信息安全练习题(F).docx

《信息安全练习题(F).docx》由会员分享，可在线阅读，更多相关《信息安全练习题(F).docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为.HCS-19-369. V200Number: 13-369Passing Score: 600Time Limit: 90 minFile Version: 200HCIT-R&S-IESN H19-3691 .在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领 导对客体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的自主访问 控制机制的访问许可模式是()。A.自由型B.有主型C.树状型D.等级型Answer:D解释:参考CISP 2. 0/3. 0版本教材。2 .信息安全风险值应该是以下哪些因素的函数？()A.信息资产的价值、面临的威胁

2、以及自身存在的脆弱性B.病毒、黑客、漏洞等C.保密信息如国家秘密、商业秘密等D.网络、系统、应用的复杂程度Answer:A3 .以下关于开展软件安全开发必要性描错误的是？()A.软件应用越来越广泛B.软件应用场景越来越不安全C.软件安全问题普遍存在D.以上都不是Answer:D4 .软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求，从而 导致软件开发与维护过程中出现一系列严重问题的现象。为了克服软件危机，人们提出了用()的原理来设计 软件，这就是软件工程诞生的基础A.数学B.软件学C.运筹学D.工程学Answer:D.下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？(

3、)A. TCSEC标准B. CC标准C. FC标准D. ITSEC标准Answer:B来源：书籍242页的描述，实际情况CC不是我国的标准。但是书籍说CC是我 国等同采用的标准，于是就成为了 CC是我国的标准。5 .在设计信息系统安全保障方案时，以下哪个做法是错误的，A.要充分企切合信息安全需求并且实际可行B.要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制 成本【参考 URL： http:www. cac. gov. cn/2016-12/27/c_l 120195926. htm.哪种攻击是攻击者通过各种手段来小号网络宽带或者服务器系统资源，最终导 致被攻击服务器资源耗

4、尽或者系统崩溃而无法提供正常的网络服务OA.拒绝服务B.缓冲区溢出C. DNS欺骗D. IP欺骗Answer:A.以下关于VPN说法正确的是A. VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路VPN不能做到信息认证和身份认证B. VPN指的是用户通过公用网络建立的临时的、安全的连接VPN只能提供身份不能提供加密数据的功能Answer:C.美国系统工程专家霍尔（A. D.IIall）在1969年利用机构分析法提出著名的霍 尔三维结构，使系统工程的工作阶段和步骤更为清晰明了，如图所示，霍尔三维结构是将系统工程整个活动过 程分为前后紧密衔接的O阶段和（）步骤，同时还考虑了为完全

5、这些阶段和步骤所需要的各种（）。这样, 就形成了由（）、（）、和知识维所组成的三维空间结构。A.五个；七个；专业知识和技能；时间维；逻辑维B.七个；七个；专业知识和技能；时间维；逻辑维C.七个；六个；专业知识和技能；时间维；逻辑维D.七个；六个；专业知识和技能；时间维；空间维Answer:B37.社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不 能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随 着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工 程学利用的是人性的“弱点”，而人性是（

6、），这使得它几乎是永远有效的（）。A.网络安全；心理学；攻击方式；永恒存在的；攻击方式B.网络安全；攻击方式；心理学；永恒存在的；攻击方式C.网络安全；心理学；永恒存在的；攻击方式D.网络安全；攻击方式；心理学；攻击方式；永恒存在的Answer:A38.系统安全工程能力成熟度模型评估方法（SSAM, SSE-CMM Appraisal Method） 是专门基于SSE-CMM的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的（）流程能力和成 熟度进行评估所需的（）。SSAM评估过程分为四个阶段，（）、（）、（）、（）。A.信息和方向；系统安全工程；规划；准备；现场；报告B.信息和方

7、向；系统工程；规划；准备；现场；报告C.系统安全工程；信息；规划；准备；现场；报告D.系统安全工程；信息和方向；规划；准备；现场；报告Answer:D39.当使用移动设备时，应特别注意确保（）不外泄。移动设备方针应考虑与非保护 环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，要加 以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露，如使用（）、强制使 用秘钥身份验证信息。要对移动计算设施进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其他形 式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一

