網絡安全考試A

1、網絡安全考試A1. 依據國家標準/T20274信息系統(tǒng)安全保障評估框架，信息系統(tǒng)安全目標(ISST)中，安全保障目的指的是:( ) A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術安全保障目的和工程安全保障目的(正確答案)答案解析：GB/T 20274 信息系統(tǒng)保障評估框架從管理、技術、工程和總體方面進行評估。2. 以下哪一項是數據完整性得到保護的例子?( ) A某網站在訪問量突然增加時對用戶連接數量進行了限制，保證已登錄的用戶可以完成操作B在提款過程中 ATM 終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該用戶的賬

2、戶余額進行了沖正操作(正確答案)C某網管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看答案解析：A 為可用性，B 為完整性，C 是抗抵賴，D 是保密性。沖正是完整性糾正措施，是 Clark-Wilson 模型的應用，解決數據變化過程的完整性。3. 進入 21 世紀以來，信息安全成為世界各國安全戰(zhàn)略關注的重點，紛紛制定并頒布網絡空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網絡空間安全戰(zhàn)略的內容也各不相同，以下說法不正確的是:( ) A. 與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施是

3、各國安全保障的重點B. 美國尚未設立中央政府級的專門機構處理網絡信息安全問題，信息安全管理職能由不同政府部門的多個機構共同承擔(正確答案)C. 各國普遍重視信息安全事件的應急響應和處理D. 在網絡安全戰(zhàn)略中，各國均強調加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關系答案解析：美國已經設立中央政府級的專門機構。4. 與 PDR 模型相比，P2DR 模型多了哪一個環(huán)節(jié)?( ) A防護B檢測C反應D.策略(正確答案)答案解析：PPDR 是指策略、保護、檢測和反應(或響應)。PPDR 比PDR 多策略。5. 以下關于項目的含義，理解錯誤的是:( ) A. 項目是為達到特定的目的、使用一

4、定資源、在確定的期間內、為特定發(fā)起人而提供獨特的產品、服務或成果而進行的一次性努力。B. 項目有明確的開始日期，結束日期由項目的領導者根據項目進度來隨機確定。(正確答案)C項目資源指完成項目所需要的人、財、物等。D項目目標要遵守SMART 原則，即項目的目標要求具體(Specific)、可測量(Measurable)、需相關方的一致同意(Agreeto)、現實(Realistic)、有一定的時限(Timeoriented)答案解析：據項目進度不能隨機確定，需要根據項目預算、特性、質量等要求進行確定。6. 2008 年 1 月 2 日，美目發(fā)布第 54 號總統(tǒng)令，建立國家網絡安全綜合計劃(Com

5、prehensive National Cyber security Initiative，CNCI)。CNCI 計劃建立三道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；第三道防線，強化未來安全環(huán)境從以上內容，我們可以看出以下哪種分析是正確的:( ) ACNCI 是以風險為核心，三道防線首要的任務是降低其網絡所面臨的風險(正確答案)B. 從 CNCI 可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內部的CCNCI 的目的是盡快研發(fā)并部署新技術徹底改變其糟糕的網絡安全現狀，而不是在現在的網絡基礎上修修補補DCNCI 徹底改變了以往的美國信息安全戰(zhàn)略，不再把

6、關鍵基礎設施視為信息安全保障重點，而是追求所有網絡和系統(tǒng)的全面安全保障答案解析：CNCI 第一個防線針對漏洞進行風險控制，第二個防線針對威脅進行風險控制，總體的目標是降低網絡風險。B、C、D 答案均無法從題干反應。7. 下列對于信息安全保障深度防御模型的說法錯誤的是:( ) A. 信息安全外部環(huán)境：信息安全保障是組織機構安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B. 信息安全管理和工程：信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法

7、來建設信息系統(tǒng)。C. 信息安全人才體系：在組織機構中應建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。D信息安全技術方案：“從外而內、自下而上、形成邊界到端的防護能力”。(正確答案)答案解析：D 的正確描述是從內而外，自上而下，從端到邊界的防護能力。8. 某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網銀系統(tǒng)，此過程屬于以下哪一類:( ) A個人網銀系統(tǒng)和用戶之間的雙向鑒別B. 由可信第三方完成的用戶身份鑒別C. 個人網銀系統(tǒng)對用戶身份的單向鑒別(正確答案)D用戶對個人網銀系統(tǒng)合法性的單向鑒別答案解析：題干為網銀系統(tǒng)對用戶的鑒別。9. Alice 用 Bob 的密鑰加密明文，將密

