CISP试题及答案-六套题

1、下列对于信息安全保障深度防御模型的说法错误的是：

A、信息安全外部环境、信息安全保障是组织机构安全、的一个重要组成部分，因此对信息安全的讨论必须放在国家、法律法规和标准的外部环境制约下

B、信息安全管理和工程，信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统

C、信息安全人才体系，在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分

D、信息安全技术方案：“从外面内，自下而上，形成边界到端的防护能力”

2、人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于： A、为了更好地完成组织机构的使命

B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到性的发展

D、除了保密性，信息的完整性和可用性也引起了人们的关注

3、关于信息保障技术框架（IATF），下列哪种说法是错误的？

A、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障

B、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作 C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全

D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全

4、信息系统保护轮廓（ISPP）定义了___________

A、某种类型信息系统的与实现无关的一组系统级安全保障要求 B、某种类型信息系统的与实现相关的一组系统级安全保障要求 C、某种类型信息系统的与实现无关的一组系统级安全保障目的 D、某种类型信息系统的与实现相关的一组系统级安全保障目的

5、下面对于信息安全特征和范畴的说法错误的是：

A、信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术问题，还要考虑人员、管理、等众多因素

B、信息安全是一个动态的问题，它随着信息技术的发展普及，以及产业基础、用户认识、投入产出而发展

C、信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的

D、信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点 6C7A8B9C10D

6、椭圆曲线密码方案是指：

A、基于椭圆曲线上的大整数分解问题构建的密码方案 B、通过椭圆曲线方程求解的困难性构建的密码方案 C、基于椭圆曲线上有限域离散对数问题构建的密码方案

D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案

7、hash算法的碰撞是指：

A、两个不同的消息，得到相同的消息摘要 B、两个相同的消息，得到不同的消息摘要 C、消息摘要和消息的长度相同 D、消息摘要比消息长度更长

8、Alice从Sue那里收到一个发给她的密文，其他人无法解密这个密文，Alice需要用哪个密钥来解密这个密文？ A、Alice的公钥 B、Alice的私钥 C、Sue的公钥 D、Sue的私钥

9、数字签名应具有的性质不包括： A、能够验证签名者 B、能够认证被签名消息

C、能够保护被签名的数据机密性 D、签名必须能够由第三方验证

10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC为C（K,M），Alice将这个MAC附加在消息M后面发送给Bob，Bob用密钥K和消息M计算MAC并进行比较，这个过程可以提供什么安全服务？ A、仅提供保密性 B、仅提供不可否认性 C、提供消息认证

D、保密性和消息认证 11C12C13B14C15B

11、时间戳的引入主要是为了防止： A、死锁 B、丢失 C、重放 D、拥塞

12、与RSA（rivest，shamir，adleman）算法相比，DSS（digital signature standard）不包括： A、数字签名 B、鉴别机制 C、加密机制 D、数据完整性

13、在数字信封中，综合使用对称加密算法和公钥加密算法的主要原因是：

A、混合使用两种加密方法可以增加破译者的难度，使其更加难以破译原文，从而保障信息的保密性

B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法

C、两种加密算法的混用，可以提高加密的质量，这是我国密码所规定的要求

D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息，即抗接受方抵赖

14、下列哪个选项是公钥基础设施（PKI）的密钥交换处理流程？ （1）接收者解密并获取会话密钥 （2）发送者请求接收者的公钥 （3）公钥从公钥目录中被发送出去

（4）发送者发送一个由接收者的公钥加密过的会话密钥 A、4,3,2,1 B、2,1,3,4 C、2,3,4,1 D、2,4,3,1

15、IPSEC密钥协商方式有： A、一种，手工方式

B、二种，手工方式、IKE自动协商 C、一种，IKE自动协商

D、二种，IKE自动协商、隧道协商 16A17D18B19D20D

16、以下哪一项不是工作在网络第二层的隧道协议： A、VTP B、L2F C、PPTP D、L2TP

17、与PDR模型相比，P2DR模型多了哪一个环节？ A、防护 B、检测 C、反应 D、策略

18、以下有关访问控制矩阵中行和列中元素的描述正确的是： A、行中放用户名，列中放对象名 B、行中放程序名，列中放用户名 C、列中放用户名，行中放设备名 D、列中放标题，行中放程序

