2023年CISP(NISP二級)新題庫及答案導(dǎo)出版

PAGEPAGE12023年CISP(NISP二級)新題庫及答案導(dǎo)出版一、單選題1.國家對信息安全建設(shè)非常重視，如國家信息化領(lǐng)導(dǎo)小組在（）中確定要求，“信息安全建設(shè)是信息化的有機組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運行維護費用?！眹野l(fā)展改革委所下發(fā)的（）要求；電子政務(wù)工程建設(shè)項目必須同步考慮安全問題，提供安全專項資金，信息安全風險評估結(jié)論是項目驗收的重要依據(jù)。在我國2017年正式發(fā)布的（）中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！毙畔踩こ叹褪且鉀Q信息系統(tǒng)生命周期的“過程安全”問題。A、《關(guān)于加強信息安全保障工作的意見》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《網(wǎng)絡(luò)安全法》B、《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》；《網(wǎng)絡(luò)安全法》C、《網(wǎng)絡(luò)安全法》；《關(guān)于加強信息安全保障工作的意見>>;D、《網(wǎng)絡(luò)安全法》；《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》；《關(guān)于加強信息安全保障工作的意見》答案：A2.信息應(yīng)按照其法律要求、價值、對泄露或篡改的()和關(guān)鍵性予以分類。信息資產(chǎn)的所有者應(yīng)對其分類負責。分類的結(jié)果表明了(),該價值取決于其對組織的敏感性和關(guān)鍵性如保密性、完整性和有效性。信息要進行標記并體現(xiàn)其分類,標記的規(guī)程需要涵蓋物理和電子格式的()。分類信息的標記和安全處理是信息共享的一個關(guān)鍵要求。()和元數(shù)據(jù)標簽是常見的形式。標記應(yīng)易于辨認,規(guī)程應(yīng)對標記附著的位置和方式給出指導(dǎo),并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲和()A、敏感性;物理標簽;資產(chǎn)的價值;信息資產(chǎn);交換規(guī)程B、敏感性;信息資產(chǎn);資產(chǎn)的價值;物理標簽;交換規(guī)程C、資產(chǎn)的價值;敏感性;信息資產(chǎn);物理標簽;交換規(guī)程D、敏感性；資產(chǎn)的價值；信息資產(chǎn)物理標簽；交換規(guī)程答案：D解析：

來源于27002標準的原文3.在以下標準中，屬于推薦性國家標準的是A、GBTXXXX.X-200XB、GBXXXX-200XC、DBXXTXXX-200XD、GBZXXX-XXX-200X答案：A解析：

A為國標推薦標準；B為國標強制標準；C為地方標準；D為國標指導(dǎo)標準。4.信息安全管理體系（informationSecurityManagementSystem.簡稱ISMS）的實施和運行ISMS階段，是ISMS過程模型的實施階段（Do），下面給出了一些活動①制定風險處理計劃②實施風險處理計劃③開發(fā)有效性測量程序④實施培訓(xùn)和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實施內(nèi)部審核⑨實施風險再評估選的活動，選項（）描述了在此階段組織應(yīng)進行的活動。A、①②③④⑤⑥B、①②③④⑤⑥⑦C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨答案：B解析：

管理體系包括PDCA（Plan-Do-Check-Act）四個階段，題干中1-7的工作都屬于管理體系的實施階段（D-Do），而8和9屬于檢查階段（C-Check）。5.下圖中描述網(wǎng)絡(luò)動態(tài)安全的P2DR模型，這個模型經(jīng)常使用圖形的形式來表達，下圖空白處應(yīng)填（）A、策略B、方針C、人員D、項目答案：A6.小李去參加單位組織的信息安全培訓(xùn)后，他把自己對管理信息管理體系ISMS的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）A、監(jiān)控和反饋ISMSB、批準和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS答案：C7.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)答案：C解析：

定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。8.一個信息管理系統(tǒng)通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務(wù)系統(tǒng)中，教師能夠錄入學生的考試成績，學生只能查看自己的分數(shù)，而學校教務(wù)部門的管理人員能夠?qū)φn程信息、學生的選課信息等內(nèi)容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是（）。A、對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)B、在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進行管理C、拒絕非法用戶的非授權(quán)訪問請求D、防止對信息的非授權(quán)篡改和濫用答案：A解析：

訪問控制的核心：允許合法用戶的授權(quán)訪問，防止非法用戶的訪問和合法用戶的越權(quán)訪問。P304頁。9.某單位在一次信息安全風險管理活動中，風險評估報告提出服務(wù)器A的FTP服務(wù)存在高風險漏洞。隨后該單位在風險處理時選擇了安裝FTP服務(wù)漏洞補丁程序并加固FTP服務(wù)安全措施，請問該措施屬于哪種風險處理方式（）A、風險轉(zhuǎn)移B、風險接受C、風險規(guī)避D、風險降低答案：D解析：

風險降低可采用預(yù)防性策略和反應(yīng)性策略兩種方案。P141頁。10.下列選項中，哪個不是我國信息安全保障工作的主要內(nèi)容：A、加強信息安全標準化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標準體系B、建立國家信息安全研究中心，加快建立國家急需的信息安全技術(shù)體系，實現(xiàn)國家信息安全自主可控目標C、建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D、加快信息安全學科建設(shè)和信息安全人才培養(yǎng)答案：B解析：

建立國家信息安全研究中心不是我國信息安全保障工作的主要內(nèi)容。11.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM），錯誤的理解是（）。A、基于SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施B、SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C、SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等D、SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動答案：A解析：

SSE-CMM的工程不是獨立工程，而是與其他工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、通信工程等。P179。12.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機構(gòu)的使命B、機構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標C、機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機構(gòu)的組織結(jié)構(gòu)和管理制度答案：C解析：

業(yè)務(wù)特性從機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程獲取。13.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是:A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題答案：D解析：

網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題。14.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是（）。A、

信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施，既包括預(yù)防性措施，也包括事件發(fā)生后的應(yīng)對措施B、

應(yīng)急響應(yīng)工作的起源和相關(guān)機構(gòu)的成立和1988年11月發(fā)生的莫里斯蠕蟲病毒事件有關(guān)，基于該事件，人們更加重視安全事件的應(yīng)急處置和整體協(xié)調(diào)的重要性C、

應(yīng)急響應(yīng)工作有其鮮明的特點：具有高技術(shù)復(fù)雜性與專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作D、

應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)／重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。答案：D解析：

應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)／重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。15.以下對單點登錄技術(shù)描述不正確的是:()。A、單點登錄技術(shù)實質(zhì)是安全憑證在多個用戶之間的傳遞或共享B、使用單點登錄技術(shù)用戶只需在登錄時進行一次注冊,就可以訪問多個應(yīng)用C、單點登錄不僅方便用戶使用,而且也便于管理D、使用單點登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)答案：A解析：

單點登錄技術(shù)實質(zhì)是安全憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享。16.以下系統(tǒng)工程說法錯誤的是：A、系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)B、系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學方法D、系統(tǒng)工程是一種方法論答案：A解析：

