信息安全管理员(高级)理论题库

一、单选题
1(单选题).小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()
2(单选题).随着高校业务资源逐渐向数据中心高度集中,Web成为一种普适平台,上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时,也使机构的重要信息暴露在越来越多的威胁中。去年,某个网站遭遇SQL群注入MassSQLInjection攻击,网站发布的重要信息被篡改成为大量签名,所以该校在某信息安全公司的建议下配置了状态检测防火墙,其原因不包括:
3(单选题).某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰,虽然有防火墙,但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统NIDS,将IDS部署在防火墙后,以进行二次防御。那么NIDS不会在()区域部署。
4(单选题).Linux系统中常用数字来表示文件的访问权限,假设某文件的访问限制使用了755来表示,则下面哪项是正确的()
5(单选题).关于数据库恢复技术,下列说法不正确的是:
6(单选题).关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()
7(单选题).为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。2015年6月,第十二届全国人大常委会第十五次会议初次审议了一部法律草案,并于7月6日起在网上全文公布,向社会公开征求意见,这部法律草案是()
8(单选题).为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对等级保护工作的开展提供宏观指导和约束。明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是()
9(单选题).自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作情况,协调一致后由该组织申报。
10(单选题).安全管理体系,国际上有标准InformationtechnologySecuritytechniquesInformationsystemsISO/IEC27001:2013,而我国发布了《信息技术信息安全管理体系要求》GB/T22080-2008.请问,这两个标准的关系是()
11(单选题).分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()
12(单选题).美国计算机协会ACM宣布将2015年的ACM奖授予给WhitfieldDiffic和Wartfield下面哪项工作是他们的贡献()。
13(单选题).虚拟专用网络VPN通常是指在公共网络中利用隧道技术,建立一个临时的、安全的网络。这里的字母P的正确解释是()。
14(单选题).InternetExplorer,简称IE,是微软推出的一款Web浏览器,IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据。以下哪项不是IE中的安全配置项目()
15(单选题).某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登陆功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:
16(单选题).某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登录时如用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则:
17(单选题).小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是()
18(单选题).小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是()
27(单选题).残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是()
19(单选题).某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了关闭FTP服务的处理措施。请问该措施属于哪种风险处理方式()
20(单选题).在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是()
21(单选题).GB/T22080-2008《信息技术安全技术信息安全管理体系要求》指出,建立信息安全管理体系应参照PDCA模型进行,即信息安全谷那里体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程,并在这些过程中应实施若干活动。请选出以下描述错误的选项()
22(单选题).关于信息安全保障技术框架InformationAssuranceTehnicalFramework,IATF,下面描述错误的是()
23(单选题).为保障信息系统的安全,某经营公共服务系统的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求报告。关于此项工作,下面说法错误的是()
24(单选题).从系统工程的角度来处理信息安全问题,以下说法错误的是:
25(单选题).某项目的主要内容为建造A类机房,监理单位需要根据《电子信息系统机房设计规范》GB50174-2008的相关要求,对承建单位的施工设计方案进行审核,以下关于监理单位给出的审核意见错误的是()
26(单选题).某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开发日志共享,有总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取哪项处理措施?
