信息安全專業(yè)人員考試練習(xí)題（575題）

信息安全專業(yè)人員考試練習(xí)題-完整版（575題）

1、信息安全等級保護(hù)分級要求，第三級適用正確的是：

A.適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危

害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益

B.適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其

受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害

C.適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家

安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害

D.適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受

到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害

2、下面對國家秘密定級和范圍的描述中，哪項(xiàng)不符合《保守國家秘密法》要求：

A.國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有

關(guān)機(jī)關(guān)規(guī)定

B.各級國家機(jī)關(guān)、單位對所產(chǎn)生的國家秘密事項(xiàng)，應(yīng)當(dāng)按照國家秘密及其密級具體范圍的規(guī)定確定密級

C.對是否屬于國家機(jī)密和屬于何種密級不明確的事項(xiàng)，可由各單位自行參考國家要求確定和定級，

然后報(bào)國家保密工作部門確定

D.對是否屬于國家秘密和屬于何種密級不明確的事項(xiàng)。由國家保密工作部門，省、自治區(qū)、直轄市的保密

工作部門。省、自治區(qū)政府所在地的市和經(jīng)國務(wù)院批準(zhǔn)的較大的市的保密工作部門或者國家保密工作

部門審定的機(jī)關(guān)確定。

3,為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)

濟(jì)社會信息化健康發(fā)展，加強(qiáng)在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理。2015

年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并于7月6日起在網(wǎng)上全文公布，向社

會公開征求意見，這部法律草案是（）

A.《中華人民共和國保守國家秘密法（草案）》

B.《中華人民共和國網(wǎng)絡(luò)安全法（草案）》

C.《中華人民共和國國家安全法（草案）》

I）.《中華人民共和國互聯(lián)網(wǎng)安全法（草案）》

4、為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)

于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號），對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了

等級保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是O

A.該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件

B.該文件適用于2004年的等級保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作

C.該文件是一個總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍

I）.該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位

5、自2004年1月起，國內(nèi)各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時，必須經(jīng)由以下哪個組織提出工作情況，

協(xié)調(diào)一致后由該組織申報(bào)。

A.全國通信標(biāo)準(zhǔn)化技術(shù)委員會（TC485）

B.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）

C.中國通信標(biāo)準(zhǔn)化協(xié)會（CCCA）

D.網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

1

6、安全管理體系，國際上有標(biāo)準(zhǔn)(InformationtechnologySecuritytechniquesInformationsystems)

(ISO/IEC27001:2013),而我國發(fā)布了《信息技術(shù)信息安全管理體系要求》(GB/T22080-2008)。請問這兩個標(biāo)

準(zhǔn)的關(guān)系是()

A.IDT(等同采用)，此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改

B.EQV(等效采用)，此國家標(biāo)準(zhǔn)等效于該國家標(biāo)準(zhǔn)，技術(shù)上只有很小差異

C.AEQ(等效采用)，此國家標(biāo)準(zhǔn)不等效于該國家標(biāo)準(zhǔn)

D.沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)直接比較

7、“CC”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項(xiàng)內(nèi)容是針對具體的被測評對象，描述了該對

象的安全要求及其相關(guān)安全功能和安全措施，相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實(shí)現(xiàn)方案()

A.評估對象(TOE)

B.保護(hù)輪廊(PP)

C.安全目標(biāo)(ST)

D.評估保證級(EAL)

8、分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是()

A.分組密碼算法要求輸入明文按組分成固定長度的塊

B.分組密碼算法每次計(jì)算得到固定長度的密文輸出塊

C.分組密碼算法也稱為序列密碼算法

D.常見的DES、IDEA算法都屬于分組密碼算法

9、密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部

分。下面描述中，錯誤的是0

A.在實(shí)際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴(kuò)展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些

復(fù)雜的步驟可以不明確處理方式

B.密碼協(xié)議定義了兩方或多方之間為完成某項(xiàng)任務(wù)而制定的一系列步驟，協(xié)議中的每個參與方都必須了解

協(xié)議，且按步驟執(zhí)行

C.根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完

全不信任的人

D.密碼協(xié)議(cryptographicprotocol),有時也稱安全協(xié)議(securityprotprotocol),是使用密碼學(xué)完成某

項(xiàng)特定的任務(wù)并滿足安全需求，其目的是提供安全服務(wù)

10、美國計(jì)算機(jī)協(xié)會(ACM)宣布將2015年的ACM獎授予給WhitfieldDiffie和Wartfield,下面哪項(xiàng)工作是他們的

貢獻(xiàn)()

A.發(fā)明并第一個使用C語言

B.第一個發(fā)表了對稱密碼算法思想

C.第一個發(fā)表了非對稱密碼算法思想

D.第一個研制出防火墻

11、虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個臨時的、安全的網(wǎng)絡(luò)。這里的字母“P”的

正確解釋是()。

A.Special-purpose,特定的、專用用途的

B.Proprietary,專有的、專賣的

C.Private,私有的、專有的

D.Specific,特種的、具體的

2

12、為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)

上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法？

A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法

B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法

C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法

D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法

13、實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合：實(shí)體所知的鑒別方法、實(shí)體所有的鑒別方法和

基于實(shí)體特征的鑒別方法。下面選項(xiàng)中屬于實(shí)體特征的鑒別方法是（）

A.將登錄口令設(shè)置為出生日期

B.通過詢問和核對用戶的個人隱私信息來鑒別

C.使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別

D.通過掃描和識別用戶的臉部信息來鑒別

14、常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯

誤的是（）

A.從安全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型

和基于角色的訪問控制模型

B.自主訪問控制是一種廣泛應(yīng)用的方法，資源的所有者（往往也是創(chuàng)建者）可以規(guī)定誰有權(quán)訪問他們

的資源，具有較好的易用性和擴(kuò)展性

C.強(qiáng)制訪問控制模型要求主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是

否可以訪問某個客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系

統(tǒng)

D.基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模

型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略

15、在信息系統(tǒng)中，訪問控制是重要的安全功能之一。他的任務(wù)是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)

上，對用戶的訪問權(quán)限進(jìn)行管理，防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實(shí)體劃分為主體和客體兩

類，通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項(xiàng)中，對主體、客體和訪問權(quán)限的描述中錯誤的

是：

A.對文件進(jìn)行操作的用戶是一種主體

B.主體可以接受客體的信息和數(shù)據(jù)，也可能改變客體相關(guān)的信息

C.訪問權(quán)限是指主體對客體所被允許的操作

D.對目錄的訪問權(quán)可分為讀、寫和拒絕訪問

16、小趙是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時，面試經(jīng)理要求他給出該企業(yè)信息

系統(tǒng)訪問控模型的設(shè)計(jì)思路。如果想要為一個存在大量用戶的信息系統(tǒng)實(shí)現(xiàn)自主訪問控制功能，在以下選項(xiàng)

中，從時間和資源消耗的角度，下列選項(xiàng)中他應(yīng)該采取的最合適的模型或方法是（）

A.訪問控制列表（ACL）

B.能力表（CL）

C.BLP模型

I）.Biba模型

17、強(qiáng)制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個

客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強(qiáng)制訪問控制模型有多種模型，如BLP、

Biba、Clark-Willson和ChineseWall等。小李自學(xué)了BLP模型，并對該模型的特點(diǎn)進(jìn)行了總結(jié)。以下4種對

BLP模型的描述中，正確的是（）

A.BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向上讀，向下寫”

B.BLP模型用于保證系統(tǒng)信息的機(jī)密性，規(guī)則是“向下讀，向上寫“

3

C.BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”

D.BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”

18、訪問控制方法可分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制，他們具有不同的特點(diǎn)和應(yīng)用場景。

如果需要選擇一個訪問控制方法，要求能夠支持最小特權(quán)原則和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以

具有不同的安全控制，那么在下列選項(xiàng)中，能夠滿足以上要求的選項(xiàng)是()。

A.自主訪問控制

B.強(qiáng)制訪問控制

C.基于角色的訪問控制

D.以上選項(xiàng)都可以

19、關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是()

A.WPA是有線局域安全協(xié)議，而腫A2是無線局域網(wǎng)協(xié)議

B.WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)協(xié)議

C.WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證

D.WPA是依照802.lli標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定的

20、隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web

的開放性帶來豐富資源、高效率、新工作方式的同時，也使機(jī)構(gòu)的重要信息暴露在越來越多的威脅中。去年，某個

xx網(wǎng)站遭遇SQL群注入(MassSQLInjection)攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信

息安全公司的建議下配置了狀態(tài)檢測防火墻，其原因不包括：

A.狀態(tài)檢測防火墻可以應(yīng)用會話信息決定過濾規(guī)則

B.狀態(tài)檢測防火墻具有記錄通過每個包的詳細(xì)信息能力

C.狀態(tài)檢測防火墻過濾規(guī)則與應(yīng)用層無關(guān)，相比于包過濾防火墻更易安裝和使用

D.狀態(tài)檢測防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證或報(bào)警等處理動作答

21、異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計(jì)算機(jī)資源的非正

常使用，從而檢測出入侵行為。下面說法錯誤的是()