8、个符号 法律、保险和组织的其他安全要求的（）。携带重要、敏感和或关键业务信息的设备不宜无人值守，若有可 能，要以物理的方式锁起来，或使用（）来保护设备。对于使用移动计算设施的人员要安排培训，以提高他 们对这种工作方式导致的附加风险的意识，并且要实施控制措施。A.加密技术；业务信息；特定规程；专用锁B.业务信息；特定规程；加密技术；专用锁C.业务信息；加密技术；特定规程；专用锁D.业务信息；专用锁；加密技术；特定规程Answer:C.在规定的时间间隔或重大变化发生时，组织的额（）和实施方法（如信息安全 的控制目标、控制措施、方针、过程和规程）应（）。独立评审宜由管理者启动，由独立被评审范围的人员

9、执 行，例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适 当的（）。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进 行（）。为了日常功评审的效率，可以考虑使用自动测量和（）。评审结果和管理人员采取的纠正措施宜被记 录，且这些记录宜予以维护。A.信息安全管理；独立审查；报告工具；技能和经验；定期评审信息安全管理；技能和经验；独立审查；定期评审；报告工具C.独立审查；信息安全管理；技能和经验；定期评审；报告工具D.信息安全管理；独立审查；技能和经验；定期评审；报告工具40 Answer:D41.选择信息系统部署的场地应考

10、虑组织机构对信息安全的需求并将安全性防在 重要的位置，信息资产的保护很大程度上取决与场地的安全性，一个部署在高风险场所的额信息系统是很难有 效的保障信息资产安全性的。为了保护环境安全，在下列选项中，公司在选址时最不应该选址的场地是0.A.自然灾害较少的城市B.部署严格监控的独立园区C.大型医院旁的建筑D.加油站旁的建筑Answer:D42. 1998年英国公布标准的第二部分信安全管理体系规范，规定()管理体系 要求与()要求，它是一个组织的全面或部分信息安全管理体系评估的()，它可以作为一个正式认证方案的 ()o BS 7799-1 与 BS7799-2经过修订于1999年重新予以发布，199

11、9版考虑了信息处理技术，尤其是在网络 和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及()的责任。A.信息安全；信息安全控制；根据；基础；信息安全B.信息安全控制；信息安全；根据；基础；信息安全C.信息安全控制；信息安全；基础；根据；信息安全D.信息安全；信息安全控制；基础；根据；信息安全Answer:D解释：. so. com/doc/6744936-6959479. html43 .某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机 房的资产价值为200万元；如果发生火灾，资产总值将损失至资产值的25%；这种火灾发生的可能性为25年 发生一次。则这种威胁的元

12、元元元年度损失预期值为().A. 10, 00015, 000B. 20, 00025, 000Answer:C.在软件开发过程中，常用图作为描述攻击，如DFD就是面向()分析方法的描 述工具，在一套分层DFI)中，如果某一张图中有N个加工(Process)则这张图允许有()张子图，在一张DFD 中任意两个加工之间()。在画分层DFD时，应注意保持()之间的平衡。DFD中从系统的输入流到系统的 输出流的一连串交换形式一种信息流，这种信息流可分为交换流和事物流两类。A.数据流;(TN；有0B.数据流；厂N；有0C.字节流；(TN；有0D.数据流；(TN；有0条或多条名字互不相同的数据流；父图与其

13、子图 条或多条名字互不相同的数据流；父图与其子图 条或多条名字互不相同的数据流；父图与其子图 条或多条名字互不相同的数据流；子图之间Answer:A来源：非CISP的内容，软件工程师、软考的基础知识，考的是图方法的基本概念。44 .社会工程学本质上是一种()，()通过种种方式来引导受攻击者的()向攻击 者期望的方向发展。罗伯特B 西奥迪尼(Robert B Cialdini)在科学美国人(2001年2月)杂志中总结对()的研究，介绍了 6种“人类天性基本倾向”，这些基本倾向都是（）工程师在攻击中所依赖的（有意思或者 无意识的）。A.攻击者；心理操纵；思维；心理操纵；思维；社会工程学B.攻击者；

14、心理操纵；心理操纵；社会工程学C.心理操纵；攻击者；思维；心理操纵；社会工程学D.心理操纵；思维；心理操纵；攻击者；社会工程学Answer:C46.风险评估的工具中，（）是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性，这类工具通常包括黑客工具、脚本文件。A.脆弱性扫描工具B.渗透测试工具C.拓扑发现工具D.安全审计工具Answer:B 1047. ITIL最新版本是V3.0,它包含5个生命周期，分别是（）、（）、（）、（）、（）.A.战略阶段；设计阶段；转换阶段；运营阶段；改进阶段B.设计阶段；战略阶段；转换阶段；运营阶段；改进阶段C.战略阶段；设计阶段；运营阶段

15、；转换阶段；改进阶段D.转换阶段；战略阶段；设计阶段；运营阶段；改进阶段Answer:A.C0BIT（信息和相关技术的控制目标）是国际专业协会ISACA为信息技术（IT） 管理和IT治理创建的良好实践框架。COBIT提供了一套可实施的“信息技术控制”并围绕IT相关流程和推 动因素的逻辑框架进行组织。COBIT模型如图所示，按照流程，请问，C0BIT组件包括（）、（）、（）、（）、 （）、等部分。A.B.C.D.流程描述、框架、框架、框架、框架、流程描述、流程描述、管理指南、控制目标、管理目标、控制目标、流程描述、管理指南、 控制目标、 管理指南、 控制目标、成熟度模型成熟度模型成熟度模型成熟度

16、模型Answer:C48 .关于软件安全问题，下面描述错误的是（）A.软件的安全问题可以造成软件运行不稳定，得不到正确结果甚至崩溃B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段 措施解决C.软件的安全问题可能被攻击者利用后影响人身健康安全D.软件的安全问题是由程序开发者遗留的，和软件部署运行环境无关Answer:D49 .以下哪项是国家信息化领导小组关于加强信息安全保障工作的意见的总体 方针和要求？A.坚持积极攻击、综合防范的方针B.全面提高信息安全防护能力C.重点保障基础信息网络和重要信息系统安全D.创建安全健康的网络环境，保障和促进工业化发展，保护公众利益，维护国

17、家 安全Answer:B C 都正确。51.随着计算机和网络技术的迅速发展，人们对网络的依赖性达到了前所未有的程 度，网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要，而网络安全评估是保证网络 安全的重要环节。以下不属于网络安全评估内容的是（）A.数据加密B.漏洞检测C.风险评估D.安全审计Answer:A52. 2006年5月8日电，中共中央办公厅、国务院办公厅印发了 2006-2020年 国家信息化发展战略。全文分（）部分共计约15000余字。对国内外的信息化发展做了宏观分析，对我国信息 化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详尽描

18、述。该战 略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制定并实施了（），初步建立了信 息安全管理体制和（）。基础信息网络和重要信息系统的安全防护水平明显提高，互联网信息安全管理进 一步加强。A.5个；信息化；基本形势；国家安全战略；工作机制B.6个；信息化；基本形势；国家信息安全战略；工作机制C.7个；信息化；基本形势；国家安全战略；工作机制D.8个；信息化；基本形势；国家信息安全战略；工作机制Answer:DIS02007： 2013信息技术-安全技术-信息安全管理体系-要求为在组织内为 建立、实施、保持和不断改进（）制定了要求。IS027001标准的前身为（）的BS77

19、99标准，该标准于1993 年由（）立项，于1995年英国首次出版BS7799T： 1995信息安全管理实施细则，它提供了一套综合的、 由信息安全最佳惯例组成的（），其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一 （）,并且适用大、中、11小组织。A. ISMS；德国；德国贸易工业部；实施规则；参考基准ISMS；法国；法国贸易工业部；实施规则；参考基准B. ISMS；英国；英国贸易工业部；实施规则；参考基准ISMS；德国；德国贸易工业部；参考基准；实施规则Answer:C.终端访问控制器访问控制系统(Terminal Access Controller Access-Contro

20、l System, TACACS)由 RFC1492定义，标准的TACACS协议只认证用户是否可以登录系统，目前已经很少使用， TACACS+协议由Cisco公司提出，主要应用于Ciso公司的产品中，运行与TCP协议之上。TACACS+协议分为 ()两个不同的过程A.认证和授权B.加密和认证C.数字签名和认证D.访问控制和加密Answer:A.网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力 的基础上，针对可能发生的重大网络与信息系统突发事件，预先制定的行动计划或应急对策。应急预案的实施 需要各子系统的相互配合与协调，下面应急响应工作流程图中，空白方框中从右到左依次填入的是(

