注册信息安全工程师复习测试卷含答案（二）

第页注册信息安全工程师复习测试卷含答案1.某网站为了开发的便利，使用SA连接数据库，由于网站脚本中被发现存在SQL注入漏洞，导致攻击者利用内置存储过程xp_cmdshell删除了系统中一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则：A、权限分离原则B、最小特权原则C、保护最薄弱环节的原则D、纵深防御的原则【正确答案】：B解析：

SA是数据库最大用户权限，违反了最小特权原则。2.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求。随后，李强发现有向系统登录异常。请问以下说法哪个是正确的？A、小张服务态度不好，如果把李强的邮件收下来亲自教给李强就不会发生这个问题B、事件属于服务器故障，是偶然事件，影响单位领导申请购买新的服务器C、单位缺乏良好的密码修改操作流程或者小张没按操作流程工作D、事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件【正确答案】：C解析：

典型的社工攻击3.某次对某系统进行安全测试时，李工发现一个URL“http：///downloaD.jsp?path=uploads/test.jpg”，你觉得此URL最有可能存在什么漏洞（）A、任意文件下载漏洞B、SQL注入漏洞C、未验证的重定向和转发D、命令执行漏洞【正确答案】：A解析：

URL中有download和path，显然属于文件下载漏洞4.在可信计算机系统评估准则（TCSEC）中，下列哪一项是满足强制保护要求的最低级别？A、C2B、C1C、B2D、B1【正确答案】：D解析：

TCSEC标准中B级是强制保护级5.关于信息安全事件管理和应急响应，以下说法错误的是：A、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B、应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段C、对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素D、根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）【正确答案】：B解析：

教材P152-154，应急响应管理过程分为：准备、检测、遏制、根除、恢复、跟踪总结6.小张在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：1.风险评估工作形式包括：自评估和检查评估；2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼。请问小张的所述论点中错误的是哪项：A、第一个观点B、第二个观点C、第三个观点D、第四个观点【正确答案】：D解析：

自评估和检查评估需要相互结合7.为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）A、信息安全需求是安全方案设计和安全措施实施的依据B、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求C、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到D、信息安全需求来自于该公众服务信息系统的功能设计方案【正确答案】：D解析：

先有需求，再有功能设计方案8.以下哪一项不属于常见的风险评估与管理工具：A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具【正确答案】：D解析：

教材P228，风险评估与管理工具的类型：基于标准、基于知识、基于模型9.国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述?A、处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的B、能够局部反应国家防御和治安实力的C、我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺D、国际领先，并且对国防建设或者经济建设具有特别重大影响的【正确答案】：D解析：

国家科学技术秘密的密级

（一）绝密级

1、国际领先，并且对国防建设或者经济建设具有特别重大影响的；

2、能够导致高新技术领域突破的；

3、能够整体反映国家防御和治安实力的。

（二）机密级

1、处于国际先进水平，并且具有军事用途或者对经济建设具有重要影响的；

2、能够局部反映国家防御和治安实力的；

3、我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺。

（三）秘密级

1、处于国际先进水平，并且与国外相比在主要技术方面具有优势，社会效益或者经济效益较大的；

2、我国独有、受一定自然条件因素制约，并且社会效益或者经济效益很大的传统工艺。10.某公司内网的Web开发服务器只对内网提供访问（Web服务器监听8080端口，内网信任网段为/24）。管理员李工使用iptables来限制访问。下列正确的iptables规则是（）A、iptables-AINPUT-ptcp-s--dport8080-jACCEPTB、iptables-AINPUT-ptcp--dport8080-jACCEPTC、iptables-AINPUT-ptcp-s/24--dport8080-jACCEPTD、iptables-AINPUT-ptcp/24--dport8080-jACCEPT【正确答案】：C解析：

iptables-AINPUT-ptcp-s/24--dport8080-jACCEPT

-A：追加，在当前链的最后新增一个规则

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP

IP|IP/MASK|/而且地址可以取反，加一个“!”表示除了哪个IP之外

-d：表示匹配目标地址

-p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）11.某学员在学习国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T20274.1-2006）后，绘制了一张简化的信息系统安全保障模型图，如下所示。请为图中括号空白处选择合适的选项（）。A、安全保障（方针和组织）B、安全防护（技术和管理）C、深度防御（策略、防护、检测、响应）D、保障要素（管理、工程、技术、人员）【正确答案】：D解析：

教材P35，图1-9

信息系统安全保障模型12.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了关闭FTP服务的处理措施。请问该措施属于哪种风险处理方式？A、风险降低B、风险规避C、风险转移D、风险接受【正确答案】：B解析：

教材P143，关闭服务属于风险规避13.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关：A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞【正确答案】：C解析：

排除法，选项A\B\D都可能导致应用软件出现漏洞14.以下哪一项不是常见威胁对应的消减措施？A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限【正确答案】：C解析：

防止发送方否认应该用数字签名15.某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素？A、信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准B、信息系统所承载该银行业务正常运行的安全需求C、消除或降低该银行信息系统面临的所有安全风险D、该银行整体安全策略【正确答案】：C解析：

希望通过一次改造来解决所有安全风险问题是不可能的16.ISO9001-2000标准鼓励在制定、实施质量管理体系以及改进其有效性时采用过程方法，通过满足顾客要求，增进顾客满意度。下图是关于过程方法的示意图，图中括号空白处应填写（）。A、策略B、管理者C、组织D、活动【正确答案】：D解析：

