1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于： A. 为了更好的完成组织机构的使命

B. 针对信息系统的攻击方式发生重大变化 C. 风险控制技术得到革命性的发展

D. 除了保密性，信息的完整性和可用性也引起了人们的关注

2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指： A. 对抗级 B. 防护级 C. 能力级 D. 监管级

3.下面对信息安全特征和范畴的说法错误的是：

A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素

B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展

C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的

D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点

4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：

A. 内网和外网两个部分

B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分

D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分

5. 关于信息安全策略的说法中，下面说法正确的是： A. 信息安全策略的制定是以信息系统的规模为基础 B. 信息安全策略的制定是以信息系统的网络？？？ C. 信息安全策略是以信息系统风险管理为基础

D. 在信息系统尚未建设完成之前，无法确定信息安全策略

6. 下列对于信息安全保障深度防御模型的说法错误的是：

A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

B. 信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

C. 信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系无关紧要 D. 信息安全技术方案：“从外而内、自下而上、形成端到端的防护能力”

7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？

A. 《国家信息化领导小组关于加强信息安全保障工作的意见》 B. 《信息安全等级保护管理办法》

C.《中华人民共和国计算机信息系统安全保护条例》

D.《关于加强政府信息系统安全和保密管理工作的通知》

8. 一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？ A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会

9. 下列哪个不是《商用密码管理条例》规定的内容：

A. 国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作 B. 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理

C. 商用密码产品由国家密码管理机构许可的单位销售

D. 个人可以使用经国家密码管理机构认可之外的商用密码产品

10. 对涉密系统进行安全保密测评应当依据以下哪个标准？

A. BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B. BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C. GB17859-1999《计算机信息系统安全保护等级划分准则》 D. GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

11. 下面对于CC的“保护轮廓”（PP）的说法最准确的是： A. 对系统防护强度的描述

B. 对评估对象系统进行规范化的描述

C. 对一类TOE的安全需求，进行与技术实现无关的描述

D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度

12. 关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是： A. SSE-CMM是关于信息安全建设工程实施方面的标准

B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程

C. SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的根本保证 D. SSE-CMM是用于对信息系统的安全等级进行评估的标准

13. 下面哪个不是ISO 27000系列包含的标准 A. 《信息安全管理体系要求》 B. 《信息安全风险管理》 C. 《信息安全度量》

D. 《信息安全评估规范》

14. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征？ A. ITSEC B. TCSEC

C. GB/T9387.2

D.彩虹系列的橙皮书

15. 下面哪项不是《信息安全等级保护管理办法》（公通字【2007】43号）规定的内容 A. 国家信息安全等级保护坚持自主定级、自主保护的原则

B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查 C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级

D. 第二级信息系统应当每年至少进行一次等级测评，第三级信息系统应当每？？？少进行一次等级测评

16. 触犯新刑法285条规定的非法侵入计算机系统罪可判处_____。 A. 三年以下有期徒刑或拘役 B. 1000元罚款

C. 三年以上五年以下有期徒刑 D. 10000元罚款

17. 常见密码系统包含的元素是：

A. 明文，密文，信道，加密算法，解密算法 B. 明文，摘要，信道，加密算法，解密算法 C. 明文，密文，密钥，加密算法，解密算法 D. 消息，密文，信道，加密算法，解密算法

18. 公钥密码算法和对称密码算法相比，在应用上的优势是： A. 密钥长度更长 B. 加密速度更快 C. 安全性更高

D. 密钥管理更方便

19. 以下哪一个密码学手段不需要共享密钥？ A.消息认证 B.消息摘要 C.加密解密 D.数字签名

20. 下列哪种算法通常不被用户保证保密性？ A. AES B. RC4 C. RSA

D. MD5

21.数字签名应具有的性质不包括： A. 能够验证签名者 B. 能够认证被签名消息

C. 能够保护被签名的数据机密性 D. 签名必须能够由第三方验证

22. 认证中心（CA）的核心职责是_____。 A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单

D. 撤销用户的证书

23. 以下对于安全套接层（SSL）的说法正确的是：

A. 主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性 B. 可以在网络层建立VPN

C. 主要使用于点对点之间的信息传输，常用Web server方式 D. 包含三个主要协议：AH,ESP,IKE

24. 下面对访问控制技术描述最准确的是： A. 保证系统资源的可靠性 B. 实现系统资源的可追查性 C. 防止对系统资源的非授权访问 D. 保证系统资源的可信性

