当前位置:91考试网 -> 考试题库

信息安全师考试:信息安全师考试试题及答案(题库版)
2021-01-27 00:33:25 来源:91考试网 作者:www.91exam.org 【
题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。

1、填空题  《计算机信息系统安全保护条例》规定,()主管全国计算机信息安全保护工作。


点击查看答案


2、单项选择题  下面对ISO27001的说法最准确的是:()

A.该标准的题目是信息安全管理体系实施指南
B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准
C.该标准提供了一组信息安全管理相关的控制措施和最佳实践
D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型


点击查看答案


3、单项选择题  关于网页中的恶意代码,下列说法错误的是:()

A.网页中的恶意代码只能通过IE浏览器发挥作用
B.网页中恶意代码可以修改系统注册表
C.网页中的恶意代码可以修改系统文件
D.网页中的恶意代码可以窃取用户的机密性文件


点击查看答案


4、填空题  灾难恢复和容灾是()意思。


点击查看答案


5、单项选择题  通常最好由谁来确定系统和数据的敏感性级别?()

A.审计师
B.终端用户
C.拥有者
D.系统分析员


点击查看答案


6、单项选择题  信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()

A.信息的价值
B.信息的时效性
C.信息的存储
D.法律法规的规定


点击查看答案


7、单项选择题  在评估一个高可用性网络的恢复能力时,下列情况风险最高:()

A.设备在地理位置上分散
B.网络服务器位于同一地点
C.热站就绪可以被激活
D.网络执行了不同行程


点击查看答案


8、单项选择题  某公司在测试灾难恢复计划时是发现恢复业务运营所必要的关键数据没有被保留,可能由于什么没有明确导致的?()

A.服务中断的时间间隔
B.目标恢复时间(RTO)
C.服务交付目标
D.目标恢复点(RPO)


点击查看答案


9、单项选择题  下面安全套接字层协议(SSL)的说法错误的是?()

A.它是一种基于web应用的安全协议
B.由于SSL是内嵌在浏览器中的,无需安全客户端软件,所以相对于IPSec更简单易用
C.SSL与IPSec一样都工作在网络层
D.SSL可以提供身份认证、加密和完整性校验的功能


点击查看答案


10、单项选择题  有关人员安全管理的描述不正确的是?()

A.人员的安全管理是企业信息安全管理活动中最难的环节。
B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查。
C.如职责分离难以实施,企业对此无能为力,也无需做任何工作。
D.人员离职之后,必须清除离职员工所有的逻辑访问帐号。


点击查看答案


11、单项选择题  在客户/服务器系统中,安全方面的改进应首先集中在:()

A.应用软件级
B.数据库服务器级
C.数据库级
D.应用服务器级


点击查看答案


12、单项选择题  下列对于蠕虫病毒的描述错误的是:()

A.蠕虫的传播无需用户操作
B.蠕虫会消耗内存或网络带宽,导致DOS
C.蠕虫的传播需要通过“宿主”程序或文件
D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成


点击查看答案


13、判断题  在网络安全技术中,防火墙是第二道防御屏障。


点击查看答案


14、单项选择题  当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:()

A.满足并超过行业安全标准
B.同意可以接受外部安全审查
C.其服务和经验有很好的市场声誉
D.符合组织的安全策略


点击查看答案


15、单项选择题  当选择的控制措施成本高于风险带来的损失时,应考虑()

A.降低风险
B.转移风险
C.避免风险
D.接受风险


点击查看答案


16、单项选择题  以下哪个选项是缺乏适当的安全控制的表现()

A.威胁
B.脆弱性
C.资产
D.影响


点击查看答案


17、单项选择题  对于信息安全策略的描述错误的是?()

A.信息安全策略是以风险管理为基础,需要做到面面俱到,杜绝风险的存在。
B.信息安全策略是在有限资源的前提下选择最优的风险管理对策。
C.防范不足会造成直接的损失;防范过多又会造成间接的损失。
D.信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡和取舍。


点击查看答案


18、单项选择题  企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:()

A.限制物理访问计算设备
B.检查事务和应用日志
C.雇用新IT员工之前进行背景调查
D.在双休日锁定用户会话


点击查看答案


19、单项选择题  下列有关密码学的说法中错误的是:()

A.密码学是研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学和密码分析学。
B.密码编码学是对密码体制、密码体制的输入输出关系进行分析,以便推出机密变量、包括明文在内的敏感数据。
C.密码分析学主要研究加密消息的破译或消息的伪造。
D.密码编码学主要研究对信息进行编码,实现对信息的隐蔽。


点击查看答案


20、单项选择题  下列关于互惠原则说法不正确的是()。

A、互惠原则是网络道德的主要原则之一
B、网络信息交流和网络服务具有双向性
C、网络主体只承担义务
D、互惠原则本质上体现的是赋予网络主体平等与公正


点击查看答案


21、填空题  未来影响电子商务发展的关键因素有();()。


点击查看答案


22、判断题  VLAN技术是基于应用层和网络层之间的隔离技术。


点击查看答案


23、单项选择题  以下哪些不属于敏感性标识()

A.不干贴方式
B.印章方式
C.电子标签
D.个人签名


点击查看答案


24、单项选择题  在软件开发的需求定义阶段,在软件测试方面,以下哪一个选项被制定?()

A.覆盖关键应用的测试数据
B.详细的安全测试计划
C.质量保证测试标准
D.用户验收测试标准


点击查看答案


25、单项选择题  输入参数过滤可以预防以下哪些攻击()

A.SQL注入、跨站脚本、缓冲区溢出
B.SQL注入、跨站脚本、DNS毒药
C.SQL注入、跨站请求伪造、网络窃听
D.跨站请求伪造、跨站脚本、DNS毒药


点击查看答案


26、单项选择题  通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:()

A.安全意识程序
B.非对称加密
C.入侵侦测系统
D.非军事区


点击查看答案


27、单项选择题  Chinese Wall模型的设计宗旨是:()

A.用户只能访问那些与已经拥有的信息不冲突的信息
B.用户可以访问所有信息
C.用户可以访问所有已经选择的信息
D.用户不可以访问那些没有选择的信息


点击查看答案


28、单项选择题  下列哪个为我国计算机安全测评机构()

A.CNITSEC
B.TCSEC
C.FC
D.CC


点击查看答案


29、单项选择题  SMTP连接服务器使用端口()

A.21
B.25
C.80
D.110


点击查看答案


30、单项选择题  在数据库的安全评估过程中,下面那项是指系统能够对付各种可能地攻击的能力。()

A、可行性
B、系统灵活性
C、用户地方便性
D、完整性


点击查看答案


31、填空题  计算机病毒可能在用户打开()文件时被启动。


点击查看答案


32、单项选择题  从目前的情况看,对所有的计算机系统来说,以下哪种威胁是最为严重的,可能造成巨大的损害?()

A.没有充分训练或粗心的用户
B.第三方
C.黑客
D.心怀不满的雇员


点击查看答案


33、单项选择题  下列哪种病毒能对计算机硬件产生破坏?()

A.CIH
B.CODERED
C.维金
D.熊猫烧香


点击查看答案


34、单项选择题  以下哪一种局域网传输媒介是最可靠的?()

A.同轴电缆
B.光纤
C.双绞线(屏蔽)
D.双绞线(非屏蔽)


点击查看答案


35、单项选择题  以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()

A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书


点击查看答案


36、填空题  在一个有多个防火墙存在的环境中,每个连接两个()的计算机或网络都是DMZ。


点击查看答案


37、单项选择题  一个组织已经创建了一个策略来定义用户禁止访问的网站类型。哪个是最有效的技术来达成这个策略?()

A.状态检测防火墙
B.网页内容过滤
C.网页缓存服务器
D.代理服务器


点击查看答案


38、单项选择题  下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的:()

