CISO官方模拟题一

《CISO官方模拟题一》由会员分享，可在线阅读，更多相关《CISO官方模拟题一（18页珍藏版）》请在装配图网上搜索。

1、CISO模拟题一一、单选题。(共 100题 ,共100 分,每题1 分)1. 以下关于安全套接层协议(Secure Sockets Layer,SSL说法错误的是：a、SSL议位于TCP/IP协议层和应用协议之间b、SSL议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输c、SSL一种可靠的端到端的安全服务协议d、SSL设计用来保护操作系统的最佳答案是:d2. 部署互联网协议安全虚拟专用网( Internet Protocol Security Virtual Private Network, IPsecVPN)时,以下说法正确的是：a、配置MD5安全算法可以提供可靠地数据加密b、配

2、置AES算法可以提供可靠的数据完整性验证c、部署Ipsec VPN网络时，需要考虑 IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPsec安全关联(Security Authentication , SA)资源的消耗d、报文验证头协议(Authentication Header , AH)可以提供数据机密性最佳答案是:c3. 某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种：a、强制访问控制 b、基于角色的访问控制c、自主访问控制 d、基于任务的访问控制最佳答案是:c4.

3、某移动智能终端支持通过指纹识别解锁系统的功能， 与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是：a、所选择的特征(指纹)便于收集、测量和比较b、每个人所拥有的指纹都是独一无二的c、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成最佳答案是:c5. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?a、实体“所知”以及实体“所有”的鉴别方法b、实体“所有”以及实体“特征”的鉴别方法c、实体“所知”以及实体“特征”的鉴别方法d、

4、实体“所有”以及实体“行为”的鉴别方法最佳答案是:a6. 以下场景描述了基于角色的访问控制模型(Role-based Access Control. RBAC)根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：a、 当用户请求访问某资源时， 如果其操作权限不在用户当前被激活角色的授权范围内， 访 问请求将被拒绝b、业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色c、通过角色，可实现对信息资源访问的控制d、RBAC模型不能实现多级安全中的访问控制最佳答案是:d7.

5、关于 Kerberos 认证协议，以下说法错误的是：a、只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就可以使用该TGT通过票据授权服务器（TGS完成到任一个服务器的认证而不必重新输入密码b、认证服务器（AS那票据授权服务器（TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于 AS和TGS的性能和安全c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证d、该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂最佳答案是:c8. 传输控制协议（TCP是传输层协议，以下关于T

6、CP协议的说法，哪个是正确的？a、相比传输层的另外一个协议UDP, TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途b、TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机c、TCP协议具有流量控制.数据校验.超时重发.接收确认等机制，因此TCP协议能完全替代IP协议d、TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低最佳答案是:d9. S公司在全国有20个分支机构，总部有10台服务器.200个用户终端，每个分支机构都有一台服务器.100个左右用户终端，通过专网进行互联互通。 公司招标的网络设计方案中， 四家集成商给

7、出了各自的IP地址规划和分配的方法，作为评标专家，请给 S公司选出设计最合理的一个：a、总部使用服务器.用户终端统一作用10.0.1.X.各分支机构服务器和用户终端使用192.168.2.X192.168.20.Xb、总部使用服务器使用10.0.1.111.用户终端使用10.0.1.12212 ,分支机构IP地址随意确定即可c、总部服务器使用10.0.1.X.用户终端根据部门划分使用10.0.2.X.每个分支机构分配两个A类地址段，一个用做服务器地址段.另外一个做用户终端地址段d 、因为通过互联网连接，访问的是互联网地址，内部地址经NAT 映射，因此IP 地址无需特别规划，各机构自行决定即可最

8、佳答案是:c10. 以下关于 WIndows 系统账号存储管理机制SAM（Security Accounts Manager ）的说法哪个是正确的：a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性b 、存储在注册表中的账号数据只有administrator 账户才有权访问，具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性最佳答案是:d11. 由于发生了一起针对服务器的口令暴力破解攻击， 管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁

9、定计数器5 分钟，账户锁定时间10 分钟，账户锁定阀值3 次无效登录，以下关于以上策略设置后的说法哪个是正确的：a、 设置账户锁定策略后， 攻击者无法再进行口令暴力破解， 所有输错了密码的用户就会被锁住b、如果正常用户不小心输错了3次密码，那么该用户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统c、如果正常用户不小心连续输入错误密码3次，那么该用户账号就被锁定5分钟，5分钟内即使提交了正确的密码也无法登录系统d、攻击者在进行口令破解时，只要连续输错3次密码，该用户就被锁定10分钟，而正常用户登录不受影响最佳答案是:b12. 关于数据库恢复技术，下列说法不正确的是：a、 数据库

10、恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决， 当数据库中数据被破坏时，可以利用冗余数据来进行修复b 、 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术c、 日志文件在数据库恢复中起着非常重要的作用， 可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复d 、 计算机系统发生故障导致数据未储存到固定存储器上， 利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交最佳答案是:d13. 安全的运行环境是软件安全的基础， 操作系统安全配置是确保运行环境安全必不可少的工作

11、，某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全 ?a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b 、为了方便进行数据备份，安装 Windows 操作系统时只使用一个分区所有数据和操作系统都存放在C 盘c、操作系统上部署防病毒软件，以对抗病毒的威胁d 、将默认的管理员账号Administrator 改名，降低口令暴力破解攻击的发生可能最佳答案是:b14. 应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?a、安装最新的数据库软件安全补丁b、对存

12、储的敏感数据进行安全加密c、不使用管理员权限直接连接数据库系统d、定期对数据库服务器进行重启以确保数据库运行良好最佳答案是:d15. 数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全，以下关于数据库常用的安全策略理解不正确的是：a、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作b、最大共享策略，在保证数据库的完整性.保密性和可用性的前提下，最大程度地共享数据库中的信息c、粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度d、按内容存取控制策略，不同权限的用户访问数据库

13、的不同部分最佳答案是:b16. 安全专家在对某网站进行安全部署时，调整了 Apache 的运行权限，从root 权限降低为nobody 用户，以下操作的主要目的是：a、为了提高Apache软件运行效率b、为了提高 Apache软件的可靠性c、为了避免攻击者通过Apache获彳导root权限d、为了减少Apache上存在的漏洞最佳答案是:c17. 数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCP IP 协议中，数据封装的顺序是：a、传输层、网络接口层、互联网络层b、传输层、互联网络层、网络接口层c、互联网络层、传输层、网络接口层d、互联网络层、网络接口层、传输层最佳答案是:b18.

14、某政府机构委托开发商开发了一个OA 系统， 其中有一个公文分发， 公文通知等为 WORD文档，厂商在进行系统设计时使用了FTP来对公文进行分发，以下说法不正确的是a、FTP协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得FTP密码，从而威胁OA 系统b、FTP协议需要进行验证才能访问在，攻击者可以利用FTP进行口令的暴力破解c、FTP协议已经是不太使用的协议，可能与新版本的浏览器存在兼容性问题d、FTP应用需要安装服务器端软件，软件存在漏洞可能会影响到OA系统的安全最佳答案是:c19. 以下关于SMTP和POP3协议的说法哪个是错误的：a、SMTP和POP3协议是一种基于 A

15、SCII编码的请求/响应模式的协议b、SMTP和POP3协议明文传输数据，因此存在数据泄漏的可能c、SMTP和POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题d、SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件最佳答案是:a20. 某公司在互联网区域新建了一个WEB 网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）a、负载均衡设备b、网页防篡改系统c、网络防病毒系统d、网络审计系统最佳答案是:b21. 小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第二天他收到了一封来自电器城提示他中奖的

16、邮件上， 查看该后他按照提示操作， 纳中奖税款后并没有得到中奖奖金， 再打电话询问电器城才得知电器城并没有开的活动， 根据上面的描述，由此可以推断的是（）a、小陈在电器城登记个人信息时，应当使用加密手段b、小陈遭受了钓鱼攻击，钱被骗走了c、小陈的计算机中了木马，被远程控制d 、小陈购买的凌波微步是智能凌波微步，能够自己上网最佳答案是:b22. 安全多用途互联网邮件扩展（ Secure Multipurpose Internet Mail Extension , SMIME）是指 一种保障邮件安全的技术，下面描述错误的是（ ） 。a、 SMIME 采用了非对称密码学机制b、SMIME支持数字证书

