CISP模拟一

时间:2019-05-14 19:47:58下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《CISP模拟一》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《CISP模拟一》。

第一篇:CISP模拟一

1、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?

A.提高信息技术产品的国产化率 B.保证信息安全资金投入 C.加快信息安全人才培养

D.重视信息安全应急处理工作 正确答案:A 所在章:信息安全保障

知识点:信息安全保障知识点

4、与PDR模型相比,P2DR模型多了哪一个环节? A.防护 B.检测 C.反应 D.策略 正确答案:D 所在章:信息安全保障

知识点:信息安全保障知识点

24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:

A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实

B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足

C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码

D.在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行 正确答案:D 所在章:信息安全保障

知识点:信息安全保障知识点

26、下面关于信息系统安全保障的说法不正确的是:

A.信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关

B.信息系统安全保障要素包括信息的完整性.可用性和保密性

C.信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障

D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命

正确答案:B 所在章:信息安全保障

知识点:信息安全保障知识点

28、下面关于信息系统安全保障模型的说法不正确的是: A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心

B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化

C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全

D.信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 正确答案:D 所在章:信息安全保障

知识点:信息安全保障知识点

29、关于信息安全保障技术框架(IATF),以下说法不正确的是:

A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本 B.IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施

C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性

D.IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 正确答案:D 所在章:信息安全保障

知识点:信息安全保障知识点

30、关于信息安全保障的概念,下面说法错误的是:

A.信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念

B.信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段 C.在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全

D.信息安全保障把信息安全从技术扩展到管理,通过技术.管理和工程等措施的综合融合,形成对信息.信息系统及业务使命的保障 正确答案:C 所在章:信息安全保障

知识点:信息安全保障知识点

67、Linux系统对文件的权限是以模式位的形式来表示,对于文件名为test的一个文件,属于admin组中user用户,以下哪个是该文件正确的模式表示? A.rwxr-xr-x3useradmin1024Sep1311:58test B.drwxr-xr-x3useradmin1024Sep1311:58test C.rwxr-xr-x3adminuser1024Sep1311:58test D.drwxr-xr-x3adminuser1024Sep1311:58test 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

73、在数据库安全性控制中,授权的数据对象_______,授权子系统就越灵活? A.粒度越小 B.约束越细致 C.范围越大 D.约束范围大 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

77、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是: A.httpd.conf B.srm.conf C.access.conf D.inetd.conf 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

81、下列关于计算机病毒感染能力的说法不正确的是: A.能将自身代码注入到引导区

B.能将自身代码注入到扇区中的文件镜像 C.能将自身代码注入文本文件中并执行

D.能将自身代码注入到文档或模板的宏中代码 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

90、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击? A.Land B.UDPFlood C.Smurf D.Teardrop 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

97、通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效地网络信息流时,这种攻击称之为: A.Land攻击 B.Smurf攻击

C.PingofDeath攻击 D.ICMPFlood 正确答案:D 所在章:信息安全技术 知识点:信息安全技术知识点

100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的: A.设置网络连接时限

B.记录并分析系统错误日志

C.记录并分析用户和管理员操作日志 D.启用时钟同步正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

107、以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证己登录的用户可以完成操作

B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余额进行了冲正操作

C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作

D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

276、下列哪项内容描述的是缓冲区溢出漏洞? A.通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

B.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。

C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上

D.信息技术.信息产品.信息系统在设计.实现.配置.运行等过程中,有意或无意产生的缺陷 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

321、以下哪一项不是工作在网络第二层的隧道协议? A.VTP B.L2F C.PPTP D.L2TP 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

324、下列对于网络认证协议(Kerberos)描述正确的是: A.该协议使用非对称密钥加密机制

B.密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成 C.该协议完成身份鉴别后将获取用户票据许可票据 D.使用该协议不需要时钟基本同步的环境 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

330、下列哪一些对信息安全漏洞的描述是错误的? A.漏洞是存在于信息系统的某种缺陷

B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)

C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失

D.漏洞都是人为故意引入的一种信息系统的弱点 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

333、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A.ARP协议是一个无状态的协议

B.为提高效率,ARP信息在系统中会缓存 C.ARP缓存是动态的,可被改写

D.ARP协议是用于寻址的一个重要协议 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

358、入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点? A.串接到网络线路中

B.对异常的进出流量可以直接进行阻断 C.有可能造成单点故障 D.不会影响网络性能 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

364、以下哪个是恶意代码采用的隐藏技术: A.文件隐藏 B.进程隐藏 C.网络链接隐藏 D.以上都是 正确答案:D 所在章:信息安全技术 知识点:信息安全技术知识点

365、张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

369、公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的: A.乙对信息安全不重视,低估了黑客能力,不舍得花钱

B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费 C.甲未充分考虑网游网站的业务与政府网站业务的区别

D.乙要综合考虑业务.合规性和风险,与甲共同确定网站安全需求 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

370、进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:

A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

B.美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担

C.各国普遍重视信息安全事件的应急响应和处理

D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

373、下列哪一种方法属于基于实体“所有”鉴别方法: A.用户通过自己设置的口令登录系统,完成身份鉴别 B.用户使用个人指纹,通过指纹识别系统的身份鉴别

C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别 D.用户使用集成电路卡(如智能卡)完成身份鉴别 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

374、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法? A.实体“所知”以及实体“所有”的鉴别方法 B.实体“所有”以及实体“特征”的鉴别方法 C.实体“所知”以及实体“特征”的鉴别方法 D.实体“所有”以及实体“行为”的鉴别方法 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

375、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势? A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞 B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确

D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

376、软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的? A.告诉用户需要收集什么数据及搜集到的数据会如何被使用 B.当用户的数据由于某种原因要被使用时,给用户选择是否允许 C.用户提交的用户名和密码属于稳私数据,其它都不是 D.确保数据的使用符合国家.地方.行业的相关法律法规 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

377、以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是: A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝

B.业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色 C.通过角色,可实现对信息资源访问的控制 D.RBAC模型不能实现多级安全中的访问控制 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

378、下面哪一项不是虚拟专用网络(VPN)协议标准: A.第二层隧道协议(L2TP)B.Internet安全性(IPSEC)C.终端访问控制器访问控制系统(TACACS+)D.点对点隧道协议(PPTP)正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

379、鉴别的基本途径有三种:所知.所有和个人特征,以下哪一项不是基于你所知道的: A.口令 B.令牌 C.知识 D.密码 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

380、某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是: A.选购当前技术最先进的防火墙即可 B.选购任意一款品牌防火墙

C.任意选购一款价格合适的防火墙产品 D.选购一款同已有安全产品联动的防火墙 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

381、某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则? A.最小权限 B.权限分离 C.不信任 D.纵深防御 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

382、以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是: A.在传送模式中,保护的是IP负载 B.验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作 C.在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头 D.IPsec仅能保证传输数据的可认证性和保密性 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

383、某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁? A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度

B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等

C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改 D.网站使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

384、以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是: A.PGP可以实现对邮件的加密.签名和认证 B.PGP可以实现数据压缩

C.PGP可以对邮件进行分段和重组 D.PGP采用SHA算法加密邮件 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

385、相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势? A.NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作 B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限 C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率

D.相比FAT文件系统,NTFS文件系统能有效的兼容Linux下EXT2文件格式 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

386、某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:

A.在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中 B.严格设置Web日志权限,只有系统权限才能进行读和写等操作

C.对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等 D.使用独立的分区用于存储日志,并且保留足够大的日志空间 正确答案:A 所在章:信息安全技术

知识点:信息安全技术知识点

387、安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全? A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘

C.操作系统上部署防病毒软件,以对抗病毒的威胁

D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

388、账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击? A.分布式拒绝服务攻击(DDoS)B.病毒传染 C.口令暴力破解 D.缓冲区溢出攻击 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

389、数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:

A.传输层、网络接口层、互联网络层 B.传输层、互联网络层、网络接口层 C.互联网络层、传输层、网络接口层 D.互联网络层、网络接口层、传输层 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

390、关于软件安全开发生命周期(SDL),下面说法错误的是: A.在软件开发的各个周期都要考虑安全因素

B.软件安全开发生命周期要综合采用技术.管理和工程等手段

C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本

D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

391、在软件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能: A.治理,主要是管理软件开发的过程和活动

B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程与活动

D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

394、以下关于直接附加存储(DirectAttachedStorage,DAS)说法错误的是:

A.DAS能够在服务器物理位置比较分散的情况下实现大容量存储,是一种常用的数据存储方法

B.DAS实现了操作系统与数据的分离,存取性能较高并且实施简单

C.DAS的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取

D.较网络附加存储(NetworkAttachedStorage,NAS),DAS节省硬盘空间,数据非常集中,便于对数据进行管理和备份 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

395、某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是_______? A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用https B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施

C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决

D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

396、针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式: A.攻击者利用软件存在逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%

B.攻击者利用软件脚本使用多重嵌套查询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢

C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问

D.攻击者买通了IDC人员,将某软件运行服务器的网线拔掉导致无法访问 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

397、以下哪个选项不是防火墙提供的安全功能? A.IP地址欺骗防护 B.NAT C.访问控制

D.SQL注入攻击防护 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

398、以下关于可信计算说法错误的是:

A.可信的主要目的是要建立起主动防御的信息安全保障体系

B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念

C.可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

D.可信计算平台出现后会取代传统的安全防护体系和方法 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

399、应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是? A.安装最新的数据库软件安全补丁 B.对存储的敏感数据进行安全加密

C.不使用管理员权限直接连接数据库系统

D.定期对数据库服务器进行重启以确保数据库运行良好 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

400、对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:

A.在使用来自外部的移动介质前,需要进行安全扫描 B.限制用户对管理员权限的使用 C.开放所有端口和服务,充分使用系统资源 D.不要从不可信来源下载或执行应用程序 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

401、安全专家在对某网站进行安全部署时,调整了Apache的运行权限,从root权限降低为nobody用户,以下操作的主要目的是: A.为了提高Apache软件运行效率 B.为了提高Apache软件的可靠性

C.为了避免攻击者通过Apache获得root权限 D.为了减少Apache上存在的漏洞 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

402、传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的? A.相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途

B.TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机

C.TCP协议具有流量控制.数据校验.超时重发.接收确认等机制,因此TCP协议能完全替代IP协议

D.TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

403、以下关于UDP协议的说法,哪个是错误的? A.UDP具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击

B.UDP协议包头中包含了源端口号和目的端口号,因此UDP可通过端口号将数据包送达正确的程序

C.相比TCP协议,UDP协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据

D.UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

404、近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是? A.加强网站源代码的安全性 B.对网络客户端进行安全评估 C.协调运营商对域名解析服务器进行加固 D.在网站的网络出口部署应用级防火墙 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

424、关于源代码审核,描述正确的是()

A.源代码审核过程遵循信息安全保障技术框架模型,在执行时应一步一步严格执行

B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具 C.源代码审核如果想要有效率高,则主要要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断

D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试 正确答案:B 所在章:信息安全技术

知识点:信息安全技术知识点

445、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整

D.通过测试证明系统的功能和性能可以满足安全要求 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

476、以下关于“最小特权”安全管理原则理解正确的是: A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限

D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

526、信息系统安全保护等级为3级的系统,应当()年进行一次等级测评。A.0.5 B.1 C.2 D.3 正确答案:B 所在章:信息安全管理

知识点:信息安全管理知识点

545、在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段? A.背景建立 B.风险评估 C.风险处理 D.批准监督 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

552、下列对于信息安全保障深度防御模型的说法错误的是:

A.信息安全外部环境:信息安全保障是组织机构安全,国家安全的一个总要组成部分,因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下

B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统

C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分

D.信息安全技术方案:“从外而内,自下而上,形成边界到端的防护能力” 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

553、信息系统的业务特性应该从哪里获取? A.机构的使命

B.机构的战略背景和战略目标 C.机构的业务内容和业务流程 D.机构的组织结构和管理制度 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

555、以下哪些是需要在信息安全策略中进行描述的: A.组织信息系统安全架构 B.信息安全工作的基本原则 C.组织信息安全技术参数 D.组织信息安全实施手段 正确答案:A 所在章:信息安全管理

知识点:信息安全管理知识点

572、美国的关键信息基础设施(criticalInformationInfrastructure,CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括: A.这些行业都关系到国计民生,对经济运行和国家安全影响深远 B.这些行业都是信息化应用广泛的领域

C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出

D.这些行业发生信息安全事件,会造成广泛而严重的损失 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

573、小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备.信息系统调查.信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书,信息系统的描述报告,信息系统的分析报告,信息系统的安全要求报告。请问小王的所述论点中错误的是哪项:

A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象

B.第二个观点,背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准 C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字 D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书 正确答案:B 所在章:信息安全管理

知识点:信息安全管理知识点

575、以下关于信息安全法治建设的意义,说法错误的是: A.信息安全法律环境是信息安全保障体系中的必要环节

B.明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动 C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源

D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

576、小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少: A.24万 B.0.09万 C.37.5万 D.9万

正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

577、信息安全等级保护分级要求,第三级适用正确的是:

A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益

B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害

C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害

D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害 正确答案:B 所在章:信息安全管理

知识点:信息安全管理知识点

579、以下对于信息安全事件理解错误的是:

A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件

B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分

C.应急响应是信息安全事件管理的重要内容

D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

答案解析:选项D中,杜绝信息安全事件的发生是做不到的。

580、假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备: A.是多余的,因为它们完成了同样的功能,但要求更多的开销 B.是必须的,可以为预防控制的功效提供检测 C.是可选的,可以实现深度防御

D.在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够 正确答案:B 所在章:信息安全管理

知识点:信息安全管理知识点

583、关于信息安全事件管理和应急响应,以下说法错误的是:

A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施

B.应急响应方法,将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段 C.对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素 D.根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级).重大事件(Ⅱ级).较大事件(Ⅲ级)和一般事件(Ⅳ级)正确答案:B 所在章:信息安全管理

知识点:信息安全管理知识点

584、以下关于灾难恢复和数据备份的理解,说法正确的是: A.增量备份是备份从上次完全备份后更新的全部数据文件

B.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级 C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份 D.如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

585、某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档: A.项目计划书 B.质量控制计划 C.评审报告 D.需求说明书 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

588、有关系统安全工程-能力成熟度模型(SSZ-CMM),错误的理解是:

A.SSE-CMM要求实施组织与其他组织相互作用,如开发方.产品供应商.集成商和咨询服务商等

B.SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目

C.基手SSE-CMM的工程是独立工程,与软件工程.硬件工程.通信工程等分别规划实施 D.SSE-CMM覆盖整个组织的活动,包括管理.组织和工程活动等,而不仅仅是系统安全的工程活动 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

589、有关危害国家秘密安全的行为,包括:

A.严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为 B.严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为,但不包括定密不当行为 C.严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为

D.严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为 正确答案:A 所在章:信息安全管理

知识点:信息安全管理知识点

593、最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个? A.软件在Linux下按照时,设定运行时使用nobody用户运行实例

B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库

C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限 D.为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

594、某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条? A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题

B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识 C.要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞

D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

595、某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法? A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低

B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低

C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低

D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同 正确答案:A 所在章:信息安全管理

知识点:信息安全管理知识点

596、某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施? A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析

B.为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险 C.日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志 D.只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

