注冊信息安全專業(yè)人員考試大綱知識點綜合測試題(A)(時間：120分鐘數(shù)量：100題題型：單選題，將正確答案填寫在表格中)1.依據(jù)國家標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評估框架》,信息系統(tǒng)安全目標(biāo)(ISST)中，A、信息系統(tǒng)安全保障目的B、環(huán)境安全保障目的C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的答案：D解釋：GB/T20274信息系統(tǒng)保障評估框架從管理、技術(shù)、工程和總體方面進(jìn)行評估。2.以下哪一項是數(shù)據(jù)完整性得到保護(hù)的例子?A.某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進(jìn)行了沖正操作C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計功能，可以確定哪個管理員在何時對核心交換機進(jìn)行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看解釋：A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施，是Clark-Wilson模型的應(yīng)用，解決數(shù)據(jù)變化過程的完整性。3.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：A.與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B.美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔(dān)C.各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理D.在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系答案：B解釋：美國已經(jīng)設(shè)立中央政府級的專門機構(gòu)。4.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)?A.防護(hù)B.檢測C.響應(yīng)D.策略答案：D解釋：PPDR是指策略、保護(hù)、檢測和反應(yīng)(或響應(yīng))。PPDR比PDR多策略。A.項目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提B.項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機確定。D.項目目標(biāo)要遵守SMART原則，即項目的目標(biāo)要求具體(Specific)、可測量 (Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(Realistic)、有一定的解釋：據(jù)項目進(jìn)度不能隨機確定，需要根據(jù)項目預(yù)算、特性、質(zhì)量等要求進(jìn)行確6.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡(luò)安全綜合計劃 A.CNCI是以風(fēng)險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險D.CNCI徹底改變了以往的美國信息安全戰(zhàn)略A.信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、B.信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全C.信息安全人才體系：在組織機構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安C.個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別B.此密碼體制為私鑰密碼體制C.此密碼體制為單鑰密碼體制A.用戶通過自己設(shè)置的口令登錄系統(tǒng)，完B.用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C.用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D.用戶使用集成電路卡(如智能卡)完成身份鑒別+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景A.A.實體“所知”以及實體“所有”的鑒別方法B.實體“所有”以及實體“特征”的鑒別方法代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策，以下哪條A.滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護(hù)期產(chǎn)生的B.滲透測試是用軟件代替人工的一種測C.滲透測試使用人工進(jìn)行測試，不依賴軟件，因此測試更準(zhǔn)確D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞的?A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許C.用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)解釋：個人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。14.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：A.在軟件立項時考慮到軟件安全相關(guān)費用，經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用，確保安全經(jīng)費得到落實B.在軟件安全設(shè)計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進(jìn)行評審，及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安全不足C.確保對軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D.在軟件上線前對軟件進(jìn)行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行解釋：軟件的安全測試根據(jù)實際情況進(jìn)行測試措施的選擇和組合。15.以下哪一項不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：16.主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該訪問控制實現(xiàn)方法是：A.訪問控制表(ACL)B.訪問控制矩陣C.能力表(CL)D.前綴表(Profiles)解釋：定義主體訪問客體的權(quán)限叫作CL。定義客體被主體訪問的權(quán)限叫ACL。17.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl.RBAC):根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A.當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B.業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C.通過角色，可實現(xiàn)對信息資源訪問的控制解釋：RBAC模型能實現(xiàn)多級安全中的訪問控制。18.下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A.第二層隧道協(xié)議(L2TP)B.Internet安全性(IPSEC)C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)D.點對點隧道協(xié)議(PPTP)答案：C19.下列對網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos描述正確的是：A.該協(xié)議使用非對稱密鑰加密機制B.密鑰分發(fā)中心由認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器和客戶機三個部分組成C.該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)D.使用該協(xié)議不需要時鐘基本同步的環(huán)境解釋：A錯誤，因為使用對稱密碼；B錯誤，因為密鑰分發(fā)中心不包括客戶機；D錯誤，因為協(xié)議需要時鐘同步。三個步驟：1)身份認(rèn)證后獲得票據(jù)許可票據(jù)；2)獲得服務(wù)許可票據(jù)；3)獲得服務(wù)。20.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的：A.口令B.令牌C.知識D.密碼解釋：令牌是基于實體所有的鑒別方式。21.在ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)?A.加密B.數(shù)字簽名C.訪問控制D.路由控制答案：B解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。22.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A.選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B.選購任意一款品牌防火墻C.任意選購一款價格合適的防火墻產(chǎn)品D.選購一款同已有安全產(chǎn)品聯(lián)動的防火墻解釋：在技術(shù)條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。