CISP試題及答案-一套題

1、信息安全保障參考文件1.下面關(guān)于信息安全保障的說法錯誤的是：A.信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技術(shù)并列構(gòu)成實現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務(wù)目標(biāo)的實現(xiàn)為最終目的，從風(fēng)險和策略出發(fā)，實施各種保障要素，在 系統(tǒng)的生命周期內(nèi)確保信息的安全屬性。以下哪一項是數(shù)據(jù)完整性得到保護的例子？A.某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B.在提款過程中AT湫端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作C.某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個

2、管理員在何時對核心交換機進行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查 看注重安全管理體系建設(shè)，人員意識的培訓(xùn)和教育，是信息安全發(fā)展哪一個階段的特點？A.通信安全B.計算機安全C.信息安全D.信息安全保障以下哪一項不是我國國務(wù)院信息化辦公室為加強信息安全保障明確提出的九項重點工作內(nèi)容之 一？A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B.保證信息安全資金注入C.加快信息安全人才培養(yǎng)D.重視信息安全應(yīng)急處理工作以下關(guān)于置換密碼的說法正確的是：A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個bit異或頁腳內(nèi)容

3、1信息安全保障參考文件D.明文根據(jù)密鑰作了移位以下關(guān)于代替密碼的說法正確的是：A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變，僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個bit異或D.明文根據(jù)密鑰作了移位7常見密碼系統(tǒng)包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密鑰、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法8在密碼學(xué)的Kerchhoff假設(shè)中，密碼系統(tǒng)白安全性僅依賴于A.明文B.密文C.密鑰D.信道9PKI在驗證一個數(shù)字證書時需要查看 來確認該證書是否已經(jīng)作廢A.ARLB.CSSC.KMSD.CRL10、

4、一項功能可以不由認證中心 CA完成？A.撤銷和中止用戶的證書B.產(chǎn)生并分布CA的公鑰C.在請求實體和它的公鑰間建立鏈接D.發(fā)放并分發(fā)用戶的證書頁腳內(nèi)容2信息安全保障參考文件11、一項是虛擬專用網(wǎng)絡(luò)（VPN的安全功能？A.驗證，訪問控制盒密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼12、為了防止授權(quán)用戶不會對數(shù)據(jù)進行未經(jīng)授權(quán)的修改，需要實施對數(shù)據(jù)的完整性保護，列哪 一項最好地描述了星或（*-）完整性原則？A.Bell-LaPadula 模型中的不允許向下寫B(tài).Bell-LaPadula 模型中的不允許向上度C.Biba模型中的不允許向上寫D.Biba模型中的不允許向下讀

5、13、下面哪一個情景屬于身份鑒別（Authentication ）過程？A.用戶依照系統(tǒng)提示輸入用戶名和口令B.用戶在網(wǎng)絡(luò)上共享了自己編寫的一份Ofice文檔，并設(shè)定哪些用戶可以閱讀，哪些用戶可以修改C.用戶使用加密軟件對自己編寫的 office文檔進行加密，以阻止其他人得到這份拷貝后看到文 檔中的內(nèi)容D.某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失敗 的登錄過程記錄在系統(tǒng)日志中14、下列對Kerberos協(xié)議特點描述不正確的是：A.協(xié)議采用單點登錄技術(shù)，無法實現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認證B.協(xié)議與授權(quán)機制相結(jié)合，支持雙向的身份認證C.只要用戶拿到了 TGT并且該

6、TGT沒有過期，就可以使用該TGT!過TGSI成到任一個服務(wù)器 的認證而不必重新輸入密碼D.AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴重依賴于AS和TGS的性能和安全15、TACACS+議提供了下列哪一種訪問控制機制？A.強制訪問控制頁腳內(nèi)容3信息安全保障參考文件B.自主訪問控制C.分布式訪問控制D.集中式訪問控制16、下列對蜜網(wǎng)功能描述不正確的是：A.可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對真正目標(biāo)的攻擊B.吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來C.可以進行攻擊檢測和實時報警D.可以對攻擊活動進行監(jiān)視、檢測和分析17、下列對審計系統(tǒng)基本組成描述正確的是

