CISP(CISO與CISE)題庫及答案解析(700道)

注冊信息安全專業(yè)人員考試

大綱知識(shí)點(diǎn)綜合測試題（A）

（時(shí)間：120分鐘數(shù)量：100題題型：單選題，將正確答案填寫在表格中）

1.依據(jù)國家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(biāo)（ISST）中，

安全保障目的指的是:

A、信息系統(tǒng)安全保障目的

B、環(huán)境安全保障目的

C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全

保障目的

答案：D

解釋：GB/T20274信息系統(tǒng)保障評估框架從管理、技術(shù)、工程和總體方面進(jìn)行評估。

2.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子？

A.某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以

完成操作

B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)行了

沖正操作

C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)行

了什么操作

D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)

間諜無法查看

答案：B

解釋：A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施,

是Clark-Wilson模型的應(yīng)用，解決數(shù)據(jù)變化過程的完整性。

3.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)

絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相

同，以下說法不正確的是:

A.與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點(diǎn)

B.美國尚未設(shè)立中央政府級的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能

由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)

C.各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理

D.在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政

府與企業(yè)之間的合作關(guān)系

答案：B

解釋：美國已經(jīng)設(shè)立中央政府級的專門機(jī)構(gòu)。

4.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？

A.防護(hù)B.檢測C.響應(yīng)D.策略

答案：D

解釋：PPDR是指策略、保護(hù)、檢測和反應(yīng)（或響應(yīng)）。PPDR比PDR多策略。

5.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是:

A.項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提

供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。

B.項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的領(lǐng)導(dǎo)者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。

C.項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。

D.項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測量

(Measurable)＞需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的

時(shí)限(Timeoriented)

答案：B

解釋：據(jù)項(xiàng)目進(jìn)度不能隨機(jī)確定，需要根據(jù)項(xiàng)目預(yù)算、特性、質(zhì)量等要求進(jìn)行確定。

6.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計(jì)劃

(ComprehensiveNationalCybersecurityInitiative,CNCI)oCNCI計(jì)劃建立三

道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；

第三道防線，強(qiáng)化未來安全環(huán)境.從以上內(nèi)容，我們可以看出以下哪種分析是正確的：

A.CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)

B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

C.CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在

現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)

D.CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保

障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

答案：A

解釋：CNCI第一個(gè)防線針對漏洞進(jìn)行風(fēng)險(xiǎn)控制，第二個(gè)防線針對威脅進(jìn)行風(fēng)險(xiǎn)控制，

總體的目標(biāo)是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。B、C、D答案均無法從題干反應(yīng)。

7.下列對于信息安全保障深度防御模型的說法錯(cuò)送的是：

A.信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個(gè)重要組成部

分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約

下。

B.信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全

管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我

們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。

C.信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安

全保障的重要組成部分。

D.信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”。

答案：D

解釋：正確描述是從內(nèi)而外，自上而下，從端到邊界的防護(hù)能力。

8.某用戶通過賬號、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪

一類:

A.個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B.由可信第三方完成的用戶身份鑒別

C.個(gè)人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別

D.用戶對個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別

答案：C

解釋：題干為網(wǎng)銀系統(tǒng)對用戶的鑒別。

9.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)

出明文。以下說法正確的是:

A.此密碼體制為對稱密碼體制

B.此密碼體制為私鑰密碼體制

C.此密碼體制為單鑰密碼體制

D.此密碼體制為公鑰密碼體制

答案：D

解釋：題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對于公

鑰而言，則為非對稱密碼體制，非對稱密碼體制又稱為公鑰密碼體制。

10.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：

A.用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別

B.用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別

C.用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別

D.用戶使用集成電路卡（如智能卡）完成身份鑒別

答案：D

解釋：實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。

11.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡

+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法？

A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法

B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法

C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法

D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法

答案：A

解釋：題目中安全登錄會(huì)涉及到賬號密碼為實(shí)體所知，智能卡和短信是實(shí)體所有。

12.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機(jī)構(gòu)對軟件

進(jìn)行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還

需要對應(yīng)用網(wǎng)站進(jìn)行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源

代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢？

A.滲透測試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的

漏洞

B.滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高

C.滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確

D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

答案：A

品釋：滲透測試是模擬攻擊的黑盒測試，有利于發(fā)現(xiàn)系統(tǒng)明顯的問題。

13.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)送

的？

A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用

B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許

C.用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是

D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)

答案：C

而釋：個(gè)人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。

14.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提

下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成

的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是:

A.在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測試、安全評審相關(guān)費(fèi)

用，確保安全經(jīng)費(fèi)得至ij落實(shí)

B.在軟件安全設(shè)計(jì)猛，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計(jì)進(jìn)行評審，及時(shí)發(fā)現(xiàn)

