行
D.积极了解Apache 的安全通告,并及时下载和更新
188. 某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000 个字节数据时,总是会有3 到5 个字节不能传送到对方,关于此案例,可以推断的是() A 该网站软件存在 保密性方面安全问题 B 该网站软件存在完整性方面安全问题 C 该网站软件存在 可用性方面安全问题
D 该 网站软件存在 不可否认性方面安全问题
189. 信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早
将网络安全上长升为国家安全战略,并制定相关战略计划。 A 中国 B 俄罗斯 C 美国 D 英国
190. 我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,
关于我国信息安全实践工作,下面说法错误的是()
A 加强信息安全标准化建设 ,成立了“全国信息安全标准化技术委员会”制订和发布了
大批信息安全技术,管理等方面的标准。
B,重视信息安全应急处理工作,确定由国家密码管理局牵头成立 “国家网络应急中心”
推动了应急处理和信息通报技术合作工作进展 C 推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,
重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性 D 实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改
完善了有关标准,培养和锻炼了人才队伍
191. 为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求
描述报告,关于此项工作,下面说法错误的是() A 信息安全需求是安全方案设计和安全措施实施的依据
B 信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的
语言来描述信息系统安全保障需求
C 信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合
规性要求得到
D 信息安全需求来自于该公众服务信息系统的功能设计方案
192. 下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及
加强信息安全工作的主要原则?
A More《关于加强政府信息系统安全和保密管理工作的通知》 B 《中华人民共和国计算机信息系统安全保护条例 》
C《国家信息化领导小组关于加强信息安全保障工作的意见》 D:《关于开展信息安全风险评估工作的意见》
193. 在以下标准中,属于推荐性国家标准的是? A.GB/T XXXX.X-200X B.GB XXXX-200X C.DBXX/T XXX-200X D.GB/Z XXX-XXX-200X
194. 微软slm 将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。
其中“弃用不安全的函数”属于()的安全活动 A.要求(rapuiroments)阶段 B.设计(design)阶段
C.实施(lmplenpentation)阶段 D.验证(venifcation)阶段
195. 由于频繁出现燃机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是() A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用Windows8 系统进行开发,不能采用之前的Windows 版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题 53
196. 金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作 a、在使用网络浏览器时,设置不在计算机中保留网络历史记录和表 b、为计算机安装具有良好声誉的安全防范软件包括病毒查杀、安 c、在ie 的配置中,设置只能下载和安装经过签名的、安全的acti
d、使用专用上网购物用计算机,安装好软件后不要对该计算机上的
197. 关于源代码审核,描述正确的是()B
A.源代码审核过程遵循信息安全保障技术框架模型,在执行时应一步一步严格执行
B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业 开源工具
C.源代码审核如果想要有效率高,则主要要依赖人工审核而不是工具审核,因为人工智
能的,需要人的脑袋来判断
D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
198. 微软提出了STRIDE 模型,其中R 是Repudiation(抵赖)的缩写,关于此项错误的事是()
A.某用户在登录系统并下载数据后,却声称“我没有下载过数据\软件R 威胁
B.某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。
C.对于R 威胁,可以选择使用如强认证、数字签名、安全审计等技术 D.对于R 威胁,可以选择使用如隐私保护、过滤、流量控制等技术
199. 某单位开发一个面向互联网提供服务的应用网站 ,该单位委托软件测评机构对软件进行了源代码 分析,模糊测试等软件测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试,模糊测
试的优势给领导做决策,以下哪条是渗透性的优势?
A.渗透测试使用人工进行测试,不依赖软件,因此测试更准确 B.渗透测试是用软件代替人工的一种测试方法。因此测试效率更高 C.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
200. 以下关于软件安全测试说法正确 的是() A.软件安全测试就是黑盒测试
B.FUZZ 测试是经常采用的安全测试方法之一 C.软件安全测试关注的是软件的功能
D.软件安全测试可以发现软件中产生的所有安全问题
201. 在工程实验阶段,什么机构依据承建合同,安全设计方案,实施方案,实施记录,国家或地方相关标准和技术指导文件,对信息化工程进行安全________检查,以验证项目是否实现了项目设计目标和安全等级要求 A 功能性
B 可用性 C 保障性 D 符合性
202. 信息安全工程作为信息安全保障的重要组成部门,主要是为了解决: A.信息系统的技术架构安全问题 B.信息系统组成部门的组件安全问题 C.信息系统生命周期的过程安全问题 D.信息系统运行维护的安全管理问题
203. 有关系统安全工程 -能力成熟度模型 (SSE-CMM)中基本实施 (Base Rractes)正确的理解是 :
A.BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法 B.BP 不是根据广泛的现有资料,实施和专家意见综合得出的 C.BP 不代表信息安全工程领域的最佳实践
D.BP 不是过程区域 (Process Arebs ,PA ) 的强制项
204. 在使用系统工具安全工程能力成熟度模型 (SSW-CMM) 对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误理解的是
A.如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时,这个组织过程的能力成熟度未达到级别
B.如果该组织过个工程区域 (Process Areas PA )具备了 定义标准过程 ,执行已定义的过程, 两个公共特征 ,对此工程区域的能力成熟度级别达到3 级充分定义级
C.如果某个区域过程(Prpcess Areas PA )包含的4 个基本措施(Base Pracbces, BP)执行此BP 时执行了3 个BP 此过程区域的能力成熟度级别为0 D.组织在不同的过程区域能力成熟度可能处于不同级别上
205. 具有行政法律责任强制力的安全管理规定和安全规范制度包括 A.安全事件 (包括安全事故)报告制度 B.安全等级保护制度 C.信息体统安全监控
D.安全专用产品销售许可证制度 A. 1.2.4 B.2.3 C.2.3.4 D.1.2.3
206. 某单位在实施风险评估时,按照规范形成了若干文档,其中,()中的文档应属于风险评估中“风险要素识别”阶段输出的文档
A.《风险评估方法》,主要包括本次风险评估的目的、范围、目标,评估步骤,经费预算
和进度安排等内容
B.《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C.《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法,资产
分类标准等内容
D.《已有安全措施列表》,主要经验检查确认后的已有技术和管理方面安全措施等内容
207. 层次化的文档是信息安全管理体系《information Securlty Management System.
ISMS》建设的直接体系,也ISMS 建设的成果之一,通常将ISMS 的文档结构规划为4 层金字塔结构,那么,以下选项()应放入到一级文件中. A.《风险评估报告》
B.《人力资源安全管理规定》 C.《ISMS 内部审核计划》 D.《单位信息安全方针》
208. 信息安全管理体系(information Securlty Management System. ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述错误的是()
A、内部审核和管理评审都很重要,都是促进ISMS 持续改进的重要动力,也都应当按照一定的周期实施
B、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议的形式进行 C、内部审核的实施主体由组织内部的ISMS 内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构
D、组织的信息安全方针,信息目标和有关ISMS 文件等,在内部审核中作为审核准则使用,但在管理评审中,这些文件是被审对象
209. 信息安全管理体系(information Securlty Management System. 简称ISMS)的实施和运行ISMS 阶段,是ISMS 过程模型的实施阶段,下面给出了一些备选的活动,选项()描述了在此阶段组织应进行的活动。
①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识
教育计划⑤管理ISMS 的运行⑥管理ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估 A.①②③④⑤⑥ B.①②③④⑤⑥⑦ C.①②③④⑤⑥⑦⑧ D.①②③④⑤⑥⑦⑧⑨