23.在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性，以A.網(wǎng)絡(luò)層B.表示層C.會話層D.物理層24.某單位人員管理系統(tǒng)在人員離職時進(jìn)行賬號刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計是遵循了軟件安全哪項原則A.最小權(quán)限B.權(quán)限分離C.不信任D.縱深防御A.在傳送模式中，保護(hù)的是IP負(fù)載。B.驗證頭協(xié)議(AuthenticationHeader,AH)和IP封裝安全載荷協(xié)議(EncapsulatingC.在隧道模式中，保護(hù)的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。解釋：IPSEC可以提供身份鑒別、保密性、26.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時，使用了威脅建模方法來分折電子商務(wù)網(wǎng)站所面臨的威B.網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對數(shù)據(jù)進(jìn)行加密，D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得27.以下關(guān)于PGP(PrettyGoB.PGP可以實現(xiàn)數(shù)據(jù)壓縮D.PGP采用SHA算法加密郵件28.入侵防御系統(tǒng)(IPS)是繼入侵檢測IDS有著許多不同點，請指出下列哪一項描述B.對異常的進(jìn)出流量可以直接進(jìn)行阻斷C.有可能造成單點故障A.NTFS使用事務(wù)日志自動記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源等問題，而引起操作失敗后，系統(tǒng)能利用日志文D.相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式30.某公司系統(tǒng)管理員最近正在部署一臺Web服務(wù)器，使用的操作系統(tǒng)是windows,在進(jìn)A.網(wǎng)絡(luò)中單獨部署syslog服務(wù)器，將Web服務(wù)器的日志自動發(fā)送并存儲到該syslogB.嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作解釋：在多重備份存儲情況下，可以防護(hù)日志被篡改的攻擊(前提非實時同步)。A.在linux中，每一個文件和程序都?xì)w屬于一個特定的“用戶”C.用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組D.root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限A.操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全B.為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)C,所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤D.將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能解釋：操作系統(tǒng)和應(yīng)用安全裝應(yīng)分開不同磁盤部署。33.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活?A.粒度越小B.約束越細(xì)致C.范圍越大D.約束范圍大解釋：數(shù)據(jù)粒度越細(xì)則授權(quán)策略越靈活便利。34.下列哪一些對信息安全漏洞的描述是錯誤的?A.漏洞是存在于信息系統(tǒng)的某種缺陷。B.漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。C.具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D.漏洞都是人為故意引入的一種信息系統(tǒng)的弱點解釋：漏洞是人為故意或非故意引入的弱點。35.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進(jìn)行鎖定是為了對抗以下哪種攻擊?A.分布式拒絕服務(wù)攻擊(DDoS)B.病毒傳染C.口令暴力破解D.緩沖區(qū)溢出攻擊解釋：賬號鎖定是為了解決暴力破解攻擊的。36.以下哪個不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一?A.ARP協(xié)議是一個無狀態(tài)的協(xié)議B.為提高效率，ARP信息在系統(tǒng)中會緩存C.ARP緩存是動態(tài)的，可被改寫D.ARP協(xié)議是用于尋址的一個重要協(xié)議解釋：D不是導(dǎo)致欺騙的根源。37.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A.口令攻擊B.暴力破解C.拒絕服務(wù)攻擊D.社會工程學(xué)攻擊解釋：D屬于社會工程學(xué)攻擊。38.關(guān)于軟件安全開發(fā)生命周期(SDL),下面說法錯誤的是：A.在軟件開發(fā)的各個周期都要考慮安全因素B.軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D.在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本解釋：設(shè)計階段是發(fā)現(xiàn)和改正問題的最佳階段。39.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能，下列哪個選項不屬于核心業(yè)務(wù)功能：A.治理，主要是管理軟件開發(fā)的過程和活動B.構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動C.驗證，主要是測試和驗證軟件的過程與活動D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動40.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：A.系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。B.系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是D.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進(jìn)學(xué)科。解釋：SSE-CMM是面向工程過程質(zhì)量控制的一套方法。41.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices,BP),A.BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B.大部分BP是沒有經(jīng)過測試的C.一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D.一項BP可以和其他BP有重疊一項BP和其他的BP是不重復(fù)。42.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?A.是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險B.是否可以抵抗大部分風(fēng)險C.是否建立了具有自適應(yīng)能力的信息安全模型A.信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B.明確違反信息安全的行為，并對行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動D.信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的44.小張是信息安全風(fēng)險管理方面的專家，被某單位成四(24%),歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后解釋：計算公式為100萬*24%*(3/8)=9萬45.2005年4月1日正式施行的《電子簽名法》,被稱為“中國首部真正意義上的信息化法律”,自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽A.電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明B.電子簽名適用于民事活動中的合同或者其他文件、單證等文書C.電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)D.電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名46.風(fēng)險管理的監(jiān)控與審查不包含：D.協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動47.信息安全等級保護(hù)要求中，第三級適用的正確的是：A.適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)B.適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成C.適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害D.適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害答案：B解釋：題目中B為等級保護(hù)三級，該考點為等級保護(hù)定級指南。48.下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：A.