A.在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象

B.實(shí)施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊

發(fā)生

C.異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向

管理員報(bào)警

1).異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為

22、某集團(tuán)公司的計(jì)算機(jī)網(wǎng)絡(luò)中心內(nèi)具有公司最重要的設(shè)備和信息數(shù)據(jù)。雖然有防火墻，網(wǎng)絡(luò)曾在一段時間內(nèi)依然

遭受了幾次不小的破壞和干擾，但系統(tǒng)管理人員也未找到真正的事發(fā)原因。某網(wǎng)絡(luò)安全公司為該集團(tuán)部署基于網(wǎng)絡(luò)

的入侵檢測系統(tǒng)(NIDS),將IDS部署在防火墻之后，以進(jìn)行二次防御。那么NIDS不會在0區(qū)域部署。

A.DMZ

B.內(nèi)網(wǎng)主干

C.內(nèi)網(wǎng)關(guān)鍵子網(wǎng)

D.外網(wǎng)入口

23、入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說法錯誤的是0。

A.對用戶知識要求高，配置、操作和管理使用過于簡單，容易遭到攻擊

B.入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負(fù)擔(dān)很重

C.入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響

D.警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)

24、安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域，下面哪項(xiàng)描述是錯誤的()。

4

A.安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù)，和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)

B.安全域劃分能把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題

C.以安全域?yàn)榛A(chǔ)，可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段，從而使同一安全域內(nèi)的資

產(chǎn)實(shí)施統(tǒng)一的保護(hù)

D.安全域邊界是安全事件發(fā)生時的抑制點(diǎn)，以安全域?yàn)榛A(chǔ)，可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評

估，因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式

25、小王是某通信運(yùn)營商公司的網(wǎng)絡(luò)完全架構(gòu)師，為該公司推出的一項(xiàng)新型通信系統(tǒng)項(xiàng)目做安全架構(gòu)規(guī)劃，項(xiàng)目客

戶要求對他們的大型電子商務(wù)網(wǎng)絡(luò)進(jìn)行安全域的劃分，化解為小區(qū)域的安全保護(hù)，每個邏輯區(qū)域有各自的安全訪問

控制和邊界控制策略，以實(shí)現(xiàn)大規(guī)模電子商務(wù)系統(tǒng)的信息保護(hù)。小王對信息系統(tǒng)安全域（保護(hù)對象）的劃分不需要考

慮的是（）

A.業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性，業(yè)務(wù)系統(tǒng)是否需要對外連接

B.安全要求的相似性，可用性、保密性和完整性的要求是否類似

C.現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況，包括現(xiàn)有網(wǎng)路、地域和機(jī)房等

D.數(shù)據(jù)庫的安全維護(hù)

26、在Windos7中，通過控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶策略）可以進(jìn)入操作系統(tǒng)

的密碼策略設(shè)置界面，下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置（）

A.密碼必須符合復(fù)雜性要求

B.密碼長度最小值

C.強(qiáng)制密碼歷史

D.賬號鎖定時間

27、Linux系統(tǒng)中常用數(shù)字來表示文件的訪問權(quán)限，假設(shè)某文件的訪問限制使用了755來表示，則下面哪項(xiàng)是正確

的（r-x）

A.這個文件可以被任何用戶讀和寫

B.這個可以被任何用戶讀和執(zhí)行

C.這個文件可以被任何用戶寫和執(zhí)行

D.這個文件不可以被所有用戶寫和執(zhí)行

28、操作系統(tǒng)用于管理計(jì)算機(jī)資源，控制整個系統(tǒng)運(yùn)行，是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)

安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計(jì)算機(jī)，開機(jī)后首先對自帶的Windows

操作系統(tǒng)進(jìn)行配置。他的主要操作有：

（1）關(guān)閉不必要的服務(wù)和端口；

（2）在“在本地安全策略”重配置賬號策略、本地策略、公鑰策略和IP安全策略；

（3）備份敏感文件，禁止建立空連接，下載最新補(bǔ)丁；

（4）關(guān)閉審核策略，開啟口令策略，開啟賬號策略。

這些操作中錯誤的是（）

A.操作（1）,應(yīng)該關(guān)閉不必要的服務(wù)和所有端口

B.操作（2）,在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略

C.操作（3）,備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加

D.操作（4）,應(yīng)該開啟審核策略

29、在Windows系統(tǒng)中，存在默認(rèn)共享功能，方便了局域網(wǎng)用戶使用，但對個人用戶來說存安全風(fēng)險(xiǎn)。如果電腦聯(lián)

網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過共享使用或修改文件。小劉在裝有WindowsXP系統(tǒng)的計(jì)算機(jī)上進(jìn)行安全設(shè)置時，

