CISP測驗題

CISP模擬測驗二【CISE方向】
CISP考前模擬考試
1、為保障資訊系統的安全，某經營公眾服務的公司準備并編制一份針對性的資訊安全保障方案，并將編制任務交給了小王，為此，小王決定首先編制出一份資訊安全需求描述報告，關于此項作業，下面說法錯誤的是( )
A.資訊安全需求報告應依據該公眾服務資訊系統的功能設計方案為主要內容來撰寫
B．資訊安全需求描述報告是設計和撰寫資訊安全保障方案的前提和依據
C．資訊安全需求描述報告應當基于資訊安全風險評估結果和有關政法法規和標準的合規性要求撰寫D．資訊安全需求描述報告的主體內容可以按照技術方面需求.管理方面需求和工程方面需求等分類展開撰寫
2、軟體安全保障的思想是在軟體的全生命周期中貫徹風險管理的思想，在有限資源前提下實作軟體安全最優防護，避免防范不足帶來的直接損失，也需要關注過度防范造成的間接損失，在以下軟體安全開發策略中，不符合軟體安全保障思想的是：
A.在軟體立項時考慮到軟體安全相關費用，經費中預留了安全測驗.安全評審相關費用，確保安全經費得到落實
B．在軟體安全設計時，邀請軟體安全開發專家對軟體架構設計進行評審，及時發現架構設計中存在的安全不足
C．確保對軟編碼人員進行安全培訓，使開發人員了解安全編碼基本原則和方法，確保開發人員撰寫出安全的代碼
D．在軟體上線前對軟體進行全面安全性測驗，包括源代碼分析.模糊測驗.滲透測驗，未經以上測驗的軟體不允許上線運行
3、在使用系統安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時，正確的理解是：
A．測量單位是基本實施(Base Practices，BP)
B．測量單位是通用實施(Generic Practices，GP)
C．測量單位是程序區域(Process Areas，PA)
D．測量單位是公共特征(Common Features，CF)
4、下面關于資訊系統安全保障模型的說法不正確的是：
A．國家標準《資訊系統安全保障評估框架第一部分：簡介和一般模型》(GB／T 20274．1-2006) 中的資訊系統安全保障模型將風險和策略作為基礎和核心
B．模型中的資訊系統生命周期模型是抽象的概念性說明模型，在資訊系統安全保障具體操作時，可根據具體環境和要求進行改動和細化
C．資訊系統安全保障強調的是動態持續性的長效安全，而不僅是某時間點下的安全
D．資訊系統安全保障主要是確保資訊系統的保密性.完整性和可用性，單位對資訊系統運行維護和使用的人員在能力和培訓方面不需要投入
5、關于資訊安全保障技術框架(IATF)，以下說法不正確的是：
A.分層策略允許在適當的時候采用低安全級保障解決方案以便降低資訊安全保障的成本
B．IATF從人.技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個資訊基礎設施
C．允許在關鍵區域(例如區域邊界)使用高安全級保障解決方案，確保系統安全性
D．IATF深度防御戰略要求在網路體系結構的各個可能位置實作所有資訊安全保障機制
6、資訊安全保障技術框架(Information Assurance Technical Framework，IATF)由美國國家安全域(NSA)發布，最初目的是為保障美國政府和工業的資訊基礎設施安全提供技術指南，其中，提出需要防護的三類“焦點區域”是：
A．網路和基礎設施區域邊界重要服務器
B．網路和基礎設施區域邊界計算環境
C．網路機房環境 網路介面計算環境
D．網路機房環境 網路介面重要服務器
7、以下哪一項不是我國資訊安全保障的原則：
A．立足國情，以我為主，堅持以技術為主
B．正確處理安全與發展的關系，以安全保發展，在發展中求安全
C．統籌規劃，突出重點，強化基礎性作業
D．明確國家.企業.個人的責任和義務，充分發揮各方面的積極性，共同構筑國家資訊安全保障體系
8、我國資訊安全保障建設包括資訊安全組織與管理體制.基礎設施.技術體系等方面，以下關于資訊安全保障建設主要作業內容說法不正確的是：
A．健全國家資訊安全組織與管理體制機制，加強資訊安全作業的組織保障
B．建設資訊安全基礎設施，提供國家資訊安全保障能力支撐C．建立資訊安全技術體系，實作國家資訊化發展的自主創新D．建立資訊安全人才培養體系，加快資訊安全學科建設和資訊安全人才培養
A．確保采購定制的設備.軟體和其他系統組件滿足已定義的安全要求
B．確保整個系統已按照領導要求進行了部署和配置
C．確保系統使用人員已具備使用系統安全功能和安全特性的能力
D．確保資訊系統的使用已得到授權
10、資訊安全保障是網路時代各國維護國家安全和利益的首要任務，以下哪個國家最早將網路安全上長升為國家安全戰略，并制定相關戰略計劃，
A．中國B．俄羅斯C．美國D．英國
11、我國黨和政府一直重視資訊安全作業，我國資訊安全保障作業也取得了明顯成效，關于我國資訊安全實踐作業，下面說法錯誤的是( )
A．加強資訊安全標準化建設，成立了“全國資訊安全標準化技術委員會”制訂和發布了大批資訊安全技術，管理等方面的標準，B．重視資訊安全應急處理作業，確定由國家密碼管理局牽頭成立“國家網路應急中心”推動了應急處理和資訊通報技術合作作業進展，
C．推進資訊安全等級保護作業，研究制定了多個有關資訊安全等級保護的規范和標準，重點保障了關系國定安全，經濟命脈和社會穩定等方面重要資訊系統的安全性，
D．實施了資訊安全風險評估作業，探索了風險評估作業的基本規律和方法，檢驗并修改完善了有關標準，培養和鍛煉了人才隊伍，
12、為保障資訊系統的安全，某經營公眾服務系統的公司準備并編制一份針對性的資訊安全保障方案，并嚴格編制任務交給了小王，為此，小王決定首先編制出一份資訊安全需求描述報告，關于此項作業，下面說法錯誤的是( )
A．資訊安全需求是安全方案設計和安全措施實施的依據
B．資訊安全需求應當是從資訊系統所有者(用戶)的角度出發，使用規范化，結構化的語言來描述資訊系統安全保障需求
C．資訊安全需求應當基于資訊安全風險評估結果，業務需求和有關政策法規和標準的合規性要求得到
