CISP官方信息安全保障章节练习一

1、如果接收机和发送机不在一个局域网，则数据要经过下面哪一个设备进行一次或多次转发（）A、路由器B、交换机C、集线器D、防火墙答案：A2、信息系统安全主要从几个方面进行评估？A、1个（技术）B、2个（技术、管理）C、3个（技术、管理、工程）D、4个（技术、管理、工程、应用）答案：C3、对称密码算法与非对称密码算法相比，具有的特点是（）A、加密密钥与解密秘钥不同B、加密速度快C、密钥管理简单D、可以用于数字签名答案：B4、在应急响应的六阶段方法的遏制阶段，若遇到异常，用户所做的工作应遵循的行为规范是（）A、应尽快关闭系统或断开网络B、应修改系统或应用软件达到抑制目的C、监控并记录可以的现象，直到处理该类安全事件的人员到达D、按照应急响应策略向系统所有者报告任何可疑的现象答案：C5、对信息安全保障的理解不正确的是（）A、信息安全保障应综合技术、管理和人B、购买性能良好的信息安全产品、培训高素质的信息安全技术人员就能保障信息系统的安全C、社会各方的积极参与是信息安全保障所必需的D、应该在信息系统生命周期的全过程都进行信息安全保障答案：B6、关于信息系统安全保障工程实施通用模型的说法，不正确的是（）A、系统生命周期包括5个阶段B、系统生命周期立项阶段的退出准则为信息系统的整体规划完成C、信息系统安全保障工程实施框架描述了信息系统安全工程应用于系统生命周期的具体工程实践流程D、信息系统安全工程由六个过程组成答案：B7、常见的网络信息系统不安全因素包括（）A、网络因素B、应用因素C、管理因素D、以上皆是答案：D8、SSL提供哪些协议上的数据安全：A、HTTP,FTP和TCP/IPB、SKIP,SNMP和IPC、UDP,VPN和SONETD、PPTP,DMI和RC4答案：A9、以下哪一项是伪装成有用程序的恶意软件？A、计算机病毒B、特洛伊木马C、逻辑炸弹D、蠕虫程序答案：B10、操作应用系统由于错误发生故障下列哪个控制是最没有用的？A、错误统计B、日志C、检查点控制D、回复记录答案：A11、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性以下哪一层提供了抗抵赖性？A、表示层B、应用层C、传输层D、数据链路层答案：B12、Intranet没有使用以下哪一项？A、Java编程语言B、TCP/IP协议C、公众网络D、电子邮件答案：C13、下列关于计算机病毒说法错误的是（）A、有些病毒仅能攻击某一种操作系统，如winD.owsB、病毒一般附着在其他应用程序之后C、每种病毒都会给用户造成严重后果D、有些病毒能损坏计算机硬件答案：C14、关于系统安全工程能力成熟模型（SSE-CMM）的说法，不正确的是（）A、对安全服务提供商来说，SSE-CMM中包含的很多安全过程实施元素有助于理解客户的安全需求B、SSE-CMM覆盖整个工程的生命周期、整个组织机构、并与其它规范并行的相互作用，以及其它机构发生相互作用C、SSE-CMM将安全工程划分三个基本的过程：风险、工程、保证D、SSE-CMM主要用于指导系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的、可度量的学科答案：A15、计算机病毒会对下列计算机服务造成威胁，除了：A、完整性B、有效性C、保密性D、可用性答案：C16、“可信计算基（TCB）”不包括：A、执行安全策略的所有硬件B、执行安全策略的软件C、执行安全策略的程序组件D、执行安全策略的人答案：D17、下面哪种方法产生的密码是最难记忆的？A、将用户的生日倒转或是重排B、将用户的年薪倒转或是重排C、将用户配偶的名字倒转或是重排D、用户随机给出的字母答案：D18、以下哪一项计算机安全程序的组成部分是其他组成部分的基础？A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划答案：A19、关于信息安全风险评估工作的一些说法，不正确的是（）A、按“严密组织、规范操作、讲究科学、注重实效”的原则展开B、应按照“谁主管谁负责。

CISP考试(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。

在《关于开展信息安全 风险评估工作的意见》（国信办[2006]5 号）中，指出了风险评估分为自评估和检 查评估两种形式，并对两种工作形式提出了有关工作原则和要求。

下面选项中描述 错误的是？A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个， 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行，而渗透测试是一种完全的手动过程D)是通过商业工具执行，而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，但是该网 络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。

为解决公司员 工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当任意一台个人计算机 开机并连接网络时，管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。

他关机时，管理中心将该地为收回，并重新设置为未分配。

可见，只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址，那么，每台个人计算机 可以获取一个 IP 地址，并实现与互联网的连接。

