2015cisp模拟重要试题1-100

1．美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核 设施、设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国强调重点保障这些基础设施信息安全，其主要原因不包括： A．这些行业都关系到国计民生，对经济运行和影响深远 B．这些行业都是信息化应用广泛的领域

C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出

D．这些行业发生信息安全事件，会造成广泛而严重的损失 2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：

A．2001-2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构 B．2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27 号文件)并颁布了国家信息安全战略

C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得成功&

D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐

3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统

安全目标(ISST)中，安全保障目的指的是： A、信息系统安全保障目的 B、环境安全保障目的

C、信息系统安全保障目的和环境安全保障目的

D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的

4．以下哪一项是数据完整性得到保护的例子?

A．某网站在访问量突然增加时对用户连接数量进行了，保证已登录的用户可以完成操作

B．在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作&

C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作

D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看

5.公司甲做了很多网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的： A.乙对信息安全不重视，低估了黑客能力，不舍得花钱&

B．甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费

C．甲未充分考虑网游网站的业务与网站业务的区别

D．乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求 6．进入21 世纪以来，信息安全成为世界各全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是： A．与、社会稳定和民生密切相关的关键基础设施是各全保障的重点

B．美国尚未设立级的专门机构处理网络信息安全问题，信息安全管理职能由不同部门的多个机构共同承担 C．各国普遍重视信息安全事件的应急响应和处理

D．在网络安全战略中，各国均强调加强管理力度，充分利用社会资源，发挥与企业之间的合作关系 7．与PDR 模型相比，P2DR 模型多了哪一个环节? A．防护 B．检测 C．反应 D.策略&

8．以下关于项目的含义，理解错误的是：

A．项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。 B.项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。&

C．项目资源指完成项目所需要的人、财、物等。

D．项目目标要遵守SMART 原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)

9．2008 年1 月2 日，美目发布第54 号总统令，建立国家网络安全综合计划（Comprehensive National Cybersecurity Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少

漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的：

A．CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险

B.从CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的

C．CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补

D．CNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障& 10．下列对于信息安全保障深度防御模型的说法错误的是： A．信息安全外部环境：信息安全保障是组织机构安全、的一个重要组成部分，因此对信息安全的讨论必须放在国家、法律法规和标准的外部环境制约下。

B．信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

C．信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。

D．信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。

11．如图，某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：

A．个人网银系统和用户之间的双向鉴别 B．由可信第三方完成的用户身份鉴别

C.个人网银系统对用户身份的单向鉴别* D．用户对个人网银系统合法性的单向鉴别

12．如下图所示，Alice 用Bob 的密钥加密明文，将密文发送给Bob。Bob 再用自己的私钥解密，恢复出明文。以下说法正确的是：

A．此密码为对称密码 B．此密码为私钥密码 C．此密码为单钥密码 D．此密码为公钥密码&

13．下列哪一种方法属于基于实体“所有”鉴别方法： A．用户通过自己设置的口令登录系统，完成身份鉴别 B．用户使用个人指纹，通过指纹识别系统的身份鉴别

C．用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别

D.用户使用集成电路卡(如智能卡)完成身份鉴别&

14．为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景

中用到下列哪些鉴别方法?

A.实体“所知”以及实体“所有”的鉴别方法& B．实体“所有”以及实体“特征”的鉴别方法 C．实体“所知”以及实体“特征”的鉴别方法 D．实体“所有”以及实体“行为”的鉴别方法

15．某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势? A.渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞&

B．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高 C．渗透测试使用人工进行测试，不依赖软件，因此测试更准确 D．渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多 16．软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?

