第頁NISP(CISP)練習測試卷1.在入侵檢測（IDS）的運行中，最常見的問題是：（）A、誤報檢測B、接收陷阱消息C、誤拒絕率D、拒絕服務攻擊【正確答案】：A2.老王是某政府信息中心主任。以下哪項項目是符合《保守國家秘密法》要求的()A、老王安排下屬小李將損害的涉密計算機某國外品牌硬盤送到該品牌中國區維修中心修理B、老王要求下屬小張把中心所有計算機貼上密級標志C、老王每天晚上12點將涉密計算機連接上互聯網更新殺毒軟件病毒庫D、老王提出對加密機和紅黑電源插座應該與涉密信息系統同步投入使用【正確答案】：D3.以下哪一項不屬于信息安全工程監理模型的組成部分：A、監理咨詢支撐要素B、控制和管理手段C、監理咨詢階段過程D、監理組織安全實施【正確答案】：D解析：

監理模型組成包括監理咨詢支撐要素、監理咨詢階段過程、控制和管理手段。4.在戴明環(PDCA)模型中，處置(ACT)環節的信息安全管理活動是：A、建立環境B、實施風險處理計劃C、持續的監視與評審風險D、持續改進信息安全管理過程【正確答案】：D解析：

持續改進信息安全管理過程屬于處置(ACT)階段。5.某單位需要開發一個網站，為了確保開發出安全的軟件。軟件開發商進行了OA系統的威脅建模，根據威

脅建模，SQL注入是網站系統面臨的攻擊威脅之一，根據威脅建模的消減威脅的做法。以下哪個屬于修改設

計消除威脅的做法（）A、在編碼階段程序員進行培訓，避免程序員寫出存在漏洞的代碼B、對代碼進行嚴格檢查，避免存在SQL注入漏洞的腳本被發布C、使用靜態發布，所有面向用戶發布的數據都使用靜態頁面D、在網站中部署防SQL注入腳本，對所有用戶提交數據進行過濾【正確答案】：C6.在數據庫安全性控制中，授權的數據對象，授權子系統就越靈活?A、粒度越小B、約束越細致C、范圍越大D、約束范圍大【正確答案】：A解析：

數據粒度越細則授權策略越靈活便利。7.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖(圖中包括了規劃建立、實施運行、（）、保持和改進），但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。A、監控和反饋ISMSB、批準和監督ISMSC、監視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C解析：

管理體系PDCA分別指的階段是：P-規劃建立、D-實施運行、C-監視和評審、A-保持和改進。8.以下關于UDP協議的說法，哪個是錯誤的?A、UDP具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務攻擊B、UDP協議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數據包送達正確的程序C、相比TCP協議，UDP協議的系統開銷更小，因此常用來傳送如視頻這一類高流量需求的應用數據D、UDP協議不僅具有流量控制，超時重發等機制，還能提供加密等服務，因此常用來傳輸如視頻會話這類需要隱私保護的數據【正確答案】：D解析：

UDP協議無流量控制，超時重發等機制。9.相比文件配置表(FAT)文件系統，以下哪個不是新技術文件系統(NTFS)所具有的優勢?A、NTFS使用事務日志自動記錄所有文件夾和文件更新，當出現系統損壞和電源故障等問題，而引起操作失敗后，系統能利用日志文件重做或恢復未成功的操作B、NTFS的分區上，可以為每個文件或文件夾設置單獨的許可權限C、對于大磁盤，NTFS文件系統比FAT有更高的磁盤利用率D、相比FAT文件系統，NTFS文件系統能有效的兼容linux下EXT2文件格式【正確答案】：D解析：

NTFS不能兼容EXT文件系統。10.某社交網站的用戶點擊了該網站上的一個廣告。該廣告含有一個跨站腳本，會將他的瀏覽器定向到旅游網站，旅游網站則獲得了他的社交網絡信息。雖然該用戶沒有主動訪問該旅游網站，但旅游網站已經截獲了他的社交網絡信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網站的廣告后面，截獲用戶的個人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區溢出攻擊【正確答案】：B11.信息安全風險等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產重要性D、以上都不對【正確答案】：B解析：

影響指的就是安全事件的損失，可能性指的是安全事件的可能性。12.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統的技術架構安全問題B、信息系統組成部門的組件安全問題C、信息系統生命周期的過程安全問題D、信息系統運行維護的安全管理問題【正確答案】：C解析：

正確的答案為C。13.關于計算機取取證描述不正確的是（）A、計算機取證是使用先進的技術和工具，按照標準規程全面的檢查計算機系統以提取和保護有關計算機犯罪

的相關證據的活動B、取證的目的包括通過證據，查找肇事者，通過證據推斷犯罪過程，通過證據判斷受害者損失程度及涉及證

據提供法律支持C、電子證據是計算機系統運行過程中產生的各種信息記錄及存儲的電子化資料及物品，對于電子證據取證工

作主要圍繞兩方面進行證據的獲取和證據的保護D、計算機取證的過程，可以分為準備，保護，提取，分析和提交五個步驟【正確答案】：C14.我國信息安全保障工作先后經歷啟動、逐步展開和積極推進，以及深化落實三個階段，以下關于我國信息安全保障各階段說法不正確的是：A、2001國家信息化領導小組重組，網絡與信息安全協調小組成立，我國信息安全保障工作正式啟動B、2003年7月，國家信息化領導小組制定出臺了《關于加強信息安全保障工作的意見》（中辦發27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C、2003年中辦發27號文件的發布標志著我國信息安全保障進入深化落實階段

D.在深化落實階段，信息安全法律法規、標準化，信息安全基礎設施建設，以及信息安全等級保護和風險評估取得了新進展。【正確答案】：C解析：

2006年進入到深化落實階段。15.應用軟件的數據存儲在數據庫中，為了保證數據安全，應設置良好的數據庫防護策略，以下不屬于數據庫防護策略的是?A、安裝最新的數據庫軟件安全補丁B、對存儲的敏感數據進行安全加密C、不使用管理員權限直接連接數據庫系統D、定期對數據庫服務器進行重啟以確保數據庫運行良好【正確答案】：D解析：

D屬于運行安全操作，不屬于安全防護策略。16.陳工學習了信息安全風險的有關知識，了解到信息安全風險的構成過程，有五個方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風險的構成過程，圖中空白處應填寫？

A、信息載體B、措施C、脆弱性D、風險評估【正確答案】：C17.以下對于信息安全事件理解錯誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響的事件B、對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰略的一部分C、應急響應是信息安全事件管理的重要內容D、通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統提供保護，杜絕信息安全事件的發生【正確答案】：D解析：