A.服务器防毒软件
B.病毒墙
C.工作站防病毒软件
D.病毒库及时更新


点击查看答案


39、多项选择题  网络主体要提高自身的道德修养,要做到()方面。

A、提高自己的道德修养水平
B、提高自己的道德修养层次
C、提高自己的网络技术水平
D、坚决同不道德的网络行为作斗争


点击查看答案


40、单项选择题  在数据库系统中,()是信息系统的第一道屏障。

A、数据加密
B、数据库加密
C、口令保护
D、数据审计


点击查看答案


41、单项选择题  以下哪项不是信息安全的主要目标()

A.确保业务连续性
B.保护信息免受各种威胁的损害
C.防止黑客窃取员工个人信息
D.投资回报和商业机遇最大化


点击查看答案


42、单项选择题  特洛伊木马攻击的危胁类型属于()

A.授权侵犯威胁
B.植入威胁
C.渗入威胁
D.破坏威胁


点击查看答案


43、单项选择题  P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?()

A.实时监控技术。
B.访问控制技术。
C.信息加密技术。
D.身份认证技术。


点击查看答案


44、单项选择题  在实施风险分析期间,识别出威胁和潜在影响后应该()

A.识别和评定管理层使用的风险评估方法
B.识别信息资产和基本系统
C.揭示对管理的威胁和影响
D.识别和评价现有控制


点击查看答案


45、单项选择题  在准备灾难恢复计划时下列哪项应该首先实施?()

A.做出恢复策略
B.执行业务影响分析
C.明确软件系统、硬件和网络组件结构
D.委任具有明确的雇员、角色和层级的恢复团队


点击查看答案


46、单项选择题  在执行风险分析的时候,预期年度损失(ALE)的计算是:()

A.全部损失乘以发生频率
B.全部损失费用+实际替代费用
C.单次预期损失乘以发生频率
D.资产价值乘以发生频率


点击查看答案


47、单项选择题  以下对企业信息安全活动的组织描述不正确的是()

A.企业应该在组织内建立发起和控制信息安全实施的管理框架。
B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。
C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。
D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施


点击查看答案


48、填空题  大部分恶意网站所携带的病毒就是()病毒。


点击查看答案


49、单项选择题  以下哪一个不是OSI安全体系结构中的安全机制()

A.数字签名
B.路由控制
C.数据交换
D.抗抵赖


点击查看答案


50、填空题  美国()政府提出来网络空间的安全战略。


点击查看答案


51、单项选择题  系统工程是信息安全工程的基础学科,钱学森说:“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法,使一种对所有系统都具有普遍意义的科学方法”,下列哪项对系统工程的理解是正确的:()

A.系统工程是一种方法论
B.系统工程是一种技术实现
C.系统工程是一种基本理论
D.系统工程不以人参与系统为研究对象


点击查看答案


52、单项选择题  设施、网络、平台、介质、应用类信息资产的保密期限为()

A.3年
B.长期
C.4月
D.短期


点击查看答案


53、单项选择题  以下哪些不是应该识别的信息资产?()

A.网络设备
B.客户资料
C.办公桌椅
D.系统管理员


点击查看答案


54、多项选择题  威胁网络信息安全的软件因素有()

A、外部不可抗力
B、缺乏自主创新的信息核心技术
C、网络信息安全意识淡薄
D、网络信息管理存在问题


点击查看答案


55、问答题  入侵检测系统分为哪几种,各有什么特点?


点击查看答案


56、单项选择题  如果数据中心发生灾难,下列那一项完整恢复一个关键数据库的策略是最适合的?()

A.每日备份到磁带并存储到异地
B.实时复制到异地
C.硬盘镜像到本地服务器
D.实时数据备份到本地网格存储


点击查看答案


57、判断题  入侵检测技术能够识别来自外部用户的入侵行为和内部用户的未经授权活动。


点击查看答案


58、判断题  网络安全是一个关系国家主权、社会稳定、民族文化的继承和发扬的重要问题。


点击查看答案


59、单项选择题  下面哪一个不是脆弱性识别的手段()

A.人员访谈
B.技术工具检测
C.信息资产核查
D.安全专家人工分析


点击查看答案


60、单项选择题  下面哪一项不属于微软SDL的七个阶段之一?()

A.培训
B.需求
C.销售
D.验证


点击查看答案


61、单项选择题  ISMS文档体系中第一层文件是?()

A.信息安全方针政策
B.信息安全工作程序
C.信息安全作业指导书
D.信息安全工作记录


点击查看答案


62、单项选择题  黑客造成的主要危害是()

A.破坏系统、窃取信息及伪造信息
B.攻击系统、获取信息及假冒信息
C.进入系统、损毁信息及谣传信息
D.进入系统,获取信息及伪造信息


点击查看答案


63、单项选择题  以下对ISO27001标准的描述不正确的是()

A.企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
B.ISO27001标准与信息系统等级保护等国家标准相冲突
C.ISO27001是源自于英国的国家标准BS7799
D.ISO27001是当前国际上最被认可的信息安全管理标准


点击查看答案


64、单项选择题  以下谁具有批准应急响应计划的权利()

A.应急委员会
B.各部门
C.管理层
D.外部专家


点击查看答案


65、单项选择题  信息资产分级的最关键要素是()

A.价值
B.时间
C.安全性
D.所有者


点击查看答案


66、单项选择题  单位中下面几种人员中哪种安全风险最大?()

A.临时员工
B.外部咨询人员
C.现在对公司不满的员工
D.离职的员工


点击查看答案


67、单项选择题  以下哪项是组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动?()

A.反应业务目标的信息安全方针、目标以及活动;
B.来自所有级别管理者的可视化的支持与承诺;
C.提供适当的意识、教育与培训
D.以上所有


点击查看答案


68、单项选择题  一个组织的灾难恢复(DR,disasterrecovery)策略的变更时将公司的关键任务应用的恢复点目标(RPO)被缩短了,下述哪个是该变更的最显著风险?()

A.现有的DR计划没有更新以符合新的RPO
B.DR小组没有基于新的RPO进行培训
C.备份没有以足够的频率进行以实现新的RPO
D.该计划没有基于新的RPO进行测试


点击查看答案


69、多项选择题  法国对互联网的管理调控经历了()时期.

A、政府调控
B、调控
C、自由调控
D、共同调控


点击查看答案


70、单项选择题  处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?()

A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。
B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。
C.在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。
D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎。


点击查看答案


71、单项选择题  在完成了业务影响分析(BIA)后,下一步的业务持续性计划应该是什么()

A.测试和维护业务持续性计划
B.制定一个针对性计划
C.制定恢复策略
D.实施业务持续性计划


点击查看答案


72、单项选择题  在正常情况下,应急计划应该至少多久进行一次针对正确性和完整性的检查()

A.1年
B.2年
C.半年
D.5年


点击查看答案


73、单项选择题  从业务角度出发,最大的风险可能发生在那个阶段()

A.立项可行性分析阶段
B.系统需求分析阶段
C.架构设计和编码阶段
D.投产上线阶段


点击查看答案


74、单项选择题  评估IT风险被很好的达到,可以通过:()

A.评估IT资产和IT项目总共的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织出版的损失数据
D.一句审计拔高审查IT控制弱点


点击查看答案


75、单项选择题  第一个建立电子政务标准的国家是?()

A.英国
B.美国
C.德国
D.俄罗斯


点击查看答案


76、单项选择题  在企业内部互联网中,一个有效的安全控制机制是:()

A.复查
B.静态密码
C.防火墙
D.动态密码


点击查看答案


77、判断题  减速器的润滑方式,一般都采用油池润滑。()


