CISP强化练习卷D

《CISP强化练习卷D》由会员分享，可在线阅读，更多相关《CISP强化练习卷D（31页珍藏版）》请在装配图网上搜索。

1、强化练习卷（D）【加强版】（时间：120分钟数量：120题题型：单选题）1/231. 我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国 信息安全保障各阶段说法不正确的是：A. 2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障 工作正式启动B. 2003年7月，国家信息化领导小组制定出台了关于加强信息安全保障工作的意见 （中办发27 号文），明确了“积极防御、综合防范“的国家信息安全保障方针C. 2003年中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段D. 在深化落实阶段，信息安全法律法规、标准化，信息安全基础

2、设施建设，以及信息 安全等级保护 和风险评估取得了新进展。答案：C解释： 2006 年进入到深化落实阶段。2. 金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的习惯：A 使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件，应用软 件进行升级B 为计算机安装具有良好声誉的安全防护软件，包括病毒查杀，安全检查和安全加固 方面的软件C在IE的配置中，设置只能下载和安装经过签名的，安全的ActiveX控件D 在使用网络浏览器时，设置不在计算机中保留网络历史纪录和表单数据答案： A解释：A为正确答案。3. 我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系

3、等方面，以 下关于安全保 障建设主要工作内容说法不正确的是：A. 建全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障B. 建设信息安全基础设施，提供国家信息安全保障能力支撑C. 建立信息安全技术体系，实现国家信息化发展的自主创新D. 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养答案： C解释：实现自主创新在过去的的保障中为自主可控。4. 某银行信息系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需 求分析过程需要考虑的主要因素A. 信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准B. 信息系统所承载该银行业务正常运行的安全

4、需求C. 消除或降低该银行信息系统面临的所有安全风险D. 该银行整体安全策略答案： C解释：无法消除或降低该银行信息系统面临的所有安全风险。5. 信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务 提供商以及人 员进行测试和评估，以下关于信息安全测评说法不正确的是：A. 信息产品安全评估是测评机构的产品的安全性做出的独立评价，增强用户对已评估 产品安全的信 任B. 目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评 两种类型C. 信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务 过程质量保证 能力的具体衡量和评价。D. 信

5、息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性， 评估安全事件 可能造成的危害程度，提出游针对性的安全防护策略和整改措施答案：B解释：测评包括风险评估、保障测评和等级保护测评。6. 美国的关键信息基础设施(Critical Information Infrastructure, Cn)包括商用核设施、政策 设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防 工业基地等等，美 国政府强调重点保障这些基础设施信息安全,其主要原因不包括：A. 这些行业都关系到国计民生,对经济运行和国家安全影响深远B. 这些行业都是信息化应用广泛的领域C. 这些行业信息

6、系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行 业更突出D. 这些行业发生信息安全事件,会造成广泛而严重的损失。答案:C解释：从题目中不能反映C的结论。7. 在设计信息系统安全保障方案时,以下哪个做法是错误的：A. 要充分切合信息安全需求并且实际可行B. 要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本C. 要充分采取新技术,使用过程中不断完善成熟,精益求精,实现技术投入保值要求D. 要充分考虑用户管理和文化的可接受性,减少系统方案障碍 答案:c解释：设计信息系统安全保障方案应采用合适的技术。8. 分组密码算法是一类十分重要的密码算法,下面描述中,错误的是

7、()A. 分组密码算法要求输入明文按组分成固定长度的块B. 分组密码的算法每次计算得到固定长度的密文输出块C. 分组密码算法也称作序列密码算法D. 常见的 DES、 IDEA 算法都属于分组密码算法答案： C解释：分组密码算法和序列算法是两种算法。9. 密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网 络安全的一个 重要组成部分。下面描述中,错误的是()A. 在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住 的执行步骤, 有些复杂的步骤可以不明确处理方式。B. 密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个 参与

8、方都必 须了解协议,且按步骤执行。C. 根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可 能是敌人和 互相完全不信任的人。D. 密码协议(Cryp tographic pro toco l),有时也称安全协议(securi ty pro tocol),是使用密码学完成某项特定的任务并满足安全需求的协议,其末的是提供安全服务。答案： A解释：密码协议应限制和框住的执行步骤,有些复杂的步骤必须要明确处理方式。10. 部署互联网协议安全虚拟专用网(Int ernet pro tocol Securi ty Vir tual Priva te Net work， IPsec

