2023年CISP、NISP题库精简版
信息安全专业人员知识测试试题 ( 一)
1. 依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:
A、信息系统安全保障目的
B、环境安全保障目的
C、信息系统安全保障目的和环境安全保障目的
D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
解释:GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
2. 以下哪一项是数据完整性得到保护的例子?
A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已经登录的用户可以完成操作 B.在提款过程中ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看
解释:A为可用性,B 为完整性,C是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson模型的应用,解 决数据变化过程的完整性。
3. 进入 21 世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国 情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:
A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B.美国未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
C.各国普遍重视信息安全事件的应急响应和处理
D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系 解释:美国已经设立中央政府级的专门机构。
4. 与 PDR 模型相比,P2DR (PPDR) 模型多了哪一个环节?
A.防护 B.检测 C.反应 D.策略
解释:PPDR 是指策略、保护、检测和反应 (或响应) 。PPDR 比 PDR 多策略。
5. 以下关于项目的含义,理解错误的是:
A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行 的一次性努力。
B. 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
C.项目资源指完成项目所需要的人、财、物等。
D.项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agreto)、 现实(Realistic)、有一定的时限(Timeoriented)
解释:据项目进度不能随机确定,需要根据项目预算、特性、质量等要求进行确定。
6. 2008 年 1 月 2 日,美目发布第 54 号总统令,建立国家网络安全综合计划 (Comprehensive National Cyber security Initiative,CNCI)。CNCI 计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类 威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的:
A.CNCI 是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
B. 从 CNCI 可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的
C.CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补
D.CNCI 彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统 的全面安全保障
解释:CNCI 第一个防线针对漏洞进行风险控制,第二个防线针对威胁进行风险控制,总体的目标是降低网络风险。B、C、 D 答案均无法从题干反应。
7. 下列对于信息安全保障深度防御模型的说法错误的是:
A.信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放 在国家政策、法律法规和标准的外部环境制约下。
B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至 信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。
D.信息安全技术方案:“从外而内、 自下而上、形成边界到端的防护能力”。
解释:D 的正确描述是从内而外, 自上而下,从端到边界的防护能力。
8. 某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类: 1 / 12
A.个人网银系统和用户之间的双向鉴别 C.个人网银系统对用户身份的单向鉴别
B. 由可信第三方完成的用户身份鉴别 D.用户对个人网银系统合法性的单向鉴别
解释:题干为网银系统对用户的鉴别。
9. Alice 用 Bob 的密钥加密明文,将密文发送给Bob。Bob 再用自己的私钥解密,恢复出明文。以下说法正确的是:
A.此密码体制为对称密码体制 C.此密码体制为单钥密码体制
B.此密码体制为私钥密码体制 D.此密码体制为公钥密码体制
解释:题干中使用到了私钥解密,私钥是公钥密码体制中用户持有的密钥,相对于公钥而言,则为非对称密码体制,非 对称密码体制又称为公钥密码体制。
10. 下列哪一种方法属于基于实体“所有”鉴别方法:
A.用户通过自己设置的口令登录系统,完成身份鉴别
B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
解释:实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。
11. 为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等 交易,在此场景中用到下列哪些鉴别方法?
A.实体“所知” 以及实体“所有” 的鉴别方法 C.实体“所知”以及实体“特征”的鉴别方法
B.实体“所有”以及实体“特征”的鉴别方法 D.实体“所有”以及实体“行为”的鉴别方法 解释:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
12. 某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软 件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗 透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A. 渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 解释:渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。
13. 软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?
A.告诉用户需要收集什么数据及搜集到的数据会如何披使用
B.当用户的数据由于某种原因要被使用时,给用户选择是否允许
C.用户提交的用户名和密码属于稳私数据,其它都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
解释:个人隐私包括但不限于用户名密码、位置、行为习惯等信息。
14. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防 范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想 的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.软件上线前对软件全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行 解释:软件的安全测试根据实际情况进行测试措施的选择和组合。
15. 以下哪一项不是工作在网络第二层的隧道协议:
A.VTP B.L2F C.PPTP D.L2TP
解释:L2F、PPTP、L2TP 均为二层隧道协议。
16. 主体 S 对客体 01 有读(R)权限,对客体 02 有读(R)、写(W)、拥有(Own)权限,该访问控制实现方法是:
A.访问控制表(ACL) B.访问控制矩阵 C.能力表(CL) D.前缀表(Profiles) 解释:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
于 RBAC 模型,下列说法错误的是:
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C.通过角色,可实现对信息资源访问的控制
D.RBAC 模型不能实现多级安全中的访问控制
解释:RBAC1 模型能实现多级安全中的访问控制。
18. 下面哪一项不是虚拟专用网络(VPN)协议标准:
A.第二层隧道协议(L2TP)
B.Internet 安全性(IPSEC)
解释:TACACS+是 AAA 权限控制系统,不属于 VPN。
C.终端访问控制器访问控制系统(TACACS+)
D.点对点隧道协议(PPTP)
19. 下列对网络认证协议Kerberos描述正确的是:
A.该协议使用非对称密钥加密机制
B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C.该协议完成身份鉴别后将获取用户票据许可票据
D.使用该协议不需要时钟基本同步的环境
解释:A 错误,因为使用对称密码;B 错误,因为密钥分发中心不包括客户机;D 错误,因为协议需要时钟同步。三个 步骤:1) 身份认证后获得票据许可票据;2) 获得服务许可票据;3) 获得服务。
20. 鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:
A. 口令 B.令牌 C.知识 D.密码
解释:令牌是基于实体所有的鉴别方式。
21. 在 ISO 的 OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密 B.数字签名 C.访问控制 D.路由控制
解释:数字签名可以提供抗抵赖、鉴别和完整性。
22. 某公司已有漏洞扫描和入侵检测系统(IntrusionDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先 考虑的是:
A.选购当前技术最先进的防火墙即可 C.任意选购一款价格合适的防火墙产品
B.选购任意一款品牌防火墙 D.选购一款同已有安全产品联动的防火墙
解释:在技术条件允许情况下,可以实现 IDS 和FW 的联动。
23. 在 OSI 参考模型中有 7 个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、 数据完整性服务?
A.网络层 B.表示层 C.会话层 D.物理层
解释:网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。
24. 某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在 系统上执行,该设计是遵循了软件安全哪项原则
A.最小权限 B.权限分离 C.不信任 D.纵深防御
解释:权限分离是将一个较大的权限分离为多个子权限组合操作来实现。
25. 以下关于互联网协议安全(Internet Protocol Security,IPSec)协议说法错误的是:
A.在传送模式中,保护的是 IP 负载。
B.验证头协议(Authentication Header,AH)和 IP 封装安全载荷协议(Encapsulating Security Payload,ESP)都能以 传输模式和隧道模式工作。
C.在隧道模式中,保护的是整个互联网协议 IP 包,包括 IP 头。
D.IPSec仅能保证传输数据的可认证性和保密性。
解释:IPSEC 可以提供身份鉴别、保密性、完整性、抗抵赖、访问控制服务。
26. 某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE 是微软 SDL 中提出的 威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spofing是 STRIDE 中欺骗类的威胁,以下威 胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度 B.网站使用http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等 C.网站使用http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改
用户订单等信息
解释:A 属于可用性;B 保密性;C 属于完整性。
27. 以下关于 PGP(Pretty Good Privacy)软件叙述错误的是:
A.PGP 可以实现对邮件的加密、签名和认证
B.PGP 可以实现数据压缩
解释:SHA 不提供加密,SHA 是摘要算法提供数据完整性校验。
C.PGP 可以对邮件进行分段和重组
D.PGP 采用 SHA 算法加密邮件
28. 入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与 IDS 有着许多不同点,请指出下列 哪一项描述不符合 IPS的特点?
A.串接到网络线路中
C.有可能造成单点故障
B.对异常的进出流量可以直接进行阻断
D.不会影响网络性能
解释:IPS 在串联情况下,会影响网络性能。
29. 相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?
A.NTFS 使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题,而引起操作失败后,系统 能利用日志文件重做或恢复未成功的操作
B.NTFS 的分区上,可以为每个文件或文件夹设置单独的许可权限
C.对于大磁盘,NTFS 文件系统比 FAT 有更高的磁盘利用率
D.相比 FAT 文件系统,NTFS 文件系统能有效的兼容 linux 下 EXT2 文件格式
解释:NTFS 不能兼容 EXT 文件系统。
30. 某公司系统管理员最近正在部署一台 Web 服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理 员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
A.网络中单独部署 syslog服务器,将 Web 服务器的日志自动发送并存储到该 syslog 日志服务器中
B.严格设置Web 日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间
解释:在多重备份存储情况下,可以防护日志被篡改的攻击 (前提非实时同步)。
31. 关于 linux 下的用户和组,以下描述不正确的是 。
A.在 linux 中,每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C. 用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限 解释:一个用户可以属于多个组。
32. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区 C,所有数据和操作系统都存放在 C 盘
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator 改名,降低口令暴力破解攻击的发生可能 解释:操作系统和应用安全装应分开不同磁盘部署。
33. 在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?
A.粒度越小 B.约束越细致 C.范围越大 D.约束范围大
解释:数据粒度越细则授权策略越灵活便利。
34. 下列哪一些对信息安全漏洞的描述是错误的?
A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如 TOE 中、过程中等)。
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和 损失。
D.漏洞都是人为故意引入的一种信息系统的弱点 解释:漏洞是人为故意或非故意引入的弱点。
35. 账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS) B.病毒传染
C. 口令暴力破解 D.缓冲区溢出攻击 解释:账号锁定是为了解决暴力破解攻击的。
36. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP 协议是一个无状态的协议 C.ARP 缓存是动态的,可被改写
B.为提高效率,ARP 信息在系统中会缓存 D.ARP 协议是用于寻址的一个重要协议
解释:D 不是导致欺骗的根源。
37. 张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消 息。该攻击行为属于以下哪类攻击?
A. 口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击 解释:D 属于社会工程学攻击。
38. 关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
解释:设计阶段是发现和改正问题的最佳阶段。
39. 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中,规定了软件开发过程中的核心业务功能,下列 哪个选项不属于核心业务功能:
A.治理,主要是管理软件开发的过程和活动
B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程与活动
D. 购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 解释:SAMM 模型四个部分是治理、构造、验证和部署。
40. 从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转 换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留 的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的 途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
解释:SSE-CMM 是面向工程过程质量控制的一套方法,CC 标准面向开发、评估、交付的标准。
41. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
A.BP 是基于最新技术而制定的安全参数基本配置
B.大部分 BP 是没有经过测试的
C. 一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项 BP 可以和其他 BP 有重叠
解释:A 错误,BP 是基于最佳的工程过程实践;B 错误,BP 是经过测试的;D 错误,一项 BP 和其他的 BP 是不重复。
42. 以下哪一种判断信息系统是否安全的方式是最合理的?
A.是否己经通过部署安全控制措施消灭了风险 C.是否建立了具有自适应能力的信息安全模型
B.是否可以抵抗大部分风险
D.是否已经将风险控制在可接受的范围内
解释:判断风险控制的标准是风险是否控制在接受范围内。
43. 以下关于信息安全法治建设的意义,说法错误的是:
A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
解释:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。
44. 小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房 的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,
请问小张最后得到的年度预期损失为多少:
A.24 万 B.0.09 万 C.37.5 万 D.9 万
解释:计算公式为 100 万*24%* (3/8) =9 万
45. 2005 年 4 月 1 日正式施行的《 电子签名法》,被称为“***首部真正意义上的信息化法律”,自此电子签名与传统手写 签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:
A. 电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
B. 电子签名适用于民事活动中的合同或者其他文件、单证等文书
C. 电子签名需要第三方认证的, 由依法设立的电子认证服务提供者提供认证服务
D. 电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有 解释: 电子签名不可以与认证服务提供者共有。
46. 风险管理的监控与审查不包含:
A.过程质量管理 C.跟踪系统自身或所处环境的变化
B.成本效益管理 D.协调内外部组织机构风险管理活动
解释:D 答案属于沟通咨询工作,ABC 属于风险管理的监控审查工作。风险管理过程包括背景建立、风险评估、风险处 理、批准监督,以及沟通咨询和监控审查。
47. 信息安全等级保护要求中,第三级适用的正确的是:
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、 社会秩序、经济建设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国 家安全、社会秩序、经济建设和公共利益造成一般损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩 序、经济建设和公共利益造成严重损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对 国家安全、社会秩序,经济建设和公共利益造成特别严重损害
解释:定级原理 122-234-345,题目中B 为等级保护三级,该考点为等级保护定级指南。
A 一级,B 三级,C 四级,D 五级。
48. 下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:
A.设置网络连接时限 C.记录并分析用户和管理员操作日志
B.记录并分析系统错误日志 D.启用时钟同步
解释:A 属于防护措施;BCD 属于检测措施,可以用来检测未经授权的信息处理活动。
49. 有关危害国家秘密安全的行为的法律责任,正确的是:
A.严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.承担了刑事责任,无需再承担行政责任和/或其他处分 解释:略
50. 以下对于信息安全事件理解错误的是:
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内 发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D. 通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生 解释:安全事件无法杜绝。
51. 假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备:
A.是多余的,因为它们完成了同样的功能,但要求更多的开销
B.是必须的,可以为预防控制的功效提供检测
C.是可选的,可以实现深度防御
D.在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已经足够 解释:略
52. 关于我国加强信息安全保障工作的主要原则,以下说法错误的是:
A.立足国情,以我为主,坚持技术与管理并重
B.正确处理安全和发展的关系,以安全保发展,在发展中求安全
C.统筹规划,突出重点,强化基础工作
D.全面提高信息安全防护能力,保护公众利益,维护国家安全
解释:D 描述的是信息安全保障工作目标;ABC 描述的是信息安全保障的原则。
53. 以下哪一项不是信息安全管理工作必须遵循的原则?
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C. 由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 解释:安全措施投入应越早则成本越低,C 答案则成本会上升。
54. 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) 信息系统生命周期各阶段的风险评估描述不正确的是: A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求
C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安 全功能进行验证
D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运 行的信息系统、资产、脆弱性等各方面
解释:来源于《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),原文描述 D 为“是一种较全面的风险评 估”。
55. 对信息安全风险评估要素理解正确的是:
A. 资产识别的粒度随着评估范围、评估目的的不同而不同,可以是硬件设备,也可以是业务系统,也可以是组织机构
B.应针对构成信息系统的每个资产做风险评价
C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
解释:B 错误,应该是抽样评估;C 错误,应该其描述的是差距分析;D 错误,应该是威胁包括人为威胁和环境威胁。
56. 以下哪些是需要在信息安全策略中进行描述的:
A.组织信息系统安全架构 C.组织信息安全技术参数
B. 信息安全工作的基本原则 D.组织信息安全实施手段 解释:安全策略是宏观的原则性要求,不包括具体的架构、参数和实施手段。
57. 根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:
A.信息安全风险评估分自评估、检查评估两形式。应以检查评估为主, 自评估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展
C.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导 解释:信息安全风险评估应以自评估 (自查) 为主。
58. 下面的角色对应的信息安全职责不合理的是:
A.高级管理层——最终责任
B. 信息安全部门主管——提供各种信息安全工作必须的资源
C.系统的普通使用者——遵守日常操作规范
D.审计人员——检查安全策略是否被遵从
解释:通常由管理层提供各种信息安全工作必须的资源。
59. 自 2004 年 1 月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调
一致后由该组织申报。
A.全国通信标准化技术委员会(TC485)
C.***通信标准化协会(CCSA)
B.全国信息安全标准化技术委员会(TC260)
D.网络与信息安全技术工作委员会
解释:答案为 B。
60. 风险计算原理可以用下面的范式形式化地加以说明:风险值=R (A,T,V)=R(L(T,V),F(Ia,Va))以下关于上式各项说 明错误的是:
A.R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B.L 表示威胁利资产脆弱性导致安全事件的可能性
C.F 表示安全事件发生后造成的损失
D.Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度
解释:Ia 资产 A 的价值;Va 是资产 A 的脆弱性严重程度。
61. 以下哪一项在防止数据介质被滥用时是不推荐使用的方法:
A.禁用主机的 CD 驱动、USB 接口等 I/O 设备
C.将不再使用的纸质文件用碎纸机粉碎
B.对不再使用的硬盘进行严格的数据清除
D.用快速格式化删除存储介质中的保密文件
解释:快速格式化删除存储介质中的保密文件不能防止信息泄露。
62. 在进行应用系统的测试时,应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据,如果需要使用时, 以下哪一项不是必须做的:
A.测试系统应使用不低于生产系统的访问控制措施 C.在测试完成后立即清除测试系统中的所有敏感数据
B.为测试系统中的数据部署完善的备份与恢复措施 D.部署审计措施,记录生产数据的拷贝和使用
解释: 由于备份会造成个人稳私和其它敏感信息的扩散。
63. 为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。
A.统一而精确地的时间 C.包括访问源、访问目标和访问活动等重要信息
B.全面覆盖系统资产 D. 可以让系统的所有用户方便的读取
解释: 日志只有授权用户可以读取。
64. 关于信息安全事件管理和应急响应,以下说法错误的是:
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
C.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别:特别重大事件( Ⅰ级)、重大事件(Ⅱ级)、 较大事件(Ⅲ级)和一般事件(Ⅳ级)
解释:应急响应的六个阶段是准备、检测、遏制、根除、恢复、跟踪总结。
65. 以下哪一项不属于信息安全工程监理模型的组成部分:
A.监理咨询支撑要素 B.控制和管理手段
C.监理咨询阶段过程 D.监理组织安全实施
解释:监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。
66. 以下关于灾难恢复和数据备份的理解,说法正确的是:
A.增量备份是备份从上次完全备份后更新的全部数据文件
B.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 7 个等级 C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
D.如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了
解释:A 错误,因为差分备份是上次全备后的更新数据;增量备份是任何上一次备份后的更新数据。全备份周期最长、 次之差分备份,更新周期最短是增量备份。B 错误,我国灾备能力级别一共分为 6 级。D 是明显的错误。
67. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择 M 公司为承建单位,并选 择了H 监理公司承担该项目的全程监理工作, 目前,各个应用系统均已完成开发,M 公司已经提交了验收申请,监理公 司需要对 A 公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:
A.项目计划书 B.质量控制计划 C.评审报告 D.需求说明书
解释:ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。
68. 在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
A.审核实施投资计划 B.审核实施进度计划 C.审核工程实施人员 D. 企业资质
解释:监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理。
69. 以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是:
A.DAS 能够在服务器物理位置比较分散的情况下实现大容量存储.是一种常用的数据存储方法
B.DAS 实现了操作系统与数据的分离,存取性能较高并且实施简单
C.DAS 的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取
D.较网络附加存储(Network Attached Storage,NAS),DAS节省硬盘空间,数据集中,便于对数据进行管理和备份 解释:NAS 优点数据集中、节约空间,缺点是占用网络带宽、存储中心存在单点故障。
DAS 优点数据分散、风险分散,缺点是存储空间利用率低、不便于统一管理。SAN 基于 NAS 的进一步实现,基于高速网 络、多备份中心来进行实现。
70. 某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为了找到根本愿因, 他应该首先检查:
A.灾难恢复站点的错误事件报告
B.灾难恢复测试计划
解释:答案为 A。
C.灾难恢复计划(DRP)
D.主站点和灾难恢复站点的配置文件
71. 以下对异地备份中心的理解最准确的是:
A.与生产中心不在同一城市
C.与生产中心距离 200 公里以上
B.与生产中心距离 100 公里以上
D.与生产中心面临相同区域性风险的机率很小
解释:答案为 D,备份中心的综合风险小于主中心。
72. 作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是:
1.标识关键的业务过程;2.开发恢复优先级;3.标识关键的 IT 资源;4.表示中断影响和允许的中断时间
A. 1 -3-4-2 B. 1 -3-2-4 C.1-2-3-4 D. 1 -4-3-2 解释:根据 BCM 的分析过程顺序为 A。
73. 有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是:
A.SSE-CMM 要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B.SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
C.基手 SSE-CMM 的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
D. SSE-CMM 覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动 解释:SSE-CMM 是系统工程,不可以独立实施。
74. 下面关于信息系统安全保障的说法不正确的是:
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B. 信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命
解释:信息系统安全保障要素为技术工程管理和人员四个领域。信息系统安全保障的安全特征是完整、保密和可用性。
75. 在使用系统安全工程-能力成熟度模型(SSECMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
A.测量单位是基本实施(Base Practices,BP) B.测量单位是通用实践(Generic Practices,GP) 解释:公共特征是衡量能力的标志。
C.测量单位是过程区域(Process Areas,PA)
D.测量单位是公共特征(Common Features,CF)
76. 下面关于信息系统安全保障模型的说法不正确的是:
A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》 (GB/T20274.1-2006)中的信息系统安全保障 模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要 求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力 和培训方面不需要投入
解释:单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。
77. 信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目的立项阶段,以下哪 一项不是必须进行的工作:
A.明确业务对信息安全的要求 C.论证安全要求是否正确完整
D. 通过测试证明系统的功能和性能可以满足安全要求
解释:D 属于项目的验收阶段,不属于 IT 项目的立项阶段,题干属于立项阶段。
78. 关于信息安全保障技术框架(IATF),以下说法不正确的是:
A. 分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
B.IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
D.IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制
解释:IATF 是在网络的各位置实现所需的安全机制。
79. 某单位开发一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析,模糊测试等软件
9 / 12
测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试 相比源代码测试,模糊测试的优势给领导做决策,以下哪条是渗透性的优势?
