CISP考试练习题及答案4-2023练习版

试题说明

本套试题共包括1套试卷

答案和解析在每套试卷后

ClSP考试练习题及答案4（500题）

ClSP考试练习题及答案4

L［单选题］以下哪些因素属于信息安全特征？

A）系统和网络的安全

B）系统和动态的安全

C）技术、管理、工程的安全

D）系统的安全；动态的安全；无边界的安全；非传统的安全

2.［单选题］下列哪一种情况会损害计算机安全策略的有效性？

A）发布安全策略时

B）重新检查安全策略时

C）测试安全策略时

D）可以预测到违反安全策略的强制性措施时

3.［单选题］在LinUX系统中，下列哪项内容不包含在∕etc∕passwd文件中？

A）用户名

B）用户口令明文

C）用户主目录

D）用户登陆后使用的SHELL

4.［单选题］在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段？

A）背景建立

B）风险评估

C）风险处理

D）批准监督

5.［单选题］在信息安全管理中进行—,可以有效解决人员安全意识薄弱问题。（）

A）内容监控

B）责任追查和惩处

C）安全教育和培训

D）访问控制

6.［单选题］在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制

性规则？

A）标准（Standard）

B)安全策略(Securitypolicy)

C)方针(Guideline)

D)流程(Procedure)

