信息安全专业考试模拟练习题目（F）1.以下关于软件安全问题对应关系错误的是？A.缺点（Defect）-软件实现和设计上的弱点B.缺陷（Bug）-实现级上的软件问题C.瑕疵（Flaw）-一种更深层次、设计层面的问题D.故障（Failure）-由于软件存在缺点造成的一种外部表吸纳，是静态的、程序执行过程中出现的行为表现答案：D2.自主访问控制（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中，以下对DAC模型的理解中，存在错误的是（）A、在DAC模型中，资源的所有者可以确定谁有权访问它们的资源B、DAC是一种对单位单个用户执行访问控制的过程和措施C、DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击D、在DAC中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体答案：C3.恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中，防病毒软件通过对有毒软件的检测，将软件行为与恶意代码为模型进行匹配，判断出该软件存在恶意代码，这种方式属于（）A、简单运行B、行为检测C、特征数据匹配D、特征码扫描答案：B4.信息安全风险值应该是以下哪些因素的函数？（）A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度答案：A5.管理层应该表现对（）、程序和控制措施的进行支持，并以身作则。管理职责要确保雇员和承包方人员都了解（），其（）角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，并定期组织信息安全（）组织要建（）。答案：教材第113页，第一段和第二段，请背诵下来，最好要理解。6.主要的信息安全服务分为（）、（）、（）、（）、访问控制A、访问控制、数据加密、B、访问控制、加密、密秘性C、访问控制、加密、数据完整性、序列D、机密性、完整性、可用性、访问控制答案：D教材第346页，包括：鉴别、访问控制、数据保密性、数据完整性、抗抵赖。7.在一个网络中，当拥有的网络域址容量不够多，终端计算机没有必要分配静态IP地域时，可以采用过在计算机连拔到网络时，每次为其临时在IP地址中选择一个IP地址并分配的方式为（）A、动态分配IP地址B、静态分配IP地址C、网络域址转换分配地址D、手动分配答案：A8.信息安全风险管理地基于（）的信息安全管理，也就是，始终以()为主线进行信息安全的管理。（）的不同来理解信息安全风险管理的侧重点，即（）选择的应用和对象重点应有所不同。A.风险；风险；信息系统；风险管理B.风险；风险；风险管理；信息系统C.风险管理；信息系统；风险；风险D.风险管理；风险；风险；风险；信息体统答案：A，教材第88页，第3.2.1的最后一段话，背下来，要理解。9.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案。在向主管领导些报告施，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息系统突发事件能力，减少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段C.编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设D.应急预案是保障单位业务系统信息安全的重要措施答案：C10.数据链路层负责监督相邻网络节点的信息流动，用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题，数据链路层的数据单元是（）A.报文B.比特流C、帧D、包答案：C11.CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）。A．不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件；B．热爱信息安全工作岗位和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责的提出应对信息安全问题的建设和帮助；C．自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为；D、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升安全实践能力，以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。答案：第67页，第2节内容背诵下来，答案为A，A是和题干中的衔接部分的。12.某公司财务服务器收到攻击被攻击者删除了所有用户数据，包括系统日志，公司网络管理员在了解情况后，给出了一些解决措施建议，作为信息安全主管，你必须支持不恰当的操作并阻止此次操作（）A.由于单位内无专业网络安全应急人员，网站管理员希望出具授权书委托书某网络安全公司技术人员对本次攻击进行取证B.由于公司缺乏备用磁盘，因此计划特恢复服务器上被删除的日志文件进行本地恢复后再提取出来进行取证C．由于公司缺乏备用磁盘，因此网络管理员申请采购与服务器磁盘同一型号的硬盘用于存储恢复出来的数据D．由于公司并无专业网络安全应急人员，因此由网络管理员负责此次事件的应急协调相关工作答案：B，因为破坏了证据。13.在你对终端计算机进行Ping操作，不同操作系统回应的数据包含中初始ITL值是不同的，ITL是IP协议包中的一个信，它告诉网络，数据包在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过TTL值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断（）A.内存容量B.操作系统的类型C.对方物理位置D.对方的MAC地址答案：B14.（）攻击是建立在人性“弱点”利用基础上的攻击，大部分的社会工程学攻击都是经过（）才能实施成功的。即时是最简单的“直接攻击”也需要进行（）。如果希望受害者攻击者所需要的（）。答案：教材第229页，最下面一段话，理解和记忆背诵下来。（社会工程学攻击）、（精心策划）、（前期准备）、（身份）。尽管都理解，但只有和原文一样才能得分。15.某公司为加强员工的信息安全意识，公司员工方式入侵公司信息系统是，答案：建议看教程的管理知识点，具体知识点如下：知识点：管理层切实履行相应的管理职责是ISMS能够成功实施的最关键因素，会对ISMS建设产生推动作用。16.恶意软件分析是快速准确的识别，实际上是虚拟化技术的应用，是动态分析中广泛采用的一种技术，A.动态分析是指在虚拟进行环境中，B．动态分析针对性强，并具有较高的C.动态分析通过对其文件的分析D.动态分析通过监控系统建设，文件和注册表等方面出现的答案：A17.安全评估技术采用（）这一工具，它是一种能够自动检测远程本地和网络安全程序。A．安全扫描器B．安全扫描仪C．自动扫描器D．自动扫描仪答案：A18.小张在一个不知名的网站上下载了鲁大师并进行安装，电脑安全软件提示该软件有恶意，小张急出一身冷汗，因为他知道恶意代码将随之进入系统后会对他的系统信息安全造成很大的威胁，能检查恶意代码的转的实现方式不包括（）A.攻击者在获得系统的上传受限后，将恶意代码部署到目标系统B.恶意代码自身就是软件的一部分，随软件部署传播C.内嵌在软件中，当文件被执行时进入目标系统D．恶意代码通过网上激活答案：D，恶意代码一般不需要激活。19.操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境，操作系统提供了更好的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不而下的破绽，都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标，按书中所学建立了相应的安全机制，这些机制不包括（）A.标识与鉴别B.访问控制C.权限管理D.网络云盘存取保护答案：D20.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防措施，也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，在下面的应急响应管理流程图中，空白方框处填写正确的选项是（）答案：复习应急响应的流程，准备、检测、遏制、根除、恢复、跟踪总结。21.传输线路是信息发送设备和接受设备之间的物理通信，针对传输答案：教程第341页8.1.3章节下的第一段话，记忆和理解。22.风险处理是依据（），选择和实施合适的安全措施，风险处理的目的是为了（）始终控制在可接受的范围内，风险处理的方式主要有（）、（）、（）、和（）四种方式A．风险；风险评估的结果；降低；规避；转移；接受B．风险评估的结果；风险；降低；规避；转移；接受C.风险评估；风险；降低；规避；转移；接受D．风险；风险评估；降低；规避；转移；接受答案：B23.信息安全风险评估是针对事物潜在影响正常执行器职能的行为产生于优减有破坏的因素进行识别、评价的过程下列选项中不属于风险评估要素的是（）A.资产B.脆弱性C.威胁D.安全需求答案：D24.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：(1)自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击，小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息，以上四个观点中，有一个观点是正确的，它是（）A.观点（1）B观点（2）C.观点(3)D.观点（4）答案：D25.基于对（）的信任，当一个请求或命令来自一个“权威”人士时，这个请求就可能被不怀疑的（）。在（）中，攻击者伪装成“公安部门”人员，要求受害者转账到所谓“安全账户”就是利用了受害者对权威的信任。在（）中，攻击者可能伪装成监管部门、信息系统管理人员等身份，去要求受害者执行操作。例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求（）等。