1、 1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于: A A. 为了更好的完成组织机构的使命 B. 针对信息系统的攻击方式发生重大变化 C. 风险控制技术得到革命性的发展 D. 除了保密性,信息的完整性和可用性也引起了人们的关注 2. GB/T 20274 信息系统安全保障评估框架中的信息系统安全保障级中的级别是指: C A. 对抗级 B. 防护级 C. 能力级 D. 监管级 3. 下面对信息安全特征和范畴的说法错误的是: C A. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素 B. 信息安全是一个动态的问题,他随着信息
2、技术的发展普及,以及产业基础,用户认识、投入产出而发展 C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的 D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点 4. 美国国防部提出的信息保障技术框架( IATF)在描述信息系统的安全需求时,将信息技术系统分为: B A. 内网和外网两个部分 B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用
3、软件,安全防护措施六个部分 5. 关于信息安全策略的说法中,下面说法正确的是: C A. 信息安全策略的制定是以信息系统的规模为基础 B. 信息安全策略的制定是以信息系统的网络? C. 信息安全策略是以信息系统风险管理为基础 D. 在信息系统尚未建设完成之前,无法确定信息安全策略 6. 下列对于信息安全保障深度防御模型的说法错误的是: C A. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。 B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至
4、信息系统的整个生命周期,在这个过程中,我们需要采 用信息系统工程的方法来建设信息系统。 C. 信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系无关紧要 D. 信息安全技术方案:“从外而内、自下而上、形成端到端的防护能力” 7. 全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的? A A. 国家信息化领导小组关于加强信息安全保障工作的意见 B. 信息安全等级保护管理办法 C.中华人民 共和国计算机信息系统安全保护条例 D.关于加强政府
5、信息系统安全和保密管理工作的通知 8. 一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案? A A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会 9. 下列哪个不是商用密码管理条例规定的内容: D A. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作 B. 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理 C. 商用密码产品由国家密码管理机构许可的单位销售 D. 个人可以使用经国家密码管理机构认可之外的商用密码产品 10. 对
6、涉密系统进行安全保密测评应当依据以下哪个标准? B A. BMB20-2007涉及国家秘密的计算机信息系统分级保护管理规范 B. BMB22-2007涉及国家秘密的计算机信息系统分级保护测评指南 C. GB17859-1999计算机信息系统安全保护等级划分准则 D. GB/T20271-2006信息安全技术信息系统统用安全技术要求 11. 下面对于 CC 的“保护轮廓”( PP)的说法最准确的是: C A. 对系统防护强度的描述 B. 对评估对象系统进行规范化的描述 C. 对一类 TOE 的安全需求,进行与技术实现无关的描述 D. 由一系列保证组件构成的包,可以代表预先定义的保证尺度 12.
7、关于 ISO/IEC21827:2002(SSE-CMM)描述不正确的是: D A. SSE-CMM 是关于信息安全建设工程实施方面的标准 B. SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程 C. SSE-CMM 模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证 D. SSE-CMM 是用于对信息系统的安全等级进行评估的标准 13. 下面哪个不是 ISO 27000 系列包含的标准 D A. 信息安全管理体系要求 B. 信息安全风险管理 C. 信息安全度量 D. 信息安全评估规范 14. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可
8、用性三项信息安全特征? A A. ITSEC B. TCSEC C. GB/T9387.2 D.彩虹系列的橙皮书 15. 下面哪项不是信息安全等级保护管理办法(公通字【 2007】 43 号)规定的内容 D A. 国家信息安全等级保护坚持自主定级、自主保护的原则 B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查 C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级 D. 第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每?少进行一次等级测评 16. 触犯新刑法 285 条规定的非法侵入计算机系统罪可判处 _A_。 A. 三年以下有期徒刑或拘役
9、 B. 1000 元罚款 C. 三年以上五年以下有期徒刑 D. 10000 元罚款 17. 常见密码系统包含的元素是: C A. 明文,密文,信道,加密算法,解密算法 B. 明文,摘要,信道,加密算法,解密算法 C. 明文,密文,密钥,加密算法,解密算法 D. 消息,密文,信道,加密算法,解密算法 18. 公钥密码算法和对称密码算法相比,在应用上的优势是: D A. 密钥长度更长 B. 加密速度更快 C. 安全性更高 D. 密钥管理更方便 19. 以下哪一个密码学手段不需要共享密钥? B A.消息认证 B.消息摘要 C.加密解密 D.数字签名 20. 下列哪种算法通常不被用户保证保密性? D