9、VPN) 时,以下说法正确的是：A. 配置MD5安全算法可以提供可靠的数据加密B. 配置 AES 算法可以提供可靠的数据完整性验证C. 部署IPsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来 减少IPsec安全关联(Security Authentication, SA )资源的消耗D. 报文验证头协议(Au then ti ca tionHeader， AH)可以提供数据机密性答案：C解释：A错误，MD5提供完整性；B错误，AES提供的保密性；D错误，AH协议提供 完整性、验证及抗 重放攻击。11. 虚拟专用网络(VPN)通常是指在公共网路中利用隧道技

10、术，建立一个临时的，安全的网络。这里的宇 母P的正确解释是()A. Special-purpose.特定、专用用途的B. Proprietary专有的、专卖的C. Private 私有的、专有的D. Specific 特种的、具体的 答案： C12. 以下 Windows 系统的账号存储管理机制 SAM( Security Accoumts Manager) 的说法哪个是正确的：A. 存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B. 存储在注册表中的账号数据administrator账户才有权访问，具有较高的安全性C. 存储在注册表中的账号数据任何用户都可以直接访问，灵活

11、方便D. 存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性 解释： D 为正确答案。13. 某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备()A. 安全路由器B. 网络审计系统C. 网页防篡改系统D. 虚拟专用网(Vir tual Priva te Net work， VPN )系统 答案： C解释：网页防篡改系统用来防范WEB篡改。14. 关于恶意代码，以下说法错误的是：A. 从传播范围来看，恶意代码呈现多平台传播的特征。B. 按照运行平台，恶意代码可以分为网络传播型病毒、文件传播型病毒。C. 不感染的依附性恶意代码无法单独执行D

12、. 为了对目标系统实施攻击和破坏，传播途径是恶意代码赖以生存和繁殖的基本条件答案： B解释：按照运行平台，恶意代码可以分为Windows平台、Linux平台、工业控制系统等。15. 某公司为加强员工的信息安全意识，对公司员工进行相关的培训，在介绍相关第三方人员通过社会工 程学入侵公司信息系统时，提到连以下几点要求，其中在日常工作中错误的是()A. 不轻易泄露敏感信息B. 再相信任何人之前先校验其真实的身份C. 不违背公司的安全策略D. 积极配合来自电话、有点的任何业务要求，即使是马上提供本人的口令信息16. 当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发 现漏洞总

13、 数一半以上。下列选项中，哪个与应用软件漏洞成因无关：A. 传统的软件开发工程未能充分考虑安全因素B. 开发人员对信息安全知识掌握不足C. 相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D. 应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞答案：C解释：无论高级和低级语言都存在漏洞。17. 下面哪个模型和软件安全开发无关()？A. 微软提出的“安全开发生命周期(Security Development Lifecycle, SDL) ”B. Gray McGraw等提出的“使安全成为软件开发必须的部分(Building Security IN, BSI) ”C. OWASP

14、维护的“软件保证成熟度模型(Software Assurance Maturity Mode，SAMM) ”D. “信息安全保障技术框架(Information Assurance Technical Framework IATF) ” 答案:D解释：D与软件安全开发无关，ABC均是软件安全开发模型。18. 某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测 试过程的 说法正确的是：A. 模拟正常用户输入行为，生成大量数据包作为测试用例B. 数据处理点、数据通道的入口点和可信边界点往往不是测试对象C. 监测和记录输入数据后程序正常运行的情况D. 深入分析测试过程中产生

15、崩溃或异常的原因，必要时需要测试人员手工重现并分析答案： D解释：A错误，模糊测试是模拟异常输入；B错误，入口与边界点是测试对象；C模糊测试记录和检 测异常运行情况。19. 以下关于模糊测试过程的说法正确的是：A. 模糊测试的效果与覆盖能力，与输入样本选择不相关B. 为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统 可能无法恢 复异常状态进行后续的测试C. 通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需 要进一步分析其危害性、影响范围和修复建议对于可能产生的大量异常报告，需要人工全部分析异常报告 答案： C解释：C为模糊测试的涵