A.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
B.渗透测试是用软件代替人工的一种测试方法。因此测试效率更高
C.渗透测试以攻击者思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
解释:C 是渗透测试的优点。
80. 以下关于软件安全测试说法正确的是 ()
A.软件安全测试就是黑盒测试
B.FUZZ模糊测试是经常采用的安全测试方法之一
解释:B 是正确答案。
C.软件安全测试关注的是软件的功能
D.软件安全测试可以发现软件中产生的所有安全问题
81. 信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:
A.信息系统的技术架构安全问题 C.信息系统生命周期的过程安全问题
B.信息系统组成部门的组件安全问题 D.信息系统运行维护的安全管理问题
解释:正确的答案为 C。
82. 有关系统安全工程-能力成熟度模型 (SSE-CMM)中基本实施 (Base Practice) 正确的理解是:
A.BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B.BP 不是根据广泛的现有资料,实施和专家意见综合得出的
C.BP 不代表信息安全工程领域的最佳实践
D.BP 不是过程区域 (Process Areas,PA )的强制项
解释:BP 属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛 的现有资料,实施和专家意见综合得出的;代表着信息安全工程领域的最佳实践;并且是过程区域 (Process Areas,PA ) 的强制项。
83. 层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系,也 ISMS 建设 的成果之一,通常将 ISMS 的文档结构规划为 4 层金字塔结构,那么,以下选项 () 应放入到一级文件中.
A.《风险评估报告》 B.《人力资源安全管理规定》 C.《ISMS 内部审核计划》 D.《单位信息安全方针》
解释:正确答案为 D。一级文件中一般为安全方针、策略文件;二级文件中一般为管理规范制度;三级文件一般为操作 手册和流程;四级文件一般表单和管理记录。
84. 信息安全管理体系 (information Security Management System.简称 ISMS) 的实施和运行 ISMS 阶段,是 ISMS 过程模 型的实施阶段 (Do),下面给出了一些备①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和 意识教育计划⑤管理 ISMS 的运行⑥管理 ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评 估选的活动,选项 () 描述了在此阶段组织应进行的活动。
A.①②③④⑤⑥ B.①②③④⑤⑥⑦ C.①②③④⑤⑥⑦⑧ D.①②③④⑤⑥⑦⑧⑨
解释:管理体系包括 PDCA (Plan-Do-Check-Act) 四个阶段,题干中 1-7 的工作都属于管理体系的实施阶段 (D-Do), 而 8 和 9 属于检查阶段 (C-Check)。
85. 在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是 () A.资产的价值指采购费用 B.资产的价值指维护费用 C.资产的价值与其重要性密切相关 D.资产的价值无法估计 解释:答案为 C。
86. 某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正 确的是 ()
A.软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决 90%以上的安全问题。
B.应当尽早在软件开发需求和设计阶段增加一定安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。 C.和传统的软件开发阶段相比,微软提出的安全开发生命周期 (SDL)最大特点是增加了一个专门的安全编码阶段。
D.软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组 织第三方进行安全性测试。
解释:答案为 B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点是增加了安全培训和应急响 应。D-第三方测试是必要的软件安全测试类型。
87. 某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份 存放在 WEB 目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,一下那种测试方式是最佳的 测试方法。
A.模糊测试 B.源代码测试 C.渗透测试 D.软件功能测试
解释:答案为 C。
88. 下面哪项属于软件开发安全方面的问题 ()
A.软件部署时所需选用服务性能不高,导致软件执行效率低。
B.应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
解释:C 有关,ABD 与软件安全开发无关。
89. 为增强 Web 应用程序的安全性,某软件开发经理决定加强 Web 软件安全开发培训,下面哪项内容不在考虑范围内 () A.关于网站身份签别技术方面安全知识的培训 C.针对 SQL 注入漏洞的安全编程培训
B.针对 OpenSSL 心脏出血漏洞方面安全知识的培训 D.关于 ARM 系统漏洞挖掘方面安全知识的培训
解释:D 属于 ARM 系统,不属于 WEB 安全领域。
90. 以下关于 https 协议 http 协议相比的优势说明,那个是正确的:
A.Https协议对传输的数据进行加密,可以避免嗅探等攻击行为
B.Https 使用的端口http 不同,让攻击者不容易找到端口,具有较高的安全性
C.Https 协议是 http 协议的补充,不能独立运行,因此需要更高的系统性能
D.Https 协议使用了挑战机制,在会话过程中不传输用户名和密码,因此具有较高的
解释:HTTPS 具有数据加密机制。
91. 不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评 估方法。下面的描述中错误的是 ()。
A.定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量 B.定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应用定性风险分析 C.定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技 能密切相关
D.定性风险分析更具主观性,而定量风险分析更具客观性
解释:实际工作中根据情况选择定量、定性或定量与定性相结合。
92. 小李去参加单位组织的信息安全管理体系 (Information Security Management System.ISMS) 的理解画了一下一张图(图 中包括了规划建立、实施运行、( )、保持和改进),但是他还存在一个空白处未填写,请帮他选择一个最合适的选项 ()。 A.监控和反馈 ISMS B.批准和监督 ISMS C.监视和评审 ISMS D.沟通和咨询 ISMS
解释:管理体系 PDCA 分别指的阶段是:P-规划建立、D-实施运行、C-监视和评审、A-保持和改进。
93. 为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可 以按照等级保护工作的工作阶段大致分类。下面四个标准中,() 规定了等级保护定级阶段的依据、对象、流程、方法 及等级变更等内容。
A.GB/T 20271-2006《信息系统通用安全技术要求》
B.GB/T22240-2008《信息系统安全保护等级定级指南》
C.GB/T 25070-2010《信息系统等级保护安全设计技术要求》
D.GB/T 20269-2006《信息系统安全管理要求》
解释:答案为 B。
94. 某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确 的是:
A.所选择的特征 (指纹) 便于收集、测量和比较
B.每个人所拥有的指纹都是独一无二的
C.指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成
解释:指纹识别系统存在安全威胁问题,同时存在着错误拒绝率和错误接受率的问题。
95. 下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则? A.《关于加强政府信息系统安全和保密管理工作的通知》
B.《***人民共和国计算机信息系统安全保护条例》
C.《国家信息化领导小组关于加强信息安全保障工作的意见》
D.《关于开展信息安全风险评估工作的意见》
解释:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办 2003 年 27 号文件) 规定了信息安全工作的原则, 例如立足国情、以我为主、坚持技管并重等。
96. 在以下标准中,属于推荐性国家标准的是?
A.GB/TXXXX.X-200X B.GB XXXX-200X
C.DBXX/T XXX-200X D.GB/Z XXX-XXX-200X
解释:A 为国标推荐标准;B 为国标强制标准;C 为地方标准;D 为国标指导标准。
97. 微软 SDL 将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于 () 的安全活动
A.要求阶段 B.设计阶段 C.实施阶段 D.验证阶段
解释:弃用不安全的函数为编码实施阶段。
98. 由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中, 对于解决问题没有直接帮助的是 ()
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
解释:统一采用Windows8 系统对软件安全无帮助。
99. 关于源代码审核,描述正确的是 ()
A.源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业、开源工具
C.源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断 D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
解释:A 错误,因为 IATF 不用于代码审核;C 错误,因为人工和攻击相结合;D 错误,安全测试由需求确定。
100. 微软提出了 STRIDE 模型,其中 R 是 Repudiation(抵赖)的缩写,此项错误的是 () A.某用户在登录系统并下载数据后,却声称“我没有下载过数据"软件 R 威胁
B.某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于 R 威胁。
C.对于 R 威胁,可以选择使用如强认证、数字签名、安全审计等技术
D.对于 R 威胁,可以选择使用如隐私保护、过滤、流量控制等技术
解释:R-抵赖是无法通过过滤、流控和隐私保护实现的,R-抵赖的实现方式包括数字签名、安全审计、第三方公证。
信息安全专业人员知识测试试题 (二)
1. 我国信息安全保障工作先后经历启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各 阶段说法不正确的是:
A. 2001 国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动
B. 2003 年 7 月,国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发 27 号文),明确了“积 极防御、综合防范“的国家信息安全保障方针
C.2003 年中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段
D .在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息安全等级保护和风险评估取得 了新进展。
解释:2006 年进入到深化落实阶段。
2. 金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的习惯:
A使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级 B 为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
C 在 IE 的配置中,设置只能下载和安装经过签名的,安全的 ActiveX 控件
D 在使用网络浏览器时,设置不在计算机中保留网络历史纪录和表单数据
解释:A 为正确答案。
3. 我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于安全保障建设主要工作 内容说法不正确的是:
A. 建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B. 建设信息安全基础设施,提供国家信息安全保障能力支撑
C.建立信息安全技术体系,实现国家信息化发展的自主创新
D. 建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养 解释:实现自主创新在过去的的保障中为自主可控。
4. 某银行信息系统为了满足业务的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要 考虑的主要因素
A. 信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准
B. 信息系统所承载该银行业务正常运行的安全需求
C. 消除或降低该银行信息系统面临的所有安全风险
D. 该银行整体安全策略
解释:无法消除或降低该银行信息系统面临的所有安全风险。
5. 信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评 估,以下关于信息安全测评说法不正确的是:
A. 信息产品安全评估是测评机构的产品的安全性做出的独立评价,增强用户对已评估产品安全的信任 B.目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
C. 信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量 和评价。
D. 信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害 程度,提出游针对性的安全防护策略和整改措施
解释:测评包括产品测评、风险评估、保障测评和等级保护测评。
6. 美国的关键信息基础设施 (Critical Information Infrastructure,CII) 包括商用核设施、政策设施、交通系统、饮用水和 废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息 安全,其主要原因不包括:
A. 这些行业都关系到国计民生,对经济运行和国家安全影响深远
B. 这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出
D. 这些行业发生信息安全事件,会造成广泛而严重的损失。 解释:从题目中不能反映 C 的结论。
7. 在设计信息系统安全保障方案时,以下哪个做法是错误的: A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案障碍
1 / 13
解释:设计信息系统安全保障方案应采用合适的技术。
8. 分组密码算法是一类十分重要的密码算法,下面描述中,错误的是 ()
A.分组密码算法要求输入明文按组分成固定长度的块 B.分组密码的算法每次计算得到固定长度的密文输出块
C.分组密码算法也称作序列密码算法 D.常见的 DES 、IDEA 算法都属于分组密码算法
解释:分组密码算法和序列算法是两种算法。
9. 密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。 下面描述中,错误的是 ()
A.在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步 骤可以不明确处理方式。
B.密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且 按步骤执行。
C.根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可能是敌人和互相完全不信任 的人。
D.密码协议(Crypto graphic protocol) ,有时也称安全协议(security protocol), 是使用密码学完成某项特定的任务并满足 安全需求的协议,其末的是提供安全服务。
解释:密码协议应限制和框住的执行步骤,有些复杂的步骤必须要明确处理方式。
10. 部署互联网协议安全虚拟专用网 (Internet protocol Security Virtual Private Network,IPsec VPN) 时,以下说法正确的是:
A. 配置 MD5 安全算法可以提供可靠的数据加密
B.配置 AES 算法可以提供可靠的数据完整性验证 C.部署 IPsecVPN网络时,需要考虑 IP地址的规划,尽量在分支节点使用可以聚合的 IP 地址段,来减少 IPsec 安 全关联 ( SecurityAuthentication,SA) 资源的消耗
D.报文验证头协议 (Authentication Header,AH) 可以提供数据机密性
解释:A 错误,MD5 提供完整性;B 错误,AES 提供的保密性;D 错误,AH 协议提供完整性、验证及抗重放攻击。
11. 虚拟专用网络 (VPN) 通常是指在公共网路中利用隧道技术,建立一个临时的,安全的网络。这里的字母 P 的正确 解释是 ()
A.Special-purpose. 特定、专用用途的 C.Private私有的、专有的
B.Proprietary 专有的、专卖的 D.Specific 特种的、具体的
解释:C 为正确答案。
12. 以下 Windows 系统的账号存储管理机制 SAM (Security Accounts Manager) 的说法哪个是正确的: A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据 administrator 账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据只有 System 账号才能访问,具有较高的安全性
解释:D 为正确答案。
13. 某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备 ()
A.安全路由器
B. 网络审计系统
解释:网页防篡改系统用来防范 WEB 篡改。
14. 关于恶意代码,以下说法错误的是:
A.从传播范围来看,恶意代码呈现多平台传播的特征。
C. 网页防篡改系统
D.虚拟专用网 (Virtual Private Network ,VPN) 系统
B.按照运行平台,恶意代码可以分为网络传播型病毒、文件传播型病毒。
C.不感染的依附性恶意代码无法单独执行
D.为了对目标系统实施攻击和破坏,传播途径是恶意代码赖以生存和繁殖的基本条件
解释:按照运行平台,恶意代码可以分为 Windows 平台、Linux 平台、工业控制系统等。
15. 某单位对其主网站的一天访问流量监测图,图显示该网站在当天 17:00 到 20:00 间受到了攻击,则从数据分析,这 种攻击类型最可能属于下面什么攻击 ()。
A.跨站脚本 (Cross Site Scripting ,XSS) 攻击 B.TCP 会话劫持 (TCP Hijack) 攻击
C.IP 欺骗攻击
D.拒绝服务 (DenialofService,DoS) 攻击
解释:答案为 D。
16. 当前,应用软件安全已经日益引起人们的重视,每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选 项中,哪个与应用软件漏洞成因无关:
A.传统的软件开发工程未能充分考虑安全因素
B.开发人员对信息安全知识掌握不足
C.相比操作系统而言,应用软件编码所采用的高级语言更容易出现漏洞
D.应用软件的功能越来越多,软件越来越复杂,更容易出现漏洞
解释:无论高级和低级语言都存在漏洞。
17. 下面哪个模型和软件安全开发无关 () ?
A.微软提出的“安全开发生命周期 (Security Development Lifecycle,SDL) ”
B.Gray McGraw 等提出的“使安全成为软件开发必须的部分 (Building Security IN ,BSI) ”
C.OWASP 维护的“软件保证成熟度模型 (Software Assurance Maturity Mode,SAMM) ”
D.“信息安全保障技术框架 (Information Assurance Technical Framework ,IATF) ”
解释:D 与软件安全开发无关,ABC 均是软件安全开发模型。
18. 某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是: A.模拟正常用户输入行为,生成大量数据包作为测试用例
B.数据处理点、数据通道的入口点和可信边界点往往不是测试对象
C.监测和记录输入数据后程序正常运行的情况
D.深入分析测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
解释:A 错,模糊测试是模拟异常输入;B 错,入口与边界点是测试对象;C 模糊测试记录和检测异常运行情况。
19. 以下关于模糊测试过程的说法正确的是:
A.模糊测试的效果与覆盖能力,与输入样本选择不相关
B.为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行 后续的测试
C.通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析 其危害性、影响范围和修复建议
D.对于可能产生的大量异常报告,需要人工全部分析异常报告
解释:C 为模糊测试的涵义解释。
20. 关于 WI-FI 联盟提出的安全协议 WPA 和 WPA2 的区别。下面描述正确的是 () A.WPA 是有线局域安全协议,而 WPA2 是无线局域网协议
B.WPA 是适用于***的无线局域安全协议,WPA2 是使用于全世界的无线局域网协议
C.WPA 没有使用密码算法对接入进行认证,而 WPA2 使用了密码算法对接入进行认证
D.WPA 是依照 802.11i 标准草案制定的,而 WPA2 是按照 802.11i 正式标准制定的
解释:答案为 D。
21. 防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是
A. 既能物理隔离,又能逻辑隔离
B.能物理隔离,但不能逻辑隔离
解释:答案为 C。
C.不能物理隔离,但是能逻辑隔离
D.不能物理隔离,也不能逻辑隔离
22. 异常入侵检测是入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用, 从而检测出入侵行为。下面说法错误的是
A.在异常入侵检测中,观察的不是已知的入侵行为,而是系统运行过程中的异常现象
B.实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生
C.异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警 D.异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为
解释:实施误用入侵检测 (或特征检测),是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有 攻击发生。
23. S 公司在全国有 20 个分支机构,总部由 10 台服务器、200 个用户终端,每个分支机构都有一台服务器、100 个左右 用户终端,通过专网进行互联互通。公司招标的网络设计方案中,四家集成商给出了各自的 IP 地址规划和分配的方 法,作为评标专家,请给 5 公司选出设计最合理的一个:
A.总部使用服务器、用户终端统一使用 10.0. 1.x 、各分支机构服务器和用户终端使用 192. 168.2.x--- 192. 168.20.x B.总部服务器使用 10.0. 1. 1— 11、用户终端使用 10.0. 1. 12—212 ,分支机构 IP 地址随意确定即可
C.总部服务器使用 10.0. 1.x 、用户端根据部门划分使用 10.0.2.x ,每个分支机构分配两个 A 类地址段,一个用做服
务器地址段、另外一个做用户终端地址段
D. 因为通过互联网连接,访问的是互联网地址, 内部地址经 NAT 映射,因此 IP 地址无需特别规划,各机构自行决 定即可。
解释:答案为 C ,考核的是 IP 地址规划的体系化。
24. 私有 IP 地址是一段保留的IP 地址。只适用在局域网中,无法在 Internet 上使用。私有地址,下面描述正确的是 ()。 A.A 类和 B 类地址中没有私有地址,C 类地址中可以设置私有地址
B.A 类地址中没有私有地址,B 类 和 C 类地址中可以设置私有地址
C.A 类、B 类和 C 类地址中都可以设置私有地址
D.A 类、B 类和 C 类地址中都没有私有地址
解释:答案为 C。
25. 口令破解是针对系统进行攻击的常用方法,windows 系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁 定策略和密码策略,关于这两个策略说明错误的是
A.密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控
B.密码策略对系统中所有的用户都有效
C.账户锁定策略的主要作用是应对口令暴力破解攻击,能有效地保护所有系统用户应对口令暴力破解攻击
D.账户锁定策略只适用于普通用户,无法保护管理员 administrator账户应对口令暴力破解攻击
解释:.账户锁定策略也适用于 administrator 账户。
26. windows 文件系统权限管理使用访问控制列表 (Access Control List.ACL) 机制,以下哪个说法是错误的:
A.安装 Windows 系统时要确保文件格式适用的是 NTFS. 因为 Windows 的 ACL 机制需要 NTFS 文件格式的支持 B. 由于 Windows 操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的 便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C.Windows 的 ACL 机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数 据库中的
D. 由于 ACL 具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限
解释:Windows 的 ACL 机制中,文件和文件夹的权限是客体关联的,即文件夹和文件的访问权限信息是写在客体文 件和文件夹属性数据库中。
27. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以 下账户锁定策略如下:
账户锁定阀值 3 次无效登陆;
复位账户锁定计数器 5 分钟;
账户锁定时间 10 分钟;
以下关于以上策略设置后的说法哪个是正确的
A.设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B.如果正常用户部小心输错了 3 次密码,那么该账户就会被锁定 10 分钟,10 分钟内即使输入正确的密码,也无法登
录系统
C.如果正常用户不小心连续输入错误密码 3 次,那么该拥护帐号被锁定 5 分钟,5 分钟内即使交了正确的密码,也无 法登录系统
D.攻击者在进行口令破解时,只要连续输错 3 次密码,该账户就被锁定 10 分钟,而正常拥护登陆不受影响 解释:答案为 B ,全部解释为 5 分钟计数器时间内错误 3 次则锁定 10 分钟。
28. 加密文件系统 (Encrypting File System, EFS) 是 Windows 操作系统的一个组件,以下说法错误的是 () A.EFS 采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B.EFS 以公钥加密为基础,并利用了 widows 系统中的 CryptoAPI 体系结构
C.EFS 加密系统适用于 NTFS 文件系统合 FAT32 文件系统 (Windows 环境下)
D.EFS 加密过程对用户透明,EFS 加密的用户验证过程是在登陆 windows 时进行的
解释:答案为 C ,FAT32 不支持 EFS 加密。
29. 关于数据库恢复技术,下列说法不正确的是:
A.数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗 余数据来进行修复
B.数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用 的基本技术
C. 日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进 行介质故障恢复
D.计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的循环,将数据库恢复到 故障发生前的完整状态,这一对事务的操作称为提交
解释:利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前完整状态,这一对事务的操作称为回滚。
30. 数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策 略理解不正确的是:
A.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成 用户的工作
B.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息 C.粒度最小的策略,将数据库中数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度 D.按内容存取控制策略,不同权限的用户访问数据库的不同部分
解释:数据库安全策略应为最小共享。
31. 数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP 协议中,数据封装的顺序是:
A.传输层、网络接口层、互联网络层
B.传输层、互联网络层、网络接口层
解释:答案为 B。
C.互联网络层、传输层、网络接口层
D.互联网络层、网络接口层、传输层
32. 以下关于 SMTP 和 POP3 协议的说法哪个是错误的
A.SMTP 和 POP3 协议是一种基于 ASCII 编码的请求/响应模式的协议
B.SMTP 和 POP3 协议铭文传输数据,因此存在数据泄露的可能
C SMTP 和 POP3 协议缺乏严格的用户认证,因此导致了垃圾邮件问题
D.SMTP 和 POP3 协议由于协议简单,易用性更高,更容易实现远程管理邮件
解释:基于 HTTP 协议或 C/S 客户端实现邮件的远程管理。
33. 安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension, S/MIME )是指一种保障邮件安全的技术,下 面描述错误的是 ()
A.S/MIME 采用了非对称密码学机制 C.S/MIME 采用了邮件防火墙技术
B.S/MIME 支持数字证书 D.S/MIME 支持用户身份认证和邮件加密
解释:S/MIME 是邮件安全协议,不是防火墙技术。
34. 应用安全,一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是 ()
A.身份鉴别,应用系统应对登陆的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问
C.剩余信息保护,应用系统应加强硬盘、 内存或缓冲区中剩余信息的保护,防止存储在硬盘、 内存或缓冲区的信息 被非授权的访问
D.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房 的装修等
解释:机房与设施安全属于物理安全,不属于应用安全。
35. A p a c h e H t t p S e r v e r (简称 A p a c h e ) 是一个开放源码的W E B服务运行平台,在使用过 程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下那种 措施 ()
A.安装后,修改访问控制配置文件
B.安装后,修改配置文件 Httpd.Conf 中的有关参数
C.安装后,删除A p a c h e H t t p S e r v e r源码
D.从正确的官方网站下载A p a c h e H t t p S e r v e r ,并安装使用
解释:答案为 B。
36. 下面信息安全漏洞理解错误的是:
A.讨论漏洞应该从生命周期的角度出发,信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均 有可能产生漏洞
B.信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段, 由于设计、开发等相关人员无 意中产生的缺陷所造成的
C.信息安全漏洞如果被恶意攻击者成功利用,可能会给信息产品和信息系统带来安全损害,甚至带来大的经济损失 D. 由于人类思维能力、计算机计算能力的局限性等因素,所以在信息产品和信息系统中产生新的漏洞是不可避免的 解释:安全漏洞可以有意产生,也会无意产生。
37. 下面对“零日 ( z e r o - d a y ) 漏洞”的理解中,正确的是 ()
A.指一个特定的漏洞,该漏洞每年 1 月 1 日零点发作,可以被攻击者用来远程攻击,获取主机权限
B.指一个特定的漏洞,特指在 2 0 1 0 年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什 尔核电站基础设施
C.指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在 1 天内文完成攻击,且成功达到攻击目标 D.指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、
还不存在安全补丁的漏洞都是零日漏洞
解释:D 是零日漏洞的解释。
38. 某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处的李强,我的邮箱密码忘记 了,现在打不开邮件,我着急收割邮件,麻烦你先帮我把密码改成 1 2 3 ,我收完邮件自己修改掉密码。热心的小张 很快的满足了来电者的要求,随后,李强发现邮箱系统登陆异常,请问下说法哪个是正确的
A.小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题
B.事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器
C.单位缺乏良好的密码修改操作流程或小张没按照操作流程工作
D.事件属于邮件系统故障,是偶然事件,应向单位领导申请邮件服务软件
解释:该题目考点为信息安全措施的操作安全,要求一切操作均有流程。
39. 某网站管理员小邓在流量监测中发现近期网站的入站 I CMP流量上升了 2 5 0 %,尽管网站没有发现任何的性能下 降或其他问题。但为了安全起见,他仍然向主管领导提出了应对策略,作为主管负责人,请选择有效的针对此问题的 应对措施:
A.在防火墙上设置策略,阻止所有的 I CMP流量进入 B.删除服务器上的p i n g . e x e程序
C.增加带宽以应对可能的拒绝服务攻击 D.增加网站服务器以应对即将来临的拒绝服务攻击
解释:A 是应对措施。
40. 下面四款安全测试软件中,主要用于 WEB 安全扫描的是 ()
A.CIsco Auditing Tools B.Acunetix Web VulnerabilityScanner C.NMAP D.ISS Database Scanner
解释:B 为 WEB 扫描工具。
41. 某单位计划在今年开发一套办公自动化 ( O A) 系统,将集团公司各地的机构通过互联网进行协同办公,在O A系统 的设计方案评审会上,提出了不少安全开发的建设,作为安全专家,请指出大家提的建议中不太合适的一条:
A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题 B. 要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
C.要求软件开发商使用J a v a而不是A S P作为开发语言,避免 S Q L注入漏洞
D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对数据进行校验 解释:SQL 注入与编码 SQL 语法应用和过滤有关,与开发语言不是必然关系。
42. 在软件保障成熟度模型 ( S AMM) 中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能 A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程和活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 解释: S AMM包括治理、构造、验证、部署。
43. 某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中, 正确的是 ()
A.软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决 9 0 % 以上的安全问题
B.应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的
代价少的多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段
D.软件的安全测试也很重要,考虑到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要 再组织第三方进行安全性测试
解释:正确答案为 B。
44. 下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的 ()
A.设计了三层W e b架构,但是软件存在 S Q L注入漏洞,导致被黑客攻击后能直接访问数据库 B.使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文 数据
解释:答案为 C。
45. 软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度( D e f e c t s / K L O C)来衡量软件的安全性, 假设某个软件共有 2 9 . 6 万行源代码,总共被检测出 1 4 5个缺陷,则可以计算出其软件缺陷密度值是
A. 0 . 0 0 0 4 9 B. 0 . 0 4 9 C. 0 . 4 9 D. 4 9
解释:千行代码缺陷率计算公式,145/(29.5*10)=0.49。
46. 某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部 服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分敏感信息泄露, 根据降低攻击面的原则,应采取以下哪项处理措施?