安全事件無法杜絕。18.小華在某電子商務公司工作，某天他在查看信息系統設計文檔時，發現其中標注該信息系統的RPO（恢復點目標）指標為3小時。請問這意味著（）A、該信息系統發生重大安全事件后，工作人員應在3小時內到位，完成問題定位和應急處理工作B、該信息系統發生重大安全事件后，工作人員應在3小時內完整應急處理工作并恢復對外運行C、該信息系統發生重大安全事件后，工作人員在完成處置和災難恢復工作后，系統至少能提供3小時的緊急業務服務能力D、該信息系統發生重大安全事件后，工作人員在完成處置和災難恢復工作后，系統至多能丟失3小時的業務數據【正確答案】：D19.某單位信息安全崗位員工，利用個人業余時間，在社交網絡平臺上向業內同不定期發布信息安全相關知識和前沿動態資訊，這一行為主要符合以下哪一條注冊信息安全專業人員（CISP）職業道德準則：A、避免任何損害CISP聲譽形象的行為B、自覺維護公眾信息安全，拒絕并抵制通過計算機網絡系統泄露個人隱私的行為C、幫助和指導信息安全同行提升信息安全保障知識和能力D、不在公眾網絡傳播反動、暴力、黃色、低俗信息及非法軟件【正確答案】：C解析：

C為正確描述。20.恢復時間目標（RTO）和恢復點目標（RPO）是信息系統災難恢復中的重要概念，關于這兩個值能否為零，正確的選項是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

RTO可以為0，RPO也可以為0。21.某公司開發了一個游戲網站，但是由于網站軟件存在漏洞，在網絡中傳輸大數據包時總是會丟失一些數據，如一次性傳輸大于2000個字節數據時，總是會有3到5個字節不能傳送到對方，關于此案例，可以推斷的是（）A、該網站軟件存在保密性方面安全問題B、該網站軟件存在完整性方面安全問題C、該網站軟件存在可用性方面安全問題D、該網站軟件存在不可否認性方面安全問題【正確答案】：B解析：

題干描述的是完整性。22.小牛在對某公司的信息系統進行風險評估后，因考慮到該業務系統中部分涉及金融交易的功能模塊風險太高，他建議該公司以放棄這個功能模塊的方式來處理風險，請問這種風險處置的方法是（）A、降低風險B、規避風險C、放棄風險D、轉移風險【正確答案】：B解析：

風險處理方式包括降低、規避、接受和轉移四種方式。23.某公司已有漏洞掃描和入侵檢測系統(IntrusionDetectionSystem，IDS)產品，需要購買防火墻，以下做法應當優先考慮的是：A、選購當前技術最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產品D、選購一款同已有安全產品聯動的防火墻【正確答案】：D解析：

在技術條件允許情況下，可以實現IDS和FW的聯動。24.在可信計算機系統評估準則（TCSEC）中，下列哪一項是滿足強制保護要求的最低級別？A、C2B、C1C、B2D、B1【正確答案】：D解析：

答案為B1。25.關于監理過程中成本控制，下列說法中正確的是?A、成本只要不超過預計的收益即可B、成本應控制得越低越好C、成本控制由承建單位實現，監理單位只能記錄實際開銷D、成本控制的主要目的是在批準的預算條件下確保項目保質按期完成【正確答案】：D解析：

D為正確答案。26.信息系統安全工程(ISSE)的一個重要目標就是在IT項目的各個階段充分考慮安全因素，在IT項目的立項階段，以下哪一項不是必須進行的工作：A、明確業務對信息安全的要求B、識別來自法律法規的安全要求C、論證安全要求是否正確完整D、通過測試證明系統的功能和性能可以滿足安全要求【正確答案】：D解析：

D屬于項目的驗收階段，不屬于IT項目的立項階段，題干屬于立項階段。27.組織建立業務連續性計劃（BCP)的作用包括：A、在遭遇災難事件時，能夠最大限度地保護組織數據的實時性，完整性和一致性；B、提供各種恢復策略選擇，盡量減小數據損失和恢復時間，快速恢復操作系統、應用和數據；C、保證發生各種不可預料的故障、破壞性事故或災難情況時，能夠持續服務，確保業務系統的不間斷運行，降低損失；D、以上都是。【正確答案】：D解析：

正確答案為D。28.Kerberos協議是一種集中訪問控制協議，他能在復雜的網絡環境中，為用戶提供安全的單點登錄服務。單點登錄是指用戶在網絡中進行一次身份認證，便可以訪問其授權的所有網絡資源，而不在需要其他的認證過程，實質是消息M在多個應用系統之間的傳遞或共享。其中消息M是指以下選項中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰【正確答案】：A解析：

安全憑證指的是服務許可票據。29.2006年5月8日電，中共中央辦公廳、國務院辦公廳印發了《2006-2020年國家信息化發展戰略》。全

文分（）部分共計約15000余字。對國內外的信息化發展做了宏觀分析，對我國信息化發展指導思想和戰略

目標標準要闡述，對我國（）發展的重點、行動計劃和保障措施做了詳盡描述。該戰略指出了我國信息化發

展的（），當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（）。

基礎信息網絡和重要信息系統的安全防護水平明顯提高，互聯網信息安全管理進一步加強。A、5個；信息化；基本形勢；國家安全戰略；工作機制B、6個；信息化；基本形勢；國家信息安全戰略；工作機制C、7個；信息化；基本形勢；國家安全戰略；工作機制D、8個；信息化；基本形勢；國家信息安全戰略；工作機制【正確答案】：B30.下面哪個模型和軟件安全開發無關（）？A、微軟提出的“安全開發生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開發必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D解析：

D與軟件安全開發無關，ABC均是軟件安全開發模型。31.數字簽名不能實現的安全特性為（）A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D32.以下屬于哪一種認證實現方式：用戶登錄時，認證服務器（AuthenticationServer，AS)產生一個隨機數發送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機數混合計算后作為一次性口令，并發送給AS,AS用同樣的方法計算后，驗證比較兩個口令即可驗證用戶身份。A、口令序列B、時間同步C、挑戰/應答D、靜態口令【正確答案】：C解析：

題干描述的是C的解釋。33.對系統工程（SystemsEngineering，SE）的理解，以下錯誤的是：A、系統工程偏重于對工程的組織與經營管理進行研究B、系統工程不屬于技術實現，而是一種方法論C、系統工程不是一種對所有系統都具有普遍意義的科學方法D、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法【正確答案】：C解析：

