1.人們對信息安全認識從信息技術安全發展到信息安全保障，重要是出于：AA.為了更好完畢組織機構使命B.針對信息系統襲擊方式發生重大變化C.風險控制技術得到革命性發展D.除了保密性，信息完整性和可用性也引起了人們關注2.《GB/T20274信息系統安全保障評估框架》中信息系統安全保障級中級別是指：CA.對抗級B.防護級C.能力級D.監管級3.下面對信息安全特性和范圍說法錯誤是：CA.信息安全是一種系統性問題，不僅要考慮信息系統自身技術文獻，尚有考慮人員、管理、政策等眾多原因B.信息安全是一種動態問題，他伴隨信息技術發展普及，以及產業基礎，顧客認識、投入產出而發展C.信息安全是無邊界安全，互聯網使得網絡邊界越來越模糊，因此確定一種組織信息安全責任是沒故意義D.信息安全是非老式安全，多種信息網絡互聯互通和資源共享，決定了信息安全具有不一樣于老式安全特點4.美國國防部提出《信息保障技術框架》（IATF）在描述信息系統安全需求時，將信息技術系統分為：BA.內網和外網兩個部分B.當地計算機環境、區域邊界、網絡和基礎設施、支撐性基礎設施四個部分C.顧客終端、服務器、系統軟件、網絡設備和通信線路、應用軟件五個部分D.信顧客終端、服務器、系統軟件、網絡設備和通信線路、應用軟件，安全防護措施六個部分5.有關信息安全方略說法中，下面說法對是：CA.信息安全方略制定是以信息系統規模為基礎B.信息安全方略制定是以信息系統網絡？？？C.信息安全方略是以信息系統風險管理為基礎D.在信息系統尚未建設完畢之前，無法確定信息安全方略6.下列對于信息安全保障深度防御模型說法錯誤是：CA.信息安全外部環境：信息安全保障是組織機構安全、國家安全一種重要構成部分，因此對信息安全討論必須放在國家政策、法律法規和原則外部環境制約下。B.信息安全管理和工程：信息安全保障需要在整個組織機構內建立和完善信息安全管理體系，將信息安全管理綜合至信息系統整個生命周期，在這個過程中，我們需要采用信息系統工程措施來建設信息系統。C.信息安全人才體系：在組織機構中應建立完善安全意識，培訓體系無關緊要D.信息安全技術方案：“從外而內、自下而上、形成端到端防護能力”7.全面構建我國信息安全人才體系是國家政策、組織機構信息安全保障建設和信息安全有關人員自身職業發展三方面共同規定。“加緊信息安全人才培訓，增強全民信息安全意識”指導精神，是如下哪一種國家政策文獻提出？AA.《國家信息化領導小組有關加強信息安全保障工作意見》B.《信息安全等級保護管理措施》C.《中華人民共和國計算機信息系統安全保護條例》D.《有關加強政府信息系統安全和保密管理工作告知》8.一家商業企業網站發生黑客非法入侵和襲擊事件后，應及時向哪一種部門報案？AA.公安部公共信息網絡安全監察局及其各地對應部門B.國家計算機網絡與信息安全管理中心C.互聯網安全協會D.信息安全產業商會9.下列哪個不是《商用密碼管理條例》規定內容：DA.國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國商用密碼管理工作B.商用密碼技術屬于國家秘密，國家對商用密碼產品科研、生產、銷售和使用實行專控管理C.商用密碼產品由國家密碼管理機構許可單位銷售D.個人可以使用經國家密碼管理機構承認之外商用密碼產品10.對涉密系統進行安全保密測評應當根據如下哪個原則？BA.BMB20-《波及國家秘密計算機信息系統分級保護管理規范》B.BMB22-《波及國家秘密計算機信息系統分級保護測評指南》C.GB17859-1999《計算機信息系統安全保護等級劃分準則》D.GB/T20271-《信息安全技術信息系統統用安全技術規定》11.下面對于CC“保護輪廓”（PP）說法最精確是：CA.對系統防護強度描述B.對評估對象系統進行規范化描述C.對一類TOE安全需求，進行與技術實現無關描述D.由一系列保證組件構成包，可以代表預先定義保證尺度12.有關ISO/IEC21827:(SSE-CMM)描述不對是：DA.SSE-CMM是有關信息安全建設工程實行方面原則B.SSE-CMM目是建立和完善一套成熟、可度量安全工程過程C.SSE-CMM模型定義了一種安全工程應有特性，這些特性是完善安全工程主線保證D.SSE-CMM是用于對信息系統安全等級進行評估原則13.下面哪個不是ISO27000系列包括原則DA.《信息安全管理體系規定》B.《信息安全風險管理》C.《信息安全度量》D.《信息安全評估規范》14.如下哪一種有關信息安全評估原則首先明確提出了保密性、完整性和可用性三項信息安全特性？AA.ITSECB.TCSECC.GB/T9387.2D.彩虹系列橙皮書15.下面哪項不是《信息安全等級保護管理措施》（公通字【】43號）規定內容DA.國家信息安全等級保護堅持自主定級、自主保護原則B.國家指定專門部門對信息系統安全等級保護工作進行專門監督和檢查C.跨省或全國統一聯網運行信息系統可由主管部門統一確定安全保護等級D.第二級信息系統應當每年至少進行一次等級測評，第三級信息系統應當每？？？少進行一次等級測評16.觸犯新刑法285條規定非法侵入計算機系統罪可判處___A__。A.三年如下有期徒刑或拘役B.1000元罰款C.三年以上五年如下有期徒刑D.10000元罰款17.常見密碼系統包括元素是：CA.明文，密文，信道，加密算法，解密算法B.明文，摘要，信道，加密算法，解密算法C.明文，密文，密鑰，加密算法，解密算法D.消息，密文，信道，加密算法，解密算法18.公鑰密碼算法和對稱密碼算法相比，在應用上優勢是：DA.密鑰長度更長B.加密速度更快C.安全性更高D.密鑰管理更以便19.如下哪一種密碼學手段不需要共享密鑰？BA.消息認證B.消息摘要C.加密解密D.數字簽名20.下列哪種算法一般不被顧客保證保密性？DA.AESB.RC4C.RSAD.MD521.數字簽名應具有性質不包括：CA.可以驗證簽名者B.可以認證被簽名消息C.可以保護被簽名數據機密性D.簽名必須可以由第三方驗證22.認證中心（CA）關鍵職責是__A___。A.簽發和管理數字證書B.驗證信息C.公布黑名單D.撤銷顧客證書23.如下對于安全套接層（SSL）說法對是：CA.重要是使用對稱密鑰體制和X.509數字證書技術保護信息傳播機密性和完整性B.可以在網絡層建立VPNC.重要使用于點對點之間信息傳播，常用Webserver方式D.包括三個重要協議：AH,ESP,IKE24.下面對訪問控制技術描述最精確是：CA.