2024年信息安全工程师考试题库（第一部分）

2024年信息安全工程师考试题库（第一部分）1.ChinesEWall模型的设计宗旨是：()。A.用户只能访问哪些与已经拥有的信息不冲突的信息B.用户可以访问所有信息C.用户可以访问所有已经选择的信息D.用户不可以访问哪些没有选择的信息正确答案:A解析：ChinesEWall模型是一种访问控制模型，其设计宗旨是用户只能访问哪些与已经拥有的信息不冲突的信息。这意味着用户只能访问那些与其已经拥有的权限相符合的信息，而不能访问那些与其权限冲突的信息。因此，选项A正确。选项B、C、D都与ChinesEWall模型的设计宗旨不符。

2.安全责任分配的基本原则是：()。A.“三分靠技术，七分靠管理”B.“七分靠技术，三分靠管理”C.“谁主管，谁负责”D.防火墙技术正确答案:C解析：本题考查的是安全责任分配的基本原则。选项A和B都涉及到技术和管理的比例，但并没有明确指出责任分配的原则。选项D只是提到了防火墙技术，与题目无关。而选项C则明确指出了责任分配的原则，即由主管负责。因此，答案为C。

3.保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下()不属于

信息运行安全技术的范畴。A.风险分析B.审计跟踪技术C.应急技术D.防火墙技术正确答案:B解析：本题考查计算机安全领域中信息运行安全技术的范畴。选项A、C、D都是与信息运行安全相关的技术，而选项B审计跟踪技术虽然也是计算机安全领域中的一项技术，但是它主要是用于对计算机系统的操作进行监控和记录，以便于后续的审计和追踪，不属于信息运行安全技术的范畴。因此，本题的正确答案为B。

4.从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和

维护项目应该()。A.内部实现B.外部采购实现C.合作实现D.多来源合作实现正确答案:A解析：本题考查的是从风险的角度来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该采取哪种实现方式。根据风险管理的原则，对于关键业务系统的开发和维护，应该采取内部实现的方式，这样可以更好地控制项目进度和质量，减少外部因素对项目的影响，降低项目风险。因此，本题的正确答案是A。B、C、D三个选项都存在一定的风险，不太适合开发和维护关键业务系统。

5.从风险分析的观点来看，计算机系统的最主要弱点是()。A.内部计算机处理B.系统输入输出C.通讯和网络D.外部计算机处理正确答案:B解析：计算机系统的弱点可以从多个角度来考虑，如技术、管理、人员等方面。从风险分析的角度来看，计算机系统的弱点主要指的是可能导致系统遭受攻击或失效的因素。根据选项，内部计算机处理和外部计算机处理都属于系统内部的因素，通常不是系统最主要的弱点。而通讯和网络是计算机系统中最容易受到攻击的部分，因此也不是最主要的弱点。系统输入输出涉及到与外部环境的交互，是计算机系统中最容易受到攻击的部分之一，因此是计算机系统的最主要弱点。因此，本题的正确答案为B。

6.从风险管理的角度，以下哪种方法不可取？()A.接受风险B.分散风险C.转移风险D.拖延风险正确答案:D解析：从风险管理的角度来看，处理风险的方法通常包括接受风险、分散风险、转移风险等策略，这些都是积极应对风险的方式。接受风险意味着认识到风险的存在并决定不采取任何行动来改变风险水平；分散风险则是通过多样化的投资或操作来减少特定风险的影响；转移风险则是通过保险、合同或其他方式将风险转移给第三方。相比之下，拖延风险不是一个积极的风险管理策略。拖延可能会使风险加剧，导致更大的潜在损失或影响，因此不是一个可取的方法。所以，答案是D。

7.当今IT的发展与安全投入，安全意识和安全手段之间形成()。A.安全风险屏障B.安全风险缺口C.管理方式的变革D.管理方式的缺

口正确答案:B解析：本题考察的是当今IT发展中安全投入、安全意识和安全手段之间的关系。根据题干中的“形成”一词，可以推断出答案应该是一个“关系”或“联系”的词语。根据选项，A选项“安全风险屏障”不符合题意，C选项“管理方式的变革”与安全投入、安全意识和安全手段之间的关系不太相关，D选项“管理方式的缺口”也不符合题意。因此，正确答案应该是B选项“安全风险缺口”，意思是在安全投入、安全意识和安全手段之间存在着缺口或不足，导致安全风险存在。

8.当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？()。A.已买的软件B.定做的软件C.硬件D.数据正确答案:D解析：本题考查的是计算机资产的保险覆盖率，需要特别考虑的是哪一项。选项中，已买的软件、定做的软件和硬件都是计算机资产的组成部分，但是数据是计算机资产中最重要的部分，也是最难以替代的部分。因此，在为计算机资产定义保险覆盖率时，特别需要考虑数据的保险覆盖率。因此，本题的正确答案是D。

9.当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在

该系统重新上线前管理员不需查看：()A.访问控制列表B.系统服务配置情况C.审计记录D.用户账户和权限的设置正确答案:C解析：这道题考察的是系统管理员在重新安装和配置应用系统后，上线前需要检查的内容。重新安装系统意味着系统回到了初始状态，此时需要确保所有安全设置和配置都正确。访问控制列表、系统服务配置情况、用户账户和权限的设置都是关键的安全配置，需要管理员重新检查和配置。而审计记录是记录系统活动的日志，重新安装系统后，旧的审计记录不再适用，因此不需要查看。所以正确答案是C。

10.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不

得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行()。A.逻辑隔离B.物理隔离C.安装防火墙D.VLAN划分正确答案:B解析：根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统必须实行物理隔离，不能直接或间接地与国际互联网或其它公共信息网络相联接，以确保国家秘密的安全。逻辑隔离、安装防火墙、VLAN划分等措施都可以增强信息系统的安全性，但不足以满足涉及国家秘密的计算机信息系统的保密要求。因此，本题答案为B。

11.根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素

决定？()A.威胁、脆弱性B.系统价值、风险C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度业务正确答案:D解析：根据《信息系统安全等级保护定级指南》的规定，信息系统的安全保护等级由两个定级要素决定，分别是受侵害的客体和对客体造成侵害的程度业务。因此，选项D为正确答案。选项A、B、C都涉及到信息系统安全保护的相关因素，但不是定级要素。

12.公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风

险。人员考察的内容不包括()。A.身份考验、来自组织和个人的品格鉴定B.家庭背景情况调查C.学历和履历的真实性和完整性D.学术及专业资格正确答案:B解析：本题考查的是公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风险。人员考察的内容不包括哪些方面。根据题干中的关键词“不包括”，我们需要排除选项中与人员考察无关的内容。选项A中的“身份考验、来自组织和个人的品格鉴定”与人员考察相关；选项C中的“学历和履历的真实性和完整性”与人员考察相关；选项D中的“学术及专业资格”也与人员考察相关。因此，正确答案为B，即“家庭背景情况调查”不属于人员考察的内容。

13.计算机信息的实体安全包括环境安全、设备安全、()三个方面。A.运行安全B.媒体安全C.信息安全D.人事安全正确答案:B解析：计算机信息的实体安全主要关注的是保护计算机硬件、存储介质以及运行环境免受物理威胁。这包括确保环境（如温度、湿度、电磁干扰等）适合设备运行，设备（如服务器、路由器、存储设备等）的物理安全，以及存储数据的媒体（如硬盘、磁带、光盘等）的安全。因此，媒体安全是计算机信息实体安全的重要组成部分，选项B正确。其他选项如运行安全、信息安全、人事安全，虽然也是计算机安全的重要方面，但不属于实体安全的范畴。

