1、.GB2/T 20274 信息系统安全保障评估框架中的信息系统安全保障级中的级别是指:CA. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是:CA. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点4. 美国国防部
2、提出的 信息保障技术框架 (IATF)在描述信息系统的安全需求时,将信息技术系统分为:CA. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分6. 关于信息安全策略的说法中,下面说法正确的是:CA. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络?C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前,无法确定信息安全策略8. 下列对于信息安
3、全保障深度防御模型的说法错误的是:CA. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。C. 信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系无关紧要D. 信息安全技术方案:“从外而内、自下而上、形成端到端的防护能力”9. 下面有关我国信息安全管理体制的说法错误的是:CA. 目前我国的信息安全保障工
4、作是相关部门各司其职、相互配合、齐抓共管的局面B. 我国的信息安全保障工作综合利用法律、管理和技术的手段C. 我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针D. 我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责10.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。 “加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的?AA. 国家信息化领导小组关于加强信息安全保障工作的意见B. 信息安全等级保护管理办法C.中华人民共和国计算机信息系统安全保护条例D.关于加强政府信息系统安全
5、和保密管理工作的通知11. 一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?AA. 公安部公共信息网络安全监察局及其各地相应部门B. 国家计算机网络与信息安全管理中心C. 互联网安全协会D. 信息安全产业商会12. 下列哪个不是商用密码管理条例规定的内容:DA. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作B. 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理C. 商用密码产品由国家密码管理机构许可的单位销售D. 个人可以使用经国家密码管理机构认可之外的商用密码产品13. 对涉密系统进行安全保密测评应当依据以
6、下哪个标准?BA. BMB20-2007涉及国家秘密的计算机信息系统分级保护管理规范B. BMB22-2007涉及国家秘密的计算机信息系统分级保护测评指南C. GB17859-1999计算机信息系统安全保护等级划分准则D. GB/T20271-2006信息安全技术信息系统统用安全技术要求14. 下面对于 CC 的“保护轮廓” (PP)的说法最准确的是:CA. 对系统防护强度的描述B. 对评估对象系统进行规范化的描述C. 对一类 TOE 的安全需求,进行与技术实现无关的描述D. 由一系列保证组件构成的包,可以代表预先定义的保证尺度15. 关于 ISO/IEC21827:2002(SSE-CMM)
7、描述不正确的是:DA. SSE-CMM 是关于信息安全建设工程实施方面的标准B. SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程C. SSE-CMM 模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证D. SSE-CMM 是用于对信息系统的安全等级进行评估的标准16. 下面哪个不是 ISO 27000 系列包含的标准 DA. 信息安全管理体系要求B. 信息安全风险管理C. 信息安全度量D. 信息安全评估规范17. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征?AA. ITSECB. TCSECC. GB/T9387.
8、2D.彩虹系列的橙皮书18. 下面哪项不是信息安全等级保护管理办法 (公通字【2007】43 号)规定的内容 DA. 国家信息安全等级保护坚持自主定级、自主保护的原则B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级?D. 第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每?少进行一次等级测评19. 触犯新刑法 285 条规定的非法侵入计算机系统罪可判处A_。A. 三年以下有期徒刑或拘役B. 1000 元罚款C. 三年以上五年以下有期徒刑D. 10000 元罚款20. 常见密码系统包含的元素是
9、:CA. 明文,密文,信道,加密算法,解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文,密文,密钥,加密算法,解密算法D. 消息,密文,信道,加密算法,解密算法21. 公钥密码算法和对称密码算法相比,在应用上的优势是:DA. 密钥长度更长B. 加密速度更快C. 安全性更高D. 密钥管理更方便22. 以下哪一个密码学手段不需要共享密钥?BA.消息认证B.消息摘要C.加密解密D.数字签名24. 下列哪种算法通常不被用户保证保密性?DA. AESB. RC4C. RSAD. MD525.数字签名应具有的性质不包括:CA. 能够验证签名者B. 能够认证被签名消息C. 能够保护被签名的数据机
10、密性D. 签名必须能够由第三方验证26. 认证中心(CA)的核心职责是_A_。A. 签发和管理数字证书B. 验证信息C. 公布黑名单D. 撤销用户的证书28. 以下对于安全套接层(SSL )的说法正确的是:CA. 主要是使用对称密钥体制和 X.509 数字证书技术保护信息传输的机密性和完整性B. 可以在网络层建立 VPNC. 主要使用于点对点之间的信息传输,常用 Web server 方式D. 包含三个主要协议:AH,ESP,IKE31. 下面对访问控制技术描述最准确的是:CA. 保证系统资源的可靠性B. 实现系统资源的可追查性C. 防止对系统资源的非授权访问D. 保证系统资源的可信性32.
