CISP考试认证(习题卷10)

试卷科目：CISP考试认证CISP考试认证(习题卷10)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考试认证第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.风险,在GB/T22081中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IEC13335-1中揭示了风险各要素关系模型,如图所示。请结合此图,怎么才能降低风险对组织产生的影响?()class="fr-ficfr-dibcursor-hover"A)组织应该根据风险建立相应的保护要求,通过构架防护措施降低风险对组织产生的影响B)加强防护措施,降低风险C)减少资产降低风险D)减少威胁和脆弱点,降低风险答案:A解析:通过题干,是针对组织产生的影响,B项不是所有的加强防护措施都可以降低风险,有时候接受风险,转移风险,规避风险都有可能使用;C项不现实,D项威胁来自外部,不可控,很难减少,但可以通过减少脆弱性来减少风险,所以选A。[单选题]2.存储过程是SQL语句的一个集合，在一个名称下储存，按独立单元方式执行，以下哪一项不是使用存储过程的优点：A)提高性能，应用程序不用重复编译此过程B)降低用户查询数量，减轻网络拥塞C)语句执行过程中如果中断，可以进行数据回滚，保证数据的完整性和一致性D)可以控制用户使用存储过程的权限，以增强数据库的安全性答案:B解析:[单选题]3.基于对()的信任，当一个请求成命令来自一个?权威?人士时，这个请求就可能被毫不怀疑的（），在（）中，攻击者伪装成?公安部门?人员，要求受害者转账到所谓?安全账户?就是利用了受害者对权威的信任。在()中，攻击者可能伪装成监管部门、信息系统管理人员等身份，去要求受害者执行操作，例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求（）等。A)权威；执行；电信诈骗；网络攻击；更改密码B)权威；执行；网络攻击；电信诈骗；更改密码C)执行；权威；电信诈骗；网络攻击；更改密码D)执行；权威；网络攻击；电信诈骗；更改密码答案:A解析:[单选题]4.基本的计算机安全需求不包括下列哪一条:A)安全策略和标识B)绝对的保证和持续的保护C)身份鉴别和落实责任D)合理的保证和连续的保护答案:B解析:[单选题]5.以下哪项描述是错误的A)应急响应计划与应急响应这两个方面是相互补充与促进的关系B)应急响应计划为信息安全事件发生后的应急响应提供了指导策略和规程C)应急响应可能发现事前应急响应计划的不足D)应急响应必须完全依照应急响应计划执行答案:D解析:[单选题]6.数字签名应具有的性质不包括：A)能够验证签名者B)能够认证被签名消息C)能够保护被签名的数据机密性D)签名必须能够由第三方验证答案:C解析:[单选题]7.在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突,数据Y和Z在另一个信息兴趣冲突域中,那么可以确定一个新注册的用户()A)只有访问了W之后,才可以访问XB)只有访问了W之后,才可以访问Y和Z中的一个C)无论是否访问W,都只能访问Y和Z中的一个D)无论是否访问W,都不能访问Y或Z答案:C解析:[单选题]8.下列有关隐私权的表述,错误的是()A)网络时代,隐私权的保护受到较大冲击B)虽然网络世界不同于现实世界,但也需要保护个人隐私C)由于网络是虚拟世界,所以在网上不需要保护个人的隐私D)可以借助法律来保护网络隐私权答案:C解析:[单选题]9.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（）A)检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B)检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测C)检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D)检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点答案:D解析:[单选题]10.下列关于ISO15408信息技术安全评估准则（简称CC）通用性的特点，即给出通用的表达方式，描述不正确的是______。A)如果用户、开发者、评估者和认可者都使用CC语言，互相就容易理解沟通B)通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义C)通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要D)通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估答案:D解析:[单选题]11.关于信息安全应急响应管理过程描述不正确的是()。A)应急响应方法和过程并不是唯一的B)一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段,这6个阶段的响应方法一定能确保事件处理的成功C)一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段D)基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低答案:B解析:一定能确保事件处理成功,过于绝对。