D.建立健全信息安全制度,明确信息安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确 83
以下关于信息安全工程说法正确的是:
A.信息化建设中系统功能的实现是最重要的
B.信息化建设可以先实施系统,然后对系统进行安全加固
C.信息化建设在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D.信息化建设没有必要涉及信息安全建设 84
以下哪一项不属于信息安全工程监理模型的组成部分:
A.监理咨询支撑要素
B.控制和管理手段
C.监理咨询阶段过程
D.监理组织安全实施 85
在工程实施阶段,监理机构依据承建合同.安全设计方案.实施方案.实施记录.国家或地方相关标准和技术指导文件,对信息化工程进行安全____检查,以验证项目是否实现了项目设计目标和安全等级要求。
A.功能性
B.可用性
C.保障性
D.符合性
本题得分:0分 86
系统安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model,SSE-CMM)定义的包含评估威胁.评估脆弱牲.评估影响和评估安全风险的基本过程领域是:
A.风险过程
B.工程过程
C.保证过程
D.评估过程 87
关于业务连续性计划(BCP)以下说法最恰当的是:
A.组织为避免所有业务功能因重大事件而中断,减少业务风险而建立的一个控制过程;
B.组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程;
C.组织为避免所有业务功能因各种事件而中断,减少业务风险而建立的一个控制过程;
D.组织为避免信息系统功能因各种事件而中断,减少信息系统而建立的一个控制过程。 88
某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年底前实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理,招标文件经管理层审批后发布。就此工程项目而言,以下正确的是:
A.此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性
B.在工程安全监理的参与下,确保了此招标文件的合理性
C.工程规划不符合信息安全工程的基本原则
D.招标文件经管理层审批,表明工程目标符合业务发展规划 89
信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:
A.信息系统的技术架构安全问题
B.信息系统组成部门的组件安全问题
C.信息系统生命周期的过程安全问题
D.信息系统运行维护的安全管理问题 90
有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Rractes)正确的理解是:
A.BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B.BP不是根据广泛的现有资料,实施和专家意见综合得出的
C.BP不代表信息安全工程领域的最佳实践
D.BP不是过程区域 (Process Arebs ,PA)的强制项 91
在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误理解的是:
A.如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时,则这个
组织过程的能力成熟度未达到此级别
B.如果该组织某个过程区域(Process Areas PA)具备了定义标准过程、执行已定义的过程,两个公共特征,则此工程区域的能力成熟度级别达到3级充分定义级
C.如果某个过程区域(Prpcess Areas,PA )包含的4个基本措施(Base Practices,BP)执行此BP时执行了3个BP 此过程区域的能力成熟度级别为0
D.组织在不同的过程区域能力成熟度可能处于不同的级别上 92
根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:
A.涉密信息系统的风险评估应按照《信息安全等级保护管理办法》的国家有关保密规定和标准进行
B.非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等有关要求进行
C.可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
D.此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容 93
RFC系列标准是由( )发布的:
A.国际标准化组织(ISO)
B.国际电工委员会(IEC)
C.国际贸易中心(ITC)
D.互联网工程任务组IETF 94
在以下标准中,属于推荐性国家标准的是?
