国家信息安全水平考试(NISP)二级,被称为校园版”CISP”,由中国信息安全测评中心发证,NISP运营管理中心(www.nisp.org.cn)负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白,持证学员毕业满足条件可免试换取CISP证书,为持证学员赢得就业先机。
1.等级保护实施根据 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》分为五大阶段;()、总体规划、设计实施、()和系统终止。但由于在开展等级保护试点工作时,大量信息系统已经建设完成,因此根据实际情况逐步形成了()、备案、差距分析(也叫差距测评)、建设整改、验收测评、定期复查为流程的()工作流程。和《等级保护实施指南》中规定的针对()的五大阶段略有差异。
A.运行维护;定级;定级;等级保护;信息系统生命周期
B.定级;运行维护;定级;等级保护;信息系统生命周期
C.定级运行维护;等级保护;定级;信息系统生命周期
D.定级;信息系统生命周期;运行维护;定级;等级保护
答案:B
解析:P76 页
以过程管理方法进行的系统管理。P177 页
2.Windows 系统下,可通过运行( )命令打开 Windows 管理控制台。
A.regedit
B.cmd
C.mmc
D.mfc
答案;C解析:
3.以下哪个现象较好的印证了信息安全特征中的动态性( )
A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备
B.刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险
C.某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击
D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露
答案:B
解析:B 体现出了动态性
4.有关质量管理,错误的理解是( )。
A.质量管理是与指挥和控制组织质量相关的一系列相互协调的活动,是为了实现质量目标,而进行的所有管理性质的活动
B.规范质量管理体系相关活动的标准是 ISO 9000 系列标准
C.质量管理体系将资源与结果结合,以结果管理方法进行系统的管理
D.质量管理体系从机构,程序、过程和总结四个方面进行规范来提升质量
答案:C
解析:质量管理体系是组织内部建立的、为实现质量目标所必需的系统性质量管理模式,是组织的一项战略决策。它将资源与过程结合,P177 页
5.ISO2007:2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实施、保持和不断改进()制定了要求。ISO27001 标准的前身为()的 BS7799 标准,该标准于 1993 年由()立项,于 1995 年英国首次出版 BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的(),其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一(),并且适用大、中、小组织。
A.ISMS;德国;德国贸易工业部;实施规则;参考基准
B.ISMS;法国;法国贸易工业部;实施规则;参考基准
C.ISMS;英国;英国贸易工业部;实施规则;参考基准
D.ISMS;德国;德国贸易工业部;参考基准;实施规则
答案:C
解析:
6.老王是一名企业信息化负责人,由于企业员工在浏览网页时总导致病毒感染系统,为了解决这一问题,老王要求信息安全员给出解决措施,信息安全员给出了四条措施建议,老王根据多年的信息安全管理经验,认为其中一条不太适合推广,你认为是哪条措施()
A.采购防病毒网关并部署在企业互联网出口中,实现对所有浏览网页进行检测,阻止网页中的病毒进入内网
B.组织对员工进行一次上网行为安全培训,提高企业员工在互联网浏览时的安全意识
C.采购并统一部署企业防病毒软件,信息化管理部门统一进行病毒库升级,确保每台计算机都具备有效的病毒检测和查杀能力
D.制定制度禁止使用微软的 IE 浏览器上网,统一要求使用 Chrome 浏览器
答案:D
解析:更换浏览器并不能防范病毒感染系统,而且很多软件和应用与微软 IE 浏览器做了适配,强制更换 Chrome 浏览器不适合推广。
7.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,以下哪个选项的内容不属于常规控制措施的范围()
A.安全事件管理、供应商关系、业务安全性审计
B.信息安全方针、信息安全组织、资产管理
C.安全采购、开发与维护、合规性
D.人力资源安全、物理和环境安全、通信安全
答案:A
解析:ISO27001 信息安全管理体系包含了 14 个控制域详见 P103 页,没有业务安全性审计
8.保护-检测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模 型,其思想是承认()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
A.信息系统;信息安全保障;威胁;检测工作
B.信息安全保障;威胁;信息系统;检测工作
C.信息安全保障;信息系统;威胁;检测工作
D.信息安全保障;信息系统;检测工作;威胁
答案:C
解析:保护-检测-响应(Protection-Detection-Response,PDR)模型是信息安全保障工作中 常用的模型,其思想是承认信息系统中漏洞的存在,正视系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。P25 页。
9.以下关于信息安全工程说法正确的是()。
A.信息化建设可以先实施系统,而后对系统进行安全加固
B.信息化建设中系统功能的实现是最重要的
C.信息化建设没有必要涉及信息安全建设
D.信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
答案:D
解析:同步规划,同步实施
10.小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户 “抱歉,发生内部错误!”。请问,这种处理方法的主要目的是()。
A.最小化反馈信息
B.安全处理系统异常
C.安全使用临时文件
D.避免缓冲区溢出
答案:A
解析:最小化反馈是指在程序内部处理时,尽量将少的信息反馈到运行界面,即避免给予不可靠用户过多信息,防止不可靠用户据此猜测软件程序的运行处理机制。P413 页。
11.恢复时间目标(Recovery Time Objective ,RTO)和恢复点目标(Recovery Point Objective,RPO)是业务连续性和灾难恢复工作中的两个重要指标,随着信息系统越来越重要和信息技术越来越先进,这两个指标的数值越来越小。小华准备为其工作的信息系统拟定 RTO 和 RPO 指标,则以下描述中,正确的是( )。
A.RTO 不可以为 0,RPO 也不可以为 0
B.RTO 可以为 0,RPO 也可以为 0
C.RTO 可以为 0,RPO 不可以为 0
D.RTO 不可以为 0,RPO 可以为 0
答案:B
解析:RPO 和 RTO 两个指标从不用的角度来反映灾难备份和恢复的能力,RTO 和 RPO 都为 0 是最完美的解决方案,因为在两个值都为 0 的情况下,意味着系统永不中断服务,而且完全没有数据丢失。P156 页。
12.部署互联网协议安全虚拟专用网 (Internet Protocol Security Virtual Private Network,IPsec VPN)时,以下说法正确的是()。
A.部署 IPsec VPN 网络时,需要考虑 IP 地址的规划,尽量在分支节点使用可以聚合的 IP地址段,来减少 IPsec 安全关联(Security Authentication,SA)资源的消耗
B.配置 AES 算法可以提供可靠的数据完整性验证
C.配置 MD5 安全算法可以提供可靠地数据加密
D.报文验证头协议(Authentication Header,AH)可以提供数据机密性
答案:A
解析:MD5 是单向函数提供数据完整性验证,AES 是数据加密算法提供数据机密性保护,AH提供身份验证和数据完整性保护。
13.某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能()。
A.防止 IP 地址欺骗
B.核查系统的配置漏洞,评估系统关键资源和数据文件的完整性
C.识别违反安全策略的用户活动
D.检测并分析用户和系统的活动
答案:A
解析:入侵检测技术不包含防 IP 地址欺骗。