598、在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是: A.建立环境

B.实施风险处理计划 C.持续的监视与评审风险

D.持续改进信息安全管理过程 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

599、以下哪一项不属于常见的风险评估与管理工具: A.基于信息安全标准的风险评估与管理工具 B.基于知识的风险评估与管理工具 C.基于模型的风险评估与管理工具 D.基于经验的风险评估与管理工具 正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

600、以下说法正确的是:

A.验收测试是由承建方和用户按照用户使用手册执行软件验收 B.软件测试的目的是为了验证软件功能是否正确

C.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见 D.软件测试计划开始于软件设计阶段,完成于软件开发阶段 正确答案:C 所在章:信息安全管理

知识点:信息安全管理知识点

602、关于我国加强信息安全保障工作的总体要求,以下说法错误的是: A.坚持积极防御.综合防范的方针 B.重点保障基础信息网络和重要信息系统安全 C.创建安全健康的网络环境

D.提高个人隐私保护意识正确答案:D 所在章:信息安全管理

知识点:信息安全管理知识点

629、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑

B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品

C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实

D.应详细规定系统验收测试中有关系统安全性测试的内容 正确答案:A 所在章:信息安全工程

知识点:信息安全工程知识点

630、在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的: A.测试系统应使用不低于生产系统的访问控制措施 B.为测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施,记录生产数据的拷贝和使用 正确答案:B 所在章:信息安全工程

知识点:信息安全工程知识点

640、从系统工程的角度来处理信息安全问题,以下说法错误的是:

A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。

C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。正确答案:C 所在章:信息安全工程

知识点:信息安全工程知识点 答案解析:应是面向工程的方法

641、以下哪一项不属于信息安全工程监理模型的组成部分: A.监理咨询支撑要素 B.控制和管理手段 C.监理咨询阶段过程 D.监理组织安全实施 正确答案:D 所在章:信息安全工程

知识点:信息安全工程知识点

642、在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容: A.审核实施投资计划 B.审核实施进度计划 C.审核工程实施人员 D.企业资质 正确答案:A 所在章:信息安全工程

知识点:信息安全工程知识点

661、下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通过的表达方式,描述不正确的是_______。

A.如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通。B.通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义

C.通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要

D.通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估 正确答案:D 所在章:信息安全标准

知识点:信息安全标准知识点

663、对涉密系统进行安全保密测评应当依据以下哪个标准?

A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C.GB17859-1999《计算机信息系统安全保护等级划分准则》 D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 正确答案:B 所在章:信息安全标准

知识点:信息安全标准知识点

713、《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:

A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。

D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。正确答案:D 所在章:信息安全标准

知识点:信息安全标准知识点

716、关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:

A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构

B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略

C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功 D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐 正确答案:C 所在章:信息安全标准

知识点:信息安全标准知识点

720、对于数字证书而言,一般采用的是哪个标准? A.ISO/IEC15408 B.802.11 C.GB/T20984 D.X.509 正确答案:D 所在章:信息安全标准

知识点:信息安全标准知识点

722、自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。A.全国通信标准化技术委员会(TC485)B.全国信息安全标准化技术委员会(TC260)C.中国通信标准化协会(CCSA)D.网络与信息安全技术工作委员会 正确答案:B 所在章:信息安全标准

知识点:信息安全标准知识点

723、ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于____。A.BS7799-1《信息安全实施细则》 B.BS7799-2《信息安全管理体系规范》 C.信息技术安全评估准则(简称ITSEC)D.信息技术安全评估通用标准(简称CC)正确答案:B 所在章:信息安全标准

知识点:信息安全标准知识点 731、如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:

A.个人网银系统和用户之间的双向鉴别 B.由可信第三方完成的用户身份鉴别 C.个人网银系统对用户身份的单向鉴别 D.用户对个人网银系统合法性的单向鉴别 正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

732、如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是: A.此密码体制为对称密码体制 B.此密码体制为私钥密码体制 C.此密码体制为单钥密码体制

D.此密码体制为公钥密码体制正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

733、如图所示,主体S对客体01有读(R)权限,对客体02有读(R),写(W),拥有(Own)权限,该图所示的访问控制实现方法是: A.访问控制表(ACL)B.访问控制矩阵 C.能力表(CL)D.前缀表(Profiles)正确答案:C 所在章:信息安全技术

知识点:信息安全技术知识点

734、如图所示,主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址在应该在下列哪个范围? A.10.0.0.0~10.255.255.255 B.172.16.0.0~172.31.255.255 C.192.168.0.0~192.168.255.255 D.不在上述范围内 正确答案:D 所在章:信息安全技术

知识点:信息安全技术知识点

739、以下哪一项不是我国信息安全保障工作的主要目标: A.保障和促进信息化发展 B.维护企业与公民的合法权益 C.构建高效的信息传播渠道 D.保护互联网知识产权 正确答案:C 所在章:信息安全保障

知识点:信息安全保障知识点

第二篇:CISP模拟试题7

.《GB2/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:C A.对抗级 B.防护级 C.能力级 D.监管级

3.下面对信息安全特征和范畴的说法错误的是:C A.信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素

B.信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展

C.信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的

D.信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点

4.美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:C A.内网和外网两个部分

B.本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C.用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分

D.信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分

6.关于信息安全策略的说法中,下面说法正确的是:C A.信息安全策略的制定是以信息系统的规模为基础 B.信息安全策略的制定是以信息系统的网络??? C.信息安全策略是以信息系统风险管理为基础

D.在信息系统尚未建设完成之前,无法确定信息安全策略

8.下列对于信息安全保障深度防御模型的说法错误的是:C A.信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。

C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系无关紧要

D.信息安全技术方案:“从外而内、自下而上、形成端到端的防护能力”

9.下面有关我国信息安全管理体制的说法错误的是:C A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面

B.我国的信息安全保障工作综合利用法律、管理和技术的手段 C.我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针

D.我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责

10.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的?A A.《国家信息化领导小组关于加强信息安全保障工作的意见》 B.《信息安全等级保护管理办法》

C.《中华人民共和国计算机信息系统安全保护条例》 D.《关于加强政府信息系统安全和保密管理工作的通知》

11.一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?A A.公安部公共信息网络安全监察局及其各地相应部门 B.国家计算机网络与信息安全管理中心 C.互联网安全协会 D.信息安全产业商会

12.下列哪个不是《商用密码管理条例》规定的内容:D A.国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作

B.商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理

C.商用密码产品由国家密码管理机构许可的单位销售

D.个人可以使用经国家密码管理机构认可之外的商用密码产品

13.对涉密系统进行安全保密测评应当依据以下哪个标准?B A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C.GB17859-1999《计算机信息系统安全保护等级划分准则》 D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

14.下面对于CC的“保护轮廓”(PP)的说法最准确的是:C A.对系统防护强度的描述

B.对评估对象系统进行规范化的描述 C.对一类TOE的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度

15.关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是:D A.SSE-CMM是关于信息安全建设工程实施方面的标准

B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程

C.SSE-CMM模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证

D.SSE-CMM是用于对信息系统的安全等级进行评估的标准

16.下面哪个不是ISO 27000系列包含的标准 D A.《信息安全管理体系要求》 B.《信息安全风险管理》 C.《信息安全度量》 D.《信息安全评估规范》

17.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征?A A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书

18.下面哪项不是《信息安全等级保护管理办法》(公通字【2007】43号)规定的内容D A.国家信息安全等级保护坚持自主定级、自主保护的原则

B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查

C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级????

