【计算机类职业资格】软件水平考试（中级）系统集成项目管理工程师上午基础知识（信息安全）-试卷1及答案解析.doc

1、软件水平考试（中级）系统集成项目管理工程师上午基础知识（信息安全）-试卷 1 及答案解析(总分：62.00，做题时间：90 分钟)一、选择题(总题数：31，分数：62.00)1.选择题下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。（分数：2.00）_2.以下属于被动式攻击策略的是( )。（分数：2.00）A.窃听B.篡改C.中断D.欺骗3.下列关于数据的完整性描述正确的是( )。（分数：2.00）A.保证发送方不能抵赖曾经发送过某数据信息B.保证传送的数据信息不被第三方监视和窃取C.保证电子商务交易各方身份的真实性D.保证数据信

2、息在传输过程中不被篡改4.下列( )不是信息的安全属性。（分数：2.00）A.保密性B.完整性C.使用性D.可用性5.当登录操作系统后，发现无效登录 5 次之后，登录账户被锁定，说明此系统所采用技术可以防止( )。（分数：2.00）A.木马病毒B.IP 欺骗C.缓存溢出攻击D.暴力攻击6.系统运行安全和保护的层次按照粒度从细到粗排序为( )。（分数：2.00）A.系统级安全，资源访问安全，数据域安全，功能性安全B.功能性安全，数据域安全，系统级安全，资源访问安全C.数据域安全，功能性安全，资源访问安全，系统级安全D.资源访问安全，系统级安全，功能性安全，数据域安全7.完整性是信息未经授权不能进

3、行改变的特性，它要求保持信息的原样。下列方法中，不能用来保证应用系统完整性的措施是( )。（分数：2.00）A.信息加密B.纠错编码C.安全协议D.数字签名8.当以用户名和口令进行登录而实现入网访问的时候，依次需要经过( )三个步骤。（分数：2.00）A.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制B.用户名识别与验证、用户口令的识别与验证、用户账户的默认限制检查C.用户名识别与验证、用户口令的识别与验证、用户权限的识别与控制D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制9.某企业应用系统为保证运行安全，只允许某个 IP 地址段的客户机访问应用服务器进

4、行业务操作，这种安全策略属于( )层次（分数：2.00）A.系统级安全B.功能性安全C.资源访问安全D.数据域安全10.使用传统信用卡支付系统付款与使用网上银行卡支付系统付款，两者的付款授权方式是不同的，下列论述正确的是( )。（分数：2.00）A.两者都在购物现场使用手写签名的方式授权商家扣款B.两者都在使用数字签名进行远程授权C.前者使用数字签名进行远程授权，后者在购物现场使用手写签名的方式授权商家扣款D.前者在购物现场使用手写签名的方式授权商家扣款，后者使用数字签名进行远程授权11.根据原始数据的来源，入侵检测系统可分为基于( )的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测

5、系统。（分数：2.00）A.客户机B.主机C.服务器D.路由器12.在组织机构中应建立安全管理机构，( )不是信息系统安全组织机构管理体系的措施。（分数：2.00）A.配备安全管理人员B.成立安全领导小组C.进行安全教育和安全培训D.主要负责人出任领导13.下列( )不属于计算机机房的安全保护内容。（分数：2.00）A.机房场地选择B.机房照明C.机房防静电D.机房防水与防潮14.依据电子信息系统机房设计规范)(GB 50174 一 2008)，对于涉及国家秘密或企业对商业信息有保密要求的电子信息系统机房，应设置电磁屏蔽室。以下描述中，不符合该规范要求的是( )。（分数：2.00）A.进出电磁

6、屏蔽室的网络线宜采用光缆或屏蔽线缆线，光缆应带有金属加强芯B.截止波导通风窗内的波导管宜采用等边六角形，通风窗的截面积应根据室内换气次数进行计算C.非金属材料穿过屏蔽层时应采用波导管，波导管的截面尺寸和长度应满足电磁屏蔽的性能要求D.所有进入电磁屏蔽室的电源线缆应通过电源滤波器进行15.机房室外安装的安全防范监控系统设备应采取防雷电保护措施，电源线、信号线应采用屏蔽电缆，避雷装置和电缆屏蔽层应接地，且接地电阻不应大于( )欧姆。（分数：2.00）A.2B.30C.4D.1016.物理安全是整个信息系统安全的前提。以下安全防护措施中不属于物理安全范畴的是( )。（分数：2.00）A.安装烟感、温