D．資訊安全需求來自于該公眾服務資訊系統的功能設計方案
13、下列我國哪一個政策性檔案明確了我國資訊安全保障作業的方針和總體要求以及加強資訊安全作業的主要原則？
A．《關于加強政府資訊系統安全和保密管理作業的通知》
B．《中華人民共和國計算機資訊系統安全保護條例 》
C．《國家資訊化領導小組關于加強資訊安全保障作業的意見》D．《關于開展資訊安全風險評估作業的意見》
14、以下關于軟體安全測驗說法正確的是？
A．軟體安全測驗就是黑盒測驗
B．Fuzz測驗是經常采用的安全測驗方法之一
C．軟體安全測驗關注的是軟體的功能
D．軟體安全測驗可以發現軟體中產生的所有安全問題
15、以下哪個屬性不會出現在防火墻的訪問控制策略配置中？
A.本局域網內地址
B．百度服務器地址
C．HTTP協議
D．病毒型別
16、對入侵檢測系統的測驗評估包括功能測驗和性能測驗，請指出下列哪項屬于性能測驗指標，
A.攻擊識別能力
B．自身抵抗攻擊能力
C．報警機制
D．IDS引擎的吞吐量
17、關于惡意代碼，以下說法錯誤的是：
A.從傳播范圍來看，惡意代碼呈現多平臺傳播的特征，
B．按照運行平臺，惡意代碼可以分為網路傳播型病毒.檔案傳播型病毒，
C．不感染的依附性惡意代碼無法單獨執行
D．為了對目標系統實施攻擊和破壞活動，傳播途徑是惡意代碼賴以生存和繁殖的基本條件
18、當前，應用軟體安全已經日益引起人們的重視，每年新發現的應用軟體漏洞已經占新發現漏洞總數一半以上，下列選項中，哪個與應用軟體漏洞成因無關：
A.傳統的軟體開發工程未能充分考慮安全因素
B．開發人員對資訊安全知識掌握不足
C．相比作業系統而言，應用軟體編碼所采用的高級語言更容易出現漏洞
D．應用軟體的功能越來越多，軟體越來越復雜，更容易出現漏洞
19、下面哪個模型和軟體安全開發無關( )？
A.微軟提出的“安全開發生命周期(Security Development Lifecycle,SDL)”
B．Gray McGraw等提出的“使安全成為軟體開發必須的部分(Building Security IN，BSI)”
C．OWASP維護的“軟體保證成熟度模型(Software Assurance Maturity Mode,SAMM)”
D．美國提出的“資訊安全保障技術框架(Information Assurance Technical Framework，IATF)”
20、某單位門戶網站開發完成后，測驗人員使用模糊測驗進行安全性測驗，以下關于模糊測驗程序的說法正確的是：
A.模擬正常用戶輸入行為，生成大量資料包作為測驗用例
B．資料處理點.資料通道的入口點和可信邊界點往往不是測驗物件
C．監測和記錄輸入資料后程式正常運行的情況
D．深入分析網站測驗程序中產生崩潰或例外的原因，必要時需要測驗人員手工重現并分析
21、以下關于模糊測驗程序的說法正確的是：
A.模糊測驗的效果與覆寫能力，與輸入樣本選擇不相關
B．為保障安全測驗的效果和自動化程序，關鍵是將發現的例外進行現場保護記錄，系統可能無法恢復例外狀態進行后續的測驗C．通過例外樣本重現例外，人工分析例外原因，判斷是否為潛在的安全漏洞，如果是安全漏洞，就需要進一步分析其危害性.影響范圍和修復建議
D．對于可能產生的大量例外報告，需要人工全部分析例外報告
22、以下關于Windows系統的賬號存盤管理機制SAM(Security Accounts Manager)的說法哪個是正確的：
A.存盤在注冊表中的賬號資料是管理員組用戶都可以訪問，具有較高的安全性
B．存盤在注冊表中的賬號資料只有administrator賬戶才有權訪問，具有較高的安全性
C．存盤在注冊表中的賬號資料任何用戶都可以直接訪問，靈活方便
D．存盤在注冊表中的賬號資料只有System賬戶才能訪問，具有較高的安全性
23、張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友昵稱，然后向該好友的其他好友發送一些欺騙訊息，該攻擊行為屬于以下哪類攻擊？
A.口令攻擊B．暴力破解C．拒絕服務攻擊D．社會工程學攻擊
24、公司甲做了很多政府網站安全專案，在為網游公司乙的網站設計安全保障方案時，借鑒以前專案經驗，為乙設計了多重資料加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網站性能，使用戶訪問量受限，雙方引起爭議，下面說法哪個是錯誤的：
A.乙對資訊安全不重視，低估了黑客能力，不舍得花錢
B．甲在需求分析階段沒有進行風險評估，所部署的加密針對性不足，造成浪費
C．甲未充分考慮網游網站的業務與政府網站業務的區別
D．乙要綜合考慮業務.合規性和風險，與甲共同確定網站安全需求
25、進入21世紀以來，資訊安全成為世界各國安全戰略關注的重點，紛紛制定并頒布網路空間安全戰略，但各國歷史.國情和文化不同，網路空間安全戰略的內容也各不相同，以下說法不正確的是：
A．與國家安全、社會穩定和民生密切相關的關鍵基礎設施是各國安全保障的重點
B．美國尚未設立中央政府級的專門機構處理網路資訊安全問題，資訊安全管理職能由不同政府部門的多個機構共同承擔
C．各國普遍重視資訊安全事件的應急回應和處理
D．在網路安全戰略中，各國均強調加強政府管理力度，充分利用社會資源，發揮政府與企業之間的合作關系
26、下列哪一種方法屬于基于物體“所有”鑒別方法：
A．用戶通過自己設定的口令登錄系統，完成身份鑒別
B．用戶使用個人指紋，通過指紋識別系統的身份鑒別
C．用戶利用和系統協商的秘密函式，對系統發送的挑戰進行正確應答，通過身份鑒別
D．用戶使用集成電路卡(如智能卡)完成身份鑒別

27、某單位開發了一個面向互聯網提供服務的應用網站，該單位委托軟體測評機構對軟體進行了源代碼分析.模糊測驗等軟體安全性測驗，在應用上線前，專案經理提出了還需要對應用網站進行一次滲透性測驗，作為安全主管，你需要提出滲透性測驗相比源代碼測驗.模糊測驗的優勢給領導做決策，以下哪條是滲透性測驗的優勢?