25. 以下关于访问控制表和访问能力表的说法正确的是： A. 访问能力表表示每个客体可以被访问的主体及其权限 B. 访问控制表说明了每个主体可以访问的客体及权限 C. 访问控制表一般随主体一起保存

D. 访问能力表更容易实现访问权限的传递，但回收访问权限较困难

26. 下面哪一项访问控制模型使用安全标签（security labels）？ A. 自主访问控制 B. 非自主访问控制 C. 强制访问控制

D. 基于角色的访问控制

27. 某个客户的网络限制可以正常访问internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问internet互联网最好采取什么办法或技术： A. 花更多的钱向ISP申请更多的IP地址 B. 在网络的出口路由器上做源NAT C. 在网络的出口路由器上做目的NAT D. 在网络出口处增加一定数量的路由器

28. WAPI采用的是什么加密算法？

A. 我国自主研发的公开密钥体制的椭圆曲线密码算法 B. 国际上通行的商用加密标准

C. 国家密码管理委员会办公室批准的流加密标准 D. 国际通行的哈希算法

29. 以下哪种无线加密标准的安全性最弱？ A. wep B. wpa C. wpa2 D. wapi

30. 以下哪个不是防火墙具备的功能？

A. 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合

B. 它是不同网络（安全域）之间的唯一出入口

C. 能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流 D. 防止来源于内部的威胁和攻击

31. 桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括： A. 不需要对原有的网络配置进行修改 B. 性能比较高

C. 防火墙本身不容易受到攻击 D. 易于在防火墙上实现NAT

32. 有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作： A. 异常检测 B. 特征检测 C. 差距分析 D. 对比分析

33. 在Unix系统中，/etc/service文件记录了什么内容？ A. 记录一些常用的接口及其所提供的服务的对应关系 B. 决定inetd启动网络服务时，启动哪些服务

C. 定义了系统缺省运行级别，系统进入新运行级别需要做什么 D. 包含了系统的一些启动脚本

34. 以下哪个对windows系统日志的描述是错误的？

A. windows系统默认有三个日志，系统日志、应用程序日志、安全日志

B. 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障

C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的

信息

D. 安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等 35. 在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？ A. 纵深防御原则 B. 最小权限原则 C. 职责分离原则

D. 安全性与便利性平衡原则

36. 数据库事务日志的用途是什么？ A. 事务处理 B. 数据恢复 C. 完整性约束 D. 保密性控制

37. 下面对于cookie的说法错误的是：

A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息 B. cookie可以存储一些敏感的用户信息，从而造成一定的安全风险

C. 通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做 cookie欺骗

D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法

38. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？ A. 缓冲区溢出 B. SQL注入 C. 设计错误 D. 跨站脚本

39. 通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？ A. 明文形式存在

B. 服务器加密后的密文形式存在 C. hash运算后的消息摘要值存在 D. 用户自己加密后的密文形式存在

40.下列属于DDOS攻击的是： A. Men-in-Middle攻击 B. SYN洪水攻击 C. TCP连接攻击 D. SQL注入攻击

41.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击？ A. 重放攻击 B. Smurf攻击 C. 字典攻击

D. 中间人攻击

42. 渗透性测试的第一步是： A. 信息收集

B. 漏洞分析与目标选定 C. 拒绝服务攻击 D. 尝试漏洞利用

43. 通过网页上的钓鱼攻击来获取密码的方式，实质上是一种： A. 社会工程学攻击 B. 密码分析学 C. 旁路攻击

D. 暴力破解攻击

44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法？ A. 加强软件的安全需求分析，准确定义安全需求 B. 设计符合安全准则的功能、安全功能与安全策略 C. 规范开发的代码，符合安全编码规范

D. 编制详细软件安全使用手册，帮助设置良好的安全使用习惯

45.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。 A. 保证过程 B. 风险过程

C. 工程和保证过程 D. 安全工程过程

46.下列哪项不是SSE-CMM模型中工程过程的过程区？ A. 明确安全需求 B. 评估影响 C. 提供安全输入 D. 协调安全

47. SSE-CMM工程过程区域中的风险过程包含哪些过程区域？ A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险

C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评估脆弱性、评估影响、验证和证实安全

48.在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标： A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击

D. 防止代码注入攻击

49.信息安全工程监理工程师不需要做的工作是： A.编写验收测试方案 B.审核验收测试方案 C.监督验收测试过程 D.审核验收测试报告

50. 下面哪一项是监理单位在招标阶段质量控制的内容？ A. 协助建设单位提出工程需求，确定工程的整体质量目标

B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分 C. 进行风险评估和需求分析完成招标文件中的技术需求部分

D. 对标书应答的技术部分进行审核，修改其中不满足安全需求的内容 52. 信息安全保障强调安全是动态的安全，意味着： A. 信息安全是一个不确定性的概念 B. 信息安全是一个主观的概念

C. 信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性的进行调整 D. 信息安全只能是保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全 53.关于信息保障技术框架（IATF），下列说法错误的是：

A. IATF强调深度防御，关注本地计算环境，区域边界，网络和基础设施，支撑性基础设施等多个领域的安全保障；

B．IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作 C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全

D. IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全 54.下面哪一项表示了信息不被非法篡改的属性？ A. 可生存性 B. 完整性 C.准确性

D.参考完整性

55. 以下关于信息系统安全保障是主观和客观的结合说法最准确的是： A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理，安全工程和人员安全等，以全面保障信息系统安全

B.通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

C. 是一种通过客观证据向信息系统评估者提供主观信心的活动 D. 是主观和客观综合评估的结果

56 公钥密码算法和对称密码算法相比，在应用上的优势是： A. 密钥长度更长 B. 加密速度更快 C. 安全性更高

D. 密钥管理更方便

57. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？ A. DSS

B. Diffse-Hellman

C. RSA& D AES

58. 目前对MD5，SHA1算法的攻击是指：

A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要

B. 对于一个已知的消息摘要，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要。

C．对于一个已知的消息摘要，能够恢复其原始消息

D. 对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。 59 DSA算法不提供以下哪种服务？ A. 数据完整性 B. 加密& C. 数字签名 D. 认证

60.关于PKI/CA证书，下面哪一种说法是错误的： A. 证书上具有证书授权中心的数字签名 B. 证书上列有证书拥有者的基本信息 C. 证书上列有证书拥有者的公开密钥 D. 证书上列有证书拥有者的秘密密钥&

61 认证中心（CA）的核心职责是_________? A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单

D. 撤销用户的证书

62 下列哪一项是虚拟专用网络（VPN）的安全功能? A. 验证，访问控制和密码 B. 隧道，防火墙和拨号 C. 加密，鉴别和密钥管理 D. 压缩，解密和密码

63 以下对Kerberos协议过程说法正确的是:

A. 协议可以分为两个步骤：一是用户身份鉴别：二是获取请求服务 B. 协议可以分为两个步骤：一是获得票据许可票据；二是获取请求服务

C. 协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据

D. 协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务

64 在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务？ A. 网络层 B. 表示层 C. 会话层 D. 物理层

65 以下哪种无线加密标准的安全性最弱？ A .Wep B Wpa

C Wpa2 D Wapi

66.Linux系统的用户信息保存在passwd中，某用户条目

backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是： A. backup账号没有设置登录密码&

B. backup账号的默认主目录是/var/backups C. Backup账号登录后使用的shell是、bin/sh D. Backup账号是无法进行登录

67 以下关于lixun超级权限的说明，不正确的是：

A. 一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成 B. 普通用户可以通过su和sudo来获得系统的超级权限

C. 对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行 D. Root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限 68 在WINDOWS操作系统中，欲限制用户无效登录的次数，应当怎么做？ A. 在“本地安全设置”中对“密码策略”进行设置 B. 在“本地安全设置”中对“账户锁定策略”进行设置 C. 在“本地安全设置”中对“审核策略”进行设置

D. 在“本地安全设置”中对“用户权利指派”进行设置 69.以下对WINDOWS系统日志的描述错误的是：

A. windows系统默认的由三个日志，系统日志，应用程序日志，安全日志

B．系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障。

C．应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的信息

D. 安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等 70 以下关于windows SAM（安全账户管理器）的说法错误的是： A. 安全账户管理器（SAM）具体表现就 是%SystemRoot%\\system32\\config\\sam