D.第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每???少进行一次等级测评

19.触犯新刑法285条规定的非法侵入计算机系统罪可判处A_____。A.三年以下有期徒刑或拘役 B.1000元罚款

C.三年以上五年以下有期徒刑 D.10000元罚款

20.常见密码系统包含的元素是:C A.明文,密文,信道,加密算法,解密算法 B.明文,摘要,信道,加密算法,解密算法 C.明文,密文,密钥,加密算法,解密算法 D.消息,密文,信道,加密算法,解密算法

21.公钥密码算法和对称密码算法相比,在应用上的优势是:D A.密钥长度更长 B.加密速度更快 C.安全性更高 D.密钥管理更方便

22.以下哪一个密码学手段不需要共享密钥?B A.消息认证 B.消息摘要 C.加密解密 D.数字签名

24.下列哪种算法通常不被用户保证保密性?D A.AES B.RC4 C.RSA D.MD5 25.数字签名应具有的性质不包括:C A.能够验证签名者 B.能够认证被签名消息 C.能够保护被签名的数据机密性 D.签名必须能够由第三方验证

26.认证中心(CA)的核心职责是__A___。A.签发和管理数字证书 B.验证信息 C.公布黑名单 D.撤销用户的证书

28.以下对于安全套接层(SSL)的说法正确的是:C A.主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性

B.可以在网络层建立VPN C.主要使用于点对点之间的信息传输,常用Web server方式 D.包含三个主要协议:AH,ESP,IKE

31.下面对访问控制技术描述最准确的是:C A.保证系统资源的可靠性 B.实现系统资源的可追查性 C.防止对系统资源的非授权访问 D.保证系统资源的可信性

32.以下关于访问控制表和访问能力表的说法正确的是:D A.访问能力表表示每个客体可以被访问的主体及其权限 B.访问控制表说明了每个主体可以访问的客体及权限 C.访问控制表一般随主体一起保存

D.访问能力表更容易实现访问权限的传递,但回收访问权限较困难

35.下面哪一项访问控制模型使用安全标签(security labels)?C A.自主访问控制 B.非自主访问控制 C.强制访问控制 D.基于角色的访问控制

39.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?C A.错误拒绝率 B.错误监测率 C.交叉错判率 D.错误接受率 41.某个客户的网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问internet互联网最好采取什么办法或技术:B A.花更多的钱向ISP申请更多的IP地址 B.在网络的出口路由器上做源NAT C.在网络的出口路由器上做目的NAT D.在网络出口处增加一定数量的路由器

42.WAPI采用的是什么加密算法?A A.我国自主研发的公开密钥体制的椭圆曲线密码算法 B.国际上通行的商用加密标准

C.国家密码管理委员会办公室批准的流加密标准 D.国际通行的哈希算法

43.以下哪种无线加密标准的安全性最弱?A A.wep B.wpa C.wpa2 D.wapi

44.以下哪个不是防火墙具备的功能?D A.防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合

B.它是不同网络(安全域)之间的唯一出入口

C.能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流

D.防止来源于内部的威胁和攻击

45.简单包过滤防火墙主要工作在__B____ A.链路层/网络层 B.网络层/传输层 C.应用层 D.会话层

46.桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括:D A.不需要对原有的网络配置进行修改 B.性能比较高

C.防火墙本身不容易受到攻击 D.易于在防火墙上实现NAT

48.以下哪一项不属于入侵检测系统的功能?D A.监视网络上的通信数据流 B.捕捉可以的网络活动 C.提供安全审计报告 D.过滤非法的数据包

49.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作:A A.异常检测 B.特征检测 C.差距分析 D.对比分析

51.在Unix系统中,/etc/service文件记录了什么内容?A A.记录一些常用的接口及其所提供的服务的对应关系 B.决定inetd启动网络服务时,启动哪些服务

C.定义了系统缺省运行级别,系统进入新运行级别需要做什么 D.包含了系统的一些启动脚本

53.以下哪个对windows系统日志的描述是错误的?D A.windows系统默认有三个日志,系统日志、应用程序日志、安全日志

B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障 C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息

D.安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等

54.以下关于windows SAM(安全账号管理器)的说法错误的是:c A.安全账号管理器(SAM)具体表现就是%SystemRoot%system32configsam B.安全账号管理器(SAM)存储的账号信息是存储在注册表中 C.安全账号管理器(SAM)存储的账号信息对administrator和system是可读和可写的

D.安全账号管理器(SAM)是windows的用户数据库,系统进程通过security accounts manager服务进行访问和操作

55.在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则?B A.纵深防御原则 B.最小权限原则 C.职责分离原则

D.安全性与便利性平衡原则

56.数据库事务日志的用途是什么? B A.事务处理 B.数据恢复 C.完整性约束 D.保密性控制

57.下面对于cookie的说法错误的是: D A.cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息

B.cookie可以存储一些敏感的用户信息,从而造成一定的安全风险 C.通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做 cookie欺骗

D.防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法

58.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?D A.缓冲区溢出 B.SQL注入 C.设计错误 D.跨站脚本 59.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?C A.明文形式存在

B.服务器加密后的密文形式存在 C.hash运算后的消息摘要值存在 D.用户自己加密后的密文形式存在

64.下列属于DDOS攻击的是:B A.Men-in-Middle攻击 B.SYN洪水攻击 C.TCP连接攻击 D.SQL注入攻击

65.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击?D A.重放攻击 B.Smurf攻击 C.字典攻击 D.中间人攻击

66.渗透性测试的第一步是:A A.信息收集 B.漏洞分析与目标选定 C.拒绝服务攻击 D.尝试漏洞利用

67.通过网页上的钓鱼攻击来获取密码的方式,实质上是一种:A A.社会工程学攻击 B.密码分析学 C.旁路攻击 D.暴力破解攻击

70.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法?D A.加强软件的安全需求分析,准确定义安全需求 B.设计符合安全准则的功能、安全功能与安全策略 C.规范开发的代码,符合安全编码规范

D.编制详细软件安全使用手册,帮助设置良好的安全使用习惯

94.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_A___确立安全解决方案的置信度并且把这样的置信度传递给客户。A.保证过程 B.风险过程 C.工程和保证过程 D.安全工程过程

96.下列哪项不是SSE-CMM模型中工程过程的过程区?B A.明确安全需求 B.评估影响 C.提供安全输入 D.协调安全

97.SSE-CMM工程过程区域中的风险过程包含哪些过程区域?C A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱性、评估安全风险

C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全

98.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:D A.防止出现数据范围以外的值 B.防止出现错误的数据处理顺序 C.防止缓冲区溢出攻击 D.防止代码注入攻击 99.信息安全工程监理工程师不需要做的工作是:A A.编写验收测试方案 B.审核验收测试方案 C.监督验收测试过程 D.审核验收测试报告

100.下面哪一项是监理单位在招标阶段质量控制的内容?A A.协助建设单位提出工程需求,确定工程的整体质量目标

B.根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分

C.进行风险评估和需求分析完成招标文件中的技术需求部分 D.对标书应答的技术部分进行审核,修改其中不满足安全需求的内容

第三篇:成都市CISP补贴细则

《成都市CISP补贴细则》

信息安全专业技术人员认证补助。1.申报条件。

(1)专业技术人员。新取得国际注册信息系统安全专家(CISSP)和国家注册信息安全专家(CISP)等信息安全类高级认证且在本市就业的专业技术人员。(2)申报主体。在本市登记注册、具有独立法人资格的企业。2.申报材料。

(1)《成都市信息安全产业专业技术人员高级认证专项资金补助申报表》;(2)有效CISSP或CISP等认证证书(复印件、验原件)、身份证、社保证明和与用人单位签订的劳动合同(复印件)、认证考试费用票据及转账凭证;(3)企业营业执照、组织机构代码证、税务登记证和法人身份证(复印件);(4)材料真实性承诺书。

复印件须准备原件供审核、审计时使用。申报材料须按照上述顺序装订成册,一式四份。3.支持标准。

对新取得国际注册信息系统安全专家(CISSP)和国家注册信息安全专家(CISP)等信息安全类高级认证的专业技术人员,经审核,按当年认证考试费用的50%给予一次性补助。4.申报时间。