設(shè)置網(wǎng)絡(luò)連接時限B.記錄并分析系統(tǒng)錯誤日志C.記錄并分析用戶和管理員操作日志D.啟用時鐘同步解釋：A屬于防護(hù)措施；BCD屬于檢測措施，可以用來檢測未經(jīng)授權(quán)的信息處理活動。49.有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：A.嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論產(chǎn)生泄密實際后果，都要依法追究責(zé)任B.非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C.過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D.承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和/或其他處分解釋：正確的為A。50.以下對于信息安全事件理解錯誤的是：A.信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件B.對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C.應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D.通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生解釋：安全事件無法杜絕。51.假設(shè)一個系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測控制設(shè)備：A.是多余的，因為它們完成了同樣的功能，但要求更多的開銷B.是必須的，可以為預(yù)防控制的功效提供檢測C.是可選的，可以實現(xiàn)深度防御D.在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預(yù)防控制功能已經(jīng)足夠解釋：正確為C。52.關(guān)于我國加強信息安全保障工作的主要原則，以下說法錯誤的是：A.立足國情，以我為主，堅持技術(shù)與管理并重B.正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C.統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作D.全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全解釋：D描述的是信息安全保障工作目標(biāo)；ABC描述的是信息安全保障的原則。53.以下哪一項不是信息安全管理工作必須遵循的原則?A.風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B.風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護(hù)、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低D.在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力解釋：安全措施投入應(yīng)越早則成本越低，C答案則成本會上升。54.《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是：A.規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B.設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C.實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證解釋：該題目來源于《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007),其原文描述D為“是一種較全面的風(fēng)險評估”。55.對信息安全風(fēng)險評估要素理解正確的是：A.資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機構(gòu)B.應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅57.根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是：B.信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實效”的C.信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程解釋：信息安全風(fēng)險評估應(yīng)以自評估(自查)為主。B.信息安全部門主管——提供各種信息安全工作必須的資源C.系統(tǒng)的普通使用者——遵守日常操作規(guī)范59.自2004年1月起，國內(nèi)各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)由B.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)A.R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示B.L表示威脅利用資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C.F表示安全事件發(fā)生后造成的損失D.Ia,Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度解釋：Ia表示安全事件作用全部資產(chǎn)的價值；Va表示脆B.對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除A.統(tǒng)一而精確地的時間B.全面覆蓋系統(tǒng)資產(chǎn)C.包括訪問源、訪問目標(biāo)和訪問活動等重要信息D.可以讓系統(tǒng)的所有用戶方便的讀取A.應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過程分為遏制、根除、處置、恢復(fù)、報告和跟蹤6個階段C.對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重大事件(I級)、重大事件(Ⅱ級)、較大事件(Ⅲ級)和一般事件(IV級)C.監(jiān)理咨詢階段過程D.解釋：監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。66.以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A.增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B.依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D.如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了解釋：A錯誤，因為差分備份是上次全備后的更新數(shù)據(jù)；增量備份是任何上一次備份后的更新數(shù)據(jù)。全備份周期最長、次之差分備份，更新周期最短是增量備份。B錯誤，我國災(zāi)備能力級別一共分為6級。D是明顯的錯誤。67.某公司擬建設(shè)面向內(nèi)部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項目的全程監(jiān)理工作，目前，各個應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗收申請，監(jiān)理公司需要對A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔：A.項目計劃書B.質(zhì)量控制計劃C.評審報告D.D.需求說明書解釋：ABC其均屬于項目管理文檔。需求說明書、設(shè)計說明書、測試方案、測試用例等屬于開發(fā)類文檔。68.在某網(wǎng)絡(luò)機房建設(shè)項目中，在施工前，以下哪一項不屬于監(jiān)理需要審核的內(nèi)容：A.審核實施投資計劃B.審核實施進(jìn)度計劃C.審核工程實施人員D.企業(yè)資質(zhì)解釋：監(jiān)理從項目招標(biāo)開始到項目的驗收結(jié)束，在投資計劃階段沒有監(jiān)理。69.以下關(guān)于直接附加存儲(DirectAttachedStorage,DAS)說法錯誤的是：A.DAS能夠在服務(wù)器物理位置比較分散的情況下實現(xiàn)大容量存儲.是一種常用的數(shù)據(jù)存儲方法B.DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單C.DAS的缺點在于對服務(wù)器依賴性強，當(dāng)服務(wù)器發(fā)生故障時，連接在服務(wù)器上的存儲設(shè)備中的數(shù)據(jù)不能被存取D.較網(wǎng)絡(luò)附加存儲(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對數(shù)據(jù)進(jìn)行管理和備份解釋：NAS優(yōu)點數(shù)據(jù)集中、節(jié)約空間，缺點是占用DAS優(yōu)點數(shù)據(jù)分散、風(fēng)險分散，缺點是存儲空間利用率低、不便于統(tǒng)一管理。SAN基于NAS的進(jìn)一步實現(xiàn)，基于高速網(wǎng)絡(luò)、多備份中心來進(jìn)行實現(xiàn)。70.某公司在執(zhí)行災(zāi)難恢復(fù)測試時.信息安全專業(yè)人員注意到災(zāi)難恢復(fù)站點的服務(wù)器的運行速度緩慢，為了找到根本愿因，他應(yīng)該首先檢查：A.災(zāi)難恢復(fù)站點的錯誤事件報告B.災(zāi)難恢復(fù)測試計劃C.災(zāi)難恢復(fù)計劃(DRP)D.