B. 安全账户管理器（SAM）存储的账号信息是存储在注册表中

C. 安全账户管理器（SAM）存储的账号信息对administrator和system是可读和可写的 D. 安全账户管理器（SAM）是windows的用户数据库，系统进程通过Security Accounts Manager服务进行访问和操作

71 在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？ A.纵深防御原则 B.最小权限原则 C.职责分离原则 D.安全性与便利性平衡原则 78.数据库事务日志的用途是: A. 事务处理 B.数据恢复 C.完整性约束 D．保密性控制

79. 下面对于cookie的说法错误的是：

A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息。 B. cookie可以存储一些敏感的用户信息，从而造成一定的安全风险

C.通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗

D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法。

80. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚步将被解释执行，这是哪种类型的漏洞？ A. 缓冲区溢出 B. sql注入 C.设计错误 D.跨站脚本

81. 通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？ A. 明文形式存在

B.服务器加密后的密文形式存在 C.hash运算后的消息摘要值存在 D.用户自己加密后的密文形式存在

82.下列对跨站脚本攻击（XSS）的描述正确的是：

A. XSS攻击指的是恶意攻击者往WED页面里插入恶意代码，当用户浏览浏览该页之时，嵌入其中WEB里面的代码会执行，从而达到恶意攻击用户的特殊目的 B.XSS攻击时DDOS攻击的一种变种 C.XSS攻击就是CC攻击

D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS连接数超出限制，当CPU资源或者带宽资源耗尽，那么网站也就被攻击垮了，从而达到攻击目的 83 下列哪种技术不是恶意代码的生产技术？ A. 反跟踪技术、 B. 加密技术 C. 模糊变换技术 D. 自动解压缩技术

84 当用户输入的数据被一个解释器当做命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？ A. 缓冲区溢出 B. 设计错误 C. 信息泄露 D. 代码注入

85 Smurf 利用下列哪种协议进行攻击？ A. ICMP B. IGMP C. TCP D. UDP

86.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击？ A. 重放攻击 B. Smurf攻击 C.字典攻击 D.中间人攻击

87 渗透性测试的第一步是: A. 信息收集

B. 漏洞分析与目标选定 C. 拒绝服务攻击

D. 尝试漏洞利用

88 软件安全开发中软件安全需求分析阶段的主要目的是： A. 确定软件的攻击面，根据攻击面制定软件安全防护策略 B. 确定软件在计划运行环境中运行的最低安全要求 C. 确定安全质量标准，实施安全和隐私风险评估 D. 确定开发团队关键里程碑和交付成果

89.管理者何时可以根据风险分析结果对已识别的风险部采取措施？ A．当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B．当风险减轻方法提高业务生产力时

C．当引起风险发生的情况不在部门控制范围之内时 D．不可接受

90 以下关于风险管理的描述不正确的是：

A风险的4种控制方法有：降低风险/转嫁风险/规避风险/接受风险 B信息安全风险管理是否成功在于风险是否被切实消除了

C组织应依据信息安全方针和组织要求的安全保证程度来确定需要处理的信息安全风险 D信息安全风险管理是基于可接受的成本，对影响信息系统的安全风险进行识别、控制、降低或转移的过程

91如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：

A. 变更的流程是否符合预先的规定 B. 变更是否项目进度造成拖延 C. 变更的原因和造成的影响

D. 变更后是否进行了准确的记录

92 应当如可理解信息安全管理体系中的“信息安全策略”？ A为了达到如何保护标准而提出的一系列建议

B为了定义访问控制需求而产生出来的一些通用性指引 C组织高层对信息安全工作意图的正式表达 D一种分阶段的安全处理结果

93 以下关于“最小特权”安全管理原则理解正确的是： A. 组织机构内的敏感岗位不能由一个人长期负责 B. 对重要的工作进行分解，分配给不同人员完成 C. 一个人有且仅有其执行岗位所足够的许可和权限

D. 防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

94 作为一个组织中的信息系统普通用户，以下哪一项不是必须了解的？ A. 谁负责信息安全管理制度的制度和发布 B. 谁负责监督信息安全制度的执行

C. 信息系统发生灾难后，进行恢复的整体工作流程 D. 如果违反了安全制度可能会受到的惩戒措施 95 职责分离是信息安全管理的一个基本概念，其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？