需要關(guān)閉默認(rèn)共享。下列選項(xiàng)中，不能關(guān)閉默認(rèn)共享的操作是（）

A.將"HKEY_LOCAL_MACHlNE\SYSTEM\CurrenlControlSet\Services\lenmanserver\paraneters”項(xiàng)中的

"Autodisconnect”項(xiàng)鍵值改為0

B.將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項(xiàng)中的

"AutoShareServer”項(xiàng)鍵值改為0

C.將"HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\lenmanserver\paraneters”項(xiàng)中的

5

"AutoShareWks”項(xiàng)鍵值改為0

I).在命令窗口中輸入命令，刪除C盤默認(rèn)共享：netshareC/del

30、從Linux內(nèi)核2.1版開始，實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制，實(shí)現(xiàn)了超級用戶的特權(quán)分割，打破UNIX/LINUX

操作系統(tǒng)中超級用戶/普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項(xiàng)中，對特權(quán)管理機(jī)制的理解錯誤的是

()

A.普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能

B.系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能

C.進(jìn)程可以放棄自己的某些權(quán)能

D.當(dāng)普通用戶的某些操作涉及特權(quán)操作時，可以通過setuid實(shí)現(xiàn)

31、關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù)，下列說法不正確的是：

A.數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決，當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞時，

可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)

B.數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來，是數(shù)據(jù)庫

恢復(fù)中采用的基本技術(shù)

C.日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助

后備副本進(jìn)行介質(zhì)故障恢復(fù)

D.計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器匕利用日志文件中故障發(fā)生前數(shù)據(jù)的值，將數(shù)

據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事務(wù)的操作稱為提交

32、關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計(jì)的重要內(nèi)容，下面關(guān)于“實(shí)體完整性”的描述正確的0

A.指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)(記錄)完整、不丟項(xiàng)

B.指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)(記錄)非空、唯一且不重復(fù)

C.指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束

D.指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時，更將關(guān)聯(lián)有關(guān)

的記錄一并處理才可以

33、數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：

A.傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層

B.傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C.

互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D.

互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層

34、安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展(SecureNultipurposeInternetMailExtension,S/MIME)是指一種保障郵件

安全的技術(shù)，下面描述錯誤的是()

A.S/MIME采用了非對稱密碼學(xué)機(jī)制

B.S/MIME支持?jǐn)?shù)字證書

C.S/MIME采用了郵件防火墻技術(shù)

D.S/MIME支持用戶身份認(rèn)證和郵件加密

35、ApacheHTTPServer(簡稱Apache)是一個開放源碼的Web服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會將

自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施。

A.不選擇Windows平臺，應(yīng)選擇在Linux平臺下安裝使用

B.安裝后，修改配置文件http,conf中的有關(guān)參數(shù)

6

C.安裝后，刪除ApscheHTTPServer源碼

D.從正確的官方網(wǎng)站下載ApecheHTTPServer,并安裝使用

36、InternetExplorer,簡稱IE,是微軟推出的一款Web瀏覽器，IE中有很多安全設(shè)置選項(xiàng)，設(shè)置安全上網(wǎng)環(huán)

境和保護(hù)用戶隱私數(shù)據(jù)。以下哪項(xiàng)不是IE中的安全配置項(xiàng)目()

A.設(shè)置Cookie安全，允許用戶根據(jù)自己安全策略要求者、設(shè)置Cookie策略，包括從阻止所有

Cookie到接受所有Cookie,用戶也可以選擇刪除已經(jīng)保存過的Cookie

B.禁用自動完成和密碼記憶功能，通過設(shè)置禁止IE自動記憶用戶輸入過的Web地址和表單，也禁

止IE自動記憶表單中的用戶名和口令信息

C.設(shè)置每個連接的最大請求數(shù)，修改MuKeepA;ivEcquests,如果同時請求數(shù)達(dá)到閾值就不再響應(yīng)新的請

求，從而保證了系統(tǒng)資源不會被某個鏈接大量占用

D.為網(wǎng)站設(shè)置適當(dāng)?shù)臑g覽器安全級別，用戶可以將各個不同的網(wǎng)站劃分到Internet、本地Internet、受

信任的站點(diǎn)、受限制的站點(diǎn)等不同安全區(qū)域中，以采取不同的安全訪問策略

37、下面對“零日(zero-day)漏洞”的理解中，正確的是()

A.指一個特定的漏洞，該漏洞每年1月1日零點(diǎn)發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲取主機(jī)權(quán)限

