1. 美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用设施、设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国强调重点保障这些基础设施信息安全,其主要原因不包括 :
a、这些行业都关系到国计民生,对经济运行和影响深远 b、这些行业都是信息化应用广泛的领域
c、这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出 d、这些行业发生信息安全事件,会造成广泛而严重的损失 最佳答案是:c
2. 关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:
a、2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构
b、2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略
c、2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得成功 d、2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐 最佳答案是:c
3. 依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:
a、信息系统安全保障目的 的和环境安全保障目的
d、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 最佳答案是:d
b、环境安全保障目的 c、信息系统安全保障目
4. 以下哪一项是数据完整性得到保护的例子?
a、A.某网站在访问量突然增加时对用户连接数量进行了,保证己登录的用户可以完成操作 b、在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余额进行了冲正操作 c、某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 d、李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 最佳答案是:b
5. 公司甲做了很多网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的:
a、乙对信息安全不重视,低估了黑客能力,不舍得花钱
b、甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费 c、甲未充分考虑网游网站的业务与网站业务的区别
d、乙要综合考虑业务.合规性和风险,与甲共同确定网站安全需求 最佳答案是:a
6. 进入21世纪以来,信息安全成为世界各全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:
a、与、社会稳定和民生密切相关的关键基础设施是各全保障的重点
b、美国尚未设立级的专门机构处理网络信息安全问题,信息安全管理职能由不同部门的多个机构共同承担
c、各国普遍重视信息安全事件的应急响应和处理
d、在网络安全战略中,各国均强调加强管理力度,充分利用社会资源,发挥与企业之间的合作关系 最佳答案是:b
7. 与PDR模型相比,P2DR模型多了哪一个环节?
a、A.防护 最佳答案是:d
b、检测 c、反应 d、策略
8. 以下关于项目的含义,理解错误的是:
a、项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。
b、项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。 c、项目资源指完成项目所需要的人、财、物等。
d、项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。 最佳答案是:b
9. IS审计师复核IT功能外包合同时,应当期望它定义:
a、 硬件设置 发方 最佳答案是:c
b、 访问控制软件 c、 知识产权 d、 应用开
10. 下列对于信息安全保障深度防御模型的说法错误的是:
a、A.信息安全外部环境:信息安全保障是组织机构安全,的一个总要组成部分,因此对信息安全的讨论必须放在国家.法律法规和标准的外部环境制约下
b、信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统
c、信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分
d、信息安全技术方案:“从外而内,自下而上,形成边界到端的防护能力” 最佳答案是:d
11. 如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:
a、个人网银系统和用户之间的双向鉴别 b、由可信第三方完成的用户身份鉴别 c、个人网银系统对用户身份的单向鉴别 d、用户对个人网银系统合法性的单向鉴别 最佳答案是:c
12. 对于抽样而言,以下哪项是正确的?
a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低
c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b
13. 下列哪一种方法属于基于实体“所有”鉴别方法:
a、A.用户通过自己设置的口令登录系统,完成身份鉴别
b、用户使用个人指纹,通过指纹识别系统的身份鉴别
c、用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别 d、用户使用集成电路卡(如智能卡)完成身份鉴别 最佳答案是:d
14. 为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?
a、实体“所知”以及实体“所有”的鉴别方法 b、实体“所有”以及实体“特征”的鉴别方法 c、实体“所知”以及实体“特征”的鉴别方法 d、实体“所有”以及实体“行为”的鉴别方法 最佳答案是:a
15. 某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
a、A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞 b、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 c、渗透测试使用人工进行测试,不依赖软件,因此测试更准确 d、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 最佳答案是:a
16. 软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?
a、A.告诉用户需要收集什么数据及搜集到的数据会如何被使用 b、当用户的数据由于某种原因要被使用时,给用户选择是否允许 c、用户提交的用户名和密码属于稳私数据,其它都不是 d、确保数据的使用符合国家.地方.行业的相关法律法规 最佳答案是:c
17. 风险分析的关键要素是:
a、审计计划 最佳答案是:c
b、控制 c、脆弱点 d、责任
18. 以下哪一项不是工作在网络第二层的隧道协议?
a、VTP
b、L2F
c、PPTP
d、L2TP
最佳答案是:a
19.