11、以下关于访问控制表和访问能力表的说法正确的是:DA. 访问能力表表示每个客体可以被访问的主体及其权限B. 访问控制表说明了每个主体可以访问的客体及权限C. 访问控制表一般随主体一起保存D. 访问能力表更容易实现访问权限的传递,但回收访问权限较困难35. 下面哪一项访问控制模型使用安全标签(security labels)?CA. 自主访问控制B. 非自主访问控制C. 强制访问控制D. 基于角色的访问控制39. 基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?CA. 错误拒绝率B. 错误监测率C. 交叉错判率D. 错误接受率41. 某个客户的网络限制可以正常访问 internet 互联
12、网,共有 200 台终端 PC 但此客户从 ISP(互联网络服务提供商)里只获得了 16 个公有的 IPv4 地址,最多也只有 16 台 PC 可以访问互联网,要想让全部200 台终端 PC 访问 internet 互联网最好采取什么办法或技术:BA. 花更多的钱向 ISP 申请更多的 IP 地址B. 在网络的出口路由器上做源 NATC. 在网络的出口路由器上做目的 NATD. 在网络出口处增加一定数量的路由器42. WAPI 采用的是什么加密算法?AA. 我国自主研发的公开密钥体制的椭圆曲线密码算法B. 国际上通行的商用加密标准C. 国家密码管理委员会办公室批准的流加密标准D. 国际通行的哈
13、希算法43. 以下哪种无线加密标准的安全性最弱?AA. wepB. wpaC. wpa2D. wapi44. 以下哪个不是防火墙具备的功能?DA. 防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合B. 它是不同网络(安全域)之间的唯一出入口C. 能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流D. 防止来源于内部的威胁和攻击45. 简单包过滤防火墙主要工作在_B_A. 链路层 /网络层B. 网络层 /传输层C. 应用层D. 会话层46. 桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括:DA. 不需要对原有的网络配置进行修改B. 性
14、能比较高C. 防火墙本身不容易受到攻击D. 易于在防火墙上实现 NAT48. 以下哪一项不属于入侵检测系统的功能?DA. 监视网络上的通信数据流B. 捕捉可以的网络活动C. 提供安全审计报告D. 过滤非法的数据包49. 有一类 IDS 系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作:AA. 异常检测B. 特征检测C. 差距分析D. 对比分析51. 在 Unix 系统中,/etc/service 文件记录了什么内容?AA. 记录一些常用的接口及其所提供的服务的对应关系B. 决定 inetd 启动网络服务时,启动哪些服务C. 定义了系统缺省运行级别,系统进
15、入新运行级别需要做什么D. 包含了系统的一些启动脚本53. 以下哪个对 windows 系统日志的描述是错误的?DA. windows 系统默认有三个日志,系统日志、应用程序日志、安全日志B. 系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障C. 应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等54. 以下关于 windows SAM(安全账号管理器)的说法错误的是: cA. 安全账号管理器(SAM)具体表现就是%SystemRoot%system32con
16、figsamB. 安全账号管理器(SAM )存储的账号信息是存储在注册表中C. 安全账号管理器( SAM)存储的账号信息对 administrator 和system 是可读和可写的D. 安全账号管理器(SAM)是 windows 的用户数据库,系统进程通过 security accounts manager 服务进行访问和操作55. 在关系型数据库系统中通过 “视图(view) ”技术,可以实现以下哪一种安全原则?BA. 纵深防御原则B. 最小权限原则C. 职责分离原则D. 安全性与便利性平衡原则56. 数据库事务日志的用途是什么? BA. 事务处理B. 数据恢复C. 完整性约束D. 保密性
17、控制57. 下面对于 cookie 的说法错误的是: DA. cookie 是一小段存储在浏览器端文本信息,web 应用程序可以读取 cookie 包含的信息B. cookie 可以存储一些敏感的用户信息,从而造成一定的安全风险C. 通过 cookie 提交精妙构造的移动代码,绕过身份验证的攻击叫做 cookie 欺骗D. 防范 cookie 欺骗的一个有效方法是不使用 cookie 验证方法,而使用 session 验证方法58. 攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的
18、漏洞?DA. 缓冲区溢出B. SQL 注入C. 设计错误D. 跨站脚本59. 通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?CA. 明文形式存在B. 服务器加密后的密文形式存在C. hash 运算后的消息摘要值存在D. 用户自己加密后的密文形式存在64.下列属于 DDOS 攻击的是:BA. Men-in-Middle 攻击B. SYN 洪水攻击C. TCP 连接攻击D. SQL 注入攻击65.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击?DA. 重放攻击B. Smurf 攻击C. 字典攻击D. 中间人攻击66. 渗透性测试的
19、第一步是:AA. 信息收集B. 漏洞分析与目标选定C. 拒绝服务攻击D. 尝试漏洞利用67. 通过网页上的钓鱼攻击来获取密码的方式,实质上是一种:AA. 社会工程学攻击B. 密码分析学C. 旁路攻击D. 暴力破解攻击70.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法?DA. 加强软件的安全需求分析,准确定义安全需求B. 设计符合安全准则的功能、安全功能与安全策略C. 规范开发的代码,符合安全编码规范D. 编制详细软件安全使用手册,帮助设置良好的安全使用习惯94.根据 SSE-CMM 信息安全工程过程可以划分为三个阶段,其中_A_确立安全解决方案的置信度并且把这样的置信度
20、传递给客户。A. 保证过程B. 风险过程C. 工程和保证过程D. 安全工程过程96.下列哪项不是 SSE-CMM 模型中工程过程的过程区? BA. 明确安全需求B. 评估影响C. 提供安全输入D. 协调安全97. SSE-CMM 工程过程区域中的风险过程包含哪些过程区域?CA. 评估威胁、评估脆弱性、评估影响B. 评估威胁、评估脆弱性、评估安全风险C. 评估威胁、评估脆弱性、评估影响、评估安全风险D. 评估威胁、评估脆弱性、评估影响、验证和证实安全98.在 IT 项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:DA. 防止出现数据范围以外的值B. 防止出现错误的数据处理顺序C. 防止缓冲区溢出攻击D. 防止代码注入攻击99.信息安全工程监理工程师不需要做的工作是:AA.编写验收测试方案B.审核验收测试方案C.监督验收测试过程D.审核验收测试报告100. 下面哪一项是监理单位在招标阶段质量控制的内容? AA. 协助建设单位提出工程需求,确定工程的整体质量目标B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分C. 进行风险评估和需求分析完成招标文件中的技术需求部分D. 对标书应答的技术部分进行审核,修改其中不满足安全需求的内容