17、 c、SMIME采用了邮件防火墙技术d、SMIME支持用户身份认证和邮件加密最佳答案是:c23. 小王在某Web 软件公司工作，她在工作中主要负责对互联网信息服务（ InternetInformation Services , IIS）软件进行安全配置，这是属于（）方面的安全工作。a、Web服务支撑软件b、Web应用程序c、Web浏览器d、通信协议最佳答案是:a24. 为增强 Web 应用程序的安全性，某软件开发经理决定加强Web 软件安全开发培训，下面哪项内容要在他的考虑范围内 ?a、关于网站身份签别技术方面安全知识的培训b、针对OpenSSL心脏出血漏洞方面安全知识的培训c、针对SQL注入

18、漏洞的安全编程培训d 、关于ARM 系统漏洞挖掘方面安全知识的培训最佳答案是:c25. 关于恶意代码，以下说法错误的是：a、从传播范围来看，恶意代码呈现多平台传播的特征。b 、按照运行平台，恶意代码可以分为网络传播型病毒.文件传播型病毒。c、不感染的依附性恶意代码无法单独执行d 、 为了对目标系统实施攻击和破坏活动， 传播途径是恶意代码赖以生存和繁殖的基本条件最佳答案是:d26. 以下可能存在 sql 注入攻击的部分是：a、 get 请求参数b、 post 请求参数c、 cookie 值 d 、以上均有可能最佳答案是:d27. 某公司已有漏洞扫描和入侵检测系统（Intrusien Detect

19、ion System , IDS产品，需要购买防火墙，以下做法应当优先考虑的是：a、选购当前技术最先进的防火墙即可b、选购任意一款品牌防火墙c、任意选购一款价格合适的防火墙产品d、选购一款同已有安全产品联动的防火墙最佳答案是:d28. 某网站管理员小邓在流量监测中发现近期网站的入站 ICMP 流量上升了 250%， 尽管网站没有发现任何的性能下降或其他问题， 但为了安全起见， 他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施：a、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping）b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻

20、击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a29. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想， 在有限资源前提下实现软件安全最优防护， 避免防范不足带来的直接损失， 也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实b 、 在软件安全设计时， 邀请软件安全开发专家对软件架构设计进行评审， 及时发现架构设计中存在的安全不足c、 确保对软编码人员进行安全培训， 使开发人员了解安全编码基本原则和方法， 确保开发人员编写出安全的代

21、码d、在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行最佳答案是:d30. 在软件保障成熟度模型（Software Assurance Maturity Mode ， SAMM） 中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：a、治理，主要是管理软件开发的过程和活动b、构造，主要是在开发项目中确定目标并开发软件的过程与活动c、验证，主要是测试和验证软件的过程与活动d、购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动最佳答案是:d31. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象， 某软

22、件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（ ）a、要求所有的开发人员参加软件安全开发知识培训b、要求增加软件源代码审核环节，加强对软件代码的安全性审查c、要求统一采用 Windows8系统进行开发，不能采用之前的Windows版本d、要求邀请专业队伍进行第三方安全性测试，尽量从多角度发现软件安全问题最佳答案是:c32. 微软提出了 STRIDE模型，其中R是Repudiation（抵赖）的缩写，关于此项错误的是：a、某用户在登录系统并下载数据后，却声称“我没有下载过数据软彳R威胁b 、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于R威

23、胁。c、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术d、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术最佳答案是:d33. 某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误， 给用户返回 “用户名或口令输入错误”信息， 输入错误达到三次， 将暂时禁止登录该账户， 请问以上安全设计遵循的是哪项安全设计原则：a、最少共享机制原则b、经济机制原则c、不信任原则 d、默认故障处理保护原则最佳答案是:c34. 以下哪一项不是常见威胁对应的消减措施：a、假冒攻击可以采用身份认证机制来防范b 、为了防止传输的信

24、息被篡改，收发双方可以使用单向 Hash 函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限最佳答案是:c35. 为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是a、 由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据b、渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况c、渗透测试应当经过方案制定.信息U集

