2020年CISP試題題庫（626道）

2020CISP

1、安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工

作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置

不利于提高運行環(huán)境安全?一一［單選題］

A操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞

B為了方便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)C,所有數(shù)據(jù)和操作系

統(tǒng)都存放在C盤

C操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能

正確答案：B

2、入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安全技術(shù)，它與IDS

有著許多不同點，請指出下列哪一項描述不符合IPS的特點?一一［單選題］

A串接到網(wǎng)絡(luò)線路中

B對異常的進出流量可以直接進行阻斷

C有可能造成單點故障

D不會影響網(wǎng)絡(luò)性能

正確答案：D

3、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯誤的理解是：一一［單選題］

ASSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)

商等

BSSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目

C基手SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施

DSSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工

程活動

正確答案：C

4、下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：——［單選題］

A信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄等生命

周期密切相關(guān)

B信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性

C信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進行綜合保障

D信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險降低到可接受的程度，從而實現(xiàn)其業(yè)務(wù)使命

正確答案：B

5、賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?一一

［單選題］

A分布式拒絕服務(wù)攻擊(DDoS)

B病毒傳染

C口令暴力破解

D緩沖區(qū)溢出攻擊

正確答案：C

6、《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)中關(guān)于信息系統(tǒng)生命周

期各階段的風(fēng)險評估描述不正確的是：一［單選題］

A規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等

B設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功

能需求

C實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風(fēng)險

識別，并對系統(tǒng)建成后的安全功能進行驗證

D運行維護階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種全面的風(fēng)險評

估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面

正確答案：D

7、關(guān)于源代碼審核，描述正確的是()一一［單選題］

A源代碼審核過程遵循信息安全保障技術(shù)框架模型(IATF),在執(zhí)行時應(yīng)一步一步嚴(yán)格執(zhí)行

B源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題，相關(guān)的審核工具既有商業(yè)開源工具

C源代碼審核如果想要有效率高，則主要依賴人工審核而不是工具審核，因為人工智能的,

需要人的腦袋來判斷

D源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測試

正確答案：B

8、關(guān)于軟件安全開發(fā)生命周期(SDL),下面說法錯誤的是：一一［單選題］

A在軟件開發(fā)的各個周期都要考慮安全因素

B軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段

C測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件

開發(fā)成本

D在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本

正確答案：C

9、下列對網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos描述正確的是：一一［單選題］

A該協(xié)議使用非對稱密鑰加密機制

B密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成

C該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)

D使用該協(xié)議不需要時鐘基本同步的環(huán)境

正確答案：C

10、作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行業(yè)務(wù)影響分析(BIA)時的步驟是：1.標(biāo)識關(guān)鍵的

業(yè)務(wù)過程；2.開發(fā)恢復(fù)優(yōu)先級；3.標(biāo)識關(guān)鍵的IT資源；4.表示中斷影響和允許的中斷時

間一一［單選題］

A1-3-4-2

B1-3-2-4

C1-2-3-4

D1-4-3-2

正確答案：A

11、以下關(guān)于項目的含義，理解錯誤的是：一一［單選題］

A項目是為達到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的

產(chǎn)品、服務(wù)或成果而進行的一次性努力

B項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進度來隨機確定。

C項目資源指完成項目所需要的人、財、物等

D項目目標(biāo)要遵守SMART原則，即項目的目標(biāo)要求具體(Specific)、可測量(Measurable)、

需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(Realistic)、有一定的時限(Timeoriented)

正確答案：B

12、某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威脅,

STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消

減措施，gSpoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?一

［單選題］

A網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度

B網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導(dǎo)致用戶傳輸信息泄露，

例如購買的商品金額等

C網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被

中途篡改

D網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼,

以該用戶身份登錄修改用戶訂單等信息

正確答案：D

13、2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化

法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯

誤的是：一一［單選題］

A電子簽名一一是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)

可其中內(nèi)容的數(shù)據(jù)

B電子簽名適用于民事活動中的合同或者其他文件、單證等文書

C電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)

D電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有

正確答案：D

14、小張是信息安全風(fēng)險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的

風(fēng)險進行評估，已知：核心機房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%),

歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為

多少：一一［單選題］

A24萬

B0.09萬

C37.5萬

D9萬

正確答案：D

15、關(guān)于信息安全保障技術(shù)框架(IATF),以下說法不正確的是：一一［單選題］

A分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本

BIATF從人、技術(shù)和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無

法破壞整個信息基礎(chǔ)設(shè)施

C允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性

DIATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)各個可能位置實現(xiàn)所有信息安全保障機制

