2022年CISP考試專用題庫

1.美國的I核心信息基本設施(criticalInformationInfrastructure,CII)涉

及商用核設施、政府設施、交通系統(tǒng)、飲用水和廢水解決系統(tǒng)、公共健康和醫(yī)

療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基本

設施信息安全，其重要因素不涉及：

A.這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運營和國家安全影響深遠

B.這些行業(yè)都是信息化應用廣泛的領(lǐng)域

C.這些行業(yè)信息系統(tǒng)普遍存在安全隱患，并且信息安全專業(yè)人才缺少的現(xiàn)象比

其她行業(yè)更突出

D.這些行業(yè)發(fā)生信息安全事件，會導致廣泛而嚴重的損失

2.有關(guān)國內(nèi)信息安全保障工作發(fā)展的幾種階段，下列哪個說法不對的：

A.-年是啟動階段，標志性事件是成立了網(wǎng)絡與信息安全協(xié)調(diào)小組，該機構(gòu)是

國內(nèi)信息安全保障工作日勺最高領(lǐng)導機構(gòu)

B.-年是逐漸展開和積極推動階段，標志性事件是發(fā)布了指引性文獻《有關(guān)加

強信息安全保障工作日勺意見》(中辦發(fā)27號文獻)并頒布了國家信息安全戰(zhàn)略

C.-至今是深化貫徹階段，標志性事件是奧運會和世博會信息安全保障獲得圓

滿成功&

D.-至今是深化貫徹階段，信息安全保障體系建設獲得實質(zhì)性進展，各項信息

安全保障工作邁出了堅實步伐

3.根據(jù)國標/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目的(ISST)

中，安全保障目的)指歐I是：

A、信息系統(tǒng)安全保障目的

B、環(huán)境安全保障目的

C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D.信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程

安全保障目的

4.如下哪一項是數(shù)據(jù)完整性得到保護的例子？

A.某網(wǎng)站在訪問量忽然增長時對顧客連接數(shù)量進行了限制，保證已登錄的顧客

可以完畢操作

B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該顧客的賬戶余額進

行了沖正操作&

C.某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以擬定哪個管理員在何時對核心互換機

進行了什么操作

D.李先生在每天下班前將重要文獻鎖在檔案室的保密柜中，使偽裝成清潔工的I

商業(yè)間諜無法查看

5.公司甲做了諸多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設計安全保障方

案時，借鑒此前項目經(jīng)驗，為乙設計了多重數(shù)據(jù)加密安全措施，但顧客提出不

需要這些加密措施，理由是影響了網(wǎng)站性能，使顧客訪問量受限，雙方引起爭

議。下面說法哪個是錯誤的：

A.乙對信息安全不注重，低估了黑客能力，不舍得花錢&

B.甲在需求分析階段沒有進行風險評估，所部署的加密針對性局限性，導致?lián)]

霍

C.甲未充足考慮網(wǎng)游網(wǎng)站的業(yè)務與政府網(wǎng)站業(yè)務的區(qū)別

D.乙要綜合考慮業(yè)務、合規(guī)性和風險，與甲共同擬定網(wǎng)站安全需求

6.進入21世紀以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定

并頒布網(wǎng)絡空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡空間安全戰(zhàn)略

的內(nèi)容也各不相似，如下說法不對時的是：

A.與國家安全、社會穩(wěn)定和民生密切有關(guān)的核心基本設施是各國安全保障的重

點

B.美國尚未設立中央政府級的專門機構(gòu)解決網(wǎng)絡信息安全問題，信息安全管理

職能由不同政府部門的多種機構(gòu)共同承當

C.各國普遍注重信息安全事件時應急響應和解決

D.在網(wǎng)絡安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充足運用社會資源，發(fā)

揮政府與公司之間的合伙關(guān)系

7.與PDR模型相比，P2DR模型多了哪一種環(huán)節(jié)？

A.防護

B.檢測

C.反映

D.方略&

8.如下有關(guān)項目的含義，理解錯誤的是：

A.項目是為達到特定的目的、使用一定資源、在擬定的期間內(nèi)、為特定發(fā)起人

而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。

B.項目有明確的開始日期，結(jié)束日期由項目歐J領(lǐng)導者根據(jù)項目進度來隨機擬

定。&

C.項目資源指完畢項目所需要的人、財、物等。

D.項目目區(qū))要遵守SMART原則，即項目的目的規(guī)定具體(Specific)、可測量

(Measurable)需有關(guān)方及I一致批準(Agreeto)、現(xiàn)實(Realistic)、有一定

的時限(Time-oriented)

9.年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡安全綜合籌劃

(ComprehensiveNationalCybersecurityInitiative,CNCI)□CNCI籌劃建

立三道防線：第一道防線，減少

漏洞和隱患，避免入侵；第二道防線，全面應對各類威脅、；第三道防線，強化

將來安全環(huán)境.從以上內(nèi)容，我們可以看出如下哪種分析是對的時：

A.CNCI是以風險為核心，三道防線首要的I任務是減少其網(wǎng)絡所面臨的風險

B.從CNCI可以看出，威脅重要是來自外部的，而漏洞和隱患重要是存在于內(nèi)部

的I

C.CNCI的目歐I是盡快研發(fā)并部署新技術(shù)徹底變化其糟糕的I網(wǎng)絡安全現(xiàn)狀，而

不是在目前的網(wǎng)絡基本上修修補補

D.CNCI徹底變化了以往的美國信息安全戰(zhàn)略，不再把核心基本設施視為信息

安全保障重點，而是追求所有網(wǎng)絡和系統(tǒng)的全面安全保障&

10.下列對于信息安全保障深度防御模型的說法錯誤的是：

A.信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一種重要構(gòu)

成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和原則的I外部環(huán)

境制約下。

B.信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息

安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程

中，我們需要采用信息系統(tǒng)工程的措施來建設信息系統(tǒng)。

C.信息安全人才體系：在組織機構(gòu)中應建立完善的安全意識，培訓體系也是信

息安全保障的重要構(gòu)成部分。

D.信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”。

11.如圖，某顧客通過賬號、密碼和驗證碼成功登錄某銀行的I個人網(wǎng)銀系統(tǒng),

此過程屬于如下哪一類：

個人用輯登錄

登錄名：卡（銖）號件機號/別名忘記別名？

,1WmK

忘記登錄密碼？

n來

A.個人網(wǎng)銀系統(tǒng)和顧客之間的雙向鑒別

B.由可信第三方完畢的顧客身份鑒別

C.個人網(wǎng)銀系統(tǒng)對顧客身份日勺單向鑒別*

D.顧客對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別

12.如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用

自己的私鑰解密，恢復出明文。如下說法對日勺日勺是:

加密密鑰

宙碼分析者

A.此密碼體制為對稱密碼體制

B.此密碼體制為私鑰密碼體制

C.此密碼體制為單鑰密碼體制

D.此密碼體制為公鑰密碼體制&

13.下列哪一種措施屬于基于實體“所有”鑒別措施：

A.顧客通過自己設立的口令登錄系統(tǒng)，完畢身份鑒別

B.顧客使用個人指紋，通過指紋辨認系統(tǒng)的身份鑒別

C.顧客運用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送的挑戰(zhàn)進行對的應答，通過身

份鑒別

D.顧客使用集成電路卡（如智能卡）完畢身份鑒別&

14.為防備網(wǎng)絡欺詐保證交易安全，網(wǎng)銀系統(tǒng)一方面規(guī)定顧客安全登錄，然后

使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些

鑒別措施？

A.實體“所知”以及實體“所有”的鑒別措施&

B.實體“所有”以及實體“特性”的鑒別措施

C.實體“所知”以及實體“特性”的鑒別措施

D.實體“所有”以及實體“行為”的鑒別措施

15.某單位開發(fā)了一種面向互聯(lián)網(wǎng)提供服務的I應用網(wǎng)站，該單位委托軟件測評

機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，

項目經(jīng)理提出了還需要相應用網(wǎng)站進行一次滲入性測試，作為安全主管，你需

要提出滲入性測試相比源代碼測試、

模糊測試的優(yōu)勢給領(lǐng)導做決策，如下哪條是滲入性測試的優(yōu)勢？

A.滲入測試以襲擊者歐I思維模擬真實襲擊，能發(fā)現(xiàn)如配備錯誤等運營維護期產(chǎn)