过程要素示意图17.Kerberos协议是常用的集中访问控制协议，通过可信第三方的认证服务，减轻应用服务器和负担。Kerberos的运行环境由密钥分发中心（KDC）、应用服务器和客户端三个部分组成。其中，KDC分为认证服务器ＡＳ和票据授权服务器TGS两部分。下图展示了Kerberos协议的三个阶段，分别为（1）Kerberos获得服务许可票据，（2）Kerberos获得服务，（3）Kerberos获得票据许可票据。下列选项中对这三个阶段的排序正确的是（）A、（1）→（2）→（3）B、（3）→（2）→（1）C、（2）→（1）→（3）D、（3）→（1）→（2）【正确答案】：D解析：

教材P301-303，Kerberos认证过程排序18.入侵检测系统有其技术优越性，但也有其局限性，下列说法错误的是（）。A、对用户知识要求高、配置、操作和管理使用过于简单，容易遭到攻击B、入侵检测系统会产生大量的警告消息和可疑的入侵行为记录，用户处理负担很重C、入侵检测系统在应对自身攻击时，对其他数据的检测可能会被抑制或者受到影响D、警告消息记录如果不完整，可能无法与入侵行为关联【正确答案】：A解析：

教材P254，配置、操作和管理使用过于简单—描述有误19.《国家信息化领导小组关于加强信息安全保障工作的意见》中办发{2003}27号明确了我国信息安全保障工作的（

）、加强信息安全保障工作的（

）、需要重点加强的信息安全保障工作。27号文的重大意义是，它标志着我国信息安全保障工作有了（

）、我国最近十余年的信息安全保障工作都是围绕此政策性文件来（

）的、促进了我国（

）的各项工作。A、方针；主要原则；总体纲领；展开和推进；信息安全保障建设B、总体要求；总体纲领；主要原则；展开；信息安全保障建设C、方针和总体要求；主要原则；总体纲领；展开和推进；信息安全保障建设D、总体要求；主要原则；总体纲领；展开；信息安全保障建设【正确答案】：D解析：

教材P16

语文填空20.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是？A、所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的B、使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C、动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令D、通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型【正确答案】：C解析：

教材P295，动态口令方案中每次使用的口令不同，不能从密码历史中得到之前的口令

21.下列哪项内容描述的是缓冲区溢出漏洞?A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷【正确答案】：C解析：

选项A：SQLIN；选项B：CSS；选项D：漏洞22.某单位信息安全岗位员工，利用个人业余时间，在社交网络平台上向业内不定期发布信息安全相关知识和前沿动态资讯，这一行为主要符合以下哪一条注册信息安全专业人员（CISP）职业道德准则：A、避免任何损害CISP声誉形象的行为B、自觉维护公众信息安全，拒绝并抵制通过计算机网络系统泄露个人隐私的行为C、帮助和指导信息安全同行提升信息安全保障知识和能力D、不在公众网络传播反动、暴力、黄色、低俗信息及非法软件【正确答案】：C解析：

教材P64，CISP职业道德准则（每条3小点）23.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能？A、检测并分析用户和系统的活动B、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反安全策略的用户活动【正确答案】：C解析：

教材P353

入侵检测系统（IDS）是对网络中传输的数据进行实时监测，发现其中存在的攻击行为并进行响应的网络安全设备，是一种主动的安全防护技术。IDS的主要作用是发现并报告系统中未授权或违反安全策略的行为，不能防止IP欺骗。

24.在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机，下图中部署位置正确的是（）A、内网-交换机-防火墙-外网B、防火墙-内网主机-交换机-外网C、内网主机-交换机（防火墙）-外网D、内网主机（防火墙）-交换机-外网【正确答案】：A解析：

防火墙部署在内外网之间，交换机部署在防火墙的后面25.下列对网络认证协议（Kerberos）描述正确的是：A、该协议使用非对称密钥加密机制B、密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C、该协议完成身份鉴别后将获取用户票据许可票据D、使用该协议不需要时钟基本同步的环境【正确答案】：C解析：

教材P301

选项A：Kerberos使用对称密码算法实现通过可信第三方的认证服务

选项B：Kerberos运行环境由KDC、应用服务器和客户端组成

选项D：需要时钟同步

26.下面四款安全测试软件中，主要用于WEB安全扫描的是？A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner【正确答案】：B解析：

AcunetixWebVulnerabilityScanner简称AWVS，它可以帮助用户自动抓取您的网站，并执行黑匣子和灰色框黑客技术，发现危险的漏洞，可能会危及您的网站和数据，该软件能够针对sql注入、xss、xxxe、ssrf、主机头注入和4500其他web漏洞进行测试，具有最先进的扫描技术，可产生尽可能最少的误报。27.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性？A、结构的开放性，即功能和保证要求都可以在具体的“保户轮廓”和“安全目标”中进一步细化和扩展B、表达方式的通用性，即给出通用的表达表示C、独立性，它强调将安全的功能和保证分离D、实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中【正确答案】：C解析：

教材P233，CC没有强调独立性28.根据相关标准，信息安全风险管理可分为背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询等阶段。按照该框架，文档《风险分析报告》应属于哪个阶段的输出成果？A、风险评估B、风险处理C、批准监督D、监控审查【正确答案】：A解析：