CISP信息安全管理章节练习一一、单选题。

(共100题,共100分,每题1分)1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。

a、监控和反馈ISMSb、批准和监督ISMSc、监视和评审ISMSd、沟通和资询ISMS最佳答案是:c2. 在对安全控制进行分析时，下面哪个描述是不准确的？a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的b、应确保选择对业务效率影响最小的安全措施c、选择好实施安全控制的时机和位置，提高安全控制的有效性d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应最佳答案是:b3. 以下哪一项不是信息安全管理工作必须遵循的原则？a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力最佳答案是:c4. 对信息安全风险评估要素理解正确的是：a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构b、应针对构成信息系统的每个资产做风险评价c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁最佳答案是:a5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容：a、出入的原因b、出入的时间c、出入口的位置d、是否成功进入最佳答案是:a6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：a、说明信息安全对组织的重要程度b、介绍需要符合的法律法规要求c、信息安全技术产品的选型范围d、信息安全管理责任的定义最佳答案是:c7. 作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？a、抱怨且无能为力b、向上级报告该情况，等待增派人手c、通过部署审计措施和定期审查来降低风险d、由于增加人力会造成新的人力成本，所以接受该风险最佳答案是:c8. 通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：a、可靠的产品是有保证的b、程序员的效率得到了提高c、安全需求得到了规划、设计d、预期的软件程序（或流程）得到了遵循最佳答案是:d9. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。

CISP 2012.111. 关于信息安全保障，下列说法正确的是：A. 信息安全保障是一个客观到主观的过程，即通过采取技术、管理等手段，对信息资源的保密性、完整性、可用性提供保护，从而给信息系统所有者以信心B. 信息安全保障的需求是由信息安全策略所决定的，是自上而下的一个过程，这个过程中，决策者的能力和决心非常重要C. 信息系统安全并不追求万无一失，而是要根据基金预算，做到量力而行D. 以上说法都正确2. 人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于：A. 为了更好地完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性，信息的完整性和可用性也引起了人们的关注3. 关于信息安全发展的几个阶段，下列说法中错误的是：A. 信息安全的发展是伴随着信息技术的发展，为应对其面临的不同威胁而发展起来的B. 通信安全阶段中，重要的是通过密码技术保证所传递信息的保密性、完整性和可用性C. 信息安全阶段，综合了通信安全阶段和计算机安全阶段的需求D. 信息安全保障阶段，最重要的目标是保障组织机构使命（任务）的正常进行4. 按照技术能力、所拥有的资源和破坏力来排列，下列威胁中哪种威胁最大？A. 个人黑客B. 网络犯罪团伙C. 网络战士D. 商业间谍5. 信息系统安全主要从哪几个方面进行评估？A. 1个（技术）B. 2个（技术、管理）C. 3个（技术、管理、工程）D. 4个（技术、管理、工程、应用）6. 完整性机制可以防范以下哪种攻击？A. 假冒源地址或用户的地址的欺骗攻击B. 抵赖做过信息的递交行为C. 数据传输中被窃听获取D. 数据传输中被篡改或破坏没拍到7的问题，缺。

A. 策略B. 检测C. 响应D. 加密8. 依据信息系统安全保障评估框架，确定安全保障需求考虑的因素不包括下列哪一方面？A. 法规政策的需求B. 系统的价值C. 系统需对抗的威胁D. 系统的技术构成9. 依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息系统安全目标中，评估对象包括哪些内容？A. 信息系统管理体系、技术体系、业务体系B. 信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程C. 信息系统安全管理、信息系统安全技术和信息系统安全工程D. 信息系统组织机构、管理制度、资产10．关于信息安全保障管理体系建设所需要重点考虑的因素，下列说法错误的是：A. 国家、上级机关的相关政策法规需求B. 组织的业务使命C. 信息系统面临的风险D. 项目的经费预算11. 在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________。

CISP信息安全技术章节练习一一、单选题。

(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件，以对抗病毒的威胁d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能最佳答案是:b2. 对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明，哪个是错误的：a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示，主体S对客体01有读（R）权限，对客体O2有读（R）、写（W）、拥有（Own）权限。

该图所表示的访问控制实现方法是：a、访问控制表（ACL)b、访问控制矩阵c、能力表（CL）d、前缀表（Profiles）最佳答案是:c5. 关于数据库恢复技术，下列说法不正确的是：a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上，利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager）的说法哪个是正确的：a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性最佳答案是:d7. 以下关于安全套接层（Security Sockets Layer，SSL)说法错误的是：a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符（Uniform Resource Locator,URL)出现https时，说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8. 以下哪一项不是常见威胁对应的消减措施：a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将暂时禁止登录该账户，请问以上安全设计遵循的是哪项安全设计原则：a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施：a、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping）b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。

