1、1 中电运行技术研究院 中国信息安全测评中心CISM认证 模拟试题 中电运行信息安全网络技术测评中心 编辑 2 中电运行技术研究院 1信息安全保障要素不包括以下哪一项? A技术 B工程 C组织 D管理 2以下对信息安全问题产生的根源描述最准确的是: A信息安全问题是由于信息技术的不断发展造成的 B信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏 3完整性机制可以防范以下哪种攻击? A假冒源地址或用户的地址的欺骗攻击 B抵赖做过信息的递交行为 C数据传输中被窃听获取
2、 D数据传输中被篡改或破坏 4PPDR模型不包括: A策略 B检测 C响应 D加密 5关于信息安全策略的说法中,下面说法正确的是: A信息安全策略的制定是以信息系统的规模为基础 B信息安全策略的制定是以信息系统的网络拓扑结构为基础 C信息安全策略是以信息系统风险管理为基础 D在信息系统尚未建设完成之前,无法确定信息安全策略 6“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面哪种安全服务: A数据加密 B身份认证 C数据完整性 D访问控制 7下面对ISO27001的说法最准确的是: A该标准的题目是信息安全管理体系实施指南 B该标准为度量信息安
3、全管理体系的开发和实施过程提供的一套标准 C该标准提供了一组信息安全管理相关的控制措施和最佳实践 D该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型 3 中电运行技术研究院 8拒绝服务攻击损害了信息系统的哪一项性能? A完整性 B可用性 C保密性 D可靠性 9根据信息系统安全等级保护定级指南,信息系统的安全保护等级由哪两个定级要素决定? A威胁、脆弱性 B系统价值、风险 C信息安全、系统服务安全 D受侵害的客体、对客体造成侵害的程度业务 10IAFE深度防御战略的三个层面不包括: A人员 B法律 C技术 D运行 11“中华人民共和国保守国家秘密法”第二章规定了国家
4、秘密的范围和密级,国家秘密的密级分为: A“普密”、“商密”两个级别 B“低级”和“高级”两个级别 C“绝密”、“机密”、“秘密”三个级别 D“一密”、“二密”、“三密”、“四密”四个级别 12触犯新刑法285条规定的非法侵入计算机系统罪可判处_ A三年以下有期徒刑或拘役 B1000元罚款 C三年以上五年以下有期徒刑 D10000元罚款 13以下关于我国信息安全政策和法律法规的说法错误的是: A中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识” B2008年4月国务院办公厅发布了关于加强政府信息系统安全和保密管理工作的通知 C2007年我国四部委联合发布了信息安全等级
5、保护管理办法 D2006年5月全国人大常委会审议通过了中国人民共和国信息安全法 14目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,计算机信息系统国际联网保密管理规定是由下列哪个部门所制定的规章制度? A公安部 B国家保密局 C信息产业部 D国家密码管理委员会办公室 15VPN系统主要用来_ 4 中电运行技术研究院 A进行用户身份的鉴别 B进行用户行为的审计 C建立安全的网络通信 D对网络边界进行访问控制 16VPN技术无法实现以下哪个服务? A身份验证 B传输加密 C完整性校验 D可用性校验 17组成IPSec的主要安全协议不包括以下哪一项? AESP BD
6、SS CIKE DAH 18SSL协议比IPSEC协议的优势在于: A实现简单、易于配置 B能有效的工作在网络层 C能支撑更多的应用层协议 D能实现更高强度的加密 19下面对于“电子邮件炸弹”的解释最准确的是: A邮件正文中包含的恶意网站链接 B邮件附件中具有破坏性的病毒 C社会工程的一种方式,具有恐吓内容的邮件 D在短时间内发送大量邮件的软件,可以造成目标邮箱爆满 20电子邮件客户端通常需要用_协议来发送邮件。 A仅SMTP B仅POP CSMTP和POP D以上都不正确 21在应用层协议中,_可使用传输层的TCP协议,又可用UDP协议。 ASNMP BDNS CHTTP DFTP 22以下
7、哪一项是伪装成有用程序的恶意软件? A计算机病毒 B特洛伊木马 5 中电运行技术研究院 C逻辑炸弹 D蠕虫程序 23下列哪个是蠕虫的特征? A不感染、依附性 B不感染、独立性 C可感染、依附性 D可感染、独立性 24杀毒软件报告发现病毒MacorMelissa,由该病毒名称可以推断出病毒类型是_。 A文件型 B引导型 C目录型 D宏病毒 25所谓网络内的机器遵循同一“协议”就是指: A采用某一套通信规则或标准 B采用同一种操作系统 C用同一种电缆互连 D用同一种程序设计语言 26ICMP协议有多重控制报文,当网络出现拥塞时,路由器发出_报文。 A路由重定向 B目标不可达 C源抑制 D子网掩码请