A．告诉用户需要收集什么数据及搜集到的数据会如何披使用 B．当用户的数据由于某种原因要被使用时，给用户选择是否允许 C．用户提交的用户名和密码属于稳私数据，其它都不是& D．确保数据的使用符合国家、地方、行业的相关法律法规 17．软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思

想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：

A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实&

B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足

C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码

D．在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行 18．以下哪一项不是工作在网络第二层的隧道协议： A.VTP& B．L2F C．PPTP D．L2TP

19．如圈所示，主体S 对客体01 有读(R)权限，对客体02 有读(R)、写(W)、拥有(Own)权限，该图所示的访问控制实现方法是：

A．访问控制表(ACL) B．访问控制矩阵 C.能力表(CL)& D．前缀表(Profiles)

20．以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC 模型，下列说法错误的是：

A．当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝

B．业务系统中的岗位、职位或者分工，可对应RBAC 模型中的角色 C．通过角色，可实现对信息资源访问的控制 D.RBAC 模型不能实现多级安全中的访问控制& 21．下面哪一项不是虚拟专用网络(VPN)协议标准：

A．第二层隧道协议(L2TP) B．Internet 安全性(IPSEC)

C.终端访问控制器访问控制系统(TACACS+)& D．点对点隧道协议(PPTP)

22．下列对网络认证协议(Kerberos)描述正确的是： A．该协议使用非对称密钥加密机制

B．密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成

C．该协议完成身份鉴别后将获取用户票据许可票据 D．使用该协议不需要时钟基本同步的环境&

23．鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的： A．口令 B．令牌& C．知识 D．密码

24．在ISO 的OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务? A．加密 B.数字签名& C．访问控制 D．路由控制

25．某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是： A．选购当前技术最先进的防火墙即可 B．选购任意一款品牌防火墙

C．任意选购一款价格合适的防火墙产品 D．选购一款同已有安全产品联动的防火墙&

26．在OSI 参考模型中有7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务? A.网络层& B．表示层 C．会话层 D．物理层

27．某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则? A.最小权限 B.权限分离& C．不信任 D．纵深防御

28．以下关于互联网协议安全(Internet Protocol Security，IPsec)协议说法错误的是：

A．在传送模式中，保护的是IP 负载

B．验证头协议(Authentication Head，AH)和IP 封装安全载荷协议(EncapsulatingSecurity Payload，ESP)都能以传输模式和隧道模式工作

c．在隧道模式中，保护的是整个互联网协议(Internet Protocol，IP)包，包括IP 头

D.IPsec 仅能保证传输数据的可认证性和保密性&

29．某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE 是微软SDL 中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是STRIDE 中欺骗类的威胁，以下威胁中哪个可以归入此类威胁? A．网站竞争对手可能雇佣攻击者实施DDoS 攻击，降低网站访问速度 B．网站使用http 协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等

C．网站使用http 协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改

D．网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息& 30.以下关于PGP(Pretty Good Privacy)软件叙述错误的是： A．PGP 可以实现对邮件的加密、签名和认证 B．PGP 可以实现数据压缩 C．PGP 可以对邮件进行分段和重组

D．PGP 采用SHA 算法加密邮件&

31．入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与IDS 有着许多不同点，请指出下列哪一项描述不符合IPS 的特点? A．串接到网络线路中

B．对异常的进出流量可以直接进行阻断 C．有可能造成单点故障 D.不会影响网络性能&

32．相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?

A．NTFS 使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作

B．NTFS 的分区上，可以为每个文件或文件夹设置单独的许可权限 C．对于大磁盘，NTFS 文件系统比FAT 有更高的磁盘利用率 D.相比FAT 文件系统，NTFS 文件系统能有效的兼容linux 下EXT2 文件格式&

33．某公司系统管理员最近正在部署一台Web 服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：

A．在网络中单独部署syslog 服务器，将Web 服务器的日志自动发送并存储到该syslog 日志服务器中&

B.严格设置Web 日志权限，只有系统权限才能进行读和写等操作 C．对日志属性进行调整，加大日志文件大小、延长日志覆盖时间、设置记录更多信息等

D．使用的分区用于存储日志，并且保留足够大的日志空间 34．关于linux 下的用户和组，以下描述不正确的是 。 A．在linux 中，每一个文件和程序都归属于一个特定的“用户” B．系统中的每一个用户都必须至少属于一个用户组

C.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组*

D．root 是系统的超级用户，无论是否文件和程序的所有者都具有访问权限

35．安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?