7.［单选题］在工程实施阶段，监理机构依据承建合同、安全设计方案、实施方案、实施记录、国家

或地方相关标准和技术指导文件，对信息化工程进行安全检查，以验证项目是否实现了项目设计

目标和安全等级要求。

A）功能性

B）可用性

C）保障性

D）符合性

8.［单选题］以下哪一项是已经被确认了的具有一定合理性的风险？

A）总风险

B）最小化风险

C）可接受风险

D）残余风险

9.［单选题］为了防御网络监听，最常用的方法是：（）。

A）采用物理传输（非网络）

B）信息加密

C）无线网

D）使用专线传输

10.［单选题］23.关于信息安全事件管理和应急响应，以下说法错误的是：

A）应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采

取的措施

B）应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段

C）对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素

D）根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件ɑ级）、

重大事件（H级）、较大事件（In级）和一般事件（IV级）

11.［单选题］某汽车保险公司有庞大的信贷数据，基于这些可信的不可篡改的数据，公司希望利用区

块链的技术，根据预先定义好的规则和条款，自动控制保险的理赔。这一功能主要利用了的区块链

的O技术特点。

A）分布式账本

B）非对称加密和授权技术

C）共识机制

D）智能合约

12.［单选题］异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或

者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是（）

A）在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象

B）实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻

击发生

C）异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手

段向管理员报警

D）异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为

13.［单选题］以下工作哪个不是计算机取证准备阶段的工作

A）获得授权

B）准备工具

C）介质准备

D）保护数据

14.［单选题］4∙金女士经常通过计算机网络购物，从安全角度看，下面那项是不好的操作习惯？

A）在使用网络浏览器时，设置不在计算机中保留的网络历史记录和表单数据

B）为计算机安装具有良好的声誉的安全防护软件，包括病毒查杀、安全监察和安全加固方面的软件

C）在IE的配置中，设置只能下载和安装经过签名的、安全的ACTIVEX控制

D）使用专用上网购物计算机，安装好软件后不要对该计算机上的系统软件、应用软件进行升级

15.［单选题］下列哪项不是Kerberos密钥分发服务（KDS）的一部分？

A）Kerberos票证授予服务器（TGS）。

B）Kerberos身份验证服务器（KAS）。

C）存放用户名和密码的数据库。

D）Kerberos票证吊销服务器（TRS）。

16.［单选题］下列选项中，对风险评估文档的描述中正确的是（）

A）评估结果文档包括描述资产识别和赋值的结果，形成重要资产列表

B）描述评估结果中不可接受的风险制定风险处理计划。选择适当的控制目标及安全措施，明确责任

、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》

C）在文档分发过程中作废文档可以不用添加标识进行保留

D）对于风险评估过程中形成的相关文档行，还应规定其标识、储存、保护、检索、保存期限以及处

置所需的控制

17.［单选题］以下关于项目的含义，理解错误的是

A）项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、

服务或成果而进行的一次性努力。

B）项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。

C）项目资源指完成项目所需要的人、财、物等。

D）项目目标要遵守SMART原则，即项目的目标要求具体（SPeeific）、可测量（Measurable）,需相

关方的一致同意（Agreeto）、现（ReaIiStic）、有一定的时限（Time-Oriented）

18.［单选题］ApacheWeb服务器的配置文件一般位于∕usr/local/apache/conf目录，其中用来

控制用户访问APaChe目录的配置文件是：

A）httpd.conf

B）srLconf

C）access.Conf

D）inetd.Conf

19.［单选题］保证用户和进程完成自己的工作而又没有从事其他操作可能，这样能够使失误出

错或蓄意袭击造成的危害降低，这通常被称为—O（）

A）适度安全原则

B）授权最小化原则

C）分权原则

D）木桶原则

20.［单选题］以下关于国内信息化发展的描述，错误的是（）。

A）从20世纪90年代开始，我国把信息化提到了国家战略高度。

B）成为联合国卫星导航委员会认可的四大卫星导航系统之一的北斗卫星导航系统是由我国自主研制

的。

C）我国农村宽带人口普及率与城市的差距在最近三年来持续拉大。

D）经过多年的发展，截至2013年底，我国在全球整体的信息与计算技术发展排名中已处于世界领先

水平。

21.［单选题］Linux文件系统采用的是树型结构，在根目录下默认存在Var目录，它的的功用是？

A）公用的临时文件存储点

B）系统提供这个目录是让用户临时挂载其他的文件系统

C）某些大文件的溢出区

D）最庞大的目录，要用到的应用程序和文件几乎都在这个目录

22.［单选题］安全脆弱性是产生安全事件的—o（）

A）内因

B）外因

C）根本原因

D）不相关因素

23.［单选题］下列哪一项是首席安全官的正常职责？

A）定期审查和评价安全策略

B）执行用户应用系统和软件测试与评价

C）授予或废除用户对IT资源的访问权限

D）批准对数据和应用系统的访问权限

24.［单选题］2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层

面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件

A）《国家信息安全战略报告》（国信［2005］2号）

B）《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发［2012］23号）

C）《国家网络安全综合计划（CNCI）》（国令［2008］54号）

D）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）

25.［单选题］Linux系统格式化分区用哪个命令：

A）fdisk

B）mv

C）mount

D）df

26.［单选题］在一个分布式环境中，以下哪一项能够最大程度减轻服务器故障

的影响？

A）冗余路径

B）（服务器）集群

C）拨号备份链路

D）备份电源

27.［单选题］76.规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础。某单

位在实施风险评估时，按照规范形成了若干文档，其中，下面O中的文档应属于风险评估中“风

险要素识别”阶段输出的文档。

A）《风险评估准则要求》，主要包括现有风险评估参考标准、采用的风险分析方法、资产分类标准

等内容

B）《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容

C）《风险评估方案》，主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安

排等内容

D）《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容

28.［单选题］计算机病毒最重要的特征是_____

A）隐蔽性

B）传染性

C）潜伏性

D）表现性

29.［单选题］相对于不存在灾难恢复计划，和当前灾难恢复计划的成本比照，最接近的是：

A）增加

B）减少

C）保持不变

D）不可预知

30.［单选题］对安全策略的描述不正确的选项是

A）信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方

向，用于指导信息安全管理体系的建立和实施过程

B）策略应有一个属主，负责按复查程序维护和复查该策略

C）安全策略的内容包括管理层对信息安全目标和原则的声明和承诺；

D）安全策略一旦建立和发布，则不可变更；

31.［单选题］某电子商务网站最近发生了一起安全事件，出现了一个价值IOOO元的商品用1元被买走

的情况，经分析是由于设计时出于性能考虑，在浏览时时使HttP协议，攻击者通过伪造数据包使得

向购物车添加商品的价格被修改。利用此漏洞，攻击者将价值IOOO元的商品以1元添加到购物车中

,而付款时又没有验证的环节，导致以上问题。对于网站的这个问题原因分析及解决措施，最正确

的说法应该是？

A）该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可

以解决

B）该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁

并采取相应的消减措施

C）该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行

安全改造，所有的访问都强制要求使用https

D）该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

32.［单选题］下面哪一个不是系统设计阶段风险管理的工作内容

A）安全技术选择

B）软件设计风险控制

C）安全产品选择

D）安全需求分析

33.［单选题］实体身份鉴别般依据以下三种基本情况或这三种情况的组合:实体所知的鉴别方法.实体

所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于实体特征的鉴别方法是（）

A）将登录口令设置为出生日期

B）通过询问和核对用户的个人隐私信息来鉴别

C）使用系统定制的.在本系统专用的IC卡进行鉴别

D）通过扫描和识别用户的脸部信息来鉴别

34.［单选题］下列哪一项是一个适当的测试方法适用于业务连续性计划

（BCP）?

