整理试题及答案讲解

1、1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案：A2. 下述攻击手段中不属于 DOS击的是：A.Smurf攻击B.Land攻击C.Teardrop 攻击D.CGI溢出攻击答案：Do3. “中华人民共和国保守国家秘密法第二章规定了国家秘密的范围和密级,国家秘密的密级分为：A.“普密、“商密两个级别B.“低级和“高级两个级别C.“绝密、“机密、“秘密三个级别D.“一密、“一密、“三密、“四密四个级别答案：Co4. 应用软件测试的正确顺序是:A.集成测试、单元测试、系统测试、验收测试B.单元测试、系统测试、集成测试、验收测试C.验收测试、

2、单元测试、集成测试、系统测试D.单元测试、集成测试、系统测试、验收测试答案：选项D.5. 多层的楼房中,最适合做数据中央的位置是：A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案：D.6. 随着全球信息化的开展,信息平安成了网络时代的热点,为了保证我国信息产业的开展与平安,必须增强对信息平安产品、系统、效劳的测评认证,中国信息平安产品测评认证中央正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误熟悉是：A. 测评与认证是两个不同概念,信息平安产品或系统认证需经过申请、测试、评估,认证一系列环节.B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会

3、向公告、测试中或没有通过测试的产品不再公告之列.C. 对信息平安产品的测评认证制度是我国根据WTO规那么建立的技术壁垒的治理体制.D. 通过测试认证到达中央认证标准的平安产品或系统完全消除了平安风险.答案：D.7. 计算机平安事故发生时,以下哪些人不被通知或者最后才被通知：A. 系统治理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案：Bo8. 下面的哪种组合都属于多边平安模型？A.TCSEC 和 Bell-LaPadulaB.Chinese Wall 和 BMAC.TCSEC 和 Clark-WilsonD.Chinese Wall 和 Biba答案：B.9. 下面哪种方法可以替代电子银

4、行中的个人标识号PINs的作用？A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术答案：Ao10. 拒绝效劳攻击损害了信息系统的哪一项性能？A. 完整性B.可用性C.保密性D. 可靠性答案：Bo11. 以下哪一种模型运用在 JAVA平安模型中:A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型答案：Co12. 以下哪一个协议是用于电子邮件系统的?A.X.25B.X.75C.X.400D.X.500答案：C.13.“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响,这一说法是适合于以下哪一种拓扑结构的网络的?A.星型B.树型C.环型D.复合型答案：Ao14. 在一

5、个局域网的环境中,其内在的平安威胁包括主动威胁和被动威胁.以下哪一项属于被动威胁?A. 报文效劳拒绝B. 假冒C. 数据流分析D. 报文效劳更改答案：C.15. Chinese Wall模型的设计宗旨是：A. 用户只能访问那些与已经拥有的信息不冲突的信息B. 用户可以访问所有信息C. 用户可以访问所有已经选择的信息D. 用户不可以访问那些没有选择的信息答案：Ao16. ITSEC中的F1-F5对应TCSE3哪几个级别？A. D 到 B2B. C2到B3C. C1到B3D. C2到A1答案：C.17. 下面哪一个是国家推荐性标准？A. GB/T 18020-1999应用级防火墙平安技术要求B.

6、SJ/T 30003-93电子计算机机房施工及验收标准C. GA 243-2000计算机病毒防治产品评级准那么D. ISO/IEC 15408-1999信息技术平安性评估准那么答案：Ao18. 密码处理依靠使用密钥,密钥是密码系统里的最重要因素.以下哪一个密钥算法在加密数据与解密时使用相同的密钥?A. 对称的公钥算法B. 非对称私钥算法C. 对称密钥算法D. 非对称密钥算法答案：C.19. 在执行风险分析的时候,预期年度损失ALE的计算是：A. 全部损失乘以发生频率B. 全部损失费用+实际替代费用C. 单次预期损失乘以发生频率D. 资产价值乘以发生频率答案：C.20. 作为业务持续性方案的一局