架構(gòu)設(shè)計(jì)中存在的安全不足

C.確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確

保開發(fā)人員編寫出安全的代碼

D.在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測

試，未經(jīng)以主測試的軟件不弁許上線運(yùn)行

答案：D

解釋：軟件的安全測試根據(jù)實(shí)際情況進(jìn)行測試措施的選擇和組合。

15.以下哪一項(xiàng)丕是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：

A.VTPB.L2FC.PPTPD.L2TP

答案：A

解釋：L2F、PPTP、L2Tp均為二層隧道協(xié)議。

16.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問

控制實(shí)現(xiàn)方法是：

A.訪問控制表(ACL)

B.訪問控制矩陣

C.能力表(CL)

D.前綴表(Profiles)

答案：C

解釋：定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。

17.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl.RBAC)：根

據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)

責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，

下列說法錯(cuò)誤的是:

A.當(dāng)用戶請求訪問某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍

內(nèi)，訪問請求將被拒絕

B.業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色

C.通過角色，可實(shí)現(xiàn)對信息資源訪問的控制

D.RBAC模型不能實(shí)現(xiàn)多級安全中的訪問控制

答案：D

解釋：RBAC模型能實(shí)現(xiàn)多級安全中的訪問控制。

18.下面哪一項(xiàng)丕是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：

A.第二層隧道協(xié)議(L2TP)

B.Internet安全性(IPSEC)

C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)

D.點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)

答案：C

解釋：TACACS+是AAA權(quán)限控制系統(tǒng)，不屬于VPN。

19.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos描述正逸的是：

A.該協(xié)議使用非對稱密鑰加密機(jī)制

B.密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)部分組成

C.該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)

D.使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境

答案：C

解釋：A錯(cuò)誤，因?yàn)槭褂脤ΨQ密碼；B錯(cuò)誤，因?yàn)槊荑€分發(fā)中心不包括客戶機(jī)；D錯(cuò)

誤，因?yàn)閰f(xié)議需要時(shí)鐘同步。三個(gè)步驟：

1)身份認(rèn)證后獲得票據(jù)許可票據(jù)；

2)獲得服務(wù)許可票據(jù)；

3)獲得服務(wù)。

20.鑒別的基本途徑有三種：所知、所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的:

A.口令B.金牌C.知識(shí)D.密碼

答案：B

解釋：令牌是基于實(shí)體所有的鑒別方式。

21.在ISO的0SI安全體系結(jié)構(gòu)中，以下哪一個(gè)安全機(jī)制可以提供抗抵賴安全服務(wù)？

A.加密B.數(shù)字簽名C.訪問控制D.路由控制

答案：B

解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。

22.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品,需

要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是:

A.選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可

B.選購任意一款品牌防火墻

C.任意選購一款價(jià)格合適的防火墻產(chǎn)品

D.選購一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻

答案：D

解釋：在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動(dòng)。

23.在0SI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來加強(qiáng)信息系統(tǒng)的安全性，以

下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？

A.網(wǎng)絡(luò)層B.表不層C.會(huì)話層D.物理層

答案：A

品釋：網(wǎng)絡(luò)層和應(yīng)用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務(wù)。

24.某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號刪除，需要離職員工所在部門主管經(jīng)理和

人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行,該設(shè)計(jì)是遵循了軟件安全哪項(xiàng)原則

A.最小權(quán)限B.權(quán)限分離C.不信任D.縱深防御

答案：B

解釋：權(quán)限分離是將一個(gè)較大的權(quán)限分離為多個(gè)子權(quán)限組合操作來實(shí)現(xiàn)。

25.以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity,IPSec)協(xié)議說法錯(cuò)送的是：

A.在傳送模式中，保護(hù)的是IP負(fù)載。

B.驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)和IP封裝安全載荷協(xié)議(Encapsulating

SecurityPayload,ESP)都能以傳輸模式和隧道模式工作。

C.在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。

D.IPSec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性。

答案：D

解釋：IPSEC可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務(wù)。

26.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威

脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提

供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅,以下威脅中哪個(gè)可以歸

入此類威脅？

A.網(wǎng)站競爭對手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問速度

B.網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息

泄露，例如購買的商品金額等

C.網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能

數(shù)據(jù)被中途篡改

D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得

用戶密碼，以該用戶身份登錄修改用戶訂單等信息

答案：D

解釋：A屬于可用性；B保密性；C屬于完整性。

27.以下關(guān)于PGP(PrettyGoodPrivacy)軟件敘述錯(cuò)送的是：

A.PGP可以實(shí)現(xiàn)對郵件的加密、簽名和認(rèn)證

B.PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮

C.PGP可以對郵件進(jìn)行分段和重組

D.PGP采用SHA算法加密郵件

林案：D

/釋：SHA不提供加密，SHA是摘要算法提供數(shù)據(jù)完整性校驗(yàn)。

28.入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項(xiàng)新的安全技術(shù)，它與

IDS有著許多不同點(diǎn)，請指出下列哪一項(xiàng)描述不符合IPS的特點(diǎn)？

A.串接到網(wǎng)絡(luò)線路中

B.對異常的進(jìn)出流量可以直接進(jìn)行阻斷

C.有可能造成單點(diǎn)故障

D.不會(huì)影響網(wǎng)絡(luò)性能

答案：D

薛釋：IPS在串聯(lián)情況下，會(huì)影響網(wǎng)絡(luò)性能。

29.相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)丕是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?