19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？ A、强制访问控制（MAC）

B、集中式访问控制（Decentralized Access Control） C、分布式访问控制（Distributed AccessControl）

D、自主访问控制（DAC）

20、以下哪一项不是BLP模型的主要任务： A、定义使得系统获得“安全”的状态集合

B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态” C、检查系统的初始状态是否为“安全状态” D、选择系统的终止状态 21D22A23A24B25D

21、访问控制表与访问能力表相比，具有以下那个特点： A、访问控制表更容易实现访问权限的特点 B、访问能力表更容易浏览访问权限 C、访问控制表回收访问权限更困难 D、访问控制表更适用于集中式系统

22、在Clark-Wilson模型中哪一项不是保证完整性任务的？ A、防止职权的滥用 B、防止非授权修改

C、维护内部和外部的一致性 D、防止授权但不适当地修改

23、以下对单点登录技术描述不正确的是：

A、单点登录技术实质是安全凭证在多个用户之间的传递或共享

B、使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用 C、单点登录不仅方便用户使用，而且也便于管理 D、使用单点登录技术能简化应用系统的开发

24、鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的： A、口令 B、令牌 C、知识 D、密码

25、系统审计日志不包括以下哪一项： A、时间戳 B、用户标识 C、对象标识 D、处理结果

26B27B28B29B30C

26、以下哪一项不是审计措施的安全目标： A、发现试图绕过系统安全机制的访问 B、记录雇员的工作效率

C、记录对访问客体采用的访问方式 D、发现越权的访问行为

27、一个VLAN可以看做是一个： A、冲突域 B、广播域 C、管理域 D、阻塞域

28、以下对RADIUS协议说法正确的是： A、它是一种B/S结构的协议

B、它是一项通用的认证计费协议 C、它使用TCP通信

D、它的基本组件包括认证、授权和加密

29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层？ A、链路层 B、传输层 C、会话层 D、表示层

30、路由器的扩展访问控制列表能够检查流量的那些基本信息？ A、协议，vtan id，源地址，目标地址 B、协议，vian id，源端口，目标端口

C、源地址，目地地址，源端口，目标端口，协议

D、源地址，目地地址，源端口，目标端口，交换机端口号 31A32B33B34C5B

31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制？ A、ICMP B、IGMP C、ARP D、SNMP

32、TCP采用第三次握手来建立一个连接，第二次握手传输什么信息： A、SYN

B、SYN+ACK C、ACK D、FIN

33、某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）,互联网最好采取什么方法或技术： A、花更多的钱向ISP申请更多的IP地址 B、在网络的出口路由器上做源NAT C、在网络的出口路由器上做目的NAT D、在网络出口处增加一定数量的路由器

34、以下哪个一个项对“ARP”的解释是正确的：

A、Access routing protocol----访问路由协议 B、Access routing protocol----访问解析协议 C、Address resolution protocol-地址解析协议 D、Address recovery protocol-地址恢复协议

35、下面对于X.25协议的说法错误的是？ A、传输速率可达到56Kbps

B、其优点是反复的错误校验颇为费时 C、其缺点是反复的错误校验颇为费时

D、由于它与TCP/IP协议相比处于劣势，所以渐渐被后者淘汰 36D37C38D39B40D

36、下列对于DMZ区的说法错误的是： A、它是网络安全防护的一个“非军事区” B、它是对“深度防御”概念的一种实现方案 C、它是一种比较常用的网络安全域划分方式 D、要想搭建它至少需要两台防火墙

37、哪一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问连续的能力？ A、包过滤防火墙 B、状态监测防火墙 C、应用网关防火墙 D、以上都不是

