中国信息安全测评中心每日一练(2016.10.21)

1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成起码6次完整的信息安全服务经历，以下哪项不是信息安全服务： B

A、为政府单位信息系统进行安全方案设计

B、在信息安全公司从事保安工作

C、在公开场合宣讲安全知识

D、在中学讲解信息安全课程

2.确保信息没有非授权泄露，即确保信息不泄漏给非授权的个人、实体或进程，不为其所用，是指（）： C

A、完整性

B、可用性

C、保密性

D、抗抵赖性

3.下列信息系统安全说法正确的是： D

A、加固所有的服务器和网路设备就可以保证网路的安全

B、只要资金准许就可以实现绝对的安全

C、断开所有的服务可以保证信息系统的安全

D、信息系统安全状态会随着业务的变化而变化，因此网路安全状态须要依照不同的业务而调整相应的网路安全策略

4.OSI开放系统互联安全体系架构中的安全服务分为鉴定服务、访问控制、机密性服务、完整服务、抗推托服务，其中机密性服务描述正确的是： B

A、包括原发方抗推托和接受方抗翻供

B、包括联接机密性、无联接机密性、选择数组机密性和业务流保密

C、包括对等实体鉴定和数据源鉴定

D、包括具有恢复功能的联接完整性、没有恢复功能的联接完整性、选择数组联接完整性、无联接完整性和选择数组无联接完整性

5.电子商务交易必须具备抗抵赖性，目的在于避免___。 B

A、一个实体佯装另一个实体

B、参与此交易的一方证实当初发生过这次交易

C、他人对数据进行非授权的更改、破坏

D、信息从被监视的通讯过程中窃取出去

6.下列哪一项准确地描述了可信计算基（TCB）? C

A、TCB只作用于固件（Firmware）

B、TCB描述了一个系统提供的安全级别

C、TCB描述了一个系统内部的保护机制

D、TCB通过安全标签来表示数据的敏感性

7.下面关于访问控制模型的说法不正确的是： C

A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权

B、DAC实现提供了一个基于“need-to-know”的访问授权的方式，默认拒绝任何人的访问。访问许可必须被显示地赋于访问者

C、在MAC这些模型里，管理员管理访问控制。管理员拟定策略，策略定义了那个主体能访问那个对象。但用户可以改变它。

D、RBAC模型中管理员定义一系列角色（roles）并把它们赋于主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。

8.安全模型明晰了安全策略所需的数据结构和技术，下列哪项最好描述了安全模型中的“简单安全规则”？ D

A、Biba模型中的不容许向下写

B、Biba模型中的不容许向上读

C、Bell-Lapadula模型中的不容许向上写

D、Bell-Lapadula模型中的不容许向下读

9.以下关于访问控制模型错误的是？ C

A、访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制。

B、自主访问控制模型容许主体显示地制订其他主体对该主体所拥有的信息资源是否可以访问。

C、基于角色的访问控制RBAC中，“角色”通常是按照行政级别来定义的。

D、强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制新政

10.下边对于CC的“评估保证级”（EAL）的说法最确切的是： D

A、代表着不同的访问控制硬度

B、描述了对抗安全恐吓的能力级别

C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求

D、由一系列保证组件构成的包，可以代表预先定义的保证尺度

11.某公司的业务部门用户须要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下述哪种安全模型的一部分？ D