A.GB/T XXXX.X-200X
B.GB XXXX-200X
C.DBXX/T XXX-200X
D.GB/Z XXX-XXX-200X 95
具有行政法律责任强制力的安全管理规定和安全规范制度包括:_________。1.安全事件(包括安全事故)报告制度 2.安全等级保护制度 3.信息体统安全监控 4.安全专用产品销售许可证制度
A.1.2.4
B.2.3
C.2.3.4
D.1.2.3 96
层次化的文档是信息安全管理体系《Information Securlty Management System,ISMS》建设的直接体系,也ISMS建设的成果之一,通常将ISMS的文档结构规划为4层金字塔结构,那么,以下选项( )应放入到一级文件中。 A.《风险评估报告》 B.《人力资源安全管理规定》 C.《ISMS内部审核计划》 D.《单位信息安全方针》 97
下图是某单位对其主网站的一天访问流量监测图,如果说该网站在当天17:00到20:00
中电运行CISE模拟考卷二
1
为保障信息系统的安全,某经营公众服务的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是( )
A.信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写
B.信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据
C.信息安全需求描述报告应当基于信息安全风险评估结果和有关政法法规和标准的合规性要求编写 D.信息安全需求描述报告的主体内容可以按照技术方面需求.管理方面需求和工程方面需求等分类展开编写 2
软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行 3
在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测
量时,正确的理解是:
A.测量单位是基本实施(Base Practices,BP)
B.测量单位是通用实施(Generic Practices,GP)
C.测量单位是过程区域(Process Areas,PA)
D.测量单位是公共特征(Common Features,CF) 4
下面关于信息系统安全保障模型的说法不正确的是: A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全 D.信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 5
关于信息安全保障技术框架(IATF),以下说法不正确的是:
A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
B.IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
D.IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
6
信息安全保障技术框架(Information Assurance Technical Framework,IATF)由美国国家安全局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南,其中,提出需要防护的三类“焦点区域”是:
A.网络和基础设施区域边界重要服务器
B.网络和基础设施区域边界计算环境
C.网络机房环境 网络接口计算环境
D.网络机房环境 网络接口重要服务器 7
以下哪一项不是我国信息安全保障的原则:
A.立足国情,以我为主,坚持以技术为主
B.正确处理安全与发展的关系,以安全保发展,在发展中求安全
C.统筹规划,突出重点,强化基础性工作
D.明确国家.企业.个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系 8
我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面,以下关于信息安全保障建设主要工作内容说法不正确的是:
A.健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B.建设信息安全基础设施,提供国家信息安全保障能力支撑
C.建立信息安全技术体系,实现国家信息化发展的自主创新
D.建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
9
下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:
A.确保采购定制的设备.软件和其他系统组件满足已定义的安全要求
B.确保整个系统已按照领导要求进行了部署和配置
C.确保系统使用人员已具备使用系统安全功能和安全特性的能力
D.确保信息系统的使用已得到授权 10
信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。
A.中国
B.俄罗斯
C.美国
D.英国 11
我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是( )
A.加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
B.重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。
C.推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性。
D.实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍。 12
为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是( )
A.信息安全需求是安全方案设计和安全措施实施的依据
B.信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求
C.信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
D.信息安全需求来自于该公众服务信息系统的功能设计方案 13
下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则? A.《关于加强政府信息系统安全和保密管理工作的通知》 B.《中华人民共和国计算机信息系统安全保护条例 》 C.《国家信息化领导小组关于加强信息安全保障工作的意见》 D.《关于开展信息安全风险评估工作的意见》 14
以下关于软件安全测试说法正确的是?
A.软件安全测试就是黑盒测试
说法?
A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低
B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同 71
以下说法正确的是:
A.验收测试是由承建方和用户按照用户使用手册执行软件验收
B.软件测试的目的是为了验证软件功能是否正确
C.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见
D.软件测试计划开始于软件设计阶段,完成于软件开发阶段 72
国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?
A.处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
B.能够局部反应国家防御和治安实力的
C.我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
D.国际领先,并且对国防建设或者经济建设具有特别重大影响的 73
信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合.互为补充
B.信息安全风险评估应以检查评估为主,自评估和检查评估相互结合.互为补充
C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D.自评估和检查评估是相互排斥的,无特殊理由的单位均应选择检查评估,以保证安全效果 74
小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ExposureFactor,EF)是25%,年度发生率(Annualized Rate ofOccurrence,ARO)为0.1,那么小王计算的年度预期损失(Annualized Loss Expectancy,ALE)应该是()。
A.5万元人民币
B.50万元人民币
C.2.5万元人民币
D.25万元人民币
本题得分:0分 75
以下哪项不是应急响应准备阶段应该做的?
