第頁NISP(CISP)復習測試卷1.信息系統安全保護等級為3級的系統，應當()年進行一次等級測評?A、0．5B、1C、2D、3【正確答案】：B解析：

等級保護三級系統一年測評一次，四級系統每半年測評一次。2.下面對“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正確的是（）A、指一個特定的漏洞，該漏洞每年１月１日零點發作，可以被攻擊者用來遠程攻擊，獲取主機權限B、指一個特定的漏洞，特指在２０１０年被發現出來的一種漏洞，該漏洞被“震網”病毒所利用，用來攻擊伊朗布什爾核電站基礎設施C、指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在１天內文完成攻擊，且成功達到攻擊目標D、指一類漏洞，即剛被發現后立即被惡意利用的安全漏洞，一般來說，那些已經被小部分人發現，但是還未公開、還不存在安全補丁的漏洞都是零日漏洞【正確答案】：D解析：

D是零日漏洞的解釋。3.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是：A、組織內的信息安全方針文件、信息安全規章制度文件、信息安全相關操作規范文件等文

檔是組織的工作標準，也是ISMS審核的依據B、組織內的業務系統日志文件、風險評估報告等文檔是對上一級文件的執行和記錄，對這些記錄不需要保護和控制C、組織每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發布日期、編寫人、審批人、主要修訂等內容D、層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立【正確答案】：B解析：

信息安全管理體系運行記錄需要保護和控制。4.以下屬于哪一種認證實現方式：用戶登錄時，認證服務器（AuthenticationServer，AS)產生一個隨機數發送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數混合計算后作為一次性口令，并發送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。A、口令序列B、時間同步C、挑戰/應答D、靜態口令【正確答案】：C解析：

題干描述的是C的解釋。5.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環境安全方面實施常規控制。物理和環境安全領域包括安全區域和設備安全兩個控制目標。安全區域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區域內并受到相應保護。該目標可以通過以下控制措施來實現，不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設施的安全保護。外部和環境威脅的安全防護C、在安全區域工作。公共訪問、交接區安全D、人力資源安全【正確答案】：D6.PKI的主要理論基礎是（）。A、對稱密碼算法B、公鑰密碼算法C、量子密碼D、摘要算法【正確答案】：B7.降低風險（或減低風險）指通過對面的風險的資產采取保護措施的方式來降低風險，下面那個措施不屬于降低風險的措施（）A、減少威脅源，采用法律的手段制裁計算機的犯罪，發揮法律的威懾作用，從而有效遏制威脅源的動機B、簽訂外包服務合同，將有計算難點，存在實現風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險C、減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時給系統打補丁，關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用的可能性【正確答案】：B解析：

B屬于轉移風險。8.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加

一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法

正確的是（）。ACL是Bell-LaPadula模型的一種具體實現B、ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C、ACL對于統計某個主體能訪問哪些客體比較方便D、ACL在增加和修改哪些客體被主體訪問比較方便【正確答案】：D9.以下關于項目的含義，理解錯誤的是：A、項目是為達到特定的目的、使用一定資源、在確定的期間內、為特定發起人而提供獨特的產品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結束日期由項目的領導者根據項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體(Specific)、可測量（Measurable)、需相關方的一致同意(Agreeto)、現實(Realistic)、有一定的時限(Timeoriented)。【正確答案】：B解析：

解釋：據項目進度不能隨機確定，需要根據項目預算、特性、質量等要求進行確定。10.風險計算原理可以用下面的范式形式化地加以說明：風險值=R（A，T，V)=R(L(T，V)，F(Ia，Va))以下關于上式各項說明錯誤的是：A、R表示安全風險計算函數，A表示資產，T表示威脅，V表示脆弱性B、L表示威脅利資產脆弱性導致安全事件的可能性C、F表示安全事件發生后造成的損失D、Ia，Va分別表示安全事件作用全部資產的價值與其對應資產的嚴重程度【正確答案】：D解析：

Ia資產A的價值；Va是資產A的脆弱性嚴重程度。11.當前，應用軟件安全已經日益引起人們的重視，每年新發現的應用軟件漏洞已經占新發現漏洞總數一半以上。下列選項中，哪個與應用軟件漏洞成因無關：A、傳統的軟件開發工程未能充分考慮安全因素B、開發人員對信息安全知識掌握不足C、相比操作系統而言，應用軟件編碼所采用的高級語言更容易出現漏洞D、應用軟件的功能越來越多，軟件越來越復雜，更容易出現漏洞【正確答案】：C解析：

無論高級和低級語言都存在漏洞。12.從系統工程的角度來處理信息安全問題，以下說法錯誤的是：A、系統安全工程旨在了解企業存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全需求轉換為貫穿系統整個生存期的工程實施指南。B、系統安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統的信任度能夠達到企業的要求，或系統遺留的安全薄弱性在可容許范圍之內。C、系統安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發的方法。D、系統安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上，通過對安全工作過程進行管理的途徑，將系統安全工程轉變為一個完好定義的、成熟的、可測量的先進學科。【正確答案】：D解析：

SSE-CMM是面向工程過程質量控制的一套方法,CC標準面向開發、評估、交付的標準。13.下面哪一項安全控制措施不是用來檢測未經授權的信息處理活動的：A、設置網絡連接時限B、記錄并分析系統錯誤日志C、記錄并分析用戶和管理員操作日志D、啟用時鐘同步【正確答案】：A解析：

A屬于防護措施；BCD屬于檢測措施，可以用來檢測未經授權的信息處理活動。14.AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ（簡稱Aｐａｃｈｅ）是一個開放源碼的ＷEB服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發送給客戶端。從安全角度出發，為隱藏這些信息，應當采取以下那種措施（）A、安裝后，修改訪問控制配置文件B、安裝后，修改配置文件Httpd．Conf中的有關參數C、安裝后，刪除AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ源碼【正確答案】：B解析：

答案為B。15.S公司在全國有20個分支機構，總部由10臺服務器、200個用戶終端，每個分支機構都有一臺服務器、100個左右用戶終端，通過專網進行互聯互通。公司招標的網絡設計方案中，四家集成商給出了各自的IP地址規劃和分配的方法，作為評標專家，請給5公司選出設計最合理的一個:A、總部使用服務器、用戶終端統一使用10.0.1.x、各分支機構服務器和用戶終端使用192.168.2.x192.168.20.xB、總部服務器使用—11、用戶終端使用2—212，分支機構IP地址隨意確定即可C、總部服務器使用10.0.1.x、用戶端根據部門劃分使用10.0.2.x，每個分支機構分配兩個A類地址段，一個用做服務器地址段、另外一個做用戶終端地址段D、因為通過互聯網連接，訪問的是互聯網地址，內部地址經NAT映射，因此IP地址無需特別規劃，各機構自行決定即可。【正確答案】：C解析：

