当前位置:91考试网 -> 考试题库

信息安全师考试:信息安全师考试试题及答案(强化练习)
2023-04-01 03:33:14 来源:91考试网 作者:www.91exam.org 【
题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。

1、填空题  计算机病毒可能在用户打开()文件时被启动。


点击查看答案


2、单项选择题  根据SSE-CMM以下哪一项不是在安全工程过程中实施安全控制时需要做的?()

A.获得用户对安全需求的理解
B.建立安全控制的职责
C.管理安全控制的配置
D.进行针对安全控制的教育培训


点击查看答案


3、单项选择题  我国的信息安全保障基本原则是?()

A.正确处理安全与发展的关系,以安全保发展,在发展中求安全。
B.立足国情,以我为主,坚持管理与技术并重。
C.强化未来安全环境,增强研究、开发和教育以及投资先进的技术来构建将来的环境。
D.明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。


点击查看答案


4、单项选择题  下列哪种病毒能对计算机硬件产生破坏?()

A.CIH
B.CODERED
C.维金
D.熊猫烧香


点击查看答案


5、单项选择题  黑客进行攻击的最后一个步骤是:()

A.侦查与信息收集
B.漏洞分析与目标选定
C.获取系统权限
D.打扫战场、清楚证据


点击查看答案


6、填空题  我国于()年发布实施了《专利法》。


点击查看答案


7、单项选择题  我国信息安全事件分级不考虑下列哪一个要素?()

A.信息系统的重要程度
B.系统损失
C.社会影响
D.业务损失


点击查看答案


8、单项选择题  以下有关访问控制的描述不正确的是()

A.口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理
B.系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配
C.单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;
D.双因子认证(又称强认证)就是一个系统需要两道密码才能进入


点击查看答案


9、单项选择题  ()默认情况下,所有用户对新创建的文件共享有什么权限?

A、读取
B、完全控制
C、写入
D、修改


点击查看答案


10、单项选择题  下面哪一项不属于微软SDL的七个阶段之一?()

A.培训
B.需求
C.销售
D.验证


点击查看答案


11、单项选择题  下面哪一个不是高层安全方针所关注的()

A.识别关键业务目标
B.定义安全组织职责
C.定义安全目标
D.定义防火墙边界防护策略


点击查看答案


12、单项选择题  下列哪个为我国计算机安全测评机构()

A.CNITSEC
B.TCSEC
C.FC
D.CC


点击查看答案


13、单项选择题  有关人员安全管理的描述不正确的是?()

A.人员的安全管理是企业信息安全管理活动中最难的环节。
B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查。
C.如职责分离难以实施,企业对此无能为力,也无需做任何工作。
D.人员离职之后,必须清除离职员工所有的逻辑访问帐号。


点击查看答案


14、单项选择题  实施逻辑访问安全时,以下哪项不是逻辑访问?()

A.用户ID。
B.访问配置文件。
C.员工胸牌。
D.密码。


点击查看答案


15、单项选择题  CA的核心职责是()

A.签发和管理证书
B.审核用户真实信息
C.发布黑名单
D.建立实体链路安全


点击查看答案


16、单项选择题  一个组织的灾难恢复(DR,disasterrecovery)策略的变更时将公司的关键任务应用的恢复点目标(RPO)被缩短了,下述哪个是该变更的最显著风险?()

A.现有的DR计划没有更新以符合新的RPO
B.DR小组没有基于新的RPO进行培训
C.备份没有以足够的频率进行以实现新的RPO
D.该计划没有基于新的RPO进行测试


点击查看答案


17、单项选择题  下面哪项是信息安全管理体系中CHECK(检查)中的工作内容?()

A.按照计划的时间间隔进行风险评估的评审
B.实施所选择的控制措施
C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训
D.确保改进达到了预期目标


点击查看答案


18、单项选择题  下面哪一项不是安全编程的原则()

A.尽可能使用高级语言进行编程
B.尽可能让程序只实现需要的功能
C.不要信任用户输入的数据
D.尽可能考虑到意外的情况,并设计妥善的处理方法


点击查看答案


19、单项选择题  业务影响分析的主要目的是:()

A.在灾难之后提供一个恢复行动的计划
B.识别能够影响组织运营持续性的事件
C.公布组织对物理和逻辑安全的义务
D.提供一个有效灾难恢复计划的框架


点击查看答案


20、单项选择题  TCP三次握手协议的第一步是发送一个:()

A.SYN包
B.ACK包
C.UDP包
D.null包


点击查看答案


21、单项选择题  某公司的在实施一个DRP项目,项目按照计划完成后。聘请了专家团队进行评审,评审过程中发现了几个方而的问题,以下哪个代表最大的风险()

A.没有执行DRP测试
B.灾难恢复策略没有使用热站进行恢复
C.进行了BIA,但其结果没有被使用
D.灾难恢复经理近期离开了公司


点击查看答案


22、单项选择题  由于独立的信息系统增加,一个国有房产公司要求在发生重大故障后,必须保证能够继续提供IT服务。需要实施哪个流程才能提供这种保证性?()

A.可用性管理
B.IT服务连续性管理
C.服务级别管理
D.服务管理


点击查看答案


23、单项选择题  DNS查询(queries)工具中的DNS服务使用哪个端口?()

A.UDP 53
B.TCP 23
C.UDP 23
D.TCP 53


点击查看答案


24、单项选择题  下面关于定性风险评估方法的说法不正确的是()

A.易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
B.主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
C."耗时短、成本低、可控性高"
D.能够提供量化的数据支持,易被管理层所理解和接受


点击查看答案


25、判断题  VLAN技术是基于应用层和网络层之间的隔离技术。


点击查看答案


26、问答题  IPSEC Vpn不包括哪个协议?


点击查看答案


27、单项选择题  “配置管理”是系统工程中的重要概念,它在软件工程和信息安全工程中得到了广泛的应用,下列对于“配置管理”的解释最准确的是?()

A.配置管理的本质是变更流程管理
B.配置管理是一个对系统(包括软件、硬件、文档、测试设备、开发/维护设备)的所有变化进行控制的过程
C.管理配置是对信息系统的技术参数进行管理
D.管理配置是对系统基线和源代码的版本进行管理


点击查看答案


28、单项选择题  下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?()

A.虹膜检测技术
B.语音标识技术
C.笔迹标识技术
D.指纹标识技术


点击查看答案


29、单项选择题  以下哪一项是两家公司为灾难恢复签订互惠协议而面临的最大风险?()

A.各自的发展将导致(互相间)软硬件不兼容。
B.当需要时资源未必可用。
C.恢复计划无法演练。
D.各家公司的安全基础架构可能不同。


点击查看答案


30、单项选择题  下列哪一个是国家推荐标准()

A.GB/T18020-1999
B.SJ/T30003-93
C.ISO/IEC15408
D.GA243-2000


点击查看答案


31、单项选择题  一个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于()

A.冷站
B.温站
C.直线站点
D.镜像站点


点击查看答案


32、单项选择题  某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?()

A.电路级网关
B.应用级网关
C.会话层防火墙
D.包过滤防火墙


点击查看答案


33、单项选择题  下列几个OSI层中,哪一层能够提供访问控制服务?()

A.传输层
B.表示层
C.会话层
D.数据链路层


点击查看答案


34、判断题  传播网络病毒,恶意进行网络攻击不属于网络不诚信问题的表现。


点击查看答案


35、单项选择题  在评估一个高可用性网络的恢复能力时,下列情况风险最高:()

A.设备在地理位置上分散
B.网络服务器位于同一地点
C.热站就绪可以被激活
D.网络执行了不同行程


点击查看答案


36、单项选择题  下列关于访问控制模型说法不准确的是?()

A.访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制。
B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问。
C.基于角色的访问控制RBAC中“角色”通常是根据行政级别来定义的。
D.强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策。


点击查看答案


37、单项选择题  信息资产分级的最关键要素是()

A.价值
B.时间
C.安全性
D.所有者


点击查看答案


38、填空题  ()是密码学发展史上唯一一次真正的革命。


点击查看答案


39、单项选择题  下面哪一个不是系统废弃阶段风险管理的工作内容()

A.安全测试
B.对废弃对象的风险评估
C.防止敏感信息泄漏
D.人员培训


点击查看答案


40、单项选择题  组织的灾难恢复计划应该:()

A.减少恢复时间,降低恢复费用
B.增加恢复时间,提高恢复费用
C.减少恢复的持续时间,提高恢复费用
D.对恢复时间和费用都不影响


点击查看答案


41、单项选择题  自主性、自律性()和多元性都是网络道德的特点.

