1、1C2A3D4B5C1、下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環境、信息安全保障是組織機構安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規和標準的外部環境制約下B、信息安全管理和工程，信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息系統的整個生命周期，在這個過程中，我們需要采用信息系統工程的方法來建設信息系統C、信息安全人才體系，在組織機構中應建立完善的安全意識，培訓體系也是信息安全保障 的重要組成部分D、信息安全技術方案：“從外面內，自下而上，形成邊界到端的防護能力” 2、人們對信息安全的認識從信息

2、技術安全發展到信息安全保障，主要是由于：A、為了更好地完成組織機構的使命B、針對信息系統的攻擊方式發生重大變化C、風險控制技術得到革命性的發展D、除了保密性，信息的完整性和可用性也引起了人們的關注3、關于信息保障技術框架（IATF）,下列哪種說法是錯誤的？A、IATF強調深度防御，關注本地計算環境、區域邊界、網絡和基礎設施、支撐性基礎設施 等多個領域的安全保障B、IATF強調深度防御，即對信息系統采用多層防護，實現組織的業務安全運作C、IATF強調從技術、管理和人等多個角度來保障信息系統的安全D、IATF強調的是以安全檢測、漏洞監測和自適應填充“安全間隙”為循環來提高網絡安全4、信息系統保護輪

3、廓（ISPB定義了 A、某種類型信息系統的與實現無關的一組系統級安全保障要求B、某種類型信息系統的與實現相關的一組系統級安全保障要求C、某種類型信息系統的與實現無關的一組系統級安全保障目的D、某種類型信息系統的與實現相關的一組系統級安全保障目的5、下面對于信息安全特征和范疇的說法錯誤的是：A、信息安全是一個系統性的問題，不僅要考慮信息系統本身的技術問題，還要考慮人員、 管理、政策等眾多因素B、信息安全是一個動態的問題，它隨著信息技術的發展普及，以及產業基礎、用戶認識、 投入產出而發展C、信息安全是無邊界的安全，互聯網使得網絡邊界越來越模糊，因此確定一個組織的信息 安全責任是沒有意義的D、信息安

4、全是非傳統的安全，各種信息網絡的互聯互通和資源共享，決定了信息安全具有 不同于傳統安全的特點6C7A8B9C10D6、橢圓曲線密碼方案是指：A、基于橢圓曲線上的大整數分解問題構建的密碼方案B、通過橢圓曲線方程求解的困難性構建的密碼方案C、基于橢圓曲線上有限域離散對數問題構建的密碼方案D、通過尋找是單向陷門函數的橢圓曲線函數構建的密碼方案7、hash算法的碰撞是指：A、兩個不同的消息，得到相同的消息摘要B、兩個相同的消息，得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長8、Alice從Sue那里收到一個發給她的密文，其他人無法解密這個密文，Alice需要用哪個密鑰來解密這

5、個密文？A、Alice的公鑰B、Alice的私鑰C、Sue的公鑰D、Sue的私鑰9、數字簽名應具有的性質不包括：A、能夠驗證簽名者B、能夠認證被簽名消息C、能夠保護被簽名的數據機密性D、簽名必須能夠由第三方驗證10、Alice有一個消息 M通過密鑰 K和MAC算法生成一個 MAC為C (K,M), Alice將這個 MAC附加在消息 M后面發送給Bob, Bob用密鑰K和消息M計算MAC并進行比較，這個 過程可以提供什么安全服務？A、僅提供保密性B、僅提供不可否認性C、提供消息認證D、保密性和消息認證11C12C13B14C15B11、時間戳的引入主要是為了防止：A、死鎖B、丟失C、重放D、擁

6、塞 12、與 RSA(rivest, shamir, adleman)算法相比，DSS(digital signature standard )不包括:A、數字簽名B、鑒別機制C、加密機制D、數據完整性13、在數字信封中，綜合使用對稱加密算法和公鑰加密算法的主要原因是：A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性B、綜合考慮對稱密鑰算法的密鑰分發難題和公鑰算法加解密效率較低的難題而采取的一種 折中做法C、兩種加密算法的混用，可以提高加密的質量，這是我國密碼政策所規定的要求D、數字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認他收到了該信息，即

