信息安全专业人员知识测试试题（五）.docx

《信息安全专业人员知识测试试题（五）.docx》由会员分享，可在线阅读，更多相关《信息安全专业人员知识测试试题（五）.docx（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全专业人员知识测试试题（五）1.CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标 准的先进性：A.结构的开放性B.表达方式的通用性C.独立性实用性.根据信息安全等级保护管理办法、关于开展信息安全等级保护测评体系建 设试点工作的通知（公信安2009812号），关于推动信息安全等级保护（） 建设和开展（）工作的通知（公信安2010303号）等文件，由公安部（）对等级保 护测评机构管理，接受测评机构的申请、考核和定期（）,对不具备能力的测评 机构则（）A.等级测评；测评体系；等级保护评估中心；能力验证；取消授权B.测评体系； 等级保护评估中心；等级测评；能力验证；取消授权C

2、.测评体系；等级测评； 等级保护评估中心；能力验证；取消授权D.测评体系；等级保护评估中心；能 力验证；等级测评；取消授权.以下哪个现象较好的印证了信息安全特征中的动态性（）A.经过数十年的发展，互联网上己经接入了数亿台各种电子设备B刚刚经过风险评估并针对风险采取处理措施后仅一周，新的系统漏洞使得信 息系统面临新的风险C某公司的信息系统面临了来自美国的“匿名者”黑客组 织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品，但服务器中数据仍产生了泄露.老王是某政府信息中心主任。以下哪项项目是符合保守国家移密法要求的 0A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维 修中心

3、修理B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王 要防范安全风险，需从内外因同时着手D.信息安全问题的根本原因是内因、外因和人三个因素的综合作用，内因和外因 都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部工 作人员通过远程攻击，本地破坏和内外勾结等手段导致安全事件发生，因此对人 这个因素的防范应是安全工作重点.在Linux系统中,下列哪项内容不包含在/etc/passwd文件中()A.用户名 B.用户口令明文C.用户主目录D.用户登录后使用的SHELL.即使最好用的安全产品也存在()。结果，在任何的

4、系统中敌手最终都能够找 出一个被开发出的漏洞。一种有效的对策时在敌手和它的目标之间配备多种()。 每一种机制都应包括()两种手段。A.安全机制；安全缺陷；保护和检测B.安全缺陷；安全机制；保护和检测C.安 全缺陷；保护和检测；安全机制；D.安全缺陷；安全机制；保护和监测.某攻击者想通过远程控制软件潜伏在某监控方的UNIX系统的计算机中，如果 攻击者打算长时间地远程监控某服务器上的存储的敏感数据，必须要能够清除 在监控方计算机中存在的系统口志。否则当监控方查看自己的系统口志的时候, 就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()。A.窃取root权限修改wtmp/wtmpx utmp/

5、utmpx和lastlog三个主要日志文件 B.采用干扰手段影响系统防火墙的审计功能C保留攻击时产生的临时文件D.修改登录日志，伪造成功的登录日志，增加审计难度.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组 织内部信息安全的有效管理，实施常规的控制措施，不包括哪些选项()A.信息安全的管理承诺、信息安全协调、信息安全职责的分配B.信息处理设施的 授权过程、保密性协议、与政府部门的联系.C与特定利益集团的联系。信息安全的独立评审D.与外部各方相关风险的识别、处理外部各方协议中的安全问题.按照我国信息安全等级保护的有关政策和标准。有些信息系统只需要自主定 级、自主保护，按照要

6、求向公安机关备案即可，可以不需要上级或主管都门来 测评和检查。此类信息系统应属于：A.零级系统B 一级系统C二级系统D.三级系统.小李在检查公司对外服务网站的源代码时，发现程序在发生诸如没有找到资 源、数据库连接错误、写临时文件错误等问题时，会将详细的错误原因在结果 页面上显示出来。从安全角度考虑，小李决定修改代码。将详细的错误原因都 隐藏起来，在页面上仅仅告知用户“抱歉。发生内部错误!”.请问，这种处理方 法的主要目的是()。A避免缓冲区溢出 B.安全处理系统异常C安全使用临时文件D.最小化反馈 信息.关于ARP欺骗原理和防范措施，下面理解错误的是()A.ARP欺骗是指攻击者直接向受害者主机