A、Bell-Lapadula模型

B、Biba模型

C、信息流模型

D、Clark-Wilson模型

12.以下哪一项关于Bell-Lapadula模型特征的描述是错误的？ B

A、强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱

B、既定义了主体对客体的访问，也说明了主体对主体的访问。因此。它适用于网路系统

C、它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的特征

D、比起这些较新的模型而言，Bell-Lapadula定义的公理很简单，更便于理解，与所使用的实际系统具有直观的联系

13.下边对于基于角色的访问控制的说法错误的是？ D

A、它将若干特定的用户集合与权限联系在一起

B、角色通常可以根据部门、岗位、工程等与实际业务紧密相关的类别来界定

C、因为角色的变动常常高于个体的变动，所以基于角色的访问控制维护上去比较便利

D、对于数据库系统的适应性不强，是其在实际使用中的主要弱点

14.下面哪类访问控制模型是基于安全标签实现的？ B

A、自主访问控制

B、强制访问控制

C、基于规则的访问控制

D、基于身分的访问控制

15.根据PPDR模型： D

A、一个信息系统的安全保障体系应该以人为核心、防护、检测和恢复组成一个完整的、动态的循环

B、判断一个系统的安全保障能力，主要是安全策略的科学性与合理性，以及安全策略的落实情况

C、如果安全防护时间大于测量时间加响应时间，则该系统一定是不安全的

D、如果一个系统的安全防护时间为0，则系统的安全性取决于曝露时间

16.有关密码学分支的定义，下列说法中错误的是：B

A、密码学是研究信息系统安全保密的科学，由两个互相对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学

B、密码编码学是对密码体制、密码体制的输入输出关系进行剖析、以便推出绝密变量、包括明文在内的敏感数据

C、密码分析学主要研究加密信息的破译或信息的伪造

D、密码编码学主要研究对信息进行编码，实现信息的隐藏

17.非对称秘钥的密码技术具有好多优点，其中不包括： B

A、可提供数字签名、零知识证明等额外服务

B、加密/解密速度快，不需占用较多资源

C、通信双方事先不需要通过保密信道交换秘钥

D、密钥持有量大大降低

18.下列哪一项最好地描述了哈希算法、数字签名和对称密钥算法分别提供的功能？ C

A、身份鉴定和完整性，完整性，机密性和完整性

B、完整性，身份鉴定和完整性，机密性和可用性

C、完整性，身份鉴定和完整性，机密性

D、完整性和机密性，完整性，机密性

19.以下哪一项是基于一个大的整数很难分解成两个质数质数？ B

A、ECC

B、RSA

C、DES

D、D-H

20、电子邮件的机密性与真实性是通过下述哪一项实现的？ A

A、用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密

B、用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密

C、用接受者的公钥对消息进行签名，用发送者的私钥对消息进行加密

D、用接受者的私钥对消息进行签名，用发送者的公钥对消息进行加密

21、一名攻击者企图通过暴力功击来获取？ A

A、加密密钥

B、加密算法

C、公钥

D、密文

22、在标准GBXXXX-XX中对机房安全等级界定正确的是？B

A、划分为A、B两级

B、划分为A、B、C五级

C、划分为A、B、C、D四级

D、划分为A、B、C、D、E三级

23、指纹、虹膜、语音识别技术是以下哪一种鉴定方法的实例： A

A、你是哪些

B、你有哪些

C、你晓得哪些

D、你做了哪些

25、在OSI模型中，主要针对远程终端访问，任务包括会话管理、传输同步以及活动管理等以下是哪一层？C

A、应用层

B、物理层

C、会话层

D、网络层

27、下列那个合同可以避免局域网的数据链路层的桥接支路 B

A、HSRP

B、STP

C、VRRP

D、OSPF

28、以下那个不是应用层防火墙的特性 C

A、更有效地制止应用层功击

B、工作在OSI模型的第七层

C、速度快且对用户透明

D、比较容易进行审计

30、以下哪项不是IDS可以解决的问题：A

A、弥补网路合同的弱点

B、识别和报告对数据文件的改动

C、统计剖析系统中异常活动模式

D、提升系统监控能力

31、私网地址用于配置本地网路、下列地址中属私网地址的是？ C

A、100.0.0.0

B、172.15.0.0

C、192.168.0.0

D、244.0.0.0

32、下面哪类设备常用于风险剖析过程中，识别系统中存在的脆弱性？ C

A、防火墙

B、IDS

C、漏洞扫描器

D、UTM

33、当一个应用系统被功击并遭到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看： C

A、访问控制列表

B、系统服务配置情况

C、审计记录

D、用户账户和权限的设置

34、网络隔离技术的目标是确保把有害的功击隔离，在保证可信网路内部信息不泄露的前提下，完成网路间数据的安全交换，下列隔离技术中，安全性最好的是？ A

A、多重安全网段

B、防火墙

C、VLAN隔离

D、物理隔离

35、在windowsXP中用事件查看器查看日志文件，可见到的日志包括？ B

A、用户访问日志、安全性日志、系统日志和IE日志

B、应用程序日志、安全性日志、系统日志和IE日志

C、网络功击日志、安全性日志、记账日志和IE日志

D、网络链接日志、安全性日志、服务日志和IE日志

36、windows操作系统的注册表运行命令是B

A、regswr32

B、regedit

C、regedit.msc

D、regedit.mmc

37、以下windows服务的说法错误的是（C）

A、为了提高系统的安全性管理员应尽量关掉不需要的服务

B、可以作为独立的进程运行或以DLL的方式屈从在Svchost.exe

C、windows服务只有在用户成功登录系统后能够运行

D、windows服务一般是以管理员的身分运行的

38、Linux系统低格分区用那个命令： A

A、fdisk

B、mv

C、mount

D、df

39、下面一行是某个UNIX文件的详情，关于该文件权限的描述不正确的是（B）

A、这是一个目录，名称是“file”

B、文件属性是group

C、“其他人”对该文件具有读、写、执行权限

D、user的成员对此文件没有写权限

40、LINUX系统的/etc目录从功能上看相当于windows的那个目录 B

A、program files

B、windows

C、system volume information

D、TEMP

41、如果想用windows的网上邻居方法和linux系统进行文件共享，那么在linux系统中要开启那个服务：C

A、DHCP

B、NFS

C、SAMBA

D、SSH

42、数据库管理员在检测数据库时发觉数据库的性能不理想，他打算通过对部份数据表施行消除规范性（denormanization）操作来提升数据库性能，这样做将降低下述哪项风险？ D