10、A. AES B. RC4 C. RSA D. MD5 21.数字签名应具有的性质不包括: C A. 能够验证签名者 B. 能够认证被签名消息 C. 能够保护被签名的数据机密性 D. 签名必须能够由第三方验证 22. 认证中心( CA)的核心职责是 _A_。 A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单 D. 撤销用户的证书 23. 以下对于安全套接层( SSL)的说法正确的是: C A. 主要是使用对称密钥体制和 X.509 数字证书技术保护信息传输的机密性和完整性 B. 可以在网络层建立 VPN C. 主要使用于点对点之间的信息传输,常用 Web server 方式 D. 包
11、含三个主要协议: AH,ESP,IKE 24. 下面对访问控制技术描述最准确的是: C A. 保证系统资源的可靠性 B. 实现系统资源的可追查性 C. 防止对系统资源的非授权访问 D. 保证系统资源的可信性 25. 以下关于访问控制表和访问能力表的说法正确的是: D A. 访问能力表表示每个客体可以被访问的主体及其权限 B. 访问控制表说明了每个主体可以 访问的客体及权限 C. 访问控制表一般随主体一起保存 D. 访问能力表更容易实现访问权限的传递,但回收访问权限较困难 26. 下面哪一项访问控制模型使用安全标签( security labels) C A. 自主访问控制 B. 非自主访问控制
12、 C. 强制访问控制 D. 基于角色的访问控制 27. 某个客户的网络限制可以正常访问 internet 互联网,共有 200 台终端 PC 但此客户从 ISP(互联网络服务提供商)里只获得了 16 个公有的 IPv4 地址,最多也只有 16 台 PC 可以访问互联网,要想让全部 200 台终端 PC 访问 internet 互联网最好采取什么办法或技术: B A. 花更多的钱向 ISP 申请更多的 IP地址 B. 在网络的出口路由器上做源 NAT C. 在网络的出口路由器上做目的 NAT D. 在网络出口处增加一定数量的路由器 28. WAPI 采用的是什么加密算法? A A. 我国自主研发
13、的公开密钥体制的椭圆曲线密码算法 B. 国际上通行的商用加密标准 C. 国家密码管理委员会办公室批准的流加密标准 D. 国际通行的哈希算法 29. 以下哪种无线加密标准的安全性最弱? A A. wep B. wpa C. wpa2 D. wapi 30. 以下哪个不是防火墙具备的功能? D A. 防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合 B. 它是不同网络(安全域)之间的唯一出入口 C. 能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流 D. 防止来源于内部的威胁和攻击 31. 桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包
14、括: D A. 不需要对原有的网络配置进行修改 B. 性能比较高 C. 防火墙本身不容易受到攻击 D. 易于在防火墙上实现 NAT 32. 有一类 IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作: A A. 异常检测 B. 特征检测 C. 差距分析 D. 对比分析 33. 在 Unix 系统中, /etc/service 文件记录了什么内容? A A. 记录一些常用的接口及其所提供的服务的对应关系 B. 决定 inetd 启动网络服务时,启动哪些服务 C. 定义了系统缺省运行级别,系统进入新运行级别需要做什么 D. 包含了系统的一些启动脚本 34
15、. 以下哪个对 windows系统日志的描述是错误的? D A. windows系统默认有三个日志,系统日志、应用程序日志、安全日志 B. 系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障 C. 应用日志跟踪应用程序关联的事件,例如应用程序产生的装载 DLL(动态链接库)失败的信息 D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等 35. 在关系型数据库系统中通过“视图( view)”技术,可以实现以下哪一种安全原则? A A. 纵深防御原则 B. 最小权限原则 C. 职责分离原则 D. 安全性与便利性平衡原则 36. 数据库事务日志的用途
16、是什么? B A. 事务处理 B. 数据恢复 C. 完整性约束 D. 保密性控制 37. 下面对于 cookie 的说法错误的是: D A. cookie 是一小段存储在浏览器端文本信息, web 应用程序可以读取 cookie 包含的信息 B. cookie 可以存储一些敏感的用户信息,从而造成一定的安全风险 C. 通过 cookie 提交精妙构造的移动代码,绕过身份验证的攻击叫做 cookie 欺骗 D. 防范 cookie 欺骗的一个有效方法是不使用 cookie 验证方法,而使用 session 验证方法 38. 攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据,用
17、户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?D A. 缓冲区溢出 B. SQL 注入 C. 设计错误 D. 跨站脚本 39. 通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? C A. 明文形式存在 B. 服务器加密后的密文形式存在 C. hash 运算后的消息摘要值存在 D. 用户自己加密后的密文形式存在 40.下列属于 DDOS 攻击的是: B A. Men-in-Middle 攻击 B. SYN 洪水攻击 C. TCP 连接攻击 D. SQL 注入攻击 41.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发
18、送给接收者,这种情况属于哪一种攻击? D A. 重放攻击 B. Smurf 攻击 C. 字典攻击 D. 中间人攻击 42. 渗透性测试的第一步是: A. 信息收集 B. 漏洞分析与目标选定 C. 拒绝服务攻击 D. 尝试漏洞利用 43. 通过网页上的钓鱼攻击来获取密码的方式,实质上是一种: A. 社会工程学攻击 B. 密码分析学 C. 旁路攻击 D. 暴力破解攻击 44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法? A. 加强软件的安全需求分析,准确定义安全需求 B. 设计符合安全准则的功能、安全功能与安全策略 C. 规范开发的代码,符合安全编码规范 D. 编制详细软
19、件安全使用手册,帮助设置良好的安全使用习惯 45.根据 SSE-CMM 信息安全工程过程可以划分为三个阶段,其中 _确立安全解决方案的置信度并且把这样的置信度传递给客户。 A. 保证过程 B. 风险过程 C. 工程和保证过程 D. 安全工程过程 46.下列哪项 不是 SSE-CMM 模型中工程过程的过程区? A. 明确安全需求 B. 评估影响 C. 提供安全输入 D. 协调安全 47. SSE-CMM 工程过程区域中的风险过程包含哪些过程区域? A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险 C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评
