软考信息安全工程师-中级

标签：选项 中级 正确 信息安全 软考 1315 答案 本题

1/1315

ChinesEWall 模型的设计宗旨是： ( )。

A用户只能访问哪些与已经拥有的信息不冲突的信息

B用户可以访问所有信息

C用户可以访问所有已经选择的信息

D用户不可以访问哪些没有选择的信息

正确答案 A  

答案解析

ChinesEWall 模型是一种访问控制模型，其设计宗旨是用户只能访问哪些与已经拥有的信息不冲突的信息。这意味着用户只能访问那些与其已经拥有的权限相符合的信息，而不能访问那些与其权限冲突的信息。因此，选项 A 正确。选项 B、C、D 都与 ChinesEWall 模型的设计宗旨不符。

2/1315

安全责任分配的基本原则是： ( )。

A“三分靠技术，七分靠管理 ”

B“七分靠技术，三分靠管理 ”

C“谁主管，谁负责”

D防火墙技术

正确答案 C  

答案解析

本题考查的是安全责任分配的基本原则。选项A和B都涉及到技术和管理的比例，但并没有明确指出责任分配的原则。选项D只是提到了防火墙技术，与题目无关。而选项C则明确指出了责任分配的原则，即由主管负责。因此，答案为C。

3/1315

保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下( )不属于
信息运行安全技术的范畴。

A风险分析

B审计跟踪技术

C应急技术

D防火墙技术

正确答案 B  

答案解析

本题考查计算机安全领域中信息运行安全技术的范畴。选项A、C、D都是与信息运行安全相关的技术，而选项B审计跟踪技术虽然也是计算机安全领域中的一项技术，但是它主要是用于对计算机系统的操作进行监控和记录，以便于后续的审计和追踪，不属于信息运行安全技术的范畴。因此，本题的正确答案为B。

从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和
维护项目应该( )。

A内部实现

B外部采购实现

C合作实现

D多来源合作实现

正确答案 A  

答案解析

本题考查的是从风险的角度来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该采取哪种实现方式。根据风险管理的原则，对于关键业务系统的开发和维护，应该采取内部实现的方式，这样可以更好地控制项目进度和质量，减少外部因素对项目的影响，降低项目风险。因此，本题的正确答案是A。B、C、D三个选项都存在一定的风险，不太适合开发和维护关键业务系统。

5/1315

从风险分析的观点来看，计算机系统的最主要弱点是( )。

A内部计算机处理

B系统输入输出

C通讯和网络

D外部计算机处理

正确答案 B  

答案解析

计算机系统的弱点可以从多个角度来考虑，如技术、管理、人员等方面。从风险分析的角度来看，计算机系统的弱点主要指的是可能导致系统遭受攻击或失效的因素。根据选项，内部计算机处理和外部计算机处理都属于系统内部的因素，通常不是系统最主要的弱点。而通讯和网络是计算机系统中最容易受到攻击的部分，因此也不是最主要的弱点。系统输入输出涉及到与外部环境的交互，是计算机系统中最容易受到攻击的部分之一，因此是计算机系统的最主要弱点。因此，本题的正确答案为B。

6/1315

从风险管理的角度，以下哪种方法不可取？( )

A接受风险

B分散风险

C转移风险

D拖延风险

正确答案 D  

答案解析

从风险管理的角度来看，处理风险的方法通常包括接受风险、分散风险、转移风险等策略，这些都是积极应对风险的方式。接受风险意味着认识到风险的存在并决定不采取任何行动来改变风险水平；分散风险则是通过多样化的投资或操作来减少特定风险的影响；转移风险则是通过保险、合同或其他方式将风险转移给第三方。 相比之下，拖延风险不是一个积极的风险管理策略。拖延可能会使风险加剧，导致更大的潜在损失或影响，因此不是一个可取的方法。所以，答案是D。

7/1315

当今 IT 的发展与安全投入，安全意识和安全手段之间形成( )。

A安全风险屏障

B安全风险缺口

C管理方式的变革

D管理方式的缺
口

正确答案 B  

答案解析

本题考察的是当今 IT 发展中安全投入、安全意识和安全手段之间的关系。根据题干中的“形成”一词，可以推断出答案应该是一个“关系”或“联系”的词语。根据选项，A 选项“安全风险屏障”不符合题意，C 选项“管理方式的变革”与安全投入、安全意识和安全手段之间的关系不太相关，D 选项“管理方式的缺口”也不符合题意。因此，正确答案应该是 B 选项“安全风险缺口”，意思是在安全投入、安全意识和安全手段之间存在着缺口或不足，导致安全风险存在。