教材P90，风险评估后产生《风险分析报告》29.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法。下面的描述中错误的是？A、定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B、定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C、定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D、定性风险分析更具主观性，而定量风险分析更具客观性【正确答案】：B解析：

实际工作中定量风险分析和定性风险分析都可以采用30.某软件在设计时，有三种用户访问模式，分别是仅管理员可访问、所有合法用户可访问和允许匿名访问)采用这三种访问模式时，攻击面最高的是()。A、仅管理员可访问B、所有合法用户可访问C、允许匿名D、三种方式一样【正确答案】：C解析：

“允许匿名访问”的攻击面最高31.二十世纪二十年代，德国发明家亚瑟谢尔比乌斯（ArthurScherbius）发明了Enigma密码机。按密码学发展历史阶段划分，这个阶段属于？A、古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是凭借推理和证明，常用密码运算方法包括替代方法和置换方法B、近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步曲机电密码设备C、现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”（"TheCommunicationTheoryofSecretSystems”）为理论基础，开始了对密码学的科学探索D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历史上的革命性怕变革，同时，众多的密码算法开始应用于非机密单位和商业场合【正确答案】：A解析：

教材P269，转轮机的出现是古典密码学发展成熟的重要标志之一

32.下列关于计算机病毒感染能力的说法不正确的是：A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入文本文件中并执行D、能将自身代码注入到文档或模板的宏中代码【正确答案】：C解析：

病毒不能感染文本文件33.以下关于软件安全测试说法正确的是？A、软件安全测试就是黑盒测试B、FUZZ测试是经常采用的安全测试方法之一C、软件安全测试关注的是软件的功能D、软件安全测试可以发现软件中产生的所有安全问题【正确答案】：B解析：

排除法

A、D太绝对；C不全面。FUZZ测试就是模糊测试34.ISO／IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于？A、BS7799-1《信息安全实施细则》BS7799-2《信息安全管理体系规范》C、信息技术安全评估准则（简称ITSEC）D、信息技术安全评估通用标准（简称CC）【正确答案】：B解析：

信息安全管理体系是按照ISO/IEC27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC27001标准是由BS7799-2标准发展而来。

BS7799-1(ISO/IEC1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。

BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。35.国务院信息化工作办公室于2004年7月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则？A、统筹规划B、分组建设C、资源共享D、平战结合【正确答案】：B解析：

教材P169，《关于做好重要信息系统灾难备份工作的通知》--做好重要信息系统灾难备份工作的基本原则重要信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则，充分调动和发挥各方面的积极性，提高抵御灾难破坏能力和灾难恢复能力。36.为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，加强在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理。2015年6月，第十二届全国人大常委会第十五次会议初次审议了一部法律草案，并于7月6日起在网上全文公布，向社会公开征求意见，这部法律草案是（

）。A、《中华人民共和国保守国家秘密法（草案）》B、《中华人民共和国网络安全法（草案）》C、《中华人民共和国国家安全法（草案）》D、《中华人民共和国互联网安全法（草案）》【正确答案】：B解析：

《中华人民共和国网络安全法（草案）》在正式发布前历经三次审议，两次公开征求意见。37.关于源代码审核，描述正确的是（）A、源代码审核过程遵循信息安全保障技术框架模型，在执行时应一步一步严格执行B、源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具C、源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断D、源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试【正确答案】：B解析：

教材P415，选项A：源代码审核不遵循信息安全保障框架模型，C/D明显错误38.InternetExplorer，简称IE，是微软公司推出的一款Web浏览器，IE中有很多安全设置选项，用来设置安全上网环境和保护用户隐私数据。以下哪项不是IE中的安全配置项目？A、设置Cookie安全，允许用户根据自己安全策略要求者、设置Cookie策略，包括从阻止所有Cookie到接受所有Cookie，用户也可以选择删除已经保存过的CookieB、禁用自动完成和密码记忆功能，通过设置禁止IE自动记忆用户输入过的Web地址和表单，也禁止IE自动记忆表单中的用户名和口令信息C、设置每个连接的最大请求数，修改MuKeepAliveRequests，如果同时请求数达到阈值就不再响应新的请求，从而保证了系统资源不会被某个链接大量占用D、为网站设置适当的浏览器安全级别，用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中，以采取不同的安全访问策略【正确答案】：C解析：

设置最大连接数应该在注册表中进行设置，不能在IE中设置。

选项A：IE－＞设置－＞隐私-＞设置-＞高级－＞Cookie

选项B：IE－＞设置－＞内容-＞自动完成-＞设置-＞表单上的用户名和密码

选项D：IE－＞设置－＞安全39.随着高校业务资源逐渐向数据中心高度集中，Web成为一种普适平台，上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的重要信息暴露在越来越多的威胁中。去年，某个本科生院网站遭遇SQL群注入（MassSQLInjection）攻击，网站发布的重要信息被篡改成为大量签名，所以该校在某信息安全公司的建议下配置了状态检测防火墙，其原因不包括（）A、状态检测防火墙可以应用会话信息决定过滤规则B、状态检测防火墙具有记录通过每个包的详细信息能力C、状态检测防火墙过滤规则与应用层无关，相比于包过滤防火墙更易安装和使用D、状态检测防火墙结合网络配置和安全规定做出接纳、拒绝、身份认证或报警等处理动作【正确答案】：C解析：