8、文發(fā)送給 Bob。Bob 再用自己的私鑰解密，恢復出明文。以下說法正確的是:( ) A此密碼體制為對稱密碼體制B. 此密碼體制為私鑰密碼體制C此密碼體制為單鑰密碼體制D此密碼體制為公鑰密碼體制(正確答案)答案解析：題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對于公鑰而言，則為非對稱密碼體制，非對稱密碼體制又稱為公鑰密碼體制。10. 下列哪一種方法屬于基于實體“所有”鑒別方法:( ) A用戶通過自己設置的口令登錄系統(tǒng)，完成身份鑒別B用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C. 用戶利用和系統(tǒng)協商的秘密函數，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應答，通過身份鑒別D用戶使用集成電路卡(如智能

9、卡)完成身份鑒別(正確答案)答案解析：實體所有鑒別包括身份證、IC 卡、鑰匙、USB-Key 等。11. 為防范網絡欺詐確保交易安全，網銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網上轉賬等交易，在此場景中用到下列哪些鑒別方法?( ) A實體“所知”以及實體“所有”的鑒別方法(正確答案)B實體“所有”以及實體“特征”的鑒別方法C實體“所知”以及實體“特征”的鑒別方法D實體“所有”以及實體“行為”的鑒別方法答案解析：題目中安全登錄會涉及到賬號密碼為實體所知，智能卡和短信是實體所有。12. 某單位開發(fā)了一個面向互聯網提供服務的應用網站，該單位委托軟件測評機構對軟件進行了源代碼分

10、析、模糊測試等軟件安全性測試，在應用上線前，項目經理提出了還需要對應用網站進行一次滲透性測試，作為安全主管， 你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性測試的優(yōu)勢?( ) A. 滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現如配置錯誤等運行維護期產生的漏洞(正確答案)B滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C. 滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D. 滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現的漏洞更多答案解析：滲透測試是模擬攻擊的黑盒測試，有利于發(fā)現系統(tǒng)明顯的問題。13. 軟件安全設計和開發(fā)中應考慮用戶穩(wěn)私包，以下關于

11、用戶隱私保護的說法哪個是錯誤的 A告訴用戶需要收集什么數據及搜集到的數據會如何披使用B當用戶的數據由于某種原因要被使用時，給用戶選擇是否允許C用戶提交的用戶名和密碼屬于穩(wěn)私數據，其它都不是(正確答案)D確保數據的使用符合國家、地方、行業(yè)的相關法律法規(guī)答案解析：個人隱私包括但不限于用戶名密碼、位置、行為習慣等信息。14. 軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想，在有限資源前提下實現軟件安全最優(yōu)防護， 避免防范不足帶來的直接損失，也需要關注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是:( ) A.在軟件立項時考慮到軟件安全相關費用，經費中預留了安

12、全測試、安全評審相關費用，確保安全經費得到落實B在軟件安全設計時，邀請軟件安全開發(fā)專家對軟件架構設計進行評審，及時發(fā)現架構設計中存在的安全不足C確保對軟編碼人員進行安全培訓，開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經以上測試的軟件不允許上線運行(正確答案)答案解析：軟件的安全測試根據實際情況進行測試措施的選擇和組合。15. 以下哪一項不是工作在網絡第二層的隧道協議:( ) A.VTP(正確答案)BL2FCPPTPDL2TP答案解析：L2F、PPTP、L2TP 均為二層隧道協議。16. 主體 S

13、 對客體 01 有讀(R)權限，對客體 02 有讀(R)、寫(W)、擁有(Own)權限，該訪問控制實現方法是:( ) A訪問控制表(ACL)B訪問控制矩陣C能力表(CL)(正確答案)D前綴表(Profiles)答案解析：定義主體訪問客體的權限叫作CL。定義客體被主體訪問的權限叫 ACL。17. 以下場景描述了基于角色的訪問控制模型(Role-based Access ControlRBAC)：根據組織的業(yè)務要求或管理要求， 在業(yè)務系統(tǒng)中設置若干崗位、職位或分工，管理員負責將權限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關于 RBAC 模型，下列說法錯誤的是:( ) A當用戶請求訪問某

14、資源時，如果其操作權限不在用戶當前被激活角色的授權范圍內，訪問請求將被拒絕B業(yè)務系統(tǒng)中的崗位、職位或者分工，可對應 RBAC 模型中的角色C通過角色，可實現對信息資源訪問的控制DRBAC 模型不能實現多級安全中的訪問控制(正確答案)答案解析：RBAC 模型能實現多級安全中的訪問控制。18. 下面哪一項不是虛擬專用網絡(VPN)協議標準:( ) A第二層隧道協議(L2TP)B. Internet 安全性(IPSEC)C. 終端訪問控制器訪問控制系統(tǒng)(TACACS+)(正確答案)D點對點隧道協議(PPTP)答案解析：TACACS+是 AAA 權限控制系統(tǒng)，不屬于 VPN。19. 下列對網絡認證協議

