CISP试题.及其答案六套题.doc

《CISP试题.及其答案六套题.doc》由会员分享，可在线阅读，更多相关《CISP试题.及其答案六套题.doc（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1C2A3D4B5C1、下列对于信息安全保障深度防御模型的说法错误的是： A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分， 因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下 B、信息安全管理和工程，信息安全保障需要在整个组织机构内建立和完善信息安全管理体 系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息 系统工程的方法来建设信息系统 C、信息安全人才体系，在组织机构中应建立完善的安全意识，培训体系也是信息安全保障 的重要组成部分 D、信息安全技术方案：“从外面内，自下而上，形成边界到端的防护能力”2、人们对信息安全

2、的认识从信息技术安全发展到信息安全保障，主要是由于： A、为了更好地完成组织机构的使命 B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到革命性的发展 D、除了保密性，信息的完整性和可用性也引起了人们的关注3、关于信息保障技术框架（IATF） ，下列哪种说法是错误的？ A、IATF 强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设 施等多个领域的安全保障 B、IATF 强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作 C、IATF 强调从技术、管理和人等多个角度来保障信息系统的安全 D、IATF 强调的是以安全检测、漏洞监测和自适应填充“安全间隙”

3、为循环来提高网络安 全4、信息系统保护轮廓（ISPP）定义了_ A、某种类型信息系统的与实现无关的一组系统级安全保障要求 B、某种类型信息系统的与实现相关的一组系统级安全保障要求 C、某种类型信息系统的与实现无关的一组系统级安全保障目的 D、某种类型信息系统的与实现相关的一组系统级安全保障目的5、下面对于信息安全特征和范畴的说法错误的是： A、信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术问题，还要考虑人员、 管理、政策等众多因素 B、信息安全是一个动态的问题，它随着信息技术的发展普及，以及产业基础、用户认识、 投入产出而发展 C、信息安全是无边界的安全，互联网使得网络边界越来越模糊

4、，因此确定一个组织的信息 安全责任是没有意义的 D、信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具 有不同于传统安全的特点 6C7A8B9C10D6、椭圆曲线密码方案是指： A、基于椭圆曲线上的大整数分解问题构建的密码方案 B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案 D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案7、hash 算法的碰撞是指： A、两个不同的消息，得到相同的消息摘要 B、两个相同的消息，得到不同的消息摘要 C、消息摘要和消息的长度相同 D、消息摘要比消息长度更长8、Alice 从 Sue

5、那里收到一个发给她的密文，其他人无法解密这个密文，Alice 需要用哪个 密钥来解密这个密文？ A、Alice 的公钥 B、Alice 的私钥 C、Sue 的公钥 D、Sue 的私钥9、数字签名应具有的性质不包括： A、能够验证签名者 B、能够认证被签名消息 C、能够保护被签名的数据机密性 D、签名必须能够由第三方验证10、Alice 有一个消息 M 通过密钥 K 和 MAC 算法生成一个 MAC 为 C（K,M） ，Alice 将这个 MAC 附加在消息 M 后面发送给 Bob，Bob 用密钥 K 和消息 M 计算 MAC 并进行比较，这个 过程可以提供什么安全服务？ A、仅提供保密性 B、

6、仅提供不可否认性 C、提供消息认证 D、保密性和消息认证 11C12C13B14C15B11、时间戳的引入主要是为了防止： A、死锁 B、丢失 C、重放 D、拥塞12、与 RSA（rivest，shamir，adleman）算法相比，DSS（digital signature standard）不包括：A、数字签名 B、鉴别机制 C、加密机制 D、数据完整性13、在数字信封中，综合使用对称加密算法和公钥加密算法的主要原因是：A、混合使用两种加密方法可以增加破译者的难度，使其更加难以破译原文，从而保障信 息的保密性 B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种

7、 折中做法 C、两种加密算法的混用，可以提高加密的质量，这是我国密码政策所规定的要求 D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息， 即抗接受方抵赖14、下列哪个选项是公钥基础设施（PKI）的密钥交换处理流程？ （1）接收者解密并获取会话密钥 （2）发送者请求接收者的公钥 （3）公钥从公钥目录中被发送出去 （4）发送者发送一个由接收者的公钥加密过的会话密钥 A、4,3,2,1 B、2,1,3,4 C、2,3,4,1 D、2,4,3,115、IPSEC 密钥协商方式有： A、一种，手工方式 B、二种，手工方式、IKE 自动协商 C、一种，IKE 自动协商 D、二种

8、，IKE 自动协商、隧道协商 16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议： A、VTP B、L2F C、PPTP D、L2TP17、与 PDR 模型相比，P2DR 模型多了哪一个环节？ A、防护 B、检测 C、反应 D、策略18、以下有关访问控制矩阵中行和列中元素的描述正确的是： A、行中放用户名，列中放对象名 B、行中放程序名，列中放用户名 C、列中放用户名，行中放设备名 D、列中放标题，行中放程序19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？ A、强制访问控制（MAC）B、集中式访问控制（Decentralized Access

9、 Control） C、分布式访问控制（Distributed AccessControl） D、自主访问控制（DAC）20、以下哪一项不是 BLP 模型的主要任务： A、定义使得系统获得“安全”的状态集合 B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态” C、检查系统的初始状态是否为“安全状态” D、选择系统的终止状态 21D22A23A24B25D21、访问控制表与访问能力表相比，具有以下那个特点： A、访问控制表更容易实现访问权限的特点 B、访问能力表更容易浏览访问权限 C、访问控制表回收访问权限更困难 D、访问控制表更适用于集中式系统22、在 Clark-Wils

10、on 模型中哪一项不是保证完整性任务的？ A、防止职权的滥用 B、防止非授权修改 C、维护内部和外部的一致性 D、防止授权但不适当地修改23、以下对单点登录技术描述不正确的是： A、单点登录技术实质是安全凭证在多个用户之间的传递或共享 B、使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用 C、单点登录不仅方便用户使用，而且也便于管理 D、使用单点登录技术能简化应用系统的开发24、鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的： A、口令 B、令牌 C、知识 D、密码25、系统审计日志不包括以下哪一项： A、时间戳 B、用户标识 C、对象标识 D、处理结

11、果 26B27B28B29B30C26、以下哪一项不是审计措施的安全目标： A、发现试图绕过系统安全机制的访问 B、记录雇员的工作效率 C、记录对访问客体采用的访问方式D、发现越权的访问行为27、一个 VLAN 可以看做是一个： A、冲突域 B、广播域 C、管理域 D、阻塞域28、以下对 RADIUS 协议说法正确的是： A、它是一种 B/S 结构的协议 B、它是一项通用的认证计费协议 C、它使用 TCP 通信 D、它的基本组件包括认证、授权和加密29、UDP 协议和 TCP 协议对应于 ISO/OSI 模型的哪一层？ A、链路层 B、传输层 C、会话层 D、表示层30、路由器的扩展访问控制列

12、表能够检查流量的那些基本信息？ A、协议，vtan id，源地址，目标地址 B、协议，vian id，源端口，目标端口 C、源地址，目地地址，源端口，目标端口，协议 D、源地址，目地地址，源端口，目标端口，交换机端口号 31A32B33B34C5B31、TCP/IP 中哪个协议是用来报告错误并代表 IP 对消息进行控制？ A、ICMP B、IGMP C、ARP D、SNMP32、TCP 采用第三次握手来建立一个连接，第二次握手传输什么信息： A、SYN B、SYN+ACK C、ACK D、FIN33、某个客户的网络现在可以正常访问 Internet 互联网，共有 200 台终端 PC 但此客户

13、从 ISP（互联网络服务提供商）,互联网最好采取什么方法或技术： A、花更多的钱向 ISP 申请更多的 IP 地址 B、在网络的出口路由器上做源 NAT C、在网络的出口路由器上做目的 NAT D、在网络出口处增加一定数量的路由器34、以下哪个一个项对“ARP”的解释是正确的： A、Access routing protocol-访问路由协议 B、Access routing protocol-访问解析协议 C、Address resolution protocol-地址解析协议 D、Address recovery protocol-地址恢复协议35、下面对于 X.25 协议的说法错误的是？

