CISP真题及参考答.doc

《CISP真题及参考答.doc》由会员分享，可在线阅读，更多相关《CISP真题及参考答.doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CISP真题及参考答案(可编辑)CISP真题及参考答案 CISP 真题及参考答案 1、信息安全发展各阶段中,下面哪一项是通信安全阶段主要面临的安全威胁? A、病毒 B、非法访问 C、信息泄露 D、脆弱口令 答案:C。 2、信息安全保障强调安全是动态的安全,意味着: A、信息安全是一个不确定的概念 B、信息安全是一个主观的概念 C、信息安全必须覆盖信息系统整个生命周期, 随着安全风险的变化有针对性 地进行调整 D、信息安全智能是保证信息在有限物理范围内的安全, 无法保证整个信息系 统的安全 答案:C。 3、关于信息保障技术框架(IATF) ,下列说法错误的是: A、IATF 强调 深度防 御,

2、关注本 地计算 环境、 区 域边界 、网络 和基础 设 施、 支撑性基础设施等多个领域的安全保障; B、IATF 强调 深度防 御, 即对信 息系统 采用多 层 防护, 实现组 织的业 务 安全 运作; C、IATF 强调从技术、管理和人等多个角度来保障信息系统的安全; D、IATF 强调 的是以 安全 监测、 漏洞监 测和自 适 应填充 “安全 问题” 为 循环 来提高网络安全答案:D。 4、美国国防部提出的 信息保障技术框架 (IATF) 在描述信息系统的安全需求 时,将信息技术信息分为: A、内网和外网两个部分 B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C、用户

3、终端、 服务器、 系统软件、 网络设备和通信线路、 应用软件五个部分 D、可信用户终端、 服务器、 系统软件、 网络设备和通信线路、 应用软件、 安 全防护措施六个部分 答案:B。 5、下面哪一项表示了信息不被非法篡改的属性? A、可生存性 B、完整性 C、准确性 D、参考完整性 答案:B。 6、以下关于信息系统安全保证是主观和客观的结合说法最准确的是:B A、信息系统安全保障不仅涉及安全技术, 还应综合考虑安全管理、 安全工程 和人员安全等,以全面保障信息系统安全 B、通过在技术、 管理、 工程和人员方面客观地评估安全保障措施, 向信息系 统的所有者提供其现有安全保障工作是否满足其安全保障目

4、标的信息 C、是一种通过客观证据向信息系统评估组提供主观信息的活动 D、是主观和客观综合评估的结果 答案:B。7、一下哪一项是数据完整性得到保护的例子? A、某网站在访问量突然增加时对用户连接数量进行了限制, 保证已登陆的用 户可以完成操作 B、在提款过程中,ATM 终端发生故障, 银行业务系统及时对用户的账户余额 进行了冲正操作 C、某网管系统具有严格的审计功能, 可以确定那个管理员在核实对核心交换 机进行了什么操作 D、李先生在每天下班前将重要文件所在档案室的保密柜中, 使伪装成清洁工 的商业间谍无法查看 答案:B。 8、PPDR 模型不包括: A、策略 B、监测 C、响应 D、加密 答案

5、:D。 9、信息系统 安全 目标(ST )是_在 信息 系统 安全特性 和评 估范围 之 间达成 一致的基础。 A、开发者和评估者 B、开发者、评估者和用户 C、开发者和用户 D、评估者和用户 答案:B。10、 依据国家标准GB/T20274 信息系统安全保障评估框架 , 在信息系统安 全目标中,评估对象包括哪些内容? A、信息系统管理体系、技术体系、业务体系 B、信息系统整体、 信息系统安全管理、 信息系统安全技术和信息系统安全工 程 C、信息系统安全管理、信息系统安全技术和信息系统安全工程 D、信息系统组织机构、管理制度、资产 答案:B。 11、 以下哪些不属于先对密码学研究范畴? A、E