14.某 IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的 CSO,请你指出存在问题的是哪个总结?()
A.公司成立了信息安全应急响应组织,该组织由业务和技术人员组成,划分成应急响应领导小组、技术保障小组、专家小组、实施小组和日常运行小组
B.公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类,基本覆盖了各类应急事件类型
C.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段,流程完善可用
D.公司应急预案对事件分类依据 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》,分为 7 个基本类别,预案符合国家相关标准
答案:C
解析:“后期运维、更新现有应急预案”不属于应急演练流程里面的内容。
15.目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是()。
A.喜欢恶作剧、实现自我挑战的娱乐型黑客
B.巩固战略优势,执行军事任务、进行目标破坏的信息作战部队
C.实施犯罪、获取非法经济利益网络犯罪团伙
D.搜集政治、军事、经济等情报信息的情报机构
答案:C
解析:A 属于个人威胁;B 和 D 属于国家威胁。
16.以下关于网络安全设备说法正确的是()。
A.入侵检测系统的主要作用是发现并报告系统中未授权或违反安全策略的行为
B.安全隔离与信息交换系统也称为网闸,需要信息交换时,同一时间可以和两个不同安全级别的网络连接
C.虚拟专用网是在公共网络中,利用隧道技术,建立一个永久、安全的通信网络
D.防火墙既能实现内外网物理隔离,又能实现内外网逻辑隔离
答案:A
解析:B 在需要信息交换时,安全隔离与信息交换系统内部隔离安全交换单元模拟形成开关,同一时间只和一个网络进行连接,不会同时连接两个网络;C 虚拟专用网是在公共网络中,利用隧道技术,建立一个临时的、安全的网络;D 防火墙不能实现内外网物理隔离。
17.为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是()。
A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
C.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实
际系统中运行时的安全状况
D.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
答案:B
解析:在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。
18.操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的 Windows 操作系统进行配置。他的主要操作有:(1)关闭不必要的服务和端口;(2)在“本地安全策略”中配置账号策略、本地策略、公钥策略和 IP 安全策略;(3)备份敏感文件,禁止建立空连接,下载最新补丁;(4)关闭审核策略,开启口令策略,开启账户策略。这些操作中错误的是()。
A.操作(1),应该关闭不必要的服务和所有端口
B.操作(4),应该开启审核策略
C.操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加
D.操作(2),在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略
答案:B
解析:操作(4),应该开启审核策略。
19.关于信息安全管理体系的作用,下面理解错误的是()。
A.对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
B.对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
C.对外而言,有助于使各利益相关方对组织充满信心
D.对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
答案:A
解析:“光花钱不挣钱的事情”错误
20.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产 A1 和资产 A2 ;其中资产 A1 面临两个主要威胁:威胁 T1 和威胁 T2;而资产 A2 面临一个主要威胁:威胁 T3;威胁 T1 可以利用的资产 A1存在的两个脆弱性:脆弱性 V1 和脆弱性 V2;威胁 T2 可以利用的资产 A1 存在的三个脆弱性,脆弱性 V3、脆弱性 V4 和脆弱性 V5;威胁 T3 可以利用的资产 A2 存在的两个脆弱性:脆弱性 V6 和脆弱性 V7。根据上述条件,请问:使用相乘法时,应该为资产 A1计算几个风险值( )。
A.3
B.6
C.5
D.2
答案:C
解析:威胁利用脆弱性产生风险,相乘是指 21+31=5。
21.在国家标准 GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?()
A.保障要素、生命周期和运行维护
B.保障要素、生命周期和安全特征
C.规划组织、生命周期和安全特征
D.规划组织、生命周期和运行维护
答案:B
解析:在国家标准 GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含保障要素、生命周期和安全特征 3 方面。 P35 页。
22.北京某公司利用 SSE-CMM 对其自身工程队伍能力进行自我改善,其理解正确的是()。
A.达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B.SSE-CMM 强调系统安全工程与其他工程学科的区别性和独立性
C.系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D.系统安全工程能力成熟度模型(SSE-CMM)定义了 6 个能力级别,当工程队伍不能执行
一个过程域中的基本实践时,该过程域的过程能力是 0 级
答案:D
解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。 C 错误,SSE-CMM 定义了一个风险过程,包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了 6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
23.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()。
A.要求开发人员采用瀑布模型进行开发
B.要求所有的开发人员参加软件安全意识培训
C.要求增加软件安全测试环节,尽早发现软件安全问题
D.要求规范软件编码,并制定公司的安全编码准则
答案:A
解析:瀑布模型是一种开发模型与安全防护无关,有些题目可能会把瀑布模型换成其他不设计安全的模型,例如敏捷开发模型等。
24.应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为 6 个阶段,为准备->检测->遏制->根除->恢复->跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是()。
A.应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
B.在检测阶段,首先要进行监测、报告及信息收集
C.遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有:完全关闭所有系统、拔掉网线等
D.确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤
答案:C
解析:关闭相关系统而不是关闭所有系统。P153 页。
25.某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是()。
A.模拟正常用户输入行为,生成大量数据包作为测试用例
B.深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
C.监测和记录输入数据后程序正常运行的情况
D.数据处理点、数据通道的入口点和可信边界点往往不是测试对象
答案:B
解析:A 选项应为模拟异常用户输入行为;C 监测和记录由输入导致的任何崩溃或异常现象;D 数据处理点、数据通道的入口点和可信边界点是测试对象.
