2015新版CISP重要試題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上2015新版CISP重要試題216 1美國的關(guān)鍵信息基礎(chǔ)設(shè)施(critical Information Infrastructure，CII)包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括： A這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠 B這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域 C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出 D這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失 2關(guān)于我國信息安全保障工作發(fā)

2、展的幾個階段，下列哪個說法不正確： AXXXX年是啟動階段，標志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機構(gòu)是我國信息安全保障工作的最高領(lǐng)導(dǎo)機構(gòu) BXXXX年是逐步展開和積極推進階段，標志性事件是發(fā)布了指導(dǎo)性文件關(guān)于加強信息安全保障工作的意見(中辦發(fā)27 號文件)并頒布了國家信息安全戰(zhàn)略 CXXXX年1 月2 日，美目發(fā)布第54 號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃（ComprehensiveNational Cybersecurity Initiative，CNCI)。CNCI 計劃建立三道防線：第一道防線，減少 漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，強化未來安全環(huán)境

3、從以上內(nèi)容，我們可以看出以下哪種分析是正確的： ACNCI 是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險 B.從CNCI 可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的 CCNCI 的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補 DCNCI 徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障& 10下列對于信息安全保障深度防御模型的說法錯誤的是： A信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家

4、政策、法律法規(guī)和標準的外部環(huán)境制約下。 B信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。 C信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。 D信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”。 11如圖，某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類： A個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別 B由可信第三方完成的用戶身份鑒別 C.個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別 D用戶

5、對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別 12如下圖所示，Alice 用Bob 的密鑰加密明文，將密文發(fā)送給Bob。Bob 再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是： A此密碼體制為對稱密碼體制 B此密碼體制為私鑰密碼體制 C此密碼體制為單鑰密碼體制 D此密碼體制為公鑰密碼體制 13下列哪一種方法屬于基于實體“所有”鑒別方法： A用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別 B用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別 C用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送的挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別 D.用戶使用集成電路卡(如智能卡)完成身份鑒別 14為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶

6、安全登錄，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景 中用到下列哪些鑒別方法? A.實體“所知”以及實體“所有”的鑒別方法 B實體“所有”以及實體“特征”的鑒別方法 C實體“所知”以及實體“特征”的鑒別方法 D實體“所有”以及實體“行為”的鑒別方法 15某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、 模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢? A.滲透測試以攻擊者的思維模擬真實攻

7、擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞 B滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高 C滲透測試使用人工進行測試，不依賴軟件，因此測試更準確 D滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多 16軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護的說法哪個是錯誤的? A告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用 B當用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許 C用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是 D確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī) 17軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思 想，在有限資源前提下

8、實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是： A.在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實 B在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足 C確保對軟編碼人員進行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼 D在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行 18以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議： A

9、.VTP BL2F CPPTP DL2TP 19如圈所示，主體S 對客體01 有讀(R)權(quán)限，對客體02 有讀(R)、寫(W)、擁有(Own)權(quán)限，該圖所示的訪問控制實現(xiàn)方法是： A訪問控制表(ACL) B訪問控制矩陣 C.能力表(CL) D前綴表(Profiles) 20以下場景描述了基于角色的訪問控制模型(Role-based Access ControlRBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負責將權(quán)限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關(guān)于RBAC 模型，下列說法錯誤的是： A當用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當

10、前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕 B業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC 模型中的角色 C通過角色，可實現(xiàn)對信息資源訪問的控制 D.RBAC 模型不能實現(xiàn)多級安全中的訪問控制 21下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標準： A第二層隧道協(xié)議(L2TP) BInternet 安全性(IPSEC) C.終端訪問控制器訪問控制系統(tǒng)(TACACS+) D點對點隧道協(xié)議(PPTP) 22下列對網(wǎng)絡(luò)認證協(xié)議(Kerberos)描述正確的是： A該協(xié)議使用非對稱密鑰加密機制 B密鑰分發(fā)中心由認證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成 C該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)

11、D使用該協(xié)議不需要時鐘基本同步的環(huán)境 23鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的： A口令 B令牌 C知識 D密碼 24在ISO 的OSI 安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)? A加密 B.數(shù)字簽名 C訪問控制 D路由控制 25某公司已有漏洞掃描和入侵檢測系統(tǒng)(Intrusien Detection System，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當優(yōu)先考慮的是： A選購當前技術(shù)最先進的防火墻即可 B選購任意一款品牌防火墻 C任意選購一款價格合適的防火墻產(chǎn)品 D選購一款同已有安全產(chǎn)品聯(lián)動的防火墻 26在OSI 參考模型中有7 個層次