A）试运行

B）纸面测试

C）单元

D）系统

35.［单选题］企业信息资产的管理和控制的描述不正确的是

A）企业应该建立和维护一个完整的信息资产清单，并明确信息资产的管

控责任；

B）企业应该根据信息资产的重要性和安全级别的不同要求，采取对应的

管控措施；

C）企业的信息资产不应该分类分级，所有的信息系统要统一对待

D）企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资

产

36.［单选题］随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息

安全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是？

A）信息系统自身存在脆弱性是根本原因。信息系统越来越重要，同时自身在开发、部署和使用过程

中存在的脆弱性，导致了诸多的信息安全事件发生。因此，杜绝脆弱性的存在是解决信息安全问题

的根本所在

B）信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛，接

触信息系统的人越多，信息系统越可能遭受攻击。因此，避免有恶意攻击可能的人接触信息系统就

可以解决信息安全问题

C）信息安全问题产生的根源要从内因和外因两个方面两个方面分析，因为信息系统自身存在脆弱性

,同时外部又有威胁源，从而导致信息系统可能发生安全事件。因此，要防范信息安全风险，需从

内外因同时着手

D）信息安全问题的根本原因是内因、外因和人三个因素的综合作用，内因和外因都可能导致安全事

件的发生，但最重要的还是人的因素，外部攻击者和内部工作人员通过远程攻击、本地破坏和内外

勾结等手段导致安全事件发生。因此，对人这个因素的防范应是安全工作重点

37.［单选题］下列哪一项体现了适当的职责分离？

A）磁带操作员被允许使用系统控制台。

B）操作员是不允许修改系统时间。

C）允许程序员使用系统控制台。

D）控制台操作员被允许装载磁带和磁盘。

38.［单选题］由于IT的发展，灾难恢复计划在大型组织中的应用也发生了变化。

如果新计划没有被测试下面哪项是最主要的风险

A）灾难性的断电

B）资源的高消耗

C）恢复的总成本不能被最小化

D）用户和恢复团队在实施计划时可能面临服务器问题

39.［单选题］以下哪一项是首席安全官的正常职责？

A）定期审查和评价安全策略

B）执行用户应用系统和软件测试与评价

C）授予或废除用户对IT资源的访问权限

D）批准对数据和应用系统的访问权限

40.［单选题］下面哪一项不是虚拟专用网络（VPN）协议标准

A）第二层隧道协议（L2TP）

B）Internet安全性（IPSEC）

O终端访问控制器访问控制系统（TACACS+）

D）点对点隧道协议（PPTP）

41.［单选题］依据信息系统安全保障模型，以下那个不是安全保证对象

A）机密性

B）管理

C）过程

D）人员

42.［单选题］一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不

必要的服务。这属于什么基本原则？

A）最小特权；

B）阻塞点;

C）失效保护状态；

D）防御多样化

43.［单选题］基于TCP的主机在进行一次TCP连接时需要进行三次握手。请求通信的主机A要与另一台

主机B建立连接时，A需要先发一个SYN数据包向B主机提出连接请求，B收到后，回复一个AeK/SYN确

认请求给A主机，然后A再次回应ACK数据包，确认连接请求。攻击通过伪造带有虚假源地址的SYN包

给目标主机，使目标主机发送的ACK/SYN包得不到确认。一般情况下，目标主机会等一段时间后才会

放弃这个连接等待。因此大量虚假SYN包同时发送到目标主机时，目标主机上就会有大量的连接请求

等待确认，当这些未释放的连接请求数量超过目标主机的资源限制时，正常的连接请求就不能被目

标主机接受。这种SYNFIOOd攻击属于

A）SQL注入攻击

B）缓冲区溢出攻击

C）分布式拒绝服务攻击

D）拒绝服务攻击

44.［单选题］某网盘被发现泄露了大量私人信息，通过第三方网盘搜索引擎可查询到该网盘用户的大

量照片、通讯录。该网盘建议用户使用“加密分享”功能，以避免消息泄露，“加密分享”可以采

用以下哪些算法O

A）MD5算法，SHA-I算法

B）DSA算法，RSA算法

OSHA-I算法，SM2算法

D）RSA算法，SM2算法

45.［单选题］美国的关键信息基础设施（CritiCalInformationInfrastructure,Cn）包括商用核

设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国

防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括

A）这些行业都关系到国计民生，对经济运行和国家安全影响深远

B）这些行业都是信息化应用广泛的领域

C）这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出

D）这些行业发生信息安全事件，会造成广泛而严重的损失

46.［单选题］ISMS审核常用的审核方法不包括？

A)纠正预防

B)文件审核

C)现场审核

D)渗透测试

47.［单选题］为推动我国信息安全等级保护工作，我国制定和发布了信息安全等级保护标准其中、属

于国家制定标准，且在信息安全等级保护标准体系中处于基础地位的是O

A)GB∕T22239-2008《信息系统安全等级保护基本要求》

B)GB∕T22240-2008《信息系统安全等级保护等级定级指南》

OGB/25058-2010《信息系统安全等级保护实施指南》

D)GB17859-1999＜《计算进信息系统安全保护等级划分准则》

48.［单选题］以下哪组全部是完整性模型？

A)BLP模型和BIBA模型

B)BIBΛ模型和Clark—Wilson模型

OChinesewall模型和BlBA模型

D)Clark—Wilson模型和ChineSewall模型

49.［单选题］漏洞扫描是信息系统风险评估中的常用技术措施，定期的漏洞扫描有助于组织机构发现

系统中存在的安全漏洞。漏洞扫描软件是实施漏洞扫描的工具，用于测试网络、操作系统、数据库

及应用软件是否存在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如下理

解，其中错误的是()

A)主动扫描工作方式类似于IDS(IntrusionDetectionSystems)

B)CVE(ComonVulnerabilities&EXPOSUreS)为每个漏洞确定了唯一的名称和标准化的描述

OX.Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描

D)ISS的SystemScanmer通过依附于主机上的扫描器代理侦测主机内部的漏洞

50.［单选题］在信息安全策略体系中，下面哪一项属于电脑或信息安全的强制性规则？

A)标准(Standard)

B)安全策略(Securitypolicy)

C)方针(Guideline)

D)流程(Procedure)