25、.漏洞利用.完成渗透测试报告等步骤d、为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试最佳答案是:d36. 信息安全工程作为信息安全保障的重要组成部门，主要是为了解决:a、信息系统的技术架构安全问题b、信息系统组成部门的组件安全问题c、信息系统生命周期的过程安全问题d、信息系统运行维护的安全管理问题最佳答案是:c37. 系统工程的模型之一霍尔三维结构模型由时间维，逻辑维和知识维组成，有关此模型，错误的是：a、霍尔三维结构体系形象地描述了系统工程研究的框架b、时间维表示系统工程活动从开始到结束按时间顺序排列的全过程c、 逻辑维的七个步骤与时间维的七个阶段严格对应，即时间

26、维第一阶段应执行逻辑维步骤的活动，时间维第二阶段应执行逻辑维第二步骤的活动d、知识维利率可能需要运用的工程，医学，建筑，商业，法律，管理，社会科学和艺术等多种知识和技能最佳答案是:c38. 有关质量管理，错误的理解是：a、 质量管理是与指挥和控制组织质量相关的一系列相互协调的活动，是为了实现质量目标而进行的所有管理性质的活动b、规范质量管理体系相关活动的标准是ISO 9000系列标准c、质量管理体系将资源与结果结合，以结果管理方法进行系统的管理d、质量管理体系从机构，程序，过程和总结四个方面进行规范来提升质量最佳答案是:c39. 以下关于项目的含义，理解错误的是：a、项目是为达到特定的目的，使

27、用一定资源，在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。b、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。c、项目资源指完成项目所需要的人、财、物等。d、项目目标要遵守 SMART原则，即项目的目标要求具体 (Specific)、可测量(Measurable)、 需相关方的一致同意 (Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。最佳答案是:b40. 以下哪一项不是信息系统集成项目的特点：a、信息系统集成项目要以满足客户和用户的需求为根本出发点。b 、 系统集成就是选择最好的产品和技术， 开发相

28、应的软件和硬件， 将其集成到信息系统的 过程。c、信息系统集成项目的指导方法是“总体规划，分步实施”。d、信息系统集成包含技术，管理和商务等方面，是一项综合性的系统工程。最佳答案是:b41. 某项目的主要内容为建造A 类机房，监理单位需要根据电子信息系统机房设计规范(GB50174-2008)的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是：a、在异地建立备份机房时，设计时应与主用机房等级相同b、由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式c、因机房属于 A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴油发电机应能

29、承担全部负荷的需要d、 A 级主机房应设置洁净气体灭火系统最佳答案是:b42. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统， 通过公开招标选择 M 公司为承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发， M 公司已经提交了验收申请，监理公司需要对A 公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档：a、项目计划书b、质量控制计划c、评审报告d、需求说明书最佳答案是:d43. 系统安全工程- 能力成熟度模型(Systems Security Engineoring-Capability maturity m

30、odel ，SSE-CMM定义的包含评估威胁.评估脆弱牲.评估影响和评估安全风险的基本过程领域是：a、风险过程 b、工程过程c、保证过程d、评估过程最佳答案是:a44. 在使用系统安全工程-能力成熟度模型(SSE-CMM对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误理解的是：a、 如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时， 则这个组织过程的能力成熟度未达到此级别b、如果该组织某个过程区域(Process Areas PA具备了定义标准过程、执行已定义的过程，两个公共特征，则此工程区域的能力成熟度级别达到 3 级充分定义级c、如果某个过程区域(Prpce

31、ss Areas, PA )包含的4个基本措施(Base Practices, BP脑行此BP时执行了 3个BP此过程区域的能力成熟度级别为0d、组织在不同的过程区域能力成熟度可能处于不同的级别上最佳答案是:b45. 以下关于信息安全工程说法正确的是：a、信息化建设中系统功能的实现是最重要的b、信息化建设可以先实施系统，然后对系统进行安全加固c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设d、信息化建设没有必要涉及信息安全建设最佳答案是:c46. 某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于2000 个