16、义解释。20. 关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是()A. WPA是有线局域安全协议，而WPA2是无线局域网协议B. WPA是适用于中国的无线局域安全协议，WPA2是使用于全世界的无线局域网协议C. WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证D. WPA是依照802.11i标准草案制定的，而WPA2是按照802.11i正式标准制定的 答案： D解释：答案为 D。21. 防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是A.既能物理隔离，又能逻辑隔离B.能物理隔离，但不能逻辑隔离C.不能物理隔离，但是能

17、逻辑隔离D.不能物理隔离，也不能逻辑隔离答案： C解释：答案为 C。22. 异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者 对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是A. 在异常入侵检测中，观察的不是已知的入侵行为，而是系统运行过程中的异常现象B. 实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配 则认为有攻击发生C. 异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并 通过多种手段向管理员报警D. 异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为答案：B 解释：实施误用入侵检测

18、（或特征检测），是将当前获取行为数据和已知入侵攻击行为 特征相比较， 若匹配则认为有攻击发生。23. S公司在全国有20个分支机构，总部由10台服务器、200个用户终端，每个分支机构都有一台服务器、 100个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的IP 地址规划和分配的方法，作为评标专家，请给5 公司选出设计最合理的一个：A. 总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x-192.168.20.xB. 总部服务器使用10.0.1.111、用户终端使用10.0.1.12212，分支机构IP地址随

19、意确定即可C. 总部服务器使用10.0.1.x、用户端根据部门划分使用10.0.2.x,每个分支机构分配两个A类地址段, 一个用做服务器地址段、另外一个做用户终端地址段D. 因为通过互联网连接，访问的是互联网地址，内部地址经NAT映射，因此IP地址无 需特别规划, 各机构自行决定即可。答案： C解释：答案为C,考核的是IP地址规划的体系化。24. 安全评估技术采用（）这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。A. 安全扫描器B. 安全扫描仪C. 自动扫描器D. 自动扫描仪25. 私有IP地址是一段保留的IP地址。只适用在局域网中，无法在Internet上使用。关于私有

20、地址,下面描述正确的是（）。A. A类和B类地址中没有私有地址，C类地址中可以设置私有地址B. A类地址中没有私有地址，B类和C类地址中可以设置私有地址C. A类、B类和C类地址中都可以设置私有地址D. A类、B类和C类地址中都没有私有地址答案：C26. 口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明错误的是A. 密码策略主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控B. 密码策略对系统中所有的用户都有效C. 账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统用户应

21、对口令暴力破 解攻击D. 账户锁定策略只适用于普通用户，无法保护管理员administrator账户应对口令暴力破 解攻击 答案： D解释：账户锁定策略也适用于administrator账户。27. windows文件系统权限管理使用访问控制列表(Access Control List.ACL)机制，以下哪 个说法是错误的：A. 安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要 NTFS 文件格式的支持B. 由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限, 为了使用上的便利，Windows上的ACL存在默认设

22、置安全性不高的问题C. Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信 息是写在用户数据库中的D. 由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限答案： C解释：Windows的ACL机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信 息是写在客体文件和文件夹属性数据库中。28. 小张在一不知名的网站上下载了鲁大师并进行了安装，电脑安全软件提示该软件有恶意捆绑，小张惊出 一身冷汗，因为他知道恶意代码将随之进入系统后悔对他的系统信息安全造成极大的威胁，那么恶意代码 的软件部署常见的实现方式不包括()A. 攻击

23、者在获得系统的上传权限后，将恶意代码部署到目标系统B. 恶意代码自身就是软件的一部分，随软件部署传播C. 内嵌在软件中，当文件被执行时进入目标系统D. 恶意代码通过网上激活29. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置帐户锁定策略以对抗口令暴 力破解。他设置了以下账户锁定策略如下：账户锁定阀值3次无效登陆；账户锁定时间10分钟；复位账户锁定计数器5分钟；以下关于以上策略设置后的说法哪个是正确的()A. 设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的拥护就会被锁住B. 如果正常用户不小心输错了 3次密码，那么该账户就会被锁定10分钟， 10分钟内即使输入

24、正确的 密码，也无法登录系统C. 如果正常用户不小心连续输入错误密码3次，那么该拥护帐号被锁定5分钟， 5分钟内即使交了正 确的密码，也无法登录系统D. 攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正 常拥护登陆不 受影响答案:B解释：答案为B，全部解释为5分钟计数器时间内错误3次则锁定10分钟。30.加密文件系统（EncryptingFile System，EFS）是Windows操作系统的一个组件，以下说法错误的是（）A. EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能解密 数据B. EFS 以公钥加密为基础，并利用了 wid