26.对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是()。
A.特别重要信息系统
B.重要信息系统
C.关键信息系统
D.一般信息系统
答案:C
解析:信息系统重要程度划分为特别重要信息系统、重要信息系统和一般信息系统三级。
P146 页。
27.关于 ARP 欺骗原理和防范措施,下面理解错误的是()。
A.ARP 欺骗是指攻击者直接向受害者主机发送错误的 ARP 应答报文,使得受害者主机将错误的硬件地址映射关系存入到 ARP 缓存中,从而起到冒充主机的目的
B.解决 ARP 欺骗的一个有效方法是采用“静态”的 ARP 缓存,如果发生硬件地址的更改,则需要人工更新缓存
C.单纯利用 ARP 欺骗攻击时,ARP 欺骗通常影响的是内部子网,不能跨越路由实施攻击
D.彻底解决 ARP 欺骗的方法是避免使用 ARP 协议和 ARP 缓存,直接采用 IP 地址和其他主机进行连接
答案:D
解析:如果不使用 ARP 协议可能会造成网络无法正常运行,因此不能避免使用该协议。
28.CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现 CC 标准的先进性()
A.实用性,将 CC 的安全性要求具体应用到 IT 产品的开发、生产、测试和评估过程中
B.结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
C.表达方式的通用性,即给出通用的表达方式
D.独立性,它强调将安全的功能和保证分离
答案:D
解析:CC 标准充分突出了“保护轮廓”这一概念,将评估过程分“功能”和“保证”两部分。CC是对已有安全准则的总结和兼容,有通用的表达方式,ITSEC 首先提出功能和保证分离, CC 继承了这一概念,所以无法体现先进性。P233 页。
29.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()
A.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
B.信息中心的考虑是正确的,在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
答案 B
解析:软件安全开发阶段投入,后期解决代价比前期解决代价大的多。
30.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A 的 FTP 服务存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP 服务漏洞补丁程序并加固 FTP服务安全措施,请问该措施属于哪种风险处理方式( )
A.风险转移
B.风险接受
C.风险规避
D.风险降低
答案:D
解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。
31.国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述()
A.能够局部反应国家防御和治安实力的
B.我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
C.处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
D.国际领先,并且对国防建设或者经济建设具有特别重大影响的
答案:D
解析:重在“特别重大影响”。
32.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的 RPO(恢复点目标)指标为 3 小时。请问这意味着( )。
A.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失 3 小时的业务数据
B.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统运行 3 小时后能恢复全部数据
C.该信息系统发生重大信息安全事件后,工作人员应在 3 小时内完成应急处理工作,并恢复对外运行
D.该信息系统发生重大信息安全事件后,工作人员应在 3 小时内到位,完成问题定位和应急处理工作
答案:A
解析:RPO 是指在业务恢复后的数据与最新数据之间的差异程度,这个程度使用时间作为衡量指标。如:RPO=0,说明数据是实时备份,不会出现数据丢失的情况。P156。
33.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE 是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是 STRIDE 中欺骗类的威胁,以下威胁中哪个可以归入此类威胁()
A.网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度
B.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
C.网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
答案:B
解析:A 属于拒绝服务威胁;C 属于篡改威胁;D 属于信息泄露威胁。P405 页。
34.某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以下选项中不合理的是
()
A.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解
B.对下级单位的网络安全管理岗人员实施全面安全培训,建议通过 CISP 培训以确保人员能力得到保障
C.对全体员工安排信息安全意识及基础安全知识培训,实现全员信息安全意识教育
D.由于网络安全上升到国家安全的高度,网络安全必须得到足够的重视,因此安排了对集团公司下属单位的总经理(一把手)的网络安全法培训
答案:D
解析:不能只对公司总经理培训,A 是干扰项实际情况就是要求对信息化相关人员也进行安全基础培训,使其对网络安全有所了解。
35.关于 Wi-Fi 联盟提出的安全协议 WPA 和 WPA2 的区别,下面描述正确的是()。
A.WPA 是适用于中国的无线局域安全协议,而 WPA2 是适用于全世界的无线局域网协议
B.WPA 是有线局域安全协议,而 WPA2 是无线局域网协议
C.WPA 是依照 802.11i 标准草案制定的,而 WPA2 是依照 802.11i 正式标准制定的
D.WPA 没有使用密码算法对接入进行认证,而 WPA2 使用了密码算法对接入进行认证
答案:C
解析:WI-FI 联盟在802.11i 标准草案的基础上制定了WPA 标准;2004 年,IEEE 发布了802.11i
正式标准(也称为 WPA2),在加密算法上采用了基于 AES 的 CCMP 算法。P341 页。
36.下列关于软件安全开发中的 BSI(Build Security In)系列模型说法错误的是()。
A.软件安全的三根支柱是风险管理、软件安全触点和安全知识
B.BSI 含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
C.BSI 系列模型强调安全测试的重要性,要求安全测试贯穿整个开发过程及软件生命周期
D.软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
答案:C
解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识,其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
37.在信息安全风险管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误的()。
A.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告
B.背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告
C.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
D.背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性
答案:C
解析:背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。P89 页