正確答案：D

16^某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品，需要購

買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：一一［單選題］

A選購當(dāng)前技術(shù)最先進的防火墻即可

B選購任意一款品牌防火墻

C任意選購一款價格合適的防火墻產(chǎn)品

D選購一款同已有安全產(chǎn)品聯(lián)動的防火墻

正確答案：D

17、以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：一一［單選題］

AVTP

BL2F

CPPTP

DL2TP

正確答案：A

18、在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中，規(guī)定了軟件開

發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能：一一［單選題］

A治理，主要是管理軟件開發(fā)的過程和活動

B構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動

C驗證，主要是測試和驗證軟件的過程與活動

D購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動

正確答案：D

19、不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機構(gòu)應(yīng)當(dāng)根據(jù)各

自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是()。一一［單選題］

A定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進行評估，得出可以量化的風(fēng)險分析結(jié)果，以

度量風(fēng)險的可能性和缺失量

B定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分

析，而不應(yīng)選擇定性風(fēng)險分析

C定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進行，所以分析結(jié)果和風(fēng)險評估

團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)

D定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性

正確答案:B

20、在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生產(chǎn)

系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的：一一［單選題］

A測試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問控制措施

B為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施

C在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)

D部署審計措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用

正確答案：B

21、某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一

類：----匚單選題］

A個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B由可信第三方完成的用戶身份鑒別

C個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別

D用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別

正確答案：C

22、某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經(jīng)理和人

事部門人員同時進行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全哪項原則一一［單選題］

A最小權(quán)限

B權(quán)限分離

C不信任

D縱深防御

正確答案：B

23、下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：一一［單選題］

A第二層隧道協(xié)議(L2TP)

BInternet安全性(IPSEC)

C終端訪問控制器訪問控制系統(tǒng)(TACACS+)

D點對點隧道協(xié)議(PPTP)

正確答案：C

24、以下關(guān)于PGP(PrettyGoodPrivacy)軟件敘述錯誤的是：——［單選題］

APGP可以實現(xiàn)對郵件的加密、簽名和認(rèn)證

BPGP可以實現(xiàn)數(shù)據(jù)壓縮

CPGP可以對郵件進行分段和重組

DPGP采用SHA算法加密郵件

正確答案：D

25、以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的：一一［單選題］

AHttps協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為

BHttps使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性

CHttps協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能

DHttps協(xié)議使用了挑戰(zhàn)機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的

正確答案：A

26、下面哪項屬于軟件開發(fā)安全方面的問題()——［單選題］

A軟件部署時所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。

B應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)

C應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)

D軟件受許可證(license)限制，不能在多臺電腦上安裝。

正確答案：C

27、信息安全管理體系(informationSecurityManagementSystem.簡稱ISMS)的實施和

運行ISMS階段，是ISMS過程模型的實施階段(Do),下面給出了一些備①制定風(fēng)險處理計

劃②實施風(fēng)險處理計劃③開發(fā)有效性測量程序④實施培訓(xùn)和意識教育計劃⑤管理ISMS的運

行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實施內(nèi)部審核⑨實施風(fēng)險再評估

選的活動，選項()描述了在此階段組織應(yīng)進行的活動。一一［單選題］

A①②③④⑤⑥

B①②③④⑤⑥⑦

C①②③④⑤⑥⑦⑧

D①②③④⑤⑥⑦⑧⑨

正確答案：B

28、以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：一一［單選題］

A信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B明確違反信息安全的行為，并對行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動

C信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源

D信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系

正確答案：C

29、在實施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值

的評估，以下選項中正確的是()一一［單選題］

A資產(chǎn)的價值指采購費用

B資產(chǎn)的價值指維護費用

C資產(chǎn)的價值與其重要性密切相關(guān)

D資產(chǎn)的價值無法估計

正確答案：C

30、相比文件配置表(FAT)文件系統(tǒng)，以下哪個不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?一

一匚單選題］

ANTFS使用事務(wù)日志自動記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問題，

而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作

BNTFS的分區(qū)上，可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限

C對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率

D相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式

正確答案：D

31、關(guān)于linux下的用戶和組，以下描述不正確的是。一一［單選題］

A在linux中，每一個文件和程序都歸屬于一個特定的“用戶”