A．操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞

B.为了方便进行数据备份，安装Windows 操作系统时只使用一个分区C，所有数据和操作系统都存放在C 盘&

C．操作系统上部署防病毒软件，以对抗病毒的威胁

D．将默认的管理员账号Administrator 改名，降低口令暴力破解攻击的发生可能

36．在数据库安全性控制中，授权的数据对象 ，授权子系统就越灵活? A.粒度越小& B．约束越细致 C．范围越大 D．约束范围大

37．下列哪一些对信息安全漏洞的描述是错误的? A．漏洞是存在于信息系统的某种缺陷。

B．漏洞存在于一定的环境中，寄生在一定的客体上(如TOE 中、过程中等)。

C．具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。 D．漏洞都是人为故意引入的一种信息系统的弱点&

38．账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?

A．分布式拒绝服务攻击(DDoS) B．病毒传染 C.口令暴力破解& D．缓冲区溢出攻击

39．数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCP

／IP 协议中，数据封装的顺序是： A．传输层、网络接口层、互联网络层 B．传输层、互联网络层、网络接口层& C．互联网络层、传输层、网络接口层 D．互联网络层、网络接口层、传输层

40．以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A．ARP 协议是一个无状态的协议 B．为提高效率，ARP 信息在系统中会缓存 C．ARP 缓存是动态的，可被改写 D.ARP 协议是用于寻址的一个重要协议

41．张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A．口令攻击 B．暴力破解 C．拒绝服务攻击 D.社会工程学攻击&

42．关于软件安全开发生命周期(SDL)，下面说法错误的是： A．在软件开发的各个周期都要考虑安全因素

B．软件安全开发生命周期要综合采用技术、管理和工程等手段 C．测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本&

D．在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本

43．在软件保障成熟度模型(Software Assurance Maturity ldode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：

A．治理，主要是管理软件开发的过程和活动

B.构造，主要是在开发项目中确定目标并开发软件的过程与活动 C．验证，主要是测试和验证软件的过程与活动

D.购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动&部署

44．从系统工程的角度来处理信息安全问题，以下说法错误的是： A．系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B．系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。

C．系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。&

D．系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。

45．小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全 风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果； (3)背景建立包括：风险管理准备、信息系统调查、信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析报告、

信息系统的安全要求报告。请问小王的所述论点中错误的是哪项： A．第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象

B．第二个观点，背景建立的依据是国家、地区域行业的相关、法律、法规和标准

C.第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字&

D．第四个观点，背景建立的阶段性成果中不包括有风险管理计划书 46．有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices，BP)，正确的理解是： A．BP 是基于最新技术而制定的安全参数基本配置 B．大部分BP 是没有经过测试的

C.一项BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段&

D．一项BP 可以和其他BP 有重叠

47．以下哪一种判断信息系统是否安全的方式是最合理的? A．是否己经通过部署安全控制措施消灭了风险 B．是否可以抵抗大部分风险

C．是否建立了具有自适应能力的信息安全模型 D.是否已经将风险控制在可接受的范围内&

48．以下关于信息安全法治建设的意义，说法错误的是： A．信息安全法律环境是信息安全保障体系中的必要环节

B．明确违反信息安全的行为，并对该行为进行相应的处罚，以打击信息安全犯罪活动

C．信息安全主要是技术问题，技术漏洞是信息犯罪的根源& D．信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系

49．小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预 期损失为多少： A．24 万 B．0．09 万

C．37．5 万 D.9 万&

50．2005 年4 月1 日正式施行的《电子签名法》，被称为个“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是： A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名b人身份并表明签名人认可其中内容的数据

B．电子签名适用于民事活动中的合同或者其他文件、单证等文书 C．电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务 D答案错

51．风险管理的监控与审查不包含： A．过程质量管理 B．成本效益管理

C．跟踪系统自身或所处环境的变化 D．协调内外部组织机构风险管理活动

52．信息安全等级保护分级要求，第三级适用正确的是： A．适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害、社会秩序、经济设和公共利益

B．适用于一定程度上涉及、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对、社会秩序、

经济建设和公共利益造成一定损害&

C．适用于涉及、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对、社会秩序、经济建设和公共利益造成较大损害