7、感报警系统，禁止工作人员在主机房内吸烟或者使用火源B.要求工作人员在主机房内工作时必须穿着防静电工装和防静电鞋，并定期喷涂防静电剂C.为工作人员建立生物特征信息库，并在主机房入口安装指纹识别系统，禁止未经授权人员进入主机房D.对因被解雇、退休、辞职或其他原因离开信息系统岗位的人员，收回所有相关证件、徽章、密钥和访问控制标记等17.根据电子计算机机房设计规范(GB 501741993)，计算机网络机房应选择采用四种接地方式。( )接地系统是所有计算机网络设备的机箱、机柜、机壳、面板等都需接地。要求该接地的地线与大地直接相通，其接地电阻要求小于 1。（分数：2.00）A.交流工作B.安全工作C.直

8、流工作D.防雷18.下列有关信息安全的级别划分，描述正确的是( )。（分数：2.00）A.机房分为 4 个级别：A 级、B 级、C 级、D 级B.根据系统处理数据的重要性，系统可靠性分 A 级和 B 级C.系统运行安全和保密有 4 个层次，包括设备级安全、系统级安全、资源访问安全和功能性安全D.根据系统处理数据划分系统保密等级为绝密、机密和秘密19.关于信息系统岗位人员的管理，说法正确的是( )。（分数：2.00）A.允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任B.权限分散、可以交叉覆盖C.信息系统关键岗位人员进行分散管理D.业务开发人员和系统维护人员可以兼任或担负安全管理员20

9、.关于信息系统离岗人员的管理，说法错误的是( )。（分数：2.00）A.立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限B.收回所有相关证件、徽章、密钥和访问控制标记等C.管理层和信息系统关键岗位的人员调离单位，经过离岗安全审查后，在任何时候都可调离D.关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理21.在某次针对数据库的信息安全风险评估中，发现其中对财务核心数据的逻辑访问密码长期不变。基于以上现象，下列说法正确的是( )。（分数：2.00）A.密码和授权长期不变是安全漏洞，属于该数据的脆弱性B.风险评估针对设施和软件，不针对数据C.密码和授权长期不变是安全漏

10、洞，属于对该数据的威胁D.该数据不会对计算机构成威胁，因此没有脆弱性22.以下关于计算机机房设备防盗防毁的要求，( )是不正确的。（分数：2.00）A.计算机系统的设备和部件应有明显的标记，并应便于去除或重新标记B.计算中心应安装防盗报警装置，防止从门窗进入的盗窃行为C.利用闭路电视系统对计算中心的各重要部位进行监视，并安排专人值守D.机房外部的设备，应采取加固防护等措施，必要时安排专人看管23.电子商务安全要求的四个方面是( )。（分数：2.00）A.存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证B.传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性C.传输的高效

11、性、数据的完整性、交易各方的身份认证和交易的不可抵赖性D.存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性24.根据我国计算机信息系统安全包含等级划分准则 GB 178591999)的要求，属于结构化保护级别的是( )。（分数：2.00）A.广播电视部门B.金融机构C.地方各级国家机关D.国防关键部门25.下列不属于对称加密算法的是( )。（分数：2.00）A.DESB.3DESC.1ISAD.IDEA26.下列( )不包含在 X509 数字证书中。（分数：2.00）A.序列号B.私钥C.有效期D.证书颁发机构(CA)的信息27.以下关于防火墙优点的叙述，不恰当的是( )。（分数：2

12、.00）A.防火墙能限制暴露用户点B.防火墙能强化安全策略C.防火墙能防止从 LAN 内部攻击D.防火墙能有效记录 Internet 上的活动28.根据防火墙的部署拓扑结构，防火墙可把网络划分为几个不同的区域，一般把对外提供网络服务的设备(如 WWW 服务器、FTP 服务器)放置于( )区域。（分数：2.00）A.DMZ(非军事化区)B.信任网络C.半信任网络D.非信任网络29.下列安全策略中，( )属于功能性安全。（分数：2.00）A.登录时间段的限制B.连接数的限制C.在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮D.用户在操作业务记录时，是否需要审核，上

