前言:
国家信息安全水平考试(NISP)二级,被称为校园版”CISP”,由中国信息安全测评中心发证,NISP运营管理中心(www.nisp.org.cn)负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白,持证学员毕业满足条件可免试换取CISP证书,为持证学员赢得就业先机。
1.关于信息安全事件管理和应急响应,以下说法错误的是()。
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发 生后所采取的措施
B.根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别:特别重大事件
(I 级)、重大事件(II 级)、较大事件(III 级)和一般事件(IV 级)
C.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
D.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素 答案:C
解析:应急响应方法是将应急响应管理过程分为 6 个阶段,为准备->检测->遏制->根除-> 恢复->跟踪总结。P152 页。
2.规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的 各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下()中的输出结果。
A.风险要素识别
B.风险结果判定
C.风险分析
D.风险评估准备
答案:A
解析:在信息安全风险评估前,首先要进行的工作是资产分类与分级,资产清单作为资产登 记的重要输出物。P253
3.以下关于威胁建模流程步骤说法不正确的是()。
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损 后果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通 过重新设计直接消除威胁,或设计采用技术手段来消减威胁
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就 是漏洞
答案:D
解析:识别威胁是发现组件或进程存在的威胁,威胁是一种不希望发生、对资产目标有害的 事件。从本质上看,威胁是潜在事件,它可能是恶意的,也可能不是恶意的。因此,威胁并 不等于漏洞。P404 页。
4.即使最好用的安全产品也存在()。结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞。一种有效的对策是在敌手和它的目标之间配备多种()。每一种机制都 应包括()两种手段。
A.安全缺陷;安全机制;外边和内部
B.安全机制;安全缺陷;保护和检测、
C.安全缺陷;安全机制;保护和检测
D.安全缺陷;保护和检测;安全机制
答案:C
解析:
5.我国标准《信息安全风险管理指南》(GB/Z 24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写()。
A.风险评价
B.风险计算
C.风险预测
D.风险处理
解析:背景建立、风险评估、风险处理和批准监督是信息安全风险管理的 4 个具体步骤,监控审查和沟通咨询则贯穿于这 4 个基本步骤中。P89 页。
6.信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析, 制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确 保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现 组织机构的业务。信息系统保障工作如图所示。从该图不难得出,信息系统是()。信息系 统安全风险的因素主要有()
A.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统自身存在的漏洞
B.用于采集、处理整个基础设施、组织结构、人员和组件的总和;信息系统自身存在的漏 洞、来自系统外部的威胁和人为操作引入的安全风险
C.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统来自系统外部的威胁和人为操作引入的安全风险
D.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统自身存在的漏洞和来自系统外部的威胁
答案:D
解析:信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结 构、人员和组件的综合。信息系统安全风险是具体的风险,产生风险的因素主要有信息系统 自身存在的漏洞和来自系统外部的威胁。P31 页。
7.以下有关系统工程说法错误的是()。
A.系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算 法对模型求解,解决实际问题
B.系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部 分之和,各部分虽然存在不足,但总体可以优化
C.霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤
D.系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
答案:A
解析:系统工程是 20 世纪中期兴起的一门新兴的交叉学科,它主要是应用定性分析和定量分析相结合的方法,通过实际对象的数学模型,应用合适的优化算法对模型进行求解,从而 解决实际问题。P175 页。
8.某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可 通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采 取以下哪项处理措施()
A.日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志
B.只允许特定的 IP 地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
C.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
D.为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
答案:B
解析:通过 IP 指定和访问策略的设定,有效的降低被攻击几率。
9.随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切, 越来越多的组织开始尝试使用参考 ISO27001 介绍的 ISMS 来实施信息安全管理体系,提高组织的信息安全管理能力。关于 ISMS,下面描述错误的是( )。
A.组织的管理层应确保 ISMS 目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性
B.组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接 受准则,并确认接受相关残余风险
C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工, 同时,也应传达到客户、合作伙伴和供应商等外部各方
D.在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS 建设指明方向并提供总体纲领,明确总体要求
答案:D
解析:方针应由组织的管理层颁布。
10.GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出,建立信息安全管理体系应参照 PDCA 模型进行,即信息安全管理体系应包括建立 ISMS、实施和运行ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程,并在这些过程中应实施若干活动请选出以下描述错误的选项()。
A.“制定 ISMS 方针”是建立 ISMS 阶段工作内容
B.“实施内部审核”是保持和改进 ISMS 阶段工作内容
C.“实施培训和意识教育计划”是实施和运行 ISMS 阶段工作内容
D.“进行有效性测量”是监视和评审 ISMS 阶段工作内容
答案:B
解析:“实施内部审核”是监视和评审 ISMS 阶段工作内容。P98 页。
11.某银行有 5 台交换机连接了大量交易机构的网络(如图所示),在基于以太网的通信中,计算机 A 需要与计算机 B 通信,A 必须先广播“ARP 请求信息”,获取计算机 B 的物理地址。每到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中 一台交换机收到 ARP 请求后,会转发给接收端口以外的其他所有端口,ARP 请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用的 技术是()。
A.动态分配地址
B.配置虚拟专用网络
C.VLAN 划分
D.为路由交换设备修改默认口令
答案:C
解析:VLAN 划分可以有效的限制广播域。
12.以下关于检查评估和自评估说法错误的是()。
A.信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估 相互结合、互为补充
B.自评估只能由组织自身发起并实施,对信息系统及其管理进行风险评估活动
C.检查评估可以依据相关标准的要求,实施完整的风险评估,也可以在自评估实施的基础 上,对关键环节或重点内容实施抽样评估
D.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程
答案:A
