CISP全真模拟题(1)1208

admin管理员组

文章数量:1532161

2023年12月24日发(作者：)

CISP全真模拟题（1）

1、信息安全发展各阶段中，下面哪一项是通信安全阶段主要面临的安全威胁？

A、病毒

B、非法访问

C、信息泄露

D、脆弱口令

答案：C。

2、信息安全保障强调安全是动态的安全，意味着：

A、信息安全是一个不确定的概念

B、信息安全是一个主观的概念

C、信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性地进行调整

D、信息安全智能是保证信息在有限物理范围内的安全，无法保证整个信息系统的安全

答案：C。

3、关于信息保障技术框架（IATF），下列说法错误的是：

A、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障；

B、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作；

C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全；

D、IATF强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环来提高网络安全

答案：D。

4、美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术信息分为：

A、内网和外网两个部分

B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分

C、用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分

D、可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分

答案：B。

5、下面哪一项表示了信息不被非法篡改的属性？

A、可生存性

B、完整性

C、准确性

D、参考完整性

答案：B。

6、以下关于信息系统安全保证是主观和客观的结合说法最准确的是：B

A、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全

B、通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信息

C、是一种通过客观证据向信息系统评估组提供主观信息的活动

D、是主观和客观综合评估的结果

答案：B。

7、一下哪一项是数据完整性得到保护的例子？

A、某网站在访问量突然增加时对用户连接数量进行了限制，保证已登陆的用户可以完成操作

B、在提款过程中，ATM终端发生故障，银行业务系统及时对用户的账户余额进行了冲正操作

C、某网管系统具有严格的审计功能，可以确定那个管理员在核实对核心交换机进行了什么操作

D、李先生在每天下班前将重要文件所在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看

答案：B。

8、PPDR模型不包括：

A、策略

B、监测

C、响应

D、加密

答案：D。

9、信息系统安全目标（ST）是______在信息系统安全特性和评估范围之间达成一致的基础。

A、开发者和评估者

B、开发者、评估者和用户

C、开发者和用户

D、评估者和用户

答案：B。

10、 依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息系统安全目标中，评估对象包括哪些内容？

A、信息系统管理体系、技术体系、业务体系

B、信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程

C、信息系统安全管理、信息系统安全技术和信息系统安全工程

D、信息系统组织机构、管理制度、资产

答案：B。

11、 以下哪些不属于现代密码学研究范畴？

A、Enigma密码机的分析破译

B、香农提出的扩散和混淆概念

C、Diffe-Hellman密钥交换

D、差分分析和线性分析

答案：A。

12、 常见密码系统包含的元素是：

A、明文、密文、信道、加密算法、解密算法

B、明文、摘要、信道、加密算法、解密算法

C、明文、密文、密钥、加密算法、解密算法

D、消息、密文、信道、加密算法、解密算法

答案：C。

13、 公钥密码的应用不包括：

A、数字签名

B、非安全信道的密钥交换

C、消息验证码

D、身份认证

答案：C。

14、 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？

A、DSS

B、Diffe-Hellman

C、RSA

D、AES

答案：C。

15、 目前对MD5，SHA1算法的攻击是指：

A、能够构造出两个不同的消息，这两个消息产生了相同的消息摘要

B、对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要

C、对于一个已知的消息摘要，能够恢复其原始消息

D、对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证

答案：A。

16、 数字签名应具有的性质不包括：

A、能够验证签名者

B、能够认证被签名消息

C、能够保护被签名的数据机密性

D、签名必须能够由第三方验证

答案：C。

17、 数字证书的功能不包括：

A、加密

B、数字签名

C、身份认证

D、消息摘要

答案：D。

18、 下列哪一项是注册机构（RA）的职责？

A、证书发放

B、证书注销

C、提供目录服务让用户查询

D、审核申请人信息

答案：D

19、 下列哪一项是虚拟专用网络（VPN）的安全功能？

A、验证，访问控制和密码

B、隧道，防火墙和拨号

C、加密，鉴别和密钥管理

D、压缩，解密和密码

答案：C。

20、 下面哪一项不是VPN协议标准？

A、L2TP

B、IPSec

C、TACACS+

D、PPTP

答案：C。

21、 下列对访问控制的说法正确的是：

A、访问控制模型是对一系列访问控制规则集合的描述，必须是形式化的

B、一般访问控制过程由：主题、客体、访问控制决策和访问控制实施四部分组成

C、访问控制模型是对一系列安全策略的描述，都是非形式化的

D、在访问控制过程中，主题提交的访问请求由访问控制决策不见实施访问

答案：B。

22、 下列对强制访问控制描述不正确的是：

A、主体对客体的所有访问请求按照强制访问控制策略进行控制

B、强制访问控制中，主体和客体分配有一个安全属性

C、客体的创建者无权控制客体的访问权限

D、强制访问控制不可与自主访问控制结合使用

答案：D。

23、 以下哪些模型关注与信息安全的完整性？

A、Biba模型和Bell-Lapadula模型

B、Bell-Lapadula模型和Chinese Wall模型

C、Biba模型和Clark-Wilson模型

D、ClarK-Wilson模型和Chinese Wall模型

答案：C。

24、 按照BLP模型规则，以下哪种访问不能被授权？

A、Bob的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC，EUR，AMC}），Bob请求写该文件

B、Bob的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC }），Bob请求读该文件

C、Alice的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC，US }），Alice请求写该文件

D、Alice的安全级是（机密，{NUC，US}），文件的安全级是（秘密，{NUC，US }），Alice请求读该文件

答案：C。

25、 在一个使用Chinese Wall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣冲突域中，那么可以确定一个新注册的用户：

A、只有访问了W之后，才可以访问X

B、只有访问了W之后，才可以访问Y和Z中的一个

C、无论是否访问W，都只能访问Y和Z中的一个

D、无论是否访问W，都不能访问Y和Z

答案：C。

26、 以下关于RBAC模型的说法正确的是：

A、该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限

B、一个用户必须扮演并激活某种角色，才能对一个对象进行访问或执行某种操作

C、在该模型中，每个用户只能有一个角色

D、在该模型中，权限与用户关联，用户与角色关联

答案：B。

27、 以下对Kerberos协议过程说法正确的是：

A、协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务

B、协议可以分为两个步骤：一是获得票据许可票据；二是获取请求服务

C、协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据

D、协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务

答案：D。

28、 下面哪一项不属于集中访问控制管理技术？

A、RADIUS

B、TEMPEST

C、TACACS

D、Diameter

答案：B。

29、 基于生物特诊的鉴别系统一般使用哪个参数来判断系统的准确度？

A、错误拒绝率

B、错误检测率

C、交叉错判率(CER)

D、错误接受率

答案：C。

30、 下列对于密网功能描述不正确的是：

A、可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击

B、吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的或者记录下来

C、可以进行攻击检测和实施报警

D、可以对攻击活动进行监视、检测和分析

答案：C。

31、 下面哪一个不属于基于OSI七层协议的安全体系结构的5中服务之一？

A、数据完整性

B、数据保密性

C、数字签名

D、抗抵赖

答案：C。

32、 以下哪种无线加密标准的安全性最弱？

A、wep

B、wpa

C、wpa2

D、wapi

答案：A。

33、 以下哪种方法不能有效提高WLAN的安全性？

A、修改默认的服务区标示符（SSID）

B、禁止SSID广播

C、启用终端与AP之间的双向认证

D、启用无线AP的开放认证模式

答案：D。

34、 以下哪个不是防火墙具备的功能？

A、防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合

B、它是不同网络（安全域）之间的唯一出入口

C、能根据企业的安全政策控制（允许、拒绝、检测）出入网络的信息流

D、防止来源于内部的威胁和攻击

答案：D。

35、 简单包过滤防火墙主要工作在_______。

A、链路层/网络层

B、网络层/传输层

C、应用层

D、会话层

答案：B。

36、 以下哪一项不是应用层防火墙的特点？

A、更有效的阻止应用层攻击

B、工作在OSI模型的第七层

C、速度快且对用户透明

D、比较容易进行审计

答案：C。

37、 哪一类防火墙具有根据传输信息的内容（如关键字、文件类）来控制访

问连接的能力？

A、包过滤防火墙

B、状态检测防火墙

C、应用网关防火墙

D、以上都不是

答案：C。

38、 下面哪一项不是通用IDS模型的组成部分：

A、传感器

B、过滤器

C、分析器

D、管理器

答案：B。

39、 下面哪一项不是IDS的主要功能？

A、监控和分析用户和系统活动

B、统计分析异常活动模式

C、对被破坏的数据进行修复

D、识别活动模式一反映已知攻击

答案：C。

40、 有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作：

A、异常检测

B、特征检测

C、差距分析

D、比对分析

答案：A。

41、 以下关于Linux用户和组的描述不正确的是：

A、在Linux中，每一个文件和程序都归属于一个特定的“用户”

B、系统中的每一个用户都必须至少属于一个用户组

C、用户和组的关系可以多对一，一个组可以有多个用户，一个用户不能属于多个组

D、Root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限

答案：C。

42、 以下关于Linux超级权限的说明，不正确的是：

A、一般情况下，为了系统安全，对于一般常规基本的应用，不需要root用户来操作完成

B、普通用户可以通过su和sudo来获得系统的超级权限

C、对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行

D、Root是系统的超级用户，无论会否为文件和程序的所有者都具有访问权限

答案：C。

43、 在windows操作系统中，欲限制用户无效登录的次数，应当怎么做？

A、在“本地安全设置”中对“密码策略”进行设置

B、在“本地安全设置”中对“账户锁定策略”进行设置

C、在“本地安全设置”中对“审核策略”进行设置

D、在“本地安全设置”中对“用户权利指派”进行设置

答案：B。

44、 以下对windows系统日志描述错误的是：

A、windows系统默认有三个日志：系统日志、应用程序日志、安全日志

B、系统日志跟踪各种各样的系统时间，例如跟踪系统启动过程中的事件或者硬件和控制器的故障

C、应用日志跟踪应用程序关联的时间，例如应用程序产生的装载DLL（动态链接库）失败的信息

D、安全日志跟踪各类网络入侵时间，例如拒绝服务攻击，口令暴力破解

答案：D。

45、 以下关于windows SAM(安全账号管理器)的说法错误的是：

A、 安全账号管理器（ＳＡＭ）具体表现就是％systemRoot%system32configsam

B、 安全账号管理器（SAM）存储的账号信息是存储在注册表中

C、 安全账号管理器（SAM）存储的账号信息对administrator和system是可读和可写的

D、 安全账号管理器（SAM）是windows的用户数据库，系统进程通过security

Accounts Manager服务进行访问和操作

答案：C。

46、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由三部分组成，以下哪一个不是完整性规则的内容？

A、 完整性约束条件

B、 完整性检查机制

C、 完整性修复机制

D、 违约处理机制

答案：C。

47、数据库事务日志的用途是：

答案：B。

48、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？

A、缓冲区溢出

B、SQL注入

C、设计错误

D、跨站脚本

答案：A。

49、通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？

A、明文形式存在

B、服务器加密后的密文形式存在

C、hash运算后的消息摘要值存在

D、用户自己加密后的密文形式存在

A、事务处理

B、数据恢复

C、完整性约束

D、保密性控制

答案：C。

50、下列对跨站脚本攻击（XSS）的描述正确的是：

A、XSS攻击指的是恶意攻击者往web页面里插入恶意代码，当用户浏览该页之时，嵌入其中web里面的代码会被执行，从而达到恶意攻击用户的特殊目的。

B、XSS攻击是DDOS攻击的一种变种

C、XSS攻击就是CC攻击

D、XSS攻击就是利用被控制的及其不断地向被攻击网站发送访问请求，迫使IIS连接数超出限制，当CPU资源或带宽资源耗尽，那么网站也就被攻击跨了，从而达到攻击目的。