8/1315、

当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？( )。

A已买的软件

B定做的软件

C硬件

D数据 

正确答案 D  

答案解析

本题考查的是计算机资产的保险覆盖率，需要特别考虑的是哪一项。选项中，已买的软件、定做的软件和硬件都是计算机资产的组成部分，但是数据是计算机资产中最重要的部分，也是最难以替代的部分。因此，在为计算机资产定义保险覆盖率时，特别需要考虑数据的保险覆盖率。因此，本题的正确答案是D。

9/1315

当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在

该系统重新上线前管理员不需查看： ( )

A

访问控制列表

B

系统服务配置情况

C

审计记录

D

用户账户和权限的设置

正确答案 C

10/1315

根据《计算机信息系统国际联网保密管理规定》 ，涉及国家秘密的计算机信息系统，不
得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行( )。

A逻辑隔离

B物理隔离

C安装防火墙

DVLAN 划分

正确答案 B  

答案解析

根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统必须实行物理隔离，不能直接或间接地与国际互联网或其它公共信息网络相联接，以确保国家秘密的安全。逻辑隔离、安装防火墙、VLAN 划分等措施都可以增强信息系统的安全性，但不足以满足涉及国家秘密的计算机信息系统的保密要求。因此，本题答案为B。

11/1315

根据《信息系统安全等级保护定级指南》 ，信息系统的安全保护等级由哪两个定级要素
决定？( )

A威胁、脆弱性

B系统价值、风险

C信息安全、系统服务安全

D受侵害的客体、对客体造成侵害的程度业务

正确答案 D  

答案解析

根据《信息系统安全等级保护定级指南》的规定，信息系统的安全保护等级由两个定级要素决定，分别是受侵害的客体和对客体造成侵害的程度业务。因此，选项D为正确答案。选项A、B、C都涉及到信息系统安全保护的相关因素，但不是定级要素。

12/1315

公司应明确员工的雇佣条件和考察评价的方法与程序， 减少因雇佣不当而产生的安全风险。人员考察的内容不包括( )。

A身份考验、来自组织和个人的品格鉴定

B家庭背景情况调查

C学历和履历的真实性和完整性

D学术及专业资格

正确答案 B  

答案解析

本题考查的是公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风险。人员考察的内容不包括哪些方面。根据题干中的关键词“不包括”，我们需要排除选项中与人员考察无关的内容。选项A中的“身份考验、来自组织和个人的品格鉴定”与人员考察相关；选项C中的“学历和履历的真实性和完整性”与人员考察相关；选项D中的“学术及专业资格”也与人员考察相关。因此，正确答案为B，即“家庭背景情况调查”不属于人员考察的内容。

13/1315、

计算机信息的实体安全包括环境安全、设备安全、 ( )三个方面。

A运行安全

B媒体安全

C信息安全

D人事安全

正确答案 B  

答案解析

计算机信息的实体安全主要关注的是保护计算机硬件、存储介质以及运行环境免受物理威胁。这包括确保环境（如温度、湿度、电磁干扰等）适合设备运行，设备（如服务器、路由器、存储设备等）的物理安全，以及存储数据的媒体（如硬盘、磁带、光盘等）的安全。因此，媒体安全是计算机信息实体安全的重要组成部分，选项B正确。其他选项如运行安全、信息安全、人事安全，虽然也是计算机安全的重要方面，但不属于实体安全的范畴。

14/1315

目前， 我国信息安全管理格局是一个多方 “齐抓共管 ”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》 是由下列哪个部门所指定的规章制度？ ( )

A公安部

B国家保密局

C信息产业部

D国家密码管理委员会办公室

正确答案 B  

答案解析

《计算机信息系统国际联网保密管理规定》是为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家有关法规的规定，制定的规定。该规定由国家保密局颁布，于 2000 年 1 月 1 日开始施行。 因此，选项 B 是正确的答案。

15/1315

目前我国颁布实施的信息安全相关标准中， 以下哪一个标准属于强制执行的标准？ ( )

AGB/T 18336-2001 信息技术安全性评估准则

BGB17859-1999 计算机信息系统安全保护等级划分准则

CGB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构

DGA/T 391-2002 计算机信息系统安全等级保护管理要求

正确答案 B  

答案解析

本题考查的是我国颁布实施的信息安全相关标准中，哪一个标准属于强制执行的标准。根据我国相关法律法规，强制执行的标准是GB17859-1999 计算机信息系统安全保护等级划分准则，因此答案选B。其他选项虽然也是信息安全相关标准，但不属于强制执行的标准

