59 信息安全工程经理工程师不需要做的工作是 A 编写响应测试方案 B 审核相应测试方案 C 参与响应测试过程 D 审核响应测试资质

60.国际标准化组织ISO下属208个技术委员会（TCs），531个分技术委员会（SCs），2378个工作组（WGs）,其中负责信息安全技术标准化的组织是： A.ISO/IEC

B.ISO/IEC JTC 1

C.ISO/IEC JTC 1/SC 27 D.ISO/IEC JTC 1/SC 37

61.________是目前国际通行的信息技术产品安全性评估标准？ A.TCSEC B.ITSEC C.CC D.IATF

62.以下对确定信息系统的安全保护等级理解正确的是： A.信息系统的安全保护等级是信息系统的客观属性

B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施 C.确定信息系统的安全保护等级时应考虑风险评估的结果

D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性

63.下面哪个不是ISO 27000 系列包含的标准？ A.《信息安全管理体系要求》 B.《信息安全风险管理》 C.《信息安全度量》

D.《信息安全评估规范》

64.以下哪一个关于信息安全评估的标准最先明确了保密性，完整性和可用性三项信息安全特征 A ITSEC B TCSEC

C GB/TB9387.2

D 彩虹系列的橙皮书

65.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，（计算机信息系统国家联网保密管理规定）是由下列哪个部门所指定的 A 公安部 B 国家保密局 C 信息产业部

D 国家密码管理委员会办公室

66.下面有关我国信息安全管理体制的说法错误的是：

A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 B.我国的信息安全保障工作综合利用法律、管理和技术的手段

C.我过的信息安全管理成坚持及时检测、快速响应、综合治理的方针 D.我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责

67.以下哪一项不是我国与信息安全有关的国家法律？ A.《信息安全等级保护管理方法》 B.《中华人民共和国保守国家秘密法》 C.《中华人民共和国刑法》

D.《中华人民共和国国家安全法》

68.触犯新刑法285条规定的非法侵入计算机系统罪可判处______。 A.三年以下有期徒刑或拘役 B.1000元罚款

C.三年以上五年以下有期徒刑 D.10000元罚款

69.下列哪个不是《商用密码管理条例》规定的内容？

A.国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作 B.商用密码技术术语国家秘密，国家对商用密码产品的科研、生产、销售秘密XX行专空管理

C.商用密码产品由国家密码管理机构许可的单位销售

D.个人可以使用经国家密码管理机构认可之外的商用密码产品 70. tcp/IP协议的4层网络模型是？ A应用层、传输层、网络层和物理层 B应用层、传输层、网络层和网络接口层 C应用层、数据链路层、网络层和网络接口层 D会话层、数据连接层、网络层和网络接口层 71什么设备可以隔离ARP广播帧。 A路由器 B网桥

C以太网交换机 D集线器

72以下那一项不是应用层防火墙的特点？ A更有效的阻止应用层攻击 B工作在OSI模型的第七层 C速度快且对用户透明 D比较容易进行审计

73 桥接或透明模式是目前比较流行的防火墙部署方式，这种 方式-------？

A不需要对原有的网络配置进行修改

B性能比较高

C防火墙本身不容易受到攻击 D易于在防火墙上实现NAT

74以下哪一项不是IDS可以解决的问题： A弥补网络协议的弱点

B识别和报告对数据文件的改动 C统计分析系统中异常活动模式 D提升系统监控能力

75 作为一个组织中的信息系统普通用户，以下那一项是不应 该了解的？

A谁负责信息安全管理制度的制定和发布 B谁负责监督安全制度的执行

C信息系统发生灾难后，进行恢复工作的具体流程 D如果违反了安全制度可能会受到惩罚措施 76以下哪一项是DOS攻击的一个实例？ A SQL注入 B IP Soof

C S mur f攻击 D 字典破解

77 下面一行是某个UNIX 文件的详情，关于该文件权限的描 述不正确的是‘drwxr—xrwx 2 group user 4096 05-05 09：14 file

A这是一个目录，名称是‘file’ B文件属组是group

C“其他人”对该文件具有读、写、执行权限 D user的成员对此文件没有写权限

78下列哪一组是Orecle数据库的默认用户名和默认口令？ A用户名：Scott；口令：tiger B用户名：‘sa’：口令：null C用户名：‘ROOT’口令：null D用户名：‘ADMIN’口令：null

79 下面把一项最准确的阐述了安全监测措施和安全审计措 施之间的区别？

A审计措施不能自动执行，而监测措施可以自动执行 B监测措施不能自动执行，而审计措施可以自动执行

C 审计措施使一次性地或周期性进行，而审计措施是实时地 进行

D 监测措施是指一次性地或周期性地进行，而审计措施是实 时地进行

80口令是验证用户身份的最常用手段，以下那一种口令的风 险影响范围最大-----------？ A长期没有修改的口令

B过短的口令两个人公用的口令 C两个人公用的口令

D设备供应商提供的默认口令

81 下列那一项是对信息系统经常不能满足用户需求的最好 解释

A没事适当的质量管理工具 B经常变化的用户需求 C用户参与需求挖掘不够 D项目管理能力不强

82“配置管理”是系统工程中的重要概念。它在软件工程和 信息安全工程中得“配置管理”的解释最准确的是？ A配置管理的本质是变更流程管理

B 配置管理是一个对系统（包括软件、硬件、文档、测试设备，开发-----行控制的过程 C管理配置是对信息系统的技术参数进行管理

D管理配置是对系统基线和源代码的版本进行管理

83根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程 A 未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进 B 未实施、基本实施、计划跟踪，充分定义、量化控制和持续改进 C 基本实施、计划跟踪、充分定义、量化控制和持续改进等5个 D 基本实施、计划跟踪、量化控制、充分定义和持续改进等5个

84 何种情况下，一个组织应当对公众和媒体公告其信息系统中发生的信息安全-----------？ A当信息安全事件的负面影响扩展到本组织以外时 B只要发生了安全事件就应当公告

C只有公众的生命财产安全受到巨大危害时才公告 D当信息安全事件平息之后

85一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向那一家--------------？ A公安部公共信息网络安全监察及其各地相应部门 B国家计算机网络与信息安全管理中心 C互联网安全协会 D信息安全产业商会

86为中国信息安全测评中心cisp注册信息安全专业人员，对通过cisp之外还需要满足一基本要求，以下哪一项不属于这些基本要求：

A满足注册信息安全人员（cisp）注册资质的教育背景要求 B同意并遵守注册信息安全专业人员（cisp）执业准则

C在政府机关或重要信息系统的主管后运营单位从事信息安全保障工作或为其提供安全 D参加并完成由中国信息安全测评中心（CNITSEC）授权培训机构组织的注册信息安全专业人员（cisp）专业培训

87下列信息安全的认识不正确的是： A安全是会随时间的推移而变化 B世上没有100%的安全

C合理的投资加可识别的风险即为安全 D安全是相对的，不安全是绝对的

88关于加密算法的应用范围，说话正确的有（） A DSS用于数字签名，RSA用于加密和签名 B DSS用于密钥交换，IDEA用于加密和签名 C DSS用于数字签名，MD5用于加密和签名