7、：A.審計系統(tǒng)一般包括三個部分：日志記錄、日志分析和日志處理B.審計系統(tǒng)一般包含兩個部分：日志記錄和日志處理C.審計系統(tǒng)一般包含兩個部分：日志記錄和日志分析D.審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志報告18、在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)？A.加密B.數(shù)字簽名C.訪問控制D.路由控制19、在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以下哪 層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？A.網(wǎng)絡(luò)層B.表示層C會話層D.物理層20、WAPI采用的是什么加密算法？A.我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法頁腳內(nèi)容4

8、信息安全保障參考文件B.國際上通行的商用加密標(biāo)準(zhǔn)C.國家密碼管理委員會辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D.國際通行的哈希算法21、通常在VLANM,以下哪一項不是 VLAN勺規(guī)劃方法？A.基于交換機端口B.基于網(wǎng)絡(luò)層協(xié)議C.基于MAC!址D.基于數(shù)字證書22、某個客戶的網(wǎng)絡(luò)現(xiàn)在可以正常訪問Internet互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP(互聯(lián)網(wǎng)絡(luò)服務(wù)提供商)里只獲得了16個公有的IPv4地址，最多也只有16臺PC可以訪問互聯(lián)網(wǎng)，要想讓全部200臺終端PC訪問Internet互聯(lián)網(wǎng)最好采取什么方法或技術(shù)：A、花更多的錢向ISP申請更多的IP地址B、在網(wǎng)絡(luò)的出口路由器上做源 NATC、在網(wǎng)絡(luò)的出

9、口路由器上做目的 NATD在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器23、以下哪一個數(shù)據(jù)傳輸方式難以通過網(wǎng)絡(luò)竊聽獲取信息？A.FTP傳輸文件B.TELNET!行遠程管理C.URL以HTTPSff頭的網(wǎng)頁內(nèi)容D.經(jīng)過TACACS+證和授權(quán)后建立的連接24、橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點不包括：A.不需要對原有的網(wǎng)絡(luò)配置進行修改B.性能比較高C.防火墻本身不容易受到攻擊D.易于在防火墻上實現(xiàn) NAT25、下面哪一項是對IDS的正確描述？A、基于特征(Signature-based )的系統(tǒng)可以檢測新的攻擊類型頁腳內(nèi)容5信息安全保障參考文件B、基于特征(Signature-bas

10、ed )的系統(tǒng)化基于行為(behavior-based )的系統(tǒng)產(chǎn)生更多的誤C、基于彳亍為(behavior-based )的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D基于彳亍為(behavior-based )的系統(tǒng)比基于特征(Signature-based )的系統(tǒng)有更高的誤報26、下列哪些選項不屬于 NIDS的常見技術(shù)？A.協(xié)議分析B.零拷貝C.SYN CookieD.IP碎片重組27 、在 UNIX 系統(tǒng)中輸入命令 IS-AL TEST ” 顯示如下-rwxr-xr-x3 root root1024 Sep 13 11: 58 test ” 對它的含義解釋錯誤的是：A.這是一個文件，而

11、不是目錄B.文件的擁有者可以對這個文件進行讀、寫和執(zhí)行的操作C.文件所屬組的成員有可以讀它，也可以執(zhí)行它D.其它所有用戶只可以執(zhí)行它28、在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容？A、記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系B、決定inetd啟動網(wǎng)絡(luò)服務(wù)時，啟動那些服務(wù)C、定義了系統(tǒng)缺省運行級別，系統(tǒng)進入新運行級別需要做什么D包含了系統(tǒng)的一些啟動腳本29、以下對windows賬號的描述，正確的是：A、windows系統(tǒng)是采用SID (安全標(biāo)識符)來標(biāo)識用戶對文件或文件夾的權(quán)限B、windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C、windows系統(tǒng)默認會生成