1•根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。

模拟该流程。

文档《风险分析报告》应属于哪个阶段的输出成果（）。

A风险评估B风险处理C批准监督D监控审查2.<p>某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估&dquo;准备&rdquo;阶段输出的文档。

</p>A《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容C《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3•规范的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，vspan style="line-height: 20.8px;"> 按照规范v/span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A《风险评估方案》B《重要保护的资产清单》C《风险计算报告》D《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数(ErpomireFactor,EF )是x，年度发生率(Annualixed Rato ofOccurrence,ARO )为0.1，而小王计算的年度预期损失(Annualixed Loss Rrpectancy,ALE )值为5万元人民币。

由此x值应该是 ()5.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是() A定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D定性风险分析更具有主观性，而定量风险分析更具客观性6•某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP 服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）A风险降低B风险规避C风险转移D风险接受7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）A残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险B残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标9•某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C：信息资产所有者D：最终用户10.以下对信息安全风险管理理解最准确的说法是：A: 了解风险B:转移风险C: 了解风险并控制风险D: 了解风险并转移风险11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：A：资产及其价值、威胁、脆弱性、现有的和计划的控制措施B：资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作：A：识别用户B：识别脆弱性C：评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2 ;其中资产A1面临两个主要威胁：威胁T1和威胁T2;而资产A2面临一个主要威胁：威胁T3;威胁T1 可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2 :威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3 可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值（）B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15•《信息安全技术信息安全风险评估规范GB /T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：A:规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

1. 人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：AA. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：CA. 对抗级B. 防护级C. 能力级D. 监管级3. 下面对信息安全特征和范畴的说法错误的是：CA. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：BA. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5. 关于信息安全策略的说法中，下面说法正确的是：CA. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络？？？C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：CA. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

1.下面关于信息安全保障的说法错误的是：A。

信息安全保障的概念是与信息安全的概念同时产生的B。

信息系统安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性.以下哪一项是数据完整性得到保护的例子？A。

某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B。

在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C。

某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D。

李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A。

通信安全B。

计算机安全C.信息安全D。

信息安全保障以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A.提高信息技术产品的国产化率B。

保证信息安全资金注入C.加快信息安全人才培养D。

重视信息安全应急处理工作以下关于置换密码的说法正确的是：A。

明文根据密钥被不同的密文字母代替B.明文字母不变,仅仅是位置根据密钥发生改变C。

明文和密钥的每个bit异或D。

明文根据密钥作了移位以下关于代替密码的说法正确的是：A。

明文根据密钥被不同的密文字母代替B。

明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D。

明文根据密钥作了移位7常见密码系统包含的元素是：A。

明文、密文、信道、加密算法、解密算法B。

明文、摘要、信道、加密算法、解密算C。

明文、密文、密钥、加密算法、解密算法D。

消息、密文、信道、加密算法、解密算法8在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________A.明文B.密文C.密钥D。

1.依据有关标准，信息安全风险管理能够分为背景成立、风险评估，风险办理，赞同监察、监控审察和交流咨询等阶段。

模拟该流程。

文档《风险剖析报告》应属于哪个阶段的输出成就（）。

A风险评估B风险办理C赞同监察D监控审察2.<p> 某单位在实行信息安全风险评估后，形成了若干文档，下边（）中的文档不该属于风险评估 &ldquo; 准备 &rdquo; 阶段输出的文档。

</p>A《风险评估工作计划》，主要包含本次风险评估的目的、意义、范围、目标、组织构造、角色进度安排等内容B《风险评估方法和工具列表》，主要包含拟用的风险评估方法和测试评估工具等内容C《已有安全举措列表》，主要包含经检查确认后的已有技术和管理各方面安全举措等内容D《风险评估准则要求》，主要包含风险评估参照标准、采纳的风险剖析方法、风险计算方法、分类准则等内容3.规范的实行流程和文档管理，是信息安全风险评估结果获得成就的重要基础，<span style="line-height: 20.8px;">依照规范</span>的风险评估实行流程，下边哪个文档应当是风险峻素辨别阶段的输出成就（）A《风险评估方案》B《重要保护的财富清单》C《风险计算报告》D《风险程度等级列表》4.定量风险剖析是从财务数字上对安全风险进行评估，得出能够量化的风险剖析结果，正确胸怀风险的可能性和损失量，小王采纳该方法来为单位机房计算火灾的风险大小，假定单位机房的总价值为 200 万元人民币，裸露系数（ ErpomireFactor,EF ）是 x，年度发生率（AnnuaIixed Rato of Occurrence,ARO）为 0.1 ，而小王计算的年度预期损失（AnnuaIixed Loss Rrpectancy,ALE）值为5 万元人民币。

