CISP模拟一

1、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？

A．提高信息技术产品的国产化率 B．保证信息安全资金投入 C．加快信息安全人才培养

D．重视信息安全应急处理工作 正确答案：A

所在章：信息安全保障

知识点：信息安全保障知识点

4、与PDR模型相比，P2DR模型多了哪一个环节？ A．防护 B．检测 C．反应 D．策略 正确答案：D

所在章：信息安全保障

知识点：信息安全保障知识点 24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：

A．在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实

B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足

C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码

D．在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行 正确答案：D

所在章：信息安全保障

知识点：信息安全保障知识点

26、下面关于信息系统安全保障的说法不正确的是：

A．信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关

B．信息系统安全保障要素包括信息的完整性.可用性和保密性

C．信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障

D．信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命

正确答案：B

所在章：信息安全保障

知识点：信息安全保障知识点

28、下面关于信息系统安全保障模型的说法不正确的是： A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心

B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D．信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 正确答案：D

所在章：信息安全保障

知识点：信息安全保障知识点

29、关于信息安全保障技术框架(IATF)，以下说法不正确的是：

A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本 B．IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性

D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 正确答案：D

所在章：信息安全保障

知识点：信息安全保障知识点

30、关于信息安全保障的概念，下面说法错误的是：

A．信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念

B．信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段 C．在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全

D．信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障 正确答案：C

所在章：信息安全保障

知识点：信息安全保障知识点

67、Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？ A．rwxr-xr-x3useradmin1024Sep1311:58test B．drwxr-xr-x3useradmin1024Sep1311:58test C．rwxr-xr-x3adminuser1024Sep1311:58test D．drwxr-xr-x3adminuser1024Sep1311:58test 正确答案：A

所在章：信息安全技术

知识点：信息安全技术知识点

73、在数据库安全性控制中，授权的数据对象_______，授权子系统就越灵活？

A．粒度越小 B．约束越细致 C．范围越大 D．约束范围大 正确答案：A

所在章：信息安全技术

知识点：信息安全技术知识点

77、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是： A．httpd.conf B．srm.conf C．access.conf D．inetd.conf 正确答案：A

所在章：信息安全技术

知识点：信息安全技术知识点

81、下列关于计算机病毒感染能力的说法不正确的是： A．能将自身代码注入到引导区

B．能将自身代码注入到扇区中的文件镜像 C．能将自身代码注入文本文件中并执行

D．能将自身代码注入到文档或模板的宏中代码 正确答案：C

所在章：信息安全技术

知识点：信息安全技术知识点

90、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击？ A．Land

B．UDPFlood C．Smurf D．Teardrop 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

97、通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效地网络信息流时，这种攻击称之为： A．Land攻击 B．Smurf攻击

C．PingofDeath攻击 D．ICMPFlood 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的： A．设置网络连接时限

B．记录并分析系统错误日志

C．记录并分析用户和管理员操作日志 D．启用时钟同步正确答案：A 所在章：信息安全技术

知识点：信息安全技术知识点

107、以下哪一项是数据完整性得到保护的例子?

A．某网站在访问量突然增加时对用户连接数量进行了限制，保证己登录的用户可以完成操作

B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余额进行了冲正操作

C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作

D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看正确答案：B 所在章：信息安全技术

知识点：信息安全技术知识点

276、下列哪项内容描述的是缓冲区溢出漏洞？ A．通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令

B．攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C．当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上

D．信息技术.信息产品.信息系统在设计.实现.配置.运行等过程中，有意或无意产生的缺陷 正确答案：C

所在章：信息安全技术

知识点：信息安全技术知识点

321、以下哪一项不是工作在网络第二层的隧道协议？ A．VTP B．L2F C．PPTP D．L2TP

正确答案：A

所在章：信息安全技术

知识点：信息安全技术知识点

324、下列对于网络认证协议（Kerberos）描述正确的是：

A．该协议使用非对称密钥加密机制

B．密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成 C．该协议完成身份鉴别后将获取用户票据许可票据 D．使用该协议不需要时钟基本同步的环境 正确答案：C

所在章：信息安全技术

知识点：信息安全技术知识点

330、下列哪一些对信息安全漏洞的描述是错误的？ A．漏洞是存在于信息系统的某种缺陷

B．漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等）

C．具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失

D．漏洞都是人为故意引入的一种信息系统的弱点 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

333、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A．ARP协议是一个无状态的协议

B．为提高效率，ARP信息在系统中会缓存 C．ARP缓存是动态的，可被改写

D．ARP协议是用于寻址的一个重要协议 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

358、入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点？ A．串接到网络线路中

B．对异常的进出流量可以直接进行阻断 C．有可能造成单点故障 D．不会影响网络性能 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

364、以下哪个是恶意代码采用的隐藏技术： A．文件隐藏 B．进程隐藏 C．网络链接隐藏 D．以上都是 正确答案：D

所在章：信息安全技术

B．这些行业都是信息化应用广泛的领域

C．这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出

D．这些行业发生信息安全事件，会造成广泛而严重的损失 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

573、小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；(3)背景建立包括：风险管理准备.信息系统调查.信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书，信息系统的描述报告，信息系统的分析报告，信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：

A．第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象

B．第二个观点，背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准 C．第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字 D．第四个观点，背景建立的阶段性成果中不包括有风险管理计划书 正确答案：B

所在章：信息安全管理

知识点：信息安全管理知识点

575、以下关于信息安全法治建设的意义，说法错误的是： A．信息安全法律环境是信息安全保障体系中的必要环节

B．明确违反信息安全的行为，并对该行为进行相应的处罚，以打击信息安全犯罪活动 C．信息安全主要是技术问题，技术漏洞是信息犯罪的根源

D．信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

576、小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少： A．24万 B．0.09万 C．37.5万 D．9万

正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

577、信息安全等级保护分级要求，第三级适用正确的是：

A．适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益

B．适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害

C．适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害

D．适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对国家安全、社会秩序，经济建设和公共利益造成特别严重损害 正确答案：B

所在章：信息安全管理

知识点：信息安全管理知识点

579、以下对于信息安全事件理解错误的是：

A．信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件

B．对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分

C．应急响应是信息安全事件管理的重要内容

D．通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生正确答案：D 所在章：信息安全管理

知识点：信息安全管理知识点

答案解析：选项D中，杜绝信息安全事件的发生是做不到的。

580、假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备： A．是多余的，因为它们完成了同样的功能，但要求更多的开销 B．是必须的，可以为预防控制的功效提供检测 C．是可选的，可以实现深度防御

D．在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足够 正确答案：B

所在章：信息安全管理

知识点：信息安全管理知识点

583、关于信息安全事件管理和应急响应，以下说法错误的是：

A．应急响应是指组织为了应对突发／重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

B．应急响应方法，将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段 C．对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素 D．根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特别重大事件(Ⅰ级).重大事件(Ⅱ级).较大事件(Ⅲ级)和一般事件(Ⅳ级) 正确答案：B

所在章：信息安全管理

知识点：信息安全管理知识点

584、以下关于灾难恢复和数据备份的理解，说法正确的是： A．增量备份是备份从上次完全备份后更新的全部数据文件

B．依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7个等级 C．数据备份按数据类型划分可以划分为系统数据备份和用户数据备份 D．如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

585、某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M公司为承建单位，并选择了H监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发，M公司已经提交了验收申请，监理公司需要对A公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档： A．项目计划书 B．质量控制计划 C．评审报告 D．需求说明书 正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

588、有关系统安全工程-能力成熟度模型(SSZ-CMM)，错误的理解是：

A．SSE-CMM要求实施组织与其他组织相互作用，如开发方.产品供应商.集成商和咨询服务商等

B．SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目

C．基手SSE-CMM的工程是独立工程，与软件工程.硬件工程.通信工程等分别规划实施 D．SSE-CMM覆盖整个组织的活动，包括管理.组织和工程活动等，而不仅仅是系统安全的工程活动 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

589、有关危害国家秘密安全的行为，包括：

A．严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为 B．严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为，但不包括定密不当行为 C．严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为

D．严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为

正确答案：A

所在章：信息安全管理

知识点：信息安全管理知识点

593、最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个? A．软件在Linux下按照时，设定运行时使用nobody用户运行实例

B．软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库

C．软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限 D．为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误 正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

594、某单位计划在今年开发一套办公自动化(OA)系统，将集团公司各地的机构通过互联网进行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指出大家提的建议中不太合适的一条?

A．对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题

B．要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识 C．要求软件开发商使用Java而不是ASP作为开发语言，避免产生SQL注入漏洞

D．要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对输入数据进行校验 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

595、某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应在软件安全开发阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家，请选择对软件开发安全投入的准确说法?

A．信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比软件运行后的费用要低

B．软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员进行代码修订更简单，因此费用更低

C．双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低

D．双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问题，解决的代价相同 正确答案：A

所在章：信息安全管理

知识点：信息安全管理知识点

596、某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?

A．由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析

B．为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险 C．日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志 D．只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间 正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

598、在戴明环(PDCA)模型中，处置(ACT)环节的信息安全管理活动是： A．建立环境

B．实施风险处理计划 C．持续的监视与评审风险

D．持续改进信息安全管理过程 正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

599、以下哪一项不属于常见的风险评估与管理工具： A．基于信息安全标准的风险评估与管理工具 B．基于知识的风险评估与管理工具 C．基于模型的风险评估与管理工具 D．基于经验的风险评估与管理工具 正确答案：D

所在章：信息安全管理

知识点：信息安全管理知识点

600、以下说法正确的是：

A．验收测试是由承建方和用户按照用户使用手册执行软件验收 B．软件测试的目的是为了验证软件功能是否正确

C．监理工程师应按照有关标准审查提交的测试计划，并提出审查意见 D．软件测试计划开始于软件设计阶段，完成于软件开发阶段 正确答案：C

所在章：信息安全管理

知识点：信息安全管理知识点

602、关于我国加强信息安全保障工作的总体要求，以下说法错误的是： A．坚持积极防御.综合防范的方针

B．重点保障基础信息网络和重要信息系统安全 C．创建安全健康的网络环境

D．提高个人隐私保护意识正确答案：D 所在章：信息安全管理

知识点：信息安全管理知识点

629、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A．应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B．应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C．应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D．应详细规定系统验收测试中有关系统安全性测试的内容 正确答案：A

所在章：信息安全工程

知识点：信息安全工程知识点

630、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的： A．测试系统应使用不低于生产系统的访问控制措施 B．为测试系统中的数据部署完善的备份与恢复措施 C．在测试完成后立即清除测试系统中的所有敏感数据 D．部署审计措施，记录生产数据的拷贝和使用 正确答案：B

所在章：信息安全工程

知识点：信息安全工程知识点

640、从系统工程的角度来处理信息安全问题，以下说法错误的是：

A．系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B．系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。

C．系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。 D．系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。正确答案：C 所在章：信息安全工程

知识点：信息安全工程知识点 答案解析：应是面向工程的方法

641、以下哪一项不属于信息安全工程监理模型的组成部分： A．监理咨询支撑要素

B．控制和管理手段 C．监理咨询阶段过程 D．监理组织安全实施 正确答案：D

所在章：信息安全工程

知识点：信息安全工程知识点

642、在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容： A．审核实施投资计划 B．审核实施进度计划 C．审核工程实施人员 D．企业资质 正确答案：A

所在章：信息安全工程

知识点：信息安全工程知识点

661、下列关于ISO15408信息技术安全评估准则（简称CC）通用性的特点，即给出通过的表达方式，描述不正确的是_______。

A．如果用户、开发者、评估者和认可者都使用CC语言，互相就容易理解沟通。 B．通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义

C．通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要

D．通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估 正确答案：D

所在章：信息安全标准

知识点：信息安全标准知识点

663、对涉密系统进行安全保密测评应当依据以下哪个标准？

A．BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B．BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C．GB17859-1999《计算机信息系统安全保护等级划分准则》 D．GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 正确答案：B

所在章：信息安全标准

知识点：信息安全标准知识点

713、《信息安全技术信息安全风险评估规范GB／T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：

A．规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。 B．设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性，提出安全功能需求。 C．实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别，并对系统建成后的安全功能进行验证。

D．运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险

评估，评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。 正确答案：D

所在章：信息安全标准

知识点：信息安全标准知识点

716、关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：

A．2001-2002年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构

B．2003-2005年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略

C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功 D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐 正确答案：C

所在章：信息安全标准

知识点：信息安全标准知识点

720、对于数字证书而言，一般采用的是哪个标准? A．ISO／IEC15408 B．802.11

C．GB／T20984 D．X.509 正确答案：D

所在章：信息安全标准

知识点：信息安全标准知识点

722、自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报。 A．全国通信标准化技术委员会(TC485) B．全国信息安全标准化技术委员会(TC260) C．中国通信标准化协会(CCSA)

D．网络与信息安全技术工作委员会 正确答案：B

所在章：信息安全标准

知识点：信息安全标准知识点

723、ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于____。 A．BS7799-1《信息安全实施细则》 B．BS7799-2《信息安全管理体系规范》 C．信息技术安全评估准则(简称ITSEC)

D．信息技术安全评估通用标准(简称CC)正确答案：B 所在章：信息安全标准

知识点：信息安全标准知识点

731、如图，某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：

A．个人网银系统和用户之间的双向鉴别 B．由可信第三方完成的用户身份鉴别 C.个人网银系统对用户身份的单向鉴别 D．用户对个人网银系统合法性的单向鉴别 正确答案：C

所在章：信息安全技术

知识点：信息安全技术知识点

732、如下图所示，Alice用Bob的密钥加密明文，将密文发送给Bob。Bob再用自己的私钥解密，恢复出明文。以下说法正确的是： A．此密码体制为对称密码体制 B．此密码体制为私钥密码体制 C．此密码体制为单钥密码体制

D．此密码体制为公钥密码体制正确答案：D 所在章：信息安全技术

知识点：信息安全技术知识点

733、如图所示，主体S对客体01有读(R)权限，对客体02有读(R)，写(W)，拥有(Own)权限，该图所示的访问控制实现方法是： A．访问控制表(ACL) B．访问控制矩阵 C．能力表(CL)

D．前缀表(Profiles) 正确答案：C

所在章：信息安全技术

知识点：信息安全技术知识点

734、如图所示，主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时，主机A和主机B的IP地址在应该在下列哪个范围? A．10．0．0．0～10．255．255．255 B．172．16．0．0～172．31．255．255 C.192．168．0．0～192．168．255．255 D.不在上述范围内 正确答案：D

所在章：信息安全技术

知识点：信息安全技术知识点

739、以下哪一项不是我国信息安全保障工作的主要目标： A．保障和促进信息化发展 B．维护企业与公民的合法权益 C．构建高效的信息传播渠道 D．保护互联网知识产权

正确答案：C

所在章：信息安全保障

知识点：信息安全保障知识点

本文来源：https://www.bwwdw.com/article/q1y6.html