当前位置:91考试网 -> 考试题库

信息安全师考试:信息安全师考试找答案(每日一练)
2024-01-06 04:20:38 来源:91考试网 作者:www.91exam.org 【
题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。

1、单项选择题  在一个中断和灾难事件中,以下哪一项提供了持续运营的技术手段?()

A.负载平衡
B.硬件冗余
C.分布式备份
D.高可用性处理


点击查看答案


2、单项选择题  以下关于在UNIX系统里启动与关闭服务的说法不正确的是?()

A.在UNIX系统中,服务可以通过inetd进程来启动
B.通过在/etc/inetD.conf文件中注释关闭正在运行的服务
C.通过改变脚本名称的方式禁用脚本启动的服务
D.在UNIX系统中,服务可以通过启动脚本来启动


点击查看答案


3、单项选择题  事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:()

A.准备-抑制-检测-根除-恢复-跟进
B.准备-检测-抑制-恢复-根除-跟进
C.准备-检测-抑制-根除-恢复-跟进
D.准备-抑制-根除-检测-恢复-跟进


点击查看答案


4、单项选择题  下列哪一种密码算法是基于大数分解难题的?()

A.ECC
B.RSA
C.DES
D.Diffie-Hellman


点击查看答案


5、单项选择题  一个组织的灾难恢复(DR,disasterrecovery)策略的变更时将公司的关键任务应用的恢复点目标(RPO)被缩短了,下述哪个是该变更的最显著风险?()

A.现有的DR计划没有更新以符合新的RPO
B.DR小组没有基于新的RPO进行培训
C.备份没有以足够的频率进行以实现新的RPO
D.该计划没有基于新的RPO进行测试


点击查看答案


6、判断题  网络道德问题产生的客观原因是网络社会的社会背景。


点击查看答案


7、单项选择题  ()出台了世界第一部规范互联网传播的法律《多媒体法》.

A、美国
B、德国
C、英国
D、新加坡


点击查看答案


8、多项选择题  能够起到访问控制功能的设备有()。

A、网闸
B、三层交换机
C、入侵检测系统
D、防火墙


点击查看答案


9、单项选择题  开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为()

A.瀑布模型
B.净室模型
C.XP模型
D.迭代模型


点击查看答案


10、单项选择题  黑客造成的主要危害是()

A.破坏系统、窃取信息及伪造信息
B.攻击系统、获取信息及假冒信息
C.进入系统、损毁信息及谣传信息
D.进入系统,获取信息及伪造信息


点击查看答案


11、单项选择题  在正常情况下,应急计划应该至少多久进行一次针对正确性和完整性的检查()

A.1年
B.2年
C.半年
D.5年


点击查看答案


12、单项选择题  防范密码嗅探攻击计算机系统的控制措施包括下列哪一项?()

A.静态和重复使用的密码。
B.加密和重复使用的密码。
C.一次性密码和加密。
D.静态和一次性密码。


点击查看答案


13、单项选择题  信息资产面临的主要威胁来源主要包括()

A.自然灾害
B.系统故障
C.内部人员操作失误
D.以上都包括


点击查看答案


14、判断题  一次买断以后再版就不必再给作者支付稿费。


点击查看答案


15、单项选择题  建立应急响应计划最重要的是()

A.业务影响分析
B.测试及演练
C.各部门的参与
D.管理层的支持


点击查看答案


16、填空题  ()是未来网络安全产品发展方向。


点击查看答案


17、单项选择题  下面对于CC的“保护轮廓”(PP)的说法最准确的是:()

A.对系统防护强度的描述
B.对评估对象系统进行规范化的描述
C.对一类TOE的安全需求,进行与技术实现无关的描述
D.由一系列保证组件构成的包,可以代表预先定义的保证尺度


点击查看答案


18、单项选择题  由于IT的发展,灾难恢复计划在大型组织中的应用也发生了变化。如果新计划没有被测试下面哪项是最主要的风险()

A.灾难性的断电
B.资源的高消耗
C."恢复的总成本不能被最小化"
D.用户和恢复团队在实施计划时可能面临服务器问题


点击查看答案


19、多项选择题  网络安全审计系统一般包括()。

A.网络探测引擎
B.数据管理中心
C.审计中心
D.声光报警系统


点击查看答案


20、单项选择题  在系统实施后评审过程中,应该执行下面哪个活动?()

A.用户验收测试
B.投资收益分析
C.激活审计模块
D.更新未来企业架构


点击查看答案


21、单项选择题  程序设计和编码的问题引入的风险为:()

A."网络钓鱼"
B."缓冲区溢出"
C."SYN攻击"
D.暴力破解


点击查看答案


22、单项选择题  以下哪项不属于信息系统安全保障模型包含的方面?()

A.保障要素。
B.生命周期。
C.安全特征。
D.通信安全。


点击查看答案


23、单项选择题  对于外部组织访问企业信息资产的过程中相关说法不正确的是?()

A.为了信息资产更加安全,禁止外部组织人员访问信息资产。
B.应确保相关信息处理设施和信息资产得到可靠的安全保护。
C.访问前应得到信息资产所有者或管理者的批准。
D.应告知其所应当遵守的信息安全要求。


点击查看答案


24、单项选择题  信息安全需求获取的主要手段()

A.信息安全风险评估
B.领导的指示
C.信息安全技术
D.信息安全产品


点击查看答案


25、单项选择题  信息系统审核员应该预期谁来授权对生产数据和生产系统的访问?()

A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者


点击查看答案


26、判断题  电子商务的网络零售不包括B2C和2C。


点击查看答案


27、单项选择题  在NT中,哪个工具可以修改的全部注册表值?()

A.RegconF.exe
B.Regedit.exe
C.HivE.bat
D.Regedit32.exe


点击查看答案


28、单项选择题  如果双方使用的密钥不同,从其中的一个密钥很难推出另外一个密钥,这样的系统称为()

A.常规加密系统
B.单密钥加密系统
C.公钥加密系统
D.对称加密系统


点击查看答案


29、单项选择题  下列哪项是私有IP地址?()

A.10.5.42.5
B.172.76.42.5
C.172.90.42.5
D.241.16.42.5


点击查看答案


30、单项选择题  网络“抄袭”纠纷频发反映了()

A、互联网产业创新活力不足
B、互联网诚信缺失
C、互联网市场行为亟待规范
D、互联网立法工作的滞后


点击查看答案


31、单项选择题  下面关于定性风险评估方法的说法正确的是()

A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
C.在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
D.定性风险分析提供了较好的成本效益分析


点击查看答案


32、单项选择题  应急响应计划应该多久测试一次?()

A.10年
B.当基础环境或设施发生变化时
C.2年
D.当组织内业务发生重大的变更时


点击查看答案


33、单项选择题  TCP握手中,缩写RST指的是什么?()

A.Reset
B.Response
C.Reply State
D.Rest


点击查看答案


34、单项选择题  ISO27004是指以下哪个标准()

A.《信息安全管理体系要求》
B.《信息安全管理实用规则》
C.《信息安全管理度量》
D.《ISMS实施指南》


点击查看答案


35、单项选择题  根据PPDR模型:()

A.一个信息系统的安全保障体系应当以人为核心,防护、检测和恢复组成一个完整的、动态的循环
B.判断一个系统系统的安全保障能力,主要看安全策略的科学性与合理性,以及安全策略的落实情况
C.如果安全防护时间小于检测时间加响应时间,这该系统一定是不安全的
D.如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间


点击查看答案


36、判断题  我国网络安全防御工程建设还有待加强就是因为我国国家级投入相对较少。


点击查看答案


37、单项选择题  应急响应计划文档不应该()

A.分发给公司所有人员
B.分发给参与应急响应工作的所有人员
C.具有多份拷贝在不同的地点保存
D.由专人负责保存与分发


点击查看答案


38、单项选择题  下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)?()

A.试运行
B.纸面测试
C.单元
D.系统


点击查看答案


39、填空题  ()是密码学发展史上唯一一次真正的革命。


点击查看答案


40、单项选择题  SQL的查询方法存在缺陷,因此导致一个用户的查询可能会重用缓冲的()帐号的连接。

A、Administrator
B、sa
C、user
D、guest


点击查看答案


41、单项选择题  组织与供应商协商服务水平协议,下面哪一个最先发生?()

A.制定可行性研究
B.检查是否符合公司策略
C.草拟服务水平协议
D.草拟服务水平要求


点击查看答案


42、问答题  密码的研究、生产、销售时哪个部门负责的?


点击查看答案


43、单项选择题  PSEC中的ESP机制最主要的作用是什么?()

A.确认信息包的来源
B.进行完整性验证
C.提供机密性服务
D.抗重放攻击


点击查看答案


44、单项选择题  信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行,下面哪项包括非典型的安全协调应包括的人员?()

A.管理人员、用户、应用设计人员
B.系统运维人员、内部审计人员、安全专员
C.内部审计人员、安全专员、领域专家
D.应用设计人员、内部审计人员、离职人员


点击查看答案


45、单项选择题  Chinese Wall模型的设计宗旨是:()

A.用户只能访问那些与已经拥有的信息不冲突的信息
B.用户可以访问所有信息
C.用户可以访问所有已经选择的信息
D.用户不可以访问那些没有选择的信息


点击查看答案


46、单项选择题  作为信息安全管理人员,你认为变更管理过程最重要的是?()

A.变更过程要留痕
B.变更申请与上线提出要经过审批
C.变更过程要坚持环境分离和人员分离原则
D.变更要与容灾预案同步


点击查看答案


47、单项选择题  监视恶意代码主体程序是否正常的技术是?()

A.进程守护
B.备份文件
C.超级权限
D.HOOK技术


点击查看答案


48、单项选择题  安全开发制度中,QA最关注的的制度是()

A.系统后评价规定
B.可行性分析与需求分析规定
C.安全开发流程的定义、交付物和交付物衡量标准
D.需求变更规定


点击查看答案


49、单项选择题  在业务持续性计划中,RTO指的是什么?()

A.灾难备份和恢复
B.恢复技术项目
C.业务恢复时间目标
D.业务恢复点目标


点击查看答案


50、单项选择题  以下哪一个协议是用于电子邮件系统的?()

A.X.25
B.X.75
C.X.400
D.X.500


点击查看答案


51、单项选择题  应急响应哪一个阶段用来降低事件再次发生的风险()

A.遏制
B.根除
C.跟踪
D.恢复


点击查看答案


52、单项选择题  在信息系统安全中,暴露由以下哪两种因素共同构成的?()

A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏


点击查看答案


53、单项选择题  应急响应流程一般顺序是()

A.信息安全事件通告、信息安全事件评估、应急启动、应急处置和后期处置
B.信息安全事件评估、信息安全事件通告、应急启动、应急处置和后期处置
C.应急启动、应急处置、信息安全事件评估、信息安全事件通告、后期处置
D.信息安全事件评估、应急启动、信息安全事件通告、应急处置和后期处置


点击查看答案


54、填空题  防火墙是设置在内部网络与外部网络(如互联网)之间,实施()的一个或一组系统。


点击查看答案


55、单项选择题  信息系统的价值确定需要与哪个部门进行有效沟通确定?()

A.系统维护部门
B.系统开发部门
C.财务部门
D.业务部门


点击查看答案


56、单项选择题  CC中的评估保证级4级(EAL3)对应TCSEC和ITSEC的哪个级别?()

A."对应TCSECB1级,对应ITSECE4级"
B."对应TCSECC2级,对应ITSECE4级"
C."对应TCSECB1级,对应ITSECE3级"
D."对应TCSECC2级,对应ITSECE2级"


点击查看答案


57、填空题  涉密信息系统的建设使用单位应对系统设计方案进行审查论证,保密行政管理部门应参与方案审查论证,在()方面加强指导。


点击查看答案


58、单项选择题  以下不是信息资产是哪一项?()

A.服务器
B.机房空调
C.鼠标垫
D.U盘


点击查看答案


59、单项选择题  内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:()

A.导致对其审计独立性的质疑
B.报告较多业务细节和相关发现
C.加强了审计建议的执行
D.在建议中采取更对有效行动


点击查看答案


60、单项选择题  下面那个不是信息安全风险的要素?()

A.资产及其价值
B.数据安全
C.威胁
D.控制措施


点击查看答案


61、单项选择题  目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?()

A.公安部
B.国家保密局
C.信息产业部
D.国家密码管理委员会办公室


点击查看答案


62、单项选择题  信息资产敏感性指的是:()

A.机密性
B.完整性
C.可用性
D.安全性


点击查看答案


63、单项选择题  当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?()

A.个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置


点击查看答案


64、单项选择题  ()作为互联网的诞生地,其互联网发展速度非常之快,信息化程度也是世界之最.

A、美国
B、日本
C、中国
D、德国


点击查看答案


65、单项选择题  降低风险的控制措施有很多,下面哪一个不属于降低风险的措施?()

A.在网络上部署防火墙
B.对网络上传输的数据进行加密
C.制定机房安全管理制度
D.购买物理场所的财产保险


点击查看答案


66、单项选择题  外部组织使用组织敏感信息资产时,以下正确的做法是?()

A.确保使用者得到正确的信息资产。
B.与信息资产使用者签署保密协议。
C.告知信息资产使用的时间限制。
D.告知信息资产的重要性。


点击查看答案


67、单项选择题  为什么实现单点登录的批处理文件及脚本文件需要被保护存储?()

A.因为最小授权原则
B.因为它们不可以被操作员访问到
C.因为它们可能包含用户身份信息
D.因为知所必须原则


点击查看答案


68、单项选择题  DNS查询(queries)工具中的DNS服务使用哪个端口?()

A.UDP 53
B.TCP 23
C.UDP 23
D.TCP 53


点击查看答案


69、单项选择题  下面哪一种物理访问控制能够对非授权访问提供最高级别的安全?()

A.bolting门锁
B.Cipher密码锁
C.电子门锁
D.指纹扫描器


点击查看答案


70、单项选择题  某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?()

A.Bell-LaPadula模型
B.Biba模型
C.信息流模型
D.Clark-Wilson模型


点击查看答案


71、单项选择题  在部署风险管理程序的时候,哪项应该最先考虑到:()

A.组织威胁,弱点和风险概括的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够在一个可以接受的水平上保持风险的结果


点击查看答案


72、单项选择题  下列几个OSI层中,哪一层能够提供访问控制服务?()

A.传输层
B.表示层
C.会话层
D.数据链路层


点击查看答案


73、单项选择题  以下哪个命令可以查看端口对应的PID()

A.netstat-ano
B.ipconfig/all
C.tracert
D.netsh


点击查看答案


74、单项选择题  对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?()

A.改进措施包括纠正和预防措施
B.改进措施可由受审单位提出并实施
C.不可以对体系文件进行更新或修改
D.对改进措施的评价应该包括措施的有效性的分析


点击查看答案


75、填空题  即使在企业环境中,()作为企业纵深防御的一部分也是十分必要的。


点击查看答案


76、单项选择题  授权访问信息资产的责任人应该是()

A.资产保管员
B.安全管理员
C.资产所有人
D.安全主管


点击查看答案


77、单项选择题  下面哪一个不是系统实施阶段风险管理的工作内容()

A.安全测试
B.检查与配置
C.配置变更
D.人员培训


点击查看答案


78、单项选择题  ()是我国网络社会治理的方针。

A、分工负责、齐抓共管
B、积极防御、综合防范
C、一手抓管理、一手抓发展
D、保障公民权益、维护社会稳定


点击查看答案


79、单项选择题  下面选项中不属于数据库安全模型的是:()

A.自主型安全模型
B.强制型安全模型
C.基于角色的模型
D.访问控制矩阵


点击查看答案


80、单项选择题  下列哪一项是DOS攻击的一个实例?()

A.SQL注入
B.IPSpoof
C.Smurf攻击
D.字典破解


点击查看答案


81、单项选择题  以下哪个与电子邮件系统没有直接关系?()

A.PEM
B.PGP
C.X.500
D.X.400


点击查看答案


82、单项选择题  “可信计算基(TCB)”不包括:()

A.执行安全策略的所有硬件
B.执行安全策略的软件
C.执行安全策略的程序组件
D.执行安全策略的人


点击查看答案


83、单项选择题  一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为()

A.5000元
B.10000元
C.25000元
D.15000元


点击查看答案


84、单项选择题  非对称密码算法具有很多优点,其中不包括:()

A.可提供数字签名、零知识证明等额外服务
B.加密/解密速度快,不需占用较多资源
C.通信双方事先不需要通过保密信道交换密钥
D.密钥持有量大大减少


点击查看答案


85、填空题  政府系统信息安全检查指根据国家的相关要求,()主管部门牵头,公安、保密、安全等部门参加,对政府信息系统开展的联合检查。


点击查看答案


86、单项选择题  在信息处理设施(IPF)的硬件更换之后,业务连续性流程经理首先应该实施下列哪项活动?()

A.验证与热门站点的兼容性
B.检查实施报告
C.进行灾难恢复计划的演练
D.更新信息资产清单


点击查看答案


87、单项选择题  恢复阶段的行动一般包括()

A.建立临时业务处理能力
B.修复原系统损害
C.在原系统或新设施中恢复运行业务能力
D.避免造成更大损失


点击查看答案


88、单项选择题  以下哪一个选项是从软件自身功能出发,进行威胁分析()

A.攻击面分析
B.威胁建模
C.架构设计
D.详细设计


点击查看答案


89、单项选择题  数据保护最重要的目标是以下项目中的哪一个()

A.识别需要获得相关信息的用户
B.确保信息的完整性
C.对信息系统的访问进行拒绝或授权
D.监控逻辑访问


点击查看答案


90、判断题  在SSL握手信息中,采用了RSA、MD5等加密技术来实现机密性和数据完整性。


点击查看答案


91、判断题  学术论文是学位申请者为申请学位而提交的具有一定学术价值的论文。


点击查看答案


92、填空题  运行()可以帮助防止遭受网页仿冒欺诈。


点击查看答案


93、单项选择题  面向对象的开发方法中,以下哪些机制对安全有帮助()

A.封装
B.多态
C.继承
D.重载


点击查看答案


94、单项选择题  测试人员与开发人员交互测试发现的过程中,开发人员最关注的什么?()

A.bug的数量
B.bug的严重程度
C.bug的复现过程
D.bug修复的可行性


点击查看答案


95、单项选择题  中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务:()

A、为政府单位信息系统进行安全方案设计
B、在信息安全公司从事保安工作
C、在公开场合宣讲安全知识
D、在学校讲解信息安全课程


点击查看答案


96、单项选择题  下列不属于网络安全测试范畴的是()。

A.结构安全
B.边界完整性检查
C.剩余信息保护
D.网络设备防护


点击查看答案


97、单项选择题  指导和规范信息安全管理的所有活动的文件叫做?()

A.过程
B.安全目标
C.安全策略
D.安全范围


点击查看答案


98、单项选择题  恶意代码的第一个雏形是?()

A.磁芯大战
B.爬行者
C.清除者
D.BRAIN


点击查看答案


99、单项选择题  某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()

A.报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
D.建议终止用户的活动日志能被定期审查


点击查看答案


100、判断题  电子商务是成长潜力大,综合效益好的产业。


点击查看答案


101、单项选择题  下列对SSE-CMM说法错误的是?()

A.它通过域维和能力维共同形成对安全工程能力的评价
B.域维定义了实施安全工程的所有实施活动
C.能力维定义了工程能力的判断标准
D.“公共特征”是域维中对获得过程区目标的必要步骤的定义


点击查看答案


102、单项选择题  在对Linux系统中dir目录及其子目录进行权限权限统一调整时所使用的命令是什么?()

A.rm-fr-755/dir
B.ls-755/dir
C.chmod755/dir/*
D.chmod-R755/dir


点击查看答案


103、填空题  信息安全风险评估的自评估和检查评估都可依托自身技术力量进行,也可委托具有相应资质的()提供技术支持。


点击查看答案


104、单项选择题  ()安装Windows2000时,推荐使用哪种文件格式?

A、NTFS
B、FAT
C、FAT32
D、Linux


点击查看答案


105、单项选择题  谁对组织的信息安全负最终责任?()

A.安全经理
B.高管层
C.IT经理
D.业务经理


点击查看答案


106、单项选择题  哪一项不是业务影响分析(BIA)的工作内容()

A.确定应急响应的恢复目标
B.确定公司的关键系统和业务
C.确定业务面临风险时的潜在损失和影响
D.确定支持公司运行的关键系统


点击查看答案


107、单项选择题  单位中下面几种人员中哪种安全风险最大?()

A.临时员工
B.外部咨询人员
C.现在对公司不满的员工
D.离职的员工


点击查看答案


108、单项选择题  下列角色谁应该承担决定信息系统资源所需的保护级别的主要责任?()

A.信息系统安全专家
B.业务主管
C.安全主管
D.系统审查员


点击查看答案


109、单项选择题  信息安全风险评估对象确立的主要依据是什么()

A.系统设备的类型
B.系统的业务目标和特性
C.系统的技术架构
D.系统的网络环境


点击查看答案


110、单项选择题  以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()

A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书


点击查看答案


111、单项选择题  随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:()

A.测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D.通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。


点击查看答案


112、单项选择题  电子商务交易必须具备抗抵赖性,目的在于防止()。

A.一个实体假装成另一个实体
B.参与此交易的一方否认曾经发生过此次交易
C.他人对数据进行非授权的修改、破坏
D.信息从被监视的通信过程中泄漏出去


点击查看答案


113、单项选择题  以下有关信息安全方面的业务连续性管理的描述,不正确的是()

A.信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B.企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C.业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D.信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入


点击查看答案


114、填空题  美国()政府提出来网络空间的安全战略。


点击查看答案


115、单项选择题  信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息安全方面的建议?()

A.相关安全信息的最佳实践和最新状态知识。
B.尽早接受到关于攻击和脆弱点的警告、建议和补丁
C.分享和交换关于新的技术、产品、威胁或脆弱点信息
D.以上都是


点击查看答案


116、单项选择题  在数据库系统中,()是信息系统的第一道屏障。

A、数据加密
B、数据库加密
C、口令保护
D、数据审计


点击查看答案


117、单项选择题  降低企业所面临的信息安全风险,可能的处理手段不包括哪些()

A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
D.通过业务外包的方式,转嫁所有的安全风险


点击查看答案


118、单项选择题  以下关于软件安全测试说法正确的是?()

A.软件安全测试就是黑盒测试。
B.Fuzz测试是经常采用的安全测试方法之一。
C.软件安全测试关注的是软件的功能。
D.软件安全测试可以发现软件中产生的所有安全问题。


点击查看答案


119、单项选择题  《关于信息安全等级保护的实施意见》中信息和信息系统安全保护等级的第三级的定义是()

A.自主保护级
B.指导保护级
C.强制保护级
D.监督保护级


点击查看答案


120、单项选择题  合适的信息资产存放的安全措施维护是谁的责任()

A.安全管理员
B.系统管理员
C.数据和系统所有者
D.系统运行组


点击查看答案


121、单项选择题  当你发送一条GRANT语句时,服务器会在()里创建一个记录项并把你用户名、主机名和口令记录在User、Host和Password列中。

A、db权限表
B、host权限表
C、table_priv权限表
D、user权限表


点击查看答案


122、单项选择题  下列哪项不是Kerberos密钥分发服务(KDS)的一部分?()

A.Kerberos票证授予服务器(TGS)。
B.Kerberos身份验证服务器(KAS)。
C.存放用户名和密码的数据库。
D.Kerberos票证吊销服务器(TRS)。


点击查看答案


123、单项选择题  给计算机系统的资产分配的记号被称为什么()

A.安全属性
B.安全特征
C.安全标记
D.安全级别


点击查看答案


124、单项选择题  TACACS使用哪个端口?()

A.TCP 69
B.TCP 49
C.UDP 69
D.UDP 49


点击查看答案


125、单项选择题  广义的网络信息保密性是指()

A、利用密码技术对信息进行加密处理,以防止信息泄漏和保护信息不为非授权用户掌握
B、保证数据在传输、存储等过程中不被非法修改
C、对数据的截获、篡改采取完整性标识的生成与检验技术
D、保守国家机密,或是未经信息拥有者的许可,不得非法泄漏该保密信息给非授权人员


点击查看答案


126、单项选择题  下列哪一项不是工程实施阶段信息安全工程监理的主要目标?()

A.明确工程实施计划,对于计划的调整必须合理、受控
B.促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准
C.促使业务单位与承建单位充分沟通,形成深化的安全需求
D.促使工程实施过程满足承建合同的要求,并与工程设计方案、工程计划相符


点击查看答案


127、单项选择题  以下哪组全部都是多边安全模型?()

A.BLP模型和BIBA模型
B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BMA模型
D.Clark-Wilson模型和Chinese wall模型


点击查看答案


128、单项选择题  ()哪个版本的Windows允许对隐藏文件加密?

A、Windows98
B、WindowsME
C、Windows2000
D、WindowsServer2003


点击查看答案


129、单项选择题  组织中对于每个独立流程都有对应的业务连续性计划,但缺乏全面的业务连续性计划,应采取下面哪一项行动?()

A.建议建立全面的业务连续性计划
B.确认所有的业务连续性计划是否相容
C.接受已有业务连续性计划
D.建议建立单独的业务连续性计划


点击查看答案


130、单项选择题  以下哪项不是信息安全的主要目标()

A.确保业务连续性
B.保护信息免受各种威胁的损害
C.防止黑客窃取员工个人信息
D.投资回报和商业机遇最大化


点击查看答案


131、多项选择题  下列符合我国网络舆论特点的是()。

A、参与主体的广泛化与复杂化
B、互动参与性
C、时效性
D、监督性


点击查看答案


132、单项选择题  恢复策略的选择最可能取决于()

A.基础设施和系统的恢复成本
B.恢复站点的可用性
C.关键性业务流程
D.事件响应流程


点击查看答案


133、单项选择题  组织允许外部通过互联网访问组织的局域网之前,首先要考虑实施以下哪项措施?()

A.保护调制解调器池。
B.考虑适当的身份验证方式。
C.为用户提供账户使用信息。
D.实施工作站锁定机制。


点击查看答案


134、单项选择题  在制定一个正式的企业安全计划时,最关键的成功因素将是?()

A.成立一个审查委员会
B.建立一个安全部门
C.向执行层发起人提供有效支持
D.选择一个安全流程的所有者


点击查看答案


135、多项选择题  路由器可以通过()来限制带宽。

A.源地址
B.目的地址
C.用户
D.协议


点击查看答案


136、单项选择题  如果恢复时间目标增加,则()

A.灾难容忍度增加
B.恢复成本增加
C.不能使用冷备援计算机中心
D.数据备份频率增加


点击查看答案


137、单项选择题  关于信息安全策略文件的评审以下说法不正确的是哪个?()

A.信息安全策略应由专人负责制定、评审。
B.信息安全策略评审每年应进行两次,上半年、下半年各进行一次。
C.在信息安全策略文件的评审过程中应考虑组织业务的重大变化。
D.在信息安全策略文件的评审过程中应考虑相关法律法规及技术环境的重大变化。


点击查看答案


138、单项选择题  FINGER服务使用哪个TCP端口?()

A.69
B.119
C.79
D.70


点击查看答案


139、单项选择题  对信息安全的理解,正确的是()

A.信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的
B.通过信息安全保障措施,确保信息不被丢失
C.通过信息安全保证措施,确保固定资产及相关财务信息的完整性
D.通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性


点击查看答案


140、单项选择题  以下哪组全部是完整性模型?()

A.BLP模型和BIBA模型
B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BIBA模型
D.Clark-Wilson模型和Chinese wall模型


点击查看答案


141、单项选择题  什么类型的软件应用测试被用于测试的最后阶段,并且通常包含不属于开发团队之内的用户成员?()

A.Alpha测试
B.白盒测试
C.回归测试
D.Beta测试


点击查看答案


142、单项选择题  依据信息系统安全保障模型,以下那个不是安全保证对象()

A.机密性
B.管理
C.过程
D.人员


点击查看答案


143、单项选择题  如果出现IT人员和最终用户职责分工的问题,下面哪个选项是合适的补偿性控制?()

A.限制物理访问计算机设备
B.检查应用及事务处理日志
C.在聘请IT人员之前进行背景检查
D.在不活动的特定时间后,锁定用户会话


点击查看答案


144、判断题  传播网络病毒,恶意进行网络攻击不属于网络不诚信问题的表现。


点击查看答案


145、单项选择题  一个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于()

A.冷站
B.温站
C.直线站点
D.镜像站点


点击查看答案


146、单项选择题  数据库管理员执行以下那个动作可能会产生风险?()

A.根据变更流程执行数据库变更
B.安装操作系统的补丁和更新
C.排列表空间并考虑表合并的限制
D.执行备份和恢复流程


点击查看答案


147、单项选择题  下列哪项是系统问责所需要的?()

A.授权。
B.多人共用同一帐号。
C.审计机制。
D.系统设计的形式化验证


点击查看答案


148、单项选择题  我国信息安全事件分级分为以下哪些级别()

A.特别重大事件-重大事件-较大事件-一般事件
B.特别重大事件-重大事件-严重事件-较大事件-一般事件
C.特别严重事件-严重事件-重大事件-较大事件-一般事件
D.特别严重事件-严重事件-较大事件-一般事件


点击查看答案


149、单项选择题  一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?()

A.将硬盘的每一个比特写成“O”
B.将硬盘彻底毁坏
C.选择秘密信息进行删除
D.进行低级格式化


点击查看答案


150、单项选择题  业务影响分析的主要目的是:()

A.在灾难之后提供一个恢复行动的计划
B.识别能够影响组织运营持续性的事件
C.公布组织对物理和逻辑安全的义务
D.提供一个有效灾难恢复计划的框架


点击查看答案


151、单项选择题  组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:()

A、实施策略需要的时间和资源
B、攻击者的动机
C、服务可用性
D、证据保留的时间


点击查看答案


152、多项选择题  网络环境下的舆论信息主要来自()。

A、新闻评论
B、BBS
C、博客
D、聚合新闻


点击查看答案


153、单项选择题  构成风险的关键因素有哪些?()

A.人,财,物
B.技术,管理和操作
C.资产,威胁和弱点
D.资产,可能性和严重性


点击查看答案


154、单项选择题  企业信息安全事件的恢复过程中,以下哪个是最关键的?()

A.数据
B.应用系统
C.通信链路
D.硬件/软件


点击查看答案


155、单项选择题  以下对信息安全问题产生的根源描述最准确的是:()

A.信息安全问题是由于信息技术的不断发展造成的
B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的
C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏


点击查看答案


156、单项选择题  有关Kerberos说法下列哪项是正确的?()

A.它利用公钥加密技术。
B.它依靠对称密码技术。
C.它是第二方的认证系统。
D.票据授予之后将加密数据,但以明文方式交换密码


点击查看答案


157、单项选择题  在评估信息系统的管理风险。首先要查看()

A.控制措施已经适当
B.控制的有效性适当
C.监测资产有关风险的机制
D.影响资产的漏洞和威胁


点击查看答案


158、单项选择题  某公司在测试灾难恢复计划时是发现恢复业务运营所必要的关键数据没有被保留,可能由于什么没有明确导致的?()

A.服务中断的时间间隔
B.目标恢复时间(RTO)
C.服务交付目标
D.目标恢复点(RPO)


点击查看答案


159、单项选择题  在信息系统安全中,风险由以下哪两种因素共同构成的?()

A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏


点击查看答案


160、判断题  网络道德的本质是社会道德,是社会道德在网络领域中的新体现。


点击查看答案


161、单项选择题  组织在制定灾难恢复计划时,应该最先针对以下哪点制定()

A.所有信息系统流程
B.所有应用系统流程
C.信息系统经理指派的路程
D.业务经理定义的流程优先级


点击查看答案


162、判断题  对知识产权著作权的法律知识给予更多的宣传和普及是学术腐败治理中个人层面有效方法。


点击查看答案


163、单项选择题  下列对于CC的“评估保证级”(EAL)的说法最准确的是:()

A.代表着不同的访问控制强度
B.描述了对抗安全威胁的能力级别
C.是信息技术产品或信息技术系统对安全行为和安全功能的不同要求
D.由一系列保证组件构成的包,可以代表预先定义的保证尺度


点击查看答案


164、单项选择题  下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。()

A.NMAP
B.NLSOOKUP
C.ICESWord
D.Xscan


点击查看答案


165、单项选择题  在一份热站、温站或冷站协议中,协议条款应包含以下哪一项需考虑的事项()

A.具体的保证设施
B.订户的总数
C.同时允许使用设施的订户数量
D.涉及的其他用户


点击查看答案


166、单项选择题  下列哪一项是常见web站点脆弱性扫描工具:()

A.AppScan
B.Nmap
C.Sniffer
D.LC


点击查看答案


167、单项选择题  下面哪一个不是高层安全方针所关注的()

A.识别关键业务目标
B.定义安全组织职责
C.定义安全目标
D.定义防火墙边界防护策略


点击查看答案


168、填空题  《计算机信息系统安全保护条例》规定,()主管全国计算机信息安全保护工作。


点击查看答案


169、单项选择题  在未受保护的通信线路上传输数据和使用弱口令是一种?()

A.弱点
B.威胁
C.可能性
D.影响


点击查看答案


170、单项选择题  我国的信息安全保障基本原则是?()

A.正确处理安全与发展的关系,以安全保发展,在发展中求安全。
B.立足国情,以我为主,坚持管理与技术并重。
C.强化未来安全环境,增强研究、开发和教育以及投资先进的技术来构建将来的环境。
D.明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。


点击查看答案


171、单项选择题  下列关于安全审计的内容说法中错误的是()。

A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。
B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
C.应能根据记录数据进行分析,并生成报表。
D.为了节约存储空间,审计记录可以随意删除、修改或覆盖。


点击查看答案


172、单项选择题  以下哪一种局域网传输媒介是最可靠的?()

A.同轴电缆
B.光纤
C.双绞线(屏蔽)
D.双绞线(非屏蔽)


点击查看答案


173、单项选择题  数据库的加密方法中,采用(),则密钥管理较为简单,只需借用文件加密的密钥管理方法。

A、库外加密
B、库内加密
C、记录加密
D、元组加密


点击查看答案


174、单项选择题  OSI的第五层是:()

A.会话层
B.传输层
C.网络层
D.表示层


点击查看答案


175、单项选择题  密码出口政策最严格的是以下哪个国家?()

A.法国
B.美国
C.爱尔兰
D.新加坡


点击查看答案


176、单项选择题  数据库访问控制策略中,()是只让用户得到有相应权限的信息,这些信息恰到可以让用户完成自己的工作,其他的权利一律不给。

A、最大程度共享策略
B、颗粒大小策略
C、存取类型控制策略
D、只需策略


点击查看答案


177、单项选择题  变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()

A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
B.应该将重点放在风险发生后的纠正措施上。
C.应该很好的定义和实施风险规避的措施。
D.如果是公司领导要求的,对变更过程不需要追踪和审查


点击查看答案


178、判断题  对钱财的贪婪也是网络违法犯罪行为的原始动力。


点击查看答案


179、单项选择题  下列有关密码学的说法中错误的是:()

A.密码学是研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学和密码分析学。
B.密码编码学是对密码体制、密码体制的输入输出关系进行分析,以便推出机密变量、包括明文在内的敏感数据。
C.密码分析学主要研究加密消息的破译或消息的伪造。
D.密码编码学主要研究对信息进行编码,实现对信息的隐蔽。


点击查看答案


180、单项选择题  评估BCP时,下列哪一项应当最被关注:()

A.灾难等级基于受损功能的范围,而不是持续时间
B.低级别灾难和软件事件之间的区别不清晰
C.总体BCP被文档化,但详细恢复步骤没有规定
D.宣布灾难的职责没有被识别


点击查看答案


181、单项选择题  对于信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保()

A.信息资产被过度保护
B.不考虑资产的价值,基本水平的保护都会被实施
C.对信息资产实施适当水平的保护
D.对所有信息资产保护都投入相同的资源


点击查看答案


182、单项选择题  下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?()

A.审计措施不能自动执行,而检测措施可以自动执行
B.检测措施不能自动执行,而审计措施可以自动执行
C.审计措施是一次性的或周期性的进行,而检测措施是实时的进行
D.检测措施是一次性的或周期性的进行,而审计措施是实时的进行


点击查看答案


183、单项选择题  以下哪项是组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动?()

A.反应业务目标的信息安全方针、目标以及活动;
B.来自所有级别管理者的可视化的支持与承诺;
C.提供适当的意识、教育与培训
D.以上所有


点击查看答案


184、单项选择题  下述攻击手段中不属于DOS攻击的是:()

A.Smurf攻击
B.Land攻击
C.Teardrop攻击
D.CGI溢出攻击


点击查看答案


185、单项选择题  在某个公司中,以下哪个角色最适合评估信息安全的有效性?()

A.公司的专家
B.业务经理
C.IT审计员
D.信息安全经理


点击查看答案


186、判断题  新兴信息安全技术将成主流是信息安全技术发展趋势。


点击查看答案


187、单项选择题  在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是:()

A.非授权用户可以使用ID擅自进入
B.用户访问管理费时
C.很容易猜测密码
D.无法确定用户责任


点击查看答案


188、填空题  在一个有多个防火墙存在的环境中,每个连接两个()的计算机或网络都是DMZ。


点击查看答案


189、单项选择题  下面哪一项不属于微软SDL的七个阶段之一?()

A.培训
B.需求
C.销售
D.验证


点击查看答案


190、单项选择题  组织内数据安全官的最为重要的职责是:()

A.推荐并监督数据安全策略
B.在组织内推广安全意识
C.制定IT安全策略下的安全程序/流程
D.管理物理和逻辑访问控制


点击查看答案


191、单项选择题  基本的计算机安全需求不包括下列哪一条:()

A.安全策略和标识
B.绝对的保证和持续的保护
C.身份鉴别和落实责任
D.合理的保证和连续的保护


点击查看答案


192、判断题  含有虚假的信息源、发件人、路由等信息的电子邮件为垃圾邮件。


点击查看答案


193、单项选择题  安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全规则”?()

A.Biba模型中的不允许向上写
B.Biba模型中的不允许向下读
C.Bell-LaPadula模型中的不允许向下写
D.Bell-LaPadula模型中的不允许向上读


点击查看答案


194、填空题  露天开采的原矿成本由()和()两部分组成。


点击查看答案


195、单项选择题  “如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?()

A.星型
B.树型
C.环型
D.复合型


点击查看答案


196、单项选择题  以下哪一个是对于参观者访问数据中心的最有效的控制?()

A.陪同参观者
B.参观者佩戴证件
C.参观者签字
D.参观者由工作人员抽样检查


点击查看答案


197、单项选择题  以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?()

A.电路调整器Power line conditioners
B.电流浪涌防护装置A surge protective device
C.替代电源
D.不间断供电


点击查看答案


198、单项选择题  在企业内部互联网中,一个有效的安全控制机制是:()

A.复查
B.静态密码
C.防火墙
D.动态密码


点击查看答案


199、填空题  浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息,并反映用户的使用习惯、隐私等。因此应当()以避免他人获得并造成隐私泄密。


点击查看答案


200、单项选择题  为了防止物理上取走数据库而采取的加强数据库安全的方法是()

A、数据加密
B、数据库加密
C、口令保护
D、数据审计


点击查看答案


201、单项选择题  以下哪一个是数据保护的最重要的目标?()

A.确定需要访问信息的人员
B.确保信息的完整性
C.拒绝或授权对系统的访问
D.监控逻辑访问


点击查看答案


202、单项选择题  下面哪一项不是风险评估的过程?()

A.风险因素识别
B.风险程度分析
C.风险控制选择
D.风险等级评价


点击查看答案


203、单项选择题  在数据中心使用稳压电源,以保证:()

A.硬件免受电源浪涌
B.主电源被破坏后的完整性维护
C.主电源失效后可以立即使用
D.针对长期电力波动的硬件包含


点击查看答案


204、单项选择题  在计算可接受的关键业务流程恢复时间时()

A.只需考虑停机时间的成本
B.需要分析恢复操作的成本
C.停机时间成本和恢复操作成本都需要考虑
D.可以忽略间接的停机成本


点击查看答案


205、单项选择题  下列哪项不属于SSE-CMM中能力级别3“充分定义”级的基本内容:()

A.改进组织能力
B.定义标准过程
C.协调安全实施
D.执行已定义的过程


点击查看答案


206、单项选择题  下列哪项是多级安全策略的必要组成部分?()

A.主体、客体的敏感标签和自主访问控制。
B.客体敏感标签和强制访问控制。
C.主体的安全凭证、客体的安全标签和强制访问控制。
D.主体、客体的敏感标签和对其“系统高安全模式”的评价


点击查看答案


207、单项选择题  在实施风险管理程序的时候,下列哪一项应该被最先考虑到:()

A.组织的威胁,弱点和风险概貌的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上


点击查看答案


208、单项选择题  在评估一个高可用性网络的恢复能力时,下列情况风险最高:()

A.设备在地理位置上分散
B.网络服务器位于同一地点
C.热站就绪可以被激活
D.网络执行了不同行程


点击查看答案


209、单项选择题  下列哪一项是首席安全官的正常职责?()

A.定期审查和评价安全策略
B.执行用户应用系统和软件测试与评价
C.授予或废除用户对IT资源的访问权限
D.批准对数据和应用系统的访问权限


点击查看答案


210、单项选择题  Visa和MasterCard共同开发的用于信用卡交易的安全协议是什么?()

A.SSL
B.SET
C.PPTP
D.三重DES


点击查看答案


211、单项选择题  一组将输入转化为输出的相互关联或相互作用的什么叫做过程?()

A.数据
B.信息流
C.活动
D.模块


点击查看答案


212、单项选择题  下面哪一个是定义深度防御安全原则的例子?()

A.使用由两个不同提供商提供的防火墙检查进入网络的流量
B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
C.在数据中心建设中不使用明显标志
D.使用两个防火墙检查不同类型进入网络的流量


点击查看答案


213、单项选择题  使用热站作为备份的优点是:()

A.热站的费用低
B.热站能够延长使用时间
C.热站在短时间内可运作
D.热站不需要和主站点兼容的设备和系统软件


点击查看答案


214、单项选择题  以下哪个不可以作为ISMS管理评审的输入()

A.ISMS审计和评审的结果
B.来自利益伙伴的反馈
C.某个信息安全项目的技术方案
D.预防和纠正措施的状态


点击查看答案


215、单项选择题  P2DR模型强调了落实反应和系统安全的动态性,其中的“检测”使用的主要方法是?()

A.检测。
B.报警。
C.记录。
D.实时监控。


点击查看答案


216、单项选择题  以下哪项行为可能使用嗅探泄露系统的管理员密码?()

A.使用root用户访问FTP程序
B.使用root用户连接SSH服务
C.使用root进行SCP文件传输
D.在本地使用root用户登录


点击查看答案


217、判断题  电子商务促进了企业基础架构的变革和变化。


点击查看答案


218、单项选择题  当更新一个正在运行的在线订购系统时,更新都记录在一个交易磁带和交易日志副本。在一天业务结束后,订单文件备份在磁带上。在备份过程中,驱动器故障和订单文件丢失。以下哪项对于恢复文件是必须的?()

A.前一天的备份文件和当前的交易磁带
B.前一天的交易文件和当前的交易磁带
C.当前的交易磁带和当前的交易日志副本
D.当前的交易日志副本和前一天的交易交易文件


点击查看答案


219、单项选择题  下面关于密码算法的说法错误的是?()

A.分组密码又称作块加密
B.流密码又称作序列密码
C.DES算法采用的是流密码
D.序列密码每次加密一位或一个字节的明文


点击查看答案


220、单项选择题  下面各种方法,哪个是制定灾难恢复策略必须最先评估的()

A.所有的威胁可以被完全移除
B.一个可以实现的成本效益,内置的复原
C.恢复时间可以优化
D.恢复成本可以最小化


点击查看答案


221、单项选择题  以下哪种访问控制策略需要安全标签?()

A.基于角色的策略
B.基于标识的策略
C.用户指向的策略
D.强制访问控制策略


点击查看答案


222、单项选择题  下面哪一项组成了CIA三元组?()

A.保密性,完整性,保障
B.保密性,完整性,可用性
C.保密性,综合性,保障
D.保密性,综合性,可用性


点击查看答案


223、单项选择题  以下哪项是正确的信息安全保障发展历史顺序?()

A.通信安全→计算机安全→信息系统安全→信息安全保障→网络空间安全/信息安全保障
B.通信安全→信息安全保障→计算机安全→信息系统安全→网络空间安全/信息安全保障
C.计算机安全→通信安全→信息系统安全→信息安全保障→网络空间安全/信息安全保障
D.通信安全→信息系统安全→计算机安全→信息安全保障→网络空间安全/信息安全保障


点击查看答案


224、判断题  互联网不良信息泛滥的原因有多种,网络道德观念的缺乏属其中一种。


点击查看答案


225、填空题  防火墙规则集应该尽可能的(),规则集越(),错误配置的可能性就越小,系统就越安全。


点击查看答案


226、单项选择题  风险评估实施过程中资产识别的范围主要包括什么类别()

A.网络硬件资产
B.数据资产
C.软件资产
D.以上都包括


点击查看答案


227、单项选择题  发生()后,磁盘上的物理数据和日志文件被破坏,这是最严重的一种故障,恢复方法是重装数据库,然后重做已完成的事务。

A、系统故障
B、事故故障
C、介质故障
D、软件故障


点击查看答案


228、单项选择题  下面对ISO27001的说法最准确的是:()

A.该标准的题目是信息安全管理体系实施指南
B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准
C.该标准提供了一组信息安全管理相关的控制措施和最佳实践
D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型


点击查看答案


229、单项选择题  下列哪一项不是安全编程的原则:()

A.尽可能使用高级语言进行编程
B.尽可能让程序只实现需要的功能
C.不要信任用户输入的数据
D.尽可能考虑到意外的情况,并设计妥善的处理方法


点击查看答案


230、单项选择题  下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:()

A.风险过程
B.保证过程
C.工程过程
D.评估过程


点击查看答案


231、单项选择题  以下哪些不是可能存在的弱点问题?()

A.保安工作不得力
B.应用系统存在Bug
C.内部人员故意泄密
D.物理隔离不足


点击查看答案


232、判断题  双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征。


点击查看答案


233、单项选择题  下面哪一项是缓冲溢出的危害?()

A.可能导致shellcode的执行而非法获取权限,破坏系统的保密性
B.执行shellcode后可能进行非法控制,破坏系统的完整性
C.可能导致拒绝服务攻击,破坏系统的可用性
D.以上都是


点击查看答案


234、单项选择题  网络安全技术层面的特性有可控性、可用性、完整性、保密性和()

A、多样性
B、复杂性
C、可操作性
D、不可否认性


点击查看答案


235、单项选择题  以下哪个选项是缺乏适当的安全控制的表现()

A.威胁
B.脆弱性
C.资产
D.影响


点击查看答案


236、单项选择题  负责制定、执行和维护内部安全控制制度的责任在于:()

A.IS审计员
B.管理层
C.外部审计师
D.程序开发人员


点击查看答案


237、单项选择题  ()对于帐户策略的描述,以下哪句话是错误的?

A、可以设定最短密码长度和密码最长期限。
B、可以强制锁定指定次数登录不成功的用户
C、帐户策略一律应用于域内的所有用户帐户
D、可以为同一域内的不同部门定义不同帐户策略


点击查看答案


238、单项选择题  如何对信息安全风险评估的过程进行质量监控和管理?()

A.对风险评估发现的漏洞进行确认
B.针对风险评估的过程文档和结果报告进行监控和审查
C.对风险评估的信息系统进行安全调查
D.对风险控制测措施有有效性进行测试


点击查看答案


239、单项选择题  255.0.0.0是哪类网址的默认MASK?()

A.A类
B.B类
C.C类
D.D类


点击查看答案


240、单项选择题  下面哪一个不是系统废弃阶段风险管理的工作内容()

A.安全测试
B.对废弃对象的风险评估
C.防止敏感信息泄漏
D.人员培训


点击查看答案


241、单项选择题  下列哪种病毒能对计算机硬件产生破坏?()

A.CIH
B.CODERED
C.维金
D.熊猫烧香


点击查看答案


242、单项选择题  ISO/IEC27002由以下哪一个标准演变而来?()

A.BS7799-1
B.BS7799-2
C.ISO/IEC17799
D.ISO/IEC13335


点击查看答案


243、单项选择题  在制定控制前,管理层首先应该保证控制()

A.满足控制一个风险问题的要求
B.不减少生产力
C.基于成本效益的分析
D.检测行或改正性的


点击查看答案


244、多项选择题  期刊发表的周期有()。

A.日刊
B、周刊
C、半月刊
D、月刊
E、旬刊


点击查看答案


245、填空题  计算机病毒可能在用户打开()文件时被启动。


点击查看答案


246、单项选择题  ()下列哪个版本的Windows自带了防火墙,该防火墙能够监控和限制用户计算机的网络通信。

A.Windows98
B.WindowsME
C.Windows2000
D.WindowsXP


点击查看答案


247、单项选择题  应急响应领导小组组长应由以下哪个选项担任?()

A.最高管理层
B.信息技术部门领导
C.业务部门领导
D.外部专家


点击查看答案


248、单项选择题  在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:()

A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z


点击查看答案


249、单项选择题  以下哪些不是介质类资产:()

A.纸质文档
B.存储介质
C.软件介质
D.凭证


点击查看答案


250、填空题  互联网安全管理法律法规的适用范围是()、提供互联网数据中心服务的单位和联网使用单位。


点击查看答案


251、填空题  ()是一项用来表述课题研究进展及结果的报告形式。


点击查看答案


252、单项选择题  ITSEC中的F1-F5对应TCSEC中哪几个级别?()

A.D到B2
B.C2到B3
C.C1到B3
D.C2到A1


点击查看答案


253、单项选择题  以下对ISO27001标准的描述不正确的是()

A.企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
B.ISO27001标准与信息系统等级保护等国家标准相冲突
C.ISO27001是源自于英国的国家标准BS7799
D.ISO27001是当前国际上最被认可的信息安全管理标准


点击查看答案


254、单项选择题  当曾经用于存放机密资料的PC在公开市场出售时()

A.对磁盘进行消磁
B.对磁盘低级格式化
C.删除数据
D.对磁盘重整


点击查看答案


255、单项选择题  在一家企业的业务持续性计划中,什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是:()

A.对这种情况的评估可能会延迟
B.灾难恢复计划的执行可能会被影响
C.团队通知可能不会发生
D.对潜在危机的识别可能会无效


点击查看答案


256、单项选择题  ()是指事务在运行至正常终止前被中止,这时恢复子系统应利用日志文件撤销此事物已对数据库进行的修改。

A、系统故障
B、事故故障
C、介质故障
D、软件故障


点击查看答案


257、填空题  灾难恢复和容灾是()意思。


点击查看答案


258、单项选择题  为了达到组织灾难恢复的要求,备份时间间隔不能超过:()

A.服务水平目标(SLO)
B.恢复时间目标(RTO)
C.恢复点目标(RPO)
D.停用的最大可接受程度(MAO)


点击查看答案


259、单项选择题  下列对于Rootkit技术的解释不准确的是:()

A.Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具
B.Rootkit是一种危害大、传播范围广的蠕虫
C.Rootkit和系统底层技术结合十分紧密
D.Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程


点击查看答案


260、单项选择题  在招聘过程中,如果在岗位人员的背景调查中出现问题时,以下做法正确的是?()

A.继续执行招聘流程。
B.停止招聘流程,取消应聘人员资格。
C.与应聘人员沟通出现的问题。
D.再进行一次背景调查。


点击查看答案


261、单项选择题  当以下哪一类人员维护应用系统软件的时候,会造成对“职责分离”原则的违背?()

A.数据维护管理员
B.系统故障处理员
C.系统维护管理员
D.系统程序员


点击查看答案


262、单项选择题  对安全策略的描述不正确的是()

A.信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B.策略应有一个属主,负责按复查程序维护和复查该策略
C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
D.安全策略一旦建立和发布,则不可变更


点击查看答案


263、单项选择题  以下哪项不属于PDCA循环的特点?()

A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.组织中的每个部分,不包括个人,均可以PDCA循环,大环套小环,一层一层地解决问题


点击查看答案


264、单项选择题  以下关于ISMS内部审核报告的描述不正确的是?()

A.内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果
B.内审报告中必须包含对不符合性项的改进建议
C.内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商,核实报告内容。
D.内审报告中必须包括对纠正预防措施实施情况的跟踪


点击查看答案


265、判断题  根据《儿童互联网保护法》,美国的公共图书馆都必须给联网计算机安装^色 情过滤系统,否则图书馆将无法获得政府提供的技术补助资金。


点击查看答案


266、单项选择题  下面哪一个不是脆弱性识别的手段()

A.人员访谈
B.技术工具检测
C.信息资产核查
D.安全专家人工分析


点击查看答案


267、填空题  APT攻击是一种“()”的攻击。


点击查看答案


268、单项选择题  对缓冲区溢出攻击预防没有帮助的做法包括()

A.输入参数过滤,安全编译选项
B.操作系统安全机制、禁止使用禁用API
C.安全编码教育
D.渗透测试


点击查看答案


269、单项选择题  回顾组织的风险评估流程时应首先()

A.鉴别对于信息资产威胁的合理性
B.分析技术和组织弱点
C.鉴别并对信息资产进行分级
D.对潜在的安全漏洞效果进行评价


点击查看答案


270、判断题  我国现行的有关互联网安全的法律框架有法律、行政法规、行政规章和司法解释四个层面。


点击查看答案


271、单项选择题  当涉及到信息算计系统犯罪取证时,应与哪个部门取得联系?()

A.监管机构
B.重要客户
C.供应商
D.政府部门


点击查看答案


272、单项选择题  下列哪种方法能够满足双因子认证的需求?()

A.智能卡和用户PIN
B.用户ID与密码
C.虹膜扫描和指纹扫描
D.用户名和PIN


点击查看答案


273、单项选择题  下列生物识别设备,哪一项的交差错判率(CER)最高?()

A.虹膜识别设备
B.手掌识别设备
C.声音识别设备
D.指纹识别设备


点击查看答案


274、单项选择题  以下哪些不是无形资产()

A.客户关系
B.电子数据
C.商业信誉
D.企业品牌


点击查看答案


275、单项选择题  从安全的角度来看,数据库视图(view)的主要用途是:()

A.确保相关完整性
B.方便访问数据
C.限制用户对数据的访问.
D.提供审计跟踪


点击查看答案


276、单项选择题  如果只能使用口令远程认证,以下哪种方案安全性最好?()

A.高质量静态口令,散列保护传输
B.高质量静态口令,固定密钥加密保护传输
C.动态随机口令,明文传输
D.高质量静态口令,增加随机值,明文传输


点击查看答案


277、单项选择题  BS7799这个标准是由下面哪个机构研发出来的?()

A.美国标准协会
B.英国标准协会
C.中国标准协会
D.国际标准协会


点击查看答案


278、单项选择题  组织内应急通知应主要采用以下哪种方式()

A.电话
B.电子邮件
C.人员
D.公司OA


点击查看答案


279、单项选择题  在Linux操作系统中,为了授权用户具有管理员的某些个性需求的权限所采取的措施是什么?()

A.告诉其他用户root密码
B.将普通用户加入到管理员组
C.使用visudo命令授权用户的个性需求
D.创建单独的虚拟账户


点击查看答案


280、单项选择题  下列关于访问控制模型说法不准确的是?()

A.访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制。
B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问。
C.基于角色的访问控制RBAC中“角色”通常是根据行政级别来定义的。
D.强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策。


点击查看答案


281、单项选择题  负责授权访问业务系统的职责应该属于:()

A.数据拥有者
B.安全管理员
C.IT安全经理
D.请求者的直接上司


点击查看答案


282、单项选择题  在TCP中的六个控制位哪一个是用来请求同步的()

A.SYN
B.ACK
C.FIN
D.RST


点击查看答案


283、单项选择题  下面哪一个机构不属于美国信息安全保障管理部门?()

A.国土安全部
B.国防部
C.国家基础设施顾问委员会
D.国家标准技术研究所


点击查看答案


284、单项选择题  应用软件测试的正确顺序是:()

A.集成测试、单元测试、系统测试、验收测试
B.单元测试、系统测试、集成测试、验收测试
C.验收测试、单元测试、集成测试、系统测试
D.单元测试、集成测试、系统测试、验收测试


点击查看答案


285、单项选择题  发现一台被病毒感染的终端后,首先应:()

A.拔掉网线
B.判断病毒的性质、采用的端口
C.在网上搜寻病毒解决方法
D.呼叫公司技术人员


点击查看答案


286、填空题  计算机网络所面临的威胁主要有对()的威胁和对网络设备的威胁两种。


点击查看答案


287、单项选择题  风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?()

A.只识别与业务及信息系统有关的信息资产,分类识别
B.所有公司资产都要识别
C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产
D.资产识别务必明确责任人、保管者和用户


点击查看答案


288、判断题  国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。”


点击查看答案


289、单项选择题  数据库视图用于?()

A.确保相关完整性
B.方便访问数据
C.限制用户对数据的访问.
D.提供审计跟踪


点击查看答案


290、单项选择题  一名攻击者试图通过暴力攻击来获取下列哪一项信息?()

A.加密密钥
B.加密算法
C.公钥
D.密文


点击查看答案


291、单项选择题  信息安全管理体系策略文件中第一层文件是?()

A.信息安全工作程序
B.信息安全方针政策
C.信息安全作业指导书
D.信息安全工作记录


点击查看答案


292、单项选择题  下列哪一项关于Bell-LaPadula模型特点的描述是错误的?()

A.强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱。
B.既定义了主体对客体的访问,也说明了主体对主体的访问。因此,它适用于网络系统。
C.它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点。
D.比起那些较新的模型而言,Bell-LaPadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系。


点击查看答案


293、单项选择题  下列哪个协议可以防止局域网的数据链路层的桥接环路:()

A.HSRP
B.STP
C.VRRP
D.OSPF


点击查看答案


294、单项选择题  风险评估实施过程中资产识别的依据是什么()

A.依据资产分类分级的标准
B.依据资产调查的结果
C.依据人员访谈的结果
D.依据技术人员提供的资产清单


点击查看答案


295、单项选择题  实施信息系统访问控制首先需要进行如下哪一项工作?()

A.信息系统资产分类
B.信息系统资产标识
C.创建访问控制列表
D.梳理信息系统相关信息资产


点击查看答案


296、判断题  VLAN技术是基于应用层和网络层之间的隔离技术。


点击查看答案


297、单项选择题  以下哪一项属于物理安全方面的管理控制措施?()

A.照明
B.护柱
C.培训
D.建筑设施的材料


点击查看答案


298、单项选择题  ()Windows日志有三种类型:系统日志、应用程序日志、安全日志。这些日志文件通常存放在操作系统的安装区域的哪个目录下?

A.system32\config
B.system32\Data
C.system32\drivers
D.system32\Setup


点击查看答案


299、单项选择题  P2DR模型中的“反应”是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,这些措施包括?()

A.关闭服务
B.向上级汇报
C.跟踪
D.消除影响


点击查看答案


300、单项选择题  作为美国政府()认证的要求,SQLServer2000内置了审计机制,这个机制包含了多个组件,综合利用这些组件将可以审计SQLServer2000所有的权限使用。

A、B1级
B、B2级
C、C1级
D、C2级


点击查看答案


题库试看结束后微信扫下方二维码即可打包下载完整版《★信息安全师考试》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《信息安全师考试:信息安全师考试》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
】【打印繁体】 【关闭】 【返回顶部
下一篇高校实验室安全考试:化学考试题..

相关栏目

问题咨询请搜索关注"91考试网"微信公众号后留言咨询