8、求 27_设备可以隔离ARP广播帧 A路由器 B网桥 C以太网交换机 D集线器 28下面哪类设备常用于识系统中存在的脆弱性? A防火墙 BIDS C漏洞扫描器 DUTM 29下列关于防火墙功能的说法最准确的是: A访问控制 B内容控制 C数据加密 D查杀病毒 6 中电运行技术研究院 30某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种? A电路级网关 B应用级网关 C会话层防火墙 D包过滤防火墙 31在包过滤型防火墙中,定义数据包过滤规则的是: A路由表 BARP CNAT DACL 32包过滤型防火墙对数据包的检查内容一般不包括_。 A源地址
9、 B目的地址 C协议 D有效载荷 33NAT技术不能实现以下哪个功能? A对应用层协议进行代理 B隐藏内部地址 C增加私有组织的地址空间 D解决IP地址不足问题 34某单位想用防火墙对telnet协议的命令进行限制,应选在什么类型的防火墙? A包过滤技术 B应用代理技术 C状态检测技术 DNAT技术 35以下哪一项不是IDS可以解决的问题? A弥补网络协议的弱点 B识别和报告对数据文件的改动 C统计分析系统中异常活动的模式 D提升系统监控能力 36从分析式上入侵检测技术可以分为: A基于标志检测技术、基于状态检测技术 B基于异常检测技术、基于流量检测技术 C基于误用检测技术、基于异常检测技术
10、D基于标志检测技术、基于误用检测技术 7 中电运行技术研究院 37一台需要与互联网通信的WEB服务器放在以下哪个位置最安全? A在DMZ区 B在内网中 C和防火墙在同一台计算机上 D在互联网防火墙外 38以下哪个入侵检测技术能检测到未知的攻击行为? A基于误用的检测技术 B基于异常的检测技术 C基于日志分析的技术 D基于漏洞机理研究的技术 39做渗透测试的第一步是: A信息收集 B漏洞分析与目标选定 C拒绝服务攻击 D尝试漏洞利用 40监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为: A穷举攻击 B字典攻击 C社会工程攻击 D重放攻击 41下面哪一项是社会工程? A
11、缓冲器溢出 BSQL注入攻击 C电话联系组织机构的接线员询问用户名和口令 D利用PK/CA构建可信网络 42“TCPSYNFlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的_。 A保密性 B完整性 C真实性 D可用性 43通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为: A账户信息收集 B密码分析 C密码嗅探 D密码暴力破解 8 中电运行技术研究院 44下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助? A设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定 B更改系统内宣管理员的用户名 C给管理员账户一个安全的口
12、令 D使用屏幕保护并设置返回时需要提供口令 45关闭系统中不需要的服务主要目的是: A避免由于服务自身的不稳定影响系统的安全 B避免攻击者利用服务实现非法操作从而危害系统安全 C避免服务由于自动运行消耗大量系统资源从而影响效率 D以上都是 46某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身 份登录进系统进行了相应的破坏,验证此事应查看: A系统日志 B应用程序日志 C安全日志 DIIS日志 47U盘病毒的传播是借助Windows系统的什么功能实现的? A自动播放 B自动补丁更新 C服务自启动 D系统开发漏洞 48保护数据安全包括保密性、完整性和可用性,对于数据的可用
13、性解决方法最有效的是: A加密 B备份 C安全删除 D以上都是 49在Windows系统中,管理权限最高的组是: Aeveryone Badministrators Cpowerusers Dusers 50Windows系统下,可通过运行_命令打开Windows管理控制台。 Aregedit Bcmd Cmmc Dmfc 9 中电运行技术研究院 51在Windows文件系统中,_支持文件加密。 AFAT16 BNTFS CFAT32 DEXT3 52在window系统中用于显示本机各网络端口详细情况的命令是: Anetshow Bnetstat Cipconfig Dnetview 53视窗
