1、1C2A3D4B5c1、下列對于信息安全保障深度防御模型的說法錯誤的是：A、信息安全外部環(huán)境、信息安全保障是組織機構安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下日信息安全管理和工程，信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設信息系統(tǒng)C信息安全人才體系，在組織機構中應建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分D信息安全技術方案：“從外面內，自下而上，形成邊界到端的防護能力” 2、人們對信息安全的認識從信息技術安全

2、發(fā)展到信息安全保障，主要是由于：A、為了更好地完成組織機構的使命日針對信息系統(tǒng)的攻擊方式發(fā)生重大變化C風險控制技術得到革命性的發(fā)展D除了保密性，信息的完整性和可用性也引起了人們的關注3、關于信息保障技術框架（IATF）,下列哪種說法是錯誤的？A、IATF強調深度防御，關注本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡和基礎設施、支撐性基礎設施 等多個領域的安全保障B IATF強調深度防御，即對信息系統(tǒng)采用多層防護，實現(xiàn)組織的業(yè)務安全運作C IATF強調從技術、管理和人等多個角度來保障信息系統(tǒng)的安全D IATF強調的是以安全檢測、漏洞監(jiān)測和自適應填充“安全間隙”為循環(huán)來提高網(wǎng)絡安全4、信息系統(tǒng)保護輪廓（ISPP）

3、定義了 A、某種類型信息系統(tǒng)的與實現(xiàn)無關的一組系統(tǒng)級安全保障要求 日某種類型信息系統(tǒng)的與實現(xiàn)相關的一組系統(tǒng)級安全保障要求 C某種類型信息系統(tǒng)的與實現(xiàn)無關的一組系統(tǒng)級安全保障目的 D某種類型信息系統(tǒng)的與實現(xiàn)相關的一組系統(tǒng)級安全保障目的5、下面對于信息安全特征和范疇的說法錯誤的是：A、信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術問題，還要考慮人員、 管理、政策等眾多因素日信息安全是一個動態(tài)的問題，它隨著信息技術的發(fā)展普及，以及產業(yè)基礎、用戶認識、 投入產出而發(fā)展C信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡邊界越來越模糊，因此確定一個組織的信息 安全責任是沒有意義的D信息安全是非傳統(tǒng)的安全，

4、各種信息網(wǎng)絡的互聯(lián)互通和資源共享，決定了信息安全具有 不同于傳統(tǒng)安全的特點6c7A8B9C10D6、橢圓曲線密碼方案是指：A、基于橢圓曲線上的大整數(shù)分解問題構建的密碼方案 日通過橢圓曲線方程求解的困難性構建的密碼方案 C基于橢圓曲線上有限域離散對數(shù)問題構建的密碼方案D通過尋找是單向陷門函數(shù)的橢圓曲線函數(shù)構建的密碼方案7、hash算法的碰撞是指：A兩個不同的消息，得到相同的消息摘要日 兩個相同的消息，得到不同的消息摘要C消息摘要和消息的長度相同D消息摘要比消息長度更長8、Alice從Sue那里收到一個發(fā)給她的密文，其他人無法解密這個密文，Alice需要用哪個密鑰來解密這個密文？A Alice的公

5、鑰曰Alice的私鑰C Sue的公鑰D Sue的私鑰9、數(shù)字簽名應具有的性質不包括：A能夠驗證簽名者日能夠認證被簽名消息C能夠保護被簽名的數(shù)據(jù)機密性D簽名必須能夠由第三方驗證10、Alice 有一個消息 M通過密鑰 K和MACT法生成一個 MA8 C ( K,M) , Alice 將這個 MAC 附加在消息 M后面發(fā)送給Bob, Bob用密鑰K和消息M計算MAC進行比較，這個過程可以 提供什么安全服務？A僅提供保密性日僅提供不可否認性C提供消息認證D保密性和消息認證11C12C13B14C15B11、時間戳的引入主要是為了防止：A死鎖日丟失C重放D擁塞12、與 RSA (rivest , sh