点击查看答案


78、单项选择题  以下关于安全控制措施的选择,哪一个选项是错误的?()

A.维护成本需要被考虑在总体控制成本之内
B.最好的控制措施应被不计成本的实施
C.应考虑控制措施的成本效益
D.在计算整体控制成本的时候,应考虑多方面的因素


点击查看答案


79、单项选择题  下列哪一项最好地支持了24/7可用性?()

A.日常备份
B.离线存储
C.镜像
D.定期测试


点击查看答案


80、单项选择题  信安标委中哪个小组负责信息安全管理工作?()

A、WG1
B、WG5
C、WG7


点击查看答案


81、单项选择题  当审核一个组织的业务连续性计划时,某IS审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。有效性计划哪一个特性在这里被证明?()

A.防止
B.减轻
C.恢复
D.响应


点击查看答案


82、单项选择题  风险评估按照评估者的不同可以分为自评估和第三方评估,这两种评估方式最本质的差别是什么?()

A.评估结果的客观性
B.评估工具的专业程度
C.评估人员的技术能力
D.评估报告的形式


点击查看答案


83、单项选择题  实施逻辑访问安全时,以下哪项不是逻辑访问?()

A.用户ID。
B.访问配置文件。
C.员工胸牌。
D.密码。


点击查看答案


84、多项选择题  交换机可根据()来限制应用数据流的最大流量。

A.IP地址
B.网络连接数
C.协议
D.端口


点击查看答案


85、多项选择题  不同设VLAN之间要进行通信,可以通过()。

A、交换机
B、路由器
C、网闸
D、入侵检测
E、入侵防御系统


点击查看答案


86、判断题  对钱财的贪婪也是网络违法犯罪行为的原始动力。


点击查看答案


87、单项选择题  要很好的评估信息安全风险,可以通过:()

A.评估IT资产和IT项目的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织公开的损失统计
D.审查在审计报告中的可识别的IT控制缺陷


点击查看答案


88、多项选择题  我国现行的有关互联网安全的法律框架有以下()层面.

A、法律
B、行政法规
C、行政规章
D、司法解释


点击查看答案


89、单项选择题  以下对于IATF信息安全保障技术框架的说法错误的是:()

A、它由美国国家安全局公开发布
B、它的核心思想是信息安全深度防御(Defense-in-Depth)
C、它认为深度防御应当从策略、技术和运行维护三个层面来进行
D、它将信息系统保障的技术层面分为计算环境、区域边界、网络和基础设置和支撑性技术设施4个部分


点击查看答案


90、单项选择题  机构应该把信息系统安全看作:()

A.业务中心
B.风险中心
C.业务促进因素
D.业务抑制因素


点击查看答案


91、单项选择题  以下关于备份站点的说法哪项是正确的()

A.应与原业务系统具有同样的物理访问控制措施
B.应容易被找到以便于在灾难发生时以备紧急情况的需要
C.应部署在离原业务系统所在地较近的地方
D.不需要具有和原业务系统相同的环境监控等级


点击查看答案


92、单项选择题  发现一台被病毒感染的终端后,首先应:()

A.拔掉网线
B.判断病毒的性质、采用的端口
C.在网上搜寻病毒解决方法
D.呼叫公司技术人员


点击查看答案


93、单项选择题  默认情况下,SQLServer的监听端口是()。

A、1434
B、1433
C、3305
D、3306


点击查看答案


94、单项选择题  以下哪个进程不属于NFS服务器端的进程?()

A.statd
B.mountd
C.nfsd
D.Automounter


点击查看答案


95、单项选择题  ()通过注册表或者安全策略,限制匿名连接的目的是什么?

A、匿名连接会造成系统额外负担,影响性能
B、匿名连接影响网络效率
C、匿名连接能够探测SAM的帐号和组
D、匿名连接直接导致系统被他人远程控制


点击查看答案


96、单项选择题  默认情况下,Window2000域之间的信任关系有什么特点?()

A.只能单向,可以传递
B.只能单向,不可传递
C.可以双向,可以传递
D.可以双向,不可传递


点击查看答案


97、单项选择题  恢复阶段的行动一般包括()

A.建立临时业务处理能力
B.修复原系统损害
C.在原系统或新设施中恢复运行业务能力
D.避免造成更大损失


点击查看答案


98、单项选择题  下列对于基于角色的访问控制模型的说法错误的是?()

A.它将若干特定的用户集合与权限联系在一起
B.角色一般可以按照部门、岗位、工种等与实际业务紧密相关的类别来划分
C.因为角色的变动往往远远低于个体的变动,所以基于角色的访问控制维护起来比较便利
D.对于数据库系统的适应性不强,是其在实际使用中的主要弱点


点击查看答案


99、单项选择题  评估BCP时,下列哪一项应当最被关注:()

A.灾难等级基于受损功能的范围,而不是持续时间
B.低级别灾难和软件事件之间的区别不清晰
C.总体BCP被文档化,但详细恢复步骤没有规定
D.宣布灾难的职责没有被识别


点击查看答案


100、单项选择题  为了解决操作人员执行日常备份的失误,管理层要求系统管理员签字日常备份,这是一个风险....例子:()

A.防止
B.转移
C.缓解
D.接受


点击查看答案


101、单项选择题  变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()

A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
B.应该将重点放在风险发生后的纠正措施上。
C.应该很好的定义和实施风险规避的措施。
D.如果是公司领导要求的,对变更过程不需要追踪和审查


点击查看答案


102、单项选择题  以下哪一个是ITU的数字证书标准()

A.SSL
B.SHTTP
C.x.509
D.SOCKS


点击查看答案


103、单项选择题  外部组织使用组织敏感信息资产时,以下正确的做法是?()

A.确保使用者得到正确的信息资产。
B.与信息资产使用者签署保密协议。
C.告知信息资产使用的时间限制。
D.告知信息资产的重要性。


点击查看答案


104、单项选择题  在信息系统安全中,暴露由以下哪两种因素共同构成的?()

A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏


点击查看答案


105、单项选择题  “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面那种安全服务:()

A.数据加密
B.身份认证
C.数据完整性
D.访问控制


点击查看答案


106、单项选择题  某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()

A.报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
D.建议终止用户的活动日志能被定期审查


点击查看答案


107、单项选择题  当建立一个业务持续性计划时,使用下面哪一个工具用来理解组织业务流程?()

A.业务持续性自我评估
B.资源的恢复分析
C.风险评估和业务影响评估
D.差异分析


点击查看答案


108、判断题  专家评估是论文评价的主要方法之一。


点击查看答案


109、单项选择题  在对Linux系统中dir目录及其子目录进行权限权限统一调整时所使用的命令是什么?()

A.rm-fr-755/dir
B.ls-755/dir
C.chmod755/dir/*
D.chmod-R755/dir


点击查看答案


110、单项选择题  在互联网环境中,网络舆论的形成变得较为复杂,但大致遵循()模式。

A、新闻信息——舆论形成
B、民间舆论——新闻报道
C、产生话题——话题持续存活——形成网络舆论——网络舆论发展——网络舆论平息
D、产生话题——形成网络舆论——网络舆论平息


点击查看答案


111、单项选择题  下列哪一种密码算法是基于大数分解难题的?()

A.ECC
B.RSA
C.DES
D.Diffie-Hellman


点击查看答案


112、多项选择题  ()属于网络不诚信问题.

