng)目管理是從項(xiàng)目的執(zhí)行開始到項(xiàng)目結(jié)束的全過(guò)程進(jìn)行計(jì)劃、組織D、項(xiàng)目管理是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)，方法和理論。對(duì)項(xiàng)目涉及的技術(shù)工作進(jìn)行有效地管理76、在信息系統(tǒng)的設(shè)計(jì)階段必須做

28、以下工作除了：A、決定使用哪些安全控制措施B、對(duì)設(shè)計(jì)方案的安全性進(jìn)行評(píng)估C、開發(fā)信息系統(tǒng)的運(yùn)行維護(hù)手冊(cè)D、開發(fā)測(cè)試、驗(yàn)收和認(rèn)可方案77、進(jìn)行信息安全管理體系的建設(shè)是一個(gè)涉及企業(yè)文化，信息系統(tǒng)特點(diǎn)，法律法規(guī)等多方面因素的負(fù)雜過(guò)程，人們?cè)谶@樣的過(guò)程中總結(jié)了許多經(jīng)驗(yàn)，下面哪一項(xiàng)是最不值得贊同的？A、成功的信息安全管理體系建設(shè)必須得到組織的高級(jí)管理的直接支持B、制定的信息安全管理措施應(yīng)當(dāng)與組織的文化環(huán)境相匹配C、應(yīng)該對(duì)ISO27002等國(guó)際標(biāo)注批判地參考，不能完全照搬D、借助有經(jīng)驗(yàn)的大型國(guó)際咨詢公司，往往可以提高管理體系的執(zhí)行效78、信息系統(tǒng)安全保障工程是一門跨學(xué)科的工程管理過(guò)程，他是基于對(duì)信息系統(tǒng)安

29、全保障需求的發(fā)掘和對(duì)的理解，以經(jīng)濟(jì)，科學(xué)的方法來(lái)設(shè)計(jì)、開發(fā)、和建設(shè)信息系統(tǒng)，以便他能滿足用戶安全保障需求的科學(xué)和藝術(shù)。A、安全風(fēng)險(xiǎn)B、安全保障C、安全技術(shù)D、安全管理79、關(guān)于SSE-CMM的描述錯(cuò)誤的是：A、1993年4月美國(guó)國(guó)家安全局資助，有安全工業(yè)界，英國(guó)國(guó)防部辦公室和加拿大通信安全機(jī)構(gòu)共同組成SSE-CMM項(xiàng)目組。B、SSE-CMM的能力級(jí)別分為6個(gè)級(jí)別。C、SSE-CMM講安全工程過(guò)程劃分為三類：風(fēng)險(xiǎn)、工程和保證。D、SSE的最高能力級(jí)別是量化控制80、下面對(duì)SSE-CMM說(shuō)法錯(cuò)誤的是？A、它通過(guò)域維和能力維共同形成對(duì)安全工程能力的評(píng)價(jià)B、域維定義了工程能力的所有實(shí)施活動(dòng)C、能力維定

30、義了工程能力的判斷標(biāo)注D、“公共特征”是域維中對(duì)獲得過(guò)程區(qū)目標(biāo)的必要步驟的定義81在SSE-CMM中對(duì)工程過(guò)程能力的評(píng)價(jià)分為三個(gè)層次，由宏觀到微觀依次是 A能力級(jí)別-公共特征（CF）-通用實(shí)踐（GP）B能力級(jí)別-通用實(shí)踐-（GP）-公共特征（CF）C通用實(shí)踐-（GP）-能力級(jí)別-公共特征（CF）D公共特征（CF）-能力級(jí)別-通用實(shí)踐-（GP）、82、如果可以在組織范圍定義文檔化的標(biāo)準(zhǔn)過(guò)程，在所有的項(xiàng)目規(guī)劃、執(zhí)行和跟蹤已定義的過(guò)程，并且可以很好地協(xié)調(diào)項(xiàng)目活動(dòng)和組織活動(dòng)，則組織的安全能力成熟度可以達(dá)到？A、規(guī)劃跟蹤定義B、充分定義級(jí)C、量化控制級(jí)D、持續(xù)改進(jìn)級(jí)83、“配置管理” 是系統(tǒng)工程的重要概

31、念，他在軟件工程和信息安全工程中得到廣泛應(yīng)用下面對(duì)“配置管理”解釋最準(zhǔn)確的是？A、配置管理的本質(zhì)是變更流程管理B、配置管理是一個(gè)對(duì)系統(tǒng)（包括軟件、硬件、文檔、測(cè)試設(shè)備、開發(fā)維護(hù)設(shè)備）所有變化進(jìn)行控制的過(guò)程C、配置管理是對(duì)信息系統(tǒng)的技術(shù)參數(shù)進(jìn)行管理D、管理配置是對(duì)系統(tǒng)基線和源代碼的版本進(jìn)行管理84、根據(jù)SSE-CMM以下哪項(xiàng)不是在安全工程過(guò)程中實(shí)施安全控制時(shí)需要做的？ A、獲得用戶對(duì)安全需求的理解B、建立安全控制的職責(zé)C、管理安全控制的配置D、進(jìn)行針對(duì)安全控制的教育培訓(xùn)85、下面哪條不屬于SSE-CMM中能力級(jí)別3“充分定義”級(jí)的基本內(nèi)容： A、改進(jìn)組織能力B、定義標(biāo)準(zhǔn)過(guò)程C、協(xié)調(diào)安全實(shí)施D、執(zhí)

32、行已定義的過(guò)程86、下面哪項(xiàng)不是工程實(shí)施階段信息安全工程監(jiān)理的主要目標(biāo)？ A、明確工程實(shí)施計(jì)劃、對(duì)于計(jì)劃的調(diào)整必須合理、受控B、促使工程中所適用的產(chǎn)品和服務(wù)符合承建合同及國(guó)家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)C、促使業(yè)務(wù)單位與承建單位充分溝通，形成深化的安全需求D、促使工程實(shí)施過(guò)程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符87、在國(guó)家標(biāo)準(zhǔn)中，屬于強(qiáng)制性標(biāo)準(zhǔn)的是： A、GB/T XXXX-X-200XB、GB XXXX-200XC、DBXX/T XXX-200XD、QXXX-XXX-200X88、在何種情況下，一個(gè)組織應(yīng)對(duì)公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全事件？ A、當(dāng)信息安全事件的負(fù)面影響擴(kuò)展

33、到本組織意外時(shí)B、只要發(fā)生了安全事件就應(yīng)當(dāng)公告C、只有公眾的什么財(cái)產(chǎn)安全受到巨大危害時(shí)才公告D、當(dāng)信息安全事件平息之后89、下面對(duì)ISO27001的說(shuō)法最準(zhǔn)確的是： A、該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南B、該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐D、該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個(gè)模型90、ISO27002、ITIL和COBIT在IT管理內(nèi)容上各有優(yōu)勢(shì)、但側(cè)重點(diǎn)不同，其各自重點(diǎn)分別在于： A、IT安全控制、IT過(guò)程管理和IT控制和度量評(píng)價(jià)B、IT過(guò)程管理、IT安全控制和IT控制和度量評(píng)價(jià)C、IT控制和度量評(píng)價(jià)、IT安全控制和IT安