27(单选题).关于信息安全管理,下面理解片面的是()
28(单选题).小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位。一次面试中,某公司的技术经理让小王读一读信息安全风险管理中的“背景建立”的基本概念与认识。小明的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理项目的规划和准备(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。请问小王的论点中错误的是哪项:
29(单选题).某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()
30(单选题).规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础。按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()。
31(单选题).关于我国信息安全保障的基本原则,下列说法中不正确的是:
32(单选题).PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等()
33(单选题).在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面找描述中错误的是()
34(单选题).国务院信息化工作办公室于2004年7月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则()
35(单选题).关于信息安全管理体系InformationSecurityManagementSystems,ISMS,下面描述错误的是()。
36(单选题).小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用,他总结了四个方面的作用,其中总结错误的是()
37(单选题).不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法。下面的描述中,错误的是()。
38(单选题).社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在某黑客大会上成功攻入世界五百强公司,其中一名自称是CSO杂志做安全调查,半小时内,攻击者选择了在公司工作两个月安全工程部门的合约雇员,在询问关于工作满意度以及食堂食物质量问题后,雇员开始透露其他信息,包括:操作系统、服务包、杀毒软件、电子邮件及浏览器。为对抗此类信息收集和分析,公司需要做的是()
39(单选题).某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从而控制了小张的电脑,并以她的电脑为攻击的端口,使报社的局域网全部感染木马病毒,为防范此类社会工程学攻击,报社不需要做的是()
40(单选题).2016年9月,一位安全研究人员在GoogleCloudIP上通过扫描,发现了完整的美国路易斯安邦州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码,以防止攻击者利用以上
41(单选题).小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制与强制访问控制,为了赶上课程进度,他向同班的小李借来课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是()
42(单选题).信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是()
43(单选题).某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向Web页面插入恶意html代码的攻击方式称为()
44(单选题)./etc/passwd文件是UNIX/Linux安全的关键文件之。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户IDUID、默认的用户分组IDGID、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的passwd文件后,发现每个用户的加密的口令数据项都显示为"X”。下列选项中,对此现象的解释正确的是()
45(单选题).陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,包括五个方面:起源、方式、途径、受体和后果。他画了下面这张图来描述信息安全风险的构成过程,图中括号空白处应该填写()
46(单选题).关于信息安全应急响应管理过程描述不正确的是()
47(单选题).以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全
48(单选题).在信息系统中,访问控制是重要的安全功能之一,它的任务是在用)系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()
49(单选题).根据我国信息安全等级保护的有关政策和标准,有些信息系统只需要自主定级、自主保护,按照要向公安机关备案即可,可以不需向上级或主管部门来测评和检查,此类信息系统应属于()
50(单选题).鉴别是用户进入系统的第一道安全防线。用户登录系统时,和密码就是对用户身份进行鉴别。鉴别通过,即可以实现两的连接。例如,一个用户被服务器鉴别通过后,则被服务器用户,才可以进行后续访问。鉴别是对信息的一项安全属性该属性属于下列选项中的()
51(单选题).小李和小刘需要为公司新建的信息管理系统设计访问控制方法,,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法,他的观点主要有:(3)强制访问控制中,用户不能通过运行程序来改变他自己及任何客体的安全属性,因为安全性较高;(4)强制访问控制能够保护敏感信息。请问以上四种观点中,正确的是()
52(单选题).在国家标准《信息系统安全保障评估框架第部分:简介和一般模型》GB/T20274.1-2006中描述了信息系统安全保障模型,下面对这个模型理解错误的是()