51.［单选题］在网络安全体系构成要素中“响应”指的是()。

A)环境响应和技术响应

B)一般响应和应急响应

C)系统响应和网络响应

D)硬件响应和软件响应

52.［单选题］按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保

护、按照要求向公安机关备案即可，可以不需要上级或主管部门来测评和检查。此类信息系统应属

于？

A）零级系统

B）一级系统

C）二级系统

D）三级系统

53.［单选题］Linux文件系统采用的是树型结构，在根目录下默认存在Var目

录，它的的功用是？

A）公用的临时文件存储点

B）系统提供这个目录是让用户临时挂载其他的文件系统

C）某些大文件的溢出区

D）最庞大的目录，要用到的应用程序和文件几乎都在这个目录

54.［单选题］PKI是__o（）

A）PrivateKeyInfrastructure

B）Publi

C）KeyInstitute

C）Public）KeyInfrastructure

D）PrivateKeyInstitute

55.［单选题］小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部分涉及金融交

易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处

置的方法是

A）降低风险

B）规避风险

C）转移风险

D）放弃风险

56.［单选题］下面关于信息系统安全保障模型的说法不正确的是：

ʌ）国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T20274.1-2006）中的信息

系统安全保障模型将风险和策略作为基础和核心

B）模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可

根据具体环境和要求进行改动和细化

C）信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D）信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和

使用的人员在能力和培训方面不需要投入

57.［单选题］在逻辑访问控制中如果用户账户被共享，这种局面可能造成的最大

风险是：

A）非授权用户可以使用ID擅自进入.

B）用户访问管理费时.

C）很容易猜测密码.

D）无法确定用户责任

58.［单选题］下面哪种方法可以替代电子银行中的个人标识号（PINs）的作用？

A）虹膜检测技术

B）语音标识技术

C）笔迹标识技术

D）指纹标识技术

59.［单选题］以下哪一项对安全风险的描述是准确的？

A）安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损

失或损害的可能性。

B）安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产

损失事实。

C）安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产

损失或损害的可能性

D）安全风险是指资产的脆弱性被威胁利用的情形。

60.［单选题］239.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资

产价值的评估，以下选项中正确的是？

A）资产的价值指采购费用

B）资产的价值指维护费用

C）资产的价值与其重要性密切相关

D）资产的价值无法估计

61.［单选题］在软件保障成熟度模型（SOftWareAssuranceMaturityMode,SAMM）中规定了软件开发

过程中的核心业务功能，下列哪个选项不属于核心业务功能：

A）治理，主要是管理软件开发的过程和活动

B）构造，主要是在开发项目中确定目标并开发软件的过程与活动

C）验证，主要是测试和验证软件的过程与活动

D）购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与

62.［单选题］38.P2DR模型是一个用于描述网络动态安全的模型，这个模型经常使用图形的形式来形

象表达，如下图所示，请问图中空白处应填写？

A）持续（duration）

B）数据（data）

C）检测（detection）

D）执行（do）

63.［单选题］即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题，特别对于

使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施，下列描施中错

误的是（）

A）如果经费许可，可以使用自建服务器的即时通讯系统

B）在组织机构安全管理体系中制定相应安全要求，例如禁止在即时通讯中传输敏感及以上级别的文

档；建立管理流程及时将员工移除等

C）选择在设计上已经为商业应用提供安全防护的即时通讯软件，例如提供传输安全性保护等即时通

讯

D）涉及重要操作包括转账无需方式确认

64.［单选题］ISO安全体系结构中的对象认证服务，使用（）完成。

A）加密机制

B）数字签名机制

C）访问控制机制

D）数据完整性机制

65.［单选题］在什么情况下，热站会作为一个恢复策略被执行？

A）低灾难容忍度

B）高恢复点目标（RPO）

C）高恢复时间目标（RTO）

D）高灾难容忍度

66.［单选题］P2DR模型通过传统的静态安全技术和方法提高网络的防护能力，这些技术包括？

A）实时监控技术。

B）访问控制技术。

C）信息加密技术。

D）身份认证技术。

67.［单选题］∕etc∕passw文件是UNIX/Linux安全的关键文件之一。该文件用于用户登录时校验用户的

登录名、加密的口令数据项、用户ID（UlD）、默认的用户分组ID（GID）、用户信息、用户登录目

录以及登录后使用的Shell程序。某黑客设法窃取了银行账户管理系统的PaSSWd文件后，发现每个用

户的加密口令数据项都显示为'x'。下列选项中，对此现象的解释正确的是O

ʌ）黑;客窃取的PaSSWd文件是假的

B）加密口令被转移到了另一个文件里

C）这些账户都被禁用了

D）用户的登录口令经过不可逆的加密算法加密结果为'x'

68.［单选题］近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方

法是？

A）加强网站源代码的安全性

B）对网络客户端进行安全评估

C）协调运营商对域名解析服务器进行加固

D）在网站的网络出口部署应用级防火墙

69.［单选题］关于我国加强信息安全保障工作的总体要求，以下说法错误的是？

A）坚持积极防御、综合防范的方针

B）重点保障基础信息网络和重要信息系统安全

C）创建安全健康的网络环境

D）提高个人隐私保护意识

70.［单选题］如果有一名攻击者在搜索引擎中搜索doc+XXX.Com"找到XXX.Com网站上所有的

word文档。该攻击者通过搜索".mdb"、".ini”+城名，找到该域名下的mdb库文件、ini配置文

件等非公开信息，通过这些敏感信息对该网站进行攻击，请问这属于（）

A）定点挖掘

B）攻击定位

C）网络实施嗅探

D）溢出攻击

71.［单选题］应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是

A）应急响应工作有其鲜明的特点：具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性

,以及需要广泛的协调与合作

B）应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事

件，人们更加重视安全事件的应急处置和整体协调的重要性

C）信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既

包括预防性措施，也包括事件发生后的应对措施

D）应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件

发生时正确指挥、事件发生后全面总结

72.［单选题］安全多用途互联网邮件扩展（SecureMultipurposeInternetMail

Extension,S∕MIME）是指一种保障邮件安全的技术，下面描述错误的是（）。

A）S∕MIME采用了非对称密码学机制

B）S∕MIME支持数字证书

C）S∕MIME采用了邮件防火墙技术

D）S∕MIME支持用户身份认证和邮件加密

73.［单选题］以下关于可信计算说法错误的是:

A）可信的主要目的是要建立起主动防御的信息安全保障体系

B）可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算基的概念

C）可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应

用系统可信

D）可信计算平台出现后会取代传统的安全防护体系和方法

74.［单选题］某单位计划在今年开发一套办公自动化（OA）系统，将集团公司各地的机构通过互联网进

行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指

出大家提的建议中不太合适的一条

A）对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问

题

B）要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识

C）要求软件开发商使用JaVa而不是ASP作为开发语言，避免产生SQL注入漏洞

D）要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对输入数

据进行校验

75.［单选题］小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续

运行，比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的

是？

A）可以建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查

B）可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化

C）可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心

D）可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的IS09001认证

76.［单选题］当保护组织的信息系统时，在网络防火墙被破坏以后，通常的下一道防线是以下哪一项

2

A）个人防火墙

B）防病毒软件

C）入侵检测系统

D）虚拟局域网设置

77.［单选题］关于源代码，描述错误的是？

A）源代码审核有利于发现软件编码中存在的安全问题

B）源代码审核过程遵循PDCA模型

C）源代码审核方式包括人工审核和工具审核

D）源代码审核工具包括商业工具和开源工具

78.［单选题］下列对蜜网功能描述不正确的是：

A）可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击

B）吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来

C）可以进行攻击检测和实时报警

D）可以对攻击活动进行监视、检测和分析

79.［单选题］人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于:

A）为了更好地完成组织机构的使命

B）针对信息系统的攻击方式发生重大变化

C）风险控制技术得到革命性的发展

D）除了保密性，信息的完整性和可用性也引起人们的关注

80.［单选题］我国刑法—规定了非法侵入计算机信息系统罪。

A）第284条

B）第285条

C）第286条

D）第287条

81.［单选题］一般网络设备上的SNMP默认可读团体字符串是：

A）PUBLIC

B）CISCO

C）DEFAULT

D）PRIVATE

82.［单选题］恢复策略的选择最可能取决于

A）基础设施和系统的恢复成本

B）恢复站点的可用性

C）关键性业务流程

D）事件响应流程

83.［单选题］ARP欺骗工作在：

A）数据链路层

B）网络层

C）传输层

D）应用层

84.［单选题］下列对垮站脚本攻击（XSS）描述正确的是：

A）XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码，当用户浏览该页之时,嵌入其中WEB里面的代

码会被执行,从而达到恶意攻击用户的特殊目的.

B）XSS攻击是DDOS攻击的一种变种

OXSS.攻击就是CC攻击

D）XSS攻击就是利用被控制的机器不断地向被网站发送访问请求，迫使NS连接数超出限制，当CPU资源

或者带宽资源耗尽，那么网站也就被攻击垮了，从而达到攻击目的

85.［单选题］针对软件的拒绝服务攻击时通过消耗系统资源是软件无法响应正常请求的一种攻击方式

,在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式

A）攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终

100%

B）攻击者利用软件脚本使用多重账套查询在数据量大时会导致查询效率低，通过发送大量的查询导

致数据库相应缓慢

C）攻击者利用软件不自动释放连接的问题，通过发送大量连接的消耗软件并发生连接数，导致并发

连接数耗尽而无法访问

D）攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问

86.［单选题］在LinUX系统中，下面哪条命令可以找到文件系统中的具有SUid∕sgid标记

位的文件：

A)find/-typed∖(-perm-4000-perm-2000∖)-print

B)find/-typef∖(-perm-4000-perm-2000∖)-print

C)find/-typef∖(-perm-4000-perm-2000∖)-print

D)find/-nouser-o-nogroup-print

87.［单选题］以下哪一项不是常见威胁对应的消减措施：

A）假冒攻击可以采用身份认证机制来防范

B）为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性

C）为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖

D）为了防止用户提升权限，可以采用访问控制表的方式来管理权限

88.［单选题］9L信息安全事件的分类方法有多种，依据GB/Z20986-2007《信息安全技术信息安全

事件分类分级指南》，信息安全事件分为7个基本类别，描述正确的

A）网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性

事件和其他信息安全事件。

B）有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件

和其他信息安全事件。

C）网络攻击事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性

事件和其他信息安全事件。

D）网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件

和其他信息安全事件。

89.［单选题］PKI所管理的基本元素是—o（）

A）密钥

B）用户身份

C）数字证书

D）数字签名

90.［单选题］“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体

的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的

产品或系统实现方案（）

A）评估对象（ToE）

B）保护轮廊（PP）

C）安全目标（ST）

D）评估保证级（EAL）

91.［单选题］下面关于IS027002的说法错误的是：

A）IS027002的前身是IS017799T

B）ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用，但不是全部

C）ISO27002对于每个控制措施的表述分“控制措施”，“实施指南”和“其他信息”三个部分来进

行描述

D）ISo27002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施

92.［单选题］以下系统工程说法错误的是：

A）系统工程是基本理论的技术实现

B）系统工程是一种对所有系统都具有普遍意义的科学方法

C）系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

D）系统工程是一种方法论

93.［单选题］在信息安全风险管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的？

A）背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系

统的业务目标和特性

B）背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性，并分别赋值，同时确认已

有的安全措施，形成需要保护的资产清单

C）背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描

述报告

D）背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信

息系统的安全要求报告

94.［单选题］小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该

采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法，他的观

点主要有；（1）自主访向控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一

文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制

的方法，他的观点主要有；（3）强制访问控制中，只有文件的拥有者可以修改文件的安全属性，因此

安全性较高；（4）强制访问控制能够保护敏感信息。以上四个观点中，只有一个观点是正确的，它是

（）.

