第一篇：信息安全管理考試真題

一、判斷題（本題共15道題，每題1分，共15分。請認真閱讀題目，然后在對的題目后面打√，在錯誤的題目后面打×）

1.口令認證機制的安全性弱點，可以使得攻擊者破解合法用戶帳戶信：息，進而非法獲得系統(tǒng)和資源訪問權限。(√)

2.PKI系統(tǒng)所有的安全操作都是通過數(shù)字證書來實現(xiàn)的。(√)

3.PKI系統(tǒng)使用了非對稱算法．對稱算法和散列算法。(√)

4.一個完整的信息安全保障體系，應當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)、恢復(Restoration)五個主要環(huán)節(jié)。(√)

5.信息安全的層次化特點決定了應用系統(tǒng)的安全不僅取決于應用層安全機制，同樣依賴于底層的物理、網(wǎng)絡和系統(tǒng)等層面的安全狀況。(√)

6.實現(xiàn)信息安全的途徑要借助兩方面的控制措施、技術措施和管理措施，從這里就能看出技術和管理并重的基本思想，重技術輕管理，或者重管理輕技術，都是不科學，并且有局限性的錯誤觀點。(√)

7.按照BS 7799標準，信息安全管理應當是一個持續(xù)改進的周期性過程。(√)

8.雖然在安全評估過程中采取定量評估能獲得準確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實際評估多采取定性評估，或者定性和定量評估相結(jié)合的方法。(√)

9.一旦發(fā)現(xiàn)計算機違法犯罪案件，信息系統(tǒng)所有者應當在2天內(nèi)迅速向當?shù)毓矙C關報案，并配合公安機關的取證和調(diào)查。(×)

10.定性安全風險評估結(jié)果中，級別較高的安全風險應當優(yōu)先采取控制措施予以應對。(√)

11.網(wǎng)絡邊界保護中主要采用防火墻系統(tǒng)，為了保證其有效發(fā)揮作用，應當避免在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接。(√)

12.網(wǎng)絡邊界保護中主要采用防火墻系統(tǒng)，在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接，不會影響到防火墻的有效保護作用。(×)

13.防火墻雖然是網(wǎng)絡層重要的安全機制，但是它對于計算機病毒缺乏保護能力。(√)

14.我國刑法中有關計算機犯罪的規(guī)定，定義了3種新的犯罪類型。(×)

15.信息技術基礎設施庫(ITIL)，是由英國發(fā)布的關于IT服務管理最佳實踐的建議和指導方針，旨在解決IT服務質(zhì)量不佳的情況。(√)

二、選擇題（本題共25道題，每題1分，共25分。請認真閱讀題目，且每個題目只有一個正確答案，并將答案填寫在題目相應位置。）

1.防止靜態(tài)信息被非授權訪問和防止動態(tài)信息被截取解密是__D____。

A.數(shù)據(jù)完整性 B.數(shù)據(jù)可用性 C.數(shù)據(jù)可靠性 D.數(shù)據(jù)保密性

2.用戶身份鑒別是通過___A___完成的。

A.口令驗證 B.審計策略 C.存取控制 D.查詢功能

3.故意輸入計算機病毒以及其他有害數(shù)據(jù)，危害計算機信息系統(tǒng)安全的個人，由公安機關處以___B___。

A.3年以下有期徒刑或拘役 B.警告或者處以5000元以下的罰款

C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罰款

4.網(wǎng)絡數(shù)據(jù)備份的實現(xiàn)主要需要考慮的問題不包括__A____。

A.架設高速局域網(wǎng) B.分析應用環(huán)境 C.選擇備份硬件設備 D.選擇

備份管理軟件

5.《計算機信息系統(tǒng)安全保護條例》規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在___C___向當?shù)乜h級以上人民政府公安機關報告。

A.8小時內(nèi) B.12小時內(nèi) C.24小時內(nèi) D.48小時內(nèi)

6.公安部網(wǎng)絡違法案件舉報網(wǎng)站的網(wǎng)址是__C____。

A.B.C.http:// D.7.對于違反信息安全法律、法規(guī)行為的行政處罰中，__A____是較輕的處罰方式。

A.警告 B.罰款C.沒收違法所得 D.吊銷許可證

8.對于違法行為的罰款處罰，屬于行政處罰中的___C___。

A.人身自由罰 B.聲譽罰 C.財產(chǎn)罰 D.資格罰

9.對于違法行為的通報批評處罰，屬于行政處罰中的___B___。

A.人身自由罰 B.聲譽罰 C.財產(chǎn)罰 D.資格罰1994年2月國務院發(fā)布的《計算機信息系統(tǒng)安全保護條例》賦予__C____對計算機信息系統(tǒng)的安全保護工作行使監(jiān)督管理職權。

A.信息產(chǎn)業(yè)部 B.全國人大 C.公安機關 D.國家工商總局

11.《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定，互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的法人和其他組織(包括跨省、自治區(qū)、直轄市聯(lián)網(wǎng)的單位和所屬的分支機構(gòu))，應當自網(wǎng)絡正式聯(lián)通之日起__D____日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機關指定的受理機關辦理備案手續(xù)。

A.7B.10C.15D.30

12.互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位落實的記錄留存技術措施，應當具有至少保存__C__天記錄備份的功能。

A.10B.30C.60 D.90

13.對網(wǎng)絡層數(shù)據(jù)包進行過濾和控制的信息安全技術機制是_A_____。

A.防火墻 B.IDSC.Sniffer D.IPSec

14.針對操作系統(tǒng)安全漏洞的蠕蟲病毒根治的技術措施是____B__。

A.防火墻隔離B.安裝安全補丁程序

C.專用病毒查殺工具D.部署網(wǎng)絡入侵檢測系統(tǒng)

15.下列能夠有效地防御未知的新病毒對信息系統(tǒng)造成破壞的安全措施是__A____。

A.防火墻隔離B.安裝安全補丁程序

C.專用病毒查殺工具D.部署網(wǎng)絡入侵檢測系統(tǒng)

16.下列不屬于網(wǎng)絡蠕蟲病毒的是__C____。

A.沖擊波 B.SQL SLAMMERC.CIH D.振蕩波

17.傳統(tǒng)的文件型病毒以計算機操作系統(tǒng)作為攻擊對象，而現(xiàn)在越來越多的網(wǎng)絡蠕蟲病毒將攻擊范圍擴大到了__A____等重要網(wǎng)絡資源。

A.網(wǎng)絡帶寬 B.數(shù)據(jù)包 C.防火墻 D.LINUX

18.對于遠程訪問型VPN來說，__A____產(chǎn)品經(jīng)常與防火墻及NAT機制存在兼容性問題，導致安全隧道建立失敗。

A.IPSee VPN B.SSL VPNC.MPLS VPN

D.L2TP VPN

19.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB 17859—1999，提出將信息系統(tǒng)的安全等級劃分為___D___個等級，并提出每個級別的安全功能要求。

A.7B.8C.6D.5

20.等級保護標準GB l7859主要是參考了__B____而提出。

A.歐洲ITSECB.美國TCSEC C.CCD.BS 7799

21.我國在1999年發(fā)布的國家標準___C___為信息安全等級保護奠定了基礎。

A.GB l77998B.GB l5408C.GB l7859 D.GB l4430

22.信息安全登記保護的5個級別中，___B___是最高級別，屬于關系到國計民生的最關鍵信息系統(tǒng)的保護。

A.強制保護級 B.?？乇Ｗo級 C.監(jiān)督保護級 D.指導保護級E.自主保護級

23.《信息系統(tǒng)安全等級保護實施指南》將___A___作為實施等級保護的第一項重要內(nèi)容。

A.安全定級 B.安全評估 C.安全規(guī)劃 D.安全實施

24.___C___是進行等級確定和等級保護管理的最終對象。

A.業(yè)務系統(tǒng) B.功能模塊 C.信息系統(tǒng) D.網(wǎng)絡系統(tǒng)

25.當信息系統(tǒng)中包含多個業(yè)務子系統(tǒng)時，對每個業(yè)務子系統(tǒng)進行安全等級確定，最終信息系統(tǒng)的安全等級應當由__B____所確定。

A.業(yè)務子系統(tǒng)的安全等級平均值 B.業(yè)務子系統(tǒng)的最高安全等級

C.業(yè)務子系統(tǒng)的最低安全等級 D.以上說法都錯誤

三、多選題（本題共15道題，每題2分，共30分。請認真閱讀題目，且每個題目至少有兩個答案，并將答案填寫在題目相應位置。）

1.在局域網(wǎng)中計算機病毒的防范策略有______。(ADE)

A.僅保護工作站 B.保護通信系統(tǒng) C.保護打印機

D.僅保護服務器E.完全保護工作站和服務器

2.在互聯(lián)網(wǎng)上的計算機病毒呈現(xiàn)出的特點是______。(ABCD)

A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進行傳播

B.具有多種特征，破壞性大大增強

C.擴散性極強，也更注重隱蔽性和欺騙性

D.針對系統(tǒng)漏洞進行傳播和破壞

3.一個安全的網(wǎng)絡系統(tǒng)具有的特點是______。(ABCE)

A.保持各種數(shù)據(jù)的機密

B.保持所有信息、數(shù)據(jù)及系統(tǒng)中各種程序的完整性和準確性

C.保證合法訪問者的訪問和接受正常的服務

D.保證網(wǎng)絡在任何時刻都有很高的傳輸速度

E.保證各方面的工作符合法律、規(guī)則、許可證、合同等標準

4.任何信息安全系統(tǒng)中都存在脆弱點，它可以存在于______。(ABCDE)

A.使用過程中 B.網(wǎng)絡中 C.管理過程中

D.計算機系統(tǒng)中E.計算機操作系統(tǒng)中

5.______是建立有效的計算機病毒防御體系所需要的技術措施。(ABCDE)

A.殺毒軟件 B.補丁管理系統(tǒng) C.防火墻

D.網(wǎng)絡入侵檢測E.漏洞掃描

6.信息系統(tǒng)安全保護法律規(guī)范的作用主要有______。(ABCDE)