A.NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障

等問題，而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作

B.NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限

C.對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率

D.相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式

答案：D

解釋：NTFS不能兼容EXT文件系統(tǒng)。

30.某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是windows,在進(jìn)

行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能

有效應(yīng)對攻擊者獲得系統(tǒng)權(quán)限后對日志進(jìn)行修改的策略是：

A.網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog

日志服務(wù)器中

B.嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作

C.對日志屬性進(jìn)行調(diào)整，加大日志文件大小、延長覆蓋時(shí)間、設(shè)置記錄更多信息等

D.使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間

答案：A

解釋：在多重備份存儲(chǔ)情況下，可以防護(hù)日志被篡改的攻擊(前提非實(shí)時(shí)同步)。

31.關(guān)于linux下的用戶和組，以下描述不正確的是。

A.在linux中，每一個(gè)文件和程序都?xì)w屬于一個(gè)特定的“用戶”

B.系統(tǒng)中的每一個(gè)用戶都必須至少屬于一個(gè)用戶組

C.用戶和組的關(guān)系可是多對一，一個(gè)組可以有多個(gè)用戶，一個(gè)用戶不能屬于多個(gè)組

D.root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限

答案：C

解釋：一個(gè)用戶可以屬于多個(gè)組。

32.安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少

的工作，某管理員對即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其

中哪項(xiàng)設(shè)置丕利壬提高運(yùn)行環(huán)境安全？

A.操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全

漏洞

B.為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C,所有數(shù)據(jù)和

操作系統(tǒng)都存放在C盤

C.操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D.將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能

答案：B

解釋：操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。

33.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活?

A.粒度越小

B.約束越細(xì)致

C.范圍越大

D.約束范圍大

答案：A

解釋：數(shù)據(jù)粒度越細(xì)則授權(quán)策略越靈活便利。

34.下列哪一些對信息安全漏洞的描述是錯(cuò)誤的?

A.漏洞是存在于信息系統(tǒng)的某種缺陷。

B.漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。

C.具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用,

從而給信息系統(tǒng)安全帶來威脅和損失。

D.漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)

答案：D

解釋：漏洞是人為故意或非故意引入的弱點(diǎn)。

35.賬號鎖定策略中對超過一定次數(shù)的錯(cuò)誤登錄賬號進(jìn)行鎖定是為了對抗以下哪種攻擊？

A.分布式拒絕服務(wù)攻擊(DDoS)B.病毒傳染

C.口令暴力破解D.緩沖區(qū)溢出攻擊

答案：C

薛釋：賬號鎖定是為了解決暴力破解攻擊的。

36.以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?

A.ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議

B.為提高效率，ARP信息在系統(tǒng)中會(huì)緩存

C.ARP緩存是動(dòng)態(tài)的，可被改寫

D.ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議

答案：D

解釋：D不是導(dǎo)致欺騙的根源。

37.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向

該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊？

A.口令攻擊

B.暴力破解

C.拒絕服務(wù)攻擊

D.社會(huì)工程學(xué)攻擊

答案：D

解釋：D屬于社會(huì)工程學(xué)攻擊。

38.關(guān)于軟件安全開發(fā)生命周期(SDL),下面說法錯(cuò)送的是:

A.在軟件開發(fā)的各個(gè)周期都要考慮安全因素

B.軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段

C.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將

增大軟件開發(fā)成本

D.在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本

答案：C

薛釋：設(shè)計(jì)階段是發(fā)現(xiàn)和改正問題的最佳階段。

39.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中，規(guī)定了軟件

開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能:

A.治理，主要是管理軟件開發(fā)的過程和活動(dòng)

B.構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動(dòng)

C.驗(yàn)證，主要是測試和驗(yàn)證軟件的過程與活動(dòng)

D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動(dòng)

答案：D

解釋：SAMM模型四個(gè)部分是治理、構(gòu)造、驗(yàn)證和部署。

40.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯(cuò)誤的是:

A.系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各

種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。

B.系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度

能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。

C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是

一種使用面向開發(fā)的方法。

D.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，

通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、

成熟的、可測量的先進(jìn)學(xué)科。

答案：C

解釋：SSE-CMM是面向工程過程質(zhì)量控制的一套方法。

41.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BasePractices,BP),

正確的理解是:

A.BP是基于最新技術(shù)而制定的安全參數(shù)基本配置

B.大部分BP是沒有經(jīng)過測試的

C.一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段

D.一項(xiàng)BP可以和其他BP存重疊

答案：C

解釋：A錯(cuò)誤，BP是基于最佳的工程過程實(shí)踐；B錯(cuò)誤，BP是經(jīng)過測試的；D錯(cuò)誤，

一項(xiàng)BP和其他的BP是不重復(fù)。

42.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的？

A.是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險(xiǎn)

B,是否可以抵抗大部分風(fēng)險(xiǎn)