38.关于《网络安全法》域外适用效力的理解,以下哪项是错误的()
A.对于来自境外的违法信息我国可以加以阻断传播
B.对于来自境外的网络安全威胁我国可以组织技术力量进行监测、防御和处置
C.对于来自境外的网络攻击我国可以追究其法律责任
D.当前对于境外的网络攻击,我国只能通过向来源国采取抗议
答案:D
解析:对境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施活动,造成严重后果的,依法追究法律责任。P55 页。
39.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户帐户的安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用 SHA-1 算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则()
A.纵深防御原则
B.最少共享机制原则
C.职责分离原则
D.最小特权原则
答案:A
解析:纵深防御原则:软件应该设置多重安全措施(户名口令认证方,基于数字证书的身份认证,用户口令使用 SMA-1 算法加密后存放在后台数据库中),并充分利用操作系统提供的安全防护机制,形成纵深防御体系,以降低攻击者成功攻击的几率和危害。P409。
40.有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是()。
A.基于 SSE-CMM 的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
B.SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
C.SSE-CMM 要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
D.SSE-CMM 覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
答案:A
解析:SSE-CMM 的工程不是独立工程,而是与其他工程并行且相互作用,包括企业工程、软件工程、硬件工程、通信工程等。P179。
41.有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices, GP),错误的理解是()。
A.在工程实施时,GP 应该作为基本实施(Base Practices,BP)的一部分加以执行
B.GP 适用于域维中部分过程区域(Process Areas,PA)的活动而非所有 PA 的活动
C.在评估时,GP 用于判定工程组织执行某个 PA 的能力
D.GP 是涉及过程的管理、测量和制度化方面的活动
答案:B
解析:通用实施(Generic Practices,GP),又被称之为“公共特征”的逻辑域组成。通用实施可应用到每一个过程区,但第一个公共特征“执行基本实施”例外。
42.Kerberos 协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是消息 M 在多个应用系统之间的传递或共享。其中,消息 M 是指以下选项中的()。
A.安全凭证
B.加密密钥
C.会话密钥
D.用户名答案:A
解析:单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是安全凭证在多个应用系统之间的传递或共享。P300页。
43.Gary McGraw 博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。
A.威胁建模、源代码审核和模糊测试
B.应用风险管理、软件安全接触点和安全知识
C.威胁建模、渗透测试和软件安全接触点
D.源代码审核、风险分析和渗透测试
答案:B
解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识,其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
44.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有 296 万行源代码,总共被检测出 145 个缺陷,则可以计算出其软件缺陷密度值是()。
A.49
B.0.49
C.0.00049
D.0.049
答案:D
解析:千行代码缺陷率=缺陷数/(代码行数/1000)
45.ISO9001-2000 标准鼓励在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增进顾客满意度。下图是关于过程方法的示意图,图中括号空白处应填写( )。
A.策略
B.活动
C.组织
D.管理者
答案:B
解析:参考 ISO9001-2000 标准过程方法
46.随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源,下面描述正确的是()。
A.信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发、部署和使用过程中存在的脆弱性,导致了诸多的信息安全事件发生。因此,杜绝脆弱性的存在是解决信息安全问题的根本所在
B.信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛,接触信息系统的人越多,信息系统越可能遭受攻击。因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
C.信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此,对人这个因素的防范应是安全工作重点
D.信息安全问题产生的根源要从内因和外因两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手
答案:D
解析:从根源来说,信息安全问题可以归因于内因和外因两个方面。P3 页。
47.某贸易公司的 OA 系统由于存在系统漏洞,被攻击者上传了木马病毒并删除了系统中的数据,由于系统备份是每周六进行一次,事件发生时间为周三,因此导致该公司三个工作日的数据丢失并使得 OA 系统在随后两天内无法访问,影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据 GB/Z 20986-2007《信息安全事件分级分类指南》,该事件的准确分类和定级应该是()
A.有害程序事件特别重大事件(Ⅰ级)
B.信息破坏事件重大事件(Ⅱ级)
C.有害程序事件较大事件(Ⅲ级)
D.信息破坏事件一般事件(Ⅳ级)
答案:C
解析:木马病毒为有害程序事件,系统数据丢失并使得 OA 系统在随后两天内无法访问属于较大事件(III 级)
48.以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是()。
A.IPsec 仅能保证传输数据的可认证性和保密性
B.验证头协议(Authentication Head,AH)和 IP 封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作
C.在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括 IP 头
D.在传送模式中,保护的是 IP 负载
答案:A
解析:IPsec 协议中通过封装安全载荷协议加密需要保护的载荷数据,为这些数据提供机密性和完整性保护能力。
49.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权。该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动。为防范此类木马后门的攻击,以下做法无用的是()。
A.不随意打开来历不明的邮件,不浏览不健康不正规的网站
B.不下载、不执行、不接收来历不明的软件或文件
C.修改用户名和口令
D.安装反病毒软件和防火墙,安装专门的木马防治软件
答案:C
解析:修改用户名和口令不能防范此类攻击。
50.超文本传输协议(HyperText Transfer Protocol,HTTP)是互联网上广泛使用的一种网络协议。下面哪种协议基于 HTTP 并结合 SSL 协议,具备用户鉴别和通信数据加密等功能()。
A.HTTPD 协议