25、ows 系统中的 CryptoAPI 体系结构C. EFS加密系统适用于NTFS文件系统合FAT32文件系统（Windows环境下）D. EFS加密过程对用户透明，EFS加密的用户验证过程是在登陆windows时进行的 答案： C解释：答案为C，FAT32不支持EFS加密。31. 操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境，操作系统提 供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统的自身的不安全性，系统开发设 计的不同而留下的破绽，都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标 按书中所学建立了相应的安全机制，这些机

26、制不包括（）A. 标识与鉴别B. 访问控制C. 权限管理D. 网络云盘存取保护32. 关于数据库恢复技术，下列说法不正确的是：A. 数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中 数据被破坏 时，可以利用冗余数据来进行修复B. 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保 存起来，是数 据库恢复中采用的基本技术C. 日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故 障恢复，并 协助后备副本进行介质故障恢复D. 计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数 据的循环， 将数据库恢复到故

27、障发生前的完整状态，这一对事务的操作称为提交答案: D 解释：利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务 的操作称为回滚。33. 数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全。 以下关于 数据库常用的安全策略理解不正确的是：A. 最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权， 使得这些信 息恰好能够完成用户的工作B. 最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享 数据库中的 信息C. 粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中 需要选择

28、最 小粒度D. 按内容存取控制策略，不同权限的用户访问数据库的不同部分答案：B解释：数据库安全策略应为最小共享。34. 数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中，数据封装的顺序是:A. 传输层、网络接口层、互联网络层B. 传输层、互联网络层、网络接口层C. 互联网络层、传输层、网络接口层D. 互联网络层、网络接口层、传输层答案： B解释：答案为 B。35. 以下关于SMTP和POP3协议的说法哪个是错误的A. SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议B. SMTP和POP3协议铭文传输数据，因此存在数据泄露的可能C. SMTP和POP3

29、协议缺乏严格的用户认证，因此导致了垃圾邮件问题D. SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件 答案： D解释：基于HTTP协议或C/S客户端实现邮件的远程管理。36. 以下哪些因素属于信息安全特征？（）A. 系统和网络的安全B. 系统和动态的安全C. 技术、管理、工程的安全D. 系统的安全；动态的安全；无边界的安全；非传统的安全37.安全多用途互联网邮件扩展（SecureMultipurpose Internet Mail Extension，S/MIME ）是指一种保障邮件安全的技术，下面描述错误的是（）A.S/MIME采用了非对称密码学机制B.S/MIME支持

30、数宇证书C.S/MIME米用了邮件防火墙技术D.S/MIME支持用户身份认证和邮件加密答案：C解释：S/MIME是邮件安全协议，不是防火墙技术。38. 应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全 防护考虑 的是（）A. 身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B. 安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访 问C. 剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存 储在硬盘、内存 或缓冲区的信息被非授权的访问D. 机房与设施安全，保证应用系统处于有一个安全的环境条

31、件，包括机房环境、机房安 全等级、机 房的建造和机房的装修等答案： D解释：机房与设施安全属于物理安全，不属于应用安全。39. A p a c h e H t t p S e r v e r （简称 A p a c h e ） 是一个开放源码的 W EB 服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户 端。从安全角度出发， 为隐藏这些信息，应当采取以下那种措施（）A. 安装后，修改访问控制配置文件B. 安装后，修改配置文件Httpd. Conf中的有关参数C. 安装后，删除 A p a c h e H t t p S e r v e r 源码D. 从正确的官方网站下载

32、 A p a c h e H t t p S e r v e r ，并安装使用 答案：B40. 下面信息安全漏洞理解错误的是：A. 讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配 置、维护和 使用等阶段中均有可能产生漏洞B. 信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由 于设计、开 发等相关人员无意中产生的缺陷所造成的C. 信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损 害，甚至带 来很大的经济损失D. 由于人类思维能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中 产生新的漏 洞是不可避免的答案