15、 Kerberos 描述正確的是:( ) A該協議使用非對稱密鑰加密機制B密鑰分發(fā)中心由認證服務器、票據授權服務器和客戶機三個部分組成C該協議完成身份鑒別后將獲取用戶票據許可票據(正確答案)D使用該協議不需要時鐘基本同步的環(huán)境答案解析：A 錯誤，因為使用對稱密碼；B 錯誤，因為密鑰分發(fā)中心不包括客戶機；D 錯誤，因為協議需要時鐘同步。三個步驟:1)身份認證后獲得票據許可票據；2)獲得服務許可票據；3)獲得服務。20. 鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的:( ) A口令B令牌(正確答案)C知識D密碼答案解析：令牌是基于實體所有的鑒別方式。21. 在 ISO

16、的OSI 安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務? A加密B.數字簽名(正確答案)C訪問控制D路由控制答案解析：數字簽名可以提供抗抵賴、鑒別和完整性。22. 某公司已有漏洞掃描和入侵檢測系統(tǒng)(Intrusion Detection System，IDS)產品，需要購買防火墻，以下做法應當優(yōu)先考慮的是:( ) A選購當前技術最先進的防火墻即可B選購任意一款品牌防火墻C任意選購一款價格合適的防火墻產品D選購一款同已有安全產品聯動的防火墻(正確答案)答案解析：在技術條件允許情況下，可以實現IDS 和FW 的聯動。23. 在 OSI 參考模型中有 7 個層次，提供了相應的安全服務來加

17、強信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數據完整性服務?( ) A.網絡層(正確答案)B表示層C會話層D物理層答案解析：網絡層和應用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務。24. 某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經理和人事部門人員同時進行確認才能在系統(tǒng)上執(zhí)行，該設計是遵循了軟件安全哪項原則( ) A.最小權限B.權限分離(正確答案)C不信任D縱深防御答案解析：權限分離是將一個較大的權限分離為多個子權限組合操作來實現。25. 以下關于互聯網協議安全(Internet Protocol Security，IPSec)協議說法錯誤的

18、是:( ) A在傳送模式中，保護的是 IP 負載。B. 驗證頭協議(Authentication Header，AH)和 IP 封裝安全載荷協議(Encapsulating Security Payload，ESP) 都能以傳輸模式和隧道模式工作。C. 在隧道模式中，保護的是整個互聯網協議 IP 包，包括IP 頭。DIPSec 僅能保證傳輸數據的可認證性和保密性。(正確答案)答案解析：IPSEC 可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務。26. 某電子商務網站在開發(fā)設計時，使用了威脅建模方法來分折電子商務網站所面臨的威脅，STRIDE 是微軟 SDL 中提出的威脅建模方法，將威脅

19、分為六類，為每一類威脅提供了標準的消減措施，Spoofing 是 STRIDE 中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?( ) A. 網站競爭對手可能雇傭攻擊者實施 DDoS 攻擊，降低網站訪問速度B. 網站使用http 協議進行瀏覽等操作，未對數據進行加密，可能導致用戶傳輸信息泄露，如購買的商品金額等C. 網站使用 http 協議進行瀏覽等操作，無法確認數據與用戶發(fā)出的是否一致，可能數據被中途篡改D. 網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息(正確答案)答案解析：A 屬于可用性；B 保密性；C 屬于完整性。27

20、. 以下關于 PGP(Pretty Good Privacy)軟件敘述錯誤的是:( ) APGP 可以實現對郵件的加密、簽名和認證BPGP 可以實現數據壓縮CPGP 可以對郵件進行分段和重組DPGP 采用 SHA 算法加密郵件(正確答案)答案解析：SHA 不提供加密，SHA 是摘要算法提供數據完整性校驗。28. 入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安全技術，它與 IDS 有著許多不同點，請指出下列哪一項描述不符合 IPS 的特點?( ) A. 串接到網絡線路中B. 對異常的進出流量可以直接進行阻斷C有可能造成單點故障D不會影響網絡性能(正確答案)答案解析：IP