14、 A、传输速率可达到 56Kbps B、其优点是反复的错误校验颇为费时 C、其缺点是反复的错误校验颇为费时 D、由于它与 TCP/IP 协议相比处于劣势，所以渐渐被后者淘汰 36D37C38D39B40D36、下列对于 DMZ 区的说法错误的是： A、它是网络安全防护的一个“非军事区” B、它是对“深度防御”概念的一种实现方案 C、它是一种比较常用的网络安全域划分方式 D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问连续的能 力？ A、包过滤防火墙 B、状态监测防火墙 C、应用网关防火墙 D、以上都不是38、以下哪一项不属于入侵检测系统的

15、功能 A、监视网络上的通信数据流 B、捕捉可疑的网络活动 C、提供安全审计报告 D、过滤非法的数据包39、下面哪一项不是通过 IDS 模型的组成部分： A、传感器 B、过滤器 C、分析器 D、管理器40、下面哪一项是对 IDS 的正确描述？ A、基于特征（Signature-based）的系统可以检测新的攻击类型 B、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生更多的误 报 C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配 D、基于行为（behavior-based）的系统比基于特征（Signatur

16、e-based）的系统有更高的误报41D42B43D44D45D41、可信计算技术不能： A、确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击 B、确保密钥操作和存储的安全 C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性 D、使计算机具有更高的稳定性42、chmod 744 test 命令执行的结果是： A、test 文件的所有者具有执行读写权限，文件所属的组合其它用户有读的权限 B、test 文件的所有者具有执行读写和执行权限，文件所属的组和其它用户有读的权限 C、test 文件的所有者具有执行读和执行权限，文件所属的组和其它用户有读的权限 D、test 文件的所有者具有

17、执行读写和执行权限，文件所属的组和其它用户有读和写的权限43、Linux 系统的用户信息保存在 passwd 中，某用户条目 backup:*:34:34:backup:/var/backups:/bin/sh，以下关于该账号的描述不正确的是： A、backup 账号没有设置登录密码 B、backup 账号的默认主目录是/var/backups C、backup 账号登陆后使用的 shell 是/bin/sh D、backup 账号是无法进行登录44、以下对 windows 账号的描述，正确的是： A、windows 系统是采用 SID（安全标识符）来标识用户对文件或文件夹的权限 B、wind

18、ows 系统是采用用户名来标识用户对文件或文件夹的权限 C、windows 系统默认会生成 administration 和 guest 两个账号，两个账号都不允许改名和 删除 D、windows 系统默认生成 administration 和 guest 两个账号，两个账号都可以改名和删除45、以下哪一项不是 IIS 服务器支持的访问控制过滤类型？ A、网络地址访问控制 B、web 服务器许可 C、NTFS 许可 D、异常行为过滤 46D47C48B49D50C46、以下哪个对 windows 系统日志的描述是错误的？ A、windows 系统默认有三个日志，系统日志，应用程序日志，安全日志

19、 B、系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器 的故障 C、应用日志跟踪应用程序关联的事件，例如应用程序产生的装载 DLL（动态链接库）失败 的信息 D、安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等47、为了实现数据库的完整性控制，数据库管理员应向 DBMS 提出一组完整性规则来检查 数据库中的数据，完整性规则主要由三部分组成，以下哪一项不是完整性规则的内容？ A、完整性约束条件B、完整性检查机制 C、完整性修复机制 D、违约处理机制48、数据库事务日志的用途是什么？ A、事务日志 B、数据恢复 C、完整性约束 D、保密性控制49、以下哪一

20、项不是 SQL 语言的功能 A、数据定义 B、数据检查 C、数据操纵 D、数据加密50、以下哪一项是和电子邮件系统无关的？ A、PEM B、PGP C、X.500 D、X.400 51C52C53C54D55D51、下面对于 cookie 的说法错误的是： A、cookie 是一小段存储在浏览器端文本信息，web 应用程序可以读取 cookie 包含的信息 B、cookie 可以存储一些敏感的用户信息，从而造成一定的安全风险 C、通过 cookie 提交精妙构造的移动代码，绕过身份验证的攻击叫做 cookie 欺骗 D、防范 cookie 欺骗的一个有效方法是不使用 cookie 验证方法，而

21、是用 session 验证方法52、电子商务安全要求的四个方面是： A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖 B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证 C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性 D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf 目录，其中用来控制用 户访问 Apache 目录的配置文件是： A、httpd.conf B、srm.conf C、access.conf D、inetd.conf54

