2024年信息安全師考試題庫及答案(含A.B卷)_第1頁
2024年信息安全師考試題庫及答案(含A.B卷)_第2頁
2024年信息安全師考試題庫及答案(含A.B卷)_第3頁
2024年信息安全師考試題庫及答案(含A.B卷)_第4頁
2024年信息安全師考試題庫及答案(含A.B卷)_第5頁
已閱讀5頁,還剩66頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

2024年信息安全師考試題庫及答案(含A.B卷)1、【單項選擇題】信息安全審核是指通過審查、測試、評審等手段,檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求,這個工作一般由誰完成?()A.機構(gòu)內(nèi)部人員B.外部專業(yè)機構(gòu)C.獨立第三方機構(gòu)D.以上皆可2、【單項選擇題】企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是()A.企業(yè)應(yīng)該建立和維護一個完整的信息資產(chǎn)清單,并明確信息資產(chǎn)的B.企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求,采取對應(yīng)C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級,所有的信息系統(tǒng)要統(tǒng)一對待D.企業(yè)可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別所有的信息資產(chǎn)3、【單項選擇題】下面哪類設(shè)備常用于風(fēng)險分析過程中,識別系統(tǒng)中存在的脆弱性?()A.防火墻4、【單項選擇題】下列哪一項最好地支持了24/7可用性?()A.日常備份C.鏡像D.定期測試5、【單項選擇題】黑客造成的主要危害是()A.破壞系統(tǒng)、竊取信息及偽造信息B.攻擊系統(tǒng)、獲取信息及假冒信息D.進入系統(tǒng),獲取信息及偽造信息6、【填空題】APT攻擊是一種“()”的攻擊。本題解析:試題答案惡意商業(yè)間諜威脅A.應(yīng)向其傳達信息安全要求及應(yīng)注意的信息安全問題。B.盡量配合客戶訪問信息資產(chǎn)。C.不允許客戶訪問組織信息資產(chǎn)。D.不加干涉,由客戶自己訪問信息資產(chǎn)。8、【單項選擇題】誰對組織的信息安全負最終責(zé)任?B.高管層9、【單項選擇題】軟件的盜版是一個嚴重的問題。在下面哪一種說法中反盜版的策略和實際行為是矛盾的?()A.員工的教育和培訓(xùn)B.遠距離工作(Telecommuting)與禁止員工攜帶工作軟件回家D.策略的發(fā)布與策略的強制執(zhí)行10、【單項選擇題】在思科路由器中,為實現(xiàn)超時10分鐘后自動斷開連接,實現(xiàn)的命令應(yīng)為下列哪一個。()息系統(tǒng)安全保護等級的第三級的定義是()12、【單項選擇題】當組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時,下列哪一項是信息安全專業(yè)人士最重要的考慮因素?該提供商:()A.滿足并超過行業(yè)安全標準B.同意可以接受外部安全審查C.其服務(wù)和經(jīng)驗有很好的市場聲譽D.符合組織的安全策略13、【單項選擇題】一個組織具有的大量分支機構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計劃的評估,具有成本效益的方式,應(yīng)建議使用:()A.數(shù)據(jù)恢復(fù)測試B.充分的業(yè)務(wù)測試C.前后測試D.預(yù)案測試14、【單項選擇題】事件響應(yīng)方法學(xué)定義了安全事件處理的流程,這個流程的順序是:()A.準備一抑制一檢測一根除一恢復(fù)一跟進B.準備一檢測一抑制一恢復(fù)一根除一跟進C.準備一檢測一抑制一根除一恢復(fù)一跟進D.準備一抑制一根除一檢測一恢復(fù)一跟進15、【單項選擇題】授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是()D.安全主管A.同軸電纜B.光纖C.雙絞線(屏蔽)D.雙絞線(非屏蔽)密性,分別是:()A.上讀,主體不可讀安全級別高于它的數(shù)據(jù);下寫,主體不可寫安全級別低于它的數(shù)據(jù)B.下讀,主體不可讀安全級別高于它的數(shù)據(jù);上寫,主體不可寫安全級別低于它的數(shù)據(jù)C.上讀,主體不可讀安全級別低于它的數(shù)據(jù);下寫,主體不可寫安全級別高于它的數(shù)據(jù)D.下讀,主體不可讀安全級別低于它的數(shù)據(jù);上寫,主體不可寫安全級別高于它的數(shù)據(jù)18、【單項選擇題】()以下關(guān)于注冊表子樹用途描述錯誤的是哪個?包含了所有與本機有關(guān)的操作系統(tǒng)配置數(shù)據(jù)。D.一個值得信賴的第三方認證協(xié)議。20.