系統工程是一種對所有系統都具有普遍意義的科學方法。34.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法正確的是（）ACL是Bell-LaPadula模型的一種具體實現B、ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C、ACL對于統計某個主體能訪問哪些客體比較方便D、ACL在增加客體時，增加相關的訪問控制權限較為簡單【正確答案】：D35.信息系統安全保障評估概念和關系如圖所示。信息系統安全保障評估，就是在信息系統所處的運行環境

中對信息系統安全保障的具體工作和活動進行客觀的評估。通過信息系統安全保障評估所搜集的（），向信

息系統的所有相關方提供信息系統的（）能夠實現其安全保障策略，能夠將其所面臨的風險降低到其可接受

的程度的主觀信心。信息系統安全保障評估的評估對象是（），信息系統不僅包含了僅討論技術的信息技術

系統，還包括同信息系統所處的運行環境相關的人和管理等領域。信息系統安全保障是一個動態持續的過程，

涉及信息系統整個（），因此信息系統安全保障的評估也應該提供一種（）的信心。

A、安全保障工作；客觀證據；信息系統；生命周期；動態持續B、客觀證據；安全保障工作；信息系統；生命周期；動態持續C、客觀證據；安全保障工作；生命周期；信息系統；動態持續D、客觀證據；安全保障工作；動態持續；信息系統；生命周期【正確答案】：B36.如圖所示，主機A向主機B發出的數據采用AH或者ESP的傳輸模式對流量進行保護時，主機A和主機B的IP地址在應該在下列哪個范圍？

A、~55B、~55C、~55D、不在上述范圍內【正確答案】：D37.降低風險（或減低風險）指通過對面的風險的資產采取保護措施的方式來降低風險，下面那個措施不屬于降低風險的措施（）A、減少威脅源，采用法律的手段制裁計算機的犯罪，發揮法律的威懾作用，從而有效遏制威脅源的動機B、簽訂外包服務合同，將有計算難點，存在實現風險的任務通過簽訂外部合同的方式交予第三方公司完成，通過合同責任條款來應對風險C、減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時給系統打補丁，關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用的可能性【正確答案】：B解析：

B屬于轉移風險。38.組織第一次建立業務連續性計劃時，最為重要的活動是：A、制定業務連續性策略B、進行業務影響分析C、進行災難恢復演練D、構建災備系統【正確答案】：A39.以下哪一項不是我國信息安全保障的原則：A、立足國情，以我為主，堅持以技術為主B、正確處理安全與發展的關系，以安全保發展，在發展中求安全C、統籌規劃，突出重點，強化基礎性工作D、明確國家、企業、個人的責任和義務，充分發揮各方面的積極性，共同構筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅持以技術和管理并重。40.ApacheWeb服務器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srLconfC、access．ConfD、Inet.conf【正確答案】：A解析：

根據題干本題選擇A。41.口令破解是針對系統進行攻擊的常用方法，windows系統安全策略中應對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關于這兩個策略說明錯誤的是A、密碼策略主要作用是通過策略避免擁護生成弱口令及對用戶的口令使用進行管控B、密碼策略對系統中所有的用戶都有效C、賬戶鎖定策略的主要作用是應對口令暴力破解攻擊，能有效地保護所有系統用戶應對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應對口令暴力破解攻擊【正確答案】：D解析：

賬戶鎖定策略也適用于administrator賬戶。42.以下哪個屬性不會出現在防火墻的訪問控制策略配置中？A、本局域網內地址B、百度服務器地址C、HTTP協議D、病毒類型【正確答案】：D解析：

病毒類型不會出現在防火墻的訪問控制策略中，病毒類型出現在反病毒網關中。43.以下關于可信計算說法錯誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機安全評價標準(TCSEC)中第一次提出了可信計算機和可信計算基的概念C、可信的整體框架包含終端可信、終端應用可信、操作系統可信、網絡互聯可信、互聯網交易等應用系統可信D、可信計算平臺出現后會取代傳統的安全防護體系和方法【正確答案】：D解析：

可信計算平臺出現后不會取代傳統的安全防護體系和方法。44.實施災難恢復計劃之后，組織的災難前和災難后運營成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業務的性質）【正確答案】：C45.軟件安全設計和開發中應考慮用戶穩私包，以下關于用戶隱私保護的說法哪個是錯誤的?A、告訴用戶需要收集什么數據及搜集到的數據會如何披使用B、當用戶的數據由于某種原因要被使用時，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩私數據，其它都不是D、確保數據的使用符合國家、地方、行業的相關法律法規【正確答案】：C解析：

個人隱私包括但不限于用戶名密碼、位置、行為習慣等信息。46.關于軟件安全問題，下面描述錯誤的是（）A、軟件的安全問題可以造成軟件運行不穩定，得不到正確結果甚至崩潰B、軟件的安全問題應該依賴于軟件開發的設計、編程、測試以及部署等各個階段措施解決C、軟件的安全問題可能被攻擊者利用后影響人身健康安全D、軟件的安全問題是由程序開發者遺留的，和軟件部署運行環境無關【正確答案】：D47.規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，按照規范的風險評估實施流程，下面哪個文檔應當是風險要素識別階段的輸出成果（）A、《風險評估方案》B、《需要保護的資產清單》C、《風險計算報告》D、《風險程度等級列表》【正確答案】：B解析：

風險要素包括資產、威脅、脆弱性、安全措施。48.以下哪個是惡意代碼采用的隱藏技術：A、文件隱藏B、進程隱藏C、網絡連接隱藏D、以上都是【正確答案】：D解析：

答案為D。49.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼的算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱作序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼算法和序列算法是兩種算法。50.以下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出的九項重點工作內容之一?A、提高信息技術產品的國產化率B、保證信息安全資金投入C、加快信息安全人才培養D、重視信息安全應急處理工作【正確答案】：A解析：

提高信息技術產品的國產化率不屬于九項重點工作內容之一。51.如圖所示，主體S對客體01有讀（R）權限，對客體02有讀（R）、寫（）權限。該圖所示的訪問控制實現方法是：

A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）【正確答案】：C52.以下關于Windows系統的賬號存儲管理機制（SecurityAccountsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數據是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數據只有administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數據任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數據有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D53.下系統工程說法錯誤的是：A、系統工程是基本理論的技術實現B、系統工程是一種對所有系統都具有普遍意義的科學方法C、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法D、系統工程是一種方法論【正確答案】：A解析：

系統工程是方法論，不是技術實現。54.在某網絡機房建設項目中，在施工前，以下哪一項不屬于監理需要審核的內容：A、審核實施投資計劃B、審核實施進度計劃C、審核工程實施人員D、企業資質【正確答案】：A解析：