解析:信息安全风险评估分自评估、检查评估两形式。应以自评估为主,自评估和检查评估 相互结合、互为补充。
13.我国等级保护政策发展的正确顺序是()。
①等级保护相关政策文件颁布
②计算机系统安全保护等级划分思想提出
③等级保护相关标准发布
④网络安全法将等级保护制度作为基本国策
⑤等级保护工作试点
A.①②③④⑤
B.②⑤①③④
C.①②④③⑤
D.②③①⑤④
答案:B
解析:计算机系统安全保护等级划分思想提出(1994-1999);等级保护工作试点
(2002-2006);等级保护相关政策文件颁布(2004-2009);等级保护相关标准发布
(2008-2014);网络安全法明确我国实行网络安全等级保护制度(2016);P61 页
14.以下关于 Windows 操作系统身份标识与鉴别,说法不正确的是()。
A.Windows 操作系统远程登录经历了SMB 鉴别机制、LM 鉴别机制、NTLM 鉴别机制、Kerberos 鉴别体系等阶段
B.完整的安全标识符(SID)包括用户和组的安全描述,48 比特的身份特权、修订版本和可变的验证值
C.本地安全授权机构(LSA)生成用户账户在该系统内唯一的安全标识符(SID)
D.用户对鉴别信息的操作,如更改密码等都通过一个以 Administrator 权限运行的服务“Security Accounts Manager”来实现
答案:D
解析:用户对鉴别信息的操作,如更改密码等都通过一个以 system 权限运行的服务“Security Accounts Manager”来实现。P357 页。
15.数据在进行传输前,需要由协议栈自上而下对数据进行封装。TCP/IP 协议中,数据封装的顺序是()。
A.传输层、网络接口层、互联网络层
B.传输层、互联网络层、网络接口层
C.互联网络层、传输层、网络接口层
D.互联网络层、网络接口层、传输层
答案:B
解析:TCP/IP 协议模型自上而下分别是:应用层、传输层、互联网络层、网络接口层
16.分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()。
A.分组密码算法要求输入明文按组分成固定长度的块
B.分组密码算法也称为序列密码算法
C.分组密码算法每次计算得到固定长度的密文输出块
D.常见的 DES、IDEA 算法都属于分组密码算法
答案:B
解析:分组密码是在加密过程中将明文进行分组后在进行加密,序列密码又叫流密码对每一 个字节进行加密。
17.以下关于项目的含义,理解错误的是()。
A.项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定
B.项目目标要遵守 SMART 原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实 (Realistic)、有一定的时限 (Time-oriented)
C.项目资源指完成项目所需要的人、财、物等
D.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特 的产品、服务或成果而进行的一次性努力
答案:A
解析:结束日期并非由领导者随机确定,项目上习惯把验收报告日期视为结束日期,另有约 定的以约定为准。
18.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误 的是( )。
A.信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范 措施,既包括预防性措施,也包括事件发生后的应对措施
B.应急响应工作的起源和相关机构的成立和 1988 年 11 月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视安全事件的应急处置和整体协调的重要性
C.应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性、对知识经验的 高依赖性,以及需要广泛的协调与合作
D.应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作: 安全事件发生时正确指挥、事件发生后全面总结
答案:D
解析:应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件 发生后所采取的措施。
19.小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总 结了下面四条要求,其中理解不正确的是( )。
A.信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面 面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
B.信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在 总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
C.信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想,因为这是 国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
D.信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处 的安全环境也不会一成不变,不可能建设永远安全的系统
答案:C
解析:“一次风险评估彻底解决所有安全问题”错误
20.在设计信息系统安全保障方案时,以下哪个做法是错误的()
A.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
B.要充分符合信息安全需求并且实际可行
C.要使用当前最新的技术和成本最高的设备,从而保障信息系统的绝对安全
D.要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
答案:C
解析:“要使用当前最新的技术和成本最高的设备”错误,使用经过检验成熟及安全的技术 或设备。
21.一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成,而其安全性是由下列哪个选项决定的()。
A.加密和解密算法
B.解密算法
C.密钥
D.加密算法
答案:C
解析:系统的保密性不依赖于加密体制和算法的保密,而依赖于密。P271 页。
22.小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业 的新人进行基本业务素质培训。一次培训的时候,小李主要负责讲解风险评估方法。请问小 李的所述论点中错误的是哪项()
A.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
B.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
C.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风 险要素的赋值方式,实现对风险各要素的度量数值化
答案:A
解析:定性风险分析是利用已识别风险的发生概率、风险发生对项目目标的相应影响,以及 其他因素。
23.关于标准,下面哪项理解是错误的()。
A.标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复 使用的一种规范性文件。标准是标准化活动的重要成果
B.行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款 为准
C.国际标准是由国际标准化组织通过并公开发布的标准。同样是强制性标准,当国家标准 和国际标准的条款发生冲突时,应以国际标准条款为准
D.地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管 部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止
答案:C
解析:国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和 国际标准的条款发生冲突,应以国家标准条款为准。
24.作为信息安全从业人员,以下哪种行为违反了 CISP 职业道德准则()
A.不在计算机网络系统中进行造谣、欺诈、诽谤等活动
B.通过公众网络传播非法软件
C.帮助和指导信息安全同行提升信息安全保障知识和能力
D.抵制通过网络系统侵犯公众合法权益
答案:B
解析:违反了职业道德中的“诚实守信,遵纪守法”准则。
25.以下哪项的行为不属于违反国家保密规定的行为()
A.以不正当手段获取商业秘密
B.在私人交往中涉及国家秘密
C.将涉密计算机、涉密存储设备接入互联网及其他公共信息网络
D.通过普通邮政等无保密措施的渠道传递国家秘密载体
答案:A
解析:A 属于商业秘密,不属于国家秘密。
26.关于信息安全保障技术框架(IATF),以下说法不正确的是()。
A.IATF 深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
B.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
C.IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
D.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
答案:A
解析:IATF 深度防御战略要求在人、技术和操作 3 个核心要素来共同实现。
27.主体和客体是访问控制模型中常用的概念。下面描述中错误的是()。
A.主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用