12、administration 和guest兩個賬號，兩個賬號都不允許改名和刪D windows系統(tǒng)默認生成administration 和guest兩個賬號，兩個賬號都可以改名和刪除30、以下對于 Windows系統(tǒng)的服務(wù)描述，正確的是：頁腳內(nèi)容6信息安全保障參考文件A、windows服務(wù)必須是一個獨立的可執(zhí)行程序B、windows服務(wù)的運行不需要用戶的交互登錄C、windows服務(wù)都是隨系統(tǒng)的啟動而啟動，無需用戶進行干預(yù)D windows服務(wù)都需要用戶進行登錄后，以登錄用戶的權(quán)限進行啟動31、以下哪一項不是IIS服務(wù)器支持的訪問控制過濾類型？A.網(wǎng)絡(luò)地址訪問控制B.WEBK務(wù)器許可C.NTF

13、S許可D.異常行為過濾32、為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應(yīng)向DBMSI出一組完整性規(guī)則來檢查數(shù)據(jù)庫 中的數(shù)據(jù)，完整性規(guī)則主要由3部分組成，以下哪一個不是完整性規(guī)則的內(nèi)容？A.完整性約束條件B.完整性檢查機制C.完整性修復(fù)機制D.違約處理機制33、數(shù)據(jù)庫事務(wù)日志的用途是什么？A.事務(wù)處理B.數(shù)據(jù)恢復(fù)C.完整性約束D.保密性控制34、下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系？A.訪問控制的粒度B.數(shù)據(jù)庫的大小C.關(guān)系表中屬性的數(shù)量D.關(guān)系表中元組的數(shù)量35、下面對于cookie的說法錯誤的是：頁腳內(nèi)容7信息安全保障參考文件A、cookie是一小段存儲在瀏覽器端文本信息，web應(yīng)用程序可以讀取

14、cookie包含的信息B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風(fēng)險C、通過cookie提交精妙構(gòu)造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D防范cookie欺騙的一個有效方法是不使用 cookie驗證方法，而使用session驗證方法 36、以下哪一項是和電子郵件系統(tǒng)無關(guān)的？A PEMB、PGPC、X500D X40037、Apache Web服務(wù)器的配置文件一般位于/usr/local/apache/conf 目錄，其中用來控制 用戶訪問Apache目錄的配置文件是：A httpd.confB、srm.confC、access.confD inetd.conf

15、38、Java安全模型（JSM是在設(shè)計虛擬機（JVN）時，引入沙箱（sandbox）機制，其主要目 的是：A、為服務(wù)器提供針對惡意客戶端代碼的保護B、為客戶端程序提供針對用戶輸入惡意代碼的保護C、為用戶提供針對惡意網(wǎng)絡(luò)移動代碼的保護D提供事件的可追查性39、惡意代碼采用加密技術(shù)的目的是：A.加密技術(shù)是惡意代碼自身保護的重要機制B.加密技術(shù)可以保證惡意代碼不被發(fā)現(xiàn)C.加密技術(shù)可以保證惡意代碼不被破壞D.以上都不正確40、惡意代碼反跟蹤技術(shù)描述正確的是:頁腳內(nèi)容8信息安全保障參考文件A反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性B.反跟蹤技術(shù)可以避免所有殺毒軟件的查殺C.反跟蹤技術(shù)可以避免惡意代碼被消除D.以

16、上都不是41、下列關(guān)于計算機病毒感染能力的說法不正確的是：A.能將自身代碼注入到引導(dǎo)區(qū)B.能將自身代碼注入到扇區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼42、當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時，就會產(chǎn)生哪種類型 的漏洞？A.緩沖區(qū)溢出B.設(shè)計錯誤C.信息泄露D.代碼注入43、完整性檢查和控制的防范對象是，防止它們進入數(shù)據(jù)庫。A.不合語義的數(shù)據(jù)、不正確的數(shù)據(jù)B.非法用戶C.非法數(shù)據(jù)D.非法授權(quán)44、存儲過程是SQL語句的一個集合，在一個名稱下儲存，按獨立單元方式執(zhí)行，以下哪一項 不是使用存儲過程的優(yōu)點：A.提高性能，應(yīng)用