A. 由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B.为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险
C. 日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机不记录日志
D. 只允许特定 I P 地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
解释:D 的特定 I P地址从前置机提取降低了开放日志共享的攻击面。
47.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务 攻击的威胁,以下哪个不是需求考虑的攻击方式
A.攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环, C P U资源占用始终 1 0 0 % B.攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应 缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访 问
D.攻击者买通 I D C 人员,将某软件运行服务器的网线拔掉导致无法访问
解释:D 为社会工程学攻击。
48. 某网站为了开发的便利,使用 SA 链接数据库, 由于网站脚本中被发现存在 SQL 注入漏洞,导致攻击者利用内置存 储过程 XP.cmctstell 删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反 了以下哪项原则:
A.权限分离原则 B.最小特权原则 C.保护最薄弱环节的原则 D.纵深防御的原则
解释:SA 是数据库最大用户权限,违反了最小特权原则。
49. 微软提出了 STRIDE 模型,其中Repudation (抵赖) 的缩写,关于此项安全要求,下面描述错误的是 () A.某用户在登陆系统并下载数据后,却声称“我没有下载过数据” ,软件系统中的这种威胁就属于 R 威胁 B.解决 R 威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C.R 威胁是STRIDE 六种威胁中第三严重的威胁,比D 威胁和E 威胁的严重程度更高
D.解决 R 威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
解释:STRIDE 代表 6 种威胁的简称,无严重程度之分。S-欺骗,T-篡改,R-抵赖,I-信息泄露,D-拒绝服务,E-权 限提升 (攻击)。
50. 关于信息安全管理,下面理解片面的是 ()
A.信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障 B.信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的 C.信息安全建设中,技术是基础,管理是拔高,既有效的管理依赖于良好的技术基础
D.坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
解释:C 是片面的,应为技管并重。
51. 以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国 信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全 ()
A.信息安全管理体系 (ISMS) B.信息安全等级保护 C.NIST SP800 D.ISO 270000 系统
解释:信息安全等级保护制度重点保障基础信息网络和重要信息系统的安全。
52. 小明是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中, 某公司的技术经理让小王谈一谈信息安全风险管理中的背景建立的几本概念与认识,小明的主要观点包括:
(1) 背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理 项目的规划和准备;(2) 背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果 (3)背景建 立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析 (4. ) 背景建立的阶段性成果包括:风险管理计划 书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告
请问小明的论点中错误的是哪项:
A.第一个观点 B.第二个观点 C.第三个观点 D.第四个观点
解释:背景建立是根据政策、法律、标准、业务、系统、组织等现状来开展。
53. 降低风险 (或减低风险) 指通过对面的风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险的 措施 ()
A.减少威胁源,采用法律的手段制裁计算机的犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机
B.签订外包服务合同,将有计算难点,存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合
C.减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力
D.减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性 解释:B 属于转移风险。
54. 关于风险要素识别阶段工作内容叙述错误的是:
A.资产识别是指对需求保护的资产和系统等进行识别和分类
B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C.脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进 行评估
D.确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台 解释:安全措施既包括技术层面,也包括管理层面。
55. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评 估两种形式,该部门将有检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是
A.检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实 施抽样评估
B.检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C.检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D.检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
解释:检查评估由上级管理部门组织发起;本级单位发起的为自评估。
56. 规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,按照规范的风险评估实施流程,下面 哪个文档应当是风险要素识别阶段的输出成果 ()
A,《风险评估方案》 B.《需要保护的资产清单》 C.《风险计算报告》 D.《风险程度等级列表》
解释:风险要素包括资产、威胁、脆弱性、安全措施。
57. 在信息安全管理的实施过程中,管理者的作用于信息安全管理体系能否成功实施非常重要,但是一下选项中不属于管 理者应有职责的是 ()
A.制定并颁发信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求 B.确保组织的信息安全管理体系目标和相应的计划得以制定, 目标应明确、可度量,计划应具体、可事实
C. 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律 责任和持续改进的重要性
D.建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程、确保信息安全风险评估技术选择 合理、计算正确
解释:D 不属于管理者的职责。
58. 信息安全管理体系 (Information Security Management System ,ISMS) 的内部审核和管理审核是两项重要的管理活 动,关于这两者,下面描述的错误是
A. 内部审核和管理评审都很重要,都是促进 ISMS 持续改进的重要动力,也都应当按照一定的周期实施
B. 内部审核实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行 C. 内部审核实施主体组织内部的 ISMS 内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构 D.组织的信息安全方针、信息安全目标和有关 ISMS 文件等,在内部审核中作为审核标准使用,但在管理评审总, 这些文件时被审对象
解释:管理评审的实施主体由用户的管理者来进行选择。
59. 在风险管理中,残余风险是指实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是 () A.风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中 的一个重要过程
B.管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理 解在风险一旦变为现实后,组织能够且承担引发的后果
C.接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对 安全保护措施的选择要考虑到成本和技术等因素的限制
D.如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受 风险可能带来的结果。
解释:如果残余风险没有降低到可接受的级别,则会被动的选择接受残余风险,但需要对残余风险进行进一步的关 注、监测和跟踪。
60. 关于业务连续性计划 (BCP) 以下说法最恰当的是:
A.组织为避免所有业务功能因重大事件而中断,减少业务风此案而建立的一个控制过程。
B.组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。
C.组织为避免所有业务功能因各种事件而中断,减少业务风此案而建立的一个控制过程
D.组织为避免信息系统功能因各种事件而中断,减少信息系统风险建立的一个控制过程
解释:业务连续性计划 (BCP) 是解决关键业务不中断。
61. 在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源,找到并消除系统的脆弱性/漏洞、修 改安全策略,加强防范措施、格式化被感染而已程序的介质等,请问,按照应急响应方法,这些工作应处于以下哪 个阶段 ()
A.准备阶段 B.检测阶段 C.遏制阶段 D.根除阶段
解释:消除或阻断攻击源等措施为根除阶段。
62. 关于信息安全事件管理和应急响应,以下说法错误的是:
A.应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段 C.对信息安全事件的分级主要参考信息系统的重要过程、系统损失和社会影响三方面。
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别,特别重大事件 (I 级)、重大事件 (II 级)、 较大事件 (III 级) 和一般事件 (IV 级)
解释:应急响应包括六个阶段,为准备、检测、遏制、根除、恢复、跟踪总结。
63. 对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,依据信息系统的重要程度对 信息进行划分,不属于正确划分级别的是:
A.特别重要信息系统 B.重要信息系统 C.一般信息系统 D.关键信息系统
解释:我国标准中未定义关键信息系统。
64. 恢复时间目标 (RTO) 和恢复点目标 (RPO) 是信息系统灾难恢复中的重要概念,关于这两个值能否为零,正确的选 项是 ()
A.RTO 可以为 0,RPO 也可以为 0 C.RTO 不可以为 0 ,但 RPO 可以为 0
B.RTO 可以为 0 ,RPO 不可以为 0 D.RTO 不可以为 0 ,RPO 也不可以为 0
解释:RTO 可以为 0 ,RPO 也可以为 0。
65. 某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年内实现系统上线 运营,二期目标为次年上半年完成运行系统风险的处理:招标文件经营管理层审批后发布,就此工程项目而言,以下 正确的是:
A.此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性 B.在工程安全监理的参与下,确保了此招标文件的合理性
C.工程规划不符合信息安全工程的基本原则
D.招标文件经营管理层审批,表明工程目标符合业务发展规划
解释:题目描述不符合信息安全工程的“同步规划、同步实施”的基本原则。
66. 对系统工程 (Systems Engineering ,SE ) 的理解,以下错误的是: A.系统工程偏重于对工程的组织与经营管理进行研究
B.系统工程不属于技术实现,而是一种方法论
C.系统工程不是一种对所有系统都具有普遍意义的科学方法
D.系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法
解释:系统工程是一种对所有系统都具有普遍意义的科学方法
67. 系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。 有关此模型,错误的是:
A.霍尔三维机构体系形成地描述了系统工程研究的框架
B.时间维表示系统工程活动从开始到结束按照时间顺序排列的全过程
C.逻辑维的七个步骤与时间维的七个阶段严格对应,即时间维第一阶段应执行逻辑维第一步骤的活动,时间维第二
阶段应执行逻辑维第二步骤的活动
D.知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能 解释:霍尔三维模型是一种系统思想,无法实现严格的对应。
68. 北京某公司利用 SSE-CMM 对其自身工程队伍能力进行自我改善,其理解正确的是:
A.系统安全工程能力成熟度模型(SSE-CMM) 定义了6 个能力级别,当工程队不能执行一个过程域中的基本实践时, 该过程域的过程能力为 0 级
B.达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行结果质量必须相同。
C.系统安全工程能力成熟度模型 (SSE-CMM) 定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响。 D.SSE-CMM 强调系统安全工程与其他工程科学的区别和独立性。
解释:A 当工程队不能执行一个过程域中的基本实践时,该过程域的过程能力为 0 级
B 错误,每次质量结果难以相同。C 错误,SSE-CMM 定义了一个风险过程,包括四个部分,评估影响、评估威胁、 评估脆弱性、评估安全风险。D 错误,SSE-CMM 强调的是关联性而非独立性。
69. 以下哪一项不是信息系统集成项目的特点:
A.信息系统集成项目要以满足客户和用户的需求为根本出发点。
B.系统集成就是选择最好的产品和技术,开发响应的软件和硬件,将其集成到信息系统的过程。 C.信息系统集成项目的指导方法是“总体规划、分步实施”。
D.信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程
解释:系统集成就是选择最适合的产品和技术。
70. 信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选择最合适的 是:
A.通用布缆系统工程 B. 电子设备机房系统工程 C.计算机网络系统工程 D. 以上都适用
解释:答案为 D。
71. 以下关于信息安全工程说法正确的是:
A.信息化建设中系统功能的实现是最重要的
B.信息化建设可以实施系统,而后对系统进行安全加固
C.信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D.信息化建设没有必要涉及信息安全建设
解释:C 为安全工程的同步规划、同步实施原则。
72. 有关系统安全工程-能力成熟度模型 ( sse-cmm ) 中的基本实施 (Base Practices ,BP),正确的理解是:
A. BP 是基于最新技术而制定的安全参数基本配置
B. 大部分 BP 是没有进过测试的
C. 一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项 BP 可以和其他 BP 有重叠
解释:A 答案中BP 是基于工程实践总结的工程单元。B 答案中BP 是经过测试和实践验证的。C 答案中一项 BP 适 用于组织的生存周期是正确的。D 一项 BP 不能和其他 BP 重叠。
73. 有关系统安全工程-能力成熟度模型 (SSE-CMM) 中的通用实施 (Generic Practices ,GP) 错误理解是: A.GP 是涉及过程的管理、测量和制度化方面的活动
B.GP 适用于域维中部分过程区域 (Process Aractices ,PA) 活动而非所有 PA 的活动
C.在工程实施时,GP 应该作为基本实施 ( Base Practices ,BP) 的一部分加以执行
D.在评估时,GP 用于判定工程组织执行某个 PA 的能力
解释:GP 适用于域维中所有 PA 活动。
74. 在使用系统安全工程-能力成熟度模型 (SSE-CCM) 对一个组织的安全工程能力成熟度进行测量时,有关测量结果, 错误的理解是:
A.如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的 能力成熟度未达到此级
此过程区域的能力成熟度级别达到 3 级“充分定义级”
C.如果某个过程区域 (Process Areas,PA)包含 4 个基本实施 (Base Practices,BP),执行此 PA 时执行了 3 个 BP, 则此过程区域的能力成熟度级别为 0
D.组织在不同的过程区域的能力成熟度可能处于不同的级别上
解释:SSE-CMM 充分定义级包括三个特征,为“定义标准过程” 、“执行已定义的过程” 、“安全协调实施”。B 答案中 只描述了两个公共特征。
75. 系统安全工程-能力成熟度模型(SSE-CMM) 定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过 程领域是:
A.风险过程 B.工程过程 C.保证过程 D.评估过程
解释:风险过程包括评估影响、评估威胁、评估脆弱性和评估安全风险。
76. . 以下行为不属于违反国家涉密规定的行为:
A.将涉密计算机、涉密存储设备接入互联网及其他公共信息网络 B.通过普通邮政等无保密及措施的渠道传递国家秘密载体
解释:D 为商业秘密,不属于涉密规定的行为。
77. 具有行政法律责任强制的安全管理规定和安全制度包括
10 / 13
C.在私人交往中涉及国家秘密
D. 以不正当手段获取商业秘密
1) 安全事件 (包括安全事故) 报告制度
2) 安全等级保护制度
3) 信息系统安全监控
4) 安全专用产品销售许可证制度
A. 1 ,2 ,4 B. 2 ,3 C. 2 ,3, 4 D. 1 ,2, 3 解释:1\2\4 均为管理规定和安全制度。
78. 信息系统建设完成后,( ) 的信息系统的而运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入 使用
A.二级以上 B.三级以上 C. 四级以上 D.五级以上
解释:答案为 B,三级以上默认包括本级。
79. 为了保障网络安全,维护网络安全空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促 进经济社会信息化健康发展,加强在***人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,
2015 年 6 月,第十二届全国人大常委会第十五次会议初次审议了一部法律草案,并与 7 月 6 日起在网上全文公布,
向社会公开征求意见,这部法律草案是 ()
A.《***人民共和国保守国家秘密法 (草案)》
B.《***人民共和国网络安全法 (草案)》
解释:答案为 B。
C.《***人民共和国国家安全法 (草案)》 D.《***人民共和国互联网安全法 (草案)》
80. 为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等 4 部分联合发布《关 于信息安全等级保护工作的实施意见》(公通字[2004]66 号) ,对等级保护工作的开展提供宏观指导和约束,明确了等 级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等,关于该文件,下面理解正确的是
A.该文件时一个由部委发布的政策性文件,不属于法律文件
B.该文件适用于 2004 年的等级保护工作,其内容不能越苏到 2005 年及之后的工作
C.该文件时一个总体性知道文件,规定了所有信息系统都要纳入等级保护定级范围
D.该文件使用范围为发文的这四个部门,不适用于其他部门和企业等单位
解释:答案为 A。
81. CC 标准是目前系统安全认证方面最权威的而标准,那一项不是体现 CC 标准的先进性?
A.结构开放性,即功能和保证要求可以“保护轮廓”和“安全目标”中进行一步细化和扩展
B.表达方式的通用性,即给出通用的表达方式
C.独立性,它强调将安全的功能和保证分离
D.实用性,将 CC 的安全性要求具体应用到 IT 产品的开发、生产、测试和评估过程中
解释:ITSEC 最早强调功能和保证的分离,不是 CC 的先进性。
82. 对于数字证书而言,一般采用的是哪个标准?
A.ISO/IEC 1540B B.802. 11 C.GB/T 20984 D.X.509
解释:答案为 D。
83. 在可信计算机系统评估准则 (TCSEC) 中,下列哪一项是满足强制保护要求的最低级别? A.C2 B.C1 C.B2 D.B1
解释:答案为 B1。
84. 关于标准,下面哪项理解是错误的 ()
A.标准是在一定范围内为了获得最佳秩序,经协协商一致制定并由公认机构批准,共同重复使用的一种规范性文件, 标准是标准化活动的重要成果
B. 国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,
应以国际标准条款为准。
C.行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准,同样是强制性标准, 当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准。
D.地方标准由省、 自治区、直辖市标准化行政主管部门制度,冰报国务院标准化行政主管部门和国务院有关行政主 管培训部门备案,在公布国家标准后,该地方标准即应废止。
解释:当国家标准和国际标准的条款发生冲突,应以国家标准条款为准。
85. 2005 年,RFC4301 (Request for Comments 4301:Security Architecture for the Intermet Protocol) 发布,用以取 代原先的 RFC2401 ,该标准建议规定了 IPsec 系统基础架构,描述如何在 IP 层 (IPv4/IPv6) 为流量提供安全业务, 请问此类 RFC 系列标准建设是由哪个组织发布的 ()
A. 国际标准化组织 B. 国际电工委员会
C. 国际电信联盟远程通信标准化组织 D.Internet 工程任务组 (IETF)
解释:D 为正确答案。
86. 关于信息安全管理体系,国际上有标准 (ISO/IEC27001:2013) 而我国发布了《信息技术安全技术信息安全管理体系 要求》(GB/T 22080-2008) 请问,这两个标准的关系是:
A.IDT (等同采用) ,此国家标准等同于该国际标准,仅有或没有编辑性修改
B.EQV(等效采用) ,此国家标准不等效于该国际标准
C.NEQ (非等效采用),此国家标准不等效于该国际标准
D.没有采用与否的关系,两者之间版本不同,不应该直接比较
解释:ISO/IEC 27001:2013 和 GB/T 22080-2008 是两个不同的版本。
87. GB/T18336<<信息技术安全性评估准则>> (CC) 是测评标准类中的重要标准,该标准定义了保护轮廓 (Protection Profile ,PP ) 和安全目标 (Security Target ,ST) 的评估准则,提出了评估保证级 (Evaluation Assurance Level, EAL) ,其评估保证级共分为 () 个递增的评估保证等级
A.4 B.5 C.6 D.7
解释:CC 标准 EAL1-EAL7 级。
88. 信息安全工程监理的职责包括:
A.质量控制、进度控制、成本控制、合同管理、信息管理和协调 B.质量控制、进度控制、成本控制、合同管理和协调
C.确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调
D.确定安全要求、认可设计方案、监视安全态势和协调
解释:A 为监理的内容。
89. 关于信息安全保障的概念,下面说法错误的是:
A.信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
B.信息安全保障已从单纯保护和防御阶段发展为集保护、检测和响应为一体的综合阶段
C.在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
D.信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统 及业务使命的保障
解释:网络空间安全不能单纯依靠技术措施来保障。
90. 关于监理过程中成本控制,下列说法中正确的是?