A．滲透測驗以攻擊者的思維模擬真實攻擊，能發現如配置錯誤等運行維護期產生的漏洞
B．滲透測驗是用軟體代替人工的一種測驗方法，因此測驗效率更高
C．滲透測驗使用人工進行測驗，不依賴軟體，因此測驗更準確D．滲透測驗中必須要查看軟體源代碼，因此測驗中發現的漏洞更多
28、軟體安全設計和開發中應考慮用戶穩私包，以下關于用戶隱私保護的說法哪個是錯誤的?
A．告訴用戶需要收集什么資料及搜集到的資料會如何被使用B．當用戶的資料由于某種原因要被使用時，給用戶選擇是否允許
C．用戶提交的用戶名和密碼屬于穩私資料，其它都不是
D．確保資料的使用符合國家.地方.行業的相關法律法規
29、以下場景描述了基于角色的訪問控制模型(Role-based Access Control．RBAC)：根據組織的業務要求或管理要求，在業務系統中設定若干崗位.職位或分工，管理員負責將權限(不同類別和級別的)分別賦予承擔不同作業職責的用戶，關于RBAC模型，下列說法錯誤的是：
A．當用戶請求訪問某資源時，如果其操作權限不在用戶當前被激活角色的授權范圍內，訪問請求將被拒絕
B．業務系統中的崗位.職位或者分工，可對應RBAC模型中的角色
C．通過角色，可實作對資訊資源訪問的控制
D．RBAC模型不能實作多級安全中的訪問控制
30、某公司已有漏洞掃描和入侵檢測系統(Intrusien Detection System，IDS)產品，需要購買防火墻，以下做法應當優先考慮的是：
A．選購當前技術最先進的防火墻即可
B．選購任意一款品牌防火墻
C．任意選購一款價格合適的防火墻產品
D．選購一款同已有安全產品聯動的防火墻
31、某單位人員管理系統在人員離職時進行賬號洗掉，需要離職員工所在部門主管經理和人事部門人員同時進行確認才能在系統上執行，該設計是遵循了軟體安全設計中的哪項原則?
A.最小權限B．權限分離C．不信任D．縱深防御
32、某電子商務網站在開發設計時，使用了威脅建模方法來分折電子商務網站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?
A．網站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網站訪問速度
B．網站使用http協議進行瀏覽等操作，未對資料進行加密，可能導致用戶傳輸資訊泄露，例如購買的商品金額等
C．網站使用http協議進行瀏覽等操作，無法確認資料與用戶發出的是否一致，可能資料被中途篡改
D．網站使用用戶名.密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等資訊
33、相比檔案配置表(FAT)檔案系統，以下哪個不是新技術檔案系統(NTFS)所具有的優勢?
A．NTFS使用事務日志自動記錄所有檔案夾和檔案更新，當出現系統損壞和電源故障等闖題而引起操作失敗后，系統能利用日志檔案重做或恢復未成功的操作
B．NTFS的磁區上，可以為每個檔案或檔案夾設定單獨的許可權限
C．對于大磁盤，NTFS檔案系統比FAT有更高的磁盤利用率
D．相比FAT檔案系統，NTFS檔案系統能有效的兼容Linux下EXT2檔案格式
34、某公司系統管理員最近正在部署一臺Web服務器，使用的作業系統是Windows，在進行日志安全管理設定時，系統管理員擬定四條日志安全策略給領導進行參考，其中能有效應對攻擊者獲得系統權限后對日志進行修改的策略是：
A．在網路中單獨部署syslog服務器，將Web服務器的日志自動發送并存盤到該syslog日志服務器中
B．嚴格設定Web日志權限，只有系統權限才能進行讀和寫等操作
C．對日志屬性進行調整，加大日志檔案大小，延長日志覆寫時間，設定記錄更多資訊等
D．使用獨立的磁區用于存盤日志，并且保留足夠大的日志空間
35、安全的運行環境是軟體安全的基礎，作業系統安全配置是確保運行環境安全必不可少的作業，某管理員對即將上線的Windows作業系統進行了以下四項安全部署作業，其中哪項設定不利于提高運行環境安全?
