1.在橙皮書的概念中,信任是存在于以下哪一項中的?
A. 作業系統
B. 網路
C. 資料庫
D. 應用程式系統
答案:A
備注:[標準和法規(TCSEC)]
2.下述攻擊手段中不屬于DOS攻擊的是: ()
A. Smurf攻擊
B. Land攻擊
C. Teardrop攻擊
D. CGI溢位攻擊
答案:D,
3.“中華人民共和國保守國家秘密法”第二章規定了國家秘密的范圍和密級,國家秘密的密級分為:()
A. “普密”、“商密”兩個級別
B. “低級”和“高級”兩個級別
C. “絕密”、“機密”、“秘密”三個級別
D. “一密”、“二密”、“三密”、“四密”四個級別
答案:C,
4.應用軟體測驗的正確順序是:
A. 集成測驗、單元測驗、系統測驗、驗收測驗
B. 單元測驗、系統測驗、集成測驗、驗收測驗
C. 驗收測驗、單元測驗、集成測驗、系統測驗
D. 單元測驗、集成測驗、系統測驗、驗收測驗
答案:選項D,
5.多層的樓房中,最適合做資料中心的位置是:
A. 一樓
B. 地下室
C. 頂樓
D. 除以上外的任何樓層
答案:D,
6.隨著全球資訊化的發展,資訊安全成了網路時代的熱點,為了保證我國資訊產業的發展與安全,必須加強對資訊安全產品、系統、服務的測評認證,中國資訊安全產品測評認證中心正是由國家授權從事測評認證的國家級測評認證物體機構,以下對其測評認證作業的錯誤認識是:
A. 測評與認證是兩個不同概念,資訊安全產品或系統認證需經過申請、測驗、評估,認證一
系列環節,
B. 認證公告將在一些媒體上定期發布,只有通過認證的產品才會向公告、測驗中或沒有通過
測驗的產品不再公告之列,
C. 對資訊安全產品的測評認證制度是我國按照WTO規則建立的技術壁壘的管理體制,
D. 通過測驗認證達到中心認證標準的安全產品或系統完全消除了安全風險,
答案:D,
7.計算機安全事故發生時,下列哪些人不被通知或者最后才被通知:
A. 系統管理員
B. 律師
C. 恢復協調員
D. 硬體和軟體廠商
答案:B,
8.下面的哪種組合都屬于多邊安全模型?
A. TCSEC 和Bell-LaPadula
B. Chinese Wall 和BMA
C. TCSEC 和Clark-Wilson
D. Chinese Wall 和Biba
答案:B,
9.下面哪種方法可以替代電子銀行中的個人標識號(PINs)的作用?
A. 虹膜檢測技術
B. 語音標識技術
C. 筆跡標識技術
D. 指紋標識技術
答案:A,
備注:[安全技術][訪問控制(標識和鑒別)]
10.拒絕服務攻擊損害了資訊系統的哪一項性能?
A. 完整性
B. 可用性
C. 保密性
D. 可靠性
答案:B,
備注:[安全技術][安全攻防實踐]
11.下列哪一種模型運用在JAVA安全模型中:
A. 白盒模型
B. 黑盒模型
C. 沙箱模型
D. 灰盒模型
答案:C,
備注:[資訊安全架構和模型]
12.以下哪一個協議是用于電子郵件系統的?
A. X.25
B. X.75
C. X.400
D. X.500
答案:C,
備注:[安全技術][ICT資訊和通信技術-應用安全(電子郵件)]
13.“如果一條鏈路發生故障,那么只有和該鏈路相連的終端才會受到影響”,這一說法是適合于以下哪
一種拓撲結構的網路的?
A. 星型
B. 樹型
C. 環型
D. 復合型
答案:A,
備注:[安全技術][ICT資訊和通信技術]
14.在一個局域網的環境中,其內在的安全威脅包括主動威脅和被動威脅,以下哪一項屬于被動威脅?