16/1315

确保信息没有非授权泄密， 即确保信息不泄露给非授权的个人、实体或进程， 不为其所
用，是指( )。

A完整性

B可用性

C保密性

D抗抵赖性

正确答案 C  

答案解析

本题考察的是信息安全中的三大要素之一——保密性。保密性是指确保信息只能被授权的人或实体访问和使用，不被非授权的个人、实体或进程所知晓和使用。因此，本题的正确答案为C。完整性是指信息在传输或存储过程中不被篡改或损坏，可用性是指信息在需要时能够被及时访问和使用，抗抵赖性是指确保信息的真实性和可信度，防止信息被否认或抵赖。这些都是信息安全中的重要概念，但不是本题所考察的答案。

17/1315

如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？( )

A自动软件管理

B书面化制度

C书面化方案

D书面化标准

正确答案 A  

答案解析

本题考查的是对于程序变动的控制方法，选项中提供了四种方法，需要考生根据自己的知识和经验进行判断和选择。 A选项是自动软件管理，这种方法可以通过软件工具来实现对程序变动的控制，可以自动化地进行版本控制、代码审查、测试等操作，提高了效率和准确性，同时也可以减少人为因素的干扰和误操作，因此是最有效的方法。 B、C、D选项都是书面化的方法，虽然可以规范化和明确化程序变动的流程和要求，但是仍然需要人工进行控制和执行，容易出现疏漏和错误，收效甚微。 综上所述，本题正确答案为A。

18/1315

如果将风险管理分为风险评估和风险减缓， 那么以下哪个不属于风险减缓的内容？ ( )

A计算风险

B选择合适的安全措施

C实现安全措施

D接受残余风险 

正确答案 A  

答案解析

风险减缓是指在识别和评估风险之后，采取措施来降低风险的过程。在这个过程中，通常会选择合适的安全措施（B选项），实现这些安全措施（C选项），并在实施安全措施后接受可能存在的残余风险（D选项）。而计算风险（A选项）实际上是风险评估阶段的活动，它涉及到对潜在风险的识别、分析和量化，以确定风险的性质、可能性和影响。因此，计算风险不属于风险减缓的内容，所以答案是A。

19/1315

软件供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个 “后门”程序。以下哪一项是这种情况面临的最主要风险？( )

A软件中止和黑客入侵

B远程监控和远程维护

C软件中止和远程监控

D远程维护和黑客入侵

正确答案 A  

答案解析

本题考察的是“后门”程序的风险。后门程序是指在软件或系统中预留的一种特殊程序，可以绕过正常的安全验证，从而实现对系统的非法访问和控制。因此，最主要的风险是软件中止和黑客入侵，即黑客可以利用后门程序入侵系统，造成系统崩溃或数据泄露等严重后果。选项B和D中提到的远程监控和远程维护，虽然也可能利用后门程序实现，但不是最主要的风险。因此，答案选A。

20/1315

管理审计指( )

A保证数据接收方收到的信息与发送方发送的信息完全一致

B防止因数据被截获而造成的泄密

C对用户和程序使用资源的情况进行记录和审查

D保证信息使用者都可

正确答案 C  

答案解析

本题考查的是管理审计的定义。管理审计是指对用户和程序使用资源的情况进行记录和审查，以便发现和纠正不当行为，保证系统的安全性和完整性。因此，选项C是正确答案。选项A和B分别涉及信息传输的完整性和保密性，与管理审计无关；选项D则过于笼统，无法准确描述管理审计的内容。

21/1315

为了保护企业的知识产权和其它资产， 当终止与员工的聘用关系时下面哪一项是最好的方法？( )

A进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码

B进行离职谈话，禁止员工账号，更改密码

C让员工签署跨边界协议

D列出员工在解聘前需要注意的所有责任

正确答案 A  

答案解析

本题考察企业在终止与员工的聘用关系时如何保护知识产权和其它资产。选项A中提到了三种措施：进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码，这些措施都可以有效地保护企业的知识产权和其它资产。选项B中没有提到让员工签署保密协议这一重要措施，选项C中提到了跨边界协议，但并不是所有员工都需要签署跨边界协议，因此不是最好的方法。选项D中列出员工在解聘前需要注意的所有责任，但并没有具体的措施来保护企业的知识产权和其它资产。因此，选项A是最好的方法。

22/1315

为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？( )