【單項選擇題】以下哪項行為可能使用嗅探泄露系統(tǒng)的管理員密D.在本地使用root用戶登錄21、【單項選擇題】信息安全管理手段不包括以下哪一項()C.人員D.市場22、【單項選擇題】信息資產(chǎn)分級的最關(guān)鍵要素是()A.價值B.時間C.安全性23、【單項選擇題】下面對于強制訪問控制的說法錯誤的是?()A.它可以用來實現(xiàn)完整性保護,也可以用來實現(xiàn)機密性保護B.在強制訪問控制的系統(tǒng)中,用戶只能定義客體的安全屬性C.它在軍方和政府等安全要求很高的地方應(yīng)用較多D.它的缺點是使用中的便利性比較低25、【填空題】災(zāi)難恢復(fù)和容災(zāi)是()意思。本題解析:試題答案同一個26、【判斷題】入侵檢測技術(shù)能夠識別來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。27、【單項選擇題】以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴重威脅的是什么?()B.發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C.發(fā)現(xiàn)有惡意程序在實時的攻擊系統(tǒng)D.發(fā)現(xiàn)防護程序收集了很多黑客攻擊的源地址28、【單項選擇題】當曾經(jīng)用于存放機密資料的PC在公開市場出售時A.對磁盤進行消磁B.對磁盤低級格式化29、【單項選擇題】企業(yè)信息安全事件的恢復(fù)過程中,以下哪個是最A(yù).數(shù)據(jù)B.應(yīng)用系統(tǒng)30、【單項選擇題】特洛伊木馬攻擊的危脅類型屬于()A.授權(quán)侵犯威脅C.滲入威脅D.破壞威脅31、【單項選擇題】區(qū)別脆弱性評估和滲透測試是脆弱性評估()A.檢查基礎(chǔ)設(shè)施并探測脆弱性,然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失B.和滲透測試為不同的名稱但是同一活動C.是通過自動化工具執(zhí)行,而滲透測試是一種完全的手動過程D.是通過商業(yè)工具執(zhí)行,而滲透測試是執(zhí)行公共進程32、【單項選擇題】在Windows操作系統(tǒng)下,由于()端口探測沒有限制,能夠讓別人探測到一些數(shù)據(jù)庫信息,因此IPSec過濾拒絕掉該端口的UDP通信,可以盡可能地隱藏你的SQLServer。33、【單項選擇題】下面哪一個不是系統(tǒng)設(shè)計階段風(fēng)險管理的工作內(nèi)B.軟件設(shè)計風(fēng)險控制C.安全產(chǎn)品選擇34、單項選擇題以下哪項活動對安全編碼沒有幫助()A.代碼審計B.安全編碼規(guī)范C.編碼培訓(xùn)D.代碼版本管理力訪問某些特定的資源?()36、【單項選擇題】變更控制是信息系統(tǒng)運行管理的重要的內(nèi)容,在變更控制的過程中:()A.應(yīng)該盡量追求效率,而沒有任何的程序和核查的阻礙。B.應(yīng)該將重點放在風(fēng)險發(fā)生后的糾正措施上。C.應(yīng)該很好的定義和實施風(fēng)險規(guī)避的措施。D.如果是公司領(lǐng)導(dǎo)要求的,對變更過程不需要追蹤和審查37、【單項選擇題】下列哪一個是PKI體系中用以對證書進行訪問的38、【單項選擇題】戴明循環(huán)執(zhí)行順序,在選擇外部供貨生產(chǎn)商時,評價標準按照重要性的排列順序是:()1.供貨商與信息系統(tǒng)部門的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽、專業(yè)知識、技術(shù)4.供貨商的財政狀況和管理情況40、【單項選擇題】從業(yè)務(wù)角度出發(fā),最大的風(fēng)險可能發(fā)生在那個階A.立項可行性分析階段B.系統(tǒng)需求分析階段C.架構(gòu)設(shè)計和編碼階段D.投產(chǎn)上線階段41、【填空題】蹭網(wǎng)指攻擊者使用自己計算機中的無線網(wǎng)卡連接他人的無線路由器上網(wǎng),而不是通過()提供的線路上網(wǎng)。本題解析:試題答案正規(guī)的ISP42、【單項選擇題】密碼出口政策最嚴格的是以下哪個國家?()C.愛爾蘭D.新加坡43、問答題入侵檢測系統(tǒng)分為哪幾種,各有什么特點?