A. 報文服務拒絕
B. 假冒
C. 資料流分析
D. 報文服務更改
答案:C,
備注:[安全技術][安全攻防實踐]
15.Chinese Wall模型的設計宗旨是:
A. 用戶只能訪問那些與已經擁有的資訊不沖突的資訊
B. 用戶可以訪問所有資訊
C. 用戶可以訪問所有已經選擇的資訊
D. 用戶不可以訪問那些沒有選擇的資訊
答案:A,
備注:[(PT)資訊安全架構和模型]-[(BD)安全模型]-[(KA)強制訪問控制(MAC)模型]-[(SA)Chinese Wall模型],基本概念理解
16.ITSEC中的F1-F5對應TCSEC中哪幾個級別?
A. D到B2
B. C2到B3
C. C1到B3
D. C2到A1
答案:C,
備注:[(PT)資訊安全標準和法律法規]-[(BD)資訊安全標準]-[(KA)資訊安全技術測評標準],概念記憶,
17.下面哪一個是國家推薦性標準?
A. GB/T 18020-1999 應用級防火墻安全技術要求
B. SJ/T 30003-93 電子計算機機房施工及驗收規范
C. GA 243-2000 計算機病毒防治產品評級準則
D. ISO/IEC 15408-1999 資訊技術安全性評估準則
答案:A,
備注:[(PT)資訊安全標準和法律法規]-[(BD)資訊安全法律法規],
18.密碼處理依靠使用密鑰,密鑰是密碼系統里的最重要因素,以下哪一個密鑰演算法在加密資料與解密時
使用相同的密鑰?
A. 對稱的公鑰演算法
B. 非對稱私鑰演算法
C. 對稱密鑰演算法
D. 非對稱密鑰演算法
答案:C,
備注:[(PT)安全技術]-[(BD)資訊安全機制]-[(KA)密碼技術和應用],基本概念理解,
19.在執行風險分析的時候,預期年度損失(ALE)的計算是:
A. 全部損失乘以發生頻率
B. 全部損失費用+實際替代費用
C. 單次預期損失乘以發生頻率
D. 資產價值乘以發生頻率
答案:C,
備注:[(PT)安全管理]-[(BD)關鍵安全管理程序]-[(KA)風險評估],基本概念,
20.作為業務持續性計劃的一部分,在進行風險評價的時候的步驟是:
- 考慮可能的威脅
- 建立恢復優先級
- 評價潛在的影響
- 評價緊急性需求
A. 1-3-4-2
B. 1-3-2-4
C. 1-2-3-4
D. 1-4-3-2
答案:A,
備注:[安全管理][業務持續性計劃]
http://www.doczj.com/doc/97ef51b743323968011c92a5.html中安全功能/保證要求的三層結構是(按照由大到小的順序):
A. 類、子類、組件
B. 組件、子類、元素
C. 類、子類、元素
D. 子類、組件、元素
答案:A,
備注:[(PT)資訊安全標準和法律法規]-[(BD)資訊安全標準]-[(KA)資訊安全技術測評標準]-[(SA)CC],概念,
22.有三種基本的鑒別的方式: 你知道什么,你有什么,以及:
A. 你需要什么
B. 你看到什么
C. 你是什么
D. 你做什么
答案:C,
備注:[(PT)安全技術]-[(BD)資訊安全機制]-[(KA)訪問控制系統]
23.為了有效的完成作業,資訊系統安全部門員工最需要以下哪一項技能?
A. 人際關系技能
B. 專案管理技能
C. 技術技能
D. 溝通技能
答案:D,
備注:[(PT)安全管理]-[(BD)組織機構和人員保障],概念,
24.以下哪一種人給公司帶來了最大的安全風險?