C.是否建立了具有自適應(yīng)能力的信息安全模型

D.是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)

答案：D

解釋：判斷風(fēng)險(xiǎn)控制的標(biāo)準(zhǔn)是風(fēng)險(xiǎn)是否控制在接受范圍內(nèi)。

43.以下關(guān)于信息安全法治建設(shè)的意義，說法錯(cuò)誤的是:

A.信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B.明確違反信息安全的行為，并對行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng)

C.信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源

D.信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系

答案：C

解釋：信息安全問題是多方面存在的，不能認(rèn)為主要為技術(shù)問題，同時(shí)技術(shù)漏洞不是

犯罪的根源所在。

44.小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害

的風(fēng)險(xiǎn)進(jìn)行評估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二

成四(24%),歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后

得到的年度預(yù)期損失為多少：

A.24萬B.0.09萬C.37.5萬D.9萬

答案：D

解釋：計(jì)算公式為100萬*24%*(3/8)=9萬

45.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化

法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽

名說法錯(cuò)誤的是:

A.電子簽名一一是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明

簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)

B.電子簽名適用于民事活動(dòng)中的合同或者其他文件、單證等文書

C.電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)

D.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共存

答案：D

解釋：電子簽名不可以與認(rèn)證服務(wù)提供者共有。

46.風(fēng)險(xiǎn)管理的監(jiān)控與審查丕包含：

A.過程質(zhì)量管理

B.成本效益管理

C.跟蹤系統(tǒng)自身或所處環(huán)境的變化

D.協(xié)調(diào)內(nèi)外部組織機(jī)構(gòu)風(fēng)險(xiǎn)管理活動(dòng)

答案：D

解釋：D答案屬于溝通咨詢工作，ABC屬于風(fēng)險(xiǎn)管理的監(jiān)控審查工作。風(fēng)險(xiǎn)管理過程

包括背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督，以及溝通咨詢和監(jiān)控審查。

47.信息安全等級保護(hù)要求中，第三級適用的正確的是：

A.適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對公民、法人和其他組織的權(quán)

益有一定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益

B.適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和

信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成

一般損害

C.適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受

到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害

D.適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的

核心子系統(tǒng)。其受到破壞后，會(huì)對國家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造

成特別嚴(yán)重?fù)p害

答案：B

解釋：題目中B為等級保護(hù)三級，該考點(diǎn)為等級保護(hù)定級指南。

48.下面哪一項(xiàng)安全控制措施丕是用來檢測未經(jīng)授權(quán)的信息處理活動(dòng)的：

A.設(shè)置網(wǎng)絡(luò)連接時(shí)限

B.記錄并分析系統(tǒng)錯(cuò)誤日志

C.記錄并分析用戶和管理員操作日志

D.啟用時(shí)鐘同步

答案：A

解釋：A屬于防護(hù)措施；BCD屬于檢測措施，可以用來檢測未經(jīng)授權(quán)的信息處理活動(dòng)。

49.有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是:

A.嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實(shí)際后果，都要依法追究責(zé)任

B.非法獲取國家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任

C.過失泄露國家秘密，不會(huì)構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任

D.承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和/或其他處分

答案：A

解釋：正確的為A。

50.以下對于信息安全事件理解錯(cuò)送的是：

A.信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信

息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會(huì)造成負(fù)面影響的事件

B.對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是

組織信息安全戰(zhàn)略的一部分

C.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容

D.通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，

杜絕信息安全事件的發(fā)生

答案：D

解釋：安全事件無法杜絕。

51.假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：

A.是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ?，但要求更多的開銷

B.是必須的，可以為預(yù)防控制的功效提供檢測

C.是可選的，可以實(shí)現(xiàn)深度防御

D.在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控

制功能已經(jīng)足夠

答案：c

解釋：正確為c。

52.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯(cuò)誤的是:

A.立足國情，以我為主，堅(jiān)持技術(shù)與管理并重

B.正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全

C.統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作

D.全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全

答案：D

解釋：D描述的是信息安全保障工作目標(biāo)；ABC描述的是信息安全保障的原則。

53.以下哪一項(xiàng)丕是信息安全管理工作必須遵循的原則？

A.風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之

中

B.風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)

性工作

C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對

較低

D.在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力

答案：C

解釋：安全措施投入應(yīng)越早則成本越低，c答案則成本會(huì)上升。

54.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T20984-2007)中關(guān)于信息系統(tǒng)生命

周期各階段的風(fēng)險(xiǎn)評估描述丕正確的是：

A.規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略

等

B.設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出

安全功能需求

C.實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)

行風(fēng)險(xiǎn)識(shí)別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證

D.運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn),是一種全面的

風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面

答案：D

解釋：該題目來源于《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T20984-2007),

其原文描述D為“是一種較全面的風(fēng)險(xiǎn)評估”。

55.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是：

A.資產(chǎn)識(shí)別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也

可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)

B.應(yīng)針對構(gòu)成信息系統(tǒng)的每傘資產(chǎn)做風(fēng)險(xiǎn)評價(jià)