P152页。[单选题]12.112.SQLServer支持两种身份验证模式，即Windows身份验证模式和混合模式。SQLServer的混合模式是指，当网络用户尝试连接到SQLServer数据库时，（）A)Windows获取用户输入的用户和密码，并提交给SQLServer进行身份验证，并决定用户的数据库访问权限B)SQLServer根据用户输入的用户和密码，提交给Windows进行身份验证，并决定用户的数据库访问权限C)SOLServer根据已在Windows网络中登录的用户的网络安全属性，对用户身份进行验证，井决定用户的数据访问权限D)登录到本地Windows的用户均可无限制访问SQLServer数据库答案:B解析:[单选题]13.15.随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源,下面描述正确的是()A)信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发、部署和使用过程中存在的脆弱性,导致了诸多的信息安全事件发生。因此,杜绝脆弱性的存在是解决信息安全问题的根本所在B)信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者信息系统应用越来越广泛,接触信息系统的人越多,信息系统越可能受攻击。因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C)信息安全问题产生的根源要从内因和外因两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手D)信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此,对人这个因素的防范应是安全工作重点答案:C解析:[单选题]14.某IT公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO，请你指出存在问题的是哪个总结？（）A)公司成立了信息安全应急响应组织，该组织由业务和技术人员组成，划分成应急响应领导小组、技术保障小组、专家小组、实施小组和日常运行小组B)公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类，基本覆盖了各类应急事件类型C)公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段，流程完善可用D)公司应急预案对事件分类依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》，分为7个基本类别，预案符合国家相关标准答案:C解析:?后期运维、更新现有应急预案?不属于应急演练流程里面的内容。[单选题]15.RDP的端口号为（）A)3389B)23C)22D)443答案:A解析:[单选题]16.攻击者通过XSS漏洞获取到QQ用户的cookie后，可以进行一下操作A)控制用户摄像头B)劫持微信用户C)偷取Q币D)进入QQ空间答案:D解析:[单选题]17.网络运营者的主体责任：网络运营者通过网络运营获取利益的同时，应负担网络安全义务；_________。A)谁主管谁负责，谁受益谁负责；B)谁接入谁负责，谁运营谁负责；C)网络运营者应承担全部的安全责任；D)网络运营者和主管部门负有安全责任；答案:B解析:[单选题]18.下面对SSE-CMM说法错误的是？A)它通过域维和能力维共同形成对安全工程能力的评价B)域维定义了工程能力的所有实施活动C)能力维定义了工程能力的判断标注D)?公共特征?是域维中对获得过程区目标的必要步骤的定义81在SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是AA能力级别-公共特征（CF）-通用实践（GP）B能力级别-通用实践-（GP）-公共特征（CF）C通用实践-（GP）-能力级别-公共特征（CF）D公共特征（CF）-能力级别-通用实践-（GP）、答案:D解析:[单选题]19.《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？A)非法侵入计算机信息系统罪B)破坏计算机信息系统罪C)利用计算机实施犯罪D)国家重要信息系统管理者玩忽职守罪答案:D解析:[单选题]20.在设计某公司技术性的恢复策略时,以下哪个方面是安全人员最为关注的?A)目标恢复时间RTOB)业务影响分析C)从严重灾难中恢复的能力D)目标恢复点RPO答案:B解析:[单选题]21.利用FTP进行文件传输时的主要安全问题存在于：A)匿名登录不需要密码B)破坏程序能够在客户端运行C)破坏程序能够在服务器端运行D)登录的用户名和密码会明文传输到服务器端答案:D解析:[单选题]22.微软SDL将软件开发生命周期制分为七个阶段，并列出了十七项重要的安全活动。其中?弃用不安全的函数?属于（）的安全活动A)要求（Requirements）阶段B)设计（Design）阶段C)实施（Implementation）阶段D)验证（Verification）阶段答案:C解析:[单选题]23.