B系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組

C用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組

Droot是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限

正確答案：c

32、以下對于信息安全事件理解錯誤的是：一一［單選題］

A信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造

成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件

B對信息安全事件進行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息

安全戰(zhàn)略的一部分

C應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容

D通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息

安全事件的發(fā)生

正確答案：D

33、下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是：——［單選題］

A國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/T20274.1-2006)

中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)和核心

B模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作

時，可根據(jù)具體環(huán)境和要求進行改動和細化

C信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全

D信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行

維護和使用的人員在能力和培訓(xùn)方面不需要投入

正確答案：D

34、在ISO的0SI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)?一

［單選題］

A加密

B數(shù)字簽名

C訪問控制

D路由控制。

正確答案：B

35、以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?一一［單選題］

A是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險

B是否可以抵抗大部分風(fēng)險

C是否建立了具有自適應(yīng)能力的信息安全模型

D是否己經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)

正確答案：D

36、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實施(BasePractice)正確的理

解是：一一［單選題］

ABP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法

BBP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的

CBP不代表信息安全工程領(lǐng)域的最佳實踐

DBP不是過程區(qū)域(ProcessAreas,PA)的強制項

正確答案：A

37、為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短

信認(rèn)證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法?一一［單選題］

A實體“所知”以及實體“所有”的鑒別方法

B實體“所有”以及實體“特征”的鑒別方法

C實體“所知”以及實體“特征”的鑒別方法

D實體“所有”以及實體“行為”的鑒別方法

正確答案：A

38、下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信

息安全工作的主要原則？一一［單選題］

A《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》

B《中華人民共和國計算機信息系統(tǒng)安全保護條例》

C《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》

D《關(guān)于開展信息安全風(fēng)險評估工作的意見》

正確答案：C

39、以下關(guān)于軟件安全測試說法正確的是()一一［單選題］

A軟件安全測試就是黑盒測試

BFUZZ測試是經(jīng)常采用的安全測試方法之一

C軟件安全測試關(guān)注的是軟件的功能

D軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題

正確答案：B

40、在以下標(biāo)準(zhǔn)中，屬于推薦性國家標(biāo)準(zhǔn)的是？一一［單選題］

AGB/TXXXX.X-200X

BGBXXXX-200X

CDBXX/TXXX-200X

DGB/ZXXX-XXX-200X

正確答案：A

41、以下哪一項是數(shù)據(jù)完整性得到保護的例子?一一［單選題］

A某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證己登錄的用戶可以完成操作

B在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作

C某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操

作

D李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法

查看

正確答案：B

42、小李去參加單位組織的信息安全管理體系(InformationSecurityManagement

System.ISMS)的理解畫了一下一張圖(圖中包括了規(guī)劃建立、實施運行、保持和改進)，但是

他還存在一個空白處未填寫，請幫他選擇一個最合適的選項()。一一［單選題］

A監(jiān)控和反饋ISMS

B批準(zhǔn)和監(jiān)督ISMS

C監(jiān)視和評審ISMS

D溝通和咨詢ISMS

正確答案：C

43、以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分：一一［單選題］

A監(jiān)理咨詢支撐要素

B控制和管理手段

C監(jiān)理咨詢階段過程

D監(jiān)理組織安全實施

正確答案：D

44、與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)?一一［單選題］

A防護

B檢測

C反應(yīng)

D策略

正確答案：D

45、關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說法錯誤的是：一一［單選題］

A應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生

后所采取的措施

B應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段

C對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素

D根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件

（i級）、重大事件（n級）、較大事件（in級）和一般事件（w級）

正確答案：B

46、下列哪一種方法屬于基于實體“所有”鑒別方法：一一［單選題］

A用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別

B用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別

C用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別

D用戶使用集成電路卡（如智能卡）完成身份鑒別

正確答案：D

47、信息安全工程作為信息安全保障的重耍組成部門，主要是為了解決:一一［單選題］

A信息系統(tǒng)的技術(shù)架構(gòu)安全問題

B信息系統(tǒng)組成部門的組件安全問題

C信息系統(tǒng)生命周期的過程安全問題

D信息系統(tǒng)運行維護的安全管理問題

正確答案：C

48、Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出

明文。以下說法正確的是：——［單選題］

A此密碼體制為對稱密碼體制

B此密碼體制為私鑰密碼體制

C此密碼體制為單鑰密碼體制

D此密碼體制為公鑰密碼體制

正確答案：D

49、軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護的說法哪個是錯誤

的?一一［單選題］

A告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用

B當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許

C用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是

D確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)