監理從項目招標開始到項目的驗收結束，在投資計劃階段沒有監理。55.在密碼學的Kerchhof假設中，密碼系統的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道【正確答案】：C56.在極限測試過程中，貫穿始終的是()A、單元測試和集成測試B、單元測試和系統測試C、集成測試和驗收測試D、集成測試和系統測試【正確答案】：C解析：

單元測試，系統測試，驗收測試，尤其包括單元和驗收測試。57.關于補丁安裝時應注意的問題，以下說法正確的是A、在補丁安裝部署之前不需要進行測試，因為補丁發布之前廠商已經經過了測試B、補丁的獲取有嚴格的標準,必須在廠商的官網上獲取C、信息系統打補丁時需要做好備份和相應的應急措施D、補丁安裝部署時關閉和重啟系統不會產生影響【正確答案】：C58.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式。該部門將有關檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是（）A、檢查評估可依據相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環節或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B59.某電子商務網站架構設計時，為了避免數據誤操作，在管理員進行訂單刪除時，需要由審核員進行審核后該刪除操作才能生效，這種設計是遵循了發下哪個原則A、權限分離原則B、最小的特權原則C、保護最薄弱環節的原則D、縱深防御的原則【正確答案】：A60.規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，某單位在實施風險評估時，形成了《風險評估方案》并得到了管理決策層的認可，在風險評估實施的各個階段中，該《風險評估方案》應是如下()中的輸出結果。A、風險評估準備階段B、風險要素識別階段C、風險分析階段D、風險結果判定階段【正確答案】：A解析：

《風險評估方案》屬于風險評估準備階段的結果。61.在風險管理中，殘余風險是指實施了新的或增強的安全措施后還剩下的風險，關于殘余風險，下面描述錯誤的是（）A、風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程B、管理層確認接收殘余風險，是對風險評估工作的一種肯定，表示管理層已經全面了解了組織所面臨的風險，并理解在風險一旦變為現實后，組織能夠且承擔引發的后果C、接收殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術等因素的限制D、如果殘余風險沒有降低到可接受的級別，則只能被動的選擇接受風險，即對風險不進行下一步的處理措施，接受風險可能帶來的結果。【正確答案】：D解析：

如果殘余風險沒有降低到可接受的級別，則會被動的選擇接受殘余風險，但需要對殘余風險進行進一步的關注、監測和跟蹤。62.在對某面向互聯網提供服務的某應用服務器的安全檢測中發現，服務器上開放了以下幾個應用，除了一個應用外其他應用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應用進行安全整改以外解決明文傳輸數據的問題，以下哪個應用已經解決了明文傳輸數據問題：A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

SSH具備數據加密保護的功能。63.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環境安全方面實施常規控制。物理和環境安全領域包括安全區域和設備安全兩個控制目標。安全區域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區域內并受到相應保護。該目標可以通過以下控制措施來實現，不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設施的安全保護。外部和環境威脅的安全防護C、在安全區域工作。公共訪問、交接區安全D、人力資源安全【正確答案】：D64.某政府機構擬建設一機房，在工程安全監理單位參與下制定了招標文件，項目分二期，一期目標為年內實現系統上線運營，二期目標為次年上半年完成運行系統風險的處理：招標文件經營管理層審批后發布，就此工程項目而言，以下正確的是：A、此項目將項目目標分解為系統上線運營和運行系統風險處理分期實施，具有合理性和可行性B、在工程安全監理的參與下，確保了此招標文件的合理性C、工程規劃不符合信息安全工程的基本原則D、招標文件經營管理層審批，表明工程目標符合業務發展規劃【正確答案】：C解析：

題目描述不符合信息安全工程的“同步規劃、同步實施”的基本原則。65.以下對Windows賬號的描述，正確的是：A、Windows系統是采用SID（安全標識符）來標識用戶對文件或文件夾的權限B、Windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、Windows系統默認會生成administrator和guest兩個賬號，兩個賬號都不允許改名和刪除D、Windows系統默認生成administrator和guest兩個賬號，兩個賬號都可以改名和刪除【正確答案】：A66.訪問控制是對用戶或用戶訪問本地或網絡上的域資源進行法令一種機制。在Windows2000以后的操作系統版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現訪問控制功能。以下選項中，對windows操作系統訪問控制實現方法的理解錯誤的是（）ACL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權限D、通過授權管理器，可以實現基于角色的訪問控制【正確答案】：A67.某軟件公司準備提高其開發軟件的安全性，在公司內部發起了有關軟件開發生命周期的討論，在下面的發言觀點中，正確的是（）A、軟件安全開發生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決９０％以上的安全問題B、應當盡早在軟件開發的需求和設計階段就增加一定的安全措施，這樣可以比在軟件發布以后進行漏洞修復所花的代價少的多。C、和傳統的軟件開發階段相比，微軟提出的安全開發生命周期的最大特點是增加了一個抓們的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業性，如果該開發人員已經對軟件進行了安全性測試，就沒有必要再組織第三方進行安全性測試【正確答案】：B解析：

正確答案為B。68.某單位系統管理員對組織內核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種：A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務的訪問控制【正確答案】：C69.選擇信息系統部署的場地應考慮組織機構對信息安全的需求并將安全性防在重要的位置，信息資產的保

護很大程度上取決與場地的安全性，一個部署在高風險場所的額信息系統是很難有效的保障信息資產安全性

的。為了保護環境安全，在下列選項中，公司在選址時最不應該選址的場地是().A、自然災害較少的城市B、部署嚴格監控的獨立園區C、大型醫院旁的建筑D、加油站旁的建筑【正確答案】：D70.信息安全風險評估是信息安全風險管理工作中的重要環節，在國家網絡與信息安全協調小組發布的《關于開展信息安全風險評估工作的意見》(國信辦(2006)5號)中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關工作原則和要求，下面選項中描述正確的是()。A、信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充B、信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結合、互為補充C、自評估和檢查評估是相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由單位均應選擇檢查評估，以保證安全效果【正確答案】：A解析：

A為正確答案。71.小王是某大學計算機科學與技術專業的學生，最近因為生病缺席了幾堂信息安全課程，這幾次課的內容是自主訪問控制與強制訪問控制，為了趕上課程進度，他向同班的小李借來課堂筆記，進行自學。而小李在聽課時由于經常走神，所以筆記中會出現一些錯誤。下列選項是小李筆記中關于強制訪問控制模型的內容，其中出現錯誤的選項是（）A、強制訪問控制是指主體和客體都有一個固定的安全屬性，系統用該安全屬性來決定一個主體是否可以訪問某個客體B、安全屬性是強制性的規定，它由安全管理員或操作系統根據限定的規則確定，不能隨意修改C、系統通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個用戶執行訪問控制的過程控制措施【正確答案】：D72.具有行政法律責任強制的安全管理規定和安全制度包括

