2022年CISP复习题（2）100道题题.docxVIP

信息安全专业人员知识测试试题（二） 我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是： 2001 国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动 2003 年 7 月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》（中办发 27 号文），明确了“积极防御、综合防范“的国家信息安全保障方针 2003 年中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段 D .在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展。 解释：2006 年进入到深化落实阶段。 金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的习惯： A 使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件，应用软件进行升级B 为计算机安装具有良好声誉的安全防护软件，包括病毒查杀，安全检查和安全加固方面的软件C 在IE 的配置中，设置只能下载和安装经过签名的，安全的ActiveX 控件 D 在使用网络浏览器时，设置不在计算机中保留网络历史纪录和表单数据解释：A 为正确答案。 我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于安全保障建设主要工作内容说法不正确的是： 建全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 建设信息安全基础设施，提供国家信息安全保障能力支撑 建立信息安全技术体系，实现国家信息化发展的自主创新 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养解释：实现自主创新在过去的的保障中为自主可控。 某银行信息系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素 信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准 信息系统所承载该银行业务正常运行的安全需求 消除或降低该银行信息系统面临的所有安全风险 该银行整体安全策略 解释：无法消除或降低该银行信息系统面临的所有安全风险。 信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是： 信息产品安全评估是测评机构的产品的安全性做出的独立评价，增强用户对已评估产品安全的信任 目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型 信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。 信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，提出游针对性的安全防护策略和整改措施 解释：测评包括风险评估、保障测评和等级保护测评。 美国的关键信息基础设施（Critical Information Infrastructure,CII）包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括： 这些行业都关系到国计民生，对经济运行和国家安全影响深远 这些行业都是信息化应用广泛的领域 这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出 这些行业发生信息安全事件，会造成广泛而严重的损失。解释：从题目中不能反映 C 的结论。 在设计信息系统安全保障方案时，以下哪个做法是错误的： 要充分切合信息安全需求并且实际可行 要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本C.要充分采取新技术，使用过程中不断完善成熟，精益求精，实现技术投入保值要求D.要充分考虑用户管理和文化的可接受性，减少系统方案障碍 解释：设计信息系统安全保障方案应采用合适的技术。 分组密码算法是一类十分重要的密码算法，下面描述中，错误的是（） 分组密码算法要求输入明文按组分成固定长度的块B.分组密码的算法每次计算得到固定长度的密文输出块C.分组密码算法也称作序列密码算法 D.常见的 DES、IDEA 算法都属于分组密码算法 解释：分组密码算法和序列算法是两种算法。 密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是（） 在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住的执行步骤，有些复杂的步骤可以不明确处理方式。 密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行。 根据密码协议应用目的的不同，参与该协议