系統(tǒng)工程是方法論，不是技術(shù)實現(xiàn)。17.下面有關(guān)軟件安全問題的描述中，哪項應(yīng)是由于軟件設(shè)計缺陷引起的（）A、設(shè)計了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)答案：C18.業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是：A、讓系統(tǒng)自己處理異常B、調(diào)試方便，應(yīng)該讓更多的錯誤更詳細的顯示出來C、捕獲錯誤，并拋出前臺顯示D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息答案：D解析：

D為正確的處理方法，符合最小化反饋原則。19.某公司財務(wù)服務(wù)器受到攻擊被攻擊者刪除了所有用戶數(shù)據(jù),包括系統(tǒng)日志,公司網(wǎng)絡(luò)管理員在了解情況后,給出了一些解決措施建議，作為信息安全主管，你必須指出不恰當?shù)牟僮鞑⒆柚勾舜尾僮鳎ǎ〢、由于單位并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,網(wǎng)絡(luò)管理員希望出具授權(quán)書委托某網(wǎng)絡(luò)安全公司技術(shù)人員對本次攻擊進行取證B、由于公司缺乏備用硬盤,因此計劃將恢復(fù)服務(wù)器上被刪除的日志文件進行本地恢復(fù)后再提取出來進行取證C、由于公司缺乏備用硬盤,因此網(wǎng)絡(luò)管理員申請采購與服務(wù)器硬盤同一型號的硬盤用于存儲恢復(fù)出來的數(shù)據(jù)D、由于公司并無專業(yè)網(wǎng)絡(luò)安全應(yīng)急人員,因此由網(wǎng)絡(luò)管理員負責此次事件的應(yīng)急協(xié)調(diào)相關(guān)工作答案：B解析：

取證要求不能本地恢復(fù)，恢復(fù)出的日志數(shù)據(jù)會覆蓋現(xiàn)有日志內(nèi)容，應(yīng)避免對原始盤進行任何寫入操作，防止破壞證據(jù)。20.小李是某公司系統(tǒng)規(guī)劃師，某天他針對公司信息系統(tǒng)的現(xiàn)狀，繪制了一張系統(tǒng)安全建設(shè)規(guī)劃圖，如下圖所示。請問這個圖形是依據(jù)下面哪個模型來繪制的（）A、PDRB、PPDRC、PDCAD、IATF答案：B21.以下關(guān)于Windows系統(tǒng)的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性答案：D解析：

SecurityAccountsManager只有system賬號才能訪問。22.為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準備并編制一份針對性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出一份信息安全需求描述報告。關(guān)于此項工作，下面說法錯誤的是（）。A、信息安全需求描述報告是設(shè)計和撰寫信息安全保障方案的前提和依據(jù)B、信息安全需求描述報告的主體內(nèi)容可以按照技術(shù)、管理和工程等方面需求展開編寫C、信息安全需求描述報告應(yīng)當基于信息安全風險評估結(jié)果和有關(guān)政策法規(guī)和標準的合規(guī)性要求得到D、信息安全需求報告應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫答案：D解析：

信息安全需求報告不應(yīng)依據(jù)該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案為主要內(nèi)容來撰寫，而應(yīng)該依據(jù)現(xiàn)有安全現(xiàn)狀，痛點以及客戶需求來寫。23.以下說法正確的是（）。A、軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段B、驗收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗收C、軟件測試的目的是為了驗證軟件功能是否正確D、監(jiān)理工程師應(yīng)按照有關(guān)標準審查提交的測試計劃，并提出審查意見答案：D解析：

軟件測試開始與軟件設(shè)計階段，在軟件開發(fā)完成以后還有回歸測試，驗收測試；驗收測試一般按照軟件開發(fā)預(yù)期（軟件開發(fā)需求或者合同）來進行；軟件測試的目的是檢驗它是否滿足規(guī)定的需求或是弄清預(yù)期結(jié)果與實際結(jié)果之間的差異。P416頁24.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A、是否己經(jīng)通過部署安全控制措施消滅了風險B、是否可以抵抗大部分風險C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風險控制在可接受的范圍內(nèi)答案：D解析：

判斷風險控制的標準是風險是否控制在接受范圍內(nèi)。25.信息安全等級保護要求中，第三級適用的正確的是：A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益B、適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一般損害C、適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害D、適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設(shè)和公共利益造成特別嚴重損害答案：B解析：

題目中B為等級保護三級，該考點為等級保護定級指南。26.在window系統(tǒng)中用于顯示本機各網(wǎng)絡(luò)端口詳細情況的命令是:A、netshowB、netstatC、ipconfigD、Netview答案：B27.小王是某大學計算機科學與技術(shù)專業(yè)的學生，最近因為生病缺席了幾堂信息安全課程，這幾次課的內(nèi)容是自主訪問控制與強制訪問控制，為了趕上課程，他向同班的小李借來課堂筆記，進行自學。而小李在聽課時由于經(jīng)常走神，所以筆記會出現(xiàn)一些錯誤。下列選項是小李筆記中關(guān)于強制訪問控制模型的內(nèi)容，其中出現(xiàn)錯誤的選項是（）A、強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體B、安全屬性是強制性的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，不能隨意篡改C、系統(tǒng)通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個用戶執(zhí)行訪問控制的過程控制措施答案：D解析：

“對單個用戶執(zhí)行訪問控制的過程控制措施”，P308頁。28.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風險管理的相關(guān)理論，他這個是掃描活動屬于下面哪一個階段的工作（）A、風險分析B、風險要素識別C、風險結(jié)果判定D、風險處理答案：B解析：

漏洞掃描屬于風險要素的脆弱性要素識別，風險要素包括資產(chǎn)、威脅、脆弱性、安全措施。29.關(guān)于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導(dǎo)致安全弱點的薄弱之處答案：D解析：

D為源代碼審核工作內(nèi)容描述。30.物理安全是一個非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中，信息系統(tǒng)的設(shè)施作為直存儲、處理數(shù)據(jù)的載體，其安全性對信息系統(tǒng)至關(guān)重要。下列選項中，對設(shè)施安全的保障的描述正確的是（）。A、安全區(qū)域不僅包含物理區(qū)域，還包含信息系統(tǒng)等軟件區(qū)域B、建立安全區(qū)域需要建立安全屏蔽及訪問控制機制C、由于傳統(tǒng)門鎖容易被破解，因此禁止采用門鎖的方式進行邊界防護D、閉路電視監(jiān)控系統(tǒng)的前端設(shè)備包括攝像機、數(shù)字式控制錄像設(shè)備，后端設(shè)備包括中央控制設(shè)備、監(jiān)視器等答案：B解析：

A物理安全包括信息系統(tǒng)所在物理區(qū)域，但不包含軟件區(qū)域，C“進展采用門鎖方式”錯誤，D數(shù)字式控制錄像設(shè)備屬于后端設(shè)備，B描述了物理安全措施。31.以下哪一項不是信息安全管理工作必須遵循的原則?A、風險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B、風險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風險控制措施針對性會更強，實施成本會相對較低D、在系統(tǒng)正式運行后，應(yīng)注重殘余風險的管理，以提高快速反應(yīng)能力答案：C解析：