標準答案:主機型入侵檢測系統(tǒng)(HIDS),網(wǎng)絡(luò)型入侵檢測系統(tǒng)(N本題解析:試題答案主機型入侵檢測系統(tǒng)(HIDS),網(wǎng)絡(luò)型入侵檢測1)網(wǎng)絡(luò)帶寬高太高無法進行網(wǎng)絡(luò)監(jiān)控2)網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS的開銷3)網(wǎng)絡(luò)環(huán)境是高度交換且交換機上沒有鏡像端口4)不需要廣泛的入侵檢測HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源;檢測主機上的命令序列比檢測網(wǎng)絡(luò)流更簡單,系統(tǒng)的復(fù)雜性也少得多,所以主機檢測系統(tǒng)誤報率比網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報率要低;他除了檢測自身的主機以外,根本不檢測網(wǎng)絡(luò)上的情況,而且對入侵行為分析的工作量將隨著主機數(shù)量的增加而增加,因此全面部署主機入侵檢測系統(tǒng)代價比較大,企業(yè)很難將所有主機用主機入侵檢測系統(tǒng)保護,只能選擇部分主機進行保護,那些未安裝主機入侵檢測系統(tǒng)的機器將成為保護的忙點,入侵者可利用這些機器達到攻擊的目標。依賴于服務(wù)器固有的日志和監(jiān)視能力,。如果服務(wù)器上沒有配置日志功能,則必須重新配置,這將給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。NIDS一般部署在比較重要的網(wǎng)段內(nèi),它不需要改變服務(wù)器等主機的配置,由于他不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/0與磁盤等資源的使用,不會影響業(yè)務(wù)要安裝一個或幾個這樣的系統(tǒng),便可以檢測整個網(wǎng)絡(luò)的情況,比較容易實現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及,這種結(jié)構(gòu)正接受者越來越大的挑戰(zhàn)。44、【單項選擇題】企業(yè)的業(yè)務(wù)持續(xù)性計劃中應(yīng)該以記錄以下內(nèi)容的預(yù)定規(guī)則為基礎(chǔ)()D.損耗的原因B.機房空調(diào)46、【單項選擇題】廣義的網(wǎng)絡(luò)信息保密性是指()A、利用密碼技術(shù)對信息進行加密處理,以防止信息泄漏和保護信息不為非授權(quán)用戶掌握B、保證數(shù)據(jù)在傳輸、存儲等過程中不被非法修改C、對數(shù)據(jù)的截獲、篡改采取完整性標識的生成與檢驗技術(shù)D、保守國家機密,或是未經(jīng)信息擁有者的許可,不得非法泄漏該保密信息給非授權(quán)人員47、【填空題】對信息的();();()的特性稱為完整性保護。本題解析:試題答案防篡改;防刪除;防插入48、【單項選擇題】對安全策略的描述不正確的是()A.信息安全策略(或者方針)是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標和方向,用于指導(dǎo)信息安全管理體系的建立和實施過程B.策略應(yīng)有一個屬主,負責(zé)按復(fù)查程序維護和復(fù)查該策略C.安全策略的內(nèi)容包括管理層對信息安全目標和原則的聲明和承諾;D.安全策略一旦建立和發(fā)布,則不可變更本題解析:暫無解析49、【單項選擇題】那種測試結(jié)果對開發(fā)人員的影響最大()A.單元測試和集成測試B.系統(tǒng)測試C.驗收測試D.滲透測試50、【單項選擇題】以下關(guān)于風(fēng)險評估的描述不正確的是?()A.作為風(fēng)險評估的要素之一,威脅發(fā)生的可能需要被評估B.作為風(fēng)險評估的要素之一,威脅發(fā)生后產(chǎn)生的影響需要被評估D.風(fēng)險評估是風(fēng)險管理的最終結(jié)果51、問答題密碼的研究、生產(chǎn)、銷售時哪個部門負責(zé)的?標準答案:商用密碼技術(shù)屬于國家秘密;國家密碼管理機構(gòu)主管全國的商本題解析:試題答案商用密碼技術(shù)屬于國家秘密;國家密碼管理機構(gòu)主管全國的商用密碼管理工作。52、【單項選擇題】以下哪項機制與數(shù)據(jù)處理完整性相關(guān)()A.數(shù)據(jù)庫事務(wù)完整性機制B.數(shù)據(jù)庫自動備份復(fù)制機制C.雙機并行處理,并相互驗證D.加密算法53、【多項選擇題】期刊發(fā)表的周期有()。A.日刊B、周刊54、【單項選擇題】信息安全風(fēng)險管理的A.決策層B.管理層C.執(zhí)行層絡(luò)的防護能力,這些技術(shù)包括?()D.身份認證技術(shù)。57、【單項選擇題】下面哪一項不是主機型入侵檢測系統(tǒng)的優(yōu)點?()A.性能價格比高C.敏感細膩D.占資源少58、【單項選擇題】為了防止物理上取走數(shù)據(jù)庫而采取的加強數(shù)據(jù)庫安全的方法是()或文件夾的默認共享設(shè)置?()B.域用戶C.所有人60、【單項選擇題】網(wǎng)絡(luò)安全一般是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其()受到保護,不因偶然的或者惡意的原因而遭受破壞、更改、泄漏,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。