2024年CISP认证备考试题库汇总（含答案）

PAGEPAGE12024年CISP认证备考试题库汇总（含答案）一、单选题1.数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中,数据封装的顺序是:A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层答案：B解析：答案为B。2.为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,

公安部等4部分联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等,关于该文件,下面理解正确的是A、该文件时一个由部委发布的政策性文件,不属于法律文件B、该文件适用于2004年的等级保护工作,其内容不能越苏到2005年及之后的工作C、该文件时一个总体性知道文件,规定了所有信息系统都要纳入等级保护定级范围D、该文件使用范围为发文的这四个部门,不适用于其他部门和企业等单位答案：A解析：答案为A。3.关于秘钥管理,下列说法错误的是:A、科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性B、保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全C、秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每

一个环节D、在网络通信中。通信双方可利用Diffie-He11man协议协商出会话秘钥答案：B4.C.C.标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现C.C.标准

的先进性:A、结构的开放性B、表达方式的通用性C、独立性D、实用性答案：C5.系统安全工程能力成熟度模型评估方法(SSAM,SSE-C.MMAppraisalMethoD.)是专门基于SSE-C.MM的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的()。SSAM评估过程分为四个阶段,()、()、()、()。A、信息和方向;系统安全工程;规划;准备;现场;报告B、信息和方向;系统工程;规划;准备;现场;报告C、系统安全工程;信息;规划;准备;现场;报告D、系统安全工程;信息和方向;规划;准备;现场;报告答案：D6.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开

招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,

各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提

交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:A、项目计划书B、质量控制计划C、评审报告D、需求说明书答案：D解析：ABC其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。7.如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob,Bob再用自己的私钥

解密,恢复出明文以下说法正确的是:

A、此密码体制为对称密码体制B、此密码体制为私钥密码体制C、此密码体制为单钥密码体制D、此密码体制为公钥密码体制答案：D8.风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使

用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。

A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B9.某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年内实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理:招标文件经营管理层审批后发布,就此工程项目而言,以下正确的是:A、此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性B、在工程安全监理的参与下,确保了此招标文件的合理性C、工程规划不符合信息安全工程的基本原则D、招标文件经营管理层审批,表明工程目标符合业务发展规划答案：C解析：本题目描述不符合信息安全工程的“同步规划、同步实施”的基本原则。10.从SAB.SA的发展过程,可以看出整个SAB.SA在安全架构中的生命周期(如下图所示),在此SAB.SA生命周期中,前两个阶段的过程被归类为所谓的(),其次是(),它包含了建筑设计中的()、物理设计、组件设计和服务管理设计,再者就是(),紧随其后的则是()A、设计;战略与规划;逻辑设计;实施;管理与衡量B、战略与规划;逻辑设计;设计;实施;管理与衡量C、战略与规划;实施;设计;逻辑设计;管理与衡量D、战略与规划;设计;逻辑设计;实施;管理与衡量答案：D11.关于风险要素识别阶段工作内容叙述错误的是:A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台答案：D解析：安全措施既包括技术层面,也包括管理层面。12.自主访问控制模型(DAC)的访问控制关系可以用访问控制(ACL)来表示,该ACL利用在

客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存

储相关数据。下面选项中说法正确的是()A、ACL是Bell-LaPadula模型的一种具体实现B、ACL在删除用户时,去除该用户所有的访问权限比较方便C、ACL对于统计某个主体能访问哪些客体比较方便D、ACL在增加客体时,增加相关的访问控制权限较为简单答案：D13.关于信息安全管理体系的作用,下面理解错误的是A、对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有据可查B、对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方法收入来弥补投入C、对外而言,有助于使各科室相关方对组织充满信心D、对外而言,规范工作流程要求,帮助界定双方各自信息安全责任答案：B14.以下哪一项不是信息安全管理工作必须遵循的原则?A、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之

中B、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续

性工作C、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对

较低D、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力答案：C解析：安全措施投入应越早则成本越低,C答案则成本会上升。15.小明是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的背景建立的几本概念与认识,小明的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信

息安全分析(4.)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告、请问小明的论点中错误的是哪项:A、第一个观点B、第二个观点C、第三个观点D、第四个观点答案：B解析：背景建立是根据政策、法律、标准、业务、系统、组织等现状来开展。16.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适

的选项()。A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B解析：风险要素包括资产、威胁、脆弱性、安全措施。17.在GB/T18336《信息技术安全性评估准则》(CC标准)中,有关保护轮

廓(ProtectionProfile,PP)和安全目标(SecurityTarget,ST),错误的是:A、PP是描述一类产品或系统的安全要求B、PP描述的安全要求与具体实现无关C、两份不同的ST不可能满足同一份PP的要求D、ST与具体的实现有关C答案：C解析：PP代表的安全需求,ST代表的是安全方案,多个ST可以满足同一个PP。法规政策与标准18.以下哪个是恶意代码采用的隐藏技术:A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是答案：D19.火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系统,保护信息化相关人员和信息系统,将火灾导致的影响降

低到可接受的程度。下列选项中,对火灾的预防、检测和抑制的措施描述错误的选项是()。A、将机房单独设置防火区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃

烧材料,进出机房区域的门采用防火门或防火卷帘,机房通风管设防火栓B、火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检

测及多种检测复合等C、自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探

测器报警,就立即启动灭火工作D、前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等答案：C20.某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据

包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5

个字节不能传送到对方,关于此案例,可以推断的是()A、该网站软件存在保密性方面安全问题B、该网站软件存在完整性方面安全问题C、该网站软件存在可用性方面安全问题D、该网站软件存在不可否认性方面安全问题答案：B21.关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是()A、WPA是有线局域安全协议,而WPA2是无线局域网协议B、WPA是适用于中国的无线局域安全协议,WPA2是使用于全世界的无线局域网协议C、WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证D、WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制定的答案：D解析：答案为D。22.ISO27002(Informationtechnology-Securitytechniques0Codeofpraticefor

Inforeationsecuritymanagcacnt)是重要的信息安全管理标准之一,下图是关于其演

进变化示意图,图中括号空白处应填写()

A、BS7799.1.3B、ISO17799C、AS/NZS4630D、NISTSP800-37

16/36答案：B23.信息安全管理体系(InformationSecurityManagementSystem,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是A、内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件时被审对象答案：C解析：管理评审的实施主体由用户的管理者来进行选择。24.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:A、确保采购定制的设备、软件和其他系统组件满足已定义的安全要求B、确保整个系统已按照领导要求进行了部署和配置C、确保系统使用人员已具备使用系统安全功能和安全特性的能力D、确保信息系统的使用已得到授权答案：B25.设计信息系统安全保障方案时,以下哪个做法是错误的:A、要充分切合信息安全需求并且实际可行B、要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本C、要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求D、要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍答案：C26.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个

主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性较高的系统。强

制访问控制模型有多种类型,如BLP、Biba、Clark-Willson和ChineseWall等。小李自学

了BLP模型,并对该模型的特点进行了总结。以下4钟对BLP模型的描述中,正确的是():A、BLP模型用于保证系统信息的机密性,规则是“向上读,向下写”B、BLP模型用于保证系统信息的机密性,规则是“向下读,向上写”C、BLP模型用于保证系统信息的完整性,规则是“向上读,向下写”D、BLP模型用于保证系统信息的完整性,规则是“向下读,向上写”答案：B27.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以

下关于安全保障建设主要工作内容说法不正确的是:A、建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障B、建设信息安全基础设施,提供国家信息安全保障能力支撑C、建立信息安全技术体系,实现国家信息化发展的自主创新D、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养答案：C解析：实现自主创新在过去的的保障中为自主可控。28.某公司正在进行IT系统灾难恢复测试,下列问题中哪个最应该引起关注()A、由于有限的测试时间窗,仅仅测试了最必的系统,其他系统在今年的剩余时间里陆续独测试B、在测试的过程中,有些备份系统有缺陷或者不能正常工作,从面导致这些系统的测试失败C、在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D、每年都是同相同的员工执行此测试由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难殴打推荐计划

(DRP)文档答案：B29.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认

识到信息安全风险评估分为自评估和检查评估两种形式,该部门将有检查评

估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是A、检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测C、检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点答案：B解析：检查评估可以由上级单位发起,本级单位发起叫做自评估。30.PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其

中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤

规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等()A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B解析：拒绝来自发起攻击的嫌疑主机流量等做法属于遏制阶段的工作。31.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点

的服务器的运行速度缓慢,为了找到根本愿因,他应该首先检查:A、灾难恢复站点的错误事件报告B、灾难恢复测试计划C、灾难恢复计划(DRP)D、主站点和灾难恢复站点的配置文件答案：A32.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与

IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特点?A、串接到网络线路中B、对异常的进出流量可以直接进行阻断C、有可能造成单点故障D、不会影响网络性能答案：D解析：IPS在串联情况下,会影响网络性能。33.恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中的重要概念,关于这两个值能否为零,正确的选项是()A、RTO可以为0,RPO也可以为0B、RTO可以为0,RPO不可以为0C、RTO不可以为0,但RPO可以为0D、RTO不可以为0,RPO也不可以为0答案：A解析：RTO恢复的速度和效率,也是系统中断的时间。RPO恢复到历史时间的阶段,系统数据的损失量。34.信息安全风险等级的最终因素是:A、威胁和脆弱性B、影响和可能性C、资产重要性D、以上都不对答案：B35.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:A、设置网络连接时限B、记录并分析系统错误日志C、记录并分析用户和管理员操作日志D、启用时钟同步答案：A解析：A属于防护措施;BCD属于检测措施,可以用来检测未经授权的信息处理活动。36.当前,应用软件安全已经日益引起人们的重视,每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中,哪个与应用软件漏洞成因无关:A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言,应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多,软件越来越复杂,更容易出现漏洞答案：C论高级和低级语言都存在漏洞。37.业务系统运行中异常错误处理合理的方法是:A、让系统自己处理异常B、调试方便,应该让更多的错误更详细的显示出来C、捕获错误,并抛出前台显示