A、统一性
B、同一性
C、开放性
D、复杂性


点击查看答案


42、单项选择题  20世纪70-90年代,信息安全所面临的威胁主要是非法访问、恶意代码和脆弱口令等,请问这是信息安全发展的什么阶段?()

A.通信安全。
B.计算机安全。
C.信息系统安全。
D.信息安全保障。


点击查看答案


43、单项选择题  在对业务持续性计划进行验证时,以下哪项最为重要()

A.数据备份准时执行
B.备份站点已签订合约,并且在需要时可以使用
C.人员安全计划部署适当
D.保险


点击查看答案


44、单项选择题  要很好的评估信息安全风险,可以通过:()

A.评估IT资产和IT项目的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织公开的损失统计
D.审查在审计报告中的可识别的IT控制缺陷


点击查看答案


45、单项选择题  信息系统审核员应该预期谁来授权对生产数据和生产系统的访问?()

A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者


点击查看答案


46、单项选择题  在软件程序测试的哪个阶段一个组织应该进行体系结构设计测试?()

A.可接受性测试
B.系统测试
C.集成测试
D.单元测试


点击查看答案


47、单项选择题  在零传输(Zone transfers)中DNS服务使用哪个端口?()

A.TCP 53
B.UDP 53
C.UDP 23
D.TCP 23


点击查看答案


48、单项选择题  以下哪些不是介质类资产:()

A.纸质文档
B.存储介质
C.软件介质
D.凭证


点击查看答案


49、单项选择题  以下哪一个是对于参观者访问数据中心的最有效的控制?()

A.陪同参观者
B.参观者佩戴证件
C.参观者签字
D.参观者由工作人员抽样检查


点击查看答案


50、单项选择题  某个机构的网络遭受多次入侵攻击,下面那一种技术可以提前检测到这种行为?()

A.杀毒软件
B.包过滤路由器
C.蜜罐
D.服务器加固


点击查看答案


51、单项选择题  下列角色谁应该承担决定信息系统资源所需的保护级别的主要责任?()

A.信息系统安全专家
B.业务主管
C.安全主管
D.系统审查员


点击查看答案


52、单项选择题  以下哪一个选项是从软件自身功能出发,进行威胁分析()

A.攻击面分析
B.威胁建模
C.架构设计
D.详细设计


点击查看答案


53、单项选择题  安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的()

A.辅助辨识和分析未经授权的活动或攻击
B.对与己建立的安全策略的一致性进行核查
C.及时阻断违反安全策略的访问
D.帮助发现需要改进的安全控制措施


点击查看答案


54、单项选择题  内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:()

A.导致对其审计独立性的质疑
B.报告较多业务细节和相关发现
C.加强了审计建议的执行
D.在建议中采取更对有效行动


点击查看答案


55、单项选择题  在一家企业的业务持续性计划中,什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是:()

A.对这种情况的评估可能会延迟
B.灾难恢复计划的执行可能会被影响
C.团队通知可能不会发生
D.对潜在危机的识别可能会无效


点击查看答案


56、单项选择题  授权访问信息资产的责任人应该是()

A.资产保管员
B.安全管理员
C.资产所有人
D.安全主管


点击查看答案


57、判断题  学术论文是学位申请者为申请学位而提交的具有一定学术价值的论文。


点击查看答案


58、单项选择题  恢复策略的选择最可能取决于()

A.基础设施和系统的恢复成本
B.恢复站点的可用性
C.关键性业务流程
D.事件响应流程


点击查看答案


59、单项选择题  下面哪一个不是系统设计阶段风险管理的工作内容()

A.安全技术选择
B.软件设计风险控制
C.安全产品选择
D.安全需求分析


点击查看答案


60、单项选择题  “可信计算基(TCB)”不包括:()

A.执行安全策略的所有硬件
B.执行安全策略的软件
C.执行安全策略的程序组件
D.执行安全策略的人


点击查看答案


61、单项选择题  以下不是信息资产是哪一项?()

A.服务器
B.机房空调
C.鼠标垫
D.U盘


点击查看答案


62、单项选择题  那种测试结果对开发人员的影响最大()

A.单元测试和集成测试
B.系统测试
C.验收测试
D.渗透测试


点击查看答案


63、填空题  对目前大量的数据备份来说,()是应用得最广的介质。


点击查看答案


64、单项选择题  下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)?()

A.试运行
B.纸面测试
C.单元
D.系统


点击查看答案


65、单项选择题  基本的计算机安全需求不包括下列哪一条:()

A.安全策略和标识
B.绝对的保证和持续的保护
C.身份鉴别和落实责任
D.合理的保证和连续的保护


点击查看答案


66、单项选择题  以下哪个选项不是信息中心(IC)工作职能的一部分?()

A.准备最终用户的预算
B.选择PC的硬件和软件
C.保持所有PC的硬件和软件的清单
D.提供被认可的硬件和软件的技术支持


点击查看答案


67、单项选择题  在进行风险分析的时候,发现预测可能造成的风险的经济损失时有一定困难。为了评估潜在的损失,应该:()

A.计算相关信息资产的摊销费用
B.计算投资的回报
C.应用定性的方法进行评估
D.花费必要的时间去评估具体的损失的金额


点击查看答案


68、单项选择题  防火墙通过()控制来阻塞邮件附件中的病毒。

A.数据控制
B.连接控制
C.ACL控制
D.协议控制


点击查看答案


69、单项选择题  信息安全应急响应计划总则中,不包括以下哪个()

A.编制目的
B.编制依据
C.工作原则
D.角色职责


点击查看答案


70、单项选择题  ISMS的审核的层次不包括以下哪个?()

A.符合性审核
B.有效性审核
C.正确性审核
D.文件审核


点击查看答案


71、单项选择题  依据信息系统安全保障模型,以下那个不是安全保证对象()

A.机密性
B.管理
C.过程
D.人员


点击查看答案


72、填空题  电子商务是成长潜力(),综合效益()的产业。


点击查看答案


73、单项选择题  当你发送一条GRANT语句时,服务器会在()里创建一个记录项并把你用户名、主机名和口令记录在User、Host和Password列中。

A、db权限表
B、host权限表
C、table_priv权限表
D、user权限表


点击查看答案


74、单项选择题  255.0.0.0是哪类网址的默认MASK?()

A.A类
B.B类
C.C类
D.D类


点击查看答案


75、单项选择题  风险分析的目标是达到:()

A、风险影响和保护性措施之间的价值平衡
B、风险影响和保护性措施之间的操作平衡
C、风险影响和保护性措施之间的技术平衡
D、风险影响和保护性措施之间的逻辑平衡


点击查看答案


76、单项选择题  在什么情况下,热站会作为一个恢复策略被执行?()

A.低灾难容忍度
B.高恢复点目标(RPO)
C.高恢复时间目标(RTO)
D.高灾难容忍度


点击查看答案


77、单项选择题  应急响应计划文档不应该()

A.分发给公司所有人员
B.分发给参与应急响应工作的所有人员
C.具有多份拷贝在不同的地点保存
D.由专人负责保存与分发


点击查看答案


78、单项选择题  下面哪一项是恢复非关键系统的最合理方案?()

A.温站
B.移动站
C.热站
D.冷站


点击查看答案


79、单项选择题  下列哪一种情况会损害计算机安全策略的有效性?()

A.发布安全策略时
B.重新检查安全策略时
C.测试安全策略时
D.可以预测到违反安全策略的强制性措施时


点击查看答案


80、单项选择题  ()通过注册表或者安全策略,限制匿名连接的目的是什么?

