35.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理,应该实施常规的控制措施,不包括哪些选项 ()

A. 与特定利益集团的联系、信息安全的独立评审

B. 信息处理设施的授权过程、保密性协议、与政府部门的联系

C. 与外部各方相关风险的识别、处理外部各方协议中的安全问题

D. 信息安全的管理承诺、信息安全协调、信息安全职责的分配

64.TCP/IP 协议就 Internet 最基本的协议,也是 Internet 构成的基础,TCP/IP 通常被认为就是一个 N 层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里 N 应等于 ()

A. 4

B. 5

C. 6

D. 7

68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以适应需求,基于角色的访问控制 (RBAC) 逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3误的是 () 。

A. RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0

B. RBAC1 在 RBAC0 的基础上,加入了角色等级的概念

C. RBAC2 在 RBAC1 的基础上,加入了约束的概念

D. RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束

20. 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的,向信息系统 的所有相关方提供信息系统的能够实现其安全保障策略,能够 将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的 评估对象是,信息系统不仅包含了仅讨论技术的信息技术系统,还 包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一 个动态持续的过程,涉及信息系统整个,因此信息系统安全保障的 评估也应该提供一种的信心。

A. 客观证据;安全保障工作;动态持续;信息系统;生命周期

B. 安全保障工作;客观证据;信息系统;生命周期;动态持续

C. 客观证据;安全保障工作;信息系统;生命周期;动态持续

D. 客观证据;安全保障工作;生命周期;信息系统;动态持续

56.在 ISO 的 OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?

A. 加密

B. 数字签名

C. 访问控制

D. 路由控制

66.信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是错误的 ()

A. 背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性

B. 背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单

C. 前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告

D. 背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全需求报告

59. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?

A. ARP 协议是一个无状态的协议

B. 为提高效率,ARP 信息在系统中会缓存

C. ARP 缓存是动态的,可被改写

D. ARP 协议是用于寻址的一个重要协议

85.某政府机构委托开发商开发了一个 OA 系统。其中公交分发功能使用了

A. 程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求

B. 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能

C. 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码

D. 程序员在进行软件测试时,没有针对软件安全需求进行安全测试

77. 由于信息系统的复杂性,因此需要一个通用的框架对其进行解构和描述,然后再基于此框架讨论信息系统的 () 。在 IATF 中,将信息系统的信息安全保障技术层面分为以下四个焦点领域: ( ) :区域边界即本地计算环境的外缘; ( );支持性基础设施,在深度防御技术方案中推荐 ( ) 原则、 ( ) 原则。

A. 网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御

B. 安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御

C. 安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御

D. 本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御

13.《信息安全保障技术框架》 (Information Assurance Technical

A. 中国

B. 美国

C. 欧盟

D. 俄罗斯