21、)。A.应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日 常运行小组B.应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日 常运行小组C.应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日 常运行小组D.应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响 应实施小组Answer:A.随着计算机在商业和民用领域的应用，安全需求变得越来越多样化，自主访问 控制和强制访问控制难以适应需求，基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC 模型可以分为RBACO、RBAC1、RBAC2和RBAC3四种类型，

22、它们之间存在相互包含关系。下列选项中，对它们之 间的关系描述错误的是()。A. RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0RBAC1在RBAC0的基础上，加入了角色等级的概念B. RBAC2在RBAC1的基础上，加入了约束的概念RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束Answer:C.安全漏洞扫描技术是一类重要的网络安全技术。当前，网络安全漏洞扫描技术 的两大核心技术是()。A. PING扫描技术和端口扫描技术B.端口扫描技术和漏洞扫描技术C.操作系统探测和漏洞扫描技术D. PING扫描技术和操作系统探测Answer:B.下列选项中对

23、信息系统审计概念的描述中不正确的是()A.信息系统审计，也可称作IT审计或信息系统控制审计B.信息系统审计是一个获取并评价证据的过程，审计对象是信息系统相关控制， 审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性 C.信息系统审计师单一的概念，是对会计信息系统的安全性、有效性进行检查 D.从信息系统审计内容上看，可以将信息系统审计分为不同专项审计，例如安全 审计、项目合规审计、绩效审 计等Answer:C58 .甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况, 甲公司将这个任务委托了乙公司，那么乙公司的设计员应该了解OSI参考模

24、型中的哪一层()A.数据链路层B.会话层C.物理层D.传输层 Answer:C59 .下面哪一项情景属于身份鉴别(Authentication)过程？()A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档进行加密，以阻止其他人得 到这份拷贝后到文档中的内容C.用户使用加密软件对自己家编写的Office文档进行加密，以阻止其他人得到 这份拷贝后到文档中的内容D.某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提示口令错误， 并将这次失败的登陆过程记录 在系统日志中Answer:A60 .终端访问控制器访问控制系统(TERMINAL Access Con

25、troller Access-Control System, TACACS)，在认证过程中，客户机发送一个START包给服务器，包的内容包括执行的认证类型、用 户名等信息。START包只在一个认证会话开始时使用一个，序列号永远为().服务器收到START包以后， 回送一个REPLY包，表示认证继续还是结束。A. 01B. 2D.4Answer:B解释：参考书籍第315页整段的内容抄过来的。这是一个AAA系统，思科开发的 产品，作为产品了解即可。62.为了开发高质量的软件，软件效率成为最受关注的话题。那么开发效率主要取 决于以下两点：开发新功能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率

26、，应()。A.随机地选取测试数据B.取一切可能的输入数据为测试数据C.在完成编码以后制定软件的测试计划D.选择发现错误可能性最大的数据作为测试用例Answer :D,大纲之外。. baidu. com/view/f2995adfdl5abe23482f4d25. html63.以下哪个组织所属的行业的信息系统不属于关键信息基础设施？A.人民解放军战略支援部队B.中国移动吉林公司C.重庆市公安局消防总队D.上海市卫生与计划生育委员会Answer:D64.信息安全管理体系ISMS是建立和维持信息安全管理体系的（），标准要求组织 通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基

27、础选择控制目标与控制方式等 活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性； 信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的 资产、组织安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述 被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的（）.A.信息安全方针；标准；文件；管理体系；保证程度B.标准；文件；信息安全方针；管理体系；保证程度C.标准；信息安全方针；文件；管理体系；保证程度D.标准；管理体系；信息安全方针；文件；保证程度Answer:C.目前应用

28、面临的威胁越来越多，越来越难发现。对应用系统潜在的威胁目前还 没有统一的分类，但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对， 请问是下面哪一项（）13A.数据访问权限B.伪造身份C.钓鱼攻击D.远程渗透Answer:C.与PDR模型相比，P2DR模型则更强调（），即强调系统安全的（），并且以安 全检测、（）和自适应填充“安 全间隙”为循环来提高（）。A.漏洞监测；控制和对抗；动态性；网络安全B.动态性；控制和对抗；漏洞监测；网络安全C.控制和对抗；漏洞监测；动态性；网络安全I）.控制和对抗；动态性；漏洞监测；网络安全Answer:D.某单位在进行内部安全评估时，

