第頁NISP(CISP)練習測試卷1.安全漏洞產生的原因不包括以下哪一點()A、軟件系統代碼的復雜性B、軟件系統市場出現信息不對稱現象C、復雜異構的網絡環境D、攻擊者的惡意利用【正確答案】：D2.信息系統安全保護等級為3級的系統，應當()年進行一次等級測評?A、0．5B、1C、2D、3【正確答案】：B解析：

等級保護三級系統一年測評一次，四級系統每半年測評一次。3.ISO／IEC27001《信息技術安全技術信息安全管理體系要求》的內容是基于（）A、BS7799-1《信息安全實施細則》BS7799-2《信息安全管理體系規范》C、信息技術安全評估準則(簡稱ITSEC)D、信息技術安全評估通用標準(簡稱CC)【正確答案】：B解析：

BS7799-1發展為ISO27002；BS7799-2發展為ISO27001；TCSEC發展為ITSEC；ITSEC發展為CC。4.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小。假設單位機房的總價值為400萬元人民幣，暴露系數(ExposureFactor,EF)是25%，年度發生率(AnnualizedRateofOccurrence,ARO)是0.2,那么小王計算的年度預期損失（AnnualizedLossExpectancy,ALE)應該是()。A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣D、180萬元人民幣【正確答案】：C5.二十世紀二十年代，德國發明家亞瑟謝爾比烏斯發明了Engmia密碼機，按照密碼學發展歷史階段劃分，這個階段屬于（）A、古典密碼階段。這一階段的密碼專家常常靠直覺和技術來設計密碼，而不是憑借推理和證明，常用的密碼運算方法包括替代方法和轉換方法（）B、近代密碼發展階段。這一階段開始使用機械代替手工計算，形成了機械式密碼設備和更進一步的機電密碼設備C、現代密碼學的早起發展階段。這一階段以香農的論文“保密系統的通信理論”為理論基礎，開始對密碼學的科學探索D、現代密碼學的近期發展階段。這一階段以公鑰密碼思想為標志，引發了密碼學歷【正確答案】：B解析：

根據密碼學發展階段的知識點，Engmia密碼機屬于近代密碼學發展階段的產物。6.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加

一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法

正確的是（）。ACL是Bell-LaPadula模型的一種具體實現B、ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C、ACL對于統計某個主體能訪問哪些客體比較方便D、ACL在增加和修改哪些客體被主體訪問比較方便【正確答案】：D7.某網站在設計對經過了威脅建模和攻擊面分析，在開發時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WEB目錄下導致了攻擊者可直接下載備份，為了發現系統中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試【正確答案】：C解析：

答案為C。8.組織第一次建立業務連續性計劃時，最為重要的活動是：A、制定業務連續性策略B、進行業務影響分析C、進行災難恢復演練D、構建災備系統【正確答案】：A9.某銀行信息系統為了滿足業務的需要準備進行升級改造，以下哪一項不是此次改造中信息系統安全需求分析過程需要考慮的主要因素A、信息系統安全必須遵循的相關法律法規，國家以及金融行業安全標準B、信息系統所承載該銀行業務正常運行的安全需求C、消除或降低該銀行信息系統面臨的所有安全風險D、該銀行整體安全策略【正確答案】：C解析：

無法消除或降低該銀行信息系統面臨的所有安全風險。10.CC標準是目前系統安全認證方面最權威的而標準，那一項不是體現CC標準的先進性？A、結構開放性，即功能和保證要求可以“保護輪廓”和“安全目標”中進行一步細化和擴展B、表達方式的通用性，即給出通用的表達方式C、獨立性，它強調將安全的功能和保證分離D、實用性，將CC的安全性要求具體應用到IT產品的開發、生產、測試和評估過程中【正確答案】：C解析：

ITSEC最早強調功能和保證的分離，不是CC的先進性。11.目前，很多行業用戶在進行信息安全產品選項時，均要求產品需通過安全測評，關于信息安全產品測評的意義，下列說法中不正確的是（）A、有助于建立和實施信息安全產品的市場準入制度B、對用戶采購信息安全產品、設計、建設、使用和管理安全的信息系統提供科學公正的專業指導C、對信息安全產品的研究、開發、生產以及信息安全服務的組織提供嚴格的規范引導和質量監督D、打破市場壟斷，為信息安全產品發展創造一個良好的競爭環境【正確答案】：D解析：

題干中信息安全產品測評的主要目的是安全作用，不是經濟作用。12.我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關于我國信息安全實踐工作，下面說法錯誤的是（）A、加強信息安全標準化建設，成立了“全國信息安全標準化技術委員會”制訂和發布了大批信息安全技術，管理等方面的標準。B、重視信息安全應急處理工作，確定由國家密碼管理局牽頭成立“國家網絡應急中心”推動了應急處理和信息通報技術合作工作進展C、推進信息安全等級保護工作，研究制定了多個有關信息安全等級保護的規范和標準，重點保障了關系國定安全，經濟命脈和社會穩定等方面重要信息系統的安全性

D實施了信息安全風險評估工作，探索了風險評估工作的基本規律和方法，檢驗并修改完善了有關標準，培養和鍛煉了人才隊伍【正確答案】：B解析：

工業和信息化部牽頭成立“國家網絡應急中心”。13.部署互聯網協議安全虛擬專用網（InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN）時，以下說法正確的是：A、配置MD5安全算法可以提供可靠的數據加密B、配置AES算法可以提供可靠的數據完整性驗證C、部署IPsecVPN網絡時，需要考慮IP地址的規劃，盡量在分支節點使用可以聚合的IP地址段，來減少IPsec安全關聯（SecurityAuthentication,SA）資源的消耗D、報文驗證頭協議（AuthenticationHeader,AH）可以提供數據機密性【正確答案】：C解析：

A錯誤，MD5提供完整性；B錯誤，AES提供的保密性；D錯誤，AH協議提供完整性、驗證及抗重放攻擊。14.模糊測試也稱Fuzz測試，是一種通過提供非預期的輸入并監視異常結果來發現軟件故障的方法。下面描述正確的是（）A、模糊測試本質上屬于黑盒測試B、模糊測試本質上屬于白盒測試C、模糊測試有時屬于黑盒測試，有時屬于白盒測試，取決于其使用的測試方法D、模糊測試既不屬于黑盒測試，也不屬于白盒測試【正確答案】：A解析：

拿分選A，知識點是C。15.信息安全標準化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據，同時也是保護國家利益，促進產業發展的重要手段之一，關于我國標準化工作，下面選項中描述錯誤的是（）A、我國是在國家質量監督檢驗疫總局管理下，由國家標準化管理委員會統一管理全國標準化工作，下設專業技術委員會B、事關國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，切實有效地保護國家利益和安全C、我國歸口信息安全方面標準是“全國信息安全標準化技術委員會”，為加強有關工作，2016在其下設立“大數據安全特別工作組”D、信息安全標準化工作是解決信息安全問題的重要技術支撐，其主要作業突出體現在能夠確保有關產品、設施的技術先進性、可靠性和一致性【正確答案】：B解析：

