- 21 - 中电运行技术研究院 203.ApacheWeb 服务器的配置文件一般位于/usr/local/apache/conf 目录,其中用来控制用户访问Apaehe目录的配置文件是: A、httpd.Conf B、srm.conf C、access.conf Dinetd.conf
204.下列哪一项不是信息安全漏洞的载体?
A、网络协议 B、操作系统 C、应用系统 D、业务数据
205.下列哪些措施不是有效的缓冲区溢出的防护措施? A 使用标准的C 语言字符串库进进行操作 B 严格验证输入字符串长度 C 过滤不合规则的字符
D 使用第三方安全的字符串库操作
206.在某个攻击中,由于系统用户或系统管理员主动泄漏,使得攻击者可以访问系统资源 的行为被称作:
A 社会工程 B 非法窃取 C 电子欺骗 D 电子窃听
207.通过向被攻击者发送大量的 ICMP 回应请求,消耗被攻击者的资源来进行响应,直至被 攻击者再也无法处理有效的网络信息流时,这种攻击称之为: A、Land 攻击 B、Smurf 攻击 C、PingofDeath 攻击 D、ICMPFlood
208.以下哪个攻击步骤是 IP 欺骗(IPSpoof)系列攻击中最关键和难度最高的? A 对被冒充的主机进行拒绝服务攻击,使其无法对目标主,机进行响应 B 与目标主机进行会话,猜测目标主机的序号规则 C 冒充受信主机想目标主机发送数据包,欺骗目标主机 D 向目标主机发送指令,进行会话操作
209.以下哪个不是 SOL 的思想之一?
A、SDL 是持续改进的过程,通过持续改进和优化以适用各种安全变化,追求最优效果 B、SDL 要将安全思想和意识嵌入到软件团队和企业文化中 C、SDL 要实现安全的可度量性
D、SDL 是对传统软件开发过程的重要补充,用于完善传统软件开发中的不足
210.以下针对 SOL 的需求分析的描述最准确的是:
A 通过安全需求分析,确定软件安全需要的安全标准和相关要求 B 通过安全需求分析,确定软件安全需要的安全技术和工作阳呈 C 通过安全窝求分析,确定软件安全需要的安全标准和安全管理
D 通过安全需求分析,确定软件安全需要的安全技术和安全管理
211.信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是: A 避免系统软硬件的损伤
B 监视系统用户和维护人员的行为 C 保护组织的信息资产
D 给入侵行为制造障碍,并在发生入侵后及时发现、准确记录
- 22 - 中电运行技术研究院 212.下面对 PDCA 模型的解释不正确的是:
A 通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B 是一种可以应用于信息安全管理活动持续改进的有效实践方法 C 也被称为\戴明环\
D 适用于对组织整体活动的优化,不适合单个的过程以及个人
213.在 POCA 摸型中,ACT(处置〕环节的信息安全管理活动是 A 建立环境
B 实施风险处理计划 C 持续的监视与评审风险 D 持续改进信息安全管理过程
214.下述选项中对于\风险管理\的描述正确的是: A 安全必须是完美无缺、面面俱到的。
B 最完备的信息安全策略就是最优的风险管理对策
C 在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍. D 防范不足就会造成损失:防范过多就可以避免损失。 2
1 分析系统的体系结构 AB 5分析系统的安全环境 .制定风险管理计划 C
风调查系统的技术特性 D 险
216.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过管
程,关于这些过程,以下的说法哪一个是正确的? 理
A 风险分析准备的内容是识别风险的影响和可能性 准
B 风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 备
C 风险分析的内容是识别风险的影响和可能性 阶
D 风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施 段 “
217.下列对风险分析方法的描述正确的是: 建
A 定量分析比定性分析方法使用的工具更多 立
B 定性分析比定量分析方法使用的工具更多 (对象确立)过程中不应该做的是: C 同一组织只用使用一种方法进行评估
D.符合组织要求的风险评估方法就是最优方法
218.以下列哪种处置方法属于转移风险? (外包和保险) A 部署综合安全审计系统 B 对网络行为进行实时监控 C 制订完善的制度体系
D 聘用第三方专业公司提供维护外包服务
- 23 - 中电运行技术研究院 219.在对安全控制进行分析时,下面哪个描述是不准确的?