13、传附件不能超过指定大小等30.系统运行的安全检查是安全管理的常用工作方法，也是预防事故、发现隐患、指导整改的必要工作手段。下列( )是应用系统可用性检查内容。（分数：2.00）A.系统中断时间B.用户权限的分配是否遵循“最小特权”原则C.用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用D.系统资源消耗情况31.下列机房的防水措施，错误的是( )。（分数：2.00）A.主机房内如设有地漏，地漏下应加设水封装置，并有防止水封破坏的措施B.与主机房无关的给排水管道可以穿过主机房C.机房内的设备需要用水时，其给排水干管应暗敷，引入支管宜暗装D.机房不宜设置在用水设备的下层软件水平考试

14、（中级）系统集成项目管理工程师上午基础知识（信息安全）-试卷 1 答案解析(总分：62.00，做题时间：90 分钟)一、选择题(总题数：31，分数：62.00)1.选择题下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。（分数：2.00）_解析：2.以下属于被动式攻击策略的是( )。（分数：2.00）A.窃听 B.篡改C.中断D.欺骗解析：解析：在最高层次，攻击分为主动式攻击和被动式攻击两类。主动式攻击：包含攻击者访问他所需信息的故意行为。包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 被动式攻击：主要是收集信息而不是进行访

15、问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集、窃听等攻击方法。3.下列关于数据的完整性描述正确的是( )。（分数：2.00）A.保证发送方不能抵赖曾经发送过某数据信息B.保证传送的数据信息不被第三方监视和窃取C.保证电子商务交易各方身份的真实性D.保证数据信息在传输过程中不被篡改 解析：解析：完整性是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据。4.下列( )不是信息的安全属性。（分数：2.00）A.保密性B.完整性C.使用性 D.可用性解析：解析：信息的安全属性主要有保密性、完整性、可用性、不可抵赖性。 保密性。保密性是指“信息不

16、被泄漏给未授权的个人、实体和过程或不被其使用的特性。”简单地说，就是确保所传输的数据只被其预定的接收者读取。 完整性。完整性是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据。 可用性。可用性是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。 不可抵赖性。不可抵赖性也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。5.当登录操作系统后，发现无效登录 5 次之后，

17、登录账户被锁定，说明此系统所采用技术可以防止( )。（分数：2.00）A.木马病毒B.IP 欺骗C.缓存溢出攻击D.暴力攻击 解析：解析：暴力攻击法即穷举法，或称为暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算、逐个尝试登录，直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有 10000 种组合，因此最多尝试 10000 次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码，问题只在于如何缩短破译时间。而把系统设置为在若干次无效登录后锁定账号，就让暴力攻击者无法在较短时间内把所有可能的密码全部尝试一遍。6.系统运行安全和保护的层次按照粒度从细到

18、粗排序为( )。（分数：2.00）A.系统级安全，资源访问安全，数据域安全，功能性安全B.功能性安全，数据域安全，系统级安全，资源访问安全C.数据域安全，功能性安全，资源访问安全，系统级安全 D.资源访问安全，系统级安全，功能性安全，数据域安全解析：解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。这 4 个层次的安全，按粒度从细到粗的排序是：数据域安全、功能性安全、资源访问安全、系统级安全。7.完整性是信息未经授权不能进行改变的特性，它要求保持信息的原样。下列方法中，不能用来保证应用系统完整性的措施是( )。（分数：2.00）A.信息加密 B.纠错

19、编码C.安全协议D.数字签名解析：解析：完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成及正确存储和传输。 保障应用系统完整性的主要方法如下。 协议：通过各种安全协议可以有效地检测出被复制的信息被删除的字段、失效的字段和被修改的字段。 纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。 密码校验和方法：它是抗篡改和传输失败的重要手段。 数字签名：保障信息的真实性。 认证：请求系统管理或中介机构证明信息

20、的真实性。 而“信息加密”是为了防止信息在传递的过程中，不被泄露给未授权的用户、实体或过程，它是实现信息系统安全属性中保密性的属性，不是用来保证应用系统的完整性。8.当以用户名和口令进行登录而实现入网访问的时候，依次需要经过( )三个步骤。（分数：2.00）A.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制B.用户名识别与验证、用户口令的识别与验证、用户账户的默认限制检查 C.用户名识别与验证、用户口令的识别与验证、用户权限的识别与控制D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制解析：解析：入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制