21、S 在串聯情況下，會影響網絡性能。29. 相比文件配置表(FAT)文件系統(tǒng)，以下哪個不是新技術文件系統(tǒng)(NTFS)所具有的優(yōu)勢?( ) ANTFS 使用事務日志自動記錄所有文件夾和文件更新，當出現系統(tǒng)損壞和電源故障等問題，而引起操作失敗后， 系統(tǒng)能利用日志文件重做或恢復未成功的操作BNTFS 的分區(qū)上，可以為每個文件或文件夾設置單獨的許可權限C對于大磁盤，NTFS 文件系統(tǒng)比 FAT 有更高的磁盤利用率D.相比 FAT 文件系統(tǒng)，NTFS 文件系統(tǒng)能有效的兼容linux 下EXT2 文件格式(正確答案)答案解析：NTFS 不能兼容 EXT 文件系統(tǒng)。30. 某公司系統(tǒng)管理員最近正在部署一臺 W

22、eb 服務器，使用的操作系統(tǒng)是 windows，在進行日志安全管理設置時，系統(tǒng)管理員擬定四條日志安全策略給領導進行參考，其中能有效應對攻擊者獲得系統(tǒng)權限后對日志進行修改的策略是:( ) A. 網絡中單獨部署 syslog 服務器，將Web 服務器的日志自動發(fā)送并存儲到該syslog 日志服務器中(正確答案)B. 嚴格設置 Web 日志權限，只有系統(tǒng)權限才能進行讀和寫等操作C. 對日志屬性進行調整，加大日志文件大小、延長覆蓋時間、設置記錄更多信息等D使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間答案解析：在多重備份存儲情況下，可以防護日志被篡改的攻擊(前提非實時同步)。31. 關于 lin

23、ux 下的用戶和組，以下描述不正確的是( ) 。 A在 linux 中，每一個文件和程序都歸屬于一個特定的“用戶”B系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C. 用戶和組的關系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組(正確答案)D. root 是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權限答案解析：一個用戶可以屬于多個組。32. 安全的運行環(huán)境是軟件安全的基礎，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工作，某管理員對即將上線的 Windows 操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設置不利于提高運行環(huán)境安全?( ) A. 操作系統(tǒng)安裝完成后安裝最新的安全

24、補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞B. 為了方便進行數據備份，安裝Windows 操作系統(tǒng)時只使用一個分區(qū)C，所有數據和操作系統(tǒng)都存放在 C 盤(正確答案)C操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅D將默認的管理員賬號 Administrator 改名，降低口令暴力破解攻擊的發(fā)生可能答案解析：操作系統(tǒng)和應用安全裝應分開不同磁盤部署。33. 在數據庫安全性控制中，授權的數據對象，授權子系統(tǒng)就越靈活? ( ) A粒度越小(正確答案)B約束越細致C范圍越大D約束范圍大答案解析：數據粒度越細則授權策略越靈活便利。34. 下列哪一些對信息安全漏洞的描述是錯誤的? ( ) A漏洞是存在于信息系統(tǒng)

25、的某種缺陷。B. 漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE 中、過程中等)。C. 具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D. 漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(正確答案)答案解析：漏洞是人為故意或非故意引入的弱點。35. 賬號鎖定策略中對超過一定次數的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊? () A分布式拒絕服務攻擊(DDoS)B病毒傳染C. 口令暴力破解(正確答案)D緩沖區(qū)溢出攻擊答案解析：賬號鎖定是為了解決暴力破解攻擊的。36. 以下哪個不是導致地址解析協議(ARP)欺騙的根源之一? () AAR

26、P 協議是一個無狀態(tài)的協議B為提高效率，ARP 信息在系統(tǒng)中會緩存CARP 緩存是動態(tài)的，可被改寫DARP 協議是用于尋址的一個重要協議(正確答案)答案解析：D 不是導致欺騙的根源。37. 張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?( ) A口令攻擊B暴力破解C. 拒絕服務攻擊D. 社會工程學攻擊(正確答案)答案解析：D 屬于社會工程學攻擊。38. 關于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是:( ) A在軟件開發(fā)的各個周期都要考慮安全因素B. 軟件安全開發(fā)生命周期要綜合采用技術、管理和工程等

27、手段C. 測試階段是發(fā)現并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本(正確答案)D在設計階段就盡可能發(fā)現并改正安全隱患，將極大減少整個軟件開發(fā)成本答案解析：設計階段是發(fā)現和改正問題的最佳階段。39. 在軟件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能， 下列哪個選項不屬于核心業(yè)務功能:( ) A. 治理，主要是管理軟件開發(fā)的過程和活動B. 構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動C驗證，主要是測試和驗證軟件的過程與活動D. 購置，主要是購買第三方商業(yè)軟件或者采用開源組