A 对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 B 应确保选择对业务效率影响最小的安全措施
C 选择好实施安全控制的时机和位置,提高安全控制的有效性
D 仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应
220.信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档 中必须包含的内容: A 说明信息安全对组织的重要程度 B 介绍需要符合的法律法规要求 C 信息安全技术产品的选型范围 D 信息安全管理责任的定义
221 当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了: A 明确此人不再具有以前的职责 B 确保归还应当归还的资产
C 确保属于以前职责的访问权限被撤销 D 安全管理员陪同此人离开工作场所
222.在一个有充分控制的信息处理计算中心中,下面酬的可以自同一个人执行? A 安全管理和变更管理 B 计算机操作和系统开发 C 系统开发和变更管理 D 系统开发和系统维护
223.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序 正确的是·
A 系统级演练、业务级演练、应用级演练 B 系统级演练、应用级演练、业务级演练 C 业务级演练、应用级演练、系统级演练 D 业务级演练、系统级演练、应用级演练
224.以下哪种情形下最适合使用同步数据备份策略? A 对灾难的承受能力高 B 恢复时间目标(RTO)长 C 恢复点目标(RPO)短 D 恢复点目标(RPO)长
225.当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题? A 什么时候进行备份? B 在哪里进行备份? C 怎样存储备份? D 需要备份哪些数据?
226.下面有关能力成熟度模型的说法错误的是
A、能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类 B、使用过程能力方案时,可以灵活选择评估和改进
C、使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域 D、SSE-CMM 是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型
227.下面对能力成熟度模型解释最准确的是:
A 它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程 B 它通过严格考察工程成果来判断工程能力
C 它与统计过程控制理论的出发点不同,所以应用于不同领域 D 它是随着信息安全的发展而诞生的重要概念
- 24 - 中电运行技术研究院 228.下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程: A 风险过程 B 保证过程 C 工程过程 D 评估过程
229.SSE-CMM,即系统安全工程---能力成熟度模型,它的六个级别,其中计划和跟踪级着重于 A 规范化地裁剪组织层面的过程定义 B 项目层面定义、计划和执行问题 C 测量
D 一个组织或项目执行了包含基本实施的过程
230.信息安全工程监理模型不包括下面哪一项? A 监理咨询服务 B 咨询监理支撑要素 C 监理咨询阶段过程 D 控制管理措施
231.信息安全工程监理工程师不需要做的工作是: A 编写验收测试方案 B 审核验收测试方案 C 监督验收测试过程 D 审核验收测试报告
232.信息安全工程监理的作用不包括下面哪一项? A 弥补建设单位在技术与管理上的经验不足 B 帮助承建单位攻克技术难点,顺利实施项目 C 改善建设单位与承建单位之间的交流沟通 D 通过监理控制积极促进项目保质按期完成
233.美国国防部公布的《可信计算机系统评估准则》(TCSEC)把计算机系统的安全分为 个大的等级。
A、3 B、4 C、5 D、6
234.以下对确定信息系统的安全保护等级理解正确的是: A 信息系统的安全保护等级是信息系统的客观属性
B 确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施 C 确定信息系统的安全保护等级时应考虑风险评估的结果 D 确定信息系统的安全保护等级时应仅考虑业务信息的安全性
235.依据 GB/T24364-2009《信息安全技术信息安全应急响应计划规范》,应急响应方法论的响应过程的第二步是 A 准备 B 确认 C 遏制 D 根除
236.各国在信息安全保障组织架构有两种主要形式,一种是由一个部门集中管理国家信息安全相关工作, 另一种是多个部门分别管理,同时加强协调工作。下列各国中,哪一个国家是采取多部门协调的做法: A 德国 C 法国 C 美国 D 以上国家都不是
237.下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43 号)规定的内容: A 国家信息安全等级保护坚持自主定级、自主保护的原则
B 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查 C 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级 D 涉及国家秘密的信息系统不进行分等级保护
- 25 - 中电运行技术研究院 238.下面有关我信息安全管理体制的说法错误的是
A 目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 B 我国的信息安全保障工作综合利用法律、管理和技术的手段
C 我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针 D 我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责
239.以下哪一项不是我国与信息安全有关的国家法律?
A、《信息安全等级保护管理办法》 B、《中华人民共和国保守国家秘密法》 C、《中华人民共和国刑法》 D、《中华人民共和国国家安全法》
240.根据我国信息安全管理体系,党政机关信息网络的安全保卫任务有下列哪个单位负责? A 公安机关 B 国家安全机关 C 国家保密工作部门 D 国家密码主管部门
241.下列哪个不是《商用密码管理条例》规定的内容?
A 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作 B 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理 C 商用密码产品由国家密码管理机构许可的单位销售
D 个人可以使用经国家密码管理机构认可之外的商用密码产品