32、字节数据时，总是会有3 到 5 个字节不能传送到对方，关于此案例，可以推断的是( )a、该网站软件存在保密性方面安全问题b、该网站软件存在完整性方面安全问题c、该网站软件存在可用性方面安全问题d、该网站软件存在不可否认性方面安全问题最佳答案是:b47. 关于信息安全保障技术框架(IATF),以下说法不正确的是：a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本b、 IATF 从人 .技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施c、允许在关键区域（例如区域边界）使用高安全级保障解决方案，确保系统安全性d、IATF深度防御战

33、略要求在网络体系结构的各个可能位置实现所有信息安全保障机制最佳答案是:d48. 进入 21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：a、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点b 、 美国尚未设立中央政府级的专门机构处理网络信息安全问题， 信息安全管理职能由不同政府部门的多个机构共同承担c、各国普遍重视信息安全事件的应急响应和处理d 、 在网络安全战略中， 各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系最佳答案是:b

34、49. 我国信息安全保障工作先后经历了启动、 逐步展开和积极推进， 以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：a、 2001 年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动b 、 2003 年 7 月，国家信息化领导小组制定出台了关于加强信息信息安全保障工作的意见 （中办发 27 号文件） ，明确了“积极防御、综合防范”的国家信息安全保障工作方针c、 2003 年，中办发27 号文件的发布标志着我国信息安全保障进入深化落实阶段d、在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新

35、进展最佳答案是:c50. 我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是：a、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障b、建设信息安全基础设施，提供国家信息安全保障能力支撑c、建立信息安全技术体系，实现国家信息化发展的自主创新d、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养最佳答案是:c51. 以下哪一项不是我国信息安全保障工作的主要目标：a、保障和促进信息化发展b、维护企业与公民的合法权益c、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是:c52. 美国的关键信息基

36、础设施（critical Information Infrastructure ,CII）包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：a、这些行业都关系到国计民生，对经济运行和国家安全影响深远b、这些行业都是信息化应用广泛的领域c、 这些行业信息系统普遍存在安全隐患， 而且信息安全专业人才缺乏的现象比其他行业更突出d、这些行业发生信息安全事件，会造成广泛而严重的损失最佳答案是:c53. 2008 年 1 月 2 日， 美国发布第54 号总统令， 建立国家网络安全综合计划

37、( ComprehensiveNational Cybersecurity Initiative , CNCI)。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境，从以上内容，我们可以看出以下哪种分析是正确的：a、CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险b、从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的c、 CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补d 、 CNCI 彻底改变了以往的美国信息安全战略，不再把关键基

38、础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障最佳答案是:a54. 公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验， 为乙设计了多重数据加密安全措施， 但用户提出不需要这些加密措施， 理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：a、乙对信息安全不重视，低估了黑客能力，不舍得花钱b、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费c、甲未充分考虑网游网站的业务与政府网站业务的区别d 、乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求最佳答案是:a55. 以下关于信息安全法治建设的

39、意义，说法错误的是：a、信息安全法律环境是信息安全保障体系中的必要环节b、明确违反信息安全的行为，并对该行为进行相应的处罚，以打击信息安全犯罪活动c、信息安全主要是技术问题，技术漏洞是信息犯罪的根源d、信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系最佳答案是:c56. 2005 年 4 月 1 日正式施行的电子签名法 ，被称为“中国首部真正意义上的信息化法律” ，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：a、电子签名一一是指数据电文中以电子形式所含.所附用于识别签名人身份并表明签名人认可其中内容的数据b 、电子签名适用于民事活动中的合同或者其

40、他文件.单证等文书c、电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务d、电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有最佳答案是:d57. 假设网络中的一个设备发生故障，那么在下哪一种局域网结构更容易面临全面瘫痪？a、星型b、总线c、环型 d、全连接最佳答案是:a58. 下面对国家秘密定级和范围的描述中，哪项不符合保守国家秘密法要求：a、家涉密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国.他中央有关机关规定。b、 各级国家机关、 单位对所生的国家秘密事项， 应当按照国家秘密及其密级定确定密级。c、对是否属于国家秘密和属于何种密级不明

