[计算机类试卷]软件水平考试（中级）系统集成项目管理工程师上午基础知识（信息安全）历年真题试卷汇编1及答案与解析.doc

资源描述

1、软件水平考试（中级）系统集成项目管理工程师上午基础知识（信息安全）历年真题试卷汇编 1及答案与解析 1 (2009年上半年 )信息系统的安全属性包括 (21)和不可抵赖性。（ A）保密性、完整性、可用性（ B）符合性、完整性、可用性（ C）保密性、完整性、可靠性（ D）保密性、可用性、可维护性 2 (2009年上半年 )使用网上银行卡支付系统付款与使用传统信用卡支付系统付款，两者的付款授权方式是不同的，下列论述正确的是 (64)。（ A）前者使用数字签名进行远程授权，后者在购物现场使用手写签名的方式授权商家扣款（ B）前者在购物现场使用手写签名的方式授权商家扣款，后者使用数字签名

2、进行远程授权（ C）两者都在使用数字签名进行远程授权（ D）两者都在购物现场使用手写签名的方式授权商家扣款 3 (2009年下半年 )电子商务安全要求的四个方面是 (24)。（ A）传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性（ B）存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证（ C）传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性（ D）存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性 4 (2009年下半年 )应用数据完整性机制可以防止 (25)。（ A）假冒源地址或用户地址的欺骗攻击（ B）抵赖做过信息的递交

3、行为（ C）数据中途被攻击者窃听获取（ D）数据在途中被攻击者篡改或破坏 5 (2009年下半年 )应用系统运行中涉及的安全和保密层次包括四层，这四个层次按粒度从粗到细的排列顺序是 (26)。（ A）数据域安全、功能性安全、资源访问安全、系统级安全（ B）数据域安全、资源访问安全、功能性安全、系统级安全（ C）系统级安全、资源访问安全、功能性安全、数据域安全（ D）系统级安全、功能性安全、资源访问安全、数据域安全 6 (2009年下半年 )为了确保系统运行的安全，针对用户管理，下列做法不妥当的是(27)。（ A）建立用户身份识别与验证机制，防止非法用户进入应用系统（ B）用户

4、权限的分配应遵循 “最小特权 ”原则（ C）用户密码应严格保密，并定时更新（ D）为了防止重要密码丢失，把密码记录在纸质介质上 7 (2010年上半年 )某机房部署了多级 UPS和线路稳压器，这是出于机房供电的 (24)需要。（ A）分开供电和稳压供电（ B）稳压供电和电源保护（ C）紧急供电和稳压供电（ D）不间断供电和安全供电 8 (2010年上半年 )以下关于计算机机房与设施安全管理的要求， (25)是不正确的。（ A）计算机系统的设备和部件应有明显的标记，并应便于去除或重新标记（ B）机房中应定期使用静电消除剂，以减少静电的产生（ C）进入机房的工作人员，应更换不易产

5、生静电的服装（ D）禁止携带个人计算机等电子设备进入机房 9 (2010年上半年 )Simple企业应用系统为保证运行安全，只允许操作人员在规定的工作时间段内登录该系统进行业务操作，这种安全策略属于 (26)层次。（ A）数据域安全（ B）功能性安全（ C）资源访问安全（ D）系统级安全 10 (2010年上半年 )基于用户名和口令的用户入网访问控制可分为 (27)三个步骤。（ A）用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查（ B）用户名的识别与验证、用户口令的识别与验证、用户权限的识别与控制（ C）用户身份识别与验证、用户口令的识别与验证、用户权限的识

6、别与控制（ D）用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制 11 (2010年下半年 )关于计算机机房安全保护方案的设计，以下说法错误的是(32)。（ A）某机房在设计供电系统时将计算机供电系统与机房照明设备供电系统分开（ B）某机房通过各种手段保障计算机系统的供电，使得该机房的设备长期处于7*24小时连续运转状态（ C）某公司在设计计算机机房防盗系统时，在机房布置了封闭装置，当潜入者触动装置时，机房可以从内部自动封闭，使盗贼无法逃脱（ D）某机房采用焊接的方式设置安全防护地和屏蔽地 12 (2010年下半年 )应用系统运行中涉及的安全和保密层次包括系统级安