7、发送错误的ARP应答报文。使得受害 者主机将错误的硬件地址映射关系存到ARP缓存中，从而起到冒充主机的目的 B.单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由 实施攻击C.解决ARP欺骗的一个有效方法是采用“静态”的APP缓存，如果发生硬件地 址的更改，则需要人工更新缓存D.彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存。直接采用IP 地址和其地主机进行连接.组织内人力资源部门开发了一套系统，用于管理所有员工的各种工资、绩效、 考核、奖励等事宜。所有员工都可以登录系统完成相关需要员工配合的工作， 以下哪项技术可以保证数据的保密性：A.SSL加密B.双因子认证C

8、.加密会话cookieD.IP地址校验40 .强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性 来决定一个主体是否可以访问某个客体，具有较高的安全性，适用于专用或对安 全性较高的系统。强制访问控制模型有多种类型,如BLP、Biba、Clark-Willson和 ChineseWall等。小李自学了 BLP模型，并对该模型的特点进行了总结。以下4 钟对BLP模型的描述中，正确的是（）：A.BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B.BLP模型用于保证系统信息的机密性，规则是“向下读，向上写” C.BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”

9、D.BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”41 .一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学 校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数， 而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。 下列选项中，对访问控制的作用的理解错误的是：A.对经过身份鉴别后的合法用户提供所有服务B.拒绝非法用户的非授权访问请 求C.在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D. 防止对信息的非授权篡改和滥用42 .信息安全风险等级的最终因素是：A.威胁和脆弱性B.影响和可能性C.资产重要性D.以上都不

10、对43.实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将：A.降低B.不变（保持相同）C.提高D.提高或降低（取决于业务的性质）44.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示， 该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使 用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）oA.ACL是Bell-LaPadula模型的一种具体实现B.ACL在删除用户时，去除该用户所有的访问权限比较方便C.ACL对于统计某个主体能访问哪些客体比较方便D.ACL在增加和修改哪些客 体被主体访问比较方便.二十世纪二十年代，德国发明家亚瑟.谢尔比

11、乌斯（Arthur Scherbius）发明了 Engmia密码机。按照密码学发展历史阶段划分，这个阶段属于（）A.古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是凭 借推理和证明，常用的密码运算方法包括替代方法和置换方法B.近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码 设备和更进一步的机电密码设备。C.现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论” （The Communication Theory of Secret Systems,r）为理论基础,开始了对密码学 的科学探索。D.现代密码学的近代发展阶段。这一阶段以公钥密码思

12、想为标准，引发了密码学 历史上的革命性的变革，同时，众多的密码算法开始应用于非机密单位和商业 场合。45 .主体和客体是访问控制模型中常用的概念。下面描述中错误的是（）A.主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数 据B.客体也是一个实体，是操作的对象，是被规定需要保护的资源C.主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作 客体使用D.一个主体为了完成任务，可以创建另外的主体，这些主体可以独立 运行.数字签名不能实现的安全特性为（）A.防抵赖B.防伪造C.防冒充D.保密通信48.在入侵检测（IDS）的运行中，最常见的问题是：（）A.误报检测B.