如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是:
a、访问控制表(ACL) 前缀表(Profiles) 最佳答案是:c
b、访问控制矩阵 c、能力表(CL) d、
20. 以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是:
a、当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
b、业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色 c、通过角色,可实现对信息资源访问的控制 d、RBAC模型不能实现多级安全中的访问控制 最佳答案是:d
21. 下面哪一项不是VPN协议标准:
a、L2TP 最佳答案是:c
b、IPSec c、TACACS+ d、PPTP
22. 下列对于网络认证协议(Kerberos)描述正确的是:
a、该协议使用非对称密钥加密机制
b、密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成 c、该协议完成身份鉴别后将获取用户票据许可票据 d、使用该协议不需要时钟基本同步的环境 最佳答案是:c
23. 鉴别的基本途径有三种:所知.所有和个人特征,以下哪一项不是基于你所知道的:
a、口令 最佳答案是:b
b、令牌 c、知识 d、密码
24. 在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
a、A.加密 最佳答案是:b
b、数字签名 c、访问控制 d、路由控制
25. 某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
a、选购当前技术最先进的防火墙即可 b、选购任意一款品牌防火墙
c、任意选购一款价格合适的防火墙产品 d、选购一款同已有安全产品联动的防火墙 最佳答案是:d
26. 在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层次提供保密性、身份鉴别、数据完整性服务?
a、A.网络层 最佳答案是:b
b、表示层 c、会话层 d、物理层
27. 在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证:
a、保护硬件设备免受浪涌损害
b、如果主电力被中断,系统的完整性也可以得到维护 c、如果主电力被中断,可以提供即时的电力供应 d、保护硬件设备不受长期电力波动的影响 最佳答案是:a
28. 以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是:
a、A.在传送模式中,保护的是IP负载
b、验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsulating Security Payload,ESP)都能以传输模式和隧道模式工作
c、在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头 d、IPsec仅能保证传输数据的可认证性和保密性 最佳答案是:d
29. 某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
a、网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
b、网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
c、网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改 d、网站使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息 最佳答案是:d
30. 为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查:
a、 业务软件 发工具 最佳答案是:c
b、 系统平台工具 c、 应用服务 d、 系统开
31. 入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点?
a、A.串接到网络线路中 c、有可能造成单点故障 最佳答案是:d
b、对异常的进出流量可以直接进行阻断 d、不会影响网络性能
32. 相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?
a、NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作
b、NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限 c、对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率
d、相比FAT文件系统,NTFS文件系统能有效的兼容Linux下EXT2文件格式 最佳答案是:d
33. 某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
a、A.在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
b、严格设置Web日志权限,只有系统权限才能进行读和写等操作
c、对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等 d、使用的分区用于存储日志,并且保留足够大的日志空间 最佳答案是:a
34. 关于Linux下的用户和组,以下描述不正确的是_________。
a、在Linux中,每一个文件和程序都归属于一个特定的“用户” b、系统中的每一个用户都必须至少属于一个用户组
c、用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组 d、root是系统的超级用户,无论是否是文件和程序的所有者都具有访问权限 最佳答案是:c
35. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
c、操作系统上部署防病毒软件,以对抗病毒的威胁
d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 最佳答案是:b
36. 在数据库安全性控制中,授权的数据对象_______,授权子系统就越灵活?
a、A.粒度越小 大 最佳答案是:a
b、约束越细致 c、范围越大 d、约束范围
37. 下列哪一些对信息安全漏洞的描述是错误的?
a、漏洞是存在于信息系统的某种缺陷
b、漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)
c、具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失
d、漏洞都是人为故意引入的一种信息系统的弱点 最佳答案是:d
38. 账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
a、A.分布式拒绝服务攻击(DDoS) b、病毒传染 最佳答案是:c
c、口令暴力破解 d、缓冲区溢出攻击
39. 数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:
a、A.传输层、网络接口层、互联网络层 b、传输层、互联网络层、网络接口层
c、互联网络层、传输层、网络接口层 d、互联网络层、网络接口层、传输层 最佳答案是:b
40. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
a、ARP协议是一个无状态的协议
b、为提高效率,ARP信息在系统中会缓存 c、ARP缓存是动态的,可被改写 d、ARP协议是用于寻址的一个重要协议 最佳答案是:d
41. 张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?