主站點和災(zāi)難恢復(fù)站點的配置文件解釋：答案為A。71.以下對異地備份中心的理解最準(zhǔn)確的是：A.與生產(chǎn)中心不在同一城市B.與生產(chǎn)中心距離100公里以上C.與生產(chǎn)中心距離200公里以上D.與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險的機率很小解釋：答案為D,備份中心的綜合風(fēng)險小于主中心。72.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進(jìn)行業(yè)務(wù)影響分析(BIA)時的步驟是：1.標(biāo)識關(guān)鍵的業(yè)務(wù)過程；2.開發(fā)恢復(fù)優(yōu)先級；3.標(biāo)識關(guān)鍵的IT資源；4.表識中斷影響和允許的中斷時間 解釋：根據(jù)BCM的分析過程順序為A。73.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯誤的理解是：A.SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B.SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目C.基手SSE-CMM的工程是獨立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實施實施D.SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動74.下面關(guān)于信息系統(tǒng)安全保障的說法不正確的是：A.信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護(hù)和廢棄等生命周期密切相關(guān)C.信息系統(tǒng)安全需要從技術(shù)、工程、管理和人員四個領(lǐng)域進(jìn)行綜合保障D.信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險降低到可接受的程度，從而實現(xiàn)其75.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進(jìn)A.測量單位是基本實施(BasePractices,BP)B.測量單位是通用實踐(GenericPractices,GP)C.測量單位是過程區(qū)域(ProcessAreas,PA)D.測量單位是公共特征(CommonFeatures,CF)解釋：正確答案為D。A.國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/T20274.1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險和策略作為基礎(chǔ)B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障D.信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息77.信息系統(tǒng)安全工程(ISSE)的一個重要目標(biāo)就是在IT項目的各個階段充分考慮安全因B.識別來自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求解釋：D屬于項目的驗收階段，不屬于IT項目的立項階段，題干屬于立項階段。78.關(guān)于框架(IATF),以下說法不正確A.分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的B.IATF從人、技術(shù)和操作三個層面提供一C.允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方D.IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)各個可能位置實現(xiàn)所有信息安全保障機制答案：D解釋：IATF是在網(wǎng)絡(luò)的各位置實現(xiàn)所需的安全機制。79.以下關(guān)于軟件安全測試說法正確的是()A.軟件安全測試就是黑盒測試B.FUZZ測試是經(jīng)常采用的安全測試方法之-C.軟件安全測試關(guān)注的是軟件的功能D.軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題解釋：B是正確答案。80.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決：A.信息系統(tǒng)的技術(shù)架構(gòu)安全問題B.信息系統(tǒng)組成部門的組件安全問題C.信息系統(tǒng)生命周期的過程安全問題D.信息系統(tǒng)運行維護(hù)的安全管理問題解釋：正確的答案為C。81.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實施(BasePractice)正確的A.BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法B.BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的C.BP不代表信息安全工程領(lǐng)域的最佳實踐D.BP不是過程區(qū)域(ProcessAreas,PA)的強制項解釋：BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的；代表著信息安全工程領(lǐng)域的最佳實踐；并且是過程區(qū)域(ProcessAreas,PA)的強制項。82.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》建設(shè)的直接體系，也ISMS建設(shè)的成果之一，通常將ISMS的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)，那么,以下選項()應(yīng)放入到一級文件中.A.《風(fēng)險評估報告》B.《人力資源安全管理規(guī)定》答案：D解釋：正確答案為D。一級文件中一般為安全方針、策略文件；二級文件中一般為管理規(guī)范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。83.信息安全管理體系(informationSecurityManagementSystem.簡稱ISMS)的實施和運行ISMS階段，是ISMS過程模型的實施階段(Do),下面給出了一些備①制定風(fēng)險處理計劃②實施風(fēng)險處理計劃③開發(fā)有效性測量程序④實施培訓(xùn)和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實施內(nèi)部審核⑨實施風(fēng)險再評估選的活動，選項()描述了在此階段組織應(yīng)進(jìn)行的活動。解釋：管理體系包括PDCA(Plan-Do-Check-Act)四個階段，題干中1-7的工作都屬于管理體系的實施階段(D-Do),而8和9屬于檢查階段(C-Check)。84.在實施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值，關(guān)于資產(chǎn)價A.資產(chǎn)的價值指采購費用B.資產(chǎn)的價值指維護(hù)費用C.資產(chǎn)的價值與其重要性密切相關(guān)D.資產(chǎn)的價值無法估計解釋：答案為C。85.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期A.軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以解決90%以上的安全問題。布以后進(jìn)行漏洞修復(fù)所花的代價少得多。C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期(SDL)最大特點是增加了一個專門的安全編碼階段。D.軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進(jìn)行了安全性測試，就沒有必要再組織第三方進(jìn)行安全性測試。解釋：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設(shè)計階段。C-SDL最大的特點是增加了安全培訓(xùn)和應(yīng)急響應(yīng)。D-第三方測試是必要的軟件安全測試類型。86.某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WEB目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。A.模糊測試B.源代碼測試C.滲透測試D.軟件功能測試解釋：答案為C。87.下面哪項屬于軟件開發(fā)安全方面的問題()A.軟件部署時所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。B.應(yīng)用軟件來考慮多線程技術(shù)，在對用戶服務(wù)時按序排隊提供服務(wù)C.應(yīng)用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)D.軟件受許可證(license)88.為增強Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓(xùn)，下面哪項內(nèi)容不在考慮范圍內(nèi)()D.關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn)89.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的：A.Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B.Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的C.Https協(xié)議是http協(xié)議的補充，不能獨立D.Https協(xié)議使用了挑戰(zhàn)機制，在會話過程中各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是()。91.小李去參加單位組織的信息安全管理體系(InformationSecurityManagementSystem.ISMS)培訓(xùn)，按照理解畫了一張圖改進(jìn)),但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項()。C.監(jiān)視和評審ISMSD.溝通和咨詢ISMS92.為推動和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類。下面四個標(biāo)準(zhǔn)中，()規(guī)定了等級保護(hù)定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)A.GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B.B.GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》C.GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》D.GB/T20269-2006《信息系統(tǒng)安全管理要求》解釋：答案為B。93.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說法不正確的是：A.所選擇的特征(指紋)便于收集、測量和比較B.每個人所擁有的指紋都是獨一無二的C.指紋信息是每個人獨有的，指紋識別系統(tǒng)不存在安全威脅問題D.此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成解釋：指紋識別系統(tǒng)存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。94.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強信息安全工作的主要原則?A.《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》B.《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》C.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》D.《關(guān)于開展信息安全風(fēng)險評估工作的意見》解釋：《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦2003年27號文件)規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅持技管并重等。95.在以下標(biāo)準(zhǔn)中，屬于推薦性國家標(biāo)準(zhǔn)的是?解釋：A為國標(biāo)推薦標(biāo)準(zhǔn)；B為國標(biāo)強制標(biāo)準(zhǔn)；C為地方標(biāo)準(zhǔn)；D為國標(biāo)指導(dǎo)標(biāo)準(zhǔn)。96.微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其中“棄用不安全的函數(shù)”屬于()的安全活動A.要求階段B.設(shè)計階段C.實施階段D.驗證階段解釋：棄用不安全的函數(shù)為編碼實施階段。97.由于頻繁出現(xiàn)計算機運行時被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強軟件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是()C.要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本試C.對于R威脅，可以選擇使用如強認(rèn)證、數(shù)字簽名、安全審計等技術(shù)D.對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)注冊信息安全專業(yè)人員考試大綱知識點綜合測試題(B)(時間：120分鐘數(shù)量：100題題型：單選題，將正確答案填寫在表格中)1.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進(jìn)，以及深化落實三個階段，A.2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)B.2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強信息安全保障工作的意見》C.2003年中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實階段D.在深化落實階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息解釋：2006年進(jìn)入到深化落實階段。A使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件，應(yīng)用軟B為計算機安裝具有良好聲譽的安全防護(hù)軟件，包括病毒查殺，安全檢查和安全加固C在IE的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)D.建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)4.某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進(jìn)行升級改造，以下哪一項不是此次改造中信A.信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)B.信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C.消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D.該銀行整體安全策略注冊信息安全專業(yè)人員考試模擬考試試卷5.信息安全測評是指依據(jù)相關(guān)標(biāo)準(zhǔn)，從安A.信息產(chǎn)品安全評估是測評機構(gòu)的產(chǎn)品的安全性做出的獨立評價，增強用戶對已評估B.目前我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估和信息系統(tǒng)安全保障測評C.信息安全工程能力評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實力和實施服務(wù)過程質(zhì)量保證能力的具體衡量和評價。D.信息系統(tǒng)風(fēng)險評估是系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存6.美國的關(guān)鍵信息基礎(chǔ)設(shè)施(CriticalInformationInfrastructure,CII)包括商用核設(shè)施、政策設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強調(diào)重點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括：A.這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟(jì)運行和國家安全影響深遠(yuǎn)B.這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域7.在設(shè)計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的：C.要充分采取新技術(shù)，使用過程中不斷完善成熟，精益求精，實現(xiàn)技術(shù)投入保值要求解釋：設(shè)計信息系統(tǒng)安全保障方案應(yīng)采用合適的技術(shù)。9.密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的A.在實際應(yīng)用中，密碼協(xié)議應(yīng)按照靈活性好、可擴展性高的方式制定，不要限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟可以不明確處理方式。注冊信息安全專業(yè)人員考試模擬考試試卷D.密碼協(xié)議(Cryptographicprotocol),有時也稱安全協(xié)議(securityprotocol),是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，其末的是提供安全服務(wù)。答案：A解釋：密碼協(xié)議應(yīng)限制和框住的執(zhí)行步驟，有些復(fù)雜的步驟必須要明確處理方式。10.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecuritB.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證C.部署IPsecVPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗D.報文驗證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機密性11.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)路中利用隧道技術(shù)，建立一個臨時的，安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是()A.Special-purpose.特定、專用用途的B.Proprietary專有的、專賣的C.Private私有的、專有的D.Specific特種的、具體的解釋：C為正確答案。12.