12/26D、捕获错误,只显示简单的提示信息,或不显示任何信息答案：D解析：D为正确的处理方法。38.关于监理过程中成本控制,下列说法中正确的是?A、成本只要不超过预计的收益即可B、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成C、成本应控制得越低越好D、成本控制由承建单位实现,监理单位只能记录实际开销答案：D解析：D为正确答案。39.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我

国信息安全实践工作,下面说法错误的是()A、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大

批信息安全技术,管理等方面的标准。B、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展C、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性D、实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善

了有关标准,培养和锻炼了人才队伍答案：B解析：工业和信息化部牵头成立“国家网络应急中心”。40.2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化

法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签

名说法错误的是:A、电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明

签名人认可其中内容的数据B、电子签名适用于民事活动中的合同或者其他文件、单证等文书C、电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务D、电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有答案：D解析：电子签名不可以与认证服务提供者共有。41.下面有关软件安全问题的描述中,哪项应是由于软件设计缺陷引起的()A、设计了三层WEB架构,但是软件存在SQL注入漏洞,导致被黑客攻击后直接访问数据库B、使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出

漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻

击获取到用户隐私数据D、使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客

攻击后能破解并得到明文数据答案：C42.下面哪项属于软件开发安全方面的问题()A、软件部署时所需选用服务性能不高,导致软件执行效率低。B、应用软件来考虑多线程技术,在对用户服务时按序排队提供服务C、应用软件存在SQL注入漏洞,若被黑客利用能窃取数据库所用数据D、软件受许可证(license)限制,不能在多台电脑上安装。答案：C43.组织建立业务连续性计划(BCP)的作用包括:A、在遭遇灾难事件时,能够最大限度地保护组织数据的实时性,完整性和一致性;B、提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用

和数据;C、保证发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业

务系统的不间断运行,降低损失;D、以上都是。答案：D44.关于信息安全管理,说法错误的是:A、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运

作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。B、信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信

息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多

方面非技术性的努力。C、实现信息安全,技术和产品是基础,管理是关键。D、信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程。答案：D45.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运

行速度缓慢,为了找到根本愿因,他应该首先检查:A、灾难恢复站点的错误事件报告B、灾难恢复测试计划

16/23

保密注册信息安全专业人员考试模拟考试试卷C、灾难恢复计划(DRP)D、主站点和灾难恢复站点的配置文件答案：A解析：答案为A。46.下图是安全测试人员连接某远程主机时的操作界面,请您仔细分析该图,下面分析推理正

确的是()

A、安全测试人员链接了远程服务器的220端口B、安全测试人员的本地操作系统是LinuxC、远程服务器开启了FTP服务,使用的服务器软件名FTPServerD、远程服务器的操作系统是windows系统答案：D47.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核

的内容:A、审核实施投资计划B、审核实施进度计划C、审核工程实施人员D、企业资质答案：A48.在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?A、粒度越小B、约束越细致C、范围越大D、约束范围大答案：A49.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期

的讨论,在下面的发言观点中,正确的是()A、软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以

解决90%以上的安全问题。B、应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发

布以后进行漏洞修复所花的代价少得多。C、和传统的软件开发阶段相比,微软提出的安全开发生命周期(SDL)最大特点是增加

了一个专门的安全编码阶段。D、软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进

行了安全性测试,就没有必要再组织第三方进行安全性测试。答案：B解析：答案为B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL最大的特点是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。50.某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)后,绘制了一张简化的信息系统安全保障模型图,如下所示。请为图中括

号空白处选择合适的选项()

A、安全保障(方针和组织)B、安全防护(技术和管理)C、深度防御(策略、防护、检测、响应)D、保障要素(管理、工程、技术、人员)答案：D51.小李去参加单位组织的信息安全培训后,他把自己对管理信息管理体系ISMS的理解画了

一张图,但是他还存在一个空白处未填写,请帮他选择一个合适的选项()

A、监控和反馈ISMSB、批准和监督ISMSC、监视和评审ISMSD、沟通和咨询ISMS答案：C52.关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是()A、WPA是有线局域安全协议,而WPA2是无线局域网协议B、WPA是适用于中国的无线局域安全协议,而WPA2是使用于全世界的无线

局域网协议C、WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证D、WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制

定的答案：D53.小王学习了灾难备份的相关知识,了解到常用的数据备份方式包括完全备份、增量备份、差量备份,为了巩固所学知识,小王对这种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序是()A、完全备份、增量备份、差量备份B、完全备份、差量备份、增量备份C、增量备份、差量备份、完全备份D、差量备份、增量备份、完全备份答案：B解析：完全备份是指备份全部选中的文件夹,并不依赖文件的存档属性来确定备份哪些文件;增量备份是针对于上一次备份(无论是哪种备份),备份上一次备份后,所有发生变化的文件;差异备份是针对完全备份,备份上一次的完全备份后发生变化的所有文件。三种备份方式在数据恢复速度方面由快到慢的顺序为完全备份、差异备份、增量备份。https://wenku.baidu./view/37c280655bcfa1c7aa00b52acfc789eb172d9ef6.html,百度文库中。54.某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的