38、以下哪一项不属于入侵检测系统的功能 A、监视网络上的通信数据流 B、捕捉可疑的网络活动 C、提供安全审计报告 D、过滤非法的数据包

39、下面哪一项不是通过IDS模型的组成部分： A、传感器 B、过滤器 C、分析器 D、管理器

40、下面哪一项是对IDS的正确描述？

A、基于特征（Signature-based）的系统可以检测新的攻击类型

B、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生更多的误报

C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配

D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报 41D42B43D44D45D

41、可信计算技术不能：

A、确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击

B、确保密钥操作和存储的安全

C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性 D、使计算机具有更高的稳定性

42、chmod 744 test命令执行的结果是：

A、test文件的所有者具有执行读写权限，文件所属的组合其它用户有读的权限

B、test文件的所有者具有执行读写和执行权限，文件所属的组和其它用户有读的权限 C、test文件的所有者具有执行读和执行权限，文件所属的组和其它用户有读的权限

D、test文件的所有者具有执行读写和执行权限，文件所属的组和其它用户有读和写的权限

43、Linux系统的用户信息保存在passwd中，某用户条目backup:*:34:34:backup:/var/backups:/bin/sh，以下关于该账号的描述不正确的是： A、backup账号没有设置登录密码

B、backup账号的默认主目录是/var/backups C、backup账号登陆后使用的shell是/bin/sh D、backup账号是无法进行登录

44、以下对windows账号的描述，正确的是：

A、windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限 B、windows系统是采用用户名来标识用户对文件或文件夹的权限

C、windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除

D、windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除

45、以下哪一项不是IIS服务器支持的访问控制过滤类型？ A、网络地址访问控制 B、web服务器许可 C、NTFS许可 D、异常行为过滤 46D47C48B49D50C

46、以下哪个对windows系统日志的描述是错误的？

A、windows系统默认有三个日志，系统日志，应用程序日志，安全日志

B、系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障

C、应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的信息

D、安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等 47、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由三部分组成，以下哪一项不是完整性规则的内容？ A、完整性约束条件 B、完整性检查机制 C、完整性修复机制 D、违约处理机制

48、数据库事务日志的用途是什么？ A、事务日志 B、数据恢复 C、完整性约束 D、保密性控制

49、以下哪一项不是SQL语言的功能 A、数据定义 B、数据检查 C、数据操纵 D、数据加密

50、以下哪一项是和电子邮件系统无关的？ A、PEM B、PGP C、X.500 D、X.400

51C52C53C54D55D

51、下面对于cookie的说法错误的是：

A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息 B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险

C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗

D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而是用session验证方法

52、电子商务安全要求的四个方面是：

A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖 B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证 C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性 D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性

53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是： A、httpd.conf B、srm.conf C、access.conf D、inetd.conf

54、以下哪个是恶意代码采用的隐藏技术 A、文件隐藏 B、进程隐藏 C、网络连接隐藏 D、以上都是

55、下列那种技术不是恶意代码的生存技术？ A、反跟踪技术 B、加密技术 C、模糊变换技术 D、自动解压缩技术 56B57B58D59D60D

56、以下对于蠕虫病毒的说法错误的是： A、通常蠕虫的传播无需用户的操作

B、蠕虫病毒的主要危害体现在对数据保密性的破坏 C、蠕虫的工作原理与病毒相似，除了没有感染文件阶段

D、是一段能不以其他程序为媒介，从一个电脑系统复制到另一个电脑系统的程序

57、被以下哪种病毒感染后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响的，DNS和IIS服务遭到非法拒绝等。 A、高波变种3T B、冲击波 C、震荡波

D、尼姆达病毒

58、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？ A、缓冲区溢出 B、设计错误 C、信息泄露 D、代码注入

59、下面对漏洞出现在软件开发的各个阶段的说法中错误的是？ A、漏洞可以在设计阶段产生 B、漏洞可以在实现过程中产生 C、漏洞可以在运行过程中产生 D、漏洞可以在验收过程中产生