A人际关系技能

B项目管理技能

C技术技能

D沟通技能

正确答案 D  

答案解析

本题考察的是信息系统安全部门员工最需要哪一项技能。根据选项可知，A选项人际关系技能、B选项项目管理技能、C选项技术技能都是重要的技能，但是在信息系统安全部门员工中最需要的技能是沟通技能，因为信息系统安全部门员工需要与其他部门的员工进行沟通，需要向上级汇报工作进展情况，需要向下级传达工作任务和要求，需要与客户进行沟通等等，因此沟通技能是信息系统安全部门员工必备的技能。因此，本题的正确答案是D。

23/1315

我国的国家秘密分为几级？( )

A3

B4

C5

D6

正确答案 A  

答案解析

本题考查对我国国家秘密的了解。我国的国家秘密分为三级，分别是绝密级、机密级和秘密级。绝密级是最高级别的国家秘密，涉及国家安全和重大利益，只有极少数人掌握；机密级次之，涉及国家重要利益，只有必要人员掌握；秘密级是最低级别的国家秘密，涉及国家一般利益，只有需要知道的人员掌握。因此，本题的正确答案为A。

24/1315

系统管理员属于( )。

A决策层

B管理层

C执行层

D既可以划为管理层，又可以划为执行层

正确答案 C  

答案解析

系统管理员是负责计算机系统的维护、管理和安全的专业人员，其主要职责是执行计算机系统的日常维护和管理工作，包括安装、配置、维护和升级操作系统、应用软件、网络设备等。因此，系统管理员属于执行层。选项A、B和D都不正确，因为决策层主要负责制定组织的战略和方针，管理层主要负责组织的管理和协调，既可以划为管理层，又可以划为执行层的职位一般是中层管理人员，而系统管理员不属于这些层次。因此，本题的正确答案是C。

25/1315

下列哪一个说法是正确的？( )

A风险越大，越不需要保护

B风险越小，越需要保护

C风险越大，越需要保护

D越是中等风险，越需要保护

正确答案 C  

答案解析

本题考察的是风险与保护的关系。风险越大，意味着可能会面临更大的损失，因此需要更多的保护措施来降低风险。选项A的说法是错误的，因为风险越大，需要更多的保护措施来降低风险。选项B的说法也是错误的，因为风险越小，虽然可能面临的损失较小，但仍需要保护措施来防范风险。选项D的说法也是不准确的，因为中等风险需要根据具体情况来考虑是否需要保护措施。因此，选项C是正确的，风险越大，越需要保护。

26/1315

下面哪类访问控制模型是基于安全标签实现的？( )

A自主访问控制

B强制访问控制

C基于规则的访问控制

D基于身份的访问控制

正确答案 B  

答案解析

本题考查的是访问控制模型中基于安全标签实现的类型。访问控制模型是指对系统资源进行访问控制的一种模型，常见的访问控制模型有自主访问控制、强制访问控制、基于规则的访问控制和基于身份的访问控制等。 自主访问控制是指用户对自己的资源拥有完全的控制权，可以自由地决定资源的访问权限，而不受其他用户或管理员的限制。 基于身份的访问控制是指根据用户的身份信息来控制其对系统资源的访问权限，通常需要用户进行身份认证和授权操作。 基于规则的访问控制是指根据预先设定的规则来控制用户对系统资源的访问权限，通常需要管理员进行规则配置和管理。 强制访问控制是指根据安全标签来控制用户对系统资源的访问权限，安全标签是对资源和用户进行分类和标记的一种方式，通常由管理员进行标记和管理。在强制访问控制模型中，用户的访问权限是由系统强制执行的，而不是由用户自主决定的。 因此，本题的正确答案是B，即强制访问控制。

27/1315

下面哪项能够提供最佳安全认证功能？( )

A这个人拥有什么

B这个人是什么并且知道什么

C这个人是什么

D这个人知道什么

正确答案 B  

答案解析

“这个人是什么并且知道什么”包含了多种认证因素，既包括身份识别（这个人是什么），又包括对特定知识或信息的掌握（这个人知道什么），这种组合方式相较于单纯的“拥有什么”“是什么”或“知道什么”等单一因素，能够提供更全面、更可靠的安全认证，降低了单一认证方式可能存在的漏洞或被冒用的风险。所以选项 B 是最佳安全认证功能。

28/1315

下面哪一个是国家推荐性标准？( )