6、nigma 密码机的分析破译 B、香农提出的扩散和混淆概念 C、Diffe-Hellman 密钥交换 D、差分分析和线性分析 答案:A。 12、 常见密码系统包含的元素是: A、明文、密文、信道、加密算法、解密算法 B、明文、摘要、信道、加密算法、解密算法 C、明文、密文、密钥、加密算法、解密算法 D、消息、密文、信道、加密算法、解密算法 答案:C。 13、 公钥密码的应用不包括: A、数字签名 B、非安全信道的密钥交换 C、消息验证码 D、身份认证 答案:C。 14、 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换? A、DSS B、Diffe-Hellman C、RSA D、AE

7、S 答案:C。 15、 目前对MD5,SHA1 算法的攻击是指: A、能够构造出两个不同的消息,这两个消息产生了相同的消息摘要 B、对于一个已知的消息, 能够构造出一个不同的消息, 这两个消息产生了相 同的消息摘要 C、对于一个已知的消息摘要,能够恢复其原始消息 D、对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证 答案:A。 16、 数字签名应具有的性质不包括: A、能够验证签名者 B、能够认证被签名消息 C、能够保护被签名的数据机密性 D、签名必须能够由第三方验证答案:C。 17、 数字证书的功能不包括: A、加密 B、数字签名 C、身份认证 D、消息摘要 答案:D。 18、

8、下列哪一项是注册机构(RA)的职责? A、证书发放 B、证书注销 C、提供目录服务让用户查询 D、审核申请人信息 答案:D 19、 下列哪一项是虚拟专用网络(VPN)的安全功能? A、验证,访问控制和密码 B、隧道,防火墙和拨号 C、加密,鉴别和密钥管理 D、压缩,解密和密码 答案:C。 20、 下面哪一项不是VPN 协议标准? A、L2TP B、IPSec C、TACACS+ D、PPTP 答案:C。 21、 下列对访问控制的说法正确的是: A、访问控制模型是对一系列访问控制规则集合的描述,必须是形式化的 B、一般访问控制过程由: 主题、 客体、 访问控制决策和访问控制实施四部分 组成 C、

9、访问控制模型是对一系列安全策略的描述,都是非形式化的 D、在访问控制过程中,主题提交的访问请求由访问控制决策不见实施访问 答案:B。 22、 下列对强制访问控制描述不正确的是: A、主体对客体的所有访问请求按照强制访问控制策略进行控制 B、强制访问控制中,主体和客体分配有一个安全属性 C、客体的创建者无权控制客体的访问权限 D、强制访问控制不可与自主访问控制结合使用 答案:D。 23、 以下哪些模型关注与信息安全的完整性? A、Biba 模型和Bell-Lapadula 模型 B、Bell-Lapadula 模型和Chinese Wall 模型 C、Biba 模型和Clark-Wilson 模

10、型 D、ClarK-Wilson 模型和Chinese Wall 模型 答案:C。24、 按照BLP 模型规则,以下哪种访问不能被授权? A、Bob 的安 全级是 (机 密 ,NUC,EUR) , 文件 的安全 级是( 机密 ,NUC, EUR,AMC),Bob 请求写该文件 B、Bob 的安全级是 (机密,NUC,EUR) , 文件的安全级是 (机密,NUC ), Bob 请求读该文件 C、Alice 的安全级是 (机密,NUC,EUR) , 文件 的安全级是 (机密,NUC, US ),Alice 请求写该文件 D、Alice 的安 全级是 (机 密,NUC ,US),文 件 的安全 级是

11、( 秘密 ,NUC, US ),Alice 请求读该文件 答案:C。 25、 在一个使用 Chinese Wall 模型建立访问控制的信息系统中, 数据W 和数 据 X 在一个兴趣冲突域中,数据 Y 和数据 Z 在 另一个信息兴趣冲突域中,那 么可以确定一个新注册的用户: A、只有访问了W 之后,才可以访问X B、只有访问了W 之后,才可以访问Y 和Z 中的一个 C、无论是否访问W,都只能访问Y 和Z 中的一个 D、无论是否访问W,都不能访问Y 和Z 答案:C。 26、 以下关于RBAC 模型的说法正确的是: A、该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限 B、一个用户必须

