单选

等级保护实施根据 -2010 《信息安全技术 信息系统安全等级保护实施指南》分为五大阶段； () 、总体规划、设计实施、 () 和系统终止。但由于在开展等级保护试点工作时，大量信息系统已经建设完成，因此根据实际情况逐步形成了() 、备案、 差距分析(也叫差距测评) 、建设整改、验收测评、定期复查为流程的() 工作流程。和《等级保护实施指南》 中规定的针对() 的五大阶段略有差异。

单选

信息可以以多种形式存在。它可以打印写在纸上、 以( ) 、用邮寄或电子手段传递、呈现在胶片上或用( ) 。无论信息以什么形式存在， 用哪种方法存储或共享， 都 宜对它进行适当的保护。 () 是保护信息受各种威胁的损害， 以确保业务( )， 业务风险最小化，投资回报和( )。

单选

以下哪个现象较好的印证了信息安全特征中的动态性( )

单选

有关质量管理， 错误的理解是( )。

单选

ISO2007：2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、 实施、保持和不断改进() 制定了要求。ISO27001 标准的前身为() 的 BS7799 标准，该标 准于 1993 年由() 立项，于 1995 年英国首次出版 BS7799-1：1995 《信息安全管理实施细 则》， 它提供了一套综合的、由信息安全最佳惯例组成的() ，其目的是作为确定工商业信 息系统在大多数情况所需控制范围的唯一 () ，并且适用大、中、小组织。

单选

老王是一名企业信息化负责人， 由于企业员工在浏览网页时总导致病毒感染系统，为了解决这一问题， 老王要求信息安全员给出解决措施， 信息安全员给出了四条措施建议， 老王根据多年的信息安全管理经验， 认为其中一条不太适合推广， 你认为是哪条措施()

单选

若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求， 其信息 安全控制措施通常在以下方面实施常规控制，以下哪个选项的内容不属于常规控制措施的范 围 ()

单选

保护-检测- 响应(Protection-Detection-Response ，PDR) 模型是() 工作中常用的模 型， 其思想是承认() 中漏洞的存在，正视系统面临的() ，通过采取适度防护、加强() 、 落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

单选

以下关于信息安全工程说法正确的是() 。

单选

小李在检查公司对外服务网站的源代码时，发现程序在发生诸如没有找到资源、数 据库连接错误、写临时文件错误等问题时，会将详细的错误原因在结果页面上显示出来。从 安全角度考虑，小李决定修改代码，将详细的错误原因都隐藏起来，在页面上仅仅告知用户 “抱歉，发生内部错误！ ” 。请问，这种处理方法的主要目的是() 。

单选

恢复时间目标(Recovery Time Objective ，RTO)和恢复点目标(Recovery Point Objective ，RPO) 是业务连续性和灾难恢复工作中的两个重要指标，随着信息系统越来越重 要和信息技术越来越先进，这两个指标的数值越来越小。小华准备为其工作的信息系统拟定 RTO 和 RPO 指标， 则以下描述中，正确的是( )。

单选

部署互联网协议安全虚拟专用网 (Internet Protocol Security Virtual Private Network ，IPsec VPN) 时， 以下说法正确的是() 。

单选

某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网 络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为， 会及时响应，并 通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能() 。

单选

某 IT 公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会 上， 信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作 为企业的 CSO ，请你指出存在问题的是哪个总结？ ()

单选

目前，信息系统面临外部攻击者的恶意攻击威胁， 从威胁能力和掌握资源分，这些 威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的 是() 。

单选

以下关于网络安全设备说法正确的是() 。

单选

为了保障系统安全， 某单位需要对其跨地区大型网络实时应用系统进行渗透测试， 以下关于渗透测试过程的说法不正确的是() 。

单选

操作系统用于管理计算机资源，控制整个系统运行，是计算机软件的基础。操作系 统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。 小王新买了一台计算机， 开机后首先对自带的 Windows操作系统进行配置。他的主要操作有： (1) 关闭不必要的服务和端口； (2)在“本地安全策略” 中配置账号策略、本地策略、公钥策略和 IP 安全策略； (3) 备份敏感文件，禁止建立空连接，下载最新补丁； (4)关闭审核策略，开启口令策略，开启账户策略。这些操作中错误的是() 。