7、 抗接受方抵賴14、下列哪個選項是公鑰基礎設施(PKD的密鑰交換處理流程?(1)接收者解密并獲取會話密鑰(2)發送者請求接收者的公鑰(3)公鑰從公鑰目錄中被發送出去(4)發送者發送一個由接收者的公鑰加密過的會話密鑰A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,1 15、IPSE置鑰協商方式有：A、一種，手工方式B、二種，手工方式、IKE自動協商C、一種，IKE自動協商D、二種，IKE自動協商、隧道協商16A17D18B19D20D16、以下哪一項不是工作在網絡第二層的隧道協議:A、VTPB、L2FC、PPTPD、L2TP 17、與PDR模型相比，P2DR模型多了哪一個環

8、節？A、防護B、檢測C、反應D、策略18、以下有關訪問控制矩陣中行和列中元素的描述正確的是：A、行中放用戶名，列中放對象名B、行中放程序名，列中放用戶名C、列中放用戶名，行中放設備名D、列中放標題，行中放程序19、下列哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互?A、強制訪問控制(MAC)B、集中式訪問控制(Decentralized Access Control)C、分布式訪問控制(Distributed AccessControl )D、自主訪問控制（DAC）20、以下哪一項不是 BLP模型的主要任務：A、定義使得系統獲得“安全”的狀態集合B、檢查所有狀態的變化均始于一個

9、“安全狀態”并終止于另一個“安全狀態”C、檢查系統的初始狀態是否為“安全狀態”D、選擇系統的終止狀態21D22A23A24B25D21、訪問控制表與訪問能力表相比，具有以下那個特點：A、訪問控制表更容易實現訪問權限的特點B、訪問能力表更容易瀏覽訪問權限C、訪問控制表回收訪問權限更困難D、訪問控制表更適用于集中式系統22、在Clark-Wilson模型中哪一項不是保證完整性任務的？A、防止職權的濫用B、防止非授權修改C、維護內部和外部的一致性D、防止授權但不適當地修改23、以下對單點登錄技術描述不正確的是：A、單點登錄技術實質是安全憑證在多個用戶之間的傳遞或共享B、使用單點登錄技術用戶只需在登錄

10、時進行一次注冊，就可以訪問多個應用C、單點登錄不僅方便用戶使用，而且也便于管理D、使用單點登錄技術能簡化應用系統的開發 24、鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的:A、口令B、令牌C、知識D、密碼25、系統審計日志不包括以下哪一項：A、時間戳B、用戶標識C、對象標識D、處理結果26B27B28B29B30C26、以下哪一項不是審計措施的安全目標：A、發現試圖繞過系統安全機制的訪問B、記錄雇員的工作效率C、記錄對訪問客體采用的訪問方式D、發現越權的訪問行為27、一個VLAN可以看做是一個：A、沖突域B、廣播域C、管理域D、阻塞域28、以下對RADIUS協議說法

11、正確的是:A、它是一種B/S結構的協議B、它是一項通用的認證計費協議C、它使用TCP通信D、它的基本組件包括認證、授權和加密 29、UDP協議和TCP議對應于ISO/OSI模型的哪一層？A、鏈路層B、傳輸層C、會話層D、表不'層30、路由器的擴展訪問控制列表能夠檢查流量的那些基本信息？A、協議，vtan id,源地址，目標地址B、協議，vian id ,源端口，目標端口C、源地址，目地地址，源端口，目標端口，協議D、源地址，目地地址，源端口，目標端口，交換機端口號31A32B33B34C5B31、TCP/IP中哪個協議是用來報告錯誤并代表IP對消息進行控制?A、ICMPB、IGMPC、

12、ARPD、SNMP32、TCP采用第三次握手來建立一個連接，第二次握手傳輸什么信息：A、SYNB、SYN+ACKC、ACKD、FIN33、某個客戶的網絡現在可以正常訪問Internet互聯網，共有200臺終端PC但此客戶從ISP（互聯網絡服務提供商），互聯網最好采取什么方法或技術：A、花更多的錢向ISP申請更多的IP地址B、在網絡的出口路由器上做源NATC、在網絡的出口路由器上做目的NATD、在網絡出口處增加一定數量的路由器34、以下哪個一個項對“ ARP'的解釋是正確的：A、Access routing protocol-訪問路由協議B、Access routing protocol