A．权威；执行；电信诈骗；网络攻击；更改密码B．权威；执行；网络攻击；电信诈骗；更改密码C．执行；权威；电信诈骗；网络攻击；更改密码D．执行；权威；网络攻击；电信诈骗；更改密码答案：A26.软件开发模型是指对软件开发安全部过程、活动和任务的结构框架，最早出现的软件开发模型是1970年W.Royce提出的瀑布模型，常见模型的模型有演化模型、螺旋模型、喷泉模型、智能模型等。下列软件开发模型中，支持需求不明确，特别是大型软件系统的开发。并支持多软件开发的方法的模型是（）A.原型模型B.瀑布模型C.喷泉模型D.螺旋模型答案：D27.物理安全是一个非常关键的领域，包括环境安全、设施安全与传输安全。其中，信息系统的设施作为直接存储、处理数据的载体，其安全性对信息系统至关重要。下列选项中，对设施安全的保障措施的描述正确的是().A.安全区域不仅包含物理区域，还包含信息系统等软件区域B．建立安全区域需要建立安全屏蔽及访问控制机制C．由于传统门容易被破解，因此禁止采用门的方式进行边界防护D．闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备，后端设备包括中央控制设备、监视器等答案：D28.对于信息安全风险评估，下列选项中正确的是（）。A．风险评估只需要实施一次就可以B．风险评估应该根据变化了的情况定期或不定期的适时地进行C．风险评估不需要形成文化评估结果报告D．风险评估仅对网络做定期的扫面就行答案：B29.下列选项中，与面向构件提供者的构件测试目标无关的是().A.检查为特定项目而创建的新构件的质量B．检查在特定平台和操作环境中构件的复用、打包、和部署C．尽可能多地揭示构件错误D．验证构件的功能、借口、行为和性能答案：C30.下列关于测试方法的叙述不正确的是（）A．从某种角度上讲，白盒测试与黑盒测试都属于动态测试B.功能测试属于黑盒测试C.结构测试属于白盒测试D．对功能的测试通常是要考虑程序的内部结构的答案：D31.小王学习了灾难备份的有关知识，了解到常用的数据备份方式包括完全备份、增量备份、差量备份，为了巩固所学知识，小王对这三种备份方式进行对比，其中在数据恢复速度方面三种备份方式由快到慢的顺序是（）A．完全备份、增量备份、差量备份B.完全备份、差量本份、增量备份C．增量备份、差量备份、完全备份D．差量备份、增量备份、完全备份答案：B32.在极限测试过程中，贯穿始终的是()A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收测试D.集成测试和系统测试答案：C，标准知识点是单元测试和验收测试是其中的重要两个过程，C贴近。33.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障模型>A．保障要素、生命周期和运行维护B．保障要求、生命周期和安全特征C．规划组织、生命周期和安全特征D．规划组织、生命周期和运行维护答案：B，标准知识点是保障要素、生命周期和安全特征。34.以下哪些不是《国家网络安全空间战略》中产生的我国网络空间当前任务？A．捍卫网络空间主权B．保护关键信息基础设施C．提升网络空间防护能力D．阻断与国外网络连接答案：D35.在信息安全保障工作中，人才是非常重要的因素，近年来，我国一直高度重视我国信息安全人才队伍的培养和建设。在以下关于我国关于人才培养工作的描述中，错误的是（）A．在《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发{2003}27号）中，针对信息安全人才建设与培养工作提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神B．2015年，为加快网络空间安全高层次人才培养，经报国务院学位委员会批准，国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科，这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用C．经过十余年的发展，我国信息安全人才培养已经成熟和体系化，每年培养的信息安全从业人员的数量较多，基本能通社会实际需求相匹配：同时，高校信息安全专业毕业人才的综合能力要求高、知识更全面，因而社会化培养应重点放在非安全专业人才培养上D.除正规大学教育外，我国信息安全非学历教育已基本形成了以各种认证为核心，辅以各种职业技能培训的信息安全人才培训体系，包括“注册信息安全专业人员（CISP）”资质认证和一些大型企业的信息安全资质认证答案：C36.王明买了一个新的蓝牙耳机，但王明听说使用蓝牙设备有一定的安全威胁，于是王明找到蓝牙技术有所了解的王红，希望王红能够给自己一点建议，以下哪一条建议不可取（）A．在选择使用蓝牙设备时，应考虑设备的技术实现及设置是否举办防止上述安全威胁的能力B.选择使用功能合适的设备而不是功能尽可能多的设备、就尽量关闭不使用的服务及功能C．如果蓝牙设备丢失，最好不要做任何操作D．在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案：C37.某公司正在进行IT系统灾难恢复测试，下列问题中哪个最应该引起关注（）A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试B．在测试的过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败C．在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D．每年都是由相同的员工执行测试，由于所有的参与都很熟悉每一个恢复步骤，因而没有使用灾难恢复计划(DRP)文档答案：B38.Hadoop是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前，Hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与服务器进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop 集群上，恶意的提交作业，纂改分布式存储的数据，伪装成NameNode 或者TaskTracker接受任务等。在Hadoop2.0中引入了Kerberos机制来解决用户到服务器的认证问题，Kerberos的认证过程不包括（）A．获得票据许可票据B．获得服务许可票据C．获得密钥分配中心的管理权限D．获得服务答案：C39.下面哪个阶段不属于软件的开发时期（）A．详细设计 B.总体设计C.编码D.需求分析答案：D40.图为一个飞机票预定系统的数据流图，图中“旅客”是（）答案：题目不全，略。41.信息可以以多种形式存在。它可以打印写在纸上、以（）、用邮寄或电子手段传递、呈现在信息可以以多种形式存在。它可以打印写在纸上、以（）、用邮寄或电子手段传递、呈现在片上使用是（）。无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当的保护。（）是保护信息受各种威胁的损害，以确保业务（），业务风险最小化，投资回报和（）A.语言表达；电子方式存储；信息安全；连续性；商业机遇最大化B.电子方式存储；语言表达；连续性；信息安全；商业机遇最大化C.电子方式存储；连续性；语言表达；信息安全；商业机遇最大化D．电子方式存储；语言表达；信息安全；连续性；商业机遇最大化答案：D来源：出处于一个国际标准，“信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。”42.以下对Kerberos协议过程说法正确的是（）A．协议可分为两个步骤：一是用户身份鉴别；二十获取请求服务B.协议可分为两个步骤：一是获得票据许可票据；二十获取请求服务C．协议可分为三个步骤；一是用户身份鉴别；二十获得票据；三是获得服务许可票据D．协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务答案：D43.传输线路是信息发送设备和接受设备之间的物理通路，针对传输线路的攻击是攻击者常用的方式，不同传输介质的具有不同的安全特性。同轴电缆、双绞线和光纤是广泛使用的有线传输介质。下列选项中，对有线传输介质的描述正确的是（）。A．同轴电缆显著的特征是频带较宽，其中高端的频带最大可达到100HzB．在双绞线外包裹一层金属屏蔽层，可解决抗干扰能力差的问题C.由于光在塑料保护套中传输损耗非常低，因此光纤可用于长距离的信息传递D．光纤通信传输具有高带宽、信号衰减小、无电磁干扰、不易被窃听、成本低廉等特点答案：教程342页，第3标题下。答案：B。A答案最大是10GHZ. 44.组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限制要基于各个业务应用要求。访问控制策略还要与组织的访问策略一致。应建立安全登录过程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认认证和（）时，宜使用如加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）。对程序源代码和相关事项《例如设计、说明书、验证计划和确认计划》的访问宜严格控制，以防引非授权功能、避免无意识的变更和维持有价值的知识产权的（）。对于程序源代码的保存，可以通过这种代码的中央存储控制来实现，更好的是放在（）中。A．应用系统；身份验证；严格控制；保密性；源程序库B．身份验证；应用系统；严格控制；保密性；源程序C．应用系统；严格控制；身份验证；保密性；源程序库D．应用系统；保密性；身份验证；严格控制；源程序库答案：A45.OSI模型吧网络通信工作分为七层，如图所示，OSI模型的每一层只与相邻的上下两层直接通信，当发送进程需要发送信息时，它把数据交给应用层。应用层对数据进行加工处理后，传给表示层。再经过一次加工后，数据被送到会话层。这一过程一直继续到物理层接收数据后进行实际的传输，每一次的加工又称为数据封装。其中IP层对应OSI模型中的哪一层（）。A．会话层 B.传输层 C.应用层 D.网络层答案：D46.安全审计是答案：教程260页最后一段中，描述的安全审计的概念。