B.一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行
C.主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
D.客体也是一种实体,是操作的对象,是被规定需要保护的资源
答案:A
解析:主体和客体是相对的概念,主体在一定情况下可以成为客体,客体也可以成为主体。
28.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护, 该目标可以通过以下控制措施来实现,不包括哪一项()
A.物理安全边界、物理入口控制
B.在安全区域工作,公共访问、交接区安全
C.通信安全、合规性
D.办公室、房间和设施的安全保护,外部和环境威胁的安全防护
答案:C
解析:C 项不属于物理和环境安全的范畴。
29.你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针 对此批漏洞修补的四个建议方案,请选择其中一个最优方案执行()
A.对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部 署
B.对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没 有重要数据,由终端自行升级
C.本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先 不做处理
D.由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器 和客户端尽快安装补丁
答案:A
解析:对于重要的服务,在测试环境中安装并确定补丁的兼容性问题后再在正式生产环境中 部署,这样可以有效的避免应补丁升级后可能会对系统服务造成不必要的影响。
30.《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27 号明确了我国信息安全保障工作的()、加强信息安全保障工作的()、需要重点加强的信息安全保障工作。27 号文的重大意义是,它标志着我国信息安全保障工作有了()、我国最近十余年的信息安全保障工作都是围绕此政策性文件来()的、促进了我国()的各项工作。
A.方针和总体要求;主要原则;总体纲领;展开和推进;信息安全保障建设
B.总体要求;总体纲领;主要原则;展开;信息安全保障建设
C.方针;主要原则;总体纲领;展开和推进;信息安全保障建设
D.总体要求;主要原则;总体纲领;展开;信息安全保障建设
答案:A
解析:27 号文标志着我国信息安全保障工作有了总体纲领。
31.PDCA 循环又叫戴明环,是管理学常用的一种模型。关于 PDCA 四个字母,下面理解错误的是()。
A.D 是 Do,指实施、具体运作,实现计划中的内容
B.P 是 Prepare,指准备,包括明确对象、方法,制定活动规划
C.A 是 Act 或 Adjust,指改进、完善和处理,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化,总结失败的教训并加以重视,对没有解决的问题,应该交给下一 个 PDCA 循环解决
D.C 是 Check,指检查、总结执行计划的结果,明确效果,找出问题
答案:B
解析:PDCA(plan-do-check-act 或者 plan-do-check-adjust)循环的 4 个阶段,“策划- 实施-检查-改进”。P94 页。
32.以下说法正确的是()。
A.软件测试计划开始于软件设计阶段,完成于软件开发阶段
B.验收测试是由承建方和用户按照用户使用手册执行软件验收
C.软件测试的目的是为了验证软件功能是否正确
D.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见
答案:D
解析:软件测试开始与软件设计阶段,在软件开发完成以后还有回归测试,验收测试;验收 测试一般按照软件开发预期(软件开发需求或者合同)来进行;软件测试的目的是检验它是 否满足规定的需求或是弄清预期结果与实际结果之间的差异。P416 页
33.规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础。某单 位在实施风险评估时,按照规范形成了若干文档,其中,下面()中的文档应属于风险评估 中“风险要素识别”阶段输出的文档。
A.《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
B.《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内
容
C.《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算 和进度安排等内容
D.《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法、资产 分类标准等内容
答案:B
34.在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源、找 到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介 质等。请问,按照 PDCERF 应急响应方法,这些工作应处于以下哪个阶段()
A.遏制阶段
B.检测阶段
C.准备阶段
D.根除阶段
答案:D
解析:常见的根除措施有消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策 略、加强防范措施、格式化被感染恶意程序的介质等。P154 页。
35.在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功 实施非常重要,但是以下选项中不属于管理者应有职责的是()。
A.确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划 应具体、可实施
B.制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领, 明确总体要求
C.建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信 息安全风险评估技术选择合理、计算正确
D.向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合 信息安全方针、履行法律责任和持续改进的重要性
答案:C
解析:“实施信息安全风险评估过程”不属于管理者责任。
36.下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的()
A.设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查 看系统审计信息
B.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻 击获取到用户隐私数据
C.设计了采用不加盐(SALT)的 SHA-1 算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录
D.设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被
攻击对手截获网络数据并破解后得到明文
答案:A
解析:首先是软件设计缺陷,其次对应的设计有缺陷导致某一后果。用户权限分级机制和最 小特权原则导致系统管理员不能查看系统审计信息,这个在安全、保密等领域是专门这样设 计的;BCD 都是由软件缺陷引起的。
37.对于关键信息基础设施的理解以下哪项是正确的()
A.关键信息基础设施是国家最为重要的设施,包括三峡大坝水利设施、神舟载人航天设施 和高铁网络设施
B.等级保护定级的系统属于关键信息基础设施
C.我国总体国家安全观将信息安全作为国家安全的一个重要组成部分,说明缺少信息安全 我国的国家安全将无法得到保障
D.关键信息基础设施不会向公众提供服务,所以受到攻击损害后不会影响到我们日常生活 答案:C
解析:关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、 公用事业等重要行业运行的信息系统或工业控制系统。显然载人航天不属于,等级保护定级有 1-5 级,定级标准和要求和关键信息基础设施保护有很大的不同,所以 B 错误;D 概念错误。
38.密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也 是网络安全的一个重要组成部分。下面描述中,错误的是()。
A.密码协议(cryptographic protocol),有时也称安全协议(security protocol), 是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务
B.根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能 是敌人和互相完全不信任的人
C.在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所 有的执行步骤,有些复杂的步骤可以不明确处理方式
D.密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参 与方都必须了解协议,且按步骤执行
答案:C
解析:“不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式”错误
39.以下哪种风险被认为是合理的风险()。
A.残余风险
B.未识别的风险
C.可接受的风险
D.最小的风险
答案:C
解析:残余风险未必是可接受的风险,如果残余风险不可接受还要进一步处理才行例如风险 转移,风险规避。