A.成本只要不超过预计的收益即可 C.成本控制由承建单位实现,监理单位只能记录实际开销
B.成本应控制得越低越好 D.成本控制的主要目的是在批准的预算条件下确保项目保质按期完成
解释:D 为正确答案。
91. 下列关于 ISO15408 信息技术安全评估准则(简称 CC)通用性的特点,即给出通用的表达方式,描述不正确的是______。 A.如果用户、开发者、评估者和认可者都使用CC 语言,互相就容易理解沟通
B.通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C.通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要 D.通用性的特点使得 CC 也适用于对信息安全建设工程实施的成熟度进行评估
解释:SSE-CMM 用于对安全建设工程的成熟度进行评估。CC 是信息技术产品或系统的规划、设计、研发、测试、 EAL 级别评估进行使用。
92. 对涉密系统进行安全保密测评应当依据以下哪个标准?
A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》
B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
C.GB17859- 1999《计算机信息系统安全保护等级划分准则》
D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》
解释:B 为正确答案。
93. ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 ()
A. BS7799- 1《信息安全实施细则》
B.BS7799-2《信息安全管理体系规范》
C. 信息技术安全评估准则(简称 ITSEC)
D. 信息技术安全评估通用标准(简称 CC)
解释:BS7799- 1 发展为 ISO27002;BS7799-2 发展为 ISO27001;TCSEC 发展为 ITSEC;ITSEC 发展为 CC。
94. 在 GB/T18336《信息技术安全性评估准则》(CC 标准) 中,有关保护轮廓(Protection Profile,PP)和安全目标(Security
Target ,ST) ,错误的是:
A.PP 是描述一类产品或系统的安全要求
B.PP 描述的安全要求与具体实现无关
C.两份不同的 ST 不可能满足同一份 PP的要求
D.ST 与具体的实现有关
解释:两份不同的 ST 可以同时满足同一份 PP 的要求。
95. 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A.提高信息技术产品的国产化率 B.保证信息安全资金投入
C.加快信息安全人才培养 D.重视信息安全应急处理工作
解释:提高信息技术产品的国产化率不属于九项重点工作内容之一。
96. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?
A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑 B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实 D.应详细规定系统验收测试中有关系统安全性测试的内容
解释:A 为概念与需求定义的工作内容。B 是安全规划设计阶段内容。C 是实施阶段。D 是验收测试阶段的内容。
97. 以下关于法律的说法错误的是 ()
A.法律是国家意志的统一体现,有严密的逻辑体系和效力
B.法律可以是公开的,也可以是“ 内部” 的
C.一旦制定,就比较稳定,长期有效,不允许经常更改
D.法律对违法犯罪的后果由明确规定,是一种“硬约束”
解释:法律是公开的, 内部的规定不能作为法律。
98. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中, 对于解决问题没有直接帮助的是 ()
A.要求开发人员采用敏捷开发模型进行开发
B.要求所有的开发人员参加软件安全意识培训
C.要求规范软件编码,并制定公司的安全编码准则
D.要求增加软件安全测试环节,今早发现软件安全问题
解释:开发人员采用敏捷开发模型进行软件开发,但未包括安全的开发方法和措施。
99. 根据信息安全风险要素之间的关系,下图中空白处应该填写 ()
A. 资产 B 、安全事件 C 、脆弱性 D 、安全措施
解释:风险的原理是威胁利用脆弱性,造成对资产的风险。
100. 信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保 护国家利益,促进产业发展的重要手段之一,关于我国标准化工作,下面选项中描述错误的是 ()
A 、我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设专业技术委 员会
B 、事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护 国家利益和安全
C 、我国归口信息安全方面标准是“全国信息安全标准化技术委员会”,为加强有关工作,2016 在其下设立“大数据 安全特别工作组”
D 、信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确保有关产品、设施的 技术先进性、可靠性和一致性
解释:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用方式等。
信息安全专业人员知识测试试题 (三)
1. 最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权 的原则,作为评审专家,请指出是哪一个?
A.软件在 Linux 下按照时,设定运行时使用nobody 用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志 表拥有权限
D.为了保证软件在Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行 错误
解释:SYSTEM 权限是最大权限,答案为 D。
2. 主机 A 向主机 B 发出的数据采用 AH 或 ESP 的传输模式对经过互联网的数据流量进行保护时,主机 A 和主机 B 的 IP 地址 在应该在下列哪个范围?
A.10.0.0.0~10.255.255.255 C、192.168.0.0~192.168.255.255
B.172.16.0.0~172.31.255.255 D.不在上述范围内 解释:采用传输模式则没有地址转换,那么 A、B 主机应为公有地址。
3. 某电子商务网站最近发生了一起安全事件,出现了一个价值 1000 元的商品用 1 元被买走的情况,经分析是由于设计时出 于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击 者将价值 1000 元的商品以 1 元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因 分析及解决措施。最正确的说法应该是?
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访 问都强制要求使用https
B.该问题产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
解释:根据题干是采用 HTTP 的协议导致的,则答案为 A。
4. 以下哪个选项不是防火墙提供的安全功能?
A.IP 地址欺骗防护 B.NAT C.访问控制 D.SQL 注入攻击防护 解释:题干中针对的是传统防火墙,而 SQL 注入防护是 WAF 的主要功能。
5. 以下关于可信计算说法错误的是:
A.可信的主要目的是要建立起主动防御的信息安全保障体系
B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念
C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信
D.可信计算平台出现后会取代传统的安全防护体系和方法
解释:可信计算平台出现后不会取代传统的安全防护体系和方法。
6. Linux 系统对文件的权限是以模式位的形式来表示,对于文件名为 test 的一个文件,属于admin 组中user用户,以下哪 个是该文件正确的模式表示?
A. - rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test C.- rwx r-x r-x 3 admin user 1024 Sep 13 11:58 test
B. d rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test D.d rwx r-x r-x 3 admin user1024 Sep 13 11:58 test
解释:根据题干本题选 A。
7. Apache Web 服务器的配置文件一般位于/usr/local/apache/conf 目录,其中用来控制用户访问 Apache 目录的配置文 件是:
A. httpd.conf B.srL conf C.access.Conf D.Inet.conf 解释:根据题干本题选择 A。
8. 应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?
A.安装最新的数据库软件安全补丁 C.不使用管理员权限直接连接数据库系统
B.对存储的敏感数据进行安全加密 D.定期对数据库服务器进行重启以确保数据库运行良好
解释:D 属于运行安全操作,不属于安全防护策略。
9. 下列哪项内容描述的是缓冲区溢出漏洞?
A. 通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令
B.攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页 1 / 12
面,嵌入其中的脚本将被解释执行。
C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上
D.信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷 解释:A 是 SQL 注入;B 是脚本攻击;C 为缓冲区溢出;D 漏洞解释。
10. 对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:
A.在使用来自外部的移动介质前,需要进行安全扫描 C. 开放所有端口和服务,充分使用系统资源
B.限制用户对管理员权限的使用 D.不要从不可信来源下载或执行应用程序
解释:C 是错误的,应该是最小化端口和服务。
11. 安全专家在对某网站进行安全部署时,调整了Apache 的运行权限,从 root 权限降低为 nobody 用户,以下操作的主要目 的是:
A.为了提高 Apache 软件运行效率 C. 为了避免攻击者通过 Apache 获得root权限
B.为了提高 Apache 软件的可靠性 D.为了减少 Apache 上存在的漏洞
解释:C 为正确答案。
12. 下列关于计算机病毒感染能力的说法不正确的是:
A.能将自身代码注入到引导区 C.能将自身代码注入文本文件中并执行
B.能将自身代码注入到扇区中的文件镜像 D.能将自身代码注入到文档或模板的宏中代码
解释:代码注入文本文件中不能执行。
13. 以下哪个是恶意代码采用的隐藏技术:
A.文件隐藏 B.进程隐藏 C.网络连接隐藏 D. 以上都是 解释:答案为 D。
14. 通过向被攻击者发送大量的 ICMP 回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信 息流时,这种攻击称之为:
A.Land 攻击 B.Smurf 攻击 C.Ping of Death 攻击 D.ICMPFlood
解释:发送大量的 ICMP 回应请求为 ICMP Flood。
15. 以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击
A.Land B.UDP Flood C.Smurf D.Teardrop 解释:Teardrop 属于碎片攻击,不属于流量型拒绝服务攻击。
16. 传输控制协议(TCP)是传输层协议,以下关于 TCP 协议的说法,哪个是正确的?
A.相比传输层的另外一个协议 UDP,TCP 既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B.TCP 协议包头中包含了源 IP 地址和目的 IP 地址,因此 TCP 协议负责将数据传送到正确的主机
C.TCP 协议具有流量控制、数据校验、超时重发、接收确认等机制,因此 TCP 协议能完全替代 IP 协议
D.TCP 协议虽然高可靠,但是相比 UDP 协议机制过于复杂,传输效率要比 UDP 低
解释:D 为正确答案。
17. 以下关于 UDP 协议的说法,哪个是错误的?
A.UDP 具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击
B.UDP 协议包头中包含了源端口号和目的端口号,因此 UDP 可通过端口号将数据包送达正确的程序
C.相比 TCP 协议,UDP 协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据
D.UDP 协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护
的数据
解释:UDP 协议无流量控制,超时重发等机制。
18. 有关项目管理,错误的理解是:
A.项目管理是一门关于项目资金、时间、人力等资源控制的管理科学
B.项目管理是运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理,不受项目资源的约束 C.项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理
D.项目管理是系统工程思想针对具体项目的实践应用
解释:项目管理受项目资源的约束。
19. 近年来利用DNS 劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?
A.加强网站源代码的安全性 C.协调运营商对域名解析服务器进行加固
B.对网络客户端进行安全评估 D.在网站的网络出口部署应用级防火墙
解释:协调运营商对域名解析服务器进行加固是 DNS 防护的主要手段。
20. 关于源代码审核,下列说法正确的是:
A.人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处
C.使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核
D.源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
解释:D 为源代码审核工作内容描述。
21. 在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:
A.建立环境 B.实施风险处理计划 C.持续的监视与评审风险 D. 持续改进信息安全管理过程
解释:持续改进信息安全管理过程属于处置(ACT)阶段。
22. 信息系统的业务特性应该从哪里获取?
A.机构的使命 B.机构的战略背景和战略目标 C.机构的业务内容和业务流程 D.机构的组织结构和管理制度 解释:业务特性从机构的业务内容和业务流程获取。
23. 在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?
A.背景建立 B.风险评估 C.风险处理 D.批准监督
解释:“安全产品选择”是为了进行风险处理。
24. 以下关于“最小特权”安全管理原则理解正确的是:
A.组织机构内的敏感岗位不能由一个人长期负责 C.一个人有且仅有其执行岗位所足够的许可和权限
B.对重要的工作进行分解,分配给不同人员完成 D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 解释:C 是“最小特权”的解释;A 描述的是轮岗;B 描述的是权限分离;D 描述的是防止权限蔓延。
25. 以下哪一项不属于常见的风险评估与管理工具:
A.基于信息安全标准的风险评估与管理工具 C. 基于模型的风险评估与管理工具
B.基于知识的风险评估与管理工具 D.基于经验的风险评估与管理工具
解释:D 基于经验的风险评估工具不存在。
26. 以下说法正确的是:
A.验收测试是由承建方和用户按照用户使用手册执行软件验收
B.软件测试的目的是为了验证软件功能是否正确
C.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见
D.软件测试计划开始于软件设计阶段,完成于软件开发阶段
解释:C 是监理工程师的职责。
27. 信息系统安全保护等级为 3 级的系统,应当( )年进行一次等级测评?
A.0.5 B.1 C.2 D.3
解释:等级保护三级系统一年测评一次,四级系统每半年测评一次。
28. 国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?
A.处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
B.能够局部反应国家防御和治安实力的
C.我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
D.国际领先,并且对国防建设或者经济建设具有特别重大影响的
解释:D 为绝密级。
29. 关于我国加强信息安全保障工作的总体要求,以下说法错误的是:
A.坚持积极防御、综合防范的方针 C.创建安全健康的网络环境
B.重点保障基础信息网络和重要信息系统安全
D.提高个人隐私保护意识
解释:提高个人隐私保护意识不属于 (2003 年) 我国加强信息安全保障工作的总体要求。
30. 根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:
A.涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
B.非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行
C.可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
D.此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容
解释:C 为正确描述。
31. 某单位信息安全岗位员工,利用个人业余时间,在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯, 这一行为主要符合以下哪一条注册信息安全专业人员 (CISP) 职业道德准则:
A.避免任何损害 CISP 声誉形象的行为
B. 自觉维护公众信息安全,拒绝并抵制通过计算机网络系统泄露个人隐私的行为
C.帮助和指导信息安全同行提升信息安全保障知识和能力
D.不在公众网络传播反动、暴力、黄色、低俗信息及非法软件 解释:C 为正确描述。
32. 以下哪一项不是我国信息安全保障的原则:
A.立足国情,以我为主,坚持以技术为主
B.正确处理安全与发展的关系,以安全保发展,在发展中求安全
C.统筹规划,突出重点,强化基础性工作
D.明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系 解释:A 的正确描述为立足国情,以我为主,坚持以技术和管理并重。
33. 下列选项中,哪个不是我国信息安全保障工作的主要内容:
A.加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善信息安全标准体系
B.建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
C.建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
D.加快信息安全学科建设和信息安全人才培养
解释:建立国家信息安全研究中心不是我国信息安全保障工作的主要内容。
34. 关于信息安全管理,说法错误的是:
A.信息安全管理是管理者为实现信息安全目标(信息资产的 CIA 等特性,以及业务运作的持续)而进行的计划、组织、指 挥、协调和控制的一系列活动。
B.信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方 针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。
C.实现信息安全,技术和产品是基础,管理是关键。
D.信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程。
解释:信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个动态过程。
35. 以下哪个选项不是信息安全需求的来源?
A.法律法规与合同条约的要求 C.风险评估的结果
B.组织的原则、 目标和规定 D.安全架构和安全厂商发布的病毒、漏洞预警
解释:安全需求来源于内部驱动,D 是外部参考要素,不属于信息安全需求的主要来源。
36. 下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:
A.确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B.确保整个系统已按照领导要求进行了部署和配置
C.确保系统使用人员已具备使用系统安全功能和安全特性的能力
D.确保信息系统的使用已得到授权
解释:B 是错误的,不是按照领导要求进行了部署和配置。
37. 下列关于信息系统生命周期中安全需求说法不准确的是:
A.明确安全总体方针,确保安全总体方针源自业务期望
B.描述所涉及系统的安全现状,提交明确的安全需求文档
C.向相关组织和领导人宣贯风险评估准则
D.对系统规划中安全实现的可能性进行充分分析和论证
解释:C 属于风险评估阶段的准备阶段,不属于题干中的安全需求阶段。
38. 小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次 培训的时候,小张主要负责讲解风险评估工作形式,小张认为:
1.风险评估工作形式包括: 自评估和检查评估;
2. 自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;
3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;
4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼. 请问小张的所述论点中错误的是哪项:
A.第一个观点 B.第二个观点 C.第三个观点 D.第四个观点 解释:正确的做法为“自评估”和“检查评估”相互结合和互为补充。
39. 小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训,一次培 训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项:
A.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
B.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
C.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险 各要素的度量数值化
解释:定性分析不能靠直觉、不能随意。
40. 风险评估工具的使用在一定程度上解决了手动评佑的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识 被广泛使用,根据在风险评估过程中的主要任务和作用愿理,风险评估工具可以为以下几类,其中错误的是:
A.风险评估与管理工具 B.系统基础平台风险评估工具 C.风险评估辅助工具 D.环境风险评估工具 解释:通常情况下信息安全风险评估工具不包括经验工具,环境评估工具。
41. 为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估 两种,关于自评估,下面选项中描述错误的是()。
A. 自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B. 自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
C. 自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D.周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
解释: 自评估可以委托社会风险评估服务机构来实施。
42. 信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风 险评估工作的意见》 (国信办(2006)5 号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工 作原则和要求,下面选项中描述正确的是( )。
A.信息安全风险评估应以自评估为主, 自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主, 自评估和检查评估相互结合、互为补充
C. 自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D. 自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果 解释:A 为正确答案。
43. 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为 200 万元人民币, 暴露系数(Exposure Factor,EF)是 25% ,年度发生率(Annualized Rate of Occurrence,ARO)为 0.1,那么小王计算的 年度预期损失(Annualized Loss Expectancy,ALE)应该是()。
A.5 万元人民币 B.50 万元人民币 C.2.5 万元人民币 D.25 万元人民币
解释:计算方法为 200 万*25%*0.1=5 万。
44. 规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险 评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
A.风险评估准备阶段 B.风险要素识别阶段 C.风险分析阶段 D.风险结果判定阶段 解释:《风险评估方案》属于风险评估准备阶段的结果。
45. 规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单 41 位在实施风险评估时,形成了《待 评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如 下()
A.风险评估准备 B.风险要素识别 C.风险分析 D.风险结果判定
解释:风险要素包括资产、威胁、脆弱性、安全措施。
46. 风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()。
A.识别面临的风险并赋值 B.识别存在的脆弱性并赋值
C.制定安全措施实施计划 D.检查安全措施有效性 解释:风险要素包括资产、威胁、脆弱性、安全措施。
47. 某单位在实施信息安全风险评估后,形成了若干文挡,下面( )中的文挡不应属于风险评估中“风险评估准备”阶段输出 的文档。
A.《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、 目标、组织结构、角色及职责、经费预算和进度
安排等内容
B.《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
C.《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D.《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类 准则等内容
解释:《已有安全措施列表》属于风险要素识别识别,风险要素包括资产、威胁、脆弱性、安全措施。
48. 文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是:
A.组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文 档是组织的工作标准,也是 ISMS 审核的依据
B.组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
C.组织每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容
D.层次化的文档是 ISMS 建设的直接体现,文档体系应当依据风险评估的结果建立 解释:信息安全管理体系运行记录需要保护和控制。
49. 某项目的主要内容为建造 A 类机房,监理单位需要根据《电子信息系统机房设计规范》 (GB 50174-2008)的相关要求,对 承建单位的施工设计方案进行审核,以下关于监理单位给出的审核意见错误的是:
A.在异地建立备份机房时,设计时应与主用机房等级相同
B. 由于高端小型机发热量大,因此采用活动地板上送风,下回风的方式
C.因机房属于 A 级主机房,因此设计方案中应考虑配备柴油发电机,当市电发生故障时,所配备的柴油发电机应能承担 全部负荷的需要
D.A 级主机房应设置洁净气体灭火系统
解释:散热为下送风、上回风;侧送风、侧回风。
50. 在工程实施阶段,监理机构依据承建合同、安全设计方案、实施方案、实施记录、国家或地方相关标准和技术指导文件, 对信息化工程进行安全____检查,以验证项目是否实现了项目设计目标和安全等级要求。
A.功能性 B.可用性 C.保障性 D.符合性 解释:题干描述为符合性检查。
51. 下系统工程说法错误的是:
A.系统工程是基本理论的技术实现 B.系统工程是一种对所有系统都具有普遍意义的科学方法
C.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法 D.系统工程是一种方法论 解释:系统工程是方法论,不是技术实现。
52. 组织建立业务连续性计划 (BCP)的作用包括:
A.在遭遇灾难事件时,能够最大限度地保护组织数据的实时性,完整性和一致性;
B.提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用和数据;
C.保证发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,降低损失; D.以上都是。
解释:正确答案为 D。
53. 业务系统运行中异常错误处理合理的方法是:
A.让系统自己处理异常 B.调试方便,应该让更多的错误更详细的显示出来
C.捕获错误,并抛出前台显示 D.捕获错误,只显示简单的提示信息,或不显示任何信息
解释:D 为正确的处理方法。
54. 以下哪项不是应急响应准备阶段应该做的?
A.确定重要资产和风险,实施针对风险的防护措施
C.建立和训练应急响应组织和准备相关的资源
B.编制和管理应急响应计划
D.评估事件的影响范围,增强审计功能、备份完整系统
解释:D 描述的是安全事件发生以后,不是应急响应的准备。
55. 关于秘钥管理,下列说法错误的是:
A.科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性
B.保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
C.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D.在网络通信中。通信双方可利用Diffie-He11man 协议协商出会话秘钥
解释:通信方使用之前用过的会话秘钥建立会话,会影响通信安全。
56. 以下属于哪一种认证实现方式:用户登录时,认证服务器 (Authentication Server,AS)产生一个随机数发送给用户,用
6 / 12
户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后, 验证比较两个口令即可验证用户身份。
A.口令序列 B. 时间同步 C.挑战/应答 D.静态口令
解释:题干描述的是 C 的解释。
57. 在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用 都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题, 以下哪个应用已经解决了明文传输数据问题:
A.SSH B.HTTP C.FTP D.SMTP
解释:SSH 具备数据加密保护的功能。
58. 以下哪个属性不会出现在防火墙的访问控制策略配置中?