保證系統資源可靠性B.實現系統資源可追查性C.防止對系統資源非授權訪問D.保證系統資源可信性25.如下有關訪問控制表和訪問能力表說法對是：DA.訪問能力表表達每個客體可以被訪問主體及其權限B.訪問控制表闡明了每個主體可以訪問客體及權限C.訪問控制表一般隨主體一起保留D.訪問能力表更輕易實現訪問權限傳遞，但回收訪問權限較困難26.下面哪一項訪問控制模型使用安全標簽（securitylabels）CA.自主訪問控制B.非自主訪問控制C.強制訪問控制D.基于角色訪問控制27.某個客戶網絡限制可以正常訪問internet互聯網，共有200臺終端PC但此客戶從ISP（互聯網絡服務提供商）里只獲得了16個公有IPv4地址，最多也只有16臺PC可以訪問互聯網，要想讓所有200臺終端PC訪問internet互聯網最佳采用什么措施或技術：BA.花更多錢向ISP申請更多IP地址B.在網絡出口路由器上做源NATC.在網絡出口路由器上做目NATD.在網絡出口處增長一定數量路由器28.WAPI采用是什么加密算法？AA.我國自主研發公開密鑰體制橢圓曲線密碼算法B.國際上通行商用加密原則C.國家密碼管理委員會辦公室同意流加密原則D.國際通行哈希算法29.如下哪種無線加密原則安全性最弱？AA.wepB.wpaC.wpa2D.wapi30.如下哪個不是防火墻具有功能？DA.防火墻是指設置在不一樣網絡或網絡安全域（公共網和企業內部網）之間一系列部件組合B.它是不一樣網絡（安全域）之間唯一出入口C.能根據企業安全政策控制（容許、拒絕、監測）出入網絡信息流D.防止來源于內部威脅和襲擊31.橋接或透明模式是目前比較流行防火墻布署方式，這種方式長處不包括：DA.不需要對原有網絡配置進行修改B.性能比較高C.防火墻自身不輕易受到襲擊D.易于在防火墻上實現NAT32.有一類IDS系統將所觀測到活動同認為正常活動進行比較并識別重要偏差來發現入侵事件，這種機制稱作：AA.異常檢測B.特性檢測C.差距分析D.對比分析33.在Unix系統中，/etc/service文獻記錄了什么內容？AA.記錄某些常用接口及其所提供服務對應關系B.決定inetd啟動網絡服務時，啟動哪些服務C.定義了系統缺省運行級別，系統進入新運行級別需要做什么D.包括了系統某些啟動腳本34.如下哪個對windows系統日志描述是錯誤？DA.windows系統默認有三個日志，系統日志、應用程序日志、安全日志B.系統日志跟蹤多種各樣系統事件，例如跟蹤系統啟動過程中事件或者硬件和控制器故障C.應用日志跟蹤應用程序關聯事件，例如應用程序產生裝載DLL（動態鏈接庫）失敗信息D.安全日志跟蹤各類網絡入侵事件，例如拒絕服務襲擊、口令暴力破解等35.在關系型數據庫系統中通過“視圖（view）”技術，可以實現如下哪一種安全原則？AA.縱深防御原則B.最小權限原則C.職責分離原則D.安全性與便利性平衡原則36.數據庫事務日志用途是什么？BA.事務處理B.數據恢復C.完整性約束D.保密性控制37.下面對于cookie說法錯誤是：DA.cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包括信息B.cookie可以存儲某些敏感顧客信息，從而導致一定安全風險C.通過cookie提交精妙構造移動代碼，繞過身份驗證襲擊叫做cookie欺騙D.防備cookie欺騙一種有效措施是不使用cookie驗證措施，而使用session驗證措施38.襲擊者在遠程WEB頁面HTML代碼中插入具有惡意目數據，顧客認為該頁面是可信賴，不過當瀏覽器下載該頁面，嵌入其中腳本將被解釋執行，這是哪種類型漏洞？DA.緩沖區溢出B.SQL注入C.設計錯誤D.跨站腳本39.一般在網站數據庫中，顧客信息中密碼一項，是以哪種形式存在？CA.明文形式存在B.服務器加密后密文形式存在C.hash運算后消息摘要值存在D.顧客自己加密后密文形式存在40.下列屬于DDOS襲擊是：BA.Men-in-Middle襲擊B.SYN洪水襲擊C.TCP連接襲擊D.SQL注入襲擊41.假如一名襲擊者截獲了一種公鑰，然后他將這個公鑰替代為自己公鑰并發送給接受者，這種狀況屬于哪一種襲擊？DA.重放襲擊B.Smurf襲擊C.字典襲擊D.中間人襲擊42.滲透性測試第一步是：A.信息搜集B.漏洞分析與目選定C.拒絕服務襲擊D.嘗試漏洞運用43.通過網頁上釣魚襲擊來獲取密碼方式，實質上是一種：A.社會工程學襲擊B.密碼分析學C.旁路襲擊D.暴力破解襲擊44.如下哪個不是減少軟件自身安全漏洞和緩和軟件自身安全漏洞危害措施？A.加強軟件安全需求分析，精確定義安全需求B.設計符合安全準則功能、安全功能與安全方略C.規范開發代碼，符合安全編碼規范D.編制詳細軟件安全使用手冊，協助設置良好安全使用習慣45.根據SSE-CMM信息安全工程過程可以劃分為三個階段，其中____確立安全處理方案置信度并且把這樣置信度傳遞給客戶。A.保證過程B.風險過程C.工程和保證過程D.安全工程過程46.下列哪項不是SSE-CMM模型中工程過程過程區？A.明確安全需求B.評估影響C.提供安全輸入D.協調安全47.SSE-CMM工程過程區域中風險過程包括哪些過程區域？A.評估威脅、評估脆弱性、評估影響B.評估威脅、評估脆弱性、評估安全風險C.評估威脅、評估脆弱性、評估影響、評估安全風險D.評估威脅、評估脆弱性、評估影響、驗證和證明安全48.在IT項目管理中為了保證系統安全性，應當充足考慮對數據對處理，如下哪一項不是對數據輸入進行校驗可以實現安全目：A.防止出現數據范圍以外值B.防止出現錯誤數據處理次序C.防止緩沖區溢出襲擊D.防止代碼注入襲擊49.信息安全工程監理工程師不需要做工作是：A.編寫驗收測試方案B.審核驗收測試方案C.監督驗收測試過程D.審核驗收測試匯報50.下面哪一項是監理單位在招標階段質量控制內容？A.協助建設單位提出工程需求，確定工程整體質量目B.根據監理單位信息安全保障知識和項目經驗完畢招標文獻中技術需求部分C.進行風險評估和需求分析完畢招標文獻中技術需求部分D.對標書應答技術部分進行審核，修改其中不滿足安全需求內容51.信息安全保障強調安全是動態安全，意味著：A.信息安全是一種不確定性概念B.信息安全是一種主觀概念C.信息安全必須覆蓋信息系統整個生命周期，伴隨安全風險變化有針對性進行調整D.信息安全只能是保證信息系統在有限物理范圍內安全，無法保證整個信息系統安全52.