13、接收陷阱消息C.误拒绝率D.拒绝服务攻击49.什么是系统变更控制中最重要的内容？ A.所有的变更都必须文字化，并被批 准B.变更应通过自动化工具来实施C.应维护系统的备份D.通过测试和批准来确保质量50.IPV4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进 行互联、互通，仅仅依靠IP头部的校验和字段来保证IP包的安全，因此IP包 很容易被篡改，并重新计算校验和ETF于1994年开始制定IPSec协议标准， 其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务， 保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络 攻击，同时保持易用

14、性。下列选项中说法错误的是（）A.对于IPv4, IPSec是可选的,对于IPv6, IPSec是强制实施的。B.IPSec协议提供对IP及其上层协议的保护。C.IPSec是一个单独的协议D.IPS“安全协议给出了封装安全载荷和鉴别头两种通信保护机制。51 .小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企也应聘时, 面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一 个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和 资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）oA.访问控制列表（ACL） B.能力表（CL）C.BLP模型D.B

15、iba模型52 .在软件开发过程中，常用图作为描述攻击，如DFD就是面向（）分析方法的 描述工具，在一套分层DFD中，如果某一张图中有N个加工（Process）则这 张图允许有（）张子图，在一张DFD中任意两个加工之间（）。在画分层DFD时， 应注意保持（）之间的平衡。DFD中从系统的输入流到系统的输出流的一连串 交换形式一种信息流，这种信息流可分为交换流和事物流两类。A.数据流；0AN；有0条或多条名字互不相同的数据流；父图与其子图B.数据流；HN；有0条或多条名字互不相同的数据流；父图与其子图C.字节流；0AN；有0条或多条名字互不相同的数据流；父图与其子图D.数据流；ON；有0条或多条名

16、字互不相同的数据流；子图之间53.社会工程学本质上是一种（），（）通过种种方式来引导受攻击者的（）向攻 击者期望的方向发展。罗伯特B西奥迪尼（Robert BCialdini）在科学美国人 （2001年2月）杂志中总结对（）的研究，介绍了 6种“人类天性基本倾向”，这些基本倾向都是（）工程师在攻击中所依赖的（有意思或者无意识的）。A.攻 击者；心理操纵；思维；心理操纵；思维；社会工程学B.攻击者；心理操纵：心理操纵；社会工程学C.心理操纵；攻击者；思维；心理操纵；社会工程学D.心理操纵；思维；心 理操纵；攻击者；社会工程学1.1 ITIL它包含5个生命周期，分别是（）、（）、（）、。、（）.A

17、.战略阶段；设计阶段；转换阶段；运营阶段；改进阶段B.设计阶段；战略 阶段；转换阶段；运营阶段；改进阶段C.战略阶段；设计阶段；运营阶段；转 换阶段；改进阶段D.转换阶段；战略阶段；设计阶段；运营阶段；改进阶段.某公司正在进行IT系统灾难恢复测试，下列问题中哪个最应该引起关注（）A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余 时间里陆续单独测试B.在测试的过程中，有些备份系统有缺陷或者不能正常工 作，从而导致这些系统的测试失败C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间 D.每年都是由相同的员工执行此测试-由于所有的参与者都很熟悉每一个恢复 步

18、骤，因而没有使用灾难恢复计划（DRP）文档55 .COBIT（信息和相关技术的控制目标）是国际专业协会ISACA为信息技术（IT） 管理和IT治理创建的良好实践框架。COBIT提供了一套可实施的“信息技术控 制”并围绕IT相关流程和推动因素的逻辑框架进行组织。COBIT模型按照流程, 请问，COBIT组件包括（）、（）、（）、（）、（）等部分。A.流程描述、框架、控制目标、管理指南、成熟度模型B.框架、流程描述、管理目标、控制目标、成熟度模型C.框架、流程描述、控制目标、管理指南、成熟度模型框架、管理指南、流程 描述、控制目标、成熟度模型.关于软件安全问题，下面描述错误的是（）A.软件的安全问

19、题可以造成软件运行不稳定，得不到正确结果甚至崩溃B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段 措施解决C.软件的安全问题可能被攻击者利用后影响人身健康安全D.软件的安全问题是由程序开发者遗留的，和软件部署运行环境无关.以下哪项是国家信息化领导小组关于加强信息安全保障工作的意见的总 体方针和要求？ A.坚持积极攻击、综合防范的方针B.全面提高信息安全防护能力C.重点保隙电信基础信息网络和重要信息系统安全D.创建安全健康的网络环境，保障和促进工业化发展，保护公众利益，维护国家 安全59.随着计算机和网络技术的迅速发展，人们对网络的依赖性达到了前所未有的 程度，网络安全也