14.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多

门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度？()A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室正确答案:B解析：《计算机信息系统国际联网保密管理规定》是为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家有关法规的规定，制定的规定。该规定由国家保密局颁布，于2000年1月1日开始施行。因此，选项B是正确的答案。

15.目前我国颁布实施的信息安全相关标准中，以下哪一个标准属于强制执行的标准？()A.GB/T18336-2001信息技术安全性评估准则B.GB17859-1999计算机信息系统安全保护等级划分准则C.GB/T9387.2-1995信息处理系统开放系统互联安全体系结构D.GA/T391-2002计算机信息系统安全等级保护管理要求正确答案:B解析：本题考查的是我国颁布实施的信息安全相关标准中，哪一个标准属于强制执行的标准。根据我国相关法律法规，强制执行的标准是GB17859-1999计算机信息系统安全保护等级划分准则，因此答案选B。其他选项虽然也是信息安全相关标准，但不属于强制执行的标准。

16.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其所

用，是指()。A.完整性B.可用性C.保密性D.抗抵赖性正确答案:C解析：本题考察的是信息安全中的三大要素之一——保密性。保密性是指确保信息只能被授权的人或实体访问和使用，不被非授权的个人、实体或进程所知晓和使用。因此，本题的正确答案为C。完整性是指信息在传输或存储过程中不被篡改或损坏，可用性是指信息在需要时能够被及时访问和使用，抗抵赖性是指确保信息的真实性和可信度，防止信息被否认或抵赖。这些都是信息安全中的重要概念，但不是本题所考察的答案。

17.如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？()A.自动软件管理B.书面化制度C.书面化方案D.书面化标准正确答案:A解析：本题考查的是对于程序变动的控制方法，选项中提供了四种方法，需要考生根据自己的知识和经验进行判断和选择。A选项是自动软件管理，这种方法可以通过软件工具来实现对程序变动的控制，可以自动化地进行版本控制、代码审查、测试等操作，提高了效率和准确性，同时也可以减少人为因素的干扰和误操作，因此是最有效的方法。B、C、D选项都是书面化的方法，虽然可以规范化和明确化程序变动的流程和要求，但是仍然需要人工进行控制和执行，容易出现疏漏和错误，收效甚微。综上所述，本题正确答案为A。

18.如果将风险管理分为风险评估和风险减缓，那么以下哪个不属于风险减缓的内容？()A.计算风险B.选择合适的安全措施C.实现安全措施D.接受残余风险正确答案:A解析：风险减缓是指在识别和评估风险之后，采取措施来降低风险的过程。在这个过程中，通常会选择合适的安全措施（B选项），实现这些安全措施（C选项），并在实施安全措施后接受可能存在的残余风险（D选项）。而计算风险（A选项）实际上是风险评估阶段的活动，它涉及到对潜在风险的识别、分析和量化，以确定风险的性质、可能性和影响。因此，计算风险不属于风险减缓的内容，所以答案是A。

19.软件供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后

门”程序。以下哪一项是这种情况面临的最主要风险？()A.软件中止和黑客入侵B.远程监控和远程维护C.软件中止和远程监控D.远程维护和黑客入侵正确答案:A解析：本题考察的是“后门”程序的风险。后门程序是指在软件或系统中预留的一种特殊程序，可以绕过正常的安全验证，从而实现对系统的非法访问和控制。因此，最主要的风险是软件中止和黑客入侵，即黑客可以利用后门程序入侵系统，造成系统崩溃或数据泄露等严重后果。选项B和D中提到的远程监控和远程维护，虽然也可能利用后门程序实现，但不是最主要的风险。因此，答案选A。

20.管理审计指()A.保证数据接收方收到的信息与发送方发送的信息完全一致B.防止因数据被截获而造成的泄密C.对用户和程序使用资源的情况进行记录和审查D.保证信息使用者都可正确答案:C解析：本题考查的是管理审计的定义。管理审计是指对用户和程序使用资源的情况进行记录和审查，以便发现和纠正不当行为，保证系统的安全性和完整性。因此，选项C是正确答案。选项A和B分别涉及信息传输的完整性和保密性，与管理审计无关；选项D则过于笼统，无法准确描述管理审计的内容。

21.为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的

方法？()A.进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B.进行离职谈话，禁止员工账号，更改密码C.让员工签署跨边界协议D.列出员工在解聘前需要注意的所有责任正确答案:A解析：本题考察企业在终止与员工的聘用关系时如何保护知识产权和其它资产。选项A中提到了三种措施：进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码，这些措施都可以有效地保护企业的知识产权和其它资产。选项B中没有提到让员工签署保密协议这一重要措施，选项C中提到了跨边界协议，但并不是所有员工都需要签署跨边界协议，因此不是最好的方法。选项D中列出员工在解聘前需要注意的所有责任，但并没有具体的措施来保护企业的知识产权和其它资产。因此，选项A是最好的方法。

22.为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？()A.人际关系技能B.项目管理技能C.技术技能D.沟通技能正确答案:D解析：本题考察的是信息系统安全部门员工最需要哪一项技能。根据选项可知，A选项人际关系技能、B选项项目管理技能、C选项技术技能都是重要的技能，但是在信息系统安全部门员工中最需要的技能是沟通技能，因为信息系统安全部门员工需要与其他部门的员工进行沟通，需要向上级汇报工作进展情况，需要向下级传达工作任务和要求，需要与客户进行沟通等等，因此沟通技能是信息系统安全部门员工必备的技能。因此，本题的正确答案是D。

23.我国的国家秘密分为几级？()A.3B.4C.5D.6正确答案:A解析：本题考查对我国国家秘密的了解。我国的国家秘密分为三级，分别是绝密级、机密级和秘密级。绝密级是最高级别的国家秘密，涉及国家安全和重大利益，只有极少数人掌握；机密级次之，涉及国家重要利益，只有必要人员掌握；秘密级是最低级别的国家秘密，涉及国家一般利益，只有需要知道的人员掌握。因此，本题的正确答案为A。

24.系统管理员属于()。A.决策层B.管理层C.执行层D.既可以划为管理层，又可以划为执行层正确答案:C解析：系统管理员是负责计算机系统的维护、管理和安全的专业人员，其主要职责是执行计算机系统的日常维护和管理工作，包括安装、配置、维护和升级操作系统、应用软件、网络设备等。因此，系统管理员属于执行层。选项A、B和D都不正确，因为决策层主要负责制定组织的战略和方针，管理层主要负责组织的管理和协调，既可以划为管理层，又可以划为执行层的职位一般是中层管理人员，而系统管理员不属于这些层次。因此，本题的正确答案是C。

25.下列哪一个说法是正确的？()A.风险越大，越不需要保护B.风险越小，越需要保护C.风险越大，越需要保护D.越是中等风险，越需要保护正确答案:C解析：本题考察的是风险与保护的关系。风险越大，意味着可能会面临更大的损失，因此需要更多的保护措施来降低风险。选项A的说法是错误的，因为风险越大，需要更多的保护措施来降低风险。选项B的说法也是错误的，因为风险越小，虽然可能面临的损失较小，但仍需要保护措施来防范风险。选项D的说法也是不准确的，因为中等风险需要根据具体情况来考虑是否需要保护措施。因此，选项C是正确的，风险越大，越需要保护。