47.风险评估的过程包括（）、（）、和（）四个阶段。在信息安全风险管理过程中，风险评估答案：知识点是准备、要素识别、风险分析和结果判定四个阶段。48.软件工程方法.而其目的应该是解决软件的问题的是（）。A． B. C.生产工程化答案：过程安全。解答：参考什么是软件工程方法学的概念，软件工程是技术和管理紧密结合所形成的工程学科，通过计划、组织和控制等一系列的活动，合理地配置和使用各种资源，以达到既定目标的过程，软件工程方法学三要素（方法、过程、工具），软件工程方法学类型，传统方法学和面向对象的方法学。CISP试题及答案-四套题1信息安全发展各阶段中，下面哪一项是信息安全所面临的主要威胁 A病毒 B非法访问 C信息泄漏 D---口令 2.关于信息保障技术框架IATF，下列说法错误的是 AIATF强调深度防御，关注本地计算环境，区域边境，网络和基础设施，支撑性基础设施等多个领域的安全保障 BIATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作。 CIATF强调从技术，管理和人等多个角度来保障信息系统的安全 DIATF强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全 3.美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为 A内网和外网两个部分 B本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分 C用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分 D用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别 4.下面那一项表示了信息不被非法篡改的属性 A可生存性 B完整性 C准确性 D参考完整性 5.以下关于信息系统安全保障是主关和客观的结论说法准确的是 A信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全 B通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C是一种通过客观保证向信息系统评估者提供主观信心的活动 D 6、一下那些不属于现代密码学研究 AEnigma密码机的分析频率 B-- Cdiffie-herrman密码交换 D查分分析和线性分析 7.常见密码系统包含的元素是： A.明文、密文、信道、加密算法、解密算法 B.明文，摘要，信道，加密算法，解密算法 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 8.公钥密码的应用不包括： A.数字签名 B.非安全信道的密钥交换 C.消息认证码 D.身份认证 9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？ A.DSS B.Diffie-Hellman C.RSA D.AES 10.目前对MD5，SHAI算法的攻击是指： A.能够构造出两个不同的消息，这两个消息产生了相同的消息摘要 B.对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要 C.对于一个已知的消息摘要，能够恢复其原始消息CISP试题及答案1、以下对信息安全描述不正确得就是 A、信息安全得基本要素包括保密性、完整性与可用性 B、信息安全就就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成得影响减到最小，确保组织业务运行得连续性 C、信息安全就就是不出安全事故/事件 D、信息安全不仅仅只考虑防止信息泄密就可以了 【答案】C 2、以下对信息安全管理得描述错误得就是 A、保密性、完整性、可用性 B、抗抵赖性、可追溯性 C、真实性私密性可靠性 D、增值性 【答案】D 3、以下对信息安全管理得描述错误得就是 A、信息安全管理得核心就就是风险管理 B、人们常说，三分技术，七分管理，可见管理对信息安全得重要性 C、安全技术就是信息安全得构筑材料，安全管理就是真正得粘合剂与催化剂 D、信息安全管理工作得重点就是信息系统，而不就是人 【答案】D 4、企业按照ＩＳＯ２７００１标准建立信息安全管理体系得过程中，对关键成功因素得描述不正确得就是 A、不需要全体员工得参入，只要ＩＴ部门得人员参入即可 B、来自高级管理层得明确得支持与承诺 C、对企业员工提供必要得安全意识与技能得培训与教育 D、所有管理者、员工及其她伙伴方理解企业信息安全策略、指南与标准，并遵照执行 【答案】A 5、信息安全管理体系（ISMS）就是一个怎样得体系，以下描述不正确得就是 A、ISMS就是一个遵循PDCA模式得动态发展得体系 B、ISMS就是一个文件化、系统化得体系 C、ISMS采取得各项风险控制措施应该根据风险评估等途径得出得需求而定 D、ISMS应该就是一步到位得，应该解决所有得信息安全问题 【答案】D 6、PDCA特征得描述不正确得就是 A、顺序进行，周而复始，发现问题，分析问题，然后就是解决问题 B、大环套小环，安全目标得达成都就是分解成多个小目标，一层层地解决问题 C、阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足 D、信息安全风险管理得思路不符合PDCA得问题解决思路 【答案】D 7、以下哪个不就是信息安全项目得需求来源最新CISP试题及答案-四套题1 信息安全发展各阶段中，下面哪一项是信息安全所面临的主要威胁 A病毒 B非法访问 C信息泄漏 D---口令 2.关于信息保障技术框架IATF，下列说法错误的是 A IATF强调深度防御，关注本地计算环境，区域边境，网络和基础设施，支撑性基础设施等多个领域的安全保障 B IATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作。 C IATF强调从技术，管理和人等多个角度来保障信息系统的安全 D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全 3.美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为 A 内网和外网两个部分 B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分 C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分 D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别 4.下面那一项表示了信息不被非法篡改的属性 A 可生存性 B 完整性 C 准确性 D 参考完整性 5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是 A 信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全 B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心 C 是一种通过客观保证向信息系统评估者提供主观信心的活动 D 6、一下那些不属于现代密码学研究 A Enigma密码机的分析频率 B -- C diffie-herrman密码交换 D 查分分析和线性分析 7.常见密码系统包含的元素是： A. 明文、密文、信道、加密算法、解密算法 B. 明文，摘要，信道，加密算法，解密算法 C. 明文、密文、密钥、加密算法、解密算法 D. 消息、密文、信道、加密算法、解密算法 8.公钥密码的应用不包括： A. 数字签名 B. 非安全信道的密钥交换CISP试题及答案-一套题1.下面关于信息安全保障的说法错误的是： A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性，可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。 以下哪一项是数据完整性得到保护的例子？ A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看 注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？ A.通信安全 B.计算机安全 C.信息安全 D.信息安全保障 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？ A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养 D.重视信息安全应急处理工作 以下关于置换密码的说法正确的是： A.明文根据密钥被不同的密文字母代替 B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或D.明文根据密钥作了移位 以下关于代替密码的说法正确的是： A.明文根据密钥被不同的密文字母代替 B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 7常见密码系统包含的元素是： A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 8在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________ A.明文 B.密文 C.密钥 D.信道 9PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废 A.ARL B.CSS C.KMS D.CRL 10、一项功能可以不由认证中心CA完成？ A.撤销和中止用户的证书 B.产生并分布CA的公钥 C.在请求实体和它的公钥间建立链接 D.发放并分发用户的证书全CISP模拟题北京5月份CISE考试 1下面关于信息安全保障的说法错误的是： A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性，可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周 期内确保信息的安全属性。 