代码,但是在部署时由于管理员将备份存放在WEB目录下导致了攻击者可直接下载备

份,为了发现系统中是否存在其他类拟问题,一下那种测试方式是最佳的测试方法。A、模糊测试B、源代码测试C、渗透测试D、软件功能测试答案：C55.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安

全技术,它与IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特

点?A、串接到网络线路中B、对异常的进出流量可以直接进行阻断C、有可能造成单点故障D、不会影响网络性能答案：D56.在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价

值的评估,以下选项中正确的是()A、资产的价值指采购费用B、资产的价值指维护费用C、资产的价值与其重要性密切相关D、资产的价值无法估计答案：C解析：答案为C。57.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?A、加密B、数字签名C、访问控制D、路由控制答案：B解析：数字签名可以提供抗抵赖、鉴别和完整性。58.恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中的重要概念,关于这两

个值能否为零,正确的选项是()A、RTO可以为0,RPO也可以为0B、RTO可以为0,RPO不可以为0C、RTO不可以为0,但RPO可以为0D、RTO不可以为0,RPO也不可以为0答案：A59.物理安全是一个非常关键的领域包括环境安全、设施安全与传输安全。其中,信息系统的设施作为直存储、处理数据的载体,其安全性对信息系统至关重要。下列选项中,对设施安全的保障的描述正确的是()。A、安全区域不仅包含物理区域,还包含信息系统等软件区域B、建立安全区域需要建立安全屏蔽及访问控制机制C、由于传统门锁容易被破解,因此禁止采用门锁的方式进行边界防护D、闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备后端设备包括中央控制设备、监视器等答案：B解析：B描述了物理安全措施。60.关于信息安全管理,下面理解片面的是()A、信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要

保障B、信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的C、在信息安全建设中,技术是基础,管理是拔高,有效的管理依赖于良好的技术基础D、坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一答案：C61.以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全()A、信息安全管理体系(ISMS)B、信息安全等级保护C、NISTSP800D、ISO270000系统答案：B解析：信息安全等级保护制度重点保障基础信息网络和重要信息系统的安全。62.我国信息安全保障工作先后经历启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各阶段说法不正确的是:A、2001国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动B、2003年7月,国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发27号文),明确了“积极防御、综合防范“的国家信息安全保障方针C、2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段D、在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息安全等级保护和风险评估取得了新进展。答案：C解析：2006年进入到深化落实阶段。63.以下哪一项不是我国信息安全保障的原则:A、立足国情,以我为主,坚持以技术为主B、正确处理安全与发展的关系,以安全保发展,在发展中求安全C、统筹规划,突出重点,强化基础性工作D、明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家

信息安全保障体系答案：A解析：坚持技术和管理并重。信息64.美国的关键信息基础设施(CriticalInformationInfrastructure,CII)包括

商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医

疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基

础设施信息安全,其主要原因不包括:A、这些行业都关系到国计民生,对经济运行和国家安全影响深远B、这些行业都是信息化应用广泛的领域C、这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出D、这些行业发生信息安全事件,会造成广泛而严重的损失。答案：C65.在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?A、C2B、C1C、B2D、B1答案：D解析：DC1C2B1B2B3A级别。66.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。

以下关于数据库常用的安全策略理解不正确的是:A、最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作B、最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息C、粒度最小的策略,将数据库中数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度D、按内容存取控制策略,不同权限的用户访问数据库的不同部分答案：B解析：数据库安全策略应为最小共享。67.Hadoop是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前,Hadoop并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到Hadoop集群上,恶意的提交作业篡改分布式存储的数据伪装成NameNo安康头发TaskTracker接受任务等。在Hadoop2.0中引入Kerberos机制来解决用户到服务器认证问题,Kerberos认证过程不包括()A、获得票据许可票据B、获得服务许可票据C、获得密钥分配中心的管理权限D、获得服务答案：C68.小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机

房的总价值为200万元人民币,暴露系数(ExposureFactor,EF)是25%,年度发生率

(AnnualizedRateofOccurrence,ARO)为0.1,那么小王计算的年度预期损失(Annualized

LossExpectancy,ALE)应该是()。A、5万元人民币B、50万元人民币C、2.5万元人民币D、25万元人民币答案：A解析：计算方法为200万*25%*0.1=5万。10/2669.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以

下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?A、软件在Linux下按照时,设定运行时使用nobody用户运行实例B、软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据

库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用

户账号连接数据库,该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运

行正常,不会因为权限不足产生运行错误答案：D70.关于信息安全管理,说法错误的是:A、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的

持续)而进行的计划、组织、指挥、协调和控制的一系列活动。B、信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全

角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术

性的努力。C、实现信息安全,技术和产品是基础,管理是关键。D、信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程。答案：D解析：信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个动态过程。71.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少

的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其

中哪项设置不利于提高运行环境安全?A、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全

漏洞B、为了方便进行数据备份,安装Windows操作系统时只使用一个分区

C,所有数据和

操作系统都存放在C盘C、操作系统上部署防病毒软件,以对抗病毒的威胁D、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能答案：B解析：操作系统和应用安全装应分开不同磁盘部署。72.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:A、信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查