14、操作系统(Windows)从哪个版本开始引入安全中心的概念? AWinNTSP6 BWin2000SP4 CWinXPSP2 DWin2003SP1 54在WindowsXP中用事件查看器查看日志文件,可看到的日志包括? A用户访问日志、安全性日志、系统日志和IE日志 B应用程序日志、安全性日志、系统日志和IE日志 C网络攻击日志、安全性日志、记账日志和IE日志 D网络链接日志、安全性日志、服务日志和IE日志 55关于数据库注入攻击的说法错误的是: A它的主要原因是程序对用户的输入缺乏过滤 B一般情况下防火培对它无法防范 C对它进行防范时要关注操作系统的版本和安全补丁 D注入成功后可以获取部分
15、权限 56专门负责数据库管理和维护的计算机软件系统称为: ASQLMS BINFERENCECONTROL CDBMS DTRIGGERMS 57下列哪一项与数据库的安全直接相关? A访问控制的粒度 B数据库的大小 C关系表中属性的数量 D关系表中元组的数量 10 中电运行技术研究院 58信息安全风险的三要素是指: A资产/威胁/脆弱性 B资产/使命/威胁 C使命/威胁/脆弱性 D威胁/脆弱性/使命 59以下哪一项是已经被确认了的具有一定合理性的风险? A总风险 B最小化风险 C可接受风险 D残余风险 60统计数据指出,对大多数计算机系统来说,最大的威胁是: A本单位的雇员 B黑客和商业间谍
16、C未受培训的系统用户 D技术产品和服务供应商 61某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A部门经理 B高级管理层 C信息资产所有者 D最终用户 62风险评估方法的选定在PDCA循环中的哪个阶段完成? A实施和运行 B保持和改进 C建立 D监视和评审 63下列安全协议中,_可用于安全电子邮件加密。 APGP BSET CSSL DTLS 64HTTPS采用_协议实现安全网站访问。 ASSL BIPSec CPGP DSET 11 中电运行技术研究院 65信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,信息系统安全保护等级分为: A3
17、级 B4级 C5级 D6级 66以下关于“最小特权“安全管理原则理解正确的是: A组机构内的敏感岗位不能由一个人长期负责 B对重要的工作进行分解,分配给不同人员完成 C一个人有且仅有其执行岗位所足够的许可和权限 D防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 67_是目前国际通行的信息技术产品安全性评估标准? ATCSEC BITSEC CCC DIATF 68下面哪个不是ISO27000系列包含的标准? A信息安全管理体系要求 B信息安全风险管理 C信息安全度量 D信息安全评估规范 69信息安全管理的根本方法是: A风险处置 B应急响应 C风险管理 D风险评估 70以下对信息安全管
18、理体系说法不正确的是: A基于国际标准ISO/IEC27000 B它是综合信息安全管理和技术手段,保障组织信息安全的一种方法 C它是管理体系家族的一个成员 D基于国际标准ISO/IEC27001 71以下对PDCA循环解释不正确的是: AP(Process):处理 BD(Do):实施 CC(Check):检查 DA(Action):行动 12 中电运行技术研究院 72以下对PDCA循环特点描述不正确的是 A按顺序进行,周而复始,不断循环 B组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题 C每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
19、 D可以由任何一个阶段开始,周而复始,不断循环 73风险是需要保护的()发生损失的可能性,它是()和()综合结果。 A资产,攻击目标,威胁事件 B设备,威胁,漏洞 C资产,威胁,漏洞 D以上都不对 74风险管理中使用的控制措施,不包括以下哪种类型? A防性控制措施 B管理性控制措施 C检查性控制措施 D纠正性控制措施 75风险管理中的控制措施不包括以下哪一方面? A行政 B道德 C技术 D管理 76风险评估不包括以下哪个活动? A中断引入风险的活动 B识别资产 C识别威胁 D分析风险 77,在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括: A资产及其价值、威胁、脆弱性、现有的和计
20、划的控制措施 B资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C完整性、可用性、机密性、不可抵赖性 D减低风险、转嫁风险、规避风险、接受风险 78以下哪一项不是信息安全风险分析过程中所要完成的工作: A识别用户 B识别脆弱性 C评估资产价值 D计算安全事件发生的可能性 13 中电运行技术研究院 79机构应该把信息系统安全看作: A业务中心 B风险中心 C业务促进因素 D业务抑制因素 80应对信息安全风险的主要目标是什么? A消除可能会影响公司的每一种威胁 8管理风险,以使由风险产生的问题降至最低限度 C尽量多实施安全措施以消除资产暴露在其下的每一种风险 D尽量忽略风险,不使成本过高