1）安全事件（包括安全事故）報告制度

2）安全等級保護制度

3）信息系統安全監控

4）安全專用產品銷售許可證制度A、1，2，4B、2，3C、2，3,4D、1，2,3【正確答案】：A解析：

1\2\4均為管理規定和安全制度。73.關于軟件安全開發生命周期(SDL)，下面說法錯誤的是：A、在軟件開發的各個周期都要考慮安全因素B、軟件安全開發生命周期要綜合采用技術、管理和工程等手段C、測試階段是發現并改正軟件安全漏洞的最佳環節，過早或過晚檢測修改漏洞都將增大軟件開發成本D、在設計階段就盡可能發現并改正安全隱患，將極大減少整個軟件開發成本【正確答案】：C解析：

設計階段是發現和改正問題的最佳階段。74.某市環衛局網絡建設是當地政府投資的重點項目。總體目標就是用于交換式千兆以太網為主干，超五類雙絞線作水平布線，由大型交換機和路由器連通幾個主要的工作區域，在各區域建立一個閉路電視監控系統，再把信號通過網絡傳輸到各監控中心，其中對交換機和路由器進行配置是網絡安全中的一個不可缺少的步驟，下面對于交換機和路由器的安全配置，操作錯誤的是()A、保持當前版本的操作系統，不定期更新交換機操作系統補丁B、控制交換機的物理訪問端口，關閉空閑的物理端口C、帶外管理交換機，如果不能實現的話，可以利用單獨的VLAN號進行帶內管理D、安全配置必要的網絡服務，關閉不必要的網絡服務【正確答案】：A解析：

交換機和路由器的管理包括了版本更新，也包括了補丁管理。75.關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現其業務目標的重要保障B、信息安全管理是一個不斷演進、循環發展的動態過程，不是一成不變的C、信息安全建設中，技術是基礎，管理是拔高，既有效的管理依賴于良好的技術基礎D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應為技管并重。76.關于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預期的輸入并監視異常結果來發現軟件故障，從而定位可能導致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經取代了傳統的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處【正確答案】：D解析：

D為源代碼審核工作內容描述。77.COBIT（信息和相關技術的控制目標）是國際專業協會ISACA為信息技術（IT）管理和IT治理創建的良

好實踐框架。COBIT提供了一套可實施的“信息技術控制”并圍繞IT相關流程和推動因素的邏輯框架進行組

織。COBIT模型按照流程，請問，COBIT組件包括（）、()、（）、（）、（）等部分。A、流程描述、框架、控制目標、管理指南、成熟度模型B、框架、流程描述、管理目標、控制目標、成熟度模型C、框架、流程描述、控制目標、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標、成熟度模型【正確答案】：C78.2005年，RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發布，用以取代原先的RFC2401，該標準建議規定了IPsec系統基礎架構，描述如何在IP層（IPv4/IPv6）位流量提供安全業務。請問此類RFC系列標準建議是由下面哪個組織發布的（）。A、國際標準化組織（InternationalOrganizationforStandardization，ISO）B、國際電工委員會（InternationalElectrotechnicalCommission，IEC）C、國際電信聯盟遠程通信標準化組織（ITUTelecommunicationStandardizationSecctor，ITU-T）D、Internet工程任務組（InternetEngineeringTaskForce，IETF）【正確答案】：D解析：

D為正確答案。79.DSA（數字簽名算法）不提供以下哪種服務?A、數據完整性B、加密C、數字簽名D、認證【正確答案】：B80.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規控制，人力資源安全劃分為3個控制階段，不包括哪一項（）A、任用之前B、任用中C、任用終止或變化D、任用后【正確答案】：D81.基于TCP的主機在進行一次TCP連接時簡要進行三次握手，請求通信的主機A要與另一臺主機B建立連接時，A需要先發一個SYN數據包向B主機提出連接請示，B收到后，回復一個ACK/SYN確認請示給A主機，然后A再次回應ACK數據包，確認連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標主機，使目標主機發送的ACK/SYN包得不到確認。一般情況下，目標主機會等一段時間后才會放棄這個連接等待。因此大量虛假SYN包同時發送到目標主機時，目標主機上就會有大量的連接請示等待確認，當這些未釋放的連接請示數量超過目標主機的資源限制時。正常的連接請示就不能被目標主機接受，這種SYNFlood攻擊屬于（）A、拒絕服務攻擊B、分布式拒絕服務攻擊C、緩沖區溢出攻擊D、SQL注入攻擊【正確答案】：A82.以下哪一項是數據完整性得到保護的例子?A、某網站在訪問量突然增加時對用戶連接數量進行了限制，保證已經登錄的用戶可以完成操作

B、在提款過程中ATM終端發生故障，銀行業務系統及時對該用戶的賬戶余額進行了沖正操作

C、某網管系統具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作

D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業間諜無法查看【正確答案】：B解析：

解釋：A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施，是Clark-Wilson模型的應用，解決數據變化過程的完整性。83.小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經受某種災害的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致資產總價值損失二成四(24%)，歷史數據統計告知該災害發生的可能性為八年發生三次，請問小張最后得到的年度預期損失為多少：A、24萬B、0．09萬C、37．5萬D、9萬【正確答案】：D解析：

計算公式為100萬*24%*（3/8）=9萬84.為了防止授權用戶不會對數據進行未經授權的修改，需要實施對數據的完整性保護，下列哪一項最好地

描述了星或（·-）完整性原則？（）A、Bell-LaPadula模型中的不允許向下寫Bell-LaPadula模型中的不允許向上讀C、Biba模型中的不允許向上寫D、Biba模型中的不允許向下讀【正確答案】：C85.防火墻是網絡信息系統建設中常常采用的一類產品，它在內外網隔離方面的作用是A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

答案為C。86.對信息安全風險評估要素理解正確的是：A、資產識別的粒度隨著評估范圍、評估目的的不同而不同，可以是硬件設備，也可以是業務系統，也可以是組織機構B、應針對構成信息系統的每個資產做風險評價C、脆弱性識別是將信息系統安全現狀與國家或行業的安全要求做符合性比對而找出的差距項D、信息系統面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯誤，應該是抽樣評估；C錯誤，應該其描述的是差距分析；D錯誤，應該是威脅包括人為威脅和環境威脅。87.某網站管理員小鄧在流量監測中發現近期網站的入站ＩCＭＰ流量上升了２５０％，盡管網站沒有發現任何的性能下降或其他問題。但為了安全起見，他仍然向主管領導提出了應對策略，作為主管負責人，請選擇有效的針對此問題的應對措施：A、在防火墻上設置策略，阻止所有的ＩCＭＰ流量進入B、刪除服務器上的ｐｉｎｇ．ｅｘｅ程序C、增加帶寬以應對可能的拒絕服務攻擊D、增加網站服務器以應對即將來臨的拒絕服務攻擊【正確答案】：A解析：

A是應對措施。88.以下關于軟件安全測試說法正確的是（）A、軟件安全測試就是黑盒測試B、FUZZ模糊測試是經常采用的安全測試方法之一C、軟件安全測試關注的是軟件的功能D、軟件安全測試可以發現軟件中產生的所有安全問題【正確答案】：B解析：

B是正確答案。89.Windows操作系統的注冊表運行命令是：A、Regsvr32B、RegeditC、Regedit.mscD、Regedit.mmc【正確答案】：B90.有關系統安全工程-能力成熟度模型(SSE-CMM)，錯誤的理解是：A、SSE-CMM要求實施組織與其他組織相互作用，如開發方、產品供應商、集成商和咨詢服務商等B、SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規劃實施D、SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統安全的工程活動【正確答案】：C解析：

SSE-CMM是系統工程，不可以獨立實施。91.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發展，公安部等4部分聯合發布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)，對等級保護工作的開展提供宏觀指導和約束，明確了等級保護工作的基本內容、工作要求和實施計劃，以及各部門工作職責分工等，關于該文件，下面理解正確的是A、該文件時一個由部委發布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作，其內容不能越蘇到2005年及之后的工作C、該文件時一個總體性知道文件，規定了所有信息系統都要納入等級保護定級范圍D、該文件使用范圍為發文的這四個部門，不適用于其他部門和企業等單位【正確答案】：A解析：

答案為A。92.小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為400萬元人民幣，暴露系數是25%，年度發生率為0.2，那么小王計算的年度預期損失應該是（）A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣D、180萬元人民幣【正確答案】：C解析：

根據ALE=SLE*ARO=AV*EF*ARO的公式進行計算。93.風險要素識別是風險評估實施過程中的一個重要步驟，小李將風險要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個最合適的選項()。

A、識別面臨的風險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性【正確答案】：B94.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據各自的實際情況選擇適當的風險評估方法。下面的描述中錯誤的是（）。A、定量風險分析試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，以度量風險的可能性和缺失量B、定量風險分析相比定性風險分析能得到準確的數值，所以在實際工作中應使用定量風險分析，而不應用定性風險分析C、定性風險分析過程中，往往需要憑借分析者的經驗和直接進行，所以分析結果和風險評估團隊的素質、經驗和知識技能密切相關D、定性風險分析更具主觀性，而定量風險分析更具客觀性【正確答案】：B解析：

實際工作中根據情況選擇定量、定性或定量與定性相結合。95.在網絡信息系統中對用戶進行認證識別時，口令是一種傳統但仍然使用廣泛的方法，口令認證過程中常常使用靜態口令和動態口令。下面找描述中錯誤的是（）A、所謂靜態口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態口令方案時，即使對口令進行簡單加密或哈希后進行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統的身份認證模塊C、動態口令方案中通常需要使用密碼算法產生較長的口令序列，攻擊者如果連續地收集到足夠多的歷史口令，則有可能預測出下次要使用的口令D、通常，動態口令實現方式分為口令序列、時間同步以及挑戰/應答等幾種類型【正確答案】：C解析：

動態口令方案要求其口令不能被收集和預測。96.以下哪個選項不是信息安全需求的來源?A、法律法規與合同條約的要求B、組織的原則、目標和規定C、風險評估的結果D、安全架構和安全廠商發布的病毒、漏洞預警【正確答案】：D解析：

安全需求來源于內部驅動，D是外部參考要素，不屬于信息安全需求的主要來源。97.為了解風險和控制風險，應當及時進行風險評估活動，我國有關文件指出：風險評估的工作形式可分為自評估和檢查評估兩種，關于自評估，下面選項中描述錯誤的是()。A、自評估是由信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估B、自評估應參照相應標準、依據制定的評估方案和準則，結合系統特定的安全要求實施C、自評估應當是由發起單位自行組織力量完成，而不應委托社會風險評估服務機構來實施D、周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統變化部分進行【正確答案】：C解析：

自評估可以委托社會風險評估服務機構來實施。98.自主訪問控制模型（DAC）的訪問控制關系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加

一個主體明細表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關數據。下面選項中說法

正確的是（）。ACL是Bell-LaPadula模型的一種具體實現B、ACL在刪除用戶時，去除該用戶所有的訪問權限比較方便C、ACL對于統計某個主體能訪問哪些客體比較方便D、ACL在增加和修改哪些客體被主體訪問比較方便【正確答案】：D99.某單位門戶網站開發完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數據包作為測試用例B、數據處理點、數據通道的入口點和可信邊界點往往不是測試對象C、監測和記錄輸入數據后程序正常運行的情況D、深入分析測試過程中產生崩潰或異常的原因，必要時需要測試人員手工重現并分析【正確答案】：D解析：

A錯，模糊測試是模擬異常輸入；B錯，入口與邊界點是測試對象；C模糊測試記錄和檢測異常運行情況。100.信息系統的業務特性應該從哪里獲取?A、機構的使命B、機構的戰略背景和戰略目標C、機構的業務內容和業務流程D、機構的組織結構和管理制度【正確答案】：C解析：

業務特性從機構的業務內容和業務流程獲取。101.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度（Dｅｆｅｃｔｓ／ＫＬＯC）來衡量軟件的安全性，假設某個軟件共有２９．６萬行源代碼，總共被檢測出１４５個缺陷，則可以計算出其軟件缺陷密度值是A、０．０００４９B、０．０４９C、０．４９D、４９【正確答案】：C解析：

千行代碼缺陷率計算公式，145/(29.5*10)=0.49。102.從系統工程的角度來處理信息安全問題，以下說法錯誤的是：A、系統安全工程旨在了解企業存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全需求轉換為貫穿系統整個生存期的工程實施指南。B、系統安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統的信任度能夠達到企業的要求，或系統遺留的安全薄弱性在可容許范圍之內。C、系統安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發的方法。D、系統安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上，通過對安全工作過程進行管理的途徑，將系統安全工程轉變為一個完好定義的、成熟的、可測量的先進學科。【正確答案】：D解析：

SSE-CMM是面向工程過程質量控制的一套方法,CC標準面向開發、評估、交付的標準。103.目前應用面臨的威脅越來越多，越來越難發現。對應用系統潛在的威脅目前還沒有統一的分類，但小趙

認為同事小李從對應用系統的攻擊手段角度出發所列出的四項例子中有一項不對，請問是下面哪一項（）A、數據訪問權限B、偽造身份C、釣魚攻擊D、遠程滲透【正確答案】：A104.某計算機機房由于人員疏忽或設備老化可能會有發生火災的風險。該計算機機房的資產價值為200萬元；

如果發生火災，資產總值將損失至資產值的25%；這種火災發生的可能性為25年發生一次。則這種威脅的年

度損失預期值為().A、10,000元B、15,000元C、20,000元D、25,000元【正確答案】：C105.下面有關軟件安全問題的描述中，哪項應是由于軟件設計缺陷引起的（）A、設計了三層WEB架構，但是軟件存在SQL注入漏洞，導致被黑客攻擊后直接訪問數據庫B、使用C語言開發時，采用了一些存在安全問題的字符串處理函數，導致存在緩沖區溢出漏洞C、設計了緩存用戶隱私數據機制以加快系統處理性能，導致軟件在發布運行后，被黑客攻擊獲取到用戶隱私數據D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數據【正確答案】：C106.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務攻擊D、社會工程學攻擊【正確答案】：D解析：

D屬于社會工程學攻擊。107.以下哪個現象較好的印證了信息安全特征中的動態性()A、經過數十年的發展，互聯網上已經接入了數億臺各種電子設備B、剛剛經過風險評估并針對風險采取處理措施后，僅一周新的系統漏洞使得信息系統面臨新的風險C、某公司的信息系統面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產品，但服務器中數據仍產生了泄露【正確答案】：B108.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設置的口令登錄系統，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統的身份鑒別C、用戶利用和系統協商的秘密函數，對系統發送挑戰進行正確應答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。109.防火墻是網絡信息系統建設中常采用的一類產品，它在內外網隔離方面的作用是（）。A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C110.關于信息安全事件和應急響應的描述不正確的是（）A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統造成危害，或在信息系統內發生對社會造成負面影響事件B、至今已有一種信息安全策略或防護措施，能夠對信息及信息系統提供絕對的保護，這就使得信息安全事件的發生是不可能的C、應急響應是指組織為了應對突發/重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施D、應急響應工作與其他信息安全管理工作將比有其鮮明的特點：具有高技術復雜性志專業性、強突發性、對知識經驗的高依賴性，以及需要廣泛的協調與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護措施，能夠對信息及信息系統提供絕對的保護。111.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）A、制定并頒發信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評估過程、確保信息安全風險評估技術選擇合理、計算正確【正確答案】：D解析：

D不屬于管理者的職責。112.小李在檢查公司對外服務網站的源代碼時，發現程序在發生諸如沒有找到資源、數據庫連接錯誤、寫臨

時文件錯誤等問題時，會將詳細的錯誤原因在結果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。

將詳細的錯誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發生內部錯誤!”.請問，這種處理方法的主

要目的是()。A、避免緩沖區溢出B、安全處理系統異常C、安全使用臨時文件D、最小化反饋信息【正確答案】：D113.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項錯誤的是（）A、某用戶在登錄系統并下載數據后，卻聲稱“我沒有下載過數據"軟件R威脅B、某用戶在網絡通信中傳輸完數據后，卻聲稱“這些數據不是我傳輸的”威脅也屬于R威脅。C、對于R威脅，可以選擇使用如強認證、數字簽名、安全審計等技術D、對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術【正確答案】：D解析：

R-抵賴是無法通過過濾、流控和隱私保護實現的，R-抵賴的實現方式包括數字簽名、安全審計、第三方公證。114.為增強Web應用程序的安全性，某軟件開發經理決定加強Web軟件安全開發培訓，下面哪項內容不在考慮范圍內（）A、關于網站身份簽別技術方面安全知識的培訓B、針對OpenSSL心臟出血漏洞方面安全知識的培訓C、針對SQL注入漏洞的安全編程培訓D、關于ARM系統漏洞挖掘方面安全知識的培訓【正確答案】：D解析：

D屬于ARM系統，不屬于WEB安全領域。115.在國家標準GB/T20274.1-2006《信息安全技術信息系統安全保障評估框架第一部分：簡介和一般模型》

中，信息系統安全保障模型包含哪幾個方面?（）A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規劃組織、生命周期和安全特征D、規劃組織、生命周期和運行維護【正確答案】：B116.隨著“互聯網”概念的普及，越來越多的新興住宅小區引入了“智能樓宇”的理念，某物業為提供高檔次的服務，防止網絡主線路出現故障，保證小區內網絡服務的可用，穩定、高效，計劃通過網絡冗余配置的是（）。A、接入互聯網時，同時采用不同電信運營商線路，相互備份且互不影響。B、核心層、匯聚層的設備和重要的接入層設備均應雙機設備。C、規劃網絡IP地址，制定網絡IP地址分配策略D、保證網絡帶寬和網絡設備的業務處理能力具務冗余空間，滿足業務高峰期和業務發展需求【正確答案】：B117.某單位的信息安全主管部門在學習我國有關信息安全的政策和文件后，認識到信息安全風險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領導，其中描述錯誤的是A、檢查評估可依據相關標準的要求，實施完整的風險評估過程；也可在自評估的基礎上，對關鍵環節或重點內容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發起，其重點是針對存在的問題進行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質的第三方技術機構實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點【正確答案】：B解析：

檢查評估由上級管理部門組織發起；本級單位發起的為自評估。118.常見密碼系統包含的元素是：A、明文，密文，信道，加密算法，解密算法B、明文，摘要，信道，加密算法，解密算法C、明文，密文，密鑰，加密算法，解密算法D、消息，密文，信道，加密算法，解密算法【正確答案】：C119.某購物網站開發項目經過需求分析進入系統設計階段，為了保證用戶賬戶的安全，項目開發人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數據庫中，請問以上安全設計遵循的是哪項安全設計原則：A、最小特權原則B、職責分離原則C、縱深防御原則D、最少共享機制原則【正確答案】：C解析：

題目描述的是軟件開發的深度防御思想應用。120.數據在進行傳輸前，需要由協議自上而下對數據進行封裝。TCP/IP協議中，數據封裝的順序是：A、傳輸層、網絡接口層、互聯網絡層B、傳輸層、互聯網絡層、網絡接口層C、互聯網絡層、傳輸層、網絡接口層D、互聯網絡層、網絡接口層、傳輸層【正確答案】：B解析：

答案為B。121.保護-檢測-響應（Protection-Detection-Response,PDR）模型是（）工作中常用的模型，思想是承認（）

中漏洞的存在，正視系統面臨的（），通過采取適度防護、加強（）、落實對安全事件的響應、建立對威脅

的防護來保障系統的安全。A、信息系統；信息安全保障；威脅；檢測工作B、信息安全保障；信息系統；檢測工作；威脅；檢測工作C、信息安全保障；信息系統；威脅；檢測工作D、信息安全保障；威脅；信息系統；檢測工作【正確答案】：C122.為防范網絡欺詐確保交易安全，網銀系統首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網上轉賬等

交易，在此場景中用到下列哪些鑒別方法?A、實體“所知”以及實體“所有”的鑒別方法B、實體“所有”以及實體“特征”的鑒別方法C、實體“所知”以及實體“特征”的鑒別方法D、實體“所有”以及實體“行為”的鑒別方法【正確答案】：A解析：

題目中安全登錄會涉及到賬號密碼為實體所知，智能卡和短信是實體所有。123.組織內人力資源部門開發了一套系統，用于管理所有員工的各種工資、績效、考核、獎勵等事宜。所有

員工都可以登錄系統完成相關需要員工配合的工作，以下哪項技術可以保證數據的保密性：A、SSL加密B、雙因子認證C、加密會話cookieD、IP地址校驗【正確答案】：A124.ISO／IEC27001《信息技術安全技術信息安全管理體系要求》的內容是基于（）A、BS7799-1《信息安全實施細則》BS7799-2《信息安全管理體系規范》C、信息技術安全評估準則(簡稱ITSEC)D、信息技術安全評估通用標準(簡稱CC)【正確答案】：B解析：

BS7799-1發展為ISO27002；BS7799-2發展為ISO27001；TCSEC發展為ITSEC；ITSEC發展為CC。125.以下哪一項不是工作在網絡第二層的隧道協議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

L2F、PPTP、L2TP均為二層隧道協議。126.以下哪一項不是信息系統集成項目的特點：A、信息系統集成項目要以滿足客戶和用戶的需求為根本出發點。B、系統集成就是選擇最好的產品和技術，開發響應的軟件和硬件，將其集成到信息系統的過程。C、信息系統集成項目的指導方法是“總體規劃、分步實施”。D、信息系統集成包含技術，管理和商務等方面，是一項綜合性的系統工程【正確答案】：B解析：

系統集成就是選擇最適合的產品和技術。127.小王學習了災備備份的有關知識，了解到常用的數據備份方式包括完全備份、增量備份、差量備份，為

了鞏固所學知識，小王對這三種備份方式進行對比，其中在數據恢復速度方面三種備份方式由快到慢的順序

是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B128.windows文件系統權限管理使用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的：A、安裝Windows系統時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B、由于Windows操作系統自身有大量文件和目錄，因此很難對每個文件和目錄設置嚴格的訪問權限，為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C、Windows的ACL機制中，文件和文件夾的權限是主體進行關聯的，即文件夾和文件的訪問權限信息是寫在用戶數據庫中的D、由于ACL具有很好靈活性，在實際使用中可以為每一個文件設定獨立擁護的權限【正確答案】：C解析：

Windows的ACL機制中，文件和文件夾的權限是客體關聯的，即文件夾和文件的訪問權限信息是寫在客體文件和文件夾屬性數據庫中。129.為某航空公司的訂票系統設計業務連續性計劃時，最適用于異地數據轉移/備份的方法是：A、文件映像處理B、電子鏈接C、硬盤鏡像D、熱備援中心配置【正確答案】：D130.ApacheHTTPServer（簡稱Apache）是個開放源碼的Web服務運行平臺，在使用過程中，該軟件默認會將自己的軟件名和版本號發送給客戶端。從安全角度出發，為隱藏這些信息，應當采取以下哪種措施()A、不選擇Windons平臺，應選擇在Linux平臺下安裝使用B、安裝后,修改配置文件httpd.conf中的有關參數C、安裝后,刪除ApacheHTTPServer源碼D、從正確的官方網站下載ApacheHTTPServer.并安裝使用【正確答案】：B131.某公司正在進行IT系統災難恢復測試，下列問題中哪個最應該引起關注()A、由于有限的測試時間窗，僅僅測試了最必須的系統，其他系統在今年的剩余時間里陸續單獨測試B、在測試的過程中，有些備份系統有缺陷或者不能正常工作，從而導致這些系統的測試失敗C、在開啟備份站點之前關閉和保護原生產站點的過程比計劃需要多得多的時間D、每年都是由相同的員工執行此測試，由于所有的參與者都很熟悉每一個恢復步驟，因而沒有使用災難恢復

計劃（DRP）文檔【正確答案】：B132.在GB／T18336《信息技術安全性評估準則》（CC標準）中，有關保護輪廓(ProtectionProfile，PP)和安全目標(SecurityTarget，ST)，錯誤的是：A、PP是描述一類產品或系統的安全要求B、PP描述的安全要求與具體實現無關C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實現有關【正確答案】：C解析：

兩份不同的ST可以同時滿足同一份PP的要求。133.下列關于計算機病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導區B、能將自身代碼注入到扇區中的文件鏡像C、能將自身代碼注入文本文件中并執行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執行。134.關于惡意代碼，以下說法錯誤的是：A、從傳播范圍來看，惡意代碼呈現多平臺傳播的特征。B、按照運行平臺，惡意代碼可以分為網絡傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無法單獨執行D、為了對目標系統實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

按照運行平臺，惡意代碼可以分為Windows平臺、Linux平臺、工業控制系統等。135.關于信息安全管理，說法錯誤的是：A、信息安全管理是管理者為實現信息安全目標(信息資產的CIA等特性，以及業務運作的持續)而進行的計劃、組織、指揮、協調和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方針策略標準規范、建立有效的監督審計機制等多方面非技術性的努力。C、實現信息安全，技術和產品是基礎，管理是關鍵。D、信息安全管理是人員、技術、操作三者緊密結合的系統工程，是一個靜態過程。【正確答案】：D解析：

信息安全管理是人員、技術、操作三者緊密結合的系統工程，是一個動態過程。136.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切。越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關于ISMS。下

面描述錯誤的是（）。A、在組織中，應由信息技術責任部門(如信息中心)制定井頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領，明確總體要求B、組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確、可度量，風險管理計劃應具體，具備可行性C、組織的信息安全目標、信息安全方針和要求應傳達到全組織范圍內。應包括全體員工，同時，也應傳達到客戶、合作伙伴和供應商等外部各方D、組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關殘