有關信息保障技術框架（IATF），下列說法錯誤是：A.IATF強調深度防御，關注當地計算環境，區域邊界，網絡和基礎設施，支撐性基礎設施等多種領域安全保障；B．IATF強調深度防御，即對信息系統采用多層防護，實現組織業務安全運作C.IATF強調從技術、管理和人等多種角度來保障信息系統安全D.IATF強調是以安全監測、漏洞監測和自合用填充“安全間隙”為循環來提高網絡安全53.下面哪一項表達了信息不被非法篡改屬性？A.可生存性B.完整性C.精確性D.參照完整性54.如下有關信息系統安全保障是主觀和客觀結合說法最精確是：A．信息系統安全保障不僅波及安全技術，還應綜合考慮安全管理，安全工程和人員安全等，以全面保障信息系統安全B.通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向信息系統所有者提供其既有安全保障工作與否滿足其安全保障目信心。C.是一種通過客觀證據向信息系統評估者提供主觀信心活動D.是主觀和客觀綜合評估成果55.公鑰密碼算法和對稱密碼算法相比，在應用上優勢是：A.密鑰長度更長B.加密速度更快C.安全性更高D.密鑰管理更以便56.如下哪種公鑰密碼算法既可以用于數據加密又可以用于密鑰互換？A.DSSB.Diffse-HellmanC.RSADAES57.目前對MD5，SHA1算法襲擊是指：A.可以構造出兩個不一樣消息，這兩個消息產生了相似消息摘要B.對于一種已知消息摘要，可以構造出一種不一樣消息，這兩個消息產生了相似消息摘要。C．對于一種已知消息摘要，可以恢復其原始消息D.對于一種已知消息，可以構造一種不一樣消息摘要，也能通過驗證。58、DSA算法不提供如下哪種服務？A.數據完整性B.加密C.數字簽名D.認證59.有關PKI/CA證書，下面哪一種說法是錯誤：A.證書上具有證書授權中心數字簽名B.證書上列有證書擁有者基本信息C.證書上列有證書擁有者公開密鑰D.證書上列有證書擁有者秘密密鑰60認證中心（CA）關鍵職責是_________?A.簽發和管理數字證書B.驗證信息C.公布黑名單D.撤銷顧客證書61下列哪一項是虛擬專用網絡（VPN）安全功能?A.驗證，訪問控制和密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼62如下對Kerberos協議過程說法對是:A.協議可以分為兩個環節：一是顧客身份鑒別：二是獲取祈求服務B.協議可以分為兩個環節：一是獲得票據許可票據；二是獲取祈求服務C.協議可以分為三個環節：一是顧客身份鑒別；二是獲得票據許可票據；三是獲得服務許可票據D.協議可以分為三個環節：一是獲得票據許可票據；二是獲得服務許可票據；三是獲得服務63在OSI參照模型中有7個層次，提供了對應安全服務來加強信息系統安全性。如下哪一層提供了保密性、身份鑒別、數據完整性服務？A.網絡層B.表達層C.會話層D.物理層64如下哪種無線加密原則安全性最弱？A.WepBWpaCWpa2DWapi65.Linux系統顧客信息保留在passwd中，某顧客條目backup:*:34:34:backup:/var/backups:/bin/sh,如下有關該賬號描述不對是：A.backup賬號沒有設置登錄密碼B.backup賬號默認主目錄是/var/backupsC.Backup賬號登錄后使用shell是bin/shD.Backup賬號是無法進行登錄66如下有關linux超級權限闡明，不對是：A.一般狀況下，為了系統安全，對于一般常規級別應用，不需要root顧客來操作完畢B.一般顧客可以通過su和sudo來獲得系統超級權限C.對系統日志管理，添加和刪除顧客等管理工作，必須以root顧客登錄才能進行D.Root是系統超級顧客，無論與否為文獻和程序所有者都具有訪問權限67在WINDOWS操作系統中，欲限制顧客無效登錄次數，應當怎么做？A.在“當地安全設置”中對“密碼方略”進行設置B.在“當地安全設置”中對“賬戶鎖定方略”進行設置C.在“當地安全設置”中對“審核方略”進行設置D.在“當地安全設置”中對“顧客權利指派”進行設置68.如下對WINDOWS系統日志描述錯誤是：A.windows系統默認由三個日志，系統日志，應用程序日志，安全日志B．系統日志跟蹤多種各樣系統事件，例如跟蹤系統啟動過程中事件或者硬件和控制器故障。C．應用日志跟蹤應用程序關聯事件，例如應用程序產生裝載DLL（動態鏈接庫）失敗信息D.安全日志跟蹤各類網絡入侵事件，例如拒絕服務襲擊、口令暴力破解等69如下有關windowsSAM（安全賬戶管理器）說法錯誤是：A.安全賬戶管理器（SAM）詳細體現就是%SystemRoot%\system32\config\samB.安全賬戶管理器（SAM）存儲賬號信息是存儲在注冊表中C.安全賬戶管理器（SAM）存儲賬號信息對administrator和system是可讀和可寫D.安全賬戶管理器（SAM）是windows顧客數據庫，系統進程通過SecurityAccountsManager服務進行訪問和操作70在關系型數據庫系統中通過“視圖（view）”技術，可以實現如下哪一種安全原則？A.縱深防御原則B.最小權限原則C.職責分離原則D.安全性與便利性平衡原則71、下列哪項不是安全管理方面原則？AISO27001BISO13335CGB/T22080DGB/T1833672、目前，我國信息安全管理格局是一種多方“齊抓共管”體制，多頭管理現實狀況決定法出多門，《計算機信息系統國際聯網保密管理規定》是由下列哪個部門所制定規章制度?A.公安部B.國家密碼局C.信息產業部D.國家密碼管理委員會辦公室73、下列哪項不是《信息安全等級保護管理措施》（公通字[]43號）規定內容：A．國家信息安全等級保護堅持自主定級，自主保護原則。B．國家指定專門部門對信息系統安全等級保護工作進行專門監督和檢查。C．跨省或全國統一聯網運行信息系統可由主管部門統一確定安全保護等級D．第二級信息系統應當每年至少進行一次等級測評，第三級信息系統應當每六個月至少進行一次等級測評。74、《刑法》第六章第285、286、287條對計算機犯罪內容和量刑進行了明確規定，下列哪一項不是其中規定罪行？A.非法入侵計算機信息系統罪B.破壞計算機信息系統罪C.運用計算機實行犯罪D.國家重要信息系統管理者玩忽職守罪75、一家商業企業網站發生黑客非法入侵和襲擊事件后，應及時向哪一種部門報案？A.