21、 81以下关于ISO/lEC27001所应用的过程方法主要特点说法错误的是: A理解组织的信息安全要求和建立信息安全方针与目标的需要 B从组织整体业务风险的角度管理组织的信息安全风险 C监视和评审ISMS的执行情况和有效性 D基于主观测量的持续改进 82在检查岗位职责时什么是最重要的评估标准? A工作职能中所有要傲的工作和需要的培训都有详细的定义 B职责清晰,每个人都清楚自己在组织中的角色 C强制休假和岗位轮换被执行 D绩效得到监控和提升是基于清晰定义的目标 83在信息安全管理中进行_,可以有效解决人员安全意识薄弱问题。 A内容监控 B安全教育和培训 C责任追查和惩处 D访问控制 84以下哪一
22、项最能体现27002管理控制措施中预防控制措施的目的? A减少威胁的可能性 B保护企业的弱点区域 C减少灾难发生的可能性 D防御风险的发生并降低其影响 85关于外包的论述不正确的是: A企业经营管理中的诸多操作或服务都可以外包 B通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任 C虽然业务可以外包,但是对于外包业务的可能的不良后果,企业仍然承担责任 D过多的外包业务可能产生额外的操作风险或其他隐患 14 中电运行技术研究院 86信息化建设和信息安全建设的关系应当是: A信息化建设的结束就是信息安全建设的开始 B信息化建设和信息安全建设应同步规划
23、、同步实施 C信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D以上说法都正确 87关于SSECMM的描述错误的是: A1993年4月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSECMM项目组 BSSECMM的能力级别分为6个级别 CSSECMM将安全工程过程划分为三类:风险、工程和保证 DSSE的最高能力级别是量化控制 88以下对SSECMM描述正确的是: A它是指信息安全工程能力成熟模型 B它是指系统安全工程能力成熟模型 C它是指系统安全技术能力成熟模型 D它是指信息安全技术能力成熟模型 89根据SSECMM信息安全工程过程可以划分为三个阶段,
24、其中_确立安全解决方案的置信度并且把这样的置信度传递给顾客。 A保证过程 B风险过程 C工程和保证过程 D安全工程过程 90下面对于SSECMM保证过程的说法错误的是: A保证是指安全需求得到满足的可信任程度 B信任程度来自于对安全工程过程结果质量的判断 C自验证与证实安全的主要手段包括观察、论证、分析和测试 DPA“建立保证论据”为PA“验证与证实安全”提供了证据支持 91下面哪一项为系统安全工程能力成熟度模型提供评估方法: AISSE BSSAM CSSR DCEM 92在SSECMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是: A能力级别公共特征(CF)通用实践(GP) B能
25、力级别通用实践(GP)公共特征(CF) C通用实践(GP)能力级别公共特征(CF) D公共特征(CF)能力级别通用实践(CP) 15 中电运行技术研究院 93一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规 范的定义? A2级计划和跟踪 B3级充分定义 C4级量化控制 D5级持续改进 94根据SSECMM,安全工程过程能力由低到高划分为: A未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别 B基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别 C基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别 D未实施、基本实施、计划跟踪、充分定义
26、4个级别 95下列哪项不是SSECMM模型中工程过程的过程区域? A明确安全需求 B评估影响 C提供安全输入 D协调安全 96SSECMM工程过程区域中的风险过程包含哪些过程区域: A评估威胁、评估脆弱性、评估影响 B评估威胁、评估脆弱性、评估安全风险 C评估威胁、评估脆弱性、评估影响、评估安全风险 D评估威胁、评估脆弱性、评估影响、验证和证实安全 97系统安全工程不包含以下哪个过程类: A工程过程类 B组织过程类 C管理过程类 D项目过程类 98ISSE(信息系统安全工程)是美国发布的IATF30版本中提出的设计和实施信息系统_。 A安全工程方法 B安全工程框架 C安全工程体系结构 D安全工
