2026年CISP认证考试历年真题及答案汇总｜题库PDF下载

在一个网络中,当拥有的网络地址容量不够多,或普通终端计算机没有必要分配静态IP 地址时,可以采用通过在计算机连接到网络时,每次为其临时在IP 地址池中选择一个IP 地址并分配的方式为( )

信息安全风险管理是基于( )的信息安全管理,也就是,始终以( )为主线进行信息安全的管理。应根据实际( )的不同来理解信息安全风险管理的侧重点,即( )选择的范围和对象重点应有所不同。

某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是( )

数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题。数据链路层的数据单元是( )

以下对于标准化特点的描述哪项是错误的?

以下哪个是国际信息安全标准化组织的简称?

风险,在GB /T 22081 中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等:目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等, ISO / IEC 13335-1 中揭示了风险各要素关系模型,如图所示。请结合此图,怎么才能降低风险对组织产生的影响?( )

某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公司网络管理员在了解情况后,给出了一些解决措施建议，作为信息安全主管，你必须指出不恰当的操作并阻止此次操作（）

在你对远端计算机进行ping 操作,不同操作系统回应的数据包中初始TTL 值是不同的, TTL 是IP 协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可以通过TTL 值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的TL 值,可以大致判断( )

( )攻击是建立在人性“弱点”利用基础上的攻击,大部分的社会工程学攻击都是经过( )才能实施成功的。即使是最简单的“直接攻击”也需要进行( )。如果希望受害者接受攻击者所( ),攻击者就必须具备这个身份需要的( )

内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资源大爆发是使得内容安全越越受到重视,以下哪个描述不属于内容安全的范畴( )

恶意软件抗分析技术的发展,恶意软件广泛使用了加壳、加密、混淆等抗分析技术，对恶意软件的分析难度越来越大。对恶意代码分析的研究已经成为信息安全领域的一个研究热点。小赵通过查阅发现一些安全软件的沙箱功能实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术。小赵列出了一些动态分析的知识,其中错误的是（）

安全评估技术采用()这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。

小张在一不知名的网站上下载了鲁大师并进行了安装,电脑安全软件提示该软件有恶意捆绑,小张惊出一身汗,因为他知道恶意代码将随之进入系统后会对他的系统信息安全造成极大的威胁,那么恶意代码的软件部署常的实现方式不包括（ ）

操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而下的破绽,都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标,按书中所学建立了应的安全机制,这些机制不包括（）

信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性措施也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的,在下面的应急响应管理流程图中,空白方填写正确的选项是（）

即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题,特别对于使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施,下列措施中错误的是( )

如果有一名攻击者在搜索引擎中搜索“.doc+ XXX. com”找到XXX.com 网站上所有的word 文档。该攻击者通过搜索“mdb”、“.ini”+域名,找到该域名下的mdb 库文件、ini 配置文件等非公开信息,通过这些敏感信息对该网站进行攻击,请问这属于( )

以下哪些因素属于信息安全特征?( )

以下对单点登录技术描述不正确的是:()。

某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以下选项中正确的是( )

信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的所有者应对其分类负责。分类的结果表明了( ),该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的( )。分类信息的标记和安全处理是信息共享的一个关键要求。( )和元数据标签是常见的形式。标记应易于辨认,规程应对标记附着的位置和方式给出指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和( )

杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否是为恶意代码,如果是则进女联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目的。下列对恶意代码静态分析的说法中,错误的是( )

数据库是一个单位或是一个应用领域的通用数据处理系统,它存储的是属于企业和事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发建立的,按一定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要的存取路径,且数据不再针对某一应用,而是面向全组织,具有整体的结构化特征。数据库作为应用系统数据存储的系统,毫无疑问会成为信息安全的重点防护对象。数据库安全涉及到数据资产的安全存储和安全访问,对数据库安全要求不包括下列( )

目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:

下面关于信息系统安全保障模型的说法不正确的是：

风险评估相关政策,目前主要有( )(国信办[2006]5 号)。主要内容包括:分析信息系统资产的( ),评估信息系统面临的( )、存在的( )、已有的安全措施和残余风险的影响等、两类信息系统的( )、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。