26.下面哪类访问控制模型是基于安全标签实现的？()A.自主访问控制B.强制访问控制C.基于规则的访问控制D.基于身份的访问控制正确答案:B解析：本题考查的是访问控制模型中基于安全标签实现的类型。访问控制模型是指对系统资源进行访问控制的一种模型，常见的访问控制模型有自主访问控制、强制访问控制、基于规则的访问控制和基于身份的访问控制等。自主访问控制是指用户对自己的资源拥有完全的控制权，可以自由地决定资源的访问权限，而不受其他用户或管理员的限制。基于身份的访问控制是指根据用户的身份信息来控制其对系统资源的访问权限，通常需要用户进行身份认证和授权操作。基于规则的访问控制是指根据预先设定的规则来控制用户对系统资源的访问权限，通常需要管理员进行规则配置和管理。强制访问控制是指根据安全标签来控制用户对系统资源的访问权限，安全标签是对资源和用户进行分类和标记的一种方式，通常由管理员进行标记和管理。在强制访问控制模型中，用户的访问权限是由系统强制执行的，而不是由用户自主决定的。因此，本题的正确答案是B，即强制访问控制。

27.下面哪项能够提供最佳安全认证功能？()A.这个人拥有什么B.这个人是什么并且知道什么C.这个人是什么D.这个人知道什么正确答案:B解析：“这个人是什么并且知道什么”包含了多种认证因素，既包括身份识别（这个人是什么），又包括对特定知识或信息的掌握（这个人知道什么），这种组合方式相较于单纯的“拥有什么”“是什么”或“知道什么”等单一因素，能够提供更全面、更可靠的安全认证，降低了单一认证方式可能存在的漏洞或被冒用的风险。所以选项B是最佳安全认证功能。

28.下面哪一个是国家推荐性标准？()A.GB/T18020-1999应用级防火墙安全技术要求B.SJ/T30003-93电子计算机机房施工及验收规范C.GA243-2000计算机病毒防治产品评级准则D.ISO/IEC15408-1999信息技术安全性评估准则正确答案:A解析：本题考查的是国家推荐性标准的认识。选项A中的GB/T18020-1999是应用级防火墙安全技术要求，是国家推荐性标准；选项B中的SJ/T30003-93是电子计算机机房施工及验收规范，不是国家推荐性标准；选项C中的GA243-2000是计算机病毒防治产品评级准则，不是国家推荐性标准；选项D中的ISO/IEC15408-1999是信息技术安全性评估准则，不是国家推荐性标准。因此，本题的答案是A。

29.下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？()A.对安全违规的发现和验证是进行惩戒的重要前提B.惩戒措施的一个重要意义在于它的威慑性C.处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训D.尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重正确答案:C解析：本题考查对于对违反安全规定的员工进行惩戒的相关知识。下面分别对每个选项进行解析：A.对安全违规的发现和验证是进行惩戒的重要前提。这个说法是正确的。对于员工的安全违规行为，必须要有确凿的证据和证明，才能进行惩戒。B.惩戒措施的一个重要意义在于它的威慑性。这个说法也是正确的。惩戒措施的一个重要目的就是为了让员工认识到自己的错误，并且对其他员工起到威慑作用，避免类似的安全违规行为再次发生。C.处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训。这个说法是错误的。在进行惩戒时，应该考虑员工是否是初犯，是否接受过培训等因素，以便更加公平地进行惩戒。D.尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重。这个说法也是正确的。法律诉讼是一种严厉有效的惩戒手段，但是在使用它时必须要十分慎重，避免对员工造成不必要的伤害。综上所述，选项C是错误的，是本题的正确答案。

30.下面哪一项最好地描述了风险分析的目的？()A.识别用于保护资产的责任义务和规章制度B.识别资产以及保护资产所使用的技术控制措施C.识别资产、脆落性并计算潜在的风险D.识别同责任义务有直接关系的威胁正确答案:C解析：风险分析的目的是识别资产、脆弱性并计算潜在的风险。选项A描述的是保护资产的责任义务和规章制度，属于风险管理的一部分，不是风险分析的目的。选项B描述的是识别资产以及保护资产所使用的技术控制措施，也是风险管理的一部分，不是风险分析的目的。选项D描述的是识别同责任义务有直接关系的威胁，属于风险评估的一部分，不是风险分析的目的。因此，选项C最好地描述了风险分析的目的。

31.下面哪一项最好地描述了组织机构的安全策略？()A.定义了访问控制需求的总体指导方针B.建议了如何符合标准C.表明管理意图的高层陈述D.表明所使用的技术控制措施的高层陈述正确答案:A解析：答案解析：组织机构的安全策略是指导整个组织信息安全工作的基础，它涉及到如何保护组织的资产、数据以及系统的安全性。安全策略应该具有指导性和概括性，为具体的安全控制措施提供方向和依据。A选项“定义了访问控制需求的总体指导方针”最符合安全策略的定义，它强调了策略对访问控制需求的总体指导，这是安全策略的核心内容之一。B选项“建议了如何符合标准”更多地是在描述一种建议或指南，而不是策略本身。C选项“表明管理意图的高层陈述”虽然涉及到了管理意图，但并未明确指出这是关于安全控制的总体指导方针。D选项“表明所使用的技术控制措施的高层陈述”更多地是在描述技术控制措施，而不是策略本身。因此，A选项最好地描述了组织机构的安全策略。

32.下面哪一种风险对电子商务系统来说是特殊的？()A.服务中断B.应用程序系统欺骗C.未授权的信息泄露D.确认信息发送错误正确答案:D解析：本题考查的是电子商务系统中的特殊风险。选项A、B、C都是电子商务系统中常见的风险，而选项D则是特殊的风险。确认信息发送错误指的是在交易过程中，由于系统或人为原因，确认信息发送错误，导致交易信息不准确或者交易失败。这种风险对电子商务系统来说是特殊的，因为它直接影响到交易的准确性和可靠性，可能会导致用户的不满和投诉，甚至会影响到电子商务系统的声誉和信誉。因此，本题的正确答案是D。

33.下面有关我国标准化管理和组织机构的说法错误的是？()A.国家标准化管理委员会是统一管理全国标准化工作的主管机构B.国家标准化技术委员会承担国家标准的制定和修改工作C.全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布D.全国信息安全标准化技术委员负责统一协调信息安全国家标准年度技术项目正确答案:C解析：根据我国的标准化管理和组织机构，题目中关于全国信息安全标准化技术委员的说法是错误的。题目中选项C表示全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布。实际上，全国信息安全标准化技术委员会并非负责具体标准的审查、批准等工作。它主要负责统一协调信息安全国家标准年度技术项目，并不直接参与具体标准的制订和发布。因此,选项C是错误的答案。

34.项目管理是信息安全工程师基本理论，以下哪项对项目管理的理解是正确的？()A.项目管理的基本要素是质量，进度和成本B.项目管理的基本要素是范围，人力和沟通C.项目管理是从项目的执行开始到项目结束的全过程进行计划、组织D.项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论，

对项目涉及的技术工作进行有效地管理正确答案:A解析：本题考查对项目管理的基本要素的理解。选项A正确地指出了项目管理的基本要素是质量、进度和成本，这三个要素是项目管理中最为重要的方面，也是项目管理的核心内容。选项B中的范围、人力和沟通虽然也是项目管理中的重要方面，但并不是其基本要素。选项C中的计划、组织虽然是项目管理中的重要环节，但并不能完整地概括项目管理的基本要素。选项D中的有限资源约束、系统观点、方法和理论等虽然也是项目管理中的重要内容，但并不能完整地概括项目管理的基本要素。因此，本题的正确答案是A。

