NISP(CISP)复习测试卷（一）

第页NISP(CISP)复习测试卷1.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项：A、风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析B、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性C、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化【正确答案】：B解析：

定性分析不能靠直觉、不能随意。2.国务院信息化工作办公室于2004年7月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（）A、统筹规划B、分组建设C、资源共享D、平战结合【正确答案】：B解析：

灾备工作原则包括统筹规划、资源共享、平战结合。3.以下对Windows账号的描述，正确的是：A、Windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B、Windows系统是采用用户名来标识用户对文件或文件夹的权限C、Windows系统默认会生成administrator和guest两个账号，两个账号都不允许改名和删除D、Windows系统默认生成administrator和guest两个账号，两个账号都可以改名和删除【正确答案】：A4.2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：A、电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据B、电子签名适用于民事活动中的合同或者其他文件、单证等文书C、电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务D、电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有【正确答案】：D解析：

电子签名不可以与认证服务提供者共有。5.有关系统安全工程-能力成熟度模型（SSE-CMM)中基本实施（BasePractice）正确的理解是：A、BP不限定于特定的方法工具，不同业务背景中可以使用不同的方法BP不是根据广泛的现有资料，实施和专家意见综合得出的C、BP不代表信息安全工程领域的最佳实践D、BP不是过程区域（ProcessAreas，PA)的强制项【正确答案】：A解析：

BP属于安全工程的最小单元，其不限定于特定的方法工具，不同业务背景中可以使用不同的方法；是根据广泛的现有资料，实施和专家意见综合得出的；代表着信息安全工程领域的最佳实践；并且是过程区域（ProcessAreas，PA)的强制项。6.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?A、分布式拒绝服务攻击(DDoS)B、病毒传染C、口令暴力破解D、缓冲区溢出攻击【正确答案】：C解析：

账号锁定是为了解决暴力破解攻击的。7.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（）。A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施，也包括事件发生后的应对措施B、应急响应工作有其鲜明的特点：具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时的正确指挥、事件发生后全面总结D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处置和整体协调的重要性【正确答案】：C解析：

应急响应是安全事件发生前的充分准备和事件发生后的响应处理，准备、检测、遏制、根除、恢复、总结。8.设计信息系统安全保障方案时，以下哪个做法是错误的：A、要充分切合信息安全需求并且实际可行B、要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本C、要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求D、要充分考虑用户管理和文化的可接受性，减少系统方案实施障碍【正确答案】：C9.某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协议，该系统运行过程中被攻

击者通过FTP对OA系统中的脚本文件进行了篡改，安全专家提出使用Http下载代替FTP功能以解决以上问题，

该安全问题的产生主要是在哪个阶段产生的()A、程序员在进行安全需求分析时，没有分析出OA系统开发的安全需求B、程序员在软件设计时，没遵循降低攻击面的原则，设计了不安全的功能C、程序员在软件编码时，缺乏足够的经验，编写了不安全的代码D、程序员在进行软件测试时，没有针对软件安全需求进行安全测试【正确答案】：B10.组织建立业务连续性计划（BCP)的作用包括：A、在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；B、提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据；C、保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；D、以上都是。【正确答案】：D解析：

正确答案为D。11.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：A、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实B、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C、确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D、软件上线前对软件全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行【正确答案】：D解析：

软件的安全测试根据实际情况进行测试措施的选择和组合。12.以下属于哪一种认证实现方式：用户登录时，认证服务器（AuthenticationServer，AS)产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，并发送给AS,AS用同样的方法计算后，验证比较两个口令即可验证用户身份。A、口令序列B、时间同步C、挑战/应答D、静态口令【正确答案】：C解析：

题干描述的是C的解释。13.关于ARP欺骗原理和防范措施，下面理解错误的是()ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文。使得受害者主机将错误的硬件地址映

射关系存到ARP缓存中，从而起到冒充主机的目的B、单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由实施攻击C、解决ARP欺骗的一个有效方法是采用“静态”的APP缓存，如果发生硬件地址的更改，则需要人工更新

缓存D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存。直接采用IP地址和其地主机进行连接【正确答案】：D14.关于风险要素识别阶段工作内容叙述错误的是：A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台【正确答案】：D解析：

安全措施既包括技术层面，也包括管理层面。15.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：

账户锁定阀值3次无效登陆；

复位账户锁定计数器5分钟；

账户锁定时间10分钟；

以下关于以上策略设置后的说法哪个是正确的A、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的拥护就会被锁住B、如果正常用户部小心输错了3次密码，那么该账户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统C、如果正常用户不小心连续输入错误密码3次，那么该拥护帐号被锁定5分钟，5分钟内即使交了正确的密码，也无法登录系统D、攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常拥护登陆不受影响【正确答案】：B解析：

答案为B，全部解释为5分钟计数器时间内错误3次则锁定10分钟。16.关于信息安全管理，说法错误的是：A、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性，以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。B、信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。C、实现信息安全，技术和产品是基础，管理是关键。D、信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程。【正确答案】：D解析：