29、安全员小张使用了单位采购的漏洞扫描软件进 行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞，然而此报告在 内部审计时被质疑，原因在于小张使用的漏洞扫描软件采购于三年前，服务已经过期，漏洞库是半年前最 后一次更新的。关于内部审计人员对这份报告的说法正确的是（）A.内部审计人员的质疑是对的，由于没有更新漏洞库，因此这份漏洞扫描报告准 确性无法保证B.内部审计人员质疑是错的，漏洞扫描软件是正版采购，因此扫描结果是准确的 C.内部审计人员的质疑是正确的，因为漏洞扫描报告是软件提供，没有经过人为 分析，因此结论不会准确D.内部审计人员的质疑是错误的，漏洞软件是由专业的安全

30、人员操作的，因此扫 描结果是准确的Answer:A.信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在 信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障 评估所搜集的（），向信息系统的所有相关方提供信息系统的（）能够实现其安全保障策略，能够将将其所 面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是（），信息系统安全 保障是一个动态持续的过程，涉及信息系统整个（），因此信息系统安全保障的评估也应该提供一种（）的 信心。A.安全保障工作；客观证据；信息系统；生命周期；动态持续B.客观证据；安全保障工作；信息系

31、统；生命周期；动态持续C.客观证据；安全保障工作；生命周期；信息系统；动态持续D.客观证据安全保障工作；动态持续；信息系统；生命周期Answer:B69.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性 保护，下列哪一项最好地描述了星或（-）完整性原则？（）Bell-LaPadula模型中的不允许向下写A. Bell-LaPadula模型中的不允许向上读C.Biba模型中的不允许向上写D. Biba模型中的不允许向下读Answer:C70.组织应定期监控、审查、审计（）服务，确保协议中的信息安全条款和条件被 遵守，信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配

32、给指定的个人或（）团队。另外， 组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是（）要求的实现。当发现服务交付的不足时，宜采取（）.当供应商提供的服务， 包括对（）方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其对业务信息、系统、过程 的重要性和重新评估风险的基础上管理。A.供应商；服务管理；信息安全；合适的措施；信息安全B.服务管理；供应商；信息安全；合适的措施；信息安全C.供应商；信息安全；服务管理合适的措施；信息安全I）,供应商；合适的措施；服务管理；信息安全；信息安全 Answer:A71 .下列关于面向对象测

33、试问题的说法中，不正确的是（）A.在面向对象软件测试时，设计每个类的测试用例时，不仅仅要考虑用各个成员 方法的输入参数，还需要考虑 如何设计调用的序列B.构造抽象类的驱动程序会比构造其他类的驱动程序复杂C.类B继承自类A,如果对B进行了严格的测试，就意味着不需再对类A进行测 试D.在存在多态的情况下，为了达到较高的测试充分性，应对所有可能的绑定都进 行测试Answer:C72 .火灾是机房日常运营中面临最多的安全威胁之一，火灾防护的工作是通过构建 火灾预防、检测和响应系统，保护信息化相关人员和信息系统，将火灾导致的影响降低到可接受的程度。下列 选项中，对火灾的预防、检测和抑制的措施描述错误的选

34、项是（）。A.将机房单独设置防火区，选址时远离易燃易爆物品存放区域，机房外墙使用非 燃烧材料，进出机房区域的门 采用防火门或防火卷帘，机房通风管设防火栓B.火灾探测器的具体实现方式包括；烟雾检测、温度检测、火焰检测、可燃气体检 测及多种检测复合等C.自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器，只要有一个 探测器报警，就立即启动灭火 工作D.前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等 Answer:C73.信息安全管理体系也采用了 （）模型，该模型可应用于所有的（）。ISMS把相 关方的信息安全要求和期望作为输入，并通过必要的（），产生满足这些要求和期望的（）。

35、A. ISMS； PDCA过程；行动和过程；信息安全结果PDCAjISMS过程；行动和过程；信息安全结果B. ISMS;PDCA过程；信息安全结果；行动和过程PDCAjISMS过程；信息安全结果；行动和过程Answer:BC.要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保 障要求D.要充分考虑用户管理和文化的可接受性，减少系统方案实验障碍Answer:C7 .灾备指标是指信息安全系统的容灾抗毁能力，主要包括四个具体指标：恢复时 间目标（Recovery Time Ohjective, RTO）.恢复点目标（Recovery Point Objective, RPO）降级操