安全措施投入應(yīng)越早則成本越低，C答案則成本會上升。32.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進行法令一種機制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實現(xiàn)訪問控制功能。以下選項中，對windows操作系統(tǒng)訪問控制實現(xiàn)方法的理解錯誤的是（）A、ACL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權(quán)訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實現(xiàn)基于角色的訪問控制答案：A33.若一個組織聲稱自己的ISMS符合ISO／IEC27001或GB／T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（）A、任用之前B、任用中C、任用終止或變化D、任用后答案：D解析：

P10634.數(shù)據(jù)庫是一個單位或是一個應(yīng)用領(lǐng)域的通用數(shù)據(jù)處理系統(tǒng),它存儲的是屬于企業(yè)和事業(yè)部門、團體和個人的有關(guān)數(shù)據(jù)的集合。數(shù)據(jù)庫中的數(shù)據(jù)是從全局觀點出發(fā)建立的,按一定的數(shù)據(jù)模型進行組織、描述和存儲。其結(jié)構(gòu)基于數(shù)據(jù)間的自然聯(lián)系,從而可提供一切必要的存取路徑,且數(shù)據(jù)不再針對某一應(yīng)用,而是面向全組織,具有整體的結(jié)構(gòu)化特征。數(shù)據(jù)庫作為應(yīng)用系統(tǒng)數(shù)據(jù)存儲的系統(tǒng),毫無疑問會成為信息安全的重點防護對象。數(shù)據(jù)庫安全涉及到數(shù)據(jù)資產(chǎn)的安全存儲和安全訪問,對數(shù)據(jù)庫安全要求不包括下列()A、向所有用戶提供可靠的信息服務(wù)B、拒絕執(zhí)行不正確的數(shù)據(jù)操作C、拒絕非法用戶對數(shù)據(jù)庫的訪問D、能跟蹤記錄,以便為合規(guī)性檢查、安全責任審查等提供證據(jù)和跡象等答案：A解析：

A項不在數(shù)據(jù)庫安全存儲和安全訪問范疇。35.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPsec)協(xié)議說法錯誤的是（）。A、IPsec僅能保證傳輸數(shù)據(jù)的可認證性和保密性B、驗證頭協(xié)議（AuthenticationHead，AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload，ESP）都能以傳輸模式和隧道模式工作C、在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議（InternetProtocol，IP）包，包括IP頭D、在傳送模式中，保護的是IP負載答案：A解析：

IPsec協(xié)議中通過封裝安全載荷協(xié)議加密需要保護的載荷數(shù)據(jù)，為這些數(shù)據(jù)提供機密性和完整性保護能力。36.SARSA模型包括（），它是一個（），它在第一層從安全的角度定義了（）。模型的每一層在抽象方面逐層減少，細節(jié)逐層增加，因此，它的層級都是建在其他層之上的，從策略逐漸到技術(shù)和解決方案的（）。其思路上創(chuàng)新提出了一個包括戰(zhàn)略、概念、設(shè)計、實施、度量和審計層次的（）A、五層；業(yè)務(wù)需求；分層模型；實施實踐；安全鏈條B、六層；分層模型；業(yè)務(wù)需求；實施實踐；安全鏈條C、五層；分層模型；業(yè)務(wù)需求；實施實踐；安全鏈條D、六層；分層模型；實施實踐；業(yè)務(wù)需求；安全鏈條答案：B解析：

SABSA舍伍德模型六層模型，從安全角度定義了業(yè)務(wù)需求37.風險評估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A、脆弱性掃描工具B、滲透測試工具C、拓撲發(fā)現(xiàn)工具D、安全審計工具答案：B38.ISO9001-2000標準在制定、實施質(zhì)量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關(guān)于過程方法的示意圖，圖中括號空白處應(yīng)填寫（）A、策略B、管理者C、組織D、活動答案：A解析：

該題為PDCA的變形。39.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶帳戶的安全，項目開發(fā)人員決定用戶登錄時除了用戶名口令認證方式外，還加入基于數(shù)字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則（）A、縱深防御原則B、最少共享機制原則C、職責分離原則D、最小特權(quán)原則答案：A解析：

縱深防御原則：軟件應(yīng)該設(shè)置多重安全措施（戶名口令認證方，基于數(shù)字證書的身份認證，用戶口令使用SMA-1算法加密后存放在后臺數(shù)據(jù)庫中），并充分利用操作系統(tǒng)提供的安全防護機制，形成縱深防御體系，以降低攻擊者成功攻擊的幾率和危害。P409。40.Windows系統(tǒng)下，哪項不是有效進行共享安全的防護措施？A、使用netshare\\\\\\c$delete命令，刪除系統(tǒng)中的c$等管理共享，并重啟系統(tǒng)B、確保所有的共享都有高強度的密碼防護C、禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表鍵值D、安裝軟件防火墻阻止外面對共享目錄的連接答案：A41.公鑰密碼的應(yīng)用不包括:A、數(shù)字簽名B、非安全信道的密鑰交換C、消息認證碼D、身份認證答案：C解析：

ABD都是是公鑰密碼應(yīng)用的范疇。42.關(guān)于標準，下面哪項理解是錯誤的（）。A、標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準，共同重復(fù)使用的一種規(guī)范性文件。標準是標準化活動的重要成果B、行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標準。同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應(yīng)以國家標準條款為準C、國際標準是由國際標準化組織通過并公開發(fā)布的標準。同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突時，應(yīng)以國際標準條款為準D、地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定，并報國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標準之后，該地方標準即應(yīng)廢止答案：C解析：

國際標準是由國際標準化組織通過并公布的標準，同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突，應(yīng)以國家標準條款為準。43.什么是系統(tǒng)變更控制中最重要的內(nèi)容？A、所有的變更都必須文字化，并被批準B、變更應(yīng)通過自動化工具來實施C、應(yīng)維護系統(tǒng)的備份D、通過測試和批準來確保質(zhì)量答案：A44.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A、口令B、令牌C、知識D、密碼答案：B解析：

令牌是基于實體所有的鑒別方式。45.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件B、對信息安全事件進行有效管理和響應(yīng)，最小化事件所造成的損失和負面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息安全事件的發(fā)生答案：D解析：

安全事件無法杜絕。46.以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實施答案：D解析：

監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。47.下圖顯示了SSAM的四個階段和每個階段工作內(nèi)容。與之對應(yīng)，（）的目的是建立評估框架，并為現(xiàn)場階段準備后勤方面的工作。（）的目的是準備評估團隊進行現(xiàn)場活動，并通過問卷進行數(shù)據(jù)的初步收集和分析。（）主要是探索初步數(shù)據(jù)分析結(jié)果，以及為被評組織的專業(yè)人員提供與數(shù)據(jù)采集和證實過程的機會，小組對在此就三個階段中采集到的所有數(shù)據(jù)進行（）。并將調(diào)查結(jié)果呈送個發(fā)起者。A、現(xiàn)場階段；規(guī)劃階段；準備階段；最終分析B、準備階段；規(guī)劃階段；現(xiàn)場階段；最終分析C、規(guī)劃階段；現(xiàn)場階段；準備階段；最終分析D、規(guī)劃階段；準備階段；現(xiàn)場階段；最終分析答案：D48.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002／home／test／sh請問以下描述哪個是正確的：A、該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B、該文件是一個正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C、該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn)、該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test答案：D49.隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式（）A、利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件B、利用即時通訊軟件發(fā)送指向惡意網(wǎng)頁的URLC、利用即時通訊軟件發(fā)送指向惡意地址的二維碼D、利用即時通訊發(fā)送攜帶惡意代碼的txt文檔答案：D解析：

D項txt文檔不可被執(zhí)行，所以不是可被利用的傳播方式。50.金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的操作習慣（）A、使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺、安全檢查和安全加固方面的軟件C、在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的、安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù)答案：A解析：

安裝好軟件后應(yīng)及時對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級，以增加操作系統(tǒng)的安全性。51.在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應(yīng)用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網(wǎng)絡(luò)攻擊日志、安全性日志、記賬日志和IE日志D、網(wǎng)絡(luò)鏈接日志、安全性日志、服務(wù)日志和IE日志答案：B52.下圖是某單位對其主網(wǎng)站一天流量的監(jiān)測圖，如果該網(wǎng)站當天17：00到20：00之間受到攻擊，則從圖中數(shù)據(jù)分析，這種攻擊可能屬于下面什么攻擊。（）A、跨站腳本攻擊B、TCP會話劫持C、IP欺騙攻擊D、拒絕服務(wù)攻擊答案：D解析：

流量突增5倍以上，說明是流量性的攻擊，最后可能的就是拒絕服務(wù)攻擊。53.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當優(yōu)先考慮的是：A、選購當前技術(shù)最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻答案：D解析：

在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。54.以下關(guān)于開展軟件安全開發(fā)必要性描錯誤的是？（）A、軟件應(yīng)用越來越廣泛B、軟件應(yīng)用場景越來越不安全C、軟件安全問題普遍存在D、以上都不是答案：D解析：

ABC實際上都是軟件安全開發(fā)的必要性55.終端訪問控制器訪問控制系統(tǒng)（TERMINALAccessControllerAccess-ControlSystem,TACACS）,在認證過程中，客戶機發(fā)送一個START包給服務(wù)器，包的內(nèi)容包括執(zhí)行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個，序列號永遠為（）.服務(wù)器收到START包以后，回送一個REPLY包，表示認證繼續(xù)還是結(jié)束。A、0B、1C、2D、4答案：B解析：

P315頁56.以下屬于哪一種認證實現(xiàn)方式：用戶登錄時，認證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個隨機數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子密鑰和隨機數(shù)混合計算后作為一次性口令，并發(fā)送給AS，AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份A、口令序列B、時間同步C、挑戰(zhàn)D、靜態(tài)口令答案：C解析：

題干描述的是C的解釋。57.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，總結(jié)錯誤的是（）A、各國普遍將與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點B、各國普遍重視戰(zhàn)略規(guī)劃工作，逐步發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流與對話，均同意建立一致的安全保障系統(tǒng)，強化各國安全系統(tǒng)互通D、各國普遍積極推動信息安全立法和標準規(guī)范建設(shè)，重視應(yīng)急響應(yīng)、安全監(jiān)管和安全測評答案：C解析：

“均同意建立一致的安全保障系統(tǒng)”錯誤58.主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是（）。A、主體是動作的實施者，比如人、進程或設(shè)備等均是主體，這些對象不能被當作客體使用B、一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些主體可以獨立運行C、主體是訪問的發(fā)起者，是一個主動的實體，可以操作被動實體的相關(guān)信息或數(shù)據(jù)D、客體也是一種實體，是操作的對象，是被規(guī)定需要保護的資源答案：A解析：

主體和客體是相對的概念，主體在一定情況下可以成為客體，客體也可以成為主體。59.殺毒軟件一般是通過對代碼與特征庫中的特征碼進行比對,判斷這個文件是否是為惡意代碼,如果是則進女聯(lián)系到病毒庫中對該病毒的描述,從而確認其行為,達到分析的目的。下列對惡意代碼靜態(tài)分析的說法中,錯誤的是()A、靜態(tài)分析不需要實際執(zhí)行惡意代碼,它通過對其二進制文件的分析,獲得惡意代碼的基本結(jié)構(gòu)和特征,了解其工作方式和機制B、靜態(tài)分析通過查找惡意代碼二進制程序中嵌入的可疑字符串,如:文件名稱、URL地址、域名、調(diào)用函數(shù)等來進行分析判斷C、靜態(tài)分析檢測系統(tǒng)函數(shù)的運行狀態(tài),數(shù)據(jù)流轉(zhuǎn)換過程,能判別出惡意代碼行為和正常軟件操作D、靜態(tài)分析方法可以分析惡意代碼的所有執(zhí)行路徑,但是隨著程序復(fù)雜度的提高,冗余路徑增多,會出現(xiàn)分析效率很低的情況答案：C解析：

無法檢測運行狀態(tài)，P371。60.操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不周而下的破綻,都給網(wǎng)絡(luò)安全留下隱患。某公司的網(wǎng)絡(luò)維護師為實現(xiàn)該公司操作系統(tǒng)的安全目標,按書中所學建立了相應(yīng)的安全機制,這些機制不包括（）A、標識與鑒別B、訪問控制C、權(quán)限管理D、網(wǎng)絡(luò)云盤存取保護答案：D解析：

D不屬于信息安全機制的范疇。61.軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A、在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B、在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C、確保對軟編碼人員進行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行答案：D解析：

軟件的安全測試根據(jù)實際情況進行測試措施的選擇和組合。62.我國標準《信息安全風險管理指南》（GB／Z24364）給出了信息安全風險管理的內(nèi)容和過程，可以用下圖來表示。圖中空白處應(yīng)該填寫（）。A、風險評價B、風險計算C、風險預(yù)測D、風險處理答案：D解析：

背景建立、風險評估、風險處理和批準監(jiān)督是信息安全風險管理的4個具體步驟，監(jiān)控審查和溝通咨詢則貫穿于這4個基本步驟中。P89頁。63.關(guān)于linux下的用戶和組，以下描述不正確的是A、在linux中，每一個文件和程序都歸屬于一個特定的“用戶”B、系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組C、用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D、root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限答案：C解析：

一個用戶可以屬于多個組。64.Alice有一個消息M通過密鑰K2生成一個密文E（K2，M）然后用K1生成一個MAC為C（K1，E（K2，M）），Alice將密文和MAC發(fā)送給Bob，Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較，假如相同再用K2解密Alice發(fā)送的密文，這個過程可以提供什么安全服務(wù)？A、僅提供數(shù)字簽名B、僅提供保密性C、僅提供不可否認性D、保密性和消息完整性答案：D解析：

密文E（K2，M）保障保密性，消息驗證碼MAC為C（K1，E（K2，M））保障完整性。65.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項中說法正確的是（）。A、ACL在刪除用戶時，去除該用戶所有的訪問權(quán)限比較方便B、ACL在增加客體時，增加相關(guān)的訪問控制權(quán)限較為簡單C、ACL對于統(tǒng)計某個主體能訪問哪些客體比較方便D、ACL是Bell-LaPadula模型的一種具體實現(xiàn)答案：B66.供電安全是所有電子設(shè)備都需要考慮的問題,只有持續(xù)平穩(wěn)的電力供應(yīng)才能保障電子設(shè)備作穩(wěn)定可靠因此電力供應(yīng)需要解決問題包括兩個,一是確保電力供應(yīng)不中斷、二是確保電力供應(yīng)平穩(wěn)。下列選項中,對電力供應(yīng)的保障措施的描述正確的是（）A、可以采用雙路供電來確保電力供應(yīng)穩(wěn)定性B、UPS可提供持續(xù)、平穩(wěn)的電力供應(yīng),不會受到電涌的影響C、可以部署電涌保護器來確保電力供應(yīng)穩(wěn)定性D、發(fā)動機供電是目前電力防護最主要的技術(shù)措施答案：C解析：

A項是防止電力中斷，B項UPS里面有電子元器件，一樣有可能會受到電涌的影響，D項，UPS是目前電力防護最主要的技術(shù)措施（P323），C項沒有原則性錯誤67.在規(guī)定的時間間隔或重大變化發(fā)生時，組織的（）和實施方法（如信息安全的控制目標、控制措施、方針、過程和規(guī)程）應(yīng)（）。獨立評審宜由管理者啟動，由獨立被評審范圍的人員執(zhí)行，例如內(nèi)部審核部、獨立的管理人員或?qū)ｉT進行這種評審的第三方組織。從事這些評審的人員宜具備適當?shù)模ǎ?。管理人員宜對自己職責范圍內(nèi)的信息處理是否符合合適的安全策略、標準和任何其他安全要求進行（）。為了日常評審的效率，可以考慮使用自動測量和（）。評審結(jié)果和管理人員采取的糾正措施宜被記錄，且這些記錄宜予以維護。A、信息安全管理；獨立審查；報告工具；技能和經(jīng)驗；定期評審B、信息安全管理；技能和經(jīng)驗；獨立審查；定期評審；報告工具C、獨立審查；信息安全管理；技能和經(jīng)驗；定期評審；報告工具D、信息安全管理；獨立審查；技能和經(jīng)驗；定期評審；報告工具答案：D68.網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上，針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，預(yù)先制定的行動計劃或應(yīng)急對策。應(yīng)急預(yù)案的實施需要各子系統(tǒng)相互與協(xié)調(diào)，下面應(yīng)急響應(yīng)工作流程圖中，空白方框中從右到左依欠填入的是（）。A、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組；B、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)日常運行小組；C、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)日常運行小組D、應(yīng)急響應(yīng)技術(shù)保障小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)日常運行小組、應(yīng)急響應(yīng)實施小組；答案：A解析：

P149圖4-169.安全漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。當前，網(wǎng)絡(luò)安全漏洞掃描技術(shù)的兩大核心技術(shù)是（）。A、PING掃描技術(shù)和端口掃描技術(shù)B、端口掃描技術(shù)和漏洞掃描技術(shù)C、操作系統(tǒng)探測和漏洞掃描技術(shù)D、PING掃描技術(shù)和操作系統(tǒng)探測答案：B解析：

概念題70.小趙是某大學計算機科學與技術(shù)專業(yè)的畢業(yè)生，在前往一家大型企業(yè)應(yīng)聘時，面試經(jīng)理要求他給出該企業(yè)信息系統(tǒng)訪問控制模型的設(shè)計思路。如果想要為一個存在大量用戶的信息系統(tǒng)實現(xiàn)自主訪問控制功能，在以下選項中，從時間和資源消耗的角度，下列選項中他應(yīng)該采取的最合適的模型或方法是（）。A、BLP模型B、Biba模型C、能力表（CL）D、訪問控制列表（ACL）答案：D解析：

目前Wiondows和linux操作系統(tǒng)使用的都是ACL，訪問控制表（ACL）是在每個文件下面附著一個客戶權(quán)限表，正常情況下一個系統(tǒng)客戶數(shù)再多也不會有文件的數(shù)量多，所以選D；而BLP模型、Biba模型屬于強制訪問控制模型，與題干不符。P307頁。71.某公司在執(zhí)行災(zāi)難恢復(fù)測試時.信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點的服務(wù)器的運行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A、災(zāi)難恢復(fù)站點的錯誤事件報告B、災(zāi)難恢復(fù)測試計劃C、災(zāi)難恢復(fù)計劃(DRP)D、主站點和災(zāi)難恢復(fù)站點的配置文件答案：A解析：

按照災(zāi)難恢復(fù)流程，首先檢查錯誤事件報告。72.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO，請你指出存在問題的是哪個總結(jié)？（）A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報、確定應(yīng)急事件優(yōu)先級應(yīng)急響應(yīng)啟動實施、應(yīng)急響應(yīng)時間后期運維、更新現(xiàn)在應(yīng)急預(yù)案五個階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分類依據(jù)GBZ20986–2007《信息安全技術(shù)信息安全事件分類分級指南》，分為7個基本類別，預(yù)案符合國家相關(guān)標準答案：A解析：

“無需進行應(yīng)急演練工作”錯誤73.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）。A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標破壞的信息作戰(zhàn)部隊C、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙D、搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)答案：C解析：

A屬于個人威脅；B和D屬于國家威脅。74.甲公司打算制作網(wǎng)絡(luò)連續(xù)時所需要的插件的規(guī)格尺寸、引腳數(shù)量和線序情況，甲公司將這個任務(wù)委托了乙公司，那么乙公司的設(shè)計員應(yīng)該了解OSI參考模型中的哪一層（）A、數(shù)據(jù)鏈路層B、會話層C、物理層D、傳輸層答案：C解析：

物理層規(guī)定通信設(shè)備的機械的、電氣的、功能的和過程的特性，用以建立、維護和拆除物理鏈路連接，這些特性包括網(wǎng)絡(luò)連接時所需接插件的規(guī)格尺寸、引腳數(shù)量等，P329頁75.下列信息安全評估標準中，哪一個是我國信息安全評估的國家標準？（）A、TCSEC標準B、CC標準C、FC標準D、ITSEC標準答案：B解析：

TCSEC標準（可信計算機系統(tǒng)評估標準）是美國政府國防部標準，為評估計算機系統(tǒng)內(nèi)置的計算機安全功能的有效性設(shè)定了基本要求，在2005年最初被公布的國際標準《通用準則（CC）》所取代，《信息技術(shù)安全性評估準則》是我國在2008年等同采用《ISO／IEC15408：2005信息技術(shù)-安全技術(shù)-信息技術(shù)安全評估標準》形成的國家標準，標準編號為GB／T18336。標準定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準則，由于歷史和連續(xù)性的原因，仍叫通用準則（monCriteria，CC）；FC上美國1991年制定了一個《聯(lián)邦（最低安全要求）評估準則》，但由于其不完備性，未能推行；ITSEC（InformationTechnologySecurityEvaluationCriteria，信息技術(shù)安全評估標準）是評估產(chǎn)品和系統(tǒng)中計算機安全性的一套結(jié)構(gòu)化的標準。于1990年5月首先在法國，德國，荷蘭和英國出版，后來主要在一些歐洲國家使用。76.隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是（）。A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存在的脆弱性，導(dǎo)致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛，接觸信息系統(tǒng)的人越多，信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用，內(nèi)因和外因都可能導(dǎo)致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導(dǎo)致安全事件發(fā)生。因此，對人這個因素的防范應(yīng)是安全工作重點D、信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性，同時外部又有威脅源，從而導(dǎo)致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風險，需從內(nèi)外因同時著手答案：D解析：

從根源來說，信息安全問題可以歸因于內(nèi)因和外因兩個方面。P3頁。77.若一個組織聲稱自己的ISMS符合ISO／IEC27001或GB／T22080標準要求，其信息安全控制措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標，信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以上哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南，信息的標記和處理答案：D解析：

P109頁。78.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責的是（）。A、確保組織的信息安全管理體系目標和相應(yīng)的計劃得以制定，目標應(yīng)明確、可度量，計劃應(yīng)具體、可實施B、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求C、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程，確保信息安全風險評估技術(shù)選擇合理、計算正確D、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性答案：C解析：

“實施信息安全風險評估過程”不屬于管理者責任。79.關(guān)于信息安全管理體系的作用，下面理解錯誤的是（）。A、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補投入B、對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責任C、對外而言，有助于使各利益相關(guān)方對組織充滿信心D、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查答案：A解析：

“光花錢不掙錢的事情”錯誤80.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是：A、資產(chǎn)識別是指對需求保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需求保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺答案：D解析：

安全措施既包括技術(shù)層面，也包括管理層面。81.以下哪項不是應(yīng)急響應(yīng)準備階段應(yīng)該做的？A、確定重要資產(chǎn)和風險，實施針對風險的防護措施B、編制和管理應(yīng)急響應(yīng)計劃C、建立和訓(xùn)練應(yīng)急響應(yīng)組織和準備相關(guān)的資源D、評估事件的影響范圍，增強審計功能、備份完整系統(tǒng)答案：D解析：

D描述的是安全事件發(fā)生以后，不是應(yīng)急響應(yīng)的準備。82.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容?；趹?yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備->檢測->遏制->根除->恢復(fù)->跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是（）。A、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)步驟，順次恢復(fù)相關(guān)的系統(tǒng)B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、確定重要資產(chǎn)和風險，實施針對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟答案：C解析：

關(guān)閉相關(guān)系統(tǒng)而不是關(guān)閉所有系統(tǒng)。P153頁。83.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）A、

信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響事件B、

至今已有一種信息安全策略或防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護，這就使得信息安全事件的發(fā)生是不可能的C、

應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施D、

應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點：具有高技術(shù)復(fù)雜性志專業(yè)性、強突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié)調(diào)與合作答案：B解析：

目前不存在一種信息安全策略或防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護。84.與PDR模型相比，P2DR模型則更強調(diào)（），即強調(diào)系統(tǒng)安全的（），并且以安全檢測、（）和自適應(yīng)填充“安全間隙”為循環(huán)來提高（）A、漏洞監(jiān)測：控制和對抗：動態(tài)性：網(wǎng)絡(luò)安全B、動態(tài)性：控制和對抗：漏洞監(jiān)測：網(wǎng)絡(luò)安全C、控制和對抗：漏洞監(jiān)測：動態(tài)性：網(wǎng)絡(luò)安全D、控制和對抗：動態(tài)性：漏洞監(jiān)測：網(wǎng)絡(luò)安全答案：D解析：

P27頁85.從Linux內(nèi)核2.1版開始，實現(xiàn)了基于權(quán)能的特權(quán)管理機制，實現(xiàn)了對超級用戶的特權(quán)分割，打破了UNIXLINUX操作系統(tǒng)中超級用戶普通用戶的概念，提高了操作系統(tǒng)的安全性。下列選項中，對特權(quán)管理機制的理解錯誤的是（）。A、進程可以放棄自己的某些權(quán)能B、普通用戶及其shell沒有任何權(quán)能，而超級用戶及其shell在系統(tǒng)啟動之初擁有全部權(quán)能C、當普通用戶的某些操作設(shè)計特權(quán)操作時，仍然通過setuid實現(xiàn)D、系統(tǒng)管理員可以剝奪和恢復(fù)超級用戶的某些權(quán)能答案：D解析：

在Linux操作系統(tǒng)中，root用戶是最高權(quán)限用戶，系統(tǒng)管理員不可以剝奪和恢復(fù)超級用戶的某些權(quán)能86.作為單位新上任的CS0,你組織了一次本單位的安全評估工作以了解單位安全現(xiàn)狀。在漏洞掃描報告發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個漏洞,對比上一年度的漏洞掃描報告,發(fā)現(xiàn)這個已經(jīng)報告出來,經(jīng)詢問安全管理員得知,這個業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉,因此無法修復(fù)。對于這個問題處理()A、向公司管理層提出此問題,要求立即立項重新開發(fā)此業(yè)務(wù)系統(tǒng),避免單位中存在這樣的安全風險B、既然此問題不是新發(fā)現(xiàn)的問題,之前已經(jīng)存在,因此與自己無關(guān),可以不予理會C、讓安全管理人員重新評估此漏洞存在的安全風險并給出進一步的防護措施后再考慮如何處理D、讓安全管理員找出驗收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼,自己修改解決這個漏洞答案：C解析：

C項更為合適一些。87.管理層應(yīng)該表現(xiàn)對(),程序和控制措施的支持,并以身作則。管理職責要確保雇員和承包方人員都了()角色和職責,并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計劃,并定期組織信息安全()。組織立正式的(),確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀律處理過程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合同和其他因素。A、信息安全:信息安全政策:教育和培訓(xùn);紀律處理過程:分級的響應(yīng)B、信息安全政策:信息安全:教育和培訓(xùn):紀律處理過程:分級的響應(yīng)C、信息安全政策:教育和培訓(xùn):信息安全;紀律處理過程:分級的響應(yīng)D、信息安全政策:紀律處理過程信息安全;教育和培訓(xùn):分級的響應(yīng)答案：B解析：

P107頁88.下列哪一個是我國政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全工作的主要原則？（）A、《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》B、《政府信息系統(tǒng)安全和保密管理工作的通知》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》D、《關(guān)于開展信息安全風險評估工作的意見》答案：C解析：

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》是我國政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全工作的主要原則。89.Windows系統(tǒng)下，可通過運行（）命令打開Windows管理控制臺。A、regeditB、cmdC、mmcD、mfc答案：C90.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是：A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務(wù)提供者共有答案：D解析：

電子簽名不可以與認證服務(wù)提供者共有。91.計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代，某公司為減少計算機系統(tǒng)漏洞，對公司計算機系統(tǒng)進行了如下措施，其中錯誤的是（）A、減少系統(tǒng)日志的系統(tǒng)開銷B、禁用或刪除不需要的服務(wù)，降低服務(wù)運行權(quán)限C、設(shè)置策略避免系統(tǒng)出現(xiàn)弱口令并對口令猜測進行防護D、對系統(tǒng)連續(xù)進行限制，通過軟件防火墻等技術(shù)實現(xiàn)對系統(tǒng)的端口連續(xù)進行控制答案：A解析：

系統(tǒng)日志不應(yīng)該減少92.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行業(yè)務(wù)影響分析(BIA)時的步驟是：1.標識關(guān)鍵的業(yè)務(wù)過程;2.開發(fā)恢復(fù)優(yōu)先級;3.標識關(guān)鍵的IT資源;4.表示中斷影響和允許的中斷時間A、1-3-4-2B、1-3-2-4C、1-2-3-4D、1-4-3-2答案：A解析：

根據(jù)BCM的分析過程順序為A。93.以下對Windows系統(tǒng)的服務(wù)描述，正確的是：A、Windows服務(wù)必須是一個獨立的可執(zhí)行程序B、Windows服務(wù)的運行不需要用戶的交互登陸C、Windows服務(wù)都是隨系統(tǒng)啟動而啟動，無需用戶進行干預(yù)D、Windows服務(wù)都需要用戶進行登陸后，以登錄用戶的權(quán)限進行啟動答案：B94.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全保障工作的主要原則（）A、《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計算機信息系統(tǒng)安全保護條例》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》D、《關(guān)于開展信息安全風險評估工作的意見》答案：C95.管理，是指（）組織并利用其各個要素（人、財、物、信息和時空），借助（），完成該組織目標的過程。其中，（）就像其他重要業(yè)務(wù)資產(chǎn)各（）一樣，也對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當?shù)乇Ｗo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅各（）當中。A、管理手段；管理主體；信息；管理要素；脆弱性B、管理主體；管理手段；信息；管理要素；脆弱性C、管理主體；信息；管理手段；管理要素；脆弱性D、管理主體；管理要素；管理手段；信息；脆弱性答案：B96.OSI模型把網(wǎng)絡(luò)通信工作分為七層,其中IP協(xié)議對應(yīng)OSI模型中的那一層()A、應(yīng)用層B、傳輸層C、應(yīng)用層D、網(wǎng)絡(luò)層答案：D97.哪種攻擊是攻擊者通過各種手段來小號網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源，最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)（）A、拒絕服務(wù)B、緩沖區(qū)溢出C、DNS欺騙D、IP欺騙答案：A解析：

題干是針對拒絕服務(wù)攻擊的描述98.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據(jù)任務(wù)安排，他依據(jù)已有的資產(chǎn)列表，逐個分析可能危害這些資產(chǎn)的主體、動機、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值。請問，他這個工作屬于下面哪一個階段的工作（）A、確認已有的安全措施并賦值B、脆弱性識別并賦值C、威脅識別并賦值D、資產(chǎn)識別并賦值答案：C解析：

依據(jù)資產(chǎn)列表逐個分析可能危害這些資產(chǎn)的主體、動機、途徑等多種因素，分析這些因素出現(xiàn)及造成損失的可能性大小，并為其賦值，屬于C威脅識別并賦值。99.風險評估相關(guān)政策,目前主要有()(國信辦[2006]5號)。主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的(),評估信息系統(tǒng)面臨的()、存在的()、已有的安全措施和殘余風險的影響等、兩類信息系統(tǒng)的()、涉密信息系統(tǒng)參照“分級保護”、非涉密信息系統(tǒng)參照“等級保護”。A、《關(guān)于開展信息安全風險評估工作的意見》；重要程度；安全威脅；脆弱性；工作開展B、《關(guān)于開展風險評估工作的意見》;安全威脅；重要程度；脆弱性；工作開展C、《關(guān)于開展風險評估工作的意見》;重要程度;安全威脅;脆弱性;工作開展D、《關(guān)于開展信息安全風險評估工作的意見》脆弱性;重要程度;安全威脅;工作開展答案：A100.有關(guān)能力成熟度模型（CMM），錯誤的理解是（）。A、

CMM的思想來源于項目管理、質(zhì)量管理和過程管理B、

CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法C、

CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”D、

CMM的思想不關(guān)注結(jié)果，而是強調(diào)了過程的控制，過程如果是高質(zhì)量的，結(jié)果通常會是高質(zhì)量的答案：A解析：

過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”CMM的思想來源于已有多年歷史的項目管理、質(zhì)量管理，自產(chǎn)生以來幾經(jīng)修訂，成為具有廣泛影響的模型。P178頁。101.以下關(guān)于windowsSAM(安全賬號管理器)的說法錯誤的是:A、安全賬號管理器(SAM)具體表現(xiàn)就是%SystemRoot%B、安全賬號管理器(SAM)存儲的賬號信息是存儲在注冊表中C、安全賬號管理器(SAM)存儲的賬號信息administrator和system是可讀和可寫的D、安全賬號管理器(SAM)是windows的用戶數(shù)據(jù)庫系統(tǒng)進程通過SecurityAccountsManager服務(wù)進行訪問和操作答案：C解析：

SAM文件只有system可讀和可寫的102.密碼學是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法，密碼協(xié)議也是網(wǎng)絡(luò)安全的一個重要組成部分。下面描述中，錯誤的是（）。A、密碼協(xié)議（cryptographicprotocol），有時也稱安全協(xié)議（securityprotocol），是使用密碼學完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其目的是提供安全服務(wù)B、根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信任的人，也可能是敵人和互相完全不信任的人C、在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式D、密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟，協(xié)議中的每個參與方都必須了解協(xié)議，且按步驟執(zhí)行答案：C解析：

“不要限制和框住所有的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式”錯誤103.由于密碼技術(shù)都依賴于密鑰，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列關(guān)于密鑰管理說法錯誤的是（）。A、在保密通信過程中，通信雙方也可利用Diffie-Hellman協(xié)議協(xié)商出會話密鑰進行保密通信B、科克霍夫在《軍事密碼學》中指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰C、密鑰管理需要在安全策略的指導(dǎo)下處理密鑰生命周期的整個過程，包括產(chǎn)生、存儲、備份、分配、更新、撤銷等D、在保密通信過程中，通信雙方可以一直使用之前用過的會話密鑰，不影響安全性答案：D解析：

通信雙方可以一直使用之前用過的會話密鑰，會影響安全性104.以下哪項的行為不屬于違反國家保密規(guī)定的行為（）A、以不正當手段獲取商業(yè)秘密B、在私人交往中涉及國家秘密C、將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)D、通過普通郵政等無保密措施的渠道傳遞國家秘密載體答案：A解析：

A屬于商業(yè)秘密，不屬于國家秘密。105.以下關(guān)于Windows操作系統(tǒng)身份標識與鑒別，說法不正確的是（）。A、Windows操作系統(tǒng)遠程登錄經(jīng)歷了SMB鑒別機制、LM鑒別機制、NTLM鑒別機制、Kerberos鑒別體系等階段B、完整的安全標識符（SID）包括用戶和組的安全描述，48比特的身份特權(quán)、修訂版本和可變的驗證值C、本地安全授權(quán)機構(gòu)（LSA）生成用戶賬戶在該系統(tǒng)內(nèi)唯一的安全標識符（SID）D、用戶對鑒別信息的操作，如更改密碼等都通過一個以Administrator權(quán)限運行的服務(wù)“SecurityAccountsManager”來實現(xiàn)答案：D解析：

用戶對鑒別信息的操作，如更改密碼等都通過一個以system權(quán)限運行的服務(wù)“SecurityAccountsManager”來實現(xiàn)。P357頁。106.數(shù)據(jù)庫的安全很復(fù)雜,往往需要考慮多種安全策略,才可以更好地保護數(shù)據(jù)庫的安全。以下關(guān)于數(shù)據(jù)庫常用的安全策略理解不正確的是（）。A、粒度最小策略，將數(shù)據(jù)庫中的數(shù)據(jù)項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度B、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作C、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)庫的不同部分D、最大共享策略，在保證數(shù)據(jù)庫的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫中的信息答案：D解析：

數(shù)據(jù)庫安全一般遵循最小化原則。107.以下哪項制度或標準被作為我國的一項基礎(chǔ)制度加以推行，并且有一定強制性，其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。（）A、信息安全管理體系（ISMS）B、信息安全等級保護C、ISOD、NIST答案：B解析：

信息安全等級保護制度（等保）是一項強制性基礎(chǔ)制度。P75頁。108.下列關(guān)于kerckhof準則的說法正確的是：A、保持算法的秘密性比保持密鑰的秘密性要困難的多B、密鑰一旦泄漏，也可以方便的更換C、在一個密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全D、公開的算法能夠經(jīng)過更嚴格的安全性分析答案：C解析：

柯克霍夫原則：密碼系統(tǒng)的安全性依賴于密鑰而不依賴于算法。109.2016年10月21日，美國東部地區(qū)發(fā)生大規(guī)模斷網(wǎng)事件，此次事件是由于美國主要DNS服務(wù)商Dyn遭遇大規(guī)模DDos攻擊所致，影響規(guī)模驚人，對人們生產(chǎn)生活造成嚴重影響。DDoS攻擊的主要目的是破壞系統(tǒng)的（）。A、抗抵賴性B、保密性C、可用性D、不可否認性答案：C解析：

DDOS（分布式拒絕服務(wù)攻擊）主要攻擊目標所提供的服務(wù)，以破壞可用性為主要目的。P350頁。110.老王是某政府信息中心主任。以下哪項項目是符合《保守國家秘密法》要求的（）A、老王要求下屬小張把中心所有計算機貼上密級標志B、老王提出對加密機和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用C、老王安排下屬小李將損害的涉密計算機的某國外品牌硬盤送到該品牌中國區(qū)維修中心修理D、老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫答案：B解析：

保密設(shè)施、設(shè)備應(yīng)當與涉密信息系統(tǒng)同步規(guī)劃，同步建設(shè)，同步運行（三同步）。P57頁，A項非涉密計算機不應(yīng)貼涉密標識，C涉密計算機應(yīng)送往有涉密資質(zhì)的維修中心，D項目涉密計算機不上網(wǎng)。111.超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)絡(luò)協(xié)議。下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議，具備用戶鑒別和通信數(shù)據(jù)加密等功能（）。A、HTTPD協(xié)議B、HTTPC、HTTPS協(xié)議D、HTTP答案：C解析：

HTTPS協(xié)議，是以安全為目標的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認證保證了傳輸過程的安全性。112.國務(wù)院信息化工作辦公室于2004年7月份下發(fā)了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，該文件中指出了我國在災(zāi)備工作原則，下面哪項不屬于該工作原則（）A、統(tǒng)籌規(guī)劃B、分組建設(shè)C、資源共享D、平戰(zhàn)結(jié)合答案：B解析：

災(zāi)備工作原則包括統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合。113.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別答案：D解析：

實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。114.某集團公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計劃，提出了四大培訓(xùn)任務(wù)和目標，關(guān)于這四個培訓(xùn)任務(wù)和目標，作為主管領(lǐng)導(dǎo)，以下選項中不合理的是（）A、對其他信息化相關(guān)人員（網(wǎng)絡(luò)管理員、軟件開發(fā)人員）也進行安全基礎(chǔ)培訓(xùn)，使相關(guān)人員對網(wǎng)絡(luò)安全有所了解B、對下級單位的網(wǎng)絡(luò)安全管理崗人員實施全面安全培訓(xùn)，建議通過CISP培訓(xùn)以確保人員能力得到保障C、對全體員工安排信息安全意識及基礎(chǔ)安全知識培訓(xùn)，實現(xiàn)全員信息安全意識教育D、由于網(wǎng)絡(luò)安全上升到國家安全的高度，網(wǎng)絡(luò)安全必須得到足夠的重視，因此安排了對集團公司下屬單位的總經(jīng)理（一把手）的網(wǎng)絡(luò)安全法培訓(xùn)答案：D解析：

不能只對公司總經(jīng)理培訓(xùn)，A是干擾項實際情況就是要求對信息化相關(guān)人員也進行安全基礎(chǔ)培訓(xùn)，使其對網(wǎng)絡(luò)安全有所了解。115.關(guān)于《網(wǎng)絡(luò)安全法》域外適用效力的理解，以下哪項是錯誤的（）A、對于來自境外的違法信息我國可以加以阻斷傳播B、對于來自境外的網(wǎng)絡(luò)安全威脅我國可以組織技術(shù)力量進行監(jiān)測、防御和處置C、對于來自境外的網(wǎng)絡(luò)攻擊我國可以追究其法律責任D、當前對于境外的網(wǎng)絡(luò)攻擊，我國只能通過向來源國采取抗議答案：D解析：

對境外的機構(gòu)、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關(guān)鍵信息基礎(chǔ)設(shè)施活動，造成嚴重后果的，依法追究法律責任。P55頁。116.按照我國信息安全等級保護的有關(guān)政策和標準，有些信息系統(tǒng)只需自主定級、自主保護，按照要求向公安機關(guān)備案即可，可以不需要上級或主管部門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于（）。A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)答案：B解析：

一級系統(tǒng)只需要自主定級備案，不需要測評。117.以下哪些是需要在信息安全策略中進行描述的：A、組織信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則C、組織信息安全技術(shù)參數(shù)D、組織信息安全實施手段答案：B解析：

安全策略是宏觀的原則性要求，不包括具體的架構(gòu)、參數(shù)和實施手段。118.操作系統(tǒng)用于管理計算機資源，控制整個系統(tǒng)運行，是計算機軟件的基礎(chǔ)。操作系統(tǒng)安全是計算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺計算機，開機后首先對自帶的Windows操作系統(tǒng)進行配置。他的主要操作有：（1）關(guān)閉不必要的服務(wù)和端口；（2）在“本地安全策略”中配置賬號策略、本地策略、公鑰策略和IP安全策略；（3）備份敏感文件，禁止建立空連接，下載最新補?。唬?）關(guān)閉審核策略，開啟口令策略，開啟賬戶策略。這些操作中錯誤的是（）。A、操作（1），應(yīng)該關(guān)閉不必要的服務(wù)和所有端口B、操作（4），應(yīng)該開啟審核策略C、操作（3），備份敏感文件會導(dǎo)致這些文件遭到竊取的幾率增加D、操作（2），在“本地安全策略”中不應(yīng)該配置公鑰策略，而應(yīng)該配置私鑰策略答案：B解析：

操作（4），應(yīng)該開啟審核策略。119.某單位的信息安全主管部門在學習我國有關(guān)信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是（）A、檢查評估可依據(jù)相關(guān)標準的要求，實施完整的風險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部