A、访问的不一致

B、死锁

C、对数据的非授权访问

D、数据完整性的损害

43、下面关于IIS报错信息含意的描述正确的是？ B

A、401-找不到文件

B、403-禁止访问

C、404-权限问题

D、500-系统错误

44、宏病毒是一种专门感染谷歌office格式文件的病毒，下列（A）文件不可能感染该病毒。

A、*.exe

B、*.doc

C、*.xls

D、*.ppt

45、以下对于蠕虫病毒的描述错误的是： C

A、蠕虫的传播无需用户操作

B、蠕虫会消耗显存或网路带宽，导致DOS

C、蠕虫的传播须要通过“宿主”程序或文件

D、蠕虫程序通常由“传播模块”、“隐藏模块”、“目的功能模块”构成

46、为了避免电子邮件中的恶意代码，应该由____方式阅读电子邮件 A

A、纯文本

B、网页

C、程序

D、会话

47、以下哪一项不是流氓软件的特点？ D

A、通常通过引诱或和其他软件捆绑在用户不知情的情况下安装

B、通常添加驱动保护使用户无法卸载

C、通常会启动无用的程序浪费计算机的资源

D、通常会显示下流的言论

48、在典型的web应用站点的层次结构中，“中间件”是在那里运行的？ C

A、浏览器客户端

B、web服务器

C、应用服务器

D、数据库服务器

49、为了应对愈加严重的垃圾邮件问题，人们设计和应用了各类垃圾邮件过滤机制，以下哪一项是花费估算资源最多的一种垃圾邮件过滤机制？ D

A、SMTP身份认证

B、逆向名子解析

C、黑名单过滤

D、内容过滤

50、无论是哪一种web服务器，都会遭到HTTP合同本身安全问题的困惑，这样的信息系统安全漏洞属于： A

A、设计型漏洞

B、开短发漏洞

C、运行型漏洞

D、以上都不是

51、基于功击方法可以将黑客攻击分为主动功击和被动攻击，以下哪一项不属于主动功击?C

A、中断

B、篡改

C、侦听

D、伪造

52、关于黑客注入功击说法错误的是： C

A、它的主要诱因是程序对用户的输入缺少过滤

B、一般情况下防火墙对它难以防范

C、对它进行防范时要关注操作系统的版本和安全补丁

D、注入成功后可以获取部份权限

54、下面对于Rootkit技术的解释不确切的是： B

A、Rootkit是攻击者拿来隐藏自己和保留对系统的访问权限的一组工具

B、Rootkit是一种害处大、传播范围广的蠕虫

C、Rootkit和系统底层技术结合非常紧密

D、Rootkit的工作机制是定位和更改系统的特定数据改变系统的正常操作流程

55、以下对跨站脚本攻击（XSS）的解释最确切的一项是： D

A、引诱用户点击虚假网路链接的一种功击方式

B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问

C、一种很强悍的木马功击手段

D、将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的

56、以下哪一项是常见WEB站点脆弱性扫描工具： A

A、AppScan

B、Nmap

C、Sniffer

D、LC

57、下面哪一项是黑客拿来施行DDOS攻击的工具： D

A、LC5

B、Rootkit

C、Icesword

D、Trinoo

58、对于信息系统访问控制说法错误的是？ B

A、应该按照业务需求和安全要求置顶清晰地访问控制策略，并按照须要进行评审和改进

B、网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决

C、做好访问控制工作除了要对用户的访问活动进行严格管理，还要明晰用户在访问控制中的有关责任

D、移动估算和远程工作技术在广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对联通估算设备和远程工作用户的控制举措