A、系統(tǒng)中的文件D、系統(tǒng)中的視頻61、【單項選擇題】有關(guān)人員安全管理的描述不正確的是?A.人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)。B.重要或敏感崗位的人員入職之前,需要做好人員的背景檢查。C.如職責(zé)分離難以實施,企業(yè)對此無能為力,也無需做任何工作。D.人員離職之后,必須清除離職員工所有的邏輯訪問帳號。62、【單項選擇題】覆蓋和消磁不用在對以下哪一種計算機存儲器或存儲媒介進行清空的過程?()63、【單項選擇題】包括了對整個應(yīng)用程序、控制程序的邏輯和數(shù)據(jù)的邏輯合法性和合理性的審計方法是()B、應(yīng)用程序的審計64、【單項選擇題】監(jiān)視惡意代碼主體程序是否正常的技術(shù)是?()65、【單項選擇題】組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式()C.人員期限為()D.短期67、【單項選擇題】測試程序變更管理流程時,安全管理體系內(nèi)審員使用的最有效的方法是:()A.由系統(tǒng)生成的信息跟蹤到變更管理文檔B.檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C.由變更管理文檔跟蹤到生成審計軌跡的系統(tǒng)D.檢查變更管理文檔中涉及的證據(jù)的完整性68、【單項選擇題】對于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的是?()A.為了信息資產(chǎn)更加安全,禁止外部組織人員訪問信息資產(chǎn)。B.應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護。C.訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準。D.應(yīng)告知其所應(yīng)當遵守的信息安全要求。69、【單項選擇題】以下哪個不是信息安全項目的需求來源()A.國家和地方政府法律法規(guī)與合同的要求B.風(fēng)險評估的結(jié)果C.組織原則目標和業(yè)務(wù)需要D.企業(yè)領(lǐng)導(dǎo)的個人意志不脫”是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中,“看不懂”是指下面那種安全服務(wù):()B.身份認證C.數(shù)據(jù)完整性D.訪問控制72、【單項選擇題】以下哪一項是已經(jīng)被確認了的具有一定合理性的A.總風(fēng)險D.殘余風(fēng)險73、【單項選擇題】保護輪廓(PP)是下面哪一方提出的安全要求?B.開發(fā)方C.用戶方D.制定標準方求在發(fā)生重大故障后,必須保證能夠繼續(xù)提供IT服務(wù)。需要實施哪個流程才能提供這種保證性?()B.IT服務(wù)連續(xù)性管理75、【單項選擇題】人員入職過程中,以下做法不正確的是?()B.分配工作需要的最低權(quán)限。C.允許訪問企業(yè)所有的信息資產(chǎn)。76、【單項選擇題】以下有關(guān)訪問控制的描述不正確的是()A.口令是最常見的驗證身份的措施,也是重要的信息資產(chǎn),應(yīng)妥善保護和管理B.系統(tǒng)管理員在給用戶分配訪問權(quán)限時,應(yīng)該遵循“最小特權(quán)原則”,即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限,工作之外的權(quán)限一律不能分配C.單點登錄系統(tǒng)(一次登錄/驗證,即可訪問多個系統(tǒng))最大的優(yōu)勢是提升了便利性,但是又面臨著“把所有雞蛋放在一個籃子”的風(fēng)險;D.雙因子認證(又稱強認證)就是一個系統(tǒng)需要兩道密碼才能進入B.IPSpoofD.字典破解78、【單項選擇題】組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是:()A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識C.制定IT安全策略下的安全程序/流程D.管理物理和邏輯訪問控制79、【單項選擇題】某種防火墻的缺點是沒有辦法從非常細微之處來分析數(shù)據(jù)包,但它的優(yōu)點是非???,這種防火墻是以下的哪一種?()C.會話層防火墻D.包過濾防火墻80、【單項選擇題】下面哪一個不是系統(tǒng)運行維護階段風(fēng)險管理的工作內(nèi)容()A.安全運行和管理B.安全測試C.變更管理D.風(fēng)險再次評估81、【單項選擇題】在未受保護的通信線路上傳輸數(shù)據(jù)和使用弱口令B.威脅D.影響82、【單項選擇題】作為信息安全治理的成果,戰(zhàn)略方針提供了:()A.企業(yè)所需的安全要求B.遵從最佳實務(wù)的安全基準C.日?;贫然慕鉀Q方案D.風(fēng)險暴露的理解83、【單項選擇題】下面安全套接字層協(xié)議(SSL)的說法錯誤的是?A.它是一種基于web應(yīng)用的安全協(xié)議B.