20、面临着越来越严峻的考验。如何保障网络安全就显得非常重 要，而网络安全评估是保证网络安全的重要环节。以下不属于网络安全评估内 容的是（）A.数据加密B.漏洞检测C.风险评估D.安全审计60.2006年5月8日电，中共中央办公厅、国务院办公厅印发了2006-2020年 国家信息化发展战略。全文分（）部分共计约15000余字。对国内外的信息化 发展做了宏观分析，对我国信息化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详尽描述。 该战略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制 定并实施了（），初步建立了信息安全管理体制和（）。基础信息网络和重要

21、信 息系统的安全防护水平明显提高，互联网信息安全管理进一步加强。A.5个；信息化；基本形势；国家安全战略；工作机制6个；信息化；基本形势；国家信息安全战略；工作机制B. 7个；信息化；基本形势；国家安全战略；工作机制8个；信息化；基本形势；国家信息安全战略；工作机制61.张主任的计算机使用Windows7操作系统，他常登陆的用户名为zhang,张主 任给他个人文件夹设置了权限为只有zhang这个用户有权访问这个目录，管理 员在某次维护中无意将zhang这个用户删除了，随后又重新建了一个用户名为 zhang,张主任使用zhang这个用户登陆系统后，发现无法访问他原来的个人文 件夹，原因是（）A.

22、任何一个新建用户都需要经过授权才能访问系统中的文件B.windows不认为新建立用户zhang与原来的用户zhang同一个用户，因此无 权访问C.用户被删除后，该用户创建的文件夹也会自动删除，新建用户找不到原来用户 的文件夹，因此无法访问D.新建的用户zhang会继承原来用户的权限，之所 以无权访问时因为文件夹经过了加密62.IS02007： 2013信息技术-安全技术-信息安全管理体系-要求为在组织内为 建立、实施、保持和不断改进（）制定了要求。IS027001标准的前身为（）的 BS7799标准，该标准于1993年由（）立项，于1995年英国首次出版BS7799-1： 1995信息安全管理

23、实施细则，它提供了一套综合的、由信息安全最佳惯例组 成的（），其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一 （）,并且适用大、中、小组织。A. ISMS;德国；德国贸易工业部；实施规则；参考基准B. ISMS；法国；法国 贸易工业部；实施规则；参考基准C. ISMS；英国；英国贸易工业部；实施规则； 参考基准D. ISMS；德国；德国贸易工业部；参考基准；实施规则.终端访问控制器访问控制系统（Terminal Access Controller Access-Control SystemJACACS）由RFC1492定义，标准的TACACS协议只认证用户是否可以登 录系统，目前

24、已经很少使用，TACACS+协议由Cisco公司提出，主要应用于Ciso 公司的产品中，运行与TCP协议之上。TACACS+协议分为（）两个不同的过程A.认 证和授权 B.加密和认证C.数字签名和认证D.访问控制和加密.网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力 的基础上，针对可能发生的重大网络与信息系统突发事件，预先制定的行动计 划或应急对策。应急预案的实施需要各子系统的相互配合与协调，下面应急响 应工作流程图中，空白方框中从右到左依次填入的是（）。A.应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日 常运行小组B.应急响应专家小组、应急响应实施小

25、组、应急响应技术保障小组、应急响应日 常运行小组C.应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日 常运行小组D.应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响 应实施小组65.随着计算机在商业和民用领域的应用，安全需求变得越来越多样化，自主访 问控制和强制访问控制难以适应需求，基于角色的访问控制（RBAC）逐渐成为 安全领域的一个研究热点。RBAC模型可以分为RBACO、RBAC1、RBAC2和RBAC3 四种类型，它们之间存在相互包含关系。下列选项中，对它们关系描述错误的是（）o A. RBACO 是基于模型，RBAC1、RBAC2 和 RBAC

26、3 都包含 RBAC0B. RBAC1在RBAC0的基础上，加入了角色等级的概念C. RBAC2在RBAC1的 基础上，加入了约束的概念D. RBAC3结合RBAC1和RBAC2,同时具备角色等 级和约束66 .安全漏洞扫描技术是一类重要的网络安全技术。当前，网络安全漏洞扫描技 术的两大核心技术是（）。A. PING扫描技术和端口扫描技术B.端口扫描技术和漏洞扫描技术C.操作系统探测和漏洞扫描技术D.PING扫 描技术和操作系统探测67 .下列选项中对信息系统审计概念的描述中不正确的是（）A.信息系统审计， 也可称作IT审计或信息系统控制审计B.信息系统审计是一个获取并评价证据的过程，审计对象

27、是信息系统相关控制, 审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的 真实性、完整性等相关属性C.信息系统审计师单一的概念，是对会计信息系统的安全性、有效性进行检查 D.从信息系统审计内容上看，可以将信息系统审计分为不同专项审计，例如安全 审计、项目合规审计、绩效审计等.甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况, 甲公司将这个任务委托了乙公司，那么乙公司的设计员应该了解OSI参考模型 中的哪一层（）A.数据链路层B.会话层C.物理层D.传输层.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取提出对加密机和红黑电源插座应该与涉密

28、信息系统同步投入使用5.关于计算机取征描述不正确的是（）A.计算机取证是使用先进的技术和工具，按照标准规程全面的检查计算机系统以 提取和保护有关计算机犯罪的相关证据的活动B.取证的目的包括通过证据，查找肇事者，通过证据推断犯罪过程，通过证据判 断受害者损失程度及涉及证据提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料 及物品，对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护 D.计算机取证的过程，可以分为准备，保护，提取，分析和提交五个步骤.（）第23条规定存储、处理国家机秘密的计算机信息系统（以下简称涉密 信息系统），按照（）实行分级保护，（）应

29、当按照国家保密标准配备保密设施、 设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。 涉密信息系统应当按照规定，经（）后方可投入使用。A.保密法；涉密程度；涉密信息系统；保密设施；检查合格B.国家保密法； 涉密程度；涉密系统；保密设施；检查合格C.网络保密法；涉密程度；涉密 系统；保密设施：检查合格D.安全保密法；涉密程度，涉密信息系统；保密设施；检查合格6 .Linux系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程 登录安全、用户鉴别安全、审计策略、保护root账户、使用网络防火墙和文件 权限操作共10个方面来完成。小张在学习了 Linux系统安全的相

30、关知识后， 尝试为自己计算机上的Linux系统进行安全配置。下列选项是他的部分操作， 其中不合理的是（）。A.编辑文件/etc/passwd,检查文件中用户ID,禁用所有ID=0的用户.编辑文件/etc/ssh/sshd _config,将 Permit RootLogin 设置为 noC.编 辑 文 件 /etc/pam.d/systemauth , 设 置 auth required pam tally, so onerr=fail deny=6 unlock_time-300的防范措施，既包括预防性措施，也包括事件发生后的应对措施。应急响应方法 和过程并不偶是唯一的，在下面的应急响应管理

31、流程中，空白方框处填写正确 的是选项是()培训阶段 B.文档阶段C.报告阶段D.检测阶段.下面哪一项情景属于身份鉴别(Authentication)过程？ ()A.用户依照系 统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档进行加密，以阻止其他人得 到这份拷贝后到文档中的内容C.用户使用加密软件对自己家编写的Office文 档进行加密，以阻止其他人得到这份拷贝后到文档中的内容D.某个人尝试登陆 到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登 陆过程记录在系统日志中.终端访问控制器访问控制系统(TERMINAL Access Controller

32、 Access-Control System,TACACS),在认证过程中，客户机发送一个START包给服务器，包的内容 包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一 个，序列号永远为().服务器收到START包以后，回送一个REPLY包，表示认 证继续还是结束。A. 0 B.l C.2 D.4.为了开发高质量的软件，软件效率成为最受关注的话题。那么开发效率主要 取决于以下两点：开发新功能是否迅速以及修复缺陷是否及时。为了提高软件 测试的效率，应()。A.随机地选取测试数据B.取一切可能的输入数据为测试数据C.在完成编码以后制定软件的测试计划D.选择发现错误可能性

33、最大的数据作为测试用例.以下哪个组织所属的行业的信息系统不属于关键信息基础设施？ A.人民解 放军战略支援部队B.中国移动吉林公司C.重庆市公安局消防总队D.上海市卫生与计划生育委员会.目前应用面临的威胁越来越多，越来越难发现。对应用系统潜在的威胁目前 还没有统一的分类，但小赵认为同事小李从对应用系统的攻击手段角度出发所 列出的四项例子中有一项不对，请问是下面哪一项（）A.数据访问权限B.伪造 身份 C.钓鱼攻击D.远程渗透74 .与PDR模型相比，P2DR模型则更强调（），即强调系统安全的（），并且以 安全检测、（）和自适应填充“安全间隙”为循环来提高（）。A.漏洞监测；控制和对抗；动态性；

34、网络安全B.动态性；控制和对抗；漏洞 监测；网络安全C.控制和对抗；漏洞监测；动态性；网络安全D.控制和对抗； 动态性；漏洞监测；网络安全.某单位在进行内部安全评估时，安全员小张使用了单位采购的漏洞扫描软件 进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在 明显的安全漏洞，然而此报告在内部审计时被质疑，原因在于小张使用的漏洞 扫描软件采购于三年前，服务己经过期，漏洞库是半年前最后一次更新的。关于 内部审计人员对这份报告的说法正确的是（）A.内部审计人员的质疑是对的，由于没有更新漏洞库，因此这份漏洞扫描报告准 确性无法保证B.内部审计人员质疑是错的，漏洞扫描软件是正版采购，因

35、此扫 描结果是准确的C.内部审计人员的质疑是正确的，因为漏洞扫描报告是软件提供，没有经过人 为分析，因此结论不会准确D.内部审计人员的质疑是错误的，漏洞软件是由专 业的安全人员操作的，因此扫描结果是准确的75 .信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是 在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观 的评估。通过信息系统安全保障评估所搜集的()，向信息系统的所有相关方提 供信息系统的()能够实现其安全保障策略，能够将将其所面临的风险降低到其 可接受的程度的主观信心。信息系统安全保障评估的评估对象是(),信息系 统安全保障是一个动态持续的过程，涉及

36、信息系统整个()，因此信息系统安全 保障的评估也应该提供一种()的信心。A.安全保障工作；客观证据；信息系统；生命周期；动态持续B.客观证据；安全保障工作；信息系统；生命周期；动态持续C.客观证据；安全保障工作；生命周期；信息系统；动态持续D.客观证据；安全保障工作；动态持续；信息系统；生命周期78.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整 性保护，下列哪一项最好地描述了星或(完整性原则？()A. Bell-LaPadula模型中的不允许向下写B. Bell-LaPadula模型中的不允许向上 读C. Biba模型中的不允许向上写D. Biba模型中的不允许向下读.组

37、织应定期监控、审查、审计()服务，确保协议中的信息安全条款和条件 被遵守，信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配 给指定的个人或()团队。另外，组织应确保落实供应商 符合性审查和相关协 议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求 尤其是()要求的实现。当发现服务交付的不足时，宜采取().当供应商提供的服务， 包括对()方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其 对业务信息、系统、过程的重要性和重新评估风险的基础上管理。A.供应商；服务管理；信息安全；合适的措施；信息安全B.服务管理；供应 商；信息安全；合适的措施；信息安全C.供

