# 此题仅用于复习学习用途
一、单选题(共270题)
第一套
1.对缓冲区溢出攻击预防没有帮助的做法包括
A.输入参数过滤,安全编译选项 B.操作系统安全机制、禁止使用禁用 API
C.安全编码教育 D.渗透测试
2.测试人员与开发人员交互测试发现的过程中,开发人员最关注的什么?
A.bug 的数量 B.bug的严重程度
C.bug的复现过程 D.bug修复的可行性
3.以下发现属于Linux系统严重威胁的是什么?
A.发现不明的SUID可执行文件
B.发现应用的配置文件被管理员变更
C.发现有恶意程序在实时的攻击系统 D.发现防护程序收集了很多黑客攻击的源地址
4.《关于信息安全等级保护的实施意见》中信息和信息系统安全保护等级的第三级的定义是
A.自主保护级 B.指导保护级
C.强制保护级 D.监督保护级
5.以下哪一个不是安全审计需要具备的功能?
A.记录关键事件 B.提供可集中处理审计日志的数据形式
C.实时安全报警 D.审计日志访问控制
6.P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?
A.实时监控技术。 B.访问控制技术。
C.信息加密技术。 D.身份认证技术。
7.数据库管理员执行以下那个动作可能会产生风险?
A.根据变更流程执行数据库变更 B.安装操作系统的补丁和更新
C.排列表空间并考虑表合并的限制 D.执行备份和恢复流程
8.什么类型的软件应用测试被用于测试的最后阶段,并且通常包含不属于开发团队之内的用户成员 ?
A.Alpha 测试 B.白盒测试
C.回归测试 D.Beta测试
9.下面哪一项不是ISMS Check阶段的工作?
Tips:信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架
A.安全事件响应 B.安全内部审核
C.管理评审 D.更新安全计划
10.以下有关通信与日常操作描述不正确的是?
A.信息系统的变更应该是受控的
B.企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
D.所有日常操作按照最佳实践来进行操作,无需形成操作手册。
11. 信息安全管理手段不包括以下哪一项
A.技术 B.流程
C.人员 D.市场
12. 以下对信息安全描述不正确的是
A.信息安全的基本要素包括保密性、完整性和可用性
B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性
C.信息安全就是不出安全事故/事件
D.信息安全不仅仅只考虑防止信息泄密就可以了
13.以下对信息安全管理的描述错误的是
A.保密性、完整性、可用性 B.抗抵赖性、可追溯性
C.真实性私密性可靠性 D.增值性
14.以下哪个命令可以查看端口对应的PID
A.netstat -ano B.ipconfig /all
C.tracert D.netsh
15. Windows组策略适用于
Tips:S——Site(站点)、D——Domain(域)、OU——Organizition Unit(组织单位)
A.S B.D
C.O D.S、D、OU
16.下列生物识别设备,哪一项的交差错判率(CER)最高?
A.虹膜识别设备 B.手掌识别设备
C.声音识别设备 D.指纹识别设备
17.下列物识别设备,哪一项的交差错判率(CER)最高?
A.虹膜识别设备
B.手掌识别设备
C.声音识别设备 D.指纹识别设备
18.在设计业务连续性计划时,企业影响分析可以用来识别关键业务 流程和相应的支持程序,它主要会影响到下面哪一项内容的制定?
A.维护业务连续性计划的职责 B.选择站点恢复供应商的条件
C.恢复策略 D.关键人员的职责
19.一个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于
A.冷站 B.温站
C.直线站点 D.镜像站点
20.在一个业务继续计划的模拟演练中,发现报警系统严重受到设施破坏。下列选项中,哪个是可以提供的最佳建议:
A.培训救护组如何使用报警系统 B.报警系统为备份提供恢复
C.建立冗余的报警系统 D.把报警系统存放地窖里
21.下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)?
Tips:业务连续性计划是一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变。
A.试运行 B.纸面测试
C.单元 D.系统
22.由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部DNS、主WEB服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件
A.特别重大事件 B.重大事件
C.较大事件 D.一般事件
23.应急响应计划文档不应该
A.分发给公司所有人员 B.分发给参与应急响应工作的所有人员
C.具有多份拷贝在不同的地点保存 D.由专人负责保存与分发
24.哪一项不是业务影响分析(BIA)的工作内容
Tips:(Business Impact Assessment),一个企业可持续发展计划中不可缺少的组成部分。分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。它包括对企业薄弱点的考察与揭示,制定企业的风险应对策略等。
A.确定应急响应的恢复目标 B.确定公司的关键系统和业务
C.确定业务面临风险时的潜在损失和影响 D.确定支持公司运行的关键系统
25.以下哪个模型主要用于金融机构信息系统的保护?
A.Chinese wall模型 B.BIBA模型
C.Clark-Wilson 模型 D.BMA 模型
26.射频识别(RFID)标签容易受到以下哪种风险 ?
A. 进程劫持 B.窃听
C. 恶意代码 D.Phishing
27.当曾经用于存放机密资料的PC在公开市场出售时
A.对磁盘进行消磁 B.对磁盘低级格式化
C.删除数据 D.对磁盘重整
28.信息安全管理最关注的是?
A.外部恶意攻击 B.病毒对PC的影响
C.内部恶意攻击 D.病毒对网络的影响
29.多层的楼房中,最适合做数据中心的位置是:
A.一楼 B.地下室
C.顶楼 D.除以上外的任何楼层
30.当客户需要访问组织信息资产时,下面正确的做法是?
A.应向其传达信息安全要求及应注意的信息安全问题。
B.尽量配合客户访问信息资产。
C.不允许客户访问组织信息资产。
D.不加干涉,由客户自己访问信息资产。
31.对安全策略的描述不正确的是?
A.信息安全策略应得到组织的最高管理者批准。
B.策略应有一个所有者,负责按复查程序维护和复查该策略。
C.安全策略应包括管理层对信息安全管理工作的承诺。
D.安全策略一旦建立和发布,则不可变更。
32.渗透测试作为网络安全评估的一部分
A.提供保证所有弱点都被发现 B.在不需要警告所有组织的管理层的情况下执行
C.找到存在的能够获得未授权访问的漏洞 D.在网络边界上
33.在制定控制前,管理层首先应该保证控制
A.满足控制一个风险问题的要求 B.不减少生产力
C.基于成本效益的分析 D.检测行或改正性的
34.风险评估和管理工具通常是指什么工具
A.漏洞扫描工具 B.入侵检测系统
C.安全审计工具 D.安全评估流程管理工具
35.风险评估实施过程中资产识别的依据是什么
A.依据资产分类分级的标准 B.依据资产调查的结果
C.依据人员访谈的结果 D.依据技术人员提供的资产清单
36.降低风险的控制措施有很多,下面哪一个不属于降低风险的措
施?
A.在网络上部署防火墙 B.对网络上传输的数据进行加密
C.制定机房安全管理制度 D.购买物理场所的财产保险
37.信息安全管理措施不包括:
A.安全策略 B.物理和环境安全
C.访问控制 D.安全范围
38.为了解决操作人员执行日常备份的失误,管理层要求系统管理员签字日常备份,这是一个风险,,例子:
A.防止 B.转移
C. 缓解 D.接受
39.通常最好由谁来确定系统和数据的敏感性级别?
A.审计师 B.终端用户
C.拥有者 D.系统分析员
40.系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为什么?
A.戴明循环 B.过程方法
C.管理体系 D. 服务管理
41.下面哪一项组成了CIA三元组?
A.保密性,完整性,保障 B.保密性,完整性,可用性
C.保密性,综合性,保障 D.保密性,综合性,可用性
42.在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是 :
A.非授权用户可以使用ID擅自进入 . B.用户访问管理费时
C.很容易猜测密码 D.无法确定用户责任
43.组织的安全策略可以是广义的,以是狭义的,下面哪一条是属于广义的安全策略?
A.应急计划 B.远程办法
C.计算机安全程序 D.电子邮件个人隐私
44.下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?
A.虚拟专用网 B.专线
C.租用线路 D. 综合服务数字网
45.当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:
A.满足并超过行业安全标准 B.同意可以接受外部安全审查
C.其服务和经验有很好的市场声誉 D.符合组织的安全策略
46.审核在实施审核时,所使用的检查表不包括的内容有?
A.审核依据 B.审核证据记录
C. 审核发现 D. 数据收集方法和工具
47.对于在ISMS 内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?
Tips: Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系
A.改进措施包括纠正和预防措施 B.改进措施可由受审单位提出并实施
C.不可以对体系文件进行更新或修改 D.对改进措施的评价应该包括措施的有效性的分析
48.企业信息资产的管理和控制的描述不正确的是
A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
49.风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?
A.只识别与业务及信息系统有关的信息资产,分类识别
B.所有公司资产都要识别
C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产
D.资产识别务必明确责任人、保管者和用户
50.以下对信息安全管理的描述错误的是
A.信息安全管理的核心就是风险管理
B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性
C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
D.信息安全管理工作的重点是信息系统,而不是人
51. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是
A. ISMS是一个遵循PDCA模式的动态发展的体系
B. ISMS是一个文件化、系统化的体系
C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
D. ISMS应该是一步到位的,应该解决所有的信息安全问题
52. PDCA特征的描述不正确的是
A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
D.信息安全风险管理的思路不符合PDCA的问题解决思路
53. 构成风险的关键因素有哪些?
A. 人,财,物 B. 技术,管理和操作
C.资产,威胁和弱点 D.资产,可能性和严重性
54.安全开发制度中,QA最关注的的制度是
A.系统后评价规定 B.可行性分析与需求分析规定
C.安全开发流程的定义、交付物和交付物衡量标准 D.需求变更规定
55.以下哪项行为可能使用嗅探泄露系统的管理员密码?
A.使用root用户访问FTP程序 B.使用root用户连接SSH服务
C.使用root进行SCP文件传输 D.在本地使用root用户登录
56.灾难恢复SHARE78的第三层是指
A.卡车运送 B.电子链接
C.活动状态的备份中心 D.0数据丢失
57.以下哪一个是在所有的WINDOWS2000和WINDOWS系统中都存在 的日志是?
A.目录服务日志 B.文件复制日志
C.应用服务日志 D.DNS服务日志
58.P2DR模型中的“反应”是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,这些措施包括?
A.关闭服务。 B.向上级汇报。
C.跟踪。 D.消除影响。
59.一个公司解雇了一个数据库管理员,并且解雇时立刻取消了数据库 管理员对公司所有系统的访问权,是数据管理员威胁说数据库在两个月内将被删除,除非公司付他一大笔钱。数据管理员最有可能采用下面哪种手段删除数据库?
A.放置病毒 B.蠕虫感染
C.DoS攻击 D.逻辑炸弹攻击
60.在系统实施后评审过程中,应该执行下面哪个活动?
A.用户验收测试 B.投资收益分析
C.激活审计模块 D.更新未来企业架构
61.定义ISMS范围时,下列哪项不是考虑的重点
A.组织现有的部门 B.信息资产的数量与分布
C.信息技术的应用区域 D.IT人员数量
62.有关信息安全事件的描述不正确的是?
A.信息安全事件的处理应该分类、分级
B.信息安全事件的数量可以反映企业的信息安全管控水平
C.对于一些信息安全隐患,如果还没造成损失,就没必要进行报告。
D.信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
63.信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是
A.ISMS是一个遵循PDCA模式的动态发展的体系
B.ISMS是一个文件化、系统化的体系
C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而 定
D.ISMS应该是一步到位的,应该解决所有的信息安全问题
64. 企业信息资产的管理和控制的描述不正确的是
A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
65.以下哪些不是应该识别的信息资产?
A.网络设备 B.客户资料
C.办公桌椅 D.系统管理员
66.用于跟踪路由的命令是
A.nestat B.regedit
C.systeminfo D.tracert
67.下列哪一个是国家推荐标准
A.GB/T 18020-1999 B.SJ/T 30003-93
C.ISO/IEC15408 D. GA 243-2000
68.为什么实现单点登录的批处理文件及脚本文件需要被保护存储?
A.因为最小授权原则 B.因为它们不可以被操作员访问到
C.因为它们可能包含用户身份信息 D.因为知所必须原则
69.在一个分布式环境中,以下哪一项能够最大程度减轻服务器故障 的影响?
A.冗余路径 B.(服务器 )集群
C.拨号备份链路 D.备份电源
70.如果恢复时间目标增加,则
A.灾难容忍度增加 B.恢复成本增加
C.不能使用冷备援计算机中心 D.数据备份频率增加
71.以下关于备份站点的说法哪项是正确的
A.应与原业务系统具有同样的物理访问控制措施
B.应容易被找到以便于在灾难发生时以备紧急情况的需要
C.应部署在离原业务系统所在地较近的地方
D.不需要具有和原业务系统相同的环境监控等级
72.评估业务连续计划效果最好的方法是:
A.使用适当的标准进行规划和比较
B.之前的测试结果
C.紧急预案和员工培训 D.环境控制和存储站点
73.在一个中断和灾难事件中,以下哪一项提供了持续运营的技术手 段?
A.负载平衡 B.硬件冗余
C.分布式备份 D.高可用性处理
74.由于独立的信息系统增加,一个国有房产公司要求在发生重大故 障后,必须保证能够继续提供 IT服务。需要实施哪个流程才能提供这种 保证性?
A.可用性管理 B. IT服务连续性管理
C.服务级别管理 D.服务管理
75.业务影响分析的主要目的是:
A.在灾难之后提供一个恢复行动的计划 B.识别能够影响组织运营持续性的事件
C.公布组织对物理和逻辑安全的义务 D.提供一个有效灾难恢复计划的框架
76.制定应急响应策略主要需要考虑
A.系统恢复能力等级划分 B.系统恢复资源的要求
C.费用考虑 D.人员考虑
77.以下哪组全部都是多边安全模型?
A.BLP模型和BIBA模型 B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BMA模型 D.Clark-Wilson模型和Chinese wall模型
78. 有关定性风险评估和定量风险评估的区别,以下描述不正确的是
A.定性风险评估比较主观,而定量风险评估更客观
B.定性风险评估容易实施,定量风险评估往往数据准确性很难保证
C.定性风险评估更成熟,定量风险评估还停留在理论阶段
D.定性风险评估和定量风险评估没有本质区别,可以通用
79.降低企业所面临的信息安全风险,可能的处理手段不包括哪些
A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
D.通过业务外包的方式,转嫁所有的安全风险
80.以下哪个选项不是信息中心(IC)工作职能的一部分?
A.准备最终用户的预算 B.选择PC的硬件和软件
C.保持所有PC的硬件和软件的清单 D.提供被认可的硬件和软件的技术支持
81.处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?
A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。
B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。
C.在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。
D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎
82.对于外部组织访问企业信息资产的过程中相关说法不正确的是?
A.为了信息资产更加安全,禁止外部组织人员访问信息资产。
B.应确保相关信息处理设施和信息资产得到可靠的安全保护。
C.访问前应得到信息资产所有者或管理者的批准。
D.应告知其所应当遵守的信息安全要求。
83.有关人员安全管理的描述不正确的是?
A.人员的安全管理是企业信息安全管理活动中最难的环节。
B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查。
C.如职责分离难以实施,企业对此无能为力,也无需做任何工作。
D.人员离职之后,必须清除离职员工所有的逻辑访问帐号。
84.一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为
Tips: ALE(年度损失值)
A.5000元 B.10000元
C.25000元 D.15000元
85.在未受保护的通信线路上传输数据和使用弱口令是一种?
A.弱点 B.威胁
C.可能性 D.影响
86.安全管理评估工具通常不包括
A.调查问卷 B.检查列表
C.访谈提纲 D.漏洞扫描
87.风险评估实施过程中资产识别的范围主要包括什么类别
A.网络硬件资产 B.数据资产
C.软件资产 D.以上都包括
88.信息安全审核是指通过审查、测试、评审等手段,检验风险评估 和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?
A.机构内部人员 B.外部专业机构
C.独立第三方机构 D.以上皆可
89.下面安全策略的特性中,不包括哪一项?
A.指导性 B.静态性
C.可审核性 D.非技术性
90.以下哪项不属于PDCA循环的特点?
A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.的每个部分,不包括个人, 均可以PDCA循环,大环套小环,一层一层地解决问题
参考答案:
