当前位置：文档库 › CISM题库-答案

CISM题库-答案

中国信息安全测评中心CISM认证

模拟试题

中电运行信息安全网络技术测评中心编辑

1．信息安全保障要素不包括以下哪一项？

A．技术

B．工程

C．组织

D．管理

2．以下对信息安全问题产生的根源描述最准确的是：

A．信息安全问题是由于信息技术的不断发展造成的

B．信息安全问题是由于黑客组织和犯罪集团追求名和利造成的

C．信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的

D．信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏

3．完整性机制可以防范以下哪种攻击？

A．假冒源地址或用户的地址的欺骗攻击

B．抵赖做过信息的递交行为

C．数据传输中被窃听获取

D．数据传输中被篡改或破坏

4．PPDR模型不包括：

A．策略

B．检测

C．响应

D．加密

5．关于信息安全策略的说法中，下面说法正确的是：

A．信息安全策略的制定是以信息系统的规模为基础

B．信息安全策略的制定是以信息系统的网络拓扑结构为基础

C．信息安全策略是以信息系统风险管理为基础

D．在信息系统尚未建设完成之前，无法确定信息安全策略

6．“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面哪种安全服务：

A．数据加密

B．身份认证

C．数据完整性

D．访问控制

7．下面对ISO27001的说法最准确的是：

A．该标准的题目是信息安全管理体系实施指南

B．该标准为度量信息安全管理体系的开发和实施过程提供的一套标准

C．该标准提供了一组信息安全管理相关的控制措施和最佳实践

D．该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型

8．拒绝服务攻击损害了信息系统的哪一项性能？

A．完整性

B．可用性

C．保密性

D．可靠性

9．根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？

A．威胁、脆弱性

B．系统价值、风险

C．信息安全、系统服务安全

D．受侵害的客体、对客体造成侵害的程度业务

10．IAFE深度防御战略的三个层面不包括：

A．人员

B．法律

C．技术

D．运行

11．“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为： A．“普密”、“商密”两个级别

B．“低级”和“高级”两个级别

C．“绝密”、“机密”、“秘密”三个级别

D．“一密”、“二密”、“三密”、“四密”四个级别

12．触犯新刑法285条规定的非法侵入计算机系统罪可判处________

A．三年以下有期徒刑或拘役

B．1000元罚款

C．三年以上五年以下有期徒刑

D．10000元罚款

13．以下关于我国信息安全政策和法律法规的说法错误的是：

A．中办发【2003】27号文提出“加快信息安全人员培养，增强全民信息安全意识”