A GB/T 18020-1999 应用级防火墙安全技术要求

B SJ/T 30003-93 电子计算机机房施工及验收规范

C GA243-2000 计算机病毒防治产品评级准则

D ISO/IEC15408-1999 信息技术安全性评估准则

正确答案 A  

答案解析

本题考查的是国家推荐性标准的认识。选项A中的GB/T 18020-1999是应用级防火墙安全技术要求，是国家推荐性标准；选项B中的SJ/T 30003-93是电子计算机机房施工及验收规范，不是国家推荐性标准；选项C中的GA243-2000是计算机病毒防治产品评级准则，不是国家推荐性标准；选项D中的ISO/IEC15408-1999是信息技术安全性评估准则，不是国家推荐性标准。因此，本题的答案是A。

29/1315

下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？( )

A对安全违规的发现和验证是进行惩戒的重要前提

B惩戒措施的一个重要意义在于它的威慑性

C处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训

D尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重

正确答案 C  

答案解析

本题考查对于对违反安全规定的员工进行惩戒的相关知识。下面分别对每个选项进行解析： A. 对安全违规的发现和验证是进行惩戒的重要前提。这个说法是正确的。对于员工的安全违规行为，必须要有确凿的证据和证明，才能进行惩戒。 B. 惩戒措施的一个重要意义在于它的威慑性。这个说法也是正确的。惩戒措施的一个重要目的就是为了让员工认识到自己的错误，并且对其他员工起到威慑作用，避免类似的安全违规行为再次发生。 C. 处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训。这个说法是错误的。在进行惩戒时，应该考虑员工是否是初犯，是否接受过培训等因素，以便更加公平地进行惩戒。 D. 尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重。这个说法也是正确的。法律诉讼是一种严厉有效的惩戒手段，但是在使用它时必须要十分慎重，避免对员工造成不必要的伤害。 综上所述，选项C是错误的，是本题的正确答案。

30/1315

下面哪一项最好地描述了风险分析的目的？( )

A识别用于保护资产的责任义务和规章制度

B识别资产以及保护资产所使用的技术控制措施

C识别资产、脆落性并计算潜在的风险

D识别同责任义务有直接关系的威胁

正确答案 C  

答案解析

风险分析的目的是识别资产、脆弱性并计算潜在的风险。选项A描述的是保护资产的责任义务和规章制度，属于风险管理的一部分，不是风险分析的目的。选项B描述的是识别资产以及保护资产所使用的技术控制措施，也是风险管理的一部分，不是风险分析的目的。选项D描述的是识别同责任义务有直接关系的威胁，属于风险评估的一部分，不是风险分析的目的。因此，选项C最好地描述了风险分析的目的。

31/1315、

下面哪一项最好地描述了组织机构的安全策略？( )

A定义了访问控制需求的总体指导方针

B建议了如何符合标准

C表明管理意图的高层陈述

D表明所使用的技术控制措施的高层陈述

正确答案 A  

答案解析

答案解析：组织机构的安全策略是指导整个组织信息安全工作的基础，它涉及到如何保护组织的资产、数据以及系统的安全性。安全策略应该具有指导性和概括性，为具体的安全控制措施提供方向和依据。 A选项“定义了访问控制需求的总体指导方针”最符合安全策略的定义，它强调了策略对访问控制需求的总体指导，这是安全策略的核心内容之一。 B选项“建议了如何符合标准”更多地是在描述一种建议或指南，而不是策略本身。 C选项“表明管理意图的高层陈述”虽然涉及到了管理意图，但并未明确指出这是关于安全控制的总体指导方针。 D选项“表明所使用的技术控制措施的高层陈述”更多地是在描述技术控制措施，而不是策略本身。 因此，A选项最好地描述了组织机构的安全策略。

32/1315

下面哪一种风险对电子商务系统来说是特殊的？( )

A服务中断

B应用程序系统欺骗

C未授权的信息泄露

D确认信息发送错误

正确答案 D  

答案解析

本题考查的是电子商务系统中的特殊风险。选项A、B、C都是电子商务系统中常见的风险，而选项D则是特殊的风险。确认信息发送错误指的是在交易过程中，由于系统或人为原因，确认信息发送错误，导致交易信息不准确或者交易失败。这种风险对电子商务系统来说是特殊的，因为它直接影响到交易的准确性和可靠性，可能会导致用户的不满和投诉，甚至会影响到电子商务系统的声誉和信誉。因此，本题的正确答案是D。

33/1315

下面有关我国标准化管理和组织机构的说法错误的是？( )