28、件的相關管理過程與活動(正確答案)答案解析：SAMM 模型四個部分是治理、構造、驗證和部署。40. 從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是:( ) A. 系統(tǒng)安全工程旨在了解企業(yè)存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全需求轉換為貫穿系統(tǒng)整個生存期的工程實施指南。B. 系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內。C. 系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法。(正確答案)D系統(tǒng)安全工程能力成熟度模型(SSE

29、-CMM)是在原有能力成熟度模型(CMM)的基礎上，通過對安全工作過程進行答案解析：SSE-CMM 是面向工程過程質量控制的一套方法。41. 有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(Base Practices，BP)，正確的理解是:( ) ABP 是基于最新技術而制定的安全參數基本配置B. 大部分 BP 是沒有經過測試的C. 一項 BP 適用于組織的生存周期而非僅適用于工程的某一特定階段(正確答案)D. 一項 BP 可以和其他BP 有重疊答案解析：A 錯誤，BP 基于最佳的工程過程實踐；B 錯誤，BP 是經過測試的；D 錯誤，一項 BP 和其他的 BP 是不重復。42

30、. 以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的? () A是否己經通過部署安全控制措施消滅了風險B. 是否可以抵抗大部分風險C. 是否建立了具有自適應能力的信息安全模型D. 是否已經將風險控制在可接受的范圍內(正確答案)答案解析：判斷風險控制的標準是風險是否控制在接受范圍內。43. 以下關于信息安全法治建設的意義，說法錯誤的是:( ) A信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B明確違反信息安全的行為，并對行為進行相應的處罰，以打擊信息安全犯罪活動C信息安全主要是技術問題，技術漏洞是信息犯罪的根源(正確答案)D信息安全產業(yè)的逐漸形成，需要成熟的技術標準和完善的技術體系答案解析：信息安

31、全問題是多方面存在的，不能認為主要為技術問題，同時技術漏洞不是犯罪的根源所在。44. 小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經受某種災害的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致資產總價值損失二成四(24%)，歷史數據統(tǒng)計告知該災害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預期損失為多少:( ) A24 萬B009 萬C375 萬D.9 萬(正確答案)答案解析：計算公式為 100 萬24%(3/8)=9 萬45. 2005 年 4 月 1 日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的

32、法律效力。以下關于電子簽名說法錯誤的是:( ) A電子簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據B電子簽名適用于民事活動中的合同或者其他文件、單證等文書C電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務D電子簽名制作數據用于電子簽名時，屬于電子簽名人和電子認證服務提供者共有(正確答案)答案解析：電子簽名不可以與認證服務提供者共有。46. 風險管理的監(jiān)控與審查不包含:( ) A過程質量管理B. 成本效益管理C. 跟蹤系統(tǒng)自身或所處環(huán)境的變化D協調內外部組織機構風險管理活動(正確答案)答案解析：D 答案屬于溝通咨詢工作，ABC 屬于風

33、險管理的監(jiān)控審查工作。風險管理過程包括背景建立、風險評估、風險處理、批準監(jiān)督，以及溝通咨詢和監(jiān)控審查。47. 信息安全等級保護要求中，第三級適用的正確的是:( ) A. 適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經濟建設和公共利益B. 適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破壞后， 會對國家安全、社會秩序、經濟建設和公共利益造成一般損害(正確答案)C. 適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成

34、嚴重損害D. 適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后， 會對國家安全、社會秩序，經濟建設和公共利益造成特別嚴重損害答案解析：題目中B 為等級保護三級，該考點為等級保護定級指南。48. 下面哪一項安全控制措施不是用來檢測未經授權的信息處理活動的:( ) A設置網絡連接時限(正確答案)B. 記錄并分析系統(tǒng)錯誤日志C. 記錄并分析用戶和管理員操作日志D啟用時鐘同步答案解析：A 屬于防護措施；BCD 屬于檢測措施，可以用來檢測未經授權的信息處理活動。49. 有關危害國家秘密安全的行為的法律責任，正確的是:( ) A. 嚴重違反保密規(guī)定行為只要發(fā)生

35、，無論產生泄密實際后果，都要依法追究責任(正確答案)B. 非法獲取國家秘密，不會構成刑事犯罪，不需承擔刑事責任C過失泄露國家秘密，不會構成刑事犯罪，不需承擔刑事責任D承擔了刑事責任，無需再承擔行政責任和或其他處分50. 以下對于信息安全事件理解錯誤的是:( ) A. 信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件B. 對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰(zhàn)略的一部分C應急響應是信息安全事件管理的重要內容D. 通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統(tǒng)