单选

关于信息安全管理体系的作用， 下面理解错误的是()。

单选

王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当 前案例中共有两个重要资产：资产 A1 和资产 A2 ；其中资产 A1 面临两个主要威胁： 威胁 T1 和威胁 T2；而资产 A2 面临一个主要威胁：威胁 T3；威胁 T1 可以利用的资产 A1 存在的两个脆弱性： 脆弱性 V1 和脆弱性 V2；威胁 T2 可以利用的资产 A1 存在的三个 脆弱性，脆弱性 V3、脆弱性 V4 和脆弱性 V5；威胁 T3 可以利用的资产 A2 存在的两个 脆弱性：脆弱性 V6 和脆弱性 V7 。根据上述条件， 请问： 使用相乘法时，应该为资产 A1 计算几个风险值( )。

单选

在国家标准 GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部 分：简介和一般模型》 中，信息系统安全保障模型包含哪几个方面？ ()

单选

北京某公司利用 SSE-CMM 对其自身工程队伍能力进行自我改善，其理解正确的是 ( ) 。

单选

由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软 件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是() 。

单选

应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规 则性， 事先制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生 或是在混乱状态中迅速恢复控制，将损失和负面影响降到最低。应急响应方法和过程并不是 唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为 6 个阶段，为准备-> 检测->遏制->根除->恢复->跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误 的 是 ( ) 。

单选

某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试， 以下关于模 糊测试过程的说法正确的是() 。

单选

对信息安全事件的分级参考下列三个要素：信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对信息系统进行划分，不属于正确划分级别的是()。

单选

关于 ARP 欺骗原理和防范措施， 下面理解错误的是()。

单选

CC 标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现 CC 标准的 先进性()

单选

某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨 时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发 现问题后再针对性的解决，比前期安全投入要成本更低； 信息中心则认为应在软件安全开发 阶段投入， 后期解决代价太大， 双方争执不下，作为信息安全专家，请选择对软件开发安全 投入的准确说法()

单选

某单位在一次信息安全风险管理活动中， 风险评估报告提出服务器 A 的 FTP 服务 存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP 服务漏洞补丁程序并加固 FTP 服务安全措施， 请问该措施属于哪种风险处理方式( )

单选

国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描 述 ()

单选

小华在某电子商务公司工作， 某天他在查看信息系统设计文档时，发现其中标注该 信息系统的 RPO (恢复点目标) 指标为 3 小时。请问这意味着( )。

单选

某电子商务网站在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的 威胁。 STRIDE 是微软 SDL 中提出的威胁建模方法，将威胁分为六类， 为每一类威胁提供 了标准的消减措施， Spoofing 是 STRIDE 中欺骗类的威胁， 以下威胁中哪个可以归入此类威 胁()

单选

某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划，提出了 四大培训任务和目标，关于这四个培训任务和目标，作为主管领导， 以下选项中不合理的是 ( )

单选

关于 Wi-Fi 联盟提出的安全协议 WPA 和 WPA2 的区别， 下面描述正确的是() 。

单选

下列关于软件安全开发中的 BSI (Build Security In)系列模型说法错误的是() 。

单选

在信息安全风险管理过程中， 背景建立是实施工作的第一步。下面哪项理解是错误的() 。

单选

关于《网络安全法》域外适用效力的理解， 以下哪项是错误的()

单选

某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户帐户的安全， 项目开发人员决定用户登录时除了用户名口令认证方式外，还加入基于数字证书的身份认证 功能， 同时用户口令使用 SHA- 1 算法加密后存放在后台数据库中， 请问以上安全设计遵循 的是哪项安全设计原则()

单选

有关系统安全工程- 能力成熟度模型(SSE-CMM) ，错误的理解是()。

单选

有关系统安全工程-能力成熟度模型(SSE-CMM) 中的通用实施(Generic Practices， GP) ， 错误的理解是() 。

单选

Kerberos 协议是一种集中访问控制协议， 它能在复杂的网络环境中，为用户提供安 全的单点登录服务。单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不再需要其他的身份认证过程，实质是消息 M 在多个应用系统之间的传递 或共享。其中， 消息 M 是指以下选项中的() 。