信息安全的標準可以和國際標準相同，也可以不相同。包括同等采用方式和等效采用方式等。16.應用安全，一般是指保障應用程序使用過程和結果的安全。以下內容中不屬于應用安全防護考慮的是（）A、身份鑒別，應用系統應對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應用系統資源B、安全標記，在應用系統層面對主體和客體進行標記，主體不能隨意更改權限，增加訪問C、剩余信息保護，應用系統應加強硬盤、內存或緩沖區中剩余信息的保護，防止存儲在硬盤、內存或緩沖區的信息被非授權的訪問D、機房與設施安全，保證應用系統處于有一個安全的環境條件，包括機房環境、機房安全等級、機房的建造和機房的裝修等【正確答案】：D解析：

機房與設施安全屬于物理安全，不屬于應用安全。17.在數據庫安全性控制中，授權的數據對象，授權子系統就越靈活?A、粒度越小B、約束越細致C、范圍越大D、約束范圍大【正確答案】：A解析：

數據粒度越細則授權策略越靈活便利。18.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，規定了軟件開發過程中的核心業務功能，下列哪個選項不屬于核心業務功能：A、治理，主要是管理軟件開發的過程和活動B、構造，主要是在開發項目中確定目標并開發軟件的過程與活動C、驗證，主要是測試和驗證軟件的過程與活動D、購置，主要是購買第三方商業軟件或者采用開源組件的相關管理過程與活動【正確答案】：D解析：

SAMM模型四個部分是治理、構造、驗證和部署。19.關于補丁安裝時應注意的問題，以下說法正確的是A、在補丁安裝部署之前不需要進行測試，因為補丁發布之前廠商已經經過了測試B、補丁的獲取有嚴格的標準,必須在廠商的官網上獲取C、信息系統打補丁時需要做好備份和相應的應急措施D、補丁安裝部署時關閉和重啟系統不會產生影響【正確答案】：C20.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據組織的業務要求或管理要求，在業務系統中設置若干崗位、職位或分工，管理員負責將權限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關于RBAC模型，下列說法錯誤的是：A、當用戶請求訪問某資源時，如果其操作權限不在用戶當前被激活角色的授權范圍內，訪問請求將被拒絕B、業務系統中的崗位、職位或者分工，可對應RBAC模型中的角色C、通過角色，可實現對信息資源訪問的控制D、RBAC模型不能實現多級安全中的訪問控制【正確答案】：D解析：

RBAC1模型能實現多級安全中的訪問控制。21.公鑰密碼的應用不包括:A、數字簽名B、非安全信道的密鑰交換C、消息認證碼D、身份認證【正確答案】：C22.關于信息安全保障的概念，下面說法錯誤的是：A、信息系統面臨的風險和威脅是動態變化的，信息安全保障強調動態的安全理念B、信息安全保障已從單純保護和防御階段發展為集保護、檢測和響應為一體的綜合階段C、在全球互聯互通的網絡空間環境下，可單純依靠技術措施來保障信息安全D、信息安全保障把信息安全從技術擴展到管理，通過技術、管理和工程等措施的綜合融合，形成對信息、信息系統及業務使命的保障【正確答案】：C解析：

網絡空間安全不能單純依靠技術措施來保障。23.信息安全工程監理是信息系統工程監理的重要組成部分，信息安全工程監理適用的信息化工程中，以下選擇最合適的是：A、通用布纜系統工程B、電子設備機房系統工程C、計算機網絡系統工程D、以上都適用【正確答案】：D解析：

答案為D。24.信息安全是國家安全的重要組成部分，綜合研究當前世界各國信息安全保障工作，下面總結錯誤的是（）A、各國普遍將與國家安全、社會穩定和民生密切相關的關鍵基礎設施作為信息安全保障的重點B、各國普遍重視戰略規劃工作，逐步發布網絡安全戰略、政策評估報告、推進計劃等文件C、各國普遍加強國際交流與對話，均同意建立一致的安全保障系統，強化各國安全系統互通D、各國普遍積極推動信息安全立法和標準規范建設，重視應急響應、安全監管和安全測評【正確答案】：C25.在Windows文件系統中，_______支持文件加密。A、FAT16B、NTFSC、FAT32D、EXT3【正確答案】：B26.張主任的計算機使用Windows7操作系統，他常登陸的用戶名為zhang,張主任給他個人文件夾設置了權

限為只有zhang這個用戶有權訪問這個目錄，管理員在某次維護中無意將zhang這個用戶刪除了，隨后又重

新建了一個用戶名為zhang，張主任使用zhang這個用戶登陸系統后，發現無法訪問他原來的個人文件夾，

原因是（）A、任何一個新建用戶都需要經過授權才能訪問系統中的文件B、windows不認為新建立用戶zhang與原來的用戶zhang同一個用戶，因此無權訪問C、用戶被刪除后，該用戶創建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權限，之所以無權訪問時因為文件夾經過了加密【正確答案】：A27.為了保證系統日志可靠有效，以下哪一項不是日志必需具備的特征。A、統一而精確地的時間B、全面覆蓋系統資產C、包括訪問源、訪問目標和訪問活動等重要信息D、可以讓系統的所有用戶方便的讀取【正確答案】：D解析：

日志只有授權用戶可以讀取。28.PDCERF方法是信息安全應急響應工作中常用的一種方法，它將應急響應分成六個階段。其中，主要執行如下工作應在哪一個階段：關閉信息系統、和/或修改防火墻和路由器的過濾規則，拒絕來自發起攻擊的嫌疑主機流量、和/或封鎖被攻破的登錄賬號等（）A、準備階段B、遏制階段C、根除階段D、檢測階段【正確答案】：B解析：

拒絕來自發起攻擊的嫌疑主機流量等做法屬于遏制階段的工作。29.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼的算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱作序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼算法和序列算法是兩種算法。30.以下Windows系統的賬號存儲管理機制SAM（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數據是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數據administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數據任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數據只有System賬號才能訪問，具有較高的安全性【正確答案】：D解析：

D為正確答案。31.以下關于項目的含義，理解錯誤的是：A、項目是為達到特定的目的、使用一定資源、在確定的期間內、為特定發起人而提供獨特的產品、服務或成果而進行的一次性努力。B、項目有明確的開始日期，結束日期由項目的領導者根據項目進度來隨機確定。C、項目資源指完成項目所需要的人、財、物等。D、項目目標要遵守SMART原則，即項目的目標要求具體(Specific)、可測量（Measurable)、需相關方的一致同意(Agreeto)、現實(Realistic)、有一定的時限(Timeoriented)。【正確答案】：B解析：

解釋：據項目進度不能隨機確定，需要根據項目預算、特性、質量等要求進行確定。32.即使最好用的安全產品也存在（）。結果，在任何的系統中敵手最終都能夠找出一個被開發出的漏洞。

一種有效的對策時在敵手和它的目標之間配備多種（）。每一種機制都應包括（）兩種手段。A、安全機制；安全缺陷；保護和檢測B、安全缺陷；安全機制；保護和檢測C、安全缺陷；保護和檢測；安全機制；D、安全缺陷；安全機制；保護和監測【正確答案】：D33..以下行為不屬于違反國家涉密規定的行為：A、將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡B、通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家秘密D、以不正當手段獲取商業秘密【正確答案】：D解析：

D為商業秘密，不屬于涉密規定的行為。34.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）A、制定并頒發信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程、確保信息安全風險評估技術選擇合理、計算正確【正確答案】：D解析：

D不屬于管理者的職責。35.根據《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》的規定，以下正確的是：A、涉密信息系統的風險評估應按照《信息安全等級保護管理辦法》等國家有關保密規定和標準進行B、非涉密信息系統的風險評估應按照《非涉及國家秘密的信息系統分級保護管理辦法》等要求進行C、可委托同一專業測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內容【正確答案】：C解析：

C為正確描述。36.口令破解是針對系統進行攻擊的常用方法，windows系統安全策略中應對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關于這兩個策略說明錯誤的是A、密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B、密碼策略對系統中所有的用戶都有效C、賬戶鎖定策略的主要作用是應對口令暴力破解攻擊，能有效地保護所有系統用戶應對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應對口令暴力破解攻擊【正確答案】：D解析：

賬戶鎖定策略也適用于administrator賬戶。37.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為200萬元人民幣，暴露系數(ExposureFactor，EF)是25％，年度發生率(AnnualizedRateofOccurrence，ARO)為0．1，那么小王計算的年度預期損失(AnnualizedLossExpectancy，ALE)應該是()。A、5萬元人民幣B、50萬元人民幣C、2.5萬元人民幣D、25萬元人民幣【正確答案】：A解析：

計算方法為200萬*25%*0.1=5萬。38.以下關于直接附加存儲(DirectAttachedStorage，DAS)說法錯誤的是：A、DAS能夠在服務器物理位置比較分散的情況下實現大容量存儲．是一種常用的數據存儲方法B、DAS實現了操作系統與數據的分離，存取性能較高并且實施簡單C、DAS的缺點在于對服務器依賴性強，當服務器發生故障時，連接在服務器上的存儲設備中的數據不能被存取D、較網絡附加存儲(NetworkAttachedStorage，NAS)，DAS節省硬盤空間，數據集中，便于對數據進行管理和備份【正確答案】：D解析：

NAS優點數據集中、節約空間，缺點是占用網絡帶寬、存儲中心存在單點故障。DAS優點數據分散、風險分散，缺點是存儲空間利用率低、不便于統一管理。SAN基于NAS的進一步實現，基于高速網絡、多備份中心來進行實現。39.隨機進程名稱是惡意代碼迷惑管琊員和系統安全檢查人員的技術手段之一,以下對于隨機進程名技術。描

述正確的是（）。A、隨機進程名技術雖然每次進程名都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身B、惡意代碼生成隨機進程名稱的目的是使過程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺C、惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程D、隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發現真實

的惡意代碼程序名稱【正確答案】：D40.ISO9001-2000標準在制定、實施質量管理體系以及改進其有效性時采用過程方法，通過滿足顧客要求增進顧客滿意。下圖是關于過程方法的示意圖，圖中括號空白處應填寫（）

A、策略B、管理者C、組織D、活動【正確答案】：D41.信息系統建設完成后，（）的信息系統的而運營使用單位應當選擇符合國家規定的測評機構進行測評合格后方可投入使用A、二級以上B、三級以上C、四級以上D、五級以上【正確答案】：B解析：

答案為B，三級以上默認包括本級。42.關于信息安全保障技術框架(IATF)，以下說法不正確的是：A、分層策略允許在適當的時候采用低安全級保障解決方案以便降低信息安全保障的成本B、IATF從人、技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎設施C、允許在關鍵區域(例如區域邊界)使用高安全級保障解決方案，確保系統安全性D、IATF深度防御戰略要求在網絡體系結構各個可能位置實現所有信息安全保障機制【正確答案】：D解析：

IATF是在網絡的各位置實現所需的安全機制。43.下面哪一項情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統提示輸入用戶名和口令B、用戶在網絡上共享了自己編寫的一份Office文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容C、用戶使用加密軟件對自己家編寫的Office文檔進行加密，以阻止其他人得到這份拷貝后到文檔中的內容D、某個人嘗試登陸到你的計算機中，但是口令輸入的不對，系統提示口令錯誤，并將這次失敗的登陸過程記

錄在系統日志中【正確答案】：A44.從SABSA的發展過程，可以看出整個SABSA在安全架構中的生命周期（如下圖所示），在此SABSA生命周期中，前兩個階段的過程被歸類為所謂的（），其次是（），它包含了建筑設計中的（）、物理設計、組件

設計和服務管理設計，再者就是（），緊隨其后的則是（）A、設計；戰略與規劃；邏輯設計；實施；管理與衡量B、戰略與規劃；邏輯設計；設計；實施；管理與衡量C、戰略與規劃；實施；設計；邏輯設計；管理與衡量D、戰略與規劃；設計；邏輯設計；實施；管理與衡量【正確答案】：D45.某公司正在進行IT系統災難恢復測試，下列問題中哪個最應該引起關注()A、由于有限的測試時間窗，僅僅測試了最必須的系統，其他系統在今年的剩余時間里陸續單獨測試B、在測試的過程中，有些備份系統有缺陷或者不能正常工作，從而導致這些系統的測試失敗C、在開啟備份站點之前關閉和保護原生產站點的過程比計劃需要多得多的時間D、每年都是由相同的員工執行此測試，由于所有的參與者都很熟悉每一個恢復步驟，因而沒有使用災難恢復

計劃（DRP）文檔【正確答案】：B46.Alice有一個消息M通過密鑰K2生成一個密文E（K2，M）然后用K1生成一個MAC為C（K1，E（K2，M）），Alice將密文和MAC發送給Bob，Bob用密鑰K1和密文生成一個MAC并和Alice的MAC比較，假如相同再用K2解密Alice發送的密文，這個過程可以提供什么安全服務？A、僅提供數字簽名B、僅提供保密性C、僅提供不可否認性D、保密性和消息完整性【正確答案】：D解析：

實現的安全服務包括保密性、完整性、身份鑒別、抗重放攻擊。47.信息系統的業務特性應該從哪里獲取?A、機構的使命B、機構的戰略背景和戰略目標C、機構的業務內容和業務流程D、機構的組織結構和管理制度【正確答案】：C解析：

業務特性從機構的業務內容和業務流程獲取。48.對涉密系統進行安全保密測評應當依據以下哪個標準?A、BMB20-2007《涉及國家秘密的計算機信息系統分級保護管理規范》BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》C、GB17859-1999《計算機信息系統安全保護等級劃分準則》D、GB／T20271-2006《信息安全技術信息系統統用安全技術要求》【正確答案】：B解析：

B為正確答案。49.某單位開發一個面向互聯網提供服務的應用網站，該單位委托軟件測評機構對軟件進行了源代碼分析，模糊測試等軟件測試，在應用上線前，項目經理提出了還需要對應用網站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優勢給領導做決策，以下哪條是滲透性的優勢？A、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確B、滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高C、滲透測試以攻擊者思維模擬真實攻擊，能發現如配置錯誤等運行維護期產生的漏洞D、滲透測試中必須要查看軟件源代碼，因此測試中發現的漏洞更多【正確答案】：C解析：

C是滲透測試的優點。50.以下哪一項不是常見威脅對應的消減措施：A、假冒攻擊可以采用身份認證機制來防范B、為了防止傳輸的信息被篡改，收發雙方可以使用單向Hash函數來驗證數據的完整性C、為了防止發送方否認曾經發送過的消息，收發雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權限，可以采用訪問控制表的方式來管理權限【正確答案】：C解析：

消息驗證碼不能防止抵賴，而是提供消息鑒別、完整性校驗和抗重放攻擊。51.密碼學是網絡安全的基礎，但網絡安全不能單純依靠安全的密碼算法、密碼協議也是網絡安全的一個重要組成部分。下面描述中，錯誤的是（）A、在實際應用中，密碼協議應按照靈活性好、可擴展性高的方式制定，不要限制和框住的執行步驟，有些復雜的步驟可以不明確處理方式。B、密碼協議定義了兩方或多方之間為完成某項任務而指定的一系列步驟，協議中的每個參與方都必須了解協議，且按步驟執行。C、根據密碼協議應用目的的不同，參與該協議的雙方可能是朋友和完全信息的人，也可能是敵人和互相完全不信任的人。D、密碼協議(Cryptographicprotocol),有時也稱安全協議(securityprotocol),是使用密碼學完成某項特定的任務并滿足安全需求的協議，其末的是提供安全服務。【正確答案】：A解析：

密碼協議應限制和框住的執行步驟，有些復雜的步驟必須要明確處理方式。52.下列關于面向對象測試問題的說法中，不正確的是（）A、在面向對象軟件測試時，設計每個類的測試用例時，不僅僅要考慮用各個成員方法的輸入參數，還需要考

慮如何設計調用的序列B、構造抽象類的驅動程序會比構造其他類的驅動程序復雜C、類B繼承自類

A，如對B進行了嚴格的測試，就意味著不需再對類A進行測試D、在存在多態的情況下，為了達到較高的測試充分性，應對所有可能的綁定都進行測試【正確答案】：C53.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A、口令B、令牌C、知識D、密碼【正確答案】：B解析：

令牌是基于實體所有的鑒別方式。54.“統一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統一管理，目前市場上已經出現了多種此類安全設備，這里“統一威脅管理”常常被簡稱為（）A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

答案為A。55.美國系統工程專家霍爾（A.D.Hall）在1969年利用機構分析法提出著名的霍爾三維結構，使系統工程的

工作階段和步驟更為清晰明了，如圖所示，霍爾三維結構是將系統工程整個活動過程分為前后緊密銜接的（）

階段和（）步驟，同時還考慮了為完全這些階段和步驟所需要的各種（）。這樣，就形成了由（）、（）、

和知識維所組成的三維空間結構。

A、五個；七個；專業知識和技能；時間維；邏輯維B、七個；七個；專業知識和技能；時間維；邏輯維C、七個；六個；專業知識和技能；時間維；邏輯維D、七個；六個；專業知識和技能；時間維；空間維【正確答案】：B56.關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現其業務目標的重要保障B、信息安全管理是一個不斷演進、循環發展的動態過程，不是一成不變的C、信息安全建設中，技術是基礎，管理是拔高，既有效的管理依賴于良好的技術基礎D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應為技管并重。57.社會工程學是（）與（）結合的學科，準確來說，它不是一門科學，因為它不能總是重復合成功，并且

在信息充分多的情況下它會失效。基于系統、體系、協議等技術體系缺陷的（），隨著時間流逝最終都會失

效，因為系統的漏洞可以彌補，體系的缺陷可能隨著技術的發展完善或替代，社會工程學利用的是人性的“弱

點”，而人性是（）,這使得它幾乎是永遠有效的（）。A、網絡安全；心理學；攻擊方式；永恒存在的；攻擊方式B、網絡安全；攻擊方式；心理學；永恒存在的；攻擊方式C、網絡安全；心理學；永恒存在的；攻擊方式D、網絡安全；攻擊方式；心理學；攻擊方式；永恒存在的【正確答案】：A58.信息安全測評是指依據相關標準，從安全功能等角度對信息技術產品、信息系統、服務提供商以及人員進行測試和評估，以下關于信息安全測評說法不正確的是：A、信息產品安全評估是測評機構的產品的安全性做出的獨立評價，增強用戶對已評估產品安全的信任B、目前我國常見的信息系統安全測評包括信息系統風險評估和信息系統安全保障測評兩種類型C、信息安全工程能力評估是對信息安全服務提供者的資格狀況、技術實力和實施服務過程質量保證能力的具體衡量和評價。D、信息系統風險評估是系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害程度，提出游針對性的安全防護策略和整改措施【正確答案】：B解析：

測評包括產品測評、風險評估、保障測評和等級保護測評。59.信息系統安全工程(ISSE)的一個重要目標就是在IT項目的各個階段充分考慮安全因素，在IT項目的立項階段，以下哪一項不是必須進行的工作：A、明確業務對信息安全的要求B、識別來自法律法規的安全要求C、論證安全要求是否正確完整D、通過測試證明系統的功能和性能可以滿足安全要求【正確答案】：D解析：

D屬于項目的驗收階段，不屬于IT項目的立項階段，題干屬于立項階段。60.在國家標準GB/T20274.1-2006《信息安全技術信息系統安全保障評估框架第一部分：簡介和一般模型》

中，信息系統安全保障模型包含哪幾個方面?（）A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規劃組織、生命周期和安全特征D、規劃組織、生命周期和運行維護【正確答案】：B61.與PDR模型相比，P2DR(PPDR)模型多了哪一個環節?A、防護B、檢測C、反應D、策略【正確答案】：D解析：

解釋：PPDR是指策略、保護、檢測和反應（或響應）。PPDR比PDR多策略。62.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發展，公安部等4部分聯合發布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)，對等級保護工作的開展提供宏觀指導和約束，明確了等級保護工作的基本內容、工作要求和實施計劃，以及各部門工作職責分工等，關于該文件，下面理解正確的是A、該文件時一個由部委發布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作，其內容不能越蘇到2005年及之后的工作C、該文件時一個總體性知道文件，規定了所有信息系統都要納入等級保護定級范圍D、該文件使用范圍為發文的這四個部門，不適用于其他部門和企業等單位【正確答案】：A解析：

答案為A。63.加密文件系統（EncryptingFileSystem,EFS）是Windows操作系統的一個組件，以下說法錯誤的是（）A、EFS采用加密算法實現透明的文件加密和解密，任何不擁有合適密鑰的個人或者程序都不能解密數據B、EFS以公鑰加密為基礎，并利用了widows系統中的CryptoAPI體系結構C、EFS加密系統適用于NTFS文件系統合FAT32文件系統（Windows環境下）【正確答案】：C解析：

答案為C，FAT32不支持EFS加密。64.根據《關于開展信息安全風險評估工作的意見》的規定，錯誤的是：A、信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和檢查評估相互結合、互為補充B、信息安全風險評估工作要按照“嚴密組織、規范操作、講求科學、注重實效”的原則開展C、信息安全風險評估應貫穿于網絡和信息系統建設運行的全過程D、開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導【正確答案】：A解析：

信息安全風險評估應以自評估（自查）為主。65.以下哪一項不屬于信息安全工程監理模型的組成部分：A、監理咨詢支撐要素B、控制和管理手段C、監理咨詢階段過程D、監理組織安全實施【正確答案】：D解析：

監理模型組成包括監理咨詢支撐要素、監理咨詢階段過程、控制和管理手段。66.以下關于威脅建模流程步驟說法不正確的是A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發生的概率，了解被攻擊后資產的受損后果，并計算風險C、消減威脅是根據威脅的評估結果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅。D、識別威脅是發現組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。【正確答案】：D解析：

威脅就是漏洞是錯誤的。67.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是（）A、檢查評估可依據相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環節或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B68.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設的直接體系，也ISMS建設的成果之一，通常將ISMS的文檔結構規劃為4層金字塔結構，那么，以下選項（）應放入到一級文件中.A、《風險評估報告》B、《人力資源安全管理規定》C、《ISMS內部審核計劃》D、《單位信息安全方針》【正確答案】：D解析：

正確答案為D。一級文件中一般為安全方針、策略文件；二級文件中一般為管理規范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。69.小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業的新人進行基本業務素質培訓，一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項：A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經驗和直覺或者業界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值，因此更具客觀性D、半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現對風險各要素的度量數值化【正確答案】：B解析：

定性分析不能靠直覺、不能隨意。70.對信息安全風險評估要素理解正確的是：A、資產識別的粒度隨著評估范圍、評估目的的不同而不同，可以是硬件設備，也可以是業務系統，也可以是組織機構B、應針對構成信息系統的每個資產做風險評價C、脆弱性識別是將信息系統安全現狀與國家或行業的安全要求做符合性比對而找出的差距項D、信息系統面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯誤，應該是抽樣評估；C錯誤，應該其描述的是差距分析；D錯誤，應該是威脅包括人為威脅和環境威脅。71.相比文件配置表(FAT)文件系統，以下哪個不是新技術文件系統(NTFS)所具有的優勢?A、NTFS使用事務日志自動記錄所有文件夾和文件更新，當出現系統損壞和電源故障等問題，而引起操作失敗后，系統能利用日志文件重做或恢復未成功的操作B、NTFS的分區上，可以為每個文件或文件夾設置單獨的許可權限C、對于大磁盤，NTFS文件系統比FAT有更高的磁盤利用率D、相比FAT文件系統，NTFS文件系統能有效的兼容linux下EXT2文件格式【正確答案】：D解析：

NTFS不能兼容EXT文件系統。72.為了開發高質量的軟件，軟件效率成為最受關注的話題。那么開發效率主要取決于以下兩點：開發新功

能是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應（）。A、隨機地選取測試數據B、取一切可能的輸入數據為測試數據C、在完成編碼以后制定軟件的測試計劃D、選擇發現錯誤可能性最大的數據作為測試用例【正確答案】：D73.在極限測試過程中，貫穿始終的是()A、單元測試和集成測試B、單元測試和系統測試C、集成測試和驗收測試D、集成測試和系統測試【正確答案】：C解析：

單元測試，系統測試，驗收測試，尤其包括單元和驗收測試。74.私有IP地址是一段保留的IP地址。只適用在局域網中，無法在Internet上使用。私有地址，下面描述正確的是（）。A類和B類地址中沒有私有地址，C類地址中可以設置私有地址B、A類地址中沒有私有地址，B類和C類地址中可以設置私有地址C、A類、B類和C類地址中都可以設置私有地址D、A類、B類和C類地址中都沒有私有地址【正確答案】：C解析：

答案為C。75.小李去參加單位組織的信息安全培訓后，他把自己對管理信息管理體系ISMS的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）

A、監控和反饋ISMSB、批準和監督ISMSC、監視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C76.某公司的對外公開網站主頁經常被黑客攻擊后修改主頁內容，該公司應當購買并部署下面哪個設備（）A、安全路由器B、網絡審計系統C、網頁防篡改系統D、虛擬專用網（VirtualPrivateNetwork，VPN）系統【正確答案】：C解析：

網頁防篡改系統用來防范WEB篡改。77.信息系統安全保障評估概念和關系如圖所示。信息系統安全保障評估，就是在信息系統所處的運行環境

中對信息系統安全保障的具體工作和活動進行客觀的評估。通過信息系統安全保障評估所搜集的（），向信

息系統的所有相關方提供信息系統的（）能夠實現其安全保障策略，能夠將其所面臨的風險降低到其可接受

的程度的主觀信心。信息系統安全保障評估的評估對象是（），信息系統不僅包含了僅討論技術的信息技術

系統，還包括同信息系統所處的運行環境相關的人和管理等領域。信息系統安全保障是一個動態持續的過程，

涉及信息系統整個（），因此信息系統安全保障的評估也應該提供一種（）的信心。

A、安全保障工作；客觀證據；信息系統；生命周期；動態持續B、客觀證據；安全保障工作；信息系統；生命周期；動態持續C、客觀證據；安全保障工作；生命周期；信息系統；動態持續D、客觀證據；安全保障工作；動態持續；信息系統；生命周期【正確答案】：B78.風險分析師風險評估工作的一個重要內容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風險大小，如下圖所示，圖中括號應填那個？

A、安全資產價值大小等級B、脆弱性嚴重程度等級C、安全風險隱患嚴重等級D、安全事件造成損失大小【正確答案】：D79.下列關于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區B、能將自身代碼注入到扇區中的文件鏡像C、能將自身代碼注入文本文件中并執行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執行。80.小明是某大學計算科學與技術專業的畢業生，大四上學期開始找工作，期望謀求一份技術管理的職位，一次面試中，某公司的技術經理讓小王談一談信息安全風險管理中的背景建立的幾本概念與認識，小明的主要觀點包括：（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規劃和準備；（2）背景建立根據組織機構相關的行業經驗執行，雄厚的經驗有助于達到事半功倍的效果(3)背景建立包括：風險管理準備、信息系統調查、信息系統分析和信息安全分析（4.）背景建立的階段性成果包括：風險管理計劃書、信息系統的描述報告、信息系統的分析報告、信息系統的安全要求報告請問小明的論點中錯誤的是哪項：A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點【正確答案】：B解析：

背景建立是根據政策、法律、標準、業務、系統、組織等現狀來開展。81.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統災難恢復的重要概念，關于這兩個值能否為零，正確的選項是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A82.某IT公司針對信息安全事件已經建立了完善的預案，在年度企業信息安全總結會上，信息安全管理員對今年應急預案工作做出了四個總結，其中有一項總結工作是錯誤，作為企業的CSO，請你指出存在問題的

是哪個總結？（）A、公司自身擁有優秀的技術人員，系統也是自己開發的，無需進行應急演練工作，因此今年的僅制定了應

急演練相關流程及文檔，為了不影響業務，應急演練工作不舉行B、公司制定的應急演練流程包括應急事件通報、確定應急事件優先級應急響應啟動實施、應急響應時間后期

運維、更新現在應急預案五個階段，流程完善可用C、公司應急預案包括了基本環境類、業務系統、安全事件類、安全事件類和其他類，基本覆蓋了各類應急事

件類型D、公司應急預案對事件分類依據GB/Z20986–2007《信息安全技術信息安全事件分類分級指南》，分為7個

基本類別，預案符合國家相關標準【正確答案】：A83.某集團公司根據業務需求，在各地分支機構部屬前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務器采集進行集中分析，在運行過程中發現攻擊者也可通過共享從前置機種提取日志，從而導致部分敏感信息泄露，根據降低攻擊面的原則，應采取以下哪項處理措施？A、由于共享導致了安全問題，應直接關閉日志共享，禁止總部提取日志進行分析B、為配合總部的安全策略，會帶來一定安全問題，但不影響系統使用，因此接受此風險C、日志的存在就是安全風險，最好的辦法就是取消日志，通過設置前置機不記錄日志D、只允許特定ＩＰ地址從前置機提取日志，對日志共享設置訪問密碼且限定訪問的時間【正確答案】：D解析：

D的特定ＩＰ地址從前置機提取降低了開放日志共享的攻擊面。84.進入21世紀以來，信息安全成為世界各國安全戰略關注的重點，紛紛制定并頒布網絡空間安全戰略，但各國歷史、國情和文化不同，網絡空間安全戰略的內容也各不相同，以下說法不正確的是：A、與國家安全、社會穩定和民生密切相關的關鍵基礎設施是各國安全保障的重點B、美國未設立中央政府級的專門機構處理網絡信息安全問題，信息安全管理職能由不同政府部門的多個機構共同承擔C、各國普遍重視信息安全事件的應急響應和處理D、在網絡安全戰略中，各國均強調加強政府管理力度，充分利用社會資源，發揮政府與企業之間的合作關系【正確答案】：B解析：

解釋：美國已經設立中央政府級的專門機構。85.信息安全風險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產重要性D、以上都不對【正確答案】：B解析：

影響指的就是安全事件的損失，可能性指的是安全事件的可能性。86.軟件安全設計和開發中應考慮用戶穩私包，以下關于用戶隱私保護的說法哪個是錯誤的?A、告訴用戶需要收集什么數據及搜集到的數據會如何披使用B、當用戶的數據由于某種原因要被使用時，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩私數據，其它都不是D、確保數據的使用符合國家、地方、行業的相關法律法規【正確答案】：C解析：

個人隱私包括但不限于用戶名密碼、位置、行為習慣等信息。87.以下哪一項不是我國信息安全保障的原則：A、立足國情，以我為主，堅持以技術為主B、正確處理安全與發展的關系，以安全保發展，在發展中求安全C、統籌規劃，突出重點，強化基礎性工作D、明確國家、企業、個人的責任和義務，充分發揮各方面的積極性，共同構筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅持以技術和管理并重。88.GB/T22080-2008《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照

PDCA模型進行，即信息安全管理體系應包括建立ISMS、實施和運行ISMS、監視和評審ISMS、保持和改進

ISMS等過程，并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）。A、“制定ISMS方針”是建立ISMS階段工作內容B、“安施培訓和意識教育計劃”是實施和運行ISMS階段工作內容C、“進行有效性測量”是監視和評審ISMS階段工作內容D、“實施內部審核”是保持和改進ISMS階段工作內容【正確答案】：D89.在進行應用系統的測試時，應盡可能避免使用包含個人穩私和其它敏感信息的實際生產系統中的數據，如果需要使用時，以下哪一項不是必須做的：A、測試系統應使用不低于生產系統的訪問控制措施B、為測試系統中的數據部署完善的備份與恢復措施C、在測試完成后立即清除測試系統中的所有敏感數據D、部署審計措施，記錄生產數據的拷貝和使用【正確答案】：B解析：

由于備份會造成個人穩私和其它敏感信息的擴散。90.以下關于信息安全法治建設的意義，說法錯誤的是：A、信息安全法律環境是信息安全保障體系中的必要環節B、明確違反信息安全的行為，并對行為進行相應的處罰，以打擊信息安全犯罪活動C、信息安全主要是技術問題，技術漏洞是信息犯罪的根源D、信息安全產業的逐漸形成，需要成熟的技術標準和完善的技術體系【正確答案】：C解析：

信息安全問題是多方面存在的，不能認為主要為技術問題，同時技術漏洞不是犯罪的根源所在。91.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是A、檢查評估可依據相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環節或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B解析：

檢查評估由上級管理部門組織發起；本級單位發起的為自評估。92.某電子商務網站在開發設計時，使用了威脅建模方法來分折電子商務網站所面臨的威脅，STRIDE是微軟SDL中提出的

威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?A、網站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網站訪問速度B、網站使用http協議進行瀏覽等操作，未對數據進行加密，可能導致用戶傳輸信息泄露，例如購買的商品金額等C、網站使用http協議進行瀏覽等操作，無法確認數據與用戶發出的是否一致，可能數據被中途篡改D、網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D解析：

A屬于可用性；B保密性；C屬于完整性。93.以下關于“最小特權”安全管理原則理解正確的是：A、組織機構內的敏感崗位不能由一個人長期負責B、對重要的工作進行分解，分配給不同人員完成C、一個人有且僅有其執行崗位所足夠的許可和權限D、防止員工由一個崗位變動到另一個崗位，累積越來越多的權限【正確答案】：C解析：

C是“最小特權”的解釋；A描述的是輪崗；B描述的是權限分離；D描述的是防止權限蔓延。94.某單位門戶網站開發完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數據包作為測試用例B、數據處理點、數據通道的入口點和可信邊界點往往不是測試對象C、監測和記錄輸入數據后程序正常運行的情況D、深入分析測試過程中產生崩潰或異常的原因，必要時需要測試人員手工重現并分析【正確答案】：D解析：

A錯，模糊測試是模擬異常輸入；B錯，入口與邊界點是測試對象；C模糊測試記錄和檢測異常運行情況。95.視窗操作系統（Windows）從哪個版本開始引入安全中心的概念？A、WinNTSP6B、Win2000SP4C、WinXPSP2D、Win2003SP1【正確答案】：C96.金女士經常通過計算機在互聯網上購物，從安全角度看，下面哪項是不好的習慣：A、使用專用上網購物用計算機，安裝好軟件后不要對該計算機上的系統軟件，應用軟件進行升級B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設置只能下載和安裝經過簽名的，安全的ActiveX控件D、在使用網絡瀏覽器時，設置不在計算機中保留網絡歷史紀錄和表單數據【正確答案】：A解析：

A為正確答案。97.某公司開發了一個游戲網站，但是由于網站軟件存在漏洞，在網絡中傳輸大數據包時總是會丟失一些數據，如一次性傳輸大于2000個字節數據時，總是會有3到5個字節不能傳送到對方，關于此案例，可以推斷的是（）A、該網站軟件存在保密性方面安全問題B、該網站軟件存在完整性方面安全問題C、該網站軟件存在可用性方面安全問題D、該網站軟件存在不可否認性方面安全問題【正確答案】：B解析：

題干描述的是完整性。98.以下哪個選項不是防火墻提供的安全功能?A、IP地址欺騙防護B、NATC、訪問控制D、SQL注入攻擊防護【正確答案】：D解析：

題干中針對的是傳統防火墻，而SQL注入防護是WAF的主要功能。99.某學員在學習國家標準《信息系統安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）后，繪制了一張簡化的信息系統安全保障模型圖，如下所示。請為圖中括號空白處選擇合適的選項（）

A、安全保障（方針和組織）B、安全防護（技術和管理）C、深度防御（策略、防護、檢測、響應）D、保障要素（管理、工程、技術、人員）【正確答案】：D100.在網絡交易發達的今天，貿易雙方可以通過簽署電子合同來保障自己的合法權益。某中心推出電子簽名

服務，按照如圖方式提供電子簽名，不屬于電子簽名的基本特性的是（）。

A、不可偽造性B、不可否認性C、保證消息完整性D、機密性【正確答案】：D101.規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，按照規范的風險評估實施流程，下面哪個文檔應當是風險要素識別階段的輸出成果（）A、《風險評估方案》B、《需要保護的資產清單》C、《風險計算報告》D、《風險程度等級列表》【正確答案】：B解析：

風險要素包括資產、威脅、脆弱性、安全措施。102.在現實的異構網絡環境中，越來越多的信息需要實現安全的互操作。即進行跨域信息交換和處理。Kerberos協議不僅能在域內進行認證，也支持跨域認證，下圖顯示的是Kerberos協議實現跨域認證的7個步驟，其中有幾個步驟出現錯誤，圖中錯誤的描述正確的是：A、步驟1和步驟2發生錯誤B、步驟3和步驟4發生錯誤C、步驟5和步驟6發生錯誤D、步驟5和步驟6發生錯誤【正確答案】：B解析：

3和4是錯誤的，應該是3訪問域B的AS（請求遠程TGT），4是域B的AS返回客戶機(返回TGT)。103.選擇信息系統部署的場地應考慮組織機構對信息安全的需求并將安全性防在重要的位置，信息資產的保

護很大程度上取決與場地的安全性，一個部署在高風險場所的額信息系統是很難有效的保障信息資產安全性

的。為了保護環境安全，在下列選項中，公司在選址時最不應該選址的場地是().A、自然災害較少的城市B、部署嚴格監控的獨立園區C、大型醫院旁的建筑D、加油站旁的建筑【正確答案】：D104.在入侵檢測（IDS）的運行中，最常見的問題是：（）A、誤報檢測B、接收陷阱消息C、誤拒絕率D、拒絕服務攻擊【正確答案】：A105.以下哪一項不是工作在網絡第二層的隧道協議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

L2F、PPTP、L2TP均為二層隧道協議。106.風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔，其中，明確評估的目的、

職責、過程、相關的文檔要求，以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據的文檔

是（）A、《風險評估方案》B、《風險評估程序》C、《資產識別清單》D、《風險評估報告》【正確答案】：A107.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設置的口令登錄系統，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統的身份鑒別C、用戶利用和系統協商的秘密函數，對系統發送挑戰進行正確應答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。108.信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內部審核和管理審核是兩項重要的管理活動，關于這兩者，下面描述的錯誤是A、內部審核和管理評審都很重要，都是促進ISMS持續改進的重要動力，也都應當按照一定的周期實施B、內部審核實施方式多采用文件審核和現場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行C、內部審核實施主體組織內部的ISMS內審小組，而管理評審的實施主體是由國家政策指定的第三方技術服務機構D、組織的信息安全方針、信息安全目標和有關ISMS文件等，在內部審核中作為審核標準使用，但在管理評審總，這些文件時被審對象【正確答案】：C解析：

管理評審的實施主體由用戶的管理者來進行選擇。109.為增強Web應用程序的安全性，某軟件開發經理決定加強Web軟件安全開發培訓，下面哪項內容不在考慮范圍內（）A、關于網站身份簽別技術方面安全知識的培訓B、針對OpenSSL心臟出血漏洞方面安全知識的培訓C、針對SQL注入漏洞的安全編程培訓D、關于ARM系統漏洞挖掘方面安全知識的培訓【正確答案】：D解析：

D屬于ARM系統，不屬于WEB安全領域。110.信息安全組織的管理涉及內部組織和外部各方兩個控制目標。為了實現對組織內部信息安全的有效管理，

實施常規的控制措施，不包括哪些選項()A、信息安全的管理承諾、信息安全協調、信息安全職責的分配B、信息處理設施的授權過程、保密性協議、與政府部門的聯系.C、與特定利益集團的聯系，信息安全的獨立評審D、與外部各方相關風險的識別、處理外部各方協議中的安全問題【正確答案】：D111.某移動智能終端支持通過指紋識別解鎖系統的功能，與傳統的基于口令的鑒別技術相比，關于此種鑒別技術說法不正確的是：A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人獨有的，指紋識別系統不存在安全威脅問題D、此類系統一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。112.數據庫的安全很復雜，往往需要考慮多種安全策略，才可以更好地保護數據庫的安全。以下關于數據庫常用的安全策略理解不正確的是：A、最小特權原則，是讓用戶可以合法的存取或修改數據庫的前提下，分配最小的特權，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數據庫的完整性、保密性和可用性的前提下，最大程度地共享數據庫中的信息C、粒度最小的策略，將數據庫中數據項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D、按內容存取控制策略，不同權限的用戶訪問數據庫的不同部分【正確答案】：B解析：

數據庫安全策略應為最小共享。113.文檔體系建設是信息安全管理體系(ISMS)建設的直接體現，下列說法不正確的是：A、組織內的信息安全方針文件、信息安全規章制度文件、信息安全相關操作規范文件等文

檔是組織的工作標準，也是ISMS審核的依據B、組織內的業務系統日志文件、風險評估報告等文檔是對上一級文件的執行和記錄，對這些記錄不需要保護和控制C、組織每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發布日期、編寫人、審批人、主要修訂等內容D、層次化的文檔是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立【正確答案】：B解析：

信息安全管理體系運行記錄需要保護和控制。114.關于我國信息安全保障的基本原則，下列說法中不正確的是：A、要與國際接軌，積極吸收國外先進經驗并加強合作，遵循國際標準和通行做法，堅持管理與技術并重B、信息化發展和信息安全不是矛盾的關系，不能犧牲一方以保證另一方C、在信息安全保障建設的各項工作中，既要統籌規劃，又要突出重點D、在國家信息安全保障工作中，要充分發揮國家、企業和個人的積極性，不能忽視任何一方的作用。【正確答案】：A解析：

我國信息安全保障首先要遵循國家標準。115.小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經受某種災害的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致資產總價值損失二成四(24%)，歷史數據統計告知該災害發生的可能性為八年發生三次，請問小張最后得到的年度預期損失為多少：A、24萬B、0．09萬C、37．5萬D、9萬【正確答案】：D解析：

計算公式為100萬*24%*（3/8）=9萬116.某政府機構委托開發商開發了一個OA系統。其中公交分發功能使用了FTP協議，該系統運行過程中被攻

擊者通過FTP對OA系統中的腳本文件進行了篡改，安全專家提出使用Http下載代替FTP功能以解決以上問題，

該安全問題的產生主要是在哪個階段產生的()A、程序員在進行安全需求分析時，沒有分析出OA系統開發的安全需求B、程序員在軟件設計時，沒遵循降低攻擊面的原則，設計了不安全的功能C、程序員在軟件編碼時，缺乏足夠的經驗，編寫了不安全的代碼D、程序員在進行軟件測試時，沒有針對軟件安全需求進行安全測試【正確答案】：B117.以下哪個屬性不會出現在防火墻的訪問控制策略配置中？A、本局域網內地址B、百度服務器地址C、HTTP協議D、病毒類型【正確答案】：D解析：

病毒類型不會出現在防火墻的訪問控制策略中，病毒類型出現在反病毒網關中。118.關于信息安全管理體系，國際上有標準（ISO/IEC27001:2013）而我國發布了《信息技術安全技術信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標準的關系是：A、IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改B、EQV(等效采用)，此國家標準不等效于該國際標準C、NEQ（非等效采用），此國家標準不等效于該國際標準D、沒有采用與否的關系，兩者之間版本不同，不應該直接比較【正確答案】：D解析：

ISO/IEC27001:2013和GB/T22080-2008是兩個不同的版本。119.由于頻繁出現計算機運行時被黑客遠程攻擊獲取數據的現象，某軟件公司準備加強軟件安全開發管理，在下面做法中，

對于解決問題沒有直接幫助的是（）A、要求所有的開發人員參加軟件安全開發知識培訓B、要求增加軟件源代碼審核環節，加強對軟件代碼的安全性審查C、要求統一采用Windows8系統進行開發，不能采用之前的Windows版本D、要求邀請專業隊伍進行第三方安全性測試，盡量從多角度發現軟件安全問題【正確答案】：C解析：

統一采用Windows8系統對軟件安全無幫助。120.一個信息管理系統通常會對用戶進行分組并實施訪問控制。例如，在一個學校的教務系統中，教師能夠

錄入學生的考試成績，學生只能查看自己的分數，而學校教務部門的管理人員能夠對課程信息、學生的選課

信息等內容進行修改。下列選項中，對訪問控制的作用的理解錯誤的是：A、對經過身份鑒別后的合法用戶提供所有服務B、拒絕非法用戶的非授權訪問請求C、在用戶對系統資源提供最大限度共享的基礎上，對用戶的訪問權進行管理D、防止對信息的非授權篡改和濫用【正確答案】：A121.下列選項分別是四種常用的資產評估方法，哪個是目前采用最為廣泛的資產評估方法（）。A、基于知識的分析方法B、基于模型的分析方法C、定量分析D、定性分析【正確答案】：D122.某網站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是:A、網站問題是由于開發人員不熟悉安全編碼，編寫了不安全的代碼，導致攻擊面增大，產生此安全問題B、網站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網站攻擊面增大，產生此問題C、網站問題是由于使用便利性提高，帶來網站用戶數增加，導致網站攻擊面增大，產生此安全問題D、網站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網站攻擊面增大，產生此問題【正確答案】：D解析：

設計時提供了用戶快捷登錄功能，導致大量用戶賬號被盜用。則答案為D。123.賬號鎖定策略中對超過一定次數的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區溢出攻擊【正確答案】：C解析：

賬號鎖定是為了解決暴力破解攻擊的。124.最小特權是軟件安全設計的基本原則，某應用程序在設計時，設計人員給出了以下四種策略，其中有一個違反了最小特權的原則，作為評審專家，請指出是哪一個?A、軟件在Linux下按照時，設定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數據庫數據，在備份模塊運行時，以數據庫備份操作員賬號連接數據庫C、軟件的日志模塊由于要向數據庫中的日志表中寫入日志信息，使用了一個日志用戶賬號連接數據庫，該賬號僅對日志表擁有權限D、為了保證軟件在Windows下能穩定的運行，設定運行權限為system，確保系統運行正常，不會因為權限不足產生運行錯誤【正確答案】：D解析：

SYSTEM權限是最大權限，答案為D。125.以下哪一項不是信息安全管理工作必須遵循的原則?A、風險管理在系統開發之初就應該予以充分考慮，并要貫穿于整個系統開發過程之中B、風險管理活動應成為系統開發、運行、維護、直至廢棄的整個生命周期內的持續性工作C、由于在系統投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對較低D、在系統正式運行后，應注重殘余風險的管理，以提高快速反應能力【正確答案】：C解析：

安全措施投入應越早則成本越低，C答案則成本會上升。126.以下哪個現象較好的印證了信息安全特征中的動態性()A、經過數十年的發展，互聯網上已經接入了數億臺各種電子設備B、剛剛經過風險評估并針對風險采取處理措施后，僅一周新的系統漏洞使得信息系統面臨新的風險C、某公司的信息系統面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產品，但服務器中數據仍產生了泄露【正確答案】：B127.下列關于信息系統生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業務期望B、描述所涉及系統的安全現狀，提交明確的安全需求文檔C、向相關組織和領導人宣貫風險評估準則D、對系統規劃中安全實現的可能性進行充分分析和論證【正確答案】：C解析：

C屬于風險評估階段的準備階段，不屬于題干中的安全需求階段。128.訪問控制是對用戶或用戶訪問本地或網絡上的域資源進行法令一種機制。在Windows2000以后的操作系統版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現訪問控制功能。以下選項中，對windows操作系統訪問控制實現方法的理解錯誤的是（）ACL只能由