A）观点（1）

B）观点（2）

C）观点（3）

D）观点（4）

95.［单选题］有关人员安全的描述不正确的选项是

A）人员的安全管理是企业信息安全管理活动中最难的环节

B）重要或敏感岗位的人员入职之前，需要做好人员的背景检查

C）企业人员预算受限的情况下，职责别离难以实施，企业对此无能为力，也无需做任何工作

D）人员离职之后，必须清除离职职工所有的逻辑访问帐号

96.［单选题］下列哪项内容描述的是缓冲区溢出漏洞？

A）通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器

执行恶意的SQL命令

B）攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的

,但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C）当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上

D）信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷

97.［单选题］如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会

秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准

进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保

护中的—o（）

A）强制保护级

B）监督保护级

C）指导保护级

D）自主保护级

98.［单选题］某市环卫局网络建设是当地政府投资的重要项目。总体目标就是用交换式千兆以太网为

主干，超五类双线线作水平布线，由大型的交换机和路由器连通几个主要的工作区域，在各区域建

立一个闭路电视监控系统，再把信号通过网络传输到各监控中心。其中对交换机和路由器进行配置

是网络安全中的一个不可缺少的步骤，下面对于交换机和路由器的安全配置，操作错误的是？

A）保持当前版本的操作系统，不定期更新交换机操作系统补丁

B）控制交换机的物理访问端口，关闭空闲的物理端口

C）带外管理交换机，如果不能实现的话，可以利用单独的VLAN号进行带内管理

D）安全配置必要的网络服务，关闭不必要的网络服务

99.［单选题］以下哪一个是对于参观者访问数据中心的最有效的控制？

A）陪同参观者

B）参观者佩戴证件

C）参观者签字

D）参观者由工作人员抽样检查

IOO.［单选题］在软件保障成熟度模型（SOftWareASSUranCeMatUrityldode,SAMM）中，规定了软件

开发过程中的核心业务功能，下列哪个选项不属于核心业务功能

A）治理，主要是管理软件开发的过程和活动

B）构造，主要是在开发项目中确定目标并开发软件的过程与活动

C）验证，主要是测试和验证软件的过程与活动

D）购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动

101.［单选题］以下哪一项不是信息安全管理工作必须遵循的原则？

A）风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中

B）风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作

C）由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低

D）在系统正式运行后，应注重残余风险的管理，以提高快速反应能力

102.［单选题］在设计信息系统安全保障方案时，以下哪个做法是错误的？

A）要充分切合信息安全需求并且实际可行

B）要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本

C）要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求

D）要充分考虑用户管理和文化的可接受性，减少系统方案实施障碍

103.［单选题］下面对于数据库视图的描述正确的是o

A）数据库视图也是物理存储的表

B）可通过视图访问的数据不作为独特的对象存储，数据库内实际存储的是SELECT语句

C）数据库视图也可以使用UPDATE或DELETE语句生成

D）对数据库视图只能查询数据，不能修改数据

104.［单选题］路由器工作在OSl的哪一层

A）传输层

B）数据链路层

C）网络层

D）应用层

105.［单选题］计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序。

A）内存

B）软盘

C）存储介质

D）网络

106.［单选题］《信息安全保障技术框架》（InfOrmationAssuranceTechnical

Framework,IATF）是由哪个下面哪个国家发布的（）。

A）美国

B）欧盟

C）中国

D）俄罗斯

107.［单选题］依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988）,需要备用场地

但不要求部署备用数据处理设备的是灾难恢复等级的第几级？

A）2

B）3

04

D）5

108.［单选题］SSEYMM工程过程区域中的风险过程包含哪些过程区域：

A）评估威胁、评估脆弱性、评估影响

B）评估威胁、评估脆弱性、评估安全风险

C）评估威胁、评估脆弱性、评估影响、评估安全风险

D）评估威胁、评估脆弱性、评估影响、验证和证实安全

109.［单选题］为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以

下关于渗透测试过程的说法不正确的是

A）渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统

中运行时的安全状况

B）由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份

,以便出现问题时可以及时恢复系统和数据

C）渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤

D）为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试

110.［单选题］29∙王工是某某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发

现当前案例中共有两个重要资产：资产Al和资产A2；其中资产Al面临两个主要威胁，威胁Tl

和威胁T2；而资产A2面临一个主要威胁，威胁T3；威胁Tl可以利用的资产Al存在的两个脆

弱性；脆弱性Vl和脆弱性V2；威胁T2可以利用的资产Al存在的三个脆弱性，脆弱性V3、脆

弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性；脆弱性V6和脆弱性

V7.根据上述条件，请问：使用相乘法时，应该为资产Al计算几个风险值？

A）2

B）3

05

D）6

IlL［单选题］有关国家秘密，错误的是：

A）国家秘密是关系国家安全和利益的事项

B）国家秘密的确定没有正式的法定程序

C）除了明确规定需要长期保密的，其他的园家秘密都是有保密期限的

D）国家秘密只限一定范围的人知悉

112.［单选题］把明文变成密文的过程，叫作—

A）加密

B）密文

C）解密

D）加密算法

113.［单选题］组织建立业务连续性计划（BCP）的作用包括：

A）在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；

B）提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据;

