# 此题仅用于复习学习用途
第二套
1.以下有关通信与日常操作描述不正确的是( )
A.信息系统的变更应该是受控的
B.企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
D.内部安全审计无需遵循独立性、客观性的原则
2.风险评估和管理工具通常是指什么工具 ( )
A.漏洞扫描工具
B.入侵检测系统
C.安全审计工具
D.安全评估流程管理工具
3.以下哪一个不是安全审计的作用? ( )
A.记录系统被访问的过程及系统保护机制的运行状态。
B.发现试图绕过保护机制的行为。
C.及时发现并阻止用户身份的变化
D.报告并阻碍绕过保护机制的行为并记录相关进程,为灾难恢复提供信息。
4.以下哪一个不是安全审计需要具备的功能?
A.记录关键事件
B.提供可集中处理审计日志的数据形式
C.实时安全报警
D.审计日志访问控制
5.对称加密技术的安全性取决于 ( )
A.密文的保密性
B.解密算法的保密性
C.密钥的保密性
D.加密算法的保密性
6.以下哪些不是应该识别的信息资产? ( )
A.网络设备
B.客户资料
C.办公桌椅
D.系统管理员
7.以下哪些不是可能存在的弱点问题? ( )
A.保安工作不得力
B.应用系统存在 Bug
C.内部人员故意泄密
D.物理隔离不足
8.下面哪一个 情景属于审计 ( )
A用户依照系统提示输入用户名和口令
B用户在网络上共享了自己编写的一份 Off i ce文档,并设定哪些用户可以阅读,哪些用户可以修改
C用户使用加密软件对自己编写的 Of f i ce 文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D某个人尝试登录到你的计算机中, 但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中
9.企业 ISMS(信息安全管理体系)建设的原则不包括以下哪个 ( )
A.管理层足够重视
B.需要全员参与
C.不必遵循过程的方法
D.需要持续改进
10.信息系统安全保护等级为3级的系统,应当在()年进行一次等级测评?( )
A.0.5
B.1
C.2
D.3
11.在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:( )
A、测试系统应使用不低于生产系统的访问控制措施
B、为测试系统中的数据部署完善的备份与恢复措施
C、在测试完成后立即清除测试系统中的所有敏感数据
D、部署审计措施,记录产生数据的拷贝和使用
12.以下哪个不可以作为 ISMS管理评审的输入 ( )
A. ISMS审计和评审的结果
B.来自利益伙伴的反馈
C.某个信息安全项目的技术方案
D.预防和纠正措施的状态
13.信息系统审核员应该预期谁来授权对生产数据和生产系统的访
问?( )
A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者
14.当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一 道防线是下列哪一项? ( )
A.个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置
15.负责授权访问业务系统的职责应该属于: ( )
A.数据拥有者
B.安全管理员
C.IT 安全经理
D.请求者的直接上司
16.ID3 攻击的 Syn flood攻击是利用( )进行攻击。
A.其他网络
B.通讯握手过程问题
C.中间代理
D.系统漏洞
17.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 这是 ( )防火墙的特点。
A.包过滤型
B.应用级网关型
C.复合型
D.代理服务型
18.在制定一个正式的企业安全计划时,最关键的成功因素将是?( )
A.成立一个审查委员会
B.建立一个安全部门
C.向执行层发起人提供有效支持
D.选择一个安全流程的所有者
19.在人力资源审计期间,安全管理体系内审员被告知在IT 部门和人力 资源部门中有一个关于期望的IT 服务水平的口头协议。安全管理体系内审员首先应该做什么? ( )
A.为两部门起草一份服务水平协议
B.向高级管理层报告存在未被书面签订的协议
C.向两部门确认协议的内容
D.推迟审计直到协议成为书面文档
20.在你对终端计算机进行Ping操作,不同操作系统回应的数据包含中初始ITL值是不同的,ITL是IP协议包中的一个信,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可以通过TTL值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的TTL值,可以大致判断( )
A.内存容量 B.操作系统的类型
C.对方物理位置 D.对方的MAC地址
21.恶意软件分析是快速准确的识别,实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术,( )
A.动态分析是指在虚拟进行环境中,
B.动态分析针对性强,并具有较高的
C.动态分析通过对其文件的分析
D.动态分析通过监控系统建设,文件和注册表等方面出现的
22内部审计部门 ,从组织结构上向财务总监而不是审计委员会报告 ,最有可能: ( )
A.导致对其审计独立性的质疑
B.报告较多业务细节和相关发现
C. 加强了审计建议的执行
D. 在建议中采取更对有效行动
23.下面哪一种情况可以使信息系统安全官员实现有效进行安全控制
的目的 ? ( )
A.完整性控制的需求是基于风险分析的结果
B.控制已经过了测试
C. 安全控制规范是基于风险分析的结果
D. 控制是在可重复的基础上被测试的
24.下列哪一种情况会损害计算机安全策略的有效性? ( )
A.发布安全策略时
B.重新检查安全策略时
C. 测试安全策略时
D. 可以预测到违反安全策略的强制性措施时
25.组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略?( )
A.应急计划
B.远程办法
C. 计算机安全程序
D. 电子邮件个人隐私
26.基本的计算机安全需求不包括下列哪一条:( )
A.安全策略和标识
B.绝对的保证和持续的保护
C. 身份鉴别和落实责任
D. 合理的保证和连续的保护
27.拒绝式服务攻击会影响信息系统的哪个特性?( )
A.完整性
B.可用性
C.机密性
D.可控性
28.在信息系统安全中,风险由以下哪两种因素共同构成的?( )
A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏
29.在信息系统安全中,暴露由以下哪两种因素共同构成的? ( )
A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏
30.信息安全管理最关注的是? ( )
A.外部恶意攻击
B.病毒对 PC的影响
C.内部恶意攻击
D. 病毒对网络的影响
31.如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于 风险减缓的内容? ( )
A.计算风险
B.选择合适的安全措施
C.实现安全措施
D.接受残余风险
32. 通常最好由谁来确定系统和数据的敏感性级别? ( )
A.审计师
B.终端用户
C.拥有者
D.系统分析员
33. 风险分析的目的是? ( )
A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
34.以下人员中,谁负有决定信息分类级别的责任? ( )
A.用户
B.数据所有者
C.审计员
D.安全官
35.评估 IT风险被很好的达到,可以通过:( )
A.评估 IT资产和 IT项目总共的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织出版的损失数据
D.一句审计拔高审查 IT控制弱点
36.在部署风险管理程序的时候,哪项应该最先考虑到:( )
A.组织威胁,弱点和风险概括的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够在一个可以接受的水平上保持风险的结果
37.为了解决操作人员执行日常备份的失误,管理层要求系统管理员
签字日常备份,这是一个风险 ( )例子。
A.防止
B.转移
C.缓解
D.接受
38.信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行,下面哪项包括非典型的安全协调应包括的人员?( )
A.管理人员、用户、应用设计人员
B.系统运维人员、内部审计人员、安全专员
C.内部审计人员、安全专员、领域专家
D.应用设计人员、内部审计人员、离职人员
39.下面那一项不是风险评估的目的?( )
A.分析组织的安全需求
B.制订安全策略和实施安防措施的依据
C.组织实现信息安全的必要的、重要的步骤
D.完全消除组织的风险
40.下面那个不是信息安全风险的要素?( )
A.资产及其价值
B.数据安全
C.威胁
D.控制措施
41.如何对信息安全风险评估的过程进行质量监控和管理?( )
A.对风险评估发现的漏洞进行确认
B.针对风险评估的过程文档和结果报告进行监控和审查
C.对风险评估的信息系统进行安全调查
D.对风险控制测措施有有效性进行测试
42.信息系统的价值确定需要与哪个部门进行有效沟通确定?( )
A.系统维护部门
B.系统开发部门
C.财务部门
D.业务部门
43.下面哪一个不是系统规划阶段风险管理的工作内容 ( )
A.明确安全总体方针
B.明确系统安全架构
C.风险评价准则达成一致
D.安全需求分析
44.下面哪一个不是系统设计阶段风险管理的工作内容( )
A.安全技术选择
B.软件设计风险控制
C.安全产品选择
D.安全需求分析
45.以下对Kerberos协议过程说法正确的是( )
A协议可分为两个步骤:一是用户身份鉴别;二十获取请求服务
B.协议可分为两个步骤:一是获得票据许可票据;二十获取请求服务
C.协议可分为三个步骤;一是用户身份鉴别;二十获得票据;三是获得服务许可票据
D.协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务
46.组织实施了灾难恢复计划。下列哪些步骤应下一步执行?( )
A.取得高级管理人员认可
B.确定的业务需求
C.进行纸面测试
D.进行系统还原测试
47.灾难性恢复计划 (DRP) 基于: ( )
A.技术方面的业务连续性计划
B.操作部分的业务连续性计划
C.功能方面的业务连续性计划
D.总体协调的业务连续性计划
48下面哪一项是恢复非关键系统的最合理方案? ( )
A.温站
B.移动站
C.热站
D.冷站
49.在一份热站、温站或冷站协议中,协议条款应包含以下哪一项需 考虑的事项 ( )
A.具体的保证设施
B.订户的总数
C.同时允许使用设施的订户数量
D.涉及的其他用户
50.当建立一个业务持续性计划时,使用下面哪一个工具用来理解组 织业务流程? ( )
A.业务持续性自我评估
B.资源的恢复分析
C.风险评估和业务影响评估
D.差异分析
51.下列哪一项最好地支持了24/7 可用性?( )
A.日常备份
B.离线存储
C.镜像
D.定期测试
52.以下哪种为丢弃废旧磁带前的最佳处理方式?( )
A.复写磁带
B.初始化磁带卷标
C.对磁带进行消磁
D.删除磁带
53.组织回顾信息系统灾难恢复计划时应:( )
A.每半年演练一次
B.周期性回顾并更新
C.经首席执行官 (CEO)认可
D.与组织的所有部门负责人沟通
54.在一个分布式环境中,以下哪一项能够最大程度减轻服务器故障 的影响? ( )
A.冗余路径
B.(服务器 )集群
C.拨号备份链路
D.备份电源
55.以下哪一个选项是从软件自身功能出发,进行威胁分析.( )
A.攻击面分析
B.威胁建模
C.架构设计
D.详细设计
56.DDoS攻击的主要目换是 : ( )
A.破坏完整性和机密性
B.破坏可用性
C.破坏机密性和可用性
D.破坏机密性
57.特洛伊木马攻击的危胁类型属于 ( )
A.授权侵犯威胁
B.植入威胁
C.渗入威胁
D.破坏威胁
58.CA的核心职责是 ( )
A.签发和管理证书
B.审核用户真实信息
C.发布黑名单
D.建立实体链路安全
59.什么类型的软件应用测试被用于测试的最后阶段,并且通常包含
不属于开发团队之内的用户成员? ( )
A.Alpha 测试
B.白盒测试
C.回归测试
D.Beta测试
60.在系统实施后评审过程中,应该执行下面哪个活动?( )
A.用户验收测试
B.投资收益分析
C.激活审计模块
D.更新未来企业架构
61.P2DR模型强调了落实反应和系统安全的动态性,其中的“ 检测”
使用的主要方法是?( )
A.检测。
B.报警。
C.记录。
D.实时监控。
62.以下哪一个不是网络隐藏技术?( )
A.端口复用
B."无端口技术"
C.反弹端口技术
D.DLL注入
63.监视恶意代码主体程序是否正常的技术是?( )
A.进程守护
B.备份文件
C.超级权限
D.HOOK技术
64.恶意代码的第一个雏形是?( )
A.磁芯大战
B.爬行者
C.清除者
D.BRAIN
65.程序设计和编码的问题引入的风险为:( )
A."网络钓鱼 "
B."缓冲区溢出 "
C."SYN 攻击 "
D.暴力破解
66.以下哪项活动对安全编码没有帮助( )
A.代码审计
B.安全编码规范
C.编码培训
D.代码版本管理
67.开发人员认为系统架构设计不合理,需要讨论调整后,再次进入 编码阶段。开发团队可能采取的开发方法为( )
A.瀑布模型
B.净室模型
C.XP模型
D.迭代模型
68.为了预防逻辑炸弹,项目经理采取的最有效的措施应该是( )
A.对每日提交的新代码进行人工审计
B.代码安全扫描
C.安全意识教育
D.安全编码培训教育
69.对缓冲区溢出攻击预防没有帮助的做法包括 ( )
A.输入参数过滤,安全编译选项
B.操作系统安全机制、禁止使用禁用 API
C.安全编码教育
D.渗透测试
70.下列哪项是系统问责时不需要的? ( )
A.认证
B.鉴定
C.授权
D.审计
71.及时审查系统访问审计记录是以下哪种基本安全功能?( )
A.威慑。
B.规避。
C.预防。
D.检测。
72.个人问责不包括下列哪一项? ( )
A.访问规则。
B.策略与程序。
C.审计跟踪。
D.唯一身份标识符。
73.下列哪一项体现了适当的职责分离? ( )
A.磁带操作员被允许使用系统控制台。
B.操作员是不允许修改系统时间。
C.允许程序员使用系统控制台。
D.控制台操作员被允许装载磁带和磁盘。
74.实施逻辑访问安全时,以下哪项不是逻辑访问?( )
A.用户 ID。
B.访问配置文件。
C.员工胸牌。
D.密码。
75.银行柜员的访问控制策略实施以下的哪一种?( )
A.基于角色的策略。
B.基于身份的策略。
C.基于用户的策略。
D.基于规则政策。
76. 数据库视图用于 ? ( )
A.确保相关完整性
B.方便访问数据
C.限制用户对数据的访问 .
D.提供审计跟踪
77.RSA与 DSA相比的优点是什么?
A.它可以提供数字签名和加密功能
B.由于使用对称密钥它使用的资源少加密速度快
C.前者是分组加密后者是流加密
D.它使用一次性密码本
78.DNS欺骗是发生在 TCP/IP协议中 ______层的问题
A、网络接口层
B、互联网网络层
C、传输层
D、应用层
79.单点登录系统主要的关切是什么?( )
A.密码一旦泄露,最大程度的非授权访问将可能发生。
B.将增加用户的访问权限。
C.用户的密码太难记。
D.安全管理员的工作量会增加。
80.不受限制的访问生产系统程序的权限将授予以下哪些人?( )
A.审计师
B.不可授予任何人
C.系统的属主。
D.只有维护程序员
81.下述攻击手段中不属于DOS攻击的是 : ( )
A.Smurf 攻击
B.Land 攻击
C.Teardrop 攻击
D.CGI 溢出攻击
82.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:( )
A.测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.对信息安全产品的测评认证制度是我国按照 WTO 规则建立的技术壁垒的管理体制。
D.通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
83.下列哪一种模型运用在 JAVA安全模型中:( )
A.白盒模型
B.黑盒模型
C.沙箱模型
D.灰盒模型
84.以下哪一个协议是用于电子邮件系统的?( )
A.X.25
B.X.75
C.X.400
D.X.500
85.作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:( )
1.考虑可能的威胁
2.建立恢复优先级
3.评价潜在的影响
4.评价紧急性需求
A.1-3-4-2
B.1-3-2-4
C.1-2-3-4
D.1-4-3-2
86.在选择外部供货生产商时,评价标准按照重要性的排列顺序是: ( )
1.供货商与信息系统部门的接近程度
2.供货商雇员的态度
3.供货商的信誉、专业知识、技术
4.供货商的财政状况和管理情况
A.4,3,1,2
B.3,4,2,1
C.3,2,4,1
D.1,2,3,4
87.机构应该把信息系统安全看作: ( )
A.业务中心
B.风险中心
C.业务促进因素
D.业务抑制因素
88.下面哪一种攻击方式最常用于破解口令?( )
A.哄骗(spoofing )
B.字典攻击( dictionary attack )
C.拒绝服务( DoS)
D.WinNuk
89.信息系统安全主要从几个方面进行评估? ( )
A.1个(技术)
B.2个(技术、管理)
C.3个(技术、管理、工程)
D.4个(技术、管理、工程、应用)
90.以下哪一项计算机安全程序的组成部分是其它组成部分的基础? ( )
A.制度和措施
B.漏洞分析
C.意外事故处理计划
D.采购计划
参考答案:
