80. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚步将被解释执行,这是哪种类型的漏洞? A. 缓冲区溢出 B. sql注入 C.设计错误 D.跨站脚本
81. 通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A. 明文形式存在
B.服务器加密后的密文形式存在 C.hash运算后的消息摘要值存在 D.用户自己加密后的密文形式存在
82.下列对跨站脚本攻击(XSS)的描述正确的是:
A. XSS攻击指的是恶意攻击者往WED页面里插入恶意代码,当用户浏览浏览该页之时,嵌入其中WEB里面的代码会执行,从而达到恶意攻击用户的特殊目的 B.XSS攻击时DDOS攻击的一种变种 C.XSS攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的 83 下列哪种技术不是恶意代码的生产技术? A. 反跟踪技术、 B. 加密技术 C. 模糊变换技术 D. 自动解压缩技术
84 当用户输入的数据被一个解释器当做命令或查询语句的一部分执行时,就会产生哪种类型的漏洞? A. 缓冲区溢出 B. 设计错误 C. 信息泄露 D. 代码注入
85 Smurf 利用下列哪种协议进行攻击? A. ICMP B. IGMP C. TCP D. UDP
86.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击? A. 重放攻击 B. Smurf攻击 C.字典攻击 D.中间人攻击
87 渗透性测试的第一步是: A. 信息收集
B. 漏洞分析与目标选定 C. 拒绝服务攻击
D. 尝试漏洞利用
88 软件安全开发中软件安全需求分析阶段的主要目的是: A. 确定软件的攻击面,根据攻击面制定软件安全防护策略 B. 确定软件在计划运行环境中运行的最低安全要求 C. 确定安全质量标准,实施安全和隐私风险评估 D. 确定开发团队关键里程碑和交付成果
89.管理者何时可以根据风险分析结果对已识别的风险部采取措施? A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受
90 以下关于风险管理的描述不正确的是:
A风险的4种控制方法有:降低风险/转嫁风险/规避风险/接受风险 B信息安全风险管理是否成功在于风险是否被切实消除了
C组织应依据信息安全方针和组织要求的安全保证程度来确定需要处理的信息安全风险 D信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别、控制、降低或转移的过程
91如果你作为甲方负责监管一个信息安全工程项目的实施,当乙方提出一项工程变更时你最应当关注的是:
A. 变更的流程是否符合预先的规定 B. 变更是否项目进度造成拖延 C. 变更的原因和造成的影响
D. 变更后是否进行了准确的记录
92 应当如可理解信息安全管理体系中的“信息安全策略”? A为了达到如何保护标准而提出的一系列建议
B为了定义访问控制需求而产生出来的一些通用性指引 C组织高层对信息安全工作意图的正式表达 D一种分阶段的安全处理结果
93 以下关于“最小特权”安全管理原则理解正确的是: A. 组织机构内的敏感岗位不能由一个人长期负责 B. 对重要的工作进行分解,分配给不同人员完成 C. 一个人有且仅有其执行岗位所足够的许可和权限
D. 防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
94 作为一个组织中的信息系统普通用户,以下哪一项不是必须了解的? A. 谁负责信息安全管理制度的制度和发布 B. 谁负责监督信息安全制度的执行
C. 信息系统发生灾难后,进行恢复的整体工作流程 D. 如果违反了安全制度可能会受到的惩戒措施 95 职责分离是信息安全管理的一个基本概念,其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?
A.数据安全管理员 B.数据安全分析员 C.系统审核员 D.系统程序员
96 在国家标准《信息系统恢复规范》中,根据----要素,将灾难恢复等级划分为_____级 A. 7,6 B. 6,7 C. 7,7 D. 6,6
97 在业务持续性计划中,RTO指的是: A.灾难备份和恢复 B.恢复技术项目 C.业务恢复时间目标 D.业务恢复点目标
98 应急方法学定义了安全事件处理的流程,这个流程的顺序是: A. 准备-抑制-检测-根除-恢复-跟进 B. 准备-检测-抑制-恢复-根除-跟进 C. 准备-检测-抑制-根除-恢复-跟进 D. 准备-抑制-根除-检测-恢复-跟进
99.下面有关能力成熟度模型的说法错误的是:
A.能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类 B.使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
C.使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域 D SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型 100.下面哪一项为系统安全工程成熟度模型提供了评估方法: A.ISSE B.SSAM C.SSR D.CEM
101 根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中______确立安全解决方案的置信度并且把这样的置信度传递给顾客。 A.保证过程 B.风险过程
C.工程和保证过程 D.安全工程过程
102 SSE-CMM工程过程区域中的风险过程包含哪些过程区域? A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险
C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评估脆弱性、评估影响、验证和证实安全 103.SSE-CMM包含六个级别,其中计划与跟踪级着重于: A. 规范化地裁剪组织层面的过程定义 B. 项目层面定义、计划和执行问题
C.测量
D.一个组织或项目执行了包含基本实施的过程 104在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击 D. 防止代码注入攻击 105.信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要素 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求 106信息安全工程监理工程师不需要做的工作是: A. 编写验收测试方案& B. 审核验收测试方案 C. 监督验收测试过程 D. 审核验收测试报告
107 以下关于CC标准说法错误的是:
A.通过评估有助于增强用户对于IT产品的安全信息 B.促进IT产品和系统的安全性 C.消除重复的评估
D.详细描述了安全评估方法学
108下列哪项不是安全管理方面的标准? A ISO27001 B ISO13335 C GB/T22080 D GB/T18336
109.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度? A.公安部 B.国家密码局 C.信息产业部
D.国家密码管理委员会办公室
110.下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容: A.国家信息安全等级保护坚持自主定级,自主保护的原则。
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查。 C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D.第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每半年至少进行一次等级测评。
111《刑法》第六章第285、286、287条对计算机犯罪的内容和量刑进行了明确的规定,下列哪一项不是其中规定的罪行? A.非法入侵计算机信息系统罪
B.破坏计算机信息系统罪 C.利用计算机实施犯罪
D.国家重要信息系统管理者玩忽职守罪
112一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案? A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会
113下列哪个不是《商用密码管理条例》规定的内容?
A. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作 B. 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C. 商用密码产品由国家密码管理机构许可的单位销售
D. 个人可以使用经国家密码管理机构认可之外的商用密码产品
114.下面关于《中华人民共和国保守国家秘密法》的说法错误的是: A. 秘密都有时间性,永久保密是没有的
B. 《保密法》规定一切公民都有保守国家秘密的义务 C. 国家秘密的级别分为“绝密”“机密”“秘密”三级
D. 在给文件确定密级时,从保密的目的出发,应将密级尽量定高
1 A 2 C 3 C 4 B 5 C 6 C 7 A 8 A 9 D 10 B 11 C 12 D 13 D 14 A 15 D 16 A 17 C 18 D 19 B 20 D 21 C 22 A 23 C 24 C