A.确定重要资产和风险,实施针对风险的防护措施
B.编制和管理应急响应计划
C.建立和训练应急响应组织和准备相关的资源
D.评估时间的影响范围,增强审计功能.备份完整系统 76
信息安全管理体系(Information Securlty Management System,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述错误的是:
A.内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施
B.内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议的形式进行
C.内部审核的实施主体由组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构
D.组织的信息安全方针,信息目标和有关ISMS文件等,在内部审核中作为审核准则使用,但在管理评审中,这些文件是被审对象 77
信息安全管理体系(Information Securlty Management System,ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项( )描述了在此阶段组织应进行的活动。 ①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估
A.①②③④⑤⑥
B.①②③④⑤⑥⑦
C.①②③④⑤⑥⑦⑧
D.①②③④⑤⑥⑦⑧⑨
78
在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是( )
A.资产的价值指采购费用
B.资产的价值指维护费用
C.资产的价值与其重要性密切相关
D.资产的价值无法估计 79
某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是( )
A.软件安全开发生命周期较长,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题。
B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期(Security Development Lifecycle,SDL)的最大特点是增加了一个专门的安全编码阶段。
D.软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。 80
规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中,下面( )中的文档应属于风险评估中“风险要素识别”阶段输出的文档。 A.《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和
进度安排等内容 B.《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容 C.《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、资产分类标准等内容 D.《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容 \\ 81
不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是( )。
A.定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B.定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C.定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质.经验和知识技能密切相关
D.定性风险分析更具主观性,而定量风险分析更具客观性 82
在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是( )。
A.制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
B.确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量、计划应具体、可实施
C.向组织传达满足信息安全的重要指示,传达满足信息安全要求.达成信息安全目标.符合信息安全方针、履行法律责任和持续改进的重要性
C.部署IPsec VPN 网络时,需要考虑 IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication,SA)资源的消耗
D.报文验证头协议(Authentication Header,AH)可以提供数据机密性 43
在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
A.SSH
B.HTTP
C.FTP
D.SMTP 44
某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处李强,我的邮箱密码忘记了,现在打不开邮件,我着急收个邮件,麻烦你先帮我把密码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电考的要求。后来,李强发现邮箱系统登录异常。请问以下说法哪个是正确的?
A.小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题
B.事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器。
C.单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作
D.事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件服务软件 45
某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被
盗用,关于以上问题的说法正确的是:
A.网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题
B.网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
C.网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D.网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题 46
某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则:
A.最小特权原则
B.职责分离原则
C.纵深防御原则
D.最少共享机制原则 47
在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置内容( )?
A.不在Windows下安装Apache,只在Linux和Unix下安装
B.安装Apache时,只安装需要的组件模块 C.不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行
D.积极了解Apache的安全通告,并及时下载和更新 48
某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5个字节不能传送到对方,关于此案例,可以推断的是( )
A.该网站软件存在保密性方面安全问题
B.该网站软件存在完整性方面安全问题
C.该网站软件存在可用性方面安全问题
D.该网站软件存在不可否认性方面安全问题 49
微软SDL将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于( )的安全活动
A.要求(Rapuiroments)阶段
B.设计(Design)阶段
C.实施(Implenpentation)阶段
D.验证(Verifcation)阶段 50
由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是( )
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题 51
金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作习惯( )? A.使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件.应用软件进行升级
B.为计算机安装具有良好声誉的安全防范软件,包括病毒查杀.安安全检查和安全加固方面的软件
C.在IE的配置中,设置只能下载和安装经过签名的.安全的ActiveX控件
D.在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据 52
关于源代码审核,描述正确的是( )
A.源代码审核过程遵循信息安全保障技术框架模型,在执行时应一步一步严格执行
B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
C.源代码审核如果想要有效率高,则主要要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试 53
微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的是:
A.某用户在登录系统并下载数据后,却声称“我没有下载过数据\软件R威胁
B.某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威
胁。
C.对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术
D.对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术 54
某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试 55
下面哪项属于软件开发安全方面的问题?
A.软件部署时所需选用服务性能不高,导致软件执行效率低
B.应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
C.应用软件存在sol注入漏洞,若被黑客利用能窃取数据库所用数据
D.软件受许可证(license)限制,不能在多台电脑上安装 56
为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内?