6、amir, adleman)算法相比，DSS (digital signature standard ) 不包括：A數(shù)字簽名日鑒別機制C加密機制D數(shù)據(jù)完整性13、在數(shù)字信封中，綜合使用對稱加密算法和公鑰加密算法的主要原因是：A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性日綜合考慮對稱密鑰算法的密鑰分發(fā)難題和公鑰算法加解密效率較低的難題而采取的一種 折中做法C兩種加密算法的混用，可以提高加密的質量，這是我國密碼政策所規(guī)定的要求D數(shù)字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認他收到了該信息，即 抗接受方抵賴 14、下列哪個選項是公鑰基礎設施(

7、PKI)的密鑰交換處理流程?(1)接收者解密并獲取會話密鑰(2)發(fā)送者請求接收者的公鑰(3)公鑰從公鑰目錄中被發(fā)送出去(4)發(fā)送者發(fā)送一個由接收者的公鑰加密過的會話密鑰A 4,3,2,1日 2,1,3,4C 2,3,4,1DX 2,4,3,1 15、IPSEC密鑰協(xié)商方式有：A 一種，手工方式B>二種，手工方式、IKE自動協(xié)商C 一種，IKE自動協(xié)商D二種，IKE自動協(xié)商、隧道協(xié)商16A17D18B19D20D16、以下哪一項不是工作在網(wǎng)絡第二層的隧道協(xié)議:A VTPB L2FC PPTPD L2TP 17、與PDR莫型相比，P2DR莫型多了哪一個環(huán)節(jié)？A防護 日檢測 C反應 D策略18

8、、以下有關訪問控制矩陣中行和列中元素的描述正確的是：A、行中放用戶名，列中放對象名 日行中放程序名，列中放用戶名 C列中放用戶名，行中放設備名 D列中放標題，行中放程序19、下列哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互? A強制訪問控制(MACB> 集中式訪問控制(Decentralized Access Control )C 分布式訪問控制(Distributed AccessControl )D自主訪問控制(DAC20、以下哪一項不是 BLP模型的主要任務：A、定義使得系統(tǒng)獲得“安全”的狀態(tài)集合日檢查所有狀態(tài)的變化均始于一個“安全狀態(tài)”并終止于另一個“安全狀態(tài)”

9、C檢查系統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”D選擇系統(tǒng)的終止狀態(tài)21D22A23A24B25D21、訪問控制表與訪問能力表相比，具有以下那個特點：A、訪問控制表更容易實現(xiàn)訪問權限的特點日訪問能力表更容易瀏覽訪問權限C訪問控制表回收訪問權限更困難D訪問控制表更適用于集中式系統(tǒng)22、在Clark-Wilson 模型中哪一項不是保證完整性任務的？A防止職權的濫用日防止非授權修改C維護內部和外部的一致性D防止授權但不適當?shù)匦薷?3、以下對單點登錄技術描述不正確的是：A、單點登錄技術實質是安全憑證在多個用戶之間的傳遞或共享日使用單點登錄技術用戶只需在登錄時進行一次注冊，就可以訪問多個應用C單點登錄不僅方便用戶

10、使用，而且也便于管理D使用單點登錄技術能簡化應用系統(tǒng)的開發(fā) 24、鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的:A 口令日令牌C知識D密碼25、系統(tǒng)審計日志不包括以下哪一項：A時間戳日用戶標識C對象標識D處理結果26B27B28B29B30C26、以下哪一項不是審計措施的安全目標：A、發(fā)現(xiàn)試圖繞過系統(tǒng)安全機制的訪問日記錄雇員的工作效率C記錄對訪問客體采用的訪問方式D發(fā)現(xiàn)越權的訪問行為27、一個VLAN可以看做是一個：A沖突域日廣播域C管理域D阻塞域28、以下對RADIUS議說法正確的是:A它是一種B/S結構的協(xié)議日它是一項通用的認證計費協(xié)議C它使用TCP通信D它的基