21、可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。如果用户名验证合法，才继续验证用户输入的口令。用户口令应是用户访问网络所必须提交的“证件”。 用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法

22、用户的入侵，应给出报警信息。9.某企业应用系统为保证运行安全，只允许某个 IP 地址段的客户机访问应用服务器进行业务操作，这种安全策略属于( )层次（分数：2.00）A.系统级安全 B.功能性安全C.资源访问安全D.数据域安全解析：解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。 系统级安全。企业应用系统越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问题的基础。应通过对现行系统安全技术的分析，制定系统级安全策略，策略包括敏感系统的隔离、访问IP 地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制和远程

23、访问控制等，系统级安全是应用系统第一道防护大门。 资源访问安全。对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮；在服务端则对 URL 程序资源和业务服务类方法的调用进行访问控制。 功能性安全。功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在一定程度上影响程序流程的运行。 数据域安全。数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户可以访

24、问业务记录的哪些字段。10.使用传统信用卡支付系统付款与使用网上银行卡支付系统付款，两者的付款授权方式是不同的，下列论述正确的是( )。（分数：2.00）A.两者都在购物现场使用手写签名的方式授权商家扣款B.两者都在使用数字签名进行远程授权C.前者使用数字签名进行远程授权，后者在购物现场使用手写签名的方式授权商家扣款D.前者在购物现场使用手写签名的方式授权商家扣款，后者使用数字签名进行远程授权 解析：解析：网上银行卡支付系统与传统信用卡支付系统的差别主要在于： 使用的信息传递通道不同。网上银行卡使用专用网，因此较安全。 付款地点不同。传统信用卡必须在商场使用商场的 POS 机进行付款，网上银行

25、卡可以在家庭或办公室使用自己的个人计算机进行购物和付款。 身份认证方式不同。传统信用卡在购物现场使用身份证或其他身份证明验证持卡人的身份，网上银行卡在计算机网络上使用CA 中心提供的数字证书验证持卡人身份、商家、支付网关以及银行的身份。 付款授权方式不同。传统信用卡在购物现场用手写签名的方式授权商家扣款，网上银行卡使用数字签名进行远程授权。 商品和支付信息采集方式不同。传统信用卡使用商场的 POS 机、条形码扫描仪和读卡设备采集商品和信用卡信息；网上银行卡直接使用自己的计算机，通过鼠标和键盘输入商品和信用卡信息。 由上述的比较可知，使用网上银行卡支付系统付款使用数字签名进行远程授权，而使用传统

26、信用卡支付系统付款则在购物现场使用手写签名的方式授权商家扣款。11.根据原始数据的来源，入侵检测系统可分为基于( )的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。（分数：2.00）A.客户机B.主机 C.服务器D.路由器解析：解析：入侵检测系统入侵检测系统按照其数据来源来看，主要分为两类： 基于主机的入侵检测系统。基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志作为输入，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。 基于网络的入侵检测系统。基于网络的入侵检测系统在通过在计

27、算机网络中的某些点被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中获取有用的信息，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。 当然，现在很多入侵检测系统软件同时采用上述两种数据来源。这种入侵检测系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统。12.在组织机构中应建立安全管理机构，( )不是信息系统安全组织机构管理体系的措施。（分数：2.00）A.配备安全管理人员B.成立安全领导小组C.进行安全教育和安全培训 D.主要负责人出任领导解析：解析：在组织机构中应建立安全管理机构，不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机

28、构管理体系。 (1)配备安全管理人员； (2)建立安全职能部门； (3)成立安全领导小组； (4)主要负责人出任领导； (5)建立信息安全保密管理部门。13.下列( )不属于计算机机房的安全保护内容。（分数：2.00）A.机房场地选择B.机房照明 C.机房防静电D.机房防水与防潮解析：解析：对计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护等14.依据电子信息系统机房设计规范)(GB 50174 一 2008)，对于涉及国家秘密或企业对商业信息有保密要求的电子信息系统机房，应设置电磁屏蔽室。以下描述中，不符合该规范要求的