A国家标准化管理委员会是统一管理全国标准化工作的主管机构

B国家标准化技术委员会承担国家标准的制定和修改工作

C全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布

D全国信息安全标准化技术委员负责统一协调信息安全国家标准年度技术项目

正确答案 C  

答案解析

根据我国的标准化管理和组织机构，题目中关于全国信息安全标准化技术委员的说法是错误的。 题目中选项C表示全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布。实际上，全国信息安全标准化技术委员会并非负责具体标准的审查、批准等工作。它主要负责统一协调信息安全国家标准年度技术项目，并不直接参与具体标准的制订和发布。 因此,选项C是错误的答案。

34/1315

项目管理是信息安全工程师基本理论，以下哪项对项目管理的理解是正确的？( )

A项目管理的基本要素是质量，进度和成本

B项目管理的基本要素是范围，人力和沟通

C项目管理是从项目的执行开始到项目结束的全过程进行计划、组织

D项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论，
对项目涉及的技术工作进行有效地管理

正确答案 A  

答案解析

本题考查对项目管理的基本要素的理解。选项A正确地指出了项目管理的基本要素是质量、进度和成本，这三个要素是项目管理中最为重要的方面，也是项目管理的核心内容。选项B中的范围、人力和沟通虽然也是项目管理中的重要方面，但并不是其基本要素。选项C中的计划、组织虽然是项目管理中的重要环节，但并不能完整地概括项目管理的基本要素。选项D中的有限资源约束、系统观点、方法和理论等虽然也是项目管理中的重要内容，但并不能完整地概括项目管理的基本要素。因此，本题的正确答案是A。

35/1315

信息安全的金三角是( )。

A可靠性，保密性和完整性

B多样性，冗余性和模化性

C保密性，完整性和可用性

D多样性，保密性和完整性

正确答案 C  

答案解析

本题考查的是信息安全的金三角，即信息安全的三个基本要素。根据常识和相关知识可知，信息安全的金三角是保密性、完整性和可用性。选项A中的可靠性不属于信息安全的基本要素；选项B中的多样性、冗余性和模化性也不是信息安全的基本要素；选项C中的保密性、完整性和可用性正好符合信息安全的金三角；选项D中的多样性不属于信息安全的基本要素。因此，本题的正确答案是C。

36/1315

信息安全风险缺口是指( )。

AIT 的发展与安全投入，安全意识和安全手段的不平衡

B信息化中，信息不足产生的漏洞

C计算机网络运行，维护的漏洞

D计算中心的火灾隐患

正确答案 A  

答案解析

本题考查的是信息安全风险缺口的定义。选项A中提到了IT的发展与安全投入、安全意识和安全手段的不平衡，这正是信息安全风险缺口的定义。选项B中提到的是信息不足产生的漏洞，与信息安全风险缺口的定义不符。选项C中提到的是计算机网络运行、维护的漏洞，也不是信息安全风险缺口的定义。选项D中提到的是计算中心的火灾隐患，与信息安全风险缺口的定义无关。因此，本题的正确答案是A。

37/1315

信息安全风险应该是以下哪些因素的函数？( )

A信息资产的价值、面临的威胁以及自身存在的脆弱性等

B病毒、黑客、漏洞等

C保密信息如国家密码、商业秘密等

D网络、系统、应用的复杂的程度

正确答案 A  

答案解析

本题考查信息安全风险的因素。信息安全风险是指在信息系统中，由于各种因素的影响，导致信息系统无法正常运行，或者信息系统中的信息被非法获取、篡改、破坏等情况的可能性。因此，信息安全风险应该是以下因素的函数：信息资产的价值、面临的威胁以及自身存在的脆弱性等。选项A正确。选项B、C、D都是信息安全风险的具体表现，不是信息安全风险的因素，因此不正确。综上所述，本题答案为A。

38/1315

信息安全工程师监理的职责包括？( )

A质量控制，进度控制，成本控制，合同管理，信息管理和协调

B质量控制，进度控制，成本控制，合同管理和协调

C确定安全要求，认可设计方案，监视安全态势，建立保障证据和协调

D确定安全要求，认可设计方案，监视安全态势和协调

正确答案 A  

答案解析

本题考察信息安全工程师监理的职责。选项A中列举了信息安全工程师监理的全部职责，包括质量控制、进度控制、成本控制、合同管理、信息管理和协调。选项B中缺少了信息管理的职责，选项C中列举了部分职责，缺少了质量控制、进度控制、成本控制和合同管理的职责，选项D中缺少了质量控制、进度控制、成本控制和合同管理的职责。因此，答案为A。

39/1315

信息安全管理最关注的是？( )