信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个动态过程。17.IPv4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依靠

IP头部的校验和字段来保证IP包的安全，因此IP包很容易被篡改，并重新计算校验和。IETF于1994年开

始制定IPSec协议标准，其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务，保

护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。下列选

项中说法错误的是（）A、对于IPv4,IPSec是可选的，对于IPv6，IPSec是强制实施的。B、IPSec协议提供对IP及其上层协议的保护。C、IPSec是一个单独的协议D、IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制。【正确答案】：C18.下列对网络认证协议Kerberos描述正确的是：A、该协议使用非对称密钥加密机制B、密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C、该协议完成身份鉴别后将获取用户票据许可票据D、使用该协议不需要时钟基本同步的环境【正确答案】：C解析：

A错误，因为使用对称密码；B错误，因为密钥分发中心不包括客户机；D错误，因为协议需要时钟同步。三个步骤：1）身份认证后获得票据许可票据；2）获得服务许可票据；3）获得服务。19.下面哪个模型和软件安全开发无关（）？A、微软提出的“安全开发生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分（BuildingSecurityIN，BSI）”C、OWASP维护的“软件保证成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）”【正确答案】：D解析：

D与软件安全开发无关，ABC均是软件安全开发模型。20.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数(ExposureFactor，EF)是25％，年度发生率(AnnualizedRateofOccurrence，ARO)为0．1，那么小王计算的年度预期损失(AnnualizedLossExpectancy，ALE)应该是()。A、5万元人民币B、50万元人民币C、2.5万元人民币D、25万元人民币【正确答案】：A解析：

计算方法为200万*25%*0.1=5万。21.以下关于可信计算说法错误的是：A、可信的主要目的是要建立起主动防御的信息安全保障体系B、可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D、可信计算平台出现后会取代传统的安全防护体系和方法【正确答案】：D解析：

可信计算平台出现后不会取代传统的安全防护体系和方法。22.关于补丁安装时应注意的问题，以下说法正确的是A、在补丁安装部署之前不需要进行测试，因为补丁发布之前厂商已经经过了测试B、补丁的获取有严格的标准,必须在厂商的官网上获取C、信息系统打补丁时需要做好备份和相应的应急措施D、补丁安装部署时关闭和重启系统不会产生影响【正确答案】：C23.在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？A、用户访问日志、安全性日志、系统日志和IE日志B、应用程序日志、安全性日志、系统日志和IE日志C、网络攻击日志、安全性日志、记账日志和IE日志D、网络链接日志、安全性日志、服务日志和IE日志【正确答案】：B24.下列关于信息系统生命周期中安全需求说法不准确的是：A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证【正确答案】：C解析：

C属于风险评估阶段的准备阶段，不属于题干中的安全需求阶段。25.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是（）A、各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评【正确答案】：C26.从SABSA的发展过程，可以看出整个SABSA在安全架构中的生命周期（如下图所示），在此SABSA生命周期中，前两个阶段的过程被归类为所谓的（），其次是（），它包含了建筑设计中的（）、物理设计、组件

设计和服务管理设计，再者就是（），紧随其后的则是（）A、设计；战略与规划；逻辑设计；实施；管理与衡量B、战略与规划；逻辑设计；设计；实施；管理与衡量C、战略与规划；实施；设计；逻辑设计；管理与衡量D、战略与规划；设计；逻辑设计；实施；管理与衡量【正确答案】：D27.根据Bell-LaPedula模型安全策略，下图中写和读操作正确的是（）

A、可读可写B、可读不可写C、可写不可读D、不可读不可写【正确答案】：B28.在某次信息安全应急响应过程中，小王正在实施如下措施：消除或阻断攻击源，找到并消除系统的脆弱性/漏洞、修改安全策略，加强防范措施、格式化被感染而已程序的介质等，请问，按照应急响应方法，这些工作应处于以下哪个阶段（）A、准备阶段B、检测阶段C、遏制阶段D、根除阶段【正确答案】：D解析：

消除或阻断攻击源等措施为根除阶段。29.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是：A、所选择的特征（指纹）便于收集、测量和比较B、每个人所拥有的指纹都是独一无二的C、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题D、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成【正确答案】：C解析：

指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受率的问题。30.加密文件系统（EncryptingFileSystem,EFS）是Windows操作系统的一个组件，以下说法错误的是（）A、EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能解密数据B、EFS以公钥加密为基础，并利用了widows系统中的CryptoAPI体系结构C、EFS加密系统适用于NTFS文件系统合FAT32文件系统（Windows环境下）【正确答案】：C解析：

答案为C，FAT32不支持EFS加密。31.以下关于https协议http协议相比的优势说明，那个是正确的：A、Https协议对传输的数据进行加密，可以避免嗅探等攻击行为B、Https使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性C、Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能D、Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的【正确答案】：A解析：

HTTPS具有数据加密机制。32.Windows系统下，可通过运行_______命令打开Windows管理控制台。A、regeditB、cmdC、mmcD、mfc【正确答案】：C33.组织内人力资源部门开发了一套系统，用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有