教材P351，状态检测防火墙也称为动态包过滤，是对静态包过滤技术的功能扩展，因为配置要比包过滤防火墙复杂。40.主体S对客体01有读(R)权限，对客体02有读(R)、写(W)、拥有(Own)权限，该访问控制实现方法是：A、访问控制表(ACL)B、访问控制矩阵C、能力表(CL)D、前缀表(Profiles)【正确答案】：C解析：

能力表CL表示每个主体可以访问的客体及权限41.关于源代码审核，下列说法正确的是：A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处【正确答案】：D解析：

教材P415，A\C明显错误

选项B：非预期的输入是模糊测试42.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登陆功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是？A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高带来网站用户数增加，导致网络攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此安全问题【正确答案】：D解析：

题干描述问题属于设计原因导致的43.以下关于法律的说法错误的是？A、法律是国家意志的统一体现，有严密的逻辑体现和效力B、法律可以是公开的，也可以是“内部”的C、一旦制定，就比较稳定，长期有效，不允许经常更改D、法律对违法犯罪的后果有明确规定，是一种硬约束【正确答案】：B解析：

常识，法律是国家意志的体现，现为由立法机关依照法定44.关于密钥管理，下列说法错误的是：A、科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于密钥的安全性B、保密通信过程中，通信方使用之前用过的会话密钥建立会话，不影响通信安全C、密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节D、在网络通信中，通信双方可利用Diffie-Hellman协议协商出会话密钥【正确答案】：B解析：

教材P271，如果密钥泄露，通信方使用之前用过的会话密钥建立会话将导致保密性问题45.计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中，错误的是？A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档B、计算机取证围绕电子证据进行，电子证据具有高科技性等特点C、计算机取证包括保护目标计算机系统，确定收集和保存电子证据，必须在开计算机的状态下进行D、计算机取证是一门在犯罪进行过程中或之后收集证据【正确答案】：C解析：

对现场计算机的部分通用处理原则：已经开机的计算机不要关机，关机的计算机不要开机。46.小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行，比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的是？A、可以建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查B、可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化C、可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心D、可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的ISO9001认证【正确答案】：D解析：

ISO9001是质量管理体系标准47.以下对于信息安全事件理解错误的是：A、信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件B、对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分C、应急响应是信息安全事件管理的重要内容D、通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生【正确答案】：D解析：

杜绝信息安全事件的发生—没有绝对安全48.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中对于解决问题没有直接帮助的是？A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码，并制定公司的安全编码准则D、要求增加软件安全测试环节，尽早发现软件安全问题【正确答案】：A解析：

无论采用哪种软件开发模型都有可能出现安全问题49.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》信息系统安全保障模型包含哪几个方面？A、保障要素、生命周期和运行维护B、保障要素、生命周期和安全特征C、规划组织、生命周期和安全特征D、规划组织、生命周期和运行维护【正确答案】：B解析：

教材P35，图1-9

信息系统安全保障模型：保障要素、安全特征、生命周期50.在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A、加密B、数字签名C、访问控制D、路由控制【正确答案】：B解析：

数字签名可以实现发件人确认，提供防抵赖服务51.口令破解是针对系统进行攻击的常用方法，Windows系统安全策略中应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略，关于这两个策略说明错误的是?A、密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控B、密码策略对系统中所有的用户都有效C、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效的保护所有系统用户被口令暴力破解攻击D、账户锁定策略只适用于普通用户，无法保护管理员administrator账户应对口令暴力破解攻击【正确答案】：C解析：

账户锁定策略对内置管理员账号不生效，因此不能保护针对内置管理员—administrator的穷举法攻击。52.风险管理的监控与审查不包含？A、过程质量管理B、成本效益管理C、跟踪系统自身或所处环境的变化D、协调内外部组织机构风险管理活动【正确答案】：D解析：

选项Ｄ属于沟通咨询53.某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于2000个字节数据时，总是会有3到5个字节不能传送到对方，关于此案例，可以推断的是？A、该网站软件存在保密性方面安全问题B、该网站软件存在完整性方面安全问题C、该网站软件存在可用性方面安全问题D、该网站软件存在不可否认性方面安全问题【正确答案】：B解析：

数据丢失属于完整性54.下面有关软件安全问题的描述中，哪项应是由于软件设计缺陷引起的（）A、设计了三层WEB架构，但是软件存在SQL注入漏洞，导致被黑客攻击后直接访问数据库B、使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据【正确答案】：C解析：

题干强调软件设计缺陷，选项A中的SQL注入漏洞是由软件编码问题导致的55.某公司建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M公司为实施单位，并选择了H监理公司承担该项目的全程监理工作。目前，各个应用系统均已完成开发，M公司已经提交了验收申请。监理公司需要对M公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档？A、项目计划书B、质量控制计划C、评审报告D、需求说明书【正确答案】：D解析：

需求说明书属于开发文档56.下面关于信息系统安全保障模型的说法不正确的是？A国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T20274.1-2006）中的信息系统安全保障模型将风险和策略作为基础和核心B、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D、信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入【正确答案】：D解析：

