CISP考试认证练习题及答案15-2023-背题版

试题说明

本套试题共包括1套试卷

每题均显示答案和解析

CISP考试认证练习题及答案15（500题）

CISP考试认证练习题及答案15

L［单选题］信息系统建设完成后，（）的信息系统的而运营使用单位应当选择符合国家规定的测评机

构进行测评合格后方可投入使用

A）二级以上

B）三级以上

C）四级以上D.五级以上

答案:B

解析：

2.［单选题］某网站为了开发的便利，使用SA连接数据库，由于网站脚本中被发现存在SQL注入漏洞

,导致攻击者利用内置存储过程xp_cmdshell删除了系统中一个重要文件，在进行问题分析时，作

为安全专家，你应该指出该网站设计违反了以下哪项原则：（）

A）权限分离原则

B）最小特权原则

C）保护最薄弱环节的原则D.纵深防御的原则

答案:B

解析：

3.［单选题］国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述:.

A）能够局部反应国家防御和治安实力的

B）我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传

统工艺

C）处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的

D）国际领先，并且对国防建设或者经济建设具有特别重大影响的

答案:D

解析：特别重大影响

4.［单选题］主体和客体是访问控制模型中常用的概念。下面描述种错误的是（）

A）主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数据

B）客体也是一种实体，是操作的对象，是被规定需要保护的资源

C）主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作客体使用

D）一个主体为了完成任务，可以创建另外的主体，这些主体可以独立运行

答案:C

解析：

5.［单选题］关于数据库恢复技术，下列说法不正确的是？

A）数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏

时，可以利用冗余数据来进行修复

B）数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数

据库恢复中采用的基本技术

C）日志文件在数据库恢复中起着非常重要的作用，可以用来进行事物故障恢复和系统故障恢复，并

协助后备副本进行介质故障恢复

D）计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的值，将

数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交

答案:D

解析:D描述的是回滚

6.［单选题］以下关于UDP协议的说法，哪个是错误的？

A）UDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击

B）UDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程

序

C）相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数

据

D）UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会

话这类需要隐私保护的数据

答案:D

解析:UDP协议无流量控制，超时重发等机制。

7.［单选题］下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的（）

A）设计了用户权限分级机制和最小特权原则，导致软件在发布运行后，系统管理员不能查看系统审

计信息

B）设计了采用不加盐（SALT）的SHAT算法对用户口令进行加密存储，导致软件在发布运行后，不同

的用户如使用了相同的口令会得到相同的加密结果，从而可以假冒其他用户登录

C）设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到

用户隐私数据

D）设计了采用自行设计的加密算法对网络传输数据进行保护，导致软件在发布运行后，被攻击对手

截获网络数据并破解后得到明文

答案:D

解析：

8.［单选题］以下哪一项不是我国信息安全保障工作的主要目标（）

A）保障和促进信息化发展

B）维护企业与公民的合法权益

C）构建高效的信息传播渠道

D）保护互联网知识产权

答案:C

解析：

9.［单选题］系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。有关此模型，

错误的是：

A）霍尔三维机构体系形成地描述了系统工程研究的框架

B）时间维表示系统工程活动从开始到结束按照时间顺序排列的全过程

C）逻辑维的七个步骤与时间维的七个阶段严格对应，即时间维第一阶段应执行逻辑维第一步骤的活

动，时间维第二阶段应执行逻辑维第二步骤的活动

D）知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识

和技能

答案:C

解析：

10.［单选题］某单位计划在今年开发一套办公自动化（0A）系统，将集团公司各地的机构通过互联网进

行协同办公，在0A系统的设计方案评审会上，提出了不少安全开发的建设,作为安全专家，请指出大家

提的建议中不太合适的一条：

A）对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视,投入资源解决软件安全问题

B）要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识

C）要求软件开发商使用Java而不是ASP作为开发语言，避免SQL注入漏洞

D）要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对数据进行

校验

答案:C

解析：

11.［单选题］通过对称密码算法进行安全消息传输的必要条件是：（）

A）在安全的传输信道上进行通信

B）通讯双方通过某种方式，安全且秘密地共享密钥

C）通讯双方使用不公开的加密算法

D）通讯双方将传输的信息夹杂在无用信息中传输并提取

答案:B

解析：

12.［单选题］国家科学技术秘密的密级分为绝密级、机密级、密级，以下娜块属于绝密级的描述？（

）

A）处于国际先进水平、并且有军事用途或者对经济建设具有重要影响的

B）能够局部及应国家防制和治安实力的

C）我国独有、不要自己条件因素制约、能体现民族特色的精华，并且社会

效益或者经济效益显著的传统工艺

D）国际领先、并且对国防建设或者经济建设具有特别重大影响的

答案：D

解析：

13.［单选题］85.小张新购入了一台安装了windows操作系统的笔记本电脑，为了提升操作系统的安

全性，小张在windows系统中的“本地安全策略”中配置了四类安全策略：账号策略、本地策略、

公钥策略和IP安全策略，那么该操作属于操作系统安全配置内容中的

A）关闭不必要的服务

B）B.制定操作系统的策略

C）关闭不必要的端口

D）D.开启审核策略

答案:B

解析：

14.［单选题］传输控制协议（TCP）是传输层协议，以下关于TCP协议的说法，哪个是正确的？

A）相比传输层的另外一个协议UDP,TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用

途

B）TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机

OTCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此TCP协议能完全替代1P协议

D）TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低

答案:D

解析：

15.［单选题］以下关于检查评估和自评估说法错误的是（）

A）信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合

、互为补充

B）检查评估可以依据相关标准的要求，实施完整的风险评估，也可以在自评估实施的基础上，对关

键环节或重点内容实施抽样评估

C）信息安全风险评估应贯穿于网络和信息系统建设运行的全过程

D）自评估只能由组织自身发起并实施，对信息系统及其管理进行风险评估活动

答案:A

解析：