29、是( )。（分数：2.00）A.进出电磁屏蔽室的网络线宜采用光缆或屏蔽线缆线，光缆应带有金属加强芯 B.截止波导通风窗内的波导管宜采用等边六角形，通风窗的截面积应根据室内换气次数进行计算C.非金属材料穿过屏蔽层时应采用波导管，波导管的截面尺寸和长度应满足电磁屏蔽的性能要求D.所有进入电磁屏蔽室的电源线缆应通过电源滤波器进行解析：解析：电子信息系统机房设计规范规定“进出电磁屏蔽室的网络线宜采用光缆或屏蔽缆线，光缆不应带有金属加强芯”。15.机房室外安装的安全防范监控系统设备应采取防雷电保护措施，电源线、信号线应采用屏蔽电缆，避雷装置和电缆屏蔽层应接地，且接地电阻不应大于( )欧姆。（分数：2.0

30、0）A.2B.30C.4D.10 解析：解析：根据建筑物防雷设计规范GB 50057 和建筑物电子信息系统防雷技术规范GB 50343的有关规定，计算机机房应采用如下四种接地方式：交流工作接地时电阻不应大于 4，安全工作接地时电阻不应大于 4，直流工作接地时电阻不应大于 1，防雷接地时电阻不应大于 10。16.物理安全是整个信息系统安全的前提。以下安全防护措施中不属于物理安全范畴的是( )。（分数：2.00）A.安装烟感、温感报警系统，禁止工作人员在主机房内吸烟或者使用火源B.要求工作人员在主机房内工作时必须穿着防静电工装和防静电鞋，并定期喷涂防静电剂C.为工作人员建立生物特征信息库，并在主机

31、房入口安装指纹识别系统，禁止未经授权人员进入主机房D.对因被解雇、退休、辞职或其他原因离开信息系统岗位的人员，收回所有相关证件、徽章、密钥和访问控制标记等 解析：解析：选项 A、B 选项与 C 选项属于物理安全管理的“机房防水与防潮”部分内容，D 选项属于人员安全管理的“离岗人员安全管理”的内容。17.根据电子计算机机房设计规范(GB 501741993)，计算机网络机房应选择采用四种接地方式。( )接地系统是所有计算机网络设备的机箱、机柜、机壳、面板等都需接地。要求该接地的地线与大地直接相通，其接地电阻要求小于 1。（分数：2.00）A.交流工作B.安全工作 C.直流工作D.防雷解析：解析：

32、根据电子计算机机房设计规范(GB 501741993)，机房主要采用下列 4 种接地方式。 交流工作接地：该接地系统把交流电源的地线与电动机、发电机等交流电动设备的接地点连接在一起，然后再将它们与大地相连接。交流电接地电阻要求小于 4。 安全工作接地：为了屏蔽外界的干扰、漏电以及电火花等，所有计算机网络设备的机箱、机柜、机壳、面板等都需接地，该接地系统称为安全地。安全地接地电阻要求小于 4。 直流工作接地：这种接地系统是将电源的输出零电位端与地网连接在一起，使其成为稳定的零电位。要求地线与大地直接相通，并具有很小的接地电阻。直流电接地电阻要求小于 1。 上述三种接地都必须单独与大地连接，互相的

33、间距不能小于 15m。地线也不要与其他电力系统的传输线绕在一起并行走线，以防电力线上的电磁信号干扰地线。 防雷接地：执行国家标准建筑防雷设计规范。18.下列有关信息安全的级别划分，描述正确的是( )。（分数：2.00）A.机房分为 4 个级别：A 级、B 级、C 级、D 级B.根据系统处理数据的重要性，系统可靠性分 A 级和 B 级C.系统运行安全和保密有 4 个层次，包括设备级安全、系统级安全、资源访问安全和功能性安全D.根据系统处理数据划分系统保密等级为绝密、机密和秘密 解析：解析：系统运行安全和保密有 4 个层次：系统级安全、程序资源访问控制安全、功能性安全、数据域安全。 根据电子计算机

34、机房设计规范(GB 501741993)，机房分为 3 个级别：A 级、B 级、C 级。 安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分为三级，对可靠性要求最高的为 A 级，系统运行所要求的最低限度可靠性为 C 级，介于中间的为 B 级。19.关于信息系统岗位人员的管理，说法正确的是( )。（分数：2.00）A.允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任 B.权限分散、可以交叉覆盖C.信息系统关键岗位人员进行分散管理D.业务开发人员和系统维护人员可以兼任或担负安全管理员解析：解析：对信息系统岗

