CISP考试重点题库100套

1、IATF由美国国家安全局？（NSA）发布，最初目的是为美国政府和工业的信息基础设施提供技术指南，其中，提出需要防护的三类“焦点区域”是： A、网络和基础设施、区域边界、重要服务器 B、网络和基础设施、区域边界、计算环境 C、网络机房环境、网络接口、计算环境 D、网络机房环境、网络接口、重要服务器 2、信息安全保障强调安全是动态的安全，意味着： A、信息安全是一个不确定性的概念 B、信息安全是一个主观的概念 C、信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性地进行调整 D、信息安全只能保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全 3、依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息安全保障评估中，评估信息系统在其运行环境中其安全保障控制对安全保障要求的符合性，是同 相关的内容. A、信息系统安全保障级 B、安全技术能力成熟度 C、信息系统安全轮廓（ISPP）和信息系统安全目标（ISST） D、安全技术能力成熟度、安全管理能力成熟度、安全工程能力成熟度 4、以下一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制，保证己登录的用户可以完成操作 B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余顺进行了冲正操作 C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清沽工的商业间谍无法查看 5、依据国家标准GB/T20274《信息系统安全保障评估框架》，安全环境指的是： A、组织机构内部相关的组织、业务、管理策略 B、所有的信息系统安全相关的运行环境，如已知的物理部署、自然条件、建筑物等 C、国家的法律法规、行业的政策、制度规范等 D、以上都是 6、进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是： A、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点。 B、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理功能由不同政府部门的多个机构共同承担 C、各国普遍重视信息安全事件的应急响应处理 D、在网络安全战略中，各国均强调加深政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系。 7、对PPDR模型的解释错误的是： A、该模型提出安全策略为核心，防护、检测和恢复组成一个完整的、动态的循环 B、该模型的一个重要贡献是加速了时间因素，而且对如何实现系统安全和评价安全状态给出了可操作的描述 C、该模型提出的公式1：Pt>Dt+rt，代表防护时间大于检测时间加响应时间 D、该模型提出的公式2：Et=Dt+rt，代表当防护时间为0时，系统的暴露时间等于检测时间加响应时间 8、下面对于信息安全发展历史描述正确的是： A、信息安全的概念是随着计算机技术的广泛应用而诞生的 B、目前信息安全已经发展到计算机安全的阶段 C、目前信息安全不仅仅是关注信息技术，人们的意识到组织、管理、工程过程和人员同样是促进信息系统安全性的重要因素 D、我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”，再到“信息技术安全”，直到现在的“信息安全保障”。 9、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？ A．提高信息技术产品的国产化率 B．保证信息安全资金投入 C．加快信息安全人才培养 D．重视信息安全应急处理工作 10、下列对于信息安全保障深度防御模型的说法错误的是： A、信息安全外部环境：信息安全保障是组织机构安全，国家安全的一个总要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。 B、信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统 C、信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。 D、信息安全技术方案：“从外而内，自下而上，形成边界到端的防护能力”。 11、在一个密码系统中，密钥长度 应该是： A、越长越好 B、根据安全需求大于某个计算可行性界限值 C、根据当前常见的计算机搜索速度而定 D、根据当前最快的计算机搜索速度而定 12、如下图所示，AliceyongBob的密钥加密文档，将密文发送给Bob，Bob在用自己的私钥解密，恢复出明文，以下说法争取的是： A、此密码体制为对称密码体制 B、此密码体制为私钥密码体制 C、此密码体制为单钥密码体制 D、此密码体制为公钥密码体制 13、在网络通信中，一般用哪一类算法来保证机密性？ A、对称加密算法 B、消息认证码算法 C、消息摘要算法 D、数字签名算法 14、一下哪一种非对称加密算法的速度最快？ A、RSA B、ECC C、Blowfish D、IDEA 15、在RSA算法中，公钥为PU=｛e，n｝，私钥为PR=｛d，n｝，下列关于e，d，n，的说法正确的是。 A、收发双方均已知n B、收发双方均已知d C、由e和n可以很容易地确定d D、只有接收方已知e 16、下列描述中，关于摘要算法描述错误的是 A、消息摘要算法的主要特征是运算过程不需要密钥，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要。 B、消息摘要算法将一个随机长度的信息生成一个固定长度的信息摘要 C、为了保证消息摘要算法安全，必须保证其密钥不被攻击方获取，否则所加密的数据将被破解，造成信息泄密。 D、消息摘要算法的一个特点是：输入任何微小的变动都将引起加密结果的很大改变。 17、以下那一项是基于一个大的整数很难分解成两个素数因数？ A. 椭圆曲线（ECC） B. RSA C. 数据加密标准（DES） D. Diffie-Hellman 18、目前对消息摘要算法（MD5），安全哈希算法（SHA1）的攻击是指？ A、能够构造出两个不同的消息，这两个消息产生了相同的消息摘要。 B、对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要。 C、对于一个已知的消息摘要，能够恢复其原始消息 D、对于一个已知的消息，能够构造出一个不同的消息摘要，也能通过验证。 19、以下哪一项不是工作在网络第二层的隧道协议？ A、WTP B、l2F C、pptp D、L2TP 20、如图所示，对客体0，主题S1和S2分别有读（R）、写（W）权限，该图所示的访问控制实现方法是： A、访问控制矩阵 B、访问控制表（ACL） C、能力表（CL） D、前缀表（Profilws） 21、下列对自主访问控制说法不正确的是: A、自主访问控制允许客体决定主体对该客体的访问权限 B、自主访问控制具有较好的灵活性扩展性 C、自主访问控制可以方便地调整安全策略 D、自主访问控制安全性不高，常用于商业系统 22、下面哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？ A、强制访问控制（MAC） B、集中式访问控制（Decentralized Access control） C、分布式访问控制（Distributed Access control） D、自主访问控制（DAC） 23、按照BLP模型规则，以下哪种访问不能被授权： A．Bob的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC，EUR，AMC}），Bob请求写该文件 B．Bob的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC}），Bob请求读该文件 C．Alice的安全级是（机密，{NUC，EUR}），文件的安全级是（机密，{NUC，US}），Alice请求写该文件 D．Alice的安全级是（机密，{NUC，US}），文件的安全级是（机密，{NUC，US}），Alice请求读该文件 24、以下关于IPSEC VPN技术说法最正确的是？ A、IPSEC VPN不能进行NAT穿越 B、IPSEC VPN不支持外部单点对内部网络的访问形式 C、IPSEC VPN不仅可以认证双方身份还可以对传输的数据进行加密和完整性校验 D、IPSEC VPN有三种模式：传输模式、路由模式、通道模式 25、下列对于网络认证协议（Kerberos）描述正确的是： A、该协议使用非对称密钥加密机制 B、密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成 C、该协议完成身份鉴别后将获取用户票据许可票据 D、使用该协议不需要时钟基本同步的环境 26、鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的： A、口令 B、令牌 C、知识 D、密码 27、如图1所示，主机A向主机B发出的数据采用AP或ESP的传输模式对流量进行保护时，主机A和主机B的IP地址在应该在下列那个范围？ A、10.0.0.0-10.255.255.255 B、172.16.0.0-172.31.255.255 C、192.168.0.0-192.168.255.255 D、不在上述范围内 28、在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务? A、加密 B、数字签名 C、访问控制 D、路由控制 29、那些是对私有地址的正确描述？ A、公司使用的与互联网联通的网址 B、在公网上可以被路由的地址 C、节省公网地址使用的方案 D、有一份互联网注册组织授权地址给企业或互联网服务提供商 30、以下哪种方法不能有效提高WLAN的安全性： A．修改默认的服务区标识符（SSID） B．禁止SSID广播 C．启用终端与AP间的双向认证 D．启用无线AP的开放认证模式 31、以下哪种无线加密标准中那一项的安全性最弱？

A、wep B、wpa C、wpa2 D、wapi 32、以下哪个选项不是防火墙技术 A、IP地址欺骗防护 B、NAT C、访问控制 D、SQL注入防护 33、以下哪一项不应被看做防火墙的主要功能? A、协议过滤 B、包交换 C、访问控制规则的实现 D、审计能力的扩展 34、下面那一项不是通用IDS模型的组成部分： A、传感器 B、过滤器 C、分析器 D、管理器 35、入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点？ A、串接到网络线路中 B、对异常的进出流量可以直接进行阻断 C、有可能造成单点故障 D、不会影响网络性能 36、相比FAT文件系统，以下那个不是NTFS所具有的优势？ A、NTFS使用事务日志自动记录所有文件和文件夹更新，当出现系统损坏引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。 B、NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限 C、对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率。 D、相比FAT文件系统，NTFS文件系统能有效的兼容linux下的EXT32文件格式。 37、.Windows系统下，哪项不是有效进行共享安全的防护措施？ A．使用netshare\\\\127.0.0.1\\c$/delete命令，删除系统中的c$等管理共享，并重启系统 B．确保所有的共享都有高强度的密码防护 C．禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值 D．安装软件防火墙阻止外面对共享目录的连接 38、张主任的计算机使用Windows7操作系统，他常登录的用户名为zhang，张主任给他个 人文件件设置了权限为只有 zhang 这个用户有权访问这个目录，管理员在某次维护中无意将zhang这个用户删除了， 随后又重新建立了一个用户名为zhang，张主任使用zhang这个用户登录系统后，发现无法访问他原来的个人文件夹，原因是： A、任何一个新建用户都需要经过授权才能访问系统中的文件 B、Windows7不认为新建立的用户zhang与原来的用户zhang是同一个用户，因此无权访问 C、用户被删除后，该用户创建的文件夹也会自动删除，新建用户找不到原来用户的文件夹，因此无法访问 D、新建的用户zhang会继承原来的用户的权限，之所以无权访问是因为文件夹经过了加密 39、Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确模式表示？ A．rwxr-xr-x 3user admin 1024 Sep 1311:58 test B．drwxr-xr-x 3user admin 1024 Sep 1311:58 test C．rwxr-xr-x 3admin user 1024 Sep 1311:58 test D．drwxr-xr-x 3admin user 1024 Sep 1311:58 test 40、关于Linux下的用户和组，以下描述不正确的是 A、在Linux中，每一个文件和程序都归属于一个特定的“用户” B、系统中的每一个用户都必须至少属于一个用户组 C、用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组 D、root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限 41、在数据库安全性控制中，授权的数据对象_______，授权子系统就越灵活？ A．粒度越小 B．约束越细致 C．范围越大 D．约束范围大 42.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是： A．httpd.conf B．srm.conf C．access.conf D．inetd.conf 43.以下关于https协议与http协议相比的优势说明，哪个是正确的： A、https协议对传输的数据进行了加密，可以避免嗅探等攻击行为 B、https使用的端口与http不同，让攻击者不容易找到端口，具有较高的安全性 C、https协议是http协议的补充，不能独立运行，因此需要更高的系统性能 D、https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性 44.下列哪一些对信息安全漏洞的描述是错误的？ A.漏洞是存在于信息系统的某种缺陷 B.漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等） C.具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用， 从而给信息系统安全带来威胁和损失。 D.漏洞都是人为故意引入的一种信息系统的弱点 45.下列哪项内容描述的是缓冲区溢出漏洞？ A、通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令 B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。 C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上 D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷 46.以下对于蠕虫病毒的说法错误的是： A.通常蠕虫的传播无需用户的操作 B.蠕虫病毒的主要危害体现在对数据保密性的破坏 C.蠕虫的工作原理与病毒相似，除了没有感染文件阶段 D.是一段能不以其他程序为媒介，从一个电脑系统复制到另一个电脑系统的程序 47.以下不属于跨站脚本危害的是： A、盗取用户COOKIE信息，并进行COOKIE欺骗 B、使用户访问钓鱼网站，导致敏感信息泄露 C、上传Webshell，控制服务器 D、传播XSS蠕虫影响用户正常功能 48.恶意代码采用加密技术的目的是： A．加密技术是恶意代码自身保护的重要机制 B．加密技术可以保证恶意代码不被发现 C．加密技术可以保证恶意代码不被破坏 D．以上都不正确 49、下列关于计算机病毒感染能力的说法不正确的是： A．能将自身代码注入到引导区 B．能将自身代码注入到扇区中的文件镜像 C．能将自身代码注入文本文件中并执行 D．能将自身代码注入到文档或模板的宏中代码 50、以下那个是恶意代码采用的隐藏技术： A、文件隐藏 B、进程隐藏 C、网络连接隐藏 D、以上都是 51、shellcode是什么？ A、是用C语言编写的一段完成特殊功能代码 B、是用汇编语言编写的一段完成特殊功能代码 C、是用机器码组成的一段完成特殊功能代码 D、命令行下的代码编写 52、通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效地网络信息流时，这种攻击称之为： A．Land攻击 B．Smurf攻击 C．PingofDeath攻击 D．ICMPFlood 53、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A．ARP协议是一个无状态的协议 B．为提高效率，ARP信息在系缆中会缓存 C．ARP缓存是动态的，可被改写 D．ARP协议是用于寻址的一个重要协议 54、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击？ A．Land B．UDPFlood C．Smurf D．Teardrop 56、下列属于分布式拒绝服务(DDOS)攻击的是 A．Men-in-Middle攻击 B．SYN洪水攻击 C．TCP连接攻击 D．SQL注入攻击 57.网络管理员定义“no ip directed broadcast”以减轻下面哪种攻击？ A．Diecast B．Smurf C．Batcast D．Coke 55、以下哪个不是UDP Flood攻击的方式 A.、发送大量的udp小包冲击应用服务器 B、利用Echo等服务形成UDP教据流导致网络拥塞 C、利用UDP服务形成UDP数据流导致网络拥塞 D、发送错误的UDP数据报文导致系统崩溃 58、黑客进行攻击的最后一个步骤是: A、侦查与信息收集 B、漏洞分析与目标选定 C、获取系统权限 D、打扫战场、清除证据 59、某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，不正确的是（） A、软件安全开发应当涉及软件开发整个生命周期，即要在软件开发生命周期的各个阶段都要采取一些措施来确保软件的安全性 B、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多 C、和传统的软件开发阶段相比，应当增加一个专门的安全编码阶段 D、安全测试阶段非常重要，有必要采取一些安全测试方法学和测试手段来确保软件的安全性 60、以下哪个选项不是信息安全需求的来源？ A、法律法规与合同条约的要求 B、组织的原则、目标和规定 C、风险评估的结果 D、安全架构和安全厂商发布的漏洞、病毒预警 61、关于信息安全管理，说法错误的是： A、信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥和控制的一系列活动。 B、信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。 C、实现信息安全，技术和产品是基础，管理是关键 D、信息安全是人员、技术、操作三者紧密合作的系统工程，是一个静态 62. 对戴明环\方法的描述不正确的是:: A“PDCA”的含义是P-计划，D-实施，C-检查，A-改进 B“PDCA”循环又叫\戴明\环 C“PDCA\循环是只能用于信息安全管理体系有效进行的工作程序 D“PDCA”循环是可用于任何一项活动有效进行的工作程序 63、信息系统的业务特性应该从哪里获取? A、机构的使命 B、机构的战略背景和战略目标 C、机构的业务内容和业务流程 D、机构的组织结构和管理制度 64、在风险管理工作中，“了解机构的业务，从中明确支持机构业务运营的信息系统的业务特性”，这项工作应在下列哪个部分中完成？ A、风险管理准备 B、信息系统调查 C、信息系统分析 D、信息安全分析 65、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动： A设置网络链接时限 B.记录并分析系统错误日志 C.记录并分析用户和管理员操作日志 D.启用时钟同步 66、在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段？ A、背景建立； B、风险评估； C、风险处理； D、批准监督 67、下列对风险分析方法的描述正确的是:

A定量分析比定性分析方法使用的工具更多 B定性分析比定量分析方法使用的工具更多 C同一组织只用使用一种方法进行评估 D符合组织要求的风险评估方法就是最优方法 68、《信息安全技术信息安全风险评估规范GB／T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是： A.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。 B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。 C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。 D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。 69、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的： A．测试系统应使用不低于生产系统的访问控制措施 B．为测试系统中的数据部署完善的备份与恢复措施 C．在测试完成后立即清除测试系统中的所有敏感数据 D．部署审计措施，记录生产数据的拷贝和使用 70、以下关于“最小特权”安全管理原则理解正确的是: A组织机构内的敏感岗位不能由一个人长期负责 B对重要的工作进行分解，分自己给不同人员完成 C一个人有且仅有其执行岗位所足够的许可和权限 D防止员工由一个岗位变动到另一个岗位，累积越来越多的权限 71、作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？ A．抱怨且无能为力 B．向上级报告该情况，等待增派人手 C．通过部署审计措施和定期审查来降低风险 D．由于增加人力会造成新的人力成本，所以接受该风险 72、在一个有充分控制的信息处理计算中心中，下面酬的可以自同一个人执行? A安全管理和变更管理 B计算机操作和系统开发 C系统开发和变更管理 D系统开发和系统维护 73、以下哪一项对TEMPEST的解释是正确的？ A、电磁泄露防护技术的总称 B、物理访问控制的总称 C、一种生物识别技术 D、供热、通风、空调，和冰箱等环境支持系统的简称 74、以下哪些是需要在信息安全策略中进行描述的 A、组织信息系统安全架构 B、信息安全工作的基本原则 C、组织信息安全技术参数 D、组织信息安全实施手段 75、信息系统生命周期阶段正确的划分是 A、设计、实施、运维、废弃 B、规划、实施、运维、废弃 C、规划、设计、实施、运维、废弃 D、设计、实施、运行 76、计算机取证的工作顺序是 A．1准备2提取3保护4分析5提交 B．1准备2保护3提取4分析5提交 C．1准备2保护3提取4提交5分析 D．1准备2提取3保护4分析5提交 77、业务系统运行中异常错误处理合理的方法是 A、让系统自己处理异常 B、调试方便，应该让更多的错误个更详细的显示出来 C、捕获错误，并抛到前台显示 D、捕获错误，只显示简单的提示信息，或不显示任何信息 78、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级？ A．2 B．3 C．4 D．5 79、灾难恢复策略中的内容来自于： A．灾难恢复需求分析 B、风险分析 C、业务影响分析 D、国家保准和上级部门的明确规定 80、以下对异地备份中心的理解最准确的是： A、与生产中心不在同一城市 B、与生产中心距离100公里以上 C、与生产中心距离200公里以上 D、与生产中心面临相同区域性风险的机率很小 81、信息安全工程作为信息安全保障的重要组成部分，主要是为了解决： A、信息系统的技术架构安全问题 B、信息系统组成部分的组件安全问题 C、信息系统生命周期的过程安全问题 D、信息系统运行维护的安全管理问题 82、SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是： A．保证是指安全需求得到满足的可信任程度 B．信任程度来自于对安全工程过程结果质量的判断 C．自验证与证实安全的主要手段包括观察、论证、分析和测试 D．PA“建立保证论据”为PA“验证与证实安全”提供了证据支持 83、在使用系统安全工程-能力成熟度模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，正确的理解是： A、测量单位是基本实施（BP） B、测量单位是通用实施（GP） C、测量单位是过程区域（PA） D、测量单位是公共特征（CF） 84、下面有关能力成熟度模型的说法错误的是: A.能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B.使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域 C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域 D.SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 85、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A．明确业务对信息安全的要求 B．识别来自法律法规的安全要求 C．论证安全要求是否正确完整 D．通过测试证明系统的功能和性能可以满足安全要求 86、如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是： A．变更的流程是否符合预先的规定 B．变更是否会对项目进度造成拖延 C．变更的原因和造成的影响 D．变更后是否进行了准确的记录 87、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A．应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑 B．应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品 C．应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实 D．应详细规定系统验收测试中有关系统安全性测试的内容 88、信息安全工程监理的职责包括： A、质量控制、进度控制、成本控制、合同管理、信息管理和协调 B、质量控制、进度控制、成本控制、合同管理和协调 C、确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调 D、确定安全要求、认可设计方案、监视安全态势和协调 89、信息安全工程监理模型不包括下面哪一项? A.监理咨询服务 B.咨询监理支撑要素 C.监理咨询阶段过程 D.控制管理措施 90、关于监理过程中成本控制，下列说法中正确的是? A．成本只要不超过预计的收益即可 B．成本应控制得越低越好 C．成本控制由承建单位实现，监理单位只能记录实际开销 D．成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 91、全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求，“加快信息安全人才培养，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？ A、《国家信息化领导小组关于加强信息安全保障工作的意见》 B、《信息安全等级保护管理办法》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《关于加强政府信息系统安全和保密管理工作的通知》 92、以下行为不属于违反国家保密规定的行为 A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络 B、通过普通邮政的无保密措施的渠道传递国家秘密载体 C、在私人交往中涉及国家秘密 D、以不正当手段获取商业秘密 93、下列关于ISO15408信息技术安全评估准则（简称CC）通用性的特点，即给出通过的表达方式，描述不正确的是_______。 A．如果用户、开发者、评估者和认可者都使用CC语言，互相就容易理解沟通。 B．通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义 C．通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要 D．通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估 94、信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评。 A、0.5 B、1 C、2 D、3 95、自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后向该组织申报。 A、全国通信标准化技术委员会（TC485） B、全国信息安全标准化技术委员会（TC260） C、中国通信标准化协会（CCSA） D、网路与信息安全技术工作委员会 96、对涉密系统进行安全保密测评应当依据以下哪个标准？ A．BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B．BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C．GB17859-1999《计算机信息系统安全保护等级划分准则》 D．GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 97、ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 A、BS7799-1 B、BS7799-2 C、ITSEC D、CC 98、下面对于保护轮廓（PP）的说法最准确的是 A、对系统防护强度的描述 B、对评估对象系统进行规范化的描述 C、对一类TOE的安全需求，进行与技术实现无关的描述 D、由一系列保证组件构成的包，可以代表预先定义的保证尺度 99、信息技术安全评估通用标准(cc)标准主要包括哪几个部分? A．通用评估方法、安全功能要求、安全保证要求 B．简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南 C．简介和一般模型、安全功能要求、安全保证要求 D．简介和一般模型、安全要求、PP和ST产生指南 100、《刑法》第六章第285.286,287条对计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行? A.非法侵入计算机信息系统罪 B.破坏计算机信息系统罪 C.利用计算机实施犯罪 D.国家重要信息系统管理者玩忽职守罪

本文来源：https://www.bwwdw.com/article/h69f.html