53(单选题).风险分析是风险评估工作中的一个重要内容,GB/T20984-2007在资料性附录中给出了一种矩阵法来计算信息安全风险大小,其中风险计算矩阵如下图所示,请为途中括号空白处选择合适的内容()
54(单选题).小李是某公司的系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全建设规划图,如下图所示,请问这个图形是依据下面哪个模型来绘制的()
55(单选题).若一个组织生成自己的ISMS符合ISO/IEC27001或GB/T22080标准要求,其信息安全控制实施通畅需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标()。
56(单选题).关于信息安全管理体系的作用,下面理解错误的是()。
57(单选题).某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()。
58(单选题).老王是一名企业信息化负责人,由于企业员工在浏览网页时总导致病毒感染系统,为了解决这一问题,老王要求信息安全员给出解决措施,信息安全员给出了四条措施建议,老王根据多年的信息安全管理经验,认为其中一条不太适合推广,你认为是哪条措施()。
59(单选题).信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的成都,从而保障系统实现组织机构的业务。信息系统保障工作如图所示,从该图不难得出,信息系统是()。信息系统安全风险的因素主要有()。
60(单选题).()第二十三条规定存储、处理国家秘密的就计算机信息系统(以下简称泄密信息系统)按照()实行分级保护。()应当按照国家保密标准配备保密设施、设备。()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)。涉密信息系统应当按照规定,经()后,方可投入使用。
61(单选题).企业安全架构SherwoodAppliedBusinessSecurityArchitecture,SABSA是企业架构的一个子集,它定义了(),包括各层级的()、流程和规程,以及它们与整个企业的战略、战术和运营链接的方式,用全面的、严格的方法描述了组成完整的信息安全管理体系(ISMS)所有组件的()。开发企业安全架构的很主要原因是确保安全工作以一个标准化的节省成本的方式与业务实践相结合。架构在抽象层面工作,它提供了一个()。除了安全性之外,这种类型的架构让组织更好的实现()、集成性、易用性、标准化和便于治理性。
62(单选题).某贸易公司的OA系统由于存在系统漏洞,被攻击者上传了木马病毒病删除了系统中的数据,由于系统备份是每周六进行一次,时间发生时间为周三,因此导致该公司三个工作日的数据丢失并使得OA系统在随后两天内无法访问,影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据GB/Z20986-2007《信息安全事件分级分类指南》,该事件的标准分类和定级应该是()
63(单选题).在PDR模型的基础上发展成为Policy-Protection-Detection-Response,PPDR模型,即策略-防护-检-测响应。模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。在PPDR模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。主要方法包括:实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的 ()调整到风险最低的状态,包括饮复系统功能和数据,启动备份系统等。其主要方法包括:关闭服务、跟踪、反击、消除影响等
64(单选题).根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》公信安[2009]812号)、关于推动信息安全等级保护()建设和开展()工作的通知(公信安[2010]303号)等文件,由公安部()对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则()。
65(单选题).为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()提出和规定了不同安全保护等级信息系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求。
66(单选题).在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是()
67(单选题).由于信息系统的复杂性,因此需要一个通用的框架对其进行解构和描述,然后再基于此框架讨论信息系统的()。在LATF中,将信息系统的信息安全保障技术层面分为以下四个焦点领域:():区域边界即本地计算环境的外缘;();支持性基础设施,在深度防御技术方案中推荐()原则、()原则。
68(单选题).2018年10月,含有我国SM3杂凑算法的IS0/IEC10118-3:2018《信息安全技术杂凑函数第3部分:专用杂凑函数》由国际标准化组织ISO发布,SM3算法正式成为国际标准。SM3的杂凑值长度为()。
69(单选题).BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立实施与保持信息安全管理体系,但不能实现()。
70(单选题).为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则,其中在信息系统中,应该对所有权限进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约相互监督,共同保证信息系统安全的是()。
71(单选题).等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是()。
72(单选题).访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括()。
73(单选题).数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程。数字签名标准DSS中使用的签名算法DSA是基于ElGamal和Schnorr两个方案而设计的。当DSA对消息m的签名验证结果为True,也不能说明()。