正確答案：C

50、某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的

討論，在下面的發(fā)言觀點中，正確的是（）——［單選題］

A軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%

以上的安全問題。

B應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計階段增加一定的安全措施，這樣可以比在軟件發(fā)布以后

進行漏洞修復(fù)所花的代價少得多。

C和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期(SDL)最大特點是增加了一個

專門的安全編碼階段。

D軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安

全性測試，就沒有必要再組織第三方進行安全性測試。

正確答案：B

51、在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活?一一［單選題］

A粒度越小

B約束越細致

C范圍越大

D約束范圍大

正確答案：A

52、主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問

控制實現(xiàn)方法是：一一［單選題］

A訪問控制表(ACL)

B訪問控制矩陣

C能力表(CL)

D前綴表(Profiles)

正確答案：C

53、從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：一一［單選題］

A系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)

科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。

B系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到

企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。

C系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用

面向開發(fā)的方法。

D系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對

安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的

先進學(xué)科。

正確答案：C

54、關(guān)于我國加強信息安全保障工作的主耍原則，以下說法錯誤的是一一［單選題］

A立足國情，以我為主，堅持技術(shù)與管理并重

B正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全

C統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作

D全面提高信息安全防護能力，保護公眾利益，維護國家安全

正確答案：D

55、以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：一一［單選題］

A禁用主機的CD驅(qū)動、USB接口等I/0設(shè)備

B對不再使用的硬盤進行嚴(yán)格的數(shù)據(jù)清除

C將不再使用的紙質(zhì)文件用碎紙機粉碎

D用快速格式化刪除存儲介質(zhì)中的保密文件

正確答案：D

56、風(fēng)險管理的監(jiān)控與審查不包含：一一［單選題］

A過程質(zhì)量管理

B成本效益管理

C跟蹤系統(tǒng)自身或所處環(huán)境的變化

D協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動

正確答案：D

57、進入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定并頒布網(wǎng)絡(luò)

空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下

說法不正確的是：一一［單選題］

A與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點

B美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政

府部門的多個機構(gòu)共同承擔(dān)

C各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理

D在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)

之間的合作關(guān)系

正確答案：B

58、依據(jù)國家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安

全保障目的指的是：——［單選題］

A信息系統(tǒng)安全保障目的

B環(huán)境安全保障目的

C信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的

正確答案：D

59、某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進

行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用

網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試

的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測試的優(yōu)勢?一一［單選題］

A滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞

B滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高

C滲透測試使用人工進行測試，不依賴軟件，因此測試更準(zhǔn)確

D滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

正確答案：A

60、在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進行測

量時，正確的理解是：一一［單選題］

A測量單位是基本實施(BasePractices.BP)

B測量單位是通用實踐(GenericPractices,GP)

C測量單位是過程區(qū)域(ProcessAreas,PA)

D測量單位是公共特征(CommonFeatures,CF)

正確答案：D

61、下列對于信息安全保障深度防御模型的說法錯誤的是一一［單選題］

A信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此

對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系,

將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工

程的方法來建設(shè)信息系統(tǒng)。

C信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的

重要組成部分。

D信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”。

正確答案：D

62、為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。一一［單選題］

A統(tǒng)一而精確地的時間

B全面覆蓋系統(tǒng)資產(chǎn)

C包括訪問源、訪問目標(biāo)和訪問活動等重要信息

D可以讓系統(tǒng)的所有用戶方便的讀取

正確答案：D

63、某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比,

關(guān)于此種鑒別技術(shù)說法不正確的是：一一［單選題］

A所選擇的特征(指紋)便于收集、測量和比較

B每個人所擁有的指紋都是獨一無二的

C指紋信息是每個人獨有的，指紋識別系統(tǒng)不存在安全威脅問題

D此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成

正確答案：C

64、張三將微信個人頭像換成微信群中某好友頭像，并將呢稱改為該好友的呢稱，然后向該

好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?一一［單選題］

A口令攻擊

B暴力破解

C拒絕服務(wù)攻擊

D社會工程學(xué)攻擊

正確答案：D

65、對信息安全風(fēng)險評估要素理解正確的是：一一［單選題］

A資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)

務(wù)系統(tǒng)，也可以是組織機構(gòu)