恢复时间目标（RecoveryTimeObjective，RTO）和恢复点目标（RecoveryPointObjective，RPO）是业务连续性和灾难恢复工作中的两个重要指标，随着信息系统越来越重要和信息技术越来越先进，这两个指标的数值越来越小。小华准备为其工作的信息系统拟定RTO和RPO指标，则以下描述中，正确的是（）。A)RTO不可以为0，RPO也不可以为0B)RTO可以为0，RPO也可以为0C)RTO可以为0，RPO不可以为0D)RTO不可以为0，RPO可以为0答案:B解析:RPO和RTO两个指标从不用的角度来反映灾难备份和恢复的能力，RTO和RPO都为0是最完美的解决方案，因为在两个值都为0的情况下，意味着系统永不中断服务，而且完全没有数据丢失。P156页。[单选题]24.下面对?零日(zero-day)漏洞?的理解中,正确的是()A)指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B)指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被?震网?病毒所利用,用来攻击伊朗布什尔核电站基础设施C)指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内文完成攻击,且成功达到攻击目标D)指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞答案:D解析:[单选题]25.《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A)规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等B)设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求C)实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证D)运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面标准原文?较全面?答案:B解析:[单选题]26.网盘是非常方便的电子资料存储流转工具。不仅不占用空间，而且在任何电脑上都能访问，下面这些使用网盘的做法中，哪一项会造成个人隐私信息泄露的风险？A)将自己的信息分类，不重要的信息例如游戏文件、视频文件上传到云盘，个人身份证等信息存放在自己的电脑上B)自己的照片等信息加密后再存储到云盘，或者使用云盘的保密文件夹功能C)将所有信息保存在云盘，设置一个复杂的云盘密码，然后将密码信息保存在电脑D.盘的文件夹中D)认真研究云盘的功能，设置云盘的强密码，谨慎使用分享功能答案:C解析:[单选题]27.风险，在GB/T22081中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务、健康和人身安全目标、信息安全目标和环境目标等；目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IEC13335-1中揭示了风险各要素关系模型，如图所示。请结合此图，怎么才能降低风险对组织产生的影响？（）A)组织应该根据风险建立相应的保护要求，通过构架防护措施降低风险对组织产生的影响B)加强防护措施，降低风险C)减少资产降低风险D)减少威胁和脆弱点，降低风险答案:A解析:通过题干，是针对组织产生的影响，选A，B项不是所有的加强防护措施都可以降低风险，有时候接受风险，转移风险，规避风险都有可能使用；C项不现实，威胁来自外部，不可控，很难减少，但可以通过减少脆弱性来减少风险。[单选题]28.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:A)与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B)美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担C)各国普遍重视信息安全事件的应急响应和处理D)在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系答案:B解析:[单选题]29.下面对信息安全漏洞的理解中，错误的是？A)讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞B)信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造成的C)信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很大的经济损失D)由于人类思维能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生信息安全漏洞是不可避免的答案:B解析:[单选题]30.Windows文件系统权限管理访问控制列表(AccessControlList,ACL)机制,以下哪个说法是错误的:A)安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件格式的支持B)由于Windows操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C)Windows的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中D)由于ACL具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限答案:C解析:C项,与客体进行关联,用户的权限写在文件夹和文件的数据库中。