33、： B解释：安全漏洞可以有意产生，也会无意产生。41. 下面对“零日（zero day）漏洞”的理解中，正确的是（）A. 指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获 取主机权限B. 指一个特定的漏洞，特指在2 0 1 0年被发现出来的一种漏洞，该漏洞被“震网”病毒 所利用， 用来攻击伊朗布什尔核电站基础设施C. 指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在1 天内文完成攻击， 且成功达到 攻击目标D. 指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部 分人发现， 但是还未公开、还不存在安全补丁的漏洞都是零日漏洞答案： D解释

34、：D是零日漏洞的解释。42. 某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技 处的李强， 我的邮箱密码忘记了，现在打不开邮件，我着急收邮件，麻烦腻先帮我把密码改成1 2 3，我收完邮件自 己修改掉密码。热心的小张很快的满足了来电者的要求， 随后，李强发现邮箱系统登陆异常，请问下类说 法哪个是正确的A. 小张服务态度不好，如果把李强的邮件收下来亲自交给李强就不会发生这个问题B. 事件属于服务器故障，是偶然事件，应向单位领导申请购买新的服务器C. 单位缺乏良好的密码修改操作流程或小张没按照操作流程工作D. 事件属于邮件系统故障，是偶然事件，应向单位领导申请邮件服务软件

35、 答案： C解释：该题目考点为信息安全措施的操作安全，要求一切操作均有流程。43. 以下对单点登录技术描述不正确的是：（）A. 单点登录技术实质是安全凭证在多个用户之间的传递或共享B. 使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用C. 单点登录不仅方便用户使用，而且也便于管理D. 使用单点登录技术能简化应用系统的开发答案：A解释：是多个系统44. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了 2 5 0 %，尽管网站没 有发现任何的性能下降或其他问题。但为了安全起见，他仍然向主管领导提出了应对策略，作为主管负责 人，请选择有效的针对此问题的应对措施：A.

36、 在防火墙上设置策略，阻止所有的 I C M P 流量进入（关掉 p i n g ）B. 删除服务器上的 p i n g . e x e 程序C. 增加带宽以应对可能的拒绝服务攻击D. 增加网站服务器以应对即将来临的拒绝服务攻击答案： A解释： A 是应对措施。45. 某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划，提出了四大培训任务和目标，关于这四个培训任务和目标，作为主管领导，以下选项中正确的是（）A. 由于网络安全上升到国家安全的高度，因此网络安全必须得到足够的重视，因此安排了对集团公司 下属公司的总经理（一把手）的网络安全法培训B. 对下级单位的网络安全管理岗人员实施

37、全面培训，计划全员通过CISP持证培训以确保人员能力得到 保障C. 对其他信息化相关人员（网络管理员、软件开发人员）也进行安全基础培训，使相关人员对网络安 全有所了解D. 对全体员工安全信息安全意识及基础安全知识培训，实现全员信息安全意识教育46. 信息应按照其法律要求、价值、对泄露或篡改的（）和关键性予以分类。信息资产的所有者应对其 分类负责，分类的结果表明了（），该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。 信息要进行标记并体现其分类，标记的规程需要涵盖物理和电子格式的（）。分类信息的标记和安全处理 是信息共享的一个关键要求。（）和元数据标签是常见的形式。标记应易于辨认，

38、规程应对标记附着的位 置和方式给于指导，并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资 产处理、加工、存储和（）。A. 敏感性；物理标 z 签；资产的价值；信息资产；交换规程B. 敏感性；信息资产；资产的价值；物理标签；交换规程C. 资产的价值；敏感性；信息资产；物理标签；交换规程D. 敏感性；资产的价值；信息资产；物理标签；交换规程47. 下面四款安全测试软件中，主要用于WEB安全扫描的是（）A. C i s c o A u d i t i n g T o o l sB. A c u n e t i x W e b V u l n e r a b i l i t

39、y S c a n n e rC. N M A PD. I S S D a t a b a s e S c a n n e r答案：B解释：B为WEB扫描工具。48. 某单位计划在今年开发一套办公自动化（O A ）系统，将集团公司各地的机构通过互联网进行协同 办公，在OA系统的设计方案评审会上，提出了不少安全开发的建设，作为安全专家，请指出大家提的建 议中不太合适的一条：A. 对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决 软件安全问 题B. 要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识C. 要求软件开发商使用J a v a而不是ASP作为开