36、作目标 （Degraded Operations Objective-DOO）和网络恢复目标（Network Recovery Ob jective-NRO），小华准备 为其工作的信息系统拟定恢复点目标RPO-0,以下描述中，正确的是（）。A. RPO-O,相当于没有任何数据丢失，但需要进行业务恢复处理，覆盖原有信息RPO-O,相当于所有数据全部丢失，需要进行业务恢复处理。修复数据丢失B. RPO-O,相当于部分数据丢失，需要进行业务恢复处理，修复数据丢失RPO-O,相当于没有任何数据丢失，且不需要进行业务恢复处理Answer:D8,下图显示了 SSAM的四个阶段和每个阶段工作内容。与之对应，

37、（）的目的是建 立评估框架，并为现场阶段准备后勤方面的工作。O的目的是准备评估团队进行现场活动，并通过问卷进行 数据的初步收集和分析。O主要是探索初步数据分析结果，以及为被评组织的专业人员提供与数据采集 和证实过程的机会，小组对在此就三个阶段中采集到的所有数据进行（）。并将调查结果呈送个发起者2A.现场阶段；规划阶段；准备阶段；最终分析8 .准备阶段；规划阶段；现场阶段；最终分析C.规划阶段；现场阶段；准备阶段；最终分析D.规划阶段；准备阶段；现场阶段；最终分析Answer:D9 .组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限 制要基于各个业务应用要求，访问控制策略还要

38、与组织访问策略一致。应建立安全登录规程控制实现对系 统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和（）时，宜使用加密、智能 卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口 令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）o对程序源代码和 相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无 意识的变更和维持有价值的知识产权的（）o对于程序源代码的保存，可以通过这种代码的中央存储控 制来实现，更好的是放在（）中。74 .你是单位安全主管，由于微软刚发布了数个系统

39、漏洞补丁，安全运维人员给出 了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）A.由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有 的服务器和客户端尽快安装补TB.本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所 以可以先不做处理C.对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再在正式生产 环境中部署D.对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算 机由于没有重要数据，由终端 自行升级Answer:C75 .在网络交易发达的今天，贸易双方可以通过签署电子合同来保障自己的合法权 益。某中心推出电子签名服务，按

40、照如图方式提供电子签名，不属于电子签名的基本特性的是（）。15A.不可伪造性B.不可否认性C.保证消息完整性D.机密性Answer:D76 .风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文 档，其中，明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要的各种资产、威胁、脆弱 性识别和判断依据的文档是（）A风险评估方案B.风险评估程序C.资产识别清单D.风险评估报告Answer:A77.等级保护实施根据GB/T 25058-2010信息安全技术信息系统安全等级保护 实施指南分为五大阶段；（）、总体规划、设计实施、（）和系统终止。但由于在开展等级保护试点工作时，

41、大量信息系统已经建设完成，因此根据实际情况逐步形成了（）、备案、差距分析（也叫差距测评）、建设 整改、验收测评、定期复查为流程的（）工作流程。和等级保护实施指南中规定的针对（）的五大阶 段略有差异。A.运行维护；定级；定级；等级保护；信息系统生命周期B.定级；运行维护；定级；等级保护；信息系统生命周期C.定级运行维护；等级保护；定级；信息系统生命周期D.定级；信息系统生命周期；运行维护；定级；等级保护Answer:B78.保护-检测-响应（Protection-Detection-Response, PDR）模型是（）工作中常 用的模型，七思想是承认（）中漏洞的存在，正视系统面临的（），通过采

42、取适度防护、加强（）、落实对安全事 件的响应、建立对威胁的防护来保障系统的安全。A.信息系统；信息安全保障；威胁；检测工作B.信息安全保障；信息系统；检测工作；威胁；检测工作C.信息安全保障；信息系统；威胁；检测工作D.信息安全保障；威胁；信息系统；检测工作 Answer:C79.信息安全方面的业务连续性管理包含2个（）和4个控制措施。组织应确定 在业务连续性管理过程或灾难恢复管理过程中是否包含了（）。应在计划业务连续性和灾难恢复时确定（）。组织 应建立、记录、实施并维持过程、规程和控制措施以确保在不利情况下信息安全连续性处于要求级别。 在业务连续性或灾难恢复内容中，可能已定义特定的（）。应保

