CISP相关试题及答案集

1、1. 人们对信息平安的认识从信息技术平安开展到信息平安保障，主要是出于:A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的开展D. 除了保密性，信息的完整性和可用性也引起了人们的关注2. ?GB/T 20274信息系统平安保障评估框架 ？中的信息系统平安保障级中的级别是指：CA. 对抗级B. 防护级C. 能力级D. 监管级3. 下面对信息平安特征和范畴的说法错误的选项是：CA. 信息平安是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、 管理、政策等众多因素B. 信息平安是一个动态的问题，他随着信息技术的开展普及，以及产业

2、根底，用户认识、 投入产出而开展C信息平安是无边界的平安，互联网使得网络边界越来越模糊，因此确定一个组织的信息 平安责任是没有意义的D信息平安是非传统的平安，各种信息网络的互联互通和资源共享，决定了信息平安具有 不同于传统平安的特点4美国国防部提出的？信息保障技术框架？IATF在描述信息系统的平安需求时，将信息技术系统分为：BA. 内网和外网两个局部B. 本地计算机环境、区域边界、网络和根底设施、支撑性根底设施四个局部C. 用户终端、效劳器、系统软件、网络设备和通信线路、应用软件五个局部D. 信用户终端、效劳器、系统软件、网络设备和通信线路、应用软件，平安防护措施六个 局部5. 关于信息平安策

3、略的说法中，下面说法正确的选项是：CA. 信息平安策略的制定是以信息系统的规模为根底B. 信息平安策略的制定是以信息系统的网络？ ？C. 信息平安策略是以信息系统风险管理为根底D. 在信息系统尚未建立完成之前，无法确定信息平安策略6. 以下对于信息平安保障深度防御模型的说法错误的选项是：CA. 信息平安外部环境：信息平安保障是组织机构平安、国家平安的一个重要组成局部，因 此对信息平安的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B. 信息平安管理和工程：信息平安保障需要在整个组织机构内建立和完善信息平安管理体系，将信息平安管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信

4、息系统工程的方法来建立信息系统。C. 信息平安人才体系：在组织机构中应建立完善的平安意识，培训体系无关紧要D. 信息平安技术方案： “从外而内、自下而上、形成端到端的防护能力7. 全面构建我国信息平安人才体系是国家政策、组织机构信息平安保障建立和信息平安有 关人员自身职业开展三方面的共同要求。 “ 加快信息平安人才培训， 增强全民信息平安意识 的指导精神，是以下哪一个国家政策文件提出的？ AA. ?国家信息化领导小组关于加强信息平安保障工作的意见?B. ?信息平安等级保护管理方法 ?C. ?中华人民共和国计算机信息系统平安保护条例？D. ?关于加强政府信息系统平安和保密管理工作的通知？8. 一

5、家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？AA. 公安部公共信息网络平安监察局及其各地相应部门B. 国家计算机网络与信息平安管理中心C. 互联网平安协会D. 信息平安产业商会9. 以下哪个不是 ?商用密码管理条例 ?规定的内容： DA. 国家密码管理委员会及其办公室简称密码管理机构主管全国的商用密码管理工作B. 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理C. 商用密码产品由国家密码管理机构许可的单位销售D. 个人可以使用经国家密码管理机构认可之外的商用密码产品10. 对涉密系统进展平安保密测评应当依据以下哪个标准？ BA. BM

6、B20-2007?涉及国家秘密的计算机信息系统分级保护管理标准？B. BMB22-2007?涉及国家秘密的计算机信息系统分级保护测评指南？C. GB17859-1999?计算机信息系统平安保护等级划分准那么？D. GB/T20271-2006?信息平安技术信息系统统用平安技术要求？11. 下面对于CC的“保护轮廓"PP的说法最准确的是：CA. 对系统防护强度的描述B. 对评估对象系统进展标准化的描述C. 对一类TOE的平安需求，进展与技术实现无关的描述D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度12. 关于ISO/IEC21827:2002(SSE-CMM描述不正确的选

7、项是：DA. SSE-CM M是关于信息平安建立工程实施方面的标准B. SSE-CM M的目的是建立和完善一套成熟的、可度量的平安工程过程C. SSE-CMM模型定义了一个平安工程应有的特征，这些特征是完善的平安工程的根本保证D. SSE-CMM是用于对信息系统的平安等级进展评估的标准13. 下面哪个不是 ISO 27000系列包含的标准 DA. ?信息平安管理体系要求 ?B. ?信息平安风险管理 ?C. ?信息平安度量 ?D. ?信息平安评估标准 ?14. 以下哪一个关于信息平安评估的标准首先明确提出了保密性、 完整性和可用性三项信息 平安特征？ AA. ITSECB. TCSECC. GB