2以下哪一项是数据完整性得到保护的例子？ A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看 3、注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？ A.通信安全 B.计算机安全 C.信息安全 D.信息安全保障 4、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？ A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养 D.重视信息安全应急处理工作 5、以下关于置换密码的说法正确的是： A.明文根据密钥被不同的密文字母代替 B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 6、以下关于代替密码的说法正确的是： A.明文根据密钥被不同的密文字母代替 B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 7、常见密码系统包含的元素是： A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算法 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 8、在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________ A.明文 B.密文 C.密钥 D.信道 9、PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废 A.ARL B.CSS C.KMS D.CRL 10、一项功能可以不由认证中心CA完成？CISP模拟考试100题及标准答案(最新整理)CISP模拟考试100题及答案（最新整理） 1、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？B A必须是TAMPERPROOF B必须足够大 C必须足够小 D必须总在其中 2、CTCPEC标准中，安全功能要求包括以下哪方面内容？ABDE A机密性要求 B完整性要求； C保证要求； D可用性要求； E可控性要求 3、TCP/IP协议的4层概念模型是？A A.应用层、传输层、网络层和网络接口层 B.应用层、传输层、网络层和物理层 C.应用层、数据链路层、网络层和网络接口层 D.会话层、数据链路层、网络层和网络接口层 4、中国信息安全产品测评认证中心的四项业务是什么？ABCD A.产品测评认证； B.信息系统安全测评认证； C.信息系统安全服务资质认证； D.注册信息安全专业人员资质认证 5、以下哪一项对安全风险的描述是准确的？C A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。 B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。 C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D、安全风险是指资产的脆弱性被威胁利用的情形。 6、以下哪些不属于脆弱性范畴？A A、黑客攻击 B、操作系统漏洞 C、应用程序BUG D、人员的不良操作习惯 7、依据信息系统安全保障模型，以下那个不是安全保证对象A A、机密性 B、管理 C、过程 D、人员 8、系统审计日志不包括以下哪一项？D A、时间戳 B、用户标识 C、对象标识 D、处理结果 9、TCP三次握手协议的第一步是发送一个：A A、SYN包 B、SCK包 C、UDP包 D、NULL包 10、以下指标可用来决定在应用系统中采取何种控制措施，除了（）BCISP(注册信息安全专业人员)最新练习题1.某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？ A．认证 B．定级 C．认可 D．识别 答案：C 2.下列哪一项准确地描述了可信计算基（TCB）？ A．TCB只作用于固件（Firmware） B．TCB描述了一个系统提供的安全级别 C．TCB描述了一个系统内部的保护机制 D．TCB通过安全标签来表示数据的敏感性 答案：C 3.下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经 授权的访问以及破坏性的修改行为？ A．安全核心 B．可信计算基 C．引用监视器 D．安全域 答案：C 4.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全 规则”？ A．Biba模型中的不允许向上写 B．Biba模型中的不允许向下读 C．Bell-LaPadula模型中的不允许向下写 D．Bell-LaPadula模型中的不允许向上读 答案：D 5.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好 地描述了星或（*-）完整性原则？ A．Bell-LaPadula模型中的不允许向下写 B．Bell-LaPadula模型中的不允许向上读 C．Biba模型中的不允许向上写 D．Biba模型中的不允许向下读 答案：C 6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来 操作业务数据，这种情况属于下列哪种安全模型的一部分？ A．Bell-LaPadula模型 B．Biba模型 C．信息流模型 D．Clark-Wilson模型 答案：D 7.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动 性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？CISP考试年专用题库1 .美国的关键信息基础设施（criticallnformationlnfrastructure , Cll）包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括： A. 这些行业都关系到国计民生，对经济运行和国家安全影响深远 B. 这些行业都是信息化应用广泛的领域 C. 这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出 D. 这些行业发生信息安全事件，会造成广泛而严重的损失 2.关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确： A. 20PP-20PP年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该 机构是我国信息安全保障工作的最高领导机构 B. 20PP-20PF年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》（中办发27号文件）并颁布了国家信息安全战略 C. 20PP-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功& D. 20PP- 至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信 息安全保障工作迈出了坚实步伐 3?依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）中，安全保障目的指的是： A、信息系统安全保障目的 B、环境安全保障目的 C、信息系统安全保障目的和环境安全保障目的 D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 4. 以下哪一项是数据完整性得到保护的例子？ A. 某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B. 在提款过程中AT瞰端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作& C?某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看 5. 公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案 时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要 这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下 面说法哪个是错误的： A. 乙对信息安全不重视，低估了黑客能力，不舍得花钱& B. 甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费CISP样题-含答案DOC1.以下对信息安全问题产生的根源描述最准确的是： A. 信息安全问题是由于信息技术的不断发展造成的 B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D. 信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏 2.中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求，在证书有效期 内，应完成至少 6 次完整的信息安全服务经历，以下哪项不是信息安全服务： A、为政府单位信息系统进行安全方案设计 B、在信息安全公司从事保安工作 C、在公开场合宣讲安全知识 D、在学校讲解信息安全课程 3. 确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其 所用，是指： A、完整性 B、可用性 C、保密性 D、抗抵赖性 4. 下列信息系统安全说法正确的是： A．加固所有的服务器和网络设备就可以保证网络的安全 B．只要资金允许就可以实现绝对的安全 C．