前言:
国家信息安全水平考试(NISP)二级,被称为校园版”CISP”,由中国信息安全测评中心发证,NISP运营管理中心(www.nisp.org.cn)负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白,持证学员毕业满足条件可免试换取CISP证书,为持证学员赢得就业先机。
1.信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早 将网络安全上长升为国家安全战略,并制定相关战略计划。
A.中国
B.俄罗斯
C.美国
D.英国
答案:C
2.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行 宏观管理的重要依据,同时也是保护国家利益,促进产业发展的重要手段之一,关于我国标 准化工作,下面选项中描述错误的是()
A.我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化 工作,下设有专业技术委员会
B.事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定 标准,切实有效地保护国家利益和安全
C.我国归口信息安全方面标准是“全国信息安全标准化技术委员会”,为加强有关工作,2016
在其下设立“大数据安全特别工作组”
D.信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确 保有关产品、设施的技术先进性、可靠性和一致性
答案:B
解析:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用 方式等。
3.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下 四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A.软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操 作员账号连接数据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连 接数据库,该账号仅对日志表拥有权限
D.为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常, 不会因为权限不足产生运行错误
答案:D
解析:SYSTEM 权限是最大权限,违反了最小特权的原则。
4.某电子商务网站最近发生了一起安全事件,出现了一个价值 1000 元的商品用 1 元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用 Http 协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值 1000 元的商
品以 1 元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是?
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网
站进行安全改造,所有的访问都强制要求使用 https
B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到 该威胁并采取相应的消减措施
C.该问题产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证 就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
答案:A
解析:根据题干是采用 HTTP 的协议(明文传输)导致的,则答案为 A。
5.以下哪个选项不是防火墙提供的安全功能?
A.IP 地址欺骗防护
B.NAT
C.访问控制
D.SQL 注入攻击防护
答案:D
解析:题干中针对的是传统防火墙或者说网络防火墙,ABC 都是传统防火墙能提供的服务, 而 SQL 注入防护是 WAF 的主要功能。
6.以下关于可信计算说法错误的是:
A.可信的主要目的是要建立起主动防御的信息安全保障体系
B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念
C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交 易等应用系统可信
D.可信计算平台出现后会取代传统的安全防护体系和方法
答案:D
解析:可信计算平台出现后不会取代传统的安全防护体系和方法。
7.Linux 系统对文件的权限是以模式位的形式来表示,对于文件名为 test 的一个文件, 属于 admin 组中 user 用户,以下哪个是该文件正确的模式表示?
A.- rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test
B.d rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test
C.- rwx r-x r-x 3 admin user 1024 Sep 13 11:58 test
D.d rwx r-x r-x 3 admin user1024 Sep 13 11:58 test
答案:A
解析:题目考核的是 linux 系统的权限表达格式。
8.Apache Web 服务器的配置文件一般位于/usr/local/apache/conf 目录,其中用来控制用户访问 Apache 目录的配置文件是:
A.httpd.conf
B.srl conf
C.access.conf
D.Inet.conf
答案:A
解析:根据题干本题选择 A。
9.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策 略,以下不属于数据库防护策略的是?
A.安装最新的数据库软件安全补丁
B.对存储的敏感数据进行安全加密
C.不使用管理员权限直接连接数据库系统
D.定期对数据库服务器进行重启以确保数据库运行良好
答案:D
解析:D 项属于运维但不属于防护策略。
10.下列哪项内容描述的是缓冲区溢出漏洞?
A.通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令
B.攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。
C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数 据上
D.信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的 缺陷
答案:C
解析:C 为缓冲区溢出的正确解释。
11.某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》
(GB/T 20274.1-2006)后,绘制了一张简化的信息系统安全保障模型图,如下所示。请为图中括号空白处选择合适的选项()
A.安全保障(方针和组织)
B.安全防护(技术和管理)
C.深度防御(策略、防护、检测、响应)
D.保障要素(管理、工程、技术、人员)
答案:D
解析:
12.安全专家在对某网站进行安全部署时,调整了 Apache 的运行权限,从 root 权限降低为 nobody 用户,以下操作的主要目的是:
A.为了提高 Apache 软件运行效率
B.为了提高 Apache 软件的可靠性
C.为了避免攻击者通过 Apache 获得 root 权限
D.为了减少 Apache 上存在的漏洞
答案:C
解析:避免攻击者通过 Apache 获得 root 权限。
13.下列关于计算机病毒感染能力的说法不正确的是:
A.能将自身代码注入到引导区
B.能将自身代码注入到扇区中的文件镜像
C.能将自身代码注入文本文件中并执行
D.能将自身代码注入到文档或模板的宏中代码
答案:C
解析:代码注入文本文件中不能执行。
14.以下哪个是恶意代码采用的隐藏技术:
A.文件隐藏
B.进程隐藏
C.网络连接隐藏
D.以上都是
答案:D
解析:恶意代码采用的隐藏技术包括:文件隐藏、进程隐藏、网络连接隐藏等。
15.通过向被攻击者发送大量的 ICMP 回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:
A.Land 攻击
B.Smurf 攻击
C.Ping of Death 攻击
D.ICMP Flood
答案:D
解析:发送大量的 ICMP 回应请求为 ICMP Flood。
16.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击
A.Land
B.UDP Flood
C.Smurf
D.Teardrop
答案:D
解析:Teardrop 属于碎片攻击,不属于流量型拒绝服务攻击。
17.传输控制协议(TCP)是传输层协议,以下关于 TCP 协议的说法,哪个是正确的?
A.相比传输层的另外一个协议 UDP,TCP 既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B.TCP 协议包头中包含了源 IP 地址和目的 IP 地址,因此 TCP 协议负责将数据传送到正确的主机
C.TCP 协议具有流量控制、数据校验、超时重发、接收确认等机制,因此 TCP 协议能完全替代 IP 协议
D.TCP 协议虽然高可靠,但是相比 UDP 协议机制过于复杂,传输效率要比 UDP 低
答案:D
解析:TCP 协议高可靠,相比 UDP 协议机制过于复杂,传输效率要比 UDP 低。
18.以下关于 UDP 协议的说法,哪个是错误的?
A.UDP 具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击
B.UDP 协议包头中包含了源端口号和目的端口号,因此 UDP 可通过端口号将数据包送达正确的程序
C.相比TCP 协议,UDP 协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据
D.UDP 协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据
答案:D
解析:UDP 协议无流量控制,超时重发等机制。
19.如图所示,主体 S 对客体 01 有读(R)权限,对客体 02 有读(R) 、写(W) 权限。该图所示的访问控制实现方法是:()
A.访问控制表(ACL)
B.访问控制矩阵
C.能力表(CL)
D.前缀表(Profiles)
答案:C
解析:P307
20.有关项目管理,错误的理解是:
A.项目管理是一门关于项目资金、时间、人力等资源控制的管理科学
B.项目管理是运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理,不受 项目资源的约束
C.项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管 理
D.项目管理是系统工程思想针对具体项目的实践应用
答案:B
解析:项目管理受项目资源的约束。
21.近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?
A.加强网站源代码的安全性
B.对网络客户端进行安全评估
C.协调运营商对域名解析服务器进行加固
D.在网站的网络出口部署应用级防火墙
答案:C
解析:协调运营商对域名解析服务器进行加固是 DNS 防护的主要手段。
22.关于源代码审核,下列说法正确的是:
A.人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安 全弱点的薄弱之处
C.使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核
D.源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
答案:D
解析:D 为源代码审核工作内容描述。
23.在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:
A.建立环境
B.实施风险处理计划
C.持续的监视与评审风险
D.持续改进信息安全管理过程
答案:D
解析:持续改进信息安全管理过程属于处置(ACT)阶段。
24.信息系统的业务特性应该从哪里获取?
A.机构的使命
B.机构的战略背景和战略目标
C.机构的业务内容和业务流程
D.机构的组织结构和管理制度
答案:C
解析:业务特性从机构的业务内容和业务流程获取。
25.在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?
A.背景建立
B.风险评估
C.风险处理
D.批准监督
答案:C
解析:“安全产品选择”是为了进行风险处理。
26.以下关于“最小特权”安全管理原则理解正确的是:
A.组织机构内的敏感岗位不能由一个人长期负责
B.对重要的工作进行分解,分配给不同人员完成
C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
答案:C
解析:C 是“最小特权”的解释;A 描述的是轮岗;B 描述的是权限分离;D 描述的是防止权限蔓延。
27.风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要 过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A.识别面临的风险并赋值
B.识别存在的脆弱性并赋值
C.制定安全措施实施计划
D.检查安全措施有效性
答案:B
解析:
28.以下哪一项不属于常见的风险评估与管理工具():
A.基于信息安全标准的风险评估与管理工具
B.基于知识的风险评估与管理工具
C.基于模型的风险评估与管理工具
D.基于经验的风险评估与管理工具
答案:D
解析:D 基于经验的风险评估工具不存在。
29.信息系统安全保护等级为 3 级的系统,应当()年进行一次等级测评?
A.0.5
B.1
C.2
D.3
答案:B
解析:等级保护三级系统一年测评一次,四级系统每半年测评一次。
30.关于我国加强信息安全保障工作的总体要求,以下说法错误的是:()
A.坚持积极防御、综合防范的方针
B.重点保障基础信息网络和重要信息系统安全
C.创建安全健康的网络环境
D.提高个人隐私保护意识
答案:D
解析:提高个人隐私保护意识不属于(2003 年)我国加强信息安全保障工作的总体要求。
31.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定, 以下正确的是:
A.涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标 准进行
B.非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要 求进行
C.可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估 报告
D.此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容
答案:C
解析:根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定, 可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。
32.小李去参加单位组织的信息安全培训后,他把自己对管理信息管理体系 ISMS 的理解画了一张图,但是他还存在一个空白处未填写,请帮他选择一个合适的选项()
A.监控和反馈 ISMS
B.批准和监督 ISMS
C.监视和评审 ISMS
D.沟通和咨询 ISMS
答案:C
解析:
33.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前 提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间 接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确 保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计 中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人 员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经 以上测试的软件不允许上线运行
答案:D
解析:软件的安全测试根据实际情况进行测试措施的选择和组合。
34.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理 和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全哪项原则
A.最小权限
B.权限分离
C.不信任
D.纵深防御
答案:B
解析:权限分离是将一个较大的权限分离为多个子权限组合操作来实现。
35.为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能 卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?
A.实体“所知”以及实体“所有”的鉴别方法
B.实体“所有”以及实体“特征”的鉴别方法
C.实体“所知”以及实体“特征”的鉴别方法
D.实体“所有”以及实体“行为”的鉴别方法
答案:A
解析:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
36.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
答案:A
解析:a 是渗透测试的优点,渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。
37.信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目的立项阶段,以下哪一项不是必须进行的工作:
A.明确业务对信息安全的要求
B.识别来自法律法规的安全要求
C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求
答案:D
解析:D 属于项目的验收阶段,不属于 IT 项目的立项阶段,题干属于立项阶段。
38.以下关于软件安全测试说法正确的是()
A.软件安全测试就是黑盒测试
B.FUZZ 测试是经常采用的安全测试方法之一
C.软件安全测试关注的是软件的功能
D.软件安全测试可以发现软件中产生的所有安全问题
答案:B
解析:FUZZ 测试是经常采用的安全测试方法之一,软件安全测试包括模糊测试、渗透测试、静态代码安全测试,只关注安全问题。
39.信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:
A.信息系统的技术架构安全问题
B.信息系统组成部门的组件安全问题
C.信息系统生命周期的过程安全问题
D.信息系统运行维护的安全管理问题
答案:C
解析:信息安全工程作为信息安全保障的重要组成部门,主要是为了解决信息系统生命周期 的过程安全问题。
40.实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常 见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进 行支付、转账等操作。这说法属于下列选项中的()
A.实体所知的鉴别方法
B.实体所有的鉴别方法
C.实体特征的鉴别方法
D.实体所见的鉴别方法
答案:C
解析:
41.有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Practice)正确的理解是:
A.BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B.BP 不是根据广泛的现有资料,实施和专家意见综合得出的
C.BP 不代表信息安全工程领域的最佳实践
D.BP 不是过程区域(Process Areas,PA )的强制项
答案:A
解析:BP 属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛的现有资料,实施和专家意见综合得出的;代表着信息安全工程 领域的最佳实践;并且是过程区域(Process Areas,PA )的强制项。
42.层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系,也 ISMS 建设的成果之一,通常将 ISMS 的文档结构规划为 4 层金字塔结 构,那么,以下选项()应放入到一级文件中.
A.《风险评估报告》
B.《人力资源安全管理规定》
C.《ISMS 内部审核计划》
D.《单位信息安全方针》
答案:D
解析:一级文件中一般为安全方针、策略文件;二级文件中一般为管理规范制度;三级文件 一般为操作手册和流程;四级文件一般表单和管理记录。
43.信息安全管理体系(information Security Management System.简称 ISMS)的实施和运行 ISMS 阶段,是 ISMS 过程模型的实施阶段(Do),下面给出了一些活动①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理 ISMS 的运行⑥管理 ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估选的活动,选项()描述了在此阶段组织应进行的活动。
A.①②③④⑤⑥
B.①②③④⑤⑥⑦
C.①②③④⑤⑥⑦⑧
D.①②③④⑤⑥⑦⑧⑨
答案:B
解析:管理体系包括 PDCA(Plan-Do-Check-Act)四个阶段,题干中 1-7 的工作都属于管理体
系的实施阶段(D-Do),而 8 和 9 属于检查阶段(C-Check)。
44.在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产 价值的评估,以下选项中正确的是()
A.资产的价值指采购费用
B.资产的价值指维护费用
C.资产的价值与其重要性密切相关
D.资产的价值无法估计
答案:C 解析:
45.某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代 码,但是在部署时由于管理员将备份存放在 WEB 目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方式是最佳的测试方法。
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试
答案:C
解析:渗透测试是通过攻击者的角度进行安全测试,对系统进行安全评估的一种测试方法。
46.下面哪项属于软件开发安全方面的问题()
A.软件部署时所需选用服务性能不高,导致软件执行效率低。
B.应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
C.应用软件存在 SQL 注入漏洞,若被黑客利用能窃取数据库所用数据
D.软件受许可证(license)限制,不能在多台电脑上安装。
答案:C
解析:ABD 与安全无关。
47.Linux 系统的安全设置中,对文件的权限操作是一项关键操作。通过对文件权限的设置,能够保障不同用户的个人隐私和系统安全。文件 fib.c 的文件属性信息如下图所示, 小张想要修改其文件权限,为文件主增加执行权限,并删除组外其他用户的写权限,那么以下操作中正确的是()
A.#chmod u+x, a-w fib.c
B.#chmod ug+x, o-w fib.c
C.#chmod 764 fib.c
D.#chmod 467 fib.c
答案:C
解析:读权限 r=4,写权限 w=2,执行 x=1,7=4+2+1;
48.关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件 开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
答案:C
解析:设计阶段是发现和改正问题的最佳阶段。
49.从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学 科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到 企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使 用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过 对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量 的先进学科。
答案:C
解析:SSE-CMM 是面向工程过程质量控制的一套方法。
50.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP), 正确的理解是:
A.BP 是基于最新技术而制定的安全参数基本配置
B.大部分 BP 是没有经过测试的
C.一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项 BP 可以和其他 BP 有重叠答案:C
解析:A 错误,BP 是基于最佳的工程过程实践;B 错误,BP 是经过测试的;D 错误,一项
BP 和其他的 BP 是不重复。
51.下图是某单位对其主网站一天流量的监测图,如果该网站当天 17:00 到 20:00 之间受到攻击,则从图中数据分析,这种攻击可能属于下面什么攻击。()
A.跨站脚本攻击
B.TCP 会话劫持
C.IP 欺骗攻击
D.拒绝服务攻击
答案:D
解析:流量突增 5 倍以上,说明是流量性的攻击,最后可能的就是拒绝服务攻击。
52.以下哪一种判断信息系统是否安全的方式是最合理的?
A.是否己经通过部署安全控制措施消灭了风险
B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型
D.是否已经将风险控制在可接受的范围内
答案:D
解析:判断风险控制的标准是风险是否控制在接受范围内。
53.以下关于信息安全法治建设的意义,说法错误的是:
A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
答案:C
解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的 根源所在。
54.小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾 害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度 预期损失为多少:
A.24 万
B.0.09 万
C.37.5 万
D.9 万
答案:D
解析:计算公式为 100 万24%(3/8)=9 万
55.2005 年 4 月 1 日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说 法错误的是:
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认 可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书
C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
D.电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有
答案:D
解析:电子签名不可以与认证服务提供者共有。
56.风险管理的监控与审查不包含:
A.过程质量管理
B.成本效益管理
C.跟踪系统自身或所处环境的变化
D.沟通咨询各层面的相关人员,提高风险意识、知识和技能,配合实现安全目标。
答案:D
解析:D 答案属于沟通咨询工作,ABC 属于风险管理的监控审查工作。风险管理过程包括背景建立、风险评估、风险处理、批准监督,以及沟通咨询和监控审查。
57.信息安全等级保护要求中,第三级适用的正确的是:
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定 影响,但不危害国家安全、社会秩序、经济建设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统, 其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一般损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后, 会对国家安全、社会秩序、经济建设和公共利益造成严重损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系 统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
答案:B
解析:题目中 B 为等级保护三级,该考点为等级保护定级指南。
58.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:
A.设置网络连接时限
B.记录并分析系统错误日志
C.记录并分析用户和管理员操作日志
D.启用时钟同步
答案:A
解析:A 属于防护措施;BCD 属于检测措施,可以用来检测未经授权的信息处理活动。
59.有关危害国家秘密安全的行为的法律责任,正确的是:
A.严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.承担了刑事责任,无需再承担行政责任和/或其他处分
答案:A 解析:
60.如下图所示,Alice 用 Bob 的密钥加密明文,将密文发送给 Bob,Bob 再用自己的私钥解密,恢复出明文以下说法正确的是:()
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
答案:D
解析:公钥密码地址:公钥加密私钥解密,私钥加密,公钥解密,公私钥成对出现。
61.某用户通过账号,密码和验证码成功登陆某银行的个人网银系统,此过程属于以下 哪一类:()
A.个人网银和用户之间的双向鉴别
B.由可信第三方完成的用户身份鉴别
C.个人网银系统对用户身份的单向鉴别
D.用户对个人网银系统 合法性 单向鉴别
答案:C
解析:
62.以下对于信息安全事件理解错误的是:
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造 成危害,或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息 安全事件的发生
答案:D
解析:安全事件无法杜绝。
63.假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备:
A.是多余的,因为它们完成了同样的功能,但要求更多的开销
B.是必须的,可以为预防控制的功效提供检测
C.是可选的,可以实现深度防御
D.在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已 经足够
答案:C 解析:
64.以下哪一项不是信息安全管理工作必须遵循的原则?
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
答案:C
解析:安全措施投入应越早则成本越低,C 答案则成本会上升。
65.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是:
A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功 能需求
C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险 识别,并对系统建成后的安全功能进行验证
D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评 估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面
答案:D
解析:该题目来源于《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),评估内容包括威胁、脆弱性和影响。
66.对信息安全风险评估要素理解正确的是:
A.资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业 务系统,也可以是组织机构
B.应针对构成信息系统的每个资产做风险评价
C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距 项
D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
答案:A
解析:B 错误,应该是抽样评估;C 错误,应该其描述的是差距分析;D 错误,应该是威胁包括人为威胁和环境威胁。
67.以下哪些是需要在信息安全策略中进行描述的:
A.组织信息系统安全架构
B.信息安全工作的基本原则
C.组织信息安全技术参数
D.组织信息安全实施手段
答案:B
解析:安全策略是宏观的原则性要求,不包括具体的架构、参数和实施手段。
68.攻击者通过向网络或目标主机发送伪造的 ARP 应答报文,修改目标计算机上 ARP 缓存,形成一个错误的 IP 地址<->MAC 地址映射,这个错误的映射在目标主机在需要发送数据时封装错误的 MAC 地址。欺骗攻击过程如下图所示,其属于欺骗攻击中的哪一种欺骗攻击的过程()
A.ARP;
B.IP;
C.DNS;
D.SN;
答案:A
解析:P347
69.下面的角色对应的信息安全职责不合理的是:
A.高级管理层——最终责任
B.信息安全部门主管——提供各种信息安全工作必须的资源
C.系统的普通使用者——遵守日常操作规范
D.审计人员——检查安全策略是否被遵从
答案:B
解析:通常由管理层提供各种信息安全工作必须的资源。
70.自 2004 年 1 月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
A.全国通信标准化技术委员会(TC485)
B.全国信息安全标准化技术委员会(TC260)
C.中国通信标准化协会(CCSA)
D.网络与信息安全技术工作委员会
答案:B
解析:
71.风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T, V),F(Ia,Va))以下关于上式各项说明错误的是:
A.R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B.L 表示威胁利资产脆弱性导致安全事件的可能性
C.F 表示安全事件发生后造成的损失
D.Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度
答案:D
解析:Ia 资产 A 的价值;Va 资产 A 的脆弱性。
72.OSI 模型把网络通信工作分为七层,其中 IP 协议对应 OSI 模型中的那一层( )
A.应用层
B.传输层
C.应用层
D.网络层
答案:D 解析:
73.根据 Bell-LaPedula 模型安全策略,下图中写和读操作正确的是( )
A.可读可写
B.可读不可写
C.可写不可读
D.不可读不可写
答案:B
解析:BLP 模型严禁横向流通
74.以下哪一项在防止数据介质被滥用时是不推荐使用的方法:
A.禁用主机的 CD 驱动、USB 接口等 I/O 设备
B.对不再使用的硬盘进行严格的数据清除
C.将不再使用的纸质文件用碎纸机粉碎
D. 用快速格式化删除存储介质中的保密文件
答案:D
解析:快速格式化删除存储介质中的保密文件不能防止信息泄露。快速格式化只是删除了文 件索引,并没有真正的删除文件,可以通过工具进行恢复。
75.小李是某公司系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全 建设规划图,如下图所示。请问这个图形是依据下面哪个模型来绘制的( )
A.PDR
B.PPDR
C.PDCA
D.IATF 答案:
B 解析:
76.信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括
()六个方面的内容 。( ) 是信息安全风险管理的四个基本步骤,()则贯穿于这四个基本步骤中.
A.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和批准监督;监控审查和沟通咨询;
B.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和监控审查;批准监督和沟通咨询;
C.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和沟通咨询;监控审查和批准监督;
D.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评 估、监控审查和批准监督;风险处理和沟通咨询。
答案:A
解析:背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询。
77.在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际 生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:
A.测试系统应使用不低于生产系统的访问控制措施
B.为测试系统中的数据部署完善的备份与恢复措施
C.在测试完成后立即清除测试系统中的所有敏感数据
D.部署审计措施,记录生产数据的拷贝和使用
答案:B
解析:A、C、D 为测试系统必须要执行的,B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。
78.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。
A.统一而精确地的时间
B.全面覆盖系统资产
C.包括访问源、访问目标和访问活动等重要信息
D.可以让系统的所有用户方便的读取
答案:D
解析:日志只有授权用户可以读取。
79.以下哪一项不属于信息安全工程监理模型的组成部分:
A.监理咨询支撑要素
B.控制和管理手段
C.监理咨询阶段过程
D.监理组织安全实施
答案:D
解析:监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。
80.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公 开招标选择 M 公司为承建单位,并选择了 H 监理公司承担该项目的全程监理工作,目前, 各个应用系统均已完成开发,M 公司已经提交了验收申请,监理公司需要对 A 公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:
A.项目计划书
B.质量控制计划
C.评审报告
D.需求说明书
答案:D
解析:ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。
81.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
A.审核实施投资计划
B.审核实施进度计划
C.审核工程实施人员
D.企业资质
答案:A
解析:监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理。
82.美国系统工程专家霍尔(A.D.Hall)在 1969 年利用机构分析法提出著名的霍尔三维结构,使系统工程的工作阶段和步骤更为清晰明了,如图所示,霍尔三维结构是将系统工 程整个活动过程分为前后紧密衔接的()阶段和()步骤,同时还考虑了为完全这些阶段和 步骤所需要的各种()。这样,就形成了由()、()、和知识维所组成的三维空间结构。
A.五个;七个;专业知识和技能;时间维;逻辑维
B.七个;七个;专业知识和技能;时间维;逻辑维
C.七个;六个;专业知识和技能;时间维;逻辑维
D.七个;六个;专业知识和技能;时间维;空间维
答案:B
解析:
83.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的 运行速度缓慢,为了找到根本愿因,他应该首先检查:
A.灾难恢复站点的错误事件报告
B.灾难恢复测试计划
C.灾难恢复计划(DRP)
D.主站点和灾难恢复站点的配置文件
答案:A
解析:按照灾难恢复流程,首先检查错误事件报告。
84.COBIT(信息和相关技术的控制目标)是国际专业协会 ISACA 为信息技术(IT)管理和 IT 治理创建的良好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕 IT 相关流程和推动因素的逻辑框架进行组织。COBIT 模型如图所示,按照流程,请问,COBIT 组件包括()、()、()、()、()、等部分。
A.流程描述、框架、控制目标、管理指南、成熟度模型
B.框架、流程描述、管理目标、控制目标、成熟度模型
C.框架、流程描述、控制目标、管理指南、成熟度模型
D.框架、管理指南、流程描述、控制目标、成熟度模型
答案:C
解析:
85.以下对异地备份中心的理解最准确的是:
A.与生产中心不在同一城市
B.与生产中心距离 100 公里以上
C.与生产中心距离 200 公里以上
D.与生产中心面临相同区域性风险的机率很小
答案:D
解析:答案为 D,建立异地备份中心的核心思想是减少相同区域性风险。
86.作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是:1.标识关 键的业务过程;2.开发恢复优先级;3.标识关键的 IT 资源;4.表示中断影响和允许的中断时间
A.1-3-4-2
B.1-3-2-4
C.1-2-3-4
D.1-4-3-2
答案:A
解析:根据 BCM 的分析过程顺序为 A。
87.依据国家 GB/T 20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中, 安全保障目的指的是:
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
答案:D
解析:GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
88.以下哪一项是数据完整性得到保护的例子?