11、本組件包括認證、授權和加密 29、UDPB議和我川議對應于ISO/OSI模型的哪一層？ A鏈路層B傳輸層 C會話層 DX表不'層30、路由器的擴展訪問控制列表能夠檢查流量的那些基本信息？A協(xié)議，vtan id ,源地址，目標地址 B協(xié)議，vian id ,源端口，目標端口 C源地址，目地地址，源端口，目標端口，協(xié)議 D源地址，目地地址，源端口，目標端口，交換機端口號 31A32B33B34C5B31、TCP/IP中哪個協(xié)議是用來報告錯誤并代表IP對消息進行控制?A ICMP B IGMPC ARP D SNMP 32、TCP采用第三次握手來建立一個連接，第二次握手傳輸什么信息:A SY

12、NB SYN+ACKC ACKD FIN33、某個客戶的網(wǎng)絡現(xiàn)在可以正常訪問Internet 互聯(lián)網(wǎng)，共有200臺終端PC但此客戶從ISP （互聯(lián)網(wǎng)絡服務提供商），互聯(lián)網(wǎng)最好采取什么方法或技術：A花更多的錢向ISP申請更多的IP地址日在網(wǎng)絡的出口路由器上做源NATC在網(wǎng)絡的出口路由器上做目的NATD在網(wǎng)絡出口處增加一定數(shù)量的路由器34、以下哪個一個項對“ ARP的解釋是正確的：A Access routing protocol-訪問路由協(xié)議B Access routing protocol-訪問解析協(xié)議C Addressresolution protocol-地址解析協(xié)議D Addressre

13、coveryprotocol-地址恢復協(xié)議35、下面對于X.25協(xié)議的說法錯誤的是？A傳輸速率可達到 56Kbps日其優(yōu)點是反復的錯誤校驗頗為費時C其缺點是反復的錯誤校驗頗為費時DK由于它與TCP/IP協(xié)議相比處于劣勢，所以漸漸被后者淘汰 36D37C38D39B40D36、下列對于DMZ區(qū)的說法錯誤的是：A、它是網(wǎng)絡安全防護的一個“非軍事區(qū)”日它是對“深度防御”概念的一種實現(xiàn)方案C它是一種比較常用的網(wǎng)絡安全域劃分方式D要想搭建它至少需要兩臺防火墻37、哪一類防火墻具有根據(jù)傳輸信息的內容(如關鍵字、文件類型)來控制訪問連續(xù)的能力?A包過濾防火墻日狀態(tài)監(jiān)測防火墻C應用網(wǎng)關防火墻D以上都不是 38

14、、以下哪一項不屬于入侵檢測系統(tǒng)的功能A、監(jiān)視網(wǎng)絡上的通信數(shù)據(jù)流日 捕捉可疑的網(wǎng)絡活動C提供安全審計報告D過濾非法的數(shù)據(jù)包IDS模型的組成部分:39、下面哪一項不是通過A、傳感器B過濾器C分析器D管理器 40、下面哪一項是對 IDS的正確描述?A 基于牛1征(Signature-based )的系統(tǒng)可以檢測新的攻擊類型B基于特征(Signature-based )的系統(tǒng)化基于行為(behavior-based )的系統(tǒng)產生更多的 誤報C基于彳T為(behavior-based )的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D 基于彳亍為(behavior-based )的系統(tǒng)比基于特征(Signa

15、ture-based )的系統(tǒng)有更高的誤 報41D42B43D44D45D41、可信計算技術不能：A、確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊日確保密鑰操作和存儲的安全C確保硬件環(huán)境配置、操作系統(tǒng)內核、服務及應用程序的完整性D使計算機具有更高的穩(wěn)定性42、chmod 744 test 命令執(zhí)行的結果是：A、test文件的所有者具有執(zhí)行讀寫權限，文件所屬的組合其它用戶有讀的權限 日test文件的所有者具有執(zhí)行讀寫和執(zhí)行權限，文件所屬的組和其它用戶有讀的權限C test文件的所有者具有執(zhí)行讀和執(zhí)行權限，文件所屬的組和其它用戶有讀的權限D test文件的所有者具有執(zhí)行讀寫和執(zhí)行權限，