( )在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的( )。例如攻击者要伪装成某个大型集团公司总部的( ),那么他需要了解这个大型集团公司所处行业的一些行规或者( )、公司规则制度、组织架构等信息,甚至包括集团公司中相关人员的绰号等等。

小红和小明在讨论有关于现在世界上的IP 地址数量有限的问题,小红说他看到有新闻说在2011 年2 月3 日,全球互联网IP 地址相关管理组织宣布现有的互联网IP 地址已于当天划分给所有的区域互联网注册管理机构,IP 地址总库已经枯竭,小明吓了一跳觉得以后上网会成问题,小红安慰道,不用担心,现在IPv6 已经被试用它有好多优点呢,以下小红说的优点中错误的是( )

方法指导类标准主要包括GB/T-T25058-2010-《信息安全技术信息系统安全等级保护实施指南》GB / T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保护实施指南》原以()政策文件方式发布,后修改后以标准发布。这些标准主要对如何开展()做了详细规定。状况分析类标准主要包括GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T 284492012《信息安全技术信息系统安全等级保护测评过程指南》等。其中在()工作期间还发布过《等级保护测评准则》等文件

下列选项中,对风险评估文档的描述中正确的是( )

下列软件开发模型中,支持需求不明确,特别是大型软件系统的开发,并支持多种软件开发方法的模型是（ ）

供电安全是所有电子设备都需要考虑的问题,只有持续平稳的电力供应才能保障电子设备作稳定可靠因此电力供应需要解决问题包括两个,一是确保电力供应不中断、二是确保电力供应平稳。下列选项中,对电力供应的保障措施的描述正确的是（）

漏洞扫描是信息系统风险评估中的常用技术措施,定期的漏洞扫描有助于组织机构发现系统中存在的安全漏洞。漏洞扫描软件是实施漏洞扫描的工具,用于测试网络、操作系统、数据库及应用软件是否存在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如下理解,其中错误的是（ ）

组织应开发和实施使用()来保护信息的策略,基于风险评估,宣确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量。当实施组织的()时,宣考虑我国应用密码技术的规定和限制,以及( )跨越国界时的向题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宣根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的( )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宣保护所有的密钥免遭修改和丢

由于病毒攻击、非法入侵等原因,校园网整体瘫瘓,或者校园网络中心全部DNS 主WEB 服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件( )

安全审计是事后认定违反安全规则行为的分析技术,在检测违反安全规则方面、准确发现系统发生的事件以对事件发生的事后分析方面,都发挥着巨大的作用。但安全审计也有无法实现的功能,以下哪个需求是网络安全审计无法实现的功能( )

数位物件识别号(Digital Object Identifier,简称DOI )是一套识别数位资源的机制,涵括的对象有视频报告或书籍等等。它既有一套为资源命名的机制,也有一套将识别号解析为具体位址的协定。DOI 码由前缀和后两部分组成,之间用“/”分开,并且前缀以“.”再分为两部分。以下是一个典型的DOI 识别号10.1006/jmbi.1998.2354,下列选项错误的是( )

某网盘被发现泄露了大量私人信息,通过第三方网盘搜索引擎可查询到该网盘用户的大量照片、通讯录。盘建议用户使用“加密分享”功能,以避免消息泄露,“加密分享”可以采用以下哪些算法（ ）。

作为单位新上任的CS0,你组织了一次本单位的安全评估工作以了解单位安全现状。在漏洞扫描报告发现了某部署在内网且仅对内部服务的业务系统存在一个漏洞,对比上一年度的漏洞扫描报告,发现这个经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题, 处理( )

以下哪项网络攻击会对《网络安全法》定义的网络运行安全造成影响?

