注冊信息安全專業(yè)人員考試

大綱知識點綜合測試題（A）

（時間：120分鐘數(shù)量：100題題型：單選題，將正確答案填寫在表格中）

1.依據(jù)國家標準/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標（ISST）中，

安全保障目的指的是:

A、信息系統(tǒng)安全保障目的

B、環(huán)境安全保障目的

C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術安全保障目的和工程安全

保障目的

答案：D

解釋：GB/T20274信息系統(tǒng)保障評估框架從管理、技術、工程和總體方面進行評估。

2.以下哪一項是數(shù)據(jù)完整性得到保護的例子？

A.某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以

完成操作

B.在提款過程中ATM終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該用戶的賬戶余額進行了

沖正操作

C.某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行

了什么操作

D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)

間諜無法查看

答案：B

解釋：A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施,

是Clark-Wilson模型的應用，解決數(shù)據(jù)變化過程的完整性。

3.進入21世紀以來，信息安全成為世界各國安全戰(zhàn)略關注的重點，紛紛制定并頒布網(wǎng)

絡空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡空間安全戰(zhàn)略的內容也各不相

同，以下說法不正確的是:

A.與國家安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施是各國安全保障的重點

B.美國尚未設立中央政府級的專門機構處理網(wǎng)絡信息安全問題，信息安全管理職能

由不同政府部門的多個機構共同承擔

C.各國普遍重視信息安全事件的應急響應和處理

D.在網(wǎng)絡安全戰(zhàn)略中，各國均強調加強政府管理力度，充分利用社會資源，發(fā)揮政

府與企業(yè)之間的合作關系

答案：B

解釋：美國已經(jīng)設立中央政府級的專門機構。

4.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)？

A.防護B.檢測C.響應D.策略

答案：D

解釋：PPDR是指策略、保護、檢測和反應（或響應）。PPDR比PDR多策略。

5.以下關于項目的含義，理解錯誤的是:

A.項目是為達到特定的目的、使用一定資源、在確定的期間內、為特定發(fā)起人而提

供獨特的產品、服務或成果而進行的一次性努力。

B.項目有明確的開始日期，結束日期由項目的領導者根據(jù)項目進度來隨機確定。

C.項目資源指完成項目所需要的人、財、物等。

D.項目目標要遵守SMART原則，即項目的目標要求具體(Specific)、可測量

(Measurable)＞需相關方的一致同意(Agreeto)、現(xiàn)實(Realistic)、有一定的

時限(Timeoriented)

答案：B

解釋：據(jù)項目進度不能隨機確定，需要根據(jù)項目預算、特性、質量等要求進行確定。

6.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立國家網(wǎng)絡安全綜合計劃

(ComprehensiveNationalCybersecurityInitiative,CNCI)oCNCI計劃建立三

道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；

第三道防線，強化未來安全環(huán)境.從以上內容，我們可以看出以下哪種分析是正確的：

A.CNCI是以風險為核心，三道防線首要的任務是降低其網(wǎng)絡所面臨的風險

B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內部的

C.CNCI的目的是盡快研發(fā)并部署新技術徹底改變其糟糕的網(wǎng)絡安全現(xiàn)狀，而不是在

現(xiàn)在的網(wǎng)絡基礎上修修補補

D.CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關鍵基礎設施視為信息安全保

障重點，而是追求所有網(wǎng)絡和系統(tǒng)的全面安全保障

答案：A

解釋：CNCI第一個防線針對漏洞進行風險控制，第二個防線針對威脅進行風險控制，

總體的目標是降低網(wǎng)絡風險。B、C、D答案均無法從題干反應。

7.下列對于信息安全保障深度防御模型的說法錯送的是：

A.信息安全外部環(huán)境：信息安全保障是組織機構安全、國家安全的一個重要組成部

分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約

下。

B.信息安全管理和工程：信息安全保障需要在整個組織機構內建立和完善信息安全

管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我

們需要采用信息系統(tǒng)工程的方法來建設信息系統(tǒng)。

C.信息安全人才體系：在組織機構中應建立完善的安全意識，培訓體系也是信息安

全保障的重要組成部分。

D.信息安全技術方案：“從外而內、自下而上、形成邊界到端的防護能力”。

答案：D

解釋：正確描述是從內而外，自上而下，從端到邊界的防護能力。

8.某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪

一類:

A.個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B.由可信第三方完成的用戶身份鑒別

C.個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別

D.用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別

答案：C

解釋：題干為網(wǎng)銀系統(tǒng)對用戶的鑒別。

9.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復

出明文。以下說法正確的是:

A.此密碼體制為對稱密碼體制

B.此密碼體制為私鑰密碼體制

C.此密碼體制為單鑰密碼體制

D.此密碼體制為公鑰密碼體制

答案：D

解釋：題干中使用到了私鑰解密，私鑰是公鑰密碼體制中用戶持有的密鑰，相對于公

鑰而言，則為非對稱密碼體制，非對稱密碼體制又稱為公鑰密碼體制。

10.下列哪一種方法屬于基于實體“所有”鑒別方法：

A.用戶通過自己設置的口令登錄系統(tǒng)，完成身份鑒別

B.用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別

C.用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應答，通過身份鑒別

D.用戶使用集成電路卡（如智能卡）完成身份鑒別

答案：D

解釋：實體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。

11.為防范網(wǎng)絡欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡

+短信認證”模式進行網(wǎng)上轉賬等交易，在此場景中用到下列哪些鑒別方法？

A.實體“所知”以及實體“所有”的鑒別方法

B.實體“所有”以及實體“特征”的鑒別方法

C.實體“所知”以及實體“特征”的鑒別方法

D.實體“所有”以及實體“行為”的鑒別方法

答案：A

解釋：題目中安全登錄會涉及到賬號密碼為實體所知，智能卡和短信是實體所有。

12.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構對軟件

進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經(jīng)理提出了還

需要對應用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源

代碼測試、模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性測試的優(yōu)勢？

A.滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產生的

漏洞

B.滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高

C.滲透測試使用人工進行測試，不依賴軟件，因此測試更準確

D.滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

答案：A

品釋：滲透測試是模擬攻擊的黑盒測試，有利于發(fā)現(xiàn)系統(tǒng)明顯的問題。

13.軟件安全設計和開發(fā)中應考慮用戶穩(wěn)私包，以下關于用戶隱私保護的說法哪個是錯送

的？

A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用

B.當用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許

C.用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是

D.確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關法律法規(guī)

答案：C

而釋：個人隱私包括但不限于用戶名密碼、位置、行為習慣等信息。

14.軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想，在有限資源前提

下實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關注過度防范造成

的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是:

A.在軟件立項時考慮到軟件安全相關費用，經(jīng)費中預留了安全測試、安全評審相關費

用，確保安全經(jīng)費得至ij落實

B.在軟件安全設計猛，邀請軟件安全開發(fā)專家對軟件架構設計進行評審，及時發(fā)現(xiàn)

架構設計中存在的安全不足

C.確保對軟編碼人員進行安全培訓，使開發(fā)人員了解安全編碼基本原則和方法，確

保開發(fā)人員編寫出安全的代碼

D.在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測

試，未經(jīng)以主測試的軟件不弁許上線運行

答案：D

解釋：軟件的安全測試根據(jù)實際情況進行測試措施的選擇和組合。

15.以下哪一項丕是工作在網(wǎng)絡第二層的隧道協(xié)議：

A.VTPB.L2FC.PPTPD.L2TP

答案：A

解釋：L2F、PPTP、L2Tp均為二層隧道協(xié)議。

16.主體S對客體01有讀(R)權限，對客體02有讀(R)、寫(W)、擁有(Own)權限，該訪問

控制實現(xiàn)方法是：

A.訪問控制表(ACL)

B.訪問控制矩陣

C.能力表(CL)

D.前綴表(Profiles)

答案：C

解釋：定義主體訪問客體的權限叫作CL。定義客體被主體訪問的權限叫ACL。

17.以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl.RBAC)：根

據(jù)組織的業(yè)務要求或管理要求，在業(yè)務系統(tǒng)中設置若干崗位、職位或分工，管理員負

責將權限(不同類別和級別的)分別賦予承擔不同工作職責的用戶。關于RBAC模型，

下列說法錯誤的是:

A.當用戶請求訪問某資源時，如果其操作權限不在用戶當前被激活角色的授權范圍

內，訪問請求將被拒絕

B.業(yè)務系統(tǒng)中的崗位、職位或者分工，可對應RBAC模型中的角色

C.通過角色，可實現(xiàn)對信息資源訪問的控制

D.RBAC模型不能實現(xiàn)多級安全中的訪問控制

答案：D

解釋：RBAC模型能實現(xiàn)多級安全中的訪問控制。

18.下面哪一項丕是虛擬專用網(wǎng)絡(VPN)協(xié)議標準：

A.第二層隧道協(xié)議(L2TP)

B.Internet安全性(IPSEC)

C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)

D.點對點隧道協(xié)議(PPTP)

答案：C

解釋：TACACS+是AAA權限控制系統(tǒng)，不屬于VPN。

19.下列對網(wǎng)絡認證協(xié)議Kerberos描述正逸的是：

A.該協(xié)議使用非對稱密鑰加密機制

B.密鑰分發(fā)中心由認證服務器、票據(jù)授權服務器和客戶機三個部分組成

C.該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù)

D.使用該協(xié)議不需要時鐘基本同步的環(huán)境

答案：C

解釋：A錯誤，因為使用對稱密碼；B錯誤，因為密鑰分發(fā)中心不包括客戶機；D錯

誤，因為協(xié)議需要時鐘同步。三個步驟：

1)身份認證后獲得票據(jù)許可票據(jù)；

2)獲得服務許可票據(jù)；

3)獲得服務。

20.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所知道的:

A.口令B.金牌C.知識D.密碼

答案：B

解釋：令牌是基于實體所有的鑒別方式。

21.在ISO的0SI安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務？

A.加密B.數(shù)字簽名C.訪問控制D.路由控制

答案：B

解釋：數(shù)字簽名可以提供抗抵賴、鑒別和完整性。

22.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)產品,需

要購買防火墻，以下做法應當優(yōu)先考慮的是:

A.選購當前技術最先進的防火墻即可

B.選購任意一款品牌防火墻

C.任意選購一款價格合適的防火墻產品

D.選購一款同已有安全產品聯(lián)動的防火墻

答案：D

解釋：在技術條件允許情況下，可以實現(xiàn)IDS和FW的聯(lián)動。

23.在0SI參考模型中有7個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性，以

下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務？

A.網(wǎng)絡層B.表不層C.會話層D.物理層

答案：A

品釋：網(wǎng)絡層和應用層可以提供保密性、身份鑒別、完整性、抗抵賴、訪問控制服務。

24.某單位人員管理系統(tǒng)在人員離職時進行賬號刪除，需要離職員工所在部門主管經(jīng)理和

人事部門人員同時進行確認才能在系統(tǒng)上執(zhí)行,該設計是遵循了軟件安全哪項原則

A.最小權限B.權限分離C.不信任D.縱深防御

答案：B

解釋：權限分離是將一個較大的權限分離為多個子權限組合操作來實現(xiàn)。

25.以下關于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity,IPSec)協(xié)議說法錯送的是：

A.在傳送模式中，保護的是IP負載。

B.驗證頭協(xié)議(AuthenticationHeader,AH)和IP封裝安全載荷協(xié)議(Encapsulating

SecurityPayload,ESP)都能以傳輸模式和隧道模式工作。

C.在隧道模式中，保護的是整個互聯(lián)網(wǎng)協(xié)議IP包，包括IP頭。

D.IPSec僅能保證傳輸數(shù)據(jù)的可認證性和保密性。

答案：D

解釋：IPSEC可以提供身份鑒別、保密性、完整性、抗抵賴、訪問控制服務。

26.某電子商務網(wǎng)站在開發(fā)設計時，使用了威脅建模方法來分折電子商務網(wǎng)站所面臨的威

脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提

供了標準的消減措施，Spoofing是STRIDE中欺騙類的威脅,以下威脅中哪個可以歸

入此類威脅？

A.網(wǎng)站競爭對手可能雇傭攻擊者實施DDoS攻擊，降低網(wǎng)站訪問速度

B.網(wǎng)站使用http協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息

泄露，例如購買的商品金額等

C.網(wǎng)站使用http協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能

數(shù)據(jù)被中途篡改

D.網(wǎng)站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得

用戶密碼，以該用戶身份登錄修改用戶訂單等信息

答案：D

解釋：A屬于可用性；B保密性；C屬于完整性。

27.以下關于PGP(PrettyGoodPrivacy)軟件敘述錯送的是：

A.PGP可以實現(xiàn)對郵件的加密、簽名和認證

B.PGP可以實現(xiàn)數(shù)據(jù)壓縮

C.PGP可以對郵件進行分段和重組

D.PGP采用SHA算法加密郵件

林案：D

/釋：SHA不提供加密，SHA是摘要算法提供數(shù)據(jù)完整性校驗。

28.入侵防御系統(tǒng)(IPS)是繼入侵檢測系統(tǒng)(IDS)后發(fā)展期出來的一項新的安全技術，它與

IDS有著許多不同點，請指出下列哪一項描述不符合IPS的特點？

A.串接到網(wǎng)絡線路中

B.對異常的進出流量可以直接進行阻斷

C.有可能造成單點故障

D.不會影響網(wǎng)絡性能

答案：D

薛釋：IPS在串聯(lián)情況下，會影響網(wǎng)絡性能。

29.相比文件配置表(FAT)文件系統(tǒng)，以下哪個丕是新技術文件系統(tǒng)(NTFS)所具有的優(yōu)勢?

A.NTFS使用事務日志自動記錄所有文件夾和文件更新，當出現(xiàn)系統(tǒng)損壞和電源故障

等問題，而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復未成功的操作

B.NTFS的分區(qū)上，可以為每個文件或文件夾設置單獨的許可權限

C.對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率

D.相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式

答案：D

解釋：NTFS不能兼容EXT文件系統(tǒng)。

30.某公司系統(tǒng)管理員最近正在部署一臺Web服務器，使用的操作系統(tǒng)是windows,在進

行日志安全管理設置時，系統(tǒng)管理員擬定四條日志安全策略給領導進行參考，其中能

有效應對攻擊者獲得系統(tǒng)權限后對日志進行修改的策略是：

A.網(wǎng)絡中單獨部署syslog服務器，將Web服務器的日志自動發(fā)送并存儲到該syslog

日志服務器中

B.嚴格設置Web日志權限，只有系統(tǒng)權限才能進行讀和寫等操作

C.對日志屬性進行調整，加大日志文件大小、延長覆蓋時間、設置記錄更多信息等

D.使用獨立的分區(qū)用于存儲日志，并且保留足夠大的日志空間

答案：A

解釋：在多重備份存儲情況下，可以防護日志被篡改的攻擊(前提非實時同步)。

31.關于linux下的用戶和組，以下描述不正確的是。

A.在linux中，每一個文件和程序都歸屬于一個特定的“用戶”

B.系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組

C.用戶和組的關系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組

D.root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權限

答案：C

解釋：一個用戶可以屬于多個組。

32.安全的運行環(huán)境是軟件安全的基礎，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少

的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其

中哪項設置丕利壬提高運行環(huán)境安全？

A.操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全

漏洞

B.為了方便進行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時只使用一個分區(qū)C,所有數(shù)據(jù)和

操作系統(tǒng)都存放在C盤

C.操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D.將默認的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能

答案：B

解釋：操作系統(tǒng)和應用安全裝應分開不同磁盤部署。

33.在數(shù)據(jù)庫安全性控制中，授權的數(shù)據(jù)對象，授權子系統(tǒng)就越靈活?

A.粒度越小

B.約束越細致

C.范圍越大

D.約束范圍大

答案：A

解釋：數(shù)據(jù)粒度越細則授權策略越靈活便利。

34.下列哪一些對信息安全漏洞的描述是錯誤的?

A.漏洞是存在于信息系統(tǒng)的某種缺陷。

B.漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。

C.具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用,

從而給信息系統(tǒng)安全帶來威脅和損失。

D.漏洞都是人為故意引入的一種信息系統(tǒng)的弱點

答案：D

解釋：漏洞是人為故意或非故意引入的弱點。

35.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊？

A.分布式拒絕服務攻擊(DDoS)B.病毒傳染

C.口令暴力破解D.緩沖區(qū)溢出攻擊

答案：C

薛釋：賬號鎖定是為了解決暴力破解攻擊的。

36.以下哪個不是導致地址解析協(xié)議(ARP)欺騙的根源之一?