答案為C，考核的是IP地址規劃的體系化。16.為了開發高質量的軟件，軟件效率成為最受關注的話題。那么開發效率主要取決于以下兩點：開發新功

能是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應（）。A、隨機地選取測試數據B、取一切可能的輸入數據為測試數據C、在完成編碼以后制定軟件的測試計劃D、選擇發現錯誤可能性最大的數據作為測試用例【正確答案】：D17.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法正確的是（）ACL是Bell-LaPadula模型的一種具體實現B、ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C、ACL對于統計某個主體能訪問哪些客體比較方便D、ACL在增加客體時，增加相關的訪問控制權限較為簡單【正確答案】：D18.信息安全應急響應，是指一個組織為了應對各種安全意外事件的發生所采取的防范措施，既包括預防性

措施，也包括事件發生后的應對措施。應急響應方法和過程并不偶是唯一的，在下面的應急響應管理流程中，

空白方框處填寫正確的是選項是（）

A、培訓階段B、文檔階段C、報告階段D、檢測階段【正確答案】：D19.對于數字證書而言，一般采用的是哪個標準？A、ISO/IEC1540BB、802.11C、GB/T20984D、X.509【正確答案】：D解析：

答案為D。20.小陳自學了風評的相關國家準則后，將風險的公式用圖形來表示，下面F1，F2，F3，F4分別代表某種計算函數，四張圖中，那個計算關系正確【正確答案】：A、B、C、D、【正確答案】：C21.白盒測試的具體優點是：A、其檢查程序是否可與系統的其他部分一起正常運行B、在不知程序內部結構下確保程序的功能性操作有效C、其確定程序準確性成某程序的特定邏輯路徑的狀態D、其通過嚴格限制訪問主機系統的受控或虛擬環境中執行對程序功能的檢查【正確答案】：C22.以下哪個不是導致地址解析協議(ARP)欺騙的根源之一?ARP協議是一個無狀態的協議B、為提高效率，ARP信息在系統中會緩存C、ARP緩存是動態的，可被改寫D、ARP協議是用于尋址的一個重要協議【正確答案】：D解析：

D不是導致欺騙的根源。23.以下哪些問題或概念不是公鑰密碼體制中經常使用到的困難問題?A、大整數分解B、離散對數問題C、背包問題D、偽隨機數發生器【正確答案】：D24.關于計算機取取證描述不正確的是（）A、計算機取證是使用先進的技術和工具，按照標準規程全面的檢查計算機系統以提取和保護有關計算機犯罪

的相關證據的活動B、取證的目的包括通過證據，查找肇事者，通過證據推斷犯罪過程，通過證據判斷受害者損失程度及涉及證

據提供法律支持C、電子證據是計算機系統運行過程中產生的各種信息記錄及存儲的電子化資料及物品，對于電子證據取證工

作主要圍繞兩方面進行證據的獲取和證據的保護D、計算機取證的過程，可以分為準備，保護，提取，分析和提交五個步驟【正確答案】：C25.安全漏洞產生的原因不包括以下哪一點()A、軟件系統代碼的復雜性B、軟件系統市場出現信息不對稱現象C、復雜異構的網絡環境D、攻擊者的惡意利用【正確答案】：D26.關于補丁安裝時應注意的問題，以下說法正確的是A、在補丁安裝部署之前不需要進行測試，因為補丁發布之前廠商已經經過了測試B、補丁的獲取有嚴格的標準,必須在廠商的官網上獲取C、信息系統打補丁時需要做好備份和相應的應急措施D、補丁安裝部署時關閉和重啟系統不會產生影響【正確答案】：C27.PDCERF方法是信息安全應急響應工作中常用的一種方法，它將應急響應分成六個階段。其中，主要執行如下工作應在哪一個階段：關閉信息系統、和/或修改防火墻和路由器的過濾規則，拒絕來自發起攻擊的嫌疑主機流量、和/或封鎖被攻破的登錄賬號等（）A、準備階段B、遏制階段C、根除階段D、檢測階段【正確答案】：B解析：

拒絕來自發起攻擊的嫌疑主機流量等做法屬于遏制階段的工作。28.下面哪項屬于軟件開發安全方面的問題（）A、軟件部署時所需選用服務性能不高，導致軟件執行效率低。B、應用軟件來考慮多線程技術，在對用戶服務時按序排隊提供服務C、應用軟件存在SQL注入漏洞，若被黑客利用能竊取數據庫所用數據D、軟件受許可證（license）限制，不能在多臺電腦上安裝。【正確答案】：C解析：

C有關，ABD與軟件安全開發無關。29.口令破解是針對系統進行攻擊的常用方法，windows系統安全策略中應對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關于這兩個策略說明錯誤的是A、密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B、密碼策略對系統中所有的用戶都有效C、賬戶鎖定策略的主要作用是應對口令暴力破解攻擊，能有效地保護所有系統用戶應對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應對口令暴力破解攻擊【正確答案】：D解析：

賬戶鎖定策略也適用于administrator賬戶。30.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據各自的實際情況選擇適當的風險評估方法。下面的描述中錯誤的是（）。A、定量風險分析試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，以度量風險的可能性和缺失量B、定量風險分析相比定性風險分析能得到準確的數值，所以在實際工作中應使用定量風險分析，而不應用定性風險分析C、定性風險分析過程中，往往需要憑借分析者的經驗和直接進行，所以分析結果和風險評估團隊的素質、經驗和知識技能密切相關D、定性風險分析更具主觀性，而定量風險分析更具客觀性【正確答案】：B解析：

實際工作中根據情況選擇定量、定性或定量與定性相結合。31.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為200萬元人民幣，暴露系數(ExposureFactor，EF)是25％，年度發生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計算的年度預期損失(AnnualizedLossExpectancy，ALE)應該是()。A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣【正確答案】：A解析：

計算方法為200萬*25%*0.1=5萬。32.目前，很多行業用戶在進行信息安全產品選項時，均要求產品需通過安全測評，關于信息安全產品測評的意義，下列說法中不正確的是（）A、有助于建立和實施信息安全產品的市場準入制度B、對用戶采購信息安全產品、設計、建設、使用和管理安全的信息系統提供科學公正的專業指導C、對信息安全產品的研究、開發、生產以及信息安全服務的組織提供嚴格的規范引導和質量監督D、打破市場壟斷，為信息安全產品發展創造一個良好的競爭環境【正確答案】：D解析：

題干中信息安全產品測評的主要目的是安全作用，不是經濟作用。33.作為信息安全從業人員，以下哪種行為違反了CISP職業道德準側（）A、抵制通過網絡系統侵犯公眾合法權益B、通過公眾網絡傳播非法軟件C、不在計算機網絡系統中進行造謠、欺詐、誹謗等活動D、幫助和指導信息安全同行提升信息安全保障知識和能力。【正確答案】：B34.ISO9001-2000標準在制定、實施質量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關于過程方法的示意圖，圖中括號空白處應填寫（）