C.脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出

的差為喚

D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、、人為非故意威脅

答案：A

解釋：B錯(cuò)誤，應(yīng)該是抽樣評估；C錯(cuò)誤，應(yīng)該其描述的是差距分析；D錯(cuò)誤，應(yīng)該

是威脅包括人為威脅和環(huán)境威脅。

56.以下哪些是需要在信息安全策略中進(jìn)行描述的：

A.組織信息系統(tǒng)安全架構(gòu)

B.信息安全工作的基本原則

C.組織信息安全技術(shù)參數(shù)

D.組織信息安全實(shí)施手段

答案：B

解釋：安全策略是宏觀的原則性要求，不包括具體的架構(gòu)、參數(shù)和實(shí)施手段。

57.根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的規(guī)定，錯(cuò)誤的是:

A.信息安全風(fēng)險(xiǎn)評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主,自評估和檢查

評估相互結(jié)合、互為補(bǔ)充

B.信息安全風(fēng)險(xiǎn)評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的

原則開展

C.信息安全風(fēng)險(xiǎn)評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程

D.開展信息安全風(fēng)險(xiǎn)評估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的組織領(lǐng)導(dǎo)

答案：A

解釋：信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估(自查)為主。

58.下面的角色對應(yīng)的信息安全職責(zé)丕合理的是：

A.高級管理層一一最終責(zé)任

B.信息安全部門主管一一提供各種信息安全工作必須的資源

C.系統(tǒng)的普通使用者一一遵守日常操作規(guī)范

D.審計(jì)人員一一檢查安全策略是否被遵從

答案：B

解釋：通常由管理層提供各種信息安全工作必須的資源。

59.自2004年1月起，國內(nèi)各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)由

以下哪個(gè)組織提出工作意見，協(xié)調(diào)一致后由該組織申報(bào)。

A.全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)

B.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)

C.中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)

D.網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)

答案：B

解釋：答案為B。

60.風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),

F(Ia,Va))以下關(guān)于上式各項(xiàng)說明錯(cuò)送的是：

A.R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅、，V表示脆弱性

B.L表示威脅利用資產(chǎn)脆弱性導(dǎo)致安全事件的可能性

C.F表示安全事件發(fā)生后造成的損失

D.la,Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對應(yīng)資產(chǎn)的嚴(yán)重程度

答案：D

解釋：la表示安全事件作用全部資產(chǎn)的價(jià)值；Va表示脆弱性嚴(yán)重程度。

61.以下哪一項(xiàng)在防止數(shù)據(jù)介質(zhì)被濫用時(shí)是丕推薦使用的方法：

A.禁用主機(jī)的CD驅(qū)動(dòng)、USB接口等I/O設(shè)備

B.對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除

C.將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎

D.用快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件

答案：D

解釋：快速格式化刪除存儲(chǔ)介質(zhì)中的保密文件不能防止信息泄露。

62.在進(jìn)行應(yīng)用系統(tǒng)的測試時(shí)，應(yīng)盡可能避免使用包含個(gè)人穩(wěn)私和其它敏感信息的實(shí)際生

產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的:

A.測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施

B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施

C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)

D.部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用

答案：B

解釋：由于備份會(huì)造成個(gè)人穩(wěn)私和其它敏感信息的擴(kuò)散。

63.為了保證系統(tǒng)日志可靠有效，以下哪一項(xiàng)丕是日志必需具備的特征。

A.統(tǒng)一而精確地的時(shí)間

B.全面覆蓋系統(tǒng)資產(chǎn)

C.包括訪問源、訪問目標(biāo)和訪問活動(dòng)等重要信息

D.可以讓系統(tǒng)的所有用戶方便的讀取

答案：D

解釋：日志只有授權(quán)用戶可以讀取。

64.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯(cuò)送的是：

A.應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在

事件發(fā)生后所采取的措施

B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤

6個(gè)階段

C.對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方

面因素

D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個(gè)級別：特別重

大事件（I級）、重大事件（H級）、較大事件（III級）和一般事件（IV級）

答案：B

解釋：應(yīng)急響應(yīng)的六個(gè)階段是準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤總結(jié)。

65.以下哪一項(xiàng)丕屬壬信息安全工程監(jiān)理模型的組成部分：

A.監(jiān)理咨詢支撐要素B.控制和管理手段

C.監(jiān)理咨詢階段過程D.監(jiān)理組織安全實(shí)施

答案：D

解釋：監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。

66.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是:

A.增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件

B.依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級

C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份

D.如果系統(tǒng)在一段時(shí)間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了

答案：C

而釋：A錯(cuò)誤，因?yàn)椴罘謧浞菔巧洗稳珎浜蟮母聰?shù)據(jù)；增量備份是任何上一次備份

后的更新數(shù)據(jù)。全備份周期最長、次之差分備份，更新周期最短是增量備份。B錯(cuò)誤，

我國災(zāi)備能力級別一共分為6級。D是明顯的錯(cuò)誤。

67.某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開

招標(biāo)選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，

各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請，監(jiān)理公司需要對A公司提

交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開發(fā)類文檔：

A.項(xiàng)目計(jì)劃書

B.質(zhì)量控制計(jì)劃

C.評審報(bào)告

D.需求說明書

答案：D

解釋：ABC其均屬于項(xiàng)目管理文檔。需求說明書、設(shè)計(jì)說明書、測試方案、測試用例

等屬于開發(fā)類文檔。

68.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)丕屬王監(jiān)理需要審核的內(nèi)容：