选项Ｄ中的描述“单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入”有误57.关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别，下面描述正确的是？A、WPA是有线局域安全协议，而WPA2是无线局域网协议B、WPA是适用于中国的无线局域安全协议，而WPA2适用于全世界的无线局域网协议C、WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证D、WPA是依照802.11i标准草案制定的，而WPA2是依照802.11i正式标准制定的【正确答案】：D解析：

教材P341，WPA-802.11i草案，WPA2-802.11i正式标准

58.某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划，提出了四大培训任务和目标。关于这四个培训任务和目标，作为主管领导，以下选项中正确的是？A、由于网络安全上升到国家安全的高度，因此网络安全必须得到足够的重视，因此安排了对集团公司下属公司的总经理（一把手）的网络安全法培训B、对下级单位的网络安全管理岗人员实施全面安全培训，计划全员通过CISP持证培训以确保人员能力得到保障C、对其他信息化相关人员（网络管理员、软件开发人员）也进行安全基础培训，使相关人员对网络安全有所了解D、对全体员工安排信息安全意识及基础安全知识培训，实现全员信息安全意识教育【正确答案】：D解析：

选项A、C、D所描述的内容在实际中都需要做，但D最优，符合题意。

若题目中问题改为“以下选项中不正确的是?”，答案为B。59.作为业务持续性计划的一部分，在进行业务影响分析（BIA）时的步骤是：1.标识关键的业务过程2.开发恢复优先级3.标识关键的IT资源4.标识中断影响和允许的中断时间A、1-3-4-2B、1-3-2-4C、1－2－3－4D、1－4－3－2【正确答案】：A解析：

教材P138，排序60.实体身份鉴别一般依据以下三种基本情况或这三种情况的组合：实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于实体特征的鉴别方法是？A、将登录口令设置为出生日期B、通过询问和核对用户的个人隐私信息来鉴别C、使用系统定制的、在本系统专用的IC卡进行鉴别D、通过扫描和识别用户的脸部信息来鉴别【正确答案】：D解析：

教材P294，A、B是所知；C是所有61.以下对异地备份中心的理解最准确的是：A、与生产中心不在同一城市B、与生产中心距离100公里以上C、与生产中心距离200公里以上D、与生产中心面临相同区域性风险的机率很小【正确答案】：D解析：

教材P169，一般选址原则：避免灾难备份中心与生产中心同时遭受同类风险。62.在某个信息系统实施案例中，A单位（甲方）允许B公司（乙方）在甲方的测试中开发和部署业务系统，同时为防范风险，A单位在和B公司签订合同中，制定有关条款，明确了如果由于B公司操作原因引起的设备损坏，则B公司需按价赔偿。可以看出，该赔偿条款应用了风险管理中（）的风险处置措施。A、降低风险B、规避风险C、转移风险D、拒绝风险【正确答案】：C解析：

教材P142，合同属于风险转移63.通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为?A、Land攻击B、Smurf攻击C、PingofDeath攻击D、ICMPFlood【正确答案】：D解析：

ICMPFLOOD是一种DDOS攻击，该攻击在短时间内向目的主机发送大量ping包，消耗主机资源，主机资源耗尽后就会瘫痪或者无法提供其他服务。

64.业务系统运行中异常错误处理合理的方法是？A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息【正确答案】：D解析：

最小反馈原则65.下面关于信息系统安全保障的说法不正确的是：A、信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关B、信息系统安全保障要素包括信息的完整性、可用性和保密性C、信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障D、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命【正确答案】：B解析：

教材P35，信息安全的保障要素：管理、工程、技术、人员；安全特征：保密性、完整性、可用性。66.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行安全加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好【正确答案】：D解析：

数据库服务器不能定期重启，要时刻ONLINE67.软件存在漏洞和缺陷是不可避免的，实践中常使用软件缺陷密度（Defects/KLOC）来衡量软件的安全性，假设某个软件共有29.6万行源代码，总共被检测出145个缺陷，则可以计算出其软件缺陷密度值是？A、0.00049B、0.049C、0.49D、49【正确答案】：C解析：

软件缺陷密度使用千行代码缺陷率来衡量，（145/296000）*1000=0.4968.某贸易公司的OA系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统中的数据，由于系统备份是每周六进行一次，事件发生时间为周三，因此导致该公司三个工作日的数据丢失并使得OA系统在随后两天内无法访问，影响到了与公司有业务往来部分公司业务。在事故处理报告中，根据GB/Z20686-2007，《信息安全事件分级分类指南》，该事件的准确分类和定级应该是?A、有害程序事件特别重大事件（I级）B、信息破坏事件重大事件（II级）C、有害程序事件较大事件（III级）D、信息破坏事件一般事件（IV级）【正确答案】：C解析：

教材P146-P147，木马病毒属于有害程序事件，信息安全事件分为四个级别：特别重大事件（I级）、重大事件（II级）、较大事件（III级）、一般事件（IV级），其中：较大事件（III级）包括的情况如下：会使特别重要的信息系统遭受较大的系统损失，或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失，产出较大的社会影响。影响OA系统属于较大事件。69.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A、网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息【正确答案】：D解析：

教材P405，选项A：可用性；选项B：保密性；选项C：完整性70.关于数据库恢复技术，下列说法不正确的是？A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术C、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事物故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复D、计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交【正确答案】：D解析：