由此x 值应当是（）5. 不一样的信息安全风险评估方法可能获取不一样的风险评估结果，所以组织机构应当依据各自的实质状况，选择适合的风险评估方法，下边的描绘中，错误的选项是（） A 定量风险剖析是用从财务数字上对安全风险进行评估，得出能够量化的风险剖析结果，以胸怀风险的可能性和损失量B 定量风险剖析对比定性风险剖析能获取正确的数值，所以在实质工作中应使用定量风险剖析，而不该选择定性风险剖析C 定性风险剖析过程中，常常需要依靠剖析者的经验直接进行，所以剖析结果微风险评估团队的素质、经验和知识技术亲密有关D定性风险剖析更拥有主观性，而定量风险剖析更具客观性6. 某单位在一次信息安全风险管理活动中，风险评估报告提出服务器 A 的 PTP 服务存在高风险的破绽，随后该单位在风险办理时选择了封闭PTP服务的办理措施，请问该举措属于哪一种风险办理方式（）A 风险降低B 风险躲避C 风险转移D 风险接受7.剩余风险是风险管理中的一个重要看法，在信息安全风险管理中，对于剩余风险描绘错误的选项是（）A 剩余风险是采纳了安全举措后，仍旧可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险B 剩余风险应遇到亲密监理，它会跟着时间的推移而发生变化，可能会在未来引发新的安全事件C 实行风险办理时，应将剩余风险清单见告信息系统所在组织的高管，使其认识剩余风险的存在和可能造成的结果D 信息安全风险办理的主要准则是尽可能降低和控制信息安全风险，以最小的剩余风险值作为风险管理成效评估指标9.某公司正在进行信息安全风险评估，在决定信息财富的分类与分级时，谁负有最后责任？A:部门经理B:高级管理层C:信息财富全部者D:最后用户10.以下对信息安全风险管理理解最正确的说法是：A:认识风险B:转移风险C:认识风险并控制风险D:认识风险并转移风险11.在信息安全风险管理工作中，辨别风险时主要要点考虑的因素应包含：A:财富及其价值、威迫、柔弱性、现有的和计划的控制举措B:财富及其价值、系统的破绽、柔弱性、现有的和计划的控制举措C:完好性、可用性、机密性、不行狡辩性D:以上都不正确12.以下哪一项不是信息安全风险剖析过程中所要达成的工作：A:辨别用户B:辨别柔弱性C:评估财富价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现目前事例中共有两个重要财富：财富 A1 和财富 A2；此中财富 A1 面对两个主要威迫：威迫 T1 和威迫 T2；而财富 A2 面对一个主要威迫：威迫 T3；威迫 T1能够利用的财富 A1 存在的两个柔弱性；柔弱性 V1 和柔弱性 V2：威迫 T2 能够利用财富 A1 存在的三个柔弱性，柔弱性 V3、柔弱性 V4 和柔弱性 V5; 威迫 T3 能够利用的财富 A2 存在的两个柔弱性，柔弱性 V6 和柔弱性 V7. 依据上述条件，请问：使用相乘法时，应当为财富 A1 计算几个风险值（）A2B3C5D614.A: 内部计算机办理B:系统输入输出C:通信和网络D:外面计算机办理15.《信息安全技术信息安全风险评估规范 GB／ T 20984-2007》中对于信息系统生命周期各阶段的风险评估描绘不正确的选项是：A:规划阶段风险评估的目的是辨别系统的业务战略，以支撑系统安全需求及安全战略等。

1。

以下对信息安全描述不正确的是A。

信息安全的基本要素包括保密性、完整性和可用性B。

信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C。

信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2。

以下对信息安全管理的描述错误的是A。

保密性、完整性、可用性B。

抗抵赖性、可追溯性C。

真实性私密性可靠性D。

增值性【答案】 D3。

以下对信息安全管理的描述错误的是A。

信息安全管理的核心就是风险管理B。

人们常说,三分技术，七分管理，可见管理对信息安全的重要性C。

安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】 D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B。