断开所有的服务可以保证信息系统的安全 D．信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略 5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、 完整性服务、抗抵赖服务，其中机密性服务描述正确的是？ A.包括原发方抗抵赖和接受方抗抵赖 B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密 C.包括对等实体鉴别和数据源鉴别 D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整 性、无连接完整性和选择字段无连接完整性 页码：1CISP经典样题1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A．定级 B．认可 C．识别 2.下列哪一项准确地描述了可信计算基（TCB）？ A．TＣＢ只作用于固件（Fｉｒmware) B．ＴＣＢ描述了一个系统内部的保护机制 C．TCB通过安全标签来表示数据的敏感性 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限，而且确保对客 体不会有未经授权的访问以及破坏性的修改行为？ A．安全核心 B．可信计算基 C．安全域 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中 的“简单安全规则”? A．Biｂａ模型中的不允许向上写 B．Biba模型中的不允许向下读 C．Ｂelｌ-LaPaduｌａ模型中的不允许向下写 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下 列哪一项最好地描述了星或（*-）完整性原则? A．Ｂell—LaPadula模型中的不允许向下写 B．Bｅll—LaPadｕla模型中的不允许向上读 C．Biｂa模型中的不允许向下读 6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据,而只能通 过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分? A．Bell-ＬaPａdula模型 B．Biba模型 C．信息流模型 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公 司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型? A．自主访问控制（DＡC） B．强制访问控制(MAC) C． D．最小特权（Ｌeａst Pｒivilｅｇe） 8.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?最新CISP试题及答案-7套题详解1.下面关于信息安全保障的说法正确的是： A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》，对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是： A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”， 再到“信息安全”，直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP ）的说法最准确的是： A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求，进行与技术实现无关的描述 D.由一系列保证组件构成的包，可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型？ A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是？ A 它可以用来实现完整性保护，也可以用来实现机密性保护 B在强制访问控制的系统中，用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低2019新版CISP重要试题2161．美国的关键信息基础设施(critical Information Infrastructure，CII)包 括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信 息安全，其主要原因不包括： A．这些行业都关系到国计民生，对经济运行和国家安全影响深远 B．这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其 他行业更突出 D．这些行业发生信息安全事件，会造成广泛而严重的损失 2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确： A．2001-2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组， 该机构是我国信息安全保障工作的最高领导机构 B．2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27 号文件)并颁布了国家信息安 全战略 C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得 圆满成功& D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信 息安全保障工作迈出了坚实步伐 3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是： A、信息系统安全保障目的 B、环境安全保障目的 C、信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安 全保障目的 4．以下哪一项是数据完整性得到保护的例子? A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户 可以完成操作 B．在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进 行了冲正操作& C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机 进行了什么操作 D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的 商业间谍无法查看 5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要 这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下 面说法哪个是错误的： A.乙对信息安全不重视，低估了黑客能力，不舍得花钱&CISP整理试题和答案1.在橙皮书的概念中，信任是存在于以下哪一项中的？ A. 操作系统 B. 网络 C. 数据库 D. 应用程序系统 答案：A 2.下述攻击手段中不属于DOS攻击的是: （） A. Smurf攻击 B. Land攻击 C. Teardrop攻击 D. CGI溢出攻击 答案：D。 3.“中华人民国保守国家秘密法”第二章规定了国家秘密的围和密级，国家秘密的密级分为：（） A. “普密”、“商密”两个级别 B. “低级”和“高级”两个级别 C. “绝密”、“”、“秘密”三个级别 D. “一密”、“二密”、“三密”、“四密”四个级别 答案：C。 4.应用软件测试的正确顺序是： A. 集成测试、单元测试、系统测试、验收测试 B. 单元测试、系统测试、集成测试、验收测试 C. 验收测试、单元测试、集成测试、系统测试 D. 单元测试、集成测试、系统测试、验收测试 答案：选项D。 5.多层的楼房中，最适合做数据中心的位置是： A. 一楼 B. 地下室 C. 顶楼 D. 除以上外的任何楼层 答案：D。 6.随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信 息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是： A. 测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估，认证一系列环节。 B. 认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。 C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。 D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。 答案：D。 7.计算机安全事故发生时，下列哪些人不被通知或者最后才被通知： A. 系统管理员 B. 律师 C. 恢复协调员 D. 硬件和软件厂商 答案：B。 8.下面的哪种组合都属于多边安全模型？ A. TCSEC 和Bell-LaPadula B. Chinese Wall 和BMA C. TCSEC 和Clark-Wilson D. Chinese Wall 和Biba 答案：B。 9.下面哪种方法可以替代电子银行中的个人标识号（PINs）的作用？ A. 虹膜检测技术 B. 语音标识技术 C. 笔迹标识技术 D. 指纹标识技术 答案：A。 10.拒绝服务攻击损害了信息系统的哪一项性能？ A. 完整性cisp题库(2020年v2.3)1、下列对于信息安全保障深度防御模型的说法错误的是： A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下 B、信息安全管理和工程，信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统 C、信息安全人才体系，在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分 D、信息安全技术方案：“从外面内，自下而上，形成边界到端的防护能力” 2、人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于： A、为了更好地完成组织机构的使命 B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到革命性的发展 D、除了保密性，信息的完整性和可用性也引起了人们的关注 3、关于信息保障技术框架（IATF），下列哪种说法是错误的？ A、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障 B、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作 C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全 D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 4、信息系统保护轮廓（ISPP）定义了___________ A、某种类型信息系统的与实现无关的一组系统级安全保障要求 B、某种类型信息系统的与实现相关的一组系统级安全保障要求 C、某种类型信息系统的与实现无关的一组系统级安全保障目的 D、某种类型信息系统的与实现相关的一组系统级安全保障目的 5、下面对于信息安全特征和范畴的说法错误的是： A、信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术问题，还要考虑人员、管理、政策等众多因素 B、信息安全是一个动态的问题，它随着信息技术的发展普及，以及产业基础、用户认识、投入产出而发展 C、信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的 D、信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点 6、椭圆曲线密码方案是指： A、基于椭圆曲线上的大整数分解问题构建的密码方案 B、通过椭圆曲线方程求解的困难性构建的密码方案 C、基于椭圆曲线上有限域离散对数问题构建的密码方案 D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案 7、hash算法的碰撞是指： A、两个不同的消息，得到相同的消息摘要 B、两个相同的消息，得到不同的消息摘要 C、消息摘要和消息的长度相同 D、消息摘要比消息长度更长 8、Alice从Sue那里收到一个发给她的密文，其他人无法解密这个密文，Alice需要用哪个密钥来解密这个密文？ A、Alice的公钥 B、Alice的私钥 C、Sue的公钥 D、Sue的私钥 9、数字签名应具有的性质不包括： A、能够验证签名者 B、能够认证被签名消息 C、能够保护被签名的数据机密性 D、签名必须能够由第三方验证[实用参考]CISP考试年专用题库.doc1．美国的关键信息基础设施(criticalInformationInfrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括： A．这些行业都关系到国计民生，对经济运行和国家安全影响深远 B．这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出 D．这些行业发生信息安全事件，会造成广泛而严重的损失 2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．20XX-20XX年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构 B．20XX-20XX年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略 C．20XX-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功& D．20XX-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐 3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是： A、信息系统安全保障目的 B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 4．以下哪一项是数据完整性得到保护的例子? A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作& C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作 D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看 5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的： A.乙对信息安全不重视，低估了黑客能力，不舍得花钱& B．甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C．甲未充分考虑网游网站的业务与政府网站业务的区别 D．乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求 6．进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是： A．与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重CISP模拟练习题 道 带答案 中国信息安全测评中心CISP认证 模拟试题 中电运行信息安全网络技术测评中心编辑1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？ A．提高信息技术产品的国产化率 B．保证信息安全资金投入 C．加快信息安全人才培养 D．重视信息安全应急处理工作 2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？A．强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程 B．强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标 C．以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心 D．通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征 3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是： A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全 B．通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心 C．是一种通过客观证据向信息系统评估者提供主观信心的活动 D．是主观和客观综合评估的结果 4.与PDR模型相比，P2DR模型多了哪一个环节？ A．防护 B．检测 C．反应 D．策略 5.在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于_______。 A．明文 B．密文 C．密钥 D．信道 6.通过对称密码算法进行安全消息传输的必要条件是： A．在安全的传输信道上进行通信 B．通讯双方通过某种方式，安全且秘密地共享密钥 C．通讯双方使用不公开的加密算法 D．通讯双方将传输的信息夹杂在无用信息中传输并提取 7.以下关于代替密码的说法正确的是：CISP试题及标准答案-套题CISP试题及答案-套题————————————————————————————————作者：————————————————————————————————日期：CISP培训模拟考试（二） 姓名：单位： 1．FTP使用哪个TCP端口？ A．21 B.23 C.110 D.53 2.TACACS(终端访问控制器访问控制系统,AAA认证协议的一种？)使用哪个端口？A．TCP 69 B.TCP 49(TACACS+) C.UDP 69 D.UDP 49 3.LDAP使用哪个端口？（LDAP轻量目录访问协议，根据目录树的结构给予不同的员工组不同的权限） A．TCP 139 B.TCP 119 C.UDP 139 D.UDP 389 4．FINGER服务使用哪个TCP端口？（Finger服务可用于查询用户的信息，包括网上成员的真实姓名、用户名、最近登录时间和地点等，要关闭） A．69 B.119 C.79 D.70 5．DNS 查询（queries）工具中的DNS服务使用哪个端口？ A．UDP 53 B.TCP 23 C.UDP 23 D.TCP 53 6．在零传输（Zone transfers）中DNS服务使用哪个端口？ A．TCP 53 B. UDP 53 C.UDP 23 D. TCP 23 7．哪个端口被设计用作开始一个SNMP Trap？ A．TCP 161 B. UDP 161 C.UDP 162 D. TCP 169 8．在C/S环境中，以下哪个是建立一个完整TCP连接的正确顺序？ A．SYN，SYN/ACK，ACK B．Passive Open，Active Open，ACK，ACK C．SYN，ACK/SYN，ACK D．Active Open /Passive Open，ACK，ACK 9．TCP/IP的通信过程是？ A．——SYN/ACK——>， B．——SYN/ACK——>， C．——SYN——>，，， 10．TCP握手中，缩写RST指的是什么？ A．Reset B．Response C．Reply State D．Rest 11．191.64.12.22是哪类地址？ A．A类B．B类C．C类D．D类 12．255.0.0.0是哪类网址的默认MASK？cisp培训模拟题及答案CISP培训模拟考试（一） 姓名： _________________ 单位：_______________________________________________________ 1以下哪个不是中国信息安全产品测评认证中心开展的4种测评认证业务之一？ A ?信息安全产品型式认证 B ?信息安全服务认证 C.信息安全管理体系认证 D ?信息系统安全认证 2 ?中国信息安全产品测评认证中心目前进行信息安全产品认证所采用的基础信息安全评估 标准是哪一个？ A ? GJ B 2246 B ? GB/T 18336 — 2001 C. GB/T 18018 — 1999 D ? GB 17859-1999 3?下面哪一个是国家推荐性标准？ A. GB/T 18020-1999 应用级防火墙安全技术要求 B. SJ/T 30003-93 电子计算机机房施工及验收规范 C. GA 243-2000 计算机病毒防治产品评级准则 D. ISO/IEC 15408-1999 信息技术安全性评估准则 4?下面哪一个不属于我国通行“标准化八字原理”之一? A. “统一”原理 B?“简化”原理 C?“协调”原理 D. “修订”原理 5?标准采用中的“ idt ”指的是？ A. 等效采用 B. 等同采用 C. 修改采用 D. 非等效采用 6?著名的TCSEC是由下面哪个组织制定的? A. ISO B. IEC C. CNITSEC D. 美国国防部 7. 下面哪一个不属于基于OSI七层协议的安全体系结构的 5种服务之一? A. 数据完整性 B. 数据机密性 C. 公证 D. 抗抵赖8. TCP/IP协议的4层概念模型是？ A. 应用层、传输层、网络层和网络接口层 B. 应用层、传输层、网络层和物理层 C. 应用层、数据链路层、网络层和网络接口层 D. 会话层、数据链路层、网络层和网络接口层 9. CC 标准主要包括哪几个部分？ A. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南; B. 简介和一般模型、安全功能要求、安全保证要求 C. 通用评估方法、安全功能要求、安全保证要求 D. 简介和一般模型、安全要求、 PP 和 ST 产生指南 10. CC 包括下面哪个类型的内容？ A. 行政性管理安全措施 B. 物理安全方面（诸如电磁辐射控制） C. 密码算法固有质量评价 D. 由硬件、固件、和软件实现的信息技术安全措施 11. 下面对 PP 的说法中哪一个不对？ A. 可以作为产品设计的实用方案 B. 可以作为一类产品或系统的安全技术要求 C. 表达一类产品或系统的用户需求 D. 组合了安全功能要求和安全保证要求 12. CC 中安全功能 /保证要求的三层结构是（按照由大到小的顺序）？ A. 类、子类、元素 B. 组件、子类、元素 C. 类、子类、组件 D. 子类、组件、元素 13. CC 中的评估保证级（ EAL ）分为多少级？ A. 6 级 B. 7 级 C. 5 级 D. 4 级 14. CC中的评估保证级 4级（EAL4 ）对应TCSEC和ITSEC的哪个级别？ A. 对应 TCSEC B1 级，对应 ITSEC E4 级 B. 对应 TCSEC C2 级，对应 ITSEC E4 级 C. 对应 TCSEC B1 级，对应 ITSEC E3 级 D. 对应 TCSEC C2 级，对应 ITSEC E3 级 15. PP中的安全需求不包括下面哪一个？ A. 有关环境的假设 B. 对资产的威胁

顶层设计”原是工程学术语，本意是统筹各层次、各要素，从全局的角度，综合协调，寻求解决问题之道。在建筑行业中“顶层设计”强调建筑企业要有前瞻性的规划，以“总体性、前瞻性、可行性、长远性”为原则，确定企业的总体规划设计，并有具体实施步骤、实施重点、时间节点。建筑企业“顶层设计”是运用科学系统论的方法，对企业中长期发展进行系统化的规划，基于对建筑企业内外部环境、市场竞争格局的分析，通过系统的分析研究设定发展目标，对重点目标和关键要素进行详细的分解，根据发展目标配置企业资源，明确战略实施步骤，让企业战略落地，从而实现建筑企业的管理的升级，提高企业战略高度，谋求企业更大、更好的发展。建筑企业“顶层设计”有三个重点，第一是“做什么？”，即战略定位和商业模式的选择；第二是“谁来做？”，即组织架构和机制；第三是“怎么做？”，即管控和运行机制。企业战略定位和商业模式是整个顶层设计和深化改革的前提，创造价值是调整业务模式的原则。优化组织架构和经营机制是整个深化企业改革顶层设计的组织支持，建立企业管控及运营机制是整个深化企业改革顶层设计的基础和落脚点。标准化管理是实现“顶层设计”战略的基本条件。商业模式创新慧朴咨询认为，建筑企业的商业模式，其首要任务是解决业务与资本协同发展问题，即：价值结构：商业模式价值基础：业务模式倍增路径：资本模式图：建筑企业商业模式分析框架示意慧朴咨询“商业模式创新”咨询服务实施步骤：为建筑企业制定业务模式规划，形成《建筑企业商业模式整合规划报告》。包括对业务模式的定位、理清业务模式架构、对业务模式发展进行研究判断、整合关联业务。为建筑企业制定资本模式规划，形成《建筑企业资本化发展规划报告》。包括资本工具规划、业务与资本工具整合、制定资本化发展规划。企业品牌建设慧朴咨询认为，建筑企业的品牌建设，其首要任务是解决企业的外部认知问题，即：话语系统（知道我）内容系统（了解我）知识系统（尊重我）慧朴咨询将建筑企业品牌建设的发展分为三个阶段：建筑企业的品牌建设需要经历循序渐进过程，可设定“知道、了解、尊重（高度认同）”三个梯次。“CBM顶层设计”战略系统中的品牌战略帮助建筑企业系统地建立品牌建设操作体系，最大限度的帮助利益相关者与公众加深对企业的了解，不断扩大企业的品牌影响力。慧朴咨询的“CBM顶层设计”品牌战略为建筑企业提供如下四个价值：认知价值：最大化建立差异化认知，减少传播阻力共鸣价值：通过内容体系的建立与放大，让受众不断深入了解企业威望价值：通过知识权威行业标准的建立资本价值：通过品牌获得资本信誉溢价与威望溢价慧朴咨询“企业品牌建设”咨询服务实施步骤如下：建立建筑企业品牌话语体系，即品牌战略的定位与成型。包括品牌愿景定位、清晰规划建筑企业阶段品牌目标、品牌使命定位、品牌价值体系、品牌核心价值定位、品牌调性规划、品牌广告语创意。建立建筑企业品牌内容体系，即建立品牌识别内容与品牌传播信息体系。包括基础VI与品牌话语体系融合、建立工程现场形象模型、品牌传播信息规划、品牌内容传播规划。建立建筑企业品牌知识体系，即制定品牌感知体系。包括系统建立品牌价值与人文历史底蕴、建筑企业核心价值演绎、建筑企业技术价值、建筑企业品牌背书、建筑企业专业价值。 慧朴咨询为建筑企业提供“品牌建设”服务的成果将以如下形式体现：《建筑企业品牌战略规划报告》《企业品牌形象识别手册（VI+品牌话语体系）》《建筑施工现场形象标准化手册》《品牌内容营销标准化手册》《品牌培训标准化课件》等企业文化建设慧朴咨询认为，建筑企业的企业文化，其首要任务是解决企业的自我认知问题，即：战略定位（我是谁）蓝图规划（我的目标）组织文化（我的纲领）德鲁克曾经说过，企业只是一个用于经营的系统工具，而我们需要给这个工具加载一个航向。“CBM顶层设计”战略系统中的文化战略就是解决企业航向问题的，让建筑企业的高层有清晰明确的方向感，并激发奋斗的动力和热情，让中基层员工明确工作的指引与标准。 “CBM顶层设计”文化战略将为建筑企业提供五大价值：社会价值：明确企业的社会意义与价值竞争价值：明确企业差异化竞争落点清晰价值：让企业发展蓝图明括于胸精神价值：为企业组织注入系统灵魂标准价值：建立企业行动纲领与标准慧朴咨询“企业文化建设”咨询服务实施步骤如下：对建筑企业文化、BI行为现状进行解读与诊断。对建筑企业核心企业文化的定位与阐述。包括解读建筑企业商业心智、多维解读建筑企业业务内涵、解读梳理建筑企业价值体系、树立建筑企业愿景、建立建筑企业使命、确定建筑企业客户价值准则、确定建筑企业价值观、精准表述业务体系。在此阶段，形成《建筑企业文化定位说明报告》。协助建筑企业将企业文化落实到职能部门，形成《建筑企业文化职能部门应用说明书》。对建筑企业-MIS主题提炼、内涵阐述、形象化演绎。混合所有制改革作为单一股权结构的国有建筑企业，经营模式往往具有浓厚的计划色彩，内部缺乏竞争，机构臃肿、成本高企等通病或多或少存在，在市场竞争中难以轻装上阵。通过混改，有利于将国有建筑企业的品牌优势、人才技术优势与非公资本的激励机制、职业化精神结合起来，进一步转化国有建筑企业的经营机制、提高资产运行效率和整体经济效益，放大国有资本功能，实现国有资产保值增值。以混改为契机，有利于国有建筑企业探索产权多元化与完善企业法人治理结构的结合，进一步建立“产权清晰、权责明确、政企分开、管理科学”的现代企业制度，促进公司发展成为自主经营、自负盈亏、自我发展、自我约束的市场经济实体。通过混改，促进全体员工进一步解放思想、转变观念，树立竞合的市场理念、兼收并蓄的发展氛围，从而在国有建筑企业中构建起投资者、经营者、员工利益兼顾的现代企业文化体系。慧朴咨询为各国有建筑企业提供如下混合所有制改革方案设计的咨询服务：A.国有建筑企业整体改制或混合所有制改革A-1：事业单位改制为有限责任公司或股份公司。按照《公司法》和改制后的《公司章程》运营，推进决策层与经营层的分离，形成股东会、董事会、监事会、经营层相互制衡的治理模式。A-2：国有企业原有辅业改制。结合国家、上级单位关于企业改革、辅业改制的各项政策法规，推动主辅分离，工作人员身份转换，主业、辅业协同发展规划等工作。A-3：国有企业混合所有制改革。比较非公资本参与国有企业改制的出资入股、收购股权、认购可转债、股权置换、出资新设等方式，在保证国有资产保值增值、防止国有资产流失的前提要求下，设计具体的混合所有制改革方案。B.二级公司股份制改革及项目股份制改革。慧朴咨询为国有建筑企业混合所有制改革提供的方案设计包括如下：《国有建筑企业整体实施混合所有制改革试点方案》《国有建筑企业二级公司股份合作制指导意见》《国有建筑企业工程项目股份合作制指导意见》《国有建筑企业内部员工项目合伙制指导意见》PPP业务规划与项目策划开展PPP项目的可行性论证是决定项目成功的首要环节。筛选PPP项目要符合各类专项规划要求，加强前期策划，可委托一定业绩和能力的专业咨询机构编制PPP项目实施方案，内容应包括项目基本情况、规模与期限、建设内容、服务质量和标准、规划条件和土地落实情况、投融资结构、收入来源、财务测算与风险分析、实施进度计划、资金保障、政府配套措施等内容。