16、文件所屬的組和其它用戶有讀和寫的權限43、 Linux 系統(tǒng)的用戶信息保存在 passwd 中，某用戶條目backup:*:34:34:backup:/var/backups:/bin/sh,以下關于該賬號的描述不正確的是：A backup賬號沒有設置登錄密碼B> backup賬號的默認主目錄是 /var/backupsC backup賬號登陸后使用的 shell是/bin/shDX backup賬號是無法進行登錄44、以下對 windows賬號的描述，正確的是：A windows系統(tǒng)是采用SID （安全標識符）來標識用戶對文件或文件夾的權限B> windows系統(tǒng)是采用用戶名來標

17、識用戶對文件或文件夾的權限C windows系統(tǒng)默認會生成 administration 和guest兩個賬號，兩個賬號都不允許改名和 刪除Dk windows系統(tǒng)默認生成administration 和guest兩個賬號，兩個賬號都可以改名和刪除45、以下哪一項不是IIS服務器支持的訪問控制過濾類型？A網(wǎng)絡地址訪問控制B> web服務器許可C NTFS許可D異常行為過濾46D47C48B49D50C46、以下哪個對windows系統(tǒng)日志的描述是錯誤的？A windows系統(tǒng)默認有三個日志，系統(tǒng)日志，應用程序日志，安全日志日系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動過程中的事件或者

18、硬件和控制器 的故障C應用日志跟蹤應用程序關聯(lián)的事件，例如應用程序產生的裝載DLL （動態(tài)鏈接庫）失敗的信息D安全日志跟蹤各類網(wǎng)絡入侵事件，例如拒絕服務攻擊、口令暴力破解等47、為了實現(xiàn)數(shù)據(jù)庫的完整性控制，數(shù)據(jù)庫管理員應向DBMS出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù)，完整性規(guī)則主要由三部分組成，以下哪一項不是完整性規(guī)則的內容？A完整性約束條件 日完整性檢查機制C完整性修復機制D違約處理機制48、數(shù)據(jù)庫事務日志的用途是什么？A事務日志 日數(shù)據(jù)恢復 C完整性約束 D保密性控制49、以下哪一項不是 SQL語言的功能A數(shù)據(jù)定義 日數(shù)據(jù)檢查 C數(shù)據(jù)操縱 D數(shù)據(jù)加密50、以下哪一項是和電子郵件系統(tǒng)無關的？

19、A PEM 曰PGPC X.500DX X.40051C52C53C54D55D51、下面對于cookie的說法錯誤的是：A cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取 cookie包含的信息日cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而是用 session驗證方法52、電子商務安全要求的四個方面是：A、傳輸?shù)母咝?、?shù)據(jù)的完整性、交易各方的身份認證和交易的不可抗抵賴 日存儲的安全性、傳輸?shù)母咝?、?shù)據(jù)的完

20、整性和交易各方的身份認證 C傳輸?shù)陌踩?、?shù)據(jù)的完整性、交易各方的身份認證和交易不可抵賴性 D存儲的安全性、傳輸?shù)母咝?、?shù)據(jù)的完整性和交易的不可抵賴性53、Apache Web服務器的配置文件一般位于/usr/local/apache/conf 目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A httpd.conf B> srm.conf C access.conf Ch inetd.conf54、以下哪個是惡意代碼采用的隱藏技術A文件隱藏 日進程隱藏 C網(wǎng)絡連接隱藏55、下列那種技術不是惡意代碼的生存技術？A反跟蹤技術日加密技術C模糊變換技術D自動解壓縮技術56B57B58

21、D59D60D56、以下對于蠕蟲病毒的說法錯誤的是：A、通常蠕蟲的傳播無需用戶的操作日蠕蟲病毒的主要危害體現(xiàn)在對數(shù)據(jù)保密性的破壞C蠕蟲的工作原理與病毒相似，除了沒有感染文件階段D是一段能不以其他程序為媒介，從一個電腦系統(tǒng)復制到另一個電腦系統(tǒng)的程序57、被以下哪種病毒感染后，會使計算機產生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RP，艮務終止的對話框，并且系統(tǒng)反復重啟，不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網(wǎng)頁，復制粘貼等操作受到嚴重影響的，DN解口 IIS服務遭到非法拒絕等。A高波變種3T日沖擊波C震蕩波D尼姆達病毒58、當用戶輸入的數(shù)據(jù)被一個解釋器當作命令或查詢語句的一部分執(zhí)行時，就會