[单选题]31.以下有关访问控制的描述不正确的是A)口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理B)系统管理员在给用户分配访问权限时,应该遵循?最小特权原则?,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配C)单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着?把所有鸡蛋放在一个篮子?的风险;D)双因子认证(又称强认证)就是一个系统需要两道密码才能进入;答案:D解析:[单选题]32.以下哪一种人最有可能给公司带来最大的安全风险?A)临时工B)当前员工C)以前员工D)咨询人员答案:B解析:[单选题]33.一般地，IP分配会首先把整个网络根据地域、区域。每个子域从它的上一级区域里获取IP地址段，这种分配方法为什么分配方法（）A)自顶向下B)自下向上C)自左向右D)自右向左答案:A解析:[单选题]34.14.（）把瀑布模型和专家系统结合在一起,在开发的各个阶段上都利用相应的专家系统来帮助软件人员完成开发工作。A)原型模型B)螺旋模型C)基于知识的智能模型D)喷泉模型答案:C解析:[单选题]35.下列不属于WEB安全性测试的范畴的是A)客户端内容安全性B)日志功能C)服务端内容安全性D)数据库内容安全性答案:D解析:[单选题]36.随着?互联网?概念的普及,越来越多的新兴住宅小区引入了?智能楼宇?的理念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。A)接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。B)核心层、汇聚层的设备和重要的接入层设备均应双机设备。C)规划网络IP地址,制定网络IP地址分配策略D)保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需求答案:A解析:?防止网络主线路出现故障?,所以应做线路备份。[单选题]37.哪种安全模型不能防止木马程序？A)信息流模型B)自主访问控制模型C)基于角色模型D)强制访问控制模型答案:B解析:[单选题]38.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?A)软件在Linux下按照时,设定运行时使用nobody用户运行实例B)软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库C)软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限D)为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误答案:D解析:SYSTEM权限是最大权限,违反了最小特权的原则。[单选题]39.92.基于对()的信任，当一个请求成命令来自一个?权威?人士时，这个请求就可能被毫不怀疑的（），在（）中，攻击者伪装成?公安部门?人员，要求受害者转账到所谓?安全账户?就是利用了受害者对权威的信任。在()中，攻击者可能伪装成监管部门、信息系统管理人员等身份，去要求受害者执行操作，例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求（）等。A)A权威；执行；电信诈骗；网络攻击；更改密码B)B权威；执行；网络攻击；电信诈骗；更改密码C)C执行；权威；电信诈骗；网络攻击；更改密码D)D执行；权威；网络攻击；电信诈骗；更改密码答案:A解析:[单选题]40.（）第二十三条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护。（）应当按照国家保密标准配备保密设施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行《三同步》。涉密信息系统应当按照规定，经（）后，方可投入使用。A)《保密法》；涉密程度；涉密信息系统；保密设施；检查合格B)《国家保密法》；涉密程度；涉密系统；保密设施；检查合格C)《网络保密法》；涉密程度：涉密系统：保密设施：检查合格D)《安全保密法》；涉密程度，涉密信息系统；保密设施；检查合格答案:A解析:[单选题]41.以下哪些问、或概念不是公钥密码体制中经常使用到的困难问、?（）A)大整数分解B)离散对数问、C)背包问、D)伪随机数发生器答案:D解析:[单选题]42.ISMS指的是什么?A)信息安全管理B)信息系统管理体系C)信息系统管理安全D)信息安全管理体系答案:D解析:[单选题]43.