A．数据安全管理员 B．数据安全分析员 C．系统审核员 D．系统程序员

96 在国家标准《信息系统恢复规范》中，根据----要素，将灾难恢复等级划分为_____级 A． 7，6 B． 6，7 C． 7，7 D． 6，6

97 在业务持续性计划中，RTO指的是： A．灾难备份和恢复 B．恢复技术项目 C．业务恢复时间目标 D．业务恢复点目标

98 应急方法学定义了安全事件处理的流程，这个流程的顺序是： A. 准备-抑制-检测-根除-恢复-跟进 B. 准备-检测-抑制-恢复-根除-跟进 C. 准备-检测-抑制-根除-恢复-跟进 D. 准备-抑制-根除-检测-恢复-跟进

99.下面有关能力成熟度模型的说法错误的是：

A.能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B.使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域

C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域 D SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 100.下面哪一项为系统安全工程成熟度模型提供了评估方法： A.ISSE B.SSAM C.SSR D.CEM

101 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中______确立安全解决方案的置信度并且把这样的置信度传递给顾客。 A．保证过程 B．风险过程

C．工程和保证过程 D．安全工程过程

102 SSE-CMM工程过程区域中的风险过程包含哪些过程区域？ A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险

C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评估脆弱性、评估影响、验证和证实安全 103.SSE-CMM包含六个级别，其中计划与跟踪级着重于： A. 规范化地裁剪组织层面的过程定义 B. 项目层面定义、计划和执行问题

C.测量

D.一个组织或项目执行了包含基本实施的过程 104在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标： A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击 D. 防止代码注入攻击 105.信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A.明确业务对信息安全的要素 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整

D.通过测试证明系统的功能和性能可以满足安全要求 106信息安全工程监理工程师不需要做的工作是： A. 编写验收测试方案& B. 审核验收测试方案 C. 监督验收测试过程 D. 审核验收测试报告

107 以下关于CC标准说法错误的是：

A．通过评估有助于增强用户对于IT产品的安全信息 B．促进IT产品和系统的安全性 C．消除重复的评估

D．详细描述了安全评估方法学

108下列哪项不是安全管理方面的标准？ A ISO27001 B ISO13335 C GB/T22080 D GB/T18336

109.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度? A.公安部 B.国家密码局 C.信息产业部

D.国家密码管理委员会办公室

110.下列哪项不是《信息安全等级保护管理办法》（公通字[2007]43号）规定的内容： A．国家信息安全等级保护坚持自主定级，自主保护的原则。

B．国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查。 C．跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级

D．第二级信息系统应当每年至少进行一次等级测评，第三级信息系统应当每半年至少进行一次等级测评。

111《刑法》第六章第285、286、287条对计算机犯罪的内容和量刑进行了明确的规定，下列哪一项不是其中规定的罪行？ A.非法入侵计算机信息系统罪

B.破坏计算机信息系统罪 C.利用计算机实施犯罪

D.国家重要信息系统管理者玩忽职守罪

112一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？ A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会

113下列哪个不是《商用密码管理条例》规定的内容？

A. 国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作 B. 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理

C. 商用密码产品由国家密码管理机构许可的单位销售

D. 个人可以使用经国家密码管理机构认可之外的商用密码产品

114.下面关于《中华人民共和国保守国家秘密法》的说法错误的是： A. 秘密都有时间性，永久保密是没有的

B. 《保密法》规定一切公民都有保守国家秘密的义务 C. 国家秘密的级别分为“绝密”“机密”“秘密”三级

D. 在给文件确定密级时，从保密的目的出发，应将密级尽量定高

1 A 2 C 3 C 4 B 5 C 6 C 7 A 8 A 9 D 10 B 11 C 12 D 13 D 14 A 15 D 16 A 17 C 18 D 19 B 20 D 21 C 22 A 23 C 24 C

25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 D C B A A D D A A D B B D D C B D A A D A B C D A A C D B B D C A B D A C D A A A D B D

69 C 70 B 71 B 72 D 73 D 74 C 75 A 76 D 77 D 78 A 79 D 80 A 81 C 82 A 83 B 84 A 85 C 86 C 87 C 88 D 89 A 90 C 91 C 92 D 93 B 94 A 95 C 96 B 97 B 98 D 99 A 100 D 101 D 102 B 103 D 104 D 105 A 106 D 107 D