第一篇：成都市CISP補(bǔ)貼細(xì)則

《成都市CISP補(bǔ)貼細(xì)則》

信息安全專業(yè)技術(shù)人員認(rèn)證補(bǔ)助。1．申報(bào)條件。

（1）專業(yè)技術(shù)人員。新取得國(guó)際注冊(cè)信息系統(tǒng)安全專家（CISSP）和國(guó)家注冊(cè)信息安全專家（CISP）等信息安全類高級(jí)認(rèn)證且在本市就業(yè)的專業(yè)技術(shù)人員。（2）申報(bào)主體。在本市登記注冊(cè)、具有獨(dú)立法人資格的企業(yè)。2．申報(bào)材料。

（1）《成都市信息安全產(chǎn)業(yè)專業(yè)技術(shù)人員高級(jí)認(rèn)證專項(xiàng)資金補(bǔ)助申報(bào)表》；（2）有效CISSP或CISP等認(rèn)證證書（復(fù)印件、驗(yàn)原件）、身份證、社保證明和與用人單位簽訂的勞動(dòng)合同（復(fù)印件）、認(rèn)證考試費(fèi)用票據(jù)及轉(zhuǎn)賬憑證；（3）企業(yè)營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證、稅務(wù)登記證和法人身份證（復(fù)印件）；（4）材料真實(shí)性承諾書。

復(fù)印件須準(zhǔn)備原件供審核、審計(jì)時(shí)使用。申報(bào)材料須按照上述順序裝訂成冊(cè)，一式四份。3．支持標(biāo)準(zhǔn)。

對(duì)新取得國(guó)際注冊(cè)信息系統(tǒng)安全專家（CISSP）和國(guó)家注冊(cè)信息安全專家（CISP）等信息安全類高級(jí)認(rèn)證的專業(yè)技術(shù)人員，經(jīng)審核，按當(dāng)年認(rèn)證考試費(fèi)用的50%給予一次性補(bǔ)助。4．申報(bào)時(shí)間。

每年4月30日前，由各區(qū)（市）縣工業(yè)和信息化主管部門會(huì)同財(cái)政部門組織當(dāng)?shù)仄髽I(yè)申報(bào)。5．政策咨詢。

市經(jīng)信委軟件與信息服務(wù)處，61881625 李老師

第二篇：CISP模擬一

1、以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一？

A．提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率 B．保證信息安全資金投入 C．加快信息安全人才培養(yǎng)

D．重視信息安全應(yīng)急處理工作 正確答案：A 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

4、與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？ A．防護(hù) B．檢測(cè) C．反應(yīng) D．策略 正確答案：D 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

24、軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來(lái)的直接損失，也需要關(guān)注過(guò)度防范造成的間接損失，在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：

A．在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試.安全評(píng)審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)

B．在軟件安全設(shè)計(jì)時(shí)，邀請(qǐng)軟件安全開發(fā)專家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足

C．確保對(duì)軟編碼人員進(jìn)行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼

D．在軟件上線前對(duì)軟件進(jìn)行全面安全性測(cè)試，包括源代碼分析.模糊測(cè)試.滲透測(cè)試，未經(jīng)以上測(cè)試的軟件不允許上線運(yùn)行 正確答案：D 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

26、下面關(guān)于信息系統(tǒng)安全保障的說(shuō)法不正確的是：

A．信息系統(tǒng)安全保障與信息系統(tǒng)的規(guī)劃組織.開發(fā)采購(gòu).實(shí)施交付.運(yùn)行維護(hù)和廢棄等生命周期密切相關(guān)

B．信息系統(tǒng)安全保障要素包括信息的完整性.可用性和保密性

C．信息系統(tǒng)安全需要從技術(shù).工程.管理和人員四個(gè)領(lǐng)域進(jìn)行綜合保障

D．信息系統(tǒng)安全保障需要將信息系統(tǒng)面臨的風(fēng)險(xiǎn)降低到可接受的程度，從而實(shí)現(xiàn)其業(yè)務(wù)使命

正確答案：B 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

28、下面關(guān)于信息系統(tǒng)安全保障模型的說(shuō)法不正確的是： A．國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風(fēng)險(xiǎn)和策略作為基礎(chǔ)和核心

B．模型中的信息系統(tǒng)生命周期模型是抽象的概念性說(shuō)明模型，在信息系統(tǒng)安全保障具體操作時(shí)，可根據(jù)具體環(huán)境和要求進(jìn)行改動(dòng)和細(xì)化

C．信息系統(tǒng)安全保障強(qiáng)調(diào)的是動(dòng)態(tài)持續(xù)性的長(zhǎng)效安全，而不僅是某時(shí)間點(diǎn)下的安全

D．信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性.完整性和可用性，單位對(duì)信息系統(tǒng)運(yùn)行維護(hù)和使用的人員在能力和培訓(xùn)方面不需要投入 正確答案：D 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

29、關(guān)于信息安全保障技術(shù)框架(IATF)，以下說(shuō)法不正確的是：

A．分層策略允許在適當(dāng)?shù)臅r(shí)候采用低安全級(jí)保障解決方案以便降低信息安全保障的成本 B．IATF從人.技術(shù)和操作三個(gè)層面提供一個(gè)框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施

C．允許在關(guān)鍵區(qū)域(例如區(qū)域邊界)使用高安全級(jí)保障解決方案，確保系統(tǒng)安全性

D．IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)可能位置實(shí)現(xiàn)所有信息安全保障機(jī)制 正確答案：D 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

30、關(guān)于信息安全保障的概念，下面說(shuō)法錯(cuò)誤的是：

A．信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅是動(dòng)態(tài)變化的，信息安全保障強(qiáng)調(diào)動(dòng)態(tài)的安全理念

B．信息安全保障已從單純的保護(hù)和防御階段發(fā)展為保護(hù).檢測(cè)和響應(yīng)為一體的綜合階段 C．在全球互聯(lián)互通的網(wǎng)絡(luò)空間環(huán)境下，可單純依靠技術(shù)措施來(lái)保障信息安全

D．信息安全保障把信息安全從技術(shù)擴(kuò)展到管理，通過(guò)技術(shù).管理和工程等措施的綜合融合，形成對(duì)信息.信息系統(tǒng)及業(yè)務(wù)使命的保障 正確答案：C 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

67、Linux系統(tǒng)對(duì)文件的權(quán)限是以模式位的形式來(lái)表示，對(duì)于文件名為test的一個(gè)文件，屬于admin組中user用戶，以下哪個(gè)是該文件正確的模式表示？ A．rwxr-xr-x3useradmin1024Sep1311:58test B．drwxr-xr-x3useradmin1024Sep1311:58test C．rwxr-xr-x3adminuser1024Sep1311:58test D．drwxr-xr-x3adminuser1024Sep1311:58test 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

73、在數(shù)據(jù)庫(kù)安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象_______，授權(quán)子系統(tǒng)就越靈活？ A．粒度越小 B．約束越細(xì)致 C．范圍越大 D．約束范圍大 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

77、ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來(lái)控制用戶訪問(wèn)Apache目錄的配置文件是： A．httpd.conf B．srm.conf C．a(chǎn)ccess.conf D．inetd.conf 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

81、下列關(guān)于計(jì)算機(jī)病毒感染能力的說(shuō)法不正確的是： A．能將自身代碼注入到引導(dǎo)區(qū)

B．能將自身代碼注入到扇區(qū)中的文件鏡像 C．能將自身代碼注入文本文件中并執(zhí)行

D．能將自身代碼注入到文檔或模板的宏中代碼 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

90、以下哪個(gè)拒絕服務(wù)攻擊方式不是流量型拒絕服務(wù)攻擊？ A．Land B．UDPFlood C．Smurf D．Teardrop 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

97、通過(guò)向被攻擊者發(fā)送大量的ICMP回應(yīng)請(qǐng)求，消耗被攻擊者的資源來(lái)進(jìn)行響應(yīng)，直至被攻擊者再也無(wú)法處理有效地網(wǎng)絡(luò)信息流時(shí)，這種攻擊稱之為： A．Land攻擊 B．Smurf攻擊

C．PingofDeath攻擊 D．ICMPFlood 正確答案：D 所在章：信息安全技術(shù) 知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

100、下面哪一項(xiàng)安全控制措施不是用來(lái)檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的： A．設(shè)置網(wǎng)絡(luò)連接時(shí)限

B．記錄并分析系統(tǒng)錯(cuò)誤日志

C．記錄并分析用戶和管理員操作日志 D．啟用時(shí)鐘同步正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

107、以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子? A．某網(wǎng)站在訪問(wèn)量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制，保證己登錄的用戶可以完成操作

B．在提款過(guò)程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的帳戶余額進(jìn)行了沖正操作

C．某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作

D．李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無(wú)法查看正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

276、下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞？ A．通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令

B．攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。

C．當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量溢出的數(shù)據(jù)會(huì)覆蓋在合法數(shù)據(jù)上

D．信息技術(shù).信息產(chǎn)品.信息系統(tǒng)在設(shè)計(jì).實(shí)現(xiàn).配置.運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

321、以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議？ A．VTP B．L2F C．PPTP D．L2TP 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

324、下列對(duì)于網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos）描述正確的是： A．該協(xié)議使用非對(duì)稱密鑰加密機(jī)制

B．密鑰分發(fā)中心由認(rèn)證服務(wù)器.票據(jù)授權(quán)服務(wù)器和客戶機(jī)三個(gè)部分組成 C．該協(xié)議完成身份鑒別后將獲取用戶票據(jù)許可票據(jù) D．使用該協(xié)議不需要時(shí)鐘基本同步的環(huán)境 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

330、下列哪一些對(duì)信息安全漏洞的描述是錯(cuò)誤的？ A．漏洞是存在于信息系統(tǒng)的某種缺陷

B．漏洞存在于一定的環(huán)境中，寄生在一定的客體上（如TOE中、過(guò)程中等）

C．具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來(lái)威脅和損失

D．漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

333、以下哪個(gè)不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一? A．ARP協(xié)議是一個(gè)無(wú)狀態(tài)的協(xié)議

B．為提高效率，ARP信息在系統(tǒng)中會(huì)緩存 C．ARP緩存是動(dòng)態(tài)的，可被改寫

D．ARP協(xié)議是用于尋址的一個(gè)重要協(xié)議 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

358、入侵防御系統(tǒng)（IPS）是繼入侵檢測(cè)系統(tǒng)（IDS）后發(fā)展期出來(lái)的一項(xiàng)新的安全技術(shù)，它與IDS有著許多不同點(diǎn)。請(qǐng)指出下列哪一項(xiàng)描述不符合IPS的特點(diǎn)？ A．串接到網(wǎng)絡(luò)線路中

B．對(duì)異常的進(jìn)出流量可以直接進(jìn)行阻斷 C．有可能造成單點(diǎn)故障 D．不會(huì)影響網(wǎng)絡(luò)性能 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

364、以下哪個(gè)是惡意代碼采用的隱藏技術(shù)： A．文件隱藏 B．進(jìn)程隱藏 C．網(wǎng)絡(luò)鏈接隱藏 D．以上都是 正確答案：D 所在章：信息安全技術(shù) 知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

365、張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊？ A．口令攻擊 B．暴力破解 C．拒絕服務(wù)攻擊 D．社會(huì)工程學(xué)攻擊 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

369、公司甲做了很多政府網(wǎng)站安全項(xiàng)目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計(jì)安全保障方案時(shí)，借鑒以前項(xiàng)目經(jīng)驗(yàn)，為乙設(shè)計(jì)了多重?cái)?shù)據(jù)加密安全措施，但用戶提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問(wèn)量受限，雙方引起爭(zhēng)議。下面說(shuō)法哪個(gè)是錯(cuò)誤的： A．乙對(duì)信息安全不重視，低估了黑客能力，不舍得花錢

B．甲在需求分析階段沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估，所部署的加密針對(duì)性不足，造成浪費(fèi) C．甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別

D．乙要綜合考慮業(yè)務(wù).合規(guī)性和風(fēng)險(xiǎn)，與甲共同確定網(wǎng)站安全需求 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

370、進(jìn)入21世紀(jì)以來(lái)，信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國(guó)歷史.國(guó)情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說(shuō)法不正確的是：

A．與國(guó)家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)

B．美國(guó)尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問(wèn)題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)

C．各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理

D．在網(wǎng)絡(luò)安全戰(zhàn)略中，各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

373、下列哪一種方法屬于基于實(shí)體“所有”鑒別方法： A．用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別 B．用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別

C．用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過(guò)身份鑒別 D．用戶使用集成電路卡(如智能卡)完成身份鑒別 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

374、為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法? A．實(shí)體“所知”以及實(shí)體“所有”的鑒別方法 B．實(shí)體“所有”以及實(shí)體“特征”的鑒別方法 C．實(shí)體“所知”以及實(shí)體“特征”的鑒別方法 D．實(shí)體“所有”以及實(shí)體“行為”的鑒別方法 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

375、某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析.模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試.模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)? A．滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞 B．滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效率更高 C．滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確

D．滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

376、軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說(shuō)法哪個(gè)是錯(cuò)誤的? A．告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何被使用 B．當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許 C．用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是 D．確保數(shù)據(jù)的使用符合國(guó)家.地方.行業(yè)的相關(guān)法律法規(guī) 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

377、以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位.職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說(shuō)法錯(cuò)誤的是： A．當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕

B．業(yè)務(wù)系統(tǒng)中的崗位.職位或者分工，可對(duì)應(yīng)RBAC模型中的角色 C．通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制 D．RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

378、下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)： A．第二層隧道協(xié)議(L2TP)B．Internet安全性(IPSEC)C．終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+)D．點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

379、鑒別的基本途徑有三種：所知.所有和個(gè)人特征，以下哪一項(xiàng)不是基于你所知道的： A．口令 B．令牌 C．知識(shí) D．密碼 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

380、某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(IntrusienDetectionSystem，IDS)產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是： A．選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可 B．選購(gòu)任意一款品牌防火墻

C．任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品 D．選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

381、某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門主管經(jīng)理和人事部門人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中的哪項(xiàng)原則? A．最小權(quán)限 B．權(quán)限分離 C．不信任 D．縱深防御 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

382、以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPsec)協(xié)議說(shuō)法錯(cuò)誤的是： A．在傳送模式中，保護(hù)的是IP負(fù)載 B．驗(yàn)證頭協(xié)議(AuthenticationHead，AH)和IP封裝安全載荷協(xié)議(EncapsulatingSecurityPayload，ESP)都能以傳輸模式和隧道模式工作 C．在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議(InternetProtocol，IP)包，包括IP頭 D．IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

383、某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅? A．網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度

B．網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等

C．網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改 D．網(wǎng)站使用用戶名.密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

384、以下關(guān)于PGP(PrettyGoodPrivacy)軟件敘述錯(cuò)誤的是： A．PGP可以實(shí)現(xiàn)對(duì)郵件的加密.簽名和認(rèn)證 B．PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮

C．PGP可以對(duì)郵件進(jìn)行分段和重組 D．PGP采用SHA算法加密郵件 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

385、相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)? A．NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等闖題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作 B．NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限 C．對(duì)于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率

D．相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容Linux下EXT2文件格式 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

386、某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是Windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是：

A．在網(wǎng)絡(luò)中單獨(dú)部署syslog服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中 B．嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫等操作

C．對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小，延長(zhǎng)日志覆蓋時(shí)間，設(shè)置記錄更多信息等 D．使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間 正確答案：A 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

387、安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全? A．操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞 B．為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤

C．操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅

D．將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

388、賬號(hào)鎖定策略中對(duì)超過(guò)一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊? A．分布式拒絕服務(wù)攻擊(DDoS)B．病毒傳染 C．口令暴力破解 D．緩沖區(qū)溢出攻擊 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

389、數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCP／IP協(xié)議中，數(shù)據(jù)封裝的順序是：

A．傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層 B．傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層 C．互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層 D．互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

390、關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是： A．在軟件開發(fā)的各個(gè)周期都要考慮安全因素

B．軟件安全開發(fā)生命周期要綜合采用技術(shù).管理和工程等手段

C．測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開發(fā)成本

D．在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

391、在軟件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，規(guī)定了軟件開發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能： A．治理，主要是管理軟件開發(fā)的過(guò)程和活動(dòng)

B．構(gòu)造，主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過(guò)程與活動(dòng) C．驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng)

D．購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過(guò)程與活動(dòng) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

394、以下關(guān)于直接附加存儲(chǔ)(DirectAttachedStorage，DAS)說(shuō)法錯(cuò)誤的是：

A．DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)據(jù)存儲(chǔ)方法

B．DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單

C．DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取

D．較網(wǎng)絡(luò)附加存儲(chǔ)(NetworkAttachedStorage，NAS)，DAS節(jié)省硬盤空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

395、某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過(guò)偽造數(shù)據(jù)包使得向購(gòu)物車添加商品的價(jià)格被修改．利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車中，而付款時(shí)又沒(méi)有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問(wèn)題，對(duì)于網(wǎng)站的這個(gè)問(wèn)題原因分析及解決措施。最正確的說(shuō)法應(yīng)該是_______? A．該問(wèn)題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的闖題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問(wèn)都強(qiáng)制要求使用https B．該問(wèn)題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒(méi)有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒(méi)有找到該威脅并采取相應(yīng)的消減措施

C．該問(wèn)題的產(chǎn)生是由于編碼缺陷，通過(guò)對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決

D．該問(wèn)題的產(chǎn)生不是網(wǎng)站的問(wèn)題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

396、針對(duì)軟件的拒絕服務(wù)攻擊是通過(guò)消耗系統(tǒng)資源使軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開發(fā)時(shí)分析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式： A．攻擊者利用軟件存在邏輯錯(cuò)誤，通過(guò)發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100％

B．攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過(guò)發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫(kù)響應(yīng)緩慢

C．攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn)

D．攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

397、以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能? A．IP地址欺騙防護(hù) B．NAT C．訪問(wèn)控制

D．SQL注入攻擊防護(hù) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

398、以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是：

A．可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系

B．可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算機(jī)的概念

C．可信的整體框架包含終端可信.終端應(yīng)用可信.操作系統(tǒng)可信.網(wǎng)絡(luò)互聯(lián)可信.互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信

D．可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

399、應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫(kù)防護(hù)策略，以下不屬于數(shù)據(jù)庫(kù)防護(hù)策略的是? A．安裝最新的數(shù)據(jù)庫(kù)軟件安全補(bǔ)丁 B．對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密

C．不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng)

D．定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良好 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

400、對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說(shuō)法錯(cuò)誤的是：

A．在使用來(lái)自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描 B．限制用戶對(duì)管理員權(quán)限的使用 C．開放所有端口和服務(wù)，充分使用系統(tǒng)資源 D．不要從不可信來(lái)源下載或執(zhí)行應(yīng)用程序 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

401、安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是： A．為了提高Apache軟件運(yùn)行效率 B．為了提高Apache軟件的可靠性

C．為了避免攻擊者通過(guò)Apache獲得root權(quán)限 D．為了減少Apache上存在的漏洞 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

402、傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說(shuō)法，哪個(gè)是正確的? A．相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠性，還同時(shí)具有更高的效率，因此具有廣泛的用途

B．TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī)

C．TCP協(xié)議具有流量控制.數(shù)據(jù)校驗(yàn).超時(shí)重發(fā).接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議

D．TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過(guò)于復(fù)雜，傳輸效率要比UDP低 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

403、以下關(guān)于UDP協(xié)議的說(shuō)法，哪個(gè)是錯(cuò)誤的? A．UDP具有簡(jiǎn)單高效的特點(diǎn)，常被攻擊者用來(lái)實(shí)施流量型拒絕服務(wù)攻擊

B．UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP可通過(guò)端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序

C．相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來(lái)傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)

D．UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來(lái)傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

404、近年來(lái)利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生，防范這種攻擊比較有效的方法是? A．加強(qiáng)網(wǎng)站源代碼的安全性 B．對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估 C．協(xié)調(diào)運(yùn)營(yíng)商對(duì)域名解析服務(wù)器進(jìn)行加固 D．在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)防火墻 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

424、關(guān)于源代碼審核，描述正確的是（）

A．源代碼審核過(guò)程遵循信息安全保障技術(shù)框架模型，在執(zhí)行時(shí)應(yīng)一步一步嚴(yán)格執(zhí)行

B．源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問(wèn)題，相關(guān)的審核工具既有商業(yè)開源工具 C．源代碼審核如果想要有效率高，則主要要依賴人工審核而不是工具審核，因?yàn)槿斯ぶ悄艿?，需要人的腦袋來(lái)判斷

D．源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測(cè)試 正確答案：B 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

445、信息系統(tǒng)安全工程（ISSE）的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作： A．明確業(yè)務(wù)對(duì)信息安全的要求 B．識(shí)別來(lái)自法律法規(guī)的安全要求 C．論證安全要求是否正確完整

D．通過(guò)測(cè)試證明系統(tǒng)的功能和性能可以滿足安全要求 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

476、以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是: A．組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個(gè)人長(zhǎng)期負(fù)責(zé) B．對(duì)重要的工作進(jìn)行分解，分配給不同人員完成 C．一個(gè)人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限

D．防止員工由一個(gè)崗位變動(dòng)到另一個(gè)崗位，累積越來(lái)越多的權(quán)限 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

526、信息系統(tǒng)安全保護(hù)等級(jí)為3級(jí)的系統(tǒng)，應(yīng)當(dāng)（）年進(jìn)行一次等級(jí)測(cè)評(píng)。A．0.5 B．1 C．2 D．3 正確答案：B 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

545、在信息系統(tǒng)設(shè)計(jì)階段，“安全產(chǎn)品選擇”處于風(fēng)險(xiǎn)管理過(guò)程的哪個(gè)階段？ A．背景建立 B．風(fēng)險(xiǎn)評(píng)估 C．風(fēng)險(xiǎn)處理 D．批準(zhǔn)監(jiān)督 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

552、下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是：

A．信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全，國(guó)家安全的一個(gè)總要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策.法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下

B．信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)

C．信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分

D．信息安全技術(shù)方案：“從外而內(nèi)，自下而上，形成邊界到端的防護(hù)能力” 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

553、信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取? A．機(jī)構(gòu)的使命

B．機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo) C．機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程 D．機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

555、以下哪些是需要在信息安全策略中進(jìn)行描述的： A．組織信息系統(tǒng)安全架構(gòu) B．信息安全工作的基本原則 C．組織信息安全技術(shù)參數(shù) D．組織信息安全實(shí)施手段 正確答案：A 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

572、美國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施(criticalInformationInfrastructure，CII)包括商用設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國(guó)防工業(yè)基地等等，美國(guó)政府強(qiáng)調(diào)重點(diǎn)保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括： A．這些行業(yè)都關(guān)系到國(guó)計(jì)民生，對(duì)經(jīng)濟(jì)運(yùn)行和國(guó)家安全影響深遠(yuǎn) B．這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域

C．這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其他行業(yè)更突出

D．這些行業(yè)發(fā)生信息安全事件，會(huì)造成廣泛而嚴(yán)重的損失 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

573、小王是某大學(xué)計(jì)算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險(xiǎn)管理中的“背景建立”的基本概念與認(rèn)識(shí)，小王的主要觀點(diǎn)包括：(1)背景建立的目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，完成信息安全風(fēng)驗(yàn)管理項(xiàng)目的規(guī)劃和準(zhǔn)備；(2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗(yàn)執(zhí)行，雄厚的經(jīng)驗(yàn)有助于達(dá)到事半功倍的效果；(3)背景建立包括：風(fēng)險(xiǎn)管理準(zhǔn)備.信息系統(tǒng)調(diào)查.信息系統(tǒng)分析和信息安全分析；(4)背景建立的階段性成果包括：風(fēng)險(xiǎn)管理計(jì)劃書，信息系統(tǒng)的描述報(bào)告，信息系統(tǒng)的分析報(bào)告，信息系統(tǒng)的安全要求報(bào)告。請(qǐng)問(wèn)小王的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)：

A．第一個(gè)觀點(diǎn)，背景建立的目的只是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象

B．第二個(gè)觀點(diǎn)，背景建立的依據(jù)是國(guó)家.地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn) C．第三個(gè)觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個(gè)不同名字 D．第四個(gè)觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險(xiǎn)管理計(jì)劃書 正確答案：B 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

575、以下關(guān)于信息安全法治建設(shè)的意義，說(shuō)法錯(cuò)誤的是： A．信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B．明確違反信息安全的行為，并對(duì)該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動(dòng) C．信息安全主要是技術(shù)問(wèn)題，技術(shù)漏洞是信息犯罪的根源

D．信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

576、小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬(wàn)，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請(qǐng)問(wèn)小張最后得到的預(yù)期損失為多少： A．24萬(wàn) B．0.09萬(wàn) C．37.5萬(wàn) D．9萬(wàn)

正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

577、信息安全等級(jí)保護(hù)分級(jí)要求，第三級(jí)適用正確的是：

A．適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益

B．適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害

C．適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害

D．適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序，經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害 正確答案：B 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

579、以下對(duì)于信息安全事件理解錯(cuò)誤的是：

A．信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件

B．對(duì)信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分

C．應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容

D．通過(guò)部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

答案解析：選項(xiàng)D中，杜絕信息安全事件的發(fā)生是做不到的。

580、假設(shè)一個(gè)系統(tǒng)已經(jīng)包含了充分的預(yù)防控制措施，那么安裝監(jiān)測(cè)控制設(shè)備： A．是多余的，因?yàn)樗鼈兺瓿闪送瑯拥墓δ?，但要求更多的開銷 B．是必須的，可以為預(yù)防控制的功效提供檢測(cè) C．是可選的，可以實(shí)現(xiàn)深度防御

D．在一個(gè)人工系統(tǒng)中是需要的，但在一個(gè)計(jì)算機(jī)系統(tǒng)中則是不需要的，因?yàn)轭A(yù)防控制的功能已經(jīng)足夠 正確答案：B 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

583、關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是：

A．應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)／重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施

B．應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制.根除.處置.恢復(fù).報(bào)告和跟蹤6個(gè)階段 C．對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度.系統(tǒng)損失和社會(huì)影響三方面因素 D．根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事件劃分為4個(gè)級(jí)別：特別重大事件(Ⅰ級(jí)).重大事件(Ⅱ級(jí)).較大事件(Ⅲ級(jí))和一般事件(Ⅳ級(jí))正確答案：B 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

584、以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說(shuō)法正確的是： A．增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件

B．依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個(gè)等級(jí) C．?dāng)?shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份 D．如果系統(tǒng)在一段時(shí)間內(nèi)沒(méi)有出現(xiàn)問(wèn)題，就可以不用再進(jìn)行容災(zāi)演練了 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

585、某公司擬建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營(yíng)銷系統(tǒng)，通過(guò)公開招標(biāo)選擇M公司為承建單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作，目前，各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)，監(jiān)理公司需要對(duì)A公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，哪一項(xiàng)屬于開發(fā)類文檔： A．項(xiàng)目計(jì)劃書 B．質(zhì)量控制計(jì)劃 C．評(píng)審報(bào)告 D．需求說(shuō)明書 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

588、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSZ-CMM)，錯(cuò)誤的理解是：

A．SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方.產(chǎn)品供應(yīng)商.集成商和咨詢服務(wù)商等

B．SSE-CMM可以使安全工程成為一個(gè)確定的.成熟的和可度量的科目

C．基手SSE-CMM的工程是獨(dú)立工程，與軟件工程.硬件工程.通信工程等分別規(guī)劃實(shí)施 D．SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理.組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng) 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

589、有關(guān)危害國(guó)家秘密安全的行為，包括：

A．嚴(yán)重違反保密規(guī)定行為.定密不當(dāng)行為.公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為.保密行政管理部門的工作人員的違法行為 B．嚴(yán)重違反保密規(guī)定行為.公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為.保密行政管理部門的工作人員的違法行為，但不包括定密不當(dāng)行為 C．嚴(yán)重違反保密規(guī)定行為.定密不當(dāng)行為.保密行政管理部門的工作人員的違法行為，但不包括公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為

D．嚴(yán)重違反保密規(guī)定行為.定密不當(dāng)行為.公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商及服務(wù)商不履行保密義務(wù)的行為，但不包括保密行政管理部門的工作人員的違法行為 正確答案：A 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

593、最小特權(quán)是軟件安全設(shè)計(jì)的基本原則，某應(yīng)用程序在設(shè)計(jì)時(shí)，設(shè)計(jì)人員給出了以下四種策略，其中有一個(gè)違反了最小特權(quán)的原則，作為評(píng)審專家，請(qǐng)指出是哪一個(gè)? A．軟件在Linux下按照時(shí)，設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例

B．軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫(kù)數(shù)據(jù)，在備份模塊運(yùn)行時(shí)，以數(shù)據(jù)庫(kù)備份操作員賬號(hào)連接數(shù)據(jù)庫(kù)

C．軟件的日志模塊由于要向數(shù)據(jù)庫(kù)中的日志表中寫入日志信息，使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫(kù)，該賬號(hào)僅對(duì)日志表?yè)碛袡?quán)限 D．為了保證軟件在Windows下能穩(wěn)定的運(yùn)行，設(shè)定運(yùn)行權(quán)限為system，確保系統(tǒng)運(yùn)行正常，不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

594、某單位計(jì)劃在今年開發(fā)一套辦公自動(dòng)化(OA)系統(tǒng)，將集團(tuán)公司各地的機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公，在OA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上，提出了不少安全開發(fā)的建議，作為安全專家，請(qǐng)指出大家提的建議中不太合適的一條? A．對(duì)軟件開發(fā)商提出安全相關(guān)要求，確保軟件開發(fā)商對(duì)安全足夠的重視，投入資源解決軟件安全問(wèn)題

B．要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識(shí) C．要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語(yǔ)言，避免產(chǎn)生SQL注入漏洞

D．要求軟件開發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì)，各模塊明確輸入和輸出數(shù)據(jù)格式，并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn) 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

595、某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無(wú)需投入，軟件開發(fā)完成后發(fā)現(xiàn)問(wèn)題后再針對(duì)性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說(shuō)法? A．信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問(wèn)題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低

B．軟件開發(fā)部門的說(shuō)法是正確的，因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低

C．雙方的說(shuō)法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問(wèn)題還是在上線后再解決問(wèn)題費(fèi)用更低

D．雙方的說(shuō)法都錯(cuò)誤，軟件安全問(wèn)題在任何時(shí)候投入解決都可以，只要是一樣的問(wèn)題，解決的代價(jià)相同 正確答案：A 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

596、某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過(guò)程中發(fā)現(xiàn)攻擊者也可通過(guò)共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施? A．由于共享導(dǎo)致了安全問(wèn)題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析

B．為配合總部的安全策略，會(huì)帶來(lái)一定的安全問(wèn)題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn) C．日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過(guò)設(shè)置讓前置機(jī)不記錄日志 D．只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問(wèn)密碼且限定訪問(wèn)的時(shí)間 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

598、在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動(dòng)是： A．建立環(huán)境

B．實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 C．持續(xù)的監(jiān)視與評(píng)審風(fēng)險(xiǎn)

D．持續(xù)改進(jìn)信息安全管理過(guò)程 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

599、以下哪一項(xiàng)不屬于常見的風(fēng)險(xiǎn)評(píng)估與管理工具： A．基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具 B．基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具 C．基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具 D．基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具 正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

600、以下說(shuō)法正確的是：

A．驗(yàn)收測(cè)試是由承建方和用戶按照用戶使用手冊(cè)執(zhí)行軟件驗(yàn)收 B．軟件測(cè)試的目的是為了驗(yàn)證軟件功能是否正確

C．監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測(cè)試計(jì)劃，并提出審查意見 D．軟件測(cè)試計(jì)劃開始于軟件設(shè)計(jì)階段，完成于軟件開發(fā)階段 正確答案：C 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

602、關(guān)于我國(guó)加強(qiáng)信息安全保障工作的總體要求，以下說(shuō)法錯(cuò)誤的是： A．堅(jiān)持積極防御.綜合防范的方針 B．重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 C．創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境

D．提高個(gè)人隱私保護(hù)意識(shí)正確答案：D 所在章：信息安全管理

知識(shí)點(diǎn)：信息安全管理知識(shí)點(diǎn)

629、以下哪項(xiàng)是對(duì)系統(tǒng)工程過(guò)程中“概念與需求定義”階段的信息安全工作的正確描述？ A．應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮

B．應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場(chǎng)，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品

C．應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)

D．應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容 正確答案：A 所在章：信息安全工程

知識(shí)點(diǎn)：信息安全工程知識(shí)點(diǎn)

630、在進(jìn)行應(yīng)用系統(tǒng)的測(cè)試時(shí)，應(yīng)盡可能避免使用包含個(gè)人隱私和其它敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時(shí)，以下哪一項(xiàng)不是必須做的： A．測(cè)試系統(tǒng)應(yīng)使用不低于生產(chǎn)系統(tǒng)的訪問(wèn)控制措施 B．為測(cè)試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施 C．在測(cè)試完成后立即清除測(cè)試系統(tǒng)中的所有敏感數(shù)據(jù) D．部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用 正確答案：B 所在章：信息安全工程

知識(shí)點(diǎn)：信息安全工程知識(shí)點(diǎn)

640、從系統(tǒng)工程的角度來(lái)處理信息安全問(wèn)題，以下說(shuō)法錯(cuò)誤的是：

A．系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。

B．系統(tǒng)安全工程需對(duì)安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。

C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開發(fā)的方法。D．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過(guò)對(duì)安全工作過(guò)程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的.成熟的.可測(cè)量的先進(jìn)學(xué)科。正確答案：C 所在章：信息安全工程

知識(shí)點(diǎn)：信息安全工程知識(shí)點(diǎn) 答案解析：應(yīng)是面向工程的方法

641、以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分： A．監(jiān)理咨詢支撐要素 B．控制和管理手段 C．監(jiān)理咨詢階段過(guò)程 D．監(jiān)理組織安全實(shí)施 正確答案：D 所在章：信息安全工程

知識(shí)點(diǎn)：信息安全工程知識(shí)點(diǎn)

642、在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容： A．審核實(shí)施投資計(jì)劃 B．審核實(shí)施進(jìn)度計(jì)劃 C．審核工程實(shí)施人員 D．企業(yè)資質(zhì) 正確答案：A 所在章：信息安全工程

知識(shí)點(diǎn)：信息安全工程知識(shí)點(diǎn)

661、下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則（簡(jiǎn)稱CC）通用性的特點(diǎn)，即給出通過(guò)的表達(dá)方式，描述不正確的是_______。

A．如果用戶、開發(fā)者、評(píng)估者和認(rèn)可者都使用CC語(yǔ)言，互相就容易理解溝通。B．通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全測(cè)試評(píng)估都具有重要意義

C．通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要

D．通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估 正確答案：D 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

663、對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)？

A．BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》 B．BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》 C．GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 D．GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》 正確答案：B 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

713、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是：

A．規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。B．設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境.資產(chǎn)重要性，提出安全功能需求。C．實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā).實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。

D．運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估，評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面。正確答案：D 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

716、關(guān)于我國(guó)信息安全保障工作發(fā)展的幾個(gè)階段，下列哪個(gè)說(shuō)法不正確：

A．2001-2002年是啟動(dòng)階段，標(biāo)志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機(jī)構(gòu)是我國(guó)信息安全保障工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)

B．2003-2005年是逐步展開和積極推進(jìn)階段，標(biāo)志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)27號(hào)文件)并頒布了國(guó)家信息安全戰(zhàn)略

C．2005-至今是深化落實(shí)階段，標(biāo)志性事件是奧運(yùn)會(huì)和世博會(huì)信息安全保障取得圓滿成功 D．2005-至今是深化落實(shí)階段，信息安全保障體系建設(shè)取得實(shí)質(zhì)性進(jìn)展，各項(xiàng)信息安全保障工作邁出了堅(jiān)實(shí)步伐 正確答案：C 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

720、對(duì)于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)? A．ISO／IEC15408 B．802.11 C．GB／T20984 D．X.509 正確答案：D 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

722、自2004年1月起，國(guó)內(nèi)各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)由以下哪個(gè)組織提出工作意見，協(xié)調(diào)一致后由該組織申報(bào)。A．全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)B．全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)C．中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)D．網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì) 正確答案：B 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn)

723、ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于____。A．BS7799-1《信息安全實(shí)施細(xì)則》 B．BS7799-2《信息安全管理體系規(guī)范》 C．信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱ITSEC)D．信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)(簡(jiǎn)稱CC)正確答案：B 所在章：信息安全標(biāo)準(zhǔn)

知識(shí)點(diǎn)：信息安全標(biāo)準(zhǔn)知識(shí)點(diǎn) 731、如圖，某用戶通過(guò)賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過(guò)程屬于以下哪一類：

A．個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別 B．由可信第三方完成的用戶身份鑒別 C.個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別 D．用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別 正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

732、如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說(shuō)法正確的是： A．此密碼體制為對(duì)稱密碼體制 B．此密碼體制為私鑰密碼體制 C．此密碼體制為單鑰密碼體制

D．此密碼體制為公鑰密碼體制正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

733、如圖所示，主體S對(duì)客體01有讀(R)權(quán)限，對(duì)客體02有讀(R)，寫(W)，擁有(Own)權(quán)限，該圖所示的訪問(wèn)控制實(shí)現(xiàn)方法是： A．訪問(wèn)控制表(ACL)B．訪問(wèn)控制矩陣 C．能力表(CL)D．前綴表(Profiles)正確答案：C 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

734、如圖所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍? A．10．0．0．0～10．255．255．255 B．172．16．0．0～172．31．255．255 C.192．168．0．0～192．168．255．255 D.不在上述范圍內(nèi) 正確答案：D 所在章：信息安全技術(shù)

知識(shí)點(diǎn)：信息安全技術(shù)知識(shí)點(diǎn)

739、以下哪一項(xiàng)不是我國(guó)信息安全保障工作的主要目標(biāo)： A．保障和促進(jìn)信息化發(fā)展 B．維護(hù)企業(yè)與公民的合法權(quán)益 C．構(gòu)建高效的信息傳播渠道 D．保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán) 正確答案：C 所在章：信息安全保障

知識(shí)點(diǎn)：信息安全保障知識(shí)點(diǎn)

第三篇：CISP模擬試題7

.《GB2/T 20274信息系統(tǒng)安全保障評(píng)估框架》中的信息系統(tǒng)安全保障級(jí)中的級(jí)別是指：C A.對(duì)抗級(jí) B.防護(hù)級(jí) C.能力級(jí) D.監(jiān)管級(jí)

3.下面對(duì)信息安全特征和范疇的說(shuō)法錯(cuò)誤的是：C A.信息安全是一個(gè)系統(tǒng)性的問(wèn)題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素

B.信息安全是一個(gè)動(dòng)態(tài)的問(wèn)題，他隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶認(rèn)識(shí)、投入產(chǎn)出而發(fā)展

C.信息安全是無(wú)邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來(lái)越模糊，因此確定一個(gè)組織的信息安全責(zé)任是沒(méi)有意義的

D.信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)

4.美國(guó)國(guó)防部提出的《信息保障技術(shù)框架》（IATF）在描述信息系統(tǒng)的安全需求時(shí)，將信息技術(shù)系統(tǒng)分為：C A.內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分

B.本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個(gè)部分 C.用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個(gè)部分

D.信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件，安全防護(hù)措施六個(gè)部分

6.關(guān)于信息安全策略的說(shuō)法中，下面說(shuō)法正確的是：C A.信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ) B.信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)？？？ C.信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為基礎(chǔ)

D.在信息系統(tǒng)尚未建設(shè)完成之前，無(wú)法確定信息安全策略

8.下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是：C A.信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B.信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。

C.信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系無(wú)關(guān)緊要

D.信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成端到端的防護(hù)能力”

9.下面有關(guān)我國(guó)信息安全管理體制的說(shuō)法錯(cuò)誤的是：C A.目前我國(guó)的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面

B.我國(guó)的信息安全保障工作綜合利用法律、管理和技術(shù)的手段 C.我國(guó)的信息安全管理應(yīng)堅(jiān)持及時(shí)檢測(cè)、快速響應(yīng)、綜合治理的方針

D.我國(guó)對(duì)于信息安全責(zé)任的原則是誰(shuí)主管、誰(shuí)負(fù)責(zé)；誰(shuí)經(jīng)營(yíng)、誰(shuí)負(fù)責(zé)

10.全面構(gòu)建我國(guó)信息安全人才體系是國(guó)家政策、組織機(jī)構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求?！凹涌煨畔踩瞬排嘤?xùn)，增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神，是以下哪一個(gè)國(guó)家政策文件提出的？A A.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 B.《信息安全等級(jí)保護(hù)管理辦法》

C.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 D.《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》

11.一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時(shí)向哪一個(gè)部門報(bào)案？A A.公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門 B.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心 C.互聯(lián)網(wǎng)安全協(xié)會(huì) D.信息安全產(chǎn)業(yè)商會(huì)

12.下列哪個(gè)不是《商用密碼管理?xiàng)l例》規(guī)定的內(nèi)容：D A.國(guó)家密碼管理委員會(huì)及其辦公室（簡(jiǎn)稱密碼管理機(jī)構(gòu)）主管全國(guó)的商用密碼管理工作

B.商用密碼技術(shù)屬于國(guó)家秘密，國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行專控管理

C.商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷售

D.個(gè)人可以使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品

13.對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)？B A.BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》 B.BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》 C.GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 D.GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》

14.下面對(duì)于CC的“保護(hù)輪廓”（PP）的說(shuō)法最準(zhǔn)確的是：C A.對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述

B.對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述 C.對(duì)一類TOE的安全需求，進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述 D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度

15.關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是：D A.SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)

B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過(guò)程

C.SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證

D.SSE-CMM是用于對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估的標(biāo)準(zhǔn)

16.下面哪個(gè)不是ISO 27000系列包含的標(biāo)準(zhǔn) D A.《信息安全管理體系要求》 B.《信息安全風(fēng)險(xiǎn)管理》 C.《信息安全度量》 D.《信息安全評(píng)估規(guī)范》

17.以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特征？A A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮書

18.下面哪項(xiàng)不是《信息安全等級(jí)保護(hù)管理辦法》（公通字【2007】43號(hào)）規(guī)定的內(nèi)容D A.國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則

B.國(guó)家指定專門部門對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門的監(jiān)督和檢查

C.跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門統(tǒng)一確定安全保護(hù)等級(jí)？？？？

D.第二級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每？？？少進(jìn)行一次等級(jí)測(cè)評(píng)

19.觸犯新刑法285條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪可判處A_____。A.三年以下有期徒刑或拘役 B.1000元罰款

C.三年以上五年以下有期徒刑 D.10000元罰款

20.常見密碼系統(tǒng)包含的元素是：C A.明文，密文，信道，加密算法，解密算法 B.明文，摘要，信道，加密算法，解密算法 C.明文，密文，密鑰，加密算法，解密算法 D.消息，密文，信道，加密算法，解密算法

21.公鑰密碼算法和對(duì)稱密碼算法相比，在應(yīng)用上的優(yōu)勢(shì)是：D A.密鑰長(zhǎng)度更長(zhǎng) B.加密速度更快 C.安全性更高 D.密鑰管理更方便

22.以下哪一個(gè)密碼學(xué)手段不需要共享密鑰？B A.消息認(rèn)證 B.消息摘要 C.加密解密 D.數(shù)字簽名

24.下列哪種算法通常不被用戶保證保密性？D A.AES B.RC4 C.RSA D.MD5 25.數(shù)字簽名應(yīng)具有的性質(zhì)不包括：C A.能夠驗(yàn)證簽名者 B.能夠認(rèn)證被簽名消息 C.能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性 D.簽名必須能夠由第三方驗(yàn)證

26.認(rèn)證中心（CA）的核心職責(zé)是__A___。A.簽發(fā)和管理數(shù)字證書 B.驗(yàn)證信息 C.公布黑名單 D.撤銷用戶的證書

28.以下對(duì)于安全套接層（SSL）的說(shuō)法正確的是：C A.主要是使用對(duì)稱密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性

B.可以在網(wǎng)絡(luò)層建立VPN C.主要使用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web server方式 D.包含三個(gè)主要協(xié)議：AH,ESP,IKE

31.下面對(duì)訪問(wèn)控制技術(shù)描述最準(zhǔn)確的是：C A.保證系統(tǒng)資源的可靠性 B.實(shí)現(xiàn)系統(tǒng)資源的可追查性 C.防止對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn) D.保證系統(tǒng)資源的可信性

32.以下關(guān)于訪問(wèn)控制表和訪問(wèn)能力表的說(shuō)法正確的是：D A.訪問(wèn)能力表表示每個(gè)客體可以被訪問(wèn)的主體及其權(quán)限 B.訪問(wèn)控制表說(shuō)明了每個(gè)主體可以訪問(wèn)的客體及權(quán)限 C.訪問(wèn)控制表一般隨主體一起保存

D.訪問(wèn)能力表更容易實(shí)現(xiàn)訪問(wèn)權(quán)限的傳遞，但回收訪問(wèn)權(quán)限較困難

35.下面哪一項(xiàng)訪問(wèn)控制模型使用安全標(biāo)簽（security labels）？C A.自主訪問(wèn)控制 B.非自主訪問(wèn)控制 C.強(qiáng)制訪問(wèn)控制 D.基于角色的訪問(wèn)控制

39.基于生物特征的鑒別系統(tǒng)一般使用哪個(gè)參數(shù)來(lái)判斷系統(tǒng)的準(zhǔn)確度？C A.錯(cuò)誤拒絕率 B.錯(cuò)誤監(jiān)測(cè)率 C.交叉錯(cuò)判率 D.錯(cuò)誤接受率 41.某個(gè)客戶的網(wǎng)絡(luò)限制可以正常訪問(wèn)internet互聯(lián)網(wǎng)，共有200臺(tái)終端PC但此客戶從ISP（互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）里只獲得了16個(gè)公有的IPv4地址，最多也只有16臺(tái)PC可以訪問(wèn)互聯(lián)網(wǎng)，要想讓全部200臺(tái)終端PC訪問(wèn)internet互聯(lián)網(wǎng)最好采取什么辦法或技術(shù)：B A.花更多的錢向ISP申請(qǐng)更多的IP地址 B.在網(wǎng)絡(luò)的出口路由器上做源NAT C.在網(wǎng)絡(luò)的出口路由器上做目的NAT D.在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器

42.WAPI采用的是什么加密算法？A A.我國(guó)自主研發(fā)的公開密鑰體制的橢圓曲線密碼算法 B.國(guó)際上通行的商用加密標(biāo)準(zhǔn)

C.國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn) D.國(guó)際通行的哈希算法

43.以下哪種無(wú)線加密標(biāo)準(zhǔn)的安全性最弱？A A.wep B.wpa C.wpa2 D.wapi

44.以下哪個(gè)不是防火墻具備的功能？D A.防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合

B.它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口

C.能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流

D.防止來(lái)源于內(nèi)部的威脅和攻擊

45.簡(jiǎn)單包過(guò)濾防火墻主要工作在__B____ A.鏈路層/網(wǎng)絡(luò)層 B.網(wǎng)絡(luò)層/傳輸層 C.應(yīng)用層 D.會(huì)話層

46.橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點(diǎn)不包括：D A.不需要對(duì)原有的網(wǎng)絡(luò)配置進(jìn)行修改 B.性能比較高

C.防火墻本身不容易受到攻擊 D.易于在防火墻上實(shí)現(xiàn)NAT

48.以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能？D A.監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流 B.捕捉可以的網(wǎng)絡(luò)活動(dòng) C.提供安全審計(jì)報(bào)告 D.過(guò)濾非法的數(shù)據(jù)包

49.有一類IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的偏差來(lái)發(fā)現(xiàn)入侵事件，這種機(jī)制稱作：A A.異常檢測(cè) B.特征檢測(cè) C.差距分析 D.對(duì)比分析

51.在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容？A A.記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系 B.決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)

C.定義了系統(tǒng)缺省運(yùn)行級(jí)別，系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做什么 D.包含了系統(tǒng)的一些啟動(dòng)腳本

53.以下哪個(gè)對(duì)windows系統(tǒng)日志的描述是錯(cuò)誤的？D A.windows系統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志

B.系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障 C.應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接庫(kù)）失敗的信息

D.安全日志跟蹤各類網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等

54.以下關(guān)于windows SAM（安全賬號(hào)管理器）的說(shuō)法錯(cuò)誤的是：c A.安全賬號(hào)管理器（SAM）具體表現(xiàn)就是%SystemRoot%system32configsam B.安全賬號(hào)管理器（SAM）存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中 C.安全賬號(hào)管理器（SAM）存儲(chǔ)的賬號(hào)信息對(duì)administrator和system是可讀和可寫的

D.安全賬號(hào)管理器（SAM）是windows的用戶數(shù)據(jù)庫(kù)，系統(tǒng)進(jìn)程通過(guò)security accounts manager服務(wù)進(jìn)行訪問(wèn)和操作

55.在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過(guò)“視圖（view）”技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原則？B A.縱深防御原則 B.最小權(quán)限原則 C.職責(zé)分離原則

D.安全性與便利性平衡原則

56.數(shù)據(jù)庫(kù)事務(wù)日志的用途是什么？ B A.事務(wù)處理 B.數(shù)據(jù)恢復(fù) C.完整性約束 D.保密性控制

57.下面對(duì)于cookie的說(shuō)法錯(cuò)誤的是： D A.cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息

B.cookie可以存儲(chǔ)一些敏感的用戶信息，從而造成一定的安全風(fēng)險(xiǎn) C.通過(guò)cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過(guò)身份驗(yàn)證的攻擊叫做 cookie欺騙

D.防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法

58.攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類型的漏洞？D A.緩沖區(qū)溢出 B.SQL注入 C.設(shè)計(jì)錯(cuò)誤 D.跨站腳本 59.通常在網(wǎng)站數(shù)據(jù)庫(kù)中，用戶信息中的密碼一項(xiàng)，是以哪種形式存在？C A.明文形式存在

B.服務(wù)器加密后的密文形式存在 C.hash運(yùn)算后的消息摘要值存在 D.用戶自己加密后的密文形式存在

64.下列屬于DDOS攻擊的是：B A.Men-in-Middle攻擊 B.SYN洪水攻擊 C.TCP連接攻擊 D.SQL注入攻擊

65.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊？D A.重放攻擊 B.Smurf攻擊 C.字典攻擊 D.中間人攻擊

66.滲透性測(cè)試的第一步是：A A.信息收集 B.漏洞分析與目標(biāo)選定 C.拒絕服務(wù)攻擊 D.嘗試漏洞利用

67.通過(guò)網(wǎng)頁(yè)上的釣魚攻擊來(lái)獲取密碼的方式，實(shí)質(zhì)上是一種：A A.社會(huì)工程學(xué)攻擊 B.密碼分析學(xué) C.旁路攻擊 D.暴力破解攻擊

70.以下哪個(gè)不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？D A.加強(qiáng)軟件的安全需求分析，準(zhǔn)確定義安全需求 B.設(shè)計(jì)符合安全準(zhǔn)則的功能、安全功能與安全策略 C.規(guī)范開發(fā)的代碼，符合安全編碼規(guī)范

D.編制詳細(xì)軟件安全使用手冊(cè)，幫助設(shè)置良好的安全使用習(xí)慣

94.根據(jù)SSE-CMM信息安全工程過(guò)程可以劃分為三個(gè)階段，其中_A___確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶。A.保證過(guò)程 B.風(fēng)險(xiǎn)過(guò)程 C.工程和保證過(guò)程 D.安全工程過(guò)程

96.下列哪項(xiàng)不是SSE-CMM模型中工程過(guò)程的過(guò)程區(qū)？B A.明確安全需求 B.評(píng)估影響 C.提供安全輸入 D.協(xié)調(diào)安全

97.SSE-CMM工程過(guò)程區(qū)域中的風(fēng)險(xiǎn)過(guò)程包含哪些過(guò)程區(qū)域？C A.評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響 B.評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)

C.評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn) D.評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全

98.在IT項(xiàng)目管理中為了保證系統(tǒng)的安全性，應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理，以下哪一項(xiàng)不是對(duì)數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo)：D A.防止出現(xiàn)數(shù)據(jù)范圍以外的值 B.防止出現(xiàn)錯(cuò)誤的數(shù)據(jù)處理順序 C.防止緩沖區(qū)溢出攻擊 D.防止代碼注入攻擊 99.信息安全工程監(jiān)理工程師不需要做的工作是：A A.編寫驗(yàn)收測(cè)試方案 B.審核驗(yàn)收測(cè)試方案 C.監(jiān)督驗(yàn)收測(cè)試過(guò)程 D.審核驗(yàn)收測(cè)試報(bào)告

100.下面哪一項(xiàng)是監(jiān)理單位在招標(biāo)階段質(zhì)量控制的內(nèi)容？A A.協(xié)助建設(shè)單位提出工程需求，確定工程的整體質(zhì)量目標(biāo)

B.根據(jù)監(jiān)理單位的信息安全保障知識(shí)和項(xiàng)目經(jīng)驗(yàn)完成招標(biāo)文件中的技術(shù)需求部分

C.進(jìn)行風(fēng)險(xiǎn)評(píng)估和需求分析完成招標(biāo)文件中的技術(shù)需求部分 D.對(duì)標(biāo)書應(yīng)答的技術(shù)部分進(jìn)行審核，修改其中不滿足安全需求的內(nèi)容

第四篇：成都市高?？蒲性核夹g(shù)交易補(bǔ)貼實(shí)施細(xì)則(暫行)

成都市高?？蒲性核夹g(shù)交易補(bǔ)貼實(shí)施細(xì)則(暫行)

2012-1-4

第一條為推動(dòng)在蓉高校、科研院所面向我市企業(yè)開展技術(shù)轉(zhuǎn)移和技術(shù)合作，促進(jìn)科技成果轉(zhuǎn)化，按照《關(guān)于貫徹落實(shí)<關(guān)于加快科技創(chuàng)新促進(jìn)經(jīng)濟(jì)發(fā)展方式轉(zhuǎn)變的意見>重要舉措的實(shí)施方案》（成委辦發(fā)電[2011]33號(hào)）的要求，制定本實(shí)施細(xì)則。

第二條本細(xì)則所指技術(shù)交易限指履行技術(shù)轉(zhuǎn)讓和技術(shù)開發(fā)兩類技術(shù)合同的行為。技術(shù)合同應(yīng)經(jīng)技術(shù)合同登記機(jī)構(gòu)認(rèn)定登記。

第三條技術(shù)交易補(bǔ)貼對(duì)象為主動(dòng)服務(wù)我市重點(diǎn)產(chǎn)業(yè)發(fā)展，切實(shí)解決我市企業(yè)技術(shù)創(chuàng)新需求并取得明顯成效的在蓉高校、科研院所或其具有獨(dú)立法人資格的技術(shù)轉(zhuǎn)移機(jī)構(gòu)。

第四條我市企業(yè)是指工商注冊(cè)、納稅關(guān)系均在我市且實(shí)施了成果轉(zhuǎn)化的企業(yè)。

第五條對(duì)符合條件的單位按技術(shù)合同中實(shí)際發(fā)生技術(shù)交易額的2%給予補(bǔ)貼。同一項(xiàng)目多次轉(zhuǎn)讓不重復(fù)補(bǔ)貼。單個(gè)技術(shù)合同補(bǔ)貼金額最高100萬(wàn)元。

第六條申請(qǐng)補(bǔ)貼所需的材料。

（一）成都市高校科研院所技術(shù)交易補(bǔ)貼申請(qǐng)表；

（二）技術(shù)合同認(rèn)定登記全套材料復(fù)印件；

（三）實(shí)際發(fā)生技術(shù)交易額收款發(fā)票和銀行進(jìn)帳單復(fù)印件；

（四）技術(shù)吸納方營(yíng)業(yè)執(zhí)照副本及稅務(wù)登記證副本復(fù)印件；

（五）若申請(qǐng)補(bǔ)貼單位為高校、科研院所設(shè)立的具有獨(dú)立法人資格的技術(shù)轉(zhuǎn)移機(jī)構(gòu)，需提供高校、科研院所同意申請(qǐng)補(bǔ)貼的情況說(shuō)明；

（六）其它有關(guān)證明材料。

以上材料均需加蓋單位公章并裝訂成冊(cè)。

第七條市科技局根據(jù)我市產(chǎn)業(yè)發(fā)展技術(shù)需求，每年確定并發(fā)布可申請(qǐng)補(bǔ)貼的單位范圍。

第八條每年3月集中受理上3月至本2月期間登記合同的補(bǔ)貼申請(qǐng)。市科技局對(duì)申報(bào)材料進(jìn)行審核。

第九條對(duì)擬補(bǔ)貼的單位及項(xiàng)目，在成都科技網(wǎng)公示7個(gè)工作日，接受社會(huì)監(jiān)督。

第十條對(duì)公示無(wú)異議的擬補(bǔ)貼單位，由市科技局會(huì)同市財(cái)政局下發(fā)補(bǔ)貼通知，撥付補(bǔ)貼經(jīng)費(fèi)。

第九條對(duì)公示有異議的待異議處理后根據(jù)情況確定次年補(bǔ)貼或不予補(bǔ)貼。

第十一條補(bǔ)貼經(jīng)費(fèi)應(yīng)主要用于高校、科研院所及技術(shù)轉(zhuǎn)移機(jī)構(gòu)技術(shù)轉(zhuǎn)移能力建設(shè)和從事項(xiàng)目技術(shù)轉(zhuǎn)移活動(dòng)。

第十二條對(duì)弄虛作假、虛報(bào)冒領(lǐng)補(bǔ)貼經(jīng)費(fèi)的單位，依據(jù)相關(guān)法律法規(guī)追究責(zé)任，追回全額補(bǔ)貼經(jīng)費(fèi)，并取消其補(bǔ)貼資格。

第十三條本實(shí)施細(xì)則由成都市科學(xué)技術(shù)局負(fù)責(zé)解釋。

第十四條本實(shí)施細(xì)則自2012年元月1日起施行，有效期2年。

第五篇：成都市機(jī)關(guān)事務(wù)管理局

成都市機(jī)關(guān)事務(wù)管理局 2010年工作總結(jié)和2011年主要工作安排 2010年工作總結(jié)

一年來(lái)，在市委市政府的領(lǐng)導(dǎo)下，局班子團(tuán)結(jié)帶領(lǐng)干部職工緊緊圍繞統(tǒng)籌推進(jìn)城鄉(xiāng)一體化和“建設(shè)世界現(xiàn)代田園城市”目標(biāo)，突出機(jī)關(guān)事務(wù)工作重點(diǎn)，深入貫徹落實(shí)科學(xué)發(fā)展觀，堅(jiān)持管理科學(xué)化、保障法制化、服務(wù)社會(huì)化方向，扎實(shí)工作，開拓創(chuàng)新，不斷提高機(jī)關(guān)事務(wù)管理保障服務(wù)水平。

一、突出重點(diǎn)抓管理，著力增強(qiáng)工作效能

一是統(tǒng)籌推進(jìn)南遷計(jì)劃調(diào)整。按照市委、市政府南遷計(jì)劃調(diào)整部署，認(rèn)真落實(shí)問(wèn)題管理機(jī)制和項(xiàng)目督查機(jī)制，及時(shí)研究解決市級(jí)機(jī)關(guān)第一、第二新辦公區(qū)功能布局、基礎(chǔ)設(shè)施建設(shè)、環(huán)境治理等問(wèn)題，高起點(diǎn)、高標(biāo)準(zhǔn)、高要求，有條不紊地推進(jìn)工程進(jìn)度，嚴(yán)格按時(shí)間節(jié)點(diǎn)竣工驗(yàn)收并投入使用，圓滿完成市 1 委、市人大、市政府、市政協(xié)及相關(guān)部門南遷任務(wù)，做到無(wú)縫搬遷、低調(diào)搬遷、和諧搬遷。對(duì)市級(jí)機(jī)關(guān)辦公用房進(jìn)行了系統(tǒng)規(guī)劃和統(tǒng)籌調(diào)配，8個(gè)民主黨派和市城管局、團(tuán)市委等未納入南遷的10多個(gè)部門辦公用房進(jìn)行了優(yōu)化配置，新區(qū)民豐樓建設(shè)進(jìn)展順利，市交委辦公用房二裝加快進(jìn)行，市規(guī)劃、建設(shè)、國(guó)土三部門南遷方案已落實(shí)，完成關(guān)工委、市工商局等部門共計(jì)1.3萬(wàn)平方米辦公用房維修改造。二是充分發(fā)揮資產(chǎn)使用效益。以機(jī)關(guān)國(guó)有資產(chǎn)權(quán)屬管理和公物倉(cāng)建設(shè)為抓手，進(jìn)一步完善市級(jí)機(jī)關(guān)國(guó)有資產(chǎn)管理和公物倉(cāng)管理體系，加快機(jī)關(guān)現(xiàn)有資產(chǎn)的清理、接收、移交工作進(jìn)程，完成70個(gè)市級(jí)部門和原行政中心資產(chǎn)清理登記，組織接收市人大、市政協(xié)和市第三辦公區(qū)部門辦公家具1000余件（套）、空調(diào)800臺(tái)；為市婦聯(lián)、市工商局等部門調(diào)劑空調(diào)720臺(tái)、辦公家具1380件（套），節(jié)約財(cái)政資金1500余萬(wàn)元。三是從嚴(yán)加強(qiáng)公務(wù)用車管理。嚴(yán)格執(zhí)行公務(wù)用車編制配備和使用標(biāo)準(zhǔn)，不斷優(yōu)化公務(wù)用車審批、購(gòu)置、保險(xiǎn)、加油、維修一條龍服務(wù)。全年共審批車輛1310臺(tái)，辦理捐贈(zèng)和調(diào)配車輛38臺(tái)，處理報(bào)廢車輛256臺(tái)；為市委組織部等25個(gè)部門辦理156名聘用駕駛員服務(wù)外包勞務(wù)關(guān)系；完成世界知識(shí)產(chǎn)權(quán)大會(huì)、第十一屆西部博覽會(huì)等32次重大政務(wù)活動(dòng)車輛及后勤保障任務(wù)，受到主辦單位和參會(huì)人員的好評(píng)。四是深入推進(jìn) 2 公共機(jī)構(gòu)節(jié)能。認(rèn)真落實(shí)《公共機(jī)構(gòu)節(jié)能條例》和《公共機(jī)構(gòu)能源資源消耗統(tǒng)計(jì)制度》，扎實(shí)開展市級(jí)機(jī)關(guān)“節(jié)能宣傳周”和“能源緊缺體驗(yàn)日”活動(dòng)，有效實(shí)施120個(gè)市級(jí)部門和20個(gè)區(qū)（市）縣聯(lián)絡(luò)員專門培訓(xùn)，全面推進(jìn)市級(jí)公共機(jī)構(gòu)節(jié)能管理和目標(biāo)考評(píng)工作，完成2010公共機(jī)構(gòu)能耗數(shù)據(jù)統(tǒng)計(jì)上報(bào)，公共機(jī)構(gòu)節(jié)電節(jié)水指標(biāo)在2009年基礎(chǔ)上降低5%。

二、嚴(yán)格標(biāo)準(zhǔn)強(qiáng)服務(wù)，著力增強(qiáng)保障水平

一是積極優(yōu)化政府采購(gòu)平臺(tái)。完善政府采購(gòu)市場(chǎng)價(jià)格監(jiān)測(cè)體系，加強(qiáng)對(duì)協(xié)議和定點(diǎn)供應(yīng)商的日常檢查和監(jiān)督管理，按照監(jiān)管部門審批的采購(gòu)方式和采購(gòu)人的委托，應(yīng)采盡采。全年完成采購(gòu)項(xiàng)目合同2226個(gè)，預(yù)算金額91537.68萬(wàn)元，實(shí)際采購(gòu)總金額79240.448萬(wàn)元，節(jié)約財(cái)政資金12297.23萬(wàn)元，節(jié)約率達(dá)13.43%。其中采購(gòu)地方名優(yōu)產(chǎn)品24136.64萬(wàn)元，占采購(gòu)總金額的30.46%，超額完成目標(biāo)任務(wù)。二是精心組織生活保障服務(wù)。按照“五個(gè)統(tǒng)一”標(biāo)準(zhǔn)和人性化、精細(xì)化服務(wù)要求，積極做好市級(jí)機(jī)關(guān)集中區(qū)生活服務(wù)保障工作。采取請(qǐng)進(jìn)來(lái)、走出去的辦法，精心打造和提高機(jī)關(guān)餐飲服務(wù)隊(duì)伍專業(yè)化技能，定期公示食品安全信息和菜譜標(biāo)準(zhǔn)，為9個(gè)集中辦公區(qū)70多個(gè)部門6000余人提供餐飲保障服務(wù)，干部職工滿意率達(dá)95%以上。三是主動(dòng)轉(zhuǎn)變會(huì)議服務(wù)理念。通過(guò)規(guī)范標(biāo)準(zhǔn)制度、實(shí)現(xiàn)流程再造、加 3 強(qiáng)業(yè)務(wù)培訓(xùn)、優(yōu)化人員組合，促進(jìn)機(jī)關(guān)會(huì)議服務(wù)由傳統(tǒng)模式向星級(jí)化方向轉(zhuǎn)變，市級(jí)機(jī)關(guān)1200余次大小會(huì)議得到優(yōu)質(zhì)服務(wù)，機(jī)關(guān)部門滿意率達(dá)95%以上。四是持續(xù)強(qiáng)化安保服務(wù)規(guī)范。進(jìn)一步健全完善《處置突發(fā)事件預(yù)案》、《人員進(jìn)出管理制度》、《消防安全管理制度》和《車輛管理制度》等規(guī)章，堅(jiān)持制度管理、規(guī)范管理。協(xié)調(diào)處理集體上訪事件27批1483人次，維護(hù)了機(jī)關(guān)良好辦公秩序。五是著力打造物業(yè)服務(wù)品牌。通過(guò)對(duì)局屬銀杏物業(yè)公司精心打造，由原來(lái)的二級(jí)資質(zhì)升為一級(jí)資質(zhì)，不斷提高四大機(jī)關(guān)辦公區(qū)、東南苑市級(jí)機(jī)關(guān)干部職工集中住宅區(qū)物業(yè)服務(wù)水平，同時(shí)成功獲得省政協(xié)機(jī)關(guān)物業(yè)外包服務(wù)的走出去戰(zhàn)略，受到市領(lǐng)導(dǎo)和廣大機(jī)關(guān)干部職工的肯定。通過(guò)加強(qiáng)對(duì)華昌物業(yè)公司的監(jiān)管指導(dǎo)，機(jī)關(guān)集中辦公區(qū)物業(yè)服務(wù)不斷優(yōu)化。

三、深化改革謀發(fā)展，著力增強(qiáng)機(jī)制創(chuàng)新

一是積極探索公車制度改革。按照今年國(guó)務(wù)院廉政工作會(huì)議精神和市領(lǐng)導(dǎo)安排，在學(xué)習(xí)調(diào)研杭州等地實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，向93個(gè)市級(jí)部門發(fā)放調(diào)查統(tǒng)計(jì)表，收集整理相關(guān)數(shù)據(jù)，重點(diǎn)選擇四大辦公廳、政法部門、垂直管理系統(tǒng)等21個(gè)部門進(jìn)行實(shí)地調(diào)研，認(rèn)真征求建議意見，研究提出了《市級(jí)機(jī)關(guān)公務(wù)用車改革實(shí)施意見（送審稿）》、《市級(jí)機(jī)關(guān)公務(wù)用車改革比較分析》和《市級(jí)機(jī)關(guān)公務(wù)接待用車改革方案（討論稿）》，為探索構(gòu)建公 4 務(wù)用車保障服務(wù)新機(jī)制奠定了基礎(chǔ)條件。二是切實(shí)推行服務(wù)項(xiàng)目外包。按照機(jī)關(guān)后勤服務(wù)社會(huì)化改革思路，在推行市級(jí)機(jī)關(guān)聘用駕駛員、機(jī)關(guān)接待用車服務(wù)外包的基礎(chǔ)上，積極做好機(jī)關(guān)集中辦公區(qū)物業(yè)管理和電梯、消防、空調(diào)、機(jī)房等重要設(shè)施設(shè)備維保項(xiàng)目服務(wù)外包，實(shí)現(xiàn)機(jī)關(guān)后勤由“自我服務(wù)”向“購(gòu)買服務(wù)”轉(zhuǎn)變。為建立監(jiān)督制約機(jī)制，研究制定了《成都市市級(jí)機(jī)關(guān)集中辦公區(qū)后勤服務(wù)外包項(xiàng)目監(jiān)督管理辦法（試行）》，有效提升集中辦公區(qū)綜合管理效能。三是不斷完善統(tǒng)籌聯(lián)動(dòng)機(jī)制。按照統(tǒng)籌的思路和理念，進(jìn)一步完善了市級(jí)部門和區(qū)（市）縣機(jī)關(guān)事務(wù)工作聯(lián)系制度，采取黨組成員包（圈）層、機(jī)關(guān)處室包片、機(jī)關(guān)干部包點(diǎn)的辦法，加強(qiáng)對(duì)市級(jí)部門和區(qū)（市）縣機(jī)關(guān)事務(wù)工作的溝通協(xié)調(diào)和聯(lián)系指導(dǎo)，形成全市橫向到邊、縱向到底的機(jī)關(guān)事務(wù)工作格局。

四、充實(shí)載體促建設(shè)，著力增強(qiáng)內(nèi)部活力

一是加強(qiáng)干部教育培訓(xùn)。按照創(chuàng)建學(xué)習(xí)型黨組織的要求，著眼于“建設(shè)世界現(xiàn)代田園城市”的思維理念，抓好機(jī)關(guān)黨員干部系統(tǒng)理論學(xué)習(xí)和業(yè)務(wù)知識(shí)培訓(xùn)，不斷提升黨員干部的學(xué)習(xí)能力、知識(shí)素養(yǎng)和工作本領(lǐng)。深入實(shí)施大規(guī)模干部培訓(xùn)，組織36名黨員干部分別參加市上組織的“創(chuàng)新思維月講壇”、“建設(shè)世界現(xiàn)代田園城市”等專門培訓(xùn)，不斷增強(qiáng)黨員干部“三服務(wù)”意識(shí)和本領(lǐng)。5 二是扎實(shí)開展“創(chuàng)先爭(zhēng)優(yōu)”活動(dòng)。按照中央部署和省、市委安排，結(jié)合實(shí)際研究制定《關(guān)于在全局系統(tǒng)基層黨組織和黨員中深入開展創(chuàng)先爭(zhēng)優(yōu)活動(dòng)的實(shí)施方案》，圍繞“五好四強(qiáng)”基層黨組織、“五帶五爭(zhēng)”黨員標(biāo)準(zhǔn)，細(xì)化落實(shí)黨性教育、崗位奉獻(xiàn)、服務(wù)群眾、亮牌示范、組織創(chuàng)新等系列活動(dòng)，基層黨組織的戰(zhàn)斗堡壘作用和廣大黨員先鋒模范作用不斷增強(qiáng)。三是深入抓好黨風(fēng)廉政建設(shè)。深入貫徹市委《八項(xiàng)規(guī)定》，認(rèn)真貫徹執(zhí)行黨風(fēng)廉政建設(shè)和反腐敗工作責(zé)任制，進(jìn)一步健全和強(qiáng)化局內(nèi)部監(jiān)督制約機(jī)制，班子成員和責(zé)任處室分工明確。通過(guò)重點(diǎn)加強(qiáng)對(duì)機(jī)關(guān)事務(wù)工作重要環(huán)節(jié)及后勤服務(wù)單位的監(jiān)督管理，公務(wù)用車管理等4項(xiàng)牽頭任務(wù)、控制樓堂館所建設(shè)等10項(xiàng)協(xié)辦任務(wù)積極落實(shí)，充分發(fā)揮了源頭把關(guān)作用。

2011年主要工作安排

2011年總體工作思路是：深入貫徹落實(shí)科學(xué)發(fā)展觀，緊緊圍繞市委、市政府中心工作，以建設(shè)節(jié)約型機(jī)關(guān)為主線，以管理科學(xué)化、保障法制化、服務(wù)社會(huì)化為取向，突出“規(guī)范、完善、提升、發(fā)展”的工作理念，科學(xué)統(tǒng)籌，靠前服務(wù)，有力保障，為建設(shè)廉潔、務(wù)實(shí)、高效政府機(jī)關(guān)作出新貢獻(xiàn)。

一、強(qiáng)化資源統(tǒng)籌。一是統(tǒng)籌調(diào)配辦公用房。本著“統(tǒng)一規(guī)劃、分步實(shí)施、控制標(biāo)準(zhǔn)、注重效能”原則，按照新一輪政府機(jī)構(gòu)改革部門設(shè)置和整合情況，對(duì)機(jī)關(guān)辦公用房進(jìn)行系統(tǒng)規(guī)劃完善和統(tǒng)籌調(diào)整配置，基本完成南遷計(jì)劃調(diào)整任務(wù)，形成市級(jí)機(jī)關(guān)較為科學(xué)合理的辦公布局。二是統(tǒng)籌配置公共資源。以市級(jí)機(jī)關(guān)“公物倉(cāng)”為重要平臺(tái)，合理配置和調(diào)整利用機(jī)關(guān)公共資源和服務(wù)資源，推進(jìn)機(jī)關(guān)國(guó)有資產(chǎn)、辦公物資等方面的統(tǒng)籌規(guī)劃、科學(xué)配置、高效利用和規(guī)范處置，切實(shí)提高國(guó)有資產(chǎn)使用效益。三是統(tǒng)籌推進(jìn)區(qū)縣工作。著眼市級(jí)、放眼區(qū)（市）縣，以公共機(jī)構(gòu)節(jié)能、公車管理、政府采購(gòu)等內(nèi)容為工作載體，加強(qiáng)全市機(jī)關(guān)事務(wù)工作指導(dǎo)和全面統(tǒng)籌，促進(jìn)區(qū)（市）縣機(jī)關(guān)事務(wù)工作體制機(jī)制和職能更加規(guī)范統(tǒng)一，建立縱向聯(lián)系、橫向溝通的機(jī)關(guān)事務(wù)工作機(jī)制，形成全市機(jī)關(guān)事務(wù)工作一體化格局。

二、完善制度標(biāo)準(zhǔn)。根據(jù)市級(jí)機(jī)關(guān)集中辦公區(qū)布局特點(diǎn)，結(jié)合新一輪政府機(jī)構(gòu)改革實(shí)際，健全完善機(jī)關(guān)事務(wù)新的管理體制、保障機(jī)制和服務(wù)標(biāo)準(zhǔn)，建立集中統(tǒng)一、權(quán)責(zé)明確的管理體制，科學(xué)規(guī)范、系統(tǒng)完善的保障制度和市場(chǎng)導(dǎo)向、多元并存的服務(wù)機(jī)制。圍繞“房、車、節(jié)、購(gòu)”四大機(jī)關(guān)事務(wù)工作主干職能，按照“實(shí)用性、創(chuàng)新性、可操作性”的原則，對(duì)各項(xiàng)管理制度逐一進(jìn)行梳理、修訂，健全完善機(jī)關(guān)公用物資、經(jīng)費(fèi)保障、用車用房、辦公設(shè)備等配置標(biāo)準(zhǔn)，優(yōu)化工作流程，規(guī)范操作程序，提高管理制度化規(guī)范化水平。堅(jiān)持服務(wù)內(nèi)容、物資采購(gòu)、人員配 7 置、經(jīng)費(fèi)管理、監(jiān)督考核“五個(gè)統(tǒng)一”標(biāo)準(zhǔn)，繼續(xù)完善市級(jí)機(jī)關(guān)餐飲、會(huì)議、物管等服務(wù)工作流程，推進(jìn)保障服務(wù)標(biāo)準(zhǔn)化規(guī)范化體系建設(shè)。

三、加強(qiáng)規(guī)范管理。一是大力推行“信息化”管理。改革傳統(tǒng)管理手段，推進(jìn)管理技術(shù)革新，充分開發(fā)機(jī)關(guān)事務(wù)信息網(wǎng)絡(luò)系統(tǒng)和管理服務(wù)軟件，建立更加完善的市級(jí)機(jī)關(guān)國(guó)有資產(chǎn)、公務(wù)用車、政府采購(gòu)、公共機(jī)構(gòu)節(jié)能等管理信息平臺(tái)，實(shí)行動(dòng)態(tài)管理。二是全面推行“精細(xì)化”管理。按照“精、準(zhǔn)、細(xì)、嚴(yán)”的要求，加強(qiáng)對(duì)市級(jí)機(jī)關(guān)集中辦公區(qū)物業(yè)管理和電梯、消防、空調(diào)、監(jiān)控等重要設(shè)施設(shè)備的管理，細(xì)化目標(biāo)，落實(shí)責(zé)任，力求每項(xiàng)工作崗位化、流程化，提升綜合管理效能。三是積極推行“量化績(jī)效”管理。推行服務(wù)外包監(jiān)管辦法，健全落實(shí)對(duì)服務(wù)外包單位的目標(biāo)督查機(jī)制和績(jī)效考評(píng)體系，按照ISO9000質(zhì)量標(biāo)準(zhǔn)體系“過(guò)程控制、持續(xù)改進(jìn)”的基本方法，實(shí)現(xiàn)對(duì)每項(xiàng)業(yè)務(wù)過(guò)程的全面控制、監(jiān)測(cè)和考核，從嚴(yán)獎(jiǎng)懲兌現(xiàn)。

四、推進(jìn)節(jié)能節(jié)約。一是依法推進(jìn)公共機(jī)構(gòu)節(jié)能。根據(jù)公共機(jī)構(gòu)能耗綜合水平和特點(diǎn)，研究制定本級(jí)公共機(jī)構(gòu)的能源消耗定額，逐步建立能源消耗定額標(biāo)準(zhǔn)體系。協(xié)調(diào)推進(jìn)分散辦公的公共機(jī)構(gòu)開展能源消費(fèi)分戶、分類、分項(xiàng)計(jì)量工作，加快能耗監(jiān)測(cè)體系建設(shè)。扎實(shí)開展市級(jí)機(jī)關(guān)“節(jié)能宣傳周”和“能源緊缺體驗(yàn)日”活動(dòng)。二是探索降低成本的改革措施。積極研究和優(yōu)化市級(jí)機(jī)關(guān)公務(wù)用車制度改革方案，探索組建市級(jí)機(jī)關(guān)公車服務(wù) 8 中心，逐步推進(jìn)市級(jí)機(jī)關(guān)公務(wù)接待用車社會(huì)化市場(chǎng)化改革。完善和創(chuàng)新“公物倉(cāng)”管理方式，提高機(jī)關(guān)國(guó)有資產(chǎn)使用效益。拓寬政府采購(gòu)服務(wù)領(lǐng)域和管理平臺(tái)，發(fā)揮規(guī)模效益，提高政府采購(gòu)節(jié)約率。三是強(qiáng)化機(jī)關(guān)運(yùn)行經(jīng)費(fèi)管理。健全機(jī)關(guān)運(yùn)行經(jīng)費(fèi)管理機(jī)制，加強(qiáng)機(jī)關(guān)運(yùn)行經(jīng)費(fèi)支出標(biāo)準(zhǔn)體系建設(shè)，完善實(shí)物定額制度，提高財(cái)政資金使用效益。

五、提升服務(wù)質(zhì)量。一是延伸服務(wù)內(nèi)容。促進(jìn)和諧機(jī)關(guān)建設(shè)，堅(jiān)持以人為本理念，做細(xì)做實(shí)為領(lǐng)導(dǎo)、為機(jī)關(guān)、為職工群眾的服務(wù)工作，打造物資配送新的服務(wù)亮點(diǎn)，提供新的服務(wù)內(nèi)容，改進(jìn)新的服務(wù)模式，方便機(jī)關(guān)干部職工的工作和生活。二是打造服務(wù)品牌。精心打造“機(jī)關(guān)干部之家”的餐飲、會(huì)議、物業(yè)等服務(wù)品牌，落實(shí)名師名廚培訓(xùn)計(jì)劃，建立一支精干的管理人才和技術(shù)骨干隊(duì)伍，奠定可靠的人才儲(chǔ)備基礎(chǔ)。三是增強(qiáng)后勤實(shí)力。把轉(zhuǎn)變經(jīng)營(yíng)方式、提高經(jīng)營(yíng)質(zhì)量作為核心內(nèi)容，廣開渠道增加經(jīng)營(yíng)收入，堵塞漏洞控制成本支出，積累資金增強(qiáng)發(fā)展后勁，著力提升局屬單位的可持續(xù)發(fā)展水平。

六、激發(fā)內(nèi)部活力。一是優(yōu)化崗位職能設(shè)置。以新一輪政府機(jī)構(gòu)改革為契機(jī)，按照管理局新的“三定”方案，進(jìn)一步強(qiáng)化職能處室建設(shè)，改變局機(jī)關(guān)政工處室多、業(yè)務(wù)處室少、部分行政管理職能分散在局屬事業(yè)單位的局面。進(jìn)一步優(yōu)化崗位設(shè)置，合理配置人力資源，建立精干高效的工作團(tuán)隊(duì)。二是打造特色后勤文化。通過(guò)深入開展“創(chuàng)先爭(zhēng)優(yōu)”活動(dòng)，開展創(chuàng)建服務(wù)品牌活 9 動(dòng)、全市優(yōu)秀工作成果評(píng)選活動(dòng)、全市機(jī)關(guān)事務(wù)系統(tǒng)先進(jìn)集體和先進(jìn)個(gè)人評(píng)選表彰等一系列活動(dòng)，進(jìn)一步提高后勤隊(duì)伍的健康活力和凝聚力。充分發(fā)揮機(jī)關(guān)黨建和工、青、婦組織的積極作用，不斷探索和豐富后勤文化建設(shè)的載體和內(nèi)容，建立和完善后勤文化陣地，努力挖掘培養(yǎng)后勤干部職工多樣化的文化素質(zhì)和潛力。三是強(qiáng)化內(nèi)部管理監(jiān)督。完善對(duì)局屬單位的目標(biāo)考核體系，強(qiáng)化機(jī)關(guān)對(duì)局屬單位的協(xié)調(diào)和監(jiān)管機(jī)制。進(jìn)一步健全和強(qiáng)化局內(nèi)部監(jiān)督制約機(jī)制，通過(guò)加強(qiáng)對(duì)機(jī)關(guān)事務(wù)工作重要環(huán)節(jié)的監(jiān)督管理，扎實(shí)推進(jìn)各項(xiàng)事業(yè)又好又快發(fā)展。