27、程标准 99IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素: A操作系统的安全加固 B输入数据的校验 C数据处理过程控制 D输出数据的验证 16 中电运行技术研究院 100触犯新刑法285条规定的非法入侵计算机系统罪可判处_。 A假冒源地址或用户的地址的欺骗攻击 B抵赖做过信息的递交行为 C数据传输中被窃听获取 D数据传输中被篡改或破坏 101以下关于信息安全保障说法中哪一项不正确? A信息安全保障是为了支撑业务高效
28、稳定的运行 B以安全促发展,在发展中求安全 C信息安全保障不是持续性开展的活动 D信息安全保障的实现,需要将信息安全技术与管理相结合 102信息安全保障是一种立体保障,在运行时的安全工作不包括: A安全评估 B产品选购 C备份与灾难恢复 D监控 103以下对信息安全风险管理理解最准确的说法是: A了解风险 B转移风险 C了解风险并控制风险 D了解风险并转移风险 104以下关于ISO/IEC27001标准说法不正确的是: A本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部署的信息安全控制是好的还是坏的做出评判。 B本标准采用一种过程方法来建立、实施、运行、监视、评
29、审、保持和改进一个组织的ISMS。 C目前国际标准化组织推出的四个管理体系标准:质量管理体系、职业健康安全管理体系、环境管理体系、信息安全管理体系、都采用了相同的方法,即PDCA模型。 D本标准注重监视和评审,因为监视和评审时持续改进的基础。如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”。 105下列哪些描述同SSL相关? A公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性 B公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据 C私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥 D私钥使用户可以创建数字签名、加密数据和解密会话密钥 106Wind
30、ows操作系统的注册表运行命令是: ARegsvr32 BRegedit CRegeditmsc DRegeditmmc 17 中电运行技术研究院 107在linux系统中拥有最高级别权限的用户是: Aroot Badministrator Cmail Dnobody 108下列哪个是蠕虫的特性? A不感染、依附性 B不感染、独立性 C可感染、依附性 D可感染、独立性 109下列哪种恶意代码不具备“不感染、依附性”的特点? A后门 B陷门 C木马 D蠕虫 110路由器在两个网段之间转发数据包时,读取其中的()地址来确定下一跳的转发路径。 AIP BMAC C源 DARP 111某单位通过防火墙
31、进行互联网接入,外网口地址为20210111,内网口地址为19216811,这种情况下防火墙工作模式为: A透明模式 B路由模式 C代理模式 D以上都不对 112以下哪个是防火墙可以实现的效果? A有效解决对合法服务的攻击 B有效解决来自内部的攻击行为 C有效解决来自互联网对内网的攻击行为 D有效解决针对应用层的攻击 113某单位采购主机入侵检测,用户提出了相关的要求,其中哪条是主机入侵检测无法实现的? A精确地判断攻击行为是否成功 B监控主机上特定用户活动、系统运行情况 C监测到针对其他服务器的攻击行为 D监测主机上的日志信息 18 中电运行技术研究院 114某单位采购主机入侵检测,用户提出
32、了相关的要求,其中哪条要求是错误的? A实时分析网络数据,检测网络系统的非法行为 B不占用其他计算机系统的任何资源 C不会增加网络中主机的负担 D可以检测加密通道中传输的数据 115某单位将对外提供服务的服务器部署在防火墙DMZ区,为了检测到该区域中的服务器受到的攻击行为,应将防火墙探头接口镜像那个位置的流量? A内网核心交换机 B防火墙互联网接口 C防火墙DMZ区接口 D以上都可以 116按照SSECMM,能力级别第三级是指: A定量控制 B计划和跟踪 C持续改进 D充分定义 117下列哪项不是SSECMM中规定的系统安全工程过程类: A工程 B组织 C项目 D资产 118信息系统安全工程(
33、ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: A明确业务对信息安全的要求 B识别来自法律法规的安全要求 C论证安全要求是否正确完整 D通过测试证明系统的功能和性能可以满足安全要求 119以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? A应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑 B应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品 C应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并
