单选

信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早 将网络安全上长升为国家安全战略，并制定相关战略计划。

单选

信息安全标准化工作是我国信息安全保障工作的重要组成部分之一，也是政府进行 宏观管理的重要依据，同时也是保护国家利益，促进产业发展的重要手段之一，关于我国标 准化工作，下面选项中描述错误的是（）

单选

最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下 四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?

单选

某电子商务网站最近发生了一起安全事件，出现了一个价值 1000 元的商品用 1 元 被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用 Http 协议，攻击者通过 伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值 1000 元的商 品以 1 元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问 题原因分析及解决措施。最正确的说法应该是?

单选

以下哪个选项不是防火墙提供的安全功能?

单选

以下关于可信计算说法错误的是：

单选

Linux 系统对文件的权限是以模式位的形式来表示，对于文件名为 test 的一个文件， 属于 admin 组中 user 用户，以下哪个是该文件正确的模式表示?

单选

Apache Web 服务器的配置文件一般位于/usr／local／apache／conf 目录，其中用来控制用户访问 Apache 目录的配置文件是：

单选

应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策 略，以下不属于数据库防护策略的是?

单选

下列哪项内容描述的是缓冲区溢出漏洞?

单选

某学员在学习国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》 （GB/T 20274.1-2006）后，绘制了一张简化的信息系统安全保障模型图，如下所示。请为 图中括号空白处选择合适的选项（）

单选

安全专家在对某网站进行安全部署时，调整了 Apache 的运行权限，从 root 权限降 低为 nobody 用户，以下操作的主要目的是：

单选

下列关于计算机病毒感染能力的说法不正确的是：

单选

以下哪个是恶意代码采用的隐藏技术：

单选

通过向被攻击者发送大量的 ICMP 回应请求，消耗被攻击者的资源来进行响应，直 至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：

单选

以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击

单选

传输控制协议(TCP)是传输层协议，以下关于 TCP 协议的说法，哪个是正确的?

单选

以下关于 UDP 协议的说法，哪个是错误的?

单选

如图所示，主体 S 对客体 01 有读（R）权限，对客体 02 有读（R） 、写（W） 权限。该图所示的访问控制实现方法是：（）

单选

有关项目管理，错误的理解是：

单选

近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有 效的方法是?

单选

关于源代码审核，下列说法正确的是：

单选

在戴明环(PDCA)模型中，处置(ACT)环节的信息安全管理活动是：

单选

信息系统的业务特性应该从哪里获取?

单选

在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段?

单选

以下关于“最小特权”安全管理原则理解正确的是：

单选

风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要 过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项()。

单选

以下哪一项不属于常见的风险评估与管理工具（）：

单选

信息系统安全保护等级为 3 级的系统，应当（）年进行一次等级测评?

单选

关于我国加强信息安全保障工作的总体要求，以下说法错误的是：（）

单选

根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定， 以下正确的是：

单选

小李去参加单位组织的信息安全培训后，他把自己对管理信息管理体系 ISMS 的理 解画了一张图，但是他还存在一个空白处未填写，请帮他选择一个合适的选项（）

单选

软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前 提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间 接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：

单选

某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理 和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全哪项原则

单选

为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能 卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?

单选

某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软 件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要 对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?

单选

信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因 素，在 IT 项目的立项阶段，以下哪一项不是必须进行的工作：

单选

以下关于软件安全测试说法正确的是（）

单选

信息安全工程作为信息安全保障的重要组成部门，主要是为了解决:

单选

实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常 见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图，小王作为合法用户使用自己的账户进 行支付、转账等操作。这说法属于下列选项中的（）

单选

有关系统安全工程-能力成熟度模型（SSE-CMM)中基本实施（Base Practice）正确的 理解是：

单选

层次化的文档是信息安全管理体系《Information Security Management System.ISMS》 建设的直接体系，也 ISMS 建设的成果之一，通常将 ISMS 的文档结构规划为 4 层金字塔结 构，那么，以下选项（）应放入到一级文件中.

单选

信息安全管理体系（information Security Management System.简称 ISMS）的实施和 运行 ISMS 阶段，是 ISMS 过程模型的实施阶段（Do），下面给出了一些活动①制定风险处 理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理 ISMS 的运行⑥管理 ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实 施风险再评估选的活动，选项（）描述了在此阶段组织应进行的活动。

单选

在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产 价值的评估，以下选项中正确的是（）

单选

某网站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代 码，但是在部署时由于管理员将备份存放在 WEB 目录下导致了攻击者可直接下载备份，为 了发现系统中是否存在其他类似问题，以下哪种测试方式是最佳的测试方法。

单选

下面哪项属于软件开发安全方面的问题（）

单选

Linux 系统的安全设置中，对文件的权限操作是一项关键操作。通过对文件权限的 设置，能够保障不同用户的个人隐私和系统安全。文件 fiB.c 的文件属性信息如下图所示， 小张想要修改其文件权限，为文件主增加执行权限，并删除组外其他用户的写权限，那么以 下操作中正确的是（）

单选

关于软件安全开发生命周期(SDL)，下面说法错误的是：

单选

从系统工程的角度来处理信息安全问题，以下说法错误的是：

单选

有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices，BP)， 正确的理解是：

单选

下图是某单位对其主网站一天流量的监测图，如果该网站当天 17：00 到 20：00 之 间受到攻击，则从图中数据分析，这种攻击可能属于下面什么攻击。（）

单选

以下哪一种判断信息系统是否安全的方式是最合理的?