40.在某信息系统的设计中,用户登录过程是这样的:(1)用户通过 HTTP 协议访问信息系统;(2)用户在登录页面输入用户名和口令;(3)信息系统在服务器端检查用户名和 密码的正确性,如果正确,则鉴别完成。可以看出,这个鉴别过程属于()。
A.双向鉴别
B.三向鉴别
C.第三方鉴别
D.单向鉴别
答案:D
解析:参考登陆网页系统,属于单向鉴别。
41.信息安全保障技术框架(Information Assurance Technical Framework,IATF), 目的是为保障政府和工业的()提供了()。信息安全保障技术框架的一个核心思想是()。 深度防御战略的三个核心要素:()、技术和运行(亦称为操作)。
A.信息基础设施;深度防御;技术指南;人员
B.技术指南;信息基础设施;深度防御;人员
C.信息基础设施;技术指南;人员;深度防御
D.信息基础设施;技术指南;深度防御;人员
答案:D
解析:P28 页
42.具有行政法律责任强制力的安全管理规定和安全制度包括()
(1)安全事件(包括安全事故)报告制度
(2)安全等级保护制度
(3)信息系统安全监控
(4)安全专用产品销售许可证制度
A.2,3
B.1,2,3
C.2,3,4
D.1,2,4
答案:D
解析:(1)来源于《安全生产法》第八十条,(2)(4)是常识。
43.应用安全,一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用 安全防护考虑的是()。
A.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全 等级、机房的建造和机房的装修等
B.身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用 系统资源
C.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问 控制的力度,限制非法访问
D.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬 盘、内存或缓冲区中的信息被非授权的访问
答案:A
解析:机房与设施安全属于物理环境安全范畴,不属于应用安全范畴。
44.近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个开放性信 道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素,下列选项中, 对无线通信技术的安全特点描述正确的是()
A.无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃听而获得网络通 信内容
B.通过传输流分析,攻击者可以掌握精确的通信内容
C.对于无线局域网络和无线个人区域网络来说,它们的通信内容更容易被窃听
D.群通信方式可以防止网络外部人员获取网络内部通信内容
答案:C
解析:A 项,搭线窃听错误一般使用无线嗅探获得别人的网络通信内容,B“掌握精确的通信内容”有点夸张,一般获得大概的内容就够用了,D 群通信很容易导致外部人员获取网内通信内容。
45.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()
A.TCSEC 标准
B.CC 标准
C.FC 标准
D.ITSEC 标准
答案:B P241 页
解析:TCSEC 标准(可信计算机系统评估标准)是美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求,在 2005 年最初被公布的国际标准《通用准则(CC)》所取代,《信息技术安全性评估准则》是我国在 2008 年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。标准定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(Common Criteria,CC);FC 上美国 1991 年制定了一个《联 邦(最低安全要求)评估准则》,但由于其不完备性,未能推行;ITSEC(Information Technology Security Evaluation Criteria,信息技术安全评估标准)是评估产品和系统中计算机安全性的一套结构化的标准。于 1990 年 5 月首先在法国,德国,荷兰和英国出版, 后来主要在一些欧洲国家使用。
46.组织应依照已确定的访问控制策略限制对信息和( )功能的访问。对访问的限制要基于各个业务应用要求,访问控制策略还要与组织访问策略一致。应建立安全登录规程控 制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式 的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具 和程序的使用,应加以限制并( )。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划)的访问宜严格控制,以防引入非授权功能、避免无意识的变更和维持有 价值的知识产权的( )。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在( )中。
A.应用系统;身份验证;严格控制;保密性;源程序库
B.身份验证;应用系统;严格控制;保密性;源程序库
C.应用系统;严格控制;身份验证;保密性;源程序库
D.应用系统;保密性;身份验证;严格控制;源程序库
答案:A
解析:教材第 112 页 9.4.5 表格之下的所有部分,到 118 页的最上面一段
47.信息是流动的,在信息的流动过程中必须能够识别所有可能途径的()与();面 对于信息本身,信息的敏感性的定义是对信息保护的()和(),信息在不同的环境存储和 表现的形式也决定了()的效果,不同的截体下,可能体现出信息的()、临时性和信息的 交互场景,这使得风险管理变得复杂和不可预测。
A.基础;依据;载体;环境;永久性;风险管理
B.基础;依据;载体;环境;风险管理;永久性
C.载体;环境;风险管理;永久性;基础;依据
D.载体;环境;基础;依据;风险管理;永久性
答案:D
解析:
48.某项目组进行风险评估时由于时间有限,决定采用基于知识的分析方法,使用基于 知识的分析方法进行风险评估,最重要的在于评估信息的采集,该项目组对信息源进行了讨 论,以下说法中不可行的是()
A.可以通过对当前的信息安全策略和相关文档进行复查采集评估信息
B.可以通过进行实施考察的方式采集评估信息
C.可以通过建立模型的方法采集评估信息
D.可以制作问卷,进行调查
答案:C
解析:基于知识的风险评估方法和基于模型的风险评估方法是并列关系
49.小张在一不知名的网站上下载了鲁大师并进行了安装,电脑安全软件提示该软件有 恶意捆绑,小张惊出一身冷汗,因为他知道恶意代码终随之进入系统后会对他的系统信息安 全造成极大的威胁,那么恶意代码的软件部署常见的实现方式不包括()
A.攻击者在获得系统的上传权限后,将恶意部署到目标系统
B.恶意代码自身就是软件的一部分,随软件部署传播
C.内镶在软件中,当文件被执行时进入目标系统
D.恶意代码通过网上激活
答案:D
解析:“恶意代码通过网上激活”错误,一些恶意代码一经下载就可以自动激活运行。
50.恶意代码经过 20 多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电 脑查出病毒的过程中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式属于( )
A.简单运行
B.行为检测
C.特征数据匹配
D.特征码扫描
答案:B
解析:恶意代码检测包括特征码扫描和行为检测,行为检测是防病毒软件通过对软件的行为 检测,将软件行为与恶意代码行为模型进行匹配,以判断是否为恶意代码。P370 页
51.管理层应该表现对 ( ),程序和控制措施的支持, 并以身作则。管理职责要确保雇员和承包方人员都了( )角色和职责,并遵守相应的条款和条件。组织要建立信息安全意识计划,并定期组织信息安全()。组织立正式的(),确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定(),考虑例如违规的性质、重要性及对于业务的影响等因素,以及相 关法律、业务合同和其他因素。
A.信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应
B.信息安全政策:信息安全:教育和培训:纪律处理过程:分级的响应
C.信息安全政策:教育和培训:信息安全;纪律处理过程:分级的响应
D.信息安全政策:纪律处理过程信息安全;教育和培训:分级的响应
答案:B
解析:P107 页
52.在一个网络中,当拥有的网络地址容量不够多,或普通终端计算机没有必要分配静 态 IP 地址时,可以采用通过在计算机连接到网络时,每次为其临时在 IP 地址池中选择一个IP 地址并分配的方式为( )
A.动态分配 IP 地址
B.静态分配 IP 地址
C.网络地址转换分配地址
D.手动分配
答案:A
解析:“没有必要分配静态”首先排除 B,实际上题干介绍的是动态分配 IP 地址概述。
53.信息安全风险管理是基于( )的信息安全管理,也就是,始终以( )为主线进行信息安全的管理。应根据实际( )的不同来理解信息安全风险管理的侧重点,即( )选择的范围和对象重点应有所不同。
A…风险; 风险; 信息系统: 风险管理
B.风险; 风险; 风险管理; 信息系统
C.风险管理; 信息系统; 风险;风险
D.风险管理; 风险; 风险 ;信息系统
答案:A
解析:P84 页
54.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传 输,确保解决该层的流量控制问题。数据链路层的数据单元是( )
A.报文
B.比特流
C.帧
D.包
答案:C
解析:P330 页
55.以下对于标准化特点的描述哪项是错误的?