软件工程方法提出起源于软件危机,而其目的应该是最终解决软件的问题的是（）

风险评估的过程包括( )、( )、( )和( )四个阶段。在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输入。( )风险评估的四个阶段。

在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领导对客体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的自主访问控制机制的访问许可模式是（）。

信息安全风险值应该是以下哪些因素的函数？（）

以下关于开展软件安全开发必要性描错误的是？（）

软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求，从而导致软件开发与维护过程中出现一系列严重问题的现象。为了克服软件危机，人们提出了用（）的原理来设计软件，这就是软件工程诞生的基础

下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？（）

在设计信息系统安全保障方案时，以下哪个做法是错误的，

灾备指标是指信息安全系统的容灾抗毁能力，主要包括四个具体指标：恢复时间目标（Recovery Time Ohjective,RTO）.恢复点目标（Recovery Point Objective,RPO）降级操作目标（Degraded Operations Ob jective-DOO）和网络恢复目标（NeLwork Recovery Ob jective-NRO）,小华准备为其工作的信息系统拟定恢复点目标RPO-O，以下描述中，正确的是（）。

下图显示了SSAM 的四个阶段和每个阶段工作内容。与之对应，（）的目的是建立评估框架，并为现场阶段准备后勤方面的工作。（）的目的是准备评估团队进行现场活动，并通过问卷进行数据的初步收集和分析。（）主要是探索初步数据分析结果，以及为被评组织的专业人员提供与数据采集和证实过程的机会，小组对在此就三个阶段中采集到的所有数据进行（）。并将调查结果呈送个发起者

组织应依照已确定的访问控制策略限制对信息和（ ）功能的访问。对访问的限制要基于各个业务应用要求，访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和（）时，宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（ ）。对程序源代码和相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防

信息时流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的截体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。

跨站请求伪造也被称为one-click attck 或者session riding,通常缩写为CSRF 或者XSXF，是一种挟制用户在当着已登录的Wed 应用程序上执行非本意的操作的攻击方法。对于下列跨站请求伪造的描述中，错误的是（）

某项目组进行风险评估时由于时间有限，决定采用基于知识的分析方法，使用基于知识的分析方法进行风险评估，最重要的在于评估信息的采集，该项目组对信息源进行了讨论，以下说法中不可行的是（）

（）在实施攻击之前，需要尽量收集伪装身份(),这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的（）。那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司相关人员的绰号等等。

1993 年至1996 年，欧美六国和美国商务部国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准，简称CC 标准，该安全评估标准的全称为（）

风险评估的基本要素包括脆弱性、资产、威胁、风险及安全措施，下面给出的风险评估部分基本要素之间的关系图，哪项是错误的（ ）。

下图描绘了信息安全管理体系的PDCA 模型其中，建立ISMS 中，组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS 的范围和边界，包括对范围任何删减的详细说明和正当性理由。组织应根据业务、组织、位置、资产和技术等方面的特性，监视和评审ISMS（）。实施和运行ISMS 中，组织应为管理信息安全风险识别适当的（）、资源、职责和优选顺序，监视和评审ISMS 中，组织应执行监视与评审规程和其他（）。以迅速检测过程运行结果中的错误，迅速识别图的和得逞的安全违规和事件，使管理者能够确定分配给人员的安全

计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代，某公司为减少计算机系统漏洞，对公司计算机系统进行了如下措施，其中错误的是（）

某IT 公司针对信息安全事件已建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业CS 哦，请你指出存在在问题的是哪个总结？（）

安全审计师一种很常见的安全控制措施，它在信息全保障系统中，属于（）措施。

下列选项分别是四种常用的资产评估方法，哪个是目前采用最为广泛的资产评估方法（）。

访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制，它们具有不同的特点和应用场景。如果需要选择一个访问控制模型，要求能够支持最小特权原则和职责分离原则，而且在不同的系统配置下可以具有不同的安全控制，那么在（1）自主访问控制，（2）强制访问控制，（3）基于角色的访问控制（4）基于规则的访问控制中，能够满足以上要求的选项有（）

系统流程图是描绘系统物理模型的传统工具。（如下图）它的基本思想是用图形符号以黑盒子形式描绘系统里面的每个部件（程序、文件、数据库、表格、人工过程等）。表达信息在各个部件之间流动的情况，那么系统流程图用于可行性分析的（）的描述。

国家对信息安全建设非常重视，如国家信息化领导小组在（）中确定要求，“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。”国家发展改革委所下发的（）要求；电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。在我国2017 年正式发布的（）中规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”

在PDR 模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保护-检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策略实施的。如图所示。在PPDR 模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、（）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工