35、位人员的管理，应根据其关键程度建立相应的管理要求。 对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识。 兼职和轮岗要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作：必要时关键岗位人员应采取定期轮岗制度。 权限分散要求：在上述基础上，应坚持关键岗位“权限分散、不得交叉覆盖”的原则，系统管理员、数据库管理员、网络

36、管理员不能相互兼任岗位或工作。 多人共管要求：在上述基础上，关键岗位人员处理重要事务或操作时，应保持二人同时在场，关键事务应多人共管。 全面控制要求：在上述基础上，应采取对内部人员全面控制的安全保证措施，对所有岗位工作人员实施全面安全管理。20.关于信息系统离岗人员的管理，说法错误的是( )。（分数：2.00）A.立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限B.收回所有相关证件、徽章、密钥和访问控制标记等C.管理层和信息系统关键岗位的人员调离单位，经过离岗安全审查后，在任何时候都可调离 D.关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理解析：解析：对人员离

37、岗的管理，可以根据离岗人员的关键程度，采取下列控制措施。 基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；收回所有相关证件、徽章、密钥和访问控制标记等；收回机构提供的设备等。 调离后的保密要求：在上述基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺其调离后的保密要求。 离岗的审计要求：在上述基础上，设计组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离。 关键部位人员的离岗要求：在上述基础上，关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理。21.在某次针对数据库的

38、信息安全风险评估中，发现其中对财务核心数据的逻辑访问密码长期不变。基于以上现象，下列说法正确的是( )。（分数：2.00）A.密码和授权长期不变是安全漏洞，属于该数据的脆弱性 B.风险评估针对设施和软件，不针对数据C.密码和授权长期不变是安全漏洞，属于对该数据的威胁D.该数据不会对计算机构成威胁，因此没有脆弱性解析：解析：脆弱性、威胁、风险之间存在着一定的对应关系，威胁可看成从系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。实际上，系统的风险可以看作是威胁利用了脆弱性

39、而引起的。如果系统不存在脆弱性，那么威胁也不存在，风险也就没有了。 以本题的实际情况来看，“财务核心数据的逻辑访问密码长期不变”这属于系统内部的薄弱点，即脆弱性。如果不及时解决这个问题，有可能被黑客利用，产生威胁，从而使系统有安全风险。22.以下关于计算机机房设备防盗防毁的要求，( )是不正确的。（分数：2.00）A.计算机系统的设备和部件应有明显的标记，并应便于去除或重新标记 B.计算中心应安装防盗报警装置，防止从门窗进入的盗窃行为C.利用闭路电视系统对计算中心的各重要部位进行监视，并安排专人值守D.机房外部的设备，应采取加固防护等措施，必要时安排专人看管解析：解析：根据对设备安全的不同要求

40、，设备的防盗和防毁分为如下几种。 设备标记要求：计算机系统的设备和部件应有明显的无法去除的标记，以防更换和方便查找赃物。 计算中心防盗。 计算中心应安装防盗报警装置，防止从门窗进入的盗窃行为。 计算中心应利用光、电、无源红外等技术设置机房报警系统，并由专人值守，防止从门窗进入的盗窃行为。 利用闭路电视系统对计算中心的各重要部位进行监视，并有专人值守，防止从门窗进入的盗窃行为。 机房外部设备防盗；机房外部的设备，应采取加固防护等措施，必要时安排专人看管，以防止盗窃和破坏。23.电子商务安全要求的四个方面是( )。（分数：2.00）A.存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证B

41、.传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性 C.传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性D.存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性解析：解析：现代电子商务是指使用基于因特网的现代信息技术工具和在线支付方式进行商务活动。电子商务安全要求包括 4 个方面： 数据传输的安全性。对数据传输的安全性要求在网络传送的数据不被第三方窃取。 数据的完整性。对数据的完整性要求是指数据在传输过程中不被篡改。 身份验证。确认双方的账户信息是否真实有效。 交易的不可抵赖性。保证交易发生纠纷时有所对证。24.根据我国计算机信息系统安全包含等级划分准则

42、GB 178591999)的要求，属于结构化保护级别的是( )。（分数：2.00）A.广播电视部门 B.金融机构C.地方各级国家机关D.国防关键部门解析：解析：根据计算机信息系统安全保护等级划分准则(GB 178591999)安全保护等级划分如下： 用户自主保护级：适用于普通内联网用户。 系统审计保护级：适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。 安全标记保护级：适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。 结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企