17、程序不用重復(fù)編譯此過程B.降低用戶查詢數(shù)量，減輕網(wǎng)絡(luò)擁塞C.語句執(zhí)行過程中如果中斷，可以進行數(shù)據(jù)回滾，保證數(shù)據(jù)的完整性和一致性D.可以控制用戶使用存儲過程的權(quán)限，以增強數(shù)據(jù)庫的安全性45、下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞？頁腳內(nèi)容9信息安全保障參考文件A、通過把SQL#令插入到We膜單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL#令B、攻擊者在遠程 WEEK面的HTML弋碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可信賴 的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行C、當(dāng)計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上D信息

18、技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的 缺陷46、以下工作哪個不是計算機取證準(zhǔn)備階段的工作A.獲得授權(quán)B.準(zhǔn)備工具C.介質(zhì)準(zhǔn)備D.保護數(shù)據(jù)47、以下哪個問題不是導(dǎo)致DNSt騙的原因之一？A.DNS是一個分布式的系統(tǒng)B.為提高效率，DNSS詢信息在系統(tǒng)中會緩存C.DNSB議傳輸沒有經(jīng)過加密的數(shù)據(jù)D.DNSB議是缺乏嚴格的認證48、以下哪個是ARFB騙攻擊可能導(dǎo)致的后果？A.ARP欺騙可直接獲得目標(biāo)主機的控制權(quán)B.ARP欺騙可導(dǎo)致目標(biāo)主機的系統(tǒng)崩潰，藍屏重啟C.ARP欺騙可導(dǎo)致目標(biāo)主機無法訪問網(wǎng)絡(luò)D.ARP欺騙可導(dǎo)致目標(biāo)主機49、以下哪個攻擊步驟是IP欺騙（IP

19、 Spoof）系列攻擊中最關(guān)鍵和難度最高的？A.對被冒充的主機進行拒絕服務(wù)攻擊，使其無法對目標(biāo)主機進行響應(yīng)B.與目標(biāo)主機進行會話，猜測目標(biāo)主機的序號規(guī)則C.冒充受信主機向目標(biāo)主機發(fā)送數(shù)據(jù)包，欺騙目標(biāo)主機D.向目標(biāo)主機發(fā)送指令，進行會話操作頁腳內(nèi)容10信息安全保障參考文件50、以下哪個拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊A.LandB.UDP FloodC.SmurfDTeardrop51、如果一名攻擊者截獲了一個公鑰，然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者, 這種情況屬于哪一種攻擊？A.重放攻擊B.Smurf 攻擊C.字典攻擊D.中間人攻擊52、域名注冊信息可在哪里找到？A.路由器B

20、.DNS記錄C.Whois數(shù)據(jù)庫D.MIBs 庫53、網(wǎng)絡(luò)管理員定義“ no ip directed broadcast ”以減輕下面哪種攻擊？A.DIECASTB.SMURFC.BATCASTD.COKE54、下面哪一項不是黑客攻擊在信息收集階段使用的工具或命令：A.NmapB.NslookupC.LCD.Xscan頁腳內(nèi)容11信息安全保障參考文件55、下面關(guān)于軟件測試的說法錯誤的是：A、所謂“黑盒”測試就是測試過程不測試報告中的進行描述，切對外嚴格保密B、出于安全考慮，在測試過程中盡量不要使用真實的生產(chǎn)數(shù)據(jù)C、測試方案和測試結(jié)果應(yīng)當(dāng)成為軟件開發(fā)項目文檔的主要部分被妥善的保存D軟件測試不僅應(yīng)