60、DNS欺骗是发生在TCP/IP协议中______层的问题 A、网络接口层 B、互联网网络层 C、传输层 D、应用层

61B62D63AB65C

61、IP欺骗（IP Spoof）是发生在TCP/IP协议中______层的问题 A、网络接口层 B、互联网网络层 C、传输层 D、应用层

62、分片攻击问题发生在： A、数据包被发送时 B、数据包在传输过程中 C、数据包被接收时

D、数据包中的数据进行重组时

63、下面关于软件测试的说法错误的是：

A、所谓“黑盒”测试就是测试过程不测试报告中进行描述，且对外严格保密 B、出于安全考虑，在测试过程中尽量不要使用真实的生产数据

C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存

D、软件测试不仅应关注需要的功能是否可以被实现，还要注意是否有不需要的功能被实现了

、传统软件开发方法无法有效解决软件安全缺陷问题的原因是：

A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段

B、传统的软件开发方法，注重软件功能实现和保证，缺乏对安全问题进行处理的任务、里程碑与方，也缺乏定义对安全问题的控制与检查环节

C、传统的软件开发方法，将软件安全定义为编码安全，力图通过规范编码解决安全问题，缺乏全面性

D、传统的软件开发方法仅从流程上规范软件开发过程，缺乏对人员的培训要求，开发人员是软件安全缺陷产生的根源

65、对攻击面（Attack surface）的正确定义是：

A、一个软件系统可被攻击的漏洞的集合，软件存在的攻击面越多，软件的安全性就越低 B、对一个软件系统可以采取的攻击方法集合，一个软件的攻击面越大安全风险就越大 C、一个软件系统的功能模块的集合，软件的功能模块越多，可被攻击的点也越多，安全风险也越大

D、一个软件系统的用户数量的集合，用户的数量越多，受到攻击的可能性就越大，安全风险也越大

66D67D68B69A70D

66、下面对PDCA模型的解释不正确的是：

A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B、是一种可以应用于信息安全管理活动持续改进的有效实践方法 C、也被称为“戴明环”

D、适用于对组织整体活动的优化，不适合单个的过程以及个人

67、下面关于ISO27002的说法错误的是： A、ISO27002的前身是ISO17799-1

B、ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用，但不是全部 C、ISO27002对于每个控制措施的表述分“控制措施”，“实施指南”和“其他信息”三个部分来进行描述

D、ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类

安全措施

68、下述选项中对于“风险管理”的描述不正确的是：

A、风险管理员是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通

B、风险管理的目的是了解风险并采取措施处置风险并将风险消除

C、风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中

D、在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

69、在信息安全领域，风险的四要素是指？

A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C、完整性、可用性、机密性、不可抵赖性

D、减低风险、转嫁风险、规避风险、接受风险

70、在信息安全风险管理体系中分哪五个层面？ A、决策层、管理层、执行层、支持层、用户层 B、决策层、管理层、建设层、维护层、用户层 C、管理层、建设层、运行层、支持层、用户层 D、决策层、管理层、执行层、监控层、用户层 71C72C73B74D75B

71、在风险管理工作中“监控审查”的目的，一是_________;二是_________. A、保证风险管理过程的有效性，保证风险管理成本的有效性 B、保证风险管理结果的有效性，保证风险管理成本的有效性

C、保证风险管理过程的有效性，保证风险管理活动的决定得到认可 D、保证风险管理结果的有效性，保证风险管理活动的决定得到认可

72、下列安全控制措施的分类中，哪个分类是正确的（p-预防性的，D-检测性的以及C-纠正性的控制） 1、网络防火墙 2、编辑和确认程序 3、账户应付支出报告 4、账户应付对账 5、RAID级别3

6、银行账单的监督复审 7、分配计算机用户标识 8、交易日志

A、P,P,D,P,P,C,D,andC B、D,P,P,P,C,C,D, andD C、P,P,D,D,C,D,P, andC D、P,D,C,C,D,P,P, andD

73、信息安全风险评估分为自评估和检查评估两种形式，下列描述不正确的是： A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充 B、检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估

C、检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责

D、检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估

74、某公司正在对一台关键业务服务器进行风险评估，该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？ A、1800元 B、62100元 C、140000元 D、6210元

75、下列哪些内容应包含在信息系略计划中？ A、已规划的硬件采购的规范 B、将来业务目标的分析 C、开发项目的目标日期

D、信息系统不同的年度预算目标

76D77C78B79B80A

76、以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？ A、外来人员在进行系统维护时没有收到足够的监控 B、一个人拥有了不是其完成工作所必要的权限 C、敏感岗位和重要操作长期有一个人独自负责

D、员工由一个岗位变动到另一个岗位，累计越来越多的权限

77、ISO27002中描述的11个信息安全管理控制领域不包括： A、信息安全组织 B、资产管理 C、内容安全

D、人力资源安全

78、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级？ A、2 B、3 C、4 D、5

79、以下哪一种备份方式再恢复时间上最快？ A、增量备份 B、差异备份

C、完全备份 D、磁盘备份

80、计算机应急响应小组的简称是： A、CERT B、FIRST C、SANA D、CEAT

81D82D83B84C85B

81、为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。 A、统一而精确地的时间 B、全面覆盖系统资产