B．2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》

C．2007年我国四部委联合发布了《信息安全等级保护管理办法》

D．2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》

14．目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度？

A．公安部

B．国家保密局

C．信息产业部

D．国家密码管理委员会办公室

15．VPN系统主要用来________

A．进行用户身份的鉴别

B．进行用户行为的审计

C．建立安全的网络通信

D．对网络边界进行访问控制

16．VPN技术无法实现以下哪个服务？

A．身份验证

B．传输加密

C．完整性校验

D．可用性校验

17．组成IPSec的主要安全协议不包括以下哪一项？

A．ESP

B．DSS

C．IKE

D．AH

18．SSL协议比IPSEC协议的优势在于：

A．实现简单、易于配置

B．能有效的工作在网络层

C．能支撑更多的应用层协议

D．能实现更高强度的加密

19．下面对于“电子邮件炸弹”的解释最准确的是：

A．邮件正文中包含的恶意网站链接

B．邮件附件中具有破坏性的病毒

C．社会工程的一种方式，具有恐吓内容的邮件

D．在短时间内发送大量邮件的软件，可以造成目标邮箱爆满

20．电子邮件客户端通常需要用________协议来发送邮件。

A．仅SMTP

B．仅POP

C．SMTP和POP

D．以上都不正确

21．在应用层协议中，________可使用传输层的TCP协议，又可用UDP协议。 A．SNMP

B．DNS

C．HTTP

D．FTP

22．以下哪一项是伪装成有用程序的恶意软件？

A．计算机病毒

B．特洛伊木马

C．逻辑炸弹

D．蠕虫程序

23．下列哪个是蠕虫的特征？

A．不感染、依附性

B．不感染、独立性

C．可感染、依附性

D．可感染、独立性

24．杀毒软件报告发现病毒Macor．Melissa，由该病毒名称可以推断出病毒类型是________。 A．文件型

B．引导型

C．目录型

D．宏病毒

25．所谓网络内的机器遵循同一“协议”就是指：

A．采用某一套通信规则或标准

B．采用同一种操作系统

C．用同一种电缆互连

D．用同一种程序设计语言

26．ICMP协议有多重控制报文，当网络出现拥塞时，路由器发出________报文。

A．路由重定向

B．目标不可达

C．源抑制

D．子网掩码请求

27．________设备可以隔离ARP广播帧

A．路由器

B．网桥

C．以太网交换机

D．集线器

28．下面哪类设备常用于识系统中存在的脆弱性？

A．防火墙

B．IDS

C．漏洞扫描器

D．UTM

29．下列关于防火墙功能的说法最准确的是：

A．访问控制

B．内容控制

C．数据加密

D．查杀病毒

30．某种防火墙的缺点是没有办法从非常细微之处来分析数据包，但它的优点是非常快，这种防火墙是以下的哪一种？

A．电路级网关

B．应用级网关

C．会话层防火墙

D．包过滤防火墙

31．在包过滤型防火墙中，定义数据包过滤规则的是：

A．路由表

B．ARP

C．NAT

D．ACL

32．包过滤型防火墙对数据包的检查内容一般不包括________。

A．源地址

B．目的地址

C．协议

D．有效载荷

33．NAT技术不能实现以下哪个功能？

A．对应用层协议进行代理

B．隐藏内部地址

C．增加私有组织的地址空间

D．解决IP地址不足问题

34．某单位想用防火墙对telnet协议的命令进行限制，应选在什么类型的防火墙？

A．包过滤技术

B．应用代理技术

C．状态检测技术

D．NAT技术

35．以下哪一项不是IDS可以解决的问题？

A．弥补网络协议的弱点

B．识别和报告对数据文件的改动

C．统计分析系统中异常活动的模式

D．提升系统监控能力

36．从分析式上入侵检测技术可以分为：

A．基于标志检测技术、基于状态检测技术

B．基于异常检测技术、基于流量检测技术

C．基于误用检测技术、基于异常检测技术

D．基于标志检测技术、基于误用检测技术

37．一台需要与互联网通信的WEB服务器放在以下哪个位置最安全？

A．在DMZ区

B．在内网中

C．和防火墙在同一台计算机上

D．在互联网防火墙外

38．以下哪个入侵检测技术能检测到未知的攻击行为？

A．基于误用的检测技术

B．基于异常的检测技术

C．基于日志分析的技术

D．基于漏洞机理研究的技术

39．做渗透测试的第一步是：

A．信息收集

B．漏洞分析与目标选定

C．拒绝服务攻击

D．尝试漏洞利用

40．监听网络流量获取密码，之后使用这个密码试图完成未经授权访问的攻击方式被称为： A．穷举攻击

B．字典攻击

C．社会工程攻击

D．重放攻击

41．下面哪一项是社会工程？

A．缓冲器溢出

B．SQL注入攻击

C．电话联系组织机构的接线员询问用户名和口令

D．利用PK/CA构建可信网络

42．“TCPSYNFlooding”建立大量处于半连接状态的TCP连接，其攻击目标是网络的________。 A．保密性

B．完整性

C．真实性

D．可用性

43．通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为：

A．账户信息收集

B．密码分析

C．密码嗅探

D．密码暴力破解

44．下列保护系统账户安全的措施中，哪个措施对解决口令暴力破解无帮助?

A．设置系统的账户锁定策略，在用户登录输入错误次数达到一定数量时对账户进行锁定 B．更改系统内宣管理员的用户名

C．给管理员账户一个安全的口令

D．使用屏幕保护并设置返回时需要提供口令

45．关闭系统中不需要的服务主要目的是:

A．避免由于服务自身的不稳定影响系统的安全

B．避免攻击者利用服务实现非法操作从而危害系统安全

C．避免服务由于自动运行消耗大量系统资源从而影响效率

D．以上都是

46．某系统被攻击者入侵，初步怀疑为管理员存在弱口令，攻击者从远程终端以管理员身份登录进系统进行了相应的破坏，验证此事应查看：

A．系统日志

B．应用程序日志

C．安全日志

D．IIS日志

47．U盘病毒的传播是借助Windows系统的什么功能实现的？

A．自动播放

B．自动补丁更新

C．服务自启动

D．系统开发漏洞

48．保护数据安全包括保密性、完整性和可用性，对于数据的可用性解决方法最有效的是： A．加密

B．备份

C．安全删除

D．以上都是

49．在Windows系统中，管理权限最高的组是:

A．everyone

B．administrators

C．powerusers

D．users

50．Windows系统下，可通过运行________命令打开Windows管理控制台。

A．regedit

B．cmd

C．mmc

D．mfc

51．在Windows文件系统中，________支持文件加密。

A．FAT16

B．NTFS

C．FAT32

D．EXT3

52．在window系统中用于显示本机各网络端口详细情况的命令是: A．netshow

B．netstat

C．ipconfig

D．netview

53．视窗操作系统(Windows)从哪个版本开始引入安全中心的概念? A．WinNTSP6

B．Win2000SP4

C．WinXPSP2

D．Win2003SP1

54．在WindowsXP中用事件查看器查看日志文件，可看到的日志包括？ A．用户访问日志、安全性日志、系统日志和IE日志

B．应用程序日志、安全性日志、系统日志和IE日志

C．网络攻击日志、安全性日志、记账日志和IE日志

D．网络链接日志、安全性日志、服务日志和IE日志

55．关于数据库注入攻击的说法错误的是：

A．它的主要原因是程序对用户的输入缺乏过滤

B．一般情况下防火培对它无法防范

C．对它进行防范时要关注操作系统的版本和安全补丁

D．注入成功后可以获取部分权限

56．专门负责数据库管理和维护的计算机软件系统称为:

A．SQL‐MS

B．INFERENCECONTROL

C．DBMS

D．TRIGGER‐MS

57．下列哪一项与数据库的安全直接相关？

A．访问控制的粒度

B．数据库的大小

C．关系表中属性的数量

D．关系表中元组的数量

58．信息安全风险的三要素是指:

A．资产/威胁/脆弱性

B．资产/使命/威胁

C．使命/威胁/脆弱性

D．威胁/脆弱性/使命

59．以下哪一项是已经被确认了的具有一定合理性的风险?

A．总风险

B．最小化风险

C．可接受风险

D．残余风险

60．统计数据指出，对大多数计算机系统来说，最大的威胁是:

A．本单位的雇员

B．黑客和商业间谍

C．未受培训的系统用户

D．技术产品和服务供应商

61．某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？ A．部门经理

B．高级管理层

C．信息资产所有者

D．最终用户

62．风险评估方法的选定在PDCA循环中的哪个阶段完成？

A．实施和运行

B．保持和改进

C．建立

D．监视和评审

63．下列安全协议中，________可用于安全电子邮件加密。

A．PGP

B．SET

C．SSL

D．TLS

64．HTTPS采用________协议实现安全网站访问。

A．SSL

B．IPSec

C．PGP

D．SET

65．信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度，信息系统安全保护等级分为：

A．3级

B．4级

C．5级

D．6级

66．以下关于"最小特权"安全管理原则理解正确的是：

A．组机构内的敏感岗位不能由一个人长期负责

B．对重要的工作进行分解，分配给不同人员完成

C．一个人有且仅有其执行岗位所足够的许可和权限

D．防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

67．________是目前国际通行的信息技术产品安全性评估标准？

A．TCSEC

B．ITSEC

C．CC

D．IATF

68．下面哪个不是ISO27000系列包含的标准?

A．《信息安全管理体系要求》

B．《信息安全风险管理》

C．《信息安全度量》

D．《信息安全评估规范》

69．信息安全管理的根本方法是:

A．风险处置

B．应急响应

C．风险管理

D．风险评估

70．以下对信息安全管理体系说法不正确的是：

A．基于国际标准ISO/IEC27000

B．它是综合信息安全管理和技术手段，保障组织信息安全的一种方法

C．它是管理体系家族的一个成员

D．基于国际标准ISO/IEC27001

71．以下对PDCA循环解释不正确的是:

A．P（Process）：处理

B．D（Do）：实施

C．C（Check）：检查

D．A（Action）：行动

72．以下对PDCA循环特点描述不正确的是．

A．按顺序进行，周而复始，不断循环

B．组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题 C．每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环

D．可以由任何一个阶段开始，周而复始，不断循环

73．风险是需要保护的（）发生损失的可能性，它是（）和（）综合结果。

A．资产，攻击目标，威胁事件

B．设备，威胁，漏洞

C．资产，威胁，漏洞

D．以上都不对

74．风险管理中使用的控制措施，不包括以下哪种类型?