系统安全工程-能力成熟度模型（SystemsSecurityEngineering-Capabilitymaturitymodel，SSE-CMM）定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是：A)风险过程B)工程过程C)保证过程D)评估过程答案:A解析:[单选题]44.在局域网环境中，以下那一项技术主要是用来提供网络冗A)网络镜像B)RAID5C)HSRPD)全双工通信答案:A解析:[单选题]45.安全漏洞扫描技术是一类重要的网络安全技术。当前,网络安全漏洞扫描技术的两大核心技术是()。A)PING扫描技术和端口扫描技术B)端口扫描技术和漏洞扫描技术C)操作系统探测和漏洞扫描技术D)PING扫描技术和操作系统探测答案:B解析:概念题[单选题]46.虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备多项条件，以下哪条不属于构造的必备条件A)保证数据的真实性B)保证数据的完整性C)保证通道的机密性D)提供网络信息数据的纠错功能和冗余处理答案:A解析:[单选题]47.计算机信息系统发生安全事故和案件，应当______在内报告当地公安机关公共信息网络安全监察部门A)8小时B)48小时C)36小时D)24小时答案:A解析:[单选题]48.-般常见的Windows操作系统与Linux系统的管理员密码最大长度分别为____和____。A)A12-8B)B14-10C)C12-10D)D14-8答案:D解析:[单选题]49.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是()A)主体、访问控制决策、客体、访问控制实施B)主体、访问控制实施、客体、访问控制决策C)客体、访问控制决策、主体、访问控制实施D)客体、访问控制实施、主体、访问控制决策答案:B解析:[单选题]50.下列哪一项是首席安全官的正常职责?A)定期审查和评价安全策略B)执行用户应用系统和软件测试与评价C)授予或废除用户对IT资源的访问权限D)批准对数据和应用系统的访问权限答案:B解析:[单选题]51.网页防篡改是对WEB页面文件进行完整性保护的技术措施,可以用于WEB服务器,可以用于中间件服务器其采用WEB服务器底层文件过滤驱动级保护技术,与操作系统紧密结合,所检测的文件类型不限,可以是一个HTML文件也可以是一段运态代码,执行准确率高。下列对于网页防篡改产品的技术原理描述错误的是A)载波监听多跑访问技术B)摘要循环技术C)事件触发技术D)底层过滤技术答案:A解析:[单选题]52.银行柜员的访问控制策略实施以下的哪一种?A)基于角色的策略。B)基于身份的策略。C)基于用户的策略。D)基于规则政策。答案:A解析:[单选题]53.安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域，下面哪项描述是错误的A)安全域划分主要以业务需求、功能需求和安全需求为依据，和网络、设备的物理部署位置无关B)安全域划分能把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题C)以安全域为基础，可以确定该区域的信息系统安全保护等级和防护手段，从而使同一安全域内的资产实施统一的保护D)安全域边界是安全事件发生时的抑制点，以安全域为基础，可以对网络和系统进行安全检查和评估，因此安全域划分和保护也是网络防攻击的有效防护方式答案:A解析:[单选题]54.构成风险的关键因素有哪些?A)人,财,物B)技术,管理和操作C)资产,威胁和弱点D)资产,可能性和严重性答案:C解析:[单选题]55.组织允许外部通过互联网访问组织的局域网之前,首先要考虑实施以下哪项措施?A)保护调制解调器池。B)考虑适当的身份验证方式。C)为用户提供账户使用信息。D)实施工作站锁定机制。答案:B解析:[单选题]56.Nmap工具不可以执行下列哪种方式扫描A)目录遍历扫描B)TCPSYN扫描C)TCPconnect扫描D)UDPport扫描答案:A解析:[单选题]57.对磁介质的最有效好销毁方法是?A)格式化B)物理破坏C)消磁D)删除答案:B解析:[单选题]58.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:A)项目计划书B)质量控制计划C)评审报告D)需求说明书答案:D解析:ABC其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。[单选题]59.有关数据的使用,错误的是?A)告诉用户需要收集什么数据及搜集到的数据会如何被使用B)当用户的数据由于某种原因要被使用时,给客户选择是否允许C)用户提交的用户名和密码属于隐私数据,其他都不是D)确保数据的使用符合国家、地方、行业的相关法律法规答案:C解析:[单选题]60.在信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是错误的()A)背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性(B)B)背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单C)前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告D)背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告答案:B解析:[单选题]61.