C、包括访问源、访问目标和访问活动等重要信息 D、可以让系统的所有用户方便的读取

82、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），灾难恢复管理过程的主要步骤是灾难恢复需求分析，灾难恢复策略制定，灾难恢复预案制定和管理，其中灾难恢复策略实现不包括以下哪一项？ A、分析业务功能

B、选择和建设灾难备份中心 C、实现灾备系统技术方案

D、实现灾备系统技术支持和维护能力

83、在进行应用系统的的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时。以下哪一项不是必须做的： A、测试系统应使用不低于生产关系的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录生产数据的拷贝和使用

84、下列有关能力成熟度模型的说法错误的是：

A、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B、使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域

C、使用组织机构成熟度方案时，每一个能力级别都对应一组已经定义好的过程域

D、SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 85、一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

A、2级—计划和跟踪 B、3级—充分定义 C、4级—量化控制 D、5级—持续改进

86D87C88DB90C

86、下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程： A、风险过程 B、保证过程 C、工程过程 D、评估过程

87、SSE-CMM工程过程区域中的风险过程包含哪些过程区域？ A、评估威胁、评估脆弱性、评估影响 B、评估威胁、评估脆弱性、评估安全风险

C、评估威胁、评估脆弱性、评估影响、评估安全风险 D、评估威胁、评估脆弱性、评估影响、验证和证实安全

88、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A、明确业务对信息安全的要求 B、识别来自法律法规的安全要求 C、论证安全要求是否正确完整

D、通过测试证明系统的功能和性能可以满足安全需求

、信息化建设和信息安全建设的关系应当是： A、信息化建设的结果就是信息安全建设的开始

B、信息化建设和信息安全建设应同步规划、同步实施

C、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后 D、以上说法都正确 90、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：

A、变更的流程是否符合预先的规定 B、变更是否会对项目进度造成拖延 C、变更的原因和造成的影响

D、变更后是否进行了准确地记录

91A92B93D94D95C

91、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D、应详细规定系统验收测试中有关系统安全性测试的内容 92、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产

系统中的数据，如果需要使用时，以下哪一项不是必须做的： A、测试系统应使用不低于生产系统的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录产生数据的拷贝和使用

93、关于监理过程中成本控制，下列说法中正确的是？ A、成本只要不超过预计的收益即可 B、成本应控制得越低越好

C、成本控制由承建单位实现，监理单位只能记录实际开始

D、成本控制的主要目的是在批注的预算条件下确保项目保质按期完成

94、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？ A 非法侵入计算机信息系统罪 B 破坏计算机信息系统罪 C 利用计算机实施犯罪

D 国家重要信息系统管理者玩忽职守罪

95、计算机取证的合法原则是：

A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行，以确保其合法性

D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则

96B97B98C99B100A

96、对第三方服务进行安全管理时，以下说法正确的是： A、服务水平协议的签定可以免除系统安全管理者的责任

B、第三方服务的变更管理的对象包括第三方服务造成的系统变化和服务商贸的变化 C、服务水平协议的执行情况的监督，是服务方项目经理的职责，不是系统管理者的责任 D、安全加固的工作不能由第三方服务商进行

97、对涉密系统进行安全保密测评应当依据以下哪个标准？

A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B、BMB20-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C、GB17859-1999《计算机信息系统安全保护等级划分准则》 D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

98、下列事项是我国在2009年下发的关于信息系统安全保障工作的文件： A、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高校 B、《关于加强信息系统安全和保密管理工作的通知》（国发办17号） C、《关于印发<信息系统安全检查办法>的通知》（国办发28号） D、《关于印发<国家网络与信息安全事件应急预案>的通知》（国办函168

99、信息系统安全保护等级为3级的系统，应当在（）年进行一次等级测评？ A、0.5 B、1 C、2 D、3

100、以下哪一项是用于CC的评估级别？

A、EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7 B、A1，B1，B2，B3，C2，C1，D C、E0，E1，E2，E3，E4，E5，E6

D、AD0，AD1，AD2，AD3，AD4，AD5，AD6