每年4月30日前,由各区(市)县工业和信息化主管部门会同财政部门组织当地企业申报。5.政策咨询。

市经信委软件与信息服务处,61881625 李老师

第四篇:模拟一

2014年中考语文模拟试题

(一)注意事项:

1、本试卷题卡分离,其中试题卷8页,答题卡4页,共五大题,满分120分。考试时间150分钟。

2、本卷是试题卷,不能答题,答题必须写在答题卡上。

3、答题前考生先将姓名、考号填写在答题卡上。

★★祝考试成功★★

一、积累与运用(12分)

1、(2分)下列词语中加点的词语注音完全正确的一项是()A、嗔视chēn佝偻lǒu深邃suì恪尽职守kè B、陨落yún骈进bìng怡情yí豁然贯通huî C、绰刀chāo避讳wěi诘难jié面面相觑qǜ D、鄙夷bǐ朴刀pō怄气îu强聒不舍guō

2、(2分)下列词语书写没有错误的一项是()A、红妆素裹脑羞成怒刻骨铭心惊心动魄 B、断章取义根深蒂固与日俱增拈弓搭箭 C、不醒人事吹毛求疵狼狈不堪狂忘自大 D、相形见拙一代天娇抑扬顿挫受益匪浅

3、(3分)下列成语使用正确的一项是()A、他喜欢妄自菲薄别人,所以大家都认为他是一个自负的人。....B、富有创造力的人总是诲人不倦地汲取知识,使自己学识渊博。....C、刻苦勤奋,不耻下问,是获取知识的不二法门。....

D、文化广场上无偿献血的群众排起了长队,这场面让人感到得触目伤怀。....

4、(3分)下列划线的句子没有语病的一项是()

生命没有高低贵贱之分。尽管我们很渺小,但必须应该让自己知道“我很重要”。(A)对父母,我们是他们安享晚年的保障;对朋友,我们是他们倾诉衷肠(B)。任何时候都不要看轻自己,要敢于说“我很重要”。这样,你的人生才会走进新的一页。(C)让我们昂起头,对着我们这颗美丽星球上无数的生灵,(D)响亮地宣布“我很重要!”

5、(2分)下列文学常识表述正确的一项是()A、雨果是法国批判现实主义文学的重要作家,代表作品有世界名著《巴黎圣母院》、《悲惨世界》、《战争与和平》等。B、“四书”是指《大学》、《中庸》、《论语》、《诗经》,它是儒家的经典之作。C、《鲁滨逊漂流记》是英国作家笛福的代表作,主要刻画了鲁滨逊因为海难流落到小人国、大人

国、飞岛国、慧骃国的经历,反映了18世纪中期英国的社会现实。

D、《朝花夕拾》是鲁迅先生回忆童年、少年和青年时期不同生活经历与体验的散文集。其中收录了我们学习过的文章:《从百草园到三味书屋》、《藤野先生》等。

二、古诗文阅读(24分)

【甲文】渔家傲(范仲淹)

塞下秋来风景异,衡阳雁去无留意。四面边声连角起。千嶂里,长烟落日孤城闭。浊酒一杯家万里,燕然未勒归无计,羌管悠悠霜满地。人不寐,将军白发征夫泪。【乙文】出师表(节选)

臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。后值倾覆,受任于败军之际,奉命于危难之间,尔来二十有一年矣。先帝知臣谨慎,故临崩寄臣以大事也。受命以来,夙夜忧叹,恐托付不效,以伤先帝之明,故五月渡泸,深入不毛。今南方已定,兵甲已足,当奖率三军,北定中原,庶竭驽钝,攘除奸凶,兴复汉室,还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益,进尽忠言,则攸之、棉、允之任也。

愿陛下托臣以讨贼兴复之效,不效则治臣之罪,以告先帝之灵。若无兴德之言,则责攸之、祎、允等之慢,以彰其咎;陛下亦宜自谋,以咨诹善道,察纳雅言,深追先帝遗诏。臣不胜受恩感激。

今当远离,临表涕零,不知所言。

【丙文】年羹尧①镇西安时,广求天下才士,厚养幕中。蒋衡应聘而往,年甚爱其才„„年征青海日,营次,忽传令云:“明日进兵,人各携板一片、草一束。”军中不解其故。比次日,遇塌子沟②,令各将束草掷入,上铺板片,师行无阻。番③人方倚此险,大意大兵骤至也。遂破贼巢。又年征西藏时,一夜漏④三下,忽闻疾风西来,俄顷即寂。年急呼某参将,领飞骑三百,往西南密林中搜贼,果尽歼焉。人问其故,年曰:“一霎而绝,非风也,是飞鸟振羽声也。夜半而鸟出,必有惊之者。此去西南十里有丛林密树宿鸟必多意必贼来潜伏,故鸟群惊起也。”(节选自《啸亭杂录》和《郎潜纪闻》。有删改)

【注】①年羹尧:人名,清朝名将。②塌子沟:淤泥深坑。③番:我国古代西南少数民族的统称。④漏:古代计时用的漏壶。

6、(2分)下列“于”字的用法不同于其它三项的是()A、受任于败军之际B、躬耕于南阳 C、三顾臣于草庐之中D、苟全性命于乱世

7、(2分)下列实词解释有误的一项是()

A、躬耕(亲自耕种)B、驱驰(奔走效劳)

C、倾覆(兵败)D、闻达(出名)

8、(2分)下列对《渔家傲秋思》赏析有误的一项是()

A、这首诗反映了边塞生活的艰苦,表达了戍边将士思念家乡、为国立功的情怀。B、这首诗的上阕通过写景表现了边地秋季的凄凉景象。C、“衡阳雁去无留意”一句是说:衡阳的大雁飞走了,没有丝毫想留下来的意思。D、“浊酒一杯家万里,燕然未勒归无计”,揭示了征人矛盾心理:思乡而不能回,因为尚未达到建立军功的目的。

9、(2分)下列对《出师表》分析有误的一项是()

A、本文表现了诸葛亮为蜀汉基业“鞠躬尽瘁,死而后已”的形象。其中最能表达作者感情的一句话是:“此臣所以报先帝而忠陛下之职分也”。

B、这篇千古传诵的表文,南宋爱国诗人陆游曾赞颂它是“出师一表真名世,千载谁堪伯仲间。” C、在本文中,诸葛亮为刘禅提出了三条建议:广开言路、赏罚严明、亲贤远佞,其中最主要的一条建议是广开言路。因为只有广开言路,才能做到赏罚分明、亲贤远佞。D、节选的文段(乙文)表现了诸葛亮淡泊名利、知恩图报的优秀品质。

10、(2分)下列对丙文理解有误的一项是()

A、文段通过对年羹尧的语言和行为的描写,表现了年羹尧的人物形象。

B、文段中所写的年羹尧的事迹有:重视人才,广招天下才士;闻风而起,苦练夜战本领;派骑三百,密林搜歼敌人。

C、年羹尧“广求天下才士,厚养幕中” 与刘备“三顾茅庐”极为相似,他们俩都有求贤若渴的特点。

D、从文段分析,年羹尧与诸葛亮用兵的共同点是:他们都善于观察、善于判断而且有出其不意的战术。

11、(3分)请用“∕”给文段中划线句子断句。(限三处)

此 去 西 南 十 里 有 丛 林 密 树 宿 鸟 必 多 意 必 贼 来 潜 伏

12、(3分)用现代汉语翻译句子。

先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事。

13、(8分)将下列古诗文补充完整。

苏轼密州出猎,立志杀敌:“①,西北望,射天狼。”稼轩壮志难酬,雄心不改:“了却君王天下事,②。”易安颠沛流离,愁绪满怀:“③,载不动许多愁。”范仲淹登高望远,思念亲人:“④,酒入愁肠,化作相思泪。”陶渊明淡泊名利,志趣高洁:“不戚戚于贫贱,⑤。”晏殊郊外漫步,满眼春光:“池上碧苔三四点,⑥。”陆游以花自喻,坚强不屈:“⑦,只有香如故。”李商隐别后思念,忠贞不渝:“春蚕到