A.标准化的对象是共同的、可重复的事物。不是孤立的一件事、一个事物
B.标准化必须是静态的,相对科技的进步和社会的发展不能发现变化
C.标准化的相对性,原有标准随着社会发展和环境变化,需要更新
D.标准化的效益,通过应用体现经济和社会效益,否则就没必要
答案:B
解析:标准化是动态的,会随着科技的进步和社会的发展与时俱进。
56.以下哪个是国际信息安全标准化组织的简称?( ) A.ANSI
B.ISO C.IEE D.NIST
答案:B
解析:ANSI:美国国家标准学会(AMERICAN NATIONAL STANDARDS INSTITUTE);ISO:国际标
准化组织(International Organization for Standardization);IEE:国际电气工程师学会(TheInstitution of Electrical Engineers);NIST:美国国家标准与技术研究院(National Institute of Standards and Technology)直属美国商务部,从事物理、生物和工程方面的基础和应用研究。
57.某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公司网络管理员在了解情况后,给出了一些解决措施建议,作为信息安全主管,你必须指出不恰当 的操作并阻止此次操作()
A.由于单位并无专业网络安全应急人员,网络管理员希望出具授权书委托某网络安全公司技 术人员对本次攻击进行取证
B.由于公司缺乏备用硬盘,因此计划将恢复服务器上被删除的日志文件进行本地恢复后再提 取出来进行取证
C.由于公司缺乏备用硬盘,因此网络管理员申请采购与服务器硬盘同一型号的硬盘用于存储 恢复出来的数据
D.由于公司并无专业网络安全应急人员,因此由网络管理员负责此次事件的应急协调相关工 作
答案:B
解析:取证要求不能本地恢复,恢复出的日志数据会覆盖现有日志内容,应避免对原始盘进 行任何写入操作,防止破坏证据。
58.在你对远端计算机进行ping 操作,不同操作系统回应的数据包中初始TTL 值是不同的, TTL 是 IP 协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可以通过 TTL 值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的 TL 值,可以大致判断( )
A.内存容量
B.操作系统的类型
C.对方物理位置
D.对方的 MAC 地址
答案:B
解析:TTL 是 Time To Live 的缩写,该字段指定 IP 包被路由器丢弃之前允许通过的最大网段数量,Widows 操作系统默认是 128,Linux 默认是 64,每经过一个路由器减 1。
59.( )攻击是建立在人性“弱点”利用基础上的攻击,大部分的社会工程学攻击都是经过( )才能实施成功的。即使是最简单的“直接攻击”也需要进行 ( )。如果希望受害者接受攻击者所( ),攻击者就必须具备这个身份需要的 ( )
A.社会工程学: 精心策划; 前期的准备; 伪装的身份; 一些特征
B.精心策划; 社会工程学; 前期的准备; 伪装的身份; 一些特征
C.精心策划; 社会工程学; 伪装的身份; 前期的准备: 一些特征
D.社会工程学; 伪装的身份; 精心策划; 前期的准备; 一些特征
答案:A
解析:P221 页
60.内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资源大 爆发是使得内容安全越 越受到重视,以下哪个描述不属于内容安全的范畴 ( )
A.某杂志在线网站建立内容正版化审核团队,对向网站投稿的内容进行版权审核,确保无侵 犯版权行为后才能在网站好进行发布
B.某网站采取了技术措施,限制对同一 P 地址对网站的并发连接,避免爬虫通过大量的访问采集网站发布数据
C.某论坛根据相关法律要求, 进行了大量的关键词过滤, 使用户无法发布包含被过滤关键词的相关内容
D.某论坛根据国家相关法律要求,为了保证用户信息泄露,对所有用户信息,包括用户名、密 码、身份证号等都进行了加密的存储
答案:D
解析:D 项是用户数据安全的范畴。
61.恶意软件抗分析技术的发展,恶意软件广泛使用了加壳、加密、混淆等抗分析技术, 对恶意软件的分析难度越来越大。对恶意代码分析的研究已经成为信息安全领域的一个研究热点。小赵通过查阅发现一些安全软件的沙箱功能 实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术。小赵列出了一些动态分析的知识,其中错误的是( )
A.动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流 程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点
B.动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路径有限,分 析的完整性难以保证
C.动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式 和机制
D.动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对恶意 代码非法行为进行分析
答案:C
解析:“通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制”是静态分析的内容,P371 页。
62.操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一 个环境。操作系统提供了多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而下的破绽,都给网络安全留下隐患。某公司的网 络维护师为实现该公司操作系统的安全目标,按书中所学建立了相应的安全机制,这些机制不包括()
A.标识与鉴别
B.访问控制
C.权限管理
D.网络云盘存取保护
答案:D
解析:D 不属于信息安全机制的范畴。
63.即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题,特别 对于使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施,下 列措施中错误的是( )