22、產生哪種類型的漏洞？A緩沖區(qū)溢出日設計錯誤C信息泄露D代碼注入59、下面對漏洞出現(xiàn)在軟件開發(fā)的各個階段的說法中錯誤的是？A、漏洞可以在設計階段產生日漏洞可以在實現(xiàn)過程中產生C漏洞可以在運行過程中產生D漏洞可以在驗收過程中產生60、DNSa騙是發(fā)生在TCP/IP協(xié)議中 層的問題A網(wǎng)絡接口層日互聯(lián)網(wǎng)網(wǎng)絡層C傳輸層D應用層61B62D63A64B65C61、IP欺騙(IP Spoof )是發(fā)生在TCP/IP協(xié)議中 層的問題A網(wǎng)絡接口層日互聯(lián)網(wǎng)網(wǎng)絡層C傳輸層D應用層 62、分片攻擊問題發(fā)生在：A數(shù)據(jù)包被發(fā)送時日數(shù)據(jù)包在傳輸過程中C數(shù)據(jù)包被接收時D數(shù)據(jù)包中的數(shù)據(jù)進行重組時63、下面關于軟件測試的說法錯誤

23、的是：A、所謂“黑盒”測試就是測試過程不測試報告中進行描述，且對外嚴格保密日出于安全考慮，在測試過程中盡量不要使用真實的生產數(shù)據(jù)C測試方案和測試結果應當成為軟件開發(fā)項目文檔的主要部分被妥善的保存D軟件測試不僅應關注需要的功能是否可以被實現(xiàn)，還要注意是否有不需要的功能被實現(xiàn) 了 64、傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是：A、傳統(tǒng)軟件開發(fā)方法將軟件開發(fā)分為需求分析、架構設計、代碼編寫、測試和運行維護五 個階段日傳統(tǒng)的軟件開發(fā)方法，注重軟件功能實現(xiàn)和保證，缺乏對安全問題進行處理的任務、里 程碑與方法論，也缺乏定義對安全問題的控制與檢查環(huán)節(jié)C傳統(tǒng)的軟件開發(fā)方法，將軟件安全定義為編碼安

24、全，力圖通過規(guī)范編碼解決安全問題， 缺乏全面性D傳統(tǒng)的軟件開發(fā)方法僅從流程上規(guī)范軟件開發(fā)過程，缺乏對人員的培訓要求，開發(fā)人員 是軟件安全缺陷產生的根源 65、對攻擊面(Attack surface )的正確定義是：A、一個軟件系統(tǒng)可被攻擊的漏洞的集合，軟件存在的攻擊面越多，軟件的安全性就越低日對一個軟件系統(tǒng)可以采取的攻擊方法集合，一個軟件的攻擊面越大安全風險就越大C 一個軟件系統(tǒng)的功能模塊的集合，軟件的功能模塊越多，可被攻擊的點也越多，安全風險也越大D 一個軟件系統(tǒng)的用戶數(shù)量的集合，用戶的數(shù)量越多，受到攻擊的可能性就越大，安全風險也越大66D67D68B69A70D66、下面對PDCA莫型的解

25、釋不正確的是：A、通過規(guī)劃、實施、檢查和處置的工作程序不斷改進對系統(tǒng)的管理活動日是一種可以應用于信息安全管理活動持續(xù)改進的有效實踐方法C也被稱為“戴明環(huán)”D適用于對組織整體活動的優(yōu)化，不適合單個的過程以及個人67、下面關于ISO27002的說法錯誤的是：A、 ISO27002 的前身是 ISO17799-1B ISO27002給出了通常意義下的信息安全管理最佳實踐供組織機構選用，但不是全部C ISO27002對于每個控制措施的表述分“控制措施”，“實施指南”和“其他信息”三個部 分來進行描述D ISO27002提出了十一大類的安全管理措施，其中風險評估和處置是處于核心地位的一類 安全措施68、