由于SSL是內(nèi)嵌在瀏覽器中的,無需安全客戶端軟件,所以相對于IPSec更簡單易用該實施必要的改進措施并進行跟蹤和評價,以下描述不正確的是?()87、【單項選擇題】下面哪一個不是對點擊劫持D.可以對方網(wǎng)絡(luò)癱瘓89、【單項選擇題】應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括:()A.對應(yīng)急響應(yīng)工作的承諾和支持,包括發(fā)布正式文件、提供必要資源(人財物)等;B.審核并批準應(yīng)急響應(yīng)計劃;C.負責(zé)組織的外部協(xié)作工作D.組織應(yīng)急響應(yīng)計劃演練90、【單項選擇題】有關(guān)定性風(fēng)險評估和定量風(fēng)險評估的區(qū)別,以下描述不正確的是()A.定性風(fēng)險評估比較主觀,而定量風(fēng)險評估更客觀B.定性風(fēng)險評估容易實施,定量風(fēng)險評估往往數(shù)據(jù)準確性很難保證C.定性風(fēng)險評估更成熟,定量風(fēng)險評估還停留在理論階段D.定性風(fēng)險評估和定量風(fēng)險評估沒有本質(zhì)區(qū)別,可以通用91、【判斷題】系統(tǒng)里的信息涉及國家秘密的信息系統(tǒng),只要其中的涉密信息很少,就不算是涉密信息系統(tǒng)。連的終端才會受到影響”,這一說法是適合于以下哪一種拓撲結(jié)構(gòu)的A.星型B.樹型C.環(huán)型D.復(fù)合型93、【單項選擇題】以下哪些不屬于敏感性標識()A.不干貼方式B.印章方式C.電子標簽D.個人簽名94、【單項選擇題】在進行風(fēng)險分析的時候,發(fā)現(xiàn)預(yù)測可能造成的風(fēng)險的經(jīng)濟損失時有一定困難。為了評估潛在的損失,應(yīng)該:()A.計算相關(guān)信息資產(chǎn)的攤銷費用B.計算投資的回報C.應(yīng)用定性的方法進行評估D.花費必要的時間去評估具體的損失的金額95、【單項選擇題】不受限制的訪問生產(chǎn)系統(tǒng)程序的權(quán)限將授予以下哪些人?()A.審計師B.不可授予任何人D.只有維護程序員下面哪一條是屬于廣義的安全策略?()A.應(yīng)急計劃B.遠程辦法C.計算機安全程序D.電子郵件個人隱私98、【單項選擇題】關(guān)于標準、指南、程序的描述,哪一項是最準確A.標準是建議性的策略,指南是強制執(zhí)行的策略B.程序為符合強制性指南的一般性建議C.程序是為符合強制性指南的一般性建議D.程序是為符合強制性標準的的說明99、【填空題】美國()政府提出來網(wǎng)絡(luò)空間的安全戰(zhàn)略。本題解析:試題答案布什切尼100、【單項選擇題】在對業(yè)務(wù)持續(xù)性計劃進行驗證時,以下哪A.數(shù)據(jù)備份準時執(zhí)行B.備份站點已簽訂合約,并且在需要時可以使用C.人員安全計劃部署適當D.保險1、【單項選擇題】在對業(yè)務(wù)持續(xù)性計劃進行驗證時,以下哪項最為重A.數(shù)據(jù)備份準時執(zhí)行B.備份站點已簽訂合約,并且在需要時可以使用C.人員安全計劃部署適當D.保險或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作;由于病毒屬于以下哪種級別事件()A.特別重大事件C.較大事件3、【單項選擇題】評估IT風(fēng)險被很好的達到,可以通過:()B.用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計拔高審查IT控制弱點錯誤的?()A.強調(diào)對信息保密性的保護,受到對信息保密要求較高的軍政機關(guān)和B.既定義了主體對客體的訪問,也說明了主體對主體的訪問。因此,它適用于網(wǎng)絡(luò)系統(tǒng)。C.它是一種強制訪問控制模型,與自主訪問控制模型相比具有強耦合,集中式授權(quán)的特點。D.比起那些較新的模型而言,Bell-LaPadula定義的公理很簡單,更易于理解,與所使用的實際系統(tǒng)具有直觀的聯(lián)系。種都可以通過系統(tǒng)本身的工具來進行設(shè)置和控制?B、用戶安全性C、文件安全性特征,解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是?()A.準確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B.開發(fā)出一套安全性評估準則,和關(guān)鍵的描述變量。D.強調(diào)了風(fēng)險評估的重要性7、【單項選擇題】處理報廢電腦的流程時,以下哪一個選項對于安全專業(yè)人員來說是最重要考慮的內(nèi)容?()A.在扇區(qū)這個級別上,硬盤已經(jīng)被多次重復(fù)寫入,但是在離開組織前沒有進行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了,并在離開組織進行重新C.