员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性：A、SSL加密B、双因子认证C、加密会话cookieD、IP地址校验【正确答案】：A34.CC标准是目前系统安全认证方面最权威的而标准，那一项不是体现CC标准的先进性？A、结构开放性，即功能和保证要求可以“保护轮廓”和“安全目标”中进行一步细化和扩展B、表达方式的通用性，即给出通用的表达方式C、独立性，它强调将安全的功能和保证分离D、实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中【正确答案】：C解析：

ITSEC最早强调功能和保证的分离，不是CC的先进性。35.社会工程学本质上是一种（），（）通过种种方式来引导受攻击者的（）向攻击者期望的方向发展。罗

伯特·B·西奥迪尼（RobertBCialdini）在科学美国人（2001年2月）杂志中总结对（）的研究，介绍了

6种“人类天性基本倾向”，这些基本倾向都是（）工程师在攻击中所依赖的（有意思或者无意识的）。A、攻击者；心理操纵；思维；心理操纵；社会工程学B、攻击者；心理操纵；心理操纵；社会工程学C、心理操纵；攻击者；思维；心理操纵；社会工程学D、心理操纵；思维；心理操纵；攻击者；社会工程学【正确答案】：C36.虚拟专用网络（VPN）通常是指在公共网路中利用隧道技术，建立一个临时的，安全的网络。这里的字母P的正确解释是（）A、Special-purpose.特定、专用用途的B、Proprietary专有的、专卖的C、Private私有的、专有的D、Specific特种的、具体的【正确答案】：C解析：

C为正确答案。37.有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（GenericPractices，GP）错误理解是：A、GP是涉及过程的管理、测量和制度化方面的活动B、GP适用于域维中部分过程区域（ProcessAractices，PA）活动而非所有PA的活动C、在工程实施时，GP应该作为基本实施（BasePractices，BP）的一部分加以执行D、在评估时，GP用于判定工程组织执行某个PA的能力【正确答案】：B解析：

GP适用于域维中所有PA活动。38.WindowsNT提供的分布式安全环境又被称为:A、域（Domain）B、工作组C、对等网D、安全网【正确答案】：A39.提高阿帕奇系统(ApacheHTTPServer)系统安全性时，下面哪项措施不属于安全配置()?A、不在Windows下安装Apache，只在Linux和Unix下安装B、安装Apache时，只安装需要的组件模块C、不使用操作系统管理员用户身份运行Apache，而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新【正确答案】：A解析：

A不属于安全配置，而属于部署环境选择。40.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对windows操作系统访问控制实现方法的理解错误的是（）ACL只能由管理员进行管理B、ACL是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户的SID，组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制【正确答案】：A41.为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，下面哪项内容不在考虑范围内（）A、关于网站身份签别技术方面安全知识的培训B、针对OpenSSL心脏出血漏洞方面安全知识的培训C、针对SQL注入漏洞的安全编程培训D、关于ARM系统漏洞挖掘方面安全知识的培训【正确答案】：D解析：

D属于ARM系统，不属于WEB安全领域。42.以下对异地备份中心的理解最准确的是：A、与生产中心不在同一城市B、与生产中心距离100公里以上C、与生产中心距离200公里以上D、与生产中心面临相同区域性风险的机率很小【正确答案】：D解析：

答案为D，备份中心的综合风险小于主中心。43.模糊测试也称Fuzz测试，是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是（）A、模糊测试本质上属于黑盒测试B、模糊测试本质上属于白盒测试C、模糊测试有时属于黑盒测试，有时属于白盒测试，取决于其使用的测试方法D、模糊测试既不属于黑盒测试，也不属于白盒测试【正确答案】：A解析：

拿分选A，知识点是C。44.关于我国信息安全保障的基本原则，下列说法中不正确的是：A、要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理与技术并重B、信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方C、在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点D、在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方的作用。【正确答案】：A解析：

我国信息安全保障首先要遵循国家标准。45.关于信息安全事件和应急响应的描述不正确的是（）A、信息安全事件，是指由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响事件B、至今已有一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，这就使得信息安全事件的发生是不可能的C、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施D、应急响应工作与其他信息安全管理工作将比有其鲜明的特点：具有高技术复杂性志专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作【正确答案】：B解析：

目前不存在一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护。46.实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图，小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()

A、实体所知的鉴别方法B、实体所有的鉴别方法C、实体特征的鉴别方法D、实体所见的鉴别方法【正确答案】：C47.下列关于面向对象测试问题的说法中，不正确的是（）A、在面向对象软件测试时，设计每个类的测试用例时，不仅仅要考虑用各个成员方法的输入参数，还需要考

虑如何设计调用的序列B、构造抽象类的驱动程序会比构造其他类的驱动程序复杂C、类B继承自类

A，如对B进行了严格的测试，就意味着不需再对类A进行测试D、在存在多态的情况下，为了达到较高的测试充分性，应对所有可能的绑定都进行测试【正确答案】：C48.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题【正确答案】：D解析：