12、扮演并激活某种角色, 才能对一个对象进行访问或执行某种 操作 C、在该模型中,每个用户只能有一个角色 D、在该模型中,权限与用户关联,用户与角色关联答案:B。 27、 以下对Kerberos 协议过程说法正确的是: A、协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务 B、协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务 C、协议可以分为三个步骤: 一是用户身份鉴别; 二是获得票据许可票据; 三 是获得服务许可票据 D、协议可以分为三个步骤: 一是获得票据许可票据; 二是获得服务许可票据; 三是获得服务 答案:D。 28、 下面哪一项不属于集中访问控制管理技术? A、RAD

13、IUS B、TEMPEST C、TACACS D、Diameter 答案:B。 29、 基于生物特诊的鉴别系统一般使用哪个参数来判断系统的准确度? A、错误拒绝率 B、错误检测率 C、交叉错判率CER D、错误接受率 答案:C。30、 下列对于密网功能描述不正确的是: A、可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击 B、吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的或者记录下来 C、可以进行攻击检测和实施报警 D、可以对攻击活动进行监视、检测和分析 答案:C。 31、 下面哪一个不属于基于OSI 七层协议的安全体系结构的5 中服务之一? A、数据完整性 B、数据保密性 C、数字签

14、名 D、抗抵赖 答案:C。 32、 以下哪种无线加密标准的安全性最弱? A、wep B、wpa C、wpa2 D、wapi 答案:A。 33、 以下哪种方法不能有效提高WLAN 的安全性? A、修改默认的服务区标示符(SSID) B、禁止SSID 广播 C、启用终端与AP 之间的双向认证 D、启用无线AP 的开放认证模式答案:D。 34、 以下哪个不是防火墙具备的功能? A、防火墙是指设置在不同网络或网络安全域 (公共网和企业内部网) 之间的 一系列部件的组合 B、它是不同网络(安全域)之间的唯一出入口 C、能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流 D、防止来源于内部的威胁

15、和攻击 答案:D。 35、 简单包过滤防火墙主要工作在_。 A、链路层/网络层 B、网络层/传输层 C、应用层 D、会话层 答案:B。 36、 以下哪一项不是应用层防火墙的特点? A、更有效的阻止应用层攻击 B、工作在OSI 模型的第七层 C、速度快且对用户透明 D、比较容易进行审计 答案:C。 37、 哪一类防 火墙 具有根 据 传输信息 的内 容(如 关 键字、文 件类 )来控 制 访问连接的能力? A、包过滤防火墙 B、状态检测防火墙 C、应用网关防火墙 D、以上都不是 答案:C。 38、 下面哪一项不是通用IDS 模型的组成部分: A、传感器 B、过滤器 C、分析器 D、管理器 答案:

16、B。 39、 下面哪一项不是IDS 的主要功能? A、监控和分析用户和系统活动 B、统计分析异常活动模式 C、对被破坏的数据进行修复 D、识别活动模式一反映已知攻击 答案:C。 40、 有一类 IDS 系统将所观 察到的活动同认为正常的活动进行比较并识别重 要的偏差来发现入侵事件,这种机制称作: A、异常检测 B、特征检测 C、差距分析 D、比对分析 答案:A。 41、 以下关于Linux 用户和组的描述不正确的是: A、在Linux 中,每一个文件和程序都归属于一个特定的“用户” B、系统中的每一个用户都必须至少属于一个用户组 C、用户和组的关系可以多对一, 一个组可以有多个用户, 一个用户

17、不能属于 多个组 D、Root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限 答案:C。 42、 以下关于Linux 超级权限的说明,不正确的是: A、一般情况下,为了系统安全,对于一般常规基本的应用,不需要 root 用 户来操作完成 B、普通用户可以通过su 和sudo 来获得系统的超级权限 C、对系统日志的管理,添加和删除用户等管理工作,必须以 root 用户 登录 才能进行 D、Root 是系 统的超 级用 户,无 论会否 为文件 和 程序的 所有者 都具有 访 问权 限 答案:C。 43、 在windows 操作系统中,欲限制用户无效登录的次数,应当怎么做? A、在“本