B應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價

C脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項

D信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅

正確答案：A

66、2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃

(ComprehensiveNationalCybersecurityInitiative,CNC1)。CNC1計劃建立三道防線：

第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對各類威脅；第三道防線，

強化未來安全環(huán)境.從以上內(nèi)容，我們可以看出以下哪種分析是正確的：一一［單選題］

ACNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險

B從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

CCNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)

絡(luò)基礎(chǔ)上修修補補

DCNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點，

而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

正確答案：A

67、下列哪一些對信息安全漏洞的描述是錯誤的?一一［單選題］

A漏洞是存在于信息系統(tǒng)的某種缺陷。

B漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。

C具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給

信息系統(tǒng)安全帶來威脅和損失。

D漏洞都是人為故意引入的一種信息系統(tǒng)的弱點

正確答案：D

68、層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》

建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)

構(gòu)，那么，以下選項()應(yīng)放入到一級文件中.一一［單選題］

A《風(fēng)險評估報告》

B《人力資源安全管理規(guī)定》

C《ISMS內(nèi)部審核計劃》

D《單位信息安全方針》

正確答案：D

69、以下哪一項不是信息安全管理工作必須遵循的原則?一一［單選題］

A風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中

B風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作

C由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低

D在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力

正確答案：C

70、為增強Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓(xùn)，下

面哪項內(nèi)容不在考慮范圍內(nèi)()一一［單選題］

A關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓(xùn)

B針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn)

C針對SQL注入漏洞的安全編程培訓(xùn)

D關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn)

正確答案：D

71、下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：一一［單選題］

A設(shè)置網(wǎng)絡(luò)連接時限

B記錄并分析系統(tǒng)錯誤日志

C記錄并分析用戶和管理員操作日志

D啟用時鐘同步

正確答案：A

72、根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是：一一［單選題］

A信息安全風(fēng)險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相

互結(jié)合、互為補充

B信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實效”的原則開展

C信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程

D開展信息安全風(fēng)險評估工作應(yīng)加強信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)

正確答案：A

73、以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：一一［單選題］

A增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件

B依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級

C數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份

D如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進行容災(zāi)演練了

正確答案：C

74、下面的角色對應(yīng)的信息安全職責(zé)不合理的是：一一［單選題］

A高級管理層一一最終責(zé)任

B信息安全部門主管——提供各種信息安全工作必須的資源

C系統(tǒng)的普通使用者——遵守日常操作規(guī)范

D審計人員一一檢查安全策略是否被遵從

正確答案：B

75、某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，

但是在部署時由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)

系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。一一［單選題］

A模糊測試

B源代碼測試

C滲透測試

D軟件功能測試答

正確答案：C

76、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices,BP),正

確的理解是：一一［單選題］

ABP是基于最新技術(shù)而制定的安全參數(shù)基本配置

B大部分BP是沒有經(jīng)過測試的

C一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段

D一項BP可以和其他BP有重疊

正確答案：C

77、以下關(guān)于直接附加存儲(DirectAttachedStorage,DAS)說法錯誤的是：一一［單選題］

ADAS能夠在服務(wù)器物理位置比較分散的情況下實現(xiàn)大容量存儲.是一種常用的數(shù)據(jù)存儲方

法

BDAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單

CDAS的缺點在于對服務(wù)器依賴性強，當(dāng)服務(wù)器發(fā)生故障時，連接在服務(wù)器上的存儲設(shè)備中

的數(shù)據(jù)不能被存取保密注冊信息安全專業(yè)人員考試模擬考試試卷12/16

D較網(wǎng)絡(luò)附加存儲(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，

便于對數(shù)據(jù)進行管理和備份

正確答案：D

78、某公司系統(tǒng)管理員最近正在部署一臺Web服務(wù)器，使用的操作系統(tǒng)是windows,在進行

日志安全管理設(shè)置時，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進行參考，其中能有效應(yīng)對攻

擊者獲得系統(tǒng)權(quán)限后對日志進行修改的策略是：一一［單選題］

A網(wǎng)絡(luò)中單獨部署syslog服務(wù)器，將Web服務(wù)器的日志自動發(fā)送并存儲到該syslog日志

服務(wù)器中

B嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進行讀和寫等操作

C對日志屬性進行調(diào)整，加大日志文件大小、延長覆蓋時間、設(shè)置記錄更多信息等

D使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間

正確答案：A

79、軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實

現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。

在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：一一［單選題］

A在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確

保安全經(jīng)費得到落實

B在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計

中存在的安全不足

C確保對軟編碼人員進行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人

員編寫出安全的代碼

D在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)