公安部公共信息網絡安全監察局及其各地對應部門B.

國家計算機網絡與信息安全管理中心C.

互聯網安全協會D.

信息安全產業商會76、下列哪個不是《商用密碼管理條例》規定內容？A.

國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國商用密碼管理工作B.

商用密碼技術屬于國家秘密，國家對商用密碼產品科研、生產、銷售和使用實行專控管理C.

商用密碼產品由國家密碼管理機構許可單位銷售D.

個人可以使用經國家密碼管理機構承認之外商用密碼產品77、下面有關《中華人民共和國保守國家秘密法》說法錯誤是：A.

秘密均有時間性，永久保密是沒有B.

《保密法》規定一切公民均有保守國家秘密義務C.

國家秘密級別分為“絕密”“機密”“秘密”三級D.

在給文獻確定密級時，從保密目出發，應將密級盡量定高78.數據庫事務日志用途是:A.事務處理B.數據恢復C.完整性約束D．保密性控制79.下面對于cookie說法錯誤是：A.cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包括信息。B.cookie可以存儲某些敏感顧客信息，從而導致一定安全風險C.通過cookie提交精妙構造移動代碼，繞過身份驗證襲擊叫做cookie欺騙D.防備cookie欺騙一種有效措施是不使用cookie驗證措施，而使用session驗證措施。80.襲擊者在遠程WEB頁面HTML代碼中插入具有惡意目數據，顧客認為該頁面是可信賴，不過當瀏覽器下載該頁面，嵌入其中腳步將被解釋執行，這是哪種類型漏洞？A.緩沖區溢出B.sql注入C.設計錯誤D.跨站腳本81.一般在網站數據庫中，顧客信息中密碼一項，是以哪種形式存在？A.明文形式存在B.服務器加密后密文形式存在C.hash運算后消息摘要值存在D.顧客自己加密后密文形式存在82.下列對跨站腳本襲擊（XSS）描述對是：A.XSS襲擊指是惡意襲擊者往WED頁面里插入惡意代碼，當顧客瀏覽瀏覽該頁之時，嵌入其中WEB里面代碼會執行，從而到達惡意襲擊顧客特殊目B.XSS襲擊時DDOS襲擊一種變種C.XSS襲擊就是CC襲擊D.XSS襲擊就是運用被控制機器不停地向被襲擊網站發送訪問祈求，迫使IIS連接數超過限制，當CPU資源或者帶寬資源耗盡，那么網站也就被襲擊垮了，從而到達襲擊目83下列哪種技術不是惡意代碼生產技術？A.反跟蹤技術、B.加密技術C.模糊變換技術D.自動解壓縮技術84當顧客輸入數據被一種解釋器當做命令或查詢語句一部分執行時，就會產生哪種類型漏洞？A.緩沖區溢出B.設計錯誤C.信息泄露D.代碼注入85Smurf運用下列哪種協議進行襲擊？A.ICMPB.IGMPC.TCPD.UDP86.假如一名襲擊者截獲了一種公鑰，然后他將這個公鑰替代為自己公鑰并發送給接受者，這種狀況屬于哪一種襲擊？A.重放襲擊B.Smurf襲擊C.字典襲擊D.中間人襲擊87滲透性測試第一步是:A.信息搜集B.漏洞分析與目選定C.拒絕服務襲擊D.嘗試漏洞運用88軟件安全開發中軟件安全需求分析階段重要目是：A.確定軟件襲擊面，根據襲擊面制定軟件安全防護方略B.確定軟件在計劃運行環境中運行最低安全規定C.確定安全質量原則，實行安全和隱私風險評估D.確定開發團體關鍵里程碑和交付成果89.管理者何時可以根據風險分析成果對已識別風險不采用措施？A．當必須安全對策成本高出實際風險也許導致潛在費用時B．當風險減輕措施提高業務生產力時C．當引起風險發生狀況不在部門控制范圍之內時D．不可接受90如下有關風險管理描述不對是：A風險4種控制措施有：減少風險/轉嫁風險/規避風險/接受風險B信息安全風險管理與否成功在于風險與否被切實消除了C組織應根據信息安全方針和組織規定安全保證程度來確定需要處理信息安全風險D信息安全風險管理是基于可接受成本，對影響信息系統安全風險進行識別、控制、減少或轉移過程91假如你作為甲方負責監管一種信息安全工程項目實行，當乙方提出一項工程變更時你最應當關注是：A.變更流程與否符合預先規定B.變更與否項目進度導致遲延C.變更原因和導致影響D.變更后與否進行了精確記錄92應當如可理解信息安全管理體系中“信息安全方略”？A為了到達怎樣保護原則而提出一系列提議B為了定義訪問控制需求而產生出來某些通用性指導C組織高層對信息安全工作意圖正式體現D一種分階段安全處理成果93如下有關“最小特權”安全管理原則理解對是：A.組織機構內敏感崗位不能由一種人長期負責B.對重要工作進行分解，分派給不一樣人員完畢C.一種人有且僅有其執行崗位所足夠許可和權限D.防止員工由一種崗位變動到另一種崗位，累積越來越多權限94作為一種組織中信息系統一般顧客，如下哪一項不是必須理解？A.誰負責信息安全管理制度制度和公布B.誰負責監督信息安全制度執行C.信息系統發生劫難后，進行恢復整體工作流程D.假如違反了安全制度也許會受到懲戒措施95職責分離是信息安全管理一種基本概念，其關鍵是權力不能過度集中在某一種人手中。職責分離目是保證沒有單獨人員（單獨進行操作）可以對應用程序系統特性或控制功能進行破壞。當如下哪一類人員訪問安全系統軟件時候，會導致對“職責分離”原則違反？A．數據安全管理員B．數據安全分析員C．系統審核員D．系統程序員96在國標《信息系統恢復規范》中，根據----要素，將劫難恢復等級劃分為_____級A．7，6B．6，7C．7，7D．6，697在業務持續性計劃中，RTO指是：A．劫難備份和恢復B．恢復技術項目C．業務恢復時間目D．業務恢復點目98應急措施學定義了安全事件處理流程，這個流程次序是：A.準備-克制-檢測-根除-恢復-跟進B.準備-檢測-克制-恢復-根除-跟進C.準備-檢測-克制-根除-恢復-跟進D.準備-克制-根除-檢測-恢復-跟進99.下面有關能力成熟度模型說法錯誤是：A.能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B.使用過程能力方案時，可以靈活選擇評估和改善哪個或哪些過程域C.使用組織機構成熟度方案時，每一種能力級別都對應于一組已經定義好過程域DSSE-CMM是一種屬于組織能力方案（Staged）針對系統安全工程能力成熟度模型100.下面哪一項為系統安全工程成熟度模型提供了評估措施：A.ISSEB.SSAMC.SSRD.CEM101、下面有關信息安全保障說法錯誤是：A.信息安全保障概念是與信息安全概念同步產生B.信息系統安全保障要素包括信息完整性，可用性和保密性C.信息安全保障和信息安全技術并列構成實現信息安全兩大重要手段D.信息安全保障是以業務目實現為最終目，從風險和方略出發，實行多種保障要素，在系統生命周期內保證信息安全屬性。102、如下哪一項是數據完整性得到保護例子？A.某網站在訪問量忽然增長時對顧客連接數量進行了限制，保證已登錄顧客可以完畢操作B.在提款過程中ATM終端發生故障，銀行業務系統及時對該顧客賬戶余額進行了沖正操作C.某網管系統具有嚴格審計功能，可以確定哪個管理員在何時對關鍵互換機進行了什么操作D.李先生在每天下班前將重要文獻鎖在檔案室保密柜中，使偽裝成清潔工商業間諜無法查看103、重視安全管理體系建設，人員意識培訓和教育，是信息安全發展哪一種階段特點？A.通信安全B.計算機安全C.信息安全D.信息安全保障104、如下哪一項不是我國國務院信息化辦公室為加強信息安全保障明確提出九項重點工作內容之一？A.提高信息技術產品國產化率B.保證信息安全資金注入C.加緊信息安全人才培養D.重視信息安全應急處理工作105、如下有關置換密碼說法對是：A.明文根據密鑰被不一樣密文字母替代B.明文字母不變，僅僅是位置根據密鑰發生變化C.明文和密鑰每個bit異或D.明文根據密鑰作了移位106、如下有關替代密碼說法對是：A.明文根據密鑰被不一樣密文字母替代B.明文字母不變，僅僅是位置根據密鑰發生變化C.明文和密鑰每個bit異或D.明文根據密鑰作了移位107、常見密碼系統包括元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密鑰、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法108、在密碼學Kerchhoff假設中，密碼系統安全性僅依賴于____________________

A.明文B.密文C.密鑰D.信道109、PKI在驗證一種數字證書時需要查看_________來確認該證書與否已經作廢A.ARL

B.CSS

C.KMS

D.CRL

110、一項功能可以不由認證中心CA完畢？A.撤銷和中斷顧客證書B.產生并分布CA公鑰C.在祈求實體和它公鑰間建立鏈接D.發放并分發顧客證書111、一項是虛擬專用網絡（VPN）安全功能？A.驗證，訪問控制盒密碼B.隧道，防火墻和撥號C.加密，鑒別和密鑰管理D.壓縮，解密和密碼112、為了防止授權顧客不會對數據進行未經授權修改，需要實行對數據完整性保護，列哪一項最佳地描述了星或（*-）完整性原則？A.Bell-LaPadula模型中不容許向下寫B.Bell-LaPadula模型中不容許向上度C.Biba模型中不容許向上寫D.Biba模型中不容許向下讀113、下面哪一種情景屬于身份鑒別（Authentication）過程？A.顧客根據系統提醒輸入顧客名和口令B.顧客在網絡上共享了自己編寫一份Office文檔，并設定哪些顧客可以閱讀，哪些顧客可以修改C.顧客使用加密軟件對自己編寫office文檔進行加密，以制止其他人得到這份拷貝后看到文檔中內容D.某個人嘗試登錄到你計算機中，不過口令輸入不對，系統提醒口令錯誤，并將這次失敗登錄過程記錄在系統日志中114、下列對Kerberos協議特點描述不對是：A.協議采用單點登錄技術，無法實現分布式網絡環境下認證B.協議與授權機制相結合，支持雙向身份認證C.只要顧客拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完畢到任一種服務器認證而不必重新輸入密碼D.AS和TGS是集中式管理，輕易形成瓶頸，系統性能和安全也嚴重依賴于AS和TGS性能和安全115、TACACS+協議提供了下列哪一種訪問控制機制？A.強制訪問控制B.自主訪問控制C.分布式訪問控制D.集中式訪問控制116、下列對蜜網功能描述不對是：A.可以吸引或轉移襲擊者注意力，延緩他們對真正目襲擊B.吸引入侵者來嗅探、襲擊，同步不被察覺地將入侵者活動記錄下來C.可以進行襲擊檢測和實時報警D.可以對襲擊活動進行監視、檢測和分析117、下列對審計系統基本構成描述對是：A.審計系統一般包括三個部分：日志記錄、日志分析和日志處理B.審計系統一般包括兩個部分：日志記錄和日志處理C.審計系統一般包括兩個部分：日志記錄和日志分析D.審計系統一般包括三個部分：日志記錄、日志分析和日志匯報118、在ISOOSI安全體系構造中，如下哪一種安全機制可以提供抗抵賴安全服務？A.加密B.數字簽名C.訪問控制D.路由控制119、在OSI參照模型中有7個層次，提供了對應安全服務來加強信息系統安全性，如下哪一層提供了保密性、身份鑒別、數據完整性服務？A.網絡層B.表達層C會話層D.物理層120、WAPI采用是什么加密算法？A.我國自主研發公開密鑰體制橢圓曲線密碼算法B.國際上通行商用加密原則C.國家密碼管理委員會辦公室同意流加密原則D.國際通行哈希算法121、一般在VLAN時，如下哪一項不是VLAN規劃措施？A.基于互換機端口B.基于網絡層協議C.基于MAC地址D.基于數字證書122、某個客戶網絡目前可以正常訪問Internet互聯網，共有200臺終端PC但此客戶從ISP（互聯網絡服務提供商）里只獲得了16個公有IPv4地址，最多也只有16臺PC可以訪問互聯網，要想讓所有200臺終端PC訪問Internet互聯網最佳采用什么措施或技術：A、花更多錢向ISP申請更多IP地址B、在網絡出口路由器上做源NAT

