2024年安防生產(chǎn)行業(yè)技能考試-注冊信息安全專業(yè)人員筆試參考題庫含答案

“人人文庫”水印下載源文件后可一鍵去除，請放心下載?。▓D片大小可任意調節(jié)）2024年安防生產(chǎn)行業(yè)技能考試-注冊信息安全專業(yè)人員筆試參考題庫含答案“人人文庫”水印下載源文件后可一鍵去除，請放心下載！第1卷一.參考題庫(共75題)1.當對符合性進行測試時，以下哪種抽樣方法是最有用的？（）A、屬性抽樣B、變量抽樣C、分層單位均值抽樣D、差異估計2.一家組織提出要建立無線局域網(wǎng)（WLAN）管理層要求IS審計師為WLAN推薦安全控制措施。以下哪項最適合的建議（）A、保證無線接入點的物理安全，以防篡改B、使用能明確識別組織的服務集標識符（SSID）C、使用有線等效加密（WEP）機制加密流量D、實施簡單網(wǎng)絡管理協(xié)議（SNMP）以允許主動監(jiān)控3.2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關于電子簽名說法錯誤的是（）A、電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)B、電子簽名適用于民事活動中的合同或者其他文件、單證等文書C、電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務D、電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認證服務提供者共有4.USB端口（）。A、連接網(wǎng)絡，無需網(wǎng)卡B、連接具有以太網(wǎng)適配器的網(wǎng)絡C、替換所有連接D、連接顯示器5.信息安全風險評估是信息安全管理體系建立的基礎，以下說法錯誤的是（）A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是信息安全風險評估B、風險評估可以對信息資產(chǎn)進行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估C、風險評估可以確定需要實施的具體安全控制措施D、風險評估的結果應進行相應的風險處置，本質上，風險處置的最佳集合就是信息安全管理體系的控制措施集合6.按照我國信息安全等級保護有關政策和標準，有些信息系統(tǒng)只需要自主定級，自主保護，按照要求向公安機關備案即可，可以不需要上級或主管部門來測評和檢查，此類信息系統(tǒng)應屬于：（）A、零級系統(tǒng)B、一級系統(tǒng)C、二級系統(tǒng)D、三級系統(tǒng)7.某IS審計人員參與了某應用開發(fā)項目并被指定幫助進行數(shù)據(jù)安全方面的設計工作。當該應用即將投入運行時，以下哪一項可以為公司資產(chǎn)的保護提供最合理的保證（）。 A、由內部審計人員進行一次審核B、由指定的IS審計人員進行一次審查C、由用戶規(guī)定審核的深度和內容D、由另一個同等資歷的IS審計人員進行一次獨立的審查8.IPSEC密鑰協(xié)商方式有（）A、一種，手工方式B、兩種，手工方式，IKE自動協(xié)商C、一種，IKE自動協(xié)商D、兩種，IKE自動協(xié)商，隧道協(xié)商9.以下哪些不屬于敏感性標識？（）A、不干貼方式B、印章方式C、電子標簽D、個人簽名10.規(guī)范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，某單位在實施風險評估時，按照規(guī)范形成了若干文檔，其中，下面（）中的文檔應屬于風險評估中“風險要素識別”階段輸出的文檔。A、《風險評估方案》，主要包括本次風險評估的目的、范圍、目標、評估步驟、經(jīng)費預算和進度安排等內容B、《風險評估方法和工具列表》，主要包括擬用的風險評估方法和測試評估工具等內容C、《風險評估準則要求》，主要包括風險評估參考標準、采用的風險分析方法、資產(chǎn)分類標準等內容D、《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術和管理各方面安全措施等內容11.安全評估人員正為某個醫(yī)療機構的生產(chǎn)和測試環(huán)境進行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風險？（）A、測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結果C、測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機密性12.當員工服務終止時，最重要的行動是？（）A、交出員工的所有文件到另一個指定雇員B、完成對員工的工作備份C、通知其他雇員他已經(jīng)終止服務D、禁用該員工的邏輯訪問13.信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發(fā)布，最初目的是為保障美國政府和工業(yè)的信息基礎設施安全提供技術指南，其中，提出需要防護的三類“焦點區(qū)域”是（）A、網(wǎng)絡和基礎設施區(qū)域邊界重要服務器B、網(wǎng)絡和基礎設施區(qū)域邊界計算環(huán)境C、網(wǎng)絡機房環(huán)境網(wǎng)絡接口計算環(huán)境D、網(wǎng)絡機房環(huán)境網(wǎng)絡接口重要服務器14.為保護語音lP(VoIP)基礎設施免受拒絕服務(DoS)攻擊，最重要的是保護:（）A、訪問控制服務器B、會話邊界控制器C、主干網(wǎng)關D、入侵檢測系統(tǒng)（IDS）15.下面各種方法，哪個是制定災難恢復策略必須最先評估的？（）A、所有的威脅可以被完全移除B、一個可以實現(xiàn)的成本效益，內置的復原C、恢復時間可以優(yōu)化D、恢復成本可以最小化16.以下哪個是數(shù)據(jù)庫管理員（DBA）可以行使的職責？（）A、計算機的操作B、應用程序開發(fā)C、系統(tǒng)容量規(guī)劃D、應用程序維護17.以下哪項代表了在電子數(shù)據(jù)交換環(huán)境最大的潛在危險？（）A、交易授權B、損失或重復的電子數(shù)據(jù)交換傳輸C、傳輸延遲D、交易的刪除或操作在應用控制的創(chuàng)立以后之前18.在控制應用程序維護時，下面哪一項最有效（）。A、通知用戶變化的情況B、確定程序變化的優(yōu)先權C、關于程序變更獲得用戶批準D、要求記錄用戶關于變化的說明19.下面對于cookie的說法錯誤的是：（）。A、cookie是一小段存儲在瀏覽器端文本信息，web應用程序可以讀取cookie包含的信息B、cookie可以存儲一些敏感的用戶信息，從而造成一定的安全風險C、通過cookie提交精妙構造的移動代碼，繞過身份驗證的攻擊叫做cookie欺騙D、防范cookie欺騙的一個有效方法是不使用cookie驗證方法，而使用session驗證方法20.某IS審計師參與了優(yōu)化IT基礎設施的重建過程。下面哪一項最適合用于識別需要解決的問題？（）A、自我評估B、逆向工程C、原型設計D、差距分析21.數(shù)字簽名應具有的性質不包括（）。A、能夠驗證簽名者B、能夠認證被簽名消息C、能夠保護被簽名的數(shù)據(jù)機密性D、簽名必須能夠由第三方驗證22.以下哪項提供了對平衡計分卡的最好的解釋（）。A、被用于標桿到目標服務水平。B、被用于度量提供給客戶的IT服務的效果。C、驗證組織的戰(zhàn)略和IT服務的匹配。D、度量幫助臺職員的績效。23.以下哪一項是常見WEB站點脆弱性掃描工具？（）A、AppScanB、NmapC、SnifferD、LC24.審計章程的主要目的是（）A、把組織需要的審計流程記錄下來B、正式記錄審計部門的行動計劃C、為審計師制定職業(yè)行為規(guī)范D、描述審計部門的權力與責任25.在多供應商網(wǎng)絡環(huán)境中共享數(shù)據(jù)，關鍵是實施程序到程序的通訊?？紤]到程序到程序通訊的特點，可以在環(huán)境中實施，下面哪一個是實施和維護的困難（）。A、用戶隔離B、遠程存取控制C、透明的遠程訪問D、網(wǎng)絡環(huán)境26.下列情況中的哪種將增加發(fā)生舞弊的可能性？（）A、應用程序員正實施生產(chǎn)程序的變更B、應用程序員正實施測試程序的變更C、操作支持人員正在運行批變更日程表D、數(shù)據(jù)庫管理員正在變更數(shù)據(jù)結構27.一個IS審計師被分配去執(zhí)行一項測試：比較計算機作業(yè)運行日志與作業(yè)計劃表。下面哪一條是IS審計師最需要關注的？（）A、有越來越多的緊急變更B、存在某些作業(yè)沒有按時完成的情況C、存在某些作業(yè)被計算機使用者否決的情況D、證據(jù)顯示僅僅運行了預先計劃的作業(yè)28.跨國公司的IS管理部門考慮更新公司現(xiàn)有的虛擬專用網(wǎng)絡（VPN），以通過隧道支持IP語音（VOLP）通信。應首先考慮以下哪個注意事項？（）A、可靠性和服務質量（QOS）B、身份認證方法C、聲音傳輸?shù)碾[私性D、數(shù)據(jù)傳輸?shù)臋C密性29.IS審計師在審查IT設備的外包合同的時候，希望合同確定的是（）。A、硬件配置B、訪問控制軟件C、知識產(chǎn)權的所有權D、開發(fā)應用方法30.下面關于ISO27002的說法錯誤的是（）。A、ISO27002的前身是ISO17799-1B、ISO27002給出了通常意義的信息安全管理最佳實踐供組織機構選用，但不是全部C、ISO27002對于每個控制措施的表述分“控制措施”、“實施指南”和“其它信息”三個部分來進行描述D、ISO27002提出了十一大類的安全管理措施，其中風險評估和處置是出于核心地位的一類安全措施31.使用閃存存儲器（例如，USB可移動磁盤）時最大的安全問題是：（）A、內容極易丟失B、數(shù)據(jù)無法備份C、數(shù)據(jù)可被復制D、設備可能與其他外圍設備不兼容32.在數(shù)字信封中，綜合使用對稱加密算法和公鑰加密算法的主要原因是（）。A、混合使用兩種加密方法可以增加破譯者的難度，使其更加難以破譯原文，從而保障信息的保密性B、綜合考慮對稱密鑰算法的密鑰分發(fā)難題和公鑰算法加解密效率較低的難題而采取的一種折中做法C、兩種加密算法的混用，可以提高加密的質量，這是我國密碼政策所規(guī)定的要求D、數(shù)字信封綜合采用這兩種算法為的是為了防止收到信息的一方否認他收到了該信息，即抗接受方抵賴33.Individualaccountabilitydoesnotincludewhichofthefollowing?個人問責不包括下列哪一項？（）A、audittrails.審計跟蹤B、policies&procedures.政策與程序C、uniqueidentifiers.唯一識別符D、accessrules.訪問規(guī)則34.功能性是評估軟件產(chǎn)品質量整個生命周期的一個特征，最好的描述作為一系列特征（）。A、存在一系列功能和特殊屬性B、軟件能力能夠從一種環(huán)境轉換到另一個C、軟件能力在一定的條件下能夠維持一定的性能D、在軟件性能和所用資源的數(shù)量之間的關系35.下面哪一個為組織的災難恢復計劃準備就緒提供了最好的證據(jù)？（）A、災難恢復計劃B、提供備用站點的客戶參考C、維護災難恢復計劃的程序D、測試和演練的結果36.IS審計師使用數(shù)據(jù)流程圖是用來？（）A、定義數(shù)據(jù)層次B、標明高級別數(shù)據(jù)定義C、用圖表概述數(shù)據(jù)路徑和存儲D、描繪寫數(shù)據(jù)生成的詳細步驟信息37.下列哪個確保在互聯(lián)網(wǎng)上傳送的信息的保密性？（）A、數(shù)字簽名B、數(shù)字證書C、在線證書狀態(tài)協(xié)議D、私鑰密碼系統(tǒng)38.分散式環(huán)境中，服務器失效帶來的影響最小的是（）。A、冗余路由B、集群C、備用電話線D、備用電源39.IPSEC使用的認證算法是哪兩種（）A、MD5、AESB、SHA-1、MD5C、3DES、MD5D、MD5、SHA-140.什么類型的軟件應用測試被認為是測試的最后階段，并且通常包括開發(fā)團隊之外的用戶？（）A、Alpha測試（Alpha測試由用戶在開發(fā)者的場所進行，并且在開發(fā)者對用戶的“指導”下進行測試）B、白盒測試（白盒測試也稱結構測試或邏輯驅動測試，它是按照程序內部的結構測試程序，通過測試來檢測產(chǎn)品內部動作是否按照設計規(guī)格說明書的規(guī)定正常運行，檢驗程序中的每條通路是否都能按預定要求正確工作。這一方法是把測試對象看做一個打開的盒子，測試人員依據(jù)程序內部邏輯結構相關信息，設計或選擇測試用例，對程序所有邏輯路徑進行測試，通過在不同點檢查程序的狀態(tài)，確定實際的狀態(tài)是否與預期的狀態(tài)一致）C、回歸測試（回歸測試是指修改了舊代碼后，重新進行測試以確認修改沒有引入新的錯誤或導致其他代碼產(chǎn)生錯誤。自動回歸測試將大幅降低系統(tǒng)測試、維護升級等階段的成本）D、Beta測試（貝塔測試）41.當評估由某IT組織的CRO（首席風險官）完成的控制自我評估（CSA）時，審計師最應該關注以下哪一個選項：（）A、CRO直接向CIO（首席信息官）報告B、某些IT經(jīng)理指出CSA培訓是不能滿足要求C、CRO直接向董事會報告D、CSA流程最近剛剛被組織采用42.執(zhí)行一個Smurf攻擊需要下列哪些組件？（）A、攻擊者，受害者，放大網(wǎng)絡B、攻擊者，受害者，數(shù)據(jù)包碎片，放大網(wǎng)絡C、攻擊者，受害者，數(shù)據(jù)包碎片D、攻擊者，受害者，帶外數(shù)據(jù)43.從內存角度看，修復漏洞的安全補丁可以分為文件補丁和內存補丁，關于文件補丁理解錯誤的是：（）A、文件補丁又稱為熱補丁B、安裝文件補丁時，應該停止運行原有軟件C、文件補丁的優(yōu)點是直接對待修補的文件進行修改，一步到位D、安裝文件補丁前應該經(jīng)過測試，確保能夠正常運行44.IS審計師應該最關注下面哪一種情況（）。A、缺少對成功攻擊網(wǎng)絡的報告B、缺少對于入侵企圖的通報政策C、缺少對于訪問權限的定期審查D、沒有通告公眾有關入侵的情況45.以下不屬于Linux安全加固的內容是什么？（）A、配置iptablesB、配置TcpwapperC、啟用SelinuxD、修改root的UID46.以下哪一種加密算法或機制是絕對無法破解的（）。A、數(shù)據(jù)加密標準（DES）B、一次性亂碼填充C、C.國際數(shù)據(jù)加密技術（IDED、RC2和RC447.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡實時應用系統(tǒng)進行滲透測試，以下關于滲透測試過程的說法不正確的是（）A、由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及時恢復系統(tǒng)和數(shù)據(jù)B、滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C、滲透測試應當經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試48.審計中發(fā)現(xiàn)的證據(jù)表明，有一種欺詐舞弊行為與經(jīng)理的帳號有關。經(jīng)理把管理員分配給他的密碼寫在紙上后，存放在書桌抽屜里。IS審計師可以推測的結論是（）。A、經(jīng)理助理有舞弊行為B、不能肯定無疑是誰做的C、肯定是經(jīng)理進行舞弊D、系統(tǒng)管理員進行舞弊49.對磁介質的最有效好銷毀方法是（）？A、格式化B、物理破壞C、消磁D、刪除50.（）是目前國際通行的信息技術產(chǎn)品安全性評估標準？A、TCSECB、ITSECC、CCD、IATF51.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當?shù)模浚ǎ〢、只關注外來的威脅，忽視企業(yè)內部人員的問題B、相信來自陌生人的郵件，好奇打開郵件附件C、開著電腦離開，就像離開家卻忘記關燈那樣D、及時更新系統(tǒng)和安裝系統(tǒng)和應用的補丁52.windows文件系統(tǒng)權限管理作用訪問控制列表（AccessControlList.ACL）機制，以下哪個說法是錯誤的（）A、安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS，因為Windows的ACL機制需要NTFS文件格式的支持B、由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對每個文件和目錄設置嚴格的訪問權限，為了作用上的便利，Windows上的ACL存在默認設置安全性不高的問題C、windows的ACL機制中，文件和文件夾的權限是與主體進行關聯(lián)的，即文件夾和文件的訪問權限信息是寫在用戶數(shù)據(jù)庫中D、由于ACL具有很好的靈活性，在實際使用中可以為每一個文件設定獨立的用戶的權限53.如果一個數(shù)據(jù)庫采用前映像轉存儲數(shù)據(jù)，在中斷發(fā)生后程序應該從哪開始（恢復）？（）A、最后一次交易之前B、最后一次交易之后C、最后一次檢查點后的第一次交易D、最后一次檢查點后的最后一次交易54.（）是目前國際通行的信息技術產(chǎn)品安全性評估標準？A、TCSECB、ITSECC、CCD、IATF55.選擇恢復策略與方案時要考慮的因素（）。A、防范災難的類型、災備中心的距離B、數(shù)據(jù)完整性、處理性能C、投入的成本與災難中斷的損失D、以上所有56.定義ISMS范圍時，下列哪項不是考慮的重點？（）A、組織現(xiàn)有的部門B、信息資產(chǎn)的數(shù)量與分布C、信息技術的應用區(qū)域D、IT人員數(shù)量57.關于不恰當?shù)穆氊煼蛛x，審計師的主要責任是（）。A、確保恰當?shù)穆氊煼蛛x的執(zhí)行。B、為管理層提供不恰當?shù)穆氊煼蛛x相關風險的建議。C、參與組織內角色和責任的定義以預防不恰當?shù)穆氊煼蛛x。D、把違反恰當?shù)穆氊煼蛛x的情況記錄在案58.IS審計師在審查應用軟件獲取申請，應該確保（）。A、正在使用的操作系統(tǒng)符合現(xiàn)有的硬件平臺B、計劃的操作系統(tǒng)更新已經(jīng)排定，并盡可能減少對公司需求的負面影響。C、操作系統(tǒng)是最新的版本并經(jīng)過升級D、產(chǎn)品與當前或計劃中的操作系統(tǒng)是符合的59.在制定控制前，管理層首先應該保證控制（）。A、滿足控制一個風險問題的要求B、不減少生產(chǎn)力C、基于成本效益的分析D、檢測行或改正性的60.下列哪些選項不屬于NIDS的常見技術？（）A、協(xié)議分析B、零拷貝C、SYNCookieD、IP碎片從重組61.無論是哪一種web服務器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于（）。A、設計型漏洞B、開發(fā)型漏洞C、運行型漏洞D、以上都不是62.用于監(jiān)聽和記錄網(wǎng)絡信息的網(wǎng)絡診斷工具是（）A、在線監(jiān)視器B、故障時間報告C、幫助平臺報告D、協(xié)議分析儀63.有關信息安全事件的描述不正確的是（）。A、信息安全事件的處理應該分類、分級B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個時期內企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風險很小D、信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓、總結經(jīng)驗，防止類似事情再次發(fā)生64.出現(xiàn)以下哪種情況，信息系統(tǒng)審計師最需要對第三方托管的云計算機進行審查：（）A、組織無權評估供應商網(wǎng)站的控制B、服務水平協(xié)議（SLA）沒有規(guī)定供應商對于出現(xiàn)安全漏洞時的責任C、組織和供應商所在國家應用不同的法律和法規(guī)D、組織使用的瀏覽器舊版本存在安全風險65.以下哪一項是采用原型法作為系統(tǒng)開發(fā)方法學的主要缺點？（）A、用戶對項目進度的期望可能過于樂觀B、有效的變更控制和管理不可能實施C、用戶參與日常項目管理可能過于廣泛D、用戶通常不具備足夠的知識來幫助系統(tǒng)開發(fā)66.Whichisthelastlineofdefenseinaphysicalsecuritysense?下列哪一項是物理安全感知的最后一道防線？（）A、perimeterbarriers邊界圍墻67.如圖所示，主體S對客體01有讀（R）權限，對客體02有讀（R）、寫（）權限。該圖所示的訪問控制實現(xiàn)方法是（） A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）68.WEB服務器最好使用以下哪一種方式進行驗證（）。A、安全套接字層協(xié)議（SSL）B、傳輸控制協(xié)議（TCP）C、網(wǎng)際協(xié)議（IP）D、超文本傳輸協(xié)議（HTTP）69.下圖是某單位對其主網(wǎng)站的一天訪問流量監(jiān)測圖，如果說該網(wǎng)站在當天17：00到20：00間受到了攻擊，則從圖中數(shù)據(jù)分析，這種攻擊類型最可能屬于下面什么攻擊（）。 A、跨站腳本（CrossSiteScripting，XSS）攻擊B、TCP會話劫持（TCPHijack）攻擊C、IP欺騙攻擊D、拒絕服務（DenialofService，DoS）攻擊70.軟件開發(fā)中的瀑布生命周期模型最適合用于的環(huán)境是？（）A、在系統(tǒng)擬運行的商業(yè)環(huán)境中，需求能被很好的理解并預期能保持穩(wěn)定B、需求能被很好的理解同時項目時間緊C、項目打算應用面向對象的設計和開發(fā)技術D、項目將使用新技術71.下面哪一項不是通用IDS模型的組成部分（）A、傳感器B、過濾器C、分析器D、管理器72.哪一個最能保證來自互聯(lián)網(wǎng)internet的交易事務的保密性（）。A、數(shù)字簽名B、數(shù)字加密標準（DES）C、虛擬專用網(wǎng)（VPN）D、公鑰加密（PublicKeyencryption）73.ISO9000標準系列著重于以下哪一個方面？（）A、產(chǎn)品B、加工處理過程C、原材料D、生產(chǎn)廠家74.以下那一個角色一般不能對安全日志文件實施檢查（）。A、安全管理員B、安全主管C、系統(tǒng)主管D、系統(tǒng)管理員75.Thetypicalcomputerfraudstersareusuallypersonswithwhichofthefollowingcharacteristics?典型的計算機詐騙者通常具有哪一項特性？（）A、Theyholdapositionoftrust他們具有被信任的職位B、Theyconspirewithothers他們有同謀C、Theyhavehadpreviouscontactwithlawenforcement他們早先與執(zhí)法部門有過接觸D、Theydeviatefromtheacceptednormsofsociety他們偏離社會可接受的規(guī)范第2卷一.參考題庫(共75題)1.對稱密鑰加密的下列哪一方面因素會對非對稱加密的發(fā)展起作用？（）A、處理能力B、數(shù)據(jù)量C、密鑰分配D、算法的復雜度2.分布式拒絕服務（DDoS）攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力，一般來說，DDoS攻擊的主要目的是破壞目標系統(tǒng)的（）A、保密性B、完整性C、可用性D、真實性3.某網(wǎng)站為了開發(fā)的便利，SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SOL注入漏洞，導致攻擊者利用內置存儲過程xp_cmdshell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應該指出該網(wǎng)站設計違反了以下哪項原則（）A、權限分離原則B、最小特權原則C、保護最薄弱環(huán)節(jié)的原則D、縱深防御的原則4.依據(jù)國家標準GB/T20274《信息系統(tǒng)安全保障評估框架》.在信息系統(tǒng)安全目標中，評估對象包括哪些內容？（）A、信息系統(tǒng)管理體系、技術體系、業(yè)務體系B、信息系統(tǒng)整體、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術和信息系統(tǒng)安全工程C、信息系統(tǒng)安全管理、信息系統(tǒng)安全技術和信息系統(tǒng)安全工程D、信息系統(tǒng)組織機構、管理制度、資產(chǎn)5.當實施一應用軟件包，以下哪項存在最大的風險？（）A、未控制的多個軟件版本B、與目標代碼不一致的源程序C、不正確的參數(shù)設置D、編程錯誤6.為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個風險（）例子。A、防止B、轉移C、緩解D、接受7.在計劃軟件開發(fā)項目時，以下哪一項最難以確定（）。A、項目延遲時間B、項目的關鍵路線C、個人任務需要的時間和資源D、不包括動態(tài)活動的，在其他結束之前的關系8.CC中的評估保證級（EAL）分為（）級A、6級B、7級C、5級D、4級9.拒絕式服務攻擊會影響信息系統(tǒng)的哪個特性？（）A、完整性B、可用性C、機密性D、可控性10.面向數(shù)據(jù)的系統(tǒng)開發(fā)11.下面哪一個applet入侵事件暴露了組織的最大風險（）。A、程序在客戶機上引入病毒B、Applet記錄了鍵盤操作和密碼C、下載的代碼讀取客戶機上的數(shù)據(jù)D、Applet開放了客戶機連接12.風險評估不包括以下哪個活動（）A、中斷引入風險的活動B、識別資產(chǎn)C、識別威脅D、分析風險13.建立ISMS的步驟正確的是（）？A、明確ISMS范圍-確定ISMS策略-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）B、定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）-確定ISMS策略C、確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）D、明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-確定ISMS策略-設計ISMS文件-進行管理者承諾（審批）14.信息系統(tǒng)審計師在一個客戶/服務器環(huán)境下評審訪問控制時，發(fā)現(xiàn)用戶能接觸所有打印選項，在這種情況下，信息系統(tǒng)審計師最可能歸納出（）。A、信息被非授權用戶使用，信息泄漏很嚴重。B、任何人在任何時候都可以打印任何報告，運行效率得到提高。C、信息容易被使用，使工作方法更加有效。D、用戶中信息流動通暢，促進了用戶的友好性和靈活性。15.全面構建我國信息安全人才體系是國家政策、組織機構信息安全保障建設和信息安全有關人員自身職業(yè)發(fā)展三方面的共同要求，“加快信息安全人才培養(yǎng)，增強全民信息安全意識”的指導精神，是以下哪一個國家政策文件提出的？（）A、《國家信息化領導小組關于加強信息安全保障工作的意見》B、《信息安全等級保護管理辦法》C、《中華人民共和國計算機信息系統(tǒng)安全保護條例》D、《關于加強政府信息系統(tǒng)安全和保密管理工作的通知》16.在實際應用中，下面哪種加密形式既安全又方便？（）A、選擇性記錄加密B、選擇性字段加密C、數(shù)據(jù)表加密D、系統(tǒng)表加密17.令牌（Tokens），智能卡及生物檢測設備同時用于識別和鑒別，依據(jù)的是以下哪個原則？（）A、多因素鑒別原則B、雙因素鑒別原則C、強制性鑒別原則D、自主性鑒別原則18.制訂基于風險的審計程序時，IS審計師最可能關注的是（）A、業(yè)務程序/流程B、關鍵的IT應用C、運營控制D、業(yè)務戰(zhàn)略19.為滿足預定義的標準，下面哪一種連續(xù)審計技術，對于查找要審計的事務是最佳的工具（）。A、系統(tǒng)控制審計檢查文件和嵌入式審計模塊（SCARF/EAM）B、持續(xù)和間歇性模擬（CIS）C、整體測試（ITF.D、審計鉤（Audithooks）20.KerBeros算法是一個（）。A、面向訪問的保護系統(tǒng)B、面向票據(jù)的保護系統(tǒng)C、面向列表的保護系統(tǒng)D、面向門與鎖的保護系統(tǒng)21.依據(jù)國家標準《信息安全技術信息系統(tǒng)災難恢復范圍》（GB/T20988），災難恢復管理過程的主要步驟是災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預案制定和管理；其中災難恢復策略實現(xiàn)不包括以下哪一項？（）A、分析業(yè)務功能B、選擇和建設災難備份中心C、實現(xiàn)災備系統(tǒng)技術方案D、實現(xiàn)災備系統(tǒng)技術支持和維護能力22.依據(jù)國家標準《信息安全技術信息系統(tǒng)災難恢復規(guī)范》（GB/T20988），需要備用場地但不要求部署備用數(shù)據(jù)處理設備的是災難恢復等級的第幾級？（）A、2B、3C、4D、523.校園網(wǎng)內由于病毒攻擊、非法入侵等原因，200臺以內的用戶主機不能正常工作，屬于以下哪種級別事件？（）A、特別重大事件B、重大事件C、較大事件D、一般事件24.IS審計師審查對于應用程序的訪問，以確定最近的10個"新用戶"是否被爭取的授權，這個例子是關于（）。A、變量抽芽B、實質性測試C、符合性測試D、停-走抽樣.25.根據(jù)《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》的規(guī)定，以下正確的是（）A、涉密信息系統(tǒng)的風險評估應按照《信息安全等級保護管理辦法》等國家有關保密規(guī)定和標準進行B、非涉密信息系統(tǒng)的風險評估應按照《非涉及國家秘密的信息系統(tǒng)分級保護管理辦法》等有關要求進行C、可委托同一專業(yè)測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告D、此通知不要求將“信息安全風險評估”作為電子政務項目驗收的重要內容26.當信息系統(tǒng)審計師評估一個高可用性網(wǎng)絡的恢復能力時，如發(fā)生下列情況應最為關注（）。A、設備在地理位置上分散B、網(wǎng)絡服務器位于同一地點C、熱站就緒可以被激活D、網(wǎng)絡執(zhí)行了不同行程27.開發(fā)一個風險管理程序時進行的第一項活動是（）A、威脅評估B、資料分類C、資產(chǎn)盤點D、并行模擬28.公司與外部咨詢公司簽署合同實施商業(yè)的金融系統(tǒng)以取代現(xiàn)有的內部開發(fā)的系統(tǒng)。在審查提出的開發(fā)目標時，應該最關注的是下面哪一項（）。A、由用戶管理驗收測試B、質量計劃不是合同交付的一部分C、并非所有業(yè)務功能都將在初步實施時實現(xiàn)D、使用原型法保證系統(tǒng)滿足業(yè)務需要29.時間流逝對停工成本和替換恢復策略成本有什么影響？（）A、兩個成本增加B、停工成本增加，替代恢復策略的成本隨時間的流逝而減少C、兩個成本都隨時間的流逝而減少D、沒有影響30.Whichtunnelingprotocolcanbedescribedbythesecharacteristics:1)Handlesmultipleconnectionsatthesametime,2)Providessecureauthtenticationandencryption,3)SupportsonlyIPnetworks,4)UsedtobefocusedmostlyonLAN-to-LANcommunicationratherthandial-upprotocol,5)WorksatthenetworklayerandprovidessecurityontopofIP.以下選項中，那個隧道協(xié)議可以被描述為以下特點1.同一時間處理多個連接2.提供安全認證和加密3.僅支持IP網(wǎng)絡4.主要用于局域網(wǎng)到局域網(wǎng)的通信5.工作在網(wǎng)絡層以及提供IP安全（）A、HybridL2PPB、IPSecC、L2FD、L2TP31.信息系統(tǒng)審計師出具審計報告指出邊界網(wǎng)關缺少防火墻保護，并推薦了一個外部產(chǎn)品來解決這一缺陷。信息系統(tǒng)審計師違反了（）。A、專業(yè)獨立性B、組織獨立性C、技術能力D、專業(yè)能力32.橢圓曲線密碼方案是指（）。A、基于橢圓曲線上的大整數(shù)分解問題構建的密碼方案B、通過橢圓曲線方程求解的困難性構建的密碼方案C、基于橢圓曲線上有限域離散對數(shù)問題構建的密碼方案D、通過尋找是單向陷門函數(shù)的橢圓曲線函數(shù)構建的密碼方案33.以下哪一項是針對部件通訊故障/錯誤的控制（）。A、限制操作員訪問和維護審計軌跡B、監(jiān)視并評審系統(tǒng)工程活動C、配備網(wǎng)絡冗余D、建立接觸網(wǎng)絡傳輸數(shù)據(jù)的物理屏障34.在信息系統(tǒng)審計時，對于需要收集的數(shù)據(jù)的程序是基于以下哪項而決定的？（）A、重要信息及需求信息的可用性B、審計師對環(huán)境的熟悉程度C、被審計機構找到相關證據(jù)的能力D、審計項目的目的和范圍35.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對信息系統(tǒng)進行劃分，不屬于正確劃分級別的是（）。A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關鍵信息系統(tǒng)36.有關項目管理，錯誤的理解是：（）A、項目管理是一門關于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理，包括對項目范圍、時間成本、質量、人力、資源溝通、風險、采購、集成的管理D、項目管理是系統(tǒng)工程思想針對具體項目的實踐應用37.下面哪一個短語能用來描述包含在一個應用程序中一系列指令中的惡意代碼，例如一個字處理程序或表格制作軟件？（）A、主引導區(qū)病毒B、宏病毒C、木馬D、腳本病毒38.在審計一家專注于電子商務的企業(yè)時，信息系統(tǒng)經(jīng)理表明當從客戶獲取信息時使用了數(shù)字簽名。要證實此說法，信息系統(tǒng)審計師應證實以下哪項被應用？（）A、使用生物，數(shù)字，加密參數(shù)的客戶公鑰B、使用客戶私鑰加密并傳輸?shù)墓Ｖ礐、使用客戶公鑰加密并傳輸?shù)墓Ｖ礑、掃描的用戶簽名已使用客戶公鑰加密39.假脫機系統(tǒng)（外圍同時聯(lián)機操作）40.為確保業(yè)務應用能成功地的離岸開發(fā)，下面哪項是最好的？（）A、嚴格的履行合同管理B、詳細并且正確使用的說明書C、有文化和政策差異的意識D、部署后再檢查41.通常在網(wǎng)站數(shù)據(jù)庫中，用戶信息中的密碼一項，是以哪種形式存在？（）A、明文形式存在B、服務器加密后的密文形式存在C、hash運算后的消息摘要值存在D、用戶自己加密后的密文形式存在42.在對遠程辦公的安全規(guī)劃中，應首先回答以下哪一個問題（）。A、什么數(shù)據(jù)是機密的B、員工需要訪問哪些系統(tǒng)和數(shù)據(jù)C、需要何種訪問方式D、系統(tǒng)和數(shù)據(jù)的敏感性如何43.IP欺騙（IPSpoof）是利用TCP/IP協(xié)議中（）的漏洞進行攻擊的。A、對源IP地址的鑒別方式B、結束會話時的四次握手過程C、IP協(xié)議尋址機制D、TCP尋址機制44.下面對ISO27001的說法最準確的是（）。A、該標準的題目是信息安全管理體系實施指南B、該標準為度量信息安全管理體系的開發(fā)和實施提供的一套標準C、該標準提供了一組信息安全管理相關的控制和最佳實踐D、該標準為建立、實施、運行、監(jiān)控、審核、維護和改進信息安全體系提供了一個模型45.小李在某單位是負責信息安全風險管理方面工作的部門領導，主要負責對所在行業(yè)的新人進行基本業(yè)務素質培訓。一次培訓的時候，小李主要負責講解風險評估方法。請問小李的所述論點中錯誤的是哪項（）。A、風險評估方法包括：定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標準和慣例，因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值方式，實現(xiàn)對風險各要素的度量數(shù)值化46.生物測量系統(tǒng)的精確度指標是（）。A、系統(tǒng)響應時間B、注冊時間C、輸入文件的大小D、誤接受率47.關于信息安全保障的概念，下面說法錯誤的是（）A、信息系統(tǒng)面臨的風險和威脅是動態(tài)變化的，信息安全保障強調動態(tài)的安全理念B、信息安全保障已從單純的保護和防御階段發(fā)展為集保護、檢測和響應為一體的綜合階段C、在全球互聯(lián)互通的網(wǎng)絡空間環(huán)境下，可單純依靠技術措施來保障信息安全D、信息安全保障把信息安全從技術擴展到管理，通過技術、管理和工程等措施的綜合融合，形成對信息、信息系統(tǒng)及業(yè)務使命的保障48.在進行業(yè)務持續(xù)審計的時候，審計師發(fā)現(xiàn)業(yè)務持續(xù)計劃僅僅覆蓋到了關鍵流程，那么審計師應該（）。A、建議業(yè)務持續(xù)計劃涵蓋所有業(yè)務流程B、評估未包含業(yè)務流程的影響C、將發(fā)現(xiàn)報告給IT經(jīng)理D、重新定義關鍵流程49.私網(wǎng)地址用于配置本地網(wǎng)絡，下面的地址中，屬于私網(wǎng)的是（）。A、100B、C、D、50.下列不屬于SQLServer2000中的數(shù)據(jù)庫對象的是（）A、表B、表空間C、存儲過程D、觸發(fā)器51.下列有關救件問題生命周期模型狀態(tài)定義的說法中，錯誤的是（）。A、"新建"表示測試中發(fā)現(xiàn)開報告了新的軟件問題B、"打開"表示軟件問題已經(jīng)被確認并分配測試工程師處理C、"關閉"表示軟件問題已被已被確認為無效的軟件問題D、"解決"表示軟件問題己被確認修復52.在Internet應用中使用applets，最可能的解釋是：（）A、它由服務器通過網(wǎng)絡傳輸B、服務器沒有運行程序，輸出也沒有經(jīng)過網(wǎng)絡傳輸C、改進了web服務和網(wǎng)絡的性能D、它是一個通過網(wǎng)絡瀏覽器下載的JAVA程序，由客戶機web服務器執(zhí)行53.計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知？（）A、系統(tǒng)管理員B、律師C、恢復協(xié)調員D、硬件和軟件廠商54.在制定組織間的保密協(xié)議，以下哪一個不是需要考慮的內容？（）A、需要保護的信息B、協(xié)議期望持續(xù)時間C、合同雙方的人員數(shù)量要求D、違反協(xié)議后采取的措施55.以下關于RBAC模型說法正確的是（）。A、該模型根據(jù)用戶所擔任的角色和安全級來決定用戶在系統(tǒng)中的訪問權限B、一個用戶必須扮演并激活某種角色，才能對一個象進行訪問或執(zhí)行某種操作C、在該模型中，每個用戶只能有一個角色D、在該模型中，權限與用戶關聯(lián)，用戶與角色關聯(lián)56.當進行程序變更測試時，以下哪一項是最好的進行抽樣的總體列表？（）A、測試庫清單B、源程序清單C、程序變更申請D、生產(chǎn)庫清單57.以下哪一個是數(shù)據(jù)保護的最重要的目標？（）A、確定需要訪問信息的人員B、確保信息的完整性C、拒絕或授權對系統(tǒng)的訪問D、監(jiān)控邏輯訪問58.為了保護企業(yè)的知識產(chǎn)權和其它資產(chǎn)，當終止與員工的聘用關系時下面哪一項是最好的方法？（）A、進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B、進行離職談話，禁止員工賬號，更改密碼C、讓員工簽署跨邊界協(xié)議D、列出員工在解聘前需要注意的所有責任59.以下哪一個代表EDI環(huán)境中潛在的最大風險（）。A、交易授權B、遺失或重復EDI傳輸C、傳輸延遲D、在確定應用控制之前刪除或操縱交易60.以下哪項可最大程度地保證消息真實性？（）A、哈希摘要根據(jù)要發(fā)送的消息計算得出B、哈希摘要使用發(fā)送者私鑰進行加密C、哈希摘要和消息使用密鑰進行加密D、發(fā)送者獲取接受者公鑰，并通過認證頒發(fā)機構來驗證其數(shù)字認證的真實性61.下列針對windows主機安全說法最準確的是（）A、系統(tǒng)重新安裝后最安全B、系統(tǒng)安裝了防病毒和防火墻就安全了C、把管理員密碼長度修改的比較復雜安全D、經(jīng)過專業(yè)的安全服務人員根據(jù)業(yè)務系統(tǒng)的需要進行評估，然后根據(jù)評估結果進行安全加固后比較安全62.Kerberos協(xié)議是常用的集中訪問控制協(xié)議，通過可信第三方的認證服務，減輕應用服務器的負擔。Kerberos的運行環(huán)境由秘鑰分發(fā)中心（KDC）、應用服務器和客戶端三個部分組成。其中，KDC分為認證服務AS和票據(jù)授權服務TGS兩部分。下圖展示了Kerberos協(xié)議的三個階段，分別為（1）kerberos獲得服務許可票據(jù)，（2），kerberos獲得服務，（3）kerberos獲得票據(jù)許可票據(jù)。下列選項中，對這三個階段的排序正確的是（） A、（1）→（2）→（3）B、（3）→（2）→（1）C、（2）→（1）→（3）D、（3）→（1）→（2）63.由于獨立的信息系統(tǒng)增加，一個國有房產(chǎn)公司要求在發(fā)生重大故障后，必須保證能夠繼續(xù)提供IT服務。需要實施哪個流程才能提供這種保證性？（）A、可用性管理B、IT服務連續(xù)性管理C、服務級別管理D、服務管理64.下面哪一個情景屬于身份鑒別（Authentication）過程？（）A、用戶依照系統(tǒng)提示輸入用戶名和口令B、用戶在網(wǎng)絡上共享了自己編寫的一份Office文檔，并設定哪些用戶可以閱讀，哪些用戶可以修改C、用戶使用加密軟件對自己編寫的office文檔進行加密，以阻止其他人得到這份拷貝后看到文檔中的內容D、某個人嘗試登錄到你的計算機中，但是口令輸入的不對，系統(tǒng)提示口令錯誤，并將這次失敗的登錄過程記錄在系統(tǒng)日志中65.在linux系統(tǒng)中擁有最高級別權限的用戶是：（）A、rootB、administratorC、mailD、nobody66.下列哪一項能保證發(fā)送者的真實性和e-mail的機密性？（）A、用發(fā)送者的私鑰加密消息散列（hash），然后用接收者的公鑰加密消息散列（hash）B、發(fā)送者對消息進行數(shù)字簽名然后用發(fā)送者的私鑰加密消息散列（hash）C、用發(fā)送者的私鑰加密消息散列（hash），然后用接收者的公鑰加密消息。D、用發(fā)送者的私鑰加密消息，然后用接收者的公鑰加密消息散列（hash）67.下列關于Kerberos的描述，哪一項是正確的？（）A、埃及神話中的有三個頭的狗B、安全模型C、遠程身份驗證撥入用戶服務器D、一個值得信賴的第三方認證協(xié)議68.以下哪項是CSA的目標（）。A、專注于高風險領域B、代替審計責任C、完善控制問卷D、協(xié)助推進交流69.以下哪一項對安全風險的描述是準確的（）。A、安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性B、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實C、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風險是指資產(chǎn)的脆弱性被威脅利用的情形70.你來到服務器機房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結果對與持定脆弱性相關的威脅真正出現(xiàn)