18、地安全设置”中对“密码策略”进行设置 B、在“本地安全设置”中对“账户锁定策略”进行设置 C、在“本地安全设置”中对“审核策略”进行设置 D、在“本地安全设置”中对“用户权利指派”进行设置答案:B。 44、 以下对windows 系统日志描述错误的是: A、windows 系统默认有三个日志:系统日志、应用程序日志、安全日志 B、系统日志跟踪各种各样的系统时间, 例如跟踪系统启动过程中的事件或者 硬件和控制器的故障 C、应用日志跟踪应用程序关联的时间, 例如应用程序产生的装载DLL (动态 链接库)失败的信息 D、安全日志跟踪各类网络入侵时间,例如拒绝服务攻击,口令暴力破解 答案:D。 45、

19、 以下关于windows SAM安全账号管理器的说法错误的是: A、 安全账号管理器(SAM)具体表现就是% systemRoot%system32configsam B、 安全账号管理器(SAM)存储的账号信息是存储在注册表中 C、 安全账号管理器(SAM)存储的账号信息对 administrator 和 system 是 可读和可写的 D、 安全账号管理器 (SAM)是windows 的用户数据库, 系统进程通过security Accounts Manager 服务进行访问和操作 答案:C。 46、为了实现数据库的完整性控制,数据库管理员应向 DBMS 提出一 组完整性规 则来检查数据库

20、中的数据, 完整性规则主要由三部分组成, 以下哪一个不是完整 性规则的内容? A、 完整性约束条件 B、 完整性检查机制 C、 完整性修复机制 D、 违约处理机制 答案:C。 47、数据库事务日志的用途是:A、事务处理B、数据恢复C、完整性约束D、保密性控制 答案:B。 48、攻击者在远程 WEB 页面的 6HTML 代码中插 入具有恶意目的的数据,用户认为 该页面是 可信赖 的,但 是当浏览 器下载 该页面 ,嵌入其 中的脚 本将被 解释执行, 这是哪种类型的漏洞? A、缓冲区溢出 B、SQL 注入 C、设计错误 D、跨站脚本 答案:A。 49、通常在网站数据库中,用户信息中的密码一项,是以

21、哪种形式存在?A、明文形式存在B、服务器加密后的密文形式存在C、hash 运算后的消息摘要值存在D、用户自己加密后的密文形式存在答案:C。 50、下列对跨站脚本攻击(XSS)的描述正确的是:A、XSS 攻击指的是恶意攻击者往web 页面里插入恶意代码, 当用户浏览该页 之时,嵌入其中web 里面的代码会被执行,从而达到恶意 攻 击 用 户 的 特 殊 目 的 。B、XSS 攻击是DDOS 攻击的一种变种C、XSS 攻击就是CC 攻击D、XSS 攻击就是利用被控制的及其不断地向被攻击网站发送访问请求, 迫使 IIS 连接数超出限制,当 CPU 资源或带宽资源耗尽,那么网站也就被攻击跨了, 从而达

22、到攻击目的。 答案:A。 51、下列哪种恶意代码不具备“不感染、依附性”的特点?A、后门B、陷门C、木马D、蠕虫 答案:D。 52、下列关于计算机病毒感染能力的说法不正确的是:A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入到文本文件中并执行D、能将自身代码注入到文档或模板的宏中代码 答案:C。53、下列那一项不是信息安全漏洞的载体?A、网络协议B、操作系统C、应用系统D、业务数据 答案:D。 54、 当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时, 就会 产生哪种类型的漏洞?A、缓冲区溢出B、设计错误C、信息泄露D、代码注入 答案:D。 5

23、5、Smurf 利用下列哪种协议进行攻击?A、ICMPB、IGMPC、TCPD、UDP 答案:A。 56、 如果一名攻击者截获了一个公钥, 然后他将这个公钥替换为自己的公钥并发 送给接收者,这种情况输入哪一种攻击?A、重放攻击B、Smurf 攻击 C、字典攻击D、中间人攻击 答案:D。 57、 以下那个攻击步骤是IP 欺骗(IP Spoof) 系列攻击中最关键和难度最高的?A、对被冒充的主机进行绝技服务攻击,使其无法对目标主机进行响应B、与目标主机进行会话,猜测目标主机的序号规则C、冒充受信主机向目标主机发送数据包,欺骗目标主机D、向目标主机发送指令,进行会话操作 答案:B。 58、下列哪些措