7、部,在进行风险评价的时候的步骤是:1.2.3.考虑可能的威胁 建立恢复优先级 评价潜在的影响4.A.B.C.D.答案：评价紧急性需求1-3-4-21-3-2-41-2-3-41-4-3-2Ao21. CC中平安功能/保证要求的三层结构是根据由大到小的顺序A. 类、子类、组件B. 组件、子类、元素C. 类、子类、元素D. 子类、组件、元素答案：Ao以及:22. 有三种根本的鉴别的方式：你知道什么,你有什么,A. 你需要什么B. 你看到什么C. 你是什么D. 你做什么答案：C.23. 为了有效的完成工作,信息系统平安部门员工最需要以下哪一项技能?A.人际关系技能B.工程治理技能C.技术技能D.沟通

8、技能答案：Do24. 以下哪一种人给公司带来了最大的平安风险?A.临时工B.咨询人员C.以前的员工D.当前的员工答案：Do25. SSL提供哪些协议上的数据平安:A.HTTP , FTP 和 TCP/IPB.SKIP , SNMP 和 IPC.UDP , VPN 和 SONETD.PPTP , DMI RC4答案：Ao26. 在Windows 2000中可以观察开放端口情况的是:A.nbtstatB.netC.net showD.netstat答案：D.27. SMTP1接效劳器使用端口A.21B.25C.80D.110答案：B.28. 在计算机中央,以下哪一项为哪一项磁介质上信息擦除的最彻底

9、形式A.去除B.净化C.删除D.破坏答案：D29. 以下哪一种算法产生最长的密钥?A.Diffe-HellmanB.DESC.IDEAD.RSA答案：D.30. 下面哪一种风险对电子商务系统来说是特殊的?A.效劳中断B.应用程序系统欺骗C.未授权的信息泄漏D.确认信息发送错误答案：Do31. 以下哪一项不属于恶意代码?A.病毒B.蠕虫C.宏D.特洛伊木马答案：C.32. 以下哪项不是信息系统平安工程水平成熟度模型 SSE-CMM的主要过程:A.风险过程B.保证过程C.工程过程D.评估过程答案：D33. 目前,我国信息平安治理格局是一个多方“齐抓共管的体制,多头治理现状决定法出多门,?计算机信息

10、系统国际联网保密治理规定?是由以下哪个部门 所制定的规章制度？A.公安部B.国家保密局C.信息产业部D.国家密码治理委员会办公室答案：Bo34.为了保护DNS的区域传送zone transfer1.UDP2.TCP3.534.52A.1, 3B.2,3C.1, 4D.2 4答案：BO,你应该配置防火墙以阻止35. 在选择外部供货生产商时,评价标准根据重要性的排列顺序是:1. 供货商与信息系统部门的接近程度2. 供货商雇员的态度3. 供货商的信誉、专业知识、技术4. 供货商的财政状况和治理情况A.4,3,1,2B.3,4,2,1C.3,2,4,1D.1,2,3,4答案：B36. 机构应该把信息系

11、统平安看作:A.业务中央B.风险中央C.业务促进因素D.业务抑制因素答案：C.输入限制的目的是保证:A.对数据文件访问的授权B.对程序文件访问的授权C.完全性、准确性、以及更新的有效性D.完全性、准确性、以及输入的有效性答案：选项D.37.38. 以下哪个针对访问限制的平安举措是最容易使用和治理的?A.密码B.加密标志C.硬件加密D.加密数据文件答案：Co39. 下面哪种通信协议可以利用IPSEC的平安功能?I. TCPII. UDPIII. FTPA. 只有IB. I 和IIC. II 和IIID. I IIIII40.答案：D.以下哪一种模型用来对分级信息的保密性提供保护?A.Biba 模

12、型和 Bell-LaPadula 模型B.Bell-LaPadula模型和信息流模型C.Bell-LaPadula 模型和 Clark-Wilson 模型D.答案：Clark-Wilson模型和信息流模型 B.41. 以下哪一项能够提升网络的可用性？A.数据冗余B.链路冗余C.软件冗余D.电源冗余答案：选项Bo42. 为了阻止网络假冒,最好的方法是通过使用以下哪一种技术?A.回拨技术B.呼叫转移技术C.只采用文件加密D.回拨技术加上数据加密答案：Do43. 一下那一项为哪一项基于一个大的整数很难分解成两个素数因数?A.ECCB.RSAC.DESD.Diffie-Hellman答案：B.44.