现如今的时代是信息的时代，每天都会有大量的信息流通或交互，但自从斯诺登曝光美国政府的“棱镜”计划之后，信息安全问题也成为了每个人乃至整个国家所不得不重视的问题，而网络信息对抗技术与电子信息对抗技术也成为了这个问题的核心。某公司为有效对抗信息收集和分析，让该公司一位网络工程师提出可行的参考建议，在改网络工程师的建议中错误的是（）

分析针对Web 的攻击前，先要明白http 协议本身是不存在安全性的问题的，就是说攻击者不会把它当作攻击的对象。而是应用了http 协议的服务器或则客户端、以及运行的服务器的wed 应用资源才是攻击的目标。针对Web 应用的攻击，我们归纳出了12 种，小陈列举了其中的4 种，在这四种当中错误的是（）

某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案，在向主管领导写报告时，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）

某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是（）

在新的信息系统或增强已有()业务要求陈述中，应规定对安全控制措施的要求。信息安全的系统要求与实施安全的过程宜在信息系统项目的早期阶段被集成，在早期如设计阶段引入控制措施的更高效和节省。如果购买产品，则宜遵循一个正式的（）过程。通过（）访问的应用易受到许多网络威胁，如欺诈活动、合同争端和信息的泄露或修改。因此要进行详细的风险评估并进行适当的控制，包括验证和保护数据传输的加密方法等，保护在公共网络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的（）。应保护涉及到应用服务交换的信息以防不完整的传输、路由错误、

某贸易公司的OA 系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统中的数据，由于系统备份是每周六进行一次，事件发生时间为周三，因此导致该公司三个工作日的数据丢失并使得OA 系统在随后两天内无法访问，影响到了与公司有业务往来部分公司业务。在事故处理报告中，根据GB/Z20968-2007《信息安全事件分级分类指南》，该事件的准确分类和定级应该是（）

SSAM 过程的主要工作产品是（）和（）。（）包括（）和（）.（）表示组织的每个PA 的能力水平。（）考察了评估组织的优缺点。它通常是为被评估方开发的，但可以被评估方的要求提交给评估组织。评估报告仅供被评估方使用，并包括每个调查结果及其对被评估方需求影响的详细信息。

2016 年12 月27 日，经中央网路安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》（以下简称：“战略”）。全文共计（）部分，6000 余字。其中主要对我国当前面临的网络空间安全7 大机遇思想，阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务，切实维护国家在网络空间的主权、安全、发展利益，是指导国家网络安全工作的纲领性文件。《战略》指出，网络空间机遇和挑战并存，机遇大于挑战。必须坚持积极利用、科学发展、依法管理、确保安全，坚决维护网络安全，最大限度利

哪种攻击是攻击者通过各种手段来小号网络宽带或者服务器系统资源，最终导致被攻击服务器资源耗尽或者系统崩溃而无法提供正常的网络服务（）

以下关于VPN 说法正确的是

美国系统工程专家霍尔（A.D.Hall）在1969 年利用机构分析法提出著名的霍尔三维结构，使系统工程的工作阶段和步骤更为清晰明了，如图所示，霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的（）阶段和（）步骤，同时还考虑了为完全这些阶段和步骤所需要的各种（）。这样，就形成了由（）、（）、和知识维所组成的三维空间结构。

社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工程学利用的是人性的“弱点”，而人性是（）,这使得它几乎是永远有效的（）。

系统安全工程能力成熟度模型评估方法（SSAM, SSE-CMM Appraisal Method）是专门基于SSE-CMM 的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的（）流程能力和成熟度进行评估所需的（）。SSAM 评估过程分为四个阶段，（）、（）、（）、（）。

当使用移动设备时，应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露，如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的（）。携带重要、敏感和或关键业务信息

在规定的时间间隔或重大变化发生时，组织的额（）和实施方法（如信息安全的控制目标、控制措施、方针、过程和规程）应（）。独立评审宜由管理者启动，由独立被评审范围的人员执行，例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的（）。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行（）。为了日常功评审的效率，可以考虑使用自动测量和（）。评审结果和管理人员采取的纠正措施宜被记录，且这些记录宜予以维护。

选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置，信息资产的保护很大程度上取决与场地的安全性，一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的。为了保护环境安全，在下列选项中，公司在选址时最不应该选址的场地是().

