79、有一些信息安全事件是由于信息系统中多个部分共同作用造成的,人们称这类事件为“多组件事故”,应对这类安全事件最有效的方法是:
A.配置网络入侵检测系统以检测某些类型的违法或误用行为 B.使用防病毒软件,并且保持更新为最新的病毒特征码 C.将所有公共访问的服务放在网络非军事区(DMZ) D.使用集中的日志审计工具和事件关联分析软件
80、依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T 20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预制定和管理;其中灾难恢复策略实现不包括以下哪一项? A.分析业务功能
B.选择和建设灾难备份中心 C.实现灾备系统技术方案
D.实现灾备系统技术支持和维护能力 81、在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须作的: A.测试系统应使用不低于生产系统的访问控制措施 B.为测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施,记录生产数据的拷贝和使用 82、下面有关能力成熟度模型的说法错误的是:
A.能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类 B.使用过程能力方案时,可以灵活选择评估和改进哪个或那些过程域
C.使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域 D.SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型 83、一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?
A.2级——计划和跟踪 B.3级-——充分定义 C.4级——量化控制 D.5级——持续改进
84、下列哪项不是信息系统的安全工程的能力成熟度模型(SSE-CMM)的主要过程: A、风险评估 B、保证过程 C、工程过程 D、评估过程
85、SSE-CMM工程过程区域中的风险过程包含哪些过程区域: A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱性、评估安全风险
C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全 86、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求
C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求 87、信息化建设和信息安全建设的关系应当是: A.信息化建设的结束就是信息安全建设的开始
B.信息化建设和信息安全建设应同步规划、同步实施
C.信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D.以上说法都正确 88、如果你作为甲方负责监管一个信息安全工程项目的实施,当乙方提出一项工程变更时你最应当关注的是:
A.变更的流程是否符合预先的规定 B.变更是否会对项目进度造成拖延 C.变更的原因和造成的影响
D.变更后是否进行了准确的记录
89、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D.应详细规定系统验收测试中有关系统安全性测试的内容 90、在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的: A.测试系统应使用不低于生产关系的访问控制措施 B.未测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施,记录生产数据拷贝和使用
91、关于监理过程中成本控制,下列说法中正确的是? A.成本只要不超过预计的收益即可 B.成本应控制得越低越好
C.成本控制由承建单位实现,监理单位只能记录实际开销
D.成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 92、下列哪项不是安全管理方面的标准? A.ISO 27001 B.ISO 13335 C.GB/T 22080 D.GB/T 18336
93、关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是__________。 A.SSE-CMM是关于信息安全建设工程实施方面的标准
B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程
C.SSE-CMM模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证 D.SSE-CMM是用于对信息系统的安全等级进行评估的标准
94《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定,以下哪一项不是其中规定的罪行?
A. 非法侵入计算机信息系统罪 B. 破坏计算机信息系统罪 C. 利用计算机实施犯罪
D. 国家重要信息系统管理者玩忽职守罪 95、计算机取证的合法原则是:
A、计算机取证的目的是获取证据,因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行,以确保其合法性
D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则 96、对第三方服务进行安全管理时,以下说法正确的是: A、服务水平协议的签定可以免除系统安全管理者的责任
B、第三方服务的变更管理的对象包括第三方服务造成的系统变化和服务商贸的变化 C、服务水平协议的执行情况的监督,是服务方项目经理的职责,不是系统管理者的责任 D、安全加固的工作不能由第三方服务商进行
97、对涉密系统进行安全保密测评应当依据以下哪个标准?
A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B、BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C、GB17859-1999《计算机信息系统安全保护等级划分准则》 D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 98、等级保护定级阶段主要包括哪2个步骤 A.系统识别与描述、等级确定 B.系统描述、等级确定 C.系统识别、系统描述
D.系统识别与描述、等级分级
99、以下哪一项是用于CC的评估级别?
A、EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7 B、A1,B1,B2,B3,C2,C1,D C、E0,E1,E2,E3,E4,E5,E6
D、AD0,AD1,AD2,AD3,AD4,AD5,AD6
100、我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是: A、WG1 B、WG7 C、WG3 D、WG5
1 c 2 b 3 d 4 a 5 b 6 a 7 c 8 c
9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 d c c d a a d c d b c a d b c d d d d a c b d d b a c c a a a b d a d c d c c c a d c
53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 b c a b b d a a a a c c d b c a a c c b d b c a c a d a b d b a c d b c a b d d d d d b
97 b 98 a 99 a 100 b