以上測試的軟件不允許上線運行

正確答案：D

80、假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：一一［單選題］

A是多余的，因為它們完成了同樣的功能，但要求更多的開銷

B是必須的，可以為預(yù)防控制的功效提供檢測

C是可選的，可以實現(xiàn)深度防御

D在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制功能已

經(jīng)足夠

正確答案:C

81、為推動和規(guī)范我國信息安全等級保護工作，我國制定和發(fā)布了信息安全等級保護工作所

需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護工作的工作階段大致分類。下面四個標(biāo)準(zhǔn)中,

()規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)容。一一［單選題］

AGB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》

BGB/T22240-2008《信息系統(tǒng)安全保護等級定級指南》

CGB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》

DGB/T20269-2006《信息系統(tǒng)安全管理要求》

正確答案：B

82、信息系統(tǒng)安全工程(ISSE)的一個重要目標(biāo)就是在IT項目的各個階段充分考慮安全因素,

在IT項目的立項階段，以下哪一項不是必須進行的工作：一一［單選題］

A明確業(yè)務(wù)對信息安全的要求

B識別來自法律法規(guī)的安全要求

C論證安全要求是否正確完整

D通過測試證明系統(tǒng)的功能和性能可以滿足安全要求

正確答案：D

83、在0SI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以下

哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?一一［單選題］

A網(wǎng)絡(luò)層

B表示層

C會話層

D物理層

正確答案：A

84、自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)由以

下哪個組織提出工作意見，協(xié)調(diào)一致后由該組織申報。一一［單選題］

A全國通信標(biāo)準(zhǔn)化技術(shù)委員會(TC485)

B全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)

C中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)

D網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

正確答案：B

85、以下對異地備份中心的理解最準(zhǔn)確的是：一一［單選題］

A與生產(chǎn)中心不在同一城市

B與生產(chǎn)中心距離100公里以上

C與生產(chǎn)中心距離200公里以上

D與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險的機率很小

正確答案：D

86、在某網(wǎng)絡(luò)機房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：一一［單

選題］

A審核實施投資計劃

B審核實施進度計劃

C審核工程實施人員

D企業(yè)資質(zhì)

正確答案：A

87、有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：一一［單選題］

A嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實際后果，都要依法追究責(zé)任

B非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任

C過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任

D承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和/或其他處分

正確答案：A

88、由于頻繁出現(xiàn)計算機運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強軟件

安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是（）——［單選題］

A要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓(xùn)

B要求增加軟件源代碼審核環(huán)節(jié)，加強對軟件代碼的安全性審查

C要求統(tǒng)一采用Windows8系統(tǒng)進行開發(fā)，不能采用之前的Windows版本

D要求邀請專業(yè)隊伍進行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題

正確答案：C

89、某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招

標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作，目前，各個

應(yīng)用系統(tǒng)均己完成開發(fā)，M公司已經(jīng)提交了驗收申請，監(jiān)理公司需要對A公司提交的軟件配

置文件進行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔：一［單選題］

A項目計劃書

B質(zhì)量控制計劃

C評審報告

D需求說明書

正確答案：D

90、信息安全等級保護要求中，第三級適用的正確的是：一一［單選題］

A適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定

影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益

B適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng),

其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一般損害

C適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后,

會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴(yán)重?fù)p害

D適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系

統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設(shè)和公共利益造成特別嚴(yán)重?fù)p害

正確答案：B

91、某公司在執(zhí)行災(zāi)難恢復(fù)測試時.信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點的服務(wù)器的運行

速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：一一［單選題］

A災(zāi)難恢復(fù)站點的錯誤事件報告

B災(zāi)難恢復(fù)測試計劃

C災(zāi)難恢復(fù)計劃(DRP)

D主站點和災(zāi)難恢復(fù)站點的配置文件

正確答案：A

92、某單位開發(fā)一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行

了源代碼分析，模糊測試等軟件測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進

行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試，模糊測試的優(yōu)