D．适用于涉及、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对、社会秩序，经济建设和公共利益造成特别严重损害

53．下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：

A．设置网络连接时限& B．记录并分析系统错误日志 C．记录并分析用户和管理员操作日志 D．启用时钟同步

54．有关危害国家秘密安全的行为的法律责任，正确的是： A．严重违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责任&

B．非法获取国家秘密，不会构成刑事犯罪，不需承担刑事责任 C．过失泄露国家秘密，不会构成刑事犯罪，不需承担刑事责任 D．承担了刑事责任，无需再承担行政责任和／或其他处分 55．以下对于信息安全事件理解错误的是：

A．信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负

面影响的事件

B．对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分 C．应急响应是信息安全事件管理的重要内容

D.通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生&

56．假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：

A．是多余的，因为它们完成了同样的功能，但要求更多的开销 B．是必须的，可以为预防控制的功效提供检测& C．是可选的，可以实现深度防御

D．在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足够

57．关于我国加强信息安全保障工作的主要原则，以下说法错误的是： A．立足国情，以我为主，坚持技术与管理并重

B．正确处理安全和发展的关系，以安全保发展，在发展中求安全 C．统筹规划，突出重点，强化基础工作

D．全面提高信息安全防护能力，保护公众利益，维护& 58．以下哪一项不是信息安全管理工作必须遵循的原则?

A．风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中

B．风险管理活动应成为系统开发、运行、维护、直至废弃的整个生

命周期内的持续性工作

C．由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低&

D．在系统正式运行后，应注重残余风险的管理，以提高快速反应能力

59．《信息安全技术 信息安全风险评估规范GB／T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是： A.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等

B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求

C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面

60．对信息安全风险评估要素理解正确的是：

A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构& B．应针对构成信息系统的每个资产做风险评价

C．脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差

距项

D．信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 61．以下哪些是需要在信息安全策略中进行描述的： A．组织信息系统安全架构 B.信息安全工作的基本原则& C、组织信息安全技术参数 D、组织信息安全实施手段

62．根据《关于开展信息安全风险评估工作的意见》的规定，错误的是：

A.信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合、互为补充不

B．信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展

C．信息安全风险评估应贯穿于网络和信息系统建设运行的全过程 D．开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导

63．RPC 系列标准是由( )发布的： A．国际标准化组织(ISO) B．国际电工委员会(IEC) C．国际贸易中心(ITC) D.互联网工程任务组IETF&

．对于数字证书而言，一般采用的是哪个标准?

A．ISO／IEC 15408 B．802．11 C．GB／T 20984 D．X.509&

65．下面的角色对应的信息安全职责不合理的是： A．高级管理层——最终责任

B.信息安全部门主管——提供各种信息安全工作必须的资源 C．系统的普通使用者——遵守日常操作规范 D．审计人员——检查安全策略是否被遵从

66．CC 标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC 标准的先进性?

A．结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展 B.表达方式的通用性，即给出通用的表达方式 C．性，它强调将安全的功能和保证分离

D．实用性，将CC 的安全性要求具体应用到IT 产品的开发、生产、测试和评估过程中&

67．自2004 年1 月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报。

A．全国通信标准化技术委员会(TC485) B.全国信息安全标准化技术委员会(TC260)&

C．中国通信标准化协会(CCSA) D．网络与信息安全技术工作委员会

68．风险计算原理可以用下面的范式形式化地加以说明： 风险值=R（A，T，V)=R(L(T，V)，F(Ia，Va)) 以下关于上式各项说明错误的是：

A．R 表示安全风险计算函数，A 表示资产，T 表示威胁，V 表示脆弱性

B．L 表示威胁利资产脆弱性导致安全事件的可能性 C．F 表示安全事件发生后造成的损失

D．Ia，Va 分别表示安全事件作用全部资产的价值与其对应资产(应为脆弱性)的严重程度&

69．为了不断完善一个组织的信息安全管理，应对组织的信息安全管理方法及实施情况进行评审，这种评审。 A．必须按固定的时间间隔来进行 B．应当由信息系统的运行维护人员发起