B.指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒所利用，用

來攻擊伊朗布什爾核電站基礎(chǔ)設(shè)施

C.指一類漏洞，即特別好被被利用，一旦成功利用該漏洞，可以在1天內(nèi)完成攻擊，且成功達(dá)到攻擊目

標(biāo)

D.指一類漏洞，即剛被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。一般來說，那些已經(jīng)被小部分人發(fā)現(xiàn)，但

是還未公布、還不存在安全補(bǔ)丁的漏洞都是零日漏洞

38、為達(dá)到預(yù)期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯誤的是0

A.隱藏惡意代碼進(jìn)程，即將惡意代碼進(jìn)程隱藏起來，或者改名和使用系統(tǒng)進(jìn)程名，以更好的躲避檢測，迷惑用

戶和安全檢測人員

B.隱藏惡意代碼的網(wǎng)絡(luò)行為，復(fù)用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控

C.隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進(jìn)制代碼，以躲避用戶和安全檢測人員

D.隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除

39、某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升250%盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他

問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對措施，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措

施：

A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入(關(guān)掉ping)

B.刪除服務(wù)器上的ping,exe程序

C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊

D.增加網(wǎng)站服務(wù)以應(yīng)對即將來臨的拒絕服務(wù)攻擊

40、下面四款安全測試軟件中，主要用于WEB安全色掃描的是0

A.CiscoAuditingTools

B.AcunetixWebVulnerabilityScanner

C.NMAP

D.ISSDatabaseScanner

41、關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是0

A.ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯誤的ARP應(yīng)答報(bào)文，使得受害者主機(jī)將錯誤的硬件地址映

7

射關(guān)系存入至UARP緩存中，從而起到冒充主機(jī)的目的

B.單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊

C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存

D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接

42>在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，

下列哪個選項(xiàng)不屬于核心業(yè)務(wù)功能：

A.治理，主要是管理軟件開發(fā)的過程和活動

B.構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動

C.驗(yàn)證，主要是測試和驗(yàn)證軟件的過程與活動

D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動

43、針對軟件的拒絕服務(wù)攻擊時通過消耗系統(tǒng)資源是軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服

務(wù)攻擊的威脅，以下哪個不是需要考慮的攻擊方式

A.攻擊者利用軟件存在邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100%

B.攻擊者利用軟件腳本使用多重賬套查詢在數(shù)據(jù)量大時會導(dǎo)致查詢效率低，通過發(fā)送大量的查詢導(dǎo)致

數(shù)據(jù)庫相應(yīng)緩慢

C.攻擊者利用軟件不自動釋放連接的問題，通過發(fā)送大量連接的消耗軟件并發(fā)生連接數(shù)，導(dǎo)致并發(fā)連接數(shù)

耗盡而無法訪問

D.攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無法訪問

44、某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時提供了用戶快捷登陸功能，用戶如果使用上次的1P地址進(jìn)行訪

問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是：

A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導(dǎo)致攻擊面增大，產(chǎn)生此安全問題

B.網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題

C.網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)絡(luò)攻擊面增大，產(chǎn)生此安全問題

D.網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生

此安全問題

45、下面有關(guān)軟件安全問題的描述中，哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()

A.設(shè)計(jì)了用戶權(quán)限分級機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息

B.設(shè)計(jì)了采用不加鹽(SALT)的SHAT算法對用戶口令進(jìn)行加密存儲，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如

使用了相同的口令會得到相同的加密結(jié)果，從而可以假冒其他用戶登錄

C.設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私

數(shù)據(jù)

D.設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對手截獲

網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文

46、某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登錄時如

用戶名或口令輸入錯誤，給用戶返回“用戶名或口令輸入錯誤”信息，輸入錯誤達(dá)到三次，將暫時禁止登錄該賬戶，

請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：

A.最小共享機(jī)制原則

B.經(jīng)濟(jì)機(jī)制原則

C.不信任原則

D.默認(rèn)故障處理保護(hù)原則

47、為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法

不正確的是:

8

A.由于在實(shí)際滲透測試過程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便

出現(xiàn)問題時可以及時恢復(fù)系統(tǒng)和數(shù)據(jù)

B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實(shí)際系統(tǒng)中運(yùn)行時

的安全狀況

C.滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報(bào)告等步驟

D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測試

48、小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后，對于建立信息安全管理體系，自己總結(jié)了下面四條要求，其中理解不

正確的是()

A.信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多

實(shí)際的或潛在的問題后，制定的能共同的和重復(fù)使用的規(guī)則

B.信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的

要求，這體現(xiàn)以預(yù)防控制為主的思想

C.信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動態(tài)控制的思想，因?yàn)榘踩珕栴}是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會

一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)

D.信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙π畔踩芾碓O(shè)計(jì)的方方面面實(shí)施較為均衡