7、全、资源访问安全、功能性安全和数据域安全。以下关于这四个层次安全的论述，错误的是(33)。（ A）按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全（ B）系统级安全是应用系统的第一道防线（ C）所有的应用系统都会涉及资源访问安全问题（ D）数据域安全可以细分为记录级数据域安全和字段级数据域安全 13 (2010年下半年 )Simple公司接到通知，上级领导要在下午对该公司机房进行安全检查，为此公司做了如下安排：了解检查组人员数量及姓名，为其准备访客证件安排专人陪同检查人员对机房安全进行检查为了体现检查的公正，下午为领导安排了一个小时的自由查看时间根据检查要

8、求，在机房内临时设置一处吸烟区，明确规定检查期间机房内其他区域严禁烟火上述安排符合 GB T202692006信息安全技术信息系统安全管理要求的做法是(34)。（ A）（ B）（ C）（ D） 14 (2011年上半年 )电子商务发展的核心与关键问题是交易的安全性，目前安全交易中最重要的两个协议是 (9)。（ A） S-HTTP和 STT （ B） SEPP和 SMTP （ C） SSL和 SET （ D） SEPP和 SSL 15 (2011年上半年 )依据电子信息系统机房设计规范 (GB50174-2008)，对于涉及国家秘密或企业对商业信息有保密要求的电子信息系统机房，应设置

9、电磁屏蔽室。以下描述中，不符合该规范要求的是 (22)。（ A）所有进入电磁屏蔽室的电源线缆应通过电源滤波器进行（ B）进出电磁屏蔽室的网络线宜采用光缆或屏蔽缆线，光缆应带有金属加强芯（ C）非金属材料穿过屏蔽层时应采用波导管，波导管的截面尺寸和长度应满足电磁屏蔽的性能要求（ D）截止波导通风窗内的波导管宜采用等边六角形，通风窗的截面积应根据室内换气次数进行计算 16 (2011年上半年 )信息安全的级别划分有不同的维度，以下级别划分正确的是(25)。（ A）系统运行安全和保密有 5个层次，包括设备级安全、系统级安全、资源访问安全、功能性安全和数据安全（ B）机房分为 4个级别：

10、 A级、 B级、 C级、 D级（ C）根据系统处理数据划分系统保密等级为绝密、机密和秘密（ D）根据系统处理数据的重要性，系统可靠性分 A级和 B级 17 (2011年上半年 )系统运行安全的关键是管理，下列关于日常安全管理的做法，不正确的是 (26)。（ A）系统开发人员和系统操作人员应职责分离（ B）信息化部门领导安全管理组织，一年进行一次安全检查（ C）用户权限设定应遵循 “最小特权 ”原则（ D）在数据转储、维护时要有专职安全人员进行监督 18 (2011年上半年 )在某次针对数据库的信息安全风险评估中，发现其中对财务核心数据的逻辑访问密码长期不变。基于以上现象，下列说法正

11、确的是 (27)。（ A）该数据不会对计算机构成威胁，因此没有脆弱性（ B）密码和授权长期不变是安全漏洞，属于该数据的脆弱性（ C）密码和授权长期不变是安全漏洞，属于对该数据的威胁（ D）风险评估针对设施和软件，不针对数据 19 (2011年下半年 )完整性是信息系统未经授权不能进行改变的特性，它要求保持信息的原样。下列方法中，不能用来保证应用系统完整性的措施是 (24)。（ A）安全协议（ B）纠错编码（ C）数字签名（ D）信息加密 20 (2011年下半年 )在信息系统安全技术体系中，环境安全主要指中心机房的安全保护。以下不属于该体系环境安全内容的是 (25)。（ A

12、）设备防盗器（ B）接地和防雷击（ C）机房控制（ D）防电磁泄漏 21 (2011年下半年 )物理安全是整个信息系统安全的前提，以下安全防护措施中不属于物理安全范畴的是 (26)。（ A）安装烟感、温感报警系统，禁止工作人员在主机房内吸烟或者使用火源（ B）要求工作人员在主机房内工作时必须穿着防静电工装和防静电鞋，并定期喷涂防静电剂（ C）为工作人员建立生物特征信息库，并在主机房入口安装指纹识别系统，禁止未经授权人员进入主机房（ D）对因被解雇、退休、辞职或其他原因离开信息系统岗位的人员，收回所有相关证件、徽章、密匙和访问控制标记等 22 (2011年下半年 )以下各项措施中