单选

Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑， 这三个支柱是( ) 。

单选

软件存在漏洞和缺陷是不可避免的， 实践中常使用软件缺陷密度(Defects/KLOC) 来衡量软件的安全性。假设某个软件共有 296 万行源代码，总共被检测出 145 个缺陷， 则可 以计算出其软件缺陷密度值是()。

单选

ISO9001-2000 标准鼓励在制定、实施质量管理体系以及改进其有效性时采用过程 方法， 通过满足顾客要求，增进顾客满意度。下图是关于过程方法的示意图，图中括号空白处应填写( )。

单选

随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的 信息安全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是() 。

单选

某贸易公司的 OA 系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统 中的数据，由于系统备份是每周六进行一次， 事件发生时间为周三，因此导致该公司三个工作日的数据丢失并使得 OA 系统在随后两天内无法访问，影响到了与公司有业务往来部分公 司业务。在事故处理报告中， 根据 GB/Z 20986-2007 《信息安全事件分级分类指南》， 该事 件的准确分类和定级应该是()

单选

以下关于互联网协议安全(Internet Protocol Security ，IPsec)协议说法错误的是() 。

单选

某信息安全公司的团队对某款名为“红包快抢” 的外挂进行分析，发现此外挂是一个 典型的木马后门，使黑客能够获得受害者电脑的访问权。该后门程序为了达到长期驻留在受 害者的计算机中，通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动。 为防范此类木马后门的攻击， 以下做法无用的是()。

单选

超文本传输协议(HyperText Transfer Protocol ，HTTP)是互联网上广泛使用的一种 网络协议。下面哪种协议基于 HTTP 并结合 SSL 协议，具备用户鉴别和通信数据加密等功 能() 。

单选

安全漏洞扫描技术是一类重要的网络安全技术。当前， 网络安全漏洞扫描技术的两大核心技术是()。

单选

下列选项中对信息系统审计概念的描述中不正确的是()

单选

甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况，甲公 司将这个任务委托了乙公司，那么乙公司的设计员应该了解 OSI 参考模型中的哪一层()

单选

下面哪一项情景属于身份鉴别(Authentication)过程？ ()

单选

终端访问控制器访问控制系统(TERMINAL Access Controller Access-ControlSystem,TACACS) ,在认证过程中，客户机发送一个 START 包给服务器，包的内容包括执行的认证类型、用户名等信息。 START 包只在一个认证会话开始时使用一个，序列号永远 为().服务器收到 START 包以后，回送一个 REPLY 包，表示认证继续还是结束。

单选

()在实施攻击之前， 需要尽量收集伪装身份(),这些信息是攻击者伪装成功的()。 例如攻击者要伪装成某个大型集团公司总部的() 。那么他需要了解这个大型集团公司所处 行业的一些行规或者() 、公司规则制度、组织架构等信息， 甚至包括集团公司相关人员的 绰号等等。

单选

1993 年至 1996 年， 欧美六国和美国商务部国家标准与技术局共同制定了一个供欧 美各国通用的信息安全评估标准，简称 CC 标准，该安全评估标准的全称为()

单选

计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而 可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代，某公 司为减少计算机系统漏洞，对公司计算机系统进行了如下措施，其中错误的是( )

单选

安全审计是一种很常见的安全控制措施， 它在信息全保障系统中， 属于() 措施。

单选

下列选项分别是四种常用的资产评估方法，哪个是目前采用最为广泛的资产评估方 法 () 。

单选

访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制，它们具有 不同的特点和应用场景。如果需要选择一个访问控制模型，要求能够支持最小特权原则和职 责分离原则，而且在不同的系统配置下可以具有不同的安全控制， 那么在(1)自主访问控制， (2) 强制访问控制， (3) 基于角色的访问控制(4) 基于规则的访问控制中，能够满足以上要求的选项有()