的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低

49、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsandTechnology,NIST)隸屬美國商務(wù)部，NIST

發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個文檔是由NIST發(fā)布的0

A.ISO27001〈(Informationtechnology-Securitytechniques-Informtionsecurity

managementsystems-Requirements》

B.X.509〈(InformationTechnology-OpenSystems-TheDirectory:AuthenticationFramework》

C.SP800-37《GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems》

D.RFC2402《IPAuthenticatHeader》

50、小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建

議該公司以放棄這個功能模塊的方式來處理該風(fēng)險(xiǎn)。請問這種風(fēng)險(xiǎn)處置的方法是()

A.降低風(fēng)險(xiǎn)

B.規(guī)避風(fēng)險(xiǎn)

C.轉(zhuǎn)移風(fēng)險(xiǎn)

D.放棄風(fēng)險(xiǎn)

51、殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理中的一個重要概念。在信息安全風(fēng)險(xiǎn)管理中，關(guān)于殘余風(fēng)險(xiǎn)描述錯誤的是0

A.殘余風(fēng)險(xiǎn)是采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)：一般來說，是在綜合考慮了安全成本與效益后不

去控制的風(fēng)險(xiǎn)

B.殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件

C.實(shí)施風(fēng)險(xiǎn)處理時，應(yīng)將殘余風(fēng)險(xiǎn)清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風(fēng)險(xiǎn)的存在和可能造

成的后果

D.信息安全風(fēng)險(xiǎn)處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險(xiǎn)，以最小殘余風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)管理效果

評估指標(biāo)

52、在信息安全管理過程中，背景建立是實(shí)施工作的第一步。下面哪項(xiàng)理解是錯誤的()。

A.背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，以及機(jī)構(gòu)的使命、信息系統(tǒng)的業(yè)

務(wù)目標(biāo)和特性

B.背景建立階段應(yīng)識別需要保護(hù)的資產(chǎn)、面臨的威脅以及存在的脆弱性并分別賦值，同時確認(rèn)已有的安全

措施，形成需要保護(hù)的資產(chǎn)清單

C.背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性，形成信息系統(tǒng)的描述報(bào)告

D.背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素，分析信息系統(tǒng)的安全環(huán)境和要求，形成信息系統(tǒng)的

安全要求報(bào)告

9

53、降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）是指通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險(xiǎn)，下面哪個措施不屬于降低風(fēng)險(xiǎn)

的措施（）

A.減少威脅源。采用法律的手段制按計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的

動機(jī)

B.簽訂外包服務(wù)合同。將有技術(shù)難點(diǎn)、存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過簽訂外部合同的方式交予第三方公司

完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(xiǎn)

C.減少脆弱性。及時給系統(tǒng)補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性

54、某單位在一次信息安全風(fēng)險(xiǎn)管理活動中，風(fēng)險(xiǎn)評估報(bào)告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險(xiǎn)漏洞。隨后該單位在風(fēng)

險(xiǎn)處理時選擇了關(guān)閉FTP服務(wù)的處理措施。請問該措施屬于哪種風(fēng)險(xiǎn)處理方式0

A.風(fēng)險(xiǎn)降低B.風(fēng)險(xiǎn)規(guī)避C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)接受

55、小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，

一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論點(diǎn)中錯誤的是哪項(xiàng)：

A.風(fēng)險(xiǎn)評估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析

B.定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性

C.定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此

更具有客觀性

D.半定量風(fēng)險(xiǎn)分析技術(shù)主耍指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦值

方式，實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化

56、信息安全風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信

息安全風(fēng)險(xiǎn)評估工作的意見》（國信辦[2006]5號）中，風(fēng)險(xiǎn)評估分為：自評估和檢查評估兩種形式，并對兩種工作形式

提出了相關(guān)工作原則和要求。下面選項(xiàng)中描述正確的是（）

A.信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充

B.信息安全風(fēng)險(xiǎn)評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充

C.自評估和檢查評估時相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用

D.自評估和檢查評估是相互排斥的，無特殊理由的單位均應(yīng)選擇檢查評估，以保證安全效果

57、信息安全風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》（國信辦

[200615號）中，指出了風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求。

下面選項(xiàng)中描述錯誤的是（）

A.自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估

B.檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估

C.信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充

D.自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并堅(jiān)持

58、王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風(fēng)險(xiǎn)管理工作時，發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn)：

資產(chǎn)A1和資產(chǎn)A2：

其中資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；

而資產(chǎn)A2面臨一個主要威脅，威脅T3；

威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性：脆弱性VI和脆弱性V2；

威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性：脆弱性V3、脆弱性V4和脆弱性V5;