C、在網絡出口路由器上做目NAT

D、在網絡出口處增長一定數量路由器123、如下哪一種數據傳播方式難以通過網絡竊聽獲取信息？A.FTP傳播文獻B.TELNET進行遠程管理C.URL以HTTPS開頭網頁內容D.通過TACACS+認證和授權后建立連接124、橋接或透明模式是目前比較流行防火墻布署方式，這種方式長處不包括：A.不需要對原有網絡配置進行修改B.性能比較高C.防火墻自身不輕易受到襲擊D.易于在防火墻上實現NAT

125、下面哪一項是對IDS對描述？A、基于特性（Signature-based）系統可以檢測新襲擊類型B、基于特性（Signature-based）系統化基于行為（behavior-based）系統產生更多誤報C、基于行為（behavior-based）系統維護狀態數據庫來與數據包和襲擊相匹配D、基于行為（behavior-based）系統比基于特性（Signature-based）系統有更高誤報126、下列哪些選項不屬于NIDS常見技術？A.協議分析B.零拷貝C.SYN

Cookie

D.IP碎片重組127、在UNIX系統中輸入命令“IS-AL

TEST”顯示如下：“-rwxr-xr-x

3

root

root

1024

Sep

13

11：58

test”對它含義解釋錯誤是：A.這是一種文獻，而不是目錄B.文獻擁有者可以對這個文獻進行讀、寫和執行操作C.文獻所屬組組員有可以讀它，也可以執行它D.其他所有顧客只可以執行它128、在Unix系統中，/etc/service文獻記錄了什么內容？A、記錄某些常用接口及其所提供服務對應關系B、決定inetd啟動網絡服務時，啟動那些服務C、定義了系統缺省運行級別，系統進入新運行級別需要做什么

D、包括了系統某些啟動腳本129、如下對windows賬號描述，對是：A、windows系統是采用SID（安全標識符）來標識顧客對文獻或文獻夾權限B、windows系統是采用顧客名來標識顧客對文獻或文獻夾權限C、windows系統默認會生成administration和guest兩個賬號，兩個賬號都不容許更名和刪除D、windows系統默認生成administration和guest兩個賬號，兩個賬號都可以更名和刪除130、如下對于Windows系統服務描述，對是：A、windows服務必須是一種獨立可執行程序B、windows服務運行不需要顧客交互登錄C、windows服務都是隨系統啟動而啟動，無需顧客進行干預D、windows服務都需要顧客進行登錄后，以登錄顧客權限進行啟動131、如下哪一項不是IIS服務器支持訪問控制過濾類型？A.網絡地址訪問控制B.WEB服務器許可C.NTFS許可D.異常行為過濾132、為了實現數據庫完整性控制，數據庫管理員應向DBMS提出一組完整性規則來檢查數據庫中數據，完整性規則重要由3部分構成，如下哪一種不是完整性規則內容？A.完整性約束條件B.完整性檢查機制C.完整性修復機制D.違約處理機制133、數據庫事務日志用途是什么？A.事務處理B.數據恢復C.完整性約束D.保密性控制134、下列哪一項與數據庫安全有直接關系？A.訪問控制粒度B.數據庫大小C.關系表中屬性數量D.關系表中元組數量135、下面對于cookie說法錯誤是：A、cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包括信息B、cookie可以存儲某些敏感顧客信息，從而導致一定安全風險C、通過cookie提交精妙構造移動代碼，繞過身份驗證襲擊叫做cookie欺騙D、防備cookie欺騙一種有效措施是不使用cookie驗證措施，而使用session驗證措施136、如下哪一項是和電子郵件系統無關？A、PEM

B、PGP

C、X500

D、X400

137、Apache

Web

服務器配置文獻一般位于/usr/local/apache/conf目錄，其中用來控制顧客訪問Apache目錄配置文獻是：A、httpd.conf

B、srm.conf

C、access.conf

D、inetd.conf

138、Java安全模型（JSM）是在設計虛擬機（JVN）時，引入沙箱（sandbox）機制，其重要目是：A、為服務器提供針對惡意客戶端代碼保護B、為客戶端程序提供針對顧客輸入惡意代碼保護C、為顧客提供針對惡意網絡移動代碼保護D、提供事件可追查性139、惡意代碼采用加密技術目是：A.加密技術是惡意代碼自身保護重要機制B.加密技術可以保證惡意代碼不被發現C.加密技術可以保證惡意代碼不被破壞D.以上都不對140、惡意代碼反跟蹤技術描述對是：A反跟蹤技術可以減少被發現也許性B.反跟蹤技術可以防止所有殺毒軟件查殺C.反跟蹤技術可以防止惡意代碼被消除D.以上都不是141、下列有關計算機病毒感染能力說法不對是：A.能將自身代碼注入到引導區B.能將自身代碼注入到扇區中文獻鏡像C.能將自身代碼注入文本文獻中并執行D.能將自身代碼注入到文檔或模板宏中代碼142、當顧客輸入數據被一種解釋器當作命令或查詢語句一部分執行時，就會產生哪種類型漏洞？A.緩沖區溢出B.設計錯誤C.信息泄露D.代碼注入143、完整性檢查和控制防備對象是________,防止它們進入數據庫。A.不合語義數據、不對數據B.非法顧客C.非法數據D.非法授權144、存儲過程是SQL語句一種集合，在一種名稱下儲存，按獨立單元方式執行，如下哪一項不是使用存儲過程長處：A.提高性能，應用程序不用反復編譯此過程B.減少顧客查詢數量，減輕網絡擁塞C.語句執行過程中假如中斷，可以進行數據回滾，保證數據完整性和一致性D.可以控制顧客使用存儲過程權限，以增強數據庫安全性145、下列哪項內容描述是緩沖區溢出漏洞？A、通過把SQL命令插入到Web表單遞交或輸入域名或頁面祈求查詢字符串，最終到達欺騙服務器執行惡意SQL命令B、襲擊者在遠程WEB頁面HTML代碼中插入具有惡意目數據，顧客認為該頁面是可信賴，不過當瀏覽器下載該頁面，嵌入其中腳本將被解釋執行C、當計算機向緩沖區內填充數據位數時超過了緩沖區自身容量溢出數據覆蓋在合法數據上