死丝方尽,⑧。”

三、现代文阅读(24分)

(一)平淡的境界(12分)

当然,要写好散文,不能光靠精神涵养,文字上的功夫也是缺不了的。

散文最讲究味。一个人写散文,是因为他品尝到了某种人生滋味,想把它说出来。散文无论叙事、抒情、议论,或记游、写景、咏物,目的都是说出这个味来。说不出一个味,就不配叫散文。譬如说,游记写得无味,就只好算导游指南。再也没有比无味的散文和有学问的诗更让我厌烦的了。平淡而要有味,这就难了。酸甜麻辣,靠的是作料。平淡之为味,是以原味取胜,前提是东西本身要好。林语堂有一妙比:只有鲜鱼才可清蒸。袁中郎云:“凡物酿之得甘,炙之得苦,唯淡也不可造,不可造,是文之真性灵也。”平淡是真性灵的流露,是本色的自然呈现,不能刻意求得。庸僧谈禅,与平淡沾不上边儿。

说到这里,似乎说的都是内容问题,其实,文字功夫的道理已经蕴含在其中了。如何做到文字平淡有味呢?

第一,家无鲜鱼,就不要宴客。心中无真感受,就不要作文。不要无病呻吟,不要附庸风雅,不要敷衍文责,不要没话找话。尊重文字,不用文字骗人骗己,乃是学好文字功夫的第一步。第二,有了鲜鱼,就得讲究烹调了,目标只有一个,保持原味。但怎样才能保持原味,却是说不清的,要说也只能从反面来说,就是千万不要用不必要的作料损坏了原味。作文也是如此。林语堂说行文要“来得轻松自然,发自天籁,宛如天地间本有此一句话,只是被你说出而已”。话说得极漂亮,可惜做起来只有会心者知道,硬学是学不来的。我们能做到的是谨防自然的反面,即不要做作,不要着意雕琢,不要堆积辞藻,不要故弄玄虚,不要故作高深,等等,由此也许可以逐渐接近一种自然的文风了。爱护文字,保持语言在日常生活中的天然健康,不让它被印刷物上的流行疾患侵染和扭曲,乃是文字上的养身功夫。

第三,只有一条鲜鱼,就不要用它熬一大锅汤,冲淡了原味。文字贵在凝练,不但在一篇文章中要尽量少说和不说废话,而且在一个句子里也要尽量少用和不用可有可无的字。文字的平淡得力于自然质朴,有味则得力于凝聚和简练了。因为是原味,所以淡,因为水分少,密度大,所以有很浓的原味。事实上,所谓文字功夫,基本上就是一种删除废话废字的功夫。梁实秋是一个极知道割爱的人,所以他的散文具有一种简练之美。世上有一挥而就的佳作,但一定没有未曾下过锤炼功夫的文豪。灵感是石头中的美,不知要凿去多少废料,才能最终把它捕捉住。

如此看来,散文的艺术似乎主要是否定性的。这倒不奇怪,因为前提是有好的感受,剩下的事情就只是不要把它损坏和冲淡。换一种比方,有了真性灵和真体验,就像是有了良种和肥土,这都是文字之前的功夫。而所谓文字功夫,无非就是对长出的花木施以防虫和剪枝的护理罢了。

14、(2分)说说这篇文章的结构特点。

15、(2分)概括第2—4自然段的内容。

16、(3分)摘录原文回答,写散文如何做到文字平淡有味?

17、(2分)举例说说第8自然段主要的论证方法。

18、(3分)文章语言精美,选取一句来谈谈你的理解。

(二)平凡的幸福没有套路(12分)

冬天,小雨加雪的冬天显得更绝情。

冷冷的,打在脸上身上,长长的头发变得象海底的水草,湿湿的腻腻的贴着皮肤,里外三层厚厚的衣服没有挡住一点点寒意。我沮丧地站在熙熙攘攘的街头等着去买票的朋友。心里在埋怨自己怎么找了个这样的鬼天气出门。

正低头郁闷的我眼前出现了一只手,很脏,我皱了皱眉头。

一个苍老的声音说:小姑娘,给两毛钱吧,让我给她买个馍吃,好吗?

抬起头看到一个瘦瘦的男人,一张脸看着很脏也很苍老,而且还有一只眼睛是盲的,很让人注目,头上戴了一顶破帽子,伸出的胳膊下面还架着一支拐杖,背上还背着一个破破烂烂的包。而那只手却紧紧地拉着另外的一只手,一个神情痴呆的妇人。

我转过头去,几次上当的经历让我对这种事情和这种人已经没有了好感和信任。我脸上冰冷的表情可能让男人觉得没有了希望。伸出的手缩了回去扶着拐杖,另一只手牵着那个妇人,蹒跚地向我身后慢慢的走去。

我的眼神顺着他们走的方向扫过去,突然发现那个男人穿的鞋、让我触目惊心,那已经不能称为鞋了吧,只有两根塑料带子绑着一个鞋底,分不出颜色的裤子显得有点短,于是在这个阴冷的冬日里,那个男人露着脚踝处的一大截和一双赤裸的脚。我想骗人的人不会让自己受这皮肉之苦吧,即使再破再脏,也不会让自己冻着的。不就是要一个馒头的钱吗?给他吧。我从兜里掏出了一个一元的硬币,转身塞给了那个老人,依然什么也没说。老人拿到钱的时候,很柔情地看着那个面无表情的妇人,好象在告诉她你可以有吃的了。他的神情让我心里有些惶恐。男人转头来对我说,谢谢你,小姑娘,好人会有好报的。你们家人都会有好报的。我笑了笑,摇了摇头。老人可能看出我没有急着要走的意思就笑跟我说,你看,她是我媳妇,我四十多岁才找到这么个媳妇,我又瘸又瞎的,而她还是个傻子。男人又摘下了帽子,笑着跟我说,你看你看,我还是个秃子„„男人很快乐的跟我讲述着。

他说话的时候我打量着被男人牵着手的妇人,却惊讶地发现她很干净,脸部的表情有点痴呆,很安静的样子,看起来眉清目秀的,头发整齐的梳着。上面是穿了棉衣的,因为看起来有点臃肿,外面是一件灰色的外套,连领子扣都系的很严实。下面不知道里面穿的什么,但也应该不薄吧,因为整个身体都看起来都鼓鼓囊囊的,一双黑色的布棉鞋,头上还有一顶看起来不漂亮却很暖和的毛线帽子。

我的心突然变得温暖,这样一个又瘸又瞎,赤着脚的老人,却在这个冰冷的冬日把他的傻妻包裹得如此严实,如此干净。

老人很礼貌的跟我道别,拉着他的傻妻走向一个卖食品的小摊位,离得太远我不知道他是不是给他的傻妻买了馒头,但我知道她跟着他也许会挨饿,但最饿的绝对不是她。

我不知道这是不是爱情。在这个物欲横流的生活中,他们的生活可能跟爱情无关,因为 他们的生活进不了爱情的套路,没有鲜花,没有钻石,没有烛光晚餐。居无定所,衣食不足,什么都没有,连自己的身体都不是完整的。唯一有的就是他一直在牵着她的手,从来都没有放开过,紧紧地那么攥着。

19、(2分)请用简洁的语言概括本文的故事情节。

20、(2分)本文中“我”的情感发生了哪些变化,请根据原文填写:

沮丧、郁闷 —— 没有好感和信任—— 触目惊心 ——(A)—— 惊讶——(B)

21、(2分)本文第一段属于什么描写?有什么作用?