A.ARP協(xié)議是一個無狀態(tài)的協(xié)議

B.為提高效率，ARP信息在系統(tǒng)中會緩存

C.ARP緩存是動態(tài)的，可被改寫

D.ARP協(xié)議是用于尋址的一個重要協(xié)議

答案：D

解釋：D不是導致欺騙的根源。

37.張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向

該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊？

A.口令攻擊

B.暴力破解

C.拒絕服務攻擊

D.社會工程學攻擊

答案：D

解釋：D屬于社會工程學攻擊。

38.關于軟件安全開發(fā)生命周期(SDL),下面說法錯送的是:

A.在軟件開發(fā)的各個周期都要考慮安全因素

B.軟件安全開發(fā)生命周期要綜合采用技術、管理和工程等手段

C.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將

增大軟件開發(fā)成本

D.在設計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本

答案：C

薛釋：設計階段是發(fā)現(xiàn)和改正問題的最佳階段。

39.在軟件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中，規(guī)定了軟件

開發(fā)過程中的核心業(yè)務功能，下列哪個選項不屬于核心業(yè)務功能:

A.治理，主要是管理軟件開發(fā)的過程和活動

B.構造，主要是在開發(fā)項目中確定目標并開發(fā)軟件的過程與活動

C.驗證，主要是測試和驗證軟件的過程與活動

D.購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關管理過程與活動

答案：D

解釋：SAMM模型四個部分是治理、構造、驗證和部署。

40.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是:

A.系統(tǒng)安全工程旨在了解企業(yè)存在的安全風險，建立一組平衡的安全需求，融合各

種工程學科的努力將此安全需求轉換為貫穿系統(tǒng)整個生存期的工程實施指南。

B.系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度

能夠達到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內。

C.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是

一種使用面向開發(fā)的方法。

D.系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上，

通過對安全工作過程進行管理的途徑，將系統(tǒng)安全工程轉變?yōu)橐粋€完好定義的、

成熟的、可測量的先進學科。

答案：C

解釋：SSE-CMM是面向工程過程質量控制的一套方法。

41.有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(BasePractices,BP),

正確的理解是:

A.BP是基于最新技術而制定的安全參數(shù)基本配置

B.大部分BP是沒有經(jīng)過測試的

C.一項BP適用于組織的生存周期而非僅適用于工程的某一特定階段

D.一項BP可以和其他BP存重疊

答案：C

解釋：A錯誤，BP是基于最佳的工程過程實踐；B錯誤，BP是經(jīng)過測試的；D錯誤，

一項BP和其他的BP是不重復。

42.以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的？

A.是否己經(jīng)通過部署安全控制措施消滅了風險

B,是否可以抵抗大部分風險

C.是否建立了具有自適應能力的信息安全模型

D.是否已經(jīng)將風險控制在可接受的范圍內

答案：D

解釋：判斷風險控制的標準是風險是否控制在接受范圍內。

43.以下關于信息安全法治建設的意義，說法錯誤的是:

A.信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B.明確違反信息安全的行為，并對行為進行相應的處罰，以打擊信息安全犯罪活動

C.信息安全主要是技術問題，技術漏洞是信息犯罪的根源

D.信息安全產業(yè)的逐漸形成，需要成熟的技術標準和完善的技術體系

答案：C

解釋：信息安全問題是多方面存在的，不能認為主要為技術問題，同時技術漏洞不是

犯罪的根源所在。

44.小張是信息安全風險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災害

的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致資產總價值損失二

成四(24%),歷史數(shù)據(jù)統(tǒng)計告知該災害發(fā)生的可能性為八年發(fā)生三次，請問小張最后

得到的年度預期損失為多少：

A.24萬B.0.09萬C.37.5萬D.9萬

答案：D

解釋：計算公式為100萬*24%*(3/8)=9萬

45.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化

法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關于電子簽

名說法錯誤的是:

A.電子簽名一一是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明

簽名人認可其中內容的數(shù)據(jù)

B.電子簽名適用于民事活動中的合同或者其他文件、單證等文書

C.電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務

D.電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務提供者共存

答案：D

解釋：電子簽名不可以與認證服務提供者共有。

46.風險管理的監(jiān)控與審查丕包含：

A.過程質量管理

B.成本效益管理

C.跟蹤系統(tǒng)自身或所處環(huán)境的變化

D.協(xié)調內外部組織機構風險管理活動

答案：D

解釋：D答案屬于溝通咨詢工作，ABC屬于風險管理的監(jiān)控審查工作。風險管理過程

包括背景建立、風險評估、風險處理、批準監(jiān)督，以及溝通咨詢和監(jiān)控審查。

47.信息安全等級保護要求中，第三級適用的正確的是：

A.適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權

益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益

B.適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和

信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成

一般損害

C.適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，其受

到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害

D.適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的

核心子系統(tǒng)。其受到破壞后，會對國家安全、社會秩序，經(jīng)濟建設和公共利益造

成特別嚴重損害

答案：B

解釋：題目中B為等級保護三級，該考點為等級保護定級指南。

48.下面哪一項安全控制措施丕是用來檢測未經(jīng)授權的信息處理活動的：

A.設置網(wǎng)絡連接時限

B.記錄并分析系統(tǒng)錯誤日志

C.記錄并分析用戶和管理員操作日志

D.啟用時鐘同步

答案：A

解釋：A屬于防護措施；BCD屬于檢測措施，可以用來檢測未經(jīng)授權的信息處理活動。

49.有關危害國家秘密安全的行為的法律責任，正確的是:

A.嚴重違反保密規(guī)定行為只要發(fā)生，無論產生泄密實際后果，都要依法追究責任

B.非法獲取國家秘密，不會構成刑事犯罪，不需承擔刑事責任

C.過失泄露國家秘密，不會構成刑事犯罪，不需承擔刑事責任

D.承擔了刑事責任，無需再承擔行政責任和/或其他處分

答案：A

解釋：正確的為A。

50.以下對于信息安全事件理解錯送的是：

A.信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信

息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件

B.對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是

組織信息安全戰(zhàn)略的一部分

C.應急響應是信息安全事件管理的重要內容

D.通過部署信息安全策略并配合部署防護措施，能夠對信息及信息系統(tǒng)提供保護，

杜絕信息安全事件的發(fā)生

答案：D

解釋：安全事件無法杜絕。

51.假設一個系統(tǒng)已經(jīng)包含了充分的預防控制措施，那么安裝監(jiān)測控制設備：

A.是多余的，因為它們完成了同樣的功能，但要求更多的開銷

B.是必須的，可以為預防控制的功效提供檢測

C.是可選的，可以實現(xiàn)深度防御

D.在一個人工系統(tǒng)中是需要的，但在一個計算機系統(tǒng)中則是不需要的，因為預防控

制功能已經(jīng)足夠

答案：c

解釋：正確為c。

52.關于我國加強信息安全保障工作的主要原則，以下說法錯誤的是:

A.立足國情，以我為主，堅持技術與管理并重

B.正確處理安全和發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全

C.統(tǒng)籌規(guī)劃，突出重點，強化基礎工作

D.全面提高信息安全防護能力，保護公眾利益，維護國家安全

答案：D

解釋：D描述的是信息安全保障工作目標；ABC描述的是信息安全保障的原則。

53.以下哪一項丕是信息安全管理工作必須遵循的原則？

A.風險管理在系統(tǒng)開發(fā)之初就應該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之

中

B.風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內的持續(xù)

性工作

C.由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對

較低

D.在系統(tǒng)正式運行后，應注重殘余風險的管理，以提高快速反應能力

答案：C

解釋：安全措施投入應越早則成本越低，c答案則成本會上升。

54.《信息安全技術信息安全風險評估規(guī)范》(GB/T20984-2007)中關于信息系統(tǒng)生命

周期各階段的風險評估描述丕正確的是：

A.規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略

等

B.設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產重要性，提出

安全功能需求

C.實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進

行風險識別，并對系統(tǒng)建成后的安全功能進行驗證

D.運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,是一種全面的

風險評估。評估內容包括對真實運行的信息系統(tǒng)、資產、脆弱性等各方面

答案：D

解釋：該題目來源于《信息安全技術信息安全風險評估規(guī)范》(GB/T20984-2007),

其原文描述D為“是一種較全面的風險評估”。

55.對信息安全風險評估要素理解正確的是：

A.資產識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設備，也

可以是業(yè)務系統(tǒng)，也可以是組織機構

B.應針對構成信息系統(tǒng)的每傘資產做風險評價

C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出

的差為喚

D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、、人為非故意威脅

答案：A

解釋：B錯誤，應該是抽樣評估；C錯誤，應該其描述的是差距分析；D錯誤，應該

是威脅包括人為威脅和環(huán)境威脅。

56.以下哪些是需要在信息安全策略中進行描述的：

A.組織信息系統(tǒng)安全架構

B.信息安全工作的基本原則

C.組織信息安全技術參數(shù)

D.組織信息安全實施手段

答案：B

解釋：安全策略是宏觀的原則性要求，不包括具體的架構、參數(shù)和實施手段。

57.根據(jù)《關于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是:

A.信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主,自評估和檢查

評估相互結合、互為補充

B.信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效”的

原則開展

C.信息安全風險評估應貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程

D.開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導

答案：A

解釋：信息安全風險評估應以自評估(自查)為主。

58.下面的角色對應的信息安全職責丕合理的是：

A.高級管理層一一最終責任

B.信息安全部門主管一一提供各種信息安全工作必須的資源

C.系統(tǒng)的普通使用者一一遵守日常操作規(guī)范

D.審計人員一一檢查安全策略是否被遵從

答案：B

解釋：通常由管理層提供各種信息安全工作必須的資源。

59.自2004年1月起，國內各有關部門在申報信息安全國家標準計劃項目時，必須經(jīng)由

以下哪個組織提出工作意見，協(xié)調一致后由該組織申報。

A.全國通信標準化技術委員會(TC485)

B.全國信息安全標準化技術委員會(TC260)

C.中國通信標準化協(xié)會(CCSA)

D.網(wǎng)絡與信息安全技術工作委員會

答案：B

解釋：答案為B。

60.風險計算原理可以用下面的范式形式化地加以說明：風險值=R(A,T,V)=R(L(T,V),

F(Ia,Va))以下關于上式各項說明錯送的是：

A.R表示安全風險計算函數(shù)，A表示資產，T表示威脅、，V表示脆弱性

B.L表示威脅利用資產脆弱性導致安全事件的可能性

C.F表示安全事件發(fā)生后造成的損失

D.la,Va分別表示安全事件作用全部資產的價值與其對應資產的嚴重程度

答案：D

解釋：la表示安全事件作用全部資產的價值；Va表示脆弱性嚴重程度。

61.以下哪一項在防止數(shù)據(jù)介質被濫用時是丕推薦使用的方法：

A.禁用主機的CD驅動、USB接口等I/O設備

B.對不再使用的硬盤進行嚴格的數(shù)據(jù)清除

C.將不再使用的紙質文件用碎紙機粉碎

D.用快速格式化刪除存儲介質中的保密文件

答案：D

解釋：快速格式化刪除存儲介質中的保密文件不能防止信息泄露。

62.在進行應用系統(tǒng)的測試時，應盡可能避免使用包含個人穩(wěn)私和其它敏感信息的實際生

產系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的:

A.測試系統(tǒng)應使用不低于生產系統(tǒng)的訪問控制措施

B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施

C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)

D.部署審計措施，記錄生產數(shù)據(jù)的拷貝和使用

答案：B

解釋：由于備份會造成個人穩(wěn)私和其它敏感信息的擴散。

63.為了保證系統(tǒng)日志可靠有效，以下哪一項丕是日志必需具備的特征。

A.統(tǒng)一而精確地的時間

B.全面覆蓋系統(tǒng)資產

C.包括訪問源、訪問目標和訪問活動等重要信息

D.可以讓系統(tǒng)的所有用戶方便的讀取

答案：D

解釋：日志只有授權用戶可以讀取。

64.關于信息安全事件管理和應急響應，以下說法錯送的是：

A.應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在

事件發(fā)生后所采取的措施

B.應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤

6個階段

C.對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方

面因素

D.根據(jù)信息安全事件的分級參考要素，可將信息安全事件劃分為4個級別：特別重

大事件（I級）、重大事件（H級）、較大事件（III級）和一般事件（IV級）

答案：B

解釋：應急響應的六個階段是準備、檢測、遏制、根除、恢復、跟蹤總結。

65.以下哪一項丕屬壬信息安全工程監(jiān)理模型的組成部分：

A.監(jiān)理咨詢支撐要素B.控制和管理手段

C.監(jiān)理咨詢階段過程D.監(jiān)理組織安全實施

答案：D

解釋：監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。

66.以下關于災難恢復和數(shù)據(jù)備份的理解，說法正確的是:

A.增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件

B.依據(jù)具備的災難恢復資源程度的不同，災難恢復能力分為7個等級

C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份

D.如果系統(tǒng)在一段時間內沒有出現(xiàn)問題，就可以不用再進行容災演練了

答案：C

而釋：A錯誤，因為差分備份是上次全備后的更新數(shù)據(jù)；增量備份是任何上一次備份

后的更新數(shù)據(jù)。全備份周期最長、次之差分備份，更新周期最短是增量備份。B錯誤，

我國災備能力級別一共分為6級。D是明顯的錯誤。

67.某公司擬建設面向內部員工的辦公自動化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開

招標選擇M公司為承建單位,并選擇了H監(jiān)理公司承擔該項目的全程監(jiān)理工作，目前，

各個應用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗收申請，監(jiān)理公司需要對A公司提

交的軟件配置文件進行審查，在以下所提交的文檔中，哪一項屬于開發(fā)類文檔：

A.項目計劃書

B.質量控制計劃

C.評審報告

D.需求說明書

答案：D

解釋：ABC其均屬于項目管理文檔。需求說明書、設計說明書、測試方案、測試用例

等屬于開發(fā)類文檔。

68.在某網(wǎng)絡機房建設項目中，在施工前，以下哪一項丕屬王監(jiān)理需要審核的內容：

A.審核實施投資計劃

B.審核實施進度計劃

C.審核工程實施人員

D.企業(yè)資質

答案：A

解釋：監(jiān)理從項目招標開始到項目的驗收結束，在投資計劃階段沒有監(jiān)理。

69.以下關于直接附加存儲(DirectAttachedStorage,DAS)說法錯誤的是：

A.DAS能夠在服務器物理位置比較分散的情況下實現(xiàn)大容量存儲.是一種常用的數(shù)

據(jù)存儲方法

B.DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實施簡單

C.DAS的缺點在于對服務器依賴性強，當服務器發(fā)生故障時，連接在服務器上的存

儲設備中的數(shù)據(jù)不能被存取

D.較網(wǎng)絡附加存儲(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間，數(shù)據(jù)非

常集中，便于對數(shù)據(jù)進行管理和備份

答案：D

而釋：NAS優(yōu)點數(shù)據(jù)集中、節(jié)約空間，缺點是占用網(wǎng)絡帶寬、存儲中心存在單點故障。

DAS優(yōu)點數(shù)據(jù)分散、風險分散，缺點是存儲空間利用率低、不便于統(tǒng)一管理。SAN基

于NAS的進一步實現(xiàn)，基于高速網(wǎng)絡、多備份中心來進行實現(xiàn)。

70.某公司在執(zhí)行災難恢復測試時.信息安全專業(yè)人員注意到災難恢復站點的服務器的運

行速度緩慢，為了找到根本愿因，他應該首先檢查：

A.災難恢復站點的錯誤事件報告

B.災難恢復測試計劃

C.災難恢復計劃(DRP)

D.主站點和災難恢復站點的配置文件

答案：A

解釋：答案為A。

71.以下對異地備份中心的理解最隹確的是：

A.與生產中心不在同一城市

B.與生產中心距離100公里以上

C.與生產中心距離200公里以上

D.與生產中心面臨相同區(qū)域性風險的機率很小

答案：D

解釋：答案為D,備份中心的綜合風險小于主中心。

72.作為業(yè)務持續(xù)性計劃的一部分，在進行業(yè)務影響分析(BIA)時的步驟是：

1.標識關鍵的業(yè)務過程；

2.開發(fā)恢復優(yōu)先級；

3.標識關鍵的IT資源；

4.表識中斷影響和允許的中斷時間

A.1-3-4-2

B.1-3-2-4

C.1-2-3-4

D.1-4-3-2

答案：A

解釋：根據(jù)BCM的分析過程順序為A。

73.有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM),錯誤的理解是:

A.SSE-CMM要求實施組織與其他組織相互作用，如開發(fā)方、產品供應商、集成商和

咨詢服務商等

B.SSE-CMM可以使安全工程成為一個確定的、成熟的和可度量的科目

C.基手SSE-CMM的工程是獨立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃

實施

D.SSE-CMM覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)

安全的工程活動

答案：C

解釋：SSE-CMM是系統(tǒng)工程，不可以獨立實施。

74.下面關于信息系統(tǒng)安全保障的說法不正確的是:

A.信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢

棄等生命周期密切相關

B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性

C.信息系統(tǒng)安全需要從技術、工程、管理和人員四個領域進行綜合保障

D.信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風險降低到可接受的程度，從而實現(xiàn)其

業(yè)務使命

答案：B

薛釋：信息系統(tǒng)安全保障要素為技術、工程、管理和人員四個領域。信息系統(tǒng)安全保

障的安全持證是完整、保密和可用性。

75.在使用系統(tǒng)安全工程-能力成熟度模型(SSECMM)對一個組織的安全工程能力成熟度進

行測量時，正確的理解是:

A.測量單位是基本實施(BasePractices,BP)

B.測量單位是通用實踐(GenericPractices,GP)

C.測量單位是過程區(qū)域(ProcessAreas,PA)

D.測量單位是公共特征(CommonFeatures,CF)

