注冊信息安全工程師練習試題附答案

第頁注冊信息安全工程師練習試題附答案1.2005年，RFC4301（RequestforComments4301：SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標準建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請問此類RFC系列標準建議是由下面哪個組織發(fā)布的？A、國際標準化組織（InternationalOrganizationforStandardization，ISO）B、國際電工委員會（InternationalElectrotechnicalCommission，IEC）C、國際電信聯(lián)盟遠程通信標準化組織（ITUTelecommunicationStandardizationSector，ITU-T）D、Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）【正確答案】：D解析：

教材P67，RFC系列標準由IETF發(fā)布。2.以下哪項制度或標準被作為我國的一項基礎(chǔ)制度加以推行，并且有一定強制性，其實施的主要目標是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全？A、信息安全管理體系（ISMS）B、信息安全等級保護C、NISTSP800D、ISO270000系列【正確答案】：B解析：

題干所描述的正是等保的作用3.有關(guān)國家秘密，錯誤的是：A、國家秘密是關(guān)系國家安全和利益的事項B、國家秘密的確定沒有正式的法定程序C、除了明確規(guī)定需要長期保密的，其他的國家秘密都是有保密期限的D、國家秘密只限一定范圍的人知悉【正確答案】：B解析：

《中華人民共和國保守國家秘密法》第九條

第九條下列涉及國家安全和利益的事項，泄露后可能損害國家在政治、經(jīng)濟、國防、外交等領(lǐng)域的安全和利益的，應(yīng)當確定為國家秘密：

(一)國家事務(wù)重大決策中的秘密事項；

(二)國防建設(shè)和武裝力量活動中的秘密事項；

(三)外交和外事活動中的秘密事項以及對外承擔保密義務(wù)的秘密事項；

(四)國民經(jīng)濟和社會發(fā)展中的秘密事項；

(五)科學技術(shù)中的秘密事項；

(六)維護國家安全活動和追查刑事犯罪中的秘密事項；

(七)經(jīng)國家保密行政管理部門確定的其他秘密事項。

政黨的秘密事項中符合前款規(guī)定的，屬于國家秘密。4.某次對某系統(tǒng)進行安全測試時，李工發(fā)現(xiàn)一個URL“http：///downloaD.jsp?path=uploads/test.jpg”，你覺得此URL最有可能存在什么漏洞（）A、任意文件下載漏洞B、SQL注入漏洞C、未驗證的重定向和轉(zhuǎn)發(fā)D、命令執(zhí)行漏洞【正確答案】：A解析：

URL中有download和path，顯然屬于文件下載漏洞5.隨著高校業(yè)務(wù)資源逐漸向數(shù)據(jù)中心高度集中，Web成為一種普適平臺，上面承載了越來越多的核心業(yè)務(wù)。Web的開放性帶來豐富資源、高效率、新工作方式的同時，也使機構(gòu)的重要信息暴露在越來越多的威脅中。去年，某個本科生院網(wǎng)站遭遇SQL群注入（MassSQLInjection）攻擊，網(wǎng)站發(fā)布的重要信息被篡改成為大量簽名，所以該校在某信息安全公司的建議下配置了狀態(tài)檢測防火墻，其原因不包括（）A、狀態(tài)檢測防火墻可以應(yīng)用會話信息決定過濾規(guī)則B、狀態(tài)檢測防火墻具有記錄通過每個包的詳細信息能力C、狀態(tài)檢測防火墻過濾規(guī)則與應(yīng)用層無關(guān)，相比于包過濾防火墻更易安裝和使用D、狀態(tài)檢測防火墻結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認證或報警等處理動作【正確答案】：C解析：

教材P351，狀態(tài)檢測防火墻也稱為動態(tài)包過濾，是對靜態(tài)包過濾技術(shù)的功能擴展，因為配置要比包過濾防火墻復雜。6.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計文檔時，發(fā)現(xiàn)其中標注該信息系統(tǒng)的RPO（恢復點目標）指標為3小時。請問這意味著（

）。A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時內(nèi)到位，完成問題定位和應(yīng)急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時內(nèi)完整應(yīng)急處理工作并恢復對外運行C、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復工作后，系統(tǒng)至少能提供3小時的緊急業(yè)務(wù)服務(wù)能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復工作后，系統(tǒng)至多能丟失3小時的業(yè)務(wù)數(shù)據(jù)【正確答案】：D解析：

恢復點目標是指企業(yè)的損失容限：在對業(yè)務(wù)造成重大損害之前可能丟失的數(shù)據(jù)量。該目標表示為從丟失事件到最近一次在前備份的時間度量。7.信息安全管理體系（簡稱ISMS）的實施和運行，ISMS階段，是ISMS過程模型的實施階段，下面給出了一些備選的活動，選項（

）描述了在此階段組織應(yīng)進行的活動？1.制定風險處理計劃2.實施風險處理計劃3.開發(fā)有效性測量程序4.實施培訓和意識教育計劃5.管理ISMS的運行6.管理ISMS的資源7.執(zhí)行檢測事態(tài)和響應(yīng)事件的程序8.實施內(nèi)部審核9.實施風險在評估A、.5.6B、.5.6.7C、.D、..9【正確答案】：B解析：

教材P98，第8項實施內(nèi)部審核屬于“監(jiān)視和評審”階段

8.某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是？A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認性方面安全問題【正確答案】：B解析：

數(shù)據(jù)丟失屬于完整性9.下面的角色對應(yīng)的信息安全職責不合理的是：A、高級管理層——最終責任B、信息安全部門主管——提供各種信息安全工作必須的資源C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從【正確答案】：B解析：

教材P107，信息安全部門主管無法提供各種信息安全工作必須的資源10.信息安全工程作為信息安全保障的重要組成部分，主要是為了解決？A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運行維護的安全管理問題【正確答案】：C解析：

教材P175，信息安全工程就是要解決信息系統(tǒng)生命周期的“過程安全”問題11.以下哪個選項不是信息安全需求的來源?A、法律法規(guī)與合同條約的要求B、組織的原則、目標和規(guī)定C、風險評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警【正確答案】：D解析：

選項Ｄ屬于維護保障12.風險計算原理可以用下面的范式形式化地加以說明：風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va）），以下關(guān)于上式各項說明錯誤的是?A、R表示安全風險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴重程度【正確答案】：D解析：

教材P257，風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））

?R表示安全風險計算函數(shù)

?A表示資產(chǎn)

?T表示威脅

?V表示脆弱性

?Ia表示安全事件所作用的資產(chǎn)價值

?Va表示脆弱性嚴重程度

?L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性

?F表示安全事件發(fā)生后造成的損失13.“統(tǒng)一威脅管理”是將防病毒，入侵檢測和防火墻等安全需求統(tǒng)一管理，目前市場上已經(jīng)出現(xiàn)了多種此類安全設(shè)備，這里“統(tǒng)一威脅管理”常常被簡稱為？A、UTMB、FWC、IDSD、SOC【正確答案】：A解析：

UTM--UnitedThreatManagement統(tǒng)一威脅管理14.相比文件配置表（FAT）文件系統(tǒng)，以下哪個不是新技術(shù)文件系統(tǒng)（NTFS）所具有的優(yōu)勢?A、NTFS使用事務(wù)日志自動記錄所有文件夾和文件更新，當出現(xiàn)系統(tǒng)損壞和電源故障等問題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復未成功的操作B、NTFS的分區(qū)上，可以為每個文件或文件夾設(shè)置單獨的許可權(quán)限C、對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容Linux下EXT2文件格式【正確答案】：D解析：

NTFS文件系統(tǒng)不兼容EXT2

15.以下對異地備份中心的理解最準確的是：A、與生產(chǎn)中心不在同一城市B、與生產(chǎn)中心距離100公里以上C、與生產(chǎn)中心距離200公里以上D、與生產(chǎn)中心面臨相同區(qū)域性風險的機率很小【正確答案】：D解析：

教材P169，一般選址原則：避免災(zāi)難備份中心與生產(chǎn)中心同時遭受同類風險。16.《信息安全保障技術(shù)框架》（InformationAssuranceTechnicalFramework，IATF）是由下面哪個國家發(fā)布的？A、中國B、美國C、俄羅斯D、歐盟【正確答案】：B解析：

教材P15，IATF模型由美國發(fā)布17.關(guān)系數(shù)據(jù)庫的完整性規(guī)則是數(shù)據(jù)庫設(shè)計的重要內(nèi)容，下面關(guān)于“實體完整性”的描述正確的是？A、指數(shù)據(jù)表中列的完整性，主要用于保證操作的數(shù)據(jù)（記錄）完整、不丟項B、指數(shù)據(jù)表中行的完整性，主要用于保證操作的數(shù)據(jù)（記錄）非空、唯一且不重復C、指數(shù)據(jù)表中列必須滿足某種特定的數(shù)據(jù)類型或約束，比如取值范圍、數(shù)值精度等約束D、指數(shù)據(jù)表中行必須滿足某種特定的數(shù)據(jù)姓雷或約束，比如在更新、插入或刪除記錄時，更將關(guān)聯(lián)有關(guān)的記錄一并處理才可以【正確答案】：B解析：

數(shù)據(jù)庫完整性包括：

1.

實體完整性：確保每行數(shù)據(jù)都是有效的

2.

區(qū)域完整性：確保每列數(shù)據(jù)都是有效的

3.

參考完整性

4.

自定義完整性18.微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其中“棄用不安全的函數(shù)”屬于（）的安全活動A、要求（Requirements）階段B、設(shè)計（Design）階段C、實施（Implementation）階段D、驗證（Verification）階段【正確答案】：C解析：

教材P397，“棄用不安全的函數(shù)”屬于實現(xiàn)階段19.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進行認證識別時，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是？A、所謂靜態(tài)口令方案，是指用戶登錄驗證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時，即使對口令進行簡單加密或哈希后進行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動態(tài)口令實現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

教材P295，動態(tài)口令方案中每次使用的口令不同，不能從密碼歷史中得到之前的口令

20.在實施信息安全風險評估時，需要對資產(chǎn)的價值進行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是？A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護費用C、資產(chǎn)的價值與其重要性密切相關(guān)D、資產(chǎn)的價值無法估計【正確答案】：C解析：

資產(chǎn)賦值的原則21.下列哪一種方法屬于基于實體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送的挑戰(zhàn)進行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡（如智能卡）完成身份鑒別【正確答案】：D解析：

教材P294，智能卡屬于實體所有

22.S公司在全國有20個分支機構(gòu)，總部有10臺服務(wù)器、200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器、100個左右用戶終端，通過專用進行互聯(lián)互通。公司招標的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標專家，請給S公司選出設(shè)計最合理的一個：A、總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構(gòu)服務(wù)和用戶終端使用192.168.2.x~192.168.20.xB、總部使用服務(wù)器使用~11、用戶終端使用2~212，分支機構(gòu)IP地址隨意確定即可C、總部服務(wù)器使用10.0.1.x、用戶終端根據(jù)部門劃分使用10.0.2.x、每個分支機構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段、另外一個做用戶終端地址段D、因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可【正確答案】：C解析：

選項B和D明顯錯誤，選項A總部的服務(wù)器端和用戶端使用同一個網(wǎng)段，不符合題目上要求。

23.下列關(guān)于信息系統(tǒng)生命周期中實施階段所涉及主要安全需求描述錯誤的是：A、確保采購/定制的設(shè)備，軟件和其他系統(tǒng)組件滿足已定義的安全要求B、確保整個系統(tǒng)已按照領(lǐng)導要求進行了部署和配置C、確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和安全特征能力D、確保信息系統(tǒng)的使用已得到授權(quán)【正確答案】：B解析：

明顯錯誤，應(yīng)按ISMS文件要求24.如果向Apache的訪問日志中寫入一句話木馬，需要如何操作才能將一句話寫入到日志中（）A、在URL后面，加上一句話的url編碼格式的內(nèi)容B、在URL后面，加上一句話的base64編碼格式的內(nèi)容C、在訪問的URL數(shù)據(jù)體中，直接插入一句話源碼D、在訪問的URLhttp請求頭部，插入basic字段，并將一句話編碼為base64【正確答案】：D解析：

無25.即使最好用的安全產(chǎn)品也存在（）。結(jié)果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞。一種有效的對策是在敵手和它的目標之間配備多種（）。每一種機制都應(yīng)包括（）兩種手段。A、安全機制；安全缺陷；保護和檢測B、安全缺陷；安全機制；保護和檢測C、安全缺陷；保護和檢測；安全機制D、安全缺陷；安全機制；外邊和內(nèi)部【正確答案】：B解析：

語文題26.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是？A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)絡(luò)攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題【正確答案】：D解析：

題干描述問題屬于設(shè)計原因?qū)е碌?7.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種？A、強制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C解析：

教材P306，DAC-自主訪問控制是一種對單個用戶執(zhí)行訪問控制的過程和措施

28.某網(wǎng)絡(luò)安全公司基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。但入侵檢測技術(shù)不能實現(xiàn)以下哪種功能？A、檢測并分析用戶和系統(tǒng)的活動B、核查系統(tǒng)的配置漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C、防止IP地址欺騙D、識別違反安全策略的用戶活動【正確答案】：C解析：

教材P353

入侵檢測系統(tǒng)（IDS）是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行實時監(jiān)測，發(fā)現(xiàn)其中存在的攻擊行為并進行響應(yīng)的網(wǎng)絡(luò)安全設(shè)備，是一種主動的安全防護技術(shù)。IDS的主要作用是發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或違反安全策略的行為，不能防止IP欺騙。

29.按照我國信息安全等級保護的有關(guān)政策和標準，有些信息系統(tǒng)只需要自主定級、自主保護，按照要求向公安機關(guān)備案即可，可以不需要上級或主管都門來測評和檢查。此類信息系統(tǒng)應(yīng)屬于？A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)【正確答案】：B解析：

等保級別分為1-5級，其中最低屬于一級。30.在某個信息系統(tǒng)實施案例中，A單位（甲方）允許B公司（乙方）在甲方的測試中開發(fā)和部署業(yè)務(wù)系統(tǒng)，同時為防范風險，A單位在和B公司簽訂合同中，制定有關(guān)條款，明確了如果由于B公司操作原因引起的設(shè)備損壞，則B公司需按價賠償?？梢钥闯?，該賠償條款應(yīng)用了風險管理中（）的風險處置措施。A、降低風險B、規(guī)避風險C、轉(zhuǎn)移風險D、拒絕風險【正確答案】：C解析：

教材P142，合同屬于風險轉(zhuǎn)移31.某公司已有漏洞掃描和入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）產(chǎn)品，需要購買防火墻，以下做法應(yīng)當優(yōu)先考慮的是：A、選購當前技術(shù)最先進的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

聯(lián)動功能是指不同類型的設(shè)備之間的協(xié)同操作，在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。

32.以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：A、信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B、明確違反信息安全的行為，并對該行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動C、信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源D、信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標準和完善的技術(shù)體系【正確答案】：C解析：

信息安全問題的產(chǎn)生既有技術(shù)原因，也有管理原因。33.關(guān)于風險要素識別階段工作內(nèi)容敘述錯誤的是？A、資產(chǎn)識別是指對需要保護的資產(chǎn)和系統(tǒng)等進行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺【正確答案】：D解析：

教材P257，確認已有安全措施包括：技術(shù)層面、組織層面和管理層面。34.在Windows7中，通過控制面板（管理工具——本地安全策略——安全設(shè)置——賬戶策略）可以進入操作系統(tǒng)的密碼策略設(shè)置界面，下面哪項內(nèi)容不能在該界面進行設(shè)置（）A、密碼必須符合復雜性要求B、密碼長度最小值C、強制密碼歷史D、賬號鎖定時間【正確答案】：D解析：

賬號鎖定時間在賬號鎖定策略中35.某網(wǎng)站為了開發(fā)的便利，使用SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中一個重要文件，在進行問題分析時，作為安全專家，你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則：A、權(quán)限分離原則B、最小特權(quán)原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：B解析：

SA是數(shù)據(jù)庫最大用戶權(quán)限，違反了最小特權(quán)原則。36.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS下面描述錯誤的是？A、在組織中，應(yīng)由信息技術(shù)責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標和相應(yīng)的計劃得以制定，信息安全管理目標應(yīng)明確、可度量，風險管理計劃應(yīng)具體、具備可行性C、組織的信息安全目標、信息安全方針和要求應(yīng)傳達到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達客戶、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受和相關(guān)殘余風險【正確答案】：A解析：

教材P103，信息安全方針由管理層制定37.強制訪問控制是指主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體，具有較高的安全性。適用于專用或?qū)Π踩砸筝^高的系統(tǒng)，強制訪問控制模型有多種模型，如BLP、Biba、Clark-Wilson和Chinese-Wall等。小李自學了BLP模型，并對該模型的特點進行了總結(jié)。以下4種對BLP模型的描述中，正確的是（）A、BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向上讀，向下寫”BLP模型用于保證系統(tǒng)信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統(tǒng)信息的完整性，規(guī)則是“向下讀，向上寫”【正確答案】：B解析：

教材P308，BLP模型用于保證信息的機密性，下讀上寫38.從歷史演進來看，信息安全的發(fā)展經(jīng)歷了多個階段。其中，有一個階段的特點是：網(wǎng)絡(luò)信息系統(tǒng)逐步形成，信息安全注重保護信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，開始使用防火墻、防病毒、PKI和VPN等安全產(chǎn)品。這個階段是？A、通信安全階段B、計算機安全階段C、信息系統(tǒng)安全階段D、信息安全保障階段【正確答案】：C解析：

教材P15，信息系統(tǒng)安全也曾被稱為網(wǎng)絡(luò)安全，主要是保護信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，防止授權(quán)用戶的拒絕服務(wù)，同時檢測、記錄和對抗此類威脅。為了抵御這些威脅，人們開始使用防火墻、防病毒、PKI、VPN等安全產(chǎn)品。39.信息安全標準化工作是我國信息安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據(jù)，同時也是保護國家利益，促進產(chǎn)業(yè)發(fā)展的重要手段之一，關(guān)于我國標準化工作，下面選項中描述錯誤的是？A、我國是在國家質(zhì)量監(jiān)督檢驗檢疫總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設(shè)專業(yè)技術(shù)委員會B、事關(guān)國家安全利益，信息安全因此不能和國際標準相同，而是要通過本國組織和專家制定標準，切實有效地保護國家利益和安全C、我國歸口信息安全方面標準是“全國信息安全標準化技術(shù)委員會”，為加強有關(guān)工作，2016在其下設(shè)立“大數(shù)據(jù)安全特別工作組”D、信息安全標準化工作是解決信息安全問題的重要技術(shù)支撐，其主要作用突出體現(xiàn)在能夠確保有關(guān)產(chǎn)品、設(shè)施的技術(shù)先進性、可靠性和一致性【正確答案】：B解析：

《信息安全保障》一書中的第1章，第1.2節(jié)，作者吳世忠江常青孫成昊李華李靜

選項B應(yīng)為：由于信息安全標準事關(guān)國家安全利益，因此不能過分依賴于國際標準，而是要在充分借鑒國際標準的前提下，通過本國組織和專家制定出符合本國國情并可以信任的信息安全技術(shù)和管理等領(lǐng)域的標準，切實有效地保護國家利益和安全。

40.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點中，正確的是（）A、軟件安全開發(fā)生命周期較長、階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決90%以上的安全問題B、應(yīng)當盡早在軟件開發(fā)的需求和設(shè)計階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進行漏洞修復所花的代價少得多C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期（SecurityDevelopmentLifecycle，SDL）的最大特點是增加了一個專門的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進行了安全性測試，就沒有必要在組織第三方進行安全性測試【正確答案】：B解析：

軟件安全問題越早解決成本越低41.口令破解是針對系統(tǒng)進行攻擊的常用方法，Windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是?A、密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效的保護所有系統(tǒng)用戶被口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護管理員administrator賬戶應(yīng)對口令暴力破解攻擊【正確答案】：C解析：

賬戶鎖定策略對內(nèi)置管理員賬號不生效，因此不能保護針對內(nèi)置管理員—administrator的窮舉法攻擊。42.小王是某大學計算科學與技術(shù)專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術(shù)管理的職位。一次面試中，某公司的技術(shù)經(jīng)理讓小王讀一讀信息安全風險管理中的“背景建立”的基本概念與認識。小明的主要觀點包括：（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規(guī)劃和準備；（2）背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果；（3）背景建立包括：風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的論點中錯誤的是哪項？A、第一個觀點，背景建立的目的只是為了明確信息安全風險管理的范圍和對象B、第二個觀點，背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準C、第三個觀點，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字D、第四個觀點，背景建立的階段性成果中不包括有風險管理計劃書【正確答案】：B解析：

教材P90，背景建立是建立在業(yè)務(wù)需求的基礎(chǔ)上，通過有效的風險評估和國家、地區(qū)、行業(yè)相關(guān)法律法規(guī)及標準的約束下獲得背景依據(jù)。43.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分，不屬于正確劃分級別的是？A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關(guān)鍵信息系統(tǒng)【正確答案】：D解析：

教材P146，按重要程度劃分：特別重要、重要、一般。44.風險評估工具的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風險評估過程中的主要任務(wù)和作用原理，風險評估工具可以為以下幾類，其中錯誤的是：A、風險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風險評估工具C、風險評估輔助工具D、環(huán)境風險評估工具【正確答案】：D解析：

教材P228，風險評估工具的類型：

1.風險評估與管理工具

2.系統(tǒng)基礎(chǔ)平臺風險評估工具

3.風險評估輔助工具45.下面四款安全測試軟件中，主要用于WEB安全掃描的是？A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner【正確答案】：B解析：

AcunetixWebVulnerabilityScanner簡稱AWVS，它可以幫助用戶自動抓取您的網(wǎng)站，并執(zhí)行黑匣子和灰色框黑客技術(shù)，發(fā)現(xiàn)危險的漏洞，可能會危及您的網(wǎng)站和數(shù)據(jù)，該軟件能夠針對sql注入、xss、xxxe、ssrf、主機頭注入和4500其他web漏洞進行測試，具有最先進的掃描技術(shù)，可產(chǎn)生盡可能最少的誤報。46.關(guān)于我國加強信息安全保障工作的總體要求，以下說法錯誤的是：A、堅持積極防御、綜合防范的方針B、重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D、提高個人隱私保護意識【正確答案】：D解析：

教材P16，信息安全保障工作的總體要求：

堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。47.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應(yīng)用上線前，項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導做決策，以下哪條是滲透性測試的優(yōu)勢?A、滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏B、滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高C、滲透測試使用人工進行測試，不依賴軟件，因此測試更準確D、滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多【正確答案】：A解析：

教材P422

滲透測試：是一種模擬攻擊者進行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法。48.信息系統(tǒng)安全保障評估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（

），向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（

）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（

），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個（

），因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種（

）的信心。A、安全保障工作：客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B解析：

教材P32-P3349.有關(guān)系統(tǒng)安全工程-能力成熟度模型（SSE-CMM），錯誤的理解是：A、SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B、SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C、基于SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施D、SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動【正確答案】：C解析：

教材P179，SSE-CMM不是孤立的工程，而是與其他工程并行且相互作用。50.以下哪一項不是我國信息安全保障的原則？A、立足國情，以我為主，堅持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作D、明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

教材P16，立足國情，以我為主，堅持管理與技術(shù)并重51.下列對于信息安全保障深度防御模型的說法錯誤的是？A、信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B、信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C、信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”。【正確答案】：D解析：

選項D的正確描述應(yīng)該是“從內(nèi)而外，自上而下，從端到邊界的防護能力”。52.下面對信息安全漏洞的理解中，錯誤的是？A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等階段中均有可能產(chǎn)生漏洞B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、開發(fā)、部署或維護階段，由于設(shè)計、開發(fā)等相關(guān)人員無意中產(chǎn)生的缺陷所造成的C、信息安全漏洞如果被惡意攻擊者成功利用，可能會給信息產(chǎn)品和信息系統(tǒng)帶來安全損害，甚至帶來很大的經(jīng)濟損失D、由于人類思維能力、計算機計算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生信息安全漏洞是不可避免的【正確答案】：B解析：

排除法：A、C、D都正確，選項B：有些漏洞是人為設(shè)置的基于管理的目的留的“后門”53.在戴明環(huán)（PDCA）模型中，處置（ACT）環(huán)節(jié)的信息安全管理活動是？A、建立環(huán)境B、實施風險處理計劃C、持續(xù)的監(jiān)視與評審風險D、持續(xù)改進信息安全管理過程【正確答案】：D解析：

PDCA循環(huán)又稱戴明環(huán)，P(plan計劃)—D（do實施）--C(check檢查)—A(act改進)，持續(xù)改進屬于PDCA中的A階段。54.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行業(yè)務(wù)影響分析（BIA）時的步驟是：1.標識關(guān)鍵的業(yè)務(wù)過程2.開發(fā)恢復優(yōu)先級3.標識關(guān)鍵的IT資源4.標識中斷影響和允許的中斷時間A、1-3-4-2B、1-3-2-4C、1－2－3－4D、1－4－3－2【正確答案】：A解析：

教材P138，排序55.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當天17:00到20:00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務(wù)（DenialofService，DoS）攻擊【正確答案】：D解析：

在特定時間段網(wǎng)絡(luò)流量有明顯提升，屬于流量式攻擊56.有關(guān)危害國家秘密安全的行為，包括：A、嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為B、嚴重違反保密規(guī)定行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為、保密行政管理部門的工作人員的違法行為，但不包括定密不當行為C、嚴重違反保密規(guī)定行為、定密不當行為、保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為D、嚴重違反保密規(guī)定行為、定密不當行為、公共信息網(wǎng)絡(luò)運營商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為【正確答案】：A解析：

選項B、C、D描述中的“但不包括。。?！本袉栴}57.隨著信息技術(shù)的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出，而與此同時，發(fā)生的信息安全事件也越來越多。綜合分析信息安全問題產(chǎn)生的根源，下面描述正確的是？A、信息系統(tǒng)自身存在脆弱性是根本原因。信息系統(tǒng)越來越重要，同時自身在開發(fā)、部署和使用過程中存在的脆弱性，導致了諸多的信息安全事件發(fā)生。因此，杜絕脆弱性的存在是解決信息安全問題的根本所在B、信息系統(tǒng)面臨諸多黑客的威脅，包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應(yīng)用越來越廣泛，接觸信息系統(tǒng)的人越多，信息系統(tǒng)越可能遭受攻擊。因此，避免有惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題C、信息安全問題產(chǎn)生的根源要從內(nèi)因和外因兩個方面分析，因為信息系統(tǒng)自身存在脆弱性，同時外部又有威脅源，從而導致信息系統(tǒng)可能發(fā)生安全事件。因此，要防范信息安全風險，需從內(nèi)外因同時著手D、信息安全問題的根本原因是內(nèi)因、外因和人三個因素的綜合作用，內(nèi)因和外因都可能導致安全事件的發(fā)生，但最重要的還是人的因素，外部攻擊者和內(nèi)部工作人員通過遠程攻擊、本地破壞和內(nèi)外勾結(jié)等手段導致安全事件發(fā)生。因此，對人這個因素的防范應(yīng)是安全工作重點?！菊_答案】：C解析：

選項A、B、D都片面或絕對58.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：（）A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行的情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

模糊測試：通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，強制軟件程序使用畸形數(shù)據(jù)，并觀察軟件運行情況的一種測試方法。59.信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）中，風險評估分為自評估和檢查評估兩種形式，并對兩種工作形勢提出了有關(guān)工作原則和要求。下面選項中描述正確的是？A、信息安全風險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充B、信息安全風險評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C、自評估和檢查評估時相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由的單位均應(yīng)選擇檢查評估，以保證安全效果【正確答案】：A解析：

教材P247，信息安全風險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充60.美國計算機協(xié)會（ACM）宣布將2015年的ACM獎授予給WhitfieldDiffie和Wartfield，下面哪項工作是他們的貢獻（）。A、發(fā)明并第一個使用C語言B、第一個發(fā)表了對稱密碼算法思想C、第一個發(fā)表了非對稱密碼算法思想D、第一個研制出防火墻【正確答案】：C解析：

教材P270，WhitfieldDiffie和MartinHellman在1976年第一個提出公鑰密碼算法，標志著密碼學進入了現(xiàn)代密碼階段。61.目前，信息系統(tǒng)面臨外部攻擊者的惡意攻擊威脅，從威脅能力和掌握資源分，這些威脅可以按照個人威脅、組織威脅和國家威脅三個層面劃分，則下面選項中屬于組織威脅的是？A、喜歡惡作劇、實現(xiàn)自我挑戰(zhàn)的娛樂型黑客B、實施犯罪、獲取非法經(jīng)濟利益網(wǎng)絡(luò)犯罪團伙C、搜集政治、軍事、經(jīng)濟等情報信息的情報機構(gòu)D、鞏固戰(zhàn)略優(yōu)勢，執(zhí)行軍事任務(wù)、進行目標破壞的信息作戰(zhàn)部隊【正確答案】：B解析：

教材P46，A：個人威脅；C：國家威脅；D：國家威脅62.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityVirtualPrivateNetwork，IPsecVPN）時，以下說法正確的是？A、配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C、部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA）資源的消耗D、報文驗證頭協(xié)議（AuthenticationHeader，AH）可以提供數(shù)據(jù)機密性【正確答案】：C解析：

選項A：MD5用于完整性校驗

選項B：AES實現(xiàn)機密性

選項D：AH提供完整性和數(shù)據(jù)源認證63.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在符合性方面實施常規(guī)控制。符合性常規(guī)控制這一領(lǐng)域不包括以下哪些控制目標？A、符合法律要求B、符合安全策略和標準以及技術(shù)符合性C、信息系統(tǒng)審核考慮D、訪問控制的業(yè)務(wù)要求、用戶訪問管理【正確答案】：D解析：

教材P127-128，符合性包括兩個方面：符合法律和合同規(guī)定、信息安全審查64.有關(guān)系統(tǒng)工程的特點，以下錯誤的是？A、系統(tǒng)工程研究問題一般采用先決定整體框架，后進入詳細設(shè)計的程序B、系統(tǒng)工程的基本特點，是需要把研究對象解構(gòu)為多個組成部分分別獨立研究C、系統(tǒng)工程研究強調(diào)多學科協(xié)作，根據(jù)研究問題涉及到的學科和專業(yè)范圍，組成一個知識結(jié)構(gòu)合理的專家體系D、系統(tǒng)工程研究是以系統(tǒng)思想為指導，采取的理論和方法是綜合集成各學科、各領(lǐng)域的理論和方法【正確答案】：B解析：

系統(tǒng)工程所包括的各要素之間是互相聯(lián)系的，不能獨立研究。65.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號），對等級保護工作的開展提供宏觀指導和約束。明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關(guān)于該文件，下面理解正確的是？A、該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D、該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位【正確答案】：A解析：

教材P6166.安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全的不可缺少的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運行環(huán)境安全？A、操作系統(tǒng)安裝最新的安全補丁，確保操作系統(tǒng)不存在安全漏洞B、為了方便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時使用一個分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)存放在C盤C、操作系統(tǒng)上部署防病毒軟件以對抗病毒威脅D、將默認的管理員賬號administrator改名，降低口令暴力破解攻擊的發(fā)生機率【正確答案】：B解析：

系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)要分開67.P2DR模型是一個用于描述網(wǎng)絡(luò)動態(tài)安全的模型，這個模型經(jīng)常使用圖形的形式來形象表達，如下圖所示，請問如中空白處應(yīng)填寫是（）。A、執(zhí)行（do）B、檢測（detection）C、數(shù)據(jù)（data）D、持續(xù)（duration）【正確答案】：B解析：

教材P26，圖1-4

PPDR模型圖68.為達到預(yù)期的攻擊目的，惡意代碼通常會被采用各種方法將自己隱藏起來。關(guān)于隱藏方法，下面理解錯誤的是？A、隱藏惡意代碼進程，即將惡意代碼進程隱藏起來，或者改名和使用系統(tǒng)進程名，以更好的躲避檢測，迷惑用戶和安全檢測人員B、隱藏惡意代碼的網(wǎng)絡(luò)行為，復用通用的網(wǎng)絡(luò)端口，以躲避網(wǎng)絡(luò)行為檢測和網(wǎng)絡(luò)監(jiān)控C、隱藏惡意代碼的源代碼，刪除或加密源代碼，僅留下加密后的二進制代碼，以躲避用戶和安全檢測人員D、隱藏惡意代碼的文件，通過隱藏文件、采用流文件技術(shù)或HOOK技術(shù)、以躲避系統(tǒng)文件檢查和清除【正確答案】：C解析：

隱藏通常包括本地隱藏和通信隱藏。其中本地隱藏有文件隱藏、進程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。網(wǎng)絡(luò)隱藏主要包括通信內(nèi)部隱藏和傳輸通道隱藏。69.應(yīng)用安全，一般是指保障應(yīng)用程序使用過程和結(jié)果的安全，以下內(nèi)容中不屬于應(yīng)用安全防護考慮的是？A、身份鑒別，應(yīng)用系統(tǒng)應(yīng)對登陸的用戶進行身份鑒別，只有通過驗證的用戶才能訪問應(yīng)用系統(tǒng)資源B、安全標記，在應(yīng)用系統(tǒng)層面對主體和客體進行標記，主體不能隨意更改權(quán)限，增加訪問控制的力度，限制非法訪問C、剩余信息保護，應(yīng)用系統(tǒng)應(yīng)加強硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護，防止存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問D、機房與設(shè)施安全，保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件，包括機房環(huán)境、機房安全等級、機房的建造和機房的裝修等【正確答案】：D解析：

選項D屬于物理安全，不屬于應(yīng)用安全

70.小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的風險進行評估，已知：核心機房的總價價值一百萬，災(zāi)害將導致資產(chǎn)總價值損失二成四（24%），歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：A、24萬B、0.09萬C、37.5萬D、9萬【正確答案】：D解析：

100*24%*3/8=9萬71.當前，應(yīng)用軟件安全已經(jīng)日益引起人們的重視，每年新發(fā)現(xiàn)的應(yīng)用軟件漏洞已經(jīng)占新發(fā)現(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應(yīng)用軟件漏洞成因無關(guān)：A、傳統(tǒng)的軟件開發(fā)工程未能充分考慮安全因素B、開發(fā)人員對信息安全知識掌握不足C、相比操作系統(tǒng)而言，應(yīng)用軟件編碼所采用的高級語言更容易出現(xiàn)漏洞D、應(yīng)用軟件的功能越來越多，軟件越來越復雜，更容易出現(xiàn)漏洞【正確答案】：C解析：

排除法，選項A\B\D都可能導致應(yīng)用軟件出現(xiàn)漏洞72.某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登錄時如用戶名或口令輸入錯誤，給用戶返回“用戶名或口令輸入錯誤”信息，輸入錯誤達到三次，將暫時禁止登錄該賬戶，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則？A、最小共享機制原則B、經(jīng)濟機制原則C、不信任原則D、默認故障處理保護原則【正確答案】：C解析：

三次輸錯密碼后禁止登錄，屬于不信任原則73.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)?A、防護B、檢測C、反應(yīng)D、策略【正確答案】：D解析：

PDR：Protection-Detection-Response

PPDR：Policy-Protection-Detection-Response74.以下關(guān)于軟件安全測試說法正確的是？A、軟件安全測試就是黑盒測試B、FUZZ測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關(guān)注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題【正確答案】：B解析：

排除法

A、D太絕對；C不全面。FUZZ測試就是模糊測試75.以下可能存在SQL注入攻擊的部分是？A、GET請求參數(shù)B、Post請求參數(shù)Cookie值D、以上均有可能【正確答案】：D解析：

SQL注入式攻擊中凡是可以傳遞到數(shù)據(jù)庫的數(shù)據(jù)都是攻擊對象76.在使用系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）對一個組織的安全工程能力成熟度進行測量時，有關(guān)測量結(jié)果，錯誤的理解是？A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備某一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級B、如果該組織某個過程區(qū)域（ProcessAreas，PA）具備了“定義標準過程”、“執(zhí)行已定義的過程”兩個公共特征，則過程區(qū)域的能力成熟度級別達到3級“充分定義級”C、如果某個過程區(qū)域（ProcessAreas，PA）包含4個基本實施（BasePractices，BP），執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上【正確答案】：B解析：

教材P205，充分定義級的三個特征：

1.定義標準過程

2.執(zhí)行已定義的過程

3.協(xié)調(diào)安全實施77.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機構(gòu)的使命B、機構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標C、機構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性可以從業(yè)務(wù)內(nèi)容和流程中獲取78.某IT公司針對信息安全事件已經(jīng)建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會上，信息安全管理員對今年應(yīng)急預(yù)案工作做出了四個總結(jié)，其中有一項總結(jié)工作是錯誤，作為企業(yè)的CSO，請你指出存在問題的是哪個總結(jié)？A、公司自身擁有優(yōu)秀的技術(shù)人員，系統(tǒng)也是自己開發(fā)的，無需進行應(yīng)急演練工作，因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔，為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行B、公司制定的應(yīng)急演練流程包括應(yīng)急事件通報、確定應(yīng)急事件優(yōu)先級、應(yīng)急響應(yīng)啟動實施、應(yīng)急響應(yīng)時間后期運維、更新現(xiàn)有應(yīng)急預(yù)案五個階段，流程完善可用C、公司應(yīng)急預(yù)案包括了基礎(chǔ)環(huán)境類、業(yè)務(wù)系統(tǒng)類、安全事件和其他類，基本覆蓋了各類應(yīng)急事件類型D、公司應(yīng)急預(yù)案對事件分類依據(jù)GB/Z20986—2007《信息安全技術(shù)信息安全事件分類分級分級指南》，分為7個基本類別，預(yù)案符合國家相關(guān)標準【正確答案】：A解析：

為了不影響業(yè)務(wù)，應(yīng)急演練工作不舉行—明顯錯誤79.某公司建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標選擇M公司為實施單位，并選擇了H監(jiān)理公司承擔該項目的全程監(jiān)理工作。目前，各個應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗收申請。監(jiān)理公司需要對M公司提交的軟件配置文件進行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔？A、項目計劃書B、質(zhì)量控制計劃C、評審報告D、需求說明書【正確答案】：D解析：

需求說明書屬于開發(fā)文檔80.利用"緩沖區(qū)溢出"漏洞進行滲透測試模擬攻擊過程中，利用WEB服務(wù)器的漏洞取得了一臺遠程主機的Root權(quán)限。為了防止WEB服務(wù)器的漏洞被彌補后，失去對該服務(wù)器的控制，應(yīng)首先攻擊下列中的（）文件。A、etc/.htaccessB、/etc/passwdC、/etc/secureD、/etc/shadow【正確答案】：D解析：

無81.關(guān)于信息安全管理體系（InformationSecurityManagementSystems，ISMS），下面描述錯誤的是（）。A、信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構(gòu)、方針、活動、職責及相關(guān)實踐要素B、管理體系（ManagementSystems）是為達到組織目標的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護體系和加強人員的安全意識等內(nèi)容【正確答案】：A解析：

選項Ａ應(yīng)為：InformationSecurityManagementSystems－信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。82.有關(guān)項目管理，錯誤的理解是：A、項目管理是一門關(guān)于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理包括對項目范圍、時間、成本、質(zhì)量、人力資源、溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應(yīng)用【正確答案】：B解析：

項目管理的三重約束：時間+成本+質(zhì)量83.下面哪個模型和軟件安全開發(fā)無關(guān)（）？A、微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D解析：

“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）屬于信息安全保障模型84.張主任的計算機使用Windows7操作系統(tǒng)，他常登陸的用戶名為zhang，張主任給他個人文件夾設(shè)置了權(quán)限為只有zhang這個用戶有權(quán)訪問這個目錄，管理員在某次維護中無意將zhang這個用戶刪除了，隨后又重新建了一個用戶名為zhang，張主任使用zhang這個用戶登錄系統(tǒng)后，發(fā)現(xiàn)無法訪問他原來的個人文件夾，原因是：A、任何一個新建用戶都需要經(jīng)過授權(quán)才能訪問系統(tǒng)中的文件B、Windows7不認為新建立的用戶zhang與原來用戶zhang是同一個用戶，因此無權(quán)訪問C、用戶被刪除后，該用戶創(chuàng)建的文件夾也會自動刪除，新建用戶找不到原來用戶的文件夾，因此無法訪問D、新建的用戶zhang會繼承原來用戶的權(quán)限，之所以無權(quán)訪問是因為文件夾經(jīng)過了加密【正確答案】：B解析：

新建用戶雖然名字與原用戶相同，但SID不同，系統(tǒng)認為這是兩個不同的賬號。

85.虛擬專用網(wǎng)絡(luò)（VPN）通常是指在公共網(wǎng)絡(luò)中利用隧道技術(shù)，建立一個臨時的、安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是（）。A、Special-purpose，特定的、專用用途的B、Proprietary，專有的、專賣的C、Private，私有的、專有的D、Specific，特種的、具體的【正確答案】：C解析：

教材P354，VPN-VirtualPrivateNetwork86.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務(wù)攻擊（DDoS）B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊【正確答案】：C解析：

賬號鎖定策略可以抵御針對賬號的暴力破解87.在信息系統(tǒng)設(shè)計階段“安全產(chǎn)品選擇”處于風險管理過程的哪個階段?A、背景建立B、風險評估C、風險處理D、批準監(jiān)督【正確答案】：C解析：

教材P90，產(chǎn)品選擇屬于風險處理88.入侵檢測系統(tǒng)有其技術(shù)優(yōu)越性，但也有其局限性，下列說法錯誤的是（）。A、對用戶知識要求高、配置、操作和管理使用過于簡單，容易遭到攻擊B、入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負擔很重C、入侵檢測系統(tǒng)在應(yīng)對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響D、警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)【正確答案】：A解析：

教材P254，配置、操作和管理使用過于簡單—描述有誤89.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的？A、SMTP和POP3協(xié)議是一種基于ASCII編碼的請求/響應(yīng)模式的協(xié)議B、SMTP和POP3協(xié)議明文傳輸數(shù)據(jù)，因此存在數(shù)據(jù)泄露的可能C、SMTP和POP3協(xié)議缺乏嚴格的用戶認證，因此導致了垃圾郵件問題D、SMTP和POP3協(xié)議由于協(xié)議簡單，易用性更高，更容易實現(xiàn)遠程管理郵件【正確答案】：A解析：

SMTP是個請求/響應(yīng)協(xié)議，POP3采用Client/Server工作模式90.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼也稱為塊密碼，序列密碼也稱為流密碼。91.移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是？A、所選擇的特征（指紋）便于收集、測量和比較B、每個人所擁有的指紋都是獨一無二的C、指紋信息是每個人都有的，指紋識別系統(tǒng)不存在安全威脅問題D、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成【正確答案】：C解析：

指紋識別系統(tǒng)不存在安全威脅問題—絕對化92.作為信息安全從業(yè)人員,以下哪種行為違反了CISP職業(yè)道德準則？A、抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益B、通過公眾網(wǎng)絡(luò)傳播非法軟件C、不在計算機網(wǎng)絡(luò)系統(tǒng)中進行造謠、欺詐、誹謗等活動D、幫助和指導信息安全同行提升信息安全保障知識和能力【正確答案】：B解析：

教材P64，CISP職業(yè)道德準則

誠實守信，遵紀守法

1)不通過計算機網(wǎng)絡(luò)系統(tǒng)進行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為；

2)不利用個人的信息安全技術(shù)能力實施或組織各種違法犯罪行為；

3)不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件。93.信息安全工程監(jiān)理的職責包括：A、質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)B、質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)C、確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)D、確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)【正確答案】：A解析：

監(jiān)理職責之：四控三管一協(xié)調(diào)

四控：進度控制、質(zhì)量控制、成本控制（投資控制）、變更控制。

三管：合同管理、安全管理、信息管理。

一協(xié)調(diào)：協(xié)調(diào)甲方、總包及設(shè)備材料供應(yīng)方的關(guān)系94.某共享文件夾的NTFS權(quán)限和共享權(quán)限設(shè)置的并不一致，則對于登錄該文件夾所在主機的本地用戶而言，下列（）有效。A、文件夾的NTFS權(quán)限B、文件夾的共享權(quán)限C、文件夾的共享權(quán)限和NTFS權(quán)限兩者的累加權(quán)限D(zhuǎn)、文件夾的共享權(quán)限和NTFS權(quán)限兩者中最嚴格的那個權(quán)限【正確答案】：A解析：

本地登錄時只受本地NTFS權(quán)限影響95.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A、口令B、令牌C、知識D、密碼【正確答案】：B解析：

教材P294，令牌屬于實體所有

96.全自動區(qū)分計算機和人類的圖靈測試（英語：CompletelyAutomatedPublicTuringtesttotellComputersAndHumansApart簡稱CAPTCHA），俗稱驗證碼。設(shè)計的初衷是不讓計算機識別，那么攻擊思路就是如何讓計算機程序能夠識別驗證碼，下面不屬于驗證碼機器識別步驟的是（）A、預(yù)處理（閾值法二值化、去干擾、降噪）B、字符分割（投影法、連同區(qū)域法、平均寬度法、滴水算法）C、字符識別（OCR）D、人海戰(zhàn)術(shù)（打碼平臺）【正確答案】：D解析：

驗證碼機器識別不包括人海戰(zhàn)術(shù)97.CC標準是目前系統(tǒng)安全認證方面最權(quán)威的標準，以下哪一項沒有體現(xiàn)CC標準的先進性？A、結(jié)構(gòu)的開放性，即功能和保證要求都可以在具體的“保戶輪廓”和“安全目標”中進一步細化和擴展B、表達方式的通用性，即給出通用的表達表示C、獨立性，它強調(diào)將安全的功能和保證分離D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中【正確答案】：C解析：

教材P233，CC沒有強調(diào)獨立性98.關(guān)于信息安全保障技術(shù)框架（IATF），以下說法不正確的是：A、分層策略允許在適當?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本B、IATF從人、技術(shù)和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施C、允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案，確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實現(xiàn)所有信息安全保障機制【正確答案】：D解析：

教材P28，信息安全管理強調(diào)適度原則，選項Ｄ中的描述“各個可能位置實現(xiàn)所有信息安全保障機制”不可能做到，也沒有必要。99.老王是某政府信息中心主任，以下哪項項目是符合《保守國家秘密法》要求的？A、老王安排下屬小李將損害的涉密計算機某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B、老王要求下屬小張把中心所有計算機貼上密級標志C、老王每天晚上12點將涉密計算機連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用【正確答案】：D解析：

選項A、C明顯錯誤，

選項B《中華人民共和國保守國家秘密法》第十七條

第十七條機關(guān)、單位對承載國家秘密的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體(以下簡稱國家秘密載體)以及屬于國家秘密的設(shè)備、產(chǎn)品，應(yīng)當做出國家秘密標志。

不屬于國家秘密的，不應(yīng)當做出國家秘密標志。100.以下關(guān)于https協(xié)議與http協(xié)議相比交的優(yōu)勢說明，那個是正確的？A、Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為B、Https使用的端口與http不同，讓攻擊者不容易找到端口，具有較高的安全性C、Https協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能D、Https協(xié)議使用了挑戰(zhàn)機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的安全性【正確答案】：A解析：

HTTPS（HyperTextTransferProtocoloverSecureSocketLayer），是以安全為目標的HTTP通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認證保證了傳輸過程的安全性

。HTTPS在HTTP的基礎(chǔ)下加入SSL，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)提供了身份驗證與加密通訊方法。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面

101.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求。隨后，李強發(fā)現(xiàn)有向系統(tǒng)登錄異常。請問以下說法哪個是正確的？A、小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自教給李強就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，影響單位領(lǐng)導申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或者小張沒按操作流程工作D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導申請升級郵件服務(wù)軟件【正確答案】：C解析：

典型的社工攻擊102.分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標系統(tǒng)的（

）。A、保密性B、完整性C、可用性D、真實性【正確答案】：C解析：

分布式拒絕服務(wù)攻擊破壞的是可用性103.在國家標準GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》信息系統(tǒng)安全保障模型包含哪幾個方面？A、保障要素、生命周期和運行維護B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運行維護【正確答案】：B解析：

教材P35，圖1-9

信息系統(tǒng)安全保障模型：保障要素、安全特征、生命周期104.以下哪一項不是常見威脅對應(yīng)的消減措施？A、假冒攻擊可以采用身份認證機制來防范B、為了防止傳輸?shù)男畔⒈淮鄹模瞻l(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的完整性C、為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權(quán)限，可以采用訪問控制表的方式來管理權(quán)限【正確答案】：C解析：

防止發(fā)送方否認應(yīng)該用數(shù)字簽名105.下面關(guān)于信息系統(tǒng)安全保障模型的說法不正確的是？A國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》（GB/T20274.1-2006）中的信息系統(tǒng)安全保障模型將風險和策略作為基礎(chǔ)和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入【正確答案】：D解析：

選項Ｄ中的描述“單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入”有誤106.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關(guān)于殘余風險描述錯誤的是？A、殘余風險是采取了安全措施后，仍然可能存在的風險：一般來說，是在綜合考慮了安全成本與效益后不去控制的風險B、殘余風險應(yīng)受到密切監(jiān)視，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C、實施風險處理時，應(yīng)將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果D、信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小殘余風險值作為風險管理效果評估指標【正確答案】：D解析：

“最小殘余風險值”表述有問題107.規(guī)范的實施流程和文檔管理，是信息安全風險評估能否取得成果的重要基礎(chǔ)。某單位在實施風險評估時，按照規(guī)范形成了若干文檔，其中，下面（

）中的文檔應(yīng)屬于風險評估中“風險要素識別”階段輸出的文檔。A、《風險評估方案》，主要包括本次風險評估的目的、范圍、目標、評估步驟、經(jīng)費預(yù)算和進離安排等內(nèi)容B、《風險評估方法和工具列表》、主要包括擬用的風險評估方法和測試評估工具等內(nèi)容C、《風險評估準則要求》，主要包括現(xiàn)有風險評估參考標準、采用的風險分析方法、資產(chǎn)分類標準等內(nèi)容D、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術(shù)和管理各方面安全措施等內(nèi)容【正確答案】：D解析：

教材P260，風險評估各階段的輸出文檔，見上圖。108.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容。基于應(yīng)急響應(yīng)工作的特點和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降到最低。應(yīng)急響應(yīng)方法和過程并不是唯一的。一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為6個階段，為準備-檢測-根除-恢復-跟蹤總結(jié)。請問下列說法有關(guān)于信息安全應(yīng)急響應(yīng)管理過程錯誤的是（）。A、確定重要資產(chǎn)和風險，實施對風險的防護措施是信息安全應(yīng)急響應(yīng)規(guī)劃過程中最關(guān)鍵的步驟B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有：完全關(guān)閉所有系統(tǒng)、拔掉網(wǎng)線等D、應(yīng)按照應(yīng)急響應(yīng)計劃中事先制定的業(yè)務(wù)恢復優(yōu)先順序和恢復步驟，順序恢復相關(guān)的系統(tǒng)【正確答案】：C解析：

教材P153，關(guān)閉相關(guān)系統(tǒng)109.以下哪一項不是我國國務(wù)院信息化辦公室為加強信息安全保障明確提出的九項重點工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】：A解析：

"27號文"的主要任務(wù)(重點加強的安全保障工作):

1.實行信息安全等級保護;

2.加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè);

3.建設(shè)和完善信息安全監(jiān)控體系;

4.重視信息安全應(yīng)急處理工作;--選項D

5.加強信息安全技術(shù)研究