C）保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不

间断运行，降低损失；

D）以上都是

114.［单选题］系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为什么？

A）戴明循环

B）过程方法

C）管理体系

D）服务管理

115.［单选题］OSI模型把网络通信工作分为七层，如图所示，OSl模型的每一层只与相邻的上下两

层直接通信，当发送进程需要发送信息时，它把数据交给应用层。应用层对数据进行加工处理后

,传给表示层。再经过一次加工后，数据被送到会话层。这一过程一直继续到物理层接收数据后进

行实际的传输，每一次的加工又称为数据封装。其中IP层对应OSl模型中的哪一层（）

S.会话以

£会MU■f

■f行功级鼻

•信3X

wɑɪiɪ往上M

HFU

s.网络发

Z敷知镇路叶-♦2.数卅，跳层；

ZZEZ

L物瓦层上L物理层

HfUt的打理件S

A）应用层

B）传输层

C）应用层

D）网络层

116.［单选题］为了预防逻辑炸弹，项目经理采取的最有效的措施应该是

A）对每日提交的新代码进行人工审计

B）代码安全扫描

C）安全意识教育

D）安全编码培训教育

117.［单选题］最终提交给普通终端用户，并且要求其签署和遵守的安全策略是—O（）

A）口令策略

B）保密协议

C）可接受使用策略

D）责任追究制度

118.［单选题］某公司现有35台计算机，把子网掩码设计成多少最合适（）

Λ）255.255.255.224

B）255.255.255.192

0255.255.255.128

D）255.255.255.255

119.［单选题］关于业务连续性（BCP）以下说法最恰当的是

A）组织为避免所有业务功能因重大事件而中断，减少业务风险而建立的一个控制过程

B）组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程

C）组织为避免所有业务功能因各种事件而中断，减少业务风险而建立的一个控制过程

D）组织为避免信息系统功能因各种事件而中断，减少信息系统风险而建立的一个控制过程

120.［单选题］信息安全的基本属性是（）。

A）机密性

B）可用性

C）完整性

D）上面3项都是

121.［单选题］下列对密网功能描述不正确的是：

A）可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击

B）吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来

C）可以进行攻击检测和实时报警

D）可以对攻击活动进行监视、检测和分析

122.［单选题］有关危害国家秘密安全的行为的法律责任，正确的是？

A）严重违反保密规定行为只要发生，无论是否产生实际后果，都要依法追究责任

B）非法获取国家秘密，不会构成刑事犯罪，不需要承担刑事责任

C）过失泄密国家秘密，不会构成刑事犯罪，不需要承担刑事责任

D）承担了刑事责任，无需再承担行政责任

123.［单选题］在网络攻击的多种类型中，攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪

一种？（）

A）拒绝服务

B）侵入攻击

C）信息盗窃

D）信息篡改

124.［单选题］校园网内由于病毒攻击、非法入侵等原因，200台以内的用户主机不能正常工作，属于

以下哪种级别事件

A）特别重大事件

B）重大事件

C）较大事件

D）一般事件

125.［单选题］信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行，下面哪

项包括非典型的安全协调应包括的人员？

A）管理人员、用户、应用设计人员

B）系统运维人员、内部审计人员、安全专员

C）内部审计人员、安全专员、领域专家

D）应用设计人员、内部审计人员、离职人员

126.［单选题］为了达到组织灾难恢复的要求，备份时间间隔不能超过；

A）服务水平目标（SLO）

B）恢复时间目标（RTO）

C）恢复点目标（RPO）

D）停用的最大可接受程度（MAO）

127.［单选题］下面对信息安全漏洞的理解中错误的是？

A）讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和

使用等阶段中均有可能产生漏洞

B）信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开

发等相关人员无意中产生的缺陷所造成的

C）信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和倍息系统带来安全损害，甚至带

来很大的经济报失

D）由于人类思维谁能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生信息

安全漏洞是不可避免的

128.［单选题］下列（）行为，情节较重的，处以5日以上10日以下的拘留。

A）未经允许重装系统

B）故意卸载应用程序

C）在互联网上长时间聊天的

D）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行

129.［单选题］VPN的英文全称是（）。

A）VisualProtocolNetwork

B）VirtualPrivateNetwork

OVirtualProtocolNetwork

D）VisualPrivateNetwork

130.［单选题］备份过滤王数据是备份哪些内容？

A）过滤控制台目录

B）过滤核心目录

C）核心目录下的ACCERS目录

D）核心目录下的几个目录

131.［单选题］一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规

范的定义？

A）2级-计划和跟踪

B）3级-充分定义

C）4级-量化控制

D）5级-持续改进

132.［单选题］ISO∕IBC27001《信息技术安全技术信息安全管理体系要求》的内容是基于

Λ）BS7799-1《信息安全实施细则》

B）BS7799-2《信息安全管理体系规范》

C）信息技术安全评估准则（简称ITSEC）

D）信息技术安全评估通用标准（简称CC）

133.［单选题］以下哪一种人给公司带来最大的安全风险？

A）临时工

B）咨询人员

C）以前职工

D）当前职工

134.［单选题］ApacheWeb服务器的配置文件一般位于//local/SPaChe/conf目录.其中用来控制用

户访问APaehe目录的配置文件是：

A）httqd.conf

B）srm.conf