评估相互结合、互为补充B、信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的

原则开展C、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导答案：A解析：信息安全风险评估应以自评估(自查)为主。73.关于linux下的用户和组,以下描述不正确的是。A、在linux中,每一个文件和程序都归属于一个特定的“用户”B、系统中的每一个用户都必须至少属于一个用户组C、用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属

于多个组D、root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限答案：C74.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一

个最合适的选项()。A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性答案：B75.下列关于软件安全开发中的BSI(BuildSecurityIn)系列模型说法错误的是()A、BIS含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发

生命周期之外B、软件安全的三根支柱是风险管理、软件安全触点和安全测试C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角

度保障安全的行为方式

3/36D、BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期

中都要确保将安全作为软件的一个有机组成部分答案：B76.关于信息安全事件管理和应急响应,以下说法错误的是:A、应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备,以

及在事件发生后所采取的措施B、应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告

和跟踪6个阶段C、对信息安全事件的分级主要参考信息系统的重要过程、系统损失和社会影响三方面因素。D、根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别,

特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV

级)答案：B解析：包括六个阶段准备、检测、遏制、根除、恢复、跟踪总结。77.2005年,RFC4301(Requestforments4301:SecurityArchitecturefortheIntermetProtocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RFC系列标准建设是由哪个组织发布的()A、国际标准化组织B、国际电工委员会C、国际电信联盟远程通信标准化组织D、Internet工程任务组答案：D解析：D为正确答案。78.以下关于信息安全法治建设的意义,说法错误的是:A、信息安全法律环境是信息安全保障体系中的必要环节B、明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全

犯罪活动C、信息安全主要是技术问题,技术漏洞是信息犯罪的根源D、信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系答案：C79.风险管理的监控与审查不包含:A、过程质量管理B、成本效益管理C、跟踪系统自身或所处环境的变化D、协调内外部组织机构风险管理活动答案：D解析：监控和审查不包括协调沟通工作。风险管理包括背景建立、风险评估、风险处理、批准监督等四个过程,以及监控审查和沟通咨询等两个贯穿。法规政策与标准80.与浏览器兼容性测试不需要考虑的问题是()。A、软件是否可以在不同的J2EE中运行B、不同的浏览器是否可以提供合适的安全设置C、脚本和插是否适用于不同的浏览器D、符合最新HTML版本的页面能否在浏览器中正确显示答案：A解析：参考:。Https://wenku.baidu./view/5d2efad1d05abe23482fb4daa58da0116c171fe6.html,百度文库中。81.关于标准,下面哪项理解是错误的()A、标准是在一定范围内为了获得最佳秩序,经协协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果B、国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国际标准条款为准。C、行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准。D、地方标准由省、自治区、直辖市标准化行政主管部门制度,冰报国务院标准化行政主管部门和国务院有关行政主管培训部门备案,在公布国家标准后,该地方标准即应废止。答案：B解析：当国家标准和国际标准的条款发生冲突,应以国家标准条款为准。82.关于风险要素识别阶段工作内容叙述错误的是:A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,

并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台答案：D解析：安全措施既包括技术层面,也包括管理层面。83.CC标准是目前系统安全认证方面最权威的而标准,以下那一项不是体现

CC标准的先进性?A、结构的开放性,即功能和保证要求都可以砸具体的“保护轮廓”和“安全目标”中进行一步细化和扩展B、表达方式的通用性,即给出通用的表达方式C、独立性,它强调将安全的功能和保证分离D、实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评

估过程中答案：C解析：TCSEC->ITSEC标准->CC标准(产品安全开发、安全测评的标准EAL1-7)。ITSEC标准实现了功能和保证的分离,CC是继承这个特点。84.在规定的时间间隔或重大变化发生时,组织的额()和实施方法(如信息安全的

控制目标、控制措施、方针、过程和规程)应()。独立评审宜由管理者启动,由

独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行()。为了日常功评审的效率,可以考虑使用自动测量和()。评审结果和管理人员采取

的纠正措施宜被记录,且这些记录宜予以维护。A、信息安全管理;独立审查;报告工具;技能和经验;定期评审B、信息安全管理;技能和经验;独立审查;定期评审;报告工具C、独立审查;信息安全管理;技能和经验;定期评审;报告工具D、信息安全管理;独立审查;技能和经验;定期评审;报告工具答案：D85.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理,实施常规的控制措施,不包括哪些选项()A、信息安全的管理承诺、信息安全协调、信息安全职责的分配B、信息处理设施的授权过程、保密性协议、与政府部门的联系.C、与特定利益集团的联系。信息安全的独立评审D、与外部各方相关风险的识别、处理外部各方协议中的安全问题答案：D86.部署互联网协议安全虚拟专用网(InternetprotocolSecurityVirtualPrivate

Network,IPsecVPN)时,以下说法正确的是:A、配置MD5安全算法可以提供可靠的数据加密B、配置AES算法可以提供可靠的数据完整性验证C、部署IPsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可

以聚合的IP地址段,来减少IPsec安全关联(SecurityAuthentication,SA)资

源的消耗D、报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性答案：C解析：MD5哈希函数只有完整性;AES是对称加密算法实现保密性;AH协议提供消息认证、完整性校验和抗重放攻击。密码应用87.关于ARP欺骗原理和防范措施,下面理解错误的是()A、ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文。使得受害