设计时提供了用户快捷登录功能，导致大量用户账号被盗用。则答案为D。49.某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用于交换式千兆以太网为主干，超五类双绞线作水平布线，由大型交换机和路由器连通几个主要的工作区域，在各区域建立一个闭路电视监控系统，再把信号通过网络传输到各监控中心，其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤，下面对于交换机和路由器的安全配置，操作错误的是()A、保持当前版本的操作系统，不定期更新交换机操作系统补丁B、控制交换机的物理访问端口，关闭空闲的物理端口C、带外管理交换机，如果不能实现的话，可以利用单独的VLAN号进行带内管理D、安全配置必要的网络服务，关闭不必要的网络服务【正确答案】：A解析：

交换机和路由器的管理包括了版本更新，也包括了补丁管理。50.假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：A、是多余的，因为它们完成了同样的功能，但要求更多的开销B、是必须的，可以为预防控制的功效提供检测C、是可选的，可以实现深度防御D、在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制功能已经足够【正确答案】：C解析：

略51.以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?A、大整数分解B、离散对数问题C、背包问题D、伪随机数发生器【正确答案】：D52.系统安全工程能力成熟度模型评估方法（SSAM,SSE-CMMAppraisalMethod）是专门基于SSE-CMM的评

估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的（）流程能力和成熟度进行评估所需的（）。

SSAM评估过程分为四个阶段，（）、（）、（）、（）。A、信息和方向；系统安全工程；规划；准备；现场；报告B、信息和方向；系统工程；规划；准备；现场；报告C、系统安全工程；信息；规划；准备；现场；报告D、系统安全工程；信息和方向；规划；准备；现场；报告【正确答案】：D53.小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行，比起简单地实施信息安全管

理，有更大的作用，他总结了四个方面的作用，其中总结错误的是（）A、可以建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查B、可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化C、可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心D、可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的ISO9001认证【正确答案】：D54.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够

录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课

信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是：A、对经过身份鉴别后的合法用户提供所有服务B、拒绝非法用户的非授权访问请求C、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D、防止对信息的非授权篡改和滥用【正确答案】：A55.关于信息安全保障技术框架(IATF)，以下说法不正确的是：A、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本B、IATF从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施C、允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性D、IATF深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制【正确答案】：D解析：

IATF是在网络的各位置实现所需的安全机制。56.下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？A、《关于加强政府信息系统安全和保密管理工作的通知》B、《中华人民共和国计算机信息系统安全保护条例》C、《国家信息化领导小组关于加强信息安全保障工作的意见》D、《关于开展信息安全风险评估工作的意见》【正确答案】：C解析：

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办2003年27号文件）规定了信息安全工作的原则，例如立足国情、以我为主、坚持技管并重等。57.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（）A、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测C、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点【正确答案】：B58.二十世纪二十年代，德国发明家亚瑟谢尔比乌斯发明了Engmia密码机，按照密码学发展历史阶段划分，这个阶段属于（）A、古典密码阶段。这一阶段的密码专家常常靠直觉和技术来设计密码，而不是凭借推理和证明，常用的密码运算方法包括替代方法和转换方法（）B、近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步的机电密码设备C、现代密码学的早起发展阶段。这一阶段以香农的论文“保密系统的通信理论”为理论基础，开始对密码学的科学探索D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历【正确答案】：B解析：

根据密码学发展阶段的知识点，Engmia密码机属于近代密码学发展阶段的产物。59.风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项()。

A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性【正确答案】：B60.公钥密码的应用不包括:A、数字签名B、非安全信道的密钥交换C、消息认证码D、身份认证【正确答案】：C61.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是（）。A、定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和缺失量B、定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应用定性风险分析C、定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D、定性风险分析更具主观性，而定量风险分析更具客观性【正确答案】：B解析：

实际工作中根据情况选择定量、定性或定量与定性相结合。62.异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是A、在异常入侵检测中，观察的不是已知的入侵行为，而是系统运行过程中的异常现象B、实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生C、异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警D、异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为【正确答案】：B解析：

实施误用入侵检测（或特征检测），是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生。63.“统一威胁管理”是将防病毒，入侵检测和防火墙等安全需求统一管理，目前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为（）A、UTMB、FWC、IDSD、SOC【正确答案】：A解析：

答案为A。64.安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?A、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞B、为了方便进行数据备份，安装Windows操作系统时只使用一个分区

C，所有数据和操作系统都存放在C盘C、操作系统上部署防病毒软件，以对抗病毒的威胁D、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能【正确答案】：B解析：

操作系统和应用安全装应分开不同磁盘部署。65.以下关于信息安全法治建设的意义，说法错误的是：A、信息安全法律环境是信息安全保障体系中的必要环节B、明确违反信息安全的行为，并对行为进行相应的处罚，以打击信息安全犯罪活动C、信息安全主要是技术问题，技术漏洞是信息犯罪的根源D、信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系【正确答案】：C解析：