C.可以由内部审核部门或专业的第三方机构来实施&

D．结束后，评审者应组织针对不符合安全策略的问题设计和实施纠正措施

70．以下哪一项在防止数据介质被溢用时是不推荐使用的方法： A．禁用主机的CD 驱动、USB 接口等I／O 设备 B．对不再使用的硬盘进行严格的数据清除 C．将不再使用的纸质文件用碎纸机粉碎

D.用快速格式化删除存储介质中的保密文件&

71．在进行应用系统的测试时，应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：

A．测试系统应使用不低于生产系统的访问控制措施 B．为测试系统中的数据部署完善的备份与恢复措施 C．在测试完成后立即清除测试系统中的所有敏感数据 D．部署审计措施，记录生产数据的拷贝和使用

72．为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。

A．统一而精确地的时间 B．全面覆盖系统资产

C．包括访问源、访问目标和访问活动等重要信息 D.可以让系统的所有用户方便的读取&

73．关于信息安全事件管理和应急响应，以下说法错误的是： A．应急响应是指组织为了应对突发／重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

B.应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段&

C．对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素

D．根据信息安全事件的分级参考要素，可将信息安全事件划分为4 个

级别：特别重大事

件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级) 74．以下哪一项不属于信息安全工程监理模型的组成部分： A．监理咨询支撑要素 B.控制和管理手段 C．监理咨询阶段过程 D.监理组织安全实施&

75．以下关于灾难恢复和数据备份的理解，说法正确的是： A．增量备份是备份从上次完全备份后更新的全部数据文件& B．依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7 个等级

C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份

D．如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了

76．某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M 公司为承建单位，并选择了H 监理公司承担该项目的全程监理工作，目前，各

个应用系统均已完成开发，M 公司已经提交了验收申请，监理公司需要对A 公司提交的软件配

置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档： A．项目计划书

B．质量控制计划 C．评审报告 D.需求说明书&

77．在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容： A．审核实施投资计划& B．审核实施进度计划 C．审核工程实施人员 D.企业资质

78．以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是：

A．DAS 能够在服务器物理位置比较分散的情况下实现大容量存储．是一种常用的数据存储方法&

B．DAS 实现了操作系统与数据的分离，存取性能较高并且实施简单 C．DAS 的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储设备中的数据不能被存取

D．较网络附加存储(Network Attached Storage，NAS)，DAS 节省硬盘空间，数据非常集中，便于对数据进行管理和备份

79．某公司在执行灾难恢复测试时．信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢，为了找到根本愿因，他应该首先检查：

A．灾难恢复站点的错误事件报告

B．灾难恢复测试计划 C．灾难恢复计划(DRP)

D．主站点和灾难恢复站点的配置文件 80．以下对异地备份中心的理解最准确的是： A．与生产中心不在同一城市 B．与生产中心距离100 公里以上 C．与生产中心距离200 公里以上

D．与生产中心面临相同区域性风险的机率很小&

81．作为业务持续性计划的一部分，在进行业务影响分析(BIa)时的步骤是：

1．标识关键的业务过程 2．开发恢复优先级 3．标识关键的IT 资源

4．表示中断影响和允许的中断时间 A．１-3-4-2 B．１-3-2-4 C．1－2－3－4 D．１－4－3－2&

82．有关系统安全工程-能力成熟度模型(SSZ-CMM)，错误的理解是： A．SSE-CMM 要求实施组织与其他组织相互作用，如开发方、产品供应商、集成商和咨询服务商等

B．SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科

目

C．基手SSE-CMM 的工程是工程，与软件工程、硬件工程、通信工程等分别规划实施&

D.SSE-CMM 覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动

83．下面关于信息系统安全保障的说法不正确的是：

A．信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关

B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C．信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障

D．信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命

84．在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是： A．测量单位是基本实施(Base Practices，BP) B．测量单位是通用实施(Generic Practices，GP) C．测量单位是过程区域(Process Areas，PA) D．测量单位是公共特征(Common Features，CF) 85．下面关于信息系统安全保障模型的说法不正确的是： A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略