22、(3分)本文对“老人”这一人物形象塑造较为成功,请你选择一个角度进行具体分析。

23、(3分)请你谈谈对文章标题的理解和读了本文后的感受。

四、综合性学习(10分)

为了倡导多读书,读好书,班上将举办“好读书、读好书”的主题活动。请你参与以下活动:

24、(2分)【活动一:读新闻拟标题】

请你为下面这则新闻拟写一个标题(15字以内)

新华网北京2月27日电中共中央政治局常委、国务院总理温家宝27日下午3时接受中国政府网、新华网联合专访,与广大网友在线交流。在回答网友关于怎样读好书的提问时,温总理谈了自己的三点读书心得。他说:读书可以改变人生,人可以改变世界。一个不读书的人是没有前途的,一个不读书的民族也是没有前途的。

温总理在回答记者问题时,谈了读书的三点体会:第一,要处理好读书与人生的关系;第二,读书要有选择,要选择好书读;第三,既要倡导读书好、读好书、好读书,又要提倡读书活、活读书、读活书。其实前者讲的是学习,后者讲的是实践。

25、(4分)【活动二:拟写开场白】

假如你是本次主题班会的主持人,请你设计一个精美的开场白。(要求:引用一处名句、恰当运用修辞手法、切合活动主题、语言得体、字数不少于60字。)

26、(4分)【活动三:畅谈读书心得】

动物也会读书,而且各有特色。且看:蜻蜓读书,一目十行;蚂蚁读书,搬运储藏;蝴蝶读书,浏览欣赏;春蚕读书,消化吸收。

对于以上的读书特点,你有怎样的思考呢?(不少于40字)

五、记叙文写作(50分)

常言道:一句话,一辈子。哲人的话,时时警醒着你;师长的话,时时教诲着你;朋友的话,时时鼓舞着你„„这些话,成为了你的座右铭,影响着你的昨天、今天、明天。请你用“永远的座右铭”为题目,写一篇不少于600字的记叙文。

要求:①贴近生活,关注内心,言之有物。②认真书写,文面整洁美观。

③文章不得出现真实的校名、人名。

第五篇:模拟试题一

模拟试题一

一、单选

1.旅馆及其工作人员应当建立旅客验证登记制度,按照规定()A. 设专人查验旅客身份证件,并录入旅馆业治安管理信息系统 B. 查看旅客身份证件,录入酒店自身结账系统 C. 查看旅客身份证件,手工登记保存一年

2.前台工作人员应接受公安机关的指导、监督和检查;配合()。A. 任何公民前来查询旅客住宿信息 B. 调查公司调查旅客住宿信息 C. 公安机关执行公务

3.旅馆工作人员对住宿的旅客不按照规定登记姓名、身份证件种类和号码的,处()罚款。

A.20元以上50元以下 B.200元以上500元以下 C.2000元以上5000元以下

4.旅馆业的工作人员明知住宿的旅客是犯罪嫌疑人员或者被公安机关通缉的人员,不向公安机关报告的,处二百元以上五百元以下罚款;情节严重的,()。A.2000元以上5000元以下罚款

B.处5日以下拘留,可并处500元以下罚款 C.处10日以上15日以下拘留

5.旅馆业等单位的人员,在公安机关查处吸毒、赌博、卖淫、嫖娼活动时,为违法犯罪行为人通风报信的,()。

A.处10日以上15日以下拘留

B.处5日以下拘留,可并处500元以下罚款

C.2000元以上5000元以下

6.前台登记人员发现旅客使用()或者有伪造、涂改身份证件等情形的,应当报告公安机关。

A.已经过期的身份证件

B.一代身份证

C.护照

7.对旅客遗留的财物妥善保管;无法归还原主的,应当()。

A.送交公安机关

B.自行处理

C.丢弃

8.旅馆应保证公共安全图像信息系统在旅馆营业期间正常运行,图像信息资料的保存期不少于()。

A.10日

B.20日

C.30日

9.不建立会客登记制度的旅馆及其工作人员,由公安机关责令改正,并可视情节轻重对旅馆处5000元以上1万元以下罚款;对直接责任人员处()。A.500元以上1000元以下罚款 B.200元以上500元以下罚款 C.警告

10.旅馆业的人员利用本单位的条件,引诱、容留、介绍他人卖淫的,处五年以下有期徒刑或者拘役,并处五千元以下罚金;情节严重的,()。A.处5年以上有期徒刑

B.处5年以上有期徒刑,并处1万元以下罚款 C.处5年以上10年以下有期徒刑 11.前台登记人员办理住宿登记时,发现境内旅客未携带有效身份证件的,应当()。A.接受来人投宿要求,正常办理登记手续,并安排客房住宿 B.不接受来人投宿,要求来人离开本单位

C.可先按照来人提供的身份信息安排入住,同时立即向属地公安机关报告,待公安机关来人处置。

D.要求来人自行到属地公安机关核查身份,开具身份证明后再来投宿 12.哪一项不属于境内旅客的有效身份证件()。

A.中华人民共和国居民身份证

B.中国人民解放军军官证或士兵证 C.中国人民警察警官证

D.中华人民共和国居民的户口本 13.前台登记人员办理住宿登记时,发现使用他人身份证件、身份证鉴别仪识别为可疑证件和使用过期、伪造、涂改的身份证件等3类持可疑证件入住的情形,应当()。

A.可先按照来人提供的身份信息安排入住,同时立即向属地公安机关报告,待公安机关来人处置。

B.不接受来人投宿,要求来人离开本单位

C.立即通知单位领导和保卫人员,现场控制来人

D.按照其提供的信息在登记薄上进行登记,并安排来人住宿

14.前台登记人员办理住宿登记时,发现境内旅客是被协查人员时,应当()。A.拒绝对方投宿要求,要求来人离开本单位 B.大声报警,要求店内保卫人员控制来人

C.将其安排到便于监控或前台登记人员、客房服务员便于观察的房间,然后立即上报单位领导人员和保卫人员,并上报属地公安机关

D.为来人正常安排住宿手续,并按排房间住宿

二、多选

1.旅馆及其工作人员,不得()。

A.强迫他人接受住宿服务

B.为违法犯罪提供条件

C.为违法犯罪行为人通风报信

D.包庇,纵容或者隐瞒违法犯罪活动 2.住宿旅客携带()的,旅馆从业人员发现后,应当报告公安机关。

A.枪支、弹药、管制器具

B.爆炸性、危害性、放射性、腐蚀性物质 C.学习资料

D.传染病病原体等危害物质

3.强迫他人卖淫的,处五年以上十年以下有期徒刑,并处一万元以下罚金;有下列情形之一的,处十年以上有期徒刑或者无期徒刑,并处一万元以下罚金或者没收财产;情节特别严重的,处死刑,并处没收财产:()A.强迫不满十四岁幼女卖淫的B.强迫多人卖淫或者多次强迫他人卖淫的 C.强奸后迫使卖淫的D.造成被强迫卖淫的重伤、死亡或其他严重后果的 4.旅馆及其工作人员应当履行的职责有:()

A.落实突发事件应急方案

B.向社会旅客提供住宿信息的查询 C.组织工作人员接受治安防范知识和技能的培训 D.建立会客登记制度 5.旅馆有下列情形之一的,由公安机关处1000元以上1万元以下罚款:()A.以欺骗、贿赂等不正当手段取得《特种行业许可证》 B.涂改、倒卖、出租、出错《特种行业许可证》 C.其他形式非法转让《特种行业许可证》 D.不依照规定办理变更手续

6.旅馆及其工作人员发现下列情况之一的,应当报告公安机关:()A.犯罪嫌疑人员、被公安机关通缉的人员的 B.淫秽物品、毒品等违禁物品的

C.旅客使用已经过期的身份证件或者有伪造、涂改身份证件等情形的 D.持护照的中国籍人士

7.旅馆及其工作人员有下列行为之一的,由公安机关责令改正,并可视情节轻重对旅馆处5000元以上1万元以下罚款;对直接责任人员处500元以上1000元以下罚款:()A.不落实治安管理制度和治安防范措施,发现不安全隐患不及时进行整改的 B不落实突发事件应急方案,不定期组织演练的. C.不组织工作人员接受治安防范知识和技能的培训的