a、口令攻击 攻击 最佳答案是:d
b、暴力破解 c、拒绝服务攻击 d、社会工程学
42. 关于软件安全开发生命周期(SDL),下面说法错误的是:
a、在软件开发的各个周期都要考虑安全因素
b、软件安全开发生命周期要综合采用技术.管理和工程等手段
c、测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
d、在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本 最佳答案是:c
43. 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:
a、A.治理,主要是管理软件开发的过程和活动
b、构造,主要是在开发项目中确定目标并开发软件的过程与活动 c、验证,主要是测试和验证软件的过程与活动
d、购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 最佳答案是:d
44. 从系统工程的角度来处理信息安全问题,以下说法错误的是:
a、系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
b、系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
c、系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
d、系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。 最佳答案是:c
45. 信息系统审计师需要对组织项目投资组合检查的主要考虑是:
a、 IT预算 划 最佳答案是:c
b、 已有IT环境 c、 业务规划 d、 投资规
46. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
a、A.BP是基于最新技术而制定的安全参数基本配置 b、大部分BP是没有经过测试的
c、一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段 d、一项BP可以和其他BP有重叠 最佳答案是:c
47. 以下哪一种判断信息系统是否安全的方式是最合理的?
a、A.是否已经通过部署安全控制措施消灭了风险 b、是否可以抵抗大部分风险
c、是否建立了具有自适应能力的信息安全模型 d、是否已经将风险控制在可接受的范围内 最佳答案是:d
48. 以下关于信息安全法治建设的意义,说法错误的是:
a、A.信息安全法律环境是信息安全保障体系中的必要环节
b、明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动 c、信息安全主要是技术问题,技术漏洞是信息犯罪的根源
d、信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系 最佳答案是:c
49. 小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少:
a、24万 最佳答案是:d
b、0.09万 c、37.5万 d、9万
50. 2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:
a、A.电子签名——是指数据电文中以电子形式所含.所附用于识别签名人身份并表明签名人认可其中内容的数据
b、电子签名适用于民事活动中的合同或者其他文件.单证等文书
c、电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务 d、电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有 最佳答案是:d
51. 风险管理的监控与审查不包含:
a、A.过程质量管理
b、成本效益管理
c、跟踪系统自身或所处环境的变化
d、协调内外部组织机构风险管理活动 最佳答案是:d
52. 信息安全等级保护分级要求,第三级适用正确的是:
a、适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害、社会秩序、经济建设和公共利益
b、适用于一定程度上涉及、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对、社会秩序、经济建设和公共利益造成一定损害
c、适用于涉及、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对、社会秩序、经济建设和公共利益造成较大损害
d、适用于涉及、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对、社会秩序,经济建设和公共利益造成特别严重损害 最佳答案是:b
53. 下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:
a、A.设置网络连接时限
b、记录并分析系统错误日志
c、记录并分析用户和管理员操作日志 d、启用时钟同步 最佳答案是:a
54. 有关危害国家秘密安全的行为的法律责任,正确的是:
a、严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任 b、非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
c、过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任 d、承担了刑事责任,无需再承担行政责任或其他处分 最佳答案是:a
55. 以下对于信息安全事件理解错误的是:
a、信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
b、对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
c、应急响应是信息安全事件管理的重要内容
d、通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生 最佳答案是:d
56. 假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备
a、是多余的,因为它们完成了同样的功能,但要求更多的开销 b、是必须的,可以为预防控制的功效提供检测 c、是可选的,可以实现深度防御
d、在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够
最佳答案是:b
57. 关于我国加强信息安全保障工作的总体要求,以下说法错误的是:
a、A.坚持积极防御.综合防范的方针
b、重点保障基础信息网络和重要信息系统安全 c、创建安全健康的网络环境 d、提高个人隐私保护意识 最佳答案是:d
58. 以下哪一项不是信息安全管理工作必须遵循的原则?
a、A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 最佳答案是:c
59. 《信息安全技术 信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:
a、规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。 b、设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。 c、实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。
d、运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。 最佳答案是:d
60. 对信息安全风险评估要素理解正确的是:
a、A.资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
b、应针对构成信息系统的每个资产做风险评价
c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a
61. 以下哪些是需要在信息安全策略中进行描述的:
a、A.组织信息系统安全架构 b、信息安全工作的基本原则 c、组织信息安全技术参数 最佳答案是:b
d、组织信息安全实施手段
62. 根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:
a、信息安全风险评估分自评估.检查评估两形式。应以检查评估为主,自评估和检查评估相互结合.互为补充
b、信息安全风险评估工作要按照“严密组织.规范操作.讲求科学.注重实效”的原则开展 c、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程 d、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导 最佳答案是:a
63. RFC系列标准是由( )发布的:
a、国际标准化组织(ISO) (ITC) 最佳答案是:d
b、国际电工委员会(IEC) c、国际贸易中心
d、互联网工程任务组IETF
. 对于数字证书而言,一般采用的是哪个标准?