A、发布虚假信息,扩散小道消
B、网上恶搞、网络暴力、人肉搜索
C、境外的网络攻击
D、手机恶意程序


点击查看答案


113、单项选择题  Apache服务器对目录的默认访问控制是什么?()

A.“Deny” from “All”
B.Order Deny,“All”
C.Order Deny,Allow
D.“Allow” from“ All”


点击查看答案


114、单项选择题  2008年1月8日,布什以第54号国家安全总统令和第23号国土安全总统令的形式签署的文件是?()

A.国家网络安全战略。
B.国家网络安全综合计划。
C.信息基础设施保护计划。
D.强化信息系统安全国家计划。


点击查看答案


115、单项选择题  灾难性恢复计划(DRP)基于:()

A.技术方面的业务连续性计划
B.操作部分的业务连续性计划
C.功能方面的业务连续性计划
D.总体协调的业务连续性计划


点击查看答案


116、判断题  网络道德的本质是社会道德,是社会道德在网络领域中的新体现。


点击查看答案


117、单项选择题  开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为()

A.瀑布模型
B.净室模型
C.XP模型
D.迭代模型


点击查看答案


118、单项选择题  在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?()

A.外部代理商的处理应该接受一个来自独立代理进行的IS审计。
B.外部代理商的员工必须接受该组织的安全程序的培训。
C.来自外部代理商的任何访问必须限制在停火区(DMZ)
D.该组织应该进行风险评估,并制定和实施适当的控制。


点击查看答案


119、单项选择题  下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?()

A.虹膜检测技术
B.语音标识技术
C.笔迹标识技术
D.指纹标识技术


点击查看答案


120、单项选择题  根据PPDR模型:()

A.一个信息系统的安全保障体系应当以人为核心,防护、检测和恢复组成一个完整的、动态的循环
B.判断一个系统系统的安全保障能力,主要看安全策略的科学性与合理性,以及安全策略的落实情况
C.如果安全防护时间小于检测时间加响应时间,这该系统一定是不安全的
D.如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间


点击查看答案


121、单项选择题  我国信息安全事件分级分为以下哪些级别()

A.特别重大事件-重大事件-较大事件-一般事件
B.特别重大事件-重大事件-严重事件-较大事件-一般事件
C.特别严重事件-严重事件-重大事件-较大事件-一般事件
D.特别严重事件-严重事件-较大事件-一般事件


点击查看答案


122、单项选择题  以下哪些是信息资产无需明确的()

A.所有者
B.管理者
C.厂商
D.使用者


点击查看答案


123、单项选择题  自主性、自律性()和多元性都是网络道德的特点.

A、统一性
B、同一性
C、开放性
D、复杂性


点击查看答案


124、单项选择题  以下哪项是正确的信息安全保障发展历史顺序?()

A.通信安全→计算机安全→信息系统安全→信息安全保障→网络空间安全/信息安全保障
B.通信安全→信息安全保障→计算机安全→信息系统安全→网络空间安全/信息安全保障
C.计算机安全→通信安全→信息系统安全→信息安全保障→网络空间安全/信息安全保障
D.通信安全→信息系统安全→计算机安全→信息安全保障→网络空间安全/信息安全保障


点击查看答案


125、单项选择题  DNS查询(queries)工具中的DNS服务使用哪个端口?()

A.UDP 53
B.TCP 23
C.UDP 23
D.TCP 53


点击查看答案


126、单项选择题  ISO27004是指以下哪个标准()

A.《信息安全管理体系要求》
B.《信息安全管理实用规则》
C.《信息安全管理度量》
D.《ISMS实施指南》


点击查看答案


127、判断题  访问控制的主要作用是防止非法的主体进入受保护的网络资源,允许合法用户访问受保护的网络资源,允许合法的用户对受保护的网络资源进行非授权的访问。


点击查看答案


128、单项选择题  下面哪一项不是主机型入侵检测系统的优点?()

A.性能价格比高
B.视野集中
C.敏感细腻
D.占资源少


点击查看答案


129、单项选择题  以下哪项活动对安全编码没有帮助()

A.代码审计
B.安全编码规范
C.编码培训
D.代码版本管理


点击查看答案


130、单项选择题  较低的恢复时间目标(恢复时间目标)的会有如下结果:()

A.更高的容灾
B.成本较高
C.更长的中断时间
D.更多许可的数据丢失


点击查看答案


131、多项选择题  路由器可以通过()来限制带宽。

A.源地址
B.目的地址
C.用户
D.协议


点击查看答案


132、判断题  学术论文是学位申请者为申请学位而提交的具有一定学术价值的论文。


点击查看答案


133、填空题  APT攻击是一种“()”的攻击。


点击查看答案


134、单项选择题  在Linux操作系统中,为了授权用户具有管理员的某些个性需求的权限所采取的措施是什么?()

A.告诉其他用户root密码
B.将普通用户加入到管理员组
C.使用visudo命令授权用户的个性需求
D.创建单独的虚拟账户


点击查看答案


135、单项选择题  默认情况下Linux主机在机房托管期间被恶意用户进行了SSH远程的暴力破解,此时安全工程师需要拒绝其访问的源地址,应该使用那种方式查询其访问的记录?()

A.cat/var/log/secure
B.who
C.whoami
D.cat/etc/security/access.log


点击查看答案


136、单项选择题  系统要达到什么样的(),取决于系统所处理信息地重要程度、价值和敏感性。

A、可行性
B、系统灵活性
C、用户地方便性
D、完整性


点击查看答案


137、单项选择题  在NT中,哪个工具可以修改的全部注册表值?()

A.RegconF.exe
B.Regedit.exe
C.HivE.bat
D.Regedit32.exe


点击查看答案


138、单项选择题  ()下列哪个标准本身由两个部分组成,一部分是一组信息技术产品的安全功能需要定义,另一部分是对安全保证需求的定义?

A、可信任计算机系统评估标准(TCSEC)
B、信息技术安全评价准则(ITSEC)
C、信息技术安全评价联邦准则(FC)
D、CC标准


点击查看答案


139、单项选择题  在零传输(Zone transfers)中DNS服务使用哪个端口?()

A.TCP 53
B.UDP 53
C.UDP 23
D.TCP 23


点击查看答案


140、判断题  一次买断以后再版就不必再给作者支付稿费。


点击查看答案


141、多项选择题  网络安全审计系统一般包括()。

A.网络探测引擎
B.数据管理中心
C.审计中心
D.声光报警系统


点击查看答案


142、单项选择题  以下哪些不属于脆弱性范畴?()

A.黑客攻击
B.操作系统漏洞
C.应用程序BUG
D.人员的不良操作习惯


点击查看答案


143、单项选择题  以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?()

A.电路调整器Power line conditioners
B.电流浪涌防护装置A surge protective device
C.替代电源
D.不间断供电


点击查看答案


144、单项选择题  以下哪一项是已经被确认了的具有一定合理性的风险?()

A.总风险
B.最小化风险
C.可接受风险
D.残余风险


点击查看答案


145、单项选择题  管理评审的最主要目的是()

A.确认信息安全工作是否得到执行
B.检查信息安全管理体系的有效性
C.找到信息安全的漏洞
D.考核信息安全部门的工作是否满足要求


点击查看答案


146、单项选择题  在人力资源审计期间,安全管理体系内审员被告知在IT部门和人力资源部门中有一个关于期望的IT服务水平的口头协议。安全管理体系内审员首先应该做什么?()

A.为两部门起草一份服务水平协议
B.向高级管理层报告存在未被书面签订的协议
C.向两部门确认协议的内容
D.推迟审计直到协议成为书面文档


点击查看答案


147、填空题  政府系统信息安全检查指根据国家的相关要求,()主管部门牵头,公安、保密、安全等部门参加,对政府信息系统开展的联合检查。


点击查看答案


148、单项选择题  以下哪项不属于PDCA循环的特点?()

A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.组织中的每个部分,不包括个人,均可以PDCA循环,大环套小环,一层一层地解决问题


点击查看答案


149、判断题  科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。


点击查看答案


150、单项选择题  在信息系统安全中,风险由以下哪两种因素共同构成的?()