A.本局域网内地址 B.百度服务器地址 C.HTTP 协议 D.病毒类型
解释:病毒类型不会出现在防火墙的访问控制策略中,病毒类型出现在反病毒网关中。
59. 某 linux 系统由于root 口令过于简单,被攻击者猜解后获得了root 口令,发现被攻击后,管理员更改了root 口令,并 请 安全 专 家 对 系 统 进 行 检 测 , 在 系 统 中 发 现 有 一 个 文件 的权 限 如 下-r-s--x--x1testtdst10704apr15 2002/home/test/sh 请问以下描述哪个是正确的:
A.该文件是一个正常文件,test 用户使用的 shell,test 不能读该文件,只能执行
B.该文件是一个正常文件,是 test 用户使用的 shell,但 test 用户无权执行该文件 C.该文件是一个后门程序,该文件被执行时,运行身份是root ,test用户间接获得了root 权限
D.该文件是一个后门程序, 由于所有者是 test,因此运行这个文件时文件执行权限为 test 解释:根据题干则答案为 C。
60. 某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的 IP 地址进行访问,就
可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是: A.网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题 B.网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题 C.网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D.网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
解释:设计时提供了用户快捷登录功能,导致大量用户账号被盗用。则答案为 D。
61. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户 名 口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用 SHA-1 算法加密后存放在后台数据库中,请 问以上安全设计遵循的是哪项安全设计原则:
A.最小特权原则 B.职责分离原则 C.纵深防御原则 D.最少共享机制原则
解释:题目描述的是软件开发的深度防御思想应用。
62. 以下关于威胁建模流程步骤说法不正确的是
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设 计采用技术手段来消减威胁。
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞。
解释:威胁就是漏洞是错误的。
63. 为保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是 A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及 时恢复系统和数据
B.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况 C.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
解释:工作中不应该在系统正常业务运行高峰期进行渗透测试。
64. 有关能力成熟度模型 (CMM) 错误的理解是
A.CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率 B.CMM 的思想来源于项目管理和质量管理
C.CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
D.CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性
可以低成本地生产出高质量产品”
解释:CMM 的产生是因为过程控制和管理落后引起的。
65. 提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置()? A.不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装
B.安装 Apache 时,只安装需要的组件模块
C.不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行
D.积极了解 Apache 的安全通告,并及时下载和更新 解释:A 不属于安全配置,而属于部署环境选择。
66. 某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输 大于 2000 个字节数据时,总是会有 3到 5 个字节不能传送到对方,关于此案例,可以推断的是 ()
A 该网站软件存在保密性方面安全问题
B 该网站软件存在完整性方面安全问题
解释:题干描述的是完整性。
C 该网站软件存在可用性方面安全问题
D 该网站软件存在不可否认性方面安全问题
67. 信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并
制定相关战略计划。
A *** B 俄罗斯
解释:答案为 C。
C美国
D 英国
68. 我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法 错误的是 ()
A、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面 的标准。
B、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“ 国家网络应急中心”推动了应急处理和信息通报技术 合作工作进展
C、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济 命脉和社会稳定等方面重要信息系统的安全性
D 实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人 才队伍
解释:工业和信息化部牵头成立“国家网络应急中心”。
69. 为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了 小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是 ()
A、信息安全需求是安全方案设计和安全措施实施的依据
B、信息安全需求应当是从信息系统所有者 (用户) 角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求 C、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
D、信息安全需求来自于该公众服务信息系统的功能设计方案
解释:信息安全需求来自于法律法规标准符合性要求、业务发展要求、风险评估结果。
70. 对系统工程 (Systems Engineering,SE) 的理解,以下错误的是: A.系统工程偏重于对工程的组织与经营管理进行研究
B.系统工程不属于技术实现,而是一种方法论
C.系统工程不是一种对所有系统都具有普遍意义的科学方法
D.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
解释:系统工程是一种对所有系统都具有普遍意义的科学方法。
71. 关于我国信息安全保障的基本原则,下列说法中不正确的是:
A. 要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B. 信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方
C. 在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点
D. 在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用。 解释:我国信息安全保障首先要遵循国家标准。
72. 2005 年,RFC4301 (Request for Comments 4301:Security Architecture for the Internet Protocol) 发布,用以取 代原先的 RFC2401,该标准建议规定了 IPsec 系统基础架构,描述如何在 IP 层 (IPv4/IPv6) 位流量提供安全业务。请问 此类 RFC 系列标准建议是由下面哪个组织发布的 ()。
A.国际标准化组织 (International Organization for Standardization,ISO)
B.国际电工委员会 (International Electrotechnical Commission,IEC)
C.国际电信联盟远程通信标准化组织 (ITU Telecommunication Standardization Secctor,ITU-T)
D.Internet 工程任务组 ( InternetEngineeringTaskForce,IETF)
解释:D 为正确答案。
73. GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廊 (ProtectionProfile,PP) 和安全目标 (Security Target,ST) 的评估准则,提出了评估保证级 (Evaluation Assurance Level,EAL),其评估保 证级共分为 () 个递增的评估保证等级。
A. 4 B. 5 C. 6 D.7
解释:D 为正确答案。
74. 应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是 ( )。
A.信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施,也 包括事件发生后的应对措施
B.应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性, 以及需要广泛的协 调与合作
C.应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作:安全事件发生时的正确指挥、 事件发生后全面总结
D.应急响应工作的起源和相关机构的成立和 1988 年 11 月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视 安全事件的应急处置和整体协调的重要性
解释:应急响应是安全事件发生前的充分准备和事件发生后的响应处理,准备、检测、遏制、根除、恢复、总结。
75. PDCERF 方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪 一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破 的登录账号等 ()
A.准备阶段 B.遏制阶段 C.根除阶段 D.检测阶段
解释:拒绝来自发起攻击的嫌疑主机流量等做法属于遏制阶段的工作。
76. 在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和 动态口令。下面找描述中错误的是 ( )
A.所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B.使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的 身份认证模块
C.动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预 测出下次要使用的口令
D.通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型 解释:动态口令方案要求其口令不能被收集和预测。
77. “统一威胁管理”是将防病毒,入侵检测和防火墙等安全需求统一管理,目前市场上已经出现了多种此类安全设备,这里 “统一威胁管理”常常被简称为 ( )
A.UTM B. FW C. IDS D. SOC 解释:答案为 A。
78. 某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外 网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力, 更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能 ( )。
A. 检测并分析用户和系统的活动 B. 核查系统的配置漏洞,评估系统关键资源和数据文件的完整性
C. 防止 IP 地址欺骗 D. 识别违反安全策略的用户活动
解释:入侵检测技术是发现安全攻击,不能防止 IP 欺骗。
79. Gary McGraw 博士及其合作者提出软件安全 BSI 模型应由三根支柱来支撑,这三个支柱是 ( )。
A. 源代码审核、风险分析和渗透测试 C. 威胁建模、渗透测试和软件安全接触点
B. 风险管理、安全接触点和安全知识 D. 威胁建模、源代码审核和模糊测试 解释:BSI 的模型包括风险管理、安全接触点和安全知识。
80. 以下哪一项不是常见威胁对应的消减措施:
A. 假冒攻击可以采用身份认证机制来防范
B.为了防止传输的信息被篡改,收发双方可以使用单向Hash 函数来验证数据的完整性
C.为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D.为了防止用户提升权限,可以采用访问控制表的方式来管理权限
解释:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
81. 以下关于模糊测试过程的说法正确的是:
A.模糊测试的效果与覆盖能力,与输入样本选择不相关
B.为保障安全测试的效果和自动化过程,关键是将发现异常进行现场保护记录,系统可能无法恢复异常状态进行后续的 测试
C.通过异常样本重视异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危 害性、影响范围和修复建议
D.对于可能产生的大量异常报告,需要人工全部分析异常报告 解释:C 是模糊测试的正确解释。
82. 国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在 灾备工作原则,下面哪项不属于该工作原则 ( )
A. 统筹规划 B.分组建设 C. 资源共享 D. 平战结合 解释:灾备工作原则包括统筹规划、资源共享、平战结合。
83. 关于信息安全管理体系 (Information Security Management Systems,ISMS) ,下面描述错误的是 ( )。
A.信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组 织架构、方针、活动、职责及相关实践要素
B.管理体系 (Management Systems) 是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管 理体系思想和方法在信息安全领域的应用
C.概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照 ISO27001 标准定义的管理体系,它 是一个组织整体管理体系的组成部分
D.同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构,健全信息安全管理制度、构建信息安全技 术防护体系和加强人员的安全意识等内容
解释:完成安全目标所用各类安全措施的体系。
84. 二十世纪二十年代,德国发明家亚瑟谢尔比乌斯发明了Engmia密码机,按照密码学发展历史阶段划分,这个阶段属于 () A、古典密码阶段。这一阶段的密码专家常常靠直觉和技术来设计密码,而不是凭借推理和证明,常用的密码运算方法包 括替代方法和转换方法 ()
B、近代密码发展阶段。这一阶段开始使用机械代替手工计算,形成了机械式密码设备和更进一步的机电密码设备
C、现代密码学的早起发展阶段。这一阶段以香农的论文“保密系统的通信理论”为理论基础,开始对密码学的科学探索 D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志,引发了密码学历
解释:根据密码学发展阶段的知识点,Engmia 密码机属于近代密码学发展阶段的产物。
85. 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为 400 万元人民币, 暴露系数是 25%,年度发生率为 0.2,那么小王计算的年度预期损失应该是 ()
A、100 万元人民币 B、400 万元人民币 C、20 万元人民币 D、180 万元人民币
解释:根据 ALE=SLE*ARO=AV*EF*ARO 的公式进行计算。
86. 小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公
司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是 ()
A、降低风险 B、规避风险 C、放弃风险 D、转移风险
解释:风险处理方式包括降低、规避、接受和转移四种方式。
87. 关于信息安全事件和应急响应的描述不正确的是 ()
A、信息安全事件,是指由于自然或人为以及软、硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发 生对社会造成负面影响事件
B、至今已有一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护,这就使得信息安全事件的发生是不 可能的
C、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
D、应急响应工作与其他信息安全管理工作将比有其鲜明的特点:具有高技术复杂性志专业性、强突发性、对知识经验的 高依赖性,以及需要广泛的协调与合作
解释: 目前不存在一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护。
88. 目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评,关于信息安全产品测评的意义,下列说法 中不正确的是 ()
A、有助于建立和实施信息安全产品的市场准入制度
B、对用户采购信息安全产品、设计、建设、使用和管理安全的信息系统提供科学公正的专业指导
C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督
D、打破市场垄断,为信息安全产品发展创造一个良好的竞争环境
解释:题干中信息安全产品测评的主要目的是安全作用,不是经济作用。
89. 若一个组织声称自己的 ISMS 符合 ISO/TEC27001 或 GB22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制, 不包括哪一项 ()
A、信息安全方针、信息安全组织、资产管理 C、访问控制、信息系统获取、开发和维护、符合性
B、人力资源安全、物理和环境安全、通信和操作管理 D、规划与建立 ISMS
解释:D 属于 ISMS 的 Plan 工作阶段,不属于措施。
90. 信息安全事件和分类方法有多种,依据GB/Z 20986-2007《信息安全技术自信安全事件分类分级指南》,信息安全事件分 为 7 个基本类别,描述正确的是 ()
A、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件 B、网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全 事件
C、网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件 D、网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全 事件
解释:根据标准知识点,安全事件分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故 障、灾害性事件和其他信息安全事件。
91. 王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了Nessus工具来扫描 和发现数据库服务器的漏洞,根据风险管理的相关理论,他这个是扫描活动属于下面哪一个阶段的工作 ()
A、风险分析 B、风险要素识别 C、风险结果判定 D、风险处理
解释:漏洞扫描属于风险要素的脆弱性要素识别,风险要素包括资产、威胁、脆弱性、安全措施。
92. 某集团公司信息安全管理员根据领导安排制定了一下年度的培训工作计划、提出了四大培训任务目标,关于这四个培训任 务和目标,作为主管领导,以下选项中最合理 (正确) 的是 ()
A、由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此安排了对集团公司下属公司的总经理(一 把手)的网络安全法培训
B、对下级单位的网络安全管理人员实施全面安全培训,计划全员通过 CISP 持证培训以确保人员能力得到保障 C、对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解
D、对全体员工安排信息安全意识及基础安全知识培训,安全全员信息安全意识教育
解释:对主管领导来讲,主要是培训网络安全法。
93. 应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性,事先创定出事件应急响应方法和 过程,有助于一个组织在事件发生时阻止混乱的发生成是在混乱状态中迅速恢复控制,将损失和负面影响降到最低。应急 响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为 6 个阶段,为准备→检测→遏 制-,根除→恢复→跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是( ) :
A、确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤 B、在检测阶段,首先要进行监测、报告及信息收集
C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统、拔掉网线等
D、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
解释:不能完全关闭系统的操作。
94. 某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用于交换式千兆以太网为主干,超五类双绞线作水平布 线, 由大型交换机和路由器连通几个主要的工作区域,在各区域建立一个闭路电视监控系统,再把信号通过网络传输到 各监控中心,其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤,下面对于交换机和路由器的安全配 置,操作错误的是( )
A、保持当前版本的操作系统,不定期更新交换机操作系统补丁
B、控制交换机的物理访问端口,关闭空闲的物理端口
C、带外管理交换机,如果不能实现的话,可以利用单独的 VLAN 号进行带内管理
D、安全配置必要的网络服务,关闭不必要的网络服务
解释:交换机和路由器的管理包括了版本更新,也包括了补丁管理。
95. 在某信息系统的设计中,用户登陆过程是这样的:(1) 用户通过 HTTP 协议访问信息系统;(2) 用户在登陆页面输入用户 名和口令;(3) 信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成。可以看出,这个鉴别过程属 于 ()。
A.单向鉴别 B.双向鉴别 C.三向鉴别 D.第三方鉴别
答案:
96. PKI 的主要理论基础是 ()。
A.对称密码算法 B.公钥密码算法 C.量子密码 D.摘要算法
答案:
97. 组织第一次建立业务连续性计划时,最为重要的活动是:
A.制定业务连续性策略 B.进行业务影响分析 C.进行灾难恢复演练 D.构建灾备系统
答案:
98. 防止非法授权访问数据文件的控制措施,哪项是最佳的方式:
A. 自动文件条目 B.磁带库管理程序 C.访问控制软件 D.锁定库
答案:
99. 白盒测试的具体优点是:
A.其检查程序是否可与系统的其他部分一起正常运行
B.在不知程序内部结构下确保程序的功能性操作有效
C.其确定程序准确性成某程序的特定逻辑路径的状态
D.其通过严格限制访问主机系统的受控或虚拟环境中执行对程序功能的检查
答案:
100. 为某航空公司的订票系统设计业务连续性计划时,最适用于异地数据转移/备份的方法是:
A.文件映像处理 B.电子链接 C.硬盘镜像 D.热备援中心配置
答案:
信息安全专业人员知识测试试题 (四)
1. 小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管 理,有更大的作用,他总结了四个方面的作用,其中总结错误的是 ( )
A.可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B.可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C.可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D.可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的 ISO9001 认证 答案:
2. 随着“互联网”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理念,某物业为提供高档次的服务,防止 网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是 () 。
A、接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。
B、核心层、汇聚层的设备和重要的接入层设备均应双机设备。
C、规划网络 IP 地址,制定网络 IP 地址分配策略
D、保证网络带宽和网络设备的业务处理能力具务冗余空间,满足业务高峰期和业务发展需求
答案:
3. 小陈自学了风评的相关国家准则后,将风险的公式用图形来表示,下面 F1,F2,F3,F4 分别代表某种计算函数,四张 图中,那个计算关系正确
A
B
.
D
答案:
4. 在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主 机,下列选项中部署位置正确的是 ()
A. 内网主机——交换机——防火墙——外网 C. 内网主机——防火墙——交换机——外网
B. 防火墙—— 内网主机——交换机——外网 D. 防火墙——交换机—— 内网主机——外网
答案:
5. 下列关于软件安全开发中的 BSI (Build Security In)系列模型说法错误的是 ()
A、BIS 含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外 B、软件安全的三根支柱是风险管理、软件安全触点和安全测试
C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
D、BSI 系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的 一个有机组成部分
答案:
解释:安全测试修改为安全知识。
6. 访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在 Windows2000 以后的操作系统版本中,访问 控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用 ACL、访问令牌和授权管理器来实现访问控 制功能。以下选项中,对 windows 操作系统访问控制实现方法的理解错误的是 ()
A、ACL 只能由管理员进行管理
1 / 16
B、ACL 是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的 SID
C、访问令牌存储着用户的 SID,组信息和分配给用户的权限
D、通过授权管理器,可以实现基于角色的访问控制
答案:
7. 在现实的异构网络环境中,越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos协议不仅能 在域内进行认证,也支持跨域认证,下图显示的是 Kerberos 协议实现跨域认证的 7 个步骤,其中有几个步骤出现错误, 图中错误的描述正确的是:
A.步骤 1 和步骤 2 发生错误
B.步骤 3 和步骤 4 发生错误
C.步骤 5 和步骤 6 发生错误
D.步骤 5 和步骤 6 发生错误
答案:3 和 4 是错误的,应该是 3 访问域 B 的 AS (请求远程 TGT) ,4 是域 B 的 AS 返回客户机(返回TGT)。
8. 某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从 而控制了小张的电脑,并以她的电脑为攻击的端口,使报社的局域网全部感染木马病毒,为防范此类社会工程学攻击, 报社不需要做的是 ()
A、加强信息安全意识培训,提高安全防范能力,了解各种社会工程学攻击方法,防止受到此类攻击 B、建立相应的安全相应应对措施,当员工受到社会工程学的攻击,应当及时报告
C、教育员工注重个人隐私保护
D、减少系统对外服务的端口数量,修改服务旗标
答案:
9. 2016 年 9 月,一位安全研究人员在 Google Cloud IP 上通过扫描,发现了完整的美国路易斯安邦州 290 万选民数据库。 这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党代名和密码,以防 止攻击者利用以上信息进行 () 攻击。
A、默认口令 B、字典 C、暴力 D、XSS
答案:
10. 下图中描述网络动态安全的 P2DR 模型,这个模型经常使用图形的形式来表达的下图空白处应填 ()
A.策略 B.方针 C.人员 D.项目
答案:
11. 如图所示,主机 A 向主机 B 发出的数据采用AH 或者 ESP 的传输模式对流量进行保护时,主机 A 和主机 B 的 IP 地址在应 该在下列哪个范围?
A.10.0.0.0~10.255.255.255
B.172.16.0.0~172.31.255.255
答案:
C.192.168.0.0~192.168.255.255
D.不在上述范围内
12. 小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制 与强制访问控制,为了赶上课程进度,他向同班的小李借来课堂笔记,进行自学。而小李在听课时由于经常走神,所以 笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是 ()
A、强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体 B、安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意修改
C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D、它是一种对单个用户执行访问控制的过程控制措施
答案:
13. 下图排序你认为那个是正确的:
A. 1 是主体,2 是客体,3 是实施,4 是决策 C.1 实施,2 是客体 3 是主题,4 是决策
B. 1 是客体,2 是主体 3 是决策,4 是实施
D.1 是主体,2 是实施 3 是客体,4 是决策
答案:
14. 某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站 则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息 (还有他 的好友们的信息) ,于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向Web 页面插入恶 意 html 代码的攻击方式称为 ()
A.分布式拒绝服务攻击 B、跨站脚本攻击 C、SQL 注入攻击 D、缓冲区溢出攻击
答案:
15. 模糊测试也称 Fuzz 测试,是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是 ()
A、模糊测试本质上属于黑盒测试
B、模糊测试本质上属于白盒测试
C、模糊测试有时属于黑盒测试,有时属于白盒测试,取决于其使用的测试方法
D、模糊测试既不属于黑盒测试,也不属于白盒测试
答案:
解释:拿分选 A,知识点是 C。
16. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在人力资源安
全方面实施常规控制,人力资源安全划分为 3 个控制阶段,不包括哪一项 ()
A、任用之前 B、任用中 C、任用终止或变化 D、任用后
答案:
17. 下图是安全测试人员连接某远程主机时的操作界面,请您仔细分析该图,下面分析推理正确的是 ()
A.安全测试人员链接了远程服务器的 220 端口
B.安全测试人员的本地操作系统是 Linux
C.远程服务器开启了FTP 服务,使用的服务器软件名 FTPS e r v e r
D.远程服务器的操作系统是w i n d o w s 系统
答案:
18. 某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析发现此外挂是一个典型的木马后门,使黑客能够获得受 害者电脑的访问权,该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害 者计算机系统启动而启动为防范此类木马的攻击,以下做法无用的是 ()
A、不下载、不执行、不接收来历不明的软件和文件
B、不随意打开来历不明的邮件,不浏览不健康不正规的网站
C、使用共享文件夹
D、安装反病毒软件和防火墙,安装专门的木马防范软件
答案:
19. 小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的 RPO (恢复点目标) 指标 为 3 小时。请问这意味着 ()
A、该信息系统发生重大安全事件后,工作人员应在 3 小时内到位,完成问题定位和应急处理工作 B、该信息系统发生重大安全事件后,工作人员应在 3 小时内完整应急处理工作并恢复对外运行
C、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至少能提供 3 小时的紧急业务服务 能力
D、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至多能丢失 3 小时的业务数据 答案:
20. 陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,有五个方面:起源、方式、途径、受体和后果, 他画了下面这张图来描述信息安全风险的构成过程,图中空白处应填写?