信息安全问题是多方面存在的，不能认为主要为技术问题，同时技术漏洞不是犯罪的根源所在。66.主体S对客体01有读(R)权限，对客体02有读(R)、写(W)、拥有(Own)权限，该访问控制实现方法是：A、访问控制表(ACL)B、访问控制矩阵C、能力表(CL)D、前缀表(Profiles)【正确答案】：C解析：

定义主体访问客体的权限叫作CL。定义客体被主体访问的权限叫ACL。67.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行安全加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好【正确答案】：D解析：

D属于运行安全操作，不属于安全防护策略。68.白盒测试的具体优点是：A、其检查程序是否可与系统的其他部分一起正常运行B、在不知程序内部结构下确保程序的功能性操作有效C、其确定程序准确性成某程序的特定逻辑路径的状态D、其通过严格限制访问主机系统的受控或虚拟环境中执行对程序功能的检查【正确答案】：C69.信息安全事件和分类方法有多种，依据GB/Z20986-2007《信息安全技术自信安全事件分类分级指南》，信息安全事件分为7个基本类别，描述正确的是（）A、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件B、网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全

事件C、网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件D、网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件【正确答案】：A解析：

根据标准知识点，安全事件分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。70.关于信息安全事件管理和应急响应，以下说法错误的是：A、应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B、应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段C、对信息安全事件的分级主要参考信息系统的重要过程、系统损失和社会影响三方面。D、根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别，特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）【正确答案】：B解析：

应急响应包括六个阶段，为准备、检测、遏制、根除、恢复、跟踪总结。71.关于标准，下面哪项理解是错误的（）A、标准是在一定范围内为了获得最佳秩序，经协协商一致制定并由公认机构批准，共同重复使用的一种规范性文件，标准是标准化活动的重要成果B、国际标准是由国际标准化组织通过并公布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突，应以国际标准条款为准。C、行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准。D、地方标准由省、自治区、直辖市标准化行政主管部门制度，冰报国务院标准化行政主管部门和国务院有关行政主管培训部门备案，在公布国家标准后，该地方标准即应废止。【正确答案】：B解析：

当国家标准和国际标准的条款发生冲突，应以国家标准条款为准。72.为了能够合理、有序地处理安全事件，应事件制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制，将损失和负面影响降至最低。PDCERF方法论是一种防范使用的方法，其将应急响应分成六个阶段，如下图所示，请为图中括号空白处选择合适的内容（）

A、培训阶段B、文档阶段C、报告阶段D、检测阶段【正确答案】：D73.在Windows系统中，管理权限最高的组是：A、everyoneB、administratorsC、powerusersD、users【正确答案】：B74.某公司已有漏洞扫描和入侵检测系统(IntrusionDetectionSystem，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：A、选购当前技术最先进的防火墙即可B、选购任意一款品牌防火墙C、任意选购一款价格合适的防火墙产品D、选购一款同已有安全产品联动的防火墙【正确答案】：D解析：

在技术条件允许情况下，可以实现IDS和FW的联动。75.防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是A、既能物理隔离，又能逻辑隔离B、能物理隔离，但不能逻辑隔离C、不能物理隔离，但是能逻辑隔离D、不能物理隔离，也不能逻辑隔离【正确答案】：C解析：

答案为C。76.对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是：A、在使用来自外部的移动介质前，需要进行安全扫描B、限制用户对管理员权限的使用C、开放所有端口和服务，充分使用系统资源D、不要从不可信来源下载或执行应用程序【正确答案】：C解析：

C是错误的，应该是最小化端口和服务。77.windows文件系统权限管理使用访问控制列表（AccessControlList.ACL）机制，以下哪个说法是错误的：A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持B、由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C、Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的D、由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限【正确答案】：C解析：

Windows的ACL机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。78.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性

措施，也包括事件发生后的应对措施。应急响应方法和过程并不偶是唯一的，在下面的应急响应管理流程中，

空白方框处填写正确的是选项是（）

A、培训阶段B、文档阶段C、报告阶段D、检测阶段【正确答案】：D79.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，

对于解决问题没有直接帮助的是（）A、要求所有的开发人员参加软件安全开发知识培训B、要求增加软件源代码审核环节，加强对软件代码的安全性审查C、要求统一采用Windows8系统进行开发，不能采用之前的Windows版本D、要求邀请专业队伍进行第三方安全性测试，尽量从多角度发现软件安全问题【正确答案】：C解析：

统一采用Windows8系统对软件安全无帮助。80.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A、提高信息技术产品的国产化率B、保证信息安全资金投入C、加快信息安全人才培养D、重视信息安全应急处理工作【正确答案】：A解析：

提高信息技术产品的国产化率不属于九项重点工作内容之一。81.Kerberos协议是一种集中访问控制协议，他能在复杂的网络环境中，为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不在需要其他的认证过程，实质是消息M在多个应用系统之间的传递或共享。其中消息M是指以下选项中的()A、安全凭证B、用户名C、加密密钥D、会话密钥【正确答案】：A解析：

