B.记录并分析系统错误日志
C.记录并分析用户和管理员操作日志 D.启用时钟同步
54.有关危害国家秘密安全的行为的法律责任,正确的是:
A.严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任&
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任 C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任 D.承担了刑事责任,无需再承担行政责任和/或其他处分 55.以下对于信息安全事件理解错误的是:
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件 B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生&
56.假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备: A.是多余的,因为它们完成了同样的功能,但要求更多的开销 B.是必须的,可以为预防控制的功效提供检测& C.是可选的,可以实现深度防御
D.在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够
57.关于我国加强信息安全保障工作的主要原则,以下说法错误的是: A.立足国情,以我为主,坚持技术与管理并重
B.正确处理安全和发展的关系,以安全保发展,在发展中求安全 C.统筹规划,突出重点,强化基础工作
D.全面提高信息安全防护能力,保护公众利益,维护国家安全& 58.以下哪一项不是信息安全管理工作必须遵循的原则?
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低&
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
59.《信息安全技术 信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是: A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求
C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证
D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面 60.对信息安全风险评估要素理解正确的是:
A.资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构&
B.应针对构成信息系统的每个资产做风险评价
C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差 距项
D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 61.以下哪些是需要在信息安全策略中进行描述的: A.组织信息系统安全架构 B.信息安全工作的基本原则& C、组织信息安全技术参数 D、组织信息安全实施手段
62.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:
A.信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展
C.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导& 63.RPC 系列标准是由( )发布的: A.国际标准化组织(ISO) B.国际电工委员会(IEC) C.国际贸易中心(ITC) D.互联网工程任务组IETF&
64.对于数字证书而言,一般采用的是哪个标准? A.ISO/IEC 15408 B.802.11 C.GB/T 20984 D.X.509&
65.下面的角色对应的信息安全职责不合理的是: A.高级管理层——最终责任
B.信息安全部门主管——提供各种信息安全工作必须的资源 C.系统的普通使用者——遵守日常操作规范 D.审计人员——检查安全策略是否被遵从 66.CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC 标准的先进性?
A.结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B.表达方式的通用性,即给出通用的表达方式 C.独立性,它强调将安全的功能和保证分离
D.实用性,将CC 的安全性要求具体应用到IT 产品的开发、生产、测试和评估
过程中&
67.自2004 年1 月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。 A.全国通信标准化技术委员会(TC485)
B.全国信息安全标准化技术委员会(TC260)& C.中国通信标准化协会(CCSA) D.网络与信息安全技术工作委员会
68.风险计算原理可以用下面的范式形式化地加以说明: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) 以下关于上式各项说明错误的是:
A.R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性 B.L 表示威胁利资产脆弱性导致安全事件的可能性 C.F 表示安全事件发生后造成的损失
D.Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产(应为脆弱性)的严重程度& 69.为了不断完善一个组织的信息安全管理,应对组织的信息安全管理方法及实施情况进行独立评审,这种独立评审。 A.必须按固定的时间间隔来进行
B.应当由信息系统的运行维护人员发起
C.可以由内部审核部门或专业的第三方机构来实施&
D.结束后,评审者应组织针对不符合安全策略的问题设计和实施纠正措施 70.以下哪一项在防止数据介质被溢用时是不推荐使用的方法: A.禁用主机的CD 驱动、USB 接口等I/O 设备 B.对不再使用的硬盘进行严格的数据清除 C.将不再使用的纸质文件用碎纸机粉碎
D.用快速格式化删除存储介质中的保密文件& 71.在进行应用系统的测试时,应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的: A.测试系统应使用不低于生产系统的访问控制措施 B.为测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施,记录生产数据的拷贝和使用
72.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。 A.统一而精确地的时间 B.全面覆盖系统资产
C.包括访问源、访问目标和访问活动等重要信息 D.可以让系统的所有用户方便的读取&
73.关于信息安全事件管理和应急响应,以下说法错误的是:
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段&
C.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为4 个级别:特别重大事
件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级) 74.以下哪一项不属于信息安全工程监理模型的组成部分: A.监理咨询支撑要素 B.控制和管理手段 C.监理咨询阶段过程 D.监理组织安全实施&
75.以下关于灾难恢复和数据备份的理解,说法正确的是: A.增量备份是备份从上次完全备份后更新的全部数据文件&
B.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7 个等级 C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份 D.如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了
76.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M 公司为承建单位,并选择了H 监理公司承担该项目的全程监理工作,目前,各
个应用系统均已完成开发,M 公司已经提交了验收申请,监理公司需要对A 公司提交的软件配
置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档: A.项目计划书 B.质量控制计划 C.评审报告 D.需求说明书&
77.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
A.审核实施投资计划& B.审核实施进度计划 C.审核工程实施人员 D.企业资质
78.以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是: A.DAS 能够在服务器物理位置比较分散的情况下实现大容量存储.是一种常用的数据存储方法&
B.DAS 实现了操作系统与数据的分离,存取性能较高并且实施简单
C.DAS 的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取 D.较网络附加存储(Network Attached Storage,NAS),DAS 节省硬盘空间,数据非常集中,便于对数据进行管理和备份 79.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为了找到根本愿因,他应该首先检查: A.灾难恢复站点的错误事件报告 B.灾难恢复测试计划 C.灾难恢复计划(DRP)
D.主站点和灾难恢复站点的配置文件
80.以下对异地备份中心的理解最准确的是:
A.与生产中心不在同一城市 B.与生产中心距离100 公里以上 C.与生产中心距离200 公里以上
D.与生产中心面临相同区域性风险的机率很小&
81.作为业务持续性计划的一部分,在进行业务影响分析(BIa)时的步骤是: 1.标识关键的业务过程 2.开发恢复优先级 3.标识关键的IT 资源
4.表示中断影响和允许的中断时间 A.1-3-4-2 B.1-3-2-4 C.1-2-3-4 D.1-4-3-2&
82.有关系统安全工程-能力成熟度模型(SSZ-CMM),错误的理解是:
A.SSE-CMM 要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B.SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
C.基手SSE-CMM 的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施&
D.SSE-CMM 覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
83.下面关于信息系统安全保障的说法不正确的是:
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命 84.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
A.测量单位是基本实施(Base Practices,BP) B.测量单位是通用实施(Generic Practices,GP)& C.测量单位是过程区域(Process Areas,PA) D.测量单位是公共特征(Common Features,CF)
85.下面关于信息系统安全保障模型的说法不正确的是:
A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心 B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入&
86.信息系统安全工程(ISSE)的一个重要目标就是在IT 项目的各个阶段充分考