22、、以下哪个是恶意代码采用的隐藏技术 A、文件隐藏 B、进程隐藏C、网络连接隐藏 D、以上都是55、下列那种技术不是恶意代码的生存技术？ A、反跟踪技术 B、加密技术 C、模糊变换技术 D、自动解压缩技术 56B57B58D59D60D56、以下对于蠕虫病毒的说法错误的是： A、通常蠕虫的传播无需用户的操作 B、蠕虫病毒的主要危害体现在对数据保密性的破坏 C、蠕虫的工作原理与病毒相似，除了没有感染文件阶段 D、是一段能不以其他程序为媒介，从一个电脑系统复制到另一个电脑系统的程序57、被以下哪种病毒感染后，会使计算机产生下列现象：系统资源被大量占用，有时会弹 出 RPC 服务终止的对话框，并且系统

23、反复重启，不能收发邮件、不能正常复制文件、无法 正常浏览网页，复制粘贴等操作受到严重影响的，DNS 和 IIS 服务遭到非法拒绝等。 A、高波变种 3T B、冲击波 C、震荡波 D、尼姆达病毒58、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种 类型的漏洞？ A、缓冲区溢出 B、设计错误 C、信息泄露 D、代码注入59、下面对漏洞出现在软件开发的各个阶段的说法中错误的是？ A、漏洞可以在设计阶段产生 B、漏洞可以在实现过程中产生 C、漏洞可以在运行过程中产生 D、漏洞可以在验收过程中产生60、DNS 欺骗是发生在 TCP/IP 协议中_层的问题 A、网络接口层 B、

24、互联网网络层 C、传输层 D、应用层 61B62D63A64B65C61、IP 欺骗（IP Spoof）是发生在 TCP/IP 协议中_层的问题 A、网络接口层B、互联网网络层 C、传输层 D、应用层62、分片攻击问题发生在： A、数据包被发送时 B、数据包在传输过程中 C、数据包被接收时 D、数据包中的数据进行重组时63、下面关于软件测试的说法错误的是： A、所谓“黑盒”测试就是测试过程不测试报告中进行描述，且对外严格保密 B、出于安全考虑，在测试过程中尽量不要使用真实的生产数据 C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存 D、软件测试不仅应关注需要的功能是否可以被

25、实现，还要注意是否有不需要的功能被实 现了64、传统软件开发方法无法有效解决软件安全缺陷问题的原因是： A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护 五个阶段 B、传统的软件开发方法，注重软件功能实现和保证，缺乏对安全问题进行处理的任务、里 程碑与方法论，也缺乏定义对安全问题的控制与检查环节 C、传统的软件开发方法，将软件安全定义为编码安全，力图通过规范编码解决安全问题， 缺乏全面性 D、传统的软件开发方法仅从流程上规范软件开发过程，缺乏对人员的培训要求，开发人 员是软件安全缺陷产生的根源65、对攻击面（Attack surface）的正确定义是： A、一个软

26、件系统可被攻击的漏洞的集合，软件存在的攻击面越多，软件的安全性就越低 B、对一个软件系统可以采取的攻击方法集合，一个软件的攻击面越大安全风险就越大 C、一个软件系统的功能模块的集合，软件的功能模块越多，可被攻击的点也越多，安全风 险也越大 D、一个软件系统的用户数量的集合，用户的数量越多，受到攻击的可能性就越大，安全 风险也越大 66D67D68B69A70D66、下面对 PDCA 模型的解释不正确的是： A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B、是一种可以应用于信息安全管理活动持续改进的有效实践方法 C、也被称为“戴明环” D、适用于对组织整体活动的优化，不适合单

27、个的过程以及个人67、下面关于 ISO27002 的说法错误的是： A、ISO27002 的前身是 ISO17799-1 B、ISO27002 给出了通常意义下的信息安全管理最佳实践供组织机构选用，但不是全部C、ISO27002 对于每个控制措施的表述分“控制措施” ， “实施指南”和“其他信息”三个 部分来进行描述 D、ISO27002 提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一 类安全措施68、下述选项中对于“风险管理”的描述不正确的是： A、风险管理员是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险 处置、风险接受和风险沟通 B、风险管理的目的是了