20、估脆弱性、评估影响、验证和证实安全 48.在 IT 项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击 D. 防止代码注入攻击 49.信息安全工程监理工程师不需要做的工作是: A.编写验收测试方案 B.审核验收测试方案 C.监督验收测试过程 D.审核验收测试报告 50. 下面哪一项是监理单位在招标阶段质量控制的内容? A. 协助建设单位提出工程需求,确定工程的整体质量目标 B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需
21、求部分 C. 进行风险评估和需求分析完成招标文件中的技术需求部分 D. 对标书应答的技术部分进行审核,修改其中不满足安全需求的内容 51. 信息安全保障强调安全是动态的安全,意味着: A. 信息安全是一个不确定性的概念 B. 信息安全是一个主观的概念 C. 信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性的进行调整 D. 信息安全只能是保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全 52.关于信息保障技术框架( IATF),下列说法错误的是: A. IATF 强调深度防御,关注本地计算环境,区域边界,网络和基础设施,支撑性基础设施等多个领域的安全保障; B IA
22、TF 强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作 C. IATF 强调从技术、管理和人等多个角度来保障信息系统的安全 D. IATF 强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全 53.下面哪一项表示了信息不被非法篡改的属性? A. 可生存性 B. 完整性 C.准确性 D.参考完整性 54. 以下关于信息系统安全保障是主观和客观的结合说法最准确的是: A信息 系统安全保障不仅涉及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障信息系统安全 B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全
23、保障工作是否满足其安全保障目标的信心。 C. 是一种通过客观证据向信息系统评估者提供主观信心的活动 D. 是主观和客观综合评估的结果 55. 公钥密码算法和对称密码算法相比,在应用上的优势是: A. 密钥长度更长 B. 加密速度更快 C. 安全性更高 D. 密钥管理更方便 56. 以下哪种公钥密码算法既可以用 于数据加密又可以用于密钥交换? A. DSS B. Diffse-Hellman C. RSA D AES 57. 目前对 MD5, SHA1 算法的攻击是指: A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要 B. 对于一个已知的消息摘要,能够构造出一个不同的消息,这两个
24、消息产生了相同的消息摘要。 C 对于一个已知的消息摘要,能够恢复其原始消息 D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。 58、 DSA 算法不提供以下哪种服务? A. 数据完整性 B. 加密 C. 数字签名 D. 认证 59.关于 PKI/CA 证书,下面哪一种说法是错误的: A. 证书上具有证书授权中心的数字签名 B. 证书上列有证书拥有者的基本信息 C. 证书上列有证书拥有者的公开密钥 D. 证书上列有证书拥有者的秘密密钥 60 认证中心( CA)的核心职责是 _? A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单 D. 撤销用户的证书 61 下列哪一项
25、是虚拟专用网络( VPN)的安全功能 ? A. 验证,访问控制和密码 B. 隧道,防火墙和拨号 C. 加密,鉴别和密钥管理 D. 压缩,解密和密码 62 以下对 Kerberos 协议过程说法正确的是 : A. 协议可以分为两个步骤:一是用户身份鉴别:二是获取请求服务 B. 协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务 C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据 D. 协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务 63 在 OSI 参考模型中有 7 个层次,提供了相应的安全服务来加强信息系统的安全性
26、。以下哪一层提 供了保密性、身份鉴别、数据完整性服务? A. 网络层 B. 表示层 C. 会话层 D. 物理层 64 以下哪种无线加密标准的安全性最弱? A .Wep B Wpa C Wpa2 D Wapi 65. Linux 系统的用户信息保存在 passwd 中,某用户条目 backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是: A. backup 账号没有设置登录密码 B. backup 账号的默认主目录是 /var/backups C. Backup 账号登录后使用的 shell 是 bin/sh D. Backup 账号
27、是无法进行登录 66 以下关于 linux 超级权限的说明,不正确的是: A. 一般情况下,为了系统安全,对于一般常规级别的应用,不需要 root 用户来操作完成 B. 普通用户可以通过 su 和 sudo 来获得系统的超级权限 C. 对系统日志的管理,添加和删除用户等管理工作,必须以 root 用户登录才能进行 D. Root 是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限 67 在 WINDOWS 操作系统中,欲限制用户无效登录的次数,应当怎么做? A. 在“本地安全设置”中对“密码策略”进行设置 B. 在“本地安全设置”中对“账户锁定策略”进行设置 C. 在“本地安全设置”中对“审核策略”进行设置 D. 在“本地安全设置”中对“用户权利指派”进行设置 68.以下对 WINDOWS 系统日志的描述错误的是: A. windows 系统默认的由三个日志,系统日志,应用程序日志,安全日志 B系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障。