单选

国家对信息安全建设非常重视， 如国家信息化领导小组在() 中确定要求，“信息 安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信 息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。 ”国家发展改 革委所下发的() 要求；电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金， 信息安全风险评估结论是项目验收的重要依据。在我国 2017 年正式发布的()中规定“建 设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施 同步规划、同步建设、同步使用。 ”信息安全工程就是要解决信息系统生命周期的“过程安 全 ”问题。

单选

现如今的时代是信息的时代， 每天都会有大量的信息流通或交互，但自从斯诺登曝 光美国政府的“棱镜 ”计划之后，信息安全问题也成为了每个人乃至整个国家所不得不重视的问题，而网络信息对抗技术与电子信息对抗技术也成为了这个问题的核心。某公司为有效 对抗信息收集和分析，让该公司一位网络工程师提出可行的参考建议，在该网络工程师的建 议中，错误的是()

单选

分析针对 Web 的攻击前， 先要明白 http 协议本身是不存在安全性的问题的， 就是 说攻击者不会把它当作攻击的对象。而是应用了 http 协议的服务器或则客户端、以及运行 的服务器的 wed 应用资源才是攻击的目标。针对 Web 应用的攻击， 我们归纳出了 12 种，小 陈列举了其中的 4 种，在这四种当中错误的是()

单选

在新的信息系统或增强已有()业务要求陈述中，应规定对安全控制措施的要求。信 息安全的系统要求与实施安全的过程宜在信息系统项目的早期阶段被集成，在早期如设计阶 段引入控制措施的更高效和节省。如果购买产品， 则宜遵循一个正式的() 过程。通过() 访问的应用易受到许多网络威胁，如欺诈活动、合同争端和信息的泄露或修改。因此要进行 详细的风险评估并进行适当的控制，包括验证和保护数据传输的加密方法等，保护在公共网 络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的() 。应保护涉及到应用服务交 换的信息以防不完整的传输、路由错误、未经授权的改变、擅自披露、未经授权的() 。

单选

2016 年 12 月 27 日，经中央网络安全和信息化领导小组批准， 国家互联网信息办 公室发布《国家网络空间安全战略》 (以下简称： “ 战略 ”) 。全文共计()部分，6000 余字。除了提出网络安全空间总体发展 () 之外,其中主要对我国当前面临的网络空间安全 7 大机遇思想，阐明了中国关于网络空间发展和安全的重大立场和主张， 明确了战略方针和主 要任务，切实维护国家在网络空间的主权、安全、发展利益， 是指导国家网络安全工作的纲 领性文件。《战略》指出，网络空间机遇和挑战并存，机遇大于挑战。必须坚持积极利用、 科学发展、依法管理、确保安全，坚决维护网络安全， 最大限度利用网络空间发展潜力，更 好惠及 13 亿多中国人民，造福全人类， ()。《战略》要求， 要以() ，贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识， 统筹国内国际两个大局， 统筹发展安全两件大事， 积极防御、有效应对， 推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的()。

单选

哪种攻击是攻击者通过各种手段来消耗网络宽带或者服务器系统资源，最终导致被 攻击服务器资源耗尽或者系统崩溃而无法提供正常的网络服务()

单选

以下关于 VPN 说法正确的是()

单选

社会工程学是() 与() 结合的学科，准确来说，它不是一门科学，因为它不能总 是重复合成功， 并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺 陷的() ，随着时间流逝最终都会失效， 因为系统的漏洞可以弥补，体系的缺陷可能随着技 术的发展完善或替代，社会工程学利用的是人性的“弱点 ”，而人性是() ,这使得它几乎 是永远有效的()。

单选

系统安全工程能力成熟度模型评估方法(SSAM, SSE-CMM Appraisal Method) 是专 门基于 SSE-CMM 的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的() 。SSAM 评估过程分为四个阶段， () 、 () 、 () 、()。

单选

当使用移动设备时，应特别注意确保()不外泄。移动设备方针应考虑与非保护环境 移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时， 要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或 泄露， 如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护， 以防被偷 窃， 例如， 特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要 为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的() 。携带重要、敏感和或关键业务信息的设备不宜无人值守，若有可能， 要以物理的方式 锁起来，或使用() 来保护设备。对于使用移动计算设施的人员要安排培训，以提高他们对 这种工作方式导致的附加风险的意识，并且要实施控制措施。