35.信息安全的金三角是()。A.可靠性，保密性和完整性B.多样性，冗余性和模化性C.保密性，完整性和可用性D.多样性，保密性和完整性正确答案:C解析：本题考查的是信息安全的金三角，即信息安全的三个基本要素。根据常识和相关知识可知，信息安全的金三角是保密性、完整性和可用性。选项A中的可靠性不属于信息安全的基本要素；选项B中的多样性、冗余性和模化性也不是信息安全的基本要素；选项C中的保密性、完整性和可用性正好符合信息安全的金三角；选项D中的多样性不属于信息安全的基本要素。因此，本题的正确答案是C。

36.信息安全风险缺口是指()。A.IT的发展与安全投入，安全意识和安全手段的不平衡B.信息化中，信息不足产生的漏洞C.计算机网络运行，维护的漏洞D.计算中心的火灾隐患正确答案:A解析：本题考查的是信息安全风险缺口的定义。选项A中提到了IT的发展与安全投入、安全意识和安全手段的不平衡，这正是信息安全风险缺口的定义。选项B中提到的是信息不足产生的漏洞，与信息安全风险缺口的定义不符。选项C中提到的是计算机网络运行、维护的漏洞，也不是信息安全风险缺口的定义。选项D中提到的是计算中心的火灾隐患，与信息安全风险缺口的定义无关。因此，本题的正确答案是A。

37.信息安全风险应该是以下哪些因素的函数？()A.信息资产的价值、面临的威胁以及自身存在的脆弱性等B.病毒、黑客、漏洞等C.保密信息如国家密码、商业秘密等D.网络、系统、应用的复杂的程度正确答案:A解析：本题考查信息安全风险的因素。信息安全风险是指在信息系统中，由于各种因素的影响，导致信息系统无法正常运行，或者信息系统中的信息被非法获取、篡改、破坏等情况的可能性。因此，信息安全风险应该是以下因素的函数：信息资产的价值、面临的威胁以及自身存在的脆弱性等。选项A正确。选项B、C、D都是信息安全风险的具体表现，不是信息安全风险的因素，因此不正确。综上所述，本题答案为A。

38.信息安全工程师监理的职责包括？()A.质量控制，进度控制，成本控制，合同管理，信息管理和协调B.质量控制，进度控制，成本控制，合同管理和协调C.确定安全要求，认可设计方案，监视安全态势，建立保障证据和协调D.确定安全要求，认可设计方案，监视安全态势和协调正确答案:A解析：本题考察信息安全工程师监理的职责。选项A中列举了信息安全工程师监理的全部职责，包括质量控制、进度控制、成本控制、合同管理、信息管理和协调。选项B中缺少了信息管理的职责，选项C中列举了部分职责，缺少了质量控制、进度控制、成本控制和合同管理的职责，选项D中缺少了质量控制、进度控制、成本控制和合同管理的职责。因此，答案为A。

39.信息安全管理最关注的是？()A.外部恶意攻击B.病毒对PC的影响C.内部恶意攻击D.病毒对网络的影响正确答案:C解析：信息安全管理最关注的是内部恶意攻击。虽然外部恶意攻击和病毒对PC和网络的影响也是信息安全管理需要关注的问题，但是内部恶意攻击更加难以防范和控制，因为内部人员已经获得了系统的访问权限，可以更容易地获取敏感信息或者破坏系统。因此，信息安全管理需要加强对内部人员的监管和控制，以防止内部恶意攻击的发生。

40.信息分类是信息安全管理工作的重要环节，下面哪一项不是对信息进行分类时需要重点

考虑的？()A.信息的价值B.信息的时效性C.信息的存储方式D.法律法规的规定正确答案:C解析：本题考查信息分类的重点考虑因素。信息分类是信息安全管理工作的重要环节，通过对信息进行分类，可以更好地进行信息安全管理。在信息分类时，需要重点考虑信息的价值、时效性、法律法规的规定等因素。而信息的存储方式虽然也是一个重要因素，但并不是信息分类时需要重点考虑的因素，因此选项C是本题的正确答案。

41.信息网络安全的第三个时代是()A.主机时代，专网时代，多网合一时代B.主机时代，PC时代，网络时代C.PC时代，网络时代，信息时代D.2001年，2002年，2003年正确答案:A解析：本题考查信息网络安全的发展历程。根据题干中的“第三个时代”，可以推断出信息网络安全已经经历了两个时代。根据选项进行分析：A.主机时代，专网时代，多网合一时代。这个选项中，第一个时代是主机时代，即计算机主机时代，第二个时代是专网时代，即局域网和广域网时代，第三个时代是多网合一时代，即互联网时代。这个选项符合信息网络安全的发展历程，因此是正确答案。B.主机时代，PC时代，网络时代。这个选项中，第一个时代是主机时代，符合信息网络安全的发展历程，但是第二个时代是PC时代，而不是专网时代，不符合题意。C.PC时代，网络时代，信息时代。这个选项中，第一个时代是PC时代，不符合信息网络安全的发展历程，因为计算机主机时代是信息网络安全的起点。因此，这个选项也不是正确答案。D.2001年，2002年，2003年。这个选项中，给出的是具体的年份，不符合信息网络安全的发展历程，因此也不是正确答案。综上所述，正确答案是A。

42.一个公司在制定信息安全体系框架时，下面哪一项是首要考虑和制定的？()A.安全策略B.安全标准C.操作规程D.安全基线正确答案:A解析：在制定信息安全体系框架时，公司需要首先确立一套明确的安全策略，作为后续制定安全标准、操作规程和安全基线的基石。安全策略为整个信息安全体系提供了方向和指导，确保了信息安全工作的系统性和一致性。因此，首要考虑和制定的是安全策略，选项A正确。

43.以下哪个不属于信息安全的三要素之一？()A.机密性B.完整性C.抗抵赖性D.可用性正确答案:C解析：本题考查的是信息安全的三要素，即机密性、完整性和可用性。抗抵赖性不属于信息安全的三要素之一，因此选项C为本题的正确答案。机密性是指信息只能被授权的人或实体访问和使用，不被未授权的人或实体获取和利用。完整性是指信息在传输、存储和处理过程中不被篡改、损坏或丢失，保持原始状态和价值。可用性是指信息在需要时能够及时、准确地被授权的人或实体访问和使用，不受任何干扰或阻碍。抗抵赖性是指在信息交互过程中，发送方不能否认已经发送过信息，接收方也不能否认已经接收到信息。虽然抗抵赖性也是信息安全的一个重要方面，但不属于信息安全的三要素之一。

44.以下哪一项安全目标在当前计算机系统安全建设中是最重要的？()A.目标应该具体B.目标应该清晰C.目标应该是可实现的D.目标应该进行良好的定义正确答案:C解析：在计算机系统安全建设中，安全目标的设定是至关重要的。选项A“目标应该具体”和选项B“目标应该清晰”都是目标设定的基本要求，但它们并不特指安全建设的核心要素。选项D“目标应该进行良好的定义”同样是一个通用的目标设定原则，也不特指安全建设的重点。而选项C“目标应该是可实现的”直接关联到安全建设的实际执行和成效。一个不可实现的安全目标，无论多么具体、清晰或定义良好，都无法有效指导安全实践。因此，在当前计算机系统安全建设中，最重要的安全目标是那些可以实际达成、能够有效提升系统安全性的目标。所以，答案是C。

45.以下哪一项计算机安全程序的组成部分是其它组成部分的基础？()A.制度和措施B.漏洞分析C.意外事故处理计划D.采购计划正确答案:A解析：计算机安全程序包括制度和措施、漏洞分析、意外事故处理计划、采购计划等多个组成部分。其中，制度和措施是计算机安全程序的基础，它们是制定和实施计算机安全策略的重要手段，包括安全政策、安全标准、安全规范、安全管理制度等。漏洞分析、意外事故处理计划、采购计划等都是在制度和措施的基础上进行的，因此选项A正确。

46.以下哪一项是对信息系统经常不能满足用户需求的最好解释？()A.没有适当的质量管理工具B.经常变化的用户需求C.用户参与需求挖掘不够D.项目管理能力不强正确答案:C解析：本题考察信息系统不能满足用户需求的原因。选项A、B、D都可能导致信息系统不能满足用户需求，但是选项C是最好的解释。因为用户参与需求挖掘不够，说明信息系统开发过程中没有充分了解用户需求，导致最终的信息系统不能满足用户需求。因此，选项C是本题的正确答案。

47.以下哪一种人给公司带来了最大的安全风险？()A.临时工B.咨询人员C.以前的员工D.当前的员工正确答案:D解析：本题考查的是企业安全管理方面的知识。选项中给出了四种人员类型，需要判断哪一种人员给公司带来了最大的安全风险。A选项临时工，由于临时工的工作时间较短，对公司的安全风险影响相对较小，因此排除。B选项咨询人员，咨询人员一般只是提供咨询服务，不会直接参与公司的运营和管理，因此对公司的安全风险影响相对较小，排除。C选项以前的员工，虽然以前的员工可能已经离职，但是他们可能还保留着公司的机密信息，如果这些信息被泄露出去，对公司的安全风险影响较大，但是相对于当前的员工，以前的员工已经离职，对公司的安全风险影响相对较小，排除。D选项当前的员工，当前的员工是公司的核心力量，如果员工在工作中存在安全意识不强、操作不规范等问题，就会给公司带来安全风险，因此选项D是正确答案。综上所述，本题正确答案为D。

48.以下哪种安全模型未使用针对主客体的访问控制机制？()A.基于角色模型B.自主访问控制模型C.信息流模型D.强制访问控制模型正确答案:C解析：本题考查的是安全模型中的访问控制机制。访问控制是指对系统中的资源进行控制和管理，以保证只有经过授权的用户才能访问资源。常见的访问控制机制有基于角色模型、自主访问控制模型、信息流模型和强制访问控制模型等。其中，基于角色模型和自主访问控制模型都是针对主客体的访问控制机制，即通过对用户和资源进行分类和分组，实现对用户访问资源的控制。强制访问控制模型则是通过对用户和资源进行标记和分类，实现对用户访问资源的控制。而信息流模型则是一种基于信息流的访问控制机制，它主要关注的是信息的流向和传递，而不是针对主客体的访问控制。因此，本题的正确答案是C。

49.以下哪种措施既可以起到保护的作用还能起到恢复的作用？()A.对参观者进行登记B.备份C.实施业务持续性计划D.口令正确答案:C解析：本题考查的是信息安全中的保护和恢复措施。选项A对于保护信息有一定作用，但并不能起到恢复作用；选项B备份只能起到恢复作用，不能保护信息；选项D口令只能起到保护作用，不能恢复信息。而选项C实施业务持续性计划既可以在信息遭受破坏时起到保护作用，又可以在信息遭受破坏后恢复信息，因此是既能保护又能恢复的措施。因此，本题的正确答案是C。

50.以下哪种风险被定义为合理的风险？()A.最小的风险B.可接受风险C.残余风险D.总风险正确答案:B解析：本题考察风险管理中的概念。根据风险管理的基本原则，风险无法完全消除，只能通过采取措施来降低风险。因此，合理的风险是指在采取措施后，剩余的风险是可接受的。因此，选项B“可接受风险”是正确答案。选项A“最小的风险”是不合理的，因为在实际情况中，为了达到某种目标，可能需要承担一定的风险。选项C“残余风险”是指在采取措施后，剩余的风险，与选项B的含义相同。选项D“总风险”是指在未采取措施前的风险，与本题无关。因此，本题答案为B。

51.以下人员中，谁负有决定信息分类级别的责任？()A.用户B.数据所有者C.审计员D.安全官正确答案:B解析：在信息管理和安全领域，决定信息分类级别的责任通常落在数据所有者身上。数据所有者是拥有数据并决定其使用、分享和保护方式的人或组织。他们负责确定数据的敏感度、合规性和安全需求，从而决定适当的分类级别。因此，选项B“数据所有者”是正确答案。

52.有三种基本的鉴别的方式：你知道什么，你有什么,以及()。A.你需要什么B.你看到什么C.你是什么D.你做什么正确答案:C解析：鉴别身份的方式通常基于个人所知道的信息（如密码、安全问题答案等）、拥有的物品（如身份证、钥匙等）或个人的生物特征（如指纹、面部识别等）。这三种方式覆盖了大多数常见的身份鉴别方法。选项C“你是什么”指的是个人的生物特征或身份属性，是一种常见的鉴别方式。其他选项A“你需要什么”、B“你看到什么”和D“你做什么”虽然在某些情况下也可能与身份鉴别相关，但它们不被视为基本的鉴别方式。因此，正确答案是选项C。

53.在对一个企业进行信息安全体系建设中，下面哪种方法是最佳的？()A.自下而上B.自上而下C.上下同时开展D.以上都不正确正确答案:B解析：自上而下的方法通常是在企业信息安全体系建设中的最佳选择。这种方法强调从管理层和领导层开始，制定全面的信息安全策略和政策，并确保其在整个组织中得到贯彻执行。自上而下的方法的优点包括：-明确的领导和方向：管理层的支持和参与确保了信息安全被视为企业的重要目标，并为整个组织提供了明确的指导。-全面的策略和政策：能够制定整体的信息安全策略和政策，涵盖组织的各个方面，包括人员、流程和技术。-资源分配：管理层可以更好地分配资金、人力和技术资源，以确保信息安全项目得到充分支持。-风险管理：能够从组织的整体角度进行风险评估和管理，制定相应的控制措施来降低风险。-文化变革：推动整个组织形成信息安全文化，使员工意识到信息安全的重要性，并积极参与保护企业的信息资产。相比之下，自下而上的方法可能缺乏足够的管理层支持和资源，难以在整个组织中推广和实施。上下同时开展的方法可能导致混乱和不协调。因此，自上而下的方法更有利于确保信息安全体系的有效建设和实施。选项B是正确的答案。

54.在风险分析中，下列不属于软件资产的是()A.计算机操作系统B.网络操作系统C.应用软件源代码D.外来恶意代码正确答案:D解析：软件资产是指企业拥有的软件产品、工具、应用程序等，这些资产可以帮助企业提高业务效率、降低成本、增强竞争力。在风险分析中，软件资产的安全性和稳定性是非常重要的因素。选项A、B、C都属于软件资产，而选项D外来恶意代码是一种安全威胁，不属于软件资产。因此，正确答案是D。

55.在国家标准中，属于强制性标准的是：()A.GB/TXXXX-X-200XB.GBXXXX-200XC.DBXX/TXXX-200XD.QXXX-XXX-200X正确答案:B解析：国家标准的编号由国家标准代号（GB）、发布顺序号和发布年代号组成，强制性国家标准代号为GB，推荐性国家标准代号为GB/T。DBXX/T一般是地方标准，QXXX-XXX通常是企业标准。在国家标准中，GBXXXX-200X表示强制性标准，GB/TXXXX-X-200X表示推荐性标准。所以属于强制性标准的是选项B。