答案：A。

51、下列哪种恶意代码不具备“不感染、依附性”的特点？

答案：D。

52、下列关于计算机病毒感染能力的说法不正确的是：

答案：C。

A、能将自身代码注入到引导区

B、能将自身代码注入到扇区中的文件镜像

C、能将自身代码注入到文本文件中并执行

D、能将自身代码注入到文档或模板的宏中代码

A、后门

B、陷门

C、木马

D、蠕虫

53、下列那一项不是信息安全漏洞的载体？

答案：D。

54、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？

答案：D。

55、Smurf利用下列哪种协议进行攻击？

答案：A。

56、如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况输入哪一种攻击？

A、重放攻击

B、Smurf攻击

A、ICMP

B、IGMP

C、TCP

D、UDP

A、缓冲区溢出

B、设计错误

C、信息泄露

D、代码注入

A、网络协议

B、操作系统

C、应用系统

D、业务数据

C、字典攻击

D、中间人攻击

答案：D。

57、以下那个攻击步骤是IP欺骗（IP Spoof）系列攻击中最关键和难度最高的？

答案：B。

58、下列哪些措施，不是有效的缓冲区溢出的防护措施？A

A、使用标准的C语言字符串库进行操作

B、严格验证输入字符串长度

C、过滤不合规则的字符

D、使用第三方安全的字符串库操作

答案：A。

59、下列那一项不属于Puzz测试的特性？

A、主要针对软件漏洞或可靠性错误进行测试

B、采用大量测试用例进行激励－响应测试

C、一种试探性测试方法，没有任何理论依据

D、利用构造畸形的输入数据引发被测试目标产生异常

答案：C。

A、对被冒充的主机进行绝技服务攻击，使其无法对目标主机进行响应

B、与目标主机进行会话，猜测目标主机的序号规则

C、冒充受信主机向目标主机发送数据包，欺骗目标主机

D、向目标主机发送指令，进行会话操作

60、以下哪个不是软件安全需求分析解决的主要任务？

A、确定团队负责人和安全顾问

B、威胁建模

C、定义安全和隐私需求（质量标准）

D、设立最低安全标准/Bug 栏

答案：B。

61、下面对PDCA模型的解释不正确的是？

A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动

B、是一种可以应用于信息安全管理活动持续改进的有效实践方法

C、也被称为“戴明环”

D、适用于对组织整体活动的优化，不适合单个的过程以及个人

答案：D。

62、风险评估方法的选定在PDCA循环中的哪个阶段完成？

A、实施和运行

B、保持和改进

C、建立

D、监视和评审

答案：C。

63、在PDCA模型中，ACT（处置）环节的信息安全管理活动是：

A、建立环境

B、实施风险处理计划

C、持续的监视与评审风险

D、持续改进信息安全管理过程

答案：D。

64、下述选项中对于“风险管理”的描述不正确的是：

A、风险管理是知道和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通

B、风险管理的目的是了解风险并采取措施处置风险并将风险消除

C、风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期。

D、在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

答案：B。

65、在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：

A、分析系统的体系结构

B、分析系统的安全环境

C、制定风险管理计划

D、调查系统的技术特性

答案：C。

66、风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？

A、风险分析准备的内容是识别风险的影响和可能性

B、风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度

C、风险分析的内容是识别风险的影响和可能性

D、风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施

答案：C。

67、下列哪一项准备地描述了脆弱性、威胁、影响和风险之间的关系？D

A、脆弱性增加了威胁，威胁利用了风险并导致了影响

B、风险引起了脆弱性并导致了影响，影响又引起了威胁

C、风险允许威胁利用脆弱性，并导致了影响

D、威胁利用脆弱性并产生影响的可能性称为风险，影响是威胁已造成损害的实例

答案：D。

68、管理者何时可以根据风险分析结果对已识别的风险不采取措施？A

A、当必须的安全对策的成本高出实际风险的可能造成的潜在费用时

B、当风险减轻方法提高业务生产力

C、当引起风险发生的情况不在部门控制范围之内时

D、不可接受

答案：A。

69、以下选项中哪一项是对于信息安全风险采取的纠正机制？

A、访问控制

B、入侵检测

C、灾难恢复

D、防病毒系统

答案：C。

70、下列对风险分析方法的描述正确的是：

A、定量分析对比定性分析方法使用的工具更多

B、定性分析比定量分析方法使用的工具更多

C、同一组织只使用使用一种方法进行评估

D、符合组织要求的风险评估方法就是最优方法

答案：D。

71、下列哪种处置方法属于转移风险？

A、部署综合安全审计系统

B、对网络行为进行实时监控

C、制订完善的制度体系

D、聘用第三方专业公司提供维护外包服务

答案：D。

72、下面关于ISO27002的说法错误的是：

A、ISO27002的前身是ISO17799-1

B、ISO27002给出了通常意义的信息安全管理最佳实践供组织机构选用，但不是全部

C、ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其它信息”三个部分来进行描述

D、ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是出于核心地位的一类安全措施

答案：D。

73、某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负最终责任？

A、部门经理

B、高级管理层

C、信息资产所有者

D、最终用户

答案：C。

74、应当如何理解信息安全管理体系中的“信息安全策略”？

A、为了达到如何保护标准而提出的一系列建议

B、为了定义访问控制需求而产生出来的一些通用性指引

C、组织高层对信息安全工作意图的正式表达

D、一种分阶段的安全处理结果

答案：C。

75、以下关于“最小特权”安全管理原则理解正确的是：

A、组织机构内的特敏岗位不能由一个人长期负责

B、对重要的工作进行分解，分配给不同人员完成

C、一个人有且仅有其执行岗位所足够的许可和权限

D、防止员工由一个岗位变动到另一个岗位，累计越来越多的权限

答案：C。

76、作为一个组织的信息系统普通用户，以下哪一项不是必须了解的？

A、谁负责信息安全管理制度的制定和发布

B、谁负责监督信息安全制度的执行

C、信息系统发生灾难后，进行恢复的整体工作流程

D、如果违反了安全制度可能会受到惩戒措施

答案：C。

77、职责分离式信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员《单独进行操作》可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？