单选

在规定的时间间隔或重大变化发生时，组织的() 和实施方法(如信息安全的控制 目标、控制措施、方针、过程和规程) 应() 。独立评审宜由管理者启动， 由独立被评审范 围的人员执行，例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事 这些评审的人员宜具备适当的() 。管理人员宜对自己职责范围内的信息处理是否符合合适 的安全策略、标准和任何其他安全要求进行() 。为了日常评审的效率，可以考虑使用自动 测量和() 。评审结果和管理人员采取的纠正措施宜被记录， 且这些记录宜予以维护。

单选

选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要 的位置，信息资产的保护很大程度上取决与场地的安全性，一个部署在高风险场所的额信息 系统是很难有效的保障信息资产安全性的。为了保护环境安全，在下列选项中， 公司在选址 时最不应该选址的场地是()

单选

1998 年英国公布标准的第二部分《信安全管理体系规范》 ，规定()管理体系要 求与() 要求， 它是一个组织的全面或部分信息安全管理体系评估的() ，它可以作为一个 正式认证方案的() 。BS 7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布，1999 版考 虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及 的信息安全及()的责任。

单选

社会工程学本质上是一种() ， () 通过种种方式来引导受攻击者的() 向攻击者期望的方向发展。罗伯特•B•西奥迪尼(Robert B Cialdin i)在科学美国人(2001年 2 月) 杂志中总结对() 的研究，介绍了 6 种“人类天性基本倾向 ”，这些基本倾向都是() 工程师在攻击中所依赖的(有意思或者无意识的) 。

单选

风险评估的工具中， () 是根据脆弱性扫描工具扫描的结果进行模拟攻击测试， 判断被非法访问者利用的可能性， 这类工具通常包括黑客工具、脚本文件。

单选

某公司正在进行 IT 系统灾难恢复测试，下列问题中哪个最应该引起关注()

单选

关于软件安全问题， 下面描述错误的是()

单选

随着计算机和网络技术的迅速发展， 人们对网络的依赖性达到了前所未有的程度， 网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要，而网络安全评估 是保证网络安全的重要环节。 以下不属于网络安全评估内容的是()

单选

2006 年 5 月 8 日电，中共中央办公厅、国务院办公厅印发了《2006-2020 年国家信 息化发展战略》。全文分() 部分共计约 15000 余字。对国内外的信息化发展做了宏观分析， 对我国信息化发展指导思想和战略目标标准要阐述，对我国() 发展的重点、行动计划和保 障措施做了详尽描述。该战略指出了我国信息化发展的() ，当前我国信息安全保障工作逐 步加强 。制定并实施了() ,初步建立了信息安全管理体制和()。基础信息网络和重要信 息系统的安全防护水平明显提高，互联网信息安全管理进一步加强。

单选

张主任的计算机使用 Windows7 操作系统，他常登陆的用户名为 zhang,张主任给他 个人文件夹设置了权限为只有 zhang 这个用户有权访问这个目录，管理员在某次维护中无意 将 zhang 这个用户删除了，随后又重新建了一个用户名为 zhang，张主任使用 zhang 这个用 户登陆系统后， 发现无法访问他原来的个人文件夹，原因是()

单选

信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的 所有者应对其分类负责。分类的结果表明了( ),该价值取决于其对组织的敏感性和关键性如 保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子 格式的 ( )。分类信息的标记和安全处理是信息共享的一个关键要求。 ( )和元数据标签是 常见的形式。标记应易于辨认,规程应对标记附着的位置和方式给出指导,并考虑到信息被访 问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和( )

单选

杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否是为 恶意代码,如果是则进女联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目的。下列对恶意代码静态分析的说法中,错误的是( )

单选

数据库是一个单位或是一个应用领域的通用数据处理系统,它存储的是属于企业和 事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发建立的,按一 定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要 的存取路径,且数据不再针对某一应用,而是面向全组织,具有整体的结构化特征。数据库作 为应用系统数据存储的系统,毫无疑问会成为信息安全的重点防护对象。数据库安全涉及到 数据资产的安全存储和安全访问,对数据库安全要求不包括下列( )