56.在任何情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全事件？()A.当信息安全事件的负面影响扩展到本组织意外时B.只要发生了安全事件就应当公告C.只有公众的什么财产安全受到巨大危害时才公告D.当信息安全事件平息之后正确答案:A解析：本题考查组织在信息安全事件发生后应当如何公告。选项B和C都是极端的，不是所有的安全事件都需要公告，只有当负面影响扩展到组织之外时才需要公告。选项D也不正确，因为即使事件平息，公众和媒体也需要知道事件的发生和处理过程。因此，正确答案为A。

57.在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？()A.标准（Standard）B.安全策略（Securitypolicy）C.方针（GuidelinE）D.流程(Proecdure)正确答案:A解析：在信息安全策略体系中，标准（Standard）是指计算机或信息安全的强制性规则，是信息安全策略体系中最具体、最严格的规定，它规定了信息系统的安全要求、技术标准、实施方法和测试要求等。安全策略（Securitypolicy）、方针（Guideline）和流程（Procedure）都是信息安全策略体系中的重要组成部分，但它们并不是强制性规则，而是指导性的、建议性的规定。因此，本题的正确答案是A。

58.在信息安全管理工作中“符合性”的含义不包括哪一项？()A.对法律法规的符合B.对安全策略和标准的符合C.对用户预期服务效果的符合D.通过审计措施来验证符合情况正确答案:C解析：本题考查信息安全管理中“符合性”的含义。符合性是指企业或组织在信息安全管理中，按照相关的法律法规、安全策略和标准等要求，采取相应的措施，确保信息系统的安全性、可靠性和完整性。选项A、B、D都是符合性的具体表现，而选项C“对用户预期服务效果的符合”不属于符合性的含义，因此选C。

59.在许多组织机构中，产生总体安全性问题的主要原因是()。A.缺少安全性管理B.缺少故障管理C.缺少风险分析D.缺少技术控制机制正确答案:A解析：在许多组织机构中，总体安全性问题的产生往往与管理层面的缺失紧密相关。安全性管理是一个综合性的概念，它涵盖了风险评估、故障预防、技术控制等多个方面。当安全性管理不到位时，组织机构就容易面临各种安全威胁和风险。对比选项B、C、D，虽然它们也都是安全性问题的重要方面，但都是安全性管理的一部分。缺少故障管理可能导致对潜在问题的忽视，缺少风险分析可能导致对威胁的认知不足，缺少技术控制机制可能导致安全漏洞的存在。然而，这些问题都可以归结为缺少有效的安全性管理。因此，产生总体安全性问题的主要原因是缺少安全性管理，选项A是正确的。

60.职责分离是信息安全管理的一个基本概念。其关键是权利不能过分集中在某一个人手中。

职责分离的目的是确保没有单独的人员()可以对应用程序系统特征或控制功

能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？

（）A.数据安全管理员B.数据安全分析员C.系统审核员D.系统程序员正确答案:D解析：职责分离的目的是通过将不同的职责分配给不同的人员，以减少潜在的安全风险。在信息安全管理中，系统程序员负责开发和维护应用程序系统的软件。如果系统程序员同时拥有对安全系统软件的访问权限，他们就有可能对系统的特征或控制功能进行破坏，从而违背了职责分离的原则。而数据安全管理员、数据安全分析员和系统审核员的职责主要是与数据安全和系统审核相关，他们的工作重点不在于直接访问和修改安全系统软件。因此，正确答案是选项D。

61.中国电信的岗位描述中都应明确包含安全职责，并形成正式文件记录在案，对于安全职

责的描述应包括()。A.落实安全政策的常规职责B.执行具体安全程序或活动的特定职责C.保护具体资产的特定职责D.以上都对正确答案:D解析：在一个企业中，安全职责是多方面且全面的。落实安全政策的常规职责确保整个组织遵循统一的安全策略和方向；执行具体安全程序或活动的特定职责可使各项安全措施切实落地实施；保护具体资产的特定职责明确了对具体资产保护的责任归属。中国电信作为大型企业，岗位描述中的安全职责需要包括这些层面，这样才能构建全面、有效的安全管理体系。所以ABC三个选项均是需要包含的内容，即选项D正确。

62.终端安全管理目标：规范支撑系统中终端用户的行为，降低来自支撑系统终端的安全威

胁，重点解决以下哪些问题？()。A.终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设

置管理；终端防病毒管理B.终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理；终端防病毒管

理C.终端接入和配置管理；桌面及主机设置管理；终端防病毒管理D.终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设

置管理正确答案:A解析：终端安全管理需要全面考虑多个方面。终端接入和配置管理能确保只有授权的终端接入系统并正确配置；终端账号、秘密、漏洞补丁等系统安全管理可保障账户安全、及时修补漏洞，降低安全风险；桌面及主机设置管理保证系统环境安全稳定；终端防病毒管理能有效抵御病毒等恶意软件的威胁。A选项包含了终端安全管理目标中重点要解决的全部内容，而B选项缺少终端接入和配置管理；C选项缺少终端账号、秘密、漏洞补丁等系统安全管理；D选项也同样不完整。所以正确答案是A。

63.著名的橘皮书指的是()。A.可信计算机系统评估标准(TCSEC)B.信息安全技术评估标准（ITSEC）C.美国联邦标准（FC）D.通用准则（CC）正确答案:A解析：本题考查的是计算机安全领域的知识点。橘皮书是指可信计算机系统评估标准（TCSEC），也称为“橙皮书”，是美国国家安全局（NSA）于1983年发布的一份计算机安全标准，用于评估计算机系统的安全性。因为封面为橙色，所以被称为“橘皮书”。因此，本题的正确答案为A。其他选项分别是欧洲的信息安全技术评估标准（ITSEC）、美国联邦标准（FC）和通用准则（CC），与橘皮书无关。

64.资产的敏感性通常怎样进行划分？()A.绝密、机密、敏感B.机密、秘密、敏感和公开C.绝密、机密、秘密、敏感和公开等五类D.绝密、高度机密、秘密、敏感和公开等五类正确答案:C解析：本题考察资产敏感性的划分。资产敏感性的划分是信息安全管理的基础，不同的敏感性级别需要采取不同的保护措施。根据国家保密局的规定，资产的敏感性通常划分为五类，分别是绝密、机密、秘密、敏感和公开。因此，本题的正确答案为C。选项A和D中的“高度机密”属于错误选项，选项B中的“秘密和公开”也不全面，因此都不是正确答案。

65.重要系统关键操作操作日志保存时间至少保存()个月。A.1B.2C.3D.4正确答案:C解析：本题考查的是信息安全中的日志管理知识点。在重要系统中，关键操作的操作日志应当被保存一定的时间，以便于后续的审计和追溯。根据国家相关规定，一般要求至少保存3个月，因此本题的答案为C。

66.安全基线达标管理办法规定：BSS系统口令设置应遵循的内控要求是()A.数字+字母B.数字+字母+符号C.数字+字母+字母大小写D.数字+符号正确答案:C解析：本题考查的是安全基线达标管理办法中对BSS系统口令设置的内控要求。根据选项可知，口令设置应包含数字和字母，并且要求字母大小写都要包含，因此选项C为正确答案。选项A和D都没有要求包含字母，选项B虽然包含符号，但没有要求字母大小写都要包含，因此都不符合要求。