勢給領(lǐng)導(dǎo)做決策，以下哪條是滲透性的優(yōu)勢？——［單選題］

A滲透測試使用人工進行測試，不依賴軟件，因此測試更準(zhǔn)確

B滲透測試是用軟件代替人工的一種測試方法。因此測試效率更高

C滲透測試以攻擊者思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞

D滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

正確答案：C

93、風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R(A,T,V)=R(L(T,V),

F(Ia,Va))以下關(guān)于上式各項說明錯誤的是一一［單選題］

AR表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性

BL表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性

CF表示安全事件發(fā)生后造成的損失

Dla,Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度

正確答案：D

94、以下哪個不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?一一［單選題］

AARP協(xié)議是一個無狀態(tài)的協(xié)議

B為提高效率，ARP信息在系統(tǒng)中會緩存

CARP緩存是動態(tài)的，可被改寫

DARP協(xié)議是用于尋址的一個重要協(xié)議

正確答案：D

95、微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項錯誤的是()-

一［單選題］

A某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)“軟件R威脅

B某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。

C對于R威脅，可以選擇使用如強認(rèn)證、數(shù)字簽名、安全審計等技術(shù)

D對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術(shù)

正確答案：D

96、鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：-

一［單選題］

A口令

B令牌

C知識

D密碼

正確答案：B

97、以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity,IPSec)協(xié)議說法錯誤的是：一

一［單選題］

A在傳送模式中，保護的是IP負(fù)載。

B驗證頭協(xié)議(AuthenticationHeader,AH)和IP封裝安全載荷協(xié)議(Encapsulating

SecurityPayload,ESP)都能以傳輸模式和隧道模式工作。

C在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。

DIPSec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性。

正確答案：D

98、以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl.RBAC)：根據(jù)組

織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不

同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是：

—［單選題］

A當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問

請求將被拒絕

B業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色

C通過角色，可實現(xiàn)對信息資源訪問的控制

DRBAC模型不能實現(xiàn)多級安全中的訪問控制

正確答案：D

99、以下哪些是需要在信息安全策略中進行描述的：一一［單選題］

A組織信息系統(tǒng)安全架構(gòu)

B信息安全工作的基本原則

C組織信息安全技術(shù)參數(shù)

D組織信息安全實施手段

正確答案：B

100、微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其

中“棄用不安全的函數(shù)”屬于（）的安全活動一一［單選題］

A要求階段

B設(shè)計階段

C實施階段

D驗證階段

正確答案：C

101、我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進，以及深化落實三個階段，

以下關(guān)于我國信息安全保障各階段說法不正確的是：一一［單選題］

A2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正

式啟動

B2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強信息安全保障工作的意見》

（中辦發(fā)27號文），明確了“積極防御、綜合防范”的國家信息安全保障方針

C2003年中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進入深化落實階段

D在深化落實階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等

級保護和風(fēng)險評估取得了新進展。

正確答案：C

102、金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習(xí)慣：-

［單選題］

A使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟件進行

升級

B為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的

軟件

C在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件

D在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)

正確答案：A

103、我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面，以

下關(guān)于安全保障建設(shè)主要工作內(nèi)容說法不正確的是：一一［單選題］

A建全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障

B建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐

C建立信息安全技術(shù)體系，實現(xiàn)國家信息化發(fā)展的自主創(chuàng)新

D建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)

正確答案：C

104、某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進行升級改造，以下哪一項不是此次改造中信

息系統(tǒng)安全需求分析過程需要考慮的主要因素一一［單選題］

A信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)

B信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求

C消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險

D該銀行整體安全策略

正確答案：C

105、信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安全功能等角度對信息技術(shù)產(chǎn)品、信息系統(tǒng)、服務(wù)

提供商以及人員進行測試和評估，以下關(guān)于信息安全測評說法不正確的是：一一［單選題］

A信息產(chǎn)品安全評估是測評機構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估產(chǎn)品安

全的信任

B目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評兩種類

型

C信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)

量保證能力的具體衡量和評價。

D信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安

全事件可能造成的危害程度，提出游針對性的安全防護策略和整改措施

正確答案：B

106、美國的關(guān)鍵信息基礎(chǔ)設(shè)施(CriticalInformationInfrastructure,CII)包括商用核

設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、

國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：-

一［單選題］

A這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠

B這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域

C這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突

出

D這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴(yán)重的損失。

正確答案：C

107、在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：一一［單選題］

A要充分切合信息安全需求并且實際可行

B要充分考慮成本效益，在滿足合規(guī)性要求和風(fēng)險處置要求的前提下，盡量控制成本

C要充分采取新技術(shù)，使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求

D要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案障礙

正確答案：C

108、分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是()—［單選題］

A分組密碼算法要求輸入明文按組分成固定長度的塊

B分組密碼的算法每次計算得到固定長度的密文輸出塊

C分組密碼算法也稱作序列密碼算法

D常見的DES.IDEA算法都屬于分組密碼算法

正確答案：C

109、密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法、密碼協(xié)議也是網(wǎng)