59、下面哪一项最好地描述了组织机构的安全策略？ c

A、定义了访问控制需求的总体指导方针

B、建议了怎样符合标准

C、表明管理者意图的高层陈述

D、表明所使用的技术控制举措的高层陈述

60、资产管理是信息安全管理的重要内容，而清楚的辨识信息系统相关的财产，并编制资产清单是资产管理的重要步骤。下面关于资产清单的说法错误的是： B

A、资产清单的编制是风险管理的一个重要的先决条件

B、信息安全管理中所涉及的信息资产，即业务数据、合同合同、培训材料等

C、在制订资产清单的时侯应按照资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别

D、资产清单中应该包括将资产从灾难中恢复而须要的信息，如资产类型、格式、位置、备份信息、许可信息等

61、为什么一个公司内部的风险评估团队应当由来自不同部门的人员组成？C

A、确保风险评估过程是公正的

B、因为风险正是因为这种来自不同部门的人员所造成的，因此她们应当承当风险评估的职责

C、因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况

D、风险评估团队不应当由来自不同部门的人员组成，而应当由一个来自公司外部的大型团队组成

62、信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时须要重点考虑的？ C

A、信息的价值

B、信息的时效性

C、信息的储存形式

D、法律法规的规定

63、下面哪一项关于对违犯安全规定的职工进行惩戒的说法是错误的？ C

A、对安全违法的发觉和验证是进行惩戒的重要前提

B、惩戒举措的一个重要意义在于它的威慑性

C、出于公正，进行惩戒时不应考虑职工是否是从犯，是否接受过培训

D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要非常谨慎

64、风险剖析的目标是达到： A

A、风险影响和保护性举措之间的价值平衡

B、风险影响和保护性举措之间的操作平衡

C、风险影响和保护性举措之间的技术平衡

D、风险影响和保护性举措之间的逻辑平衡

65、以下对“信息安全风险”的描述正确的是A

A、是来自外部的恐吓借助了系统自身存在脆弱性作用于资产产生风险

B、是系统自身存在的恐吓借助了来自外部的脆弱性作用于资产产生风险

C、是来自外部的恐吓借助了系统自身存在的脆弱性作用于网路产生风险

D、是系统自身存在的恐吓借助了来自外部的脆弱性作用于网路产生风险

66、在ISO27001-2005中，制定风险处置计划应当在PDCA的那个阶段进行？A

A、Plan

B、Do

C、Check

D、Act

67、在冗余c盘陈列中，以下不具有容错技术的是——A

A、RAID 0

B、RAID 1

C、RAID 3

D、RAID 5

68、为了达到组织灾难恢复的要求，备份时间间隔不能超过；C

A、服务水平目标（SLO）

B、恢复时间目标(RTO)

C、恢复点目标(RPO)

D、停用的最大可接受程度(MAO)

69、以下对信息安全应急响应说法错误的是？D

A、明确处理安全风波的工作职责和工作流程是应急响应工作中特别重要的--------

B、仅仅处理好紧急风波不是应急工作的的全部，通过信息安全风波进行总结和学习是很重要--------

C、对安全风波的报告和对安全弱点的报告都是信息安全风波管理的重要内容

D、作为一个单位的信息安全主管，在安全风波中主要任务------------------完全是执法机构的事

71、目前数据大集中是我国重要的小型分布式信息系统建设和发展的趋势，数据大集中就是将数据集中存储和管理，为业务信息系统的运行搭建了统一的数据平台，对这些做法的认识正确的是？ D