来自高级管理层的明确的支持和承诺C。

对企业员工提供必要的安全意识和技能的培训和教育D。

所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5。

信息安全管理体系（ISMS)是一个怎样的体系，以下描述不正确的是A。

ISMS是一个遵循PDCA模式的动态发展的体系B。

ISMS是一个文件化、系统化的体系C。

ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6。

PDCA特征的描述不正确的是A. 顺序进行，周而复始,发现问题，分析问题，然后是解决问题B。

大环套小环,安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结,巩固成绩，改进不足D。

信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7。

以下哪个不是信息安全项目的需求来源A。

国家和地方政府法律法规与合同的要求B。

CISP信息安全保障章节练习一一、单选题。

(共40题,共100分,每题2.5分)1. 我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：a、2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动b、2003年7月，国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》（中办发27号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针c、2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段d、在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展最佳答案是:c2. 以下哪一项不是我国信息安全保障工作的主要目标：a、保障和促进信息化发展b、维护企业与公民的合法权益c、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是:c3. 虚拟专用网（VPN）提供以下哪一种功能？a、对网络嗅探器隐藏信息b、强制实施安全政策c、检测到网络错误和用户对网络资源的滥用d、制定访问规则最佳答案是:a4. 为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求c、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案最佳答案是:d5. 我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是（）a、加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。

CISP信息安全工程章节练习一一、单选题。

(共33题,共100分,每题3.0303030303分)1. 如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：a、变更的流程是否符合预先的规定b、变更是否会对项目进度造成拖延c、变更的原因和造成的影响d、变更后是否进行了准确的记录最佳答案是:c2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？a、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑b、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品c、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实d、应详细规定系统验收测试中有关系统安全性测试的内容最佳答案是:a3. 在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：a、测试系统应使用不低于生产系统的访问控制措施b、为测试系统中的数据部署完善的备份与恢复措施c、在测试完成后立即清除测试系统中的所有敏感数据d、部署审计措施，记录生产数据的拷贝和使用最佳答案是:b4. 以下关于信息安全工程说法正确的是：a、信息化建设中系统功能的实现是最重要的b、信息化建设可以先实施系统，然后对系统进行安全加固c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设d、信息化建设没有必要涉及信息安全建设最佳答案是:c5. 信息安全工程监理模型不包括下面哪一项?a、监理咨询服务b、咨询监理支撑要素c、监理咨询阶段过程d、控制管理措施最佳答案是:a6. 信息安全工程监理工程师不需要做的工作是:_________。

a、编写验收测试方案b、审核验收测试方案c、监督验收测试过程d、审核验收测试报告最佳答案是:a7. 信息安全工程监理的作用不包括下面哪一项?a、弥补建设单位在技术与管理上的经验不足b、帮助承建单位攻克技术难点，顺利实施项目c、改善建设单位与承建单位之间的交流沟通d、通过监理控制积极促进项目保质按期完成最佳答案是:b8. 一家公司在实施一套新的C/S结构的企业资源管理（CRP）系统。

注册信息安全专业人员资质认证考试CISP练习题（一）1.某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？A．认证B．定级C．认可D．识别2.下列哪一项准确地描述了可信计算基（TCB）？A．TCB只作用于固件（Firmware）B．TCB描述了一个系统提供的安全级别C．TCB描述了一个系统内部的保护机制D．TCB通过安全标签来表示数据的敏感性3.下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经授权的访问以及破坏性的修改行为？A．安全核心B．可信计算基C．引用监视器D．安全域4.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？A．Biba模型中的不允许向上写B．Biba模型中的不允许向下读C．Bell-LaPadula模型中的不允许向下写D．Bell-LaPadula模型中的不允许向上读答案：D5.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？A．Bell-LaPadula模型中的不允许向下写B．Bell-LaPadula模型中的不允许向上读C．Biba模型中的不允许向上写D．Biba模型中的不允许向下读6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型7.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。

由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？A．自主访问控制（DAC）B．强制访问控制（MAC）C．基于角色访问控制（RBAC）D．最小特权（Least Privilege）8.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？A．强制访问控制（MAC）B．集中式访问控制（Decentralized Access Control）C．分布式访问控制（Distributed Access Control）D．自主访问控制（DAC）9.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？A．系统认证和完整性，完整性，真实性和完整性，机密性和完整性B．用户认证和完整性，完整性，真实性和完整性，机密性C．系统认证和完整性，完整性，真实性和完整性，机密性D．系统认证和完整性，完整性和机密性，真实性和完整性，机密性10.IPSec中包括AH（认证头）和ESP（封装安全载荷）这2个主要协议，其中AH提供下列哪些功能？A．机密性与认证B．机密性与可靠性C．完整性与可靠性D．完整性与认证11.关于对称加密算法和非对称加密算法，下列哪一种说法是正确的？A．对称加密算法更快，因为使用了替换密码和置换密码B．对称加密算法更慢，因为使用了替换密码和置换密码C．非对称加密算法的密钥分发比对称加密算法更困难D．非对称加密算法不能提供认证和不可否认性12.数字签名不能提供下列哪种功能？A．机密性B．完整性C．真实性D．不可否认性13.电子邮件的机密性与真实性是通过下列哪一项实现的？A．用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密B．用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密C．用接收者的私钥对消息进行签名，用发送者的公钥对消息进行加密D．用接收者的公钥对消息进行签名，用发送者的私钥对消息进行加密14.下列哪一项不属于公钥基础设施（PKI）的组件？A．CRLB．RAC．KDCD．CA15.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于那一种攻击？A．重放攻击B．Smurf攻击C．字典攻击D．中间人攻击16.一个典型的公钥基础设施（PKI）的处理流程是下列选项中的哪一个？（1）接收者解密并获取会话密钥（2）发送者请求接收者的公钥（3）公钥从公钥目录中被发送出去（4）发送者发送一个由接收者的公钥加密过的会话密钥A．4，3，2，1B．2，1，3，4C．2，3，4，1D．2，4，3，117.下列哪一项最好地描述了SSL连接机制？A．客户端创建一个会话密钥并用一个公钥来加密这个会话密钥B．客户端创建一个会话密钥并用一个私钥来加密这个会话密钥C．服务器创建一个会话密钥并用一个公钥来加密这个会话密钥D．服务器创建一个会话密钥并用一个私钥来加密这个会话密钥18.一名攻击者试图通过暴力攻击来获取下列哪一项信息？A．加密密钥B．加密算法C．公钥D．密文答案：A19.不同类型的加密算法使用不同类型的数学方法，数学方法越复杂，计算所需要的资源就越高。

1。

以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A。

保密性、完整性、可用性B。

抗抵赖性、可追溯性C.真实性私密性可靠性D。

增值性【答案】 D3。

以下对信息安全管理的描述错误的是A。

信息安全管理的核心就是风险管理B.人们常说,三分技术，七分管理，可见管理对信息安全的重要性C。

安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】 D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A。

不需要全体员工的参入,只要ＩＴ部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】 A5。

信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A。

ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D。

ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A。

顺序进行，周而复始，发现问题,分析问题，然后是解决问题B。

大环套小环，安全目标的达成都是分解成多个小目标,一层层地解决问题C。

阶梯式上升，每次循环都要进行总结，巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A。

CISP培训模拟考试（一）姓名：单位：1．以下哪个不是中国信息平安产品测评认证中心开展的4种测评认证业务之一？A．信息平安产品型式认证B．信息安全服务认证C．信息平安治理体系认证D．信息系统安全认证2．中国信息平安产品测评认证中心目前进行信息平安产品认证所采用的基础信息平安评估标准是哪个？A．GJB 2246 B．GB/T 18336－2021 C．GB/T 18018－1999 D．GB 17859-19993.下面哪个是国家推荐性标准？T 18020-1999 应用级防火墙平安技术要求T 30003-93 电子运算机机房施工及验收标准243-2000 运算机病毒防治产品评级准那么IEC 15408-1999 信息技术平安性评估准那么4.下面哪个不属于我国通行“标准化八字原理”之一？A.“统一”原理B.“简化”原理C.“和谐”原理D.“修订”原理5.标准采用中的“idt”指的是？A.等效采用B.等同采用C.修改采用D.非等效采用6.著名的TCSEC是由下面哪个组织制定的？D.美国国防部7.下面哪个不属于基于OSI七层协议的平安数系结构的5种效劳之一？A.数据完整性B.数据机密性C.公证D.抗抵赖IP协议的4层概念模型是？A.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层标准要紧包括哪几个部份？A.简介和一样模型、平安功能要求、平安保证要求、PP和ST产生指南；B.简介和一样模型、平安功能要求、平安保证要求C.通用评估方式、平安功能要求、平安保证要求D.简介和一样模型、平安要求、PP和ST产生指南包括下面哪个类型的内容？A.行政性治理平安方式B.物理平安方面（诸如电磁辐射操纵）C.密码算法固有质量评判D.由硬件、固件、和软件实现的信息技术平安方式11.下面对PP的说法中哪个不对？A.能够作为产品设计的有效方案B.能够作为一类产品或系统的平安技术要求C.表达一类产品或系统的用户需求D.组合了平安功能要求和平安保证要求中平安功能/保证要求的三层结构是（依照由大到小的顺序）？A.类、子类、元素B.组件、子类、元素C.类、子类、组件D.子类、组件、元素中的评估保证级（EAL）分为多少级？级级级级中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？A.对应TCSEC B1级，对应ITSEC E4级B.对应TCSEC C2级，对应ITSEC E4级C.对应TCSEC B1级，对应ITSEC E3级D.对应TCSEC C2级，对应ITSEC E3级中的平安需求不包括下面哪个？A.有关环境的假设B.对资产的要挟C.组织平安策略环境平安要求16．一样的防火墙不能实现以下哪项功能？A．隔离公司网络和不可信的网络B．防止病毒和特络依木马程序C．隔离内网D．提供对单点的监控17．一台需要与互联网通信的HTTP效劳器放在以下的哪个位置最平安？A．在DMZ区的内部B．在内网中C．和防火墙在同一台运算机上D．在互联网防火墙之外18．某种技术被用来转换对外真正IP地址与局域网络内部的虚拟IP地址，能够解决合法IP地址不足的问题，并隐藏内部的IP地址，珍惜内部网络的平安，这种技术是什么？A．地址过滤B．NAT C．反转D．认证19．某种防火墙的缺点是没有方式从超级细微的地址来分析数据包，但它的优势是超级快，这种防火墙是以下的哪一种？A．电路级网关B．应用级网关C．会话层防火墙D．包过滤防火墙20．以下防火墙中最慢而且运行在OSI模型高层的是哪个？A．电路级网关B．应用级网关C．会话层防火墙D．包过滤防火墙21．给运算机系统的资产分派的记号被称为何？A．平安属性B．安全特征C．安全标记D．安全级别22．ITSEC标准是不包括以下哪个方面的内容？A．功能要求B．通用框架要求C．保证要求D．特定系统的安全要求23．以下哪些模型能够用来珍惜分级信息的机密性？A．Biba模型和Bell－Lapadula模型B．Bell－Lapadula模型和信息流模型C．Bell－Lapadula模型和Clark－Wilson模型D．Clark－Wilson模型和信息流模型24．桔皮书要紧强调了信息的哪个属性？A．完整性B．机密性C．可用性D．有效性25．ITSEC的功能要求不包括以下哪个方面的内容？A．机密性B．完整性C．可用性D．有效性26．OSI中哪一层不提供机密性效劳？A．表示层B．传输层C．网络层D．会话层27．在参考监控器的概念中，一个参考监控器不需要符合以下哪个设计要求？A．必需是防窜改的B．必须足够大C．必须足够小D．必须总在其中28．BLP模型基于两种规那么来保障数据的机秘度与灵敏度，它们是什么？A．下读，主体不可读平安级别高于它的数据；上写，主体不可写平安级别低于它的数据B．上读，主体不可读平安级别高于它的数据；下写，主体不可写平安级别低于它的数据C．上读，主体不可读平安级别低于它的数据；下写，主体不可写平安级别高于它的数据D．下读，主体不可读平安级别低于它的数据；上写，主体不可写平安级别高于它的数据29．历史上第一个运算机平安评判标准是什么？A．TCSEC30．BIBA模型基于两种规那么来保障数据的完整性的保密性，别离是：A．上读，主体不可读平安级别高于它的数据；下写，主体不可写平安级别低于它的数据B．下读，主体不可读平安级别高于它的数据；上写，主体不可写平安级别低于它的数据C．上读，主体不可读平安级别低于它的数据；下写，主体不可写平安级别高于它的数据D．下读，主体不可读平安级别低于它的数据；上写，主体不可写平安级别高于它的数据31．以下哪组全数是完整性模型？A．BLP模型和BIBA模型 B. BIBA模型和Clark－Wilson模型C．Chinese wall模型和BIBA模型 D. Clark－Wilson模型和Chinese wall模型32．以下哪个模型要紧用于医疗资料的珍惜？A．Chinese wall模型 B．BIBA模型C．Clark－Wilson模型D．BMA模型33．以下哪个模型要紧用于金融机构信息系统的珍惜？A．Chinese wall模型 B．BIBA模型C．Clark－Wilson模型D．BMA模型34．以下哪组全数都是多边平安模型？A．BLP模型和BIBA模型 B. BIBA模型和Clark－Wilson模型C．Chinese wall模型和BMA模型 D. Clark－Wilson模型和Chinese wall模型35．涉及运算机系统完整性的第一个平安模型是以下哪个？A．Chinese wall模型B．BIBA模型C．Clark－Wilson模型D．BMA模型36．应用软件的正确测试顺序是什么？A．集成测试、单元测试、系统测试、验收测试B．单元测试、系统测试、集成测试、验收测试C．验收测试、单元测试、集成测试、系统测试D．单元测试、集成测试、系统测试、验收测试37．有8个关系型数据库表格，每一个表格有两行、三列，假设是有20个用户对这8个表格进行只读访问，那么分派多少个平安授权即可保证表格级的平安需求？A．160 B．320 C．960 D．48038．以下哪个平安特点和机制是SQL数据库所特有的？A．标识和分辨B．交易管理（transaction management）C．审计D．故障承受机制39．SQL数据库利用以下哪一种组件来保留真实的数据？A．Schemas B．Subschemas C．Tables D．Views40．关系型数据库技术的特点由以下哪些元素确信的？A．行和列B．节点和分支C．分组和箭头D．父类和子类41．散布式关系型数据库与集中式的关系型数据库相较在以下哪个方面有缺点？A．自主性B．可靠性C．灵活性D．数据备份42．不属于数据库加密方式的是：A.库外加密B.库内加密C.硬件/软件加密D.专用加密中间件43．在数据库向因特网开放前，哪个步骤是能够忽略的？A.平安安装和配置操作系统和数据库系统B.应用系统应该在内网试运行3个月C.对应用软件如WEB页面、ASP脚本等进行平安性检查D.网络平安策略已经生效44．在实际应用中，下面那种方式的加密形式既平安又方便？A.选择性记录加密B.选择性字段加密C.数据表加密D.系统表加密45．以下哪一种方式能够用于对付数据库的统计推论？A．信息流操纵B．共享资源矩阵C．查询控制D．间接存取46．国际标准化组织ISO7498-2中描述的OSI平安数系结构有多少种平安效劳项目和多少种平安机制？A．5种，8种B．8种，5种C．6种，8种D．3种，6种47．数据库治理系统DBMS 要紧由哪两大部份组成？A.文件治理器和查询处置器B.事务处理器和存储管理器C.存储治理器和查询处置器D.文件管理器和存储管理器48．以下几种功能中，哪个是DBMS 的操纵功能？A.数据概念B.数据恢复C.数据修改D.数据查询49．从部署的位置看，入侵检测系统要紧分为？A．网络型、操纵型B．主机型、混合型C．网络型、主机型D．主机型、诱捕型50．典型的混合式入侵检测系统要紧由哪两个部件组成？A．入侵检测引擎、治理操纵台 B.分析器、入侵检测引擎C．分析器、治理操纵台 D. 分析器、主机操纵51．传统的观点依照入侵行为的属性，将入侵检测系统分为：A．异样、人工免疫 B.误用、遗传C．人工免疫、遗传 D.异样、误用52．一个通常的入侵检测系统由哪几部份组成？A．数据提取模块、数据分析模块、结果处置模块B．数据处置模块、数据分析模块、结果分析模块C．数据提取模块、数据处置模块、结果分析模块D．数据分析模块、数据处置模块、结果处置模块53．目前IDS最常常利用的模式匹配属于以下哪知入侵检测方式？A．异样 B.误用C．人工免疫 D.统计分析54．消息分辨码（MAC）是什么？A．数据校验值B．密码校验值C．数字签名D．循环冗余校验值55．数字签名和随机数挑战不能防范以下哪一种解决或歹意行为？A．假装欺骗B．重放攻击C．抵赖D．DOS攻击56．与RSA相较，数字签名标准（DSS）不能提供以下哪一种效劳？A．数字签名B．鉴别C．加密D．数据完整性57．在密码学中，对RSA算法的描述正确的选项是？A．RSA是秘密密钥算法和对称密钥算法B．RSA是非对称密钥算法和公钥算法C．RSA是秘密密钥算法和非对称密钥算法D．RSA是公钥算法和对称密钥算法58．以下哪一种密码算法是理论上证明不能破解的算法？A．DES B．OTP C．IDEA D．RC459．Kerberos利用以下哪一种对称密码算法？A．RSA B．DES C．IDEA D．DSS60．以下哪个是既能够进行加密又能够进行数字签名的密码算法？A．RSA B．DES C．IDEA D．DSA61．以下哪一种说法是正确的？A．RSA算法产生签名比DSA慢，验证签名也比DSA慢；B．RSA算法产生签名比DSA慢，但验证签名比DSA快；C．RSA算法产生签名比DSA快，验证签名也比DSA快；D．RSA算法产生签名比DSA快，但验证签名比DSA慢。

第01部分-信息安全保障【01-01】依据国家标准/T20274 《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:A)信息系统安全保障目的;B)环境安全保障目的:C)信息系统安全保障目的和环境安全保障目的D)信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的。

【01-02】以下哪一项是数据完整性得到保护的例子?A)某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作：B)在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作；C)某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作：D)李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。

【01-03】进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是：A)与国家安全;社会稳定和民生密切相关的关键基础设施是各国安全保障的重点；B)美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担:C)各国普遍重视信息安全事件的应急响应和处理;D)在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系。

【01-04]与PDR模型相比, P2DR模型多了哪一个环节?A)防护B)检测:c)反应D)策略。

【01-05】2008年1月2日,美目发布第54号总统令,建立国家网络安全综合计划(Comprehensive National Cyber security Initiative, CNCI) .CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵:第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境。