13、下面哪一项为哪一项对IDS的正确描述？A. 基于特征(Signature-based )的系统可以检测新的攻击类型B. 基于特征(Signature-based )的系统比基于行为(behavior-based ')的系统产生更多的误报C. 基于行为(behavior-based )的系统维护状态数据库来与数据包和攻击相匹配D. 基于行为(behavior-based )的系统比基于特征(Signature-based ')的系统有更高的误报答案：D.45. ISO 9000标准系列着重于以下哪一个方面？A.产品B.加工处理过程C.原材料D.生产厂家答案：B46, 以下哪项是私

14、有IPA.B.C.D.答案：A47. 以下哪一项为哪一项和电子邮件系统无关的?A.PEM (Privacy enhanced mailB.PGP (Pretty good privacy )C.X.500D.X.400答案：Co48. 系统治理员属于A. 决策层B. 治理层C. 执行层D,既可以划为治理层,又可以划为执行层答案：C.49. 为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项为哪一项最好的方法？A. 进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码B. 进行离职谈话,禁止

15、员工账号,更改密码C. 让员工签署跨边界协议D. 列出员工在解聘前需要注意的所有责任答案：Ao50. 责任别离是信息平安治理的一个根本概念.其关键是权力不能过分集中在某一个人手中.责任别离的目的是保证没有单独的人员(单独进行操作)可以对应用程序系统特征或限制功能进行破坏.当以下哪一类人员访问平安系统软件的时候,会造成对“责任别离原那么的违背？A. 数据平安治理员B. 数据平安分析员C. 系统审核员D. 系统程序员答案：D.51. 下面哪一种攻击方式最常用于破解口令？A. 哄骗(spoofing )B. 字典攻击(dictionary attack )C. 拒绝效劳(DoS)D.WinNuk答案

16、：Bo52. 下面哪一项组成了 CIA三元组？A.保密性,完整性,保证B.保密性,完整性,可用性C.保密性,综合性,保证D.保密性,综合性,可用性答案：B.53. Intranet没有使用以下哪一项?A.Java编程语百B.TCP/IP协议C.公众网络D.电子邮件答案：Co54. TCP三次握手协议的第一步是发送一个A.SYN包B.ACK包C.UDP包D.null 包答案：A.55. 在企业内部互联网中,一个有效的平安限制机制是:A.复查B.静态密码C.防火墙D.动态密码答案：C.56. 从平安的角度来看,运行哪一项起到第一道防线的作用：A. 远端效劳器B. Web效劳器C. 防火墙D. 使用

17、平安shell程序答案：C.57. 对于一个机构的高级治理人员来说,关于信息系统平安操作的最普遍的观点是:A.费用中央B.收入中央C.利润中央D.投资中央答案：Ao58. 一个数据仓库中发生了平安性破坏.以下哪一项有助于平安调查的进行?A.访问路径B.时戳C.数据定义D.数据分类答案：B.59. 在客户/效劳器系统中,平安方面的改良应首先集中在:A.应用软件级B.数据库效劳器级C.数据库级D.应用效劳器级答案：选项C.60. 下面哪种方法产生的密码是最难记忆的？A. 将用户的生日倒转或是重排B. 将用户的年薪倒转或是重排C. 将用户配偶的名字倒转或是重排D. 用户随机给出的字母 答案：D.61

18、. 从风险分析的观点来看,计算机系统的最主要弱点是：A. 内部计算机处理B. 系统输入输出C. 通讯和网络D. 外部计算机处理答案：Bo62. 以下哪一个说法是正确的？A. 风险越大,越不需要保护B. 风险越小,越需要保护C. 风险越大,越需要保护D. 越是中等风险,越需要保护答案：C.63. 在OSI参考模型中有7个层次,提供了相应的平安效劳来增强信息系统的平安性.以下哪一层提供了抗抵赖性?A.表示层B.应用层C.传输层D.数据链路层答案：B64. 保护轮廓PP是下面哪一方提出的平安要求?A.评估方B.开发方C.用户方D.制定标准方答案：C65. 在信息平安策略体系中,下面哪一项属于计算机或

19、信息平安的强制性规那么？A. 标准(Standard )B. 平安策略(Security policy )C. 方针(Guideline )D. 流程(Procedure )答案：Ao66. 软件的供给商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门程序.以下哪一项为哪一项这种情况面临的最主要风险?A. 软件中止和黑客入侵B. 远程监控和远程维护C. 软件中止和远程监控D. 远程维护和黑客入侵答案：Ao67. 从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护工程应该：A. 内部实现B. 外部采购实现C. 合作实现D. 多来源合作实现答案：选

20、项Ao68. 操作应用系统由于错误发生故障.以下哪个限制是最没有用的?A.错误总计B.日志C.检查点限制D.恢复记录答案：选项A.69. 在许多组织机构中,产生总体平安性问题的主要原因是：A. 缺少平安性治理B. 缺少故障治理C. 缺少风险分析D. 缺少技术限制机制答案：Ao70. 如果对于程序变动的手工限制收效甚微,以下哪一种方法将是最有效的?A.自动软件治理B.书面化制度C.书面化方案D.书面化标准答案：Ao71. 以下人员中,谁负有决定信息分类级别的责任?A.用户B.数据所有者C.审计员D.平安官答案：Bo72. 当为计算机资产定义保险覆盖率时,以下哪一项应该特别考虑?A.已买的软件B.

21、定做的软件C.硬件D.数据答案：Do73. 以下哪一项平安目标在当前计算机系统平安建设中是最重要的？A. 目标应该具体B. 目标应该清楚C. 目标应该是可实现的D. 目标应该进行良好的定义答案：C.74. 哪一项描述了使用信息鉴权码(MAC和数字签名之间的区别？A. 数字签名通过使用对称密钥提供系统身份鉴别.B. 数据来源通过在MAC中使用私钥来提供.C. 由于未使用私钥,MAC只能提供系统鉴别而非用户身份鉴别D. 数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别.答案：C.security label 的？75. 在桔皮书theOrangeBook 中,下面级别中哪一项为哪一项第一个要求

22、使用平安标签A. B3B. B2C. C2D. D答案：Bo76. 数据库视图用于？A. 保证相关完整性B. 方便访问数据C. 限制用户对数据的访问.D. 提供审计跟踪答案：C.77. 下面哪一项最好地描述了风险分析的目的？A. 识别用于保护资产的责任义务和规章制度B. 识别资产以及保护资产所使用的技术限制举措C. 识别资产、脆弱性并计算潜在的风险D. 识别同责任义务有直接关系的威胁答案：C.78. KerBeros算法是一个A. 面向访问的保护系统B. 面向票据的保护系统C. 面向列表的保护系统D. 面向门与锁的保护系统答案：Bo79. 下面哪一项不是主机型入侵检测系统的优点？A. 性能价格

23、比高B. 视野集中C. 敏感细腻D. 占资源少答案：D.80. 以下哪一项为哪一项伪装成有用程序的恶意软件？A. 计算机病毒B. 特洛伊木马C. 逻辑炸弹D. 蠕虫程序答案：Bo81. 计算机病毒会对以下计算机效劳造成威胁,除了:A. 完整性B. 有效性C. 保密性D. 可用性答案：C.82. 以下哪一种局域网传输媒介是最可靠的?A. 同轴电缆B. 光纤C. 双绞线屏蔽D. 双绞线非屏蔽答案：Bo83. 以下哪一项计算机平安程序的组成局部是其它组成局部的根底?A. 制度和举措B. 漏洞分析C. 意外事故处理方案D. 采购方案答案：Ao84. 描述系统可靠性的主要参数是：A. 平均修复时间和平均

24、故障间隔时间B. 冗余的计算机硬件C. 备份设施D. 应急方案 答案：Ao85. 对不同的身份鉴别方法所提供的预防重用攻击的成效,根据从大到小的顺序,以下排列正确的选项是:A. 仅有密码,密码及个人标识号PIN , 口令响应,一次性密码B. 密码及个人标识号PIN , 口令响应,一次性密码,仅有密码C. 口令响应,一次性密码,密码及个人标识号 PIN,仅有密码D. 口令响应,密码及个人标识号PIN, 一次性密码,仅有密码 答案：C.86. 密码分析的目的是什么？A. 确定加密算法的强度B. 增加加密算法的代替功能C. 减少加密算法的换位功能D. 确定所使用的换位答案：Ao87. RSAt DSA相比的优点是什么？A. 它可以提供数字签名和加密功能B. 由于使用对称密钥它使用的资源少加密速度快C. 前者是分组加密后者是流加密D. 它使用一次性密码本答案：Ao88. 根据SSE-CMM水平级别第三级是指：A.定量限制B.方案和跟踪C.持续改良D.充分定义答案：Do89. 下面选项中不属于数据库平安模型的是：A. 自主型平安模型B. 强制型平安模型C. 基于角色的模型D.