A.審核實(shí)施投資計(jì)劃

B.審核實(shí)施進(jìn)度計(jì)劃

C.審核工程實(shí)施人員

D.企業(yè)資質(zhì)

答案：A

解釋：監(jiān)理從項(xiàng)目招標(biāo)開始到項(xiàng)目的驗(yàn)收結(jié)束，在投資計(jì)劃階段沒有監(jiān)理。

69.以下關(guān)于直接附加存儲(chǔ)(DirectAttachedStorage,DAS)說法錯(cuò)誤的是：

A.DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ).是一種常用的數(shù)

據(jù)存儲(chǔ)方法

B.DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡單

C.DAS的缺點(diǎn)在于對服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存

儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取

D.較網(wǎng)絡(luò)附加存儲(chǔ)(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間，數(shù)據(jù)非

常集中，便于對數(shù)據(jù)進(jìn)行管理和備份

答案：D

而釋：NAS優(yōu)點(diǎn)數(shù)據(jù)集中、節(jié)約空間，缺點(diǎn)是占用網(wǎng)絡(luò)帶寬、存儲(chǔ)中心存在單點(diǎn)故障。

DAS優(yōu)點(diǎn)數(shù)據(jù)分散、風(fēng)險(xiǎn)分散，缺點(diǎn)是存儲(chǔ)空間利用率低、不便于統(tǒng)一管理。SAN基

于NAS的進(jìn)一步實(shí)現(xiàn)，基于高速網(wǎng)絡(luò)、多備份中心來進(jìn)行實(shí)現(xiàn)。

70.某公司在執(zhí)行災(zāi)難恢復(fù)測試時(shí).信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點(diǎn)的服務(wù)器的運(yùn)

行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：

A.災(zāi)難恢復(fù)站點(diǎn)的錯(cuò)誤事件報(bào)告

B.災(zāi)難恢復(fù)測試計(jì)劃

C.災(zāi)難恢復(fù)計(jì)劃(DRP)

D.主站點(diǎn)和災(zāi)難恢復(fù)站點(diǎn)的配置文件

答案：A

解釋：答案為A。

71.以下對異地備份中心的理解最隹確的是：

A.與生產(chǎn)中心不在同一城市

B.與生產(chǎn)中心距離100公里以上

C.與生產(chǎn)中心距離200公里以上

D.與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險(xiǎn)的機(jī)率很小

答案：D

解釋：答案為D,備份中心的綜合風(fēng)險(xiǎn)小于主中心。

72.作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時(shí)的步驟是：

1.標(biāo)識(shí)關(guān)鍵的業(yè)務(wù)過程；

2.開發(fā)恢復(fù)優(yōu)先級；

3.標(biāo)識(shí)關(guān)鍵的IT資源；

4.表識(shí)中斷影響和允許的中斷時(shí)間

A.1-3-4-2

B.1-3-2-4

C.1-2-3-4

D.1-4-3-2

答案：A

解釋：根據(jù)BCM的分析過程順序?yàn)锳。

73.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯(cuò)誤的理解是:

A.SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和

咨詢服務(wù)商等

B.SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目

C.基手SSE-CMM的工程是獨(dú)立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃

實(shí)施

D.SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)

安全的工程活動(dòng)

答案：C

解釋：SSE-CMM是系統(tǒng)工程，不可以獨(dú)立實(shí)施。

74.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是:

A.信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)和廢

棄等生命周期密切相關(guān)

B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性

C.信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障

D.信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其

業(yè)務(wù)使命

答案：B

薛釋：信息系統(tǒng)安全保障要素為技術(shù)、工程、管理和人員四個(gè)領(lǐng)域。信息系統(tǒng)安全保

障的安全持證是完整、保密和可用性。

75.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個(gè)組織的安全工程能力成熟度進(jìn)

行測量時(shí)，正確的理解是:

A.測量單位是基本實(shí)施(BasePractices,BP)

B.測量單位是通用實(shí)踐(GenericPractices,GP)

C.測量單位是過程區(qū)域(ProcessAreas,PA)

D.測量單位是公共特征(CommonFeatures,CF)

答案：D

解釋：正確答案為D。

76.下面關(guān)于信息系統(tǒng)安全保障模型的說法丕正確的是：

A.國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/

T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心

B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障

具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化

C.信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長效安全，而不僅是某時(shí)間點(diǎn)下的安全