24、施,不是有效的缓冲区溢出的防护措施?A A、使用标准的C 语言字符串库进行操作 B、严格验证输入字符串长度 C、过滤不合规则的字符 D、使用第三方安全的字符串库操作 答案:A。 59、下列那一项不属于Puzz 测试的特性? A、主要针对软件漏洞或可靠性错误进行测试 B、采用大量测试用例进行激励-响应测试 C、一种试探性测试方法,没有任何理论依据 D、利用构造畸形的输入数据引发被测试目标产生异常 答案:C。60、以下哪个不是软件安全需求分析解决的主要任务? A、确定团队负责人和安全顾问 B、威胁建模 C、定义安全和隐私需求(质量标准) D、设立最低安全标准/Bug 栏 答案:B。 61、下面对P

25、DCA 模型的解释不正确的是? A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B、是一种可以应用于信息安全管理活动持续改进的有效实践方法 C、也被称为“戴明环” D、适用于对组织整体活动的优化,不适合单个的过程以及个人 答案:D。 62、风险评估方法的选定在PDCA 循环中的哪个阶段完成? A、实施和运行 B、保持和改进 C、建立 D、监视和评审 答案:C。 63、在PDCA 模型中,ACT(处置)环节的信息安全管理活动是: A、建立环境 B、实施风险处理计划 C、持续的监视与评审风险 D、持续改进信息安全管理过程答案:D。 64、下述选项中对于“风险管理”的描述不正确的是

26、: A、风险 管理是 知道和 控制一个 组织相 关风险 的协调活 动,它 通常包 括风险 评估、风险处置、风险接受和风险沟通 B、风险管理的目的是了解风险并采取措施处置风险并将风险消除 C、风险 管理是 信息安 全工作的 重要基 础,因 此信息安 全风险 管理必 须贯穿 到信息安全保障工作、信息系统的整个生命周期。 D、在网 络与信 息系统 规划设计 阶段, 应通过 信息安全 风险评 估进一 步明确 安全需求和安全目标。 答案:B。 65、在风险管理准备阶段“建立背景” (对象确立)过程中不应该做的是: A、分析系统的体系结构 B、分析系统的安全环境 C、制定风险管理计划 D、调查系统的技术特

27、性 答案:C。 66、 风险评估主要包括风险分析准备、 风险要素识别、 风险分析和风险结果判定 四个主要过程,关于这些过程,以下的说法哪一个是正确的? A、风险分析准备的内容是识别风险的影响和可能性 B、风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C、风险分析的内容是识别风险的影响和可能性 D、风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施答案:C。 67、下列哪一项准备地描述了脆弱性、威胁、影响和风险之间的关系?D A、脆弱性增加了威胁,威胁利用了风险并导致了影响 B、风险引起了脆弱性并导致了影响,影响又引起了威胁 C、风险允许威胁利用脆弱性,并导致了影响 D、

28、威胁 利用脆 弱性并 产生影响 的可能 性称为 风险,影 响是威 胁已造 成损害 的实例 答案:D。 68、管理者何时可以根据风险分析结果对已识别的风险不采取措施?A A、当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B、当风险减轻方法提高业务生产力 C、当引起风险发生的情况不在部门控制范围之内时 D、不可接受 答案:A。 69、以下选项中哪一项是对于信息安全风险采取的纠正机制? A、访问控制 B、入侵检测 C、灾难恢复 D、防病毒系统 答案:C。 70、下列对风险分析方法的描述正确的是: A、定量分析对比定性分析方法使用的工具更多 B、定性分析比定量分析方法使用的工具更多 C、同

29、一组织只使用使用一种方法进行评估 D、符合组织要求的风险评估方法就是最优方法 答案:D。 71、下列哪种处置方法属于转移风险? A、部署综合安全审计系统 B、对网络行为进行实时监控 C、制订完善的制度体系 D、聘用第三方专业公司提供维护外包服务 答案:D。 72、下面关于ISO27002 的说法错误的是: A、ISO27002 的前身是ISO17799-1 B、ISO27002 给出了通常意义的信息安全管理最佳实践供组织机构选用, 但 不是全部 C、ISO27002 对于每个控制措施的表述分 “控制措施” 、 “实施指南” 和 “其 它信息”三个部分来进行描述 D、ISO27002 提出了十一