A．作業系統安裝完成后安裝最新的安全補丁，確保作業系統不存在可被利用的安全漏洞
B．為了方便進行資料備份，安裝Windows作業系統時只使用一個磁區
C，所有資料和作業系統都存放在C盤
D．將默認的管理員賬號Administrator改名，降低口令暴力破解攻擊的發生可能
36、關于軟體安全開發生命周期(SDL)，下面說法錯誤的是：
A．在軟體開發的各個周期都要考慮安全因素
B．軟體安全開發生命周期要綜合采用技術.管理和工程等手段C．測驗階段是發現并改正軟體安全漏洞的最佳環節，過早或過晚檢測修改漏洞都將增大軟體開發成本
D．在設計階段就盡可能發現并改正安全隱患，將極大減少整個軟體開發成本
37、2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的資訊化法律”，自此電子簽名與傳統手寫簽名和蓋章具有同等的法律效力，以下關于電子簽名說法錯誤的是：
A.電子簽名——是指資料電文中以電子形式所含.所附用于識別簽名人身份并表明簽名人認可其中內容的資料
B．電子簽名適用于民事活動中的合同或者其他檔案.單證等文書C．電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務
D．電子簽名制作資料用于電子簽名時，屬于電子簽名人和電子認證服務提供者共有
38、應用軟體的資料存盤在資料庫中，為了保證資料安全，應設定良好的資料庫防護策略，以下不屬于資料庫防護策略的是?
A．安裝最新的資料庫軟體安全補丁
B．對存盤的敏感資料進行安全加密
C．不使用管理員權限直接連接資料庫系統
D．定期對資料庫服務器進行重啟以確保資料庫運行良好
39、對惡意代碼的預防，需要采取增強安全防范策略與意識等措施，關于以下預防措施或意識，說法錯誤的是：
A．在使用來自外部的移動介質前，需要進行安全掃描
B．限制用戶對管理員權限的使用
C．開放所有埠和服務，充分使用系統資源
D．不要從不可信來源下載或執行應用程式
40、關于密鑰管理，下列說法錯誤的是：
A. 科克霍夫原則指出演算法的安全性不應基于演算法的保密，而應基于秘鑰的安全性
B． 保密通信程序中，通信方使用之前用過的會話秘鑰建立會話，不影響通信安全
C．秘鑰管理需要考慮秘鑰產生.存盤.備份.分配.更新.撤銷等生命周期程序的每一個環節
D．在網路通信中，通信雙方可利用Diffie-He11man協議協商出會話密鑰
41、以下屬于哪一種認證實作方式：用戶登錄時，認證服務器(Authentication Server， AS)產生一個亂數發送給用戶，用戶用某種單向演算法將自己的口令.種子秘鑰和亂數混合計算后作為一次性口令，并發送給AS,AS用同樣的防腐計算后，驗證比較兩個口令即可驗證用戶身份，
A.口令序列B．時間同步C．挑戰/應答D．靜態口令
42、部署互聯網協議安全虛擬專用網(Internet Protocol Security Virtual Private Network，IPsec VPN)時,以下說法正確的是：
A. 配置MD5安全演算法可以提供可靠地資料加密
B．配置AES演算法可以提供可靠的資料完整性驗證
C．部署IPsec VPN 網路時，需要考慮 IP地址的規劃，盡量在分支節點使用可以聚合的IP地址段，來減少IPsec安全關聯(Security Authentication，SA)資源的消耗
D．報文驗證頭協議(Authentication Header，AH)可以提供資料機密性
43、在對某面向互聯網提供服務的某應用服務器的安全檢測中發現，服務器上開放了以下幾個應用，除了一個應用外其他應用都存在明文傳輸資訊的安全問題，作為一名檢測人員，你需要告訴用戶對應用進行安全整改以外解決明文傳輸資料的問題，以下哪個應用已經解決了明文傳輸資料問題：
A．SSHB．HTTPC．FTPD．SMTP
44、某單位發生的管理員小張在繁忙的作業中接到了一個電話，來電者：小張嗎？我是科技處李強，我的郵箱密碼忘記了，現在打不開郵件，我著急收個郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密碼，熱心的小張很快的滿足了來電考的要求，后來，李強發現郵箱系統登錄例外，請問以下說法哪個是正確的？
A.小張服務態度不好，如果把李強的郵件收下來親自交給李強就不會發生這個問題
B．事件屬于服務器故障，是偶然事件，應向單位領導申請購買新的服務器，
C．單位缺乏良好的密碼修改操作流程或者小張沒有按操作流程作業
D．事件屬于郵件系統故障，是偶然事件，應向單位領導申請升級郵件服務軟體
45、某網站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是:
A.網站問題是由于開發人員不熟悉安全編碼，撰寫了不安全的代碼，導致攻擊面增大，產生此安全問題
B．網站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網站攻擊面增大，產生此問題
C．網站問題是由于使用便利性提高，帶來網站用戶數增加，導致網站攻擊面增大，產生此安全問題
D．網站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網站攻擊面增大，產生此問題
46、某購物網站開發專案經過需求分析進入系統設計階段，為了保證用戶賬戶的安全，專案開發人員決定用戶登陸時除了用戶名口令認證方式外，還加入基于數字證書的身份認證功能，同時用戶口令使用SHA-1演算法加密后存放在后臺資料庫中，請問以上安全設計遵循的是哪項安全設計原則：
A.最小特權原則B．職責分離原則C．縱深防御原則D．最少共享機制原則
47、在提高阿帕奇系統(Apache HTTP Server)系統安全性時，下面哪項措施不屬于安全配置內容( )?
