77、信息化建设和信息安全建设的关系应当是:
A、信息化建设的结束就是信息安全建设的开始 B、信息化建设和信息安全建设应同步规划、同步实施 C、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D、以上说法都正确
78、根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中——确立安全解决方案的置信度并且把这样的置信度传递给顾客。
A、保证过程 B、风险过程 C、工程和保证过程 79、下列哪些不是SSE-CMM中规定的系统安全工程过程类?
A、工程
B、组织
C、项目
D、资产
B、域维定义了实施安
80、关于SSE-CMM的说法错误的是:
A、它通过域维和能力维共同形成对安全工程能力的评价
全工程的所有实施活动 C、能力维定义了工程能力的判断标准
D、安全工程过程
D、“公共特征”是域维中队获得过程区
目标的必要步骤的定义
81、项目管理是信息安全工程的基础理论,下列关于项目管理的理解正确的是:
A、项目管理的基本要素是质量、进度和成本 B、项目管理的基本要素是范围、人力和沟通 C、项目管理是从项目的执行开始到项目结束全过程进行计划、组织、指挥、协调、控制和评价,以实现项目的目标 D、项目管理是项目管理者,在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的技术工作进行有效的管理
82、在信息系统的设计阶段必须做以下工作除了: A、决定使用哪些安全控制措施 B、对设计方案的安全性进行评估 C、开发信息系统的运行维护手册 D、开发测试、验收和认可方案
83、信息系统安全保障工程是一门跨学科的工程管理过程,它是基于对信息系统安全保障需求的发掘和对——的理解,以经济、科学的方法来设计、开发和建设信息系统,以便它能满足用户安全保障需求的科学和艺术。 A、安全风险 B、安全保障 C、安全技术 D、安全管理
84、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? A、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D、应详细规定系统验收测试中有关系统安全性测试的内容
85、关于信息安全监理过程中成本控制,下列说法中正确的是? A、成本只要不超过预计的收益即可 B、成本应控制得越低越好
C、成本控制有承建单位实现,监理单位只记录实际开销
D、成本控制的主要目的是在批注的预算条件下确保项目保质按期完成
86、IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作实在IT项目的开发阶段不需要重点考虑的安全因素?
- 21 -
A、操作系统的安全加固 B、输入数据的校验 C、数据处理过程控制
D、输出数据的验证 87、《刑法》第六章第285、286、287条对于计算机犯罪的内容和量刑进行了明确的规定,以下哪一项不是其中规定的罪行? A、非法侵入计算机信息系统罪 B、破坏计算机信息系统罪 C、利用计算机实施犯罪 D、国家重要信息系统管理者玩忽职守罪
88、我国规定商用密码产品的研发、制造、销售和使用采取专控管理,必须经过审批,所依据的是: A、商用密码管理条例
B、中华人民共和国计算机信息系统安全保护条例
D、中华人民共和国保密法
C、计算机信息系统国际互联网保密管理规定 A、系统识别与描述、等级确定
89、等级保护定级阶段主要包括哪两个步骤?
B、系统描述、等级确定
C、系统识别、系统描述、 D、系统识别与描述、等级分级 90、实施信息系统安全等级保护制度的一般工作流程是——。
A、定级-检查-建设整改-等级测评-备案 B、等级测评-建设整改-监督检查
C、定级-备案-建设整改-等级测评-监督检查 D、定级- -等级测评-备案-建设整改-监
督检查
91、信息安全等级保护分级要求,第一级适用正确的是: A、适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害 B、适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害 C、适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益 D、适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害
92、TCSEC(橘皮书)中划分的7个安全等级中,____是安全程度最高的安全等级。 A、A1 B、A2 C、C1 D、C2
93、______是目前国际通行的信息技术产品安全性评估标准。 A、TCSEC B、ITSEC C、CC 94、以下哪一项是用于CC的评估级别?
D、IATF
B、A1,B1,B2,B3,
A、EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7
C2,C1,D
C、E0,E1,E2,E3,E4,E5,E6 AD4,AD5,AD6
95、下面对ISO 27001的说法最准确的是:
D、AD0,AD1,AD2,AD3,
A、该标准的题目是信息安全管理体系实施指南
B、该标准为度量信息安全管理体系的开发和实施过程提供的一套标准
C、该标准提供了一组信息安全管理相关的控制措施和最佳实践
D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一
个模型
96、ISO 27002、ITIL和COBIT在IT管理内容上各有优势,但侧重点不同,其各自重点分别在于:
- 22 -
A、IT安全控制、IT过程管理、IT控制和度量评价 B、IT过程管理、IT安全
控制、IT控制和度量评价 C、IT控制和度量评价 、IT安全控制和IT过程管理 D、IT过程管理、IT控制和度量评价、IT安全控制
97、我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是: A、WG1
B、WG7 C、WG3 D、WG5
98、触犯新刑法285条规定的非法侵入计算机系统罪可判处_________ A、三年以下有期徒刑或拘役 B、1000元罚款 C、三年以上五年以下有期徒刑
D、10000元罚款
99、以下关于我国信息安全政策和法律法规的说法错误的是:
A、中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识” B、2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》
C、2007年我国四部委联合发布了《信息安全等级保护管理办法》
D、2006年5月全国人大常委会审议通过了《中国人名共和国信息安全法》
100、下面关于CISP的知识体系大纲说法错误的是: A、信息安全保障(IA)是贯穿整个CISP知识体系大纲的主线 B、CISP知识体系分为体系模型、技术、管理、工程和法律法规五大类
C、使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组建模块化的知识体系结构
D、CISP培训的内容应当与大纲的要求相符合,而考试的范围是以推荐教材和培训讲师授课内容为依据的
1、 信息安全保障的最终目标是:
A、 掌握系统的风险,制定正确的策略 B、 确保系统的保密性、完整性和可用性
C、 使系统的技术、管理、工程过程和人员等安全保障要素达到要求 D、 保障信息系统实现组织机构的使命
2、2008年某单位对信息系统进行了全面的风险评估,并投入充分的资源进行了有效的风险处置,但是2010年仍然发生了一起影响恶劣的信息安全事件,这主要是由于:
A、 信息安全是系统的安全 B、 信息安全是无边界的安全 C、 信息安全是动态的安全 D、 信息安全是非传统的安全
3、 下面对于信息安全发展历史描述正确的是:
A、 信息安全的概念是随着计算机技术的广泛应用而诞生的 B、 目前信息安全已经发展到计算机安全的阶段
C、 目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程
和人员同样是促进信息系统安全性的重要因素
D、 我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安
全”,再到“信息技术安全”,直至现在的“信息安全保障”
4、 依据《信息系统安全保障评估框架》,以下哪个不是安全保障要素?