13、，不能够有效防止计算机设备发生电磁泄漏的是 (27)。（ A）配备电磁干扰设备，且在被保护的计算机设备工作时不能关机（ B）设置电磁屏蔽室，将需要重点保护的计算机设备进行隔离（ C）禁止在屏蔽墙上打钉钻孔，除非连接的是带金属加强芯的光缆（ D）信号传输线、公共地线以及电源线上加装滤波器 23 (2012年上半年 )下列关于电子信息机房的设计中， (24)不符合电子信息系统机房设计规范 GB50174-2008)的要求。（ A）机房采用二级、三级耐火等级的建筑材料，重要部位采用一级耐火等级的材料（ B）机房所有设备的金属外壳、各类金属管道、金属线糟、建筑物金属结构等结构等全部进行电

14、位连接并接地（ C）在机房吊顶上和活动地板下都设置火灾探测器（ D）主机房内绝缘体的静电电位不大于 1KV 24 (2012年上半年 )系统运行安全和保护的层次按照粒度从粗到细排序为 (26)。（ A）系统级安全，资源访问安全，数据域安全，功能性安全（ B）系统级安全，资源访问安全，功能性安全，数据域安全（ C）资源访问安全，系统级安全，数据域安全，功能性安全（ D）资源访问安全，系统级安全，功能性安全，数据域安全 25 (2012年上半年 )以下不属于主动式攻击策略的是 (27)。（ A）中断（ B）篡改（ C）伪造（ D）窃听 26 (2012年下半年 )项目经理要求

15、杨工在项目经理的工作站上装一个 Internet应用程序，该程序允许项目经理登录，并且可以远程安全地控制服务器，杨工应安装的应用程序为 (20)。（ A） Email （ B） FTP （ C） WebBrowser （ D） SSH 27 (2012年下半年 )在信息系统安全管理中，业务流控制、路由选择控制和审计跟踪等技术主要用于提高信息系统的 (25)。（ A）保密性（ B）可用性（ C）完整性（ D）不可抵赖性 28 (2012年下半年 )根据信息安全技术信息系统安全通用性技术要求 GBT2720120069，信息系统安全的技术体系包括 (26)。（ A）物理安全、运行安全

16、、数据安全（ B）物理安全、网络安全、运行安全（ C）人员安全、资源安全、过程安全（ D）方法安全、过程安全、工具安全 29 (2012年下半年 )Simple单位在机房建设和管理中采用的下列做法。 (27)不符合电子信息系统机房设计规范 GB50174-2008)。（ A）计算机系统的设备和部件设置了明显的无法去除的标记。以防更换和查找脏物（ B）禁止携带移动电话、电子记事本等具有移动互联功能的个人物品进入机房（ C）主机房内设地漏，地漏下加设水封装置，并有防止水封破坏的措施（ D）为机房内设备供水的给排水干管和引入的支管为明敷，以便及时检修和更换 30 (2012年下半年 )

17、某高校准备建设一个容纳 50位学生上机的机房，假设每一计算机系统及其辅助设备的投影面积为 1 5平方米，则该机房最小面积应该为 (28)平方米。（ A） 150 （ B） 375 （ C） 450 （ D） 525 31 (2012年下半年 )应用系统安全等级中的可靠性等级由高到低分别为 (29)。（ A）绝密、机密、秘密（ B）军用、商用、民用（ C） A级、 B级、 C级（ D）访问级、修改级、控制级 32 (2013年上半年 )应用系统运行的安全管理中心，数据域安全是其中非常重要的内容，数据域安全包括 (20)。（ A）行级数据域安全，字段级数据域安全（ B）系统性数据域安

18、全，功能性数据域安全（ C）数据资源安全，应用性数据安全（ D）组织级数据域安全，访问性数据域安全软件水平考试（中级）系统集成项目管理工程师上午基础知识（信息安全）历年真题试卷汇编 1答案与解析 1 【正确答案】 A 【知识模块】信息安全 2 【正确答案】 A 【知识模块】信息安全 3 【正确答案】 C 【知识模块】信息安全 4 【正确答案】 D 【试题解析】 “假冒源地址或用户地址的欺骗攻击 ”对应的是 “交易各方的身份认证 ”，应对办法是：认证技术，如 PKI CA数字证书。 “抵赖做过信息的递交行为 ”对应的是 “交易的不可抵赖性 ”，应对办法是：数字签名。 “数据中途被攻