12、，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)? A.網(wǎng)絡(luò)層 B表示層 C會話層 D物理層 27某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時進行確認才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全設(shè)計中的哪項原則? A.最小權(quán)限 B.權(quán)限分離 C不信任 D縱深防御 28以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(Internet Protocol Security，IPsec)協(xié)議說法錯誤的是： A在傳送模式中，保護的是IP 負載 B驗證頭協(xié)議(Authentication Head，AH)和IP 封裝安全載荷協(xié)議(Encaps

13、ulatingSecurity Payload，ESP)都能以傳輸模式和隧道模式工作 c在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)包，包括IP 頭 D.IPsec 僅能保證傳輸數(shù)據(jù)的可認證性和保密性 29某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE 是微軟SDL 中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing 是STRIDE 中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅? A網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS 攻擊，降低網(wǎng)站訪問速度 B網(wǎng)站使用http 協(xié)議進行瀏

14、覽等操作，未對數(shù)據(jù)進行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購買的商品金額等 C網(wǎng)站使用http 協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改 D網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息 30.以下關(guān)于PGP(Pretty Good Privacy)軟件敘述錯誤的是： APGP 可以實現(xiàn)對郵件的加密、簽名和認證 BPGP 可以實現(xiàn)數(shù)據(jù)壓縮 CPGP 可以對郵件進行分段和重組 DPGP 采用SHA 算法加密郵件 31入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安全技術(shù)，它

15、與IDS 有著許多不同點，請指出下列哪一項描述不符合IPS 的特點? A串接到網(wǎng)絡(luò)線路中 B對異常的進出流量可以直接進行阻斷 C有可能造成單點故障 D.不會影響網(wǎng)絡(luò)性能 32相比文件配置表(FAT)文件系統(tǒng)，以下哪個不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢? ANTFS 使用事務(wù)日志自動記錄所有文件夾和文件更新，當出現(xiàn)系統(tǒng)損壞和電源故障等闖題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作 BNTFS 的分區(qū)上，可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限 C對于大磁盤，NTFS 文件系統(tǒng)比FAT 有更高的磁盤利用率 D.相比FAT 文件系統(tǒng)，NTFS 文件系統(tǒng)能有效的兼容linux

16、下EXT2 文件格式 33某公司系統(tǒng)管理員最近正在部署一臺Web 服務(wù)器，使用的操作系統(tǒng)是windows，在進行日志安全管理設(shè)置時，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進行參考，其中能有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進行修改的策略是： A在網(wǎng)絡(luò)中單獨部署syslog 服務(wù)器，將Web 服務(wù)器的日志自動發(fā)送并存儲到該syslog 日志服務(wù)器中 B.嚴格設(shè)置Web 日志權(quán)限，只有系統(tǒng)權(quán)限才能進行讀和寫等操作 C對日志屬性進行調(diào)整，加大日志文件大小、延長日志覆蓋時間、設(shè)置記錄更多信息等 D使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間 34關(guān)于linux 下的用戶和組，以下描述不正確的是。

17、A在linux 中，每一個文件和程序都歸屬于一個特定的“用戶” B系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組 C.用戶和組的關(guān)系可以是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組 Droot 是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限 35安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows 操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運行環(huán)境安全? A操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞 B.為了方便進行數(shù)據(jù)備份，安裝Windows 操作系統(tǒng)時只使用一個

18、分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C 盤 C操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅 D將默認的管理員賬號Administrator 改名，降低口令暴力破解攻擊的發(fā)生可能 36在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活? A.粒度越小 B約束越細致 C范圍越大 D約束范圍大 37下列哪一些對信息安全漏洞的描述是錯誤的? A漏洞是存在于信息系統(tǒng)的某種缺陷。 B漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE 中、過程中等)。 C具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。 D漏洞都是人為故意引入的一種信息系統(tǒng)的弱點

19、 38賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊? A分布式拒絕服務(wù)攻擊(DDoS) B病毒傳染 C.口令暴力破解 D緩沖區(qū)溢出攻擊 39數(shù)據(jù)在進行傳輸前，需要由協(xié)議棧自上而下對數(shù)據(jù)進行封裝，TCPIP 協(xié)議中，數(shù)據(jù)封裝的順序是： A傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層 B傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層 C互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層 D互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層 40以下哪個不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一? AARP 協(xié)議是一個無狀態(tài)的協(xié)議 B為提高效率，ARP 信息在系統(tǒng)中會緩存 CARP 緩存是動態(tài)的，可被改寫 D.ARP 協(xié)議是用于尋址的一個

20、重要協(xié)議 41張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊? A口令攻擊 B暴力破解 C拒絕服務(wù)攻擊 D.社會工程學(xué)攻擊 42關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是： A在軟件開發(fā)的各個周期都要考慮安全因素 B軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段 C測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本 D在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件 開發(fā)成本 43在軟件保障成熟度模型(Software Assurance Matu