选项D描述的是“回滚”71.某IT公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO，请你指出存在问题的是哪个总结？A、公司自身拥有优秀的技术人员，系统也是自己开发的，无需进行应急演练工作，因此今年的仅制定了应急演练相关流程及文档，为了不影响业务，应急演练工作不举行B、公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段，流程完善可用C、公司应急预案包括了基础环境类、业务系统类、安全事件和其他类，基本覆盖了各类应急事件类型D、公司应急预案对事件分类依据GB/Z20986—2007《信息安全技术信息安全事件分类分级分级指南》，分为7个基本类别，预案符合国家相关标准【正确答案】：A解析：

为了不影响业务，应急演练工作不举行—明显错误72.鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：A、口令B、令牌C、知识D、密码【正确答案】：B解析：

教材P294，令牌属于实体所有

73.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全管理能力。关于ISMS下面描述错误的是？A、在组织中，应由信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求B、组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体、具备可行性C、组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达客户、合作伙伴和供应商等外部各方D、组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受和相关残余风险【正确答案】：A解析：

教材P103，信息安全方针由管理层制定74.关系数据库的完整性规则是数据库设计的重要内容，下面关于“实体完整性”的描述正确的是？A、指数据表中列的完整性，主要用于保证操作的数据（记录）完整、不丢项B、指数据表中行的完整性，主要用于保证操作的数据（记录）非空、唯一且不重复C、指数据表中列必须满足某种特定的数据类型或约束，比如取值范围、数值精度等约束D、指数据表中行必须满足某种特定的数据姓雷或约束，比如在更新、插入或删除记录时，更将关联有关的记录一并处理才可以【正确答案】：B解析：

数据库完整性包括：

1.

实体完整性：确保每行数据都是有效的

2.

区域完整性：确保每列数据都是有效的

3.

参考完整性

4.

自定义完整性75.以下哪个不是导致地址解析协议（ARP）欺骗的根源之一?ARP协议是一个无状态的协议B、为提高效率，ARP信息在系统中会缓存C、ARP缓存是动态的，可被改写D、ARP协议是用于寻址的一个重要协议【正确答案】：D解析：

ARP欺骗是由ARP协议本身的特点决定的，而不是因为它重要

76.应用安全，一般是指保障应用程序使用过程和结果的安全，以下内容中不属于应用安全防护考虑的是？A、身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问控制的力度，限制非法访问C、剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区中的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等【正确答案】：D解析：

选项D属于物理安全，不属于应用安全

77.国际标准化组织（InternationalOrganizationforStandardization）对信息安全的定义为？A、保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可能性、可控性和不可否认性B、信息安全，有时缩写为InfoSec,是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据（例如电子、物理）的通用术语C、在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力，这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可能性、真实性、完整性和机密性D、为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的恶意的原因而受到破坏、更改、泄露【正确答案】：D解析：

教材P1，ISO对信息安全的定义描述。78.GB/T22080-2008《信息技术安全技术信息安全管理体系要求》指出，建立信息安全管理体系应参照PDCA模型进行，即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程，并在这些过程中应实施若干活动。请选出以下描述错误的选项？A、“制定ISMS方针”是建立ISMS阶段工作内容B、“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容C、“进行有效性测量”是监视和评审ISMS阶段工作内容D、“实施内部审核”是保持和改进ISMS阶段工作内容【正确答案】：D解析：

教材P96，“实施内部审核”属于监视和评审阶段79.规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础。某单位的实施风险评估时，形成了《风险评估方案》应是如下（）中的输出结果。A、风险评估准备阶段B、风险要素识别阶段C、风险分析阶段D、风险结果判定阶段【正确答案】：A解析：

教材P260，风险评估各阶段的输出文档，见上图。80.以下哪一项不是信息安全管理工作必须遵循的原则?A、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中B、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作C、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低D、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力【正确答案】：C解析：

项目管理常识-风险控制全过程81.“统一威胁管理”是将防病毒，入侵检测和防火墙等安全需求统一管理，目前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为？A、UTMB、FWC、IDSD、SOC【正确答案】：A解析：

UTM--UnitedThreatManagement统一威胁管理82.“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案？A、评估对象（TOE）B、保护轮廊（PP）（用户角度）C、安全目标（ST））（厂商角度）D、评估保证级（EAL）【正确答案】：C解析：

教材P235，ST安全目标的定义。83.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：（）A、模拟正常用户输入行为，生成大量数据包作为测试用例B、数据处理点、数据通道的入口点和可信边界点往往不是测试对象C、监测和记录输入数据后程序正常运行的情况D、深入分析网站测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析【正确答案】：D解析：

模糊测试：通过提供非预期的输入并监视异常结果来发现软件故障的方法，强制软件程序使用畸形数据，并观察软件运行情况的一种测试方法。84.在信息系统设计阶段“安全产品选择”处于风险管理过程的哪个阶段?A、背景建立B、风险评估C、风险处理D、批准监督【正确答案】：C解析：

教材P90，产品选择属于风险处理85.有关系统安全工程-能力成熟度模型（SSE-CMM），错误的理解是：A、SSE-CMM要求实施组织与其他组织相互作用，如开发方、产品供应商、集成商和咨询服务商等B、SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目C、基于SSE-CMM的工程是独立工程，与软件工程、硬件工程、通信工程等分别规划实施D、SSE-CMM覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动【正确答案】：C解析：