生的漏洞&

B.滲入測試是用軟件替代人工的一種測試措施，因此測試效率更高

C.滲入測試使用人工進行測試，不依賴軟件，因此測試更精確

D.滲入測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

16.軟件安全設計和開發(fā)中應考慮顧客穩(wěn)私包，如下有關(guān)顧客隱私保護的說法

哪個是錯誤的？

A.告訴顧客需要收集什么數(shù)據(jù)及收集到的數(shù)據(jù)會如何披使用

B.當顧客的數(shù)據(jù)由于某種因素要被使用時，給顧客選擇與否容許

C.顧客提交的顧客名和密碼屬于穩(wěn)私數(shù)據(jù)，其他都不是&

D.保證數(shù)據(jù)的使用符合國家、地方、行業(yè)的有關(guān)法律法規(guī)

17.軟件安全保障的思想是在軟件日勺全生命周期中貫徹風險管理的思想，在有

限資源前提下實現(xiàn)軟件安全最優(yōu)防護，避免防備局限性帶來日勺直接損失，也需

要關(guān)注過度防備導致的間接損失。在如下軟件安全開發(fā)方略中，不符合軟件安

全保障思想的是：

A.在軟件立項時考慮到軟件安全有關(guān)費用，經(jīng)費中預留了安全測試、安全評審

有關(guān)費用，保證安全經(jīng)費得到貫徹&

B.在軟件安全設計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設計進行評審，及時

發(fā)現(xiàn)架構(gòu)設計中存在歐I安全局限性

C.保證對軟編碼人員進行安全培訓，使開發(fā)人員理解安全編碼基本原則和措

施，保證開發(fā)人員編寫出安全的I代碼

D.在軟件上線前對軟件進行全面安全性測試，涉及源代碼分析、模糊測試、滲

入測試，未經(jīng)以上測試的軟件不容許上線運營

18.如下哪一項不是工作在網(wǎng)絡第二層的隧道合同：

A.VTP&

B.L2F

C.PPTP

D.L2TP

19.如圈所示，主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁

有(Own)權(quán)限，該圖所示的訪問控制實現(xiàn)措施是：

A.訪問控制表(ACL)

B.訪問控制矩陣

C.能力表(CL)&

D.前綴表(Profiles)

20.如下場景描述了基于角色日勺訪問控制模型(Role-basedAccess

Control.RBAC)：根據(jù)組織日勺業(yè)務規(guī)定或管理規(guī)定，在業(yè)務系統(tǒng)中設立若干崗

位、職位或分工，管理員負責將權(quán)限(不同類別和級別的)分別賦予承當不同工

作職責的I顧客。有關(guān)RBAC模型，下列說法錯誤的I是：

A.當顧客祈求訪問某資源時，如果其操作權(quán)限不在顧客目前被激活角色的授權(quán)

范疇內(nèi)，訪問祈求將被回絕

B.業(yè)務系統(tǒng)中的崗位、職位或者分工，可相應RBAC模型中的角色

C.通過角色，可實現(xiàn)對信息資源訪問的控制

D.RBAC模型不能實現(xiàn)多級安全中的訪問控制&

21.下面哪一項不是虛擬專用網(wǎng)絡(VPN)合同原則：

A.第二層隧道合同(L2TP)

B.Internet安全性(IPSEC)

C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)&

D.點對點隧道合同(PPTP)

22.下列對網(wǎng)絡認證合同(Kerberos)描述對時的是：

A.該合同使用非對稱密鑰加密機制

B.密鑰分發(fā)中心由認證服務器、票據(jù)授權(quán)服務器和客戶機三個部分構(gòu)成

C.該合同完畢身份鑒別后將獲取顧客票據(jù)許可票據(jù)

D.使用該合同不需要時鐘基本同步的環(huán)境&

23.鑒別的;基本途徑有三種：所知、所有和個人特性，如下哪一項不是基于你

所懂得的：

A.口令

B.令牌&

C.知識

D.密碼

24.在ISO日勺0SI安全體系構(gòu)造中，如下哪一種安全機制可以提供抗抵賴安全

服務？

A.加密

B.數(shù)字簽名&

C.訪問控制

D.路由控制

25.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusienDetectionSystem,IDS)

產(chǎn)品，需要購買防火墻，如下做法應當優(yōu)先考慮的是：

A.選購目前技術(shù)最先進的防火墻即可

B.選購任意一款品牌防火墻

C.任意選購一款價格合適的防火墻產(chǎn)品

D.選購一款同已有安全產(chǎn)品聯(lián)動的防火墻&

26.在OSI參照模型中有7個層次，提供了相應的安全服務來加強信息系統(tǒng)的

安全性，如下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務？

A.網(wǎng)絡層&

B.表達層

C.會話層

D.物理層

27.某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職工工所在部門

主管經(jīng)理和人事部門人員同步進行確認才干在系統(tǒng)上執(zhí)行，該設計是遵循了軟

件安全設計中歐I哪項原則？

A.最小權(quán)限

B.權(quán)限分離&

C.不信任

D.縱深防御

28.如下有關(guān)互聯(lián)網(wǎng)合同安全(InternetProtocolSecurity,IPsec)合同說法

錯誤的是：

A.在傳送模式中，保護時是IP負載

B.驗證頭合同(AuthenticationHead,AH)和IP封裝安全載荷合同

(EncapsulatingSecurityPayload,ESP)都能以傳播模式和隧道模式工作

c.在隧道模式中，保護於J是整個互聯(lián)網(wǎng)合同(InternetProtocol,IP)包，涉

及IP頭

D.IPsec僅能保證傳播數(shù)據(jù)的可認證性和保密性&

29.某電子商務網(wǎng)站在開發(fā)設計時，使用了威脅建模措施來分折電子商務網(wǎng)站

所面臨日勺威脅，STRIDE是微軟SDL中提出的威脅建模措施，將威脅分為六類，

為每一類威脅提供了原則歐I消減措施，Spoofing是STRIDE中欺騙類歐I威脅，

如下威脅中哪個可以歸入此類威脅？

A.網(wǎng)站競爭對手也許雇傭襲擊者實行DDoS襲擊，減少網(wǎng)站訪問速度

B.網(wǎng)站使用http合同進行瀏覽等操作，未對數(shù)據(jù)進行加密，也許導致顧客傳

播信息泄露，例如購買的商品金額等

C.網(wǎng)站使用http合同進行瀏覽等操作，無法確認數(shù)據(jù)與顧客發(fā)出的與否一

致，也許數(shù)據(jù)被半途篡改

D.網(wǎng)站使用顧客名、密碼進行登錄驗證，襲擊者也許會運用弱口令或其她方式

獲得顧客密碼，以該顧客身份登錄修改顧客訂單等信息&

30.如下有關(guān)PGP(PrettyGoodPrivacy)軟件論述錯誤及)是：

A.PGP可以實現(xiàn)對郵件附加密、簽名和認證

B.PGP可以實現(xiàn)數(shù)據(jù)壓縮

C.PGP可以對郵件進行分段和重組

D.PGP采用SHA算法加密郵件&

31.入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的I安全

技術(shù)，它與IDS有著許多不同點，請指出下列哪一項描述不符合IPS的特點？

A.串接到網(wǎng)絡線路中

B.對異常的進出流量可以直接進行阻斷

C.有也許導致單點故障

D.不會影響網(wǎng)絡性能&

32.相比文獻配備表(FAT)文獻系統(tǒng)，如下哪個不是新技術(shù)文獻系統(tǒng)(NTFS)所具

有的I優(yōu)勢？

A.NTFS使用事務日記自動記錄所有文獻夾和文獻更新，當浮現(xiàn)系統(tǒng)損壞和電

源故障等闖題而引起操作失敗后，系統(tǒng)能運用日記文獻重做或恢復未成功的操

作

B.NTFS的分區(qū)上，可覺得每個文獻或文獻夾設立單獨的許可權(quán)限

C.對于大磁盤，NTFS文獻系統(tǒng)比FAT有更高的I磁盤運用率

D.相比FAT文獻系統(tǒng)，NTFS文獻系統(tǒng)能有效的兼容linux下EXT2文獻格式&

33.某公司系統(tǒng)管理員近來正在部署一臺Web服務器，使用的操作系統(tǒng)是

windows,在進行日記安全管理設立時，系統(tǒng)管理員擬定四條日記安全方略給領(lǐng)