作为基础和核心

B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化 C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D．信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入&

86．信息系统安全工程(ISSE)的一个重要目标就是在IT 项目的各个阶段充分考虑安全因素，在IT 项目的立项阶段，以下哪一项不是必须进行的工作：

A．明确业务对信息安全的要求 B．识别来自法律法规的安全要求 C．论证安全要求是否正确完整

D.通过测试证明系统的功能和性能可以满足安全要求&

87．关于信息安全保障技术框架(IATF)，以下说法不正确的是： A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

B．IATF 从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性

D．IATF 深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制&

88．以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?

A.应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑&

B．应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C.应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D．应详细规定系统验收测试中有关系统安全性测试的内容 ．信息安全工程监理的职责包括：

A．质量控制、进度控制、成本控制、合同管理、信息管理和协调& B．质量控制、进度控制、成本控制、合同管理和协调

C．确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调

D．确定安全要求、认可设计方案、监视安全态势和协调 90．关于信息安全保障的概念，下面说法错误的是：

A．信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念

B．信息安全保障已从单纯的保护和防御阶段发展为集保护、检测和响应为一体的综合阶段

C.在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全&

D．信息安全保障把信息安全从技术扩展到管理，通过技术、管理和工程等措施的综合融合，形成对信息、信息系统及业务使命的保障 91．关于监理过程中成本控制，下列说法中正确的是? A．成本只要不超过预计的收益即可 B．成本应控制得越低越好

C．成本控制由承建单位实现，监理单位只能记录实际开销 D．成本控制的主要目的是在批准的预算条件下确保项目保质按期完成&

92．有关危害国家秘密安全的行为，包括：

A.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为

B．严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为，但不包括定密不当行为

C．严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为

D．严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人

员的违法行为

93．下列关于ISO15408 信息技术安全评估准则(简称CC)通用性的特点，即给出通用的表达方式，描述不正确的是______。

A．如果用户、开发者、评估者和认可者都使用CC 语言，互相就容易理解沟通

B．通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义

C．通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要

D.通用性的特点使得CC 也适用于对信息安全建设工程实施的成熟度进行评估

94．信息系统建设完成后， ( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。 A．二级以上 B．三级以上& C．四级以上 D．五级以上

95．有关国家秘密，错误的是：

A．国家秘密是关系和利益的事项 B．国家秘密的确定没有正式的法定程序&

C.除了明确规定需要长期保密的，其他的园家秘密都是有保密期限的 D．国家秘密只限一定范围的人知悉

96．在可信计算机系统评估准则(TCSEC)中，下列哪一项是满足强制保护要求的最低级别? A．C2 B．C1 C．B2 D．B1&

97．对涉密系统进行安全保密测评应当依据以下哪个标准?

A．BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B．BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》&

C．GB17859-1999《计算机信息系统安全保护等级划分准则》 D．GB／T20271-2006《信息安全技术信息系统统用安全技术要求》 98．ISO／IBC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 。

A．BS7799-1《信息安全实施细则》 B.BS7799-2《信息安全管理体系规范》 C．信息技术安全评估准则(简称ITSEC) D．信息技术安全评估通用标准(简称CC)

99．在GB／T 18336《信息技术安全性评估准则》中，有关保护轮廓(Protection Profile，PP)和安全目标(Security Target，ST)，错误的是：

A．PP 是描述一类产品或系统的安全要求

B．PP 描述的安全要求与具体实现无关 C．两份不同的ST 不可能满足同一份PP 的要求 D．ST 与具体的实现有关

100．以下哪一项不是我国信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A.提高信息技术产品的国产化率& B．保证信息安全资金投入 C．加快信息安全人才培养 D．重视信息安全应急处理工作

101．最小是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小的原则，作为评审专家，请指出是哪一个?

A．软件在Linux 下按照时，设定运行时使用nobody 用户运行实例 B．软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库

C．软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账

号连接数据库，该账号仅对日志表拥有权限

D.为了保证软件在Windows 下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误&