43、业集团、国家重点科研机构和国防建设等部门。 访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。25.下列不属于对称加密算法的是( )。（分数：2.00）A.DESB.3DESC.1ISA D.IDEA解析：解析：加密算法有对称加密算法和非对称加密算法。 对称加密算法：是指加密密钥和解密密钥相同，或者虽然不同，但从其中的任意一个很容易地推导出另一个。对称加密算法有两种基本类型，分别是分组密码和序列密码。分组密码是在明文分组和密文分组上进行运算，序列密码是对明文和密文数据流按位或字节进行运算。对称加密算法有 DES、IDEA、3DES、RC-5。 非对称加密算法：是指

44、加密密钥和解密密钥完全不同，其中一个为公钥、另一个为私钥，并且不可能从任何一个推导出另一个。非对称加密算法有 RSA。26.下列( )不包含在 X509 数字证书中。（分数：2.00）A.序列号B.私钥 C.有效期D.证书颁发机构(CA)的信息解析：解析：X509 标准规定了证书可以包含什么信息，并说明了记录信息的方法(数据格式)。除了签名外，所有 X509 证书还包含以下数据：版本、序列号、签名算法标识符、签发人信息(CA)、有效期、主体信息、主体公钥信息。27.以下关于防火墙优点的叙述，不恰当的是( )。（分数：2.00）A.防火墙能限制暴露用户点B.防火墙能强化安全策略C.防火墙能防止从

45、 LAN 内部攻击 D.防火墙能有效记录 Internet 上的活动解析：解析：防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障和协助确保信息安全的设备。它会依照特定的规则，允许或是限制传输的数据通过。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。 防火墙最基本的功能就是在计算机网络中控制不同信任程度区域间传送的数据流。例如与互联网是不可信任的区域，而内部网络是高度信任的区域。典型的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是根据最少特权原则，通过安全政策的运行和连通性

46、模型，提供受控连通性给不同水平的信任区域。 防火墙的优点主要有： 防火墙能强化安全策略。 防火墙能有效地记录 Intemet上的活动。 防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。28.根据防火墙的部署拓扑结构，防火墙可把网络划分为几个不同的区域，一般把对外提供网络服务的设备(如 WWW 服务器、FTP 服务器)放置于( )区域。（分数：2.00）A.DMZ(非军事化区) B.信任网络C.半信任网络D.

47、非信任网络解析：解析：防火墙的部署最常见的有三种拓扑结构： 实现内外网物理隔离的边缘防火墙。防火墙把网络划分为内部网络(可信网络)和外部网络(非可信网络)，防火墙部署在二者之间。 三宿主 DMZ 区。在这种应用环境中，防火墙有三个网络接口，把网络划分为三个不同级别的安全区域： 内部网络。这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。 外部网络。这是防火墙要防护的对象，包括外部因特网主机和设备。这个区域为防火墙的非可信网络区域(同样也是由传统边界防火墙的设计理念决定的)。 DMZ(非军事区)。它是从企业内部网络中

48、划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如 Web服务器、邮件服务器、FTP 服务器和外部 DNS 服务器等，它们都是为因特网提供某种信息服务。 在以上三个区域中，用户需要对不同的安全区域采取不同的安全策略。对于要保护的内部网络，一般情况下禁止所有来自因特网用户的访问；而对于 DMZ 区，因需为因特网应用提供相关的服务，因此允许任何人对诸如Web 服务器进行正常的访问。 背靠背 DMZ 区。在这种应用环境中，由两台防火墙把网络划分成三个不同级别的安全区域。每个防火墙两个网络接口，一个防火墙的一个网络接口连接的是内部网络，另一个防火墙的一个网络接口连接的是外部网络，位于两台防火墙之间的是 DMZ 区。同样，在这三个区域中，用户需要对不同的安全区域采取不同的安全策略。对于要保护的内部网络，一般情况下禁止所有来自因特网用户的访问；而对于 DMZ 区，因需为因特网应用提供相关的服务，因此允许任何人对诸如 Web 服务器进行正常的访问。29.下列安全策略中，( )属于功能性安全。（分数：2.00）A.登录时间段的限制B.连接数的限制C.在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮D.用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等 解析：解析：详细试题分析请见试题 8。30.系统运行的安全检查是安全管理的常用