A．不在Windows下安裝Apache，只在Linux和Unix下安裝
B．安裝Apache時，只安裝需要的組件模塊
C．不使用作業系統管理員用戶身份運行Apache，而是采用權限受限的專用用戶賬號來運行
D．積極了解Apache的安全通告，并及時下載和更新
48、某公司開發了一個游戲網站，但是由于網站軟體存在漏洞，在網路中傳輸大資料包時總是會丟失一些資料，如一次性傳輸大于2000個位元組資料時，總是會有3到5個位元組不能傳送到對方，關于此案例，可以推斷的是()
A．該網站軟體存在保密性方面安全問題
B．該網站軟體存在完整性方面安全問題
C．該網站軟體存在可用性方面安全問題
D．該網站軟體存在不可否認性方面安全問題
49、微軟SDL將軟體開發生命周期制分為七個階段，并列出了十七項重要的安全活動，其中“棄用不安全的函式”屬于( )的安全活動
A.要求(Rapuiroments)階段
B.設計(Design)階段
C.實施(Implenpentation)階段
D.驗證(Verifcation)階段
50、由于頻繁出現軟體運行時被黑客遠程攻擊獲取資料的現象，某軟體公司準備加強軟體安全開發管理，在下面做法中，對于解決問題沒有直接幫助的是( )
A.要求所有的開發人員參加軟體安全開發知識培訓
B．要求增加軟體源代碼審核環節，加強對軟體代碼的安全性審查
C．要求統一采用Windows8系統進行開發，不能采用之前的Windows版本
D．要求邀請專業隊伍進行第三方安全性測驗，盡量從多角度發現軟體安全問題
51、金女士經常通過計算機網路購物，從安全角度看，下面哪項是不好的操作習慣( )？
A.使用專用上網購物用計算機，安裝好軟體后不要對該計算機上的系統軟體.應用軟體進行升級
B．為計算機安裝具有良好聲譽的安全防范軟體，包括病毒查殺.安安全檢查和安全加固方面的軟體
C．在IE的配置中，設定只能下載和安裝經過簽名的.安全的ActiveX控制元件
D．在使用網路瀏覽器時，設定不在計算機中保留網路歷史記錄和表單資料
52、關于源代碼審核，描述正確的是( )
A.源代碼審核程序遵循資訊安全保障技術框架模型，在執行時應一步一步嚴格執行
B．源代碼審核有利于發現軟體編碼中存在的安全問題，相關的審核工具既有商業開源工具
C．源代碼審核如果想要有效率高，則主要要依賴人工審核而不是工具審核，因為人工智能的，需要人的腦袋來判斷
D．源代碼審核能起到很好的安全保證作用，如果執行了源代碼審核，則不需要安全測驗
53、微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，關于此項錯誤的是:
A.某用戶在登錄系統并下載資料后，卻聲稱“我沒有下載過資料"軟體R威脅
B．某用戶在網路通信中傳輸完資料后，卻聲稱“這些資料不是我傳輸的”威脅也屬于R威脅，
C．對于R威脅，可以選擇使用如強認證、數字簽名、安全審計等技術
D．對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術
54、某網站在設計時經過了威脅建模和攻擊面分析，在開發時要求程式員撰寫安全的代碼，但是在部署時由于管理員將備份存放在WED目錄下導致了攻擊者可直接下載備份，為了發現系統中是否存在其他類擬問題，以下哪種測驗方式是最佳的測驗方法?
A.模糊測驗B．源代碼測驗C．滲透測驗D．軟體功能測驗
55、下面哪項屬于軟體開發安全方面的問題?
A.軟體部署時所需選用服務性能不高，導致軟體執行效率低
B．應用軟體來考慮多執行緒技術，在對用戶服務時按序排隊提供服務
C．應用軟體存在sol注入漏洞，若被黑客利用能竊取資料庫所用資料
D．軟體受許可證(license)限制，不能在多臺電腦上安裝
56、為增強Web應用程式的安全性，某軟體開發經理決定加強Web軟體安全開發培訓，下面哪項內容要在他的考慮范圍內?
A.關于網站身份簽別技術方面安全知識的培訓
B．針對OpenSSL心臟出血漏洞方面安全知識的培訓
C．針對SQL注入漏洞的安全編程培訓
D．關于ARM系統漏洞挖掘方面安全知識的培訓
57、以下關于https協議與http協議相比的優勢說明，哪個是正確的：
A.https協議對傳輸的資料進行加密，可以避免嗅探等攻擊行為B．https使用的埠http不同，讓攻擊者不容易找到埠，具有較高的安全性
C．https協議是http協議的補充，不能獨立運行，因此需要更高的系統性能
D．https協議使用了挑戰機制，在會話程序中不傳輸用戶名和密碼，因此具有較高的
58、某移動智能終端支持通過指紋識別解鎖系統的功能，與傳統的基于口令的鑒別技術相比，關于此種鑒別技術說法不正確的是：
A.所選擇的特征(指紋)便于收集、測量和比較
B．每個人所擁有的指紋都是獨一無二的
C．指紋資訊是每個人獨有的，指紋識別系統不存在安全威脅問題
D．此類系統一般由用戶指紋資訊采集和指紋資訊識別兩部分組成
59、以下哪個選項不是資訊安全需求較為常見的來源？
A.法律法規與合同條約的要求
B．組織的原則、目標和規定
C．風險評估的結果
D．安全架構和安全廠商發布的漏洞、病毒預警
60、以下哪些是需要在資訊安全策略中進行描述的：
A.組織資訊系統安全架構
B．資訊安全作業的基本原則
C．組織資訊安全技術引數
D．組織資訊安全實施手段
61、關于資訊安全管理，說法錯誤的是：
A.資訊安全管理是管理者為實作資訊安全目標(資訊資產的CIA等特性，以及業務運作的持續)而進行的計劃、組織、指揮和控制的一系列活動，
B．資訊安全管理是一個多層面.多因素的程序，依賴于建立資訊安全組織、明確資訊安全角色及職責、制訂資訊安全方針策略標準規范、建立有效的監督審計機制等多方面的非技術性的努力，C．實作資訊安全，技術和產品是基礎，管理是關鍵，
D．資訊安全是人員、技術、操作三者緊密合作的系統工程，是一個靜態程序，
62、資訊安全等級保護分級要求，第三級適用正確的是：
A．適用于一般的資訊和資訊系統，其受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經濟建設和公共利益
B．適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般資訊和資訊系統，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成一定損害
C．適用于涉及國家安全、社會秩序、經濟建設和公共利益的資訊和資訊系統，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害
D．適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要資訊和資訊系統的核心子系統，其受到破壞后，會對國家安全、社會秩序，經濟建設和公共利益造成特別嚴重損害
63、有關危害國家秘密安全的行為的法律責任，正確的是：
A．嚴重違反保密規定行為只要發生，無論是否產生泄密實際后果，都要依法追究責任
B．非法獲取國家秘密，不會構成刑事犯罪，不需承擔刑事責任C．過失泄露國家秘密，不會構成刑事犯罪，不需承擔刑事責任D．承擔了刑事責任，無需再承擔行政責任或其他處分
64、以下對于資訊安全事件理解錯誤的是：
A．資訊安全事件，是指由于自然或者人為以及軟硬體本身缺陷或故障的原因，對資訊系統造成危害，或在資訊系統內發生對社會造成負面影響的事件
B．對資訊安全事件進行有效管理和回應，最小化事件所造成的損失和負面影響，是組織資訊安全戰略的一部分
C．應急回應是資訊安全事件管理的重要內容
D．通過部署資訊安全策略并配合部署防護措施，能夠對資訊及資訊系統提供保護，杜絕資訊安全事件的發生
65、關于資訊安全事件管理和應急回應，以下說法錯誤的是：
A．應急回應是指組織為了應對突發／重大資訊安全事件的發生所做的準備，以及在事件發生后所采取的措施
B．應急回應方法，將應急回應管理程序分為遏制.根除.處置.恢復.報告和跟蹤6個階段
C．對資訊安全事件的分級主要參考資訊系統的重要程度.系統損失和社會影響三方面因素
D．根據資訊安全事件的分級參考要素，可將資訊安全事件劃分為4個級別：特別重大事件(Ⅰ級).重大事件(Ⅱ級).較大事件(Ⅲ級)和一般事件(Ⅳ級)
66、以下關于災難恢復和資料備份的理解，說法正確的是：
A．增量備份是備份從上次完全備份后更新的全部資料檔案
B．依據具備的災難恢復資源程度的不同，災難恢復能力分為7個等級
C．資料備份按資料型別劃分可以劃分為系統資料備份和用戶資料備份
D．如果系統在一段時間內沒有出現問題，就可以不用再進行容災演練了
67、有關系統安全工程-能力成熟度模型(SSZ-CMM)，錯誤的理解是：
A．SSE-CMM要求實施組織與其他組織相互作用，如開發方.產品供應商.集成商和咨詢服務商等
B．SSE-CMM可以使安全工程成為一個確定的.成熟的和可度量的科目
C．基手SSE-CMM的工程是獨立工程，與軟體工程.硬體工程.通信工程等分別規劃實施
D．SSE-CMM覆寫整個組織的活動，包括管理.組織和工程活動等，而不僅僅是系統安全的工程活動
68、資訊系統建設完成后， ( )的資訊系統的運營使用單位應當選擇符合國家規定的測評機構進行測評合格后方可投入使用，
A．二級以上B．三級以上C．四級以上D．五級以上
69、有關國家秘密，錯誤的是：
A．國家秘密是關系國家安全和利益的事項
B．國家秘密的確定沒有正式的法定程式
C．除了明確規定需要長期保密的，其他的國家秘密都是有保密期限的
D．國家秘密只限一定范圍的人知悉
70、某單位根據業務需要準備立項開發一個業務軟體，對于軟體開發安全投入經費研討時開發部門和資訊中心就發生了分歧，開發部門認為開發階段無需投入，軟體開發完成后發現問題后再針對性的解決，比前期安全投入要成本更低；資訊中心則認為應在軟體安全開發階段投入，后期解決代價太大，雙方爭執不下，作為資訊安全專家，請選擇對軟體開發安全投入的準確說法?
A．資訊中心的考慮是正確的，在軟體立項投入解決軟體安全問題，總體經費投入比軟體運行后的費用要低
B．軟體開發部門的說法是正確的，因為軟體發現問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低
C．雙方的說法都正確，需要根據具體情況分析是開發階段投入解決問題還是在上線后再解決問題費用更低
D．雙方的說法都錯誤，軟體安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同
71、以下說法正確的是：
A．驗收測驗是由承建方和用戶按照用戶使用手冊執行軟體驗收B．軟體測驗的目的是為了驗證軟體功能是否正確
C．監理工程師應按照有關標準審查提交的測驗計劃，并提出審查意見
D．軟體測驗計劃開始于軟體設計階段，完成于軟體開發階段
72、國家科學技術秘密的密級分為絕密級、機密級、秘密級，以下哪項屬于絕密級的描述?
A．處于國際先進水平，并且有軍事用途或者對經濟建設具有重要影響的
B．能夠區域反應國家防御和治安實力的
C．我國獨有、不受自然條件因素制約、能體現民族特色的精華，并且社會效益或者經濟效益顯著的傳統工藝
D．國際領先，并且對國防建設或者經濟建設具有特別重大影響的
73、資訊安全風險評估是資訊安全風險管理作業中的重要環節，在國家網路與資訊安全協調小組發布的《關于開展資訊安全風險評估作業的意見》(國信辦(2006)5號)中，風險評估分為自評估和檢查評估兩種形式，并對兩種作業形式提出了有關作業原則和要求，下面選項中描述正確的是( )，
A．資訊安全風險評估應以自評估為主，自評估和檢查評估相互結合.互為補充
B．資訊安全風險評估應以檢查評估為主，自評估和檢查評估相互結合.互為補充
C．自評估和檢查評估是相互排斥的，單位應慎重地從兩種作業形式選擇一個，并長期使用
D．自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果
74、小王在學習定量風險評估方法后，決定試著為單位機房計算火災的風險大小，假設單位機房的總價值為200萬元人民幣，暴露系數(ExposureFactor，EF)是25％，年度發生率(Annualized Rate ofOccurrence，ARO)為0．1，那么小王計算的年度預期損失(Annualized Loss Expectancy，ALE)應該是()，
A．5萬元人民幣
B．50萬元人民幣
C．2．5萬元人民幣
D．25萬元人民幣
75、以下哪項不是應急回應準備階段應該做的？
A.確定重要資產和風險，實施針對風險的防護措施
B．編制和管理應急回應計劃
C．建立和訓練應急回應組織和準備相關的資源
D．評估時間的影響范圍，增強審計功能.備份完整系統
76、資訊安全管理體系(Information Securlty Management System，ISMS)的內部審核和管理審核是兩項重要的管理活動，關于這兩者，下面描述錯誤的是:
A.內部審核和管理評審都很重要，都是促進ISMS持續改進的重要動力，也都應當按照一定的周期實施
B．內部審核的實施方式多采用檔案審核和現場審核的形式，而管理評審的實施方式多采用召開管理評審會議的形式進行
C．內部審核的實施主體由組織內部的ISMS內審小組，而管理評審的實施主體是由國家政策指定的第三方技術服務機構
D．組織的資訊安全方針，資訊目標和有關ISMS檔案等，在內部審核中作為審核準則使用，但在管理評審中，這些檔案是被審物件
77、資訊安全管理體系(Information Securlty Management System，ISMS)的實施和運行ISMS階段，是ISMS程序模型的實施階段，下面給出了一些備選的活動，選項( )描述了在此階段組織應進行的活動， ①制定風險處理計劃②實施風險處理計劃③開發有效性測量程式④實施培訓和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執行檢測事態和回應事件的程式⑧實施內部審核⑨實施風險再評估
A. ①②③④⑤⑥
B．①②③④⑤⑥⑦
C．①②③④⑤⑥⑦⑧
D．①②③④⑤⑥⑦⑧⑨
78、在實施資訊安全風險評估時，需要對資產的價值進行識別、分類和賦值，關于資產價值的評估，以下選項中正確的是( )
A.資產的價值指采購費用
B．資產的價值指維護費用
C．資產的價值與其重要性密切相關
D．資產的價值無法估計
79、某軟體公司準備提高其開發軟體的安全性，在公司內部發起了有關軟體開發生命周期的討論，在下面的發言觀點中，正確的是( )
A.軟體安全開發生命周期較長，而其中最重要的是要在軟體的編碼階段做好安全措施，就可以解決90%以上的安全問題，
B．應當盡早在軟體開發的需求和設計階段增加一定的安全措施，這樣可以比在軟體發布以后進行漏洞修復所花的代價少得多，
C．和傳統的軟體開發階段相比，微軟提出的安全開發生命周期(Security Development Lifecycle,SDL)的最大特點是增加了一個專門的安全編碼階段，
D．軟體的安全測驗也很重要，考試到程式員的專業性，如果該開發人員已經對軟體進行了安全性測驗，就沒有必要再組織第三方進行安全性測驗，
80、規范的實施流程和檔案管理，是資訊安全風險評估能否取得成果的重要基礎，某單位在實施風險評估時，按照規范形成了若干檔案，其中，下面( )中的檔案應屬于風險評估中“風險要素識別”階段輸出的檔案，
A.《風險評估方案》，主要包括本次風險評估的目的、范圍、目標、評估步驟、經費預算和進度安排等內容
B．《風險評估方法和工具串列》，主要包括擬用的風險評估方法和測驗評估工具等內容
C．《風險評估準則要求》，主要包括風險評估參考標準、采用的風險分析方法、資產分類標準等內容
D．《已有安全措施串列》，主要包括經檢查確認后的已有技術和管理各方面安全措施等內容
81、不同的資訊安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據各自的實際情況選擇適當的風險評估方法，下面的描述中錯誤的是( )，
A.定量風險分析試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，以度量風險的可能性和缺失量
B．定量風險分析相比定性風險分析能得到準確的數值，所以在實際作業中應使用定量風險分析，而不應選擇定性風險分析
C．定性風險分析程序中，往往需要憑借分析者的經驗和直接進行，所以分析結果和風險評估團隊的素質.經驗和知識技能密切相關
D．定性風險分析更具主觀性，而定量風險分析更具客觀性
82、在資訊安全管理體系的實施程序中，管理者的作用對于資訊安全管理體系能否成功實施非常重要，但是以下選項中不屬于管理者應有職責的是( )，
A.制定并頒布資訊安全方針，為組織的資訊安全管理體系建設指明方向并提供總體綱領，明確總體要求
B．確保組織的資訊安全管理體系目標和相應的計劃得以制定，目標應明確、可度量、計劃應具體、可實施
C．向組織傳達滿足資訊安全的重要指示，傳達滿足資訊安全要求.達成資訊安全目標.符合資訊安全方針、履行律責任和持續改進的重要性
D．建立健全資訊安全制度，明確資訊安全風險管理作用，實施資訊安全風險評估程序，確保資訊安全風險評估技術選擇合理、計算正確
83、以下關于資訊安全工程說法正確的是：
A．資訊化建設中系統功能的實作是最重要的
B．資訊化建設可以先實施系統，然后對系統進行安全加固
C．資訊化建設在規劃階段合理規劃資訊安全，在建設階段要同步實施資訊安全建設
D．資訊化建設沒有必要涉及資訊安全建設
84、以下哪一項不屬于資訊安全工程監理模型的組成部分：
A．監理咨詢支撐要素B．控制和管理手段C．監理咨詢階段程序D．監理組織安全實施
85、在工程實施階段，監理機構依據承建合同.安全設計方案.實施方案.實施記錄.國家或地方相關標準和技術指導檔案，對資訊化工程進行安全____檢查，以驗證專案是否實作了專案設計目標和安全等級要求，
A．功能性B．可用性C．保障性D．符合性
86、系統安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model，SSE-CMM)定義的包含評估威脅.評估脆弱牲.評估影響和評估安全風險的基本程序領域是：
A．風險程序B．工程程序C．保證程序D．評估程序
87、關于業務連續性計劃(BCP)以下說法最恰當的是：
A.組織為避免所有業務功能因重大事件而中斷，減少業務風險而建立的一個控制程序；
B．組織為避免關鍵業務功能因重大事件而中斷，減少業務風險而建立的一個控制程序；
C．組織為避免所有業務功能因各種事件而中斷，減少業務風險而建立的一個控制程序；
D．組織為避免資訊系統功能因各種事件而中斷，減少資訊系統而建立的一個控制程序，
88、某政府機構擬建設一機房，在工程安全監理單位參與下制定了招標檔案，專案分二期，一期目標為年底前實作系統上線運營，二期目標為次年上半年完成運行系統風險的處理，招標檔案經管理層審批后發布，就此工程專案而言，以下正確的是:
A.此專案將專案目標分解為系統上線運營和運行系統風險處理分期實施，具有合理性和可行性
B．在工程安全監理的參與下，確保了此招標檔案的合理性
C．工程規劃不符合資訊安全工程的基本原則
D．招標檔案經管理層審批，表明工程目標符合業務發展規劃
89、資訊安全工程作為資訊安全保障的重要組成部門，主要是為了解決:
A.資訊系統的技術架構安全問題
B．資訊系統組成部門的組件安全問題
C．資訊系統生命周期的程序安全問題
D．資訊系統運行維護的安全管理問題
90、有關系統安全工程-能力成熟度模型(SSE-CMM)中基本實施(Base Rractes)正確的理解是：
A.BP不限定于特定的方法工具，不同業務背景中可以使用不同的方法
B．BP不是根據廣泛的現有資料，實施和專家意見綜合得出的C．BP不代表資訊安全工程領域的最佳實踐
D．BP不是程序區域 (Process Arebs ，PA)的強制項
91、在使用系統安全工程-能力成熟度模型(SSE-CMM)對一個組織的安全工程能力成熟度進行測量時，有關測量結果，錯誤理解的是：
A．如果該組織在執行某個特定的程序區域具備了一個特定級別的部門公共特征時，則這個組織程序的能力成熟度未達到此級別B．如果該組織某個程序區域(Process Areas PA)具備了定義標準程序、執行已定義的程序，兩個公共特征，則此工程區域的能力成熟度級別達到3級充分定義級
C．如果某個程序區域(Prpcess Areas，PA )包含的4個基本措施(Base Practices，BP)執行此BP時執行了3個BP 此程序區域的能力成熟度級別為0
D．組織在不同的程序區域能力成熟度可能處于不同的級別上
92、根據《關于加強國家電子政務工程建設專案資訊安全風險評估作業的通知》的規定，以下正確的是：
A.涉密資訊系統的風險評估應按照《資訊安全等級保護管理辦法》的國家有關保密規定和標準進行
B．非涉密資訊系統的風險評估應按照《非涉及國家秘密的資訊系統分級保護管理辦法》等有關要求進行
C．可委托同一專業測評機構完成等級測評和風險評估作業，并形成等級測評報告和風險評估報告
D．此通知不要求將“資訊安全風險評估”作為電子政務專案驗收的重要內容
93、RFC系列標準是由( )發布的：
A．國際標準化組織(ISO)
B．國際電工委員會(IEC)
C．國際貿易中心(ITC)
D．互聯網工程任務組IETF
94、在以下標準中，屬于推薦性國家標準的是？
A.GB/T XXXX.X-200X
B．GB XXXX-200X
C．DBXX/T XXX-200X
D．GB/Z XXX-XXX-200X
95、具有行政法律責任強制力的安全管理規定和安全規范制度包括：_________，1.安全事件(包括安全事故)報告制度 2.安全等級保護制度 3.資訊體統安全監控 4.安全專用產品銷售許可證制度
A. 1.2.4
B．2.3
C．2.3.4
D．1.2.3
96、層次化的檔案是資訊安全管理體系《Information Securlty Management System，ISMS》建設的直接體系，也ISMS建設的成果之一，通常將ISMS的檔案結構規劃為4層金字塔結構，那么，以下選項( )應放入到一級檔案中，
A.《風險評估報告》
B．《人力資源安全管理規定》
C．《ISMS內部審核計劃》
D．《單位資訊安全方針》
97、下圖是某單位對其主網站的一天訪問流量監測圖，如果說該網站在當天17：00到20：00間受到了攻擊，則從圖中資料分析，這種攻擊型別最可能屬于下面什么攻擊（ ），
A.跨站腳本（Cross Site Scripting，XSS）攻擊
B.TCP會話劫持（TCP Hijack）攻擊
C.IP欺騙攻擊
D.拒絕服務（Denial of Service，DoS）攻擊
98、如圖，某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網銀系統，此程序屬于以下哪一類：
A．個人網銀系統和用戶之間的雙向鑒別
B．由可信第三方完成的用戶身份鑒別
C.個人網銀系統對用戶身份的單向鑒別
D．用戶對個人網銀系統合法性的單向鑒別
99、小陳自學了資訊安全風險評估的相關理論知識后，根據風險分析階段的作業內容和計量方法只是，繪制了如下四張圖，圖中F1.F2.F3.F4分別代表某種計算函式，四組圖中，計算關系表達正確的是（ ）
A. F1 B. F2 C. F3 D. F4
100、風險要素識別是風險評估實施程序中的一個重要步驟，小李將風險要素識別的主要程序使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個最合適的選項（ ），

A.明確組織管理機構
B.制定安全措施實施計劃
C.資產識別并賦值
D.風險識別并賦值