者主机将错误的硬件地址映射关系存到ARP缓存中,从而起到冒充主机的目的B、单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由

实施攻击C、解决ARP欺骗的一个有效方法是采用“静态”的APP缓存,如果发生硬件地

址的更改,则需要人工更新缓存D、彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存。直接采用IP地址

和其地主机进行连接答案：D88.实施灾难恢复计划之后,组织的灾难前和灾难后运营成本将:A、降低B、不变(保持相同)C、提高D、提高或降低(取决于业务的性质)答案：C89.关于补丁安装时应注意的问题,以下说法正确的是A、在补丁安装部署之前不需要进行测试,因为补丁发布之前厂商已经经过了测试B、补丁的获取有严格的标准,必须在厂商的官网上获取C、信息系统打补丁时需要做好备份和相应的应急措施D、补丁安装部署时关闭和重启系统不会产生影响答案：C90.在设计信息系统安全保障方案时,以下哪个做法是错误的:A、要充分切合信息安全需求并且实际可行B、要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本C、要充分采取新技术,使用过程中不断完善成熟,精益求精,实现技术投入保值要求D、要充分考虑用户管理和文化的可接受性,减少系统方案障碍答案：C解析：设计信息系统安全保障方案应采用合适的技术。91.安全漏洞产生的原因不包括以下哪一点()A、软件系统代码的复杂性B、软件系统市场出现信息不对称现象C、复杂异构的网络环境D、攻击者的恶意利用答案：D92.关于信息安全保障的概念,下面说法错误的是:A、信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念B、信息安全保障已从单纯保护和防御阶段发展为集保护、检测和响应为一体的综合阶段C、在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全D、信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统及业务使命的保障答案：C解析：网络空间安全不能单纯依靠技术措施来保障。93.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重

要的位置,信息资产的保护很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的。为了保护环境安全,在下列

选项中,公司在选址时最不应该选址的场地是().A、自然灾害较少的城市B、部署严格监控的独立园区C、大型医院旁的建筑D、加油站旁的建筑答案：D94.2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意

义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效

力。以下关于电子签名说法错误的是:A、电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份

并表明签名人认可其中内容的数据B、电子签名适用于民事活动中的合同或者其他文件、单证等文书C、电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证

服务D、电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供

者共有答案：D95.信息安全工程监理的职责包括:A、质量控制、进度控制、成本控制、合同管理、信息管理和协调B、质量控制、进度控制、成本控制、合同管理和协调C、确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调D、确定安全要求、认可设计方案、监视安全态势和协调答案：A解析：A为监理的内容。96.RFC系列标准是由()发布的:A、国际标准化组织(ISO)B、国际电工委员会(IEC)C、国际贸易中心(ITC)D、互联网工程任务组(IETF)答案：D97.对信息安全风险评估要素理解正确的是:A、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也

可以是业务系统,也可以是组织机构B、应针对构成信息系统的每个资产做风险评价C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出

的差距项D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁答案：A解析：B错误,应该是抽样评估;C错误,应该其描述的是差距分析;D错误,应该是威胁包括人为威胁和环境威胁。98.ApacheHttpServer(简称Apache)是

一个开放源码的WEB服务运行平台,在使用过程中,该软件默认会将自己

的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当

采取以下那种措施()A、不选择Windows平台,应选择在Linux平台下安装使用B、安装后,修改配置文件httpDconf中的有关参数C、安装后,删除ApacheHttpServer源码D、从正确的官方网站下载ApacheHttpServer,并安装使用答案：B解析：关于Apache的安全配置均在httpDconf文件中配置。安全漏洞和恶意代码99.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测

评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线

前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,

你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以

下哪条是渗透性测试的优势?A、渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期

产生的漏洞B、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C、渗透测试使用人工进行测试,不依赖软件,因此测试更准确D、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多答案：A100.以下哪一项不属于常见的风险评估与管理工具:A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具

6/26答案：D解析：D基于经验的风险评估工具不存在。101.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?A、用户访问日志、安全性日志、系统日志和IE日志B、应用程序日志、安全性日志、系统日志和IE日志C、网络攻击日志、安全性日志、记账日志和IE日志D、网络链接日志、安全性日志、服务日志和IE日志答案：B102.ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于()A、BS7799-1《信息安全实施细则》B、BS7799-2《信息安全管理体系规范》C、信息技术安全评估准则(简称ITSEC)D、信息技术安全评估通用标准(简称CC)答案：B解析：BS7799-1发展为ISO27002;BS7799-2发展为ISO27001;TCSEC发展为ITSEC;ITSEC发展为CC。103.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计

方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提

出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方

引起争议。下面说法哪个是错误的:A、乙对信息安全不重视,低估了黑客能力,不舍得花钱B、甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪

费C、甲未充分考虑网游网站的业务与政府网站业务的区别D、乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求答案：A104.下列哪一些对信息安全漏洞的描述是错误的?A、漏洞是存在于信息系统的某种缺陷。B、漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。C、具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,