A.教育作用 B.指引作用 C.評價作用

D.預測作用E.強制作用

7.根據(jù)采用的技術，入侵檢測系統(tǒng)有以下分類：______。(BC)

A.正常檢測 B.異常檢測 C.特征檢測

D.固定檢測E.重點檢測

8.在安全評估過程中，安全威脅的來源包括______。(ABCDE)

A.外部黑客 B.內(nèi)部人員 C.信息技術本身

D.物理環(huán)境E.自然界

9.安全評估過程中，經(jīng)常采用的評估方法包括______。(ABCDE)

A.調(diào)查問卷 B.人員訪談 C.工具檢測

D.手工審核E.滲透性測試

10.根據(jù)ISO定義，信息安全的保護對象是信息資產(chǎn)，典型的信息資產(chǎn)包括______。(BC)

A.硬件 B.軟件 C.人員

D.數(shù)據(jù) E.環(huán)境

11.根據(jù)ISO定義，信息安全的目標就是保證信息資產(chǎn)的三個基本安全屬性，包括__。(BCD)

A.不可否認性 B.保密性 C.完整性

D.可用性E.可靠性

12.治安管理處罰法規(guī)定，______行為，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留。(ABCD)

A.違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的B.違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的C.違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的D.故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的13.網(wǎng)絡蠕蟲病毒越來越多地借助網(wǎng)絡作為傳播途徑，包括______。(ABCDE)

A.互聯(lián)網(wǎng)瀏覽 B.文件下載 C.電子郵件

D.實時聊天工具E.局域網(wǎng)文件共享

14.在信息安全管理中進行安全教育與培訓，應當區(qū)分培訓對象的層次和培訓內(nèi)容，主要包括__(ABE)

A.高級管理層 B.關鍵技術崗位人員 C.第三方人員

D.外部人員E.普通計算機用戶

15.網(wǎng)絡入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在______。(BC)

A.關鍵服務器主機 B.網(wǎng)絡交換機的監(jiān)聽端口

C.內(nèi)網(wǎng)和外網(wǎng)的邊界 D.桌面系統(tǒng) E.以上都正確

四、簡答題（本題共5道題，1~4題，每題5分，第5小題10分，共30分。）

1.簡述安全策略體系所包含的內(nèi)容。

答：一個合理的信息安全策略體系可以包括三個不同層次的策略文檔：

（1）總體安全策略，闡述了指導性的戰(zhàn)略綱領性文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責任認定以及對于信息資產(chǎn)的管理辦法等內(nèi)容；

（2）針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、使用辦法、強制要求、角色、責任認定等內(nèi)容，例如，針對Internet訪問操作、計算機和網(wǎng)絡病毒

防治、口令的使用和管理等特定問題，制定有針對性的安全策略；

（3）針對特定系統(tǒng)的具體策略，更為具體和細化，闡明了特定系統(tǒng)與信息安全有關的使用和維護規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。

2.簡述我國信息安全等級保護的級別劃分。

答：(1)第一級為自我保護級。其主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民、法人和其它組織的合法權益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護。

(2)第二級為指導保護級。其主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，必要時，信息安全監(jiān)管職能部門對其進行指導。

(3)第三級為監(jiān)管保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統(tǒng)，器業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害；本機系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。

(4)第四級為強制保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。

(5)第五級為?？乇Ｗo級。其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全社會秩序和公共利益造成特別嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督、檢查。

3.簡述信息安全脆弱性的分類及其內(nèi)容。

答：信息安全脆弱性的分類及其內(nèi)容如下所示；

脆弱性分類：

一、技術脆弱性

1、物理安全：物理設備的訪問控制、電力供應等

2、網(wǎng)絡安全：基礎網(wǎng)絡構(gòu)架、網(wǎng)絡傳輸加密、訪問控制、網(wǎng)絡設備安全漏洞、設備配置安全等

3、系統(tǒng)安全：應用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護等

4、應用安全：應用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護等

二、管理脆弱性

安全管理：安全策略、組織安全、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性、符合性

4.簡述至少4種信息系統(tǒng)所面臨的安全威脅。

答：信息系統(tǒng)所面臨的常見安全威脅如下所示：

軟硬件故障：由于設備硬件故障、通信鏈接中斷、信息系統(tǒng)或軟件Bug導致對業(yè)務、高效穩(wěn)定運行的影響。

物理環(huán)境威脅：斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境條件和自然災害。

無作為或操作失誤：由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意的執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。

管理不到位：安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。

惡意代碼和病毒：具有自我復制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。越權或濫用：通過采用一些，超越自己的權限訪問了本來無權訪問的資源；或者濫用自己的職權，做出破壞信息系統(tǒng)的行為。

黑客攻擊技術：利用黑客工具和技術，例如，偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵。

物理攻擊：物理接觸、物理破壞、盜竊。

泄密：機密信息泄露給他人。

篡改：非法修改信息，破壞信息的完整性。

抵賴：不承認收到的信息和所作的操作和交易。

5.請談談參加本次培訓的體會與提高。

（發(fā)揮題目，請各抒己見）

第二篇：CNKI信息檢索考試真題

CNKI 檢索練習題
文獻出版報表功能，查看您所學專業(yè)，有多少電子期刊、1.通過 CNKI 文獻出版報表功能，查看您所學專業(yè)，有多少電子期刊、博士論文和碩士論文。博士論文和碩士論文。2.在 CNKI“中國期刊全文數(shù)據(jù)庫”中分別用題名、關鍵詞、主題詞、摘要、全文字段查找本專業(yè)某一課題的論文，比較檢索結(jié)果的數(shù) 量有什么不同，哪個字段最多，哪個字段最少，你認為使用哪個 字段檢索查準率最高？ 3.利用“學術期刊全文數(shù)據(jù)庫(CNKI)”查找 2000 年以來長安大學本 學院教師在核心期刊發(fā)表的論文數(shù)。4.利用優(yōu)秀碩博士學位論文數(shù)據(jù)庫查找近五年東南大學本專業(yè)的 博碩士學位論文三篇，請記錄論文篇名、作者姓名，學位授予單位和 導師姓名；并據(jù)此分別查找論文指導導師的其他學術研究論文情況，并各列舉其中三篇論文的題目。

5、查找有關本專業(yè)的會議文獻三篇，并分別寫出會議名稱、作者、舉辦者、舉辦時間、舉辦地點。

6、利用CNKI引文數(shù)據(jù)庫查找本專業(yè)某教師論文被引用情況，記錄總 被引頻次和其中兩條引證文獻的簡要信息。

7、在CNKI“工具書全文數(shù)據(jù)庫”中查找有關本專業(yè)的工具書，請列 舉五種工具書的名稱。

8、請查出兩種本專業(yè)核心期刊的簡要信息及聯(lián)系方式（如主辦單位、出版地、電話、郵編、Email 地址）。

第三篇：信息安全管理體系審核員 真題

ISMS 201409/11

一、簡答

1、內(nèi)審不符合項完成了30/35，審核員給開了不符合，是否正確？你怎么審核？

[參考]不正確。應作如下審核：

（1）詢問相關人員或查閱相關資料（不符合項整改計劃或驗證記錄），了解內(nèi)審不符合項的糾正措施實施情況，分析對不符合的原因確定是否充分，所實施的糾正措施是否有效；

（2）所采取的糾正措施是否與相關影響相適宜，如對業(yè)務的風險影響，風險控制策略和時間點目標要求，與組織的資源能力相適應。

（3）評估所采取的糾正措施帶來的風險，如果該風險可接受，則采取糾正措施，反之可采取適當?shù)目刂拼胧┘纯伞?/p>

綜上，如果所有糾正措施符合風險要求，與相關影響相適宜，則糾正措施適宜。

2、在人力資源部查看網(wǎng)管培訓記錄，負責人說證書在本人手里，培訓是外包的，成績從那里要，要來后一看都合格，就結(jié)束了審核，對嗎？

[參考]不對。

應按照標準GB/T 22080-2008條款5.2.2 培訓、意識和能力的要求進行如下審核：（1）詢問相關人員，了解是否有網(wǎng)管崗位說明書或相關職責、角色的文件？（2）查閱網(wǎng)管職責相關文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓、經(jīng)驗、技術和應用能力方面的評價要求，以及相關的培訓規(guī)程及評價方法；

（3）查閱網(wǎng)管培訓記錄，是否符合崗位能力要求和培訓規(guī)程的規(guī)定要求？（4）了解相關部門和人員對網(wǎng)管培訓后的工作能力確認和培訓效果的評價，是否保持記錄？

（5）如果崗位能力經(jīng)評價不能滿足要求時，組織是否按規(guī)定要求采取適當?shù)拇胧?，以保證崗位人員的能力要求。

二、案例分析

1、查某公司設備資產(chǎn)，負責人說臺式機放在辦公室，辦公室做了來自環(huán)境的威脅的預防；筆記本經(jīng)常帶入帶出，有時在家工作，領導同意了，在家也沒什么不安全的。A 9.2.5 組織場所外的設備安全

應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險

2、某公司操作系統(tǒng)升級都直接設置為系統(tǒng)自動升級，沒出過什么事，因為買的都是正版。A 12.5.2 操作系統(tǒng)變更后應用的技術評審

當操作系統(tǒng)發(fā)生變更時，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。

3、創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運營商提供網(wǎng)絡運營，供應商為了提升服務級別，采用了新技術，也通知了創(chuàng)新公司，但創(chuàng)新認為新技術肯定更好，就沒采取任何措施，后來因為軟件不兼容造成斷網(wǎng)了。

A 10.2.3 第三方服務的變更管理 應管理服務提供的變更，包括保持和改進現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的評估。

4、查某公司信息安全事件處理時，有好幾份處理報告的原因都是感染計算機病毒，負責人說我們嚴格的殺毒軟件下載應用規(guī)程，不知道為什么沒有效，估計其它方法更沒用了。8.2糾正措施

5、查看 web服務器日志發(fā)現(xiàn)，最近幾次經(jīng)常重啟，負責人說剛買來還好用，最近總死機，都聯(lián)系不上供應商負責人了。

A 10.2.1 應確保第三方實施、運行和保持包含在第三方服務交付服務交付協(xié)議中的安全控制措施、服務定義和交付水準。

單選糾錯（選擇一個最佳可行的答案）

1、一個組織或安全域內(nèi)所有信息處理設施與已設精確時鐘源同步是為了：便于探測未經(jīng)授權的信息處理活動的發(fā)生。A.10.10

2、網(wǎng)絡路由控制應遵從：確保計算機連接和信息流不違反業(yè)務應用的訪問控制策略。A.11.4.7

3、針對信息系統(tǒng)的軟件包，應盡量勸阻對軟件包實施變更，以規(guī)避變更的風險。A.12.5.3

4、國家信息安全等級保護采取：自主定級、自主保護的原則。

5、對于用戶訪問信息系統(tǒng)使用的口令，如果使用生物識別技術，可替代口令。A.11.3.1

6、信息安全災備管理中，“恢復點目標”指：災難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求。

7、關于IT系統(tǒng)審核，以下說法正確的是：組織經(jīng)評估認為IT系統(tǒng)審計風險不可接受時，可以刪減。A.15.3

8、依據(jù)GB/T 22080，組織與員工的保密性協(xié)議的內(nèi)容應：反映組織信息保護需要的保密性或不泄露協(xié)議要求。A.6.1.5

9、為了防止對應用系統(tǒng)中信息的未授權訪問，正確的做法是：按照訪問控制策略限制用戶訪問應用系統(tǒng)功能和隔離敏感系統(tǒng)。A.11.1.1 A.11.6.2

10、對于所有擬定的糾正和預防措施，在實施前應先通過（風險分析）過程進行評審。

11、不屬于WEB服務器的安全措施是（保證注冊帳戶的時效性）。

12、文件初審是評價受審核方ISMS文件的描述與審核準則的（符合性）。

13、國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務實施：許可制度。

14、針對獲證組織擴大范圍的審核，以下說法正確的是：一種特殊審核，可以和監(jiān)督審核一起進行。

15、信息安全管理體系初次認證審核時，第一階段審核應：對受審核方信息安全管理體系文件進行審核和符合性評價。

16、文件在信息安全管理體系中是一個必須的要素，文件有助于：確?？勺匪菪?。

17、對一段時間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計分析屬于事件管理。

18、哪一種安全技術是鑒別用戶身份的最好方法：生物測量技術。

19、最佳的提供本地服務器上的處理工資數(shù)據(jù)的訪問控制是：使用軟件來約束授權用戶的訪問。20、當計劃對組織的遠程辦公系統(tǒng)進行加密時，應該首先回答下面哪一個問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。

簡述題

1、審核員在某公司審核時，發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說，因保安負責公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員，你將如何做？

答：應根據(jù)標準GB/T 22080-2008條款A.11.1.1審核以下內(nèi)容：（1）是否有形成文件的訪問控制策略，并且包含針對公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？

（2）訪問控制策略是否基于業(yè)務和訪問的安全要素進行過評審？（3）核實保安角色是否在訪問控制策略中有明確規(guī)定？

（4）核實訪問控制策略的制定是否與各物理區(qū)域風險評價的結(jié)果一致？（5）核實發(fā)生過的信息安全事件，是否與物理區(qū)域非授權進入有關？（6）核實如何對保安進行背景調(diào)查，是否明確了其安全角色和職責？

2、請闡述對GB/T 22080中A.13.2.2的審核思路。答：（1）詢問相關責任人，查閱文件3-5份，了解如何規(guī)定對信息安全事件進行總結(jié)的機制？該機制中是否明確定義了信息安全事件的類型？該機制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價的方法和要求，并包括成功的和未遂事件？

（2）查閱監(jiān)視或記錄3-15條，查閱總結(jié)報告文件3-5份，了解是否針對信息安全事件進行測量，是否就類型、數(shù)量和代價進行了量化的總結(jié)，并包括成功的和未遂事件。（3）查閱文件和記錄以及訪問相關責任人，核實根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。

案例分析題

1、不符合標準GB/T 22080-2008條款 A.11.4.6 網(wǎng)絡連接控制“對于共享的網(wǎng)絡，特別是越過組織邊界的網(wǎng)絡，用戶的聯(lián)網(wǎng)能力應按照訪問控制策略和業(yè)務應用要求加以限制（見A.11.1）。”的要求。

不符合事實：某知名網(wǎng)站總部陳列室中5臺演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。

2、不符合標準GB/T 22080-2008條款 A9.1.2 物理入口控制“安全區(qū)域應由適合的入口控制所保護，以確保只有授權的人員才允許訪問?！钡囊?。

不符合事實：現(xiàn)場發(fā)現(xiàn)未經(jīng)授權的人員張X進出機器和網(wǎng)絡操作機房，卻沒有任何登記記錄，而程序文件（GX28）規(guī)定除授權工作人員可憑磁卡進出外，其余人員進出均須辦理準入和登記手續(xù)。

3、不符合標準GB/T 22080-2008條款4.2.1 d)識別風險“3）識別可能被威脅利用的脆弱性；”的要求。

不符合事實：現(xiàn)場管理人員認為下載的軟件都是從知名網(wǎng)站上下載的，不會有問題。

4、不符合標準GB/T 22080-2008條款8.2 糾正措施“組織應采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生?！钡囊?。

不符合事實：XX銀行在2008年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故，4-5月又發(fā)生7起類似事故。

5、不符合標準GB/T 22080-2008條款A.11.6.1信息訪問控制“用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制”的要求。不符合事實：開發(fā)人員可以修改測試問題記錄。

6、不符合標準GB/T 22080-2008條款A.7.1.3資產(chǎn)的可接受使用“與信息處理設施有關的信息和資產(chǎn)可接受使用規(guī)則應被確定、形成文件并加以實施”的要求。

不符合事實：非常敏感的系統(tǒng)設計文件，公司要求開發(fā)人員只可讀，不可以修改，且不可以在公司其他部門傳閱，但未對開發(fā)人員是否可以打印進行規(guī)定。

7、不符合標準GB/T 22080-2008條款A.11.3.3清空桌面和屏幕策略“應采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略”的要求。

不符合事實：敏感票據(jù)印刷企業(yè)的制版工藝工藝師辦公桌上散放著三份含水量有票據(jù)制版工藝要求的生產(chǎn)通知單。

第四篇：2016年《合同管理》考試真題

2016年監(jiān)理《合同管理》考試題

1、市場經(jīng)濟主要是依據(jù)（）規(guī)范當事人的交易行為。

A、行政手段

B、合同

C、誠信

D、道德

2、根據(jù)《民法通則》，自然人作為合同法律關系主體必須具備的條件是（）。

A、取得相應的執(zhí)業(yè)資格證書

B、有依法成立的公司

C、具有中華人民共和國國籍

D、具備相應的民事權利能力和民事行為能力

3、下列合同中，合同法律關系客體屬于物的是（）。

A、借款合同

B、勘察合同

C、施工合同

D、技術轉(zhuǎn)讓合同

4、下列引起合同法律關系產(chǎn)生、變更與消滅的法律事實仲裁，屬于“行為”的是（）。

A、因國際禁運解除進口設備運輸合同

B、因戰(zhàn)爭導致在建工程合同工期延長

C、因建設意圖改變，建設單位和施工單位協(xié)商變更工程承包范圍

D、因工程所在地山體滑坡，建設單位和施工單位協(xié)商解除合同

5、施工企業(yè)法定代表人授權項目經(jīng)理進行工程項目t投標，中標后***的合同義務由（）c承擔。

A、施工企業(yè)法定代表人

B、擬派項目經(jīng)理

C、施工項目部

D、施工企業(yè)

6、公司甲以其自有辦公樓作為抵押物為公司乙向銀行申請貸款***，并在登記機關辦理了抵押登記，該擔保法律關系中，抵押人為（）。

A、公司甲

B、公司乙

C、銀行

D、登記機關

7、某施工招標項目投標截止日為4月30日，評標時間為5個工作日，招標人發(fā)出中標通知書的時間為5月15日，招標人與中標人簽訂的合同時間為6月14日，則該項目施工投標保證的有效期截止時間為（）。

A、4月30日

B、5月5日

C、5月15日

D、6月14日

8、某工程投標了建設工程一切險，在施工期間現(xiàn)場發(fā)生下列事件造成損失，保險人負責賠償?shù)氖录牵ǎ?/p>

A、大雨造成現(xiàn)場檔案資料損毀

B、雷電擊毀現(xiàn)場施工用配電柜

C、設計錯誤導致部分工程拆除重建

D、施工機械過度磨損需要停工檢修

9、編制施工招標項目的資格預審文件和招標文件時，必須不加修改地引用《標準施工招標資格預審文件》和《標準施工招標文件》中的（）。

A、申請人須知前附表

B、資格審查辦法

C、投標人須知前附表

D、資格預審公告

10、根據(jù)《招標投標法實施條例》招標人可以采用兩階段招標的項目是（）。

A、建設規(guī)模100萬m2以上，建設周期3年以上的項目

B、項目初步設計已完成且施工圖設計尚未完成的項目

C、技術復雜或者無法精確擬定技術規(guī)范的項目

D、構(gòu)成內(nèi)容多且專業(yè)性強的大型項目

11、招標項目設有標底的，標底應當在（）時公布。

A、公布招標公告

B、發(fā)售招標文件

C、開標

D、評標

12、某招標項目，招標人在原定投標截止之日前10天發(fā)出最后一份書面答疑文件，則此時投標截止時間至少延長（）天。

A、5

B、10

C、15

D、20

13、關于延長投標有效期的說法，錯誤的是（）。

A、需要延長投標有效期時，招標人應以書面形式t通知所有投標人

B、投標人統(tǒng)一延長投標有效期，其投標保證金的有效期相應延長

C、投標人可以拒絕y延長投標有效期，但會失去參與投標競爭的資格

D、投標人j拒絕延長投標有效期的，無權收回投標保證金

14、根據(jù)《招標投標法》，投標人可以在（）期間撤回標書并收回投標保證金。

A、收到中標通知書至簽訂合同

B、評標結(jié)束至確定中標人

C、開標至評標結(jié)束

D、提交標書至投標截止時間

15、根據(jù)《標準施工招標資格預審文件》，應在資格預審初步審查階段對投標申請人審查的內(nèi)容是（）。

A、提供資料的有效性和完整性

B、企業(yè)資質(zhì)條件

C、擬派項目經(jīng)理資格

D、企業(yè)類似工程業(yè)績

16、施工評標中，審查投標人名稱與資質(zhì)證書的名稱是否一致，屬于（）評審的內(nèi)容。

A、資格

B、程序

C、響應性

D、形式

17、根據(jù)《標準施工招標文件》，對于大型復雜工程，有特殊專業(yè)施工技術和經(jīng)驗要求的施工招標，宜采用的評標方法是（）。

A.最低投標價法

B.經(jīng)評審的最低投標價法

C.最合理報價評審法

D.綜合評估法

18、施工評標過程中，發(fā)現(xiàn)投標報價大寫金額與小寫金額不一致時，評標委員會正確的處理辦法是（）。

A.以小寫金額為準修正投標報價并經(jīng)投標人書面確認

B.以大寫金額為準修正投標報價并經(jīng)投標人書面確認

C.由投標人書面澄清，按大寫或按小寫來計算投標報價

D.將該投標文件直接作廢標處理

19、某采用經(jīng)評審的最低投標價法評標的項目，其評標價比較 如下： 投標人 甲 乙 丙 投標報價（萬元）3200 3500 3400 ****（萬元）0-100-50 ****（萬元）160-50 20

則第一中標候選人的評標價格和投標報價分別為（）萬元。

A.3200和3200

B.3360和3200

C.3350和3500

D.3370和3400

20、對復雜而又缺乏經(jīng)驗的工程設計，可采用三階段設計，一般不單獨進行（）招標。

A.概念設計

B.初步設計

C.技術設計

D.施工圖設計

21、設計評標時，設計進度計劃評審的主要**進度計劃（）。A、滿足邊設計邊施工的要求

B、有利于加快施工進度

C、與工程勘察實際進度同步

D、滿足招標人指定的項目建設進度計劃要求

22、制定工程材料設備采購招標工作方案時，分階段招標的計劃應以（）為關鍵約束條件。

A、最大限度減少資金時間價值

B、到貨時間滿足施工進度計劃

C、采購資金落實到位情況

D、保證庫存周期最短

23、根據(jù)勘察設計管理的規(guī)定，不得承接某專業(yè)工程設計業(yè)務的是取得（）的企業(yè)。

A、工程設計綜合資質(zhì)

B、本專業(yè)所屬行業(yè)相應等級設計資質(zhì)

C、本專業(yè)所屬行業(yè)更高等級設計資質(zhì)

D、工程設計專項資質(zhì)

24、根據(jù)《建設工程勘察合同（示范文本）》，若有毒、有害等危險勘察現(xiàn)場作業(yè)需要看守時，應由（）**人員負責安全保衛(wèi)工作。

A、發(fā)包人

B、勘察人

C、監(jiān)理人

D、項目施工單位

25、根據(jù)《建設工程設計合同（示范文本）》，關于違約責任的說法，正確的是（）。A、發(fā)包人要求**合同，設計人未開始工作的，不退還定金

B、合同生效后，設計人要求終止合同的，應全額返還定金

C、發(fā)包人上級部門對設計文件不審批導致項目停建，設計人應減收設計費

D、因設計**工程質(zhì)量事故的，設計人應免收工程全部設計費

26、根據(jù)《標準施工合同》，合同附件格式包括（）。

A、項目經(jīng)理任命書

B、合同協(xié)議書

C、工程設備表

D、建筑材料表

27、根據(jù)《標準施工合同》，關于預付款擔保方式及生效的說法，正確的是（）。

A、采用無條件擔保方式，并自預付款支付給承包人起生效

B、采用有條件擔保方式，并自預付款支付給承包人起生效

C、采用無條件擔保方式，并自合同協(xié)議書簽訂之日起生效

D、采用有條件擔保方式，并自合同協(xié)議書簽訂之日起生效

28、根據(jù)《標準施工合同》，當中標通知書、圖紙和專用合同條款出現(xiàn)含義或內(nèi)容矛盾時，合同文件的優(yōu)先解釋的順序是（）。

A、圖紙→專用合同條款→中標通知書

B、圖紙→中標通知書→專用合同條款

C、中標通知書→圖紙→專用合同條款

D、中標通知書→專用合同條款→圖紙

29、為了明確劃分由于政策法規(guī)變化或市場物價浮動對合同價格影響的責任，《標準施工合同》中的通用條款規(guī)定的基準日期是指（）。

A、投標截止日前第14天

B、投標截止日前第28天

C、招標公告發(fā)布之日前第14天

D、招標公告發(fā)布之日前第28天

30、根據(jù)《標準施工合同》，投?！敖ㄖこ桃磺须U”的正確做法是（）。

A、承包人負責投保，并承擔辦理保險的費用

B、發(fā)包人負責投保，并承擔辦理保險的費用

C、承包人負責投保，發(fā)包人承擔辦理保險的費用

D、發(fā)包人負責投保，承包人承擔辦理保險的費用

31、根據(jù)《標準施工合同》，發(fā)包人在工程施工準備階段的義務是（）。

A、組織施工單位測設施工控制網(wǎng)

B、組織監(jiān)理單位編制施工組織設計

C、組織設計單位進行設計交底

D、組織監(jiān)察單位進行現(xiàn)場勘查

32、根據(jù)《標準施工合同》，合同工期應自（）載明了開工日起計算。

A、發(fā)包人發(fā)出的中標通知書

B、監(jiān)理人發(fā)出的開工通知

C、合同雙方簽訂的合同協(xié)議書

D、監(jiān)理人批準的施工進度計劃

33、根據(jù)《標準施工合同》，因承包人原因逾期竣工時，承包人應支付逾期竣工違約金，最高賠償限額為（）。

A.公尺結(jié)算價的2%

B.簽約合同價的2%

C.工程結(jié)算加的3%

D.簽約合同價的3%

34、根據(jù)《標準施工合同》，對于發(fā)包人提供的材料和工程設備，承包人應在約定時間內(nèi)（）共同進行驗收。

A.會同監(jiān)理人在交貨地點

B.會同發(fā)包人代表、監(jiān)理人在交貨地點

C.會同監(jiān)理人在施工現(xiàn)場

D.會同發(fā)包人代表、監(jiān)理人在施工現(xiàn)場

35、根據(jù)《標準施工合同》，因承包人原因未在約定的工期內(nèi)竣工時，原約定j竣工日的價格指數(shù)和實際支付日的價格指數(shù)會有所不同，后續(xù)支付時應將（）作為支付計算的價格指數(shù)。

A、兩個價格指數(shù)中的較高者

B、兩個價格指數(shù)中的均值

C、兩個價格指數(shù)中的較低者

D、兩個價格指數(shù)按約定**的均值

36、工程施工過程中，對于變更工作的單價在已標價工程量清單中無法適用或類似子目時，應由監(jiān)理人按照（）的原則商定或確定。

A、成本加酬金

B、成本加利潤

C、成本加規(guī)費

D、直接成本加間接成本

37、根據(jù)《標準施工合同》，發(fā)包人在收到承包人竣工驗收申請報告（）天后未進行驗收，視為驗收h合格。A、14

B、28

C、42

D、56

38、建設工程采用設計施工總承包模式的優(yōu)點有（）。

A、減少設計變更

B、易獲得最優(yōu)設計方案

C、加強發(fā)包人對承包人的監(jiān)督

D、減少承包人的風險

39、根據(jù)《標準施工總承包招標文件》中的《合同條款及格式》，下列文件中，屬于設計施工總承包合同組成文件的是（）。

A、工程量清單

B、發(fā)包人要求

C、單位分析表

D、發(fā)包人建議

40、建設工程設計施工總承包合同中“承包人文件”最重要的組成內(nèi)容是（）。

A、價格清單

B、分析軟件

C、設計文件

D、計算書

41、根據(jù)《標準施工總承包招標文件》中的《合同條款及格式》，承包人應保證其投保需第三者責任險在（）前一直有效。

A、簽發(fā)工程驗收證書

B、出具最終結(jié)清證書

C、提交竣工驗收報告

D、頒發(fā)缺陷責任期終止證書

42、根據(jù)《標準施工總承包招標文件》中的《合同條款及格式》，承包人應根據(jù)價格清單中的價格構(gòu)成、費用性質(zhì)、計劃發(fā)生時間和相應工作量等因素編制（）。

A、工程進度款z支付分解表

B、投資計劃使用分配表

C、工程進度款使用計劃表

D、建設資金平衡表

43、根據(jù)《標準施工總承包招標文件》中的《合同條款及格式》，竣工試驗分三階段進行，其中第一階段j進行的是()。

A、聯(lián)動試車

B、保證工程滿足合同要求的試驗

C、功能性試驗

D、產(chǎn)能及環(huán)保指標測試

44、建設工程材料設備采購合同屬于買賣合同，除法律有特殊規(guī)定外，作為合同成立的條件是()。

A、標的物交付

B、當事人之間意思表示一致

C、貨款交付

D、材料設備所有權轉(zhuǎn)移

45、對于需要進行抽樣檢查的工程材料，應在材料采購合同中約定的內(nèi)容有()。

A、抽檢比例和取樣方法

B、抽檢數(shù)量和檢測方法

C、檢測方法和抽檢比例

D、取樣方法和抽檢數(shù)量

46、材料采購合同履行中，可采用判定現(xiàn)場交貨材料質(zhì)量是否符合要求的f方法是()。

A、類比衡量法

B、理論換算法

C、尾差分析法

D、經(jīng)驗鑒別法

47、設備采購合同履行中，賣方根據(jù)合同規(guī)定承擔的與供貨有關的輔助服務稱為()。

A、附加服務

B、額外服務

C、伴隨服務

D、增至服務

48、FIDIC《施工h合同條件》中的“助手”相當于我國工程項目管理中的()。

A、專業(yè)監(jiān)理工程師

B、建設單位代表

C、監(jiān)理員

D、施工項目技術負責人

49、根據(jù)FIDIC《施工合同文件》，關于指定分包商的說法，正確的是()。

A、承包商部分拒絕與雇主選定的分包單位簽訂指定分包合同

B、承包商對指定分包商的施工協(xié)調(diào)收取相應管理費

C、在施工合同履行過程中雇主可根據(jù)需要指定分包內(nèi)容

D、承包商對指定分包商的違約承擔連帶責任

50、根據(jù)NEC《工程施工合同》，對于簽訂合同時價格已經(jīng)確的合同屬于()。

A、目標合同

B、標價合同

C、管理合同

D、成本補償合同

二、多項選擇題。(共30題，每題2分。每題的備選項中，有2個或2個以上符合題意，至少有1個錯項。錯選，本題不得分;少選，所選的每個選項得0.5分)

51、下列施工合同條款中，屬于合同法律關系內(nèi)容的有()。

A、發(fā)包人名稱

B、承包人名稱

C、發(fā)承包項目名稱

D、提供施工場地的約定

E、工程價款結(jié)算的約定

52、關于無權代理的說法，正確的有()。

A、超越代理權限而為的“代理”行為屬于無權代理

B、代理權終止后的“代理”行為的后果直接歸屬“被代理人”

C、對無權代理行為，“被代理人”可以行使“追認權”

D、無權代理行為按一定程序可以轉(zhuǎn)化為h合法代理行為

E、無權代理行為由行為人承擔民事責任

53、根據(jù)《擔保法》，保證合同對擔保范圍設有約定時，保證擔保的范圍包括()。

A、主債權及利息

B、違約金

C、行政罰款

D、損害賠償金

E、實現(xiàn)債權的費用

54、項目實施過程中發(fā)生下列情況時，發(fā)包人可以憑施工履約保證索取保證金的有()。

A、中標人在簽訂合同時向招標人提出附加條件

B、承包人在施工過程中毀約

C、發(fā)生不可抗力導致合同無法履行

D、承包人破產(chǎn)、倒閉使合同不能履行

E、因宏觀經(jīng)濟形勢變化，發(fā)包人要求推遲完工時間

55、關于施工招標資格預審和資格后審的說法，正確的有()。

A、兩者均是考察投標人是否具備圓滿完成招標工程地施工能力

B、通過資格預審的，在評標過程中不需要對投標人資格進行復查

C、資格后審在評標后定標前進行

D、資格后審和資格預審的時間不同

E、資格后審的內(nèi)容比資格預審少

56、采用兩階段招標的項目，關于第二階段的說法，正確的有()。

A、第二階段開標會上只宣讀修改后的技術標

B、第二階段評標不再召開投標書問題澄清會

C、未按第一階段提出的要求進行修改的標書將被淘汰

D、第二階段評標的重點是各投標人的投標報價

E、第二階段要對各投標人的投標報價進行評審

57、下列文件中，屬于招標文件組成內(nèi)容的有()。

A、投標人針對招標文件提出的質(zhì)疑

B、投標預備會的會議紀要

C、對投標人質(zhì)疑的書面解答

D、招標人發(fā)布的資格預審公告

E、招標人對投標文件的修改

58、關于投標預備會的說法，正確的有()。

A、投標預備會是法定的招標程序

B、投標預備會上應進行招標工程交底

C、投標預備會由工程監(jiān)理單位組織召開

D、投標預備會應澄清投標人提出的質(zhì)疑

E、投標預備會后投標人不得再提出質(zhì)疑的問題

59、根據(jù)《標準施工招標資格預審文件》，下列單位中，將被拒絕作為資格預審申請人的有()

A、承擔本標段設計任務的設計施工總承包單位。

B、本標段的監(jiān)理人

C、與本標段招標代理機構(gòu)同為一個法定代表人的單位

D、與招標人同屬一個行政主管部門的單位

E、招標人不具備獨立法人資格的附屬機構(gòu)

60、根據(jù)《招標投標法實施條例》，下列情形中，視為投標人相互串通的有()。

A、投標人d的投標報價與招標標底一致

B、不同投標人的投標文件由同一單位編制

C、不同投標人委托同一單位辦理投標事宜

D、不同投標人的投標函格式相同

E、不同投標人的投標文件異常一致

61.關于經(jīng)評審的最低投標價法的說法，正確的有()。

A、該方法適用于具有通用技術、性能標準沒有特殊要求的項目評標

B、該方法一般將投標人施工組成設計審查放在初步評審階段

C、中標人應按其經(jīng)評審的最低投標價與招標人簽訂合同

D、投標人不得在標書中以若中標可以優(yōu)惠降低的方式提出兩個報價

E、投標人可以低于成本的價格報價

62、國有資金控股必須依法招標的項目，招標人可以選擇排名第二的中標候選人為中標人的情形有()。

A、排名第一的中標候選人放棄中標

B、排名第一的中標候選人因不可抗力提出不能履行合同

C、招標人認為排名第一的中標候選人價格提高

D、第一中標候選人未按招標文件要求提交合約保證金

E、第一中標候選人為接受招標人提出縮短工期要求

63、機電設備采購招標范圍的伴隨服務內(nèi)容包括()。

A、負責所供貨的設備監(jiān)造

B、提供貨物組裝和維修所需的專用工具

C、提供詳細的操作和維護手冊

D、監(jiān)管施工承包商的設備安裝并對安裝質(zhì)量負責

E、對買方的維修、運行和管理人員進行培訓

64、建設工程勘察合同委托的工作內(nèi)容有()。

A、工程放線測量

B、大地測量

C、結(jié)算工程量測量

D、水文地質(zhì)勘察

E、工程地質(zhì)勘察

65、根據(jù)《建設工程設計合同(示范文本)》，設計方的合同責任有()。

A、保護設計方案、圖紙、數(shù)據(jù)等知識產(chǎn)權

B、保證設計質(zhì)量滿足規(guī)定的標準和合同要求

C、施工圖設計完成后報送建設行政主管部門審批

D、負責向發(fā)包人和施工單位進行設計交底

E、解決施工過程出現(xiàn)的設計問題

66、根據(jù)《標準施工合同》，合同協(xié)議書中需要明確填寫的內(nèi)容有()。

A、施工工程或標段

B、工程結(jié)算方式

C、質(zhì)量標準

D、合同組成文件

E、變更處理程序

67、根據(jù)《標準施工合同》，如果承包人有專利技術且有相應設計資質(zhì)，雙方約定由承包人完成部分工程施工圖設計時，需要在d訂立合同時明確的內(nèi)容有()。

A、發(fā)包人提交施工圖審查的時間

B、承包人的設計范圍

C、承包人提交設計文件的期限

D、承包人提交設計文件的數(shù)量

E、監(jiān)理人簽發(fā)圖紙修改的期限

68、如果投保工程一切險的保險金額少于工程實際價值，工程因保險事件的損害師，正確做法有()。

A、保險公司按投保的保險金額所占b百分比賠償實際損失

B、損失賠償?shù)牟蛔悴糠钟杀ｋU事件的風險責任方負責賠償

C、永久工程損失賠償?shù)牟蛔悴糠钟砂l(fā)包人承擔

D、已完成工程損失由承包人承擔

E、施工設備和進場材料損失由保險公司承擔

69、根據(jù)《標準施工合同》，關于簽約合同價的說法，正確的有()。

A、簽約合同價不包括承包人利潤

B、簽約合同價即為中標價

C、簽約合同價包含暫列金額、暫估價

D、簽約合同價是承包方履行合同義務后應得的全部工程價款

E、簽約合同價應在合同協(xié)議書中寫明

70、根據(jù)《標準施工合同》，關于工程計量的說法，正確的有()。

A、單價子目已完工程量按月計算

B、總價子目的計量支付不考慮市場價格浮動

C、總價子目已完工程量按月計算

D、總價子目表中標明的工程量通常不進行現(xiàn)場計量

E、總價子目表中標明的工程量通常不進行圖紙計量

71、根據(jù)《標準施工合同》，工程施工中承包人有權獲得費用補償和工期延期，并獲得合理利潤的情形有()。

A、發(fā)現(xiàn)文物、石化等的處理

B、發(fā)包人改變合同中任何一項工作的質(zhì)量要求

C、發(fā)包人未按合同約定及時支付工程進度款導致暫停施工

D、隱蔽工程重新檢驗質(zhì)量合格

E、不可抗力事件發(fā)生后的清理工作

72、工程施工專業(yè)分包人與勞務分包人的區(qū)別有（）。

A、保險責任不同

B、安全生產(chǎn)管理職責不同

C、勞務人員管理方式不同

D、施工組織不同

E、施工質(zhì)量責任期限不同

73、根據(jù)《標準設計施工總承包招標文件》中的《合同條款及格式》，關于聯(lián)合體承包的說法，正確的有（）。

A、聯(lián)合體協(xié)議經(jīng)監(jiān)理人確認后作為合同附件

B、聯(lián)合體牽頭人負責組織合協(xié)調(diào)聯(lián)合體成員全面履行合同

C、承包人可根據(jù)需要自行修改聯(lián)合體協(xié)議

D、聯(lián)合體的組織合內(nèi)容分工是重要的評標內(nèi)容

E、承包人可根據(jù)需要自選調(diào)整聯(lián)合體組成

74、根據(jù)《標準設計施工總承包招標文件》中的《合同條款及格式》，通常有兩種約定形式，需要合同雙方在專用條款中約定的內(nèi)容有（）。

A、施工場地臨時道路通行權的取得

B、材料和工程設備的提供方

C、計日工和暫估價的補償方式

D、施工圖設計文件的提供方

E、竣工后試驗的責任方

75、根據(jù)《標準設計施工總承包招標文件》中的《合同條款及格式》，發(fā)包人應投保的保險有（）。

A、職業(yè)責任險

B、現(xiàn)場人員工傷保險

C、第三者責任險

D、設計和工程保險

E、現(xiàn)場人員意外傷害保險

76、根據(jù)《標準設計施工總承包招標文件》中的《合同條款及格式》，關于竣工驗收及竣工后試驗的說法，正確的有（）。

A、承包人應在竣工試驗通過后按合同約定進行工程設備試運行

B、承包人應提前21天將申請竣工試驗的通知送達監(jiān)理人

C、工程驗收合格后，發(fā)包人直接向承包人簽發(fā)工程接收證書

D、竣工后試驗通常在缺陷責任期內(nèi)工程安全穩(wěn)定運行一段時間后進行

E、工程接收證書中注明的實際竣工日期以驗收合格的日期為準

77、材料采購合同履行z中，可用于現(xiàn)場交貨數(shù)量驗收的方法有（）。

A、磅差分析法

B、查點法

C、經(jīng)驗鑒別法

D、衡量法

E、理論換算法

78、根據(jù)《機電產(chǎn)品采購國際競爭性招標文件》，賣方應在設備包裝箱相鄰的四面不可擦除的油漆和明顯的英語字樣標出該設備的（）。

A、合同號

B、目的港

C、出發(fā)港

D、收貨人編號

E、提單號

79、根據(jù)FIDIC《施工合同文件》，保證金在工程款頒發(fā)（A、工程移交證書

B、工程接受證書

C、履約證書

D、缺陷責任期終止證書

E、工程保修書

80、關于風險CM模式的說法，正確的有（）。

A、CM合同屬于管理承包合同

B、CM合同采用成本加酬金的計價方式

C、CM承包商不賺取總包、分包合同的差價

D、CM承包商屬于專業(yè)咨詢機構(gòu)

E、CM承包商在工程設計階段參與合同管理）后分次返還。

第五篇：2016下半年軟考信息安全工程師考試真題及答案

2016下半年信息安全工程師考試真題

一、單項選擇

1、以下有關信息安全管理員職責的敘述，不正確的是（）A、信息安全管理員應該對網(wǎng)絡的總體安全布局進行規(guī)劃 B、信息安全管理員應該對信息系統(tǒng)安全事件進行處理 C、信息安全管理員應該負責為用戶編寫安全應用程序 D、信息安全管理員應該對安全設備進行優(yōu)化配置 參考答案：C

2、國家密碼管理局于2006年發(fā)布了“無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法”，其中規(guī)定密鑰協(xié)商算法應使用的是（）A、DH B、ECDSA C、ECDH D、CPK 參考答案：C

3、以下網(wǎng)絡攻擊中，（）屬于被動攻擊 A、拒絕服務攻擊 B、重放 C、假冒 D、流量分析 參考答案：D

4、（）不屬于對稱加密算法 A、IDEA B、DES C、RCS D、RSA 參考答案：D

5、面向身份信息的認證應用中，最常用的認證方法是（）A、基于數(shù)據(jù)庫的認證 B、基于摘要算法認證 C、基于PKI認證 D、基于賬戶名/口令認證 參考答案：D

6、如果發(fā)送方使用的加密密鑰和接收方使用的解密密鑰不相同，從其中一個密鑰難以推出另一個密鑰，這樣的系統(tǒng)稱為（）A、公鑰加密系統(tǒng) B、單密鑰加密系統(tǒng) C、對稱加密系統(tǒng) D、常規(guī)加密系統(tǒng) 參考答案：A

7、S/Key口令是一種一次性口令生產(chǎn)方案，它可以對抗（）A、惡意代碼木馬攻擊 B、拒絕服務攻擊 C、協(xié)議分析攻擊 D、重放攻擊 參考答案：D

8、防火墻作為一種被廣泛使用的網(wǎng)絡安全防御技術，其自身有一些限制，它不能阻止（）

A、內(nèi)部威脅和病毒威脅 B、外部攻擊

C、外部攻擊、外部威脅和病毒威脅 D、外部攻擊和外部威脅 參考答案：A

9、以下行為中，不屬于威脅計算機網(wǎng)絡安全的因素是（）A、操作員安全配置不當而造成的安全漏洞

B、在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息

C、安裝非正版軟件 D、安裝蜜罐系統(tǒng) 參考答案：D

10、電子商務系統(tǒng)除了面臨一般的信息系統(tǒng)所涉及的安全威脅之外，更容易成為黑客分子的攻擊目標，其安全性需求普遍高于一般的信息系統(tǒng)，電子商務系統(tǒng)中的信息安全需求不包括（）A、交易的真實性

B、交易的保密性和完整性 C、交易的可撤銷性 D、交易的不可抵賴性 參考答案：C

11、以下關于認證技術的敘述中，錯誤的是（）A、指紋識別技術的利用可以分為驗證和識別 B、數(shù)字簽名是十六進制的字符串

C、身份認證是用來對信息系統(tǒng)中實體的合法性進行驗證的方法 D、消息認證能夠確定接收方收到的消息是否被篡改過 參考答案：B

12、有一種原則是對信息進行均衡、全面的防護，提高整個系統(tǒng)的安全性能，該原則稱為（）A、動態(tài)化原則 B、木桶原則 C、等級性原則 D、整體原則 參考答案：D

13、在以下網(wǎng)絡威脅中，（）不屬于信息泄露 A、數(shù)據(jù)竊聽 B、流量分析 C、偷竊用戶賬戶 D、暴力破解 參考答案：D

14、未授權的實體得到了數(shù)據(jù)的訪問權，這屬于對安全的（）A、機密性 B、完整性 C、合法性 D、可用性 參考答案：A

15、按照密碼系統(tǒng)對明文的處理方法，密碼系統(tǒng)可以分為（）A、置換密碼系統(tǒng)和易位密碼 B、密碼學系統(tǒng)和密碼分析學系統(tǒng) C、對稱密碼系統(tǒng)和非對稱密碼系統(tǒng) D、分級密碼系統(tǒng)和序列密碼系統(tǒng) 參考答案：A

16、數(shù)字簽名最常見的實現(xiàn)方法是建立在（）的組合基礎之上 A、公鑰密碼體制和對稱密碼體制 B、對稱密碼體制和MD5摘要算法 C、公鑰密碼體制和單向安全散列函數(shù)算法 D、公證系統(tǒng)和MD4摘要算法 參考答案：C

17、以下選項中，不屬于生物識別方法的是（）A、指紋識別 B、聲音識別 C、虹膜識別 D、個人標記號識別 參考答案：D

18、計算機取證是將計算機調(diào)查和分析技術應用于對潛在的、有法律效應的確定和提取。以下關于計算機取證的描述中，錯誤的是（）

A、計算機取證包括對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的提取和歸檔 B、計算機取證圍繞電子證據(jù)進行，電子證據(jù)具有高科技性等特點

C、計算機取證包括保護目標計算機系統(tǒng)，確定收集和保存電子證據(jù)，必須在開計算機的狀態(tài)下進行

D、計算機取證是一門在犯罪進行過程中或之后手機證據(jù) 參考答案：C

19、注入語句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser>0不僅可以判斷服務器的后臺數(shù)據(jù)庫是否為SQL-SERVER，還可以得到（）A、當前連接數(shù)據(jù)庫的用戶數(shù)據(jù) B、當前連接數(shù)據(jù)庫的用戶名 C、當前連接數(shù)據(jù)庫的用戶口令 D、當前連接的數(shù)據(jù)庫名 參考答案：B

20、數(shù)字水印技術通過在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱蔽的水印標記，可以有效地對數(shù)字多媒體數(shù)據(jù)的版權保護等功能。以下各項工，不屬于數(shù)字水印在數(shù)字版權保護必須滿足的基本應用需求的是（）A、安全性 B、隱蔽性 C、魯棒性 D、可見性 參考答案：D

21、有一種攻擊是不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓。這種攻擊叫做（）A、重放攻擊 B、拒絕服務攻擊 C、反射攻擊 D、服務攻擊 參考答案：B

22、在訪問因特網(wǎng)時，為了防止Web頁面中惡意代碼對自己計算機的損害，可以采取的防范措施是（）

A、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區(qū)域 B、在瀏覽器中安裝數(shù)字證書 C、利用IP安全協(xié)議訪問Web站點 D、利用SSL訪問Web站點 參考答案：A

23、下列說法中，錯誤的是（）

A、服務攻擊是針對某種特定攻擊的網(wǎng)絡應用的攻擊 B、主要的滲入威脅有特洛伊木馬和陷阱 C、非服務攻擊是針對網(wǎng)絡層協(xié)議而進行的

D、對于在線業(yè)務系統(tǒng)的安全風險評估，應采用最小影響原則 參考答案：B

24、依據(jù)國家信息安全等級保護相關標準，軍用不對外公開的信息系統(tǒng)至少應該屬于（）

A、二級及二級以上 B、三級及三級以上 C、四級及四級以上 D、無極 參考答案：B

25、電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件 A、網(wǎng)頁 B、純文本 C、程序 D、會話 參考答案：B

26、已知DES算法的S盒如下： 如果該S盒的輸入110011，則其二進制輸出為（）A、0110 B、1001 C、0100 D、0101 參考答案：C

27、在IPv4的數(shù)據(jù)報格式中，字段（）最適合于攜帶隱藏信息 A、生存時間 B、源IP地址 C、版本 D、標識 參考答案：D

28、Kerberos是一種常用的身份認證協(xié)議，它采用的加密算法是（）A、Elgamal B、DES C、MD5 D、RSA 參考答案：B

29、以下關于加密技術的敘述中，錯誤的是（）A、對稱密碼體制的加密密鑰和解密密鑰是相同的 B、密碼分析的目的就是千方百計地尋找密鑰或明文 C、對稱密碼體制中加密算法和解密算法是保密的 D、所有的密鑰都有生存周期 參考答案：C

30、移動用戶有些屬性信息需要受到保護，這些信息一旦泄露，會對公眾用戶的生命財產(chǎn)安全構(gòu)成威脅。以下各項中，不需要被保護的屬性是（）A、用戶身份（ID）B、用戶位置信息 C、終端設備信息 D、公眾運營商信息 參考答案：D

31、以下關于數(shù)字證書的敘述中，錯誤的是（）A、證書通常有CA安全認證中心發(fā)放 B、證書攜帶持有者的公開密鑰

C、證書的有效性可以通過驗證持有者的簽名 D、證書通常攜帶CA的公開密鑰 參考答案：D

32、密碼分析學是研究密碼破譯的科學，在密碼分析過程中，破譯密文的關鍵是（）A、截獲密文

B、截獲密文并獲得密鑰

C、截獲密文，了解加密算法和解密算法 D、截獲密文，獲得密鑰并了解解密算法 參考答案：D

33、利用公開密鑰算法進行數(shù)據(jù)加密時，采用的方法是（）A、發(fā)送方用公開密鑰加密，接收方用公開密鑰解密 B、發(fā)送方用私有密鑰加密，接收方用私有密鑰解密 C、發(fā)送方用公開密鑰加密，接收方用私有密鑰解密 D、發(fā)送方用私有密鑰加密，接收方用公開密鑰解密 參考答案：C

34、數(shù)字信封技術能夠（）

A、對發(fā)送者和接收者的身份進行認證 B、保證數(shù)據(jù)在傳輸過程中的安全性 C、防止交易中的抵賴發(fā)送 D、隱藏發(fā)送者的身份 參考答案：B

35、在DES加密算法中，密鑰長度和被加密的分組長度分別是（）A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位 參考答案：A

36、甲不但懷疑乙發(fā)給他的被造人篡改，而且懷疑乙的公鑰也是被人冒充的，為了消除甲的疑慮，甲和乙決定找一個雙方都信任的第三方來簽發(fā)數(shù)字證書，這個第三方為（）

A、國際電信聯(lián)盟電信標準分部（ITU-T）B、國家安全局（NSA）C、認證中心（CA）D、國家標準化組織（ISO）參考答案：C

37、WI-FI網(wǎng)絡安全接入是一種保護無線網(wǎng)絡安全的系統(tǒng)，WPA加密模式不包括（）

A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK 參考答案：C

38、特洛伊木馬攻擊的威脅類型屬于（）A、授權侵犯威脅 B、滲入威脅 C、植入威脅 D、旁路控制威脅 參考答案：C

39、信息通過網(wǎng)絡進行傳輸?shù)倪^程中，存在著被篡改的風險，為了解決這一安全問題，通常采用的安全防護技術是（）A、加密技術 B、匿名技術 C、消息認證技術 D、數(shù)據(jù)備份技術 參考答案：C

40、甲收到一份來自乙的電子訂單后，將訂單中的貨物送達到乙時，乙否認自己曾經(jīng)發(fā)送過這份訂單，為了解除這種紛爭，采用的安全技術是（）A、數(shù)字簽名技術 B、數(shù)字證書 C、消息認證碼 D、身份認證技術 參考答案：A

41、目前使用的防殺病毒軟件的作用是（）

A、檢查計算機是否感染病毒，清除已感染的任何病毒 B、杜絕病毒對計算機的侵害

C、查出已感染的任何病毒，清除部分已感染病毒 D、檢查計算機是否感染病毒，清除部分已感染病毒 參考答案：D

42、IP地址分為全球地址和專用地址，以下屬于專用地址的是（）A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 參考答案：B

43、下列報告中，不屬于信息安全風險評估識別階段的是（）A、資產(chǎn)價值分析報告 B、風險評估報告 C、威脅分析報告

D、已有安全威脅分析報告 參考答案：B

44、計算機犯罪是指利用信息科學技術且以計算機跟蹤對象的犯罪行為，與其他類型的犯罪相比，具有明顯的特征，下列說法中錯誤的是（）A、計算機犯罪具有隱蔽性

B、計算機犯罪具有高智能性，罪犯可能掌握一些其他高科技手段 C、計算機犯罪具有很強的破壞性 D、計算機犯罪沒有犯罪現(xiàn)場 參考答案：D

45、以下對OSI（開放系統(tǒng)互聯(lián)）參考模型中數(shù)據(jù)鏈路層的功能敘述中，描述最貼切是（）

A、保證數(shù)據(jù)正確的順序、無差錯和完整 B、控制報文通過網(wǎng)絡的路由選擇 C、提供用戶與網(wǎng)絡的接口 D、處理信號通過介質(zhì)的傳輸 參考答案：A

46、深度流檢測技術就是以流為基本研究對象，判斷網(wǎng)絡流是否異常的一種網(wǎng)絡安全技術，其主要組成部分通常不包括（）A、流特征選擇 B、流特征提供 C、分類器 D、響應 參考答案：D

47、一個全局的安全框架必須包含的安全結(jié)構(gòu)因素是（）A、審計、完整性、保密性、可用性

B、審計、完整性、身份認證、保密性、可用性 C、審計、完整性、身份認證、可用性 D、審計、完整性、身份認證、保密性 參考答案：B

48、以下不屬于網(wǎng)絡安全控制技術的是（）A、防火墻技術 B、訪問控制 C、入侵檢測技術 D、差錯控制 參考答案：D

49、病毒的引導過程不包含（）A、保證計算機或網(wǎng)絡系統(tǒng)的原有功能 B、竊取系統(tǒng)部分內(nèi)存

C、使自身有關代碼取代或擴充原有系統(tǒng)功能 D、刪除引導扇區(qū) 參考答案：D

50、網(wǎng)絡系統(tǒng)中針對海量數(shù)據(jù)的加密，通常不采用（）A、鏈路加密 B、會話加密 C、公鑰加密 D、端對端加密 參考答案：C

51、安全備份的策略不包括（）A、所有網(wǎng)絡基礎設施設備的配置和軟件 B、所有提供網(wǎng)絡服務的服務器配置 C、網(wǎng)絡服務

D、定期驗證備份文件的正確性和完整性 參考答案：C

52、以下關于安全套接層協(xié)議（SSL）的敘述中，錯誤的是（）A、是一種應用層安全協(xié)議 B、為TCP/IP連接提供數(shù)據(jù)加密 C、為TCP/IP連接提供服務器認證 D、提供數(shù)據(jù)安全機制 參考答案：A

53、入侵檢測系統(tǒng)放置在防火墻內(nèi)部所帶來的好處是（）A、減少對防火墻的攻擊 B、降低入侵檢測

C、增加對低層次攻擊的檢測 D、增加檢測能力和檢測范圍 參考答案：B

54、智能卡是指粘貼或嵌有集成電路芯片的一種便攜式卡片塑膠，智能卡的片內(nèi)操作系統(tǒng)（COS）是智能卡芯片內(nèi)的一個監(jiān)控軟件，以下不屬于COS組成部分的是（）

A、通訊管理模塊 B、數(shù)據(jù)管理模塊 C、安全管理模塊 D、文件管理模塊 參考答案：B

55、以下關于IPSec協(xié)議的敘述中，正確的是（）A、IPSec協(xié)議是解決IP協(xié)議安全問題的一 B、IPSec協(xié)議不能提供完整性 C、IPSec協(xié)議不能提供機密性保護 D、IPSec協(xié)議不能提供認證功能 參考答案：A

56、不屬于物理安全威脅的是（）A、自然災害 B、物理攻擊 C、硬件故障

D、系統(tǒng)安全管理人員培訓不夠 參考答案：D

57、以下關于網(wǎng)絡釣魚的說法中，不正確的是（）A、網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式 B、網(wǎng)絡釣魚與Web服務沒有關系

C、典型的網(wǎng)絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網(wǎng)站上 D、網(wǎng)絡釣魚是“社會工程攻擊”是一種形式 參考答案：B

58、以下關于隧道技術說法不正確的是（）

A、隧道技術可以用來解決TCP/IP協(xié)議的某種安全威脅問題 B、隧道技術的本質(zhì)是用一種協(xié)議來傳輸另外一種協(xié)議 C、IPSec協(xié)議中不會使用隧道技術 D、虛擬專用網(wǎng)中可以采用隧道技術 參考答案：C

59、安全電子交易協(xié)議SET是有VISA和MasterCard兩大信用卡組織聯(lián)合開發(fā)的電子商務安全協(xié)議。以下關于SET的敘述中，正確的是（）A、SET是一種基于流密碼的協(xié)議

B、SET不需要可信的第三方認證中心的參與

C、SET要實現(xiàn)的主要目標包括保障付款安全，確定應用的互通性和達到全球市場的可接受性

D、SET通過向電子商務各參與方發(fā)放驗證碼來確認各方的身份，保證網(wǎng)上支付的安全性 參考答案：C

60、在PKI中，不屬于CA的任務是（）A、證書的辦法 B、證書的審改 C、證書的備份 D、證書的加密 參考答案：D

61、以下關于VPN的敘述中，正確的是（）

A、VPN指的是用戶通過公用網(wǎng)絡建立的臨時的、安全的連接

B、VPN指的是用戶自己租用線路，和公共網(wǎng)絡物理上完全隔離的、安全的線路 C、VPN不能做到信息認證和身份認證

D、VPN只能提供身份認證，不能提供數(shù)據(jù)加密的功能 參考答案：A 62、掃描技術（）A、只能作為攻擊工具 B、只能作為防御工具

C、只能作為檢查系統(tǒng)漏洞的工具 D、既可以作為工具，也可以作為防御工具 參考答案：D

63、包過濾技術防火墻在過濾數(shù)據(jù)包時，一般不關心（）A、數(shù)據(jù)包的源地址 B、數(shù)據(jù)包的協(xié)議類型 C、數(shù)據(jù)包的目的地址 D、數(shù)據(jù)包的內(nèi)容 參考答案：D

64、以下關于網(wǎng)絡流量監(jiān)控的敘述中，不正確的是（）

A、流量檢測中所檢測的流量通常采集自主機節(jié)點、服務器、路由器接口和路徑等

B、數(shù)據(jù)采集探針是專門用于獲取網(wǎng)絡鏈路流量的硬件設備 C、流量監(jiān)控能夠有效實現(xiàn)對敏感數(shù)據(jù)的過濾 D、網(wǎng)絡流量監(jiān)控分析的基礎是協(xié)議行為解析技術 參考答案：C

65、兩個密鑰三重DES加密：C=CK1[DK2[EK1[P]]],K1≠K2，其中有效的密鑰為（）A、56 B、128 C、168 D、112 參考答案：D

66、設在RSA的公鑰密碼體制中，公鑰為（c，n）=（13,35），則私鑰為（）A、11 B、13 C、15 D、17 參考答案：B

67、雜湊函數(shù)SHAI的輸入分組長度為（）比特 A、128 B、258 C、512 D、1024 參考答案：C

68、AES結(jié)構(gòu)由以下4個不同的模塊組成，其中（）是非線性模塊 A、字節(jié)代換 B、行移位 C、列混淆 D、輪密鑰加 參考答案：A 69、67mod119的逆元是（）A、52 B、67 C、16 D、19 參考答案：C 70、在DES算法中，需要進行16輪加密，每一輪的子密鑰長度為（）A、16 B、32 C、48 D、64 參考答案：C 71-75（1）isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic（2）thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas: Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl（3）Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore（4）thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled（5）signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.（1）A、Cryptography B、Geography C、Stenography D、Steganography（2）A、methods B、software C、tools D、services（3）A、Member B、Management C、Message D、Mail（4）A、powerful B、sophistication C、advanced D、easy（5）A、least B、most C、much D、less 參考答案：A、A、C、B、A

二、案例分析

試題一（共20分）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)?！菊f明】

研究密碼編碼的科學稱為密碼編碼學，研究密碼破譯的科學稱為密碼分析學，密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術，在信息安全領域有著廣泛的應用?！締栴}1】（9分）

密碼學的安全目標至少包括哪三個方面？具體內(nèi)涵是什么？ 【問題2】（3分）

對下列違規(guī)安全事件，指出各個事件分別違反了安全目標中的哪些項？（1）小明抄襲了小麗的家庭作業(yè)。（2）小明私自修改了自己的成績。

（3）小李竊取了小劉的學位證號碼、登錄口令信息、并通過學位信息系統(tǒng)更改了小劉的學位信息記錄和登陸口令，將系統(tǒng)中小劉的學位信息用一份偽造的信息替代，造成小劉無法訪問學位信息系統(tǒng)?！締栴}3】（3分）

現(xiàn)代密碼體制的安全性通常取決于密鑰的安全，文了保證密鑰的安全，密鑰管理包括哪些技術問題？ 【問題4】（5分）

在圖1-1給出的加密過程中，Mi，i=1，2，?，n表示明文分組，Ci，i=1,2，?，n表示密文分組，Z表示初始序列，K表示密鑰，E表示分組加密過程。該分組加密過程屬于哪種工作模式？這種分組密碼的工作模式有什么缺點？

信管網(wǎng)參考答案： 【問題一】

（1）保密性：保密性是確保信息僅被合法用戶訪問，而不被地露給非授權的用戶、實體或過程，或供其利用的特性。即防止信息泄漏給非授權個人或?qū)嶓w，信息只為授權用戶使用的特性。

（2）完整性：完整性是指所有資源只能由授權方或以授權的方式進行修改，即信息未經(jīng)授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

（3）可用性：可用性是指所有資源在適當?shù)臅r候可以由授權方訪問，即信息可被授權實體訪問并按需求使用的特性。信息服務在需要時，允許授權用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性?！締栴}二】（1）保密性（2）完整性（3）可用性 【問題三】

答：密鑰管理包括密鑰的產(chǎn)生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題?！締栴}四】 明密文鏈接模式。缺點：當Mi或Ci中發(fā)生一位錯誤時，自此以后的密文全都發(fā)生錯誤，即具有錯誤傳播無界的特性，不利于磁盤文件加密。并且要求數(shù)據(jù)的長度是密碼分組長度的整數(shù)倍，否則最后一個數(shù)據(jù)塊將是短塊，這時需要特殊處理。試題二（共10分）

閱讀下列說明和圖，回答問題1至問題2，將解答填入答題紙的對應欄內(nèi)?！菊f明】

訪問控制是對信息系統(tǒng)資源進行保護的重要措施，適當?shù)脑L問控制能夠阻止未經(jīng)授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許用戶對資源的訪問。圖2-1給出了某系統(tǒng)對客體traceroute.mpg實施的訪問控制規(guī)則。

【問題1】（3分）

針對信息系統(tǒng)的訪問控制包含哪些基本要素？ 【問題2】（7分）

分別寫出圖2-1中用戶Administrator對應三種訪問控制實現(xiàn)方法，即能力表、訪問控制表、訪問控制矩陣下的訪問控制規(guī)則。信管網(wǎng)參考答案： 【問題1】

主體、客體、授權訪問 【問題二】 能力表：

（主體）Administrator<（客體）traceroute.mpg：讀取，運行> 訪問控制表：

（客體）traceroute.mpg<（主體）Administrator：讀取，運行> 訪問控制矩陣：

試題三（共19分）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)?！菊f明】

防火墻是一種廣泛應用的網(wǎng)絡安全防御技術，它阻擋對網(wǎng)絡的非法訪問和不安全的數(shù)據(jù)傳遞，保護本地系統(tǒng)和網(wǎng)絡免于受到安全威脅。圖3-1改出了一種防火墻的體系結(jié)構(gòu)。

【問題1】（6分）防火墻的體系結(jié)構(gòu)主要有：（1）雙重宿主主機體系結(jié)構(gòu)；（2）（被）屏蔽主機體系結(jié)構(gòu)；（3）（被）屏蔽子網(wǎng)體系結(jié)構(gòu)； 請簡要說明這三種體系結(jié)構(gòu)的特點?！締栴}2】（5分）

（1）圖3-1描述的是哪一種防火墻的體系結(jié)構(gòu)？

（2）其中內(nèi)部包過濾器和外部包過濾器的作用分別是什么？ 【問題3】（8分）設圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內(nèi)部IP地址為10.20.100.2，內(nèi)部包過濾器的外部IP地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1，DMZ中Web服務器IP為10.20.100.6，SMTP服務器IP為10.20.100.8.關于包過濾器，要求實現(xiàn)以下功能，不允許內(nèi)部網(wǎng)絡用戶訪問外網(wǎng)和DMZ，外部網(wǎng)絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內(nèi)部包過濾器規(guī)則如表3-1所示。請完成外部包過濾器規(guī)則表3-2，將對應空缺表項的答案填入答題紙對應欄內(nèi)。

信管網(wǎng)參考答案： 【問題一】

雙重宿主主機體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)是指以一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡與內(nèi)部網(wǎng)絡的任務。

被屏蔽主機體系結(jié)構(gòu)：被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡上的堡壘主機共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外網(wǎng)絡的隔離和對內(nèi)網(wǎng)的保護。

被屏蔽子網(wǎng)體系結(jié)構(gòu)：被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網(wǎng)絡，并且將容易受到攻擊的堡壘主機都置于這個周邊網(wǎng)絡中。其主要由四個部件構(gòu)成，分別為:周邊網(wǎng)絡、外部路由器、內(nèi)部路由器以及堡壘主機?！締栴}二】

（1）屏蔽子網(wǎng)體系結(jié)構(gòu)。

（2）內(nèi)部路由器：內(nèi)部路由器用于隔離周邊網(wǎng)絡和內(nèi)部網(wǎng)絡，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第二道屏障。在其上設置了針對內(nèi)部用戶的訪問過濾規(guī)劃，對內(nèi)部用戶訪問周邊網(wǎng)絡和外部網(wǎng)絡進行限制。

外部路由器：外部路由器的主要作用在于保護周邊網(wǎng)絡和內(nèi)部網(wǎng)絡，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。在其上設置了對周邊網(wǎng)絡和內(nèi)部網(wǎng)絡進行訪問的過濾規(guī)則，該規(guī)則主要針對外網(wǎng)用戶?！締栴}三】

（1）*（2）10.20.100.8（3）10.20.100.8（4）*（5）UDP（6）10.20.100.3（7）UDP（8）10.20.100.3 試題四（共18分）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內(nèi)?！菊f明】

用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認證過程。1.B–>B：A 2.B–>A：{B，Nb}pk（A）3.A–>B：b（Nb）

此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值?！締栴}1】（5分）認證和加密有哪些區(qū)別？ 【問題2】（6分）

（1）包含在消息2中的“Nb”起什么作用？（2）“Nb”的選擇應滿足什么條件？ 【問題3】（3分）

為什么消息3中的Nb要計算哈希值？ 【問題4】（4分）

上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。信管網(wǎng)參考答案： 【問題一】

認證和加密的區(qū)別在于：加密用以確保數(shù)據(jù)的保密性，阻止對手的被動攻擊，如截取，竊聽等；而認證用以確保報文發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充、篡改、重播等?！締栴}二】

（1）Nb是一個隨機值，只有發(fā)送方B和A知道，起到抗重放攻擊作用。（2）應具備隨機性，不易被猜測?！締栴}三】

哈希算法具有單向性，經(jīng)過哈希值運算之后的隨機數(shù)，即使被攻擊者截獲也無法對該隨機數(shù)進行還原，獲取該隨機數(shù)Nb的產(chǎn)生信息?！締栴}四】

攻擊者可以通過截獲h（Nb）冒充用戶A的身份給用戶B發(fā)送h（Nb）。解決思路：用戶A通過將A的標識和隨機數(shù)Nb進行哈希運算，將其哈希值h（A，Nb）發(fā)送給用戶B，用戶B接收后，利用哈希函數(shù)對自己保存的用戶標識A和隨機數(shù)Nb進行加密，并與接收到的h（A，Nb）進行比較。若兩者相等，則用戶B確認用戶A的身份是真實的，否則認為用戶A的身份是不真實的。試題五（共8分）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內(nèi)。【說明】

某一本地口令驗證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內(nèi)容相同則允許進入系統(tǒng)。

【問題1】（4分）

用戶在調(diào)用gets()函數(shù)時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數(shù)的限制？ 【問題2】（4分）

上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。信管網(wǎng)參考答案： 【問題一】

只要輸入長度為24的字符串，其前12個字符和后12個字符一樣即可?！締栴}二】

gets（）函數(shù)必須保證輸入長度不會超過緩沖區(qū)，一旦輸入大于12個字符的口令就會造成緩沖區(qū)溢出。

解決思路：使用安全函數(shù)來代替gets（）函數(shù)，或者對用戶輸入進行檢查和校對，可通過if條件語句判斷用戶輸入是否越界。