A.如果经费许可,可以使用自建服务器的即时通讯系统
B.在组织机构安全管理体系中制定相应安全要求,例如禁止在即时通讯中传输敏感及以上级 别的文档;建立管理流程及时将离职员工移除等
C.选择在设计上已经为商业应用提供安全防护的即时通讯软件,例如提供传输安全性保护等 即时通讯
D.涉及重要操作包括转账无需方式确认
答案:D
解析:D 项常识性错误。
64.以下哪些因素属于信息安全特征?( )
A.系统和网络的安全
B.系统和动态的安全
C.技术、管理、工程的安全
D.系统的安全;动态的安全;无边界的安全;非传统的安全
答案:D
解析:P3
65.以下对单点登录技术描述不正确的是:()。
A.单点登录技术实质是安全凭证在多个用户之间的传递或共享
B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用
C.单点登录不仅方便用户使用,而且也便于管理
D.使用单点登录技术能简化应用系统的开发答案:A
解析:单点登录技术实质是安全凭证在多个应用系统之间的传递或共享。
66.软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的 是()
A.告诉用户需要收集什么数据及搜集到的数据会如何被使用
B.当用户的数据由于某种原因要被使用时,给客户选择是否允许
C.用户提交的用户名和密码属于隐私数据,其他都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
答案:C
解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。
67.自主访问控制(DAC)是应用很广泛的访问控制方法,常用于多种商业系统中。以下对 DAC 模型的理解中,存在错误的是()
A.在 DAC 模型中,资源的所有者可以规定谁有权访问它们的资源
B.DAC 是一种对单个用户执行访问控制的过程和措施
C.DAC 可为用户提供灵活调整的安全策略,具有较好的易用性可扩展性,可以抵御特洛伊木马的攻击
D.在 DAC 中,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体答案:C
解析:DAC 不能抵御特洛伊木马攻击,P306 页
68.关于微软的 SDL 原则,弃用不安全的函数属于哪个阶段?( )
A.规则
B.计划
C.实现
D.测试
答案:C
解析:弃用不安全函数属于编码实现阶段的工作,P398 页。
69.优秀源代码审核工具有哪些特点( )1安全性;2多平台性;3可扩民性;4知识性;5集成性。
A.1 2 3 4 5
B. 2 3 4
C.1 2 3 4
D.2 3
答案:A
解析:P416 页
70.某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期 内述不正确的是( )
A.对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施
B.安全措施主要有预防性、检测性和纠正性三种
C.安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁
D.对确认为不适当的安全措施可以置不顾
答案:D
解析:常识性错误。
71.密码是一种用来混淆的技术,使用者希望正常的(可识别的)信息转变为无法识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的,小刚是某公司新进的员工, 公司要求他注册一个公司网站的账号,小刚使用一个安全一点的密码,请问以下选项中哪个密码是最安全( )
A.使用和与用户名相同的口令
B.选择可以在任何字典或语言中找到的口令
C.选择任何和个人信息有关的口令
D.采取数字,字母和特殊符号混合并且易于记忆
答案:D
解析:常识问题
72.基于对( )的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的( )。在( )中,攻击者伪装成“公安部门”人员要求受害者对权威的信任。在( )中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求( )等 。
A.权威;执行;电信诈骗;网络攻击;更改密码
B.权威;执行;网络攻击;电信诈骗;更改密码
C.执行;权威;电信诈骗;网络攻击;更改密码
D.执行;权威;网络攻击;电信诈骗;更改密码
答案:A
解析:
73.在软件项目开发过程中,评估软件项目风险时,()与风险无关。
A.高级管理人员是否正式承诺支持该项目
B.开发人员和用户是否充分理解系统的需求
C.最终用户是否同意部署已开发的系统
D.开发需求的资金是否能按时到位
答案:C
解析:ABD 都对项目风险有一定影响,C 项是否同意部署在开发完成以后。
74.物理安全是一个非常关键的领域包括环境安全、设施安全与传输安全。其中,信息 系统的设施作为直存储、处理数据的载体,其安全性对信息系统至关重要。下列选项中,对 设施安全的保障的描述正确的是()。
A.安全区域不仅包含物理区域,还包含信息系统等软件区域
B.建立安全区域需要建立安全屏蔽及访问控制机制
C.由于传统门锁容易被破解,因此禁止采用门锁的方式进行边界防护
D.闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备,后端设备包括中央控制 设备、监视器等
答案:B
解析:A 物理安全包括信息系统所在物理区域,但不包含软件区域,C“进展采用门锁方式” 错误,D 数字式控制录像设备属于后端设备,B 描述了物理安全措施。
75.下列关于测试方法的叙述中不正确的是()
A.从某种角度上讲,白盒测试与墨盒测试都属于动态测试
B.功能测试属于黑盒测试
C.结构测试属于白盒测试
D.对功能的测试通常是要考虑程序的内部结构的 答案:D
解析:白盒测试是在程序员十分了解程序的前提下,对程序的逻辑结构进行的测试。而黑盒 测试则将程序视为一个黑盒子,仅仅是测试人员提供输入数据,观察输出数据,并不了解程 序是如何运行的,结构测试属于白盒测试,关注的是如何选择合适的程序或子程序路径来执 行有效的检查。功能测试则属于黑盒测试,对功能的测试通常通过提供输入数据,检查实际 输出的结果,很少考虑程序的内部结构。
76.以下哪些不是《国家网络空间安全战略》中阐述的我国网络空间当前任务?