安全凭证指的是服务许可票据。82.下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的（）A、设计了三层Ｗｅｂ架构，但是软件存在ＳＱＬ注入漏洞，导致被黑客攻击后能直接访问数据库B、使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据【正确答案】：C解析：

答案为C。83.分布式拒绝服务（DistributedDenialofService,DDos）攻击指借助于客户/服务器技术，将多个计

算机联合起来作为攻击平台。对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。一般

来说，DDoS攻击的主要目的是破坏目标系统的（）A、保密性B、完整性C、可用性D、真实性【正确答案】：C84.对系统工程（SystemsEngineering，SE）的理解，以下错误的是：A、系统工程偏重于对工程的组织与经营管理进行研究B、系统工程不属于技术实现，而是一种方法论C、系统工程不是一种对所有系统都具有普遍意义的科学方法D、系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法【正确答案】：C解析：

系统工程是一种对所有系统都具有普遍意义的科学方法85.以下关于代替密码的说法正确的是：A、明文根据密钥被不同的密文字母代替B、明文字母不变，仅仅是位置根据密钥发生改变C、明文和密钥的每个bit异或D、明文根据密钥作移位【正确答案】：A86.在以下标准中，属于推荐性国家标准的是？A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X【正确答案】：A解析：

A为国标推荐标准；B为国标强制标准；C为地方标准；D为国标指导标准。87.某单位计划在今年开发一套办公自动化（ＯA）系统，将集团公司各地的机构通过互联网进行协同办公，在ＯA系统的设计方案评审会上，提出了不少安全开发的建设，作为安全专家，请指出大家提的建议中不太合适的一条：A、对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题B、要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识C、要求软件开发商使用Ｊａｖａ而不是AＳＰ作为开发语言，避免ＳＱＬ注入漏洞D、要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对数据进行校验【正确答案】：C解析：

SQL注入与编码SQL语法应用和过滤有关，与开发语言不是必然关系。88.系统安全工程-能力成熟度模型(SSE-CMM）定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是：A、风险过程B、工程过程C、保证过程D、评估过程【正确答案】：A解析：

风险过程包括评估影响、评估威胁、评估脆弱性和评估安全风险。89.GaryMcGraw博士及其合作者提出软件安全BSI模型应由三根支柱来支撑，这三个支柱是（）。A、源代码审核、风险分析和渗透测试B、风险管理、安全接触点和安全知识C、威胁建模、渗透测试和软件安全接触点D、威胁建模、源代码审核和模糊测试【正确答案】：B解析：

BSI的模型包括风险管理、安全接触点和安全知识。90.社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不能总是重复合成功，并且

在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随着时间流逝最终都会失

效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工程学利用的是人性的“弱

点”，而人性是（）,这使得它几乎是永远有效的（）。A、网络安全；心理学；攻击方式；永恒存在的；攻击方式B、网络安全；攻击方式；心理学；永恒存在的；攻击方式C、网络安全；心理学；永恒存在的；攻击方式D、网络安全；攻击方式；心理学；攻击方式；永恒存在的【正确答案】：A91.在某信息系统的设计中，用户登陆过程是这样的：（1）用户通过HTTP协议访问信息系统；（2）用户在登陆页面输入用户名和口令；（3）信息系统在服务器端检查用户名和密码的正确性，如果正确，则鉴别完成。可以看出，这个鉴别过程属于（）。A、单向鉴别B、双向鉴别C、三向鉴别D、第三方鉴别【正确答案】：A92.以下哪一项不是工作在网络第二层的隧道协议：A、VTPB、L2FC、PPTPD、L2TP【正确答案】：A解析：

L2F、PPTP、L2TP均为二层隧道协议。93.下面对“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正确的是（）A、指一个特定的漏洞，该漏洞每年１月１日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指一个特定的漏洞，特指在２０１０年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施C、指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在１天内文完成攻击，且成功达到攻击目标D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞都是零日漏洞【正确答案】：D解析：

D是零日漏洞的解释。94.以下哪个组织所属的行业的信息系统不属于关键信息基础设施？A、人民解放军战略支援部队B、中国移动吉林公司C、重庆市公安局消防总队D、上海市卫生与计划生育委员会【正确答案】：D95.hash算法的碰撞是指:A、两个不同的消息，得到相同的消息摘要B、两个相同的消息，得到不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长【正确答案】：A96.以下哪一项不是我国信息安全保障的原则：A、立足国情，以我为主，坚持以技术为主B、正确处理安全与发展的关系，以安全保发展，在发展中求安全C、统筹规划，突出重点，强化基础性工作D、明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系【正确答案】：A解析：

A的正确描述为立足国情，以我为主，坚持以技术和管理并重。97.在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容：A、审核实施投资计划B、审核实施进度计划C、审核工程实施人员D、企业资质【正确答案】：A解析：