30、大类的安全管理措施, 其中风险评估和处置是出于 核心地位的一类安全措施 答案:D。 73、 某公司正在进行信息安全风险评估, 在决定信息资产的分类与分级时, 谁负 最终责任? A、部门经理 B、高级管理层 C、信息资产所有者 D、最终用户 答案:C。 74、应当如何理解信息安全管理体系中的“信息安全策略”? A、为了达到如何保护标准而提出的一系列建议 B、为了定义访问控制需求而产生出来的一些通用性指引 C、组织高层对信息安全工作意图的正式表达 D、一种分阶段的安全处理结果 答案:C。 75、以下关于“最小特权”安全管理原则理解正确的是: A、组织机构内的特敏岗位不能由一个人长期负责 B、对重要

31、的工作进行分解,分配给不同人员完成 C、一个人有且仅有其执行岗位所足够的许可和权限 D、防止员工由一个岗位变动到另一个岗位,累计越来越多的权限 答案:C。 76、作为一个组织的信息系统普通用户,以下哪一项不是必须了解的? A、谁负责信息安全管理制度的制定和发布 B、谁负责监督信息安全制度的执行 C、信息系统发生灾难后,进行恢复的整体工作流程 D、如果违反了安全制度可能会受到惩戒措施 答案:C。77、 职责分离式信息安全管理的一个基本概念。 其关键是权力不能过分集中在某 一个人手中。 职责分离的目的是确保没有单独的人员 单独进行操作 可以对应 用程序系统特征或控制功能进行破坏。 当以下哪一类人员

32、访问安全系统软件的时 候,会造成对“职责分离”原则的违背? A、数据安全管理员 B、数据安全分析员 C、系统审核员 D、系统程序员 答案:D。 78、 在国家标准 信息系统灾难恢复规范 中, 根据_要素。 将灾难恢复等级 划分为_级。 A、7,6 B、6,7 C、7,7 D、6,6 答案:A。 79、灾难发生后,系统和数据必须恢复到的_为恢复点目标(RPO)。 A、时间要求 B、时间点要求 C、数据状态 D、运行状态 答案:B。 80、 根据灾难恢复演练的深度不同, 可以将演练分为三个级别, 这三个级别按演练深度由低到高的排序正确的是: A、系统级演练、业务级演练、应用级演练 B、系统级演练、

33、应用级演练、业务级演练 C、业务级演练、应用级演练、系统级演练 D、业务级演练、系统级演练、应用级演练 答案:B。 81、下面对能力程度模型解释最准确的是: A、它认 为组织 的能力 依赖于严 格定义 、管理 完善、可 测可挖 的有效 业务过 程 B、它通过严格考察工程成果来判断工程能力 C、它与统计过程控制理论的出发点不同、所以应用于不同领域 D、它是随着信息安全的发展而诞生的重要概念 答案:A。 82、下面哪一项为系统安全工程能力成熟度模型提供了评估方法? A、ISSE B、SSAM C、SSR D、CEM 答案:B。 83、下面对于SSE-CMM 保证过程的说法错误的是: A、保证是指安

34、全需求得到满足的可信任度程度 B、信息程度来自于对安全工程结果质量的判断 C、自验证与证实安全的主要手段包括观察、认证、分析和测试 D、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持 答案:D。 84、SSE-CMM 工程过程区域中的风险过程包含哪些过程区域? A、评估威胁、评估脆弱性、评估影响 B、评估威胁、评估脆弱性、评估安全风险 C、评估威胁、评估脆弱性、评估影响、评估安全风险 D、评估威胁、评估脆弱性、评估影响、验证和证实安全 答案:C。 85、按照SSE-cmm 能力级别第三级是指: A、定量控制 B、计划和跟踪 C、持续改进 D、充分定义 答案:D。 86、 一个组织的