单选

以下关于信息安全法治建设的意义，说法错误的是：

单选

小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾 害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四 (24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度 预期损失为多少：

单选

2005 年 4 月 1 日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息 化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说 法错误的是：

单选

风险管理的监控与审查不包含：

单选

信息安全等级保护要求中，第三级适用的正确的是：

单选

下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：

单选

有关危害国家秘密安全的行为的法律责任，正确的是：

单选

如下图所示，Alice 用 Bob 的密钥加密明文，将密文发送给 Bob，Bob 再用自己的私钥解密，恢复出明文以下说法正确的是：（）

单选

某用户通过账号，密码和验证码成功登陆某银行的个人网银系统，此过程属于以下 哪一类：（）

单选

以下对于信息安全事件理解错误的是：

单选

假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：

单选

以下哪一项不是信息安全管理工作必须遵循的原则?

单选

《信息安全技术 信息安全风险评估规范》（GB／T 20984-2007）中关于信息系统生 命周期各阶段的风险评估描述不正确的是：

单选

对信息安全风险评估要素理解正确的是：

单选

以下哪些是需要在信息安全策略中进行描述的：

单选

攻击者通过向网络或目标主机发送伪造的 ARP 应答报文，修改目标计算机上 ARP 缓 存，形成一个错误的 IP 地址<->MAC 地址映射，这个错误的映射在目标主机在需要发送数据 时封装错误的 MAC 地址。欺骗攻击过程如下图所示，其属于欺骗攻击中的哪一种欺骗攻击的 过程（）

单选

下面的角色对应的信息安全职责不合理的是：

单选

自 2004 年 1 月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经 由以下哪个组织提出工作意见，协调一致后由该组织申报。

单选

风险计算原理可以用下面的范式形式化地加以说明：风险值=R（A，T，V)=R(L(T， V)，F(Ia，Va))以下关于上式各项说明错误的是：

单选

OSI 模型把网络通信工作分为七层,其中 IP 协议对应 OSI 模型中的那一层( )

单选

根据 Bell-LaPedula 模型安全策略，下图中写和读操作正确的是（ ）

单选

以下哪一项在防止数据介质被滥用时是不推荐使用的方法：

单选

小李是某公司系统规划师，某天他针对公司信息系统的现状，绘制了一张系统安全 建设规划图，如下图所示。请问这个图形是依据下面哪个模型来绘制的（ ）

单选

信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括 （）六个方面的内容 。（ ） 是信息安全风险管理的四个基本步骤，（）则贯穿于这四个基 本步骤中. ；

单选

在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际 生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：

单选

为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。

单选

以下哪一项不属于信息安全工程监理模型的组成部分：

单选

某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公 开招标选择 M 公司为承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前， 各个应用系统均已完成开发，M 公司已经提交了验收申请，监理公司需要对 A 公司提交的 软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档：

单选

在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容：

单选

美国系统工程专家霍尔（A.D.Hall）在 1969 年利用机构分析法提出著名的霍尔三 维结构，使系统工程的工作阶段和步骤更为清晰明了，如图所示，霍尔三维结构是将系统工 程整个活动过程分为前后紧密衔接的（）阶段和（）步骤，同时还考虑了为完全这些阶段和 步骤所需要的各种（）。这样，就形成了由（）、（）、和知识维所组成的三维空间结构。

单选

某公司在执行灾难恢复测试时．信息安全专业人员注意到灾难恢复站点的服务器的 运行速度缓慢，为了找到根本愿因，他应该首先检查：

单选

COBIT（信息和相关技术的控制目标）是国际专业协会 ISACA 为信息技术（IT）管 理和 IT 治理创建的良好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕 IT 相关流程和推动因素的逻辑框架进行组织。COBIT 模型如图所示，按照流程，请问，COBIT 组件包括（）、()、（）、（）、（）、等部分。

单选

以下对异地备份中心的理解最准确的是：

单选

作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是：1．标识关 键的业务过程;2．开发恢复优先级;3．标识关键的 IT 资源;4．表示中断影响和允许的中断时 间

单选

依据国家 GB/T 20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：

单选

以下哪一项是数据完整性得到保护的例子?

单选

进入 21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布 网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同， 以下说法不正确的是：

单选

下列对于信息安全保障深度防御模型的说法错误的是：

单选

为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工 作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标 准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。

单选

Alice 用 Bob 的密钥加密明文，将密文发送给 Bob。Bob 再用自己的私钥解密，恢 复出明文。以下说法正确的是：

单选

下列哪一种方法属于基于实体“所有”鉴别方法：

单选

主体 S 对客体 01 有读(R)权限，对客体 02 有读(R)、写(W)、拥有(Own)权限，该访 问控制实现方法是：

单选

以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据 组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限 (不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型，下列说法错误的 是：

单选

下面哪一项不是虚拟专用网络(VPN)协议标准：

单选

下列对网络认证协议 Kerberos 描述正确的是：

单选

鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：

单选

某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System，IDS)产品，需要购 买防火墙，以下做法应当优先考虑的是：

单选

入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它 与 IDS 有着许多不同点，请指出下列哪一项描述不符合 IPS 的特点?