C）access,conf

D）inetd.conf

135.［单选题］自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由

以下哪个组织提出工作意见，协调一致后由该组织申报

A）全国通信标准化技术委员会（TC485）

B）全国信息安全标准化技术委员会（TC260）

C）中国通信标准化协会（CCSA）

D）网络与信息安全技术工作委员会

136.［单选题］你来到服务器机房股比的一间办公室，发现窗户坏了，由于这不是你的办公室，你要

求在这里办公的员工请维修工来把窗户修好，你离开后，没有再过问这扇窗户的事情。这件事情的

结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？

A）如果窗户被修好，威胁真正出现的问题性会增加

B）如果窗户被修好，威胁真正出现的可能性会保持不变

C）如果窗户没有被修好，威胁真正出现的可能性会下降

D）如果窗户没有被修好，威胁真正出现的可能性会增加

137.［单选题］PKI在验证一个数字证书时需要查看—来确认该证书是否已经作废

A）ΛRL

B）CSS

C）KMS

D）CRL

138.［单选题］PKI管理对象不包括（）。

A）ID和口令

B）证书

C）密钥

D）证书撤消

139.［单选题］下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：

A）国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央

有关规定

B）各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密

级

C）对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定和定级，然后

报国家保密工作部门备案。

D）对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保

密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密

工作部门审定的机关确定

140.［单选题］第四代移动通信技术（4G）是（）集合体？

A）3G与WLAN

B）3G与LAN

O2G与3G

D）3G与WAN

141.［单选题］以下哪一个不是风险控制的主要方式

A）规避方式

B）转移方式

C）降低方式

D）隔离方式

142.［单选题］某网站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码

,但是在部署时由于管理员将备份存放在WEB目录下导致了攻击者可直接下载备份，为了发现系统中

是否存在其他类拟问题，一下那种测试方式是最佳的测试方法。

A）模糊测试

B）源代码测试

C）渗透测试

D）软件功能测试

143.［单选题］以下哪个不是软件安全需求分析阶段的主要任务？

A）确定团队负责人和安全顾问

B）威胁建模

C）定义安全和隐私需求（质量标准）

D）设立最低安全标准/Bug栏

144.［单选题］以下哪项不是IDS可以解决的问题：

A）弥补网络协议的弱点

B）识别和报告对数据文件的改动

C）统计分析系统中异常活动模式

D）提升系统监控能力

145.［单选题］小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份

技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立

”的基本概念与认识，小王的主要观点包括：1,背景建立的目的是为了明确信息安全风险管理的

范围和对象，以及对象的特性和安全要求，完成信息安全风险管理项目的规划和准备；2.背景建

立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；3.背景建立包括

：风险管理准备，信息系统调查，信息统分析和信息安全分析；4.背景建立的阶段性成果包括

：风险管理计划书、信息系统的描述报告、信息系统的分析报告请问小王的所述点中错误的是哪项

A）第一个观点：背景建立的目的只是为了明确信息安全风险管理的范围和对象

B）第二个观点：背景建立的依据是国家、地区行业的相关政策、法律、法规和标准

C）第三个观点：背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字

D）第四个观点：背景建立的阶段性成果中不包括有风险管理计划书

146.［单选题］风险管理的监控与审查不包含：

A）过程质量管理

B）成本效益管理

C）跟踪系统自身或所处环境的变化

D）协调内外部组织机构风险管理活动

147.［单选题］为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡

+短信认证”模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法？

A）实体“所知”以及实体“所有”的鉴别方法

B）实体“所有”以及实体“特征”的鉴别方法

C）实体“所知”以及实体“特征”的鉴别方法

D）实体“所有”以及实体“行为”的鉴别方法

148.［单选题］有编辑∕etc∕passwd文件能力的攻击者可以通过把UlD变为就可以成为特权

用户。

A）-l

B）0

Ol

D）2

149.［单选题］授权访问信息资产的责任人应该是

A）资产保管员

B）安全管理员

C）资产所有人

D）安全主管

150.［单选题］以下关于模糊测试过程的说法正确的是：

A）模糊测试的效果与覆盖能力，与输入样本选择不相关

B）为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统可能无法恢

复异常状态进行后续的测试

C）通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就

需要进一步分析其危害性、影响范围和修复建议

D）对于可能产生的大量异常报告，需要人工全部分析异常报告

151.［单选题］以下可能存在SQL注入攻击的部分是？

A）GET请求参数

B）POST请求参数

OCOOKIE值

D）以上均有可能

152.［单选题］一个较为可靠的鉴别系统一般是由以下哪几部份组成：

A）验证者、被验证者和中间人

B）验证者、被验证者和可信赖方

C）验证者和被验证者

D）验证者、被验证者和鉴别方

153.［单选题］33.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安

全协调小组发布的《关于开展信息安全风险评估工作的意见》