21、rity ldode，SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能： A治理，主要是管理軟件開發(fā)的過程和活動 B.構(gòu)造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動 C驗證，主要是測試和驗證軟件的過程與活動 D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動&部署 44從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是： A系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。 B系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)

22、的信任度能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。 C系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法。 D系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進學(xué)科。 45小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找 工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的“背景建立”的基本概念與認識，小王的主要觀點包括：(1)背景建立的目的是為了明確

23、信息安全 風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)驗管理項目的規(guī)劃和準備；(2)背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果； (3)背景建立包括：風(fēng)險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；(4)背景建立的階段性成果包括：風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、 信息系統(tǒng)的安全要求報告。請問小王的所述論點中錯誤的是哪項： A第一個觀點，背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象 B第二個觀點，背景建立的依據(jù)是國家、地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標準 C.第三個觀點，背景建立中的信息系統(tǒng)調(diào)查與信息系

24、統(tǒng)分析是同一件事的兩個不同名字 D第四個觀點，背景建立的階段性成果中不包括有風(fēng)險管理計劃書 46有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(Base Practices，BP)，正確的理解是： ABP 是基于最新技術(shù)而制定的安全參數(shù)基本配置 B大部分BP 是沒有經(jīng)過測試的 C.一項BP 適用于組織的生存周期而非僅適用于工程的某一特定階段 D一項BP 可以和其他BP 有重疊 47以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的? A是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險 B是否可以抵抗大部分風(fēng)險 C是否建立了具有自適應(yīng)能力的信息安全模型 D.是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)

25、48以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是： A信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié) B明確違反信息安全的行為，并對該行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動 C信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源 D信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標準和完善的技術(shù)體系 49小張是信息安全風(fēng)險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的風(fēng)險進行評估，已知：核心機房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù) 期損失為多少： A24 萬 B009 萬 C375 萬 D.9

26、萬 50XXXX年4 月1 日正式施行的電子簽名法，被稱為個“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是： A.電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名b人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù) B電子簽名適用于民事活動中的合同或者其他文件、單證等文書 C電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù) D答案錯 51風(fēng)險管理的監(jiān)控與審查不包含： A過程質(zhì)量管理 B成本效益管理 C跟蹤系統(tǒng)自身或所處環(huán)境的變化 D協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動 52信息安全等級保護分級要求，第三級適用正確的是：

27、 A適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟設(shè)和公共利益 B適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害 C適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和 信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害 D適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設(shè)和公共利益造成特別嚴重損害 53下面哪一項安

28、全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的： A設(shè)置網(wǎng)絡(luò)連接時限 B記錄并分析系統(tǒng)錯誤日志 C記錄并分析用戶和管理員操作日志 D啟用時鐘同步 54有關(guān)危害國家秘密安全的行為的法律責任，正確的是： A嚴重違反保密規(guī)定行為只要發(fā)生，無論是否產(chǎn)生泄密實際后果，都要依法追究責任 B非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔刑事責任 C過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔刑事責任 D承擔了刑事責任，無需再承擔行政責任和或其他處分 55以下對于信息安全事件理解錯誤的是： A信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影

29、響的事件 B對信息安全事件進行有效管理和響應(yīng)，最小化事件所造成的損失 和負面影響，是組織信息安全戰(zhàn)略的一部分 C應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容 D.通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息安全事件的發(fā)生 56假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備： A是多余的，因為它們完成了同樣的功能，但要求更多的開銷 B是必須的，可以為預(yù)防控制的功效提供檢測 C是可選的，可以實現(xiàn)深度防御 D在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制的功能已經(jīng)足夠 57關(guān)于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：

30、A立足國情，以我為主，堅持技術(shù)與管理并重 B正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全 C統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作 D全面提高信息安全防護能力，保護公眾利益，維護國家安全 58以下哪一項不是信息安全管理工作必須遵循的原則? A風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中 B風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作 C由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強， 實施成本會相對較低 D在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力 59信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GBT XXXX年1

31、月起，國內(nèi)各有關(guān)部門在申報信息安全國家標準計劃項目時，必須經(jīng)由以下哪個組織提出工作意見，協(xié)調(diào)一致后由該組織申報。 A全國通信標準化技術(shù)委員會(TC485) B.全國信息安全標準化技術(shù)委員會(TC260) C中國通信標準化協(xié)會(CCSA) D網(wǎng)絡(luò)與信息安全技術(shù)工作委員會 工程等分別規(guī)劃實施 D.SSE-CMM 覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動 83下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是： A信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命周期密切相關(guān) B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性 C信息系統(tǒng)安