A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B.在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操 作
D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法 查看。
答案:B
解析:冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户的利益,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端。本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施, 是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
89.进入 21 世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同, 以下说法不正确的是:
A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B.美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政 府部门的多个机构共同承担
C.各国普遍重视信息安全事件的应急响应和处理
D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业 之间的合作关系
答案:B
解析:美国已经设立中央政府级的专门机构。
90.下列对于信息安全保障深度防御模型的说法错误的是:
A.信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此 对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体 系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系 统工程的方法来建设信息系统。
C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的 重要组成部分。
D.信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”。
答案:D
解析:正确描述是从内而外,自上而下,从端到边界的防护能力。
91.为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工 作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标 准中,()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
A.GB/T 20271-2006《信息系统通用安全技术要求》
B.GB/T 22240-2008《信息系统安全保护等级定级指南》
C.GB/T 25070-2010《信息系统等级保护安全设计技术要求》
D.GB/T 20269-2006《信息系统安全管理要求》
答案:B 解析:
92.Alice 用 Bob 的密钥加密明文,将密文发送给 Bob。Bob 再用自己的私钥解密,恢复出明文。以下说法正确的是:
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
答案:D
解析:题干中使用到了私钥解密,私钥是公钥密码体制中用户持有的密钥,相对于公钥而言, 则为非对称密码体制,非对称密码体制又称为公钥密码体制。
93.下列哪一种方法属于基于实体“所有”鉴别方法:
A.用户通过自己设置的口令登录系统,完成身份鉴别
B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
答案:D
解析:实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。
94.主体 S 对客体 01 有读?权限,对客体 02 有读?、写(W)、拥有(Own)权限,该访问控制实现方法是:
A.访问控制表(ACL)
B.访问控制矩阵
C.能力表(CL)
D.前缀表(Profiles)
答案:C
解析:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
95.以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限 (不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型,下列说法错误的是:
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问 请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C.通过角色,可实现对信息资源访问的控制
D.RBAC 模型不能实现多级安全中的访问控制
答案:D
解析:RBAC 模型能实现多级安全中的访问控制。
96.下面哪一项不是虚拟专用网络(VPN)协议标准:
A.第二层隧道协议(L2TP)
B.Internet 安全性(IPSEC)
C.终端访问控制器访问控制系统(TACACS+)
D.点对点隧道协议(PPTP)
答案:C
解析:TACACS+是 AAA 权限控制系统,不属于 VPN。
97.下列对网络认证协议 Kerberos 描述正确的是:
A.该协议使用非对称密钥加密机制
B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C.该协议完成身份鉴别后将获取用户票据许可票据
D.使用该协议不需要时钟基本同步的环境
答案:C
解析:A 错误,因为使用对称密码;B 错误,因为密钥分发中心不包括客户机;
D 错误,因为协议需要时钟同步。三个步骤:1)身份认证后获得票据许可票据;2)获得服务许可票据; 3)获得服务。
98.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:
A.口令
B.令牌
C.知识
D.密码
答案:B
解析:令牌是基于实体所有的鉴别方式。
99.某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
A.选购当前技术最先进的防火墙即可
B.选购任意一款品牌防火墙
C.任意选购一款价格合适的防火墙产品
D.选购一款同已有安全产品联动的防火墙
答案:D
解析:在技术条件允许情况下,可以实现 IDS 和 FW 的联动。
100.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它 与 IDS 有着许多不同点,请指出下列哪一项描述不符合 IPS 的特点?
A.串接到网络线路中
B.对异常的进出流量可以直接进行阻断
C.有可能造成单点故障
D.不会影响网络性能
答案:D
解析:IPS 在串联情况下,会影响网络性能。