A.捍卫网络空间主权
B.保护关键信息基础设施
C.提升网络空间防护能力
D.阻断与国外网络连接
答案:D
解析:常识问题
77.在信息安全保障工作中人才是非常重要的因素,近年来,我国一直调试重视我国信自成安全人才队伍培养建设。在以下关于我国关于人才培养工作的描述中,错误的是()。
A.在《中国信息化领导小组关于加强信息安全保障工作的中意见》(中办发[2003]27 号) 中,针对信息安全人才建设与培养工作提出了“加快网络空间安全人才培养增强全民信息安全意识”的指导精神
B.B. 2015 年,为加快网络安全高层次人才培养,经报国务院学位委员会 批准,国务院学位委员会、教育部决定“工学”门类下增设“网络空间安全“一级学科,这对于我国网络信 息安全人才成体系化、规模化、系统培养到积极的推到作用
C.经过十余年的发展,我国信息安全人才培养已经成熟和体系化,每年培养的信息全从人员的数量较多,能同社会实际需求相匹配;同时,高效信息安全专业毕业人才的合能力要求高、 知识更全面,因面社会化培养重点放在非安全专业人才培养上
D.除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种 职业技能培训的信息安全人才培训休系,包括“注册信息安全专业人员(CISP)”资质认证和 一些大型企业的信息安全资质认证
答案:C
解析:常识问题
78.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王 明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取()
A.在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力
B.选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能
C.如果蓝牙设备丢失,最好不要做任何操作
D.在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现
答案:C
解析:如果蓝牙设备丢失,应把设备从已配对列表众删除。
79.Hadoop 是目前广泛应用的大数据处理分析平台。在 Hadoop1.0.0 版本之前,Hadoop 并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行 交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到 Hadoop 集群
上,恶意的提交作业篡改分布式存储的数据伪装成 Name No TaskTracker 接受任务等。在Hadoop2.0 中引入 Kerberos 机制来解决用户到服务器认证问题,Kerberos 认证过程不包括()
A.获得票据许可票据
B.获得服务许可票据
C.获得密钥分配中心的管理权限
D.获得服务
答案:C
解析:ABD 是 Kerberos 认证的三步曲
80.信息安全是通过实施一组合适的()而达到的,包括策略、过程、规程、()以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进包含这些控制措施的()过程, 以确保满足该组织的特定安全和()。这个过程宜与其他业务()联合进行。
A.信息安全管理;控制措施;组织结构;业务目标;管理过程
B.组织结构;控制措施;信息安全管理;业务目标;管理过程
C.控制措施;组织结构;信息安全管理;业务目标;管理过程
D.控制措施;组织结构;业务目标;信息安全管理;管理过程
答案:C
解析:P103 页
81.了解社会工程学攻击是应对和防御()的关键,对于信息系统的管理人员和用户, 都应该了解社会学的攻击的概念和攻击的()。组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击,如何判断是否存在社会工程学攻击,这样才能更好的保护信息系统和()。因为如果对攻击方式有所了解那么用户识破攻击者的伪装就()。因此组织机构应持续不断的向员工提供安全意识的培训和教育,向员工灌输(),以降低社会工程学攻击的风险。
A.社会工程学攻击;越容易;原理;个人数据;安全意识
B.社会工程学攻击;原理;越容易;个人数据;安全意识
C.原理;社会工程学攻击;个人数据;越容易;安全意识
D.社会工程学攻击;原理;个人数据;越容易;安全意识
答案:D
解析:
82.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。 强制访问控制模型有多种类型,如 BLP、Biba、Clark-willson 和 ChineseWall 等。小李自学了 BLP 模型,并对该模型的特点进行了总结。以下 4 种对 BLP 模型的描述中,正确的是()。
A.BLP 模型用于保证系统信息的完整性
B.BLP 模型的规则是“向下读,向上写”
C.BLP 的自主安全策略中,系统通过比较主体与客体的访问类属性控制主体对客体的访问
D.BLP 的强制安全策略使用一个访问控制矩阵表示
答案:B
解析:BLP 模型是一种强制访问控制模型用以保障机密性,向上写,向下读,自主访问控制模型使用一个访问控制矩阵表示。
83.对操作系统软件安装方面应建立安装(),运行系统要化安装经过批准的可执行代码,不安装开发代码和(),应用和操作系统软件要在大范围的、成功的测试之后才能实施。 而且要仅由受过培训的管理员,根据合适的(),进行运行软件、应用和程序库的更新;必要时在管理者批准情况下,仅为了支持目的才授予供应商物理或逻辑访问权,并且要监督供应商的活动。对于用户能安装何种类型的软件,组织宜定义并强制执行严格的方针,宜使用
()。不受控制的计算机设备上的软件安装可能导致脆弱性。进行导致信息泄露;整体性损 失或其他信息安全事件或违反()。
A.控制规程; 编译程序; 管理授权; 最小特权方针; 知识产权
B.编译程序; 控制规程; 管理授权; 最小特权方针; 知识产权
C.控制规程; 管理授权; 编译程序; 最小特权方针; 知识产权
D.控制规程; 最小特权方针;编译程序; 管理授权; 知识产权
答案:A
解析:
84.建立并完善()是有效应对社会工程攻击的方法,通过()的建立,使得信息系统用户需要遵循()来实施某些操作,从而在一定程度上降低社会工程学的影响。例如对于用户密码的修改,由于相应管理制度的要求,()需要对用户身份进行电话回拨确认才能执行,那么来自外部的攻击就可能很难伪装成为内部工作人员进行(),因为他还需要想办法拥有一个组织机构内部电话才能实施。
A.信息安全管理体系;安全管理制度; 规范;网络管理员;社会工程学攻击
B.信息安全管理体系;安全管理制度; 网络管理员;规范;社会工程学攻击
C.安全管理制度;信息安全管理体系; 规范;网络管理员;社会工程学攻击
D.信息安全管理体系; 网络管理员;安全管理制度;规范;社会工程学攻击答案:A
解析:
85.管理,是指()组织并利用其各个要素(人、财、物、信息和时空),借助(), 完成该组织目标的过程。其中,()就像其他重要业务资产各()一样,也 对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁各()当中。
A.管理手段;管理主体;信息;管理要素;脆弱性
B.管理主体;管理手段;信息;管理要素;脆弱性
C.管理主体;信息;管理手段;管理要素;脆弱性
D.管理主体;管理要素;管理手段;信息;脆弱性
答案:B
解析:
86.以下对 Kerberos 协议过程说法正确的是:()
A.协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务
B.协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
C.协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可 票据
D.协议可以分为三个步骤:一是获得票据许可票据 二是获得服务许可票据;三是获得服务
答案:D
解析:
87.下列选项中,对物理与环境安全的近期内述出现错误的是()
A.物理安全确保了系统在对信息进行采集、传输、处理等过程中的安全
B.物理安全面对是环境风险及不可预知的人类活动,是一个非常关键的领域
C.物理安全包括环境安全、系统安全、设施安全等
D.影响物理安全的因素不仅包含自然因素,还包含人为因素
答案:C
解析:物理安全是保护信息稳定、可靠的运行,确保信息系统在对信息进行采集、传输、存 储、处理等过程中不会因为自然因素、人为因素等原因导致服务中断、数据丢失、破坏等问 题,P319 页。