40、发语言，避免SQL注入漏洞D. 要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用 前对数据进 行校验答案： C解释：SQL注入与编码SQL语法应用和过滤有关，与开发语言不是必然关系。49. 在软件保障成熟度模型（S AMM）中，规定了软件开发过程中的核心业务功能，下列 哪个选项 不属于核心业务功能A. 治理，主要是管理软件开发的过程和活动B. 构造，主要是在开发项目中确定目标并开发软件的过程与活动C. 验证，主要是测试和验证软件的过程和活动D. 购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动答案： D解释： S A M M 包括治理、构造、验证、部

41、署。50. 某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的 讨论，在 下面的发言观点中，正确的是（）A. 软件安全开发生命周期较长，阶段较多，而其中最重要的是要在软件的编码阶段做好 安全措施， 就可以解决 9 0%以上的安全问题B. 应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发 布以后进行 漏洞修复所花的代价少的多。C. 和传统的软件开发阶段相比，微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全 编码阶段D. 软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行 了安全性测 试，就没有必要再组织第三方进

42、行安全性测试答案： B解释：正确答案为 B。51. 下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的（）A. 设计了三层W e b架构，但是软件存在S Q L注入漏洞，导致被黑客攻击后能直接访问数据库B. 使用C语言开发时，采用了一些存在安全问题的宇符串处理函数，导致存在缓冲区溢出漏洞C. 设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客 攻击获取到 用户隐私数据D. 使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑 客攻击后能 破解并得到明文数据答案：C解释：答案为 C。53. 杀毒软件一般是通过的代码与特征库中的特征码进行比对，

43、判断这个文件是否是为恶意代码，如果 是则进一步联系病毒库中对该病毒的描述。从而确认其行为，达到分析的目的。下列对恶意代码静态分析 的说法中，错误的是（）A. 静态分析不需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特 征，了解其工作方式和机制B. 静太分析通过查找恶意代码二进制程序中嵌入的可疑字符串，如：文件名称、URL地址、域名、调 用函数等，来进行分析判断C. 静态分析检测系统函数的运行状态，数据流转换过 程，能判别出恶意代码的行为和正常软件操作D. 静态分析方法可以分析恶意代码的所有执行路径，但是随着程序复杂度的提高，冗余路径增多，会 出现分析效率降低的情况5

44、4. 某集团公司根据业务需求，在各地分支机构部属前置机，为了保证安全，集团总部要求 前置机开 放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机种提取日 志，从而导致部分敏感信息泄露，根据降低攻击面的原则， 应采取以下哪项处理措施？A. 由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析B. 为配合总部的安全策略，会带来一定安全问题，但不影响系统使用，因此接受此风险C. 日志的存在就是安全风险，最好的办法就是取消日志，通过设置前置机不记录日志D. 只允许特定I P地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间答案： D解释：D的

45、特定I P地址从前置机提取降低了开放日志共享的攻击面。55. 针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方 式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需求考虑的攻击方式A. 攻击者利用软件存在的逻辑错误，通过发送某种类型数据导致运算进入死循环， C P U 资 源 占 用 始 终 1 0 0 %B. 攻击者利用软件脚本使用多重嵌套咨询，在数据量大时会导致查询效率低，通过发送 大量的查询 导致数据库响应缓慢C. 攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导 致并发连接 数耗尽而无法访问D. 攻击者买通 I D C 人员，将某软

46、件运行服务器的网线拔掉导致无法访问答案： D解释：D为社会工程学攻击。56. 某网站为了开发的便利，使用SA链接数据库，由于网站脚本中被发现存在SQL注入漏洞，导致 攻击者利用内置存储过程XP.cmctstell删除了系统中的一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则：A.权限分离原则B.最小特权原则C.保护最薄弱环节的原则D.纵深防御的原则答案:B解释：SA是数据库最大用户权限，违反了最小特权原则。57. 微软提出了 STRIDE模型，其中Repudation （抵赖）的缩写，关于此项安全要求，下面描述错误的 是（）A. 某用户在登陆系统并下载数据后

47、，却声称“我没有下载过数据”，软件系统中的这种威胁就属于R 威胁B. 解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数宇签名、安全审计等技术措 施C. R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高D. 解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行 答案： C解释：STRIDE代表6种威胁的简称，无严重程度之分。S-欺骗，T-篡改，R-抵赖，I- 信息泄露，D-拒绝服务，E-权限提升（攻击）。58. 关于信息安全管理，下面理解片面的是（）A. 信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重

48、 要保障B. 信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的C. 信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础D. 坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一 答案： C 解释：C是片面的，应为技管并重。59. 下列选项中，对风险评估文档的描述中正确的是（）A. 评估结果文档包括描述资产识别和赋值的结果，形成重要资产列表B. 描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性的风险评估程序C. 在文档分发过程中作废文档可以不用添加

49、标识进行保留D. 对于风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置所需的 控制60. 以下哪项制度或标准被作为我国的一项基础制度加以推行，并且有一定强制性，其实施 的主要目 标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息 网络和重要信息系统的安全（）A.信息安全管理体系（ISMS）B.信息安全等级保护C.NIST SP800D.ISO 270000 系统答案:B解释：信息安全等级保护制度重点保障基础信息网络和重要信息系统的安全。61. 小明是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技 术管理的 职位，一次面试

50、中，某公司的技术经理让小王谈一谈信息安全风险管理中的背 景建立的几本概念与认识， 小明的主要观点包括：（1）背景建立的目的是为了明确信息 安全风险管理的范围和对象，以及对象的特性 和安全要求，完成信息安全风险管理项目的规划和准备；（2）背景建立根据组织机构相关的行业经验执行， 雄厚的经验有助于达到事半功倍的效果（3）背景建立包括：风险管理准备、信息系统调查、信息系统分析和 信 息安全分析（4.） 背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析 报告、信息系统的安全要求报告、请问小明的论点中错误的是哪项：A. 第一个观点B.第二个观点C.第三个观点D.第四个观点答案

51、：B解释：背景建立是根据政策、法律、标准、业务、系统、组织等现状来开展。62. 降低风险（或减低风险）指通过对面的风险的资产采取保护措施的方式来降低风险，下 面那个措 施不属于降低风险的措施（）A. 减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从而有效遏 制威胁源的 动机B. 签订外包服务合同，将有计算难点，存在实现风险的任务通过签订外部合同的方式交 予第三方公 司完成，通过合同责任条款来应对风险C. 减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力D. 减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性， 降低被利 用的可能性答案

52、： B解释： B 属于转移风险。63. 供电安全是所有电子设备都需要考虑的问题，只有持续平稳的电力供应，才能保障电子设备工作稳定可 靠。因此电力供应需要解决的问题包括两个，一是确保电力供应不中断、二是确保电力供应平稳。下列选 项中，对电力供应的保障措施的描述正确的是（）。A. 可以采取双路供电来确保电力供应稳定性B. UPS可提供持续、平稳的电力供应。不会受到电涌的影响C. 可以部署电涌保护器来确保电力供应稳定性D. 发动机供电是电力防护最主要的技术措施64. 关于风险要素识别阶段工作内容叙述错误的是：A. 资产识别是指对需求保护的资产和系统等进行识别和分类B. 威胁识别是指识别与每项资产相关

53、的可能威胁和漏洞及其发生的可能性C. 脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点， 并对脆弱 性的严重程度进行评估D. 确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统 平台、网络 平台和应用平台答案： D解释：安全措施既包括技术层面，也包括管理层面。65. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全 风险评估 分为自评估和检查评估两种形式，该部门将有检查评估的特点和要求整理成如下四条报告给单位领导，其 中描述错误的是A. 检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上， 对

54、关键环 节或重点内容实施抽样评估B. 检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问 题进行检查 和评测C. 检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D. 检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点答案：B解释：检查评估由上级管理部门组织发起；本级单位发起的为自评估。66. 漏洞扫描是信息系统风险评估中的常用技术措施，定期的漏洞扫描有助于组织机构发现系统中存在 的安全漏洞。漏洞扫描软件是实施漏洞扫描的工具，用于测试网络、操作系统、数据库及应用软件是否存 在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如

55、下理解，其中错误的是()A. 主动扫描工作方式类似于IDS (Ins trusion Detect ion Sys tems)B. CVE (Common Vulnerabilities & Exposures)为每个漏洞确定了唯一的名称和标准化的描述C. X. Scanner采用多线程方式对指定IP地址进行安全漏洞扫描D. ISS 的 Systerm Scanner 通过依附于主机上的扫描器代理侦测主机内部漏洞解析 扫描分为被动和主动两种。被动扫描对网络上流量进行分析，不产生额外的流量，不会导致系统的崩溃，其工作方式类似于IDS。主动扫描则更多地带有入侵的意味，可能会影响网络系统的正常运行6