導進行參照，其中能有效應對襲擊者獲得系統(tǒng)權(quán)限后對日記進行修改的方略

是：

A.在網(wǎng)絡中單獨部署syslog服務器，將Web服務器日勺日記自動發(fā)送并存儲到

該syslog日記服務器中&

B.嚴格設立Web日記權(quán)限，只有系統(tǒng)權(quán)限才干進行讀和寫等操作

C.對日記屬性進行調(diào)節(jié)，加大日記文獻大小、延長日記覆蓋時間、設立記錄更

多信息等

D.使用獨立的分區(qū)用于存儲日記，并且保存足夠大的日記空間

34.有關(guān)linux下的顧客和組，如下描述不對的的是。

A.在linux中，每一種文獻和程序都歸屬于一種特定的“顧客”

B.系統(tǒng)中歐）每一種顧客都必須至少屬于一種顧客組

C.顧客和組的）關(guān)系可以是多對一，一種組可以有多種顧客，一種顧客不能屬于

多種組*

D.root是系統(tǒng)日勺超級顧客，無論與否文獻和程序的I所有者都具有訪問權(quán)限

35.安全的運營環(huán)境是軟件安全的基本，操作系統(tǒng)安全配備是保證運營環(huán)境安

全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了如下四項

安所有署工作，其中哪項設立不利于提高運營環(huán)境安全？

A.操作系統(tǒng)安裝完畢后安裝最新的安全補丁，保證操作系統(tǒng)不存在可被運用的

安全漏洞

B.為了以便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一種分區(qū)C,所有數(shù)

據(jù)和操作系統(tǒng)都寄存在C盤&

C.操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D.將默認的管理員賬號Administrator改名，減少口令暴力破解襲擊的發(fā)生也

許

36.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活？

A.粒度越小&

B.約束越細致

C.范疇越大

D.約束范疇大

37.下列哪某些對信息安全漏洞的I描述是錯誤時？

A.漏洞是存在于信息系統(tǒng)的某種缺陷。

B.漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中檔)。

C.具有可運用性和違規(guī)性，它自身的存在雖不會導致破壞，但是可以被襲擊者

運用，從而給信息系統(tǒng)安全帶來威脅和損失。

D.漏洞都是人為故意引入的一種信息系統(tǒng)的弱點&

38.賬號鎖定方略中對超過一定次數(shù)的I錯誤登錄賬號進行鎖定是為了對抗如下

哪種襲擊？

A.分布式回絕服務襲擊(DDoS)

B.病毒傳染

C.口令暴力破解&

D.緩沖區(qū)溢出襲擊

39.數(shù)據(jù)在進行傳播前，需要由合同棧自上而下對數(shù)據(jù)進行封裝，TCP/IP合

同中，數(shù)據(jù)封裝的順序是：

A.傳播層、網(wǎng)絡接口層、互聯(lián)網(wǎng)絡層

B.傳播層、互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層&

C.互聯(lián)網(wǎng)絡層、傳播層、網(wǎng)絡接口層

D.互聯(lián)網(wǎng)絡層、網(wǎng)絡接口層、傳播層

40.如下哪個不是導致地址解析合同(ARP)欺騙的本源之一？

A.ARP合同是一種無狀態(tài)的合同

B.為提高效率，ARP信息在系統(tǒng)中會緩存

C.ARP緩存是動態(tài)於J,可被改寫

D.ARP合同是用于尋址的一種重要合同

41.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵

稱，然后向該好友的其她好友發(fā)送某些欺騙消息。該襲擊行為屬于如下哪類襲

擊？

A.口令襲擊

B.暴力破解

C.回絕服務襲擊

D.社會工程學襲擊&

42.有關(guān)軟件安全開發(fā)生命周期(SDL),下面說法錯誤的是：

A.在軟件開發(fā)時各個周期都要考慮安全因素

B.軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段

C.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞

都將增大軟件開發(fā)成本&

D.在設計階段就盡量發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本

43.在軟件保障成熟度模型(SoftwareAssuranceMaturityIdode,SAMM)中，

規(guī)定了軟件開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能：

A.治理，重要是管理軟件開發(fā)的J過程和活動

B.構(gòu)造，重要是在開發(fā)項目中擬定目的并開發(fā)軟件的I過程與活動

C.驗證，重要是測試和驗證軟件的過程與活動

D.購買，重要是購買第三方商業(yè)軟件或者采用開源組件的有關(guān)管理過程與活動&

部署

44.從系統(tǒng)工程的角度來解決信息安全問題，如下說法錯誤的是：

A.系統(tǒng)安全工程旨在理解公司存在的安全風險，建立一組平衡的安全需求，融

合多種工程學科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實行指

南。

B.系統(tǒng)安全工程需對安全機制的對時性和有效性做出詮釋，證明安全系統(tǒng)的信

任度可以達到公司的I規(guī)定，或系統(tǒng)遺留的I安全單薄性在可容許范疇之內(nèi)。

C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的措

施，是一種使用面向開發(fā)日勺措施。&

D.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基

本上，通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐环N完好

定義時、成熟的、可測量的先進學科。

45.小王是某大學計算科學與技術(shù)專業(yè)的畢業(yè)生，大四上學期開始找工作，盼

望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信

息安全風險管理中的I“背景建立”的I基本概念與結(jié)識，小王的I重要觀點涉及：

(1)背景建立的目的是為了明確信息安全

風險管理的范疇和對象，以及對象日勺特性和安全規(guī)定，完畢信息安全風驗管理

項目的規(guī)劃和準備；(2)背景建立根據(jù)組織機構(gòu)有關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)

驗有助于達到事半功倍的效果；(3)背景建立涉及：風險管理準備、信息系統(tǒng)

調(diào)查、信息系統(tǒng)分析和信息安全分析；(4)背景建立的階段性成果涉及：風險管

理籌劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、

信息系統(tǒng)的安全規(guī)定報告。請問小王的所述論點中錯誤的是哪項：

A.第一種觀點，背景建立的目的只是為了明確信息安全風險管理的范疇和對象

B.第二個觀點，背景建立的根據(jù)是國家、地區(qū)域行業(yè)的有關(guān)政策、法律、法規(guī)

和原則

C.第三個觀點，背景建立中日勺信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的I兩個

不同名字&

D.第四個觀點，背景建立的階段性成果中不涉及有風險管理籌劃書

46.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實行(Base

Practices,BP),對的的理解是:

A.BP是基于最新技術(shù)而制定的安全參數(shù)基本配備

B.大部分BP是沒有通過測試區(qū)|

C.一項BP合用于組織的生存周期而非僅合用于工程的某一特定階段&

D.一項BP可以和其她BP有重疊

47.如下哪一種判斷信息系統(tǒng)與否安全的I方式是最合理的？

A.與否己經(jīng)通過部署安全控制措施消滅了風險

B.與否可以抵御大部分風險

C.與否建立了具有自適應能力的信息安全模型

D.與否已經(jīng)將風險控制在可接受的范疇內(nèi)&

48.如下有關(guān)信息安全法治建設的意義，說法錯誤的是：

A.信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B.明確違背信息安全的行為，并對該行為進行相應的懲罰，以打擊信息安全犯

罪活動

C.信息安全重要是技術(shù)問題，技術(shù)漏洞是信息犯罪的本源&

D.信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)原則和完善的技術(shù)體系

49.小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)