21、關(guān)注需要的功能是否可以被實現(xiàn)，還要注意是否有不需要的功能被實現(xiàn)了56、下列哪一項不屬于 Fuzz測試的特性？A、主要針對軟件漏洞或可靠性錯誤進行測試B、采用大量測試用例進行激勵、響應(yīng)測試C、一種試探性測試方法，沒有任何理論依據(jù)D利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常57、Shellcode 是什么？A.是用C語言編寫的一段完成特殊功能代碼B.是用匯編語言編寫的一段完成特殊功能代碼C.是用機器碼組成的一段完成特殊功能代碼D.命令行下的代碼編寫58、通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請求，消耗被攻擊者的資源來進行響應(yīng)，直至被攻擊 者再也無法處理有效的網(wǎng)絡(luò)信息流時，這種攻擊被稱之為：A.LA

22、ND攻擊B.Smurf 攻擊C.Ping of Death 攻擊D.ICMP Flood59、以下哪種方法不能有效提高 WLAN勺安全性：A.修改默認的服務(wù)區(qū)標(biāo)識符（SSID）B.禁止SSID廣播C.啟用終端與AP間的雙向認證D.啟用無線AP的開放認證模式頁腳內(nèi)容12信息安全保障參考文件60、以下哪項是對抗ARPB騙有效的手段？A.使用靜態(tài)的ARpg存B.在網(wǎng)絡(luò)上阻止ARP艮文的發(fā)送C.安裝殺毒軟件并更新到最新的病毒庫D.使用linux系統(tǒng)提高安全性61、下面關(guān)于ISO27002的說法錯誤的是：A.ISO27002 的前身是 ISO17799-1B.ISO27002給出了通常意義下的信息安全管

23、理最佳實踐供組織機構(gòu)選用，但不是全部C.ISO27002對于每個控制措施的表述分“控制措施”、“實施指南”、和“其他信息”三個部分 來進行描述D.ISO27002提出了H一大類的安全管理措施，其中風(fēng)險評估和處置是處于核心地位的一類安全 措施62、下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：A.設(shè)置網(wǎng)絡(luò)連接時限B.記錄并分析系統(tǒng)錯誤日志C.記錄并分析用戶和管理員操作日志D.啟用時鐘同步63、下列安全控制措施的分類中，哪個分類是正確的（p-預(yù)防性的，D-檢測性的以及C-糾正性的控制）1、網(wǎng)絡(luò)防火墻2、RAID級別3 3、銀行賬單的監(jiān)督復(fù)審4、分配計算機用戶 標(biāo)識5、交易日志A、p,

24、p, c,d,andCB、d, c,c,d,andDC、p,c,d,p,and DD p,d, p,p,and C64、風(fēng)險評估主要包括風(fēng)險分析準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險結(jié)果判定四個主要過程， 關(guān)于這些過程，以下的說法哪一個是正確的？A.風(fēng)險分析準(zhǔn)備的內(nèi)容是識別風(fēng)險的影響和可能性頁腳內(nèi)容13信息安全保障參考文件B.風(fēng)險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C.風(fēng)險分析的內(nèi)容是識別風(fēng)險的影響和可能性D.風(fēng)險結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施65、你來到服務(wù)器機房股比的一間辦公室，發(fā)現(xiàn)窗戶壞了，由于這不是你的辦公室，你要求在 這里辦公的員工請維修工來把

25、窗戶修好，你離開后，沒有再過問這扇窗戶的事情。這件事情的結(jié)果對 與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會有什么影響？A.如果窗戶被修好，威脅真正出現(xiàn)的問題性會增加B.如果窗戶被修好，威脅真正出現(xiàn)的可能性會保持不變C.如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會下降D.如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會增加66、在對安全控制進行分析時，下面哪個描述是不準(zhǔn)確的？A.對每一項安全控制都應(yīng)該進行成本收益分析，以確定哪一項安全控制是必須的和有效的B.應(yīng)確保選擇對業(yè)務(wù)效率影響最小的安全措施C.選擇好實施安全控制的時機和位置，提高安全控制的有效性D.仔細評價引入的安全控制對正常業(yè)務(wù)的影響，采取適當(dāng)措施