威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性：脆弱性V6和脆弱性V7。

根據(jù)上述條件，請問：使用相乘法時，應(yīng)該為資產(chǎn)A1計(jì)算幾個風(fēng)險(xiǎn)值（）

A.2

B.3

10

C.5

D.6

59、在信息安全管理體系的實(shí)施過程中，管理者的作用對于信息安全管理體系能否成功實(shí)施非常重要，但是以下選項(xiàng)中

不屬于管理者應(yīng)有職責(zé)的是()

A.制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求

B.確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可實(shí)施

C.向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方

針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性

D.建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程，確保信息安全風(fēng)險(xiǎn)

評估技術(shù)選擇合理、計(jì)算正確

60、信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理

活動。關(guān)于這兩者，下面描述錯誤的是0

A.內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力，也都應(yīng)當(dāng)按照一定的周期實(shí)施

B.內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實(shí)施方式多采用召開管理審評會議

的形式進(jìn)行

C.內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實(shí)施主體是由國家政策指定的

第三方技術(shù)服務(wù)機(jī)構(gòu)

D.組織的信息安全方針，信息目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評審

中，這些文件是被審對象

61、隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使

用參考IS027001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS,下面描述錯誤的

是0

A.在組織中，應(yīng)有信息技術(shù)責(zé)任部門(如信息中心)制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方

向并提供總體綱領(lǐng)，明確總體要求

B.組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃

應(yīng)具體、具備可行性

C.組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時也應(yīng)傳達(dá)客

戶、合作伙伴和供應(yīng)商等外部各方

D.組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)

接受和相關(guān)殘余風(fēng)險(xiǎn)

62、在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指在實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，關(guān)于殘余風(fēng)險(xiǎn)，下面描述錯誤的

是0

A.風(fēng)險(xiǎn)處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單，并獲得管理層對殘余風(fēng)險(xiǎn)的書面批準(zhǔn)，這也是

風(fēng)險(xiǎn)管理中的一個重要過程

B.管理層確認(rèn)接受殘余風(fēng)險(xiǎn)，是對風(fēng)險(xiǎn)評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)

險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且必須承擔(dān)引發(fā)的后果

C.接受殘余風(fēng)險(xiǎn)，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制地提高安全保護(hù)措施的強(qiáng)

度，對安全保護(hù)措施的選擇要考慮到成本和技術(shù)的等因素的限制

D.如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級別，則只能被動地選擇接受風(fēng)險(xiǎn)，即對風(fēng)險(xiǎn)不采取進(jìn)一步的處理措

施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果

63、GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信息安全管理體系應(yīng)參照PDCA模型進(jìn)

行，即信息安全管理體系應(yīng)包括建立ISMS、實(shí)施和運(yùn)行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過

程中應(yīng)實(shí)施若干活動。請選出以下描述錯誤的選項(xiàng)()

11

A.”制定ISMS方針”是建立ISMS階段工作內(nèi)容

B.“實(shí)施培訓(xùn)和意識教育計(jì)劃”是實(shí)施和運(yùn)行ISMS階段工作內(nèi)容

C.“進(jìn)行有效性測量”是監(jiān)視和評審階段工作內(nèi)容

D.“實(shí)施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容

64、若一個組織聲稱自己的ISMS符合IS0/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常

規(guī)控制，不包括哪一項(xiàng)()

A.信息安全方針、信息安全組織、資產(chǎn)管理

B.人力資源安全、物力和環(huán)境安全、通信和操作管理

C.訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性

D.安全事件管理、供應(yīng)商關(guān)系、業(yè)務(wù)安全性審計(jì)

65、信息安全組織的管理涉及內(nèi)部組織和外部各方面兩個控制目標(biāo)，為了實(shí)現(xiàn)對組織內(nèi)部信息安全的有效管理，應(yīng)該實(shí)

施常規(guī)的控制措施，不包括哪些選項(xiàng)0

A.信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配

B.信息處理設(shè)施的授權(quán)過程、保密性協(xié)議、與政府部門的聯(lián)系

C.與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評審

D.與外部各方相關(guān)風(fēng)險(xiǎn)的識別、處理外部各方協(xié)議中的安全問題

66、若一個組織聲稱自己的ISMS符合IS0/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全措施通常需要在資產(chǎn)管理方面

實(shí)施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個控制目標(biāo)。信息分類控制的目標(biāo)是為了確保信息受到適當(dāng)級

別的保護(hù)，通常采取以下哪項(xiàng)控制措施()