监理从项目招标开始到项目的验收结束，在投资计划阶段没有监理。98.下列选项中对信息系统审计概念的描述中不正确的是（）A、信息系统审计，也可称作IT审计或信息系统控制审计B、信息系统审计是一个获取并评价证据的过程，审计对象是信息系统相关控制，审计目标则是判断信息系统

是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性C、信息系统审计师单一的概念，是对会计信息系统的安全性、有效性进行检查D、从信息系统审计内容上看，可以将信息系统审计分为不同专项审计，例如安全审计、项目合规审计、绩效

审计等【正确答案】：C99.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效，已经替代DES成为新的据加密标准。其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥长度？A、64bitB、128bitC、192bitD、256bit【正确答案】：A100.以下哪一项不是常见威胁对应的消减措施：A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限【正确答案】：C解析：

消息验证码不能防止抵赖，而是提供消息鉴别、完整性校验和抗重放攻击。101.对信息安全风险评估要素理解正确的是：A、资产识别的粒度随着评估范围、评估目的的不同而不同，可以是硬件设备，也可以是业务系统，也可以是组织机构B、应针对构成信息系统的每个资产做风险评价C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁【正确答案】：A解析：

B错误，应该是抽样评估；C错误，应该其描述的是差距分析；D错误，应该是威胁包括人为威胁和环境威胁。102.信息发送者使用__________进行数字签名。A、己方的私钥B、己方的公钥C、对方的私钥D、对方的公钥【正确答案】：A103.我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：A、2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动B、2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》（中办发27号文），明确了“积极防御、综合防范“的国家信息安全保障方针C、2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段

D.在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展。【正确答案】：C解析：

2006年进入到深化落实阶段。104.某单位在实施信息安全风险评估后，形成了若干文挡，下面()中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容【正确答案】：C解析：

《已有安全措施列表》属于风险要素识别识别，风险要素包括资产、威胁、脆弱性、安全措施。105.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评，关于信息安全产品测评的意义，下列说法中不正确的是（）A、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品、设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D、打破市场垄断，为信息安全产品发展创造一个良好的竞争环境【正确答案】：D解析：

题干中信息安全产品测评的主要目的是安全作用，不是经济作用。106.风险评估工具的使用在一定程度上解决了手动评佑的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用愿理，风险评估工具可以为以下几类，其中错误的是：A、风险评估与管理工具B、系统基础平台风险评估工具C、风险评估辅助工具D、环境风险评估工具【正确答案】：D解析：

通常情况下信息安全风险评估工具不包括经验工具，环境评估工具。107.Alice有一个消息M通过密钥K2生成一个密文E（K2，M）然后用K1生成一个MAC为C（K1，E（K2，M）），Alice将密文和MAC发送给Bob，Bob用密钥K1和密文生成一个MAC并和Alice的MAC比较，假如相同再用K2解密Alice发送的密文，这个过程可以提供什么安全服务？A、仅提供数字签名B、仅提供保密性C、仅提供不可否认性D、保密性和消息完整性【正确答案】：D解析：

实现的安全服务包括保密性、完整性、身份鉴别、抗重放攻击。108.PDCA循环又叫戴明环，是管理学常用的一种模型。关于PDCA四个字母，下面理解错误的是（）A、P是Plan，指分析问题、发现问题、确定方针、目标和活动计划B、D是Do，指实施、具体运作，实现计划中的内容C是Check，指检查、总结执行计划的结果，明确效果，找出问题D、A是Aim，指瞄准问题，抓住安全事件的核心，确定责任【正确答案】：D109.为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。A、GB／T20271-2006《信息系统通用安全技术要求》B、GB／T22240-2008《信息系统安全保护等级定级指南》C、GB／T25070-2010《信息系统等级保护安全设计技术要求》D、GB／T20269-2006《信息系统安全管理要求》【正确答案】：B解析：

答案为B。110.关于我国加强信息安全保障工作的主要原则，以下说法错误的是：A、立足国情，以我为主，坚持技术与管理并重B、正确处理安全和发展的关系，以安全保发展，在发展中求安全C、统筹规划，突出重点，强化基础工作D、全面提高信息安全防护能力，保护公众利益，维护国家安全【正确答案】：D解析：

D描述的是信息安全保障工作目标；ABC描述的是信息安全保障的原则。111.2016年9月，一位安全研究人员在GoogleCloudIP上通过扫描，发现了完整的美国路易斯安邦州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党代名和密码，以防止攻击者利用以上信息进行（）攻击。A、默认口令B、字典C、暴力D、XSS【正确答案】：B112.根据信息安全风险要素之间的关系，下图中空白处应该填写（）A、资产B、安全事件C、脆弱性D、安全措施【正确答案】：C解析：

风险的原理是威胁利用脆弱性，造成对资产的风险。113.私有IP地址是一段保留的IP地址。只适用在局域网中，无法在Internet上使用。私有地址，下面描述正确的是（）。A类和B类地址中没有私有地址，C类地址中可以设置私有地址B、A类地址中没有私有地址，B类和C类地址中可以设置私有地址C、A类、B类和C类地址中都可以设置私有地址D、A类、B类和C类地址中都没有私有地址【正确答案】：C解析：