26、，盡可能減少負面效應(yīng)67、以下哪一項不是信息安全管理工作必須遵循的原則？A.風(fēng)險管理在系統(tǒng)開發(fā)之處就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B.風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低D.在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力68、對信息安全風(fēng)險評估要素理解正確的是：A.資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù) 系統(tǒng)，也可以是組織機構(gòu)B.應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家

27、或行業(yè)的安全要求做符合性比對而找出的差距項D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅69、以下哪一項不是建筑物的自動化訪問審計系統(tǒng)記錄的日志的內(nèi)容：頁腳內(nèi)容14信息安全保障參考文件A.出入的原因B.出入的時間C.出入口的位置D.是否成功進入70、信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一項不是信息安全 策略文檔中必須包含的內(nèi)容：A.說明信息安全對組織的重要程度B.介紹需要符合的法律法規(guī)要求C.信息安全技術(shù)產(chǎn)品的選型范圍D.信息安全管理責(zé)任的定義71、作為信息中心的主任，你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員的崗 位分配給兩個不同的人擔(dān)任，

28、這種情況造成了一定的安全風(fēng)險。這時你應(yīng)當(dāng)怎么做？A.抱怨且無能為力B.向上級報告該情況，等待增派人手C.通過部署審計措施和定期審查來降低風(fēng)險D.由于增加人力會造成新的人力成本，所以接受該風(fēng)險72、以下人員中，誰負有決定信息分類級別的責(zé)任？A.用戶B.數(shù)據(jù)所有者C.審計員D.安全官73、某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進行風(fēng)險評估，該服務(wù)器價值138000元，針對某個特定威脅的暴露因子（EF）是45%該威脅的年度發(fā)生率（ARQ為每10年發(fā)生一次，根據(jù)以上信息，該 服務(wù)器的年度預(yù)期損失值（ALE）是多少？A、1800 元B、62100 元C、140000 元頁腳內(nèi)容15信息安全保障參考文件D 621

29、0元74、下列哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略計劃中？A,已規(guī)劃的硬件采購的規(guī)范B.將來業(yè)務(wù)目標(biāo)的分析C.開發(fā)項目的目標(biāo)日期D.信息系統(tǒng)不同的年度預(yù)算目標(biāo)75、ISO27002中描述的11個信息安全管理控制領(lǐng)域不包括：A.信息安全組織B.資產(chǎn)管理C.內(nèi)容安全D.人力資源安全76、依據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T20988,需要備用場地但不要求部署備用數(shù)據(jù)處理設(shè)備的是災(zāi)難恢復(fù)等級的第幾級？A.2B.3C.4D.577、以下哪一種備份方式在恢復(fù)時間上最快A.增量備份B.差異備份C.完全備份D.磁盤備份78、計算機應(yīng)急響應(yīng)小組的簡稱是：A.CERTB.FIRSTC.SANA頁腳內(nèi)容

30、16信息安全保障參考文件D.CEAT79、有一些信息安全事件是由于信息系統(tǒng)中多個部分共同作用造成的，人們稱這類事件為“多 組件事故”，應(yīng)對這類安全事件最有效的方法是：A.配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為B.使用防病毒軟件，并且保持更新為最新的病毒特征碼C.將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)（DMZD.使用集中的日志審計工具和事件關(guān)聯(lián)分析軟件80、依據(jù)國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988）,災(zāi)難恢復(fù)管理過程的主要步驟是災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實現(xiàn)、災(zāi)難恢復(fù)預(yù)制定和管理； 其中災(zāi)難恢復(fù)策略實現(xiàn)不包括以下哪一項？A.分析業(yè)務(wù)功能B