A. 臨時工
B. 咨詢人員
C. 以前的員工
D. 當前的員工
答案:D,
備注:[(PT)安全管理]-[(BD)組織機構和人員保障],概念,
25.SSL提供哪些協議上的資料安全:
A. HTTP,FTP和TCP/IP
B. SKIP,SNMP和IP
C. UDP,VPN和SONET
D. PPTP,DMI和RC4
答案:A,
26.在Windows 2000中可以察看開放埠情況的是:
A. nbtstat
B. net
C. net show
D. netstat
答案:D,
27.SMTP連接服務器使用埠
A. 21
B. 25
C. 80
D. 110
答案:選項B,
備注:[PT-安全技術]-[BD-資訊和通信技術(ICT)安全]-[KA-電信和網路安全],基本概念,
28.在計算機中心,下列哪一項是磁介質上資訊擦除的最徹底形式?
A. 清除
B. 凈化
C. 洗掉
D. 破壞
答案:D,
備注:[(PT)安全管理]-[(BD)生命周期安全管理]-[(KA)廢棄管理]
29.以下哪一種演算法產生最長的密鑰?
A. Diffe-Hellman
B. DES
C. IDEA
D. RSA
答案:D,
30.下面哪一種風險對電子商務系統來說是特殊的?
A. 服務中斷
B. 應用程式系統欺騙
C. 未授權的資訊泄漏
D. 確認資訊發送錯誤
答案:D,
31.以下哪一項不屬于惡意代碼?
A. 病毒
B. 蠕蟲
C. 宏
D. 特洛伊木馬
答案:C,
32、 以下對資訊安全描述不正確的是
A.資訊安全的基本要素包括保密性、完整性和可用性
B.資訊安全就是保障企業資訊系統能夠連續、可靠、正常地運行,使安全事件對業務造成的影響減到最小,確保組織業務運行的連續性
C.資訊安全就是不出安全事故/事件
D.資訊安全不僅僅只考慮防止資訊泄密就可以了
【答案】C
33 、以下對資訊安全管理的描述錯誤的是
A 保密性、完整性、可用性
B.抗抵賴性、可追溯性
C.真實性私密性可靠性
D.增值性
【答案】D
34 、以下對資訊安全管理的描述錯誤的是
A.資訊安全管理的核心就是風險管理
B.人們常說,三分技術,七分管理,可見管理對資訊安全的重要性
C.安全技術是資訊安全的構筑材料,安全管理是真正的粘合劑和催化劑
D.資訊安全管理作業的重點是資訊系統,而不是人
【答案】D
35、企業按照ISO27001標準建立資訊安全管理體系的程序中,對關鍵成功因素的描述不正確的是
A. 不需要全體員工的參入,只要IT部門的人員參入即可
B. 來自高級管理層的明確的支持和承諾
C.對企業員工提供必要的安全意識和技能的培訓和教育
D. 所有管理者、員工及其他伙伴方理解企業資訊安全策略、指南和標準,并遵照執行
【答案】A
36、 資訊安全管理體系(ISMS)是一個怎樣的體系,以下描述不正確的是
A. ISMS是一個遵循PDCA模式的動態發展的體系
B. ISMS是一個檔案化、系統化的體系
C.ISMS采取的各項風險控制措施應該根據風險評估等途徑得出的需求而定
D. ISMS應該是一步到位的,應該解決所有的資訊安全問題
【答案】D
37、 PDCA特征的描述不正確的是
A. 順序進行,周而復始,發現問題,分析問題,然后是解決問題
B. 大環套小環,安全目標的達成都是分解成多個小目標,一層層地解決問題
C.階梯式上升,每次回圈都要進行總結,鞏固成績,改進不足
D. 資訊安全風險管理的思路不符合PDCA的問題解決思路
【答案】D
38、 以下哪個不是資訊安全專案的需求來源
A. 國家和地方政府法律法規與合同的要求
B. 風險評估的結果
C.組織原則目標和業務需要
D. 企業領導的個人意志
【答案】D
39、 ISO27001認證專案一般有哪幾個階段?