13、-訪問解析協議C、Address resolution protocol-地址解析協議D、Address recovery protocol-地址恢復協議35、下面對于X.25協議的說法錯誤的是？A、傳輸速率可達到 56KbpsB、其優點是反復的錯誤校驗頗為費時C、其缺點是反復的錯誤校驗頗為費時D、由于它與TCP/IP協議相比處于劣勢，所以漸漸被后者淘汰36D37C38D39B40D36、下列對于DMZ區的說法錯誤的是：A、它是網絡安全防護的一個“非軍事區”B、它是對“深度防御”概念的一種實現方案C、它是一種比較常用的網絡安全域劃分方式D、要想搭建它至少需要兩臺防火墻37、哪一類防火墻具有根據

14、傳輸信息的內容(如關鍵字、文件類型)來控制訪問連續的能力?A、包過濾防火墻B、狀態監測防火墻C、應用網關防火墻D、以上都不是38、以下哪一項不屬于入侵檢測系統的功能A、監視網絡上的通信數據流B、捕捉可疑的網絡活動C、提供安全審計報告D、過濾非法的數據包39、下面哪一項不是通過IDS模型的組成部分：A、傳感器B、過濾器C、分析器D、管理器 40、下面哪一項是對 IDS的正確描述？A、基于特征(Signature-based)的系統可以檢測新的攻擊類型B、基于特征(Signature-based)的系統化基于行為(behavior-based)的系統產生更多的誤C、基于彳T為(behavior-b

15、ased )的系統維護狀態數據庫來與數據包和攻擊相匹配D、基于行為(behavior-based)的系統比基于特征(Signature-based)的系統有更高的誤報 41D42B43D44D45D41、可信計算技術不能：A、確保系統具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊B、確保密鑰操作和存儲的安全C、確保硬件環境配置、操作系統內核、服務及應用程序的完整性D、使計算機具有更高的穩定性42、chmod 744 test命令執行的結果是：A、test文件的所有者具有執行讀寫權限，文件所屬的組合其它用戶有讀的權限B、test文件的所有者具有執行讀寫和執行權限，文件所屬的組和其它用戶有讀的權

16、限C、test文件的所有者具有執行讀和執行權限，文件所屬的組和其它用戶有讀的權限D、test文件的所有者具有執行讀寫和執行權限，文件所屬的組和其它用戶有讀和寫的權限43、 Linux 系統的用戶信息保存在 passwd 中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh ,以下關于該賬號的描述不正確的是：A、backup賬號沒有設置登錄密碼B、backup賬號的默認主目錄是 /var/backupsC、backup賬號登陸后使用的 shell是/bin/shD、backup賬號是無法進行登錄44、以下對windows賬號的描述，正確的是：A、wi

17、ndows系統是采用SID （安全標識符）來標識用戶對文件或文件夾的權限B、windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、windows系統默認會生成 administration和guest兩個賬號，兩個賬號都不允許改名和刪ID、windows系統默認生成administration和guest兩個賬號，兩個賬號都可以改名和刪除45、以下哪一項不是IIS服務器支持的訪問控制過濾類型？A、網絡地址訪問控制B、web服務器許可C、NTFS許可D、異常行為過濾46D47C48B49D50C46、以下哪個對 windows系統日志的描述是錯誤的？A、windows系統默認有三個日志

18、，系統日志，應用程序日志，安全日志B、系統日志跟蹤各種各樣的系統事件，例如跟蹤系統啟動過程中的事件或者硬件和控制器 的故障C、應用日志跟蹤應用程序關聯的事件，例如應用程序產生的裝載DLL （動態鏈接庫）失敗的信息D、安全日志跟蹤各類網絡入侵事件，例如拒絕服務攻擊、口令暴力破解等47、為了實現數據庫的完整性控制，數據庫管理員應向DBMS提出一組完整性規則來檢查數據庫中的數據，完整性規則主要由三部分組成，以下哪一項不是完整性規則的內容？A、完整性約束條件B、完整性檢查機制C、完整性修復機制D、違約處理機制48、數據庫事務日志的用途是什么？A、事務日志B、數據恢復C、完整性約束D、保密性控制49、以