19、击者窃听获取 ”对应的是 “传输的安全性 ”，应对办法是：加密技术 (各种对称、非对称密钥算法 )。 “数据在途中被攻击者篡改或破坏 ”对应的是 “数据的完整性 ”，应对办法是：数据完整性机制，如 HASH校验 (MD5、 SHA、 SDH等算法 )。【知识模块】信息安全 5 【正确答案】 C 【知识模块】信息安全 6 【正确答案】 D 【试题解析】很多人都有类似的习惯，比如记不住保险柜的密码，索性在柜门上贴个小纸条。最小特权原则 (PrincipleofLeastPrivilege)是系统安全中最基本的原则之一，是指 “应限定系统中每个主体所必需的最小特权，确保可能的事故、错误、网络

20、部件的篡改等原因造成的损失最小 ”。【知识模块】信息安全 7 【正确答案】 C 【试题解析】紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本 UPS、改进的 UPS、多级 UPS和应急电源 (发电机组 )等。稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。【知识模块】信息安全 8 【正确答案】 A 【试题解析】计算机系统的设备和部件应有明显的无法去除的标记，以防更换和方便查找赃物。 D是正确的， “获准进入机房的人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责和陪同 ”。【知识模块】信息安全 9 【

21、正确答案】 D 【试题解析】常见的系统级安全策略包括敏感系统的隔离、访问口地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。【知识模块】信息安全 10 【正确答案】 A 【试题解析】访问控制的主要任务是保证网络资源不被非法使用和访问，包括入网访问控制、操作权限控制、目录安全控制、属性安全控制、网络服务器安全控制、网络监测、锁定控制和防火墙控制。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别

22、与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。【知识模块】信息安全 11 【正确答案】 C 【试题解析】 C选项有明显错误，机房要防盗，但更要防破坏，盗贼困在机房内无法逃脱，可能会导致机房设备的损毁。【知识模块】信息安全 12 【正确答案】 C 【试题解析】 C错， “程序资源访问控制安全是最常见的应用系统安全问题，几乎所有的应用系统都会涉及这个安全问题 ”，注意用词： “几乎所有 ”和 “所有 ”是不一样的。【知识模块】信息安全 13 【正确答案】 C 【试题解析】错，机房出入应有指定人员负责，未经允许的人员不准进入

23、机房；获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同。错，机房内严禁吸烟及带入火种和水源。【知识模块】信息安全 14 【正确答案】 C 【试题解析】电子商务中常用的安全协议有： (1)安全套接层协议 (SSL)。 (2)安全电子交易协议 (sET)。 (3)增强的私密电子邮件 (PEM)。 (4)安全多用途网际邮件扩充协议 (S/MIE)。 (5)安全超文本传输协议 (S-HTTP)。 (6)三方域安全协议 (3-DSecure)。这其中最常用的就是 SSL和 SET。 STT(SecureTransactionTechnology)和SEPP(SecureElect

24、ronicPaymentProtoc01)都是过时的协议，现已很少使用。 SMTP是简单邮件传输协议，不是安全协议。此外， S-HTTP与 HTTPS并不是一回事儿。 HTTPS(HypertextTransferProtocolSecure)是 HTTP和 SSL的组合，通俗地说，就是传输层使用 SSL的 HTTP、 HTTPoverSSL。 S-H1TP(SecureHypertextTransferProtoc01)是 HTTP的安全增强版，在 RFC2660中定义。 1990年代中期， HTTPS与 S-HTlP均已被开发出来，不过当时占据浏览器市场的 Netscape和微软公司都强

25、力支持 HTTPS，使得 HTTPS最终成为 Internet上安全通信的事实标准。【知识模块】信息安全 15 【正确答案】 B 【知识模块】信息安全 16 【正确答案】 C 【知识模块】信息安全 17 【正确答案】 B 【试题解析】系统运行的安全管理组织由单位主要领导人领导，不能隶属于计算机运行或应用部门。【知识模块】信息安全 18 【正确答案】 B 【试题解析】威胁可看成从系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。常见的脆弱性有： “密码和授