D.信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息

系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入

答案：D

解釋：單位對信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面需要投入。

77.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因

素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)丕是必須進(jìn)行的工作：

A.明確業(yè)務(wù)對信息安全的要求

B.識(shí)別來自法律法規(guī)的安全要求

C.論證安全要求是否正確完整

D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求

答案：D

解釋：D屬于項(xiàng)目的驗(yàn)收階段，不屬于IT項(xiàng)目的立項(xiàng)階段，題干屬于立項(xiàng)階段。

78.關(guān)于框架(IATF),以下說法不正確的是:

A.分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級保障解決方案以便降低信息安全保障的

成本

B.IATF從人、技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破

一層也無法破壞整個(gè)信息基礎(chǔ)設(shè)施

C.允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性

D.IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制

答案：D

解釋：IATF是在網(wǎng)絡(luò)的各位置實(shí)現(xiàn)所需的安全機(jī)制。

79.以下關(guān)于軟件安全測試說法正確的是()

A.軟件安全測試就是黑盒測試

B.FUZZ測試是經(jīng)常采用的安全測試方法之一

C.軟件安全測試關(guān)注的是軟件的功能

D.軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題

答案：B

解釋：B是正確答案。

80.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決：

A.信息系統(tǒng)的技術(shù)架構(gòu)安全問題

B.信息系統(tǒng)組成部門的組件安全問題

C.信息系統(tǒng)生命周期的過程安全問題

D.信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題

答案：C

解釋：正確的答案為C。

81.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實(shí)施(BasePractice)正確的

理解是：

A.BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法

B.BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的

C.BP不轉(zhuǎn)表信息安全工程領(lǐng)域的最佳實(shí)踐

D.BP不是過程區(qū)域(ProcessAreas,PA)的強(qiáng)制項(xiàng)

答案：A

解釋：BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務(wù)背景中

可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和專家意見綜合得出的；代表著

信息安全工程領(lǐng)域的最佳實(shí)踐；并且是過程區(qū)域(ProcessAreas,PA)的強(qiáng)制項(xiàng)。

82.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》

建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字

塔結(jié)構(gòu)，那么，以下選項(xiàng)()應(yīng)放入到一級文件中.

A.《風(fēng)險(xiǎn)評估報(bào)告》B.《人力資源安全管理規(guī)定》

C.《ISMS內(nèi)部審核計(jì)劃》D.《單位信息安全方針》

答案：D

解釋：正確答案為D。一級文件中一般為安全方針、策略文件；二級文件中一般為管

理規(guī)范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。

83.信息安全管理體系(informationSecurityManagementSystem.簡稱管MS)的實(shí)施

和運(yùn)行ISMS階段，是ISMS過程模型的實(shí)施階段(Do),下面給出了一些備①制定風(fēng)

險(xiǎn)處理計(jì)劃②實(shí)施風(fēng)險(xiǎn)處理計(jì)劃③開發(fā)有效性測量程序④實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃

⑤管理ISMS的運(yùn)行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實(shí)施內(nèi)部

審核⑨實(shí)施風(fēng)險(xiǎn)再評估選的活動(dòng)，選項(xiàng)()描述了在此階段組織應(yīng)進(jìn)行的活動(dòng)。

A.①②③④⑤⑥

B.①②③④⑤⑥⑦

C.①②③④⑤⑥⑦⑧

D.①②③④⑤⑥⑦⑧⑨

答案：B

解釋：管理體系包括PDCA(Plan-Do-Check-Act)四個(gè)階段，題干中1-7的工作都屬

于管理體系的實(shí)施階段(D-Do),而8和9屬于檢查階段(C-Check)o

84.在實(shí)施信息安全風(fēng)險(xiǎn)評估時(shí)，需要對資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)

值的評估，以下選項(xiàng)中正確的是()

A.資產(chǎn)的價(jià)值指采購費(fèi)用

B.資產(chǎn)的價(jià)值指維護(hù)費(fèi)用

C.資產(chǎn)的價(jià)值與其重要性密切相關(guān)

D.資產(chǎn)的價(jià)值無法估計(jì)

答案：C

解釋：答案為C。

85.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期

的討論，在下面的發(fā)言觀點(diǎn)中，正確的是()

A.軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以

解決90%以上的安全問題。

B.應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段增加一定的安全措施,這樣可以比在軟件發(fā)

布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少得多。

C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期(SDL)最大特點(diǎn)是增加

了一個(gè)專門的安全編碼階段。

D.軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進(jìn)

行了安全性測試，就沒存必要再組織第三方進(jìn)行安全性測試。

答案：B

解釋：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計(jì)階段。C-SDL最大

的特點(diǎn)是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測試是必要的軟件安全測試類型。

86.某網(wǎng)站在設(shè)計(jì)對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時(shí)要求程序員編寫安全的代碼,

但是在部署時(shí)由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份，為

了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。

A.模糊測試

B.源代碼測試

C.滲透測試

D.軟件功能測試

答案：C

解釋：答案為C。

87.下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題()

A.軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。

B.應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)

C.應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)

D.軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝。

答案：C

解釋：ABD與軟件安全開發(fā)無關(guān)。

88.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下

面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)。

A.關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn)