A.信息载体
答案:
B.措施
D.风险评估
21. Kerberos 协议是一种集中访问控制协议,他能在复杂的网络环境中,为用户提供安全的单点登录服务。单点登录是指用 户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不在需要其他的认证过程,实质是消息 M 在多个 应用系统之间的传递或共享。其中消息 M 是指以下选项中的()
A、安全凭证 B、用户名 C、加密密钥 D、会话密钥
答案:
解释:安全凭证指的是服务许可票据。
22. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境 安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组 织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。 该目标可以通过以下控制措施来实现,不包括哪一项
A.物理安全边界、物理入口控制 B.办公室、房间和设施的安全保护。外部和环境威胁的安全防护
C. 在安全区域工作。公共访问、交接区安全 D.人力资源安全
答案:
23. 风险分析师风险评估工作的一个重要内容,GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大 小,如下图所示,图中括号应填那个?
A.安全资产价值大小等级 C.安全风险隐患严重等级
B.脆弱性严重程度等级
D.安全事件造成损失大小
答案:
24. 关于信息安全管理体系的作用,下面理解错误的是
A.对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有据可查
B.对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方法收入来弥补投入
C.对外而言,有助于使各科室相关方对组织充满信心
D.对外而言,规范工作流程要求,帮助界定双方各自信息安全责任
答案:
25. 关于补丁安装时应注意的问题,以下说法正确的是
A.在补丁安装部署之前不需要进行测试,因为补丁发布之前厂商已经经过了测试
B.补丁的获取有严格的标准,必须在厂商的官网上获取
C.信息系统打补丁时需要做好备份和相应的应急措施
D.补丁安装部署时关闭和重启系统不会产生影响 答案:
26. 某电子商务网站架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后该删除操作才 能生效,这种设计是遵循了发下哪个原则
A.权限分离原则 B.最小的特权原则 C.保护最薄弱环节的原则 D.纵深防御的原则
答案:
27. 实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指 纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的 ()
A.实体所知的鉴别方法 B.实体所有的鉴别方法 C.实体特征的鉴别方法 D.实体所见的鉴别方法 答案:
28. 定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可以性和损失量。 小王采用该方法来为单位机房计算火灾风险大小,假设单位机房的总价值为 200 万元人民币,暴露系数 (ExposureFactor,EF) 是 x,年度发生率 (Annual izod Eato of Occurrence,ARO) 为 0.1,而小王计算的年度预期损 失 (Annual izod Loss Erpectancy,ALE) 值为 5 万元人民币, 由此,x 值应该是
A.2.5% B.25% C.5% D.50% 答案:
解析:200X*0.1=5 万
29. 关于 Kerberos 认证协议,以下说法错误的是:
A.只要用户拿到了认证服务器 (AS) 发送的票据许可票据 (TGT) 并且该 TGT 没有过期,就可以使用该 TGT 通过票据授 权服务器 (TGS) 完成到任一个服务器的认证而不必重新输入密码
B.认证服务器 (AS) 和票据授权服务器 (TGS) 是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全
C.该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户单向认证 D.该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂
答案:
30. kerberos 协议是常用的集中访问控制协议,通过可信第三的认证服务,减轻应用 Kerberos 的运行环境由秘钥分发中心 (KDC) 、应用服务器和客户端三个部分组成,认证服务器 AS 和票据授权服务器
A.1——2——3 B.3——2——1 C.2——1——3 D.3——1——2
答案:
31. 某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表 中的对象不允许访问。该访问控制策略属于以下哪一种:
A.强制访问控制 B.基于角色的访问控制 C. 自主访问控制 D.基于任务的访问控制
答案:
32. 由于 Internet 的安全问题日益突出,基于 TCP/IP 协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议, 用来保障网络各层次的安全。其中,属于或依附于传输层的安全协议是 ()
A. PP2P B. L2TP C.SSL D. IPSec 答案:
33. 根据Bell-LaPedula 模型安全策略,下图中写和读操作正确的是 ( )
A.可读可写 B.可读不可写 C.可写不可读 D.不可读不可写
答案:
34. 防火墙是网络信息系统建设中常采用的一类产品,它在内外网隔离方面的作用是 () 。
A.既能物理隔离,又能逻辑隔离 B.能物理隔离,但不能逻辑隔离
C.不能物理隔离,但是能逻辑隔离 D.不能物理隔离,也不能逻辑隔离
答案:
35. 张主任的计算机使用Windows7 操作系统,他常登陆的用户名为 zhang,张主任给他个人文件夹设置了权限为只有 zhang 这个用户有权访问这个目录,管理员在某次维护中无意将 zhang 这个用户删除了,随后又重新建了一个用户名为 zhang, 张主任使用 zhang 这个用户登录系统后,发现无法访问他原来的个人文件夹,原因是:
A.任何一个新建用户都需要经过授权才能访问系统中的文件
B. Windows7 不认为新建立的用户 zhang 与原来用户 zhang 是同一个用户,因此无权访问
C.用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问 D.新建的用户 zhang 会继承原来用户的权限,之所以无权访问是因为文件夹经过了加密
答案:
36. 以下关于 Windows 系统的账号存储管理机制 (Security Accounts Manager) 的说法哪个是正确的: A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性
答案:
37. ISO9001-2000 标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下 图是关于过程方法的示意图,图中括号空白处应填写 ()
A.策略 B.管理者 C.组织 D.活动
答案:
38. 设计信息系统安全保障方案时,以下哪个做法是错误的: A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
答案:
39. Windows 文件系统权限管理访问控制列表 (Access Control List,ACL) 机制,以下哪个说法是错误的:
A.安装Windows 系统时要确保文件格式使用的是 NTFS,因为Windows 的 ACL 机制需要 NTFS 文件格式的支持
B.由于 Windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便 利,Windows上的 ACL 存在默认设置安全性不高的问题
C.Windows 的 ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据
库中
D.由于 ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限
答案:
40. ISO27002 (Information technology-Security techniques0Codeofpratice for inforeation security managcacnt) 是重要的信息安全管理标准之一,下图是关于其演进变化示意图,图中括号空白处应填写 ()
A.BS 7799.1.3 B.ISO17799 C.AS/NZS 4630 D.NIST SP 800-37
答案:
41. 自主访问控制模型 (DAC) 的访问控制关系可以用访问控制 (ACL) 来表示,该 ACL 利用在客体上附加一个主体明细表的 方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是 ()
A. ACL 是 Bell-LaPadula 模型的一种具体实现
B. ACL 在删除用户时,去除该用户所有的访问权限比较方便
C. ACL 对于统计某个主体能访问哪些客体比较方便
D. ACL 在增加客体时,增加相关的访问控制权限较为简单 答案:
42. 数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略 理解不正确的是:
A.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户 的工作
B.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度也共享数据库中的信息 C.粒度最小策略,将数据库中的数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度
D.按内容存取控制策略,不同权限的用户访问数据库的不同部分
答案:
43. 我国标准《信息安全风险管理指南》 (GB/Z24364) 给出了信息安全风险管理的内容和过程,可以用下图来表示。图中
空白处应该填写 ()
A.风险计算 B.风险评价 C.风险预测 D.风险处理
答案:
44. 以下哪一项不是信息系统集成项目的特点:
A.信息系统集成项目要以满足客户和用户的需求为根本出发点
B.系统集成就是选择最好的产品和技术,开发相应的软件和硬件,将其集成到信息系统的过程 C.信息系统集成项目的指导方法是“总体规划、分步实施”
D.信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程
答案:
45. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估 两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是 ()
A.检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽 样评估
B.检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C.检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D.检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
答案:
46. 为了能够合理、有序地处理安全事件,应事件制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱 的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF 方法论是一种防范使用的方法,其将应急 响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容 ()
A.培训阶段 B.文档阶段 C.报告阶段 D.检测阶段
8 / 16
答案:
47. 关于信息安全管理,下面理解片面的是 ()
A.信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障 B.信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C.在信息安全建设中,技术是基础,管理是拔高,有效的管理依赖于良好的技术基础
D.坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
答案:
48. 关于风险要素识别阶段工作内容叙述错误的是:
A.资产识别是指对需要保护的资产和系统等进行识别和分类
B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C.脆弱性识别以资产为核心,针对每项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估 D.确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台 答案:
49. 某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》 (GB/T 20274.1-2006) 后,绘制了 一张简化的信息系统安全保障模型图,如下所示。请为图中括号空白处选择合适的选项 ()
A.安全保障 (方针和组织) B.安全防护 (技术和管理)
C.深度防御 (策略、防护、检测、响应) D.保障要素 (管理、工程、技术、人员)
答案:
50. 为了进一步提供信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于 信息安全等级保护工作的实施意见》 (公通字[2004]66 号) ,对等级保护工作的开展提供宏观指导和约束,明确了等级 保护工作哟的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是 ()
A.该文件是一个由部委发布的政策性文件,不属于法律文件
B.该文件适用于 2004 年的等级保护工作,其内容不能约束到 2005 年及之后的工作
C.该文件是一个总体性指导文件,规定所有信息系统都要纳入等级保护定级范围
D.该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位
答案:
51.在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改 安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问,按照 PDCERF 应急响应方法,这些工作应处于以下 哪个阶段 ()
A.准备阶段 B.检测阶段 C.遏制阶段 D.根除阶段
答案:
52. Linux 系统的安全设置中,对文件的权限操作是一项关键操作。通过对文件权限的设置,能够保障不同用户的个人隐私 和系统安全。文件 fib.c 的文件属性信息如下图所示,小张想要修改其文件权限,为文件主增加执行权限,并删除组外 其他用户的写权限,那么以下操作中正确的是 ()
A.#chmod u+x, a-w fib.c B.#chmod ug+x, o-w fib.c C.#chmod764fib.c D.#chmod 467 fib.c
答案:
解释:在第一组权限上“为文件主增加执行权限”后变成了 RWX 即 111,即十进制 7;在第三组权限上“删除组外其他 用户的写权限”后变成了 R--即 100,即十进制4;而在第二组权限上中间的组的没有变即 RW-即 110,即十进制 6。
53. 关于信息安全事件管理和应急响应,以下说法错误的是:
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
C.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别:特别重大事件 (I 级) 、重大事件 (II级) 、 较大事件 (III 级) 和一般事件 (IV 级)
答案:
54. 恢复时间目标 (RTO) 和恢复点目标 (RPO) 是信息系统灾难恢复的重要概念,关于这两个值能否为零,正确的选项是 ()
A.RTO 可以为 0,RPO 也可以为 0
B. RTO 可以为 0,RPO 不可以为 0
答案:
C. RTO 不可以为 0,但 RPO 可以为 0
D. RTO 不可以为 0,RPO 也不可以为 0
55. 下面有关软件安全问题的描述中,哪项应是由于软件设计缺陷引起的 ()
A.设计了三层 WEB 架构,但是软件存在 SQL 注入漏洞,导致被黑客攻击后直接访问数据库
B.使用C 语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文数据 答案:
56. 通过对称密码算法进行安全消息传输的必要条件是:
A.在安全的传输信道上进行通信
B.通讯双方通过某种方式,安全且秘密地共享密钥 答案:
C.通讯双方使用不公开的加密算法
D.通讯双方将传输的信息夹杂在无用信息中传输并提取
57. 某银行有 5 台交换机连接了大量交易机构的网路 (如图所示) ,在基于以太网的通信中,计算机 A 需要与计算机 B 通信, A 必须先广播“ARP 请求信息”,获取计算机 B 的物理地址。没到月底时用户发现该银行网络服务速度极其缓慢。银行 经调查后发现为了当其中一台交换机收到 ARP 请求后,会转发给接收端口以外的其他所有端口,ARP 请求会被转发到网 络中的所有客户机上。为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用的技术是 ()
A.VLAN 划分 B.动态分配地址 C.设立入侵防御系统 D.为路由交换设备修改默认口令
答案:
58. Windows 系统下,哪项不是有效进行共享安全的防护措施?
A.使用 netshare\\127.0.0.1\c$/delete 命令,删除系统中的 c$等管理共享,并重启系统
B.确保所有的共享都有高强度的密码防护
C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D.安装软件防火墙阻止外面对共享目录的连接 答案:
59. 以下对Windows 账号的描述,正确的是:
A.Windows 系统是采用 SID (安全标识符) 来标识用户对文件或文件夹的权限
B.Windows 系统是采用用户名来标识用户对文件或文件夹的权限
C.Windows 系统默认会生成 administrator 和 guest 两个账号,两个账号都不允许改名和删除
D.Windows 系统默认生成 administrator 和 guest 两个账号,两个账号都可以改名和删除
答案:
60. 如图一所示:主机 A 和主机 B 需要通过 IPSec 隧道模式保护二者之间的通信流量,这种情况下 IPSec 的处理通常发生在哪 二个设备中?
A.主机 A 和安全网关 1 ; B.主机 B 和安全网关 2 ; C.主机 A 和主机 B 中 ; D.安全网关 1 和安全网关 2 中 ; 答案:
61. 以下关于代替密码的说法正确的是:
A.明文根据密钥被不同的密文字母代替 C.明文和密钥的每个bit 异或
B.明文字母不变,仅仅是位置根据密钥发生改变 D.明文根据密钥作移位
答案:
62. AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效,已经替代 DES 成为新的据加密标准。其算法的信息块长
度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?
A.64bit B.128bit C.192bit D.256bit
答案:
63. 以下对Windows 系统的服务描述,正确的是:
A.Windows 服务必须是一个独立的可执行程序 C.Windows服务都是随系统启动而启动,无需用户进行干预
B.Windows服务的运行不需要用户的交互登陆 D.Windows服务都需要用户进行登陆后,以登录用户的权限进行启动 答案:
64. 为了能够合理、有序地处理安全事件,应事件制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱 的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF 方法论是一种防范使用的方法,其将应急 响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容 ()
A. 培训阶段 B. 文档阶段 C. 报告阶段 D.检测阶段 答案:
65. Alice 有一个消息 M 通过密钥 K2 生成一个密文 E (K2,M) 然后用 K1 生成一个 MAC 为 C (K1,E (K2,M) ) ,Alice 将 密文和 MAC 发送给Bob,Bob 用密钥 K1 和密文生成一个 MAC 并和Alice 的 MAC 比较,假如相同再用K2 解密 Alice 发送 的密文,这个过程可以提供什么安全服务?
A.仅提供数字签名 B.仅提供保密性 C.仅提供不可否认性 D.保密性和消息完整性 答案:
解释:实现的安全服务包括保密性、完整性、身份鉴别、抗重放攻击。
66. 以下关于 windowsSAM(安全账号管理器)的说法错误的是:
A、安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B、安全账号管理器(SAM)存储的账号信息是存储在注册表中
C、安全账号管理器(SAM)存储的账号信息 administrator 和 system 是可读和可写的
D、安全账号管理器(SAM)是windows 的用户数据库系统进程通过 Security Accounts Manager 服务进行访问和操作 答案:
67. 公钥基础设施,引入数字证书的概念,用来表示用户的身份,下图简要的描述了终端实体 (用户) ,从认证权威机构 CA 申请、撤销和更新数字证书的流程,请为中间框空白处选择合适的选项 ()
A.证书库 B.RA C.OCSP D .CRL 库
答案:
68. 常见密码系统包含的元素是:
A.明文,密文,信道,加密算法,解密算法 C.明文,密文,密钥,加密算法,解密算法
B.明文,摘要,信道,加密算法,解密算法 D.消息,密文,信道,加密算法,解密算法
答案:
69. 如图所示,主体 S 对客体 01 有读 (R) 权限,对客体 02 有读 (R) 、写 () 权限。该 图所示的访问控制实现方法
是:
A.访问控制表 (ACL) B.访问控制矩阵 C.能力表 (CL) D.前缀表 (Profiles)
答案:
70.社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在某黑客大会 上成功攻入世界五百强公司,其中一名自称是 CSO 杂志做安全调查,半小时内,攻击者选择了在公司工作两个月安全工 程部门的合约雇员,在询问关于工作满意度以及食堂食物质量问题后,雇员开始透露其他信息,包括:操作系统、服务
包、杀毒软件、 电子邮件及浏览器。为对抗此类信息收集和分析,公司需要做的是 ()
A、通过信息安全培训,使相关信息发布人员了解信息收集风险,发布信息最小化原则
B、减少系统对外服务的端口数量,修改服务旗标
C、关闭不必要的服务,部署防火墙、IDS 等措施
D、系统安全管理员使用漏洞扫描软件对系统进行安全审计
答案:
71. 基于 TCP 的主机在进行一次 TCP 连接时简要进行三次握手,请求通信的主机 A 要与另一台主机 B 建立连接时,A 需要先 发一个 SYN 数据包向 B 主机提出连接请示,B 收到后,回复一个 ACK/SYN 确认请示给 A 主机,然后 A 再次回应 ACK 数据 包,确认连接请求。攻击通过伪造带有虚假源地址的SYN 包给目标主机,使目标主机发送的 ACK/SYN 包得不到确认。一 般情况下, 目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假 SYN 包同时发送到目标主机时, 目标主机上 就会有大量的连接请示等待确认,当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被 目标主机接受,这种 SYN Flood 攻击属于 ()
A、拒绝服务攻击 B、分布式拒绝服务攻击 C、缓冲区溢出攻击 D、SQL 注入攻击
答案:
72. 信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是 () A、各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点
B、各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件
C、各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通
D、各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全监管和安全测评
答案:
73. 公钥密码的应用不包括:
A、数字签名 B、非安全信道的密钥交换 C、消息认证码 D、身份认证
答案:
74. hash 算法的碰撞是指:
12 / 16
A、两个不同的消息,得到相同的消息摘要 C、消息摘要和消息的长度相同
B、两个相同的消息,得到不同的消息摘要 D、消息摘要比消息长度更长
答案:
75. Windows 操作系统的注册表运行命令是:
A.Regsvr32 B.Regedit C.Regedit.msc D.Regedit.mmc
答案:
76. 视窗操作系统 (Windows) 从哪个版本开始引入安全中心的概念?
A.WinNT SP6 B.Win2000 SP4 C.WinXPSP2 D.Win2003 SP1
答案:
77. DSA (数字签名算法) 不提供以下哪种服务?
A、数据完整性 B、加密 C、数字签名 D、认证
答案:
78. 在 Windows 文件系统中,_______支持文件加密。
A.FAT16 B.NTFS C.FAT32 D.EXT3
答案:
79. 相比 FAT 文件系统,以下那个不是 NTFS 所具有的优势?
A、NTFS 使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后,系统能利用日志文件重做或 恢复未成功的操作。
B、NTFS 的分区上,可以为每个文件或文件夹设置单独的许可权限
C、对于大磁盘,NTFS 文件系统比 FAT 有更高的磁盘利用率。
D、相比 FAT 文件系统,NTFS 文件系统能有效的兼容 linux 下的 EXT3 文件格式。
答案:
80. 风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示, 请为图中空白框处选择一个最合适的选项()。
A.识别面临的风险并赋值
B.识别存在的脆弱性并赋值
C.制定安全措施实施计划
D.检查安全措施有效性
答案:
81. Windows NT 提供的分布式安全环境又被称为:
A、域 (Domain) B、工作组 C、对等网 D、安全网
答案:
82. 在 Windows 系统中,管理权限最高的组是:
A.everyone B.administrators C.powerusers D.users
答案:
83. 小李去参加单位组织的信息安全培训后,他把自己对管理信息管理体系 ISMS 的理解画了一张图,但是他还存在一个空 白处未填写,请帮他选择一个合适的选项 ()
A.监控和反馈 ISMS B.批准和监督 ISMS C.监视和评审 ISMS D.沟通和咨询 ISMS 答案:
84. Windows 系统下,可通过运行_______命令打开Windows 管理控制台。 A.regedit B.cmd C.mmc D.mfc
答案:
85. 下图是某单位对其主网站一天流量的监测图,如果该网站当天 17:00 到 20:00 之间受到攻击,则从图中数据分析,这 种攻击可能属于下面什么攻击。
A.跨站脚本攻击 B.TCP 会话劫持 C.IP 欺骗攻击 D.拒绝服务攻击
答案:
86. 在 window 系统中用于显示本机各网络端口详细情况的命令是:
A.netshow B.netstat C.ipconfig D.Netview 答案:
87. 以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?
A、大整数分解 B、离散对数问题 C、背包问题 D、伪随机数发生器
答案:
88. 如下图所示,Alice 用 Bob 的密钥加密明文,将密文发送给 Bob,Bob 再用自己的私钥解密,恢复出明文以下说法正 确的是:
A.此密码体制为对称密码体制 C.此密码体制为单钥密码体制
B.此密码体制为私钥密码体制
D、此密码体制为公钥密码体制
答案:
89. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
A、DSS B、Diffie-Hellman C、RSA D、AES
答案:
90. 在密码学的 Kerchhof 假设中,密码系统的安全性仅依赖于_______。
14 / 16
A.明文 B.密文 C.密钥 D.信道 答案:
91. 在 Windows XP 中用事件查看器查看日志文件,可看到的日志包括?