A外部恶意攻击

B病毒对 PC的影响

C内部恶意攻击

D病毒对网络的影响

正确答案 C  

答案解析

信息安全管理最关注的是内部恶意攻击。虽然外部恶意攻击和病毒对PC和网络的影响也是信息安全管理需要关注的问题，但是内部恶意攻击更加难以防范和控制，因为内部人员已经获得了系统的访问权限，可以更容易地获取敏感信息或者破坏系统。因此，信息安全管理需要加强对内部人员的监管和控制，以防止内部恶意攻击的发生。

40/1315

信息分类是信息安全管理工作的重要环节， 下面哪一项不是对信息进行分类时需要重点
考虑的？( )

A信息的价值

B信息的时效性

C信息的存储方式

D法律法规的规定

正确答案 C  

答案解析

本题考查信息分类的重点考虑因素。信息分类是信息安全管理工作的重要环节，通过对信息进行分类，可以更好地进行信息安全管理。在信息分类时，需要重点考虑信息的价值、时效性、法律法规的规定等因素。而信息的存储方式虽然也是一个重要因素，但并不是信息分类时需要重点考虑的因素，因此选项C是本题的正确答案。

41/1315

信息网络安全的第三个时代是( )

A主机时代，专网时代，多网合一时代

B主机时代， PC时代，网络时代

CPC时代，网络时代，信息时代

D2001 年， 2002 年， 2003 年

正确答案 A  

答案解析

本题考查信息网络安全的发展历程。根据题干中的“第三个时代”，可以推断出信息网络安全已经经历了两个时代。根据选项进行分析： A. 主机时代，专网时代，多网合一时代。这个选项中，第一个时代是主机时代，即计算机主机时代，第二个时代是专网时代，即局域网和广域网时代，第三个时代是多网合一时代，即互联网时代。这个选项符合信息网络安全的发展历程，因此是正确答案。 B. 主机时代，PC时代，网络时代。这个选项中，第一个时代是主机时代，符合信息网络安全的发展历程，但是第二个时代是PC时代，而不是专网时代，不符合题意。 C. PC时代，网络时代，信息时代。这个选项中，第一个时代是PC时代，不符合信息网络安全的发展历程，因为计算机主机时代是信息网络安全的起点。因此，这个选项也不是正确答案。 D. 2001年，2002年，2003年。这个选项中，给出的是具体的年份，不符合信息网络安全的发展历程，因此也不是正确答案。 综上所述，正确答案是A。

42/1315

一个公司在制定信息安全体系框架时，下面哪一项是首要考虑和制定的？( )

A安全策略

B安全标准

C操作规程

D安全基线

正确答案 A  

答案解析

在制定信息安全体系框架时，公司需要首先确立一套明确的安全策略，作为后续制定安全标准、操作规程和安全基线的基石。安全策略为整个信息安全体系提供了方向和指导，确保了信息安全工作的系统性和一致性。因此，首要考虑和制定的是安全策略，选项A正确。

43/1315

以下哪个不属于信息安全的三要素之一？( )

A机密性

B完整性

C抗抵赖性

D可用性

正确答案 C  

答案解析

本题考查的是信息安全的三要素，即机密性、完整性和可用性。抗抵赖性不属于信息安全的三要素之一，因此选项C为本题的正确答案。 机密性是指信息只能被授权的人或实体访问和使用，不被未授权的人或实体获取和利用。 完整性是指信息在传输、存储和处理过程中不被篡改、损坏或丢失，保持原始状态和价值。 可用性是指信息在需要时能够及时、准确地被授权的人或实体访问和使用，不受任何干扰或阻碍。 抗抵赖性是指在信息交互过程中，发送方不能否认已经发送过信息，接收方也不能否认已经接收到信息。虽然抗抵赖性也是信息安全的一个重要方面，但不属于信息安全的三要素之一。

44/1315

以下哪一项安全目标在当前计算机系统安全建设中是最重要的？( )

A目标应该具体

B目标应该清晰

C目标应该是可实现的

D目标应该进行良好的定义

正确答案 C  

答案解析

在计算机系统安全建设中，安全目标的设定是至关重要的。选项A“目标应该具体”和选项B“目标应该清晰”都是目标设定的基本要求，但它们并不特指安全建设的核心要素。选项D“目标应该进行良好的定义”同样是一个通用的目标设定原则，也不特指安全建设的重点。而选项C“目标应该是可实现的”直接关联到安全建设的实际执行和成效。一个不可实现的安全目标，无论多么具体、清晰或定义良好，都无法有效指导安全实践。因此，在当前计算机系统安全建设中，最重要的安全目标是那些可以实际达成、能够有效提升系统安全性的目标。所以，答案是C。