A. 管理評估,技術評估,操作流程評估
B. 確定范圍和安全方針,風險評估,風險控制(檔案撰寫),體系運行,認證
C.產品方案需求分析,解決方案提供,實施解決方案
D. 基礎培訓,RA培訓,檔案撰寫培訓,內部審核培訓
【答案】B
40、 構成風險的關鍵因素有哪些?
A. 人,財,物
B. 技術,管理和操作
C.資產,威脅和弱點
D. 資產,可能性和嚴重性
【答案】C
41、. 以下哪些不是應該識別的資訊資產?
A. 網路設備
B.客戶資料
C. 辦公桌椅
D. 系統管理員
【答案】C
42、 以下哪些是可能存在的威脅因素?B
A. 設備老化故障
B.病毒和蠕蟲
C. 系統設計缺陷
D. 保安作業不得力
【答案】B
43、 以下哪些不是可能存在的弱點問題?
A. 保安作業不得力
B.應用系統存在Bug
C. 內部人員故意泄密
D. 物理隔離不足
【答案】C
44、. 風險評估的程序中,首先要識別資訊資產,資產識別時,以下哪個不是需要遵循的原則?
A. 只識別與業務及資訊系統有關的資訊資產,分類識別
B.所有公司資產都要識別
C. 可以從業務流程出發,識別各個環節和階段所需要以及所產出的關鍵資產
D. 資產識別務必明確責任人、保管者和用戶
【答案】B
45、風險分析的目的是?
A. 在實施保護所需的成本與風險可能造成的影響之間進行技術平衡;
B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡;
C. 在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡;
D. 在實施保護所需的成本與風險可能造成的影響之間進行法律平衡;【答案】C
46、. 對于資訊安全風險的描述不正確的是?
A. 企業資訊安全風險管理就是要做到零風險
B. 在資訊安全領域,風險(Risk)就是指資訊資產遭受損壞并給企業帶來負面影響及其潛在可能性
C.風險管理(Risk Management)就是以可接受的代價,識別控制減少或消除可能影響資訊系統的安全風險的程序,
D. 風險評估(Risk Assessment)就是對資訊和資訊處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發生的可能性的評估,
【答案】A
47、 有關定性風險評估和定量風險評估的區別,以下描述不正確的是
A. 定性風險評估比較主觀,而定量風險評估更客觀
B. 定性風險評估容易實施,定量風險評估往往資料準確性很難保證
C.定性風險評估更成熟,定量風險評估還停留在理論階段
D. 定性風險評估和定量風險評估沒有本質區別,可以通用
【答案】D
48、 降低企業所面臨的資訊安全風險,可能的處理手段不包括哪些
A. 通過良好的系統設計、及時更新系統補丁,降低或減少資訊系統自身的缺陷
B. 通過資料備份、雙機熱備等冗余手段來提升資訊系統的可靠性;
C.建立必要的安全制度和部署必要的技術手段,防范黑客和惡意軟體的攻擊
D. 通過業務外包的方式,轉嫁所有的安全風險
【答案】D
49、 風險評估的基本程序是怎樣的?
A. 識別并評估重要的資訊資產,識別各種可能的威脅和嚴重的弱點,最終確定風險
B. 通過以往發生的資訊安全事件,找到風險所在
C.風險評估就是對照安全檢查單,查看相關的管理和技術措施是否到位
D. 風險評估并沒有規律可循,完全取決于評估者的經驗所在
【答案】A
50、 企業從獲得良好的資訊安全管控水平的角度出發,以下哪些行為是適當的
A. 只關注外來的威脅,忽視企業內部人員的問題
B. 相信來自陌生人的郵件,好奇打開郵件附件
C.開著電腦離開,就像離開家卻忘記關燈那樣
D. 及時更新系統和安裝系統和應用的補丁
【答案】D
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/245792.html
標籤:其他