A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏


点击查看答案


151、单项选择题  以下哪个标准是ISO27001的前身标准?()

A.BS5750
B.BS7750
C.BS7799
D.BS15000


点击查看答案


152、单项选择题  当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?()

A.个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置


点击查看答案


153、单项选择题  企业从获得良好的信息安全管控水平的角度出发,以下哪些行为是适当的()

A.只关注外来的威胁,忽视企业内部人员的问题
B.相信来自陌生人的邮件,好奇打开邮件附件
C.开着电脑离开,就像离开家却忘记关灯那样
D.及时更新系统和安装系统和应用的补丁


点击查看答案


154、单项选择题  回顾组织的风险评估流程时应首先()

A.鉴别对于信息资产威胁的合理性
B.分析技术和组织弱点
C.鉴别并对信息资产进行分级
D.对潜在的安全漏洞效果进行评价


点击查看答案


155、单项选择题  一个公司解雇了一个数据库管理员,并且解雇时立刻取消了数据库管理员对公司所有系统的访问权,但是数据管理员威胁说数据库在两个月内将被删除,除非公司付他一大笔钱。数据管理员最有可能采用下面哪种手段删除数据库?()

A.放置病毒
B.蠕虫感染
C.DoS攻击
D.逻辑炸弹攻击


点击查看答案


156、单项选择题  应急响应领导小组组长应由以下哪个选项担任?()

A.最高管理层
B.信息技术部门领导
C.业务部门领导
D.外部专家


点击查看答案


157、单项选择题  下列哪一项准确地描述了可信计算基(TCB)?()

A.TCB只作用于固件(FirmwarE.
B.TCB描述了一个系统提供的安全级别
C.TCB描述了一个系统内部的保护机制
D.TCB通过安全标签来表示数据的敏感性


点击查看答案


158、单项选择题  FINGER服务使用哪个TCP端口?()

A.69
B.119
C.79
D.70


点击查看答案


159、单项选择题  路由器工作在OSI的哪一层()

A.传输层
B.数据链路层
C.网络层
D.应用层


点击查看答案


160、单项选择题  当你发送一条GRANT语句时,服务器会在()里创建一个记录项并把你用户名、主机名和口令记录在User、Host和Password列中。

A、db权限表
B、host权限表
C、table_priv权限表
D、user权限表


点击查看答案


161、单项选择题  P2DR模型强调了落实反应和系统安全的动态性,其中的“检测”使用的主要方法是?()

A.检测。
B.报警。
C.记录。
D.实时监控。


点击查看答案


162、单项选择题  组织与供应商协商服务水平协议,下面哪一个最先发生?()

A.制定可行性研究
B.检查是否符合公司策略
C.草拟服务水平协议
D.草拟服务水平要求


点击查看答案


163、单项选择题  包括了对整个应用程序、控制程序的逻辑和数据的逻辑合法性和合理性的审计方法是()

A、设备安全的审计
B、应用程序的审计
C、系统操作的审计
D、欺诈行为的审计


点击查看答案


164、填空题  ()是未来网络安全产品发展方向。


点击查看答案


165、单项选择题  关于安全策略的说法,不正确的是()

A.得到安全经理的审核批准后发布
B.应采取适当的方式让有关人员获得并理解最新版本的策略文档
C.控制安全策略的发布范围,注意保密
D.系统变更后和定期的策略文件评审和改进


点击查看答案


166、单项选择题  企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是()

A.不需要全体员工的参入,只要IT部门的人员参入即可
B.来自高级管理层的明确的支持和承诺
C.对企业员工提供必要的安全意识和技能的培训和教育
D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行


点击查看答案


167、单项选择题  年度损失值(ALE)的计算方法是什么()

A.ALE=ARO*AV
B.ALE=AV*SLE
C.“ALE=ARO*SLE"
D.ALE=AV*EF


点击查看答案


168、单项选择题  当发生灾难时,以下哪一项能保证业务交易的有效性()

A.从当前区域外的地方持续每小时1次地传送交易磁带
B.从当前区域外的地方持续每天1次地传送交易磁带
C.抓取交易以整合存储设备
D.从当前区域外的地方实时传送交易磁带


点击查看答案


169、单项选择题  以下哪些不是介质类资产:()

A.纸质文档
B.存储介质
C.软件介质
D.凭证


点击查看答案


170、单项选择题  以下哪个是数据库管理员(DBA)可以行使的职责?()

A.计算机的操作
B.应用程序开发
C.系统容量规划
D.应用程序维护


点击查看答案


171、单项选择题  在一份热站、温站或冷站协议中,协议条款应包含以下哪一项需考虑的事项()

A.具体的保证设施
B.订户的总数
C.同时允许使用设施的订户数量
D.涉及的其他用户


点击查看答案


172、填空题  信息安全人员管理中岗位安全考核主要是从()、()方面进行。


点击查看答案


173、单项选择题  人员入职过程中,以下做法不正确的是?()

A.入职中签署劳动合同及保密协议。
B.分配工作需要的最低权限。
C.允许访问企业所有的信息资产。
D.进行安全意思培训。


点击查看答案


174、单项选择题  下面对于强制访问控制的说法错误的是?()

A.它可以用来实现完整性保护,也可以用来实现机密性保护
B.在强制访问控制的系统中,用户只能定义客体的安全属性
C.它在军方和政府等安全要求很高的地方应用较多
D.它的缺点是使用中的便利性比较低


点击查看答案


175、单项选择题  下列关于Kerberos的描述,哪一项是正确的?()

A.埃及神话中的有三个头的狗。
B.安全模型。
C.远程身份验证拨入用户服务器。
D.一个值得信赖的第三方认证协议。


点击查看答案


176、单项选择题  安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全规则”?()

A.Biba模型中的不允许向上写
B.Biba模型中的不允许向下读
C.Bell-LaPadula模型中的不允许向下写
D.Bell-LaPadula模型中的不允许向上读


点击查看答案


177、单项选择题  那种测试结果对开发人员的影响最大()

A.单元测试和集成测试
B.系统测试
C.验收测试
D.渗透测试


点击查看答案


178、单项选择题  BS7799这个标准是由下面哪个机构研发出来的?()

A.美国标准协会
B.英国标准协会
C.中国标准协会
D.国际标准协会


点击查看答案


179、填空题  利用()已经成为了计算机病毒传播的一个发展趋势。


点击查看答案


180、判断题  互惠原则的核心内容是要求消除网络社会由于各种原因造成的网络主体间的交往不畅通、交往障碍。


点击查看答案


181、单项选择题  下面安全策略的特性中,不包括哪一项?()

A.指导性
B.静态性
C.可审核性
D.非技术性


点击查看答案


182、单项选择题  应急响应哪一个阶段用来降低事件再次发生的风险()

A.遏制
B.根除
C.跟踪
D.恢复


点击查看答案


183、填空题  我国于()年发布实施了《专利法》。


点击查看答案


184、判断题  统计推论目的是对整理出的数据进行加工概括,从多种角度显现大量资料所包含的数量特征和数量关系。


点击查看答案


185、单项选择题  ()用于发现攻击目标。

A.ping扫描
B.操作系统扫描
C.端口扫描
D.漏洞扫描


点击查看答案


186、单项选择题  ()是指事务在运行至正常终止前被中止,这时恢复子系统应利用日志文件撤销此事物已对数据库进行的修改。

A、系统故障
B、事故故障
C、介质故障
D、软件故障


点击查看答案


187、单项选择题  在TCP中的六个控制位哪一个是用来请求结束会话的()

A.SYN
B.ACK
C.FIN
D.RST


点击查看答案


188、单项选择题  ()的主要任务是指对数据库系统应用程序或用户使用资源的情况进行记录和审计,用以保证数据的安全。

A、数据库备份
B、数据库恢复
C、数据库审计
D、数据库转储


点击查看答案


189、单项选择题  在什么情况下,热站会作为一个恢复策略被执行?()

A.低灾难容忍度
B.高恢复点目标(RPO)
C.高恢复时间目标(RTO)
D.高灾难容忍度


点击查看答案


190、单项选择题  在信息处理设施(IPF)的硬件更换之后,业务连续性流程经理首先应该实施下列哪项活动?()

A.验证与热门站点的兼容性
B.检查实施报告
C.进行灾难恢复计划的演练
D.更新信息资产清单


点击查看答案


191、单项选择题  信息系统的价值确定需要与哪个部门进行有效沟通确定?()

A.系统维护部门
B.系统开发部门
C.财务部门
D.业务部门


点击查看答案


192、单项选择题  下面哪一个不是系统废弃阶段风险管理的工作内容()

A.安全测试
B.对废弃对象的风险评估
C.防止敏感信息泄漏
D.人员培训


点击查看答案


193、单项选择题  以下哪些不是网络类资产:()

A.网络设备
B.基础服务平台
C.网络安全设备
D.主干线路


点击查看答案


194、单项选择题  以下哪一个不是风险控制的主要方式()

A.规避方式
B.转移方式
C.降低方式
D.隔离方式


点击查看答案


195、单项选择题  维持对于信息资产的适当的安全措施的责任在于()

A.安全管理员
B.系统管理员
C.数据和系统的所有者
D.系统作业人员


点击查看答案


196、单项选择题  网络“抄袭”纠纷频发反映了()

A、互联网产业创新活力不足
B、互联网诚信缺失
C、互联网市场行为亟待规范
D、互联网立法工作的滞后


点击查看答案


197、单项选择题  中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务:()

A、为政府单位信息系统进行安全方案设计
B、在信息安全公司从事保安工作
C、在公开场合宣讲安全知识
D、在学校讲解信息安全课程


点击查看答案


198、单项选择题  为了预防逻辑炸弹,项目经理采取的最有效的措施应该是()

A.对每日提交的新代码进行人工审计
B.代码安全扫描
C.安全意识教育
D.安全编码培训教育


点击查看答案


199、单项选择题  下面对于标识和鉴别的解释最准确的是:()

A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B.标识用于区别不同的用户,而鉴别用于赋予用户权限
C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限


点击查看答案


200、单项选择题  ITSEC中的F1-F5对应TCSEC中哪几个级别?()

A.D到B2
B.C2到B3
C.C1到B3
D.C2到A1


点击查看答案


201、单项选择题  在进行人员的职责定义时,在信息安全方面应考虑什么因素?()

A.人员的背景、资质的可靠性
B.人员需要履行的信息安全职责
C.人员的工作能力
D.人员沟通、协调能力


点击查看答案


202、单项选择题  下面关于定性风险评估方法的说法正确的是()

A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
C.在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
D.定性风险分析提供了较好的成本效益分析


点击查看答案


203、单项选择题  对于信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保()

A.信息资产被过度保护
B.不考虑资产的价值,基本水平的保护都会被实施
C.对信息资产实施适当水平的保护
D.对所有信息资产保护都投入相同的资源


点击查看答案


204、判断题  新兴信息安全技术将成主流是信息安全技术发展趋势。


点击查看答案


205、单项选择题  ()关于Windows2000中的身份验证过程,下面哪种说法是错误的?

A、如果用户登录一个域,则Windows2000将把这些登录信息转交给域控制器处理。
B、如果用户登录本机,则Windows2000将把这些登录信息转交给域控制器处理。
C、如果用户登录一个域,则Windows2000利用域控制器含有的目录副本,验证用户的登录信息。
D、如果用户登录本机,则Windows2000利用本机的安全子系统含有的本机安全数据库,验证用户的登录信息。


点击查看答案


206、判断题  双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征。


点击查看答案


207、单项选择题  负责制定、执行和维护内部安全控制制度的责任在于:()

A.IS审计员
B.管理层
C.外部审计师
D.程序开发人员


点击查看答案


208、单项选择题  建立ISMS的第一步是?()

A.风险评估
B.设计ISMS文档
C.明确ISMS范围
D.确定ISMS策略


点击查看答案


209、填空题  对目前大量的数据备份来说,()是应用得最广的介质。


点击查看答案


210、单项选择题  下列生物识别设备,哪一项的交差错判率(CER)最高?()

A.虹膜识别设备
B.手掌识别设备
C.声音识别设备
D.指纹识别设备


点击查看答案


211、单项选择题  评估业务连续计划效果最好的方法是:()

A.使用适当的标准进行规划和比较
B.之前的测试结果
C.紧急预案和员工培训
D.环境控制和存储站点


点击查看答案


212、单项选择题  作为信息安全管理人员,你认为变更管理过程最重要的是?()

A.变更过程要留痕
B.变更申请与上线提出要经过审批
C.变更过程要坚持环境分离和人员分离原则
D.变更要与容灾预案同步


点击查看答案


213、单项选择题  ()在HKLM包含的子树中,哪个不能直接访问?配置的数据。

A、Security
B、Hardware
C、Software
D、System


点击查看答案


214、单项选择题  255.0.0.0是哪类网址的默认MASK?()

A.A类
B.B类
C.C类
D.D类


点击查看答案


215、单项选择题  干管灭火器系统使用()

A.水,但是只有在发现火警以后水才进入管道
B.水,但是水管中有特殊的防水剂
C.CO2代替水
D.哈龙代替水


点击查看答案


216、单项选择题  组织内应急通知应主要采用以下哪种方式()

A.电话
B.电子邮件
C.人员
D.公司OA


点击查看答案


217、单项选择题  以下哪项不属于造成信息安全问题的自然环境因素?()

A.纵火
B.地震
C.极端天气
D.洪水


点击查看答案


218、单项选择题  下列哪项不属于SSE-CMM中能力级别3“充分定义”级的基本内容:()

A.改进组织能力
B.定义标准过程
C.协调安全实施
D.执行已定义的过程


点击查看答案


219、单项选择题  安全策略体系文件应当包括的内容不包括()

A.信息安全的定义、总体目标、范围及对组织的重要性
B.对安全管理职责的定义和划分
C.口令、加密的使用是阻止性的技术控制措施;
D.违反安全策略的后果


点击查看答案


220、单项选择题  下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)?()

A.试运行
B.纸面测试
C.单元
D.系统


点击查看答案


221、单项选择题  下面哪种方法在数据中心灭火最有效并且是环保的?()

A.哈龙气体
B.湿管
C.干管
D.二氧化碳气


点击查看答案


222、单项选择题  对于Linux审计说法错误的是?()

A.Linux系统支持细粒度的审计操作
B.Linux系统可以使用自带的软件发送审计日志到SOC平台
C.Linux系统一般使用auditd进程产生日志文件
D.Linux在secure日志中登陆成功日志和审计日志是一个文件


点击查看答案


223、单项选择题  ISMS的内部审核员(非审核组长)的责任不包括?()

A.熟悉必要的文件和程序;
B.根据要求编制检查列表;
C.配合支持审核组长的工作,有效完成审核任务;
D.负责实施整改内审中发现的问题


点击查看答案


224、单项选择题  下列哪一项是首席安全官的正常职责?()

A.定期审查和评价安全策略
B.执行用户应用系统和软件测试与评价
C.授予或废除用户对IT资源的访问权限
D.批准对数据和应用系统的访问权限


点击查看答案


225、单项选择题  以下哪个与电子邮件系统没有直接关系?()

A.PEM
B.PGP
C.X.500
D.X.400


点击查看答案


226、单项选择题  一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为()