A、匿名连接会造成系统额外负担,影响性能
B、匿名连接影响网络效率
C、匿名连接能够探测SAM的帐号和组
D、匿名连接直接导致系统被他人远程控制


点击查看答案


81、单项选择题  降低企业所面临的信息安全风险,可能的处理手段不包括哪些()

A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
D.通过业务外包的方式,转嫁所有的安全风险


点击查看答案


82、单项选择题  下面关于访问控制模型的说法不正确的是:()

A.DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。
B.DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。访问许可必须被显式地赋予访问者。
C.在MAC这种模型里,管理员管理访问控制。管理员制定策略,策略定义了哪个主体能访问哪个对象。但用户可以改变它。
D.RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型,主体具有相应的角色就可以访问它。


点击查看答案


83、单项选择题  以下哪个命令可以查看端口对应的PID()

A.netstat-ano
B.ipconfig/all
C.tracert
D.netsh


点击查看答案


84、单项选择题  有关定性风险评估和定量风险评估的区别,以下描述不正确的是()

A.定性风险评估比较主观,而定量风险评估更客观
B.定性风险评估容易实施,定量风险评估往往数据准确性很难保证
C.定性风险评估更成熟,定量风险评估还停留在理论阶段
D.定性风险评估和定量风险评估没有本质区别,可以通用


点击查看答案


85、填空题  科研方法包括();();();();()。


点击查看答案


86、单项选择题  信息安全政策声明:“每个人必须在进入每一个控制门时,都必须读取自己的证件”,防范的是哪一种攻击方式?()

A.尾随Piggybacking
B.肩窥Shoulder surfing
C.Dumpster diving
D.冒充Impersonation


点击查看答案


87、单项选择题  下列哪一项关于Bell-LaPadula模型特点的描述是错误的?()

A.强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱。
B.既定义了主体对客体的访问,也说明了主体对主体的访问。因此,它适用于网络系统。
C.它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点。
D.比起那些较新的模型而言,Bell-LaPadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系。


点击查看答案


88、单项选择题  如果可能最应该得到第一个应急事件通知的小组是()

A.应急响应领导小组
B.应急响应日常运行小组
C.应急响应技术保障小组
D.应急响应实施小组


点击查看答案


89、单项选择题  评估IT风险被很好的达到,可以通过:()

A.评估IT资产和IT项目总共的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织出版的损失数据
D.一句审计拔高审查IT控制弱点


点击查看答案


90、单项选择题  安全开发制度中,QA最关注的的制度是()

A.系统后评价规定
B.可行性分析与需求分析规定
C.安全开发流程的定义、交付物和交付物衡量标准
D.需求变更规定


点击查看答案


91、单项选择题  下面那个不是信息安全风险的要素?()

A.资产及其价值
B.数据安全
C.威胁
D.控制措施


点击查看答案


92、单项选择题  下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?()

A.虚拟专用网
B.专线
C.租用线路
D.综合服务数字网


点击查看答案


93、单项选择题  ()Windows日志有三种类型:系统日志、应用程序日志、安全日志。这些日志文件通常存放在操作系统的安装区域的哪个目录下?

A.system32\config
B.system32\Data
C.system32\drivers
D.system32\Setup


点击查看答案


94、单项选择题  当建立一个业务持续性计划时,使用下面哪一个工具用来理解组织业务流程?()

A.业务持续性自我评估
B.资源的恢复分析
C.风险评估和业务影响评估
D.差异分析


点击查看答案


95、单项选择题  风险控制是依据风险评估的结果,选择和实施合适的安全措施。下面哪个不是风险控制的方式?()

A.规避风险
B.转移风险
C.接受风险
D.降低风险


点击查看答案


96、判断题  电子商务是成长潜力大,综合效益好的产业。


点击查看答案


97、单项选择题  在检查IT安全风险管理程序,安全风险的测量应该()

A.列举所有的网络风险
B.对应IT战略计划持续跟踪
C.考虑整个IT环境
D.识别对(信息系统)的弱点的容忍度的结果


点击查看答案


98、单项选择题  当以下哪一类人员维护应用系统软件的时候,会造成对“职责分离”原则的违背?()

A.数据维护管理员
B.系统故障处理员
C.系统维护管理员
D.系统程序员


点击查看答案


99、单项选择题  高层管理者对信息安全管理的承诺以下说法不正确的是?()

A.制定、评审、批准信息安全方针。
B.为信息安全提供明确的方向和支持。
C.为信息安全提供所需的资源。
D.对各项信息安全工作进行执行、监督与检查。


点击查看答案


100、单项选择题  以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()

A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书


点击查看答案


101、填空题  蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器上网,而不是通过()提供的线路上网。


点击查看答案


102、判断题  含有虚假的信息源、发件人、路由等信息的电子邮件为垃圾邮件。


点击查看答案


103、单项选择题  在制定一个正式的企业安全计划时,最关键的成功因素将是?()

A.成立一个审查委员会
B.建立一个安全部门
C.向执行层发起人提供有效支持
D.选择一个安全流程的所有者


点击查看答案


104、单项选择题  以下选项中那一项是对信息安全风险采取的纠正机制?()

A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统


点击查看答案


105、单项选择题  以下哪一种身份验证机制为移动用户带来验证问题?()

A.可重复使用的密码机制
B.一次性口令机制。
C.挑战响应机制。
D.基于IP地址的机制


点击查看答案


106、单项选择题  以下哪些是可能存在的威胁因素?()

A.设备老化故障
B.病毒和蠕虫
C.系统设计缺陷
D.保安工作不得力


点击查看答案


107、单项选择题  在一个中断和灾难事件中,以下哪一项提供了持续运营的技术手段?()

A.负载平衡
B.硬件冗余
C.分布式备份
D.高可用性处理


点击查看答案


108、单项选择题  RSA公开密钥密码体制的安全性主要基于以下哪个困难问题?()

A.求合数模平方根的难题
B.离散对数困难问题
C.背包问题
D.大数分解困难问题


点击查看答案


109、单项选择题  覆盖和消磁不用在对以下哪一种计算机存储器或存储媒介进行清空的过程?()

A.随机访问存储器(RAM)
B.只读存储器(ROM)
C.磁性核心存储器
D.磁性硬盘


点击查看答案


110、单项选择题  在软件开发的需求定义阶段,在软件测试方面,以下哪一个选项被制定?()

A.覆盖关键应用的测试数据
B.详细的安全测试计划
C.质量保证测试标准
D.用户验收测试标准


点击查看答案


111、单项选择题  下面哪类设备常用于风险分析过程中,识别系统中存在的脆弱性?()

A.防火墙
B.IDS
C.漏洞扫描器
D.UTM


点击查看答案


112、填空题  ()是未来网络安全产品发展方向。


点击查看答案


113、单项选择题  下列哪一种行为通常不是在信息系统生存周期中的运行维护阶段中发生的?()

A.进行系统备份
B.管理加密密钥
C.认可安全控制措施
D.升级安全软件


点击查看答案


114、填空题  在两个具有IrDA端口的设备之间(),中间不能有阻挡物。


点击查看答案


115、填空题  即使在企业环境中,()作为企业纵深防御的一部分也是十分必要的。


点击查看答案


116、单项选择题  以下哪些不是网络类资产:()

A.网络设备
B.基础服务平台
C.网络安全设备
D.主干线路


点击查看答案


117、单项选择题  当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员无需查看:()

A.访问控制列表
B.系统服务配置情况
C.审计记录
D.用户帐户和权限的设置


点击查看答案


118、单项选择题  在信息系统安全中,风险由以下哪两种因素共同构成的?()

A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏


点击查看答案


119、单项选择题  风险评估实施过程中脆弱性识别主要包括什么方面()

A.软件开发漏洞
B.网站应用漏洞
C.主机系统漏洞
D.技术漏洞与管理漏洞


点击查看答案


120、单项选择题  在执行风险分析的时候,预期年度损失(ALE)的计算是:()

A.全部损失乘以发生频率
B.全部损失费用+实际替代费用
C.单次预期损失乘以发生频率
D.资产价值乘以发生频率


点击查看答案


121、单项选择题  系统要达到什么样的(),取决于系统所处理信息地重要程度、价值和敏感性。

A、可行性
B、系统灵活性
C、用户地方便性
D、完整性


点击查看答案


122、判断题  互联网不良信息是指行为人通过互联网发布的公然违反国家的法律、法规及政策,违背社会道德伦理与价值观,对国家、社会及个人造成有害影响并为国家、社会及个人所排斥的,反应现实社会不良现象的互联网信息。


点击查看答案


123、单项选择题  定义ISMS范围时,下列哪项不是考虑的重点()

A.组织现有的部门
B.信息资产的数量与分布
C.信息技术的应用区域
D.IT人员数量


点击查看答案


124、单项选择题  第一个建立电子政务标准的国家是?()

A.英国
B.美国
C.德国
D.俄罗斯


点击查看答案


125、单项选择题  对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?()

A.改进措施包括纠正和预防措施
B.改进措施可由受审单位提出并实施
C.不可以对体系文件进行更新或修改
D.对改进措施的评价应该包括措施的有效性的分析


点击查看答案


126、单项选择题  非对称密码算法具有很多优点,其中不包括:()

A.可提供数字签名、零知识证明等额外服务
B.加密/解密速度快,不需占用较多资源
C.通信双方事先不需要通过保密信道交换密钥
D.密钥持有量大大减少


点击查看答案


127、单项选择题  在准备灾难恢复计划时下列哪项应该首先实施?()

A.做出恢复策略
B.执行业务影响分析
C.明确软件系统、硬件和网络组件结构
D.委任具有明确的雇员、角色和层级的恢复团队


点击查看答案


128、单项选择题  在TCP中的六个控制位哪一个是用来请求结束会话的()

A.SYN
B.ACK
C.FIN
D.RST


点击查看答案


129、多项选择题  下列符合我国网络舆论特点的是()。

A、参与主体的广泛化与复杂化
B、互动参与性
C、时效性
D、监督性


点击查看答案


130、单项选择题  ()在信息安全的服务中,访问控制的作用是什么?

A、如何确定自己的身份,如利用一个带有密码的用户帐号登录
B、赋予用户对文件和目录的权限
C、保护系统或主机上的数据不被非认证的用户访问
D、提供类似网络中“劫持”这种手段的攻击的保护措施


点击查看答案


131、单项选择题  关于信息安全策略文件以下说法不正确的是哪个?()

A.信息安全策略文件应由管理者批准、发布。
B.信息安全策略文件并传达给所有员工和外部相关方。
C.信息安全策略文件必须打印成纸质文件进行分发。
D.信息安全策略文件应说明管理承诺,并提出组织的管理信息安全的方法。


点击查看答案


132、单项选择题  2012年3月份,美国总统奥巴马宣布启动(),旨在提高从庞大而复杂的科学数据中提取知识的能力。

A、大数据研究与开发计划
B、大数据获取与提取计划
C、大数据安全保护计划
D、DT计划


点击查看答案


133、单项选择题  ()在访问控制中,文件系统权限被默认地赋予了什么组?

A、Users
B、Guests
C、Administrators
D、Replicator


点击查看答案


134、单项选择题  以下哪个进程不属于NFS服务器端的进程?()

A.statd
B.mountd
C.nfsd
D.Automounter


点击查看答案


135、单项选择题  在TCP中的六个控制位哪一个是用来请求同步的()

A.SYN
B.ACK
C.FIN
D.RST


点击查看答案


136、单项选择题  根据PPDR模型:()

A.一个信息系统的安全保障体系应当以人为核心,防护、检测和恢复组成一个完整的、动态的循环
B.判断一个系统系统的安全保障能力,主要看安全策略的科学性与合理性,以及安全策略的落实情况
C.如果安全防护时间小于检测时间加响应时间,这该系统一定是不安全的
D.如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间


点击查看答案


137、单项选择题  系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为什么?()

A.戴明循环
B.过程方法
C.管理体系
D.服务管理


点击查看答案


138、单项选择题  由于IT的发展,灾难恢复计划在大型组织中的应用也发生了变化。如果新计划没有被测试下面哪项是最主要的风险()

A.灾难性的断电
B.资源的高消耗
C."恢复的总成本不能被最小化"
D.用户和恢复团队在实施计划时可能面临服务器问题


点击查看答案


139、单项选择题  为了防止物理上取走数据库而采取的加强数据库安全的方法是()

A、数据加密
B、数据库加密
C、口令保护
D、数据审计


点击查看答案


140、多项选择题  强制访问控制策略最显著的特征是()。

A.局限性
B.全局性
C.时效性
D.永久性


点击查看答案


141、单项选择题  LDAP使用哪个端口?()

A.TCP 139
B.TCP 119
C.UDP 139
D.UDP 389


点击查看答案


142、多项选择题  期刊发表的周期有()。

A.日刊
B、周刊
C、半月刊
D、月刊
E、旬刊


点击查看答案


143、单项选择题  在系统实施后评审过程中,应该执行下面哪个活动?()

A.用户验收测试
B.投资收益分析
C.激活审计模块
D.更新未来企业架构


点击查看答案


144、单项选择题  下列对于蠕虫病毒的描述错误的是:()

A.蠕虫的传播无需用户操作
B.蠕虫会消耗内存或网络带宽,导致DOS
C.蠕虫的传播需要通过“宿主”程序或文件
D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成


点击查看答案


145、单项选择题  矩阵分析法通常是哪种风险评估采用的方法()

A.定性风险评估
B.定量分析评估
C.安全漏洞评估
D.安全管理评估


点击查看答案


146、单项选择题  为了预防逻辑炸弹,项目经理采取的最有效的措施应该是()

A.对每日提交的新代码进行人工审计
B.代码安全扫描
C.安全意识教育
D.安全编码培训教育


点击查看答案


147、单项选择题  构成风险的关键因素有哪些?()

A.人,财,物
B.技术,管理和操作
C.资产,威胁和弱点
D.资产,可能性和严重性


点击查看答案


148、问答题  网络安全的网络设备防护的内容是什么?


点击查看答案


149、填空题  灾难恢复和容灾是()意思。


点击查看答案


150、单项选择题  来自终端的电磁泄露风险,因为它们:()

A.导致噪音污染
B.破坏处理程序
C.产生危险水平的电流
D.可以被捕获并还原


点击查看答案


151、单项选择题  系统管理员属于?()

A.决策层
B.管理层
C.执行层
D.既可以划为管理层,又可以划为执行层


点击查看答案


152、单项选择题  风险评估的基本过程是怎样的?()

A.识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
B.通过以往发生的信息安全事件,找到风险所在
C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
D.风险评估并没有规律可循,完全取决于评估者的经验所在


点击查看答案


153、单项选择题  从部署结构来看,下列哪一种类型的防火墙提供了最高安全性?()

A.屏蔽路由器
B.双宿堡垒主机
C.屏蔽主机防火墙
D.屏蔽子网防火墙


点击查看答案


154、单项选择题  当审核一个组织的业务连续性计划时,某IS审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。有效性计划哪一个特性在这里被证明?()

A.防止
B.减轻
C.恢复
D.响应


点击查看答案


155、单项选择题  处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?()

A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。
B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。
C.在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。
D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎。


点击查看答案


156、单项选择题  网络安全一般是指网络系统的硬件、软件及其()受到保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。

A、系统中的文件
B、系统中的图片
C、系统中的数据
D、系统中的视频


点击查看答案


157、单项选择题  维持对于信息资产的适当的安全措施的责任在于()

A.安全管理员
B.系统管理员
C.数据和系统的所有者
D.系统作业人员


点击查看答案


158、单项选择题  信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()

A.信息的价值
B.信息的时效性
C.信息的存储
D.法律法规的规定


点击查看答案


159、单项选择题  以下哪项活动对安全编码没有帮助()

A.代码审计
B.安全编码规范
C.编码培训
D.代码版本管理


点击查看答案


160、单项选择题  以下哪组全部都是多边安全模型?()

A.BLP模型和BIBA模型
B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BMA模型
D.Clark-Wilson模型和Chinese wall模型


点击查看答案


161、单项选择题  当选择的控制措施成本高于风险带来的损失时,应考虑()

A.降低风险
B.转移风险
C.避免风险
D.接受风险


点击查看答案


162、单项选择题  以下哪项行为可能使用嗅探泄露系统的管理员密码?()

A.使用root用户访问FTP程序
B.使用root用户连接SSH服务
C.使用root进行SCP文件传输
D.在本地使用root用户登录


点击查看答案


163、单项选择题  实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求,以下哪个不是?()

A.约定的标准及相关法律的要求
B.已识别的安全需求
C.控制措施有效实施和维护
D.ISO13335风险评估方法


点击查看答案


164、单项选择题  信息安全需求获取的主要手段()

A.信息安全风险评估
B.领导的指示
C.信息安全技术
D.信息安全产品


点击查看答案


165、单项选择题  SQL的查询方法存在缺陷,因此导致一个用户的查询可能会重用缓冲的()帐号的连接。

A、Administrator
B、sa
C、user
D、guest


点击查看答案


166、单项选择题  当发生灾难时,以下哪一项能保证业务交易的有效性()

A.从当前区域外的地方持续每小时1次地传送交易磁带
B.从当前区域外的地方持续每天1次地传送交易磁带
C.抓取交易以整合存储设备
D.从当前区域外的地方实时传送交易磁带


点击查看答案


167、单项选择题  下列哪项是用于降低风险的机制()

A.安全和控制实践
B.财产和责任保险
C.审计与认证
D.合同和服务水平协议


点击查看答案


168、多项选择题  网络安全审计系统一般包括()。

A.网络探测引擎
B.数据管理中心
C.审计中心
D.声光报警系统


点击查看答案


169、单项选择题  哪个端口被设计用作开始一个SNMP Trap?()

A.TCP 161
B.UDP 161
C.UDP 162
D.TCP 169


点击查看答案


170、单项选择题  广义的网络信息保密性是指()

A、利用密码技术对信息进行加密处理,以防止信息泄漏和保护信息不为非授权用户掌握
B、保证数据在传输、存储等过程中不被非法修改
C、对数据的截获、篡改采取完整性标识的生成与检验技术
D、保守国家机密,或是未经信息拥有者的许可,不得非法泄漏该保密信息给非授权人员


点击查看答案


171、填空题  我国的信息化发展不平衡,总的来说,()信息化指数高,从东部到西部信息化指数逐渐降低。


点击查看答案


172、单项选择题  以下哪一种人给公司带来最大的安全风险?()

A.临时工
B.咨询人员
C.以前员工
D.当前员工


点击查看答案


173、单项选择题  防范密码嗅探攻击计算机系统的控制措施包括下列哪一项?()

A.静态和重复使用的密码。
B.加密和重复使用的密码。
C.一次性密码和加密。
D.静态和一次性密码。


点击查看答案


174、问答题  安全审计按对象不同,可分为哪些类?各类审计的内容又是什么?


点击查看答案


175、单项选择题  以下哪一个不是安全审计的作用?()

A.记录系统被访问的过程及系统保护机制的运行状态。
B.发现试图绕过保护机制的行为。
C.及时发现并阻止用户身份的变化
D.报告并阻碍绕过保护机制的行为并记录相关进程,为灾难恢复提供信息。


点击查看答案


176、单项选择题  对缓冲区溢出攻击预防没有帮助的做法包括()

A.输入参数过滤,安全编译选项
B.操作系统安全机制、禁止使用禁用API
C.安全编码教育
D.渗透测试


点击查看答案


177、单项选择题  时间的流逝对服务中断损失成本和中断恢复成本会有什么影响?()

A.两个成本增加
B.中断的损失成本增加,中断恢复的成本随时问的流逝而减少
C.两个成本都随时间的流逝而减少
D.没有影响


点击查看答案


178、单项选择题  变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()

A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
B.应该将重点放在风险发生后的纠正措施上。
C.应该很好的定义和实施风险规避的措施。
D.如果是公司领导要求的,对变更过程不需要追踪和审查


点击查看答案


179、单项选择题  制定应急响应策略主要需要考虑()

A.系统恢复能力等级划分
B.系统恢复资源的要求
C.费用考虑
D.人员考虑


点击查看答案


180、单项选择题  发现一台被病毒感染的终端后,首先应:()

A.拔掉网线
B.判断病毒的性质、采用的端口
C.在网上搜寻病毒解决方法
D.呼叫公司技术人员


点击查看答案


181、单项选择题  下面对于标识和鉴别的解释最准确的是:()

A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B.标识用于区别不同的用户,而鉴别用于赋予用户权限
C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限


点击查看答案


182、单项选择题  在Windows操作系统下,由于()端口探测没有限制,能够让别人探测到一些数据库信息,因此IPSec过滤拒绝掉该端口的UDP通信,可以尽可能地隐藏你的SQLServer。

A、1434
B、1433
C、3305
D、3306


点击查看答案


183、判断题  对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法和最先进的设备,而是由系统本身最薄弱之处及漏洞所确定的。


点击查看答案


184、填空题  物流()电子商务规划框架


点击查看答案


185、单项选择题  “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面那种安全服务:()

A.数据加密
B.身份认证
C.数据完整性
D.访问控制


点击查看答案


186、单项选择题  在数据库的安全评估过程中,下面那项是指系统能够对付各种可能地攻击的能力。()

A、可行性
B、系统灵活性
C、用户地方便性
D、完整性


点击查看答案


187、单项选择题  以下哪一个是包过滤防火墙的优点?()

A.可以与认证、授权等安全手段方便的集成。
B.与应用层无关,无须改动任何客户机和主机的应用程序,易于安装和使用。
C.提供透明的加密机制
D.可以给单个用户授权


点击查看答案


188、单项选择题  在某个公司中,以下哪个角色最适合评估信息安全的有效性?()

A.公司的专家
B.业务经理
C.IT审计员
D.信息安全经理


点击查看答案


189、多项选择题  能够起到访问控制功能的设备有()。

A、网闸
B、三层交换机
C、入侵检测系统
D、防火墙


点击查看答案


190、判断题  系统里的信息涉及国家秘密的信息系统,只要其中的涉密信息很少,就不算是涉密信息系统。


点击查看答案


191、判断题  免疫性不属于计算机病毒特征。


点击查看答案


192、单项选择题  P2DR模型强调了落实反应和系统安全的动态性,其中的“检测”使用的主要方法是?()

A.检测。
B.报警。
C.记录。
D.实时监控。


点击查看答案


193、单项选择题  下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。()

A.NMAP
B.NLSOOKUP
C.ICESWord
D.Xscan


点击查看答案


194、单项选择题  下列关于安全审计的内容说法中错误的是()。

A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。
B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
C.应能根据记录数据进行分析,并生成报表。
D.为了节约存储空间,审计记录可以随意删除、修改或覆盖。


点击查看答案


195、单项选择题  管理体系审计员进行通信访问控制审查,首先应该关注:()

A.维护使用各种系统资源的访问日志
B.在用户访问系统资源之前的授权和认证
C.通过加密或其他方式对存储在服务器上数据的充分保护
D.确定是否可以利用终端系统资源的责任制和能力.


点击查看答案


196、单项选择题  为什么实现单点登录的批处理文件及脚本文件需要被保护存储?()

A.因为最小授权原则
B.因为它们不可以被操作员访问到
C.因为它们可能包含用户身份信息
D.因为知所必须原则


点击查看答案


197、单项选择题  ()关于组策略的描述哪些是错误的?

A、首先应用的是本地组策略
B、除非冲突,组策略的应用应该是累积的
C、如果存在冲突,最先应用的组策略将获胜
D、策略在策略容器上的顺序决定应用的顺序


点击查看答案


198、单项选择题  组织在实施与维护信息安全的流程中,下列哪一项不属于高级管理层的职责?()

A.明确的支持
B.执行风险分析
C.定义目标和范围
D.职责定义与授权


点击查看答案


199、单项选择题  电子商务交易必须具备抗抵赖性,目的在于防止()。

A.一个实体假装成另一个实体
B.参与此交易的一方否认曾经发生过此次交易
C.他人对数据进行非授权的修改、破坏
D.信息从被监视的通信过程中泄漏出去


点击查看答案


200、单项选择题  以下关于备份站点的说法哪项是正确的()

A.应与原业务系统具有同样的物理访问控制措施
B.应容易被找到以便于在灾难发生时以备紧急情况的需要
C.应部署在离原业务系统所在地较近的地方
D.不需要具有和原业务系统相同的环境监控等级


点击查看答案


201、单项选择题  对磁介质的最有效好销毁方法是?()

A.格式化
B.物理破坏
C.消磁
D.删除


点击查看答案


202、多项选择题  网络违法犯罪的表现形式有()。

A、网络诈骗
B、网络^色 情
C、网络盗窃
D、网络赌博


点击查看答案


203、单项选择题  P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?()

A.实时监控技术。
B.访问控制技术。
C.信息加密技术。
D.身份认证技术。


点击查看答案


204、填空题  防火墙是设置在内部网络与外部网络(如互联网)之间,实施()的一个或一组系统。


点击查看答案


205、单项选择题  作为信息安全治理的成果,战略方针提供了:()

A.企业所需的安全要求
B.遵从最佳实务的安全基准
C.日常化制度化的解决方案
D.风险暴露的理解


点击查看答案


206、单项选择题  当涉及到信息算计系统犯罪取证时,应与哪个部门取得联系?()

A.监管机构
B.重要客户
C.供应商
D.政府部门


点击查看答案


207、单项选择题  构成IPSec的主要安全协议不包括下列哪一项:()

A.ESP
B.DSS
C.IKE
D.AH


点击查看答案


208、单项选择题  某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?()

A.Bell-LaPadula模型
B.Biba模型
C.信息流模型
D.Clark-Wilson模型


点击查看答案


209、单项选择题  在互联网环境中,网络舆论的形成变得较为复杂,但大致遵循()模式。

A、新闻信息——舆论形成
B、民间舆论——新闻报道
C、产生话题——话题持续存活——形成网络舆论——网络舆论发展——网络舆论平息
D、产生话题——形成网络舆论——网络舆论平息


点击查看答案


210、单项选择题  由于病毒攻击、非法入侵等原因,校园网部分楼宇出现网络瘫痪,或者FTP及部分网站服务器不能响应用户请求,属于以下哪种级别事件()

A.特别重大事件
B.重大事件
C.较大事件
D.一般事件


点击查看答案


211、单项选择题  下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的:()

A.服务器防毒软件
B.病毒墙
C.工作站防病毒软件
D.病毒库及时更新


点击查看答案


212、单项选择题  内部审核的最主要目的是()

A.检查信息安全控制措施的执行情况
B.检查系统安全漏洞
C.检查信息安全管理体系的有效性
D.检查人员安全意识


点击查看答案


213、单项选择题  在信息处理设施(IPF)的硬件更换之后,业务连续性流程经理首先应该实施下列哪项活动?()

A.验证与热门站点的兼容性
B.检查实施报告
C.进行灾难恢复计划的演练
D.更新信息资产清单


点击查看答案


214、单项选择题  以下哪项不是记录控制的要求?()

A.清晰、易于识别和检索
B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
C.建立并保持,以提供证据
D.记录应尽可能的达到最详细


点击查看答案


215、单项选择题  有关信息安全事件的描述不正确的是()

A.信息安全事件的处理应该分类、分级
B.信息安全事件的数量可以反映企业的信息安全管控水平
C.某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D.信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生


点击查看答案


216、单项选择题  校园网内由于病毒攻击、非法入侵等原因,200台以内的用户主机不能正常工作,属于以下哪种级别事件()

A.特别重大事件
B.重大事件
C.较大事件
D.一般事件


点击查看答案


217、单项选择题  TCP/IP协议的4层概念模型是?()

A.应用层、传输层、网络层和网络接口层
B.应用层、传输层、网络层和物理层
C.应用层、数据链路层、网络层和网络接口层
D.会话层、数据链路层、网络层和网络接口层


点击查看答案


218、单项选择题  在下面的加密方法中,哪个加解密的效率最低:()

A、记录加密
B、属性加密
C、元素加密
D、表加密


点击查看答案


219、多项选择题  防火墙管理中()具有设定规则的权限。

A.用户
B.审计员
C.超级管理员
D.普通管理员


点击查看答案


220、单项选择题  ISMS文档体系中第一层文件是?()

A.信息安全方针政策
B.信息安全工作程序
C.信息安全作业指导书
D.信息安全工作记录


点击查看答案


221、单项选择题  PDCA特征的描述不正确的是()

A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
D.信息安全风险管理的思路不符合PDCA的问题解决思路


点击查看答案


222、填空题  互联网安全管理法律法规的适用范围是()、提供互联网数据中心服务的单位和联网使用单位。


点击查看答案


223、单项选择题  SSE-CMM中第4级的名称是什么?()

A.充分定义级
B.计划和跟踪级
C.连续改进级
D.量化控制级


点击查看答案


224、单项选择题  下面安全套接字层协议(SSL)的说法错误的是?()

A.它是一种基于web应用的安全协议
B.由于SSL是内嵌在浏览器中的,无需安全客户端软件,所以相对于IPSec更简单易用
C.SSL与IPSec一样都工作在网络层
D.SSL可以提供身份认证、加密和完整性校验的功能


点击查看答案


225、单项选择题  如果恶意开发人员想在代码中隐藏逻辑炸弹,什么预防方式最有效?()

A.源代码周期性安全扫描
B.源代码人工审计
C.渗透测试
D.对系统的运行情况进行不间断监测记录


点击查看答案


226、单项选择题  在数据中心使用稳压电源,以保证:()

A.硬件免受电源浪涌
B.主电源被破坏后的完整性维护
C.主电源失效后可以立即使用
D.针对长期电力波动的硬件包含


点击查看答案


227、问答题  多边安全模型有哪两种?


点击查看答案


228、单项选择题  如果双方使用的密钥不同,从其中的一个密钥很难推出另外一个密钥,这样的系统称为()

A.常规加密系统
B.单密钥加密系统
C.公钥加密系统
D.对称加密系统


点击查看答案


229、单项选择题  以下谁具有批准应急响应计划的权利()

A.应急委员会
B.各部门
C.管理层
D.外部专家


点击查看答案


230、单项选择题  审核在实施审核时,所使用的检查表不包括的内容有?()

A.审核依据
B.审核证据记录
C.审核发现
D.数据收集方法和工具


点击查看答案


231、多项选择题  ()属于网络不诚信问题.

A、发布虚假信息,扩散小道消
B、网上恶搞、网络暴力、人肉搜索
C、境外的网络攻击
D、手机恶意程序


点击查看答案


232、单项选择题  什么类型的软件应用测试被用于测试的最后阶段,并且通常包含不属于开发团队之内的用户成员?()

A.Alpha测试
B.白盒测试
C.回归测试
D.Beta测试


点击查看答案


233、单项选择题  以下哪个标准描述了典型的安全服务和OSI模型中7层的对应关系?()

A.ISO/IEC7498-2
B.BS7799
C.通用评估准则
D.IATF


点击查看答案


234、判断题  减速器的润滑方式,一般都采用油池润滑。()


点击查看答案


235、单项选择题  企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是()

A.不需要全体员工的参入,只要IT部门的人员参入即可
B.来自高级管理层的明确的支持和承诺
C.对企业员工提供必要的安全意识和技能的培训和教育
D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行


点击查看答案


236、判断题  网络安全是一个关系国家主权、社会稳定、民族文化的继承和发扬的重要问题。


点击查看答案


237、单项选择题  如果只能使用口令远程认证,以下哪种方案安全性最好?()

A.高质量静态口令,散列保护传输
B.高质量静态口令,固定密钥加密保护传输
C.动态随机口令,明文传输
D.高质量静态口令,增加随机值,明文传输


点击查看答案


238、单项选择题  以下哪一项是和电子邮件系统无关的?()

A.PEM(Privacy enhanced mail)
B.PGP(Pretty good privacy)
C.X.500
D.X.400


点击查看答案


239、单项选择题  以下哪些模型可以用来保护分级信息的机密性?()

A.Biba模型和Bell-Lapadula模型
B.Bell-Lapadula模型和信息流模型
C.Bell-Lapadula模型和Clark-Wilson模型
D.Clark-Wilson模型和信息流模型


点击查看答案


240、单项选择题  在确定威胁的可能性时,可以不考虑以下哪个?()

A.威胁源
B.潜在弱点
C.现有控制措施
D.攻击所产生的负面影响


点击查看答案


241、单项选择题  以下对信息安全问题产生的根源描述最准确的是:()

A.信息安全问题是由于信息技术的不断发展造成的
B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的
C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏


点击查看答案


242、单项选择题  ()以下哪些不是操作系统安全的主要目标?

A、标志用户身份及身份鉴别
B、按访问控制策略对系统用户的操作进行控制
C、防止用户和外来入侵者非法存取计算机资源
D、检测攻击者通过网络进行的入侵行为


点击查看答案


243、单项选择题  作为业务继续计划流程中的一部分,在业务影响分析中下面哪个选项应该最先确认?()

A.组织的风险,像单点失败或设备风险
B.重要业务流程的威胁
C.根据恢复优先级设定的重要业务流程
D.重建业务的所需的资源


点击查看答案


244、判断题  互惠原则的核心内容是要求消除网络社会由于各种原因造成的网络主体间的交往不畅通、交往障碍。


点击查看答案


245、单项选择题  从安全的角度来看,数据库视图(view)的主要用途是:()

A.确保相关完整性
B.方便访问数据
C.限制用户对数据的访问.
D.提供审计跟踪


点击查看答案


246、单项选择题  在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属于被动威胁?()

A.报文服务拒绝
B.假冒
C.数据流分析
D.报文服务更改


点击查看答案


247、单项选择题  以下哪些是信息资产无需明确的()

A.所有者
B.管理者
C.厂商
D.使用者


点击查看答案


248、单项选择题  下列信息系统安全说法正确的是:()

A.加固所有的服务器和网络设备就可以保证网络的安全
B.只要资金允许就可以实现绝对的安全
C.断开所有的服务可以保证信息系统的安全
D.信息系统安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略


点击查看答案


249、单项选择题  组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:()

A、实施策略需要的时间和资源
B、攻击者的动机
C、服务可用性
D、证据保留的时间


点击查看答案


250、单项选择题  评估BCP时,下列哪一项应当最被关注:()

A.灾难等级基于受损功能的范围,而不是持续时间
B.低级别灾难和软件事件之间的区别不清晰
C.总体BCP被文档化,但详细恢复步骤没有规定
D.宣布灾难的职责没有被识别


点击查看答案


251、单项选择题  在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是:()

A.非授权用户可以使用ID擅自进入
B.用户访问管理费时
C.很容易猜测密码
D.无法确定用户责任


点击查看答案


252、单项选择题  负责授权访问业务系统的职责应该属于:()

A.数据拥有者
B.安全管理员
C.IT安全经理
D.请求者的直接上司


点击查看答案


253、单项选择题  以下有关信息安全方面的业务连续性管理的描述,不正确的是()

A.信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B.企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C.业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D.信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入


点击查看答案


254、填空题  知识产权具有专有性,()国别性。


点击查看答案


255、单项选择题  下列对跨站脚本攻击(XSS)的解释最准确的一项是:()

A.引诱用户点击虚假网络链接的一种攻击方法
B.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问
C.一种很强大的木马攻击手段
D.将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的


点击查看答案


256、单项选择题  某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()

A.报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
D.建议终止用户的活动日志能被定期审查


点击查看答案


257、单项选择题  企业的业务持续性计划中应该以记录以下内容的预定规则为基础()

A.损耗的持续时间
B.损耗的类型
C.损耗的可能性
D.损耗的原因


点击查看答案


258、单项选择题  ISMS审核时,首次会议的目的不包括以下哪个?()

A.明确审核目的、审核准则和审核范围
B.明确审核员的分工
C.明确接受审核方责任,为配合审核提供必要资源和授权
D.明确审核进度和审核方法,且在整个审核过程中不可调整


点击查看答案


259、判断题  对钱财的贪婪也是网络违法犯罪行为的原始动力。


点击查看答案


260、单项选择题  应急响应计划应该多久测试一次?()

A.10年
B.当基础环境或设施发生变化时
C.2年
D.当组织内业务发生重大的变更时


点击查看答案


261、单项选择题  渗透测试作为网络安全评估的一部分()

A.提供保证所有弱点都被发现
B.在不需要警告所有组织的管理层的情况下执行
C.找到存在的能够获得未授权访问的漏洞
D.在网络边界上执行不会破坏信息资产


点击查看答案


262、单项选择题  以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?()

A.电路调整器Power line conditioners
B.电流浪涌防护装置A surge protective device
C.替代电源
D.不间断供电


点击查看答案


263、单项选择题  风险评估实施过程中资产识别的依据是什么()

A.依据资产分类分级的标准
B.依据资产调查的结果
C.依据人员访谈的结果
D.依据技术人员提供的资产清单


点击查看答案


264、单项选择题  建立应急响应计划时候第一步应该做什么?()

A.建立备份解决方案
B.实施业务影响分析
C.建立业务恢复计划
D.确定应急人员名单


点击查看答案


265、单项选择题  关于SSE-CMM的描述错误的是:()

A.1993年4月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B.SSE-CMM的能力级别分为6个级别。
C.SSE-CMM将安全工程过程划分为三类:风险、工程和保证。
D.SSE的最高能力级别是量化控制。


点击查看答案


266、单项选择题  ()在HKLM包含的子树中,哪个不能直接访问?配置的数据。

A、Security
B、Hardware
C、Software
D、System


点击查看答案


267、判断题  统计推论目的是对整理出的数据进行加工概括,从多种角度显现大量资料所包含的数量特征和数量关系。


点击查看答案


268、单项选择题  下面哪一个是定义深度防御安全原则的例子?()

A.使用由两个不同提供商提供的防火墙检查进入网络的流量
B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
C.在数据中心建设中不使用明显标志
D.使用两个防火墙检查不同类型进入网络的流量


点击查看答案


269、单项选择题  下列有关密码学的说法中错误的是:()

A.密码学是研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学和密码分析学。
B.密码编码学是对密码体制、密码体制的输入输出关系进行分析,以便推出机密变量、包括明文在内的敏感数据。
C.密码分析学主要研究加密消息的破译或消息的伪造。
D.密码编码学主要研究对信息进行编码,实现对信息的隐蔽。


点击查看答案


270、填空题  物流是电子商务()的基础。


点击查看答案


271、单项选择题  下列哪一项最好地支持了24/7可用性?()

A.日常备份
B.离线存储
C.镜像
D.定期测试


点击查看答案


272、单项选择题  企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:()

A.限制物理访问计算设备
B.检查事务和应用日志
C.雇用新IT员工之前进行背景调查
D.在双休日锁定用户会话


点击查看答案


273、单项选择题  在业务持续性计划中,下面哪一项具有最高的优先级?()

A.恢复关键流程
B.恢复敏感流程
C.恢复站点
D.将运行过程重新部署到一个替代的站点


点击查看答案


274、单项选择题  以下哪些不是应该识别的信息资产?()

A.网络设备
B.客户资料
C.办公桌椅
D.系统管理员


点击查看答案


275、单项选择题  下面哪一项不是风险评估的过程?()

A.风险因素识别
B.风险程度分析
C.风险控制选择
D.风险等级评价


点击查看答案


276、单项选择题  PSEC中的ESP机制最主要的作用是什么?()

A.确认信息包的来源
B.进行完整性验证
C.提供机密性服务
D.抗重放攻击


点击查看答案


277、单项选择题  在完成了业务影响分析(BIA)后,下一步的业务持续性计划应该是什么()

A.测试和维护业务持续性计划
B.制定一个针对性计划
C.制定恢复策略
D.实施业务持续性计划


点击查看答案


278、填空题  运行()可以帮助防止遭受网页仿冒欺诈。


点击查看答案


279、单项选择题  在下面的权限中,可更改数据表的权限是()

A、ALTER
B、GRANT
C、FLUSH
D、RESET


点击查看答案


280、单项选择题  在企业内部互联网中,一个有效的安全控制机制是:()

A.复查
B.静态密码
C.防火墙
D.动态密码


点击查看答案


281、单项选择题  下列哪一项是首席安全官的正常职责?()

A.定期审查和评价安全策略
B.执行用户应用系统和软件测试与评价
C.授予或废除用户对IT资源的访问权限
D.批准对数据和应用系统的访问权限


点击查看答案


282、单项选择题  信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息安全方面的建议?()

A.相关安全信息的最佳实践和最新状态知识。
B.尽早接受到关于攻击和脆弱点的警告、建议和补丁
C.分享和交换关于新的技术、产品、威胁或脆弱点信息
D.以上都是


点击查看答案


283、单项选择题  下列对系统日志信息的操作中哪一项是最不应当发生的:()

A.对日志内容进行编辑
B.只抽取部分条目进行保存和查看
C.用新的日志覆盖旧的日志
D.使用专用工具对日志进行分析


点击查看答案


284、单项选择题  我国的信息安全测评主要对象不包括?()

A.信息产品安全测评。
B.信息安全人员资质测评。
C.服务商资质测评。
D.信息保障安全测评。


点击查看答案


285、单项选择题  以下哪个与电子邮件系统没有直接关系?()

A.PEM
B.PGP
C.X.500
D.X.400


点击查看答案


286、单项选择题  可信计算机安全评估准则(TCSEC)与什么有关:()

A.桔皮书
B.ISO15408
C.RFC1700
D.BS7799


点击查看答案


287、单项选择题  密码出口政策最严格的是以下哪个国家?()

A.法国
B.美国
C.爱尔兰
D.新加坡


点击查看答案


288、单项选择题  戴明循环执行顺序,下面哪项正确?()

A.PLAN-ACT-DO-CHECK
B.CHECK-PLAN-ACT-DO
C.PLAN-DO-CHECK-ACT
D.ACT-PLAN-CHECK-DO


点击查看答案


289、单项选择题  安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中,注意到生产数据被用于测试环境测试,这种情况下存在哪种最有可能的潜在风险?()

A.测试环境可能没有充足的控制确保数据的精确性
B.测试环境可能由于使用生产数据而产生不精确的结果
C.测试环境的硬件可能与生产环境的不同
D.测试环境可能没有充分的访问控制以确保数据机密性


点击查看答案


290、单项选择题  对能力成熟度模型解释最准确的是?()

A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
B.它通过严格考察工程成果来判断工程能力。
C.它与统计过程控制的理论出发点不同,所以应用于不同领域。
D.它是随着信息安全的发展而诞生的重要概念。


点击查看答案


291、多项选择题  威胁网络信息安全的软件因素有()

A、外部不可抗力
B、缺乏自主创新的信息核心技术
C、网络信息安全意识淡薄
D、网络信息管理存在问题


点击查看答案


292、单项选择题  下面各种方法,哪个是制定灾难恢复策略必须最先评估的()

A.所有的威胁可以被完全移除
B.一个可以实现的成本效益,内置的复原
C.恢复时间可以优化
D.恢复成本可以最小化


点击查看答案


293、单项选择题  为了达到组织灾难恢复的要求,备份时间间隔不能超过:()

A.服务水平目标(SLO)
B.恢复时间目标(RTO)
C.恢复点目标(RPO)
D.停用的最大可接受程度(MAO)


点击查看答案


294、单项选择题  一组将输入转化为输出的相互关联或相互作用的什么叫做过程?()

A.数据
B.信息流
C.活动
D.模块


点击查看答案


295、单项选择题  在设计业务连续性计划时,企业影响分析可以用来识别关键业务流程和相应的支持程序,它主要会影响到下面哪一项内容的制定?()

A.维护业务连续性计划的职责
B.选择站点恢复供应商的条件
C.恢复策略
D.关键人员的职责


点击查看答案


296、单项选择题  一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为()

A.5000元
B.10000元
C.25000元
D.15000元


点击查看答案


297、判断题  根据《儿童互联网保护法》,美国的公共图书馆都必须给联网计算机安装^色 情过滤系统,否则图书馆将无法获得政府提供的技术补助资金。


点击查看答案


298、单项选择题  在部署风险管理程序的时候,哪项应该最先考虑到:()

A.组织威胁,弱点和风险概括的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够在一个可以接受的水平上保持风险的结果


点击查看答案


299、填空题  医药学()社会科学。


点击查看答案


300、单项选择题  以下哪项不属于PDCA循环的特点?()

A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.组织中的每个部分,不包括个人,均可以PDCA循环,大环套小环,一层一层地解决问题


点击查看答案


题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
】【打印繁体】 【关闭】 【返回顶部
下一篇医学三基(医技):放射学试题及答..

相关栏目

问题咨询请搜索关注"91考试网"微信公众号后留言咨询