A、策略B、管理者C、組織D、活動【正確答案】：D35.下圖中描述網絡動態安全的P2DR模型，這個模型經常使用圖形的形式來表達的下圖空白處應填（）

A、策略B、方針C、人員D、項目【正確答案】：A36.根據《關于開展信息安全風險評估工作的意見》的規定，錯誤的是：A、信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和檢查評估相互結合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應貫穿于網絡和信息系統建設運行的全過程D、開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導【正確答案】：A解析：

信息安全風險評估應以自評估（自查）為主。37.近年來利用DNS劫持攻擊大型網站惡性攻擊事件時有發生，防范這種攻擊比較有效的方法是?A、加強網站源代碼的安全性B、對網絡客戶端進行安全評估C、協調運營商對域名解析服務器進行加固D、在網站的網絡出口部署應用級防火墻【正確答案】：C解析：

協調運營商對域名解析服務器進行加固是DNS防護的主要手段。38.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖(圖中包括了規劃建立、實施運行、（）、保持和改進），但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。A、監控和反饋ISMSB、批準和監督ISMSC、監視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C解析：

管理體系PDCA分別指的階段是：P-規劃建立、D-實施運行、C-監視和評審、A-保持和改進。39.對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關于以下預防措施或意識，說法錯誤的是：A、在使用來自外部的移動介質前，需要進行安全掃描B、限制用戶對管理員權限的使用C、開放所有端口和服務，充分使用系統資源D、不要從不可信來源下載或執行應用程序【正確答案】：C解析：

C是錯誤的，應該是最小化端口和服務。40.關于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）。A、信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構、方針、活動、職責及相關實踐要素B、管理體系（ManagementSystems）是為達到組織目標的策略、程序、指南和相關資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領域的應用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構，健全信息安全管理制度、構建信息安全技術防護體系和加強人員的安全意識等內容【正確答案】：A解析：

完成安全目標所用各類安全措施的體系。41.組織建立業務連續性計劃（BCP)的作用包括：A、在遭遇災難事件時，能夠最大限度地保護組織數據的實時性，完整性和一致性；B、提供各種恢復策略選擇，盡量減小數據損失和恢復時間，快速恢復操作系統、應用和數據；C、保證發生各種不可預料的故障、破壞性事故或災難情況時，能夠持續服務，確保業務系統的不間斷運行，降低損失；D、以上都是。【正確答案】：D解析：

正確答案為D。42.基于TCP的主機在進行一次TCP連接時簡要進行三次握手，請求通信的主機A要與另一臺主機B建立連接時，A需要先發一個SYN數據包向B主機提出連接請示，B收到后，回復一個ACK/SYN確認請示給A主機，然后A再次回應ACK數據包，確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機，使目標主機發送的ACK/SYN包得不到確認。一般情況下，目標主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發送到目標主機時，目標主機上就會有大量的連接請示等待確認，當這些未釋放的連接請示數量超過目標主機的資源限制時。正常的連接請示就不能被目標主機接受，這種SYNFlood攻擊屬于（）A、拒絕服務攻擊B、分布式拒絕服務攻擊C、緩沖區溢出攻擊D、SQL注入攻擊【正確答案】：A43.在GB／T18336《信息技術安全性評估準則》（CC標準）中，有關保護輪廓(ProtectionProfile，PP)和安全目標(SecurityTarget，ST)，錯誤的是：A、PP是描述一類產品或系統的安全要求B、PP描述的安全要求與具體實現無關C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實現有關【正確答案】：C解析：

兩份不同的ST可以同時滿足同一份PP的要求。44.某軟件公司準備提高其開發軟件的安全性，在公司內部發起了有關軟件開發生命周期的討論，在下面的發言觀點中，正確的是（）A、軟件安全開發生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決９０％以上的安全問題B、應當盡早在軟件開發的需求和設計階段就增加一定的安全措施，這樣可以比在軟件發布以后進行漏洞修復所花的代價少的多。C、和傳統的軟件開發階段相比，微軟提出的安全開發生命周期的最大特點是增加了一個抓們的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業性，如果該開發人員已經對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試【正確答案】：B解析：

正確答案為B。45.防火墻是網絡信息系統建設中常采用的一類產品，它在內外網隔離方面的作用是（）。A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C46.對涉密系統進行安全保密測評應當依據以下哪個標準?A、BMB20-2007《涉及國家秘密的計算機信息系統分級保護管理規范》BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》C、GB17859-1999《計算機信息系統安全保護等級劃分準則》D、GB／T20271-2006《信息安全技術信息系統統用安全技術要求》【正確答案】：B解析：

B為正確答案。47.WindowsNT提供的分布式安全環境又被稱為:A、域（Domain）B、工作組C、對等網D、安全網【正確答案】：A48.由于Internet的安全問題日益突出，基于TCP/IP協議，相關組織和專家在協議的不同層次設計了相應的安全通信協議，用來保障網絡各層次的安全。其中，屬于或依附于傳輸層的安全協議是（）A、PP2PB、L2TPC、SSLD、IPSec【正確答案】：C49.在某網絡機房建設項目中，在施工前，以下哪一項不屬于監理需要審核的內容：A、審核實施投資計劃B、審核實施進度計劃C、審核工程實施人員D、企業資質【正確答案】：A解析：

監理從項目招標開始到項目的驗收結束，在投資計劃階段沒有監理。50.以下哪一項不是信息系統集成項目的特點：A、信息系統集成項目要以滿足客戶和用戶的需求為根本出發點。B、系統集成就是選擇最好的產品和技術，開發響應的軟件和硬件，將其集成到信息系統的過程。C、信息系統集成項目的指導方法是“總體規劃、分步實施”。D、信息系統集成包含技術，管理和商務等方面，是一項綜合性的系統工程【正確答案】：B解析：

系統集成就是選擇最適合的產品和技術。51.某公司開發了一個游戲網站，但是由于網站軟件存在漏洞，在網絡中傳輸大數據包時總是會丟失一些數據，如一次性傳輸大于2000個字節數據時，總是會有3到5個字節不能傳送到對方，關于此案例，可以推斷的是（）A、該網站軟件存在保密性方面安全問題B、該網站軟件存在完整性方面安全問題C、該網站軟件存在可用性方面安全問題D、該網站軟件存在不可否認性方面安全問題【正確答案】：B解析：

題干描述的是完整性。52.信息安全組織的管理涉及內部組織和外部各方兩個控制目標。為了實現對組織內部信息安全的有效管理，

實施常規的控制措施，不包括哪些選項()A、信息安全的管理承諾、信息安全協調、信息安全職責的分配B、信息處理設施的授權過程、保密性協議、與政府部門的聯系.C、與特定利益集團的聯系，信息安全的獨立評審D、與外部各方相關風險的識別、處理外部各方協議中的安全問題【正確答案】：D53.下列關于面向對象測試問題的說法中，不正確的是（）A、在面向對象軟件測試時，設計每個類的測試用例時，不僅僅要考慮用各個成員方法的輸入參數，還需要考

慮如何設計調用的序列B、構造抽象類的驅動程序會比構造其他類的驅動程序復雜C、類B繼承自類

A，如對B進行了嚴格的測試，就意味著不需再對類A進行測試D、在存在多態的情況下，為了達到較高的測試充分性，應對所有可能的綁定都進行測試【正確答案】：C54.操作系統安全的基礎是建立在：A、安全安裝B、安全配置C、安全管理D、以上都對【正確答案】：D55.由于頻繁出現計算機運行時被黑客遠程攻擊獲取數據的現象，某軟件公司準備加強軟件安全開發管理，在下面做法中，

對于解決問題沒有直接幫助的是（）A、要求所有的開發人員參加軟件安全開發知識培訓B、要求增加軟件源代碼審核環節，加強對軟件代碼的安全性審查C、要求統一采用Windows8系統進行開發，不能采用之前的Windows版本D、要求邀請專業隊伍進行第三方安全性測試，盡量從多角度發現軟件安全問題【正確答案】：C解析：

統一采用Windows8系統對軟件安全無幫助。56.某銀行有5臺交換機連接了大量交易機構的網路（如圖所示），在基于以太網的通信中，計算機A需要與計算機B通信，A必須先廣播“ARP請求信息”，獲取計算機B的物理地址。沒到月底時用戶發現該銀行網絡服務速度極其緩慢。銀行經調查后發現為了當其中一臺交換機收到ARP請求后，會轉發給接收端口以外的其他所有端口，ARP請求會被轉發到網絡中的所有客戶機上。為降低網絡的帶寬消耗，將廣播流限制在固定區域內，可以采用的技術是（）

A、VLAN劃分B、動態分配地址C、設立入侵防御系統D、為路由交換設備修改默認口令【正確答案】：A57.某單位發生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處的李強，我的郵箱密碼忘記了，現在打不開郵件，我著急收割郵件，麻煩你先幫我把密碼改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發現郵箱系統登陸異常，請問下說法哪個是正確的A、小張服務態度不好，如果把李強的郵件收下來親自交給李強就不會發生這個問題B、事件屬于服務器故障，是偶然事件，應向單位領導申請購買新的服務器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作D、事件屬于郵件系統故障，是偶然事件，應向單位領導申請郵件服務軟件【正確答案】：C解析：

該題目考點為信息安全措施的操作安全，要求一切操作均有流程。58.下列關于ISO15408信息技術安全評估準則(簡稱CC)通用性的特點，即給出通用的表達方式，描述不正確的是______。A、如果用戶、開發者、評估者和認可者都使用CC語言，互相就容易理解溝通B、通用性的特點對規范實用方案的編寫和安全測試評估都具有重要意義C、通用性的特點是在經濟全球化發展、全球信息化發展的趨勢下，進行合格評定和評估結果國際互認的需要D、通用性的特點使得CC也適用于對信息安全建設工程實施的成熟度進行評估【正確答案】：D解析：

SSE-CMM用于對安全建設工程的成熟度進行評估。CC是信息技術產品或系統的規劃、設計、研發、測試、EAL級別評估進行使用。59.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務攻擊D、社會工程學攻擊【正確答案】：D解析：

D屬于社會工程學攻擊。60.國家科學技術秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述?A、處于國際先進水平，并且有軍事用途或者對經濟建設具有重要影響的B、能夠局部反應國家防御和治安實力的C、我國獨有、不受自然條件因素制約、能體現民族特色的精華，并且社會效益或者經濟效益顯著的傳統工藝D、國際領先，并且對國防建設或者經濟建設具有特別重大影響的【正確答案】：D解析：

D為絕密級。61.某IT公司針對信息安全事件已經建立了完善的預案，在年度企業信息安全總結會上，信息安全管理員對今年應急預案工作做出了四個總結，其中有一項總結工作是錯誤，作為企業的CSO，請你指出存在問題的

是哪個總結？（）A、公司自身擁有優秀的技術人員，系統也是自己開發的，無需進行應急演練工作，因此今年的僅制定了應

急演練相關流程及文檔，為了不影響業務，應急演練工作不舉行B、公司制定的應急演練流程包括應急事件通報、確定應急事件優先級應急響應啟動實施、應急響應時間后期

運維、更新現在應急預案五個階段，流程完善可用C、公司應急預案包括了基本環境類、業務系統、安全事件類、安全事件類和其他類，基本覆蓋了各類應急事

件類型D、公司應急預案對事件分類依據GB/Z20986–2007《信息安全技術信息安全事件分類分級指南》，分為7個

基本類別，預案符合國家相關標準【正確答案】：A62.保護-檢測-響應（Protection-Detection-Response,PDR）模型是（）工作中常用的模型，思想是承認（）

中漏洞的存在，正視系統面臨的（），通過采取適度防護、加強（）、落實對安全事件的響應、建立對威脅

的防護來保障系統的安全。A、信息系統；信息安全保障；威脅；檢測工作B、信息安全保障；信息系統；檢測工作；威脅；檢測工作C、信息安全保障；信息系統；威脅；檢測工作D、信息安全保障；威脅；信息系統；檢測工作【正確答案】：C63.kerberos協議是常用的集中訪問控制協議,通過可信第三的認證服務,減輕應用Kerberos的運行環境由秘鑰分發中心（KDC）、應用服務器和客戶端三個部分組成，認證服務器AS和票據授權服務器

A、1——2——3B、3——2——1C、2——1——3D、3——1——2【正確答案】：D64.某公司已有漏洞掃描和入侵檢測系統(IntrusionDetectionSystem，IDS)產品，需要購買防火墻，以下做法應當優先考慮的是：A、選購當前技術最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產品D、選購一款同已有安全產品聯動的防火墻【正確答案】：D解析：

在技術條件允許情況下，可以實現IDS和FW的聯動。65.在網絡交易發達的今天，貿易雙方可以通過簽署電子合同來保障自己的合法權益。某中心推出電子簽名

服務，按照如圖方式提供電子簽名，不屬于電子簽名的基本特性的是（）。

A、不可偽造性B、不可否認性C、保證消息完整性D、機密性【正確答案】：D66.1998年英國公布標準的第二部分《信安全管理體系規范》，規定（）管理體系要求與（）要求，它是一

個組織的全面或部分信息安全管理體系評估的（），它可以作為一個正式認證方案的（）。BS7799-1與BS7799-2經過修訂于1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及（）的責任。A、信息安全；信息安全控制；根據；基礎；信息安全B、信息安全控制；信息安全；根據；基礎；信息安全C、信息安全控制；信息安全；基礎；根據；信息安全D、信息安全；信息安全控制；基礎；根據；信息安全【正確答案】：A67.組織第一次建立業務連續性計劃時，最為重要的活動是：A、制定業務連續性策略B、進行業務影響分析C、進行災難恢復演練D、構建災備系統【正確答案】：A68.GB/T18336《信息技術安全性評估準則》是測評標準類中的重要標準，該標準定義了保護輪廊（ProtectionProfile，PP）和安全目標（SecurityTarget，ST）的評估準則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（）個遞增的評估保證等級。A、4B、5C、6D、7【正確答案】：D解析：

D為正確答案。69.下列關于信息系統生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業務期望B、描述所涉及系統的安全現狀，提交明確的安全需求文檔C、向相關組織和領導人宣貫風險評估準則D、對系統規劃中安全實現的可能性進行充分分析和論證【正確答案】：C解析：

C屬于風險評估階段的準備階段，不屬于題干中的安全需求階段。70.社會工程學定位在計算機信息安全工作鏈的一個最脆弱的環節，即“人”這個環節上。這些社會工程黑客在某黑客大會上成功攻入世界五百強公司，其中一名自稱是CSO雜志做安全調查，半小時內，攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員，在詢問關于工作滿意度以及食堂食物質量問題后，雇員開始透露其他信息，包括：操作系統、服務包、殺毒軟件、電子郵件及瀏覽器。為對抗此類信息收集和分析，公司需要做的是（）A、通過信息安全培訓，使相關信息發布人員了解信息收集風險，發布信息最小化原則B、減少系統對外服務的端口數量，修改服務旗標C、關閉不必要的服務，部署防火墻、IDS等措施D、系統安全管理員使用漏洞掃描軟件對系統進行安全審計【正確答案】：A71.主體S對客體01有讀(R)權限，對客體02有讀(R)、寫(W)、擁有(Own)權限，該訪問控制實現方法是：A、訪問控制表(ACL)B、訪問控制矩陣C、能力表(CL)D、前綴表(Profiles)【正確答案】：C解析：

定義主體訪問客體的權限叫作CL。定義客體被主體訪問的權限叫ACL。72.根據《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》的規定，以下正確的是：A、涉密信息系統的風險評估應按照《信息安全等級保護管理辦法》等國家有關保密規定和標準進行B、非涉密信息系統的風險評估應按照《非涉及國家秘密的信息系統分級保護管理辦法》等要求進行C、可委托同一專業測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內容【正確答案】：C解析：

C為正確描述。73.以下哪一項不是信息系統集成項目的特點：A、信息系統集成項目要以滿足客戶和用戶的需求為根本出發點B、系統集成就是選擇最好的產品和技術，開發相應的軟件和硬件，將其集成到信息系統的過程C、信息系統集成項目的指導方法是“總體規劃、分步實施”D、信息系統集成包含技術，管理和商務等方面，是一項綜合性的系統工程【正確答案】：B74.以下哪項是對系統工程過程中“概念與需求定義”階段的信息安全工作的正確描述?A、應基于法律法規和用戶需求，進行需求分析和風險評估，從信息系統建設的開始就綜合信息系統安全保障的考慮B、應充分調研信息安全技術發展情況和信息安全產品市場，選擇最先進的安全解決方案和技術產品C、應在將信息安全作為實施和開發人員的一項重要工作內容，提出安全開發的規范并切實落實D、應詳細規定系統驗收測試中有關系統安全性測試的內容【正確答案】：A解析：

A為概念與需求定義的工作內容。B是安全規劃設計階段內容。C是實施階段。D是驗收測試階段的內容。75.關于WI-FI聯盟提出的安全協議WPA和WPA2的區別。下面描述正確的是（）A、WPA是有線局域安全協議，而WPA2是無線局域網協議B、WPA是適用于中國的無線局域安全協議，WPA2是使用于全世界的無線局域網協議C、WPA沒有使用密碼算法對接入進行認證，而WPA2使用了密碼算法對接入進行認證D、WPA是依照802.11i標準草案制定的，而WPA2是按照802.11i正式標準制定的【正確答案】：D解析：

答案為D。76.相比FAT文件系統，以下那個不是NTFS所具有的優勢？A、NTFS使用事務日志自動記錄所有文件和文件夾更新，當出現系統損壞引起操作失敗后，系統能利用日志文件重做或恢復未成功的操作。B、NTFS的分區上，可以為每個文件或文件夾設置單獨的許可權限C、對于大磁盤，NTFS文件系統比FAT有更高的磁盤利用率。D、相比FAT文件系統，NTFS文件系統能有效的兼容linux下的EXT3文件格式。【正確答案】：D77.以下列出了MAC和散列函數的相似性,哪一項說法是錯誤的？A、MAC和散列函數都是用于提供消息認證B、MAC的輸出值不是固定長度的，而散列函數的輸出值是固定長度的C、MAC和散列函數都不需要密鑰D、MAC和散列函數都不屬于非對稱加密算法【正確答案】：C解析：

1）MAC：消息驗證、完整性校驗、抗重放攻擊；輸出不固定的；MAC需密鑰；不是非對稱。2）哈希：消息驗證、完整性校驗；輸出是固定的；不需要密鑰；不是非對稱。78.目前，信息系統面臨外部攻擊者的惡意攻擊威脅，從成脅能力和掌握資源分，這些威脅可以按照個人或

脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是（）A、喜歡惡作劇、實現自我挑戰的娛樂型黑客B、實施犯罪、獲取非法經濟利益網絡犯罪團伙C、搜集政治、軍事、經濟等情報信息的情報機構D、鞏固戰略優勢，執行軍事任務、進行目標破壞的信息作戰部隊【正確答案】：B79.數據在進行傳輸前，需要由協議自上而下對數據進行封裝。TCP/IP協議中，數據封裝的順序是：A、傳輸層、網絡接口層、互聯網絡層B、傳輸層、互聯網絡層、網絡接口層C、互聯網絡層、傳輸層、網絡接口層D、互聯網絡層、網絡接口層、傳輸層【正確答案】：B解析：

答案為B。80.訪問控制是對用戶或用戶訪問本地或網絡上的域資源進行法令一種機制。在Windows2000以后的操作系統版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現訪問控制功能。以下選項中，對windows操作系統訪問控制實現方法的理解錯誤的是（）ACL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權限D、通過授權管理器，可以實現基于角色的訪問控制【正確答案】：A81.在Linux系統中，下列哪項內容不包含在/etc/passwd文件中（）A、用戶名B、用戶口令明文C、用戶主目錄D、用戶登錄后使用的SHELL【正確答案】：B82.加密文件系統（EncryptingFileSystem,EFS）是Windows操作系統的一個組件，以下說法錯誤的是（）A、EFS采用加密算法實現透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數據B、EFS以公鑰加密為基礎，并利用了widows系統中的CryptoAPI體系結構C、EFS加密系統適用于NTFS文件系統合FAT32文件系統（Windows環境下）【正確答案】：C解析：

答案為C，FAT32不支持EFS加密。83.小李是某公司系統規劃師，某天他針對公司信息系統的現狀，繪制了一張系統安全建設規劃圖，如下圖所示。請問這個圖形是依據下面哪個模型來繪制的（）

A、PDRB、PPDRC、PDCAD、IATF【正確答案】：B84.終端訪問控制器訪問控制系統（TERMINALAccessControllerAccess-ControlSystem,TACACS）,在認

證過程中，客戶機發送一個START包給服務器，包的內容包括執行的認證類型、用戶名等信息。START包只

在一個認證會話開始時使用一個，序列號永遠為（）.服務器收到START包以后，回送一個REPLY包，表示認

證繼續還是結束。A、0B、1C、2D、4【正確答案】：B85.等級保護實施根據GB/T25058-2010《信息安全技術信息系統安全等級保護實施指南》分為五大階段；

（）、總體規劃、設計實施、（）和系統終止。但由于在開展等級保護試點工作時，大量信息系統已經建設

完成，因此根據實際情況逐步形成了（）、備案、差距分析（也叫差距測評）、建設整改、驗收測評、定期

復查為流程的（）工作流程。和《等級保護實施指南》中規定的針對（）的五大階段略有差異。A、運行維護；定級；定級；等級保護；信息系統生命周期B、定級；運行維護；定級；等級保護；信息系統生命周期C、定級運行維護；等級保護；定級；信息系統生命周期D、定級；信息系統生命周期；運行維護；定級；等級保護【正確答案】：B86.某項目的主要內容為建造A類機房，監理單位需要根據《電子信息系統機房設計規范》(GB50174-2008)的相關要求，對承建單位的施工設計方案進行審核，以下關于監理單位給出的審核意見錯誤的是：A、在異地建立備份機房時，設計時應與主用機房等級相同B、由于高端小型機發熱量大，因此采用活動地板上送風，下回風的方式C、因機房屬于A級主機房，因此設計方案中應考慮配備柴油發電機，當市電發生故障時，所配備的柴油發電機應能承擔全部負荷的需要D、A級主機房應設置潔凈氣體滅火系統【正確答案】：B解析：

散熱為下送風、上回風；側送風、側回風。87.下面哪一項情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統提示輸入用戶名和口令B、用戶在網絡上共享了自己編寫的一份Office文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容C、用戶使用加密軟件對自己家編寫的Office文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容D、某個人嘗試登陸到你的計算機中，但是口令輸入的不對，系統提示口令錯誤，并將這次失敗的登陸過程記

錄在系統日志中【正確答案】：A88.在Windows系統中，管理權限最高的組是：A、everyoneB、administratorsC、powerusersD、users【正確答案】：B89.通過向被攻擊者發送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網絡信息流時，這種攻擊稱之為：A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood【正確答案】：D解析：

發送大量的ICMP回應請求為ICMPFlood。90.安全專家在對某網站進行安全部署時，調整了Apache的運行權限，從root權限降低為nobody用戶，以下操作的主要目的是：A、為了提高Apache軟件運行效率B、為了提高Apache軟件的可靠性C、為了避免攻擊者通過Apache獲得root權限D、為了減少Apache上存在的漏洞【正確答案】：C解析：

C為正確答案。91.COBIT（信息和相關技術的控制目標）是國際專業協會ISACA為信息技術（IT）管理和IT治理創建的良

好實踐框架。COBIT提供了一套可實施的“信息技術控制”并圍繞IT相關流程和推動因素的邏輯框架進行組

織。COBIT模型按照流程，請問，COBIT組件包括（）、()、（）、（）、（）等部分。A、流程描述、框架、控制目標、管理指南、成熟度模型B、框架、流程描述、管理目標、控制目標、成熟度模型C、框架、流程描述、控制目標、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標、成熟度模型【正確答案】：C92.某公司正在進行IT系統災難恢復測試，下列問題中哪個最應該引起關注()A、由于有限的測試時間窗，僅僅測試了最必須的系統，其他系統在今年的剩余時間里陸續單獨測試B、在測試的過程中，有些備份系統有缺陷或者不能正常工作，從而導致這些系統的測試失敗C、在開啟備份站點之前關閉和保護原生產站點的過程比計劃需要多得多的時間D、每年都是由相同的員工執行此測試，由于所有的參與者都很熟悉每一個恢復步驟，因而沒有使用災難恢復

計劃（DRP）文檔【正確答案】：B93.關于信息安全事件管理和應急響應，以下說法錯誤的是：A、應急響應是指組織為了應對突發/重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施B、應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤6個階段C、對信息安全事件的分級主要參考信息系統的重要程度、系統損失和社會影響三方面因素D、根據信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）【正確答案】：B94.在window系統中用于顯示本機各網絡端口詳細情況的命令是:A、netshowB、netstatC、ipconfigD、Netview【正確答案】：B95.某黑客通過分析和整理某報社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報社的局域網全部感染木馬病毒，為防范此類社會工程學攻擊，報社不需要做的是（）A、加強信息安全意識培訓，提高安全防范能力，了解各種社會工程學攻擊方法，防止受到此類攻擊B、建立相應的安全相應應對措施，當員工受到社會工程學的攻擊，應當及時報告C、教育員工注重個人隱私保護D、減少系統對外服務的端口數量，修改服務旗標【正確答案】：D96.某電子商務網站架構設計時，為了避免數據誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該刪除操作才能生效，這種設計是遵循了發下哪個原則A、權限分離原則B、最小的特權原則C、保護最薄弱環節的原則D、縱深防御的原則【正確答案】：A97.以下關于直接附加存儲(DirectAttachedStorage，DAS)說法錯誤的是：A、DAS能夠在服務器物理位置比較分散的情況下實現大容量存儲．是一種常用的數據存儲方法B、DAS實現了操作系統與數據的分離，存取性能較高并且實施簡單C、DAS的缺點在于對服務器依賴性強，當服務器發生故障時，連接在服務器上的存儲設備中的數據不能被存取D、較網絡附加存儲(NetworkAttachedStorage，NAS)，DAS節省硬盤空間，數據集中，便于對數據進行管理和備份【正確答案】：D解析：

NAS優點數據集中、節約空間，缺點是占用網絡帶寬、存儲中心存在單點故障。DAS優點數據分散、風險分散，缺點是存儲空間利用率低、不便于統一管理。SAN基于NAS的進一步實現，基于高速網絡、多備份中心來進行實現。98.金女士經常通過計算機在互聯網上購物，從安全角度看，下面哪項是不好的習慣：A、使用專用上網購物用計算機，安裝好軟件后不要對該計算機上的系統軟件，應用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設置只能下載和安裝經過簽名的，安全的ActiveX控件D、在使用網絡瀏覽器時，設置不在計算機中保留網絡歷史紀錄和表單數據【正確答案】：A解析：

A為正確答案。99.關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現其業務目標的重要保障B、信息安全管理是一個不斷演進、循環發展的動態過程，不是一成不變的C、信息安全建設中，技術是基礎，管理是拔高，既有效的管理依賴于良好的技術基礎D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應為技管并重。100.信息安全保障是網絡時代各國維護國家安全和利益的首要任務，以下哪個國家最早將網絡安全上長升為國家安全戰略，并制定相關戰略計劃。A、中國B、俄羅斯C、美國D、英國【正確答案】：C解析：

答案為C。101.小王學習了災備備份的有關知識，了解到常用的數據備份方式包括完全備份、增量備份、差量備份，為

了鞏固所學知識，小王對這三種備份方式進行對比，其中在數據恢復速度方面三種備份方式由快到慢的順序

是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B102.某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網銀系統，此過程屬于以下哪一類：A、個人網銀系統和用戶之間的雙向鑒別B、由可信第三方完成的用戶身份鑒別C、個人網銀系統對用戶身份的單向鑒別D、用戶對個人網銀系統合法性的單向鑒別【正確答案】：C解析：

題干為網銀系統對用戶的鑒別。103.在密碼學的Kerchhof假設中，密碼系統的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道【正確答案】：C104.在現實的異構網絡環境中，越來越多的信息需要實現安全的互操作。即進行跨域信息交換和處理。Kerberos協議不僅能在域內進行認證，也支持跨域認證，下圖顯示的是Kerberos協議實現跨域認證的7個步驟，其中有幾個步驟出現錯誤，圖中錯誤的描述正確的是：A、步驟1和步驟2發生錯誤B、步驟3和步驟4發生錯誤C、步驟5和步驟6發生錯誤D、步驟5和步驟6發生錯誤【正確答案】：B解析：

3和4是錯誤的，應該是3訪問域B的AS（請求遠程TGT），4是域B的AS返回客戶機(返回TGT)。105.張主任的計算機使用Windows7操作系統，他常登陸的用戶名為zhang,張主任給他個人文件夾設置了權

限為只有zhang這個用戶有權訪問這個目錄，管理員在某次維護中無意將zhang這個用戶刪除了，隨后又重

新建了一個用戶名為zhang，張主任使用zhang這個用戶登陸系統后，發現無法訪問他原來的個人文件夾，

原因是（）A、任何一個新建用戶都需要經過授權才能訪問系統中的文件B、windows不認為新建立用戶zhang與原來的用戶zhang同一個用戶，因此無權訪問C、用戶被刪除后，該用戶創建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權限，之所以無權訪問時因為文件夾經過了加密【正確答案】：A106.某網站在設計對經過了威脅建模和攻擊面分析，在開發時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WEB目錄下導致了攻擊者可直接下載備份，為了發現系統中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試【正確答案】：C解析：

答案為C。107.關于風險要素識別階段工作內容敘述錯誤的是：A、資產識別是指對需求保護的資產和系統等進行識別和分類B、威脅識別是指識別與每項資產相關的可能威脅和漏洞及其發生的可能性C、脆弱性識別以資產為核心，針對每一項需求保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術層面的工作，牽涉到具體方面包括：物理平臺、系統平臺、網絡平臺和應用平臺【正確答案】：D解析：

安全措施既包括技術層面，也包括管理層面。108.某單位信息安全崗位員工，利用個人業余時間，在社交網絡平臺上向業內同不定期發布信息安全相關知識和前沿動態資訊，這一行為主要符合以下哪一條注冊信息安全專業人員（CISP）職業道德準則：A、避免任何損害CISP聲譽形象的行為B、自覺維護公眾信息安全，拒絕并抵制通過計算機網絡系統泄露個人隱私的行為C、幫助和指導信息安全同行提升信息安全保障知識和能力D、不在公眾網絡傳播反動、暴力、黃色、低俗信息及非法軟件【正確答案】：C解析：

C為正確描述。109.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是A、檢查評估可依據相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環節或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B解析：

檢查評估由上級管理部門組織發起；本級單位發起的為自評估。110.關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現其業務目標的重要保障B、信息安全管理是一個不斷演進、循環發展的動態過程，不是一成不變的C、在信息安全建設中，技術是基礎，管理是拔高，有效的管理依賴于良好的技術基礎D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C111.對系統工程（SystemsEngineering，SE）的理解，以下錯誤的是：A、系統工程偏重于對工程的組織與經營管理進行研究B、系統工程不屬于技術實現，而是一種方法論C、系統工程不是一種對所有系統都具有普遍意義的科學方法D、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法【正確答案】：C解析：

系統工程是一種對所有系統都具有普遍意義的科學方法。112.信息安全風險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產重要性D、以上都不對【正確答案】：B解析：

影響指的就是安全事件的損失，可能性指的是安全事件的可能性。113.關于源代碼審核，描述正確的是（）A、源代碼審核過程遵循信息安全保障技術框架模型(IATF)，在執行時應一步一步嚴格執行B、源代碼審核有利于發現軟件編碼中存在的安全問題，相關的審核工具既有商業、開源工具C、源代碼審核如果想要有效率高，則主要依賴人工審核而不是工具審核，因為人工智能的，需要人的腦袋來判斷D、源代碼審核能起到很好的安全保證作用，如果執行了源代碼審核，則不需要安全測試【正確答案】：B解析：

A錯誤，因為IATF不用于代碼審核；C錯誤，因為人工和攻擊相結合；D錯誤，安全測試由需求確定。114.關于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：A、立足國情，以我為主，堅持技術與管理并重B、正確處理安全和發展的關系，以安全保發展，在發展中求安全C、統籌規劃，突出重點，強化基礎工作D、全面提高信息安全防護能力，保護公眾利益，維護國家安全【正確答案】：D解析：

D描述的是信息安全保障工作目標；ABC描述的是信息安全保障的原則。115.在軟件開發過程中，常用圖作為描述攻擊，如DFD就是面向（）分析方法的描述工具，在一套分層DFD

中，如果某一張圖中有N個加工（Process）則這張圖允許有（）張子圖，在一張DFD中任意兩個加工之間（）。在畫分層DFD時，應注意保持（）之間的平衡。DFD中從系統的輸入流到系統的輸出流的一連串交換形式一種信息流，這種信息流可分為交換流和事物流兩類。A、數據流；0^N；有0條或多條名字互不相同的數據流；父圖與其子圖B、數據流；I^N；有0條或多條名字互不相同的數據流；父圖與其子圖C、字節流；0^N；有0條或多條名字互不相同的數據流；父圖與其子圖D、數據流；0^N；有0條或多條名字互不相同的數據流；子圖之間【正確答案】：A116.在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統的安全性，以下哪一層提供了保密性、身份鑒別、數據完整性服務?A、網絡層B、表示層C、會話層D、物理層【正確答案】：A解析：

網絡層和應用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務。117.某單位開發了一個面向互聯網提供服務的應用網站，該單位委托軟件測評機構對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經理提出了還需要對應用網站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優勢給領導做決策，以下哪條是滲透性測試的優勢?A、滲透測試以攻擊者的思維模擬真實攻擊，能發現如配置錯誤等運行維護期產生的漏洞B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試中必須要查看軟件源代碼，因此測試中發現的漏洞更多【正確答案】：A解析：

滲透測試是模擬攻擊的黑盒測試，有利于發現系統明顯的問題。118.下列選項分別是四種常用的資產評估方法，哪個是目前采用最為廣泛的資產評估方法（）。A、基于知識的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D119.hash算法的碰撞是指:A、兩個不同的消息，得到相同的消息摘要B、兩個相同的消息，得到不同的消息摘要C、消息摘要和消息的長度相同D、消息摘要比消息長度更長【正確答案】：A120.關于信息安全保障的概念，下面說法錯誤的是：A、信息系統面臨的風險和威脅是動態變化的，信息安全保障強調動態的安全理念B、信息安全保障已從單純保護和防御階段發展為集保護、檢測和響應為一體的綜合階段C、在全球互聯互通的網絡空間環境下，可單純依靠技術措施來保障信息安全D、信息安全保障把信息安全從技術擴展到管理，通過技術、管理和工程等措施的綜合融合，形成對信息、信息系統及業務使命的保障【正確答案】：C解析：

網絡空間安全不能單純依靠技術措施來保障。121.下面關于信息系統安全保障的說法不正確的是：A、信息系統安全保障與信息系統的規劃組織、開發采購、實施交付、運行維護和廢棄等生命周期密切相關B、信息系統安全保障要素包括信息的完整性、可用性和保密性C、信息系統安全需要從技術、工程、管理和人員四個領域進行綜合保障D、信息系統安全保障需要將信息系統面臨的風險降低到可接受的程度，從而實現其業務使命【正確答案】：B解析：

信息系統安全保障要素為技術工程管理和人員四個領域。信息系統安全保障的安全特征是完整、保密和可用性。122.某移動智能終端支持通過指紋識別解鎖系統的功能，與傳統的基于口令的鑒別技術相比，關于此種鑒別技術說法不正確的是：A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人獨有的，指紋識別系統不存在安全威脅問題D、此類系統一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。123.以下對Windows系統的服務描述，正確的是：A、Windows服務必須是一個獨立的可執行程序B、Windows服務的運行不需要用戶的交互登陸C、Windows服務都是隨系統啟動而啟動，無需用戶進行干預D、Windows服務都需要用戶進行登陸后，以登錄用戶的權限進行啟動【正確答案】：B124.根據信息安全風險要素之間的關系，下圖中空白處應該填寫（）A、資產B、安全事件C、脆弱性D、安全措施【正確答案】：C解析：

風險的原理是威脅利用脆弱性，造成對資產的風險。125.操作系統是作為一個支撐軟件,使得你的程序或別的應用系統在上面正常運行的一個環境。操作系統提供了多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而下的破綻,都給網絡安全留下隱患。某公司網絡維護師為實現該公司操作系統的安全目標,按書中所學建立了的安全機制,這些機制不包括（）A、標識與鑒別B、訪問控制C、權限管理D、網絡云盤存取保護【正確答案】：D126.DSA（數字簽名算法）不提供以下哪種服務?A、數據完整性B、加密C、數字簽名D、認證【正確答案】：B127.應用軟件的數據存儲在數據庫中，為了保證數據安全，應設置良好的數據庫防護策略，以下不屬于數據庫防護策略的是?A、安裝最新的數據庫軟件安全補丁B、對存儲的敏感數據進行安全加密C、不使用管理員權限直接連接數據庫系統D、定期對數據庫服務器進行重啟以確保數據庫運行良好【正確答案】：D解析：

D屬于運行安全操作，不屬于安全防護策略。128.IPv4協議在設計之初并沒有過多地考慮安全問題，為了能夠使網絡方便地進行互聯、互通，僅僅依靠

IP頭部的校驗和字段來保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開

始制定IPSec協議標準，其設計目標是在IPv4和IPv6環境中為網絡層流量提供靈活、透明的安全服務，保

護TCP/IP通信免遭竊聽和篡改，保證數據的完整性和機密性，有效抵御網絡攻擊，同時保持易用性。下列選

項中說法錯誤的是（）A、對于IPv4,IPSec是可選的，對于IPv6，IPSec是強制實施的。B、IPSec協議提供對IP及其上層協議的保護。C、IPSec是一個單獨的協議D、IPSec安全協議給出了封裝安全載荷和鑒別頭兩種通信保護機制。【正確答案】：C129.如圖一所示:主機A和主機B需要通過IPSec隧道模式保護二者之間的通信流量,這種情況下IPSec的處理通常發生在哪二個設備中?

A、主機A和安全網關1;B、主機B和安全網關2;C、主機A和主機B中;D、安全網關1和安全網關2中;【正確答案】：D130.關于風險要素識別階段工作內容敘述錯誤的是：A、資產識別是指對需要保護的資產和系統等進行識別和分類B、威脅識別是指識別與每項資產相關的可能威脅和漏洞及其發生的可能性C、脆弱性識別以資產為核心，針對每項需要保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術層面的工作，牽涉到具體方面包括：物理平臺、系統平臺、網絡平臺和應用平臺【正確答案】：D131.針對軟件的拒絕服務攻擊是通過消耗系統資源使軟件無法響應正常請求的一種攻擊方式，在軟件開發時分析拒絕服務攻擊的威脅，以下哪個不是需求考慮的攻擊方式A、攻擊者利用軟件存在的邏輯錯誤，通過發送某種類型數據導致運算進入死循環，CＰＵ資源占用始終１００％B、攻擊者利用軟件腳本使用多重嵌套咨詢，在數據量大時會導致查詢效率低，通過發送大量的查詢導致數據庫響應緩慢C、攻擊者利用軟件不自動釋放連接的問題，通過發送大量連接消耗軟件并發連接數，導致并發連接數耗盡而無法訪問D、攻擊者買通ＩDC人員，將某軟件運行服務器的網線拔掉導致無法訪問【正確答案】：D解析：

D為社會工程學攻擊。132.以下對Windows賬號的描述，正確的是：A、Windows系統是采用SID（安全標識符）來標識用戶對文件或文件夾的權限B、Windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、Windows系統默認會生成administrator和guest兩個賬號，兩個賬號都不允許改名和刪除D、Windows系統默認生成administrator和guest兩個賬號，兩個賬號都可以改名和刪除【正確答案】：A133.甲公司打算制作網絡連續時所需要的插件的規格尺寸、引腳數量和線序情況，甲公司將這個任務委托了

乙公司，那么乙公司的設計員應該了解OSI參考模型中的哪一層（）A、數據鏈路層B、會話層C、物理層D、傳輸層【正確答案】：C134.在對某面向互聯網提供服務的某應用服務器的安全檢測中發現，服務器上開放了以下幾個應用，除了一個應用外其他應用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應用進行安全整改以外解決明文傳輸數據的問題，以下哪個應用已經解決了明文傳輸數據問題：A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

SSH具備數據加密保護的功能。135.2008年1月2日，美目發布第54號總統令，建立國家網絡安全綜合計劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；第三道防線，強化未來安全環境．從以上內容，我們可以看出以下哪種分析是正確的：A、CNCI是以風險為核心，三道防線首要的任務是降低其網絡所面臨的風險B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內部的CNCI的目的是盡快研發并部署新技術徹底改變其糟糕的網絡安全現狀，而不是在現在的網絡基礎上修修補補D、CNCI徹底改變了以往的美國信息安全戰略，不再把關鍵基礎設施視為信息安全保障重點，而是追