A.用户访问日志、安全性日志、系统日志和 IE 日志 C.网络攻击日志、安全性日志、记账日志和 IE 日志
B.应用程序日志、安全性日志、系统日志和 IE 日志 D.网络链接日志、安全性日志、服务日志和 IE 日志
答案:
92. 操作系统安全的基础是建立在:
A、安全安装 B、安全配置 C、安全管理 D、以上都对
答案:
93. 某用户通过账号,密码和验证码成功登陆某银行的个人网银系统,此过程属于以下哪一类:
A.个人网银和用户之间的双向鉴别 C.个人网银系统对用户身份的单向鉴别
B.由可信第三方完成的用户身份鉴别 D.用户对个人网银系统 合法性 单向鉴别
答案:
94. windows 文件系统权限管理作用访问控制列表 (Access Control List.ACL) 机制,以下哪个说法是错误的:
A.安装Windows 系统时要确保文件格式使用的是 NTFS,因为Windows 的 ACL 机制需要 NTFS 文件格式的支持
B. 由于windows操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了作用上的 便利,Windows上的 ACL 存在默认设置安全性不高的问题
C.windows 的 ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据
库中
D. 由于 ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限答案:
95. 下列关于 kerckhof 准则的说法正确的是:
A、保持算法的秘密性比保持密钥的秘密性要困难的多 B、密钥一旦泄漏,也可以方便的更换
C、在一个密码系统中,密码算法是可以公开的,密钥应保证安全 D、公开的算法能够经过更严格的安全性分析 答案:
96. 小李是某公司系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全建设规划图,如下图所示。请问这个 图形是依据下面哪个模型来绘制的 ( )
A.PDR B.PPDR C. PDCA D. IATF
答案:
97. 信息发送者使用__________进行数字签名。
A、己方的私钥 B、己方的公钥 C、对方的私钥 D、对方的公钥
15 / 16
答案:
98. 根据 BEII—lapadula 模型安全策略,下图中写和读操作正确的是:
A.可读可写 B.可读不可写 C.可写不可读 D.不可读不可写
答案:
99. 以下列出了MAC 和散列函数的相似性,哪一项说法是错误的? A、MAC 和散列函数都是用于提供消息认证
B、MAC 的输出值不是固定长度的,而散列函数的输出值是固定长度的
C、MAC 和散列函数都不需要密钥
D、MAC 和散列函数都不属于非对称加密算法
答案:
1) MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC 需密钥;不是非对称。
2) 哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。
100. 操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了多的管理功 能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而下的破绽,都给网络 安全留下隐患。某公司网络维护师为实现该公司操作系统的安全目标,按书中所学建立了的安全机制,这些机制不包括() A.标识与鉴别
B.访问控制
C.权限管理
D.网络云盘存取保护
答案:
信息安全专业人员知识测试试题 (五)
1. CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现 CC 标准的先进性:
A. 结构的开放性
B.表达方式的通用性
C.独立性
D.实用性
2. 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》 (公 信安[2009]812 号) ,关于推动信息安全等级保护 ( ) 建设和开展( )工作的通知 (公信安[2010]303 号) 等文件,由公安部( )对等级保护测评机构管理,接受测评机构的申请、考核和定期 ( ) ,对不具备能力的 测评机构则 ( )
A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权
B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权
C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权
D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权
3.以下哪个现象较好的印证了信息安全特征中的动态性( )
A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备
B 刚刚经过风险评估并针对风险采取处理措施后,仅一周新的系统漏洞使得信息系统面临新的风险
C 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击
D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍产生了泄露
4. 老王是某政府信息中心主任。以下哪项项目是符合《保守国家秘密法》要求的( ) A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌***区维修中心修理 B.老王要求下属小张把中心所有计算机贴上密级标志
C.老王每天晚上 12 点将涉密计算机连接上互联网更新杀毒软件病毒库
D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用
5. 关于计算机取取证描述不正确的是 ()
A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪 的相关证据的活动
B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证 据提供法律支持
C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工 作主要围绕两方面进行证据的获取和证据的保护
D.计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤
6. ( ) 第 23 条规定存储、处理国家机秘密的计算机信息系统 (以下简称涉密信息系统) ,按照 ( ) 实行 分级保护, ( ) 应当按照国家保密标准配备保密设施、设备。 ( ) 、设备应当与涉密信息系统同步规划、 同步建设、同步运行 (三同步) 。涉密信息系统应当按照规定,经 ( ) 后方可投入使用。
A.《保密法》;涉密程度;涉密信息系统;保密设施;检查合格
B.《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
C.《网络保密法》;涉密程度;涉密系统;保密设施;检查合格
D.《安全保密法》;涉密程度,涉密信息系统;保密设施;检查合格
7. Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、 审计策略、保护root 账户、使用网络防火墙和文件权限操作共 10 个方面来完成。小张在学习了Linux 系统 安全的相关知识后,尝试为自己计算机上的 Linux 系统进行安全配置。下列选项是他的部分操作,其中不合 理的是 ( ) 。
A.编辑文件/etc/passwd,检查文件中用户 ID,禁用所有 ID=0 的用户
B. 编辑文件/etc/ssh/sshd _config, 将 Permit RootLogin 设置为 no
C. 编 辑 文 件 /etc/pam.d/system~auth , 设 置 auth required pam tally. so onerr=fail deny=6 unlock_time-300
编辑文件/etc/profile, 设置 TMOUT=600
8. PDCA 循环又叫戴明环,是管理学常用的一种模型。关于 PDCA 四个字母,下面理解错误的是 ( )
A.P 是 Plan,指分析问题、发现问题、确定方针、 目标和活动计划
B.D 是Do,指实施、具体运作,实现计划中的内容
C.C 是Check,指检查、总结执行计划的结果,明确效果,找出问题
D.A是 Aim,指瞄准问题,抓住安全事件的核心,确定责任
9. 在国家标准 GB/T 20274. 1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》 中,信息系统安全保障模型包含哪几个方面? ( )
A.保障要素、生命周期和运行维护
B.保障要素、生命周期和安全特征
C.规划组织、生命周期和安全特征
D.规划组织、生命周期和运行维护
10. 目前,信息系统面临外部攻击者的恶意攻击威胁,从成胁能力和掌握资源分,这些威胁可以按照个人或 胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是 ( )
A. 喜欢恶作剧、实现自我挑战的娱乐型黑客
B.实施犯罪、获取非法经济利益网络犯罪团伙
C. 搜集政治、军事、经济等情报信息的情报机构
D. 巩固战略优势,执行军事任务、进行目标破坏的信息作战部队
11. 若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需 要在资产管理方面安施常规控制,资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标 是为了确保信息受到适当级别的保护,通常采取以下哪项控制措施 ( )
A. 资产清单
B. 资产责任人
C. 资产的可接受使用
D.分类指南,信息的标记和处理
12. 有关质量管理,错误的理解是 ( ) 。
A.质量管理是与指挥和控制组织质量相关的一系列相互协调的活动,是为了实现质量目标,而进行的所有管 理性质的活动
B.规范质量管理体系相关活动的标准是 ISO 9000 系列标准
C 质量管理体系将资源与结果结合,以结果管理方法进行系统的管理
D 质量管理体系从机构,程序、过程和总结四个方面进行规范来提升质量
13. 在某信息系统的设计中,用户登录过程是这样的: (1)用户通过 HTTP 协议访问信息系统; (2)用户在登 录页面输入用户名和口令; (3)信息系统在服务器端检查用户名和密码的正确性, 如果正确,则鉴别完成。 可以看出,这个鉴别过程属于 ( )
A 单向鉴别B 双向鉴别C 三向鉴别 D.第三方鉴别
14. 随机进程名称是恶意代码迷惑管琊员和系统安全检查人员的技术手段之一,以下对于随机进程名技术。描 述正确的是 ( ) 。
A. 随机进程名技术虽然每次进程名都是随机的,但是只要找到了进程名称,就找到了恶意代码程序本身
B. 恶意代码生成随机进程名称的目的是使过程名称不固定,因为杀毒软件是按照进程名称进行病毒进程查杀
C. 恶意代码使用随机进程名是通过生成特定格式的进程名称,使进程管理器中看不到恶意代码的进程
D.随机进程名技术每次启动时随机生成恶意代码进程名称,通过不固定的进程名称使自己不容易被发现真实
的恶意代码程序名称
第 2 页 共 17 页
15. 随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码 利用即时通讯进行传播的方式
A. 利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件 1
B. 利用即时通讯软件发送指向恶意网页的 URL 2
C.利用即时通讯软件发送指向恶意地址的二维码3
D. 利用即时通讯发送携带恶意代码的 JPG 图片 1
16. GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系要求》指出,建立信息安全管理体系应参照 PDCA 模型进行,即信息安全管理体系应包括建立 ISMS、 实施和运行 ISMS、监视和评审 ISMS、 保持和改进 ISMS 等过程,并在这些过程中应实施若干活动。请选出以下描述错误的选项 ( ) 。
A.“制定 ISMS 方针”是建立 ISMS 阶段工作内容
B.“安施培训和意识教育计划”是实施和运行 ISMS 阶段工作内容
C.“进行有效性测量”是监视和评审 ISMS 阶段工作内容
17. 某单位需要开发一个网站,为了确保开发出安全的软件。软件开发商进行了OA 系统的威胁建模,根据威 胁建模,SQL 注入是网站系统面临的攻击威胁之一, 根据威胁建模的消减威胁的做法。以下哪个属于修改设 计消除威胁的做法 ( )
A. 在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B. 对代码进行严格检查,避免存在 SQL 注入漏洞的脚本被发布 C.使用静态发布,所有面向用户发布的数据都使用静态页面
D. 在网站中部署防 SQL 注入脚本,对所有用户提交数据进行过滤
18. 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境 中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的 ( ) ,向信 息系统的所有相关方提供信息系统的 ( ) 能够实现其安全保障策略,能够将其所面临的风险降低到其可接受 的程度的主观信心。信息系统安全保障评估的评估对象是 ( ) ,信息系统不仅包含了仅讨论技术的信息技术 系统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程, 涉及信息系统整个 ( ) ,因此信息系统安全保障的评估也应该提供一种 ( ) 的信心。
A. 安全保障工作;客观证据;信息系统;生命周期;动态持续
B.客观证据;安全保障工作;信息系统;生命周期;动态持续
第 3 页 共 17 页
C. 客观证据;安全保障工作;生命周期;信息系统;动态持续
D. 客观证据;安全保障工作;动态持续;信息系统;生命周期
19. 某企业内网中感染了一种依靠移动存储进行传播的特洛伊木马病毒,由于企业部署的杀毒软件,为了解 决该病毒在企业内部传播,作为信息化负责人,你应采取以下哪项策略()
A.更换企业内部杀毒软件,选择一个可以查杀到该病毒的软件进行重新部署
B.向企业内部的计算机下发策略,关闭系统默认开启的自动播放功能
C.禁止在企业内部使用如U 盘、移动硬盘这类的移动存储介质
D.在互联网出口部署防病毒网关,防止来自互联网的病毒进入企业内部
20. 分布式拒绝服务 (Distributed Denial of Service, DDos) 攻击指借助于客户/服务器技术,将多个计 算机联合起来作为攻击平台。对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。一般 来说,DDoS攻击的主要目的是破坏目标系统的 ()
A.保密性
B.完整性
C.可用性
D.真实性
21. 作为信息安全从业人员,以下哪种行为违反了 CISP 职业道德准侧 ()
A.抵制通过网络系统侵犯公众合法权益
B.通过公众网络传播非法软件
C.不在计算机网络系统中进行造谣、欺诈、诽谤等活动
D.帮助和指导信息安全同行提升信息安全保障知识和能力。
22. Apache HTTP Server (简称 Apache) 是个开放源码的 Web 服务运行平台,在使用过程中,该软件默认会 将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()
A .不选择Windons平台,应选择在Linux平台下安装使用
B.安装后,修改配置文件httpd.conf中的有关参数
C.安装后,删除Apache HTTP Server源码
D.从正确的官方网站下载Apache HTTP Server. 并安装使用
23. 安全漏洞产生的原因不包括以下哪一点()
A.软件系统代码的复杂性
B.软件系统市场出现信息不对称现象
C.复杂异构的网络环境
D.攻击者的恶意利用
24. 某 IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员 对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的 CSO,请你指出存在问题的 是哪个总结? () A .公司自身拥有优秀的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应 急演练相关流程及文档,为了不影响业务,应急演练工作不举行 B.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、应急响应时间后期 运维、更新现在应急预案五个阶段,流程完善可用 C.公司应急预案包括了基本环境类、业务系统、安全事件类、安全事件类和其他类,基本覆盖了各类应急事 件类型 D.公司应急预案对事件分类依据GB/Z 20986 – 2007《信息安全技术信息安全事件分类分级指南》,分为7 个 基本类别,预案符合国家相关标准
25. 某软件在设计时,有三种用户访问模式,分别是仅管理员可访问、所有合法用户可访问和允许匿名访问, 采用这三种访问模式时,攻击面最高的是()。
A.仅管理员可访问
第 4 页 共 17 页
B.所有合法用户可访问
C.允许匿名
D.三种方式一样
26. 王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重 要资产:资产 A1 和资产 A2,其中资产 A1 面临两个主要威胁:威胁 T1 和威胁 T2: 而资产 A2 面临一个主要威 胁: 威胁 T3;威胁 T1 可以利用的资产 A1 存在的两个脆性:脆弱性 V1 和脆弱性 V2;威胁 T2 可以利用的资 产 A1 存在的三个脆弱性:脆弱性 V3、脆弱性 V4 和脆弱性 V5; 威胁 T3 可以利用的资产 A2 存在的两个脆弱性: 脆弱性 V6 和脆弱性 V7; 根据上述条件,请问:使用相乘法时,应该为资产 A1 计算几个风险值( )
A.2
B.3
D.6
解释:A1面临威胁T1和威胁T2;T1利用V1和V2;T2利用V3,V4和V5。A2面临威胁T3;T3利用V6和V7。 {A1,T1,V1}, {A1,T1,V2}, {A1,T2,V3}, {A1,T2,V4}, {A1,T2,V5}
27. 某政府机构委托开发商开发了一个 OA系统。其中公交分发功能使用了FTP协议,该系统运行过程中被攻 击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用Http下载代替FTP功能以解决以上问题, 该安全问题的产生主要是在哪个阶段产生的()
A程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求
B.程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C.程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D.程序员在进行软件测试时,没有针对软件安全需求进行安全测试
28. 从SABSA的发展过程,可以看出整个SABSA在安全架构中的生命周期 (如下图所示) ,在此SABSA生命周期 中,前两个阶段的过程被归类为所谓的 ( ) ,其次是 ( ) ,它包含了建筑设计中的 ( ) 、物理设计、组件 设计和服务管理设计,再者就是 ( ) ,紧随其后的则是 ( )
A. 设计;战略与规划;逻辑设计;实施;管理与衡量
B. 战略与规划;逻辑设计;设计;实施;管理与衡量
C. 战略与规划;实施;设计;逻辑设计;管理与衡量
D.战略与规划;设计;逻辑设计;实施;管理与衡量
29. 随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切。越来越多的组织开始 尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系,提高组织的信息安全管理能力。关于ISMS。下 面描述错误的是 ( ) 。
A.在组织中,应由信息技术责任部门(如信息中心)制定井颁布信息安全方针,为组织的ISMS建设指明方向并 提供总体纲领,明确总体要求
B.组织的管理层应确保ISMS目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划 应具体,具备可行性
C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内。应包括全体员工,同时,也应传达到 客户、合作伙伴和供应商等外部各方
D.组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接 受相关残余风险
30. 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为 400万元人民币,暴露系数(Exposure Factor,EF)是25%,年度发生率(Annualized Rate of Occurrence, ARO)
是0.2,那么小王计算的年度预期损失 (Annualized Loss Expectancy, ALE) 应该是( )。 A.100万元人民币 B.400万元人民币 C.20万元人民币 D.180万元人民币
31. 随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来 , 综合分析信息安全问题产生的根源,下面描述正确的是 ( )
A.信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发、部署和使用过程中存 性,
第 5 页 共 17 页
导致了诸多的信息安全事件发生。因此,杜绝脆弱性的存在是解决信息安全问题的根本所在
B.信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛,接触 越多,
信息系统越可能遭受攻击,因此避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
C.信息安全问题,产生的根源要从内因和外因两个方面分析,因为信息系统自身存在脆弱性同时外部又有威 胁源,从而导致信息系统可能发生安全事件,因此要防范安全风险,需从内外因同时着手
D.信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内因和外因都可能导致安全事件的发生,
但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击,本地破坏和内外勾结等手段导致安全 事件发生,因此对人这个因素的防范应是安全工作重点
32. 在Linux系统中,下列哪项内容不包含在/etc/passwd文件中 ()
A.用户名
B.用户口令明文
C.用户主目录
D.用户登录后使用的 SHELL
33. 即使最好用的安全产品也存在 () 。结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞。 一种有效的对策时在敌手和它的目标之间配备多种 () 。每一种机制都应包括 () 两种手段。
A.安全机制;安全缺陷;保护和检测
B.安全缺陷;安全机制;保护和检测
C.安全缺陷;保护和检测;安全机制;
D.安全缺陷;安全机制;保护和监测
34. 某攻击者想通过远程控制软件潜伏在某监控方的UNIX系统的计算机中,如果攻击者打算长时间地远程监 控某服务器上的存储的敏感数据,必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自 己的系统日志的时候,就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()。
A.窃取 root 权限修改 wtmp/wtmpx、utmp/utmpx 和 lastlog 三个主要日志文件
B.采用干扰手段影响系统防火墙的审计功能
C.保留攻击时产生的临时文件
D. 修改登录日志,伪造成功的登录日志,增加审计难度
35. 信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理, 实施常规的控制措施,不包括哪些选项()
A.信息安全的管理承诺、信息安全协调、信息安全职责的分配
B.信息处理设施的授权过程、保密性协议、与政府部门的联系.
C 与特定利益集团的联系,信息安全的独立评审
D.与外部各方相关风险的识别、处理外部各方协议中的安全问题
36. 按照我国信息安全等级保护的有关政策和标准,有些信息系统只需要自主定级、 自主保护,按照要求向 公安机关备案即可,可以不需要上级或主管都门来测评和检查。此类信息系统应属于:
A.零级系统 B 一级系统 C 二级系统 D.三级系统
37. 小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临 时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码。 将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉。发生内部错误! ”.请问,这种处理方法的主 要目的是()。
A 避免缓冲区溢出 B.安全处理系统异常
C 安全使用临时文件 D.最小化反馈信息
38. 关于 ARP 欺骗原理和防范措施,下面理解错误的是( )
A. ARP 欺骗是指攻击者直接向受害者主机发送错误的 ARP 应答报文。使得受害者主机将错误的硬件地址映 射关系存到 ARP 缓存中,从而起到冒充主机的目的
B. 单纯利用ARP 欺骗攻击时,ARP 欺骗通常影响的是内部子网,不能跨越路由实施攻击 第 6 页 共 17 页
C. 解决 ARP 欺骗的一个有效方法是采用“静态”的 APP 缓存,如果发生硬件地址的更改,则需要人工更新 缓存
D.彻底解决 ARP 欺骗的方法是避免使用 ARP 协议和 ARP 缓存。直接采用 IP 地址和其地主机进行连接
39. 组织内人力资源部门开发了一套系统,用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有 员工都可以登录系统完成相关需要员工配合的工作,以下哪项技术可以保证数据的保密性:
A.SSL 加密
B.双因子认证
C.加密会话 cookie
D.IP 地址校验
40. 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访 问某个客体,具有较高的安全性,适用于专用或对安全性较高的系统。强制访问控制模型有多种类型,如 BLP、 Biba、Clark-Willson 和 ChineseWall 等。小李自学了 BLP 模型,并对该模型的特点进行了总结。以下 4 钟 对 BLP 模型的描述中,正确的是 ( ) :
A. BLP 模型用于保证系统信息的机密性,规则是“向上读,向下写”
B.BLP 模型用于保证系统信息的机密性,规则是“ 向下读,向上写”
C. BLP 模型用于保证系统信息的完整性,规则是“向上读,向下写”
D. BLP 模型用于保证系统信息的完整性,规则是“向下读,向上写”
41. 一个信息管理系统通常会对用户进行分组并实施访问控制。例如,在一个学校的教务系统中,教师能够 录入学生的考试成绩,学生只能查看自己的分数,而学校教务部门的管理人员能够对课程信息、学生的选课 信息等内容进行修改。下列选项中,对访问控制的作用的理解错误的是:
A.对经过身份鉴别后的合法用户提供所有服务
B.拒绝非法用户的非授权访问请求
C.在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理
D.防止对信息的非授权篡改和滥用
42. 信息安全风险等级的最终因素是:
A.威胁和脆弱性
B.影响和可能性
C.资产重要性
D.以上都不对
解释:影响指的就是安全事件的损失,可能性指的是安全事件的可能性。
43. 实施灾难恢复计划之后,组织的灾难前和灾难后运营成本将:
A.降低
B.不变 (保持相同)
C.提高
D.提高或降低 (取决于业务的性质)
44. 自主访问控制模型 (DAC) 的访问控制关系可以用访问控制表 (ACL) 来表示,该 ACL 利用在客体上附加 一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法 正确的是 ( ) 。
A. ACL 是 Bell-LaPadula 模型的一种具体实现
B. ACL 在删除用户时,去除该用户所有的访问权限比较方便
C. ACL 对于统计某个主体能访问哪些客体比较方便
D.ACL 在增加和修改哪些客体被主体访问比较方便
45. 二十世纪二十年代,德国发明家亚瑟.谢尔比乌斯 (Arthur Scherbius) 发明了 Engmia 密码机。按照密 码学发展历史阶段划分,这个阶段属于 ( )
A.古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码,而不是凭借推理和证明,常用的密码 第 7 页 共 17 页
运算方法包括替代方法和置换方法
B.近代密码发展阶段。这一阶段开始使用机械代替手工计算,形成了机械式密码设备和更进一步的机电密码
C.现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”(“TheCommunication Theory of Secret Systems”) 为理论基础,开始了对密码学的科学探索。
D.现代密码学的近代发展阶段。这一阶段以公钥密码思想为标准,引发了密码学历史上的革命性的变革,同 时,众多的密码算法开始应用于非机密单位和商业场合。
46. 主体和客体是访问控制模型中常用的概念。下面描述中错误的是 ( )
A.主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
B.客体也是一个实体,是操作的对象,是被规定需要保护的资源
C.主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用 D.一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行
47. 数字签名不能实现的安全特性为 ( )
A.防抵赖
B.防伪造
C.防冒充
D.保密通信
48. 在入侵检测 (IDS) 的运行中,最常见的问题是: ()
A.误报检测
B.接收陷阱消息
C.误拒绝率
D.拒绝服务攻击
49. 什么是系统变更控制中最重要的内容?