32、全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障 D信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險降低到可接受的程度，從而實現(xiàn)其業(yè)務(wù)使命 84在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是： A測量單位是基本實施(Base Practices，BP) B測量單位是通用實施(Generic Practices，GP) C測量單位是過程區(qū)域(Process Areas，PA) D測量單位是公共特征(Common Features，CF) 85下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是： A國家標準信息系統(tǒng)安全保障評估框架第一部分：簡介和一般

33、模型(GBT202741-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心 B模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信 息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化 C信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全 D信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓(xùn)方面不需要投入 86信息系統(tǒng)安全工程(ISSE)的一個重要目標就是在IT 項目的各個階段充分考慮安全因素，在IT 項目的立項階段，以下哪一項不是必須進行的工作： A明確業(yè)務(wù)對信息安全的要求 B識別來自法律法規(guī)

34、的安全要求 C論證安全要求是否正確完整 D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求 87關(guān)于信息安全保障技術(shù)框架(IATF)，以下說法不正確的是： A.分層策略允許在適當?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本 BIATF 從人、技術(shù)和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施 C允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性 DIATF 深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實現(xiàn)所有信息安全保障機制 88以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述? A.應(yīng)基于法律法規(guī)和

35、用戶需求，進行需求分析和風(fēng)險評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮 B應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術(shù)產(chǎn)品 C.應(yīng)在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實落實 D應(yīng)詳細規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容 89信息安全工程監(jiān)理的職責包括： A質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào) B質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào) C確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào) D確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào) 90關(guān)于信息安全保障的概念，下面說法

36、錯誤的是： A信息系統(tǒng)面臨的風(fēng)險和威脅是動態(tài)變化的，信息安全保障強調(diào)動態(tài)的安全理念 B信息安全保障已從單純的保護和防御階段發(fā)展為集保護、檢測和響應(yīng)為一體的綜合階段 C.在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來保障信息安全 D信息安全保障把信息安全從技術(shù)擴展到管理，通過技術(shù)、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務(wù)使命的保障 91關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是? A成本只要不超過預(yù)計的收益即可 B成本應(yīng)控制得越低越好 C成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷 D成本控制的主要目的是在批準的預(yù)算條件下確保項目保質(zhì)按期完成 92有關(guān)危害國家秘密安全的行

37、為，包括： A.嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為 B嚴重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當行為 C嚴重違反保密規(guī)定行為、定密不當行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為 D嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為 93下列關(guān)于ISO15408 信息技術(shù)安全評估準則(簡稱CC)通用

38、性的特 點，即給出通用的表達方式，描述不正確的是_。 A如果用戶、開發(fā)者、評估者和認可者都使用CC 語言，互相就容易理解溝通 B通用性的特點對規(guī)范實用方案的編寫和安全測試評估都具有重要意義 C通用性的特點是在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評定和評估結(jié)果國際互認的需要 D.通用性的特點使得CC 也適用于對信息安全建設(shè)工程實施的成熟度進行評估 94信息系統(tǒng)建設(shè)完成后， ( )的信息系統(tǒng)的運營使用單位應(yīng)當選擇符合國家規(guī)定的測評機構(gòu)進行測評合格后方可投入使用。 A二級以上 B三級以上 C四級以上 D五級以上 95有關(guān)國家秘密，錯誤的是： A國家秘密是關(guān)系國家安全和利益的事項 B國家秘

39、密的確定沒有正式的法定程序 C.除了明確規(guī)定需要長期保密的，其他的園家秘密都是有保密期限的 D國家秘密只限一定范圍的人知悉 96在可信計算機系統(tǒng)評估準則(TCSEC)中，下列哪一項是滿足強制保護要求的最低級別? AC2 BC1 CB2 DB1 97對涉密系統(tǒng)進行安全保密測評應(yīng)當依據(jù)以下哪個標準? ABMBXXXX年開發(fā)一套辦公自動化(OA)系統(tǒng)，將集團公司各地的機構(gòu)通過互聯(lián)網(wǎng)進行協(xié)同辦公，在OA 系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的建議，作為安全專家，請指出大家提的建議中不太合適的一條? A對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題 B要求軟件開發(fā)人員進行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識 C.要求軟件開發(fā)商使用Java 而不是ASP 作為開發(fā)語言，避免產(chǎn)生SQL 注入漏洞 D要求軟件開發(fā)商對軟件進行模塊化設(shè)計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對輸入數(shù)據(jù)進行校驗 103某單位根據(jù)業(yè)務(wù)需要準備立項開發(fā)一個業(yè)務(wù)軟件，對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認為應(yīng)在軟件安全開發(fā) 階段投入，后期解決代價太大，