从而给信息系统安全带来威胁和损失。D、漏洞都是人为故意引入的一种信息系统的弱点答案：D解析：漏洞是人为故意或非故意引入的弱点。105.主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A

和主机B的IP地址在应该在下列哪个范围?A、~55B、~55C、~55D、不在上述范围内答案：D解析：传输模式下不更换原有的IP包头,隧道模式需要新的IP包头(将原IP包头进行封装)。软件安全开106.关于数据库恢复技术,下列说法不正确的是:A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术C、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复D、计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交答案：D解析：利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为回滚。107.作为信息安全从业人员,以下哪种行为违反了C.ISP职业道德准侧()A、抵制通过网络系统侵犯公众合法权益B、通过公众网络传播非法软件C、不在计算机网络系统中进行造谣、欺诈、诽谤等活动D、帮助和指导信息安全同行提升信息安全保障知识和能力。答案：B108.防止非法授权访问数据文件的控制措施,哪项是最佳的方式:A、自动文件条目B、磁带库管理程序C、访问控制软件D、锁定库答案：C109.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加

强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()A、要求所有的开发人员参加软件安全开发知识培训B、要求增加软件源代码审核环节,加强对软件代码的安全性审查C、要求统一采用Windows8系统进行开发,不能采用之前的Windows版本D、要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题答案：C110.信息系统的业务特性应该从哪里获取?A、机构的使命B、机构的战略背景和战略目标C、机构的业务内容和业务流程D、机构的组织结构和管理制度答案：C解析：业务特性从机构的业务内容和业务流程获取。111.信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选择最合适的是:A、通用布缆系统工程B、电子设备机房系统工程C、计算机网络系统工程D、以上都适用答案：D解析：答案为D。112.下面关于信息系统安全保障的说法不正确的是:A、信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废

弃等生命周期密切相关B、信息系统安全保障要素包括信息的完整性、可用性和保密性C、信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障D、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其

业务使命答案：B113.在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?A、C2B、C1C、B2D、B1答案：D解析：答案为B1。114.二十世纪二十年代,德国发明家亚瑟谢尔比乌斯发明了Engmia密码机,按照密码学发展

历史阶段划分,这个阶段属于()A、古典密码阶段。这一阶段的密码专家常常靠直觉和技术来设计密码,而不是凭借推理和

证明,常用的密码运算方法包括替代方法和转换方法()B、近代密码发展阶段。这一阶段开始使用机械代替手工计算,形成了机械式密码设备和更

进一步的机电密码设备C、现代密码学的早起发展阶段。这一阶段以香农的论文“保密系统的通信理论”为理论基

础,开始了对密码学的科学探索

19/26D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志,引发了密码学历答案：B解析：根据密码学发展阶段的知识点,Engmia密码机属于近代密码学发展阶段的产物。115.某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安

全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,

在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分

敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?A、由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行

分析B、为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,

因此接受此风险C、日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机

不记录日志D、只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且

限定访问的时间答案：D116.某银行信息系统为了满足业务的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素A、信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准B、信息系统所承载该银行业务正常运行的安全需求C、消除或降低该银行信息系统面临的所有安全风险D、该银行整体安全策略答案：C117.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据

各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()。A、定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结

果,以度量风险的可能性和缺失量B、定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量

风险分析,而不应选择定性风险分析C、定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风

险评估团队的素质、经验和知识技能密切相关D、定性风险分析更具主观性,而定量风险分析更具客观性答案：B解析：实际工作中根据情况选择定量、定性或定量与定性相结合。118.为了能够合理、有序地处理安全事件,应事件制定出事件应急响应方法和过程,有助于一

个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响

降至最低。PDCERF方法论是一种防范使用的方法,其将应急响应分成六个阶段,如下图所

示,请为图中括号空白处选择合适的内容()

A、培训阶段B、文档阶段C、报告阶段D、检测阶段答案：D119.具有行政法律责任强制的安全你管理规定和安全制度包括

1>安全事件(包括安全事故)报告制度

2>安全等级保护制度3>信息系统安全监控

4>安全专用产品销售许可证制度A、1,2,4B、2,3C、2,3,4D、1,2,3答案：A120.安全审计师一种很常见的安全控制措施,它在信息全保障系统中,属于()措施。A、保护B、检测C、响应D、恢复答案：B121.WindowsNT提供的分布式安全环境又被称为:A、域(Domain)B、工作组C、对等网D、安全网答案：A122.某单位信息安全岗位员工,利用个人业余时间,在社交网络平台上向业内同不定

期发布信息安全相关知识和前沿动态资讯,这一行为主要符合以下哪一条注册信息安

全专业人员(CISP)职业道德准则:A、避免任何损害CISP声誉形象的行为B、自觉维护公众信息安全,拒绝并抵制通过计算机网络系统泄露个人隐私的行为C、帮助和指导信息安全同行提升信息安全保障知识和能力D、不在公众网络传播反动、暴力、黄色、低俗信息及非法软件答案：C123.以下哪一项不是我国信息安全保障的原则:A、立足国情,以我为主,坚持以技术为主B、正确处理安全与发展的关系,以安全保发展,在发展中求安全C、统筹规划,突出重点,强化基础性工作D、明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安