28、解风险并采取措施处置风险并将风险消除 C、风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障 工作、信息系统的整个生命周期中 D、在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安 全目标。69、在信息安全领域，风险的四要素是指？ A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施 B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C、完整性、可用性、机密性、不可抵赖性 D、减低风险、转嫁风险、规避风险、接受风险70、在信息安全风险管理体系中分哪五个层面？ A、决策层、管理层、执行层、支持层、用户层 B、决策层、管理层、建设层、

29、维护层、用户层 C、管理层、建设层、运行层、支持层、用户层 D、决策层、管理层、执行层、监控层、用户层 71C72C73B74D75B71、在风险管理工作中“监控审查”的目的，一是_;二是_. A、保证风险管理过程的有效性，保证风险管理成本的有效性 B、保证风险管理结果的有效性，保证风险管理成本的有效性 C、保证风险管理过程的有效性，保证风险管理活动的决定得到认可 D、保证风险管理结果的有效性，保证风险管理活动的决定得到认可72、下列安全控制措施的分类中，哪个分类是正确的（p-预防性的，D-检测性的以及 C-纠 正性的控制） 1、网络防火墙 2、编辑和确认程序 3、账户应付支出报告 4、账户应

30、付对账 5、RAID 级别 3 6、银行账单的监督复审 7、分配计算机用户标识 8、交易日志 A、P,P,D,P,P,C,D,andC B、D,P,P,P,C,C,D, andDC、P,P,D,D,C,D,P, andC D、P,D,C,C,D,P,P, andD73、信息安全风险评估分为自评估和检查评估两种形式，下列描述不正确的是： A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充 B、检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估 C、检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位 负责 D、检查评估是指信息系统上级管理

31、部门组织有关职能部门开展的风险评估74、某公司正在对一台关键业务服务器进行风险评估，该服务器价值 138000 元，针对某 个特定威胁的暴露因子（EF）是 45%，该威胁的年度发生率（ARO）为每 10 年发生 1 次。 根据以上信息，该服务器的年度预期损失值（ALE）是多少？ A、1800 元 B、62100 元 C、140000 元 D、6210 元75、下列哪些内容应包含在信息系统战略计划中？ A、已规划的硬件采购的规范 B、将来业务目标的分析 C、开发项目的目标日期 D、信息系统不同的年度预算目标76D77C78B79B80A76、以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理

32、解？ A、外来人员在进行系统维护时没有收到足够的监控 B、一个人拥有了不是其完成工作所必要的权限 C、敏感岗位和重要操作长期有一个人独自负责 D、员工由一个岗位变动到另一个岗位，累计越来越多的权限77、ISO27002 中描述的 11 个信息安全管理控制领域不包括： A、信息安全组织 B、资产管理 C、内容安全 D、人力资源安全78、依据国家标准信息安全技术信息系统灾难恢复规范 （GB/T20988） ，需要备用场地 但不要求部署备用数据处理设备的是灾难恢复等级的第几级？ A、2 B、3 C、4 D、579、以下哪一种备份方式再恢复时间上最快？ A、增量备份 B、差异备份 C、完全备份 D、磁

33、盘备份80、计算机应急响应小组的简称是： A、CERT B、FIRST C、SANA D、CEAT81D82D83B84C85B81、为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。 A、统一而精确地的时间 B、全面覆盖系统资产 C、包括访问源、访问目标和访问活动等重要信息 D、可以让系统的所有用户方便的读取82、依据国家标准信息安全技术信息系统灾难恢复规范 （GB/T20988） ，灾难恢复管理 过程的主要步骤是灾难恢复需求分析，灾难恢复策略制定，灾难恢复预案制定和管理，其 中灾难恢复策略实现不包括以下哪一项？ A、分析业务功能 B、选择和建设灾难备份中心 C、实现灾备系统技术方

34、案 D、实现灾备系统技术支持和维护能力83、在进行应用系统的的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际 生产系统中的数据，如果需要使用时。以下哪一项不是必须做的： A、测试系统应使用不低于生产关系的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录生产数据的拷贝和使用84、下列有关能力成熟度模型的说法错误的是： A、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B、使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域 C、使用组织机构成熟度方