D、信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，故意或無意產生缺陷146、如下工作哪個不是計算機取證準備階段工作A.獲得授權B.準備工具C.介質準備D.保護數據147、如下哪個問題不是導致DNS欺騙原因之一？A.DNS是一種分布式系統B.為提高效率，DNS查詢信息在系統中會緩存C.DNS協議傳播沒有通過加密數據D.DNS協議是缺乏嚴格認證148、如下哪個是ARP欺騙襲擊也許導致后果？A.ARP欺騙可直接獲得目主機控制權B.ARP欺騙可導致目主機系統瓦解，藍屏重啟C.ARP欺騙可導致目主機無法訪問網絡D.ARP欺騙可導致目主機149、如下哪個襲擊環節是IP欺騙（IP

Spoof）系列襲擊中最關鍵和難度最高？A.對被冒充主機進行拒絕服務襲擊，使其無法對目主機進行響應B.與目主機進行會話，猜測目主機序號規則C.冒充受信主機向目主機發送數據包，欺騙目主機D.向目主機發送指令，進行會話操作150、如下哪個拒絕服務襲擊方式不是流量型拒絕服務襲擊A.Land

B.UDP

Flood

C.Smurf

DTeardrop

151、假如一名襲擊者截獲了一種公鑰，然后他將這個公鑰替代為自己公鑰并發送給接受者，這種狀況屬于哪一種襲擊？A.重放襲擊B.Smurf襲擊C.字典襲擊D.中間人襲擊152、域名注冊信息可在哪里找到？A.路由器B.DNS記錄C.Whois數據庫D.MIBs庫153、網絡管理員定義“no

ip

directed

broadcast”以減輕下面哪種襲擊？A.DIECAST

B.SMURF

C.BATCAST

D.COKE

154、下面哪一項不是黑客襲擊在信息搜集階段使用工具或命令：A.Nmap

B.Nslookup

C.LC

D.Xscan

155、下面有關軟件測試說法錯誤是：A、所謂“黑盒”測試就是測試過程不測試匯報中進行描述，切對外嚴格保密B、出于安全考慮，在測試過程中盡量不要使用真實生產數據C、測試方案和測試成果應當成為軟件開發項目文檔重要部分被妥善保留D、軟件測試不僅應關注需要功能與否可以被實現，還要注意與否有不需要功能被實現了156、下列哪一項不屬于Fuzz測試特性？A、重要針對軟件漏洞或可靠性錯誤進行測試B、采用大量測試用例進行鼓勵、響應測試C、一種試探性測試措施，沒有任何理論根據D、運用構造畸形輸入數據引起被測試目產生異常157、Shellcode是什么？A.是用C語言編寫一段完畢特殊功能代碼B.是用匯編語言編寫一段完畢特殊功能代碼C.是用機器碼構成一段完畢特殊功能代碼D.命令行下代碼編寫158、通過向被襲擊者發送大量ICMP回應祈求，消耗被襲擊者資源來進行響應，直至被襲擊者再也無法處理有效網絡信息流時，這種襲擊被稱之為：A.LAND襲擊B.Smurf襲擊C.Ping

of

Death

襲擊D.ICMP

Flood

159、如下哪種措施不能有效提高WLAN安全性：A.修改默認服務區標識符（SSID）B.嚴禁SSID廣播C.啟用終端與AP間雙向認證D.啟用無線AP開放認證模式160、如下哪項是對抗ARP欺騙有效手段？A.使用靜態ARP緩存B.在網絡上制止ARP報文發送C.安裝殺毒軟件并更新到最新病毒庫D.使用linux系統提高安全性161、下面有關ISO27002說法錯誤是：A.ISO27002前身是ISO17799-1

B.ISO27002給出了一般意義下信息安全管理最佳實踐供組織機構選用，但不是所有C.ISO27002對于每個控制措施表述分“控制措施”、“實行指南”、和“其他信息”三個部分來進行描述D.ISO27002提出了十一大類安全管理措施，其中風險評估和處置是處在關鍵地位一類安全措施162、下面哪一項安全控制措施不是用來檢測未經授權信息處理活動：A.設置網絡連接時限B.記錄并分析系統錯誤日志C.記錄并分析顧客和管理員操作日志D.啟用時鐘同步163、下列安全控制措施分類中，哪個分類是對（p-防止性，D-檢測性以及C-糾正性控制）1、網絡防火墻2、RAID級別3