43、护在这些过程和规程或支持它们的特性信息 系统中处理的额信息。在不利情况下，已实施的信息安全控制措施应继续实行。若安全控制措施不能保持 信息安全，应建立、实施和维持其他控制措施以保持信息安全在（）。A.信息安全连续性；控制目标；信息安全要求；过程和规程；可接受的水平。B.控制目标；信息安全连续性；信息安全要求；过程和规程；可接受的水平。 Answer:B解释：教材的113页和114页的内容。80.在极限测试过程中，贯穿始终的是0A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收测试D.集成测试和系统测试Answers,标准知识点是单元测试和验收测试是其中的重要两个过程，C贴近。 解答

44、：来源于计算机等级考试-软件测评工程师，考试资料网PPK。其C Answer来源于百度题库。A.应用系统；身份验证；严格控制；保密性；源程序库B.身份验证；应用系统；严格控制；保密性；源程序库C.应用系统；严格控制；身份验证；保密性；源程序库D.应用系统；保密性；身份验证；严格控制；源程序库Answer:A解释：来源于教材第U7页表格之下的所有部分，到118页的最上面一 段。10.信息时流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）； 面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决 定了（）的效果，不同的截体下，可能体现出信息的

45、（）、临时性和信息的交互场景，这使得风险管理变得 复杂和不可预测。A.基础；依据；截体；环境；永久性；风险管理B.基础；依据；截体；环境；风险管理；永久性C.截体；环境；风险管理；永久性；基础；依据D.截体；环境；基础；依据；风险管理；永久性 Answer:D11 .跨站请求伪造也被称为one-click attck或者session riding,通常缩写为 CSRF或者XSXF,是一种挟制用户在当着已登录的Wed应用程序上执行非本意的操作的攻击方法。对于下列跨站 请求伪造的描述中，错误的是（）A.跨站请求伪造，是一种种允许攻击者通过受害者发送任意HTTP请求的一类攻 击方法B.在跨站请求伪

46、造中，攻击者迫使已登录Web应用程序的合法使用者执行恶意的 HTTP指令，而Web应用程序 当成合法请求处理，使得攻击者的恶意指令被正常执行C.利用跨站伪造请求，攻击者能让受害者用户修改该受害用户允许修改的任何数 据，或者是被执行该受害用户 被授用的任何功能Answer:D.某项目组进行风险评估时由于时间有限，决定采用基于知识的分析方法，使用 基于知识的分析方法进行风险评估，最重要的在于评估信息的采集，该项目组对信息源进行了讨论，以下说 法中不可行的是（）A.可以通过对当前的信息安全策略和相关文档进行复查采集评估信息B.可以通过进行实施考察的方式采集评估信息C.可以通过建立模型的方法采集评估信

47、息D.可以制作问卷，进行调查Answer:C解释：书本原话。12 .（）在实施攻击之前，需要尽量收集伪装身份0,这些信息是攻击者伪装成功 的（）。例如攻击者要伪装成某个大型集团公司总部的（）。那么他需要了解这个大型集团公司所处行业的一些 行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司相关人员的绰号等等。A.攻击者；所需要的信息；系统管理员；基础；内部约定B.所需要的信息；基础；攻击者；系统管理员；内部约定C.攻击者；所需要的信息；基础；系统管理员；内部约定D.所需要的信息；攻击者；基础；系统管理员；内部约定Answer:C14. 1993年至1996年，欧美六国和美国商务部国家标准与技术局共同制定了一 个供欧美各国通用的信息安全评估标准，简称CC标准，该安全评估标准的全称为（）A.可信计算机系统评估准则B.信息技术安全评估准则C.可信计算机产品评估准则D.信息技术安全通用评估准则Answer:D15 .风险评估的基本要素包括脆弱性、资产、威胁、风险及安全措施，下面给出的 风险评估部分基本要素之间的关系图，哪项是错误的（）oAnswer:!）.下图描绘了信息安全管理体系的PDCA模型其中，建立ISMS中，组织应根据 业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正 当性理由。组织应根据业4