B.HTTP 1.0 协议
C.HTTPS 协议
D.HTTP 1.1 协议
答案:C
解析:HTTPS 协议,是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。
51.安全漏洞扫描技术是一类重要的网络安全技术。当前,网络安全漏洞扫描技术的两大核心技术是()。
A.PING 扫描技术和端口扫描技术
B.端口扫描技术和漏洞扫描技术
C.操作系统探测和漏洞扫描技术
D.PING 扫描技术和操作系统探测
答案:B
解析:概念题
52.下列选项中对信息系统审计概念的描述中不正确的是()
A.信息系统审计,也可称作 IT 审计或信息系统控制审计
B.信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性
C.信息系统审计是单一的概念,是对会计信息系统的安全性、有效性进行检查
D.从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项目合规审计、绩效审计等
答案:C
解析:国家审计署定义:“信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。”P260 页。
53.甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况,甲公司将这个任务委托了乙公司,那么乙公司的设计员应该了解 OSI 参考模型中的哪一层()
A.数据链路层
B.会话层
C.物理层
D.传输层
答案:C
解析:物理层规定通信设备的机械的、电气的、功能的和过程的特性,用以建立、维护和拆除物理链路连接,这些特性包括网络连接时所需接插件的规格尺寸、引脚数量等,P329 页
54.下面哪一项情景属于身份鉴别(Authentication)过程?()
A.用户依照系统提示输入用户名和口令
B.用户在网络上共享了自己编写的一份 Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
C.中的内容用户使用加密软件对自己家编写的 Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
D.某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记录在系统日志中
答案:A解析:
55.终端访问控制器访问控制系统(TERMINAL Access Controller Access-Control System,TACACS),在认证过程中,客户机发送一个 START 包给服务器,包的内容包括执行的认证类型、用户名等信息。START 包只在一个认证会话开始时使用一个,序列号永远为().服务器收到 START 包以后,回送一个 REPLY 包,表示认证继续还是结束。
A.0
B.1
C.2
D.4
答案:B
解析:P315 页
56.()在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的()。例如攻击者要伪装成某个大型集团公司总部的()。那么他需要了解这个大型集团公司所处行业的一些行规或者()、公司规则制度、组织架构等信息,甚至包括集团公司相关人员的绰号等等。
A.攻击者;所需要的信息;系统管理员;基础;内部约定
B.所需要的信息;基础;攻击者;系统管理员;内部约定
C.攻击者;所需要的信息;基础;系统管理员;内部约定
D.所需要的信息;攻击者;基础;系统管理员;内部约定
答案:C
解析:
57.1993 年至 1996 年,欧美六国和美国商务部国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准,简称 CC 标准,该安全评估标准的全称为()
A.《可信计算机系统评估准则》
B.《信息技术安全评估准则》
C.《可信计算机产品评估准则》
D.《信息技术安全通用评估准则》
答案:D
解析:
58.计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代,某公司为减少计算机系统漏洞,对公司计算机系统进行了如下措施,其中错误的是( )
A.减少系统日志的系统开销
B.禁用或删除不需要的服务,降低服务运行权限
C.设置策略避免系统出现弱口令并对口令猜测进行防护
D.对系统连续进行限制,通过软件防火墙等技术实现对系统的端口连续进行控制
答案:A
解析:系统日志不应该减少
59.安全审计是一种很常见的安全控制措施,它在信息全保障系统中,属于()措施。
A.保护
B.检测
C.响应
D.恢复
答案:B解析:
60.下列选项分别是四种常用的资产评估方法,哪个是目前采用最为广泛的资产评估方法()。
A.基于知识的分析方法
B.基于模型的分析方法
C.定量分析
D.定性分析答案:
D 解析:
61.访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制,它们具有不同的特点和应用场景。如果需要选择一个访问控制模型,要求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在(1)自主访问控制,(2)强制访问控制,(3)基于角色的访问控制(4)基于规则的访问控制中,能够满足以上要求的选项有()
A.只有(1)(2)
B.只有(2)(3)
C.只有(3)(4)
D.只有(4)
答案:C
解析:支持最小特权原则和职责分离原则,只有基于角色的访问控制满足,所以排除 A 和 D,基于强制访问控制不满足,所以排除 B。
62.国家对信息安全建设非常重视,如国家信息化领导小组在()中确定要求,“信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。”国家发展改革委所下发的()要求;电子政务工程建设项目必须同步考虑安全问题,提供安全专项资金,信息安全风险评估结论是项目验收的重要依据。在我国 2017 年正式发布的()中规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”信息安全工程就是要解决信息系统生命周期的“过程安全”问题。
A.《关于加强信息安全保障工作的意见》;《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》;《网络安全法》
B.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》;《关于加强信息安全保障工作的意见》;《网络安全法》
C.《网络安全法》;《关于加强信息安全保障工作的意见>>;
D.《网络安全法》;《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》;
《关于加强信息安全保障工作的意见》
答案:A
解析:
63.现如今的时代是信息的时代,每天都会有大量的信息流通或交互,但自从斯诺登曝光美国政府的“棱镜”计划之后,信息安全问题也成为了每个人乃至整个国家所不得不重视的问题,而网络信息对抗技术与电子信息对抗技术也成为了这个问题的核心。某公司为有效对抗信息收集和分析,让该公司一位网络工程师提出可行的参考建议,在该网络工程师的建议中,错误的是()
A.通过信息安全培训,使相关信息发布人员了解信息收集的风险
B.发布信息应采取最小原则,所有不是必要的信息都不发布
C.重点单位应建立信息发布审查机制,对发布的信息进行审核,避免敏感信息的泄露
D.增加系统中对外服务的端口数量,提高会话效率
答案:D
解析:增加对外服务端口数量会有助于攻击者进行信息收集
64.分析针对 Web 的攻击前,先要明白 http 协议本身是不存在安全性的问题的,就是说攻击者不会把它当作攻击的对象。而是应用了 http 协议的服务器或则客户端、以及运行的服务器的 wed 应用资源才是攻击的目标。针对 Web 应用的攻击,我们归纳出了 12 种,小陈列举了其中的 4 种,在这四种当中错误的是()
A.拒绝服务攻击
B.网址重定向
C.传输保护不足
D.错误的访问控制
答案:D
解析:A 项攻击的是 web 应用资源,B 项攻击的是把 web 服务器的地址重定向到其他地址,C项攻击的是运行 http 协议的客户端或者服务器铭文传输的问题。