受某種災害的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致

資產(chǎn)總價值損失二成四(24%),歷史數(shù)據(jù)記錄告知該災害發(fā)生時也許性為八年發(fā)

生三次，請問小張最后得到的年度預

期損失為多少：

A.24萬

B.0.09萬

C.37.5萬

D.9萬&

50.年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上的

信息化法律”，自此電子簽名與老式手寫簽名和蓋章具有同等的法律效力。如

下有關(guān)電子簽名說法錯誤的是：

A.電子簽名一一是指數(shù)據(jù)電文中以電子形式所含、所附用于辨認簽名人身份并

表白簽名人承認其中內(nèi)容的I數(shù)據(jù)

B.電子簽名合用于民事活動中的）合同或者其她文獻、單證等文書

C.電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服

務

51.風險管理的I監(jiān)控與審查不涉及：

A.過程質(zhì)量管理

B.成本效益管理&

C.跟蹤系統(tǒng)自身或所處環(huán)境的變化

D.協(xié)調(diào)內(nèi)外部組織機構(gòu)風險管理活動

52.信息安全級別保護分級規(guī)定，第三級合用對歐I歐I是：

A.合用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其她組織

的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益

B.合用于一定限度上波及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信

息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利

益導致一定損害&

C.合用于波及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，

其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益導致較大損害

D.合用于波及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系

統(tǒng)的核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設和公共

利益導致特別嚴重損害

53.下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息解決活動的I：

A.設立網(wǎng)絡連接時限&

B.記錄并分析系統(tǒng)錯誤日記

C.記錄并分析顧客和管理員操作日記

D.啟用時鐘同步

54.有關(guān)危害國家秘密安全的I行為日勺法律責任，對歐I日勺是：

A.嚴重違背保密規(guī)定行為只要發(fā)生，無論與否產(chǎn)生泄密實際后果，都要依法追

究責任&

B.非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承當刑事責任

C.過錯泄露國家秘密，不會構(gòu)成刑事犯罪，不需承當刑事責任

D.承當了刑事責任，無需再承當行政責任和/或其她處分

55.如下對于信息安全事件理解錯誤的I是：

A.信息安全事件，是指由于自然或者人為以及軟硬件自身缺陷或故障的因素，

對信息系統(tǒng)導致危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會導致負面影響的I事件

B.對信息安全事件進行有效管理和響應，最小化事件所導致的損失和負面影

響，是組織信息安全戰(zhàn)略的一部分

C.應急響應是信息安全事件管理的重要內(nèi)容

D.通過部署信息安全方略并配合部署防護措施，可以對信息及信息系統(tǒng)提供保

護，杜絕信息安全事件的發(fā)生&

56.假設一種系統(tǒng)已經(jīng)涉及了充足歐I避免控制措施，那么安裝監(jiān)測控制設備：

A.是多余的，由于它們完畢了同樣的功能，但規(guī)定更多的開銷

B.是必須時，可覺得避免控制的功能提供檢測&

C.是可選的，可以實現(xiàn)深度防御

D.在一種人工系統(tǒng)中是需要的，但在一種計算機系統(tǒng)中則是不需要的，由于避

免控制的功能已經(jīng)足夠

57.有關(guān)國內(nèi)加強信息安全保障工作的重要原則，如下說法錯誤的是：

A.立足國情，以我為主，堅持技術(shù)與管理并重

B.對的解決安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全

C.統(tǒng)籌規(guī)劃，突出重點，強化基本工作

D.全面提高信息安全防護能力，保護公眾利益，維護國家安全&

58.如下哪一項不是信息安全管理工作必須遵循歐I原則？

A.風險管理在系統(tǒng)開發(fā)之初就應當予以充足考慮，并要貫穿于整個系統(tǒng)開發(fā)過

程之中

B.風險管理活動應成為系統(tǒng)開發(fā)、運營、維護、直至廢棄的整個生命周期內(nèi)的

持續(xù)性工作

C.由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實行成本會

相對較低&

D.在系統(tǒng)正式運營后，應注重殘存風險的管理，以提高迅速反映能力

59.《信息安全技術(shù)信息安全風險評估規(guī)范GB/T20984-》中有關(guān)信息系統(tǒng)生

命周期各階段的I風險評估描述不對日勺的I是：

A.規(guī)劃階段風險評估的目的是辨認系統(tǒng)的業(yè)務戰(zhàn)略，以支撐系統(tǒng)安全需求及安

全戰(zhàn)略等

B.設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運營環(huán)境、資產(chǎn)重要

性，提出安全功能需求

C.實行階段風險評估歐I目日勺是根據(jù)系統(tǒng)安全需求和運營環(huán)境對系統(tǒng)開發(fā)、實行

過程進行風險辨認，并對系統(tǒng)建成后的安全功能進行驗證

?面日勺風險評估.評估內(nèi)容涉及對真實運營的信息系統(tǒng)、資產(chǎn)、脆弱性等各方

60.對信息安全風險評估要素理解對時的是：

A.資產(chǎn)辨認的粒度隨著評估范疇、評估目的的不同而不同，既可以是硬件設

備，也可以是業(yè)務系統(tǒng)，也可以是組織機構(gòu)&

B.應針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風險評價

C.脆弱性辨認是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全規(guī)定做符合性比對而

找出日勺差

距項

D.信息系統(tǒng)面臨的安全威脅僅涉及人為故意威脅、人為非故意威脅

61.如下哪些是需要在信息安全方略中進行描述的：

A.組織信息系統(tǒng)安全架構(gòu)

B.信息安全工作的基本原則&

C、組織信息安全技術(shù)參數(shù)

D、組織信息安全實行手段

62.根據(jù)《有關(guān)開展信息安全風險評估工作歐I意見》日勺規(guī)定，錯誤的是：

A.信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估

和檢查評估互相結(jié)合、互為補充

B.信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實

效”的原則開展

C.信息安全風險評估應貫穿于網(wǎng)絡和信息系統(tǒng)建設運營的全過程

D.開展信息安全風險評估工作應加強信息安全風險評估工作的組織領(lǐng)導&

63.RPC系列原則是由（）發(fā)布的：

A.國際原則化組織（ISO）

B.國際電工委員會（IEC）

C.國際貿(mào)易中心(ITC)

D.互聯(lián)網(wǎng)工程任務組IETF&

64.對于數(shù)字證書而言，一般采用的是哪個原則？

A.ISO/IEC15408

B.802.11

C.GB/T20984

D.X.509&

65.下面的I角色相應的信息安全職責不合理的是：

A.高檔管理層一一最后責任

B.信息安所有門主管一一提供多種信息安全工作必須的資源

C.系統(tǒng)的一般使用者一一遵守平常操作規(guī)范

D.審計人員一一檢查安全方略與否被遵從

66.CC原則是目前系統(tǒng)安全認證方面最權(quán)威的原則，如下哪一項沒有體現(xiàn)CC

原則的先進性？

A.構(gòu)造的開放性，即功能和保證規(guī)定都可以在具體的“保護輪廓”和“安全目

的”中進一步細化和擴展

B.體現(xiàn)方式日勺通用性，即給出通用日勺體現(xiàn)方式

C.獨立性，它強調(diào)將安全的)功能和保證分離

D.實用性，將CC的安全性規(guī)定具體應用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估

過程中&

67.自年1月起，國內(nèi)各有關(guān)部門在申報信息安全國標籌劃項目時，必須經(jīng)由

如下哪個組織提出工作意見，協(xié)調(diào)一致后由該組織申報。

A.全國通信原則化技術(shù)委員會(TC485)

B.全國信息安全原則化技術(shù)委員會(TC260)&

C.中國通信原則化協(xié)會(CCSA)

D.網(wǎng)絡與信息安全技術(shù)工作委員會

68.風險計算原理可以用下面的范式形式化地加以闡明：

風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))

如下有關(guān)上式各項闡明錯誤的是：

A.R表達安全風險計算函數(shù)，A表達資產(chǎn)，T表達威脅，V表達脆弱性

B.L表達威脅利資產(chǎn)脆弱性導致安全事件的也許性

C.F表達安全事件發(fā)生后導致的損失

D.la,Va分別表達安全事件作用所有資產(chǎn)的價值與其相應資產(chǎn)(應為脆弱性)

的嚴重限度&

69.為了不斷完善一種組織的I信息安全管理，應對組織的信息安全管理措施及

實行狀況進行獨立評審，這種獨立評審。

A.必須按固定的時間間隔來進行

B.應當由信息系統(tǒng)的運營維護人員發(fā)起

C.可以由內(nèi)部審核部門或?qū)I(yè)的第三方機構(gòu)來實行&

D.結(jié)束后，評審者應組織針對不符合安全方略的問題設計和實行糾正措施

70.如下哪一項在避免數(shù)據(jù)介質(zhì)被溢用時是不推薦使用歐I措施：

A.禁用主機的CD驅(qū)動、USB接口等I/O設備

B.對不再使用的硬盤進行嚴格的數(shù)據(jù)清除

C.將不再使用的紙質(zhì)文獻用碎紙機粉碎

D.用迅速格式化刪除存儲介質(zhì)中的保密文獻&

71.在進行應用系統(tǒng)的測試時，應盡量避免使用涉及個人穩(wěn)私和其他敏感信息

的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，如下哪一項不是必須做的：

A.測試系統(tǒng)應使用不低于生產(chǎn)系統(tǒng)的訪問控制措施

B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施

C.在測試完畢后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)

D.部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用

72.為了保證系統(tǒng)日記可靠有效，如下哪一項不是日記必需具有的特性。

A.統(tǒng)一而精確地的時間

B.全面覆蓋系統(tǒng)資產(chǎn)

C.涉及訪問源、訪問目的和訪問活動等重要信息

D.可以讓系統(tǒng)的所有顧客以便的讀取&

73.有關(guān)信息安全事件管理和應急響應，如下說法錯誤的是：

A.應急響應是指組織為了應對突發(fā)/重大信息安全事件時發(fā)生所做的準備，以

及在事件發(fā)生后所采用的措施

B.應急響應措施，將應急響應管理過程分為遏制、根除、處置、恢復、報告和

跟蹤6個階段&

C.對信息安全事件的分級重要參照信息系統(tǒng)的重要限度、系統(tǒng)損失和社會影響

三方面因素

D.根據(jù)信息安全事件的分級參照要素，可將信息安全事件劃分為4個級別：特

別重大事

件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）

74.如下哪一項不屬于信息安全工程監(jiān)理模型的構(gòu)成部分：

A.監(jiān)理征詢支撐要素

B.控制和管理手段

C.監(jiān)理征詢階段過程

D.監(jiān)理組織安全實行&

75.如下有關(guān)劫難恢復和數(shù)據(jù)備份的理解，說法對的的是：

A.增量備份是備份從上次完全備份后更新的所有數(shù)據(jù)文獻&

B.根據(jù)具有的劫難恢復資源限度的不同，劫難恢復能力分為7個級別

C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和顧客數(shù)據(jù)備份

D.如果系統(tǒng)在一段時間內(nèi)沒有浮現(xiàn)問題，就可以不用再進行容災演習了

76.某公司擬建設面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系

統(tǒng)，通過公開招標選擇M公司為承建單位，并選擇了H監(jiān)理公司承當該項目時

全程監(jiān)理工作，目前，各

個應用系統(tǒng)均已完畢開發(fā)，M公司已經(jīng)提交了驗收申請，監(jiān)理公司需要對A公

司提交的軟件配

置文獻進行審查，在如下所提交的I文檔中，哪一項屬于開發(fā)類文檔：

A.項目籌劃書

B.質(zhì)量控制籌劃

C.評審報告

D.需求闡明書&

77.在某網(wǎng)絡機房建設項目中，在施工前，如下哪一項不屬于監(jiān)理需要審核的

內(nèi)容：

A.審核算施投資籌劃&

B.審核算施進度籌劃

C.審核工程實行人員

D.公司資質(zhì)

78.如下有關(guān)直接附加存儲(DirectAttachedStorage,DAS)說法錯誤日勺是：

A.DAS可以在服務器物理位置比較分散的狀況下實現(xiàn)大容量存儲.是一種常用

的數(shù)據(jù)存儲措施&

B.DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實行簡樸

C.DAS的缺陷在于對服務器依賴性強，當服務器發(fā)生故障時，連接在服務器上

日勺存儲設備中的I數(shù)據(jù)不能被存取

D.較網(wǎng)絡附加存儲(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間，

數(shù)據(jù)非常集中，便于對數(shù)據(jù)進行管理和備份

79.某公司在執(zhí)行劫難恢復測試時.信息安全專業(yè)人員注意到劫難恢復站點的I

服務器的運營速度緩慢，為了找到主線愿因，她應當一方面檢查：

A.劫難恢復站點的錯誤事件報告

B.劫難恢復測試籌劃

C.劫難恢復籌劃(DRP)

D.主站點和劫難恢復站點的配備文獻

80.如下對異地備份中心歐I理解最精確的是：

A.與生產(chǎn)中心不在同一都市

B.與生產(chǎn)中心距離100公里以上

C.與生產(chǎn)中心距離200公里以上

D.與生產(chǎn)中心面臨相似區(qū)域性風險時機率很小&

81.作為業(yè)務持續(xù)性籌劃的一部分，在進行業(yè)務影響分析(Bia)時的環(huán)節(jié)是:

1.標記核心的業(yè)務過程

2.開發(fā)恢復優(yōu)先級

3.標記核心的IT資源

4.表達中斷影響和容許的1中斷時間

A.1-3-4-2

C.1-2-3-4

D.1-4-3-2&

82.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSZ-CMM),錯誤的理解是：

A.SSE-CMM規(guī)定實行組織與其她組織互相作用，如開發(fā)方、產(chǎn)品供應商、集成

商和征詢服務商等

B.SSE-CMM可以使安全工程成為一種擬定的、成熟附和可度量的科目

C.基手SSE-CMM肚)工程是獨立工程，與軟件工程、硬件工程、通信工程等分別

規(guī)劃實行&

D.SSE-CMM覆蓋整個組織的活動，涉及管理、組織和工程活動等，而不僅僅是

系統(tǒng)安全的工程活動

83.下面有關(guān)信息系統(tǒng)安全保障的說法不對時的是：

A.信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實行交付、運營維護

和廢棄等生命周期密切有關(guān)

B.信息系統(tǒng)安全保障要素涉及信息日勺完整性、可用性和保密性

C.信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障

D.信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風險減少到可接受的限度，從而實

現(xiàn)其業(yè)務使命

84.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)對一種組織的安全工程能

力成熟度進行測量時，對時的理解是：

A.測量單位是基本實行(BasePractices,BP)

B.測量單位是通用實行(GenericPractices,GP)&

C.測量單位是過程區(qū)域(ProcessAreas,PA)

D.測量單位是公共特性(CommonFeatures,CF)

85.下面有關(guān)信息系統(tǒng)安全保障模型的I說法不對日勺的是：

A.國標《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/

T20274.1-)中的信息系統(tǒng)安全保障模型將風險和方略作為基本和核心

B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性闡明模型，在信息系統(tǒng)安全

保障具體操作時，可根據(jù)具體環(huán)境和規(guī)定進行改動和細化

C.信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的

安全

D.信息系統(tǒng)安全保障重要是保證信息系統(tǒng)的保密性、完整性和可用性，單位對

信息系統(tǒng)運營維護和使用的人員在能力和培訓方面不需要投入&

86.信息系統(tǒng)安全工程(ISSE)的一種重要目的就是在IT項目的各個階段充足考

慮安全因素，在IT項目的立項階段，如下哪一項不是必須進行的工作：

A.明確業(yè)務對信息安全的規(guī)定

B.辨認來自法律法規(guī)的安全規(guī)定

C.論證安全規(guī)定與否對的完整

D.通過測試證明系統(tǒng)的功能和性能可以滿足安全規(guī)定&

87.有關(guān)信息安全保障技術(shù)框架(IATF),如下說法不對的的I是：

A.分層方略容許在合適日勺時候采用低安全級保障解決方案以便減少信息安全保

障日勺成本

B.IATF從人、技術(shù)和操作三個層面提供一種框架實行多層保護，使襲擊者雖

然攻破一層也無法破壞整個信息基本設施

C.容許在核心區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，保證系統(tǒng)安全

性

D.IATF深度防御戰(zhàn)略規(guī)定在網(wǎng)絡體系構(gòu)造的各個也許位置實現(xiàn)所有信息安全

保障機制&

88.如下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的I信息安全工作的)

對歐I描述？

A.應基于法律法規(guī)和顧客需求，進行需求分析和風險評估，從信息系統(tǒng)建設的

開始就綜合信息系統(tǒng)安全保障的考慮&

B.應充足調(diào)研信息安全技術(shù)發(fā)展狀況和信息安全產(chǎn)品市場，選擇最先進的安全

解決方案和技術(shù)產(chǎn)品

C.應在將信息安全作為實行和開發(fā)人員的一項重要工作內(nèi)容，提出安全開發(fā)的

規(guī)范并切實貫徹

D.應具體規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容

89.信息安全工程監(jiān)理的職責涉及：

A.質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)&

B.質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)

C.擬定安全規(guī)定、承認設計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)

D.擬定安全規(guī)定、承認設計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)

90.有關(guān)信息安全保障的概念，下面說法錯誤的I是：

A.信息系統(tǒng)面臨的風險和威脅是動態(tài)變化的，信息安全保障強調(diào)動態(tài)的安全理

念

B.信息安全保障已從單純的保護和防御階段發(fā)展為集保護、檢測和響應為一體

的I綜合階段

C.在全球互聯(lián)互通的網(wǎng)絡空間環(huán)境下，可單純依托技術(shù)措施來保障信息安全&

D.信息安全保障把信息安全從技術(shù)擴展到管理，通過技術(shù)、管理和工程等措施

的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務使命的保障

91.有關(guān)監(jiān)理過程中成本控制，下列說法中對的的是？

A.成本只要不超過估計的收益即可

B.成本應控制得越低越好

C.成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷

D.成本控制的重要目的是在批準的預算條件下保證項目保質(zhì)按期完畢&

92.有關(guān)危害國家秘密安全的I行為，涉及：

A.嚴重違背保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡運營商及服務商不履

行保密義務的行為、保密行政管理部門的工作人員的違法行為

B.嚴重違背保密規(guī)定行為、公共信息網(wǎng)絡運營商及服務商不履行保密義務的行

為、保密行政管理部門的工作人員的違法行為，但不涉及定密不當行為

C.嚴重違背保密規(guī)定行為、定密不當行為、保密行政管理部門的工作人員的違

法行為，但不涉及公共信息網(wǎng)絡運營商及服務商不履行保密義務歐I行為

D.嚴重違背保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡運營商及服務商不履

行保密義務的行為，但不涉及保密行政管理部門的工作人員歐I違法行為

93.下列有關(guān)IS015408信息技術(shù)安全評估準則（簡稱CC）通用性的特點，即給出

通用的體現(xiàn)方式，描述不對的的是0

A.如果顧客、開發(fā)者、評估者和承認者都使用CC語言，互相就容易理解溝通

B.通用性的特點對規(guī)范實用方案的編寫和安全測試評估都具有重要意義

C.通用性的特點是在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評

估和評估成果國際互認的需要

D.通用性的特點使得CC也合用于對信息安全建設工程實行的成熟度進行評估

94.信息系統(tǒng)建設完畢后，（）歐I信息系統(tǒng)的I運營使用單位應當選擇符合國家

規(guī)定的測評機構(gòu)進行測評合格后方可投入使用。

A.二級以上

B.三級以上&

C.四級以上

D.五級以上

95.有關(guān)國家秘密，錯誤的I是：

A.國家秘密是關(guān)系國家安全和利益的事項

B.國家秘密的擬定沒有正式的法定程序&

C.除了明確規(guī)定需要長期保密的，其她日勺園家秘密都是有保密期限的

D.國家秘密只限一定范疇W、J人知悉

96.在可信計算機系統(tǒng)評估準則（TCSEC）中，下列哪一項是滿足強制保護規(guī)定的

最低檔別？

A.C2

B.C1

C.B2

D.B1&

97.對涉密系統(tǒng)進行安全保密測評應當根據(jù)如下哪個原則？

A.BMB20-《波及國家秘密的計算機信息系統(tǒng)分級保護管理規(guī)范》

B.BMB22-《波及國家秘密的計算機信息系統(tǒng)分級保護測評指南》&

C.GB17859-1999《計算機信息系統(tǒng)安全保護級別劃分準則》

D.GB/T20271-《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)規(guī)定》

98.IS0/IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系規(guī)定》的內(nèi)容是基

于。

A.BS7799-1《信息安全實行細則》

B.BS7799-2《信息安全管理體系規(guī)范》

C.信息技術(shù)安全評估準則（簡稱ITSEC）

D.信息技術(shù)安全評估通用原則（簡稱CC）

99.在GB/T18336《信息技術(shù)安全性評估準則》中，有關(guān)保護輪廓

（ProtectionProfile,PP）和安全目的1（SecurityTarget,ST）,錯誤的）是：

A.PP是描述一類產(chǎn)品或系統(tǒng)的安全規(guī)定

B.PP描述日勺安全規(guī)定與具體實現(xiàn)無關(guān)

C.兩份不同的ST不也許滿足同一份PP的規(guī)定

D.ST與具體的實既有關(guān)

100.如下哪一項不是國內(nèi)國務院信息化辦公室為加強信息安全保障明確提出的

九項重點工作內(nèi)容之一？

A.提高信息技術(shù)產(chǎn)品的國產(chǎn)化率&

B.保證信息安全資金投入

C.加快信息安全人才培養(yǎng)

D.注重信息安全應急解決工作

101.最小特權(quán)是軟件安全設計的基本原則，某應用程序在設計時，設計人員給

出了如下四種方略，其中有一種違背了最小特權(quán)的I原則，作為評審專家，請指

出是哪一種？

A.軟件在Linux下按照時，設定運營時使用nobody顧客運營實例

B.軟件的日記備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運營時，以

數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫

C.軟件的日記模塊由于要向數(shù)據(jù)庫中的日記表中寫入日記信息，使用了一種日

記顧客賬

號連接數(shù)據(jù)庫，該賬號僅對日記表擁有權(quán)限

D.為了保證軟件在Windows下能穩(wěn)定歐I運營，設定運營權(quán)限為system,保證系

統(tǒng)運營正常，不會由于權(quán)限局限性產(chǎn)生運營錯誤&

102.某單位籌劃在今年開發(fā)一套辦公自動化(0A)系統(tǒng)，將集團公司各地的機構(gòu)

通過互聯(lián)網(wǎng)進行協(xié)同辦公，在0A系統(tǒng)的設計方案評審會上，提出了不少安全開

發(fā)的建議，作為安全專家，請指出人們提的建議中不太合適的一條？

A.對軟件開發(fā)商提出安全有關(guān)規(guī)定，保證軟件開發(fā)商對安全足夠的注重，投入

資源解決軟件安全問題

B.規(guī)定軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知

識

C.規(guī)定軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免產(chǎn)生SQL注入漏洞

&

D.規(guī)定軟件開發(fā)商對軟件進行模塊化設計，各模塊明確輸入和輸出數(shù)據(jù)格式，

并在使用前對輸入數(shù)據(jù)進行校驗

103.某單位根據(jù)業(yè)務需要準備立項開發(fā)一種業(yè)務軟件，對于軟件開發(fā)安全投入

經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門覺得開發(fā)階段無需投

入，軟件開發(fā)完畢后發(fā)現(xiàn)問題后再針對性日勺解決，比前期安全投入要成本更

低；信息中心則覺得應在軟件安全開發(fā)