41、确的事项，可由各单位自行参考国定级，然后报国家保密工作部门确定。d 、对是否属于国家.的事项，由国家保密工作部门，最佳答案是:c59. 有关危害国家秘密安全的行为的法律责任，正确的是：a、严重违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责任b、非法获取国家秘密，不会构成刑事犯罪，不需承担刑事责任c、过失泄露国家秘密，不会构成刑事犯罪，不需承担刑事责任d、承担了刑事责任，无需再承担行政责任或其他处分最佳答案是:a60. 关于我国加强信息安全保障工作的主要原则，以下说法错误的是：a、立足国情，以我为主，坚持技术与管理并重b、正确处理安全和发展的关系，以安全保发展，在发展中求安全

42、c、统筹规划，突出重点，强化基础工作d、全面提高信息安全防护能力，保护公众利益，维护国家安全最佳答案是:d61. 根据关于开展信息安全风险评估工作的意见的规定，错误的是：a、信息安全风险评估分自评估.检查评估两形式。应以检查评估为主，自评估和检查评估相互结合 .互为补充b、信息安全风险评估工作要按照“严密组织.规范操作.讲求科学.注重实效”的原则开展c、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程d、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导最佳答案是:a62. 标准是标准化活动的成果，是为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准， 共同重复使用的

43、一种规范性文件， 关于标准和标准化， 以下选项中理解错误的是（）a、 标准化是一项活动， 标准化工作的主要任务是定标准、 组织实施以及对标准的实施进行监督， 主要作用是为了预期的目的而改进产品、过程或服务的实用性， 防止壁垒， 促进合作b 、 标准化的对象不应是孤立的一件事或一个事物，而是共同的、 可重复的事物，标准化的工作同时也具有动态性，即应随着科学的发展和社会的进步而不断修订标准c、标准在国际贸易中有着重要作用，一方面，标准能打破技术壁垒，促进国际间的经贸发展和科学、技术、文化交流和合作；另一方面，标准也能成为新的技术壁垒，起到限制他国产品出口、保护本国产业的目的d 、 标准有着不同的分

44、类， 我国将现有标准分为强制性标准、 推荐性标准和事实性标准三类，国家标准管理机构对这三类标准通过采取不同字头的方式分别编号后公开发布最佳答案是:d63. 为推动和规范我国信息安全等级保护工作， 我国制定和发布了信息安全等级保护工作所需要的一系列标准， 这些标准可以按照等级保护工作的工作阶段大致分类。 下面四个标准中，（ ）规定了等级保护定级阶段的依据.对象 . 流程.方法及等级变更等内容。a、 GB/T 20271-2006 信息系统通用安全技术要求b、 GB/T 22240-2008 信息系统安全保护等级定级指南c、 GB/T 25070-2010 信息系统等级保护安全设计技术要求d 、

45、GB/T 20269-2006 信息系统安全管理要求最佳答案是:b64. 在建立连续在线监控系统时，IS审计师首先应该识别：a、合理的目标下限b、组织中高风险领域c、输出文件的位置和格式d、带来最大潜在回报的应用程序最佳答案是:b65. 某公司系统管理员最近正在部署一台 Web 服务器，使用的操作系统是Windows ，在进行日志安全管理设置时， 系统管理员拟定四条日志安全策略给领导进行参考， 其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：a、在网络中单独部署syslog服务器，将 Web服务器的日志自动发送并存储到该syslog日志服务器中b 、严格设置Web 日志权限，只有系统

46、权限才能进行读和写等操作c、对日志属性进行调整，加大日志文件大小，延长日志覆盖时间，设置记录更多信息等d、使用独立的分区用于存储日志，并且保留足够大的日志空间最佳答案是:a66. 关于信息安全管理，说法错误的是：a、信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥和控制的一系列活动。b、信息安全管理是一个多层面.多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、 制订信息安全方针策略标准规范、 建立有效的监督审计机制等多方面的非技术性的努力。c、实现信息安全，技术和产品是基础，管理是关键。d、信息安全是人员、技术、操作三者