65.在新的信息系统或增强已有()业务要求陈述中,应规定对安全控制措施的要求。信息安全的系统要求与实施安全的过程宜在信息系统项目的早期阶段被集成,在早期如设计阶段引入控制措施的更高效和节省。如果购买产品,则宜遵循一个正式的()过程。通过()访问的应用易受到许多网络威胁,如欺诈活动、合同争端和信息的泄露或修改。因此要进行详细的风险评估并进行适当的控制,包括验证和保护数据传输的加密方法等,保护在公共网络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的()。应保护涉及到应用服务交换的信息以防不完整的传输、路由错误、未经授权的改变、擅自披露、未经授权的()。
A.披露和修改;信息系统;测试和获取;公共网路;复制或重播
B.信息系统;测试和获取;披露和修改;公共网路;复制或重播
C.信息系统;测试和获取;公共网路;披露和修改;复制或重播
D.信息系统;公共网路;测试和获取;披露和修改;复制或重播
答案:C
解析:
66.2016 年 12 月 27 日,经中央网络安全和信息化领导小组批准,国家互联网信息办 公室发布《国家网络空间安全战略》(以下简称:“战略”)。全文共计()部分,6000 余字。其中主要对我国当前面临的网络空间安全 7 大机遇思想,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,切实维护国家在网络空间的主权、安全、发展利益,是指导国家网络安全工作的纲领性文件。《战略》指出,网络空间机遇和挑战并存,机遇大于挑战。必须坚持积极利用、科学发展、依法管理、确保安全,坚决维护网络安全,最大限度利用网络空间发展潜力,更好惠及 13 亿多中国人民,造福全人类,()。
《战略》要求,要以(),贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的()。
A.4 个;总体目标;坚定维护世界和平;总体国家安全观为指导;战略目标
B.5 个;基本目标;坚定维护世界和平;总体国家安全观为指导;战略目标
C.6 个;总体目标;坚定维护世界和平;总体国家安全观为指导;战略目标
D.7 个;基本目标;坚定维护世界和平;总体国家安全观为指导;战略目标
答案:A
解析:《国家网络空间安全战略》原文
67.哪种攻击是攻击者通过各种手段来小号网络宽带或者服务器系统资源,最终导致被攻击服务器资源耗尽或者系统崩溃而无法提供正常的网络服务()
A.拒绝服务
B.缓冲区溢出
C.DNS 欺骗
D.IP 欺骗
答案:A
解析:题干是针对拒绝服务攻击的描述
68.以下关于 VPN 说法正确的是()
A.VPN 指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路
B.VPN 不能做到信息认证和身份认证
C.VPN 指的是用户通过公用网络建立的临时的、安全的连接
D.VPN 只能提供身份认证,不能提供数据加密传输的功能
答案:C
解析:VPN 和公共网络是逻辑隔离的关系,可以进行信息认证,身份认证,数据加密(例如: IPsec VPN)
69.社会工程学是()与()结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的(),随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的“弱点”,而人性是(),这使得它几乎是永远有效的()。
A.网络安全;心理学;攻击方式;永恒存在的;攻击方式
B.网络安全;攻击方式;心理学;永恒存在的;攻击方式
C.网络安全;心理学;永恒存在的;攻击方式
D.网络安全;攻击方式;心理学;攻击方式;永恒存在的
答案:A
解析:
70.系统安全工程能力成熟度模型评估方法(SSAM, SSE-CMM Appraisal Method)是专门基于 SSE-CMM 的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的()。SSAM 评估过程分为四个阶段,()、()、()、
()。
A.信息和方向;系统安全工程;规划;准备;现场;报告
B.信息和方向;系统工程;规划;准备;现场;报告
C.系统安全工程;信息;规划;准备;现场;报告
D.系统安全工程;信息和方向;规划;准备;现场;报告答案:D
解析:
71.当使用移动设备时,应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露,如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的
()。携带重要、敏感和或关键业务信息的设备不宜无人值守,若有可能,要以物理的方式锁起来,或使用()来保护设备。对于使用移动计算设施的人员要安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且要实施控制措施。
A.加密技术;业务信息;特定规程;专用锁
B.业务信息;特定规程;加密技术;专用锁
C.业务信息;加密技术;特定规程;专用锁
D.业务信息;专用锁;加密技术;特定规程
答案:C解析:
72.在规定的时间间隔或重大变化发生时,组织的()和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应()。独立评审宜由管理者启动,由独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行()。为了日常评审的效率,可以考虑使用自动测量和()。评审结果和管理人员采取的纠正措施宜被记录,且这些记录宜予以维护。
A.信息安全管理;独立审查;报告工具;技能和经验;定期评审
B.信息安全管理;技能和经验;独立审查;定期评审;报告工具
C.独立审查;信息安全管理;技能和经验;定期评审;报告工具
D.信息安全管理;独立审查;技能和经验;定期评审;报告工具
答案:D
解析:
73.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置,信息资产的保护很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的。为了保护环境安全,在下列选项中,公司在选址时最不应该选址的场地是()
A.自然灾害较少的城市
B.部署严格监控的独立园区
C.大型医院旁的建筑
D.加油站旁的建筑
答案:D
解析:
74.1998 年英国公布标准的第二部分《信安全管理体系规范》,规定()管理体系要求与()要求,它是一个组织的全面或部分信息安全管理体系评估的(),它可以作为一个正式认证方案的()。BS 7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布,1999 版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及()的责任。
A.信息安全;信息安全控制;根据;基础;信息安全
B.信息安全控制;信息安全;根据;基础;信息安全
C.信息安全控制;信息安全;基础;根据;信息安全
D.信息安全;信息安全控制;基础;根据;信息安全
答案:A
解析:
75.社会工程学本质上是一种(),()通过种种方式来引导受攻击者的()向攻击者期望的方向发展。罗伯特?B?西奥迪尼(Robert B Cialdini)在科学美国人(2001 年 2 月)杂志中总结对()的研究,介绍了 6 种“人类天性基本倾向”,这些基本倾向都是()工程师在攻击中所依赖的(有意思或者无意识的)。
A.攻击者;心理操纵;思维;心理操纵;思维;社会工程学
B.攻击者;心理操纵;心理操纵;社会工程学
C.心理操纵;攻击者;思维;心理操纵;社会工程学
D.心理操纵;思维;心理操纵;攻击者;社会工程学
答案:C
解析:
76.风险评估的工具中,()是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性,这类工具通常包括黑客工具、脚本文件。
A.脆弱性扫描工具
B.渗透测试工具
C.拓扑发现工具
D.安全审计工具
答案:B
解析:
77.某公司正在进行 IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()
A.由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试
B.在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败
C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档
答案:B
解析:“备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败”