A.关于网站身份签别技术方面安全知识的培训
B.针对OpenSSL心脏出血漏洞方面安全知识的培训
C.针对SQL注入漏洞的安全编程培训
D.关于ARM系统漏洞挖掘方面安全知识的培训 57
以下关于https协议与http协议相比的优势说明,哪个是正确的:
A.https协议对传输的数据进行加密,可以避免嗅探等攻击行为
B.https使用的端口http不同,让攻击者不容易找到端口,具有较高的安全性
C.https协议是http协议的补充,不能独立运行,因此需要更高的系统性能
D.https协议使用了挑战机制,在会话过程中不传输用户名和密码,因此具有较高的 58
某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:
A.所选择的特征(指纹)便于收集、测量和比较
B.每个人所拥有的指纹都是独一无二的
C.指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成 59
以下哪个选项不是信息安全需求较为常见的来源?
A.法律法规与合同条约的要求
B.组织的原则、目标和规定
C.风险评估的结果
D.安全架构和安全厂商发布的漏洞、病毒预警 60
以下哪些是需要在信息安全策略中进行描述的:
A.组织信息系统安全架构
B.信息安全工作的基本原则
C.组织信息安全技术参数
D.组织信息安全实施手段 61
关于信息安全管理,说法错误的是:
A.信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥和控制的一系列活动。
B.信息安全管理是一个多层面.多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。
C.实现信息安全,技术和产品是基础,管理是关键。
D.信息安全是人员、技术、操作三者紧密合作的系统工程,是一个静态过程。 62
信息安全等级保护分级要求,第三级适用正确的是:
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害 63
有关危害国家秘密安全的行为的法律责任,正确的是:
A.严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.承担了刑事责任,无需再承担行政责任或其他处分 64
以下对于信息安全事件理解错误的是:
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生 65
关于信息安全事件管理和应急响应,以下说法错误的是:
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段
C.对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级).重大事件(Ⅱ级).较大事件(Ⅲ级)和一般事件(Ⅳ级) 66
以下关于灾难恢复和数据备份的理解,说法正确的是:
A.增量备份是备份从上次完全备份后更新的全部数据文件
B.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级
C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
D.如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了 67
有关系统安全工程-能力成熟度模型(SSZ-CMM),错误的理解是: A.SSE-CMM要求实施组织与其他组织相互作用,如开发方.产品供应商.集成商和咨询服务商等
B.SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目
C.基手SSE-CMM的工程是独立工程,与软件工程.硬件工程.通信工程等分别规划实施
D.SSE-CMM覆盖整个组织的活动,包括管理.组织和工程活动等,而不仅仅是系统安全的工程活动 68
信息系统建设完成后, ( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。
A.二级以上
B.三级以上
C.四级以上
D.五级以上 69
有关国家秘密,错误的是:
A.国家秘密是关系国家安全和利益的事项
B.国家秘密的确定没有正式的法定程序
C.除了明确规定需要长期保密的,其他的国家秘密都是有保密期限的
D.国家秘密只限一定范围的人知悉 70
某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确
间受到了攻击,则从图中数据分析,这种攻击类型最可能属于下面什么攻击( )。
A.跨站脚本(Cross Site Scripting,XSS)攻击
B.TCP会话劫持(TCP Hijack)攻击
C.IP欺骗攻击
D.拒绝服务(Denial of Service,DoS)攻击 98
如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:
A.个人网银系统和用户之间的双向鉴别
B.由可信第三方完成的用户身份鉴别
C.个人网银系统对用户身份的单向鉴别
D.用户对个人网银系统合法性的单向鉴别 99
小陈自学了信息安全风险评估的相关理论知识后,根据风险分析阶段的工作内容和计量方法只是,绘制了如下四张图,图中F1.F2.F3.F4分别代表某种计算函数,四组图中,计算关系表达正确的是( A )
100
风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项( )。
A.明确组织管理机构
B.制定安全措施实施计划
C.资产识别并赋值
D.风险识别并赋值