D.不建立值班巡视制度,客房区无人值班巡视,服务台、监控室不设专人全天值守的 8.本市旅馆业适用的法律法规有:()A.《中华人民共和国治安管理处罚法》 B.《北京市旅馆业治安管理规定》

C.《旅馆业治安管理办法》

D.《全国人民代表大会常务委员会关于严禁卖淫嫖娼的决定》 9.开办旅馆应当具备的条件包括:()

A.出入口、通道、电梯及其他公共区域有公共安全图像信息系统 B.有符合旅馆业治安管理信息系统要求的设备设施

C.有旅客财物、行李保管室或者保险箱(柜)以及其他治安防范设施 D.客房内人均使用面积不少于4平方米

10.未经许可从事旅馆经营活动的,由公安机关依照《中华人民共和国治安管理处罚法》的有关规定予以处罚,依法采取的取缔措施有:()A.责令停止相关经营活动

B.向与无证经营行为有关的单位和个人调查、了解情况 C.进入无证经营的旅馆进行检查

D.客房内人均使用面积不少于4平米

11.下列说法哪些是正确的:()

A.旅馆经营者对经营场所享有合法的所有权或者使用权

B.旅馆与其所在建筑物中的非旅馆部分之间不需要有隔离设施

C.客房区为独立区域,与旅馆内的娱乐、商业等附属服务设施分隔

D.安全出口不少于两个;利用地下空间开办旅馆的,安全出口直通室外 12.下列说法哪些是错误的:()A.开办旅馆不用取得公安机关的许可

B.前台登记人员只需手工登记住宿客人身份信息 C.客人会客不必登记

D.对违反旅馆治安管理制度的行为及时制止

13.下列工作哪些是旅馆企业应该做到的()。

A.保证公共安全图像信息系统在旅馆营业期间正常运行,不得中断;图像信息资料的保存期不得少于30日

B.对旅客遗留的财务妥善保管;无法归还原主的,送交公安机关 C.接受公安机关的指导、监督和检查;配合公安机关执行公务

D.查处刑事、治安案件,对突发治安灾害事故和事件采取紧急处置措施 14.禁止开办旅馆的地点包括:()

A.在居民驻在地上部分

B.利用人防工程、普通地下室的地下三层以及地下三层以下 C.平房 D.楼房

15.申请开办旅馆时,应当提交的材料包括:()

A.法定代表人或者非法人单位主要负责人的身份证明 B.旅馆方位图及其内部平面图

C.公安消防机构出具的消防安全检查合格证明 D.旅馆治安管理制度和突发事件应急方案

三、判断题

1.入住登记时间无需输入,可由电脑系统自动生成。()A.√

B.×

2.退房时,退房时间可由电脑系统自动生成。

()

A.√

B.×

3.当系统时间到达入住登记时填写的拟退房时间时,电脑系统可自动处理退房登记。()A.√

B.×

4.电脑系统时间如果与实际时间不符,可能会造成系统登记障碍。

()A.√

B.×

5.阅读协查通知并点击“标识为已读”后,该通知的标题颜色由红色转为黑色。()A.√

B.×

6.客人实际到店的入住时间可以通过房间管理中的客房登记时间来查看。()A.√

B.×

7.员工离职后,其已经登记的个人信息不能从系统中删除。()A.√

B.×

8.登记中当系统提示已超过允许登记的最大数量限制时,可在房间管理进行变更调整。()A.√

B.×

9.系统通过拨号方式进行上传所用的电话,其号码不能由旅店自行随意变更。()A.√

B.×

10.已进行了登记的客人变更所住房间时,应先办理退房后再重新按新房号进行登记。()A.√

B.×

11.操作选项中系统处于住店状态时,“查询”按钮表现为虚化状态,不可使用。()A.√

B.×

12.查询状态若选择“全部”,意思是让系统仅把入住的在店客人全部罗列出来。()A.√

B.×

13.境内、境外两类客人的信息可在同一个状态中进行查询。()A.√

B.×

14.登记时如果识别仪不能正常工作,可以临时手工进行录入。()A.√

B.×

15.对于要求进行反馈的通知,阅读后必须填写相关的反馈内容。()A.√

B.×

16.不落实治安管理制度和治安防范措施,发现不安全隐患不及时进行整改的,对直接责任人员处500元以上1000元以下罚款:()

A.√

B.×

17.使用身份证识别仪进行登记录入的,无须再进行核对,直接即可办理入住。()A.√

B.×

18.登记中当系统提示已超过允许登记的最大数量限制时,应向主管公安机关申报调整。()

A.√

B.×

19.系统通过拨号方式进行上传所用的电话,其号码不能由旅店自行随意变更。()A.√

B.×

20.已进行了登记的客人变更所住房间时,可直接通过退/换房功能进行变更登记。()A.√

B.×

单选

1、A2、C3、B4、B5、A6、A7、A8、C9、A10、B11、D12、C13、A14、C

多选

1、ABCD2、ABD3、ABCD4、ACD5、ABCD6、ABC7、ABCD8、ABCD9、ABCD10、ABCD

11、ACD12、ABC13、ABC14、AB15、ABCD 判断

1、×

2、×

3、×

4、√

5、√

6、×

7、√

8、×

9、√

10、×

11、√

12、×

13、×

14、√

15、√

16、√

17、×

18、√

19、√20√

下载CISP模拟一word格式文档
下载CISP模拟一.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    模拟卷一(精选)

    专转本 培训资料 江苏省普通高校“专转本”统一考试 大学语文模拟卷一 本试卷共6页,四大题,满分150分,考试时间120分钟。 一、选择题(每大题共15小题,每小题1分,共15分) 1、下列各......

    模拟试卷一

    模拟试卷一 一.读拼音,写词语。 tuŏtiēwǔrǔpìjìngpáihuáijiăoxíng ()()()()() 二.给加线的字选择正确的读音,用----标出. 喷(pèn pēn)香涕(tìdì)泪荆(jīnjīn......

    模拟试卷(一)

    “按客户订单组织货源”相关知识测试(A卷)一、填空题(20分,每空1分) 1、“按客户订单组织货源”工作的前提是把消费者的真实需求。 2、在“按客户订单组织货源”工作中,要认真研究......

    模拟一 中华

    一、单项选择题。请在下列各题的答案选项中选出最合适的答案,在答题卡上将该题相对应答案的英文字母标号框涂满。(每题O.5分,共20分) 1.在填制《入境货物报检单》时,不能在“贸......

    导游证模拟试题(一)

    一、 单项选择题(每题1分,共30分) 1.国家旅游局2009年提出的旅游促销主题是( ) A.中国旅游年B.中国奥运旅游年 C.中国生态旅游年D.中国乡村旅游年 2.导游活动中被扣除2分的情况是......

    电子商务模拟试卷一

    《电子商务》模拟试卷一项中只有一个选项是符合题目要求的,请将正确选项前的字母填在答题卷相应题号处。1、下列属于广义电子商务的是()。[A] 网上广告 [B] 网上订单 [C] 网上......

    小升初模拟试卷一

    小升初模拟试卷一 一、选择正确的答案。(20分) 1、整体认读音节共有16个,下面全是整体认读音节的一组是( ) A.ai ui un ün ing B.zhi chi yi wu ye yuan C.sh ch ie en ong 2、下......

    郑州大学模拟试题一

    郑州大学 汉硕专业考研模拟试题 壹中外文化及跨文化交际基础知识 一填空题 1.长江是我国最长的河流,它的下游以太湖平原为中心,中游则以 2.全国已发现的仰韶文化遗址数以千计,......