78.关于软件安全问题,下面描述错误的是()
A.软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃
B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决
C.软件的安全问题可能被攻击者利用后影响人身健康安全
D.软件的安全问题是由程序开发者遗留的,和软件部署运行环境无关
答案:D
解析:“由程序开发者遗留的,和软件部署运行环境有关”
79.随着计算机和网络技术的迅速发展,人们对网络的依赖性达到了前所未有的程度,网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要,而网络安全评估是保证网络安全的重要环节。以下不属于网络安全评估内容的是()
A.数据加密
B.漏洞检测
C.风险评估
D.安全审计
答案:A
解析:数据加密只是一种数据保护方式
80.2006 年 5 月 8 日电,中共中央办公厅、国务院办公厅印发了《2006-2020 年国家信息化发展战略》。全文分()部分共计约 15000 余字。对国内外的信息化发展做了宏观分析,对我国信息化发展指导思想和战略目标标准要阐述,对我国()发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的(),当前我国信息安全保障工作逐步加强。制定并实施了(),初步建立了信息安全管理体制和()。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
A. 5 个;信息化;基本形势;国家安全战略;工作机制
B.6 个;信息化;基本形势;国家信息安全战略;工作机制
C.7 个;信息化;基本形势;国家安全战略;工作机制
D.8 个;信息化;基本形势;国家信息安全战略;工作机制
答案:B
解析:
81.张主任的计算机使用 Windows7 操作系统,他常登陆的用户名为 zhang,张主任给他个人文件夹设置了权限为只有 zhang 这个用户有权访问这个目录,管理员在某次维护中无意将 zhang 这个用户删除了,随后又重新建了一个用户名为 zhang,张主任使用 zhang 这个用户登陆系统后,发现无法访问他原来的个人文件夹,原因是()
A.任何一个新建用户都需要经过授权才能访问系统中的文件
B.windows 不认为新建立的用户 zhang 与原来的用户 zhang 是同一个用户,因此无权访问
C.用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问
D.新建的用户 zhang 会继承原来用户的权限,之所以无权访问时因为文件夹经过了加密
答案:B
解析:用户的真正标识是 SID,系统根据 SID 来判断是否是同一个用户,新建用户名虽然相同,但是 SID 不同,所以系统认为不是同一个用户。
82.信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的所有者应对其分类负责。分类的结果表明了( ),该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的 ( )。分类信息的标记和安全处理是信息共享的一个关键要求。( )和元数据标签是常见的形式。标记应易于辨认,规程应对标记附着的位置和方式给出指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和( )
A.敏感性; 物理标签; 资产的价值; 信息资产; 交换规程
B.敏感性; 信息资产; 资产的价值; 物理标签; 交换规程
C.资产的价值; 敏感性; 信息资产; 物理标签; 交换规程
D.敏感性;资产的价值 ;信息资产物理标签;交换规程
答案:D
解析:来源于 27002 标准的原文
83.杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否是为恶意代码,如果是则进女联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目 的。下列对恶意代码静态分析的说法中,错误的是( )
A.静态分析不需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制
B.静态分析通过查找恶意代码二进制程序中嵌入的可疑字符串,如:文件名称、URL 地址、域名、调用函数等来进行分析判断
C.静态分析检测系统函数的运行状态,数据流转换过程,能判别出恶意代码行为和正常软件操作
D.静态分析方法可以分析恶意代码的所有执行路径,但是随着程序复杂度的提高,冗余路径增多,会出现分析效率很低的情况
答案:C
解析:无法检测运行状态,P371。
84.数据库是一个单位或是一个应用领域的通用数据处理系统,它存储的是属于企业和事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发建立的,按一定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要的存取路径,且数据不再针对某一应用,而是面向全组织,具有整体的结构化特征。数据库作为应用系统数据存储的系统,毫无疑问会成为信息安全的重点防护对象。数据库安全涉及到数据资产的安全存储和安全访问,对数据库安全要求不包括下列( )
A.向所有用户提供可靠的信息服务
B.拒绝执行不正确的数据操作
C.拒绝非法用户对数据库的访问
D.能跟踪记录,以便为合规性检查、安全责任审查等提供证据和迹象等
答案:A
解析:A 项不在数据库安全存储和安全访问范畴。
85.目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:( )
A.有助于建立和实施信息安全产品的市场准入制度
B.对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导
C.对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督
D.打破市场垄断,为信息安全产业发展创造一个良好的竞争环境
答案:D
解析:题干中信息安全产品测评的主要目的是安全作用,不是经济作用。
86.风险评估相关政策,目前主要有( ) (国信办[2006]5 号)。主要内容包括:分析信息系统资产的( ),评估信息系统面临的( )、存在的( )、已有的安全措施和残余风险的影响等、两类信息系统的( )、涉密信息系统参照“分级保护”、 非涉密信息系统参照“等级保护”。
A.《关于开展信息安全风险评估工作的意见》;重要程度 ;安全威胁;脆弱性; 工作开展
B.《关于开展风险评估工作的意见》;安全威胁;重要程度;脆弱性;工作开展
C.《关于开展风险评估工作的意见》; 重要程度; 安全威胁; 脆弱性; 工作开展
D.《关于开展信息安全风险评估工作的意见》 脆弱性;重要程度; 安全威胁; 工作开展
答案:A
解析:
87.( )在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的( )。例如攻击者要伪装成某个大型集团公司总部的( ),那么他需要了解这个大型集团公司所处行业的一些行规或者 ( )、公司规则制度、组织架构等信息,甚至包括集团公司中相关人员的绰号等等。
A.攻击者;所需要的信息;系统管理员;基础;内部约定
B.所需要的信息;基础;攻击者;系统管理员;内部约定
C.攻击者;所需要的信息:基础;系统管理员;内部约定
D.所需要的信息;攻击者;基础;系统管理员;内部约定
答案:C
解析:
88.方法指导类标准主要包括 GB/T-T25058-2010-《信息安全技术信息系统安全等级保护实施指南》GB / T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保护实施指南》原以()政策文件方式发布,后修改后以标准发布。这些标准主要对如何开展()做了详细规定。状况分析类标准主要包括 GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和 GB/T 284492012《信息安全技术信息系统安全等级保护测评过程指南》等。其中在()工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。这些标准主要对如何开展( )工作做出了( )
A.公安部;等级保护试点;等级保护工作;等级保护测评;详细规定.