以下Windows系統(tǒng)的賬號存儲管理機制SAM(SecurityAccoumtsManager)的說法哪個B.存儲在注冊表中的賬號數(shù)據(jù)administrator賬戶才有權(quán)訪問，具有較高的安全性D.存儲在注冊表中的賬號數(shù)據(jù)只有System賬號才能訪問，具有較高的安全性解釋：D為正確答案。面哪個設(shè)備()D.虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)系統(tǒng)答案：C14.關(guān)于惡意代碼，以下說法錯誤的是：A.從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。B.按照運行平臺，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件解釋：按照運行平臺，惡意代碼可以分為Windows平臺、Linux平臺、工業(yè)控制系統(tǒng)等。15.某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，圖顯示該網(wǎng)站在當(dāng)天17:00到20:00間受到了攻擊，則從數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊()。B.TCP會話劫持(TCPHijack)攻擊D.拒絕服務(wù)(DenialofService,DoS)攻擊解釋：答案為D?，F(xiàn)漏洞總數(shù)一半以上。下列選項中，哪個與應(yīng)解釋：無論高級和低級語言都存在漏洞。A.微軟提出的“安全開發(fā)生命周期(SecurityDevelopmentLifecycle,SDL)”BSI)”C.OWASP維護(hù)的“軟件保證成熟度模型(SoftwareAssuranceD.“信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF)”D.深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析答案：D測試記錄和檢測異常運行情況。19.以下關(guān)于模糊測試過程的說法正確的是：A.模糊測試的效果與覆蓋能力，與輸入樣本選擇不相關(guān)B.為保障安全測試的效果和自動化過程，關(guān)鍵是將發(fā)現(xiàn)的異常進(jìn)行現(xiàn)場保護(hù)記錄，系統(tǒng)可能無法恢復(fù)異常狀態(tài)進(jìn)行后續(xù)的測試C.通過異常樣本重現(xiàn)異常，人工分析異常原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進(jìn)一步分析其危害性、影響范圍和修復(fù)建議D.對于可能產(chǎn)生的大量異常報告，需要人工全部分析異常報告解釋：C為模糊測試的涵義解釋。20.關(guān)于WI-FI聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別。下面描述正確的是()A.WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議B.WPA是適用于中國的無線局域安全協(xié)議，WPA2是使用于全世界的無線局域網(wǎng)協(xié)議C.WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行認(rèn)證D.WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是按照802.1li正式標(biāo)準(zhǔn)制定的解釋：答案為D。21.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是A.既能物理隔離，又能邏輯隔離B.能物理隔離，但不能邏輯隔離C.不能物理隔離，但是能邏輯隔離D.不能物理隔離，也不能邏輯隔離解釋：答案為C。22.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù)，它是識別系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是B.實施異常入侵檢測，是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生則認(rèn)為有攻擊發(fā)生C.異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警D.異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為解釋：實施誤用入侵檢測(或特征檢測),是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較，若匹配則認(rèn)為有攻擊發(fā)生。23.S公司在全國有20個分支機構(gòu)，總部由10臺服務(wù)器、200個用戶終端，每個分支機構(gòu)都有一臺服務(wù)器、100個左右用戶終端，通過專網(wǎng)進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評標(biāo)專家，請給5公司選出設(shè)計最合理的一個：A.總部使用服務(wù)器、用戶終端統(tǒng)一使用10.0.1.x、各分支機構(gòu)服務(wù)器和用戶終端使用B.總部服務(wù)器使用—11、用戶終端使用2—212,分支機構(gòu)IP地址隨意C.總部服務(wù)器使用10.0.1.x、用戶端根據(jù)部門劃分使用10.0.2.x,每個分支機構(gòu)分配兩個A類地址段，一個用做服務(wù)器地址段、另外一個做用戶終端地址段D.因為通過互聯(lián)網(wǎng)連接，訪問的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無需特別規(guī)劃，各機構(gòu)自行決定即可。解釋：答案為C,考核的是IP地址規(guī)劃的體系化。24.私有IP地址是一段保留的IP地址。只適用在局域網(wǎng)中，無法在Internet上使用。關(guān)于私有地址，下面描述正確的是()。A.A類和B類地址中沒有私有地址，C類地址中可以設(shè)置私有地址B.A類地址中沒有私有地址，B類和C類地址中可以設(shè)置私有地址D.A類、B類和C類地址中都沒有私有地址解釋：答案為C。25.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是A.密碼策略主要作用是通過策略避免擁護(hù)生成弱口令及對用戶的口令使用進(jìn)行管控B.密碼策略對系統(tǒng)中所有的用戶都有效C.賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護(hù)所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D.賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊解釋：賬戶鎖定策略也適用于administrator賬戶。26.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表(AccessControlList.ACL)機制，以下哪個說法是錯誤的：A.安裝Windows系統(tǒng)時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B.由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C.Windows的ACL機制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D.由于ACL具有很好靈活性，在實際使用中可以為每一個文件設(shè)定獨立用戶的權(quán)限解釋：Windows的ACL機制中，文件和文件夾的權(quán)限是客體關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在客體文件和文件夾屬性數(shù)據(jù)庫中。27.由于發(fā)生了一起針對服務(wù)器的口令暴力破解攻擊，管理員決定對設(shè)置帳戶鎖定策略以對抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：√賬戶鎖定閥值3次無效登陸；√賬戶鎖定時間10分鐘；√復(fù)位賬戶鎖定計數(shù)器5分鐘；C.如果正常用戶不小心連續(xù)輸入錯誤密碼3次，那么該擁護(hù)帳號被鎖定5分鐘，5分鐘D.攻擊者在進(jìn)行口令破解時，只要連續(xù)輸錯3次密碼，該賬戶就被鎖定10分鐘，而正解釋：答案為B,全部解釋為5分鐘計數(shù)器時間內(nèi)錯誤3次則鎖定10分鐘。28.加密文件系統(tǒng)(EncryptingFileSyB.EFS以公鑰加密為基礎(chǔ)，并利用了widows系統(tǒng)中的CryptoAPI體系結(jié)構(gòu)C.EFS加密系統(tǒng)適用于NTFS文件系統(tǒng)和FAT32文件系統(tǒng)(Windows環(huán)境下)解釋：答案為C,FAT32不支持EFS加密。B.數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保據(jù)的循環(huán)，將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一30.數(shù)據(jù)庫的安全很復(fù)雜，往往需要考慮多種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫的安全。A.最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)D.按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問數(shù)據(jù)解釋：答案為B。32.以下關(guān)于SMTP和POP3協(xié)議的說法哪個是錯誤的CSMTP和POP3協(xié)議缺乏嚴(yán)格的用戶解釋：基于HTTP協(xié)議或C/S客戶端實現(xiàn)郵件的遠(yuǎn)程管理。