38、应商；信息安全；服务管理；合适 的措施；信息安全D.供应商；合适的措施；服务管理；信息安全；信息安全.下列关于面向对象测试问题的说法中，不正确的是()A.在面向对象软件测试时，设计每个类的测试用例时，不仅仅要考虑用各个成员 方法的输入参数，还需要考虑如何设计调用的序列B.构造抽象类的驱动程序会比构造其他类的驱动程序复杂C.类B继承自类A,如对B进行了严格的测试，就意味着不需再对类A进行 测试D.在存在多态的情况下，为了达到较高的测试充分性，应对所有可能的绑定都进 行测试79 .火灾是机房日常运营中面临最多的安全威胁之一，火灾防护的工作是通过构 建火灾预防、检测和响应系统，保护信息化相关人员和信

39、息系统，将火灾导致的 影响降低到可接受的程度。下列选项中，对火灾的预防、检测和抑制的措施描述错误的选项是()。A.将机房单独设置防火区，选址时远离易燃易爆物品存放区域，机房外墙使用非 燃烧材料-，进出机房区域的门采用防火门或防火卷帘，机房通风管设防火栓 B.火灾探测器的具体实现方式包括；烟雾检测、温度检测、火焰检测、可燃气体 检测及多种检测复合等C.自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器，只要有一个 探测器报警，就立即启动灭火工作D.前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等.信息安全管理体系也采用了 ()模型，该模型可应用于所有的()。ISMS把 相关方

40、的信息安全要求和期望作为输入，并通过必要的()，产生满足这些要求和 期望的()。A.ISMS： PDCA过程;行动和过程;信息安全结果B.PDCAJSMS过程；行动和过 程；信息安全结果C.ISMS;PDCA过程；信息安全结果;行动和过程D.PDCAJSMS 过程；信息安全结果；行动和过程.你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给 出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行()A.由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有 的服务器和客户端尽快安装补丁B.本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所

41、以可以先不做处理C.对于重要的服务，应在测试环境中安装并确认补丁兼容性 问题后再在正式生产环境中部署D.对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计 算机由于没有重要数据，由终端自行升级.小王学习了灾备备份的有关知识，了解到常用的数据备份方式包括完全备份、 增量备份、差量备份，为了巩固所学知识，小王对这三种备份方式进行对比，其 中在数据恢复速度方面三种备份方式由快到慢的顺序是()A.完全备份、增量备份、差量备份B.完全备份、差量备份、增量备份C.增量 备份、差量备份、完全备份D.差量备份、增量备份、完全备份.在网络交易发达的今天，贸易双方可以通过签署电子合同来保障自己的合

42、法 权益。某中心推出电子签名服务，按照如图方式提供电子签名，不属于电子签 名的基本特性的是()。A.不可伪造性B.不可否认性C.保证消息完整性D.机密性.风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文 档，其中，明确评估的目的、职责、过程、相关的文档要求，以及实施本次评 估所需要的各种资产、威胁,、脆弱性识别和判断依据的文档是()A风险评估方案B.风险评估程序C资产识别清单D.风险评估报告.等级保护实施根据GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南分为五大阶段；()、总体规划、设计实施、()和系统终止。但由于在开展等级保护试点工作时， 大量信息系

43、统已经建设完成，因此根据实际情况逐步形成了（）、备案、差距分 析（也叫差距测评）、建设整改、验收测评、定期复查为流程的（）工作流程。 和等级保护实施指南中规定的针对（）的五大阶段略有差异。A.运行维护；定级；定级；等级保护；信息系统生命周期B.定级；运行维护； 定级；等级保护；信息系统生命周期C.定级运行维护；等级保护；定级；信息 系统生命周期D.定级；信息系统生命周期；运行维护；定级；等级保护.保护-检测-响应（Protection-Detection-Response,PDR）模型是（）工作中常用 的模型，七思想是承认O中漏洞的存在，正视系统面临的（），通过采取适度防护、加强（）、落实对