34、切实落实 D应详细规定系统验收测试中有关系统安全性测试的内容 120在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A防止出现数据范围以外的值 B防止出现错误的数据处理顺序 C防止缓冲区溢出攻击 19 中电运行技术研究院 D防止代码注入攻击 121现阶段,信息安全发展处于哪一个阶段? A通信安全 B计算机发展阶段 C信息安全 D信息安全保障 122下面哪一项组成了CIA三元组? A保密性,完整性,保障 B保密性,完整性,可用性 C保密性,综合性,保障 D保密性,综合性,可用性 123涉及国家秘密的计算机系统,不得直接或间
35、接地与国际互联网或其它公共信息网络相连接,必须进行: A物理隔离。 B逻辑隔离 C人员隔离 D设备隔离 124以下关于国家秘密和商业秘密的说法不正确的是: A两者法律性质不同。国家秘密体现公权利,其权利主体是国家,而商业秘密体现私权利,其权利主体是技术、经营信息的发明人或其他合法所有人、使用人: B两者确定程序不同。国家秘密必须依照法定程序确定,而商业秘密的确定视权利人的意志而定。 C国家秘密不能自由转让,而商业秘密则可以进入市场自由转让。 D国家秘密与商业秘密在任何条件下不可以相互转化。 125加密与解密便用相同的密钥,这种加密算法是 A对称加密算法 B非对称加密算法 C散列算法 DRSA
36、126对VPN技术的主要作用描述最准确的是: A利用VPN设备建设自有传输网络,与其他网络物理隔离,实现安全的通信。 B通讨对传输数据进行完整性校验,确保所有传输的数据不会受到破坏。 C在共享的互联网上模拟“专用”广域网,最终以极低的费用为远程用户停工能和专用网络相媲美的保密通信服务。 D利用VPN实现对所有接入用户的身份进行验证,有效的避免了非法接入。 127在IPSEC协议族中,以下哪个协议必须提供验证服务? AAN 20 中电运行技术研究院 BESP CGRE D以上都是 128下列哪些协议的数据可以受到IPSEC的保护? ATCP,UDP,IP BARP C_RARP D以上都可以 1
37、29下列隧道协议中工作在网络层的是: ASSI BL2TP GIPSec DPPTP 130下列关于防火墙的主要功能包括: A访问控制 B内容控制 C数据加密 D查杀病毒 131依据数据包的基本标记来控制数据包的防火墙技术是 A包过滤技术 B应用代理技术 C状态检侧技术 D有效载荷 132分组过滤型防火墙通常基于以下哪个层次进行工作? A物理层 B数据链路层 C网络层 D应用层 133操作系统安全的基础是建立在: A安全安装 B安全配置 C安全管理 D以上都对 134下面哪一项通常用于加密电子邮件消息? AS/MIME BBIND CDES 21 中电运行技术研究院 DSSL 135下列哪一项
38、可以用于查看网络流量并确定网络上所运行的服务? ASniffer BIDS C防火墙 D路由器 136在windows操作系统中,欲限制用户无效登录的次数,应当在怎么做? A在“本地安全设置”中对“密码策略”进行设置 B在“本地安全设置”中对“账户锁定策略”进行设置 C在“本地安全设置”中对“审核策略”进行设置 D在“本地安全设置”中对“用户权利指派,进行设置 137在电子邮件地址backepitarcnasagov中,域名部分是: Abacke, Bpitarcnasagov, Cbackepitarcnasagov, D(A)和(B) 138下列哪个是病毒的特性? A不感染、依附性 B不感
39、染、独立性 C可感染、依附性 D可感染、独立性 139病毒通过网页进行传播的原因在于: A浏览器缺乏足够的安全设置或存在安全漏洞 B网页病毒在远端服务器上,本地杀毒软件无法查杀 C病毒隐藏在网页正常的内容中,可以躲过防病毒网关的拦截 D以上都是 140切断病毒传播途径是抑制病毒传播的主要思路,以下哪个技术能有效的解决基于系统漏洞进行传播的病毒: A安装系统补丁 B使用安全的浏览器 C使用安全的口令 D以上都是 141.黑客进行攻击的最后一个步骤是: A侦查与信息收集 B漏洞分析与目标选定 C获取系统权限 D打扫战场、清除证据 22 中电运行技术研究院 142通常在网站数据库中,用户信息中的密码
40、一项,是以哪种形式存在? A明文形式存在 B服务器加密后的密文形式存在 Chash运算后的消息摘要值存在 D用户自己加密后的密文形式存在 143通过网页上的钓鱼攻击来获取密码的方式,实质上是一种: A社会工程学攻击 B密码分析学 C旁路攻击 D暴力破解攻击 143以下对于拒绝服务攻击描述错误的是: A通过盗取管理员账号使得管理员无法正常登录服务器 B通过发送大量数据包导致目标网络带宽拥塞,正常请求无法通过 C通过发送大量连接请求导致操作系统或应用的资源耗尽,无法响应用户的正常请求 D通过发送错误的协议数据包引发系统处理错误导致系统崩溃 144以下哪个不是导致ARP欺骗的根源之一? AARP协议