36、提供保護，杜絕信息安全事件的發(fā)生(正確答案)答案解析：安全事件無法杜絕。51. 假設一個系統(tǒng)已經包含了充分的預防控制措施，那么安裝監(jiān)測控制設備:( ) A是多余的，因為它們完成了同樣的功能，但要求更多的開銷B是必須的，可以為預防控制的功效提供檢測C是可選的，可以實現深度防御(正確答案)D在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預防控制功能已經足夠答案解析：正確為C。52. 關于我國加強信息安全保障工作的主要原則，以下說法錯誤的是:( ) A立足國情，以我為主，堅持技術與管理并重B正確處理安全和發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全C統(tǒng)籌規(guī)劃，突出重點，強化基礎工作D全

37、面提高信息安全防護能力，保護公眾利益，維護國家安全(正確答案)答案解析：D 描述的是信息安全保障工作目標；ABC 描述的是信息安全保障的原則。53. 以下哪一項不是信息安全管理工作必須遵循的原則?( ) A. 風險管理在系統(tǒng)開發(fā)之初就應該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B. 風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內的持續(xù)性工作C由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對較低(正確答案)D在系統(tǒng)正式運行后，應注重殘余風險的管理，以提高快速反應能力答案解析：安全措施投入應越早則成本越低，C 答案則成本會上升。54. 信息安全技術 信息

38、安全風險評估規(guī)范(GBT 20984-2007)中關于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是:( ) A. 規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B. 設計階段的風險評估需要根據規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產重要性，提出安全功能需求C. 實施階段風險評估的目的是根據系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證D. 運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種全面的風險評估。評估內容包括對真實運行的信息系統(tǒng)、資產、脆弱性等各方面(正確答案)答案解析：該題目來源于信息安全技術 信息安全

39、風險評估規(guī)范(GBT 20984-2007)，其原文描述 D 為“是一種較全面的風險評估”。55. 對信息安全風險評估要素理解正確的是:( ) A. 資產識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設備，也可以是業(yè)務系統(tǒng)，也可以是組織機構(正確答案)B. 應針對構成信息系統(tǒng)的每個資產做風險評價C. 脆弱性識別是將信息系統(tǒng)安全現狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案解析：B 錯誤，應該是抽樣評估；C 錯誤，應該其描述的是差距分析；D 錯誤，應是威脅包括人為威脅和環(huán)境威脅。56. 以下哪些是需要在信息安全策略中

40、進行描述的:( ) A組織信息系統(tǒng)安全架構B. 信息安全工作的基本原則(正確答案)C組織信息安全技術參數D組織信息安全實施手段答案解析：安全策略是宏觀的原則性要求，不包括具體的架構、參數和實施手段。57. 根據關于開展信息安全風險評估工作的意見的規(guī)定，錯誤的是:( ) A.信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和檢查評估相互結合、互為補充(正確答案)B信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效”的原則開展C. 信息安全風險評估應貫穿于網絡和信息系統(tǒng)建設運行的全過程D. 開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導答案解析：信息

41、安全風險評估應以自評估(自查)為主。58. 下面的角色對應的信息安全職責不合理的是:( ) A高級管理層最終責任B. 信息安全部門主管提供各種信息安全工作必須的資源(正確答案)C系統(tǒng)的普通使用者遵守日常操作規(guī)范D審計人員檢查安全策略是否被遵從答案解析：通常由管理層提供各種信息安全工作必須的資源。59. 自 2004 年 1 月起，國內各有關部門在申報信息安全國家標準計劃項目時，必須經由以下哪個組織提出工作意見， 協調一致后由該組織申報( )。 A. 全國通信標準化技術委員會(TC485)B. 全國信息安全標準化技術委員會(TC260)(正確答案)C中國通信標準化協會(CCSA)D網絡與信息安全

42、技術工作委員會答案解析：答案為B。60. 風險計算原理可以用下面的范式形式化地加以說明：風險值=R(A，T，V)=R(L(T，V)，F(Ia，Va)以下關于上式各項說明錯誤的是:( ) AR 表示安全風險計算函數，A 表示資產，T 表示威脅，V 表示脆弱性BL 表示威脅利資產脆弱性導致安全事件的可能性CF 表示安全事件發(fā)生后造成的損失CF 表示安全事件發(fā)生后造成的損失DIa，Va 分別表示安全事件作用全部資產的價值與其對應資產的嚴重程度(正確答案)答案解析：Ia 資產 A 的價值；Va 資產 A 的脆弱性。61. 以下哪一項在防止數據介質被濫用時是不推薦使用的方法:( ) A禁用主機的 CD

43、驅動、USB 接口等 IO 設備B對不再使用的硬盤進行嚴格的數據清除C將不再使用的紙質文件用碎紙機粉碎D. 用快速格式化刪除存儲介質中的保密文件(正確答案)答案解析：快速格式化刪除存儲介質中的保密文件不能防止信息泄露。62. 在進行應用系統(tǒng)的測試時，應盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生產系統(tǒng)中的數據，如果需要使用時，以下哪一項不是必須做的:( ) A測試系統(tǒng)應使用不低于生產系統(tǒng)的訪問控制措施B為測試系統(tǒng)中的數據部署完善的備份與恢復措施(正確答案)C在測試完成后立即清除測試系統(tǒng)中的所有敏感數據D部署審計措施，記錄生產數據的拷貝和使用63. 為了保證系統(tǒng)日志可靠有效，以下哪一項不是日

44、志必需具備的特征( )。 A統(tǒng)一而精確地的時間B. 全面覆蓋系統(tǒng)資產C. 包括訪問源、訪問目標和訪問活動等重要信息D. 可以讓系統(tǒng)的所有用戶方便的讀取(正確答案)答案解析：日志只有授權用戶可以讀取。64. 關于信息安全事件管理和應急響應，以下說法錯誤的是:( ) A. 應急響應是指組織為了應對突發(fā)重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施B. 應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤 6 個階段(正確答案)C對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素D根據信息安全事件的分級參考要素，可將信息安全事件劃分為 4

45、個級別：特別重大事件(級)、重大事件( 級)、較大事件(級)和一般事件(級)答案解析：應急響應的六個階段是準備、檢測、遏制、根除、恢復、跟蹤總結。65. 以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分:( ) A監(jiān)理咨詢支撐要素B.控制和管理手段C監(jiān)理咨詢階段過程D.監(jiān)理組織安全實施(正確答案)答案解析：監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。66. 以下關于災難恢復和數據備份的理解，說法正確的是:( ) A增量備份是備份從上次完全備份后更新的全部數據文件B. 依據具備的災難恢復資源程度的不同，災難恢復能力分為 7 個等級C. 數據備份按數據類型劃分可以劃分為系統(tǒng)數

46、據備份和用戶數據備份(正確答案)D如果系統(tǒng)在一段時間內沒有出現問題，就可以不用再進行容災演練了答案解析：A 錯誤，因為差分備份是上次全備后的更新數據；增量備份是任何上一次備份后的更新數據。全備份周期最長、次之差分備份，更新周期最短是增量備份。B 錯誤，我國災備能力級別一共分為 6 級。D 是明顯的錯誤。67. 某公司擬建設面向內部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標選擇 M 公司為承建單位， 并選擇了 H 監(jiān)理公司承擔該項目的全程監(jiān)理工作，目前，各個應用系統(tǒng)均已完成開發(fā)，M 公司已經提交了驗收申請，監(jiān)理公司需要對 A 公司提交的軟件配置文件進行審查，在以下所提交的文檔中，

47、哪一項屬于開發(fā)類文檔:( ) A項目計劃書B質量控制計劃C評審報告D. 需求說明書(正確答案)答案解析：ABC 其均屬于項目管理文檔。需求說明書、設計說明書、測試方案、測試用例等屬于開發(fā)類文檔。68. 在某網絡機房建設項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內容:( ) A審核實施投資計劃(正確答案)B審核實施進度計劃C審核工程實施人員D. 企業(yè)資質答案解析：監(jiān)理從項目招標開始到項目的驗收結束，在投資計劃階段沒有監(jiān)理。69. 以下關于直接附加存儲(Direct Attached Storage，DAS)說法錯誤的是:( ) ADAS 能夠在服務器物理位置比較分散的情況下實現大容量存儲是

48、一種常用的數據存儲方法BDAS 實現了操作系統(tǒng)與數據的分離，存取性能較高并且實施簡單CDAS 的缺點在于對服務器依賴性強，當服務器發(fā)生故障時，連接在服務器上的存儲設備中的數據不能被存取D較網絡附加存儲(Network Attached Storage，NAS)，DAS 節(jié)省硬盤空間，數據非常集中，便于對數據進行管(正確答案)答案解析：NAS 優(yōu)點數據集中、節(jié)約空間，缺點是占用網絡帶寬、存儲中心存在單點故障。DAS 優(yōu)點數據分散、風險分散，缺點是存儲空間利用率低、不便于統(tǒng)一管理。SAN 基于 NAS 的進一步實現，基于高速網絡、多備份中心來進行實現。70. 某公司在執(zhí)行災難恢復測試時信息安全專業(yè)

