CISP试题及答案-五套题

1、1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A.  为了更好的完成组织机构的使命B.  针对信息系统的攻击方式发生重大变化C.  风险控制技术得到革命性的发展D.  除了保密性，信息的完整性和可用性也引起了人们的关注2.GB/T 20274信息系统安全保障评估框架中的信息系统安全保障级中的级别是指：A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是：A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信

2、息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的信息保障技术框架（IATF）在描述信息系统的安全需求时，将信息技术系统分为：A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施

3、六个部分5. 关于信息安全策略的说法中，下面说法正确的是：A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络？C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B. 信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们

4、需要采用信息系统工程的方法来建设信息系统。C. 信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系无关紧要D. 信息安全技术方案：“从外而内、自下而上、形成端到端的防护能力”7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？A. 国家信息化领导小组关于加强信息安全保障工作的意见B. 信息安全等级保护管理办法C.中华人民共和国计算机信息系统安全保护条例D.关于加强政府信息系统安全和保密管理工作的通知8. 一家商业公司的网站发生黑客非

5、法入侵和攻击事件后，应及时向哪一个部门报案？A. 公安部公共信息网络安全监察局及其各地相应部门B. 国家计算机网络与信息安全管理中心C. 互联网安全协会D. 信息安全产业商会9. 下列哪个不是商用密码管理条例规定的内容：A. 国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作B. 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理C. 商用密码产品由国家密码管理机构许可的单位销售D. 个人可以使用经国家密码管理机构认可之外的商用密码产品10. 对涉密系统进行安全保密测评应当依据以下哪个标准？A. BMB20-2007涉及国家秘密的计算机信息

6、系统分级保护管理规范B. BMB22-2007涉及国家秘密的计算机信息系统分级保护测评指南C. GB17859-1999计算机信息系统安全保护等级划分准则D. GB/T20271-2006信息安全技术信息系统统用安全技术要求11. 下面对于CC的“保护轮廓”（PP）的说法最准确的是：A. 对系统防护强度的描述B. 对评估对象系统进行规范化的描述C. 对一类TOE的安全需求，进行与技术实现无关的描述D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度12. 关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是：A. SSE-CMM是关于信息安全建设工程实施方面的标准B.

7、SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程C. SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的根本保证D. SSE-CMM是用于对信息系统的安全等级进行评估的标准13. 下面哪个不是ISO 27000系列包含的标准A. 信息安全管理体系要求B. 信息安全风险管理C. 信息安全度量D. 信息安全评估规范14. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征？A. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮书15. 下面哪项不是信息安全等级保护管理办法（公通字【2007】43号）规定

8、的内容A. 国家信息安全等级保护坚持自主定级、自主保护的原则B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D. 第二级信息系统应当每年至少进行一次等级测评，第三级信息系统应当每？少进行一次等级测评16. 触犯新刑法285条规定的非法侵入计算机系统罪可判处_。A. 三年以下有期徒刑或拘役B. 1000元罚款C. 三年以上五年以下有期徒刑D. 10000元罚款17. 常见密码系统包含的元素是：A. 明文，密文，信道，加密算法，解密算法B. 明文，摘要，信道，加密算法，解密算法C. 明文，密文，密钥，加密算法

9、，解密算法D. 消息，密文，信道，加密算法，解密算法18. 公钥密码算法和对称密码算法相比，在应用上的优势是：A. 密钥长度更长B. 加密速度更快C. 安全性更高D. 密钥管理更方便19. 以下哪一个密码学手段不需要共享密钥？A.消息认证B.消息摘要C.加密解密D.数字签名20. 下列哪种算法通常不被用户保证保密性？A. AESB. RC4C. RSAD. MD521.数字签名应具有的性质不包括：A. 能够验证签名者B. 能够认证被签名消息C. 能够保护被签名的数据机密性D. 签名必须能够由第三方验证22. 认证中心（CA）的核心职责是_。A. 签发和管理数字证书B. 验证信息C. 公布黑名单

10、D. 撤销用户的证书23. 以下对于安全套接层（SSL）的说法正确的是：A. 主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性B. 可以在网络层建立VPNC. 主要使用于点对点之间的信息传输，常用Web server方式D. 包含三个主要协议：AH,ESP,IKE24. 下面对访问控制技术描述最准确的是：A. 保证系统资源的可靠性B. 实现系统资源的可追查性C. 防止对系统资源的非授权访问D. 保证系统资源的可信性25. 以下关于访问控制表和访问能力表的说法正确的是：A. 访问能力表表示每个客体可以被访问的主体及其权限B. 访问控制表说明了每个主体可以访问的客体及权限

11、C. 访问控制表一般随主体一起保存D. 访问能力表更容易实现访问权限的传递，但回收访问权限较困难26. 下面哪一项访问控制模型使用安全标签（security labels）？A. 自主访问控制B. 非自主访问控制C. 强制访问控制D. 基于角色的访问控制27. 某个客户的网络限制可以正常访问internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问internet互联网最好采取什么办法或技术：A. 花更多的钱向ISP申请更多的IP地址B. 在网络的出口路由器上做源NAT

12、C. 在网络的出口路由器上做目的NATD. 在网络出口处增加一定数量的路由器28. WAPI采用的是什么加密算法？A. 我国自主研发的公开密钥体制的椭圆曲线密码算法B. 国际上通行的商用加密标准C. 国家密码管理委员会办公室批准的流加密标准D. 国际通行的哈希算法29. 以下哪种无线加密标准的安全性最弱？A. wepB. wpaC. wpa2D. wapi30. 以下哪个不是防火墙具备的功能？A. 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合B. 它是不同网络（安全域）之间的唯一出入口C. 能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流D. 防

13、止来源于内部的威胁和攻击31. 桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括：A. 不需要对原有的网络配置进行修改B. 性能比较高C. 防火墙本身不容易受到攻击D. 易于在防火墙上实现NAT32. 有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作：A. 异常检测B. 特征检测C. 差距分析D. 对比分析33. 在Unix系统中，/etc/service文件记录了什么内容？A. 记录一些常用的接口及其所提供的服务的对应关系B. 决定inetd启动网络服务时，启动哪些服务C. 定义了系统缺省运行级别，系统进入新运行级别需要做

14、什么D. 包含了系统的一些启动脚本34. 以下哪个对windows系统日志的描述是错误的？A. windows系统默认有三个日志，系统日志、应用程序日志、安全日志B. 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的信息D. 安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等35. 在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？A. 纵深防御原则B. 最小权限原则C. 职责分离原则D. 安全性与便利性平衡原则36. 数据库事务日志的

15、用途是什么？A. 事务处理B. 数据恢复C. 完整性约束D. 保密性控制37. 下面对于cookie的说法错误的是：A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B. cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C. 通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做 cookie欺骗D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法38. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被

16、解释执行，这是哪种类型的漏洞？A. 缓冲区溢出B. SQL注入C. 设计错误D. 跨站脚本39. 通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？A. 明文形式存在B. 服务器加密后的密文形式存在C. hash运算后的消息摘要值存在D. 用户自己加密后的密文形式存在40.下列属于DDOS攻击的是：A. Men-in-Middle攻击B. SYN洪水攻击C. TCP连接攻击D. SQL注入攻击41.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击？A. 重放攻击B. Smurf攻击C. 字典攻击D. 中间人攻击42. 渗透性测试的第

17、一步是：A. 信息收集B. 漏洞分析与目标选定C. 拒绝服务攻击D. 尝试漏洞利用43. 通过网页上的钓鱼攻击来获取密码的方式，实质上是一种：A. 社会工程学攻击B. 密码分析学C. 旁路攻击D. 暴力破解攻击44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法？A. 加强软件的安全需求分析，准确定义安全需求B. 设计符合安全准则的功能、安全功能与安全策略C. 规范开发的代码，符合安全编码规范D. 编制详细软件安全使用手册，帮助设置良好的安全使用习惯45.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_确立安全解决方案的置信度并且把这样的置信度传递给客户。A.

18、 保证过程B. 风险过程C. 工程和保证过程D. 安全工程过程46.下列哪项不是SSE-CMM模型中工程过程的过程区？A. 明确安全需求B. 评估影响C. 提供安全输入D. 协调安全47. SSE-CMM工程过程区域中的风险过程包含哪些过程区域？A. 评估威胁、评估脆弱性、评估影响B. 评估威胁、评估脆弱性、评估安全风险C. 评估威胁、评估脆弱性、评估影响、评估安全风险D. 评估威胁、评估脆弱性、评估影响、验证和证实安全48.在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：A. 防止出现数据范围以外的值B. 防止出现错误的

19、数据处理顺序C. 防止缓冲区溢出攻击D. 防止代码注入攻击49.信息安全工程监理工程师不需要做的工作是：A.编写验收测试方案B.审核验收测试方案C.监督验收测试过程D.审核验收测试报告50. 下面哪一项是监理单位在招标阶段质量控制的内容？A. 协助建设单位提出工程需求，确定工程的整体质量目标B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分C. 进行风险评估和需求分析完成招标文件中的技术需求部分D. 对标书应答的技术部分进行审核，修改其中不满足安全需求的内容52. 信息安全保障强调安全是动态的安全，意味着：A. 信息安全是一个不确定性的概念B. 信息安全是一个主观的概念

20、C. 信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性的进行调整D. 信息安全只能是保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全53.关于信息保障技术框架（IATF），下列说法错误的是：A. IATF强调深度防御，关注本地计算环境，区域边界，网络和基础设施，支撑性基础设施等多个领域的安全保障；BIATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全D. IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全54.下面哪一项表示了信息不被非法篡改的属性？A.

21、 可生存性B. 完整性C.准确性D.参考完整性55. 以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理，安全工程和人员安全等，以全面保障信息系统安全B.通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。C. 是一种通过客观证据向信息系统评估者提供主观信心的活动D. 是主观和客观综合评估的结果56 公钥密码算法和对称密码算法相比，在应用上的优势是：A.  密钥长度更长B.  加密速度更快C.  安全性更高D.  密钥

22、管理更方便57. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？A. DSSB. Diffse-HellmanC. RSA&D AES58. 目前对MD5，SHA1算法的攻击是指：A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要B. 对于一个已知的消息摘要，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要。C 对于一个已知的消息摘要，能够恢复其原始消息D. 对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。59 DSA算法不提供以下哪种服务？A.  数据完整性B.  加密&C.  数字签名D. 

23、; 认证60.关于PKI/CA证书，下面哪一种说法是错误的：A. 证书上具有证书授权中心的数字签名B. 证书上列有证书拥有者的基本信息C. 证书上列有证书拥有者的公开密钥D. 证书上列有证书拥有者的秘密密钥&61 认证中心（CA）的核心职责是_?A.  签发和管理数字证书B.  验证信息C.  公布黑名单D.  撤销用户的证书62 下列哪一项是虚拟专用网络（VPN）的安全功能?A.  验证，访问控制和密码B.  隧道，防火墙和拨号C.  加密，鉴别和密钥管理D.  压缩，解密和密码63 以下对Kerbero

24、s协议过程说法正确的是:A.  协议可以分为两个步骤：一是用户身份鉴别：二是获取请求服务B.  协议可以分为两个步骤：一是获得票据许可票据；二是获取请求服务C.  协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据D.  协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务64 在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务？A.  网络层B.  表示层C.  会话层D.  物理层6

25、5 以下哪种无线加密标准的安全性最弱？A .WepB WpaC Wpa2D Wapi66.Linux系统的用户信息保存在passwd中，某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是：A.  backup账号没有设置登录密码&B.  backup账号的默认主目录是/var/backupsC.  Backup账号登录后使用的shell是、bin/shD.  Backup账号是无法进行登录67 以下关于lixun超级权限的说明，不正确的是：A.  一般情况下，为

26、了系统安全，对于一般常规级别的应用，不需要root用户来操作完成B.  普通用户可以通过su和sudo来获得系统的超级权限C.  对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行D.  Root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限68 在WINDOWS操作系统中，欲限制用户无效登录的次数，应当怎么做？A.  在“本地安全设置”中对“密码策略”进行设置B.  在“本地安全设置”中对“账户锁定策略”进行设置C.  在“本地安全设置”中对“审核策略”进行设置D.  在“本地安全设置

27、”中对“用户权利指派”进行设置69.以下对WINDOWS系统日志的描述错误的是：A. windows系统默认的由三个日志，系统日志，应用程序日志，安全日志B系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障。C应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的信息D. 安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等70 以下关于windows SAM（安全账户管理器）的说法错误的是：A.  安全账户管理器（SAM）具体表现就是%SystemRoot%system32configsamB.  安全账

28、户管理器（SAM）存储的账号信息是存储在注册表中C.  安全账户管理器（SAM）存储的账号信息对administrator和system是可读和可写的D.  安全账户管理器（SAM）是windows的用户数据库，系统进程通过Security Accounts Manager服务进行访问和操作71 在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？A.纵深防御原则 B.最小权限原则 C.职责分离原则 D.安全性与便利性平衡原则78.数据库事务日志的用途是:A. 事务处理B.数据恢复C.完整性约束D保密性控制79. 下面对于cookie的说法错误的是

29、：A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息。B. cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C.通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法。80. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚步将被解释执行，这是哪种类型的漏洞？A. 缓冲区溢出B. sql注入C.设计错误D.跨站脚本81. 通常在网站数据库中，用

30、户信息中的密码一项，是以哪种形式存在？A. 明文形式存在B.服务器加密后的密文形式存在C.hash运算后的消息摘要值存在D.用户自己加密后的密文形式存在82.下列对跨站脚本攻击（XSS）的描述正确的是：A. XSS攻击指的是恶意攻击者往WED页面里插入恶意代码，当用户浏览浏览该页之时，嵌入其中WEB里面的代码会执行，从而达到恶意攻击用户的特殊目的B.XSS攻击时DDOS攻击的一种变种C.XSS攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS连接数超出限制，当CPU资源或者带宽资源耗尽，那么网站也就被攻击垮了，从而达到攻击目的83 下列哪种技术不是恶意

31、代码的生产技术？A.  反跟踪技术、B.  加密技术C.  模糊变换技术D.  自动解压缩技术84 当用户输入的数据被一个解释器当做命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？A.  缓冲区溢出B.  设计错误C.  信息泄露D.  代码注入85 Smurf 利用下列哪种协议进行攻击？A.  ICMPB.  IGMPC.  TCPD.  UDP86.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击？A. 重放攻击B

32、. Smurf攻击C.字典攻击D.中间人攻击87 渗透性测试的第一步是:A.  信息收集B.  漏洞分析与目标选定C.  拒绝服务攻击D.  尝试漏洞利用88 软件安全开发中软件安全需求分析阶段的主要目的是：A.  确定软件的攻击面，根据攻击面制定软件安全防护策略B.  确定软件在计划运行环境中运行的最低安全要求C.  确定安全质量标准，实施安全和隐私风险评估D.  确定开发团队关键里程碑和交付成果89.管理者何时可以根据风险分析结果对已识别的风险部采取措施？A当必须的安全对策的成本高出实际风险的可能造成的潜在费用

33、时B当风险减轻方法提高业务生产力时C当引起风险发生的情况不在部门控制范围之内时D不可接受90 以下关于风险管理的描述不正确的是：A风险的4种控制方法有：降低风险/转嫁风险/规避风险/接受风险B信息安全风险管理是否成功在于风险是否被切实消除了C组织应依据信息安全方针和组织要求的安全保证程度来确定需要处理的信息安全风险D信息安全风险管理是基于可接受的成本，对影响信息系统的安全风险进行识别、控制、降低或转移的过程91如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：A.  变更的流程是否符合预先的规定B.  变更是否项目进度造成拖延C.&

34、#160; 变更的原因和造成的影响D.  变更后是否进行了准确的记录92 应当如可理解信息安全管理体系中的“信息安全策略”？A为了达到如何保护标准而提出的一系列建议B为了定义访问控制需求而产生出来的一些通用性指引C组织高层对信息安全工作意图的正式表达D一种分阶段的安全处理结果93 以下关于“最小特权”安全管理原则理解正确的是：A.  组织机构内的敏感岗位不能由一个人长期负责B.  对重要的工作进行分解，分配给不同人员完成C.  一个人有且仅有其执行岗位所足够的许可和权限D.  防止员工由一个岗位变动到另一个岗位，累积越来越多的权限94 作为一个

35、组织中的信息系统普通用户，以下哪一项不是必须了解的？A.  谁负责信息安全管理制度的制度和发布B.  谁负责监督信息安全制度的执行C.  信息系统发生灾难后，进行恢复的整体工作流程D.  如果违反了安全制度可能会受到的惩戒措施95 职责分离是信息安全管理的一个基本概念，其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？A数据安全管理员B数据安全分析员C系统审核员D系统程序员96 在国家标准信息系统恢复规

36、范中，根据-要素，将灾难恢复等级划分为_级A 7，6B 6，7C 7，7D 6，697 在业务持续性计划中，RTO指的是：A灾难备份和恢复B恢复技术项目C业务恢复时间目标D业务恢复点目标98 应急方法学定义了安全事件处理的流程，这个流程的顺序是：A.     准备-抑制-检测-根除-恢复-跟进B.     准备-检测-抑制-恢复-根除-跟进C.     准备-检测-抑制-根除-恢复-跟进D.     准备-抑制-根除-检测-恢复-跟进9

37、9.下面有关能力成熟度模型的说法错误的是：A.能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类B.使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型100.下面哪一项为系统安全工程 成熟度模型提供了评估方法：A.ISSEB.SSAMC.SSRD.CEM101 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_确立安全解决方案的置信度并且把这样的置信度传递给顾客。A保证过程

38、B风险过程C工程和保证过程D安全工程过程102 SSE-CMM工程过程区域中的风险过程包含哪些过程区域？A.  评估威胁、评估脆弱性、评估影响B.  评估威胁、评估脆弱性、评估安全风险C.  评估威胁、评估脆弱性、评估影响、评估安全风险D.  评估威胁、评估脆弱性、评估影响、验证和证实安全103.SSE-CMM包含六个级别，其中计划与跟踪级着重于：A. 规范化地裁剪组织层面的过程定义B. 项目层面定义、计划和执行问题C.测量D.一个组织或项目执行了包含基本实施的过程104在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对

39、数据输入进行校验可以实现的安全目标：A.  防止出现数据范围以外的值B.  防止出现错误的数据处理顺序C.  防止缓冲区溢出攻击D.  防止代码注入攻击105.信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：A.明确业务对信息安全的要素B.识别来自法律法规的安全要求C.论证安全要求是否正确完整D.通过测试证明系统的功能和性能可以满足安全要求106信息安全工程监理工程师不需要做的工作是：A.  编写验收测试方案&B.  审核验收测试方案C.  监督验收测试过程D.  审核验收测试报告107 以下关于CC标准说法错误的是：