19、下哪一項不是 SQL語言的功能A、數據定義B、數據檢查C、數據操縱D、數據加密50、以下哪一項是和電子郵件系統無關的？A、PEMB、PGPC、X.500D、X.40051C52C53C54D55D51、下面對于cookie的說法錯誤的是：A、cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包含的信息B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C、通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而是用 session驗證方法52、電子商務安全要求的

20、四個方面是：A、傳輸的高效性、數據的完整性、交易各方的身份認證和交易的不可抗抵賴B、存儲的安全性、傳輸的高效性、數據的完整性和交易各方的身份認證C、傳輸的安全性、數據的完整性、交易各方的身份認證和交易不可抵賴性D、存儲的安全性、傳輸的高效性、數據的完整性和交易的不可抵賴性53、Apache Web服務器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf54、以下哪個是惡意代碼采用的隱藏技術A、文件隱藏B、進程隱藏C、網絡連接隱藏D、以

21、上都是55、下列那種技術不是惡意代碼的生存技術？A、反跟蹤技術B、加密技術C、模糊變換技術D、自動解壓縮技術56B57B58D59D60D56、以下對于蠕蟲病毒的說法錯誤的是：A、通常蠕蟲的傳播無需用戶的操作B、蠕蟲病毒的主要危害體現在對數據保密性的破壞C、蠕蟲的工作原理與病毒相似，除了沒有感染文件階段D、是一段能不以其他程序為媒介，從一個電腦系統復制到另一個電腦系統的程序57、被以下哪種病毒感染后，會使計算機產生下列現象：系統資源被大量占用，有時會彈出RPC服務終止的對話框，并且系統反復重啟，不能收發郵件、不能正常復制文件、無法正常瀏覽網頁，復制粘貼等操作受到嚴重影響的，DNS和IIS服務遭

22、到非法拒絕等。A、高波變種3TB、沖擊波C、震蕩波D、尼姆達病毒58、當用戶輸入的數據被一個解釋器當作命令或查詢語句的一部分執行時，就會產生哪種類型的漏洞？A、緩沖區溢出B、設計錯誤C、信息泄露D、代碼注入59、下面對漏洞出現在軟件開發的各個階段的說法中錯誤的是？A、漏洞可以在設計階段產生B、漏洞可以在實現過程中產生C、漏洞可以在運行過程中產生D、漏洞可以在驗收過程中產生60、DNS欺騙是發生在TCP/IP協議中 層的問題A、網絡接口層B、互聯網網絡層C、傳輸層D、應用層61B62D63A64B65C61、IP欺騙（IP Spoof）是發生在TCP/IP協議中 層的問題A、網絡接口層B、互聯網

23、網絡層C、傳輸層D、應用層62、分片攻擊問題發生在：A、數據包被發送時B、數據包在傳輸過程中C、數據包被接收時D、數據包中的數據進行重組時 63、下面關于軟件測試的說法錯誤的是：A、所謂“黑盒”測試就是測試過程不測試報告中進行描述，且對外嚴格保密B、出于安全考慮，在測試過程中盡量不要使用真實的生產數據C、測試方案和測試結果應當成為軟件開發項目文檔的主要部分被妥善的保存D、軟件測試不僅應關注需要的功能是否可以被實現，還要注意是否有不需要的功能被實現 了64、傳統軟件開發方法無法有效解決軟件安全缺陷問題的原因是：A、傳統軟件開發方法將軟件開發分為需求分析、架構設計、代碼編寫、測試和運行維護五 個階

24、段B、傳統的軟件開發方法，注重軟件功能實現和保證，缺乏對安全問題進行處理的任務、里 程碑與方法論，也缺乏定義對安全問題的控制與檢查環節C、傳統的軟件開發方法，將軟件安全定義為編碼安全，力圖通過規范編碼解決安全問題， 缺乏全面性D、傳統的軟件開發方法僅從流程上規范軟件開發過程，缺乏對人員的培訓要求，開發人員 是軟件安全缺陷產生的根源65、對攻擊面(Attack surface)的正確定義是：A、一個軟件系統可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的安全性就越低B、對一個軟件系統可以采取的攻擊方法集合，一個軟件的攻擊面越大安全風險就越大C、一個軟件系統的功能模塊的集合，軟件的功能模塊越多，

25、可被攻擊的點也越多，安全風 險也越大D、一個軟件系統的用戶數量的集合，用戶的數量越多，受到攻擊的可能性就越大，安全風 險也越大66D67D68B69A70D66、下面對PDCA模型的解釋不正確的是：A、通過規劃、實施、檢查和處置的工作程序不斷改進對系統的管理活動B、是一種可以應用于信息安全管理活動持續改進的有效實踐方法C、也被稱為“戴明環”D、適用于對組織整體活動的優化，不適合單個的過程以及個人67、下面關于ISO27002的說法錯誤的是：A、 ISO27002 的前身是 ISO17799-1B、ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機構選用，但不是全部C、ISO2700

26、2對于每個控制措施的表述分“控制措施”，“實施指南”和“其他信息”三個部分來進行描述D、ISO27002提出了十一大類的安全管理措施，其中風險評估和處置是處于核心地位的一類安全措施68、下述選項中對于“風險管理”的描述不正確的是：A、風險管理員是指導和控制一個組織相關風險的協調活動，它通常包括風險評估、風險處 置、風險接受和風險溝通B、風險管理的目的是了解風險并采取措施處置風險并將風險消除C、風險管理是信息安全工作的重要基礎，因此信息安全風險管理必須貫穿到信息安全保障 工作、信息系統的整個生命周期中D、在網絡與信息系統規劃設計階段，應通過信息安全風險評估進一步明確安全需求和安全 目標。69、在

27、信息安全領域，風險的四要素是指？A、資產及其價值、威脅、脆弱性、現有的和計劃的控制措施B、資產及其價值、系統的漏洞、脆弱性、現有的和計劃的控制措施C、完整性、可用性、機密性、不可抵賴性D、減低風險、轉嫁風險、規避風險、接受風險70、在信息安全風險管理體系中分哪五個層面？A、決策層、管理層、執行層、支持層、用戶層B、決策層、管理層、建設層、維護層、用戶層C、管理層、建設層、運行層、支持層、用戶層D、決策層、管理層、執行層、監控層、用戶層71C72C73B74D75B71、在風險管理工作中“監控審查”的目的，一是 ；二是.A、保證風險管理過程的有效性，保證風險管理成本的有效性B、保證風險管理結果的

28、有效性，保證風險管理成本的有效性C、保證風險管理過程的有效性，保證風險管理活動的決定得到認可D、保證風險管理結果的有效性，保證風險管理活動的決定得到認可72、下列安全控制措施的分類中，哪個分類是正確的（p-預防性的，D-檢測性白以及 C型正性的控制）1、網絡防火墻2、編輯和確認程序3、賬戶應付支出報告4、賬戶應付對賬5、RAID 級別 36、銀行賬單的監督復審7、分配計算機用戶標識8、交易日志A、P,PD,PPC,D,andCB、D,PPPC,C,D, andDC、PFD,D,C,D,P andCD、P,D,C,C,D用 andD73、信息安全風險評估分為自評估和檢查評估兩種形式，下列描述不正

29、確的是：A、信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充B、檢查評估可在自評估實施的基礎上，對關鍵環節或重點內容實施抽樣評估C、檢查評估也可委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發起單位 負責D、檢查評估是指信息系統上級管理部門組織有關職能部門開展的風險評估74、某公司正在對一臺關鍵業務服務器進行風險評估，該服務器價值138000元，針對某個特定威脅的暴露因子（EF）是45%,該威脅的年度發生率（ARO）為每10年發生1次。根據以上信息，該服務器的年度預期損失值（ALE）是多少？A、 1800 元B、 62100 元C、 140000 元D、 6210

30、元75、下列哪些內容應包含在信息系統戰略計劃中？A、已規劃的硬件采購的規范B、將來業務目標的分析C、開發項目的目標日期D、信息系統不同的年度預算目標76D77C78B79B80A76、以下哪一個是對人員安全管理中“授權蔓延”這概念的正確理解？A、外來人員在進行系統維護時沒有收到足夠的監控B、一個人擁有了不是其完成工作所必要的權限C、敏感崗位和重要操作長期有一個人獨自負責D、員工由一個崗位變動到另一個崗位，累計越來越多的權限77、ISO27002中描述的11個信息安全管理控制領域不包括：A、信息安全組織B、資產管理C、內容安全D、人力資源安全78、依據國家標準信息安全技術信息系統災難恢復規范（G

31、B/T20988）,需要備用場地但不要求部署備用數據處理設備的是災難恢復等級的第幾級？A、2B、3C、D、 79、以下哪一種備份方式再恢復時間上最快?A、增量備份B、差異備份C、完全備份D、磁盤備份80、計算機應急響應小組的簡稱是:A、 CERTB、FIRSTC、SANAD、CEAT81D82D83B84C85B81、為了保證系統日志可靠有效，以下哪一項不是日志必需具備的特征。A、統一而精確地的時間B、全面覆蓋系統資產C、包括訪問源、訪問目標和訪問活動等重要信息D、可以讓系統的所有用戶方便的讀取82、依據國家標準信息安全技術信息系統災難恢復規范(GB/T20988),災難恢復管理過程的主要步驟

32、是災難恢復需求分析，災難恢復策略制定，災難恢復預案制定和管理，其中災難恢復策略實現不包括以下哪一項？A、分析業務功能B、選擇和建設災難備份中心C、實現災備系統技術方案D、實現災備系統技術支持和維護能力 83、在進行應用系統的的測試時，應盡可能避免使用包含個人隱私和其他敏感信息的實際生 產系統中的數據，如果需要使用時。以下哪一項不是必須做的：A、測試系統應使用不低于生產關系的訪問控制措施B、為測試系統中的數據部署完善的備份與恢復措施C、在測試完成后立即清除測試系統中的所有敏感數據D、部署審計措施，記錄生產數據的拷貝和使用84、下列有關能力成熟度模型的說法錯誤的是：A、能力成熟度模型可以分為過程能

33、力方案( Continuous)和組織能力方案(Staged)兩類B、使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域C、使用組織機構成熟度方案時，每一個能力級別都對應一組已經定義好的過程域D、SSE-CMM是一種屬于組織能力方案(Staged)的針對系統安全工程的能力成熟度模型85、一個組織的系統安全能力成熟度達到哪個級別以后，就可以對組織層面的過程進行規范的定義？A、2級一計劃和跟蹤B、3級一充分定義C、4級一量化控制D、5級一持續改進86D87C88D89B90C86、下列哪項不是信息系統安全工程能力成熟度模型（ SSE-CMM的主要過程：A、風險過程B、保證過程C、工程過程D

34、、評估過程87、SSE-CMM工程過程區域中的風險過程包含哪些過程區域？A、評估威脅、評估脆弱性、評估影響B、評估威脅、評估脆弱性、評估安全風險C、評估威脅、評估脆弱性、評估影響、評估安全風險D、評估威脅、評估脆弱性、評估影響、驗證和證實安全88、信息系統安全工程（ISSE的一個重要目標就是在 IT項目的各個階段充分考慮安全因素， 在IT項目的立項階段，以下哪一項不是必須進行的工作：A、明確業務對信息安全的要求B、識別來自法律法規的安全要求C、論證安全要求是否正確完整D、通過測試證明系統的功能和性能可以滿足安全需求89、信息化建設和信息安全建設的關系應當是：A、信息化建設的結果就是信息安全建設

35、的開始B、信息化建設和信息安全建設應同步規劃、同步實施C、信息化建設和信息安全建設是交替進行的，無法區分誰先誰后D、以上說法都正確90、如果你作為甲方負責監管一個信息安全工程項目的實施，當乙方提出一項工程變更時你最應當關注的是：A、變更的流程是否符合預先的規定B、變更是否會對項目進度造成拖延C、變更的原因和造成的影響D、變更后是否進行了準確地記錄91A92B93D94D95C91、以下哪項是對系統工程過程中“概念與需求定義”階段的信息安全工作的正確描述？A、應基于法律法規和用戶需求，進行需求分析和風險評估，從信息系統建設的開始就綜合信息系統安全保障的考慮B、應充分調研信息安全技術發展情況和信息安全產品市場，選擇最先進的安全解決方案和技術產品C、應在將信息安全作為實施和開發人員的一項重要工作內容，提出安全開發的規范并切實 落實D、應詳細規定系統驗收測試中有關系統安全性測試的內容92、在進行應用系統的測試時，應盡可能避免使用包含個人隱私和其他敏感信息的實際