49、人員注意到災難恢復站點的服務器的運行速度緩慢，為了找到根本愿因，他應該首先檢查:( ) A災難恢復站點的錯誤事件報告(正確答案)B災難恢復測試計劃C. 災難恢復計劃(DRP)D. 主站點和災難恢復站點的配置文件答案解析：答案為A。71. 以下對異地備份中心的理解最準確的是:( ) A與生產中心不在同一城市B. 與生產中心距離 100 公里以上C. 與生產中心距離 200 公里以上D. 與生產中心面臨相同區(qū)域性風險的機率很小(正確答案)答案解析：答案為D，備份中心的綜合風險小于主中心。72. 作為業(yè)務持續(xù)性計劃的一部分，在進行業(yè)務影響分析（）時的步驟是：( ) 1標識關鍵的業(yè)務過程;2. 開發(fā)恢

50、復優(yōu)先級;3. 標識關鍵的IT 資源;4. 表示中斷影響和允許的中斷時間 A1-3-4-2(正確答案)B1-3-2-4C1-2-3-4D1-4-3-273. 有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯誤的理解是:( ) ASSE-CMM 要求實施組織與其他組織相互作用，如開發(fā)方、產品供應商、集成商和咨詢服務商等BSSE-CMM 可以使安全工程成為一個確定的、成熟的和可度量的科目C. 基手 SSE-CMM 的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施(正確答案)D. SSE-CMM 覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動答案解析

51、：SSE-CMM 是系統(tǒng)工程，不可以獨立實施。74. 下面關于信息系統(tǒng)安全保障的說法不正確的是:( ) A. 信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命周期密切相關B. 信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性(正確答案)C. 信息系統(tǒng)安全需要從技術、工程、管理和人員四個領域進行綜合保障D. 信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風險降低到可接受的程度，從而實現其業(yè)務使命答案解析：信息系統(tǒng)安全保障要素為技術、工程、管理和人員四個領域。信息系統(tǒng)安全保障的安全特征是完整、保密和可用性。75. 在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織

52、的安全工程能力成熟度進行測量時，正確的理解是:( ) A測量單位是基本實施(Base Practices，BP)B測量單位是通用實踐(Generic Practices，GP)C測量單位是過程區(qū)域(Process Areas，PA)D測量單位是公共特征(Common Features，CF)(正確答案)答案解析：正確答案為D。76. 下面關于信息系統(tǒng)安全保障模型的說法不正確的是:( ) A. 國家標準信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型(GBT202741-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心B. 模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系

53、統(tǒng)安全保障具體操作時，可根據具體環(huán)境和要求進行改動和細化C. 信息系統(tǒng)安全保障強調的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D. 信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入(正確答案)答案解析：單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面需要投入。77. 信息系統(tǒng)安全工程(ISSE)的一個重要目標就是在 IT 項目的各個階段充分考慮安全因素，在 IT 項目的立項階段， 以下哪一項不是必須進行的工作:( ) A明確業(yè)務對信息安全的要求B識別來自法律法規(guī)的安全要求C論證安全要求是否正確完整D. 通過測試證明

54、系統(tǒng)的功能和性能可以滿足安全要求(正確答案)答案解析：D 屬于項目的驗收階段，不屬于 IT 項目的立項階段，題干屬于立項階段。78. 關于信息安全保障技術框架(IATF)，以下說法不正確的是:( ) A. 分層策略允許在適當的時候采用低安全級保障解決方案以便降低信息安全保障的成本B. IATF 從人、技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎設施C. 允許在關鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性DIATF 深度防御戰(zhàn)略要求在網絡體系結構各個可能位置實現所有信息安全保障機制(正確答案)答案解析：IATF 是在網絡的各位置實現所

55、需的安全機制。79. 某單位開發(fā)一個面向互聯網提供服務的應用網站，該單位委托軟件測評機構對軟件進行了源代碼分析，模糊測試等軟件測試，在應用上線前，項目經理提出了還需要對應用網站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性的優(yōu)勢?( ) A. 滲透測試使用人工進行測試，不依賴軟件，因此測試更準確B. 滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C. 滲透測試以攻擊者思維模擬真實攻擊，能發(fā)現如配置錯誤等運行維護期產生的漏洞(正確答案)D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現的漏洞更多答案解析：C 是滲透測試的優(yōu)點。80. 以下關于軟件安全測試說法正確的是() A.軟件安全測試就是黑盒測試B.FUZZ 測試是經常采用的安全測試方法之一(正確答案)C.軟件安全測試關注的是軟件的功能D.軟件安全測試可以發(fā)現軟件中產生的所有安全問題答案解析：B 是正確答案。81. 信息安全工程作為信息安全保障的重要組成部