1、1.在橙皮書的概念中，信任是存在于以下哪一項中的?A.操作系統(tǒng)B.網(wǎng)絡(luò)C.數(shù)據(jù)庫D.應(yīng)用程序系統(tǒng)答案：A2.下述攻擊手段中不屬于 DOS擊的是：（）A.Smurf 攻擊B.Land 攻擊C.Teardrop 攻擊D.CGI 溢出攻擊答案：Do3.“中華人民 XX 國保守國家秘密法”第二章規(guī)定了國家秘密的 X 圍和密級，國家秘密的密級分為：（A.“普密”、 “商密”兩個級別B.“低級”和“高級”兩個級別C.“絕密”、 “XX” 、“秘密”三個級別D.“一密”、“一密”、“三密”、“四密”四個級別答案：C4.應(yīng)用軟件測試的正確順序是:A.集成測試、單元測試、系統(tǒng)測試、驗收測試B.單元測試、系統(tǒng)測試

2、、集成測試、驗收測試C.驗收測試、單元測試、集成測試、系統(tǒng)測試D.單元測試、集成測試、系統(tǒng)測試、驗收測試答案： 選項 D。5.多層的樓房中，最適合做數(shù)據(jù)中心的位置是:A.一樓B.地下室C.頂樓D.除以上外的任何樓層答案：D。6.隨著全球信息化的發(fā)展，信息安全成了網(wǎng)絡(luò)時代的熱點，為了保證我國信息產(chǎn)業(yè)的發(fā)展與安全，必須加強對信息安全產(chǎn)品、系統(tǒng)、服務(wù)的測評認(rèn)證，中國信息安全產(chǎn)品測評認(rèn)證中心正是由國家授權(quán)從事測評認(rèn)證的國家級測評認(rèn)證實體機構(gòu)，以下對其測評認(rèn)證工作的錯誤認(rèn)識是：A.測評與認(rèn)證是兩個不同概念，信息安全產(chǎn)品或系統(tǒng)認(rèn)證需經(jīng)過申請、測試、評估，認(rèn)證一系列環(huán)節(jié)。B.認(rèn)證公告將在一些媒體上定期發(fā)布，

3、只有通過認(rèn)證的產(chǎn)品才會向公告、測試中或沒有通過測試的產(chǎn)品不再公告之列。C.對信息安全產(chǎn)品的測評認(rèn)證制度是我國按照 WTO 規(guī)則建立的技術(shù)壁壘的管理體制。D.通過測試認(rèn)證達到中心認(rèn)證標(biāo)準(zhǔn)的安全產(chǎn)品或系統(tǒng)完全消除了安全風(fēng)險。答案：D。7.計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知：A.系統(tǒng)管理員B.律師C.恢復(fù)協(xié)調(diào)員D.硬件和軟件廠商答案：Bo8.下面的哪種組合都屬于多邊安全模型?A.TCSEC 和 Bell-LaPadulaB.ChineseWall 和 BMAC.TCSEC 和 Clark-WilsonD.ChineseWall 和 Biba答案：B9.下面哪種方法可以替代電子銀

4、行中的個人標(biāo)識號（PINs）的作用？A.虹膜檢測技術(shù)B.語音標(biāo)識技術(shù)C.筆跡標(biāo)識技術(shù)D.指紋標(biāo)識技術(shù)答案：Ao10.拒絕服務(wù)攻擊損害了信息系統(tǒng)的哪一項性能？A.完整性B.可用性C.XX 性D.可靠性答案：Bo11.下列哪一種模型運用在 JAVA 安全模型中:A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型答案：Co12.以下哪一個協(xié)議是用于電子系統(tǒng)的?A.X.25B.X.75C.X.400D.X.500答案：C?！叭绻粭l鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合于以下哪一種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)的?A.星型B.樹型C.環(huán)型D.復(fù)合型答案：Ao14.在一個局域網(wǎng)的環(huán)境中，其

5、內(nèi)在的安全威脅包括主動威脅和被動威脅。以下哪一項屬于被動威脅?A.報文服務(wù)拒絕B.假冒C.數(shù)據(jù)流分析D.報文服務(wù)更改答案：C。15.ChineseWall 模型的設(shè)計宗旨是：A.用戶只能訪問那些與已經(jīng)擁有的信息不沖突的信息B.用戶可以訪問所有信息C.用戶可以訪問所有已經(jīng)選擇的信息D.用戶不可以訪問那些沒有選擇的信息答案：Ao16.ITSEC 中的 F1-F5 對應(yīng) TCSE3 哪幾個級別？A.D 到 B2B.C2 到 B3C.C1 到 B3D.C2 到 A1答案：C。17.下面哪一個是國家推薦性標(biāo)準(zhǔn)？A.GB/T18020-1999 應(yīng)用級防火墻安全技術(shù)要求B.SJ/T30003-93 電子計

6、算機機房施工與驗收規(guī) XC.GA243-2000 計算機病毒防治產(chǎn)品評級準(zhǔn)則D.ISO/IEC15408-1999 信息技術(shù)安全性評估準(zhǔn)則答案：Ao18.密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰?A.對稱的公鑰算法B.非對稱私鑰算法C.對稱密鑰算法D.非對稱密鑰算法答案：C。19.在執(zhí)行風(fēng)險分析的時候，預(yù)期年度損失（ALE）的計算是：A.全部損失乘以發(fā)生頻率B.全部損失費用+實際替代費用13.C.單次預(yù)期損失乘以發(fā)生頻率D.資產(chǎn)價值乘以發(fā)生頻率答案：C。20.作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行風(fēng)險評價的時候的步驟是:1.考慮可能的威

7、脅2.建立恢復(fù)優(yōu)先級3.評價潛在的影響4.評價緊急性需求A.1-3-4-2B.1-3-2-4C.1-2-3-4D.1-4-3-2答案：Ao21.CC 中安全功能/保證要求的三層結(jié)構(gòu)是（按照由大到小的順序）A.類、子類、組件B.組件、子類、元素C.類、子類、元素D.子類、組件、元素答案：Ao22.有三種基本的鑒別的方式：你知道什么，你有什么,A.你需要什么B.你看到什么C.你是什么D.你做什么答案：C。23.為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能?A.人際關(guān)系技能B.項目管理技能C.技術(shù)技能D.溝通技能答案：Do24.以下哪一種人給公司帶來了最大的安全風(fēng)險?A.臨時工B.咨

8、詢?nèi)藛TC.以前的員工D.當(dāng)前的員工答案：Do25.SSL 提供哪些協(xié)議上的數(shù)據(jù)安全:A.,FTP 和 TCP/IPB.C.SKIP,SNMP 和 IPUDP,VPN 和 SONETD.PPTP,DMIRC4答案：A26.在 Windows2000 中可以察看開放端口情況的是:A.nbtstatB.netC.netshowD.netstat答案：Do27.SMTP1 接服務(wù)器使用端口A.21B.25C.80D.110答案：B。28.在計算機中心，下列哪一項是磁介質(zhì)上信息擦除的最徹底形式A.清除B.凈化C.刪除以與:D.破壞29.以下哪一種算法產(chǎn)生最長的密鑰?A.Diffe-HellmanB.DE

9、SC.IDEAD.RSA答案：D。30.下面哪一種風(fēng)險對電子商務(wù)系統(tǒng)來說是特殊的?A.服務(wù)中斷B.應(yīng)用程序系統(tǒng)欺騙C.未授權(quán)的信息泄漏D.確認(rèn)信息發(fā)送錯誤答案：D。31.以下哪一項不屬于惡意代碼?A.病毒B.蠕蟲C.宏D.特洛伊木馬答案：C。32.下列哪項不是信息系統(tǒng)安全工程能力成熟度模型（SSE-CMM 的主要過程：A.風(fēng)險過程B.保證過程C.工程過程D.評估過程答案：D33.目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多門， 計算機信息系統(tǒng)國際聯(lián)網(wǎng)所制定的規(guī)章制度？A.公安部B.國家 XX 局C.信息產(chǎn)業(yè)部D.國家密碼管理委員會辦公室答案：Bo34.為了保護

10、 DNS 的區(qū)域彳專法(zonetransfer)，你應(yīng)該配置防火墻以阻止1.UDP2.TCP3.534.525.1,38.2,39.1，410.2，4答案：Bo35.在選擇外部供貨生產(chǎn)商時，評價標(biāo)準(zhǔn)按照重要性的排列順序是:1.供貨商與信息系統(tǒng)部門的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽、專業(yè)知識、技術(shù)4.供貨商的財政狀況和管理情況A.4, 3，1， 2B.3, 4， 2， 1C.3，2， 4， 1D.1，2， 3， 4答案：B36.機構(gòu)應(yīng)該把信息系統(tǒng)安全看作:A.業(yè)務(wù)中心B.風(fēng)險中心C.業(yè)務(wù)促進因素D.業(yè)務(wù)抑制因素答案：C。XX 管理規(guī)定是由下列哪個部門37.輸入控制的目的是確保:A.

11、對數(shù)據(jù)文件訪問的授權(quán)B.對程序文件訪問的授權(quán)C.完全性、準(zhǔn)確性、以與更新的有效性D.完全性、準(zhǔn)確性、以與輸入的有效性答案： 選項 D。38.以下哪個針對訪問控制的安全措施是最容易使用和管理的?A.密碼B.加密標(biāo)志C.硬件加密D.加密數(shù)據(jù)文件答案：Co39.下面哪種通信協(xié)議可以利用 IPSEC 的安全功能?I. TCPII.UDPIII.FTPA.只有 IB.I 和 IIC.II 和 IIID.IIIIII答案：D。以下哪一種模型用來對分級信息的 XX 性提供保護?A.Biba 模型和 Bell-LaPadula 模型B.Bell-LaPadula 模型和信息流模型C.Bell-LaPadula

12、 模型和 Clark-Wilson 模型D.答案：Clark-Wilson 模型和信息流模型 B。41.下列哪一項能夠提高網(wǎng)絡(luò)的可用性？A.數(shù)據(jù)冗余B.鏈路冗余C.軟件冗余D.電源冗余答案：選項 Bo42.為了阻止網(wǎng)絡(luò)假冒，最好的方法是通過使用以下哪一種技術(shù)?A.回撥技術(shù)B.呼叫轉(zhuǎn)移技術(shù)C.只采用文件加密D.回撥技術(shù)加上數(shù)據(jù)加密答案：Do43.一下那一項是基于一個大的整數(shù)很難分解成兩個素數(shù)因數(shù)?A.ECCB.RSAC.DESD.Diffie-Hellman答案：B。44.下面哪一項是對 IDS 的正確描述？A.基于特征(Signature-based)的系統(tǒng)可以檢測新的攻擊類型B.基于特征(S

13、ignature-based)的系統(tǒng)比基于行為(behavior-based)的系統(tǒng)產(chǎn)生更多的誤報C.基于行為(behavior-based)的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D.基于行為(behavior-based)的系統(tǒng)比基于特征(Signature-based)的系統(tǒng)有更高的誤報答案：D。45.ISO9000 標(biāo)準(zhǔn)系列著重于以下哪一個方面？A.產(chǎn)品B.加工處理過程C.原材料40.D.生產(chǎn)廠家答案：B46,下列哪項是私有 IPA.B.C.D.答案：A47.以下哪一項是和電子系統(tǒng)無關(guān)的?A.PEM(

14、PrivacyenhancedmailB.PGP(Prettygoodprivacy)C.X.500D.X.400答案：Co48.系統(tǒng)管理員屬于A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層，又可以劃為執(zhí)行層答案：C。49.為了保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當(dāng)終止與員工的聘用關(guān)系時下面哪一項是最好的方法？A.進行離職談話，讓員工簽署 XX 協(xié)議，禁止員工賬號，更改密碼B.進行離職談話，禁止員工賬號，更改密碼C.讓員工簽署跨邊界協(xié)議D.列出員工在解聘前需要注意的所有責(zé)任答案：Ao50.職責(zé)分離是信息安全管理的一個基本概念。其關(guān)鍵是權(quán)力不能過分集中在某一個人手中。職責(zé)分離的目的是確保沒有單獨的

15、人員(單獨進行操作)可以對應(yīng)用程序系統(tǒng)特征或控制功能進行破壞。當(dāng)以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責(zé)分離”原則的違背？A.數(shù)據(jù)安全管理員B.數(shù)據(jù)安全分析員C.系統(tǒng)審核員D.系統(tǒng)程序員答案：D。51.下面哪一種攻擊方式最常用于破解口令？A.哄騙(spoofing)B.字典攻擊(dictionaryattack)C.拒絕服務(wù)(DoS)D.WinNuk答案：Bo52.下面哪一項組成了 CIA 三元組？A.XX 性，完整性，保障B.XX 性，完整性，可用性C.XX 性，綜合性，保障D.XX 性，綜合性，可用性答案：Bo53.Intranet 沒有使用以下哪一項？A.Java 編程語百B

16、.TCP/IP 協(xié)議C.公眾網(wǎng)絡(luò)D.電子答案：Co54.TCP 三次握手協(xié)議的第一步是發(fā)送一個A.SYN 包B.ACK 包C.UDP 包D.null 包答案：A。55.在企業(yè)內(nèi)部互聯(lián)網(wǎng)中，一個有效的安全控制機制是:A.復(fù)查靜態(tài)密碼B.C.防火墻D.動態(tài)密碼答案：C。56.從安全的角度來看，運行哪一項起到第一道防線的作用：A.遠端服務(wù)器B.Web 服務(wù)器C.防火墻D.使用安全 shell 程序答案：C。57.對于一個機構(gòu)的高級管理人員來說，關(guān)于信息系統(tǒng)安全操作的最普遍的觀點是:A.費用中心B.收入中心C.利潤中心D.投資中心答案：Ao58.一個數(shù)據(jù)倉庫中發(fā)生了安全性破壞。以下哪一項有助于安全調(diào)查

17、的進行?A.訪問路徑B.時戳C.數(shù)據(jù)定義D.數(shù)據(jù)分類答案：B。59.在客戶/服務(wù)器系統(tǒng)中，安全方面的改進應(yīng)首先集中在:A.應(yīng)用軟件級B.數(shù)據(jù)庫服務(wù)器級C.數(shù)據(jù)庫級D.應(yīng)用服務(wù)器級答案： 選項 C。60.下面哪種方法產(chǎn)生的密碼是最難記憶的？A.將用戶的生日倒轉(zhuǎn)或是重排B.將用戶的年薪倒轉(zhuǎn)或是重排C.將用戶配偶的名字倒轉(zhuǎn)或是重排D. 用戶隨機給出的字母答案：D。61.從風(fēng)險分析的觀點來看，計算機系統(tǒng)的最主要弱點是：A.內(nèi)部計算機處理B.系統(tǒng)輸入輸出C.通訊和網(wǎng)絡(luò)D.外部計算機處理答案：Bo62.下列哪一個說法是正確的？A.風(fēng)險越大，越不需要保護B.風(fēng)險越小，越需要保護C.風(fēng)險越大，越需要保護D.越

18、是中等風(fēng)險，越需要保護答案：C。63.在 OSI 參考模型中有 7 個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性。以下哪一層提供了抗抵賴性?A.表示層B.應(yīng)用層C.傳輸層D.數(shù)據(jù)鏈路層答案：B64.保護輪廓（PP）是下面哪一方提出的安全要求?A.評估方B.開發(fā)方C.用戶方D.制定標(biāo)準(zhǔn)方65.在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？A.標(biāo)準(zhǔn)(Standard)B.安全策略(Securitypolicy)C.方針(Guideline)D.流程(Procedure)答案：Ao66.軟件的供應(yīng)商或是制造商可以在他們自己的產(chǎn)品中或是客戶的計算機系統(tǒng)上安裝一個“后門”程序。

19、以下哪一項是這種情況面臨的最主要風(fēng)險?A.軟件中止和黑客入侵B.遠程監(jiān)控和遠程維護C.軟件中止和遠程監(jiān)控D.遠程維護和黑客入侵答案：Ao67.從風(fēng)險的觀點來看，一個具有任務(wù)緊急性，核心功能性的計算機應(yīng)用程序系統(tǒng)的開發(fā)和維護項目應(yīng)該：A.內(nèi)部實現(xiàn)B.外部采購實現(xiàn)C.合作實現(xiàn)D.多來源合作實現(xiàn)答案：選項Ao68.操作應(yīng)用系統(tǒng)由于錯誤發(fā)生故障。下列哪個控制是最沒有用的?A.錯誤總計B.日志C.檢查點控制D.恢復(fù)記錄答案： 選項 A。69.在許多組織機構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少風(fēng)險分析D.缺少技術(shù)控制機制答案：Ao70.如果對于程序變動的手工控制收

20、效甚微，以下哪一種方法將是最有效的?A.自動軟件管理B.書面化制度C.書面化方案D.書面化標(biāo)準(zhǔn)答案：Ao71.以下人員中，誰負有決定信息分類級別的責(zé)任?A.用戶B.數(shù)據(jù)所有者C.審計員D.安全官答案：Bo72.當(dāng)為計算機資產(chǎn)定義保險覆蓋率時，下列哪一項應(yīng)該特別考慮?A.已買的軟件B.定做的軟件C.硬件D.數(shù)據(jù)答案：Do73.以下哪一項安全目標(biāo)在當(dāng)前計算機系統(tǒng)安全建設(shè)中是最重要的？A.目標(biāo)應(yīng)該具體B.目標(biāo)應(yīng)該清晰C.目標(biāo)應(yīng)該是可實現(xiàn)的D.目標(biāo)應(yīng)該進行良好的定義答案：C。74.哪一項描述了使用信息鑒權(quán)碼(MAC 和數(shù)字簽名之間的區(qū)別？A.數(shù)字簽名通過使用對稱密鑰提供系統(tǒng)身份鑒別。B.數(shù)據(jù)來源通過在

21、 MAC 中使用私鑰來提供。C.因為未使用私鑰，MAC 只能提供系統(tǒng)鑒別而非用戶身份鑒別D.數(shù)字簽名使用私鑰和公鑰來提供數(shù)據(jù)來源和系統(tǒng)與用戶鑒別。答案：C。75.在桔皮書（theOrangeBook）中，下面級別中哪一項是第一個要求使用安全標(biāo)簽（A.B3B.B2C.C2D.D答案：Bo76.數(shù)據(jù)庫視圖用于？A.確保相關(guān)完整性B.方便訪問數(shù)據(jù)C.限制用戶對數(shù)據(jù)的訪問.D.提供審計跟蹤答案：C。77.下面哪一項最好地描述了風(fēng)險分析的目的？A.識別用于保護資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B.識別資產(chǎn)以與保護資產(chǎn)所使用的技術(shù)控制措施C.識別資產(chǎn)、脆弱性并計算潛在的風(fēng)險D.識別同責(zé)任義務(wù)有直接關(guān)系的威脅答案：C

22、。78.KerBeros 算法是一個A.面向訪問的保護系統(tǒng)B.面向票據(jù)的保護系統(tǒng)C.面向列表的保護系統(tǒng)D.面向門與鎖的保護系統(tǒng)答案：Bo79.下面哪一項不是主機型入侵檢測系統(tǒng)的優(yōu)點？A.性能價格比高B.視野集中C.敏感細膩D.占資源少答案：D。80.以下哪一項是偽裝成有用程序的惡意軟件？A.計算機病毒B.特洛伊木馬C.邏輯炸彈D.蠕蟲程序答案：Bo81.計算機病毒會對下列計算機服務(wù)造成威脅，除了:A.完整性B.有效性C.XX 性D.可用性答案：C。82.以下哪一種局域網(wǎng)傳輸媒介是最可靠的?A.同軸電纜B.光纖C.雙絞線（屏蔽）D.雙絞線（非屏蔽）答案：Bo83.以下哪一項計算機安全程序的組成部

23、分是其它組成部分的基礎(chǔ)?A.制度和措施B.漏洞分析C.意外事故處理計劃D.采購計劃securitylabel）的？答案：Ao84.描述系統(tǒng)可靠性的主要參數(shù)是：A.平均修復(fù)時間和平均故障間隔時間B.冗余的計算機硬件C.備份設(shè)施D. 應(yīng)急計劃答案：Ao85.對不同的身份鑒別方法所提供的防止重用攻擊的功效，按照從大到小的順序，以下排列正確的是:A.僅有密碼，密碼與個人標(biāo)識號（PIN）,口令響應(yīng)，一次性密碼B.密碼與個人標(biāo)識號（PIN）,口令響應(yīng)，一次性密碼，僅有密碼C.口令響應(yīng)，一次性密碼，密碼與個人標(biāo)識號（PIN）,僅有密碼D. 口令響應(yīng)，密碼與個人標(biāo)識號（PIN）,一次性密碼，僅有密碼答案：C。86.密碼分析的目的是什么？A.確定加密算法的強度B.增加加密算法的代替功能C.減少加密算法的換位功能D.確定所使用的換位答案：Ao87.RSAtDSA 相比的優(yōu)點是什么？A.它可以提供數(shù)字簽名和加密功能B.由于使用對稱密鑰它使用的資源少加密速度快C.前者是分組加密后者是流加密D.它使用一次性密碼本答案：Ao88.按照 SSE-CMM 能力級別第三級是指：A.定量控制B.計劃和跟蹤C.持續(xù)改進D.充分定義答案：Do89.下面選項中不屬于數(shù)據(jù)庫安全模型的是：A.自主型安全模型B.強制型安全模型C.基于角色的模型D