74(单选题).人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。被动攻击不会导致系统信息的篡改,系统操作与状态不会改变。以下属于被动攻击的是()。
75(单选题).虚拟专用网VPN是一种新型的网络安全传输技术,为数据传输和网络服务提供安全通道。VPN架构采用的多种安全机制中,不包括()
76(单选题).强制访问控制MAC可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读上写下写和上读四种,其中用户级别高于文件级别的读写操作是()。
77(单选题).智能卡的片内操作系统COS—般由通信管理模块安全管理模块应用管理摸块和文件管理模块四个部分组成。其中数据单元或记录的存储属于()
78(单选题).无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成,通过无线通信方式形成的一个多跳的自组织网络系统。以下针对WSN安全问题的描述中,错误的()。
79(单选题).入侵检测技术包括异常入侵检测和误用入侵检测。以下关于误用检测技术的描述中,正确的是()。
80(单选题).无论是哪一种Web服务器,都会受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于()。
81(单选题).中间人攻击就是在通信双方毫无察觉的情况下,通过拦截正常的网络通信数据,进而对数据进行嗅探或篡改。以下属于中间人攻击的是()。
82(单选题).物理安全是计算机信息系统安全的前提,物理安全主要包括场地安全设备安全和介质安全。以下属于介质安全的是()。
83(单选题).在我国,依据《中华人民共和国标准化法》可以将标准划分为:国家标准行业标准地方标准和企业标准4个层次。《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008属于()。
84(单选题).常见的恶意代码类型有:特洛伊木马蠕虫病毒后门、Rootkit、僵尸程序、广告软件。2017年5月爆发的恶意代码WannaCry勒索软件属于()。
85(单选题).防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时,就必须采用规则中的处理方式进行处理。其中,拒绝数据包或信息通过,并且通知信息源该信息被禁止的处理方式是()。
86(单选题).网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量状况是网络中的重要信息,利用流量监测获得的数据,不能实现的目标是()。
87(单选题).移位密码的加密对象为英文字母,移位密码采用对明文消息的每一个英文字母向前推移固定化y位的方式实现加密。设key=3,则对应明文MATH的密文为()。
88(单选题).以下有关信息安全管理员职责的叙述,不正确的是()
89(单选题).面向身份信息的认证应用中,最常用的认证方法是()
90(单选题).电子商务系统除了面临一般的信息系统所涉及的安全威胁之外,更容易成为黑客分子的攻击目标,其安全性需求普遍高于一般的信息系统,电子商务系统中的信息安全需求不包括()
91(单选题).有一种原则是对信息进行均衡全面的防护,提高整个系统的安全性能,该原则称为()
92(单选题).在以下网络威胁中,()不属于信息泄露
93(单选题).注入语句:http://xxx.xxx.xxx/abCasp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER,还可以得到()
94(单选题).电子邮件是传播恶意代码的重要途径,为了防止电子邮件中的恶意代码的攻击,用()方式阅读电子邮件
95(单选题).密码分析学是研究密码破译的科学,在密码分析过程中,破译密文的关键是()
96(单选题).信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全问题,通常采用的安全防护技术是()
97(单选题).以下对OSI开放系统互联参考模型中数据链路层的功能叙述中,描述最贴切是()
98(单选题).安全备份的策略不包括()
99(单选题).以下关于隧道技术说法不正确的是()
100(单选题).以下关于网络流量监控的叙述中,不正确的是()
101(单选题).在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()
102(单选题).《计算机信息系统安全保护等级划分准则》GB17859-1999中规定了计算机系统安全保护能力的五个等级,其中要求对所有主体和客体进行自主和强制访问控制的是()。
103(单选题).一个密码系统如果用E表示加密运算,D表小解密运算,M表示明文,C表示密文,则下面描述必然成立的是()。
104(单选题).对信息进行均衡全面的防护,提高整个系统“安全最低点”的全性能,这种安全原则被称为()。
105(单选题).如果未经授权的实体得到了数据的访问权,这属于破坏了信息的()。
106(单选题).数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程,实现数字签名最常见的方法是()。
107(单选题).根据《网络安全法》的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在()。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,法律
108(单选题).网络产品、服务具有()的,其提供者应当向用户明示并取得同意,涉及用户个人信息的,还应当遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定。
109(单选题).关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订(),明确安全和保密义务与责任。
110(单选题).《网络安全法》规定,各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并()有关单位做好网络安全宣传教育工作。
111(单选题).根据《网络安全法》的规定,()负责统筹协调网络安全工作和相关监督管理工作。