A．防性控制措施

B．管理性控制措施

C．检查性控制措施

D．纠正性控制措施

75．风险管理中的控制措施不包括以下哪一方面?

A．行政

B．道德

C．技术

D．管理

76．风险评估不包括以下哪个活动?

A．中断引入风险的活动

B．识别资产

C．识别威胁

D．分析风险

77，在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括:

A．资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B．资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C．完整性、可用性、机密性、不可抵赖性

D．减低风险、转嫁风险、规避风险、接受风险

78．以下哪一项不是信息安全风险分析过程中所要完成的工作：

A．识别用户

B．识别脆弱性

C．评估资产价值

D．计算安全事件发生的可能性

79．机构应该把信息系统安全看作：

A．业务中心

B．风险中心

C．业务促进因素

D．业务抑制因素

80．应对信息安全风险的主要目标是什么?

A．消除可能会影响公司的每一种威胁

8．管理风险，以使由风险产生的问题降至最低限度

C．尽量多实施安全措施以消除资产暴露在其下的每一种风险

D．尽量忽略风险，不使成本过高

81．以下关于ISO/lEC27001所应用的过程方法主要特点说法错误的是：

A．理解组织的信息安全要求和建立信息安全方针与目标的需要

B．从组织整体业务风险的角度管理组织的信息安全风险

C．监视和评审ISMS的执行情况和有效性

D．基于主观测量的持续改进

82．在检查岗位职责时什么是最重要的评估标准？

A．工作职能中所有要傲的工作和需要的培训都有详细的定义

B．职责清晰，每个人都清楚自己在组织中的角色

C．强制休假和岗位轮换被执行

D．绩效得到监控和提升是基于清晰定义的目标

83．在信息安全管理中进行________，可以有效解决人员安全意识薄弱问题。

A．内容监控

B．安全教育和培训

C．责任追查和惩处

D．访问控制

84．以下哪一项最能体现27002管理控制措施中预防控制措施的目的？

A．减少威胁的可能性

B．保护企业的弱点区域

C．减少灾难发生的可能性

D．防御风险的发生并降低其影响

85．关于外包的论述不正确的是:

A．企业经营管理中的诸多操作或服务都可以外包

B．通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任

C．虽然业务可以外包，但是对于外包业务的可能的不良后果，企业仍然承担责任

D．过多的外包业务可能产生额外的操作风险或其他隐患

86．信息化建设和信息安全建设的关系应当是:

A．信息化建设的结束就是信息安全建设的开始

B．信息化建设和信息安全建设应同步规划、同步实施

C．信息化建设和信息安全建设是交替进行的，无法区分谁先谁后

D．以上说法都正确

87．关于SSE‐CMM的描述错误的是：

A．1993年4月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE‐CMM项目组

B．SSE‐CMM的能力级别分为6个级别

C．SSE‐CMM将安全工程过程划分为三类:风险、工程和保证

D．SSE的最高能力级别是量化控制

88．以下对SSE‐CMM描述正确的是:

A．它是指信息安全工程能力成熟模型

B．它是指系统安全工程能力成熟模型

C．它是指系统安全技术能力成熟模型

D．它是指信息安全技术能力成熟模型

89．根据SSE‐CMM信息安全工程过程可以划分为三个阶段，其中________确立安全解决方案的置信度并且把这样的置信度传递给顾客。

A．保证过程

B．风险过程

C．工程和保证过程

D．安全工程过程

90．下面对于SSE‐CMM保证过程的说法错误的是:

A．保证是指安全需求得到满足的可信任程度

B．信任程度来自于对安全工程过程结果质量的判断

C．自验证与证实安全的主要手段包括观察、论证、分析和测试

D．PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

91．下面哪一项为系统安全工程能力成熟度模型提供评估方法:

A．ISSE

B．SSAM

C．SSR

D．CEM

92．在SSE‐CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是:

A．能力级别‐公共特征(CF)‐通用实践(GP)

B．能力级别‐通用实践‐(GP)‐公共特征(CF)

C．通用实践‐(GP)‐能力级别‐公共特征(CF)

D．公共特征(CF)‐能力级别‐通用实践‐(CP)

93．一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规

范的定义?