16.［单选题］某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址，但是该网络内

有15台

个人计算机，这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题，公司决

定将这10个互联网地址集中起来使用，当任意一台个人计算机开机并连接网络时，管理中心从

这10个地址中任意取出一个尚未分配的IP地址分配给这个人的计算机。他关机时，管理中心

将该地为收回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可供分配

的IP地址，那么，每中个人计算机可获取一个IP地址，并实现与互联网的连接，该公司使用的IP

地址规划方式是（）

A）静态分配地址

B）动态分配地址

C）静态NAT分配地址

D）端口NAT分配地址

答案:B

解析:

17.［单选题］在信息系统中，访问控制是重要的安全功能之一。它的任务是在用户对系统资源提供最

大限度共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。访问控制模型

将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。下列选项中，对

主体、客体和访问权限的描述中错误的是（）

A）对文件进行操作的用户是一种主体

B）主体可以接受客体的信息和数据，也可能改变客体相关的信息

C）访问权限是指主体对客体所允许的操作

D）对目录的访问权可分为读、写和拒绝访问

答案:D

解析：

18.［单选题］关于Kerberos认证协议，以下说法错误的是：

A）只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就

可以使用该TGT通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密

码

B）认证服务器（AS）和票据授权服务器（TGS）是集中式管理，容易形成瓶颈，系统的性能

和安全也严重依赖于AS和TGS的性能和安全

C）该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅

支持服务器对用户的单向认证

D）该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂

答案:C

解析:Kerberos由MIT于1988年开发，用于分布式环境中，完成服务器与用户之间的相互

认证。

19.［单选题］张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的

昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻

击？

A）口令攻击

B）暴力破解

C）拒绝服务攻击

D）社会工程学攻击

答案:D

解析:D属于社会工程学攻击。

20.［单选题］在Windows系统中，管理权限最高的组是

A)everyone

B)administrators

C)powerusers

D)users

答案:B

解析：

21.［单选题］随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来

越多的组织开始尝试使用参考IS027001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全

管理能力，关于ISMS,下面描述错误的是（）

A）在组织中，应由信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设

指明方向并提供总体纲领，明确总体要求

B）组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险

管理计划应具体，具备可行性

C）组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也

应传达到客户、合作伙件和供应商等外部各方

D）组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则

,并确认接受相关残余风险

答案:A

解析：

22.［单选题］小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时，面试经理要

求他给出该企业信息系统访问控制模型的设计思路。从时间和资源消耗的角度如果想要为一个存在

大量用户的信息系统实现自主访问控制选项，下列选项中他应该采取的最合适的模型或方法是（）

A）访问控制列表（ACL）

B）能力表（CL

C）BLP模型

D）Biba模型

答案:A

解析：

23.［单选题］目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多

H,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度？

A）公安部

B）国家保密局

C）信息产业部

D）国家密码管理委员会办公室

答案:B

解析：

24.［单选题］91.主体和客体是访问控制模型中常用的概念。下面描述中错误的是（）

A）主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数据

B）客体也是一种实体，是操作的对象，是被规定需要保护的资源

C）主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作客体使用

D）一个主体为了完成任务，可以创建另外的主体，这些主体可以独立运行

答案:C

解析：

25.［单选题］用户在使用telnet或者FTP链接到远程主机上时在网上是没有加密的，方法就是通过监

视携带用户名和口令的（）包获取用户信息

A）UDP

B）icmp

OTCP

D）IP

答案：D

解析：

26.［单选题］组织建立业务连续性计划（BCP）的作用包括：

A）在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；

B）提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据；

C）保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间

断运行，降低损失；

D）以上都是。

答案:D

解析：

27.［单选题］除以下哪项可作为ISMS审核（包括内审和外审）的依据，文件审核、现场审核的依据？

A）机房登记记录

B）信息安全管理体系

C）权限申请记录

D）离职人员的口述

答案：D

解析：

28.［单选题］ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户

访问Apache目录的配置文件是,？（）

A）httpd.conf

B）srm.conf

C）access.conf

D）inetd.conf

答案:A

解析：

29.［单选题］实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常见的

方法有指令鉴别、令牌鉴别、指纹鉴别等。如图，小王作为合法用户使用自己的账户进行支付、转

账等操作。这说法属于下列选项中的（）

A）实体所知的鉴别方法

B）实体所有的鉴别方法

C）实体特征的鉴别方法

D）实体所见的鉴别方法

答案:C

解析：

30.［单选题］软件需求分析是保证软件质量的重要步骤，它的实施应该是在（）

A）编码阶段

B）软件开发全过程

C）软件定义阶段

D）软件设计阶段

答案:C

解析：

31.［单选题］关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别，下面描述正确的是（）.

A）WPA是适用于中国的无线局域安全协议，而WPA2是适用于全世界的无线局域网协议

B）WPA是有线局域安全协议，而WPA2是无线局域网协议

OWPA是依照802.lli标准草案制定的，而WPA2是依照802.lli正式标准制定的

D）WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证

答案:C

解析:WI-FI联盟在802.Ui标准草案的基础上制定了WPA标准;2004年，IEEE发布了802.1li正式标准

（也称为WPA2）,在加密算法上采用了基于AES的CCMP算法.