a、ISO/IEC 15408 最佳答案是:d
b、802.11 c、GB/T 20984 d、X.509
65. 下面的角色对应的信息安全职责不合理的是:
a、高级管理层——最终责任
b、信息安全部门主管——提供各种信息安全工作必须的资源 c、系统的普通使用者——遵守日常操作规范 d、审计人员——检查安全策略是否被遵从 最佳答案是:b
66. CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?
a、结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
b、表达方式的通用性,即给出通用的表达方式 c、性,它强调将安全的功能和保证分离
d、实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中 最佳答案是:d
67. 自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
a、全国通信标准化技术委员会(TC485) b、全国信息安全标准化技术委员会(TC260) c、中国通信标准化协会(CCSA) d、网络与信息安全技术工作委员会 最佳答案是:b
68.
风险计算原理可以用下面的范式形式化地加以说明: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) 以下关于上式各项说明错误的是:
a、A.R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性 b、L表示威胁利资产脆弱性导致安全事件的可能性 c、F表示安全事件发生后造成的损失
d、Ia,Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度 最佳答案是:d
69. 为了不断完善一个组织的信息安全管理,应对组织的信息安全管理方法及实施情况进行评审,这种评审_______。
a、必须按固定的时间间隔来进行 b、应当由信息系统的运行维护人员发起
c、可以由内部审核部门或专业的第三方机构来实施
d、结束后,评审者应组织针对不符合安全策略的问题设计和实施纠正措施 最佳答案是:c
70. 以下哪一项在防止数据介质被滥用时是不推荐使用的方法:
a、禁用主机的CD驱动、USB接口等I/O设备 b、对不再使用的硬盘进行严格的数据清除 c、将不再使用的纸质文件用碎纸机粉碎 d、用快速格式化删除存储介质中的保密文件 最佳答案是:d
71. 在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:
a、A.测试系统应使用不低于生产系统的访问控制措施 b、为测试系统中的数据部署完善的备份与恢复措施 c、在测试完成后立即清除测试系统中的所有敏感数据 d、部署审计措施,记录生产数据的拷贝和使用 最佳答案是:b
72. 为了保护系统日志可靠有效,以下哪一项不是日志必需具备的特征:
a、A.统一而精确的时间 和访问活动等重要信息
d、可以让系统的所有用户方便的读取 最佳答案是:d
b、全面覆盖系统资产 c、包括访问源、访问日志
73. 关于信息安全事件管理和应急响应,以下说法错误的是:
a、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
b、应急响应方法,将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段 c、对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素 d、根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级).重
大事件(Ⅱ级).较大事件(Ⅲ级)和一般事件(Ⅳ级) 最佳答案是:b
74.
以下哪一项不属于信息安全工程监理模型的组成部分:
a、A.监理咨询支撑要素 程
b、B.控制和管理手段 c、C.监理咨询阶段过
d、D.监理组织安全实施
最佳答案是:d
75.
以下关于灾难恢复和数据备份的理解,说法正确的是:
a、A.增量备份是备份从上次完全备份后更新的全部数据文件 b、依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级 c、数据备份按数据类型划分可以划分为系统数据备份和用户数据备份 d、如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了 最佳答案是:c
76. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:
a、项目计划书 书 最佳答案是:d
b、质量控制计划 c、评审报告 d、需求说明
77. 在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
a、审核实施投资计划 员
b、审核实施进度计划 c、审核工程实施人
d、企业资质
最佳答案是:a
78. 以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是:
a、A.DAS能够在服务器物理位置比较分散的情况下实现大容量存储,是一种常用的数据存储方法 b、DAS实现了操作系统与数据的分离,存取性能较高并且实施简单
c、DAS的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取
d、较网络附加存储(Network Attached Storage,NAS),DAS节省硬盘空间,数据非常集中,便于对数据进行管理和备份 最佳答案是:d
79. 某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为了找到根本愿因,他应该首先检查:
a、灾难恢复站点的错误事件报告 b、灾难恢复测试计划 配置文件 最佳答案是:a
c、灾难恢复计划(DRP) d、主站点和灾难恢复站点的
80. 以下对异地备份中心的理解最准确的是:
a、A.与生产中心不在同一城市 b、与生产中心距离100公里以上 c、与生产中心距离200公里以上
d、与生产中心面临相同区域性风险的机率很小 最佳答案是:d
81.