A．2级——计划和跟踪

B．3级——充分定义

C．4级——量化控制

D．5级——持续改进

94．根据SSE‐CMM，安全工程过程能力由低到高划分为:

A．未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别

B．基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别

C．基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别

D．未实施、基本实施、计划跟踪、充分定义4个级别

95．下列哪项不是SSE‐CMM模型中工程过程的过程区域？

A．明确安全需求

B．评估影响

C．提供安全输入

D．协调安全

96．SSE‐CMM工程过程区域中的风险过程包含哪些过程区域:

A．评估威胁、评估脆弱性、评估影响

B．评估威胁、评估脆弱性、评估安全风险

C．评估威胁、评估脆弱性、评估影响、评估安全风险

D．评估威胁、评估脆弱性、评估影响、验证和证实安全

97．系统安全工程不包含以下哪个过程类:

A．工程过程类

B．组织过程类

C．管理过程类

D．项目过程类

98．ISSE(信息系统安全工程)是美国发布的IATF3．0版本中提出的设计和实施信息系统________。

A．安全工程方法

B．安全工程框架

C．安全工程体系结构

D．安全工程标准

99．IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层，因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素：

A．操作系统的安全加固

B．输入数据的校验

C．数据处理过程控制

D．输出数据的验证

100．触犯新刑法285条规定的非法入侵计算机系统罪可判处________。

A．假冒源地址或用户的地址的欺骗攻击

B．抵赖做过信息的递交行为

C．数据传输中被窃听获取

D．数据传输中被篡改或破坏

101．以下关于信息安全保障说法中哪一项不正确？

A．信息安全保障是为了支撑业务高效稳定的运行

B．以安全促发展，在发展中求安全

C．信息安全保障不是持续性开展的活动

D．信息安全保障的实现，需要将信息安全技术与管理相结合

102．信息安全保障是一种立体保障，在运行时的安全工作不包括：

A．安全评估

B．产品选购

C．备份与灾难恢复

D．监控

103．以下对信息安全风险管理理解最准确的说法是：

A．了解风险

B．转移风险

C．了解风险并控制风险

D．了解风险并转移风险

104．以下关于ISO/IEC27001标准说法不正确的是：

A．本标准可被内部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对部署的信息安全控制是好的还是坏的做出评判。

B．本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

C．目前国际标准化组织推出的四个管理体系标准：质量管理体系、职业健康安全管理体系、环境管理体系、信息安全管理体系、都采用了相同的方法，即PDCA模型。

D．本标准注重监视和评审，因为监视和评审时持续改进的基础。如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”。

