信息安全—CISP认证培训练习题3[复制]
1.在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP协议访问信息系统;(2)用户在登录页面输入用户名和口令;(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成。可以看出,这个鉴别过程属于()
A.单向鉴别
B.双向鉴别
C.三向鉴别
D.第三方鉴别
2.下列关于软件安全开发中的BSI(Build Security In)系列模型说法错误的是()。
A.BSI含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
B.软件安全的三根支柱是风险管理、软件安全触点和安全测试
C.软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
D.BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分
3.主体和客体是访问控制模型中常用的概念。下面描述中错误的是()。
A.主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
B.客体也是一个实体,是操作的对象,是被规定需要保护的资源
C.主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用
D.一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行
4.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下哪一项工作不能降低该系统的受攻击面:[1分]()
A.分析系统功能的重要性
B.分析从哪里可以访问这些功能
C.采取合理措施降低特权
D.分析系统应满足的性能要求
5.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作()。
A.资产识别并赋值
B.脆弱性识别并赋值
C.威胁识别并赋值
D.确认已有的安全措施并赋值
6.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了。这种向Web页面插入恶意html代码的攻击方式称为()。
A.分布式拒绝服务攻击
B.跨站脚本攻击
C.SQL注入攻击
D.缓冲区溢出攻击
7.某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改。利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题。对于网站的这个问题原因分析及解决措施,最正确的说法应该是?[1分]()
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的问题,应对全网站进行安全改造,所有的访问都强制要求使用https
B.该问题的产生是由于网络开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
8.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式:[1分]()
A.攻击者利用软件存在逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B.攻击者利用软件脚本使用多重嵌套查询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通了IDC人员,将某软件运行服务器的网线拔掉导致无法访问
9.对系统工程(Systems Engineering,SE)的理解,以下错误的是:[1分]()
A.系统工程偏重于对工程的组织与经营管理进行研究
B.系统工程不属于技术实现,而是一种方法论
C.系统工程不是一种对所有系统都具有普遍意义的科学方法
D.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
10.访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制,它们具有不同的特点和应用场景。如果需要选择一个访问控制方法,要求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在下列选项中,能够满足以上要求的选项是()。
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.以上选项都可以
11.系统工作霍尔三维结构模型从时间维、逻辑维、( )三个坐标对系统工程进行程序化。[1分]()
A.阶段维
B.进程维
C.知识维
D.工作步骤维
12.一个信息管理系统通常会对用户进行分组并实施访问控制。例如,在一个学校的教务系统中,教师能够录入学生的考试成绩,学生只能查看自己的分数,而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中,对访问控制的作用的理解错误的是()。
A.对经过身份鉴别后的合法用户提供所有服务
B.拒绝非法用户的非授权访问请求
C.在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理
D.防止对信息的非授权篡改和滥用
13.某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址,但是该网络内有15台个人计算机,这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题,公司决定将这10个互联网地址集中起来使用,当任意一台个人计算机开机并连接网络时,管理中心从这10个地址中任意取出一个尚未分配的IP地址分配给这个人的计算机。他关机时,管理中心将该地为收回,并重新设置为未分配。可见,只要同时打开的个人计算机数量少于或等于可供分配的IP地址,那么,每台个人计算机可以获取一个IP地址,并实现与互联网的连接。该公司使用的IP地址规划方式是()。
A.静态分配地址
B.动态分配地址
C.静态NAT分配地址
D.端口NAT分配地址
14.Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。
A.源代码审核、风险分析和渗透测试
B.应用风险管理、软件安全接触点和安全知识
C.威胁建模、渗透测试和软件安全接触点
D.威胁建模、源代码审核和模糊测试
15.从历史演进来看,信息安全的发展经历了多个阶段。其中,有一个阶段的特点是:网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全产品。这个阶段是()。
A.通信安全阶段
B.计算机安全阶段
C.信息系统安全阶段
D.信息安全保障阶段
16.以下关于项目的含义,理解错误的是:[1分]()
A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。
B.项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
C.项目资源指完成项目所需要的人、财、物等。
D.项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)
17.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO(恢复点目标)指标为3小时。请问这意味着()。
A.该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作
B.该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行
C.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力
D.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据
18.某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用交换式千兆以太网为主干,超五类双绞线作水平布线,由大型的交换机和路由器连通几个主要的工作区域,在各区域建立一个闭路电视监控系统,再把信息通过网络传输到各监控中心。其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤,下面对于交换机和路由器的安全配置,操作错误的是()。
A.保持当前版本的操作系统,不定期更新交换机操作系统补丁
B.控制交换机的物理访问端口,关闭空闲的物理端口
C.带外管理交换机,如果不能实现的话,可以利用单独的VLAN号进行带内管理
D.安全配置必要的网络服务,关闭不必要的网络服务
19.CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?[1分]()
A.结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展。
B.表达方式的通用性,即给出通用的表达方式。
C.独立性,它强调安全的功能和保证分离。
D.实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中。
20.关于恶意代码的守护进程的功能,以下说法正确的是()
A.隐藏恶意代码
B.加大检测难度
C.传播恶意代码
D.监视恶意代码主体程序是否正常
21.某银行有5台交换机连接了大量交易机构的网络(如图所示),在基于以太网的通信中,计算机A需要与计算机B通信,A必须先广播“ARP请求信息”,获取计算机B的物理地址。每到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中一台交换机收到ARP请求后,会转发给接收端口以外的其他所有端口,ARP请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用的技术是()
[1分]
A.VLAN划分
B.动态分配地址
C.为路由交换设备修改默认口令
D.设立入侵防御系统
22.系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。有关此模型,错误的是:[1分]()
A.霍尔三维结构体系形象地描述了系统工程研究的框架
B.时间维表示系统工程活动从开始到结束按时间顺序排列的全过程
C.逻辑维的七个步骤与时间维的七个阶段严格对应,即时间维第一阶段应执行逻辑维第一步骤的活动,时间维第二阶段应执行逻辑维第二步骤的活动
D.知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能
23.应用安全,一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是()。
A.身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
C.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
D.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
24.由于密码技术都依赖于密钥,因此密钥的安全管理是密码技术应用中非常重要的环节,下列关于密钥管理说法错误的是()。
A.科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于秘钥
B.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性
C.密钥管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等
D.在保密通信过程中,通信双方也可利用Diffie-Hellman 协议协商出会话密钥进行保密通信
25.2016年9月,一位安全研究人员在Goole Cloud IP上通过扫描,发现了完整的美国路易斯安那州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党代码、电话号码以及最后一次投票及投票历史等详细详细。安全研究员建议当地民众及时修改与个人信息相关的用户名和密码,以防止攻击者利用以上信息进行()攻击。
A.默认口令
B.字典
C.暴力
D.XSS
26.RBAC分为0、1、2、3四个等级,下面说法不正确的是[1分]()
A.RBAC0是基础,rbac1、rbac2、rbac3都是在其基础上衍生出来的
B.RBAC1在rbac0的基础上增加了角色集成关系
C.RBAC2在rbac1的基础上增加了约束
D.RBAC3包含了rbac1和rbac2的所有功能
27.某信息安全公司的团队对某名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门。使黑客能够获得受害者电脑的访问权。该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动。为了防范此类木马后门的攻击。以下做法无用的是()。
A.不下载、不执行、不接收来历不明的软件或文件
B.不随意打开来历不明的邮件,不浏览不健康不正规的网站
C.使用共享文件
D.安装反病毒软件和防火墙,安装专门的木马防治软件
28.关于补丁安装时应注意的问题,以下说法正确的是()
A.在补丁安装部署之前不需要进行测试,因为补丁发布之前厂商已经经过了测试
B.补丁的获取有严格的标准,必须在厂商的官网上获取
C.信息系统打补丁时需要做好备份和相应的应急措施
D.补丁安装部署时关闭和重启系统不好产生影响
29.由于密码技术都依赖于密钥,因此密钥的安全管理是密码技术应用中非常重要的环节。下列关于密钥管理说法错误的是()
A.科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体质或算法的保密,而依赖于密钥
B.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性
C.密钥管理需要在安全策略的知道下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等
D.在保密通信过程中,通信双方也可利用Diffie-hellean协议协商出会话密钥进行保密通信
30.国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?[1分]()
A.处于国际先进水平,并且有军事用途或对经济建设具有重要影响的
B.能够局部反应国家防御和治安实力的
C.我国独有、不受自然条件因素制约、能体现民族特色的精华、并且社会效益或经济效益显著的传统工艺
D.国际领先,并且对国防建设或者经济建设具有特别重大的影响的
31.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是()
A.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
B.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息
C.粒度最小策略,将数据库中的数据项进行划分、粒度越小,安全级别越高,在实际中需要选择最小粒度
D.按内容存取控制策略,不同权限的用户访问数据库的不同部分
32.某攻击者想通过远程控制软件潜伏在某监控方的linux系统的计算机中,如果攻击者打算长时间地远程监控某服务区上的存储的敏感数据。必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自己的系统日志的时候,就会发现被监控以及访问的痕迹。不属于清除痕迹的方法是()
A.窃取root权限修改wtmp/wtmpx、utmp/utmpx和last log三个主要日志文件
B.采用干扰手段影响系统防火墙的审计功能
C.保留攻击时产生的临时文件
D.修改登录日志,伪造成功的登录日志,增加审计难度
33.加密文件系统(Ecrypting File System,EFS)是Windows 操作系统的一个组件,以下说法错误的是()。
A.EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B.EFS以公钥加密为基础,并利用了Windows中的CryptoAPI体系结构。
C.EFS加密系统适用于NTFS系统和FAT32文件系统(WIN7环境下)
D.EFS加密过程对用户透明,EFS加密的用户验证过程是在登录Windows时进行的
34.下图是安全测试人员连接某远程主机时的操作界面,请仔细分析该图,下面选项中推断正确的是()
A.测试人员连接了远程服务器的220端口
B.测试人员的本地操作系统是Linux
C.服务器开启了FTP服务,使用的服务器软件为FTP Server
D.远程服务器的操作系统是Windows系统。
35.关于ARP欺骗原理及防范措施,正面理解错误的是()
A.ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者将错误的硬件地址映射关系存入ARP缓存中,从而起到冒充的作用。
B.单纯利用ARP攻击欺骗时,ARP欺骗通常影响的是内部子网,不能跨越网段实施攻击
C.解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存,如果发生硬件地址的变更,则需要人工更新缓存
D.彻底解决ARP欺骗的方法是避免使用ARP协议和缓存,直接采用IP地址和其他主机通信
36.以下关于SMTP和POP3协议的说法哪个是错误的:[1分]()
A.SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议
B.SMTP和POP3协议是以明文传输数据,因此存在数据泄漏的可能
C.SMTP和POP3协议缺乏严格的用户认证,因为导致了垃圾邮件问题
D.SMTP和POP3协议由于协议简单,易用性好,更容易实现远程管理软件
37.Kerberos协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务,单点登录是指用户在网络中进行一次性验证,便可以访问其授权所有的网络资源,而不再需要其他的身份过程,其本质是消息M在多个应用系统之间传递或共享,其中,消息M是指以下选项中的()。
A.安全凭证
B.用户名
C.加密密钥
D.会话密钥
38.关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是()
A.WPA是有线局域安全协议,而WPA2是无线局域网协议
B.WPA是适用于中国的无线局域安全协议,而WPA2适用于全世界的无线局域网协议
C.WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
D.WPA是依照802.11i标准草案制定的,而WPA2是依照802.11i正式标准制定的
39.下面四款安全测试软件中,主要用于WEB安全扫描的是()
A.Cisco Auditing Tools
B.Acunetix Web Vulnerability Scanner
C.NMAP
D.ISS Database Scanner
40.为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是:[1分]()
A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
C.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D.为了深入发掘该系统存在的安全威胁应该在系统正常业务运行高峰期进行渗透测试
41.某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰,虽然有防火墙,但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统(NIDS),将IDS部署在防火墙后,以进行二次防御。那么NIDS不会在()区域部署。[1分]()
A.DMZ
B.内网主干
C.内网关键子网
D.外网入口
42.windows 文件系统权限管理使用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:[1分]()
A.安装 Windows 系统时要确保文件格式适用的是 NTFS. 因为 Windows 的 ACL 机制需要 NTFS 文件格式的支持
B.由于 Windows 操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C.Windows 的 ACL 机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中的
D.由于 ACL 具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限
43.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:账户锁定阀值 3 次无效登陆;账户锁定时间 10 分钟;复位账户锁定计数器 5 分钟;以下关于以上策略设置后的说法哪个是正确的[1分]()
A.设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B.如果正常用户部小心输错了 3 次密码,那么该账户就会被锁定 10 分钟,10 分钟内即使输入正确的密码,也无法登录系统
C.如果正常用户不小心连续输入错误密码 3 次,那么该拥护帐号被锁定 5 分钟,5 分钟内即使交了正确的密码,也无法登录系统
D.攻击者在进行口令破解时,只要连续输错 3 次密码,该账户就被锁定 10 分钟,而正常拥护登陆不受影响
44.加密文件系统(Encrypting File System, EFS)是 Windows 操作系统的一个组件,以下说法错误的是()
A.EFS 采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B.EFS 以公钥加密为基础,并利用了 widows 系统中的 CryptoAPI 体系结构
C.EFS 加密系统适用于 NTFS 文件系统合 FAT32 文件系统(Windows 环境下)
D.EFS 加密过程对用户透明,EFS 加密的用户验证过程是在登陆 windows 时进行的
45.关于数据库恢复技术,下列说法不正确的是:[1分]()
A.数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复
B.数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术
C.日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复
D.计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交
46.关于风险要素识别阶段工作内容叙述错误的是:[1分]()
A.资产识别是指对需求保护的资产和系统等进行识别和分类
B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C.脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D.确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
47.有关系统安全工程-能力成熟度模型(sse-cmm)中的基本实施(Base Practices ,BP),正确的理解是:[1分]()
A.BP 是基于最新技术而制定的安全参数基本配置
B.大部分 BP 是没有进过测试的
C.一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项 BP 可以和其他 BP 有重叠
48.有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices ,GP)错误理解是:[1分]()
A.GP 是涉及过程的管理、测量和制度化方面的活动
B.GP 适用于域维中部分过程区域(Process Aractices ,PA)活动而非所有 PA 的活动
C.在工程实施时,GP 应该作为基本实施( Base Practices,BP)的一部分加以执行
D.在评估时,GP 用于判定工程组织执行某个 PA 的能力
49.在使用系统安全工程-能力成熟度模型(SSE-CCM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是:[1分]()
A.如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级
B.如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程”两个公共特征,则此过程区域的能力成熟度级别达到 3 级“充分定义级”
C.如果某个过程区域(Process Areas,PA)包含 4 个基本实施(Base Practices,BP),执行此 PA 时执行了 3 个 BP,则此过程区域的能力成熟度级别为 0
D.组织在不同的过程区域的能力成熟度可能处于不同的级别上
50.系统安全工程-能力成熟度模型(SSE-CMM)定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是:[1分]()
A.风险过程
B.工程过程
C.保证过程
D.评估过程
51.下列关于 ISO15408 信息技术安全评估准则(简称 CC)通用性的特点,即给出通用的表达方式,描述不正确的是______。[1分]()
A.如果用户、开发者、评估者和认可者都使用 CC 语言,互相就容易理解沟通
B.通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C.通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
D.通用性的特点使得 CC 也适用于对信息安全建设工程实施的成熟度进行评估
52.ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 。[1分]()
A.BS7799-1《信息安全实施细则》
B.BS7799-2《信息安全管理体系规范》
C.信息技术安全评估准则(简称 ITSEC)
D.信息技术安全评估通用标准(简称 CC)
53.在 GB/T18336《信息技术安全性评估准则》(CC 标准)中,有关保护轮廓(ProtectionProfile,PP)和安全目标(Security Target,ST),错误的是:[1分]()
A.PP 是描述一类产品或系统的安全要求
B.PP 描述的安全要求与具体实现无关
C.两份不同的 ST 不可能满足同一份 PP 的要求
D.ST 与具体的实现有关
54.“统一威胁管理”是将防病毒,入侵检测和防火墙等安全需求统一管理,目前市场上已经出现了多种此类安全设备,这里“统一威胁管理”常常被简称为()
A.UTM
B.FW
C.IDS
D.SOC
55.若一个组织声称自己的 ISMS 符合 ISO/TEC27001 或 GB22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项()[1分]()
A.信息安全方针、信息安全组织、资产管理
B.人力资源安全、物理和环境安全、通信和操作管理
C.访问控制、信息系统获取、开发和维护、符合性
D.规划与监理 ISMS
56.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了 Nessus 工具来扫描和发现数据库服务器的漏洞,根据风险管理的相关理论,
他这个是扫描活动属于下面哪一个阶段的工作()[1分]
A.风险分析
B.风险要素识别
C.风险结果判定
D.风险处理
57.某集团公司信息安全管理员根据领导安排制定了一下年度的培训工作计划、提出了四大培训任务目标,关于这四个培训任务和目标,作为主管领导,以下选项中正确的是()
A.由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此安排了对集团公司下属公司的总经理(一把手)的网络安全法培训
B.对下级单位的网络安全管理人员实施全面安全培训,计划全员通过 CISP 持证培训以确保人员能力得到保障
C.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解
D.对全体员工安排信息安全意识及基础安全知识培训,安全全员信息安全意识教育
58.随着“互联网”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。
A.接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。
B.核心层、汇聚层的设备和重要的接入层设备均应双机设备。
C.规划网络 IP 地址,制定网络 IP地址分配策略
D.保证网络带宽和网络设备的业务处理能力具务冗余空间,满足业务高峰期和业务发展需求
59.某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从而控制了小张的电脑,并以她的电脑为攻击的端口,使报社
的局域网全部感染木马病毒,为防范此类社会工程学攻击,报社不需要做的是()[1分]
A.加强信息安全意识培训,提高安全防范能力,了解各种社会工程学攻击方法,防止受到此类攻击
B.建立相应的安全相应应对措施,当员工受到社会工程学的攻击,应当及时报告
C.教育员工注重个人隐私保护
D.减少系统对外服务的端口数量,修改服务旗标
60.下图排序你认为那个是正确的:()
[1分]
A.1 是主体,2 是客体,3 是实施,4是决策
B.1 是客体,2 是主体 3 是决策,4是实施
C.1 实施,2 是客体 3 是主题,4 是决策
D.1 是主体,2 是实施 3 是客体,4是决策
61.实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()[1分]
A.实体所知的鉴别方法
B.实体所有的鉴别方法
C.实体特征的鉴别方法
D.实体所见的鉴别方法
62.kerberos 协议是常用的集中访问控制协议,通过可信第三的认证服务,减轻应用Kerberos的运行环境由秘钥分发中心()、应用服务器和客户端三个部分组成,认证服务器 AS和票据授权服务器
[1分]( )
A.1——2——3
B.3——2——1
C.2——1——3
D.3——1——2
63.根据 Bell-LaPedula 模型安全策略,下图中写和读操作正确的是()
[1分]
A.可读可写
B.可读不可写
C.可写不可读
D.不可读不可写
64.张主任的计算机使用 Windows7 操作系统,他常登陆的用户名为 zhang,张主任给他个人文件夹设置了权限为只有 zhang 这个用户有权访问这个目录,管理员在某次维护中无意将zhang 这个用户删除了,随后又重新建了一个用户名为 zhang,张主任使用 zhang 这个用户登录系统后,发现无法访问他原来的个人文件夹,原因是:[1分]()
A.任何一个新建用户都需要经过授权才能访问系统中的文件
B.Windows7 不认为新建立的用户 zhang 与原来用户 zhang 是同一个用户,因此无权访问
C.用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问
D.新建的用户 zhang 会继承原来用户的权限,之所以无权访问是因为文件夹经过了加密
65.以下关于 Windows 系统的账号存储管理机制(Security Accounts Manager)的说法哪
个是正确的:[1分]()
A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据有只有 System 账户才能访问,具有较高的安全性
66.ISO9001-2000 标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写()
[1分]
A.策略
B.管理者
C.组织
D.活动
67.设计信息系统安全保障方案时,以下哪个做法是错误的:[1分]()
A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
68.以下哪一项不是信息系统集成项目的特点:[1分]()
A.信息系统集成项目要以满足客户和用户的需求为根本出发点
B.系统集成就是选择最好的产品和技术,开发相应的软件和硬件,将其集成到信息系统的过程
C.信息系统集成项目的指导方法是“总体规划、分步实施”
D.信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程
69.AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效,已经替代 DES 成为新的据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?[1分]()
A.64bit
B.128bit
C.192bit
D.256bit
70.hash 算法的碰撞是指:[1分]()
A.两个不同的消息,得到相同的消息摘要
B.两个相同的消息,得到不同的消息摘要
C.消息摘要和消息的长度相同
D.消息摘要比消息长度更长
71.在 Windows XP 中用事件查看器查看日志文件,可看到的日志包括?[1分]()
A.用户访问日志、安全性日志、系统日志和IE日志
B.应用程序日志、安全性日志、系统日志和IE日志
C.网络攻击日志、安全性日志、记账日志和IE日志
D.网络链接日志、安全性日志、服务日志和IE日志
72.某用户通过账号,密码和验证码成功登陆某银行的个人网银系统,此过程属于以下哪一类:()
[1分]
A.个人网银和用户之间的双向鉴别
B.由可信第三方完成的用户身份鉴别
C.个人网银系统对用户身份的单向鉴别
D.用户对个人网银系统 合法性 单向鉴别
73.近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?[1分]()
A.加强网站源代码的安全性
B.对网络客户端进行安全评估
C.协调运营商对域名解析服务器进行加固
D.在网站的网络出口部署应用级防火墙
74.信息系统安全保护等级为 3 级的系统,应当()年进行一次等级测评?[1分]()
A.0.5
B.1
C.2
D.3
75.以下关于 PGP(Pretty Good Privacy)软件叙述错误的是:[1分]()
A.PGP 可以实现对邮件的加密、签名和认证
B.PGP 可以实现数据压缩
C.PGP 可以对邮件进行分段和重组
D.PGP 采用 SHA 算法加密邮件
76.2005 年 4 月 1 日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:[1分]()
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书
C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
D.电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有
77.PDCERF 方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等()
A.准备阶段
B.遏制阶段
C.根除阶段
D.检测阶段
78.某IT公司针对信息事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出来四个总结,其中有一项总结工作是错误,作为企业的CSO,请你指出存在问题的是哪个总结?()
A.公司自身拥有优秀的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行
B.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段,流程完善可用
C.公司应急预案包括了基础环境类、业务系统类、安全事件类、基本覆盖了各类应急事件类型
D.公司应急预案对事件分类依据GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》,分为7个基本类别,预案符合国家相关标准
79.近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个 开放性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全的因素。下列选项中,对无线通信技术的安全特点描述正确的是()
A.无线信道是一个开放性信道,任何具有适当无线设备的人均可通过搭线窃听而获得网络通信内容
B.通过传输流分析,攻击者可以掌握精确的通信内容
C.对于无线局域网络和无线个人区域网络来说,它们的通信内容更容易被窃听
D.群通信方式可以防止网络外部人员获取网络内通信内容
80.第二十三条规定存储、处理国家秘密计算机信息系统(以下简称涉密信息系统)按照()实行分级保护。()应当按照国家保密标准配备保密措施、设备。()、设备应当与涉密信息系统同步规划、同步建设、。同步运行(三同步)。涉密信息系统应当按照规定,经()后,方可使用。[1分]()
A.《保密法》:涉密程度:涉密信息系统:保密措施:检查合格
B.《国家保密法》:涉密程度:涉密系统:保密措施:检查合格
C.《网络保密法》:涉密程度:涉密系统:保密措施:检查合格
D.《安全保密法》:涉密程度:涉密信息系统:保密措施:检查合格
81.关于信息安全应急响应管理过程中描述不正确的是()
A.基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低
B.应急响应方法和过程并不是唯一的
C.一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检查、遏制、根除、恢复和跟踪总结6个阶段
D.一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检查、遏制、根除、恢复和跟踪总结6个阶段,将6个应急响应方法一定确保事件处理的成功
82.降低风险(或减低风险),是通过对面临风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险措施()
A.减少威胁源,采用法律的手段制裁计算机犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机>
B.签订外包服务合同,持有技术观点,存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合同责任条款来应对风险
C.减低危险能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力
D.减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性
83.你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此漏洞修补的四个建议方案,请选择其中一个最优方案执行()
A.由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有服务器和客户端请尽快安装补丁
B.本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性的危害,所以可以先不做处理
C.对于重要的服务,应对测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署
D.对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级
84.关于《网络安全法》域外适用效力的理解,以下哪项是错误的()
A.当前对于境外的网络攻击,我国只能通过向来源国采取抗议
B.对于来自境外的网络安全威胁我国可以组织技术力量进行监测、防御和处置
C.对于来自境外的违法信息我国可以加以阻断传播
D.对于来自境外的网络攻击我国可以追究其法律责任
85.《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的( )、加强信息安全保障工作的( )、需要点加强的信息安全保障工作,27号文的重大意义是,它标志着我国信息安全保障工作有了( )、我国最近十余年的信息安全保障工作都是围绕此政策性文件来( )的、促进了我国( )的各项工作。[1分]()
A.方针;主要原则;总体纲领;展开和推进;信息安全保障建设关
B.总体要求;总体纲领;主要原则;展开;信息安全保障建设
C.方针和总体要求;主要原则;总体纲领;展开和推进;信息安全保障建设
D.总体要求;主要原则;总体纲领;展开;信息安全保障建设
86.SABSA模型包括( ),它是一个(),它在第一层次从安全的角度定义了(),模型的每一层在抽象方面逐层减少,细节逐层增加,因此它的层级都是建立在其他层之上的,从策略逐渐到技术和解决方案()。其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的()[1分]()
A.五层;业务需求;分层模型;实施实践;安全链条
B.六层;分层模型;业务需求;实施实践;安全链条
C.五层;分层模型;业务需求;实施实践;安全链条
D.六层;分层模型;实施实践;业务需求;安全链条
87.应急响应是信息安全事件管理的重要内容应,基于应急响应工作的特点和事件的不规则性,事先制定出事件应象响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在泥乱状态中迅速恢复控制,将损失和负面影响降到最低,应急响应方法和过程井不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段,为准备)检测)遇制>根除>恢复>跟踪总结,请问下列说法有关于信息安全应急响应管理过程错误的是()
A.确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤
B.在检测阶段,首先要进行监测、报告及信息收集
C.遏制措施可能会因为事件的类别和级别不同。常见的遏制措施有:完全关闭所有系统,拔插网线等
D.应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
88.某电子商务网站在开发设计时,使用了威胁建模的方法来分析电子商务网站所面临的威胁。STRIDE是微软SDL中提出的威胁建模方法。将威胁分为六类,为每一类威胁提供了标准的消减措施。Spooflng是STRIDE中欺骗类的威胁。以下威胁中哪个可以列入此类威胁()
A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等。
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码。以该用户身份登录修改用户订单等信息
89.对于关键信息基础设施的理解以下哪项是正确的()
A.关键信息基础设施是国家最为重要的设施,包括三峡大坝水利设施、神州载人航天设施和高铁网络设施
B.关键信息基础设施不会向公众提供服务,所以受到攻击损害后不会影响我们的日常生活
C.我国总体国家安全观将信息安全作为国家安全的一个重要组成部分,说明缺少信息安全我国的国家安全将无法得到保障
D.等级保护定级的系统属于关键信息基础设施
90.关于计算机取证描述不正确的是() ]
A.计算机取证是使用先进的技术和工具,按照标准规程全面地检查计算机。以提取和保护有关计算机犯罪的相关证据的活动
B.取证的目的包括:通过证书查找肇事者、通过证据推断犯罪过程、通过证据判断受害者损失程度及收集证据提供法律支持
C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品。对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的保护
D.计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤
91.目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分类,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是()
A.喜欢恶作剧、实现自我挑战的娱乐性黑客
B.实施犯罪、获取非法经济利益网络犯罪团伙
C.搜集政治、军事、经济等情报信息的情报机构
D.巩固战略优势、执行军事任务、进行目标破坏的信息作战部队
92.GB/T 22080-2008《信息技术 安全技术 信息安全管理体系 要求》指出,建立信息安全管理体系应参照PDCA模型进行,即信息安全管理体系应包括建立ISMS,实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程,并在这些过程中应实施若干活动。请选出下列描述性错误的选项()
A.“制定ISMS方针”是建立ISMS阶段工作内容
B.“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容
C.“进行有效性测量”是监视和评审ISMS阶段工作内容
D.“实施内部审核”是保持和改进ISMS阶段工作内容
93.计算机漏洞是在硬件、软件、协议的具体实现成系统安全策略上存在的缺陷, 从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代,某公司为减少计算机系统漏洞,对公司计算机系统进行了如下措施, 其中错误的是()
A.减少系统日志的系统开销
B.禁用或删除不需要的服务,降低服务运行权限
C.设置策略避免系统出现弱口令并对口令猜测进行防护
D.对系统连接进行限制,通过软件防火墙等技术实现对系统的端口连接进行控制
94.由于IP协议提供无连接的服务,在传送过程中若发生差错就需要哪一个协议向源节点报告差错情况,以便源节点对此做出相应的处理()
A.TCP
B.UDP
C.ICMP
D.RARP
95.随着计算机网络技术的出现与发展,数据库所处的环境愈加复杂,数据库面 临的各种安全威胁正与日倶增。对于数据库安全防护相关描述中,错误的是()
A.数据库安全防护是指保护数据库运行安全以防止不合法的使用造成的数据泄露、更改或破坏,方式只包括安全审计
B.安全审计主要是针对据库运行期间产生的各种日志,通过多个不同维度进行综合分析,从而发现影响数据库运行安全的因素并采取相应的应对措施
C.通过安全检测尽早发现数据库存在的安全缺陷(包括软件漏洞及配置缺陷), 然后通过安装补丁、调整安全设置、制定安全策略等方法进行弥补
D.可根据数据库业务需要,构建完善的防护技术体系
96.以下关于“软件危机”说法错误的是?()。
A.“软件危机”是指在计算机软件的开发和维护过程中所遇到的一系列严重问题。
B.人们己经彻底摆脱“软件危机”的困扰
C.软件已经成为限制计算机系统发展的瓶颈
D.第三次“软件危机”是以软件安全问题为特点的
97.银行AB分别用自己的信息系统为用户记录账户余额,第三方支付C负责银 A和B的交易管控与备份。若银行A的客户与银行B的客户发生纠纷,C作为唯—掌控交易信息的第三方,与任何一方串通,都不能维护客户的合法权益。为解决类似问题,他们采用了私有链技术构建仅有A、B、C三方维护的半公开网络。私有链的特别之处在于()
A.任何个人或者团体都可以发送交易分享
B.独享该区块链的写入权限
C.交易能够获得该区块链的有效确认
D 。任何人都可以参与其共识过程
98.小赵是一名小公司的数据库维护人员,他以长期的实践为基础,从数据资源的保护角度出发,归纳出常见的应用系统主要威胁,其中不符合出发点的是()
A.数据机密性保护
B.竞争状态
C.备份容灾
D.数据访问控制
99.小张在自主学习Web传输协议后,知道,Http协议在设计时仅仅考虑了实现相应功能,缺乏安全相关的机制,因此导致了大量的安全问题,他咨询了一个楼层的软件开发人员,该软件开发人员向他列举了一些会导致的安全问题,其中错误的是()[1分]()
A.明文传输数据
B.弱验证
C.缺乏状态跟踪
D.广播风暴
100.以下关于BLP模型规则说法不正确的是()。
A.BLP模型主要包括简单安全规则和*-规则
B.*-规则可以简单表述为向下写
C.主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限
D.主体可以写客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自主型写权限
101.客户采购和使用云计算服务的过程可分为四个阶段规划准备、选择服务商和部署、运行监管、退出服务。如图所示。在()阶段,客户应分析采用云计算服务的效益,确定自身的数据和业务类型,判定是否适合采用云计算服务。()
A.退出服务
B.准备
C.运行监管
D.选择服务商与部署
102.下图说明的是A、B之间的关系,对下图说明正确的是A
[1分]
A.模块A调用模块B
B.模块B调用模块A
C.模块A和模块B相互调用
D.模块A和模块B之间不存在调用关系
103.下列选项中对信息系统审计概念的描述中不正确的是()[1分]()
A.信息系统审计,也可称作IT审计或信息系统控制审计
B.信息系统审计是一个获取并评价证据的过程审计对象是信息系统相关控制,审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性、以及数据的真实性、完整性等相关属性
C.信息系统审计是单一的概念,是对会计信息系统的安全性、有效性进行检查
D.从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安 全审计、项目合规审计、绩效审计等
104.小赵在去一家大型企业应聘时,经理要求他说出为该企业的信息系统设计自主访问控制模型的思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度下列选项中他应该采取的最合适的模型是 ()。[1分]()
A.按列读取访问控制矩阵形成的访问控制列表(ACL)
B.按列读取访问控制矩阵形成的能力表(CL)
C.按行读取访问控制矩阵形成的访问控制列表(ACL)
D.按行读取访问控制矩阵形成的能力表(CL)
105.入侵检测系统 (Intrusion Deection System,IDS)是用于发现并报告系统 中未授权或违反安全策略行为的设备,在入侵检测中有这样的一种方法,任何的正常行为都是有一定的规律的并且可以通过分析这些行为产生的日志信息(假定日志信息足够安全) 总结出这些规律,而入侵和滥用行为则通常和正常的行为存在严重的差异,通过检查这些差异就可以检测这些入侵,请问该入侵检测方法为()[1分] ()
A.基于异常的入侵检测
B.基于误用的入侵检测
C.基于自治代理技术
D.自适应模型生成特性的入侵检测
106.恶意代码的防范在计算机网络飞速发展的今天给计算机安全性带来了新的挑战。在internet安全事件中恶意代码造成的损失所占比重更大。某公司为进行恶意代码防范,通过网上查询到恶意代码预防的三个方面的措施,张主管发现下列选项中有一项不属于上述的三个方面,请问是哪一项 ()[1分]()
A.安全策略
B.安装最新的安全补丁
C.减轻威胁
D.减少漏洞
107.一般地,IP分配会首先把整个网络根据地域、区域。每个子域从它的上一级区域里获取IP地址段,这种分配方法为什么分配方法[1分]()
A.自顶向下
B.自下向上
C.自左向右
D.自右向左
108.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是 【1分】()
A.应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式。
B.应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的手段。
C.编制应急预案是国家网络安全法对所有单位的强制要求,因此必须建设
D.应急预案是保障单位系统信息安全的重要措施
109.下列关于逻辑覆盖的叙述中,说法错误的是[1分] ()
A.对于多分支的判定,判定覆盖要使每一个判定表达式获得每一种可能的值来测试
B.语句覆盖较判定覆盖严格,但该测试仍不充分
C.语句覆盖是比较弱的覆盖标准
D.条件组合覆盖是比较强的覆盖标准
110.在信息安全保障工作中,人才是非常重要的因素,近年来,我国一直高度重视我国信息安全人才队伍的培养和建设。在一下关于我国关于人才培养工作的描述中,错误的是 ()
A.在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2002]27号)中,针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识的知道精神
B.2015年,为加快网络空间安全高层次人才培养,经报国务院学位委员会批准,国务院学位委员会、教育部决定在“工学”门类门类下增设“网络空间安全”一 级学科,这对于我国网络信息安全人才成体系化,规模化、系统化培养起到积极的推动作用
C.经过十余年的发展,我国信息安全人才培养己经成熟和体系化,每年培养的信息安全从业人员的数量较多,基本能同社会实际需求相匹配;同时,高校信息安全专业毕业人才的综合能以要求高、只是更全面,因而社会化培养应重点放在非安全专业人才培养上
D.除正规大学教育外,我国信息安全非学历教育已基本形成以各种认证为核心, 辅以各种职业技能培训的信息安全人才培训体系,包括注册信息安全专业人员(CISP)”资质认证和一些大型企业的信息安全资质认证
111.软件需求分析是保证软件质量的重要步骤,它的实施应该是在()[1分]
A.编码阶段
B.软件开发全过程
C.软件定义阶段
D.软件设计阶段
关闭
更多问卷
复制此问卷