版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
試題說明
本套試題共包括1套試卷
答案和解析在每套試卷后
ClSP考試練習(xí)題及答案2(500題)
ClSP考試練習(xí)題及答案2
1.[單選題]當(dāng)審核一個組織的業(yè)務(wù)連續(xù)性計(jì)劃時,某IS審計(jì)師觀察到這個被
審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個
特性在這里被證明?
A)防止
B)減輕
C)恢復(fù)
D)響應(yīng)
2.[單選題]從數(shù)據(jù)來源看,入侵檢測系統(tǒng)主要分為哪兩類
A)網(wǎng)絡(luò)型、控制型
B)主機(jī)型、混合型
C)網(wǎng)絡(luò)型、主機(jī)型
D)主機(jī)型、誘捕型
3.[單選題]5?以下對于非集中訪問控制中“域”說法正確的是:
A)每個域的訪問控制與其它域的訪問控制相互關(guān)聯(lián)
B)跨域訪問不一定需要建立信任關(guān)系
C)域中的信必須是雙向的
D)域是一個共享同一安全策略的主體和客體的集合
4.[單選題]小張是信息安全風(fēng)險(xiǎn)管理方面的專家,被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的
風(fēng)險(xiǎn)進(jìn)行評估,已知:核心機(jī)房的總價價值一百萬,災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%),歷
史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次,請問小張最后得到的年度預(yù)期損失為多少:
A)24萬
B)0.09萬
037.5萬
D)9萬
5.[單選題]主體和客體是訪問控制模型中常用的概念。下面描述中錯誤的是
A)主體是動作的實(shí)施者,比如人、進(jìn)程或設(shè)備等均是主體,這些對象不能被當(dāng)作客體使用
B)客體也是一種實(shí)體,是操作的對象,是被規(guī)定需要保護(hù)的資源
C)主體是訪問的發(fā)起者,是一個主動的實(shí)體,可以操作被動實(shí)體的相關(guān)信息或數(shù)據(jù)
D)一個主體為了完成任務(wù),可以創(chuàng)建另外的主體,這些主體可以獨(dú)立運(yùn)行
6.[單選題]自主訪問控制(DAC)是應(yīng)用很廣泛的訪問控制方法,常用于多種商業(yè)系統(tǒng)中,以下對
DAC模型的理解中,存在錯誤的是O
A)在DAC模型中,資源所有者可以確定誰有權(quán)訪問它們的資源
B)DΛC是一種對單位單個用戶執(zhí)行訪問控制的過程和措施
ODAC可為用戶提供靈活調(diào)整的安全策略,具有較好的易用性和可擴(kuò)展性,可以抵御特洛伊木馬的
攻擊
D)在DAC中,具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體
7.[單選題]以下說法正確的是:
A)驗(yàn)收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗(yàn)收
B)軟件測試的目的是為了驗(yàn)證軟件功能是否正確
C)監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計(jì)劃,并提出審查意見
D)軟件測試計(jì)劃開始于軟件設(shè)計(jì)階段,完成于軟件開發(fā)階段
8.[單選題]在風(fēng)險(xiǎn)管理中,殘余風(fēng)險(xiǎn)是指在實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn),關(guān)于殘
余風(fēng)險(xiǎn),下面描述錯誤的是?
A)風(fēng)險(xiǎn)處理措施確定以后,應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單,并獲得管理層對殘余風(fēng)險(xiǎn)的書面批準(zhǔn),這
也是風(fēng)險(xiǎn)管理中的一個重要過程
B)管理層確認(rèn)接受殘余風(fēng)險(xiǎn),是對風(fēng)險(xiǎn)評估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面
臨的風(fēng)險(xiǎn),并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后,組織能夠且必須承擔(dān)引發(fā)的后果
C)接受殘余風(fēng)險(xiǎn),則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制地提高安全保護(hù)
措施的強(qiáng)度,對安全保護(hù)措施的選擇要考慮到成本和技術(shù)的等因素的限制
D)如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級別,則只能被動地選擇接受風(fēng)險(xiǎn),即對風(fēng)險(xiǎn)不采取進(jìn)一步的
處理措施,接受風(fēng)險(xiǎn)可能帶來的結(jié)果
9.[單選題]管理層應(yīng)該表現(xiàn)對(),程序和控制措施的支持,并以身作則。管理職責(zé)要確保雇員和承
包方人員都了解其()角色和職責(zé),并遵守相應(yīng)的條款和條件。組織要建立信息安全意識計(jì)劃,并定
期組織信息安全。.組織要建立正式的(),確保正確和公平的對待被懷疑安全違規(guī)的雇員。紀(jì)律處
理過程要規(guī)定(),考慮例如違規(guī)的性質(zhì)、重要性及對于業(yè)務(wù)的影響等因素,以及相關(guān)法律、業(yè)務(wù)合
同和其他因素。
A)信息安全:信息安全政策:教育和培訓(xùn),紀(jì)律處理過程:分級的響應(yīng)
B)信息安全政策:信息安全;教育和培訓(xùn):紀(jì)律處理過程;分級的響應(yīng)
C)信息安全政策:教育和培訓(xùn):信息安全:紀(jì)律處理過程;分級的響應(yīng)
D)信息安全政策;紀(jì)律處理過程;信息安全:教育和培訓(xùn):分級的響應(yīng)
10.[單選題]下面不屬于PKl組成部分的是()。
A)證書主體
B)使用證書的應(yīng)用和系統(tǒng)
C)證書權(quán)威機(jī)構(gòu)
D)AS
11.[單選題]私網(wǎng)地址用于配置本地網(wǎng)絡(luò)、下列地址中屬私網(wǎng)地址的是?
A)100.0.0.0
B)172.15.0.0
C)192.168.0.0
D)244.0.0.0
12.[單選題]在一個網(wǎng)絡(luò)中,當(dāng)擁有的網(wǎng)絡(luò)地址容量不夠多,或普通終端計(jì)算機(jī)沒有必要分配靜態(tài)
IP地址時,可以采用通過在計(jì)算機(jī)連接到網(wǎng)絡(luò)時,每次為其臨時在IP地址池中選擇一個IP地址
并分配的方式為()
A)動態(tài)分配IP地址
B)靜態(tài)分配IP地址
C)網(wǎng)絡(luò)地址轉(zhuǎn)換分配地址
D)手動分配
13.[單選題]對于LinUX的安全加固項(xiàng)說法錯誤的選項(xiàng)是哪項(xiàng)?
A)使用UnanIe-a確認(rèn)其內(nèi)核是否有漏洞
B)檢查系統(tǒng)是否有重復(fù)的UlD用戶
C)查看文件對于密碼的限制
D)查看hosts文件確保TCPWaPPer生效
14.[單選題]關(guān)于信息安全管理體系,國際上有標(biāo)準(zhǔn)《InformationtechnologySecurity
techniquesInformationSecuritymanagementsystemsRequirements》
(IS0∕IEC27001:2013),而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T
22080-2008)0請問,這兩個標(biāo)準(zhǔn)的關(guān)系是?。
A)1DT(等同采用)。此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn),僅有或沒有編輯性修改
B)EQV(等效采用),此國家標(biāo)準(zhǔn)等效于該國際標(biāo)準(zhǔn),技術(shù)上只有很小差異
ONEQ(非等效采用),此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)
D)沒有采用與否的關(guān)系,兩者之間版本不同,不應(yīng)直接比較
15.[單選題]下面關(guān)于定性風(fēng)險(xiǎn)評估方法的說法不正確的選項(xiàng)是
A)易于操作,可以對風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識
B)主觀性強(qiáng),分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評估小組成員的經(jīng)驗(yàn)和素質(zhì)
C)"耗時短、成本低、可控性高"
D)能夠提供量化的數(shù)據(jù)支持,易被管理層所理解和接受
16.[單選題]安全開發(fā)制度中,QA最關(guān)注的的制度是
A)系統(tǒng)后評價規(guī)定
B)可行性分析與需求分析規(guī)定
C)安全開發(fā)流程的定義、交付物和交付物衡量標(biāo)準(zhǔn)
D)需求變更規(guī)定
17.[單選題]以下對IS027001標(biāo)準(zhǔn)的描述不正確的選項(xiàng)是
A)企業(yè)通過IS027001認(rèn)證則必須符合IS027001信息安全管理體系標(biāo)準(zhǔn)的所有要求
B)ISO27001標(biāo)準(zhǔn)與信息系統(tǒng)等級保護(hù)等國家標(biāo)準(zhǔn)相沖突
C)是源自于英國的國家標(biāo)準(zhǔn)BS7799
D)ISO27001是當(dāng)前國際上最被認(rèn)可的信息安全管理標(biāo)準(zhǔn)
18.[單選題]下列對KerberoS協(xié)議特點(diǎn)描述不正確的是:
A)協(xié)議采用單點(diǎn)登錄技術(shù),無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證
B)協(xié)議與授權(quán)機(jī)制相結(jié)合,支持雙向的身份認(rèn)證
C)只要用戶拿到了TGT并且該TGT沒有過期,就可以使用該TGT通過TGS完成到任一個服務(wù)器的認(rèn)證而
不必重新輸入密碼
D)AS和TGS是集中式管理,容易形成瓶頸,系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全
19.[單選題]信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)部審核和
管理審核是兩項(xiàng)重要的管理活動,關(guān)于這兩者,下面描述錯誤的是
?)內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場審核的形式,而管理評審的實(shí)施方式多采用召開管理
評審會議的形式進(jìn)行
B)內(nèi)部審核和管理評審都很重要,都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力,也都應(yīng)當(dāng)按照一定的周期實(shí)
施
C)內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組,而管理評審的實(shí)施主體是由國家政策指定的第
三方技術(shù)服務(wù)機(jī)構(gòu)
D)組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS文件等,在內(nèi)部審核中作為審核準(zhǔn)使用,但在管
理評審中,這些文件是被審對象
20.[單選題]在軟件保障成熟度模型(SoftWareAssuranceMaturityMode,SAMM)中,規(guī)定了軟件開
發(fā)過程中的核心業(yè)務(wù)功能,下列哪個選項(xiàng)不屬于核心業(yè)務(wù)功能:
A)治理,主要是管理軟件開發(fā)的過程和活動
B)構(gòu)造,主要是在開發(fā)項(xiàng)目中確定目標(biāo)并開發(fā)軟件的過程與活動
C)驗(yàn)證,主要是測試和驗(yàn)證軟件的過程與活動
D)購置,主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動
21.[單選題]以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作
內(nèi)容之一?
A)提高信息技術(shù)產(chǎn)品的國產(chǎn)化率
B)保證信息安全資金投入
C)加快信息安全人才培養(yǎng)
D)重視信息安全應(yīng)急處理工作
22.[單選題]2008年1月2日,美國發(fā)布第54號總統(tǒng)令,建立國家網(wǎng)絡(luò)安全綜合計(jì)劃(COmPrehenSiVe
NationalCybersecurityInitiative,CNCI)oCNel計(jì)劃建立三道防線:第一道防線,減少漏洞和
隱患,預(yù)防入侵;第二道防線,全面應(yīng)對各類威脅;第三道防線,強(qiáng)化未來安全環(huán)境。從以上內(nèi)容
,我們可以看出以下哪種分析是正確的:
A)CNCl的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)
上修修補(bǔ)補(bǔ)
B)從CNCl可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的
C)CNCl是以風(fēng)險(xiǎn)為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)
D)CNCl徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn),而是追
求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障
23.[單選題]LINUX中,什么命令可以控制口令的存活時間?()
A)chage
B)PaSSWd
C)chmod
D)umask
24.[單選題]過濾王連接公安中心端的地址是()
A)221.136.69.81
B)221.136.69.82
0221.136.69.137
D)221.136.69.137
25.[單選題]防火墻能夠—o()
A)防范惡意的知情者
B)防范通過它的惡意連接
C)防備新的網(wǎng)絡(luò)安全問題
D)完全防止傳送已被病毒感染的軟件和文件
26.[單選題]與PDR模型相比,P2DR模型多了哪一個環(huán)節(jié)?
A)防護(hù)
B)檢測
C)反應(yīng)
D)策略
27.[單選題]若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求,其信息安全控制
措施通常在以下方面實(shí)施常規(guī)控制,不包括哪一項(xiàng)
A)規(guī)劃與建立ISMS
B)信息安全方針、信息安全組織、資產(chǎn)管理
C)訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、符合性
D)人力資源安全、物理和環(huán)境安全、通信和操作管理
28.[單選題]一個信息管理系統(tǒng)通常會對用戶進(jìn)行分組并實(shí)施訪問控制。例如,在一個學(xué)校的教務(wù)系
統(tǒng)中,教師能夠錄入學(xué)生的考試成績,學(xué)生只能查看自己的分?jǐn)?shù),而學(xué)校教務(wù)部門的管理人員能夠
對課程信息、學(xué)生的選課信息等內(nèi)容進(jìn)行修改。下列選項(xiàng)中,對訪問控制的作用的理解錯誤的是
A)防止對信息的非授權(quán)篡改和濫用
B)在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上,對用戶的訪問權(quán)進(jìn)行管理
C)拒絕非法用戶的非授權(quán)訪問請求
D)對經(jīng)過身份鑒別后的合法用戶提供所有服務(wù)
29.[單選題]關(guān)于網(wǎng)頁中的惡意代碼,下列說法錯誤的是:
A)網(wǎng)頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用
B)網(wǎng)頁中的惡意代碼可以修改系統(tǒng)注冊表
C)網(wǎng)頁中的惡意代碼可以修改系統(tǒng)文件
D)網(wǎng)頁中的惡意代碼可以竊取用戶的機(jī)密文件
30.[單選題]有關(guān)能力成熟度模型(CMM)錯誤的理解是
A)CMM的基本思想是,因?yàn)閱栴}是由技術(shù)落后引起的,所以新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量
、生產(chǎn)率和利潤率
B)CMM的思想來源于項(xiàng)目管理和質(zhì)量管理
OCW是一種衡量工程實(shí)施能力的方法,是一種面向工程過程的方法
D)CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的,它基于這樣一個假設(shè),即“生產(chǎn)過程的高質(zhì)量和在
過程中
31.[單選題]傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是:
A)傳統(tǒng)軟件開發(fā)方法將軟件開發(fā)分為需求分析、架構(gòu)設(shè)計(jì)、代碼編寫、測試和運(yùn)行維護(hù)五個階段
B)傳統(tǒng)的軟件開發(fā)方法,注重軟件功能實(shí)現(xiàn)和保證,缺乏對安全問題進(jìn)行處理的任務(wù)、里程碑與方
法論,也缺乏定義對安全問題的控制與檢查環(huán)節(jié)
C)傳統(tǒng)的軟件開發(fā)方法,將軟件安全定義為編碼安全,力圖通過規(guī)范編碼解決安全問題,缺乏全面
性
D)傳統(tǒng)的軟件開發(fā)方法僅從流程上規(guī)范軟件開發(fā)過程,缺乏對人員的培訓(xùn)要求,開發(fā)人員是軟件安
全缺陷產(chǎn)生的根源
32.[單選題]89.小王在對某公司的信息系統(tǒng)進(jìn)風(fēng)風(fēng)險(xiǎn)評估后,因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融
交易的功能模塊風(fēng)險(xiǎn)太高,他建議該公司以放棄這個功能模塊的方式來處理該風(fēng)險(xiǎn)。請問這種風(fēng)險(xiǎn)
處置的方法是
A)轉(zhuǎn)移風(fēng)險(xiǎn)
B)降低風(fēng)險(xiǎn)
C)放棄風(fēng)險(xiǎn)
D)規(guī)避風(fēng)險(xiǎn)
33.[單選題]某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后,認(rèn)識到信息安
全風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條
報(bào)告給單位領(lǐng)導(dǎo),其中描述錯誤的是()。
A)檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求,實(shí)施完整的風(fēng)險(xiǎn)評估過程;也可在自評估的基礎(chǔ)上,對關(guān)鍵環(huán)
節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估
B)檢查評估可以由上級管理部門組織,也可以由本級單位發(fā)起,其重點(diǎn)是針對存在的問題進(jìn)行檢查
和評測
C)檢查評估可以由上級管理部門組織,并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施
D)檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施,具有強(qiáng)制性的特點(diǎn)
34.[單選題]風(fēng)險(xiǎn)評估的基本過程是怎樣的?
A)識別并評估重要的信息資產(chǎn),識別各種可能的威脅和嚴(yán)重的弱點(diǎn),最
終確定風(fēng)險(xiǎn)
B)通過以往發(fā)生的信息安全事件,找到風(fēng)險(xiǎn)所在
C)風(fēng)險(xiǎn)評估就是對照安全檢查單,查看相關(guān)的管理和技術(shù)措施是否到位
D)風(fēng)險(xiǎn)評估并沒有規(guī)律可循,完全取決于評估者的經(jīng)驗(yàn)所在
35.[單選題]面向?qū)ο蟮拈_發(fā)方法中,以下哪些機(jī)制對安全有幫助
A)封裝
B)多態(tài)
C)繼承
D)重載
36.[單選題]信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng),應(yīng)當(dāng)在O年進(jìn)行一次等級測評?
A)0.5
B)l
02
D)3
37.[單選題]237.信息安全工程作為信息安全保障的重要支撐部分,主要是為了保障?
A)信息系統(tǒng)的技術(shù)架構(gòu)安全問題
B)信息系統(tǒng)的部分組件安全問題
C)信息系統(tǒng)生命周期的過程安全問題
D)信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題
38.[單選題]企業(yè)按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系的過程中,對關(guān)
鍵成功因素的描述不正確的是
A)不需要全體員工的參入,只要IT部門的人員參入即可
B)來自高級管理層的明確的支持和承諾
C)對企業(yè)員工提供必要的安全意識和技能的培訓(xùn)和教育
D)所有管理者、員工能夠理解企業(yè)信息安全策略、指南和標(biāo)準(zhǔn),并遵照
執(zhí)行
39.[單選題]以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法錯誤的是:
A)通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有
安全保障工作是否滿足其安全保障目標(biāo)的信心。
B)信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理、安全工程和人員安全等,以全面
保障信息系統(tǒng)安全
C)是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動
D)是主觀和客觀綜合評估的結(jié)果;
40.[單選題]攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁面是可信
賴的,但是當(dāng)瀏覽器下載該頁面,嵌入其中的腳本將被解釋執(zhí)行,這是哪種類型的漏洞?
A)緩沖區(qū)溢出
B)SQL注入
C)設(shè)計(jì)錯誤
D)跨站腳本
41.[單選題]我國衛(wèi)星導(dǎo)航系統(tǒng)的名字叫()。
A)天宮
B)玉兔
C)神州
D)北斗
42.[單選題]以下哪一個不是網(wǎng)絡(luò)隱藏技術(shù)?
A)端口復(fù)用
B)無端口技術(shù)
C)反彈端口技術(shù)
D)DLL注入
43.[單選題]CA屬于ISO安全體系結(jié)構(gòu)中定義的()。
A)認(rèn)證交換機(jī)制
B)通信業(yè)務(wù)填充機(jī)制
C)路由控制機(jī)制
D)公證機(jī)制
44.[單選題]P2DR模型強(qiáng)調(diào)了落實(shí)反應(yīng)和系統(tǒng)安全的動態(tài)性,其中的“檢測”使用的主要方法是?
A)檢測。
B)報(bào)警。
C)記錄。
D)實(shí)時監(jiān)控。
45.[單選題]對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題,在審核之后應(yīng)該實(shí)施必要的改
進(jìn)措施并進(jìn)行跟蹤和評價,以下描述不正確的是?
A)改進(jìn)措施包括糾正和預(yù)防措施
B)改進(jìn)措施可由受審單位提出并實(shí)施
C)不可以對體系文件進(jìn)行更新或修改
D)對改進(jìn)措施的評價應(yīng)該包括措施的有效性的分析
46.[單選題]以下關(guān)于信息安全工程說法正確的是:
A)信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的
B)信息化建設(shè)可以先實(shí)施系統(tǒng),而后對系統(tǒng)進(jìn)行安全加固
C)信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全,在建設(shè)階段要同步實(shí)施信息安全建設(shè)
D)信息化建設(shè)沒有必要涉及信息安全建設(shè)
47.[單選題]在對安全控制進(jìn)行分析時,下面哪個描述是錯誤的?
A)對每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析,以確定哪一項(xiàng)安全控制是必須的和有效的
B)應(yīng)選擇對業(yè)務(wù)效率影響最小的安全措施
C)選擇好實(shí)施安全控制的時機(jī)和位置,提高安全控制的有效性
D)仔細(xì)評價引入的安全控制對正常業(yè)務(wù)帶來的影響,采取適當(dāng)措施,盡可能減少負(fù)面效應(yīng)
48.[單選題]如果數(shù)據(jù)中心發(fā)生災(zāi)難,下列那一項(xiàng)完整恢復(fù)一個關(guān)鍵數(shù)據(jù)庫的
策略是最適合的?
A)每日備份到磁帶并存儲到異地
B)實(shí)時復(fù)制到異地
C)硬盤鏡像到本地服務(wù)器
D)實(shí)時數(shù)據(jù)備份到本地網(wǎng)格存儲
49.[單選題]某系統(tǒng)的/.rhosts文件中,存在一行的內(nèi)容為“++”,并且開放了rlogin服務(wù),
則有可能意味著:
A)任意主機(jī)上,只有root用戶可以不提供口令就能登錄該系統(tǒng)
B)任意主機(jī)上,任意用戶都可以不提供口令就能登錄該系統(tǒng)
C)只有本網(wǎng)段的任意用戶可以不提供口令就能登錄該系統(tǒng)
D)任意主機(jī)上,任意用戶,都可以登錄,但是需要提供用戶名和口令
50.[單選題L—是目前國際通行的信息技術(shù)產(chǎn)品安全性評估標(biāo)準(zhǔn)?
A)TCSEC
B)ITSEC
OCC
D)IATF
51.[單選題]下列敘述不屬于完全備份機(jī)制特點(diǎn)描述的是o
A)每次備份的數(shù)據(jù)量較大
B)每次備份所需的時間也就較大
C)不能進(jìn)行得太頻繁
D)需要存儲空間小
52.[單選題]某組織的信息系統(tǒng)策略規(guī)定,終端用戶的ID在該用戶終止后90天
內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng):
A)報(bào)告該控制是有效的,因?yàn)橛脩鬒D失效是符合信息系統(tǒng)策略規(guī)定的時
間段的
B)核實(shí)用戶的訪問權(quán)限是基于用所必需原則的
C)建議改變這個信息系統(tǒng)策略,以保證用戶ID的失效與用戶終止一致
D)建議終止用戶的活動日志能被定期審查
53.[單選題]當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時,就會產(chǎn)生哪種類
型的漏洞?
A)緩沖區(qū)溢出
B)設(shè)計(jì)錯誤
C)信息泄露
D)代碼注入
54.[單選題]我國信息安全保障建設(shè)包括信息安全組織與管理體制、基礎(chǔ)設(shè)施、技術(shù)體系等方面,以
下關(guān)于信息安全保障建設(shè)主要工作內(nèi)容說法不正確的是:
A)健全國家信息安全組織與管理體制機(jī)制,加強(qiáng)信息安全工作組織保障
B)建設(shè)信息安全基礎(chǔ)設(shè)施,提供國家信息安全保障能力支撐
C)建立信息安全技術(shù)體系,實(shí)現(xiàn)國家信息化發(fā)展的自主創(chuàng)新
D)建立信息安全人才培養(yǎng)體系,加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)
55.[單選題]以下哪一種備份方式在恢復(fù)時間上最快
A)增量備份
B)差異備份
C)完全備份
D)磁盤備份
56.[單選題]下列哪一項(xiàng)最好地描述了哈希算法、數(shù)字簽名和對稱密鑰算法分別提供的功能?
A)身份鑒別和完整性,完整性,機(jī)密性和完整性
B)完整性,身份鑒別和完整性,機(jī)密性和可用性
C)完整性,身份鑒別和完整性,機(jī)密性
D)完整性和機(jī)密性,完整性,機(jī)密性
57.[單選題]下面對IS027001的說法最準(zhǔn)確的是:
A)該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南
B)該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn)
C)該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐
D)該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個模型
58.[單選題]假設(shè)使用一種加密算法,它的加密方法很簡單:將每一個字母加5,即a加密成f。這種
算法的密鑰就是5,那么它屬于()。
A)對稱加密技術(shù)
B)分組密碼技術(shù)
C)公鑰加密技術(shù)
D)單向函數(shù)密碼技術(shù)
59.[單選題]以下哪一個不是OSI安全體系結(jié)構(gòu)中的安全機(jī)制
A)數(shù)字簽名
B)路由控制
C)數(shù)據(jù)交換
D)抗抵賴
60.[單選題]Linux系統(tǒng)的用戶信息保存在PaSSWd中,某用戶條目
backup:*:34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號的描述不正確的是:
A)backup賬號沒有設(shè)置登錄密碼
B)backup賬號的默認(rèn)主目錄是/var/backups
C)backup賬號登陸后使用的Shell是∕bin∕sh
D)backup賬號是無法進(jìn)行登錄
61.[單選題]超文本傳輸協(xié)議(HyperText1TransferProtocolHTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)
絡(luò)協(xié)議,下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議,具備用戶鑒別和通信數(shù)據(jù)加密等功能?
A)HTTP1.0協(xié)議
B)HTTP1.1協(xié)議
OHTTPS協(xié)議
D)HTTPD協(xié)議
62.[單選題]負(fù)責(zé)授權(quán)訪問業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于:
A)數(shù)據(jù)擁有者
B)安全管理員
OiT安全經(jīng)理
D)請求者的直接上司
63.[單選題]以下哪項(xiàng)不屬于造成信息安全問題的自然環(huán)境因素?
A)縱火。
B)地震。
C)極端天氣。
D)洪水。
64.[單選題]如圈所示,主體S對客體Ol有讀(R)權(quán)限,對客體02有讀(R)、寫(W)、擁有(OWn)權(quán)限
,該圖所示的訪問控制實(shí)現(xiàn)方法是:
A)訪問控制表(ACL)
B)訪問控制矩陣
C)能力表(CL)
D)前綴表(Profiles)
65.[單選題]在Windos7中,通過控制面板(管理工具一本地安全策略一安全設(shè)置一賬戶策略)可
以進(jìn)入操作系統(tǒng)的密碼策略設(shè)置界面,下面哪項(xiàng)內(nèi)容不能在該界面進(jìn)行設(shè)置
A)密碼必須符合復(fù)雜性要求
B)密碼長度最小值
C)強(qiáng)制密碼歷史
D)賬號鎖定時間
66.[單選題]某網(wǎng)站為了開發(fā)的便利,使用SA連接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入
漏洞,導(dǎo)致攻擊者利用內(nèi)置存儲過程XP_cmdshell刪除了系統(tǒng)中的一個重要文件,在進(jìn)行問題分
析時,作為安全專家,你應(yīng)該指出該網(wǎng)站涉及違反了以下哪些原則:
A)權(quán)限分離原則
B)最小特權(quán)原則
C)保護(hù)最薄弱環(huán)節(jié)的原則
D)縱深防御的原則
67.[單選題]以下哪一項(xiàng)不屬于Web應(yīng)用軟件表示層測試關(guān)注的范疇()
A)排版結(jié)構(gòu)的測試
B)數(shù)據(jù)完整性測試
C)客戶端兼容性的測試
D)鏈接結(jié)構(gòu)的測試
68.[單選題]下面關(guān)于定量風(fēng)險(xiǎn)評估方法的說法正確的是
A)易于操作,可以對風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)
行標(biāo)識
B)能夠通過成本效益分析控制成本
C)耗時短、成本低、可控性高
D)主觀性強(qiáng),分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評估小組成員的經(jīng)驗(yàn)和素質(zhì)
69.[單選題]在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)
施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是?
A)制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體
要求
B)確保組織的信息安全管理體系目標(biāo)河相擁的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體、
可實(shí)施
C)向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全
方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性
D)建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評估過程,確保信息安全風(fēng)
險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確
70.[單選題]2008年1月2日,美目發(fā)布第54號總統(tǒng)令,建立國家網(wǎng)絡(luò)安全綜合計(jì)劃
(ComprehensiveNationalCybersecurityInitiative,CNCI)oCNCI計(jì)劃建立三道防線:第一道
防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對各類威脅;第三道防線,強(qiáng)化未來安全
環(huán)境.從以上內(nèi)容,我們可以看出以下哪種分析是正確的:
A)CNCl是以風(fēng)險(xiǎn)為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)
B)從CNCl可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的
C)CNCl的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)
上修修補(bǔ)補(bǔ)
D)CNCl徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn),而是追
求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障
71.[單選題]公司要為機(jī)房配備滅火器材,你認(rèn)為應(yīng)該選擇下面哪
一組最---?
A)干粉滅火器、鹵代烷滅火器、二氧化的滅火器
B)水型滅火器、泡沫滅火器、鹵代烷滅火器鹵代烷滅火器
C)粉狀石墨滅火器、鑄鐵屑滅火器
D)Halon滅火器、鹵代烷滅火器
72.[單選題]73.社會工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈的一個最脆弱的環(huán)節(jié),即''人"這個環(huán)節(jié)
上。這些社會工程黑客在某黑客大會上成功攻入世界五百強(qiáng)公司,其中一名自稱是為CSO雜志做安全
調(diào)查。半時內(nèi),攻擊者選擇了在公司工作兩個月安全工程部門的合約雇員,在詢問關(guān)于工作滿意度
以及食堂食物質(zhì)量問題后,雇員開始透露其他信息。包括:操作系統(tǒng)、服務(wù)包、殺毒軟件、電子郵
件及瀏覽器。為對抗此類信息收集和分析,公司需要做的是
A)關(guān)閉不必要的服務(wù),部署防火墻、IDS等措施
B)系統(tǒng)安全管理員使用漏洞掃描軟件對系統(tǒng)進(jìn)行安全審計(jì)
C)減少系統(tǒng)對外服務(wù)的端又?jǐn)?shù)量,修改服務(wù)旗標(biāo)
D)通過信息安全培訓(xùn),使相關(guān)信息發(fā)布人員了解信息收集風(fēng)險(xiǎn),發(fā)布信息采取最小化原則
73.[單選題]應(yīng)用安全,一般是指保障應(yīng)用程序使用過程中和結(jié)果的安全。以下內(nèi)容中不屬于應(yīng)用安
全防護(hù)考慮的是?
A)身份鑒別,應(yīng)用系統(tǒng)應(yīng)對登錄的用戶進(jìn)行身份鑒別,只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源
B)安全標(biāo)記,在應(yīng)用系統(tǒng)層面對主體和客體進(jìn)行標(biāo)記,主體不能隨便更改權(quán)限,增加訪問控制的力
度,限制非法訪問
C)剩余信息保護(hù),應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩存區(qū)中剩余信息的保護(hù),防止存儲在硬盤、內(nèi)存
或緩存區(qū)中的信息被非授權(quán)的訪問
D)機(jī)房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個安全的環(huán)境條件。包括機(jī)房環(huán)境,機(jī)房安全等級、機(jī)
房的建造和機(jī)房的裝修等
74.[單選題]某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求
前置機(jī)開放日志共享,由總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從
前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項(xiàng)處理措
施?
A)由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析
B)為配合總部的安全策略,會帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)
C)日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過設(shè)置讓前置機(jī)不記錄日志
D)只允許特定的IP地址從前置機(jī)提取日志,對日志共享設(shè)置訪問密碼且限定訪問的時間
75.[單選題]在加固數(shù)據(jù)庫時,以下哪個是數(shù)據(jù)庫加固最需要考慮的?
A)修改默認(rèn)配置
B)規(guī)范數(shù)據(jù)庫所有的表空間
C)存儲數(shù)據(jù)被加密
D)修改數(shù)據(jù)庫服務(wù)的服務(wù)端口
76.[單選題]隨著計(jì)算機(jī)在商業(yè)和民用領(lǐng)域的應(yīng)用,安全需求變得越來越多樣化,自主訪問控制和
強(qiáng)制訪問控制難以適應(yīng)需求,基于角色的訪問控制(RBAC)逐漸成為安全領(lǐng)域的一個研究熱點(diǎn)。
RBAC模型可以分為RBACO、RBACkRBAC2和RBAC3四種類型,他們之間存在相互包含的關(guān)系。
下列選項(xiàng)中,對這四種類型之間的關(guān)系描述錯誤的是
A)RBACO是基本模型,RBACkRBAC2和RBAC3都包含RBACO
B)RBACl在RBACO的基礎(chǔ)上,加入了角色等級的概念
C)RBAC2在RBACl的基礎(chǔ)上,加入了約束的概念
D)RBΛC3結(jié)合了RBACl和RBΛC2,同事具備角色等級和約束
77.[單選題]信息安全等級保護(hù)分級要求,第三級適用正確的是
A)適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權(quán)益有一定影響
,但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益
B)適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受
到破壞后,會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害
C)適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后,會對
國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害
D)適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其
受到破壞后,會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害
78.[單選題]安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域,下面哪項(xiàng)描
述是錯誤的?
A)安全域劃分主要以業(yè)務(wù)需求、功能需求和安全需求為依據(jù),和網(wǎng)絡(luò)、設(shè)備的物理部署位置無關(guān)
B)安全域劃分能把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護(hù)問題
C)以安全域?yàn)榛A(chǔ),可以確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段.從而使同一安全域內(nèi)的
資產(chǎn)實(shí)施統(tǒng)一的保護(hù)
D)安全域邊界是安全事件發(fā)生時的抑制點(diǎn),以安全域?yàn)榛A(chǔ),可以對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評
估,因此安全域劃分和保護(hù)也是網(wǎng)絡(luò)防攻擊的有效防護(hù)方式
79.[單選題]《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T20984-2007?中關(guān)于信息系統(tǒng)生命周期各
階段的風(fēng)險(xiǎn)評估描述不正確的是:
A)規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等
B)設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性,提出安全功能需求
C)實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別
,并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證
D)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn),是一種全面的風(fēng)險(xiǎn)評估。評
估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面
80.[單選題]關(guān)于防火墻和VPN的使用,下面說法不正確的是—o()
A)配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置,兩者獨(dú)立
B)配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置,防火墻廣域網(wǎng)一側(cè),VPN在局域
網(wǎng)一側(cè)
C)配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置,防火墻局域網(wǎng)一側(cè),VPN在廣
域網(wǎng)一側(cè)
D)配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置,兩者要互相依賴
81.[單選題]有關(guān)人員安全管理的描述不正確的是?
A)人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)。
B)重要或敏感崗位的人員入職之前,需要做好人員的背景檢查。
C)如職責(zé)分離難以實(shí)施,企業(yè)對此無能為力,也無需做任何工作。
D)人員離職之后,必須清除離職員工所有的邏輯訪問帳號。
82.[單選題]小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo),主要負(fù)責(zé)對所在行業(yè)的新
人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn),一次培訓(xùn)的時候,小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評估方法。請問小李的所述論
點(diǎn)中錯誤的是哪項(xiàng):
A)風(fēng)險(xiǎn)評估方法包括:定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析
B)定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例,因此具有隨意性
C)定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值,因
此更具客觀性
D)半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對風(fēng)險(xiǎn)要素的賦
值方式,實(shí)現(xiàn)對風(fēng)險(xiǎn)各要素的度量數(shù)值化
83.[單選題]小紅和小明在討論有關(guān)于現(xiàn)在世界上的IP地址數(shù)量有限的問題,小紅說他看到有新
聞?wù)f在2011年2月3日,全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織宣布現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)
天劃分給所有的區(qū)城互聯(lián)網(wǎng)注冊管理機(jī)構(gòu),IP地址總庫已經(jīng)枯竭,小明嚇了一跳覺得以后上網(wǎng)會
成問題,小紅安慰道,不用擔(dān)心,現(xiàn)在IPv6已經(jīng)被試用它有好多優(yōu)點(diǎn)呢,以下小紅說的優(yōu)點(diǎn)中錯
誤的是()
A)網(wǎng)絡(luò)地址空間的得到極大擴(kuò)展
B)IPv6對多播進(jìn)行了改進(jìn),使得具有更大的多播地址空間
C)繁雜報(bào)頭格式
D)良好的擴(kuò)展性
84.[單選題]超文本傳輸協(xié)議(HyperText1TransferProtocolHTTP)是互聯(lián)網(wǎng)上廣泛使用的一種網(wǎng)
絡(luò)協(xié)議,下面哪種協(xié)議基于HTTP并結(jié)合SSL協(xié)議,具備用戶鑒別和通信數(shù)據(jù)加密等功能
A)HTTP1.0協(xié)議
B)HTTP1.1協(xié)議
OHTTPS協(xié)議
D)HTTPD協(xié)議
85.[單選題]部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetprotocolSecurityvirtualPrivate
NetworkIPsecVPN)時。以下說法正確的是:
A)配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密
B)配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證
C)部署IPSeCVPN網(wǎng)絡(luò)時,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段,來
減少IPSeC安全關(guān)聯(lián)(SecurityAuthentication,S
A)資源的消耗
D)報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性
86.[單選題]信息安全標(biāo)準(zhǔn)化工作是我國信息安全保障工作的重要組成部分之一,也是政府進(jìn)行宏觀
管理的重要依據(jù),同時也是保護(hù)國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段之一。關(guān)于我國信息安全標(biāo)準(zhǔn)
化工作,下面選項(xiàng)中描述錯誤的是()。
A)因事關(guān)國家安全利益,信息安全因此不能和國際標(biāo)準(zhǔn)相同,而是要通過本國組織和專家制訂標(biāo)準(zhǔn)
,切實(shí)有效地保護(hù)國家利益和安全
B)信息安全標(biāo)準(zhǔn)化工作是解決信息安全問題的重要技術(shù)支撐,其主要作用突出地體現(xiàn)在能夠確保有
關(guān)產(chǎn)品、設(shè)施的技術(shù)先進(jìn)性、可靠性和一致性
C)我國是在國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局管理下,由國家標(biāo)準(zhǔn)化管理委員會統(tǒng)一管理全國標(biāo)準(zhǔn)化工作
,下設(shè)有專業(yè)技術(shù)委員會
D)我國歸口信息安全方面標(biāo)準(zhǔn)的是“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”,為加強(qiáng)有關(guān)工作,2016在
其下設(shè)立“大數(shù)據(jù)安全特別工作組”
87.[單選題]過濾王日志是存放在Winfgate目錄下的哪個文件夾下的O
A)sys
B)log
C)date
D)日志
88.[單選題]組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是:
A)推薦并監(jiān)督數(shù)據(jù)安全策略
B)在組織內(nèi)推廣安全意識
C)制定IT安全策略下的安全程序/流程
D)管理物理和邏輯訪問控制
89.[單選題]小王在自己的學(xué)工系統(tǒng)中提交了自己的貧困申請,提交完成后發(fā)現(xiàn)自己的身份證號寫錯
T,想要修改發(fā)現(xiàn)點(diǎn)擊修改頁面顯示只有教師及以上職稱者才有權(quán)修改。小王只好去求助班主任
,才將信息修改正確。這種安全機(jī)制屬于OSl安全體系結(jié)構(gòu)的八種安全機(jī)制中的哪一個()
A)加密
B)數(shù)據(jù)完整性
C)業(yè)務(wù)流填充
D)訪問控制
90.[單選題]關(guān)于惡意代碼的守護(hù)進(jìn)程的功能,以下說法正確的是。
A)加大檢測難度
B)隱藏惡意代碼
C)監(jiān)視惡意代碼主體程序是否正常
確定業(yè)務(wù)關(guān)健功能?確定支持關(guān)鍵功
能的資源和系統(tǒng)*
測試和修訂計(jì)劃.工施犧?
D)傳播惡意代碼
91.[單選題]以下哪項(xiàng)是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?
A)應(yīng)基于法律法規(guī)和用戶需求,進(jìn)行需求分析和風(fēng)險(xiǎn)評估,從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)
安全保障的考慮
B)應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場,選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品
C)應(yīng)在將信息安全作為實(shí)施和開發(fā)人員的一項(xiàng)重要工作內(nèi)容,提出安全開發(fā)的規(guī)范并切實(shí)落實(shí)
D)應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容
92.[單選題]下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是:
A)明確安全總體方針,確保安全總體方針源自業(yè)務(wù)期望
B)描述所涉及系統(tǒng)的安全現(xiàn)狀,提交明確的安全需求文檔
C)向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險(xiǎn)評估準(zhǔn)則
D)對系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證
93.[單選題]在冗余磁盤陳列中,以下不具有容錯技術(shù)的是一
A)RAID0
B)RAID1
C)RAID3
D)RAID5
94.[單選題]以下有關(guān)服務(wù)協(xié)議的介紹哪一個是錯誤的?
A)SMTP簡單郵件傳輸協(xié)議使用TCP協(xié)議,端口號是25
B)FTP文件傳輸協(xié)議(數(shù)據(jù)連接服務(wù))使用TCP,端口號是20
ODNS域名解析服務(wù)協(xié)議使用TCP協(xié)議,端口號53
D)TFTP簡單文件傳輸協(xié)議使用UDP協(xié)議,端口號69
95.[單選題]信息安全保障技術(shù)框架(InformationAssuranceTechnicalFramework,IATF)由美
國國家安全局(NSA)發(fā)布最初目的是為保障美國政府和工業(yè)的信息基礎(chǔ)設(shè)施安全提供技術(shù)指南,其
中,提出需要防護(hù)的三類“焦點(diǎn)區(qū)域”是:
A)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施區(qū)域邊界重要服務(wù)器
B)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境
C)網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口計(jì)算環(huán)境
D)網(wǎng)絡(luò)機(jī)房環(huán)境網(wǎng)絡(luò)接口重要服務(wù)器
96.[單選題]以下等級保護(hù)建設(shè)工程中,需要強(qiáng)調(diào)的原則?
A)自主定級、自主保護(hù)
B)同步實(shí)施、定級備案
C)借鑒其它安全建設(shè)的機(jī)構(gòu)的方案來設(shè)計(jì)方案
D)不需要測評,。。。。
97.[單選題]172.異常入侵檢測是入侵檢測系統(tǒng)常用的一種技術(shù),它是識別系統(tǒng)或用戶的非正常行
為或者對于計(jì)算機(jī)資源的非正常使用,從而檢測出入侵行為,下面說法錯誤的是:()
A)在異常入侵檢測中,觀察到的不是已知的入侵行為,而是系統(tǒng)運(yùn)行過程中的異常現(xiàn)象
B)實(shí)施異常入侵檢測,是將當(dāng)前獲取行為數(shù)據(jù)和已知入侵攻擊行為特征相比較,若匹配則認(rèn)為有攻
擊發(fā)生
C)異常入侵檢測可以通過獲得的網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù),判斷其中是否含有攻擊的企圖,并通過多種手
段向管理員報(bào)警
D)異常入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為
98.[單選題]若系統(tǒng)在運(yùn)行過程中,由于某種硬件故障,使存儲在外存上的數(shù)據(jù)部分損失或全部損
失,這種情況稱為()。
A)事務(wù)故障
B)系統(tǒng)故障
C)介質(zhì)故障
D)人為錯
誤
99.[單選題]下列對于訪向控制模型分類說法正確的是:
A)BLP模型和biba模型都是強(qiáng)制訪問控制模型
B)biba模型和ChineseWall模型都是完整性模型
C)訪問控制矩陣不屬于自主訪問控制模型
D)基于角色的訪問控制屬于強(qiáng)制訪問控制
IOO.[單選題]Hadop是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺。在Hadoopl.0.0版本之前,
Hadoop并不存在安全認(rèn)證一說。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)
行交互時并不需要進(jìn)行驗(yàn)證。導(dǎo)致存在惡意用戶偽裝成真正的用戶或者服務(wù)器入侵到Hadoop集群
上,惡意的提交作業(yè),篡改分布式存儲的數(shù)據(jù),偽裝成NameNo或者TaskTracker接受任務(wù)等。
在Hadoop2.0中引入了Kerberos機(jī)制來解決用戶到服務(wù)器的認(rèn)證問題,Kerber的認(rèn)證過程不包
括()
A)獲得票據(jù)許可票據(jù)
B)獲得服務(wù)許可票據(jù)
C)獲得密鑰分配中心的管理權(quán)限
D)獲得服務(wù)
IOl.[單選題]系統(tǒng)工程霍爾三維結(jié)構(gòu)模型從時間維、邏輯維、()三個坐標(biāo)對系統(tǒng)工程進(jìn)行程序化
?
A)階段維
B)進(jìn)程維
C)知識維
D)工作步驟維
102.[單選題]身份鑒別是安全服務(wù)中的重要一環(huán),以下關(guān)于身份鑒別敘述不正確的是()。
A)身份鑒別是授權(quán)控制的基礎(chǔ)
B)身份鑒別一般不用提供雙向的認(rèn)證
C)目前一般采用基于對稱密鑰加密或公開密鑰加密的方法
D)數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制
103.[單選題]策略應(yīng)該清晰,無須借助過多的特殊一通用需求文檔描述,并且還要有具體的
O()
A)管理支持
C)實(shí)施計(jì)劃
D)補(bǔ)充內(nèi)容
B)技術(shù)細(xì)節(jié)
104.[單選題]內(nèi)部審計(jì)部門,從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會報(bào)告,
最有可能:
A)導(dǎo)致對其審計(jì)獨(dú)立性的質(zhì)疑
B)報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)
C)加強(qiáng)了審計(jì)建議的執(zhí)行
D)在建議中采取更對有效行動
105.[單選題]會讓一個用戶的“刪除”操作去警告其他許多用戶的垃圾郵件過濾技術(shù)是:
A)黑名單
B)白名單
C)實(shí)時黑名單
D)分布式適應(yīng)性黑名單
106.[單選題]在《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中,根據(jù)—要素,X災(zāi)難恢復(fù)等級劃分為—X.
A)7;6
B)8;7
07;7
D)8;6
107.[單選題]及時審查系統(tǒng)訪問審計(jì)記錄是以下哪種基本安全功能?
A)威懾。
B)躲避。
C)預(yù)防。
D)檢測。
108.[單選題]防火墻最主要被部署在—位置。()
A)網(wǎng)絡(luò)邊界
B)骨干線路
C)重要服務(wù)器
D)桌面終端
109.[單選題]以下關(guān)于BLP模型規(guī)則說法不正確的是:
A)BLP模型主要包括簡單安全規(guī)則和*-規(guī)則
B)*-規(guī)則可以簡單表述為下寫
C)主體可以讀客體,當(dāng)且僅當(dāng)主體的安全級可以支配客體的安全級,且主體對該客體具有自主型讀
權(quán)限
D)主體可以讀客體,當(dāng)且僅當(dāng)客體的安全級可以支配主體的安全級,且主體對該客體具有自主型讀
權(quán)限
110.[單選題]數(shù)據(jù)庫事務(wù)日志的用途是什么?
A)事務(wù)處理
B)數(shù)據(jù)恢復(fù)
C)完整性約束
D)保密性控制
IlL[單選題]根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的規(guī)定,錯誤的是:
A)信息安全風(fēng)險(xiǎn)評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主,自評估和檢查評估相互結(jié)合
、互為補(bǔ)充
B)信息安全風(fēng)險(xiǎn)評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展
C)信息安全風(fēng)險(xiǎn)評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程
D)開展信息安全風(fēng)險(xiǎn)評估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的組織領(lǐng)導(dǎo)
112.[單選題]宏病毒是一種專門感染微軟OffiCe格式文件的病毒,下列()文件不可能感染該病
毒。
A)*.exe
B)*.doc
C)*.xls
D)*.ppt
113.[單選題]關(guān)于我國信息安全保障的基本原則,下列說法中不正確的是:
A)要與國際接軌,積極吸收國外先進(jìn)經(jīng)驗(yàn)并加強(qiáng)合作,遵循國際標(biāo)準(zhǔn)和通行做法,堅(jiān)持管理與技術(shù)
并重
B)信息化發(fā)展和信息安全不是矛盾的關(guān)系,不能犧牲一方以保證另一方
C)在信息安全保障建設(shè)的各項(xiàng)工作中,既要統(tǒng)籌規(guī)劃,又要突出重點(diǎn)
D)在國家信息安全保障工作中,要充分發(fā)揮國家、企業(yè)和個人的積極性,不能忽視任何一方的作用
114.[單選題]SSH使用的端口號是多少?
Λ)21
B)22
023
D)4899
115.[單選題]風(fēng)險(xiǎn)處理是依據(jù)(),選擇和實(shí)施合適的安全措施,風(fēng)險(xiǎn)處理的目的是為了()始
終控制在可接受的范圍內(nèi),風(fēng)險(xiǎn)處理的方式主要有()、()、()、和()四種方式
A)風(fēng)險(xiǎn);風(fēng)險(xiǎn)評估的結(jié)果;降低;規(guī)避;轉(zhuǎn)移;接受
B)風(fēng)險(xiǎn)評估的結(jié)果;風(fēng)險(xiǎn);降低;規(guī)避;轉(zhuǎn)移;接受
C)風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn);降低;規(guī)避;轉(zhuǎn)移;接受
D)風(fēng)險(xiǎn);風(fēng)險(xiǎn)評估;降低;規(guī)避;轉(zhuǎn)移;接受
116.[單選題]某項(xiàng)目的主要內(nèi)容為建造A類機(jī)房,監(jiān)理單位需要根據(jù)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范
》(GB50174-2008)的相關(guān)要求,對承建單位的施工設(shè)計(jì)方案進(jìn)行審核,以下關(guān)于監(jiān)理單位給出的
審核意見錯誤的是?
A)在異地建立備份機(jī)房,設(shè)計(jì)時應(yīng)與主要機(jī)房等級相同
B)由于高端小型機(jī)發(fā)熱量大,因此采用活動地板下送風(fēng),上回風(fēng)的方式
C)因機(jī)房屬于A級主機(jī)房,因此設(shè)計(jì)方案中應(yīng)考慮配備柴油發(fā)電機(jī),當(dāng)市電發(fā)生故障時,所配備
的柴油發(fā)電機(jī)應(yīng)能承擔(dān)全部負(fù)荷的需要
D)A級主機(jī)房應(yīng)設(shè)置自動噴水滅火系統(tǒng)
117.[單選題]在信息安全管理體系的實(shí)施過程中,管理者的作用對于信息安全管理體系能否成功實(shí)
施非常重要,但是以下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是?
A)制定并頒布信息安全方針,為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng),明確總體
要求。
B)確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定,目標(biāo)應(yīng)明確、可度量,計(jì)劃應(yīng)具體
,可實(shí)施
C)向組織傳達(dá)滿足信息安全的重要性,傳達(dá)滿足信息安全要求,達(dá)成信息安全目標(biāo),符合信息安全
方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性
D)建立健全信息安全制度,明確安全風(fēng)險(xiǎn)管理作用,實(shí)施信息安全風(fēng)險(xiǎn)評估過程,確保信息安全風(fēng)
險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確
118.[單選題]信息安全需求獲取的主要手段
A)信息安全風(fēng)險(xiǎn)評估
B)領(lǐng)導(dǎo)的指示
C)信息安全技術(shù)
D)信息安全產(chǎn)品
119.[單選題]在極限測試過程中,貫穿始終的是(),
A)單元測試和集成測試
B)單元測試和系統(tǒng)測試
C)集成測試和驗(yàn)收制試
D)集成測試和系統(tǒng)測試
120.[單選題]電子公告服務(wù)提供者應(yīng)當(dāng)記錄在電子公告服務(wù)系統(tǒng)中發(fā)布的信息內(nèi)容及其發(fā)布時
間、互聯(lián)網(wǎng)地址或者域名。記錄備份應(yīng)當(dāng)保存()日。
A)90
B)60
C)30
D)10
121.[單選題]下列哪個選項(xiàng)是公鑰基礎(chǔ)設(shè)施(PKI)的密鑰交換處理流程?
(1)接收者解密并獲取會話密鑰
(2)發(fā)送者請求接收者的公鑰
(3)公鑰從公鑰目錄中被發(fā)送出去
(4)發(fā)送者發(fā)送一個由接收者的公鑰加密過的會話密鑰
A)4,3,2,l
B)2,l,3,4
02,3,4,1
D)2,4,3,1
122.[單選題]Linux系統(tǒng)的安全設(shè)置只要從磁盤分區(qū)、賬戶安全設(shè)置、禁用危險(xiǎn)服務(wù)、遠(yuǎn)程登錄安
全、用戶鑒別安全、審計(jì)策略、保護(hù)root賬戶、使用網(wǎng)絡(luò)防火墻和文件權(quán)限操作共10個方面來
完成。小張?jiān)趯W(xué)習(xí)了LinUX系統(tǒng)安全的相關(guān)知識后,嘗試為自己計(jì)算機(jī)上的LinUX系統(tǒng)進(jìn)行安全
配置。下列選項(xiàng)是他的部分操作,其中不合理的是()
A)編輯文件∕etc∕passwd,檢查文件中用戶ID,禁用所以ID=O的用戶
B)編輯文件/etc/ssh/sshd_config,將PermitRootLogin設(shè)置為no
C)編輯文件∕etc∕pam.d/SyStem-auth,設(shè)置authrequiredpamtally,soonerr=faildeny=6
unlock_time=300
D)編輯文件∕etc∕profile,設(shè)置TMOUT=600
123.[單選題]下面對于信息安全特征和范疇的說法錯誤的是:
A)信息安全是一個系統(tǒng)性的問題,不僅要考慮信息系統(tǒng)本身的技術(shù)問題,還要考慮人員、管理、政
策等眾多因素
B)信息安全是一個動態(tài)的問題,它隨著信息技術(shù)的發(fā)展普及,以及產(chǎn)業(yè)基礎(chǔ)、用戶認(rèn)識、投入產(chǎn)出
而發(fā)展
C)信息安全是無邊界的安全,互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊,因此確定一個組織的信息安全責(zé)任
是沒有意義的
D)信息安全是非傳統(tǒng)的安全,各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享,決定了信息安全具有不同于傳
統(tǒng)安全的特點(diǎn)
124.[單選題]在一個使用ChineSeWaH模型建立訪問控制的消息系統(tǒng)中,——
A)只有訪問了W之后,才可以訪問X
B)只有訪問了W之后,才可以訪問Y和Z中的一個
C)無論是否訪問肌都只能訪問Y和Z中的一個
D)無論是否訪問W,都不能訪問Y或Z
125.[單選題]某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng),其中公文分發(fā)功能使用了FTP協(xié)議,該系
統(tǒng)運(yùn)行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進(jìn)行了纂改,安全專家提出使用HttP下載
代替FTP功能以解決以上問題,該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的
A)程序員在進(jìn)行安全需求分析時,沒有分析出OA系統(tǒng)開發(fā)的安全需求
B)程序員在軟件設(shè)計(jì)時,沒遵循降低攻擊面的原則,設(shè)計(jì)了不安全的功能
C)程序員在軟件編碼時,缺乏足夠的經(jīng)驗(yàn),編寫了不安全的代碼
D)程序員在進(jìn)行軟件測試時,沒有針對軟件安全需求進(jìn)行安全測試
126.[單選題]信息系統(tǒng)安全工程(ISSE)的一個重要目標(biāo)就是在IT項(xiàng)目的各個階段充分考慮安全因
素,在IT項(xiàng)目的立項(xiàng)階段,以下哪一項(xiàng)不是必須進(jìn)行的工作:
A)明確業(yè)務(wù)對信息安全的要求
B)識別來自法律法規(guī)的安全要求
C)論證安全要求是否正確完整
D)通過測試證明系統(tǒng)的功能和性能可以滿足安全要求
127.[單選題]內(nèi)容安全是我國信息安全保障工作中的一個重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆
發(fā)是使得內(nèi)容安全越來受到重視,以下哪個描述不屬于內(nèi)容安全的范疇()。
A)某雜志在線網(wǎng)站建立內(nèi)容正版化審核團(tuán)隊(duì)、對向網(wǎng)站投稿的內(nèi)容進(jìn)行版權(quán)審核,確保無侵犯版權(quán)
行為后才能在站上進(jìn)行發(fā)布
B)某網(wǎng)站采取了技術(shù)措施,限制對同一IP地址對網(wǎng)站的并發(fā)連接,避免爬蟲通過大量的訪問采集
網(wǎng)站發(fā)布數(shù)據(jù)
C)某論壇根據(jù)相關(guān)法律要求,進(jìn)行了大量的關(guān)鍵詞過濾,使用戶無法發(fā)布包含被過濾關(guān)鍵詞的相關(guān)
內(nèi)容
D)某論壇根據(jù)國家相關(guān)法律要求,為了保證用戶信息泄露,對所有用戶信息,包括用戶名、密碼、
身份證號等都進(jìn)行了加密的存儲
128.[單選題]有關(guān)定性風(fēng)險(xiǎn)評估和定量風(fēng)險(xiǎn)評估的區(qū)別,以下描述不正確的是
A)定性風(fēng)險(xiǎn)評估比較主觀,而定量風(fēng)險(xiǎn)評估更客觀
B)定性風(fēng)險(xiǎn)評估容易實(shí)施,定量風(fēng)險(xiǎn)評估往往數(shù)據(jù)準(zhǔn)確性很難保
證
C)定性風(fēng)險(xiǎn)評估更成熟,定量風(fēng)險(xiǎn)評估還停留在理論階段
D)定性風(fēng)險(xiǎn)評估和定量風(fēng)險(xiǎn)評估沒有本質(zhì)區(qū)別,可以通用
129.[單選題]ISO27OO4是指以下哪個標(biāo)準(zhǔn)
A)《信息安全管理體系要求》
B)《信息安全管理實(shí)用規(guī)則》
C)《信息安全管理度量》
D)《ISMS實(shí)施指南》
130.[單選題]以下對單點(diǎn)登錄技術(shù)描述不正確的是:
A)單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個用戶之間的傳遞或共享
B)使用單點(diǎn)登錄技術(shù)用戶只需在登錄時進(jìn)行一次注冊,就可以訪問多個應(yīng)用
C)單點(diǎn)登錄不僅方便用戶使用,而且也便于管理
D)使用單點(diǎn)登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開發(fā)
131.[單選題]風(fēng)險(xiǎn)評估方法的選定在PDCA循環(huán)中的那個階段完成?
A)實(shí)施和運(yùn)行
B)保持和改進(jìn)
C)建立
D)監(jiān)視和評審
132.[單選題]關(guān)于以下配置
Routerospf100
Iprouterauthentication
Ipospfmessage-digest-key1md5XXXXXX(認(rèn)證碼)
以下說法不正確的是()
A)OSPF認(rèn)證分為明文認(rèn)證和密文認(rèn)證兩種方式。
B)OSPF協(xié)議是一種典型的鏈路狀態(tài)路由協(xié)議,它通過路由器之間通過網(wǎng)絡(luò)接口
的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫,生成最短路徑樹。
C)OSPF的認(rèn)證可以在鏈路上進(jìn)行,也可以在整個區(qū)域內(nèi)進(jìn)行認(rèn)證。但是在虛鏈
路上不可以進(jìn)行認(rèn)證。
D)該配置可以應(yīng)用在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制來建立安全的訪
問路徑
133.[單選題]在以下OSl七層模型中,Synflooding攻擊發(fā)生在哪層:
A)數(shù)據(jù)鏈路層
B)網(wǎng)絡(luò)層
C)傳輸層
D)應(yīng)用層
134.[單選題]信息安全應(yīng)急響應(yīng)計(jì)劃的制定是一個周而復(fù)始、持續(xù)改進(jìn)的過程,以下哪個階段不在
其中?
A)應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定;
B)編制應(yīng)急響應(yīng)計(jì)劃文檔;
C)應(yīng)急響應(yīng)計(jì)劃的測試、部訓(xùn)、演練和維護(hù)
D)應(yīng)急響應(yīng)計(jì)劃的廢棄與存檔
135.[單選題]在選擇外部供貨生產(chǎn)商時,評價標(biāo)準(zhǔn)按照重要性的排列順序是:
供貨商與信息系統(tǒng)部門的接近程度
2.供貨商雇員的態(tài)度
3.供貨商的信譽(yù)、專業(yè)知識、技術(shù)
4.供貨商的財(cái)政狀況和管理情況
A)4,3,1,2
B)3,4,2,1
03,2,4,1
D)l,2,3,4
136.[單選題]在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn),服務(wù)器上開放了以下
幾個應(yīng)用,除了一個應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題,作為一名檢測人員,你需
要告訴用戶對應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題,以下哪個應(yīng)用已經(jīng)解決了明文傳輸
數(shù)據(jù)問題
A)SSH
B)HTTP
OFTP
D)SMTP
137.[單選題]按照通常的口令使用策略,口令修改操作的周期應(yīng)為—天。()
A)60
B)90
C)30
D)120
138.[單選題]部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetPrOtoeoISeCUrityVirtUalPriVate
NetWOrklPSeeVPN)時。以下說法正確的是:
A)配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密
B)配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證
C)部署IPsecVIPN網(wǎng)絡(luò)時,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段
,來減少IPsec安全關(guān)聯(lián)(SeCUrityAUthentiCation,SA)資源的消耗
D)報(bào)文驗(yàn)證頭協(xié)議(AuthenticationHeader,ΛH)可以提供數(shù)據(jù)機(jī)密性
139.[單選題]—不屬于必需的災(zāi)前預(yù)防性措施。()
A)防火設(shè)施
B)數(shù)據(jù)備份
C)配置冗余設(shè)備
D)不間斷電源,至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備
140.[單選題]關(guān)于信息安全工程說法正確的是
A)信息安全建設(shè)規(guī)劃時就應(yīng)該引入信息安全工程的概念yaa
B)信息安全建設(shè)實(shí)施后引入信息安全工程。。。
C)信息安全建設(shè)完成后引入
D)信息安全建設(shè)不需要。。。
141.[單選題]作為信息安全治理的成果,戰(zhàn)略方針提供了:
A)企業(yè)所需的安全要求
B)遵從最佳實(shí)務(wù)的安全基準(zhǔn)
C)日常化制度化的解決方案
D)風(fēng)險(xiǎn)暴露的理解
142.[單選題]某IinUX系統(tǒng)由于root口令過于簡單,被攻擊者猜解后獲得了root口令,發(fā)現(xiàn)被攻
擊后,管理員更改了root口令,并請安全專家對系統(tǒng)進(jìn)行檢測,在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限
如下-LS―X—X1testtdst10704apr152002∕home∕test/sh請問以下描述哪個是正確的:
A)該文件是一個正常文件,test用戶使用的shell,test不能讀該文件,只能執(zhí)行
B)該文件是一個正常文件,是test用戶使用的ShelI,但test用戶無權(quán)執(zhí)行該文件
C)該文件是一個后門程序,該文件被執(zhí)行時,運(yùn)行身份是root,test用戶間接獲得了root權(quán)限
D)該文件是一個后門程序,由于所有者是test,因此運(yùn)行這個文件時文件執(zhí)行權(quán)限為TeSt
143.[單選題]以下哪一項(xiàng)是和電子郵件系統(tǒng)無關(guān)的?
A)PEM
B)PGP
0X500
D)X400
144.[單選題]軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶隱私包,以下關(guān)于用戶隱私保護(hù)的說法錯誤的是?
A)告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何被使用
B)當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時,給客戶選擇是否允許
C)用戶提交的用戶名和密碼屬于隱私數(shù)據(jù),其他都不是
D)確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)
145.[單選題]由于病毒攻擊、非法入侵等原因,校園網(wǎng)部分樓宇出現(xiàn)網(wǎng)絡(luò)癱瘓,或者FTP及部分網(wǎng)站
服務(wù)器不能響應(yīng)用戶請求,屬于以下哪種級別事件
A)特別重大事件
B)重大事件
C)較大事件
D)一般事件
146.[單選題]國際聯(lián)網(wǎng)采用()制定的技術(shù)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、資費(fèi)政策,以利于提高服務(wù)質(zhì)量
和水平。
A)企業(yè)統(tǒng)一
B)單位統(tǒng)一
C)國家統(tǒng)一
D)省統(tǒng)一
147.[單選題]根據(jù)ISO的信息安全定義,下列選項(xiàng)中—是信息安全三個基本屬性之一。
A)真實(shí)性
B)可用性
C)可審計(jì)性
D)可靠性
148.[單選題]關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù),下列說法不正確的是:
A)數(shù)據(jù)庫恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來解決,當(dāng)數(shù)據(jù)庫中數(shù)據(jù)被破壞
時,可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)
B)數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁盤上保存起來,是數(shù)
據(jù)庫恢復(fù)中采用的基本技術(shù)
C)日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用,可以用來進(jìn)行事物故障恢復(fù)和系統(tǒng)故障恢復(fù),并
協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)
D)計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上,利用日志文件中故障發(fā)生前數(shù)據(jù)的值,將
數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài),這一對事務(wù)的操作稱為提交
149.[單選題]有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實(shí)施(BaSe
Practices,BP),正確的理解是:
Λ)BP是基于最新技術(shù)而制定的安全參數(shù)基本配置
B)大部分BP是沒有經(jīng)過測試的
C)一項(xiàng)BP適用于組織的生存周期而非僅適用于工程的某一特定階段
D)一項(xiàng)BP可以和其他BP有重疊
150.[單選題]下列哪些選項(xiàng)不屬于NlD
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 初中語文++第13課《使至塞上》《渡荊門送別》課件+統(tǒng)編版語文八年級上冊
- 麻醉護(hù)理實(shí)習(xí)生出科理論試題及答案
- 點(diǎn)滴的感動演講稿
- 新解讀《CJJT 276-2018預(yù)彎預(yù)應(yīng)力組合梁橋技術(shù)標(biāo)準(zhǔn) 》
- 湖南省郴州市2023-2024學(xué)年高二下學(xué)期期末考試語文試題(解析版)
- 人力資源管理中的員工健康促進(jìn)問題研究
- 股權(quán)結(jié)構(gòu)對公司財(cái)務(wù)穩(wěn)定性的影響分析
- 江蘇省南京玄武區(qū)十三中學(xué)集團(tuán)科利華2024屆中考二模數(shù)學(xué)試題含解析
- unit2(進(jìn)階作業(yè))2024-2025學(xué)年五年級上冊 英語 人教版
- 企業(yè)內(nèi)刊出版行業(yè)影響因素分析
- 改革開放以來中國衣食住行變化PPT通用課件
- 《紅樓夢》優(yōu)秀PPT課件(完美版)
- 建筑安全生產(chǎn)隱患排查制度管理辦法55286
- 互幫互助-共同進(jìn)步主題班會
- 13、臨時用電危險(xiǎn)源辨識表
- 高中物理選修3-4機(jī)械振動 機(jī)械波教材分析
- 電力建設(shè)安全工作規(guī)程解析(線路部分)課件
- 十七十八世紀(jì)歐洲美術(shù)課件
- 氣升環(huán)流式反應(yīng)器
- 國防光纜保護(hù)方案32795
- 繼承遺產(chǎn)糾紛人民調(diào)解協(xié)議書范本
評論
0/150
提交評論