112(单选题).关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险()至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
113(单选题).关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的()。
114(单选题).Linux系统的运行日志存储的目录是()。
115(单选题).2017年11月,在德国柏林召开的第55次ISO/IEC信息安全分技术委员会SC27会议上,我国专家组提出的()算法一致通过成为国际标准。
116(单选题).典型的水印攻击方式包括:鲁棒性攻击表达攻击解释攻击和法律攻击.其中鲁棒性攻击是指在不害图像使用价值的前提下减弱移去或破坏水印的一类攻击方式.以下不属于鲁棒性攻击的是()。
117(单选题).信息安全风险评估是依照科学的风险管理程序和方法,充分地对组成系统的各部分所面临的危险因素进行分析评价,针对系统存在的安全问题,根据系统对其自身的安全需求,提出有效的安全措施,达到最大限度减少风险,降低危害和确保系统安全运行的目的,风险评估的过程包括()四个阶段。
118(单选题).WPKI无线公开密钥体系是基于无网络环境的一套遵循既定标准的密钥及证书管理平台,该平台采用的加密算法是()。
119(单选题).不属于物理安全威胁的是()。
120(单选题).当防火墙在网络层实现信息过滤与控制时,主要针对TCP/IP协议中的数据包头制定规则匹配条件并实施过滤,该规则的匹配条件不包括()。
121(单选题).SM3密码杂凑算法的消息分组长度为()比特。
122(单选题).()属于对称加密算法。
123(单选题).在信息安全防护体系设计中,保证“信息系统中数据不被非法修改破坏丢失等”是为了达到防护体系的()目标。
124(单选题).信息系统安全测评方法中模糊测试时一种黑盒测试技术,它将大量的畸形数据输入到目标程序中,通过监测程序的异常来发现被测程序中可能存在的安全漏洞关于模糊测试,以下说法错误的是()
125(单选题).数字签名是对以数字形式储存的消息就行某种处理,产生一种类似于传统手书签名功效的消息处理过程,一个数字签名体制通常包括两个部分,()
126(单选题).攻击者通过对目标主机进行端口扫描,可以直接获得()。
127(单选题).以下恶意代码中,属于宏病毒的是()
128(单选题).安全策略表达模型是一种对安全需求与安全策略的抽象概念模型,一般分为自主访问控制模型和强制访问控制模型。以下属于自主访问控制模型的是()
129(单选题).计算机病毒的生命周期一般包括()四个阶段
130(单选题).以下关于认证技术的描述中,错误的是()
131(单选题).下列关于公钥体制中说法不正确的是()
132(单选题).如果在某大型公司本地与异地分公司之间建立一个VPN连接,应该建立的VPN类型是()。
133(单选题).2017年6月1日,()开始施行。
134(单选题).下面哪种方法可以替代电子银行中的个人标识号INs的作用?
135(单选题).拒绝服务攻击损害了信息系统的哪一项性能?
136(单选题).下面哪一个是国家推荐性标准?
137(单选题).密码处理依靠使用密钥,密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥?
138(单选题).在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?
139(单选题).以下哪一种算法产生最长的密钥?
140(单选题).目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?
141(单选题).机构应该把信息系统安全看作:
142(单选题).下哪一种模型用来对分级信息的保密性提供保护?
143(单选题).下列哪一项能够提高网络的可用性?
144(单选题).职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?
145(单选题).在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了抗抵赖性?
146(单选题).在层的方式当中,哪种参考模型描述了计算机通信服务和协议?
147(单选题).对于一个机构的高级管理人员来说,关于信息系统安全操作的最普遍的观点是:
148(单选题).一个数据仓库中发生了安全性破坏。以下哪一项有助于安全调查的进行?
149(单选题).在客户/服务器系统中,安全方面的改进应首先集中在:
150(单选题).哪一项描述了使用信息鉴权码AC和数字签名之间的区别?
151(单选题).在桔皮书heOrangeBook中,下面级别中哪一项是第一个要求使用安全标签ecuritylabel的?
152(单选题).KerBeros算法是一个?
153(单选题).CC中的评估保证级AL分为多少级?
154(单选题).覆盖和消磁不用在对以下哪一种计算机存储器或存储媒介进行清空的过程?
155(单选题).信息系统安全主要从几个方面进行评估?
156(单选题).《关于信息安全等级保护的实施意见》中信息和信息系统安全保护等级的第三级的定义是
157(单选题).以下哪一个不是安全审计需要具备的功能?
158(单选题).Windows组策略适用于Tips:S——Site点、D——Domain域名、OU——OrganizitionUnit织单位
154(单选题).下列生物识别设备,哪一项的交差错判率ER最高?
159(单选题).射频识别FID标签容易受到以下哪种风险?
160(单选题).当曾经用于存放机密资料的PC在公开市场出售时
161(单选题).通常最好由谁来确定系统和数据的敏感性级别?
162(单选题).系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为什么?
163(单选题).信息安全管理体系SMS是一个怎样的体系,以下描述不正确的是?
164(单选题).PDCA特征的描述不正确的是
165(单选题).定义ISMS范围时,下列哪项不是考虑的重点?
166(单选题).有关信息安全事件的描述不正确的是?
167(单选题).在一个中断和灾难事件中,以下哪一项提供了持续运营的技术手段?
168(单选题).由于独立的信息系统增加,一个国有房产公司要求在发生重大故障后,必须保证能够继续提供IT服务。需要实施哪个流程才能提供这种保证性?
169(单选题).有关人员安全管理的描述不正确的是?
170(单选题).一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为Tips:ALE(度损失值)
171(单选题).对称加密技术的安全性取决于()
172(单选题).下面哪一个情景属于审计()?
173(单选题).基本的计算机安全需求不包括下列哪一条:()
174(单选题).在信息系统安全中,风险由以下哪两种因素共同构成的?()
175(单选题).信息安全管理最关注的是()
176(单选题).以下人员中,谁负有决定信息分类级别的责任?()
177(单选题).信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行,下面哪项包括非典型的安全协调应包括的人员?()?
178(单选题).下面那一项不是风险评估的目的?()
175(单选题).下面那个不是信息安全风险的要素?()
179(单选题).如何对信息安全风险评估的过程进行质量监控和管理?()
180(单选题).信息系统的价值确定需要与哪个部门进行有效沟通确定?()
181(单选题).在一份热站、温站或冷站协议中,协议条款应包含以下哪一项需考虑的事项()
182(单选题).当建立一个业务持续性计划时,使用下面哪一个工具用来理解组织业务流程?
183(单选题).组织回顾信息系统灾难恢复计划时应:()
184(单选题).以下哪一个不是网络隐藏技术?()
185(单选题).监视恶意代码主体程序是否正常的技术是?()
186(单选题).下列哪一项体现了适当的职责分离?()
187(单选题).实施逻辑访问安全时,以下哪项不是逻辑访问?()
188(单选题).在选择外部供货生产商时,评价标准按照重要性的排列顺序是:()1:供货商与信息系统部门的接近程度2:供货商雇员的态度3:供货商的信誉、专业知识、技术
189(单选题).《计算机信息系统安全保护等级划分准则》GB17859——1999中规定了计算机系统安全保护能力的五个等级,其中要求对所有主体和客体进行自主和强制访问控制的是()
190(单选题).当使用IP地址访问一个web站点时,可以正常访问,但是使用域名访问时,却得不到正确的结果,下面采取的方法中,哪个是错误的?
191(单选题).用来显示基于NetBIOS协议相关的统计资料,本地计算机和远程计算机的NetBIOS名称表和NetBIOS名称缓存的命令是()。
192(单选题).用来标识VLAN的协议是()。
193(单选题).以下关于星型网络拓扑结构的描述错误的选项是()。
194(单选题).以下关于代理服务器功能的描述中,()是正确的。
195(单选题).以下关于NAT的说法中,()是错误的。
196(单选题).在我国民法中定义的知识产权不包括()。
197(单选题).ADSL提供的信息通道为()。
198(单选题).为了保障网络安全,防止外部网对内部网的侵犯,多在内部网络与外部网络之间设置()。
199(单选题).公司()数据泄露、丢失或被窃取、篡改,属于六级信息系统事件。
200(单选题).信息机房的不间断电源系统或空气调节系统故障,造成三类信息系统停运,属于()信息系统事件。
201(单选题).不属于常见的危险密码是()。
202(单选题).不属于第三方软件提权的是()。
203(单选题).采用三层交换机VLAN隔离安全域,通过防火墙模块或()进行安全域的隔离。
204(单选题).常规端口扫描和半开式扫描的区别是()。
205(单选题).从风险分析的观点来看,计算机系统的最主要弱点是()。
206(单选题).从风险管理的角度,以下哪种方法不可取?
207(单选题).ISMS的审核的层次不包括以下哪个?
208(单选题).以下哪个不可以作为ISMS管理评审的输入。
209(单选题).下列叙述中,不正确的是()
210(单选题).以下关于信息和数据的叙述,不正确的是()。
211(单选题).爱岗敬业作为职业道德的重要内容,具体要求不包括().
212(单选题).以下哪个不属于《网络与信息安全管理员国家职业标准》规定网络与信息安全管理员的职业守则。()
213(单选题).关于职业道德,正确的说法是()。
214(单选题).在职业活动中,主张个人利益高于他人利益、集体利益和国家利益的思想属于()。
215(单选题).职业道德的“五个要求”,既包含基础性的要求,也有较高的要求。其中,最基本的要求是().
216(单选题).在职业活动中,有的从业人员将享乐与劳动、奉献、创造对立起来,甚至为了追求个人享乐,不惜损害他人和社会利益。这些人所持的理念属于()。
二、多选题
1(多选题).哪些语言可能具有反序列化的安全问题?
2(多选题).网络运营者收集、使用个人信息,应当遵循()的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
3(多选题).防范内部人员恶意破坏的做法有()?
4(多选题).以下不是木马程序具有的特征是()
5(多选题).要安全进行网络交易,应该()?
6(多选题).等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述正确的是()。
7(多选题).国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害()的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
8(多选题).网络运营者为用户(),在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
9(多选题).国家支持()等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
10(多选题).根据《网络安全法》的规定,关键信息基础设施的运营者应当履行()安全保护义务。
11(多选题).国家支持网络运营者之间在网络安全信息()等方面进行合作,提高网络运营者的安全保障能力。
12(多选题).国家坚持网络安全与信息化发展并重,遵循()的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
13(多选题).任何个人和组织有权对危害网络安全的行为向()等部门举报。收到举报的部门应当及时依法作出处理,不属于本部门职责的,应当及时移送有权处理的部门。
14(多选题).国家保护公民、法人和其他组织依法使用网络的权利,()。
15(多选题).根据《网络安全法》的规定,国家采取措施,()来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
16(多选题).网络运营者应当按照网络安全等级保护制度的要求,履行()安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
17(多选题).建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施()。
18(多选题).网络运营者开展经营和服务活动,必须(),承担社会责任。
19(多选题).降低计算机病毒的影响范围就必须有效的控制计算机病毒的传播途径,下列属于计算机病毒传播途径的是()
20(多选题).下列有关计算机病毒的说法中,正确的是()
21(多选题).计算机感染恶意代码的现象有()。
22(多选题).开展信息安全风险评估要做的准备有()。
23(多选题).下面关于SSID说法正确的是()。
24(多选题).下面哪些是卫星通信的优势?()
25(多选题).下面关于有写保护功能的U盘说法正确的是()。
26(多选题).以下不是木马程序具有的特征是()。
27(多选题).防范XSS攻击的措施是()。
28(多选题).攻击者通过端口扫描,可以直接获得()。
29(多选题).以下属于电子商务功能的是()。
30(多选题).为了避免被诱入钓鱼网站,应该()。
31(多选题).网络存储设备的存储结构有()。
32(多选题).信息安全等级保护的原则是()。
33(多选题).以下不是木马程序具有的特征是()。
34(多选题).以下属于电子商务功能的是()。
35(多选题).“三网融合”的优势有()。
36(多选题).如果你是公司的网络管理员,有一天你的服务器中了病毒。经过初步的检查你发现服务器上的杀毒软件并没有问题,同时病毒数据库还是最新的,你认为以下选项中哪些说法是正确的?()
37(多选题).在黑客入侵的探测阶段,他们会使用下面哪些方面方法来尝试入侵?()
38(多选题).对社会工程学攻击解释中意思贴进的是()
39(多选题).以下对于混合加密方式说法正确的是?()
40(多选题).元数据的来源包括()
41(多选题).对信息安全风险进行处理的结果包括?()
42(多选题).在VPN中,PPTP和L2TP一起配合使用时可提供较强的访问控制能力,它的优点有哪些?()
43(多选题).局域网是一个允许很多独立的设备相互间进行通信的通信系统,那么它有哪些特性呢?()