A.5000元
B.10000元
C.25000元
D.15000元


点击查看答案


227、填空题  在两个具有IrDA端口的设备之间(),中间不能有阻挡物。


点击查看答案


228、单项选择题  关于SSE-CMM的描述错误的是:()

A.1993年4月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B.SSE-CMM的能力级别分为6个级别。
C.SSE-CMM将安全工程过程划分为三类:风险、工程和保证。
D.SSE的最高能力级别是量化控制。


点击查看答案


229、单项选择题  为了防止物理上取走数据库而采取的加强数据库安全的方法是()

A、数据加密
B、数据库加密
C、口令保护
D、数据审计


点击查看答案


230、单项选择题  监视恶意代码主体程序是否正常的技术是?()

A.进程守护
B.备份文件
C.超级权限
D.HOOK技术


点击查看答案


231、单项选择题  有关认证和认可的描述,以下不正确的是()

A.认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B.根据对象的不同,认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D.企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求


点击查看答案


232、填空题  通常情况下()发现目标主机开哪些服务。


点击查看答案


233、单项选择题  射频识别(RFID)标签容易受到以下哪种风险?()

A.进程劫持
B.窃听
C.恶意代码
D.Phishing


点击查看答案


234、单项选择题  下列哪一项体现了适当的职责分离?()

A.磁带操作员被允许使用系统控制台。
B.操作员是不允许修改系统时间。
C.允许程序员使用系统控制台。
D.控制台操作员被允许装载磁带和磁盘。


点击查看答案


235、单项选择题  下列对“信息安全风险”的描述正确的是:()

A.是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险
B.是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险
C.是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险
D.是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险


点击查看答案


236、单项选择题  以下哪一个不是安全审计需要具备的功能?()

A.记录关键事件
B.提供可集中处理审计日志的数据形式
C.实时安全报警
D.审计日志访问控制


点击查看答案


237、单项选择题  下列哪一项是对信息系统经常不能满足用户需求的最好解释?()

A.没有适当的质量管理工具
B.经常变化的用户需求
C.用户参与需求挖掘不够
D.项目管理能力不强


点击查看答案


238、单项选择题  以下哪一种人给公司带来最大的安全风险?()

A.临时工
B.咨询人员
C.以前员工
D.当前员工


点击查看答案


239、单项选择题  一个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于()

A.冷站
B.温站
C.直线站点
D.镜像站点


点击查看答案


240、单项选择题  如何对信息安全风险评估的过程进行质量监控和管理?()

A.对风险评估发现的漏洞进行确认
B.针对风险评估的过程文档和结果报告进行监控和审查
C.对风险评估的信息系统进行安全调查
D.对风险控制测措施有有效性进行测试


点击查看答案


241、单项选择题  以下哪一个不是VLAN的划分方式()

A.根据TCP端口来划分
B.根据MAC地址来划分
C.根据IP组播划分
D."根据网络层划分"


点击查看答案


242、单项选择题  用于跟踪路由的命令是()

A.nestat
B.regedit
C.systeminfo
D.tracert


点击查看答案


243、单项选择题  以下标准内容为“信息安全管理体系要求”的是哪个?()

A.ISO27000
B.ISO27001
C.ISO27002
D.ISO27003


点击查看答案


244、单项选择题  如果恶意开发人员想在代码中隐藏逻辑炸弹,什么预防方式最有效?()

A.源代码周期性安全扫描
B.源代码人工审计
C.渗透测试
D.对系统的运行情况进行不间断监测记录


点击查看答案


245、单项选择题  以下哪一个是数据保护的最重要的目标?()

A.确定需要访问信息的人员
B.确保信息的完整性
C.拒绝或授权对系统的访问
D.监控逻辑访问


点击查看答案


246、单项选择题  事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:()

A.准备-抑制-检测-根除-恢复-跟进
B.准备-检测-抑制-恢复-根除-跟进
C.准备-检测-抑制-根除-恢复-跟进
D.准备-抑制-根除-检测-恢复-跟进


点击查看答案


247、单项选择题  当曾经用于存放机密资料的PC在公开市场出售时()

A.对磁盘进行消磁
B.对磁盘低级格式化
C.删除数据
D.对磁盘重整


点击查看答案


248、单项选择题  以下哪些不是可能存在的弱点问题?()

A.保安工作不得力
B.应用系统存在Bug
C.内部人员故意泄密
D.物理隔离不足


点击查看答案


249、单项选择题  某个机构的网络遭受多次入侵攻击,下面那一种技术可以提前检测到这种行为?()

A.杀毒软件
B.包过滤路由器
C.蜜罐
D.服务器加固


点击查看答案


250、单项选择题  在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?()

A.清除
B.净化
C.删除
D.破坏


点击查看答案


251、单项选择题  FTP使用哪个TCP端口?()

A.21
B.23
C.110
D.5


点击查看答案


252、单项选择题  风险评估的基本过程是怎样的?()

A.识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
B.通过以往发生的信息安全事件,找到风险所在
C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
D.风险评估并没有规律可循,完全取决于评估者的经验所在


点击查看答案


253、单项选择题  管理者何时可以根据风险分析结果对已识别风险不采取措施()

A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时
D.不可接受


点击查看答案


254、单项选择题  下列哪一个是PKI体系中用以对证书进行访问的协议?()

A.SSL
B.LDAP
C.CA
D.IKE


点击查看答案


255、单项选择题  以下哪组全部都是多边安全模型?()

A.BLP模型和BIBA模型
B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BMA模型
D.Clark-Wilson模型和Chinese wall模型


点击查看答案


256、单项选择题  以下哪项不是记录控制的要求?()

A.清晰、易于识别和检索
B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
C.建立并保持,以提供证据
D.记录应尽可能的达到最详细


点击查看答案


257、单项选择题  信息的存在及传播方式()

A.存在于计算机、磁带、纸张等介质中
B.记忆在人的大脑里
C.通过网络打印机复印机等方式进行传播
D.通过投影仪显示


点击查看答案


258、单项选择题  以下哪种为丢弃废旧磁带前的最佳处理方式?()

A.复写磁带
B.初始化磁带卷标
C.对磁带进行消磁
D.删除磁带


点击查看答案


259、单项选择题  TACACS使用哪个端口?()

A.TCP 69
B.TCP 49
C.UDP 69
D.UDP 49


点击查看答案


260、单项选择题  作为信息安全治理的成果,战略方针提供了:()

A.企业所需的安全要求
B.遵从最佳实务的安全基准
C.日常化制度化的解决方案
D.风险暴露的理解


点击查看答案


261、判断题  安装入侵检测软件不会帮助减少收到的垃圾邮件数量。


点击查看答案


262、单项选择题  信息安全政策声明:“每个人必须在进入每一个控制门时,都必须读取自己的证件”,防范的是哪一种攻击方式?()

A.尾随Piggybacking
B.肩窥Shoulder surfing
C.Dumpster diving
D.冒充Impersonation


点击查看答案


263、单项选择题  给计算机系统的资产分配的记号被称为什么()

A.安全属性
B.安全特征
C.安全标记
D.安全级别


点击查看答案


264、单项选择题  下列哪项是用于降低风险的机制()

A.安全和控制实践
B.财产和责任保险
C.审计与认证
D.合同和服务水平协议


点击查看答案


265、单项选择题  信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行,下面哪项包括非典型的安全协调应包括的人员?()

A.管理人员、用户、应用设计人员
B.系统运维人员、内部审计人员、安全专员
C.内部审计人员、安全专员、领域专家
D.应用设计人员、内部审计人员、离职人员


点击查看答案


266、单项选择题  一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息,他可能窃取这些信息卖给公司的竞争对手,如何控制这个风险()