教材P179，SSE-CMM不是孤立的工程，而是与其他工程并行且相互作用。86.P2DR模型是一个用于描述网络动态安全的模型，这个模型经常使用图形的形式来形象表达，如下图所示，请问如中空白处应填写是（）。A、执行（do）B、检测（detection）C、数据（data）D、持续（duration）【正确答案】：B解析：

教材P26，图1-4

PPDR模型图87.王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他依据已有的资产列表，逐个分析可能危害这些资产的主体、动机、途径等多种因素，分析这些因素出现及造成损失的可能性大小，并为其赋值。请问，他这个工作属于下面哪一个阶段的工作？A、资产识别并赋值B、脆弱性识别并赋值C、威胁识别并赋值D、确认已有的安全措施并赋值【正确答案】：C解析：

教材P256，威胁识别定义

威胁识别：判断威胁出现的频率是威胁赋值的重要内容；

脆弱性识别：对脆弱性严重程度进行等级化处理；

确认已有的控制措施：建立在《信息系统的描述报告》、《信息系统的分析报告》、《信息系统的安全要求报告》来确认已有的安全措施，包括技术层面、组织层面、管理层面的安全对策，形成《已有安全措施列表》

88.为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以依照等级保护工作的工作阶段分级。下面四个标准中，（

）规定了等级保护定级阶段的依据，对象，流程，方法及登记变更等内容。A、GB/T20271-2006《信息系统通用安全技术要求》B、GB/T22240-2008《信息系统安全保护登记定级指南》C、GB/T25058-2010《信息系统等级保护安全设计技术要求》D、GB/T20269-2006《信息系统安全管理要求》【正确答案】：B解析：

GB/T22240-2008《信息系统安全保护等级定级指南》，该标准对如何进行信息系统定级做出指导。该标准已经被《GB/T22240-2020信息安全技术网络安全等级保护定级指南》取代。89.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求？A、国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B、各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级C、对是否属于国家机密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门确定D、对是否属于国家秘密和属于何种密级不明确的事项。由国家保密工作部门，省、自治区、直辖市的保密工作部门。省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。【正确答案】：C解析：

选项C中的描述“由各单位自行参考国家要求确定和定级”，有误。

选项A--《保密法》第十一条；选项B--《保密法》第十四条；选项D--《保密法》第二十条90.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数（ExposureFactor，EF）是25％，年度发生率（AnnualizedRateofOccurrence，ARO）为0.1，那么小王计算的年度预期损失（AnnualizedLossExpectancy，ALE）应该是（

）。A、5万元人民币B、50万元人民币C、2.5万元人民币D、25万元人民币【正确答案】：A解析：

200*25%*0.1=5万91.密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法，密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是？A、在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住所有的执行步骤，有些复杂的步骤可以不明确处理方式B、密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行C、根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信任的人，也可能是敌人和互相完全不信任的人D、密码协议（cryptographicprotocol），有时也称安全协议（securityprotocol），是使用密码学完成某项特定的任务并满足安全需求，其目的是提供安全服务【正确答案】：A解析：

复杂的步骤也必须明确处理方式92.以下哪项不是应急响应准备阶段应该做的？A、确定重要资产和风险，实施针对风险的防护措施B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、评估时间的影响范围，增强审计功能、备份完整系统【正确答案】：D解析：

教材P152，准备阶段的目标：A、B、C。93.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形势提出了有关工作原则和要求。下面选项中描述正确的是？A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充C、自评估和检查评估时相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用D、自评估和检查评估是相互排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果【正确答案】：A解析：

教材P247，信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充94.在Windows7中，通过控制面板（管理工具——本地安全策略——安全设置——账户策略）可以进入操作系统的密码策略设置界面，下面哪项内容不能在该界面进行设置（）A、密码必须符合复杂性要求B、密码长度最小值C、强制密码历史D、账号锁定时间【正确答案】：D解析：

账号锁定时间在账号锁定策略中95.入侵防御系统（IPS）是继入侵检测系统（IDS）后发展起来的一项新的安全技术，它与IDS有着许多不同点，请指出下列哪一项描述不符合IPS的特点?A、串接到网络线路中B、对异常的进出流量可以直接进行阻断C、有可能造成单点故障D、不会影响网络性能【正确答案】：D解析：

IPS设备要串联到网络中，因此会影响性能96.数据在进行传输前，需要由协议栈自上而下对数据进行封装。TCP/IP协议中，数据封装的顺序是？A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层【正确答案】：B解析：

TCP/IP协议栈：应用层、传输层、互联网络层、网路接口层，数据封装，自上而下97.小王是某通信运营商公司的网络安全架构师，为该公司推出的一项新型通信系统项目做安全架构规划，项目客户要求对他们的大型电子商务网络进行安全域的划分，化解为小区域的安全保护，每个逻辑区域有各自的安全访问控制和边界控制策略，以实现大规模电子商务系统的信息保护。小王对信息系统安全域（保护对象）的划分不需要考虑的是？A、业务系统逻辑和应用关联性，业务系统是否需要对外连接B、安全要求的相似性，可用性、保密性和完整性的要求是否类似C、现有网络结构的状况，包括现有网路、地域和机房等D、数据库的安全维护【正确答案】：D解析：