A.所有的变更都必须文字化,并被批准
B.变更应通过自动化工具来实施
C.应维护系统的备份
D.通过测试和批准来确保质量
50. IPv4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依靠 IP 头部的校验和字段来保证 IP 包的安全,因此 IP 包很容易被篡改,并重新计算校验和。IETF 于 1994 年开 始制定 IPSec 协议标准,其设计目标是在 IPv4 和 IPv6 环境中为网络层流量提供灵活、透明的安全服务,保 护 TCP/IP 通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。下列选 项中说法错误的是 ( )
A.对于 IPv4, IPSec 是可选的,对于 IPv6,IPSec 是强制实施的。
B. IPSec 协议提供对 IP 及其上层协议的保护。
C.IPSec 是一个单独的协议
D. IPSec 安全协议给出了封装安全载荷和鉴别头两种通信保护机制。
51. 小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时,面试经理要求他给出该企 业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在 以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是 ( ) 。
A.访问控制列表 (ACL)
B.能力表 (CL)
C.BLP 模型
D.Biba 模型
52. 在软件开发过程中,常用图作为描述攻击,如 DFD 就是面向 () 分析方法的描述工具,在一套分层 DFD
中,如果某一张图中有 N 个加工 (Process) 则这张图允许有 () 张子图,在一张 DFD 中任意两个加工之间 ()。
第 8 页 共 17 页
在画分层 DFD 时,应注意保持 () 之间的平衡。DFD 中从系统的输入流到系统的输出流的一连串交换形式一 种信息流,这种信息流可分为交换流和事物流两类。
A.数据流;0^N;有 0 条或多条名字互不相同的数据流;父图与其子图
B. 数据流;I^N;有 0 条或多条名字互不相同的数据流;父图与其子图
C.字节流;0^N;有 0 条或多条名字互不相同的数据流;父图与其子图
D.数据流;0^N;有 0 条或多条名字互不相同的数据流;子图之间
53. 社会工程学本质上是一种 () , () 通过种种方式来引导受攻击者的 () 向攻击者期望的方向发展。罗 伯特 ·B ·西奥迪尼 (Robert B Cialdini) 在科学美国人 (2001 年 2 月) 杂志中总结对 () 的研究,介绍了
6 种“人类天性基本倾向” ,这些基本倾向都是 () 工程师在攻击中所依赖的 (有意思或者无意识的) 。
A.攻击者;心理操纵;思维;心理操纵;社会工程学
B.攻击者;心理操纵;心理操纵;社会工程学
C.心理操纵;攻击者;思维;心理操纵;社会工程学
D.心理操纵;思维;心理操纵;攻击者;社会工程学
54. ITIL 它包含 5 个生命周期,分别是 () 、 () 、 () 、 () 、 () .
A.战略阶段;设计阶段;转换阶段;运营阶段;改进阶段
B.设计阶段;战略阶段;转换阶段;运营阶段;改进阶段
C.战略阶段;设计阶段;运营阶段;转换阶段;改进阶段
D.转换阶段;战略阶段;设计阶段;运营阶段;改进阶段
55. 某公司正在进行 IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()
A.由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试
B.在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败
C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复 计划 (DRP) 文档
56. COBIT (信息和相关技术的控制目标) 是国际专业协会 ISACA 为信息技术 (IT) 管理和 IT 治理创建的良 好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕 IT 相关流程和推动因素的逻辑框架进行组 织。COBIT 模型按照流程,请问,COBIT 组件包括 () 、 ()、 () 、 () 、 () 等部分。
A. 流程描述、框架、控制目标、管理指南、成熟度模型
B. 框架、流程描述、管理目标、控制目标、成熟度模型
C.框架、流程描述、控制目标、管理指南、成熟度模型
D. 框架、管理指南、流程描述、控制目标、成熟度模型
57. 关于软件安全问题,下面描述错误的是 ()
A.软件的安全问题可以造成软件运行不稳定,得不到正确结果甚至崩溃
B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决 C.软件的安全问题可能被攻击者利用后影响人身健康安全
D.软件的安全问题是由程序开发者遗留的,和软件部署运行环境无关
58. 以下哪项是《国家信息化领导小组关于加强信息安全保障工作的意见》的总体方针和要求?
A.坚持积极攻击、综合防范的方针
B.全面提高信息安全防护能力
C.重点保障电信基础信息网络和重要信息系统安全
D.创建安全健康的网络环境,保障和促进工业化发展,保护公众利益,维护国家安全
59. 随着计算机和网络技术的迅速发展,人们对网络的依赖性达到了前所未有的程度,网络安全也面临着越 来越严峻的考验。如何保障网络安全就显得非常重要,而网络安全评估是保证网络安全的重要环节。以下不 属于网络安全评估内容的是 ()
A.数据加密 B.漏洞检测 C.风险评估 D.安全审计
第 9 页 共 17 页
60. 2006 年 5 月 8 日电,中共中央办公厅、国务院办公厅印发了《2006-2020 年国家信息化发展战略》 。全 文分 () 部分共计约 15000 余字。对国内外的信息化发展做了宏观分析,对我国信息化发展指导思想和战略 目标标准要阐述,对我国 () 发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发 展的 () ,当前我国信息安全保障工作逐步加强。制定并实施了 () ,初步建立了信息安全管理体制和 () 。 基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
A. 5 个;信息化;基本形势;国家安全战略;工作机制
B.6 个;信息化;基本形势;国家信息安全战略;工作机制
C.7 个;信息化;基本形势;国家安全战略;工作机制
D.8 个;信息化;基本形势;国家信息安全战略;工作机制
61. 张主任的计算机使用Windows7 操作系统,他常登陆的用户名为 zhang,张主任给他个人文件夹设置了权 限为只有 zhang 这个用户有权访问这个目录,管理员在某次维护中无意将 zhang 这个用户删除了,随后又重 新建了一个用户名为 zhang,张主任使用 zhang 这个用户登陆系统后,发现无法访问他原来的个人文件夹, 原因是 ()
A.任何一个新建用户都需要经过授权才能访问系统中的文件
B.windows 不认为新建立用户 zhang 与原来的用户 zhang 同一个用户,因此无权访问
C.用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问
D.新建的用户 zhang 会继承原来用户的权限,之所以无权访问时因为文件夹经过了加密
62. ISO2007:2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实施、保持和不断 改进 () 制定了要求。ISO27001 标准的前身为 () 的 BS7799 标准,该标准于 1993 年由 () 立项,于 1995 年英国首次出版 BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组 成的 () ,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一 () ,并且适用大、中、小 组织。
A.ISMS;德国;德国贸易工业部;实施规则;参考基准
B.ISMS;法国;法国贸易工业部;实施规则;参考基准
C.ISMS;英国;英国贸易工业部;实施规则;参考基准
D.ISMS;德国;德国贸易工业部;参考基准;实施规则
63. 终端访问控制器访问控制系统 (Terminal Access Controller Access-Control System,TACACS) 由 RFC1492 定义,标准的 TACACS 协议只认证用户是否可以登录系统,目前已经很少使用,TACACS+协议由 Cisco 公司提出,主要应用于Ciso 公司的产品中,运行与TCP 协议之上。TACACS+协议分为 () 两个不同的过程
A.认证和授权 B.加密和认证
C. 数字签名和认证 D.访问控制和加密
64. 网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上,针对可能发生的 重大网络与信息系统突发事件,预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合 与协调,下面应急响应工作流程图中,空白方框中从右到左依次填入的是 () 。
A. 应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组
B. 应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组
C. 应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日常运行小组
D. 应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响应实施小组
65. 随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以 适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、 RBAC2 和 RBAC3 四种类型,它们之间存在相互包含关系。下列选项中,对它们关系描述错误的是 () 。
A.RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0
B.RBAC1 在 RBAC0 的基础上,加入了角色等级的概念
C.RBAC2 在 RBAC1 的基础上,加入了约束的概念
D.RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束
66. 安全漏洞扫描技术是一类重要的网络安全技术。当前,网络安全漏洞扫描技术的两大核心技术是 () 。
A.PING 扫描技术和端口扫描技术
B.端口扫描技术和漏洞扫描技术
C.操作系统探测和漏洞扫描技术
D.PING 扫描技术和操作系统探测
67. 下列选项中对信息系统审计概念的描述中不正确的是 ()
A.信息系统审计,也可称作 IT 审计或信息系统控制审计
B.信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审计目标则是判断信息系统 是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性
C.信息系统审计师单一的概念,是对会计信息系统的安全性、有效性进行检查
D.从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项目合规审计、绩效 审计等
68. 甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况,甲公司将这个任务委托了 乙公司,那么乙公司的设计员应该了解 OSI 参考模型中的哪一层 ()
A.数据链路层 B.会话层 C.物理层 D.传输层
69. 信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性 措施,也包括事件发生后的应对措施。应急响应方法和过程并不偶是唯一的,在下面的应急响应管理流程中, 空白方框处填写正确的是选项是 ()
培训阶段 B.文档阶段 C.报告阶段D.检测阶段
70. 下面哪一项情景属于身份鉴别 (Authentication) 过程? ()
A.用户依照系统提示输入用户名和口令
B.用户在网络上共享了自己编写的一份 Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容 C.用户使用加密软件对自己家编写的Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容 D.某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记 录在系统日志中
71. 终端访问控制器访问控制系统 (TERMINAL Access Controller Access-Control System,TACACS) ,在认 证过程中,客户机发送一个 START 包给服务器,包的内容包括执行的认证类型、用户名等信息。START 包只 在一个认证会话开始时使用一个,序列号永远为 () .服务器收到 START 包以后,回送一个 REPLY 包,表示认
证继续还是结束。
A.0 B.1 C.2 D.4
72. 为了开发高质量的软件,软件效率成为最受关注的话题。那么开发效率主要取决于以下两点:开发新功 能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率,应 () 。
A.随机地选取测试数据
B.取一切可能的输入数据为测试数据
C.在完成编码以后制定软件的测试计划
D.选择发现错误可能性最大的数据作为测试用例
73. 以下哪个组织所属的行业的信息系统不属于关键信息基础设施?
A.人民解放军战略支援部队
B.***移动吉林公司
C.重庆市公安局消防总队
D.上海市卫生与计划生育委员会
74. 目前应用面临的威胁越来越多,越来越难发现。对应用系统潜在的威胁目前还没有统一的分类,但小赵 认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对,请问是下面哪一项 () A.数据访问权限 B.伪造身份 C.钓鱼攻击 D.远程渗透
75. 与 PDR 模型相比,P2DR 模型则更强调 () ,即强调系统安全的 () ,并且以安全检测、 () 和自适应填
充“安全间隙“为循环来提高 () 。
A.漏洞监测;控制和对抗;动态性;网络安全
B.动态性;控制和对抗;漏洞监测;网络安全
C.控制和对抗;漏洞监测;动态性;网络安全
D.控制和对抗;动态性;漏洞监测;网络安全
76. 某单位在进行内部安全评估时,安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞 扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞,然而此报告在内部审计时被质疑,原因 在于小张使用的漏洞扫描软件采购于三年前,服务已经过期,漏洞库是半年前最后一次更新的。关于内部审 计人员对这份报告的说法正确的是 () A.内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证
B.内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的
C.内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准确 D.内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的
77. 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境 中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的 () ,向信 息系统的所有相关方提供信息系统的 () 能够实现其安全保障策略,能够将将其所面临的风险降低到其可接 受的程度的主观信心。信息系统安全保障评估的评估对象是 () , 信息系统安全保障是一个动态持续的过程, 涉及信息系统整个 () ,因此信息系统安全保障的评估也应该提供一种 () 的信心。
A. 安全保障工作;客观证据;信息系统;生命周期;动态持续
B. 客观证据;安全保障工作;信息系统;生命周期;动态持续
C. 客观证据;安全保障工作;生命周期;信息系统;动态持续
D. 客观证据;安全保障工作;动态持续;信息系统;生命周期
78. 为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好地 描述了星或 ( ·-) 完整性原则? ()
A.Bell-LaPadula 模型中的不允许向下写
B.Bell-LaPadula 模型中的不允许向上读
C.Biba 模型中的不允许向上写
D.Biba模型中的不允许向下读
79. 组织应定期监控、审查、审计 () 服务,确保协议中的信息安全条款和条件被遵守,信息安全事件和问 题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或 () 团队。另外,组织应确保落实供应商 符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是 () 要求的实现。当发现服务交付的不足时,宜采取 () .当供应商提供的服务,包括对 () 方针、规程和控 制措施的维持和改进等发生变更时,应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础 上管理。
A.供应商;服务管理;信息安全;合适的措施;信息安全
B.服务管理;供应商;信息安全;合适的措施;信息安全
C.供应商;信息安全;服务管理;合适的措施;信息安全
D.供应商;合适的措施;服务管理;信息安全;信息安全
80. 下列关于面向对象测试问题的说法中,不正确的是 ()
A.在面向对象软件测试时,设计每个类的测试用例时,不仅仅要考虑用各个成员方法的输入参数,还需要考 虑如何设计调用的序列
B. 构造抽象类的驱动程序会比构造其他类的驱动程序复杂
C.类 B 继承自类 A,如对 B 进行了严格的测试,就意味着不需再对类 A 进行测试
D.在存在多态的情况下,为了达到较高的测试充分性,应对所有可能的绑定都进行测试
81. 火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系 统,保护信息化相关人员和信息系统,将火灾导致的影响降低到可接受的程度。下列选项中,对火灾的预防、
检测和抑制的措施描述错误的选项是 () 。
A.将机房单独设置防火区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃烧材料,进出机房区域的 门采用防火门或防火卷帘,机房通风管设防火栓
B.火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等
C. 自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探测器报警,就立即启动灭 火工作
D. 目前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等
82. 信息安全管理体系也采用了 () 模型,该模型可应用于所有的 () 。ISMS 把相关方的信息安全要求和 期望作为输入,并通过必要的(),产生满足这些要求和期望的 () 。
A.ISMS;PDCA 过程;行动和过程;信息安全结果
B.PDCA;ISMS 过程;行动和过程;信息安全结果
C.ISMS;PDCA 过程;信息安全结果;行动和过程
D.PDCA;ISMS 过程;信息安全结果;行动和过程
83. 你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此漏洞修补的四个 建议方案,请选择其中一个最优方案执行 ()
A.由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装 补丁
B.本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理
C.对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署
D.对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终 端自行升级
84. 小王学习了灾备备份的有关知识,了解到常用的数据备份方式包括完全 备份、增量备份、差量备份,为 了巩固所学知识,小王对这三种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序 是 ()
A.完全备份、增量备份、差量备份
B.完全备份、差量备份、增量备份
C.增量备份、差量备份、完全备份
D.差量备份、增量备份、完全备份
85. 在网络交易发达的今天,贸易双方可以通过签署电子合同来保障自己的合法权益。某中心推出电子签名 服务,按照如图方式提供电子签名,不属于电子签名的基本特性的是 () 。
A.不可伪造性 B.不可否认性
C.保证消息完整性 D.机密性
86. 风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、 职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档 是 ()
第 14 页 共 17 页
A《风险评估方案》 B.《风险评估程序》
C《资产识别清单》 D.《风险评估报告》
87. 等级保护实施根据GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》分为五大阶段; () 、总体规划、设计实施、 () 和系统终止。但由于在开展等级保护试点工作时,大量信息系统已经建设 完成,因此根据实际情况逐步形成了 () 、备案、差距分析 (也叫差距测评) 、建设整改、验收测评、定期 复查为流程的 () 工作流程。和《等级保护实施指南》中规定的针对 () 的五大阶段略有差异。
A.运行维护;定级;定级;等级保护;信息系统生命周期 B.定级;运行维护;定级;等级保护;信息系统生命周期
C.定级运行维护;等级保护;定级;信息系统生命周期
D.定级;信息系统生命周期;运行维护;定级;等级保护
88. 保护-检测-响应 (Protection-Detection-Response,PDR) 模型是 () 工作中常用的模型,思想是承认 () 中漏洞的存在,正视系统面临的 () ,通过采取适度防护、加强 () 、落实对安全事件的响应、建立对威胁 的防护来保障系统的安全。
A.信息系统;信息安全保障;威胁;检测工作
B.信息安全保障;信息系统;检测工作;威胁;检测工作 C.信息安全保障;信息系统;威胁;检测工作
D.信息安全保障;威胁;信息系统;检测工作
89. 在极限测试过程中,贯穿始终的是() A.单元测试和集成测试
B.单元测试和系统测试
C.集成测试和验收测试
D.集成测试和系统测试
答案:单元测试,系统测试,验收测试,尤其包括单元和验收测试。
90. 美国系统工程专家霍尔 (A.D.Hall) 在 1969 年利用机构分析法提出著名的霍尔三维结构,使系统工程的 工作阶段和步骤更为清晰明了,如图所示,霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的 () 阶段和 () 步骤,同时还考虑了为完全这些阶段和步骤所需要的各种 () 。这样,就形成了由 () 、 () 、 和知识维所组成的三维空间结构。
A. 五个;七个;专业知识和技能;时间维;逻辑维
B. 七个;七个;专业知识和技能;时间维;逻辑维
C. 七个;六个;专业知识和技能;时间维;逻辑维
D. 七个;六个;专业知识和技能;时间维;空间维
91. 社会工程学是 () 与 () 结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且 第 15 页 共 17 页
在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的 () ,随着时间流逝最终都会失 效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的“弱 点” ,而人性是 () ,这使得它几乎是永远有效的 () 。
A.网络安全;心理学;攻击方式;永恒存在的;攻击方式
B.网络安全;攻击方式;心理学;永恒存在的;攻击方式
C.网络安全;心理学;永恒存在的;攻击方式
D.网络安全;攻击方式;心理学;攻击方式;永恒存在的
92. 系统安全工程能力成熟度模型评估方法 (SSAM, SSE-CMM Appraisal Method) 是专门基于 SSE-CMM 的评 估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的 () 流程能力和成熟度进行评估所需的 ()。 SSAM 评估过程分为四个阶段, () 、 () 、 () 、 () 。
A.信息和方向;系统安全工程;规划;准备;现场;报告
B. 信息和方向;系统工程;规划;准备;现场;报告
C.系统安全工程;信息;规划;准备;现场;报告 D.系统安全工程;信息和方向;规划;准备;现场;报告
93. 当使用移动设备时,应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时 的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,要加以小心。应采取保护措施 以避免通过这些设备存储和处理的信息未授权的访问或泄露,如使用()、强制使用秘钥身份验证信息。要对 移动计算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的交通工具上、旅馆房间、 会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要 求的 () 。携带重要、敏感和或关键业务信息的设备不宜无人值守,若有可能,要以物理的方式锁起来,或 使用 () 来保护设备。对于使用移动计算设施的人员要安排培训,以提高他们对这种工作方式导致的附加风 险的意识,并且要实施控制措施。
A.加密技术;业务信息;特定规程;专用锁
B.业务信息;特定规程;加密技术;专用锁
C.业务信息;加密技术;特定规程;专用锁
D.业务信息;专用锁;加密技术;特定规程
94. 在规定的时间间隔或重大变化发生时,组织的额 () 和实施方法 (如信息安全的控制目标、控制措施、 方针、过程和规程) 应 () 。独立评审宜由管理者启动, 由独立被评审范围的人员执行,例如内部审核部、 独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的 () 。管理人员宜对 自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行 () 。为了日常功评审 的效率,可以考虑使用自动测量和 () 。评审结果和管理人员采取的纠正措施宜被记录,且这些记录宜予以 维护。
A.信息安全管理;独立审查;报告工具;技能和经验;定期评审
B.信息安全管理;技能和经验;独立审查;定期评审;报告工具
C.独立审查;信息安全管理;技能和经验;定期评审;报告工具
D.信息安全管理;独立审查;技能和经验;定期评审;报告工具
95. 选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置,信息资产的保 护很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性 的。为了保护环境安全,在下列选项中,公司在选址时最不应该选址的场地是().
A. 自然灾害较少的城市
B.部署严格监控的独立园区
C.大型医院旁的建筑
D.加油站旁的建筑
96. 1998 年英国公布标准的第二部分《信安全管理体系规范》,规定 () 管理体系要求与 () 要求,它是一 个组织的全面或部分信息安全管理体系评估的(),它可以作为一个正式认证方案的()。BS 7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布,1999 版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展, 同时还非常强调了商务涉及的信息安全及 () 的责任。
第 16 页 共 17 页
A.信息安全;信息安全控制;根据;基础;信息安全
B.信息安全控制;信息安全;根据;基础;信息安全
C.信息安全控制;信息安全;基础;根据;信息安全
D.信息安全;信息安全控制;基础;根据;信息安全
97. 某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为 200 万元; 如果发生火灾,资产总值将损失至资产值的 25%;这种火灾发生的可能性为 25 年发生一次。则这种威胁的年 度损失预期值为( ).
A.10,000 元 B.15,000 元C.20,000 元 D.25,000 元
98. 安全审计师一种很常见的安全控制措施,它在信息全保障系统中,属于 () 措施。
A.保护 B.检测 C.响应 D.恢复
99. 下列选项分别是四种常用的资产评估方法,哪个是目前采用最为广泛的资产评估方法 () 。
A.基于知识的分析方法 B.基于模型的分析方法
C.定量分析 D.定性分析
100. 访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制,它们具有不同的特点和应 用场景。如果需要选择一个访问控制模型,要求能够支持最小特权原则和职责分离原则,而且在不同的系统 配置下可以具有不同的安全控制,那么在 (1) 自主访问控制, (2) 强制访问控制, (3) 基于角色的访问控 制 (4) 基于规则的访问控制中,能够满足以上要求的选项有 ()
A.只有 (1) (2) B.只有 (2) (3)
C.只有 ( 3) (4) D.只有 (4)
CISP复习题(2)100题-参考答案_20230201_143557.pdf