答案：D

解釋：正確答案為D。

76.下面關于信息系統(tǒng)安全保障模型的說法丕正確的是：

A.國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB/

T20274.1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心

B.模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障

具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化

C.信息系統(tǒng)安全保障強調的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全

D.信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息

系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入

答案：D

解釋：單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面需要投入。

77.信息系統(tǒng)安全工程(ISSE)的一個重要目標就是在IT項目的各個階段充分考慮安全因

素，在IT項目的立項階段，以下哪一項丕是必須進行的工作：

A.明確業(yè)務對信息安全的要求

B.識別來自法律法規(guī)的安全要求

C.論證安全要求是否正確完整

D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求

答案：D

解釋：D屬于項目的驗收階段，不屬于IT項目的立項階段，題干屬于立項階段。

78.關于框架(IATF),以下說法不正確的是:

A.分層策略允許在適當?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的

成本

B.IATF從人、技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破

一層也無法破壞整個信息基礎設施

C.允許在關鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案，確保系統(tǒng)安全性

D.IATF深度防御戰(zhàn)略要求在網(wǎng)絡體系結構各個可能位置實現(xiàn)所有信息安全保障機制

答案：D

解釋：IATF是在網(wǎng)絡的各位置實現(xiàn)所需的安全機制。

79.以下關于軟件安全測試說法正確的是()

A.軟件安全測試就是黑盒測試

B.FUZZ測試是經(jīng)常采用的安全測試方法之一

C.軟件安全測試關注的是軟件的功能

D.軟件安全測試可以發(fā)現(xiàn)軟件中產生的所有安全問題

答案：B

解釋：B是正確答案。

80.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決：

A.信息系統(tǒng)的技術架構安全問題

B.信息系統(tǒng)組成部門的組件安全問題

C.信息系統(tǒng)生命周期的過程安全問題

D.信息系統(tǒng)運行維護的安全管理問題

答案：C

解釋：正確的答案為C。

81.有關系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中基本實施(BasePractice)正確的

理解是：

A.BP不限定于特定的方法工具，不同業(yè)務背景中可以使用不同的方法

B.BP不是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的

C.BP不轉表信息安全工程領域的最佳實踐

D.BP不是過程區(qū)域(ProcessAreas,PA)的強制項

答案：A

解釋：BP屬于安全工程的最小單元，其不限定于特定的方法工具，不同業(yè)務背景中

可以使用不同的方法；是根據(jù)廣泛的現(xiàn)有資料，實施和專家意見綜合得出的；代表著

信息安全工程領域的最佳實踐；并且是過程區(qū)域(ProcessAreas,PA)的強制項。

82.層次化的文檔是信息安全管理體系《InformationSecurityManagementSystem.ISMS》

建設的直接體系，也ISMS建設的成果之一，通常將ISMS的文檔結構規(guī)劃為4層金字

塔結構，那么，以下選項()應放入到一級文件中.

A.《風險評估報告》B.《人力資源安全管理規(guī)定》

C.《ISMS內部審核計劃》D.《單位信息安全方針》

答案：D

解釋：正確答案為D。一級文件中一般為安全方針、策略文件；二級文件中一般為管

理規(guī)范制度；三級文件一般為操作手冊和流程；四級文件一般表單和管理記錄。

83.信息安全管理體系(informationSecurityManagementSystem.簡稱管MS)的實施

和運行ISMS階段，是ISMS過程模型的實施階段(Do),下面給出了一些備①制定風

險處理計劃②實施風險處理計劃③開發(fā)有效性測量程序④實施培訓和意識教育計劃

⑤管理ISMS的運行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應事件的程序⑧實施內部

審核⑨實施風險再評估選的活動，選項()描述了在此階段組織應進行的活動。

A.①②③④⑤⑥

B.①②③④⑤⑥⑦

C.①②③④⑤⑥⑦⑧

D.①②③④⑤⑥⑦⑧⑨

答案：B

解釋：管理體系包括PDCA(Plan-Do-Check-Act)四個階段，題干中1-7的工作都屬

于管理體系的實施階段(D-Do),而8和9屬于檢查階段(C-Check)o

84.在實施信息安全風險評估時，需要對資產的價值進行識別、分類和賦值，關于資產價

值的評估，以下選項中正確的是()

A.資產的價值指采購費用

B.資產的價值指維護費用

C.資產的價值與其重要性密切相關

D.資產的價值無法估計

答案：C

解釋：答案為C。

85.某軟件公司準備提高其開發(fā)軟件的安全性，在公司內部發(fā)起了有關軟件開發(fā)生命周期

的討論，在下面的發(fā)言觀點中，正確的是()

A.軟件安全開發(fā)生命周期較長，而其中最重要的是要在軟件的編碼安全措施，就可以

解決90%以上的安全問題。

B.應當盡早在軟件開發(fā)的需求和設計階段增加一定的安全措施,這樣可以比在軟件發(fā)

布以后進行漏洞修復所花的代價少得多。

C.和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期(SDL)最大特點是增加

了一個專門的安全編碼階段。

D.軟件的安全測試也很重要，考試到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進

行了安全性測試，就沒存必要再組織第三方進行安全性測試。

答案：B

解釋：答案為B。A-現(xiàn)代軟件工程體系中軟件最重要的階段為設計階段。C-SDL最大

的特點是增加了安全培訓和應急響應。D-第三方測試是必要的軟件安全測試類型。

86.某網(wǎng)站在設計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼,

但是在部署時由于管理員將備份存放在WEB目錄下導致了攻擊者可直接下載備份，為

了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。

A.模糊測試

B.源代碼測試

C.滲透測試

D.軟件功能測試

答案：C

解釋：答案為C。

87.下面哪項屬于軟件開發(fā)安全方面的問題()

A.軟件部署時所需選用服務性能不高，導致軟件執(zhí)行效率低。

B.應用軟件來考慮多線程技術，在對用戶服務時按序排隊提供服務

C.應用軟件存在SQL注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)

D.軟件受許可證（license）限制，不能在多臺電腦上安裝。

答案：C

解釋：ABD與軟件安全開發(fā)無關。

88.為增強Web應用程序的安全性，某軟件開發(fā)經(jīng)理決定加強Web軟件安全開發(fā)培訓，下

面哪項內容不在考慮范圍內。

A.關于網(wǎng)站身份簽別技術方面安全知識的培訓

B.針對OpenSSL心臟出血漏洞方面安全知識的培訓

C.針對SQL注入漏洞的安全編程培訓

D.關于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓

答案：D

解釋：D屬于ARM系統(tǒng)，不屬于WEB安全領域。

89.以下關于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的:

A.Https協(xié)議對傳輸?shù)臄?shù)據(jù)進行加密，可以避免嗅探等攻擊行為

B.Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性

C.Https協(xié)議是http協(xié)議的補充，不能獨立運行，因此需要更高的系統(tǒng)性能

D.Https協(xié)議使用了挑戰(zhàn)機制，在會話過程中不傳輸用戶名和密碼，因此具有較高的

安全性

答案：A

解釋：HTTPS具有數(shù)據(jù)加密機制。

90.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據(jù)

各自的實際情況選擇適當?shù)娘L險評估方法。下面的描述中錯誤的是（）。

A.定量風險分析試圖從財務數(shù)字上對安全風險進行評估，得出可以量化的風險分析結

果，以度量風險的可能性和缺失量

B.定量風險分析相比定性風險分析能得到準確的數(shù)值，所以在實際工作中應使用定量

風險分析，而不應選擇定性風險分析

C.定性風險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進行，所以分析結果和風

險評估團隊的素質、經(jīng)驗和知識技能密切相關

D.定性風險分析更具主觀性，而定量風險分析更具客觀性

答案：B

解釋：實際工作中根據(jù)情況選擇定量、定性或定量與定性相結合。

91.小李去參加單位組織的信息安全管理體系（InformationSecurityManagement

System.ISMS）培訓，按照理解畫了一張圖（圖中包括了規(guī)劃建立、實施運行、保持和

改進），但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。

A.監(jiān)控和反饋ISMSB.批準和監(jiān)督ISMS

C.監(jiān)視和評審ISMSD.溝通和咨詢ISMS

答案：C

解釋：管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實施運行、C-監(jiān)視和評審、

A-保持和改進。

92.為推動和規(guī)范我國信息安全等級保護工作，我國制定和發(fā)布了信息安全等級保護工作

所需要的一系列標準，這些標準可以按照等級保護工作的工作階段大致分類。下面四

個標準中，（）規(guī)定了等級保護定級階段的依據(jù)、對象、流程、方法及等級變更等內

容。

A.GB/T20271-2006《信息系統(tǒng)通用安全技術要求》

B.GB/T22240-2008《信息系統(tǒng)安全保護等級定級指南》

C.GB/T25070-2010《信息系統(tǒng)等級保護安全設計技術要求》

D.GB/T20269-2006《信息系統(tǒng)安全管理要求》

答案：B

解釋：答案為B。

93.某移動智能終端支持通過指紋識別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術相

比，關于此種鑒別技術說法不正確的是:

A.所選擇的特征（指紋）便于收集、測量和比較

B.每個人所擁有的指紋都是獨一無二的

C.指紋信息是每個人獨有的，指紋識別系統(tǒng)不存在安全威脅問題

D.此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識別兩部分組成

答案：C

解釋：指紋識別系統(tǒng)存在安全威脅問題，同時存在著錯誤拒絕率和錯誤接受率的問題。

94.下列我國哪一個政策性文件明確了我國信息安全保障工作的方針和總體要求以及加

強信息安全工作的主要原則？

A.《關于加強政府信息系統(tǒng)安全和保密管理工作的通知》

B.《中華人民共和國計算機信息系統(tǒng)安全保護條例》

C.《國家信息化領導小組關于加強信息安全保障工作的意見》

D.《關于開展信息安全風險評估工作的意見》

答案：C

前釋：《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦2003年27號

文件）規(guī)定了信息安全工作的原則，例如立足國情、以我為主、堅持技管并重等。

95.在以下標準中，屬于推薦性國家標準的是？

A.GB/TXXXX.X-200XB.GBXXXX-200X

C.DBXX/TXXX-200XD.GB/ZXXX-XXX-200X

答案：A

解釋：A為國標推薦標準；B為國標強制標準；C為地方標準；D為國標指導標準。

96.微軟SDL將軟件開發(fā)生命周期制分為七個階段，并列出了十七項重要的安全活動。其

中“棄用不安全的函數(shù)”屬于（）的安全活動

A.要求階段B.設計階段

C.實施階段D.驗證階段

答案：C

解釋：棄用不安全的函數(shù)為編碼實施階段。

97.由于頻繁出現(xiàn)計算機運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準備加強軟

件安全開發(fā)管理，在下面做法中，對于解決問題沒有直接幫助的是()

A.要求所有的開發(fā)人員參加軟件安全開發(fā)知識培訓

B.要求增加軟件源代碼審核環(huán)節(jié)，加強對軟件代碼的安全性審查

C.要求統(tǒng)一采用Windows8系統(tǒng)進行開發(fā)，不能采用之前的Windows版本

D.要求邀請專業(yè)隊伍進行第三方安全性測試，盡量從多角度發(fā)現(xiàn)軟件安全問題

答案：C

解釋：統(tǒng)一采用Windows8系統(tǒng)對軟件安全無幫助。

98.關于源代碼審核，描述正確的是()

A.源代碼審核過程遵循信息安全保障技術框架模型9麗，在執(zhí)行時應一步一步嚴格

執(zhí)行

B.源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題,相關的審核工具既有商業(yè)開源

工具

C.源代碼審核如果想要有效率高，則主要依賴人工審核而不是工具審核，因為人工是

智能的，需要人的腦袋來判斷

D.源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測

試

答案：B

解釋：A錯誤，因為IATF不用于代碼審核；C錯誤，因為人工和攻擊相結合；D錯誤，

安全測試由需求確定。

99.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項錯誤的是()