44、安全事件的响应、建立对威胁的防护来保障系统的安全。A.信息系统；信息安全保障；威胁；检测工作B.信息安全保障；信息系统；检测工作；威胁；检测工作C.信息安全保障；信 息系统；威胁；检测工作D.信息安全保障；威胁；信息系统；检测工作89.在极限测试过程中，贯穿始终的是（）A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收测试D.集成测试和系统测试90.美国系统工程专家霍尔（A.D.Hall）在1969年利用机构分析法提出著名的霍 尔三维结构，使系统工程的工作阶段和步骤更为清晰明了，如图所示，霍尔三维 结构是将系统工程整个活动过程分为前后紧密衔接的（）阶段和（）步骤，同 时还考虑了为完

45、全这些阶段和步骤所需要的各种（）o这样，就形成了由（）、（）、 和知识维所组成的三维空间结构。A.五个；七个；专业知识和技能；时间维；逻辑维B.七个；七个；专业知识和技能；时间维；逻辑维C.七个；六个；专业知识和技能；时间维；逻辑维D.七个；六个；专业知识和技能；时间维；空间维91 .社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它 不能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、 协议等技术体系缺陷的（），随着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社 会工程学利用的是人性的“弱点”，而人性是（），这使得它

46、几乎是永远有效的 （）oA.网络安全；心理学；攻击方式；永恒存在的；攻击方式B.网络安全；攻击 方式；心理学；永恒存在的；攻击方式C.网络安全；心理学；永恒存在的；攻 击方式D.网络安全；攻击方式；心理学；攻击方式；永恒存在的92 .系统安全工程能力成熟度模型评估方法（SSAM, SSE-CMM Appraisal Method） 是专门基于SSE-CMM的评估方法。它包含对系统安全工程-能力成熟度模型中 定义的组织的（）流程能力和成熟度进行评估所需的（）。SSAM评估过程分为 四个阶段，（）、（）、（）、（）。A.信息和方向；系统安全工程；规划；准备；现场；报告B.信息和方向；系统 工程；规

47、划；准备；现场；报告C.系统安全工程；信息；规划；准备；现场；报告D.系统安全工程；信息和方向；规划；准备；现场；报告.当使用移动设备时，应特别注意确保（）不外泄。移动设备方针应考虑与非保护 环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区 域使用移动计算设施时，要加以小心。应采取保护措施以避免通过这些设备存 储和处理的信息未授权的访问或泄露，如使用（）、强制使用秘钥身份验证信息。 要对移动计算设施进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其 他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的 被窃或丢失等情况建立一个符号法律、保险和组织的其他安全

48、要求的（）。携带 重要、敏感和或关键业务信息的设备不宜无人值守，若有可能，要以物理的方式 锁起来，或使用（）来保护设备。对于使用移动计算设施的人员要安排培训， 以提高他们对这种工作方式导致的附加风险的意识，并且要实施控制措施。A.加密技术；业务信息；特定规程；专用锁B.业务信息；特定规程；加密技 术；专用锁C.业务信息；加密技术；特定规程；专用锁D.业务信息；专用锁； 加密技术；特定规程.在规定的时间间隔或重大变化发生时，组织的额（）和实施方法（如信息安 全的控制目标、控制措施、方针、过程和规程）应（）。独立评审宜由管理者启 动，由独立被评审范围的人员执行，例如内部审核部、独立的管理人员或专门

49、 进行这种评审的第三方组织。从事这些评审的人员宜具备适当的（）。管理人员 宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安 全要求进行（）。为了日常功评审的效率，可以考虑使用自动测量和（）。评审 结果和管理人员采取的纠正措施宜被记录，且这些记录宜予以维护。A.信息安全管理；独立审查；报告工具；技能和经验；定期评审B.信息安全管理； 技能和经验；独立审查；定期评审；报告工具C.独立审查；信息安全管理；技 能和经验；定期评审；报告工具D.信息安全管理；独立审查；技能和经验； 定期评审；报告工具.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在 重要的位置，信息资产的