47、紧密合作的系统工程，是一个静态过程。最佳答案是:d67. 以下哪个选项不是信息安全需求较为常见的来源？a、法律法规与合同条约的要求b、组织的原则、目标和规定c、风险评估的结果d、安全架构和安全厂商发布的漏洞、病毒预警最佳答案是:d68. 下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求b、确保整个系统已按照领导要求进行了部署和配置c、确保系统使用人员已具备使用系统安全功能和安全特性的能力d、确保信息系统的使用已得到授权最佳答案是:b69. 下列关于信息系统生命周期中安全需求说法不准确的是：a、明确安全总体方针，确保

48、安全总体方针源自业务期望b、描述所涉及系统的安全现状，提交明确的安全需求文档c、向相关组织和领导人宣贯风险评估准则d、对系统规划中安全实现的可能性进行充分分析和论证最佳答案是:c70. 信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是？a、 信息安全管理体系的建立需要确定信息安全需求， 而信息安全需求获取的主要手段就是信息安全风险评估b 、 风险评估可以对信息资产进行鉴定和评估， 然后对信息资产面对的各种威胁和脆弱性进行评估c、风险评估可以确定需要实施的具体安全控制措施d 、 风险评估的结果应进行相应的风险处置， 本质上， 风险处置的最佳集合就是信息安全管 理体系的控制措施集合。

49、最佳答案是:c71. 小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数(ExposureFactor, EF层25%,年度发生率(Annualized Rate ofOccurrence , ARO)为 0. 1 ,那么小王计算的年度预期损失(Annualized LossExpectancy, ALE应该是()。a、 5 万元人民币 b 、 50 万元人民币c、 2 5 万元人民币 d 、 25 万元人民币最佳答案是:a72. 规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础，某单位在实施风险评估时，按照规

50、范形成了若干文档，其中，下面( )中的文档应属于风险评估中“风险要素识别”阶段输出的文档。a、 风险评估方案，主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容b 、 风险评估方法和工具列表 ，主要包括拟用的风险评估方法和测试评估工具等内容c、 风险评估准则要求，主要包括风险评估参考标准、采用的风险分析方法、资产分类标准等内容d、 已有安全措施列表， 主要包括经检查确认后的已有技术和管理各方面安全措施等内容最佳答案是:d73. 小张在某单位是负责事信息安全风险管理方面工作的部门领导， 主要负责对所在行业的新人进行基本业务素质培训。 一次培训的时候， 小张主要负责讲解风险

51、评估工作形式， 小张认为： 1风险评估工作形式包括：自评估和检查评估；2自评估是指信息系统拥有.运营或使用单位发起的对本单位信息系统进行风险评估；3 检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估； 4 对信息系统的风险评估方式只能是 “自评估”和“检查评估”中的一个，非此即彼，请问小张的所述论点中错误的是哪项：a、第一个观点 b、第二个观点c、第三个观点d、第四个观点最佳答案是:d74. 关于风险要素识别阶段工作内容叙述错误的是：a、资产识别是指对需要保护的资产和系统等进行识别和分类b、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性c、脆弱性识别以资

52、产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估d 、 确认已有的安全措施仅属于技术层面的工作， 牵涉到具体方面包括： 物理平台、 系统平台、网络平台和应用平台最佳答案是:d75. 小李在某单位是负责信息安全风险管理方面工作的部门领导， 主要负责对所在行业的新人进行基本业务素质培训， 一次培训的时候， 小李主要负责讲解风险评估方法。 请问小李的所述论点中错误的是哪项：a、风险评估方法包括：定性风险分析.定量风险分析以及半定量风险分析b、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性c、 定量风险分析试图在计算风险评估与成本效

53、益分析期间收集的各个组成部分的具体数字值，因此更具客观性d 、 半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化最佳答案是:b76.风险计算原理可以用下面的范式形式化地加以说明：风险值 =R( A， T， V)=R(L(T， V)， F(Ia， Va)以下关于上式各项说明错误的是：a、R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性b、L表示威胁利资产脆弱性导致安全事件的可能性c、 F 表示安全事件发生后造成的损失d、Ia, Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度最佳答案是:d77. 风险