政府投资主管部门应组织有关部门、咨询机构、运营和技术服务单位、相关专家以及各利益相关方共同对项目实施方案进行充分论证，确保项目的可行性和可操作性，以及项目财务的可持续性。实施方案须经审批、核准或备案后组织实施。PPP项目可以采用不同的模式，然而所有的PPP必须满足一些重要特征：合同必须界定各方的职能和责任；政府部门与社会资本以合理的方式共担风险；社会资本主体取得事先规定的业绩后应获得相应的投资回报 须把握PPP模式运用的以下关键环节：建立长期的政府与社会资本合作机制。关键在于政府要处理好与市场主体之间的关系，由“经营者”转变为“监督者”、“合作者”。发挥社会资本合作伙伴在整个设计、建设、运营、管理等方面的综合优势，“让专业人做专业事”。建立合理的利益共享机制。通过政府核定经营收费价格以及以购买服务方式补贴标准，实现项目建设运营的财务可持续性。既要保障公共利益，提高公共服务质量和效率，又要避免企业出现暴利和亏损，实现“盈利但不暴利”。建立平等的风险共担机制。政府和社会资本应该平等参与、诚实守信，按照合同办事，依据对风险的控制力，承担相应的责任，不过度转移风险至合作方。企业主要承担投融资、建设、运营和技术风险，政府主要承担国家政策、标准调整变化的风险，双方共同承担不可抗力风险。建立严格的监管和绩效评价机制。政府对PPP项目运作、公共服务质量和资金使用效率等进行全过程监管和综合考核评价，认真把握和确定服务价格与项目收益指标，加强成本监审、考核评估、价格调整审核，可以考虑引入第三方进行社会评价、健全完善正常、规范的风险管控和退出机制，禁止政府为项目担保，防范项目风险转换为政府债务风险。对未能如约、按量、保质提供公共产品和服务的项目，应按约坚决要求企业退出并赔偿，投资人必须按合约规定及时退出并依法赔偿，严格责任追究。对防范企业自身经营管理能力不足引发项目风险应注意及时规避。 慧朴咨询为PPP项目运作提供的技术支持如下：制度建设。配合当地政府开展政府与社会资本合作政策研究，围绕政策解读和实践操作组织对有关单位和人员开展培训，协助制定当地开展政府和社会资本合作的管理办法、操作流程、合同编制等操作指南和管理制度。项目策划和储备库建设。根据当地经济社会发展规划和各项专项规划，对纳入各项规划的适于开展政府和社会资本合作的项目进行初步筛选，组建当地PPP项目储备库，并对PPP项目库进行动态监测和跟踪管理。PPP项目论证和方案优化。组织专家力量，对当地纳入政府和社会资本合作项目库的项目，根据规划实施进度进行专项论证和咨询评估，通过对项目合作范围、投融资、实施管理、政府补贴、项目风险防控等多方面分析论证，协助当地政府或有关部门提出优化的建设方案，并对项目总投资、未来现金流进行第三方论证，为制定融资方案提供依据。制定政府与投资人合作方案。针对具体项目，协助政府拟定与社会资本合作伙伴的合作方案，并对政府财政资金使用效率及社会资本投资收益情况进行测算分析。依据批准的方案、结合项目自身特点起草合作合同，详细约定政府与社会资本投资主体在项目投融资、前期准备、建设期、竣工验收、运营管理、移交等各阶段的权利义务，以及各阶段双方违约责任的认定及处理措施，争议解决机制等内容。治理结构与管控模式建筑企业组织管控模式是一个以战略为导向、以组织结构为框架、以管理控制系统为核心、以流程和制度为基础的动态系统。建立组织管理模式，重点在于设计建筑企业的管控模式、集团及分子公司的组织结构和权责体系三个方面。
图：建筑企业组织管控模式的优化框架及关键内容慧朴咨询认为，建筑企业的管理基础在项目部，企业组织设计一定要体现出管理、指导、监督、服务项目部的精神。在明确了战略发展规划和建筑企业管理模式后，企业管理改进的重点之一就是优化设置企业各项管理职能，优化集团总部、分子公司、项目部的企业组织设计。在明确管控模式和组织结构后，要以确定的权责体系固化层级管控职能定位与集分权，针对各项具体工作，进行权责分配，要以“制度”的形式固化各项工作标准。慧朴咨询“组织管控模式设计”咨询服务实施步骤如下：明确建筑企业总部的组织定位。即明确建筑企业总部在战略规划管理、投资发展、财务及资金管理、应用技术开发、审计监察管理、市场营销管理、工程项目管理、人力资源管理等方面的集权程度和职能定位；梳理建筑企业各项具体管理职能的思路和流程，在建筑企业总部和分子公司之间分配各项管理权限；优化设计建筑企业总部的组织结构、部门职责、关键岗位设置，结合各项业务的特点及建筑企业人力资源状况，提出各分子公司的组织结构及部门设置；梳理建筑企业总部与分子公司之间的权限划分，建立建筑企业清晰的权责体系与授权机制，便于各级管理单位高效、合理的行使各项管理权限；为建筑企业总部各岗位、分子公司及项目部重点岗位编写详细的岗位说明书；设计建筑企业“目标-计划-监控-考核-激励”的管理控制系统及关键的管控流程及制度。企业信息化与项目信息化建筑企业信息化建设就是利用先进的管理理念和计算机技术的结合，有效地收集和处理与经营管理相关的信息，综合企业流程再造，实现效益最大化目标的过程。 建筑企业的信息化建设从目标上应分三个层次：提高效率。就是将常规的、固定的工作交信息系统处理，比如在极短的时间内从大量文件或记录中找到所需的对象。信息系统通过将日常处理工作自动化而支持高效率。提高有效性。有效性是指做正确的事情或者做为获得重要的经营成果所应当做的事情。通过信息系统提供完整的数据收集方案和信息处理逻辑，以保证工作的有效性。推动企业再造。也就是利用信息技术改变经营方式。实现这一目标意味着改变现有服务的本质，或彻底改变职能部门乃至整个企业的经营方式。信息化建设对工程企业业务发展的贡献可以分为“辅助业务运营”、“支撑业务运营”和“支撑战略发展”三个级别。建筑企业信息化主要是对数据和信息的管理：数据、信息和知识是一个逐级提炼升华的过程，对企业产生的价值也是逐级增大的。建筑企业管理信息系统的总体功能结构应涵盖企业主要业务过程及职能管理。建筑企业的信息化建设应在统一的信息标准化体系指导下进行，信息标准化体系是信息化建设的基石。信息标准化关注重点包括：建立公司层面的全面系统的信息管理规范，建立统一的数据字典，支持企业内部、横向和纵向的有效沟通；建立规范、细化的信息管理流程对信息需求收集、存储、共享、分析进行规范管理；明确信息的责任人，能够对信息进行深入追溯；建立信息安全的流程和责任部门；在制定完善信息标准和规范的基础上，建立信息系统支持，全面企业信息的存储、传递、共享和利用水平。慧朴咨询“企业信息化与项目信息化”咨询服务包括：信息化战略规划。通过对建筑企业总体战略的解读，尤其是仔细分析企事业总体战略达成的执行路径，以及影响企业总体战略达成的业务和管理痛点，结合企业当前的信息化状况，对企业战略执行所匹配的总体信息化蓝图加以规划。具体包括信息化建设总体目标、原则、技术方向、应用系统架构、数据架构、基础设施架构、实施步骤、资金估算、团队建设等。信息化组织设计、流程梳理及优化。根据总体的信息化战略设计，提出合理的信息化组织结构建议和岗位需求说明，供企业进行与战略相匹配的组织建设。在信息化建设工程开工前，对企业的业务以及管理流程，进行必要的前期梳理和优化，以有效地支撑后期的每一步信息化工程建设。信息化工程立项辅导。在企业信息化工程立项的关键阶段，向企业信息化立项团队提供有关宏观政策、产业发展、政府支持、内部目标达成、建设周期合理化、建设内容合理化等方面的辅导服务，确保企业的信息化工程实现目标明确、成本合理、各阶段有效衔接、实施过程高效等预期目的。信息化建设评估及提升。企业信息化建设一定是一个总体规划、分步实施的中长期过程，为保证各期项目目标有效达成，下期项目如预期启动，慧朴管理提供各期工程及信息化系统应用水平的专业评估，并给出专业的提升意见以供客户去优化自己的信息化系统，更好地为企业的运营和决策提供强有力的支持。工程建筑企业战略解码与绩效落地实训课程。助力企业解决上述问题，使企业在”十四五”规划期间，在国家全面转型发展的背景下，打造核心竞争力，实现可持续发展。...新形势下政府与社会资本合作PPP项目实操课【课程背景】 随着财政部和各省市PPP管理中心的快速成立，以及财政部和国家发改委等文件密级颁布，并要求建立PPP项目进展情况按月报送制度，各省市PPP项目正在不断推出，2016年我...混合所有制改革的操作、难点与案例解析【课程背景】 党的十八届三中全会指出，混合所有制经济是我国基本经济制度的重要实现形式，要积极发展混合所有制经济。混合所有制改革是国有企业改革的重要突破口，在混合所有...建筑企业形式分析、应对策略与战略突围【课程背景】 前期部分领域投资过快，随着国内经济增速放缓，加之通胀等因素导致国家实施的新信贷政策，建筑行业在积极获取项目的同时，要苦练内功，向管理要效益，向科技要效...EPC工程总承包管理模式与最佳实践【培训背景】 随着国内国际市场的进一步接轨，工程建设市场正在发生深刻变化；工程建设和管理日益走向专业化，业主要求最大幅度降低或转移投资和建设风险。工程总承包正好顺应...建筑企业组织管控体系建设【背景分析】 ● 中国经济的高速发展催生了一大批集团企业，集团总部承担着推动企业管理变革，引领下属子分公司迅速完成战略转型、组织转型、管理转型的艰巨任务。 ● 在未来的...PPP政策操作流程及实战案例分析【背景分析】 l 如何把企业的发展目标或管理者的目标，转化为被管理者的目标，使之自主自觉地为实现企业组织或管理者的目标而全身心地努力工作？ l 如何实现绩效考核标准量化？...建筑企业顶层设计、精细化管理与精益建造 建筑企业“顶设双精”管理体系涵盖了企业层面的顶层设计问题、职能层面的精细化管理问题以及运营层面的精益建造问题。...建筑企业可持续发展战略规划与商业模式项目责任成本管理是施工企业利润的直接体现，是项目追求效益最大化的关键手段，努力控制工程成本已成为施工企业最响亮的口号。在如今施工规模节节攀升...建筑企业全面风险管理与内控体系建设建筑施工企业提高市场竞争力最终要在项目施工过程中以尽量少的物化消耗和劳动消耗来降低工程成本，把影响工程成本的各种耗费控制在计划范围内，必须加强...融资建造模式与PPP能力建设PPP模式不仅是微观层面的操作模式升级，更是宏观层面的体制机制变革，是加快新型城镇化建设、提升国家治理能力、构建现代财政制度的重要抓手。...针对顶层设计的课程参见上面课程清单，具体根据不同需求可以开设针对性的咨询课程内容。本文素材来自慧朴学院官网，如需转载请联系小编：13061604288