A.資產(chǎn)清單

B.資產(chǎn)責(zé)任人

C.資產(chǎn)的可接受使用

D.分類指南、信息的標(biāo)記和處理

67、若一個組織聲稱自己的ISMS符合IS0/IBC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下

方面實(shí)施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負(fù)責(zé)和信息分類兩個控制目標(biāo)，對資產(chǎn)負(fù)責(zé)的控制目標(biāo)是實(shí)現(xiàn)和保護(hù)

對組織資產(chǎn)的適當(dāng)保護(hù)，這一控制目標(biāo)的實(shí)現(xiàn)由以下控制措施的落實(shí)來保障，不包括哪一項(xiàng)

A.資產(chǎn)清單

B.資產(chǎn)負(fù)責(zé)人

C.資產(chǎn)的可接受使用

D.分類指南、信息的標(biāo)記和處理

68、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是0

A.信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)

防性措施，也包括事件發(fā)生后的應(yīng)對措施

B.應(yīng)急響應(yīng)工作有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗(yàn)的高依賴性，

以及需要廣泛的協(xié)調(diào)與合作

C.應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)

生時正確指揮、事件發(fā)生后全面總結(jié)

D.應(yīng)急響應(yīng)工作的起源和相關(guān)機(jī)構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，

人們更加重視安全事件的應(yīng)急處理和整體協(xié)調(diào)的重要性

69、我國依照信息系統(tǒng)的重要程度、安全事件造成的系統(tǒng)損失以及帶來的社會影響等因素，將信息安全事件分

為若干個級別，其中，能夠?qū)μ貏e重要的信息系統(tǒng)產(chǎn)生特別嚴(yán)重影響或破壞的信息安全事件，如使特別重要信息系統(tǒng)遭

受特別重大的系統(tǒng)損失，如造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用

性遭到嚴(yán)重破壞的，應(yīng)屬于哪一級信息安全事件0

12

A.I級B.皿級C.W級D.特別級

70、恢復(fù)時間目標(biāo)(RecoveryTimeObjective,RTO)和恢復(fù)點(diǎn)目標(biāo)(RECOVERYPointObjective,RPO)是業(yè)務(wù)連續(xù)性和災(zāi)

難恢復(fù)工作中的兩個重要指標(biāo)，隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn)，這兩個指標(biāo)的數(shù)值越來越小。小華

準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo)，則以下描述中，正確的是0

A.RTO可以為0,RPO也可以為0

B.RTO可以為0,RPO不可以為0

C.RTO不可以為0,RPO可以為0

D.RTO不可以為0,RPO也不可以為0

71、隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來越多。綜

合分析信息安全問題產(chǎn)生的根源，下面描述正確的是()

A.信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中

存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根

本所在

B.信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛，接觸

信息系統(tǒng)的人越多，信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可

以解決信息安全問題

C.信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個方面分析，因?yàn)樾畔⑾到y(tǒng)自身存在脆弱性，同時外

部又有威脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風(fēng)險(xiǎn)，需從內(nèi)外因同時

著手

D.信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)

生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠(yuǎn)程攻擊、本地破壞和內(nèi)外勾結(jié)等手段

導(dǎo)致安全事件發(fā)生。因此，對人這個因素的防范應(yīng)是安全工作重點(diǎn)

72、關(guān)于信息安全保障技術(shù)框架(InformationAssuranceTehnicalFramework,IATF),下面描述錯誤的是0

A.IATF最初由美國國家安全局(NSA)發(fā)布，后來由國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為國際標(biāo)準(zhǔn)，供各個國家

信息系統(tǒng)建設(shè)參考使用

B.1ATF是一個通用框架，可以用到多種應(yīng)用場景中，通過對復(fù)雜信息系統(tǒng)進(jìn)行解構(gòu)和描述，然后再以

此框架討論信息系統(tǒng)的安全保護(hù)問題

C.IATF提出了縱深防御的戰(zhàn)略思想，并提供一個框架進(jìn)行多層保護(hù)，以此防范信息系統(tǒng)面臨的各種威脅

D.強(qiáng)調(diào)人、技術(shù)和操作是深度防御的三個主要層面，也就是說討論人在技術(shù)支持下運(yùn)行維護(hù)的信息安

全保障問題

73、關(guān)于信息安全保障技術(shù)框架(IATF)，以下說法不正確的是：

A.分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本

B.IATF從人、技術(shù)和操作三個層面提供一個框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也無法破壞整

個信息基礎(chǔ)設(shè)施

C.允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性

D.IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制

74、2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進(jìn)信息安全

保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個不是我國發(fā)布的文件()

A.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)

B.《國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》(國令[2008]54號)

C.《國家信息安全戰(zhàn)略報(bào)告》(國信[2005]2號)

D.《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)[201