67.不属于安全策略所涉及的方面是()。A.物理安全策略B.访问控制策略C.信息加密策略D.防火墙策略正确答案:D解析：本题考查的是安全策略的相关知识。安全策略是指为保护计算机系统和网络安全而采取的一系列措施和方法。常见的安全策略包括物理安全策略、访问控制策略、信息加密策略等。而防火墙策略虽然也是保护计算机系统和网络安全的一种措施，但是它属于网络安全策略的范畴，不属于安全策略所涉及的方面。因此，本题的答案为D。

68.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密

级分为：()。A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”，“三密”、“四密”四个级别正确答案:C解析：本题考查对《中华人民共和国保守国家秘密法》第二章的理解。根据该章节内容可知，国家秘密的密级分为“绝密”、“机密”、“秘密”三个级别，因此选项C为正确答案。选项A、B、D均与该章节内容不符。

69.对MBOSS系统所有资产每年至少进行()次安全漏洞自评估。A.1B.2C.3D.4正确答案:A解析：根据题目所给的条件，要求对MBOSS系统所有资产每年至少进行一次安全漏洞自评估，因此选项A正确。选项B、C、D都超过了要求的最低次数，不符合题意。

70.下列情形之一的程序，不应当被认定为《中华人民共和国刑法》规定的“计算机病毒等

破坏性程序”的是：()。A.能够盗取用户数据或者传播非法信息的B.能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、

传播，并破坏计算机系统功能、数据或者应用程序的C.能够在预先设定条件下自动触发，并破坏计算机系统功能、数据或者应用程序的D.其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序正确答案:A解析：本题考查对《中华人民共和国刑法》中计算机病毒等破坏性程序的定义和特征的理解。根据《中华人民共和国刑法》第二百六十七条的规定，计算机病毒等破坏性程序是指能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的程序。因此，选项B、C、D都符合计算机病毒等破坏性程序的定义和特征。而选项A中的“能够盗取用户数据或者传播非法信息的”并没有提到破坏计算机系统功能、数据或者应用程序，因此不符合计算机病毒等破坏性程序的定义和特征。因此，选项A是本题的正确答案。

71.中国电信各省级公司争取在1-3年内实现CTG-MBOSS系统安全基线“达标”()级以

上。A.A级B.B级C.C级D.D级正确答案:C解析：本题考查的是对CTG-MBOSS系统安全基线的了解。CTG-MBOSS系统是中国电信的一种业务支撑系统，安全基线是指系统的安全保障措施达到的最低标准。根据题目所述，中国电信各省级公司争取在1-3年内实现CTG-MBOSS系统安全基线“达标”级以上，因此答案应为C级。

72.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求？()A.国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安

全和其他中央有关规定B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围

的规定确定密级C.对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定

和定级，然后国家保密工作部门备案D.对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、

直辖市的保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市正确答案:C解析：依据《保守国家秘密法》，对是否属于国家秘密和属于何种密级不明确的事项，应当依照法定程序确定，而不是由各单位自行确定和定级后仅备案。应由国家保密工作部门，省、自治区、直辖市的保密工作部门，以及省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门来确定，C选项不符合要求，ABD选项表述正确。所以答案选C。

73.获取支付结算、证劵交易、期货交易等网络金融服务的身份认证信息()组以上的可

以被《中华人民共和国刑法》认为是非法获取计算机信息系统系统认定的“情节严重”。A.5B.10C.-15D.20正确答案:B解析：本题考查的是网络安全法中的相关规定。根据《中华人民共和国网络安全法》第四十一条规定，未经网络用户同意，获取其个人信息的，应当停止违法行为，删除已经获取的个人信息，采取补救措施，防止个人信息泄露，不得非法出售、非法向他人提供、非法公开个人信息。情节严重的，由公安机关依法查处。根据该条规定，获取支付结算、证劵交易、期货交易等网络金融服务的身份认证信息，属于非法获取个人信息的行为，情节严重的将被依法查处。因此，答案为B，即10组以上的身份认证信息被认为是非法获取计算机信息系统认定的“情节严重”。

74.基准达标项满()分作为安全基线达标合格的必要条件。A.50B.60C.70D.80正确答案:B解析：本题考查对于安全基线达标合格的必要条件的理解。根据题干中的信息，基准达标项满分作为安全基线达标合格的必要条件，因此选项B的60分为正确答案。选项A的50分、选项C的70分、选项D的80分均不符合题意。因此，本题答案为B。

75.《国家保密法》对违法人员的量刑标准是()。A.国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严

重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑B.国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严

重的，处四年以下有期徒刑或者拘役；情节特别严重的，处四年以上七年以下有期徒刑C.国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，

处五年以下有期徒刑或者拘役；情节特别严重的，处五年以上七年以下有期徒刑D.-国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重，

处七年以下有期徒刑或者拘役；情节特别严重的，处七年以下有期徒刑正确答案:A解析：《中华人民共和国保守国家秘密法》第三十一条规定：国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑。所以选项A正确。

76.$HOME/.netrC文件包含下列哪种命令的自动登录信息？()A.rshB.sshC.ftpD.rlogin正确答案:C解析：在Unix/Linux系统中，.netrc文件通常用于存储FTP客户端的自动登录信息，包括用户名、密码、FTP服务器的主机名等。当用户使用FTP客户端连接到远程服务器时，FTP客户端会读取.netrc文件中的登录信息，并自动进行登录。rsh、ssh、rlogin等命令通常不需要使用.netrc文件进行自动登录，它们有自己的身份验证和登录机制。因此，选项C是正确答案。

77./etc/ftpuser文件中出现的账户的意义表示()。A.该账户不可登录ftpB.该账户可以登录ftpC.没有关系D.缺少正确答案:A解析：/etc/ftpuser文件是用来限制FTP用户登录的，其中列出的账户表示不允许登录FTP的用户。因此，出现在/etc/ftpuser文件中的账户意味着该账户不可登录FTP，选项A正确。选项B错误，因为该文件中列出的账户不能登录FTP。选项C和D也都不正确。

78.按TCSEC标准，WinNT的安全级别是()。A.C2B.B2C.C3D.B1正确答案:A解析：TCSEC（TrustedComputerSystemEvaluationCriteria，可信计算机系统评估准则）是美国国防部制定的计算机系统安全评估标准，也称为“橙皮书”。根据TCSEC标准，WinNT的安全级别为C2级别，因此选项A正确。B2级别要求比C2更高，C3级别要求比B2更高，B1级别要求比C2更低。

79.Linux系统/etC目录从功能上看相当于Windows的哪个目录？()A.programfilesB.WindowsC.systemvolumEinformationD.TEMP正确答案:B解析：Linux系统的/etc目录存放的是系统的配置文件，类似于Windows系统的Windows目录，而Windows目录存放的是操作系统的核心文件，因此从功能上看，Linux系统的/etc目录相当于Windows系统的Windows目录。因此，本题的正确答案为B。选项A的programfiles目录存放的是应用程序的安装文件；选项C的systemvolumeinformation目录存放的是系统还原点和卷影副本；选项D的TEMP目录存放的是临时文件。

80.Linux系统格式化分区用哪个命令？()A.fdiskB.mvC.mountD.dF正确答案:A解析：本题考查Linux系统中格式化分区的命令。选项中，只有A选项fdisk是用来对磁盘进行分区和格式化的命令，因此答案为A。其他选项的解释：B.mv是用来移动或重命名文件或目录的命令，与格式化分区无关。C.mount是用来挂载文件系统的命令，与格式化分区无关。D.dF是一个不存在的命令，与格式化分区无关。