45/1315

以下哪一项计算机安全程序的组成部分是其它组成部分的基础？( )

A制度和措施

B漏洞分析

C意外事故处理计划

D采购计划

正确答案 A  

答案解析

计算机安全程序包括制度和措施、漏洞分析、意外事故处理计划、采购计划等多个组成部分。其中，制度和措施是计算机安全程序的基础，它们是制定和实施计算机安全策略的重要手段，包括安全政策、安全标准、安全规范、安全管理制度等。漏洞分析、意外事故处理计划、采购计划等都是在制度和措施的基础上进行的，因此选项A正确

46/1315

以下哪一项是对信息系统经常不能满足用户需求的最好解释？( )

A没有适当的质量管理工具

B经常变化的用户需求

C用户参与需求挖掘不够

D项目管理能力不强

正确答案 C  

答案解析

本题考察信息系统不能满足用户需求的原因。选项A、B、D都可能导致信息系统不能满足用户需求，但是选项C是最好的解释。因为用户参与需求挖掘不够，说明信息系统开发过程中没有充分了解用户需求，导致最终的信息系统不能满足用户需求。因此，选项C是本题的正确答案。

47/1315

以下哪一种人给公司带来了最大的安全风险？( )

A临时工

B咨询人员

C以前的员工

D当前的员工

正确答案 D  

答案解析

本题考查的是企业安全管理方面的知识。选项中给出了四种人员类型，需要判断哪一种人员给公司带来了最大的安全风险。 A选项临时工，由于临时工的工作时间较短，对公司的安全风险影响相对较小，因此排除。 B选项咨询人员，咨询人员一般只是提供咨询服务，不会直接参与公司的运营和管理，因此对公司的安全风险影响相对较小，排除。 C选项以前的员工，虽然以前的员工可能已经离职，但是他们可能还保留着公司的机密信息，如果这些信息被泄露出去，对公司的安全风险影响较大，但是相对于当前的员工，以前的员工已经离职，对公司的安全风险影响相对较小，排除。 D选项当前的员工，当前的员工是公司的核心力量，如果员工在工作中存在安全意识不强、操作不规范等问题，就会给公司带来安全风险，因此选项D是正确答案。 综上所述，本题正确答案为D。

48/1315

以下哪种安全模型未使用针对主客体的访问控制机制？( )

A基于角色模型

B自主访问控制模型

C信息流模型

D强制访问控制模型

正确答案 C  

答案解析

本题考查的是安全模型中的访问控制机制。访问控制是指对系统中的资源进行控制和管理，以保证只有经过授权的用户才能访问资源。常见的访问控制机制有基于角色模型、自主访问控制模型、信息流模型和强制访问控制模型等。其中，基于角色模型和自主访问控制模型都是针对主客体的访问控制机制，即通过对用户和资源进行分类和分组，实现对用户访问资源的控制。强制访问控制模型则是通过对用户和资源进行标记和分类，实现对用户访问资源的控制。而信息流模型则是一种基于信息流的访问控制机制，它主要关注的是信息的流向和传递，而不是针对主客体的访问控制。因此，本题的正确答案是C

49/1315

以下哪种措施既可以起到保护的作用还能起到恢复的作用？( )

A对参观者进行登记

B备份

C实施业务持续性计划

D口令

正确答案 C  

答案解析

本题考查的是信息安全中的保护和恢复措施。选项A对于保护信息有一定作用，但并不能起到恢复作用；选项B备份只能起到恢复作用，不能保护信息；选项D口令只能起到保护作用，不能恢复信息。而选项C实施业务持续性计划既可以在信息遭受破坏时起到保护作用，又可以在信息遭受破坏后恢复信息，因此是既能保护又能恢复的措施。因此，本题的正确答案是C。

50/1315

以下哪种风险被定义为合理的风险？( )

A最小的风险

B可接受风险

C残余风险

D总风险

正确答案 B  

答案解析

本题考察风险管理中的概念。根据风险管理的基本原则，风险无法完全消除，只能通过采取措施来降低风险。因此，合理的风险是指在采取措施后，剩余的风险是可接受的。因此，选项B“可接受风险”是正确答案。选项A“最小的风险”是不合理的，因为在实际情况中，为了达到某种目标，可能需要承担一定的风险。选项C“残余风险”是指在采取措施后，剩余的风险，与选项B的含义相同。选项D“总风险”是指在未采取措施前的风险，与本题无关。因此，本题答案为B

标签：选项,中级,正确,信息安全,软考,1315,答案,本题
From： https://blog.csdn.net/2401_86544677/article/details/142452706