A、数据安全管理员

B、数据安全分析员

C、系统审核员

D、系统程序员

答案：D。

78、在国家标准《信息系统灾难恢复规范》中，根据____要素。将灾难恢复等级划分为___级。

A、7，6

B、6，7

C、7，7

D、6，6

答案：A。

79、灾难发生后，系统和数据必须恢复到的_____为恢复点目标（RPO）。

A、时间要求

B、时间点要求

C、数据状态

D、运行状态

答案：B。

80、根据灾难恢复演练的深度不同，可以将演练分为三个级别，这三个级别按演

练深度由低到高的排序正确的是：

A、系统级演练、业务级演练、应用级演练

B、系统级演练、应用级演练、业务级演练

C、业务级演练、应用级演练、系统级演练

D、业务级演练、系统级演练、应用级演练

答案：B。

81、下面对能力程度模型解释最准确的是：

A、它认为组织的能力依赖于严格定义、管理完善、可测可挖的有效业务过程

B、它通过严格考察工程成果来判断工程能力

C、它与统计过程控制理论的出发点不同、所以应用于不同领域

D、它是随着信息安全的发展而诞生的重要概念

答案：A。

82、下面哪一项为系统安全工程能力成熟度模型提供了评估方法？

A、ISSE

B、SSAM

C、SSR

D、CEM

答案：B。

83、下面对于SSE－CMM保证过程的说法错误的是：

A、保证是指安全需求得到满足的可信任度程度

B、信息程度来自于对安全工程结果质量的判断

C、自验证与证实安全的主要手段包括观察、认证、分析和测试

D、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

答案：D。

84、SSE－CMM工程过程区域中的风险过程包含哪些过程区域？

A、评估威胁、评估脆弱性、评估影响

B、评估威胁、评估脆弱性、评估安全风险

C、评估威胁、评估脆弱性、评估影响、评估安全风险

D、评估威胁、评估脆弱性、评估影响、验证和证实安全

答案：C。

85、按照SSE－cmm能力级别第三级是指：

A、定量控制

B、计划和跟踪

C、持续改进

D、充分定义

答案：D。

86、一个组织的系统安全能力成熟度达到哪个级别以后，就可以考虑为过程域（PA）的实施提供充分的资源？

A、2级――计划和跟踪

B、3级――充分定义

C、4级――量化控制

D、充分定义

答案：A。

87、在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：

A、防止出现数据范围以外的值

B、防止出现错误的数据处理顺序

C、防止缓冲区溢出攻击

D、防止代码注入攻击

答案：B。

88、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：

A、明确业务对信息安全的要求

B、识别来自法律法规的安全要求

C、论证安全要求是否正确完整

D、通过测试证明系统的功能和性能可以满足安全要求

答案：D。

89、信息安全工程建立工程师不需要做的工作是：

A、编写验收测试方案

B、审核验收测试方案

C、监督验收测试过程

D、审核验收测试报告

答案：A。

90、下面哪一项是监理单位在招标阶段质量控制的内容？

A、协助建设单位提出工程需求，确定工程的整体质量目标

B、根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需

求部分

C、进行风险评估和需求分析完成招标文件中的技术需求部分

D、对标书应答的技术部分进行审核，修改其中不满足安全需求的内容

答案：A。

91、国际标准化组织ISO下属208个技术委员会（TCs），531个分技术委员会（SCs），2378个工作组（WGs），其中负责信息安全技术标准化的组织：

A、ISO/IES

B、ISO/IEC JTC1

C、ISO/IEC JTC 1/SC27

D、ISO/IEC JTC 1/SC 37

答案：C。

92、______是目前国际通行的信息技术产品安全性评估标准？

A、TCSEC

B、ITSEC

C、CC

D、IATF

答案：C。

93、以下对确定信息系统的安全保护等级理解正确的是：

A、信息系统的安全保护等级是信息系统的客观属性

B、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施

C、确定信息系统的安全保护等级时应考虑风险评估的结果

D、确定信息系统的安全保护等级时应仅考虑业务信息的安全性

答案：A。

94、下面哪个不是ISO27000系列包含的标准？

A、《信息安全管理体系要求》

B、《信息安全风险管理》

C、《信息安全度量》

D、《信息安全评估规范》

答案：D。

95、以下哪一个关于信息安全评估的标准首先明确提出了保密性、完成性和可用性三项信息安全特征？A

A、ITSEC

B、TCSEC

C、GB/T8387.2

D、彩虹系列的橙皮书

答案：A。

96、目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度？

A、公安部

B、国家保密局

C、信息产业部

D、国家密码管理委员会办公室

答案：B。

97、下面有关我信息安全管理体制的说法错误的是：

A、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面

B、我国的信息安全保障工作综合利用法律、管理和技术的手段

C、我国的信息安全管理应坚持检测、快速响应、综合治理的方针

D、我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责

答案：C。

98、以下哪一项不是我国与信息安全有关的国家法律？

A、《信息安全等级保护管理办法》

B、《中华人民共和国保守国家秘密法》

C、《中华人民共和国刑法》

D、《中华人员共和国安全法》

答案：A。

99、触犯新刑法285条规定的非法侵入计算机系统罪可判处________。

A、三年以下有期徒刑或拘役

B、1000员罚款

C、三年以上五年以下有期徒刑

D、10000员罚款

答案：A。

100、下列哪个不是《商用密码管理条例》规定的内容？

A、国家密码管理委员会及其办公室（简称密码管理机构）主观全国的商用密码管理工作

B、商用密码技术术语国家密码，国家对商用密码产品的科研、生产、销售

和使用实行专控管理

C、商用密码产品由国家密码管理机构许可的单位销售

D、个人可以使用经国家密码管理机构认可之外的商用密码产品

答案：D。

答案

01-05:CCDBB 06-10:BBDBB

11-15:ACCCA 16-20:CDDCC

21-25:BDCCC 26-30:BDBCC

31-35:CADDB 36-40:CCBCA

41-45:CCBDC 46-50:CBACA

51-55:DCDDA 56-60:DBACB

61-65:DCDBC 66-70:CDACD

71-75:DDCCC 76-80:CDABB

81-85:ABDCD 86-90:ABDAA

91-95:CCADA 96-100:BCAAD

本文标签： 风险进行用户评估信息系统