微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,此项错误的是()A)某用户在登录系统并下载数据后,却声称?我没有下载过数据"软件R威胁B)某用户在网络通信中传输完数据后,却声称?这些数据不是我传输的?威胁也属于R威胁。C)对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术D)对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术答案:D解析:[单选题]62.网络服务包括()、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统。这些服务既包括简单的未受控的带宽也包括复杂的()。组织宜识别特殊服务的安全安排,例如()、服务级别和管理要求。网络服务提供商以安全方式管理商定服务的能力宜予以确定并(),还宜商定()。组织宜确保网络服务提供商实施了这些措施。A)接入服务;定期监视;增值的提供;安全特性;审核的权利B)接入服务;安全特性;增值的提供;定期监视:审核的权利C)增值的提供;接入服务;安全特性:定期监视:审核的权利D)接入服务;增值的提供;安全特性;定期监视;审核的权利答案:D解析:[单选题]63.在课堂上,四名同学分别对WEP\IEEB802.11i与WAPI三个安全协议在鉴别与加密方面哪一个做的更好做出了回答,请问哪一个同学回答的更准确()A)WEP更好,因为其使用开放式系统鉴别或共享密钥鉴别B)IEE.802.11i更好,因为支持各种鉴别方式C)WAPI更好,因为采用公钥数字证书作为身份凭证:无线用户与无线接入点地位对等,实现无线接入点的接入控制;客户端支持多证书,方便用户多处使用D)都一样答案:C解析:[单选题]64.下面哪个是管理业务连续性计划中最重要的方面?A)备份站点安全以及距离主站点的距离。B)定期测试恢复计划C)完全测试过的备份硬件在备份站点可有D)多个网络服务的网络连接是可用答案:B解析:[单选题]65.下列哪一个是我国政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则?()A)《关于加强政府信息系统安全和保密管理工作的通知》B)《政府信息系统安全和保密管理工作的通知》C)《国家信息化领导小组关于加强信息安全保障工作的意见》D)《关于开展信息安全风险评估工作的意见》答案:C解析:《国家信息化领导小组关于加强信息安全保障工作的意见》是我国政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则。[单选题]66.存储过程是SQL语句的一个集合，在一个名称下存储，按独立单元方式执行。以下哪一项不是使用存储过程的优点：A)提高性能，应用程序不用重复编译此过程B)降低用户查询数量，减轻网络拥塞C)语句执行过程中如果中断，可以进行数据回滚，保证数据的完整性和一致性D)可以控制用户使用存储过程的权限，以增强数据库的安全性答案:B解析:[单选题]67.数字证书不包含？()A)证书的有效期B)CA签发证书时所使用的签名算法C)颁发机构的名称D)证书持有者的私有密钥信息答案:D解析:[单选题]68.为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A)完整性约束条件B)完整性检查机制C)完整性修复机制D)违约处理机制答案:D解析:[单选题]69.2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件？A)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）B)《国家网络安全综合计划（CNCI）》（国令[2008]54号）C)《国家信息安全战略报告》（国信[2005]2号）D)《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）答案:B解析:[单选题]70.下列()不属于口令入侵所使用的方法。A)暴力破解B)登录界面攻击法C)漏洞扫描D)网络监听答案:C解析:[单选题]71.以下哪些是需要在信息安全策略中进行描述的:A)组织信息系统安全架构B)信息安全工作的基本原则C)组织信息安全技术参数D)组织信息安全实施手段答案:B解析:[单选题]72.TCP/IP协议的4层概念模型是?A)应用层、传输层、网络层和网络接口层B)应用层、传输层、网络层和物理层C)应用层、数据链路层、网络层和网络接口层D)会话层、数据链路层、网络层和网络接口层答案:A解析:[单选题]73.注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A)通信安全B)计算机安全C)信息安全D)信息安全保障答案:D解析:[单选题]74.职责分离的主要目的是?A)防止一个人从头到尾整个控制某一交易或者活动B)不同部门的雇员不可以在一起工作C)对于所有的资源都必须有保护措施D)对于所有的设备都必须有操作控制措施答案:A解析:[单选题]75.