全保障体系答案：A解析：A的正确描述为立足国情,以我为主,坚持以技术和管理并重。124.下列关于软件需求管理与需求开发的论述正确的是()A、所谓需求管理,是指对需求开发的管理B、需求管理包括:需求获取、需求分析、需求定义各需求验证C、需求开发是将用户需求转换为应用系统成果的过程D、在需求管理中要求维持对原有需求和所有的产品需求的双向跟踪答案：D解析：https://wenku.baidu./view/51390fbe64ce0508763231126edb6f1aff007118.html,百度文库。[解析]所有与需求直接相关的活动通称为需求工程。需求工程的活动可分为需求开发和需求管理两大类。其中,需求开发的目的是通过调查与分析,获取用户需求并定义产品需求。需求开发主要有需求获取、需求分析、需求定义和需求验证等4个过程。需求管理的目的是确保各方对需求的一致理解、管理和控制需求的变更,从需求到最终产品的双向跟踪。在需求管理中,要收集需求的变更和变更的理由,并且维持对原有需求和产品及构件需求的双向跟踪。125.以下哪一项不属于信息安全工程监理模型的组成部分:A、监理咨询支撑要素B、控制和管理手段C、监理咨询阶段过程D、监理组织安全实施答案：D解析：监理模型包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。应急响应与灾备恢复126.以下哪一项不是信息系统集成项目的特点:A、信息系统集成项目要以满足客户和用户的需求为根本出发点B、系统集成就是选择最好的产品和技术,开发相应的软件和硬件,将其集成到信息系统的

过程C、信息系统集成项目的指导方法是“总体规划、分步实施”D、信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程答案：B127.信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选择最合适的是:A、通用布缆系统工程B、电子设备机房系统工程C、计算机网络系统工程D、以上都适用答案：D解析：ABC都包括相应的监理工作。128.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览

器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅

游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪

分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向Web页面插入恶

意html代码的攻击方式称为()A、分布式拒绝服务攻击B、跨站脚本攻击C、SQL注入攻击D、缓冲区溢出攻击

7/36答案：B129.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,

项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身

份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安

全设计遵循的是哪项安全设计原则:A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则答案：C130.某公司正在进行IT系统灾难恢复测试,下列问题中哪个最应该引起关注()A、由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试B、在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败C、在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D、每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(D.RP)文档答案：B131.GB/T18336<<信息技术安全性评估准则>>(CC)是测评标准类中的重要标准,该标准定义了保护轮廓(ProtectionProfile,PP)和安全目标(SecurityTarget,ST)的评估准则,提出了评估保证级(EvaluationAssuranceLevel,EAL),其评估保证级共分为()个递增的评估保证等级A、4B、5C、6D、7答案：D解析：EAL1~EAL7,EAL7是最高,EAL1是最低。132.某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,

项目分二期,一期目标为年内实现系统上线运营,二期目标为次年上半年完

成运行系统风险的处理:招标文件经营管理层审批后发布,就此工程项目而

言,以下正确的是:A、此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性B、在工程安全监理的参与下,确保了此招标文件的合理性C、工程规划不符合信息安全工程的基本原则D、招标文件经营管理层审批,表明工程目标符合业务发展规划答案：C解析：安全工程的原则是同步规划、同步实施。133.关于我国信息安全保障的基本原则,下列说法中不正确的是:A、要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管

理与技术并重B、信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方C、在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点D、在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何

一方的作用。答案：A解析：我国信息安全保障首先要遵循国家标准。16/26134.在某信息系统的设计中,用户登陆过程是这样的:(1)用户通过HTTP协议访问信息系统;

2)用户在登陆页面输入用户名和口令;(3)信息系统在服务器端检查用户名和密码的正

确性,如果正确,则鉴别完成。可以看出,这个鉴别过程属于()。A、单向鉴别B、双向鉴别C、三向鉴别D、第三方鉴别答案：A135.什么是系统变更控制中最重要的内容?A、所有的变更都必须文字化,并被批准B、变更应通过自动化工具来实施

第11页共24页C、应维护系统的备份D、通过测试和批准来确保质量答案：A136.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部

门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循

了软件安全哪项原则A、最小权限B、权限分离C、不信任D、纵深防御答案：B137.终端访问控制器访问控制系统(TERMINALAC.C.essC.ontrollerAC.C.ess-C.ontrolSystem,TAC.AC.S),在认证过程中,客户机发送一个START包给服务器,包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个,序列号永远为().服务器收到START包以后,回送一REPLY包,表示认证继续还是结束。A、0B、1C、2D、4答案：B138.密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网

络安全的一个重要组成部分。下面描述中,错误的是()A、在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步骤可以不明确处理方式。B、密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行。C、根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可能是敌人和互相完全不信任的人。D、密码协议(Cryptographicprotocol),有时也称安全协议(securityprotocol),是使用密码学完成某项特定的任务并满足安全需求的协议,其末的是提供安全服务。答案：A解析：密码协议应限制和框住的执行步骤,有些复杂的步骤必须要明确处理方式。139.北京某公司利用SSE-CMM对其自身工程队伍能力进