单选

目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于 信息安全产品测评的意义,下列说法中不正确的是 : ( )

单选

风险评估相关政策, 目前主要有( ) (国信办[2006]5 号)。主要内容包括:分析信 息系统资产的( ),评估信息系统面临的( )、存在的( )、已有的安全措施和残余风险的 影响等、两类信息系统的( )、涉密信息系统参照“分级保护 ”、 非涉密信息系统参照“等 级保护 ”。

单选

( )在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的( )。例如攻击者要伪装成某个大型集团公司总部的( ),那么他需要了解这个大型集团公 司所处行业的一些行规或者 ( )、公司规则制度、组织架构等信息,甚至包括集团公司中相 关人员的绰号等等。

单选

方法指导类标准主要包括 GB/T-T25058-2010-《信息安全技术信息系统安全等级保 护实施指南》GB / T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保 护实施指南》原以()政策文件方式发布,后修改后以标准发布。这些标准主要对如何开展() 做了详细规定。状况分析类标准主要包括 GB/T28448-2012 《信息安全技术信息系统安全等 级保护测评要求》和 GB/T 284492012《信息安全技术信息系统安全等级保护测评过程指 南》等。其中在()工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。这些标准主要对如何开展( )工作做出了( )

单选

下列选项中,对风险评估文档的描述中正确的是( )

单选

供电安全是所有电子设备都需要考虑的问题,只有持续平稳的电力供应才能保障电 子设备作稳定可靠因此电力供应需要解决问题包括两个,一是确保电力供应不中断、二是确 保电力供应平稳。下列选项中,对电力供应的保障措施的描述正确的是()

单选

组织应开发和实施使用( )来保护信息的策略,基于风险评估,应确定需要的保护级 别,并考虑需要的加密算法的类型、强度和质量。当选择实施组织的( )时,应考虑我国应用 密码技术的规定和限制,以及( )跨越国界时的问题。组织应开发和实施在密钥生命周期中 使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、 存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和 使用习惯。适合的( )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安 全。宜保护所有的密钥免遭修改和丢失。另外,秘密和私有密钥需要防范非授权的泄露。用 来生成、存储和归档密钥的设备应进行( )。

单选

由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部 DNS 主 WEB 服务器不能正常工作 ;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园 网出口中断,属于以下哪种级别事件( )

单选

某网盘被发现泄露了大量私人信息,通过第三方网盘搜索引擎可查询到该网盘用户 的大量照片、通讯录。盘建议用户使用“加密分享 ”功能,以避免消息泄露,“加密分享 ”可 以采用以下哪些算法( )。

单选

作为单位新上任的CS0,你组织了一次本单位的安全评估工作以了解单位安全现状。 在漏洞扫描报告发现了某部署在内网且仅对内部服务的业务系统存在一个漏洞,对比上一年 度的漏洞扫描报告,发现这个已经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题处理( )

单选

风险评估的过程包括 ( )、 ( )、 ( )和( )四个阶段。在信息安全风险管理过 程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》 ,此文档为风险处 理活动提供输入。 ( )贯穿风险评估的四个阶段。

单选

信息安全风险值应该是以下哪些因素的函数？ ()

单选

以下关于开展软件安全开发必要性描错误的是？ ()

单选

软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求，从而导致 软件开发与维护过程中出现一系列严重问题的现象。为了克服软件危机，人们提出了用() 的原理来设计软件， 这就是软件工程诞生的基础。

单选

在设计信息系统安全保障方案时， 以下哪个做法是错误的 ()

单选

灾备指标是指信息安全系统的容灾抗毁能力， 主要包括四个具体指标： 恢复时间 目标(Recovery Time Oh jective,RTO) .恢复点目标(Recovery Point Objective,RPO) 降级操作目标(Degraded Operations Ob jective-DOO) 和网络恢复目标(NeLwork Recovery Ob jective-NRO) ,小华准备为其工作的信息系统拟定恢复点目标 RPO-O，以下描述中， 正 确的是() 。