35、案时，每一个能力级别都对应一组已经定义好的过程域 D、SSE-CMM 是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型85、一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规 范的定义？ A、2 级计划和跟踪 B、3 级充分定义C、4 级量化控制 D、5 级持续改进86D87C88D89B90C86、下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程： A、风险过程 B、保证过程 C、工程过程 D、评估过程87、SSE-CMM 工程过程区域中的风险过程包含哪些过程区域？ A、评估威胁、评估脆弱性、评估影响 B、评估威胁、评估脆

36、弱性、评估安全风险 C、评估威胁、评估脆弱性、评估影响、评估安全风险 D、评估威胁、评估脆弱性、评估影响、验证和证实安全88、信息系统安全工程（ISSE）的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因 素，在 IT 项目的立项阶段，以下哪一项不是必须进行的工作： A、明确业务对信息安全的要求 B、识别来自法律法规的安全要求 C、论证安全要求是否正确完整 D、通过测试证明系统的功能和性能可以满足安全需求89、信息化建设和信息安全建设的关系应当是： A、信息化建设的结果就是信息安全建设的开始 B、信息化建设和信息安全建设应同步规划、同步实施 C、信息化建设和信息安全建设是交替进行的，无法

37、区分谁先谁后 D、以上说法都正确90、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时 你最应当关注的是： A、变更的流程是否符合预先的规定 B、变更是否会对项目进度造成拖延 C、变更的原因和造成的影响 D、变更后是否进行了准确地记录91A92B93D94D95C91、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综 合信息系统安全保障的考虑 B、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和 技术产品 C、应在将信息安全作为实施和开

38、发人员的一项重要工作内容，提出安全开发的规范并切实 落实D、应详细规定系统验收测试中有关系统安全性测试的内容92、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生 产系统中的数据，如果需要使用时，以下哪一项不是必须做的： A、测试系统应使用不低于生产系统的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录产生数据的拷贝和使用93、关于监理过程中成本控制，下列说法中正确的是？ A、成本只要不超过预计的收益即可 B、成本应控制得越低越好 C、成本控制由承建单位实现，监理单位只能记录实际开始

39、 D、成本控制的主要目的是在批注的预算条件下确保项目保质按期完成94、 刑法第六章第 285、286、287 条对与计算机犯罪的内容和量刑进行了明确的规定， 以下哪一项不是其中规定的罪行？ A 非法侵入计算机信息系统罪 B 破坏计算机信息系统罪 C 利用计算机实施犯罪 D 国家重要信息系统管理者玩忽职守罪95、计算机取证的合法原则是： A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行，以确保其合法性 D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则96B97B98C9

40、9B100A96、对第三方服务进行安全管理时，以下说法正确的是： A、服务水平协议的签定可以免除系统安全管理者的责任 B、第三方服务的变更管理的对象包括第三方服务造成的系统变化和服务商贸的变化 C、服务水平协议的执行情况的监督，是服务方项目经理的职责，不是系统管理者的责任 D、安全加固的工作不能由第三方服务商进行97、对涉密系统进行安全保密测评应当依据以下哪个标准？ A、BMB20-2007涉及国家秘密的计算机信息系统分级保护管理规范 B、BMB20-2007涉及国家秘密的计算机信息系统分级保护测评指南 C、GB17859-1999计算机信息系统安全保护等级划分准则 D、GB/T20271-2

41、006信息安全技术信息系统统用安全技术要求98、下列事项是我国在 2009 年下发的关于政府信息系统安全保障工作的政策文件： A、 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 （发改高校 B、 关于加强政府信息系统安全和保密管理工作的通知 （国发办 17 号）C、 国务院办公厅关于印发的通知 （国办发 28 号） D、 国务院办公厅关于印发的通知 （国办函 16899、信息系统安全保护等级为 3 级的系统，应当在（）年进行一次等级测评？ A、0.5 B、1 C、2 D、3100、以下哪一项是用于 CC 的评估级别？ A、EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7 B、A1，B1，B2，B3，C2，C1，D C、E0，E1，E2，E3，E4，E5，E6 D、AD0，AD1，AD2，AD3，AD4，AD5，AD6