3、銀行賬單監督復審4、分派計算機顧客標識5、交易日志A、p,p,

c,d,and

C

B、d,

c,c,d,and

D

C、p,

c,d,p,and

D

D、p,d,

p,p,and

C

164、風險評估重要包括風險分析準備、風險要素識別、風險分析和風險成果鑒定四個重要過程，有關這些過程，如下說法哪一種是對？A.風險分析準備內容是識別風險影響和也許性B.風險要素識別內容是識別也許發生安全事件對信息系統影響程度C.風險分析內容是識別風險影響和也許性D.風險成果鑒定內容是發現系統存在威脅、脆弱性和控制措施165、你來到服務器機房股比一間辦公室，發現窗戶壞了，由于這不是你辦公室，你規定在這里辦公員工請維修工來把窗戶修好，你離開后，沒有再過問這扇窗戶事情。這件事情成果對與特定脆弱性有關威脅真正出現也許性會有什么影響？A.假如窗戶被修好，威脅真正出現問題性會增長B.假如窗戶被修好，威脅真正出現也許性會保持不變C.假如窗戶沒有被修好，威脅真正出現也許性會下降D.假如窗戶沒有被修好，威脅真正出現也許性會增長166、在對安全控制進行分析時，下面哪個描述是不精確？A.對每一項安全控制都應當進行成本收益分析，以確定哪一項安全控制是必須和有效B.應保證選擇對業務效率影響最小安全措施C.選擇好實行安全控制時機和位置，提高安全控制有效性D.仔細評價引入安全控制對正常業務影響，采用合適措施，盡量減少負面效應167、如下哪一項不是信息安全管理工作必須遵照原則？A.風險管理在系統開發之處就應當予以充足考慮，并要貫穿于整個系統開發過程之中B.風險管理活動應成為系統開發、運行、維護、直至廢棄整個生命周期內持續性工作C.由于在系統投入使用后布署和應用風險控制措施針對性會更強，實行成本會相對較低D.在系統正式運行后，應重視殘存風險管理，以提高迅速反應能力168、對信息安全風險評估要素理解對是：A.資產識別粒度伴隨評估范圍、評估目不一樣而不一樣，既可以是硬件設備，也可以是業務系統，也可以是組織機構B.應針對構成信息系統每個資產做風險評價C.脆弱性識別是將信息系統安全現實狀況與國家或行業安全規定做符合性比對而找出差距項D.信息系統面臨安全威脅僅包括人為故意威脅、人為非故意威脅169、如下哪一項不是建筑物自動化訪問審計系統記錄日志內容：A.出入原因B.出入時間C.出入口位置D.與否成功進入170、信息安全方略是管理層對信息安全工作意圖和方向正式表述，如下哪一項不是信息安全方略文檔中必須包括內容：A.闡明信息安全對組織重要程度B.簡介需要符合法律法規規定C.信息安全技術產品選型范圍D.信息安全管理責任定義171、作為信息中心主任，你發現沒有足夠人力資源保證將數據庫管理員和網絡管理員崗位分派給兩個不一樣人擔任，這種狀況導致了一定安全風險。這時你應當怎么做？A.埋怨且無能為力B.向上級匯報該狀況，等待增派人手C.通過布署審計措施和定期審查來減少風險D.由于增長人力會導致新人力成本，因此接受該風險172、如下人員中，誰負有決定信息分類級別責任？A.顧客B.數據所有者C.審計員D.安全官173、某企業正在對一臺關鍵業務服務器進行風險評估，該服務器價值138000元，針對某個特定威脅暴露因子（EF）是45%，該威脅年度發生率（ARO）為每發生一次，根據以上信息，該服務器年度預期損失值（ALE）是多少？A、1800元B、62100元C、140000元D、6210元174、下列哪些內容應包括在信息系統戰略計劃中？A.已規劃硬件采購規范B.未來業務目分析C.開發項目目日期D.信息系統不一樣年度預算目175、ISO27002中描述11個信息安全管理控制領域不包括：A.信息安全組織B.資產管理C.內容安全D.人力資源安全176、根據國標《信息安全技術信息系統劫難恢復規范》（GB/T20988），需要備用場地但不規定布署備用數據處理設備是劫難恢復等級第幾級？A.2

B.3

C.4

D.5

177、如下哪一種備份方式在恢復時間上最快A.增量備份B.差異備份C.完全備份D.磁盤備份178、計算機應急響應小組簡稱是：A.CERT

B.FIRST

C.SANA

D.CEAT

179、有某些信息安全事件是由于信息系統中多種部分共同作用導致，人們稱此類事件為“多組件事故”，應對此類安全事件最有效措施是：A.配置網絡入侵檢測系統以檢測某些類型違法或誤用行為B.使用防病毒軟件，并且保持更新為最新病毒特性碼C.將所有公共訪問服務放在網絡非軍事區（DMZ）D.使用集中日志審計工具和事件關聯分析軟件180、根據國標《信息安全技術信息系統劫難恢復規范》（GB/T

20988），劫難恢復管理過程重要環節是劫難恢復需求分析、劫難恢復方略制定、劫難恢復方略實現、劫難恢復預制定和管理；其中劫難恢復方略實現不包括如下哪一項？A.分析業務功能B.選擇和建設劫難備份中心C.實現災備系統技術方案D.實現災備系統技術支持和維護能力181、在進行應用系統測試時，應盡量防止使用包括個人隱私和其他敏感信息實際生產系統中數據，假如需要使用時，如下哪一項不是必須作：A.測試系統應使用不低于生產系統訪問控制措施B.為測試系統中數據布署完善備份與恢復措施C.在測試完畢后立即清除測試系統中所有敏感數據D.布署審計措施，記錄生產數據拷貝和使用182、下面有關能力成熟度模型說法錯誤是：A.能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B.使用過程能力方案時，可以靈活選擇評估和改善哪個或那些過程域C.使用組織機構成熟度方案時，每一種能力級別都對應于一組已經定義好過程域D.SSE-CMM是一種屬于組織能力方案（Staged）針對系統安全工程能力成熟度模型183、一種組織系統安全能力成熟度到達哪個級別后來，就可以對組織層面過程進行規范定義？A.2級——計劃和跟蹤B.3級-——充足定義C.4級——量化控制D.5級——持續改善184、下列哪項不是信息系統安全工程能力成熟度模型（SSE-CMM）重要過程：A、風險評估B、保證過程C、工程過程

D、評估過程185、SSE-CMM工程過程區域中風險過程包括哪些過程區域：A.評估威脅、評估脆弱性、評估影響B.評估威脅、評估脆弱性、評估安全風險C.評估威脅、評估脆弱性、評估影響、評估安全風險D.評估威脅、評估脆弱性、評估影響、驗證和證明安全186、信息系統安全工程（ISSE）一種重要目就是在IT項目各個階段充足考慮安全原因，在IT項目立項階段，如下哪一項不是必須進行工作：A.明確業務對信息安全規定B.識別來自法律法規安全規定C.論證安全規定與否對完整D.通過測試證明系統功能和性能可以滿足安全規定187、信息化建設和信息安全建設關系應當是：A.信息化建設結束就是信息安全建設開始B.信息化建設和信息安全建設應同步規劃、同步實行C.信息化建設和信息安全建設是交替進行，無法辨別誰先誰后D.以上說法都對188、假如你作為甲方負責監管一種信息安全工程項目實行，當乙方提出一項工程變更時你最應當關注是：A.變更流程與否符合預先規定B.變更與否會對項目進度導致遲延C.變更原因和導致影響D.變更后與否進行了精確記錄189、如下哪項是對系統工程過程中“概念與需求定義”階段信息安全工作對描述？A.應基于法律法規和顧客需求，進行需求分析和風險評估，從信息系統建設開始就綜合信息系統安全保障考慮B.應充足調研信息安全技術發展狀況和信息安全產品市場，選擇最先進安全處理方案和技術產品C.應在將信息安全作為實行和開發人員一項重要工作內容，提出安全開發規范并切實貫徹D.應詳細規定系統驗收測試中有關系統安全性測試內容190、在進行應用系統測試時，應盡量防止使用包括個人隱私和其他敏感信息實際生產系統中數據，假如需要使用時，如下哪一項不是必須做：A.測試系統應使用不低于生產關系訪問控制措