56、7. 规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，按照规 范的风险 评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果()A, 风险评估方案B.需要保护的资产清单C. 风险计算报告D.风险程度等级列表答案： B解释：风险要素包括资产、威胁、脆弱性、安全措施。14/2368. 在信息安全管理的实施过程中，管理者的作用于信息安全管理体系能否成功实施非常重 要，但 是一下选项中不属于管理者应有职责的是（）A. 制定并颁发信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领， 明确总 体要求B. 确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明

57、确、可度量，计划应具体、 可事实C. 向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符 合信息安 全方针、履行法律责任和持续改进的重要性D. 建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评过过程、确保 信息安全 风险评估技术选择合理、计算正确答案：D解释： D 不属于管理者的职责。69. 信息安全管理体系（InformationSecurity Management System, ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述的错误是A. 内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周

58、期实施B. 内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采 用召开管 理评审会议形式进行C. 内部审核的实施主体组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的 第三方技术服务机构D. 组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核标准使用， 但在管理评审总，这些文件时被审对象答案： C解释：管理评审的实施主体由用户的管理者来进行选择。70. 在风险管理中，残余风险是指实施了新的或增强的安全措施后还剩下的风险，关于残余 风险， 下面描述错误的是（）A. 风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风

59、险的书 面批准， 这也是风险管理中的一个重要过程B. 管理层确认接收残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解 了组织所 面临的风险，并理解在风险一旦变为现实后，组织能够且承担引发的后果C. 接收残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制的提 高安全保 护措施的强度，对安全保护措施的选择要考虑到成本和技术等因素的限制D. 如果残余风险没有降低到可接受的级别，则只能被动的选择接受风险，即对风险不进 行下一步 的处理措施，接受风险可能带来的结果。答案:D 解释：如果残余风险没有降低到可接受的级别，则会被动的选择接受残余风险，但需要 对残余风 险进行进一步的

60、关注、监测和跟踪。71. 关于业务连续性计划（BCP）以下说法最恰当的是：A. 组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个控制过程。B. 组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程。C. 组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个控制过程D. 组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个控制过程答案：B解释：业务连续性计划（BCP）是解决关键业务不中断。73. 组织应开发和实施使用（）来保护信息的策略，基于风险评估，并考虑需要的加密算法法的类型、强度 和质量。当实施组织的（）时，宜考虑我国应用密

61、码技术的规定和限制，以及（）跨越国界时的问题。组 织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要 求，包括密钥的生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改 和丢失。另外，秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行（）。A. 加密控制措施；加密信息；密码策略；密钥策略；物理保护B. 加密控制措施；密码策略；密钥管理；加密信息；物理保护C. 加密控制措施；密码策略；加密信息；密钥管理；物理保护D. 加密控制措施；物理保护；密码策略；加密信息；密钥管理74. 在某次信息安全应急响应过程中，

62、小王正在实施如下措施：消除或阻断攻击源，找到并 消除系统 的脆弱性/漏洞、修改安全策略，加强防范措施、格式化被感染而已程序的介质等，请问，按照应急响应方 法，这些工作应处于以下哪个阶段（）A. 准备阶段B.检测阶段C.遏制阶段D.根除阶段答案:D解释：消除或阻断攻击源等措施为根除阶段。75. 关于信息安全事件管理和应急响应，以下说法错误的是：A. 应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备，以及在事件 发生后所采取 的措施B. 应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个 阶段C. 对信息安全事件的分级主要参考信息系统的重要过程、系统损失和社

63、会影响三方面。D. 根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别，特别重大事件（I级）、 重大事件（II级）、较大事件（III级）和一般事件（IV级）答案： B 解释：应急响应包括六个阶段，为准备、检测、遏制、根除、恢复、跟踪总结。76. 对信息安全事件的分级参考下列三个要素：信息系统的重要程度、系统损失和社会影响， 依据信息 系统的重要程度对信息进行划分，不属于正确划分级别的是：A. 特别重要信息系统B.重要信息系统C. 一般信息系统D.关键信息系统 答案:D 解释：我国标准中未定义关键信息系统。77. 恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概念，关于这两个值能否 为零，正确的选项是（）A. RTO可以为0，RPO也可以为0B. RTO可