架构规划关注整体，选项D数据库的安全防护属于DBA的职责98.系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。有关此模型，错误的是？A、霍尔三维结构体系形象地描述了系统工程研究的框架B、时间维表示系统工程活动从开始到结束按时间顺序排列的全过程C、逻辑维的七个步骤与时间维的七个阶段严格对应，即时间维第一阶段应执行逻辑维第一步骤的活动，时间维第二阶段应执行逻辑维第二步骤的活动D、知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能【正确答案】：C解析：

教材P176，三个维度之间不是一一对应关系99.在进行应用系统的测试时，应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的？A、测试系统应使用不低于生产系统的访问控制措施B、为测试系统中的数据部署完善的备份与恢复措施C、在测试完成后立即清除测试系统中的所有敏感数据D、部署审计措施，记录生产数据的拷贝和使用【正确答案】：B解析：

排除法，选项A\C\D都是测试时必须做的100.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（

）A、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测C、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点【正确答案】：B解析：

教材P247，由本级单位自行发起的是自评估101.Linux系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root账户、使用网络防火墙和文件权限操作共10个方面来完成。小张在学习了Linux系统安全的相关知识后，尝试为自己计算机上的Linux系统进行安全配置。下列选项是他的部分操作，其中不合理的是？A、编辑文件/etc/passwD.检查文件中用户ID，禁用所有ID=0的用户B、编辑文件/etc/ssh/sshd_config，将PermitRootLogin设置为noC、编辑文件/etc/pam.d/system-auth，设置authrequiredpam_tally.soonerr=faildeny=6unlock_time=300D、编辑文件/etc/profile，设置TMOUT=600【正确答案】：A解析：

root用户：用户ID为0的用户，也被称为超级用户，root用户在系统上拥有完全权限，可以修改和删除任何文件，可以运行任何命令，可以取消任何进程。root用户负责增加和保留其他用户、配置硬件、添加系统软件。102.按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护，按照要求向公安机关备案即可，可以不需要上级或主管都门来测评和检查。此类信息系统应属于？A、零级系统B、一级系统C、二级系统D、三级系统【正确答案】：B解析：

等保级别分为1-5级，其中最低属于一级。103.下面哪项属于软件开发安全方面的问题？A、软件部署时所需选用服务性能不高，导致软件执行效率低。B、应用软件来考虑多线程技术，在对用户服务时按序排队提供服务C、应用软件存在SQL注入漏洞，若被黑客利用能窃取数据库所用数据D、软件受许可证（license）限制，不能在多台电脑上安装。【正确答案】：C解析：

SQL注入漏洞属于开发安全问题104.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是？A、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障B、建设信息安全基础设施，提供国家信息安全保障能力支撑C、建立信息安全技术体系，实现国家信息化发展的自主创新D、建立信息安全人才培养体系，加快信息安全科学建设和信息安全人才培养【正确答案】：C解析：

自主创新有问题105.关于Linux下的用户和组，以下描述不正确的是？A、在Linux中，每一个文件和程序都归属于一个特定的“用户”B、系统中的每一个用户都必须至少属于一个用户组C、用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D、root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限【正确答案】：C解析：

一个用户可以属于多个组106.移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是？A、所选择的特征（指纹）便于收集、测量和比较B、每个人所拥有的指纹都是独一无二的C、指纹信息是每个人都有的，指纹识别系统不存在安全威胁问题D、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成【正确答案】：C解析：

指纹识别系统不存在安全威胁问题—绝对化107.关于信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF），下面描述错误的是（）A、IATF最初由美国国家安全局（NSA）发布，后来由国际标准化组织（ISO）转化为国际标准，供各个国家信息系统建设参考使用B、IATF是一个通用框架，可以用到多种应用场景中，通过对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题C、IATF提出了深度防御的战略思想，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁D、强调人、技术和操作是深度防御的三个主要层面，也就是说讨论人在技术支持下运行维护的信息安全保障问题【正确答案】：A解析：

教材P28，IATF没有被采纳为国际标准108.下图是安全测试人员连接某远程主机时的操作界面，请仔细分析该图，下面选项中推断正确的是（）A、安全测试人员连接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务开启了FTP服务，使用的服务器软件名为FTPServerD、远程服务器的操作系统是Windows【正确答案】：D解析：

Serv-U是运行在Windows操作系统下的FTP服务109.以下关于UDP协议的说法，哪个是错误的？A、UDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程序C、相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据D、UDP协议不仅具有流量控制，超时重发机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据【正确答案】：D解析：

UDP不提供重发机制，不提供流控功能110.随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是？A、信息系统自身存在脆弱性是根本原因。信息系统越来越重要，同时自身在开发、部署和使用过程中存在的脆弱性，导致了诸多的信息安全事件发生。因此，杜绝脆弱性的存在是解决信息安全问题的根本所在B、信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛，接触信息系统的人越多，信息系统越可能遭受攻击。因此，避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C、信息安全问题产生的根源要从内因和外因两个方面分析，因为信息系统自身存在脆弱性，同时外部又有威胁源，从而导致信息系统可能发生安全事件。因此，要防范信息安全风险，需从内外因同时着手D、信息安全问题的根本原因是内因、外因和人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此，对人这个因素的防范应是安全工作重点。【正确答案】：C解析：

选项A、B、D都片面或绝对111.信息安全风险评估是信息安全风险管理工作中的重要环节。在《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，指出了风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求。下面选项中描述错误的是？A、自评估是由信