8、/T9387.2D. 彩虹系列的橙皮书15. 下面哪项不是 ?信息平安等级保护管理方法 ?公通字【 2007】 43 号规定的内容 DA. 国家信息平安等级保护坚持自主定级、自主保护的原那么B. 国家指定专门部门对信息系统平安等级保护工作进展专门的监视和检查C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定平安保护等级D. 第二级信息系统应当每年至少进展一次等级测评，第三级信息系统应当每？少进展 一次等级测评16. 触犯新刑法 285 条规定的非法侵入计算机系统罪可判处_A_。A. 三年以下有期徒刑或拘役B. 1000 元罚款C. 三年以上五年以下有期徒刑D. 10000 元罚款17.

9、 常见密码系统包含的元素是： CA. 明文，密文，信道，加密算法，解密算法B. 明文，摘要，信道，加密算法，解密算法C. 明文，密文，密钥，加密算法，解密算法D. 消息，密文，信道，加密算法，解密算法18. 公钥密码算法和对称密码算法相比，在应用上的优势是：DA. 密钥长度更长B. 加密速度更快C. 平安性更高D. 密钥管理更方便19. 以下哪一个密码学手段不需要共享密钥？ BA. 消息认证B. 消息摘要C加密解密D.数字签名20. 以下哪种算法通常不被用户保证保密性？DA. AESB. RC4C. RSAD. MD521. 数字签名应具有的性质不包括：CA. 能够验证签名者B. 能够认证被签

10、名消息C. 能够保护被签名的数据机密性D. 签名必须能够由第三方验证22. 认证中心CA的核心职责是AA. 签发和管理数字证书B. 验证信息C. 公布黑名单D. 撤销用户的证书23. 以下对于平安套接层SSL的说法正确的选项是：CA. 主要是使用对称密钥体制和 X.509 数字证书技术保护信息传输的机密性和完整性B. 可以在网络层建立 VPNC. 主要使用于点对点之间的信息传输，常用 Web server 方式D. 包含三个主要协议： AH,ESP,IKE24. 下面对访问控制技术描述最准确的是： CA. 保证系统资源的可靠性B. 实现系统资源的可追查性C. 防止对系统资源的非授权访问D. 保

11、证系统资源的可信性25. 以下关于访问控制表和访问能力表的说法正确的选项是：DA. 访问能力表表示每个客体可以被访问的主体及其权限B. 访问控制表说明了每个主体可以访问的客体及权限C. 访问控制表一般随主体一起保存D. 访问能力表更容易实现访问权限的传递，但回收访问权限较困难26. 下面哪一项访问控制模型使用平安标签security labels CA. 自主访问控制B. 非自主访问控制C. 强制访问控制D. 基于角色的访问控制27. 某个客户的网络限制可以正常访问in ternet互联网，共有200台终端PC但此客户从ISP互联网络效劳提供商里只获得了 16个公有的IPv4地址，最多也只有1

12、6台PC可以访问互联网，要想让全部 200台终端PC访问in ternet互联网最好采取什么方法或技术：BA. 花更多的钱向ISP申请更多的IP地址B. 在网络的出口路由器上做源 NATC. 在网络的出口路由器上做目的 NATD. 在网络出口处增加一定数量的路由器28. WAPI 采用的是什么加密算法？ AA. 我国自主研发的公开密钥体制的椭圆曲线密码算法B. 国际上通行的商用加密标准C. 国家密码管理委员会办公室批准的流加密标准D. 国际通行的哈希算法29. 以下哪种无线加密标准的平安性最弱？ AA. wepB. wpaC. wpa2D. wapi30. 以下哪个不是防火墙具备的功能？ DA

13、. 防火墙是指设置在不同网络或网络平安域公共网和企业内部网之间的一系列部件的 组合B. 它是不同网络平安域之间的唯一出入口C. 能根据企业的平安政策控制允许、拒绝、监测出入网络的信息流D. 防止来源于内部的威胁和攻击31. 桥接或透明模式是目前比拟流行的防火墙部署方式，这种方式的优点不包括： DA. 不需要对原有的网络配置进展修改B. 性能比拟高C. 防火墙本身不容易受到攻击D. 易于在防火墙上实现 NAT32. 有一类 IDS 系统将所观察到的活动同认为正常的活动进展比拟并识别重要的偏差来发现 入侵事件，这种机制称作： AA. 异常检测B. 特征检测C. 差距分析D. 比照分析33. 在 U

