2024年安防生產(chǎn)行業(yè)技能考試-注冊(cè)信息安全專(zhuān)業(yè)人員考試近5年真題集錦（頻考類(lèi)試題）帶答案

（圖片大小可自由調(diào)整）2024年安防生產(chǎn)行業(yè)技能考試-注冊(cè)信息安全專(zhuān)業(yè)人員考試近5年真題集錦（頻考類(lèi)試題）帶答案第I卷一.參考題庫(kù)(共100題)1.拒絕服務(wù)攻擊危及以下哪一項(xiàng)信息系統(tǒng)屬性（）。A、完整性B、可用性C、機(jī)密性D、可靠性2.組織的災(zāi)難恢復(fù)計(jì)劃（DRP）中包含互惠協(xié)議時(shí)，應(yīng)采用以下哪項(xiàng)風(fēng)險(xiǎn)應(yīng)對(duì)方法（）A、轉(zhuǎn)移B、緩解C、回避D、接受3.信息安全管理體系（informationSecurltyManagementSystem.簡(jiǎn)稱(chēng)ISMS）要求建立過(guò)程體系，該過(guò)程體系是在如下（）基礎(chǔ)上構(gòu)建的。A、IATF（InformationAssuranceTechnicalFramework）B、P2DR（Policy，Protection，Detection，Response）C、PDCERF（Preparation，Detection，Containment，Eradication，Recovery，F(xiàn)ollow-up）D、PDCA（Plan，Do，Check，Act）4.以下哪一項(xiàng)是圖像處理的弱點(diǎn)？（）A、驗(yàn)證簽名B、改善服務(wù)C、相對(duì)較貴D、減少處理導(dǎo)致的變形5.下面的哪一種反垃圾過(guò)濾技術(shù)可以最大程度地避免正常的、長(zhǎng)度不定的、內(nèi)容里存在多處垃圾郵件關(guān)鍵詞的電子郵件被識(shí)別為垃圾郵件（）。A、啟發(fā)式的過(guò)濾技術(shù)B、基于簽名的檢查C、模版匹配D、基于統(tǒng)計(jì)（學(xué)）的貝葉斯判斷（Bayesian）6.有關(guān)項(xiàng)目管理，錯(cuò)誤的理解是：（）A、項(xiàng)目管理是一門(mén)關(guān)于項(xiàng)目資金、時(shí)間、人力等資源控制的管理科學(xué)B、項(xiàng)目管理是運(yùn)用系統(tǒng)的觀(guān)點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理，不受項(xiàng)目資源的約束C、項(xiàng)目管理，包括對(duì)項(xiàng)目范圍、時(shí)間成本、質(zhì)量、人力、資源溝通、風(fēng)險(xiǎn)、采購(gòu)、集成的管理D、項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用7.技術(shù)變革的速度增加了下面哪一項(xiàng)的重要性（）。A、外包IS功能B、實(shí)施和強(qiáng)化良好流程C、員工在組織中的建立事業(yè)的愿望D、滿(mǎn)足用戶(hù)要求8.我國(guó)標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364）給出了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程，可以用下圖來(lái)表示。圖中空白處應(yīng)該填寫(xiě)（） A、風(fēng)險(xiǎn)計(jì)算B、風(fēng)險(xiǎn)評(píng)價(jià)C、風(fēng)險(xiǎn)預(yù)測(cè)D、風(fēng)險(xiǎn)處理9.與人工監(jiān)控相比，以下除哪一項(xiàng)外都是自動(dòng)環(huán)境控制的優(yōu)勢(shì)（）。A、系統(tǒng)探測(cè)器執(zhí)行診斷和分析B、順序關(guān)閉主機(jī)系統(tǒng)C、恢復(fù)緩慢D、問(wèn)題記錄和通知10.下面哪項(xiàng)是分級(jí)保護(hù)方案設(shè)計(jì)指南？（）A、BMB-17B、BMB-23C、BMB-20D、BMB-511.以下哪一項(xiàng)是集成測(cè)試設(shè)施（ITF）的優(yōu)勢(shì)（）。A、它利用了實(shí)際的主文件，因此IS審計(jì)人員可以不審查源交易B、定期測(cè)試不要求隔離測(cè)試過(guò)程C、它驗(yàn)證應(yīng)用系統(tǒng)并測(cè)試系統(tǒng)的持續(xù)運(yùn)行D、它不需要準(zhǔn)備測(cè)試數(shù)據(jù)12.通常，以下哪一種證據(jù)對(duì)IS審計(jì)師來(lái)說(shuō)最可靠（）。A、收到的來(lái)自第三方的核實(shí)帳戶(hù)余額確認(rèn)信B、一線(xiàn)經(jīng)理確保應(yīng)用程序如設(shè)計(jì)的方式工作C、C.從internet來(lái)源得到的數(shù)據(jù)趨勢(shì)（TrenddatD、由一線(xiàn)經(jīng)理提供報(bào)告，IS審計(jì)師開(kāi)發(fā)的比率分析13.關(guān)于信息安全等級(jí)保護(hù)政策，下列說(shuō)法錯(cuò)誤的是（）A、非涉密計(jì)算機(jī)信息系統(tǒng)實(shí)行等級(jí)保護(hù)，涉密計(jì)算機(jī)信息系統(tǒng)實(shí)行分級(jí)保護(hù)B、信息安全等級(jí)保護(hù)實(shí)行“自主定級(jí)，自主保護(hù)”的原則C、信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督D、對(duì)三級(jí)以上信息系統(tǒng)實(shí)行備案要求，由公安機(jī)關(guān)頒發(fā)本案證明14.最優(yōu)質(zhì)的軟件實(shí)現(xiàn)（）。A、通過(guò)全面測(cè)試B、發(fā)現(xiàn)并快速糾正編程錯(cuò)誤C、通過(guò)用可用的時(shí)間和預(yù)算確定測(cè)試數(shù)量D、通過(guò)使用定義明確的流程和對(duì)整個(gè)項(xiàng)目的結(jié)構(gòu)審查15.EDI對(duì)內(nèi)部控制的影響是（）。A、審查和批準(zhǔn)較少存在B、固有認(rèn)證C、由第三方擁有的適當(dāng)分配的EDI交易D、IPF管理將會(huì)增加對(duì)于數(shù)據(jù)中心控制的責(zé)任16.下面哪一種拒絕服務(wù)攻擊在網(wǎng)絡(luò)上不常見(jiàn)（）。A、服務(wù)過(guò)載B、對(duì)消息的洪水攻擊C、連接阻塞D、信號(hào)接地17.Tobeadmissibleincourt,computerevidencemustbewhichofthefollowing?被法庭采納的計(jì)算機(jī)證據(jù)必須是？（）A、Incriminating歸罪的B、Edited編輯過(guò)的C、Decrypted解密的D、Relevant相關(guān)的18.網(wǎng)絡(luò)管理員最不應(yīng)該與下列哪個(gè)角色共享責(zé)任（）。A、質(zhì)量保障。B、系統(tǒng)管理員。C、應(yīng)用程序員。D、系統(tǒng)分析員。19.白盒法是在測(cè)試過(guò)程中，由詳細(xì)設(shè)計(jì)提供的文檔，從軟件的具體的邏輯結(jié)構(gòu)和執(zhí)行路徑出發(fā)，設(shè)計(jì)測(cè)試用例，完成測(cè)試的目的，在軟件測(cè)試中，白盒法是通過(guò)分析程序的（）來(lái)設(shè)計(jì)測(cè)試用例的。A、應(yīng)用范圍B、功能C、內(nèi)部邏輯D、輸入數(shù)據(jù)20.第四代語(yǔ)言的一個(gè)突出特點(diǎn)是可移植性，這意味著（）。A、環(huán)境獨(dú)立B、工作臺(tái)概念C、設(shè)計(jì)屏幕格式和圖形化輸出的能力D、能夠運(yùn)行在線(xiàn)操作21.下面哪一種關(guān)于安全的說(shuō)法是不對(duì)的？（）A、加密技術(shù)的安全性不應(yīng)大于使用該技術(shù)的人的安全性B、任何電子郵件程序的安全性不應(yīng)大于實(shí)施加密的計(jì)算機(jī)的安全性C、加密算法的安全性與密鑰的安全性一致D、每個(gè)電子郵件消息的安全性是通過(guò)用標(biāo)準(zhǔn)的非隨機(jī)的密鑰加密來(lái)實(shí)現(xiàn)22.SSL協(xié)議通過(guò)以下哪種方式來(lái)確保消息的機(jī)密性？（）A、對(duì)稱(chēng)加密B、消息驗(yàn)證代碼C、哈希函數(shù)D、數(shù)字簽名認(rèn)證23.通常在設(shè)計(jì)VLAN時(shí)，以下哪一項(xiàng)不是VIAN規(guī)劃方法？（）A、基于交換機(jī)端口B、基于網(wǎng)絡(luò)層協(xié)議C、基于MAC地址D、基于數(shù)字證書(shū)24.降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的手段，以下說(shuō)法不正確的是（）？A、通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷B、通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性C、建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D、通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)責(zé)任25.下列哪項(xiàng)在評(píng)價(jià)信息系統(tǒng)戰(zhàn)略時(shí)最重要（）。A、確保信息系統(tǒng)戰(zhàn)略最大化目前和未來(lái)信息技術(shù)資源的效率和利用。B、確保在所有信息系統(tǒng)中考慮信息安全。C、確保信息系統(tǒng)戰(zhàn)略支持公司愿景和目標(biāo)。D、確保系統(tǒng)管理員為系統(tǒng)能力提供準(zhǔn)確的輸入。26.維護(hù)災(zāi)難恢復(fù)計(jì)劃的運(yùn)營(yíng)開(kāi)銷(xiāo)與沒(méi)有災(zāi)難恢復(fù)計(jì)劃的運(yùn)營(yíng)開(kāi)銷(xiāo)相比，下列描述最接近的是：（）A、增加B、減少C、相同D、無(wú)法預(yù)知27.在一個(gè)在線(xiàn)事務(wù)處理系統(tǒng)（OLTP）中，當(dāng)發(fā)現(xiàn)錯(cuò)誤或非法交易時(shí)，應(yīng)該采取下面那一項(xiàng)活動(dòng)？（）A、事務(wù)應(yīng)寫(xiě)進(jìn)報(bào)告，并進(jìn)行檢查B、交易應(yīng)該進(jìn)行更正并進(jìn)行再處理C、程序做了一定調(diào)整后，事務(wù)應(yīng)該繼續(xù)處理D、這些事務(wù)應(yīng)該停止執(zhí)行28.為中國(guó)信息安全測(cè)評(píng)中心cisp注冊(cè)信息安全專(zhuān)業(yè)人員，對(duì)通過(guò)cisp之外還需要滿(mǎn)足一基本要求，以下哪一項(xiàng)不屬于這些基本要求？（）A、滿(mǎn)足注冊(cè)信息安全人員（cisp）注冊(cè)資質(zhì)的教育背景要求B、同意并遵守注冊(cè)信息安全專(zhuān)業(yè)人員（cisp）執(zhí)業(yè)準(zhǔn)則C、在政府機(jī)關(guān)或重要信息系統(tǒng)的主管后運(yùn)營(yíng)單位從事信息安全保障工作或?yàn)槠涮峁┌踩獶、參加并完成由中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊(cè)信息安全專(zhuān)業(yè)人員（cisp）專(zhuān)業(yè)培訓(xùn)29.WhichofthefollowingarenecessarycomponentsofaMulti-LevelSecurityPolicy?下列哪一項(xiàng)是多級(jí)安全策略必需的組件？（）A、SensitivityLabelsforsubjects&objectsanda"systemhigh"evaluation.對(duì)主體和客體實(shí)施敏感性標(biāo)識(shí)以及對(duì)其進(jìn)行系統(tǒng)高的評(píng)價(jià)B、SecurityClearancesforsubjects&SecurityLabelsforobjectsandMandatoryAccessControl.對(duì)主體和客體安全標(biāo)識(shí)的安全許可以及強(qiáng)制訪(fǎng)問(wèn)控制C、SensitivityLabelsforonlyobjectsandMandatoryAccessControl.只針對(duì)客體的敏感性標(biāo)識(shí)和強(qiáng)制訪(fǎng)問(wèn)控制D、SensitivityLabelsforsubjects&objectsandDiscretionaryAccessControl.對(duì)主體及客體的敏感性表情和自主訪(fǎng)問(wèn)控制30.下面哪項(xiàng)不是實(shí)施信息安全管理的關(guān)鍵成功因素？（）A、理解組織文化B、得到高層承諾C、部署安全產(chǎn)品D、納入獎(jiǎng)懲機(jī)制31.某黑客通過(guò)分析和整理某報(bào)社記者小張的博客，找到一些有用的信息，通過(guò)偽裝的新聞線(xiàn)索，誘使其執(zhí)行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報(bào)社的局域網(wǎng)全部感染木馬病毒。為防范此類(lèi)社會(huì)工程學(xué)政擊，報(bào)社不需要做的是（）。A、加強(qiáng)信息安全意識(shí)培訓(xùn),提高安全防范能力,了解各種社會(huì)工程學(xué)攻擊方法,防止受到此類(lèi)攻擊B、建立相應(yīng)的安全相應(yīng)應(yīng)對(duì)措施,當(dāng)員工受到社會(huì)工程學(xué)的攻擊,應(yīng)當(dāng)及時(shí)報(bào)告C、教育員工注重個(gè)人隱私保護(hù)D、減少系統(tǒng)對(duì)外服務(wù)的端口數(shù)量,修改服務(wù)旗標(biāo)32.計(jì)算機(jī)應(yīng)用系統(tǒng)的安全性在如下那種情況下最經(jīng)濟(jì)，效果也最好：（）A、系統(tǒng)在安全附加之前已經(jīng)得到了優(yōu)化B、系統(tǒng)被定制以對(duì)抗特定威脅C、系統(tǒng)是通過(guò)招標(biāo)購(gòu)買(mǎi)的標(biāo)準(zhǔn)貨架式商品D、系統(tǒng)的初始設(shè)計(jì)就已經(jīng)提供了必要的安全性33.入侵檢測(cè)系統(tǒng)的分類(lèi)可以分為（）A、入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型B、入侵檢測(cè)系統(tǒng)可以分為百兆和千兆C、入侵檢測(cè)系統(tǒng)可以分為串行和并行D、入侵檢測(cè)系統(tǒng)可以分為2U和1U34.存儲(chǔ)過(guò)程是SQL語(yǔ)句的一個(gè)集合，在一個(gè)名稱(chēng)下儲(chǔ)存，按獨(dú)立單元方式執(zhí)行，以下哪一項(xiàng)不是使用存儲(chǔ)過(guò)程的優(yōu)點(diǎn)？（）A、提高性能，應(yīng)用程序不用重復(fù)編譯此過(guò)程B、降低用戶(hù)查詢(xún)數(shù)量，減輕網(wǎng)絡(luò)擁塞C、語(yǔ)句執(zhí)行過(guò)程中如果中斷，可以進(jìn)行數(shù)據(jù)回滾，保證數(shù)據(jù)的完整性和一致性D、可以控制用戶(hù)使用存儲(chǔ)過(guò)程的權(quán)限，以增強(qiáng)數(shù)據(jù)庫(kù)的安全性35.為了確保組織遵守隱私要求，一個(gè)信息系統(tǒng)審計(jì)師應(yīng)首先評(píng)審：（）A、IT基礎(chǔ)設(shè)施B、組織策略，標(biāo)準(zhǔn)和程序C、法律和法規(guī)的要求D、組織的策略，標(biāo)準(zhǔn)和程序36.在審計(jì)業(yè)務(wù)連續(xù)性計(jì)劃期間，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)：雖然所有的部門(mén)都在同一個(gè)辦公樓內(nèi)辦公，但是每個(gè)部門(mén)都有獨(dú)立的業(yè)務(wù)連續(xù)性計(jì)劃。他建議將這些業(yè)務(wù)連續(xù)一致起來(lái)，下列哪個(gè)領(lǐng)域該被首先統(tǒng)一起來(lái)：（）A、撤退計(jì)劃B、復(fù)原優(yōu)先級(jí)C、備份存貯D、呼叫樹(shù)37.以下哪一項(xiàng)是對(duì)提供給供應(yīng)商員工的訪(fǎng)客無(wú)線(xiàn)ID的最佳控制（）A、分配每日過(guò)期的可更新用戶(hù)IDB、采用一次性寫(xiě)入日志來(lái)監(jiān)控供應(yīng)商的系統(tǒng)活動(dòng)C、使用類(lèi)似于員工使用的ID格式D、確保無(wú)線(xiàn)網(wǎng)絡(luò)加密得到正確配置38.調(diào)試程序的目的是（）。A、用于產(chǎn)生在實(shí)施之前測(cè)試程序的隨機(jī)數(shù)B、保證有效變更，防止被其他變更程序重寫(xiě)C、定義程序開(kāi)發(fā)和維護(hù)費(fèi)用列入可行性研究D、確保異常中斷和編碼錯(cuò)誤被檢查和糾正39.以下哪一種安全威脅與無(wú)線(xiàn)局域網(wǎng)絡(luò)最不相關(guān)（）。A、信息攔截B、系統(tǒng)不可用C、系統(tǒng)不可靠D、設(shè)備盜竊40.以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是（）A、單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶(hù)之間的傳遞或共享B、使用單點(diǎn)登錄技術(shù)用戶(hù)只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪(fǎng)問(wèn)多個(gè)應(yīng)用C、單點(diǎn)登錄不僅方便用戶(hù)使用，而且也便于管理D、使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)41.下列哪些措施能夠最有效地較少設(shè)備捕獲其他設(shè)備信息包的能力（）。A、過(guò)濾器B、交換機(jī)C、路由器D、防火墻42.WhatisacharacteristicofusingtheElectronicCodeBookmodeofDESencryption?以下哪一項(xiàng)特征是使用DES中電子密碼本？（）A、Repetitiveencryptionobscuresanyrepeatedpatternsthatmayhavebeenpresentintheplaintext.反復(fù)加密以掩蓋任何可能在明文出現(xiàn)的重復(fù)模式B、ThepreviousDESoutputisusedasinput.之前的DES加密輸出被用來(lái)作為輸入C、Individualcharactersareencodedbycombiningoutputfromearlierencryptionroutineswithplaintext.單個(gè)字符從之前明文加密程序的結(jié)合輸出來(lái)進(jìn)行編碼D、Agivenblockofplaintextandagivenkeywillalwaysproducethesameciphertext.一個(gè)給定的明文和一個(gè)給定的密鑰將總是產(chǎn)生相同的密文。43.事件響應(yīng)六個(gè)階段定義了安全事件處理的流程，這個(gè)流程的順序是（）。A、準(zhǔn)備－遏制－確認(rèn)－根除－恢復(fù)－跟蹤B、準(zhǔn)備－確認(rèn)－遏制－恢復(fù)－根除－跟蹤C(jī)、準(zhǔn)備－確認(rèn)－遏制－根除－恢復(fù)－跟蹤D、準(zhǔn)備－遏制－根除－確認(rèn)－恢復(fù)－跟蹤44.在一個(gè)中斷和災(zāi)難事件中，以下哪一項(xiàng)提供了持續(xù)運(yùn)營(yíng)的技術(shù)手段？（）A、負(fù)載平衡B、硬件冗余C、分布式備份D、高可用性處理45.IS審計(jì)師對(duì)于與員工相關(guān)的IS管理實(shí)踐審計(jì)進(jìn)行一般控制審計(jì)，應(yīng)該特別關(guān)注的是（）。A、強(qiáng)制休假政策和遵守情況B、人員分類(lèi)和公平的補(bǔ)償政策C、員工培訓(xùn)D、分配給員工的職責(zé)46.下面哪項(xiàng)是信息安全管理體系中CHECK（檢查）中的工作內(nèi)容？（）A、按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審B、實(shí)施所選擇的控制措施C、采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D、確保改進(jìn)達(dá)到了預(yù)期目標(biāo)47.審計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，下面哪個(gè)審計(jì)發(fā)現(xiàn)需要特別關(guān)注（）。A、今年新購(gòu)置的設(shè)備、資產(chǎn)沒(méi)有購(gòu)買(mǎi)相應(yīng)的保險(xiǎn)B、BCP手冊(cè)沒(méi)有經(jīng)常更新C、不經(jīng)常實(shí)施備份數(shù)據(jù)的測(cè)試D、維護(hù)訪(fǎng)問(wèn)系統(tǒng)的記錄不知去向48.一個(gè)組織的系統(tǒng)安全能力成熟度模型達(dá)到哪個(gè)級(jí)別以后，就可以考慮為過(guò)程域（PR）的實(shí)施提供充分的資源？（）A、2級(jí)――計(jì)劃和跟蹤B、3級(jí)――充分定義C、4級(jí)――最化控制D、5級(jí)――持續(xù)改進(jìn)49.以下哪一項(xiàng)不是建筑物的自動(dòng)化訪(fǎng)問(wèn)審計(jì)系統(tǒng)記錄的日志的內(nèi)容（）A、出入的原因B、出入的時(shí)間C、出入口的位置D、是否成功進(jìn)入50.在審查系統(tǒng)參數(shù)時(shí)，審計(jì)師首先應(yīng)關(guān)注（）。A、參數(shù)設(shè)置符合安全性和性能要求B、變更被記入審計(jì)軌跡并定期審查C、變更被合適的文檔進(jìn)行授權(quán)和支持D、對(duì)系統(tǒng)中參數(shù)的訪(fǎng)問(wèn)被嚴(yán)格限制51.通常，黑客使用如下哪一種攻擊手段時(shí)，會(huì)引起對(duì)互聯(lián)網(wǎng)站點(diǎn)的分布式拒絕服務(wù)攻擊（DDos）（）。A、邏輯炸彈B、網(wǎng)絡(luò)釣魚(yú)C、間諜軟件D、特洛伊木馬52.特洛伊木馬攻擊的危脅類(lèi)型屬于（）。A、授權(quán)侵犯威脅B、植入威脅C、滲入威脅D、破壞威脅53.為了處理組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不應(yīng)該超過(guò)？（）A、服務(wù)水平目標(biāo)（SLO）B、恢復(fù)時(shí)間目標(biāo)（RTO）C、恢復(fù)點(diǎn)目標(biāo)（RPO）D、最大可接受中斷（MAO）54.對(duì)評(píng)價(jià)電子數(shù)據(jù)交換（EDI）應(yīng)用軟件的控制時(shí)，IS審計(jì)人員應(yīng)該首先關(guān)注到哪個(gè)風(fēng)險(xiǎn)：（）A、過(guò)多的交易轉(zhuǎn)換時(shí)間B、應(yīng)用程序界面錯(cuò)誤C、不恰當(dāng)?shù)氖跈?quán)處理D、未經(jīng)核實(shí)的批量總數(shù)55.一家金融服務(wù)公司擁有一個(gè)獨(dú)立代理用來(lái)管理客戶(hù)賬戶(hù)的網(wǎng)站。在檢查系統(tǒng)的邏輯訪(fǎng)問(wèn)時(shí)，IS審計(jì)師注意到，一些用戶(hù)ID似乎被多個(gè)代理用戶(hù)共享。此時(shí)，IS審計(jì)師最適合采取以下哪項(xiàng)行動(dòng)：（）A、通知審計(jì)委員會(huì)存在潛在問(wèn)題B、要求詳細(xì)審查相關(guān)ID的審計(jì)日志C、記錄結(jié)果并對(duì)使用共享ID的風(fēng)險(xiǎn)作出解釋D、聯(lián)系安全經(jīng)理，要求從系統(tǒng)中刪除這些ID56.下面哪一項(xiàng)可以將電子郵件從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)格式，使信息可以穿過(guò)網(wǎng)絡(luò)（）。A、網(wǎng)關(guān)B、協(xié)議轉(zhuǎn)換器C、前端處理機(jī)D、集中器/復(fù)用器57.系統(tǒng)管理員屬于（）？A、決策層B、管理層C、執(zhí)行層D、既可以劃為管理層，又可以劃為執(zhí)行層58.在風(fēng)險(xiǎn)管理工作中“監(jiān)控審查”的目的，一是（）；二是（）。A、保證風(fēng)險(xiǎn)管理過(guò)程的有效性；保證風(fēng)險(xiǎn)管理成本的有效性B、保證風(fēng)險(xiǎn)管理結(jié)果的有效性；保證風(fēng)險(xiǎn)管理成本的有效性C、保證風(fēng)險(xiǎn)管理過(guò)程的有效性；保證風(fēng)險(xiǎn)管理活動(dòng)的決定得到認(rèn)可D、保證風(fēng)險(xiǎn)管理結(jié)果的有效性；保證風(fēng)險(xiǎn)管理活動(dòng)的決定得到認(rèn)可59.以下哪些不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣60.下列哪一項(xiàng)是創(chuàng)建防火墻策略的第一步：（）A、成本效益分析的以方法確保應(yīng)用程序B、需要識(shí)別在外部訪(fǎng)問(wèn)的網(wǎng)絡(luò)應(yīng)用C、需要識(shí)別在外部訪(fǎng)問(wèn)的網(wǎng)絡(luò)應(yīng)用的脆弱性D、創(chuàng)建一個(gè)應(yīng)用程序的流量矩陣現(xiàn)實(shí)保護(hù)方式61.什么是變更控制系統(tǒng)中最重要的部分（）。A、所有的變更都必須文檔化和被批準(zhǔn)B、變更通過(guò)自動(dòng)化工具來(lái)管理，防止人為訪(fǎng)問(wèn)C、一旦變更失敗，生產(chǎn)的備份被維護(hù)D、通過(guò)測(cè)試和批準(zhǔn)來(lái)確保質(zhì)量62.劃分VLAN主要解決什么問(wèn)題？（）A、隔離廣播B、解決安全性C、隔離故障域D、解決帶寬問(wèn)題63.為了防止授權(quán)用戶(hù)不會(huì)對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，需要實(shí)施對(duì)數(shù)據(jù)的完整性保護(hù)，列哪一項(xiàng)最好地描述了星或（*-）完整性原則？（）A、Bell-LaPadula模型中的不允許向下寫(xiě)B(tài)、Bell-LaPadula模型中的不允許向上度C、Biba模型中的不允許向上寫(xiě)D、Biba模型中的不允許向下讀64.數(shù)據(jù)庫(kù)管理員建議要提高關(guān)系數(shù)據(jù)庫(kù)的性能可以denormalizing一些表，這可能導(dǎo)致（）。A、保密性損失B、增加冗余C、非授權(quán)訪(fǎng)問(wèn)D、應(yīng)用故障65.在OSI參考模型中有7個(gè)層次，提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)？（）A、網(wǎng)絡(luò)層B、表示層C、會(huì)話(huà)層D、物理層66.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的（）。A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形67.在制定風(fēng)險(xiǎn)基礎(chǔ)審計(jì)策略時(shí)，IS審計(jì)師需要進(jìn)行風(fēng)險(xiǎn)評(píng)估審計(jì)，目的是保證（）。A、減輕風(fēng)險(xiǎn)的控制到位B、確定了脆弱性和威脅C、審計(jì)風(fēng)險(xiǎn)的考慮.D、Gap差距分析是合適的.68.IS審計(jì)師的決策和行動(dòng)最有可能影響下面哪種風(fēng)險(xiǎn)（）。A、固有風(fēng)險(xiǎn)B、檢查分析C、控制風(fēng)險(xiǎn)D、業(yè)務(wù)風(fēng)險(xiǎn)69.在軟件開(kāi)發(fā)項(xiàng)目中，整體全面質(zhì)量管理（TQM）的基本要點(diǎn)在于（）。A、全面文件B、準(zhǔn)時(shí)交貨C、成本控制D、用戶(hù)滿(mǎn)意70.下面的問(wèn)題參考下圖，下圖代表一個(gè)假設(shè)的內(nèi)部設(shè)施，組織實(shí)施防火墻保護(hù)程序，防火墻應(yīng)該安裝在（）。 A、防火墻是沒(méi)有必要的B、安裝在op-3C、mis和NAT2D、SMTP網(wǎng)關(guān)和op-371.在一個(gè)組織內(nèi)部，IT安全的職責(zé)被清晰分配并強(qiáng)制執(zhí)行，且IT安全風(fēng)險(xiǎn)和影響分析被一貫執(zhí)行。這代表了以下安全治理的哪種成熟度模型（）。A、最優(yōu)的B、可管理的C、定義級(jí)D、重復(fù)級(jí)72.如果出現(xiàn)IT人員和最終用戶(hù)職責(zé)分工的問(wèn)題，下面哪個(gè)選項(xiàng)是合適的補(bǔ)償性控制？（）A、限制物理訪(fǎng)問(wèn)計(jì)算機(jī)設(shè)備B、檢查應(yīng)用及事務(wù)處理日志C、在聘請(qǐng)IT人員之前進(jìn)行背景檢查D、在不活動(dòng)的特定時(shí)間后，鎖定用戶(hù)會(huì)話(huà)73.在業(yè)務(wù)連續(xù)性計(jì)劃（BCP）中，下面哪個(gè)求救電話(huà)目錄是最重要的（）。A、先聯(lián)系設(shè)備供貨商和電力、通訊等資源B、先聯(lián)系保險(xiǎn)公司C、先聯(lián)系人力中介公司D、已排定優(yōu)先級(jí)的聯(lián)絡(luò)表（緊急救援電話(huà)表）74.所有進(jìn)入物理安全*區(qū)域的人員都需經(jīng)過(guò)（）。A、考核B、授權(quán)C、批準(zhǔn)D、認(rèn)可75.WEB服務(wù)器的逆向代理技術(shù)用于如下哪一種情況下（）。A、HTTP服務(wù)器的地址必須隱藏B、需要加速訪(fǎng)問(wèn)所有發(fā)布的頁(yè)面C、為容錯(cuò)而要求緩存技術(shù)D、限制用戶(hù)（指操作員的帶寬）76.為獲得最有效的交易安全，指出以下應(yīng)使用加密技術(shù)的層次（）。A、整個(gè)信息包層次B、記錄層次C、文件層次D、信息字段層次77.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個(gè)控制目標(biāo)，為了實(shí)現(xiàn)控制外部各方的目標(biāo)應(yīng)該包括下列哪個(gè)選項(xiàng)：（）A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配B、信息處理設(shè)施的授權(quán)過(guò)程、保密性協(xié)議、與政府部門(mén)的聯(lián)系C、與特定利益集團(tuán)的聯(lián)系、信息安全的獨(dú)立評(píng)審D、與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理外部各方協(xié)議中的安全問(wèn)題78.由于Internet的安全問(wèn)題日益突出，基于TCP/IP協(xié)議，相關(guān)組織和專(zhuān)家在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，用來(lái)保障網(wǎng)絡(luò)各層次的安全。其中，屬于或依附于傳輸層的安全協(xié)議是（）。A、PP2PB、L2TPC、SSLD、IPSec79.在確定關(guān)鍵業(yè)務(wù)流程在可接受的時(shí)間內(nèi)恢復(fù)時(shí)：（）A、只有停機(jī)費(fèi)用需要考慮B、恢復(fù)操作進(jìn)行分析C、同時(shí)對(duì)停機(jī)成本和恢復(fù)成本進(jìn)行評(píng)估D、間接停機(jī)費(fèi)用應(yīng)該被忽略80.在信息系統(tǒng)安全中，暴露由以下哪兩種因素共同構(gòu)成的？（）A、攻擊和脆弱性B、威脅和攻擊C、威脅和脆弱性D、威脅和破壞81.風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具？（）A、漏洞掃描工具B、入侵檢測(cè)系統(tǒng)C、安全審計(jì)工具D、安全評(píng)估流程管理工具82.下列哪些控制可以最有效的發(fā)現(xiàn)網(wǎng)絡(luò)傳輸錯(cuò)誤（）。A、奇偶校驗(yàn)（可以發(fā)現(xiàn)多個(gè)錯(cuò)誤）B、回聲檢查C、阻塞總數(shù)檢查D、循環(huán)冗余檢查83.下面哪一個(gè)不屬于基于OSI七層協(xié)議的安全體系結(jié)構(gòu)的5種服務(wù)之一？（）A、數(shù)據(jù)完整性B、數(shù)據(jù)保密性C、數(shù)字簽名D、抗抵賴(lài)84.建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任（）。A、職能部門(mén)用戶(hù)B、內(nèi)部審計(jì)人員C、數(shù)據(jù)處理人員D、外部審計(jì)人員85.USB端口（）。A、連接網(wǎng)絡(luò)，無(wú)需網(wǎng)卡B、連接具有以太網(wǎng)適配器的網(wǎng)絡(luò)C、替換所有連接D、連接顯示器86.當(dāng)檢查輸入控制時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)企業(yè)一致性策略中，流程允許超級(jí)用戶(hù)覆蓋數(shù)據(jù)驗(yàn)證結(jié)果。此IS審計(jì)師應(yīng)該：（）A、不關(guān)心，可能有其他修補(bǔ)控制來(lái)降低風(fēng)險(xiǎn)B、確保覆蓋會(huì)自動(dòng)記錄并接受檢查C、驗(yàn)證是否所有這些覆蓋被提交給高級(jí)管理人員批準(zhǔn)D、建議不允許覆蓋87.在以下標(biāo)準(zhǔn)中，屬于推薦性國(guó)家標(biāo)準(zhǔn)的是？（）。A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X88.下列哪種算法通常不被用戶(hù)保證保密性？（）A、AESB、RC4C、RSAD、MD589.IS審計(jì)師檢查無(wú)線(xiàn)網(wǎng)絡(luò)安全時(shí)，發(fā)現(xiàn)它沒(méi)有啟用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）。這樣的設(shè)置將（）。A、降低未經(jīng)授權(quán)即訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)B、不適用于小型網(wǎng)絡(luò)C、能自動(dòng)分配IP地址D、增加無(wú)線(xiàn)加密協(xié)議（WEP）相關(guān)的風(fēng)險(xiǎn)90.下列哪一項(xiàng)體現(xiàn)了適當(dāng)?shù)穆氊?zé)分離？（）A、磁帶操作員被允許使用系統(tǒng)控制臺(tái)B、操作員是不允許修改系統(tǒng)時(shí)間C、允許程序員使用系統(tǒng)控制臺(tái)D、控制臺(tái)操作員被允許裝載磁帶和磁盤(pán)91.一般由系統(tǒng)所有者上級(jí)單位或主管信息安全的機(jī)構(gòu)授權(quán)信息系統(tǒng)投入運(yùn)行的最后一步叫做（）A、正式發(fā)布B、認(rèn)證C、驗(yàn)證D、認(rèn)可92.下面哪一種控制是內(nèi)聯(lián)網(wǎng)的一種有效安全控制（）。A、電話(huà)回叫B、固定的口令C、防火墻D、動(dòng)態(tài)口令93.下面哪一項(xiàng)IS審計(jì)師可用來(lái)確定編輯和確認(rèn)程序的有效性（effectiveness）（）。A、域完整性測(cè)試B、相關(guān)完整性測(cè)試C、參照完整性測(cè)試D、奇偶校驗(yàn)檢查94.下列哪個(gè)不是《商用密碼管理?xiàng)l例》規(guī)定的內(nèi)容？（）A、國(guó)家密碼管理委員會(huì)及其辦公室（簡(jiǎn)稱(chēng)密碼管理機(jī)構(gòu)）主管全國(guó)的商用密碼管理工作B、商用密碼技術(shù)屬于國(guó)家秘密，國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理C、商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷(xiāo)售D、個(gè)人可以使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品95.下列對(duì)防火墻描述正確的是（）A、防火墻可以完全取代接入設(shè)備B、只要安裝了防火墻網(wǎng)絡(luò)就安全了C、防火墻根據(jù)需要合理配置才能使網(wǎng)絡(luò)達(dá)到相應(yīng)的安全級(jí)別D、防火墻可以阻斷病毒的傳播96.下列哪些類(lèi)型防火墻可以最好的防范從互聯(lián)網(wǎng)絡(luò)的攻擊（）。A、屏蔽子網(wǎng)防火墻B、應(yīng)用過(guò)濾網(wǎng)關(guān)C、包過(guò)濾路由器D、電路級(jí)網(wǎng)關(guān)97.防范密碼嗅探攻擊計(jì)算機(jī)系統(tǒng)的控制措施包括下列哪一項(xiàng)？（）A、靜態(tài)和重復(fù)使用