35、系统安全能力成熟度达到哪个级别以后, 就可以考虑为过程域 (PA) 的实施提供充分的资源? A、2 级计划和跟踪 B、3 级充分定义 C、4 级量化控制 D、充分定义 答案:A。87、 在IT 项目管理中为了保证系统的安全性, 应当充分考虑对数据的正确处理, 以下哪一项不是对数据输入进行校验可以实现的安全目标: A、防止出现数据范围以外的值 B、防止出现错误的数据处理顺序 C、防止缓冲区溢出攻击 D、防止代码注入攻击 答案:B。 88、信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各 个阶段充分 考虑安全因素,在IT 项目的立项阶段,以下哪一项不是必须进行的工作: A、明确业务

36、对信息安全的要求 B、识别来自法律法规的安全要求 C、论证安全要求是否正确完整 D、通过测试证明系统的功能和性能可以满足安全要求 答案:D。 89、信息安全工程建立工程师不需要做的工作是: A、编写验收测试方案 B、审核验收测试方案 C、监督验收测试过程 D、审核验收测试报告 答案:A。 90、下面哪一项是监理单位在招标阶段质量控制的内容? A、协助建设单位提出工程需求,确定工程的整体质量目标 B、根据 监理单 位的信 息安全保 障知识 和项目 经验完成 招标文 件中的 技术需求部分 C、进行风险评估和需求分析完成招标文件中的技术需求部分 D、对标书应答的技术部分进行审核,修改其中不满足安全需

37、求的内容 答案:A。 91、 国际标准化组织ISO 下属208 个技术委员 会 (TCs),531 个分技术委员会 (SCs), 2378 个工作组(WGs) ,其中负责信息安全技术标准化的组织: A、ISO/IES B、ISO/IEC JTC1 C、ISO/IEC JTC 1/SC27 D、ISO/IEC JTC 1/SC 37 答案:C。 92、_是目前国际通行的信息技术产品安全性评估标准? A、TCSEC B、ITSEC C、CC D、IATF 答案:C。 93、以下对确定信息系统的安全保护等级理解正确的是: A、信息系统的安全保护等级是信息系统的客观属性 B、确定信息系统的安全保护等级

38、时应考虑已采取或将采取的安全保护措施 C、确定信息系统的安全保护等级时应考虑风险评估的结果 D、确定信息系统的安全保护等级时应仅考虑业务信息的安全性答案:A。 94、下面哪个不是ISO27000 系列包含的标准? A、 信息安全管理体系要求 B、 信息安全风险管理 C、 信息安全度量 D、 信息安全评估规范 答案:D。 95、 以下哪一个关于信息安全评估的标准首先明确提出了保密性、 完成性和可用 性三项信息安全特征?A A、ITSEC B、TCSEC C、GB/T8387.2 D、彩虹系列的橙皮书 答案:A。 96、 目前, 我国信息安全管理格局是一个多方 “齐抓共管” 的体制, 多头管理现

39、状决定法 出多门 , 计 算机信息 系统国 际联网 保密管理 规定 是由下 列哪个部门 所指定的规章制度? A、公安部 B、国家保密局 C、信息产业部 D、国家密码管理委员会办公室 答案:B。97、下面有关我信息安全管理体制的说法错误的是: A、目前 我国的 信息安 全保障工 作是相 关部门 各司其职 、相互 配合、 齐抓共 管的局面 B、我国的信息安全保障工作综合利用法律、管理和技术的手段 C、我国的信息安全管理应坚持检测、快速响应、综合治理的方针 D、我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责 答案:C。 98、以下哪一项不是我国与信息安全有关的国家法律? A、 信息安全等级保护管理办法 B、 中华人民共和国保守国家秘密法 C、 中华人民共和国刑法 D、 中华人员共和国安全法 答案:A。 99、触犯新刑法285 条规定的非法侵入计算机系统罪可判处_。 A、三年以下有期徒刑或拘役 B、1000 员罚款 C、三年以上五年以下有期徒刑 D、10000 员罚款 答案:A。 100、下列哪个不是商用密码管理条例规定的内容? A、国家 密码管 理委员 会及其办 公室( 简称密 码管理机 构)主 观全国 的商用 密码管理工作 B、商用 密码技 术术语 国家密码 ,国家 对商用 密码产品 的科研 、生产 、销售