1998 年英国公布标准的第二部分《信安全管理体系规范》，规定（）管理体系要求与（）要求，它是一个组织的全面或部分信息安全管理体系评估的（），它可以作为一个正式认证方案的（）。BS 7799-1 与BS7799-2 经过修订于1999 年重新予以发布，1999 版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及（）的责任。

某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为200 万元；如果发生火灾，资产总值将损失至资产值的25%；这种火灾发生的可能性为25 年发生一次。则这种威胁的年度损失预期值为().

在软件开发过程中，常用图作为描述攻击，如DFD 就是面向（）分析方法的描述工具，在一套分层DFD 中，如果某一张图中有N 个加工（Process）则这张图允许有（）张子图，在一张DFD 中任意两个加工之间（）。在画分层DFD 时，应注意保持（）之间的平衡。DFD 中从系统的输入流到系统的输出流的一连串交换形式一种信息流，这种信息流可分为交换流和事物流两类。

社会工程学本质上是一种（），（）通过种种方式来引导受攻击者的（）向攻击者期望的方向发展。罗伯特·B·西奥迪尼（Robert B Cialdini）在科学美国人（2001 年2 月）杂志中总结对（）的研究，介绍了6 种“人类天性基本倾向”，这些基本倾向都是（）工程师在攻击中所依赖的（有意思或者无意识的）。

风险评估的工具中，（）是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性，这类工具通常包括黑客工具、脚本文件。

ITIL 最新版本是V3.0，它包含5 个生命周期，分别是（）、（）、（）、（）、（）.

COBIT（信息和相关技术的控制目标）是国际专业协会ISACA 为信息技术（IT）管理和IT 治理创建的良好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕IT 相关流程和推动因素的逻辑框架进行组织。COBIT 模型如图所示，按照流程，请问，COBIT 组件包括（）、()、（）、（）、（）、等部分。

关于软件安全问题，下面描述错误的是（）

以下哪项是《国家信息化领导小组关于加强信息安全保障工作的意见》的总体方针和要求？

随着计算机和网络技术的迅速发展，人们对网络的依赖性达到了前所未有的程度，网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要，而网络安全评估是保证网络安全的重要环节。以下不属于网络安全评估内容的是（）

2006 年5 月8 日电，中共中央办公厅、国务院办公厅印发了《2006-2020 年国家信息化发展战略》。全文分（）部分共计约15000 余字。对国内外的信息化发展做了宏观分析，对我国信息化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制定并实施了（）,初步建立了信息安全管理体制和（）。基础信息网络和重要信息系统的安全防护水平明显提高，互联网信息安全管理进一步加强。

ISO2007：2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实施、保持和不断改进（）制定了要求。ISO27001 标准的前身为（）的BS7799 标准，该标准于1993 年由（）立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的（），其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一（），并且适用大、中、小组织。

终端访问控制器访问控制系统（Terminal Access Controller Access-Control System,TACACS）由RFC1492定义，标准的TACACS 协议只认证用户是否可以登录系统，目前已经很少使用，TACACS+协议由Cisco 公司提出，主要应用于Ciso 公司的产品中，运行与TCP 协议之上。TACACS+协议分为（）两个不同的过程

网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上，针对可能发生的重大网络与信息系统突发事件，预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合与协调，下面应急响应工作流程图中，空白方框中从右到左依次填入的是（）。

随着计算机在商业和民用领域的应用，安全需求变得越来越多样化，自主访问控制和强制访问控制难以适应需求，基于角色的访问控制（RBAC）逐渐成为安全领域的一个研究热点。RBAC 模型可以分为RBAC0、RBAC1、RBAC2 和RBAC3 四种类型，它们之间存在相互包含关系。下列选项中，对它们之间的关系描述错误的是（）。

安全漏洞扫描技术是一类重要的网络安全技术。当前，网络安全漏洞扫描技术的两大核心技术是（）。

下列选项中对信息系统审计概念的描述中不正确的是（）

甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况，甲公司将这个任务委托了乙公司，那么乙公司的设计员应该了解OSI 参考模型中的哪一层（）