54、评估工具的使用在一定程度上解决了手动评估的局限性， 最主要的是它能够将专家知识进行集中， 使专家的经验知识被广泛使用， 根据在风险评估过程中的主要任务和作用原理，风险评估工具可以为以下几类，其中错误的是：a、风险评估与管理工具b、系统基础平台风险评估工具c、风险评估辅助工具 d、环境风险评估工具最佳答案是:d78. 为了解风险和控制风险，应当及时进行风险评估活动，我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是( )。a、自评估是由信息系统拥有.运营或使用单位发起的对本单位信息系统进行的风险评估b、自评估应参照相应标准.依据制定的评估方案和评估

55、准则，结合系统特定的安全要求实施c、 自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施d 、 周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行最佳答案是:c79. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后， 认识到信息安全风险评估分为自评估和检查评估两种形式。 该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是( ) 。a、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估b 、 检查评估可以由上级管理部门组织， 也可以由本级单位发起

56、， 其重点是针对存在的问题进行检查和评测c、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施d、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点最佳答案是:b80. 规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时， 形成了风险评估方案 并得到了管理决策层的认可， 在风险评估实施的各个阶段中，该风险评估方案应是如下( )中的输出结果。a、风险评估准备阶段b、风险要素识别阶段c、风险分析阶段d、风险结果判定阶段最佳答案是:a81. 对于抽样而言, 以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b

57、、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试，属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b82. 某单位在实施信息安全风险评估后，形成了若干文挡，下面（）中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。a、 风险评估工作计划，主要包括本次风险评估的目的 .意义.范围. 目标 .组织结构 .角色及职责.经费预算和进度安排等内容b 、 风险评估方法和工具列表。主要包括拟用的风险评估方法和测试评估工具等内容c、 已有安全措施列表， 主要包括经检查确认后的已有技术和管理各方面安全措施等内容d 、 风险评估准则要求

58、 ，主要包括风险评估参考标准.采用的风险分析方法.风险计算方法.资产分类标准.资产分类准则等内容最佳答案是:c83. 不同的信息安全风险评估方法可能得到不同的风险评估结果， 所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是（ ） 。a、定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和缺失量b 、 定量风险分析相比定性风险分析能得到准确的数值， 所以在实际工作中应使用定量风险分析，而不应选择定性风险分析c、 定性风险分析过程中， 往往需要凭借分析者的经验和直接进行， 所以分析结果和风险评估团队的素质.经验和知识技能密切

59、相关d、定性风险分析更具主观性，而定量风险分析更具客观性最佳答案是:b84. 在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是（ ）a、 资产的价值指采购费用b、 资产的价值指维护费用c、 资产的价值与其重要性密切相关d、资产的价值无法估计最佳答案是:c85 .文档体系建设是信息安全管理体系（ISMS建设的直接体现，下列说法不正确的是：a、组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准，也是 ISMS审核的依据b、组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记

60、录不需要保护和控制c、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等内容d、层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立最佳答案是:b86 . 在信息安全管理体系的实施过程中， 管理者的作用对于信息安全管理体系能否成功实施非常重要，但是以下选项中不属于管理者应有职责的是（ ） 。a、制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求b 、 确保组织的信息安全管理体系目标和相应的计划得以制定， 目标应明确、可度量、 计划应具体、可实施c、向组织传达满足信息安全的重要指示，传达

61、满足信息安全要求.达成信息安全目标.符合 信息安全方针、履行法律责任和持续改进的重要性d、建立健全信息安全制度，明确信息安全风险管理作用，实施信息安全风险评估过程，确保信息安全风险评估技术选择合理、计算正确最佳答案是：d87 .层次化的文档是信息安全管理体系 Information Security Management System , ISMS建 设的直接体系，也ISMS建设的成果之一，通常将ISMS的文档结构规划为 4层金字塔结构， 那么，以下选项()应放入到一级文件中。a、风险评估报告b、人力资源安全管理规定c、ISMS内部审核计划d、单位信息安全方针最佳答案是:d88 .信息安全管理体系 (Information Security Management System , ISMS)的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述错误的是：a、内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施b、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议的形式进行c、内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构d、组织的信息安全方针，信息目标和有关ISMS文件等，在内部审核中作为审核准则使用， 但在管理评审中