絡(luò)安全的一個重要組成部分。下面描述中，錯誤的是()——［單選題］

A在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)

行步驟，有些復(fù)雜的步驟可以不明確處理方式。

B密碼協(xié)議定義了兩方或多方之間為完成某項任務(wù)而指定的一系列步驟，協(xié)議中的每個參與

方都必須了解協(xié)議，且按步驟執(zhí)行。

C根據(jù)密碼協(xié)議應(yīng)用目的的不同，參與該協(xié)議的雙方可能是朋友和完全信息的人，也可能是

敵人和互相完全不信任的人。

D密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用

密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。

正確答案：A

110、部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityVirtualPrivate

Network,IPsecVPN)時，以下說法正確的是：---［單選題］

A配置MD5安全算法可以提供可靠的數(shù)據(jù)加密

B配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證

C部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP

地址段，來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗

D報文驗證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機密性

正確答案：C

111、虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個臨時的，安全的

網(wǎng)絡(luò)。這里的字母P的正確解釋是()一一［單選題］

ASpecial-purpose.特定、專用用途的

BProprietary專有的、專賣的

CPrivate私有的、專有的

DSpecific特種的、具體的

正確答案：C

112、以下中indows系統(tǒng)的賬號存儲管理機制SAM(SecurityAccountsManager)的說法哪

個是正確的：一一［單選題］

A存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性

B存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性

C存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便

D存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性

正確答案：D

113、某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容，該公司應(yīng)當(dāng)購買并部署下

面哪個設(shè)備()一一［單選題］

A安全路由器

B網(wǎng)絡(luò)審計系統(tǒng)

C網(wǎng)頁防篡改系統(tǒng)

D虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)系統(tǒng)

正確答案：C

114、關(guān)于惡意代碼，以下說法錯誤的是：一一［單選題］

A從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。

B按照運行平臺，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。

C不感染的依附性惡意代碼無法單獨執(zhí)行

D為了對目標(biāo)系統(tǒng)實施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件

正確答案：B

115、某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17：00到20：00間

受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊().一一［單選題］

A跨站腳本(CrossSiteScripting,XSS)攻擊

BTCP會話劫持(TCPHijack)攻擊

CIP欺騙攻擊

D拒絕服務(wù)(DenialofService,DoS)攻擊

正確答案：D

116、當(dāng)前，應(yīng)用軟件安全己經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)

現(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應(yīng)用軟件漏洞成因無關(guān)：一一［單選題］

A傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素

B開發(fā)人員對信息安全知識掌握不足

C相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞

D應(yīng)用軟件的功能越來越多，軟件越來越復(fù)雜，更容易出現(xiàn)漏洞

正確答案：C

117、下面哪個模型和軟件安全開發(fā)無關(guān)()?一一［單選題］

A微軟提出的“安全開發(fā)生命周期(SecurityDevelopmentLifecycle,SDL)”

BGrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分(BuildingSecurityIN,

BSD”

COWASP維護的“軟件保證成熟度模型(SoftwareAssuranceMaturityMode,SAMM)”

D"信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF)”

正確答案：D

118、某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測

試過程的說法正確的是：一一［單選題］

A模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例

B數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象

C監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況

D深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析

正確答案：D

119、以下關(guān)于模糊測試過程的說法正確的是：一一［單選題］

A模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)

B為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進行現(xiàn)場保護記錄，系統(tǒng)可能

無法恢復(fù)異常狀態(tài)進行后續(xù)的測試

C通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏

洞，就需要進一步分析其危害性、影響范圍和修復(fù)建議

D對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告

正確答案：C

120、關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()一一［單

選題］

AWPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議

BWPA是適用于中國的無線局域安全協(xié)議，WPA2是使用于全世界的無線局域網(wǎng)協(xié)議

CWPA沒有使用密碼算法對接入進行認(rèn)證，而WPA2使用了密碼算法對接入進行認(rèn)證

DWPA是依照802.lli標(biāo)準(zhǔn)草案制定的，而WPA2是按照802.lli正式標(biāo)準(zhǔn)制定的

正確答案：D

121、防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作