14、nix 系统中， /etc/service 文件记录了什么内容？ AA. 记录一些常用的接口及其所提供的效劳的对应关系B. 决定 inetd 启动网络效劳时，启动哪些效劳C. 定义了系统缺省运行级别，系统进入新运行级别需要做什么D. 包含了系统的一些启动脚本34. 以下哪个对 windows 系统日志的描述是错误的？ DA. windows 系统默认有三个日志，系统日志、应用程序日志、平安日志B. 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL动态链接库失败的信息D. 平安日志跟踪各类网络入侵

15、事件，例如拒绝效劳攻击、口令暴力破解等35. 在关系型数据库系统中通过“视图 view技术，可以实现以下哪一种平安原那么?AA. 纵深防御原那么B. 最小权限原那么C. 职责别离原那么D. 平安性与便利性平衡原那么36. 数据库事务日志的用途是什么？BA. 事务处理B. 数据恢复C. 完整性约束D. 保密性控制37. 下面对于cookie的说法错误的选项是：DA. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取 cookie包含的信息B. cookie可以存储一些敏感的用户信息，从而造成一定的平安风险C. 通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做coo

16、kie欺骗D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法38. 攻击者在远程 WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞?DA. 缓冲区溢出B. SQL注入C. 设计错误D. 跨站脚本39. 通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？CA. 明文形式存在B. 效劳器加密后的密文形式存在C. hash运算后的消息摘要值存在D. 用户自己加密后的密文形式存在40. 以下属于DDOS攻击的是：BA. Men-in-Middle

17、攻击B. SYN洪水攻击C. TCP连接攻击D. SQL注入攻击41. 如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击？DA. 重放攻击B. Smurf 攻击C. 字典攻击D. 中间人攻击42. 渗透性测试的第- -步是：A. 信息收集B. 漏洞分析与目标选定C. 拒绝效劳攻击D. 尝试漏洞利用43. 通过网页上的钓鱼攻击来获取密码的方式，实质上是一种:A. 社会工程学攻击B. 密码分析学C. 旁路攻击D. 暴力破解攻击44. 以下哪个不是减少软件自身的平安漏洞和缓解软件自身平安漏洞的危害的方法?A. 加强软件的平安需求分析，准确定义平安需

18、求B. 设计符合平安准那么的功能、平安功能与平安策略C. 标准开发的代码，符合平安编码标准D. 编制详细软件平安使用手册，帮助设置良好的平安使用习惯45. 根据SSE-CMM信息平安工程过程可以划分为三个阶段，其中确立平安解决方案的置信度并且把这样的置信度传递给客户。A. 保证过程B. 风险过程C. 工程和保证过程D. 平安工程过程46. 以下哪项不是SSE-CMM模型中工程过程的过程区?A. 明确平安需求B. 评估影响C. 提供平安输入D. 协调平安47. SSE-CMM工程过程区域中的风险过程包含哪些过程区域?A. 评估威胁、评估脆弱性、评估影响B. 评估威胁、评估脆弱性、评估平安风险C.

19、 评估威胁、评估脆弱性、评估影响、评估平安风险D. 评估威胁、评估脆弱性、评估影响、验证和证实平安48. 在IT工程管理中为了保证系统的平安性，应当充分考虑对数据的正确处理，以下哪一项 不是对数据输入进展校验可以实现的平安目标：A. 防止出现数据范围以外的值B. 防止出现错误的数据处理顺序C. 防止缓冲区溢出攻击D. 防止代码注入攻击49. 信息平安工程监理工程师不需要做的工作是：A. 编写验收测试方案B. 审核验收测试方案C监视验收测试过程D.审核验收测试报告50. 下面哪一项为哪一项监理单位在招标阶段质量控制的内容？A. 协助建立单位提出工程需求，确定工程的整体质量目标B. 根据监理单位的

20、信息平安保障知识和工程经历完成招标文件中的技术需求局部C. 进展风险评估和需求分析完成招标文件中的技术需求局部D. 对标书应答的技术局部进展审核，修改其中不满足平安需求的内容51信息平安保障强调平安是动态的平安，意味着：A. 信息平 安是一 -个不确定性的概念B. 信息平C. 信息平安必须覆盖信息系统整个生命周期，随着平安风险的变化有针对性的进展调整D. 信息平安只能是保证信息系统在有限物理范围内的平安，无法保证整个信息系统的平安52. 关于信息保障技术框架IATF以下说法错误的选项是：A. IAT F强调深度防御，关注本地计算环境，区域边界，网络和根底设施，支撑性根底设施等多个领域的平安保障

21、；B. IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务平安运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的平安D. IATF强调的是以平安监测、漏洞监测和自适用填充“平安间隙'为循环来提高网络平安53. 下面哪一项表示了信息不被非法篡改的属性？A. 可生存性B. 完整性C准确性D.参考完整性54. 以下关于信息系统平安保障是主观和客观的结合说法最准确的是：A 信息系统平安保障不仅涉及平安技术，还应综合考虑平安管理， 平安工程和人员平安等,以全面保障信息系统平安B. 通过在技术、管理、工程和人员方面客观地评估平安保障措施，向信息系统的所有者提供 其现有平安

22、保障工作是否满足其平安保障目标的信心。C. 是一种通过客观证据向信息系统评估者提供主观信心的活动D. 是主观和客观综合评估的结果55. 公钥密码算法和对称密码算法相比，在应用上的优势是：A. 密钥长度更长B. 加密速度更快C. 平安性更高D. 密钥管理更方便56. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？A. DSSB. Diffse-Hellma nC. RSAD AES57. 目前对MD5，SHA1算法的攻击是指：A. 能够构造出两个不同的消息，这两个消息产生了一样的消息摘要B. 对于一个的消息摘要，能够构造出一个不同的消息，这两个消息产生了一样的消息摘要。C. 对于一个

23、的消息摘要，能够恢复其原始消息D. 对于一个的消息，能够构造一个不同的消息摘要，也能通过验证。58. DSA算法不提供以下哪种效劳？A. 数据完整性B. 加密C. 数字签名D. 认证59. 关于PKI/CA证书，下面哪一种说法是错误的：A. 证书上具有证书授权中心的数字签名B. 证书上列有证书拥有者的根本信息C. 证书上列有证书拥有者的公开密钥D. 证书上列有证书拥有者的秘密密钥60认证中心CA的核心职责是 ?A. 签发和管理数字证书B. 验证信息C. 公布黑名单D. 撤销用户的证书61以下哪一项为哪一项虚拟专用网络VPN的平安功能？A. 验证，访问控制和密码B. 隧道，防火墙和拨号C. 加密

24、，鉴别和密钥管理D. 压缩，解密和密码62以下对Kerberos协议过程说法正确的选项是 ：A. 协议可以分为两个步骤：一是用户身份鉴别：二是获取请求效劳B. 协议可以分为两个步骤：一是获得票据许可票据；二是获取请求效劳C. 协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得效劳许 可票据D. 协议可以分为三个步骤：一是获得票据许可票据；二是获得效劳许可票据；三是获得效 劳63在OSI参考模型中有7个层次，提供了相应的平安效劳来加强信息系统的平安性。以下 哪一层提供了保密性、身份鉴别、数据完整性效劳？A. 网络层B. 表示层C. 会话层D. 物理层64以下哪种无线加密标准的

25、平安性最弱？A .WepB WpaC Wpa2D Wapi 65. Linux系统的用户信息保存在 passwd中，某用户条目 backup:*:34:34:backup:/var/backups:/bi n/sh, 以下关于该账号的描述不正确的选项是：A. backup账号没有设置登录密码B. backup账号的默认主目录是 /var/backupsC. Backup账号登录后使用的 shell是bin/shD. Backup账号是无法进展登录66以下关于linux超级权限的说明，不正确的选项是：A. 一般情况下，为了系统平安，对于一般常规级别的应用，不需要root用户来操作完成B. 普通用

26、户可以通过 su和sudo来获得系统的超级权限C. 对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进展D. Root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限67 在WINDOWS操作系统中，欲限制用户无效登录的次数，应当怎么做？A. 在“本地平安设置'中对“密码策略'进展设置B. 在“本地平安设置中对“账户锁定策略'进展设置C. 在“本地平安设置'中对“审核策略'进展设置D. 在“本地平安设置中对“用户权利指派'进展设置68.以下对 WINDOWS系统日志的描述错误的选项是：A. windows系统默认

27、的由三个日志，系统日志，应用程序日志，平安日志B. 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器 的故障。C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL动态链接库失败 的信息D. 平安日志跟踪各类网络入侵事件，例如拒绝效劳攻击、口令暴力破解等69以下关于windows SAM平安账户管理器的说法错误的选项是：A. 平安账户管理器SAM具体表现就是SystemRoot%system32config'samB. 平安账户管理器SAM存储的账号信息是存储在注册表中C. 平安账户管理器SAM存储的账号信息对 administrator和sys

28、tem是可读和可写的D. 平安账户管理器SAM是 windows的用户数据库，系统进程通过Security AccountsManager效劳进展访问和操作view技术，可以实现以下哪一种平安原那么?70在关系型数据库系统中通过“视图A. 纵深防御原那么B最小权限原那么C职责别离原那么D. 平安性与便利性平衡原那么 71、以下哪项不是平安管理方面的标准?A ISO27001B ISO13335C GB/T22080D GB/T1833672、目前，我国信息平安管理格局是一个多方 多门，？计算机信息系统国际联网保密管理规定“齐抓共管'的体制，多头管理现状决定法出 ?是由以下哪个部门所制定

29、的规章制度 ？A. 公安部B. 国家密码局C. 信息产业部D. 国家密码管理委员会办公室73、以下哪项不是？信息平安等级保护管理方法 ？公通字200743号规定的内容:A. 国家信息平安等级保护坚持自主定级，自主保护的原那么。B 国家指定专门部门对信息系统平安等级保护工作进展专门的监视和检查。C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定平安保护等级D. 第二级信息系统应当每年至少进展一次等级测评，第三级信息系统应当每半年至少进展 一次等级测评。74、？刑法？第六章第285、286、287条对计算机犯罪的内容和量刑进展了明确的规定，以下 哪一项不是其中规定的罪行？A. 非法入侵计算

30、机信息系统罪B. 破坏计算机信息系统罪C利用计算机实施犯罪D.国家重要信息系统管理者玩忽职守罪75、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案?A. 公安部公共信息网络平安监察局及其各地相应部门B. 国家计算机网络与信息平安管理中心C. 互联网平安协会D. 信息平安产业商会76、以下哪个不是？商用密码管理条例？规定的内容？A. 国家密码管理委员会及其办公室简称密码管理机构主管全国的商用密码管理工作B. 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控 管理C. 商用密码产品由国家密码管理机构许可的单位销售D. 个人可以使用经国家密码管理机

31、构认可之外的商用密码产品77、下面关于？中华人民共和国保守国家秘密法？的说法错误的选项是:A. 秘密都有时间性，永久保密是没有的B. ?保密法？规定一切公民都有保守国家秘密的义务C. 国家秘密的级别分为“绝密"“机密'“秘密'三级D. 在给文件确定密级时，从保密的目的出发，应将密级尽量定高78. 数据库事务日志的用途是A. 事务处理B. 数据恢复C完整性约束D.保密性控制79. 下面对于cookie的说法错误的选项是：A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取 cookie包含的信息。B. cookie可以存储一些敏感的用户信息，从而造成

32、一定的平安风险C通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法。80. 攻击者在远程 WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是 可信赖的，但是当浏览器下载该页面， 嵌入其中的脚步将被解释执行， 这是哪种类型的漏洞?A. 缓冲区溢出B. sql注入C设计错误D.跨站脚本81. 通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在?A. 明文形式存在B. 效劳器加密后的密文形式存在C. hash运算后的消息摘要值存在D用户自己加密后的密文形

33、式存在82. 以下对跨站脚本攻击XSS的描述正确的选项是：A. XSS攻击指的是恶意攻击者往WED页面里插入恶意代码，当用户浏览浏览该页之时，嵌入其中WEB里面的代码会执行，从而到达恶意攻击用户的特殊目的B. XSS攻击时DDOS攻击的一种变种C. XSS攻击就是CC攻击D. XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS连接数超出限制，当CPU资源或者带宽资源耗尽，那么网站也就被攻击垮了，从而到达攻击目的83以下哪种技术不是恶意代码的生产技术？A. 反跟踪技术、B. 加密技术C. 模糊变换技术D. 自动解压缩技术84当用户输入的数据被一个解释器当做命令或查询语句的一

34、局部执行时，就会产生哪种类 型的漏洞？A. 缓冲区溢出B. 设计错误C. 信息泄露D. 代码注入85 Smurf利用以下哪种协议进展攻击？A. ICMPB.C.D.B. IGMPC. TCPD. UDP86.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击？A. 重放攻击B. Smurf 攻击C字典攻击D. 中间人攻击87渗透性测试的第- -步是 ：A. 信息收集B. 漏洞分析与目标选定C. 拒绝效劳攻击D. 尝试漏洞利用88软件平安开发中软件平安需求分析阶段的主要目的是：A. 确定软件的攻击面，根据攻击面制定软件平安防护策略B. 确定软件在

35、方案运行环境中运行的最低平安要求C. 确定平安质量标准，实施平安和隐私风险评估D. 确定开发团队关键里程碑和交付成果 89.管理者何时可以根据风险分析结果对已识别的风险不采取措施？A. 当必须的平安对策的本钱高出实际风险的可能造成的潜在费用时B. 当风险减轻方法提高业务生产力时C. 当引起风险发生的情况不在部门控制范围之内时D. 不可承受90以下关于风险管理的描述不正确的选项是：A风险的4种控制方法有：降低风险/转嫁风险/躲避风险/承受风险B信息平安风险管理是否成功在于风险是否被切实消除了C组织应依据信息平安方针和组织要求的平安保证程度来确定需要处理的信息平安风险D信息平安风险管理是基于可承受

36、的本钱，对影响信息系统的平安风险进展识别、控制、降 低或转移的过程91如果你作为甲方负责监管一个信息平安工程工程的实施，当乙方提出一项工程变更时你 最应当关注的是：A. 变更的流程是否符合预先的规定B. 变更是否工程进度造成拖延C. 变更的原因和造成的影响D. 变更后是否进展了准确的记录92应当如可理解信息平安管理体系中的“信息平安策略"？A为了到达如何保护标准而提出的一系列建议B为了定义访问控制需求而产生出来的一些通用性指引C组织高层对信息平安工作意图的正式表达D一种分阶段的平安处理结果 93以下关于“最小特权'平安管理原那么理解正确的选项是：A. 组织机构内的敏感岗位不能

37、由一个人长期负责B. 对重要的工作进展分解，分配给不同人员完成C. 一个人有且仅有其执行岗位所足够的许可和权限D. 防止员工由一个岗位变动到另一个岗位，累积越来越多的权限94作为一个组织中的信息系统普通用户，以下哪一项不是必须了解的?A. 谁负责信息平安管理制度的制度和发布B. 谁负责监视信息平安制度的执行C. 信息系统发生灾难后，进展恢复的整体工作流程D. 如果违反了平安制度可能会受到的惩戒措施95职责别离是信息平安管理的一个根本概念，其关键是权力不能过分集中在某一个人手中。职责别离的目的是确保没有单独的人员单独进展操作可以对应用程序系统特征或控制功能进展破坏。当以下哪一类人员访问平安系统软

38、件的时候，会造成对“职责别离'原那么的违背？A. 数据平安管理员B. 数据平安分析员C. 系统审核员D. 系统程序员96在国家标准？信息系统恢复标准？中，根据-要素，将灾难恢复等级划分为 级A. 7，6B. 6,7C. 7,7D. 6,697在业务持续性方案中，RTO指的是:A. 灾难备份和恢复B. 恢复技术工程C. 业务恢复时间目标D. 业务恢复点目标98应急方法学定义了平安事件处理的流程，这个流程的顺序是:A. 准备-抑制-检测-铲除-恢复-跟进B. 准备-检测-抑制-恢复-铲除-跟进C. 准备-检测-抑制伊除-恢复-跟进D. 准备-抑制-铲除-检测-恢复-跟进99. 下面有关能力

39、成熟度模型的说法错误的选项是：A. 能力成熟度模型可以分为过程能力方案Continuous丨和组织能力方案Staged两类B. 使用过程能力方案时，可以灵活选择评估和改良哪个或哪些过程域C使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D SSE-CMM是一种属于组织能力方案Staged的针对系统平安工程的能力成熟度模型100. 下面哪一项为系统平安工程ASSE成熟度模型提供了评估方法:B. SSAMC. SSRD. CEM 101、下面关于信息平安保障的说法错误的选项是：A信息平安保障的概念是与信息平安的概念同时产生的B信息系统平安保障要素包括信息的完整性，可用性和保密

40、性C信息平安保障和信息平安技术并列构成实现信息平安的两大主要手段D信息平安保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素, 在系统的生命周期内确保信息的平安属性。102、以下哪一项为哪一项数据完整性得到保护的例子？保证已登录的用户可以完成操作A. 某网站在访问量突然增加时对用户连接数量进展了限制,B. 在提款过程中 ATM终端发生故障，银行业务系统及时对该用户的账户余额进展了冲正操 作C. 某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进展了什么操作D. 李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看103、 注重平

