1.美国的关键信息基础设施(criticalInformationInfrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:A.这些行业都关系到国计民生,对经济运行和国家安全影响深远B.这些行业都是信息化应用广泛的领域C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出D.这些行业发生信息安全事件,会造成广泛而严重的损失2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功&D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的4.以下哪一项是数据完整性得到保护的例子?A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作&C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的:A.乙对信息安全不重视,低估了黑客能力,不舍得花钱&B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费C.甲未充分考虑网游网站的业务与政府网站业务的区别D.乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求6.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B.美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担C.各国普遍重视信息安全事件的应急响应和处理D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系7.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略&8.以下关于项目的含义,理解错误的是:A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B.项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。&C.项目资源指完成项目所需要的人、财、物等。D.项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Time-oriented)9.2008年1月2日,美目发布第54号总统令,建立国家网络安全综合计划(ComprehensiveNationalCybersecurityInitiative,CNCI)。CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的:A.CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险B.从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的C.CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补D.CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障&10.下列对于信息安全保障深度防御模型的说法错误的是:A.信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。D.信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”。11.如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:A.个人网银系统和用户之间的双向鉴别B.由可信第三方完成的用户身份鉴别C.个人网银系统对用户身份的单向鉴别*D.用户对个人网银系统合法性的单向鉴别12.如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是:A.此密码体制为对称密码体制B.此密码体制为私钥密码体制C.此密码体制为单钥密码体制D.此密码体制为公钥密码体制&13.下列哪一种方法属于基于实体“所有”鉴别方法:A.用户通过自己设置的口令登录系统,完成身份鉴别B.用户使用个人指纹,通过指纹识别系统的身份鉴别C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别D.用户使用集成电路卡(如智能卡)完成身份鉴别&14.为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?A.实体“所知”以及实体“所有”的鉴别方法&B.实体“所有”以及实体“特征”的鉴别方法C.实体“所知”以及实体“特征”的鉴别方法D.实体“所有”以及实体“行为”的鉴别方法15.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞&B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多16.软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?A.告诉用户需要收集什么数据及搜集到的数据会如何披使用B.当用户的数据由于某种原因要被使用时,给用户选择是否允许C.用户提交的用户名和密码属于稳私数据,其它都不是&D.确保数据的使用符合国家、地方、行业的相关法律法规17.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实&B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行18.以下哪一项不是工作在网络第二层的隧道协议:A.VTP&B.L2FC.PPTPD.L2TP19.如圈所示,主体S对客体01有读(R)权限,对客体02有读(R)、写(W)、拥有(Own)权限,该图所示的访问控制实现方法是:A.访问控制表(ACL)B.访问控制矩阵C.能力表(CL)&D.前缀表(Profiles)20.以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是:A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝B.业务系统中的岗位、职位或者分工,可对应RBAC模型中的角色C.通过角色,可实现对信息资源访问的控制D.RBAC模型不能实现多级安全中的访问控制&21.下面哪一项不是虚拟专用网络(VPN)协议标准:A.第二层隧道协议(L2TP)B.Internet安全性(IPSEC)C.终端访问控制器访问控制系统(TACACS+)&D.点对点隧道协议(PPTP)22.下列对网络认证协议(Kerberos)描述正确的是:A.该协议使用非对称密钥加密机制B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C.该协议完成身份鉴别后将获取用户票据许可票据D.使用该协议不需要时钟基本同步的环境&23.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:A.口令B.令牌&C.知识D.密码24.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?A.加密B.数字签名&C.访问控制D.路由控制25.某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:A.选购当前技术最先进的防火墙即可B.选购任意一款品牌防火墙C.任意选购一款价格合适的防火墙产品D.选购一款同已有安全产品联动的防火墙&26.在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?A.网络层&B.表示层C.会话层D.物理层27.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?A.最小权限B.权限分离&C.不信任D.纵深防御28.以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是:A.在传送模式中,保护的是IP负载B.验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作c.在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头D.IPsec仅能保证传输数据的可认证性和保密性&29.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?A.网站竞争对手可能雇佣攻击者实施DDoS攻击,