105．下列哪些描述同SSL相关？

A．公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性

B．公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据

C．私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥

D．私钥使用户可以创建数字签名、加密数据和解密会话密钥

106．Windows操作系统的注册表运行命令是：

A．Regsvr32

B．Regedit

C．Regedit．msc

D．Regedit．mmc

107．在linux系统中拥有最高级别权限的用户是：

A．root

B．administrator

C．mail

D．nobody

108．下列哪个是蠕虫的特性？

A．不感染、依附性

B．不感染、独立性

C．可感染、依附性

D．可感染、独立性

109．下列哪种恶意代码不具备“不感染、依附性”的特点？

A．后门

B．陷门

C．木马

D．蠕虫

110．路由器在两个网段之间转发数据包时，读取其中的（）地址来确定下一跳的转发路径。

A．IP

B．MAC

C．源

D．ARP

111．某单位通过防火墙进行互联网接入，外网口地址为202．101．1．1，内网口地址为192．168．1．1，这种情况下防火墙工作模式为：

A．透明模式

B．路由模式

C．代理模式

D．以上都不对

112．以下哪个是防火墙可以实现的效果？

A．有效解决对合法服务的攻击

B．有效解决来自内部的攻击行为

C．有效解决来自互联网对内网的攻击行为

D．有效解决针对应用层的攻击

113．某单位采购主机入侵检测，用户提出了相关的要求，其中哪条是主机入侵检测无法实现的？

A．精确地判断攻击行为是否成功

B．监控主机上特定用户活动、系统运行情况

C．监测到针对其他服务器的攻击行为

D．监测主机上的日志信息

114．某单位采购主机入侵检测，用户提出了相关的要求，其中哪条要求是错误的？

A．实时分析网络数据，检测网络系统的非法行为

B．不占用其他计算机系统的任何资源

C．不会增加网络中主机的负担

D．可以检测加密通道中传输的数据

115．某单位将对外提供服务的服务器部署在防火墙DMZ区，为了检测到该区域中的服务器受到的攻击行为，应将防火墙探头接口镜像那个位置的流量？

A．内网核心交换机

B．防火墙互联网接口

C．防火墙DMZ区接口

D．以上都可以

116．按照SSE‐CMM，能力级别第三级是指：

A．定量控制

B．计划和跟踪

C．持续改进

D．充分定义

117．下列哪项不是SSE‐CMM中规定的系统安全工程过程类：

A．工程

B．组织

C．项目

D．资产

118．信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：

A．明确业务对信息安全的要求

B．识别来自法律法规的安全要求

C．论证安全要求是否正确完整

D．通过测试证明系统的功能和性能可以满足安全要求

119．以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？

A．应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B．应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品 C．应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D．应详细规定系统验收测试中有关系统安全性测试的内容

120．在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：

A．防止出现数据范围以外的值

B．防止出现错误的数据处理顺序

C．防止缓冲区溢出攻击

D．防止代码注入攻击

121．现阶段，信息安全发展处于哪一个阶段?

A．通信安全

B．计算机发展阶段

C．信息安全

D．信息安全保障

122．下面哪一项组成了CIA三元组?

A．保密性，完整性，保障

B．保密性，完整性，可用性

C．保密性，综合性，保障

D．保密性，综合性，可用性

123．涉及国家秘密的计算机系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须进行：

A物理隔离。

B逻辑隔离

C人员隔离

D设备隔离

124．以下关于国家秘密和商业秘密的说法不正确的是:

A．两者法律性质不同。国家秘密体现公权利，其权利主体是国家，而商业秘密体现私权利，其权利主体是技术、经营信息的发明人或其他合法所有人、使用人:

B．两者确定程序不同。国家秘密必须依照法定程序确定，而商业秘密的确定视权利人的意志而定。 C．国家秘密不能自由转让，而商业秘密则可以进入市场自由转让。

D．国家秘密与商业秘密在任何条件下不可以相互转化。

125．加密与解密便用相同的密钥，这种加密算法是

A．对称加密算法

B．非对称加密算法

C．散列算法

D．RSA

126．对VPN技术的主要作用描述最准确的是:

A．利用VPN设备建设自有传输网络，与其他网络物理隔离，实现安全的通信。

B．通讨对传输数据进行完整性校验，确保所有传输的数据不会受到破坏。

C．在共享的互联网上模拟“专用”广域网，最终以极低的费用为远程用户停工能和专用网络相媲美的保密通信服务。

D．利用VPN实现对所有接入用户的身份进行验证，有效的避免了非法接入。

127．在IPSEC协议族中，以下哪个协议必须提供验证服务?

A．AN

C．GRE

D．以上都是

128．下列哪些协议的数据可以受到IPSEC的保护? A．TCP,UDP,IP

B．ARP

C_RARP

D．以上都可以

129．下列隧道协议中工作在网络层的是：

A．SSI．

B．L2TP

G．IPSec

D．PPTP

130．下列关于防火墙的主要功能包括：

A．访问控制

B．内容控制

C．数据加密

D．查杀病毒

131．依据数据包的基本标记来控制数据包的防火墙技术是 A．包过滤技术

B．应用代理技术

C．状态检侧技术

D．有效载荷

132．分组过滤型防火墙通常基于以下哪个层次进行工作？ A．物理层

B．数据链路层

C．网络层

D．应用层

133．操作系统安全的基础是建立在:

A．安全安装

B．安全配置

C．安全管理

D．以上都对

134．下面哪一项通常用于加密电子邮件消息?

A．S/MIME

B．BIND

C．DES