- 23 -
A、保密性 B、管理 C、工程 D、技术 5、美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为: A、内网和外网两个部分
B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C、用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D、信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全措施六个部分
6、下列对于CC的“评估保证级”(EAL)的说法最准确的是: A、代表着不同的访问控制强度
B、描述了对抗安全威胁的能力级别
C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求 D、由一系列保证组件构成的包,可以代表预先定义的保证尺度 7、下面关于信息安全模型的说法错误的是:
A、通常可以将访问控制模型分为自主访问控制模型、强制访问控制模型和基于角色的访问控制模型 B、强制访问控制模型可以分为多级环境的访问控制模型和多边环境的访问控制模型
C、在一个动态的访问控制模型当中,主体的访问控制权限可以随着其访问行为而变化
D、信息流模型是访问控制模型中对抗隐通道最有效的一种 8、下列哪一项准确地描述了可信计算基(TCB)? A、TCB只作用于固件(Firmware)
B、TCB描述了一个系统提供的安全级别 C、TCB描述了一个系统内部的保护机制 D、TCB通过安全标签来表示数据的敏感性
9、 下面哪一项访问控制模型使用安全标签(security labels)?
A、自主访问控制 B、非自主访问控制 C、强制访问控制 D、基于角色的访问控制
10、在Chinese Wall 模型中访问数据受限于:
A、数据的属性 B、主体已经获得了对哪些数据的访问权限 C、数据的结构 D、数据的加密等级
11、下列对于访问控制模型分类说法正确的是: A、BLP模型和Biba模型都是强制访问控制模型 B、Biba模型和Chinese Wall 模型都是完整性模型 C、访问控制矩阵不属于自主访问控制模型 D、基于角色的访问控制属于强制访问控制
12、下面对于Bell—Lapadula模型定义的访问规则的描述错误的是?
A、simple security rule:处于一个级别的主体不能写高于该级别的客体 B、*-property(star property)rule;处于一个级别的主体不能对低于该基本的客体进行写操作
C、strong star property rule:处于一个级别的主体,可以对同一级别的客体进行和写操作
D、Bell—Lapadula模型的访问规则主要是出于对保密性的保护而制定的
- 24 -
13、下面对于强制访问控制的说法错误的是?
A、它可以用来实现完整性保护,也可以用来实现机密性保护 B、在强制访问控制的系统中,用户只能定义客体的安全属性 C、它在军方和政府等安全要求很高的地方应用较多 D、它的缺点是使用中的便利性比较低
14、下列对Kerberos协议特点描述不正确的是:
A、协议采用单点登录技术,无法实现分布式网络环境下的认证 B、协议与授权机制相结合,支持双向的身份认证
C、只要用户拿到了TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码
D、AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全
15、下列哪种方法最能够满足双因子认证的需求? A、智能卡和用户PIN B、用户ID与密码
C、虹膜扫描和指纹扫描 D、磁卡和用户PIN
16、以下关于P2DR模型的说法正确的是:
A、一个信息系统的安全保障体系应当以人为核心,防护、检测和恢复组成一个完整的、动态的循环
B、判断一个系统系统的安全保障能力,主要看安全策略的科学性与合理性,以及安全策略的落实情况
C、如果安全防护时间小于检测时间加响应时间,这该系统一定是不安全的 D、如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间 17、近代密码学比古典密码学本质上的进步是什么? A、保密是基于密钥而不是密码算法 B、采用了非对称密钥算法 C、加密的效率大幅提升 D、VPN技术的应用
18、下列哪一种密码算法是基于大数分解难题的? A、ECC B\\RSA C\\DES D\\Diffie—Hellman 19、关于非对称算法的应用范围,说法正确的是: A、DSS用于数字签名,RSA用于加密和签名 B、DSS用于密钥交换,IDEA用于加密和签名 C、DSS用于数字签名,MDS用于加密和签名 D、IDEA用于加密和签名,MD5用于完整性校验
20、非对称密码系统的主要用途包括密钥交换、加密解密和数字签名,下面哪一个算法既不用加密解密,也不用数字签名:
A、Diffie—Hellman B、RSA C、椭圆曲线(ECC) D、以上都不对 21、PKI在验证一个数字证书时需要查看—,来确认该证书是否已经作废。 A、ARL B\\CSS C\\KMS D\\CRL 22、IPSec的两种使用模式分别是— A、传输模式、安全壳模式 B、传输模式、隧道模式
- 25 -