某IT公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的CSO,请你指出存在问题的是哪个总结?()A)公司成立了信息安全应急响应组织,该组织由业务和技术人员组成,划分成应急响应领导小组、技术保障小组、专家小组、实施小组和日常运行小组B)公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类,基本覆盖了各类应急事件类型C)公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段,流程完善可用D)公司应急预案对事件分类依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》,分为7个基本类别,预案符合国家相关标准答案:C解析:?后期运维、更新现有应急预案?不属于应急演练流程里面的内容。[单选题]76.在TCP中的六个控制位哪一个是用来请求同步的A)SYNB)ACKC)FIND)RST答案:A解析:[单选题]77.TCP/IP协议就Internet最基本的协议,也是Internet构成的基础,TCP/IP通常被认为就是一个N层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里N应等于()A)4B)5C)6D)7答案:A解析:OSI7层和TCP/IP四层[单选题]78.下列关于密码安全的描述，不正确的是（）A)容易被记住的密码不一定不安全B)超过12位的密码很安全C)密码定期更换D)密码中使用的字符种类越多越不易被猜中答案:B解析:[单选题]79.34.国家科学技术秘密的密级分为绝密级、机密级、密级，以下哪块属于绝密级的描述?A)处于国际先进水平、并且有军事用途或者对经济建设具有重要影响的B)能够局部及应国家防治和治安实力的C)我国独有、不要自己条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺D)国际领先、并且对国防建设或者经济建设具有特别重大影响的答案:D解析:[单选题]80.什么是系统变更控制中最重要的内容?A)所有的变更都必须文字化,并被批准B)变更应通过自动化工具来实施C)应维护系统的备份D)通过测试和批准来确保质量答案:A解析:[单选题]81.某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是()。A)模拟正常用户输入行为,生成大量数据包作为测试用例B)深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析C)监测和记录输入数据后程序正常运行的情况D)数据处理点、数据通道的入口点和可信边界点往往不是测试对象答案:B解析:A选项应为模拟异常用户输入行为;C监测和记录由输入导致的任何崩溃或异常现象;D数据处理点、数据通道的入口点和可信边界点是测试对象.[单选题]82.16.管理，是指(）组织并利用其各个要素(人、财、物、信息和时空)，借助()，完成该组织目标的过程。其中，（）就像其他重要业务资产和()一样，也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和()当中。A)管理手段；管理主体；信息管理要素；脆弱性B)管理主体；管理手段；信息管理要素；脆弱性C)管理主体；信息；管理手段；管理要素；脆弱性D)管理主体；管理要素；管理手段；信息；脆弱性答案:B解析:[单选题]83.一个密码系统至少由明文、密文、加密算法、解密算法和秘钥9部分组成，其安全性是由下列那个选项决定的A)加密算法B)解密算法C)加密和解密算法D)密钥答案:D解析:[单选题]84.P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?A)实时监控技术。B)访问控制技术。C)信息加密技术。D)身份认证技术。答案:A解析:[单选题]85.COBIT(信息和相关技术的控制目标)是国际专业协会ISACA为信息技术(IT)管理和IT治理创建的良好实践框架。COBIT提供了一套可实施的?信息技术控制?并围绕IT相关流程和推动因素的逻辑框架进行组织。COBIT模型如图所示,按照流程,请问,COBIT组件包括()、()、()、()、()、等部分。A)流程描述、框架、控制目标、管理指南、成熟度模型B)框架、流程描述、管理目标、控制目标、成熟度模型C)框架、流程描述、控制目标、管理指南、成熟度模型D)框架、管理指南、流程描述、控制目标、成熟度模型答案:C解析:[单选题]86.对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是()。A)特别重要信息系统B)重要信息系统C)关键信息系统D)一般信息系统答案:C解析:信息系统重要程度划分为特别重要信息系统、重要信息系统和一般信息系统三级。P146页。[单选题]87.在某个信息系统实施案例中，A单位（甲方）允许B公司（乙方）在甲方的测试中开发和部署业务系统，同时为防范风险，A单位在和B公司签订合同中，制定有关条款，明确了如果由于B公司操作原因引起的设备损坏，则B公司需按价赔偿。可以看出，该赔偿条款应用了风险管理中（）的风险处置措施。A)降低风险B)规避风险C)转移风