44(多选题).在加密过程中,必须用到的三个主要元素是?()
45(多选题).主机系统的安全性依赖于()
46(多选题).信息系统威胁识别主要有()工作。
47(多选题).以下()是风险分析的主要内容。
48(多选题).信息安全的重要性体现在哪些方面?()
49(多选题).以下()是开展信息系统安全等级保护的环节。
50(多选题).涉密信息系统审批的权限划分是()。
51(多选题).爱岗敬业的具体要求是()
52(多选题).坚持办事公道,必须做到()
53(多选题).在企业生产经营活动中,员工之间团结互助的要求包括()
54(多选题).关于诚实守信的说法,你认为正确的是()
55(多选题).创新对企事业和个人发展的作用表现在()
三、判断题(正确A,错误B)
1(判断题).当系统里只有一个Administrator帐户,注册失败的次数达到设置时,该帐户将被锁住。
2(判断题).所有病毒都是通过感染内存从而去感染其他文件的。
3(判断题).单向验证建立了证书持有者A和证书持有者B双方身份的证明以及从证书持有者A到证书持有者B的任何通信信息的完整性。它可以防止证书持有者B不是冒名者。
4(判断题).由于OICQ采用的是TCP数据包通讯,攻击者只要向你发送一个信息,他就可以通过监视TCP数据包来获得你的IP和OICQ的端口号。
5(判断题).SSL协议只可运行在任何一种可靠的传输协议之上。
6(判断题).处理旧电脑时硬盘应该进行物理破坏或用软件进行彻底清除。
7(判断题).机房安装最先进的防盗、防火、防雷系统后就能保证机房的安全。
8(判断题).没有网络安全就没有国家安全。
9(判断题).TCP/IP协议是传输控制协议。
10(判断题).企业信息化是国民经济信息化的基础指企业在产品的设计、开发、生产、管理、经营等多个环节中广泛利用信息技术并大力培养信息人才完善信息服务加速建设企业信息系统。
11(判断题).云计算能提供更强的计算能力但单位管理运营成本相比传统模式有所提高。
12(判断题).网络文化是指网络上的具有网络社会特征的文化活动及文化产品是以网络物质的创造发展为基础的网络精神创造。
13(判断题).发明第一部民用手机的人是“古列尔莫·马可尼”。
14(判断题).物联网是继计算机、互联网和移动通信之后的又一次信息产业的革命性发展。
15(判断题).社会工程学是讲述社会学的学科和网络安全没有关系。
16(判断题).SaaS是指通过网络提供软件的模式用户无需购买通过云客户端通常是浏览器即可使用软件功能。
17(判断题).HTTPS协议的比HTTP协议的更安全。
18(判断题).互联网、电信、金融等行业是应该优先关注大数据应用的行业。
19(判断题).物联网就是互联网简单的延伸。
20(判断题).设置无线安全密码时WPA加密比WEP加密更安全。
21(判断题).防火墙软件和杀毒软件的作用是一样的。
22(判断题).ENIAC计算机采用的电子器件是晶体管。
23(判断题).路由器是硬件设备是无法被黑客攻击的。
24(判断题).移动互联和物联网没有关系。
25(判断题).信息化也称为国民经济和社会信息化。
26(判断题).云计算平台按照部署模型分为公有云、私有云和政府云。
27(判断题).应用层相当于人的神经中枢和大脑负责传递和处理感知层获取的信息。
28(判断题).将密码设置成一个复杂的英文单词是比较安全的。
29(判断题).云计算服务面向企业、政府、学校等也为个人提供服务。
30(判断题).NT域(Domain)中的用户帐号和口令信息存储在"域控制器"中。
31(判断题).NT中用户登录域的口令是以明文方式传输的。
32(判断题).只要选择一种最安全的操作系统,整个系统就可以保障安全。
33(判断题).在计算机系统安全中,人的作用相对于软件,硬件和网络而言,不是很重要。
34(判断题).在设计系统安全策略时要首先评估可能受到的安全威胁。
35(判断题).安装系统后应当根据厂商或安全咨询机构的建议对系统进行必要的安全配置。
36(判断题).系统安全的责任在于IT技术人员,最终用户不需要了解安全问题。
37(判断题).网络的发展促进了人们的交流,同时带来了相应的安全问题。
38(判断题).具有政治目的的黑客只对政府的网络与信息资源造成危害。
39(判断题).病毒攻击是危害最大、影响最广、发展最快的攻击技术。
40(判断题).信息战的军事目标是指一个国家军队的网络系统、信息系统、数据资源。
41(判断题).《网络与信息安全管理员国家职业标准》规定网络与信息安全管理员的职业守则有:遵纪守法,爱岗敬业;勤奋进取,忠于职守;认真负责,团结协作;爱护设备,安全操作;诚实守信,讲求信誉;勇于创新,精益求精。
更多问卷 复制此问卷