A.开除这名职员
B.限制这名职员访问敏感信息
C.删除敏感信息
D.将此职员送公安部门


点击查看答案


267、单项选择题  下面哪一个不是系统规划阶段风险管理的工作内容()

A.明确安全总体方针
B.明确系统安全架构
C.风险评价准则达成一致
D.安全需求分析


点击查看答案


268、单项选择题  在计算可接受的关键业务流程恢复时间时()

A.只需考虑停机时间的成本
B.需要分析恢复操作的成本
C.停机时间成本和恢复操作成本都需要考虑
D.可以忽略间接的停机成本


点击查看答案


269、单项选择题  下列哪一种情况会损害计算机安全策略的有效性?()

A.发布安全策略时
B.重新检查安全策略时
C.测试安全策略时
D.可以预测到违反安全策略的强制性措施时


点击查看答案


270、单项选择题  减少与钓鱼相关的风险的最有效控制是:()

A.系统的集中监控
B.钓鱼的信号包括在防病毒软件中
C.在内部网络上发布反钓鱼策略
D.对所有用户进行安全培训


点击查看答案


271、单项选择题  风险评估和管理工具通常是指什么工具()

A.漏洞扫描工具
B.入侵检测系统
C.安全审计工具
D.安全评估流程管理工具


点击查看答案


272、多项选择题  IPSec通过()实现密钥交换、管理及安全协商。

A.AH
B.ESP
C.ISAKMP/Oakley
D.SKIP


点击查看答案


273、单项选择题  以下对信息安全问题产生的根源描述最准确的是:()

A.信息安全问题是由于信息技术的不断发展造成的
B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的
C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏


点击查看答案


274、判断题  网络社会具有先进性、开放性、自由性、虚假性等特点。


点击查看答案


275、单项选择题  在WindowsNT/2K中,哪些成员可以修改新建文件或文件夹的默认共享设置?()

A.域管理员
B.域用户
C.所有人
D.管理员


点击查看答案


276、单项选择题  在招聘过程中,如果在岗位人员的背景调查中出现问题时,以下做法正确的是?()

A.继续执行招聘流程。
B.停止招聘流程,取消应聘人员资格。
C.与应聘人员沟通出现的问题。
D.再进行一次背景调查。


点击查看答案


277、单项选择题  在一个业务继续计划的模拟演练中,发现报警系统严重受到设施破坏。下列选项中,哪个是可以提供的最佳建议:()

A.培训救护组如何使用报警系统
B. 报警系统为备份提供恢复
C.建立冗余的报警系统
D.把报警系统存放地窖里


点击查看答案


278、单项选择题  管理体系审计员进行通信访问控制审查,首先应该关注:()

A.维护使用各种系统资源的访问日志
B.在用户访问系统资源之前的授权和认证
C.通过加密或其他方式对存储在服务器上数据的充分保护
D.确定是否可以利用终端系统资源的责任制和能力.


点击查看答案


279、单项选择题  测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:()

A.由系统生成的信息跟踪到变更管理文档
B.检查变更管理文档中涉及的证据的精确性和正确性
C.由变更管理文档跟踪到生成审计轨迹的系统
D.检查变更管理文档中涉及的证据的完整性


点击查看答案


280、判断题  我国网络安全防御工程建设还有待加强就是因为我国国家级投入相对较少。


点击查看答案


281、填空题  信息安全策略的基本原则是()


点击查看答案


282、单项选择题  下列哪项是私有IP地址?()

A.10.5.42.5
B.172.76.42.5
C.172.90.42.5
D.241.16.42.5


点击查看答案


283、单项选择题  数字证书在International Telecommunications Union(ITU)的哪个标准中定义的?()

A.X.400
B.X.25
C.X.12
D.X.509


点击查看答案


284、单项选择题  ()在信息安全的服务中,访问控制的作用是什么?

A、如何确定自己的身份,如利用一个带有密码的用户帐号登录
B、赋予用户对文件和目录的权限
C、保护系统或主机上的数据不被非认证的用户访问
D、提供类似网络中“劫持”这种手段的攻击的保护措施


点击查看答案


285、单项选择题  下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?()

A.完整性控制的需求是基于风险分析的结果
B.控制已经过了测试
C.安全控制规范是基于风险分析的结果
D.控制是在可重复的基础上被测试的


点击查看答案


286、单项选择题  一名攻击者试图通过暴力攻击来获取下列哪一项信息?()

A.加密密钥
B.加密算法
C.公钥
D.密文


点击查看答案


287、单项选择题  通常情况下,怎样计算风险?()

A.将威胁可能性等级乘以威胁影响就得出了风险。
B.将威胁可能性等级加上威胁影响就得出了风险。
C.用威胁影响除以威胁的发生概率就得出了风险。
D.用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。


点击查看答案


288、单项选择题  在评估逻辑访问控制时,应该首先做什么()

A.把应用在潜在访问路径上的控制项记录下来
B.在访问路径上测试控制来检测是否他们具功能化
C.按照写明的策略和实践评估安全环境
D.对信息流程的安全风险进行了解


点击查看答案


289、单项选择题  风险分析的目标是达到:()

A、风险影响和保护性措施之间的价值平衡
B、风险影响和保护性措施之间的操作平衡
C、风险影响和保护性措施之间的技术平衡
D、风险影响和保护性措施之间的逻辑平衡


点击查看答案


290、单项选择题  在检查IT安全风险管理程序,安全风险的测量应该()

A.列举所有的网络风险
B.对应IT战略计划持续跟踪
C.考虑整个IT环境
D.识别对(信息系统)的弱点的容忍度的结果


点击查看答案


291、判断题  任何话题只有积累了足够数量或者分量的帖子,才能体现这种持续关注度。


点击查看答案


292、判断题  根据《儿童互联网保护法》,美国的公共图书馆都必须给联网计算机安装^色 情过滤系统,否则图书馆将无法获得政府提供的技术补助资金。


点击查看答案


293、单项选择题  作为美国政府()认证的要求,SQLServer2000内置了审计机制,这个机制包含了多个组件,综合利用这些组件将可以审计SQLServer2000所有的权限使用。

A、B1级
B、B2级
C、C1级
D、C2级


点击查看答案


294、单项选择题  渗透测试作为网络安全评估的一部分()

A.提供保证所有弱点都被发现
B.在不需要警告所有组织的管理层的情况下执行
C.找到存在的能够获得未授权访问的漏洞
D.在网络边界上执行不会破坏信息资产


点击查看答案


295、填空题  蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器上网,而不是通过()提供的线路上网。


点击查看答案


296、单项选择题  信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息安全方面的建议?()

A.相关安全信息的最佳实践和最新状态知识。
B.尽早接受到关于攻击和脆弱点的警告、建议和补丁
C.分享和交换关于新的技术、产品、威胁或脆弱点信息
D.以上都是


点击查看答案


297、多项选择题  下列符合我国网络舆论特点的是()。

A、参与主体的广泛化与复杂化
B、互动参与性
C、时效性
D、监督性


点击查看答案


298、单项选择题  以下哪一种身份验证机制为移动用户带来验证问题?()

A.可重复使用的密码机制
B.一次性口令机制。
C.挑战响应机制。
D.基于IP地址的机制


点击查看答案


299、单项选择题  当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员无需查看:()

A.访问控制列表
B.系统服务配置情况
C.审计记录
D.用户帐户和权限的设置


点击查看答案


300、单项选择题  建立应急响应计划最重要的是()

A.业务影响分析
B.测试及演练
C.各部门的参与
D.管理层的支持


点击查看答案


题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
】【打印繁体】 【关闭】 【返回顶部
下一篇百科知识竞赛:百科知识竞赛考试..

相关栏目

问题咨询请搜索关注"91考试网"微信公众号后留言咨询