答案为C。114.下列对于信息安全保障深度防御模型的说法错误的是：A、信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B、信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C、信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D、信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。【正确答案】：D解析：

D的正确描述是从内而外，自上而下，从端到边界的防护能力。115.信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是：A、信息产品安全评估是测评机构的产品的安全性做出的独立评价，增强用户对已评估产品安全的信任B、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型C、信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。D、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，提出游针对性的安全防护策略和整改措施【正确答案】：B解析：

测评包括产品测评、风险评估、保障测评和等级保护测评。116.以下哪项是《国家信息化领导小组关于加强信息安全保障工作的意见》的总体方针和要求？A、坚持积极攻击、综合防范的方针B、全面提高信息安全防护能力C、重点保障电信基础信息网络和重要信息系统安全D、创建安全健康的网络环境，保障和促进工业化发展，保护公众利益，维护国家安全【正确答案】：B117.小李去参加单位组织的信息安全培训后，他把自己对管理信息管理体系ISMS的理解画了一张图，但是他还存在一个空白处未填写，请帮他选择一个合适的选项（）

A、监控和反馈ISMSB、批准和监督ISMSC、监视和评审ISMSD、沟通和咨询ISMS【正确答案】：C118.网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上，针对可能发生的

重大网络与信息系统突发事件，预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合

与协调，下面应急响应工作流程图中，空白方框中从右到左依次填入的是（）。

A、应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组B、应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组C、应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日常运行小组D、应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响应实施小组【正确答案】：A119.ISO9001-2000标准在制定、实施质量管理体系以及改进其有效性时采用过程方法，通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图，图中括号空白处应填写（）

A、策略B、管理者C、组织D、活动【正确答案】：D120.AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ（简称Aｐａｃｈｅ）是一个开放源码的ＷEB服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发，为隐藏这些信息，应当采取以下那种措施（）A、安装后，修改访问控制配置文件B、安装后，修改配置文件Httpd．Conf中的有关参数C、安装后，删除AｐａｃｈｅHｔｔｐＳｅｒｖｅｒ源码【正确答案】：B解析：

答案为B。121.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中，数据封装的顺序是：A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层【正确答案】：B解析：

答案为B。122.从系统工程的角度来处理信息安全问题，以下说法错误的是：A、系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。B、系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。C、系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。D、系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。【正确答案】：D解析：

SSE-CMM是面向工程过程质量控制的一套方法,CC标准面向开发、评估、交付的标准。123.基于TCP的主机在进行一次TCP连接时简要进行三次握手，请求通信的主机A要与另一台主机B建立连接时，A需要先发一个SYN数据包向B主机提出连接请示，B收到后，回复一个ACK/SYN确认请示给A主机，然后A再次回应ACK数据包，确认连接请求。攻击通过伪造带有虚假源地址的SYN包给目标主机，使目标主机发送的ACK/SYN包得不到确认。一般情况下，目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假SYN包同时发送到目标主机时，目标主机上就会有大量的连接请示等待确认，当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受，这种SYNFlood攻击属于（）A、拒绝服务攻击B、分布式拒绝服务攻击C、缓冲区溢出攻击D、SQL注入攻击【正确答案】：A124.按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护，按照要求向

公安机关备案即可，可以不需要上级或主管都门来测评和检查。此类信息系统应属于：A、零级系统B、一级系统C、二级系统D、三级系统【正确答案】：C125.某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要由审核员进行审核后该删除操作才能生效，这种设计是遵循了发下哪个原则A、权限分离原则B、最小的特权原则C、保护最薄弱环节的原则D、纵深防御的原则【正确答案】：A126.在使用系统安全工程-能力成熟度模型（SSE-CCM）对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误的理解是：A、如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时，则这个组织在这个过程区域的能力成熟度未达到此级B、如果该组织某个过程区域（ProcessAreas，PA）具备了“定义标准过程”、“执行已定义的过程”两个公共特征，则此过程区域的能力成熟度级别达到3级“充分定义级”C、如果某个过程区域（ProcessAreas，PA)包含4个基本实施（BasePractices，BP），执行此PA时执行了3个BP，则此过程区域的能力成熟度级别为0D、组织在不同的过程区域的能力成熟度可能处于不同的级别上解释：SSE-CMM充分定义级包括三个特征，为“定义标准过程”、“执行已定义的过程”、“安全协调实施”。B答案中只描述了两个公共特征。【正确答案】：B127.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需

要在资产管理方面安施常规控制，资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标

是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）A、资产清单B、资产责任人C、资产的可接受使用D、分类指南，信息的标记和处理【正确答案】：D128.风险计算原理可以用下面的范式形式化地加以说明：风险值=R（A，T，V)=R(L(T，V)，F(Ia，Va))以下关于上式各项说明错误的是：A、R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性B、L表示威胁利资产脆弱性导致安全事件的可能性C、F表示安全事件发生后造成的损失D、Ia，V