32.［单选题］如下图所示，两份文件包含了不同的内容，却拥有相同的SHA-1数字签名

A,这违背了安全的哈希函数（）性质。

A）单向性

B）弱抗碰撞性

C）强抗碰撞性

D）机密性

答案:C

解析：

33.［单选题］向外部机构提供其信息处理设施的物理访问权限前，组织应当做什么

A）该外部机构的过程应当可以被独立机构进行IT审计

B）该组织应执行一个风险评估，设计并实施适当的控制

C）该外部机构的任何访问应被限制在DMZ区之内

D）应当给该外部机构的员工培训其安全程序

答案:B

解析：

34.［单选题］加密文件系统（EncryptingFileSystem,EFS）是Windows操作系统的一个组件，以下

说法错误的是（）

A）EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能解密数

据

B)EFS以公钥加密为基础，并利用了widows系统中的CryptoAPI体系结构

OEFS加密系统适用于NTFS文件系统合FAT32文件系统(Windows环境下)

D)EFS加密过程对用户透明，EFS加密的用户验证过程是在登陆windows时进行的

答案:C

解析：

35.［单选题］在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？

A)标准(StAnDArD)

B)安全策略(SeCuritypoliCy)

C)方针(GuiDeline)

D)流程(ProCeDure)

答案:A

解析：

36.［单选题］网络交易发达的今天，贸易双方可以通过签署电子合同来保障自己的合法权益。某

中心推出电子签名服务，按照如图方式提供电子签名，不属于电子签名的基本特性的是()O

>

A)不可伪造性

B)不可否认性

C)保证消息完整性

D)机密性

答案:D

解析：

37.［单选题］以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作

内容之一？

A)提高信息技术产品的国产化率

B)保证信息安全资金投入

C)加快信息安全人才培养

D)重视信息安全应急处理工作

答案:A

解析：

38.［单选题］信息安全管理体系(informationSecurityManagementSystem.简称ISMS)的实施和

运行ISMS阶段，是ISMS过程模型的实施阶段(Do),下面给出了一些活动

①制定风险处理计划

②实施风险处理计划

③开发有效性测量程序

④实施培训和意识教育计划

⑤管理ISMS的运行

⑥管理ISMS的资源

⑦执行检测事态和响应事件的程序

⑧实施内部审核

⑨实施风险再评估选的活动，

选项()描述了在此阶段组织应进行的活动

A)①②③④⑤⑥

B)①②③④⑤⑥⑦

C)①②③④⑤⑥⑦⑧

D)①②③④⑤⑥⑦⑧⑨

答案:B

解析：管理体系包括PDCA(Plan-Do-Check-Act)四个阶段，题干中1-7的工作都属于管理体系的

实施阶段(D-Do),而8和9属于检查阶段(C-Check)。

39.［单选题］为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工

作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标

准中，()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。

A)GB/T20271-2006《信息系统通用安全技术要求》

B)GB/T22240-2008《信息系统安全保护等级定级指南》

OGB/T25070-2010《信息系统等级保护安全设计技术要求》

D)GB/T20269-2006《信息系统安全管理要求》

答案:B

解析：

40.［单选题］IS02007：2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实

施、保持和不断改进()制定了要求。IS027001标准的前身为()的BS7799标准，该标准于1993年由()立

项，于1995年英国首次出版BS7799T：1995《信息安全管理实施细则》，它提供了一套综合的、由信息

安全最佳惯例组成的()，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一()，并

且适用大、中、小组织。

A)ISMS；德国；德国贸易工业部；实施规则；参考基准

B)ISMS；法国；法国贸易工业部；实施规则；参考基准

C)ISMS；英国；英国贸易工业部；实施规则；参考基准

D)ISMS；德国；德国贸易工业部；参考基准；实施规则

答案:C

解析:

41.［单选题］在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价

值的评估，以下选项中正确的是()

A)资产的价值指采购费用

B)资产的价值指维护费用

C)资产的价值与其重要性密切相关

D)资产的价值无法估计

答案:C

解析：

42.［单选题］随着计算机在商业和民用领域的应用，安全需求变得越来越多样化，自主访问控制和强制

访问控制难以适应需求，基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC模型

可以分为RBACO、RBAC1、RBAC2和RBAC3四种类型，它们之间存在相互包含关系。下列选项中，对

它们之间的关系描述错误的是0。

A)RBAC0是基于模型，RBAC1、RBAC2和RBAC3都包含RBAC0

B)RBAC1在RBAC0的基础上，加入了角色等级的概念

ORBAC2在RBAC1的基础上，加入了约束的概念

D)RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束

答案:C

解析：

43.［单选题］以下哪一项不在数字证书数据的组成中？()

A)版本信息

B)有效使用期限

C)签名算法

D)版权信息

答案:D

解析：

44.［单选题］自主访问控制模型(DAC)的访问控制关系可以用访问控制表(ACL)来表示，该ACL利用在客

体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。

下面选项中说法正确的是()。

A)ACL是Bel1-LaPadula模型的一种具体实现

B)ACL在删除用户时，去除该用户所有的访问权限比较方便

C)ACL对于统计某个主体能访问哪些客体比较方便

D)ACL管理或增加客体比较方便

答案:D

解析:

45.［单选题］GaryMcGraw博士及其合作者提出软件安全BSI模型应由三根支柱来支撑，这三个支

柱是（）

A）源代码审核、风险分析和渗透测试

B）风险管理、安全接触点和安全知识

C）威胁建模、渗透测试和软件安全接触点

D）威胁建模、源代码审核和模糊测试

答案：B

解析:BSI的模型包括风险管理、安全接触点和安全知识。

46.［单选题］以下哪项不是IDS可以解决的问题：

A）弥补网络协议的弱点

B）识别和报告对数据文件的改动

C）统计分析系统中异常活动模式

D）提升系统监控能力

答案:A

解析：

47.［单选题］利用上面请求方法可以在HTTP响应头信息中，allow允许哪种请求方式

A)GET

B)POST

C)OPTIONS

D)以上都是

答案:C

解析：

48.［单选题］风险评估相关政策，目前主要有（）（国信办［2006］5号）。主要内容包括：分析信息系统资

产的（），评估信息系统面临的（）、存在的（）、已有的安全措施和残余风险的影响等、两类信息系统的

（）、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。

A）《关于开展信息安全风险评估工作的意见》；重要程度：安全威胁:脆弱性；工作开展

B）《关于开展风险评估工作的意见》；安全威胁重要程度脆弱性：工作开展

0《关于开展风险评估工作的意见》；重要程度；安全威胁:脆弱性：工作开展

D）《关于开展信息安全风险评估工作的意见》；脆弱性；重要程度安全威胁：工作开展

答案:A

解析：

49.［单选题］关于信息安全管理体系，国际上有标准（ISO/IEC27001:2013）而我国发布了《信息技术

安全技术信息安全管理体系要求》（GB/T22080-2008）请问，这两个标准的关系是：

A）IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改

B）EQV（等效采用），此国家标准不等效于该国际标准

ONEQ（非等效采用），此国家标准不等效于该国际标准

D）没有采用与否的关系，两者之间版本不同，不应该直接比较

答案:D

解析：

50.［单选题］小王进行资产评估的过程中，根据资产的表现形式对资产进行了分类，可将资产分为数据

、软件、硬件、服务、人员等类型。有一种类型的资产中含有源代码、数据库数据、系统文档、运

行管理规程、计划、报告、用户手册、各类纸质的文档等。请问这是哪种类型的资产（）

A）软件

B）硬件

C）数据

D）服务

答案:C

解析：

51.［单选题］21.超文本传输协议（HyperTextTransferProtocoLHTTP）是互联网上广泛使用的一种网

络协议，下面哪种协议基于HTTP并结合SSL协议，具备用户鉴别和通信数据加密等功能（）

A）HTTP1.0协议

B）HTTPL1协议

C）HTTPS协议

D）HTTPD协议

答案:C

解析：

52.［单选题］某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升250虬尽管网站

没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为

主管负责人，请选择有效的针对此问题的应对措施？

A）在防火墙上设置策略，阻止所有的ICMP流量进入

B）删除服务器上的ping.exe程序

C）增加带宽以应对可能的拒绝服务攻击

D）增加网站服务以应对即将来临的拒绝服务攻击

答案:A

解析：

53.［单选题］信息化建设和信息安全建设的关系应该是：

A）信息化建设的结果就是信息安全建设的开始

B）信息化建设和信息安全建设应同步规划、同实施

C）信息化建设和信息安全建设是交替进行的，无法区分谁先谁后

D）以上说法都正确

答案:B

解析：

54.［单选题］2016年9月，一位安全研究人员在GoogleCloudIP上通过扫描，发现了完整的美国

路易斯安邦州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种

族、选民状态、注册日期与编号、正党代名和密码，以防止攻击者利用以上信息进行（）攻击。

A）默认口令

B）字典

C）暴力

D）XSS

答案:B

解析：

55.［单选题］Alice用Bob的密钥加密明文，将密文发送给Bob。Bob再用自己的私钥解密，恢复出

明文。以下说法正确的是：

A）此密码体制为对称密码体制

B）此密码体制为私钥密码体制

0此密码体制为单钥密码体制

D）此密码体制为公钥密码体制

答案:D

解析：

56.［单选题］如果出现IT人员和最终用户职责分工的问题，下面哪个选项是合适的补偿性控制？

A）限制物理访问计算机设备

B）检查应用及事务处理日志

C）在聘请IT人员之前进行背景检查

D）在不活动的特定时间后,锁定用户会话

答案:B

解析:A）信息安全的基本要素包括保密性、完整性和可用性

57.［单选题］规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在

实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中

,该《待评估信息系统相关设备及资产清单》应是如下（）中的输出结果。

A）风险评估准备阶段

B）风险要素识别阶段

C）风险分析

D）风险结果判定阶段

答案:B

解析：

58.［单选题］IS09001-2000标准鼓励在制定、实施质量管理体系以及改进其有效性时采用过程方法

,通过满足顾客要求，增进顾客满意度。下图是关于过程方法的示意图，图中括号空白处应填写

A）策略

B）管理者

C）组织

D）活动

答案：D

解析：

59.［单选题］中国电信重庆分公司的关键信息基确设施保护工作应由以下哪个组织负责具体管理实施

（）,由哪个组织负责统解协调（）？①中国电信集团②中共重庆市委网信办③重庆市通信管理局④中央

网信办

A）①，④

B）③

0©

D）①②

答案:D

解析：

60.［单选题］2006年5月8日电，中共中央办公厅、国务院办公厅印发了《2006-2020年国家信

息化发展战略》。全文（）部分共计约15000余字。对国内外的信息化发展做了宏观分析，对我国

信息化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详

尽描述。该战略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制定并实施

T（），初步建立了信息安全管理体制和（）。基础信息网络和重要信息系统的安全防护水平明显

提高，互联网信息安全管理进一步加强。

A）5个;信息化；基本形势；国家安全战略；工作机制

6）6个;信息化;基本形势；国家信息安全战略;工作机制

07个;信息化;基本形势；国家安全战略；工作机制

D）8个;信息化;基本形势；国家信息安全战略；工作机制

答案:B

解析：

61.［单选题］组织建立业务连续性计划（BCP）的作用包括：

A）在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性：

B）提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据：

C）保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断

运行，降低损失：

D）以上都是。

答案:D

解析：

62.［单选题］某软件在设计时,有三种用户访问模式，分别是仅管理员可访问、所有合法用户可访问和

允许匿名访问）采用这三种访问模式时，攻击面最高的是（）。

A）仅管理员可访问

B）所有合法用户可访问

C）允许匿名

D）三种方式一样

答案:C

解析:D项是干扰项,D项的意思是三种方式攻击面一样。

63.［单选题］按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保

护，按照要求向公安机关备案即可，可以不需要上级或主管部门来测评和检查此类信息系统应属于

A）零级系统

B）一级系统

C）二级系统

D）三级系统

答案:C

解析：

64.［单选题］小张在微博上发布了对小李的不实言论，请问小张不可能面临以下哪项民事违法处罚？

A）删除不实言论

B）赔偿损失

C）赔礼道歉

D）治安拘留

答案:D

解析：

65.［单选题］33.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中，数据

封装的顺序是：

A）传输层、网络接口层、互联网络层

B）传输层、互联网络层、网路接口层

C）互联网络层、传输层、网络接口层

D）互联网络层、网络接口层、传输层

答案:B

解析：

66.［单选题］某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造

中信息系统安全需求分析过程需要考虑的主要因素

A）信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标

B）信息系统所承载该银行业务正常运行的安全需求

C）消除或降低该银行信息系统面临的所有安全风险

D）该银行整体安全策略

答案:C

解析：

67.［单选题］关于我国信息安全保障的基本原则，下列说法中不正确的是：

A）要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理与技术并重

B）信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方

C）在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点

D）在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方的作用。

答案:A

解析：

68.［单选题］某政府机构委托开发商开发了一个0A系统。其中公交分发功能使用了FTP协议，该系统

运行过程中被攻击者通过FTP对0A系统中的脚本文件进行了篡改，安全专家提出使用Http下载代替

FTP功能以解决以上问题，该安全问题的产生主要是在哪个阶段产生的（）

A）程序员在进行安全需求分析时，没有分析出0A系统开发的安全需求

B）程序员在软件设计时，没遵循降低攻击面的原则，设计了不安全的功能

C）程序员在软件编码时，缺乏足够的经验，编写了不安全的代码

D）程序员在进行软件测试时，没有针对软件安全需求进行安全测试

答案:B

解析：

69.［单选题］《信息安全技术信息安全风险评估规范》（GB/T20984-2007）中关于信息系统生

命周期各阶段的风险评估描述不正确的是：

A）规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等

B）设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功

能需求

C）实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险

识别，并对系统建成后的安全功能进行验证

D）运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评

估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面

答案:D

解析：该题目来源于《信息安全技术信息安全风险评估规范》（GB/T20984-2007）,评估

内容包括威胁、脆弱性和影响。

70.［单选题］以下对Windows账号的描述，正确的是

A）Windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限

B）Windows系统是采用用户名来标识用户对文件或文件夹的权限

C）Windows系统默认会生成administrator和guest两个账号，两个账号都不允许改名和删除

D）Windows系统默认生成administrator和guest两个账号，两个账号都可以改名和删除

答案:A

解析：

71.［单选题］下面没有利用猜测密码口令方式进行传播的病毒是：

A）高波变种3T

B）迅猛姆马

C）震荡波

D）口令蠕虫

答案:C

解析：

72.［单选题］由于信息系统的复杂性，因此需要一个通用的框架对其进行解构和描述，然后再基于此

框架讨论信息系统的Oo在IATF中，将信息系统的信息安全保障技术层面分为以下四个焦点领域

：（）：区域边界即本地计算环境的外缘；（）；支持性基础设施，在深度防御技术方案中推荐

（）原则、O原则。

A）网络和基础设施；安全保护问题；本地的计算机环境；多点防御；分层防御

B）安全保护问题；本地的计算机环境；多点防御；网络和基础设施；分层防御

C）安全保护问题；本地的计算机环境；网络和基础设施；多点防御；分层防御

D）本地的计算环境；安全保护问题；网络和基础设施；多点防御；分层防御

答案:C

解析：

73.［单选题］安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低

为nobody用户，以下操作的主要目的是：

A）为了提高Apache软件运行效率

B）为了提高Apache软件的可靠性

C）为了避免攻击者通过Apache获得root权限

D）为了减少Apache上存在的漏洞

答案:C

解析：

74.［单选题］以下哪些不是《国家网络空间安全战略》中阐述的我国网络空间当前任务？（）

A）挥卫网络空间主权

B）保护关键信息基础设施

C）提升网络空间防护能力

D）阻断与国外网络连接

答案:D

解析：

75.［单选题］以下哪些因素属于信息安全特征？（）

A）系统和网络的安全

B）系统和动态的安全

C）技术、管理、工程的安全

D）系统的安全；动态的安全;无边界的安全；非传统的安全

答案:D

解析：

76.［单选题］Windows系统中用户Lee即属于一般用户组，又属于高级用户组，现要访问工作文档目录

,已知一般用户组对于此文件夹的操作权限是只读，高级用户组对此文件夹的操作权限是可写，那

么用户Lee现在可进行什么操作？

A）可读

B）可写

C）两者皆可

D）两者皆不可正确

答案:C

解析：

77.［单选题］随着互联网的迅猛发展、WEB信息的增加,用户要在信息海洋里查找自己所需的信息，就

象大海捞针一样，索引擎技术恰好解决了这一难题。以下关于搜索引擎技术特点的描述中错误的是

（）

A）搜索引擎以一定的策略在Web系统中搜索和发现信息

B）搜索引擎可以分为目录导航式与网页索引式

C）搜索器在Internet上逐个访问Web站点，并建立一个网站的关键字列表

D）索引器功能是理解搜索器获取的信息，向用户显示查询结果

答案:D

解析：

78.［单选题］下列哪项内容描述的是缓冲区溢出漏洞？

A）通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务

器执行恶意的SQL命令

B）攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的

,但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C）当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上

D）信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷

答案:C

解析：

79.［单选题］信息系统安全保障要求包括哪些内容？（）

A）信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程

能力成熟度要求

B）信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统安全工程安全保障要求

C）信息系统技术保障技术需求、信息系统管理保障控制需求、信息系统工程保障控制需求

D）系统安全保障目的、环境安全保障目的

答案:B

解析：

80.［单选题］以下关于SMTP和POP3协议的说法那个是错误的：

A）SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议

B）SMTP和POP3协议明文传输数据，因此存在数据泄露的可能

OSMTP和POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题

D）SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件

答案:D

解析：

81.［单选题］加密文件系统（EncryptingFileSystem,EFS）是Windows操作系统的一个组件。以

下说法错误的是？

A）EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能加密

数据

B）EFS以公钥加密为基础，并利用了Windows系统中的CryptoAPI体系结构

OEFS加密系统适用于NTFS文件系统和FAT32文件系统（Windows7环境下）

D）EFS加密过程对用户透明，EFS加密的用户验证过程是在登录Windows时进行的

答案:C

解析：

82.［单选题］小华在某电子商务公司工作，某天他在查看信息系统设计文档时，发现其中标注该信息系

统的RP0（恢复点目标）指标为3小时。请问这意味着（）

A）该信息系统发生重大安全事件后，工作人员应在3小时内到位，完成问题定位和应急处理工作

B）该信息系统发生重大安全事件后，工作人员应在3小时内完整应急处理工作并恢复对外运行

C）该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至少能提供3小时的

紧急业务服务能力

D）该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至多能丢失3小时的

业务数据

答案:D

解析：

83.［单选题］某公司已有漏洞扫描和入侵检测系统（IntrusienDetectionSystem,IDS）产品，需

要购买防火墙，以下做法应当优先考虑的是：

A）选购当前技术最先进的防火墙即可

B）选购任意一款品牌防火墙

C）任意选购一款价格合适的防火墙产品

D）选购一款同已有安全产品联动的防火墙

答案:D

解析：

84.［单选题］有关系统安全工程-能力成熟度模型（SSE-CMM）中的基本实施（Base

Practices,BP）,正确的理解是：

A）BP是基于最新技术而制定的安全参数基本配置

B）大部分BP是没有经过测试的

C）一项BP是用于组织的整个生存周期而非仅适用于工程的某一特定阶段

D）一项BP可以和其他BP重叠

答案:C

解析：

85.［单选题］某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划，提出了四大

培训任务和目标，关于这四个培训任务和目标,作为主管领导，以下选项中不合理的是：

A）对其他信息化相关人员：网络管理员、软件开发人员也进行安全基础培训，使相关人员对网络安全

有所了解

B）对下级单位的网络安全管理岗人员实施全面安全培训I,建议通过CISP培训以确保人员能力得到保

障

C）对全体员工安排信息安全意识及基础安全知识培训I,实现全员信息安全意识教育

D）由于网络安全上升到国家安全的高度，网络安全必须得到足够的重视，因此安排了对集团公司下属

单位的总经理：一把手的网络安全法培训

答案:D

解析：不能只对公司总经理培训.

86.［单选题］金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的操作习惯（）.

A）使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件、应用软件进行升级

B）为计算机安装具有良好声誉的安全防护软件，包括病毒查杀、安全检查和安全加固方面的软件

C）在IE的配置中，设置只能下载和安装经过签名的、安全的ActiveX控件

D）在使用网络浏览器时，设置不在计算机中保留网络历史记录和表单数据

答案:A

解析:安装好软件后应及时对该计算机上的系统软件、应用软件进行升级，以增加操作系统的安全性

87.［单选题］以下对Kerberos协议过程说法正确的是（）

A）协议可分为两个步骤：一是用户身份鉴别；二十获取请求服务

B）协议可分为两个步骤：一是获得票据许可票据；二十获取请求服务

C）协议可分为三个步骤；一是用户身份鉴别；二十获得票据；三是获得服务许可票据

D）协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务

答案:D

解析：

88.［单选题］信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，总

结错误的是（）

A）各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点

B）各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件

C）各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通

D）各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评

答案:C

解析：“均同意建立一致的安全保障系统”错误

89.［单选题］风险评估相关政策，目前主要有（）（国信办［2006］5号）。主要内容包括：分析信息系

统资产的（），评估信息系统面临的（）、存在的（）、已有的安全措施和残余风险的影响等、两类信

息系统的（）、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。

A）《关于开展信息安全风险评估工作的意见》；重要程度；安全威胁；脆弱性；工作开展

B）《关于开展风险评估工作的意见》；安全威胁；重要程度；脆弱性；工作开展

0《关于开展风险评估工作的意见》；重要程度；安全威胁；脆弱性；工作开展

D）《关于开展信息安全风险评估工作的意见》脆弱性；重要程度；安全威胁；工作开展

答案:A

解析：

90.［单选题］组织应定期监控、审查、审计()服务，确保协议中的信息安全条款和条件被遵守

,信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或()团队。

另外，组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能

和资源的可用性以监视协议要求尤其是。要求的实现。当发现服务交付的不足时，宜采取

().当供应商提供的服务，包括对()方针、规程和控制措施的维持和改进等发生变更时，应在

考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。

A)供应商；服务管理；信息安全；合适的措施；信息安全

B)服务管理；供应商；信息安全；合适的措施；信息安全

C)供应商；信息安全；服务管理；合适的措施；信息安全

D)供应商；合适的措施；服务管理；信息安全；信息安全

答案:A

解析:P124

91.［单选题］通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击

者再也无法处理有效的网络信息流时，这种攻击称之为：

A)Land攻击

B)Smurf攻击

C)PingofDeath攻击保密

D)ICMPFlood

答案:D

解析：

92.［单选题］以下哪一项不是信息安全管理工作必须遵循的原则？

A)风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中

B)风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作目的不是

原则，

C)由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低

D)在系统正式运行后，应注重残余风险的管理，以提高快速反应能力

答案:C

解析：

93.［单选题］某公司财务服务器受到攻击被攻击者删除了所有用户数据，包括系统日志，公司网络管

理员在了解情况后，给出了一些解决措施建议，作为信息安全主管，你必须指出不恰当的操作并阻

止此次操作()

A)由于单位并无专业网络安全应急人员，网络管理员希望出具授权书委托某网络安全公司技术人员

对本次攻击进行取证

B)由于公司缺乏备用硬盘，因此计划将恢复服务器上被删除的日志文件进行本地恢复后再提取出来

进行取证

C)由于公司缺乏备用硬盘，因此网络管理员申请采购与服务器硬盘同一型号的硬盘用于存储恢复出

来的数据

D)由于公司并无专业网络安全应急人员，因此由网络管理员负责此次事件的应急协调相关工作

答案：B

解析：

94.［单选题］下列关于面向对象测试问题的说法中，不正确的是（）

A）在面向对象软件测试时，设计每个类的测试用例时，不仅仅要考虑用各个成员方法的输入参数，还需

要考虑

如何设计调用的序列

B）构造抽象类的驱动程序会比构造其他类的驱动程序复杂

C）类B继承自类

A,如果对B进行了严格的测试,就意味着不需再对类A进行测试

D）在存在多态的情况下，为了达到较高的测试充分性，应对所有可能的绑定都进行测试

答案:C

解析：

95.［单选题］某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下

面哪个设备（）

A）安全路由器

B）网络审计系统

C）网页防篡改系统

D）虚拟专用网（VirtualPrivateNetwork,VPN）系统

答案:C

解析：

96.［单选题］由于信息系统的复杂性，因此需要一个通用的框架对其进行解构和描述，然后再基于此

框架讨论信息系统的（）o在IATF中，将信息系统的信息安全保障技术层面分为以下四个焦点领域

：O;区域边界即本地家算计环境外缘；（）;支持性基础设施；在深度技术防御方案中推荐

（）原则、（）原则。

A）网络和基础设施；安全保护问题；本地的计算环境；多点防御；分层防御

B）安全保护问题；本地的计算环境；多点防御；网络和基础设施；分层防御

C）安全保护问题；本地的计算环境；网络和基础设施；多点防御；分层防御

D）本地的计算环境；安全保护问题；网络和基础设施；多点防御；分层防御

答案:C

解析：

97.［单选题］关于信息安全管理，说法错误的是：

A）信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进

行的计划、组织、指挥、协调和控制的一系列活动。

B）信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职

责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。

0实现信息安全，技术和产品是基础，管理是关键。

D）信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程。

答案:D

解析:信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个动态过程。

98.［单选题］通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被

攻击者再也无法处理有效的网络信息流时，这种攻击称之为？

A)Land攻击

B)Smurf攻击

C)PingofDeath攻击

D)ICMPFlood

答案：D

解析：

99.［单选题］作为企业网络应用核心之一，电子邮件为企业进行信息交流提供了有力支持，在带给人

们便利的同时，电子邮件也带来了诸如垃圾信息、密码被破译、邮件被监听等安全问题，随着安

全电子邮件技术的发展，电子邮件所遭遇的安全问题正在被逐步化解，下列四项中，不属于典型的电

子邮件安全标准的是

A)S/MIME

B)PGP

OCRC

D)PGP/MIME

答案:C

解析：

100.［单选题］信息安全风险评估师信息安全风险管理工作中的重要环节。在《关于开展信息安全风

险评估工作的意见》(国新办【2006】15号)中，指出了风险评估分为自评估和检查评估二种形式

,并对二种工作形式提出了有关工作原则和要求。下面选项中描述错误的是()

A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估

B)检查评估是指信息系统上级管理部门组织的国际有关职能部门依法开展的风险评估

C)信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充

D)自评估和检查评估是相互排斥的，单位应慎重地从二中工作形式选择一个，并坚持使用

答案:D

解析：

101.［单选题］Windows文件系统权限管理访问控制列表(AccessControlList,ACL)机制，以下哪个

说法是错误的：

A)安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件

格式的支持

B)由于Windows操作系统自身有大量的文件和目录，因此很难对每个文件和目录设置严格的访问权

限，为了使用上的便利，Windows上的ACL存在默认设置安全性不高的问题

0Windows的ACL机制中，文件和文件夹权限与主体进行关联的，即文件夹和文件的访问权限信息是

写在用户数据库中

D)由于ACL具有很好的灵活性，在实际使用中可以为每一个文件设定独立用户的权限

答案:C

解析:

102.［单选题］小李是某公司系统规划师，某天他针对公司信息系统的现状，绘制了一张系统安全建

设规划图，如下图所示。请问这个图形是依据下面哪个模型来绘制的()

A)PDR

B)PPDR

C)PDCA

D)IATF

答案：B

解析：

103.［单选题］安全开发制度中,QA最关注的的制度是

A)系统后评价规定

B)可行性分析与需求分析规定

C)安全开发流程的定义、交付物和交付物衡量标准

D)需求变更规定

答案:C

解析：

104.［单选题］以下对Windows系统的服务描述，正确的是：

A)Windows服务必须是一个独立的可执行程序

B)Windows服务的运行不需要用户的交互登陆

0Windows服务都是随系统启动而启动，无需用户进行干预

D)Windows服务都需要用户进行登陆后，以登录用户的权限进行启动

答案：B

解析：

105.［单选题］我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段

,以下关于我国信息安全保障各阶段说法不正确的是：

A)2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动

B)2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发27

号文)，明确了“积极防御、综合防范”的国家信息安全保障方针

O2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段

D)在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护

和风险评估取得了新进展。

答案:C

解析：

106.［单选题］在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司

准备部署一台防火墙来保护内网主机，下列选项中部署位置正确的是()

A)内网主机一交换机一防火墙一外网

B)防火墙一内网主机一交换机一外网

C）内网主机一防火墙--交换机一外网

D）防火墙一交换机一内网主机一外网

答案:A

解析：

107.［单选题］规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位

在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段

中，该《待评估信息系统相关设备及资产清单》应是如下O中的输出结果。

A）风险要素识别

B）风险结果判定

C）风险分析

D）风险评估准备

答案:A

解析：在信息安全风险评估前，首先要进行的工作是资产分类与分级，资产清单作为资产登记的重

要输出物。P253

108.［单选题］如图是某网站对爬虫总抓取量、停留时间（h）及访问次数这三个基础信息日志数据

的统计结果，通过对日志数据进行审计检查，可以分析系统当前的运行状况、发现其潜在威肋等。

那么对日志数据进行审计检查，属于（）类控制措施。

A）预防

B）检查

C）威慑

D）修正

答案:B

解析：

109.［单选题］TCP/IP协议是Internet最基本协议，也是internet构成的基础，TCP/IP通常

被认为是一个N层协议，每一层都使用它的下一层所提供的网络服务完成自己的功能，这里的n

应等于（）

A）4

B）5

06

D）7

答案:A

解析：

110.［单选题］Apache的配置文件中，哪个字段定义了访问日志的路径

A）HttpdLog

B）HttpLog

C）AccessLog

D）CustomLog

答案:D

解析:

111.［单选题］二十世纪二十年代，德国发明家亚瑟谢尔比乌斯Enigma密码机。按照密码学发展历

史阶段划分，这个阶段属于（）

A）古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是凭借推理和证明，常用

的密码运算方法包括替代方法和置换方法

B）近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步的

机电密码设备

C）近代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论"（TheCommunication

TheoryofSecretSystems）

D）现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历史上的革命性的变

革，同时，众多的密码算法开始应用于非机密单位和商业场合

答案:A

解析:Enigma密码机，按照密码学发展历史阶段划分，这个阶段属于古典密码阶段。

112.［单选题］小王在学习信息安全管理体系相关知识之后，对于建立信息安全管理体系，自己总结

了下面四条要求，其中理解不正确的是（）。

A）信息安全管理体系应体现科学性和全面性的特点，因为要对信息安全管理涉及的方方面面实施较

为均衡的管理，避免遗漏某些方面而导致组织的整体信息安全水平过低

B）信息安全管理体系的建立应参照国际国内有关标准实施，因为这些标准是标准化组织在总结研究

了很多实际的或潜在的问题后，制定的能共同的和重复使用的规则

C）信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想，因为这是国家有关

信息安全的法律和法规方面的要求，这体现以预防控制为主的思想

D）信息安全管理体系应强调全过程和动态控制的思想，因为安全问题是动态的，系统所处的安全环

境也不会一成不变，不可能建设永远安全的系统

答案:C

解析：“一次风险评估彻底解决所有安全问题”错误

113.［单选题］业务系统运行中异常错误处理合理的方法是？

A）让系统自己处理异常

B）调试方便，应该让更多的错误更详细的显示出来

C）捕获错误，并抛出前台显示

D）捕获错误，只显示简单的提示信息，或不显示任何信息

答案:D

解析：

114.［单选题］CISP职业道德包括诚实守信，遵纪守法，主要有（）。

A）不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信

息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非

法软件

B）热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命：为发现和消除本单位或雇主的

信息系统安全风险做出应有的努力和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力

，为有需要的人谨慎负责地做出应对信息安全问题的建议和帮助

0自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络

社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息

安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为

D）通过持续学习保持并提升自身的信息安全知识;利用日常工作、学术交流等各种方式保持和提升信

息安全实践能力；以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为

答案:A

解析：

115.［单选题］某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要

由审核员进行审核后该删除操作才能生效，这种设计是遵循了发下哪个原则

A）权限分离原则

B）最小的特权原则

C）保护最薄弱环节的原则

D）纵深防御的原则

答案:A

解析：

116.［单选题］60.在工程实施阶段，监理机构依据承建合同、安全设计方案、实施方案、实施记录

、国家或地方相关标准和技术指导文件，对信息化工程进行（）安全检查，以验证项目是否实现了

项目设计目标和安全等级要求。

A）功能性

B