41、是一个无状态的协议 B为提高效率,ARP信息在系统中会缓a CARP缓存是动态的,可被改写 DARP协议是用于寻址的一个重要协议 145网络工具nessus是: AIP探测工具 B木马程序 C扫描工具 D邮件炸弹工具 146默认情况下,IE浏览器把互联网的网站归属于: AInternet B本地Intranet C受信任的站点 D受限制的站点 147以下哪一项是应对阻止缓冲区溢出的有效方法? A关闭操作系统特殊程序 B检查缓冲区是否足够大 C拔掉网线 D在往缓冲区中填充数据时必须进行边界检查 148哪个TCP/IP指令会得出下面结果? 23 中电运行技术研究院 Interface:199I02
42、30152 InternetAddressPhysicalAddresslype 14910230152AOee0056Oeacdynamic AARP BNetstat CTracert DNbtstat 150以下哪一项不是信息安全风险昔理工作的内容? A建立背景 B风险评估 C风险处理 D应急响应 151以下哪一项是信息安全风险管理四个阶段均贯穿的过程? A监控审查和沟通咨询 B监控审查和风险评估 C风险评估和沟通咨询 D风险评估和监控审查 152ISO27002的内容结构按照一进行组织。 A管理制度 B管理原则 C管理框架 D管理类控制目标控制措施 153以下哪一项是信息安全建设必须遵
43、循的基本原则: A同步规划、同步实施 B先建设、后安全 C先发展、后安全 D先业务,后安全 154下列哪项不是信息系统安全工程能力成熟度模型(SSECMM)的主要过程: A风险过程 B保证过程 C工程过程 D评估过程 155某商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案? A安部公共德患网络安全监察局及其各地相应部门 B国家计算机网络与信息安全管理中心 C互联网安全协会 24 中电运行技术研究院 156关于信息安全保障,下列说法正确的是: A、信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、完整性、可用性提供保护,从而给信息系统所
44、有者以信心 B、信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的能力和决心非常重要 C、信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行 D、以上说法都正确 157.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A、为了更好地完成组织机构的使命 B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到革命性的发展 D、除了保密性,信息的完整性和可用性也引起了人们的关注 158关于信息安全发展的几个阶段,下列说法中错误的是: A、信息安全的发展,是伴随着信息技术的发展,为应对其面临不同的威胁而发展起来的 B、通信安全
45、阶段中,最重要的是通过密码技术保证所传递信息的保密性完整性和可用性 C、信息安全阶段,综合了通信安全阶段和计算机安全阶段的需求 D、信息安全保障阶段,最重要的目标是保障组织机构使命(业务)的正常运行 159照技术能力、所拥有的资源和破坏力来排列,下列威胁中哪种威胁最大? A、个人黑客 B、网络阳罪团伙 C、网络战士 D、商业间谍 160信息系统安全主要从那几个方面进行评估? A、1个(技术) B、2个(技术、管理) C、3个(技术、管理、工程) D、4个(技术、管理、工程、应用) 161PPOR模型不包括: A、策略 B、检测 C、响应 D、加密 162据信息系统安全保障评估框架,确定安全保障
46、需求考虑的因素不包括下面哪一方面? A、法规政策的要求 B、系统的价值 C、系统要对抗的威胁 D、系统的技术构成 25 中电运行技术研究院 163依据国家标准GB/T20274信息系统安全保障评估框架在信息系统安全目标中,评估对象包括哪些内容? A、信息系统管理体系、技术体系、业务体系 B、信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程 C、信息系统安全管理、信息系统安全技术和信息系统安全工程 D、信息系统组织机构、管理制度、资产 164关于信息安全保障管理体系建设所需要重点考虑的因素,下列说法错误的是: A、国家、上级机关的相关政策法规要求 B、组织的业务使命 C、信息系统面临的风险 D、项目的经费预算 165在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于。 A、明文 B、密文 C、密钥 D、信道 166公钥密码的应用不包括: A、