81.在Unix系统中，当用ls命令列出文件属性时，如果显示-rwxrwxrwx,意思是()。A.前三位rwx表示文件属主的访问权限；中间三位rwx表示文件同组用户的访问权限；

后三位rwx表示其他用户的访问权限B.前三位rwx表示文件同组用户的访问权限；中间三位rwx表示文件属主的访问权限；

后三位rwx表示其他用户的访问权限C.前三位rwx表示文件同域用户的访问权限；中间三位rwx表示文件属主的访问权限；

后三位rwx表示其他用户的访问权限D.前三位rwx表示文件属主的访问权限；中间三位rwx表示文件同组用户的访问权限；

后三位rwx表示同域用户的访问权限正确答案:A解析：在Unix系统中，文件属性包括文件类型和文件权限。文件类型包括普通文件、目录、链接文件等，文件权限包括读、写、执行权限。当用ls命令列出文件属性时，如果显示-rwxrwxrwx，其中第一个字符"-"表示这是一个普通文件，后面的字符中，每三个字符为一组，分别表示文件属主、文件同组用户和其他用户的访问权限。其中，r表示读权限，w表示写权限，x表示执行权限，-表示没有相应的权限。因此，选项A描述的是正确的文件权限表示方法，是本题的正确答案。

82.Linux系统通过()命令给其他用户发消息。A.lessB.mesgC.writED.echoto正确答案:C解析：本题考查Linux系统中给其他用户发送消息的命令。根据选项可知，选项A的less命令是用于查看文件内容的，与题目无关；选项B的mesg命令是用于控制终端接收消息的权限，也与题目无关；选项D的echoto命令是错误的，因为Linux中没有这个命令。因此，正确答案为C，即Linux系统通过write命令给其他用户发消息。write命令的格式为：writeusername[ttyname]，其中username为接收消息的用户名，ttyname为终端设备名，如果不指定则默认为当前终端。

83.Linux中，向系统中某个特定用户发送信息，用什么命令？()A.wallB.writEC.mesgD.netsenD正确答案:B解析：本题考查Linux中向特定用户发送信息的命令。选项中，A选项的wall命令是向所有用户发送信息的命令，不符合题意；C选项的mesg命令是控制是否接收其他用户发送的信息的命令，也不符合题意；D选项的netsend命令是Windows系统中向特定用户发送信息的命令，与Linux系统无关。因此，正确答案为B选项的write命令，该命令可以向指定用户发送信息。

84.防止系统对ping请求做出回应，正确的命令是：()。A.echo0>/proc/sys/net/ipv4/icmp_ehco_ignore_allB.echo0>/proc/sys/net/ipv4/tcp_syncookiesC.echo1>/proc/sys/net/ipv4/icmp_echo_ignore_allD.echo1>/proc/sys/net/ipv4/tcp_syncookies正确答案:C解析：本题考查的是Linux系统中防止ping请求的命令。ping命令是通过ICMP协议实现的，因此需要修改ICMP相关的配置。正确的命令是echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all，其中1表示忽略所有ICMP回显请求，即不回应ping请求。因此，选项C是正确答案。选项A和B分别是关闭ICMP回显请求和启用TCPSYNcookies的命令，与本题无关。选项D是启用TCPSYNcookies的命令，也与本题无关。

85.NT/2K模型符合哪个安全级别？()A.B2B.C2C.B1D.C1正确答案:B解析：答案：B、C2解析：根据题目描述，需要确定NT/2K模型符合哪个安全级别。NT/2K是指WindowsNT和Windows2000操作系统。而安全级别通常是指根据不同的信息安全标准或体系，对计算机系统、网络系统或软件进行评估和分类的一种等级划分。根据常见的信息安全级别划分标准，B2（有时也称为低水平）表示在这个级别上，系统具有明确定义和执行的政策和程序，能够保护机密性和完整性，但可能没有足够的保障来保证可用性。C2（有时也称为中水平）表示在这个级别上，系统具有更高的安全性能，包括严格的身份验证、访问控制、审计和其他安全功能。它提供了更多的防御措施，以保护系统免受未经授权的访问和攻击。根据题目描述，NT/2K模型符合B2或C2安全级别中的哪一个。根据常见情况，NT/2K模型符合C2安全级别。因此，选项B、C2是正确答案。

86.ReDFlagLinux指定域名服务器位置的文件是()。A.etc/hostsB.etc/networksC.etc/rosolv.conFD./.profilE正确答案:C解析：本题考查的是Linux系统中指定域名服务器位置的文件。根据Linux系统的常规设置，域名解析的配置文件是resolv.conf，而不是hosts、networks或.profile等文件。因此，正确答案为C。

87.Solaris操作系统下，下面哪个命令可以修改/n2kuser/.profilE文件的属性为所有用户可读、

科协、可执行？()A.chmoD744/n2kuser/.profilEB.chmoD755/n2kuser/.profilEC.chmoD766/n2kuser/.profilED.chmoD777/n2kuser/.profilE正确答案:D解析：在Solaris操作系统中，`chmod`命令用于修改文件或目录的权限。权限用三个数字表示，分别代表文件所有者、用户组和其他用户的权限。每个数字可以是0到7之间的任意一个值，其中：-0表示没有权限。-1表示执行权限（x）。-2表示写权限（w）。-4表示读权限（r）。-7表示读、写和执行权限（rwx）。因此，要将文件`/n2kuser/.profile`的属性修改为所有用户可读、科协可执行，可以使用以下命令：`chmod777/n2kuser/.profile`其中，777表示所有用户都具有读、写和执行权限。所以，正确答案是D。

88.如何配置，使得用户从服务器A访问服务器B而无需输入密码？()A.利用NIS同步用户的用户名和密码B.在两台服务器上创建并配置/.rhost文件C.在两台服务器上创建并配置$HOME/.netrC文件D.在两台服务器上创建并配置/etc/hosts.equiv文件正确答案:D解析：本题考察的是如何配置使得用户从服务器A访问服务器B时无需输入密码。选项A提到了NIS，但是NIS是一种用户认证和授权的服务，不涉及到无需密码访问的问题，因此排除。选项B提到了/.rhost文件，这个文件是用来配置远程主机的信任关系的，但是这个文件需要在每个用户的home目录下配置，不太实用，因此排除。选项C提到了$HOME/.netrc文件，这个文件是用来配置FTP客户端的，不涉及到SSH认证，因此排除。选项D提到了/etc/hosts.equiv文件，这个文件是用来配置主机之间的信任关系的，可以实现无需密码访问，因此是正确答案。因此，本题的答案是D。

89.Solaris系统使用什么命令查看已有补丁列表？()A.unamE–anB.showrevC.oslevel–rD.swlist–lproduct‘PH??’正确答案:C解析：本题考查的是Solaris系统中查看已有补丁列表的命令。选项A的命令unamE–an是用来查看系统的主机名和操作系统信息的，与题目无关；选项B的命令showrev是用来查看系统版本和硬件信息的，也与题目无关；选项D的命令swlist–lproduct‘PH??’是用来列出已安装的软件包及其版本信息的，不是查看补丁列表的命令。因此，正确答案为C，即使用命令oslevel–r来查看已有补丁列表。

90.Unix系统中存放每个用户信息的文件是()。A./sys/passwDB./sys/passworDC./etc/passworDD./etc/passwD正确答案:D解析：Unix系统中存放每个用户信息的文件是/etc/passwd，选项D正确。选项A和B中的passwD和passworD拼写错误，选项