B.公安部;等级保护工作;等级保护试点;等级保护测评;详细规定
C.公安部;等级保护工作;等级保护测评;等级保护试点;详细规定
D.公安部;等级保护工作;等级保护试点;详细规定;等级保护测评
答案:B
解析:
89.下列选项中,对风险评估文档的描述中正确的是( )
A.评估结果文档包括描述资产识别和赋值的结果,形成重要资产列表
B.描述评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》
C.在文档分发过程中作废文档可以不用添加标识进行保留
D.对于风险评估过程中形成的相关文档行,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制
答案:D
解析:P260 页
90.供电安全是所有电子设备都需要考虑的问题,只有持续平稳的电力供应才能保障电子设备作稳定可靠因此电力供应需要解决问题包括两个,一是确保电力供应不中断、二是确保电力供应平稳。下列选项中,对电力供应的保障措施的描述正确的是()
A.可以采用双路供电来确保电力供应稳定性
B.UPS 可提供持续、平稳的电力供应,不会受到电涌的影响
C.可以部署电涌保护器来确保电力供应稳定性
D.发动机供电是目前电力防护最主要的技术措施
答案:C
解析:A 项是防止电力中断,B 项 UPS 里面有电子元器件,一样有可能会受到电涌的影响,D项,UPS 是目前电力防护最主要的技术措施(P323),C 项没有原则性错误
91.组织应开发和实施使用( )来保护信息的策略,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量。当选择实施组织的( )时,应考虑我国应用密码技术的规定和限制,以及( )跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的( )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行( )。
A.加密控制措施; 加密信息; 密码策略; 密钥管理; 物理保护
B.加密控制措施; 密码策略; 密钥管理; 加密信息; 物理保护
C.加密控制措施; 密码策略; 加密信息; 密钥管理: 物理保护
D.加密控制措施; 物理保护; 密码策略; 加密信息; 密钥管理
答案:C
解析:P112 页
92.由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部 DNS 主 WEB 服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件( )
A.特别重大事件
B.重大事件
C.较大事件
D.一般事件
答案:D
解析:参考 P147 页安全事件定级。
93.某网盘被发现泄露了大量私人信息,通过第三方网盘搜索引擎可查询到该网盘用户的大量照片、通讯录。盘建议用户使用“加密分享”功能,以避免消息泄露,“加密分享”可以采用以下哪些算法( )。
A.MD5 算法,SHA-1 算法
B.DSA 算法,RSA 算法
C.SHA-1 算法,SM2 算法
D.RSA 算法,SM2 算法
答案:D
解析:加密分享是通过加密手段进行文件数据的分享,可以加密并解密,MD5、SHA-1 是单项函数用于数据完整性保护,DSA 是一种数字签名的算法,RSA 和 SM2 是公钥加密算法。
94.作为单位新上任的CS0,你组织了一次本单位的安全评估工作以了解单位安全现状。在漏洞扫描报告发现了某部署在内网且仅对内部服务的业务系统存在一个漏洞,对比上一年度的漏洞扫描报告,发现这个已经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题处理( )
A.向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险
B.既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会
C.让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理
D.让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞
答案:C
解析:C 项更为合适一些。
95.风险评估的过程包括 ( )、( )、( )和( )四个阶段。在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输入。( )风险评估的四个阶段。
A.风险评估准备; 风险要素识别; 风险分析; 监控审查; 风险结果判定; 沟通咨询
B.风险评估准备; 风险要素识别; 监控审查 ;风险分析; 风险结果判定; 沟通咨询
C.风险评估准备; 监控审查 ;风险要素识别; 风险分析 ;风险结果判定; 沟通咨询
D.风险评估准备; 风险要素识别: 风险分析: 风险结果判定 监控审查, 沟通咨询
答案:D
解析:
96.信息安全风险值应该是以下哪些因素的函数?()
A.信息资产的价值、面临的威胁以及自身存在的脆弱性
B.病毒、黑客、漏洞等
C.保密信息如国家秘密、商业秘密等
D.网络、系统、应用的复杂程度
答案:A
解析:信息安全风险三要素:资产、威胁、脆弱性
97.以下关于开展软件安全开发必要性描错误的是?()
A.软件应用越来越广泛
B.软件应用场景越来越不安全
C.软件安全问题普遍存在
D.以上都不是
答案:D
解析:ABC 实际上都是软件安全开发的必要性
98.软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求,从而导致软件开发与维护过程中出现一系列严重问题的现象。为了克服软件危机,人们提出了用()的原理来设计软件,这就是软件工程诞生的基础。
A.数学
B.软件学
C.运筹学
D.工程学
答案:D
解析:软件学科全称:计算机软件工程学,P392 页。
99.在设计信息系统安全保障方案时,以下哪个做法是错误的()
A.要充分企切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保障要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案实验障碍
答案:C
解析:安全保障方案,一般谨慎选择新技术,大部分情况选择一些经过检验的成熟的安全技术。
100.灾备指标是指信息安全系统的容灾抗毁能力,主要包括四个具体指标:恢复时间目标(Recovery Time Oh jective,RTO).恢复点目标(Recovery Point Objective,RPO)降级操作目标(Degraded Operations Ob jective-DOO)和网络恢复目标(NeLwork Recovery Ob jective-NRO),小华准备为其工作的信息系统拟定恢复点目标 RPO-O,以下描述中,正确的是()。
A.RPO-O,相当于没有任何数据丢失,但需要进行业务恢复处理,覆盖原有信息
B.RPO-O, 相当于所有数据全部丢失,需要进行业务恢复处理。修复数据丢失
C.RPO-O,相当于部分数据丢失,需要进行业务恢复处理,修复数据丢失
D.RPO-O,相当于没有任何数据丢失,且不需要进行业务恢复处理
答案:A
解析: