A. B.
成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持 制定的信息安全管理措施应当与组织的文化环境相匹配
C. 应该对ISO27002等国际标准批判地参考,不能完全照搬 D. 借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效果 81、信息系统安全保障工程是一门跨学科的工程管理过程,它是基于对信息系统安全保障需求的发展和对---------的理解,以经济、科学的方法来设计、开发和建设信息系统,以便他能满足用户安全保障需求的科学和艺术。
A 安全风险 B 安全保障 C 安全技术 D安全管理 82、下列关于SSE-CMM(系统安全工程能力成熟度模型)描述正确的是:
A. B. C. 动
D. 为确保较好的实施安全工程,该模型中描述了针对每一个组织的具体过程和技术结果
83、下列对SSC-CMM说法错误的是? A. B. C.
它是通过域维和能力维共同形成对安全工程能力的评价 域维定义了实施安全工程的所有实施活动 能力维定义了工程能力的判断标准
系统安全工程能力成熟度模型是一个技术参考模型 对应于该模型的中国国家标准为GB/T 18336-2001
该模型可适用于涉及整个生命周期的安全产品或可信系统的系统安全工程活
D. “公共特征”是域维中对获得过程区目标的必要步骤的定义
84、在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次为:
A. B. C. D.
能力级别 公共特征(CF) 通用实践(GP) 能力级别 通用实践(GP) 公共特征(CF) 通用实践(GP) 能力级别 公共特征(CF) 公共特征(CF) 能力级别 通用实践(GP)
85、根据《信息系统安全保障评估框架 第四部分:工程保障》安全工程
A. 未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进等6个级别
B. C. D.
未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别 基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别 基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别
86、如果可以在组织范围内定义文档化的标准过程,在所有的项目中规划、执行和跟踪已定义的过程,并且可以很好的协调项目活动和组织活动,则该组织的安全能力成熟度可以达到?
A. B. C. D.
规划跟踪级 充分定义级 量化控制级 持续改进级
87、“配置管理”是系统工程中的中重要概念,它在软件工程和信息安全工程中得到了广泛的应用,下面对配置管理的解释最正确的是:
A.
配置管理的本质是变更流程管理
B. 配置管理是一个对系统(包括软件、硬件、文档、测试设备、开发/维护设备)
的所有变化进行控制的过程
C. 管理配置是对信息系统的技术参数进行管理 D. 管理配置是对系统基线和源代码的版本进行管理
- 11 -
88、根据SSP-CMM以下哪一项不是在安全工程过程中实施安全控制时需要做的?
A. B. C. D.
获得用户对安全需求的原解 建立安全控制的职责 管理安全控制的配置
进行针对安全控制的教育培训
89、下面哪一项不是工程实验阶段信息安全工程监理的主要目标? A. 明确工程实施计划,对于计划的调整必须合理、受控
B. 促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准
C. 促使业务单位与承建单位充分沟通,形成深化的安全需求 D. 促使工程实施过程满足承建合同的要求,并与工程建设设计方案、工程计划相
符
90、CC使用何种类型的级别评价产品?
A 、PP B 、EPL C、 EAL D、A到D4个级别
91、在何种情况下,一个组织应当对公众和媒体公告其信息系统中发生的信息安全事件?
A. B.
当信息安全的负面影响扩展到本组织以外时 只要发生了安全事件就应当公告
C. 只有公众的生命财产安全受到巨大危害时才公告 D. 当信息安全事件平息之后 92、下面对ISO27001的说法最准确的是: A. B. C.
该标准的题目是信息安全管理体系实质隠内
该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 该标准提供了一组信息安全管理相关的控制措施和最佳实践
D. 该标准为建立、实施、运行、掌控、审核、维护和改进信息安全管理体系提
供了一个模型
93、ISO27001、ITIL和CO8IT在IT管理内容上各有优势,但侧重点不同,其各自重点分别
在于: A. B. C. D.
IT安全控制、IT过程管理和IT控制和度量评价 IT过程管理、IT安全控制和IT控制和度量评价 IT控制和度量评价、IT安全控制和IT安全控制 IT过程管理、IT控制和度量评价、IT安全控制
94、以下对于IATF信息安全保障技术源泉的说法错误的是: A. 它由美国国家安全局公开发布
B. 它的核心思想是信息安全深度防御(Detense-in-Depth) C. 他认为深度防御应当从策略、技术和运行维护三个层面来进行
D. 它将信息系统保障的技术层面分为本地计算机环境、区域边界、网络和基础设施和支撑性技术设施4个部分 95、以下哪一项不是我国与信息安全有关的国家法律? A. B.
《信息安全等级保护管理办法》
《中华人民共和国保守国家秘密法》
C. 《中华人民共和国刑法》
D. 《中华人民共和国国家安全法》
96、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定,
以下哪一项不是其中规定的罪行? A. 非法侵入计算机信息系统罪
- 12 -
B. C.
破坏计算机信息系统罪 利用计算机实施犯罪
D. 国家重要信息系统管理者玩忽职守罪
97、下面有关我国标准化管理和组织机构的手法错误的是: A. 国家标准化管理委员会是统一管理全国标准化工作的主管机构
B. 国家标准化技术委员会承担着国家标准的制定和修订工作 C. 全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布
D. 全国信息安全标准化技术委员负责统一协调申报信息安全国家标准年度计划
项目 98、下面有关我信息安全管理体制的说法错误的是:
A. 目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 B. 我国的信息安全保障工作综合利用法律、管理和技术的手段 C. D.
我国的信息安全管理应坚持综合治理、及时检测、快速响应的方针 我国对于信息安全责任的原则是谁主管谁负责;谁经营、谁负责
99、下面说法错误的是: A. 我国密码算法的审批和商用密码产品许可证 B. 对计算机网络上危害国家安全的事件进行侦 C. D. A. B. C.
公共信息网络安全监察和信息安全产品的测 全国保守国家秘密的工作由国家保密局负责 公安部公共信息网络安全监察局及其各地相应部门 国家计算机网络与信息安全管理中心 互联网安全协会
100、一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?
D. 信息安全产业商会
1、信息安全发展各阶段是与信息技术发展阶段息息相关的,其中,信息安全保障阶段对应下面哪个信息技术发展阶段? A、通信阶段 B、网络阶段 C、计算机阶段 D、网络化社会阶段 2、关于信息安全策略的说法中,下面哪种说法是正确的?
A、信息安全策略的制定是以信息系统的规模为基础
B、信息安全策略的制定是以信息系统的网络拓扑结构为基础 C、信息安全策略是以信息系统风险管理为基础
D、在信息系统尚未建设完成之前,无法确定信息安全策略
3、信息系统安全保障要求包括哪些内容? A、信息系统安安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程能力成熟度级要求
B、信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统工程安全保障要求
C、系统技术保障控制要求、信息系统管理保障控制要求、信息系统工程保障控制要求 D、系统安全保障目的、环境安全保障目的
4、对信息系统而言,信息系统安全目标是——在信息系统安全特性和评估范围之间达成一致的基础 A、开发者和评估者 B、开发者、评估者和用户 C、开发者和用户 D、评估者和用户
- 13 -
5、信息安全保障强调安全是动态的安全,意味着:
A、信息安全是一个不确定性的概念 B、信息安全是一个主观的概念 C、信息安全必须涵盖信息系统整个生命周期 D、信息安全只能是保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全
6、什么是安全环境? A、组织机构内部相关的组织、业务、管理策略
B、所有的与信息系统安全相关的运行环境,如已知的物理部署、自然条件、建筑物等 C、国家的法律法规、行业的政策、制度规范等 D、以上都是
7、以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?
A、强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
B、强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
C、以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心 D、通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征
8、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A、提高信息技术产品的国产化率 C、加快信息安全人才培养 9、PPOR模型不包括:
B、保证信息安全资金投入
D、重视信息安全应急处理工作
A、策略 B、检测 C、响应 D、加密 10、关于信息保障技术框架(IATF),下列哪种说法是错误的?
A、IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障 B、IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作; C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全;
D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
11、在能够实施被动攻击的前提下,通过对称密码算法进行安全消息传输的必要条件是: A、在安全的传输信道上进行通信 B、通讯双方通过某种方式,安全且秘密地共享密钥
C、通讯双方使用不公开的加密算法D、通讯双方将传输的信息夹杂在无用信息中传输并提取
12、常用的混合加密(Hybrid Encryption)方案指的是: A、使用对称加密进行通信数据加密,使用公钥加密进行会话密钥协商
B、使用公钥加密进行通信数据加密,使用对称加密进行会话密钥协商 C、少量数据使用公钥加密,大量数据则使用对称加密 D、大量数据使用公钥加密,少量数据则使用对称加密
- 14 -
13、流密码和分组密码相比,优势在于:、
A、安全性更佳 B、能够加密任意大小的明文 C、流密码算法的密钥可以重复使用D、在实现上通常开销比较小
14、中国的王小云教授对MD5,SHA1算法进行了成功攻击,这类攻击是指: A、能够构造出两个不同的消息,这两个消息产生了相同的消息摘要 B、对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了西安通的消息摘要
C、对于一个已知的消息摘要,能够恢复其原始消息
D、对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证 A、消息伪造
B、消息篡改
C、消息重放
D、未认证消息
15、时间戳的引入主要是为了防止: 16、以下对于IPsec协议说法正确的是:
A、鉴别头(AH)协议,不能加密包的任何部分
B、IPsec工作在应用层,并为应用层以下的网络通信提供VPN功能
C、IPsec关注与鉴别、加密和完整性保护,密钥管理不是IPsec本身需要关注的
D、在使用传输模式时,IPsec为每个包建立一个新的包头,而在隧道模式下使用原始
包头
17、以下哪一项不是工作在网络第二层的隧道协议? A、VLP B、L2F C、PPTP D、L2TP 18、证书中一般不包含以下内容中的: A、证书主体的名称 B、证书主体的公钥
C、签发者的签名
D、以上都是
19、下面哪一个情景属于身份鉴别(Aothentication)过程? A、用户依照系统提示输入用户名和口令 B、用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,那些用户可以修改
C、用户使用加密软件对自己编写的Office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程纪录在系统日志中
20、下面对于SSL工作过程的说法错误的是:
A、加密过程使用的加密算法是通过握手协议确定的 记录协议实现的
C、警告协议用于指示在什么时候发生了错误 助于PKI/CA
B、通信双方的身份认证是通过D、通信双方的身份认证需要借
21、下面对于Bell-Lapadula模型定义的访问规则的描述错误的是: A、simple security rule:处于一个级别的主体不能写高于该级别的客体
B、*-property (star property)rule:处于一个级别的主体不能对低于该级别的客体进行写操作 C、strong star property rule:处于一个级别的主体,可以对同一级别的客体进行读和写操作 D、Bell-Lapadula模型的访问规则主要是出于对保密性的保护而制定的 22、下面对于强制访问控制的说法错误的是: A、他可以用来实现完整性保护,也可以用来实现机密性保护 B、在强制访问控制的系统中,用户只能定义课题的安全属性
- 15 -