41、安管理体系建立，人员意识的培训和教育，是信息平安开展哪一个阶段的特点？A. 通信平安B计算机平安C信息平安D.信息平安保障104、以下哪一项不是我国国务院信息化办公室为加强信息平安保障明确提出的九项重点工 作内容之一？A. 提高信息技术产品的国产化率B. 保证信息平安资金注入C. 加快信息平安人才培养D. 重视信息平安应急处理工作105、以下关于置换密码的说法正确的选项是：A明文根据密钥被不同的密文字母代替B. 明文字母不变，仅仅是位置根据密钥发生改变C明文和密钥的每个 bit异或D明文根据密钥作了移位106、以下关于代替密码的说法正确的选项是：A明文根据密钥被不同的密文字母代替B. 明文字母

42、不变，仅仅是位置根据密钥发生改变C. 明文和密钥的每个 bit异或D明文根据密钥作了移位107、常见密码系统包含的元素是：A. 明文、密文、信道、加密算法、解密算法B. 明文、摘要、信道、加密算法、解密算C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法108、在密码学的 Kerchhoff假设中，密码系统的平安性仅依赖于 A朋文B密文C密钥D信道109、PKI在验证一个数字证书时需要查看 来确认该证书是否已经作废A. ARLB. CSSC. KMSD. CRL110、一项功能可以不由认证中心CA完成?A. 撤销和中止用户的证书B. 产生并分布CA的公钥C在请

43、求实体和它的公钥间建立链接D发放并分发用户的证书VPN的平安功能?111、一项为哪一项虚拟专用网络A. 验证，访问控制盒密码B隧道，防火墙和拨号C. 加密，鉴别和密钥管理D. 压缩，解密和密码112、为了防止授权用户不会对数据进展未经授权的修改，需要实施对数据的完整性保护, 列哪一项最好地描述了星或*-完整性原那么？A. Bell-LaPadula模型中的不允许向下写B. Bell-LaPadula模型中的不允许向上度C. Biba模型中的不允许向上写D. Biba模型中的不允许向下读113、下面哪一个情景属于身份鉴别Authentication过程？A. 用户依照系统提示输入用户名和口令B.

44、 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C用户使用加密软件对自己编写的office文档进展加密，以阻止其他人得到这份拷贝后看到文档中的内容D. 某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失 败的登录过程记录在系统日志中114、以下对Kerberos协议特点描述不正确的选项是：A. 协议采用单点登录技术，无法实现分布式网络环境下的认证B协议与授权机制相结合，支持双向的身份认证C只要用户拿到了 TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个效劳 器的认证而不必重新输入密码D.AS和TGS是集

45、中式管理，容易形成瓶颈，系统的性能和平安也严重依赖于AS和TGS的性能和平安115、TACACS协议提供了以下哪一种访问控制机制?A. 强制访问控制B. 自主访问控制C. 分布式访问控制D. 集中式访问控制116、以下对蜜网功能描述不正确的选项是：A. 可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C可以进展攻击检测和实时报警D可以对攻击活动进展监视、检测和分析 117、以下对审计系统根本组成描述正确的选项是：A. 审计系统一般包括三个局部：日志记录、日志分析和日志处理B审计系统一般包含两个局部：日志记录和日志处理C审计系统

46、一般包含两个局部：日志记录和日志分析D.审计系统一般包含三个局部：日志记录、日志分析和日志报告 118、在ISO的OSI平安体系构造中，以下哪一个平安机制可以提供抗抵赖平安效劳?A. 加密B. 数字签名C访问控制D路由控制 119、在OSI参考模型中有7个层次，提供了相应的平安效劳来加强信息系统的平安性，以 下哪一层提供了保密性、身份鉴别、数据完整性效劳？A. 网络层B. 表示层C会话层D.物理层 120、WAPI采用的是什么加密算法？A. 我国自主研发的公开密钥体制的椭圆曲线密码算法B. 国际上通行的商用加密标准C国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法121、通常在

47、VLAN时，以下哪一项不是 VLAN的规划方法？A. 基于交换机端口B. 基于网络层协议C基于MAC地址D.基于数字证书122、 某个客户的网络现在可以正常访问In ternet互联网，共有200台终端PC但此客户从ISP互联网络效劳提供商里只获得了 16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部 200台终端PC访问In ternet互联网最好采取什么方法或技术：A、花更多的钱向ISP申请更多的IP地址B、 在网络的出口路由器上做源NATC、 在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器123、以下哪一个数据传输方式难以通过网络窃听获取信息?

48、A. FTP传输文件B. TELNET进展远程管理C. URL以S开头的网页内容D. 经过TACACS认证和授权后建立的连接124、桥接或透明模式是目前比拟流行的防火墙部署方式，这种方式的优点不包括:A. 不需要对原有的网络配置进展修改B. 性能比拟高C. 防火墙本身不容易受到攻击D. 易于在防火墙上实现 NAT125、下面哪一项为哪一项对IDS的正确描述？A、基于特征Sig nature-based丨的系统可以检测新的攻击类型B、基于特征Sig nature-based丨的系统化基于行为behavior-based的系统产生更多的误 报C、基于行为behavior-based的系统维护状态数

49、据库来与数据包和攻击相匹配D、基于行为behavior-based丨的系统比基于特征Sig nature-based的系统有更高的误报126、以下哪些选项不属于NIDS的常见技术?A. 协议分析B. 零拷贝C. SYN CookieD. IP碎片重组 127、在 UNIX 系统中输入命令 “ IS-AL TEST 显示如下：“-rwxr-xr-x 3 root root 1024 Sep 13 1158 test 对它的含义解释错误的选项是：A. 这是一个文件，而不是目录B. 文件的拥有者可以对这个文件进展读、写和执行的操作C文件所属组的成员有可以读它，也可以执行它D.其它所有用户只可以执行它

50、 128、在Unix系统中，/etc/service文件记录了什么内容？A、记录一些常用的接口及其所提供的效劳的对应关系B、决定inetd启动网络效劳时，启动那些效劳C、定义了系统缺省运行级别，系统进入新运行级别需要做什么D、包含了系统的一些启动脚本129、以下对 windows账号的描述，正确的选项是:A、 windows系统是采用SID平安标识符来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、 windows系统默认会生成 administration和guest两个账号，两个账号都不允许改名和删 除D、 windows系统默认生成admi

51、nistration和guest两个账号，两个账号都可以改名和删除130、以下对于 Windows系统的效劳描述，正确的选项是：A、windows效劳必须是一个独立的可执行程序B、windows效劳的运行不需要用户的交互登录C、windows效劳都是随系统的启动而启动，无需用户进展干预D、windows效劳都需要用户进展登录后，以登录用户的权限进展启动131、以下哪一项不是IIS效劳器支持的访问控制过滤类型？A. 网络地址访问控制B. WEB效劳器许可C. NTFS许可D. 异常行为过滤132、 为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规那么来检查数据库中的数据，完整

52、性规那么主要由3局部组成，以下哪一个不是完整性规那么的内容？A. 完整性约束条件B. 完整性检查机制C完整性修复机制D.违约处理机制133、数据库事务日志的用途是什么？A. 事务处理B. 数据恢复C完整性约束D.保密性控制134、以下哪一项与数据库的平安有直接关系？A. 访问控制的粒度B. 数据库的大小C关系表中属性的数量D.关系表中元组的数量135、下面对于cookie的说法错误的选项是：A、 cookie是一小段存储在浏览器端文本信息，web应用程序可以读取 cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的平安风险C、 通过cookie提交精妙构造的移动代码

53、，绕过身份验证的攻击叫做cookie欺骗D、 防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用 session验证方法136、以下哪一项为哪一项和电子邮件系统无关的?A、PEMB、PGPC、X500D、X400137、Apache Web效劳器的配置文件一般位于/usr/local/apache/conf 目录，其中用来控制用户访问Apache目录的配置文件是：A、d.co nfB、srm.confC、access.confD、inetd.conf 138、Java平安模型JSM是在设计虚拟机JVN时，弓I入沙箱sandbox机制，其主要 目的是：A、为效劳器提供针对恶意

54、客户端代码的保护B、为客户端程序提供针对用户输入恶意代码的保护C、为用户提供针对恶意网络移动代码的保护D、提供事件的可追查性139、恶意代码采用加密技术的目的是：A. 加密技术是恶意代码自身保护的重要机制B. 加密技术可以保证恶意代码不被发现C. 加密技术可以保证恶意代码不被破坏D. 以上都不正确140、恶意代码反跟踪技术描述正确的选项是：A反跟踪技术可以减少被发现的可能性B. 反跟踪技术可以防止所有杀毒软件的查杀C. 反跟踪技术可以防止恶意代码被消除D. 以上都不是141、以下关于计算机病毒感染能力的说法不正确的选项是：A. 能将自身代码注入到引导区B. 能将自身代码注入到扇区中的文件镜像C能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码142、当用户输入的数据被一个解释器当作命令或查询语句的一局部执行时，就会产生哪种 类型的漏洞？A. 缓冲区溢出B. 设计错误C信息泄露D.代