作为业务持续性计划的一部分,在进行业务影响分析(BIT)时的步骤是: 1.标识关键的业务过程 2.开发恢复优先级 3.标识关键的IT资源
4.表示中断影响和允许的中断时间
a、A.1-3-4-2 2 最佳答案是:b
b、1-3-2-4 c、1-2-3-4 d、1-4-3-
82. 有关系统安全工程-能力成熟度模型(SSZ-CMM),错误的理解是:
a、SSE-CMM要求实施组织与其他组织相互作用,如开发方.产品供应商.集成商和咨询服务商等 b、SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目
c、基手SSE-CMM的工程是工程,与软件工程.硬件工程.通信工程等分别规划实施
d、SSE-CMM覆盖整个组织的活动,包括管理.组织和工程活动等,而不仅仅是系统安全的工程活动 最佳答案是:c
83. 下面关于信息系统安全保障的说法不正确的是:
a、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关
b、信息系统安全保障要素包括信息的完整性.可用性和保密性 c、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障
d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命 最佳答案是:b
84. 在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
a、测量单位是基本实施(Base Practices,BP) b、测量单位是通用实施(Generic Practices,GP) c、测量单位是过程区域(Process Areas,PA) d、测量单位是公共特征(Common Features,CF) 最佳答案是:d
85. 下面关于信息系统安全保障模型的说法不正确的是:
a、国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
b、模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
c、信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 最佳答案是:d
86. 信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:
a、A.明确业务对信息安全的要求 b、识别来自法律法规的安全要求 c、论证安全要求是否正确完整
d、通过测试证明系统的功能和性能可以满足安全要求 最佳答案是:d
87. 关于信息安全保障技术框架(IATF),以下说法不正确的是:
a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本 b、IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
c、允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性 d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 最佳答案是:d
88. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?
a、A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
b、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品 c、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实 d、应详细规定系统验收测试中有关系统安全性测试的内容 最佳答案是:a
. 信息安全工程监理的职责包括:
a、质量控制.进度控制.成本控制.合同管理.信息管理和协调 b、质量控制.进度控制.成本控制.合同管理和协调
c、确定安全要求.认可设计方案.监视安全态势.建立保障证据和协调 d、确定安全要求.认可设计方案.监视安全态势和协调 最佳答案是:a
90. 关于信息安全保障的概念,下面说法错误的是:
a、A.信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念 b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段 c、在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
d、信息安全保障把信息安全从技术扩展到管理,通过技术.管理和工程等措施的综合融合,形成对信息.信息系统及业务使命的保障 最佳答案是:c
91. 关于监理过程中成本控制,下列说法中正确的是?
a、成本只要不超过预计的收益即可 b、成本应控制得越低越好
c、成本控制由承建单位实现,监理单位只能记录实际开销
d、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 最佳答案是:d
92. 关于我国加强信息安全保障工作的总体要求,以下说法错误的是:
a、A.坚持积极防御.综合防范的方针
b、重点保障基础信息网络和重要信息系统安全 c、创建安全健康的网络环境 d、提高个人隐私保护意识 最佳答案是:d
93. 有关危害国家秘密安全的行为,包括:
a、A.严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.
保密行政管理部门的工作人员的违法行为
b、严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
c、严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
d、严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为 最佳答案是:a
94. 下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通过的表达方式,描述不正确的是_______。
a、A.如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通。 b、通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
c、通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
d、通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估 最佳答案是:d
95. 信息系统建设完成后, ( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。
a、A.二级以上 最佳答案是:a
b、三级以上 c、四级以上 d、五级以上
96. 有关国家秘密,错误的是:
a、A.国家秘密是关系和利益的事项 b、国家秘密的确定没有正式的法定程序
c、除了明确规定需要长期保密的,其他的国家秘密都是有保密期限的 d、国家秘密只限一定范围的人知悉 最佳答案是:b
97. 在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?
a、A.C2 最佳答案是:d
b、C1 c、B2 d、B1
98. 对涉密系统进行安全保密测评应当依据以下哪个标准?
a、A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 b、BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
c、GB17859-1999《计算机信息系统安全保护等级划分准则》 d、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 最佳答案是:b
99. ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于____。
a、BS7799-1《信息安全实施细则》 b、BS7799-2《信息安全管理体系规范》 c、信息技术安全评估准则(简称ITSEC) d、信息技术安全评估通用标准(简称CC) 最佳答案是:b
100. 业务连续性计划使用下列哪种测试方法是合适的?
a、 试运行 b、 纸面 c、最佳答案是:b
单元 d、 系统
因篇幅问题不能全部显示,请点此查看更多更全内容