A．数据库系统庞大会提升管理成本

B．数据库系统庞大会增加管理效率

C．数据的集中会增加风险的可控性

D. 数据的集中会导致风险的集中

72、对程序源代码进行访问控制管理时，以下那个做法是错误的？ C A．若有可能，在实际生产系统中不保留源程序库。

B．对源程序库的访问进行严格的审计

C．技术支持人员应可以不受限制的访问源程序

D．对源程序库的拷贝应遭到严格的控制规程的阻碍

73、以下对系统日志信息的操作中哪项是最不应该发生的？ A

A、对日志内容进行编辑

B、只抽取部份条目进行保存和查看

C、用新的日志覆盖旧的日志

D、使用专用工具对日志进行剖析

74、以下哪一项是对信息系统常常不能满足用户需求的最好解释： C

A、没有适当的质量管理工具

B、经常变化的用户需求

C、用户参与需求挖掘不够

D、项目管理能力不强

75、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为一般是不是在这一阶段中发生的？ C

A、进行系统备份

B、管理加密密钥

C、认可安全控制举措

D、升级安全软件

76、在信息安全管理工作中“符合性”的涵义不包括哪一项？ C

A、对法律法规的符合

B、对安全策略和标准的符合

C、对用户预期服务疗效的符合

D、通过审计举措来验证符合情况

77、下面哪一项最准确的论述了安全检测举措和安全审计举措之间的区别？C

A、审计举措不能手动执行，而测量举措可以手动执行

B、监视举措不能手动执行，而审计举措可以手动执行

C、审计举措是一次性地或周期性地进行，而检测举措是实时地进行

D、监测举措一次性地或周期性地进行，而审计举措是实时地进行

78、口令是验证用户身分的最常用手段，以下哪一种口令的潜在风险影响范围最大？D

A、长期没有更改的口令

B、过短的口令

C、两个人公用的口令

D、设备供应商提供的默认口令

79、系统工程是信息安全工程的基础学科，钱学森说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方式，以下哪项对系统工程的理解是正确的A

A、系统工程是一种方法论

B、系统工程是一种技术实现

C、系统工程是一种基本理论

D、系统工程不以灵芝与系统为研究对象

80、项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的：A

A、项目管理的基本要素是质量，进度和成本

B、项目管理的基本要素是范围，人力和沟通

C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织

D、项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理

81、在信息系统的设计阶段必须做以下工作不仅：C

A、决定使用什么安全控制举措

B、对设计方案的安全性进行评估

C、开发信息系统的运行维护指南

D、开发测试、验收和认可方案

82、进行信息安全管理体系的建设是一个涉及企业文化，信息系统特性，法律法规等多方面诱因的负杂过程，人们在这样的过程中总结了许多经验，下面哪一项是最不值得赞成的？d

A、成功的信息安全管理体系建设必须得到组织的中级管理的直接支持

B、制定的信息安全管理举措应该与组织的文化环境相匹配

C、应该对ISO27002等国际标明批判地参考，不能完全仿效

D、借助有经验的小型国际咨询公司，往往可以提升管理体系的执行效

83、信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的开掘和对——————的理解，以经济，科学的方式来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。A

A、安全风险

B、安全保障

C、安全技术

D、安全管理

84、关于SSE-CMM的描述错误的是：D

A、1993年4月美国国家安全局捐助，有安全工业界，英国国防部办公室和日本通讯安全机构共同组成SSE-CMM项目组。

B、SSE-CMM的能力级别分为6个级别。

C、SSE-CMM讲安全工程过程界定为三类：风险、工程和保证。

D、SSE的最高能力级别是量化控制

85、下面对SSE-CMM说法错误的是？D

A、它通过域维和能力维共同产生对安全工程能力的评价

B、域维定义了工程能力的所有施行活动

C、能力维定义了工程能力的判定标明

D、“公共特点”是域维中对获得过程区目标的必要步骤的定义

86在SSE-CMM中对工程过程能力的评价分为三个层次，由宏

观到微观依次是 A

A能力级别-公共特点（CF）-通用实践（GP）

B能力级别-通用实践-（GP）-公共特点（CF）

C通用实践-（GP）-能力级别-公共特点（CF）

D公共特点（CF）-能力级别-通用实践-（GP）、

87、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以挺好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？B

