1.下面關于信息安全保障的說法錯誤的是:A.信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性,可用性和保密性C.信息安全保障和信息安全技術并列構成實現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務目標的實現(xiàn)為最終目的,從風險和策略出發(fā),實施各種保障要素,在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性。以下哪一項是數(shù)據(jù)完整性得到保護的例子?A.某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制,保證已登錄的用戶可以完成操作B.在提款過程中終端發(fā)生故障,銀行業(yè)務系統(tǒng)與時對該用戶的賬戶余額進行了沖正操作C.某網(wǎng)管系統(tǒng)具有嚴格的審計功能,可以確定哪個管理員在何時對核心交換機進行了什么操作D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中,使偽裝成清潔工的商業(yè)間諜無法查看注重安全管理體系建設,人員意識的培訓和教育,是信息安全發(fā)展哪一個階段的特點？A.通信安全B.計算機安全C.信息安全D.信息安全保障以下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出的九項重點工作內(nèi)容之一?A.提高信息技術產(chǎn)品的國產(chǎn)化率B.保證信息安全資金注入C.加快信息安全人才培養(yǎng)D.重視信息安全應急處理工作以下關于置換密碼的說法正確的是:A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個異或D.明文根據(jù)密鑰作了移位以下關于代替密碼的說法正確的是:A.明文根據(jù)密鑰被不同的密文字母代替B.明文字母不變,僅僅是位置根據(jù)密鑰發(fā)生改變C.明文和密鑰的每個異或D.明文根據(jù)密鑰作了移位7常見密碼系統(tǒng)包含的元素是:A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密鑰、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法8在密碼學的假設中,密碼系統(tǒng)的安全性僅依賴于

A.明文B.密文C.密鑰D.信道9在驗證一個數(shù)字證書時需要查看來確認該證書是否已經(jīng)作廢10.一項功能可以不由認證中心完成?A.撤銷和中止用戶的證書B.產(chǎn)生并分布的公鑰C.在請求實體和它的公鑰間建立鏈接D.發(fā)放并分發(fā)用戶的證書11.一項是虛擬專用網(wǎng)絡()的安全功能?A.驗證,訪問控制盒密碼B.隧道,防火墻和撥號C.加密,鑒別和密鑰管理D.壓縮,解密和密碼12、為了防止授權用戶不會對數(shù)據(jù)進行未經(jīng)授權的修改,需要實施對數(shù)據(jù)的完整性保護,列哪一項最好地描述了星或（*-）完整性原則？模型中的不允許向下寫模型中的不允許向上度模型中的不允許向上寫模型中的不允許向下讀13.下面哪一個情景屬于身份鑒別()過程?A.用戶依照系統(tǒng)提示輸入用戶名和口令B.用戶在網(wǎng)絡上共享了自己編寫的一份文檔,并設定哪些用戶可以閱讀,哪些用戶可以修改C.用戶使用加密軟件對自己編寫的文檔進行加密,以阻止其他人得到這份拷貝后看到文檔中的內(nèi)容D.某個人嘗試登錄到你的計算機中,但是口令輸入的不對,系統(tǒng)提示口令錯誤,并將這次失敗的登錄過程記錄在系統(tǒng)日志中14.下列對協(xié)議特點描述不正確的是:A.協(xié)議采用單點登錄技術,無法實現(xiàn)分布式網(wǎng)絡環(huán)境下的認證B.協(xié)議與授權機制相結合,支持雙向的身份認證C.只要用戶拿到了并且該沒有過期,就可以使用該通過完成到任一個服務器的認證而不必重新輸入密碼和是集中式管理,容易形成瓶頸,系統(tǒng)的性能和安全也嚴重依賴于和的性能和安全15、協(xié)議提供了下列哪一種訪問控制機制?A.強制訪問控制B.自主訪問控制C.分布式訪問控制D.集中式訪問控制16.下列對蜜網(wǎng)功能描述不正確的是:A.可以吸引或轉移攻擊者的注意力,延緩他們對真正目標的攻擊B.吸引入侵者來嗅探、攻擊,同時不被覺察地將入侵者的活動記錄下來C.可以進行攻擊檢測和實時報警D.可以對攻擊活動進行監(jiān)視、檢測和分析17.下列對審計系統(tǒng)基本組成描述正確的是:A.審計系統(tǒng)一般包括三個部分:日志記錄、日志分析和日志處理B.審計系統(tǒng)一般包含兩個部分:日志記錄和日志處理C.審計系統(tǒng)一般包含兩個部分:日志記錄和日志分析D.審計系統(tǒng)一般包含三個部分:日志記錄、日志分析和日志報告18、在的安全體系結構中,以下哪一個安全機制可以提供抗抵賴安全服務？A.加密B.數(shù)字簽名C.訪問控制D.路由控制19.在參考模型中有7個層次,提供了相應的安全服務來加強信息系統(tǒng)的安全性,以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務?A.網(wǎng)絡層B.表示層C會話層D.物理層20、采用的是什么加密算法?A.我國自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法B.國際上通行的商用加密標準C.國家密碼管理委員會辦公室批準的流加密標準D.國際通行的哈希算法21.通常在時,以下哪一項不是的規(guī)劃方法?A.基于交換機端口B.基于網(wǎng)絡層協(xié)議C.基于地址D.基于數(shù)字證書22.某個客戶的網(wǎng)絡現(xiàn)在可以正常訪問互聯(lián)網(wǎng),共有200臺終端但此客戶從(互聯(lián)網(wǎng)絡服務提供商)里只獲得了16個公有的4地址,最多也只有16臺可以訪問互聯(lián)網(wǎng),要想讓全部200臺終端訪問互聯(lián)網(wǎng)最好采取什么方法或技術:A.花更多的錢向申請更多的地址B.在網(wǎng)絡的出口路由器上做源

C.在網(wǎng)絡的出口路由器上做目的

D.在網(wǎng)絡出口處增加一定數(shù)量的路由器23、以下哪一個數(shù)據(jù)傳輸方式難以通過網(wǎng)絡竊聽獲取信息?傳輸文件進行遠程管理以開頭的網(wǎng)頁內(nèi)容D.經(jīng)過認證和授權后建立的連接24.橋接或透明模式是目前比較流行的防火墻部署方式,這種方式的優(yōu)點不包括:A.不需要對原有的網(wǎng)絡配置進行修改B.性能比較高C.防火墻本身不容易受到攻擊D.易于在防火墻上實現(xiàn)

25.下面哪一項是對的正確描述?A.基于特征()的系統(tǒng)可以檢測新的攻擊類型B.基于特征()的系統(tǒng)化基于行為()的系統(tǒng)產(chǎn)生更多的誤報C.基于行為()的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配D、基于行為()的系統(tǒng)比基于特征()的系統(tǒng)有更高的誤報26、下列哪些選項不屬于的常見技術?A.協(xié)議分析B.零拷貝碎片重組27.在系統(tǒng)中輸入命令"

"顯示如下:"

3

1024

13

11:58

"對它的含義解釋錯誤的是:A.這是一個文件,而不是目錄B.文件的擁有者可以對這個文件進行讀、寫和執(zhí)行的操作C.文件所屬組的成員有可以讀它,也可以執(zhí)行它D.其它所有用戶只可以執(zhí)行它28.在系統(tǒng)中,文件記錄了什么內(nèi)容?A.記錄一些常用的接口與其所提供的服務的對應關系B.決定啟動網(wǎng)絡服務時,啟動那些服務C、定義了系統(tǒng)缺省運行級別,系統(tǒng)進入新運行級別需要做什么

D.包含了系統(tǒng)的一些啟動腳本29.以下對賬號的描述,正確的是：A、系統(tǒng)是采用(安全標識符）來標識用戶對文件或文件夾的權限B.系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權限C.系統(tǒng)默認會生成和兩個賬號,兩個賬號都不允許改名和刪除D.系統(tǒng)默認生成和兩個賬號,兩個賬號都可以改名和刪除30、以下對于系統(tǒng)的服務描述,正確的是：A.服務必須是一個獨立的可執(zhí)行程序B.服務的運行不需要用戶的交互登錄C.服務都是隨系統(tǒng)的啟動而啟動,無需用戶進行干預D.服務都需要用戶進行登錄后,以登錄用戶的權限進行啟動31、以下哪一項不是服務器支持的訪問控制過濾類型?A.網(wǎng)絡地址訪問控制服務器許可許可D.異常行為過濾32.為了實現(xiàn)數(shù)據(jù)庫的完整性控制,數(shù)據(jù)庫管理員應向提出一組完整性規(guī)則來檢查數(shù)據(jù)庫中的數(shù)據(jù),完整性規(guī)則主要由3部分組成,以下哪一個不是完整性規(guī)則的內(nèi)容?A.完整性約束條件B.完整性檢查機制C.完整性修復機制D.違約處理機制33.數(shù)據(jù)庫事務日志的用途是什么?A.事務處理B.數(shù)據(jù)恢復C.完整性約束D.保密性控制34.下列哪一項與數(shù)據(jù)庫的安全有直接關系?A.訪問控制的粒度B.數(shù)據(jù)庫的大小C.關系表中屬性的數(shù)量D.關系表中元組的數(shù)量35.下面對于的說法錯誤的是:A.是一小段存儲在瀏覽器端文本信息,應用程序可以讀取包含的信息B.可以存儲一些敏感的用戶信息,從而造成一定的安全風險C.通過提交精妙構造的移動代碼,繞過身份驗證的攻擊叫做欺騙D.防范欺騙的一個有效方法是不使用驗證方法,而使用驗證方法36、以下哪一項是和電子郵件系統(tǒng)無關的?A、

B、

C.X500

D.X400

37、

服務器的配置文件一般位于目錄,其中用來控制用戶訪問目錄的配置文件是：A、

B、

C、

D、

38.安全模型()是在設計虛擬機()時,引入沙箱()機制,其主要目的是:A.為服務器提供針對惡意客戶端代碼的保護B.為客戶端程序提供針對用戶輸入惡意代碼的保護C.為用戶提供針對惡意網(wǎng)絡移動代碼的保護D.提供事件的可追查性39、惡意代碼采用加密技術的目的是:A.加密技術是惡意代碼自身保護的重要機制B.加密技術可以保證惡意代碼不被發(fā)現(xiàn)C.加密技術可以保證惡意代碼不被破壞D.以上都不正確40、惡意代碼反跟蹤技術描述正確的是:A反跟蹤技術可以減少被發(fā)現(xiàn)的可能性B.反跟蹤技術可以避免所有殺毒軟件的查殺C.反跟蹤技術可以避免惡意代碼被消除D.以上都不是41.下列關于計算機病毒感染能力的說法不正確的是:A.能將自身代碼注入到引導區(qū)B.能將自身代碼注入到扇區(qū)中的文件鏡像C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文檔或模板的宏中代碼42.當用戶輸入的數(shù)據(jù)被一個解釋器當作命令或查詢語句的一部分執(zhí)行時,就會產(chǎn)生哪種類型的漏洞?A.緩沖區(qū)溢出B.設計錯誤C.信息泄露D.代碼注入43.完整性檢查和控制的防范對象是,防止它們進入數(shù)據(jù)庫。A.不合語義的數(shù)據(jù)、不正確的數(shù)據(jù)B.非法用戶C.非法數(shù)據(jù)D.非法授權44.存儲過程是語句的一個集合,在一個名稱下儲存,按獨立單元方式執(zhí)行,以下哪一項不是使用存儲過程的優(yōu)點:A.提高性能,應用程序不用重復編譯此過程B.降低用戶查詢數(shù)量,減輕網(wǎng)絡擁塞C.語句執(zhí)行過程中如果中斷,可以進行數(shù)據(jù)回滾,保證數(shù)據(jù)的完整性和一致性D.可以控制用戶使用存儲過程的權限,以增強數(shù)據(jù)庫的安全性45.下列哪項內(nèi)容描述的是緩沖區(qū)溢出漏洞?A.通過把命令插入到表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執(zhí)行惡意的命令B、攻擊者在遠程頁面的代碼中插入具有惡意目的的數(shù)據(jù),用戶認為該頁面是可信賴的,但是當瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行C.當計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上

D.信息技術、信息產(chǎn)品、信息系統(tǒng)在設計、實現(xiàn)、配置、運行等過程中,有意或無意產(chǎn)生的缺陷46.以下工作哪個不是計算機取證準備階段的工作A.獲得授權B.準備工具C.介質(zhì)準備D.保護數(shù)據(jù)47.以下哪個問題不是導致欺騙的原因之一?是一個分布式的系統(tǒng)B.為提高效率,查詢信息在系統(tǒng)中會緩存協(xié)議傳輸沒有經(jīng)過加密的數(shù)據(jù)協(xié)議是缺乏嚴格的認證48.以下哪個是欺騙攻擊可能導致的后果?欺騙可直接獲得目標主機的控制權欺騙可導致目標主機的系統(tǒng)崩潰,藍屏重啟欺騙可導致目標主機無法訪問網(wǎng)絡欺騙可導致目標主機49.以下哪個攻擊步驟是欺騙(

)系列攻擊中最關鍵和難度最高的?A.對被冒充的主機進行拒絕服務攻擊,使其無法對目標主機進行響應B.與目標主機進行會話,猜測目標主機的序號規(guī)則C.冒充受信主機向目標主機發(fā)送數(shù)據(jù)包,欺騙目標主機D.向目標主機發(fā)送指令,進行會話操作50、以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊51.如果一名攻擊者截獲了一個公鑰,然后他將這個公鑰替換為自己的公鑰并發(fā)送給接收者,這種情況屬于哪一種攻擊?A.重放攻擊攻擊C.字典攻擊D.中間人攻擊52.域名注冊信息可在哪里找到?A.路由器記錄數(shù)據(jù)庫庫53.網(wǎng)絡管理員定義"

"以減輕下面哪種攻擊?54.下面哪一項不是黑客攻擊在信息收集階段使用的工具或命令:55.下面關于軟件測試的說法錯誤的是:A、所謂“黑盒"測試就是測試過程不測試報告中的進行描述,切對外嚴格保密B、出于安全考慮,在測試過程中盡量不要使用真實的生產(chǎn)數(shù)據(jù)C.測試方案和測試結果應當成為軟件開發(fā)項目文檔的主要部分被妥善的保存D.軟件測試不僅應關注需要的功能是否可以被實現(xiàn),還要注意是否有不需要的功能被實現(xiàn)了56、下列哪一項不屬于測試的特性?A.主要針對軟件漏洞或可靠性錯誤進行測試B.采用大量測試用例進行激勵、響應測試C、一種試探性測試方法,沒有任何理論依據(jù)D.利用構造畸形的輸入數(shù)據(jù)引發(fā)被測試目標產(chǎn)生異常57、是什么?A.是用C語言編寫的一段完成特殊功能代碼B.是用匯編語言編寫的一段完成特殊功能代碼C.是用機器碼組成的一段完成特殊功能代碼D.命令行下的代碼編寫58.通過向被攻擊者發(fā)送大量的回應請求,消耗被攻擊者的資源來進行響應,直至被攻擊者再也無法處理有效的網(wǎng)絡信息流時,這種攻擊被稱之為:攻擊攻擊

攻擊59.以下哪種方法不能有效提高的安全性:A.修改默認的服務區(qū)標識符(）B.禁止廣播C.啟用終端與間的雙向認證D.啟用無線的開放認證模式60、以下哪項是對抗欺騙有效的手段?A.使用靜態(tài)的緩存B.在網(wǎng)絡上阻止報文的發(fā)送C.安裝殺毒軟件并更新到最新的病毒庫D.使用系統(tǒng)提高安全性61.下面關于27002的說法錯誤的是:27002的前身是17799-1

27002給出了通常意義下的信息安全管理最佳實踐供組織機構選用,但不是全部27002對于每個控制措施的表述分"控制措施"、"實施指南"、和"其他信息"三個部分來進行描述27002提出了十一大類的安全管理措施,其中風險評估和處置是處于核心地位的一類安全措施62、下面哪一項安全控制措施不是用來檢測未經(jīng)授權的信息處理活動的:A.設置網(wǎng)絡連接時限B.記錄并分析系統(tǒng)錯誤日志C.記錄并分析用戶和管理員操作日志D.啟用時鐘同步63.下列安全控制措施的分類中,哪個分類是正確的(預防性的,檢測性的以與糾正性的控制)1、網(wǎng)絡防火墻2、級別3

3、銀行賬單的監(jiān)督復審4、分配計算機用戶標識5、交易日志A.,

C

B.d,

D

C、p,

D

D.,

C

64、風險評估主要包括風險分析準備、風險要素識別、風險分析和風險結果判定四個主要過程,關于這些過程,以下的說法哪一個是正確的？A.風險分析準備的內(nèi)容是識別風險的影響和可能性B.風險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C.風險分析的內(nèi)容是識別風險的影響和可能性D.風險結果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施65.你來到服務器機房股比的一間辦公室,發(fā)現(xiàn)窗戶壞了,由于這不是你的辦公室,你要求在這里辦公的員工請維修工來把窗戶修好,你離開后,沒有再過問這扇窗戶的事情。這件事情的結果對與特定脆弱性相關的威脅真正出現(xiàn)的可能性會有什么影響?A.如果窗戶被修好,威脅真正出現(xiàn)的問題性會增加B.如果窗戶被修好,威脅真正出現(xiàn)的可能性會保持不變C.如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會下降D.如果窗戶沒有被修好,威脅真正出現(xiàn)的可能性會增加66.在對安全控制進行分析時,下面哪個描述是不準確的?A.對每一項安全控制都應該進行成本收益分析,以確定哪一項安全控制是必須的和有效的B.應確保選擇對業(yè)務效率影響最小的安全措施C.選擇好實施安全控制的時機和位置,提高安全控制的有效性D.仔細評價引入的安全控制對正常業(yè)務的影響,采取適當措施,盡可能減少負面效應67.以下哪一項不是信息安全管理工作必須遵循的原則?A.風險管理在系統(tǒng)開發(fā)之處就應該予以充分考慮,并要貫穿于整個系統(tǒng)開發(fā)過程之中B.風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C.由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強,實施成本會相對較低D.在系統(tǒng)正式運行后,應注重殘余風險的管理,以提高快速反應能力68.對信息安全風險評估要素理解正確的是:A.資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同,既可以是硬件設備,也可以是業(yè)務系統(tǒng),也可以是組織機構B.應針對構成信息系統(tǒng)的每個資產(chǎn)做風險評價C.脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D.信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅69.以下哪一項不是建筑物的自動化訪問審計系統(tǒng)記錄的日志的內(nèi)容:A.出入的原因B.出入的時間C.出入口的位置D.是否成功進入70、信息安全策略是管理層對信息安全工作意圖和方向的正式表述,以下哪一項不是信息安全策略文檔中必須包含的內(nèi)容:A.說明信息安全對組織的重要程度B.介紹需要符合的法律法規(guī)要求C.信息安全技術產(chǎn)品的選型范圍D.信息安全管理責任的定義71.作為信息中心的主任,你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫管理員和網(wǎng)絡管理員的崗位分配給兩個不同的人擔任,這種情況造成了一定的安全風險。這時你應當怎么做?A.抱怨且無能為力B.向上級報告該情況,等待增派人手C.通過部署審計措施和定期審查來降低風險D.由于增加人力會造成新的人力成本,所以接受該風險72、以下人員中,誰負有決定信息分類級別的責任？A.用戶B.數(shù)據(jù)所有者C.審計員D.安全官73.某公司正在對一臺關鍵業(yè)務服務器進行風險評估,該服務器價值138000元,針對某個特定威脅的暴露因子()是45%,該威脅的年度發(fā)生率()為每10年發(fā)生一次,根據(jù)以上信息,該服務器的年度預期損失值()是多少?A.1800元B.62100元C.140000元D.6210元74、下列哪些內(nèi)容應包含在信息系統(tǒng)戰(zhàn)略計劃中?A.已規(guī)劃的硬件采購的規(guī)范B.將來業(yè)務目標的分析C.開發(fā)項目的目標日期D.信息系統(tǒng)不同的年度預算目標75.27002中描述的11個信息安全管理控制領域不包括:A.信息安全組織B.資產(chǎn)管理C.內(nèi)容安全D.人力資源安全76.依據(jù)國家標準《信息安全技術信息系統(tǒng)災難恢復規(guī)范》(20988),需要備用場地但不要求部署備用數(shù)據(jù)處理設備的是災難恢復等級的第幾級?A.2

B.3

C.4

D.5

77.以下哪一種備份方式在恢復時間上最快A.增量備份B.差異備份C.完全備份D.磁盤備份78.計算機應急響應小組的簡稱是:79、有一些信息安全事件是由于信息系統(tǒng)中多個部分共同作用造成的,人們稱這類事件為“多組件事故”,應對這類安全事件最有效的方法是：A.配置網(wǎng)絡入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為B.使用防病毒軟件,并且保持更新為最新的病毒特征碼C.將所有公共訪問的服務放在網(wǎng)絡非軍事區(qū)(）D.使用集中的日志審計工具和事件關聯(lián)分析軟件80、依據(jù)國家標準《信息安全技術信息系統(tǒng)災難恢復規(guī)范》(

20988),災難恢復管理過程的主要步驟是災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預制定和管理;其中災難恢復策略實現(xiàn)不包括以下哪一項?A.分析業(yè)務功能B.選擇和建設災難備份中心C.實現(xiàn)災備系統(tǒng)技術方案D.實現(xiàn)災備系統(tǒng)技術支持和維護能力81.在進行應用系統(tǒng)的測試時,應盡可能避免使用包含個人隱私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù),如果需要使用時,以下哪一項不是必須作的:A.測試系統(tǒng)應使用不低于生產(chǎn)系統(tǒng)的訪問控制措施B.為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計措施,記錄生產(chǎn)數(shù)據(jù)的拷貝和使用82.下面有關能力成熟度模型的說法錯誤的是:A.能力成熟度模型可以分為過程能力方案()和組織能力方案()兩類B.使用過程能力方案時,可以靈活選擇評估和改進哪個或那些過程域C.使用組織機構成熟度方案時,每一個能力級別都對應于一組已經(jīng)定義好的過程域是一種屬于組織能力方案()的針對系統(tǒng)安全工程的能力成熟度模型83、一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后,就可以對組織層面的過程進行規(guī)范的定義？A.2級——計劃和跟蹤B.3級-——充分定義C.4級——量化控制D.5級——持續(xù)改進84.下列哪項不是信息系統(tǒng)的安全工程的能力成熟度模型()的主要過程:A.風險評估B.保證過程C.工程過程

D.評估過程85、工程過程區(qū)域中的風險過程包含哪些過程區(qū)域:A.評估威脅、評估脆弱性、評估影響B(tài).評估威脅、評估脆弱性、評估安全風險C.評估威脅、評估脆弱性、評估影響、評估安全風險D.評估威脅、評估脆弱性、評估影響、驗證和證實安全86.信息系統(tǒng)安全工程()的一個重要目標就是在項目的各個階段充分考慮安全因素,在項目的立項階段,以下哪一項不是必須進行的工作:A.明確業(yè)務對信息安全的要求B.識別來自法律法規(guī)的安全要求C.論證安全要求是否正確完整D.通過測試證明系統(tǒng)的功能和性能可以滿足安全要求87.信息化建設和信息安全建設的關系應當是:A.信息化建設的結束就是信息安全建設的開始B.信息化建設和信息安全建設應同步規(guī)劃、同步實施C.信息化建設和信息安全建設是交替進行的,無法區(qū)分誰先誰后D.以上說法都正確88.如果你作為甲方負責監(jiān)管一個信息安全工程項目的實施,當乙方提出一項工程變更時你最應當關注的是:A.變更的流程是否符合預先的規(guī)定B.變更是否會對項目進度造成拖延C.變更的原因和造成的影響D.變更后是否進行了準確的記錄89.以下哪項是對系統(tǒng)工程過程中"概念與需求定義"階段的信息安全工作的正確描述?A.應基于法律法規(guī)和用戶需求,進行需求分析和風險評估,從信息系統(tǒng)建設的開始就綜合信息系統(tǒng)安全保障的考慮B.應充分調(diào)研信息安全技術發(fā)展情況和信息安全產(chǎn)品市場,選擇最先進的安全解決方案和技術產(chǎn)品C.應在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容,提出安全開發(fā)的規(guī)范并切實落實D.應詳細規(guī)定系統(tǒng)驗收測試中有關系統(tǒng)安全性測試的內(nèi)容90、在進行應用系統(tǒng)的測試時,應盡可能避免使用包含個人隱私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù),如果需要使用時,以下哪一項不是必須做的:A.測試系統(tǒng)應使用不低于生產(chǎn)關系的訪問控制措施B.未測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復措施C.在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D.部署審計措施,記