88.风险处理是依据(),选择和实施合适的安全措施。风险处理的目的是为了将() 始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和()四种方式。
A.风险;风险评估的结果;降低;规避;转移;接受
B.风险评估的结果;风险;降低;规避;转移;接受
C.风险评估;风险;降低;规避;转移;接受
D.风险;风险评估;降低;规避;转移;接受
答案:B
解析:
89.信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目 标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击 者来说,这些信息都 是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是社会工 程学攻击者所希望的。
A.信息收集;社会工程学;资料和信息;身份伪装 ;进行保护
B.社会工程学;信息收集;资料和信息;身份伪装 ;进行保护
C.社会工程学;信息收集;身份伪装;资料和信息 ;进行保护
D.信息收集;资料和信息;社会工程学;身份伪装 ;进行保护
答案:B
解析:
90.二十世纪二十年代,德国发明家亚瑟谢尔比乌斯 Enigma 密码机。按照密码学发展历史阶段划分,这个阶段属于( )
A.古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码,而不是凭借推理和证 明,常用的密码运算方法包括替代方法和置换方法
B.近代密码发展阶段。这一阶段开始使用机械代替手工计算,形成了机械式密码设备和更进 一步的机电密码设备
C.近代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”(The Communication Theory of Secret Systems)
D.现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志,引发了密码学历史上的革 命性的变革,同时,众多的密码算法开始应用于非机密单位和商业场合
答案:A
解析:Enigma 密码机,按照密码学发展历史阶段划分,这个阶段属于古典密码阶段。
91.有关危害国家秘密安全的行为包括( )
A.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的 行为、保密行政管理部门的工作人员的违法行为
B.严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政 管理部门的工作人员的违法行为,但不包括定密不当行为
C.严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为,但不 包括公共信息网络运营商及服务商不履行保密义务的行为
D.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的 行为,但不包括保密行政管理部门的工作人员的违法行为
答案:A
解析:A 最全面,严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
92.小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课 程,这几次课的内容是自主访问控制与强制访问控制,为了赶上课程,他向同班的小李借来 课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记会出现一些错误。下列选项 是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是( )
A.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主 体是否可以访问某个客体
B.安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意篡 改
C.系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D.它是一种对单个用户执行访问控制的过程控制措施
答案:D
解析:“对单个用户执行访问控制的过程控制措施”,P308 页。
93.在以下标准中,属于推荐性国家标准的是
A.GB/T XXXX.X-200X
B.GB XXXX-200X
C.DBXX/T XXX-200X
D.GB/Z XXX-XXX-200X
答案:A
解析:A 为国标推荐标准;B 为国标强制标准;C 为地方标准;D 为国标指导标准。
94.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问 控制模型等,下面描述中错误的是( )
A.从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型,强制访问控 制模型和基于角色的访问控制模型
B.自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权 利访问他们的资源,具有较好的易用性和可扩展性
C.强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一 个主体是否可以访问某个客体,该模型具有一定的抗恶意程序攻击能力,适用于专用或安全 性要求较高的系统
D.基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权,职责分离等各种安全策 略
答案:A
解析:三个模型安全性没有横向对比,进行安全性比较是错误的,只是三种模型应用场景不 同。
95.下列哪一个是我国政策性文件明确了我国信息安全保障工作的方针和总体要求以 及加强信息安全工作的主要原则?( )
A.《关于加强政府信息系统安全和保密管理工作的通知》
B.《政府信息系统安全和保密管理工作的通知》
C.《国家信息化领导小组关于加强信息安全保障工作的意见》
D.《关于开展信息安全风险评估工作的意见》
答案;C
解析:《国家信息化领导小组关于加强信息安全保障工作的意见》是我国政策性文件明确了 我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则。
96.残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描 述错误的是()
A.残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成 本与效益后不去控制的风险
B.残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全 事件
C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的 存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作 为风险管理效果评估指标
答案;A
解析:“不去控制”错误,残余风险无法消除,但需要监视、控制。
97.在 Windows 文件系统中, 支持文件加密。
A.FAT16
B.NTFS
C.FAT32
D.EXT3
答案;B 解析:
98.相比 FAT 文件系统,以下那个不是 NTFS 所具有的优势?
A.NTFS 使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后, 系统能利用日志文件重做或恢复未成功的操作。
B.NTFS 的分区上,可以为每个文件或文件夹设置单独的许可权限
C.对于大磁盘,NTFS 文件系统比 FAT 有更高的磁盘利用率
D.相比 FAT 文件系统,NTFS 文件系统能有效的兼容 linux 下的 EXT3 文件格式。
答案;D
解析:
99.以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?
A.大整数分解
B.离散对数问题
C.背包问题
D.伪随机数发生器
答案;D
解析:伪随机数发生器是序列密码算法加密过程中遇到的问题,而序列密码算法属于对称密 码算法的一种。
100.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
A.DSS
B.Diffie-Hellman
C.RSA
D.AES
答案;C
解析:DSS 是一种数字签名标准,严格来说不算加密算法;Diffie-Hellman 并不是加密算法, 而是一种密钥建立的算法;AES 算法是一种对称密码算法,可以用于数据加密。