階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對

軟件開發(fā)安全投入的精確說法？

A.信息中心的考慮是對的的，在軟件立項投入解決軟件安全問題，總體經(jīng)費投

入比軟件運營后的費用要低&

B.軟件開發(fā)部門的說法是對的的，由于軟件發(fā)現(xiàn)問題后更清晰問題所在，安排

人員進行代碼修訂更簡樸，因此費用更低

C.雙方的說法都對的，需要根據(jù)具體狀況分析是開發(fā)階段投入解決問題還是在

上線后再解決問題費用更低

D.雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是同樣

的問題，解決歐I代價相似

104.某集團公司根據(jù)業(yè)務需要，在各地分支機構(gòu)部署前置機，為了保證安全，

集團總部規(guī)定前置機開放日記共享，由總部服務器采集進行集中分析，在運營

過程中發(fā)現(xiàn)襲擊者也可通過共享從前置機中提取日記，從而導致部分敏感信息

泄露，根據(jù)減少襲擊面的原則，應采

取如下哪項解決措施？

A.由于共享導致了安全問題，應直接關(guān)閉日記共享，嚴禁總部提取日記進行分

析

B.為配合總部的安全方略，會帶來一定的I安全問題，但不影響系統(tǒng)使用，因此

接受此風險

C.日記的存在就是安全風險，最佳的）措施就是取消日記，通過設立讓前置機不

記錄日記

D.只容許特定的IP地址從前置機提取日記，對日記共享設立訪問密碼且限定

訪問的時間&

105.如圖1所示，主機A向主機B發(fā)出的數(shù)據(jù)采用AH或ESP日勺傳播模式對流

量進行保護時，主機A和主機B的IP地址在應當在下列哪個范疇？

A.10.0.0.0-10.255.255.255

B.172.16.0.0-172.31.255.255

C、192.168.0.0-192.168.255.255

D.不在上述范疇內(nèi)

106.某電子商務網(wǎng)站近來發(fā)生了一起安全事件，浮現(xiàn)了一種價值1000元的商

品用1元被買走的狀況，經(jīng)分析是由于設計時出于性能考慮，在瀏覽時使用

Http合同，襲擊者通過偽造數(shù)據(jù)包使得向購物車添加商品的價格被修改.運用

此漏洞，襲擊者將價值1000元的商品以

1元添加到購物車中，而付款時又沒有驗證的環(huán)節(jié)，導致以上問題，對于網(wǎng)站

的這個問題因素分析及解決措施。最對日勺的說法應當是？

A.該問題的產(chǎn)生是由于使用了不安全的合同導致時，為了避免再發(fā)生類似的闖

題，應對全網(wǎng)站進行安全改造，所有的訪問都強制規(guī)定使用https

B.該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進行如威脅建模等有關(guān)工作或工作不到

位，沒有找到該威脅并采用相應的消減措施

C.該問題的產(chǎn)生是由于編碼缺陷，通過對網(wǎng)站進行修改，在進行訂單付款時進

行商品價格驗證就可以解決

D.該問題的產(chǎn)生不是網(wǎng)站的問題，應報警規(guī)定謀求警察介入，嚴懲襲擊者即可

107.針對軟件的回絕服務襲擊是通過消耗系統(tǒng)資源使軟件無法響應正常祈求的

一種襲擊方式，在軟件開發(fā)時分析回絕服務襲擊歐I威脅，如下哪個不是需要考

慮的襲擊方式：

A.襲擊者運用軟件存在邏輯錯誤，通過發(fā)送某種類型數(shù)據(jù)導致運算進入死循

環(huán)，CPU資源占用始終100%

B.襲擊者運用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時會導致查詢效率低，

通過發(fā)送大量日勺查詢導致數(shù)據(jù)庫響應緩慢

C.襲擊者運用軟件不自動釋放連接的問題，通過發(fā)送大量連接消耗軟件并發(fā)連

接數(shù)，導致并發(fā)連接數(shù)耗盡而無法訪問

D.襲擊者買通了IDC人員，將某軟件運營服務器的網(wǎng)線拔掉導致無法訪問

108.如下哪個選項不是防火墻提供的安全功能？

A.IP地址欺騙防護

B.NAT

C.訪問控制

D.SQL注入襲擊防護

109.如下有關(guān)可信計算說法錯誤的是：

A.可信的重要目的是要建立起積極防御的信息安全保障體系

B.可信計算機安全評價原則(TCSEC)中第一次提出了可信計算機和可信計算基

的概念

C.可信的整體框架涉及終端可信、終端應用可信、操作系統(tǒng)可信、網(wǎng)絡互聯(lián)可

信、互聯(lián)網(wǎng)交易等應用系統(tǒng)可信

D.可信計算平臺浮現(xiàn)后會取代老式的安全防護體系和措施

110.Linux系統(tǒng)對文獻的權(quán)限是以模式位的形式來表達，對于文獻名為test

歐I一種文獻，

屬于admin組中user顧客，如下哪個是該文獻對的I的)模式表達？

A.rwxr-xr-3useradmin1024Sep1311：58test

B.drwxr-xr-x3useradmin1024Sep1311：58test

C.rwxr-xr-x3adminuser1024Sep1311：58test

D.drwxr-xr-x3adminuserl024Sep1311：58test

111.ApacheWeb服務器的1配備文獻一般位于/usr/local/apache/conf目

錄，其中用

來控制顧客訪問Apache目錄的I配備文獻是：

A.httpd.conf

B.srLconf

C.access,conf

D.inetd.conf

112.應用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應設立良好的數(shù)據(jù)

庫防護方略，如下不屬于數(shù)據(jù)庫防護方略的是？

A.安裝最新的數(shù)據(jù)庫軟件安全補丁

B.對存儲的敏感數(shù)據(jù)進行安全加密

C.不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)

D.定期對數(shù)據(jù)庫服務器進行重啟以保證數(shù)據(jù)庫運營良好

113.下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞？

A.通過把SQL命令插入到web表單遞交或輸入域名或頁面祈求日勺查詢字符串，

最后達到欺騙服務器執(zhí)行歹意的SQL命令

B.襲擊者在遠程WEB頁面的HTML代碼中插入具有歹意目的日勺數(shù)據(jù)，顧客覺得

該頁面是可信賴歐I，但是當瀏覽器下載該頁面，嵌入其中的I腳本將被解釋執(zhí)

行。

C.當計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)自身的容量溢出的數(shù)據(jù)覆

蓋在合法

數(shù)據(jù)上

D.信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設計、實現(xiàn)、配備、運營等過程中，故意

或無意產(chǎn)

生的I缺陷

114.對歹意代碼的避免，需要采用增強安全防備方略與意識等措施，有關(guān)如下

避免措施或意識，說法錯誤的是：

A.在使用來自外部的移動介質(zhì)前，需要進行安全掃描

B.限制顧客對管理員權(quán)限的使用

C.開放所有端口和服務，充足使用系統(tǒng)資源

D.不要從不可信來源下載或執(zhí)行應用程序

115.安全專家在對某網(wǎng)站進行安所有署時，調(diào)節(jié)了Apache的運營權(quán)限，從

root權(quán)限減少為nobody顧客，如下操作的重要目的I是：

A.為了提高Apache軟件運營效率

B.為了提高Apache軟件的可靠性

C.為了避免襲擊者通過Apache獲得root權(quán)限

D.為了減少Apache上存在日勺漏洞

116.下列有關(guān)計算機病毒感染能力的說法不對時時是：

A.能將自身代碼注入到引導區(qū)

B.能將自身代碼注入到扇區(qū)中的文獻鏡像

C.能將自身代碼注入文本文獻中并執(zhí)行

D.能將自身代碼注入到文檔或模板的宏中代碼

117.如下哪個是歹意代碼采用的隱藏技術(shù)：

A.文獻隱藏

B.進程隱藏

C.網(wǎng)絡連接隱藏

D.以上都是

118.通過向被襲擊者發(fā)送大量的ICMP回應祈求，消耗被襲擊者的I資源來進行

響應，直至被襲擊者再也無法解決有效的網(wǎng)絡信息流時，這種襲擊稱之為：

A.Land襲擊

B.Smurf襲擊

C.PingofDeath襲擊

D.ICMPFlood

119.如下哪個回絕服務襲擊方式不是流量型回絕服務襲擊

A.Land

B.UDPFlood

C.Smurf

D.teardrop

120.傳播控制合同(TCP)是傳播層合同，如下有關(guān)TCP合同的說法，哪個是對

的啊?