26、权长期不变 ”、 “错误地选择和使用密码 ”。【知识模块】信息安全 19 【正确答案】 D 【知识模块】信息安全 20 【正确答案】 A 【知识模块】信息安全 21 【正确答案】 D 【知识模块】信息安全 22 【正确答案】 C 【试题解析】 C选项有两处错误：不得在屏蔽墙上打钉钻孔，不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆。进出电磁屏蔽室的网络线宜采用光缆或屏蔽缆线，光缆不应带有金属加强芯。【知识模块】信息安全 23 【正确答案】 A 【知识模块】信息安全 24 【正确答案】 B 【试题解析】按粒度从粗到细的排序是：系统级安全、资源访问安全、功能性安全、数据

27、域安全。程序资源访问控制安全是最常见的应用系统安全问题，几乎所有的应用系统都会涉及这个安全问题。【知识模块】信息安全 25 【正确答案】 D 【试题解析】计算机网络上的通信面临以下的四种威胁： (1)截获从网络上窃听他人的通信内容。 (2)中断有意中断他人在网络上的通信。 (3)篡改故意篡改网络上传送的报文。 (4)伪造伪造信息在网络上传送。截获属于被动攻击；中断、篡改、伪造属于主动攻击。被动攻击：截获信息的攻击，攻击者只是观察和分析某一个 PDU(协议数据单元 )而不干扰信息流。主动攻击：更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的 PDU进行各种处理。【知识模

28、块】信息安全 26 【正确答案】 D 【试题解析】 SSH为 Secure Shell的缩写，即安全外壳协议， SSH是专为远程登录会话和其他网络服务提供安全性的协议，利用 SSH协议可以有效防止远程管理过程中的信息泄露问题。【知识模块】信息安全 27 【正确答案】 B 【试题解析】可用性是应用系统信息可被授权实体访问并按需求使用的特性。即在需要时，信息服务允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是应用系统面向用户的安全性能。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认

29、。访问控制 (对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制 )。业务流控制 (利用均分负荷方法，防止业务流量过度集中而引起网络阻塞 )。路由选择控制 (选择那些稳定可靠的子网、中继线或链路等 )。审计跟踪 (把应用系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括事件类型、被管信息等级、事件时间、事件信息、事件回答以及事件统计等方面的信息 )。【知识模块】信息安全 28 【正确答案】 A 【知识模块】信息安全 29 【正确答案】 D 【试题解析】机房的防

30、水措施应考虑如下几个方面：与主机房无关的给排水管道不得穿过主机房。主机房内如设有地漏，地漏下应加设水封装置，并有防止水封破坏的措施。机房内的设备需要用水时，其给排水干管应暗敷，引入支管宜暗装。管道穿过主机房墙壁和楼板处，应设置套管，管道与套管之间应采取可靠的密封措施。机房不宜设置在用水设备的下层。机房房项和吊顶应有防渗水措施。安装排水地漏处的楼地面应低于机房内的其他楼地面。【知识模块】信息安全 30 【正确答案】 B 【试题解析】依据电子计算机机房设计规范 GB50174-2008)：主机房的使用面积应根据电子信息设备的数量、外形尺寸和布置方式确定，并应预留今后业务发展需要的使用面积。

31、在对电子信息设备外形尺寸不完全掌握的情况下，主机房的使用面积可按下式确定： (1)当电子信息设备已确定规格时，可按下式计算：A=KS，式中， A主机房使用面积 (m2)： K系数，可取 5 7； S电子信息设备的投影面积 (m2)。 (2)当电子信息设备尚未确定规格时，可按下式计算：A=FN；式中， F单台设备占用面积，可取 3 5 5 5(m2台 )； N主机房内所有设备 (机柜 )的总台数。所以依题意： A=KS=5501 5=375(m2)(最小面积 )。 K=5的通俗理解：每个设备自身 1个投影面积 +人员占 2个投影面积 +边缘过道占 2个投影面积。【知识模块】信息安全 31 【

32、正确答案】 C 【试题解析】安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分为三级，对可靠性要求最高的为 A级，系统运行所要求的最低限度可靠性为C级，介于中间的为 B级。密码等级及适用范围： (1)商用密码国内企业、事业单位。 (2)普用密码政府、党政部门。 (3)绝密密码中央和机要部门。 (4)军用密码军队。选项 A说的是保密的密级，选项 B说的是密码分类等级。【知识模块】信息安全 32 【正确答案】 A 【试题解析】数据域安全包括两个层次：其一是行级数据域安全，即用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤。其二是字段级数据域安全，即用户可以访问业务记录的哪些字段。【知识模块】信息安全

展开阅读全文