A、规划跟踪定义

B、充分定义级

C、量化控制级

D、持续改进级

88、“配置管理”是系统工程的重要概念，他在软件工程和信息安全工程中得到广泛应用下边对“配置管理”解释最确切的是？B

A、配置管理的本质是变更流程管理

B、配置管理是一个对系统（包括软件、硬件、文档、测试设备、开发\维护设备）所有变化进行控制的过程

C、配置管理是对信息系统的技术参数进行管理

D、管理配置是对系统基线和源代码的版本进行管理

89、根据SSE-CMM以下哪项不是在安全工程过程中施行安全控制时须要做的？ A

A、获得用户对安全需求的理解

B、建立安全控制的职责

C、管理安全控制的配置

D、进行针对安全控制的教育培训

90、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容： A

A、改进组织能力

B、定义标准过程

C、协调安全施行

D、执行已定义的过程

91、下面哪项不是工程施行阶段信息安全工程监理的主要目标？ C

A、明确工程施行计划、对于计划的调整必须合理、受控

B、促使工程中所适用的产品和服务符合参建协议及国家相关法律、法规和标准

C、促使业务单位与参建单位充分沟通，形成推进的安全需求

D、促使工程施行过程满足参建协议的要求，并与工程设计方案、工程计划相符

92、在国家标准中，属于强制性标准的是： B

A、GB/T XXXX-X-200X

B、GB XXXX-200X

C、DBXX/T XXX-200X

D、QXXX-XXX-200X

93、在何种情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全风波？A

A、当信息安全风波的负面影响扩充到本组织意外时

B、只要发生了安全风波就应该公告

C、只有公众的哪些财产安全遭到巨大害处时才公告

D、当信息安全风波消弭以后

94、下面对ISO27001的说法最确切的是： D

A、该标准的题目是信息安全管理体系施行手册

B、该标准为测度信息安全管理体系的开发和施行提供的一套标准

C、该标准提供了一组信息安全管理相关的控制和最佳实践

D、该标准为构建、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型

95、ISO27002、ITIL和COBIT在IT管理内容上各有优势、但优缺不同，其各自重点分别在于： A

A、IT安全控制、IT过程管理和IT控制和测度评价

B、IT过程管理、IT安全控制和IT控制和测度评价

C、IT控制和测度评价、IT安全控制和IT安全控制

D、IT过程管理、IT控制和测度评价、IT安全控制

96、以下对于IATF信息安全保障技术框架的说法错误的是：

A、它由美国国家安全局公开发布

B、它的核心思想是信息安全深度防御（Defense-in-Depth）

C、它觉得深度防御应该从策略、技术和运行维护三个层面来进行

D、它将信息系统保障的技术层面分为估算环境、区域边界、网络和基础设置和支撑性技术设施4个部份

97、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定： D

A、威胁、脆弱性

B、系统价值、风险

C、信息安全、系统服务安全

D、受侵犯的客体、对客体导致侵犯的程度业务

98、下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求： C

A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定

B、各级国家机关、单位对所形成的秘密事项，应当根据国家秘密及其密级的具体范围的规定确定密级

C、对是否属于国家和属于何种密级不明晰的事项，可有各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案。

D、对是否属于国家和属于何种密级不明晰的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或则国家保密工作部门审定的机关确定

99、下面有关我国标准化管理和组织机构的说法错误的是？ C

A、国家标准化管理委员会是统一管理全省标准化工作的主管机构

B、国家标准化技术委员会承当着国家标准的制订和更改巩工作

C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布

D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目

100、我国规定商用密码产品的研制、制造、销售和使用采取专控管理，必须经过审批，所根据的是： A

A、商用密码管理细则

B、中华人民共和国计算机信息系统安全保护条例

C、计算机信息系统国际联网保密管理规定

D、中华人民共和国保密法