A.S/MIME采用了非對稱密碼學(xué)機制C.S/C.S/MIME采用了郵件防火墻技術(shù)防護(hù)考慮的是()問注冊信息安全專業(yè)人員考試模擬考試試卷EB服務(wù)運行平臺，在使用過程中，該軟件默認(rèn)端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下那種措施()C.安裝后，刪除ApacheHttpServer源碼D.從正確的官方網(wǎng)站下載Ap解釋：答案為B。36.下面信息安全漏洞理解錯誤的是：解釋：安全漏洞可以有意產(chǎn)生，也會無意產(chǎn)生。A.指一個特定的漏洞，該漏洞每年1月1日零點發(fā)作，可以被攻擊者用來遠(yuǎn)程攻擊，獲B.指一個特定的漏洞，特指在2010年被發(fā)現(xiàn)出來的一種漏洞，該漏洞被“震網(wǎng)”病毒C.指一類漏洞，即特別好被利用，一旦成功利用該類漏洞，可以在1天內(nèi)文完成攻擊，38.某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎?我是科技密碼改成123,我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，A.小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題答案：C解釋：該題目考點為信息安全措施的操作安全，要求一切操作均有流程。管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題。但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對策略，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施：A.在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入B.刪除服務(wù)器上的ping.exe程序C.增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D.增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊解釋：A是應(yīng)對措施。40.下面四款安全測試軟件中，主要用于WEB安全掃描的是()41.某單位計劃在今年開發(fā)一套辦公自動化(OA)系統(tǒng)，將集團(tuán)公司各地的機構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在0A系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的建設(shè)，作為安全專家，請指出大家提的建議中不太合適的一條：A.對軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對安全足夠的重視，投入資源解決軟件安全問題B.要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識C.要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言，避免SQL注入漏洞D.要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對數(shù)據(jù)進(jìn)行校驗解釋：SQL注入與編碼SQL語法應(yīng)用和過濾有關(guān)，與開發(fā)語言不是必然關(guān)系。42.下面有關(guān)軟件安全問題的描述中，哪項是由于軟件設(shè)計缺陷引起的()A.設(shè)計了三層Web架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后能直接訪問數(shù)據(jù)庫B.使用C語言開發(fā)時，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C.設(shè)計了緩存用戶隱私數(shù)據(jù)機制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運行后，被黑客 D.使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)解釋：答案為C。43.軟件存在漏洞和缺陷是不可避免的，實踐中常使用軟件缺陷密度(Defects/KLOC)來衡量軟件的安全性，假設(shè)某個軟件共有29.6萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是44.某集團(tuán)公司根據(jù)業(yè)務(wù)需求，在各地分支通過共享從前置機種提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，A.由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志C.日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置前置機解釋：D的特定IP地址從前置機提取降低了開放日志共享的攻擊面。45.針對軟件的拒絕服務(wù)攻擊是通過消耗系統(tǒng)資源使軟件無法響應(yīng)正常請求的一種攻擊方式，在軟件開發(fā)時分析拒絕服務(wù)攻擊的威脅，以下哪U資源占用始終100%D.攻擊者買通IDC人員，將某軟件運行服務(wù)器的46.某網(wǎng)站為了開發(fā)的便利，使用SA鏈接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程XP.cm47.微軟提出了STRIDE模型，其中Repudation(抵賴)的縮寫，關(guān)于此項安全要求，下面脅就屬于R威脅C.R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高信息泄露，D-拒絕服務(wù)，E-權(quán)限提升(攻擊)。網(wǎng)絡(luò)和重要信息系統(tǒng)的安全()A.信息安全管理體系(ISMS)B.信息安全等級保護(hù)C.NISTSP800D.ISO270000系統(tǒng)景建立的幾本概念與認(rèn)識，小明的主要觀點包括：(1)背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安的規(guī)劃和準(zhǔn)備；(2)背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達(dá)息安全分析(4.)背景建立的階段性成果包括：風(fēng)險51.降低風(fēng)險(或減低風(fēng)險)指通過對面的風(fēng)險的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險，下面那個措施不屬于降低風(fēng)險的措施()C.減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力答案：B解釋：B屬于轉(zhuǎn)移風(fēng)險。52.關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是：A.資產(chǎn)識別是指對需求保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B.威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C.脆弱性識別以資產(chǎn)為核心，針對每一項需求保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估D.確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺答案：D解釋：安全措施既包括技術(shù)層面，也包括管理層面。53.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是A.檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B.檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進(jìn)行檢查和評測C.檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施D.檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點答案：B解釋：檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。54.規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)，按照規(guī)范的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果()A,《風(fēng)險評估方案》B.《需要保護(hù)的資產(chǎn)清單》C.《風(fēng)險計算報告》D.《風(fēng)險程度等級列表》答案：B解釋：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。55.在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應(yīng)有職責(zé)的是()A.制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B.確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計劃得以制定，目標(biāo)應(yīng)明確、可度量，計劃應(yīng)具體、可事實C.向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D.建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評過過程、確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確答案：D解釋：D不屬于管理者的職責(zé)。