A.相比傳播層的此外一種合同UDP,TCP既提供傳播可靠性，還同步具有更高

的I效率，因此具有廣泛的J用途

B.TCP合同包頭中涉及了源IP地址和目日勺IP地址，因此TCP合同負責將數(shù)據(jù)

傳送到正

確歐I主機

C.TCP合同具有流量控制、數(shù)據(jù)校驗、超時重發(fā)、接受確認等機制，因此TCP

合同能完全替代IP合同

D.TCP合同雖然高可靠，但是相比UDP合同機制過于復雜，傳播效率要比UDP

低

121.如下有關(guān)UDP合同的說法，哪個是錯誤的？

A.UDP具有簡樸高效的特點，常被襲擊者用來實行流量型回絕服務襲擊

B.UDP合同包頭中涉及了源端標語和目的端標語，因此UDP可通過端標語將數(shù)

據(jù)包送達對歐I歐I程序

C.相比TCP合同，UDP合同的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高

流量需求的應用數(shù)據(jù)

D.UDP合同不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務，因此

常用來傳播如視頻會話此類需要隱私保護的數(shù)據(jù)

123.近年來運用DNS劫持襲擊大型網(wǎng)站惡性襲擊事件時有發(fā)生，防備這種襲擊

比較有效的措施是？

A.加強網(wǎng)站源代碼的安全性

B.對網(wǎng)絡客戶端進行安全評估

C.協(xié)調(diào)運營商對域名解析服務器進行加固

D.在網(wǎng)站的網(wǎng)絡出口部署應用級防火墻

124.有關(guān)源代碼審核，下列說法對的的是：

A.人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺陷

B.源代碼審核通過提供非預期的輸入并監(jiān)視異常成果來發(fā)現(xiàn)軟件故障，從而定

位也許導致安全弱點的單薄之處

C.使用工具進行源代碼審核，速度快，精確率高，已經(jīng)取代了老式的人工審核

D.源代碼審核是對源代碼檢查分析，檢測并報告源代碼中也許導致安全弱點時

單薄之處

125.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：

A.建立環(huán)境

B.實行風險解決籌劃

C.持續(xù)的監(jiān)視與評審風險

D.持續(xù)改善信息安全管理過程

126.信息系統(tǒng)的業(yè)務特性應當從哪里獲?。?/p>

A.機構(gòu)的使命

B.

C.機構(gòu)的業(yè)務內(nèi)容和業(yè)務流程

D.機構(gòu)的組織構(gòu)造和管理制度

34

127.在信息系統(tǒng)設計階段，“安全產(chǎn)品選擇”處在風險管理過程的哪個階段？

A.背景建立

B.風險評估

C.風險解決

D.批準監(jiān)督

128.如下有關(guān)“最小特權(quán)”安全管理原則理解對的的是：

A.組織機構(gòu)內(nèi)的敏感崗位不能由一種人長期負責

B.對重要的工作進行分解，分派給不同人員完畢

C.-種人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限

D.避免員工由一種崗位變動到另一種崗位，累積越來越多的權(quán)限

129.如下哪一項不屬于常用的風險評估與管理工具：

A.基于信息安全原則的風險評估與管理工具

B.基于知識的風險評估與管理工具

C.基于模型的I風險評估與管理工具

D.基于經(jīng)驗的風險評估與管理工具

130.如下說法對的的是：

A.驗收測試是由承建方和顧客按照顧客使用手冊執(zhí)行軟件驗收

B.軟件測試的目的是為了驗證軟件功能與否對的

c.監(jiān)理工程師應按照有關(guān)原則審查提交的測試籌劃，并提出審查意見

D.軟件測試籌劃開始于軟件設計階段，完畢于軟件開發(fā)階段

131.信息系統(tǒng)安全保護級別為3級的系統(tǒng)，應當()年進行一次級別測評？

A.0.5

B.1

C.2

D.3

35

132.國家科學技術(shù)秘密日勺密級分為絕密級、機密級、秘密級，如下哪項屬于絕

密級日勺描述？

A.處在國際先進水平，并且有軍事用途或者對經(jīng)濟建設具有重要影響時

B.可以局部反映國家防御和治安實力的

C.國內(nèi)獨有、不受自然條件因素制約、能體現(xiàn)民族特色的精髓，并且社會效益

或者經(jīng)濟效益明顯的老式工藝

D.國際領(lǐng)先，并且對國防建設或者經(jīng)濟建設具有特別重大影響的

133.有關(guān)國內(nèi)加強信息安全保障工作的J總體規(guī)定，如下說法錯誤的是：

A.堅持積極防御、綜合防備的方針

B.重點保障基本信息網(wǎng)絡和重要信息系統(tǒng)安全

C.創(chuàng)立安全健康的網(wǎng)絡環(huán)境

D.提高個人隱私保護意識

134.根據(jù)《有關(guān)加強國家電子政務工程建設項目信息安全風險評估工作日勺告

知》的規(guī)定，如下對時的是：

A.涉密信息系統(tǒng)的風險評估應按照《信息安全級別保護管理措施》等國家有關(guān)

保密規(guī)定和原則進行

B.非涉密信息系統(tǒng)的風險評估應按照《非波及國家秘密的信息系統(tǒng)分級保護管

理措施》

等有關(guān)規(guī)定進行

C.可委托同一專業(yè)測評機構(gòu)完畢級別測評和風險評估工作，并形成級別測評報

告和風險評估報告

D.此告知不規(guī)定將“信息安全風險評估”作為電子政務項目驗收的重要內(nèi)容

135.某單位信息安全崗位員工，運用個人業(yè)余時閥，在社交網(wǎng)絡平臺上向業(yè)內(nèi)

同不定期發(fā)布信息安全有關(guān)知識和前沿動態(tài)資訊，這一行為重要符合如下哪一

條注冊信息安全專業(yè)人員（CISP）職業(yè)道德準則：

A.避免任何損害CISP名譽形象歐I行為

B.自覺維護公眾信息安全，回絕并抵制通過計算機網(wǎng)絡系統(tǒng)泄露個人隱私的行

為

C.協(xié)助和指引信息安全同行提高信息安全保障知識和能力

D.不在公眾網(wǎng)絡傳播反動、暴力、黃色、低俗信息及非法軟件

136.信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,

IATF)由美國國家安全局(NSA)發(fā)布，最初目的是為保障美國政府和工業(yè)的信息

基本設施安全提供技術(shù)指南，其中，提出需要防護的三類“焦點區(qū)域”是：

A.網(wǎng)絡和基本設施區(qū)域邊界重要服務器

B.網(wǎng)絡和基本設施區(qū)域邊界計算環(huán)境

C.網(wǎng)絡機房環(huán)境網(wǎng)絡接口計算環(huán)境

D.網(wǎng)絡機房環(huán)境網(wǎng)絡接口重要服務器

137.如下哪一項不是國內(nèi)信息安全保障歐I原則：

A.立足國情，以我為主，堅持以技術(shù)為主

B.對的解決安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全

C.統(tǒng)籌規(guī)劃，突出重點，強化基本性工作

D.明確國家、公司、個人的責任和義務，充足發(fā)揮各方面的積極性，共同構(gòu)筑

國家信息

安全保障體系

138.國內(nèi)信息安全保障建設涉及信息安全組織與管理體制、基本設施、技術(shù)體

系等方面，

如下有關(guān)信息安全保障建設重要工作內(nèi)容說法不對時時是：

A.健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障

B.建設信息安全基本設施，提供國家信息安全保障能力支撐

C.建立信息安