下面哪一项情景属于身份鉴别（Authentication）过程？（）

终端访问控制器访问控制系统（TERMINAL Access Controller Access-Control System,TACACS）,在认证过程中，客户机发送一个START 包给服务器，包的内容包括执行的认证类型、用户名等信息。START 包只在一个认证会话开始时使用一个，序列号永远为（）.服务器收到START 包以后，回送一个REPLY 包，表示认证继续还是结束。

为了开发高质量的软件，软件效率成为最受关注的话题。那么开发效率主要取决于以下两点：开发新功能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率，应（）。

以下哪个组织所属的行业的信息系统不属于关键信息基础设施？

信息安全管理体系ISMS 是建立和维持信息安全管理体系的（），标准要求组织通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要

目前应用面临的威胁越来越多，越来越难发现。对应用系统潜在的威胁目前还没有统一的分类，但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对，请问是下面哪一项（）

与PDR 模型相比，P2DR 模型则更强调（）,即强调系统安全的（），并且以安全检测、（）和自适应填充“安全间隙“为循环来提高（）。

某单位在进行内部安全评估时，安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞，然而此报告在内部审计时被质疑，原因在于小张使用的漏洞扫描软件采购于三年前，服务已经过期，漏洞库是半年前最后一次更新的。关于内部审计人员对这份报告的说法正确的是（）

信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的（），向信息系统的所有相关方提供信息系统的（）能够实现其安全保障策略，能够将将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是（）, 信息系统安全保障是一个动态持续的过程，涉及信息系统整个（），因此信息系统安全保障的评估也应该提供一种（）的信心。

为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（·-）完整性原则？（）

组织应定期监控、审查、审计（）服务，确保协议中的信息安全条款和条件被遵守，信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或（）团队。另外，组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是（）要求的实现。当发现服务交付的不足时，宜采取（）.当供应商提供的服务，包括对（）方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。

下列关于面向对象测试问题的说法中，不正确的是（）

火灾是机房日常运营中面临最多的安全威胁之一，火灾防护的工作是通过构建火灾预防、检测和响应系统，保护信息化相关人员和信息系统，将火灾导致的影响降低到可接受的程度。下列选项中，对火灾的预防、检测和抑制的措施描述错误的选项是（）。

信息安全管理体系也采用了（）模型，该模型可应用于所有的（）。ISMS 把相关方的信息安全要求和期望作为输入，并通过必要的()，产生满足这些要求和期望的（）。

你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）

在网络交易发达的今天，贸易双方可以通过签署电子合同来保障自己的合法权益。某中心推出电子签名服务，按照如图方式提供电子签名，不属于电子签名的基本特性的是（）。

风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，其中，明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是（）

等级保护实施根据GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》分为五大阶段；（）、总体规划、设计实施、（）和系统终止。但由于在开展等级保护试点工作时，大量信息系统已经建设完成，因此根据实际情况逐步形成了（）、备案、差距分析（也叫差距测评）、建设整改、验收测评、定期复查为流程的（）工作流程。和《等级保护实施指南》中规定的针对（）的五大阶段略有差异。

保护-检测-响应（Protection-Detection-Response,PDR）模型是（）工作中常用的模型，七思想是承认（）中漏洞的存在，正视系统面临的（），通过采取适度防护、加强（）、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

信息安全方面的业务连续性管理包含2 个（）和4 个控制措施。组织应确定在业务连续性管理过程或灾难恢复管理过程中是否包含了（）。应在计划业务连续性和灾难恢复时确定（）。组织应建立、记录、实施并维持过程、规程和控制措施以确保在不利情况下信息安全连续性处于要求级别。在业务连续性或灾难恢复内容中，可能已定义特定的（）。应保护在这些过程和规程或支持它们的特性信息系统中处理的额信息。在不利情况下，已实施的信息安全控制措施应继续实行。若安全控制措施不能保持信息安全，应建立、实施和维持其他控制措施以保持信息安全在（）。

在极限测试过程中，贯穿始终的是()