31、.選擇和建設(shè)災(zāi)難備份中心C.實現(xiàn)災(zāi)備系統(tǒng)技術(shù)方案D.實現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和維護能力81、在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人隱私和其它敏感信息的實際生產(chǎn)系 統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須作的：A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用82、下面有關(guān)能力成熟度模型的說法錯誤的是：A.能力成熟度模型可以分為過程能力方案（Continuous ）和組織能力方案（Staged）兩類B.使用過程能力方案時，可以靈活選擇評估和改進哪個或那些

32、過程域C.使用組織機構(gòu)成熟度方案時，每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D.SSE-CMMI一種屬于組織能力方案（Staged）的針對系統(tǒng)安全工程的能力成熟度模型83、一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后，就可以對組織層面的過程進行規(guī)范的 定義？A.2級一一計劃和跟蹤頁腳內(nèi)容17信息安全保障參考文件B.3級充分定義C.4級量化控制D.5級持續(xù)改進84、下列哪項不是信息系統(tǒng)的安全工程的能力成熟度模型（SSE-CMM的主要過程：A、風(fēng)險評估B、保證過程C、工程過程D評估過程85、SSE-CMM：程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域：A.評估威脅、評估脆弱性、評估影響B(tài).評估威脅、

33、評估脆弱性、評估安全風(fēng)險C.評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險D.評估威脅、評估脆弱性、評估影響、驗證和證實安全86、信息系統(tǒng)安全工程（ISSE）的一個重要目標(biāo)就是在IT項目的各個階段充分考慮安全因素, 在IT項目的立項階段，以下哪一項不是必須進行的工作：A.明確業(yè)務(wù)對信息安全的要求B.識別來自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求87、信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是：A.信息化建設(shè)的結(jié)束就是信息安全建設(shè)的開始B.信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實施C.信息化建設(shè)和信息安全建設(shè)是交替進行的，無法區(qū)分誰先誰后D.以上

34、說法都正確88、如果你作為甲方負責(zé)監(jiān)管一個信息安全工程項目的實施，當(dāng)乙方提出一項工程變更時你最 應(yīng)當(dāng)關(guān)注的是：A.變更的流程是否符合預(yù)先的規(guī)定頁腳內(nèi)容18信息安全保障參考文件B.變更是否會對項目進度造成拖延C.變更的原因和造成的影響D.變更后是否進行了準(zhǔn)確的記錄89、以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述？A.應(yīng)基于法律法規(guī)和用戶需求，進行需求分析和風(fēng)險評估，從信息系統(tǒng)建設(shè)的開始就綜合信息 系統(tǒng)安全保障的考慮B.應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術(shù) 產(chǎn)品C.應(yīng)在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容，提出安全

35、開發(fā)的規(guī)范并切實落實D.應(yīng)詳細規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容90、在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人隱私和其它敏感信息的實際生產(chǎn)系 統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的：A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)關(guān)系的訪問控制措施B.未測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計措施，記錄生產(chǎn)數(shù)據(jù)拷貝和使用91、關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是？A.成本只要不超過預(yù)計的收益即可B.成本應(yīng)控制得越低越好C.成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷D.成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項目保質(zhì)按期完成92、下列哪項不是安全管理方面的標(biāo)準(zhǔn)？A.ISO 27001B.ISO 13335C.GB/T 22080D.GB/T 1833693、關(guān)于 ISO/IEC21827:2002 (SSE-CMM描述不正確的是 。頁腳內(nèi)容19信息安全保障參考文件A.SSE-CM槌關(guān)于信息安全建設(shè)工程實施方面的標(biāo)準(zhǔn)B.SSE-CMMJ目的是建立和完善一套成熟的、可度量的安全工程過程C.SSE-CMM8型定義了一個安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證D.SSE-CMMI用于對信息系統(tǒng)的安全等級進行評估的標(biāo)準(zhǔn)94刑法第六章第285、286、287條對與計算機犯罪的內(nèi)容和量刑進行了明確的