《2024年信息安全师考试题库及答案(含A.B卷).docx》由会员分享,可在线阅读,更多相关《2024年信息安全师考试题库及答案(含A.B卷).docx(74页珍藏版)》请在课桌文档上搜索。
1、2024年信息安全师考试题库及答案(含A.B卷)A卷:1、【单项选择题】信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?OA.机构内部人员B.外部专业机构C.独立第三方机构D.以上皆可标准答案:D2、【单项选择题】企业信息资产的管理和控制的描述不正确的是()A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;C.企业的信息资产不应该分类分级,所有的信息系统要统一对待D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资
2、产标准答案:C3、【单项选择题】下面哪类设备常用于风险分析过程中,识别系统中A.防火墙B.IDSC.漏洞扫描器D.UTM标准答案:C4、【单项选择题】下列哪一项最好地支持了24/7可用性?OA.日常备份B.离线存储C.镜像D.定期测试标准答案:C5、【单项选择题】黑客造成的主要危害是OA.破坏系统、窃取信息及伪造信息B.攻击系统、获取信息及假冒信息C.进入系统、损毁信息及谣传信息D.进入系统,获取信息及伪造信息标准答案:A6、【填空题】APT攻击是一种“()”的攻击。标准答案:恶意商业间谍威胁本题解析:试题答案恶意商业间谍威胁7、【单项选择题】当客户需要访问组织信息资产时,下面正确的做法A.应
3、向其传达信息安全要求及应注意的信息安全问题。B.尽量配合客户访问信息资产。C.不允许客户访问组织信息资产。D.不加干涉,由客户自己访问信息资产。标准答案:A8、【单项选择题】谁对组织的信息安全负最终责任?OA.安全经理B.高管层C.IT经理D.业务经理标准答案:B9、【单项选择题】软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略和实际行为是矛盾的?OA.员工的教育和培训B.远距离工作(Telecommuting)与禁止员工携带工作软件回家C.自动日志和审计软件D.策略的发布与策略的强制执行标准答案:B10、【单项选择题】在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为
4、下列哪一个。OA.exec-timeout、10、0B.exec-timeout0、10C. idle-timeout10、0D. idle-timeout0、10标准答案:A11、【单项选择题】关于信息安全等级保护的实施意见中信息和信息系统安全保护等级的第三级的定义是OA.自主保护级B.指导保护级C.强制保护级D.监督保护级标准答案:D12、【单项选择题】当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:()A.满足并超过行业安全标准B.同意可以接受外部安全审查C.其服务和经验有很好的市场声誉D.符合组织的安全策略标准答案:D13、【单
5、项选择题】一个组织具有的大量分支机构且分布地理区域较广。以确保各方面的灾难恢复计划的评估,具有成本效益的方式,应建议使用:()A.数据恢复测试B.充分的业务测试C.前后测试D.预案测试标准答案:D14、【单项选择题】事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:()A.准备一抑制一检测一根除一恢复一跟进B.准备一检测一抑制一恢复一根除一跟进C.准备一检测一抑制一根除一恢复一跟进D.准备一抑制一根除一检测一恢复一跟进标准答案:C15、【单项选择题】授权访问信息资产的责任人应该是OA.资产保管员B.安全管理员C.资产所有人D.安全主管标准答案:C16、【单项选择题】以下哪一种局域网传输
6、媒介是最可靠的?OA.同轴电缆B.光纤C.双绞线(屏蔽)D.双绞线(非屏蔽)标准答案:B17、【单项选择题】BIBA模型基于两种规则来保障数据的完整性的保密性,分别是:()A.上读,主体不可读安全级别高于它的数据;下写,主体不可写安全级别低于它的数据B.下读,主体不可读安全级别高于它的数据;上写,主体不可写安全级别低于它的数据C.上读,主体不可读安全级别低于它的数据;下写,主体不可写安全级别高于它的数据D.下读,主体不可读安全级别低于它的数据;上写,主体不可写安全级别高于它的数据标准答案:D18、【单项选择题】()以下关于注册表子树用途描述错误的是哪个?A、KEY_LOCAL.MACHINE包
7、含了所有与本机有关的操作系统配置数据。B、HKEY.CURRENTJSER包含当前用户的交互式的数据。C、HKEY_CLASSES_R00T包含软件的配置信息。D、HKEY_USERS包含了活动的硬件标准答案:D19、【单项选择题】下列关于Kerberos的描述,哪一项是正确的?()A.埃及神话中的有三个头的狗。B.安全模型。C.远程身份验证拨入用户服务器。D.一个值得信赖的第三方认证协议。标准答案:D20.【单项选择题】以下哪项行为可能使用嗅探泄露系统的管理员密码?OA.使用root用户访问FTP程序B.使用root用户连接SSH服务C.使用root进行SCP文件传输D.在本地使用root用
8、户登录标准答案:A21、【单项选择题】信息安全管理手段不包括以下哪一项OA.技术B.流程C.人员D.市场标准答案:B22、【单项选择题】信息资产分级的最关键要素是OA.价值B.时间C.安全性D.所有者标准答案:A23、【单项选择题】下面对于强制访问控制的说法错误的是?OA.它可以用来实现完整性保护,也可以用来实现机密性保护B.在强制访问控制的系统中,用户只能定义客体的安全属性C.它在军方和政府等安全要求很高的地方应用较多D.它的缺点是使用中的便利性比较低标准答案:B24、【单项选择题】以下哪个模型主要用于金融机构信息系统的保护?OA. Chinesewall模型B. BIBA模型C. Clar
9、k-Wilson模型D. BMA模型标准答案:A25、【填空题】灾难恢复和容灾是O意思。标准答案:同一个本题解析:试题答案同一个26、【判断题】入侵检测技术能够识别来自外部用户的入侵行为和内部用户的未经授权活动。标准答案:对27、【单项选择题】以下发现属于Linux系统严重威胁的是什么?OA.发现不明的SUID可执行文件B.发现应用的配置文件被管理员变更C.发现有恶意程序在实时的攻击系统D.发现防护程序收集了很多黑客攻击的源地址标准答案:A28、【单项选择题】当曾经用于存放机密资料的PC在公开市场出售时OA.对磁盘进行消磁B.对磁盘低级格式化C.删除数据D.对磁盘重整标准答案:A29、【单项选
10、择题】企业信息安全事件的恢复过程中,以下哪个是最关键的?OA.数据B.应用系统C.通信链路D.硬件/软件标准答案:A30、【单项选择题】特洛伊木马攻击的危胁类型属于()A.授权侵犯威胁B.植入威胁C.渗入威胁D.破坏威胁31、【单项选择题】区别脆弱性评估和渗透测试是脆弱性评估OA.检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B.和渗透测试为不同的名称但是同一活动C.是通过自动化工具执行,而渗透测试是一种完全的手动过程D.是通过商业工具执行,而渗透测试是执行公共进程标准答案:A32、【单项选择题】在WindoWS操作系统下,由于()端口探测没有限制,能够让别人探
11、测到一些数据库信息,因此IPSeC过滤拒绝掉该端口的UDP通信,可以尽可能地隐藏你的SQLServeroA、 1434B、 1433C、 3305D、 3306标准答案:A33、【单项选择题】下面哪一个不是系统设计阶段风险管理的工作内容()A.安全技术选择B.软件设计风险控制C.安全产品选择D.安全需求分析标准答案:D34、单项选择题以下哪项活动对安全编码没有帮助()A.代码审计B.安全编码规范C.编码培训D.代码版本管理标准答案:D35、【单项选择题】NT/2K安全模型中哪个关键组件能够保证用户有权力访问某些特定的资源?OA.LONGON过程(LP)B.安全帐号管理(SAM)C.安全参考监控
12、器(SRM)D.本地安全授权(LSA.标准答案:C36、【单项选择题】变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()A.应该尽量追求效率,而没有任何的程序和核查的阻碍。B.应该将重点放在风险发生后的纠正措施上。C.应该很好的定义和实施风险规避的措施。D.如果是公司领导要求的,对变更过程不需要追踪和审查标准答案:C37、【单项选择题】下列哪一个是PKI体系中用以对证书进行访问的协议?OA. SSLB. 1.DAPC. CAD. IKE标准答案:B38、【单项选择题】戴明循环执行顺序,下面哪项正确?Oa.plan-act-do-checkB.CHECK-PLAN-ACT-DOC.
13、PLAN-DO-CHECK-ACTD.ACT-PLAN-CHECK-DO标准答案:C39、【单项选择题】在选择外部供货生产商时,评价标准按照重要性的排列顺序是:()1.供货商与信息系统部门的接近程度2 .供货商雇员的态度3 .供货商的信誉、专业知识、技术4 .供货商的财政状况和管理情况A. 4,3,1,2B. 3,4,2,1C. 3,2,4,1D. 1,2,3,440、【单项选择题】从业务角度出发,最大的风险可能发生在那个阶段()A.立项可行性分析阶段B.系统需求分析阶段C.架构设计和编码阶段D.投产上线阶段标准答案:A41、【填空题】蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器
14、上网,而不是通过()提供的线路上网。标准答案:正规的ISP本题解析:试题答案正规的ISP42、【单项选择题】密码出口政策最严格的是以下哪个国家?OA.法国B.美国C.爱尔兰D.新加坡标准答案:B43、问答题入侵检测系统分为哪几种,各有什么特点?标准答案:主机型入侵检测系统(HIDS),网络型入侵检测系统(N本题解析:试题答案主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。HIDS一般部署在下述四种情况下:1)网络带宽高太高无法进行网络监控2)网络带宽太低不能承受网络IDS的开销3)网络环境是高度交换且交换机上没有镜像端口4)不需要广泛的入侵检测HlDS往往以系统日志、应用程序日
15、志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。NIDS一般部署在比较重要的网段内,它不需要
16、改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。44、【单项选择题】企业的业务持续性计划中应该以记录以下内容的预定规则为基础OA.损耗的持续时间B.损耗的类型C.损耗的可能性D.损耗的原因标准答案:A45、【单项选择题】以下不是信息资产是哪一项?O
17、A.服务器B.机房空调C.鼠标垫D.U盘标准答案:C46、【单项选择题】广义的网络信息保密性是指OA、利用密码技术对信息进行加密处理,以防止信息泄漏和保护信息不为非授权用户掌握B、保证数据在传输、存储等过程中不被非法修改C、对数据的截获、篡改采取完整性标识的生成与检验技术D、保守国家机密,或是未经信息拥有者的许可,不得非法泄漏该保密信息给非授权人员标准答案:A47、【填空题】对信息的();();()的特性称为完整性保护。标准答案:防篡改;防删除;防插入本题解析:试题答案防篡改;防删除;防插入48、【单项选择题】对安全策略的描述不正确的是OA.信息安全策略(或者方针)是由组织的最高管理者正式制订
18、和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程B.策略应有一个属主,负责按复查程序维护和复查该策略C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;D.安全策略一旦建立和发布,则不可变更标准答案:D本题解析:暂无解析49、【单项选择题】那种测试结果对开发人员的影响最大OA.单元测试和集成测试B.系统测试C.验收测试D.渗透测试标准答案:C50、【单项选择题】以下关于风险评估的描述不正确的是?OA.作为风险评估的要素之一,威胁发生的可能需要被评估B.作为风险评估的要素之一,威胁发生后产生的影响需要被评估C.风险评估是风险管理的第一步D.风险评估是风险管理
19、的最终结果标准答案:D51、问答题密码的研究、生产、销售时哪个部门负责的?标准答案:商用密码技术属于国家秘密;国家密码管理机构主管全国的商本题解析:试题答案商用密码技术属于国家秘密;国家密码管理机构主管全国的商用密码管理工作。52、【单项选择题】以下哪项机制与数据处理完整性相关OA.数据库事务完整性机制B.数据库自动备份复制机制C.双机并行处理,并相互验证D.加密算法标准答案:D53、1多项选择题】期刊发表的周期有()。A.日刊B、周刊C、半月刊D、月刊E、旬刊标准答案:B,C,D,E54、【单项选择题】信息安全风险管理的最终责任人是?OA.决策层B.管理层C.执行层D.支持层标准答案:A55
20、、【单项选择题】下述攻击手段中不属于DOS攻击的是:()A. Smurf攻击B. 1.and攻击C. Teardrop攻击D. CGI溢出攻击标准答案:D56、【单项选择题】P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?()A.实时监控技术。B.访问控制技术。C.信息加密技术。D.身份认证技术。标准答案:A57、【单项选择题】下面哪一项不是主机型入侵检测系统的优点?OA.性能价格比高B.视野集中C.敏感细腻D.占资源少标准答案:D58、【单项选择题】为了防止物理上取走数据库而采取的加强数据库安全的方法是OA、数据加密B、数据库加密C、口令保护D、数据审计标准答案:B
21、59、【单项选择题】在TVindOWSNT/2K中,哪些成员可以修改新建文件或文件夹的默认共享设置?OA.域管理员B.域用户C.所有人D.管理员标准答案:D60、【单项选择题】网络安全一般是指网络系统的硬件、软件及其()受到保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。A、系统中的文件B、系统中的图片C、系统中的数据D、系统中的视频标准答案:C61、【单项选择题】有关人员安全管理的描述不正确的是?OA.人员的安全管理是企业信息安全管理活动中最难的环节。B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查。C.如职责分离难以实施,企业对此无能为
22、力,也无需做任何工作。D.人员离职之后,必须清除离职员工所有的逻辑访问帐号。标准答案:C62、【单项选择题】覆盖和消磁不用在对以下哪一种计算机存储器或存储媒介进行清空的过程?OA.随机访问存储器(RAM)B.只读存储器(ROM)C.磁性核心存储器D.磁性硬盘标准答案:B63、【单项选择题】包括了对整个应用程序、控制程序的逻辑和数据的逻辑合法性和合理性的审计方法是OA、设备安全的审计B、应用程序的审计C、系统操作的审计D、欺诈行为的审计标准答案:B64、【单项选择题】监视恶意代码主体程序是否正常的技术是?OA.进程守护B.备份文件C.超级权限D.HOOK技术标准答案:A65、【单项选择题】组织内
23、应急通知应主要采用以下哪种方式OA.电话B.电子邮件C.人员D.公司OA标准答案:A66、【单项选择题】设施、网络、平台、介质、应用类信息资产的保密期限为OA3年B.长期C.4月D.短期标准答案:B67、【单项选择题】测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:()A.由系统生成的信息跟踪到变更管理文档B.检查变更管理文档中涉及的证据的精确性和正确性C.由变更管理文档跟踪到生成审计轨迹的系统D.检查变更管理文档中涉及的证据的完整性标准答案:A68、【单项选择题】对于外部组织访问企业信息资产的过程中相关说法不正确的是?OA.为了信息资产更加安全,禁止外部组织人员访问信息资产。
24、B.应确保相关信息处理设施和信息资产得到可靠的安全保护。C.访问前应得到信息资产所有者或管理者的批准。D.应告知其所应当遵守的信息安全要求。标准答案:A69、【单项选择题】以下哪个不是信息安全项目的需求来源OA.国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志标准答案:D70、【单项选择题】“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面那种安全服务:()A.数据加密B.身份认证C.数据完整性D.访问控制标准答案:A71、【单项选择题】FTP使用哪个TCP端口?()A. 21B. 23C.
25、IlOD. 5标准答案:A72、【单项选择题】以下哪一项是已经被确认了的具有一定合理性的风险?OA.总风险B.最小化风险C.可接受风险D.残余风险标准答案:C73、【单项选择题】保护轮廓(PP)是下面哪一方提出的安全要求?OA.评估方B.开发方C.用户方D.制定标准方标准答案:C74、【单项选择题】由于独立的信息系统增加,一个国有房产公司要求在发生重大故障后,必须保证能够继续提供IT服务。需要实施哪个流程才能提供这种保证性?OA.可用性管理B. IT服务连续性管理C.服务级别管理D.服务管理标准答案:B75、【单项选择题】人员入职过程中,以下做法不正确的是?OA.入职中签署劳动合同及保密协议。
26、B.分配工作需要的最低权限。C.允许访问企业所有的信息资产。D.进行安全意思培训。标准答案:C76、【单项选择题】以下有关访问控制的描述不正确的是OA.口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理B.系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配C.单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;D.双因子认证(又称强认证)就是一个系统需要两道密码才能进入标准答案:D77、【单项选择题】下列哪一项是DOS攻击的一个
27、实例?()A.SQL注入B.IPSpoofC. Smurf攻击D.字典破解标准答案:C78、【单项选择题】组织内数据安全官的最为重要的职责是:()A.推荐并监督数据安全策略B.在组织内推广安全意识C.制定IT安全策略下的安全程序/流程D.管理物理和逻辑访问控制标准答案:A79、【单项选择题】某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?OA.电路级网关B.应用级网关C.会话层防火墙D.包过滤防火墙标准答案:D80、【单项选择题】下面哪一个不是系统运行维护阶段风险管理的工作内容()A.安全运行和管理B.安全测试C.变更管理D.风险再次评估标准
28、答案:B81、【单项选择题】在未受保护的通信线路上传输数据和使用弱口令是一种?OA.弱点B.威胁C.可能性D.影响标准答案:A82、【单项选择题】作为信息安全治理的成果,战略方针提供了:()A.企业所需的安全要求B.遵从最佳实务的安全基准C.日常化制度化的解决方案D.风险暴露的理解标准答案:A83、【单项选择题】下面安全套接字层协议(SSL)的说法错误的是?OA.它是一种基于web应用的安全协议B.由于SSL是内嵌在浏览器中的,无需安全客户端软件,所以相对于IPSeC更简单易用C.SSL与IPSeC一样都工作在网络层D.SSL可以提供身份认证、加密和完整性校验的功能标准答案:C84、【单项选择
29、题】BMA访问控制模型是基于OA.健康服务网络B. ARPANETC. ISPD. INTERNET标准答案:A85、【判断题】互联网不良信息泛滥的原因有多种,网络道德观念的缺乏属其中一种。标准答案:错86、【单项选择题】对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?OA.改进措施包括纠正和预防措施B.改进措施可由受审单位提出并实施C.不可以对体系文件进行更新或修改D.对改进措施的评价应该包括措施的有效性的分析标准答案:C87、【单项选择题】下面哪一个不是对点击劫持的描述OA.是一种恶意攻击技术,用于跟踪网络用户并获取私密信息B.通过让
30、用户来点击看似正常的网页来远程控制其电脑C.可以用嵌入代码或文本的形式出现,在用户毫不知情的情况下完成攻击D.可以对方网络瘫痪标准答案:D88、【判断题】口令复杂度应有要求,所以复杂的口令可以不用修改。标准答案:对89、【单项选择题】应急响应领导小组主要职责包括:()A.对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人财物)等;B.审核并批准应急响应计划;C.负责组织的外部协作工作D.组织应急响应计划演练标准答案:D90、【单项选择题】有关定性风险评估和定量风险评估的区别,以下描述不正确的是OA.定性风险评估比较主观,而定量风险评估更客观B.定性风险评估容易实施,定量风险评估往往
31、数据准确性很难保证C.定性风险评估更成熟,定量风险评估还停留在理论阶段D.定性风险评估和定量风险评估没有本质区别,可以通用标准答案:D91、【判断题】系统里的信息涉及国家秘密的信息系统,只要其中的涉密信息很少,就不算是涉密信息系统。标准答案:错92、【单项选择题】“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?OA.星型B.树型C.环型D.复合型标准答案:A93、【单项选择题】以下哪些不属于敏感性标识OA.不干贴方式B.印章方式C.电子标签D.个人签名标准答案:D94、【单项选择题】在进行风险分析的时候,发现预测可能造成的风险的经济
32、损失时有一定困难。为了评估潜在的损失,应该:()A.计算相关信息资产的摊销费用B.计算投资的回报C.应用定性的方法进行评估D.花费必要的时间去评估具体的损失的金额标准答案:C95、【单项选择题】不受限制的访问生产系统程序的权限将授予以下哪些人?OA.审计师B.不可授予任何人C.系统的属主。D.只有维护程序员标准答案:B96、【单项选择题】组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略?OA.应急计划B.远程办法C.计算机安全程序D.电子邮件个人隐私标准答案:C97、【单项选择题】建立ISMS的第一步是?OA.风险评估B.设计ISMS文档C.明确ISMS范围D.确定I
33、SMS策略标准答案:C98、【单项选择题】关于标准、指南、程序的描述,哪一项是最准确的?()A.标准是建议性的策略,指南是强制执行的策略B.程序为符合强制性指南的一般性建议C.程序是为符合强制性指南的一般性建议D.程序是为符合强制性标准的的说明标准答案:D99、【填空题】美国O政府提出来网络空间的安全战略。标准答案:布什切尼本题解析:试题答案布什切尼100、【单项选择题】在对业务持续性计划进行验证时,以下哪项最为重要()A.数据备份准时执行B.备份站点已签订合约,并且在需要时可以使用C.人员安全计划部署适当D.保险标准答案:CB卷:1、【单项选择题】在对业务持续性计划进行验证时,以下哪项最为重
34、要()A.数据备份准时执行B.备份站点已签订合约,并且在需要时可以使用C.人员安全计划部署适当D.保险标准答案:C2、【单项选择题】由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部DNS、主WEB服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件OA.特别重大事件B.重大事件C.较大事件D.一般事件标准答案:A3、【单项选择题】评估IT风险被很好的达到,可以通过:()A.评估IT资产和IT项目总共的威胁B.用公司的以前的真的损失经验来决定现在的弱点和威胁C.审查可比较的组织出版的损失数据D.一句审计拔高审查IT控制弱
35、点标准答案:A4、【单项选择题】下列哪一项关于Bell-LaPadula模型特点的描述是错误的?OA.强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱。B.既定义了主体对客体的访问,也说明了主体对主体的访问。因此,它适用于网络系统。C.它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点。D.比起那些较新的模型而言,Ben-LaPadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系。标准答案:B5、【单项选择题】()除了哪种特性之外,其他安全特性在Windows2000种都可以通过系统本身的工具来进行设置和控制?A、物理安全性B、
36、用户安全性C、文件安全性D入侵安全性标准答案:A6、【单项选择题】安全模型是用于精确和形式地描述信息系统的安全特征,解释系统安全相关行为。关于它的作用描述不正确的是?OA.准确的描述安全的重要方面与系统行为的关系。B.开发出一套安全性评估准则,和关键的描述变量。C.提高对成功实现关键安全需求的理解层次。D.强调了风险评估的重要性标准答案:D7、【单项选择题】处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?OA.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。C.在离开
37、组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎。标准答案:B8、【单项选择题】有关KerberoS说法下列哪项是正确的?OA.它利用公钥加密技术。B.它依靠对称密码技术。C.它是第二方的认证系统。D.票据授予之后将加密数据,但以明文方式交换密码标准答案:B9、【填空题】蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器上网,而不是通过O提供的线路上网。本题解析:试题答案正规的ISP10、【单项选择题】系统管理员属于?OA.决策层B.管理层C.执行层D.既可以划为管理层,又可以划为执行层标准答案
38、:C11、【判断题】著作权人仅仅指作者。标准答案:错12、【单项选择题】来自终端的电磁泄露风险,因为它们:()A.导致噪音污染B.破坏处理程序C.产生危险水平的电流D.可以被捕获并还原标准答案:D13、【单项选择题】下面哪一项不是安全编程的原则OA.尽可能使用高级语言进行编程B.尽可能让程序只实现需要的功能C.不要信任用户输入的数据D.尽可能考虑到意外的情况,并设计妥善的处理方法标准答案:A14、【单项选择题】RSA公开密钥密码体制的安全性主要基于以下哪个困难问题?OA.求合数模平方根的难题B.离散对数困难问题C.背包问题D.大数分解困难问题标准答案:D15、【单项选择题】当发生灾难时,以下哪
39、一项能保证业务交易的有效性OA.从当前区域外的地方持续每小时1次地传送交易磁带B.从当前区域外的地方持续每天1次地传送交易磁带C.抓取交易以整合存储设备D.从当前区域外的地方实时传送交易磁带标准答案:D16、【单项选择题】在客户/服务器系统中,安全方面的改进应首先集中在:()A.应用软件级B.数据库服务器级C.数据库级D.应用服务器级标准答案:C17、【单项选择题】以下谁具有批准应急响应计划的权利OA.应急委员会B.各部门C.管理层D.外部专家标准答案:C18、【单项选择题】下面哪一个不是系统规划阶段风险管理的工作内容()A.明确安全总体方针B.明确系统安全架构C.风险评价准则达成一致D.安全
40、需求分析标准答案:B19、【单项选择题】下面哪一项是恢复非关键系统的最合理方案?OA.温站B.移动站C.热站D.冷站标准答案:D20、【单项选择题】下列关于互惠原则说法不正确的是()。A、互惠原则是网络道德的主要原则之一B、网络信息交流和网络服务具有双向性C、网络主体只承担义务D、互惠原则本质上体现的是赋予网络主体平等与公正标准答案:C21、【判断题】专家评估是论文评价的主要方法之一。标准答案:对22、【单项选择题】密码出口政策最严格的是以下哪个国家?OA.法国B.美国C.爱尔兰D.新加坡标准答案:B23、【单项选择题】下面哪一个不是系统废弃阶段风险管理的工作内容()A.安全测试B.对废弃对象
41、的风险评估C.防止敏感信息泄漏D.人员培训标准答案:A24、【单项选择题】谁对组织的信息安全负最终责任?OA.安全经理B.高管层C.IT经理D.业务经理25、【单项选择题】以下哪一个协议是用于电子邮件系统的?OA. X.25B. X.75C. X.400D. X.500标准答案:C26、【填空题】思维定式O观察偏差的主观因素。27、【多项选择题】IPSeC通过O实现密钥交换、管理及安全协商。A. AHB. ESPC.ISKMP0akleyD.SKIP标准答案:C,D28、【单项选择题】以下选项中那一项是对信息安全风险采取的纠正机制?OA.访问控制B.入侵检测C.灾难恢复D.防病毒系统标准答案:
42、C29、【单项选择题】关于信息安全等级保护的实施意见中信息和信息系统安全保护等级的第三级的定义是O,自主保护级B.指导保护级C.强制保护级D.监督保护级标准答案:D30、【单项选择题】ISMS文档体系中第一层文件是?OA.信息安全方针政策B.信息安全工作程序C.信息安全作业指导书D.信息安全工作记录标准答案:A31、【单项选择题】信息分类是信息安全管理工作9IExam.org的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?OA.信息的价值B.信息的时效性C.信息的存储D.法律法规的规定标准答案:C32、【单项选择题】信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息
43、安全方面的建议?OA.相关安全信息的最佳实践和最新状态知识。B.尽早接受到关于攻击和脆弱点的警告、建议和补丁C.分享和交换关于新的技术、产品、威胁或脆弱点信息D.以上都是标准答案:D33、【单项选择题】如果出现IT人员和最终用户职责分工的问题,下面哪个选项是合适的补偿性控制?OA.限制物理访问计算机设备B.检查应用及事务处理日志C.在聘请IT人员之前进行背景检查D.在不活动的特定时间后,锁定用户会话标准答案:B34、【单项选择题】为了防止物理上取走数据库而采取的加强数据库安全的方法是OA、数据加密B、数据库加密C、口令保护D、数据审计标准答案:B35、【单项选择题】WindOWS组策略适用于O
44、A.SB. DC.0D.S、D、OU标准答案:D36、1多项选择题】威胁网络信息安全的软件因素有OA、外部不可抗力B、缺乏自主创新的信息核心技术C、网络信息安全意识淡薄D、网络信息管理存在问题标准答案:,B,C,D37、【判断题】科学观察可以分为直接观察和间接观察。标准答案:对38、【判断题】网络道德的本质是社会道德,是社会道德在网络领域中的新体现。标准答案:对39、【单项选择题】信息安全政策声明:“每个人必须在进入每一个控制门时,都必须读取自己的证件”,防范的是哪一种攻击方式?OA.尾随PiggybackingB.肩窥ShouldersurfingC. DumpsterdivingD.冒充Impersonation标准答案:A40、【单项选择题】安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中,注意到生产数据被用于测试环境测试,这种情况下存在哪种最有可能的潜在风险?OA.测试环境可能没有充足的控制确保数据的精确性B.测试环境可能由于使用生产数据而产生不精确的结果C.测试环境的硬件可能与生产环境的不同D.测试环境可能没有充分的访问控制以确保数据机密性标准答案:D