在離開組織前,通過在硬盤特定位置上洞穿盤片,進行打洞,使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司,對硬盤進行登8、【單項選擇題】有關(guān)Kerberos說法下列哪項是正確的?()B.它依靠對稱密碼技術(shù)。C.它是第二方的認證系統(tǒng)。D.票據(jù)授予之后將加密數(shù)據(jù),但以明文方式交換密碼9、【填空題】蹭網(wǎng)指攻擊者使用自己計算機中的無線網(wǎng)卡連接他人的無線路由器上網(wǎng),而不是通過()提供的線路上網(wǎng)。本題解析:試題答案正規(guī)的ISP10、【單項選擇題】系統(tǒng)管理員屬于?()A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層,又可以劃為執(zhí)行層12、【單項選擇題】來自終端的電磁泄露風(fēng)險,因為它們:()B.破壞處理程序C.產(chǎn)生危險水平的電流D.可以被捕獲并還原13、【單項選擇題】下面哪一項不是安全編程的原則()A.盡可能使用高級語言進行編程B.盡可能讓程序只實現(xiàn)需要的功能C.不要信任用戶輸入的數(shù)據(jù)D.盡可能考慮到意外的情況,并設(shè)計妥善的處理方法A.求合數(shù)模平方根的難題B.離散對數(shù)困難問題C.背包問題D.大數(shù)分解困難問題15、【單項選擇題】當發(fā)生災(zāi)難時,以下哪一項能保證業(yè)務(wù)交易的有A.從當前區(qū)域外的地方持續(xù)每小時1次地傳送交易磁帶B.從當前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C.抓取交易以整合存儲設(shè)備D.從當前區(qū)域外的地方實時傳送交易磁帶16、【單項選擇題】在客戶/服務(wù)器系統(tǒng)中,安全方面的中在:()B.數(shù)據(jù)庫服務(wù)器級C.數(shù)據(jù)庫級17、【單項選擇題】以下誰具有批準應(yīng)急響應(yīng)計劃的權(quán)利()B.各部門18、【單項選擇題】下面哪一個不是系統(tǒng)規(guī)劃階段風(fēng)險管理的工作內(nèi)A.明確安全總體方針B.明確系統(tǒng)安全架構(gòu)C.風(fēng)險評價準則達成一致D.安全需求分析19、【單項選擇題】下面哪一項是恢復(fù)非關(guān)鍵系統(tǒng)的最合理方案?()A.溫站B.移動站C.熱站D.冷站20、【單項選擇題】下列關(guān)于互惠原則說法不正確的是()。A、互惠原則是網(wǎng)絡(luò)道德的主要原則之一B、網(wǎng)絡(luò)信息交流和網(wǎng)絡(luò)服務(wù)具有雙向性C、網(wǎng)絡(luò)主體只承擔(dān)義務(wù)D、互惠原則本質(zhì)上體現(xiàn)的是賦予網(wǎng)絡(luò)主體平等與公正21、【判斷題】專家評估是論文評價的主要方法之一。22、【單項選擇題】密碼出口政策最嚴格的是以下哪個國家?()A.法國B.美國D.新加坡23、【單項選擇題】下面哪一個不是系統(tǒng)廢棄階段風(fēng)險管理的工作內(nèi)A.安全測試B.對廢棄對象的風(fēng)險評估C.防止敏感信息泄漏D.人員培訓(xùn)24、【單項選擇題】誰對組織的信息安全負最終責(zé)任?()B.高管層息系統(tǒng)安全保護等級的第三級的定義是()C.強制保護級A.信息安全方針政策C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄31、【單項選擇題】信息分類是信息安全管理工作91E的重要環(huán)節(jié),下面哪一項不是對信息進行分類時需要重點考慮的?()B.信息的時效性C.信息的存儲D.法律法規(guī)的規(guī)定32、【單項選擇題】信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議?()A.相關(guān)安全信息的最佳實踐和最新狀態(tài)知識。B.盡早接受到關(guān)于攻擊和脆弱點的警告、建議和補丁C.分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱點信息D.以上都是33、【單項選擇題】如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題,下面哪個選項是合適的補償性控制?()A.限制物理訪問計算機設(shè)備B.檢查應(yīng)用及事務(wù)處理日志C.在聘請IT人員之前進行背景檢查D.在不活動的特定時間后,鎖定用戶會話34、【單項選擇題】為了防止物理上取走數(shù)據(jù)庫而采取的加強數(shù)據(jù)庫安全的方法是()B、數(shù)據(jù)庫加密A.S36、【多項選擇題】威脅網(wǎng)絡(luò)信息安全的軟件因素有()B、缺乏自主創(chuàng)新的信息核心技術(shù)37、【判斷題】科學(xué)觀察可以分為直接觀察和間接觀察。38、【判斷題】網(wǎng)絡(luò)道德的本質(zhì)是社會道德,是社會道德在網(wǎng)絡(luò)領(lǐng)域控制門時,都必須讀取自己的證件”,防范的是哪一種攻擊方式?()40、【單項選擇題】安全評估人員正為某個醫(yī)療機構(gòu)的生產(chǎn)和測試環(huán)境進行評估。在訪談中,注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試,這種情況下存在哪種最有可能的潛在風(fēng)險?()A.測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B.測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C.測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D.測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機密性41、【單項選擇題】面向?qū)ο蟮拈_發(fā)方法中,以下哪些機制對安全有C.繼承D.重載42、【單項選擇題】防火墻通過()控制來阻塞郵件附件中的病毒。43、【單項選擇題】風(fēng)險評估實施過程中脆弱性識別主要包括什么方B.網(wǎng)站應(yīng)用漏洞D.技術(shù)漏洞與管理漏洞份驗證C.通常Linux操作系統(tǒng)會在/usr/local45、【單項選擇題】以下哪項活動對安全編碼沒有幫助()B.安全編碼規(guī)范C.編碼培訓(xùn)D.代碼版本管理46、【單項選擇題】負責(zé)制定、執(zhí)行和維護內(nèi)部安全控制制度的責(zé)任在于:()A.IS審計員B.管理層C.外部審計師47、【判斷題】兩種經(jīng)濟形態(tài)并存的局面將成為未來世界競爭的主要的工作內(nèi)容?()A.按照計劃的時間間隔進行風(fēng)險評估的評審B.實施所選擇的控制措施C.采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓(xùn)D.確保改進達到了預(yù)期目標期限為()B.長期D.短期50、【填空題】企業(yè)與消費者之間的電子商務(wù)是企業(yè)透過()銷售產(chǎn)本題解析:試題答案網(wǎng)絡(luò)A.風(fēng)險因素識別B.風(fēng)險程度分析C.風(fēng)險控制選擇53、【單項選擇題】根據(jù)組織業(yè)務(wù)連續(xù)性計劃(BCP)的復(fù)雜程度,可以建立多個計劃來滿足業(yè)務(wù)連續(xù)和和災(zāi)難恢復(fù)的各方面。在這種情況下,有必要:()A.每個計劃和其它計劃保持協(xié)調(diào)一致B.所有的計劃要整合到一個計劃中C.每個計劃和其他計劃相互依賴D.指定所有計劃實施的順序54、【填空題】即使在企業(yè)環(huán)境中,()作為企業(yè)縱深防御的一部分也本題解析:試題答案個人防火墻55、【單項選擇題】IPSEC的抗重放服務(wù)的實現(xiàn)原理是什么?()A.使用序列號以及滑動窗口原理來實現(xiàn)。B.使用消息認證碼的校驗值來實現(xiàn)C.在數(shù)據(jù)包中包含一個將要被認證的共享秘密或密鑰來實現(xiàn)56、【單項選擇題】()關(guān)于Windows2000中的身份驗證過程,下面哪種說法是錯誤的?A、如果用戶登錄一個域,則Windows2000將把這些登錄信息轉(zhuǎn)交給域控制器處理。B、如果用戶登錄本機,則Windows2000將把這些登錄信息轉(zhuǎn)交給域控制器處理。C、如果用戶登錄一個域,則Windows2000利用域控制器含有的目錄副本,驗證用戶的登錄信息。D、如果用戶登錄本機,則Windows2000利用本機的安全子系統(tǒng)含有的本機安全數(shù)據(jù)庫,驗證用戶的登錄信息。57、問答題安全審計按對象不同,可分為哪些類?各類審計的內(nèi)容又是什么?標準答案:系統(tǒng)級審計,應(yīng)用級審計,用戶級審本題解析:試題答案系統(tǒng)級審計,應(yīng)用級審計,用戶級審計。系統(tǒng)級審計:要求至少能夠記錄登陸結(jié)果、登錄標識、登陸嘗試的日期和時間、退出的日期和時間、所使用的設(shè)備、登陸后運行的內(nèi)容、修改配置文件的請求等。應(yīng)用級審計:跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文件,讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。用戶級審計:跟蹤通常記錄用戶直接啟動的所有命令、所有的標識和鑒別嘗試的所有訪問的文件和資源。58、【單項選擇題】下列關(guān)于訪問控制模型說法不準確的是?()A.訪問控制模型主要有3種:自主訪問控制、強制訪問控制和基于角B.自主訪問控制模型允許主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問。C.基于角色的訪問控制RBAC中“角色”通常是根據(jù)行政級別來定義D.強制訪問控制MAC是“強加”給訪問主體的,即系統(tǒng)強制主體服從59、【填空題】防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))之間,實施()的一個或一組系統(tǒng)。63、【單項選擇題】對于Linux的安全加固項說法錯誤的是哪項?()A.使用uname-a確認其內(nèi)核是否有漏洞B.檢查系統(tǒng)是否有重復(fù)的UID用戶C.查看login.defs文件對于密碼的限制64、【單項選擇題】關(guān)于信息安全策略文件的評審以下說法不正確的是哪個?()A.信息安全策略應(yīng)由專人負責(zé)制定、評審。B.信息安全策略評審每年應(yīng)進行兩次,上半年、下半年各進行一次。C.在信息安全策略文件的評審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D.在信息安全策略文件的評審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。65、【單項選擇題】數(shù)據(jù)庫訪問控制策略中,()是只讓用戶得到有相應(yīng)權(quán)限的信息,這些信息恰到可以讓用戶完成自己的工作,其他的權(quán)C、存取類型控制策略66、【單項選擇題】風(fēng)險評估的過程中,首先要識別信息資產(chǎn),資產(chǎn)識別時,以下哪個不是需要遵循的原則?()A.只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn),分類識別B.所有公司資產(chǎn)都要識別C.可以從業(yè)務(wù)流程出發(fā),識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D.資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶67、【填空題】根據(jù)SHARE78標準,在()級情況下,備份中心處于活動狀態(tài),網(wǎng)絡(luò)實時傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài),數(shù)據(jù)丟失與恢復(fù)時間一般是小時級的。本題解析:試題答案應(yīng)用系統(tǒng)溫備級68、【單項選擇題】有關(guān)認證和認可的描述,以下不正確的是()A.認證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證(合格證書)B.根據(jù)對象的不同,認證通常分為產(chǎn)品認證和體系認證C.認可是由某權(quán)威機構(gòu)依據(jù)程序?qū)δ硤F體或個人具有從事特定任務(wù)的能力給予的正式承認D.企業(yè)通過IS027001認證則說明企業(yè)符合IS027001和IS027002標準的要求A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險評估方法-進行風(fēng)險評估-設(shè)計和選擇風(fēng)險處置方法-設(shè)計ISMS文件-進行管理者承諾(審批)B.定義風(fēng)險評估方法-進行風(fēng)險評估-設(shè)計和選擇風(fēng)險處置方法-設(shè)計ISMS文件-進行管理者承諾(審批)-確定ISMS策略-設(shè)計和選擇風(fēng)險處置方法-設(shè)計ISMS文件-進行管理者承諾(審批)D.明確ISMS范圍-定義風(fēng)險評估方法-進行風(fēng)險評估-設(shè)計和選擇風(fēng)險處置方法-確定ISMS策略-設(shè)計ISMS文件-進行管理者承諾(審批)70、【單項選擇題】風(fēng)險評估按照評估者的不同可以分為自評估和第三方評估,這兩種評估方式最本質(zhì)的差別是什么?()A.評估結(jié)果的客觀性B.評估工具的專業(yè)程度C.評估人員的技術(shù)能力D.評估報告的形式71、【單項選擇題】在一份業(yè)務(wù)持續(xù)計劃,下列發(fā)現(xiàn)中哪一項是最重B.骨干網(wǎng)備份的缺失C.用戶PC機缺乏備份機制首先要考慮實施以下哪項措施?()C.為用戶提供賬戶使用信息。D.實施工作站鎖定機制。73、【單項選擇題】信息安全需求獲取的主要手段()A.信息安全風(fēng)險評估B.領(lǐng)導(dǎo)的指示C.信息安全技術(shù)D.信息安全產(chǎn)品74、【單項選擇題】在部署風(fēng)險管理程序的時候,哪項應(yīng)該最先考慮到:()A.組織威脅,弱點和風(fēng)險概括的理解B.揭露風(fēng)險的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險管理優(yōu)先級的決心D.風(fēng)險緩解戰(zhàn)略足夠在一個可以接受的水平上保持風(fēng)險的結(jié)果76、【單項選擇題】管理評審

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論