56.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和管57.在風(fēng)險管理中，殘余風(fēng)險是指實施了新的高安全保護(hù)措施的強度，對安全保護(hù)措施的A.組織為避免所有業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程。B.組織為避免關(guān)鍵業(yè)務(wù)功能因重大事件而中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制過程。解釋：業(yè)務(wù)連續(xù)性計劃(BCP)是解決關(guān)鍵業(yè)務(wù)不中斷。59.在某次信息安全應(yīng)急響應(yīng)過程中，小王正等，請問，按照應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個階段()A.特別重要信息系統(tǒng)B.重要信息系統(tǒng)C.一注冊信息安全專業(yè)人員考試模擬考試試卷解釋：我國標(biāo)準(zhǔn)中未定義關(guān)鍵信息系統(tǒng)。61.恢復(fù)時間目標(biāo)(RTO)和恢復(fù)點目標(biāo)(RPO)是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個值能否為零，正確的選項是()B.RTO可以為0,RPO不可以為0C.RTO不可以為0,但RPO可以為0D.RTO不可以為0,RPO也不可以為0解釋：RTO可以為0,RPO也可以為0。62.某政府機構(gòu)擬建設(shè)一機房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項目分二期，一期目標(biāo)為年內(nèi)實現(xiàn)系統(tǒng)上線運營，二期目標(biāo)為次年上半年完成運行系統(tǒng)風(fēng)險的處理：D.招標(biāo)文件經(jīng)營管理層審批，表明工程目標(biāo)符解釋：題目描述不符合信息安全工程的基本原則。63.對系統(tǒng)工程(SystemsEngineering,SE)的理解，以下錯誤的是：C.系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科B.時間維表示系統(tǒng)工程活動從開始到結(jié)束按照時間順序排列的全過程步驟的活動，時間維第二階段應(yīng)執(zhí)行邏輯維第二步驟的活動65.北京某公司利用SSE-CMM對其自身工程隊伍能力進(jìn)行自我改善，其理解正確的是：A.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了6個能力級別，當(dāng)工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級注冊信息安全專業(yè)人員考試模擬考試試卷C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)定義了3個風(fēng)險過程：評價威脅，評價解釋：A當(dāng)工程隊不能執(zhí)行一個過程域中的基本實踐時，該過程域的過程能力為0級66.以下哪一項不是信息系統(tǒng)集成項目的特點：A.信息系統(tǒng)集成項目要以滿足客戶和用戶的需求為根本出發(fā)點。C.信息系統(tǒng)集成項目的指導(dǎo)方法是“總體規(guī)劃、分步實施”。解釋：系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術(shù)。67.信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理解釋：答案為D。68.以下關(guān)于信息安全工程說法正確的是：C.信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實施信息安全建設(shè)69.有關(guān)系統(tǒng)安全工程-能力成熟度模型(sse-cmm)中的基本實施(BasePracticesA.BP是基于最新技術(shù)而制定的安全參數(shù)基本配置B.大部分BP是沒有經(jīng)過測試的C.一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段D.一項BP可以和其他BP有重疊70.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的通用實施(GenericPractices,A.GP是涉及過程的管理、測量和制度化方面的活動B.GP適用于域維中部分過程區(qū)域(ProcessAractices,PA)活動而非所有PA的活動C.在工程實施時，GP應(yīng)該作為基本實施(BasePractices,BP)的一部分加以執(zhí)行D.在評估時，GP用于判定工程組織執(zhí)行某個PA的能力解釋：GP適用于域維中所有PA活動。71.在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CCM)對一個組織的安全工程能力成熟度C.如果某個過程區(qū)域(ProcessAreas,PA)包含4個基本實施(BasePractices,BP),執(zhí)行此PA時執(zhí)行了3個BP,則此過程區(qū)域的能力成熟度級別為01>安全事件(包括安全事故)報告制度2>安全等級保護(hù)制度3>信息系統(tǒng)安全監(jiān)控4>安全專用產(chǎn)品銷售許可證制度A.1,2,4B.2,3C.2,3,475.信息系統(tǒng)建設(shè)完成后，()的信息系統(tǒng)的而運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評解釋：答案為A,教材78頁原文建設(shè)、運營、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，2015年6月，第十二屆全國人大常委會第十五次會議初次審議了一部法律草案，并與7月6日起在網(wǎng)上全文公布，向社會公開征求意見，這部法律草案是()A.《中華人民共和國保守國家秘密法(草案)》C.《中華人民共和國國家安全法(草案)》D.《中華人民共和國互聯(lián)網(wǎng)安全法(草案)》解釋：答案為B。77.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實施意見》(公通字[2004]66B.該文件適用于2004年的等級保護(hù)工作，其內(nèi)容不能約束到2005年及之后的工作解釋：答案為A。D.實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中79.對于數(shù)字證書而言，一般采用的是哪個標(biāo)準(zhǔn)?解釋：答案為D。解釋：答案為B1。C.行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又才需要在全國某個行業(yè)范圍統(tǒng)一的技術(shù)要求而制IntermetProtocol)發(fā)布，用以取代原先的RFC2401,該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層(IPv4/IPv6)為流量提供安全業(yè)務(wù)，請問此類RFC系列標(biāo)準(zhǔn)建設(shè)是由哪個組織發(fā)布的()A.國際標(biāo)準(zhǔn)化組織B.國際電C.國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織D.Internet工程任務(wù)組83.關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)(ISO/IEC27001:2013)而我國發(fā)布了《信息技A.IDT(等同采用),此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B.EQV(等效采用),此國家標(biāo)準(zhǔn)等效于該國際標(biāo)準(zhǔn)C.NEQ(非等效采用),此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)D.沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較解釋：ISO/IEC27001:2013和GB/T22080-2008是兩個不同的版本。84.GB/T18336<<信息技術(shù)安全性評估準(zhǔn)則>>(CC)是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓(ProtectionProfile,PP)和安全目標(biāo)(SecurityTarget,ST)的評估準(zhǔn)則，提出了評估保證級(EvaluationAssurance()個遞增的評估保證等級A.4B.5C.6D.ZA.質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)A.信息系統(tǒng)面臨的風(fēng)險和威脅是動態(tài)變化的，信88.下列關(guān)于ISO15408信息技術(shù)安全評估準(zhǔn)則(簡稱CC)通用性的特點，即給出通用的表達(dá)A.如果用戶、開發(fā)者、評估者和認(rèn)可者都使用CC語言，互相就容易理解溝通D.通用性的特點使得CC也適用于對信息安全建設(shè)工程實施的成熟度進(jìn)行評估B.BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護(hù)測評指南》90.ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于。B.BS7799-2《信息安全管理體系規(guī)范》D.信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)解釋：BS7799-1發(fā)展為ISO270