B.針對OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn)

C.針對SQL注入漏洞的安全編程培訓(xùn)

D.關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn)

答案：D

解釋：D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。

89.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個(gè)是正確的:

A.Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為

B.Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性

C.Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能

D.Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會(huì)話過程中不傳輸用戶名和密碼，因此具有較高的

安全性

答案：A

解釋：HTTPS具有數(shù)據(jù)加密機(jī)制。

90.不同的信息安全風(fēng)險(xiǎn)評估方法可能得到不同的風(fēng)險(xiǎn)評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)

各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法。下面的描述中錯(cuò)誤的是（）。

A.定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行評估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)

果，以度量風(fēng)險(xiǎn)的可能性和缺失量

B.定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量

風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析

C.定性風(fēng)險(xiǎn)分析過程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和風(fēng)

險(xiǎn)評估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)

D.定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性

答案：B

解釋：實(shí)際工作中根據(jù)情況選擇定量、定性或定量與定性相結(jié)合。

91.小李去參加單位組織的信息安全管理體系（InformationSecurityManagement

System.ISMS）培訓(xùn)，按照理解畫了一張圖（圖中包括了規(guī)劃建立、實(shí)施運(yùn)行、保持和

改進(jìn)），但是他還存在一個(gè)空白處未填寫，請幫他選擇一個(gè)最合適的選項(xiàng)（）。

A.監(jiān)控和反饋ISMSB.批準(zhǔn)和監(jiān)督ISMS

C.監(jiān)視和評審ISMSD.溝通和咨詢ISMS

答案：C

解釋：管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實(shí)施運(yùn)行、C-監(jiān)視和評審、

A-保持和改進(jìn)。

92.為推動(dòng)和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作

所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類。下面四

個(gè)標(biāo)準(zhǔn)中，（）規(guī)定了等級保護(hù)定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)

容。

A.GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》

B.GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》

C.GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》

D.GB/T20269-2006《信息系統(tǒng)安全管理要求》

答案：B

解釋：答案為B。

93.某移動(dòng)智能終端支持通過指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相

比，關(guān)于此種鑒別技術(shù)說法不正確的是:

A.所選擇的特征（指紋）便于收集、測量和比較

B.每個(gè)人所擁有的指紋都是獨(dú)一無二的

C.指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問題

D.此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成

答案：C

解釋：指紋識(shí)別系統(tǒng)存在安全威脅問題，同時(shí)存在著錯(cuò)誤拒絕率和錯(cuò)誤接受率的問題。

94.下列我國哪一個(gè)政策性文件明確了我國信息安全保障工作的方針和總體要求以及加

強(qiáng)信息安全工作的主要原則？

A.《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》

B.《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

C.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》

D.《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》

答案：C

前釋：《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦2003年27號

文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅(jiān)持技管并重等。

95.在以下標(biāo)準(zhǔn)中，屬于推薦性國家標(biāo)準(zhǔn)的是？

A.GB/TXXXX.X-200XB.GBXXXX-200X

C.DBXX/TXXX-200XD.GB/ZXXX-XXX-200X

答案：A

解釋：A為國標(biāo)推薦標(biāo)準(zhǔn)；B為國標(biāo)強(qiáng)制標(biāo)準(zhǔn)；C為地方標(biāo)準(zhǔn)；D為國標(biāo)指導(dǎo)標(biāo)準(zhǔn)。

96.微軟SDL將軟件開發(fā)生命周期制分為七個(gè)階段，并列出了十七項(xiàng)重要的安全活動(dòng)。其

中“棄用不安全的函數(shù)”屬于（）的安全活動(dòng)

A.要求階段B.設(shè)計(jì)階段

C.實(shí)施階段D.驗(yàn)證階段

答案：C

解釋：棄用不安全的函數(shù)為編碼實(shí)施階段。

97.由于頻繁出現(xiàn)計(jì)算機(jī)運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟

件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是()

A.要求所有的開發(fā)人員參加軟件安全開發(fā)知識(shí)培訓(xùn)

B.要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對軟件代碼的安全性審查

C.要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本

D.要求邀請專業(yè)隊(duì)伍進(jìn)行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題

答案：C

解釋：統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。

98.關(guān)于源代碼審核，描述正確的是()

A.源代碼審核過程遵循信息安全保障技術(shù)框架模型9麗，在執(zhí)行時(shí)應(yīng)一步一步嚴(yán)格

執(zhí)行

B.源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題,相關(guān)的審核工具既有商業(yè)開源

工具

C.源代碼審核如果想要有效率高，則主要依賴人工審核而不是工具審核，因?yàn)槿斯な?/p>

智能的，需要人的腦袋來判斷

D.源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測

試

答案：B

解釋：A錯(cuò)誤，因?yàn)镮ATF不用于代碼審核；C錯(cuò)誤，因?yàn)槿斯ず凸粝嘟Y(jié)合；D錯(cuò)誤，

安全測試由需求確定。

99.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項(xiàng)錯(cuò)誤的是()