26、下述選項中對于“風險管理”的描述不正確的是：A、風險管理員是指導和控制一個組織相關風險的協(xié)調活動，它通常包括風險評估、風險處 置、風險接受和風險溝通日 風險管理的目的是了解風險并采取措施處置風險并將風險消除C風險管理是信息安全工作的重要基礎，因此信息安全風險管理必須貫穿到信息安全保障 工作、信息系統(tǒng)的整個生命周期中D在網(wǎng)絡與信息系統(tǒng)規(guī)劃設計階段，應通過信息安全風險評估進一步明確安全需求和安全 目標。69、在信息安全領域，風險的四要素是指？A、資產及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施日資產及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施C完整性、可用性、機密性、不可抵賴性D減低風險

27、、轉嫁風險、規(guī)避風險、接受風險70、在信息安全風險管理體系中分哪五個層面？A、決策層、管理層、執(zhí)行層、支持層、用戶層 日 決策層、管理層、建設層、維護層、用戶層 C管理層、建設層、運行層、支持層、用戶層 D決策層、管理層、執(zhí)行層、監(jiān)控層、用戶層 71C72C73B74D75B71、在風險管理工作中“監(jiān)控審查”的目的，一是 ；二是.A、保證風險管理過程的有效性，保證風險管理成本的有效性 日保證風險管理結果的有效性，保證風險管理成本的有效性 C保證風險管理過程的有效性，保證風險管理活動的決定得到認可 D保證風險管理結果的有效性，保證風險管理活動的決定得到認可72、下列安全控制措施的分類中，哪個分類

28、是正確的（p-預防性的，D-檢測性的以及 C-糾正性的控制）1、網(wǎng)絡防火墻2、編輯和確認程序3、賬戶應付支出報告4、賬戶應付對賬5、RAID 級別 36、銀行賬單的監(jiān)督復審7、分配計算機用戶標識8、交易日志A、P,P,D,P,P,C,D,andCB D,P,P,P,C,C,D, andDC P,P,D,D,C,D,P, andCDX P,D,C,C,D,P,P, andD 73、信息安全風險評估分為自評估和檢查評估兩種形式，下列描述不正確的是：A、信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充 日檢查評估可在自評估實施的基礎上，對關鍵環(huán)節(jié)或重點內容實施抽樣評估C檢查評估也可

29、委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發(fā)起單位 負責D檢查評估是指信息系統(tǒng)上級管理部門組織有關職能部門開展的風險評估74、某公司正在對一臺關鍵業(yè)務服務器進行風險評估，該服務器價值138000元，針對某個特定威脅的暴露因子（EF）是45%該威脅的年度發(fā)生率（ARO為每10年發(fā)生1次。根據(jù) 以上信息，該服務器的年度預期損失值（ ALE）是多少？A 1800 元日62100元C 140000 元D 6210 元 75、下列哪些內容應包含在信息系統(tǒng)戰(zhàn)略計劃中?A、已規(guī)劃的硬件采購的規(guī)范日將來業(yè)務目標的分析C開發(fā)項目的目標日期D信息系統(tǒng)不同的年度預算目標 76D77C78B79B80A

30、76、以下哪一個是對人員安全管理中“授權蔓延”這概念的正確理解?A、外來人員在進行系統(tǒng)維護時沒有收到足夠的監(jiān)控日一個人擁有了不是其完成工作所必要的權限C敏感崗位和重要操作長期有一個人獨自負責D員工由一個崗位變動到另一個崗位，累計越來越多的權限77、ISO27002中描述的11個信息安全管理控制領域不包括:A、信息安全組織日資產管理C內容安全D人力資源安全（GB/T20988）,需要備用場地但78、依據(jù)國家標準信息安全技術信息系統(tǒng)災難恢復規(guī)范 不要求部署備用數(shù)據(jù)處理設備的是災難恢復等級的第幾級？A 279、以下哪一種備份方式再恢復時間上最快?A、增量備份 日差異備份 C完全備份 D磁盤備份 80

31、、計算機應急響應小組的簡稱是:A CERT曰 FIRSTC SANADX CEAT81D82D83B84C85B81、為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。A統(tǒng)一而精確地的時間 日全面覆蓋系統(tǒng)資產 C包括訪問源、訪問目標和訪問活動等重要信息D可以讓系統(tǒng)的所有用戶方便的讀取82、依據(jù)國家標準信息安全技術信息系統(tǒng)災難恢復規(guī)范(GB/T20988),災難恢復管理過程的主要步驟是災難恢復需求分析，災難恢復策略制定，災難恢復預案制定和管理，其中災難恢復策略實現(xiàn)不包括以下哪一項？A分析業(yè)務功能日選擇和建設災難備份中心C實現(xiàn)災備系統(tǒng)技術方案D實現(xiàn)災備系統(tǒng)技術支持和維護能力83、在進行應

32、用系統(tǒng)的的測試時，應盡可能避免使用包含個人隱私和其他敏感信息的實際生 產系統(tǒng)中的數(shù)據(jù)，如果需要使用時。以下哪一項不是必須做的：A、測試系統(tǒng)應使用不低于生產關系的訪問控制措施 日為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施 C在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù) D部署審計措施，記錄生產數(shù)據(jù)的拷貝和使用84、下列有關能力成熟度模型的說法錯誤的是：A能力成熟度模型可以分為過程能力方案( Continuous )和組織能力方案(Staged)兩類 日使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域C使用組織機構成熟度方案時，每一個能力級別都對應一組已經定義好的過程域D SSE-CM誕

33、一種屬于組織能力方案(Staged )的針對系統(tǒng)安全工程的能力成熟度模型85、一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后，就可以對組織層面的過程進行規(guī)范的定義？A 2級一計劃和跟蹤B 3級一充分定義C 4級一量化控制DX 5級一持續(xù)改進 86D87C88D89B90C86、下列哪項不是信息系統(tǒng)安全工程能力成熟度模型（ SSE-CMM的主要過程： A風險過程 日保證過程C工程過程 D評估過程87、SSE-CMW程過程區(qū)域中的風險過程包含哪些過程區(qū)域？A、評估威脅、評估脆弱性、評估影響 日評估威脅、評估脆弱性、評估安全風險C評估威脅、評估脆弱性、評估影響、評估安全風險D評估威脅、評估脆弱性、評估

34、影響、驗證和證實安全88、信息系統(tǒng)安全工程（ISSE）的一個重要目標就是在IT項目的各個階段充分考慮安全因素，在IT項目的立項階段，以下哪一項不是必須進行的工作：A、明確業(yè)務對信息安全的要求 日識別來自法律法規(guī)的安全要求 C論證安全要求是否正確完整 D通過測試證明系統(tǒng)的功能和性能可以滿足安全需求 89、信息化建設和信息安全建設的關系應當是：A、信息化建設的結果就是信息安全建設的開始日信息化建設和信息安全建設應同步規(guī)劃、同步實施C信息化建設和信息安全建設是交替進行的，無法區(qū)分誰先誰后D以上說法都正確當乙方提出一項工程變更時你90、如果你作為甲方負責監(jiān)管一個信息安全工程項目的實施, 最應當關注的是

35、：A、變更的流程是否符合預先的規(guī)定日變更是否會對項目進度造成拖延C變更的原因和造成的影響D變更后是否進行了準確地記錄 91A92B93D94D95C91、以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述？A、應基于法律法規(guī)和用戶需求，進行需求分析和風險評估，從信息系統(tǒng)建設的開始就綜合 信息系統(tǒng)安全保障的考慮日應充分調研信息安全技術發(fā)展情況和信息安全產品市場，選擇最先進的安全解決方案和 技術產品C應在將信息安全作為實施和開發(fā)人員的一項重要工作內容，提出安全開發(fā)的規(guī)范并切實 落實D應詳細規(guī)定系統(tǒng)驗收測試中有關系統(tǒng)安全性測試的內容92、在進行應用系統(tǒng)的測試時，應盡可能避免使用包含個人隱私和其他敏感信息的實際生產 系統(tǒng)中的